[发明专利]一种用于防火墙的基于FPGA的数据转发方法

说明书

本发明实施例提供一种用于防火墙的基于FPGA的数据转发方法。所述方法包括FPGA通过外部接口接收待转发数据包，并根据待转发数据包的传输特征信息得到流量地址；在预存的流量地址表中进行查询，并根据查询结果决定是否将待转发数据包经网卡的内部接口上送给内部接口软件；若决定不将待转发数据包上送，则根据与流量地址对应的转发地址信息，将待转发数据包由与转发地址信息对应的外部接口直接转发，本发明实施例通过FPGA提取接收到的待转发数据包的传输特征信息，得到流量地址，若存在于预存的流量地址表中，则将数据流量由FPGA直接转发，性能不再受限于CPU或网卡转发性能，从而提升了网络数据转发的性能，降低了时延。

技术领域

本发明涉及数据通讯技术领域，尤其涉及一种用于防火墙的基于FPGA的数据转发方法。

背景技术

在防火墙若采用传统网络硬件设备的CPU及网卡，由于网卡在接收到流量数据时，均需要上传给终端安装的软件来进行处理，再决定如何执行后续操作来进行流量数据的转发。

但随着网卡带宽的越来越大，由于CPU处理性能有限，严重限制了流量数据的处理速度，尤其是在小包的复杂业务处理能力上显得捉襟见肘，无法充分利用网卡的性能，从而使防火墙因性能低导致的网络阻塞或延迟等问题。

发明内容

由于现有方法存在上述问题，本发明实施例提供一种用于防火墙的基于FPGA的数据转发方法。

第一方面，本发明实施例提供了一种用于防火墙的基于FPGA的数据转发方法，包括：

FPGA通过外部接口接收待转发数据包，并根据所述待转发数据包中包含的传输特征信息得到流量地址；

将所述流量地址在预存的流量地址表中进行查询，并根据查询结果决定是否将所述待转发数据包经网卡的内部接口上送给内部接口软件；其中，所述流量地址表包括：各流量地址和分别对应的转发地址信息；所述网卡与所述FPGA通过对应的内部接口连接，且各外部接口与各内部接口一一对应；

若根据查询结果决定不将所述待转发数据包经所述网卡的内部接口上送给所述内部接口软件，则所述FPGA根据与所述流量地址对应的转发地址信息，将所述待转发数据包由与所述转发地址信息对应的外部接口直接转发。

进一步地，所述根据查询结果决定是否将所述待转发数据包经网卡的内部接口上送给内部接口软件，具体包括：

若在所述流量地址表中未查询到所述流量地址，则所述FPGA将所述待转发数据包由所述外部接口上送到所述网卡的内部接口发送给所述内部接口软件的流表配置模块，由所述流表配置模块执行预设的转发流程；

所述流表配置模块将新建与所述待转发数据包对应的会话，并向所述FPGA发送流表添加报文；其中，所述流表添加报文包括：所述待转发数据包的流量地址和对应的转发地址信息；

所述FPGA根据接收到的所述流表添加报文，更新所述流量地址表。

进一步地，所述用于防火墙的基于FPGA的数据转发方法，还包括：

根据预设的保活门限值，对于所述流量地址表中的每条流量地址，若所述FPGA在当前的保活门限值的时间范围内接收到的与所述流量地址对应的待转发数据包，则定期向所述内部接口软件的应答解析模块发送与所述流量地址对应的保活应答报文；

所述应答解析模块根据所述保活应答报文中的流量地址找到对应的会话，重置与所述流量地址对应的会话的保活计时器；

若所述会话的保活计时器超时，则清除所述会话，同时向所述FPGA发送流表删除报文，用于将与所述会话对应的流表地址从所述流量地址表中删除。

进一步地，所述用于防火墙的基于FPGA的数据转发方法，还包括：