WO2016138845A1

WO2016138845A1 - 一种实现协议报文上送cpu的方法和装置

Info

Publication number: WO2016138845A1
Application number: PCT/CN2016/074861
Authority: WO
Inventors: 潘庭山
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-03-03
Filing date: 2016-02-29
Publication date: 2016-09-09
Also published as: CN105991391A; US20180054416A1; EP3267641A1; EP3267641A4

Abstract

一种实现协议报文上送中央处理器CPU的方法和装置，包括：接收并解析报文，根据所述报文的虚拟局域网vlan标识查找vlan表，所述vlan表中包含vlan标识是否为三层接口的标识，根据所述vlan表判断所述vlan标识如果为三层接口，则根据所述vlan标识为三层接口的标识以及所述报文的协议类型判断是否将所述报文上送CPU。所述装置包括接收模块和转发模块。

Description

一种实现协议报文上送CPU的方法和装置

技术领域

本文涉及但不限于局域网交换技术，具体涉及一种实现协议报文上送中央处理器(CPU，Central Processing Unit)的方法和装置。

背景技术

如图1所示，对于交换机来说，一般都包括交换芯片以及与交换芯片相连的CPU，交换芯片对于数据报文进行二、三层硬件快速转发，交换机之间的二、三层协议交互一般由交换机内部的CPU来处理，交换芯片通过内部寄存器设置、内部表项设置或者访问控制列表(ACL，Access Control List)规则设置来实现协议报文上送CPU。目前的交换芯片对于协议报文上送支持都有缺陷，实际使用中一般需要综合内部寄存器上送、内部表项上送和ACL规则上送来实现所有需要的协议报文上送CPU处理。由此可见目前交换芯片上送协议报文处理复杂，而且会占用比较多的ACL资源。ACL都是三态内容寻址存储器(TCAM，ternary content addressable memory)，TCAM资源比较贵，交换芯片一般支持的ACL条目是有限的，ACL基本可以灵活支持交换芯片的所有功能，如果协议上送占用ACL条目多了。那么就会影响交换芯片很多功能的性能指标。

即使采用ACL资源，由于ACL资源的限制和全局的权衡，目前很多协议请求比如地址解析协议(ARP，Address Resolution Protocol)请求等都存在不必要的错误上送问题，导致有用的协议报文被攻击从而丢弃，同时会增加CPU不必要的处理负担。

发明内容

以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

本发明实施例提出了一种实现协议报文上送CPU的方法和装置，能够减少CPU的处理负担。

本发明实施例提供了一种实现协议报文上送CPU的方法，包括：

交换芯片接收并解析报文；

交换芯片在预先设置的vlan表中查找解析得到的报文的虚拟局域网vlan标识对应的表示是否为三层接口的标识，其中，所述vlan表中包含vlan标识和表示是否为三层接口的标识之间的对应关系；

交换芯片判断出查找到的表示是否为三层接口的标识为表示是三层接口的标识，判断出解析得到的报文的协议类型报文与预先设置的上报表中的三层相关协议报文的协议类型相匹配，将报文上送CPU。

可选地，该方法还包括：

所述交换芯片判断出所述查找到的表示是否为三层接口的标识为表示不是三层接口的标识，对所述报文进行非三层相关协议报文的处理。

可选地，该方法还包括：

所述交换芯片判断出所述解析得到的报文的协议类型与所述上报表中的三层相关协议报文的协议类型不匹配，不将所述报文上送所述CPU。

可选地，所述上报表中的三层相关协议报文的协议类型包括以下的一种或多种：地址解析协议ARP，开放式最短路径优先OSPF，动态主机配置协议DHCP。

本发明实施例还提出了一种计算机可读存储介质，存储有计算机可执行指令，计算机可执行指令用于执行上述描述的任意一个方法。

本发明实施例还提供了一种实现协议报文上送CPU的装置，包括接收模块和处理模块，其中：

所述接收模块，设置为接收并解析报文；

处理模块，设置为在预先设置的vlan表中查找解析得到的报文的虚拟局域网vlan标识对应的表示是否为三层接口的标识，其中，所述vlan表中包含vlan标识和表示是否为三层接口的标识之间的对应关系；

交换芯片判断出查找到的表示是否为三层接口的标识为表示是三层接口的标识，判断出解析得到的报文的协议类型与预先设置的上报表中的三层相关协议报文的协议类型相匹配，将报文上送CPU。

可选地，所述处理模块还设置为，

判断出所述查找到的表示是否为三层接口的标识为表示不是三层接口的标识，对所述报文进行非三层相关协议报文的处理。

可选地，所述处理模块还设置为，

判断出所述解析得到的报文的协议类型与所述上报表中的三层相关协议报文的协议类型不匹配，不将所述报文上送所述CPU。

与相关技术相比较，本发明实施例减少了CPU的处理负担，实现了协议报文准确便捷上送，解决了目前交换芯片协议报文上送操作复杂，占用过多的ACL资源，同时可能存在不必要的报文上送攻击CPU的问题。

本发明实施例的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明实施例的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

在阅读并理解了附图和详细描述后，可以明白其他方面。

附图概述

图1为相关技术中交换机系统示意图；

图2为本发明实施例一流程图；

图3为本发明实施例二装置结构示意图；

图4为本发明实施例应用示例协议报文上送CPU流程图。

本发明的实施方式

下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

实施例一

本实施例描述实现协议报文上送CPU的方法，如图2所示，包括以下步骤：

步骤110，交换芯片接收并解析报文；

本步骤中，报文进入交换芯片进行正常的解析处理，解析出报文的虚拟局域网(vlan，Virtual Local Area Network)标识(最外层vlan标识)以及该报文的协议类型。每种协议报文对应一个全局寄存器，用于存储该种协议类型的报文。

其中，交换芯片如何对报文进行解析处理得到vlan标识可以采用本领域技术人员的公知技术实现，并不用于限定本发明的保护范围，这里不再赘述。

步骤120，交换芯片在预先设置的vlan表中查找解析得到的报文的vlan标识对应的表示是否为三层接口的标识，判断出查找到的表示是否为三层接口的标识为表示是三层接口的标识，执行步骤130；

在vlan表中预先设置一个表示vlan标识是否为三层接口的标识，例如设置1比特(bit)的表示是否为三层接口的标识，如果vlan标识为三层接口，则表示是否为三层接口的标识为1，如果vlan标识不是三层接口，则表示是否为三层接口的标识为0。表示是否为三层接口的标识为全局设置。如果报文的vlan标识为三层接口，那么交换芯片会对该报文进行标识。

如果所述vlan标识为表示不是三层接口的标识，则交换芯片根据入端口号和协议类型对报文进行非三层相关协议报文的处理。

其中，入端口号是指交换芯片接收到报文的端口号。

其中，交换芯片根据入端口号和协议类型对报文进行非三层相关协议报文的处理包括：

交换芯片在预先设置的端口号中查找到入端口号，且判断出解析得到的报文的协议类型与预先设置的二层相关协议报文的报文类型相匹配，将报文上送CPU。

可选的，交换芯片在预先设置的端口号中查找不到入端口号，或判断出解析得到的报文的协议类型与预先设置的二层相关协议报文的报文类型不匹配，不将报文上送CPU，按照交换芯片的正常转发流程进行转发。

如果二层相关协议报文的协议类型包含有解析得到的报文的协议类型，交换芯片判断出解析得到的报文的协议类型与预先设置的二层相关协议报文的协议类型相匹配。

如果二层相关协议报文的协议类型不包含解析得到的报文的协议类型，交换芯片判断出解析得到的报文的协议类型与预先设置的二层相关协议报文的协议类型不匹配。

其中，预先设置的端口号可以采用多种方式实现，例如将端口使能位图保存在交换芯片中，每一个端口对应一个使能位(即一个比特位)，采用1表示上送CPU，采用0表示不上送CPU。

步骤130，交换芯片判断出解析得到的报文的协议类型与预先设置的上报表中的三层相关协议报文的协议类型相匹配，将报文上送CPU。

本步骤中，如果上报表中的三层相关协议报文的协议类型包含有解析得到的报文的协议类型，交换芯片判断出解析得到的报文的协议类型与预先设置的上报表中的三层相关协议报文的协议类型相匹配。

如果上报表中的三层相关协议报文的协议类型不包含解析得到的报文的协议类型，交换芯片判断出解析得到的报文的协议类型与预先设置的上报表中的三层相关协议报文的协议类型不匹配。

可选的，该方法还包括：

交换芯片判断出解析得到的报文的协议类型与预先设置的上报表中的三层相关协议报文的协议类型不匹配，不将报文上送CPU。

所述上报表中的三层相关协议报文的协议类型包括以下的一种或多种：地址解析协议(ARP，Address Resolution Protocol)，开放式最短路径优先(OSPF，Open Shortest Path First)，动态主机配置协议(DHCP，Dynamic Host Configuration Protocol)。

本文所述三层相关协议报文本身不一定是三层报文即以太网类型可能不是0x0800，例如ARP报文。

本实施例针对二三层交换机的协议报文进行区分，二层协议报文基于物理端口上送，三层相关协议报文基于vlan端口是否使能三层接口进行上送，即满足以下两个条件的报文才可能被上送CPU：报文的vlan标识使能三层接口，报文的协议类型属于预设的三层相关协议报文的协议类型。上报过程由寄存器全局控制，与物理端口、vlan端口均无关，降低处理复杂度，节省硬件资源。

实施例二

本实施例描述实现上述实施例一方法的装置，如图3所示，包括接收模块210和处理模块220，其中：

所述接收模块210，设置为接收并解析报文；

所述处理模块220，设置为在预先设置的vlan表中查找解析得到的报文的虚拟局域网vlan标识对应的表示是否为三层接口的标识，其中，所述vlan表中包含vlan标识和表示是否为三层接口的标识之间的对应关系；

可选地，处理模块220还设置为，

可选的，处理模块220还设置为，

可选的，上报表中的三层相关协议报文的协议类型包括以下的一种或多种：ARP，OSPF，DHCP。

应用示例

下面结合应用示例对上述实施例方法进行具体说明。在以下示例中，以接收报文为arp报文为例进行说明，其他类型协议报文参照执行。

如图1所示的交换机，其中端口1属于vlan 1，端口2属于vlan 2。对于vlan 2配置了三层接口，对于vlan 1没有配置三层接口。由于vlan 2配置为三层接口，全局设置vlan 2的vlan表，标识该vlan2为三层接口vlan，协议类型为arp报文上送cpu。vlan 1不用设置。全局设置一上报表，用于记录允许上报CPU的三层相关协议报文的协议类型，在本示例中所述上报表中的协议类型包括arp报文。

端口1有大量vlan 1的arp请求报文进入交换机准备攻击cpu，端口2有vlan 2的arp请求报文需要cpu进行处理。报文上送cpu的流程如图4所示，下面对端口1进入报文和端口2进入报文的处理进行分别说明。

端口1的arp请求报文处理如下：

步骤1：arp请求报文从端口1进入交换机，交换芯片解析报文为arp报文；

步骤2：查vlan表判断报文携带vlan标识是否属于3层接口，由于报文的vlan为1，查找vlan表中vlan 1对应的表示是否为三层接口的标识，判断出vlan1不属于三层接口；

步骤3：查上报表判断报文的协议类型是否为预设的三层相关协议报文的协议类型，arp报文虽然本身是二层报文，但是属于三层相关协议报文，与上报表中协议类型相匹配；

在其他实施例中，步骤3可以省略。

步骤4’：由于报文的vlan不属于三层接口vlan，所以此arp报文不会上送cpu，企图攻击cpu的目的达不到。

不上送cpu的报文按照交换芯片的其他转发规则(例如入端口号和协议类型)进行处理。

端口2的arp请求报文处理如下：

步骤1：arp请求报文从端口2进入交换机，交换芯片解析报文为arp报文；

步骤2：查vlan表判断报文携带的vlan标识是否属于3层接口，由于报文的vlan为2，查找vlan表vlan 2对应的表示是否为三层接口的标识，判断出vlan 2属于三层接口；

步骤4：交换芯片根据报文的vlan属于三层接口vlan，以及协议类型与上报表中协议类型相匹配，所以此arp报文上送cpu处理，进行正常的arp报文上送。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件(例如处理器)完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，例如通过集成电路来实现其相应功能，也可以采用软件功能模块的形式实现，例如通过处理器执行存储与存储器中的程序/指令来实现其相应功能。本发明不限于任何特定形式的硬件和软件的结合。

虽然本发明所揭露的实施方式如上，但所述的内容仅为便于理解本发明而采用的实施方式，并非用以限定本发明。任何本发明所属领域内的技术人员，在不脱离本发明所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本发明的专利保护范围，仍须以所附的权利要求书所界定的范围为准。

工业实用性

本发明实施例减少了CPU的处理负担，实现了协议报文准确便捷上送，解决了目前交换芯片协议报文上送操作复杂，占用过多的ACL资源，同时可能存在不必要的报文上送攻击CPU的问题。

Claims

一种实现协议报文上送中央处理器CPU的方法，包括：

交换芯片接收并解析报文；

交换芯片在预先设置的虚拟局域网vlan表中查找解析得到的报文的虚拟局域网vlan标识对应的表示是否为三层接口的标识，其中，所述vlan表中包含vlan标识和表示是否为三层接口的标识之间的对应关系；

交换芯片判断出查找到的表示是否为三层接口的标识为表示是三层接口的标识，判断出解析得到的报文的协议类型与预先设置的上报表中的三层相关协议报文的协议类型相匹配，将报文上送CPU。
根据权利要求1所述的方法，该方法还包括：

所述交换芯片判断出所述查找到的表示是否为三层接口的标识为表示不是三层接口的标识，对所述报文进行非三层相关协议报文的处理。
根据权利要求1所述的方法，该方法还包括：

所述交换芯片判断出所述解析得到的报文的协议类型与所述上报表中的三层相关协议报文的协议类型不匹配，不将所述报文上送所述CPU。
根据权利要求1～3任意一项所述的方法，其中，

所述上报表中的三层相关协议报文的协议类型包括以下的一种或多种：地址解析协议ARP，开放式最短路径优先OSPF，动态主机配置协议DHCP。
一种实现协议报文上送中央处理器CPU的装置，包括接收模块和处理模块，其中：

所述接收模块，设置为接收并解析报文；

所述处理模块，设置为在预先设置的虚拟局域网vlan表中查找解析得到的报文的虚拟局域网vlan标识对应的表示是否为三层接口的标识，其中，所述vlan表中包含vlan标识和表示是否为三层接口的标识之间的对应关系；

交换芯片判断出查找到的表示是否为三层接口的标识为表示是三层接口的标识，判断出解析得到的报文的协议类型与预先设置的上报表中的三层相关协议报文的协议类型相匹配，将报文上送CPU。
根据权利要求5所述的装置，所述处理模块还设置为，

判断出所述查找到的表示是否为三层接口的标识为表示不是三层接口的标识，对所述报文进行非三层相关协议报文的处理。
根据权利要求5所述的装置，所述处理模块还设置为，

判断出所述解析得到的报文的协议类型与所述上报表中的三层相关协议报文的协议类型不匹配，不将所述报文上送所述CPU。
根据权利要求5～7任意一项所述的装置，其中，

所述上报表中的三层相关协议报文的协议类型包括以下的一种或多种：地址解析协议ARP，开放式最短路径优先OSPF，动态主机配置协议DHCP。
一种计算机可读存储介质，存储有计算机可执行指令，计算机可执行指令用于执行权利要求1～4任意一项所述的方法。