報文處理方法�����、裝置以及網(wǎng)絡(luò)設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種報文處理方法����、裝置W及網(wǎng)絡(luò)設(shè)備。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)通信技術(shù)的進步����,各種網(wǎng)絡(luò)攻擊引發(fā)的網(wǎng)絡(luò)安全問題日益受到人們的關(guān) 注。目前網(wǎng)絡(luò)設(shè)備在遭受大量需上送CPU報文(包括組播報文W及上送本機的單播報文) 的攻擊時��,由于CPU的處理能力有限�����,面對大量的攻擊報文時�����,報文轉(zhuǎn)發(fā)隊列就會因為CPU 不能及時處理而阻塞�����,導(dǎo)致后續(xù)上送CPU的報文被丟棄�。如果丟棄的報文為協(xié)議報文或是 管理報文,就可能造成協(xié)議中斷和設(shè)備無法管理的現(xiàn)象�。
【發(fā)明內(nèi)容】
[0003] 有鑒于此,本發(fā)明提供了報文處理方法W及裝置來解決上述問題���。
[0004] 本發(fā)明提供一種報文處理方法��,應(yīng)用于網(wǎng)絡(luò)設(shè)備�,所述方法包括:
[0005] 根據(jù)報文特征生成設(shè)有隊列優(yōu)先級的控制策略��;
[0006] 將所述控制策略下發(fā)至轉(zhuǎn)發(fā)芯片�,W使所述轉(zhuǎn)發(fā)芯片將命中所述控制策略中報文 特征的報文添加至與所設(shè)隊列優(yōu)先級對應(yīng)的報文轉(zhuǎn)發(fā)隊列中;
[0007] 接收所述轉(zhuǎn)發(fā)芯片根據(jù)所述報文轉(zhuǎn)發(fā)隊列的隊列優(yōu)先級順序上送的報文�����。
[0008] 本發(fā)明還提供一種報文處理裝置�,應(yīng)用于網(wǎng)絡(luò)設(shè)備,所述裝置包括:
[0009] 策略生成單元�,用于根據(jù)報文特征生成設(shè)有隊列優(yōu)先級的控制策略;
[0010] 策略下發(fā)單元���,用于將所述控制策略下發(fā)至所述轉(zhuǎn)發(fā)芯片�,W使所述轉(zhuǎn)發(fā)芯片將 命中所述控制策略中報文特征的報文添加至與所設(shè)隊列優(yōu)先級對應(yīng)的報文轉(zhuǎn)發(fā)隊列中;
[0011] 報文接收單元�,用于接收所述轉(zhuǎn)發(fā)芯片根據(jù)所述報文轉(zhuǎn)發(fā)隊列的隊列優(yōu)先級順序 上送的報文。
[0012] 本發(fā)明還提供一種網(wǎng)絡(luò)設(shè)備���,所述網(wǎng)絡(luò)設(shè)備包括轉(zhuǎn)發(fā)芯片W及中央處理器CPU,其 中:
[0013] CPU,用于根據(jù)與協(xié)議類型對應(yīng)的報文特征生成設(shè)有隊列優(yōu)先級的控制策略�,將所 述控制策略下發(fā)至所述轉(zhuǎn)發(fā)芯片�,并接收所述轉(zhuǎn)發(fā)芯片根據(jù)所述報文轉(zhuǎn)發(fā)隊列的隊列優(yōu)先 級順序上送的報文。
[0014] 轉(zhuǎn)發(fā)芯片���,用于接收CPU下發(fā)的控制策略��,在接收到報文時�,將所述報文與預(yù)存的 控制策略進行匹配����,并將命中所述控制策略中報文特征的報文添加至與所設(shè)隊列優(yōu)先級對 應(yīng)的報文轉(zhuǎn)發(fā)隊列中。
[0015] 本發(fā)明提供的報文處理方法�����,其根據(jù)報文特征生成設(shè)有隊列優(yōu)先級的控制策略��, 并將所述控制策略下發(fā)至所述轉(zhuǎn)發(fā)芯片�����,W使所述轉(zhuǎn)發(fā)芯片將命中所述控制策略中報文特 征的報文添加至與所設(shè)隊列優(yōu)先級對應(yīng)的報文轉(zhuǎn)發(fā)隊列中�,從而優(yōu)先處理隊列優(yōu)先級高的 報文轉(zhuǎn)發(fā)隊列中的重要報文,避免造成網(wǎng)絡(luò)故障�。
【附圖說明】
[0016] 圖1是本發(fā)明實施例中報文處理方法流程圖;
[0017] 圖2是本發(fā)明實施例中報文處理裝置所在網(wǎng)絡(luò)設(shè)備硬件架構(gòu)示意圖�����;
[0018] 圖3是本發(fā)明實施例中報文處理裝置邏輯結(jié)構(gòu)示意圖�;
[0019] 圖4為本發(fā)明實施例中策略生成單元邏輯結(jié)構(gòu)示意圖;
[0020] 圖5為本發(fā)明實施例中的網(wǎng)絡(luò)設(shè)備�����。
【具體實施方式】
[0021] 現(xiàn)有技術(shù)中���,由于部分協(xié)議報文W及部分需進行應(yīng)用處理的數(shù)據(jù)報文均會上送中 央處理器CPU處理����,一些攻擊者則利用向CPU上送大量的協(xié)議報文W進行報文攻擊����。CPU在 遭受大量報文的攻擊時����,極有可能就會因為不能及時處理而阻塞����,導(dǎo)致后續(xù)上送CPU的報 文被丟棄,若丟棄的報文為管理報文或者其他重要報文��,則會導(dǎo)致設(shè)備無法管理或者協(xié)議 斷開等現(xiàn)象���。目前的解決方法多通過對各個協(xié)議或端口進行限速來減少上送CPU的報文數(shù) 量����。然而�,限速只是根據(jù)協(xié)議和端口減少了上送CPU的報文數(shù)量,在報文種類較多時��,仍無 法達到有較好的效果����。
[0022] 為避免類似現(xiàn)象的發(fā)生,本發(fā)明所提供的報文處理方法根據(jù)與協(xié)議類型對應(yīng)的報 文特征生成設(shè)有隊列優(yōu)先級的控制策略�,將所述控制策略下發(fā)至所述轉(zhuǎn)發(fā)芯片,W使所述 轉(zhuǎn)發(fā)芯片將命中所述控制策略中報文特征的報文添加至與所設(shè)隊列優(yōu)先級對應(yīng)的報文轉(zhuǎn) 發(fā)隊列中��,并接收所述轉(zhuǎn)發(fā)芯片根據(jù)所述報文轉(zhuǎn)發(fā)隊列的隊列優(yōu)先級順序上送的報文。
[0023] 在本發(fā)明實施例中��,報文處理方法的處理流程如圖1所示���,該方法應(yīng)用在網(wǎng)絡(luò)設(shè) 備上,該網(wǎng)絡(luò)設(shè)備可W是交換機或路由器等����,其中該報文處理方法包括W下步驟:
[0024] 步驟101,根據(jù)報文特征生成設(shè)有隊列優(yōu)先級的控制策略�����;
[00巧]本發(fā)明實施方式提供的報文處理方法�����,首先檢查CPU協(xié)議找中協(xié)議模塊的開啟狀 況���,獲取協(xié)議模塊已開啟的協(xié)議類型對應(yīng)報文特征�����,該報文特征可W根據(jù)報文類型的不同 分為多種���,例如:協(xié)議端口號����、協(xié)議版本類型���、傳輸協(xié)議類型���、報文IP地址等。
[0026] 然后�����,根據(jù)獲取的報文特征的至少一項生成控制策略�����。由于各協(xié)議的報文類型不 同���,其生成控制策略時所使用的報文特征也不盡相同�����。例如對于LDP協(xié)議的組播報文生成 控制策略時���,其使用的報文特征可W是協(xié)議端口號�����、協(xié)議版本類型����、該組播IP地址W及傳 輸協(xié)議類型����;對于LDP協(xié)議的單播報文生成控制策略時�,所使用的報文特征則可W為協(xié)議 端口號W及協(xié)議版本類型等。
[0027] 最后���,根據(jù)所述報文特征生成具有隊列優(yōu)先級的控制策略�。該控制策略可W為多 種形式��,例如:
[002引 1�����、所述控制策略可W為ACL����。
[0029] 在所述控制策略為A化時�����,根據(jù)每個協(xié)議類型報文的不同獲取不同的報文特征��, 對獲取的報文特征設(shè)置對應(yīng)的ACL優(yōu)先級W及隊列優(yōu)先級�����,并根據(jù)該報文特征生成一條或 多條設(shè)有A化優(yōu)先級W及隊列優(yōu)先級的ACL��。
[0030] 例如�,協(xié)議找內(nèi)已開啟協(xié)議模塊的協(xié)議為LDP���,針對于LDP協(xié)議的組播報文生 成A化時所依據(jù)的報文特征為組播IP地址��、傳輸協(xié)議類型����、協(xié)議版本類型W及協(xié)議端口 號等�。假設(shè)該組播IP地址為224. 0. 0. 2,傳輸協(xié)議類型為UDP,協(xié)議版本類型為IPV4, 協(xié)議端口號分別是源端口號646����、目的端口號646 ;可將該條A化優(yōu)先級設(shè)為5 ;隊列優(yōu) 先級設(shè)為5。郝么該條A化則為A化優(yōu)先級為5,隊列優(yōu)先級為5的A化���,即���;IP地址為 224. 0. 0. 2+UDP+646+IPV4 的 A化。
[0031] 針對于LDP協(xié)議的單播報文生成A化時所依據(jù)的報文特征則可W為協(xié)議端口號W 及協(xié)議版本類型���。例如LDP單播報文的協(xié)議版本類型為IPV4,協(xié)議端口號在不同情況下可 W分別是源端口號646,或者目的端口號646 ;郝么則可W根據(jù)該兩種情況為該LDP協(xié)議的 單播報文生成兩條A化優(yōu)先級為4,隊列優(yōu)先級為4的A化,即源端口為646+IPV4巧CP的 A化W及目的端口為646+IPV4+TCP的A化��。
[0032] 除此之外�,還可W使用A化控制其他多種協(xié)議的報文,例如�����,RIP�����、RI化g���、BGP�、PIM 等協(xié)議的報文。在對不同協(xié)議的報文生成A化時�����,可根據(jù)上述示例的原則選取不同的報文 特征生成ACL���,在此不再一一賞述��。
[0033] 在根據(jù)各種協(xié)議類型對應(yīng)的報文特征生成A化后�����,轉(zhuǎn)發(fā)芯片中會保存多條不同的 A化�����,為各A化設(shè)置A化優(yōu)先級可W在轉(zhuǎn)發(fā)芯片接收到報文后����,按照A化優(yōu)先級的順序由高 至低的匹配各條ACL��。
[0034] 2.所述控制策略可W為與開啟的寄存器關(guān)聯(lián)的報文特征生成設(shè)置有對應(yīng)的隊列 優(yōu)先級控制表項。
[0035] 本發(fā)明實施例中����,各開啟的寄存器可W關(guān)聯(lián)指定的協(xié)議類型或是報文特征,并且 可W為關(guān)聯(lián)的協(xié)議類型或是報文特征的寄存器設(shè)置對應(yīng)的隊列優(yōu)先級��。在轉(zhuǎn)發(fā)芯片接收的 報文匹配到與開啟的寄存器對應(yīng)的協(xié)議類型或者報文特征時�����,將該報文添加至與對應(yīng)的隊 列優(yōu)先級對應(yīng)的報文轉(zhuǎn)發(fā)隊列中�����。
[0036] 例如�,寄存器關(guān)聯(lián)的報文特征可W是判斷報文為組播報文的特征(目的MAC地址 為全F,或目的MC地址的第40比特位的值為"1")等���;寄存器關(guān)聯(lián)的協(xié)議類型可W是專口 有寄存器控制的協(xié)議���,比如解析協(xié)議ARP���、動態(tài)主機配置協(xié)議DHCP、組播偵聽發(fā)現(xiàn)協(xié)議MLD 等。
[0037] 假設(shè)�,若要對與DHCP協(xié)議關(guān)聯(lián)的寄存器設(shè)置隊列優(yōu)先級時,首先檢查該寄存器的 開啟情況�,在寄存器開啟時,根據(jù)具體需求對該寄存器設(shè)置隊列優(yōu)先級�����。
[0038] 3.所述控制策略可W為BPDU表項�。
[0039] 第二層的攻擊是網(wǎng)絡(luò)安全攻擊者最容易實施,也是最不容易被發(fā)現(xiàn)的安全威脅�����, 僅僅基于認證(如IE邸802. lx)的安全措施是無法防止來自網(wǎng)絡(luò)第二層的安全攻擊��。為 此���,本發(fā)明實施例根據(jù)協(xié)議的目的MAC地址生成BPDU表項來控制上送CPU的二層報文數(shù) 量����,W避免二層報文的攻擊����。
[0040] 本發(fā)明實施例中�,ISIS���、STP��、FRRP��、GVRP等協(xié)議的報文均可W由BPDU表項控制�。 在具體實現(xiàn)中����,