[发明专利]保护CPU的方法和装置

说明书

技术领域

本发明涉及到通信领域，特别涉及到一种保护CPU的方法和装置。

背景技术

随着CPU研发和科学技术的发展，CPU的处理能力得到了很大提高，但是随着技术的进步和业务的多样化，对CPU的处理能力的要求也日益提高。在交换机和路由器设备中，协议报文的处理都要经过CPU，越来越多的协议数据使得CPU的处理性能大大降低，大数据量的协议报文攻击也常常使CPU限于瘫痪状态，进而引发了各种协议处理的中断。

目前虽然已经有不少CPU保护的方法，比较典型的是根据CPU利用率阈值判决来保护CPU免受大量攻击报文的方法。这种理论是先计算CPU利用率，然后再设置一个CPU利用率阈值，当CPU利用率超过阈值的时候，降低CPU收包速率。该方法虽然能使CPU利用率降下来，但因为没有办法区分端口，可能会导致有些端口正常的重要业务报文被丢弃，而对某些端口的攻击报文却不能很好的抑制。

发明内容

本发明的主要目的为提供一种保护CPU的方法和装置，实现防止CPU利用率过高的同时，又不会影响到其他端口的正常业务。

本发明提出一种CPU保护的方法，包括：

(1)统计预设的时间段T1内端口发送至CPU的报文数量；

(2)比较所述报文数量和所述端口允许发送至CPU的最大报文数量packetnum；

(3)当所述报文数量大于packetnum时，在接下来的时间段T2内，丢弃发送报文数量大于Packetnum的端口发送至CPU的报文。

优选地，在执行步骤(1)之前，还包括：

设置时间段T1、T2和packetnum。

优选地，在执行所述步骤(2)之后，还包括：

(4)当所述报文数量小于或等于packetnum时，统计在时间段T1内CPU接收的报文总数；

(5)当所述报文总数大于CPU允许的最大报文数量时，按照所述端口的优先级，丢弃优先级低的端口发送至CPU的报文。

优选地，在执行步骤(4)之前，还包括：

设置所述端口的优先级和CPU允许的最大报文数量。

优选地，在执行所述步骤(4)之后，还包括：

(6)当所述报文总数小于或等于CPU允许的最大报文数量时，从当前不允许向CPU发送报文的端口中，允许优先级高的端口发送报文至CPU。

本发明还提出一种CPU保护的装置，包括：

统计端口报文模块，用于统计预设的时间段T1内端口发送至CPU的报文数量；

比较模块，用于比较所述报文数量和所述端口允许发送至CPU的最大报文数量packetnum；

第一丢弃模块，用于当所述报文数量大于packetnum时，在接下来的时间段T2内，丢弃发送报文数量大于packetnum的端口发送至CPU的报文。

优选地，所述装置还包括：

第一设置模块，用于设置时间段T1、T2和packetnum。

优选地，所述装置还包括：

统计CPU报文模块，用于当所述报文数量小于或等于packetnum时，统计在时间段T1内CPU接收的报文总数；

第二丢弃模块，用于当所述报文总数大于CPU允许的最大报文数量时，按照所述端口的优先级，丢弃优先级低的端口发送至CPU的报文。

优选地，所述装置还包括：

第二设置模块，用于设置所述端口的优先级和CPU允许的最大报文数量。

优选地，所述装置还包括：

恢复端口模块，用于当所述报文总数小于或等于CPU允许的最大报文数量时，从当前不允许向CPU发送报文的端口中，允许优先级高的端口发送报文至CPU。

本发明提供的一种保护CPU的方法和装置，针对具体端口，对该端口在单位时间内发送到CPU的报文数目进行限制，如果超过了规定的数目，则对该端口发往CPU的报文进行丢弃，这样既可以防止该端口的攻击报文过多地发到CPU引起CPU利用率过高，又不会影响到其他端口的正常业务。进一步地，如果CPU收到的所有报文超过配置则丢弃优先级较低的端口发向CPU的报文，保证了CPU整体的处理能力。由于在交换机或者路由器设备中，检测受到大量攻击报文的端口是比较容易的，为该发明提供了依据和可能。

附图说明

图1为本发明保护CPU的方法一实施例的流程示意图；

图2为本发明保护CPU的方法又一实施例的流程示意图；

图3为本发明保护CPU的装置一实施例的结构示意图；