WO2016095440A1

WO2016095440A1 - 报文的发送处理方法、装置及一种网络设备

Info

Publication number: WO2016095440A1
Application number: PCT/CN2015/080063
Authority: WO
Inventors: 施玮; 洪创业; 郭金辉
Original assignee: 中兴通讯股份有限公司
Priority date: 2014-12-19
Filing date: 2015-05-28
Publication date: 2016-06-23
Also published as: CN105791140A

Abstract

本发明公开了一种报文的发送处理方法、装置及一种网络设备，其中，该方法包括：通过网络设备内位于接口板和转发芯片之间的反压装置接收接口板发送的报文；反压装置对报文中指定类型报文进行反压；反压装置将经过反压后的报文发送给转发芯片。通过本发明解决了相关技术中由网络处理器对所有报文先进行分析再进行处理，导致报文转发效率低的问题，从而有效释放操作系统队列及调度资源，提升了数据转发效率。

Description

报文的发送处理方法、装置及一种网络设备

技术领域

本发明涉及通信领域，具体而言，涉及报文的发送处理方法、装置及一种网络设备。

背景技术

网络设备安全性在现网应用中属于重要的技术参数，除了常见的二层攻击之外，网络设备也受到路由协议、应用协议等控制平面的流量冲击，这些流量有些属于合法的流量，有些属于非法流量，但是若流量过大或大量突发，网络设备控制平面处理负荷过重就会导致网络处理器瘫痪，致使设备不可用。

因此网络设备厂商都提供一些用于保护本设备安全的手段，例如攻击发现并抑制、黑白名单、安全日志、访问控制列表等措施。常用保护措施采用操作系统网络处理器方式运算单位时间接入请求报文的限速来防范攻击，超过部分将不区分合法或非法的接入请求被全部丢弃，在受到持续大量接入请求攻击时关闭接入电路，不接收任何接入请求报文。

以上所述方法在实际应用中存在较大局限性，比如，设备网络处理器对于每种接入请求报文均需判断是否合法，根据报文属性将报文放入不同的队列，需支持各种队列调度策略，包括严格优先级调度和轮转调度，网络操作系统需预留足够的处理队列及调度资源；而在非法用户发起大量攻击时，需先将报文进行存储，依据网络处理器分析结果决定进一步处理策略；采取关闭电路方式，设备将不接收和处理任何此类接入请求报文，包括正常用户的合法请求报文，对于高优先级协议报文无条件丢弃。可以看出，将数据传输所有报文送至网络处理器先进行分析再进行处理的方式，不能有效解决高效转发问题，无法充分利用网络处理器资源，影响网络设备的正常使用。

针对相关技术中，由网络处理器对所有报文先进行分析再进行处理，导致报文转发效率低的问题，还没有提出有效的解决方案。

发明内容

本发明实施例提供了一种报文的发送处理方法、装置及一种网络设备，以至少解决相关技术中由网络处理器对所有报文先进行分析再进行处理，导致报文转发效率低的问题。

根据本发明的一个实施例，提供了一种报文的发送处理方法，该方法通过网络设备内位于接口板和转发芯片之间的反压装置实现，所述方法包括：所述反压装置接收所述接口板发送的报文；所述反压装置对所述报文中指定类型报文进行反压；所述反压装置将经过反压后的报文发送给所述转发芯片。

在本发明实施例中，所述反压装置对所述报文中指定类型报文进行反压包括：所述反压装置判断所述报文中指定报文的类型是否存在于本地报文特征表中；在判断结果为是的情况下，将流量大于预定阈值的所述指定报文作为所述指定类型报文，并对所述指定类型报文进行反压；在判断结果为否的情况下，将所述指定报文作为所述指定类型报文，并对所述指定类型报文进行反压。

在本发明实施例中，所述本地报文特征表通过通用设备语言设定。

在本发明实施例中，所述反压装置对所述报文中指定类型报文进行反压之前包括：为所述报文分配特征码，并将所述特征码携带于所述报文中，其中，所述特征码用于指示所述报文的类型。

在本发明实施例中，所述反压装置判断所述报文中指定报文的类型是否存在于本地报文特征表中之前，所述方法还包括：根据所述网络设备在网络中的位置，选择与所述位置对应的所述本地报文特征表。

在本发明实施例中，所述反压装置对所述报文中指定类型报文进行反压包括：所述反压装置对所述指定类型报文进行多级反压。

在本发明实施例中，所述反压装置包括：单元装置和单元装置组，其中，所述单元装置为对所述指定类型报文进行反压的最小单元，所述单元装置组由类型相同的所述单元装置组成；所述反压装置对所述指定类型报文进行多级反压包括：所述反压装置通过单元装置和单元装置组依次对所述指定类型报文进行逐级反压。

在本发明实施例中，所述特征码的粒度包括以下之一：端口、总线。

根据本发明的一个实施例，提供了一种网络设备，包括接口板和转发芯片，在所述接口板和所述转发芯片之间设置有反压装置：所述反压装置接收所述接口板发送的报文；所述反压装置对所述报文中指定类型报文进行反压；所述反压装置将经过反压后的报文发送给所述转发芯片。

根据本发明的另一个实施例，还提供了一种报文的发送处理装置，所述装置应用于反压装置，其中所述反压装置位于接口板和转发芯片之间，所述装置包括：接收模块，设置为接收所述接口板发送的报文；反压模块，设置为对所述报文中指定类型报文进行反压；发送模块，设置为将经过反压后的报文发送给所述转发芯片。

在本发明实施例中，所述反压模块包括：判断单元，设置为判断所述报文中指定报文的类型是否存在于本地报文特征表中；反压单元，设置为在判断结果为是的情况下，所述反压装置将流量大于预定阈值的所述指定报文作为所述指定类型报文，并对所述指定类型报文进行反压；在判断结果为否的情况下，所述反压装置将所述指定报文作为所述指定类型报文，并对所述指定类型报文进行反压。

通过本发明实施例，通过网络设备内位于接口板和转发芯片之间的反压装置接收接口板发送的报文；反压装置对报文中指定类型报文进行反压；反压装置将经过反压后的报文发送给转发芯片。解决了相关技术中由网络处理器对所有报文先进行分析再进行处理，导致报文转发效率低的问题，从而有效释放操作系统队列及调度资源，提升了数据转发效率。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的报文的发送处理方法的流程图；

图2是根据本发明实施例的网络设备的结构框图；

图3是根据本发明实施例的报文的发送处理装置的结构框图；

图4是根据本发明实施例的报文的发送处理装置的结构框图(1)；

图5是根据本发明实施例的反压装置在设备中位置示意图；

图6是根据本发明实施例的装置特征码运算示意图；

图7是根据本发明实施例的装置二级反压示意图；

图8是根据本发明实施例的装置与不同操作系统产品对接示意图；

图9是根据本发明实施例的反压与不同网络层设备联动对接示意图；

图10是根据本发明实施例的接口独立芯片反压装置实施例流程图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

在本实施例中提供了一种报文的发送处理方法，图1是根据本发明实施例的报文的发送处理方法的流程图，如图1所示，该流程包括如下步骤：

步骤S102，位于接口板和转发芯片之间的反压装置接收接口板发送的报文；

步骤S104，反压装置对报文中指定类型报文进行反压；

步骤S106，反压装置将经过反压后的报文发送给转发芯片。

通过上述步骤，位于接口板和转发芯片之间的反压装置对来自接口板的指定类型报文进行反压，并将经过反压后的报文发送给转发芯片，其中，反压装置是独立运行芯片，采用通用机器语言，可以为不同设备厂商、不同网络位置设备使用嫁接。相比于相关技术中，数据传输所有报文均由网络处理器先进行分析再进行处理，上述步骤通过芯片反压装置将需要网络处理器分析后处理的工作在底层完成，有效释放操作系统队列及调度资源，提升数据转发效率。

反压装置是对指定类型的报文进行转发，而对于其他类型的报文例如合法报文可以直接通过反压装置，而不对其进行反压处理。在一个可选实施例中，反压装置判断该报文中指定报文的类型是否存在于本地报文特征表中，在判断结果为是的情况下，并且该指定报文的流量大于预定阈值的情况下，反压装置对该指定报文进行反压。在另一个可选实施例中，在判断结果为否的情况下，反压装置将指定报文作为指定类型报文，并对指定类型报文进行反压。

在一个可选实施例中，本地报文特征表通过通用设备语言设定。

对于指定类型报文的判断，在一个可选实施例中，反压装置对报文中指定类型报文进行反压之前，首先为报文分配特征码，并将特征码携带于报文中，其中，特征码用于指示报文的类型。从而通过为报文分配特征码将报文进行了分类。

对于本地报文特征表的选取需要符合一定的规则，在一个可选实施例中，根据网络设备在网络中的位置，选择与位置对应的本地报文特征表。

上述步骤S104涉及到反压装置对报文中指定类型报文进行反压，需要说明的是，反压装置可以通过多种方式对报文进行反压，例如，反压装置对指定类型报文可以进行一级反压或者多级反压。

在一个可选实施例中，反压装置包括：单元装置和单元装置组，其中，单元装置为对指定类型报文进行反压的最小单元，单元装置组由类型相同的该单元装置组成；反压装置对指定类型报文进行多级反压包括：反压装置通过单元装置和单元装置组依次对指定类型报文进行逐级反压。例如，可以通过单元装置和单元装置组对指定类型的报文进行二级反压。

在一个可选实施例中，特征码的粒度包括端口或者总线。

在另一个实施例中提供了一种网络设备，图2是根据本发明实施例的网络设备的结构框图，如图2所示，该网络设备包括接口板22和转发芯片24，在接口板22和转发芯片24之间设置有反压装置26：反压装置26接收接口板22发送的报文；反压装置26对报文中指定类型报文进行反压；反压装置26将经过反压后的报文发送给转发芯片24。

在本实施例中还提供了一种报文的发送处理装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图3是根据本发明实施例的报文的发送处理装置的结构框图，如图3所示，该装置应用于反压装置，其中反压装置位于接口板和转发芯片之间，装置包括：接收模块32，设置为接收该接口板发送的报文；反压模块34，设置为对报文中指定类型报文进行反压；发送模块36，设置为将经过反压后的报文发送给转发芯片。

图4是根据本发明实施例的报文的发送处理装置的结构框图(1)，如图4所示，反压模块34包括：判断单元342，设置为判断该报文中指定报文的类型是否存在于本地报文特征表中；反压单元344，设置为在判断结果为是的情况下，将流量大于预定阈值的该指定报文作为该指定类型报文，并对该指定类型报文进行反压；在判断结果为否的情况下，将指定报文作为该指定类型报文，并对该指定类型报文进行反压。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述各个模块均位于同一处理器中；或者，上述各个模块分别位于第一处理器、第二处理器和第三处理器…中。

本可选实施例的主要目的是提供一种芯片反压装置，装置介于接口板硬件和转发芯片之间，如图5所示，装置与接口板高速链路连接，对投递前的数据进行流量特征检查及反压，达到将保护措施与网络处理器资源分离的目的。独立芯片提供内置通用机器语言识别流量特征，为不同网络位置，不同操作系统的网络设备提供了通用性的安全解决方案。

为解决相关技术中存在的上述技术问题，本可选实施例提供了一种芯片装置的设计方法，该方法包括：

步骤A.特征码编码，图6是根据本发明实施例的装置特征码运算示意图，如图6所示，装置通过机器语言设定本地报文特征表，特征表对各种报文关键特征位置进行定义，并设定阙值，为特征码识别反压提供依据；

步骤B.特征码识别，如图6所示，装置通过查询本地报文特征表，进行报文特征码分类，识别报文特征，如二层数据链路层报文、三层网络层报文；

步骤C.特征码运算，如图6所示，装置对每一个进行分类识别的报文进行运算，对于单位时间内超出设定阙值的数据进行反压标记；

步骤D.特征码反压，图7是根据本发明实施例的装置二级反压示意图，如图7所示，装置对特征数据进行二级反压控制。第一级反压，通过单元装置进行反压。通过该级反压，可以使单元装置之间相互不影响；第二级反压，通过单元组进行反压。将多个单元标记为相同单元组，实现多单元以组为单位进行安全管理及反压。

可选地，上述方法还可具有以下特点：所述步骤A中，特征码编码采用通用设备语言，与网络设备操作系统分离，可独立运行。

可选地，上述方法还可具有以下特点：所述步骤A中，图8是根据本发明实施例的装置与不同操作系统产品对接示意图，该装置，如图8所示，可对接不同操作系统产品，不同设备厂商产品。

可选地，上述方法还可具有以下特点：所述步骤A中，图9是根据本发明实施例的反压与不同网络层设备联动对接示意图，该装置，如图9所示，可依据不同网络产品，网络产品处理性能设定不同初始值，与设备进行联动。

在本发明实施例中，上述方法还可具有以下特点：所述步骤B中，该装置对报文流进行的特征码识别可基于端口级，也可基于转发总线进行。

在本发明实施例中，上述方法还可具有以下特点：所述步骤B中，装置可以按照不同接口、线卡资源粒度进行安装；支持接口间、线卡间的联动。

在本发明实施例中，上述方法还可具有以下特点：所述步骤C中，按照流特征码以及特征信任度划分为不同的反压级别，可以将信息通过运算通道输出显示。

在本发明实施例中，上述方法还可具有以下特点：所述步骤D中，特征码反压可以使物理接口之间的特征流相互不影响，同一接口下不同的特征流之间相互不影响。

本可选实施例的装置是一种底层接口级芯片反压装置，装置介于接口板硬件和转发芯片之间，属于板卡级；装置不依赖网络设备操作系统平台，采用通用机器语言实现数据解析。图10是根据本发明实施例的接口独立芯片反压装置实施例流程图，如图10所示，本可选实施例的接口独立芯片反压装置实施例流程图，该方法需要进行以下步骤：

步骤S1002：装置通过机器语言设定本地报文特征表，特征表对各种报文关键特征位置进行定义，并设定阙值，为特征码识别反压提供依据。默认初始化将特征表归为三类；第一类，为三层分发表：根据传输层的特征信息识别；第二类，为二层分发表；根据链路层特征信息识别；第三类，为异常分发表：除了传输层和链路层的报文外的数据都需要做异常分类的特殊处理。如果编译通过，执行步骤S1004；

步骤S1004：根据配套设备网络放置位置，启用对应特征表开关，并部署独立芯片反压装置。装置部署在网络设备接口板与转发微码间，衔接底层转发通道，如果成功，执行步骤S1006；

步骤S1006：装置通过查询本地报文特征表，根据步骤S1004中启用的特征码分类，将不同类型特征数据打上不同特征码，进行特征分类。如果分类成功，执行步骤S1008，如果分类不成功，执行步骤S1010；

步骤S1008：装置对进行特征识别的报文进行运算，对于单位时间内超出设定阙值的特征数据，使能反压标记；同时，根据运算通道输出结果，判断是否要对初始设定进行调整，如需调整，返回步骤S1002，重新进行设定；如果不需要进行调整，执行步骤S1012；

步骤S1010：对于特征数据分类如果不成功，特征数据将归入异常分发表，异常分发表数据直接使能反压标记，执行步骤S1012；

步骤S1012：装置对报文进行二级反压控制。反压需要进行死循环检测，死锁检测；反压采用智能分时机制进行，多通道同时工作。

第一级反压，通过单元装置进行反压。如果某个单元装置的特征数据超标，步骤S1008会将该单元装置携带流量使能反压标记，装置对流量进行进一步处理，实施对于标记单元的流控反压。

第二级反压，通过单元装置组进行反压。将多个单元标记为相同单元组，将各种单元装置反压结果进行组累加，并以此为粒度，与单元组预设值进行比较，实施对于标记单元组的流控反压。流程结束。

与通过网络处理器进行业务控制的技术相比,本发明介绍的通过接口独立芯片实现反压的技术具有更加灵活的预定义、更加灵活的部署方式等特点。

如图6所示，每个反压芯片，一共有16各高速链路反压链路，其中在本发明中共引出12条高速反压链路。每张特征表对应特征反压表计算，每张特征反压表采用16x16的特征表编码。每片反压芯片支持16对高速串行链路技术，当与多总线对接时，可实现1+1负荷分担，每对串行链路速率高达百G。

如图8，图9所示，独立芯片反压装置支持动态创建不同特征表。基于网络设备位置对业务流量类型进行特征标记，并且可以对特征流进行细分。以边界网关协议(Border Gateway Protocol，简称为BGP)协议为例，可以细分为bgp-default、bgp-cfg-peer、bgp-known三种sub-type。其中：

bgp-default是缺省情况下的类型，为其分配的优先级最低，例如BGP的179端口侦听条目。

bgp-cfg-peer是配置生成表项，还没有建立邻居的信任关系，分配的优先级稍高，例如BGP配置了neighbor后，通过发起connect生成的表项。

bgp-known是已建立邻居信任关系，分配优先级最高。从BGP邻居的配置到建立成功，该邻居对应的报文优先级会动态的从最低升至最高。

对于位于核心层、接入层部署的设备，反压装置会将此受信任的信息同步到特征表中，特征表可以保护已有业务在攻击发生时的正常运行。后续匹配特征表协议的报文会被采用预先设置的反压策略进行流量控制，由此保证了此邻居相关业务的运行可靠性、稳定性。

而对于位于汇聚层的设备，反压装置会将此信息从特征表中删除，BGP报文对应的特征表将无法创建。在此条件下，网络设备收到的任何BGP报文，因为无法匹配特征表被放入异常分发表，进行反压处理。

独立芯片反压装置通过特征表特性保护设备的应用层数据、网络层数据，将确定为正常使用的合法数据或者是高优先级数据做合理特征表及初始值定义，没有匹配特征表的报文会被放入异常分发表进行反压处理。

如图8，图9所示，独立芯片反压装置根据不同网络位置设备进行特征表联动，动态反压控制。特征表联动是通过将特征表库文件与网络设备位置选用开关关联起来，对于不同网络设备中的反压装置启动不同的选用开关，没有开启的特征表项，装置默认以异常特征表方式处理，这样就将不同位置攻击者的攻击范围尽可能缩小，增加了攻击的成本，减少了设备的安全风险。

如图10所示，独立芯片的反压装置支持全方位、多层次的流控反压功能。仅以流量特征反压行为为例，可以基于单元芯片、单元芯片组的两级反压策略、并且反压特征码可以根据网络设备位置灵活定义配置。

独立芯片反压装置作为一种多维度、细分、可控的技术保护手段，能有效的提高不同位置网络设备，不同平台网络设备的抗攻击、防冲击的能力，增强设备的稳定性，提升设备持续工作时间，提高运营商的服务质量。

综上所示，本发明通过是一种底层接口级芯片反压装置，芯片介于接口板硬件和转发芯片之间的一层，属于板卡级，主要目的用于保护网络设备操作系统。芯片反压装置将需要网络处理器分析后处理的工作在底层完成，有效释放操作系统队列及调度资源，提升数据转发效率，并且装置采用通用设备语言，可独立编码嫁接在不同的网络设备中，可兼容多厂商设备。芯片装置不依赖网络设备操作系统平台，采用通用机器语言实现数据解析，兼容不同操作系统平台。

在另外一个实施例中，还提供了一种软件，该软件用于执行上述实施例及优选实施方式中描述的技术方案。

在另外一个实施例中，还提供了一种存储介质，该存储介质中存储有上述软件，该存储介质包括但不限于：光盘、软盘、硬盘、可擦写存储器等。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性

本发明实施例上述提供的技术方案，可以应用于报文的发送处理过程中，通过网络设备内位于接口板和转发芯片之间的反压装置接收接口板发送的报文；反压装置对报文中指定类型报文进行反压；反压装置将经过反压后的报文发送给转发芯片。解决了相关技术中由网络处理器对所有报文先进行分析再进行处理，导致报文转发效率低的问题，从而有效释放操作系统队列及调度资源，提升了数据转发效率。

Claims

一种报文的发送处理方法，该方法通过网络设备内位于接口板和转发芯片之间的反压装置实现，所述方法包括：

所述反压装置接收所述接口板发送的报文；

所述反压装置对所述报文中指定类型报文进行反压；

所述反压装置将经过反压后的报文发送给所述转发芯片。
根据权利要求1所述的方法，其中，所述反压装置对所述报文中指定类型报文进行反压包括：

所述反压装置判断所述报文中指定报文的类型是否存在于本地报文特征表中；

在判断结果为是的情况下，所述反压装置将流量大于预定阈值的所述指定报文作为所述指定类型报文，并对所述指定类型报文进行反压；

在判断结果为否的情况下，所述反压装置将所述指定报文作为所述指定类型报文，并对所述指定类型报文进行反压。
根据权利要求2所述的方法，其中，所述本地报文特征表通过通用设备语言设定。
根据权利要求2所述的方法，其中，所述反压装置对所述报文中指定类型报文进行反压之前包括：

为所述报文分配特征码，并将所述特征码携带于所述报文中，其中，所述特征码用于指示所述报文的类型。
根据权利要求2所述的方法，其中，所述反压装置判断所述报文中指定报文的类型是否存在于本地报文特征表中之前，所述方法还包括：

根据所述网络设备在网络中的位置，选择与所述位置对应的所述本地报文特征表。
根据权利要求1所述的方法，其中，所述反压装置对所述报文中指定类型报文进行反压包括：

所述反压装置对所述指定类型报文进行多级反压。
根据权利要求6所述的方法，其中，所述反压装置包括：单元装置和单元装置组，其中，所述单元装置为对所述指定类型报文进行反压的最小单元，所述单元装置组由类型相同的所述单元装置组成；所述反压装置对所述指定类型报文进行多级反压包括：

所述反压装置通过单元装置和单元装置组依次对所述指定类型报文进行逐级反压。
根据权利要求4所述的方法，其中，所述特征码的粒度包括以下之一：

端口、总线。
一种网络设备，包括接口板和转发芯片，在所述接口板和所述转发芯片之间设置有反压装置：

所述反压装置接收所述接口板发送的报文；

所述反压装置对所述报文中指定类型报文进行反压；

所述反压装置将经过反压后的报文发送给所述转发芯片。
一种报文的发送处理装置，所述装置应用于反压装置，其中所述反压装置位于接口板和转发芯片之间，所述装置包括：

接收模块，设置为接收所述接口板发送的报文；

反压模块，设置为对所述报文中指定类型报文进行反压；

发送模块，设置为将经过反压后的报文发送给所述转发芯片。
根据权利要求10所述的装置，其中，所述反压模块包括：

判断单元，设置为判断所述报文中指定报文的类型是否存在于本地报文特征表中；

反压单元，设置为在判断结果为是的情况下，将流量大于预定阈值的所述指定报文作为所述指定类型报文，并对所述指定类型报文进行反压；在判断结果为否的情况下，将所述指定报文作为所述指定类型报文，并对所述指定类型报文进行反压。