提升網(wǎng)絡(luò)防護(hù)設(shè)備吞吐性能的數(shù)據(jù)包轉(zhuǎn)發(fā)方法
【專利摘要】本發(fā)明公開了一種提升網(wǎng)絡(luò)防護(hù)設(shè)備吞吐性能的數(shù)據(jù)包轉(zhuǎn)發(fā)方法,網(wǎng)絡(luò)防護(hù)設(shè)備接收到鏈接內(nèi)若干個數(shù)據(jù)包后����,對序號小于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù)包進(jìn)行規(guī)則檢測����,當(dāng)所述數(shù)據(jù)包無規(guī)則匹配時,將所述數(shù)據(jù)包按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目的設(shè)備��,同時將所述數(shù)據(jù)包所在鏈接的連接信息記錄到連接記錄表內(nèi)�;對序號大于等于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù)包根據(jù)讀取所在鏈接的連接記錄表內(nèi)的連接信息進(jìn)行轉(zhuǎn)發(fā)。本發(fā)明能夠有效提高網(wǎng)絡(luò)防護(hù)設(shè)備的吞吐性能�����,大大降低了包轉(zhuǎn)發(fā)的時延�����,在服務(wù)器防護(hù)系統(tǒng)的應(yīng)用中,提高服務(wù)器防護(hù)系統(tǒng)的吞吐性能同時不影響其現(xiàn)有的防護(hù)功能����。
【專利說明】
提升網(wǎng)絡(luò)防護(hù)設(shè)備吞吐性能的數(shù)據(jù)包轉(zhuǎn)發(fā)方法
技術(shù)領(lǐng)域
[0001] 本發(fā)明屬于網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)技術(shù)領(lǐng)域,具體涉及一種提升網(wǎng)絡(luò)防護(hù)設(shè)備吞吐性能 的數(shù)據(jù)包轉(zhuǎn)發(fā)方法�����。
【背景技術(shù)】
[0002] 隨著Internet的日益普及�,內(nèi)部網(wǎng)用戶訪問Internet的需求在不斷增加,一些企 業(yè)也需要對外提供諸如W醫(yī)頁面瀏覽�����、FTP文件傳輸����、DNS域名解析等服務(wù),這些因素會導(dǎo)致 網(wǎng)絡(luò)流量的急劇增加�����,而網(wǎng)絡(luò)防護(hù)設(shè)備作為內(nèi)外網(wǎng)之間的數(shù)據(jù)通道���,如果吞吐量太小�����,就會 成為網(wǎng)絡(luò)瓶頸��,給整個網(wǎng)絡(luò)的傳輸效率帶來負(fù)面影響�����。因此���,考察網(wǎng)絡(luò)防護(hù)設(shè)備吞吐性能有 助于我們更好的評價其性能表現(xiàn)���。這也是測量網(wǎng)絡(luò)防護(hù)設(shè)備性能的重要指標(biāo)�����。
[0003] 吞吐性能的高低主要由網(wǎng)絡(luò)防護(hù)設(shè)備的網(wǎng)卡���、CPU性能����、及防護(hù)規(guī)則集的復(fù)雜度和 執(zhí)行效率決定��,尤其是防護(hù)規(guī)則集的復(fù)雜度和執(zhí)行效率,會使網(wǎng)絡(luò)設(shè)備防護(hù)系統(tǒng)進(jìn)行大量 運算����,通信量大打折扣。因此����,大多數(shù)網(wǎng)絡(luò)防護(hù)設(shè)備雖然號稱千兆、萬兆設(shè)備��,但由于其算法 依靠軟件實現(xiàn)��,通信量遠(yuǎn)遠(yuǎn)沒有達(dá)到千兆��、萬兆�,實際可能只有10-20%的流量。
[0004] 因此���,在不影響網(wǎng)絡(luò)防護(hù)設(shè)備防護(hù)功能的前提下��,提升網(wǎng)絡(luò)防護(hù)設(shè)備吞吐性能是 至關(guān)重要的�,然而對于網(wǎng)絡(luò)防護(hù)設(shè)備吞吐性能的測試����,常用64字節(jié)的數(shù)據(jù)包(最小包)進(jìn)行 測試����,小包處理速度的快慢決定于設(shè)備吞吐性能的好壞�����。
【發(fā)明內(nèi)容】
[0005] 有鑒于此��,本發(fā)明的主要目的在于提供一種提升網(wǎng)絡(luò)防護(hù)設(shè)備吞吐性能的數(shù)據(jù)包 轉(zhuǎn)發(fā)方法�����。
[0006]為達(dá)到上述目的����,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的: 本發(fā)明公開了一種提升網(wǎng)絡(luò)防護(hù)設(shè)備吞吐性能的數(shù)據(jù)包轉(zhuǎn)發(fā)方法,該方法為:網(wǎng)絡(luò)防 護(hù)設(shè)備接收到鏈接內(nèi)若干個數(shù)據(jù)包后���,對序號小于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù)包進(jìn)行規(guī)則檢測, 當(dāng)所述數(shù)據(jù)包無規(guī)則匹配時����,將所述數(shù)據(jù)包按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目的設(shè)備,同時將所 述數(shù)據(jù)包所在鏈接的連接信息記錄到連接記錄表內(nèi)����;對序號大于等于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù) 包根據(jù)讀取所在鏈接的連接記錄表內(nèi)的連接信息進(jìn)行轉(zhuǎn)發(fā)��。
[0007] 上述方案中�,所述對序號小于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù)包進(jìn)行規(guī)則檢測��,當(dāng)所述數(shù)據(jù) 包無規(guī)則匹配時����,將所述數(shù)據(jù)包按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目的設(shè)備,同時將所述數(shù)據(jù)包所 在鏈接的連接信息記錄到連接記錄表內(nèi)����,具體為:對第一個序號小于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù) 包進(jìn)行規(guī)則檢測,當(dāng)所述數(shù)據(jù)包無規(guī)則匹配時�����,將所述數(shù)據(jù)包按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目 的設(shè)備��,同時將所述數(shù)據(jù)包所在鏈接的連接信息記錄到連接記錄表內(nèi)���,對后續(xù)序號小于快 速轉(zhuǎn)發(fā)閾值的數(shù)據(jù)包���,直接按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目的設(shè)備��。
[0008] 上述方案中�����,該方法還包括:當(dāng)所述數(shù)據(jù)包有規(guī)則匹配時�����,丟失所述數(shù)據(jù)包所在的 鏈接���,不進(jìn)行轉(zhuǎn)發(fā)。
[0009] 上述方案中����,所述對序號大于等于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù)包根據(jù)讀取所在鏈接的連 接記錄表內(nèi)的連接信息進(jìn)行轉(zhuǎn)發(fā),具體為:確定當(dāng)前待轉(zhuǎn)發(fā)的數(shù)據(jù)包的序號大于等于快速 轉(zhuǎn)發(fā)閾值時����,所述網(wǎng)絡(luò)防護(hù)設(shè)備在連接記錄表內(nèi)查找所述當(dāng)前待轉(zhuǎn)發(fā)的數(shù)據(jù)包所在的鏈接 的連接信息,根據(jù)連接信息確定所述當(dāng)前待轉(zhuǎn)發(fā)的數(shù)據(jù)包需要快轉(zhuǎn)時���,調(diào)用發(fā)包函數(shù)進(jìn)行 快轉(zhuǎn)發(fā)包到目的設(shè)備;根據(jù)連接信息確定所述當(dāng)前待轉(zhuǎn)發(fā)的數(shù)據(jù)包需要傳統(tǒng)發(fā)包時,直接 按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目的設(shè)備����。
[0010] 上述方案中�,所述連接記錄表內(nèi)的連接信息包括源連接設(shè)備標(biāo)識����、目的連接設(shè)備 標(biāo)識以及是否快轉(zhuǎn)標(biāo)志。
[0011] 與現(xiàn)有技術(shù)相比�����,本發(fā)明的有益效果: 本發(fā)明能夠有效提高網(wǎng)絡(luò)防護(hù)設(shè)備的吞吐性能�,大大降低了包轉(zhuǎn)發(fā)的時延,在服務(wù)器 防護(hù)系統(tǒng)的應(yīng)用中�����,提高服務(wù)器防護(hù)系統(tǒng)的吞吐性能同時不影響其現(xiàn)有的防護(hù)功能�����。
【具體實施方式】
[0012] 下面結(jié)合【具體實施方式】對本發(fā)明進(jìn)行詳細(xì)說明�����。
[0013] 本發(fā)明實施例提供一種提升網(wǎng)絡(luò)防護(hù)設(shè)備吞吐性能的數(shù)據(jù)包轉(zhuǎn)發(fā)方法,該方法 為:網(wǎng)絡(luò)防護(hù)設(shè)備接收到鏈接內(nèi)若干個數(shù)據(jù)包后����,對序號小于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù)包進(jìn)行 規(guī)則檢測,當(dāng)所述數(shù)據(jù)包無規(guī)則匹配時��,將所述數(shù)據(jù)包按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目的設(shè)備��, 同時將所述數(shù)據(jù)包所在鏈接的連接信息記錄到連接記錄表內(nèi)�����;對序號大于等于快速轉(zhuǎn)發(fā)閾 值的數(shù)據(jù)包根據(jù)讀取所在鏈接的連接記錄表內(nèi)的連接信息進(jìn)行轉(zhuǎn)發(fā)����。
[0014] 所述對序號小于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù)包進(jìn)行規(guī)則檢測,當(dāng)所述數(shù)據(jù)包無規(guī)則匹配 時�����,將所述數(shù)據(jù)包按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目的設(shè)備����,同時將所述數(shù)據(jù)包所在鏈接的連接 信息記錄到連接記錄表內(nèi),具體為:對第一個序號小于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù)包進(jìn)行規(guī)則檢 測���,當(dāng)所述數(shù)據(jù)包無規(guī)則匹配時��,將所述數(shù)據(jù)包按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目的設(shè)備�,同時將 所述數(shù)據(jù)包所在鏈接的連接信息記錄到連接記錄表內(nèi)��,對后續(xù)序號小于快速轉(zhuǎn)發(fā)閾值的數(shù) 據(jù)包���,直接按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目的設(shè)備�。
[0015] 該方法還包括:當(dāng)所述數(shù)據(jù)包有規(guī)則匹配時�����,丟失所述數(shù)據(jù)包所在的鏈接��,不進(jìn)行 轉(zhuǎn)發(fā)�。
[0016] 所述對序號大于等于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù)包根據(jù)讀取所在鏈接的連接記錄表內(nèi) 的連接信息進(jìn)行轉(zhuǎn)發(fā),具體為:確定當(dāng)前待轉(zhuǎn)發(fā)的數(shù)據(jù)包的序號大于等于快速轉(zhuǎn)發(fā)閾值時����, 所述網(wǎng)絡(luò)防護(hù)設(shè)備在連接記錄表內(nèi)查找所述當(dāng)前待轉(zhuǎn)發(fā)的數(shù)據(jù)包所在的鏈接的連接信息, 根據(jù)連接信息確定所述當(dāng)前待轉(zhuǎn)發(fā)的數(shù)據(jù)包需要快轉(zhuǎn)時����,調(diào)用發(fā)包函數(shù)進(jìn)行快轉(zhuǎn)發(fā)包到目 的設(shè)備;根據(jù)連接信息確定所述當(dāng)前待轉(zhuǎn)發(fā)的數(shù)據(jù)包需要傳統(tǒng)發(fā)包時�����,直接按照傳統(tǒng)發(fā)包 方式轉(zhuǎn)發(fā)到目的設(shè)備��。
[0017]所述連接記錄表內(nèi)的連接信息包括源連接設(shè)備標(biāo)識����、目的連接設(shè)備標(biāo)識以及是否 快轉(zhuǎn)標(biāo)志����。
[0018]所述連接記錄表是由網(wǎng)絡(luò)防護(hù)設(shè)備自身維護(hù)的所有連接信息的數(shù)據(jù)表,單條連接 記錄是由連接的五元組信息來唯一標(biāo)識�,所述五元組信息包括源端IP地址、源端口號�����、目的 IP地址�、目的端口號、協(xié)議類型�。同時單條連接記錄還包括源連接設(shè)備標(biāo)識、目的連接設(shè)備 標(biāo)識���、數(shù)據(jù)包總數(shù)和快轉(zhuǎn)標(biāo)志等��。
[0019] 實施例: 所述網(wǎng)絡(luò)防護(hù)設(shè)備接收到鏈接內(nèi)五個數(shù)據(jù)包����,預(yù)先設(shè)置快速轉(zhuǎn)發(fā)閾值為3,當(dāng)待轉(zhuǎn)發(fā)第 一個數(shù)據(jù)包時,其序號小于快速轉(zhuǎn)發(fā)閾值�,所以對第一個數(shù)據(jù)包進(jìn)行規(guī)則檢測��,若規(guī)則匹 配�����,則第一個數(shù)據(jù)包為非法數(shù)據(jù)包�,進(jìn)行數(shù)據(jù)包丟棄,不進(jìn)行轉(zhuǎn)發(fā)�����,且不更新連接記錄;若第 一個數(shù)據(jù)包無規(guī)則匹配�����,即合法數(shù)據(jù)包��,將所述第一個數(shù)據(jù)包按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目 的設(shè)備���,同時將所述數(shù)據(jù)包所在鏈接的連接信息記錄到連接記錄表內(nèi)����,即記錄源連接設(shè)備 標(biāo)識、目的連接設(shè)備標(biāo)識�����、快轉(zhuǎn)標(biāo)志����;當(dāng)待轉(zhuǎn)發(fā)第二個數(shù)據(jù)包時,由于其不是第一個數(shù)據(jù)包 并且序號小于快速轉(zhuǎn)發(fā)閾值���,所以無需進(jìn)行規(guī)則檢測���,直接按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目的 設(shè)備,所述第二個數(shù)據(jù)包是為了確保設(shè)備之間的連接通暢�����;當(dāng)待轉(zhuǎn)發(fā)第三個數(shù)據(jù)包時�����,其序 號等于快速轉(zhuǎn)發(fā)閾值,讀取連接記錄表內(nèi)的連接信息���,即源連接設(shè)備標(biāo)識����、目的連接設(shè)備標(biāo) 識����、快轉(zhuǎn)標(biāo)志���,根據(jù)是否有快轉(zhuǎn)標(biāo)志確定是否需要進(jìn)行快轉(zhuǎn)���,如果沒有快轉(zhuǎn)標(biāo)志直接按照傳 統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目的設(shè)備,如果有快轉(zhuǎn)標(biāo)志則調(diào)用發(fā)包函數(shù)進(jìn)行快轉(zhuǎn)發(fā)包到目的設(shè)備�。 [0020]實驗數(shù)據(jù)分析 實驗環(huán)境:采用smartbit測試儀設(shè)備對不同硬件平臺(低端、中端)的網(wǎng)絡(luò)防護(hù)設(shè)備進(jìn) 行實驗����,通過對64字節(jié)、512字節(jié)��、1518字節(jié)UDP數(shù)據(jù)包的吞吐量(千兆流量下的通過比例)來 本發(fā)明和傳統(tǒng)方法性能的優(yōu)劣��。
[0021]實驗結(jié)果:
通過實驗結(jié)果可以看出本發(fā)明比傳統(tǒng)模式下,性能有了很大的提升���,對比64字節(jié)小包 通過率基本為原有性能的兩倍����。
[0022]以上所述�����,僅為本發(fā)明的較佳實施例而已����,并非用于限定本發(fā)明的保護(hù)范圍。
【主權(quán)項】
1. 一種提升網(wǎng)絡(luò)防護(hù)設(shè)備吞吐性能的數(shù)據(jù)包轉(zhuǎn)發(fā)方法��,其特征在于��,該方法為:網(wǎng)絡(luò)防 護(hù)設(shè)備接收到鏈接內(nèi)若干個數(shù)據(jù)包后���,對序號小于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù)包進(jìn)行規(guī)則檢測��, 當(dāng)所述數(shù)據(jù)包無規(guī)則匹配時���,將所述數(shù)據(jù)包按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目的設(shè)備���,同時將所 述數(shù)據(jù)包所在鏈接的連接信息記錄到連接記錄表內(nèi);對序號大于等于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù) 包根據(jù)讀取所在鏈接的連接記錄表內(nèi)的連接信息進(jìn)行轉(zhuǎn)發(fā)����。2. 根據(jù)權(quán)利要求1所述的提升網(wǎng)絡(luò)防護(hù)設(shè)備吞吐性能的數(shù)據(jù)包轉(zhuǎn)發(fā)方法,其特征在于��, 所述對序號小于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù)包進(jìn)行規(guī)則檢測�����,當(dāng)所述數(shù)據(jù)包無規(guī)則匹配時���,將所 述數(shù)據(jù)包按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目的設(shè)備,同時將所述數(shù)據(jù)包所在鏈接的連接信息記錄 到連接記錄表內(nèi)�,具體為:對第一個序號小于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù)包進(jìn)行規(guī)則檢測,當(dāng)所述 數(shù)據(jù)包無規(guī)則匹配時�,將所述數(shù)據(jù)包按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目的設(shè)備,同時將所述數(shù)據(jù) 包所在鏈接的連接信息記錄到連接記錄表內(nèi)���,對后續(xù)序號小于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù)包��,直 接按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā)到目的設(shè)備�。3. 根據(jù)權(quán)利要求1或2所述的提升網(wǎng)絡(luò)防護(hù)設(shè)備吞吐性能的數(shù)據(jù)包轉(zhuǎn)發(fā)方法,其特征在 于����,該方法還包括:當(dāng)所述數(shù)據(jù)包有規(guī)則匹配時,丟失所述數(shù)據(jù)包所在的鏈接�����,不進(jìn)行轉(zhuǎn)發(fā)��。4. 根據(jù)權(quán)利要求3所述的提升網(wǎng)絡(luò)防護(hù)設(shè)備吞吐性能的數(shù)據(jù)包轉(zhuǎn)發(fā)方法��,其特征在于�, 所述對序號大于等于快速轉(zhuǎn)發(fā)閾值的數(shù)據(jù)包根據(jù)讀取所在鏈接的連接記錄表內(nèi)的連接信 息進(jìn)行轉(zhuǎn)發(fā),具體為:確定當(dāng)前待轉(zhuǎn)發(fā)的數(shù)據(jù)包的序號大于等于快速轉(zhuǎn)發(fā)閾值時����,所述網(wǎng)絡(luò) 防護(hù)設(shè)備在連接記錄表內(nèi)查找所述當(dāng)前待轉(zhuǎn)發(fā)的數(shù)據(jù)包所在的鏈接的連接信息,根據(jù)連接 信息確定所述當(dāng)前待轉(zhuǎn)發(fā)的數(shù)據(jù)包需要快轉(zhuǎn)時��,調(diào)用發(fā)包函數(shù)進(jìn)行快轉(zhuǎn)發(fā)包到目的設(shè)備��; 根據(jù)連接信息確定所述當(dāng)前待轉(zhuǎn)發(fā)的數(shù)據(jù)包需要傳統(tǒng)發(fā)包時�,直接按照傳統(tǒng)發(fā)包方式轉(zhuǎn)發(fā) 到目的設(shè)備。5. 根據(jù)權(quán)利要求4所述的提升網(wǎng)絡(luò)防護(hù)設(shè)備吞吐性能的數(shù)據(jù)包轉(zhuǎn)發(fā)方法,其特征在于: 所述連接記錄表內(nèi)的連接信息包括源連接設(shè)備標(biāo)識�、目的連接設(shè)備標(biāo)識以及是否快轉(zhuǎn)標(biāo) Vl、l�����、〇
【文檔編號】H04L12/813GK105959236SQ201510749547
【公開日】2016年9月21日
【申請日】2015年11月6日
【發(fā)明人】焦小濤, 陳曉兵, 陳宏偉, 何建鋒
【申請人】西安交大捷普網(wǎng)絡(luò)科技有限公司