专利名称:一种增强协议报文安全的方法和装置的制作方法
技术领域:
本发明涉及三层网络设备的报文交互,尤其涉及一种增强协议报文交互安全的方法和装置。
背景技术:
随着信息技术的高速发展,网络的组成越来越复杂,越来越多的三层网络设备参与到网络中来。在有三层网络设备组成的网络中,三层网络设备之间经常需要进行协议报文的交互,比如路由协议BGP(边界网关协议)、OSPF(开放最短路径优先)等,或者二层协议如STP(生成树协议)、LACP(链路聚合控制协议)协议等。一般情况下这些协议报文都是要从底层的硬件传输到设备中的CPU进行处理。三层网络设备依靠协议报文来确定链路状态、路由信息等,从而保证数据的正常转发。因此,协议报文在网络设备中有非常重要的地位。
协议报文可能是单播、组播或广播报文,它们通过硬件芯片接收送到CPU,由相应软件进行处理,处理的结果可能是协议报文被终结,也可能需要回应一个协议报文。
现在三层网络设备使用的ASIC(特定用途集成电路)芯片一般仅能识别少量的二层BPDU(桥接协议数据单元)协议报文,大部分的二层和三层协议报文无法识别,ASIC芯片将这些协议报文同普通的用户数据报文一样处理。
在实际的网络应用中,如果存在病毒等安全隐患或者有主机对网络设备进行恶意攻击,网络设备就可能收到大量的需要CPU处理的用户数据报文,这些“非法”的数据报文大量的涌向CPU,会导致CPU非常繁忙,由于网络设备的CPU处理能力有限,当需要处理这些大量的非协议报文的时候,正常的协议报文就有可能被滞后处理,甚至会因为来不及处理被丢弃,从而导致协议中断,数据不能正常转发,严重时会导致整个系统网络瘫痪。
在一般网络设备中与报文处理相关的模块如图1所示,包括报文接收模块、报文缓存模块、报文调度模块和报文处理模块。报文接收模块收到的所有的需要上送给CPU处理的数据报文和协议报文,都在报文缓存模块的同一个队列中等待上送,再由报文调度模块将队列中的报文取出交给报文处理模块(由CPU和相应软件组成)处理。由于CPU处理能力的限制,每秒种可上送的报文数目有限,当大量报文需要上送的时候,有些报文因为队列长度的限制而被丢弃,这样就可能导致协议报文被丢弃。此外,因为协议报文的数目相对于普通报文的数目而言较少,在一个队列上送到处理器时,只能顺序上送,这样CPU在处理报文的时候,也只能顺序处理,导致协议报文处理延后。
中国专利申请号为02131445的文件公开了“一种网络设备中央处理器负载保护方法”,该申请采用的技术方案是利用动态生成的抛弃路由来抑制大量硬件转发引擎不能处理的报文上交CPU,解决CPU过载和控制报文淹没问题,该专利申请存在的不足之处是可能导致需要正常处理的协议报文被丢弃,从而使协议中断。
发明内容
本发明要解决的技术问题是提供一种增强协议报文安全的方法,使得协议报文能够可靠地上送到CPU处理。本发明还要提供一种可以实现该方法的装置为了解决上述问题,本发明提供了一种增强协议报文安全的方法,应用于三层网络设备,其特征在于包括以下步骤(a)为不同类型的报文设定不同的优先级,需要优先处理的报文其优先级较高,同时为不同的优先级报文设置相应的接收队列;(b)收到报文后,确定该报文的类型,然后根据设定的报文类型和优先级的对应关系,将该报文映射到相应优先级的接收队列中;(c)按照调度算法将优先级较高的接收队列中的报文优先上送到处理器处理。
进一步地,上述方法还可具有以下特点所述步骤(a)中,为数据报文设定的优先级低于协议报文的优先级。
进一步地,上述方法还可具有以下特点所述步骤(a)中,为桥接协议数据单元协议报文的优先级设定为最高,将开放最短路径优先协议和边界网关协议的报文的优先级设定为低于桥接协议数据单元协议报文而高于数据报文。
进一步地,上述方法还可具有以下特点所述调度算法是采用严格优先级算法或者加权调度算法。
本发明提供的可实现上述方法的增强协议报文安全的装置包括报文接收模块、缓存模块、报文调度模块和报文处理模块,其特征在于,还包括报文分类映射模块和配置模块,其中所述配置模块,用于为不同类型的报文设定不同的优先级,需要优先处理的协议报文的优先级较高;所述缓存模块包括多个不同优先级的接收队列,分别用于缓存相应优先级的报文;所述报文分类映射模块,用于确定接收报文的类型,根据设定的报文类型和优先级的关系,将报文映射到所述缓存模块相应优先级的接收队列中;所述报文调度模块,用于按照调度算法将所述缓存模块优先级较高的接收队列中的报文优先上送到所述报文处理模块处理。
进一步地,上述装置还可具有以下特点所述报文调度模块使用严格优先级算法或者加权调度算法对所述缓存模块中的报文进行调度。
进一步地,上述装置还可具有以下特点所述配置模块将数据报文的优先级设定的比协议报文的优先级要低。
进一步地,上述装置还可具有以下特点所述配置模块将桥接协议数据单元协议报文的优先级设定为最高,将开放最短路径优先协议和边界网关协议的报文的优先级设定为低于桥接协议数据单元协议报文而高于数据报文。
与现有技术相比,本发明具有如下有益效果在一般协议报文处理流程的基础上,根据不同的报文类型,给出不同的优先级别,通过对不同优先级别的报文进行调度,提高了网络设备处理协议报文的及时性和连续性。并可对协议报文进行保护,防止网络中发生恶意攻击时,系统因繁忙不能及时处理协议报文而导致协议中断、合法用户无法正常通信,大大提高了设备的稳定性;同时,由于本发明方法可以在现有的硬件设备基础上实现,不增加额外的成本,降低了设备的维护成本。
此外,协议报文保护功能是通过相关配置命令进行配置的,可以方便地使能或者关闭协议报文保护功能。
图1是现有网络设备中与报文处理相关的功能框图。
图2是本发明实施例装置的功能框图。
具体实施例方式
下面结合附图对本发明技术方案作进一步的描述本实施例增强协议报文安全的装置如图2所示,包括报文接收模块、配置模块、报文分类映射模块、报文缓存模块、报文调度模块、报文处理模块,各模块由三层网络设备上相应的软硬件实现。其中报文接收模块,用于接收发送到该装置的各种报文,包括数据报文和协议报文。
配置模块,用于提供人机界面,根据报文类型设定其优先级,需要优先处理的报文其优先级较高。
报文分类映射模块,用于根据接收的报文的特征确定报文的类型,然后按照为其设定的优先级映射到相应队列。
报文缓存模块,划分为多个不同优先级的接收队列,分别用于缓存相应优先级的报文,本实施例是划分为包括8个队列。
报文调度模块,用于根据设定的调度算法将优先级较高队列中的报文优先上送到报文处理模块。调度算法可以设定为严格优先级调度算法或加权调度算法等,可以利用ASIC芯片自身的队列调度特性来实现。
报文处理模块,用于对报文进行处理。
基于以上装置,本实施例增强协议报文安全的方法包括以下步骤步骤一,利用配置模块提供的人机界面,根据报文类型设定其优先级,需要优先处理的报文其优先级较高;一般网络设备大都支持8个队列,队列0优先级最低,队列7优先级最高。因此本实施例将报文的优先级设为8个,普通数据报文的优先级最低,对应于队列0。协议报文中,由于BPDU报文对于时延的要求较高,在网络设备正常工作的基础上,将BPDU报文的优先级设为最高,对应于队列7。其它协议报文,比如OSPF、BGP等,其优先级仅低于BPDU报文,对应于队列6中。在另一实施例中,可以对协议报文的优先级作其它的设定,并不局限于上述的设定。
步骤二,报文接收模块接收到报文后,在接收端口上对报文进行分类,然后根据设定的报文类型和优先级的关系,将其映射到缓存模块中该优先级对应的接收队列;根据步骤一的设置,如果收到BPDU报文,则映射到最高的优先级队列7,如果收到的是OSPF、BGP报文,则将它们映射到队列6中,如果收到普通的数据报文,则映射到队列0。
步骤三,当报文进入不同的队列后,报文调度模块根据严格优先级算法将报文按其优先级上送到报文处理模块;采用严格优先级算法时,则高优先级队列中的报文总是被优先调度。比如队列7中有BPDU报文存在,则调度算法总是选择BPDU报文上送给处理器,直到队列7中的报文被调度完毕,然后是队列6中的其它协议报文,依次类推。这种方式确保协议报文总是及时得到上送处理,但可能会使其它低优先级队列中的报文得不到服务机会,产生“饿死”现象。
步骤四,报文处理模块对上送的报文进行处理。由于优先级较高的报文优先上送,所以可以保证协议报文可以得到及时的处理。
在上述实施例的基础上,本发明还可以有多种变换,例如,在另一实施例中,报文调度模块采用了加权调度方式,将高优先级队列的服务权值设置的较高,低优先级队列权值设置较低,保证高优先级的队列得到更多的服务机会,但低优先级队列也不至于“饿死”。比如,将队列7的权值设置为15,队列6的权值设置为13,依次类推,将队列0的权值设置为1,这样队列7得到15次服务机会,而队列0只能得到1次服务机会。
又如,报文类型和优先级的对应关系也可以直接写在报文分类映射模块的软件中。
权利要求
1.一种增强协议报文安全的装置,包括报文接收模块、缓存模块、报文调度模块和报文处理模块,其特征在于,还包括报文分类映射模块和配置模块,其中所述配置模块,用于为不同类型的报文设定不同的优先级,需要优先处理的协议报文的优先级较高;所述缓存模块包括多个不同优先级的接收队列,分别用于缓存相应优先级的报文;所述报文分类映射模块,用于确定接收报文的类型,根据设定的报文类型和优先级的关系,将报文映射到所述缓存模块相应优先级的接收队列中;所述报文调度模块,用于按照调度算法将所述缓存模块优先级较高的接收队列中的报文优先上送到所述报文处理模块处理。
2.如权利要求1所述的装置,其特征在于,所述报文调度模块使用严格优先级算法或者加权调度算法对所述缓存模块中的报文进行调度。
3.如权利要求1所述的装置,其特征在于,所述配置模块将数据报文的优先级设定的比协议报文的优先级要低。
4.如权利要求3所述的装置,其特征在于,所述配置模块将桥接协议数据单元协议报文的优先级设定为最高,将开放最短路径优先协议和边界网关协议的报文的优先级设定为低于桥接协议数据单元协议报文而高于数据报文。
5.一种增强协议报文安全的方法,应用于三层网络设备,其特征在于包括以下步骤(a)为不同类型的报文设定不同的优先级,需要优先处理的报文其优先级较高,同时为不同的优先级报文设置相应的接收队列;(b)收到报文后,确定该报文的类型,然后根据设定的报文类型和优先级的对应关系,将该报文映射到相应优先级的接收队列中;(c)按照调度算法将优先级较高的接收队列中的报文优先上送到处理器处理。
6.如权利要求5所述的方法,其特征在于,所述步骤(a)中,为数据报文设定的优先级低于协议报文的优先级。
7.如权利要求6所述的方法,其特征在于,所述步骤(a)中,为桥接协议数据单元协议报文的优先级设定为最高,将开放最短路径优先协议和边界网关协议的报文的优先级设定为低于桥接协议数据单元协议报文而高于数据报文。
8.如权利要求5所述的方法,其特征在于,所述调度算法是采用严格优先级算法或者加权调度算法。
全文摘要
本发明公开一种增强协议报文安全的方法和装置,该装置包括报文接收模块、缓存模块、报文调度模块、报文处理模块、报文分类映射模块和配置模块。首先,配置模块为不同类型的报文设定不同的优先级,需要优先处理的报文其优先级较高,同时在缓存模块中为不同的优先级报文设置相应的接收队列;收到报文后,报文分类映射模块先确定该报文的类型,然后根据设定的报文类型和优先级的对应关系,将该报文映射到缓存模块相应优先级的接收队列中;再由报文调度模块按照调度算法将优先级较高的接收队列中的报文优先上送到处理器处理。采用本发明方法可以在三层网络设备中将协议报文可靠地上送到CPU处理。
文档编号H04L12/56GK1913486SQ20051009020
公开日2007年2月14日 申请日期2005年8月10日 优先权日2005年8月10日
发明者毛继平, 过仕好, 高辉 申请人:中兴通讯股份有限公司