[发明专利]一种新型自定义以太网带外数据包过滤的方法及装置

说明书

技术领域

本发明涉及以太网及其高层协议数据包过滤的技术领域，特别是对以太网数据包类型，高层协议字段以及ARP协议字段过滤的方法以及装置。

背景技术

随着互联网络对其主要承载体的以太网络设备具有更强的处理能力要求的不断增长，以太网除了单纯的数据转发之外，还要能够提供根据高层协议字段对数据包进行协议处理的能力，一般来说，这种处理能力由更高级别的以太网交换机提供，但是对于功能不够强的以太网交换机而言，很多协议处理和网络管理功能必须由设备上附带的中央处理器(CPU)来进行，如图1所示，这样的结构极大的增强了二层以太网交换机的功能，但是也带来了加重CPU处理负荷，造成CPU容易死机从而大大的降低了系统的可靠性。例如，CPU必须运行一个协议栈并且支持诸如ARP、ICMP和高层网管通信以及web界面等功能，以百兆全线速来处理各种管理所需要的以太网以及高层数据包给CPU带来了沉重的负担，使它不能有效的完成管理设备的功能，同时由于CPU的有限处理能力，也给外部的恶意攻击者带来了可乘之机，外部的攻击者可以通过大量的发送以太网广播或者组播数据包、BPDU数据包造成网络上的洪泛，也可以向CPU发送大量的ARP请求，导致CPU不断的处理ARP请求从而无法完成正常的网管功能，还有在更高层次的协议上进行攻击，比如发送大量的TCP连接请求，使CPU不断的等待连接的建立耽搁正常的管理进程，还可以利用IP协议中的分片功能，发送一些孤立的分片到CPU中，由于分片数据包必须合并后才能提交上层软件处理，所以当收到孤立的分片时CPU不得不将分片缓冲在内存缓冲区中，如果同一个数据包的其他分片不到来，则缓冲区内的分片就不会释放，这样就永久的占用了CPU的存储资源。考虑到目前这种CPU+以太网交换机的模式下的种种不安全因素和效率不高的现状，必须为以太网交换机的网管接口到CPU之间提供一个协处理器的机制，使该协处理器能够为CPU过滤大量无意义的甚至是危险的数据包，从而节省了CPU的资源和运算能力，使交换机中的CPU能够集中力量从事设备管理和协议处理功能，其新的设备结构如图2所示。

考虑到前面提到的各种风险和攻击的方式，一个过滤协处理器必须能够识别和过滤大约六种数据包以及它们的协议字段的内容，包括以太网数据包的类型(单播、组播、广播)，三层数据包类别(IP包、ARP包)，IP包三层以上的部分数据(高层协议类别TCP、UDP、ARP，TCP包的目的端口、源端口、类型，UDP包的源端口、目的端口，ARP包的源和目的协议地址、操作码等等)。同时考虑以太网交换芯片与CPU通信的需要，应该把该过滤协处理放在CPU与以太网交换芯片的接口之间，这样CPU就能够得到过滤处理器透明服务。

发明内容

本发明的目的在于针对上述现有技术中存在的问题，提供一种新型的自定义带外以太网数据包过滤的方法和装置，从而能够在以太网交换芯片和CPU之间有效的过滤以太网以及其所承载的高层协议数据包的字段，根据这些字段的内容，分别进行丢弃或者流量控制操作，从而既节省了CPU的资源和运算能力，也提高了整个交换系统的可靠性。

本发明的技术方案如下：一种新型自定义以太网带外数据包过滤的方法，包括如下步骤：

(1)数据从MII接口进入过滤协处理器，通过缓冲和4-8位变换将数据交给数据包关键字提取模块，同时将数据送到包缓冲模块中缓冲等候处理；

(2)数据包关键字提取模块根据目的MAC和以太网帧类型判断输入数据包的类别，提取高层协议的元组或者ARP的相应关键字，将关键字送到各个过滤模块中分别进行过滤操作；

(3)端口过滤模块根据以太网数据帧类型分别进行速率限制或者数据包直接丢弃；

(4)高层过滤模块根据数据包关键字提取模块提取的高层关键字，从高层过滤表中查找匹配的表项，如果没有匹配项，执行缺省操作，根据过滤规则产生一个是否丢弃数据包的决定；

(5)ARP过滤模块根据数据包关键字提取模块提取出的ARP关键字匹配ARP过滤表执行查找匹配工作，根据过滤规则产生一个是否丢弃数据包的决定；

(6)由数据包处理模块对三个过滤模块的决策进行汇总，并由该模块在缓冲中执行丢弃或者发送数据包的操作。

如上所述的新型自定义以太网带外数据包过滤的方法，其中，步骤(2)中所述的数据包的类别包括单播、组播、广播、BPDU包。