专利名称:线卡上捕获和限制数据报文速度的方法
技术领域:
本发明涉及计算机网络和宽带接入,具体涉及的是一种线卡上捕获和限 制数据报文速度的方法。
背景技术:
当前,由于宽带业务的多样化需求,宽带接入设备需要支持更多的功能,
为此,需要处理多种协议报文,如点对点协议The Point-to-Point Protocol Over Ethernet,筒称PPPOE协议,动态主机配置协议Dynamic Host Configuration Protocol ,简称DHCP协议,组管理协议Internet Group Management Protocol,简称IGMP协议,等等协议,来提供各种业务。然而,由于网络 用户的增加和网络规模的扩大,宽带接入设备的转发能力和系统稳定性受到 了日益严酷的挑战,如果网络协议报文被用于恶意攻击,当进行高速的协议 包沖击时,宽带接入设备需要持续处理大量的协议"R文,占用了大量的cpu 资源和带宽,导致其它正常的业务功能受到很大影响,性能大大下降,并且 一个异常用户会影响到同一设备上的其它用户,导致正常用户无法上线等故 障,这给用户乃至运营商带来了极大的不便。
目前,协议报文在DSLAM系统中的处理流程大致如图1所示,线卡2 获取协议报文后通过业务通道31上传给主控板1,由上层服务器进行进一 步处理,主控板1将相应的应答消息通过业务通道31下发给线卡2,网络 处理器设置在线卡2内,网络处理器可以是定制的ASIC芯片或FPGA芯片, 线卡2还通过管理通道32向网管系统发送信息或接收参数设置。为了支持 更多安全策略的实现,在线卡侧获取协议报文后,也需要进行一些信息提取 工作,为此,线卡需要对一些协议报文进行捕获,并且发送给cpu进行处理。 所以,在协议包攻击发生时,线卡的cpu,线卡到主控板的业务通道带宽, 以及上层设备等资源都将受到冲击,导致系统性能下降。
目前,针对协议包攻击问题,已有的处理方法主要有以下几种
1、 在线卡侧,或称用户/业务板侧,采用多种算法对发送给主控板的报 文进行限速,比如采用令牌桶算法进行限速。该方法只能有限的保障线卡到 主控板之间的业务通道,但是无法保护线卡的cpu资源,同时,不能区别协 议报文类型,也不能做到端口级的其他正常用户保护;
2、 在线卡收发报文任务中,对上报给CPU的报文进行限制,即CPU 接收报文限速,在CPU接收到的报文超过预定的报文数量时,通过对超标 的报文进行流量限制或者流量整形,来保护CPU资源;该方法可以在一定 程度上包括系统的CPU,但是由于无法对特定协议报文进行分类处理,无 法在抑制某种恶意协议报文攻击的同时,保证其它正常业务的进行,并且不 能区分问题端口和正常端口,导致连坐效应;同时上层设备不能获知受攻击 的相关信息,不利于运营商的管理工作;
由以上分析可知,现有的技术存在以下缺点1)、不能有效保证线卡 cpu资源和带宽资源;2)、无法对不同的协议报文区别限速;3)、无法基 于用户端口进行限速, 一个异常用户会导致同一个用户板上其它用户的宽带 业务;
随着网络技术的发展,目前各主流网络处理器Network Processor,简称 NP ,可以是定制的ASIC芯片或FPGA芯片,均提供了以下功能,据此DSLAM 设备可以用来对数据流进行更多控制;
1、 支持数据报文的捕获功能,可以捕获需要特殊处理的数据类型并进 一步进行处理;
2、 加强了数据流的分类功能,并且支持自定义数据流,用户可以通过 指定数据帧特定数据段进行分类定义;
3、 支持对数据流进行限速,包括对特定数据流,例如广播数据流,单 播数据流,以及组播数据流进行限速,同时支持对自定义的数据流进行限速。
发明内容
本发明需要解决的技术问题是提供一种线卡上捕获和限制数据报文速
度的方法,能够在数字用户线接入复用器Digital Subscribe Loop Access Multiplexer,简称DSLAM上,利用网络处理器对协议^^艮文进行捕获,并以 此为基础对用户寺艮文的通过进行限制和过滤以阻止高速的协议包沖击 DSLAM导致系统性能下降。
本发明的上述技术问题这样解决,提供一种线卡上捕获和限制数据报文 速度的方法,利用DSLAM设备中的网络处理器进行数据流捕获和数据流限 速,包括以下步骤
U)依协议报文国际/国内标准分析制定不同协议报文各自线卡用户端 口的限速门限;
1.2) 设置线卡用户端口的对应规则,包括协议头特征字段和限速门限;
1.3) 端口初始化生成不同端口和不同协议的限速器实例
1.4) 在该端口按所述协议头特征字段捕获不同协议数据报文并发送给 对应限速器进行处理。
按照本发明提供的方法,该方法还包括步骤
1.5) 监测到攻击发生时,网络处理器给网管系统发送包含攻击报文类型 和攻击端口的信息。
按照本发明提供的方法,所述限速处理是对超过所述限速门限速度的协 议报文直接丟弃。
按照本发明提供的方法,所述限速处理是仅针对低于所述限速门限速度 的协i^U艮文允许通过并发送给cpu进一步分析处理。
按照本发明提供的方法,所迷步骤1.4)具体包括
1.4.1) 获取数据报文的协议头特征字段;
1.4.2) 依所述协议头特征字段选择限速器;
1.4.3) 所述限速器将超过限速门限的数据包丟弃,低于限速门限的数据 包允许通过并提取出来交给线卡cpu进一步处理。
按照本发明提供的方法,所述数据流限速包括但不限制于采用 SR2CM、 TRTCM和令牌桶中的任一种限速算法进行限速。
按照本发明提供的方法,所述限速门限包括但不限制于平均限速门限和 突发数据包门限。
按照本发明提供的方法,所述网络处理器可以是定制的ASIC芯片或 FPGA芯片。
按照本发明提供的方法,所述协议包括但不限制于PPPOE、 DHCP和 IGMP协议。
按照本发明提供的方法,所述数据流限速由不同的网络处理器限速器实 例执行。
按照本发明提供的方法,所述设置端口对应规则可以通过人机界面进行 定义。
本发明提供的一种线卡上捕获和限制数据报文速度的方法,自定义捕获 和处理规则,利用网络处理器进行数据流捕获和数据流限速,较现有方法具 有以下优点1、可以基于用户端口级对恶意协议报文攻击行为进行抑制, 使恶意攻击不会影响同一个线卡上其他未发起协议报文攻击的正常用户;2、 对各种不同的协议报文分别抑制, 一种协议才艮文的恶意攻击不会影响其它协 议业务;3、在DSLAM设备的底层设备线卡line card上就对恶意攻击协议 报文进行终结,最大限度上保护了线卡line card上的cpu资源和上联的带宽 资源;4、 一旦线卡line card某个用户口受到恶意协议才艮文攻击,可以快速 向上层设备报告受攻击的用户口信息以及攻击的报文信息,上层设备可以根 据这些信息采取不同的措施,为网络运营监控提供有效的数据。5、 DSLAM 设备中的上层设备不需要对多余的协议报文做处理,更有利于其稳定性,并 且可以将更多的资源用于优质的服务;6、通过主控板配置,可以根据组网 和业务要求,灵活配置对各种协议报文配置不同的抑制门限,以适应丰富多
样的实际需求;因此,线卡和上层设备都可以减少了报文处理量,并可以专 注于其它安全策略的实现,从而降低了整个宽带接入系统的开发难度并提高 了其可靠性。
下面结合附图和具体实施例进一步对本发明进行详细说明。
图1是DSLAM设备处理协议报文模块。 图2是实现本发明的实施例的配置流程图。 图3是实现本发明的实施例的数据流示意图。
具体实施例方式
首先,说明本发明核心关键利用网络处理器进行数据流捕获和数据流 限速,即对宽带接入设备上多种协议报文(包括PPPOE, DHCP, IGMP等 协议)分别进行数据报文捕获,针对不同协议数据流,实现用户端口级的不 同协议报文独立流量控制功能,对用户报文的通过进行限制和过滤。
第二步,说明本发明方法,具体包括以下步骤
步骤A.利用网络处理器Network Processor,简称NP,具体可以是定 制的ASIC芯片或FPGA芯片,提供的抓包功能,根据不同的协议报文设置 协单独捕获规则,包括报文特征和报文捕获后处理行为,并将符合捕获规则 的数据流定义为特定数据流flowtype;
步骤B.创建基于流flow实现的限速器,根据该协议数据的使用标准 制定限速规则,包含限速门限,突发数据包门限等等,然后采用限速算法进 行限速,根据实际情况,可以采用单速率双色标记Single Rate Two Color Marking,简称SR2CM,双速率三色标记Two Rate Three Color Marking,简 称TRTCM,令牌桶等限速算法。
步骤C.创建报文处理行为规则,根据系统不同的组网要求,指定报文 处理行为,针对超速的协议报文可以是送给cpu进一步分析处理,或者直接 将报文丟弃;同时在控制方面,在监测到攻击发生时,给网管系统发送攻击 "t艮文类型,攻击端口等信息,提供管理信息;
步骤D.将限速器应用到用户端口和指定的流flowtype,不同的协议报 文根据不同的限速器实例化,并且根据不同的用户需求和协议标准对端口和 协议数据流进行限速,根据NP (即定制的ASIC芯片)和FPGA所支持的 功能,根据限速器所作用的用户端口位置,超速的报文将在线卡用户端口被
丢弃,同时从系统资源保护的角度,越早被丢弃,系统的性能保护越安全。
步骤E.注册协议报文限速器中断服务程序,当端口收到符合限速规则 的数据报文后,只有在协议报文速率在限速门限以下,才由中断服务程序将 报文发送给cpu进一步处理,超过限速门限的协议报文已经在限速器被丢弃。
第三步,结合具体实例例对本发明做进一步详细的说明。 (-)限速门限
针对不同的协议报文,国内外都有相应的标准,制定协议报文交互过程 以及重发机制等规则,根据这些标准,我们可以得到正常的协议报文的发包 速率,从而制定出不同协议报文的限速门限。
。以优选线卡为例说明数据流捕获和限速
由于需要对上下行的报文进行截取、分析、过滤等操作, 一种具体的实
景资料中所介绍,结合网络处理器的数据抓捕功能和数据流限速功能实现协
议报文限速。下面结合附图,重点对线卡上的实现方法进行说明。
如图2所示,在线卡上实现数据报文捕获并进行限速功能的步骤如下 步骤A.创建基于flow实现的限速器rate limter,制定限速规则Rate
limterprofile,指定限速门限;
步骤B.创建报文处理限速行为规则rate limter action profile,指定报文
处理行为,对速率门限下的数据包允许通过,将超过限速门限的数据进行丢
弃;
步骤C.将限速器实例化,并且应用到用户端口和步骤Dfilter中将具体 定义的数纟居流flowtype;
步骤D.设置filter rule和subrule,设置协议报文捕获特征和报文处理 行为,根据不同的协"^i艮文,制定不同的协议头特征字段作为捕获规则,将 报文处理行为制定为ratelimter,即发送给限速器处理,同时,将符合捕获规 则的数据流注册为限速器指定的数据流号flowtype;
步骤E.注册协议报文捕获中断服务程序,当端口收到符合数据报文捕 获规则的数据报文后,将由中断服务程序根据限速器的规则进行处理,低
于限速门限的包才提取出来交给线卡cpu进一步处理,超过限速门限的协 议报文将在数据层即被丢弃,保护了cpu的资源。
根据上述配置,协议报文在线卡中的处理流程如图3所示,线卡2内用 户端口 21收到符合filter中指定的数据流后,数据捕获的中断函数将根据 rate limter中定义的门限,只将在限速门限以下的协议报文提取给线卡2的 cpu进一步处理,并将通过协议限速器22限速的协议报文经桥端口 23和 业务通道31传送给主控板2,从而减少上层设备4的报文处理量。并且在 受到攻击时,将发起攻击的用户端口 21以及攻击的协议包类型等信息通 过管理通道32发送给网管系统,以供用户管理。
以上步骤中,数据捕获规则和限速规则支持用户灵活修改,并且对不同 的用户口和PVC端口可以实现独立配置,这些创建、设备、修改等操作可 以通过宽带接入设备的配置系统的人机界面实现,从而本发明方法可以根据 组网实际情况灵活配置各种协议报文的独立的限速方案,在保证各种协议业 务的正常功能情况下,阻止各种恶意或者无意义的协议报文冲击,进一步增 强二层交换设备的稳定性和转发性能,提高DSLAM整体交换性能,并且为 上层设备减少报文处理量,进一步提高网络设备整体性能。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护 范围。凡依本发明的权利要求书,所作的任何修改、等同修改、改进等,均 应包含在本发明要求保护范围之内。
权利要求
1、一种线卡(2)上捕获和限制数据报文速度的方法,其特征在于,利用DSLAM设备中的网络处理器进行数据流捕获和数据流限速,包括以下步骤1.1)依协议报文国际/国内标准分析制定不同协议报文各自线卡用户端口(21)的限速门限;1.2)设置线卡用户端口的对应规则,包括协议头特征字段和限速门限;1.3)端口(21)初始化生成对应不同端口和不同协议的限速器实例;1.4)在该端口按所述协议头特征字段捕获不同协议数据报文并发送给对应限速器进行处理。
2、 根据权利要求l所述方法,其特征在于,该方法还包括步骤1.5) 监测到攻击发生时,网络处理器给网管系统发送包含攻击报文类 型和攻击端口的信息。
3、 根据权利要求1所述方法,其特征在于,所述限速处理是对超过 所述限速门限速度的协议报文直接丢弃。
4、 根据权利要求1所述方法,其特征在于,所述限速处理是仅针对 低于所述限速门限速度的协议报文允许通过并发送给cpu进一步分析处理。
5、 根据权利要求1所述方法,其特征在于,所述步骤1.4)具体包括1.4.1) 获取数据报文的协议头特征字段;1.4.2) 依所述协议头特征字段选择限速器;1.4.3) 所述限速器将超过限速门限的数据包丟弃,低于限速门限的数据 包允许通过并提取出来交给线卡cpu进一步处理。
6、 根据权利要求1所述方法,其特征在于,所述数据流限速可以采 用SR2CM、 TRTCM和令牌桶中的任一种限速算法进行限速。
7、 根据权利要求l所述方法,其特征在于,所述限速门限包括平均限速门限和突发数据包门限。
8、 根据权利要求1所述方法,其特征在于,所述网络处理器可以是 定制的ASIC芯片或FPGA芯片。
9、 根据权利要求l所述方法,其特征在于,所述协议包括PPPOE、 DHCP和IGMP协议中的一种或多种。
10、 根据权利要求1所述方法,其特征在于,所述设置端口对应规则 可以通过人机界面进行定义。
全文摘要
本发明涉及一种线卡(2)上捕获和限制数据报文速度的方法,利用网络处理器进行数据流捕获和限速,包括依协议标准分析制定不同协议报文的限速门限;设置端口规则;端口初始化生成限速器实例;按协议头特征字段捕获数据报文并发送给对应限速器进行处理。这种方法自定义捕获和处理规则,利用网络处理器进行数据流捕获和数据流限速,能基于线卡用户端口(21)对恶意协议报文攻击进行抑制,使恶意攻击不会影响同一个线卡上其他正常用户;对不同的协议报文分别抑制,使恶意攻击不会影响其它正常协议业务;使线卡和上层设备都减少了报文处理量,能专注于其它安全策略的实现,从而降低了整个宽带接入系统的开发难度并提高了可靠性。
文档编号H04L12/56GK101193045SQ20061014483
公开日2008年6月4日 申请日期2006年11月21日 优先权日2006年11月21日
发明者楠 吴, 熊文杰, 硕 王, 邢思远 申请人:中兴通讯股份有限公司