本發明提供一種基于DPAA的網絡風暴防御方法，包括以下步驟：步驟S1：確定協議類型，基于協議類型編寫硬件編碼解析器FMAN，FMAN中的協議包括專有協議、已知協議和其他協議；步驟S2：基于FMAN的以太網接口制定linux_fman_policy策略，linux_fman_policy策略通過FMAN中的協議解析對網絡幀進行分類；步驟S3：將分類后的網絡幀發送給Linux協議棧，在發送過程中，采用兩速三色標記算法對進入Linux協議棧的網絡幀進行上色標記，丟棄紅色標記的數據幀。基于DPAA平臺實現了網絡數據包的協議解析分類和流量監控限速的方法，在數據鏈路層丟棄無用數據包的方法來實現網絡風暴的防御。

技術領域

本發明涉及一種網絡風暴防御方法，尤其涉及一種基于DPAA的網絡風暴防御方法。

背景技術

網絡風暴就是大量數據報文在鏈路形成，導致網絡雍塞甚至癱瘓。產生的原因有很多，最簡單就是由于網絡拓撲的設計和連接問題。整個傳輸流程中，只有廣播報文在網段內產生大量復制，交叉傳遞。一個數據幀或包被傳輸到本地網段(由廣播域定義)上的每個節點就是廣播；由于網絡拓撲的設計和連接問題，或其他原因導致廣播在網段內大量復制，傳播數據幀，導致網絡性能下降，甚至網絡癱瘓，這就是廣播風暴。廣播風暴指數據幀形成環路，而幀頭中無ttl的結構，所以幀始終有效，由于廣播沒有特定目標00地址，所以hub/swtich會永遠轉發下去。

針對網絡中的用戶設備（不包括交換機、路由器等網絡設備）在網絡風暴發生時會產生一連串的連鎖反應。首先設備的網絡處于癱瘓狀態，但更嚴重的是由于網絡風暴中大量的網絡幀一起涌向用戶設備的網卡，與此同時網卡會產生大量中斷。大量中斷導致CPU頻繁響應并處理無用的網絡包，從而導致CPU過負荷。從現場經驗來看，發生網絡風暴以后通過top指令查看CPU占有率均在95%以上。這樣CPU上原有的正常業務便不能響應甚至崩潰。一旦出現這種情況，即使網絡風暴消失以后，用戶設備也無法回到正常狀態，從而造成嚴重故障。

廣播風暴的產生有多種原因，如蠕蟲病毒、交換機端口故障、網卡故障、鏈路冗余沒有啟用生成樹協議、網線線序錯誤或受到干擾等。從目前來看，蠕蟲病毒和arp攻擊是造成網絡廣播風暴最主要的原因。目前大多數廠商都支持風暴抑制的相關配置，可以在一定程度上減少網絡風暴的產生。例如劃分vlan、通過端口控制網絡廣播風暴等。但是隨著網絡拓撲越來越復雜，硬件故障甚至是人為原因，不可避免的還是會有網絡風暴的產生。