[发明专利]一种基于网络处理器实现流量预处理的装置和方法

说明书

本发明公开了一种基于网络处理器实现流量预处理的装置和方法，一级网络设备配置规则时，CPU按预定的算法建立Hash表，流量进入设备后，网络处理器首先按相同的算法计算每条流的Hash值并进行查表过滤，减少后续网络处理器要进行业务匹配的流量，达到提高设备性能的目的。本发明通过引入Hash表机制，在一级网络设备对流量进行业务规则匹配前，先进行Hash值比对过滤掉一部分流量，来提高网络设备的处理性能。

技术领域

本发明涉及INTERNET安全技术领域，尤其是一种基于网络处理器实现流量预处理的装置和方法。

背景技术

近年来，随着网络技术的快速发展和网络带宽的高速扩容，新业务层出不穷，网络链路中海量数据的实时安全处理已经成为各国在互联网领域竞争和战略对抗的主要焦点。通过一级网络设备对网络数据进行采集分析，对当前主流网络处理器在性能上是非常大的挑战。如何提高网络处理器对高速、复杂数据的处理性能显得尤为重要。

发明内容

本发明所要解决的技术问题在于，提供一种基于网络处理器实现流量预处理的装置和方法，通过引入Hash表机制，在一级网络设备对流量进行业务规则匹配前，先进行Hash值比对过滤掉一部分流量，来提高网络设备的处理性能。

为解决上述技术问题，本发明提供一种基于网络处理器实现流量预处理的装置，包括：Hash建表模块，通过提取规则元组完成Hash表的建立，业务下发规则时，分别提取规则的源IP和目的IP，CPU根据相应方法得到Hash值，存储为表项；

网络处理器查表模块，流量进入设备后，网络处理器首先对流的源IP和目的IP按相同的算法进行计算，得到一个Hash值ht1，并进行查表，若不在表项中则对流的目的IP按相同的算法进行计算，得到一个Hash值ht2，继续查表，若仍不在表项中则丢弃报文；

网络处理器匹配规则模块，若根据流量的源IP和目的IP计算得到的Hash值可以在表项中查到，则网络处理器会按照规则优先级进行后续的规则匹配。

优选的，IPv4 Hash值计算方法：SIP和DIP异或得到32bits的值IP1，IP1与0异或得到32bits的值ht1；然后ht1的高16bits与低16bits异或得到16bits的值ht2；ht2的15～12bits与11～8bits异或得到4bits，替换11～8bits，得到11～0bits的值ht3；ht3右移2bit得到10bits的hash值。

优选的，IPv6 Hash值计算方法：SIP和DIP异或得到128bits的值IP1，IP1的第1个4字节与第2个4字节异或得到32bits的值ht1；IP的第3个4字节与第4个4字节异或得到32bits的值ht2；然后ht1与ht2异或得到32bits的值ht3；ht3的高16bits与低16bits异或得到16bits的值ht4；ht4的15～12bits与11～8bits异或得到4bits，替换11～8bits，得到11～0bits的值ht5；ht5右移2bit得到10bits的hash值。

相应的，一种基于网络处理器实现流量预处理的方法，包括如下步骤：

(1)用户登陆设备，在设备上配置五元组规则；

(2)设备规则下发成功后，CPU分别对每条规则的源IP和目的IP进行计算，得到1Hash值，写入表项，建立Hash表；

(3)流量从接口进入一级网络设备，设备对流量进行解析处理；

(4)流量进入设备后，网络处理器对流量的源IP和目的IP进行Hash值计算，得到Hash值ht1，并进行查表，若不在Hash表中则丢弃报文，否则继续步骤(5)；

(5)网络处理器对流量按照规则优先级进行规则匹配。