专利名称:报文访问控制的方法、转发引擎和通信设备的制作方法
技术领域:
本发明涉及通信技术领域:
,尤其涉及一种报文访问控制的方法、转发引擎和一种通信设备。
背景技术:
由于Internet网络流量越来越大,对数据通信网络设备的性能要求越来越高。纯软件转发的网络设备逐渐被淘汰,更多的设备采用硬件转发来提高性能。
相对于软件转发来说,硬件转发的灵活性较差,如果仅仅依靠硬件转发引擎,如ASIC(Application-Specific Integrated Circuit,特定用途集成电路)和NPU(Network Processing Unit,网络处理器)等,许多功能都将无法实现或很难实现。因此,一般的网络设备在提供硬件转发的同时,还提供CPU等用于完成转发引擎难以完成的功能,以兼顾性能和灵活性。在数据通信设备中,包含有称之为数据平面和控制平面的部分,前者主要包含硬件转发引擎和交换网、物理层接口等,用于完成大部分数据报文的转发;后者主要包含CPU及其周边设备(如内存等),用于完成设备的管理和控制、需要软件参与的数据报文(如路由协议报文、网管交互报文等)的处理等任务。
如图1所示的典型的集中式数据通信网络设备的结构和如图2所示的典型的分布式数据通信网络设备的结构,其中实线为数据报文的转发路径,虚线为控制报文/控制消息的通道。
一般情况下,网络设备收到的大部分数据报文都会在数据平面内部直接找到目的地并发送出去,但部分数据报文仍需要控制平面的参与,比如网络设备之间交互的协议报文(最常见的是路由协议报文);其他终端或设备发给本设备的报文(如网管发过来的配置请求等)和途经本设备,但需要特殊处理的报文(如IP报文,TTL(time to live,生存时间)超时报文等)。
这些数据报文在被转发引擎识别出来之后,通过转发引擎和CPU之间的通道(以下简称控制通道)上送给CPU进行处理,同样,CPU也会有一些报文通过该通道从转发引擎转发出去。需要说明的是,对图2所示的典型的分布式数据通信网络设备来说,控制平面不仅包括线路卡上的CPU,还包括控制卡上的CPU。因此,通道不仅包含线路卡上的转发引擎和CPU之间的通道,还包括线路卡和控制卡CPU之间的通道。
在这样的架构下,由于CPU自身处理能力和控制通道带宽的限制,网络设备很容易受到有意或无意的拒绝服务(Denial of Service,DOS)攻击(无意的攻击可能的来源有蠕虫病毒、网络风暴等),如果数据平面短时间内上送的流量过大,会造成控制通道拥塞,导致上送的部分报文丢包;如果上送流量过大,CPU忙于处理上送的某种报文,便会无暇进行其他处理。
上述这两种后果都可能造成设备或网络故障。如何防范此类攻击是网络设备必须要考虑的问题。
通常,转发引擎判断某个报文是否需要上送是基于报文内容的某些字段,比如目的IP地址、协议号、端口号等。但它判断出来需要上送的报文,对于控制平面来说,可能是没用的,也就是说,本来无需上送(将这种对控制平面无用的报文称为垃圾报文)。并且垃圾报文被上送的情况是普遍存在的,在上送报文总流量中占据了较大的比例。
出现这种情况的原因在于虽然网络设备支持众多功能,但在某个具体的应用场景中,可能仅仅使用了该设备的很小一部分功能,属于其他未用功能的报文上送控制平面后,经过一些处理,最终会发现报文无用而将其丢弃。但这些报文既占用了控制通道的带宽,又占用的CPU的处理时间。一旦这些报文流量过大,就可能造成其他正常报文无法上送或正常业务来不及处理,出现前述的DOS攻击结果。
在现有技术中,有一种做法是转发引擎将可能上送的报文进行分类,在每种报文上送前进行带宽限制,并且该带宽是可配置的。一旦发现某设备中某种报文上送流量较大,并且根据设备当前配置,该种报文对于当前业务来说是无用的,这时便可以通过更改带宽配置限制该种报文的上送,以避免出现DOS攻击。
但是,为了不影响正常业务,针对不同类别的报文设置的缺省带宽参数都比较大,以避免在使用该类报文对应的业务时出现问题。使用缺省参数处理上送报文,仍会出现垃圾报文占用较多控制通道带宽;并且,仅仅根据报文分类,就很难做到比如限制只有某个源地址发送过来的某种报文才上送这样的精细控制。
针对这一问题,现有技术的另一种做法就是手工配置访问控制列表(ACL,Access Control List),在转发引擎将报文上送控制通道前,查询设备配置的特定ACL规则,根据命中的规则对应的动作进行处理,可能将报文丢弃,也可能限制该类报文的带宽。其中比较常用的做法是在ACL中配置需要丢弃的报文信息,而这种情况下,需要设备维护人员对设备具体实现细节了解较多,配置成本高,且容易出错,往往会使得部分垃圾报文仍然被上送到CPU,仍旧难以有效解决垃圾报文过多占用控制通道带宽的问题,做不到精细控制;另一种作法便是在ACL中配置需要上送CPU处理的报文信息,未配置的报文则被丢弃,在这种情况下,由于需要手工配置,则对配置者要求较高,一些与业务实现有关的报文可能会被错误地配置,导致错误丢弃,使得业务运行不正常,而在新的业务建立或者连接建立的情况下,如果未事先配置ACL规则,则还需要再次配置ACL,影响了业务运行的效率。
发明内容为了解决现有技术中在降低垃圾报文对设备控制平面造成的影响的情况下,不能同时兼顾精细控制和保证业务运行稳定的问题,本发明实施例的主要目的在于提供一种报文访问控制的方法、转发引擎和一种通信设备。
为达到上述目的,本发明实施例的技术方案是这样实现的本发明实施例公开了一种报文访问控制的方法,包括以下步骤
步骤A1转发引擎设置第一带宽参数,在报文到来时,根据报文的类型判断所述报文是否需要转发,如果不需要转发,则执行步骤A2;步骤A2根据所述报文的信息查询访问控制表,如果命中,则执行步骤A3,否则执行步骤A4;所述报文的信息包括源IP地址、目的IP地址、源端口、目的端口、协议号中的一个或者多个;步骤A3执行所述访问控制表中相应动作;步骤A4给所述报文应用所述第一带宽参数,上送至所述控制平面。
还公开了一种报文转发引擎,包括设置模块、存储模块、接收模块、转发判断模块、访问控制模块和处理模块,其中设置模块,用于设置第一带宽参数;存储模块,用于存储并更新访问控制表;接收模块,用于接收报文;转发判断模块,用于根据所述接收模块接收的所述报文的报文类型,判断是否需要转发;访问控制模块,当所述转发判断模块判断的结果为不需要转发时,用于根据所述接收模块接收的所述报文的信息,查询所述存储模块中存储的所述访问控制表规则,所述报文的信息包括源IP地址、目的IP地址、源端口、目的端口、协议号中的一个或者多个;处理模块,当所述访问控制模块的分析结果为命中所述访问控制表规则时,用于执行相应动作;否则,用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数,上送至控制平面。
同时,本发明实施例还公开了一种通信设备,包括控制单元和数据单元,其中控制单元,用于配置访问控制表和处理报文;数据单元,用于设置第一带宽参数,在报文到来时,根据报文类型判断所述报文是否需要转发,如果不需要转发,则根据所述报文的信息查询所述控制单元配置并下发的访问控制表,如果命中,则执行相应动作;否则,给所述报文应用第一带宽参数,上送至所述控制单元。
利用本发明实施例所提供的报文访问控制的方法、报文转发引擎和通信设备,由于对报文访问控制采取了事先的配置,并且对未命中访问控制表规则的报文配置一个带宽参数,可以在降低已知垃圾报文对设备控制平面造成的影响的同时,防止对业务实现所必需的报文不被遗漏丢弃,保证业务的正常运行,有效地提高设备的稳定性和整个网络的可用性。
图1为现有技术中典型集中式数据通信网络设备结构示意图;图2为现有技术中典型分布式式数据通信网络设备结构示意图;图3为本发明提供的报文访问控制的方法的一个实施例的流程图;图4为本发明提供的报文转发引擎的一个实施例的示意图;图5为本发明提供的通信设备的一个实施例的示意图。
具体实施方式本发明所提供的实施例中,转发引擎根据报文的信息查询访问控制表,如果命中访问控制表规则,就执行相应的动作;否则,就给报文配置一个带宽参数,上送至控制平面,例如CPU。
访问控制表可以包括普通意义上的访问控制列表ACL和特殊的ACL,所谓普通的访问控制列表则是包含五元组信息(源IP地址、目的IP地址、源端口、目的端口、协议号)的访问控制表,而特殊的访问控制表则是只包含五元组中部分字段的访问控制列表,比如只包含源端口或者源IP地址等字段信息。
在本发明所提供的一个实施例中,转发引擎需要设置一个第一带宽参数,对于未在访问控制表中配置,而对业务实现是必需的报文,不会因为报文未命中访问控制表而被错误丢弃,造成业务运行的不正常,而这个第一带宽参数则可以任意设置,优选的是,将该参数设置成小于总带宽的一半。同时,还可以进一步设置第二带宽参数,在报文命中访问控制表需要上送控制平面的情况下,可以应用第二带宽参数上送,这个第二带宽参数可以比第一带宽参数大,以使得命中访问控制表而需要上送的报文获得比未命中访问控制表的报文更大的带宽。
而访问控制表的配置则可以有多种方法,可以手工配置该访问控制表,也可以在设备的运行过程中,由设备对访问控制表进行再配置或者更新原先的访问控制表。在这里,正是由于未命中访问控制表规则的报文仍然可以获得一个带宽,从而保证了新的业务或者连接成功建立的时候,原先不在访问控制表中配置的报文仍然可以上送到控制平面进行处理,尤其是上送到CPU。例如,该通信设备根据当前配置的业务或者和其他设备或终端之间建立的会话,进行配置访问控制表规则及其动作的下发或删除等处理。
当设备在配置某种新的业务时,如果与新的业务相关的报文并没有事先在访问控制表表中进行配置,所以,报文会以第一带宽参数所提供的带宽上送到控制平面中进行处理,判断该种报文是否与特定业务相关,即,是否需要一直由控制平面对这些类型的报文进行处理,如果需要,则下发相应的访问控制表规则,或者同时根据该业务的重要性下发该类报文对应的优先级等信息,更新原有的访问控制表。比如,设备可以允许终端通过远程登陆的方式管理该设备,为实现该功能,需要通过配置使能设备的Telnet的服务,并限制某个或某些终端才能登陆设备(防止非法用户登陆)。根据Telnet报文的特点(目的端口号为23,协议号为TCP(Transfer Control Protocol,传输控制协议)),以及限制的终端IP地址信息,提取五元组中的三个信息源IP地址、目的端口、协议号,组成相应的访问控制表规则下发到转发平面中。
在控制平面所在的网络设备和其他设备/终端动态建立会话(如TCP连接)的情况下,如果控制平面根据当前会话的信息分析该会话建立成功,则会下发相应的访问控制表规则,或者同时根据该会话的重要性下发该类报文对应的优先级等信息,更新原有的访问控制表。比如,两个路由器A和B通过某种路由协议交互路由信息,在正式交互路由信息之前,需要相互进行认证,以防止其他非法终端仿冒。这个认证的过程一般需要几次握手交互,在这几次握手过程中,A和B相互将自己的信息告知对方,可能包括需要认证的密码等加密信息。在相互认可对方后,两个设备之间的会话(连接)才正式建立,在协议连接建立后,设备控制层面将标识连接的元素(比如五元组源IP地址、目的IP地址、源端口、目的端口、协议号)组成相应的访问控制表规则下发到转发平面。
当然,在以上所说的几种配置访问控制表的方法中,五元组中的信息,即源IP地址、目的IP地址、源端口、目的端口、协议号,可以单独或者任意组合,即形成普通意义上的访问控制表规则或特殊的访问控制表规则,并根据该访问控制表配置相应的动作,或者同时根据该业务或者会话的重要性下发该类报文对应的优先级等信息,或者还可以配置成只要与访问控制表匹配便丢弃报文。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举较佳实施例,对本发明进一步详细说明。
在本发明所提供的报文访问控制的方法的一个实施例中,可以事先设置好各种参数,访问控制表可以事先配置,也可以不必事先配置,不需要转发的报文都应用第一带宽参数上送到控制平面,在如图3所示的报文访问控制的方法的一个实施例的流程图中步骤101转发引擎可以首先根据报文类型判断所述报文是否需要转发,如果不需要转发,则执行步骤103,否则执行步骤102。
一般而言,可以对如下几种情况的报文采取分析1)目的是本设备的报文需要上送,如FTP、Telnet等报文;2)目的为广播/组播的协议报文需要上送,如路由协议报文、ARP请求报文等;3)途经本设备的报文在处理过程中发现有错,需通知报文源时需要上送,如目的不可达时。
转发引擎可以通过查询特定表的形式进行该判断,如,当涉及到IP报文转发时,转发引擎可以查询转发表,如果可以直接转发,则无需再上送控制平面进行处理,否则就要继续本流程。
步骤102报文进行正常转发处理。
步骤103转发引擎根据报文的信息查询访问控制表。
当然,这里也可以再增加一个步骤,即在报文需要上送控制平面时,先查询一下有无访问控制表存在,如果存在访问控制表,则按照步骤103进行查询,如果不存在访问控制表,则报文仍然会上送到控制平面,只是为了防止占用全部带宽,报文会应用一个第一带宽参数。
步骤104根据访问控制表表中内容判断是否命中规则。
步骤105如果没有命中,则给报文应用第一带宽参数,上送到控制平面,比如CPU。通常可以将第一带宽参数设置成小于总带宽的一半,也就是给报文配置的带宽比较小。
步骤106如果命中访问控制表规则,则判断相应的动作是否是丢弃报文,如果是的话,则执行步骤107,否则执行步骤108。当然,如果没有设置丢弃的动作,也可以省略该步骤,只要命中访问控制表规则就执行步骤108。
步骤107丢弃报文。
步骤108将报文上送至控制平面,比如CPU。在本步骤中,报文应用第二带宽参数上送,同时还可以根据设置的优先级大小再进行上送。优先级大的报文优先使用第二带宽参数上送至CPU。优选地,第二带宽参数可以大于第一带宽参数,这样就保证了命中规则的报文可以获得较大的带宽,而未命中规则的报文则获得较小的带宽。
如果以第一带宽参数上送的报文经过控制平面的分析,认为需要继续上送的,则根据报文的信息下发访问控制表规则,同时规定具体的动作,将这些信息再下发到转发引擎中,更新原有的访问控制表,将报文的相关信息以及所对应的具体动作加入到访问控制表中。尤其是,当原先并不存在访问控制表时,这时就会根据控制平面的处理,生成访问控制表并下发到转发引擎。
最后,如果在取消某种业务的配置或拆除会话时,也可以相应地删除对应的访问控制表规则。
在本实施例中,步骤序号仅仅是为了介绍本实施例的方便而设置,并不表示各步骤需按照序号的顺序进行。
在本发明的实施例中,在未命中访问控制表,或者在设备本身未存储访问控制表的情况下,报文仍然还可以以第一带宽参数上送到控制平面处理,这样就可以很好地解决现有技术中不能同时兼顾精细控制和保证业务运行稳定的问题,可以有效地对访问控制表形成补充,防止一些对业务实现所必需的报文不会因为可能未命中访问控制表而被错误丢弃,造成业务运行的不正常,在这个意义上,可以有效地提高设备的稳定性和整个网络的可用性,保证了业务的正常运行。
本发明的实施例还提供了一种报文转发引擎,其中一个实施例的组成示意图如图4所示。转发引擎可以包括设置模块、存储模块、接收模块、转发判断模块、访问控制模块和处理模块,其中设置模块,用于设置第一带宽参数;当然,设置模块还可以用于设置第二带宽参数;具体参数的设置以及目的可以参照方法实施例的介绍,在此就不再赘述。
存储模块,用于存储并更新访问控制表;接收模块,用于接收报文;转发判断模块,用于根据所述接收模块接收的所述报文的报文类型,判断是否需要转发;访问控制模块,当所述转发判断模块判断的结果为不需要转发时,用于根据所述接收模块接收的所述报文的信息,查询所述存储模块中存储的所述访问控制表规则;处理模块,当所述访问控制模块的分析结果为命中所述访问控制表规则时,用于执行相应动作;否则,用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数,上送至控制平面。
一般而言,可以由源IP地址、目的IP地址、源端口、目的端口、协议号中的一个或者多个组成报文信息。
而访问控制模块还可以包括查询模块和判断模块,其中查询模块,当所述转发判断模块判断的结果为不需要转发时,用于查询所述存储模块中是否存储有所述访问控制表;在本发明实施例中,并不必然要求对访问控制表进行事先配置。
判断模块,当所述查询模块的查询结果为存在所述访问控制表时,根据所述接收模块接收的所述报文的信息,查询所述存储模块中存储的所述访问控制表规则;当所述查询模块的查询结果为不存在所述访问控制表时,所述处理模块还用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数,上送至控制平面。也就是说,在不存在访问控制表的情况下,报文仍旧可以直接上送到控制平面,但是会应用一个第一带宽参数,在上送到控制平面以后,再根据相应的分析,下发访问控制表至转发引擎。
处理模块还可以包括转发模块,在转发判断模块判断的结果为需要转发时,用于正常转发所述接收模块接收的所述报文。
而处理模块还可以包括丢弃模块和上送模块,其中丢弃模块用于丢弃所述接收模块接收的所述报文;上送模块用于将所述接收模块接收的所述报文上送至所述控制平面。
上送模块还可以包括加工模块和输出模块,其中加工模块,在所述访问控制模块的分析结果为命中所述存储模块中存储的所述访问控制表规则时,用于给所述接收模块接收的报文应用所述设置模块设置的第二带宽参数,当然前提是设置模块还设置了第二带宽参数;而在不存在访问控制表或者是未命中访问控制表时,用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数;输出模块,用于将经过所述加工模块加工的所述报文上送至控制平面。
该引擎可以在降低已知垃圾报文对设备控制平面造成的影响的同时,防止对业务实现所必需的报文不被遗漏丢弃,保证业务的正常运行,有效地提高设备的稳定性和整个网络的可用性。
同时,本发明还公开了一种通信设备,其中一个实施例的组成示意图如图5所示,包括控制单元和数据单元,其中控制单元,用于配置访问控制表和处理报文;而数据单元,用于设置第一带宽参数,在报文到来时,根据报文类型判断所述报文是否需要转发,如果不需要转发,则根据所述报文的信息查询所述控制单元配置并下发的访问控制表,如果命中,则执行相应动作;否则,给所述报文应用第一带宽参数,上送至所述控制单元。
尤其是,数据单元中还可以包括本发明提供的报文转发引擎。而且,如果以第一带宽参数上送的报文经过控制单元的分析,认为在以后还需要继续上送的,则根据报文的信息下发ACL访问控制表规则,同时规定具体的动作,认为不再需要上送的,也可以同样下发ACL访问控制表,只是将动作规定为丢弃报文,然后,将这些信息再下发到转发引擎中的存储模块,更新原有存储模块中存储的ACL访问控制表,如果原先并不存在ACL访问控制表的话,则根据这些信息建立一个ACL访问控制表,保存在转发引擎中。
该设备由于包含了本发明实施例所提供的转发引擎,对未命中访问控制表规则的报文配置一个带宽参数,加之对报文访问控制的配置,可以在降低已知垃圾报文对设备控制平面造成的影响的同时,防止对业务实现所必需的报文不被遗漏丢弃,保证业务的正常运行,有效地提高设备的稳定性和整个网络的可用性。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域:
的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种报文访问控制的方法,其特征在于,包括以下步骤步骤A1转发引擎设置第一带宽参数,在报文到来时,根据报文的类型判断所述报文是否需要转发,如果不需要转发,则执行步骤A2;步骤A2根据所述报文的信息查询访问控制表,如果命中,则执行步骤A3,否则执行步骤A4;所述报文的信息包括源IP地址、目的IP地址、源端口、目的端口、协议号中的一个或者多个;步骤A3执行所述访问控制表中相应动作;步骤A4给所述报文应用所述第一带宽参数,上送至所述控制平面。
2.如权利要求
1所述的方法,其特征在于,步骤A2具体包括步骤A2判断是否存在访问控制表,如果存在,根据所述报文的信息查询所述访问控制表,如果命中,则执行步骤A3,如果未命中或者不存在所述访问控制表,则执行步骤A4。
3.如权利要求
1或2所述的方法,其特征在于,当所述动作为将所述报文上送至所述控制平面时,具体为为所述报文配置优先级参数,并根据所述优先级参数上送至所述控制平面。
4.如权利要求
1或2所述的方法,其特征在于,在步骤A4后进一步包括若所述报文与所述转发引擎所在的网络设备所配置的业务相关,或者所述报文为所述转发引擎所在的网络设备与第二网络设备或终端设备动态建立会话连接成功的报文时,则根据与所述业务或者会话相关的报文的信息,配置所述报文的访问控制规则,并对命中所述规则的所述报文应执行的动作进行规定,将所述访问控制规则和所述规定发送至所述转发引擎,更新所述访问控制表。
5.如权利要求
1所述的方法,其特征在于,在步骤A1中还进一步包括转发引擎设置第二带宽参数;当所述动作为将所述报文上送至所述控制平面时,具体包括所述报文应用第二带宽参数上送至控制平面。
6.一种报文转发引擎,其特征在于,包括设置模块、存储模块、接收模块、转发判断模块、访问控制模块和处理模块,其中设置模块,用于设置第一带宽参数;存储模块,用于存储并更新访问控制表;接收模块,用于接收报文;转发判断模块,用于根据所述接收模块接收的所述报文的报文类型,判断是否需要转发;访问控制模块,当所述转发判断模块判断的结果为不需要转发时,用于根据所述接收模块接收的所述报文的信息,查询所述存储模块中存储的所述访问控制规则,所述报文的信息包括源IP地址、目的IP地址、源端口、目的端口、协议号中的一个或者多个;处理模块,当所述访问控制模块的分析结果为命中所述访问控制规则时,用于执行相应动作;否则,用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数,上送至控制平面。
7.如权利要求
6所述的报文转发引擎,其特征在于,所述访问控制模块包括查询模块和判断模块,其中查询模块,当所述转发判断模块判断的结果为不需要转发时,用于查询所述存储模块中是否存储有所述访问控制表;判断模块,当所述查询模块的查询结果为存在所述访问控制表时,根据所述接收模块接收的所述报文的信息,查询所述存储模块中存储的所述访问控制规则;当所述查询模块的查询结果为不存在所述访问控制表时,所述处理模块还用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数,上送至控制平面。
8.如权利要求
6或7所述的报文转发引擎,其特征在于,所述处理模块包括转发模块,在转发判断模块判断的结果为需要转发时,用于正常转发所述接收模块接收的所述报文。
9.如权利要求
6或7所述的报文转发引擎,其特征在于,所述处理模块还包括丢弃模块和上送模块,其中丢弃模块用于丢弃所述接收模块接收的所述报文;上送模块用于将所述接收模块接收的所述报文上送至所述控制平面。
10.如权利要求
9所述的报文转发引擎,其特征在于,所述设置模块还用于设置第二带宽参数;所述上送模块包括加工模块和输出模块,其中加工模块,用于给所述接收模块接收的报文应用所述设置模块设置的第二带宽参数或者第一带宽参数;输出模块,用于将经过所述加工模块加工的所述报文上送至所述控制平面。
11.一种通信设备,其特征在于,包括控制单元和数据单元,其中控制单元,用于配置访问控制表和处理报文;数据单元,用于设置第一带宽参数,在报文到来时,根据报文类型判断所述报文是否需要转发,如果不需要转发,则根据所述报文的信息查询所述控制单元配置并下发的访问控制表,如果命中,则执行相应动作;否则,给所述报文应用第一带宽参数,上送至所述控制单元。
12.如权利要求
11所述的通信设备,其特征在于,所述数据单元包括报文转发引擎,所述报文转发引擎包括设置模块、存储模块、接收模块、转发判断模块、访问控制模块和处理模块,其中设置模块,用于设置第一带宽参数;存储模块,用于存储并更新所述控制单元下发的访问控制表;接收模块,用于接收报文;转发判断模块,用于根据所述接收模块接收的所述报文的报文类型,判断是否需要转发;访问控制模块,当所述转发判断模块判断的结果为不需要转发时,用于根据所述接收模块接收的所述报文的信息,查询所述存储模块中存储的所述访问控制规则,所述报文的信息包括源IP地址、目的IP地址、源端口、目的端口、协议号中的一个或者多个;处理模块,当所述访问控制模块的分析结果为命中所述访问控制规则时,用于执行相应动作;否则,用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数,上送至控制平面。
13.如权利要求
12所述的通信设备,其特征在于,所述访问控制模块包括查询模块和判断模块,其中查询模块,当所述转发判断模块判断的结果为不需要转发时,用于查询所述存储模块中是否存储有所述访问控制表;判断模块,当所述查询模块的查询结果为存在所述访问控制表时,根据所述接收模块接收的所述报文的信息,查询所述存储模块中存储的所述访问控制规则;当所述查询模块的查询结果为不存在所述访问控制表时,所述处理模块还用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数,上送至控制平面。
14.如权利要求
12或13所述的通信设备,其特征在于,所述报文转发引擎还包括转发模块,在转发判断模块判断的结果为需要转发时,用于正常转发所述接收模块接收的所述报文。
15.如权利要求
12或者13所述的通信设备,其特征在于,所述处理模块还包括丢弃模块和上送模块,其中丢弃模块用于丢弃所述接收模块接收的所述报文;上送模块用于将所述接收模块接收的所述报文上送至所述控制平面。
16.如权利要求
15所述的通信设备,其特征在于,所述设置模块还用于设置第二带宽参数;所述上送模块包括加工模块和输出模块,其中加工模块,用于给所述接收模块接收的报文应用所述设置模块设置的第二带宽参数或者第一带宽参数;输出模块,用于将经过所述加工模块加工的所述报文上送至控制平面。
专利摘要
本发明提供了一种报文访问控制的方法,在本方法中,转发引擎设置第一带宽参数,根据报文类型判断所述报文是否需要转发,如果不需要转发,则根据所述报文的信息查询所述访问控制表,如果命中,则执行相应动作;否则,给所述报文应用第一带宽参数,上送至控制平面。同时,本发明还提供了一种报文转发引擎和通信设备,利用本发明提供的方法、报文转发引擎和通信设备,均可以同时兼顾精细控制和保证业务运行稳定,有效地提高设备的稳定性和整个网络的可用性。
文档编号H04L12/56GK1996939SQ200610064671
公开日2007年7月11日 申请日期2006年12月29日
发明者宋端智, 杨平安, 熊怡 申请人:华为技术有限公司导出引文BiBTeX, EndNote, RefMan