本申请公开一种多核转发系统中的报文处理方法、装置及设备,所述多核转发系统包括转发核、第一CPU和第二CPU,所述方法包括:所述转发核在接收到来自网卡的报文后,判断所述报文是否属于异常流量;如果所述报文属于异常流量,则所述转发核将所述报文转发至预设第一CPU,以便由所述第一CPU进行处理;如果所述报文不属于异常流量,且所述报文属于外网流量,则所述转发核将所述报文转发至预设第二CPU,以便由所述第二CPU进行处理。本申请通过对流量分而治之的设计,能够避免正常流量受到异常流量的影响,保证正常流量的畅通性。
A Message Processing Method, Device and Equipment in Multi-Core Forwarding System
【技术实现步骤摘要】
一种多核转发系统中的报文处理方法、装置及设备
本申请涉及数据处理领域,具体涉及一种多核转发系统中的报文处理方法、装置及设备。
技术介绍
随着科技的发展,越来越多的防火墙采用了多核处理机制,也就是说,目前防火墙的转发性能不仅仅与处理流程和算法的复杂度有关,还与多核并发设计的资源竞争有关。例如校园网等专用网络,通常对正常流量的畅通性有着极高的要求,但是这种网络同时也在遭受着来自校内和校外的各种网络攻击(如反射攻击、ackflood攻击、synflood攻击、udpflood攻击等ddos攻击)。因此,多核处理机制的防火墙不仅仅要对各种网络攻击等异常流量进行处理,更重要的是保证正常流量的畅通性。
技术实现思路
有鉴于此,本申请提供了一种多核转发系统中的报文处理方法,利用单独的第一CPU处理异常流量,同时利用单独的第二CPU处理外网流量,将流量分而治之,避免正常流量受到异常流量的影响,保证正常流量的畅通性。第一方面,为实现上述专利技术目的,本申请提供了一种多核转发系统中的报文处理方法,所述多核转发系统包括转发核、第一CPU和第二CPU,所述方法包括:所述转发核在接收到来自网卡的报文后,判断所述报文是否属于异常流量;如果所述报文属于异常流量,则所述转发核将所述报文转发至预设第一CPU,以便由所述第一CPU进行处理;如果所述报文不属于异常流量,且所述报文属于外网流量,则所述转发核将所述报文转发至预设第二CPU,以便由所述第二CPU进行处理。一种可选的实施方式中,所述方法还包括:如果所述报文不属于异常流量,且所述报文属于外网流量,则所述转发核统计预设第一时间内接收到的报文中与所述报文的目的IP地址相同的报文的个数;所述转发核判断所述个数是否大于预设第一阈值;如果是,则确定与所述报文具有相同目的IP地址的报文属于异常流量。一种可选的实施方式中,所述方法还包括:如果所述报文不属于异常流量,且所述报文属于内网流量,则所述转发核统计预设第二时间内接收到的报文中与所述报文的源IP地址相同的报文的个数;所述转发核判断所述个数是否大于预设第二阈值;如果是,则确定与所述报文具有相同源IP地址的报文属于异常流量。一种可选的实施方式中,所述判断所述报文是否属于异常流量之前,还包括:所述转发核无锁读取预设镜像表,并将所述报文与所述镜像表进行匹配;如果匹配失败,则所述转发核将所述报文丢弃;否则执行所述判断所述报文是否属于异常流量的步骤;其中,所述镜像表是策略表经过快表镜像方式得到的。一种可选的实施方式中,所述判断所述报文是否属于异常流量之前,还包括:所述转发核在接收到来自网卡的报文后,确定是否存在所述报文对应的会话模板;如果是,则基于所述会话模板对所述报文进行转发;否则,执行所述将判断所述报文是否属于异常流量的步骤;其中,所述会话模板为预先设置的允许访问的流量类型。一种可选的实施方式中,所述方法还包括:所述第一CPU在接收到所述报文时,确定是否存在所述报文对应的会话模板;如果是,则所述第一CPU基于所述会话模板对所述报文进行转发;否则,将所述报文丢弃;其中,所述会话模板为预先设置的允许访问的流量类型。第二方面,本申请还提供了一种多核转发系统中的报文处理装置,所述装置包括转发核、第一CPU和第二CPU,所述转发核包括第一判断模块、第一转发模块和第二转发模块:第一判断模块,用于在接收到来自网卡的报文后,判断所述报文是否属于异常流量;第一转发模块,用于在所述第一判断模块确定所述报文属于异常流量时,将所述报文转发至预设第一CPU,以便由所述第一CPU进行处理;第二转发模块,用于在所述第一判断模块确定所述报文不属于异常流量,且所述报文属于外网流量时,将所述报文转发至预设第二CPU,以便由所述第二CPU进行处理。一种可选的实施方式中,所述装置还包括:第一统计模块,用于在所述报文不属于异常流量,且所述报文属于外网流量时,统计预设第一时间内接收到的报文中与所述报文的目的IP地址相同的报文的个数;第二判断模块,用于判断所述个数是否大于预设第一阈值;第一确定模块,用于在所述第二判断模块的结果为是时,确定与所述报文具有相同目的IP地址的报文属于异常流量。一种可选的实施方式中,所述装置还包括:第二统计模块,用于在所述报文不属于异常流量,且所述报文属于内网流量时,统计预设第二时间内接收到的报文中与所述报文的源IP地址相同的报文的个数;第三判断模块,用于判断所述个数是否大于预设第二阈值;第二确定模块,用于在所述第三判断模块的结果为是时,确定与所述报文具有相同源IP地址的报文属于异常流量。一种可选的实施方式中,所述装置还包括:匹配模块,用于无锁读取预设镜像表,并将所述报文与所述镜像表进行匹配;第一丢弃模块,用于在所述匹配模块匹配失败时,将所述报文丢弃;第一触发模块,用于在所述匹配模块匹配成功时,触发所述第一判断模块;其中,所述镜像表是策略表经过快表镜像方式得到的。一种可选的实施方式中,所述装置还包括:第三确定模块,用于在接收到来自网卡的报文后,确定是否存在所述报文对应的会话模板;第三转发模块,用于在所述第三确定模块的结果为是时,基于所述会话模板对所述报文进行转发;第二触发模块,用于在所述第三确定模块的结果为否时,触发所述第一判断模块;其中,所述会话模板为预先设置的允许访问的流量类型。一种可选的实施方式中,所述第一CPU包括:第四确定模块,用于在接收到所述报文时,确定是否存在所述报文对应的会话模板;第四转发模块,用于在所述确定模块的结果为是时,基于所述会话模板对所述报文进行转发;第二丢弃模块,用于在所述确定模块的结果为否时,将所述报文丢弃;其中,所述会话模板为预先设置的允许访问的流量类型。第三方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在终端设备上运行时,使得所述终端设备执行如上述任一项所述的方法。第四方面,本申请还提供了一种多核转发系统中的报文处理处理设备,其特征在于,包括:存储器,处理器,及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如上述任一项所述的方法。本申请提供的多核转发系统中的报文处理方法中,转发核在接收到来自网卡的报文后,判断该报文是否属于异常流量,如果该报文属于异常流量,则将其转发至第一CPU处理,如果该报文不属于异常流量,但该报文属于外网流量,则转发核将其转发至第二CPU进行处理。其中,第一CPU专门用于处理防火墙中的异常流量,而第二CPU专门用于处理防火墙中不属于异常流量的外网流量,通过对流量分而治之的设计,能够避免正常流量受到异常流量的影响,保证正常流量的畅通性。附图说明为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本申请实施例提供的一种多核转发系统中的报文处理方法的流程图;图2为本申请实施例提供的一种适用于校园网的多核处理机制的防火墙的架构图;图3为本申请实施例提供的一种多核转发系统中的报文处理装置的结构示意图;图4为本申请实施例提供的一种多核转发系统中的本文档来自技高网...
【技术保护点】
1.一种多核转发系统中的报文处理方法,其特征在于,所述多核转发系统包括转发核、第一CPU和第二CPU,所述方法包括:所述转发核在接收到来自网卡的报文后,判断所述报文是否属于异常流量;如果所述报文属于异常流量,则所述转发核将所述报文转发至预设第一CPU,以便由所述第一CPU进行处理;如果所述报文不属于异常流量,且所述报文属于外网流量,则所述转发核将所述报文转发至预设第二CPU,以便由所述第二CPU进行处理。
【技术特征摘要】
1.一种多核转发系统中的报文处理方法,其特征在于,所述多核转发系统包括转发核、第一CPU和第二CPU,所述方法包括:所述转发核在接收到来自网卡的报文后,判断所述报文是否属于异常流量;如果所述报文属于异常流量,则所述转发核将所述报文转发至预设第一CPU,以便由所述第一CPU进行处理;如果所述报文不属于异常流量,且所述报文属于外网流量,则所述转发核将所述报文转发至预设第二CPU,以便由所述第二CPU进行处理。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:如果所述报文不属于异常流量,且所述报文属于外网流量,则所述转发核统计预设第一时间内接收到的报文中与所述报文的目的IP地址相同的报文的个数;所述转发核判断所述个数是否大于预设第一阈值;如果是,则确定与所述报文具有相同目的IP地址的报文属于异常流量。3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:如果所述报文不属于异常流量,且所述报文属于内网流量,则所述转发核统计预设第二时间内接收到的报文中与所述报文的源IP地址相同的报文的个数;所述转发核判断所述个数是否大于预设第二阈值;如果是,则确定与所述报文具有相同源IP地址的报文属于异常流量。4.根据权利要求1所述的方法,其特征在于,所述判断所述报文是否属于异常流量之前,还包括:所述转发核无锁读取预设镜像表,并将所述报文与所述镜像表进行匹配;如果匹配失败,则所述转发核将所述报文丢弃;否则执行所述判断所述报文是否属于异常流量的步骤;其中,所述镜像表是策略表经过快表镜像方式得到的。5.根据权利要求1所述的方法,其特征在于,所述判断所述报文是否属于异常流量之前,还包括:所述转发核在接收到来自网卡的报文后,确定是否存在所述报文对应的会话模板;如果是,则基于所述会话模板对所述报文进行转发;否则,执行所述将判断所述报文是否属于...
【专利技术属性】
技术研发人员:刘健男,
申请(专利权)人:东软集团股份有限公司,
类型:发明
国别省市:辽宁,21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。