[发明专利]老化消息上报的控制方法和控制装置

说明书

技术领域

本发明涉及网络设备中老化消息处理技术，具体涉及一种老化消息上报的控制方法和老化消息上报的控制装置。

背景技术

通常，高端的网络设备中用于处理报文转发的硬件芯片是网络处理器(NP)芯片或一些专用芯片，而目前很多报文转发是基于会话表工作的，例如网络地址转换(NAT)操作。因此，硬件芯片需要负责会话表的处理，包括会话表中表项的建立和删除。其中，表项的删除一般有主动删除和老化删除两种。老化删除是指一个表项如果在设定的老化时间内没有被查找，该表项就会被删除，该过程简称为老化。

不同会话表的老化时间是不同的。以在NP芯片中实现NAT应用为例，NAT的会话表主要有3种类型：传输控制协议(TCP)会话表、用户数据报协议(UDP)会话表、临时会话表。TCP是基于连接的，一般根据TCP的删除命令来主动删除TCP会话表项，只有在发生意外的情况下，例如TCP连接一方或双方出现故障，才会出现TCP会话不被主动删除的情况。这些异常的TCP连接及其相关表项在老化时间到来时被删除。可见，TCP会话表中需要老化的表项并不多，因此TCP会话表的老化时间设置得比较长，通常会在几十分钟到几小时或更长。UDP是非连接的，只能通过老化来删除会话表项，为了提高会话表的利用率，会设置比较短的老化时间，通常设置为几分钟甚至更短。至于要求快速老化的临时表项，也只能通过老化来删除会话表项，其老化时间只有几秒或十几秒。

TCP会话表的老化时间长，容易受到攻击。最典型的攻击方式为拒绝服务攻击，这种攻击的原理是恶意用户占满整个会话表，由于TCP会话表老化时间长，因此占满会话表的表项长时间不能被老化，使得其他用户长时间得不到会话资源，导致会话的建立速度等于会话的老化速度，大大影响了会话的建立性能。目前，一种比较有效的防止拒绝服务攻击的方式是：网络设备的CPU启用用户会话限制，以控制某个用户的会话数目。但启用用户会话限制需要CPU对会话建立和删除情况进行统计，以便掌握各用户的会话数目。由于硬件芯片不能统计老化删除的会话数目，因此硬件芯片需要将TCP会话表的老化消息上报给CPU，以便CPU根据上报的老化消息进行统计操作。而UDP会话表和临时会话表的老化时间短，不容易遭到拒绝服务攻击，因此，UDP会话表和临时会话表的老化消息都不需要上送CPU。

目前，NP芯片已经能够提供打开和关闭老化消息上报功能，但是，与大部分硬件芯片相同，NP芯片不支持按表打开和关闭老化消息上报功能。所以，NP芯片在打开老化消息上报功能时，所有会话表在各自老化定时器计时到各自的老化时间时，都会向CPU上报老化消息，其中包括UDP会话表和临时会话表产生的大量老化消息。CPU不会漏掉每一条老化消息，因此CPU会处理所有上报的老化消息，这给本来速度就不高的CPU带来了巨大负担。而且，CPU处理完一条老化消息后，该老化消息对应的老化操作才算完成，因此老化速度受CPU处理能力限制，一旦会话表项满了，新建会话的速度会等于老化的速度，大大降低了新建会话性能。

可见，在现有技术中，由于缺乏对会话表上报老化消息的差异控制，因此CPU一旦启用用户会话限制，只能打开所有会话表的老化消息上报功能，不仅增加了CPU的处理负担，而且老化速度受CPU处理能力限制，还会降低新建会话性能。

发明内容

有鉴于此，本发明提供了一种老化消息上报的控制方法，能够对不同的会话表是否上报老化消息进行差异控制。

该方法包括：在需上报老化消息的会话表对应的老化时刻每次到达之前，判断当前时刻与即将到来的老化时刻之间的时间差是否小于或等于预设时间差，如果是，则打开老化消息上报功能；

当所述需上报老化消息的会话表完成老化消息上报后，关闭老化消息上报功能。

较佳地，该方法进一步包括：设置循环定时的软件定时器；同时启动会话表的老化定时器和所述软件定时器；每当所述软件定时器超时，获取当前时刻，执行所述判断操作。

较佳地，该方法进一步包括：周期性的同时重启所述老化定时器和所述软件定时器。

其中，所述当前时刻的获取方式为：当软件定时器超时，读取老化定时器所在硬件芯片的硬件时钟时间，根据读取的硬件时钟时间与启动时读取的硬件时钟时间获取所述当前时刻；

或者，预设时间累计变量，每当软件定时器超时，更新时间累计变量的值，将更新后时间累计变量的值作为所述当前时刻。

较佳地，该方法进一步包括：在会话表老化消息上报功能打开期间，禁止无需上报老化消息的会话表老化。