CN110311868A - 业务处理方法、装置、成员设备及机器可读存储介质 - Google Patents
业务处理方法、装置、成员设备及机器可读存储介质 Download PDFInfo
- Publication number
- CN110311868A CN110311868A CN201910609909.XA CN201910609909A CN110311868A CN 110311868 A CN110311868 A CN 110311868A CN 201910609909 A CN201910609909 A CN 201910609909A CN 110311868 A CN110311868 A CN 110311868A
- Authority
- CN
- China
- Prior art keywords
- data traffic
- business
- flow information
- flow
- refusal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/583—Stackable routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/7453—Address table lookup; Address filtering using hashing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供了一种业务处理方法、装置、成员设备及机器可读存储介质,堆叠系统中的成员设备在接收到数据流量之后,将数据流量的流量信息与访问控制列表中的拒绝规则进行匹配,由于拒绝规则记录的是业务流程中包含不支持双主模式的业务的数据流量的流量信息,如果数据流量的流量信息匹配上拒绝规则,则说明数据流量的部分业务只能在本成员设备上进行处理,因此,在数据流量的流量信息匹配上拒绝规则的情况下,由本成员设备对数据流量进行业务处理,而不是将数据流量哈希到其他成员设备上进行业务处理,保证了业务的正常处理。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种业务处理方法、装置、成员设备及机器可读存储介质。
背景技术
IRF(Intelligent Resilient Framework,智能弹性架构)是将多台成员设备通过堆叠口连接在一起,进行必要的配置后,虚拟化成一台虚拟设备的技术。IRF技术可以集合多台成员设备的硬件资源和软件处理能力,实现多台成员设备的协同工作、统一管理和不间断维护。
IRF中包括一台主成员设备和多台从成员设备,在双主模式下,主成员设备和从成员设备均可对数据流量进行业务处理。IRF中的某一个成员设备接收到数据流量后,对该数据流量的流量信息进行哈希运算,得到哈希值,选择哈希值对应的成员设备对该数据流量进行业务处理,通过IRF堆叠线,将数据流量传输至哈希值对应的成员设备,由该成员设备对数据流量进行业务处理。
然而在实际应用中,数据流量的部分业务并不是在所有成员设备上均可处理,如果数据流量的一些业务只能在一个成员设备上进行处理,而该成员设备在接收到数据流量之后,经过哈希运算,将数据流量哈希到另一个成员设备上进行业务处理,由于某一部分业务只能在第一个成员设备上进行处理,则会导致这部分业务无法实现。
发明内容
本发明实施例的目的在于提供一种业务处理方法、装置、成员设备及机器可读存储介质,以保证业务的正常处理。具体技术方案如下:
第一方面,本发明实施例提供了一种业务处理方法,应用于堆叠系统中的各成员设备,该方法包括:
接收数据流量,并读取数据流量的流量信息;
根据流量信息,判断流量信息是否与访问控制列表中的拒绝规则匹配,其中,拒绝规则记录有业务流程中包含不支持双主模式的业务的数据流量的流量信息;
若流量信息与拒绝规则匹配,则在本成员设备上对数据流量进行业务处理。
第二方面,本发明实施例提供了一种业务处理装置,应用于堆叠系统中的各成员设备,该装置包括:
接收模块,用于接收数据流量,并读取数据流量的流量信息;
判断模块,用于根据流量信息,判断流量信息是否与访问控制列表中的拒绝规则匹配,其中,拒绝规则记录有业务流程中包含不支持双主模式的业务的数据流量的流量信息;
处理模块,用于若判断模块的判断结果为流量信息与拒绝规则匹配,则在本成员设备上对数据流量进行业务处理。
第三方面,本发明实施例提供了一种成员设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使:执行本发明实施例第一方面所提供的方法。
第四方面,本发明实施例提供了一种机器可读存储介质,机器可读存储介质内存储有机器可执行指令,机器可执行指令被处理器执行时,实现本发明实施例第一方面所提供的方法。
本发明实施例提供的一种业务处理方法、装置、成员设备及机器可读存储介质,堆叠系统中的成员设备接收数据流量,并读取数据流量的流量信息,根据流量信息,判断流量信息是否与访问控制列表中的拒绝规则匹配,若匹配,则在本成员设备上对数据流量进行业务处理,其中,拒绝规则记录有业务流程中包含不支持双主模式的业务的数据流量的流量信息。成员设备在接收到数据流量之后,将数据流量的流量信息与访问控制列表中的拒绝规则进行匹配,由于拒绝规则记录的是业务流程中包含不支持双主模式的业务的数据流量的流量信息,如果数据流量的流量信息匹配上拒绝规则,则说明数据流量的部分业务只能在本成员设备上进行处理,因此,在数据流量的流量信息匹配上拒绝规则的情况下,由本成员设备对数据流量进行业务处理,而不是将数据流量哈希到其他成员设备上进行业务处理,保证了业务的正常处理。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为IRF的网络结构示意图;
图2为本发明实施例的业务处理方法的流程示意图;
图3为本发明实施例的业务处理方法的一具体实例的流程示意图;
图4为本发明实施例的业务处理装置的结构示意图;
图5为本发明实施例的成员设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在IRF中,成员设备的工作模式一般有两种,一种是主成员设备工作、从成员设备作为备份,这种工作模式称为主备模式,这种工作模式不能有效利用成员设备的资源;另一种是主成员设备和从成员设备都工作,都可以处理数据流量,这种工作模式称为双主模式。
双主模式下,某一成员设备接收到数据流量之后,对数据流量的流量信息(例如源IP地址信息)进行哈希运算,得到哈希值,将数据流量哈希到哈希值对应的成员设备上进行业务处理。如图1所示,数据流量从成员设备101的端口1/0/2进、从成员设备101的端口1/0/1出的情况,如果通过哈希运算,哈希值对应的成员设备为成员设备102,则成员设备101通过IRF堆叠线,将数据流量传输至成员设备102,成员设备102对数据流量做完业务处理后,再通过IRF堆叠线传回给成员设备101,从成员设备101的端口1/0/1将业务处理后的数据流量发送出去。如果在端口1/0/2下面配置有例如NAT Server(Network AddressTranslation Server,网络地址转换服务)等不支持双主模式的业务,由于数据流量直接传输至了成员设备102,将不会对数据流量进行NAT Server等业务处理。
为了保证业务的正常处理,本发明实施例提供了一种业务处理方法、装置、成员设备及机器可读存储介质。下面,首先对本发明实施例所提供的业务处理方法进行介绍。
本发明实施例所提供的业务处理方法的执行主体可以为堆叠系统中的各成员设备,堆叠系统可以为上述的IRF,或者利用其它堆叠技术将成员设备堆叠成的系统。堆叠系统还可以是多个接口板堆叠成的堆叠设备,则在这种情况下,成员设备可以理解为堆叠的接口板。实现本发明实施例所提供的业务处理方法的方式可以为设置于成员设备中的软件、硬件电路和逻辑电路中的至少一种。
如图2所示,本发明实施例所提供的一种业务处理方法,可以包括如下步骤。
S201,接收数据流量,并读取数据流量的流量信息。
成员设备接收到客户端或者其他网络发来的数据流量,可以从数据流量的首报文中提取该数据流量的流量信息。流量信息为表征数据流量特征的信息,例如四元组信息(包括源IP地址、源端口号、目的IP地址和目的端口号)、五元组信息(包括源IP地址、源端口号、目的IP地址、目的端口号和协议号)、七元组信息(包括源IP地址、源端口号、目的IP地址、目的端口号、协议号、服务类型和接口索引)等。
S202,根据流量信息,判断流量信息是否与访问控制列表中的拒绝规则匹配,其中,拒绝规则记录有业务流程中包含不支持双主模式的业务的数据流量的流量信息。
成员设备中一般都配置有ACL(Access Control List,访问控制列表),可以通过在ACL中配置一些策略来限制数据流量,允许或者禁止某些数据流量的接入,保证了内网的安全性。
ACL中可以配置拒绝规则,拒绝规则中记录有业务流程中包含不支持双主模式的业务的数据流量的流量信息。数据流量的业务流程是指对数据流量进行业务处理的过程,业务流程中包括对数据流量具体进行了哪些业务处理,体现了进行业务处理的模式。不支持双主模式的业务是指只能在本地进行处理的业务,例如NAT Server业务,这一类业务只能在接收数据流量的成员设备本地进行处理,不支持双主模式,拒绝规则中记录的即为进行这一类业务处理的数据流量的流量信息。
拒绝规则也称为deny规则,成员设备在实时接收到数据流量之后,对数据流量进行预处理,如果一条数据流业务预处理结果中有不支持双主模式的业务,则将该条数据流的五元组等流量信息统计至deny规则。流量信息匹配deny规则时,成员设备会跳过哈希计算选择其他成员设备的流程,直接由本成员设备进行正常的流量处理,也就是数据流量从哪个成员设备上来,就直接在那个成员设备上进行处理,不存在选择其他成员设备、将待转发报文发往选择的其他成员设备(透传)等动作。
对数据流量进行预处理的过程,就是根据数据流量的流量信息以及用户需求,判断数据流量需要输入哪些处理模块,一种处理对应一个处理模块,则基于数据流量输入哪些处理模块的判断结果,可以确定出数据流量的业务流程,进一步的确定出该数据流量的流量信息是否统计至拒绝规则。
在读取到数据流量的流量信息之后,可以判断流量信息是否与ACL中的拒绝规则匹配,从而推断出该数据流量的业务流程中是否包含不支持双主模式的业务。
可选的,本发明实施例所提供的业务处理方法还可以执行如下步骤:
第一步,根据流量信息,判断流量信息是否与访问控制列表中的支持规则匹配,其中,支持规则记录有业务流程中包含的均为支持双主模式的业务的数据流量的流量信息。
第二步,若流量信息与支持规则匹配,则对流量信息进行哈希运算,得到哈希值,确定哈希值对应的其他成员设备。
第三步,将数据流量发送至哈希值对应的其他成员设备,以使哈希值对应的其他成员设备对数据流量进行业务处理。
ACL中还可以配置支持规则,支持规则中记录有业务流程中包含的均为支持双主模式的业务的数据流量的流量信息。支持规则也称为permit规则,permit规则的生成与deny规则类似,成员设备在实时接收到数据流量之后,对数据流量进行预处理,如果一条数据流业务预处理结果中都是支持双主模式的业务,则将该条数据流的五元组等流量信息统计至permit规则。流量信息匹配permit规则时,成员设备进行哈希选择其他成员设备转发的流程,对流量信息进行哈希运算,将数据流量传输到哈希值对应的其他成员设备上进行处理。
如果数据流量的流量信息与支持规则匹配,则说明该数据流量的业务流程中包含的均为支持双主模式的业务,也就是说,成员设备均可对该数据流量进行业务处理。此时,可以基于传统的方式,对流量信息进行哈希运算,得到哈希值,确定哈希值对应的其他成员设备,将数据流量发送至哈希值对应的其他成员设备,由该成员设备对数据流量进行业务处理。在进行哈希运算时,可以直接对数据流量的源IP地址进行哈希运算,具体哈希运算的过程可以采用传统的MD4(Message Digest Algorithm 4,第四版消息摘要算法)、MD5(Message Digest Algorithm 5,第五版消息摘要算法)、SHS(Secure Hash Algorithm,安全散列算法)等,这里不再详述。
在本发明实施例中,可以不对流量信息和拒绝规则匹配、流量信息和支持规则匹配的先后顺序进行限定。可以先对流量信息和拒绝规则进行匹配,如果不匹配,再对流量信息和支持规则进行匹配;也可以先对流量信息和支持规则进行匹配,如果不匹配,再对流量信息和拒绝规则进行匹配。
S203,若流量信息与拒绝规则匹配,则在本成员设备上对数据流量进行业务处理。
如果数据流量的流量信息与拒绝规则匹配,则说明该数据流量的业务流程中包含不支持双主模式的业务,也就是说,存在只能在本成员设备进行处理的业务,则不对数据流量进行哈希运算,直接在本成员设备对数据流量进行业务处理,保证了业务的正常处理。
可选的,在执行S202之后,本发明实施例所提供的业务处理方法还可以执行如下步骤:
若流量信息与拒绝规则不匹配,则对数据流量进行业务预处理,判断数据流量的业务流程中是否包含不支持双主模式的业务;若数据流量的业务流程中包含不支持双主模式的业务,则将数据流量的流量信息记录至访问控制列表中的拒绝规则,并在本成员设备上对数据流量进行业务处理。
如果数据流量的流量信息与拒绝规则不匹配,则说明该数据流量有可能是之前没有处理过的数据流量,则可以对数据流量进行业务预处理,判断该数据流量会输入哪些处理模块进行业务处理,根据预处理结果,判断该数据流量输入的处理模块中是否有不支持双主模式的业务,例如NAT Server业务,如果有不支持双主模式的业务,则说明该数据流量有一部分业务只能在本成员设备上进行处理,因此,可以由本成员设备对该数据流量进行业务处理,同时将该数据流量的流量信息记录至拒绝规则中,以便后续再收到该数据流量,可以直接在本成员设备上对该数据流量进行业务处理。
本成员设备处理数据流量就是正常的数据流量转发流程,根据配置的业务对数据流量进行处理。以接口配置NAT为例,先对数据流量进行NAT业务,然后进行查表,再走安全策略处理,具体走哪些业务根据配置来决定,这些业务处理是由本成员设备的CPU来完成的。
对数据流量进行业务预处理的判定条件,除了流量信息与拒绝规则不匹配的条件以外,还可以满足流量信息与支持规则不匹配的条件,也就是说,准确确定该数据流量是之前没有处理过的数据流量,从未在拒绝规则和支持规则中记录该数据流量的流量信息。能够避免数据流量的流量信息已记录在支持规则中,而需要再进行业务预处理的情况,简化了执行流程。
可选的,在执行对数据流量进行业务预处理,判断数据流量的业务流程中是否包含不支持双主模式的业务之后,本发明实施例所提供的业务处理方法还可以执行如下步骤:
若数据流量的业务流程中包含的均为支持双主模式的业务,则将数据流量的流量信息记录至访问控制列表中的支持规则;对流量信息进行哈希运算,得到哈希值,确定哈希值对应的其他成员设备;将数据流量发送至哈希值对应的其他成员设备,以使哈希值对应的其他成员设备对数据流量进行业务处理。
在对数据流量进行业务预处理后,如果数据流量的业务流程中包含的均为支持双主模式的业务,则说明该数据流量可以在任意的成员设备上进行业务处理,此时,可以基于传统的方式,对流量信息进行哈希运算,得到哈希值,确定哈希值对应的其他成员设备,将数据流量发送至该成员设备,由该成员设备对数据流量进行业务处理。
应用本发明实施例,堆叠系统中的成员设备接收数据流量,并读取数据流量的流量信息,根据流量信息,判断流量信息是否与访问控制列表中的拒绝规则匹配,若匹配,则在本成员设备上对数据流量进行业务处理,其中,拒绝规则记录有业务流程中包含不支持双主模式的业务的数据流量的流量信息。成员设备在接收到数据流量之后,将数据流量的流量信息与访问控制列表中的拒绝规则进行匹配,由于拒绝规则记录的是业务流程中包含不支持双主模式的业务的数据流量的流量信息,如果数据流量的流量信息匹配上拒绝规则,则说明数据流量的部分业务只能在本成员设备上进行处理,因此,在数据流量的流量信息匹配上拒绝规则的情况下,由本成员设备对数据流量进行业务处理,而不是将数据流量哈希到其他成员设备上进行业务处理,保证了业务的正常处理。
通过将必须由本地处理的数据流量和可以进行哈希负载分担的数据流量区分开来。将必须由本地进行业务处理的数据流量优先识别出来,由本成员设备进行业务处理;对于可以进行哈希运算,哈希到其他成员设备的数据流量转发到其他成员设备进行业务处理,达到双主模式与本地优先处理模式的共存目的,有效的扩展了IRF堆叠的双主模式的使用范围。并且,通过对接收到的数据流量的ACL匹配,能够动态更新ACL,减轻了人工配置ACL的复杂度和工作量,提高了成员设备的易用性。
为了便于理解,下面通过一个具体实例,对本发明实施例所提供的业务处理方法进行详细介绍,以TCP(Transmission Control Protocol传输控制协议)流量从端口1.1.1.1:50进、从端口2.2.2.2:60出为例。
如图3所示,成员设备在接收到数据流量之后,首先基于该数据流量的流量信息进行ACL匹配(ACL的初始列表可以为空,也可以为用户初始配置);如果该数据流量的流量信息匹配上ACL中的permit规则(支持规则),则对该数据流量的流量信息进行哈希运算,得到哈希值,确定哈希值对应的成员设备,并将该数据流量发送至确定出的成员设备进行业务处理;如果该数据流量的流量信息匹配上ACL中的deny规则(拒绝规则),则在本成员设备上进行业务处理。
如果该数据流量的流量信息没有命中ACL,则对该数据流量进行业务预处理,检查该数据流量的业务流程中,是否有不支持双主模式的业务(例如部分NAT业务)。如果有,则在deny规则中添加该数据流量的流量信息,并在本地对数据流量进行业务处理;如果没有,则在permit规则中添加该数据流量的流量信息,并对该数据流量的流量信息进行哈希运算,得到哈希值,确定哈希值对应的成员设备,并将该数据流量发送至确定出的成员设备进行业务处理。
相应于上述方法实施例,本发明实施例提供了一种业务处理装置,应用于堆叠系统中的各成员设备,如图4所示,该业务处理装置可以包括:
接收模块410,用于接收数据流量,并读取数据流量的流量信息;
判断模块420,用于根据流量信息,判断流量信息是否与访问控制列表中的拒绝规则匹配,其中,拒绝规则记录有业务流程中包含不支持双主模式的业务的数据流量的流量信息;
处理模块430,用于若判断模块420的判断结果为流量信息与拒绝规则匹配,则在本成员设备上对数据流量进行业务处理。
可选的,判断模块420,还可以用于根据流量信息,判断流量信息是否与访问控制列表中的支持规则匹配,其中,支持规则记录有业务流程中包含的均为支持双主模式的业务的数据流量的流量信息;
该装置还可以包括:
运算模块,用于若判断模块420的判断结果为流量信息与支持规则匹配,则对流量信息进行哈希运算,得到哈希值,确定哈希值对应的其他成员设备;
发送模块,用于将数据流量发送至哈希值对应的其他成员设备,以使哈希值对应的其他成员设备对数据流量进行业务处理。
可选的,该装置还可以包括:
预处理模块,用于若判断模块420的判断结果为流量信息与拒绝规则不匹配,则对数据流量进行业务预处理,判断数据流量的业务流程中是否包含不支持双主模式的业务;
记录模块,用于若数据流量的业务流程中包含不支持双主模式的业务,则将数据流量的流量信息记录至访问控制列表中的拒绝规则,并在本成员设备上对数据流量进行业务处理。
可选的,记录模块,还可以用于若数据流量的业务流程中包含的均为支持双主模式的业务,则将数据流量的流量信息记录至访问控制列表中的支持规则;
该装置还可以包括:
运算模块,用于对流量信息进行哈希运算,得到哈希值,确定哈希值对应的其他成员设备;
发送模块,用于将数据流量发送至哈希值对应的其他成员设备,以使哈希值对应的其他成员设备对数据流量进行业务处理。
应用本发明实施例,堆叠系统中的成员设备接收数据流量,并读取数据流量的流量信息,根据流量信息,判断流量信息是否与访问控制列表中的拒绝规则匹配,若匹配,则在本成员设备上对数据流量进行业务处理,其中,拒绝规则记录有业务流程中包含不支持双主模式的业务的数据流量的流量信息。成员设备在接收到数据流量之后,将数据流量的流量信息与访问控制列表中的拒绝规则进行匹配,由于拒绝规则记录的是业务流程中包含不支持双主模式的业务的数据流量的流量信息,如果数据流量的流量信息匹配上拒绝规则,则说明数据流量的部分业务只能在本成员设备上进行处理,因此,在数据流量的流量信息匹配上拒绝规则的情况下,由本成员设备对数据流量进行业务处理,而不是将数据流量哈希到其他成员设备上进行业务处理,保证了业务的正常处理。
本发明实施例还提供了一种网络设备可以作为堆叠系统的成员设备,如图5所示,包括处理器501和机器可读存储介质502,机器可读存储介质502存储有能够被处理器501执行的机器可执行指令,处理器501被机器可执行指令促使:执行本发明实施例所提供的业务处理方法的步骤。
上述机器可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processor,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例中,处理器501通过读取机器可读存储介质502中存储的机器可执行指令,被机器可执行指令促使能够实现:堆叠系统中的成员设备接收数据流量,并读取数据流量的流量信息,根据流量信息,判断流量信息是否与访问控制列表中的拒绝规则匹配,若匹配,则在本成员设备上对数据流量进行业务处理,其中,拒绝规则记录有业务流程中包含不支持双主模式的业务的数据流量的流量信息。成员设备在接收到数据流量之后,将数据流量的流量信息与访问控制列表中的拒绝规则进行匹配,由于拒绝规则记录的是业务流程中包含不支持双主模式的业务的数据流量的流量信息,如果数据流量的流量信息匹配上拒绝规则,则说明数据流量的部分业务只能在本成员设备上进行处理,因此,在数据流量的流量信息匹配上拒绝规则的情况下,由本成员设备对数据流量进行业务处理,而不是将数据流量哈希到其他成员设备上进行业务处理,保证了业务的正常处理。
另外,本发明实施例还提供了一种机器可读存储介质,机器可读存储介质内存储有机器可执行指令,机器可执行指令被处理器执行时,实现本发明实施例所提供的业务处理方法的步骤。
本实施例中,机器可读存储介质在运行时能够实现:堆叠系统中的成员设备接收数据流量,并读取数据流量的流量信息,根据流量信息,判断流量信息是否与访问控制列表中的拒绝规则匹配,若匹配,则在本成员设备上对数据流量进行业务处理,其中,拒绝规则记录有业务流程中包含不支持双主模式的业务的数据流量的流量信息。成员设备在接收到数据流量之后,将数据流量的流量信息与访问控制列表中的拒绝规则进行匹配,由于拒绝规则记录的是业务流程中包含不支持双主模式的业务的数据流量的流量信息,如果数据流量的流量信息匹配上拒绝规则,则说明数据流量的部分业务只能在本成员设备上进行处理,因此,在数据流量的流量信息匹配上拒绝规则的情况下,由本成员设备对数据流量进行业务处理,而不是将数据流量哈希到其他成员设备上进行业务处理,保证了业务的正常处理。
对于成员设备以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、成员设备以及机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种业务处理方法,其特征在于,应用于堆叠系统中的各成员设备,所述方法包括:
接收数据流量,并读取所述数据流量的流量信息;
根据所述流量信息,判断所述流量信息是否与访问控制列表中的拒绝规则匹配,所述拒绝规则记录有业务流程中包含不支持双主模式的业务的数据流量的流量信息;
若所述流量信息与所述拒绝规则匹配,则在本成员设备上对所述数据流量进行业务处理。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述流量信息,判断所述流量信息是否与所述访问控制列表中的支持规则匹配,所述支持规则记录有业务流程中包含的均为支持双主模式的业务的数据流量的流量信息;
若所述流量信息与所述支持规则匹配,则对所述流量信息进行哈希运算,得到哈希值,确定所述哈希值对应的其他成员设备;
将所述数据流量发送至所述哈希值对应的其他成员设备,以使所述哈希值对应的其他成员设备对所述数据流量进行业务处理。
3.根据权利要求1所述的方法,其特征在于,在所述根据所述流量信息,判断所述流量信息是否与访问控制列表中的拒绝规则匹配之后,所述方法还包括:
若所述流量信息与所述拒绝规则不匹配,则对所述数据流量进行业务预处理,判断所述数据流量的业务流程中是否包含不支持双主模式的业务;
若所述数据流量的业务流程中包含不支持双主模式的业务,则将所述数据流量的流量信息记录至所述访问控制列表中的拒绝规则,并在本成员设备上对所述数据流量进行业务处理。
4.根据权利要求3所述的方法,其特征在于,在所述对所述数据流量进行业务预处理,判断所述数据流量的业务流程中是否包含不支持双主模式的业务之后,所述方法还包括:
若所述数据流量的业务流程中包含的均为支持双主模式的业务,则将所述数据流量的流量信息记录至所述访问控制列表中的支持规则;
对所述流量信息进行哈希运算,得到哈希值,确定所述哈希值对应的其他成员设备;
将所述数据流量发送至所述哈希值对应的其他成员设备,以使所述哈希值对应的其他成员设备对所述数据流量进行业务处理。
5.一种业务处理装置,其特征在于,应用于堆叠系统中的各成员设备,所述装置包括:
接收模块,用于接收数据流量,并读取所述数据流量的流量信息;
判断模块,用于根据所述流量信息,判断所述流量信息是否与访问控制列表中的拒绝规则匹配,所述拒绝规则记录有业务流程中包含不支持双主模式的业务的数据流量的流量信息;
处理模块,用于若所述判断模块的判断结果为所述流量信息与所述拒绝规则匹配,则在本成员设备上对所述数据流量进行业务处理。
6.根据权利要求5所述的装置,其特征在于,
所述判断模块,还用于根据所述流量信息,判断所述流量信息是否与所述访问控制列表中的支持规则匹配,所述支持规则记录有业务流程中包含的均为支持双主模式的业务的数据流量的流量信息;
所述装置还包括:
运算模块,用于若所述判断模块的判断结果为所述流量信息与所述支持规则匹配,则对所述流量信息进行哈希运算,得到哈希值,确定所述哈希值对应的其他成员设备;
发送模块,用于将所述数据流量发送至所述哈希值对应的其他成员设备,以使所述哈希值对应的其他成员设备对所述数据流量进行业务处理。
7.根据权利要求5所述的装置,其特征在于,所述装置还包括:
预处理模块,用于若所述判断模块的判断结果为所述流量信息与所述拒绝规则不匹配,则对所述数据流量进行业务预处理,判断所述数据流量的业务流程中是否包含不支持双主模式的业务;
记录模块,用于若所述数据流量的业务流程中包含不支持双主模式的业务,则将所述数据流量的流量信息记录至所述访问控制列表中的拒绝规则,并在本成员设备上对所述数据流量进行业务处理。
8.根据权利要求7所述的装置,其特征在于,
所述记录模块,还用于若所述数据流量的业务流程中包含的均为支持双主模式的业务,则将所述数据流量的流量信息记录至所述访问控制列表中的支持规则;
所述装置还包括:
运算模块,用于对所述流量信息进行哈希运算,得到哈希值,确定所述哈希值对应的其他成员设备;
发送模块,用于将所述数据流量发送至所述哈希值对应的其他成员设备,以使所述哈希值对应的其他成员设备对所述数据流量进行业务处理。
9.一种网络成员设备,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使:执行权利要求1-4任一项所述的方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质内存储有机器可执行指令,所述机器可执行指令被处理器执行时,实现权利要求1-4任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910609909.XA CN110311868B (zh) | 2019-07-08 | 2019-07-08 | 业务处理方法、装置、成员设备及机器可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910609909.XA CN110311868B (zh) | 2019-07-08 | 2019-07-08 | 业务处理方法、装置、成员设备及机器可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110311868A true CN110311868A (zh) | 2019-10-08 |
| CN110311868B CN110311868B (zh) | 2021-09-21 |
Family
ID=68078279
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910609909.XA Active CN110311868B (zh) | 2019-07-08 | 2019-07-08 | 业务处理方法、装置、成员设备及机器可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110311868B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404827A (zh) * | 2020-03-09 | 2020-07-10 | 深信服科技股份有限公司 | 一种数据包处理方法、装置及电子设备和存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101707569A (zh) * | 2009-12-21 | 2010-05-12 | 杭州华三通信技术有限公司 | Nat业务报文处理的方法及装置 |
| CN102301663A (zh) * | 2011-07-06 | 2011-12-28 | 华为技术有限公司 | 一种报文处理方法及相关设备 |
| CN103795622A (zh) * | 2014-01-22 | 2014-05-14 | 杭州华三通信技术有限公司 | 一种报文转发方法及其装置 |
| CN104601461A (zh) * | 2013-10-30 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种纵向智能弹性架构系统中的报文转发方法及装置 |
| CN106302223A (zh) * | 2016-09-20 | 2017-01-04 | 杭州迪普科技有限公司 | 一种聚合组流量分流的方法和装置 |
| CN106789652A (zh) * | 2016-12-29 | 2017-05-31 | 杭州迪普科技股份有限公司 | 业务分流方法及装置 |
| CN108924272A (zh) * | 2018-06-26 | 2018-11-30 | 新华三信息安全技术有限公司 | 一种端口资源分配方法及装置 |
| US20190182154A1 (en) * | 2017-04-09 | 2019-06-13 | Barefoot Networks, Inc. | Verification of Access Control List Rules |
-
2019
- 2019-07-08 CN CN201910609909.XA patent/CN110311868B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101707569A (zh) * | 2009-12-21 | 2010-05-12 | 杭州华三通信技术有限公司 | Nat业务报文处理的方法及装置 |
| CN102301663A (zh) * | 2011-07-06 | 2011-12-28 | 华为技术有限公司 | 一种报文处理方法及相关设备 |
| CN104601461A (zh) * | 2013-10-30 | 2015-05-06 | 杭州华三通信技术有限公司 | 一种纵向智能弹性架构系统中的报文转发方法及装置 |
| CN103795622A (zh) * | 2014-01-22 | 2014-05-14 | 杭州华三通信技术有限公司 | 一种报文转发方法及其装置 |
| CN106302223A (zh) * | 2016-09-20 | 2017-01-04 | 杭州迪普科技有限公司 | 一种聚合组流量分流的方法和装置 |
| CN106789652A (zh) * | 2016-12-29 | 2017-05-31 | 杭州迪普科技股份有限公司 | 业务分流方法及装置 |
| US20190182154A1 (en) * | 2017-04-09 | 2019-06-13 | Barefoot Networks, Inc. | Verification of Access Control List Rules |
| CN108924272A (zh) * | 2018-06-26 | 2018-11-30 | 新华三信息安全技术有限公司 | 一种端口资源分配方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| M.JETHANANDANI等: ""Network Access Control List(ACL)Yang Data Model draft-ietf-netmod-acl-model-17"", 《IETF》 * |
| 姚建伟: ""基于ACL的高校校园网网络流量安全控制策略分析"", 《数码世界》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111404827A (zh) * | 2020-03-09 | 2020-07-10 | 深信服科技股份有限公司 | 一种数据包处理方法、装置及电子设备和存储介质 |
| CN111404827B (zh) * | 2020-03-09 | 2023-09-08 | 深信服科技股份有限公司 | 一种数据包处理方法、装置及电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110311868B (zh) | 2021-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102223365B (zh) | 基于ssl vpn网关集群的用户接入方法及其装置 | |
| CN108650182A (zh) | 网络通信方法、系统、装置、设备及存储介质 | |
| AU2018430192A1 (en) | Blockchain system and method | |
| US8756270B2 (en) | Collective acceleration unit tree structure | |
| CN109547580A (zh) | 一种处理数据报文的方法和装置 | |
| CN104821924B (zh) | 一种网络数据包处理方法、装置和网络处理设备 | |
| CN103685583A (zh) | 一种域名解析的方法和系统 | |
| CN108063813B (zh) | 一种集群环境下密码服务网络并行化的方法与系统 | |
| US9268967B2 (en) | Internet protocol network mapper | |
| CN109218205A (zh) | 一种报文转发方法及装置 | |
| EP2775676A1 (en) | Policy based routing method and device | |
| CN102035738A (zh) | 一种获取路由信息的方法及装置 | |
| KR101200906B1 (ko) | 네트워크 기반 고성능 유해사이트 차단 시스템 및 방법 | |
| CN105681426B (zh) | 异构系统 | |
| Zhang et al. | Tripod: Towards a scalable, efficient and resilient cloud gateway | |
| Fall et al. | Routing tables: Is smaller really much better? | |
| CN107633102A (zh) | 一种读取元数据的方法、装置、系统及设备 | |
| KR20140063690A (ko) | 복수의 장치로 이벤트를 배포하는 기법 | |
| CN110311868A (zh) | 业务处理方法、装置、成员设备及机器可读存储介质 | |
| CN104731660A (zh) | 数据分配方法、装置和系统 | |
| CN116781434A (zh) | 基于拟态防御的访问控制方法、系统及相关设备 | |
| Liu et al. | Accelerating Data Delivery of Latency-Sensitive Applications in Container Overlay Network | |
| WO2023142605A1 (zh) | 一种基于区块链的数据处理方法和相关装置 | |
| CN108076111B (zh) | 一种在大数据平台中分发数据的系统及方法 | |
| CN102868621B (zh) | 一种利用异步方式实现大容量路由快速写硬件的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |