CN101106528A - 基于安全设备的报文转发系统和方法以及安全设备 - Google Patents
基于安全设备的报文转发系统和方法以及安全设备 Download PDFInfo
- Publication number
- CN101106528A CN101106528A CNA2007101197943A CN200710119794A CN101106528A CN 101106528 A CN101106528 A CN 101106528A CN A2007101197943 A CNA2007101197943 A CN A2007101197943A CN 200710119794 A CN200710119794 A CN 200710119794A CN 101106528 A CN101106528 A CN 101106528A
- Authority
- CN
- China
- Prior art keywords
- safety means
- same
- source messages
- address designation
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种基于安全设备的报文转发系统和一种基于安全设备的报文转发方法。本发明中的每个安全设备均通过网络设备与所有接收设备级联,因此,每个安全设备即可通过网络设备将报文发送给所有接收设备中的任意一个;所有安全设备均在同源报文中设置同一接收设备的地址标识,因而能够保证所有同源报文发送给相同的接收设备,实现同源同宿。而且,每个安全设备均通过网络设备与所有接收设备级联,实现了所有安全设备共享所有的接收设备,提高了接收设备的利用率,降低了系统成本。安全设备中的一个出接口对应一个接收设备,且出接口可以为以太网子接口等逻辑子接口,使得出接口数量不受物理接口数量的限制,从而能够有效实现安全设备的扩容。
Description
技术领域
本发明涉及流量控制技术,特别涉及一种基于安全设备的报文转发系统、一种基于安全设备的报文转发方法、以及一种安全设备。
背景技术
为了对主干链路上的所有报文流或部分报文流进行检测、监视以及流量分析等处理,通常将主干链路上的报文流通过一个安全设备转发给至少一个接收设备,例如分析服务器,由接收设备对接收到的报文流进行相应处理。
其中,每个安全设备中,一个出接口与一个接收设备直接相连;与接收设备相连的至少一个出接口可称为一个均衡组;安全设备可以根据不同的报文特性参数,例如源IP地址、目的IP地址等,进行哈希(Hash)运算,从而实现报文流在均衡组中各出接口上的负载分担。
然而,随着主干链路上网络业务的多样化,报文流量也成比例增加。因此,单台安全设备已经不能承担主干链路中的所有流量。
因此,为了增加安全设备所能承担的报文流量并增加其对应的接收设备的数量,可以通过增加均衡组中的出接口数量来增大安全设备的容量。然而,现有均衡组中的出接口只能为以太网主接口等物理接口,由于安全设备中的物理接口数量有限,从而使得均衡组中的出接口数量无法无限制地增加,从而无法有效扩容。
为了解决上述问题,现有的一种方案中,在主干链路上串联多个分光器,每个分光器连接一个安全设备,每个安全设备的入接口通过与其相连的分光器接收不同的报文流,例如,每个安全设备的入接口接收匹配不同服务质量(Qos)策略和/或访问控制列表(ACL)规则的报文流,且保证各安全设备接收的报文流总流量与主干链路中需要处理的报文流总量相同,从而将主干链路中需处理的所有报文流分流到多个安全设备中。
图1为现有的一种基于安全设备的报文转发系统的结构示意图。如图1所示,以两个安全设备、每个安全设备为安全路由器、均衡组中的出接口为以太网主接口、接收设备为分析服务器为例,该系统中包括:安全路由器A和安全路由器B、以及安全路由器A对应的4个分析服务器和安全路由器B对应的另外4个分析服务器。
安全路由器A的入接口与主干链路上的分光器A相连;安全路由器A中包括4个以太网主接口,4个以太网主接口构成均衡组a,每个以太网主接口与1个安全路由器A对应的分析服务器直接相连,即均衡组a与分析服务器采用直联模式相连。
安全路由器B的入接口与主干链路上的分光器B相连;安全路由器B中包括4个以太网主接口,4个以太网主接口构成均衡组b,每个以太网主接口与1个安全路由器B对应的分析服务器直接相连,即均衡组b与分析服务器采用直联模式相连。
安全路由器A中预设的Qos策略,允许协议端口号大于32768的报文进入其入接口;而安全路由器B中预设的Qos策略,允许协议端口号小于等于32768的报文进入其入接口,从而保证安全路由器A和安全路由器B分别接收到的报文流总量等于主干链路中的总报文流量。
这样,安全路由器A和安全路由器B分别将从其入接口进入的报文流进行流量控制和在各出接口上的负载分担,并通过对应的出接口发送给对应的分析服务器,由8个分析服务器分别对主干链路中的报文流进行分析处理。
可见,通过增加安全设备的方式,将主干链路中的报文流分流到各安全设备中,减轻了各安全设备的负担,保证基于安全设备的报文转发系统能够承担主干链路中的所有流量,且能够提高接收设备的数量。
但是,上述系统仍然存在以下问题:
如果安全路由器A和安全路由器B均根据报文的源IP地址进行Hash运算,则具有相同源IP地址的所有报文称为同源报文。而对于主干链路中相同源IP地址的报文,如果协议端口号大于32768,则进入安全路由器A,由安全路由器A对应的分析服务器中进行处理;如果协议端口号小于等于32768,则进入安全路由器B,由安全路由器B对应的分析服务器中处理。可见,同一源IP地址的报文送往了不同的分析服务器。
同理,如果安全路由器A和安全路由器B均根据报文的目的IP地址进行Hash运算,则具有相同目的IP地址的所有报文称为同源报文。对于主干链路中相同目的IP地址的报文,如果协议端口号大于32768,则进入安全路由器A,由安全路由器A对应的分析服务器中进行处理;如果协议端口号小于等于32768,则进入安全路由器B,由安全路由器B对应的分析服务器中处理。可见,同一目的IP地址的报文送往了不同的分析服务器。
报文的同源同宿是流量控制要求的最重要的原则,同源的报文只有送到同一个接收设备才能对流量进行连续的分析和处理。然而,现有多安全设备的报文转发系统中,由于每个安全设备只能将其接收到的报文发送给与该安全设备对应的接收设备,从而无法保证将同源的报文发送到同一个接收设备,即无法保证报文的同源同宿。
而且,不论是单安全设备的报文转发系统还是多安全设备的报文转发系统,均存在安全设备的物理接口数量有限的问题,限制了均衡组中的出接口数量,使得安全设备的扩容能力不高,进而使得系统无法有效扩容。
发明内容
有鉴于此,本发明提供了一种基于安全设备的报文转发系统和一种安全设备、以及一种基于安全设备的报文转发方法,能够在基于多安全设备进行报文转发的情况下保证报文的同源同宿。
本发明提供的一种基于安全设备的报文转发系统,包括:安全设备和接收设备,每个安全设备接收同一主干链路中的报文流,该系统进一步包括:互连的网络设备;
每个连接在网络设备上的安全设备通过该网络设备与连接在每个网络设备上的接收设备相连;
每个安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的网络设备;
接收到同源报文的网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的接收设备。
每个安全设备中包括出接口,所述出接口为物理接口或逻辑子接口。
所述地址标识为接收设备的媒体接入控制MAC地址,所述同一接收设备的MAC地址设置在同源报文的目的地址字段中;
或者,所述地址标识为虚拟局域网标识VLAN ID,所述同一接收设备的VLAN ID设置在同源报文的VLAN ID字段中。
所述安全设备中存储了预设的出接口与所述地址标识对应关系;
每个安全设备根据报文特性对接收到的所有报文进行哈希Hash运算,将同源报文指定到同一个出接口,并在指定到同一出接口的同源报文中设置该出接口对应的地址标识,实现在同源报文中设置同一地址标识。
本发明提供的一种安全设备,包括入接口和出接口,该安全设备在其入接口接收到的同源报文中设置同一地址标识,并通过所述地址标识对应的出接口发送给外部与其相连的网络设备;
所述网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的接收设备。
本发明提供的一种基于安全设备的报文转发方法,包括:每个安全设备接收同一主干链路中的报文流,每个安全设备通过网络设备与所有接收设备相连;该方法包括:
每个安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的网络设备;
接收到同源报文的网络设备按照设置在同源报文中的地址标识,将所述同源报文发送给所述地址标识对应的接收设备。
每个安全设备中包括出接口,所述出接口为物理接口或逻辑子接口;
所述发送给与该安全设备相连的网络设备为:通过对应的出接口发送给与该安全设备相连的网络设备。
所述地址标识为接收设备的媒体接入控制MAC地址,所述在接收到的同源报文中设置同一地址标识为:在接收到的同源报文的目的地址字段中设置同一接收设备的MAC地址;
或者,所述地址标识为虚拟局域网标识VLAN ID,所述在接收到的同源报文中设置同一地址标识为:在接收到的同源报文的VLAN ID字段中设置同一接收设备的VLAN ID。
所述在接收到的同源报文中设置同一地址标识为:
根据报文特性对接收到的所有报文进行哈希Hash运算,将同源报文指定到同一个出接口;
根据预设的出接口与地址标识的对应关系,在指定到同一出接口的同源报文中设置该出接口对应的地址标识。
本发明还提供了另一种基于安全设备的报文转发系统和另一种安全设备,能够实现系统的扩容。
本发明提供的另一种基于安全设备的报文转发系统,包括:安全设备、接收设备和网络设备,其中,
安全设备包括出接口,所述出接口为逻辑子接口,逻辑子接口通过所述网络设备对应连接接收设备;
安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的网络设备;
网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的接收设备。
所述地址标识为接收设备的媒体接入控制MAC地址,所述同一接收设备的MAC地址设置在同源报文的目的地址字段中;
或者,所述地址标识为虚拟局域网标识VLAN ID,所述同一接收设备的VLAN ID设置在同源报文的VLAN ID字段中。
本发明提供的另一种安全设备,包括入接口和出接口,所述出接口为逻辑子接口,逻辑子接口通过外部网络设备对应连接外部接收设备;
该安全设备在其入接口接收到的同源报文中设置同一地址标识,并通过所述地址标识对应的出接口发送给外部与其相连的网络设备;
所述网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的接收设备。
由上述技术方案可见,本发明中的每个安全设备均通过网络设备与所有接收设备级联,因此,每个安全设备即可通过网络设备将报文发送给所有接收设备中的任意一个;所有安全设备均在同源报文中设置同一接收设备的地址标识,即保证所有同源报文中包括相同的地址标识,因而能够保证所有同源报文发送给相同的接收设备,实现同源同宿。
而且,每个安全设备均通过网络设备与所有接收设备级联,实现了所有安全设备共享所有的接收设备,提高了接收设备的利用率,降低了系统成本。
安全设备中的一个出接口对应一个接收设备,且出接口为以太网子接口等逻辑子接口,使得出接口数量不受物理接口数量的限制,从而能够有效实现安全设备的扩容。
附图说明
图1为现有的一种基于安全设备的报文转发系统的结构示意图。
图2为本发明中基于安全设备的报文转发系统的示例性结构图。
图3本发明实施例中基于安全设备的报文转发系统1的结构示意图。
图4为本发明实施例中基于安全设备的报文转发系统2的结构示意图。
图5为本发明实施例中基于安全设备的报文转发系统中的报文流示意图。
图6为本发明实施例中基于安全设备的报文转发方法的流程示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。
本发明中,每个安全设备均通过互连的多个交换机与所有接收设备级联,这样,每个安全设备即可通过交换机将报文发送给所有接收设备中的任意一个;所有安全设备均在同源报文中设置同一接收设备的地址标识,即保证所有同源报文中包括相同的地址标识,这样,能够保证交换机将所有同源报文发送给相同的接收设备,实现同源同宿。
图2为本发明中基于安全设备的报文转发系统的示例性结构图。如图2所示,该系统包括:N个安全设备和M个接收设备,N和M为大于等于2的正整数。
与同一主干链路相连的N个安全设备,仍然接收同一主干链路中的报文流,例如,每个安全设备的入接口接收匹配不同Qos策略和/或ACL规则的报文流,且保证每个安全设备接收的报文流总量等于主干链路中需要处理的报文流总量。
该系统中还包括N个互连的交换机,其中,N个交换机串联,实际应用中,N个交换机也可以是两两相连;每个安全设备包括M个出接口,每个安全设备的M个出接口与同一个交换机相连,每个出接口通过互连的交换机分别对应不同的一个接收设备;M个接收设备中,不同的至少一个接收设备分别与一个交换机相连。
这样,由于每个安全设备均通过交换机与所有接收设备级联,因此,每个安全设备即可通过相连的N个交换机,将报文发送给M个接收设备中的任意一个。
所有安全设备将同源报文通过对应同一接收设备的出接口,发送给与该出接口相连的交换机,并将同一接收设备的地址标识设置在上述同源报文中。
其中,同源报文可以为具有相同源IP地址、具有相同目的IP地址、具有相同源端口等任意一种或多种报文特性参数的所有报文;同源报文所指的相同报文特性参数,为安全设备进行Hash运算所依据的报文特性参数。
每个交换机按照设置在报文中的地址标识,将接收到的报文直接或通过其他交换机发送给对应的接收设备。
这样,所有安全设备均在同源报文中设置同一接收设备的地址标识,即保证所有同源报文中包括相同的地址标识,因而能够保证交换机将同源报文发送给相同的接收设备,实现同源同宿。
上述系统中,每个安全设备中的所有出接口仍可称为一个均衡组,该均衡组与所有接收设备采用级联模式相连,而不是采用直联方式相连。
每个安全设备中均设置一个均衡组表项,包括:该安全设备的均衡组中包括的出接口的列表、所有安全设备的均衡组级联的接收设备的地址标识列表、以及出接口与接收设备地址标识的对应关系。
根据对应的均衡组表项、并按照相应的分类方式,所有安全设备均将具有相同源IP地址的所有报文指定到对应同一接收设备地址标识的出接口,并将这些报文的目的地址中的内容替换为该出接口对应的接收设备的地址标识后,发送给与该出接口相连的交换机,再由交换机利用其转发功能,直接或通过其他交换机间接发送给与报文目的地址对应的接收设备,从而使得每个均衡组可以将报文发送给所有均衡组对应的接收设备中的任意一个,而且能够将相同源IP地址的所有报文发送给相同的接收设备,从而实现同源同宿。
本发明中,均衡组中的出接口仍可以为例如以太网主接口等物理接口。但由于将物理接口作为均衡组中的出接口无法有效扩充安全设备的容量,因此,本发明中的均衡组中的出接口可以为例如以太网子接口等逻辑子接口。
如果将例如以太网子接口等逻辑子接口作为均衡组中的出接口,则每个安全设备中设置的均衡组表项中,出接口列表包括:物理接口列表、每个物理接口对应的逻辑子接口列表;且出接口与接收设备地址标识的对应关系为逻辑子接口与接收设备地址标识的对应关系。
这样,均衡组中的每个逻辑子接口均可以通过交换机级联一个接收设备,使得均衡组中的出接口数量不受安全设备物理接口数量的限制,从而使得安全设备能够连接的接收设备数量成倍增加,有效扩充了安全设备的容量。
例如,假设每个安全设备最多只能有10个物理接口,则对应的均衡组中最多也只能有10个出接口,并级联10个接收设备。而如果将上述安全设备中的每个物理接口均划分为10个逻辑子接口,则每个安全设备的均衡组中最多可以包括100个出接口,并级联100个接收设备。
而且,如果系统中包括10个安全设备,由于每个安全设备的均衡组与对应的100个接收设备级联,且所有均衡组之间通过交换机相连,从而10个安全设备的均衡组能够共享所有安全设备对应的所有接收设备,即每个均衡组均可直接或间接地级联1000个接收设备。
同理,对于单台安全设备的报文转发系统来说,如果采用逻辑子接口作为出接口,也可以提高安全设备和报文转发系统的扩容能力。
基于单台安全设备的报文转发系统中包括:一个安全设备和多个接收设备。
安全设备中包括多个逻辑子接口,一个逻辑子接口通过交换机对应连接一个接收设备。假设该安全设备的物理接口最多只能为10个,而将每个物理接口划分为了多个逻辑子接口则实现了该安全设备的扩容,且一个逻辑子接口对应一个接收设备,使得接收设备数量也成倍增长,即实现了系统的扩容。
基于单台安全设备的报文转发系统中也需要保证同源同宿,因此,安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的交换机;交换机按照设置在同源报文中的地址标识,将同源报文发送给地址标识对应的接收设备。
可见,对于基于单台安全设备的报文转发系统,本发明能够在保证同源同宿的前提下,也能够实现系统的有效扩容。
本发明中,对于出接口为物理接口的情况,接收设备对应的地址标识可以为接收设备的媒体接入控制(MAC)地址,MAC地址可设置在报文的目的地址字段中;对于出接口为逻辑子接口的情况,接收设备对应的地址标识可以为接收设备的MAC地址、或对应逻辑子接口的虚拟局域网标识(VLANID),VLAN ID可设置在报文的VLAN ID字段中。
下面,以安全设备为安全路由器、出接口为以太网子接口为例,对本发明中基于安全设备的报文转发系统进行详细说明。
图3为本发明实施例中基于安全设备的报文转发系统1的结构示意图。如图3所示,以2个安全路由器、8个分析服务器、同源报文为相同源IP地址的所有报文为例,本实施例中基于安全设备的报文转发系统1包括:安全路由器A和安全路由器B、分析服务器1~8。
安全路由器A和安全路由器B分别接收同一主干链路中的不同报文流。
安全路由器A中包括以太网主接口GigabitEthernet2/1/1、以太网主接口GigabitEthernet2/1/2,2个以太网主接口与交换机A相连。
安全路由器B中包括以太网主接口GigabitEthernet2/1/1、以太网主接口GigabitEthernet2/1/2,2个以太网主接口与交换机B相连。
交换机A与分析服务器1~分析服务器4相连,交换机B与分析服务器5~分析服务器8相连,且交换机A和交换机B相连。
本实施例中,以太网主接口GigabitEthernet2/1/1又划分为4个以太网子接口GigabitEthernet2/1/1.1~GigabitEthernet2/1/1.4;以太网主接口GigabitEthernet2/1/2也划分为4个以太网子接口GigabitEthernet2/1/2.5~GigabitEthernet2/1/2.8。
这样,安全路由器A包括上述8个以太网子接口,为均衡组a,其中的4个以太网子接口通过交换机A分别对应分析服务器1~分析服务器4中的一个,另外的4个以太网子接口通过交换机A和交换机B分别对应分析服务器5~分析服务器8中的一个;安全路由器B也包括上述8个以太网子接口,为均衡组b,其中的4个以太网子接口通过交换机B分别对应分析服务器5~分析服务器8中的一个,另外的4个以太网子接口通过交换机B和交换机A分别对应分析服务器1~分析服务器4中的一个。
安全路由器A中存储着预先设置的均衡组a的均衡组表项,该表项中包括:物理接口列表、每个物理接口对应的逻辑子接口列表、分析服务器地址标识列表、以及逻辑子接口与分析服务器地址标识的对应关系。
本实施例中均衡组a的均衡组表项如表1所示,逻辑子接口列表中的每个以太网子接口,分别对应分析服务器地址标识列表中的一个MAC地址。
其中,MAC1~MAC8分别为分析服务器1~分析服务器8的MAC地址。
| 物理接口列表 | 逻辑子接口列表 | 分析服务器地址标识列表 |
| GigabitEthernet2/1/1 | GigabitEthernet2/1/1.1 | MAC1 |
| GigabitEthernet2/1/1.2 | MAC2 | |
| GigabitEthernet2/1/1.3 | MAC3 | |
| GigabitEthernet2/1/1.4 | MAC4 | |
| GigabitEthernet2/1/2 | GigabitEthernet2/1/2.5 | MAC5 |
| GigabitEthernet2/1/2.6 | MAC6 | |
| GigabitEthernet2/1/2.7 | MAC7 | |
| GigabitEthernet2/1/2.8 | MAC8 |
表1
安全路由器B中存储着预先设置的均衡组b的均衡组表项,该表项中包括:物理接口列表、每个物理接口对应的逻辑子接口列表、分析服务器地址标识列表、以及逻辑子接口与分析服务器地址标识的对应关系。
本实施例中,均衡组b的均衡组表项也可以如表1所示。
安全路由器A中还存储着预设的Hash算法,根据入接口接收到的报文的源IP地址和均衡组a中的以太网子接口数量进行Hash运算,将相同源IP地址的报文指定到相同的以太网子接口;查找均衡组a的均衡组表项,将每个报文的目的地址中的内容,替换为指定的以太网子接口对应的分析服务器的MAC地址,然后将每个报文从指定的以太网子接口发送给交换机A。
安全路由器B中还存储着预设的Hash算法,由于均衡组b的均衡组表项与均衡组a相同,因此,为了保证安全路由器B和安全路由器A将相同源IP地址的报文发送给同一个分析服务器,安全路由器B中存储的Hash算法可以与安全路由器A中的相同;根据入接口接收到的报文的源IP地址和均衡组b中的以太网子接口数量进行Hash运算,将相同源IP地址和协议端口号的报文指定到相同的以太网子接口;查找均衡组b的均衡组表项,将每个报文的目的地址中的内容,替换为指定的以太网子接口对应的分析服务器的MAC地址,然后将每个报文从指定的以太网子接口发送给交换机B。
具体实现中,可以按照如表1所示的均衡组表项,在对应的以太网子接口上配置对应的分析服务器的MAC地址,当报文发送到对应的以太网子接口时,其目的地址中的内容即可替换为该以太网子接口上配置的对应分析服务器的MAC地址。
如果交换机A接收到的报文的目的地址为分析服务器1~分析服务器4中任意一个的MAC地址,则交换机A直接将该报文发送给分析服务器1~分析服务器4中与MAC地址对应的一个;如果交换机A接收到的报文的目的地址为分析服务器5~分析服务器8中任意一个的MAC地址,则交换机A将该报文转发给交换机B,由交换机B将该报文发送给分析服务器5~分析服务器8中与MAC地址对应的一个。
如果交换机B接收到的报文的目的地址为分析服务器5~分析服务器8中任意一个的MAC地址,则交换机B直接将该报文发送给分析服务器5~分析服务器8中与MAC地址对应的一个;如果交换机B接收到的报文的目的地址为分析服务器1~分析服务器4中任意一个的MAC地址,则交换机B将该报文转发给交换机A,由交换机A将该报文发送给分析服务器1~分析服务器4中与MAC地址对应的一个。
图4为本发明实施例中基于安全设备的报文转发系统2的结构示意图。如图4所示,仍以2个安全路由器、8个分析服务器、同源报文为相同目的IP地址的所有报文为例,本实施例中基于安全设备的报文转发系统2包括:安全路由器A和安全路由器B、分析服务器1~8。
相比于基于安全设备的报文转发系统1,本实施例中基于安全设备的报文转发系统2的不同之处在于,分析服务器的地址标识为与其对应的以太网子接口的VLAN ID。
交换机A也通过接入(Access)接口与分析服务器1~分析服务器4相连,且连接分析服务器1~分析服务器4的Access接口的VLAN ID,分别为以太网子接口GigabitEthernet2/1/1.1~GigabitEthernet2/1/1.4的VLAN ID。
交换机B也通过Access接口与分析服务器5~分析服务器8相连,且连接分析服务器5~分析服务器8的Access接口的VLAN ID,分别为以太网子接口GigabitEthernet2/1/2.5~GigabitEthernet2/1/2.8的VLAN ID。
交换机A和交换机B之间相连的接口不限,例如干线(Trunk)接口。
这样,均衡组a和均衡组b的均衡组表项可以如表2所示。
| 物理接口列表 | 逻辑子接口列表 | 分析服务器地址标识列表 |
| GigabitEthernet2/1/1 | GigabitEthernet2/1/1.1 | V1 |
| GigabitEthernet2/1/1.2 | V2 | |
| GigabitEthernet2/1/1.3 | V3 | |
| GigabitEthernet2/1/1.4 | V4 | |
| GigabitEthernet2/1/2 | GigabitEthernet2/1/2.5 | V5 |
| GigabitEthernet2/1/2.6 | V6 | |
| GigabitEthernet2/1/2.7 | V7 | |
| GigabitEthernet2/1/2.8 | V8 |
表2
安全路由器A根据入接口接收到的报文的目的IP地址和均衡组a中的以太网子接口数量进行Hash运算,将相同目的IP地址的报文指定到相同的以太网子接口;查找均衡组a的均衡组表项,将每个报文的目的地址中的内容,替换为指定的以太网子接口对应的VLAN ID,然后将每个报文从指定的以太网子接口发送给交换机A。
安全路由器B根据入接口接收到的报文的目的IP地址和均衡组b中的以太网子接口数量,进行与安全路由器A中相同的Hash运算,将相同目的IP地址和协议端口号的报文指定到相同的以太网子接口;查找均衡组b的均衡组表项,将每个报文的目的地址中的内容,替换为指定的以太网子接口对应的VLAN ID,然后将每个报文从指定的以太网子接口发送给交换机B。
具体实现中,可以按照如表2所示的均衡组表项,在对应的以太网子接口上配置对应的VLAN ID,当报文发送到对应的以太网子接口时,其目的地址中的内容即可替换为该以太网子接口上配置的对应VLAN ID。
如果交换机A接收到的报文的目的地址为V1~V4中的任意一个VLANID,则报文会在VLAN ID内广播,该报文会发送到与Access接口相连的分析服务器;如果交换机A接收到的报文中的VLAN ID为V5~V8中的任意一个VLAN ID,则报文经过交换机A在VLAN ID内广播转发给交换机B。
如果交换机B接收到的报文的目的地址为V5~V8中的任意一个VLANID,则报文会在VLAN ID内广播,该报文会发送到与Access接口相连的分析服务器;如果交换机B接收到的报文中的VLAN ID为V1~V4中的任意一个VLAN ID,则报文经过交换机B在VLAN ID内广播转发给交换机A。
上述两个系统中,安全路由器A和安全路由器B分别将从其入接口进入的报文流进行流量控制和在各出接口上的负载分担,并通过对应的出接口发送给对应的分析服务器,由8个分析服务器分别对主干链路中的报文流进行分析处理。
实际应用中,也可以将以太网主接口作为均衡组中的出接口,这样,虽然使得安全路由器的扩容收到物理接口数量的限制,但也能够保证报文的同源同宿。
图5为本发明实施例中基于安全设备的报文转发系统中的报文流示意图。如图5所示,报文P1为协议端口号大于32768的报文、报文P2为协议端口号小于等于32768的报文,且报文P1与报文P2为同源报文,例如相同源IP地址或目的IP地址。
对于上述两个系统,假设安全路由器A中预设的Qos策略,允许协议端口号大于32768的报文进入其入接口;而安全路由器B中预设的Qos策略,允许协议端口号小于等于32768的报文进入其入接口。
报文P1进入了安全路由器A,由安全路由器A根据报文的源IP地址进行Hash计算后,报文P1进入均衡组a的以太网子接口GigabitEthernet2/1/1.1,且其目的地址字段中的内容被替换为以太网子接口GigabitEthernet2/1/1.1上配置的分析服务器1的MAC地址、或报文P1中被添加了以太网子接口GigabitEthernet2/1/1.1上配置的与交换机A中连接分析服务器1的Access接口相同的VLAN ID;然后报文P1被发送到了交换机A,经过交换机的报文转发功能,报文P1最终送到了分析服务器1。
而报文P2则进入了安全路由器B,由安全路由器B根据报文的源IP地址进行Hash计算后,报文P2进入均衡组b的子接口GigabitEthernet2/1/1.1,且其目的地址字段中的内容被替换为以太网子接口GigabitEthernet2/1/1.1上配置的分析服务器1的MAC地址、或报文P2中被添加了以太网子接口GigabitEthernet2/1/1.1上配置的与交换机A中连接分析服务器1的Access接口相同的VLAN ID;然后,报文P2被发送到了交换机B,经过交换机的报文转发功能,报文被送到了交换机A,再由交换机A最终把报文送到了分析服务器1。
可见,虽然报文P1和报文P2由于不同的协议端口号,分别被分流到安全路由器A和安全路由器B,但由于安全路由器A和安全路由器B分别通过交换机A和交换机B与对应的分析服务器级联,且交换机A与交换机B相互连接,因此,安全路由器A和安全路由器B分别将报文P1和报文P2发送给对应同一分析服务器的以太网子接口,即可利用交换机的报文转发功能,将同源的报文P1和报文P2发送给同一个分析服务器,实现了同源同宿。
上述实施例只是对本发明技术方案的举例说明,也可以用其他类型的路由器来实现安全路由器的功能,而且,对于主干链路中需要处理的报文流总量的不同,可以任意设置系统中的安全设备及交换机的数量。
以上是对本发明实施例中基于安全设备的报文转发系统的详细说明,下面,再对本发明实施例中基于基于安全设备的报文转发方法进行详细说明。
图6为本发明实施例中基于安全设备的报文转发方法的流程示意图。如图6所示,基于如图2所示的系统,本实施例中基于安全设备的报文转发方法包括:
步骤601,每个安全设备分别接收同一主干链路中的不同报文流。
本步骤中,不同的安全设备可以接收同一主干链路中,匹配不同Qos策略和/或ACL规则的不同报文流。
步骤602,每个安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的交换机。
其中,同源报文是指具有相同源IP地址、或目的IP地址等报文特性参数的所有报文。
本步骤中,地址标识可以为接收设备的MAC地址,设置在同源报文的目的地址字段中;也可以为交换机中连接接收设备的Access接口的VLAN ID,设置在同源报文的VLAN ID字段中。
如果地址标识为VLAN ID,则本步骤之前,还需要将交换机与每个接收设备相连的Access接口的VLAN ID,设置为与该接收设备对应的出接口的VLANID。
步骤603,接收到同源报文的交换机按照设置在同源报文中的地址标识,将同源报文发送给地址标识对应的接收设备。
至此,本流程结束。
由上述实施例可见,每个安全设备均通过交换机与所有接收设备级联,因此,每个安全设备即可通过交换机将报文发送给所有接收设备中的任意一个;所有安全设备均在同源报文中设置同一接收设备的地址标识,因而能够保证交换机将所有同源报文发送给相同的接收设备,实现同源同宿。
而且,每个安全设备均通过交换机与所有接收设备级联,实现了所有安全设备共享所有的接收设备,提高了接收设备的利用率,降低了系统成本。
如果将逻辑子接口作为均衡组中的出接口,则使得均衡组中的出接口数量不受物理接口数量的限制,从而能够有效实现安全设备的扩容。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种基于安全设备的报文转发系统,包括:安全设备和接收设备,每个安全设备接收主干链路中的报文流,其特征在于,
该系统进一步包括:互连的网络设备;
每个连接在网络设备上的安全设备通过该网络设备与连接在每个网络设备上的接收设备相连;
每个安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的网络设备;
接收到同源报文的网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的接收设备。
2.如权利要求1所述的系统,其特征在于,每个安全设备中包括出接口,所述出接口为物理接口或逻辑子接口。
3.如权利要求2所述的系统,其特征在于,所述地址标识为接收设备的媒体接入控制MAC地址,所述同一接收设备的MAC地址设置在同源报文的目的地址字段中;
或者,所述地址标识为虚拟局域网标识VLAN ID,所述同一接收设备的VLAN ID设置在同源报文的VLAN ID字段中。
4.如权利要求2或3所述的系统,其特征在于,所述安全设备中存储了预设的出接口与所述地址标识对应关系;
每个安全设备根据报文特性对接收到的所有报文进行哈希Hash运算,将同源报文指定到同一个出接口,并在指定到同一出接口的同源报文中设置该出接口对应的地址标识,实现在同源报文中设置同一地址标识。
5.一种安全设备,包括入接口和出接口,其特征在于,该安全设备在其入接口接收到的同源报文中设置同一地址标识,并通过所述地址标识对应的出接口发送给外部与其相连的网络设备;
所述网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的接收设备。
6.一种基于安全设备的报文转发方法,每个安全设备接收主干链路中的报文流,其特征在于,每个安全设备通过网络设备与所有接收设备相连;
该方法包括:
每个安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的网络设备;
接收到同源报文的网络设备按照设置在同源报文中的地址标识,将所述同源报文发送给所述地址标识对应的接收设备。
7.如权利要求6所述的方法,其特征在于,每个安全设备中包括出接口,所述出接口为物理接口或逻辑子接口;
所述发送给与该安全设备相连的网络设备为:通过对应的出接口发送给与该安全设备相连的网络设备。
8.如权利要求7所述的方法,其特征在于,所述地址标识为接收设备的媒体接入控制MAC地址,所述在接收到的同源报文中设置同一地址标识为:在接收到的同源报文的目的地址字段中设置同一接收设备的MAC地址;
或者,所述地址标识为虚拟局域网标识VLAN ID,所述在接收到的同源报文中设置同一地址标识为:在接收到的同源报文的VLAN ID字段中设置同一接收设备的VLAN ID。
9.如权利要求7或8所述的方法,其特征在于,所述在接收到的同源报文中设置同一地址标识为:
根据报文特性对接收到的所有报文进行哈希Hash运算,将同源报文指定到同一个出接口;
根据预设的出接口与地址标识的对应关系,在指定到同一出接口的同源报文中设置该出接口对应的地址标识。
10.一种基于安全设备的报文转发系统,包括:安全设备和接收设备,其特征在于,该系统进一步包括:网络设备,其中,
安全设备包括出接口,所述出接口为逻辑子接口,逻辑子接口通过所述网络设备对应连接接收设备;
安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的网络设备;
网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的接收设备。
11.如权利要求10所述的系统,其特征在于,所述地址标识为接收设备的媒体接入控制MAC地址,所述同一接收设备的MAC地址设置在同源报文的目的地址字段中;
或者,所述地址标识为虚拟局域网标识VLAN ID,所述同一接收设备的VLAN ID设置在同源报文的VLAN ID字段中。
12.一种安全设备,包括入接口和出接口,其特征在于,所述出接口为逻辑子接口,逻辑子接口通过外部网络设备对应连接外部接收设备;
该安全设备在其入接口接收到的同源报文中设置同一地址标识,并通过所述地址标识对应的出接口发送给外部与其相连的网络设备;
所述网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的接收设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007101197943A CN100542144C (zh) | 2007-07-31 | 2007-07-31 | 基于安全设备的报文转发系统和方法以及安全设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2007101197943A CN100542144C (zh) | 2007-07-31 | 2007-07-31 | 基于安全设备的报文转发系统和方法以及安全设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101106528A true CN101106528A (zh) | 2008-01-16 |
| CN100542144C CN100542144C (zh) | 2009-09-16 |
Family
ID=39000211
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2007101197943A Expired - Fee Related CN100542144C (zh) | 2007-07-31 | 2007-07-31 | 基于安全设备的报文转发系统和方法以及安全设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100542144C (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102037713A (zh) * | 2008-05-23 | 2011-04-27 | 诺基亚西门子通信公司 | 在具有分离mac架构的无线局域网中提供站关联和移动性 |
| CN102209031A (zh) * | 2011-05-24 | 2011-10-05 | 南京烽火星空通信发展有限公司 | 分布式线速分流装置及方法 |
| CN102497385A (zh) * | 2011-12-31 | 2012-06-13 | 曙光信息产业股份有限公司 | 一种网络流量审计方法及审计系统 |
| CN102546364A (zh) * | 2010-12-22 | 2012-07-04 | 深圳市恒扬科技有限公司 | 网络数据分流方法及其装置 |
| CN102624727A (zh) * | 2012-03-07 | 2012-08-01 | 福建星网锐捷网络有限公司 | 接口配置方法及装置、主控中央处理器及网络设备 |
| CN102647343A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | 安全网络设备的流量控制方法及系统 |
| WO2015127600A1 (zh) * | 2014-02-26 | 2015-09-03 | 华为技术有限公司 | 一种分流上报的方法、交换机、控制器及系统 |
| CN105227480A (zh) * | 2014-06-13 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 报文转发方法及相关装置和通信系统 |
| US9276768B2 (en) | 2008-05-23 | 2016-03-01 | Nokia Solutions And Networks Oy | Providing station context and mobility in a wireless local area network having a split MAC architecture |
| CN105515932A (zh) * | 2014-09-24 | 2016-04-20 | 杭州华三通信技术有限公司 | 提高安全集群处理性能的方法及装置 |
| CN107046503A (zh) * | 2017-04-24 | 2017-08-15 | 新华三技术有限公司 | 一种报文传输方法、系统及其装置 |
| CN107196798A (zh) * | 2017-05-26 | 2017-09-22 | 烽火通信科技股份有限公司 | 电信管理网中的网络设备管理系统及其方法 |
| CN108683598A (zh) * | 2018-04-20 | 2018-10-19 | 武汉绿色网络信息服务有限责任公司 | 一种非对称网络流量处理方法和处理装置 |
| CN108965483A (zh) * | 2018-09-28 | 2018-12-07 | 武汉慧联无限科技有限公司 | 物联网系统大量设备的数据存储及推送的系统实现方法 |
| CN112468469A (zh) * | 2020-11-17 | 2021-03-09 | 武汉绿色网络信息服务有限责任公司 | 一种保障sctp协议多归属报文同源同宿的方法和装置 |
| CN113206791A (zh) * | 2021-03-31 | 2021-08-03 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
-
2007
- 2007-07-31 CN CNB2007101197943A patent/CN100542144C/zh not_active Expired - Fee Related
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102037713A (zh) * | 2008-05-23 | 2011-04-27 | 诺基亚西门子通信公司 | 在具有分离mac架构的无线局域网中提供站关联和移动性 |
| CN102037713B (zh) * | 2008-05-23 | 2015-11-25 | 诺基亚通信公司 | 在具有分离mac架构的无线局域网中提供站关联和移动性 |
| US9276768B2 (en) | 2008-05-23 | 2016-03-01 | Nokia Solutions And Networks Oy | Providing station context and mobility in a wireless local area network having a split MAC architecture |
| CN102546364A (zh) * | 2010-12-22 | 2012-07-04 | 深圳市恒扬科技有限公司 | 网络数据分流方法及其装置 |
| CN102546364B (zh) * | 2010-12-22 | 2014-12-10 | 深圳市恒扬科技有限公司 | 网络数据分流方法及其装置 |
| CN102209031A (zh) * | 2011-05-24 | 2011-10-05 | 南京烽火星空通信发展有限公司 | 分布式线速分流装置及方法 |
| CN102497385A (zh) * | 2011-12-31 | 2012-06-13 | 曙光信息产业股份有限公司 | 一种网络流量审计方法及审计系统 |
| CN102624727A (zh) * | 2012-03-07 | 2012-08-01 | 福建星网锐捷网络有限公司 | 接口配置方法及装置、主控中央处理器及网络设备 |
| CN102624727B (zh) * | 2012-03-07 | 2014-12-24 | 福建星网锐捷网络有限公司 | 接口配置方法及装置、主控中央处理器及网络设备 |
| CN102647343B (zh) * | 2012-03-30 | 2016-01-06 | 汉柏科技有限公司 | 安全网络设备的流量控制方法及系统 |
| CN102647343A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | 安全网络设备的流量控制方法及系统 |
| WO2015127600A1 (zh) * | 2014-02-26 | 2015-09-03 | 华为技术有限公司 | 一种分流上报的方法、交换机、控制器及系统 |
| CN105122740A (zh) * | 2014-02-26 | 2015-12-02 | 华为技术有限公司 | 一种分流上报的方法、交换机、控制器及系统 |
| CN105122740B (zh) * | 2014-02-26 | 2018-07-20 | 华为技术有限公司 | 一种分流上报的方法、交换机、控制器及系统 |
| CN105227480A (zh) * | 2014-06-13 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 报文转发方法及相关装置和通信系统 |
| CN105227480B (zh) * | 2014-06-13 | 2018-10-19 | 腾讯科技(深圳)有限公司 | 报文转发方法及相关装置和通信系统 |
| CN105515932A (zh) * | 2014-09-24 | 2016-04-20 | 杭州华三通信技术有限公司 | 提高安全集群处理性能的方法及装置 |
| CN105515932B (zh) * | 2014-09-24 | 2019-01-29 | 新华三技术有限公司 | 提高安全集群处理性能的方法及装置 |
| CN107046503A (zh) * | 2017-04-24 | 2017-08-15 | 新华三技术有限公司 | 一种报文传输方法、系统及其装置 |
| CN107046503B (zh) * | 2017-04-24 | 2020-08-04 | 新华三技术有限公司 | 一种报文传输方法、系统及其装置 |
| CN107196798A (zh) * | 2017-05-26 | 2017-09-22 | 烽火通信科技股份有限公司 | 电信管理网中的网络设备管理系统及其方法 |
| CN108683598A (zh) * | 2018-04-20 | 2018-10-19 | 武汉绿色网络信息服务有限责任公司 | 一种非对称网络流量处理方法和处理装置 |
| CN108965483A (zh) * | 2018-09-28 | 2018-12-07 | 武汉慧联无限科技有限公司 | 物联网系统大量设备的数据存储及推送的系统实现方法 |
| CN108965483B (zh) * | 2018-09-28 | 2021-04-23 | 武汉慧联无限科技有限公司 | 物联网系统大量设备的数据存储及推送的系统实现方法 |
| CN112468469A (zh) * | 2020-11-17 | 2021-03-09 | 武汉绿色网络信息服务有限责任公司 | 一种保障sctp协议多归属报文同源同宿的方法和装置 |
| WO2022105730A1 (zh) * | 2020-11-17 | 2022-05-27 | 武汉绿色网络信息服务有限责任公司 | 一种保障sctp协议多归属报文同源同宿的方法和装置 |
| CN113206791A (zh) * | 2021-03-31 | 2021-08-03 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
| CN113206791B (zh) * | 2021-03-31 | 2022-04-01 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100542144C (zh) | 2009-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100542144C (zh) | 基于安全设备的报文转发系统和方法以及安全设备 | |
| US8274980B2 (en) | Ethernet link aggregation | |
| CN103338161B (zh) | 一种实现跨设备聚合的方法和设备 | |
| CN100417142C (zh) | 将接口流量在多个网络处理器引擎中均担的方法 | |
| CN101433029B (zh) | 用于使用第二层源地址的选择性的第二层端口阻塞的方法、系统 | |
| CN101335709B (zh) | 在流量分析服务器之间实现负载分担的方法和分流设备 | |
| US10855480B2 (en) | Systems and methods for processing packets in a computer network | |
| CN101094187B (zh) | 一种学习介质访问控制地址的方法和装置、业务板 | |
| CN102307136B (zh) | 报文处理方法及其装置 | |
| CN100525237C (zh) | 数据转发系统、方法以及网络转发设备 | |
| US9100198B2 (en) | Network provider bridge MMRP registration snooping | |
| CN101175078A (zh) | 应用分布式阈值随机漫步的潜在网络威胁识别 | |
| CN104106244A (zh) | 控制装置、通信系统、通信方法和程序 | |
| EP3020167A1 (en) | Member device of stacked switches system | |
| CN102158421A (zh) | 创建三层接口的方法及单元 | |
| US6501749B1 (en) | System and method for data transmission across a link aggregation | |
| CN101651626B (zh) | 一种流量转发的方法及设备 | |
| RU2007111857A (ru) | Кольцевая сеть, устройство связи и способ оперативного управления, используемый для кольцевой сети и устройства связи | |
| CN101296185B (zh) | 一种均衡组的流量控制方法及装置 | |
| CN104734953A (zh) | 基于vlan实现报文二层隔离的方法、装置及交换机 | |
| CN102255816A (zh) | 负载分担方法及装置 | |
| CN105577562B (zh) | 业务数据流的发送、转发方法及装置 | |
| US8547971B1 (en) | Multi-stage switching system | |
| CN104821914A (zh) | 跨多链路透明连接trill网络的报文转发方法和设备 | |
| CN108712344B (zh) | 一种报文转发方法和网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090916 Termination date: 20200731 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |