[发明专利]协议报文发送方法及装置

说明书

技术领域

本发明涉及通信领域，具体而言，涉及一种协议报文发送方法及装置。

背景技术

在交换机系统中，为了能够对协议报文进行处理，交换芯片一般都会连接一个CPU。协议报文通过交换芯片上送给CPU进行处理，CPU通过交换芯片把协议报文发出，由于成本等原因，CPU的配置一般不会很高，只要能够满足必要的协议处理和配置下发就可以。而且，即使采用高配置的CPU，当存在大量的协议报文攻击CPU时，也会导致CPU的利用率过高，从而使得一些重要的协议报文无法被处理，甚至会导致网络设备不能正常运行或者是网络业务中断。

现有技术中存在一些防止CPU受到攻击的方法，然而，在这些方法中，有些只是针对某种协议报文进行控制而不难以对所有的协议报文进行控制；有些方法通过关闭交换芯片的物理端口或者禁止某些物理端口从而实现对所有的协议报文进行控制，然后，再定期检测是否打开被关闭的端口或者是否允许协议报文的上送，这样就会产生一个问题：当端口的协议报文攻击消失后，协议报文的上送需要延迟一段时间才能恢复到正常状态，进一步的，也会导致有些正常的端口上送的该报文无法被上送到CPU或者是从该端口上送的其他正常的报文无法被上送到CPU的问题。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明提供了一种协议报文发送方法及装置，以至少解决现有技术中当有端口存在CPU攻击时，只能停止对所有端口中该协议的上送，或者是只能通过关闭存在攻击的端口的方式来避免CPU受到攻击而造成的在该端口的攻击消失时，从而导致有些正常的端口上送的该报文无法被上送到CPU或者是从该端口上送的其他正常的报文无法被上送到CPU的问题。

根据本发明的一个方面，提供了一种协议报文发送方法，包括：分别检测中央处理器CPU出口上的对应于不同类型的协议的报文队列中在预定时间内通过的报文的数量；判断出数量大于第一预定阈值时，CPU丢弃报文队列中带有标识信息的协议报文，其中，标识信息用于标识协议报文是通过存在攻击的端口发送的。

优选地，上述方法还包括：当交换芯片的一个或者多个端口发送的协议报文的数量大于第二预定阈值时，确定所述端口为存在攻击的端口；在通过所述存在攻击的端口发送的协议报文中设置所述标识信息。

优选地，在通过所述存在攻击的端口发送的协议报文中设置所述标识信息之后，还包括：将所述协议报文按照协议报文的类型发送到CPU端口中对应于所述协议报文的类型的队列中，其中，所述队列与所述协议报文的类型存在对应的关系。

优选地，在通过所述存在攻击的端口发送的协议报文中设置所述标识信息之后，还包括：当所述存在攻击的端口上单位时间内通过的协议报文的数量小于或等于所述第二预定阈值时，停止对所述存在攻击的端口发送的所述协议报文设置标识信息。

优选地，在通过所述存在攻击的端口发送的协议报文中设置所述标识信息的步骤包括：设置ACL在通过所述存在攻击的端口发送的协议报文中设置预定颜色，将所述预定颜色作为所述标识信息；CPU丢弃带有所述标识信息的协议报文的步骤包括：当CPU检测到队列中存在协议报文的颜色所述预定颜色时，丢弃颜色为所述预定颜色的协议报文。

优选地，在判断出所述数量大于第一预定阈值时，所述CPU丢弃所述报文队列中带有标识信息的协议报文之前，还包括：根据协议报文的类型和/或当前的系统状况对不同的队列设置不同的所述第一预定阈值。

优选地，上述装置还包括：确定单元，用于当交换芯片的一个或者多个端口发送的协议报文的数量大于第二预定阈值时，确定所述端口为存在攻击的端口；第一设置单元，用于在通过所述存在攻击的端口发送的协议报文中设置所述标识信息。

优选地，上述装置还包括：第二设置单元，用于在通过所述存在攻击的端口发送的协议报文中设置所述标识信息之后，当所述存在攻击的端口上单位时间内通过的协议报文的数量小于或等于所述第二预定阈值时，停止对所述存在攻击的端口发送的所述协议报文设置标识信息。

优选地，上述装置还包括：第三设置单元，用于在判断出所述数量大于第一预定阈值时，所述CPU丢弃所述报文队列中带有标识信息的协议报文之前，根据协议报文的类型和/或当前的系统状况对不同的队列设置不同的所述第一预定阈值。