[发明专利]硬件加速的多核处理器IP隧道分片报文流保序方法

说明书

技术领域

本发明涉及数据通信领域，特别涉及网络安全设备，具体涉及一种硬件加速的多核处理器IP隧道分片报文流保序方法。

背景技术

网络的不断发展及普及带来日益严峻的安全问题。传统的网络安全设备，从功能和性能上都已经很难满足需求。使用ASIC技术的网络安全设备性能高，但灵活性不够，不能适应日益变化的网络安全问题。使用通用处理器的网络安全设备由于处理器具有可编程性，灵活性很高，但性能不佳。

随着硬件及芯片技术的不断发展，多核处理器技术越来越成熟和普及。网络安全设备的设计也逐渐采用硬件加速器和多核处理器相结合的架构，这样既有可编程的灵活性，又能提高性能。

采用硬件加速器和多核处理器相结合的架构的设备内，由于有多个甚至几十个处理器并行处理，处理器间的同步与互斥开销使得系统的性能很难随着处理器核的增加而线性增长。而且处理器间的同步与互斥也使得软件更加复杂、容易出错和难以维护。

为了减少同步与互斥操作，降低软件复杂性，根据（源地址，源端口，目的地址，目的端口，协议）五元组哈希值，同一个TCP/UDP流被送至同一个处理器处理。在IP隧道模式下，数据报文采用（外部IP头，内部IP头，TCP/UDP头，数据）封装模式，其中（内部IP头，TCP/UDP头）描述一个TCP/UDP流。

但是，在IP隧道模式下，如果IP报文被分片，内部IP头和TCP/UDP头有可能会被封装在不同的IP分片报文中。这样会导致提取不到源端口、目的端口信息，只能根据内部IP头（源地址，目的地址）二元组哈希值来负载均衡分片报文。这就导致IP隧道模式下同一个TCP/UDP流的普通报文和分片报文负载均衡到不同的处理器上。为了报文流保序等原因，分片报文被重组后需要提交到同一流内普通报文被处理的处理器上。这时两个处理器上的软件之间不可避免的产生直接交互，需要用到同步与互斥等原语操作，增加处理器的软件开销和浪费处理器Cache互联总线的带宽，影响系统性能。

发明内容

针对上述问题，申请人进行了改进研究，提供一种硬件加速的多核处理器IP隧道分片报文流保序方法，在多核处理器架构网络安全设备内由硬件加速器参与完成IP隧道分片报文流保序的功能，减少处理器的开销，提升系统性能。

本发明的技术方案如下：

在IP隧道模式下，在多核处理器的IP隧道分片报文在被处理器重组后，由输出处理引擎回路至输入处理引擎，并被重新提交到处理同一TCP/UDP流内普通报文的另一处理器上。

其进一步的技术方案为：具体步骤如下：

1）以太网MAC从物理链路上收到一TCP/UDP流，将该TCP/UDP流报文送至输入处理引擎；

2）在IP隧道模式下，如果是非分片的普通报文，输入处理引擎从报文内部IP头和TCP/UDP头中提取源地址，源端口，目的地址，目的端口，协议号五元组信息并计算哈希值，由哈希值确定第一接收处理器；

3）在IP隧道模式下，如果是分片报文，输入处理引擎从报文内部IP头提取源地址，目的地址二元组信息并计算哈希值，由哈希值确定第二接收处理器；

4）第二接收处理器对IP隧道分片报文进行重组，并将重组好的报文发送给输出处理引擎；

5）输出处理引擎将重组好的IP隧道报文回路至输入处理器引擎；

6）输入处理引擎从重组好的IP隧道报文的内部IP头和TCP/UDP头提取源地址，源端口，目的地址，目的端口，协议号五元组信息并计算哈希值，将重组好的IP隧道报文提交至第一接收处理器。

所述第一接收处理器与第二接收处理器为不同的处理器，或属于不同的处理器核心。

以及，其进一步的技术方案为：

在IP隧道分片报文被重组后由输出处理引擎回路至输入处理引擎的过程中，报文的有效载荷一直存放于存储器中，在分片重组的处理器至输出处理引擎至输入处理引擎至处理同一TCP/UDP流内普通报文的处理器的路径上传输的是报文描述信息。

所述输入处理引擎、输出处理引擎与多核处理器处于同一芯片内，或处于不同芯片内。

所述输入处理引擎、输出处理引擎与以太网MAC处于同一芯片内，或处于不同芯片内。

本发明的有益技术效果是：

本发明为了实现IP隧道分片报文进行流保序，采用分片重组、回路、重新哈希后，最终使得IP隧道内同一TCP/UDP流在IP分片报文重组后由同一个处理器处理；处理器之间没有互斥与同步的原语操作，从而减少由此产生的处理器执行资源开销、降低处理器Cache互联总线带宽资源的额外消耗、提升系统性能。

附图说明