CN101605135A - 报文传送方法及设备 - Google Patents
报文传送方法及设备 Download PDFInfo
- Publication number
- CN101605135A CN101605135A CNA2009101467759A CN200910146775A CN101605135A CN 101605135 A CN101605135 A CN 101605135A CN A2009101467759 A CNA2009101467759 A CN A2009101467759A CN 200910146775 A CN200910146775 A CN 200910146775A CN 101605135 A CN101605135 A CN 101605135A
- Authority
- CN
- China
- Prior art keywords
- transmitted
- protocol massages
- rated speed
- nominal rated
- sign
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种报文传送方法及设备,用以避免现有技术中存在的在对攻击报文进行限制的同时会导致丢弃一部分正常MLD协议报文的缺陷。其中,本发明公开的该报文传送方法包括步骤:确定待传送的协议报文的标识;根据所述确定的标识,判断所述待传送的协议报文是否为攻击报文;当判断结果为否时,采用不小于所述待传送的协议报文当前的实际传输速率的速率,传送所述待传送的协议报文;以及当判断结果为是时,采用不大于针对攻击报文所配置的第一额定速率的速率,传送所述待传送的协议报文,所述第一额定速率小于所述实际传输速率。
Description
技术领域
本发明涉及通信领域,尤其涉及一种报文传送方法及设备。
背景技术
IPv6即Internet Protocol version 6,是互联网工程任务组(IETF,InternetEngineering Task Force)设计的用于替代IPv4的下一代IP协议,它能很好地解决IP地址枯竭问题。
在IPv6网络中,组播监听发现协议(即MLD,其有MLDv1及MLDv2两个版本)取代了原来在IPv4网络中使用的组管理协议(IGMP,Internet GroupManagement Protocol),该MLD协议是ICMPv6协议的一个子协议,它采用ICMPv6报文来承载数据,而不像IGMP直接使用IP报文来承载数据。
在现有技术中,随着IPv6网络和MLD协议的广泛应用,采用MLD协议报文对IPv6设备的攻击也将会越来越多,就目前而言,防止IPv6设备受攻击的手段比较笼统,一般都是通过对传送给IPv6设备CPU的MLD协议报文总数进行限制来防止或减小IPv6设备受到的攻击,比如,针对集中式的IPv6设备,基于MLD协议报文往往是采用报文队列的形式进行缓存的这一特点,可以通过丢弃超过队列长度的那部分MLD协议报文,实现通过控制MLD协议报文队列的长度来限制传送的MLD协议报文总数,从而减小对IPv6设备的攻击;而针对分布式的IPv6设备,则往往利用服务质量(QoS,Quality Of Service)的漏桶原理,实现通过MLD协议报文的转发引擎控制报文的传送速率来限制一定时间内传送的MLD协议报文总数,从而减小对IPv6设备的攻击。
上述现有技术已被证明能对攻击报文产生一定的限制作用,但同时也存在着由于对MLD协议报文进行了限速,从而会导致丢弃一部分正常MLD协议报文的缺陷。
发明内容
本发明实施例提供一种报文传送方法及设备,用以避免现有技术中存在的在对攻击报文进行限制的同时会导致丢弃一部分正常MLD协议报文的缺陷。
为此,本发明实施例采用以下技术方案:
一种报文传送方法,包括步骤:确定待传送的协议报文的标识;根据所述确定的标识,判断所述待传送的协议报文是否为攻击报文;当判断结果为否时,采用不小于所述待传送的协议报文当前的实际传输速率的速率,传送所述待传送的协议报文;以及当判断结果为是时,采用不大于针对攻击报文所配置的第一额定速率的速率,传送所述待传送的协议报文,所述第一额定速率小于所述实际传输速率。
较佳地,上述步骤中采用不大于针对攻击报文所配置的第一额定速率的速率,传送所述待传送的协议报文具体包括:从攻击报文的标识与针对不同攻击报文分别配置的第一额定速率的对应关系中,确定与所述待传送的协议报文的标识对应的第一额定速率;以及比较所述待传送的协议报文当前的实际传输速率是否大于所述确定的第一额定速率;当比较结果为是时,采用所述确定的第一额定速率传送所述待传送的协议报文;以及当比较结果为否时,采用所述实际传输速率传送所述待传送的协议报文。
较佳地,上述步骤中采用不小于所述实际传输速率的速率,传送所述待传送的协议报文具体包括:从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,确定是否存在与所述待传送的协议报文的标识对应的第二额定速率;当确定结果为否时,确定所述待传送的协议报文当前的实际传输速率,并采用所述确定的实际传输速率传送所述待传送的协议报文;以及当确定结果为是时,从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,确定与所述待传送的协议报文对应的第二额定速率,并采用所述确定的第二额定速率传送所述待传送的协议报文。
较佳地,上述步骤中采用不小于所述实际传输速率的速率,传送所述待传送的协议报文具体包括:
从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,确定与所述待传送的协议报文的的标识对应的第二额定速率;以及比较所述待传送的协议报文当前的实际传输速率是否大于所述确定的第二额定速率;当比较结果为否时,采用所述实际传输速率或所述确定的第二额定速率传送所述待传送的协议报文;以及当比较结果为是时,从除所述确定的第二额定速率外的、针对攻击报文和非攻击报文分别配置的额定速率中,确定至少一个额定速率,并采用第一速率传送所述待传送的协议报文,所述第一速率为所述确定的第二额定速率与所述确定的至少一个额定速率之和,且所述第一速率不小于所述实际传输速率。
较佳地,上述步骤中确定至少一个额定速率之前,还包括:确定所述待传送的协议报文被分配了传送优先权标识,所述传送优先权标识用于指示所述待传送的协议报文具有采用大于所述确定的第二额定速率的速率进行传送的优先权。
较佳地,所述待传送的协议报文的标识为所述待传送的协议报文中所包含的源介质访问控制地址标识和/或目的IP地址标识和/或组播协议报文的目的地址。
一种报文传送设备,包括:确定单元,用于确定待传送的协议报文的标识;判断单元,用于根据确定单元确定的标识,判断所述待传送的协议报文是否为攻击报文;第一传送单元,用于当判断单元得到的判断结果为是时,采用不大于针对攻击报文所配置的第一额定速率的速率,传送所述待传送的协议报文,所述第一额定速率小于所述实际传输速率;第二传送单元,用于当判断单元得到的判断结果为否时,采用不小于所述待传送的协议报文当前的实际传输速率的速率,传送所述待传送的协议报文。
本发明实施例通过根据待传送的协议报文的标识,先判断待传送的协议报文是否为攻击报文,然后在判断结果为是时,采用不大于针对攻击报文所配置的第一额定速率的速率,来传送该待传送的协议报文,其中,该配置的第一额定速率小于该待传送的协议报文当前的实际传输速率;以及在判断结果为否时,采用不小于该待传送的协议报文当前的实际传输速率的速率,来传送该待传送的协议报文,从而既能够实现对攻击报文进行限制,也能够以较大的速率来传送非攻击报文而不会丢弃非攻击报文,避免了现有技术中存在的在对攻击报文进行限制的同时会导致丢弃一部分正常MLD协议报文的缺陷。
附图说明
图1为本发明实施例提供的一种报文传送方法的具体实现流程示意图;
图2为本发明实施例中步骤13的一种实现流程示意图;
图3为本发明实施例中步骤14的一种实现流程示意图;
图4为本发明实施例中步骤14的另一种实现流程示意图;
图5为根据本发明实施例提供的方案构建的一个报文发送设备的具体结构示意图;
图6为本发明实施例中构建的报文发送设备实现对MLD协议报文的传送的具体流程示意图;
图7为本发明实施例提供的一种报文传送设备的具体结构示意图。
具体实施方式
本发明实施例通过分别采用不同的传送速率分别对应传送攻击报文和非攻击报文,从而既能够限制攻击报文,也不会对非攻击报文产生限制而导致丢弃非攻击报文。
下面结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细的阐述。
如图1所示,为本发明实施例提供的一种报文传送方法的具体实现流程示意图,包括以下步骤:
步骤11,确定待传送的协议报文的标识,其中,待传送的协议报文的标识可以但不限于是该协议报文中包含的源介质访问控制(MAC,Media AccessControl)地址标识,和/或目的IP地址标识,和/或组播协议报文的目的地址;
步骤12,根据确定的待传送的协议报文的标识,判断该待传送的协议报文是否为攻击报文,若判断结果为是,执行步骤13,若判断结果为否,则执行步骤14;
步骤13,采用不大于针对攻击报文所配置的第一额定速率的速率,传送该待传送的协议报文,流程结束,其中,该配置的第一额定速率小于该待传送的协议报文当前的实际传输速率;
步骤14,采用不小于该待传送的协议报文当前的实际传输速率的速率,传送该待传送的协议报文,流程结束。
需要说明的是,本发明实施例提供的该方法不仅可以用于对MLD协议报文的传送,还可以用于传送其他协议报文的同时也需要限制攻击报文的场景。
根据上述步骤可知,由于本发明实施例针对不同协议报文采用不同的传送速率,因此,一方面可以采用针对攻击报文所配置的第一额定速率对攻击报文进行传送速率限制,而另一方面,不会减小非攻击报文的传送速率,从而能够有效避免现有技术中存在的在对攻击报文进行限制的同时会丢弃一部分正常MLD协议报文的缺陷。
以下进一步对如图1所示的各步骤进行详细说明:
本发明实施例的步骤13可以通过如图2所示的各步骤得以实现,具体地,这些步骤包括:
步骤21,从攻击报文的标识与针对不同攻击报文分别配置的第一额定速率的对应关系中,确定对应于该待传送的协议报文的第一额定速率,在本步骤21中,可以针对所有的攻击报文配置一个相同的第一额定速率,也可以针对不同的攻击报文分别对应配置不同的第一额定速率,由于需要对攻击报文的传送速率进行控制从而限制攻击报文的传送总量,因此,该第一额定速率一般都被配置得较小,在实际应用中可视实际需求来配置该第一额定速率;
步骤22,确定该待传送的协议报文当前的实际传输速率,并比较该待传送的协议报文当前的实际传输速率是否大于该确定的第一额定速率,当比较结果为是时,执行步骤23,当比较结果为否时,执行步骤24;
步骤23,采用该确定的第一额定速率传送该待传送的协议报文,流程结束,由于此时第一额定速率小于该待传送的协议报文当前的实际传输速率,因此,该步骤23相当于是对该待传送的协议报文进行了限速传送,从而实现了对攻击报文的限制;
步骤24,采用该待传送的协议报文当前的实际传输速率,传送该待传送的协议报文,由于第一额定速率一般已经配置得很小,因此小于该第一额定速率的实际传输速率可以被认为是可接受的,从而可以直接采用该实际传输速率传送该待传送的协议报文。
针对本发明实施例的步骤14,可以有多种方式实现采用不小于待传送的协议报文当前实际传输速率的速率,传送该待传送的协议报文,具体地,如图3所示,为本发明实施例中步骤14的一种实现方式的具体流程示意图,包括以下步骤:
步骤31,从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,确定是否存在与待传送的协议报文的标识对应的第二额定速率,该步骤31中,由于可能只为一部分非攻击报文分别配置了第二额定速率,而没有被配置第二额定速率的非攻击报文可被认为其传送速率不受到限制,因此,当确定结果为否时,执行步骤32,而当确定结果为是时,则执行步骤33;
步骤32,确定待传送的协议报文当前的实际传输速率,并采用该确定的实际传输速率传送该待传送的协议报文,流程结束;
步骤33,从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,确定与待传送的协议报文对应的第二额定速率,并采用确定的第二额定速率传送该待传送的协议报文,流程结束。
而本发明实施例中步骤14的另一种实现方式的具体流程示意图如图4所示,包括以下步骤:
步骤41,从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,确定对应于待传送的协议报文的第二额定速率,当采用如图4所示的方式时,一般是为不同非攻击报文均配置了对应的第二额定速率,因此,针对任一非攻击报文,都能从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,找到与该非攻击报文相对应的第二额定速率;
步骤42,比较待传送的协议报文当前的实际传输速率是否大于确定的第二额定速率,并在比较结果为否时,执行步骤43,在比较结果为是时,执行步骤44;
步骤43,采用待传送报文当前的实际传输速率或确定的第二额定速率,传送该待传送的协议报文;
步骤44,从除确定的第二额定速率外的、针对攻击报文和非攻击报文分别配置的额定速率中,确定至少一个额定速率,并采用第一速率传送该待传送的协议报文,该第一速率为确定的第二额定速率与确定的至少一个额定速率之和,并且该第一速率不小于待传送的协议报文的当前的实际传输速率。
上述步骤44主要是针对当待传送的非攻击报文当前的实际传输速率较高,而为该待传送的非攻击报文配置的第二额定速率却太低的情况,此时,可以通过占用为其他协议报文所配置的速率的方式,来满足传送该非攻击报文的较高速率需要。此外,较佳地,在本发明实施例中,可以针对某一类型的需优先进行传送的非攻击报文设置传送优先权标识,该传送优先权标识用于指示具有该优先权标识的协议报文具有采用大于为该协议报文配置的第二额定速率的速率进行传送的优先权,因此,在上述步骤44中,在确定至少一个额定速率之前,还可以包括步骤:确定待传送的协议报文被分配了传送优先权标识。需要说明的是,上述步骤44也可以应用于上述只为一部分非攻击报文分别配置了第二额定速率的情况。
为了具体说明本发明实施例提供的上述方案的应用过程,以下以一个具体实施的过程为例,对本发明实施例提供的上述方案进行详细描述:
该实施例主要针对MLD协议报文,为了实施本发明实施例提供的上述方案,这里可以根据上述方案构建一个报文发送设备,该报文发送设备可以包含于IPv6设备中,也可以独立于IPv6设备之外,其具体结构示意图如图5所示,包括管理维护单元51、支撑单元52、统计单元53和转发单元54,各单元的主要功能如下:
管理维护单元51,用于对该报文发送设备进行维护、以及用于配置设备运行参数等,在本实施例中,可以通过该管理维护单元51,针对具有不同标识的MLD协议报文配置传送策略标识POLICY,并为不同的POLICY对应配置不同的额定传送速率RATE,进一步地,该管理维护单元51还用于将配置好的POLICY、RATE以及MLD协议报文的标识、POLICY、RATE三者的对应关系提供给支撑单元52,此外,若该报文发送设备包含于IPv6设备中,则IPv6设备管理员还可以通过该管理维护单元51获得的设备运行状态信息,来查看设备运行状态等;
支撑单元52,用于提供该报文发送设备中各单元之间的接口,并管理管理维护单元51配置的上述POLICY以及RATE等,此外,还用于将配置的POLICY和RATE的格式转换为转发单元54能够识别的格式,并将转换了格式后的POLICY和RATE以及MLD协议报文的标识、POLICY、RATE三者的对应关系提供给转发单元54,该支撑单元可以对POLICY、RATE和上述对应关系进行存储,这样,在报文发送设备断电然后重启时,该支撑单元52就可以将自身保存的POLICY、RATE和该对应关系重新提供给转发单元54,此外,支撑单元52还可以将POLICY和RATE和该对应关系提供给统计单元53;
统计单元53,用于统计待传送的协议报文当前的实际传输速率Rx。具体地,针对MLD协议报文,该统计单元53可以将第一次收到MLD协议报文的时间点设置为T1,并将再次收到MLD协议报文的时间点设置为T2,假设等待最大时间设置为Tm,则当T2-T1≥Tm时,统计单元53将T2的值赋给T1,并通知转发单元54直接将该MLD协议报文传送给IPv6设备的CPU,或将该待传送的协议报文当前的实际传输速率Rx设置为无穷小后,将该确定为无穷小的速率Rx通知给转发单元54,而当T2-T1<Tm时,则该统计单元53根据T2-T1时间段内接收到的MLD协议报文的总个数,计算单位时间内接收到的MLD协议报文的个数,即计算MLD协议报文当前的实际传输速率Rx,并通过比较Rx和针对不同协议报文所配置的额定速率RATE,来确定通知转发单元54对待传送的协议报文进行直接传送或是进行限速传送,或者,统计单元53也可以将计算得到的Rx通知给转发单元54,并由转发单元54根据支撑单元52提供的POLICY和RATE,来确定对待传送的协议报文进行直接传送或是进行限速传送;
转发单元54:用于根据支撑单元52提供的POLICY和RATE以及统计单元53的通知,将MLD协议报文传送给IPv6设备的CPU,针对错误的或者不能识别的MLD协议报文,则转发单元54可以选择丢弃该错误的或不能识别的MLD协议报文。
具体地,上述各单元相互配合实现对MLD协议报文的传送的具体流程示意图如图6所示,包括以下步骤:
步骤61,针对MLD协议,管理维护单元51为具有不同标识的MLD协议报文分别配置对应的传送策略标识POLICY,并进一步为不同的POLICY配置对应的额定速率RATE,比如,可以为具有相同的第一源MAC地址的MLD协议报文均配置POLICY a,并为该POLICY a配置对应的额定速率RATE 1,由于具有该相同的第一源MAC地址,且实际传输速率较大的MLD协议报文一般都为攻击报文,因此,可以将该RATE 1设置为较小的值,以对具有该相同的第一源MAC地址的攻击报文进行限制。具体地,管理维护单元51可以按照如下表1所示的配置方式来为具有不同标识的MLD协议报文配置对应的POLICY和RATE,RATE的具体大小可视实际需求而定,在本发明实施例中,假设下表1中的POLICY a~POLICY c均对应于攻击报文,而POLICY d则对应于非攻击报文;
表1:
MLD协议报文的标识 | 传送策略标识POLICY | 额定速率RATE | 传送优先权标识 |
第一源MAC地址 | POLICYa | RATE 1 | 无 |
第一源IP地址 | POLICYb | RATE 2(可以专门针对格式为FF80::的源IP地址设置一个不同于RATE2的RATE) | 无 |
第一源IP地址和组播MLD协议报文的第一目的地址 | POLICYc | RATE 3(RATE 3的具体数值可根据IPv6设备CPU所能并行处理的组播MLD协议报文的最大组数进行设定,或者根据软件设置规定的MLD协议报文组中允许的存在的最大用户数进行设定) | 无 |
其他标识 | POLICYd | RATE4(RATE 4的具体数值可设置为IPv6设备能够处理的最大速率RATE N减去配置的其他额定速率,即:RATE 4=RATE N-(RATE 1+RATE 2+RATE 3) | 有 |
根据IPv6设备CPU的处理能力,一般可设置MLD协议报文的总传送速率为RATE t,这样,上表1中设置各个额定速率RATE 1~RATE 4均不能超过RATE t,在本发明实施例中,为了体现对传送速率进行限定的层次性,可以针对不同的非攻击报文设定一个传送优先级,比如,可以为上表1中具有其他标识的MLD协议报文分配一个如上表1所描述的传送优先权标识,该标识可以由管理维护单元51为待传送的MLD协议报文进行设置,用于指示该待传送的MLD协议报文具有采用大于为该MLD协议报文配置的额定速率的速率进行传送的优先权;
步骤62,管理维护单元51将POLICY、RATE以及MLD协议报文的标识、POLICY、RATE三者的对应关系提供给支撑单元52,由支撑单元52对POLICY、RATE以及该对应关系进行对应存储,并将POLICY和RATE的格式转换为转发单元54能够识别的格式后,将POLICY、RATE以及该对应关系提供给转发单元54,若管理维护单元51还为不同MLD协议报文配置了传送优先权标识,则还需要通过支撑单元52,将该传送优先权标识以及该传送优先权标识与MLD协议报文的标识的对应关系提供给转发单元54;
步骤63,统计单元53统计待传送的MLD协议报文当前的实际传输速率Rx,并将统计出的实际传输速率Rx通知给转发单元54;
步骤64,转发单元54确定待传送的MLD协议报文的标识,并根据管理维护单元51提供的MLD协议报文的标识与传送策略标识POLICY的对应关系,判断是否针对该待传送的MLD协议报文配置了对应的POLICY,当判断结果为是时,执行步骤65,否则,说明该待传送的MLD协议报文不受限制,转为执行步骤67,本步骤64可以与步骤63同步执行,也可以先于步骤63而在步骤62后执行;
步骤65,转发单元54从MLD协议报文的标识、传送策略标识POLICY以及额定速率RATE三者的对应关系中,查找到为该待传送的MLD协议报文配置的POLICY,假设该待传送的MLD协议报文的标识为上表1中的“其他标识”,则为该MLD协议报文配置的POLICY为上表1中的POLICY d,并进一步地查找到对应于该POLICY d的RATE为RATE 4;
步骤66,转发单元54比较查找到的RATE 4与统计单元53发送来的实际传输速率Rx的大小,若比较出Rx<RATE 4,则执行步骤67,否则,执行步骤68;
步骤67,转发单元54采用该待传送的MLD协议报文当前的实际传输速率Rx,将该待传送的MLD协议报文传送给IPv6设备的CPU,流程结束;
步骤68,转发单元54确定该待传送的MLD协议报文是否具有传送优先权标识,并在确定出该待传送的MLD协议报文具有传送优先权标识时,利用服务质量QoS的漏桶原理,由于RATE 4对应的令牌桶中已没有令牌可以占用,因此,此时可以从RATE 1~RATE 3中确定出一个空闲RATE,以采用该空闲RATE与RATE 4之和来传送该待传送的MLD协议报文,从而保证非攻击报文能及时传送到IPv6设备的CPU进行处理,需要说明的是,应保证该确定的空闲RATE与RATE 4之和不能小于该待传送的MLD协议报文当前的实际传输速率Rx,而若RATE 1~RATE 3当前均不空闲,则先缓存该MLD协议报文,直到有空闲的RATE,且该空闲的RATE与RATE 4之和不小于Rx时才传送该MLD协议报文,在本实施例中,假设该待传送的MLD协议报文具有传送优先权标识,RATE 1当前空闲,并且第一速率=RATE 1+RATE 4≥Rx成立,则执行步骤69;
步骤69,转发单元54采用上述第一速率,将该待传送的MLD协议报文传送给IPv6设备的CPU,流程结束。
从本发明实施例提供上述具体的实施方式可以看出,本发明实施例提供的该报文传送方法可以针对不同的MLD协议报文设计不同的速率标准,通过层次化QoS(即针对不同业务使用不同QoS)的方式,实现对攻击报文和非攻击报文的区别对待,从而可以有效避免在对攻击报文进行限制的同时会丢弃一部分非攻击的正常MLD协议报文的缺陷,此外,本发明实施例通过为非攻击报文设置传送优先权标识,可以使非攻击报文能够以较快速率传送到IPv6设备的CPU,从而使得非攻击报文能够得到及时的处理。
对应于本发明实施例提供的该报文传送方法,本发明实施例还提供了一种报文传送设备,用以避免现有技术中存在的在对攻击报文进行限制的同时会丢弃一部分正常MLD协议报文的缺陷,该报文传送设备的具体结构示意图如图7所示,主要包括以下功能单元:
确定单元71,用于确定待传送的协议报文的标识;
判断单元72,用于根据确定单元71确定的标识,判断待传送的协议报文是否为攻击报文;
第一传送单元74,用于当判断单元72得到的判断结果为是时,采用不大于针对攻击报文所配置的第一额定速率的速率,传送该待传送的协议报文,所述第一额定速率小于所述实际传输速率;
第二传送单元73,用于当判断单元72得到的判断结果为否时,采用不小于待传送的协议报文当前的实际传输速率的速率,传送该待传送的协议报文。
针对上述第一传送单元74功能的一种实现方式,本发明实施例中,可以将该第一传送单元74进一步划分为以下功能模块:
第一额定速率确定模块,用于从攻击报文的标识与针对不同攻击报文分别配置的第一额定速率的对应关系中,确定与确定单元71确定的标识对应的第一额定速率;
比较模块,用于比较待传送的协议报文当前的实际传输速率是否大于所述确定模块确定的第一额定速率;
第一传送模块,用于当比较模块得到的比较结果为是时,采用第一额定速率确定模块确定的第一额定速率传送该待传送的协议报文,以及当比较模块得到的比较结果为否时,采用该待传送的协议报文的实际传输速率,传送该待传送的协议报文。
在本发明实施例中,针对只为一部分非攻击报文分别配置了第二额定速率,而没有被配置第二额定速率的非攻击报文可被认为其传送速率不受到限制的情况,可以将上述第二传送单元73进一步划分为以下功能模块:
第二额定速率确定模块,用于从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,确定是否存在与该确定单元71确定的标识对应的第二额定速率;
第二传送模块,用于当第二额定速率确定模块的确定结果为否时,确定该待传送的协议报文当前的实际传输速率,并采用该确定的实际传输速率传送该待传送的协议报文,以及当第二额定速率确定模块的确定结果为是时,从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,确定与该待传送的协议报文对应的第二额定速率,并采用该确定的第二额定速率传送该待传送的协议报文。
而针对为不同非攻击报文均配置了对应的第二额定速率,因此,针对任一非攻击报文,都能从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,找到与该非攻击报文相对应的第二额定速率的情况,可以将上述第二传送单元73进一步划分为以下功能模块:
第二额定速率确定模块,用于从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,确定与该待传送的协议报文对应的第二额定速率;
比较模块,用于比较该待传送的协议报文当前的实际传输速率是否大于该确定模块确定的第二额定速率;
第二传送模块,用于当比较模块的比较结果为否时,采用该实际传输速率或该第二额定速率确定模块确定的第二额定速率传送该待传送的协议报文,以及当比较结果为是时,从除该确定的第二额定速率外的、针对攻击报文和非攻击报文分别配置的额定速率中,确定至少一个额定速率,并采用第一速率传送该待传送的协议报文,该第一速率为该确定的第二额定速率与该确定的至少一个额定速率之和,且该第一速率不小于该实际传输速率传送到IPv6设备的CPU,从而使得非攻击报文能够得到及时的处理。
本发明实施例中,还可以通过为非攻击报文设置传送优先权标识,以使非攻击报文能够以较快速率进行传送,从而能够得到及时的处理,因此,上述第二传送单元73还可以进一步包括:优先权标识确定模块,用于在上述第二传送模块确定至少一个额定速率之前,确定该待传送的协议报文被分配了传送优先权标识,其中,该传送优先权标识用于指示该待传送的协议报文具有采用大于该确定的第二额定速率的速率进行传送的优先权。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (12)
1、一种报文传送方法,其特征在于,包括:
确定待传送的协议报文的标识;
根据所述确定的标识,判断所述待传送的协议报文是否为攻击报文;
当判断结果为否时,采用不小于所述待传送的协议报文当前的实际传输速率的速率,传送所述待传送的协议报文;以及
当判断结果为是时,采用不大于针对攻击报文所配置的第一额定速率的速率,传送所述待传送的协议报文,所述第一额定速率小于所述实际传输速率。
2、如权利要求1所述的方法,其特征在于,采用不大于针对攻击报文所配置的第一额定速率的速率,传送所述待传送的协议报文具体包括:
从攻击报文的标识与针对不同攻击报文分别配置的第一额定速率的对应关系中,确定与所述待传送的协议报文的标识对应的第一额定速率;以及
比较所述待传送的协议报文当前的实际传输速率是否大于所述确定的第一额定速率;
当比较结果为是时,采用所述确定的第一额定速率传送所述待传送的协议报文;以及
当比较结果为否时,采用所述实际传输速率传送所述待传送的协议报文。
3、如权利要求1所述的方法,其特征在于,采用不小于所述实际传输速率的速率,传送所述待传送的协议报文具体包括:
从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,确定是否存在与所述待传送的协议报文的标识对应的第二额定速率;
当确定结果为否时,确定所述待传送的协议报文当前的实际传输速率,并采用所述确定的实际传输速率传送所述待传送的协议报文;以及
当确定结果为是时,从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,确定与所述待传送的协议报文对应的第二额定速率,并采用所述确定的第二额定速率传送所述待传送的协议报文。
4、如权利要求1所述的方法,其特征在于,采用不小于所述实际传输速率的速率,传送所述待传送的协议报文具体包括:
从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,确定与所述待传送的协议报文的的标识对应的第二额定速率;以及
比较所述待传送的协议报文当前的实际传输速率是否大于所述确定的第二额定速率;
当比较结果为否时,采用所述实际传输速率或所述确定的第二额定速率传送所述待传送的协议报文;以及
当比较结果为是时,从除所述确定的第二额定速率外的、针对攻击报文和非攻击报文分别配置的额定速率中,确定至少一个额定速率,并采用第一速率传送所述待传送的协议报文,所述第一速率为所述确定的第二额定速率与所述确定的至少一个额定速率之和,且所述第一速率不小于所述实际传输速率。
5、如权利要求4所述的方法,其特征在于,确定至少一个额定速率之前,还包括:
确定所述待传送的协议报文被分配了传送优先权标识,所述传送优先权标识用于指示所述待传送的协议报文具有采用大于所述确定的第二额定速率的速率进行传送的优先权。
6、如1~5任一权利要求所述的方法,其特征在于,所述待传送的协议报文的标识为所述待传送的协议报文中所包含的源介质访问控制地址标识和/或目的IP地址标识和/或组播协议报文的目的地址。
7、一种报文传送设备,其特征在于,包括:
确定单元,用于确定待传送的协议报文的标识;
判断单元,用于根据确定单元确定的标识,判断所述待传送的协议报文是否为攻击报文;
第一传送单元,用于当判断单元得到的判断结果为是时,采用不大于针对攻击报文所配置的第一额定速率的速率,传送所述待传送的协议报文,所述第一额定速率小于所述实际传输速率;
第二传送单元,用于当判断单元得到的判断结果为否时,采用不小于所述待传送的协议报文当前的实际传输速率的速率,传送所述待传送的协议报文。
8、如权利要求7所述的设备,其特征在于,所述第一传送单元具体包括:
第一额定速率确定模块,用于从攻击报文的标识与针对不同攻击报文分别配置的第一额定速率的对应关系中,确定与所述确定单元确定的标识对应的第一额定速率;
比较模块,用于比较所述待传送的协议报文当前的实际传输速率是否大于所述第一额定速率确定模块确定的第一额定速率;
第一传送模块,用于当比较模块得到的比较结果为是时,采用所述第一额定速率确定模块确定的第一额定速率传送所述待传送的协议报文,以及当比较模块得到的比较结果为否时,采用所述实际传输速率传送所述待传送的协议报文。
9、如权利要求7所述的设备,其特征在于,所述第二传送单元具体包括:
第二额定速率确定模块,用于从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,确定是否存在与所述确定单元确定的标识对应的第二额定速率;
第二传送模块,用于当第二额定速率确定模块的确定结果为否时,确定所述待传送的协议报文当前的实际传输速率,并采用所述确定的实际传输速率传送所述待传送的协议报文,以及当第二额定速率确定模块的确定结果为是时,从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,确定与所述待传送的协议报文对应的第二额定速率,并采用所述第二额定速率确定单元确定的第二额定速率传送所述待传送的协议报文。
10、如权利要求7所述的设备,其特征在于,所述第二传送单元具体包括:
第二额定速率确定模块,用于从非攻击报文的标识与针对不同非攻击报文分别配置的第二额定速率的对应关系中,确定与所述待传送的协议报文对应的第二额定速率;
比较模块,用于比较所述待传送的协议报文当前的实际传输速率是否大于所述第二额定速率确定模块确定的第二额定速率;
第二传送模块,用于当比较模块的比较结果为否时,采用所述实际传输速率或所述第二额定速率确定模块确定的第二额定速率传送所述待传送的协议报文,以及当比较结果为是时,从除所述确定的第二额定速率外的、针对攻击报文和非攻击报文分别配置的额定速率中,确定至少一个额定速率,并采用第一速率传送所述待传送的协议报文,所述第一速率为所述确定的第二额定速率与所述确定的至少一个额定速率之和,且所述第一速率不小于所述实际传输速率。
11、如权利要求10所述的设备,其特征在于,还包括:
优先权标识确定模块,用于在所述第二传送模块确定至少一个额定速率之前,确定所述待传送的协议报文被分配了传送优先权标识,所述传送优先权标识用于指示所述待传送的协议报文具有采用大于所述确定的第二额定速率的速率进行传送的优先权。
12、如7~11任一权利要求所述的设备,其特征在于,所述待传送的协议报文的标识为所述待传送的协议报文中所包含的源介质访问控制地址标识和/或目的IP地址标识和/或组播协议报文的目的地址。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910146775A CN101605135B (zh) | 2009-07-01 | 2009-07-01 | 报文传送方法及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910146775A CN101605135B (zh) | 2009-07-01 | 2009-07-01 | 报文传送方法及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101605135A true CN101605135A (zh) | 2009-12-16 |
CN101605135B CN101605135B (zh) | 2012-09-05 |
Family
ID=41470689
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910146775A Active CN101605135B (zh) | 2009-07-01 | 2009-07-01 | 报文传送方法及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101605135B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106470127A (zh) * | 2015-08-18 | 2017-03-01 | 中兴通讯股份有限公司 | 一种网络异常流量的检测方法及系统 |
CN106713176A (zh) * | 2016-12-12 | 2017-05-24 | 全球能源互联网研究院 | 控制平面时间同步队列的服务速率控制方法和装置 |
CN114978725A (zh) * | 2022-05-25 | 2022-08-30 | 北京天融信网络安全技术有限公司 | 报文处理方法、装置、电子设备和介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6687247B1 (en) * | 1999-10-27 | 2004-02-03 | Cisco Technology, Inc. | Architecture for high speed class of service enabled linecard |
CN101325588A (zh) * | 2007-06-11 | 2008-12-17 | 华为技术有限公司 | 一种网络设备防攻击的方法以及网络设备 |
CN101072183B (zh) * | 2007-06-11 | 2011-07-06 | 华为技术有限公司 | 数据流的服务质量保证方法和装置 |
-
2009
- 2009-07-01 CN CN200910146775A patent/CN101605135B/zh active Active
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106470127A (zh) * | 2015-08-18 | 2017-03-01 | 中兴通讯股份有限公司 | 一种网络异常流量的检测方法及系统 |
CN106713176A (zh) * | 2016-12-12 | 2017-05-24 | 全球能源互联网研究院 | 控制平面时间同步队列的服务速率控制方法和装置 |
CN106713176B (zh) * | 2016-12-12 | 2020-04-17 | 全球能源互联网研究院有限公司 | 控制平面时间同步队列的服务速率控制方法和装置 |
CN114978725A (zh) * | 2022-05-25 | 2022-08-30 | 北京天融信网络安全技术有限公司 | 报文处理方法、装置、电子设备和介质 |
Also Published As
Publication number | Publication date |
---|---|
CN101605135B (zh) | 2012-09-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9008089B2 (en) | Multicast to unicast conversion technique | |
US7792140B2 (en) | Reflecting the bandwidth assigned to a virtual network interface card through its link speed | |
US8010696B2 (en) | Passing information from a forwarding plane to a control plane | |
CN101286996A (zh) | 一种风暴攻击抵抗方法与装置 | |
CN101316233B (zh) | 一种流量控制的方法和系统及承载层设备 | |
CN106330742B (zh) | 一种流量控制的方法及网络控制器 | |
CN101237332A (zh) | 计费方法、计费系统与流量统计装置 | |
CN102231697A (zh) | 一种报文队列的带宽调度方法、报文上报方法及其装置 | |
CN103314552B (zh) | 使用非统一接收器的基于组的组播方法 | |
CN101719850B (zh) | 对以太网丢包率进行统计的装置、方法及报文交换设备 | |
CN105337895B (zh) | 一种网络设备主机单元、网络设备子卡以及网络设备 | |
JP2010538551A (ja) | Ipネットワーク上のipリンクの接続性状態を自動的に確認するための方法およびシステム | |
CN101605135A (zh) | 报文传送方法及设备 | |
US7668098B2 (en) | Method and apparatus for improving the upstream data transfer rate for a cable modem | |
CN101911596B (zh) | 共享接入线路带宽的系统和方法 | |
CN101808037A (zh) | 交换网中流量管理的方法和装置 | |
CN101009637B (zh) | 服务质量控制方法、系统及逻辑链路管理功能设备 | |
US7852762B2 (en) | Shaping device and router device | |
CN107820218B (zh) | 报文传输方式的设定方法及设备 | |
CN101459699B (zh) | 一种网络地址转换方法和装置 | |
EP2375631A2 (en) | System and method for energy efficient ethernet enhanced information technology power management tools | |
CN108243117B (zh) | 一种流量监控方法、装置及电子设备 | |
CN105610666A (zh) | 一种基于linux操作系统的接口扩展方法和装置 | |
CN110601996A (zh) | 一种采用令牌保底分布式贪心算法的环网防饥饿流控方法 | |
CN103501272B (zh) | 一种组播流量转发方法及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |