TWI599204B - 伺服器的封包過濾方法及基板管理控制器 - Google Patents

伺服器的封包過濾方法及基板管理控制器 Download PDF

Info

Publication number
TWI599204B
TWI599204B TW105102615A TW105102615A TWI599204B TW I599204 B TWI599204 B TW I599204B TW 105102615 A TW105102615 A TW 105102615A TW 105102615 A TW105102615 A TW 105102615A TW I599204 B TWI599204 B TW I599204B
Authority
TW
Taiwan
Prior art keywords
packet
management controller
multicast packet
multicast
network
Prior art date
Application number
TW105102615A
Other languages
English (en)
Other versions
TW201728131A (zh
Inventor
郭明義
Original Assignee
神雲科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 神雲科技股份有限公司 filed Critical 神雲科技股份有限公司
Priority to TW105102615A priority Critical patent/TWI599204B/zh
Priority to US15/413,930 priority patent/US20170222955A1/en
Publication of TW201728131A publication Critical patent/TW201728131A/zh
Application granted granted Critical
Publication of TWI599204B publication Critical patent/TWI599204B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/30Peripheral units, e.g. input or output ports
    • H04L49/3018Input queuing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/201Multicast operation; Broadcast operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/50Overload detection or protection within a single switching element
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/50Overload detection or protection within a single switching element
    • H04L49/501Overload detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/50Overload detection or protection within a single switching element
    • H04L49/505Corrective measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/90Buffering arrangements
    • H04L49/9047Buffering arrangements including multiple buffers, e.g. buffer pools
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/28Timers or timing mechanisms used in protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

伺服器的封包過濾方法及基板管理控制器
本發明是有關於一種方法及裝置,特別是指一種伺服器的封包過濾方法及基板管理控制器。
現有的伺服器經常利用一基板管理控制器(Baseboard Management Controller)透過網路通信來實現遠端主機的監控管理,且在該基板管理控制器可以與網路中的其他任一遠端主機通信之前,該基板管理控制器必須具有該遠端主機的實體位址,也就是媒體存取控制(MAC)位址。於是,該基板管理控制器向區域網路發送一個位址解析通訊協定請求(ARP request)廣播封包向所有其他遠端主機詢問,來尋找該遠端主機,並取得其IP位址與MAC位址的配對資料。
然而,當遠端主機刻意利用例如多點傳送(multicast)、廣播(broadcast)等方式在短時間發送大量ARP請求封包給該基板管理控制器時,這種現象即所謂的ARP封包風暴,或稱為廣播風暴,如此一來恐導致基板管理控制器的網路佇列緩衝器 溢位,造成正常封包,如DHCP封包,無法被處理而被丟棄,情況嚴重時,該基板管理控制器的處理器負擔過重,而可能造成該基板管理控制器的排程處理或記憶體存取發生異常,進而導致該基板管理控制器運作失效。
因此,本發明之目的,即在提供一種能控制伺服器所發生的封包風暴的封包過濾方法。
於是,本發明伺服器的封包過濾方法,由一用於監控伺服器之運作的基板管理控制器執行,該封包過濾方法包含一步驟(A)、一步驟(B)、一步驟(C),及一步驟(D)。
該步驟(A)是該基板管理控制器致能一多播封包接收設定,以經由網路接收一多播封包。
該步驟(B)是該基板管理控制器將所接收的該多播封包進行儲存。
該步驟(C)是該基板管理控制器監看一時間週期中,該多播封包的儲存結果,以判斷是否發生封包風暴。
該步驟(D)是若步驟(C)判斷的結果為是,該基板管理控制器去能該多播封包接收設定,以停止接收來自網路的該多播封包。
此外,本發明之另一目的,即在提供一種執行該封包過濾方法的基板管理控制器。
於是,本發明基板管理控制器,適於監控伺服器之運作並包含一網路佇列緩衝器,及一處理器。
該網路佇列緩衝器儲存來自網路的一多播封包。
該處理器電連接該網路佇列緩衝器並包括一封包接收模組及一封包監控模組。該封包接收模組根據一多播封包接收設定被致能或被去能,而決定是否經由網路接收該多播封包。該封包監控模組在一時間週期中監看該網路佇列緩衝器,並根據該多播封包的儲存結果,判斷是否發生封包風暴,若是發生封包風暴,即去能該封包接收模組的多播封包接收設定,以使該封包接收模組停止接收來自網路的該多播封包。
本發明之功效在於:該基板管理控制器的處理器的封包監控模組可監看該網路佇列緩衝器對於該多播封包的儲存結果,並且在判斷出發生封包風暴時停止接收該多播封包,藉以降低封包風暴的影響並維持該伺服器、及該基板管理控制器自身的正常運作。
1‧‧‧伺服器
2‧‧‧基板管理控制器
21‧‧‧連接埠
22‧‧‧網路佇列緩衝器
23‧‧‧處理器
231‧‧‧封包接收模組
232‧‧‧封包監控模組
A‧‧‧致能接收設定的步驟
B‧‧‧儲存多播封包的步驟
C‧‧‧判斷封包風暴的步驟
C1‧‧‧計時的子步驟
C2‧‧‧篩選的子步驟
C3‧‧‧計數的子步驟
C4‧‧‧判斷的子步驟
D‧‧‧去能接收設定的步驟
本發明之其他的特徵及功效,將於參照圖式的實施方式中清楚地呈現,其中: 圖1是一方塊圖,說明本發明基板管理控制器的一實施例;及圖2是一流程圖,說明本發明伺服器之封包過濾方法的一實施例。
參閱圖1,本發明基板管理控制器2,適於監控一伺服器1之運作並包含一網路佇列緩衝器22、一連接埠21,及一處理器23。
該網路佇列緩衝器22能儲存來自網路的一多播封包及一正常資料封包。該多播封包是選自於一多點傳送(multicast)封包及一廣播(broadcast)封包其中的一者。該正常資料封包例如一動態主機配置協定(DHCP)封包。
該連接埠21用於建立該網路佇列緩衝器22的網路連接,以使該網路佇列緩衝器22儲存來自網路的該多播封包及該正常資料封包。
該處理器23電連接該網路佇列緩衝器22並包括一封包接收模組231及一封包監控模組232。其中,該封包接收模組231根據一多播封包接收設定被致能或被去能,而決定是否經由網路接收該多播封包。該封包監控模組232在一時間週期中監看該網路佇列緩衝器22,並根據該多播封包的儲存結果,判斷是否發生封包風暴(packet storm),若是發生封包風暴,即去能該封包接收模組231 的多播封包接收設定,以使該封包接收模組231停止接收來自網路的該多播封包。
參閱圖2,本發明封包過濾方法,由圖1所示的該基板管理控制器2執行,並包括以下步驟。
在步驟(A),該基板管理控制器2的處理器23的封包監控模組232致能該封包接收模組231的該多播封包接收設定,以經由網路接收該多播封包。
在步驟(B),該基板管理控制器2經由該連接埠21接收來自網路的該多播封包,並將該多播封包儲存至該網路佇列緩衝器22。
在步驟(C),該基板管理控制器2的處理器23的該封包監控模組232監看一時間週期中,該多播封包的儲存結果,以判斷是否發生封包風暴。且該步驟(C)包括以下子步驟。
步驟(C1),該基板管理控制器2的處理器23的封包監控模組232計時該時間週期。該封包監控模組232例如使用一計時器(timer)來計時。
步驟(C2),該基板管理控制器2的處理器23的封包監控模組232根據一用以標記該多播封包的辨識碼,以從所儲存的封包篩選出該多播封包。具體而言,該基板管理控制器2根據該網路佇列暫存器22所儲存的封包,其所帶的媒體存取控制(MAC)位 址的第一個位元組(byte)的值或是第一個位元(bit)的值作為該辨識碼,據以找出該多點傳送封包以及該廣播封包。
步驟(C3),該基板管理控制器2的處理器23的封包監控模組232計數在該時間週期所儲存的該多播封包的一總封包數目。
步驟(C4),該基板管理控制器2的處理器23的封包監控模組232判斷該總封包數目是否達到一門檻封包數目,該門檻封包數目為該多播封包在該時間週期所被允許的最大數目。若判斷為是,即進到步驟(D)。若判斷為否,即返回步驟(C1),並重複執行步驟(C1)至步驟(C3),亦即,該處理器23的封包監控模組232計算在該時間週期之後的一新的時間週期中該多播封包的總封包數目。
在步驟(D),若步驟(C4)判斷的結果為是,該基板管理控制器2的處理器23的封包監控模組232去能該封包接收模組231的多播封包接收設定長達一持續時間,以在該持續時間中停止接收來自網路的該多播封包。接著,該基板管理控制器2的處理器23在經過該持續時間後返回該步驟(A);也就是說,該基板管理控制器2會停止接收該多播封包、該網路佇列緩衝器22會停止儲存該多播封包長達該持續時間,而該封包監控模組232在經過該持續時間後,再致能該多播封包接收設定,以接收來自網路的該多播 封包並儲存於該網路佇列緩衝器22,並重複執行步驟(C1)至步驟(C4)來監看該多播封包的儲存結果。
舉一實例來說,該基板管理控制器2的處理器23的封包監控模組232致能該封包接收模組231的多播封包接收設定,讓所有來自網路的該正常資料封包及該多播封包都可以被接收進來,並且該處理器23設定該封包監控模組232的計時器的該時間週期為330毫秒(ms)、該門檻封包數目為5000個封包/秒(pps),以及該持續時間為1秒。藉此,該封包監控模組每330ms執行一次監看行程(session),該次行程會判斷網路佇列緩衝器22在該時間週期所收到的該多播封包之總封包數目是否大於等於1650個封包,若是,該封包監控模組232去能該封包接收模組231的多播封包接收設定,以阻擋該多點接收封包及該廣播封包,因此該多點接收封包及該廣播封包不會被存進網路佇列緩衝器22,只有該正常資料封包會被存入。等到1秒鐘後,該封包監控模組232再致能該封包接收模組231的該多播封包接收設定,並且再重複執行一次330ms的監看行程,判斷該網路佇列緩衝器22所收到的該多播封包的總封包數目是否大於等於1650個封包,若不是,則該處理器23的封包監控模組232會繼續致能該多播封包接收設定,讓所有來自網路的封包可被接收進網路佇列緩衝器22儲存,並且再重複執行一次330ms的監看行程。
藉由本發明封包過濾方法,可以避掉ARP封包風暴的封包數目最大至120000pps,能夠有效地降低ARP封包風暴所造成的影響,並維持該伺服器1及該基板管理控制器2的正常運作。此外,因為該封包過濾方法直接由該基板管理控制器2執行,不僅無需搭配外部裝置,而且諸如硬體設定值(如該時間週期、該門檻封包數目等)的設定、監控的運算及致/去能等切換機制都能直接利用該基板管理控制器2來操作,較為簡易,所以速度上也會較先前技術利用軟體運算快。
綜上所述,本發明該基板管理控制器2所執行之封包過濾方法,是藉由該處理器23的封包監看模組232監看該網路佇列緩衝器22對於該多播封包的儲存結果,並且在該多播封包的總封包數目達到該門檻封包數目時,判斷為發生封包風暴,並停止接收該多播封包,藉以降低封包風暴的影響並維持該基板管理控制器2自身之正常運作,因此,確實可達到本發明之目的。
惟以上所述者,僅為本發明之較佳實施例而已,當不能以此限定本發明實施之範圍,凡是依本發明申請專利範圍及專利說明書內容所作之簡單的等效變化與修飾,皆仍屬本發明專利涵蓋之範圍內。
1‧‧‧伺服器
2‧‧‧基板管理控制器
21‧‧‧連接埠
22‧‧‧網路佇列緩衝器
23‧‧‧處理器
231‧‧‧封包接收模組
232‧‧‧封包監控模組

Claims (8)

  1. 一種伺服器的封包過濾方法,由一用於監控伺服器之運作的基板管理控制器執行,該封包過濾方法包含:(A)該基板管理控制器致能一多播封包接收設定,以經由網路接收一多播封包;(B)該基板管理控制器將所接收的該多播封包進行儲存;(C)該基板管理控制器監看一時間週期中,該多播封包的儲存結果,以判斷是否發生封包風暴,該步驟(C)包括(C1)該基板管理控制器計時該時間週期,(C2)該基板管理控制器根據一用以標記該多播封包的辨識碼,以從所儲存的封包篩選出該多播封包,(C3)該基板管理控制器計數在該時間週期所儲存的該多播封包的一總封包數目,及(C4)該基板管理控制器判斷該總封包數目是否達到一門檻封包數目,該門檻封包數目為該多播封包在該時間週期所被允許的最大數目,若否即返回步驟(C1),;及(D)若步驟(C)判斷的結果為是,該基板管理控制器去能該多播封包接收設定,以停止接收來自網路的該多播封包。
  2. 如請求項第1項所述的封包過濾方法,其中,該多播封包是選自於一多點傳送(multicast)封包及一廣播(broadcast)封包其中的一者。
  3. 如請求項第1項所述的封包過濾方法,其中,在該步驟(D)中,該基板管理控制器去能該封包接收設定達一持續時間,並在經過該持續時間後返回該步驟(A)。
  4. 一種基板管理控制器,適於監控伺服器之運作並包含:一網路佇列緩衝器,儲存來自網路的一多播封包;及一處理器,電連接該網路佇列緩衝器並包括一封包接收模組,根據一多播封包接收設定被致能或被去能,而決定是否經由網路接收該多播封包,一封包監控模組,在一時間週期中監看該網路佇列緩衝器,並根據該多播封包的儲存結果,判斷是否發生封包風暴,若是發生封包風暴,即去能該封包接收模組的多播封包接收設定,以使該封包接收模組停止接收來自網路的該多播封包,該處理器的封包監控模組計時該時間週期,並根據一用以標記該多播封包的辨識碼,從該網路佇列緩衝器所儲存的封包篩選出該多播封包,以計數在該時間週期所儲存的該多播封包的一總封包數目,該封包監控模組判斷該時間週期中,該總封包數目是否達到一門檻封包數目,該門檻封包數目為該多播封包在該時間週期所被允許的最大數目,若是,該封包監控 模組去能該封包接收模組的該多播封包接收設定,若否,該封包監控模組重複計數該時間週期中的該多播封包。
  5. 如請求項4所述的基板管理控制器,還包含:一連接埠,用於建立該網路佇列緩衝器的網路連接,以使該網路佇列緩衝器儲存來自網路的該多播封包。
  6. 如請求項4所述的基板管理控制器,其中,該處理器的封包監控模組去能該封包接收模組的多播封包接收設定達一持續時間,以致該封包接收模組在該持續時間不接收該多播封包,並在經過該持續時間後,致能該封包接收設定。
  7. 如請求項4所述的基板管理控制器,其中,當該處理器的封包監控模組判斷該總封包數目未達到該門檻封包數目,該封包監控模組重複計時該時間週期並計數該多播封包。
  8. 如請求項4所述的基板管理控制器,其中,該多播封包是選自於一多點傳送封包及一廣播封包其中的一者。
TW105102615A 2016-01-28 2016-01-28 伺服器的封包過濾方法及基板管理控制器 TWI599204B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW105102615A TWI599204B (zh) 2016-01-28 2016-01-28 伺服器的封包過濾方法及基板管理控制器
US15/413,930 US20170222955A1 (en) 2016-01-28 2017-01-24 Method, server and baseboard management controller for interrupting a packet storm

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW105102615A TWI599204B (zh) 2016-01-28 2016-01-28 伺服器的封包過濾方法及基板管理控制器

Publications (2)

Publication Number Publication Date
TW201728131A TW201728131A (zh) 2017-08-01
TWI599204B true TWI599204B (zh) 2017-09-11

Family

ID=59385702

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105102615A TWI599204B (zh) 2016-01-28 2016-01-28 伺服器的封包過濾方法及基板管理控制器

Country Status (2)

Country Link
US (1) US20170222955A1 (zh)
TW (1) TWI599204B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020051862A1 (zh) * 2018-09-14 2020-03-19 华为技术有限公司 一种避免广播风暴的方法和装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7383574B2 (en) * 2000-11-22 2008-06-03 Hewlett Packard Development Company L.P. Method and system for limiting the impact of undesirable behavior of computers on a shared data network
US7346057B2 (en) * 2002-07-31 2008-03-18 Cisco Technology, Inc. Method and apparatus for inter-layer binding inspection to prevent spoofing
US7808985B2 (en) * 2006-11-21 2010-10-05 Gigle Networks Sl Network repeater
CN103181128A (zh) * 2010-10-28 2013-06-26 日本电气株式会社 网络系统和通信业务控制方法
EP2810406A4 (en) * 2012-01-30 2015-07-22 Allied Telesis Holdings Kk SAFE STATUS FOR NETWORKED DEVICES
FI20125761A (fi) * 2012-06-29 2013-12-30 Tellabs Oy Menetelmä ja laite datakehysmyrskyjen lähteiden ilmaisemiseksi
CN103685009B (zh) * 2012-08-31 2017-04-26 华为技术有限公司 数据包的处理方法、控制器及系统

Also Published As

Publication number Publication date
US20170222955A1 (en) 2017-08-03
TW201728131A (zh) 2017-08-01

Similar Documents

Publication Publication Date Title
US10996899B2 (en) System and method of configuring NVMe-oF devices using a baseboard management controller (BMC)
US9351024B2 (en) Managing the bandwidth of a communication session
JP6594667B2 (ja) 通信制御装置
CN106712899B (zh) 一种端口速率调整方法及设备
EP3119052A1 (en) Method, device and equipment of identifying attack flow in software defined network
US20170237769A1 (en) Packet transfer method and packet transfer apparatus
EP3261322B1 (en) Method for deep data inspection over an industrial internet field broadband bus
US12074729B2 (en) Message encapsulation method and apparatus, and message decapsulation method and apparatus
WO2021073103A1 (zh) 随流信息遥测能力的确认方法和设备
TWI599204B (zh) 伺服器的封包過濾方法及基板管理控制器
CN107579920B (zh) 数据流的传输方法、装置、存储介质及处理器
WO2015117455A1 (zh) 一种网络接入方法、系统及终端设备、计算机存储介质
CN106060085B (zh) 防止arp报文攻击方法以及装置
CN101883054B (zh) 组播报文处理方法、装置和设备
US11108594B2 (en) Implementing three-layer communication
WO2019120259A1 (zh) 一种媒体数据存储方法、存储装置及电子设备
EP2958285A2 (en) A method of extracting data from packets and an apparatus thereof
US20200267116A1 (en) Internet protocol version six address management
TWI727268B (zh) 用於實體鏈接分析的接入裝置及其方法
TWI587662B (zh) 透過濾除廣播訊息減少負擔之方法與系統以及電腦可讀式多媒體儲存裝置
US11646971B2 (en) Limiting backpressure with bad actors
CN113489656A (zh) 网络设备中一种协议报文限速的实现方法
US8045523B2 (en) Method and apparatus for performing media independent handover
CN107204889A (zh) 服务器的封包过滤方法及基板管理控制器
TWI558141B (zh) A lightweight real - time active call method and module for passive communication protocols