CN114244625A - 一种物理隔离设备的报文快速转发方法及*** - Google Patents
一种物理隔离设备的报文快速转发方法及*** Download PDFInfo
- Publication number
- CN114244625A CN114244625A CN202111667732.2A CN202111667732A CN114244625A CN 114244625 A CN114244625 A CN 114244625A CN 202111667732 A CN202111667732 A CN 202111667732A CN 114244625 A CN114244625 A CN 114244625A
- Authority
- CN
- China
- Prior art keywords
- message
- hash value
- fast
- forwarded
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000002955 isolation Methods 0.000 title claims abstract description 18
- 238000006243 chemical reaction Methods 0.000 claims abstract description 7
- 230000005540 biological transmission Effects 0.000 claims description 8
- 230000008569 process Effects 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 claims description 3
- 230000000875 corresponding effect Effects 0.000 description 17
- 238000012545 processing Methods 0.000 description 7
- 230000008901 benefit Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种物理隔离设备的报文快速转发方法及***,获取待转发的报文流;将待转发的报文流划分为若干个报文,在转发阶段,对首个报文建立快速表;对待转发的非首个报文中的所有元素,计算哈希值;将哈希值作为表结构的索引值,根据索引值定位快速表的表项,如果相应哈希值作为索引值在快速表中有对应的表项,就根据哈希值对应的表项内容,对报文进行协议转换,然后转发;判断哈希值是否是非法数据表中的数据;判断哈希值是否是合法数据表中的数据,如果是,就将哈希值新增到快速表中,如果不是,就丢弃报文。实现在一些低主频,资源相对受限的嵌入式平台实现网络报文的千兆线速转发。
Description
技术领域
本发明涉及报文转发技术领域,特别是涉及一种物理隔离设备的报文快速转发方法及***。
背景技术
本部分的陈述仅仅是提到了与本发明相关的背景技术,并不必然构成现有技术。
网络通信中,物理隔离的作用是信息摆渡,也就是可以实现完全隔离的不同网段之间的有条件访问,物理隔离用它自己的协议重新封装ip包再进行访问。由于需要用自己的协议重新封装ip包,所以处理数据多,速度慢。
发明内容
为了解决现有技术的不足,本发明提供了一种物理隔离设备的报文快速转发方法及***;
第一方面,本发明提供了一种物理隔离设备的报文快速转发方法;
一种物理隔离设备的报文快速转发方法,包括:
获取待转发的报文流;将待转发的报文流划分为若干个报文,将所得的报文划分为首个报文和非首个报文;在转发阶段,对首个报文建立快速表;
对待转发的非首个报文中的所有元素,计算哈希值;
将哈希值作为表结构的索引值,根据索引值定位快速表的表项,如果相应哈希值作为索引值在快速表中有对应的表项,就根据哈希值对应的表项内容,对报文进行协议转换,然后转发;如果没有,就进入下一步;
判断哈希值是否是非法数据表中的数据;如果是非法数据,就直接丢弃报文;如果不是非法数据,就进入下一步;
判断哈希值是否是合法数据表中的数据,如果是,就将哈希值新增到快速表中,如果不是,就丢弃报文。
第二方面,本发明提供了一种物理隔离设备的报文快速转发***;
一种物理隔离设备的报文快速转发***,包括:
获取模块,其被配置为:获取待转发的报文流;将待转发的报文流划分为若干个报文,将所得的报文划分为首个报文和非首个报文;在转发阶段,对首个报文建立快速表;
哈希值计算模块,其被配置为:对待转发的非首个报文中的所有元素,计算哈希值;
定位模块,其被配置为:将哈希值作为表结构的索引值,根据索引值定位快速表的表项,如果相应哈希值作为索引值在快速表中有对应的表项,就根据哈希值对应的表项内容,对报文进行协议转换,然后转发;如果没有,就进入第一判断模块;
第一判断模块,其被配置为:判断哈希值是否是非法数据表中的数据;如果是非法数据,就直接丢弃报文;如果不是非法数据,就进入第二判断模块;
第二判断模块,其被配置为:判断哈希值是否是合法数据表中的数据,如果是,就将哈希值新增到快速表中,如果不是,就丢弃报文。
与现有技术相比,本发明的有益效果是:
通过此种处理方式,可以达到报文的一次处理,后续线速转发的效果,在一些低主频,资源相对受限的嵌入式平台也可以实现网络报文的千兆线速转发。
本发明附加方面的优点将在下面的描述中部分给出,或通过本发明的实践了解到。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1为第一个实施例的方法流程图。
具体实施方式
应该指出,以下详细说明都是示例性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
本实施例所有数据的获取都在符合法律法规和用户同意的基础上,对数据的合法应用。
术语解释:
TCP:Transmission Control Protocol,传输控制协议。
UDP,User Datagram Protocol,用户数据包协议,为应用程序提供了一种无需建立连接就可以发送封装的IP数据包的方法。
五元组:根据报文的源IP、源端口,目的IP、目的端口和tcp/udp组成的五元组。
Policy:根据装置维护工具中配置的策略信息产生合法数据表,即合法数据的规则集。
Drop:合法数据的规则之外的,非法数据的规则集。
实施例一
本实施例提供了一种物理隔离设备的报文快速转发方法;
如图1所示,一种物理隔离设备的报文快速转发方法,包括:
S101:获取待转发的报文流;将待转发的报文流划分为若干个报文,将所得的报文划分为首个报文和非首个报文;在转发阶段,对首个报文建立快速表;
S102:对待转发的非首个报文中的所有元素,计算哈希值;
S103:将哈希值作为表结构的索引值,根据索引值定位快速表的表项,如果相应哈希值作为索引值在快速表中有对应的表项,就进入S104;如果没有,就进入S105;
S104:根据哈希值对应的表项内容,对报文进行协议转换,然后转发;
S105:判断哈希值是否是非法数据表中的数据;如果是非法数据,就直接丢弃报文;如果不是非法数据,就进入S106;
S106:判断哈希值是否是合法数据表中的数据,如果是,就将哈希值新增到快速表中,如果不是,就丢弃报文。
进一步地,所述S101将待转发的报文流划分为若干个报文;具体包括:
根据报文的源IP、源端口、目的IP、目的端口和传输协议组成的五元组将待转发的报文流划分为若干个报文。
进一步地,所述S101对首个报文建立快速表,建立快速表的过程为:
在合法数据表中逐个遍历比较,判断待转发报文的五元组的各个字段是否在合法数据表的各个字段中,如果均在合法数据表的各个段中,则建立以待转发报文五元组哈希值为索引的快速表。
进一步地,合法数据表的组成结构为:源IP地址段,源端口段,目的IP地址段,目的端口段和传输协议tcp/udp五部分,也称之为五元组。
进一步地,所述S102:对非首个报文中的所有元素,计算哈希值;具体包括:
对非首个报文的源IP、源端口、目的IP、目的端口和传输协议组成的五元组,计算哈希值。
进一步地,所述计算哈希值,是通过国密算法来计算哈希值。
进一步地,所述国密算法,是指国密SM3算法。
进一步地,S103根据索引值定位快速表的表项,定位的步骤包括:
根据快速表形成一个平衡二叉树,利用平衡二叉树结构的特性在快速表内进行表项搜索索引值。
进一步地,S104根据哈希值对应的表项内容,对协议进行转换然后转发,包括:
将待转发报文五元组中的源IP替换成虚拟源IP;
将待转发报文五元组中的目的IP替换成虚拟目的IP。
进一步地,根据报文是通过快速表转发,还是通过先遍历合法数据表,再形成快速表,将转发过程分为快速路径和慢速路径,每个流的第一个报文走慢速路径,后续报文走快速路径。相同的五元组的报文为同一个流。
示例性地,所述对首个报文建立快速表;具体包括:
先查合法数据的表,这个表允许模糊定义,即定义ip地址段和端口段,这种模糊定义,不能通过hash比较,只能按照表的顺序逐一比较,这个过程会比较慢。
比较到一个符合要求的表项,就按照表项做相应字段的替换,例如虚拟源ip替换成源ip,目的ip替换成虚拟目的ip,把这些替换值在另外一个数据结构中保存下来,叫做快速表的表项。
因为快速表的表项是一个完全清晰确定的五元组及其替换信息,这些信息就可以用hash索引了。
快速表,包含一个hash桶,实际上是一个数组,总共64K项,每个快速表的表项,按照五元组计算出一个hash值来,取其中16位(最大值为65535),按照这个值找到一个hash桶,然后把表项放在这个桶里。hash桶是一个链表,表内使用二叉树搜索。
当收到报文的时候,先根据五元组计算哈希值,然后根据16位的哈希值找到对应的哈希桶,在桶内做比较,找到具体的表项。按照表项的替换信息做替换,按照表项指示的值做转发或者丢弃。
任何一个流都走这个流程,如果不是合法数据内的流,也生成一个表项,但是对应的动作是丢弃。这样做的好处是每个流只有一个报文的处理是复杂的,其他的报文都按第一个走。
报文转发分快速路径和慢速路径,每个流的第一个报文走慢速路径,后续报文走快速路径。根据报文的五元组,相同的五元组的报文为同一个流,直接快速转发。任何一个流都走这个流程,如果不是policy内的流,也生成对应表项,但是动作是drop,转发时查到表项drop就可以了。这样做的好处是每个流只有一个报文的处理是复杂的,其他的都按第一个走。通过此种处理方式,可以达到报文的一次处理,后续线速转发的效果。
快速路径:
fp_pkt_port_entry
hash16_calc_aux
fp_table_match_fast
fp_pkt_match
慢速路径:
fp_pkt_port_entry
hash16_calc_aux
sp_pkt_no_match
快速控制块回收:
fp_recycle_entry
10分钟无报文转发,回收。
实施例二
本实施例提供了一种物理隔离设备的报文快速转发***;
一种物理隔离设备的报文快速转发***,包括:
获取模块,其被配置为:获取待转发的报文流;将待转发的报文流划分为若干个报文,将所得的报文划分为首个报文和非首个报文;在转发阶段,对首个报文建立快速表;
哈希值计算模块,其被配置为:对待转发的非首个报文中的所有元素,计算哈希值;
定位模块,其被配置为:将哈希值作为表结构的索引值,根据索引值定位快速表的表项,如果相应哈希值作为索引值在快速表中有对应的表项,就根据哈希值对应的表项内容,对报文进行协议转换,然后转发;如果没有,就进入下一步;
第一判断模块,其被配置为:判断哈希值是否是非法数据表中的数据;如果是非法数据,就直接丢弃报文;如果不是非法数据,就进入下一步;
第二判断模块,其被配置为:判断哈希值是否是合法数据表中的数据,如果是,就将哈希值新增到快速表中,如果不是,就丢弃报文。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种物理隔离设备的报文快速转发方法,其特征是,包括:
获取待转发的报文流;将待转发的报文流划分为若干个报文,将所得的报文划分为首个报文和非首个报文;在转发阶段,对首个报文建立快速表;
对待转发的非首个报文中的所有元素,计算哈希值;
将哈希值作为表结构的索引值,根据索引值定位快速表的表项,如果相应哈希值作为索引值在快速表中有对应的表项,就根据哈希值对应的表项内容,对报文进行协议转换,然后转发;如果没有,就进入下一步;
判断哈希值是否是非法数据表中的数据;如果是非法数据,就直接丢弃报文;如果不是非法数据,就进入下一步;
判断哈希值是否是合法数据表中的数据,如果是,就将哈希值新增到快速表中,如果不是,就丢弃报文。
2.如权利要求1所述的一种物理隔离设备的报文快速转发方法,其特征是,将待转发的报文流划分为若干个报文;具体包括:
根据报文的源IP、源端口、目的IP、目的端口和传输协议组成的五元组将待转发的报文流划分为若干个报文。
3.如权利要求1所述的一种物理隔离设备的报文快速转发方法,其特征是,对首个报文建立快速表,建立快速表的过程为:
在合法数据表中逐个遍历比较,判断待转发报文的五元组的各个字段是否在合法数据表的各个字段中,如果均在合法数据表的各个段中,则建立以待转发报文五元组哈希值为索引的快速表。
4.如权利要求1所述的一种物理隔离设备的报文快速转发方法,其特征是,合法数据表,组成结构为:源IP地址段,源端口段,目的IP地址段,目的端口段和传输协议五部分,也称之为五元组。
5.如权利要求1所述的一种物理隔离设备的报文快速转发方法,其特征是,对待转发的非首个报文中的所有元素,计算哈希值;具体包括:
对非首个报文的源IP、源端口、目的IP、目的端口和传输协议组成的五元组,计算哈希值。
6.如权利要求5所述的一种物理隔离设备的报文快速转发方法,其特征是,所述计算哈希值,是通过国密算法来计算哈希值。
7.如权利要求6所述的一种物理隔离设备的报文快速转发方法,其特征是,根据索引值定位快速表的表项,定位的步骤包括:
根据快速表形成一个平衡二叉树,利用平衡二叉树结构的特性在快速表内进行表项搜索索引值。
8.如权利要求1所述的一种物理隔离设备的报文快速转发方法,其特征是,生成哈希值对应的表项内容,包括:
将待转发报文五元组中的源IP替换成虚拟源IP;
将待转发报文五元组中的目的IP替换成虚拟目的IP。
9.如权利要求1所述的一种物理隔离设备的报文快速转发方法,其特征是,根据报文是通过快速表转发,还是通过先遍历合法数据表,再形成快速表,将转发过程分为快速路径和慢速路径,每个流的第一个报文走慢速路径,后续报文走快速路径。
10.一种物理隔离设备的报文快速转发***,其特征是,包括:
获取模块,其被配置为:获取待转发的报文流;将待转发的报文流划分为若干个报文,将所得的报文划分为首个报文和非首个报文;在转发阶段,对首个报文建立快速表;
哈希值计算模块,其被配置为:对待转发的非首个报文中的所有元素,计算哈希值;
定位模块,其被配置为:将哈希值作为表结构的索引值,根据索引值定位快速表的表项,如果相应哈希值作为索引值在快速表中有对应的表项,就根据哈希值对应的表项内容,对报文进行协议转换,然后转发;如果没有,就进入第一判断模块;
第一判断模块,其被配置为:判断哈希值是否是非法数据表中的数据;如果是非法数据,就直接丢弃报文;如果不是非法数据,就进入第二判断模块;
第二判断模块,其被配置为:判断哈希值是否是合法数据表中的数据,如果是,就将哈希值新增到快速表中,如果不是,就丢弃报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111667732.2A CN114244625A (zh) | 2021-12-30 | 2021-12-30 | 一种物理隔离设备的报文快速转发方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111667732.2A CN114244625A (zh) | 2021-12-30 | 2021-12-30 | 一种物理隔离设备的报文快速转发方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114244625A true CN114244625A (zh) | 2022-03-25 |
Family
ID=80745163
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111667732.2A Pending CN114244625A (zh) | 2021-12-30 | 2021-12-30 | 一种物理隔离设备的报文快速转发方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114244625A (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101707617A (zh) * | 2009-12-04 | 2010-05-12 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
CN102195887A (zh) * | 2011-05-31 | 2011-09-21 | 北京星网锐捷网络技术有限公司 | 报文处理方法、装置和网络安全设备 |
CN103281246A (zh) * | 2013-05-20 | 2013-09-04 | 华为技术有限公司 | 报文处理方法及网络设备 |
CN104468624A (zh) * | 2014-12-22 | 2015-03-25 | 上海斐讯数据通信技术有限公司 | Sdn控制器、路由/交换设备及网络防御方法 |
CN104468381A (zh) * | 2014-12-01 | 2015-03-25 | 国家计算机网络与信息安全管理中心 | 一种多域流规则匹配的实现方法 |
CN107124402A (zh) * | 2017-04-12 | 2017-09-01 | 杭州迪普科技股份有限公司 | 一种报文过滤的方法和装置 |
CN109361609A (zh) * | 2018-12-14 | 2019-02-19 | 东软集团股份有限公司 | 防火墙设备的报文转发方法、装置、设备及存储介质 |
CN113114574A (zh) * | 2021-03-30 | 2021-07-13 | 杭州迪普科技股份有限公司 | 一种报文转发方法及装置 |
-
2021
- 2021-12-30 CN CN202111667732.2A patent/CN114244625A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101707617A (zh) * | 2009-12-04 | 2010-05-12 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
CN102195887A (zh) * | 2011-05-31 | 2011-09-21 | 北京星网锐捷网络技术有限公司 | 报文处理方法、装置和网络安全设备 |
CN103281246A (zh) * | 2013-05-20 | 2013-09-04 | 华为技术有限公司 | 报文处理方法及网络设备 |
CN104468381A (zh) * | 2014-12-01 | 2015-03-25 | 国家计算机网络与信息安全管理中心 | 一种多域流规则匹配的实现方法 |
CN104468624A (zh) * | 2014-12-22 | 2015-03-25 | 上海斐讯数据通信技术有限公司 | Sdn控制器、路由/交换设备及网络防御方法 |
CN107124402A (zh) * | 2017-04-12 | 2017-09-01 | 杭州迪普科技股份有限公司 | 一种报文过滤的方法和装置 |
CN109361609A (zh) * | 2018-12-14 | 2019-02-19 | 东软集团股份有限公司 | 防火墙设备的报文转发方法、装置、设备及存储介质 |
CN113114574A (zh) * | 2021-03-30 | 2021-07-13 | 杭州迪普科技股份有限公司 | 一种报文转发方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11032190B2 (en) | Methods and systems for network security universal control point | |
CN104348716B (zh) | 一种报文处理方法及设备 | |
US7535906B2 (en) | Packet classification | |
US7415018B2 (en) | IP Time to Live (TTL) field used as a covert channel | |
US9270643B2 (en) | State-transition based network intrusion detection | |
US7545809B2 (en) | Packet classification | |
EP2541854B1 (en) | Hybrid port range encoding | |
US20060221967A1 (en) | Methods for performing packet classification | |
US20060221956A1 (en) | Methods for performing packet classification via prefix pair bit vectors | |
US9356844B2 (en) | Efficient application recognition in network traffic | |
US11502974B2 (en) | Timestamp-based packet switching using a trie data structure | |
US7251651B2 (en) | Packet classification | |
US11671405B2 (en) | Dynamic filter generation and distribution within computer networks | |
CN116132187B (zh) | 一种数据包过滤方法及*** | |
US8964748B2 (en) | Methods, systems, and computer readable media for performing flow compilation packet processing | |
CN112953841B (zh) | 报文分流方法及*** | |
CN111950000A (zh) | 一种接入访问控制方法及设备 | |
CN114244625A (zh) | 一种物理隔离设备的报文快速转发方法及*** | |
CN115514579B (zh) | 基于IPv6地址映射流标签实现业务标识的方法及*** | |
CN108777654B (zh) | 报文转发方法及路由设备 | |
CN115842671A (zh) | 一种规则处理方法、设备和存储介质 | |
Wakabayashi et al. | Traffic-aware access control list reconstruction | |
RU2790635C1 (ru) | Способ фильтрации части пакетов в сетевой сессии | |
RU2786178C1 (ru) | Способ отслеживания сессий в сетевом трафике | |
US12021836B2 (en) | Dynamic filter generation and distribution within computer networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |