一种使用Tilera多核加速卡基于流的数据包过滤系统及数据包过滤方法

摘要

本发明公开了一种使用Tilera多核加速卡基于流的数据包过滤系统及数据包过滤方法，数据包过滤系统包括有数据包采集模块、提取五元组内容模块、规则匹配模块、流表查找与更新模块、PCIe数据传输模块、PCIe数据包接收模块和数据包存储模块。数据包过滤方法是基于Tilera多核处理器与通用主机组成的异构系统的数据包采集、基于流的数据包过滤的方法。利用Tilera多核加速卡的mPIPE中采集到数据包；在Tilera上利用流表实现基于流的数据包过滤；将过滤后的数据包通过PCIe驱动传输到通用计算机上，在通用计算机上实现数据包的存储。本发明适用于万兆网络环境中流量的在线流量分析与存储。

主权项

一种使用Tilera多核加速卡基于流的数据包过滤系统，所述Tilera多核加速卡与计算机之间为PCIe总线连接，其特征在于：基于流的数据包过滤系统包括有数据包采集模块(21)、提取五元组内容模块(22)、流表查找模块(23)、PCIe数据传输模块(24)、构建规库模块(31)、规则匹配模块(32)、更新流表模块(33)、PCIe数据包接收模块(11)和数据包存储模块(12)；其中，数据包采集模块(21)、提取五元组内容模块(22)、流表查找模块(23)、PCIe数据传输模块(24)、构建规库模块(31)、规则匹配模块(32)和更新流表模块(33)内嵌在Tilera多核加速卡的Tile核内；其中，PCIe数据包接收模块(11)和数据包存储模块(12)内嵌在计算机中；PCIe数据包接收模块11用于接收经Tilera多核加速卡传输的流集FL＝{flow₁,flow₂,…,flow_N}；数据包存储模块12是从PCIe队列当中获得流集FL＝{flow₁,flow₂,…,flow_N}，以PCAP文件格式存储在计算机的存储器中；数据包采集模块21一方面从mPIPE单元中采集数据包PA＝{packet₁,packet₂,packet₃,packet₄,packet₅,packet₆,…,packet_M}，另一方面将采集的PA＝{packet₁,packet₂,packet₃,packet₄,packet₅,packet₆,…,packet_M}放在缓冲区buffer中；提取五元组内容模块22从缓冲区buffer中提取出的任意一数据包packet_M的五元组信息op＝{srcPort,dstPort,tran,srcIP,dstIP}，具有相同五元组的数据包组成流flow_N，记为：${\mathrm{flow}}_N=\{{\mathrm{packet}}_1^{{\mathrm{op}}_N},{\mathrm{packet}}_2^{{\mathrm{op}}_N},...,{\mathrm{packet}}_M^{{\mathrm{op}}_N}\};$流表查找模块23第一方面先根据提取的五元组内容op_Z计算出五元组的哈希值，然后根据五元组的哈希值查找流表FTABLE中的流表项；第二方面若流表FTABLE中存在处理该数据包的流表项，同时该流表项的有效位为1，则直接按照流表项对数据包进行过滤；若流表FTABLE中不存在处理该数据包的流表项，则再将该数据包输入到规则过滤匹配模块32中；PCIe数据包传输模块24将Tilera多核加速卡的流集FL＝{flow₁,flow₂,…,flow_N}采用先进先出方式，传输到计算机上；构建规则库模块31用于保存规则；所述规则R＝{rule₁,rule₂,…,rule_a}；规则匹配模块32中有由过滤规则组成的过滤器filter；将该数据包的五元组内容op_Z，逐个查找过滤器filter中的规则filter＝{rule₁,rule₂,…,rule_a}，若过滤器filter中存在处理该数据包的规则rule_a，则按照规则rule_a进行过滤，同时生成新的流表项，添加到流表FTABLE中；若过滤器filter中不存在处理该数据包的规则rule_a，则不进行过滤；流表更新模块33用于增加流表项和删除流表项；在对任意一数据包过滤时，一方面，当流表中不存在处理该数据包的流表项时，仍需要查找规则集合R＝{rule₁,rule₂,…,rule_a}；如果规则集合R＝{rule₁,rule₂,…,rule_a}中有处理该数据包的规则rule_a，则更新流表模块需要将该规则rule_a转化成流表项的格式插入到流表中；另一方面，更新流表模块要监视流表中流表项的生命周期；当该流表项的生命周期减为0时，将该流表项的有效位设为0，表示该流表项无效，可以被新的流表项所替代。