專利名稱:一種報文處理方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域���,尤其涉及一種報文處理方法和設(shè)備�。
背景技術(shù):
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展����,特別是萬兆以太網(wǎng)推出后,對網(wǎng)絡(luò)安全設(shè)備L4-L7 層的處理性能要求越來越高���。為此�����,目前提出了一種高性能可擴展流處理系 統(tǒng)架構(gòu)���,其結(jié)構(gòu)如圖l所示。如何在此架構(gòu)上保證主控CPU的安全�����,避免主 控CPU受到攻擊引起安全設(shè)備癱瘓進而危及內(nèi)部網(wǎng)絡(luò)的安全���,是目前亟待解 決的問題。
現(xiàn)有交換機或路由器的主控CPU通用報文收發(fā)方案中,對于主控板上各 接口收到的報文�,按照本板接收的報文處理,接口收到報文后由接口處理單 元直接將該報文發(fā)給本板的主控CPU,主控CPU向外發(fā)送的報文可以經(jīng)主控 板接口直接發(fā)送���。
在高性能可擴展流處理系統(tǒng)架構(gòu)中���,也可以采用上述現(xiàn)有的來自普通的 路由器或交換機技術(shù)的方案來實現(xiàn)主控CPU通信。該方法的特點是實現(xiàn)簡單�����, 報文接收和發(fā)送的處理性能較高����。當應(yīng)用于安全產(chǎn)品時,特別是現(xiàn)在萬兆逐 漸普及的網(wǎng)絡(luò)中的高端安全產(chǎn)品時�,其存在的問題在于主控CPU可能會面 對大流量高速攻擊"t艮文沖擊。因此現(xiàn)有技術(shù)方案難以保證主控CPU自身的安 全���,所以需要考慮在該新的高性能可擴展流處理系統(tǒng)架構(gòu)中重新設(shè)計主控 CPU纟艮文收發(fā)技術(shù)方案����。
發(fā)明內(nèi)容
本發(fā)明提供一種報文處理方法�,應(yīng)用于高性能可擴展流處理系統(tǒng)架構(gòu)中��, 用于提高高性能可擴展流處理系統(tǒng)架構(gòu)的安全性能���。
為達到上述目的,本發(fā)明提供一種報文處理方法����,應(yīng)用于高性能可擴展流處理系統(tǒng)架構(gòu)中,包括以下步驟
接口接收外部設(shè)備發(fā)送給主控CPU的報文���,將所述報文發(fā)送到業(yè)務(wù)板進 行處理后發(fā)送給主控CPU處理���;
所述主控CPU將所述處理后的返回報文發(fā)送到所述業(yè)務(wù)板,經(jīng)所述業(yè)務(wù) 板處理后通過接口發(fā)送給所述外部設(shè)備���。
其中���,所述業(yè)務(wù)板將所述報文進行處理后發(fā)送給主控CPU處理時,還包括
所述業(yè)務(wù)4反通知所述各接口 ��、和/或所述主控CPU,表明所述才艮文和對應(yīng) 的返回報文由所述業(yè)務(wù)板處理�����;所述通知的方式包括
所述業(yè)務(wù)板向所述各接口�、和/或所述主控CPU發(fā)送流表,表明所述報文 和對應(yīng)的返回才艮文由所述業(yè)務(wù);f反處理�����;和/或
所述業(yè)務(wù)板將標識自身業(yè)務(wù)板的相關(guān)內(nèi)容直接保存在發(fā)送給所述主控 CPU的報文的擴展數(shù)據(jù)區(qū)�����,表明所述報文和對應(yīng)的返回報文由所述業(yè)務(wù)板處 理��。
其中�����,所述主控CPU將所述處理后的返回報文發(fā)送到所述業(yè)務(wù)板具體為
所述主控CPU查找所述各接口處的流表�����,獲取所述返回報文對應(yīng)的業(yè)務(wù) 板����,將所述處理后的返回報文發(fā)送到所述業(yè)務(wù)板;或
所述主控CPU查找所述業(yè)務(wù)板發(fā)送的流表��,獲取所述返回報文對應(yīng)的業(yè) 務(wù)板,將所述處理后的返回報文發(fā)送到所述業(yè)務(wù)板�����;或
所述主控CPU解析接收到的報文的擴展數(shù)據(jù)區(qū)中業(yè)務(wù)板的相關(guān)信息��,獲 取所述返回報文對應(yīng)的業(yè)務(wù)板�����,將所述處理后的返回報文發(fā)送到所述業(yè)務(wù)板�。
本發(fā)明的實施例還提供一種報文處理方法,應(yīng)用于高性能可擴展流處理 系統(tǒng)架構(gòu)中��,包括以下步驟
主控CPU向外部設(shè)備發(fā)送報文時���,將所述報文發(fā)送到業(yè)務(wù)板進行處理后����, 經(jīng)接口向所述外部設(shè)備發(fā)送��;
所述接口接收所述外部設(shè)備返回給主控CPU的報文��,將所述報文經(jīng)所述 業(yè)務(wù)板進行處理后發(fā)送給主控CPU�����。
其中���,所述將所述報文發(fā)送到業(yè)務(wù)板進行處理后����,還包括
所述業(yè)務(wù)板通知所述各接口 ��,表明所述報文和對應(yīng)的返回報文由所述業(yè)
務(wù)板處理�����;所述通知的方式具體為
所述業(yè)務(wù)板向各接口發(fā)送流表���,表明所述報文和對應(yīng)的返回報文由所述 業(yè)務(wù)板處理���。
其中,所述接口接收所述外部設(shè)備返回給主控CPU的報文���,將所述報文 經(jīng)所述業(yè)務(wù)板進行處理后發(fā)送給主控CPU具體為
所述接口根據(jù)所述業(yè)務(wù)板發(fā)送的流表��,將所述從外部設(shè)備接收的返回報 文發(fā)送到所述業(yè)務(wù)板處理后發(fā)送給主控CPU��。
其中�,所述業(yè)務(wù)板進行的處理包括
通過所述業(yè)務(wù)板上的流加速和控制功能,對所述報文進行安全業(yè)務(wù)處理���, 以過濾其中可能包括的攻擊報文��。
本發(fā)明還提供一種報文處理系統(tǒng)�,應(yīng)用于高性能可擴展流處理系統(tǒng)架構(gòu) 中����,包括
接口單元,用于接收外部設(shè)備發(fā)送給主控CPU的報文�,將所述報文發(fā)送 到業(yè)務(wù)板;并將所述業(yè)務(wù)板處理的返回報文發(fā)送給所述外部設(shè)備�����;
至少一業(yè)務(wù)板���,用于將所述接口單元發(fā)送的報文進行處理后發(fā)送給主控 CPU;并將所述主控CPU發(fā)送的返回報文處理后發(fā)送給所述接口單元�����;
主控CPU,用于將處理所述業(yè)務(wù)板發(fā)送的報文得到的返回報文發(fā)送到所 述業(yè)務(wù)板����,經(jīng)所述業(yè)務(wù)板處理后通過接口發(fā)送給所述外部設(shè)備。
其中����,所述業(yè)務(wù)板包括
流表發(fā)送單元�,用于向各接口、和/或所述主控CPU發(fā)送流表����,表明所述 報文和對應(yīng)的返回才艮文由所述業(yè)務(wù)板處理;和/或
標識發(fā)送單元����,用于將標識自身業(yè)務(wù)板的相關(guān)內(nèi)容直接保存在發(fā)送給所 述主控CPU的報文的擴展數(shù)據(jù)區(qū)。
其中�,所述主控CPU包括
業(yè)務(wù)板獲取單元,用于通過以下方法中的一種或多種獲取接收返回報文 的業(yè)務(wù)板
查找所述各接口處的流表����,獲取所述返回報文對應(yīng)的業(yè)務(wù)板;或
查找所述業(yè)務(wù)板發(fā)送的流表�,獲取所述返回報文對應(yīng)的業(yè)務(wù)板;或
解析接收到的報文的擴展數(shù)據(jù)區(qū)中業(yè)務(wù)板的相關(guān)信息,獲取所述返回報 文對應(yīng)的業(yè)務(wù)斧反�����。
本發(fā)明還提供一種報文處理系統(tǒng)�����,應(yīng)用于高性能可擴展流處理系統(tǒng)架構(gòu) 中����,包括
主控CPU,用于向外部設(shè)備發(fā)送報文時,將所述報文發(fā)送到業(yè)務(wù)板進行 處理�;并接收所述業(yè)務(wù)板發(fā)送的返回報文;
至少一業(yè)務(wù)板����,用于將從主控CPU接收的報文進行處理后經(jīng)接口向所述 外部設(shè)備發(fā)送;并將所述接口發(fā)送的返回報文處理后發(fā)送給所述主控CPU;
接口����,用于將所述業(yè)務(wù)板處理后的報文向外部設(shè)備發(fā)送;并將接收到的 所述外部設(shè)備返回給主控CPU的報文向所述業(yè)務(wù)板發(fā)送���。
其中�,所述業(yè)務(wù)板包括
流表發(fā)送單元,用于向各接口發(fā)送流表����,表明所述l艮文和對應(yīng)的返回報 文由所述業(yè)務(wù)板處理。
其中�,所述接口包括
業(yè)務(wù)板發(fā)送單元,用于接收到外部設(shè)備發(fā)送的報文時���,根據(jù)所述業(yè)務(wù)板 發(fā)送的流表���,獲取發(fā)送所述返回報文的目的業(yè)務(wù)板�����。 與現(xiàn)有技術(shù)相比���,本發(fā)明具有以下優(yōu)點
通過本發(fā)明提供的上述方法���,利用了新架構(gòu)的高性能和可擴展的特點, 在大流量高速網(wǎng)絡(luò)中��,首先由業(yè)務(wù)板的防火墻功能進行安全處理后再將^^艮文 傳遞給主控CPU,主控CPU可以與其他防火墻后面的設(shè)備類似��,得到防火墻 的保護,從而有效的保護了設(shè)備主控CPU的安全��。
圖1是現(xiàn)有技術(shù)中一種高性能可擴展流處理系統(tǒng)架構(gòu)的示意圖2是本發(fā)明中一種報文處理方法的原理示意圖3是本發(fā)明中從設(shè)備外發(fā)送給主控CPU的報文流處理方法��;
圖4是本發(fā)明中由主控CPU發(fā)送給外部設(shè)備的報文流處理方法�。
具體實施例方式
本發(fā)明中提出了 一種報文處理方法,應(yīng)用于高性能可擴展流處理系統(tǒng)架構(gòu)中���,其核心思想在于由業(yè)務(wù)板的防火墻功能對從外部設(shè)備接收到的報文 進行安全處理后��,再將報文發(fā)送給主控CPU;同樣對于主控CPU向外部設(shè)備 發(fā)送的報文�����,在向外部設(shè)備發(fā)送前也同樣由業(yè)務(wù)板的防火墻功能先進行處理��。 該原理的示意圖如圖2所示��。使得主控CPU同其他的防火墻后面的設(shè)備一樣 得到了防火墻的保護���,從而有效的保護安全設(shè)備主控CPU自身的安全。
以下結(jié)合具體的應(yīng)用場景����,描述本發(fā)明一種報文處理方法的具體實施方式
�����。
( 一 )對于從設(shè)備外發(fā)送給主控CPU的報文流�,處理方法如圖3所示���, 本流程中�����,以外部設(shè)備發(fā)送給主控CPU的報文流為正向報文流�����,主控CPU發(fā) 送給外部設(shè)備的報文流為反向報文流�,包括如下步驟
步驟s301 ���、主控板接口收到從外部設(shè)備發(fā)送給主控CPU的正向報文流。
步驟s302�����、將該正向報文流發(fā)送到包括流控制單元和流力口速單元的業(yè)務(wù)板����。
該步驟中�,對于接收到的正向報文流�,不是直接發(fā)給主控CPU,而是將 該報文流通過連接單元發(fā)送給流控制單元和流加速單元所在的業(yè)務(wù)板���,這里 邗支定此業(yè)務(wù)板為M�����。對于在多個業(yè)務(wù)板中選擇特定的業(yè)務(wù)板M的方法�����,可以 綜合各業(yè)務(wù)板的負載均衡等因素進行選擇�����。
步驟s303����、將業(yè)務(wù)板處理后的正向報文流發(fā)送到主控CPU處理����。
該步驟中����,正向才艮文流在業(yè)務(wù)板M上經(jīng)過流加速和控制單元完成所有的 安全業(yè)務(wù)處理����,以過濾其中可能包括的攻擊報文,再通過連接單元將正常的 報文發(fā)給主控CPU處理����。對于該安全業(yè)務(wù)處理流程中不同攻擊報文的檢測和 過濾方法可根據(jù)實際使用情況進行配置。
步驟s304�、主控CPU對該報文流進行處理后,發(fā)送此條正向才艮文流的反 向才艮文流���。
步驟s305���、將該反向報文流發(fā)送到包括流控制單元和流加速單元的業(yè)務(wù)板。
該步驟中����,對于主控CPU發(fā)送的反向報文流�����,也不再是直接通過接口發(fā)送出去,而是同樣的將此反向報文流發(fā)給處理過與此條反向相關(guān)的正向報文流的業(yè)務(wù)板M,由業(yè)務(wù)板M進行作正常業(yè)務(wù)處理��。
步驟s306����、將業(yè)務(wù)板處理后的反向報文流通過連接單元和接口發(fā)送到外部設(shè)備。
(二 )對于報文流是由主控CPU發(fā)送給外部設(shè)備的情況���,處理方法如圖4所示��,本流程中���,以主控CPU發(fā)送給外部設(shè)備的報文流為正向報文流,夕卜 部設(shè)備發(fā)送給主控CPU的報文流為反向報文流�,包括如下步驟
步驟s401 、主控CPU向外部設(shè)備發(fā)送正向才艮文流����。
步驟s402、將該正向才艮文流發(fā)送到包括流控制單元和流加速單元的業(yè)務(wù)板��。
該步驟中�����,此條正向報文流中并不是從主控CPU直接通過主控板接口向外部設(shè)備發(fā)送,而是選擇某個業(yè)務(wù)板��,將此條正向報文流發(fā)給業(yè)務(wù)板M進行正常業(yè)務(wù)處理��。這里假定此業(yè)務(wù)板為M��。對于在多個業(yè)務(wù)板中選擇特定的業(yè) 務(wù)板M的方法��,可以綜合各業(yè)務(wù)板的負載均衡等因素進行選擇���。
步驟s403��、將業(yè)務(wù)板處理后的正向報文流通過連接單元和接口發(fā)送到外部設(shè)備��。
步驟S404����、主控板接口收到回應(yīng)此條正向報文流的反向報文流��。
步驟s405���、將該反向報文流發(fā)送到包括流控制單元和流力�����。速單元的業(yè)務(wù)板��。
該步驟中����,對于接收到的反向報文流����,不是直接發(fā)給主控CPU,而是將該報文流通過連接單元發(fā)送給處理過與該反向才艮文流相關(guān)的正向才艮文流的業(yè)務(wù)板M。
步驟s406�、將業(yè)務(wù)板處理后的反向報文流發(fā)送到主控CPU。 該步驟中�,反向報文流在業(yè)務(wù)板M上經(jīng)過流加速和控制單元完成所有的 安全業(yè)務(wù)處理,以過濾其中可能包括的攻擊報文�����,再通過連接單元將正常的報文發(fā)給主控CPU處理���。對于該安全業(yè)務(wù)處理流程中不同攻擊報文的^r測和 過濾方法����,可根據(jù)實際使用情況進行配置。
在上述圖3和圖4所示的流程中可以發(fā)現(xiàn)�����,在高性能可擴展流處理系統(tǒng) 架構(gòu)采用本發(fā)明的技術(shù)方案時�����,要滿足該架構(gòu)要求的流的正反向報文必須在 同一塊業(yè)務(wù)板上處理的要求��。為了實現(xiàn)該要求�,需要建立與接口、預(yù)處理單 元以及主控CPU相關(guān)的流表機制�。關(guān)于流表機制的詳細說明如下
對于上述情況(一)從外部設(shè)備發(fā)給主控CPU的報文流為正向報文流的 情況
在業(yè)務(wù)板M完成正向流的業(yè)務(wù)處理后會向接口和預(yù)處理單元發(fā)送流表, 流表內(nèi)容表明此條流的正向報文和對應(yīng)的反向報文應(yīng)該交給業(yè)務(wù)板M處理����。 然后業(yè)務(wù)板M將正向報文發(fā)送給主控CPU。
主控CPU處理了該正向報文流后��,在發(fā)送反向報文流時需要將報文發(fā)送 給業(yè)務(wù)板M處理���,可以通過以下方法保證將反向報文流發(fā)送到業(yè)務(wù)板M:
(1)主控CPU查找接口和預(yù)處理單元處的流表�����,獲取該反向報文流對 應(yīng)的業(yè)務(wù)板;或
(2 )業(yè)務(wù)板M在發(fā)送流表給接口和預(yù)處理單元時�,同樣也發(fā)送一份流表 給主控CPU,主控CPU保存此流表���。在需要發(fā)送反向報文流時,主控CPU 可以通過查找保存的流表獲取該反向報文流對應(yīng)的業(yè)務(wù)板M;或
(3 )業(yè)務(wù)板M將流表中標識自身業(yè)務(wù)板的部分相關(guān)內(nèi)容直接保存在發(fā)送 給主控CPU的正向報文流的擴展數(shù)據(jù)區(qū)中�。主控CPU在需要發(fā)送反向報文流 時不需要保存和查詢流表,只需要解析正向報文流的擴展數(shù)據(jù)區(qū)中對應(yīng)業(yè)務(wù) 板的相關(guān)信息����,即可獲取該反向報文流對應(yīng)的業(yè)務(wù)板M。
對于上述情況(二)從主控CPU發(fā)給外部設(shè)備的報文流為正向報文流的 情況
由于是主控CPU首先發(fā)送��,因此由業(yè)務(wù)板M建立的流表此時為空��,主控 CPU在查找不到流表項的情況下可以按照一定的算法選取一塊業(yè)務(wù)板M�����,并 將正向報文流交給業(yè)務(wù)板M處理后�,業(yè)務(wù)板M會向接口預(yù)處理單元下發(fā)正反 向流表。
接口收到流的反向報文后�����,接口預(yù)處理單元根據(jù)反向流表可以將從外部設(shè)備接收的反向流正確的交給業(yè)務(wù)板M處理。業(yè)務(wù)板M對反向流報文完成安 全業(yè)務(wù)處理后將報文交給主控CPU��。主控CPU處理了此反向報文后��,再次發(fā) 送正向報文時即可按照上述情況(一)中的(1) ~ (3)中的任一種方法����, 根據(jù)流表內(nèi)容獲取對應(yīng)的業(yè)務(wù)板M,將正向報文交給業(yè)務(wù)板M處理。
通過本發(fā)明提供的上述方法��,利用了新架構(gòu)的高性能和可擴展的特點���, 在大流量高速網(wǎng)絡(luò)中��,首先由業(yè)務(wù)板的防火墻功能進行安全處理后再將報文 傳遞給主控CPU,主控CPU可以與其他防火墻后面的設(shè)備類似���,得到防火墻 的保護,從而有效的保護了設(shè)備主控CPU的安全���。
本發(fā)明還提供一種報文處理系統(tǒng)���,應(yīng)用于高性能可擴展流處理系統(tǒng)架構(gòu) 中,包括
接口單元�,用于接收外部設(shè)備發(fā)送給主控CPU的報文�����,將該才艮文發(fā)送到 業(yè)務(wù)板����;并將該業(yè)務(wù)板處理的返回報文發(fā)送給外部設(shè)備��;
至少一業(yè)務(wù)板���,用于將接口單元發(fā)送的報文進行處理后發(fā)送給主控CPU; 并將主控CPU發(fā)送的返回報文處理后發(fā)送給接口單元;
主控CPU,用于將處理業(yè)務(wù)板發(fā)送的報文得到的返回報文發(fā)送到業(yè)務(wù)板����, 經(jīng)該業(yè)務(wù)板處理后通過4妄口發(fā)送給外部設(shè)備。
該業(yè)務(wù)板包括
流表發(fā)送單元��,用于向各接口��、和/或主控CPU發(fā)送流表��,表明該報文和 對應(yīng)的返回報文由本業(yè)務(wù)板處理�����;
標識發(fā)送單元,用于將標識自身業(yè)務(wù)板的相關(guān)內(nèi)容直接保存在發(fā)送給主 控CPU的報文的擴展數(shù)據(jù)區(qū)��。
該主控CPU包括
業(yè)務(wù)板獲取單元���,用于通過以下方法中的一種或多種獲取接收返回報文 的業(yè)務(wù)板
查找所述各接口處的流表���,獲取返回報文對應(yīng)的業(yè)務(wù)板;或 查找所述業(yè)務(wù)板發(fā)送的流表�����,獲取返回報文對應(yīng)的業(yè)務(wù)板���;或 解析接收到的報文的擴展數(shù)據(jù)區(qū)中業(yè)務(wù)板的相關(guān)信息�����,獲取返回報文對應(yīng)的業(yè)務(wù)板���。
本發(fā)明還提供一種報文處理系統(tǒng),應(yīng)用于高性能可擴展流處理系統(tǒng)架構(gòu)
中���,包括
主控CPU����,用于向外部設(shè)備發(fā)送報文時,將報文發(fā)送到業(yè)務(wù)板進行處理�����; 并接收業(yè)務(wù)板發(fā)送的返回報文����;
至少一業(yè)務(wù)板,用于將從主控CPU接收的一艮文進行處理后經(jīng)接口向外部 設(shè)備發(fā)送�;并將接口發(fā)送的返回報文處理后發(fā)送給主控CPU;
接口單元,用于將所述業(yè)務(wù)板處理后的報文向外部設(shè)備發(fā)送����;并將接收 到的外部設(shè)備返回給主控CPU的報文向業(yè)務(wù)板發(fā)送����。
該業(yè)務(wù)板包括
流表發(fā)送單元,用于向各接口發(fā)送流表����,表明所述報文和對應(yīng)的返回報 文由所述業(yè)務(wù)板處理。 該接口單元包括
業(yè)務(wù)板發(fā)送單元��,用于接收到外部設(shè)備發(fā)送的報文時,根據(jù)所述業(yè)務(wù)板 發(fā)送的流表��,獲取發(fā)送所述返回報文的目的業(yè)務(wù)板�。
通過本發(fā)明提供的上述系統(tǒng),利用了新架構(gòu)的高性能和可擴展的特點�, 在大流量高速網(wǎng)絡(luò)中,首先由業(yè)務(wù)板的防火墻功能進行安全處理后再將凈艮文 傳遞給主控CPU,主控CPU可以與其他防火墻后面的設(shè)備類似�����,得到防火墻 的保護��,從而有效的保護了設(shè)備主控CPU的安全����。
通過以上的實施方式的描述,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)����,當然也可以通過硬件, 但很多情況下前者是更佳的實施方式��?�;谶@樣的理解��,本發(fā)明的技術(shù)方案 本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來, 該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中���,包括若干指令用以使得一臺設(shè)備 執(zhí)行本發(fā)明各個實施例所述的方法�����。
以上公開的僅為本發(fā)明的幾個具體實施例�,但是�����,本發(fā)明并非局限于此��, 任何本領(lǐng)域的技術(shù)人員能思之的變化都應(yīng)落入本發(fā)明的保護范圍����。
權(quán)利要求
1��、一種報文處理方法��,應(yīng)用于高性能可擴展流處理系統(tǒng)架構(gòu)中����,其特征在于�����,包括以下步驟接口接收外部設(shè)備發(fā)送給主控CPU的報文��,將所述報文發(fā)送到業(yè)務(wù)板進行處理后發(fā)送給主控CPU處理��;所述主控CPU將所述處理后的返回報文發(fā)送到所述業(yè)務(wù)板����,經(jīng)所述業(yè)務(wù)板處理后通過接口發(fā)送給所述外部設(shè)備�。
2、 如權(quán)利要求1所述報文處理方法�,其特征在于,所述業(yè)務(wù)板將所述報 文進行處理后發(fā)送給主控CPU處理時���,還包括所述業(yè)務(wù)板通知所述備接口��、和/或所述主控CPU��,表明所述報文和對應(yīng) 的返回報文由所述業(yè)務(wù)板處理���;所述通知的方式包括所述業(yè)務(wù)板向所述各接口、和/或所述主控CPU發(fā)送流表,表明所述報文 和對應(yīng)的返回才艮文由所述業(yè)務(wù)板處理�����;和/或所述業(yè)務(wù)板將標識自身業(yè)務(wù)板的相關(guān)內(nèi)容直接保存在發(fā)送給所述主控 CPU的報文的擴展數(shù)據(jù)區(qū)��,表明所述報文和對應(yīng)的返回報文由所述業(yè)務(wù)板處 理�。
3、 如權(quán)利要求2所述報文處理方法����,其特征在于,所述主控CPU將所 述處理后的返回報文發(fā)送到所述業(yè)務(wù)板具體為所述主控CPU查找所述各接口處的流表��,獲取所述返回報文對應(yīng)的業(yè)務(wù) 板�,將所述處理后的返回報文發(fā)送到所述業(yè)務(wù)板;或所述主控CPU查找所述業(yè)務(wù)板發(fā)送的流表�,獲取所述返回報文對應(yīng)的業(yè) 務(wù)板,將所述處理后的返回報文發(fā)送到所述業(yè)務(wù)板����;或所述主控CPU解析接收到的報文的擴展數(shù)據(jù)區(qū)中業(yè)務(wù)板的相關(guān)信息,獲 取所述返回報文對應(yīng)的業(yè)務(wù)板�,將所述處理后的返回報文發(fā)送到所述業(yè)務(wù)板����。
4�����、 一種報文處理方法���,應(yīng)用于高性能可擴展流處理系統(tǒng)架構(gòu)中,其特征 在于�����,包括以下步驟主控CPU向外部設(shè)備發(fā)送報文時���,將所述報文發(fā)送到業(yè)務(wù)板進行處理后�, 經(jīng)接口向所述外部設(shè)備發(fā)送����;所述接口接收所述外部設(shè)備返回給主控CPU的報文,將所述報文經(jīng)所述業(yè)務(wù)板進行處理后發(fā)送給主控CPU����。
5、 如權(quán)利要求4所述報文處理方法����,其特征在于����,所述將報文發(fā)送到業(yè) 務(wù)板進行處理后�,還包括所述業(yè)務(wù)板通知所述各接口 ,表明所述才艮文和對應(yīng)的返回報文由所述業(yè) 務(wù)板處理�����;所述通知的方式具體為所述業(yè)務(wù)板向各接口發(fā)送流表����,表明所述報文和對應(yīng)的返回報文由所述 業(yè)務(wù)板處理。
6���、 如權(quán)利要求5所述報文處理方法���,其特征在于,所述接口接收所述外 部設(shè)備返回給主控CPU的報文���,將所述報文經(jīng)所述業(yè)務(wù)板進行處理后發(fā)送給 主控CPU具體為所述接口根據(jù)所述業(yè)務(wù)板發(fā)送的流表��,將所述從外部設(shè)備接收的返回報 文發(fā)送到所述業(yè)務(wù)板處理后發(fā)送給主控CPU���。
7、 如權(quán)利要求1至6中任一項所述報文處理方法����,其特征在于,所述業(yè) 務(wù)板進行的處理包括通過所述業(yè)務(wù)板上的流加速和控制功能���,對所述報文進行安全業(yè)務(wù)處理��, 以過濾其中可能包括的攻擊報文����。
8�����、 一種報文處理系統(tǒng)��,應(yīng)用于高性能可擴展流處理系統(tǒng)架構(gòu)中����,其特征 在于,包括接口單元���,用于接收外部設(shè)備發(fā)送給主控CPU的報文�,將所述報文發(fā)送 到業(yè)務(wù)板;并將所述業(yè)務(wù)板處理的返回報文發(fā)送給所述外部設(shè)備����;至少一業(yè)務(wù)板,用于將所述接口單元發(fā)送的報文進行處理后發(fā)送給主控 CPU;并將所述主控CPU發(fā)送的返回報文處理后發(fā)送給所述接口單元����;主控CPU,用于將處理所述業(yè)務(wù)板發(fā)送的報文得到的返回報文發(fā)送到所 述業(yè)務(wù)板,經(jīng)所述業(yè)務(wù)板處理后通過接口發(fā)送給所述外部設(shè)備��。
9��、 如權(quán)利要求8所述報文處理系統(tǒng)�,其特征在于,所述業(yè)務(wù)板包括 流表發(fā)送單元�����,用于向各接口���、和/或所述主控CPU發(fā)送流表��,表明所述報文和對應(yīng)的返回才艮文由所述業(yè)務(wù)板處理�����;和/或標識發(fā)送單元�,用于將標識自身業(yè)務(wù)板的相關(guān)內(nèi)容直接保存在發(fā)送給所述主控CPU的報文的擴展數(shù)據(jù)區(qū)。
10���、 如權(quán)利要求8所述報文處理系統(tǒng),其特征在于�����,所述主控CPU包括 業(yè)務(wù)板獲取單元���,用于通過以下方法中的一種或多種獲取接收返回報文的業(yè)務(wù)板查找所述各接口處的流表����,獲取所述返回報文對應(yīng)的業(yè)務(wù)板����;或 查找所述業(yè)務(wù)板發(fā)送的流表,獲取所述返回報文對應(yīng)的業(yè)務(wù)板��;或 解析接收到的報文的擴展數(shù)據(jù)區(qū)中業(yè)務(wù)板的相關(guān)信息�,獲取所述返回報 文對應(yīng)的業(yè)務(wù)板�����。
11�����、 一種報文處理系統(tǒng)�����,應(yīng)用于高性能可擴展流處理系統(tǒng)架構(gòu)中�����,其特征在于��,包括主控CPU,用于向外部設(shè)備發(fā)送報文時����,將所述報文發(fā)送到業(yè)務(wù)板進行 處理��;并接收所述業(yè)務(wù)板發(fā)送的返回報文�;至少一業(yè)務(wù)板,用于將從主控CPU接收的報文進行處理后經(jīng)接口向所述 外部設(shè)備發(fā)送;并將所述接口發(fā)送的返回報文處理后發(fā)送給所述主控CPU;接口�,用于將所述業(yè)務(wù)板處理后的報文向外部設(shè)備發(fā)送;并將接收到的 所述外部設(shè)備返回給主控CPU的報文向所述業(yè)務(wù)板發(fā)送����。
12、 如權(quán)利要求11所述報文處理系統(tǒng)��,其特征在于��,所述業(yè)務(wù)板包括 流表發(fā)送單元����,用于向各接口發(fā)送流表�,表明所述凈艮文和對應(yīng)的返回報文由所述業(yè)務(wù)板處理。
13�����、 如權(quán)利要求11所述報文處理系統(tǒng)����,其特征在于,所述接口包括 業(yè)務(wù)板發(fā)送單元���,用于接收到外部設(shè)備發(fā)送的報文時����,根據(jù)所述業(yè)務(wù)板發(fā)送的流表,獲取發(fā)送所述返回報文的目的業(yè)務(wù)板���。
全文摘要
本發(fā)明公開了一種報文處理方法����,應(yīng)用于高性能可擴展流處理系統(tǒng)架構(gòu)中���,由業(yè)務(wù)板的防火墻功能對從外部設(shè)備接收到的報文進行安全處理后�����,再將報文發(fā)送給主控CPU����;同樣對于主控CPU向外部設(shè)備發(fā)送的報文����,在向外部設(shè)備發(fā)送前也同樣由業(yè)務(wù)板的防火墻功能先進行處理。本發(fā)明還公開了一種報文處理設(shè)備�,應(yīng)用于高性能可擴展流處理系統(tǒng)架構(gòu)中,包括接口單元、至少一業(yè)務(wù)板�����、主控CPU���。通過本發(fā)明���,利用新架構(gòu)的高性能和可擴展的特點,在大流量高速網(wǎng)絡(luò)中���,首先由業(yè)務(wù)板的防火墻功能進行安全處理后再將報文傳遞給主控CPU�����,主控CPU可以與其他防火墻后面的設(shè)備類似,得到防火墻的保護����,從而有效的保護了設(shè)備主控CPU的安全。
文檔編號H04L29/06GK101202756SQ20071030193
公開日2008年6月18日 申請日期2007年12月20日 優(yōu)先權(quán)日2007年12月20日
發(fā)明者常向青, 曉 李, 鄒旭東 申請人:杭州華三通信技術(shù)有限公司