報文處理方法、裝置以及網絡設備的制造方法
【技術領域】
[0001] 本發明涉及通信技術領域，尤其涉及一種報文處理方法、裝置W及網絡設備。
【背景技術】
[0002] 隨著網絡通信技術的進步，各種網絡攻擊引發的網絡安全問題日益受到人們的關 注。目前網絡設備在遭受大量需上送CPU報文（包括組播報文W及上送本機的單播報文） 的攻擊時，由于CPU的處理能力有限，面對大量的攻擊報文時，報文轉發隊列就會因為CPU 不能及時處理而阻塞，導致后續上送CPU的報文被丟棄。如果丟棄的報文為協議報文或是 管理報文，就可能造成協議中斷和設備無法管理的現象。

【發明內容】

[0003] 有鑒于此，本發明提供了報文處理方法W及裝置來解決上述問題。
[0004] 本發明提供一種報文處理方法，應用于網絡設備，所述方法包括：
[0005] 根據報文特征生成設有隊列優先級的控制策略；
[0006] 將所述控制策略下發至轉發芯片，W使所述轉發芯片將命中所述控制策略中報文 特征的報文添加至與所設隊列優先級對應的報文轉發隊列中；
[0007] 接收所述轉發芯片根據所述報文轉發隊列的隊列優先級順序上送的報文。
[0008] 本發明還提供一種報文處理裝置，應用于網絡設備，所述裝置包括：
[0009] 策略生成單元，用于根據報文特征生成設有隊列優先級的控制策略；
[0010] 策略下發單元，用于將所述控制策略下發至所述轉發芯片，W使所述轉發芯片將 命中所述控制策略中報文特征的報文添加至與所設隊列優先級對應的報文轉發隊列中；
[0011] 報文接收單元，用于接收所述轉發芯片根據所述報文轉發隊列的隊列優先級順序 上送的報文。
[0012] 本發明還提供一種網絡設備，所述網絡設備包括轉發芯片W及中央處理器CPU,其 中：
[0013] CPU,用于根據與協議類型對應的報文特征生成設有隊列優先級的控制策略，將所 述控制策略下發至所述轉發芯片，并接收所述轉發芯片根據所述報文轉發隊列的隊列優先 級順序上送的報文。
[0014] 轉發芯片，用于接收CPU下發的控制策略，在接收到報文時，將所述報文與預存的 控制策略進行匹配，并將命中所述控制策略中報文特征的報文添加至與所設隊列優先級對 應的報文轉發隊列中。
[0015] 本發明提供的報文處理方法，其根據報文特征生成設有隊列優先級的控制策略， 并將所述控制策略下發至所述轉發芯片，W使所述轉發芯片將命中所述控制策略中報文特 征的報文添加至與所設隊列優先級對應的報文轉發隊列中，從而優先處理隊列優先級高的 報文轉發隊列中的重要報文，避免造成網絡故障。
【附圖說明】
[0016] 圖1是本發明實施例中報文處理方法流程圖；
[0017] 圖2是本發明實施例中報文處理裝置所在網絡設備硬件架構示意圖；
[0018] 圖3是本發明實施例中報文處理裝置邏輯結構示意圖；
[0019] 圖4為本發明實施例中策略生成單元邏輯結構示意圖；
[0020] 圖5為本發明實施例中的網絡設備。
【具體實施方式】
[0021] 現有技術中，由于部分協議報文W及部分需進行應用處理的數據報文均會上送中 央處理器CPU處理，一些攻擊者則利用向CPU上送大量的協議報文W進行報文攻擊。CPU在 遭受大量報文的攻擊時，極有可能就會因為不能及時處理而阻塞，導致后續上送CPU的報 文被丟棄，若丟棄的報文為管理報文或者其他重要報文，則會導致設備無法管理或者協議 斷開等現象。目前的解決方法多通過對各個協議或端口進行限速來減少上送CPU的報文數 量。然而，限速只是根據協議和端口減少了上送CPU的報文數量，在報文種類較多時，仍無 法達到有較好的效果。
[0022] 為避免類似現象的發生，本發明所提供的報文處理方法根據與協議類型對應的報 文特征生成設有隊列優先級的控制策略，將所述控制策略下發至所述轉發芯片，W使所述 轉發芯片將命中所述控制策略中報文特征的報文添加至與所設隊列優先級對應的報文轉 發隊列中，并接收所述轉發芯片根據所述報文轉發隊列的隊列優先級順序上送的報文。
[0023] 在本發明實施例中，報文處理方法的處理流程如圖1所示，該方法應用在網絡設 備上，該網絡設備可W是交換機或路由器等，其中該報文處理方法包括W下步驟：
[0024] 步驟101，根據報文特征生成設有隊列優先級的控制策略；
[00巧]本發明實施方式提供的報文處理方法，首先檢查CPU協議找中協議模塊的開啟狀 況，獲取協議模塊已開啟的協議類型對應報文特征，該報文特征可W根據報文類型的不同 分為多種，例如：協議端口號、協議版本類型、傳輸協議類型、報文IP地址等。
[0026] 然后，根據獲取的報文特征的至少一項生成控制策略。由于各協議的報文類型不 同，其生成控制策略時所使用的報文特征也不盡相同。例如對于LDP協議的組播報文生成 控制策略時，其使用的報文特征可W是協議端口號、協議版本類型、該組播IP地址W及傳 輸協議類型；對于LDP協議的單播報文生成控制策略時，所使用的報文特征則可W為協議 端口號W及協議版本類型等。
[0027] 最后，根據所述報文特征生成具有隊列優先級的控制策略。該控制策略可W為多 種形式，例如：
[002引 1、所述控制策略可W為ACL。
[0029] 在所述控制策略為A化時，根據每個協議類型報文的不同獲取不同的報文特征， 對獲取的報文特征設置對應的ACL優先級W及隊列優先級，并根據該報文特征生成一條或 多條設有A化優先級W及隊列優先級的ACL。
[0030] 例如，協議找內已開啟協議模塊的協議為LDP，針對于LDP協議的組播報文生 成A化時所依據的報文特征為組播IP地址、傳輸協議類型、協議版本類型W及協議端口 號等。假設該組播IP地址為224. 0. 0. 2,傳輸協議類型為UDP，協議版本類型為IPV4， 協議端口號分別是源端口號646、目的端口號646 ;可將該條A化優先級設為5 ;隊列優 先級設為5。郝么該條A化則為A化優先級為5,隊列優先級為5的A化，即；IP地址為 224. 0. 0. 2+UDP+646+IPV4 的 A化。
[0031] 針對于LDP協議的單播報文生成A化時所依據的報文特征則可W為協議端口號W 及協議版本類型。例如LDP單播報文的協議版本類型為IPV4,協議端口號在不同情況下可 W分別是源端口號646,或者目的端口號646 ;郝么則可W根據該兩種情況為該LDP協議的 單播報文生成兩條A化優先級為4,隊列優先級為4的A化，即源端口為646+IPV4巧CP的 A化W及目的端口為646+IPV4+TCP的A化。
[0032] 除此之外，還可W使用A化控制其他多種協議的報文，例如，RIP、RI化g、BGP、PIM 等協議的報文。在對不同協議的報文生成A化時，可根據上述示例的原則選取不同的報文 特征生成ACL，在此不再一一賞述。
[0033] 在根據各種協議類型對應的報文特征生成A化后，轉發芯片中會保存多條不同的 A化，為各A化設置A化優先級可W在轉發芯片接收到報文后，按照A化優先級的順序由高 至低的匹配各條ACL。
[0034] 2.所述控制策略可W為與開啟的寄存器關聯的報文特征生成設置有對應的隊列 優先級控制表項。
[0035] 本發明實施例中，各開啟的寄存器可W關聯指定的協議類型或是報文特征，并且 可W為關聯的協議類型或是報文特征的寄存器設置對應的隊列優先級。在轉發芯片接收的 報文匹配到與開啟的寄存器對應的協議類型或者報文特征時，將該報文添加至與對應的隊 列優先級對應的報文轉發隊列中。
[0036] 例如，寄存器關聯的報文特征可W是判斷報文為組播報文的特征（目的MAC地址 為全F，或目的MC地址的第40比特位的值為"1")等；寄存器關聯的協議類型可W是專口 有寄存器控制的協議，比如解析協議ARP、動態主機配置協議DHCP、組播偵聽發現協議MLD 等。
[0037] 假設，若要對與DHCP協議關聯的寄存器設置隊列優先級時，首先檢查該寄存器的 開啟情況，在寄存器開啟時，根據具體需求對該寄存器設置隊列優先級。
[0038] 3.所述控制策略可W為BPDU表項。
[0039] 第二層的攻擊是網絡安全攻擊者最容易實施，也是最不容易被發現的安全威脅， 僅僅基于認證（如IE邸802. lx)的安全措施是無法防止來自網絡第二層的安全攻擊。為 此，本發明實施例根據協議的目的MAC地址生成BPDU表項來控制上送CPU的二層報文數 量，W避免二層報文的攻擊。
[0040] 本發明實施例中，ISIS、STP、FRRP、GVRP等協議的報文均可W由BPDU表項控制。 在具體實現中，