[发明专利]网络封包处理方法及路由设备

说明书

技术领域

本发明涉及一种封包处理方法，尤其涉及一种能提升网络处理效能的网络封包处理方法及路由设备。

背景技术

随着网络的蓬勃发展，现代人不仅可通过网络随时取得所需信息，还能通过网络进行休闲、社交、以及商业等活动。然而，正因网络带来的便利使得许多重要数据经常会在网络上流通，为了确保数据不被恶意撷取，许多网络的安全控管机制也随之应运而生。

以Linux操作系统作为软件架构的网络设备为例，其是通过在转送检查点(forward hook)进行存取控制清单(Access Control List，简称为：ACL)以及频宽管制(Quality of Services，简称为：QoS)的规则比对来维护数据的安全性。具体来说，为了实现防火墙(firewall)的功能，每当封包进入网络设备后，转送检查点会将封包与每一条存取控制清单规则及频宽管制规则逐一进行比对。也即，转送检查点将顺序取得各存取控制清单规则与频宽管制规则，且在比对每个规则时都必须从封包取得一次封包信息。在某些情况下，必须等待所有规则都逐一比对之后，网络设备才能确定此封包是否符合存取控制清单及频宽管制规则。不难想见，在所需比对的存取控制清单与频宽管制规则数量越多时，完成检查所须耗费的时间也越长，而容易对网络处理效能造成负面影响。

发明内容

有鉴于此，本发明提供一种网络封包处理方法，可提高对进入封包执行规则比对的效率。

本发明提供一种路由设备，可避免将封包与所有规则逐一进行比对，从而提升网络处理速度。

本发明提供了一种网络封包处理方法，用于记录多个封包处理规则的路由设备，上述封包处理规则包括多种检查条件。此方法定义并记录各检查条件对应的封包处理规则。在对进入路由设备的封包执行一路径选择处理后，取得关于封包的多个封包信息。针对每一个封包信息，自所有检查条件中找出符合封包信息的检查条件，并且对所找出的检查条件对应的封包处理规则进行标记。根据所有被标记的封包处理规则判断是否存在一特定封包处理规则。若是，则依据特定封包处理规则对封包进行一处理动作。

在本发明的一实施例中，其中上述检查条件分为多个条件种类，而定义并记录各检查条件对应的封包处理规则的步骤包括取得其中之一条件种类作为一处理条件种类。建立对应处理条件种类的数据结构。在全部的封包处理规则中，找出所包括的检查条件属于处理条件种类且内容相同的所有封包处理规则，以及令所找出的封包处理规则对应至数据结构中的同一进入栏位(entry)。

在本发明的一实施例中，其中针对每个封包信息，自所有的检查条件中找出符合封包信息的检查条件，并标记所找出的检查条件对应的封包处理规则的步骤包括根据所针对的封包信息的内容，自封包信息的种类对应的数据结构中找出一特定进入栏位。分别将对应至特定进入栏位的所有封包处理规则定义为一候选封包处理规则，以及在各候选封包处理规则所包括的检查条件中，将符合于封包信息的检查条件标记为已确认条件。

在本发明的一实施例中，其中上述检查条件分为多个条件种类，而定义并记录各检查条件对应的封包处理规则的步骤包括取得其中之一条件种类作为一处理条件种类，建立对应处理条件种类的数据结构。在全部的封包处理规则中，找出所包括的检查条件属于处理条件种类且内容的杂凑值(hashvalue)相同的所有封包处理规则，并令所找出的封包处理规则对应至数据结构中的同一进入栏位。

在本发明的一实施例中，其中针对每个封包信息，自所有的检查条件中找出符合封包信息的检查条件，并标记所找出的检查条件对应的封包处理规则的步骤包括根据所针对的封包信息的杂凑值，自封包信息的种类对应的数据结构中找出一特定进入栏位。在对应至特定进入栏位的所有封包处理规则中，分别将内容与封包信息相同的所有封包处理规则定义为候选封包处理规则，并且在各选封包处理规则所包括的检查条件中，将符合于封包信息的检查条件标记为已确认条件。

在本发明的一实施例中，其中根据所有被标记的封包处理规则判断是否存在特定封包处理规则的步骤包括在所有的封包处理规则中，判断是否存在所对应的检查条件均已被标记的封包处理规则。若是，则将所对应的检查条件均已被标记的封包处理规则定义为特定封包处理规则。

在本发明的一实施例中，其中检查条件与封包信息的种类至少包括下列其中之一：来源接口(source interface)、目标接口(destination interface)、来源地址(source address)、目标地址(destination address)，以及网络协议(service)。