技術領域

本發明涉及到數據通信領域，特別涉及到一種網絡處理器實現流過濾的方法和裝置。

背景技術

路由器、交換機等網絡設備在運行過程中，會出現廣播風暴或網絡攻擊，如果大量的攻擊報文上送CPU，會造成CPU過于繁忙，網絡設備工作不正常，因此需要對訪問網絡設備的報文進行訪問流量控制。

訪問控制列表(Access?Control?List，簡稱ACL)是Cisco?IOS所提供的一種訪問控制技術，是應用于路由器接口的規則列表，它由一系列訪問控制元素(Access?Control?Element，簡稱ACE)組成，每個ACE是一條單一的規則，用來匹配特定類型的報文，ACL告訴路由器哪些報文可以收、哪些報文需要拒絕，ACL使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據預先定義好的規則進行過濾，從而達到訪問控制的目的。

基于硬件的ACL，由網絡處理器(Network?Processor，簡稱NP)完成對訪問流量的控制，目前的網絡設備趨向于使用以NP為核心的體系結構，NP是一種可編程器件，特定地應用于通信領域的各種任務，比如包處理、協議分析、路由查找、聲音/數據的匯聚、防火墻和服務質量(Quality?of?Service，簡稱QoS)等。NP內部通常由若干個微碼處理器和若干個硬件協處理器組成，多個微碼處理器在NP內部并行處理，通過預先編制的微碼來控制處理流程，由于NP空間有限且價格昂貴，因此高效利用NP變得非常重要。

如圖1所示，現有實現流過濾的方法包括以下步驟：

步驟101，將網絡設備接收的報文與ACL相匹配，此匹配工作相當于對所有報文進行分類；

步驟102，判斷報文是否與ACL中丟棄標識所在的ACE相匹配，匹配則執行步驟104，否則繼續向下匹配，執行步驟103；

步驟103，判斷報文是否與ACL中限速標識所在的ACE相匹配，匹配則執行步驟105，否則執行步驟107；

步驟104，丟棄報文；

步驟105，獲取限速標識并執行步驟106；

步驟106，對報文限速；

步驟107，允許報文通過。

步驟103中的對報文限速采用的是雙速率三色標記算法，通過對峰值信息速率PIR(Peak?Information?Rate)、承諾訪問速率CIR(Committed?InformationRate)以及他們各自相關的峰值突發尺寸PBS(Peak?Burst?Size)和承諾突發尺寸CBS(Committed?Burst?Size)進行配置，達到限速目的。

以交換機為例說明雙速率三色標記算法的工作原理：

雙速率三色算法的實現，目前的實現基本上完全依照RFC的規定，用兩個令牌桶來實現，兩個令牌桶的容量不同，第一個是CBS，第二個是PBS。兩桶添加令牌的速率不同，CBS桶添加令牌的速率是CIR，PBS桶添加令牌的速率則是PIR。添加令牌時先添加CBS桶，CBS桶填滿后再添加PBS桶。

當發送連續流量時，先看報文速率是否超過PIR；當報文速率大于PIR時，超過PBS部分流量無法得到令牌，被標記為紅色報文；未超過PBS而從P桶中獲取令牌的報文標記為黃色報文；從C桶中獲取令牌的報文被標記為綠色報文。當報文速率小于PIR，大于CIR時，報文不會得不到令牌，但會超過CBS部分報文將從P桶中獲取令牌，被標記為黃色報文；其他報文將從CBS桶中取令牌，被標記為綠色報文；當報文速率小于CIR時，報文所需令牌數不會超過CBS，所以只會被標記為綠色報文。

在流量控制中，可針對不同顏色的報文設定不同行為，如：允許通過、丟棄、或重新標記優先級等，完成以上行為的微碼指令單元稱為限速單元。

圖2為現有NP中流過濾的裝置圖10，所有進入網絡設備的報文進入流分類單元11后被貼上丟棄標識或限速標識，丟棄單元12對貼上丟棄標識的報文進行丟棄，限速單元13對貼上限速標識的報文進行限速。例如網絡管理員要對來自于192.168.1.20的報文進行流量控制，限制其流量不能超過10Mbps，則將限速標識為3(可以為除0和1以外的其它值)時的PIR/CIR/PBS/CBS參數按照10Mbps限速進行配置，再設置一條ACE，該ACE匹配條件設為源地址192.168.0.20，動作為指定限速標識值＝3，那么NP在收到報文后，就會把報文與該ACE相匹配，如報文源地址為192.168.0.20，則與該條ACE匹配成功，NP獲得該報文的限速標識值3，并根據限速標識值3時的PIR/CIR/PBS/CBS配置對該報文進行限速動作。