摘要:包分类在防火墙中扮演着非常重要的角色,通过用户配置一些包分类的规则,防火墙可以针对每个包进行不同的控制策略。所以,包分类是防火墙的所有功能的基础。在高端防火墙中,包分类既要实现高容量,还要实现高速度。当前为了实现包分类,可以使用一些算法,如RFC算法、HiCuts算法、ABV算法、EGT-PC算法,还可以使用TCAM芯片。其中,使用TCAM实现包分类,虽然可以达到非常高的速度(250Msps),但是容量有限,且价格不菲。而使用算法实现包分类,则会需要多次访问内存,导致速度较低不能满足高带宽的需求。本文从兼顾容量与性能的角度出发,提出一种结合了算法与TCAM两者优势的包分类实现方法,能达到防火墙高速包分类的容量与性能的要求。
