【技术实现步骤摘要】
本申请涉及通信,尤其涉及一种报文处理方法、装置及网络设备。
技术介绍
1、在当今数字化时代,网络安全成为企业和组织保护重要信息和数据的关键要素。为了确保网络安全,一系列具有高性能和可靠性的防火墙设备等网络安全设备应运而生。然而,随着技术的不断进步和网络环境的复杂化,五元组固定的单一数据流对网络安全设备带来了极大的风险和挑战。由于五元组固定的单一数据流只能上送到网络安全设备中某一个固定的cpu核进行处理,这对单核性能要求极高,一旦处理不过来就会造成单核过高进而影响其他cpu核的处理能力,对设备的稳定运行和正常处理业务都带来极大的不利。
2、现有技术中,为了解决上述问题,提出一种通过配置deny丢弃的安全策略来阻断上述单一数据流,但是该方法虽然解决了单一数据流上送到单个cpu核的问题,但是会导致合法且正常的单一数据流被丢弃。
3、因此,如何解决同一数据流的报文均上送到一个cpu核而导致的cpu处理压力大的问题是值得考虑的技术问题之一。
技术实现思路
1、有鉴于此,本申请提供一种报文处理方法、装置及网络设备,用以解决同一数据流的报文均上送到一个cpu核而导致的cpu处理压力大的问题。
2、具体地,本申请是通过如下技术方案实现的:
3、根据本申请的第一方面,提供一种报文处理方法,应用于网络设备中的转发芯片中,所述网络设备包括多个cpu核;所述方法,包括:
4、接收第一业务报文;
5、当所述第一业务报文的五元组信息与之前
6、对所述五元组信息中的目标特征信息进行虚拟化处理,得到虚拟五元组信息,以使所述虚拟五元组信息与基于所述第二业务报文对应的虚拟五元组信息不同;
7、利用所述得到的虚拟五元组信息对所述第一业务报文中的五元组信息进行替换处理,得到第三业务报文;
8、基于所述得到的虚拟五元组信息,将所述第三业务报文转发给对应的cpu核。
9、根据本申请的第二方面,提供另一种报文处理方法,应用于网络设备中的cpu核中,所述网络设备还包括转发芯片;所述方法,包括:
10、接收所述转发芯片发送的第三业务报文,所述第三业务报文中的虚拟五元组信息为所述转发芯片对接收到的第一业务报文中的五元组信息进行虚拟化处理得到的,且,所述虚拟化处理为所述转发芯片在确定所述第一业务报文的五元组信息与之前接收到的第二业务报文的五元组信息相同且属于同一数据流时执行的,其中,所述虚拟五元组信息与基于所述第二业务报文对应的虚拟五元组信息不同;
11、对所述第三业务报文中的虚拟五元组信息进行还原处理,恢复得到所述第一业务报文;
12、对所述第一业务报文进行业务处理。
13、根据本申请的第三方面,提供一种报文处理装置,设置于网络设备中的转发芯片中,所述网络设备包括多个cpu核;所述装置,包括:
14、接收模块,用于接收第一业务报文;
15、提取模块,用于当所述第一业务报文的五元组信息与之前接收到的第二业务报文的五元组信息相同且属于同一数据流时,则从所述第一业务报文中提取五元组信息;
16、虚拟化模块,用于对所述五元组信息中的目标特征信息进行虚拟化处理,得到虚拟五元组信息,以使所述虚拟五元组信息与基于所述第二业务报文对应的虚拟五元组信息不同;
17、替换模块,用于利用所述得到的虚拟五元组信息对所述第一业务报文中的五元组信息进行替换处理,得到第三业务报文;
18、转发模块,用于基于所述得到的虚拟五元组信息,将所述第三业务报文转发给对应的cpu核。
19、根据本申请的第四方面,提供一种报文处理装置,设置于网络设备中的cpu核中,所述网络设备还包括转发芯片;所述装置,包括:
20、接收模块,用于接收所述转发芯片发送的第三业务报文,所述第三业务报文中的虚拟五元组信息为所述转发芯片对接收到的第一业务报文中的五元组信息进行虚拟化处理得到的,且,所述虚拟化处理为所述转发芯片在确定所述第一业务报文的五元组信息与之前接收到的第二业务报文的五元组信息相同且属于同一数据流时执行的,其中,所述虚拟五元组信息与基于所述第二业务报文对应的虚拟五元组信息不同;
21、还原模块,用于对所述第三业务报文中的虚拟五元组信息进行还原处理,恢复得到所述第一业务报文;
22、处理模块,用于对所述第一业务报文进行业务处理。
23、根据本申请的第五方面,提供一种网络设备,包括转发芯片和多个cpu核,所述转发芯片用于执行本申请实施例第一方面所提供的报文处理方法,所述cpu核用于执行本申请实施例第二方面所提供的报文处理方法。
24、根据本申请的第六方面,提供一种机器可读存储介质,机器可读存储介质存储有计算机程序,在被处理器调用和执行时,计算机程序促使处理器执行本申请实施例第一方面或第二方面所提供的方法。
25、本申请实施例的有益效果:
26、本申请实施例提供的报文处理方法及装置中,当接收到的第一业务报文的五元组信息与之前接收到的第二业务报文的五元组信息相同且属于同一数据流时,则从上送第一业务报文中提取五元组信息;对上送五元组信息中的目标特征信息进行虚拟化处理,得到虚拟五元组信息,以使上送虚拟五元组信息与基于上送第二业务报文对应的虚拟五元组信息不同;利用上送得到的虚拟五元组信息对上送第一业务报文中的五元组信息进行替换处理,得到第三业务报文;基于上送得到的虚拟五元组信息,将上送第三业务报文转发给对应的cpu核。由此,通过对同一数据流的业务报文中的五元组信息进行虚拟化处理,使得得到不同的虚拟五元组信息,从而在基于虚拟五元组信息进行报文转发时,也就能件业务报文上送到不同的cpu核上,从而也就解决了同一数据流的报文均上送到一个cpu核而导致的cpu处理压力大的问题。
本文档来自技高网...【技术保护点】
1.一种报文处理方法,其特征在于,应用于网络设备中的转发芯片中,所述网络设备包括多个CPU核;所述方法,包括:
2.根据权利要求1所述的方法,其特征在于,对所述五元组信息中的目标特征信息进行虚拟化处理,得到虚拟五元组信息,包括:
3.根据权利要求1所述的方法,其特征在于,在基于所述得到的虚拟五元组信息,将所述第三业务报文转发给对应的CPU核之前,所述方法,还包括:
4.根据权利要求3所述的方法,其特征在于,所述标识符的取值为对所述第一业务报文的五元组信息进行MD5校验得到的校验值。
5.一种报文处理方法,其特征在于,应用于网络设备中的CPU核中,所述网络设备还包括转发芯片;所述方法,包括:
6.根据权利要求5所述的方法,其特征在于,对所述第三业务报文中的虚拟五元组信息进行还原处理,恢复得到所述第一业务报文,包括:
7.根据权利要求6所述的方法,其特征在于,所述标识符的取值为对所述第一业务报文的五元组信息进行MD5校验得到的校验值。
8.一种报文处理装置,其特征在于,设置于网络设备中的转发芯片中,所
9.一种报文处理装置,其特征在于,设置于网络设备中的CPU核中,所述网络设备还包括转发芯片;所述装置,包括:
10.一种网络设备,其特征在于,包括转发芯片和多个CPU核,所述转发芯片用于执行权利要求1~4任一所述的报文处理方法,所述CPU核用于执行权利要求5~7任一所述的报文处理方法。
...【技术特征摘要】
1.一种报文处理方法,其特征在于,应用于网络设备中的转发芯片中,所述网络设备包括多个cpu核;所述方法,包括:
2.根据权利要求1所述的方法,其特征在于,对所述五元组信息中的目标特征信息进行虚拟化处理,得到虚拟五元组信息,包括:
3.根据权利要求1所述的方法,其特征在于,在基于所述得到的虚拟五元组信息,将所述第三业务报文转发给对应的cpu核之前,所述方法,还包括:
4.根据权利要求3所述的方法,其特征在于,所述标识符的取值为对所述第一业务报文的五元组信息进行md5校验得到的校验值。
5.一种报文处理方法,其特征在于,应用于网络设备中的cpu核中,所述网络设备还包括转发芯片;所述方法,包括:
6.根据权利要求5...
【专利技术属性】
技术研发人员:葛蒙,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。