一种报文处理方法和装置
技术领域
本发明涉及通信技术领域,特别涉及一种报文处理方法和装置。
背景技术
在国干网、省干网或城域网上的路由器(网关)之间通常会架设有安全设备,用于对两网关之间传输的报文进行分析,并根据分析的结果将传输的报文丢弃、透传或回流重定向。
当安全设备判断某报文需要回流重定向,则安全设备先记录该报文的源MAC(Medium Access Control,介质访问控制)地址和目的MAC地址,并采用流量分析服务器的MAC地址替换该报文的目的MAC地址,采用安全设备的MAC地址替换该报文的源MAC地址,从而生成新报文发送给流量分析服务器。
流量分析服务器在收到安全设备发送的报文后,对其进行流量分析,在流量分析完成之后,流量分析服务器会将报文中的源MAC地址和目的MAC地址交换,回送给安全设备。安全设备采用记录的报文的源MAC地址替换流量分析服务器回送给安全设备的报文的源MAC地址,采用记录的报文的目的MAC地址替换流量分析服务器回送给安全设备的报文的目的MAC地址,从而将流量分析服务器回送给安全设备的报文还原成原报文。最后安全设备按照原报文传输方向,将原报文发送给原报文的目的MAC地址对应的网关。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
若一台安全设备设置在多条链路上,则安全设备会记录多条链路两端网关的MAC地址(即报文的源MAC地址和目的MAC地址),当安全设备收到流量分析服务器回送的报文时,安全设备无法正确区分该报文对应的网关的MAC地址,造成该报文不能发送给正确的网关,所以现有的一台安全设备只能设置在一条链路上,安全设备的利用率较低。当需要对多条链路进行简单的流量分析时,需要设置多台安全设备,运营成本和维护成本较高。
发明内容
为了解决现有技术利用率较低、运营成本和维护成本较高的问题,本发明实施例提供了一种报文处理方法和装置。所述技术方案如下:
第一方面,本发明实施例提供了一种报文处理方法,所述方法包括:
获取第一报文,所述第一报文包括第一报文内容、第一源介质访问控制MAC地址和第一目的MAC地址;
根据所述第一报文,生成第二报文,所述第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,所述第二报文内容包括所述第一报文内容,所述第二源MAC地址包括标记信息,所述标记信息包括传输所述第一报文的链路的链路号;
将所述第二报文发送给所述第二目的MAC地址对应的网络设备;
接收所述第二目的MAC地址对应的网络设备发送的第三报文,所述第三报文包括第三报文内容、第三源MAC地址和第三目的MAC地址,所述第三报文内容为所述第二报文内容,所述第三源MAC地址为所述第二目的MAC地址,所述第三目的MAC地址为所述第二源MAC地址;
根据所述第三报文,生成所述第一报文;
采用所述传输所述第一报文的链路的链路号对应的链路传输所述第一报文;
其中,根据所述第一报文,生成所述第二报文,包括:
采用所述第二源MAC地址替换所述第一源MAC地址,并采用所述第二目的MAC地址替换所述第一目的MAC地址,生成所述第二报文;
根据所述第三报文,生成所述第一报文,包括:
根据所述传输所述第一报文的链路的链路号,确定所述第一源MAC地址和所述第一目的MAC地址;
采用所述第一源MAC地址替换所述第三源MAC地址,并采用所述第一目的MAC地址替换所述第三目的MAC地址,生成所述第一报文。
在本发明的第一种可能的实现方式中,所述获取第一报文,包括:
将接收到的报文与访问控制列表进行匹配,所述访问控制列表用于确定需要转发的报文;
将与所述访问控制列表匹配的报文,作为所述第一报文。
在本发明的第二种可能的实现方式中,所述标记信息包括用于确定所述第一报文的访问控制列表标识、所述第一报文经过端口的端口号和所述第一报文经过设备的设备号中的一种或多种。
在本发明的第三种可能的实现方式中,所述第二源MAC地址包括长度为16比特的第一预留字段、长度为24比特的地址字段和长度为8比特的第二预留字段,其中,所述地址字段为安全设备重定向口的互联网协议IP地址的低24比特,所述第一预留字段和所述第二预留字段中的至少一个包括所述标记信息,所述第二预留字段还用于表示所述第一报文传输方向。
第二方面,本发明实施例提供了一种报文处理方法,所述方法包括:
接收第二报文,所述第二报文是根据第一报文生成的,所述第一报文包括第一报文内容、第一源介质访问控制MAC地址和第一目的MAC地址,所述第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,所述第二报文是采用所述第二源MAC地址替换所述第一源MAC地址,并采用所述第二目的MAC地址替换所述第一目的MAC地址得到的,所述第二报文内容包括所述第一报文内容,所述第二源MAC地址包括标记信息,所述标记信息包括传输所述第一报文的链路的链路号;
对所述第二报文进行处理;
根据所述第二报文,生成第三报文,所述第三报文包括第三报文内容、第三源MAC地址和第三目的MAC地址,所述第三报文内容为所述第二报文内容,所述第三源MAC地址为所述第二目的MAC地址,所述第三目的MAC地址为所述第二源MAC地址;
将所述第三报文法发送给所述第三目的MAC地址对应的网络设备。。
在本发明的第一种可能的实现方式中,所述对所述第二报文进行处理,包括:
对所述第二报文内容进行流量分析。
在本发明的第二种可能的实现方式中,所述对所述第二报文进行处理,包括:
获取所述标记信息并对所述标记信息进行统计分析。
第三方面,本发明实施例提供了一种报文处理装置,所述装置包括:
获取模块,用于获取第一报文,所述第一报文包括第一报文内容、第一源介质访问控制MAC地址和第一目的MAC地址;
第二报文生成模块,用于根据所述第一报文,生成第二报文,所述第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,所述第二报文内容包括所述第一报文内容,所述第二源MAC地址包括标记信息,所述标记信息包括传输所述第一报文的链路的链路号;
发送模块,用于将所述第二报文发送给所述第二目的MAC地址对应的网络设备;
接收模块,用于接收所述第二目的MAC地址对应的网络设备发送的第三报文,所述第三报文包括第三报文内容、第三源MAC地址和第三目的MAC地址,所述第三报文内容为所述第二报文内容,所述第三源MAC地址为所述第二目的MAC地址,所述第三目的MAC地址为所述第二源MAC地址;
第一报文生成模块,用于根据所述第三报文,生成所述第一报文;
所述发送模块还用于,采用所述传输所述第一报文的链路的链路号对应的链路传输所述第一报文;
其中,所述第二报文生成模块用于,采用所述第二源MAC地址替换所述第一源MAC地址,并采用所述第二目的MAC地址替换所述第一目的MAC地址,生成所述第二报文;
所述第一报文生成模块用于,根据所述传输所述第一报文的链路的链路号,确定所述第一源MAC地址和所述第一目的MAC地址;
采用所述第一源MAC地址替换所述第三源MAC地址,并采用所述第一目的MAC地址替换所述第三目的MAC地址,生成所述第一报文。
在本发明的第一种可能的实现方式中,所述获取模块包括:
匹配单元,用于将接收到的报文与访问控制列表进行匹配,所述访问控制列表用于确定需要转发的报文;
确定单元,用于将与所述访问控制列表匹配的报文,作为所述第一报文。
在本发明的第二种可能的实现方式中,所述标记信息包括用于确定所述第一报文的访问控制列表标识、所述第一报文经过端口的端口号和所述第一报文经过设备的设备号中的一种或多种。
在本发明的第三种可能的实现方式中,所述第二源MAC地址包括长度为16比特的第一预留字段、长度为24比特的地址字段和长度为8比特的第二预留字段,其中,所述地址字段为安全设备重定向口的互联网协议IP地址的低24比特,所述第一预留字段和所述第二预留字段中的至少一个包括所述标记信息,所述第二预留字段还用于表示所述第一报文传输方向。
第四方面,本发明实施例提供了一种报文处理装置,所述装置包括:
接收模块,用于接收第二报文,所述第二报文是根据第一报文生成的,所述第一报文包括第一报文内容、第一源介质访问控制MAC地址和第一目的MAC地址,所述第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,所述第二报文是采用所述第二源MAC地址替换所述第一源MAC地址,并采用所述第二目的MAC地址替换所述第一目的MAC地址得到的,所述第二报文内容包括所述第一报文内容,所述第二源MAC地址包括标记信息,所述标记信息包括传输所述第一报文的链路的链路号;
处理模块,用于对所述第二报文进行处理;
所述处理模块还用于,根据所述第二报文,生成第三报文,所述第三报文包括第三报文内容、第三源MAC地址和第三目的MAC地址,所述第三报文内容为所述第二报文内容,所述第三源MAC地址为所述第二目的MAC地址,所述第三目的MAC地址为所述第二源MAC地址;将所述第三报文发送给所述第三目的MAC地址对应的网络设备。
在本发明的第一种可能的实现方式中,所述处理模块用于,
对所述第二报文内容进行流量分析。
在本发明的第二种可能的实现方式中,所述处理模块用于,
获取所述标记信息并对所述标记信息进行统计分析。
本发明实施例提供的技术方案带来的有益效果是:
通过将第二报文发送给第二目的MAC地址对应的网络设备,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二源MAC地址包括标记信息,利用原本不关注的源MAC地址携带标记信息,提高了报文信息的利用率,不会造成网络额外的开销,降低了运行成本。另外,当标记信息包括传输第一报文的链路的链路号时,可以采用传输第一报文的链路的链路号对应的链路传输第一报文,不会因为一台安全设备在多条链路上,导致安全设备无法正确区分记录的第一报文的源MAC地址和目的MAC地址,也就是说,一台设备可以设置在多条链路上,提高了安全设备的利用率,降低了运营成本和维护成本。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种报文处理方法的流程图;
图2是本发明实施例二提供的一种报文处理方法的流程图;
图3是本发明实施例提供的报文处理方法的应用场景图;
图4是本发明实施例三提供的一种报文处理方法的流程交互图;
图5是本发明实施例三提供的第二报文的结构示意图;
图6是本发明实施例三提供的按照预设的标准自动生成的MAC地址的结构示意图;
图7是本发明实施例四提供的一种报文处理方法的流程交互图;
图8是本发明实施例四提供的第二报文的结构示意图;
图9是本发明实施例五提供的一种报文处理方法的流程交互图;
图10是本发明实施例六提供的一种报文处理装置的结构示意图;
图11是本发明实施例七提供的一种报文处理装置的结构示意图;
图12是本发明实施例八提供的一种报文处理装置的硬件结构图;
图13是本发明实施例九提供的一种报文处理装置的结构示意图;
图14是本发明实施例十提供的一种报文处理装置的结构示意图;
图15是本发明实施例十一提供的一种报文处理装置的硬件结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
本发明实施例提供了一种报文处理方法,该方法的执行主体可以为安全设备或者其它监听设备,参见图1,该方法包括:
步骤101:获取第一报文。
在本实施例中,第一报文包括第一报文内容、第一源MAC地址和第一目的MAC地址。
在实际应用中,第一报文可以为国内网关和国外网关之间传输的报文,也可以为省际网关之间传输的报文,还可以为城域网关之间传输的报文等。
步骤102:根据第一报文,生成第二报文。
在本实施例中,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二报文内容包括第一报文内容,第二源MAC地址包括标记信息。
其中,标记信息可以包括传输第一报文的链路的链路号、用于确定第一报文的ACL(Access Control List,访问控制列表)标识、第一报文经过端口的端口号和第一报文经过设备的设备号中的一种或多种。
在本发明的一种实现方式中,该步骤102可以包括:采用第二源MAC地址替换第一源MAC地址,并采用第二目的MAC地址替换第一目的MAC地址,生成第二报文(详见实施例三)。
在本发明的另一种实现方式中,该步骤102可以包括:将第一报文作为第二报文内容,并采用第二源MAC地址和第二目的MAC地址封装第二报文内容,生成第二报文(详见实施例四)。
步骤103:将第二报文发送给第二目的MAC地址对应的网络设备。
本发明实施例通过将第二报文发送给第二目的MAC地址对应的网络设备,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二源MAC地址包括标记信息,利用原本不关注的源MAC地址携带标记信息,提高了报文信息的利用率,不会造成网络额外的开销,降低了运行成本。另外,当标记信息包括传输第一报文的链路的链路号时,可以采用传输第一报文的链路的链路号对应的链路传输第一报文,不会因为一台安全设备在多条链路上,导致安全设备无法正确区分记录的第一报文的源MAC地址和目的MAC地址,也就是说,一台设备可以设置在多条链路上,提高了安全设备的利用率,降低了运营成本和维护成本。
实施例二
本发明实施例提供了一种报文处理方法,该方法的执行主体可以为流量分析服务器或者统计服务器,参见图2,该方法包括:
步骤201:接收第二报文。
在本实施例中,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二报文内容包括第一报文内容,第二源MAC地址包括标记信息。
其中,标记信息可以包括传输第一报文的链路的链路号、用于确定第一报文的ACL标识、第一报文经过端口的端口号和第一报文经过设备的设备号中的一种或多种。
具体地,第二报文可以由实施例一中的安全设备或者其它监听设备发送。
在具体实现中,第二目的MAC地址可以为流量分析服务器的MAC地址,第二源MAC地址可以为按照预设的标准自动生成的MAC地址。
第二目的MAC地址可以为统计服务器的MAC地址,第二源MAC地址可以为监听设备的MAC地址。标记信息携带在监听设备的MAC地址中原来不关注的字段中。
步骤202:对第二报文进行处理。
在本发明的一种实现方式中,当标记信息包括传输第一报文的链路的链路号时,第二目的MAC地址对应的网络设备可以在对第二报文进行处理后,交换第二源MAC地址和第二目的MAC地址,回送给该方法的执行主体(详见实施例三和实施例四)。
在本发明的另一种实现方式中,第二目的MAC地址对应的网络设备可以只对第二报文进行处理(详见实施例五)。
本发明实施例通过将第二报文发送给第二目的MAC地址对应的网络设备,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二源MAC地址包括标记信息,利用原本不关注的源MAC地址携带标记信息,提高了报文信息的利用率,不会造成网络额外的开销,降低了运行成本。另外,当标记信息包括传输第一报文的链路的链路号时,可以采用传输第一报文的链路的链路号对应的链路传输第一报文,不会因为一台安全设备在多条链路上,导致安全设备无法正确区分记录的第一报文的源MAC地址和目的MAC地址,也就是说,一台设备可以设置在多条链路上,提高了安全设备的利用率,降低了运营成本和维护成本。
下面先结合图3简单介绍一下实施例三和实施例四的应用场景。如图3所示,第一网关1和第三网关3之间设有传输报文的第一链路13,第一网关1和第四网关4之间设有传输报文的第二链路14,第二网关2和第三网关3之间设有传输报文的第三链路23,第二网关2和第四网关4之间设有传输报文的第四链路24,安全设备5设置在第一链路13、第二链路14、第三链路23和第四链路24这四条链路上。
当第一网关1、第二网关2、第三网关3和第四网关4中的一个或多个通过第一链路13、第二链路14、第三链路23和第四链路24的一条或多条链路传输报文时,该报文会首先传输到安全设备5。
安全设备5接收到报文后,将报文与ACL进行匹配,根据匹配的结果将传输的报文丢弃、透传或回流重定向。例如,当报文与所有的ACL都不匹配时,安全设备5将报文透传,即安全设备5直接将报文传输给第一网关1、第二网关2、第三网关3或第四网关4;当报文与直接发送的ACL匹配时,安全设备5也将报文透传;当报文与禁止发送的ACL匹配时,安全设备5将报文丢弃;当报文与需要转发的ACL匹配时,安全设备5将报文回流重定向,即安全设备5先将报文发送给流量分析服务器进行流量分析,流量分析完成后,流量分析服务器将报文重新送回安全设备5,安全设备5再将报文传输给第一网关1、第二网关2、第三网关3或第四网关4。
需要说明的是,图1所示的网关数量、安全设备数量、链路数量、以及网关、安全设备、链路之间的连接关系仅为举例,本发明对此不作限制。
实施例三
本实施例以采用第二源MAC地址替换第一源MAC地址,并采用第二目的MAC地址替换第一目的MAC地址,生成第二报文为例,对本发明提供的报文处理方法进行具体说明。本发明实施例提供了一种报文处理方法,参见图4,该方法包括:
步骤301:安全设备获取第一报文。
在本实施例中,第一报文包括第一报文内容、第一源MAC地址和第一目的MAC地址。
可选地,该步骤301可以包括:
将接收到的报文与ACL进行匹配,该ACL用于确定需要转发的报文;
将与该ACL匹配的报文,作为第一报文。
可选地,ACL可以根据需求进行配置。
步骤302:安全设备根据第一报文,生成第二报文,并记录第一源MAC地址和第一目的MAC地址。
在本实施例中,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二报文内容包括第一报文内容,第二源MAC地址包括标记信息。
具体地,标记信息包括传输第一报文的链路的链路号。
可选地,标记信息还可以包括用于确定第一报文的ACL标识、第一报文经过端口的端口号和第一报文经过设备的设备号中的一种或多种。
具体地,根据第一报文,生成第二报文,可以包括:
采用第二源MAC地址替换第一源MAC地址,并采用第二目的MAC地址替换第一目的MAC地址,生成第二报文。
在具体实现中,第二目的MAC地址为流量分析服务器的MAC地址,第二源MAC地址为按照预设的标准自动生成的MAC地址。在本实施例的一种实现方式中,按照预设的标准自动生成的MAC地址包括长度为16bit的第一预留字段、长度为24bit的地址字段和长度为8bit的第二预留字段,其中,地址字段为安全设备重定向口的IP(Internet Protocol,互联网协议)地址的低24bit,第一预留字段和第二预留字段中的至少一个包括标记信息,第二预留字段还用于表示第一报文传输方向。
具体地,第一预留字段的16bit可以全部默认为0,或者,第一预留字段的16bit可以部分为0,部分用于携带标记信息,或者,第一预留字段的16bit可以全部用于携带标记信息,可以根据实际需要设置,在此不做限制。第二预留字段的前7bit可以全部用于携带标记信息,第二预留字段的前7bit也可以部分用于供安全设备厂家利用,部分用于携带标记信息(例如,前4bit供厂家利用,后3bit携带标记信息,如链路号),或者全部供厂家利用,第二预留字段的最后1bit用于表示第一报文传输方向。需要说明的是,当第二预留字段的前7bit均供厂家利用时,第一预留字段需要携带标记信息,也就是说,本发明不存在第一预留字段的16bit均为0,且第二预留字段的前7bit供安全设备厂家自行利用而最后1bit用于表示第一报文传输方向的情况。
图5为本实施例中第二报文的结构示意图,在图5中,第二报文包括DMAC、SMAC、第一报文的报文内容。其中,DMAC为第二目的MAC地址,SMAC为第二源MAC地址。图6为按照预设的标准自动生成的MAC地址的结构示意图,在图6中,第二预留字段包括标记信息,厂家利用的字段和标记信息共7bit。
步骤303:安全设备将第二报文发送给流量分析服务器。
步骤304:流量分析服务器接收第二报文,并对第二报文内容进行流量分析。
在实际应用中,流量分析服务器会对第二报文进行解析,分析第二报文是否携带有敏感信息或者非法信息,方便有关部门进行合法监听。当第二报文中会携带有敏感信息或者非法信息时,流量分析服务器会告知安全设备,安全设备可以为发送生成第二报文根据的第一报文的网络设备建立禁止发送的ACL,并删除为该网络设备建立的需要转发的ACL。同时流量分析服务器可以将第二报文丢弃,或者将第二源MAC地址和第二目的MAC地址交换,回送给安全设备(详见步骤305-步骤306)。
步骤305:流量分析服务器根据第二报文,生成第三报文。该步骤305为可选步骤。
在本实施例中,第三报文包括第三报文内容、第三源MAC地址和第三目的MAC地址。第三报文内容为第二报文内容,第三源MAC地址为第二目的MAC地址,第三目的MAC地址为第二源MAC地址。
步骤306:流量分析服务器将第三报文发送给安全设备。该步骤306为可选步骤。
步骤307:安全设备接收流量分析服务器发送的第三报文,并根据第三报文,生成第一报文。该步骤307为可选步骤。
可选地,该步骤307可以包括:
根据传输第一报文的链路的链路号,确定第一源MAC地址和第一目的MAC地址;
采用第一源MAC地址替换第三源MAC地址,并采用第一目的MAC地址替换第三目的MAC地址,生成第一报文。
在具体实现中,根据传输第一报文的链路的链路号,确定第一源MAC地址和第一目的MAC地址,可以包括:根据传输第一报文的链路的链路号,确定传输第一报文的链路和该链路两端的设备;根据第一报文传输方向,确定该链路两端的设备中的发送设备和接收设备;在若干记录的第一源MAC地址和第一目的MAC地址中,将确定的发送设备的MAC地址作为第一报文的第一源MAC地址,确定的接收设备的MAC地址作为第一报文的第一目的MAC地址。
步骤308:安全设备采用传输第一报文的链路的链路号对应的链路传输第一报文。
在具体实现中,该步骤308可以包括:
按照第一报文传输方向在传输第一报文的链路的链路号对应链路上传输第一报文。
本发明实施例通过将第二报文发送给第二目的MAC地址对应的网络设备,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二源MAC地址包括标记信息,利用原本不关注的源MAC地址携带标记信息,提高了报文信息的利用率,不会造成网络额外的开销,降低了运行成本。另外,当标记信息包括传输第一报文的链路的链路号时,可以采用传输第一报文的链路的链路号对应的链路传输第一报文,不会因为一台安全设备在多条链路上,导致安全设备无法正确区分记录的第一报文的源MAC地址和目的MAC地址,也就是说,一台设备可以设置在多条链路上,提高了安全设备的利用率,降低了运营成本和维护成本。
实施例四
本实施例以将第一报文作为第二报文内容,并采用第二源MAC地址和第二目的MAC地址封装第二报文内容,生成第二报文为例,对本发明提供的报文处理方法进行具体介绍。本发明实施例提供了一种报文处理方法,参见图7,该方法包括:
步骤401:安全设备获取第一报文。
在本实施例中,第一报文包括第一报文内容、第一源MAC地址和第一目的MAC地址。
具体地,该步骤401可以实施例三中的步骤301相同,在此不再详述。
步骤402:安全设备将第一报文作为第二报文内容,并采用第二源MAC地址和第二目的MAC地址封装第二报文内容,生成第二报文。
在本实施例中,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二报文内容包括第一报文内容,第二源MAC地址包括标记信息。
具体地,标记信息包括传输第一报文的链路的链路号。
可选地,标记信息还可以包括用于确定第一报文的ACL标识、第一报文经过端口的端口号和第一报文经过设备的设备号中的一种或多种。
在具体实现中,第二目的MAC地址为流量分析服务器的MAC地址,第二源MAC地址为按照预设的标准自动生成的MAC地址。在本实施例的一种实现方式中,按照预设的标准自动生成的MAC地址包括长度为16bit的第一预留字段、长度为24bit的地址字段和长度为8bit的第二预留字段,其中,地址字段为安全设备重定向口的IP地址的低24bit,第一预留字段和第二预留字段中的至少一个包括标记信息,第二预留字段还用于表示第一报文传输方向。
具体地,第一预留字段的16bit可以全部默认为0,或者,第一预留字段的16bit可以部分为0,部分用于携带标记信息,或者,第一预留字段的16bit可以全部用于携带标记信息,可以根据实际需要设置,在此不做限制。第二预留字段的前7bit可以全部用于携带标记信息,第二预留字段的前7bit也可以部分用于供安全设备厂家利用,部分用于携带标记信息(例如,前4bit供厂家利用,后3bit携带标记信息,如链路号),或者全部供厂家利用,第二预留字段的最后1bit用于表示第一报文传输方向。需要说明的是,当第二预留字段的前7bit均供厂家利用时,第一预留字段需要携带标记信息,也就是说,本发明不存在第一预留字段的16bit均为0,且第二预留字段的前7bit供安全设备厂家自行利用而最后1bit用于表示第一报文传输方向的情况。
需要说明的是,由于本实施例的第二报文封装了两层MAC地址(第一层是第一源MAC地址和第一目的MAC地址,第二层是第二源MAC地址和第二目的MAC地址),根据MAC inMAC协议,第二报文还包括type(类型)字段。
优选地,type字段可以为0x88A8。
具体地,type字段可以根据安全设备的不同进行不同的配置。
图8为本实施例中第二报文的结构示意图,在图8中,第二报文包括DMAC、SMAC、type字段、第一报文。其中,DMAC为第二目的MAC地址,第二SMAC为源MAC地址。
步骤403:安全设备将第二报文发送给流量分析服务器。
步骤404:流量分析服务器接收第二报文,并对第二报文内容进行流量分析。
可选地,该步骤404可以与实施例三中的步骤304相同,在此不再详述。
步骤405:流量分析服务器根据第二报文,生成第三报文。该步骤405为可选步骤。
在本实施例中,第三报文包括第三报文内容、第三源MAC地址和第三目的MAC地址。第三报文内容为第二报文内容,第三源MAC地址为第二目的MAC地址,第三目的MAC地址为第二源MAC地址。
可选地,该步骤405可以与实施例三中的步骤305相同,在此不再详述。
步骤406:流量分析服务器将第三报文法发送给安全设备。该步骤406为可选步骤。
可选地,该步骤406可以与实施例三中的步骤306相同,在此不再详述。
步骤407:安全设备接收流量分析服务器发送的第三报文,并根据第三报文,生成第一报文。该步骤407为可选步骤。
可选地,该步骤407可以包括:
对第三报文解封装,将第三报文内容作为第一报文。
步骤408:安全设备采用传输第一报文的链路的链路号对应的链路传输第一报文。
可选地,该步骤408可以与实施例三中的步骤308相同,在此不再详述。
本发明实施例通过将第二报文发送给第二目的MAC地址对应的网络设备,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二源MAC地址包括标记信息,利用原本不关注的源MAC地址携带标记信息,提高了报文信息的利用率,不会造成网络额外的开销,降低了运行成本。另外,当标记信息包括传输第一报文的链路的链路号时,可以采用传输第一报文的链路的链路号对应的链路传输第一报文,不会因为一台安全设备在多条链路上,导致安全设备无法正确区分记录的第一报文的源MAC地址和目的MAC地址,也就是说,一台设备可以设置在多条链路上,提高了安全设备的利用率,降低了运营成本和维护成本。第二报文还包括第一源MAC地址和第一目的MAC地址,安全设备不需要记录第一源MAC地址和第一目的MAC地址,避免了安全设备由于记录第一源MAC地址和第一目的MAC地址带来的开销和风险。
下面先简单介绍一下实施例五的应用场景。第一网关和第三网关之间设有传输报文的第一链路,第一网关和第四网关之间设有传输报文的第二链路,第二网关和第三网关之间设有传输报文的第三链路,第二网关和第四网关之间设有传输报文的第四链路,监听设备设置在第一链路、第二链路、第三链路和第四链路这四条链路上。
当第一网关、第二网关、第三网关和第四网关中的一个或多个通过第一链路、第二链路、第三链路和第四链路的一条或多条链路传输报文时,该报文会首先传输到监听设备。
监听设备接收到报文后,将报文分发或者复制,可以同时传输给统计服务器和第一网关、第二网关、第三网关或第四网关,也可以将原报文传输给第一网关、第二网关、第三网关或第四网关,分发或复制的报文与ACL匹配,根据匹配的结果将分发或复制的报文丢弃或传输给统计服务器。
需要说明的是,以上所述的网关数量、安全设备数量、链路数量、以及网关、安全设备、链路之间的连接关系仅为举例,本发明对此不作限制。
实施例五
本实施例以第二目的MAC地址对应的网络设备只对第二报文进行处理为例,对本发明提供的报文处理方法进行具体介绍。本发明实施例提供了一种报文处理方法,参见图9,该方法包括:
步骤501:监听设备获取第一报文。
在本实施例中,第一报文包括第一报文内容、第一源MAC地址和第一目的MAC地址。
具体地,该步骤501可以实施例三中的步骤301相同,在此不再详述。
步骤502:监听设备根据第一报文,生成第二报文。
具体地,该步骤502可以实施例三中的根据第一报文,生成第二报文相同,也可以与实施例四中的步骤402相同,在此不再详述。
在本实施例中,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二报文内容包括第一报文内容,第二源MAC地址包括标记信息。
可选地,标记信息可以包括传输第一报文的链路的链路号、用于确定第一报文的ACL标识、第一报文经过端口的端口号和第一报文经过设备的设备号中的一种或多种。
在具体实现中,第二目的MAC地址为统计服务器的MAC地址,第二源MAC地址为监听设备的MAC地址。标记信息携带在监听设备的MAC地址中原来不关注的字段中。
步骤503:监听设备将第二报文发送给统计服务器。
步骤504:统计服务器接收第二报文,获取标记信息并对标记信息进行统计分析。
在实际应用中,统计服务器可以先根据传输第一报文的链路的链路号、用于确定第一报文的ACL标识、第一报文经过端口的端口号和第一报文经过设备的设备号中的一种或多种,确定第一报文对应的链路(传输第一报文的链路的链路号对应的链路或者用于确定第一报文的ACL标识对应的链路)或者设备(第一报文经过端口的端口号对应的设备或者第一报文经过设备的设备号对应的设备),即对第一报文进行定位;再按照第一报文对应的链路或者设备进行划分,统计一条或多条链路或者一台或多台设备的流量,以便用户获知链路或者设备的流量,及时进行调整。
本发明实施例通过将第二报文发送给第二目的MAC地址对应的网络设备,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二源MAC地址包括标记信息,利用原本不关注的源MAC地址携带标记信息,提高了报文信息的利用率,不会造成网络额外的开销,降低了运行成本。另外,当标记信息包括传输第一报文的链路的链路号时,可以采用传输第一报文的链路的链路号对应的链路传输第一报文,不会因为一台安全设备在多条链路上,导致安全设备无法正确区分记录的第一报文的源MAC地址和目的MAC地址,也就是说,一台设备可以设置在多条链路上,提高了安全设备的利用率,降低了运营成本和维护成本。
实施例六
本发明实施例提供了一种报文处理装置,该装置可以设置在安全设备或其它监听设备上,适用于实施例一提供的报文处理方法,参见图10,该装置包括:
获取模块601,用于获取第一报文,第一报文包括第一报文内容、第一源MAC地址和第一目的MAC地址;
第二报文生成模块602,用于根据第一报文,生成第二报文,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二报文内容包括第一报文内容,第二源MAC地址包括标记信息;
发送模块603,用于将第二报文发送给第二目的MAC地址对应的网络设备。
在本实施例中,标记信息可以包括传输第一报文的链路的链路号、用于确定第一报文的ACL标识、第一报文经过端口的端口号和第一报文经过设备的设备号中的一种或多种。
本发明实施例通过将第二报文发送给第二目的MAC地址对应的网络设备,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二源MAC地址包括标记信息,利用原本不关注的源MAC地址携带标记信息,提高了报文信息的利用率,不会造成网络额外的开销,降低了运行成本。另外,当标记信息包括传输第一报文的链路的链路号时,可以采用传输第一报文的链路的链路号对应的链路传输第一报文,不会因为一台安全设备在多条链路上,导致安全设备无法正确区分记录的第一报文的源MAC地址和目的MAC地址,也就是说,一台设备可以设置在多条链路上,提高了安全设备的利用率,降低了运营成本和维护成本。
实施例七
本实施例是对实施例六提供的报文处理装置的具体说明。本发明实施例提供了一种报文处理装置,适用于实施例三、实施例四或实施例五提供的报文处理方法,参见图11,该装置包括:
获取模块701,用于获取第一报文,第一报文包括第一报文内容、第一源MAC地址和第一目的MAC地址;
第二报文生成模块702,用于根据第一报文,生成第二报文,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二报文内容包括第一报文内容,第二源MAC地址包括标记信息;
发送模块703,用于将第二报文发送给第二目的MAC地址对应的网络设备。
在具体实现中,第二目的MAC地址可以为流量分析服务器的MAC地址,第二源MAC地址可以为按照预设的标准自动生成的MAC地址。在本实施例的一种实现方式中,按照预设的标准自动生成的MAC地址包括长度为16bit的第一预留字段、长度为24bit的地址字段和长度为8bit的第二预留字段,其中,地址字段为安全设备重定向口的IP地址的低24bit,第一预留字段和第二预留字段中的至少一个包括标记信息,第二预留字段还用于表示第一报文传输方向。
具体地,第一预留字段的16bit可以全部默认为0,或者,第一预留字段的16bit可以部分为0,部分用于携带标记信息,或者,第一预留字段的16bit可以全部用于携带标记信息,可以根据实际需要设置,在此不做限制。第二预留字段的前7bit可以全部用于携带标记信息,第二预留字段的前7bit也可以部分用于供安全设备厂家利用,部分用于携带标记信息(例如,前4bit供厂家利用,后3bit携带标记信息,如链路号),或者全部供厂家利用,第二预留字段的最后1bit用于表示第一报文传输方向。需要说明的是,当第二预留字段的前7bit均供厂家利用时,第一预留字段需要携带标记信息,也就是说,本发明不存在第一预留字段的16bit均为0,且第二预留字段的前7bit供安全设备厂家自行利用而最后1bit用于表示第一报文传输方向的情况。
第二目的MAC地址可以为统计服务器的MAC地址,第二源MAC地址可以为监听设备的MAC地址。标记信息携带在监听设备的MAC地址中原来不关注的字段中。
可选地,标记信息可以包括传输第一报文的链路的链路号、用于确定第一报文的ACL标识、第一报文经过端口的端口号和第一报文经过设备的设备号中的一种或多种。
可选地,获取模块701可以包括:
匹配单元,用于将接收到的报文与ACL进行匹配,该ACL用于确定需要转发的报文;
确定单元,用于将与该ACL匹配的报文,作为第一报文。
可选地,ACL可以根据需求进行配置。
在本实施例的第一种实现方式中,第二报文生成模块702可以用于,
采用第二源MAC地址替换第一源MAC地址,并采用第二目的MAC地址替换第一目的MAC地址,生成第二报文。
在本实施例的第二种实现方式中,第二报文生成模块702可以用于,
将第一报文作为第二报文内容,并采用第二源MAC地址和第二目的MAC地址封装第二报文内容,生成第二报文。
在该种实现方式中,由于本实施例的第二报文封装了两层MAC地址(第一层是第一源MAC地址和第一目的MAC地址,第二层是第二源MAC地址和第二目的MAC地址),根据MAC inMAC协议,第二报文还包括type字段。
优选地,type字段可以为0x88A8。
具体地,type字段可以根据安全设备的不同进行不同的配置。
在本实施例的第三种实现方式中,该装置还可以包括:
接收模块704,用于当标记信息包括传输第一报文的链路的链路号时,接收第二目的MAC地址对应的网络设备发送的第三报文,第三报文包括第三报文内容、第三源MAC地址和第三目的MAC地址,第三报文内容为第二报文内容,第三源MAC地址为第二目的MAC地址,第三目的MAC地址为第二源MAC地址;
第一报文生成模块705,用于根据第三报文,生成第一报文;
发送模块703还用于,采用传输第一报文的链路的链路号对应的链路传输第一报文。
可选地,当第二报文生成模块702采用第一种实现方式时,第一报文生成模块705可以用于,
采用第一源MAC地址替换第三源MAC地址,并采用第一目的MAC地址替换第三目的MAC地址,生成第一报文。
可选地,当第二报文生成模块702采用第二种实现方式时,第一报文生成模块705可以用于,
对第三报文进行解封装,将第三报文内容作为第一报文。
本发明实施例通过将第二报文发送给第二目的MAC地址对应的网络设备,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二源MAC地址包括标记信息,利用原本不关注的源MAC地址携带标记信息,提高了报文信息的利用率,不会造成网络额外的开销,降低了运行成本。另外,当标记信息包括传输第一报文的链路的链路号时,可以采用传输第一报文的链路的链路号对应的链路传输第一报文,不会因为一台安全设备在多条链路上,导致安全设备无法正确区分记录的第一报文的源MAC地址和目的MAC地址,也就是说,一台设备可以设置在多条链路上,提高了安全设备的利用率,降低了运营成本和维护成本。第二报文还包括第一源MAC地址和第一目的MAC地址,因此安全设备不需要记录第一源MAC地址和第一目的MAC地址,避免了安全设备由于记录第一源MAC地址和第一目的MAC地址带来的开销和风险。
实施例八
本发明实施例提供了一种报文处理装置,该装置可以为一种安全设备或者其它监听设备,如图12所示。该装置80一般包括发送器81、接收器82、至少一个存储器83、以及至少一个处理器84等部件。本领域技术人员可以理解,图12中所示出的结构并不构成对被装置的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图12对装置80的各个构成部件进行具体的介绍:
至少一个存储器83可用于存储软件程序以及应用模块,至少一个处理器84通过运行存储在至少一个存储器83的软件程序以及应用模块,从而执行装置80的各种功能应用以及数据处理。至少一个存储器83可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如根据第一报文,生成第二报文等)等;存储数据区可存储根据装置80的处理所创建的数据(比如第二报文)等。此外,至少一个存储器83可以包括高速RAM(Random Access Memory,随机存取存储器),还可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
至少一个处理器84是装置80的控制中心,利用各种接口和线路连接整个装置的各个部分,通过运行或执行存储在至少一个存储器83内的软件程序和/或应用模块,以及调用存储在至少一个存储器83内的数据,执行装置80的各种功能和处理数据,从而对装置进行整体监控。可选的,至少一个处理器84可包括一个或多个处理核心;优选的,至少一个处理器84可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到至少一个处理器84中。
在本实施例中,一个或者一个以上程序的程序存储于至少一个存储器83中,且经配置以由至少一个处理器84执行,一个或者一个以上程序包含用于进行以下操作的指令:
获取第一报文,第一报文包括第一报文内容、第一源MAC地址和第一目的MAC地址;
根据第一报文,生成第二报文,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二报文内容包括第一报文内容,第二源MAC地址包括标记信息;
用于将第二报文发送给第二目的MAC地址对应的网络设备。
在具体实现中,第二目的MAC地址可以为流量分析服务器的MAC地址,第二源MAC地址可以为按照预设的标准自动生成的MAC地址。在本实施例的一种实现方式中,按照预设的标准自动生成的MAC地址包括长度为16bit的第一预留字段、长度为24bit的地址字段和长度为8bit的第二预留字段,其中,地址字段为安全设备重定向口的IP地址的低24bit,第一预留字段和第二预留字段中的至少一个包括标记信息,第二预留字段还用于表示第一报文传输方向。
具体地,第一预留字段的16bit可以全部默认为0,或者,第一预留字段的16bit可以部分为0,部分用于携带标记信息,或者,第一预留字段的16bit可以全部用于携带标记信息,可以根据实际需要设置,在此不做限制。第二预留字段的前7bit可以全部用于携带标记信息,第二预留字段的前7bit也可以部分用于供安全设备厂家利用,部分用于携带标记信息(例如,前4bit供厂家利用,后3bit携带标记信息,如链路号),或者全部供厂家利用,第二预留字段的最后1bit用于表示第一报文传输方向。需要说明的是,当第二预留字段的前7bit均供厂家利用时,第一预留字段需要携带标记信息,也就是说,本发明不存在第一预留字段的16bit均为0,且第二预留字段的前7bit供安全设备厂家自行利用而最后1bit用于表示第一报文传输方向的情况。
第二目的MAC地址可以为统计服务器的MAC地址,第二源MAC地址可以为监听设备的MAC地址。标记信息设置在监听设备的MAC地址中原来不关注的字段中。
可选地,标记信息可以包括传输第一报文的链路的链路号、用于确定第一报文的ACL标识、第一报文经过端口的端口号和第一报文经过设备的设备号中的一种或多种。
可选地,一个或者一个以上程序可以包含用于进行以下操作的指令:
将接收到的报文与ACL进行匹配,该ACL用于确定需要转发的报文;
将与该ACL匹配的报文,作为第一报文。
可选地,ACL可以根据需求进行配置。
在本实施例的第一种实现方式中,一个或者一个以上程序可以包含用于进行以下操作的指令:
采用第二源MAC地址替换第一源MAC地址,并采用第二目的MAC地址替换第一目的MAC地址,生成第二报文。
在本实施例的第二种实现方式中,一个或者一个以上程序可以包含用于进行以下操作的指令:
将第一报文作为第二报文内容,并采用第二源MAC地址和第二目的MAC地址封装第二报文内容,生成第二报文。
在该种实现方式中,由于本实施例的第二报文封装了两层MAC地址(第一层是第一源MAC地址和第一目的MAC地址,第二层是第二源MAC地址和第二目的MAC地址),根据MAC inMAC协议,第二报文还包括type字段。
优选地,type字段可以为0x88A8。
具体地,type字段可以根据安全设备的不同进行不同的配置。
在本实施例的第三种实现方式中,一个或者一个以上程序还可以包含用于进行以下操作的指令:
当标记信息包括传输第一报文的链路的链路号时,接收第二目的MAC地址对应的网络设备发送的第三报文,第三报文包括第三报文内容、第三源MAC地址和第三目的MAC地址,第三报文内容为第二报文内容,第三源MAC地址为第二目的MAC地址,第三目的MAC地址为第二源MAC地址;
根据第三报文,生成第一报文;
采用传输第一报文的链路的链路号对应的链路传输第一报文。
可选地,当采用第一种实现方式时,一个或者一个以上程序可以包含用于进行以下操作的指令:
采用第一源MAC地址替换第三源MAC地址,并采用第一目的MAC地址替换第三目的MAC地址,生成第一报文。
可选地,当采用第二种实现方式时,一个或者一个以上程序可以包含用于进行以下操作的指令:
对第三报文进行解封装,将第三报文内容作为第一报文。
本发明实施例通过将第二报文发送给第二目的MAC地址对应的网络设备,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二源MAC地址包括标记信息,利用原本不关注的源MAC地址携带标记信息,提高了报文信息的利用率,不会造成网络额外的开销,降低了运行成本。另外,当标记信息包括传输第一报文的链路的链路号时,可以采用传输第一报文的链路的链路号对应的链路传输第一报文,不会因为一台安全设备在多条链路上,导致安全设备无法正确区分记录的第一报文的源MAC地址和目的MAC地址,也就是说,一台设备可以设置在多条链路上,提高了安全设备的利用率,降低了运营成本和维护成本。第二报文还包括第一源MAC地址和第一目的MAC地址,因此安全设备不需要记录第一源MAC地址和第一目的MAC地址,避免了安全设备由于记录第一源MAC地址和第一目的MAC地址带来的开销和风险。
实施例九
本发明实施例提供了一种报文处理装置,该装置可以设置在流量分析服务器或者统计服务器上,适用于实施例二提供的报文处理方法,参见图13,该装置包括:
接收模块901,用于接收第二报文,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二报文内容包括第一报文内容,第二源MAC地址包括标记信息;
处理模块902,用于对第二报文进行处理。
在本实施例中,标记信息可以包括传输第一报文的链路的链路号、用于确定第一报文的ACL标识、第一报文经过端口的端口号和第一报文经过设备的设备号中的一种或多种。
在具体实现中,第二目的MAC地址可以为流量分析服务器的MAC地址,第二源MAC地址可以为按照预设的标准自动生成的MAC地址。
第二目的MAC地址可以为统计服务器的MAC地址,第二源MAC地址可以为监听设备的MAC地址。标记信息携带在监听设备的MAC地址中原来不关注的字段中。
本发明实施例通过将第二报文发送给第二目的MAC地址对应的网络设备,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二源MAC地址包括标记信息,利用原本不关注的源MAC地址携带标记信息,提高了报文信息的利用率,不会造成网络额外的开销,降低了运行成本。另外,当标记信息包括传输第一报文的链路的链路号时,可以采用传输第一报文的链路的链路号对应的链路传输第一报文,不会因为一台安全设备在多条链路上,导致安全设备无法正确区分记录的第一报文的源MAC地址和目的MAC地址,也就是说,一台设备可以设置在多条链路上,提高了安全设备的利用率,降低了运营成本和维护成本。
实施例十
本实施例是对实施例九提供的报文处理装置的具体说明。本发明实施例提供了一种报文处理装置,适用于实施例三、实施例四或实施例五提供的报文处理方法,参见图14,该装置包括:
接收模块1001,用于接收第二报文,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二报文内容包括第一报文内容,第二源MAC地址包括标记信息;
处理模块1002,用于对第二报文进行处理。
在具体实现中,第二目的MAC地址可以为流量分析服务器的MAC地址,第二源MAC地址可以为按照预设的标准自动生成的MAC地址。在本实施例的一种实现方式中,按照预设的标准自动生成的MAC地址包括长度为16bit的第一预留字段、长度为24bit的地址字段和长度为8bit的第二预留字段,其中,地址字段为安全设备重定向口的IP地址的低24bit,第一预留字段和第二预留字段中的至少一个包括标记信息,第二预留字段还用于表示第一报文传输方向。
具体地,第一预留字段的16bit可以全部默认为0,或者,第一预留字段的16bit可以部分为0,部分用于携带标记信息,或者,第一预留字段的16bit可以全部用于携带标记信息,可以根据实际需要设置,在此不做限制。第二预留字段的前7bit可以全部用于携带标记信息,第二预留字段的前7bit也可以部分用于供安全设备厂家利用,部分用于携带标记信息(例如,前4bit供厂家利用,后3bit携带标记信息,如链路号),或者全部供厂家利用,第二预留字段的最后1bit用于表示第一报文传输方向。需要说明的是,当第二预留字段的前7bit均供厂家利用时,第一预留字段需要携带标记信息,也就是说,本发明不存在第一预留字段的16bit均为0,且第二预留字段的前7bit供安全设备厂家自行利用而最后1bit用于表示第一报文传输方向的情况。
第二目的MAC地址可以为统计服务器的MAC地址,第二源MAC地址可以为监听设备的MAC地址。标记信息设置在监听设备的MAC地址中原来不关注的字段中。
可选地,标记信息可以包括传输第一报文的链路的链路号、用于确定第一报文的ACL标识、第一报文经过端口的端口号和第一报文经过设备的设备号中的一种或多种。
在本实施例的一种实现方式中,处理模块1002可以用于,
对第二报文内容进行流量分析。
在该种实现方式中,处理模块1002还可以用于,
当标记信息包括传输第一报文的链路的链路号时,根据第二报文,生成第三报文,第三报文包括第三报文内容、第三源MAC地址和第三目的MAC地址,第三报文内容为第二报文内容,第三源MAC地址为第二目的MAC地址,第三目的MAC地址为第二源MAC地址;
将第三报文法发送给第三目的MAC地址对应的网络设备。
在实际应用中,流量分析服务器会对第二报文进行解析,分析第二报文是否携带有敏感信息或者非法信息,方便有关部门进行合法监听。当第二报文中会携带有敏感信息或者非法信息时,流量分析服务器会告知安全设备,安全设备可以为发送生成第二报文根据的第一报文的网络设备建立禁止发送的ACL,并删除为该网络设备建立的需要转发的ACL。同时流量分析服务器可以将第二报文丢弃,或者将第二源MAC地址和第二目的MAC地址交换,回送给安全设备。
在本实施例的另一种实现方式中,处理模块1002可以用于,
获取标记信息并对标记信息进行统计分析。
在实际应用中,统计服务器可以先根据传输第一报文的链路的链路号、用于确定第一报文的ACL标识、第一报文经过端口的端口号和第一报文经过设备的设备号中的一种或多种,确定第一报文对应的链路(传输第一报文的链路的链路号对应的链路或者用于确定第一报文的ACL标识对应的链路)或者设备(第一报文经过端口的端口号对应的设备或者第一报文经过设备的设备号对应的设备),即对第一报文进行定位;再按照第一报文对应的链路或者设备进行划分,统计一条或多条链路或者一台或多台设备的流量,以便用户获知链路或者设备的流量,及时进行调整。
本发明实施例通过将第二报文发送给第二目的MAC地址对应的网络设备,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二源MAC地址包括标记信息,利用原本不关注的源MAC地址携带标记信息,提高了报文信息的利用率,不会造成网络额外的开销,降低了运行成本。另外,当标记信息包括传输第一报文的链路的链路号时,可以采用传输第一报文的链路的链路号对应的链路传输第一报文,不会因为一台安全设备在多条链路上,导致安全设备无法正确区分记录的第一报文的源MAC地址和目的MAC地址,也就是说,一台设备可以设置在多条链路上,提高了安全设备的利用率,降低了运营成本和维护成本。第二报文还包括第一源MAC地址和第一目的MAC地址,因此安全设备不需要记录第一源MAC地址和第一目的MAC地址,避免了安全设备由于记录第一源MAC地址和第一目的MAC地址带来的开销和风险。
实施例十一
本发明实施例提供了一种报文处理装置,该装置可以为一种流量分析服务器或者统计服务器,如图15所示。该装置110一般包括发送器111、接收器112、至少一个存储器113、以及至少一个处理器114等部件。本领域技术人员可以理解,图15中所示出的结构并不构成对被装置的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图15对装置110的各个构成部件进行具体的介绍:
至少一个存储器113可用于存储软件程序以及应用模块,至少一个处理器114通过运行存储在至少一个存储器113的软件程序以及应用模块,从而执行装置110的各种功能应用以及数据处理。至少一个存储器113可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如根据第二报文,生成第三报文等)等;存储数据区可存储根据装置110的处理所创建的数据(比如第三报文)等。此外,至少一个存储器113可以包括高速RAM(Random Access Memory,随机存取存储器),还可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
至少一个处理器114是装置110的控制中心,利用各种接口和线路连接整个装置的各个部分,通过运行或执行存储在至少一个存储器113内的软件程序和/或应用模块,以及调用存储在至少一个存储器113内的数据,执行装置110的各种功能和处理数据,从而对装置进行整体监控。可选的,至少一个处理器114可包括一个或多个处理核心;优选的,至少一个处理器114可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到至少一个处理器114中。
在本实施例中,一个或者一个以上程序的程序存储于至少一个存储器113中,且经配置以由至少一个处理器114执行,一个或者一个以上程序包含用于进行以下操作的指令:
接收第二报文,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二报文内容包括第一报文内容,第二源MAC地址包括标记信息;
对第二报文进行处理。
在具体实现中,第二目的MAC地址可以为流量分析服务器的MAC地址,第二源MAC地址可以为按照预设的标准自动生成的MAC地址。在本实施例的一种实现方式中,按照预设的标准自动生成的MAC地址包括长度为16bit的第一预留字段、长度为24bit的地址字段和长度为8bit的第二预留字段,其中,地址字段为安全设备重定向口的IP地址的低24bit,第一预留字段和第二预留字段中的至少一个包括标记信息,第二预留字段还用于表示第一报文传输方向。
具体地,第一预留字段的16bit可以全部默认为0,或者,第一预留字段的16bit可以部分为0,部分用于携带标记信息,或者,第一预留字段的16bit可以全部用于携带标记信息,可以根据实际需要设置,在此不做限制。第二预留字段的前7bit可以全部用于携带标记信息,第二预留字段的前7bit也可以部分用于供安全设备厂家利用,部分用于携带标记信息(例如,前4bit供厂家利用,后3bit携带标记信息,如链路号),或者全部供厂家利用,第二预留字段的最后1bit用于表示第一报文传输方向。需要说明的是,当第二预留字段的前7bit均供厂家利用时,第一预留字段需要携带标记信息,也就是说,本发明不存在第一预留字段的16bit均为0,且第二预留字段的前7bit供安全设备厂家自行利用而最后1bit用于表示第一报文传输方向的情况。
第二目的MAC地址可以为统计服务器的MAC地址,第二源MAC地址可以为监听设备的MAC地址。标记信息携带在监听设备的MAC地址中原来不关注的字段中。
可选地,标记信息可以包括传输第一报文链路的的链路号、用于确定第一报文的ACL标识、第一报文经过端口的端口号和第一报文经过设备的设备号中的一种或多种。
在本实施例的一种实现方式中,一个或者一个以上程序可以包含用于进行以下操作的指令:
对第二报文内容进行流量分析。
在该种实现方式中,一个或者一个以上程序还可以包含用于进行以下操作的指令:
当标记信息包括传输第一报文的链路的链路号时,根据第二报文,生成第三报文,第三报文包括第三报文内容、第三源MAC地址和第三目的MAC地址,第三报文内容为第二报文内容,第三源MAC地址为第二目的MAC地址,第三目的MAC地址为第二源MAC地址;
将第三报文法发送给第三目的MAC地址对应的网络设备。
在实际应用中,流量分析服务器会对第二报文进行解析,分析第二报文是否携带有敏感信息或者非法信息,方便有关部门进行合法监听。当第二报文中会携带有敏感信息或者非法信息时,流量分析服务器会告知安全设备,安全设备可以为发送生成第二报文根据的第一报文的网络设备建立禁止发送的ACL,并删除为该网络设备建立的需要转发的ACL。同时流量分析服务器可以将第二报文丢弃,或者将第二源MAC地址和第二目的MAC地址交换,回送给安全设备。
在本实施例的另一种实现方式中,一个或者一个以上程序可以包含用于进行以下操作的指令:
获取标记信息并对标记信息进行统计分析。
在实际应用中,统计服务器可以先根据传输第一报文的链路的链路号、用于确定第一报文的ACL标识、第一报文经过端口的端口号和第一报文经过设备的设备号中的一种或多种,确定第一报文对应的链路(传输第一报文的链路的链路号对应的链路或者用于确定第一报文的ACL标识对应的链路)或者设备(第一报文经过端口的端口号对应的设备或者第一报文经过设备的设备号对应的设备),即对第一报文进行定位;再按照第一报文对应的链路或者设备进行划分,统计一条或多条链路或者一台或多台设备的流量,以便用户获知链路或者设备的流量,及时进行调整。
本发明实施例通过将第二报文发送给第二目的MAC地址对应的网络设备,第二报文包括第二报文内容、第二源MAC地址和第二目的MAC地址,第二源MAC地址包括标记信息,利用原本不关注的源MAC地址携带标记信息,提高了报文信息的利用率,不会造成网络额外的开销,降低了运行成本。另外,当标记信息包括传输第一报文的链路的链路号时,可以采用传输第一报文的链路的链路号对应的链路传输第一报文,不会因为一台安全设备在多条链路上,导致安全设备无法正确区分记录的第一报文的源MAC地址和目的MAC地址,也就是说,一台设备可以设置在多条链路上,提高了安全设备的利用率,降低了运营成本和维护成本。第二报文还包括第一源MAC地址和第一目的MAC地址,因此安全设备不需要记录第一源MAC地址和第一目的MAC地址,避免了安全设备由于记录第一源MAC地址和第一目的MAC地址带来的开销和风险。
需要说明的是:上述实施例提供的报文处理装置在处理报文时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的报文处理装置与报文处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。