本發(fā)明提供一種控制策略生成方法以及裝置，應(yīng)用于包括轉(zhuǎn)發(fā)芯片以及中央處理器CPU的網(wǎng)絡(luò)設(shè)備，該方法包括：檢查所述CPU已開啟的協(xié)議模塊；根據(jù)已開啟協(xié)議模塊的協(xié)議特征生成至少一條上送控制策略，所述上送控制策略用于由所述轉(zhuǎn)發(fā)芯片將命中所述上送控制策略且目的IP地址為本機(jī)的報(bào)文上送至CPU；根據(jù)本機(jī)的IP地址生成至少一條丟棄控制策略，所述丟棄控制策略用于將命中所述丟棄控制策略的報(bào)文丟棄；將所述上送控制策略以及丟棄控制策略下發(fā)至所述轉(zhuǎn)發(fā)芯片。本發(fā)明可有效控制上送CPU的報(bào)文數(shù)量，避免遭遇報(bào)文攻擊時(shí)丟棄需上送CPU處理的協(xié)議報(bào)文或管理報(bào)文，致使的協(xié)議中斷和設(shè)備無法管理的現(xiàn)象。

技術(shù)領(lǐng)域

本發(fā)明涉及通訊技術(shù)領(lǐng)域，尤其涉及一種控制策略生成方法以及裝置。

背景技術(shù)

隨著網(wǎng)絡(luò)通信技術(shù)的進(jìn)步，各種網(wǎng)絡(luò)攻擊引發(fā)的網(wǎng)絡(luò)安全問題日益受到人們的關(guān)注。目前網(wǎng)絡(luò)設(shè)備在遭受大量需上送CPU報(bào)文(包括組播和上送本機(jī)的單播報(bào)文)的攻擊時(shí)，由于CPU的處理能力有限，不管是多么巧妙的架構(gòu)設(shè)計(jì)，也不管是多么高性能的算法，面對大量的攻擊報(bào)文依然會有力不從心的時(shí)候。這時(shí)報(bào)文接收隊(duì)列就會因?yàn)镃PU不能及時(shí)處理而阻塞，導(dǎo)致后續(xù)上送CPU的報(bào)文被丟棄。如果丟棄的報(bào)文為協(xié)議報(bào)文或是管理報(bào)文，就可能造成協(xié)議中斷和設(shè)備無法管理的現(xiàn)象。因此減少不必要的報(bào)文上送CPU，為CPU減壓才是最主要的。在現(xiàn)有技術(shù)中，多通過對各個(gè)協(xié)議或端口進(jìn)行限速來減少上送CPU的報(bào)文，然而，限速只是根據(jù)協(xié)議和端口減少了上送CPU的報(bào)文數(shù)量，在報(bào)文種類較多時(shí)，仍無法達(dá)到有較好的效果。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提供了一種控制策略生成方法以及裝置來解決上述問題。

本發(fā)明提供一種控制策略生成方法，應(yīng)用于網(wǎng)絡(luò)設(shè)備，所述網(wǎng)絡(luò)設(shè)備包括轉(zhuǎn)發(fā)芯片以及中央處理器CPU，其中包括：

檢查所述CPU已開啟的協(xié)議模塊；

根據(jù)已開啟協(xié)議模塊的協(xié)議特征生成至少一條上送控制策略，所述上送控制策略用于由所述轉(zhuǎn)發(fā)芯片將命中所述上送控制策略且目的IP地址為本機(jī)的報(bào)文上送至CPU；

根據(jù)本機(jī)的IP地址生成至少一條丟棄控制策略，所述丟棄控制策略用于將命中所述丟棄控制策略的報(bào)文丟棄；

將所述上送控制策略以及丟棄控制策略下發(fā)至所述轉(zhuǎn)發(fā)芯片。

本發(fā)明還提供一種控制策略生成裝置，應(yīng)用于網(wǎng)絡(luò)設(shè)備，所述網(wǎng)絡(luò)設(shè)備包括轉(zhuǎn)發(fā)芯片以及中央處理器CPU，其中包括：

協(xié)議狀態(tài)檢查單元，用于檢查所述CPU已開啟的協(xié)議模塊；

上送策略生成單元，用于根據(jù)已開啟協(xié)議模塊的協(xié)議特征生成至少一條上送控制策略，所述上送控制策略用于由所述轉(zhuǎn)發(fā)芯片將命中所述上送控制策略的目的IP地址為本機(jī)的報(bào)文上送至CPU；

丟棄策略生成單元，用于根據(jù)本機(jī)的IP地址生成至少一條丟棄控制策略，所述丟棄控制策略用于將命中所述丟棄控制策略的報(bào)文丟棄；

控制策略下發(fā)單元，用于將所述上送控制策略以及丟棄控制策略下發(fā)至所述轉(zhuǎn)發(fā)芯片。

本發(fā)明提供的控制策略生成方法以及裝置分別根據(jù)已開啟協(xié)議模塊的協(xié)議特征以及網(wǎng)絡(luò)設(shè)備本機(jī)的IP地址生成至少一條上送控制策略以及至少一條丟棄控制策略，下發(fā)至轉(zhuǎn)發(fā)芯片，以控制轉(zhuǎn)發(fā)芯片將接收的報(bào)文上送CPU或是丟棄。可有效控制上送CPU的報(bào)文數(shù)量，避免遭遇報(bào)文攻擊時(shí)丟棄需上送CPU處理的協(xié)議報(bào)文或管理報(bào)文，致使的協(xié)議中斷和設(shè)備無法管理的現(xiàn)象。

附圖說明

圖1是本發(fā)明實(shí)施例中網(wǎng)絡(luò)設(shè)備的基本硬件結(jié)構(gòu)示意圖；

圖2是本發(fā)明實(shí)施例中控制策略生成裝置邏輯結(jié)構(gòu)示意圖；

圖3是本發(fā)明實(shí)施例中控制策略生成方法流程框圖。

具體實(shí)施方式