[发明专利]一种网络设备的保护方法及装置

权利要求书

1.一种网络设备的保护方法，其特征在于，所述方法应用于配置有转发芯片和多核CPU的网络设备中，所述多核CPU包括若干数据核和控制核，所述方法包括：

当转发芯片接收到待处理报文时，若所述转发芯片确定所述待处理报文的报文特征命中限流控制表，则丢弃所述待处理报文；

若所述转发芯片确定所述待处理报文的报文特征未命中所述限流控制表，则将所述待处理报文转至对应的数据核；

当所述数据核确定所述待处理报文为控制报文时，所述数据核将所述待处理报文转至控制核中对应的收包队列；

所述控制核检测所述待处理报文是否为目标限流报文，若是，则将所述待处理报文的报文特征下发至所述限流控制表中。

2.根据权利要求1所述的方法，其特征在于，所述控制核检测所述待处理报文是否为目标限流报文，包括：

当所述对应的收包队列中报文总数超过预设的报文总数阈值时，所述控制核确定所述收包队列中各类型报文数量；

基于所述收包队列中各类型报文数量，所述控制核检测所述待处理报文是否为目标限流报文。

3.根据权利要求2所述的方法，其特征在于，所述基于所述收包队列中各类型报文数量，所述控制核检测所述待处理报文是否为目标限流报文，包括：

所述控制核确定所述收包队列中各类型报文数量在所述报文总数中所占的数量比例；

当所述待处理报文所属报文类型的数量比例为各报文类型数量比例中的最高值时，所述控制核判断所述待处理报文所属报文类型的数量比例与所述各报文类型数量比例中的第二高值间的比例差值是否超过预设的比例差值阈值；

若是，则所述控制核确定所述待处理报文为目标限流报文；

若否，则所述控制核确定所述待处理报文非目标限流报文。

4.根据权利要求1所述的方法，其特征在于，若所述控制核确定所述待处理报文为目标限流报文，所述方法还包括：

所述控制核对所述收包队列中与所述待处理报文所属报文类型相同的报文进行丢弃。

5.根据权利要求1所述的方法，其特征在于，若所述转发芯片确定所述待处理报文的报文特征命中限流控制表，所述方法还包括：

所述转发芯片更新所述限流控制表中所述待处理报文的报文特征被命中的次数，以使所述控制核根据所述限流控制表中各报文特征及其被命中的次数生成系统日志。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述控制核检测到针对任一报文类型的限流控制取消时，所述控制核对所述限流控制表中所述报文类型对应的报文特征进行删除。

7.一种网络设备的保护装置，其特征在于，所述装置包括转发单元、数据单元和控制单元：

所述转发单元，用于在接收到待处理报文时，若确定所述待处理报文的报文特征命中限流控制表，则丢弃所述待处理报文；

若确定所述待处理报文的报文特征未命中所述限流控制表，则将所述待处理报文转至对应的数据单元；

所述数据单元，用于在确定所述待处理报文为控制报文时，将所述待处理报文转至控制单元中对应的收包队列；

所述控制单元，用于检测所述待处理报文是否为目标限流报文，并在是的情况下，将所述待处理报文的报文特征下发至所述限流控制表中。

8.根据权利要求7所述的装置，其特征在于，所述控制单元在检测所述待处理报文是否为目标限流报文时，具体用于：

当所述对应的收包队列中报文总数超过预设的报文总数阈值时，确定所述收包队列中各类型报文数量；

基于所述收包队列中各类型报文数量，检测所述待处理报文是否为目标限流报文。