CN106101011A - 一种报文处理方法及装置 - Google Patents
一种报文处理方法及装置 Download PDFInfo
- Publication number
- CN106101011A CN106101011A CN201610709467.2A CN201610709467A CN106101011A CN 106101011 A CN106101011 A CN 106101011A CN 201610709467 A CN201610709467 A CN 201610709467A CN 106101011 A CN106101011 A CN 106101011A
- Authority
- CN
- China
- Prior art keywords
- message
- openflow
- target
- oaa
- plug
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/354—Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种报文处理方法及装置,该方法包括:通过Openflow连接向Openflow交换机发送目标引流策略,以使所述Openflow交换机根据接收到的目标引流策略对接收到的报文进行监测;接收所述Openflow交换机通过VXLAN隧道发送的VXLAN封装报文,所述VXLAN封装报文的负载为所述目标报文或目标报文的镜像报文,且VXLAN报文头的保留字段中携带有所述目标引流策略的上下文关系,其中,所述目标报文为命中所述目标引流策略的报文。应用本发明实施例提高了报文处理效率和准确度。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种报文处理方法及装置。
背景技术
SDN(Software Defined Network,软件定义网络)网络是一种新型网络创新架构,是网络虚拟化的一种实现方式,通过将网络设备控制面与数据面分离开来,实现了网络流量的灵活控制,使网络作为管道变得更加智能。
Openflow(一种新型网络交换模型)网络是一种较为常见的SDN网络,Openflow网络中可以包括Openflow控制器(Controller)和Openflow交换机(Switch)。OpenFlow控制器通过一个安全信道按照OpenFlow协议控制OpenFlow交换机处理各种报文。
在一种现有Openflow组网方案中,可以将OAA(Open Application Architecture,开放应用架构)插卡作为Openflow控制器,交换机作为Openflow交换机,OAA插卡通过向Openflow交换机下发Openflow流表来实现将满足特定条件的报文引流到OAA插卡进行处理。
然而实践发现,在上述Openflow组网中,当报文被引流到OAA插卡时,OAA插卡需要遍历所有的引流策略,以确定与该报文匹配的引流策略,并根据该引流策略对报文进行处理,报文处理效率较低,且容易发生引流策略匹配错误,导致无法准确地进行流量处理。
发明内容
本发明提供一种报文处理方法及装置,以解决现有OAA插卡引流方案中报文处理效率和准确度较低的问题。
根据本发明实施例的第一方面,提供一种报文处理方法,应用于Openflow网络中的作为Openflow控制器的开放应用架构OAA插卡,所述Openflow网络中还包括Openflow交换机,所述OAA插卡与所述Openflow交换机之间建立有Openflow连接,所述OAA插卡与所述Openflow交换机之间还建立有虚拟可扩展局域网VXLAN隧道,所述方法包括:
通过Openflow连接向Openflow交换机发送目标引流策略,以使所述Openflow交换机根据接收到的目标引流策略对接收到的报文进行监测;
接收所述Openflow交换机通过VXLAN隧道发送的VXLAN封装报文,所述VXLAN封装报文的负载为所述目标报文,且VXLAN报文头的保留字段中携带有所述目标引流策略的上下文关系,其中,所述目标报文为命中所述目标引流策略的报文。
根据本发明实施例的第二方面,提供一种报文处理方法,应用于Openflow网络中的Openflow交换机,所述Openflow网络中还包括作为Openflow控制器的开放应用架构OAA插卡,所述OAA插卡与所述Openflow交换机之间建立有Openflow连接,所述OAA插卡与所述Openflow交换机之间还建立有虚拟可扩展局域网VXLAN隧道,所述方法包括:
接收OAA插卡通过Openflow连接发送的目标引流策略;
根据所述目标引流策略对接收到的报文进行监测;
当监测到命中目标引流策略的目标报文时,将所述目标报文封装为VXLAN封装报文,并通过VXLAN隧道将所述VXLAN封装报文发送给所述OAA插卡;其中,所述VXLAN封装报文的负载为所述目标报文,且VXLAN报文头的保留字段中携带有所述目标引流策略的上下文关系。
根据本发明实施例的第三方面,提供一种报文处理装置,应用于Openflow网络中的作为Openflow控制器的开放应用架构OAA插卡,所述Openflow网络中还包括Openflow交换机,所述OAA插卡与所述Openflow交换机之间建立有Openflow连接,所述OAA插卡与所述Openflow交换机之间还建立有虚拟可扩展局域网VXLAN隧道,所述装置包括:
发送单元,用于通过Openflow连接向Openflow交换机发送目标引流策略,以使所述Openflow交换机根据接收到的目标引流策略对接收到的报文进行监测;
接收单元,用于接收所述Openflow交换机通过VXLAN隧道发送的VXLAN封装报文,所述VXLAN封装报文的负载为所述目标报文,且VXLAN报文头的保留字段中携带有所述目标引流策略的上下文关系,其中,所述目标报文为命中所述目标引流策略的报文。
根据本发明实施例的第四方面,提供一种报文处理装置,应用于Openflow网络中的Openflow交换机,所述Openflow网络中还包括作为Openflow控制器的开放应用架构OAA插卡,所述OAA插卡与所述Openflow交换机之间建立有Openflow连接,所述OAA插卡与所述Openflow交换机之间还建立有虚拟可扩展局域网VXLAN隧道,所述装置包括:
接收单元,用于接收OAA插卡通过Openflow连接发送的目标引流策略;
监测单元,用于根据所述目标引流策略对接收到的报文进行监测;
发送单元,用于当所述监测单元监测到命中目标引流策略的目标报文时,将所述目标报文封装为VXLAN封装报文,并通过VXLAN隧道将所述VXLAN封装报文发送给所述OAA插卡;其中,所述VXLAN封装报文的负载为所述目标报文,且VXLAN报文头的保留字段中携带有所述目标引流策略的上下文关系。
应用本发明实施例,通过在Openflow交换机与作为Openflow控制器的OAA插卡之间分别建立Openflow连接和VXLAN隧道,OAA插卡通过与Openflow交换机之间的Openflow连接向Openflow交换机下发目标引流策略,由Openflow交换机根据目标引流策略对接收到的报文进行监测,将命中目标引流策略的目标报文封装为VXLAN封装报文,并将目标引流策略的上下文关系携带在该VLXAN封装报文的保留字段中,通过VXLAN隧道发送给OAA插卡,以使OAA插卡能够根据目标引流策略的上下文关系精准地查找到对应的引流策略,并根据查找到的引流策略对目标报文进行处理,与现有OAA插卡引流方案相比,提高了引流策略查找的效率和准确度,从而提高了报文处理效率和准确度。
附图说明
图1是本发明实施例提供的一种报文处理的网络架构示意图;
图2是本发明实施例提供的另一种报文处理方法的流程示意图;
图3是本发明实施例提供的另一种报文处理方法的流程示意图;
图4是本发明实施例提供的一种报文处理装置的结构示意图;
图5是本发明实施例提供的另一种报文处理装置的结构示意图;
图6是本发明实施例提供的另一种报文处理装置的结构示意图;
图7是本发明实施例提供的一种报文处理装置的结构示意图;
图8是本发明实施例提供的另一种报文处理装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。
下面先对本发明实施例适用的网络架构进行描述。
请参见图1,为本发明实施例提供的一种报文处理的网络架构示意图,该网络架构适用于Openflow网络,如图1所示,该网络架构中包括OAA插卡以及Openflow交换机,其中,OAA插卡作为Openflow控制器。
在该网络架构中,OAA插卡与Openflow交换机之间除了建立有Openflow连接之外,还建立有VXLAN隧道;OAA插卡可以通过与Openflow交换机之间的Openflow连接向Openflow交换机下发引流策略(本文中称为目标引流策略);Openflow交换机接收到目标引流策略时,可以根据该目标引流策略对接收到的报文进行监测,将命中目标引流策略的报文(本文中称为目标报文)封装为VXLAN封装报文,并将目标引流策略的上下文关系携带在VXLAN封装报文的保留字段中,通过与OAA插卡之间的VXLAN隧道发送给OAA插卡,从而,OAA插卡可以根据VLXAN封装报文中携带的目标引流策略的上下文关系精准地查找到对应的引流策略,并根据查找到的引流策略对目标报文进行处理。
基于图1所示的网络架构,本发明实施例提供了一种报文处理方法,如图2所示,为本发明实施例提供的一种报文处理方法的流程示意图,如图2所示,该报文处理方法可以包括以下步骤:
需要说明的是,步骤201~步骤202的执行主体可以为图1所示网络架构中的OAA插卡。
步骤201、通过Openflow连接向Openflow交换机发送的目标引流策略,以使Openflow交换机根据接收到的目标引流策略对接收到的报文进行监测。
本发明实施例中,OAA插卡在插入设备后,作为Openflow控制器启动,并主动和交换机建立Openflow连接。
在OAA插卡上用户(如管理员)可以根据自己的需求设置不同的引流策略,比如安全策略,可以将特定的报文引流(可以包括镜像或重定向)到OAA插卡,如将特定端口的报文引流到OAA插卡,由OAA插卡对报文进行安全检查(如合法性检查),安全检查通过的报文再转发回Openflow交换机(若引流到OAA插卡的报文为镜像报文,则只需返回安全检查结果)。
其中,OAA插卡向Openflow交换机下发引流策略时,还会将对应的上下文关系发送给Openflow交换机,该上下文关系可以用于标识OAA插卡侧的引流策略,如该上下文关系可以包括引流策略编号等。
作为一种可选的实施方式,上述步骤201中,通过Openflow连接向Openflow交换机发送目标引流策略,可以包括以下步骤:
11)、根据目标引流策略生成目标Openflow流表,该目标Openflow流表的匹配项为目标引流策略指示的报文的特征信息,目标Openflow流表的动作项为将命中匹配项的报文镜像或重定向到所述OAA插卡;
12)、通过Openflow连向Openflow交换机发送目标Openflow流表。
在该实施方式中,用户在OAA插卡上设置引流策略之后,OAA插卡可以以该引流策略指示的需要引流到OAA插卡的报文的特征信息(如报文的源IP地址、目标IP地址、五元组信息等)为Openflow流表的匹配项,将命中的报文镜像或重定向到OAA插卡为动作项,生成对应的Openflow流表,并将引流策略以Openflow流表的形式发送给Openflow交换机。
可选地,OAA插卡以Openflow流表的形式向Openflow交换机发送引流策略时,可以在Openflow流表的meta data(元数据)中封装对应引流策略的上下文关系。
Openflow交换机接收到OAA插卡下发的目标Openflow流表(目标引流策略对应的Openflow流表)后,可以解析该目标Openflow流表,并根据该目标Openflow流表的匹配项对接收到的报文进行监测,将命中的报文以及目标引流策略的上下文关系发送给OAA插卡。
其中,Openflow交换机根据OAA插卡下发的目标引流策略进行报文监测及引流的具体实现可以参见图3所示方法流程中的相关描述,本发明实施例在此不做赘述。
步骤202、接收Openflow交换机通过VXLAN隧道发送的VXLAN封装报文,该VXLAN封装报文的负载为目标报文或目标报文的镜像报文,且VXLAN报文头的保留字段中携带有目标引流策略的上下文关系,其中,目标报文为命中目标引流策略的报文。
本发明实施例中,Openflow交换机可以将命中目标引流策略的目标报文或目标报文的镜像报文封装为VXLAN(Virtual eXtensible Local Area Network,虚拟可扩展局域网)封装报文,并将目标引流策略的上下文关系携带在该VXLAN封装报文的保留字段中,通过与OAA插卡之间的VXLAN隧道发送给OAA插卡。
OAA插卡接收到Openflow交换机发送的VXLAN封装报文后,可以从指定偏移位置(即VXLAN报文头的Reserve字段)取出目标引流策略的上下文关系,并根据该上下文关系查找到对应的引流策略,然后根据该引流策略对VXLAN封装报文的Passenger中的报文(即目标报文或目标报文的镜像报文)进行处理,如进行安全检查,若为非法报文,则直接丢弃,若为合法报文,则将报文再转发给Openflow交换机(若引流到OAA插卡的报文为镜像报文,则只需返回安全检查结果)。
在一种可选的实施方式中,OAA插卡可以从接收到的VXLAN封装报文的VXLAN报文头的保留字段中获取目标引流策略的上下文关系,并根据目标引流策略的上下文关系查找到对应的引流策略,进而对VXLAN封装报文进行解封装处理,以得到待处理的报文(即VXLAN封装报文的Passenger(负载)中的目标报文或目标报文的镜像报文),并根据该引流策略对待处理的报文进行处理。
OAA插卡对目标报文进行处理之后,若需要将处理后的报文转发给Openflow交换机(如引流到OAA插卡的报文为重定向报文,且报文的安全检查为合法),则OAA插卡直接可以将解封装后的报文转发给Openflow交换机,或者OAA插卡可以将报文重新封装为VXLAN封装报文再转发给Openflow交换机。
在另一种可选的实施方式,OAA插卡根据目标引流策略的上下文关系查找到对应的引流策略之后,可以不对VXLAN封装报文进行解除VXLAN封装处理,而是可以直接从VXLAN封装报文的Passenger中取出待处理报文,并根据查找到的引流策略对其进行处理,并在确定需要将报文转发回Openflow交换机时,OAA插卡可以直接将接收到的VXLAN封装报文转发给Openflow交换机。
相应地,在本发明实施例中,当Openflow交换机接收到OAA插卡发送的处理后的报文时,若处理后的报文为VXLAN封装报文,则Openflow交换机需要对其进行解封装处理后,再进行转发;若处理后的报文为解除VXLAN封装的报文,则Openflow交换机可以直接转发。
基于图1所示的网络架构,本发明实施例提供了一种报文处理方法,如图3所示,为本发明实施例提供的一种报文处理方法的流程示意图,如图3所示,该报文处理方法可以包括以下步骤:
需要说明的是,步骤301~步骤302的执行主体可以为图1所示网络架构中的Openflow交换机或Openflow交换机中的处理器,如CPU(Center Process Unit,中央处理单元),为便于描述,以下以步骤301~步骤302的执行主体为Openflow交换机为例。
步骤301、接收OAA插卡通过Openflow连接发送的目标引流策略,并根据该目标引流策略对接收到的报文进行监测。
本发明实施例中,OAA插卡通过Openflow连接向Openflow交换机发送引流策略的具体实现可以参见上述图2所示方法流程中的相关描述,本发明实施例在此不再赘述。
本发明实施例中,Openflow交换机接收到OAA插卡发送的目标引流策略时,可以根据该目标引流策略对接收到的报文进行监测,根据接收到的报文是否命中目标引流策略确定是否需要将报文引流到OAA插卡。
作为一种可选的实施方式,上述步骤301中,接收OAA插卡通过Openflow连接发送的目标Openflow流表,该述目标Openflow流表由OAA插卡根据目标引流策略生成,该目标Openflow流表的匹配项为目标引流策略指示的报文的特征信息,目标Openflow流表的动作项为将命中匹配项的报文镜像或重定向到所述OAA插卡。
相应地,上述步骤301中,根据目标引流策略对接收到的报文进行监测,可以包括以下步骤:
21)、根据目标Openflow流表生成目标ACL(Access Control List,访问控制列表)规则;其中,该目标ACL规则的匹配项和动作项与目标Openflow流表的匹配项和动作项一致;
22)、根据目标ACL规则对接收到的报文进行监测。
在该实施方式中,OAA插卡可以以Openflow流表的形式向Openflow连接发送引流策略(其具体实现可以参见图2所示方法流程中的相关描述)。
Openflow交换机接收到OAA插卡发送的目标Openflow流表时,可以对该Openflow流表进行解析,并根据该Openflow流表生成ACL规则(本文中称为目标ACL规则),该目标ACL规则的匹配项与目标Openflow流表的匹配项一致(即为目标引流策略指示的需要引流到OAA插卡的报文的特征信息),动作项也与目标Openflow流表的动作项一致(即将命中匹配项的报文镜像或重定向到OAA插卡)。
Openflow交换机生成目标ACL规则后,可以根据该目标ACL规则对接收到的报文进行监测,即获取接收到的报文的特征信息(如源IP地址、目标IP地址或五元组信息等),并根据该报文的特征信息匹配目标ACL规则的匹配项,确定是否命中,若命中,则确定该接收到的报文需要引流到OAA插卡(即为目标报文);否则,不对该报文进行特殊处理。
步骤302、当监测到命中目标引流策略的目标报文时,将该目标报文或目标报文的镜像报文封装为VXLAN封装报文,并通过VXLAN隧道将该VXLAN封装报文发送给OAA插卡;其中,该VXLAN封装报文的负载为该目标报文或目标报文的镜像报文,且VXLAN报文头的保留字段中携带有目标引流策略的上下文关系。
本发明实施例中,当Openflow交换机监测到命中目标引流策略的报文(本文中称为目标报文)时,Openflow交换机可以将该目标报文或该目标报文的镜像报文作为VXLAN封装报文的负载,对目标报文或目标报文的镜像报文进行VXLAN封装,并将目标报文命中的目标引流策略携带在该VXLAN封装报文的VXLAN报文头中的保留字段,并通过VXLAN封装报文通过与OAA插卡之间的VXLAN隧道发送给OAA插卡。
作为一种可选的实施方式,上述步骤202中,当监测到命中目标引流策略的目标报文时,将该目标报文或目标报文的镜像报文封装为VXLAN封装报文,可以包括:
当监测到命中目标ACL规则的匹配项的目标报文时,将该目标报文或目标报文的镜像报文封装为VLXAN封装报文。
在该实施方式中,当OAA插卡以Openflow流表的形式下发引流策略,且Openflow交换机根据目标Openflow流表生成目标ACL规则之后,可以根据该目标ACL规则对接收到的报文进行监测,并当监测到命中目标ACL规则的匹配项的目标报文时,Openflow交换机可以将目标报文(当动作项为将目标报文重定向到OAA插卡时)或目标报文的镜像报文(当动作项为将目标报文镜像到OAA插卡时)封装为VXLAN封装报文,并通过与OAA插卡之间的VXLAN隧道将VXLAN封装报文发送给OAA插卡。
其中,OAA插卡接收到Openflow交换机通过VXLAN隧道发送的VXLAN封装报文后的具体处理流程可以参见上述图2所示方法流程中的相关描述,本发明实施例在此不再赘述。
为了使本领域技术人员更好地理解本发明实施例提供的技术方案,下面结合具体实例对本发明实施例提供的技术方案进行说明。
以用户设置的引流策略为将目标IP地址为IP地址1的报文重定向到OAA插卡进行流量的合法性检查为例,用户在OAA插卡设置好引流策略之后,OAA插卡可以根据该引流策略生成对应的Openflow流表;其中,该Openflow流表的匹配项为目的IP地址为IP地址1,动作项为将命中匹配项的报文重定向到OAA插卡,Openflow流表的meta data字段中封装有该引流策略的上下文关系。OAA插卡生成对应的Openflow流表之后,可以将该Openflow流表通过与Openflow交换机之间的Openflow连接发送给Openflow交换机。
Openflow交换机接收到OAA插卡发送的Openflow流表之后,可以对该Openflow流表进行解析,并根据该Openflow流表的匹配项和动作项生成对应的ACL规则,并保证该ACL规则与Openflow流表中携带的引流策略的上下文关系的对应关系。
当Openflow交换机接收到报文时,Openflow交换机可以获取该报文的目的IP地址,并根据该报文的目标IP地址匹配上述ACL规则的匹配项,若命中(即报文的目的IP地址为IP地址1),则Openflow交换机可以将该报文作为VXLAN封装报文的负载,对该报文进行VXLAN封装,并将该ACL规则对应的引流策略的上下文关系携带在VXLAN封装报文的VXLAN报文头的保留字段中,并通过与OAA插卡之间的VXLAN隧道将该VXLAN封装报文发送给OAA插卡。
OAA插卡接收到上述VXLAN封装报文时,可以对该VXLAN封装报文进行解封装,从VXLAN报文头的保留字段中取出引流策略的上下文关系,并根据该引流策略的上下文关系查找到对应的引流策略,并对VXLAN封装报文的负载进行合法性检查;若检查结果为合法,则将报文重新转发至Openflow交换机;否则,直接丢弃该报文。
再以用户设置的引流策略为将源IP地址为IP地址2的报文镜像到OAA插卡进行限流控制为例,用户在OAA插卡设置好引流策略之后,OAA插卡可以根据该引流策略生成对应的Openflow流表;其中,该Openflow流表的匹配项为源IP地址为IP地址2,动作项为将命中匹配项的报文重定向到OAA插卡,Openflow流表的meta data字段中封装有该引流策略的上下文关系。OAA插卡生成对应的Openflow流表之后,可以将该Openflow流表通过与Openflow交换机之间的Openflow连接发送给Openflow交换机。
Openflow交换机接收到OAA插卡发送的Openflow流表之后,可以对该Openflow流表进行解析,并根据该Openflow流表的匹配项和动作项生成对应的ACL规则,并保证该ACL规则与Openflow流表中携带的引流策略的上下文关系的对应关系。
当Openflow交换机接收到报文时,Openflow交换机可以获取该报文的源IP地址,并根据该报文的源IP地址匹配上述ACL规则的匹配项,若命中(即报文的源IP地址为IP地址2),则Openflow交换机可以将该报文的镜像报文作为VXLAN封装报文的负载,对该报文的镜像报文进行VXLAN封装,并将该ACL规则对应的引流策略的上下文关系携带在VXLAN封装报文的VXLAN报文头的保留字段中,并通过与OAA插卡之间的VXLAN隧道将该VXLAN封装报文发送给OAA插卡。
OAA插卡接收到上述VXLAN封装报文时,可以对该VXLAN封装报文进行解封装,从VXLAN报文头的保留字段中取出引流策略的上下文关系,并根据该引流策略的上下文关系查找到对应的引流策略,并对VXLAN封装报文的负载进行流量统计,判断单位时间内流量是否超过预设阈值,若超过,则向Openflow交换机发送拒绝报文通过指示,以通知Openflow交换机该源IP地址的报文流量超过了预设阈值,指示Openflow交换机丢弃该报文;否则,向Openflow交换机发送允许报文通过指示,以指示Openflow交换机允许报文通过。
通过以上描述可以看出,在本发明实施例提供的技术方案中,通过在Openflow交换机与作为Openflow控制器的OAA插卡之间分别建立Openflow连接和VXLAN隧道,OAA插卡通过与Openflow交换机之间的Openflow连接向Openflow交换机下发目标引流策略,由Openflow交换机根据目标引流策略对接收到的报文进行监测,将命中目标引流策略的目标报文封装为VXLAN封装报文,并将目标引流策略的上下文关系携带在该VLXAN封装报文的保留字段中,通过VXLAN隧道发送给OAA插卡,以使OAA插卡能够根据目标引流策略的上下文关系精准地查找到对应的引流策略,并根据查找到的引流策略对目标报文进行处理,与现有OAA插卡引流方案相比,提高了引流策略查找的效率和准确度,从而提高了报文处理效率和准确度。
请参见图4,为本发明实施例提供的一种报文处理装置的结构示意图,其中,该装置可以应用于上述方法实施例中的OAA插卡,如图4所示,该装置可以包括:
发送单元410,用于通过Openflow连接向Openflow交换机发送目标引流策略,以使所述Openflow交换机根据接收到的目标引流策略对接收到的报文进行监测;
接收单元420,用于接收所述Openflow交换机通过VXLAN隧道发送的VXLAN封装报文,所述VXLAN封装报文的负载为所述目标报文,且VXLAN报文头的保留字段中携带有所述目标引流策略的上下文关系,其中,所述目标报文为命中所述目标引流策略的报文。
请一并参阅图5,为本发明实施例提供的另一种报文处理装置的结构示意图,该实施例在前述图4所示实施例的基础上,图5所示的报文处理装置中,所述发送单元410可以包括:
生成子单元411,用于根据所述目标引流策略生成目标Openflow流表,所述目标Openflow流表的匹配项为所述目标引流策略指示的报文的特征信息,所述目标Openflow流表的动作项为将命中匹配项的报文镜像或重定向到所述OAA插卡;
发送子单元412,用于通过所述Openflow连向所述Openflow交换机发送所述目标Openflow流表。
请一并参阅图6,为本发明实施例提供的另一种报文处理装置的结构示意图,该实施例在前述图4所示实施例的基础上,图6所示的报文处理装置还可以包括:
确定单元430,用于从所述VXLAN封装报文的VXLAN报文头的保留字段中获取所述目标引流策略的上下文关系,并根据所述上下文关系确定对应的引流策略;
处理单元440,用于根据所述引流策略对所述VXLAN封装报文的负载进行处理。
请参见图7,为本发明实施例提供的一种报文处理装置的结构示意图,其中,该装置可以应用于上述方法实施例中的Openflow交换机,如图7所示,该装置可以包括:
接收单元710,用于接收OAA插卡通过Openflow连接发送的目标引流策略;
监测单元720,用于根据所述目标引流策略对接收到的报文进行监测;
发送单元730,用于当所述监测单元720监测到命中目标引流策略的目标报文时,将所述目标报文封装为VXLAN封装报文,并通过VXLAN隧道将所述VXLAN封装报文发送给所述OAA插卡;其中,所述VXLAN封装报文的负载为所述目标报文,且VXLAN报文头的保留字段中携带有所述目标引流策略的上下文关系。
在可选实施例中,所述接收单元710,可以具体用于接收所述OAA插卡通过Openflow连接发送的目标Openflow流表,所述目标Openflow流表由所述OAA插卡根据所述目标引流策略生成,所述目标Openflow流表的匹配项为所述目标引流策略指示的报文的特征信息,所述目标Openflow流表的动作项为将命中匹配项的报文镜像或重定向到所述OAA插卡;
相应地,请一并参阅图8,为本发明实施例提供的另一种报文处理装置的结构示意图,该实施例在前述图7所示实施例的基础上,图8所示的报文处理装置中,监测单元720可以包括:
生成子单元721,用于根据所述目标Openflow流表生成目标访问控制列表ACL规则;所述目标ACL规则的匹配项和动作项分别与所述目标Openflow流表的匹配项和动作项一致;
监测子单元722,用于根据所述目标ACL规则对接收到的报文进行监测;
相应地,所述发送单元730,可以具体用于当所述监测子单元722监测到命中目标ACL规则的匹配项的目标报文时,将所述目标报文或所述目标报文的镜像报文封装为VLXAN封装报文,并通过VXLAN隧道将所述VXLAN封装报文发送给所述OAA插卡。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,通过在Openflow交换机与作为Openflow控制器的OAA插卡之间分别建立Openflow连接和VXLAN隧道,OAA插卡通过与Openflow交换机之间的Openflow连接向Openflow交换机下发目标引流策略,由Openflow交换机根据目标引流策略对接收到的报文进行监测,将命中目标引流策略的目标报文封装为VXLAN封装报文,并将目标引流策略的上下文关系携带在该VLXAN封装报文的保留字段中,通过VXLAN隧道发送给OAA插卡,以使OAA插卡能够根据目标引流策略的上下文关系精准地查找到对应的引流策略,并根据查找到的引流策略对目标报文进行处理,与现有OAA插卡引流方案相比,提高了引流策略查找的效率和准确度,从而提高了报文处理效率和准确度。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (10)
1.一种报文处理方法,应用于Openflow网络中的作为Openflow控制器的开放应用架构OAA插卡,所述Openflow网络中还包括Openflow交换机,所述OAA插卡与所述Openflow交换机之间建立有Openflow连接,其特征在于,所述OAA插卡与所述Openflow交换机之间还建立有虚拟可扩展局域网VXLAN隧道,所述方法包括:
通过Openflow连接向Openflow交换机发送目标引流策略,以使所述Openflow交换机根据接收到的目标引流策略对接收到的报文进行监测;
接收所述Openflow交换机通过VXLAN隧道发送的VXLAN封装报文,所述VXLAN封装报文的负载为所述目标报文或目标报文的镜像报文,且VXLAN报文头的保留字段中携带有所述目标引流策略的上下文关系,其中,所述目标报文为命中所述目标引流策略的报文。
2.根据权利要求1所述的方法,其特征在于,所述通过Openflow连接向Openflow交换机发送目标引流策略,包括:
根据所述目标引流策略生成目标Openflow流表,所述目标Openflow流表的匹配项为所述目标引流策略指示的报文的特征信息,所述目标Openflow流表的动作项为将命中匹配项的报文镜像或重定向到所述OAA插卡;
通过所述Openflow连接向所述Openflow交换机发送所述目标Openflow流表。
3.根据权利要求1所述的方法,其特征在于,所述接收所述Openflow交换机通过VXLAN隧道发送的VXLAN封装报文之后,还包括:
从所述VXLAN封装报文的VXLAN报文头的保留字段中获取所述目标引流策略的上下文关系,并根据所述上下文关系确定对应的引流策略;
根据所述引流策略对所述VXLAN封装报文的负载进行处理。
4.一种报文处理方法,应用于Openflow网络中的Openflow交换机,所述Openflow网络中还包括作为Openflow控制器的开放应用架构OAA插卡,所述OAA插卡与所述Openflow交换机之间建立有Openflow连接,其特征在于,所述OAA插卡与所述Openflow交换机之间还建立有虚拟可扩展局域网VXLAN隧道,所述方法包括:
接收OAA插卡通过Openflow连接发送的目标引流策略;
根据所述目标引流策略对接收到的报文进行监测;
当监测到命中目标引流策略的目标报文时,将所述目标报文或目标报文的镜像报文封装为VXLAN封装报文,并通过VXLAN隧道将所述VXLAN封装报文发送给所述OAA插卡;其中,所述VXLAN封装报文的负载为所述目标报文或目标报文的镜像报文,且VXLAN报文头的保留字段中携带有所述目标引流策略的上下文关系。
5.根据权利要求4所述的方法,其特征在于,
所述接收OAA插卡通过Openflow连接发送的目标引流策略,包括:
接收所述OAA插卡通过Openflow连接发送的目标Openflow流表,所述目标Openflow流表由所述OAA插卡根据所述目标引流策略生成,所述目标Openflow流表的匹配项为所述目标引流策略指示的报文的特征信息,所述目标Openflow流表的动作项为将命中匹配项的报文镜像或重定向到所述OAA插卡;
所述根据目标引流策略对接收到的报文进行监测,包括:
根据所述目标Openflow流表生成目标访问控制列表ACL规则;所述目标ACL规则的匹配项和动作项分别与所述目标Openflow流表的匹配项和动作项一致;
根据所述目标ACL规则对接收到的报文进行监测;
所述当监测到命中目标引流策略的目标报文时,将所述目标报文或目标报文的镜像报文封装为VXLAN封装报文,包括:
当监测到命中所述目标ACL规则的匹配项的目标报文时,将所述目标报文或所述目标报文的镜像报文封装为VXLAN封装报文。
6.一种报文处理装置,应用于Openflow网络中的作为Openflow控制器的开放应用架构OAA插卡,所述Openflow网络中还包括Openflow交换机,所述OAA插卡与所述Openflow交换机之间建立有Openflow连接,其特征在于,所述OAA插卡与所述Openflow交换机之间还建立有虚拟可扩展局域网VXLAN隧道,所述装置包括:
发送单元,用于通过Openflow连接向Openflow交换机发送目标引流策略,以使所述Openflow交换机根据接收到的目标引流策略对接收到的报文进行监测;
接收单元,用于接收所述Openflow交换机通过VXLAN隧道发送的VXLAN封装报文,所述VXLAN封装报文的负载为所述目标报文,且VXLAN报文头的保留字段中携带有所述目标引流策略的上下文关系,其中,所述目标报文为命中所述目标引流策略的报文。
7.根据权利要求6所述的装置,其特征在于,所述发送单元包括:
生成子单元,用于根据所述目标引流策略生成目标Openflow流表,所述目标Openflow流表的匹配项为所述目标引流策略指示的报文的特征信息,所述目标Openflow流表的动作项为将命中匹配项的报文镜像或重定向到所述OAA插卡;
发送子单元,用于通过所述Openflow连向所述Openflow交换机发送所述目标Openflow流表。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
确定单元,用于从所述VXLAN封装报文的VXLAN报文头的保留字段中获取所述目标引流策略的上下文关系,并根据所述上下文关系确定对应的引流策略;
处理单元,用于根据所述引流策略对所述VXLAN封装报文的负载进行处理。
9.一种报文处理装置,应用于Openflow网络中的Openflow交换机,所述Openflow网络中还包括作为Openflow控制器的开放应用架构OAA插卡,所述OAA插卡与所述Openflow交换机之间建立有Openflow连接,其特征在于,所述OAA插卡与所述Openflow交换机之间还建立有虚拟可扩展局域网VXLAN隧道,所述装置包括:
接收单元,用于接收OAA插卡通过Openflow连接发送的目标引流策略;
监测单元,用于根据所述目标引流策略对接收到的报文进行监测;
发送单元,用于当所述监测单元监测到命中目标引流策略的目标报文时,将所述目标报文封装为VXLAN封装报文,并通过VXLAN隧道将所述VXLAN封装报文发送给所述OAA插卡;其中,所述VXLAN封装报文的负载为所述目标报文,且VXLAN报文头的保留字段中携带有所述目标引流策略的上下文关系。
10.根据权利要求9所述的装置,其特征在于,
所述接收单元,具体用于接收所述OAA插卡通过Openflow连接发送的目标Openflow流表,所述目标Openflow流表由所述OAA插卡根据所述目标引流策略生成,所述目标Openflow流表的匹配项为所述目标引流策略指示的报文的特征信息,所述目标Openflow流表的动作项为将命中匹配项的报文镜像或重定向到所述OAA插卡;
所述监测单元,包括:
生成子单元,用于根据所述目标Openflow流表生成目标访问控制列表ACL规则;所述目标ACL规则的匹配项和动作项分别与所述目标Openflow流表的匹配项和动作项一致;
监测子单元,用于根据所述目标ACL规则对接收到的报文进行监测;
所述发送单元,具体用于当所述监测子单元监测到命中目标ACL规则的匹配项的目标报文时,将所述目标报文或所述目标报文的镜像报文封装为VLXAN封装报文,并通过VXLAN隧道将所述VXLAN封装报文发送给所述OAA插卡。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610709467.2A CN106101011B (zh) | 2016-08-22 | 2016-08-22 | 一种报文处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610709467.2A CN106101011B (zh) | 2016-08-22 | 2016-08-22 | 一种报文处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106101011A true CN106101011A (zh) | 2016-11-09 |
| CN106101011B CN106101011B (zh) | 2019-12-06 |
Family
ID=57224726
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610709467.2A Active CN106101011B (zh) | 2016-08-22 | 2016-08-22 | 一种报文处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106101011B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106911572A (zh) * | 2017-02-24 | 2017-06-30 | 郑州云海信息技术有限公司 | 一种基于sdn架构实现的虚拟机的报文处理方法及装置 |
| WO2017185878A1 (zh) * | 2016-04-27 | 2017-11-02 | 新华三技术有限公司 | 报文转发 |
| WO2018121406A1 (zh) * | 2016-12-29 | 2018-07-05 | 中国银联股份有限公司 | 基于sdn的报文镜像方法及网络流量监控管理系统 |
| CN111917624A (zh) * | 2020-07-13 | 2020-11-10 | 烽火通信科技股份有限公司 | 一种在vxlan传输中控制信息的传送方法及系统 |
| WO2020249030A1 (zh) * | 2019-06-10 | 2020-12-17 | 华为技术有限公司 | 一种发送报文流量的方法和装置 |
| CN112702254A (zh) * | 2020-12-18 | 2021-04-23 | 迈普通信技术股份有限公司 | 报文处理方法、装置及电子设备 |
| CN114697160A (zh) * | 2020-12-28 | 2022-07-01 | 国家计算机网络与信息安全管理中心 | 一种隧道报文的处理方法和装置 |
| CN114760166A (zh) * | 2020-12-28 | 2022-07-15 | 国家计算机网络与信息安全管理中心 | 一种隧道报文的处理方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475516A (zh) * | 2013-09-04 | 2013-12-25 | 杭州华三通信技术有限公司 | 基于开放应用架构的引流识别方法及路由交换部件 |
| CN105100026A (zh) * | 2014-05-22 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种报文安全转发方法及装置 |
| CN105162702A (zh) * | 2015-06-30 | 2015-12-16 | 杭州华三通信技术有限公司 | 一种ac引流方法及装置 |
| CN105681218A (zh) * | 2016-04-11 | 2016-06-15 | 北京邮电大学 | 一种Openflow 网络中流量处理的方法及装置 |
-
2016
- 2016-08-22 CN CN201610709467.2A patent/CN106101011B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475516A (zh) * | 2013-09-04 | 2013-12-25 | 杭州华三通信技术有限公司 | 基于开放应用架构的引流识别方法及路由交换部件 |
| CN105100026A (zh) * | 2014-05-22 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种报文安全转发方法及装置 |
| WO2015176682A1 (en) * | 2014-05-22 | 2015-11-26 | Hangzhou H3C Technologies Co., Ltd. | Forwarding a packet |
| CN105162702A (zh) * | 2015-06-30 | 2015-12-16 | 杭州华三通信技术有限公司 | 一种ac引流方法及装置 |
| CN105681218A (zh) * | 2016-04-11 | 2016-06-15 | 北京邮电大学 | 一种Openflow 网络中流量处理的方法及装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017185878A1 (zh) * | 2016-04-27 | 2017-11-02 | 新华三技术有限公司 | 报文转发 |
| US10547567B2 (en) | 2016-04-27 | 2020-01-28 | New H3C Technologies Co., Ltd | Packet forwarding |
| WO2018121406A1 (zh) * | 2016-12-29 | 2018-07-05 | 中国银联股份有限公司 | 基于sdn的报文镜像方法及网络流量监控管理系统 |
| US11088965B2 (en) | 2016-12-29 | 2021-08-10 | China Unionpay Co., Ltd. | SDN-based packet mirroring method, and network traffic monitoring and management system |
| CN106911572A (zh) * | 2017-02-24 | 2017-06-30 | 郑州云海信息技术有限公司 | 一种基于sdn架构实现的虚拟机的报文处理方法及装置 |
| WO2020249030A1 (zh) * | 2019-06-10 | 2020-12-17 | 华为技术有限公司 | 一种发送报文流量的方法和装置 |
| CN111917624A (zh) * | 2020-07-13 | 2020-11-10 | 烽火通信科技股份有限公司 | 一种在vxlan传输中控制信息的传送方法及系统 |
| CN112702254A (zh) * | 2020-12-18 | 2021-04-23 | 迈普通信技术股份有限公司 | 报文处理方法、装置及电子设备 |
| CN114697160A (zh) * | 2020-12-28 | 2022-07-01 | 国家计算机网络与信息安全管理中心 | 一种隧道报文的处理方法和装置 |
| CN114760166A (zh) * | 2020-12-28 | 2022-07-15 | 国家计算机网络与信息安全管理中心 | 一种隧道报文的处理方法和装置 |
| CN114697160B (zh) * | 2020-12-28 | 2023-05-26 | 国家计算机网络与信息安全管理中心 | 一种隧道报文的处理方法和装置 |
| CN114760166B (zh) * | 2020-12-28 | 2023-05-26 | 国家计算机网络与信息安全管理中心 | 一种隧道报文的处理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106101011B (zh) | 2019-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106101011A (zh) | 一种报文处理方法及装置 | |
| CN105207873B (zh) | 一种报文处理方法和装置 | |
| US9971619B2 (en) | Methods and systems for forwarding network packets within virtual machine host systems | |
| CN105474602B (zh) | 软件定义网络中识别攻击流的方法、装置以及设备 | |
| CN103428094B (zh) | 开放流OpenFlow系统中的报文转发方法及装置 | |
| US20160110212A1 (en) | Methods And Systems For Network Packet Impairment Within Virtual Machine Host Systems | |
| CN104660565A (zh) | 恶意攻击的检测方法和装置 | |
| CN104601526A (zh) | 一种冲突检测及解决的方法、装置 | |
| EP3720075B1 (en) | Data transmission method and virtual switch | |
| CN106341404A (zh) | 基于众核处理器的IPSec VPN系统及加解密处理方法 | |
| CN107078957A (zh) | 通信网络中的网络服务功能的链接 | |
| CN108092934A (zh) | 安全服务系统及方法 | |
| CN106059923B (zh) | 一种报文转发方法及装置 | |
| JP2019517217A5 (zh) | ||
| CN105052087A (zh) | 一种基于流表的表项寻址方法、交换机及控制器 | |
| CN103957159B (zh) | 一种确定标签交换路径的方法及路径计算单元 | |
| CN105939294A (zh) | 报文控制的方法及装置 | |
| CN103701822A (zh) | 访问控制方法 | |
| CN103973568A (zh) | 用于在mpls核心网上转发sdn流的方法和设备 | |
| CN110311860A (zh) | Vxlan下多链路负载均衡方法及装置 | |
| CN104735071A (zh) | 一种虚拟机之间的网络访问控制实现方法 | |
| CN104660554A (zh) | 一种虚拟机通信数据安全的实现方法 | |
| CN106656975A (zh) | 一种攻击防御方法及装置 | |
| US10339091B2 (en) | Packet data processing method, apparatus, and system | |
| CN106059887A (zh) | 一种vpn流量监控方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |