[发明专利]一种接口系统及其对数据包进行处理的方法

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种接口系统及其对数据包进行处理的方法。

背景技术

接口作为在线网络安全设备的基础构成部分，其组织形式和框架设计对在线网络安全设备有重要意义。目前，在线网络安全设备中接口的组织形式是在设备部署单一的接口处理层，直接在物理接口（如以太网接口）上配置转发属性，如IP地址、VLAN号等。当物理接口上接收到数据包时，将会根据自身配置的转发属性来对数据包进行转发。例如：某一物理接口上配置的转发属性是VLAN号，当该物理接口接收到数据包时，将接收到的数据包的VLAN号与本地配置的VLAN号进行匹配，若匹配成功，则对接收到的数据包进行转发；否则，丢弃接收到的所述数据包。

目前的接口组织形式实现起来比较简单，但是，物理接口的物理属性（即物理接口所具有的收、发数据包的能力以及协商能力）和转发属性是整合在一起的，物理接口只能根据配置的转发属性来对接收到的数据包进行转发处理。由于在线网络安全设备中部署的物理接口数量有限，目前的接口组织形式和框架设计已不能满足在线网络安全设备对于接口的拓展，接口部署的灵活性和可扩充性受到限制。

发明内容

本发明实施例提供一种接口系统及其对数据包进行处理的方法，用以解决现有技术中存在的接口部署不灵活以及难以扩充的问题。

本发明实施例采用以下技术方案：

一种接口系统，包括：收包线程、包处理线程、发包线程，以及包括至少一个物理接口的物理接口层、包括与所述物理接口具有映射关系的逻辑接口的逻辑接口层和包括与所述逻辑接口具有映射关系的虚拟接口的虚拟接口层，其中，每个所述逻辑接口配置有转发属性；

所述收包线程，用于将所述物理接口从硬件抽象层接收到的数据包存储在缓存队列中；

所述包处理线程，用于将所述缓存队列中的数据包发送至与该数据包所经过的物理接口具有映射关系的逻辑接口，以及将安全引擎处理后的数据包发送至逻辑接口，并将逻辑接口处理后的数据包发送至与该逻辑接口具有映射关系的物理接口；

所述发包线程，用于将物理接口上的数据包发送至硬件抽象层；

所述逻辑接口，用于根据配置的转发属性对包处理线程发送的数据包进行处理，其中，在处理的数据包是从物理接口处通过包处理线程发送至逻辑接口的数据包时，若处理的数据包是本地数据，则将所述数据包发送至具有映射关系的虚拟接口，否则，将所述数据包发送至安全引擎；

所述虚拟接口，用于将逻辑接口发送的数据包发送至本地操作系统，以及将本地操作系统发送的数据包发送至具有映射关系的逻辑接口

在本发明实施例中，采用多层次接口结构，并在不具有转发属性的物理接口之上增加配置有转发属性的逻辑接口，实现了对数据包的收发以及逻辑处理；而且在数据包的转发过程中增加了收、发包线程和包处理线程，使得转发过程更加透明，便于模块的设计和移植。由于逻辑接口的数量和配置的转发属性可根据实际需要动态调整，因此，本发明实施例的方案可以增加接口技术在物理层次部署的灵活性和网络的可靠性，并在一定程度上解除了接口数量的限制，提高接口部署的可扩充性。

优选地，每个所述物理接口分别配置有收包队列和发包队列；

其中：来自硬件抽象层的数据包缓存在物理接口的收包队列中，并依次经过所述物理接口后，由所述收包线程将所述数据包存储在缓存队列中；

逻辑接口处理后的数据包缓存在与所述逻辑接口具有映射关系的物理接口的发包队列中，并由所述发包线程将所述数据包经过物理接口发送至硬件抽象层。

在本实施例中，通过增加收包队列和发包队列，以及逻辑接口与物理接口之间的缓存区，使得数据包在传输过程中可以暂存在这些队列或者缓存区中，提高了各个接口转发数据包的并行性。

优选地，所述逻辑接口与物理接口之间的映射关系为：逻辑接口与物理接口之间具有一一映射关系，或一个逻辑接口与多个物理接口具有映射关系。

通过采用本发明实施例提供的接口系统，以及构建的逻辑接口与物理接口之间的映射关系，使得单个逻辑接口具有多个转发属性，从而实现了逻辑接口的扩展。

所述逻辑接口层中存在对应至少一个逻辑子接口的逻辑接口；

优选地，对应有逻辑子接口的逻辑接口，还用于根据配置的转发属性对包处理线程发送的数据包进行处理后发送至对应的逻辑子接口，由该逻辑子接口根据自身的转发属性对逻辑接口处理后的数据包进行处理。

通过为某些逻辑接口配置对应的逻辑子接口，使得数据包的处理更加细化，并在不增加物理接口的情况下独立扩展了逻辑接口，从而实现了接口的并行性以及可扩展性。