技術領域

本發明涉及一種數據包的過濾分流，尤其涉及一種基于會話業務的FPGA架構過濾分流裝置及其方法。?

背景技術

最近幾年，我國在骨干網和城域網方面的建設發展速度很快，幾乎所有區域骨干網的帶寬都達到了10G（Gigabit，千兆位），部分骨干網的帶寬已經升級或正在升級到40G甚至100G。同時，我國在互聯網特別是移動互聯網方面的建設也有明顯的加速趨勢，移動互聯網的Gn、Gi等接口帶寬也已經或正在從GE（Gigabit?Ethernet，千兆以太網）向10GE升級。?

網絡帶寬的高速增長也帶動了數據處理業務需求的增長，特別地，對IP（International?Protocol，網際協議）數據包會話業務的精確識別和過濾功能亦成為其中之關鍵需求?。目前許多相關業務，包括防火墻、虛擬專用網絡（VPN，Virtual?Private?Network）、網絡安全等，均要求所采用的過濾分流設備具備對會話業務的處理能力。?

現有過濾分流設備的核心架構主要以NPU（Network?Processing?Unit，網絡處理器）和FPGA（Field-Programmable?Gate?Array，現場可編程邏輯門陣列）兩類為主，NPU架構的優點在于其配置的靈活性，而FPGA架構的優點在于其強大的并行處理能力帶來的性能優勢。?

無論是在NPU架構還是FPGA架構下，均需要通過建立和查詢會話表來完成對會話業務的識別、過濾、轉發等處理。會話表的建立、查詢等過程非常復雜，且對會話表項的數量和會話查詢效率等方面均有很高的要求。通常情況下，會話表存放在過濾分流設備的高速內存單元中，如何在有限的存儲空間中存放數量龐大的會話表項，并且使得查詢效率盡可能高，是會話表結構設計中面臨的主要問題。?

現有技術中常見的會話表通常包括會話規則索引和會話規則表項兩個部分，會話規則索引一般由從數據包中提取的會話特征經過特定運算生成，用于在查詢過程中對會話規則表項的快速定位。常用的運算方法包括Hash（哈希，也稱為散列）運算等算法。會話規則表項的內容一般包括數據包的完整會話特征，例如五元組信息（源IP、目的IP、源端口號、目的端口號、協議類型）等，用于對會話規則表項的匹配檢查。根據實際業務需求的不同，會話規則表項存放的內容也會有所不同，比如還可以包括統計信息、控制信息等內容。?

在NPU架構下的會話表結構設計中，考慮到NPU對高速內存空間的申請、使用和釋放的靈活性，會話規則表項一般會以鏈表的方式存放在高速內存中，在查詢過程中NPU對會話規則表項依次讀取并逐個進行匹配檢查，因此在會話規則表項中通常還包括下一級鏈表地址。?

現有技術中常見的NPU架構會話表設計如圖3所示。?

在FPGA架構下的會話表結構設計中，為了充分利用FPGA在并行處理能力方面的優勢，通常會將每個會話規則索引對應的會話規則表項數量設置為相同值，在查詢過程中，FPGA將同時讀取會話規則索引所對應的多個會話規則表項，并且獨立地對這些會話規則表項完成匹配檢查，這樣可以減少對高速內存的讀寫次數，提高會話查詢效率。但另一方面，每個會話規則索引所對應的會話規則表項并非全部有效，存在一部分會話規則表項為空的情況，因此會浪費一些存儲資源。?

現有技術中常見的FPGA架構會話表設計如圖4所示。?

申請號200910137700.4的中國發明專利，申請公開一種基于流表的數據包處理方法、裝置和網絡系統，采用對會話特征進行二次哈希運算，并建立臨時流表且以二次哈希值來完成匹配檢查的方法來對數據包進行處理，減少CPU的資源消耗和節省存儲空間。?

在對現有的基于FPGA架構的過濾分流裝置的研究和實現中，本發明的發明人發現，會話表結構設計同樣面臨如何節省內存空間、提高會話查詢效率的問題。由于在不同的部署環境下，業務需求和網絡特性各不相同，即使在接入數據流量較大的情況下，依舊會出現相當比例的會話規則索引所對應的有效會話規則表項數量較少，甚至不存在有效會話規則表項的現象，但受限于會話表結構設計，這部分空置的會話規則表項依舊在高速內存中占用了大量的存儲空間，導致較大的存儲資源浪費。?

發明內容

本發明解決的問題是，在寬帶業務和安全保障業務復雜化、精細化的大趨勢下，提供一種基于二級會話查詢功能的過濾分流裝置，該裝置能滿足對會話業務的精確識別和過濾需求。其所采用的二級會話查詢方法亦能提高存儲空間的使用效率，解決現有技術中存在的存儲資源浪費問題。?