国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      硬件建立tcp數(shù)據(jù)流連接的方法

      文檔序號:7953487閱讀:605來源:國知局
      專利名稱:硬件建立tcp數(shù)據(jù)流連接的方法
      技術領域
      本發(fā)明涉及通信技術,特別涉及網(wǎng)絡數(shù)據(jù)流的連接方法。
      背景技術
      由于目前很大部分網(wǎng)絡應用都是基于TCP協(xié)議,所以在系統(tǒng)中建立和維護針對TCP流的連接,才能很好的對基于流的應用進行檢查、跟蹤、統(tǒng)計和管理,這也成了各個網(wǎng)絡應用系統(tǒng),尤其是防火墻等經(jīng)常要實現(xiàn)的功能。根據(jù)TCP協(xié)議的規(guī)定,TCP是面向連接的,所以網(wǎng)絡協(xié)議規(guī)定了相對復雜的建立和拆除連接的方案。這樣,在保證了連接建立的可靠性的同時,也加大了建立和維護連接的難度。
      以往實現(xiàn)建立TCP連接的技術通常是基于軟件方式,即網(wǎng)絡數(shù)據(jù)包全部交由CPU,依靠軟件或協(xié)議棧的方式從包內檢出五元組(SIP,SPORT,DIP,DPORT,PROTOCOL)和標志位等;如果發(fā)現(xiàn)是TCP的連接,就在系統(tǒng)內存中分配一塊空間存儲這條連接的信息和狀態(tài),再交由上層軟件作后續(xù)處理;當該TCP連接經(jīng)過三次握手確認后,該連接就在系統(tǒng)中成功建立。該方案的缺點是,數(shù)據(jù)包從通訊端口到CPU必須經(jīng)過PCI總線、系統(tǒng)RAM通道、南橋通道等轉換過程,才能交給軟件處理,軟件執(zhí)行每次連接查詢、資源分配、狀態(tài)改變等步驟還需要進行大量計算和頻繁的RAM讀寫,尤其是對每個包都要進行一次,這會耗費大量的CPU時間和系統(tǒng)資源,使整個系統(tǒng)在完成連接建立時效率驟降。當網(wǎng)絡設備面臨大量的數(shù)據(jù)流時,受CPU處理能力和資源限制,連接的建立將變得非常困難和緩慢,并且連接建立的數(shù)量也極其有限的。
      在網(wǎng)絡數(shù)據(jù)通信設備中,ACL(訪問控制規(guī)則)一直扮演著極其重要的角色,它所帶來的網(wǎng)絡安全控制管理,讓網(wǎng)絡設備在高速數(shù)據(jù)通信的同時能對數(shù)據(jù)傳輸和交換路由進行及時有效的監(jiān)控。網(wǎng)絡設備在實現(xiàn)基于數(shù)據(jù)流的安全控制管理時,也需要在設備中維護和管理大量的數(shù)據(jù)連接信息,這對數(shù)據(jù)包的連接建立就有著很高的要求。

      發(fā)明內容
      本發(fā)明所要解決的技術問題,就是針對現(xiàn)有技術的連接方法,耗用系統(tǒng)資源大,連接建立效率低的缺點,提供一種硬件建立TCP數(shù)據(jù)流連接的方法。
      本發(fā)明解決上述技術問題,采用的技術方案是,硬件建立TCP數(shù)據(jù)流連接的方法,包括以下步驟a.從網(wǎng)絡接口上收取數(shù)據(jù)包進行解析,得到五元組信息和狀態(tài)信息;b.根據(jù)五元組確定的表項地址查找連接表;c.如果匹配上表項,則進行連接狀態(tài)檢查,更新連接表,輸出與該連接相關的操作行為;d.如果未匹配上表項,則進行ACL檢查;e.根據(jù)ACL檢查結果、五元組及狀態(tài)信息決定是否需要建立連接;f.如果需要建立連接,則在五元組所確定的內存地址上新建一個臨時表項,并在該連接的對應地址上建立一個反向的臨時表項;g.如果該條連接的后續(xù)數(shù)據(jù)包符合TCP協(xié)議,則通過重復步驟a~c,更新連接狀態(tài),直至TCP的三次握手過程結束后,該連接就成功的建立到系統(tǒng)中。
      本發(fā)明的有益效果是,硬件在建立連接時,各個功能模塊相對獨立地并行處理,開啟建立TCP連接功能不會減低其它模塊的效率,節(jié)省系統(tǒng)資源。同時,硬件對RAM的讀寫效率非常高,讀寫的數(shù)據(jù)格式也能夠精簡,能進一步提高連接建立的效率。保證了系統(tǒng)在開啟建立TCP連接功能時整體數(shù)據(jù)流的處理過程仍然能高速執(zhí)行。


      圖1是硬件模塊的結構示意圖;圖2是本發(fā)明的流程圖。
      具體實施例方式
      下面結合附圖,詳細描述本發(fā)明的技術方案。
      本發(fā)明的技術方案是,硬件建立TCP數(shù)據(jù)流連接的方法,包括以下步驟a.從網(wǎng)絡接口上收取數(shù)據(jù)包進行解析,得到五元組信息和狀態(tài)信息;b.根據(jù)五元組確定的表項地址查找連接表;c.如果匹配上表項,則進行連接狀態(tài)檢查,更新連接表,輸出與該連接相關的操作行為;d.如果未匹配上表項,則進行ACL檢查;e.根據(jù)ACL檢查結果、五元組及狀態(tài)信息決定是否需要建立連接;f.如果需要建立連接,則在五元組所確定的內存地址上新建一個臨時表項,并在該連接的對應地址上建立一個反向的臨時表項;g.如果該條連接的后續(xù)數(shù)據(jù)包符合TCP協(xié)議,則該連接通過重復以上的步驟,可以更新連接狀態(tài),直至TCP的三次握手過程結束后,該連接就成功的建立到系統(tǒng)中;具體的是,在進行ACL檢查時,各個關鍵字可以相對獨立關心或任意組合關心;并且各個關鍵字還可以部分關心或全部關心;上述五元組信息包括SIP、SPORT、DIP、DPORT和PROTOCOL;特別是,所述步驟e中,如果不需要建立連接,則丟棄數(shù)據(jù)包;本發(fā)明的硬件模塊結構如圖1所示。從數(shù)據(jù)包中抽取的五元組(SIP,SPORT,DIP,DPORT,PROTOCOL)和包狀態(tài)信息,被輸入連接查詢模塊。在連接查詢模塊中以五元組為匹配關鍵字,完成連接表的查詢過程。若查詢到對應的連接表項,首先根據(jù)數(shù)據(jù)包的狀態(tài)進行檢測,若通過,則對連接表項進行更新操作,然后再把表項內容作為輸出結果傳入連接結果輸出模塊,并在結果中注明連接表查詢命中。若狀態(tài)檢測未通過,則注明狀態(tài)檢測失敗,同樣將結果傳入連接結果輸出模塊。若未命中連接表項,則注明連接表查詢未命中,其它輸出結果全置零,傳入ACL模塊中。如果命中連接表,則通過連接結果輸出模塊,把連接表查詢結果直接輸出。若沒有命中,則在ACL模塊中進行ACL查詢,并把ACL查詢結果輸入到連接建立模塊中。在對數(shù)據(jù)包進行ACL查找過程中,各個關鍵字可以相對獨立關心,又可以根據(jù)用戶需要進行任意組合關心,同時這些關鍵字還可以分為部分關心和全部關心。譬如IP地址(32位)的掩碼關心,不僅可以實現(xiàn)整個IP地址的關心,也可以實現(xiàn)精確到IP地址的每一位去關心。連接建立模塊根據(jù)ACL查詢結果進行建立連接或不建立連接的處理。若要求建立連接且該數(shù)據(jù)包為TCP協(xié)議中的SYN包,則該模塊在連接表中建立與數(shù)據(jù)包五元組對應的臨時連接表項,建立完成后,將寫入表項的內容作為輸出結果傳入連接結果輸出模塊,并在結果中注明連接表未命中,新建連接成功。若為其它情況,則在結果中注明連接表未命中,新建連接不成功,丟棄該數(shù)據(jù)包,輸出結果也傳入到連接結果輸出模塊中。連接結果輸出模塊把連接表的處理結果輸出到下一級模塊。如果基于該連接表項的三次TCP握手的數(shù)據(jù)包都能通過狀態(tài)檢測,則該連接表項從臨時表項更新為正式連接表項,連接建立成功完成。本發(fā)明的程序流程如圖2所示。
      權利要求
      1.硬件建立TCP數(shù)據(jù)流連接的方法,包括以下步驟a.從網(wǎng)絡接口上收取數(shù)據(jù)包進行解析,得到五元組信息和狀態(tài)信息;b.根據(jù)五元組確定的表項地址查找連接表;c.如果匹配上表項,則進行連接狀態(tài)檢查,更新連接表,輸出與該連接相關的操作行為。d.如果未匹配上表項則進行ACL檢查;e.根據(jù)ACL檢查結果、五元組及狀態(tài)信息決定是否需要建立連接;f.如果需要建立連接,則在五元組所確定的內存地址上新建一個臨時表項,并在該連接的對應地址上建立一個反向的臨時表項;g.如果該條連接的后續(xù)數(shù)據(jù)包符合TCP協(xié)議,則通過重復步驟a~c,更新連接狀態(tài),直至TCP的三次握手過程結束后,該連接就成功的建立到系統(tǒng)中。
      2.根據(jù)權利要求1所述的硬件建立TCP數(shù)據(jù)流連接的方法,其特征在于所述步驟d中,ACL檢查時,各個關鍵字獨立關心或任意組合關心。
      3.根據(jù)權利要求1或2所述的硬件建立TCP數(shù)據(jù)流連接的方法,其特征在于所述步驟d中,ACL檢查時,各個關鍵字部分關心或全部關心。
      4.根據(jù)權利要求1所述的硬件建立TCP數(shù)據(jù)流連接的方法,其特征在于步驟a中,所述五元組信息包括SIP、SPORT、DIP、DPORT和PROTOCOL。
      5.根據(jù)權利要求1所述的硬件建立TCP數(shù)據(jù)流連接的方法,其特征在于步驟e中,如果不需要建立連接,則丟棄數(shù)據(jù)包。
      全文摘要
      本發(fā)明涉及通信技術,特別涉及網(wǎng)絡數(shù)據(jù)流的連接方法。本發(fā)明解決了現(xiàn)有技術的連接方法,耗用系統(tǒng)資源大,連接建立效率低的缺點,提供了一種硬件建立TCP數(shù)據(jù)流連接的方法。本發(fā)明的技術方案,通過硬件模塊對數(shù)據(jù)包進行深度解析,根據(jù)五元組和狀態(tài)信息,采用硬件建立數(shù)據(jù)包的通信連接。本發(fā)明的有益效果是,硬件在建立連接時,各個功能模塊相對獨立地并行處理,開啟建立TCP連接功能不會減低其它模塊的效率,節(jié)省系統(tǒng)資源。同時,硬件對RAM的讀寫效率非常高,讀寫的數(shù)據(jù)格式也能夠精簡,能進一步提高連接建立的效率。保證了系統(tǒng)在開啟建立TCP連接功能時整體數(shù)據(jù)流的處理過程仍然能高速執(zhí)行。
      文檔編號H04L29/06GK1819557SQ20061002045
      公開日2006年8月16日 申請日期2006年3月10日 優(yōu)先權日2006年3月10日
      發(fā)明者游游, 趙承志, 王步偉, 楊成勇, 陳卓 申請人:四川南山之橋微電子有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1