技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種接口系統(tǒng)及其對(duì)數(shù)據(jù)包進(jìn)行處理的方法。

背景技術(shù)

接口作為在線網(wǎng)絡(luò)安全設(shè)備的基礎(chǔ)構(gòu)成部分，其組織形式和框架設(shè)計(jì)對(duì)在線網(wǎng)絡(luò)安全設(shè)備有重要意義。目前，在線網(wǎng)絡(luò)安全設(shè)備中接口的組織形式是在設(shè)備部署單一的接口處理層，直接在物理接口（如以太網(wǎng)接口）上配置轉(zhuǎn)發(fā)屬性，如IP地址、VLAN號(hào)等。當(dāng)物理接口上接收到數(shù)據(jù)包時(shí)，將會(huì)根據(jù)自身配置的轉(zhuǎn)發(fā)屬性來對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。例如：某一物理接口上配置的轉(zhuǎn)發(fā)屬性是VLAN號(hào)，當(dāng)該物理接口接收到數(shù)據(jù)包時(shí)，將接收到的數(shù)據(jù)包的VLAN號(hào)與本地配置的VLAN號(hào)進(jìn)行匹配，若匹配成功，則對(duì)接收到的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)；否則，丟棄接收到的所述數(shù)據(jù)包。

目前的接口組織形式實(shí)現(xiàn)起來比較簡(jiǎn)單，但是，物理接口的物理屬性（即物理接口所具有的收、發(fā)數(shù)據(jù)包的能力以及協(xié)商能力）和轉(zhuǎn)發(fā)屬性是整合在一起的，物理接口只能根據(jù)配置的轉(zhuǎn)發(fā)屬性來對(duì)接收到的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)處理。由于在線網(wǎng)絡(luò)安全設(shè)備中部署的物理接口數(shù)量有限，目前的接口組織形式和框架設(shè)計(jì)已不能滿足在線網(wǎng)絡(luò)安全設(shè)備對(duì)于接口的拓展，接口部署的靈活性和可擴(kuò)充性受到限制。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供一種接口系統(tǒng)及其對(duì)數(shù)據(jù)包進(jìn)行處理的方法，用以解決現(xiàn)有技術(shù)中存在的接口部署不靈活以及難以擴(kuò)充的問題。

本發(fā)明實(shí)施例采用以下技術(shù)方案：

一種接口系統(tǒng)，包括：收包線程、包處理線程、發(fā)包線程，以及包括至少一個(gè)物理接口的物理接口層、包括與所述物理接口具有映射關(guān)系的邏輯接口的邏輯接口層和包括與所述邏輯接口具有映射關(guān)系的虛擬接口的虛擬接口層，其中，每個(gè)所述邏輯接口配置有轉(zhuǎn)發(fā)屬性；

所述收包線程，用于將所述物理接口從硬件抽象層接收到的數(shù)據(jù)包存儲(chǔ)在緩存隊(duì)列中；

所述包處理線程，用于將所述緩存隊(duì)列中的數(shù)據(jù)包發(fā)送至與該數(shù)據(jù)包所經(jīng)過的物理接口具有映射關(guān)系的邏輯接口，以及將安全引擎處理后的數(shù)據(jù)包發(fā)送至邏輯接口，并將邏輯接口處理后的數(shù)據(jù)包發(fā)送至與該邏輯接口具有映射關(guān)系的物理接口；

所述發(fā)包線程，用于將物理接口上的數(shù)據(jù)包發(fā)送至硬件抽象層；

所述邏輯接口，用于根據(jù)配置的轉(zhuǎn)發(fā)屬性對(duì)包處理線程發(fā)送的數(shù)據(jù)包進(jìn)行處理，其中，在處理的數(shù)據(jù)包是從物理接口處通過包處理線程發(fā)送至邏輯接口的數(shù)據(jù)包時(shí)，若處理的數(shù)據(jù)包是本地?cái)?shù)據(jù)，則將所述數(shù)據(jù)包發(fā)送至具有映射關(guān)系的虛擬接口，否則，將所述數(shù)據(jù)包發(fā)送至安全引擎；

所述虛擬接口，用于將邏輯接口發(fā)送的數(shù)據(jù)包發(fā)送至本地操作系統(tǒng)，以及將本地操作系統(tǒng)發(fā)送的數(shù)據(jù)包發(fā)送至具有映射關(guān)系的邏輯接口

在本發(fā)明實(shí)施例中，采用多層次接口結(jié)構(gòu)，并在不具有轉(zhuǎn)發(fā)屬性的物理接口之上增加配置有轉(zhuǎn)發(fā)屬性的邏輯接口，實(shí)現(xiàn)了對(duì)數(shù)據(jù)包的收發(fā)以及邏輯處理；而且在數(shù)據(jù)包的轉(zhuǎn)發(fā)過程中增加了收、發(fā)包線程和包處理線程，使得轉(zhuǎn)發(fā)過程更加透明，便于模塊的設(shè)計(jì)和移植。由于邏輯接口的數(shù)量和配置的轉(zhuǎn)發(fā)屬性可根據(jù)實(shí)際需要?jiǎng)討B(tài)調(diào)整，因此，本發(fā)明實(shí)施例的方案可以增加接口技術(shù)在物理層次部署的靈活性和網(wǎng)絡(luò)的可靠性，并在一定程度上解除了接口數(shù)量的限制，提高接口部署的可擴(kuò)充性。

優(yōu)選地，每個(gè)所述物理接口分別配置有收包隊(duì)列和發(fā)包隊(duì)列；

其中：來自硬件抽象層的數(shù)據(jù)包緩存在物理接口的收包隊(duì)列中，并依次經(jīng)過所述物理接口后，由所述收包線程將所述數(shù)據(jù)包存儲(chǔ)在緩存隊(duì)列中；

邏輯接口處理后的數(shù)據(jù)包緩存在與所述邏輯接口具有映射關(guān)系的物理接口的發(fā)包隊(duì)列中，并由所述發(fā)包線程將所述數(shù)據(jù)包經(jīng)過物理接口發(fā)送至硬件抽象層。

在本實(shí)施例中，通過增加收包隊(duì)列和發(fā)包隊(duì)列，以及邏輯接口與物理接口之間的緩存區(qū)，使得數(shù)據(jù)包在傳輸過程中可以暫存在這些隊(duì)列或者緩存區(qū)中，提高了各個(gè)接口轉(zhuǎn)發(fā)數(shù)據(jù)包的并行性。

優(yōu)選地，所述邏輯接口與物理接口之間的映射關(guān)系為：邏輯接口與物理接口之間具有一一映射關(guān)系，或一個(gè)邏輯接口與多個(gè)物理接口具有映射關(guān)系。

通過采用本發(fā)明實(shí)施例提供的接口系統(tǒng)，以及構(gòu)建的邏輯接口與物理接口之間的映射關(guān)系，使得單個(gè)邏輯接口具有多個(gè)轉(zhuǎn)發(fā)屬性，從而實(shí)現(xiàn)了邏輯接口的擴(kuò)展。

所述邏輯接口層中存在對(duì)應(yīng)至少一個(gè)邏輯子接口的邏輯接口；

優(yōu)選地，對(duì)應(yīng)有邏輯子接口的邏輯接口，還用于根據(jù)配置的轉(zhuǎn)發(fā)屬性對(duì)包處理線程發(fā)送的數(shù)據(jù)包進(jìn)行處理后發(fā)送至對(duì)應(yīng)的邏輯子接口，由該邏輯子接口根據(jù)自身的轉(zhuǎn)發(fā)屬性對(duì)邏輯接口處理后的數(shù)據(jù)包進(jìn)行處理。

通過為某些邏輯接口配置對(duì)應(yīng)的邏輯子接口，使得數(shù)據(jù)包的處理更加細(xì)化，并在不增加物理接口的情況下獨(dú)立擴(kuò)展了邏輯接口，從而實(shí)現(xiàn)了接口的并行性以及可擴(kuò)展性。