[发明专利]一种镜像报文的方法和装置

说明书

本申请供一种镜像报文的方法，所述方法包括：交换芯片接收报文，根据流定义策略将报文引流到FPGA；FPGA接收报文后存储原始报文，并解析出基本报文信息，将所述基本报文信息发送给会话匹配模块；会话匹配模块根据会话表进行匹配处理；发送模块根据预设的镜像规则进行镜像处理，符合镜像规则的，复制存储的原始报文发送给CPU，否则复制存储的原始报文，经交换芯片转发到对应的出接口；CPU根据配置的镜像模式，把报文经交换芯片转发到对应的出接口，通过所述方法能够解减少芯片资源的使用、以及减少报文的处理时延、解决业务板卡做NAT镜像不到报文的问题。

技术领域

本申请涉及网络通信技术领域，特别设计一种镜像报文的方法和装置。

背景技术

随着信息技术的发展，用户可以通过网络享受各种网络信息服务。网络技术在为用户提供便利的同时，也为网络攻击提供了空间。一些网络流量较大的环境，如企业的数据中心，更容易成为网络攻击的目标。在一个大规模的数据中心，通常会布置多种安全产品和服务，如防火墙、负载均衡等产品和服务。

目前，CPU和FPGA(Field－Programmable Gate Array，现场可编程门阵列)异构架构是网络安全产品的一种常用架构，这种架构充分利用了FPGA可编程、高吞吐率、不同于CPU顺序执行的并发处理和低时延的特点、CPU处理策略配置编译下发到FPGA及协助FPGA处理一些流量占比比较小的业务。

现有的镜像报文操作过程中，入方向镜像时在芯片测配置镜像报文条件，其中包括：源接口、五元组、vlan等信息及镜像到目的接口，报文进入交换芯片镜像报文模块后，会和镜像条件相比较看是否满足镜像条件，如果不满足镜像报文条件则交给业务板卡处理；如果满足镜像报文条件则复制一份报文到指定的目的接口，复制之后再把报文交给业务板卡进行处理。出方向镜像时和入方向镜像类似，区别就是出方向镜像是经过业务板卡处理之后的报文进行匹配。但现有技术中存在三个缺点：缺点一：交换芯片处理镜像报文的时候，需要把报文复制一份，这样会占用更多的芯片资源，从而导致整个系统性能降低；缺点二：报文复制完成之后报文才能够根据转发表项进行报文转发，必然增加了处理时延进而影响网络体验；缺点三：如果业务板卡配置NAT策略(在配置的地址池范围内进行IP地址和端口的转换)那么报文就会被更改为NATIP，那么预先设置的镜像条件就出现不匹配的情况，导致镜像不出报文。

发明内容

有鉴于此，本申请提供一种镜像报文的方法和装置，能够解减少芯片资源的使用、以及减少报文的处理时延、解决业务板卡做NAT镜像不到报文的情况。

具体地，本申请是通过如下技术方案实现的：

一种镜像报文的方法，所述方法包括：

交换芯片接收报文，根据流定义策略将报文引流到FPGA；

FPGA接收报文后存储原始报文，并解析出基本报文信息，将所述基本报文信息发送给会话匹配模块；

会话匹配模块根据会话表进行匹配处理，当匹配会话表时，将基本报文信息、和NAT转换或NAT还原之后的五元组信息，发送给发送模块，当不匹配会话表时，经过NAT查找模块标记NAT转换或还原之后的五元组信息，和基本报文信息一起发送给发送模块；

发送模块根据预设的镜像规则进行镜像处理，符合镜像规则的，复制存储的原始报文发送给CPU，否则复制存储的原始报文，经交换芯片转发到对应的出接口；

CPU根据配置的镜像模式，把报文经交换芯片转发到对应的出接口。

其中，所述根据流定义策略将报文引流到FPGA，具体为：

根据流定义策略判断，当满足流定义策略时，将报文引流到FPGA，当不满足流定义策略时，进行芯片处理转发。

其中，所述基本报文信息，包括：五元组、报文长度、入接口、报文存储地址。