[发明专利]基于二级会话查询功能的过滤分流装置及其方法

说明书

技术领域

本发明涉及一种数据包的过滤分流，尤其涉及一种基于会话业务的FPGA架构过滤分流装置及其方法。 

背景技术

最近几年，我国在骨干网和城域网方面的建设发展速度很快，几乎所有区域骨干网的带宽都达到了10G（Gigabit，千兆位），部分骨干网的带宽已经升级或正在升级到40G甚至100G。同时，我国在互联网特别是移动互联网方面的建设也有明显的加速趋势，移动互联网的Gn、Gi等接口带宽也已经或正在从GE（Gigabit Ethernet，千兆以太网）向10GE升级。 

网络带宽的高速增长也带动了数据处理业务需求的增长，特别地，对IP（International Protocol，网际协议）数据包会话业务的精确识别和过滤功能亦成为其中之关键需求 。目前许多相关业务，包括防火墙、虚拟专用网络（VPN，Virtual Private Network）、网络安全等，均要求所采用的过滤分流设备具备对会话业务的处理能力。 

现有过滤分流设备的核心架构主要以NPU（Network Processing Unit，网络处理器）和FPGA（Field-Programmable Gate Array，现场可编程逻辑门阵列）两类为主，NPU架构的优点在于其配置的灵活性，而FPGA架构的优点在于其强大的并行处理能力带来的性能优势。 

无论是在NPU架构还是FPGA架构下，均需要通过建立和查询会话表来完成对会话业务的识别、过滤、转发等处理。会话表的建立、查询等过程非常复杂，且对会话表项的数量和会话查询效率等方面均有很高的要求。通常情况下，会话表存放在过滤分流设备的高速内存单元中，如何在有限的存储空间中存放数量庞大的会话表项，并且使得查询效率尽可能高，是会话表结构设计中面临的主要问题。 

现有技术中常见的会话表通常包括会话规则索引和会话规则表项两个部分，会话规则索引一般由从数据包中提取的会话特征经过特定运算生成，用于在查询过程中对会话规则表项的快速定位。常用的运算方法包括Hash（哈希，也称为散列）运算等算法。会话规则表项的内容一般包括数据包的完整会话特征，例如五元组信息（源IP、目的IP、源端口号、目的端口号、协议类型）等，用于对会话规则表项的匹配检查。根据实际业务需求的不同，会话规则表项存放的内容也会有所不同，比如还可以包括统计信息、控制信息等内容。 

在NPU架构下的会话表结构设计中，考虑到NPU对高速内存空间的申请、使用和释放的灵活性，会话规则表项一般会以链表的方式存放在高速内存中，在查询过程中NPU对会话规则表项依次读取并逐个进行匹配检查，因此在会话规则表项中通常还包括下一级链表地址。 

现有技术中常见的NPU架构会话表设计如图3所示。 

在FPGA架构下的会话表结构设计中，为了充分利用FPGA在并行处理能力方面的优势，通常会将每个会话规则索引对应的会话规则表项数量设置为相同值，在查询过程中，FPGA将同时读取会话规则索引所对应的多个会话规则表项，并且独立地对这些会话规则表项完成匹配检查，这样可以减少对高速内存的读写次数，提高会话查询效率。但另一方面，每个会话规则索引所对应的会话规则表项并非全部有效，存在一部分会话规则表项为空的情况，因此会浪费一些存储资源。 

现有技术中常见的FPGA架构会话表设计如图4所示。 

申请号200910137700.4的中国发明专利，申请公开一种基于流表的数据包处理方法、装置和网络系统，采用对会话特征进行二次哈希运算，并建立临时流表且以二次哈希值来完成匹配检查的方法来对数据包进行处理，减少CPU的资源消耗和节省存储空间。 

在对现有的基于FPGA架构的过滤分流装置的研究和实现中，本发明的发明人发现，会话表结构设计同样面临如何节省内存空间、提高会话查询效率的问题。由于在不同的部署环境下，业务需求和网络特性各不相同，即使在接入数据流量较大的情况下，依旧会出现相当比例的会话规则索引所对应的有效会话规则表项数量较少，甚至不存在有效会话规则表项的现象，但受限于会话表结构设计，这部分空置的会话规则表项依旧在高速内存中占用了大量的存储空间，导致较大的存储资源浪费。 

发明内容

本发明解决的问题是，在宽带业务和安全保障业务复杂化、精细化的大趋势下，提供一种基于二级会话查询功能的过滤分流装置，该装置能满足对会话业务的精确识别和过滤需求。其所采用的二级会话查询方法亦能提高存储空间的使用效率，解决现有技术中存在的存储资源浪费问题。