CN111447233B - 基于vxlan的报文过滤方法和装置 - Google Patents
基于vxlan的报文过滤方法和装置 Download PDFInfo
- Publication number
- CN111447233B CN111447233B CN202010242396.6A CN202010242396A CN111447233B CN 111447233 B CN111447233 B CN 111447233B CN 202010242396 A CN202010242396 A CN 202010242396A CN 111447233 B CN111447233 B CN 111447233B
- Authority
- CN
- China
- Prior art keywords
- message
- processed
- priority
- control item
- forwarding strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种基于VXLAN的报文过滤方法及装置,应用于过滤设备中,所述方法包括:获取待处理队列的当前待处理报文;将所述当前待处理报文匹配转发策略集中的至少一个控制项;若确定所述当前待处理报文匹配上所述至少一个控制项中的选定控制项,则获取所述选定控制项所属的转发策略对应的第一分析服务器;根据所述当前待处理报文、所述第一分析服务器、所述选定控制项所属的转发策略的转发策略优先级和所述当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文;将所述第一VXLAN报文发送给所述第一分析服务器。应用本申请的实施例,实现全面分析报文,使得分析结果多样化。
Description
技术领域
本申请涉及网络通信技术领域,特别设计一种基于虚拟可扩展局域网(VirtualeXtensible Local Area Network,VXLAN)的报文过滤方法和装置。
背景技术
通过合法监控和分析网络中的报文,并对非法报文进行过滤是维护网络安全的一种有效手段,为此,出现了过滤设备。如图1所示,可以在两台路由器之间接入过滤设备来过滤报文,过滤设备将接收到的来自一台路由器的符合条件的报文发送给分析服务器,分析服务器对报文的内容进行分析后,再将报文转发给过滤设备,通过过滤设备将报文转发至另一台路由器。
过滤设备可以通过关心报文携带的源互联网协议(Internet Protocol,IP)地址、目的IP、源端口号、目的端口号和协议这五元组信息中的一元组信息或多元组信息建立多个控制项。由于网络中报文的数量极大,五元组信息的变化范围也非常广,为实现对报文的高效分析,过滤设备连接的分析服务器的数量众多,不同的分析服务器实现的分析功能不同,过滤设备与各个分析服务器之间可以基于VXLAN进行通信。过滤设备还可以配置转发策略集合,每个转发策略包括控制项标识(Identification,ID)、分析服务器的IP地址、所属的转发策略的转发策略ID、转发策略优先级等信息。
过滤设备接收路由器转发的报文后,提取报文的五元组信息,根据报文的五元组信息依次遍历匹配转发策略集合中所有的控制项,当匹配上控制项时,记录该控制项的控制项ID、所属的转发策略的转发策略优先级。若后续匹配到另一个控制项,比较另一个控制项所属的转发策略的转发策略优先级与所记录的转发策略优先级的高低,若另一个控制项所属的转发策略的转发策略优先级高于所记录的转发策略优先级,则记录另一控制项的控制项ID、所属的转发策略的转发策略优先级,替换原有的记录;若另一个控制项所属的转发策略的转发策略优先级不高于所记录的转发策略优先级,保持原有的记录不变。遍历完所有控制项后,记录的控制项ID对应的控制项就是报文命中的控制项,然后获取该控制项所属的转发策略,若该控制项所属的转发策略有多个,可以选取转发策略优先级最高的转发策略。过滤设备将命中控制项的报文进行VXLAN封装,得到VXLAN报文,VXLAN报文的目的IP地址为控制项所属的转发策略绑定的分析服务器的IP地址,源IP地址为过滤设备的虚拟地址。
分析服务器接收到VXLAN报文后,对VXLAN报文进行解封装,分析完得到的报文后,再次对得到的报文进行VXLAN封装,得到VXLAN报文,VXLAN报文的目的IP地址为过滤设备的虚拟地址,源IP地址为分析服务器的IP地址。
过滤设备接收到分析服务器回流的VXLAN报文后,对VXLAN报文进行解封装,将得到的报文转发给另一个路由器。
上述基于VXLAN的报文过滤方法中,若报文匹配上的控制项所属的转发策略有多个,可以选取转发策略优先级最高的转发策略,此时就会导致携带相同五元组信息的报文会一直转发到同一个分析服务器上进行分析,由于每个分析服务器的分析功能不同,其他的分析服务器无法分析该报文,这就会导致分析结果单一,无法全面分析报文。
发明内容
有鉴于此,本申请提供一种基于VXLAN的报文过滤方法和装置,以解决相关技术中存在的分析结果单一,无法全面分析报文的问题。
具体地,本申请是通过如下技术方案实现的:
一种基于VXLAN的报文过滤方法,应用于过滤设备中,所述方法包括:
获取待处理队列的当前待处理报文,所述待处理队列的各个报文来自所述过滤设备连接的至少一个路由器或者至少一个分析服务器、且对应的首片时钟周期携带上次转发策略优先级和剩余匹配次数;
将所述当前待处理报文匹配转发策略集中的至少一个控制项;
若确定所述当前待处理报文匹配上所述至少一个控制项中的选定控制项,则获取所述选定控制项所属的转发策略对应的第一分析服务器,所述选定控制项所属的转发策略的转发策略优先级低于且最接近所述当前待处理报文对应的首片时钟周期携带的上次转发策略优先级;
根据所述当前待处理报文、所述第一分析服务器、所述选定控制项所属的转发策略的转发策略优先级和所述当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文;
将所述第一VXLAN报文发送给所述第一分析服务器。
一种基于VXLAN的报文过滤装置,应用于过滤设备中,所述装置包括:
第一获取模块,用于获取待处理队列的当前待处理报文,所述待处理队列的各个报文来自所述过滤设备连接的至少一个路由器或者至少一个分析服务器、且对应的首片时钟周期携带上次转发策略优先级和剩余匹配次数;
匹配模块,用于将所述当前待处理报文匹配转发策略集中的至少一个控制项;
第二获取模块,用于若确定所述当前待处理报文匹配上所述至少一个控制项中的选定控制项,则获取所述选定控制项所属的转发策略对应的第一分析服务器,所述选定控制项所属的转发策略的转发策略优先级低于且最接近所述当前待处理报文对应的首片时钟周期携带的上次转发策略优先级;
生成模块,用于根据所述当前待处理报文、所述第一分析服务器、所述选定控制项所属的转发策略的转发策略优先级和所述当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文;
发送模块,用于将所述第一VXLAN报文发送给所述第一分析服务器。
一种电子设备,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现上述的方法步骤。
一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法步骤。
由以上本申请提供的技术方案可见,可以再次将从分析服务器返回的VXLAN报文携带的报文匹配转发策略集中的至少一个控制项,并且在确定当前待处理报文匹配上至少一个控制项中的选定控制项时,将该报文封装成VLXAN报文后发送给该选定控制项所属的转发策略对应的分析服务器进行分析,由于选定控制项所属的转发策略的转发策略优先级低于且最接近当前待处理报文对应的首片时钟周期携带的上次转发策略优先级,这就可以确保选定控制项与上次匹配上的控制项不同,因此,对于来自路由器的一个报文可以实现多次匹配不同的控制项,从而可以发送给不同的控制项所属的不同的转发策略对应的分析服务器进行分析,从而实现全面分析报文,使得分析结果多样化。
附图说明
图1为本申请相关技术中一种报文过滤方法的应用场景示意图;
图2为本申请示出的一种基于VXLAN的报文过滤方法的流程图;
图3为本申请示出的一种基于VXLAN的报文过滤装置的结构示意图;
图4为本申请示出的一种电子设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了解决上述问题,本发明实施例提供了一种基于VXLAN的报文过滤方法,以实现全面分析报文,使得分析结果多样化。请参见图2,图2为本申请示出的一种基于VXLAN的报文过滤方法的流程图,应用于如图1所示的过滤设备中。
S21:获取待处理队列的当前待处理报文。
其中,待处理队列的各个报文来自过滤设备连接的至少一个路由器或者至少一个分析服务器、且对应的首片时钟周期携带上次转发策略优先级和剩余匹配次数。
有时由于报文过大,会对报文进行切分处理,将一个报文切分为多片报文,此时,只会在报文的首片时钟周期中携带上次转发策略优先级和剩余匹配次数,具体可以从中划分8bit位置存放上次转发策略优先级,划分8bit位置存放剩余匹配次数。
S22:将当前待处理报文匹配转发策略集中的至少一个控制项。
可以将过滤设备上所有的转发转发策略保存在转发策略集中,该转发策略集包括多个转发策略,每个转发策略包括多个控制项。
S23:若确定当前待处理报文匹配上至少一个控制项中的选定控制项,则获取选定控制项所属的转发策略对应的第一分析服务器。
其中,选定控制项所属的转发策略的转发策略优先级低于且最接近当前待处理报文对应的首片时钟周期携带的上次转发策略优先级。
可以预先将每个转发策略绑定对应的分析服务器,该绑定关系可以记录在转发策略集中,选定控制项所属的转发策略对应的分析服务器可以定义为第一分析服务器。
S24:根据当前待处理报文、第一分析服务器、选定控制项所属的转发策略的转发策略优先级和当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文。
由于过滤设备与分析服务器之间基于VXLAN通信,因此,需要将当前待处理报文封装成VXLAN报文,生成的VXLAN报文可以定位第一VXLAN报文。
S25:将第一VXLAN报文发送给第一分析服务器。
由以上本申请提供的技术方案可见,可以再次将从分析服务器返回的VXLAN报文携带的报文匹配转发策略集中的至少一个控制项,并且在确定当前待处理报文匹配上至少一个控制项中的选定控制项时,将该报文封装成VLXAN报文后发送给该选定控制项所属的转发策略对应的分析服务器进行分析,由于选定控制项所属的转发策略的转发策略优先级低于且最接近当前待处理报文对应的首片时钟周期携带的上次转发策略优先级,这就可以确保选定控制项与上次匹配上的控制项不同,因此,对于来自路由器的一个报文可以实现多次匹配不同的控制项,从而可以发送给不同的控制项所属的不同的转发策略对应的分析服务器进行分析,从而实现全面分析报文,使得分析结果多样化。
一种具体的实施方式,上述S23中的确定当前待处理报文匹配上至少一个控制项中的选定控制项,实现过程具体包括:
确定当前待处理报文匹配上的控制项,得到候选控制项集合;
将候选控制项集合中的各个控制项按照所属的转发策略的转发策略优先级从高到低的顺序排序;
获取所属的转发策略的转发策略优先级低于且最接近待处理报文对应的首片时钟周期携带的上次转发策略优先级的控制项,得到选定控制项。
当前待处理报文在匹配至少一个控制项时,可能会匹配上多个控制项,这些控制项并不都是可用的,可以作为候选控制项集合,然后进一步从中选取所属的转发策略的转发策略优先级低于且最接近待处理报文对应的首片时钟周期携带的上次转发策略优先级的控制项,选出的这个控制项可以定义为选定控制项;也可能一个控制项都匹配不上,此时可以直接丢弃该当前待处理报文了。
上述涉及到的待处理队列中的所有报文可以有两个来源,下面分别介绍这两个来源:
第一个来源是过滤设备连接的各个路由器,下面以连接的第一路由器为例进行说明,第一路由器可以是过滤设备来接的任意一个路由器,第一路由器发送的报文可以定义为第一报文,具体过程包括:
接收连接的第一路由器发送的第一报文;
将第一报文加入待处理队列中;以及,
将第一报文对应的首片时钟周期的上次转发策略优先级和剩余匹配次数设置为初始值。
对于从第一路由器接收的第一报文,由于是首次进行过滤处理,可以将第一报文对应的首片时钟周期的上次转发策略优先级和剩余匹配次数进行初始化设置,可以但不限于均设置为0。其中,上次转发策略优先级为0是最高的优先级。
第二个来源是分析服务器返回的VXLAN报文携带的报文,该分析服务器可以定义为第二分析服务器,第二分析服务器与第一分析服务器可以是同一个分析服务器,也可以是不同的分析服务器,该VXLAN报文可以定义为第二VXLAN报文,第二VXLAN报文携带的报文可以定义为第二报文,具体过程包括:
接收连接的第二分析服务器发送的第二VXLAN报文;
解封装第二VXLAN报文,获取第二VXLAN报文携带的第二报文和剩余匹配次数;
确定第二VXLAN报文携带的剩余匹配次数减少一个单位的数值后的余值是否为0;
若确定余值为0,则将第二报文发送给连接的第二路由器,第二路由器与发送第二报文的路由器不同;
若确定余值不为0,则将第二报文加入待处理队列中,并将第二报文对应的首片时钟周期的上次转发策略优先级设置为第二VXLAN报文携带的上次转发策略优先级,将第二报文对应的首片时钟周期的剩余匹配次数设置为余值。
对于从第二分析服务器返回的第二VXLAN携带的第二报文,只要上述余值不为0,就可以再次将其加入待处理队列中进行过滤处理;若上述余值为0,就说明已经到了最大匹配次数了,可以直接发送到原来的网络中继续进行转发。
一种具体的实施方式,上述S24中的根据当前待处理报文、第一分析服务器、选定控制项所属的转发策略的转发策略优先级和当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文,实现过程具体包括:
封装当前待处理报文,得到第一VXLAN报文;
将第一VXLAN报文的源互联网协议IP地址设置为过滤设备的IP地址、目的地址设置为第一分析服务器的IP地址;
确定待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数是否为初始值;
若确定待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数为初始值,则将第一VXLAN报文携带的上次转发策略优先级和剩余匹配次数分别设置为选定控制项所属的转发策略的转发策略优先级和最大次数;若确定待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数不为初始值,则将第一VXLAN报文携带的上次转发策略优先级设置为选定控制项所属的转发策略的转发策略优先级,将第一VXLAN报文携带的剩余匹配次数设置为待处理报文对应的首片时钟周期携带的剩余匹配次数。
若确定待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数为初始值,则说明该报文是来自路由器的报文,是首次进行过滤处理,因此,可以将第一VXLAN报文携带的上次转发策略优先级和剩余匹配次数分别设置为选定控制项所属的转发策略的转发策略优先级和最大次数;若确定待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数不为初始值,说明该报文是来自分析服务器的,并不是首次进行过滤处理,因此,可以将第一VXLAN报文携带的上次转发策略优先级设置为选定控制项所属的转发策略的转发策略优先级,将第一VXLAN报文携带的剩余匹配次数设置为待处理报文对应的首片时钟周期携带的剩余匹配次数。
其中,最大次数的取值范围可以但不限于为[1,255];可以但不限于在VXLAN网络标识(VXLAN Network Identifier,VNI)的24bit位中,选取8bit存放上次转发策略优先级,再选取8bit存放剩余匹配次数。
请参见图3,图3为本申请示出的一种基于VXLAN的报文过滤装置的结构示意图,应用于过滤设备中,该装置包括:
第一获取模块31,用于获取待处理队列的当前待处理报文,待处理队列的各个报文来自过滤设备连接的至少一个路由器或者至少一个分析服务器、且对应的首片时钟周期携带上次转发策略优先级和剩余匹配次数;
匹配模块32,用于将当前待处理报文匹配转发策略集中的至少一个控制项;
第二获取模块33,用于若确定当前待处理报文匹配上至少一个控制项中的选定控制项,则获取选定控制项所属的转发策略对应的第一分析服务器,选定控制项所属的转发策略的转发策略优先级低于且最接近当前待处理报文对应的首片时钟周期携带的上次转发策略优先级;
生成模块34,用于根据当前待处理报文、第一分析服务器、选定控制项所属的转发策略的转发策略优先级和当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文;
发送模块35,用于将第一VXLAN报文发送给第一分析服务器。
由以上本申请提供的技术方案可见,可以再次将从分析服务器返回的VXLAN报文携带的报文匹配转发策略集中的至少一个控制项,并且在确定当前待处理报文匹配上至少一个控制项中的选定控制项时,将该报文封装成VLXAN报文后发送给该选定控制项所属的转发策略对应的分析服务器进行分析,由于选定控制项所属的转发策略的转发策略优先级低于且最接近当前待处理报文对应的首片时钟周期携带的上次转发策略优先级,这就可以确保选定控制项与上次匹配上的控制项不同,因此,对于来自路由器的一个报文可以实现多次匹配不同的控制项,从而可以发送给不同的控制项所属的不同的转发策略对应的分析服务器进行分析,从而实现全面分析报文,使得分析结果多样化。
一种具体的实施方式,上述第二获取模块33,用于确定当前待处理报文匹配上至少一个控制项中的选定控制项,具体用于:
确定当前待处理报文匹配上的控制项,得到候选控制项集合;
将候选控制项集合中的各个控制项按照所属的转发策略的转发策略优先级从高到低的顺序排序;
获取所属的转发策略的转发策略优先级低于且最接近待处理报文对应的首片时钟周期携带的上次转发策略优先级的控制项,得到选定控制项。
一种可选的实施方式,上述装置还包括:
第一接收模块,用于接收连接的第一路由器发送的第一报文;
加入模块,用于将第一报文加入待处理队列中;以及,
设置模块,用于将第一报文对应的首片时钟周期的上次转发策略优先级和剩余匹配次数设置为初始值。
一种可选的实施方式,上述装置还包括:
第二接收模块,用于接收连接的第二分析服务器发送的第二VXLAN报文;
第三获取模块,用于解封装第二VXLAN报文,获取第二VXLAN报文携带的第二报文和剩余匹配次数;
确定模块,用于确定第二VXLAN报文携带的剩余匹配次数减少一个单位的数值后的余值是否为0;
处理模块,用于若确定余值为0,则将第二报文发送给连接的第二路由器,第二路由器与发送第二报文的路由器不同;若确定余值不为0,则将第二报文加入待处理队列中,并将第二报文对应的首片时钟周期的上次转发策略优先级设置为第二VXLAN报文携带的上次转发策略优先级,将第二报文对应的首片时钟周期的剩余匹配次数设置为余值。
一种具体的实施方式,上述生成模块34,用于根据当前待处理报文、第一分析服务器、选定控制项所属的转发策略的转发策略优先级和当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文,具体用于:
封装当前待处理报文,得到第一VXLAN报文;
将第一VXLAN报文的源互联网协议IP地址设置为过滤设备的IP地址、目的地址设置为第一分析服务器的IP地址;
确定待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数是否为初始值;
若确定待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数为初始值,则将第一VXLAN报文携带的上次转发策略优先级和剩余匹配次数分别设置为选定控制项所属的转发策略的转发策略优先级和最大次数;若确定待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数不为初始值,则将第一VXLAN报文携带的上次转发策略优先级设置为选定控制项所属的转发策略的转发策略优先级,将第一VXLAN报文携带的剩余匹配次数设置为待处理报文对应的首片时钟周期携带的剩余匹配次数。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请实施例还提供了一种电子设备,请参见图4所示,包括处理器410、通信接口420、存储器430和通信总线440,其中,处理器410,通信接口420,存储器430通过通信总线440完成相互间的通信。
存储器430,用于存放计算机程序;
处理器410,用于执行存储器430上所存放的程序时,实现如下步骤:
获取待处理队列的当前待处理报文,所述待处理队列的各个报文来自所述过滤设备连接的至少一个路由器或者至少一个分析服务器、且对应的首片时钟周期携带上次转发策略优先级和剩余匹配次数;
将所述当前待处理报文匹配转发策略集中的至少一个控制项;
若确定所述当前待处理报文匹配上所述至少一个控制项中的选定控制项,则获取所述选定控制项所属的转发策略对应的第一分析服务器,所述选定控制项所属的转发策略的转发策略优先级低于且最接近所述当前待处理报文对应的首片时钟周期携带的上次转发策略优先级;
根据所述当前待处理报文、所述第一分析服务器、所述当前待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数生成第一VXLAN报文;
将所述第一VXLAN报文发送给所述第一分析服务器。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
由以上本申请提供的技术方案可见,可以再次将从分析服务器返回的VXLAN报文携带的报文匹配转发策略集中的至少一个控制项,并且在确定当前待处理报文匹配上至少一个控制项中的选定控制项时,将该报文封装成VLXAN报文后发送给该选定控制项所属的转发策略对应的分析服务器进行分析,由于选定控制项所属的转发策略的转发策略优先级低于且最接近当前待处理报文对应的首片时钟周期携带的上次转发策略优先级,这就可以确保选定控制项与上次匹配上的控制项不同,因此,对于来自路由器的一个报文可以实现多次匹配不同的控制项,从而可以发送给不同的控制项所属的不同的转发策略对应的分析服务器进行分析,从而实现全面分析报文,使得分析结果多样化。
相应地,本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的基于VXLAN的报文过滤方法。
由以上本申请提供的技术方案可见,可以再次将从分析服务器返回的VXLAN报文携带的报文匹配转发策略集中的至少一个控制项,并且在确定当前待处理报文匹配上至少一个控制项中的选定控制项时,将该报文封装成VLXAN报文后发送给该选定控制项所属的转发策略对应的分析服务器进行分析,由于选定控制项所属的转发策略的转发策略优先级低于且最接近当前待处理报文对应的首片时钟周期携带的上次转发策略优先级,这就可以确保选定控制项与上次匹配上的控制项不同,因此,对于来自路由器的一个报文可以实现多次匹配不同的控制项,从而可以发送给不同的控制项所属的不同的转发策略对应的分析服务器进行分析,从而实现全面分析报文,使得分析结果多样化。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种基于VXLAN的报文过滤方法,应用于过滤设备中,其特征在于,所述方法包括:
获取待处理队列的当前待处理报文,所述待处理队列的各个报文来自所述过滤设备连接的至少一个路由器或者至少一个分析服务器、且对应的首片时钟周期携带上次转发策略优先级和剩余匹配次数;
将所述当前待处理报文匹配转发策略集中的至少一个控制项;
若确定所述当前待处理报文匹配上所述至少一个控制项中的选定控制项,则获取所述选定控制项所属的转发策略对应的第一分析服务器,所述选定控制项所属的转发策略的转发策略优先级低于且最接近所述当前待处理报文对应的首片时钟周期携带的上次转发策略优先级;
根据所述当前待处理报文、所述第一分析服务器、所述选定控制项所属的转发策略的转发策略优先级和所述当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文,包括:
封装所述当前待处理报文,得到第一VXLAN报文;
将所述第一VXLAN报文携带的上次转发策略优先级设置为所述控制项所属的转发策略的转发策略优先级;
根据所述待处理报文对应的首片时钟周期携带的剩余匹配次数是否为初始值,确定所述第一VXLAN报文携带的剩余匹配次数;
将所述第一VXLAN报文发送给所述第一分析服务器。
2.根据权利要求1所述的方法,其特征在于,确定所述当前待处理报文匹配上所述至少一个控制项中的选定控制项,具体包括:
确定所述当前待处理报文匹配上的控制项,得到候选控制项集合;
将所述候选控制项集合中的各个控制项按照所属的转发策略的转发策略优先级从高到低的顺序排序;
获取所属的转发策略的转发策略优先级低于且最接近所述待处理报文对应的首片时钟周期携带的上次转发策略优先级的控制项,得到选定控制项。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收连接的第一路由器发送的第一报文;
将所述第一报文加入所述待处理队列中;以及,
将所述第一报文对应的首片时钟周期的上次转发策略优先级和剩余匹配次数设置为初始值。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收连接的第二分析服务器发送的第二VXLAN报文;
解封装所述第二VXLAN报文,获取所述第二VXLAN报文携带的第二报文和剩余匹配次数;
确定所述第二VXLAN报文携带的剩余匹配次数减少一个单位的数值后的余值是否为0;
若确定所述余值为0,则将所述第二报文发送给连接的第二路由器,所述第二路由器与发送所述第二报文的路由器不同;
若确定所述余值不为0,则将所述第二报文加入所述待处理队列中,并将所述第二报文对应的首片时钟周期的上次转发策略优先级设置为所述第二VXLAN报文携带的上次转发策略优先级,将所述第二报文对应的首片时钟周期的剩余匹配次数设置为所述余值。
5.根据权利要求1-4中任一项所述的方法,其特征在于,根据所述当前待处理报文、所述第一分析服务器、所述选定控制项所属的转发策略的转发策略优先级和所述当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文,具体包括:
封装所述当前待处理报文,得到第一VXLAN报文;
将所述第一VXLAN报文的源互联网协议IP地址设置为所述过滤设备的IP地址、目的地址设置为所述第一分析服务器的IP地址;
确定所述待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数是否为初始值;
若确定所述待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数为所述初始值,则将所述第一VXLAN报文携带的上次转发策略优先级和剩余匹配次数分别设置为所述选定控制项所属的转发策略的转发策略优先级和最大次数;若确定所述待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数不为所述初始值,则将所述第一VXLAN报文携带的上次转发策略优先级设置为所述选定控制项所属的转发策略的转发策略优先级,将所述第一VXLAN报文携带的剩余匹配次数设置为所述待处理报文对应的首片时钟周期携带的剩余匹配次数。
6.一种基于VXLAN的报文过滤装置,应用于过滤设备中,其特征在于,所述装置包括:
第一获取模块,用于获取待处理队列的当前待处理报文,所述待处理队列的各个报文来自所述过滤设备连接的至少一个路由器或者至少一个分析服务器、且对应的首片时钟周期携带上次转发策略优先级和剩余匹配次数;
匹配模块,用于将所述当前待处理报文匹配转发策略集中的至少一个控制项;
第二获取模块,用于若确定所述当前待处理报文匹配上所述至少一个控制项中的选定控制项,则获取所述选定控制项所属的转发策略对应的第一分析服务器,所述选定控制项所属的转发策略的转发策略优先级低于且最接近所述当前待处理报文对应的首片时钟周期携带的上次转发策略优先级;
生成模块,用于根据所述当前待处理报文、所述第一分析服务器、所述选定控制项所属的转发策略的转发策略优先级和所述当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文,具体用于:
封装所述当前待处理报文,得到第一VXLAN报文;
将所述第一VXLAN报文携带的上次转发策略优先级设置为所述控制项所属的转发策略的转发策略优先级;
根据所述待处理报文对应的首片时钟周期携带的剩余匹配次数是否为初始值,确定所述第一VXLAN报文携带的剩余匹配次数;
发送模块,用于将所述第一VXLAN报文发送给所述第一分析服务器。
7.根据权利要求6所述的装置,其特征在于,所述第二获取模块,用于确定所述当前待处理报文匹配上所述至少一个控制项中的选定控制项,具体用于:
确定所述当前待处理报文匹配上的控制项,得到候选控制项集合;
将所述候选控制项集合中的各个控制项按照所属的转发策略的转发策略优先级从高到低的顺序排序;
获取所属的转发策略的转发策略优先级低于且最接近所述待处理报文对应的首片时钟周期携带的上次转发策略优先级的控制项,得到选定控制项。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第一接收模块,用于接收连接的第一路由器发送的第一报文;
加入模块,用于将所述第一报文加入所述待处理队列中;以及,
设置模块,用于将所述第一报文对应的首片时钟周期的上次转发策略优先级和剩余匹配次数设置为初始值。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二接收模块,用于接收连接的第二分析服务器发送的第二VXLAN报文;
第三获取模块,用于解封装所述第二VXLAN报文,获取所述第二VXLAN报文携带的第二报文和剩余匹配次数;
确定模块,用于确定所述第二VXLAN报文携带的剩余匹配次数减少一个单位的数值后的余值是否为0;
处理模块,用于若确定所述余值为0,则将所述第二报文发送给连接的第二路由器,所述第二路由器与发送所述第二报文的路由器不同;若确定所述余值不为0,则将所述第二报文加入所述待处理队列中,并将所述第二报文对应的首片时钟周期的上次转发策略优先级设置为所述第二VXLAN报文携带的上次转发策略优先级,将所述第二报文对应的首片时钟周期的剩余匹配次数设置为所述余值。
10.根据权利要求6-9中任一项所述的装置,其特征在于,所述生成模块,用于根据所述当前待处理报文、所述第一分析服务器、所述选定控制项所属的转发策略的转发策略优先级和所述当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文,具体用于:
封装所述当前待处理报文,得到第一VXLAN报文;
将所述第一VXLAN报文的源互联网协议IP地址设置为所述过滤设备的IP地址、目的地址设置为所述第一分析服务器的IP地址;
确定所述待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数是否为初始值;
若确定所述待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数为所述初始值,则将所述第一VXLAN报文携带的上次转发策略优先级和剩余匹配次数分别设置为所述选定控制项所属的转发策略的转发策略优先级和最大次数;若确定所述待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数不为所述初始值,则将所述第一VXLAN报文携带的上次转发策略优先级设置为所述选定控制项所属的转发策略的转发策略优先级,将所述第一VXLAN报文携带的剩余匹配次数设置为所述待处理报文对应的首片时钟周期携带的剩余匹配次数。
11.一种电子设备,其特征在于,所述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-5任一所述的方法步骤。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-5任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010242396.6A CN111447233B (zh) | 2020-03-31 | 2020-03-31 | 基于vxlan的报文过滤方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010242396.6A CN111447233B (zh) | 2020-03-31 | 2020-03-31 | 基于vxlan的报文过滤方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111447233A CN111447233A (zh) | 2020-07-24 |
| CN111447233B true CN111447233B (zh) | 2022-05-31 |
Family
ID=71652585
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010242396.6A Active CN111447233B (zh) | 2020-03-31 | 2020-03-31 | 基于vxlan的报文过滤方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111447233B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112887317A (zh) * | 2021-01-30 | 2021-06-01 | 北京中安星云软件技术有限公司 | 一种基于vxlan网络对数据库的防护方法及系统 |
| CN114520790B (zh) * | 2021-12-20 | 2024-03-22 | 杭州迪普信息技术有限公司 | 一种报文过滤的方法及装置 |
| CN114785735B (zh) * | 2022-04-26 | 2023-09-12 | 杭州迪普信息技术有限公司 | 基于fpga的网络报文限流方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101345707A (zh) * | 2008-08-06 | 2009-01-14 | 北京邮电大学 | 一种实现IPv6报文分类的方法及设备 |
| CN101848122A (zh) * | 2010-06-12 | 2010-09-29 | 北京星网锐捷网络技术有限公司 | 一种策略路由测试方法、系统及路由设备 |
| CN102763371A (zh) * | 2012-05-02 | 2012-10-31 | 华为技术有限公司 | 一种控制网络设备的方法和装置 |
| CN106465230A (zh) * | 2015-02-13 | 2017-02-22 | 华为技术有限公司 | 控制接入的装置、系统和方法 |
| CN108768879A (zh) * | 2018-04-26 | 2018-11-06 | 新华三信息安全技术有限公司 | 一种策略优先级调整方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10511573B2 (en) * | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
| US20140280846A1 (en) * | 2013-03-14 | 2014-09-18 | Douglas Gourlay | System and method for abstracting network policy from physical interfaces and creating portable network policy |
-
2020
- 2020-03-31 CN CN202010242396.6A patent/CN111447233B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101345707A (zh) * | 2008-08-06 | 2009-01-14 | 北京邮电大学 | 一种实现IPv6报文分类的方法及设备 |
| CN101848122A (zh) * | 2010-06-12 | 2010-09-29 | 北京星网锐捷网络技术有限公司 | 一种策略路由测试方法、系统及路由设备 |
| CN102763371A (zh) * | 2012-05-02 | 2012-10-31 | 华为技术有限公司 | 一种控制网络设备的方法和装置 |
| CN106465230A (zh) * | 2015-02-13 | 2017-02-22 | 华为技术有限公司 | 控制接入的装置、系统和方法 |
| CN108768879A (zh) * | 2018-04-26 | 2018-11-06 | 新华三信息安全技术有限公司 | 一种策略优先级调整方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111447233A (zh) | 2020-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111447233B (zh) | 基于vxlan的报文过滤方法和装置 | |
| US11240148B2 (en) | Packet processing method and apparatus | |
| US11381504B2 (en) | Identifying congestion in a network | |
| US20050149604A1 (en) | Packet tracing | |
| CN106878194B (zh) | 一种报文处理方法和装置 | |
| CN109314664B (zh) | 僵尸主控机发现设备和方法 | |
| CN108683553B (zh) | 故障注入的方法和装置 | |
| JP2012253735A (ja) | 効率的なネットフローデータ解析のための方法及び装置 | |
| CN108111432A (zh) | 报文转发方法及装置 | |
| JP2016001897A (ja) | 反復解析及び分類 | |
| US20070058633A1 (en) | Configurable network connection address forming hardware | |
| US11102090B2 (en) | Forwarding element data plane with flow size detector | |
| EP2552054A2 (en) | Wide field indexing for packet tracking | |
| CN110932982B (zh) | 硬件路由表的维护方法及装置 | |
| US10091074B2 (en) | Hardware acceleration architecture for signature matching applications for deep packet inspection | |
| US9577669B2 (en) | Methods, systems, and computer readable media for optimized message decoding | |
| WO2018196794A1 (en) | Packet batch processing with graph-path based pre-classification | |
| CN113179251B (zh) | 一种前端文件处理方法、装置、设备及机器可读存储介质 | |
| CN111786938B (zh) | 防止恶意获取资源的方法、系统和电子设备 | |
| US7277437B1 (en) | Packet classification method | |
| CN113518025B (zh) | 一种报文管理方法、装置、设备及机器可读存储介质 | |
| CN111464455B (zh) | 报文输出方法和装置 | |
| CN115604183B (zh) | 一种报文处理方法、装置、网络设备及存储介质 | |
| CN109347747B (zh) | 一种数据处理方法及装置 | |
| CN107086965A (zh) | 一种arp表项的生成方法、装置及交换机 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |