(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111353018.6 (22)申请日 2021.11.16 (71)申请人 北京威努特技 术有限公司 地址 100085 北京市海淀区上地 三街9号F 座9层907 (72)发明人 刘锋　冯全宝　 (74)专利代理 机构 苏州国卓知识产权代理有限 公司 323 31 代理人 江舟 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种无硬件管理口工控防火墙及其模拟管 理口实现方法 (57)摘要 本发明公开一种无硬件管理口工控防火墙 及其模拟管理口实现方法。 所述方法包括： 工控 防火墙设备预先通过TU N/TAP虚拟网卡复用DPDK 接管的一个业务口， 使所述业务口同时成为具有 管理口功能和业务口功能的复用口； 工控防火墙 设备启动， 初始化TU N/TAP虚拟网卡； 当外部设备 访问工控防火墙设备时， 解析复用口入口流量， 若为管理口访问流量， 则将管 理口访问流量通过 TUN/TAP接口导入内核， 并将内核发出的报文从 所述业务口发送出去， 完成外部设备与内核的通 信交互。 本申请解决了无硬件管 理口设备无法进 行管理口管 理的问题， 并且通过复用一个业务口 为管理口， 被复用的业务端口仍作为业务口进行 业务数据处理， 所以对整机的吞吐性能不会有影 响。 权利要求书2页 说明书5页 附图2页 CN 114301619 A 2022.04.08 CN 114301619 A 1.一种无硬件管理口工控防火墙的模拟管理口实现方法， 其特 征在于， 包括： 工控防火墙设备预先通过TUN/TAP虚拟网卡复用DPDK接管的一个业务口， 使所述业务 口同时成为具有管理口功能和业 务口功能的复用口； 工控防火墙设备启动， 初始化T UN/TAP虚拟网卡； 当外部设备访问工控防火墙设备时， 解析复用口入口流量， 若为管理口访问流量， 则将 管理口访问流量通过TUN/TAP接口导入内核， 并将内核发出的报文从所述业务口发送出去， 完成外部设备与内核的通信交 互。 2.如权利要求1所述的无硬件管理口工控防火墙的模拟管理 口实现方法， 其特征在于， 工控防火墙设备预先通过TUN/TAP虚拟网卡复用DPDK接管的一个业务口， 具体包括如下子 步骤： 注册TUN/TAP网卡 业务口读取线程， 从D PDK业务口收包； 注册TUN/TAP网卡内核数据读取线程， 负责读取内核报文； 注册TUN/TAP配置更新 函数， 接收IP、 MT U等配置信息； 通过TUN/TAP网卡业务口读取线程与TUN/TAP网卡内核数据读取线程配合， 完成管理口 模拟功能。 3.如权利要求2所述的无硬件管理口工控防火墙的模拟管理 口实现方法， 其特征在于， 预先注册TUN/TAP网卡业务口读取线程， 解析arp报文， 将与管理口相关的arp报文上送内 核； 解析IP报文， 将目的IP、 目的mac为管理口 的IP报文上送内核。 4.如权利要求2所述的无硬件管理口工控防火墙的模拟管理 口实现方法， 其特征在于， 预先注册TUN/TAP网卡内核 数据读取线程， 读取内核发出的管 理口访问回应报文， 并将报文 从DPDK业务复用口发送出去。 5.如权利要求2所述的无硬件管理口工控防火墙的模拟管理 口实现方法， 其特征在于， 预先注册TUN/TAP配置更新函数， 接收TUN/TAP网卡的IP、 MTU等配置信息， 并通过TUN/TAP接 口更改TUN/TAP网卡的相关属性。 6.如权利要求2所述的无硬件管理口工控防火墙的模拟管理 口实现方法， 其特征在于， 通过TUN/TAP网卡业务口读取线程与TUN/TAP网卡内核数据读取线程配合， 完成管 理口模拟 功能， 具体包括如下子步骤： ①TUN/TAP网卡 业务口读取线程将管理口访问流 量通过TUN/TAP接口导入内核； ②TUN/TAP网卡内核数据读取线程读取内核响应报文， 并将其从业 务复用口发出去； ③重复①②， 完成外部设备对工控防火墙设备的管理口访问。 7.如权利要求2所述的无硬件管理口工控防火墙的模拟管理 口实现方法， 其特征在于， 初始化TUN/TAP虚拟网卡， 具体包括配置TUN/TAP网卡启动参数， 启动TUN/TAP虚拟网卡及相 关线程， 包括TUN/TAP网卡业务口读取线程、 TUN/TAP网卡内核数据读取线程、 TUN/TAP配置 更新函数。 8.如权利要求7所述的无硬件管理口工控防火墙的模拟管理 口实现方法， 其特征在于， 外部设备访问工控防火墙设备， 具体执 行如下子步骤： S1、 当外部设备访问工控设备防火墙设备 时， 通过TUN/TAP网卡业务口读取线程从TUN/ TAP虚拟网卡复用的D PDK业务口接收入口流 量； S2、 解析复用口 的入口流 量， 若为管理口访问流 量， 则执行S3；权　利　要　求　书 1/2 页 2 CN 114301619 A 2S3、 通过TUN/TAP网卡内核数据读取线程， 轮询读取内核发出的报文， 将内核对入口流 量的回应报文从业 务复用口发送出去。 9.如权利要求8所述的无硬件管理口工控防火墙的模拟管理 口实现方法， 其特征在于， 解析入口报文的二层头、 IP 头， 如果报文的目的IP地址为预设管 理口IP， 则接收的数据包为 管理口访问流 量， 则TUN/TAP虚拟网卡 通过复用的管理口与内核交 互。 10.一种无硬件管理口工控防火墙， 其特征在于， 包括： 所述工控防火墙执行如权利要 求1‑9任一项所述的无硬件管理口工控防火墙的模拟管理口实现方法。权　利　要　求　书 2/2 页 3 CN 114301619 A 3