[发明专利]地址解析协议报文的处理方法及装置

说明书

本发明提供了一种地址解析协议报文的处理方法及装置，其中，该方法包括：接收从物理链路接口进入的地址解析协议ARP报文，并获取所述ARP报文的信任等级信息；根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。通过本发明，解决了相关技术中在出现ARP报文攻击时影响上送正常报文的技术问题。

技术领域

本发明涉及通信领域，具体而言，涉及一种地址解析协议报文的处理方法及装置。

背景技术

对网络通信设备而言，控制处理器对转发处理器上送的协议报文处理具有一定的带宽限制，一旦出现了某类协议报文攻击或风暴，会耗尽控制平面处理器带宽资源，影响其他协议报文的正常交互。ARP(Address Resolution Protocol)报文，是根据IP地址获取物理地址的地址解析协议，对PTN设备IP数据包转发到下一跳设备前进行正确的链路层封装过程起到决定性的作用。一旦ARP报文无法正常上送到CPU进行处理，业务就很大可能会产生中断，这对PTN(Packet Transport Network，分组传送网)这类通信设备来说是致命的。因此保证正常的ARP报文顺利上送到控制处理器进行协议交互的技术，对PTN设备非常重要。

影响正常ARP报文顺利上送到PTN设备的控制处理器主要有两类原因，一是其他类型协议报文将CPU带宽耗尽，二是出现风暴的ARP报文将CPU带宽耗尽导致。

在相关解决上述协议报文风暴导致ARP报文无法正常上送CPU的技术中，有通过静态配置合法ARP缓存表对ARP报文进行一一检验后合法的才上送CPU、有直接将协议报文上送控制处理器之前进行整体限速，有根据ARP报文中用户地址分配不同限速队列资源来进行报文限速等方法来实现ARP攻击的防御。前两种方法分别存在限制动态ARP学习、攻击ARP报文影响正常ARP报文上送的缺点；根据ARP报文中用户地址分别配置限速队列资源方法，虽然能够有效地识别出攻击流量的用户地址，但耗费大量的限速队列资源，如从一个24位掩码的ip地址接口进来最大需要254个限速队列资源，对于一块具有32个接口单板的PTN设备就需要8000多个限速队列资源，这个对于限速资源整体不到8K的PTN设备是不可取的。

针对相关技术中存在的上述问题，目前尚未发现有效的解决方案。

发明内容

本发明实施例提供了一种地址解析协议报文的处理方法及装置，以至少解决相关技术中在出现ARP报文攻击时影响上送正常报文的技术问题。

根据本发明的一个实施例，提供了一种地址解析协议报文的处理方法，包括：接收从物理链路接口进入的地址解析协议ARP报文，并获取所述ARP报文的信任等级信息；根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器。

可选地，所述信任等级信息包括：攻击源名单，白名单，灰名单，其中，所述攻击源名单包括低信任等级的ARP报文，所述白名单内包括高信任等级的ARP报文，所述灰名单包括信任等级未知的ARP报文。

可选地，获取所述ARP报文的信任等级信息包括：提取所述ARP报文的源IP地址和入向接口；使用所述源IP地址和所述入向接口在所述信任等级信息查找匹配项，将命中的匹配项作为所述ARP报文的信任等级。

可选地，根据所述ARP报文的信任等级信息将所述ARP报文上送到处理器包括：按照与确定的所述信任等级对应的传输速率将所述ARP报文上送到处理器。

可选地，按照与确定的所述信任等级对应的传输速率将所述ARP报文上送到处理器包括：按照与确定的所述信任等级对应的传输速率将所述ARP报文从第一区段上送进入第二区段；在上送所述处理器的所有报文队列中为所述ARP报文单独划分专用队列；为所述专用队列分配预定的CPU带宽后在所述第二区段将所述ARP报文上送到所述处理器。