本发明专利技术公开了一种提升网络防护设备吞吐性能的数据包转发方法,网络防护设备接收到链接内若干个数据包后,对序号小于快速转发阈值的数据包进行规则检测,当所述数据包无规则匹配时,将所述数据包按照传统发包方式转发到目的设备,同时将所述数据包所在链接的连接信息记录到连接记录表内;对序号大于等于快速转发阈值的数据包根据读取所在链接的连接记录表内的连接信息进行转发。本发明专利技术能够有效提高网络防护设备的吞吐性能,大大降低了包转发的时延,在服务器防护系统的应用中,提高服务器防护系统的吞吐性能同时不影响其现有的防护功能。
【技术实现步骤摘要】
本专利技术属于网络数据包转发
,具体涉及一种提升网络防护设备吞吐性能的数据包转发方法。
技术介绍
随着Internet的日益普及,内部网用户访问Internet的需求在不断增加,一些企业也需要对外提供诸如WWW页面浏览、FTP文件传输、DNS 域名解析等服务,这些因素会导致网络流量的急剧增加,而网络防护设备作为内外网之间的数据通道,如果吞吐量太小,就会成为网络瓶颈,给整个网络的传输效率带来负面影响。因此,考察网络防护设备吞吐性能有助于我们更好的评价其性能表现。这也是测量网络防护设备性能的重要指标。吞吐性能的高低主要由网络防护设备的网卡、CPU性能、及防护规则集的复杂度和执行效率决定,尤其是防护规则集的复杂度和执行效率,会使网络设备防护系统进行大量运算,通信量大打折扣。因此,大多数网络防护设备虽然号称千兆、万兆设备,但由于其算法依靠软件实现,通信量远远没有达到千兆、万兆,实际可能只有10-20%的流量。因此,在不影响网络防护设备防护功能的前提下,提升网络防护设备吞吐性能是至关重要的,然而对于网络防护设备吞吐性能的测试,常用64字节的数据包(最小包)进行测试,小包处理速度的快慢决定于设备吞吐性能的好坏。
技术实现思路
有鉴于此,本专利技术的主要目的在于提供一种提升网络防护设备吞吐性能的数据包转发方法。为达到上述目的,本专利技术的技术方案是这样实现的:本专利技术公开了一种提升网络防护设备吞吐性能的数据包转发方法,该方法为:网络防护设备接收到链接内若干个数据包后,对序号小于快速转发阈值的数据包进行规则检测,当所述数据包无规则匹配时,将所述数据包按照传统发包方式转发到目的设备,同时将所述数据包所在链接的连接信息记录到连接记录表内;对序号大于等于快速转发阈值的数据包根据读取所在链接的连接记录表内的连接信息进行转发。上述方案中,所述对序号小于快速转发阈值的数据包进行规则检测,当所述数据包无规则匹配时,将所述数据包按照传统发包方式转发到目的设备,同时将所述数据包所在链接的连接信息记录到连接记录表内,具体为:对第一个序号小于快速转发阈值的数据包进行规则检测,当所述数据包无规则匹配时,将所述数据包按照传统发包方式转发到目的设备,同时将所述数据包所在链接的连接信息记录到连接记录表内,对后续序号小于快速转发阈值的数据包,直接按照传统发包方式转发到目的设备。上述方案中,该方法还包括:当所述数据包有规则匹配时,丢失所述数据包所在的链接,不进行转发。上述方案中,所述对序号大于等于快速转发阈值的数据包根据读取所在链接的连接记录表内的连接信息进行转发,具体为:确定当前待转发的数据包的序号大于等于快速转发阈值时,所述网络防护设备在连接记录表内查找所述当前待转发的数据包所在的链接的连接信息,根据连接信息确定所述当前待转发的数据包需要快转时,调用发包函数进行快转发包到目的设备;根据连接信息确定所述当前待转发的数据包需要传统发包时,直接按照传统发包方式转发到目的设备。上述方案中,所述连接记录表内的连接信息包括源连接设备标识、目的连接设备标识以及是否快转标志。与现有技术相比,本专利技术的有益效果:本专利技术能够有效提高网络防护设备的吞吐性能,大大降低了包转发的时延,在服务器防护系统的应用中,提高服务器防护系统的吞吐性能同时不影响其现有的防护功能。具体实施方式下面结合具体实施方式对本专利技术进行详细说明。本专利技术实施例提供一种提升网络防护设备吞吐性能的数据包转发方法,该方法为:网络防护设备接收到链接内若干个数据包后,对序号小于快速转发阈值的数据包进行规则检测,当所述数据包无规则匹配时,将所述数据包按照传统发包方式转发到目的设备,同时将所述数据包所在链接的连接信息记录到连接记录表内;对序号大于等于快速转发阈值的数据包根据读取所在链接的连接记录表内的连接信息进行转发。所述对序号小于快速转发阈值的数据包进行规则检测,当所述数据包无规则匹配时,将所述数据包按照传统发包方式转发到目的设备,同时将所述数据包所在链接的连接信息记录到连接记录表内,具体为:对第一个序号小于快速转发阈值的数据包进行规则检测,当所述数据包无规则匹配时,将所述数据包按照传统发包方式转发到目的设备,同时将所述数据包所在链接的连接信息记录到连接记录表内,对后续序号小于快速转发阈值的数据包,直接按照传统发包方式转发到目的设备。该方法还包括:当所述数据包有规则匹配时,丢失所述数据包所在的链接,不进行转发。所述对序号大于等于快速转发阈值的数据包根据读取所在链接的连接记录表内的连接信息进行转发,具体为:确定当前待转发的数据包的序号大于等于快速转发阈值时,所述网络防护设备在连接记录表内查找所述当前待转发的数据包所在的链接的连接信息,根据连接信息确定所述当前待转发的数据包需要快转时,调用发包函数进行快转发包到目的设备;根据连接信息确定所述当前待转发的数据包需要传统发包时,直接按照传统发包方式转发到目的设备。所述连接记录表内的连接信息包括源连接设备标识、目的连接设备标识以及是否快转标志。所述连接记录表是由网络防护设备自身维护的所有连接信息的数据表,单条连接记录是由连接的五元组信息来唯一标识,所述五元组信息包括源端IP地址、源端口号、目的IP地址、目的端口号、协议类型。同时单条连接记录还包括源连接设备标识、目的连接设备标识、数据包总数和快转标志等。实施例:所述网络防护设备接收到链接内五个数据包,预先设置快速转发阈值为3,当待转发第一个数据包时,其序号小于快速转发阈值,所以对第一个数据包进行规则检测,若规则匹配,则第一个数据包为非法数据包,进行数据包丢弃,不进行转发,且不更新连接记录;若第一个数据包无规则匹配,即合法数据包,将所述第一个数据包按照传统发包方式转发到目的设备,同时将所述数据包所在链接的连接信息记录到连接记录表内,即记录源连接设备标识、目的连接设备标识、快转标志;当待转发第二个数据包时,由于其不是第一个数据包并且序号小于快速转发阈值,所以无需进行规则检测,直接按照传统发包方式转发到目的设备,所述第二个数据包是为了确保设备之间的连接通畅;当待转发第三个数据包时,其序号等于快速转发阈值,读取连接记录表内的连接信息,即源连接设备标识、目的连接设备标识、快转标志,根据是否有快转标志确定是否需要进行快转,如果没有快转标志直接按照传统发包方式转发到目的设备,如果有快转标志则调用发包函数进行快转发包到目的设备。实验数据分析实验环境:采用smartbit测试仪设备对不同硬件平台(低端、中端)的网络防护设备进行实验,通过对64字节、512字节、1518字节UDP数据包的吞吐量(千兆流量下的通过比例)来本专利技术和传统方法性能的优劣。实验结果:通过实验结果可以看出本专利技术比传统模式下,性能有了很大的提升,对比64字节小包通过率基本为原有性能的两倍。以上所述,仅为本专利技术的较佳实施例而已,并非用于限定本专利技术的保护范围。本文档来自技高网...
【技术保护点】
一种提升网络防护设备吞吐性能的数据包转发方法,其特征在于,该方法为:网络防护设备接收到链接内若干个数据包后,对序号小于快速转发阈值的数据包进行规则检测,当所述数据包无规则匹配时,将所述数据包按照传统发包方式转发到目的设备,同时将所述数据包所在链接的连接信息记录到连接记录表内;对序号大于等于快速转发阈值的数据包根据读取所在链接的连接记录表内的连接信息进行转发。
【技术特征摘要】
1.一种提升网络防护设备吞吐性能的数据包转发方法,其特征在于,该方法为:网络防护设备接收到链接内若干个数据包后,对序号小于快速转发阈值的数据包进行规则检测,当所述数据包无规则匹配时,将所述数据包按照传统发包方式转发到目的设备,同时将所述数据包所在链接的连接信息记录到连接记录表内;对序号大于等于快速转发阈值的数据包根据读取所在链接的连接记录表内的连接信息进行转发。2.根据权利要求1所述的提升网络防护设备吞吐性能的数据包转发方法,其特征在于,所述对序号小于快速转发阈值的数据包进行规则检测,当所述数据包无规则匹配时,将所述数据包按照传统发包方式转发到目的设备,同时将所述数据包所在链接的连接信息记录到连接记录表内,具体为:对第一个序号小于快速转发阈值的数据包进行规则检测,当所述数据包无规则匹配时,将所述数据包按照传统发包方式转发到目的设备,同时将所述数据包所在链接的连接信息记录到连接记录表内,对后续序号小于快速转发阈值的数据包,...
【专利技术属性】
技术研发人员:焦小涛,陈晓兵,陈宏伟,何建锋,
申请(专利权)人:西安交大捷普网络科技有限公司,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。