[发明专利]一种网络设备的保护方法及装置

说明书

本申请公开了一种网络设备的保护方法及装置，该方法包括：若转发芯片确定待处理报文的报文特征命中限流控制表，则对其进行丢弃；若转发芯片确定待处理报文的报文特征未命中限流控制表，则将其转至对应的数据核；若对应的数据核确定待处理报文为控制报文，则将其转至控制核中对应的收包队列；若控制核确定待处理报文为目标限流报文，则将其报文特征下发至限流控制表。该方案中控制核在检测出待处理报文为目标限流报文时，向限流控制表项中添加其报文特征，以使后续同报文类型的报文到来后直接由转发芯片进行丢弃而不对数据核和控制核造成无效占用，能够精准有效地保护网络设备。

技术领域

本申请涉及通信技术领域，特别是一种网络设备的保护方法及装置。

背景技术

配置有转发芯片和多核CPU的网络设备中，通常设置有若干数据核和控制核。其中，所述数据核用于处理数据报文，即携带实际应用交互数据的报文，而所述控制核则用于处理控制报文，例如，管理各应用交互的管理报文以及决定路由方式的路由协议报文等。

网络设备的转发芯片在接收到待处理报文后均先转至数据核，由数据核判断为数据报文则由数据核进行处理，由数据核判断为控制报文则转至控制核进行处理。目前，相关技术中，在控制核的收包队列中预设报文总数阈值，以保护控制核不被超过阈值的报文无效占用，但并未为数据核提供保护，数据核仍有可能接收大量应受到限流的报文。

发明内容

本申请提供一种网络设备的保护方法及装置。

根据本申请实施例的第一方面，提供一种网络设备的保护方法，应用于配置有转发芯片和多核CPU的网络设备中，所述多核CPU包括若干数据核和控制核，所述方法包括：

当转发芯片接收到待处理报文时，若所述转发芯片确定所述待处理报文的报文特征命中限流控制表，则丢弃所述待处理报文；

若所述转发芯片确定所述待处理报文的报文特征未命中所述限流控制表，则将所述待处理报文转至对应的数据核；

当所述数据核确定所述待处理报文为控制报文时，所述数据核将所述待处理报文转至控制核中对应的收包队列；

所述控制核检测所述待处理报文是否为目标限流报文，若是，则将所述待处理报文的报文特征下发至所述限流控制表中。

根据本申请实施例的第二方面，提供一种网络设备的保护装置，所述装置包括转发单元、数据单元和控制单元：

其中，转发单元，用于在接收到待处理报文时，若确定所述待处理报文的报文特征命中限流控制表，则丢弃所述待处理报文；

若确定所述待处理报文的报文特征未命中所述限流控制表，则将所述待处理报文转至对应的数据单元；

数据单元，用于在确定所述待处理报文为控制报文时，将所述待处理报文转至控制单元中对应的收包队列；

控制单元，用于检测所述待处理报文是否为目标限流报文，并在是的情况下，将所述待处理报文的报文特征下发至所述限流控制表中。

本申请技术方案中，网络设备的控制核在检测出待处理报文为目标限流报文时，向限流控制表项中添加待处理报文的报文特征，以使后续同报文类型的报文到来后，直接由转发芯片进行丢弃而不对数据核和控制核造成无效占用，能够精准有效地保护网络设备。

附图说明

图1为本申请所提供的一种网络设备的保护方法的流程图；

图2为本申请方案中检测待处理报文是否为目标限流报文的一种方法流程图；

图3为本申请方案中检测待处理报文是否为目标限流报文的另一种方法流程图；

图4为本申请所提供的一种网络设备的保护装置所在网络设备的硬件结构示意图；