一种CPU管理报文及数据报文的增强型保护方法与流程

本发明涉及数据通信中的以太网通信领域，尤其涉及一种用于cpu管理报文和数据报文的增强型保护方案。

背景技术：

1、在现代计算机系统中，cpu扮演着重要的角色，负责执行各种指令和处理数据。随着数据通信技术的发展，现网中存在的报文类型、报文数量日益增多，交换机cpu中常常需要处理大量的报文，其中不乏一些不必要的报文，这些报文大量占用的cpu的进程，使得cpu的处理能力大大降低，拖慢系统运行速度；此外，大数据量的cpu冲击甚至会导致cpu瘫痪，系统无法正常工作，影响正常业务报文的处理。因此，如何对发往cpu的数据报文进行监控、统计和限制成为了一项重要任务。

2、为了解决此问题，本领域已有不少针对cpu保护的解决方案，例如限制cpu流量阈值、限制端口流量阈值等方法。但这些方法大多只能保证cpu的流畅运行，无法对针对cpu的报文攻击进行有效的抑制。如果cpu遭到了不必要报文的大量冲击，cpu、端口设置的流量阈值会被占满，其他正常的重要业务报文也会被丢弃，影响了cpu对正常业务报文的处理。

技术实现思路

1、针对现有适配cpu的保护方案无法有效抑制大量报文攻击的问题，本发明的目的在于提供一种cpu管理报文及数据报文的增强型保护方法，该方案通过构建相应的管控机制来对发往cpu的各类报文进行管控，由此实现有效抑制针对cpu的报文攻击。

2、为了达到上述目的，本发明提供的cpu管理报文及数据报文的增强型保护方法，包括：

3、(1)报文流量数据监控：

4、结合交换机芯片的egress contentaware processor(下文简称efp)功能，实时查看cpu数据报文限速配置，实时监控网络中送往cpu的报文流量数据，对各类报文进行分类与统计；通过监控流量数据，可以及时发现异常流量和攻击行为，并及时进行防护；同时通过对监控到的流量数据进行统计分析，可以直观地得到各类报文的流量分布情况，为后续的流量限制提供依据；

5、(2)报文流量速率限制：

6、结合交换机芯片的egress contentaware processor(下文简称efp)功能，采用单速单桶的令牌桶算法，来限制各类报文进入cpu的流量速率。

7、在本发明的一些实施方式中，所述方法可根据各类报文进入cpu的流量速率，调整cpu数据报文限速配置。

8、在本发明的一些实施方式中，所述方法通过建立efp表项来进行报文流量数据监控。

9、在本发明的一些实施方式中，所述方法能够根据各类报文进入cpu的流量速率，调整cpu数据报文限速配置。

10、在本发明的一些实施方式中，所述方法通过建立efp表项来进行报文流量数据监控。

11、在本发明的一些实施方式中，所述方法在对送往cpu的报文流量数据进行报文流量速率限制处理时，在efp表项中配置各类协议报文的格式匹配规则，通过划分字段来对各类协议报文进行分类。

12、在本发明的一些实施方式中，所述字段包含网络层、传输层、应用层的各种字段。

13、在本发明的一些实施方式中，所述方法在设置各类协议报文的格式匹配规则时，针对各类协议报文设定匹配相应的优先级。

14、在本发明的一些实施方式中，所述优先级分为两类：网络中常见的、格式完整的具体报文为高优先级；网络中不常见的、难以定义归类的其他报文为低优先级。

15、在本发明的一些实施方式中，当即将进入cpu的协议报文格式同时匹配高优先级与低优先级的两类表项时，会自动匹配高优先级的表项，否则匹配低优先级的表项。

16、在本发明的一些实施方式中，所述方法在对送往cpu的报文流量数据进行报文流量速率限制时，根据设置的流量总大小的剩余量来判断是否允许报文通过。

17、在本发明的一些实施方式中，所述方法在报文流量速率限制处理时，能够针对送往cpu的报文流量进行分析，并将报文流量划分为两种类别：正常报文与未知报文。

18、本发明提供的cpu管理报文和数据报文增强型保护机制，通过监控、统计流量数据、对各类报文字段进行验证匹配和通过令牌桶算法限制各类报文流量速率，实现了对报文和数据的有效管理和保护。该机制具有可视化、验证匹配和速率控制等优点，适用于各种网络通信环境。

技术特征：

1.一种cpu管理报文及数据报文的增强型保护方法，其特征在于，包括：

2.根据权利要求1所述的cpu管理报文及数据报文的增强型保护方法，其特征在于，所述方法能够根据各类报文进入cpu的流量速率，调整cpu数据报文限速配置。

3.根据权利要求1所述的cpu管理报文及数据报文的增强型保护方法，其特征在于，所述方法通过建立efp表项来进行报文流量数据监控。

4.根据权利要求3所述的cpu管理报文及数据报文的增强型保护方法，其特征在于，所述方法在对送往cpu的报文流量数据进行报文流量速率限制处理时，在efp表项中配置各类协议报文的格式匹配规则，通过划分字段来对各类协议报文进行分类。

5.根据权利要求4所述的cpu管理报文及数据报文的增强型保护方法，其特征在于，所述字段包含网络层、传输层、应用层的各种字段。

6.根据权利要求4所述的cpu管理报文及数据报文的增强型保护方法，其特征在于，所述方法在设置各类协议报文的格式匹配规则时，针对各类协议报文设定匹配相应的优先级。

7.根据权利要求6所述的cpu管理报文及数据报文的增强型保护方法，其特征在于，所述优先级分为两类：网络中常见的、格式完整的具体报文为高优先级；网络中不常见的、难以定义归类的其他报文为低优先级。

8.根据权利要求7所述的cpu管理报文及数据报文的增强型保护方法，其特征在于，当即将进入cpu的协议报文格式同时匹配高优先级与低优先级的两类表项时，会自动匹配高优先级的表项，否则匹配低优先级的表项。

9.根据权利要求1所述的cpu管理报文及数据报文的增强型保护方法，其特征在于，所述方法在对送往cpu的报文流量数据进行报文流量速率限制时，根据设置的流量总大小的剩余量来判断是否允许报文通过。

10.根据权利要求1所述的cpu管理报文及数据报文的增强型保护方法，其特征在于，所述方法在报文流量速率限制处理时，能够针对送往cpu的报文流量进行分析，并将报文流量划分为正常报文与未知报文。

技术总结
本发明公开了一种CPU管理报文及数据报文的增强型保护方法，用于对进入交换机CPU的各类数据报文的流量进行了管理，包括报文流量数据监控与报文流量速率限制，具体基于交换机芯片的EFP功能模块来实时查看CPU数据报文限速配置，实时监控网络中送往CPU的报文流量数据，对各类报文进行分类与统计，以及基于交换机芯片的EFP功能模块并配合单速单桶的令牌桶算法，来限制各类报文进入CPU的流量速率。本方案可以有效地避免大量无用报文冲击交换机CPU，导致CPU占用率过高，影响系统正常工作的问题，实现了对CPU的有效保护，提高了交换机系统运行的稳定性。

技术研发人员：汪革,李毅,芶利平,谢坚,张剑飞
受保护的技术使用者：上海博达通信科技有限公司
技术研发日：
技术公布日：2024/4/17