The present disclosure relates to a tunnel message authentication and forwarding method and system, which includes: the current forwarding CPU unpacks the received preset type of tunnel message and obtains the unpacked message; when the unpacked message is not an authenticated message, the current forwarding CPU queries the session table created in the unpacked message query system; and when the current forwarding CPU does not query the corresponding unpacked message. In session table, the current forwarding CPU queries the authentication table according to the unblocked message to determine whether it can create session table entries for the unblocked message; when it determines that it can create session table entries for the unblocked message, the target forwarding CPU creates session table entries in the corresponding session table of the target forwarding CPU based on the information of the unblocked message and session table, and forwards the unblocked message based on the session table entries. \u3002 Through the above technical scheme, not only can the handover between CPUs be effectively reduced, but also the amount of data maintenance can be effectively reduced and the forwarding performance of the system can be improved.
【技术实现步骤摘要】
隧道报文认证转发方法及系统
本公开涉及计算机网络领域,具体地,涉及一种隧道报文认证转发方法及系统。
技术介绍
随着计算机技术的发展,基于隧道技术可以实现不同协议的数据帧或包之间的数据传输,即基于隧道技术对原始报文进行外部封装,以获得隧道报文,并将该隧道报文在隧道中进行转发,以实现跨协议的数据传输。现有技术中,在基于异构平台的网络转发系统中,通常将CPU划分成两类,一类是转发CPU,运行于用户态,用于基于会话表对报文进行转发;一类是逻辑CPU,运行于内核态,用于对隧道报文进行加解密处理,从而将处理后的报文发送至转发CPU,以由转发CPU进行转发。然而,在该过程中不仅需要在运行于用户态的转发CPU和运行与内核态的逻辑CPU之间进行多次切换,而且,需要对隧道报文和原始报文分别创建会话表以实现报文的转发,增加了会话表资源的占用及需要维护的数据量。
技术实现思路
为了解决上述问题,本公开提供一种隧道报文认证转发方法及系统。为了实现上述目的,根据本公开的第一方面,提供一种隧道报文认证转发方法,所述方法包括:当前转发CPU对接收到的预设类型的隧道报文进行解封装,获得解封报文,所述解封报文为所述隧道报文去除掉外层首部后所得报文,所述当前转发CPU为隧道报文认证转发系统中的任一转发CPU,所述系统中的转发CPU运行在用户态;当所述解封报文为非认证报文时,所述当前转发CPU根据所述解封报文查询所述系统中已创建的会话表;在所述当前转发CPU未查询到与所述解封报文相对应的会话表时,当前转发CPU根据所述解封报文查询认证表,以确定是否能够为所述解封报文创建会话表项;当确定能够为所述解封 ...
【技术保护点】
1.一种隧道报文认证转发方法,其特征在于,所述方法包括:当前转发CPU对接收到的预设类型的隧道报文进行解封装,获得解封报文,所述解封报文为所述隧道报文去除掉外层首部后所得报文,所述当前转发CPU为隧道报文认证转发系统中的任一转发CPU,所述系统中的转发CPU运行在用户态;当所述解封报文为非认证报文时,所述当前转发CPU根据所述解封报文查询所述系统中已创建的会话表;在所述当前转发CPU未查询到与所述解封报文相对应的会话表时,当前转发CPU根据所述解封报文查询认证表,以确定是否能够为所述解封报文创建会话表项;当确定能够为所述解封报文创建会话表项时,目标转发CPU根据所述解封报文和会话表相关信息,在所述目标转发CPU对应的会话表中创建会话表项,并基于该会话表项对所述解封报文进行转发,其中,所述会话表相关信息至少包括所述隧道报文的所述外层首部,所述目标转发CPU为所述系统中,用于接收所述解封报文对应的回复报文的转发CPU。
【技术特征摘要】
1.一种隧道报文认证转发方法,其特征在于,所述方法包括:当前转发CPU对接收到的预设类型的隧道报文进行解封装,获得解封报文,所述解封报文为所述隧道报文去除掉外层首部后所得报文,所述当前转发CPU为隧道报文认证转发系统中的任一转发CPU,所述系统中的转发CPU运行在用户态;当所述解封报文为非认证报文时,所述当前转发CPU根据所述解封报文查询所述系统中已创建的会话表;在所述当前转发CPU未查询到与所述解封报文相对应的会话表时,当前转发CPU根据所述解封报文查询认证表,以确定是否能够为所述解封报文创建会话表项;当确定能够为所述解封报文创建会话表项时,目标转发CPU根据所述解封报文和会话表相关信息,在所述目标转发CPU对应的会话表中创建会话表项,并基于该会话表项对所述解封报文进行转发,其中,所述会话表相关信息至少包括所述隧道报文的所述外层首部,所述目标转发CPU为所述系统中,用于接收所述解封报文对应的回复报文的转发CPU。2.根据权利要求1所述的方法,其特征在于,在当前转发CPU确定能够为所述解封报文创建会话表项之后,在所述目标转发CPU根据所述解封报文和会话表相关信息,在所述目标转发CPU对应的会话表中创建会话表项,并基于该会话表项对所述解封报文进行转发的步骤之前,所述方法还包括:所述当前转发CPU根据所述解封报文确定所述目标转发CPU;若所述目标转发CPU不是所述当前转发CPU,所述当前转发CPU将所述解封报文与所述会话表相关信息发送至所述目标转发CPU。3.根据权利要求2所述的方法,其特征在于,所述当前转发CPU根据所述解封报文确定目标转发CPU,包括:所述当前转发CPU根据所述解封报文的内层首部中的五元组确定是否需要进行源地址转换;在确定需要进行源地址转换时,所述当前转发CPU对所述解封报文的内层首部中的五元组进行源地址转换,获得目标五元组,并根据所述目标五元组确定与所述解封报文对应的回复报文的五元组;在确定不需要进行源地址转换时,所述当前转发CPU根据所述内层首部中的五元组确定与所述解封报文对应的回复报文的五元组;所述当前转发CPU根据所述回复报文的五元组,通过所述当前转发CPU所处的当前设备的网卡硬件的RSS算法确定所述目标转发CPU。4.根据权利要求3所述的方法,其特征在于,在所述当前转发CPU进行了源地址转换的情况下,所述会话表相关信息还包括所述目标五元组;所述目标转发CPU根据所述解封报文和会话表相关信息,在所述目标转发CPU对应的会话表中创建会话表项,包括:在所述当前转发CPU进行了源地址转换的情况下,所述目标转发CPU根据所述解封报文的内层首部中的五元组和所述目标五元组创建会话表项;在所述当前转发CPU未进行源地址转换的情况下...
【专利技术属性】
技术研发人员:刘健男,党丽娜,
申请(专利权)人:东软集团股份有限公司,
类型:发明
国别省市:辽宁,21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。