本發明公開了一種基于網絡處理器實現流量預處理的裝置和方法，一級網絡設備配置規則時，CPU按預定的算法建立Hash表，流量進入設備后，網絡處理器首先按相同的算法計算每條流的Hash值并進行查表過濾，減少后續網絡處理器要進行業務匹配的流量，達到提高設備性能的目的。本發明通過引入Hash表機制，在一級網絡設備對流量進行業務規則匹配前，先進行Hash值比對過濾掉一部分流量，來提高網絡設備的處理性能。

技術領域

本發明涉及INTERNET安全技術領域，尤其是一種基于網絡處理器實現流量預處理的裝置和方法。

背景技術

近年來，隨著網絡技術的快速發展和網絡帶寬的高速擴容，新業務層出不窮，網絡鏈路中海量數據的實時安全處理已經成為各國在互聯網領域競爭和戰略對抗的主要焦點。通過一級網絡設備對網絡數據進行采集分析，對當前主流網絡處理器在性能上是非常大的挑戰。如何提高網絡處理器對高速、復雜數據的處理性能顯得尤為重要。

發明內容

本發明所要解決的技術問題在于，提供一種基于網絡處理器實現流量預處理的裝置和方法，通過引入Hash表機制，在一級網絡設備對流量進行業務規則匹配前，先進行Hash值比對過濾掉一部分流量，來提高網絡設備的處理性能。

為解決上述技術問題，本發明提供一種基于網絡處理器實現流量預處理的裝置，包括：Hash建表模塊，通過提取規則元組完成Hash表的建立，業務下發規則時，分別提取規則的源IP和目的IP，CPU根據相應方法得到Hash值，存儲為表項；

網絡處理器查表模塊，流量進入設備后，網絡處理器首先對流的源IP和目的IP按相同的算法進行計算，得到一個Hash值ht1，并進行查表，若不在表項中則對流的目的IP按相同的算法進行計算，得到一個Hash值ht2，繼續查表，若仍不在表項中則丟棄報文；

網絡處理器匹配規則模塊，若根據流量的源IP和目的IP計算得到的Hash值可以在表項中查到，則網絡處理器會按照規則優先級進行后續的規則匹配。

優選的，IPv4 Hash值計算方法：SIP和DIP異或得到32bits的值IP1，IP1與0異或得到32bits的值ht1；然后ht1的高16bits與低16bits異或得到16bits的值ht2；ht2的15～12bits與11～8bits異或得到4bits，替換11～8bits，得到11～0bits的值ht3；ht3右移2bit得到10bits的hash值。

優選的，IPv6 Hash值計算方法：SIP和DIP異或得到128bits的值IP1，IP1的第1個4字節與第2個4字節異或得到32bits的值ht1；IP的第3個4字節與第4個4字節異或得到32bits的值ht2；然后ht1與ht2異或得到32bits的值ht3；ht3的高16bits與低16bits異或得到16bits的值ht4；ht4的15～12bits與11～8bits異或得到4bits，替換11～8bits，得到11～0bits的值ht5；ht5右移2bit得到10bits的hash值。

相應的，一種基于網絡處理器實現流量預處理的方法，包括如下步驟：

(1)用戶登陸設備，在設備上配置五元組規則；

(2)設備規則下發成功后，CPU分別對每條規則的源IP和目的IP進行計算，得到1Hash值，寫入表項，建立Hash表；

(3)流量從接口進入一級網絡設備，設備對流量進行解析處理；

(4)流量進入設備后，網絡處理器對流量的源IP和目的IP進行Hash值計算，得到Hash值ht1，并進行查表，若不在Hash表中則丟棄報文，否則繼續步驟(5)；

(5)網絡處理器對流量按照規則優先級進行規則匹配。