(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111375844.0 (22)申请日 2021.11.19 (71)申请人 南瑞集团有限公司 地址 211106 江苏省南京市江宁区诚信大 道19号 申请人 南京南瑞信息通信科技有限公司 (72)发明人 纪元　郑卫波　汪洋　王正琦　 黄益彬　邓进　杨维永　朱世顺　 殷鑫鹏　金建龙　王梓　谢华菁　 魏兴慎　郭子昕　张跃　王凯迪　 (74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 代理人 俞翠华 (51)Int.Cl. H04L 9/40(2022.01)H04L 12/46(2006.01) (54)发明名称 一种基于DPDK与VPP的SSLVPN实现方法 (57)摘要 本发明公开了一种基于DPDK与VPP的SSLVPN 实现方法， 包括构建DPDK零拷贝运行环境； 对内 存进行预分配， 获得系统达到最大并发时所需的 内存块， 内存块内存储有网络 数据包； 设置CPU核 与多队列网卡间的调度策略， 调度策略按流分 配， 根据网络数据包的特征信息识别出会话数据 流， 保证同一会话数据流被分配到同一队列网卡 的接收队列、 CP U核和工作线 程； 利用独立的工作 线程处理独立队列网卡内的数据接收、 处理和转 发， 独立的工作线 程是基于VPP创建的， 所有工作 线程对网络 数据包的处理均在VPP用户态协议栈 完成。 本发明充分发挥了多核处理器的性能优 势， 基于DPDK零拷贝 技术和VPP用户态协议栈， 利 用并行处理技术， 满足高速网络环境下的SSL连 接实时处 理。 权利要求书2页 说明书5页 附图1页 CN 114095251 A 2022.02.25 CN 114095251 A 1.一种基于D PDK与VPP的SSLVPN实现方法， 其特 征在于， 包括： 构建DPDK零拷贝运行环境； 对内存进行预分配， 获得系统达到最大并发时所需的内存块， 所述内存块内存储有该 内存块自身的状态、 特性信息， 以及网络数据包； 设置CPU核与多队列网卡间的调度策略， 所述调度策略按流分配， 根据网络数据包的特 征信息识别出会话数据流， 保证同一会话数据流被分配到同一队列网卡的接收队列、 CPU核 和工作线程； 利用独立的工作线程处理独立队列网卡内的数据接收、 处理和转发， 所述独立的工作 线程是基于VP P创建的， 所有工作线程对网络数据包的处 理均仅在VP P用户态协议栈完成。 2.根据权利要求1所述的一种基于DPDK与VPP的SSLVPN实现方法， 其特征在于： 所述 DPDK零拷贝运行环境的构建方法包括： 所述CPU核为Intel处理器， 所述队列网卡为Intel网卡， 所述系统为Linux系统； 加载 Linux系统的UIO驱动框架模块， 以及Intel网卡的UIO内核驱动模块， 所述UIO驱动框架模块 和UIO内核驱动模块均采用Po ll模式来获取网络数据包； 将所用到物理网卡分别从Linux系统中的Linux网卡驱动解除绑定， 并绑定到Intel网 卡的UIO内核驱动模块； 设置huge page内存。 3.根据权利要求2所述的一种基于DPDK与VPP的SSLVPN实现方法， 其特征在于， 所述内 存块的获取 方法包括： 在huge page内存上创建一批预设大小的内存块， 各内存块的部分空间用于存储该内 存块自身的状态、 特性信息， 其他空间用于存储网络数据包； 各内存快均仅在SSLVPN实现方 法启动的时候创建。 4.根据权利要求2所述的一种基于DPDK与VPP的SSLVPN实现方法， 其特征在于， 所述 huge page内存的页面大小默认设置为2MB， 总大小设置为6GB以上。 5.根据权利要求4所述的一种基于DPDK与VPP的SSLVPN实现方法， 其特征在于， 各内存 块的大小为2KB。 6.根据权利要求1所述的一种基于DPDK与VPP的SSLVPN实现方法， 其特征在于： 各队列 网卡提供RSS功能支持， 通过对多队列网卡的相关寄存器进 行设置， 并通过对RSS算法修改， 保证不同方向的同一会话数据流被分配到同一队列网卡的接收队列。 7.根据权利要求1所述的一种基于DPDK与VPP的SSLVPN实现方法， 其特征在于， 所述利 用独立的工作线程处 理独立队列网卡内的数据处 理， 具体为： 利用独立的工作线程处理SSL协议报文， 包括SSL认证握手、 密钥交换、 数据加密及数据 解密。 8.根据权利要求1所述的一种基于DPDK与VPP的SSLVPN实现方法， 其特征在于： 所述特 征信息包括源地址、 目的地址、 源端口、 目的端口及 传输协议。 9.根据权利要求1所述的一种基于DPDK与VPP的SSLVPN实现方法， 其特征在于： 所述工 作线程与CPU核一对一绑定， 一工作线程只在指定的CPU核上运行； 被绑定的CPU核只运行绑 定的工作线程。 10.根据权利要求1所述的一种基于DPDK与VPP的SSLVPN实现方法， 其特征在于， 所述权　利　要　求　书 1/2 页 2 CN 114095251 A 2SSLVPN实现方法还 包括： 将每个工作线程对应一个独立的加密卡dma通道， 用于确保加密卡dma通道的写返回数 据一定是对应的读 操作的工作线程。权　利　要　求　书 2/2 页 3 CN 114095251 A 3