发明内容
有鉴于此,本发明要提供一种实现业务代理的装置、系统及方法,以解决目前方案无法在软交换设备中实现业务代理的问题。
为此,本发明实施例采用如下技术方案:
一种实现业务代理的装置,所述装置设置在IP网络和软交换设备之间,并包括以下单元:
路由表预置单元,用于设置并保存报文转发路由表,其中,所述报文转发路由表中包括带有代理标识的代理路由表项;
报文接收单元,用于从IP网络接收报文;
路由匹配单元,用于按照报文信息匹配所述报文转发路由表;
代理控制单元,用于在所述路由匹配单元匹配的路由表项为代理路由表项时,将所述报文发送至协议栈进行业务处理。
一种实现业务代理的系统,包括软交换设备、IP网络和代理设备,所述代理设备设置在所述IP网络和软交换设备之间,所述代理设备包括以下单元:
路由表预置单元,用于保存预置的报文转发路由表,其中,所述报文转发路由表中包括带有代理标识的代理路由表项;
报文接收单元,用于从IP网络接收报文;
路由匹配单元,用于按照报文信息匹配所述报文转发路由表;
代理控制单元,用于在所述路由匹配单元匹配的路由表项为代理路由表项时,将所述报文发送至协议栈进行业务处理。
一种实现业务代理的方法,包括以下步骤:
获取网络报文;
查找预置的报文转发路由表;
若获取的网络报文与所述预置的报文转发路由表中的代理路由表项相匹配时,将所述网络报文发送至所述代理路由表项对应的协议栈进行业务处理。
在本发明实施例中,增加了代理设备,并通过代理设备上的代理路由和协议栈,实现代理业务的处理,由此,解决了现有方案无法将代理业务集成到硬件资源非常有限的软交换设备上的难题,本发明实施例简便易行且利于扩展。
具体实施方式
本发明实施例中引入专用的代理设备,通过在所述专用的代理设备上配置代理路由的方法实现业务代理功能。
参见图2,为本发明实施例基于HFC网络的接入系统架构示意图,除了包括软交换设备201、CMTS202、EMTA203、KDC204、连接软交换设备201和CMTS202的IP网络,以及连接CMTS202和EMTA203的HFC网络外,还在软交换设备201和IP网络之间设置了代理设备205;系统传输的消息包括未加密的NCS消息、加密的NCS消息、未加密的COPS消息以及加密的COPS消息,具体示意参见图2。
其中,代理设备205负责完成业务代理功能,包括kerberos认证、密钥协商以及IPSec传输模式实现等。代理设备205是一台侧重硬件配置的网络设备,具体形式可有多种,例如,可以是防火墙设备,或者是一台路由器等。
在代理设备205上配置到达软交换设备201的报文转发路由表,并在需要代理设备205处理的路由表项上增加代理标识。从IP网络到达代理设备205的报文进行路由表查找,如果匹配的路由表项有代理标识,则进一步根据报文的协议类型、目的端口等信息判断该报文需要何种业务代理,例如,确定某报文是kerberos报文,则将该报文发送至代理设备205的kerberos协议栈进行处理,即实现业务代理,完成业务代理后再按照路由表转发报文。
代理完成的报文分两种情况处理:
1、直接由代理设备205回应,不需要再交给被代理设备处理。
例如kerberos报文、用于密钥协商报文,其中,密钥协商报文包括:互联网密钥交换(Internet Key Exchange,IKE)报文和互联网简单密钥管理协议(Simple Key-Management for Internet Protocol,SKIP)报文等,此时,需要将源地址修改为软交换设备的地址。
2、由代理设备205处理完成后再将报文转发给被代理设备处理。
例如IPSec传输模式解密后还原到原始明文,仍然需要将明文转发给被代理设备进行处理。
一般情况下,上述被代理设备是指软交换设备201。
参见图3,为本发明方法实施例流程图,包括:
S301:代理设备205拦截获取从IP网络发往软交换设备201的网络报文;
S302:查找预置的报文转发路由表,该报文转发路由表中包括带有代理标识的代理路由表项;
S303:判断所述网络报文匹配的路由表项是否为带有代理标识的代理路由表项,若是,执行S304,否则,执行S307,直接转发给被代理设备;
S304:利用协议类型、目的端口等报文信息,确定代理报文类型,将网络报文发送至相应的协议栈进行业务处理;
S305:根据S304,如果网络报文是属于包括kerberos报文和密钥协商报文的第一类直接回复型报文,则执行S306;如果网络报文是属于包括IPSec传输模式报文的第二类转发型报文,则执行S307;
S306:对于第一类直接回复型报文,代理设备205将网络报文发回应给IP网络;
S307:对于第二类转发型报文,代理设备205将网络报文转发给被代理设备。
下面以一个实例进行说明。
在路由器设备上,路由通过命令配置,一般的形式如下:
ip route-static 191.150.0.0 255.255.0.0 191.160.1.41(item1)
ip route-static 191.165.1.41 255.255.255.255 191.165.1.41 hijack(item2)
其中,第二条路由命令是主机路由(注意:掩码是255.255.255.255),意思是目的地址是191.165.1.41(这个地址就是软交换设备的地址)的下一跳是191.165.1.41,主要目的是要加上特殊的代理标识,这里用的是hijack。
假设其中item2为带有代理标识的代理路由表项。
如果此时代理设备205从IP网络接收到的报文匹配上item2,则进一步判断该报文是属于kerberos报文、密钥协商报文或是IPSec传输模式报文:
1、如果是kerberos报文或密钥协商报文,则将报文送入到kerberos协议栈或密钥协议栈处理,然后将报文回应至IP网络,并将源地址修改为软交换设备的地址。
2、如果报文是IPSec传输模式报文,则将报文送入到IPSec协议栈处理,将解密后的明文转发给软交换设备201进一步处理;软交换设备201对其处理完毕后,再由代理设备205的IPSec协议栈加密后返回给IP网络。
在本发明实施例中,增加了代理设备205,并通过代理设备205上的代理路由和协议栈,实现代理业务的处理,由此,解决了现有方案无法将代理业务集成到硬件资源非常有限的软交换设备上的难题,且简便易行。
与上述方法相对应,本发明实施例还提供一种用于HFC网络接入系统、用于实现业务代理的代理装置,该代理装置可以是代理设备205或是代理设备205中的功能实体,具体地,所述代理装置可以是指防火墙设备或路由器设备。
参见图4,为该代理装置内部结构示意图,包括路由表预置单元401、报文接收单元402、路由匹配单元403以及代理控制单元404。
其中:
路由表预置单元401,主要用于设置并保存报文转发路由表,其中,所述路由表中包括带有代理标识的代理路由表项。
报文接收单元402,用于从IP网络接收报文。
路由匹配单元403,用于按照所接收报文信息匹配所述路由表。
代理控制单元404,用于在所述路由匹配单元403匹配的路由表项为代理路由表项时,将所述报文发送至预置的协议栈进行业务处理。
具体地,协议栈与代理路由表项是对应的,包括kerberos协议栈、密钥协商协议栈或IPSec传输模式协议栈。其中,密钥协商协议栈包括IKE协议栈和SKIP协议栈等。
另外,参见图5,该代理装置还可包括回应单元501。
回应单元501,主要用于将所述协议栈业务处理后的报文回应给IP网络。
或者,参见图6,该代理装置还可包括转发单元601。
转发单元601,用于将所述协议栈业务处理后的报文按照目的地址进行转发。
对于本发明实施例提供的代理装置,可直接采用现有的防火墙等网络设备实现,在设计上保证一定的硬件空间,可满足大量代理业务的处理工作,提供整个HFC系统的运行效率。
此外,本发明实施例还提供一种实现业务代理的系统,所述系统是指基于HFC网络的接入系统,包括软交换设备和IP网络,在所述IP网络和软交换设备之间设置代理设备,所述代理设备包括以下单元(参见图4):
路由表预置单元401,用于设置并保存报文转发路由表,其中,所述路由表中包括带有代理标识的代理路由表项;
报文接收单元402,用于从IP网络接收报文;
路由匹配单元403,用于按照所接收报文的信息匹配所述报文转发路由表;
代理控制单元404,用于在所述路由匹配单元403匹配的路由表项为代理路由表项时,将所述报文发送至预置的协议栈进行业务处理。
优选地,所述代理设备还包括(参见图5):
回应单元501,主要用于将所述协议栈业务处理后的报文直接回应给IP网络,并将报文源地址设置为软交换设备的地址。
优选地,所述代理设备还包括(参见图6):
转发单元601,用于将所述协议栈业务处理后的报文按照目的地址进行转发。
本发明实施例提供的系统较现有的HFC接入系统,仅是通过增加代理设备即可实现,可有效解决现有方案无法将代理业务集成到软交换设备中的问题,且简单易行,易于扩展。
本领域普通技术人员可以理解,实现上述实施例的方法的过程可以通过程序指令相关的硬件来完成,所述的程序可以存储于可读取存储介质中,该程序在执行时执行上述方法中的对应步骤。所述的存储介质可以如:ROM/RAM、磁碟、光盘等。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。