【技术实现步骤摘要】
一种报文处理方法及装置
本申请涉及计算机
,特别是涉及一种报文处理方法及装置。
技术介绍
为了节约成本,提高网络设备的资源利用率,可通过虚拟化技术,将一台网络设备划分成多台逻辑设备。逻辑设备又可以成为多租户设备环境(英文:MultitenantDeviceContext,简称:MDC)。在网络设备中,每台MDC拥有自己专属的软硬件资源,可独立运行,独立转发报文,以及独立提供业务。网络设备中,创建、启动、重启和删除一台MDC,不会影响网络设备中的其他MDC的运行。采用虚拟化技术,将一台网络设备划分成多台MDC,节省了购置新网络设备和网络设备硬件升级的开销,节约了成本,提高了网络设备的资源利用率。上述网络设备中每台MDC拥有的软硬件资源是从逻辑上来划分的,物理上,网络设备中的所有MDC共享相同的硬件资源。基于此,当网络设备中一台或多台MDC受到网络攻击,接收到大量的攻击报文时,这一台或多台MDC会占用大部分的硬件资源,使得网络设备中的其他MDC无法正常工作。
技术实现思路
本申请实施例的目的在于提供一种报文处理方法及装置,以解决网络设备中一台或多台MDC受到网络攻击...
【技术保护点】
1.一种报文处理方法,其特征在于,应用于网络设备,所述网络设备包括多个多租户设备环境MDC,所述方法包括:接收属于第一MDC的第一报文;判断所述第一MDC的令牌桶中的第一令牌数是否小于预设的第一阈值,其中,所述多个MDC的令牌桶中令牌数的第一和值小于等于所述网络设备中的总令牌数,每一MDC的令牌桶中的令牌数根据该MDC占用的中央处理器CPU时间确定;若所述第一令牌数小于所述第一阈值,则丢弃所述第一报文。
【技术特征摘要】
1.一种报文处理方法,其特征在于,应用于网络设备,所述网络设备包括多个多租户设备环境MDC,所述方法包括:接收属于第一MDC的第一报文;判断所述第一MDC的令牌桶中的第一令牌数是否小于预设的第一阈值,其中,所述多个MDC的令牌桶中令牌数的第一和值小于等于所述网络设备中的总令牌数,每一MDC的令牌桶中的令牌数根据该MDC占用的中央处理器CPU时间确定;若所述第一令牌数小于所述第一阈值,则丢弃所述第一报文。2.根据权利要求1所述的方法,其特征在于,所述判断所述第一MDC的令牌桶中的第一令牌数是否小于预设的第一阈值的步骤,包括:判断全局令牌桶中的第二令牌数是否小于预设的第二阈值,其中,所述第二令牌数和所述多个MDC的令牌桶中令牌数的第二和值小于等于所述网络设备中的总令牌数,所述全局令牌桶中的令牌数根据所述网络设备占用的CPU时间确定;若所述第二令牌数小于所述第二阈值,则判断所述第一MDC的令牌桶中的第一令牌数是否小于预设的第一阈值。3.根据权利要求2所述的方法,其特征在于,所述若所述第二令牌数小于所述第二阈值,则判断所述第一MDC的令牌桶中的第一令牌数是否小于预设的第一阈值的步骤,包括:若所述第二令牌数小于所述第二阈值,则记录所述第一报文的第一接收时间;根据所述第一接收时间、第二接收时间、以及预设的单位时间可增加令牌数,确定第二令牌增加数,并将所述第二令牌增加数与所述第二令牌数相加,得到新的第二令牌数,其中,所述第二接收时间为上一次记录的所述网络设备接收的第二报文的接收时间;判断所述新的第二令牌数是否小于所述第二阈值;若所述新的第二令牌数小于所述第二阈值,则判断所述第一MDC的令牌桶中的第一令牌数是否小于预设的第一阈值。4.根据权利要求3所述的方法,其特征在于,所述方法还包括:若所述第一令牌数不小于所述第一阈值,或所述第二令牌数不小于所述第二阈值,或所述新的第二令牌数不小于所述第二阈值,则通过所述第一MDC转发所述第一报文。5.根据权利要求1所述的方法,其特征在于,所述若所述第一令牌数小于所述第一阈值,则丢弃所述第一报文的步骤,包括:若所述第一令牌数小于所述第一阈值,则记录所述第一报文的第一接收时间;根据所述第一接收时间、第三接收时间、以及预设的单位时间可增加令牌数,确定第一令牌增加数,并将所述第一令牌增加数与所述第一令牌数相加,得到新的第一令牌数,其中,所述第三接收时间为上一次记录的属于所述第一MDC的第三报文的接收时间;判断所述新的第一令牌数是否小于所述第一阈值;若所述新的第一令牌数小于所述第一阈值,则丢弃所述第一报文。6.根据权利要求1或5所述的方法,其特征在于,所述方法还包括:若所述第一令牌数不小于所述第一阈值,或所述新的第一令牌数不小于所述第一阈值,则通过所述第一MDC转发所述第一报文。7.一种报文处理装置,其特征在于,应用于网络设备,所述网络设备包括多个多租户设备环境MDC,所述装置包括:接收单元,用于接...
【专利技术属性】
技术研发人员:仇宏迪,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:安徽,34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。