報(bào)文處理方法�����、裝置以及網(wǎng)絡(luò)設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及通信技術(shù)領(lǐng)域�����,尤其涉及一種報(bào)文處理方法�、裝置W及網(wǎng)絡(luò)設(shè)備����。
【背景技術(shù)】
[0002] 隨著網(wǎng)絡(luò)通信技術(shù)的進(jìn)步��,各種網(wǎng)絡(luò)攻擊引發(fā)的網(wǎng)絡(luò)安全問(wèn)題日益受到人們的關(guān) 注�。目前網(wǎng)絡(luò)設(shè)備在遭受大量需上送CPU報(bào)文(包括組播報(bào)文W及上送本機(jī)的單播報(bào)文) 的攻擊時(shí),由于CPU的處理能力有限��,面對(duì)大量的攻擊報(bào)文時(shí)��,報(bào)文轉(zhuǎn)發(fā)隊(duì)列就會(huì)因?yàn)镃PU 不能及時(shí)處理而阻塞�����,導(dǎo)致后續(xù)上送CPU的報(bào)文被丟棄����。如果丟棄的報(bào)文為協(xié)議報(bào)文或是 管理報(bào)文�����,就可能造成協(xié)議中斷和設(shè)備無(wú)法管理的現(xiàn)象���。
【發(fā)明內(nèi)容】
[0003] 有鑒于此�����,本發(fā)明提供了報(bào)文處理方法W及裝置來(lái)解決上述問(wèn)題�。
[0004] 本發(fā)明提供一種報(bào)文處理方法,應(yīng)用于網(wǎng)絡(luò)設(shè)備�����,所述方法包括:
[0005] 根據(jù)報(bào)文特征生成設(shè)有隊(duì)列優(yōu)先級(jí)的控制策略�;
[0006] 將所述控制策略下發(fā)至轉(zhuǎn)發(fā)芯片,W使所述轉(zhuǎn)發(fā)芯片將命中所述控制策略中報(bào)文 特征的報(bào)文添加至與所設(shè)隊(duì)列優(yōu)先級(jí)對(duì)應(yīng)的報(bào)文轉(zhuǎn)發(fā)隊(duì)列中�;
[0007] 接收所述轉(zhuǎn)發(fā)芯片根據(jù)所述報(bào)文轉(zhuǎn)發(fā)隊(duì)列的隊(duì)列優(yōu)先級(jí)順序上送的報(bào)文。
[0008] 本發(fā)明還提供一種報(bào)文處理裝置���,應(yīng)用于網(wǎng)絡(luò)設(shè)備�,所述裝置包括:
[0009] 策略生成單元����,用于根據(jù)報(bào)文特征生成設(shè)有隊(duì)列優(yōu)先級(jí)的控制策略;
[0010] 策略下發(fā)單元��,用于將所述控制策略下發(fā)至所述轉(zhuǎn)發(fā)芯片��,W使所述轉(zhuǎn)發(fā)芯片將 命中所述控制策略中報(bào)文特征的報(bào)文添加至與所設(shè)隊(duì)列優(yōu)先級(jí)對(duì)應(yīng)的報(bào)文轉(zhuǎn)發(fā)隊(duì)列中;
[0011] 報(bào)文接收單元���,用于接收所述轉(zhuǎn)發(fā)芯片根據(jù)所述報(bào)文轉(zhuǎn)發(fā)隊(duì)列的隊(duì)列優(yōu)先級(jí)順序 上送的報(bào)文����。
[0012] 本發(fā)明還提供一種網(wǎng)絡(luò)設(shè)備���,所述網(wǎng)絡(luò)設(shè)備包括轉(zhuǎn)發(fā)芯片W及中央處理器CPU,其 中:
[0013] CPU,用于根據(jù)與協(xié)議類型對(duì)應(yīng)的報(bào)文特征生成設(shè)有隊(duì)列優(yōu)先級(jí)的控制策略���,將所 述控制策略下發(fā)至所述轉(zhuǎn)發(fā)芯片,并接收所述轉(zhuǎn)發(fā)芯片根據(jù)所述報(bào)文轉(zhuǎn)發(fā)隊(duì)列的隊(duì)列優(yōu)先 級(jí)順序上送的報(bào)文�����。
[0014] 轉(zhuǎn)發(fā)芯片���,用于接收CPU下發(fā)的控制策略,在接收到報(bào)文時(shí)��,將所述報(bào)文與預(yù)存的 控制策略進(jìn)行匹配����,并將命中所述控制策略中報(bào)文特征的報(bào)文添加至與所設(shè)隊(duì)列優(yōu)先級(jí)對(duì) 應(yīng)的報(bào)文轉(zhuǎn)發(fā)隊(duì)列中。
[0015] 本發(fā)明提供的報(bào)文處理方法,其根據(jù)報(bào)文特征生成設(shè)有隊(duì)列優(yōu)先級(jí)的控制策略�, 并將所述控制策略下發(fā)至所述轉(zhuǎn)發(fā)芯片,W使所述轉(zhuǎn)發(fā)芯片將命中所述控制策略中報(bào)文特 征的報(bào)文添加至與所設(shè)隊(duì)列優(yōu)先級(jí)對(duì)應(yīng)的報(bào)文轉(zhuǎn)發(fā)隊(duì)列中�,從而優(yōu)先處理隊(duì)列優(yōu)先級(jí)高的 報(bào)文轉(zhuǎn)發(fā)隊(duì)列中的重要報(bào)文,避免造成網(wǎng)絡(luò)故障����。
【附圖說(shuō)明】
[0016] 圖1是本發(fā)明實(shí)施例中報(bào)文處理方法流程圖;
[0017] 圖2是本發(fā)明實(shí)施例中報(bào)文處理裝置所在網(wǎng)絡(luò)設(shè)備硬件架構(gòu)示意圖���;
[0018] 圖3是本發(fā)明實(shí)施例中報(bào)文處理裝置邏輯結(jié)構(gòu)示意圖�;
[0019] 圖4為本發(fā)明實(shí)施例中策略生成單元邏輯結(jié)構(gòu)示意圖����;
[0020] 圖5為本發(fā)明實(shí)施例中的網(wǎng)絡(luò)設(shè)備。
【具體實(shí)施方式】
[0021] 現(xiàn)有技術(shù)中�����,由于部分協(xié)議報(bào)文W及部分需進(jìn)行應(yīng)用處理的數(shù)據(jù)報(bào)文均會(huì)上送中 央處理器CPU處理�����,一些攻擊者則利用向CPU上送大量的協(xié)議報(bào)文W進(jìn)行報(bào)文攻擊�����。CPU在 遭受大量報(bào)文的攻擊時(shí),極有可能就會(huì)因?yàn)椴荒芗皶r(shí)處理而阻塞���,導(dǎo)致后續(xù)上送CPU的報(bào) 文被丟棄�����,若丟棄的報(bào)文為管理報(bào)文或者其他重要報(bào)文�,則會(huì)導(dǎo)致設(shè)備無(wú)法管理或者協(xié)議 斷開(kāi)等現(xiàn)象�。目前的解決方法多通過(guò)對(duì)各個(gè)協(xié)議或端口進(jìn)行限速來(lái)減少上送CPU的報(bào)文數(shù) 量。然而���,限速只是根據(jù)協(xié)議和端口減少了上送CPU的報(bào)文數(shù)量�����,在報(bào)文種類較多時(shí)��,仍無(wú) 法達(dá)到有較好的效果。
[0022] 為避免類似現(xiàn)象的發(fā)生�,本發(fā)明所提供的報(bào)文處理方法根據(jù)與協(xié)議類型對(duì)應(yīng)的報(bào) 文特征生成設(shè)有隊(duì)列優(yōu)先級(jí)的控制策略,將所述控制策略下發(fā)至所述轉(zhuǎn)發(fā)芯片���,W使所述 轉(zhuǎn)發(fā)芯片將命中所述控制策略中報(bào)文特征的報(bào)文添加至與所設(shè)隊(duì)列優(yōu)先級(jí)對(duì)應(yīng)的報(bào)文轉(zhuǎn) 發(fā)隊(duì)列中����,并接收所述轉(zhuǎn)發(fā)芯片根據(jù)所述報(bào)文轉(zhuǎn)發(fā)隊(duì)列的隊(duì)列優(yōu)先級(jí)順序上送的報(bào)文。
[0023] 在本發(fā)明實(shí)施例中�����,報(bào)文處理方法的處理流程如圖1所示��,該方法應(yīng)用在網(wǎng)絡(luò)設(shè) 備上����,該網(wǎng)絡(luò)設(shè)備可W是交換機(jī)或路由器等,其中該報(bào)文處理方法包括W下步驟:
[0024] 步驟101���,根據(jù)報(bào)文特征生成設(shè)有隊(duì)列優(yōu)先級(jí)的控制策略����;
[00巧]本發(fā)明實(shí)施方式提供的報(bào)文處理方法����,首先檢查CPU協(xié)議找中協(xié)議模塊的開(kāi)啟狀 況,獲取協(xié)議模塊已開(kāi)啟的協(xié)議類型對(duì)應(yīng)報(bào)文特征����,該報(bào)文特征可W根據(jù)報(bào)文類型的不同 分為多種�,例如:協(xié)議端口號(hào)���、協(xié)議版本類型��、傳輸協(xié)議類型�����、報(bào)文IP地址等���。
[0026] 然后,根據(jù)獲取的報(bào)文特征的至少一項(xiàng)生成控制策略��。由于各協(xié)議的報(bào)文類型不 同��,其生成控制策略時(shí)所使用的報(bào)文特征也不盡相同�����。例如對(duì)于LDP協(xié)議的組播報(bào)文生成 控制策略時(shí)�����,其使用的報(bào)文特征可W是協(xié)議端口號(hào)���、協(xié)議版本類型���、該組播IP地址W及傳 輸協(xié)議類型;對(duì)于LDP協(xié)議的單播報(bào)文生成控制策略時(shí)���,所使用的報(bào)文特征則可W為協(xié)議 端口號(hào)W及協(xié)議版本類型等��。
[0027] 最后�����,根據(jù)所述報(bào)文特征生成具有隊(duì)列優(yōu)先級(jí)的控制策略��。該控制策略可W為多 種形式��,例如:
[002引 1���、所述控制策略可W為ACL。
[0029] 在所述控制策略為A化時(shí)�����,根據(jù)每個(gè)協(xié)議類型報(bào)文的不同獲取不同的報(bào)文特征, 對(duì)獲取的報(bào)文特征設(shè)置對(duì)應(yīng)的ACL優(yōu)先級(jí)W及隊(duì)列優(yōu)先級(jí)����,并根據(jù)該報(bào)文特征生成一條或 多條設(shè)有A化優(yōu)先級(jí)W及隊(duì)列優(yōu)先級(jí)的ACL。
[0030] 例如��,協(xié)議找內(nèi)已開(kāi)啟協(xié)議模塊的協(xié)議為L(zhǎng)DP��,針對(duì)于LDP協(xié)議的組播報(bào)文生 成A化時(shí)所依據(jù)的報(bào)文特征為組播IP地址���、傳輸協(xié)議類型�����、協(xié)議版本類型W及協(xié)議端口 號(hào)等����。假設(shè)該組播IP地址為224. 0. 0. 2,傳輸協(xié)議類型為UDP��,協(xié)議版本類型為IPV4�����, 協(xié)議端口號(hào)分別是源端口號(hào)646�����、目的端口號(hào)646 ;可將該條A化優(yōu)先級(jí)設(shè)為5 ;隊(duì)列優(yōu) 先級(jí)設(shè)為5���。郝么該條A化則為A化優(yōu)先級(jí)為5,隊(duì)列優(yōu)先級(jí)為5的A化�,即���;IP地址為 224. 0. 0. 2+UDP+646+IPV4 的 A化�����。
[0031] 針對(duì)于LDP協(xié)議的單播報(bào)文生成A化時(shí)所依據(jù)的報(bào)文特征則可W為協(xié)議端口號(hào)W 及協(xié)議版本類型����。例如LDP單播報(bào)文的協(xié)議版本類型為IPV4,協(xié)議端口號(hào)在不同情況下可 W分別是源端口號(hào)646,或者目的端口號(hào)646 ;郝么則可W根據(jù)該兩種情況為該LDP協(xié)議的 單播報(bào)文生成兩條A化優(yōu)先級(jí)為4,隊(duì)列優(yōu)先級(jí)為4的A化�,即源端口為646+IPV4巧CP的 A化W及目的端口為646+IPV4+TCP的A化。
[0032] 除此之外�,還可W使用A化控制其他多種協(xié)議的報(bào)文,例如�����,RIP���、RI化g�����、BGP�、PIM 等協(xié)議的報(bào)文。在對(duì)不同協(xié)議的報(bào)文生成A化時(shí)���,可根據(jù)上述示例的原則選取不同的報(bào)文 特征生成ACL���,在此不再一一賞述。
[0033] 在根據(jù)各種協(xié)議類型對(duì)應(yīng)的報(bào)文特征生成A化后����,轉(zhuǎn)發(fā)芯片中會(huì)保存多條不同的 A化,為各A化設(shè)置A化優(yōu)先級(jí)可W在轉(zhuǎn)發(fā)芯片接收到報(bào)文后���,按照A化優(yōu)先級(jí)的順序由高 至低的匹配各條ACL��。
[0034] 2.所述控制策略可W為與開(kāi)啟的寄存器關(guān)聯(lián)的報(bào)文特征生成設(shè)置有對(duì)應(yīng)的隊(duì)列 優(yōu)先級(jí)控制表項(xiàng)����。
[0035] 本發(fā)明實(shí)施例中,各開(kāi)啟的寄存器可W關(guān)聯(lián)指定的協(xié)議類型或是報(bào)文特征��,并且 可W為關(guān)聯(lián)的協(xié)議類型或是報(bào)文特征的寄存器設(shè)置對(duì)應(yīng)的隊(duì)列優(yōu)先級(jí)����。在轉(zhuǎn)發(fā)芯片接收的 報(bào)文匹配到與開(kāi)啟的寄存器對(duì)應(yīng)的協(xié)議類型或者報(bào)文特征時(shí),將該報(bào)文添加至與對(duì)應(yīng)的隊(duì) 列優(yōu)先級(jí)對(duì)應(yīng)的報(bào)文轉(zhuǎn)發(fā)隊(duì)列中����。
[0036] 例如�,寄存器關(guān)聯(lián)的報(bào)文特征可W是判斷報(bào)文為組播報(bào)文的特征(目的MAC地址 為全F,或目的MC地址的第40比特位的值為"1")等����;寄存器關(guān)聯(lián)的協(xié)議類型可W是專口 有寄存器控制的協(xié)議�����,比如解析協(xié)議ARP���、動(dòng)態(tài)主機(jī)配置協(xié)議DHCP���、組播偵聽(tīng)發(fā)現(xiàn)協(xié)議MLD 等。
[0037] 假設(shè),若要對(duì)與DHCP協(xié)議關(guān)聯(lián)的寄存器設(shè)置隊(duì)列優(yōu)先級(jí)時(shí)�,首先檢查該寄存器的 開(kāi)啟情況,在寄存器開(kāi)啟時(shí)���,根據(jù)具體需求對(duì)該寄存器設(shè)置隊(duì)列優(yōu)先級(jí)�。
[0038] 3.所述控制策略可W為BPDU表項(xiàng)�。
[0039] 第二層的攻擊是網(wǎng)絡(luò)安全攻擊者最容易實(shí)施,也是最不容易被發(fā)現(xiàn)的安全威脅���, 僅僅基于認(rèn)證(如IE邸802. lx)的安全措施是無(wú)法防止來(lái)自網(wǎng)絡(luò)第二層的安全攻擊��。為 此�����,本發(fā)明實(shí)施例根據(jù)協(xié)議的目的MAC地址生成BPDU表項(xiàng)來(lái)控制上送CPU的二層報(bào)文數(shù) 量�����,W避免二層報(bào)文的攻擊����。
[0040] 本發(fā)明實(shí)施例中�,ISIS���、STP、FRRP����、GVRP等協(xié)議的報(bào)文均可W由BPDU表項(xiàng)控制。 在具體實(shí)現(xiàn)中��,