为了实现转发过程中包过滤的功能,在三层交换机的接口上绑定一张访问控制列表(Access Control Lists,ACL),根据特定匹配规则执行通过或丢弃等预先设定的操作。基于硬件拦截恶意报文的目的,采用了基于NP芯片的ACL包过滤方案,从操作平台...为了实现转发过程中包过滤的功能,在三层交换机的接口上绑定一张访问控制列表(Access Control Lists,ACL),根据特定匹配规则执行通过或丢弃等预先设定的操作。基于硬件拦截恶意报文的目的,采用了基于NP芯片的ACL包过滤方案,从操作平台数据平面对象(FOS Data Plane Object,FDPO)中获取数据,映射在驱动数据平面对象(Device Data Plane Object,DDPO)并下发到接口,通过在接口处制定相应的流策略模板对流量快速响应,使用流分类的方法控制流量,实现拦截96%以上攻击报文的功能,有效缓解CPU处理压力。展开更多
文摘为了实现转发过程中包过滤的功能,在三层交换机的接口上绑定一张访问控制列表(Access Control Lists,ACL),根据特定匹配规则执行通过或丢弃等预先设定的操作。基于硬件拦截恶意报文的目的,采用了基于NP芯片的ACL包过滤方案,从操作平台数据平面对象(FOS Data Plane Object,FDPO)中获取数据,映射在驱动数据平面对象(Device Data Plane Object,DDPO)并下发到接口,通过在接口处制定相应的流策略模板对流量快速响应,使用流分类的方法控制流量,实现拦截96%以上攻击报文的功能,有效缓解CPU处理压力。