报文处理方法、装置以及网络设备的制造方法
报文处理方法、装置以及网络设备的制造方法
【技术领域】
[0001] 本发明涉及通信技术领域,尤其涉及一种报文处理方法、装置W及网络设备。
【背景技术】
[0002] 随着网络通信技术的进步,各种网络攻击引发的网络安全问题日益受到人们的关 注。目前网络设备在遭受大量需上送CPU报文(包括组播报文W及上送本机的单播报文) 的攻击时,由于CPU的处理能力有限,面对大量的攻击报文时,报文转发队列就会因为CPU 不能及时处理而阻塞,导致后续上送CPU的报文被丢弃。如果丢弃的报文为协议报文或是 管理报文,就可能造成协议中断和设备无法管理的现象。
【发明内容】
[0003] 有鉴于此,本发明提供了报文处理方法W及装置来解决上述问题。
[0004] 本发明提供一种报文处理方法,应用于网络设备,所述方法包括:
[0005] 根据报文特征生成设有队列优先级的控制策略;
[0006] 将所述控制策略下发至转发芯片,W使所述转发芯片将命中所述控制策略中报文 特征的报文添加至与所设队列优先级对应的报文转发队列中;
[0007] 接收所述转发芯片根据所述报文转发队列的队列优先级顺序上送的报文。
[0008] 本发明还提供一种报文处理装置,应用于网络设备,所述装置包括:
[0009] 策略生成单元,用于根据报文特征生成设有队列优先级的控制策略;
[0010] 策略下发单元,用于将所述控制策略下发至所述转发芯片,W使所述转发芯片将 命中所述控制策略中报文特征的报文添加至与所设队列优先级对应的报文转发队列中;
[0011] 报文接收单元,用于接收所述转发芯片根据所述报文转发队列的队列优先级顺序 上送的报文。
[0012] 本发明还提供一种网络设备,所述网络设备包括转发芯片W及中央处理器CPU,其 中:
[0013] CPU,用于根据与协议类型对应的报文特征生成设有队列优先级的控制策略,将所 述控制策略下发至所述转发芯片,并接收所述转发芯片根据所述报文转发队列的队列优先 级顺序上送的报文。
[0014] 转发芯片,用于接收CPU下发的控制策略,在接收到报文时,将所述报文与预存的 控制策略进行匹配,并将命中所述控制策略中报文特征的报文添加至与所设队列优先级对 应的报文转发队列中。
[0015] 本发明提供的报文处理方法,其根据报文特征生成设有队列优先级的控制策略, 并将所述控制策略下发至所述转发芯片,W使所述转发芯片将命中所述控制策略中报文特 征的报文添加至与所设队列优先级对应的报文转发队列中,从而优先处理队列优先级高的 报文转发队列中的重要报文,避免造成网络故障。
【附图说明】
[0016] 图1是本发明实施例中报文处理方法流程图;
[0017] 图2是本发明实施例中报文处理装置所在网络设备硬件架构示意图;
[0018] 图3是本发明实施例中报文处理装置逻辑结构示意图;
[0019] 图4为本发明实施例中策略生成单元逻辑结构示意图;
[0020] 图5为本发明实施例中的网络设备。
【具体实施方式】
[0021] 现有技术中,由于部分协议报文W及部分需进行应用处理的数据报文均会上送中 央处理器CPU处理,一些攻击者则利用向CPU上送大量的协议报文W进行报文攻击。CPU在 遭受大量报文的攻击时,极有可能就会因为不能及时处理而阻塞,导致后续上送CPU的报 文被丢弃,若丢弃的报文为管理报文或者其他重要报文,则会导致设备无法管理或者协议 断开等现象。目前的解决方法多通过对各个协议或端口进行限速来减少上送CPU的报文数 量。然而,限速只是根据协议和端口减少了上送CPU的报文数量,在报文种类较多时,仍无 法达到有较好的效果。
[0022] 为避免类似现象的发生,本发明所提供的报文处理方法根据与协议类型对应的报 文特征生成设有队列优先级的控制策略,将所述控制策略下发至所述转发芯片,W使所述 转发芯片将命中所述控制策略中报文特征的报文添加至与所设队列优先级对应的报文转 发队列中,并接收所述转发芯片根据所述报文转发队列的队列优先级顺序上送的报文。
[0023] 在本发明实施例中,报文处理方法的处理流程如图1所示,该方法应用在网络设 备上,该网络设备可W是交换机或路由器等,其中该报文处理方法包括W下步骤:
[0024] 步骤101,根据报文特征生成设有队列优先级的控制策略;
[00巧]本发明实施方式提供的报文处理方法,首先检查CPU协议找中协议模块的开启状 况,获取协议模块已开启的协议类型对应报文特征,该报文特征可W根据报文类型的不同 分为多种,例如:协议端口号、协议版本类型、传输协议类型、报文IP地址等。
[0026] 然后,根据获取的报文特征的至少一项生成控制策略。由于各协议的报文类型不 同,其生成控制策略时所使用的报文特征也不尽相同。例如对于LDP协议的组播报文生成 控制策略时,其使用的报文特征可W是协议端口号、协议版本类型、该组播IP地址W及传 输协议类型;对于LDP协议的单播报文生成控制策略时,所使用的报文特征则可W为协议 端口号W及协议版本类型等。
[0027] 最后,根据所述报文特征生成具有队列优先级的控制策略。该控制策略可W为多 种形式,例如:
[002引 1、所述控制策略可W为ACL。
[0029] 在所述控制策略为A化时,根据每个协议类型报文的不同获取不同的报文特征, 对获取的报文特征设置对应的ACL优先级W及队列优先级,并根据该报文特征生成一条或 多条设有A化优先级W及队列优先级的ACL。
[0030] 例如,协议找内已开启协议模块的协议为LDP,针对于LDP协议的组播报文生 成A化时所依据的报文特征为组播IP地址、传输协议类型、协议版本类型W及协议端口 号等。假设该组播IP地址为224. 0. 0. 2,传输协议类型为UDP,协议版本类型为IPV4, 协议端口号分别是源端口号646、目的端口号646 ;可将该条A化优先级设为5 ;队列优 先级设为5。郝么该条A化则为A化优先级为5,队列优先级为5的A化,即;IP地址为 224. 0. 0. 2+UDP+646+IPV4 的 A化。
[0031] 针对于LDP协议的单播报文生成A化时所依据的报文特征则可W为协议端口号W 及协议版本类型。例如LDP单播报文的协议版本类型为IPV4,协议端口号在不同情况下可 W分别是源端口号646,或者目的端口号646 ;郝么则可W根据该两种情况为该LDP协议的 单播报文生成两条A化优先级为4,队列优先级为4的A化,即源端口为646+IPV4巧CP的 A化W及目的端口为646+IPV4+TCP的A化。
[0032] 除此之外,还可W使用A化控制其他多种协议的报文,例如,RIP、RI化g、BGP、PIM 等协议的报文。在对不同协议的报文生成A化时,可根据上述示例的原则选取不同的报文 特征生成ACL,在此不再一一赏述。
[0033] 在根据各种协议类型对应的报文特征生成A化后,转发芯片中会保存多条不同的 A化,为各A化设置A化优先级可W在转发芯片接收到报文后,按照A化优先级的顺序由高 至低的匹配各条ACL。
[0034] 2.所述控制策略可W为与开启的寄存器关联的报文特征生成设置有对应的队列 优先级控制表项。
[0035] 本发明实施例中,各开启的寄存器可W关联指定的协议类型或是报文特征,并且 可W为关联的协议类型或是报文特征的寄存器设置对应的队列优先级。在转发芯片接收的 报文匹配到与开启的寄存器对应的协议类型或者报文特征时,将该报文添加至与对应的队 列优先级对应的报文转发队列中。
[0036] 例如,寄存器关联的报文特征可W是判断报文为组播报文的特征(目的MAC地址 为全F,或目的MC地址的第40比特位的值为"1")等;寄存器关联的协议类型可W是专口 有寄存器控制的协议,比如解析协议ARP、动态主机配置协议DHCP、组播侦听发现协议MLD 等。
[0037] 假设,若要对与DHCP协议关联的寄存器设置队列优先级时,首先检查该寄存器的 开启情况,在寄存器开启时,根据具体需求对该寄存器设置队列优先级。
[0038] 3.所述控制策略可W为BPDU表项。
[0039] 第二层的攻击是网络安全攻击者最容易实施,也是最不容易被发现的安全威胁, 仅仅基于认证(如IE邸802. lx)的安全措施是无法防止来自网络第二层的安全攻击。为 此,本发明实施例根据协议的目的MAC地址生成BPDU表项来控制上送CPU的二层报文数 量,W避免二层报文的攻击。
[0040] 本发明实施例中,ISIS、STP、FRRP、GVRP等协议的报文均可W由BPDU表项控制。 在具体实现中, 若识别出由BPDU表项控制的协议在CPU的协议找中已运行,即可根据协议 的MAC地址生成BPDU表项,并对该BPDU表项设置对应的队列优先级。
[0041] W IS-IS协议为例,若识别出所述CPU中的IS-IS协议已运行,即可根据IS-IS协 议的报文特征MAC地址生成BPDU表项。例如IS-IS协议的MAC地址为0X01,0X80,0XC2, 0X00,0X14 ;0X01,0X80,0XC2,0X00,0X15 ;0X01,0X80,0X2B,0X00,0X05。郝么其该 BPDU 表项 可W为:
[0042]
[0043] 表 1
[0044] 表1示出根据开启协议模块协议的MAC地址建立的BPDU表项,仅是为进一步理解 本发明的示例,并不用于限制本发明实施例中BPDU表项的具体内容。在对IS-IS协议生成 BPDU表项后,为该BPDU表项设置对应的队列优先级,假设为其设置的队列优先级为7,郝么 在转发芯片接收到目的MAC地址与表1匹配的二层报文时,则将该二层报文根据该BPDU表 项对应队列优先级7添加至队列优先级为7的报文转发队列中。
[0045] 另外,本发明实施例对于CPU协议找内未运行的协议,即协议模块未开启的协议, 本发明实施例中可W不为其生成A化或者BPDU表项,转发芯片在接收到与未运行的协议相 关的报文时,可W将该报文添加至队列优先级最低的报文转发队列中。
[0046] 综上所述,各种控制策略W及对应的报文特征可W如下表所示:
[0047]
[0048] 表 2
[0049] 表2示出各控制策略W及报文特征的对应关系,仅是为进一步理解本发明的示 例,并不用于限制本发明实施例中各控制策略W及报文特征的对应关系的具体内容。
[0050] 步骤102,将所述控制策略下发至所述转发芯片,W使所述转发芯片将命中所述控 制策略中报文特征的报文添加至与所设队列优先级对应的报文转发队列中。
[0051] 根据上述生成控制策略后,将所述控制策略下发至所述转发芯片,使得转发芯片 在接收到报文后,将报文与各控制策略进行匹配,并将匹配所述控制策略中报文特征的报 文根据与其对应的队列优先级添加至对应的报文转发队列中。
[0052]
[0053] 表 3
[0054] 表3示出报文特征匹配项与各队列优先级的对应关系表项,仅是为进一步理解本 发明的示例,并不用于限制本发明实施例中报文特征匹配项与各队列优先级的对应关系表 项的具体内容。
[0055] 转发芯片在接收到外部设备发送的报文后,解析出报文的报文特征,并将报文的 报文特征与表3的报文转发队列中的各报文特征进行匹配,在匹配到报文转发队列的某条 报文特征时,将该报文根据对应的队列优先级添加至对应队列优先级的报文转发队列中。 转发芯片根据各报文转发队列的队列优先级顺序由高至低的将报文上送至CPU处理。送样 一来,便可W保证队列优先级高的报文转发队列中的重要报文可W优先上送CPU处理。其 中,表3中所示的队列限速表示将对应的报文转发队列中的报文向CPU上送时的最高速率, 该初始的队列限速可W由开发人员根据测试结果而定。
[0056] 本发明实施例中,虽然可W通过控制策略中将重要的报文添加至队列优先级高的 报文转发队列中,使得转发芯片将优先级高的重要报文优先上送至CPU处理。但是,若攻击 者发送大量的队列优先级高的报文对设备进行攻击时,仍难W避免报文转发队列被大量报 文阻塞,导致优先级较低的报文得不到处理。为此,本发明可已在将控制策略下发至转发芯 片之前为所述队列优先级对应的报文转发队列设置权重值,权重值为各报文转发队列发送 报文的比重,W使转发芯片根据所述权重值确定每个报文转发队列在每个上送周期所上送 报文的报文数量。
[0057] 另外,转发芯片还可W使用所述权重值按照WRR(Wei曲ted Round Robin,加权循 环调度算法)、肿'Q(Wei曲ted Fair如euing,加权公平排队)、DRR值eficit Round Robin,亏 空轮询算法)等调度算法计算出为所述报文转发队列分配的队列速率,保证报文转发队列 中的报文向CPU上送时的最高速率不超过计算出的队列限速值。
[005引 W下W使用所述权重值按照WRR调度算法为例计算队列速率。
[0059] 具体地,W转发芯片端口有8个报文转发队列为例,WRR可为每个报文转发队列 (queue?~queueO)配置一个权重值,与queue?~queueO对应的权重值依次为w7、w6、w5、 w4、w3、w2、wl、w0。假设转发芯片的端口总带宽为100 Mbps,为各报文转发队列配置的权重 值为5、5、3、3、1、1、1、1 (依次对应w7、w6、w5、w4、w3、w2、wl、wO)。郝么转发芯片首先根据 所述权重值确定出每个报文转发队列在每个上送周期所上送报文的报文数量,再在每个所 述上送周期,根据所述报文转发队列的队列优先级从高到低的顺序,按照确定的每个报文 转发队列的报文数量将报文上次至CPU。其中所述周期在每个所述上送周期,根据所述报文 转发队列的队列优先级从高到低的顺序,按照确定的每个报文转发队列的报文数量将报文 上次至CPU可W为多种方式,例如:
[0060] 第一种方式;根据分配的权重值确定出在每个上送周期内queue? W及queue6的 上送报文数量分别为5, queues W及queue4上送报文数量为3, queue3-queue 0上送报文 数量为1。本实施方式可W将所述上送周期分为五轮依次上送,每一轮的各个报文转发队列 中最多上送一个报文,并根据各报文转发队列的队列优先级由高至低地轮询上送至CPU,如 表4所示:
[0061]
[0062] 表 4
[0063] 表4示出在上送周期中的每一轮可上送报文的报文转发队列,其仅是为进一步理 解本发明的示例,并不用于限制本发明实施例中在上送周期中的每一轮可上送报文的报文 转发队列的具体内容。
[0064] 第二种方式;根据分配的权重值确定出在每个上送周期内queue? W及queues的 上送报文数量分别为5, queues W及queue4上送报文数量为3, queue3-queue 0上送报文 数量为1。郝么本实施方式可W在所述上送周期根据各报文转发队列的队列优先级由高至 低地依次上送至CPU,即根据所述权重值将队列优先级最高的queue?中的5个报文发送成 功后,再发送队列优先级次高的queues中的5个报文,并W此循环。
[006引最后使用WRR计算出为各报文转发队列分配的队列限速。其中,为w7、w6分别分 配的带宽为:
[0066] 100Mbps巧/(5+5+3+3+1+1+1+1) = 25Mbit/s
[0067] 为w5、w4分别分配的带宽为:
[0068] 100Mbps*3/(5+5+3+3+l+l+l+l) = 15Mbit/s
[0069] 为w3、w2、wl、w0分别分配的带宽为:
[0070] 100Mbps*!/(5+5+3+3+1+1+1+1) = 5Mbit/s
[0071] 在计算出为各报文转发队列分配的带宽后,使用该计算出的为各报文转发队列分 配的带宽更新表4所示的队列限速。并在根据所述队列优先级顺序将各报文转发队列中对 应报文数量的报文轮询上送至CPU时,其各报文转发队列中报文上送的最高速率不得超过 计算出的队列限速。
[0072] 在将报文上送CPU的过程中,如果某个报文转发队列为空,郝么可W立即由下一 个报文转发队列上送报文,送样带宽资源即可W得到充分的利用,又可W保证每个报文转 发队列都可W获得一定的服务时间W及一定的带宽,避免在队列优先级高的报文转发队列 拥塞或采用SP调度时,队列优先级低的报文转发队列中的报文长时间得不到服务的缺点。
[0073] 步骤103,接收所述转发芯片根据所述报文转发队列的队列优先级顺序上送的报 文。
[0074] 由于转发芯片发送的报文是根据各报文转发队列的队列优先级顺序上送的,因此 在每个所述上送周期,CPU可接收转发芯片根据所述报文转发队列的队列优先级从高到低 的顺序,按照确定的每个报文转发队列的报文数量上送报文。在CPU接收到转发芯片发送 的报文时,根据接收的报文依次进行处理,即可保证首先处理的报文为需优先处理的重要 报文,还避免了因为报文转发队列阻塞而丢弃重要的报文,造成网络故障等现象。
[00巧]本发明还提供了一种应用于网络设备的报文处理装置,请参考图2,为本发明报文 处理装置所在网络设备的硬件架构示意图,其基本硬件环境包括CPU、内存、转发芯片、非易 失性存储器W及其他硬件。图3为该报文处理装置的逻辑结构示意图,其从本质上说是一 个 逻辑装置。在本实施方式中,W软件实现为例,该报文处理装置在逻辑层面上包括策略生 成单元301、策略下发单元302 W及报文接收单元303。其中:
[0076] 策略生成单元301,用于根据报文特征生成设有队列优先级的控制策略;
[0077] 策略下发单元302,用于将所述控制策略下发至所述转发芯片,W使所述转发芯 片将命中所述控制策略中报文特征的报文添加至与所设队列优先级对应的报文转发队列 中;
[0078] 报文接收单元303,用于接收所述转发芯片根据所述报文转发队列的队列优先级 顺序上送的报文。
[0079] 进一步地,所述报文处理装置还可W包括权重设置单元304,用于为每个队列优先 级对应的报文转发队列设置权重值,W使所述转发芯片根据所述权重值确定每个报文转发 队列在每个上送周期所上送报文的报文数量。
[0080] 进一步地,请参考图4,所述报文特征为与开启的寄存器关联的报文特征,所述策 略生成单元301具体可W包括寄存器控制模块3011,用于为与开启的寄存器关联的报文特 征设置对应的队列优先级,W使转发芯片在接收的报文匹配到与开启的寄存器关联的报文 特征时,将所述报文添加至与该报文特征对应队列优先级的报文转发队列中。
[0081] 进一步地,所述报文特征包括协议端口号、协议版本类型、传输协议类型W及IP 地址的至少一项;所述策略生成单元301具体可W包括A化生成模块3012,用于根据所述 协议端口号、协议版本类型、传输协议类型W及IP地址的至少一项生成具有队列优先级的 访问控制列表ACL。
[0082] 进一步地,所述报文特征为MAC地址,所述策略生成单元301具体可W包括BPDU 表项生成模块3013,用于根据与指定协议类型对应的MAC地址生成网桥协议数据单元BPDU 表项;为所述BPDU表项设置队列优先级;将所述设置队列优先级的BPDU表项下发至所述 转发芯片;所述BPDU表项用于将目的MAC地址匹配到所述BPDU表项中MAC地址的二层报 文根据所述队列优先级添加至对应的报文转发队列中。
[0083] 如图5所示,本发明还提供了一种网络设备,所述网络设备包括转发芯片W及中 央处理器CPU,其中:
[0084] CPU401,用于根据与协议类型对应的报文特征生成设有队列优先级的控制策略, 将所述控制策略下发至所述转发芯片,并接收所述转发芯片根据所述报文转发队列的队列 优先级顺序上送的报文。
[0085] 转发芯片402,用于接收CPU下发的控制策略,在接收到报文时,将所述报文与预 存的控制策略进行匹配,并将命中所述控制策略中报文特征的报文添加至与所设队列优先 级对应的报文转发队列中。
[0086] 从W上各种方法和装置的实施方式中可W看出,与现有技术相比,本发明所提供 的报文处理方法根据与协议类型对应的报文特征生成设有队列优先级的控制策略,将所述 控制策略下发至所述转发芯片,W使所述转发芯片将命中所述控制策略中报文特征的报文 添加至与所设队列优先级对应的报文转发队列中,并接收所述转发芯片根据所述报文转发 队列的队列优先级顺序上送的报文。可优先处理队列优先级高的报文转发队列中的重要报 文,避免造成网络故障。另外本发明还通过为各报文转发队列设置权重值来避免攻击者利 用队列优先级高的报文对设备进行的攻击。
[0087] W上所述仅为本发明的较佳实施例而已,并不用W限制本发明,凡在本发明的精 神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
【主权项】
1. 一种报文处理方法,应用于网络设备,其特征在于,所述方法包括: 根据报文特征生成设有队列优先级的控制策略; 将所述控制策略下发至转发芯片,以使所述转发芯片将命中所述控制策略中报文特征 的报文添加至与所设队列优先级对应的报文转发队列中; 接收所述转发芯片根据所述报文转发队列的队列优先级顺序上送的报文。2. 如权利要求1所述的方法,其特征在于,在所述将控制策略下发至所述转发芯片之 前,所述方法还包括: 为每个队列优先级对应的报文转发队列设置权重值,以使所述转发芯片根据所述权重 值确定每个报文转发队列在每个上送周期所上送报文的报文数量; 所述接收转发芯片根据所述报文转发队列的队列优先级顺序上送的报文具体为: 在每个所述上送周期,接收所述转发芯片根据所述报文转发队列的队列优先级从高到 低的顺序,按照确定的每个报文转发队列的报文数量上送报文。3. 如权利要求1所述的方法,其特征在于,所述报文特征为与开启的寄存器关联的报 文特征,所述根据与协议类型对应的报文特征生成设有队列优先级的控制策略具体包括: 为与开启的寄存器关联的报文特征生成设置了对应的队列优先级的控制表项。4. 如权利要求1所述的方法,其特征在于,所述报文特征包括协议端口号、协议版本类 型、传输协议类型以及IP地址的至少一项;所述根据报文特征生成设有对应队列优先级的 控制策略具体包括: 根据所述协议端口号、协议版本类型、传输协议类型以及IP地址的至少一项生成具有 队列优先级的访问控制列表ACL。5. 如权利要求1所述的方法,其特征在于,所述报文特征为介质访问控制MAC地址,所 述根据报文特征生成设有对应队列优先级的控制策略具体包括: 根据与指定协议类型对应的MAC地址生成网桥协议数据单元BPDU表项; 为所述BPDU表项设置队列优先级; 将所述设置队列优先级的BPDU表项下发至所述转发芯片;所述BPDU表项用于将目的MAC地址匹配到所述BPDU表项中MAC地址的二层报文根据所述队列优先级添加至对应的报 文转发队列中。6. -种报文处理装置,应用于网络设备,其特征在于,所述装置包括: 策略生成单元,用于根据报文特征生成设有队列优先级的控制策略; 策略下发单元,用于将所述控制策略下发至所述转发芯片,以使所述转发芯片将命中 所述控制策略中报文特征的报文添加至与所设队列优先级对应的报文转发队列中; 报文接收单元,用于接收所述转发芯片根据所述报文转发队列的队列优先级顺序上送 的报文。7. 如权利要求6所述的装置,其特征在于,所述装置还包括: 权重设置单元,用于为每个队列优先级对应的报文转发队列设置权重值,以使所述转 发芯片根据所述权重值确定每个报文转发队列在每个上送周期所上送报文的报文数量; 所述报文接收单元具体用于: 在每个所述上送周期,接收所述转发芯片根据所述报文转发队列的队列优先级从高到 低的顺序,按照确定的每个报文转发队列的报文数量上送报文。8. 如权利要求6所述的装置,其特征在于,所述报文特征为与开启的寄存器关联的报 文特征,所述策略生成单元具体包括: 寄存器控制模块,用于为与开启的寄存器关联的报文特征生成设置有对应的队列优先 级控制表项。9. 如权利要求6所述的装置,其特征在于,所述报文特征包括协议端口号、协议版本类 型、传输协议类型以及IP地址的至少一项;所述策略生成单元具体包括: ACL生成模块,用于根据所述协议端口号、协议版本类型、传输协议类型以及IP地址的 至少一项生成具有队列优先级的访问控制列表ACL。10. 如权利要求6所述的装置,其特征在于,所述报文特征为MAC地址,所述策略生成单 元具体包括: BPDU表项生成模块,用于根据与指定协议类型对应的MAC地址生成网桥协议数据单元BPDU表项,并为所述BPDU表项设置队列优先级;将所述设置队列优先级的BPDU表项下发 至所述转发芯片;所述BPDU表项用于将目的MAC地址匹配到所述BPDU表项中MAC地址的 二层报文根据所述队列优先级添加至对应的报文转发队列中。11. 一种网络设备,其特征在于,所述网络设备包括转发芯片以及中央处理器CPU,其 中: CPU,用于根据与协议类型对应的报文特征生成设有队列优先级的控制策略,将所述控 制策略下发至所述转发芯片,并接收所述转发芯片根据所述报文转发队列的队列优先级顺 序上送的报文。 转发芯片,用于接收CPU下发的控制策略,在接收到报文时,将所述报文与预存的控制 策略进行匹配,并将命中所述控制策略中报文特征的报文添加至与所设队列优先级对应的 报文转发队列中。
【专利摘要】本发明提供一种报文处理方法,所述方法包括:根据报文特征生成设有队列优先级的控制策略;将所述控制策略下发至转发芯片,以使所述转发芯片将命中所述控制策略中报文特征的报文添加至与所设队列优先级对应的报文转发队列中;接收所述转发芯片根据所述报文转发队列的队列优先级顺序上送的报文。从而优先处理队列优先级高的报文转发队列中的重要报文,避免造成网络故障。
【IPC分类】H04L12/813, H04L12/865
【公开号】CN105490961
【申请号】CN201410481887
【发明人】王富涛
【申请人】杭州迪普科技有限公司
【公开日】2016年4月13日
【申请日】2014年9月19日
【技术领域】
[0001] 本发明涉及通信技术领域,尤其涉及一种报文处理方法、装置W及网络设备。
【背景技术】
[0002] 随着网络通信技术的进步,各种网络攻击引发的网络安全问题日益受到人们的关 注。目前网络设备在遭受大量需上送CPU报文(包括组播报文W及上送本机的单播报文) 的攻击时,由于CPU的处理能力有限,面对大量的攻击报文时,报文转发队列就会因为CPU 不能及时处理而阻塞,导致后续上送CPU的报文被丢弃。如果丢弃的报文为协议报文或是 管理报文,就可能造成协议中断和设备无法管理的现象。
【发明内容】
[0003] 有鉴于此,本发明提供了报文处理方法W及装置来解决上述问题。
[0004] 本发明提供一种报文处理方法,应用于网络设备,所述方法包括:
[0005] 根据报文特征生成设有队列优先级的控制策略;
[0006] 将所述控制策略下发至转发芯片,W使所述转发芯片将命中所述控制策略中报文 特征的报文添加至与所设队列优先级对应的报文转发队列中;
[0007] 接收所述转发芯片根据所述报文转发队列的队列优先级顺序上送的报文。
[0008] 本发明还提供一种报文处理装置,应用于网络设备,所述装置包括:
[0009] 策略生成单元,用于根据报文特征生成设有队列优先级的控制策略;
[0010] 策略下发单元,用于将所述控制策略下发至所述转发芯片,W使所述转发芯片将 命中所述控制策略中报文特征的报文添加至与所设队列优先级对应的报文转发队列中;
[0011] 报文接收单元,用于接收所述转发芯片根据所述报文转发队列的队列优先级顺序 上送的报文。
[0012] 本发明还提供一种网络设备,所述网络设备包括转发芯片W及中央处理器CPU,其 中:
[0013] CPU,用于根据与协议类型对应的报文特征生成设有队列优先级的控制策略,将所 述控制策略下发至所述转发芯片,并接收所述转发芯片根据所述报文转发队列的队列优先 级顺序上送的报文。
[0014] 转发芯片,用于接收CPU下发的控制策略,在接收到报文时,将所述报文与预存的 控制策略进行匹配,并将命中所述控制策略中报文特征的报文添加至与所设队列优先级对 应的报文转发队列中。
[0015] 本发明提供的报文处理方法,其根据报文特征生成设有队列优先级的控制策略, 并将所述控制策略下发至所述转发芯片,W使所述转发芯片将命中所述控制策略中报文特 征的报文添加至与所设队列优先级对应的报文转发队列中,从而优先处理队列优先级高的 报文转发队列中的重要报文,避免造成网络故障。
【附图说明】
[0016] 图1是本发明实施例中报文处理方法流程图;
[0017] 图2是本发明实施例中报文处理装置所在网络设备硬件架构示意图;
[0018] 图3是本发明实施例中报文处理装置逻辑结构示意图;
[0019] 图4为本发明实施例中策略生成单元逻辑结构示意图;
[0020] 图5为本发明实施例中的网络设备。
【具体实施方式】
[0021] 现有技术中,由于部分协议报文W及部分需进行应用处理的数据报文均会上送中 央处理器CPU处理,一些攻击者则利用向CPU上送大量的协议报文W进行报文攻击。CPU在 遭受大量报文的攻击时,极有可能就会因为不能及时处理而阻塞,导致后续上送CPU的报 文被丢弃,若丢弃的报文为管理报文或者其他重要报文,则会导致设备无法管理或者协议 断开等现象。目前的解决方法多通过对各个协议或端口进行限速来减少上送CPU的报文数 量。然而,限速只是根据协议和端口减少了上送CPU的报文数量,在报文种类较多时,仍无 法达到有较好的效果。
[0022] 为避免类似现象的发生,本发明所提供的报文处理方法根据与协议类型对应的报 文特征生成设有队列优先级的控制策略,将所述控制策略下发至所述转发芯片,W使所述 转发芯片将命中所述控制策略中报文特征的报文添加至与所设队列优先级对应的报文转 发队列中,并接收所述转发芯片根据所述报文转发队列的队列优先级顺序上送的报文。
[0023] 在本发明实施例中,报文处理方法的处理流程如图1所示,该方法应用在网络设 备上,该网络设备可W是交换机或路由器等,其中该报文处理方法包括W下步骤:
[0024] 步骤101,根据报文特征生成设有队列优先级的控制策略;
[00巧]本发明实施方式提供的报文处理方法,首先检查CPU协议找中协议模块的开启状 况,获取协议模块已开启的协议类型对应报文特征,该报文特征可W根据报文类型的不同 分为多种,例如:协议端口号、协议版本类型、传输协议类型、报文IP地址等。
[0026] 然后,根据获取的报文特征的至少一项生成控制策略。由于各协议的报文类型不 同,其生成控制策略时所使用的报文特征也不尽相同。例如对于LDP协议的组播报文生成 控制策略时,其使用的报文特征可W是协议端口号、协议版本类型、该组播IP地址W及传 输协议类型;对于LDP协议的单播报文生成控制策略时,所使用的报文特征则可W为协议 端口号W及协议版本类型等。
[0027] 最后,根据所述报文特征生成具有队列优先级的控制策略。该控制策略可W为多 种形式,例如:
[002引 1、所述控制策略可W为ACL。
[0029] 在所述控制策略为A化时,根据每个协议类型报文的不同获取不同的报文特征, 对获取的报文特征设置对应的ACL优先级W及队列优先级,并根据该报文特征生成一条或 多条设有A化优先级W及队列优先级的ACL。
[0030] 例如,协议找内已开启协议模块的协议为LDP,针对于LDP协议的组播报文生 成A化时所依据的报文特征为组播IP地址、传输协议类型、协议版本类型W及协议端口 号等。假设该组播IP地址为224. 0. 0. 2,传输协议类型为UDP,协议版本类型为IPV4, 协议端口号分别是源端口号646、目的端口号646 ;可将该条A化优先级设为5 ;队列优 先级设为5。郝么该条A化则为A化优先级为5,队列优先级为5的A化,即;IP地址为 224. 0. 0. 2+UDP+646+IPV4 的 A化。
[0031] 针对于LDP协议的单播报文生成A化时所依据的报文特征则可W为协议端口号W 及协议版本类型。例如LDP单播报文的协议版本类型为IPV4,协议端口号在不同情况下可 W分别是源端口号646,或者目的端口号646 ;郝么则可W根据该两种情况为该LDP协议的 单播报文生成两条A化优先级为4,队列优先级为4的A化,即源端口为646+IPV4巧CP的 A化W及目的端口为646+IPV4+TCP的A化。
[0032] 除此之外,还可W使用A化控制其他多种协议的报文,例如,RIP、RI化g、BGP、PIM 等协议的报文。在对不同协议的报文生成A化时,可根据上述示例的原则选取不同的报文 特征生成ACL,在此不再一一赏述。
[0033] 在根据各种协议类型对应的报文特征生成A化后,转发芯片中会保存多条不同的 A化,为各A化设置A化优先级可W在转发芯片接收到报文后,按照A化优先级的顺序由高 至低的匹配各条ACL。
[0034] 2.所述控制策略可W为与开启的寄存器关联的报文特征生成设置有对应的队列 优先级控制表项。
[0035] 本发明实施例中,各开启的寄存器可W关联指定的协议类型或是报文特征,并且 可W为关联的协议类型或是报文特征的寄存器设置对应的队列优先级。在转发芯片接收的 报文匹配到与开启的寄存器对应的协议类型或者报文特征时,将该报文添加至与对应的队 列优先级对应的报文转发队列中。
[0036] 例如,寄存器关联的报文特征可W是判断报文为组播报文的特征(目的MAC地址 为全F,或目的MC地址的第40比特位的值为"1")等;寄存器关联的协议类型可W是专口 有寄存器控制的协议,比如解析协议ARP、动态主机配置协议DHCP、组播侦听发现协议MLD 等。
[0037] 假设,若要对与DHCP协议关联的寄存器设置队列优先级时,首先检查该寄存器的 开启情况,在寄存器开启时,根据具体需求对该寄存器设置队列优先级。
[0038] 3.所述控制策略可W为BPDU表项。
[0039] 第二层的攻击是网络安全攻击者最容易实施,也是最不容易被发现的安全威胁, 仅仅基于认证(如IE邸802. lx)的安全措施是无法防止来自网络第二层的安全攻击。为 此,本发明实施例根据协议的目的MAC地址生成BPDU表项来控制上送CPU的二层报文数 量,W避免二层报文的攻击。
[0040] 本发明实施例中,ISIS、STP、FRRP、GVRP等协议的报文均可W由BPDU表项控制。 在具体实现中, 若识别出由BPDU表项控制的协议在CPU的协议找中已运行,即可根据协议 的MAC地址生成BPDU表项,并对该BPDU表项设置对应的队列优先级。
[0041] W IS-IS协议为例,若识别出所述CPU中的IS-IS协议已运行,即可根据IS-IS协 议的报文特征MAC地址生成BPDU表项。例如IS-IS协议的MAC地址为0X01,0X80,0XC2, 0X00,0X14 ;0X01,0X80,0XC2,0X00,0X15 ;0X01,0X80,0X2B,0X00,0X05。郝么其该 BPDU 表项 可W为:
[0042]
[0043] 表 1
[0044] 表1示出根据开启协议模块协议的MAC地址建立的BPDU表项,仅是为进一步理解 本发明的示例,并不用于限制本发明实施例中BPDU表项的具体内容。在对IS-IS协议生成 BPDU表项后,为该BPDU表项设置对应的队列优先级,假设为其设置的队列优先级为7,郝么 在转发芯片接收到目的MAC地址与表1匹配的二层报文时,则将该二层报文根据该BPDU表 项对应队列优先级7添加至队列优先级为7的报文转发队列中。
[0045] 另外,本发明实施例对于CPU协议找内未运行的协议,即协议模块未开启的协议, 本发明实施例中可W不为其生成A化或者BPDU表项,转发芯片在接收到与未运行的协议相 关的报文时,可W将该报文添加至队列优先级最低的报文转发队列中。
[0046] 综上所述,各种控制策略W及对应的报文特征可W如下表所示:
[0047]
[0048] 表 2
[0049] 表2示出各控制策略W及报文特征的对应关系,仅是为进一步理解本发明的示 例,并不用于限制本发明实施例中各控制策略W及报文特征的对应关系的具体内容。
[0050] 步骤102,将所述控制策略下发至所述转发芯片,W使所述转发芯片将命中所述控 制策略中报文特征的报文添加至与所设队列优先级对应的报文转发队列中。
[0051] 根据上述生成控制策略后,将所述控制策略下发至所述转发芯片,使得转发芯片 在接收到报文后,将报文与各控制策略进行匹配,并将匹配所述控制策略中报文特征的报 文根据与其对应的队列优先级添加至对应的报文转发队列中。
[0052]
[0053] 表 3
[0054] 表3示出报文特征匹配项与各队列优先级的对应关系表项,仅是为进一步理解本 发明的示例,并不用于限制本发明实施例中报文特征匹配项与各队列优先级的对应关系表 项的具体内容。
[0055] 转发芯片在接收到外部设备发送的报文后,解析出报文的报文特征,并将报文的 报文特征与表3的报文转发队列中的各报文特征进行匹配,在匹配到报文转发队列的某条 报文特征时,将该报文根据对应的队列优先级添加至对应队列优先级的报文转发队列中。 转发芯片根据各报文转发队列的队列优先级顺序由高至低的将报文上送至CPU处理。送样 一来,便可W保证队列优先级高的报文转发队列中的重要报文可W优先上送CPU处理。其 中,表3中所示的队列限速表示将对应的报文转发队列中的报文向CPU上送时的最高速率, 该初始的队列限速可W由开发人员根据测试结果而定。
[0056] 本发明实施例中,虽然可W通过控制策略中将重要的报文添加至队列优先级高的 报文转发队列中,使得转发芯片将优先级高的重要报文优先上送至CPU处理。但是,若攻击 者发送大量的队列优先级高的报文对设备进行攻击时,仍难W避免报文转发队列被大量报 文阻塞,导致优先级较低的报文得不到处理。为此,本发明可已在将控制策略下发至转发芯 片之前为所述队列优先级对应的报文转发队列设置权重值,权重值为各报文转发队列发送 报文的比重,W使转发芯片根据所述权重值确定每个报文转发队列在每个上送周期所上送 报文的报文数量。
[0057] 另外,转发芯片还可W使用所述权重值按照WRR(Wei曲ted Round Robin,加权循 环调度算法)、肿'Q(Wei曲ted Fair如euing,加权公平排队)、DRR值eficit Round Robin,亏 空轮询算法)等调度算法计算出为所述报文转发队列分配的队列速率,保证报文转发队列 中的报文向CPU上送时的最高速率不超过计算出的队列限速值。
[005引 W下W使用所述权重值按照WRR调度算法为例计算队列速率。
[0059] 具体地,W转发芯片端口有8个报文转发队列为例,WRR可为每个报文转发队列 (queue?~queueO)配置一个权重值,与queue?~queueO对应的权重值依次为w7、w6、w5、 w4、w3、w2、wl、w0。假设转发芯片的端口总带宽为100 Mbps,为各报文转发队列配置的权重 值为5、5、3、3、1、1、1、1 (依次对应w7、w6、w5、w4、w3、w2、wl、wO)。郝么转发芯片首先根据 所述权重值确定出每个报文转发队列在每个上送周期所上送报文的报文数量,再在每个所 述上送周期,根据所述报文转发队列的队列优先级从高到低的顺序,按照确定的每个报文 转发队列的报文数量将报文上次至CPU。其中所述周期在每个所述上送周期,根据所述报文 转发队列的队列优先级从高到低的顺序,按照确定的每个报文转发队列的报文数量将报文 上次至CPU可W为多种方式,例如:
[0060] 第一种方式;根据分配的权重值确定出在每个上送周期内queue? W及queue6的 上送报文数量分别为5, queues W及queue4上送报文数量为3, queue3-queue 0上送报文 数量为1。本实施方式可W将所述上送周期分为五轮依次上送,每一轮的各个报文转发队列 中最多上送一个报文,并根据各报文转发队列的队列优先级由高至低地轮询上送至CPU,如 表4所示:
[0061]
[0062] 表 4
[0063] 表4示出在上送周期中的每一轮可上送报文的报文转发队列,其仅是为进一步理 解本发明的示例,并不用于限制本发明实施例中在上送周期中的每一轮可上送报文的报文 转发队列的具体内容。
[0064] 第二种方式;根据分配的权重值确定出在每个上送周期内queue? W及queues的 上送报文数量分别为5, queues W及queue4上送报文数量为3, queue3-queue 0上送报文 数量为1。郝么本实施方式可W在所述上送周期根据各报文转发队列的队列优先级由高至 低地依次上送至CPU,即根据所述权重值将队列优先级最高的queue?中的5个报文发送成 功后,再发送队列优先级次高的queues中的5个报文,并W此循环。
[006引最后使用WRR计算出为各报文转发队列分配的队列限速。其中,为w7、w6分别分 配的带宽为:
[0066] 100Mbps巧/(5+5+3+3+1+1+1+1) = 25Mbit/s
[0067] 为w5、w4分别分配的带宽为:
[0068] 100Mbps*3/(5+5+3+3+l+l+l+l) = 15Mbit/s
[0069] 为w3、w2、wl、w0分别分配的带宽为:
[0070] 100Mbps*!/(5+5+3+3+1+1+1+1) = 5Mbit/s
[0071] 在计算出为各报文转发队列分配的带宽后,使用该计算出的为各报文转发队列分 配的带宽更新表4所示的队列限速。并在根据所述队列优先级顺序将各报文转发队列中对 应报文数量的报文轮询上送至CPU时,其各报文转发队列中报文上送的最高速率不得超过 计算出的队列限速。
[0072] 在将报文上送CPU的过程中,如果某个报文转发队列为空,郝么可W立即由下一 个报文转发队列上送报文,送样带宽资源即可W得到充分的利用,又可W保证每个报文转 发队列都可W获得一定的服务时间W及一定的带宽,避免在队列优先级高的报文转发队列 拥塞或采用SP调度时,队列优先级低的报文转发队列中的报文长时间得不到服务的缺点。
[0073] 步骤103,接收所述转发芯片根据所述报文转发队列的队列优先级顺序上送的报 文。
[0074] 由于转发芯片发送的报文是根据各报文转发队列的队列优先级顺序上送的,因此 在每个所述上送周期,CPU可接收转发芯片根据所述报文转发队列的队列优先级从高到低 的顺序,按照确定的每个报文转发队列的报文数量上送报文。在CPU接收到转发芯片发送 的报文时,根据接收的报文依次进行处理,即可保证首先处理的报文为需优先处理的重要 报文,还避免了因为报文转发队列阻塞而丢弃重要的报文,造成网络故障等现象。
[00巧]本发明还提供了一种应用于网络设备的报文处理装置,请参考图2,为本发明报文 处理装置所在网络设备的硬件架构示意图,其基本硬件环境包括CPU、内存、转发芯片、非易 失性存储器W及其他硬件。图3为该报文处理装置的逻辑结构示意图,其从本质上说是一 个 逻辑装置。在本实施方式中,W软件实现为例,该报文处理装置在逻辑层面上包括策略生 成单元301、策略下发单元302 W及报文接收单元303。其中:
[0076] 策略生成单元301,用于根据报文特征生成设有队列优先级的控制策略;
[0077] 策略下发单元302,用于将所述控制策略下发至所述转发芯片,W使所述转发芯 片将命中所述控制策略中报文特征的报文添加至与所设队列优先级对应的报文转发队列 中;
[0078] 报文接收单元303,用于接收所述转发芯片根据所述报文转发队列的队列优先级 顺序上送的报文。
[0079] 进一步地,所述报文处理装置还可W包括权重设置单元304,用于为每个队列优先 级对应的报文转发队列设置权重值,W使所述转发芯片根据所述权重值确定每个报文转发 队列在每个上送周期所上送报文的报文数量。
[0080] 进一步地,请参考图4,所述报文特征为与开启的寄存器关联的报文特征,所述策 略生成单元301具体可W包括寄存器控制模块3011,用于为与开启的寄存器关联的报文特 征设置对应的队列优先级,W使转发芯片在接收的报文匹配到与开启的寄存器关联的报文 特征时,将所述报文添加至与该报文特征对应队列优先级的报文转发队列中。
[0081] 进一步地,所述报文特征包括协议端口号、协议版本类型、传输协议类型W及IP 地址的至少一项;所述策略生成单元301具体可W包括A化生成模块3012,用于根据所述 协议端口号、协议版本类型、传输协议类型W及IP地址的至少一项生成具有队列优先级的 访问控制列表ACL。
[0082] 进一步地,所述报文特征为MAC地址,所述策略生成单元301具体可W包括BPDU 表项生成模块3013,用于根据与指定协议类型对应的MAC地址生成网桥协议数据单元BPDU 表项;为所述BPDU表项设置队列优先级;将所述设置队列优先级的BPDU表项下发至所述 转发芯片;所述BPDU表项用于将目的MAC地址匹配到所述BPDU表项中MAC地址的二层报 文根据所述队列优先级添加至对应的报文转发队列中。
[0083] 如图5所示,本发明还提供了一种网络设备,所述网络设备包括转发芯片W及中 央处理器CPU,其中:
[0084] CPU401,用于根据与协议类型对应的报文特征生成设有队列优先级的控制策略, 将所述控制策略下发至所述转发芯片,并接收所述转发芯片根据所述报文转发队列的队列 优先级顺序上送的报文。
[0085] 转发芯片402,用于接收CPU下发的控制策略,在接收到报文时,将所述报文与预 存的控制策略进行匹配,并将命中所述控制策略中报文特征的报文添加至与所设队列优先 级对应的报文转发队列中。
[0086] 从W上各种方法和装置的实施方式中可W看出,与现有技术相比,本发明所提供 的报文处理方法根据与协议类型对应的报文特征生成设有队列优先级的控制策略,将所述 控制策略下发至所述转发芯片,W使所述转发芯片将命中所述控制策略中报文特征的报文 添加至与所设队列优先级对应的报文转发队列中,并接收所述转发芯片根据所述报文转发 队列的队列优先级顺序上送的报文。可优先处理队列优先级高的报文转发队列中的重要报 文,避免造成网络故障。另外本发明还通过为各报文转发队列设置权重值来避免攻击者利 用队列优先级高的报文对设备进行的攻击。
[0087] W上所述仅为本发明的较佳实施例而已,并不用W限制本发明,凡在本发明的精 神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
【主权项】
1. 一种报文处理方法,应用于网络设备,其特征在于,所述方法包括: 根据报文特征生成设有队列优先级的控制策略; 将所述控制策略下发至转发芯片,以使所述转发芯片将命中所述控制策略中报文特征 的报文添加至与所设队列优先级对应的报文转发队列中; 接收所述转发芯片根据所述报文转发队列的队列优先级顺序上送的报文。2. 如权利要求1所述的方法,其特征在于,在所述将控制策略下发至所述转发芯片之 前,所述方法还包括: 为每个队列优先级对应的报文转发队列设置权重值,以使所述转发芯片根据所述权重 值确定每个报文转发队列在每个上送周期所上送报文的报文数量; 所述接收转发芯片根据所述报文转发队列的队列优先级顺序上送的报文具体为: 在每个所述上送周期,接收所述转发芯片根据所述报文转发队列的队列优先级从高到 低的顺序,按照确定的每个报文转发队列的报文数量上送报文。3. 如权利要求1所述的方法,其特征在于,所述报文特征为与开启的寄存器关联的报 文特征,所述根据与协议类型对应的报文特征生成设有队列优先级的控制策略具体包括: 为与开启的寄存器关联的报文特征生成设置了对应的队列优先级的控制表项。4. 如权利要求1所述的方法,其特征在于,所述报文特征包括协议端口号、协议版本类 型、传输协议类型以及IP地址的至少一项;所述根据报文特征生成设有对应队列优先级的 控制策略具体包括: 根据所述协议端口号、协议版本类型、传输协议类型以及IP地址的至少一项生成具有 队列优先级的访问控制列表ACL。5. 如权利要求1所述的方法,其特征在于,所述报文特征为介质访问控制MAC地址,所 述根据报文特征生成设有对应队列优先级的控制策略具体包括: 根据与指定协议类型对应的MAC地址生成网桥协议数据单元BPDU表项; 为所述BPDU表项设置队列优先级; 将所述设置队列优先级的BPDU表项下发至所述转发芯片;所述BPDU表项用于将目的MAC地址匹配到所述BPDU表项中MAC地址的二层报文根据所述队列优先级添加至对应的报 文转发队列中。6. -种报文处理装置,应用于网络设备,其特征在于,所述装置包括: 策略生成单元,用于根据报文特征生成设有队列优先级的控制策略; 策略下发单元,用于将所述控制策略下发至所述转发芯片,以使所述转发芯片将命中 所述控制策略中报文特征的报文添加至与所设队列优先级对应的报文转发队列中; 报文接收单元,用于接收所述转发芯片根据所述报文转发队列的队列优先级顺序上送 的报文。7. 如权利要求6所述的装置,其特征在于,所述装置还包括: 权重设置单元,用于为每个队列优先级对应的报文转发队列设置权重值,以使所述转 发芯片根据所述权重值确定每个报文转发队列在每个上送周期所上送报文的报文数量; 所述报文接收单元具体用于: 在每个所述上送周期,接收所述转发芯片根据所述报文转发队列的队列优先级从高到 低的顺序,按照确定的每个报文转发队列的报文数量上送报文。8. 如权利要求6所述的装置,其特征在于,所述报文特征为与开启的寄存器关联的报 文特征,所述策略生成单元具体包括: 寄存器控制模块,用于为与开启的寄存器关联的报文特征生成设置有对应的队列优先 级控制表项。9. 如权利要求6所述的装置,其特征在于,所述报文特征包括协议端口号、协议版本类 型、传输协议类型以及IP地址的至少一项;所述策略生成单元具体包括: ACL生成模块,用于根据所述协议端口号、协议版本类型、传输协议类型以及IP地址的 至少一项生成具有队列优先级的访问控制列表ACL。10. 如权利要求6所述的装置,其特征在于,所述报文特征为MAC地址,所述策略生成单 元具体包括: BPDU表项生成模块,用于根据与指定协议类型对应的MAC地址生成网桥协议数据单元BPDU表项,并为所述BPDU表项设置队列优先级;将所述设置队列优先级的BPDU表项下发 至所述转发芯片;所述BPDU表项用于将目的MAC地址匹配到所述BPDU表项中MAC地址的 二层报文根据所述队列优先级添加至对应的报文转发队列中。11. 一种网络设备,其特征在于,所述网络设备包括转发芯片以及中央处理器CPU,其 中: CPU,用于根据与协议类型对应的报文特征生成设有队列优先级的控制策略,将所述控 制策略下发至所述转发芯片,并接收所述转发芯片根据所述报文转发队列的队列优先级顺 序上送的报文。 转发芯片,用于接收CPU下发的控制策略,在接收到报文时,将所述报文与预存的控制 策略进行匹配,并将命中所述控制策略中报文特征的报文添加至与所设队列优先级对应的 报文转发队列中。
【专利摘要】本发明提供一种报文处理方法,所述方法包括:根据报文特征生成设有队列优先级的控制策略;将所述控制策略下发至转发芯片,以使所述转发芯片将命中所述控制策略中报文特征的报文添加至与所设队列优先级对应的报文转发队列中;接收所述转发芯片根据所述报文转发队列的队列优先级顺序上送的报文。从而优先处理队列优先级高的报文转发队列中的重要报文,避免造成网络故障。
【IPC分类】H04L12/813, H04L12/865
【公开号】CN105490961
【申请号】CN201410481887
【发明人】王富涛
【申请人】杭州迪普科技有限公司
【公开日】2016年4月13日
【申请日】2014年9月19日
最新回复(0)