[发明专利]一种网络安全设备及其处理报文的方法

说明书

本申请提供了一种网络安全设备及其处理报文的方法。该方法中，配置多个保序标签；每个保序标签标识至少包含一个虚拟CPU标识以及一个队列的哈希hash值；为每个保序标签注册中断处理函数以及中断号；配置每个保序标签指向的虚拟CPU对应每个保序标签的中断号；在上行通路，获取各软转发接收报文被分配的虚拟CPU的标识；将各软转发接收报文的报文描述符存储在描述符队列，将各软转发接收报文的保序标签存储保序标签队列，通知各软转发接收报文被分配的虚拟CPU；其中，各软转发接收报文的报文描述符包括各软转发接收报文的保序标签；各软转发接收报文的保序标签包含各软转发接收报文的虚拟CPU的标识和先入先出报文队列的哈希值。

技术领域

本申请涉及通信技术，特别涉及一种网络安全设备及其处理报文的方法。

背景技术

网络安全设备可以基于逐包转发模式和逐流转发模式执行报文转发处理。

网络安全设备执行逐包转发模式时，为需要软件安全业务处理的接收报文分配空闲的虚拟处理器(virtual CPU,vCPU)，各vCPU将这些报文发往FW(防火墙)、IDS(IntrusionDetection System，入侵检测系统)、WAF(Web Application Firewall，Web应用防护系统)模块进行软件安全业务处理，然后将完成软件安全业务处理后将发送报文写入队列，但是这些完成软件安全业务处理的发送报文的顺序无法保证与接收报文的接收顺序相同，导致软件安全业务处理后的发送报文无法保障按照顺序转发。

网络安全设备执行逐流转发模式时，根据报文的流特征信息，如五元组或三元组等报文特征信息，将不同hash值的接收报文缓存至对应计算的hash值的队列。每个队列绑定的vCPU对每个流的接收报文按序进行软件安全业务处理后作为发送报文按序写入队列，确保逐流保序转发。逐流转发模式只有在网络内大部分报文具有不同的五元组或者三元组，才能将大部分的报文作为不同流负载分担到不同的vCPU进行软件安全业务处理。然而，一旦网络中需要软件安全处理的任一流增大时，会导致处理该流的vCPU拥塞而其他vCPU处于空闲状态，浪费了空闲vCPU的处理资源浪费，无法发挥网络安全设备的多核CPU架构的整体性能优势。

发明内容

本申请的目的提供一种网络安全设备及其处理报文的方法，对需要软件转发的报文执行保序的逐包转发处理。

为实现上述目的，本申请提供了一种网络安全设备处理报文的方法，该方法包括：配置多个保序标签；每个保序标签标识至少包含一个虚拟CPU标识以及一个队列的哈希hash值；为每个保序标签注册中断处理函数以及中断号；配置每个保序标签指向的虚拟CPU对应每个保序标签的中断号；在上行通路，获取先入先出报文队列中各软转发接收报文被分配的虚拟CPU的标识；将各软转发接收报文的报文描述符存储在描述符队列，将各软转发接收报文的保序标签存储在先入先出的保序标签队列，通知各软转发接收报文被分配的虚拟CPU；其中，各软转发接收报文的报文描述符包括各软转发接收报文的保序标签；各软转发接收报文的保序标签包含各软转发接收报文的虚拟CPU的标识和报文队列的hash值。

为实现上述目的，本申请还提供了一种网络安全设备，该设备包括多个接口、处理单元以及交换单元；处理单元包括：保序标签配置模块、保序标签注册模块、保序标签映射模块；保序标签配置模块，用于配置多个保序标签；每个保序标签标识至少包含一个虚拟CPU标识以及一个队列的哈希hash值；保序标签注册模块，用于为每个保序标签注册中断处理函数以及中断号；保序标签映射模块，用于配置每个保序标签指向的虚拟CPU对应每个保序标签的中断号；交换单元，包括多个先入先出报文队列、报文描述符队列以及先入先出保序标签队列以及转发模块；其中转发模块在上行通路获取各先入先出报文队列中各软转发接收报文被分配的虚拟CPU的标识；将各软转发接收报文的报文描述符存储在描述符队列，将各软转发接收报文的保序标签存储在先入先出的保序标签队列，通知各软转发接收报文被分配的虚拟CPU；其中，各软转发接收报文的报文描述符包括各软转发接收报文的保序标签；各软转发接收报文的保序标签包含各软转发接收报文的虚拟CPU的标识和报文队列的hash值。