一种交换机cpu的二级保护方法

一种交换机cpu的二级保护方法
【技术领域】
[0001]本发明涉及网络环境保护领域，尤其涉及一种交换机CPU的二级保护方法。
【背景技术】
[0002]在网络环境中，由于网络攻击者的存在，交换机CPU需要处理大量数据流，这会造成交换机CPU的链路拥塞，资源耗尽，从而无法正常工作。同时在交换机所处的网络环境中，主要攻击手段是对CPU的流量冲击，因为交换机的CPU是用来接收协议报文并处理协议状态机以及处理用户配置的，相对于PC和手机的CPU来说性能有限，短时间大量的报文攻击CPU会使得其他协议和数据报文的接收，造成交换机所处的网络瘫痪。

【发明内容】

[0003]针对现有技术中网络环境的保护不足，本发明提供了一种交换机CPU的二级保护方法，增加交换机的保护机制，以保护交换机所处的网络安全。
[0004]本发明采用如下技术方案:
[0005]—种交换机CPU的二级保护方法，所述方法包括:通过硬件收包队列与软件收包队列的二级保护方法，以阻止攻击流量，其中，
[0006]所述交换机对接收的部分报文进行硬件收包处理，以对所述交换机的CPU进行硬件保护；
[0007]对硬件收包处理后的报文进行软件收包处理，以对所述交换机的CPU进行软件保护。
[0008]优选的，所述方法具体包括:
[0009]对硬件收包处理后，所述CPU报文进入所述软件收包队列，所述软件收包队列根据所述CPU报文的特征发送至不同的协议模块处理，进行软件防护。
[0010]优选的，所述硬件包括:交换芯片，所述交换芯片包括硬件收包队列。
[0011]优选的，所述硬件保护采用预先设置的硬件访问控制列表规则对所述CPU报文进行过滤。
[0012]优选的，所述软件防护通过分析报文速率对所述CPU报文进行过滤。
[0013]优选的，所述硬件收包队列包括:MSTP报文、ARP报文、DHCP报文、IGMP报文。
[0014]优选的，所述硬件收包队列还包括:IPMC报文、L3DstMiss报文、广播报文。
[0015]优选的，所述硬件收包队列中的每个队列的速率小于200PPS。
[0016]优选的，所述硬件收包队列的队列总速率小于1000PPS。
[0017]优选的，所述软件收包队列包括多个协议模块。
[0018]优选的，各个所述协议模块的总速率小于1000PPS。
[0019]本发明的有益效果是:
[0020]在交换机中采用硬件收包队列和软件收包队列相结合的二级保护策略提供一种网络攻击CPU的防护方法交换机的端口接收各种报文，其中需要上送CPU的报文送至硬件收包队列中；硬件收包完成后，进入软件收包队列，软件根据报文特征把报文送至不同的协议模块处理。本发明运用硬件收包队列以及软件收包队列的二级保护机制最大限度的阻止攻击流量，保护交换机所处的网络安全，对CPU的二级保护机制解决单一性的问题。
【附图说明】
[0021]图1为本发明一种交换机CPU的二级保护方法的方法示意图；
[0022]图2为本发明一种交换机CPU的二级保护方法硬件收包队列的结构示意图；
[0023]图3为本发明一种交换机CPU的二级保护方法中软件收包队列的结构示意图。
【具体实施方式】
[0024]需要说明的是，在不冲突的情况下，下述技术方案，技术特征之间可以相互组合。
[0025]下面结合附图对本发明的【具体实施方式】作进一步的说明:
[0026]本实施例主要采用的CPU抗攻击包括:硬件和软件的防护方法两种类型。对于硬件防护方法，一般是采用预先设置硬件访问控制列表(ACL，Access Control List)规则来对报文进行过滤；对于软件防护方法，主要是分析报文速率进行过滤，如果只采用上述中的一种防护方式需要消耗硬件资源，同时单一防护模式也不能够起到较好的防护效果，本实施例中，主要在于解决在复杂的网络环境中和有恶意流量攻击的环境中交换机的CPU (Central Processing Unit，中央处理器)性能问题，通过硬件和软件相结合的方式实现对CPU的二级保护机制。本实施例旨在交换机中采用硬件收包队列和软件收包队列相结合的二级保护机制提供一种网络攻击CPU的防护方法，访问控制列表简即为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则进行过滤，从而达到访问控制的目的。
[0027]图1为本发明一种交换机CPU的二级保护方法的方法示意图，如图1所示，本实施例中，主要包括两级保护机制，两级保护机制分别是硬件收包队列、软件收包队列，在第一级保护机制，硬件收包队列中，可以对设置ACL规则的端口，启动采样机制，进而对该端口按一定间隔进行采样，并将采样得到的报文特征与报文模板中存储的报文特征进行比较。本实施例中的采样功能可以对ACL规则限制的异常报文进行采样，且可以将采样报文划分为一个单独的硬件队列，防止影响其他硬件队列的报文的正常接收。由于使用的是采样机制，不会占用过多CPU资源，保证了 CPU对其他报文的正常处理。
[0028]对于硬件预先设置ACL规则的方法，以交换机为例，在交换机正常工作时，利用一些ACL的规则，对报文自动分析和防御CPU攻击的能力，可以自动完成对芯片的设置，或是在使用者干预下完成芯片地设置。
[0029]图2为本发明一种交换机CPU的二级保护方法硬件收包队列的结构示意图，如图2所示，本实施例中，硬件收包队列工作在交换芯片内部，低档的交换芯片有4个硬件收包队列，大多数交换芯片是8个硬件收包队列，本实施例以8个硬件收包队列为例说明，每个队列限速200PPS (Packets Per Second，数据包每秒)，所有队列加起来最大1000PPS，队列调度算法可灵活配置。
[0030]图3为本发明一种交换机CPU的二级保护方法中软件收包队列的结构示意图，如图3所示，第二级保护机制为软件收包队列，软件收包队列采用软件限制报文速率的方法，使用软件对报文特征进行分析，对超速率的报文进行限速。但在受到大流量报文攻击的时候，软件限制报文速率的方法需要对CPU接收到的所有报文进行分析，以阻止攻击流量。在硬件收包队列后通过软件的保护方法进行速率的过滤，可以有效的避免与攻击报文在同一个硬件接收队列的其他业务报文被攻击报文淹没的情形，导致软件分析的效率低这种情况。它传输时延小，可避免某些大数据引起的阻塞，有更高的传输效率和可靠性，有更高的重发效率，具有更好的安全性。
[0031]本实施例中，通过硬件收包队列上送CPU的包，需要经过第二级保护机制软件收包队列，该队列主要功能根据报文的特征细分各种协议包(协议模块)，对每种协议包进行分析处理，总的队列可以是1000PPS，即限制流量的传输速度，以防止大流量攻击。
[0032]综上所述，本发明的关键点和欲保护点是通过硬件收包队列和软件收包队列的报文分类以及两种队列结合起来的对CPU形成的二级保护机制。
[0033]通过说明和附图，给出了【具体实施方式】的特定结构的典型实施例，基于本发明精神，还可作其他的转换。尽管上述发明提出了现有的较佳实施例，然而，这些内容并不作为局限。
[0034]对于本领域的技术人员而言，阅读上述说明后，各种变化和修正无疑将显而易见。因此，所附的权利要求书应看作是涵盖本发明的真实意图和范围的全部变化和修正。在权利要求书范围内任何和所有等价的范围与内容，都应认为仍属本发明的意图和范围内。
【主权项】
1.一种交换机CPU的二级保护方法，其特征在于，所述方法包括: 所述交换机对接收的部分报文进行硬件收包处理，以对所述交换机的CPU进行硬件保护； 对硬件收包处理后的报文进行软件收包处理，以对所述交换机的CPU进行软件保护。2.根据权利要求1所述的交换机CPU的二级保护方法，其特征在于，所述方法中: 对硬件收包处理后，所述CPU报文进入所述软件收包队列，所述软件收包队列根据所述CPU报文的特征发送至不同的协议模块处理，进行软件防护。3.根据权利要求1所述的交换机CPU的二级保护方法，其特征在于，所述硬件包括:交换芯片，所述交换芯片包括硬件收包队列。4.根据权利要求2所述的交换机CPU的二级保护方法，其特征在于，所述硬件保护采用预先设置的硬件访问控制列表规则对所述CPU报文进行过滤。5.根据权利要求2所述的交换机CPU的二级保护方法，其特征在于，所述软件防护通过分析报文速率对所述CPU报文进行过滤。6.根据权利要求1所述的交换机CPU的二级保护方法，其特征在于，所述硬件收包队列包括:MSTP报文、ARP报文、DHCP报文、IGMP报文。7.根据权利要求6所述的交换机CPU的二级保护方法，其特征在于，所述硬件收包队列还包括:IPMC报文、L3DstMiss报文、广播报文。8.根据权利要求6或7任意一个所述的交换机CPU的二级保护方法，其特征在于，所述硬件收包队列中的每个队列的速率小于200PPS。9.根据权利要求6或7所述的交换机CPU的二级保护方法，其特征在于，所述硬件收包队列的队列总速率小于1000PPS。10.根据权利要求1所述的交换机CPU的二级保护方法，其特征在于，所述软件收包队列包括多个协议模块。11.根据权利要求10所述的交换机CPU的二级保护方法，其特征在于，各个所述协议模块的总速率小于1000PPS。
【专利摘要】本发明涉及网络环境保护领域，尤其涉及一种交换机CPU的二级保护方法。一种交换机CPU的二级保护方法，方法包括：通过硬件收包队列与软件收包队列的二级保护方法，以阻止攻击流量，其中，交换机对接收的部分报文进行硬件收包处理，以对交换机的CPU进行硬件保护；对硬件收包处理后的报文进行软件收包处理，以对交换机的CPU进行软件保护。本发明运用硬件收包队列以及软件收包队列的二级保护机制最大限度的阻止攻击流量，保护交换机所处的网络安全，对CPU的二级保护机制解决单一性的问题。
【IPC分类】H04L12/933, H04L29/06
【公开号】CN105357184
【申请号】CN201510646617
【发明人】黄小飞
【申请人】上海斐讯数据通信技术有限公司
【公开日】2016年2月24日
【申请日】2015年10月8日