一種分布式架構數據通信設備的消息保護系統及方法

2023-11-02 02:40:27 2

專利名稱：一種分布式架構數據通信設備的消息保護系統及方法
技術領域：
本發明涉及分布式架構的數據通信設備，具體地說，是涉及一種分布式 架構數據通信設備的消息保護系統及方法。
背景技術：
隨著網際網路的發展和壯大，各種各樣的網際網路設備相繼出現。在網絡的 匯聚層和核心層，為了緩解巨大業務量對設備性能的要求，分布式架構設備 的應用已經得到了普及。
如圖1所示，分布式架構主要由系統主控單元110、若千業務處理單元 120、系統主控單元110和業務處理單元120之間及各業務處理單元120之間 的數據通道130組成，各業務處理單元120都能獨立完成某種業務的處理， 而系統資源的統一調度管理由系統主控單元110完成，其中
系統主控單元110，負責管理和維護整個設備，並對系統資源進行統一 調度，對筒單網絡管理協議(simple network management protocol，縮寫為 SNMP)等協議的各種消息的最後處理及響應均是在這裡完成的；
業務處理單元120,負責接收數據並根據數據內容進行諸如轉發、上送 給業務處理單元中央處理器(CPU)或者丟棄等處理；
數據通道130:主要負責系統主控單元110和業務處理單元120以及各 業務處理單元120之間的消息、數據交換等，根據分布式系統設備不同而各 有區別，比如可以根據實際情況分為多個處理單元，如業務處理單元120之 間的數據交換可以由專門的交換單元來處理等等。
為了更好地管理網絡中的各種設備，開發了各種各樣的網絡協議，如使 用網絡時間協議(network time protocol,縮寫為NTP)同步網絡裡各設備的 時間、使用SNMP實現網絡設備的遠程集中管理等等。
然而隨著網絡設備和網絡協議的不斷湧現，利用網絡協議針對網絡設備
的攻擊也不斷出現，如最常見的"拒絕月良務"(Denial of Service,縮寫為DOS) 攻擊(一種通過發送大量模擬協議報文來佔用被攻擊設備的CPU資源，使其 它正常業務受到影響甚至中斷的方法)等等。針對這些攻擊，網絡釆取了一 些保護措施，如包限速功能，在業務處理單元上限制各種協議包上送CPU處 理的速度，從而達到保護CPU的目的。
針對集中式的設備，現階段釆用的技術能比較有效地實現對CPU的保 護。但是在分布式環境中，各業務處理單元儘管得到了保護，但是從業務處 理單元CPU到系統主控單元CPU卻沒有任何保護措施，而是直接上送。存 在某些協議(如SNMP、 NTP等)，在業務處理單元處理後需要上送給系統 主控單元進行進一步處理，在這個過程中，存在以下問題
因為各業務處理單元CPU只要判斷是否為SNMP或者NTP等協議報文， 是則上送給系統主控單元CPU進一步處理，這樣各業務處理單元CPU利用 率可能還很低，但是系統主控單元的CPU可能已經不堪重負。以SNMP協議 為例現在SNMP管理器(manager) —端常用的一種由很多個讀取下一個請 求(GetNextRequest)消息組合而成的讀取批量請求(GetBulkRequest)消息， 當GetBulkRequest中請求的管理對象在代理(agent)的管理信息庫(MIB) 中不存在，系統主控單元仍然需要完整地檢索整個MIB庫後，才能確定需要 查找的MIB文件不存在。由於一個數據包內攜帶多個請求消息，這將導致主 控CPU利用率居高不下，甚至停止響應其它正常請求如telnet和console 口等。

發明內容
本發明所要解決的技術問題是在於需要提供一種分布式架構數據通信設 備的消息保護系統及相應的保護方法，以有效保護分布式架構數據通信設備 的CPU。
為了解決上述技術問題，本發明首先提供了一種分布式架構數據通信設 備的消息保護系統，包括轉發模塊、協議分析模塊、內部服務質量模塊、管 理才莫塊及協議處理模塊，其中
所述轉發才莫塊，位於所述分布式架構數據通信設備的業務處理單元上， 用於接收並上送需要CPU處理的待處理才艮文；
所述協議分析才莫塊，與所述轉發才莫塊相連，用於對所述待處理才艮文進行 協議分析，獲得所述待處理報文的協議類型；
所述管理才莫塊，用於獲取所迷系統主控單元CPU和緩存的利用率；
所述內部服務質量模塊，與所述協議分析模塊及管理模塊相連，用於向 所述協議處理模塊轉發所述待處理報文，並根據所述系統主控單元CPU和緩 存的利用率，對所述待處理報文中需要系統主控單元CPU處理的報文進行服 務質量限速處理；及
所述協議處理模塊，與所述內部服務質量模塊相連，用於根據所述待處 理報文的協議類型，對所述待處理報文進行處理。
如上所述的系統中，所述轉發才莫塊，可以進一步與所述協議處理才莫塊相 連，用於反饋所述協議處理模塊處理所述待處理報文後的響應。
如上所述的系統中，所述內部服務質量模塊，可以根據所述系統主控單 元CPU和緩存的利用率，利用服務質量的約定訪問速率原理，對所述需要系 統主控單元CPU處理的報文進行服務質量限速處理。
進一步地，所述內部服務質量模塊，可以根據所述系統主控單元CPU的 性能及所述數據通信設備可能面對的突發業務流對所述系統主控單元CPU佔 用綜合權衡後，設置承諾訪問速率和順從突發量的值，根據所述承諾訪問速 率和順從突發量的值，對所述需要系統主控單元CPU進行處理的報文進行服 務質量限速處理。
為了解決上述技術問題，本發明還提供了 一種分布式架構數據通信設備 的消息保護方法，包括步驟
分布式架構數據通信設備的業務處理單元收到報文之後，分析出需要 CPU處理的待處理才艮文；
對所述待處理報文進行協議分析，獲得所述待處理報文的協議類型；
獲得所述分布式架構數據通信設備的系統主控單元CPU和緩存的利用
率；
根據所述系統主控單元CPU和緩存的利用率，對所述待處理報文中需要 系統主控單元CPU處理的才艮文進行服務質量限速處理；及
根據所述待處理報文的協議類型，對所述待處理報文進行處理。
如上所述的方法中，所述待處理報文，可以包括廣播包、協議包、目的 地址為設備本身、或者已經標識需要上送的報文。
進一步地，所述待處理淨艮文可以包括簡單網絡管理協議報文或者網絡時 間協議淨艮文。
如上所述的方法中，可以根據所述系統主控單元CPU和緩存的利用率， 利用服務質量的約定訪問速率原理，對所述需要系統主控單元CPU處理的報 文進行服務質量限速處理。
進一步地，可以根據所述系統主控單元CPU的性能及所述數據通信設備 可能面對的突發業務流對所述泉統主控單元CPU佔用綜合權衡後，設置承諾 訪問速率和順從突發量的值，根據所述承諾訪問速率和順從突發量的值，對 所述需要系統主控單元CPU處理的報文進行服務質量限速處理。
如上所述的方法中，對所述待處理報文進行處理時，可以進一步對所述 待處理才艮文進行正確性檢查及版本匹配。
與現有技術相比，本發明提供了一種在分布式架構的設備中基於服務質 量(QOS)的消息保護機制，結合各業務處理單元上針對各種協議才艮文的限 速，從而控制各業務處理單元消息上送主控CPU的速率。對業務處理單元 CPU和主控CPU進行保護後，避免了因為消息的處理造成CPU的繁忙對其 它正常業務的影響。


圖1為分布式架構的框架示意圖。
圖2為本發明系統實施例的組成示意圖。
圖3為本發明方法實施例的流程示意圖。
具體實施例方式
以下將結合附圖及實施例來詳細說明本發明的實施方式，藉此對本發明 如何應用技術手段來解決技術問題，並達成技術效果的實現過程能充分理解 並據以實施。
圖2示出了本發明基於內部服務質量(QOS)流控的消息保護系統一實 施例的組成意圖，該系統實施例包括轉發模塊210、協議分析模塊220、管 理模塊230、內部QOS模塊240及協議處理^t塊250,其中
轉發才莫塊210，位於各業務處理單元上，用於接收並處理本業務處理單 元接收的報文。如果為能夠正常轉發的正確的報文，則查找轉發表、路由表 後根據查詢結果轉發，丟棄錯誤的報文；如果報文為廣播包、協議包，或者 報文的目的地址為設備本身，或者其它業務已經標識需要上送CPU處理的待 處理報文，則先上送給業務處理單元CPU進行處理；如果業務處理單元CPU 不能處理則進一步上送給系統主控單元CPU進行處理(如SNMP);
協議分析模塊220，與轉發才莫塊210相連，用於對轉發模塊210上送的 待處理報文進行分析及預處理，分析該待處理報文的協議類型；如用戶數據 報協議(UDP)埠號為161或162的報文，發送給協議處理模塊250進行 SNMP協議的處理；協議分析模塊220主要工作在各個業務處理單元上；
管理模塊230，與內部QOS模塊240相連，主要用於對系統主控單元CPU 和緩存進行監控管理，以便系統實時掌握系統主控單元CPU和緩存的利用率， 根據系統終端單元CPU和緩存的利用率，輔助內部QOS模塊240完成對報 文的QOS限速處理；
內部QOS模塊240，工作在各個業務處理單元CPU到系統主控單元CPU 之間，與協議分析模塊220及管理模塊230相連，主要用於根據管理模塊230 獲取的系統主控單元CPU和緩存的利用率，對需要上送給系統主控單元CPU 的報文進行QOS限速處理；在分布式架構中，協議分析才莫塊220完成對報文 的分析後，如果是業務處理單元不能處理的協議報文，則需要進一步上送系 統主控單元CPU處理，通過該QOS模塊230的限速作用，限制了從業務處 理單元CPU上送到系統主控單元CPU報文的速率；協議處理模塊250，與內部QOS模塊240相連，首先對報文進行正確性 檢查及版本匹配，對於正確的待處理報文則進行相應處理，如果需要進行響 應，則產生相應響應發送給發送請求的設備，比如對於SNMP報文，完成 SNMP agent的任務，在正確性檢查及版本匹配通過之後，根據SNMP manager 發送的SNMP請求(request)消息進行處理，並根據處理結果反饋SNMP響 應(response)，通過轉發模塊210反饋給發送SNMP request消息的SNMP manager,或者主動向SNMP manager發送SNMP陷阱(trap )消息。
上述內容雖然以SNMP協議報文為例對本發明的技術方案進行說明，但 是本發明並不局限於SNMP協議的待處理報文，其應包括所有需要進行類似 處理的協議報文如NTP協議報文等等。
結合圖1和圖2,圖3示出了本發明方法一實施例的流程圖，該實施例 包括如下步驟
步驟310，業務處理單元120上的轉發模塊210從埠接收到報文之後， 對報文進行分析，如果為需要正常轉發的報文則查找轉發表、路由表，並根 據查找的轉髮結果和路由結果進行轉發或丟棄，如果為需要進一步處理的報 文，如廣播包、協議包，或者報文的目的地址為設備本身，或者其它業務已 經標識需要上送CPU處理的待處理報文，則經由協議分析模塊220上送給業 務處理單元CPU進4於處理；
步驟320,協議分析模塊220接收轉發模塊210轉發的待處理報文後， 分析出待處理報文的協議類型，並根據預先定義好的處理方式對數據進行處 理(如乙太網中可以4艮據目的MAC、 IP位址、源、目的埠號將不同的l艮文 發給不同的處理單元)；比如協議分析模塊220分析出轉發模塊210轉發的 為UDP報文，且埠號為161和162時，則轉發才莫塊210轉發的為SNMP協 議報文，需要經內部QOS模塊240上送給協議處理模塊250進行相應的處理； 對於業務處理單元CPU不能處理的報文，需要系統主控單元CPU進行處理， 此部分報文經由協議分析模塊220轉發給內部QOS模塊240;
步驟330,內部QOS模塊240利用QOS的約定訪問速率(Committed Access Rate,縮寫為CAR)原理對上送系統主控單元CPU的報文進行限速處理，可選用的一種限速方式比如根據CPU的性能及設備可能面對的突發業務 流對CPU佔用綜合權衡後設置承諾訪問速率(Committed Information Rate, 縮寫為CIR)和順從突發量(或稱令牌桶大小)(Conformed burst size,縮寫 為CBS)的值，以SNMP協議報文為例，其操作方式為
步驟3a，設定一個CIR及CBS桶，並按CIR向CBS桶中放入令牌；同 時如果有SNMP協議報文經過，則CBS桶中令牌相應減少；具體每個報文對 應多少令牌可以根據實際情況進行設置；
步驟3b，當CBS桶中還有令牌時，內部QOS模塊240將SNMP協議報 文直接上送給系統主控單元CPU;
步驟3c，當CBS桶中沒有令牌時，內部QOS模塊240調用管理模塊230 檢查當前系統主控單元CPU的利用率，當系統主控單元CPU的利用率較小 (小於某個預設的閥值M)時，內部QOS模塊240可以通過向CBS桶中一 次性注入一定數量(T)的令牌，以保證SNMP協議包的正常上送，如果當 前系統主控單元CPU的利用率較高(大於等於閾值M),則調用管理才莫塊 230查看當前系統主控單元的緩存，如果還有足夠的緩存，則內部QOS模塊 240將SNMP協議包緩存起來，等待CBS桶中有令牌時再上送給系統主控單 元CPU處理，如果系統主控單元緩存不足，則內部QOS模塊240丟棄協議 報文；
步驟340，協議處理模塊250接收到內部QOS模塊240轉發的待處理報 文後，對該報文進行合法性檢查，如果檢查失敗則直接丟棄報文，如果合法 性檢查通過，則根據待處理報文的協議類型對待處理報文進行處理，如果需 要則根據處理結果產生一個相應的響應(response),通過調用轉發i^莫塊210 發送給相應請求(request)的伺服器。
本發明針對分布式架構系統，在各個業務處理單元和主控之間設置QOS 限速，緩解了多個業務處理單元同時上送給主控出現主控CPU繁忙從而影響 一些其它重要業務。本發明以SNMP為例，但並不局限於SNMP協議消息， 所有分布式系統中需要從業務處理單元上送主控的其它協議消息的限速處 理，都在前述本發明的思想範圍內。
雖然本發明所揭露的實施方式如上，但所述的內容只是為了便於理解
發明而採用的實施方式，並非用以限定本發明。任何本發明所屬技術領域內 的技術人員，在不脫離本發明所揭露的精神和範圍的前提下，可以在實施的 形式上及細節上作任何的修改與變化，^旦本發明的專利保護範圍，仍須以所 附的權利要求書所界定的範圍為準。
權利要求
1、一種分布式架構數據通信設備的消息保護系統，其特徵在於，包括轉發模塊、協議分析模塊、內部服務質量模塊、管理模塊及協議處理模塊，其中所述轉發模塊，位於所述分布式架構數據通信設備的業務處理單元上，用於接收並上送需要CPU處理的待處理報文；所述協議分析模塊，與所述轉發模塊相連，用於對所述待處理報文進行協議分析，獲得所述待處理報文的協議類型；所述管理模塊，用於獲取所述系統主控單元CPU和緩存的利用率；所述內部服務質量模塊，與所述協議分析模塊及管理模塊相連，用於向所述協議處理模塊轉發所述待處理報文，並根據所述系統主控單元CPU和緩存的利用率，對所述待處理報文中需要系統主控單元CPU處理的報文進行服務質量限速處理；及所述協議處理模塊，與所述內部服務質量模塊相連，用於根據所述待處理報文的協議類型，對所述待處理報文進行處理。
2、 如權利要求l所述的系統，其特徵在於所述轉發^f莫塊，進一步與所述協議處理^^莫塊相連，用於反饋所述協議處 理模塊處理所述待處理淨艮文後的響應。
3、 如權利要求l所述的系統，其特徵在於所述內部服務質量模塊，根據所述系統主控單元CPU和緩存的利用率， 利用服務質量的約定訪問速率原理，對所述需要系統主控單元CPU處理的報 文進行服務質量限速處理。
4、 如權利要求2所述的系統，其特徵在於所述內部服務質量模塊，根據所述系統主控單元CPU的性能及所述數據 通信設備可能面對的突發業務流對所述系統主控單元CPU佔用綜合權衡後， 設置承諾訪問速率和順從突發量的值，根據所述承諾訪問速率和順從突發量 的值，對所述需要系統主控單元CPU進行處理的報文進行服務質量限速處理。
5、 一種分布式架構數據通信設備的消息保護方法，其特徵在於，包括步驟分布式架構數據通信設備的業務處理單元收到報文之後，分析出需要 CPU處理的待處理報文；對所述待處理報文進行協議分析，獲得所述待處理報文的協議類型；獲得所述分布式架構數據通信設備的系統主控單元CPU和緩存的利用率；根據所述系統主控單元CPU和緩存的利用率，對所述待處理報文中需要 系統主控單元CPU處理的報文進行服務質量限速處理；及根據所述待處理報文的協議類型，對所述待處理報文進行處理。
6、 如權利要求5所述的方法，其特徵在於所述待處理報文，包括廣播包、協議包、目的地址為設備本身、或者已 經標識需要上送的報文。
7、 如權利要求6所述的方法，其特徵在於所述待處理報文包括簡單網絡管理協議才艮文或者網絡時間協"^i艮文。
8、 如權利要求5所述的方法，其特徵在於根據所述系統主控單元CPU和緩存的利用率，利用服務質量的約定訪問 速率原理,對所述需要系統主控單元CPU處理的報文進行服務質量限速處理。
9、 如權利要求8所述的方法，其特徵在於根據所述系統主控單元CPU的性能及所述數據通信設備可能面對的突 發業務流對所述系統主控單元CPU佔用綜合權衡後，設置承諾訪問速率和順 從突發量的值，根椐所述承諾訪問速率和順從突發量的值，對所述需要系統 主控單元CPU處理的報文進行服務質量限速處理。
10、 如權利要求5所述的方法，其特徵在於，對所述待處理報文進行處 理時，進一步對所述待處理才艮文進行正確性檢查及版本匹配。
全文摘要
本發明公開了一種分布式架構數據通信設備的消息保護系統及方法，以有效保護分布式架構數據通信設備的CPU。該方法中，業務處理單元收到報文之後分析出需要CPU處理的待處理報文；對所述待處理報文進行協議分析，獲得所述待處理報文的協議類型；獲得系統主控單元CPU和緩存的利用率；根據所述系統主控單元CPU和緩存的利用率，對所述待處理報文中需要系統主控單元CPU處理的報文進行服務質量限速處理；根據所述待處理報文的協議類型，對所述待處理報文進行處理。本發明控制各業務處理單元消息上送主控CPU的速率，避免了因為消息的處理造成CPU的繁忙對其它正常業務的影響。
文檔編號H04L12/56GK101355585SQ20081021058
公開日2009年1月28日 申請日期2008年9月2日 優先權日2008年9月2日
發明者劉宗穎 申請人:中興通訊股份有限公司