CN100596145C - 一种与其他独立系统联动的方法以及支持联动的独立系统 - Google Patents
一种与其他独立系统联动的方法以及支持联动的独立系统 Download PDFInfo
- Publication number
- CN100596145C CN100596145C CN200610139795A CN200610139795A CN100596145C CN 100596145 C CN100596145 C CN 100596145C CN 200610139795 A CN200610139795 A CN 200610139795A CN 200610139795 A CN200610139795 A CN 200610139795A CN 100596145 C CN100596145 C CN 100596145C
- Authority
- CN
- China
- Prior art keywords
- autonomous system
- message
- server end
- rule
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 230000008878 coupling Effects 0.000 claims description 55
- 238000010168 coupling process Methods 0.000 claims description 55
- 238000005859 coupling reaction Methods 0.000 claims description 55
- 238000011282 treatment Methods 0.000 claims description 34
- 238000012545 processing Methods 0.000 claims description 28
- 238000003745 diagnosis Methods 0.000 claims description 21
- 238000004458 analytical method Methods 0.000 claims description 19
- 239000004567 concrete Substances 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 3
- 239000011371 regular concrete Substances 0.000 claims description 2
- 230000009471 action Effects 0.000 description 19
- 230000008569 process Effects 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 230000003993 interaction Effects 0.000 description 6
- 239000003795 chemical substances by application Substances 0.000 description 5
- 238000001514 detection method Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000001914 filtration Methods 0.000 description 4
- 230000002452 interceptive effect Effects 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 238000010992 reflux Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 240000000233 Melia azedarach Species 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000008280 blood Substances 0.000 description 1
- 210000004369 blood Anatomy 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 238000013467 fragmentation Methods 0.000 description 1
- 238000006062 fragmentation reaction Methods 0.000 description 1
- 230000013011 mating Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种与其他独立系统联动的方法,服务器端独立系统从来自客户端独立系统的联动报文中解析数据流获取规则;在流经所述服务器端独立系统的报文中查找匹配所述获取规则的数据流;将匹配获取规则的数据流提供给客户端独立系统。本发明还公开了一种与其他独立系统联动的方法,客户端独立系统设置需要从服务器端独立系统获取数据流的获取规则;向服务器端独立系统发送包含所述获取规则的联动报文;对来自服务器端独立系统的匹配所述获取规则的数据流进行业务处理。本发明还公开了一种支持联动的客户端独立系统和服务器端独立系统。通过本发明技术方案,只需在一个独立系统上进行配置,即可实现独立系统之间的联动配合工作。
Description
技术领域
本发明涉及数据通信领域,尤其涉及一种与其他独立系统联动的方法以及支持联动的独立系统。
背景技术
随着网络技术的不断发展,具备不同功能或支持不同应用的系统层出不穷,比如,具备数据报文转发能力的转发系统,支持网络安全应用的入侵检测系统IDS。从功能上讲,这些系统之间是彼此独立的,而且由不同厂商生产。但是在实际使用中,各独立系统会构成一个彼此相互联系的应用环境,比如,IDS予以分析的数据报文需要由转发系统予以提供。于是,功能独立的各系统之间需要实现一定程度的配合。目前对于独立系统之间的配合,主要通过人工在两端进行协调配置予以实现。
以入侵检测IDS和转发这两个相互独立的系统为例。一方面,需要在转发系统上人工配置镜像到IDS的数据流相关信息,如在某个/几个端口上配置需要镜像到IDS的数据流报文特征(如email、http),以及配置数据流需要镜像到哪个接口(转发系统和I DS之间的交互接口)等;另一方面,需要在IDS上人工配置与转发系统相匹配的对应信息,如对来自哪个接口的信息进行入侵检测分析(转发系统和IDS之间的交互接口),以及需要检测数据流报文特征(如email、http)等。
只有经过在转发系统和IDS两端的分别配置后,才能够实现转发系统和IDS之间的配合,操作非常不方便。进一步,由于配置转发系统和配置IDS的用户有可能不是同一个,即使是同一个用户,由于技术水平的限制,也容易出现在转发系统和IDS上的各自配置不协调的问题。如果出现上述配置不协调的情况,转发系统和IDS就无法在运行时实现相互之间的配合工作。
发明内容
本发明要解决的问题是提供一种与其他独立系统联动的方法以及支持联动的独立系统,无需为各个独立系统分别进行协调配置,即可实现独立系统之间的配合工作。
为解决上述技术问题,本发明的目的是通过以下技术方案实现的:一种与其他独立系统联动的方法,包括以下步骤:服务器端独立系统从来自客户端独立系统的联动报文中解析数据流获取规则;在流经所述服务器端独立系统的报文中查找匹配所述获取规则的数据流;将匹配获取规则的数据流提供给客户端独立系统。
优选的,所述联动方法还包括:服务器端独立系统从来自客户端独立系统的联动报文中解析联动策略,所述联动策略描述报文流经服务器端独立系统的原始网络拓扑信息。
优选的,所述方法还包括:服务器端独立系统从联动报文中解析所述获取规则与联动策略的关联关系。
优选的,服务器端独立系统在满足所述获取规则关联的原始网络拓扑信息的报文中,查找匹配所述获取规则的数据流。
优选的,所述方法还包括:服务器端独立系统在匹配获取规则的数据流报文中指明其匹配的获取规则所关联的联动策略,所述报文中的联动策略指明信息用以向客户端独立系统表明所述报文流经服务器端独立系统的原始网络拓扑信息。
优选的,所述方法还包括:服务器端独立系统根据被客户端独立系统返回报文中的联动策略指明信息,还原所述报文流经服务器端独立系统的原始网络拓扑信息。
优选的,每条联动策略具有唯一的策略标识,所述在报文中指明获取规则所关联的联动策略具体为:在报文中描述获取规则所关联的策略标识。
优选的,所述方法还包括:服务器端独立系统在解析出联动策略及其策略标识后,为所述策略标识分配一一对应的关联标识;向客户端独立系统汇报所述策略标识和关联标识之间的对应关系;所述在报文中描述获取规则所关联的策略标识具体为:在报文中承载所述策略标识对应的关联标识。
优选的,在将匹配获取规则的数据流提供给客户端独立系统之后,所述方法还包括:服务器端独立系统从来自客户端独立系统的联动报文中解析特定数据流处置规则及其与联动策略的关联关系;服务器端独立系统对满足上述特定处置规则关联的网络拓扑信息的报文,应用所述处置规则。
优选的,所述网络拓扑信息为流经服务器端独立系统报文的原始入接口、原始出接口、原始入接口所属VLAN和/或原始出接口所属VLAN。
优选的,所述客户端独立系统为开放应用架构OAA中的独立业务部件IAC,所述服务器端独立系统为开放应用架构OAA中的网络转发部件NFC。
一种与其他独立系统联动的方法,包括以下步骤:客户端独立系统设置需要从服务器端独立系统获取数据流的获取规则;向服务器端独立系统发送包含所述获取规则的联动报文;对来自服务器端独立系统的匹配所述获取规则的数据流进行业务处理。
优选的,所述联动报文还包括联动策略,所述联动策略描述报文流经服务器端独立系统的原始网络拓扑信息。
优选的,所述联动报文还包括所述获取规则和联动策略的关联关系。
优选的,所述关联关系用于向服务器端独立系统表明应用获取规则的具体报文范围。
优选的,所述来自服务器端独立系统的匹配获取规则的数据流报文中包含所述获取规则关联的联动策略指明信息;所述业务处理包括:根据上述联动策略指明信息,获知所述报文流经服务器端独立系统的原始网络拓扑信息。
优选的,所述业务处理还包括:将来自服务器端独立系统的全部或部分数据流返回至服务器端独立系统,被返数据流报文中保留联动策略的指明信息,所述联动策略指明信息用于服务器端独立系统还原所述报文的原始网络拓扑信息。
优选的,每条联动策略具有唯一的策略标识,所述报文中包含的联动策略指明信息具体为:所述获取规则关联的联动策略的策略标识描述内容。
优选的,所述方法还包括:客户端独立系统获得服务器端独立系统上报的策略标识与关联标识对应关系,所述关联标识由服务器端独立系统予以分配;
所述来自服务器端独立系统报文中的策略标识描述内容具体为:报文中承载的策略标识所对应的关联标识。
优选的,所述业务处理包括:客户端独立系统对来自服务器端独立系统的数据流进行业务分析;根据上述分析结果向服务器端独立系统发送包含特定数据流处置规则的联动报文,并指明所述处置规则与联动策略的关联关系,所述关联关系用于向服务器端独立系统表明应用所述特定数据流处置规则的具体报文范围。
优选的,所述网络拓扑信息为流经服务器端独立系统报文的原始入接口、原始出接口、原始入接口所属VLAN和/或原始出接口所属VLAN。
优选的,所述客户端独立系统为开放应用架构OAA中的独立业务部件IAC,所述服务器端独立系统为开放应用架构OAA中的网络转发部件NFC。
一种支持联动的服务器端独立系统,所述服务器端独立系统包括:指令解析单元,用于解析来自客户端独立系统的联动报文,所述联动报文至少包括数据流获取规则;第一匹配处理单元,用于在流经所述服务器端独立系统的报文中查找匹配所述获取规则的数据流并提供给客户端独立系统。
优选的,所述联动报文还包括获取规则所关联的联动策略,所述联动策略描述有报文流经服务器端独立系统的原始网络拓扑信息。
优选的,所述联动报文还包括获取规则与联动策略的关联关系。
优选的,所述第一匹配处理单元查找匹配获取规则数据流的报文范围具体是:满足所述获取规则关联的网络拓扑信息的报文。
优选的,所述第一匹配处理单元还包括策略描述子单元,用于在匹配获取规则的报文中指明其匹配的获取规则所关联的联动策略,所述联动策略用以向客户端独立系统表明所述报文在服务器端独立系统的原始网络拓扑信息。
优选的,还包括:信息还原单元,用于根据被客户端独立系统返回报文中的联动策略指明信息还原所述报文在服务器端独立系统的原始网络拓扑信息。
优选的,每条联动策略具有唯一的策略标识,所述报文中的联动策略指明信息具体为:获取规则所关联的策略标识描述内容。
优选的,所述第一匹配处理单元还包括与策略描述子单元相连的标识分配子单元,所述标识分配子单元,用于为解析出的策略标识分配一一对应的关联标识并将两者的对应关系向客户端独立系统汇报;所述报文中策略标识的描述内容具体为:报文中承载的策略标识对应的关联标识。
优选的,所述联动报文还包括特定数据流处置规则及其与联动策略的关联关系,所述服务器端独立系统还包括:第二匹配处理单元,用于对满足特定数据流处置规则关联的网络拓扑信息的报文应用所述特定数据流处置规则。
优选的,所述网络拓扑信息为流经服务器端独立系统报文的原始入接口、原始出接口、原始入接口所属VLAN和/或原始出接口所属VLAN。
优选的,所述客户端独立系统为开放应用架构OAA中的独立业务部件IAC,所述服务器端独立系统为开放应用架构OAA中的网络转发部件NFC。
一种支持联动的客户端独立系统,所述客户端独立系统包括:规则设置单元,用于设置至少包括数据流获取规则的联动规则;联动报文单元,用于向服务器端独立系统发送联动报文,所述联动报文至少包括联动规则;业务处理单元,用于处理来自服务器端独立系统的匹配所述获取规则的数据流。
优选的,还包括与规则设置单元相互关联的策略设置单元,所述策略设置单元用于设置描述报文流经服务器端独立系统的原始网络拓扑信息的联动策略。
优选的,所述联动报文还包括获取规则与联动策略的关联关系。
优选的,所述获取规则关联的联动策略用于向服务器端独立系统表明应用所述获取规则的具体报文范围。
优选的,所述来自服务器端独立系统的匹配获取规则的数据流报文中包含所述获取规则关联的联动策略指明信息;所述业务处理单元包括策略分析子单元,用于根据所述报文中的联动策略指明信息获知所述报文流经服务器端独立系统的原始网络拓扑信息。
优选的,所述业务处理单元还包括报文反馈子单元,用于将来自服务器端独立系统的全部或部分数据流返回至服务器端独立系统,被返数据流报文中保留联动策略的指明信息,所述联动策略指明信息用于服务器端独立系统还原所述报文的原始网络拓扑信息。
优选的,每条联动策略具有唯一的策略标识,所述报文中包含的联动策略指明信息具体为:所述获取规则关联的联动策略的策略标识描述内容。
优选的,所述策略分析子单元还用于获知客户端独立系统上报的策略标识与关联标识对应关系,所述关联标识由服务器端独立系统予以分配;所述来自服务器端独立系统报文中的策略标识描述内容具体为:报文中承载的策略标识所对应的关联标识。
优选的,所述业务处理单元还包括业务分析子单元,用于对来自服务器端独立系统的数据流进行业务分析;所述联动规则还包括根据上述业务分析结果设置的特定数据流处置规则;所述联动报文还包括所述特定数据流处置规则与联动策略的关联关系,所述关联关系用于向服务器端独立系统表明应用所述特定数据流处置规则的具体报文范围。
优选的,所述网络拓扑信息为流经服务器端独立系统报文的原始入接口、原始出接口、原始入接口所属VLAN和/或原始出接口所属VLAN。
优选的,所述客户端独立系统为开放应用架构OAA中的独立业务部件IAC,所述服务器端独立系统为开放应用架构OAA中的网络转发部件NFC。
以上技术方案可以看出,本发明只在客户端独立系统上设置获取规则,通过联动报文告知服务器端独立系统,使得无需在服务器端独立系统进行任何对应配置,其就可以将满足获取规则的数据流提供给客户端独立系统。不仅操作简单,而且由于是在一端配置,因此不会出现两端配置不协调一致的问题。
进一步,联动规则和描述网络拓扑信息的联动策略相关联,使得服务器端独立系统能够缩小查找匹配联动规则的范围,无需在所有流经报文中进行查找,提供了匹配效率。
更进一步,通过在满足获取规则的数据流中描述获取规则关联的策略标识,一方面使得客户端独立系统能够识别出不同数据流,另一方面,也使得服务器端独立系统能够据此还原回流报文的原始网络拓扑信息。
附图说明
图1为本申请人提出的一种OAA架构示意图;
图2为OAA架构中NFC和IAC联动的方法优选实施例流程图;
图3为OAA架构中支持联动的NFC和IAC结构示意图。
具体实施方式
网络是一个相互联系的网络环境,处于这个网络环境中用以实现不同功能的各个独立系统之间并不是完全孤立的,需要相互配合工作,通常一方工作于服务器端,另外一方工作于客户端。所述独立系统可以认为是完成特定功能的硬件和软件的组合,例如路由器、交换机等转发系统以及入侵检测系统IDS、入侵防御系统IPS等安全系统。需要说明,虽然常称路由器、交换机等为设备,但是本领域技术应该人员知道,没有运行于这些硬件之上相应软件的支持,是无法完全实现既定功能的,因此从严格意义上讲也是系统。
由于网络中用以实现各种功能的独立系统种类非常多,因此不能在此一一列举。总而言之,只要某一软、硬件组合用以实现他特定功能,均可认为是一种适用于本发明技术方案的独立系统。此外,应当意识到,一个独立系统可以但不仅限于是一台设备,例如可以将几台相互对等的交换机看作是一个独立系统,也同样适用于本发明技术方案。此外,两个独立系统也可能存在于同一台集成设备中,例如本申请人提供的OAA架构中网络转发部件NFC和独立业务部件I AC,就是在同一个集成设备中的两个独立系统。
以下将以本申请人提供的OAA架构为例详细介绍本发明技术方案,其中,网络转发部件NFC作为服务器端独立系统,独立业务部件IAC作为客户端独立系统。需要说明,虽然以下各实施例均以OAA架构为例,但本发明技术方案不限于OAA架构中的两个独立系统(NFC和IAC),对于其他需要实现联动的现有独立系统也同样适用。
首先,简要介绍本申请人提供的OAA架构,请参阅图1所示。
所述OAA架构是一种将不同厂商的设备集成为一个松耦合的系统。一个符合OAA的架构系统包括通过ILC(Interface Linkage Component,接口连接部件)连接的NFC和IAC,其中NFC是OAA的主体,负责进行报文转发,有着完整的路由器和交换机的功能,也是用户管理控制的核心;IAC是用来提供各种应用的附加功能的业务服务主体,一般在OAA中表现为一块单板或扣卡;ILC通常作为接口分别集成在NFC和IAC之上,为NFC和IAC提供报文转发和控制信息传递的路径。
OAA中连接NFC与IAC的ILC通常包括控制接口和数据平面接口,控制接口可以是异步串口、同异步串口等支持流模式的接口,也可能是一个单独的以太网物理端口,或者与数据平面共用的物理端口。NFC上的控制接口与IAC上的控制接口相连接,用于进行控制信息的通信,NFC上的数据平面接口与IAC上的数据平面接口相连接,用于进行数据信息的通信。另外,一个OAA系统中可以包括完成不同功能的多个IAC。
针对不同的应用,本申请人定义了4种工作模式,可以通过这4种模式之一或其中几种的组合来完成NFC与IAC之间的通信。
1、主机(Host)模式
IAC就像网络上的一台主机,拥有自己的IP地址,作为网络末梢存在。IP报文都是通ILC的以太网口转发的。这种方式,NFC仅仅完成单纯的报文转发,IAC则作为数据报文的发起者和接收者,收发各种报文,NFC就是IAC的网关。
2、镜像(Mirror)模式
NFC在报文转发的过程中,根据要求,把特定的报文复制一份给IAC,原始报文继续完成正常的转发。而IAC收到这个报文以后进行分析和处理,然后将报文丢弃。这种模式下,镜像报文也是通过ILC的以太网口转发。这种工作模式经常应用于IDS(入侵检测系统),即IAC相当于IDS。
3、重定向(Redirection)模式
这种模式下,NFC在报文转发过程中,根据要求,把特定的报文重定向给IAC。IAC分析处理以后,或丢弃,或通过。如果通过,则报文被原封不动的还给NFC,NFC则从当初中断的地方继续处理,完成后续的转发工作。这种模式下,重定向的报文也是通过ILC的以太口转发的。这种模式多用于IPS(入侵防御系统),即IAC相当于IPS。
4、穿透(Pass-Through)模式
这种模式下,IAC没有配置IP地址,并且一定要有外在的以太网口,数据从这个接口流入,穿过IAC,经过ILC的以太口到NFC,或者反方向。在NFC看来,外部数据像是直接到达了ILC的以太网口,IAC似乎根本不存在一样。当然,流量通过的时候,IAC还是会做相关的记录分析,必要的时候,IAC还会报文会做一定的修改以完成相关的功能。
从以上4种工作模式的描述可知,特别是在镜像和重定向模式下,IAC和NFC之间需要协同配合工作,如果采用现有独立系统之间联动技术,那么需要分别在IAC和NFC上进行设置,操作不变,而且容易出现配置不一致的问题。采用本发明公开的技术方案,则只需在IAC上进行设置,即可达到IAC和NFC联动的目的。除此之外,采用本发明技术方案相对于现有联动技术而言,还有其他一些有益效果,在下文中的相应部分会予以详述。
请参阅图2,其为OAA架构中NFC和IAC实现联动的优选实施例流程图。
步骤210:IAC设置联动策略并向NFC发送包含所述联动策略的联动报文,每条联动策略具有唯一的策略标识。所述联动策略用于描述流经NFC报文的原始网络拓扑信息,网络拓扑信息是与报文自身特征(如报文七元组)无关的路径信息,包括但不限于流经NFC报文的原始入接口、原始出接口、原始入接口所属VLAN以及原始出接口所属VLAN中的一种或多种;此外可以包括流经NFC报文的变向目的接口,如数据流被重定向或镜像到的目的接口,即NFC和IAC之间互连的接口。总之,只要可以用于限定数据流、与报文自身特征无关的信息都可以作为联动策略的描述内容。
优选的,一条联动策略包括以下内容:
(1)策略标识(策略标识);
(2)原始入接口;
(3)原始出接口;
(4)被重定向/镜像到的目的接口;
策略标识是策略的唯一标记,让NFC和IAC都清楚操作的对象是谁。以IAC为IPS为例,IPS本身对网络数据而言是透明的,所以,原始入接口和原始出接口就是数据流未被重定向的时候正常流经NFC的入接口和出接口;被重定向到的目的接口,则一般就是连接IAC和NFC的以太网接口。
IAC向NFC发送的联动策略,可以是一条也可以是多条,每条联动策略的策略标识是唯一的。
步骤220:NFC从来自IAC的联动报文中解析联动策略,为每个策略标识分配对应的关联标识,并将策略标识和关联标识的对应关系汇报至IAC。由于策略标识是IAC分配的,对于NFC而言,所述策略标识可能并不适于在现有报文格式中予以携带,例如需要修改现有报文格式。因此,NFC根据其自身软硬件结构为每个策略标识分配一个对应的关联标识,并将策略标识和关联标识之间的对应关系向IAC汇报,使IAC可以根据关联标识对应出策略标识。
对于纯软件而言,可以使用VLAN标签作为关联标识;对于硬件而言,可以使用ASIC芯片的堆叠头作为关联标识。无论是VLAN标签字段还是堆叠头字段,都是现有报文格式中允许包含的字段。因此,NFC将其没有使用的VLAN标签或没有使用的堆叠头分配给策略标识,作为策略标识对应的关联标识(相对于策略标识的描述内容)。
步骤230:IAC设置获取规则,向NFC发送包含所述获取规则的联动报文。所述获取规则与步骤210中设置的联动策略相关联,因此所述联动报文中还包括获取规则关联的联动策略的策略标识。向NFC发送的获取规则可以是一条也可以是多条。IAC设置需要从NFC获取数据流的获取规则,所述获取规则包括数据流特征和获取动作。优选的,所述数据流特征为数据流的报文自身特征,可以但不限于:源MAC、目的MAC、VLAN范围、802.1q的优先级、源IP地址+掩码、目的IP地址+掩码、IP协议号、源端口范围、目的端口范围、IP优先级、IP分片标记等中一种或几种组合;所述获取动作包括但不限于重定向或镜像,总而言之,是指示NFC向IAC提供数据流。
步骤240:NFC从来自IAC的联动报文中解析获取规则及其关联的策略标识。由于NFC在步骤220中已经解析出联动策略及其策略标识,因此在本步骤NFC解析出获取规则关联的策略标识后,即可知道所述获取规则关联的是哪个/哪些联动策略。进一步,由于联动策略描述的是报文流经NFC的原始网络拓扑信息,因此,NFC就可以知道获取规则针对的是具有哪些网络拓扑信息的数据流报文。
步骤250:NFC根据获取规则及其关联的联动策略,对流经报文进行匹配。由于IAC向NFC指出了获取规则关联的联动策略,因此NFC不必在所有流经报文中查找满足获取规则的数据流,只需在满足联动策略描述的网络拓扑信息的报文中进行查找即可,由此加快了NFC进行规则匹配的效率。为了说明更清楚,下面举个具体获取规则及其关联的联动策略例子加以说明。
假设IAC向NFC发送了一条获取规则(内容不予详述)及其关联的策略标识2,即NFC从联动报文中解析出一条获取规则,其关联的策略标识为2。NFC根据步骤220中已经解析出的各种策略记录可知,策略标识为2的联动策略描述的网络拓扑信息是:原始入接口为以太网接口2,原始出接口为以太网接口4,重定向接口为以太网接口1(即IAC和NFC之间的以太网接口)。
进而,NFC只需在来自以太网接口2的报文中查找匹配所述获取规则的数据流。优选的,将根据获取规则中数据流报文特征(如五元组)制定的ACL规则下发到以太网接口2,而对于其他以太网接口并不下发该ACL规则。由此可见,由于IAC告知NFC获取规则关联的联动策略,使得NFC在根据获取规则对报文进行匹配时,针对性更强,只在一个较小范围内(如入接口为以太网接口2)进行规则匹配,即可找出满足所述获取规则的报文。
需要说明,联动策略中的原始入接口或出接口也可以没有,没有入接口,则表示对所有从指定出接口出的报文做匹配;没有出接口,则表示对所有从指定入接口入的报文做匹配;如果都没有,则表示对所有流经NFC的报文做匹配,即在所有流经NFC的报文中查找匹配获取规则的数据流。
步骤260:NFC在匹配成功获取规则的报文中承载其关联的联动策略对应的关联标识,然后按照获取规则规定的获取动作(如重定向或镜像)提供给IAC。步骤220中提过,NFC在解析出IAC设置的策略标识后,为其分配对应的关联标识,因此一个策略标识对应于一个关联标识;而获取规则又关联于特定的联动策略,因此可以使用关联标识描述策略标识,以向IAC表明所述报文流经NFC的原始网络拓扑信息。
步骤270:IAC根据来自NFC的数据流报文中的关联标识,获知所述报文流经NFC的原始网络拓扑信息。对于IAC而言,在步骤220中NFC已经将策略标识和关联标识的对应关系上报给IAC,因此IAC完全可以根据来自NFC报文中承载的关联标识,获知对应的策略标识;进一步,IAC就可以知道来自NFC的报文匹配的获取规则关联于哪条联动策略;再进一步,即可知道所述报文的原始网络拓扑信息。
对于IAC而言,能够获知来自NFC报文的原始网络拓扑信息,如流经NFC的原始入接口、原始出接口以及原始入接口所属VLAN、原始出接口所属VLAN,即相当于可以识别出不同的数据流,进而能够得出有针对性的业务分析统计。如果不能获知报文的原始网络拓扑信息,那么所有来自NFC的报文对于IAC而言是不能加以区分的,只是知道这些报文都来自NFC,但不知道报文流经NFC的原始拓扑信息。
步骤280:IAC对来自NFC的数据流报文进行业务分析,根据所述分析结果向NFC发送包含特定数据流处置规则的联动报文,并指明所述处置规则关联的策略标识。IAC下发给NFC的特定数据流处置规则可以是一条也可以是多条。
如果IAC实现的是IPS业务或IDS业务,IAC通常会对来自NFC的报文进行业务分析,最为常见的分析其中是否存在攻击报文。当IAC分析出具有某种报文特征的数据流是攻击报文后,就会设置相应的特定数据流处置规则,所述特定数据流处置规则通常包括特定数据流报文特征和希望NFC执行的对应处置动作。例如,当所述处置规则中特定数据流报文特征描述的是攻击报文特征,那么对应的处置动作通常是“拒绝”;反之,当处置规则中特定数据流报文特征描述的是合法报文特征,那么对应的处置动作通常是“允许”;此外,所述处置动作还可以是“限速”。需要说明,所述处置动作包括但不限于“拒绝”、“允许”及“限速”。此外,IAC也可以对已经分析识别出的攻击报文直接删除。
前述提过IAC可以根据数据流报文中的关联标识,获知所述报文的原始网络拓扑信息。此时,结合本步骤的业务分析,IAC就可以得出非常细化的分析结果,例如,分析发现许多攻击报文都对应于同一条联动策略,如果该条联动策略描述的原始入接口为以太网接口3,那么IAC就可以得出从NFC以太网接口3进入的报文存在较大攻击性,进而有利于网络管理人员有针对性的解决问题。
此外,由于IAC可以根据报文中的关联标识,知道来自NFC的攻击报文对应的联动策略,因此优选的,将据此攻击报文设置的特定数据流处置规则仍然和原始联动策略相关联。例如,IAC对来自NFC的数据流进行业务分析后,发现具有某一报文特征的数据流是攻击报文,所述报文中的关联标识对应于联动策略3。于是,IAC就以此攻击报文的报文特征为基础设置一条特定数据流处置规则,该特定数据流处置规则中的报文特征是上述攻击报文的报文特征,“拒绝”作为对应的处置动作。进一步,将所述特定数据流处置规则和联动策略3相关联,即在向NFC发送的包含特定数据流处置规则的联动报文中,指出所述处置规则对应的联动策略3的策略标识,所示联动策略3的策略标识,用以向NFC表明所述特定数据流处置规则的具体应用对象。
步骤290:NFC从来自IAC的联动报文中解析特定数据流处置规则及其关联的策略标识,并据此对流经报文进行处理。NFC根据策略标识即可知道所述特定数据流处置规则关联的联动策略,以及策略中描述的网络拓扑信息。
与前述NFC处理获取规则的步骤类似,NFC并无需对所有流经报文应用所述特定数据流处置规则处理,而是只需对满足联动策略描述的网络拓扑信息的报文应用上述处理规则。具体而言,NFC在满足上述网络拓扑信息的报文中进行特定数据流处置规则匹配,从中找到匹配成功的数据流,然后根据特定数据流处置规则规定的处置动作予以处理,如“拒绝”、“允许”及“限速”等。
由此可见,采用将特定数据流处置规则与联动策略相关联的技术,使得NFC查找匹配特定数据流处置规则报文的对象范围大大缩小,例如可能只针对从某个以太网接口进入的报文进行查找,或者只是针对原始出接口为某个以太网接口的报文进行查找,具体可以参考前述NFC对获取规则的相关处理。
步骤310:IAC将来自NFC的全部或部分数据流返回至NFC,被返数据流报文中保留关联标识,所述关联标识用于NFC还原报文原始网络拓扑信息。
步骤320:NFC接收被IAC返回的报文(即回流报文),并根据所述报文中的关联标识还原报文原始网络拓扑信息。NFC按照所述报文的原始网络拓扑信息,将所述回流报文沿着原始路径流动。
在某些模式下,如IAC工作于重定向模式时,IAC需要将来自NFC的数据流全部或部分返回至NFC,使得这些数据流在NFC中能够继续沿着原始路径流动。本领域技术人员知道,如果要使得回流至NFC的数据流报文能够沿着原始路径流动,至少需要知道报文的原始出接口,由于原始出接口是与报文自身特征无关的信息(即属于网络拓扑信息),因此NFC无法从回流报文中直接得到。
但是,NFC可以根据回流报文中承载的关联标识找到对应的策略标识,即联动策略。联动策略描述的内容就是所述报文的原始网络拓扑信息,于是,NFC就可以还原出回流报文的原始网络拓扑信息,进而根据所述原始网络拓扑信息就能将回流报文沿着原始路径(如重定向之前的路径)流动(如转发)。
以上通过一个优选实施例较为详尽的介绍了本发明技术方案。需要说明,虽然本优选实施例是从作为客户端独立系统的IAC和作为服务器独立系统的NFC两侧分别进行的说明,但是,就其中任何一端而言,均可较全面的反映出与其他独立系统联动的方法。换而言之,在上述优选实施例中,既包含客户端独立系统(IAC)与其他独立系统联动的优选实施例,也包括服务器端独立系统(NFC)与其他独立系统联动的优选实施例。这两个优选实施例具有相同或相应的技术特征,只是描述角度不同,一个是基于客户端的角度予以描述,所述客户端独立系统与其他独立系统联动的方法,可以在作为客户端的独立系统(如IAC)上予以应用;另外一个是基于服务器端的角度予以描述,所述服务器端独立系统与其他独立系统联动的方法,可以在作为服务器端的独立系统上予以应用(如NFC)。
由于以上实施例仅是本发明的优选实施例,其中许多步骤还有替代技术方案。此外,就本发明解决的最基本问题而言,上述优选实施例中的某些步骤在一定环境下也可以省略。下面针对其中的重要几点进行说明:
(1)在一些简单的应用环境中,IAC向NFC发送的联动策略和获取规则或特定数据流处置规则可以合一,即一并通过联动报文下发至NFC,这样可以减少通讯次数。以联动策略和获取规则为例,可以将IAC设置的各条联动策略以及每条联动策略关联的各条获取规则,一并下发给NFC。获取规则和特定数据流处置规则可以看作都属于联动规则,也可以混合下发。只要告知NFC联动策略和联动规则的关联关系,即可以缩小NFC查找匹配联动规则数据流的报文范围,从而提高NFC匹配联动规则的效率。
(2)获取规则包含的内容既可以如上述优选实施例中所述:包括数据流报文特征和获取动作,也可以包括非报文特征和获取动作。例如,获取规则包括的数据流特征是原始入接口为以太网接口2、原始出接口为以太网接口3,于是NFC就会将原始入接口为以太网接口2,原始出接口为以太网接口3的报文提供给IAC。此外,无论获取规则描述的数据流特征是报文特征还是非报文特征,即使没有后续联动策略的相关技术特征,也只需在IAC上单独设置即可实现IAC和NFC的最基本联动,解决了现有需要在IAC和NFC分别进行协同配置导致操作不变的技术问题。两个独立系统之间最基本的联动是指,一个独立系统(客户端)从另外一个独立系统获取其想要的数据流,或者说一个独立系统(服务器端)在另一个独立系统的指示下,将所述另一个独立系统想要的数据流提供给它。
(3)优选实施例中NFC为IAC设置的策略标识分配对应一一对应的关联标识,并将两者之间的对应关系上报给I AC,进而在匹配获取规则的报文中承载关联标识,来向IAC表明所述报文匹配规则对应的联动策略。在实际应用中,NFC也可以不执行关联标识的相关动作,而是在匹配获取规则的报文中直接承载策略标识。总而言之,只要NFC在匹配获取规则的报文中指明了其匹配获取规则关联的联动策略,如在报文中包含策略标识的描述内容(策略标识或其对应的关联标识或其他均可),IAC就可以识别出不同数据流,获知所述数据流流经NFC的原始网络拓扑信息,同理,NFC也可以据此还原出回流报文的原始网络拓扑信息。无论是在报文中直接承载IAC设置的策略标识,还是在报文中承载NFC分配的关联标识,具体的承载方式多种多样,可以在报文现有格式中添加一个专门字段,也可以利用现有报文格式中的已有字段,比如VLAN标签字段。
举个例子,某条联动策略的策略标识是10,NFC根据其自身目前的资源利用情况分配策略标识10对应的关联标识是VLAN20。通常而言,NFC会将其目前并没有使用的信息作为关联标识,比如NFC发现VLAN标签15-25没有被使用,那么就会将VLAN标签15-25作为关联标识,以代表相应的策略标识。于是NFC在报文中VLAN标签字段承载所述关联标识20。当IAC接收到VLAN标签字段为20的报文时,就知道该报文对应的策略标识是10。
(4)IAC并不是在所有情况下都将NFC提供来的数据流返回,例如当IAC工作于镜像模式下,即NFC采用镜像方式向IAC提供数据流,通常IAC不会再将镜像过来的数据流返回至NFC。此外,IAC在通过重定向方式从NFC获取数据流后,经过分析删除非法数据报文,然后将合法报文返回至NFC,由此回流至NFC的报文基本都是合法报文。如此反复处理,IAC相当于已经过虑掉了非法数据,其就无需再向NFC下发特定数据流处置规则。当然,IAC也可以把已经识别出的非法数据过滤工作交给NFC完成,即IAC将特定数据流处置规则下发给NFC,有NFC完成非法数据的过滤。
(5)IAC向NFC下发获取规则的步骤,与NFC向IAC汇报策略标识和关联标识对应关系的步骤并无必然的先后顺序。IAC对来自NFC的报文业务分析步骤,与IAC根据报文中的关联标识获知其原始网络拓扑信息步骤,也没有必然的先后顺序。
此外,对于NFC和IAC之间的具体通信协议,既可以借鉴现有SNMP协议(MIB),也完全可以采用自己定义的一套私有通信协议。以SNMP协议为例,现有SNMP定义了5种报文:(1)get-request操作:从代理进程处提取一个或多个参数值。(2)get-next-request操作:从代理进程处提取一个或多个参数值的下一个参数值。(3)set-request操作:设置代理进程的一个或多个参数值。(4)get-response操作:返回的一个或多个参数值。这个操作是由代理进程发出的,是3)中操作的响应操作。(5)trap操作:代理进程主动发出的报文,通知管理进程有某些事情发生。
结合本发明技术方案,IAC向NFC设置联动策略以及联动规则的步骤可以采用set-request报文;IAC向NFC获取关联标识的步骤,可以采用get-request操作,相应的,NFC给IAC返回策略标识和关联标识对应关系的步骤可以采用get-response操作等等。MIB作为管理信息库,其NFC所有可被查询和修改的参数。应该意识到,IAC和NFC进行信息交互时采用的通信协议并不是本发明关心的实质内容,适用于本发明技术方案的通信协议有多种,此处仅以SNMP为例进行了简要说明。
以上介绍了本发明客户端独立系统与其他独立系统联动的方法,以及服务器端独立系统与其他独立系统联动的方法,下面公开应用上述两种方法的对应设备:一种支持联动的客户端独立系统以及一种支持联动的服务器端独立系统。为了叙述方便,仍然以本申请人提供的OAA架构中IAC和NFC为例,具体加以说明,但本领域技术人员应当意识到,本发明公开的客户端独立系统不仅限于OAA架构中的IAC,服务器端独立系统也不局限于NFC。
请参看图3,其为本发明公开的一种支持联动的IAC和NFC优选结构示意图。其中,NFC包括指令解析单元30、第一匹配处理单元31、第二匹配处理单元32、信息还原单元34以及常规转发单元33;IAC包括联动报文单元41、规则设置单元42、策略设置单元43及业务处理单元44,所述业务处理单元44具体包括策略分析子单元443、业务分析子单元441以及报文反馈子单元442;IAC与NFC之间具有信息交互通道50。下面结合NFC和IAC的工作原理,进一步公开它们的各个组成部分。需要说明,对于某些概念,如联动策略、获取规则、特定数据流处置规则、策略标识以及关联标识等的定义,与前文相应内容一致,因此本实施例不再赘述,详细内容请参看前文。
IAC通过策略设置单元43设置联动策略,每条联动策略具有唯一的策略标识。所述联动策略用于描述与报文自身特征(如报文七元组)无关的网络拓扑信息,如原始入接口、原始出接口、原始入接口所属VLAN以及原始出接口所属VLAN;此外还可以包括流经NFC报文的变向目的接口,如数据流被重定向或镜像到的目的接口,即NFC和IAC之间互连的接口。
IAC通过规则设置单元42设置联动规则,所述联动规则至少包括获取规则。策略设置单元43和规则设置单元42相互关联,即规则设置单元42中设置的某条规则可以和某条/几条联动策略相关联,反之亦然。
IAC通过联动报文单元41将上述获取规则和其关联的联动策略下发至NFC。优选的,联动报文单元41首先向NFC发送包含联动策略的联动报文,所述联动策略可以是一条或多条,但每条联动策略具有唯一的策略标识。然后再向NFC发送包含获取规则及其关联的策略标识的联动报文。
与此对应,NFC通过指令解析单元30对来自IAC的联动报文进行解析。当从联动报文解析出联动策略后,将所述联动策略告知第一匹配处理单元31和第二匹配处理单元32。第一匹配处理单元31通过标识分配子单元311,为每个策略标识分配一个对应的关联标识,并将所述策略标识和关联标识的对应关系上报给IAC。
当NFC的指令解析单元30从联动报文中解析出获取规则及其关联的策略标识后,也将所述解析内容告知第一匹配处理单元31。此前,第一匹配处理单元31已经获知了联动策略及其策略标识,因此可以根据获取规则关联的策略标识找到对应的联动策略。由于联动策略描述的是与报文自身特征无关的网络拓扑信息,如出入接口。因此,第一匹配处理单元31就知道应该在哪个范围内的报文中查找匹配所述获取规则的数据流,而无需在所有流经报文中遍历查找。例如,获取规则关联的联动策略描述的网络拓扑信息为:原始入接口为以太网接口2,那么,第一匹配处理单元31可以只对从以太网接口2进入的报文应用所述获取规则,从中再找到匹配获取规则的报文。
由于获取规则关联于联动策略,第一匹配处理单元31查找出匹配获取规则的报文后,即可知道该报文成功匹配的获取规则对应的联动策略及其策略标识。又由于标识分配子单元311为策略标识分配了一一对应的关联标识,因此第一匹配处理单元31可以推知匹配获取规则的报文对应的关联标识。进而,第一匹配处理单元31通过策略描述子单元312在匹配获取规则的报文中承载其对应的关联标识。此后,第一匹配处理单元31将所述匹配获取规则的数据流,按照获取规则规定的获取动作(重定向或镜像)提供给IAC。对于未成功匹配获取规则的报文交给常规转发单元33进行常规转发处理。此外,如果第一匹配处理单元31是将数据流镜像给IAC,那么即使成功匹配获取规则的数据流仍然需要由常规转发单元33予以处理;如果第一配处理单元31是将数据流重定向给IAC,那么成功匹配获取规则的数据流暂时无需转交给常规转发单元33进行处理。
进而,IAC通过业务处理单元44处理来自NFC的匹配获取规则的数据流,所述数据流报文中承载有与策略标识对应的关联标识。优选的,所述业务处理单元44包括策略分析子单元443、业务分析子单元441以及报文反馈子单元442;所述业务处理单元与规则设置单元以及策略设置单元互连,即业务处理单元可以知道联动策略内容及其策略标识,规则内容及其关联的策略标识。具体如下:
IAC中的策略分析子单元443根据数据流报文中承载的关联标识,以及此前NFC向其汇报的策略标识和关联标识对应关系,推出所述报文对应的联动策略,进而获知所述报文的原始网络拓扑信息,即所述报文在未被提供给IAC之前、在NFC中的网络拓扑信息。对于IAC而言,能够获知来自NFC报文的原始网络拓扑信息,如流经NFC的原始入接口、原始出接口以及原始入接口所属VLAN、原始出接口所属VLAN,就相当于识别出不同的数据流。
IAC中的业务分析子单元442对来自服务器端独立系统的数据流报文进行业务分析,例如可以从中分析出非法数据报文或合法数据报文,以及所述这些报文的特征,对于非法数据业务分析子单元442可以直接删除。
进一步,规则设置单元42根据业务分析子单元442得出的特定报文(如攻击报文)特征,制定特定数据流处置规则,并通过联动报文单元41发送至NFC。所述特定数据流处置规则通常包括特定数据流报文特征和希望NFC执行的对应处置动作,例如“拒绝”、“允许”及“限速”等。由于IAC可以根据报文中的关联标识,知道来自NFC的攻击报文对应的联动策略,因此优选的,将根据攻击报文特征设置的特定数据流处置规则仍然和原始联动策略相关联。于是,IAC向NFC下发的联动报文中包括特定数据流获取规则及其关联的策略标识,所述策略标识用以向NFC表明所述特定数据流处置规则的具体应用对象。
在经过业务分析子单元441处理后的报文,通过报文反馈子单元442返回至NFC。由于业务分析子单元441可以直接删除非法数据报文,因此回流NFC的报文可能是其提供给IAC的全部数据流,也可能是部分数据流。但总而言之,回流至NFC的报文中保留有关联标识,所述关联标识用于NFC还原报文原始网络拓扑信息。
通过介绍IAC的业务处理单元44内部结构后可知,经其处理后IAC可能产生两种报文给NFC,一种是包含特定数据流处置规则及其策略标识的联动报文,另外一种是原先NFC提供给IAC的数据流报文。下面分别介绍NFC对于上述两种报文的处理:
NFC对于来自IAC的包含特定数据流获取规则的联动报文,依旧由指令解析单元解析出其内容,包括特定数据流报文特征以及对应的处置动作。然后,指令解析单元将上述解析内容告知第二匹配处理单元32,由于此前第二匹配处理单元已经得到指令解析单元30告知的联动策略相关内容,因此第二匹配处理单元32可以根据特定数据流处置规则关联的策略标识,找到对应联动策略及其描述的网络拓扑信息。进而,在满足所述网络拓扑信息的报文范围内查找匹配特定数据流处置规则的报文,换而言之,只在满足所述网络拓扑信息的报文范围内应用特定数据流处置规则,而不是对所有流经NFC的报文全部应该处置规则。在找到匹配特定数据流处置规则的报文后,根据所述特定数据流处置规则中规则的处置动作予以执行,例如将这些报文拒绝、允许或限速等。在第二匹配处理单元32对特定数据流处置后,即通过常规转发单元完成其余数据流的正常转发。
NFC对于被IAC返回的报文(即回流报文),首先通过信息还原单元34还原出所述报文的原始网络拓扑信息;然后按照报文的原始网络拓扑信息,通过常规转发单元33沿着原始路径继续流动。具体而言,信息还原单元34根据第一匹配处理单元提供的联动策略相关信息,找到回流报文中关联标识对应的策略标识,进而还原出所述策略内容:原始网络拓扑信息。于是,常规转发单元33就可以报文原始网络拓扑信息的指示,将所述报文沿着原始路径继续转发。
由于以上支持联动的NFC和IAC实施例仅是本发明的优选实施例,它们的内部结构还有替代技术方案。此外,就本发明解决的最基本问题而言,上述优选实施例中的某些单元在一定环境下可以省略。下面针对其中的重要几点进行说明:
(1)在一些简单的应用环境中,IAC的联动报文单元41可以将策略设置单元41设置的联动策略和规则设置单元设置的联动规则(如获取规则或特定数据流处置规则等)予以合一,即一并通过联动报文下发至NFC,这样可以减少通讯次数。以联动策略和获取规则为例,可以将IAC设置的各条联动策略以及每条联动策略关联的各条获取规则,一并下发给NFC。
(2)IAC中即使没有策略设置单元43,所述IAC也可以通过规则设置单元42的单独设置(无需在NFC进行对应设置)实现IAC和NFC的最基本联动,解决了现有需要在IAC和NFC分别进行协同配置导致操作不变的技术问题。所述规则设置单元42设置的获取规则即可以包括数据流报文特征和对应的处置规则,也可以包括数据流非报文特征(如出入接口等网络拓扑信息)和对应的处置动作。
(3)优选实施例中NFC通过标识分配子单元311为IAC设置的策略标识分配一一对应的关联标识,并将两者之间的对应关系上报给IAC,进而通过策略描述子单元在匹配获取规则的报文中承载所述关联标识,来向IAC表明所述报文匹配规则对应的联动策略。在实际应用中,NFC也可以不包括标识分配子单元311,而是由策略描述子单元312在匹配获取规则的报文中直接承载策略标识。总而言之,只要策略描述单元在匹配获取规则的报文中指明所述获取规则关联的联动策略,如在报文中包含策略标识的描述内容(策略标识或其对应的关联标识或其他均可),IAC就可以识别出不同数据流,获知所述数据流的原始网络拓扑信息,同理,NFC的信息还原单元34也可以据此还原出回流报文的原始网络拓扑信息。
(4)IAC并不是在所有情况下需要将NFC提供的数据流返回,例如当IAC工作于镜像模式下,即NFC采用镜像方式向IAC提供数据,通常IAC不会再将镜像过来的数据流返回至NFC,换而言之,这种情况下IAC可以不包括报文反馈子单元。此外,IAC在通过重定向方式从NFC获取数据流后,经过分析删除非法数据报文,然后将合法报文返回至NFC,由此回流至NFC的报文基本都是合法报文。如此反复处理,IAC相当于已经过滤掉了非法数据,其就无需再通过规则设置单元42为NFC设置特定数据流处置规则了。当然,IAC也可以把已经识别出的非法数据过滤工作交给NFC完成,即IAC在报文分析基础上通过规则设置单元42为NFC设置特定数据流处置规则,由NFC完成非法数据的过滤。
此外,需要说明,在前述NFC和IAC实施例结构描述中,都是从逻辑角度予以描述的,本领域技术人员在本发明给出的逻辑结构图下,结合本领域现有技术完全可以实现本发明技术方案。由于是逻辑结构图,因此某些组成单元在具体实现时可以集成于一个软硬件模块中,例如第一匹配处理单元31和第二匹配处理单元32;规则设置单元、策略设置单元和联动报文单元等;甚至所有单元都可以集成于一个CPU中。此外,实施例中所述NFC和IAC之间的信息交互通道50,就OAA架构而言,是NFC和IAC之间的接口连接部件ILC;对于普通服务器端独立系统而言,通常指服务器端独立系统上、用以与客户端独立系统进行信息交互的接口;就客户端独立系统而言,通常指客户端独立系统上、用以与服务器端独立系统进行信息交互的接口。无论是客户端独立系统还是服务器端独立系统,它们内部各组成单元如果与对方有数据交互,都是通过信息交互接口发送和接收报文。
以上对本发明所提供的一种与其他独立系统联动方法以及支持联动的独立系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (44)
1、一种与其他独立系统联动的方法,其特征在于,包括以下步骤:
服务器端独立系统从来自客户端独立系统的联动报文中解析数据流获取规则;
在流经所述服务器端独立系统的报文中查找匹配所述获取规则的数据流;
将匹配获取规则的数据流提供给客户端独立系统。
2、如权利要求1所述联动方法,其特征在于,所述联动方法还包括:
服务器端独立系统从来自客户端独立系统的联动报文中解析联动策略,所述联动策略描述报文流经服务器端独立系统的原始网络拓扑信息。
3、如权利要求2所述联动方法,其特征在于,所述方法还包括:服务器端独立系统从联动报文中解析所述获取规则与联动策略的关联关系。
4、如权利要求3所述联动方法,其特征在于,服务器端独立系统在满足所述获取规则关联的原始网络拓扑信息的报文中,查找匹配所述获取规则的数据流。
5、如权利要求3或4所述的联动方法,其特征在于,所述方法还包括:
服务器端独立系统在匹配获取规则的数据流报文中指明其匹配的获取规则所关联的联动策略,所述报文中的联动策略指明信息用以向客户端独立系统表明所述报文流经服务器端独立系统的原始网络拓扑信息。
6、如权利要求5所述的联动方法,其特征在于,所述方法还包括:
服务器端独立系统根据被客户端独立系统返回报文中的联动策略指明信息,还原所述报文流经服务器端独立系统的原始网络拓扑信息。
7、如权利要求5所述的联动方法,其特征在于,每条联动策略具有唯一的策略标识,所述在报文中指明获取规则所关联的联动策略具体为:在报文中描述获取规则所关联的策略标识。
8、如权利要求7所述的联动方法,其特征在于,所述方法还包括:
服务器端独立系统在解析出联动策略及其策略标识后,为所述策略标识分配一一对应的关联标识;
向客户端独立系统汇报所述策略标识和关联标识之间的对应关系;
所述在报文中描述获取规则所关联的策略标识具体为:在报文中承载所述策略标识对应的关联标识。
9、如权利要求2至4中任意一项所述的联动方法,其特征在于,在将匹配获取规则的数据流提供给客户端独立系统之后,所述方法还包括:
服务器端独立系统从来自客户端独立系统的联动报文中解析特定数据流处置规则及其与联动策略的关联关系;
服务器端独立系统对满足上述特定处置规则关联的网络拓扑信息的报文,应用所述处置规则。
10、如权利要求2至4中任意一项所述的联动方法,其特征在于,所述网络拓扑信息为流经服务器端独立系统报文的原始入接口、原始出接口、原始入接口所属VLAN和/或原始出接口所属VLAN。
11、如权利要求1至4中任意一项所述的联动方法,其特征在于,所述客户端独立系统为开放应用架构OAA中的独立业务部件IAC,所述服务器端独立系统为开放应用架构OAA中的网络转发部件NFC。
12、一种与其他独立系统联动的方法,其特征在于,包括以下步骤:
客户端独立系统设置需要从服务器端独立系统获取数据流的获取规则;
向服务器端独立系统发送包含所述获取规则的联动报文;
对来自服务器端独立系统的匹配所述获取规则的数据流进行业务处理。
13、如权利要求12所述的联动方法,其特征在于,所述联动报文还包括联动策略,所述联动策略描述报文流经服务器端独立系统的原始网络拓扑信息。
14、如权利要求13所述的联动方法,其特征在于,所述联动报文还包括所述获取规则和联动策略的关联关系。
15、如权利要求14所述的联动方法,其特征在于,所述关联关系用于向服务器端独立系统表明应用获取规则的具体报文范围。
16、如权利要求14或15所述的联动方法,其特征在于,所述来自服务器端独立系统的匹配获取规则的数据流报文中包含所述获取规则关联的联动策略指明信息;
所述业务处理包括:根据上述联动策略指明信息,获知所述报文流经服务器端独立系统的原始网络拓扑信息。
17、如权利要求16所述的联动方法,其特征在于,所述业务处理还包括:
将来自服务器端独立系统的全部或部分数据流返回至服务器端独立系统,被返数据流报文中保留联动策略的指明信息,所述联动策略指明信息用于服务器端独立系统还原所述报文的原始网络拓扑信息。
18、如权利要求16所述的联动方法,其特征在于,每条联动策略具有唯一的策略标识,所述报文中包含的联动策略指明信息具体为:所述获取规则关联的联动策略的策略标识描述内容。
19、如权利要求18所述的联动方法,其特征在于,所述方法还包括:客户端独立系统获得服务器端独立系统上报的策略标识与关联标识对应关系,所述关联标识由服务器端独立系统予以分配;
所述来自服务器端独立系统报文中的策略标识描述内容具体为:报文中承载的策略标识所对应的关联标识。
20、如权利要求13至15中任意一项所述的联动方法,其特征在于,所述业务处理包括:
客户端独立系统对来自服务器端独立系统的数据流进行业务分析;
根据上述分析结果向服务器端独立系统发送包含特定数据流处置规则的联动报文,并指明所述处置规则与联动策略的关联关系,所述关联关系用于向服务器端独立系统表明应用所述特定数据流处置规则的具体报文范围。
21、如权利要求13至15中任意一项所述的联动方法,其特征在于,所述网络拓扑信息为流经服务器端独立系统报文的原始入接口、原始出接口、原始入接口所属VLAN和/或原始出接口所属VLAN。
22、如权利要求12至15中任意一项所述的联动方法,其特征在于,所述客户端独立系统为开放应用架构OAA中的独立业务部件IAC,所述服务器端独立系统为开放应用架构OAA中的网络转发部件NFC。
23、一种支持联动的服务器端独立系统,其特征在于,所述服务器端独立系统包括:
指令解析单元,用于解析来自客户端独立系统的联动报文,所述联动报文至少包括数据流获取规则;
第一匹配处理单元,用于在流经所述服务器端独立系统的报文中查找匹配所述获取规则的数据流并提供给客户端独立系统。
24、如权利要求23所述的服务器端独立系统,其特征在于:
所述联动报文还包括获取规则所关联的联动策略,所述联动策略描述有报文流经服务器端独立系统的原始网络拓扑信息。
25、如权利要求24所述的服务器端独立系统,其特征在于:所述联动报文还包括获取规则与联动策略的关联关系。
26、如权利要求25所述的服务器端独立系统,其特征在于,所述第一匹配处理单元查找匹配获取规则数据流的报文范围具体是:满足所述获取规则关联的网络拓扑信息的报文。
27、如权利要求25或26所述的服务器端独立系统,其特征在于,所述第一匹配处理单元还包括策略描述子单元,用于在匹配获取规则的报文中指明其匹配的获取规则所关联的联动策略,所述联动策略用以向客户端独立系统表明所述报文在服务器端独立系统的原始网络拓扑信息。
28、如权利要求27所述的服务器端独立系统,其特征在于还包括:
信息还原单元,用于根据被客户端独立系统返回报文中的联动策略指明信息还原所述报文在服务器端独立系统的原始网络拓扑信息。
29、如权利要求27所述的服务器端独立系统,其特征在于,每条联动策略具有唯一的策略标识,所述报文中的联动策略指明信息具体为:获取规则所关联的策略标识描述内容。
30、如权利要求29所述的服务器端独立系统,其特征在于:所述第一匹配处理单元还包括与策略描述子单元相连的标识分配子单元,
所述标识分配子单元,用于为解析出的策略标识分配一一对应的关联标识并将两者的对应关系向客户端独立系统汇报;
所述报文中策略标识的描述内容具体为:报文中承载的策略标识对应的关联标识。
31、如权利要求24至26中任意一项所述的服务器端独立系统,其特征在于,所述联动报文还包括特定数据流处置规则及其与联动策略的关联关系,所述服务器端独立系统还包括:
第二匹配处理单元,用于对满足特定数据流处置规则关联的网络拓扑信息的报文应用所述特定数据流处置规则。
32、如权利要求24至26中任意一项所述的服务器端独立系统,其特征在于,所述网络拓扑信息为流经服务器端独立系统报文的原始入接口、原始出接口、原始入接口所属VLAN和/或原始出接口所属VLAN。
33、如权利要求23至26中任意一项所述的服务器端独立系统,其特征在于,所述客户端独立系统为开放应用架构OAA中的独立业务部件IAC,所述服务器端独立系统为开放应用架构OAA中的网络转发部件NFC。
34、一种支持联动的客户端独立系统,其特征在于,所述客户端独立系统包括:
规则设置单元,用于设置至少包括数据流获取规则的联动规则;
联动报文单元,用于向服务器端独立系统发送联动报文,所述联动报文至少包括联动规则;
业务处理单元,用于处理来自服务器端独立系统的匹配所述获取规则的数据流。
35、如权利要求34所述的客户端独立系统,其特征在于,还包括与规则设置单元相互关联的策略设置单元,所述策略设置单元用于设置描述报文流经服务器端独立系统的原始网络拓扑信息的联动策略。
36、如权利要求35所述的客户端独立系统,其特征在于,所述联动报文还包括获取规则与联动策略的关联关系。
37、如权利要求36所述的客户端独立系统,其特征在于,所述获取规则关联的联动策略用于向服务器端独立系统表明应用所述获取规则的具体报文范围。
38、如权利要求36或37所述的客户端独立系统,其特征在于,所述来自服务器端独立系统的匹配获取规则的数据流报文中包含所述获取规则关联的联动策略指明信息;
所述业务处理单元包括策略分析子单元,用于根据所述报文中的联动策略指明信息获知所述报文流经服务器端独立系统的原始网络拓扑信息。
39、如权利要求38所述的客户端独立系统,其特征在于,所述业务处理单元还包括报文反馈子单元,用于将来自服务器端独立系统的全部或部分数据流返回至服务器端独立系统,被返数据流报文中保留联动策略的指明信息,所述联动策略指明信息用于服务器端独立系统还原所述报文的原始网络拓扑信息。
40、如权利要求38所述的客户端独立系统,其特征在于,每条联动策略具有唯一的策略标识,所述报文中包含的联动策略指明信息具体为:所述获取规则关联的联动策略的策略标识描述内容。
41、如权利要求40所述的客户端独立系统,其特征在于,所述策略分析子单元还用于获知客户端独立系统上报的策略标识与关联标识对应关系,所述关联标识由服务器端独立系统予以分配;
所述来自服务器端独立系统报文中的策略标识描述内容具体为:报文中承载的策略标识所对应的关联标识。
42、如权利要求35至37中任意一项所述的客户端独立系统,其特征在于,所述业务处理单元还包括业务分析子单元,用于对来自服务器端独立系统的数据流进行业务分析;
所述联动规则还包括根据上述业务分析结果设置的特定数据流处置规则;
所述联动报文还包括所述特定数据流处置规则与联动策略的关联关系,所述关联关系用于向服务器端独立系统表明应用所述特定数据流处置规则的具体报文范围。
43、如权利要求35至37中任意一项所述的客户端独立系统,其特征在于,所述网络拓扑信息为流经服务器端独立系统报文的原始入接口、原始出接口、原始入接口所属VLAN和/或原始出接口所属VLAN。
44、如权利要求34至37中任意一项所述的客户端独立系统,其特征在于,所述客户端独立系统为开放应用架构OAA中的独立业务部件IAC,所述服务器端独立系统为开放应用架构OAA中的网络转发部件NFC。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610139795A CN100596145C (zh) | 2006-09-25 | 2006-09-25 | 一种与其他独立系统联动的方法以及支持联动的独立系统 |
| US12/442,838 US9083565B2 (en) | 2006-09-25 | 2007-05-09 | Network apparatus and method for communication between different components |
| EP07721096.1A EP2068498B1 (en) | 2006-09-25 | 2007-05-09 | Method and network device for communicating between different components |
| PCT/CN2007/001523 WO2008037159A1 (fr) | 2006-09-25 | 2007-05-09 | Procédé et dispositif de réseau pour communiquer entre différents composants |
| US14/731,222 US9602391B2 (en) | 2006-09-25 | 2015-06-04 | Network apparatus and method for communication between different components |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610139795A CN100596145C (zh) | 2006-09-25 | 2006-09-25 | 一种与其他独立系统联动的方法以及支持联动的独立系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1929487A CN1929487A (zh) | 2007-03-14 |
| CN100596145C true CN100596145C (zh) | 2010-03-24 |
Family
ID=37859271
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610139795A Expired - Fee Related CN100596145C (zh) | 2006-09-25 | 2006-09-25 | 一种与其他独立系统联动的方法以及支持联动的独立系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100596145C (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012106869A1 (zh) | 2011-07-06 | 2012-08-16 | 华为技术有限公司 | 一种报文处理方法及相关设备 |
| CN112073991B (zh) * | 2019-06-10 | 2022-05-06 | 中国移动通信有限公司研究院 | 一种接入网的业务处理方法及设备 |
| CN110351377A (zh) * | 2019-07-17 | 2019-10-18 | 成都鑫芯电子科技有限公司 | 一种多级联动控制方法及系统 |
-
2006
- 2006-09-25 CN CN200610139795A patent/CN100596145C/zh not_active Expired - Fee Related
Non-Patent Citations (4)
| Title |
|---|
| 基于联动机制的入侵防御系统. 张中辉等.计算机时代,第07期. 2006 |
| 基于联动机制的入侵防御系统. 张中辉等.计算机时代,第07期. 2006 * |
| 数据流管理系统综述. 周明中,龚俭.计算机工程,第32卷第2期. 2006 |
| 数据流管理系统综述. 周明中,龚俭.计算机工程,第32卷第2期. 2006 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1929487A (zh) | 2007-03-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hegering et al. | Integrated management of networked systems: concepts, architectures and their operational application | |
| CN105989539B (zh) | 一种金融交易行情获取系统以及获取方法 | |
| CN104115463B (zh) | 用于处理网络元数据的流式传输方法和系统 | |
| US8879415B2 (en) | Method and system for annotating network flow information | |
| CA2272054C (en) | A method and apparatus for filtering packets using a dedicated processor | |
| US20060002311A1 (en) | Network device with VLAN topology discovery functions | |
| CN102263646B (zh) | 交换机的分布式控制平面内的多播 | |
| US7411965B2 (en) | Method and apparatus for determining a multilayer switching path | |
| CN100492987C (zh) | 具有多个级的以太操作管理维护网络中的域配置 | |
| CN109842529A (zh) | 用于配置业务的方法、装置和网络系统 | |
| WO2015032026A1 (zh) | 一种链路发现方法、sdn控制器及设备 | |
| CN101110730A (zh) | 基于网际分组管理协议第三版的以太网组播实现方法 | |
| CN100446509C (zh) | 实现重定向报文正确转发的方法及第一部件、第二部件 | |
| CN100596145C (zh) | 一种与其他独立系统联动的方法以及支持联动的独立系统 | |
| CN106612335B (zh) | 采用Docker容器实现IoT的信息交换和通信的方法 | |
| CN112769602A (zh) | 一种白盒交换机统一配置管理系统、方法和网络操作系统 | |
| CN103858383A (zh) | 防火墙群集中的验证共享 | |
| CN111488515A (zh) | 信息查询方法、装置、设备及存储介质 | |
| CN100399767C (zh) | 一种虚拟交换机系统接入ip公网的方法 | |
| US6738376B1 (en) | Method and system for managing multicast traffic | |
| CN101360062A (zh) | 实现带根节点的多点对多点以太网业务的方法和系统 | |
| CN100495970C (zh) | 开放应用架构系统及建立其中部件间通信的相应方法 | |
| CN100375557C (zh) | 利用移动台操作维护电信网设备的方法及其移动网管系统 | |
| CN1996960B (zh) | 一种即时通信消息的过滤方法及即时通信系统 | |
| JP3438772B2 (ja) | Snmpエージェントとして動作するように実装する方法を共通化するシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: NEW H3C TECHNOLOGIES Co.,Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: HANGZHOU H3C TECHNOLOGIES Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100324 |