CN105337902A - 网络出口装置、网络出口系统以及网络出口报文处理方法 - Google Patents

网络出口装置、网络出口系统以及网络出口报文处理方法 Download PDF

Info

Publication number
CN105337902A
CN105337902A CN201510788350.3A CN201510788350A CN105337902A CN 105337902 A CN105337902 A CN 105337902A CN 201510788350 A CN201510788350 A CN 201510788350A CN 105337902 A CN105337902 A CN 105337902A
Authority
CN
China
Prior art keywords
virtual unit
message
shunting
processing apparatus
network egress
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510788350.3A
Other languages
English (en)
Inventor
黄小珊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujian Star Net Communication Co Ltd
Original Assignee
Fujian Star Net Communication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Star Net Communication Co Ltd filed Critical Fujian Star Net Communication Co Ltd
Priority to CN201510788350.3A priority Critical patent/CN105337902A/zh
Publication of CN105337902A publication Critical patent/CN105337902A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • H04L49/208Port mirroring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及通信领域,公开了一种网络出口装置、网络出口系统及网络出口报文处理方法。该网络出口装置包括分流虚拟设备和至少一个处理虚拟设备,其中:分流虚拟设备,依据预设分流规则和进入的报文类型将报文依次分流到相应的处理虚拟设备;所述处理虚拟设备,用于对所分流的报文进行处理并然后将所分流的报文发送给旁挂到该处理虚拟设备上的相应物理处理设备,并将所述相应物理处理设备的处理结果转发给所述分流虚拟设备;以及分流虚拟设备还将最终处理后的报文转发出去。该网络出口装置、网络出口系统和网络出口报文处理方法的可靠性高,且可容易地扩展网络出口的容量和性能。

Description

网络出口装置、网络出口系统以及网络出口报文处理方法
技术领域
本发明涉及通信领域,具体地,涉及一种网络出口装置、网络出口系统以及网络出口报文处理方法。
背景技术
传统的网络出口,是由一系列的出口设备(包括出口路由器、流控设备、防火墙、审计设备、认证计费设备等)组成的。这些设备一般有两种组网方式。第一种组网方式是所有的出口业务功能都集中在一台出口核心路由器上,即一台出口核心路由器完成进出报文的全部出口业务处理,这种组网方式的优点是单点故障少、网络结构简单、维护和故障处理方便,缺点是多项功能开启、用户并发过大容易出现性能瓶颈、且对出口核心路由器的要求非常高,但是实际上很难有一个厂商的设备能够在出口各个技术领域都具有领先性。第二种组网方式是出口路由器、防火墙、流控、审计、计费认证等设备依次串联在出口,进出网络的每个报文都要按顺序逐个地经历这些设备并做相应的处理。第二种组网方式可以整合多家厂商的技术优势,用最专业的设备做最专业的事儿。但是随着网络的不断发展,出口的带宽不断扩大,串联组网方式会造成性能瓶颈,且对每一台设备的性能要求都比较高;并且,一旦其中一台设备出问题,整个网络出口都会出问题,因此可靠性不高,网络结构复杂,维护和故障定位麻烦。
发明内容
本发明的目的是提供一种网络出口装置、网络出口系统以及由网络出口装置实施的网络出口报文处理方法,该装置、系统和方法的可靠性高,且能够容易地扩展网络出口的容量和性能。
为了实现上述目的,本发明提供一种网络出口装置,该网络出口装置包括分流虚拟设备和至少一个处理虚拟设备,其中:所述分流虚拟设备,用于依据预设分流规则和进入所述网络出口装置的报文的类型将进入的报文依次分流到相应的处理虚拟设备;所述处理虚拟设备,用于对所分流的报文进行处理并然后将所分流的报文发送给旁挂到该处理虚拟设备上的相应物理处理设备,并将所述相应物理处理设备的处理结果转发给所述分流虚拟设备;以及;以及所述分流虚拟设备还用于将最终处理后的报文转发出去。
本发明还提供一种网络出口系统,该网络出口系统包括如上所述的网络出口装置以及旁挂到所述处理虚拟设备上的物理处理设备,所述物理处理设备用于对该物理处理设备所旁挂的处理虚拟设备发来的报文进行处理并将处理结果返回给该物理处理设备所旁挂的处理虚拟设备。
本发明还提供一种由网络出口装置实施的网络出口报文处理方法,该网络出口装置包括分流虚拟设备和至少一个处理虚拟设备,该方法包括:所述分流虚拟设备依据预设分流规则和进入所述网络出口装置的报文的类型将进入的报文依次分流到相应的处理虚拟设备;所述相应的处理虚拟设备对所分流的报文进行处理并然后将所分流的报文发送给旁挂到该相应的处理虚拟设备上的相应物理处理设备,并将所述相应物理处理设备的处理结果转发给所述分流虚拟设备;以及所述分流虚拟设备将最终处理后的报文转发出去。
通过上述技术方案,由于根据网络出口需要做的业务而采用虚拟技术将网络出口装置虚拟化为几台虚拟设备,也即使得该网络出口装置包括分流虚拟设备和至少一个处理虚拟设备,因此在该网络出口装置包括两台以上的处理虚拟设备时,当其中一台处理虚拟设备出问题时,不会影响到整个网络出口的所有业务以及其他处理虚拟设备上的业务,从而保证了网络出口的可靠性;另外,每一台处理虚拟设备上旁挂了物理处理设备,因此能够容易地扩展出口网络的容量和性能,且使得出口网络的结构简单,便于管理。
本发明的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。在附图中:
图1是根据本发明一种实施方式的网络出口装置和网络出口系统的示意框图;
图2是根据本发明又一实施方式的网络出口装置和网络出口系统的示意框图;
图3是根据本发明一种实施方式的由网络出口装置实施的网络出口报文处理方法的示意流程图;以及
图4是根据本发明一种实施方式的由网络出口装置实施的网络出口报文处理方法的另一示意流程图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
如图1所示,根据本发明一种实施方式的网络出口装置10可以包括分流虚拟设备101和至少一个处理虚拟设备102,其中:所述分流虚拟设备101用于依据预设分流规则和进入所述网络出口装置10的报文的类型将进入的报文依次分流到相应的处理虚拟设备102;所述处理虚拟设备102用于对所分流的报文进行处理并然后将所分流的报文发送给旁挂到该处理虚拟设备102上的相应物理处理设备11,并将所述相应物理处理设备11的处理结果转发给所述分流虚拟设备101;以及所述分流虚拟设备101还用于将最终处理后的报文转发出去。
由于本发明采用虚拟技术将网络出口装置10虚拟化为几台虚拟设备,例如使得该网络出口装置10包括分流虚拟设备101和至少一个处理虚拟设备102(清晰起见,图1中仅示出了一个处理虚拟设备),因此在该网络出口装置10包括两台以上的处理虚拟设备102时,当其中一台处理虚拟设备102出问题时,不会影响到整个网络出口的所有业务以及其他处理虚拟设备102上的业务,从而保证了网络出口的可靠性;另外,每一台处理虚拟设备102上旁挂了物理处理设备11,因此能够容易地扩展出口网络的容量和性能,且使得出口网络的结构简单,便于管理。
优选地,如图2所示,所述至少一个处理虚拟设备102可以包括过滤类虚拟设备102-1、负载均衡类虚拟设备102-2和镜像数据类虚拟设备102-3中的至少一者(在图2中示出了这三个虚拟设备)。其中,所述分流虚拟设备101可以依据预设分流规则和进入所述网络出口装置10的报文的类型,将进入的报文依次分流到过滤类虚拟设备102-1、负载均衡类虚拟设备102-2和镜像数据类虚拟设备102-3。例如,若进入的报文需要先进行过滤处理、然后需要进行负载均衡处理,则分流虚拟设备101首先将该进入的报文分流到过滤类虚拟设备102-1,在该进入的报文被过滤处理之后,分流虚拟设备101然后将过滤处理后的该进入的报文分流到负载均衡类虚拟设备102-2以进行负载均衡处理,最后在该进入的报文被进行负载均衡处理之后,分流虚拟设备101将其转发出去。这样,分流虚拟设备101能够有针对性地对进入网络出口装置10的报文进行分流,且进入的报文无需经过所有处理虚拟设备的处理(例如,上面给出的示例中,进入的报文未经过镜像类虚拟设备102-3),这使得根据本发明的网络出口装置10的结构简单,管理方便,而且可以灵活部署。
所述过滤类虚拟设备102-1用于过滤被分流到该过滤类虚拟设备102-1的报文,将过滤后的报文发送给旁挂到该过滤类虚拟设备102-1上的第一物理处理设备11-1,并将经所述第一物理处理设备11-1处理后的报文转发给所述分流虚拟设备101。其中,过滤类虚拟设备102-1与第一物理处理设备11-1之间通过物理接口连接,而且,第一物理处理设备11-1的数目可以是多个,也可以是一个。
因为在某些情况下并非所有类型的报文都需要经过第一物理处理设备11-1的处理,同时第一物理处理设备11-1也可能因为性能问题而不一定能够处理所有报文,所以过滤类虚拟设备102-1是通过预设逻辑对分流到该过滤类虚拟设备102-1的报文进行过滤后再将其送入第一物理处理设备11-1。例如,应用选路这个业务,每条流的第一个报文就已经确定选路,之后所有报文其实都不需要再次选路,因此,过滤类虚拟设备102-1可以根据这个逻辑来过滤报文,从而只将新建报文送入第一物理处理设备11-1中进行选路,由于这个流量只占总流量的很小一部分,因此使得一个千兆的第一物理处理设备11-1甚至可以在万兆链路下正常工作,大大提高了第一物理处理设备11-1的处理效率,减轻了第一物理处理设备11-1的负担,并提高了用户体验度(因为第一物理处理设备11-1处理效率的提高,意味着用户上网速度的提高)。应用选路、应用防火墙、web防火墙、认证计费等都属于过滤数据类应用,因此分流虚拟设备101会将涉及此类应用的报文分流到过滤类虚拟设备102-1,过滤类虚拟设备102-1则会对所分流的报文进行过滤以得到需要第一物理处理设备11-1进行处理的报文,然后第一物理处理设备11-1会对过滤后的报文进行诸如选路、认证计费等处理。
所述负载均衡类虚拟设备102-2用于将被分流到该负载均衡类虚拟设备102-2的报文均衡分配给旁挂到该负载均衡类虚拟设备102-2上的多个第二物理处理设备11-2,并将经所述多个第二物理处理设备11-2处理后的报文转发给所述分流虚拟设备101。其中,负载均衡类虚拟设备102-2通过物理接口与多个第二物理处理设备11-2连接。
有些出口业务需要处理进出设备全部的流量。在网络升级、带宽扩大、用户增加的背景下,旧设备不再适合新的需求,产生设备交替。这本身是个很正常的过程,但是因为扩展迅速,设备替换变的非常频繁,甚至一年一次,可以说有较大的浪费。另外一种更极端的情况就是根本没有对应性能的产品,最终造成固网瓶颈并影响了业务发展。这种时候就需要负载均衡类虚拟设备102-2。
在一个负载均衡类虚拟设备102-2上旁挂多个同类型的第二物理处理设备11-2,负载均衡类虚拟设备102-2根据应用特性将各个会话均衡分配到同类型的多个第二物理处理设备11-2中,从而达到负载均衡的效果。这样,各个第二物理处理设备11-2分别处理一部分业务,互不依赖,互不影响,实现业务性能叠加的效果。因此,负载均衡类虚拟设备102-2能够扩大网络出口装置10的性能和容量,增强其稳定性。例如,网络地址转换(NAT)设备、网络(web)代理、认证设备、防火墙等的功能都可以用负载均衡类虚拟设备102-2来实现。以网络地址转换为例,负载均衡类虚拟设备102-2会将需要进行网络地址转换的报文均衡分配给多个第二物理处理设备11-2,各个第二物理处理设备11-2对所分配的报文进行网络地址转换并将网络地址转换后的报文发送给负载均衡类虚拟设备102-2。
所述镜像数据类虚拟设备102-3用于复制被分流到该镜像数据类虚拟设备102-3的报文,将所复制的报文发送给旁挂到该镜像数据类虚拟设备102-3上的第三物理处理设备11-3并将原报文返回给所述分流虚拟设备101。其中,镜像数据类虚拟设备102-3通过物理接口与第三物理处理设备11-3连接。
在仅需要利用数据报文做一些记录、统计、审计类工作但并不会对报文结构做任何改动、同时网络出口装置10也不需要等待这些报文返回的情况下,会用到镜像数据类虚拟设备102-3。例如,镜像数据类虚拟设备102-3可以在将分流的报文发往第三物理处理设备11-3以便第三物理处理设备11-3对这些报文进行诸如记录、统计、审计等处理的同时,镜像一个新的报文给分流虚拟设备101以便分流虚拟设备101进行接下来的分流从而后续业务(例如,应用选路)能够同时进行,而且发往第三物理处理设备11-3的报文无需返回。这样就可以减少业务对报文的影响,提高网络出口装置10的性能。例如,安全审计、powercache就是此类应用。
在根据本发明的优选实施方式中,所述分流虚拟设备101还可以对进入所述网络出口装置10的报文进行检测,若检测到进入的报文中存在异常,则所述分流虚拟设备101将异常报文牵引到安全防护设备12(如图1和2所示),并依据所述预设分流规则和该报文的类型对经所述安全防护设备12进行安全防护处理后的报文进行分流。这样,就能够提高根据本发明的网络出口装置10的安全性和可靠性。
在根据本发明的又一优选实施方式中,在相应的物理处理设备(例如,第一物理处理设备11-1、第二物理处理设备11-2、第三物理处理设备11-3等)不可用的情况下,所述分流虚拟设备101可以自动放通需经该相应物理处理设备处理的报文。例如,分流虚拟设备101可以被配置成默认全部放通所有用户流量,待相应的物理处理设备恢复后,分流虚拟设备101再重新启用预设分流策略和规则。其中,相应物理处理设备不可用的情况可以包括:(1)相应的物理处理设备和根据本发明的网络出口装置10之间进行链路检测;(2)相应的物理处理设备升级(例如特征库升级或其他类型的升级)、割接、出现故障、或进行新品测试等。由于经过网络出口的大部分的用户流量都是合规和正常的,有意无意引发安全事件的用户流量只是很少的一部分,但现有技术中无论是全部出口业务功能都集中在一台出口核心路由器上的组网方式还是出口路由器、防火墙、流控、审计、计费认证等设备依次串联在出口的组网方式,从本质上看都是对出口的用户流量进行层层检测和分析,导致用户上网慢、体验度下降,出口区域的维护管理风险也较大。而根据本发明的网络出口装置10通过在相应的物理处理设备不可用的情况下自动放通需经该相应物理处理设备处理的报文,能够保证出口业务不中断,从而大大提高用户的上网速度,提高用户的体验度,降低出口区域的维护管理风险;而且,通过自动放通,在其中一台处理虚拟设备102(例如,过滤类虚拟设备102-1)出问题的情况下,整个出口业务的处理以及其他处理虚拟设备102上(例如,负载均衡类虚拟设备102-2)的业务均不会受到影响,从而保证了网络出口的可靠性。
在根据本发明的又一优选实施方式中,所述分流虚拟设备101还可以用于记录进入所述网络出口装置10的报文所经过的相关处理虚拟设备102以及相关物理处理设备11的处理结果。例如,分流虚拟设备101可以采用连接跟踪表来记录进入的报文所经过的相关处理虚拟设备102及相关物理处理设备11的处理结果。这样,能够便于后续进行查阅。
在根据本发明的又一优选实施方式中,所述分流虚拟设备101还可以用于将新进入所述网络出口装置10的报文与所记录的报文信息进行比对,若两者相同,则采用与该所记录的报文信息相对应的处理结果来处理该新进入的报文而不对该新进入的报文进行分流。例如,若之后的报文命中连接跟踪表中的记录,则分流虚拟设备101就可以不必采用预设分流规则对该命中的报文进行分流,而是可以直接采用连接跟踪表中所记录的处理结果来处理该命中的报文。这样,就大大减少了去往旁挂物理处理设备11的数据流量,减轻了旁挂物理处理设备11的负担,加快了报文处理速度,大大提高了根据本发明的网络出口装置10的性能。
根据本发明的网络出口装置10可以用在出口网络的核心汇聚设备上。
本发明还提供一种网络出口系统,如图1所示,该网络出口系统包括如上描述的网络出口装置10以及旁挂到所述处理虚拟设备102上的物理处理设备11。所述物理处理设备11用于对该物理处理设备11所旁挂的处理虚拟设备102发来的报文进行处理并将处理结果返回给该物理处理设备11所旁挂的处理虚拟设备102。
优选地,如图2所示,在根据本发明的网络出口系统中,所述至少一个处理虚拟设备102可以包括过滤类虚拟设备102-1、负载均衡类虚拟设备102-2和镜像数据类虚拟设备102-3中的至少一者(在图2中示出了这三个虚拟设备)。
以上已经结合图1和图2详细描述了根据本发明的网络出口装置10和相关的物理处理设备,此处不再赘述。
进一步地,在根据本发明的网络出口系统中,由于单台网络出口装置10可以通过物理接口旁挂多个实体物理处理设备,因此可以弥补单台网络出口装置10功能覆盖不足的缺陷,能够容易地扩展出口网络的性能和容量,同时使得根据本发明的网络出口系统还可以利用现有网络出口上的业务处理设备,减少了投入,保护了原始投资。另外,由于网络出口装置10及其旁挂的物理处理设备无需同一品牌,因此可以整合多家厂商的技术优势,以选择性能较好的检测类设备旁挂并作为物理处理设备。
优选地,如图1和图2所示,根据本发明的网络出口系统还可以包括安全防护设备12。所述分流虚拟设备101还可以对进入所述网络出口装置10的报文进行检测,若检测到进入的报文中存在异常,则所述分流虚拟设备101将异常报文牵引到安全防护设备12,并依据所述预设分流规则和该报文的类型对经所述安全防护设备12进行安全防护处理后的报文进行分流。这样,就能够提高根据本发明的网络出口系统的安全性和可靠性。
本发明还提供一种由网络出口装置实施的网络出口报文处理方法,该网络出口装置包括分流虚拟设备和至少一个处理虚拟设备。上面已经结合图1和图2详细描述了根据本发明的网络出口装置的结构,此处不再赘述。如图3所示,根据本发明的网络出口报文处理方法可以包括以下步骤:
步骤S1、所述分流虚拟设备依据预设分流规则和进入所述网络出口装置的报文的类型将进入的报文依次分流到相应的处理虚拟设备。
例如,所述至少一个处理虚拟设备可以包括过滤类虚拟设备、负载均衡类虚拟设备和镜像数据类虚拟设备中的至少一者。若进入的报文需要先进行过滤处理、然后需要进行负载均衡处理,则分流虚拟设备首先将该进入的报文分流到过滤类虚拟设备,在该进入的报文被过滤处理之后,分流虚拟设备然后将过滤处理后的该进入的报文分流到负载均衡类虚拟设备以进行负载均衡处理,最后在该进入的报文被进行负载均衡处理之后,分流虚拟设备将其转发出去。这样,分流虚拟设备就能够有针对性地对进入网络出口装置的报文进行分流,且进入的报文无需经过所有处理虚拟设备的处理(例如,上面给出的示例中,进入的报文未经过镜像类虚拟设备),因此大大提高了根据本发明的网络出口报文的处理效率。
步骤S2、所述相应的处理虚拟设备对所分流的报文进行处理并然后将所述报文发送给旁挂到该相应的处理虚拟设备上的相应物理处理设备,并将所述相应物理处理设备的处理结果转发给所述分流虚拟设备101;以及
步骤S3、由所述分流虚拟设备将最终处理后的报文转发出去。
图4示出了一种更详细的示例性网络出口报文处理方法的流程图。此方法中涉及的网络出口装置的处理虚拟设备可以包括过滤类虚拟设备、负载均衡类虚拟设备和镜像数据类虚拟设备。
如图4所示,首先,在步骤S41-1中,分流虚拟设备依据预设分流规则和进入所述网络出口装置的报文的类型确定需要先将进入的报文分流给过滤类虚拟设备以进行过滤处理,因此分流虚拟设备将进入的报文分流给了过滤类虚拟设备。
然后,在步骤S41-2中,所述过滤类虚拟设备过滤被分流到该过滤类虚拟设备的报文,将过滤后的报文发送给旁挂到该过滤类虚拟设备上的第一物理处理设备。因为在某些情况下并非所有类型的报文都需要经过第一物理处理设备的处理,同时第一物理处理设备也可能因为性能问题而不一定能够处理所有报文,所以过滤类虚拟设备是通过预设逻辑对分流到该过滤类虚拟设备的报文进行过滤后再将其送入第一物理处理设备。例如,应用选路这个业务,每条流的第一个报文就已经确定选路,之后所有报文其实都不需要再次选路,因此,过滤类虚拟设备可以根据这个逻辑来过滤报文,从而只将新建报文送入第一物理处理设备中进行选路,由于这个流量只占总流量的很小一部分,因此使得一个千兆的第一物理处理设备甚至可以在万兆链路下正常工作,大大提高了第一物理处理设备的处理效率,减轻了第一物理处理设备的负担,并提高了用户体验度(因为第一物理处理设备处理效率的提高,意味着用户上网速度的提高)。
然后在步骤S41-3中,过滤类虚拟设备将经所述第一物理处理设备处理后的报文转发给所述分流虚拟设备。
然后在步骤S42-1中,分流虚拟设备依据预设分流规则和进入的报文的类型确定该报文接下来需要被进行负载均衡处理,因此分流虚拟设备将该报文分流给了负载均衡类虚拟设备。
然后在步骤S42-2中,所述负载均衡类虚拟设备将被分流到该负载均衡类虚拟设备的报文均衡分配给旁挂到该负载均衡类虚拟设备上的多个第二物理处理设备。这样就能够达到负载均衡的效果。而且,由于各个第二物理处理设备分别处理一部分业务,互不依赖,互不影响,能够实现业务性能叠加的效果,并能够扩大出口网络的性能和容量,增强其稳定性。以网络地址转换为例,负载均衡类虚拟设备会将需要进行网络地址转换的报文均衡分配给多个第二物理处理设备,各个第二物理处理设备对所分配的报文进行网络地址转换并将网络地址转换后的报文发送给负载均衡类虚拟设备。
然后,在步骤S42-3中,负载均衡类虚拟设备将经所述多个第二物理处理设备处理后的报文转发给所述分流虚拟设备。至此,就完成了对进入的报文的处理,接下来分流虚拟设备就可以将最终处理后的报文发送给外部。
在图4给出的示意性网络出口报文处理流程中,镜像类虚拟设备并没有参与,这是因为在该示例中不需要对该进入的报文进行统计、审计等处理。因此,本领域技术人员应当理解的是,进入的报文并不是被顺序地分流到诸如过滤类虚拟设备、负载均衡类虚拟设备和镜像类虚拟设备,而且也有可能在某一报文处理流程中并不是过滤类虚拟设备、负载均衡类虚拟设备和镜像类虚拟设备这三者都参与其中。实际上,过滤类虚拟设备、负载均衡类虚拟设备和镜像类虚拟设备是否参与报文的处理及其参与顺序依赖于进入的报文需要进行的处理种类和处理顺序。例如,若进入的报文需要先进行过滤处理、然后需要进行负载均衡处理,则可以按照图4所示的流程进行处理。再例如,若进入的报文只需要进行镜像处理,则分流虚拟设备只将进入的报文分流给镜像类虚拟设备即可。以上已经结合根据本发明的网络出口装置描述了镜像类虚拟设备,此处不再赘述。
优选地,根据本发明的网络出口报文处理方法还可以包括:由所述分流虚拟设备对进入所述网络出口装置的报文进行检测,若检测到进入的报文中存在异常,则由所述分流虚拟设备将异常报文牵引到安全防护设备,并依据所述预设分流规则和该报文的类型对经所述安全防护设备处理后的报文进行分流。这样,就能够提高网络出口报文处理的安全性和可靠性。
优选地,根据本发明的网络出口报文处理方法还可以包括:在相应的物理处理设备不可用的情况下,由所述分流虚拟设备自动放通需经该相应物理处理设备处理的报文。例如,根据本发明的方法可以被配置成默认全部放通所有用户流量,待相应的物理处理设备恢复后,再重新启用预设分流策略和规则。其中,相应物理处理设备不可用的情况可以包括:(1)相应的物理处理设备和根据本发明的网络出口装置之间进行链路检测;(2)相应的物理处理设备升级(例如特征库升级或其他类型的升级)、割接、出现故障、或进行新品测试等。由于经过网络出口的大部分的用户流量都是合规和正常的,有意无意引发安全事件的用户流量只是很少的一部分,但现有技术中无论是全部出口业务功能都集中在一台出口核心路由器上的组网方式还是出口路由器、防火墙、流控、审计、计费认证等设备依次串联在出口的组网方式,从本质上看都是对出口的用户流量进行层层检测和分析,导致用户上网慢、体验度下降,出口区域的维护管理风险也较大。而根据本发明的网络出口报文处理方法通过在相应的物理处理设备不可用的情况下自动放通需经该相应物理处理设备处理的报文,能够保证出口业务不中断,从而大大提高用户的上网速度,提高用户的体验度,降低出口区域的维护管理风险,保证了网络出口的可靠性。而且,通过自动放通,在其中一台处理虚拟设备(例如,过滤类虚拟设备)出问题的情况下,整个出口业务的处理以及其他处理虚拟设备上(例如,负载均衡类虚拟设备)的业务均不会受到影响,从而保证了网络出口报文处理的可靠性。
优选地,根据本发明的网络出口报文处理方法还可以包括:由所述分流虚拟设备记录进入所述网络出口装置的报文所经过的相关处理虚拟设备以及相关物理处理设备的处理结果。例如,根据本发明的方法可以在连接跟踪表中记录进入的报文所经过的相关处理虚拟设备及相关物理处理设备的处理结果。这样,能够便于后续进行查阅。
优选地,根据本发明的网络出口报文处理方法还可以包括:由所述分流虚拟设备将新进入所述网络出口装置的报文与所记录的报文信息进行比对,若两者相同,则采用与该所记录的报文信息相对应的处理结果来处理该新进入的报文而不对该新进入的报文进行分流。例如,若之后的报文命中连接跟踪表中的记录,则分流虚拟设备就可以不必采用预设分流规则对该命中的报文进行分流,而是可以直接采用连接跟踪表中所记录的处理结果来处理该命中的报文。这样,就大大减少了去往旁挂物理处理设备的数据流量,减轻了旁挂物理处理设备的负担,加快了报文处理速度。
以上结合附图详细描述了本发明的优选实施方式,但是,本发明并不限于上述实施方式中的具体细节,在本发明的技术构思范围内,可以对本发明的技术方案进行多种简单变型,这些简单变型均属于本发明的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本发明对各种可能的组合方式不再另行说明。
此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明的思想,其同样应当视为本发明所公开的内容。

Claims (11)

1.一种网络出口装置,该网络出口装置包括分流虚拟设备和至少一个处理虚拟设备,其中:
所述分流虚拟设备,用于依据预设分流规则和进入所述网络出口装置的报文的类型将进入的报文依次分流到相应的处理虚拟设备;
所述处理虚拟设备,用于对所分流的报文进行处理并然后将所分流的报文发送给旁挂到该处理虚拟设备上的相应物理处理设备,并将所述相应物理处理设备的处理结果转发给所述分流虚拟设备;以及
所述分流虚拟设备还用于将最终处理后的报文转发出去。
2.根据权利要求1所述的网络出口装置,其中,所述至少一个处理虚拟设备包括过滤类虚拟设备、负载均衡类虚拟设备和镜像数据类虚拟设备中的至少一者,
所述过滤类虚拟设备,用于过滤被分流到该过滤类虚拟设备的报文,将过滤后的报文发送给旁挂到该过滤类虚拟设备上的第一物理处理设备,并将经所述第一物理处理设备处理后的报文转发给所述分流虚拟设备;
所述负载均衡类虚拟设备,用于将被分流到该负载均衡类虚拟设备的报文均衡分配给旁挂到该负载均衡类虚拟设备上的多个第二物理处理设备,并将经所述多个第二物理处理设备处理后的报文转发给所述分流虚拟设备;以及
所述镜像数据类虚拟设备,用于复制被分流到该镜像数据类虚拟设备的报文,将所复制的报文发送给旁挂到该镜像数据类虚拟设备上的第三物理处理设备并将原报文返回给所述分流虚拟设备。
3.根据权利要求1或2所述的网络出口装置,其中,所述分流虚拟设备还对进入所述网络出口装置的报文进行检测,若检测到进入的报文中存在异常,则所述分流虚拟设备将异常报文牵引到安全防护设备,并依据所述预设分流规则和该报文的类型对经所述安全防护设备处理后的报文进行分流。
4.根据权利要求1或2所述的网络出口装置,其中,在相应的物理处理设备不可用的情况下,所述分流虚拟设备自动放通需经该相应物理处理设备处理的报文。
5.根据权利要求1或2所述的网络出口装置,其中,所述分流虚拟设备还用于记录进入所述网络出口装置的报文所经过的相关处理虚拟设备以及相关物理处理设备的处理结果,以及将新进入所述网络出口装置的报文与所记录的报文信息进行比对,若两者相同,则采用与该所记录的报文信息相对应的处理结果来处理该新进入的报文而不对该新进入的报文进行分流。
6.一种网络出口系统,该网络出口系统包括权利要求1至5中任一权利要求所述的网络出口装置以及旁挂到所述处理虚拟设备上的物理处理设备,所述物理处理设备用于对该物理处理设备所旁挂的处理虚拟设备发来的报文进行处理并将处理结果返回给该物理处理设备所旁挂的处理虚拟设备。
7.一种由网络出口装置实施的网络出口报文处理方法,该网络出口装置包括分流虚拟设备和至少一个处理虚拟设备,该方法包括:
所述分流虚拟设备依据预设分流规则和进入所述网络出口装置的报文的类型将进入的报文依次分流到相应的处理虚拟设备;
所述相应的处理虚拟设备对所分流的报文进行处理并然后将所分流的报文发送给旁挂到该相应的处理虚拟设备上的相应物理处理设备,并将所述相应物理处理设备的处理结果转发给所述分流虚拟设备;以及
所述分流虚拟设备将最终处理后的报文转发出去。
8.根据权利要求7所述的方法,其中,所述至少一个处理虚拟设备包括过滤类虚拟设备、负载均衡类虚拟设备和镜像数据类虚拟设备,而且:
若报文被分流给所述过滤类虚拟设备,则由所述过滤类虚拟设备过滤被分流到该过滤类虚拟设备的报文,将过滤后的报文发送给旁挂到该过滤类虚拟设备上的第一物理处理设备并将经所述第一物理处理设备处理后的报文转发给所述分流虚拟设备;
若报文被分流给所述负载均衡类虚拟设备,则由所述负载均衡类虚拟设备将被分流到该负载均衡类虚拟设备的报文均衡分配给旁挂到该负载均衡类虚拟设备上的多个第二物理处理设备,并将经所述多个第二物理处理设备处理后的报文转发给所述分流虚拟设备;以及
若报文被分流给所述镜像数据类虚拟设备,则由所述镜像数据类虚拟设备复制被分流到该镜像数据类虚拟设备的报文,将所复制的报文发送给旁挂到该镜像数据类虚拟设备上的第三物理处理设备并将原报文返回给所述分流虚拟设备。
9.根据权利要求7或8所述的方法,该方法还包括:由所述分流虚拟设备对进入所述网络出口装置的报文进行检测,若检测到进入的报文中存在异常,则由所述分流虚拟设备将异常报文牵引到安全防护设备,并依据所述预设分流规则和该报文的类型对经所述安全防护设备处理后的报文进行分流。
10.根据权利要求7或8所述的方法,该方法还包括:在相应的物理处理设备不可用的情况下,由所述分流虚拟设备自动放通需经该相应物理处理设备处理的报文。
11.根据权利要求7或8所述的方法,该方法还包括:由所述分流虚拟设备记录进入所述网络出口装置的报文所经过的相关处理虚拟设备以及相关物理处理设备的处理结果,以及将新进入所述网络出口装置的报文与所记录的报文信息进行比对,若两者相同,则采用与该所记录的报文信息相对应的处理结果来处理该新进入的报文而不对该新进入的报文进行分流。
CN201510788350.3A 2015-11-17 2015-11-17 网络出口装置、网络出口系统以及网络出口报文处理方法 Pending CN105337902A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510788350.3A CN105337902A (zh) 2015-11-17 2015-11-17 网络出口装置、网络出口系统以及网络出口报文处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510788350.3A CN105337902A (zh) 2015-11-17 2015-11-17 网络出口装置、网络出口系统以及网络出口报文处理方法

Publications (1)

Publication Number Publication Date
CN105337902A true CN105337902A (zh) 2016-02-17

Family

ID=55288198

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510788350.3A Pending CN105337902A (zh) 2015-11-17 2015-11-17 网络出口装置、网络出口系统以及网络出口报文处理方法

Country Status (1)

Country Link
CN (1) CN105337902A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108965006A (zh) * 2018-07-18 2018-12-07 迈普通信技术股份有限公司 一种通信可靠性提高方法及装置
CN109922021A (zh) * 2017-12-12 2019-06-21 中国电信股份有限公司 安全防护系统以及安全防护方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1567808A (zh) * 2003-06-18 2005-01-19 联想(北京)有限公司 一种网络安全装置及其实现方法
CN101197775A (zh) * 2007-11-19 2008-06-11 福建星网锐捷网络有限公司 端口镜像的实现方法、装置及系统
CN103051535A (zh) * 2012-12-18 2013-04-17 华为技术有限公司 一种数据接入方法、装置及数据接入系统
CN103475559A (zh) * 2013-09-18 2013-12-25 北京锐安科技有限公司 一种根据报文内容对报文进行处理并转发的方法和系统
CN104270319A (zh) * 2014-09-18 2015-01-07 赛尔网络有限公司 一种多端口流量采集自动切换的分流系统与方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1567808A (zh) * 2003-06-18 2005-01-19 联想(北京)有限公司 一种网络安全装置及其实现方法
CN101197775A (zh) * 2007-11-19 2008-06-11 福建星网锐捷网络有限公司 端口镜像的实现方法、装置及系统
CN103051535A (zh) * 2012-12-18 2013-04-17 华为技术有限公司 一种数据接入方法、装置及数据接入系统
CN103475559A (zh) * 2013-09-18 2013-12-25 北京锐安科技有限公司 一种根据报文内容对报文进行处理并转发的方法和系统
CN104270319A (zh) * 2014-09-18 2015-01-07 赛尔网络有限公司 一种多端口流量采集自动切换的分流系统与方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109922021A (zh) * 2017-12-12 2019-06-21 中国电信股份有限公司 安全防护系统以及安全防护方法
CN108965006A (zh) * 2018-07-18 2018-12-07 迈普通信技术股份有限公司 一种通信可靠性提高方法及装置

Similar Documents

Publication Publication Date Title
US7978595B2 (en) Method for processing multiple active devices in stacking system and stacking member device
CN103930882B (zh) 具有中间盒的网络架构
CN101917434B (zh) 域内ip源地址验证的方法
CN106375384A (zh) 一种虚拟网络环境中镜像网络流量的管理系统和控制方法
CN106953788A (zh) 一种虚拟网络控制器及控制方法
CN103929368B (zh) 多业务单元负载均衡方法及装置
CN100393071C (zh) 配置访问控制列表的方法及其应用
CN101411156A (zh) 对网络入侵者的自动阻止
CN102427429B (zh) 一种实现交换机内部报文安全防护的方法、系统以及交换机
CN104994065A (zh) 基于软件定义网络的访问控制列表运行系统和方法
CN107078957A (zh) 通信网络中的网络服务功能的链接
CN104301321A (zh) 一种实现分布式网络安全防护的方法及系统
CN105847185A (zh) 分布式设备的报文处理方法、装置及分布式设备
CN108833305B (zh) 主机的虚拟网络装置
CN102130912B (zh) 一种基于rrpp的mvrp实现方法和设备
CN106254338A (zh) 报文检测方法以及装置
CN101170491A (zh) 一种网络接口板的抓包方法
CN106034038A (zh) 防止多冲突堆叠的方法和装置
CN105337902A (zh) 网络出口装置、网络出口系统以及网络出口报文处理方法
CN101631060B (zh) 一种边缘端口的管理方法和装置
CN103368868A (zh) 一种网络流量带宽的控制方法、装置及系统
CN110162437B (zh) 一种框式设备内部连通性检测方法及系统
CN105991464B (zh) 网络流量的分流方法、主控板、接口板及网关设备
CN107332793A (zh) 一种报文转发方法、相关设备及系统
JP5929720B2 (ja) 通信システムおよびネットワーク中継装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20160217

RJ01 Rejection of invention patent application after publication