一种报文处理方法、装置及网络设备制造方法及图纸

本申请提供了一种报文处理方法、装置及网络设备，该网络设备包括CPU和转发芯片。CPU接收所述转发芯片发送的数据流的网络报文；根据所述网络报文中数据对所述数据流进行应用识别处理；若基于所述网络报文识别出所述数据流存在对应的应用时，则根据所述网络报文的报文特征生成会话表项；将所述会话表项下发给所述转发芯片，以使所述转发芯片接收到新的网络报文后，根据所述会话表项，转发所述新的网络报文。由此，在进行应用识别后，不需要将所有的报文都上送给CPU处理，直接由转发芯片转发，从而提升了网络设备中报文的转发速度，同时也能够有效识别出应用及提升网络设备的处理性能。有效识别出应用及提升网络设备的处理性能。有效识别出应用及提升网络设备的处理性能。

A message processing method, device and network equipment

【技术实现步骤摘要】
一种报文处理方法、装置及网络设备


[0001]本申请涉及通信
，尤其涉及一种报文处理方法、装置及网络设备。

技术介绍

[0002]随着互联网技术的不断发展，新时代网络对网络安全有了新的需求，基于用户和应用的流量转发控制。针对新时代网络的特点，防火墙越来越需要用户与应用的识别能力，以确保流量的控制更精细、更可视。传统的网络应用等于端口，想要实现基于应用的流量控制，直接允许或者禁用端口就可以实现。而新时代网络中，大多数应用集中在少数端口，应用程序越来越web化，通过简单的端口已无法识别具体应用。因此，基于流量内容来识别应用的需求越来越迫切。网关设备对报文进行转发时，包括软件转发和硬件转发两种方式，在进行软件转发时，CPU(中央处理器，Central Processing Unit)可以针对流量做精细化处理，以实现更丰富的功能；而基于硬件转发时，由FPGA(现场可编程逻辑门阵列，Field Programmable Gate Array)或ASIC(专用集成电路，Application Specific Integrated Circuit)等硬件逻辑芯片(也称转发芯片)对报文进行处理和转发，具有更高的转发速度，但是硬件逻辑芯片无法对报文做进一步识别。因此，要实现基于流量内容识别应用的功能，就必须把每条数据流的报文上送至CPU，由CPU对报文内容做进一步识别，然而一旦该条数据流被上送CPU后，后续都需要进行软件转发，导致网关设备的性能大大降低。
[0003]因此，如何在进行应用识别时，提升网络设备中报文的转发速度，同时有效识别出应用及提升网络设备的处理性能是值得考虑的技术问题之一。

技术实现思路

[0004]有鉴于此，本申请提供一种报文处理方法、装置及网络设备，用以在进行应用识别时，提升网络设备中报文的转发速度，同时有效识别出应用及提升网络设备的处理性能。
[0005]具体地，本申请是通过如下技术方案实现的：
[0006]根据本申请的第一方面，提供一种报文处理方法，应用于网络设备中的CPU中，所述网络设备还包括转发芯片；所述方法，包括：
[0007]接收所述转发芯片发送的数据流的网络报文；
[0008]根据所述网络报文中数据对所述数据流进行应用识别处理；
[0009]若基于所述网络报文识别出所述数据流存在对应的应用时，则根据所述网络报文的报文特征生成会话表项；
[0010]将所述会话表项下发给所述转发芯片，以使所述转发芯片接收到新的网络报文后，根据所述会话表项，转发所述新的网络报文。
[0011]根据本申请的第二方面，提供一种报文处理方法，应用于网络设备中的转发芯片中，所述网络设备还包括CPU；
[0012]将接收到的数据流的网络报文发送给所述CPU；
[0013]接收所述CPU下发的会话表项，所述会话表项为所述CPU在基于所述网络报文识别
出所述数据流存在对应的应用时，根据所述网络报文的报文特征生成的；
[0014]接收所述数据流的新的网络报文；
[0015]根据所述会话表项，转发所述新的网络报文。
[0016]根据本申请的第三方面，提供一种报文处理装置，设置于网络设备中的中央处理器CPU中，所述网络设备还包括转发芯片；所述装置，包括：
[0017]接收模块，用于接收所述转发芯片发送的数据流的网络报文；
[0018]识别模块，用于根据所述网络报文中数据对所述数据流进行应用识别处理；
[0019]生成模块，用于若所述识别模块基于所述网络报文识别出所述数据流存在对应的应用时，则根据所述网络报文的报文特征生成会话表项；
[0020]发送模块，用于将所述会话表项下发给所述转发芯片，以使所述转发芯片接收到新的网络报文后，根据所述会话表项，转发所述新的网络报文。
[0021]根据本申请的第四方面，提供一种报文处理装置，设置于网络设备中的转发芯片中，所述网络设备还包括中央处理器CPU，所述装置，包括：
[0022]第一接收模块，用于接收数据流的网络报文；
[0023]发送模块，用于将所述网络报文发送给所述CPU；
[0024]第二接收模块，用于接收所述CPU下发的会话表项，所述会话表项为所述CPU在基于所述网络报文识别出所述数据流存在对应的应用时，根据所述网络报文的报文特征生成的；
[0025]所述第一接收模块，用于接收所述数据流的新的网络报文；
[0026]转发模块，用于根据所述会话表项，转发所述新的网络报文。
[0027]根据本申请的第五方面，提供一种网络设备，包括中央处理器CPU和转发芯片，所述CPU用于执行第一方面所提供的报文处理方法，所述转发芯片用于执行第二方面所提供的报文处理方法。
[0028]根据本申请的第六方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被中央处理器CPU调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法。
[0029]本申请实施例的有益效果：
[0030]本申请实施例提供的报文处理方法、装置及网络设备中，CPU在接收到转发芯片发送的数据流的网络报文后，会根据网络报文中数据对数据流进行应用识别处理；当基于网络报文识别出所述数据流存在对应的应用时，则根据网络报文的报文特征生成会话表项；然后将会话表项下发给转发芯片，这样，转发芯片接收到新的网络报文后，就可以根据该会话表项，转发新的网络报文。这样一来，转发芯片就不需要将数据流的所有网络报文一一上送到CPU进行应用识别处理，只需要转发芯片在接收到会话表项后，直接基于会话表项对后续接收到的新的网络报文执行报文转发操作，从而在识别出应用的基础上，大大提升了报文的转发速率，同时也提高了网络设备的处理性能。
附图说明
[0031]图1是本申请实施例提供的一种报文处理方法的流程示意图；
[0032]图2是本申请实施例提供的另一种报文处理方法的流程示意图；
[0033]图3是本申请实施例提供的一种报文处理装置的结构示意图；
[0034]图4是本申请实施例提供的另一种报文处理装置的结构示意图；
[0035]图5是本申请实施例提供的一种实施报文处理方法的网络设备的硬件结构示意图。
具体实施方式
[0036]这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如本申请的一些方面相一致的装置和方法的例子。
[0037]在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种报文处理方法，其特征在于，应用于网络设备中的CPU中，所述网络设备还包括转发芯片；所述方法，包括：接收所述转发芯片发送的数据流的网络报文；根据所述网络报文中数据对所述数据流进行应用识别处理；若基于所述网络报文识别出所述数据流存在对应的应用时，则根据所述网络报文的报文特征生成会话表项；将所述会话表项下发给所述转发芯片，以使所述转发芯片接收到新的网络报文后，根据所述会话表项，转发所述新的网络报文。2.根据权利要求1所述的方法，其特征在于，若基于所述网络报文未识别出所述数据流存在应用，且对所述数据流进行识别所使用的网络报文的数量达到所述网络报文的报文协议对应的设定数量时，则丢弃所述数据流的网络报文。3.根据权利要求1所述的方法，其特征在于，在根据所述网络报文的报文特征生成会话表项之前，还包括：查询所述对应的应用的应用控制策略；确认所述应用控制策略为允许放行所述应用对应的数据流；所述方法，还包括：在确认允许放行所述应用对应的数据流时，转发所述网络报文。4.根据权利要求1所述的方法，其特征在于，根据所述网络报文的报文特征生成会话表项，包括：查询所述对应的应用的应用控制策略；根据所述报文特征和所述应用控制策略，生成所述会话表项；所述方法，还包括：当确认所述应用控制策略为允许放行所述应用对应的数据流，则转发所述网络报文。5.根据权利要求1所述的方法，其特征在于，所述报文特征包括五元组信息；根据所述网络报文的报文特征生成会话表项，包括：根据所述五元组信息生成所述会话表项。6.一种报文处理方法，其特征在于，应用于网络设备中的转发芯片中，所述网络设备还包括CPU；所述方法，包括：将接收到的数据流的网络报文发送给所述CPU；接收所述CPU下发的会话表项，所述会话表项为所述CPU在基于所述网络报文识别出所述数据流存在对应的应用时，根据所述网络报文的报文特征生成的；接收所述数据流的新的网络报文；根据所述会话表项，转发所述新的网络报文。7.根据权利要求6所述的方法，其特征在于，所述会话表项为所述CPU在确认所述对应的应用的应用控制策略为允许放行所述应用对应的数据流时生成的；根据所述会话表项，转发所述新的网络报文，包括：...

【专利技术属性】
技术研发人员：任丹丹，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：