DPDK rte_acl 学习踩坑及示例

原创 已于 2024-04-07 11:00:19 修改 · 2.6k 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#实时互动 #学习 #网络

于 2022-06-23 15:37:55 首次发布
本文详细介绍了使用DPDK ACL实现包负载长度匹配的步骤,包括rte_acl_field_def的结构定义、RTE_ACL_RULE_DEF的应用,以及一个实际的IPv4匹配示例。学习者分享了从零开始学习到实践的过程和踩过的坑。

最近开始需要用 DPDK ACL 来实现一些如包负载长度匹配的需求,因此开始学习 ACL 相关的内容,刚开始上手觉得还是挺难的,花了大概三四天看了官方的文档和一些示例,大概搞明白了 ACL 的用法,也踩了一些坑,这篇博客记录下这段时间的学习内容,最后提供了一个我写的小例子来参考。

rte_acl_field_def

要用 ACL 首先要定义规则的结构,这里会用到 rte_acl_field_def 结构体,下面解释一下各个字段的含义:

  1. type:有三种取值:
取值 含义
RTE_ACL_FIELD_TYPE_BITMASK 和 MASK 不同,MASK 里 mask_range 表示的是掩码的长度,而 BITMASK 的 mask_range 则是实际用 bit 表示的掩码,通常我们用于协议号的匹配,比如要匹配的协议号是 0x6,则 value 为 0x6,mask_range 为 0xff 即可,value 和 range 全 0 表示匹配所有
RTE_ACL_FIELD_TYPE_MASK 字段值/掩码,非常像带掩码的 IP 地址,一般也是用来匹配 IP 地址,mask 是掩码的长度,value 和 range 全 0 表示匹配所有的 IP 地址
RTE_ACL_FIELD_TYPE_RANGE 用来一个范围,比如端口范围,value 和 mask 是上下限,value 为 0,range 为 65535 表示匹配所有端口,value 和 range 为同一个值则表示匹配一个具体的数值

这里的掩码和 range 类型实际上给我们提供了挺大的灵活性,可以实现诸如 ip 范围匹配,端口的大于等于等逻辑,还是非常给力的。

  1. size
    表示字段的大小,可以是 1、2、4、8 个字节,不可以随意设置

  2. field_index
    该字段是第几个字段,通常和下面的示例一样定义一个 enum 递增就可以了,没啥好说的

  3. input_index
    该字段属于那个分组,这里有一个坑,ACL 要求第一个字段一定是 1 个字节大小,后面的要字段要 4 个字节为一个分组,不满的要自己凑齐

  4. offset
    该字段在待匹配数据中的偏移

RTE_ACL_RULE_DEF

这是一个宏定义,可以根据我们之前写的 rte_acl_field_def 生成对应的规则结构体,然后你就可以定义这样的结构体并往里填充数据了

ACL 使用流程

  1. 定义规则结构和匹配数据结构
  2. 创建 ACL 的上下文
  3. 添加规则到 ACL 上下文中
  4. 编译 ACL 规则
  5. 进行报文数据匹配
  6. 销毁 ACL 上下文

字节序问题

ACL 中添加规则用的是小端序,而匹配时数据需要大端序

IPV4 匹配示例代码

#include <netinet/in.h>
#include <rte_acl.h>
#include <rte_eal.h>
#include <rte_ip.h>
#include <stdint.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#define ACL_MAX_RULE_NUM 1000

struct pkt_data {
   
   
    uint8_t proto;
    uint32_t ip1;
    uint32_t ip2;
    uint16_t port1;
    uint16_t port2;
};

enum {
   
    PROTO_FIELD_IPV4, SRC_FIELD_IPV4, DST_FIELD_IPV4, SRCP_FIELD_IPV4, DSTP_FIELD_IPV4, NUM_FIELDS_IPV4 };

enum {
   
    ACL_IPV4_PROTO = 0, ACL_IPV4_SRC, ACL_IPV4_DST, ACL_IPV4_PORTS, ACL_IPV4_NUM };
struct rte_acl_field_def ipv4_defs[NUM_FIELDS_IPV4] = {
   
   
    {
   
   
        .type = RTE_ACL_FIELD_TYPE_BITMASK,
        .size = sizeof(uint8_t),
        .field_index = PROTO_FIELD_IPV4,
        .input_index = ACL_IPV4_PROTO,
        .offset = offsetof(struct pkt_data, proto),
    },
    {
   
   
        .type = RTE_ACL_FIELD_TYPE_MASK,
        .size = sizeof(uint32_t),
        .field_index = SRC_FIELD_IPV4,
        .input_index = ACL_IPV4_SRC,
        .offset = offsetof(struct pkt_data, ip1),
    },
    {
   
   
        .type = RTE_ACL_FIELD_TYPE_MASK,
        .size = sizeof(
最低0.47元/天 解锁文章
DPDK — L3 Forwarding 与 ACL 访问控制
烟云的计算
04-10 1412
ACL(Access Control List,访问控制列表)的本质是一种通配符匹配算法。而 ACL Rule 是一个 N-tuple,由 N 个 Fields 组成,在定义具体的 ACL Rule 之前,首先需要定义好每个 Fields 的实例。ACL Rule 的 Fields 的定义通过 rte_acl.h rte_acl_field_def 结构体来完成。
dpdk加速网络协议栈ANS,单core路由转发+1000条ACL 64字节达到8.43Mpps
bluestar的专栏
11-23 1715
高性能防火墙。
DPDKACL(Access Control List)的学习(基于5元组增加MAC)
linuxGc的博客
07-31 4904
DPDK ACL源网页 ACL原理: DPDK中的ACL(Access Control List)模块提供了数据包分类功能,Packet Classification and Access Control中所述: The DPDK provides an Access Control library that gives the ability to classify an input packet based on a set of classification rules. The ACL librar
DPDK ACL算法介绍(一)
lingshengxiyou的博客
08-29 1887
RTE_ACL_FIELD_TYPE_BITMASK:单字节区域如ip头部一个字节的proto字段;RTE_ACL_FIELD_TYPE_MASK:采用MASK方式描述,一般对应4字节的源/目的地址;RTE_ACL_FIELD_TYPE_RANGE:一般对应TCP或UDP头部2字节的PORT区域。熟悉这三种类型的使用后,完全可以用它们去匹配网络报文的其它区域,甚至将其应用到其它场景中。...
DPDK ACL算法介绍(二)
lingshengxiyou的博客
08-29 1095
一些说明:1.merge完后,对于有分支的边,”…” 表示匹配除了其它分支以外的所有值,图中表述不准确;2.对于虚线的节点,表示merge完后会被释放;红色节点表示新建的node;红色的边,表示有修改或新增的边;实心节点表示match节点。3.node创建的顺序是a\b\c\…,但决定node是否free,则是1\2\3\…,见红色节点的名称。...
DPDK ACL算法介绍
weixin_41666796的博客
07-10 1591
DPDK ACL算法介绍 https://www.jianshu.com/p/0f71f814d73e
DPDP ACL 1 -- DPDK ACL算法介绍
~~ LINUX ~~
04-19 4395
DPDK提供了三种classify算法:最长匹配LPM、精确匹配(Exact Match)和通配符匹配(ACL)。 其中的ACL算法,本质是步长为8的Multi-Bit Trie,即每次可匹配一个字节。一般来说步长为n时,Trie中每个节点的出边为2^n,但DPDK在生成run-time structures时,采用DFA/QRANGE/SINGLE这几种不同的方式进行数据结构的压缩,有效去除了...
DPDKrte_acl_set_ctx_classify功能
最新发布
07-19
### rte_acl_set_ctx_classify 函数功能说明及使用示例 `rte_acl_set_ctx_classify` 是 DPDK 中用于设置 ACL 上下文使用的分类算法的函数。该函数允许为特定的 ACL 上下文选择不同的分类算法,例如基于 SSE 或 AVX2...
rte_acl_rule
04-30
此外,引用中的示例代码,如引用[3]中的l3fwd-acl示例,可能对用户有帮助,可以引用该示例来说明配置过程。 最后,用户可能需要了解如何在实际应用中使用构建好的ACL上下文进行分类,即调用rte_acl_classify函数。...
dpdk实例flow_classify
XuVowkin的博客
06-10 739
文章目录一.前言二.源码三.运行情况四.改动ipv4_rules_file.txt 一.前言 Flow Classify示例应用程序基于转发应用程序的简单框架示例。 它旨在演示使用Flow Classify库API的DPDK转发应用程序的基本组件。 flow_classify例子对于DPDK学习具有很重要的意义,是比较重要的章节。有点类似于linux网络中的iptables功能,也有点类似于我们在linux内核中开发的防火墙功能。我们可以使用flow模块对数据包进行统计,丢弃等基本的操作。 二.源码 /*
DPDK ACL链表
redwingz的博客
05-29 4093
本文简介DPDKACL链表的几个主要函数,以及数据结构。 ACL初始化 函数rte_acl_init如下,主要初始化工作是选择使用的分类算法。对于AVX2(Advanced Vector Extensions),仅当编译DPDK代码的编译器支持AVX2指令集,并且运行DPDK程序的处理器支持AVX2指令集时,才启用RTE_ACL_CLASSIFY_AVX2算法。否则,退而求其次...
DPDK_SURICATA-4_1_1:用于软件加速的dpdk基础结构。 目前正在研究RX和ACL预过滤器
05-06
DPDK_SURICATA-4_1_4 从3.0移植ACL-保留creating patch request for dev branch of Suricata 6.0 动机 创建简单的DPDK RX-TX,以允许数据包进入SURICATA处理流水线模式。 要做的事 将数据包缓冲区展平为完全零复制模式。 使用零拷贝PKT解码和其他层 工作正在进行中 使用https://github.com/vipinpv85/DPDK-Suricata_3.0 SW ACL对方向规则进行分类。 事情完成了 来自数据包获取阶段的数据包的零副本 添加了4种tx_buffer_flush模式-0:无,1:4、2:8、3:16 对重组后的数据包实施SW或HW对称散列。 将dpdk配置移到suricata.yaml 允许多名工人,而不是单名工人 允许带有RSS的多个RX队列(默认) 将dpd
DPDK记(一)
袁赟的博客
03-18 3736
公司的新产品是一款服务器端的网卡芯片,支持各种密码学计算offload,是清华大学的可重构结构,还挺牛逼的,不过再怎么牛逼,这还是一块网卡芯片,上网是主要的功能,所以最近入DPDK了。之所以说入,是因为网络方面完全是小白,学习的过程就是不断填的过程。dpdp网上的资料已经挺多的了,我主要把自己学习过程中遇到的问题记录下来,如果觉得很小儿科的大神可以飘过了...... 硬件环境:(主机Intel(R) Core(TM) i5-4590 CPU @ 3.30GHz + 我司的n10芯片网卡)*..
dpdk-16.04 igb_uio 模块分析
龙瑜的博客
04-21 3022
igb_uio 是 dpdk 内部实现的将网卡映射到用户态的内核模块,它是 uio 模块的一个实例。 igb_uio 是一种 pci 驱动,将网卡绑定到 igb_uio 隔离了网卡的内核驱动,同时 igb_uio 完成网卡中断内核态初始化并将中断信号映射到用户态。 igb_uio 与 uio 模块密切相关,我将从 uio 模块着手分析 igb_uio 模块的工作原理。 uio 模块分析 uio 可以看做是一种字符设备驱动,在此驱动中注册了单独的 file_operations 函数表,uio 设备可以看做是
DPDK ACL算法介绍(转载)
呆呆辉的专栏
11-21 4036
http://www.jianshu.com/p/0f71f814d73ehttp://www.jianshu.com/p/0f71f814d73e关于dpdk acl算法分析,以后慢慢琢磨。
intel dpdk api test程序讲解 (dpdk库测试模块)
编码人生——朝阳_tony
08-05 1万+
声明:此文档只做学习交流使用,请勿用作其他商业用途 author:朝阳_tony E-mail : linzhaolover@gmail.com Create Date: 2013-8-5 9:58:56 Monday Last Change: 2013-8-5 10:59:27 Monday 转载请注明出处:http://blog.youkuaiyun.com/linzhaolove
dpdk l3fwd实现ip acl规则下发
focus on security
12-01 3291
整个L3fwd有三千多行代码,但总体思想就是在L2fwd的基础上,增加网络层的根据 IP 地址进行路由查找的内容。 l2fwd例子中,代码中网卡没有配置多队列,所以性能上有些局限性, 而l3fwd的例子中,网卡配置了多队列 这就是在网络转发调试过程中,很多场景下直接使用l2fwd进行转发测试,往往达不到最佳效果的根本原因 2.l2fwd中,报文转发流程相对简单,仅仅改了mac就发包了,无需过多判断 l3fwd中,需查询路由表,相对实现复杂些 dpdkacl算法。大致用法如下: 配置如
DPDK
weixin_30344795的博客
10-23 1785
DPDK 数据平面开发套件(DPDK[1],Data Plane Development Kit)是由6WIND,Intel等多家公司开发,主要基于Linux系统运行,用于快速数据包处理的函数库与驱动集合,可以极大提高数据处理性能和吞吐量,提高数据平面应用程序的工作效率。 关键技术 编辑 环境抽象层 DPDK开发者指南 - 环境抽象层 http://ww...
Intel DPDK介绍
热门推荐
Walter的专栏
10-16 4万+
DPDK是X86平台报文快速处理的库和驱动的集合,大多数情况下运行在linux的用户态空间,目前最新版本1.5.0可以到官方网站dpdk.org下载。 DPDK不是网络协议栈,不提供二层,3层转发功能,不具备防火墙ACL功能,但通过DPDK可以轻松的开发出上述功能,具体可参考实例 application examples are included。 What it is Intel® DPD
评论 6
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

thewangcj

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值