作者简介:张凯,软件工程师,主要从事LINUX内核网络和虚拟化相关研发工作。

本文转载自DPDK与SPDK社区

当前的高性能网卡通常都支持对数据流的定向和过滤功能，可通过配置将指定的数据流定向到指定的设备队列中，并且如果监听此队列的核心正是运行处理此数据流的应用所在核心，将获得一定的性能优势。另外网卡的流过滤功能还可设定丢弃指定的流，可实现在硬件层面屏蔽非法的访问等，而不需要处理器的干预。DPDK的示例flow_filtering演示第一种流定向功能。

该示例flow_filtering用于配置网卡的流过滤规则，完成匹配数据流的设备队列定向功能。主函数是通用的初始化流程：包括EAL初始化，分配存储mbuf的内存池mempool，初始化接口init_port函数。DPDK的此示例使用一个port接口就可运行。随后调用完成流规则配置的函数generate_ipv4_flow。当然网卡的流过滤规则除了本示例的队列定向功能，还有其它的功能，比如丢弃匹配的流等。

函数generate_ipv4_flow完成流规则配置功能，其实现将设定的数据流定向到指定的设备队列中。由以下的四个宏定义可知，本示例要定向的流为：源IP地址为0.0.0.0，mask为空EMPTY_MASK（0），即不区分源IP，目的IP地址为192.168.1.1，掩码为FULL_MASK（0xffffffff）。即所有目的地址为192.168.1.1的数据流，定向到设备的队列1中（selected_queue）。

首先，设置流的属性rte_flow_attr为ingress，即要操作的数据流为接收方向。

第二，设置流规则匹配之后，接下来定义采取的动作action，此处为RTE_FLOW_ACTION_TYPE_QUEUE，即匹配后定向到指定的设备队列中。另外，如果要实现丢弃匹配流的功能，动作类型应设定为RTE_FLOW_ACTION_TYPE_DROP，此示例中不涉及。

第三，设置流规则匹配的模式序列pattern，由于此处最终匹配的为一个IPv4目的地址192.168.1.1，设置第一级匹配模式为以太网数据类型RTE_FLOW_ITEM_TYPE_ETH。第二级匹配模式设置为源IP/掩码和目的IP/掩码，类型为IPv4（RTE_FLOW_ITEM_TYPE_IPV4）。

第四，以上流规则的参数都已设置完成。此处调用rte_flow_validate函数验证参数配置的是否正确。该函数实现位于文件lib/librte_ethdev/rte_flow.c中，其获取设备的流规则处理函数集rte_flow_ops，调用其中的validate函数。例如对于INTEL的IXGBE网卡驱动设备而言，validate函数指针指向ixgbe_flow_validate函数，其实现位于文件drivers/net/ixgbe/ixgbe_flow.c中。此函数也仅是检查定义的流规则参数网卡是否支持，例如IXGBE网卡就不支持MAC流识别，以及检查参数中指定的队列号是否超出设备支持的最大队列值等，但是并不确保通过validate检查的flow流规则参数一定能最终设置成功，因为网卡中存储流规则的内存可能已满。

第五，调用函数rte_flow_create创建流规则，其实现位于文件lib/librte_ethdev/rte_flow.c中，与以上的函数rte_flow_validate类似，其也是封装了具体的网络设备的流规则创建函数create。还是以INTEL的IXGBE驱动为例，其流规则创建函数为ixgbe_flow_create，位于文件drivers/net/ixgbe/ixgbe_flow.c。主要工作时将设定的流规则写入网卡硬件中。

示例flow_filtering使用的主要是网卡的Flow Director功能。对于INTEL的网卡82599的IXGBE驱动而言，函数ixgbe_parse_fdir_filter_normal用来解析上层设置的流规则参数，首先因为在之前的匹配模型pattern中并未设置类型为RTE_FLOW_ITEM_TYPE_FUZZY的规则，signature_match不成立，此处使用RTE_FDIR_MODE_PERFECT类型匹配规则。其次由于匹配模式链中第一个指定的为RTE_FLOW_ITEM_TYPE_ETH类型，但是并没有指定相应的spec和mask，所以IXGBE驱动不做处理，跳到下一个pattern。最后的pattern类型设置的为RTE_FLOW_ITEM_TYPE_IPV4，即将之前设置的源和目的IP地址赋予规则的ixgbe_fdir.formatted结构的成员src_ip[0]和dst_ip[0]，将掩码赋予mask.dst_ipv4_mask和mask.src_ipv4_mask变量。

最后的函数ixgbe_parse_fdir_act_attr负责解析配置的动作action，此处为将配置的设备队列号赋值到规则的queue变量中。以上可见驱动函数ixgbe_parse_fdir_filter_normal正好对应之前的配置函数generate_ipv4_flow。解析完成之后得到一个初始化完成的ixgbe_fdir_rule结构，由函数ixgbe_fdir_set_input_mask和ixgbe_fdir_filter_program函数写入网卡的Flow Director相关硬件寄存器中。INTEL的82599网卡最多支持8K-2个RTE_FDIR_MODE_PERFECT类型的流规则过滤器，详情请见82599数据手册：https://www.intel.cn/content/www/cn/zh/embedded/products/networking/82599-10-gbe-controller-datasheet.html。

示例程序flow_filtering的最后，调用main_loop函数，从设备的所有队列中接收数据，并且打印接收到数据的源和目的IP地址，以及接收的设备队列编号。根据此打印信息可确认之前的流规则是否生效。应观察到目的IP地址为192.168.1.1的数据包都由队列1接收到。

最后，对于Linux而言，可使用ethtool工具配置以上的流规则。如下的命令依次为开启网卡设备的流规则功能；查看开启状态；配置目的IP地址为192.168.1.1的流定向到队列1中，查看流规则列表；最后为删除流规则的命令。更多ethtool配置可查看其帮助信息。