CN113572774A - 一种网络设备中的报文转发方法及装置 - Google Patents

一种网络设备中的报文转发方法及装置 Download PDF

Info

Publication number
CN113572774A
CN113572774A CN202110850766.9A CN202110850766A CN113572774A CN 113572774 A CN113572774 A CN 113572774A CN 202110850766 A CN202110850766 A CN 202110850766A CN 113572774 A CN113572774 A CN 113572774A
Authority
CN
China
Prior art keywords
message
service
target
matching
board card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110850766.9A
Other languages
English (en)
Other versions
CN113572774B (zh
Inventor
郑磊
赵旭东
王振
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN202110850766.9A priority Critical patent/CN113572774B/zh
Publication of CN113572774A publication Critical patent/CN113572774A/zh
Application granted granted Critical
Publication of CN113572774B publication Critical patent/CN113572774B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • H04L69/162Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种网络设备中的报文转发方法及装置,应用于业务板卡;所述方法包括:响应于接收到的与所述目标业务对应的目标报文,将所述目标报文的报文特征与所述报文白名单中维护的报文特征进行匹配;在为所述目标报文分配的套接字缓存中,添加用于指示所述匹配的结果的匹配标记;将所述目标报文上送至所述业务板卡的CPU,以由所述CPU根据所述套接字缓存中添加的匹配标记,确定是否对所述目标报文进行业务处理。通过以上技术方案,业务板卡可以基于报文白名单的匹配结果,在为目标报文分配的套接字缓存中添加匹配标记,以使CPU根据匹配标记确定是否对所述目标报文进行业务处理,从而提高了CPU处理业务报文的灵活性,增强了网络设备的稳定性。

Description

一种网络设备中的报文转发方法及装置
技术领域
本申请涉及通信技术领域,尤其涉及一种网络设备中的报文转发方法及装置。
背景技术
白名单,是与黑名单相对应的概念。区别在于白名单中设置了可以通过的名单,白名单以外的不能通过;而黑名单中设置了不能通过的名单,黑名单以外的可以通过。
例如,在启用了黑白名单规则的邮件系统中,拒收来自黑名单用户的邮件,而对于来自白名单用户的邮件,无需进行病毒检测,直接优先接收,安全性和快捷性都大大提高。
发明内容
有鉴于此,本申请提供一种网络设备中的报文转发方法及装置,通过匹配报文白名单,并在为目标报文分配的套接字缓存中,添加匹配标记,以由CPU根据匹配标记确定是否对所述目标报文进行业务处理。
具体地,本申请是通过如下技术方案实现的:
第一方面,本申请提出一种网络设备中的报文转发方法,所述网络设备搭载了用于对接收到的报文进行业务处理的业务板卡,所述方法应用于所述业务板卡;其中,所述业务板卡运行了用于将接收到的业务报文上送至所述业务板卡的CPU进行业务处理的目标业务;所述业务板卡存储了用户预先配置的报文白名单,所述报文白名单包括需要上送至所述业务板卡的CPU的报文特征;该方法包括:
响应于接收到的与所述目标业务对应的目标报文,将所述目标报文的报文特征与所述报文白名单中维护的报文特征进行匹配;
在为所述目标报文分配的套接字缓存中,添加用于指示所述匹配的结果的匹配标记;
将所述目标报文上送至所述CPU,以由所述CPU根据所述套接字缓存中添加的匹配标记,确定是否对所述目标报文进行业务处理。
第二方面,本申请还提出一种网络设备,包括:
业务板卡,用于对接收到的报文进行业务处理;所述业务板卡运行了用于将接收到的业务报文上送至所述业务板卡的CPU进行业务处理的目标业务;所述业务板卡存储了用户预先配置的报文白名单,所述报文白名单包括需要上送至所述业务板卡的CPU的报文特征;响应于接收到的与所述目标业务对应的目标报文,将所述目标报文的报文特征与所述报文白名单中维护的报文特征进行匹配;在为所述目标报文分配的套接字缓存中,添加用于指示所述匹配的结果的匹配标记;将所述目标报文上送至所述CPU;
所述业务板卡上的CPU,根据所述套接字缓存中添加的匹配标记,确定是否对所述目标报文进行业务处理。
第三方面,本申请还提出一种网络设备中的报文转发装置,所述网络设备搭载了用于对接收到的报文进行业务处理的业务板卡,所述装置应用于所述业务板卡;其中,所述业务板卡运行了用于将接收到的业务报文上送至所述业务板卡的CPU进行业务处理的目标业务;该装置包括:
存储单元,用于存储用户预先配置的报文白名单,所述报文白名单包括需要上送至所述业务板卡的CPU的报文特征;
匹配单元,用于响应于接收到的与所述目标业务对应的目标报文,将所述目标报文的报文特征与所述报文白名单中维护的报文特征进行匹配;
标记单元,用于在为所述目标报文分配的套接字缓存中,添加用于指示所述匹配的结果的匹配标记;
发送单元,用于将所述目标报文上送至所述CPU,以由所述CPU根据所述套接字缓存中添加的匹配标记,确定是否对所述目标报文进行业务处理。
本申请的实施例提供的技术方案可以包括以下有益效果:
基于接收到的目标报文的报文特征,与业务板卡中存储的用户预先配置的报文白名单进行匹配,根据特征匹配的结果在为所述目标报文分配的套接字缓存中,添加不同的匹配标记,使得报文上送至业务板卡的CPU之后,CPU可以根据匹配标记,确定是否对目标报文进行业务处理。通过以上技术方案,业务板卡可以基于报文白名单的匹配结果,在为目标报文分配的套接字缓存中添加匹配标记,一方面,使得CPU在进行业务处理时,可以根据匹配标记主动跳过强制上送至CPU的业务报文,提高了CPU处理业务报文的灵活性;另一方面,避免了需要强制上送至CPU的业务报文在使用白名单功能时会被强制取消上送CPU导致网络异常的问题,增强了网络设备的稳定性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
图1是本申请一示例性实施例示出的一种网络设备中的报文转发方法的流程图;
图2是本申请一示例性实施例示出的一种网络设备中的报文转发方法的示意图;
图3是本申请一示例性实施例示出的一种网络设备中的报文转发装置所在电子设备的硬件结构图;
图4是本申请一示例性实施例示出的一种网络设备中的报文转发装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
目前,网络中通常存在一些绝对安全网段的流量(例如用户与用户之间已知的互访流量),可以将这些流量记为白名单流量,使得支持白名单功能的网络设备无需对这些流量执行安全防护业务(例如防火墙业务、攻击防护业务以及流量清洗业务等),这些流量不再被上送至业务板卡的CPU进行处理,而是直接被交换芯片转发,这样既降低了对业务板卡CPU的占用,又提高了转发效率。
另外,在网络设备出现异常时,可以利用白名单功能跳过一些非必要的流程,加快对白名单流量的处理速度,从而在最短的时间内迅速恢复网络业务。
然而,上述强制取消上送至业务板卡的CPU的方案应用场景有限,例如,对于需要进行VPN业务处理、NAT业务处理或者ALG业务处理的流量来说,如果跳过对流量的业务处理,势必会导致网络出现大面积异常,甚至全部中断,因此,并不是所有情况下都可以强制取消将流量上送至业务板卡的CPU进行业务处理。
可见,为提高CPU处理业务报文的灵活性,保证网络设备安全稳定运行,需要找到一种能够兼容网络设备中的流量需要强制上送至业务板卡的CPU进行业务处理的技术方案。
有鉴于此,本申请提供一种在报文上送至业务板卡的CPU之前,通过匹配报文白名单,并在为目标报文分配的套接字缓存中添加匹配标记,以由CPU根据匹配标记确定是否对所述目标报文进行业务处理的技术方案。
在实现时,响应于接收到的与所述目标业务对应的目标报文,将所述目标报文的报文特征与所述报文白名单中维护的报文特征进行匹配;
在为所述目标报文分配的套接字缓存中,添加用于指示所述匹配的结果的匹配标记;
将所述目标报文上送至所述CPU,以由所述CPU根据所述套接字缓存中添加的匹配标记,确定是否对所述目标报文进行业务处理。
其中,所述业务板卡运行了用于将接收到的业务报文上送至所述CPU进行业务处理的目标业务;所述业务板卡存储了用户预先配置的报文白名单,所述报文白名单包括需要上送至所述业务板卡的CPU的报文特征。
例如,当目标报文的报文特征匹配报文白名单时,可以将为目标报文分配的套接字缓存中的匹配标记赋值为1,用以指示匹配通过,使得CPU在接收到目标报文之后,确定匹配标记的赋值1满足了预设值,从而跳过对目标报文的业务处理。
通过以上技术方案,业务板卡可以基于报文白名单的匹配结果,在为目标报文分配的套接字缓存中添加匹配标记,一方面,使得CPU在进行业务处理时,可以根据匹配标记主动跳过强制上送至CPU的业务报文,提高了CPU处理业务报文的灵活性;另一方面,避免了需要强制上送至CPU的业务报文在使用白名单功能时会被强制取消上送CPU导致网络异常的问题,增强了网络设备的稳定性。
接下来对本申请实施例进行详细说明。
请参见图1,图1是本申请一示例性实施例示出的一种网络设备中的报文转发方法的流程图,如图1所示,包括以下步骤:
步骤101:响应于接收到的与所述目标业务对应的目标报文,将所述目标报文的报文特征与所述报文白名单中维护的报文特征进行匹配;
步骤102:在为所述目标报文分配的套接字缓存中,添加用于指示所述匹配的结果的匹配标记;
步骤103:将所述目标报文上送至所述CPU,以由所述CPU根据所述套接字缓存中添加的匹配标记,确定是否对所述目标报文进行业务处理。
其中,所述网络设备搭载了用于对接收到的报文进行业务处理的业务板卡。
具体的,所述网络设备可以是机框式网络设备,内置多个插槽,用于接入各种板卡。
例如,用于实现流量跨板卡转发的交换网板、用于将流量接入或转出网络设备的接口板卡,以及用于处理各种网络业务的业务板卡等。
上述网络设备,可以包括网关设备。
例如,所述网络设备可以是一种集路由交换、网络安全和应用交付三大功能于一体的综合安全网关设备,通过流定义技术实现流量在各板卡之间的调度。
值得说明的是,所述业务板卡存储了用户预先配置的报文白名单,所述报文白名单包括需要上送至所述业务板卡的CPU的报文,以由所述CPU跳过对所述报文的业务处理。
在示出的一种实施方式中,所述网络设备还搭载了用于维护所述报文白名单的主控板卡。
进一步的,网络设备可以响应于所述用户的下发指令,将所述主控板卡维护的报文白名单下发至所述业务板卡。
例如,用户配置的白名单规则可以预先存储在主控板卡中,并由主控板卡统一管理报文白名单,响应于用户对报文白名单的下发指令,将主控板卡维护的报文白名单下发至各业务板卡。
其中,下发指令可以通过网络设备的操作系统中的一个用于故障诊断的软件触发,也可以通过与网络设备对接的一个单独开发的用于故障探测的客户端软件触发,本申请对此不做限定,本领域技术人员可以根据实际需要自行选择。
另外,主控板卡还可以用于维护用户配置的流定义规则,并基于流定义规则引导流量上送至业务板卡进行业务处理,以及控制流量在不同的业务板卡之间进行转发。
在本实施例中,响应于接收到的与所述目标业务对应的目标报文,将所述目标报文的报文特征与所述报文白名单中维护的报文特征进行匹配。
其中,目标报文的报文特征可以是报文的五元组信息的部分内容;
例如,可以基于报文的目的IP和源IP,匹配报文白名单;也可以基于报文的目的端口和源端口,匹配报文白名单,本申请对此不做限制,本领域技术人员可以根据实际需要自行选择。
在示出的一种实施方式中,所述报文白名单包括所述报文五元组信息的部分内容。
例如,用户在预先配置白名单时,可以创建如下表1所示的白名单列表:
编号 源IP 目的IP
1 192.168.3.9 192.168.5.78
2 192.168.5.66 192.168.7.11
3 192.168.6.33 192.168.8.92
在接收到报文之后,通过提取该报文对应的报文特征,确定该报文的源IP和目的IP,是否命中上述表1中的白名单列表。
值得说明的是,上述白名单列表仅仅是作为一种示例,用户可以根据实际需要自行配置。
在本实施例中,在为所述目标报文分配的套接字缓存中,添加用于指示所述匹配的结果的匹配标记。
其中,套接字Socket是应用层与TCP/IP协议族通信的中间软件抽象层,传输层的底一层的服务提供给Socket抽象层,Socket抽象层再提供给应用层。而当应用程序向一个Socket传输数据之后,该Socket可以创建相应的套接字缓存(Socket Buffer,SKB),用于缓存接收或发送的数据包的报文头信息。
例如,当报文到达网络设备时,可以从内存中申请对应SKB结构的内存,由SKB承接报文进行处理,当报文处理完成或转发出去之后,释放SKB对应的内存。
具体的,根据报文白名单的匹配结果,可以在为报文分配的SKB中,新增一个字段用于指示白名单的匹配标记;若白名单匹配结果为匹配通过时,可以将该字段赋值为1;若白名单匹配结果为匹配失败时,可以将该字段赋值为0。
在示出的一种实施方式中,所述为目标报文分配的套接字缓存中,还包括:用于维护所述匹配标记的代码;
进一步的,当所述目标报文的报文特征与所述报文白名单匹配成功时,调用所述代码,在为所述目标报文分配的套接字缓存中,添加用于指示匹配通过的第一匹配标记;当所述目标报文的报文特征与所述报文白名单匹配失败时,调用所述代码,在为所述目标报文分配的套接字缓存中,添加用于指示匹配失败的第二匹配标记。
举例来说,在SKB中可以包括以下伪代码:
If(TEST(SKB,VIP_LIST)==TRUE)
SKB->LIST_FLAG=1;
Else
SKB->LIST_FLAG=0。
其中,VIP_LIST表示报文白名单,LIST_FLAG表示匹配标记。
可见,由于创建的SKB中,增加了用于指示匹配标记的字段,以及对字段的取值进行维护的代码,使得SKB中添加了能够指示白名单匹配结果的字段。
值得说明的是,上述伪代码,以及匹配标记的取值仅仅是作为一种示例,本领域技术人员可以根据实际需要自行设置。
在本实施例中,将所述目标报文上送至所述CPU,以由所述CPU根据所述套接字缓存中添加的匹配标记,确定是否对所述目标报文进行业务处理。
继续举例,在目标报文上送至CPU之后,CPU优先对SKB中的匹配标记进行判断,如果SKB->LIST_FLAG=1,则跳过业务处理,否则,对所述报文执行业务处理。
在示出的一种实施方式中,基于套接字缓存中添加的第一匹配标记,跳过对所述目标报文的业务处理;基于套接字缓存中添加的第二匹配标记,对所述目标报文进行业务处理。
例如,在上述伪代码中,用于指示匹配通过的预设值为1,用于指示匹配失败的预设值为0。
由前述可知,网络设备中通常包含多种类型的业务板卡,报文需要依次经过这些业务板卡进行业务处理,例如处理防火墙设备业务的FW业务板卡、处理流量清洗设备业务的DDOS业务板卡等。
在示出的一种实施方式中,所述网络设备搭载了分别对应不同的业务处理类型的多级业务板卡;
进一步的,如果当前业务板卡的CPU跳过对所述目标报文的业务处理,则直接匹配所述当前业务板卡存储的流定义规则,将所述目标报文调度至与所述当前业务板卡级联的下一级业务板卡。
请参见图2,图2是本申请一示例性实施例示出的一种网络设备中的报文转发方法的示意图,如图2所示。
值得说明的是,网络设备中的主控板卡,一方面维护了用户配置的报文白名单,并响应于所述用户的下发指令,将所述主控板卡维护的报文白名单下发至各业务板卡;另一方面维护了用户配置的流定义规则,并将流定义规则依据业务板卡所在的槽位,下发至指定的各业务板卡,以实现流量在不同槽位的业务板卡之间的转发。
网络设备中交换网板内置的交换芯片与其他板卡内置的交换芯片通过内部互联口实现流量的跨板卡转发;接口板卡主要负责流量的接入和流出,以及和上下游设备互联。
而网络设备中各业务板卡分别用于:
FW业务板卡,主要负责处理包过滤、NAT、VPN、ALG等业务;
UAG业务板,主要负责处理流量审计、流控限速、网络行为管理等业务;
IPS业务板,主要负责处理攻击防护、防病毒等业务;
WAF业务板,主要负责处理应用层防护、应用层代理等业务;
DDOS业务板,主要负责处理流量清洗业务。
举例来说,报文转发方法包括以下步骤:
S201:报文从上游设备进入该网络设备;
S202:位于板卡槽位6的接口板卡的交换芯片,通过匹配流定义规则,将报文跨槽送往位于板卡槽位5的DDOS业务板卡;
S203:DDOS业务板卡在接收到目标报文之后,先基于目标报文的报文特征匹配DDOS业务板卡中存储的报文白名单,并根据匹配的结果,在SKB中添加不同的匹配标记,再将目标报文发送至DDOS业务板卡的CPU;
S204:DDOS业务板卡的CPU判断匹配标记的取值是否满足预设值,如果匹配标记满足用于指示匹配通过的预设值,则执行S206;如果匹配标记满足用于指示匹配失败的预设值,则执行S205;
S205:DDOS业务板卡的CPU执行对报文的流量清洗业务;
S206:DDOS业务板卡的CPU跳过对报文的流量清洗业务;
S207:DDOS业务板卡的交换芯片,通过匹配DDOS业务板卡存储的流定义规则,经交换网板将报文转发至与DDOS业务板卡级联的下一级WAF业务板卡;
S208:位于板卡槽位4的WAF业务板卡在接收到报文之后,重复执行类似与上述S203-S207的步骤,后续以此类推,不再赘述。
在以上技术方案中,业务板卡可以基于报文白名单的匹配结果,在为目标报文分配的套接字缓存中添加匹配标记,一方面,使得CPU在进行业务处理时,可以根据匹配标记主动跳过强制上送至CPU的业务报文,提高了CPU处理业务报文的灵活性;另一方面,避免了需要强制上送至CPU的业务报文在使用白名单功能时会被强制取消上送CPU导致网络异常的问题,增强了网络设备的稳定性。
与上述方法实施例相对应,本申请还提供了一种网络设备的实施例。
所述网络设备包括:
业务板卡,用于对接收到的报文进行业务处理;所述业务板卡运行了用于将接收到的业务报文上送至所述业务板卡的CPU进行业务处理的目标业务;所述业务板卡存储了用户预先配置的报文白名单,所述报文白名单包括需要上送至所述业务板卡的CPU的报文特征;响应于接收到的与所述目标业务对应的目标报文,将所述目标报文的报文特征与所述报文白名单中维护的报文特征进行匹配;在为所述目标报文分配的套接字缓存中,添加用于指示所述匹配的结果的匹配标记;将所述目标报文上送至所述CPU;
所述业务板卡上的CPU,根据所述套接字缓存中添加的匹配标记,确定是否对所述目标报文进行业务处理。
在一实施例中,所述为目标报文分配的套接字缓存中,还包括:
用于维护所述匹配标记的代码;
所述在为所述目标报文分配的套接字缓存中,添加用于指示所述匹配的结果的匹配标记,包括:
当所述目标报文的报文特征与所述报文白名单匹配成功时,调用所述代码,在为所述目标报文分配的套接字缓存中,添加用于指示匹配通过的第一匹配标记;
当所述目标报文的报文特征与所述报文白名单匹配失败时,调用所述代码,在为所述目标报文分配的套接字缓存中,添加用于指示匹配失败的第二匹配标记。
在一实施例中,
所述CPU根据所述套接字缓存中添加的匹配标记,确定是否对所述目标报文进行业务处理,包括:
基于套接字缓存中添加的第一匹配标记,跳过对所述目标报文的业务处理;
基于套接字缓存中添加的第二匹配标记,对所述目标报文进行业务处理。
在一实施例中,所述报文白名单包括所述报文五元组信息的部分内容。
在一实施例中,所述网络设备还包括:
主控板卡,用于维护所述报文白名单;响应于所述用户的下发指令,将所述主控板卡维护的报文白名单下发至所述业务板卡。
在一实施例中,所述网络设备包括:
多级业务板卡,用于分别处理不同的业务类型;如果当前业务板卡的CPU跳过对所述目标报文的业务处理,则直接匹配所述当前业务板卡存储的流定义规则,将所述目标报文调度至与所述当前业务板级联的下一级业务板卡。
在以上技术方案中,业务板卡可以基于报文白名单的匹配结果,在为目标报文分配的套接字缓存中添加匹配标记,一方面,使得CPU在进行业务处理时,可以根据匹配标记主动跳过强制上送至CPU的业务报文,提高了CPU处理业务报文的灵活性;另一方面,避免了需要强制上送至CPU的业务报文在使用白名单功能时会被强制取消上送CPU导致网络异常的问题,增强了网络设备的稳定性。
与上述方法实施例相对应,本申请还提供了装置的实施例。
与上述方法实施例相对应,本申请还提供了一种网络设备中的报文转发装置的实施例。本申请的网络设备中的报文转发装置的实施例可以应用在电子设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在电子设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图3所示,为本申请一示例性实施例示出的一种网络设备中的报文转发装置所在电子设备的硬件结构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常根据该电子设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参见图4,图4是本申请一示例性实施例示出的一种网络设备中的报文转发装置的框图,如图4所示,所述网络设备中的报文转发装置400可以应用在前述图3所示的电子设备中,包括:
存储单元401,用于存储用户预先配置的报文白名单,所述报文白名单包括需要上送至所述业务板卡的CPU的报文特征;
匹配单元402,用于响应于接收到的与所述目标业务对应的目标报文,将所述目标报文的报文特征与所述报文白名单中维护的报文特征进行匹配;
标记单元403,用于在为所述目标报文分配的套接字缓存中,添加用于指示所述匹配的结果的匹配标记;
发送单元404,用于将所述目标报文上送至所述CPU,以由所述CPU根据所述套接字缓存中添加的匹配标记,确定是否对所述目标报文进行业务处理。
在一实施例中,所述为目标报文分配的套接字缓存中,还包括:
用于维护所述匹配标记的代码;
所述标记单元403进一步:
当所述目标报文的报文特征与所述报文白名单匹配成功时,调用所述代码,在为所述目标报文分配的套接字缓存中,添加用于指示匹配通过的第一匹配标记;
当所述目标报文的报文特征与所述报文白名单匹配失败时,调用所述代码,在为所述目标报文分配的套接字缓存中,添加用于指示匹配失败的第二匹配标记。
在一实施例中,所述发送单元404进一步:
基于套接字缓存中添加的第一匹配标记,跳过对所述目标报文的业务处理;
基于套接字缓存中添加的第二匹配标记,对所述目标报文进行业务处理。
在一实施例中,所述网络设备还搭载了用于维护所述报文白名单的主控板卡;
所述装置400还包括:
下发单元,用于响应于所述用户的下发指令,将所述主控板卡维护的报文白名单下发至所述业务板卡。
在一实施例中,所述报文白名单包括所述报文五元组信息的部分内容。
在一实施例中,所述网络设备搭载了分别对应不同的业务处理类型的多级业务板卡;
所述装置400还包括:
调度单元,用于在当前业务板卡的CPU跳过对所述目标报文的业务处理时,则直接匹配所述当前业务板卡存储的流定义规则,将所述目标报文调度至与所述当前业务板卡级联的下一级业务板卡。
本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同/相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于客户端设备实施例、装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述实施例阐明的装置、装置、模块或模块,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
与上述方法实施例相对应,本说明书还提供了一种电子设备的实施例。该电子设备包括:处理器以及用于存储机器可执行指令的存储器;其中,处理器和存储器通常通过内部总线相互连接。在其他可能的实现方式中,所述设备还可能包括外部接口,以能够与其他设备或者部件进行通信。
在本实施例中,通过读取并执行所述存储器存储的与用户身份验证逻辑对应的机器可执行指令,所述处理器被促使:
响应于接收到的与所述目标业务对应的目标报文,将所述目标报文的报文特征与所述报文白名单中维护的报文特征进行匹配;
在为所述目标报文分配的套接字缓存中,添加用于指示所述匹配的结果的匹配标记;
将所述目标报文上送至所述CPU,以由所述CPU根据所述套接字缓存中添加的匹配标记,确定是否对所述目标报文进行业务处理。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种网络设备中的报文转发方法,所述网络设备搭载了用于对接收到的报文进行业务处理的业务板卡,所述方法应用于所述业务板卡;其中,所述业务板卡运行了用于将接收到的业务报文上送至所述业务板卡的CPU进行业务处理的目标业务;所述业务板卡存储了用户预先配置的报文白名单,所述报文白名单包括需要上送至所述业务板卡的CPU的报文特征;所述方法包括:
响应于接收到的与所述目标业务对应的目标报文,将所述目标报文的报文特征与所述报文白名单中维护的报文特征进行匹配;
在为所述目标报文分配的套接字缓存中,添加用于指示所述匹配的结果的匹配标记;
将所述目标报文上送至所述CPU,以由所述CPU根据所述套接字缓存中添加的匹配标记,确定是否对所述目标报文进行业务处理。
2.根据权利要求1所述的方法,所述为目标报文分配的套接字缓存中,还包括:
用于维护所述匹配标记的代码;
所述在为所述目标报文分配的套接字缓存中,添加用于指示所述匹配的结果的匹配标记,包括:
当所述目标报文的报文特征与所述报文白名单匹配成功时,调用所述代码,在为所述目标报文分配的套接字缓存中,添加用于指示匹配通过的第一匹配标记;
当所述目标报文的报文特征与所述报文白名单匹配失败时,调用所述代码,在为所述目标报文分配的套接字缓存中,添加用于指示匹配失败的第二匹配标记。
3.根据权利要求2所述的方法,所述CPU根据所述套接字缓存中添加的匹配标记,确定是否对所述目标报文进行业务处理,包括:
基于套接字缓存中添加的第一匹配标记,跳过对所述目标报文的业务处理;
基于套接字缓存中添加的第二匹配标记,对所述目标报文进行业务处理。
4.根据权利要求1所述的方法,所述网络设备还搭载了用于维护所述报文白名单的主控板卡;
所述方法还包括:
响应于所述用户的下发指令,将所述主控板卡维护的报文白名单下发至所述业务板卡。
5.根据权利要求1所述的方法,所述报文白名单包括所述报文五元组信息的部分内容。
6.根据权利要求1所述的方法,所述网络设备搭载了分别对应不同的业务处理类型的多级业务板卡;
所述方法还包括:
如果当前业务板卡的CPU跳过对所述目标报文的业务处理,则直接匹配所述当前业务板卡存储的流定义规则,将所述目标报文调度至与所述当前业务板卡级联的下一级业务板卡。
7.一种网络设备,包括:
业务板卡,用于对接收到的报文进行业务处理;所述业务板卡运行了用于将接收到的业务报文上送至所述业务板卡的CPU进行业务处理的目标业务;所述业务板卡存储了用户预先配置的报文白名单,所述报文白名单包括需要上送至所述业务板卡的CPU的报文特征;响应于接收到的与所述目标业务对应的目标报文,将所述目标报文的报文特征与所述报文白名单中维护的报文特征进行匹配;在为所述目标报文分配的套接字缓存中,添加用于指示所述匹配的结果的匹配标记;将所述目标报文上送至所述CPU;
所述业务板卡上的CPU,根据所述套接字缓存中添加的匹配标记,确定是否对所述目标报文进行业务处理。
8.根据权利要求7所述的网络设备,所述网络设备还包括:
主控板卡,用于维护所述报文白名单;响应于所述用户的下发指令,将所述主控板卡维护的报文白名单下发至所述业务板卡。
9.根据权利要求7所述的网络设备,所述网络设备包括:
多级业务板卡,用于分别处理不同的业务类型;如果当前业务板卡的CPU跳过对所述目标报文的业务处理,则直接匹配所述当前业务板卡存储的流定义规则,将所述目标报文调度至与所述当前业务板级联的下一级业务板卡。
10.一种网络设备中的报文转发装置,所述网络设备搭载了用于对接收到的报文进行业务处理的业务板卡,所述装置应用于所述业务板卡;其中,所述业务板卡运行了用于将接收到的业务报文上送至所述业务板卡的CPU进行业务处理的目标业务;所述装置包括:
存储单元,用于存储用户预先配置的报文白名单,所述报文白名单包括需要上送至所述业务板卡的CPU的报文特征;
匹配单元,用于响应于接收到的与所述目标业务对应的目标报文,将所述目标报文的报文特征与所述报文白名单中维护的报文特征进行匹配;
标记单元,用于在为所述目标报文分配的套接字缓存中,添加用于指示所述匹配的结果的匹配标记;
发送单元,用于将所述目标报文上送至所述CPU,以由所述CPU根据所述套接字缓存中添加的匹配标记,确定是否对所述目标报文进行业务处理。
CN202110850766.9A 2021-07-27 2021-07-27 一种网络设备中的报文转发方法及装置 Active CN113572774B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110850766.9A CN113572774B (zh) 2021-07-27 2021-07-27 一种网络设备中的报文转发方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110850766.9A CN113572774B (zh) 2021-07-27 2021-07-27 一种网络设备中的报文转发方法及装置

Publications (2)

Publication Number Publication Date
CN113572774A true CN113572774A (zh) 2021-10-29
CN113572774B CN113572774B (zh) 2023-04-28

Family

ID=78167917

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110850766.9A Active CN113572774B (zh) 2021-07-27 2021-07-27 一种网络设备中的报文转发方法及装置

Country Status (1)

Country Link
CN (1) CN113572774B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115333853A (zh) * 2022-09-13 2022-11-11 杭州迪普科技股份有限公司 网络入侵检测方法、装置与电子设备

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008067274A (ja) * 2006-09-11 2008-03-21 Nippon Telegr & Teleph Corp <Ntt> メッセージ配送システム、メッセージ転送装置、メッセージ転送方法およびメッセージ転送プログラム
CN103237039A (zh) * 2013-05-10 2013-08-07 汉柏科技有限公司 一种报文转发方法及设备
CN106790241A (zh) * 2017-01-18 2017-05-31 杭州迪普科技股份有限公司 一种报文的处理方法及装置
CN108990126A (zh) * 2018-07-25 2018-12-11 新华三技术有限公司 报文转发方法和装置
CN109246057A (zh) * 2017-07-10 2019-01-18 东软集团股份有限公司 报文转发方法、装置、转发系统、存储介质及电子设备
CN109274588A (zh) * 2017-07-18 2019-01-25 中兴通讯股份有限公司 Ip报文的处理方法及装置
CN110138797A (zh) * 2019-05-27 2019-08-16 北京知道创宇信息技术股份有限公司 一种报文处理方法及装置
CN111131506A (zh) * 2019-12-31 2020-05-08 华为技术有限公司 报文处理方法及装置
CN111818099A (zh) * 2020-09-02 2020-10-23 南京云信达科技有限公司 一种tcp协议报文过滤方法及装置
WO2021109669A1 (zh) * 2019-12-05 2021-06-10 华为技术有限公司 恶意域名访问的检测方法、装置及计算机可读存储介质

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008067274A (ja) * 2006-09-11 2008-03-21 Nippon Telegr & Teleph Corp <Ntt> メッセージ配送システム、メッセージ転送装置、メッセージ転送方法およびメッセージ転送プログラム
CN103237039A (zh) * 2013-05-10 2013-08-07 汉柏科技有限公司 一种报文转发方法及设备
CN106790241A (zh) * 2017-01-18 2017-05-31 杭州迪普科技股份有限公司 一种报文的处理方法及装置
CN109246057A (zh) * 2017-07-10 2019-01-18 东软集团股份有限公司 报文转发方法、装置、转发系统、存储介质及电子设备
CN109274588A (zh) * 2017-07-18 2019-01-25 中兴通讯股份有限公司 Ip报文的处理方法及装置
CN108990126A (zh) * 2018-07-25 2018-12-11 新华三技术有限公司 报文转发方法和装置
CN110138797A (zh) * 2019-05-27 2019-08-16 北京知道创宇信息技术股份有限公司 一种报文处理方法及装置
WO2021109669A1 (zh) * 2019-12-05 2021-06-10 华为技术有限公司 恶意域名访问的检测方法、装置及计算机可读存储介质
CN111131506A (zh) * 2019-12-31 2020-05-08 华为技术有限公司 报文处理方法及装置
WO2021136132A1 (zh) * 2019-12-31 2021-07-08 华为技术有限公司 报文处理方法及装置
CN111818099A (zh) * 2020-09-02 2020-10-23 南京云信达科技有限公司 一种tcp协议报文过滤方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115333853A (zh) * 2022-09-13 2022-11-11 杭州迪普科技股份有限公司 网络入侵检测方法、装置与电子设备
CN115333853B (zh) * 2022-09-13 2024-04-26 杭州迪普科技股份有限公司 网络入侵检测方法、装置与电子设备

Also Published As

Publication number Publication date
CN113572774B (zh) 2023-04-28

Similar Documents

Publication Publication Date Title
US20210132983A1 (en) Securing a managed forwarding element that operates within a data compute node
US8958418B2 (en) Frame handling within multi-stage switching fabrics
US11102173B2 (en) Systems and methods for routing data using software-defined networks
CN104734964B (zh) 报文处理方法、节点及系统
CN108259347B (zh) 一种报文传输方法和装置
CN110071878B (zh) 报文流量统计方法、装置、电子设备
CN106850432B (zh) 一种报文转发的方法及装置
CN105379218A (zh) 业务流的处理方法、装置及设备
CN105991444B (zh) 业务处理的方法和装置
CN107800627B (zh) 三态内容寻址存储器tcam表的写入方法及装置
CN112714052A (zh) 一种流量隔离方法、装置、交换机及存储介质
CN112491710B (zh) 一种基于Openflow的报文转发方法及设备
CN110808924B (zh) 芯片环回报文处理方法、装置及存储介质
CN113572774B (zh) 一种网络设备中的报文转发方法及装置
CN107682446B (zh) 一种报文镜像方法、装置及电子设备
CN112511438B (zh) 一种利用流表转发报文的方法、装置及计算机设备
US7778250B2 (en) Method and apparatus for securing a layer II bridging switch/switch for subscriber aggregation
CN108199965B (zh) Flow spec表项下发方法、网络设备、控制器及自治系统
US20140351878A1 (en) Location-aware rate-limiting method for mitigation of denial-of-service attacks
US10764177B2 (en) Efficient implementation of complex network segmentation
CN106973016B (zh) 访问控制方法、装置及设备
JP2007336220A (ja) パケット制御装置、パケット制御方法およびパケット制御プログラム
CN110365667B (zh) 攻击报文防护方法、装置、电子设备
KR20170131424A (ko) 부정 메시지로부터 통신 네트워크를 보호하기 위한 네트워크 보호 엔티티 및 방법
US7533183B1 (en) Central control of multiple address domains within a router

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant