[发明专利]一种交换机CPU的二级保护方法

说明书

技术领域

本发明涉及网络环境保护领域，尤其涉及一种交换机CPU的二级保护方法。

背景技术

在网络环境中，由于网络攻击者的存在，交换机CPU需要处理大量数据流，这会造成交换机CPU的链路拥塞，资源耗尽，从而无法正常工作。同时在交换机所处的网络环境中，主要攻击手段是对CPU的流量冲击，因为交换机的CPU是用来接收协议报文并处理协议状态机以及处理用户配置的，相对于PC和手机的CPU来说性能有限，短时间大量的报文攻击CPU会使得其他协议和数据报文的接收，造成交换机所处的网络瘫痪。

发明内容

针对现有技术中网络环境的保护不足，本发明提供了一种交换机CPU的二级保护方法，增加交换机的保护机制，以保护交换机所处的网络安全。

本发明采用如下技术方案：

一种交换机CPU的二级保护方法，所述方法包括：通过硬件收包队列与软件收包队列的二级保护方法，以阻止攻击流量，其中，

所述交换机对接收的部分报文进行硬件收包处理，以对所述交换机的CPU进行硬件保护；

对硬件收包处理后的报文进行软件收包处理，以对所述交换机的CPU进行软件保护。

优选的，所述方法具体包括：

对硬件收包处理后，所述CPU报文进入所述软件收包队列，所述软件收包队列根据所述CPU报文的特征发送至不同的协议模块处理，进行软件防护。

优选的，所述硬件包括：交换芯片，所述交换芯片包括硬件收包队列。

优选的，所述硬件保护采用预先设置的硬件访问控制列表规则对所述CPU报文进行过滤。

优选的，所述软件防护通过分析报文速率对所述CPU报文进行过滤。

优选的，所述硬件收包队列包括：MSTP报文、ARP报文、DHCP报文、IGMP报文。

优选的，所述硬件收包队列还包括：IPMC报文、L3DstMiss报文、广播报文。

优选的，所述硬件收包队列中的每个队列的速率小于200PPS。

优选的，所述硬件收包队列的队列总速率小于1000PPS。

优选的，所述软件收包队列包括多个协议模块。

优选的，各个所述协议模块的总速率小于1000PPS。

本发明的有益效果是：

在交换机中采用硬件收包队列和软件收包队列相结合的二级保护策略提供一种网络攻击CPU的防护方法交换机的端口接收各种报文，其中需要上送CPU的报文送至硬件收包队列中；硬件收包完成后，进入软件收包队列，软件根据报文特征把报文送至不同的协议模块处理。本发明运用硬件收包队列以及软件收包队列的二级保护机制最大限度的阻止攻击流量，保护交换机所处的网络安全，对CPU的二级保护机制解决单一性的问题。

附图说明

图1为本发明一种交换机CPU的二级保护方法的方法示意图；

图2为本发明一种交换机CPU的二级保护方法硬件收包队列的结构示意图；

图3为本发明一种交换机CPU的二级保护方法中软件收包队列的结构示意图。

具体实施方式

需要说明的是，在不冲突的情况下，下述技术方案，技术特征之间可以相互组合。

下面结合附图对本发明的具体实施方式作进一步的说明：

本实施例主要采用的CPU抗攻击包括：硬件和软件的防护方法两种类型。对于硬件防护方法，一般是采用预先设置硬件访问控制列表(ACL，AccessControlList)规则来对报文进行过滤；对于软件防护方法，主要是分析报文速率进行过滤，如果只采用上述中的一种防护方式需要消耗硬件资源，同时单一防护模式也不能够起到较好的防护效果，本实施例中，主要在于解决在复杂的网络环境中和有恶意流量攻击的环境中交换机的CPU(CentralProcessingUnit，中央处理器)性能问题，通过硬件和软件相结合的方式实现对CPU的二级保护机制。本实施例旨在交换机中采用硬件收包队列和软件收包队列相结合的二级保护机制提供一种网络攻击CPU的防护方法，访问控制列表简即为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则进行过滤，从而达到访问控制的目的。