CN111628939A - 一种流分类处理方法和装置 - Google Patents

一种流分类处理方法和装置 Download PDF

Info

Publication number
CN111628939A
CN111628939A CN202010430605.XA CN202010430605A CN111628939A CN 111628939 A CN111628939 A CN 111628939A CN 202010430605 A CN202010430605 A CN 202010430605A CN 111628939 A CN111628939 A CN 111628939A
Authority
CN
China
Prior art keywords
flow classification
flow
identifier
hardware
role
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010430605.XA
Other languages
English (en)
Other versions
CN111628939B (zh
Inventor
李光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202010430605.XA priority Critical patent/CN111628939B/zh
Publication of CN111628939A publication Critical patent/CN111628939A/zh
Application granted granted Critical
Publication of CN111628939B publication Critical patent/CN111628939B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种流分类处理方法和装置,其中该方法中,在各VPN虚拟专用网络内,将一个用户网络地址映射一个全局唯一的流分类软件标识;将多个流分类硬件标识中的一个映射到不同的VPN的一个所述软件分类标识;在每个VPN路由表建立对应于每个流分类软件标识的路由表项;其中,每个流分类软件标识对应的路由表项记录了各流分类软件标识映射的网络地址以及流分类硬件标识;在不同VPN内基于各所述流分类硬件标识执行流分类处理。本申请通过流分类硬件标识映射的流分类软件标识,增加用户可管理的流分类数量。

Description

一种流分类处理方法和装置
技术领域
本申请涉及技术领域,具体地讲是一种流分类处理方法和装置。
背景技术
现有的流分类处理方法中,基于用户的网络地址进行分类处理,为网络地址分配流分类硬件标识,根据各个流分类硬件标识建立各用户网络地址的路由表项,并将网络地址的流分类硬件标识存储在路由表项。
网络设备转发数据报文时,根据数据报文的网络地址查找到匹配的路由表项,获取路由表项记录的流分类硬件标识,再根据流分类硬件标识查找流分类表,获得对应流分类动作。
但是,现有方法的缺陷在于,查找流分类表依赖于流分类硬件标识,但是网络设备的流分类硬件标识的数目有限,对于具有大量用户的网络,流分类硬件标识的资源有限限制了可管理的流分类数量。在大规模网络中,只能对有限的用户进行流分类管理。
发明内容
本申请目的在于提供一种流分类处理方法和装置,通过流分类硬件标识映射的流分类软件标识,增加用户可管理的流分类数量。
为实现上述目的,本申请提供了:一种流分类处理方法,其中该方法包括:在各VPN虚拟专用网络内,将一个用户网络地址映射一个全局唯一的流分类软件标识;将多个流分类硬件标识中的一个映射到不同的VPN的一个所述软件分类标识;在每个VPN路由表建立对应于每个流分类软件标识的路由表项;其中,每个流分类软件标识对应的路由表项记录了各流分类软件标识映射的网络地址以及流分类硬件标识;在不同VPN内基于各所述流分类硬件标识执行流分类处理。
为实现上述目的,本申请还提供了一种流分类处理装置,该装置包括:映射模块,用于在各VPN虚拟专用网络内,将一个用户网络地址映射一个全局唯一的流分类软件标识;将多个流分类硬件标识中的一个映射到不同的VPN的一个所述软件分类标识;表项模块,用于在每个VPN路由表建立对应于每个流分类软件标识的路由表项;其中,每个流分类软件标识对应的路由表项记录了各流分类软件标识映射的网络地址以及流分类硬件标识;转发模块,在不同VPN内基于各所述流分类硬件标识执行流分类处理。
本申请提供的流分类处理机制,通过流分类硬件标识映射的流分类软件标识,在不同的VPN复用流分类硬件标识,用户在设备上基于流分类软件标识进行数据流管理,通过全局唯一的流分类软件标识在不同VPN映射流分类硬件标识,增加用户在设备上可管理的流分类数量。
附图说明
图1为本申请提供的流分类处理方法实施例一的流程图;
图2为本申请提供的流分类处理方法实施例二的流程图;
图3为本申请提供的流分类处理方法实施例三的流程图;
图4为本申请提供的流分类处理装置实施例示意图。
具体实施方式
将以多个附图所示的多个例子进行详细说明。在以下详细描述中,多个具体细节用于提供对本申请的全面理解。实例中没有详细地描述已知的方法、步骤、组件以及电路,以免使这些例子的难于理解。
使用的术语中,术语“包括”表示包括但不限于;术语“含有”表示包括但不限于;术语“以上”、“以内”以及“以下”包含本数;术语“大于”、“小于”表示不包含本数。术语“基于”表示至少基于其中一部分。
图1是本申请提供的流分类处理方法实施例流程图,该方法包括:
步骤101,在各VPN虚拟专用网络内,将一个用户网络地址映射一个全局唯一的流分类软件标识。
本实施例以大学的校园网为例,大学的校园网通过三层虚拟专用网(L3VPN)隔离不同的学院,
在学院1的VPN1,学院1的学生网络设备位于网段10.0.1.0,为该网段10.0.1.0的两个网络地址10.0.1.1,10.0.1.2,分别分配流分类软件标识USER-FLOW-ID 1,USER-FLOW-ID 2;学院1的教师网络设备位于网段10.0.2.0,为该网段10.0.2.0的两个网络地址10.0.2.1,10.0.2.2,分别分配流分类软件标识USER-FLOW-ID 3,USER-FLOW-ID 4;学院1开放给学院1的所有人的公共服务器的网络地址为10.1.0.253,为其分配USER-FLOW-ID 5;学院1只开放给教师的服务器的网络地址为10.2.2.253,为其分配USER-FLOW-ID 6。
假设学院2的VPN2中,学院2的学生网络设备位于网段20.0.1.0,为该网段20.0.1.0的两个网络地址20.0.1.1,20.0.1.2,分别分配流分类软件标识USER-FLOW-ID21,USER-FLOW-ID 22;学院2的教师网络设备位于网段20.0.2.0,为该网段20.0.2.0的两个网络地址20.0.2.1,20.0.2.2,分别分配流分类软件标识USER-FLOW-ID23,USER-FLOW-ID24;学院2开放给学院2的所有人的公共服务器的网络地址为20.1.0.253,为其分配USER-FLOW-ID 25;学院2只开放给教师的服务器的网络地址为20.2.2.253,为其分配USER-FLOW-ID26。
步骤102,将多个流分类硬件标识中的一个映射到不同的VPN的一个软件分类标识。
在vpn1中,为10.0.1.1的流分类软件标识USER-FLOW-ID1分配流分类硬件标识Hardware-FLOW-ID 1;为10.0.1.2的流分类软件标识USER-FLOW-ID 2分配流分类硬件标识Hardware-FLOW-ID 2;为10.0.2.1的流分类软件标识USER-FLOW-ID 3分配流分类硬件标识Hardware-FLOW-ID3;为10.0.2.2的流分类软件标识USER-FLOW-ID 4分配流分类硬件标识Hardware-FLOW-ID4;为学院1公共服务器10.1.0.253的流分类软件标识USER-FLOW-ID 5分配流分类硬件标识Hardware-FLOW-ID5;为学院1教师专用服务器的10.2.2.253的流分类软件标识USER-FLOW-ID 6分配流分类硬件标识Hardware-FLOW-ID6。
在vpn2中,为20.0.1.1的流分类软件标识USER-FLOW-ID21分配流分类硬件标识Hardware-FLOW-ID 1;为20.0.1.2的流分类软件标识USER-FLOW-ID 22,分配流分类硬件标识Hardware-FLOW-ID 2;为20.0.2.1的流分类软件标识USER-FLOW-ID 23,分配流分类硬件标识Hardware-FLOW-ID3;为20.0.2.2的流分类软件标识USER-FLOW-ID2 4分配流分类硬件标识Hardware-FLOW-ID4;为学院2公共服务器20.1.0.253的流分类软件标识USER-FLOW-ID25,分配流分类硬件标识Hardware-FLOW-ID5;为学院2教师专用服务器的20.2.2.253的流分类软件标识USER-FLOW-ID26,分配流分类硬件标识Hardware-FLOW-ID6。
同一个流分类硬件标识被映射到了不同的VPN1和VPN2的不同流分类软件标识。
在VPN1,在流分类ACL表记录ACL表项用以管理学生设备之间数据流、学生设备与学院公共服务器之间的数据流,学生设备与学院教师专用服务器或教师设备之间的数据流。在学院1的VPN1中,学生设备可以访问学院1的其他学生设备和学院1公共服务器,不可以访问教师设备和教师专用服务器,在流分类ACL设置如下多个ACL表项,譬如:学生设备10.0.1.1访问学生设备10.0.1.2的ACL表项中,匹配项包括VPN1+源Hardware-FLOW-ID 1+目的Hardware-FLOW-ID 2,动作项为允许转发的流分类处理动作;学生设备10.0.1.1访问公共服务器的ACL表项中,VPN1+源Hardware-FLOW-ID 1+目的Hardware-FLOW-ID 5,动作项为允许访问的流分类处理动作;学生设备10.0.1.1禁止访问教师专用服务器10.2.2.253的ACL表项中,VPN1+源Hardware-FLOW-ID 1+目的Hardware-FLOW-ID 6,动作项为禁止访问的流分类处理动作。
同样地,在学院2的VPN2中学生设备可以访问学院2的其他学生设备和学院2共服务器,不可以访问教师设备和教师专用服务器,在流分类ACL设置如下多个ACL表项,譬如:学生设备20.0.1.2访问学生设备20.0.1.1的ACL表项中,匹配项包括VPN1+源Hardware-FLOW-ID 2+目的Hardware-FLOW-ID 1,动作项为允许转发的流分类处理动作;学生设备20.0.1.2访问公共服务器的ACL表项中,VPN1+源Hardware-FLOW-ID 2+目的Hardware-FLOW-ID 5,动作项为允许访问的流分类处理动作;学生设备20.0.1.2禁止教师专用服务器20.2.2.253的ACL表项中,VPN1+源Hardware-FLOW-ID 1+目的Hardware-FLOW-ID 6,动作项为禁止访问的流分类处理动作。
步骤103,在每个VPN路由表建立对应于每个流分类软件标识的路由表项;其中,每个流分类软件标识对应的路由表项记录了各流分类软件标识映射的网络地址以及流分类硬件标识。
在VPN 1中,为USER-FLOW-ID1设置路由表项,其中记录USER-FLOW-ID1对应的VPN1,10.0.1.1以及Hardware-FLOW-ID1;为USER-FLOW-ID2设置路由表项,其中记录USER-FLOW-ID2对应的VPN1,10.0.1.2以及Hardware-FLOW-ID2;为USER-FLOW-ID3设置路由表项,其中记录USER-FLOW-ID3对应的VPN1,10.0.2.1以及Hardware-FLOW-ID3;为USER-FLOW-ID4设置路由表项,其中记录USER-FLOW-ID4对应的VPN1,10.0.2.2以及Hardware-FLOW-ID4;为USER-FLOW-ID5设置路由表项,其中记录USER-FLOW-ID5对应的VPN1,10.1.0.253以及Hardware-FLOW-ID5;为USER-FLOW-ID6设置路由表项,其中记录USER-FLOW-ID6对应的VPN1,10.2.2.253以及Hardware-FLOW-ID6。
在VPN2,为USER-FLOW-ID21设置路由表项,其中记录USER-FLOW-ID21对应的VPN1,10.0.1.1以及Hardware-FLOW-ID1;为USER-FLOW-ID22设置路由表项,其中记录USER-FLOW-ID22对应的VPN1,10.0.1.2以及Hardware-FLOW-ID2;为USER-FLOW-ID23设置路由表项,其中记录USER-FLOW-ID3对应的VPN1,10.0.2.1以及Hardware-FLOW-ID3;为USER-FLOW-ID24设置路由表项,其中记录USER-FLOW-ID24对应的VPN1,10.0.2.2以及Hardware-FLOW-ID4;为USER-FLOW-ID25设置路由表项,其中记录USER-FLOW-ID25对应的VPN1,10.1.0.253以及Hardware-FLOW-ID5;为USER-FLOW-ID26设置路由表项,其中记录USER-FLOW-ID26对应的VPN1,10.2.2.253以及Hardware-FLOW-ID6。
步骤104,在不同VPN内基于各流分类硬件标识执行流分类处理。
设备收到学院1学生设备10.0.1.1访问学生设备10.0.1.2的数据报文,根据源IP地址10.0.1.1查找到匹配的路由表项,获取源流分类硬件标识Hardware-FLOW-ID1;查找目的IP地址10.0.1.2匹配的路由表项,获取目的流分类硬件标识Hardware-FLOW-ID2。设备根据数据报文的所属VPN的标识VPN1、Hardware-FLOW-ID1、Hardware-FLOW-ID2查找到匹配的ACL表项,获取到流分类处理动作允许转发,则设备将学生设备10.0.1.1的数据报文发往学生设备10.0.1.2的数据报文
设备收到学院1学生设备10.0.1.1访问教师专用服务器10.2.2.253的数据报文,根据源IP地址10.0.1.1查找到匹配的路由表项,获取源流分类硬件标识Hardware-FLOW-ID1;查找目的IP地址10.2.2.253匹配的路由表项,获取目的流分类硬件标识Hardware-FLOW-ID6。设备根据数据报文的所属VPN的标识VPN1、Hardware-FLOW-ID1、Hardware-FLOW-ID6查找到匹配的ACL表项,获取到流分类处理动作禁止访问,则设备丢弃学生设备10.0.1.1访问教师专用服务器10.2.2.253的数据报文。
同样的,设备收到学院2学生设备20.0.1.2访问教师专用服务器20.2.2.253的数据报文,根据源IP地址20.0.1.1查找到匹配的路由表项,获取源流分类硬件标识Hardware-FLOW-ID1;查找目的IP地址20.2.2.253匹配的路由表项,获取目的流分类硬件标识Hardware-FLOW-ID6。设备根据数据报文的所属VPN的标识VPN2、Hardware-FLOW-ID1、Hardware-FLOW-ID6查找到匹配的ACL表项,获取到流分类处理动作禁止访问,则设备丢弃学生设备20.0.1.1访问教师专用服务器20.2.2.253的数据报文。
通过图1所示实施例提供的流分类处理机制,通过流分类硬件标识映射的流分类软件标识,在不同的VPN复用流分类硬件标识,用户在设备上基于数量不受限制的流分类软件标识进行数据流管理,通过全局唯一的流分类软件标识在VPN1和VPN2映射流分类硬件标识,增加用户在设备上可管理的流分类数量。
图2为本申请提供的流分类处理方法实施例二的流程图;该方法包括:
步骤201,在各VPN,将多个需要按照角色类型管理的用户网络地址映射一个全局唯一的角色流分类软件标识。
在学院1的VPN1,学院1的学生网络设备位于网段10.0.1.0,为该网段10.0.1.0的两个网络地址10.0.1.1,10.0.1.2分配一个角色流分类软件标识USER-FLOW-ID 31;学院1的教师网络设备位于网段10.0.2.0,为该网段10.0.2.0的两个网络地址10.0.2.1和10.0.2.2,分配一个角色流分类软件标识USER-FLOW-ID 32;学院1公共服务器的网络地址为10.1.0.253,为其分配USER-FLOW-ID 33;学院1教师专用服务器的网络地址为10.2.2.253,为其分配USER-FLOW-ID 34。
假设学院2的VPN2中,学院2的学生网络设备位于网段20.0.1.0,为该网段20.0.1.0的两个网络地址20.0.1.1和20.0.1.2分配一个角色流分类软件标识USER-FLOW-ID 41;学院2的教师网络设备位于网段20.0.2.0,为该网段20.0.2.0的两个网络地址20.0.2.1和20.0.2.2分配一个角色流分类软件标识USER-FLOW-ID42;学院2的公共服务器的网络地址为20.1.0.253,为其分配USER-FLOW-ID 43;学院2教师专用服务器的网络地址为20.2.2.253,为其分配USER-FLOW-ID44。
步骤202,将所有同种类角色流分类软件标识映射到多个流分类硬件标识中的一个映射。
在vpn1中,为学生角色流分类软件标识USER-FLOW-ID31分配流分类硬件标识Hardware-FLOW-ID 1;为教师角色流分类软件标识USER-FLOW-ID32分配流分类硬件标识Hardware-FLOW-ID 2;为学院1公共服务器10.1.0.253的公共服务器角色流分类软件标识USER-FLOW-ID33分配流分类硬件标识Hardware-FLOW-ID 3;为学院1教师专用服务器的10.2.2.253的专用服务器角色流分类软件标识USER-FLOW-ID34,分配流分类硬件标识Hardware-FLOW-ID 4。
在vpn2中,为20.0.1.1的学生角色流分类软件标识USER-FLOW-ID41分配流分类硬件标识Hardware-FLOW-ID1;为教师角色流分类软件标识USER-FLOW-ID42分配流分类硬件标识Hardware-FLOW-ID2;为学院2公共服务器20.1.0.253的公共服务器角色流分类软件标识USER-FLOW-ID43,分配流分类硬件标识Hardware-FLOW-ID3;为学院2教师专用服务器的20.2.2.253的专用服务器角色流分类软件标识USER-FLOW-ID44,分配流分类硬件标识Hardware-FLOW-ID4。
VPN1和VPN2中,同种类的角色流分类件标识映射到了一个相同流分类硬件标识。
在VPN1,学生设备允许互访的ACL表项中,匹配项包括VPN1+源Hardware-FLOW-ID1+目的Hardware-FLOW-ID 1,动作项为允许转发的流分类处理动作;允许学生设备10.0.1.1访问公共服务器的ACL表项中,VPN1+源Hardware-FLOW-ID 1+目的Hardware-FLOW-ID 3,动作项为允许访问的流分类处理动作;禁止学生设备访问教师专用服务器10.2.2.253的ACL表项中,VPN1+源Hardware-FLOW-ID 1+目的Hardware-FLOW-ID 4,动作项为禁止访问的流分类处理动作。
同样地,在VPN3,允许学生设备之间互相访问的ACL表项中,匹配项包括VPN2+源Hardware-FLOW-ID1+目的Hardware-FLOW-ID1,动作项为允许转发的流分类处理动作;允许学生设备访问公共服务器的ACL表项中,VPN2+源Hardware-FLOW-ID1+目的Hardware-FLOW-ID3,动作项为允许访问的流分类处理动作;禁止学生设备访问教师专用服务器20.2.2.253的ACL表项中,VPN2+源Hardware-FLOW-ID 1+目的Hardware-FLOW-ID4,动作项为禁止访问的流分类处理动作。
步骤203在每个VPN路由表建立对应于每个角色流分类软件标识的路由表项。其中,每个角色流分类软件标识对应的路由表项记录了各角色流分类软件标识映射的网络地址以及流分类硬件标识。
在VPN 1中,为USER-FLOW-ID31设置路由表项,其中记录USER-FLOW-ID31对应的VPN1,10.0.1.1以及Hardware-FLOW-ID1;为USER-FLOW-ID31设置另一路由表项,其中记录USER-FLOW-ID32对应的VPN1,10.0.1.2以及Hardware-FLOW-ID1。为USER-FLOW-ID32设置路由表项,其中记录USER-FLOW-ID32对应的VPN1,10.0.2.1以及Hardware-FLOW-ID2;为USER-FLOW-ID32设置另一路由表项,其中记录USER-FLOW-ID32对应的VPN1,10.0.2.2以及Hardware-FLOW-ID2。为USER-FLOW-ID33设置路由表项,其中记录USER-FLOW-ID33对应的VPN1,10.1.0.253以及Hardware-FLOW-ID3。为USER-FLOW-ID34设置路由表项,其中记录USER-FLOW-ID34对应的VPN1,10.2.2.253以及Hardware-FLOW-ID4。
在VPN2,在VPN 2中,为USER-FLOW-ID41设置路由表项,其中记录USER-FLOW-ID41对应的VPN1,20.0.1.1以及Hardware-FLOW-ID1;为USER-FLOW-ID41设置另一路由表项,其中记录USER-FLOW-ID41对应的VPN2,20.0.1.2以及Hardware-FLOW-ID1。为USER-FLOW-ID42设置路由表项,其中记录USER-FLOW-ID42对应的VPN2,20.0.2.1以及Hardware-FLOW-ID2;为USER-FLOW-ID42设置另一路由表项,其中记录USER-FLOW-ID42对应的VPN2,20.0.2.2以及Hardware-FLOW-ID2。为USER-FLOW-ID43设置路由表项,其中记录USER-FLOW-ID43对应的VPN2,20.1.0.253以及Hardware-FLOW-ID3。为USER-FLOW-ID44设置路由表项,其中记录USER-FLOW-ID44对应的VPN2,20.2.2.253以及Hardware-FLOW-ID4。
步骤204,在收到的数据报文所属VPN的VPN路由表中,查找匹配数据报文的源网络地址的路由表项,获取源网络地址映射的源角色流分类硬件标识。
步骤205,查找匹配数据报文的目的网络地址的路由表项,获取目的网络地址映射的目的角色流分类硬件标识。
步骤206,根据数据报文的所属VPN的标识、源角色流分类硬件标识、目的角色流分类硬件标识获取第二数据报文的角色类型处理动作。
在步骤204-206中,设备根据收到数据报文的源IP地址10.0.1.1查找到匹配的路由表项,获取源流分类硬件标识Hardware-FLOW-ID1,根据目的IP地址10.2.2.253查找到匹配的路由表项,获取目的流分类硬件标识Hardware-FLOW-ID4;设备根据数据报文的所属VPN的标识VPN1、Hardware-FLOW-ID1、Hardware-FLOW-ID4查找到匹配的ACL表项,获取到流分类处理动作禁止访问,则设备丢弃学生设备10.0.1.1访问教师专用服务器10.2.2.253的数据报文。
或者,在步骤204-206中,设备根据收到数据报文的源IP地址20.0.1.1查找到匹配的路由表项,获取源流分类硬件标识Hardware-FLOW-ID1,根据收到的数据报文的目的IP地址20.0.1.2查找到匹配的路由表项,获取目的流分类硬件标识Hardware-FLOW-ID1,设备根据数据报文的所属VPN的标识VPN2、Hardware-FLOW-ID1、Hardware-FLOW-ID1查找到匹配的ACL表项,获取到流分类处理动作获取到流分类处理动作允许转发,则设备将学生设备20.0.1.1的数据报文发往学生设备20.0.1.2的数据报文。
图3为本申请提供的流分类处理方法实施例三的流程图。
步骤301,在各VPN,将多个需要按照角色类型管理的用户网络地址映射一个全局唯一的角色流分类软件标识。
仍以通过三层虚拟专用网(L3 VPN)隔离不同的学院的大学校园网为例。
在学院1的VPN1,学院1的学生网络设备位于网段10.0.1.0,为该网段10.0.1.0的两个网络地址10.0.1.1,10.0.1.2分配一个角色流分类软件标识USER-FLOW-ID51;学院1的教师网络设备位于网段10.0.2.0,为该网段10.0.2.0的两个网络地址10.0.2.1和10.0.2.2,分配一个角色流分类软件标识USER-FLOW-ID52;学院1公共服务器的网络地址为10.1.0.253,为其分配USER-FLOW-ID53;学院1教师专用服务器的网络地址为10.2.2.253,为其分配USER-FLOW-ID54。
假设学院2的VPN2中,学院2的学生网络设备位于网段20.0.1.0,为该网段20.0.1.0的两个网络地址20.0.1.1和20.0.1.2分配一个角色流分类软件标识USER-FLOW-ID61;学院2的教师网络设备位于网段20.0.2.0,为该网段20.0.2.0的两个网络地址20.0.2.1和20.0.2.2分配一个角色流分类软件标识USER-FLOW-ID62;学院2的公共服务器的网络地址为20.1.0.253,为其分配USER-FLOW-ID63;学院2教师专用服务器的网络地址为20.2.2.253,为其分配USER-FLOW-ID64。
步骤302,将每个VPN的角色流分类软件标识分别映射多个流分类硬件标识中的一个。
在vpn1中,为角色流分类软件标识USER-FLOW-ID51分配流分类硬件标识Hardware-FLOW-ID 1;为角色流分类软件标识USER-FLOW-ID52分配流分类硬件标识Hardware-FLOW-ID 2;为学院1公共服务器10.1.0.253的角色流分类软件标识USER-FLOW-ID53分配流分类硬件标识Hardware-FLOW-ID 3;为学院1教师专用服务器的10.2.2.253的角色流分类软件标识USER-FLOW-ID54,分配流分类硬件标识Hardware-FLOW-ID 4。
在vpn2中,为20.0.1.1的角色流分类软件标识USER-FLOW-ID61分配流分类硬件标识Hardware-FLOW-ID5;为角色流分类软件标识USER-FLOW-ID62分配流分类硬件标识Hardware-FLOW-ID6;为学院2公共服务器20.1.0.253的角色流分类软件标识USER-FLOW-ID63,分配流分类硬件标识Hardware-FLOW-ID7;为学院2教师专用服务器的20.2.2.253的角色流分类软件标识USER-FLOW-ID64,分配流分类硬件标识Hardware-FLOW-ID8。
VPN1和VPN2的角色流分类件标识分别映射到了一个不同的流分类硬件标识。
在设备的VPN1的流分类ACL设置如下多个ACL表项,譬如:允许学生设备互访的ACL表项中,匹配项包括VPN1+源Hardware-FLOW-ID 1+目的Hardware-FLOW-ID 1,动作项为允许转发的流分类处理动作;允许学生设备10.0.1.1访问公共服务器的ACL表项中,VPN1+源Hardware-FLOW-ID 1+目的Hardware-FLOW-ID 3,动作项为允许访问的流分类处理动作;禁止学生设备访问教师专用服务器10.2.2.253的ACL表项中,VPN1+源Hardware-FLOW-ID 1+目的Hardware-FLOW-ID 4,动作项为禁止访问的流分类处理动作。
同样地,在设备的VPN1的流分类ACL设置如下多个ACL表项,譬如:允许学生设备之间互相访问的ACL表项中,匹配项包括VPN1+源Hardware-FLOW-ID5+目的Hardware-FLOW-ID5,动作项为允许转发的流分类处理动作;允许学生设备访问公共服务器的ACL表项中,VPN1+源Hardware-FLOW-ID 5+目的Hardware-FLOW-ID 7,动作项为允许访问的流分类处理动作;禁止学生设备访问教师专用服务器20.2.2.253的ACL表项中,VPN1+源Hardware-FLOW-ID 5+目的Hardware-FLOW-ID 8,动作项为禁止访问的流分类处理动作。
步骤303在各VPN的路由表建立对应于每个角色流分类软件标识的路由表项;其中,每个角色流分类软件标识对应的路由表项记录了各角色流分类软件标识映射的网络地址以及流分类硬件标识。
在VPN 1中,为USER-FLOW-ID51设置路由表项,其中记录USER-FLOW-ID51对应的VPN1,10.0.1.1以及Hardware-FLOW-ID1;为USER-FLOW-ID51设置另一路由表项,其中记录USER-FLOW-ID52对应的VPN1,10.0.1.2以及Hardware-FLOW-ID1;为USER-FLOW-ID52设置路由表项,其中记录USER-FLOW-ID52对应的VPN1,10.0.2.1以及Hardware-FLOW-ID2;为USER-FLOW-ID52设置另一路由表项,其中记录USER-FLOW-ID52对应的VPN1,10.0.2.2以及Hardware-FLOW-ID2;为USER-FLOW-ID53设置路由表项,其中记录USER-FLOW-ID53对应的VPN1,10.1.0.253以及Hardware-FLOW-ID3;为USER-FLOW-ID54设置路由表项,其中记录USER-FLOW-ID54对应的VPN1,10.2.2.253。
在VPN 2中,为USER-FLOW-ID61设置路由表项,其中记录USER-FLOW-ID61对应的VPN1,20.0.1.1以及Hardware-FLOW-ID5;为USER-FLOW-ID61设置另一路由表项,其中记录USER-FLOW-ID61对应的VPN2,20.0.1.2以及Hardware-FLOW-ID5;为USER-FLOW-ID62设置路由表项,其中记录USER-FLOW-ID62对应的VPN2,20.0.2.1以及Hardware-FLOW-ID6;为USER-FLOW-ID62设置另一路由表项,其中记录USER-FLOW-ID62对应的VPN2,20.0.2.2以及Hardware-FLOW-ID6;为USER-FLOW-ID63设置路由表项,其中记录USER-FLOW-ID63对应的VPN2,20.1.0.253以及Hardware-FLOW-ID7;为USER-FLOW-ID64设置路由表项,其中记录USER-FLOW-ID64对应的VPN2,20.2.2.253以及Hardware-FLOW-ID8。
步骤304,在收到的数据报文所属VPN的VPN路由表中,查找匹配数据报文的源网络地址的路由表项,获取源网络地址映射的源角色流分类硬件标识。
步骤305,查找匹配数据报文的目的网络地址的路由表项,获取目的网络地址映射的目的角色流分类硬件标识。
步骤306,根据数据报文的所属VPN的标识、源角色流分类硬件标识、目的角色流分类硬件标识获取数据报文的角色类型处理动作。
在步骤304-306中,设备根据收到数据报文的源IP地址10.0.1.1查找到匹配的路由表项,获取源流分类硬件标识Hardware-FLOW-ID1,根据目的IP地址10.2.2.253查找到匹配的路由表项,获取目的流分类硬件标识Hardware-FLOW-ID4;设备根据数据报文的所属VPN的标识VPN1、Hardware-FLOW-ID1、Hardware-FLOW-ID4查找到匹配的ACL表项,获取到流分类处理动作禁止访问,则设备丢弃学生设备10.0.1.1访问教师专用服务器10.2.2.253的数据报文。
或者,在步骤304-306中,设备根据收到数据报文的源IP地址20.0.1.1查找到匹配的路由表项,获取源流分类硬件标识Hardware-FLOW-ID5,根据收到的数据报文的目的IP地址20.0.1.2查找到匹配的路由表项,获取目的流分类硬件标识Hardware-FLOW-ID8,设备根据数据报文的所属VPN的标识VPN2、Hardware-FLOW-ID5、Hardware-FLOW-ID8查找到匹配的ACL表项,获取到流分类处理动作禁止访问,则设备丢弃学生设备20.0.1.1访问教师专用服务器20.2.2.253的数据报文。
图2和图3实施例有益效果在于,对网络中相同角色的网络设备的采用一个软件流分类标识管理,进一步增加了管理的灵活性,还能有效减少接入控制表项的数目,进一步节约设备硬件资源。
图4为本申请提供的流分类处理装置400实施例示意图。该装置包括映射模块401,表项模块402,以及转发模块403。
映射模块401,用于在各VPN虚拟专用网络内,将一个用户网络地址映射一个全局唯一的流分类软件标识。将多个流分类硬件标识中的一个映射到不同的VPN的一个软件分类标识;表项模块402,用于在每个VPN路由表建立对应于每个流分类软件标识的路由表项;其中,每个流分类软件标识对应的路由表项记录了各流分类软件标识映射的网络地址以及流分类硬件标识;转发模块403,在不同VPN内基于各流分类硬件标识执行流分类处理。
转发模块403,还用于在收到的第一数据报文所属VPN的VPN路由表中,查找匹配第一数据报文的源网络地址的路由表项,获取源网络地址映射的源流分类硬件标识;查找匹配第一数据报文的目的网络地址的路由表项,获取目的网络地址映射的目的流分类硬件标识;根据第一数据报文的所属VPN的标识、源流分类硬件标识、目的流分类硬件标识获取第一数据报文的流分类处理动作。
表项模块402,还用于设置流分类表;在流分类表中设置多个流分类表项;其中,每个流分类表项中记录同一个VPN内的两个网络地址之间的数据流对应的流管理动作。
映射模块401,还用于在各VPN将多个需要按照角色类型管理的用户网络地址映射一个全局唯一的角色流分类软件标识;将多个流分类硬件标识中的一个映射到所有角色流分类软件标识映射到多个流分类硬件标识中的一个映射;表项模块402,还用于在每个VPN路由表建立对应于每个角色流分类软件标识的路由表项;其中,每个角色流分类软件标识对应的路由表项记录了各角色流分类软件标识映射的网络地址以及流分类硬件标识;转发模块403,还用于在收到的第二数据报文所属VPN的VPN路由表中,查找匹配第二数据报文的源网络地址的路由表项,获取源网络地址映射的源角色流分类硬件标识;查找匹配数据报文的目的网络地址的路由表项,获取目的网络地址映射的目的角色流分类硬件标识;根据第二数据报文的所属VPN的标识、源角色流分类硬件标识、目的角色流分类硬件标识获取第二数据报文的角色流分类处理动作。
映射模块401,还用于在各VPN,将多个需要按照角色类型管理的用户网络地址映射一个全局唯一的角色流分类软件标识;将每个VPN的角色流分类软件标识分别映射多个流分类硬件标识中的一个;表项模块402,还用于在各VPN的路由表建立对应于每个角色流分类软件标识的路由表项;其中,每个角色流分类软件标识对应的路由表项记录了各角色流分类软件标识映射的网络地址以及流分类硬件标识;转发模块403,还用于在收到的第三数据报文所属VPN的VPN路由表中,查找匹配第三数据报文的源网络地址的路由表项,获取源网络地址映射的源角色流分类硬件标识;查找匹配第三数据报文的目的网络地址的路由表项,获取目的网络地址映射的目的角色流分类硬件标识;根据数据报文的VPN的标识、源角色流分类硬件标识、目的角色流分类硬件标识获取第三数据报文的角色类型处理动作。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种流分类处理方法,其特征在于,所述方法包括:
在各VPN虚拟专用网络内,将一个用户网络地址映射一个全局唯一的流分类软件标识;
将多个流分类硬件标识中的一个映射到不同的VPN的一个所述软件分类标识;
在每个VPN路由表建立对应于每个流分类软件标识的路由表项;其中,每个流分类软件标识对应的路由表项记录了各流分类软件标识映射的网络地址以及流分类硬件标识;
在不同VPN内基于各所述流分类硬件标识执行流分类处理。
2.根据权利要求1所述的方法,其特征在于,在不同VPN内基于各所述流分类硬件标识执行流分类处理包括:
在收到的第一数据报文所属VPN的VPN路由表中,查找匹配所述第一数据报文的源网络地址的路由表项,获取所述源网络地址映射的源流分类硬件标识;查找匹配所述第一数据报文的目的网络地址的路由表项,获取所述目的网络地址映射的目的流分类硬件标识;
根据所述第一数据报文的所属VPN的标识、所述源流分类硬件标识、所述目的流分类硬件标识获取所述第一数据报文的流分类处理动作。
3.根据权利要求1所述的方法,其特征在于,在不同VPN内基于各所述流分类硬件标识执行流分类处理之前,所述方法还包括:
设置流分类表;
在所述流分类表中设置多个流分类表项;每个流分类表项中记录同一个VPN内的两个网络地址之间的数据流对应的流管理动作。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在各所述VPN,将多个需要按照角色类型管理的用户网络地址映射一个全局唯一的角色流分类软件标识;
将所有同种类角色流分类软件标识映射到所述多个流分类硬件标识中的一个映射;
在每个VPN路由表建立对应于每个角色流分类软件标识的路由表项;其中,每个角色流分类软件标识对应的路由表项记录了各角色流分类软件标识映射的网络地址以及流分类硬件标识;在收到的第二数据报文所属VPN的VPN路由表中,查找匹配所述第二数据报文的源网络地址的路由表项,获取所述源网络地址映射的源角色流分类硬件标识;查找匹配所述第二数据报文的目的网络地址的路由表项,获取所述目的网络地址映射的目的角色流分类硬件标识;
根据所述第二数据报文的VPN的标识、所述源角色流分类硬件标识、所述目的角色流分类硬件标识获取所述第二数据报文的角色类型处理动作。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在各所述VPN,将多个需要按照角色类型管理的用户网络地址映射一个全局唯一的角色流分类软件标识;
将每个所述VPN的所述角色流分类软件标识分别映射多个流分类硬件标识中的一个;
在各所述VPN的路由表建立对应于每个角色流分类软件标识的路由表项;其中,每个角色流分类软件标识对应的路由表项记录了各角色流分类软件标识映射的网络地址以及流分类硬件标识;
在收到的第三数据报文所属VPN的VPN路由表中,查找匹配所述第三数据报文的源网络地址的路由表项,获取所述源网络地址映射的源角色流分类硬件标识;查找匹配所述第三数据报文的目的网络地址的路由表项,获取所述目的网络地址映射的目的角色流分类硬件标识;
根据所述第三数据报文的VPN的标识、所述源角色流分类硬件标识、所述目的角色流分类硬件标识获取所述第三数据报文的角色类型处理动作。
6.一种流分类处理装置,其特征在于,所述装置包括:
映射模块,用于在各VPN虚拟专用网络内,将一个用户网络地址映射一个全局唯一的流分类软件标识;将多个流分类硬件标识中的一个映射到不同的VPN的一个所述软件分类标识;
表项模块,用于在每个VPN路由表建立对应于每个流分类软件标识的路由表项;其中,每个流分类软件标识对应的路由表项记录了各流分类软件标识映射的网络地址以及流分类硬件标识;
转发模块,在不同VPN内基于各所述流分类硬件标识执行流分类处理。
7.根据权利要求6所述的装置,其特征在于,
所述转发模块,用于在收到的第一数据报文所属VPN的VPN路由表中,查找匹配所述第一数据报文的源网络地址的路由表项,获取所述源网络地址映射的源流分类硬件标识;查找匹配所述第一数据报文的目的网络地址的路由表项,获取所述目的网络地址映射的目的流分类硬件标识;根据所述第一数据报文的VPN的标识、所述源流分类硬件标识、所述目的流分类硬件标识获取所述第一数据报文的流分类处理动作。
8.根据权利要求4所述的装置,其特征在于,所述表项模块还用于,设置流分类表;在所述流分类表中设置多个流分类表项;其中,每个流分类表项中记录同一个VPN内的两个网络地址之间的数据流对应的流管理动作。
9.根据权利要求6所述的装置,其特征在于,
所述映射模块,还用于在各所述VPN将多个需要按照角色类型管理的用户网络地址映射一个全局唯一的角色流分类软件标识;将多个流分类硬件标识中的一个映射到所有角色流分类软件标识映射到所述多个流分类硬件标识中的一个映射;所述表项模块,还用于在每个VPN路由表建立对应于每个角色流分类软件标识的路由表项;其中,每个角色流分类软件标识对应的路由表项记录了各角色流分类软件标识映射的网络地址以及流分类硬件标识;
所述转发模块,还用于在收到的第二数据报文所属VPN的VPN路由表中,查找匹配所述第二数据报文的源网络地址的路由表项,获取所述源网络地址映射的源角色流分类硬件标识;查找匹配所述第二数据报文的目的网络地址的路由表项,获取所述目的网络地址映射的目的角色流分类硬件标识;
根据所述第二数据报文的所属VPN的标识、所述源角色流分类硬件标识、所述目的角色流分类硬件标识获取所述第二数据报文的角色流分类处理动作。
10.根据权利要求6所述的装置,其特征在于,
所述映射模块,还用于在各所述VPN,将多个需要按照角色类型管理的用户网络地址映射一个全局唯一的角色流分类软件标识;将每个所述VPN的所述角色流分类软件标识分别映射多个流分类硬件标识中的一个;
所述表项模块,还用于在各所述VPN的路由表建立对应于每个角色流分类软件标识的路由表项;其中,每个角色流分类软件标识对应的路由表项记录了各角色流分类软件标识映射的网络地址以及流分类硬件标识;
所述转发模块,还用于在收到的第三数据报文所属VPN的VPN路由表中,查找匹配所述第三数据报文的源网络地址的路由表项,获取所述源网络地址映射的源角色流分类硬件标识;查找匹配所述第三数据报文的目的网络地址的路由表项,获取所述目的网络地址映射的目的角色流分类硬件标识;根据所述数据报文的VPN的标识、所述源角色流分类硬件标识、所述目的角色流分类硬件标识获取所述第三数据报文的角色类型处理动作。
CN202010430605.XA 2020-05-20 2020-05-20 一种流分类处理方法和装置 Active CN111628939B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010430605.XA CN111628939B (zh) 2020-05-20 2020-05-20 一种流分类处理方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010430605.XA CN111628939B (zh) 2020-05-20 2020-05-20 一种流分类处理方法和装置

Publications (2)

Publication Number Publication Date
CN111628939A true CN111628939A (zh) 2020-09-04
CN111628939B CN111628939B (zh) 2023-06-13

Family

ID=72259950

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010430605.XA Active CN111628939B (zh) 2020-05-20 2020-05-20 一种流分类处理方法和装置

Country Status (1)

Country Link
CN (1) CN111628939B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866208A (zh) * 2020-12-31 2021-05-28 迈普通信技术股份有限公司 表项配置方法、报文处理方法、装置、设备及存储介质
CN113839891A (zh) * 2021-09-24 2021-12-24 新华三信息安全技术有限公司 一种流分类管理方法、装置、电子设备及存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6542508B1 (en) * 1998-12-17 2003-04-01 Watchguard Technologies, Inc. Policy engine using stream classifier and policy binding database to associate data packet with appropriate action processor for processing without involvement of a host processor
CN101488914A (zh) * 2009-01-06 2009-07-22 杭州华三通信技术有限公司 服务质量QoS的实现方法和服务边缘提供商PE设备
CN102377645A (zh) * 2010-08-12 2012-03-14 盛科网络(苏州)有限公司 交换芯片及其实现方法
CN103078794A (zh) * 2013-01-08 2013-05-01 杭州华三通信技术有限公司 一种报文处理控制方法及装置
CN105099917A (zh) * 2014-05-08 2015-11-25 华为技术有限公司 业务报文的转发方法和装置
CN106059887A (zh) * 2016-06-30 2016-10-26 杭州华三通信技术有限公司 一种vpn流量监控方法及装置
CN108259379A (zh) * 2017-05-08 2018-07-06 新华三技术有限公司 一种流量转发方法及装置
CN110958334A (zh) * 2019-11-25 2020-04-03 新华三半导体技术有限公司 报文处理方法及装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6542508B1 (en) * 1998-12-17 2003-04-01 Watchguard Technologies, Inc. Policy engine using stream classifier and policy binding database to associate data packet with appropriate action processor for processing without involvement of a host processor
CN101488914A (zh) * 2009-01-06 2009-07-22 杭州华三通信技术有限公司 服务质量QoS的实现方法和服务边缘提供商PE设备
CN102377645A (zh) * 2010-08-12 2012-03-14 盛科网络(苏州)有限公司 交换芯片及其实现方法
CN103078794A (zh) * 2013-01-08 2013-05-01 杭州华三通信技术有限公司 一种报文处理控制方法及装置
CN105099917A (zh) * 2014-05-08 2015-11-25 华为技术有限公司 业务报文的转发方法和装置
CN106059887A (zh) * 2016-06-30 2016-10-26 杭州华三通信技术有限公司 一种vpn流量监控方法及装置
CN108259379A (zh) * 2017-05-08 2018-07-06 新华三技术有限公司 一种流量转发方法及装置
CN110958334A (zh) * 2019-11-25 2020-04-03 新华三半导体技术有限公司 报文处理方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
梁海华;盘丽娜;李克清;: "NAPT的内网用户识别" *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112866208A (zh) * 2020-12-31 2021-05-28 迈普通信技术股份有限公司 表项配置方法、报文处理方法、装置、设备及存储介质
CN113839891A (zh) * 2021-09-24 2021-12-24 新华三信息安全技术有限公司 一种流分类管理方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN111628939B (zh) 2023-06-13

Similar Documents

Publication Publication Date Title
US11329876B2 (en) Seamless multi-cloud routing and policy interconnectivity
US11671450B2 (en) Dynamic honeypots
JP6648308B2 (ja) パケット伝送
CN107733670B (zh) 一种转发策略配置方法和装置
US9438506B2 (en) Identity and access management-based access control in virtual networks
CN108259303B (zh) 一种报文转发方法及装置
US8077738B2 (en) Default internet traffic and transparent passthrough
EP2192725B1 (en) Packet switch being partitioned into virtual LANs (VLANs)
US20030112808A1 (en) Automatic configuration of IP tunnels
US20080205403A1 (en) Network packet processing using multi-stage classification
US5949783A (en) LAN emulation subsystems for supporting multiple virtual LANS
CN104780088A (zh) 一种业务报文的传输方法和设备
US20060233173A1 (en) Policy-based processing of packets
CN111628939B (zh) 一种流分类处理方法和装置
US11102169B2 (en) In-data-plane network policy enforcement using IP addresses
CN106161457A (zh) 基于sdn的网络域隔离装置及方法
CN103442096B (zh) 基于移动互联网的nat转换方法及系统
WO2014206152A1 (zh) 一种网络安全监控方法和系统
CN107426100B (zh) 一种基于用户组的vpn用户接入方法及装置
CN102752266B (zh) 访问控制方法及其设备
CN109743238B (zh) 一种分布式接入系统
CN107948273B (zh) 一种基于sdn的负载分担和安全访问方法及系统
CN106973016B (zh) 访问控制方法、装置及设备
CN111654452B (zh) 一种报文处理的方法及装置
CN114039910A (zh) 基于分组标签策略的数据转发的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant