本發明提供了一種地址解析協議報文的處理方法及裝置，其中，該方法包括：接收從物理鏈路接口進入的地址解析協議ARP報文，并獲取所述ARP報文的信任等級信息；根據所述ARP報文的信任等級信息將所述ARP報文上送到處理器。通過本發明，解決了相關技術中在出現ARP報文攻擊時影響上送正常報文的技術問題。

技術領域

本發明涉及通信領域，具體而言，涉及一種地址解析協議報文的處理方法及裝置。

背景技術

對網絡通信設備而言，控制處理器對轉發處理器上送的協議報文處理具有一定的帶寬限制，一旦出現了某類協議報文攻擊或風暴，會耗盡控制平面處理器帶寬資源，影響其他協議報文的正常交互。ARP(Address Resolution Protocol)報文，是根據IP地址獲取物理地址的地址解析協議，對PTN設備IP數據包轉發到下一跳設備前進行正確的鏈路層封裝過程起到決定性的作用。一旦ARP報文無法正常上送到CPU進行處理，業務就很大可能會產生中斷，這對PTN(Packet Transport Network，分組傳送網)這類通信設備來說是致命的。因此保證正常的ARP報文順利上送到控制處理器進行協議交互的技術，對PTN設備非常重要。

影響正常ARP報文順利上送到PTN設備的控制處理器主要有兩類原因，一是其他類型協議報文將CPU帶寬耗盡，二是出現風暴的ARP報文將CPU帶寬耗盡導致。

在相關解決上述協議報文風暴導致ARP報文無法正常上送CPU的技術中，有通過靜態配置合法ARP緩存表對ARP報文進行一一檢驗后合法的才上送CPU、有直接將協議報文上送控制處理器之前進行整體限速，有根據ARP報文中用戶地址分配不同限速隊列資源來進行報文限速等方法來實現ARP攻擊的防御。前兩種方法分別存在限制動態ARP學習、攻擊ARP報文影響正常ARP報文上送的缺點；根據ARP報文中用戶地址分別配置限速隊列資源方法，雖然能夠有效地識別出攻擊流量的用戶地址，但耗費大量的限速隊列資源，如從一個24位掩碼的ip地址接口進來最大需要254個限速隊列資源，對于一塊具有32個接口單板的PTN設備就需要8000多個限速隊列資源，這個對于限速資源整體不到8K的PTN設備是不可取的。

針對相關技術中存在的上述問題，目前尚未發現有效的解決方案。

發明內容

本發明實施例提供了一種地址解析協議報文的處理方法及裝置，以至少解決相關技術中在出現ARP報文攻擊時影響上送正常報文的技術問題。

根據本發明的一個實施例，提供了一種地址解析協議報文的處理方法，包括：接收從物理鏈路接口進入的地址解析協議ARP報文，并獲取所述ARP報文的信任等級信息；根據所述ARP報文的信任等級信息將所述ARP報文上送到處理器。

可選地，所述信任等級信息包括：攻擊源名單，白名單，灰名單，其中，所述攻擊源名單包括低信任等級的ARP報文，所述白名單內包括高信任等級的ARP報文，所述灰名單包括信任等級未知的ARP報文。

可選地，獲取所述ARP報文的信任等級信息包括：提取所述ARP報文的源IP地址和入向接口；使用所述源IP地址和所述入向接口在所述信任等級信息查找匹配項，將命中的匹配項作為所述ARP報文的信任等級。

可選地，根據所述ARP報文的信任等級信息將所述ARP報文上送到處理器包括：按照與確定的所述信任等級對應的傳輸速率將所述ARP報文上送到處理器。

可選地，按照與確定的所述信任等級對應的傳輸速率將所述ARP報文上送到處理器包括：按照與確定的所述信任等級對應的傳輸速率將所述ARP報文從第一區段上送進入第二區段；在上送所述處理器的所有報文隊列中為所述ARP報文單獨劃分專用隊列；為所述專用隊列分配預定的CPU帶寬后在所述第二區段將所述ARP報文上送到所述處理器。