CN112511527B - 报文传输方法及装置 - Google Patents
报文传输方法及装置 Download PDFInfo
- Publication number
- CN112511527B CN112511527B CN202011342439.4A CN202011342439A CN112511527B CN 112511527 B CN112511527 B CN 112511527B CN 202011342439 A CN202011342439 A CN 202011342439A CN 112511527 B CN112511527 B CN 112511527B
- Authority
- CN
- China
- Prior art keywords
- message
- access control
- control rule
- transparent transmission
- transmission table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种深度业务交换网关的报文传输方法及装置。该方法包括:深度业务交换网关由接口对入口获取报文;对所述报文进行解析以获取所述报文的报文特征;将所述报文特征和动态协议透传表进行匹配;当所述报文特征和所述动态协议透传表不匹配时,将所述报文发送至少一个业务板卡以进行报文传输;当所述报文特征和所述动态协议透传表不匹配时,将所述报文发送至芯片中以进行由所述芯片进行直接传输。本公开涉及的深度业务交换网关的报文传输方法、装置、电子设备及计算机可读介质,能够解决了透明流定义透传报文的风险,还能够实时的适应各种组网环境,且更加智能、还能够支持预留资源,增加了技术方案的可扩展性。
Description
技术领域
本公开涉及计算机信息处理领域,具体而言,涉及一种深度业务交换网关的报文传输方法、装置、电子设备及计算机可读介质。
背景技术
随着网络的规模越来越大,网络中的流量也越来越多种多样,需要对网络业务的处理要求也越来越多,所以网络设备引入了DPX(深度业务交换网关)框式设备,在一个框式设备中可以插入多种业务板卡,通过流定义技术引导流量上送业务板卡进行业务处理,实现设备能够处理多种业务的目的,满足越来越多种多样的业务要求。
实现报文在多个业务板的业务处理主要是依赖流定义技术,其中透明流定义相当于对上下游业务报文实现透传,将接口对入口所有报文上送到第一个透明业务板cpu做安全业务,之后根据流定义表项依次送往各业务板卡cpu进行业务处理,最后一块业务板卡业务处理完成后,将流量送往接口对出口。
透明流定义部署不依赖二、三层转发,通过接口的形式对流量实现透传,部署更加灵活,几乎可部署在组网任意位置,对业务流量做各安全业务。此种透传方案,将所有业务流量均依次送往各业务板卡cpu,但其中有很多动态协议报文无需业务分析即正常报文,也无需做各安全业务,直接透传即可,将此类报文也与其他类报文一起上送cpu,无疑增加了丢包的风险,且板卡越多风险程度叠加,当遇到攻击、网络风暴、业务板性能不足时,动态协议报文势必受到影响,动态协议必然功能异常,进而网络出现震荡,甚至长时间网络中断。所以,需要可靠性更强的改进措施来改进透明流定义解决方案。
在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本公开提供一种深度业务交换网关的报文传输方法、装置、电子设备及计算机可读介质,能够解决了透明流定义透传报文的风险,还能够实时的适应各种组网环境,且更加智能、还能够支持预留资源,增加了技术方案的可扩展性。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一方面,提出一种深度业务交换网关的报文传输方法,该方法包括:深度业务交换网关由接口对入口获取报文;对所述报文进行解析以获取所述报文的报文特征;将所述报文特征和动态协议透传表进行匹配;当所述报文特征和所述动态协议透传表不匹配时,将所述报文发送至少一个业务板卡以进行报文传输;当所述报文特征和所述动态协议透传表匹配时,将所述报文发送至芯片中以进行由所述芯片进行直接传输。
在本公开的一种示例性实施例中,还包括:根据多个协议的报文种类特征生成所述动态协议透传表;和/或通过厂商自定义报文种类特征生成所述动态协议透传表。
在本公开的一种示例性实施例中,深度业务交换网关由接口对入口获取报文,包括:上游设备获取所述报文并将所述报文转发至所述深度业务交换网关的接口对入口。
在本公开的一种示例性实施例中,对所述报文进行解析以获取所述报文的报文特征,包括:基于动态报文协议对所述报文进行解析以提取所述报文的报文特征。
在本公开的一种示例性实施例中,将所述报文特征和动态协议透传表进行匹配,包括:将所述报文特征和所述动态协议透传表中的多个协议类型和其对应的特征进行匹配;在所述报文特征和任一协议类型和其对应的特征完全一致时,确定所述报文特征和动态协议透传表为匹配状态。
在本公开的一种示例性实施例中,将所述报文发送至少一个业务板卡以进行报文传输,包括:基于透明流定义将所述报文发送至少一个业务板卡;所述至少一个业务板卡依次对所述报文进行处理;在处理结束后,由接口对出口将所述报文发送至下游设备。
在本公开的一种示例性实施例中,将所述报文发送至芯片中以进行由所述芯片进行直接传输,包括:确定访问控制列表中是否存在所述报文的访问控制规则;在所述访问控制列表存在所述报文的访问控制规则时,提取所述访问控制规则;所述芯片基于所述访问控制规则对所述报文进行直接传输。
在本公开的一种示例性实施例中,所述芯片基于所述访问控制规则对所述报文进行直接传输,包括:在所述访问控制列表不存在所述报文的访问控制规则时,新建针对所述报文的访问控制规则。
在本公开的一种示例性实施例中,所述芯片基于所述访问控制规则对所述报文进行直接传输,包括:将所述访问控制规则发送至芯片;所述芯片接收所述访问控制规则并依据所述访问控制规则对所述报文进行直接传输。
在本公开的一种示例性实施例中,还包括:在所述访问控制列表中的任一访问控制规则对应的报文配置删除时,对应删除所述访问控制规则。
根据本公开的一方面,提出一种深度业务交换网关的报文传输装置,该装置包括:报文模块,用于深度业务交换网关由接口对入口获取报文;特征模块,用于对所述报文进行解析以获取所述报文的报文特征;匹配模块,用于将所述报文特征和动态协议透传表进行匹配;第一传输模块,用于当所述报文特征和所述动态协议透传表不匹配时,将所述报文发送至少一个业务板卡以进行报文传输;第二传输模块,用于当所述报文特征和所述动态协议透传表匹配时,将所述报文发送至芯片中以进行由所述芯片进行直接传输。
在本公开的一种示例性实施例中,还包括:透传表模块,用于根据多个协议的报文种类特征生成所述动态协议透传表;和/或通过厂商自定义报文种类特征生成所述动态协议透传表。
根据本公开的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
根据本公开的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
根据本公开的深度业务交换网关的报文传输方法、装置、电子设备及计算机可读介质,深度业务交换网关由接口对入口获取报文;对所述报文进行解析以获取所述报文的报文特征;将所述报文特征和动态协议透传表进行匹配;当所述报文特征和所述动态协议透传表不匹配时,将所述报文发送至少一个业务板卡以进行报文传输;当所述报文特征和所述动态协议透传表匹配时,将所述报文发送至芯片中以进行由所述芯片进行直接传输的方式,能够解决了透明流定义透传报文的风险,还能够实时的适应各种组网环境,且更加智能、还能够支持预留资源,增加了技术方案的可扩展性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
通过参照附图详细描述其示例实施例,本公开的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本公开的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中的深度业务交换网关的报文传输方法的示意图。
图2是根据一示例性实施例示出的一种深度业务交换网关的报文传输方法的流程图。
图3是根据另一示例性实施例示出的一种深度业务交换网关的报文传输方法的流程图。
图4是根据另一示例性实施例示出的一种深度业务交换网关的报文传输方法的示意图。
图5是根据一示例性实施例示出的一种深度业务交换网关的报文传输装置的框图。
图6是根据一示例性实施例示出的一种电子设备的框图。
图7是根据一示例性实施例示出的一种计算机可读介质的框图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应理解,虽然本文中可能使用术语第一、第二、第三等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本公开概念的教示。如本文中所使用,术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本公开所必须的,因此不能用于限制本公开的保护范围。
本公开涉及的技术缩略语解释如下:
DPX:深度业务交换网关,集路由交换、网络安全、应用交付三大功能于一体的框式设备。框式设备可插入多种业务板卡,每种业务板卡可做对应的业务,如FW、UAG、IPS、GUARD等,DPX设备多种业务板卡对网络中流量做业务处理依赖于流定义将流量上送到业务板卡。
业务板卡:实现各种网络业务、安全业务和应用功能的板卡,可插入框式设备。
流定义:流定义是DP xFabric解决方案的核心技术,可以在不同业务模块间灵活调度流量。DPX设备中流定义可以引导流量上送业务板卡进行业务处理,同时可以实现引导流量从不同的业务板卡间进行转发上送。
透明流定义:使用接口对的方式,将接口对的入口进入的所有报文上送到多个业务板卡做安全业务之后,从接口对的出口送出,对于正常的业务报文DPX设备相当于一根导线。
动态协议报文:很多协议依赖协议报文的动态交互来维持协商状态,或发布消息,如动态路由报文、心跳报文、动态聚合报文、健康检查报文等。
访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
本公开的发明人发现,透明流定义通过制定cpu内部口流量转发表进行控制流量在各业务板卡之间调动,来实现各安全业务,以FW、UAG、IPS、GUARD业务板卡做透明流定义部署为例,依次做包过滤、黑名单,流量审计、限速控制,攻击防护、防病毒,流量清洗、防flood攻击,安全业务需要在cpu上面实现,所以需要流定义将流量依次送往各业务板卡的cpu,以图1为例,接口对入口为eth1,接口对出口为eth2,透明板卡依次为FW、UAG、IPS、GUARD,透明流定义制定转发表项,eth1->fw_cpu->uag_cpu->ips_cpu->guard_cpu->eth2。
现有技术方案流程:
1、上游设备将报文送到DPX设备的接口对入口eth1。
2、透明流定义将报文送往fw_cpu,从fw板卡的cpu内部口fw_in_0上送,在fw_cpu做包过滤、黑名单业务,业务处理完毕将报文经过fw_in_2送往uag_cpu。
3、经uag板卡的cpu内部口uag_in_1上送uag板卡cpu,在uag_cpu做流量审计、限速控制业务,业务处理完毕将报文经过uag_in_0送往ips_cpu。
4、经ips板卡的内部口ips_in_0上送ips板卡cpu,在ips_cpu做攻击防护、防病毒业务,业务处理完毕将报文经过ips_in_1送往guard_cpu。
5、经guard板卡的cpu内部口guard_in_1上送guard板卡cpu,在guard_cpu做流量清洗、防flood攻击业务,业务处理完毕将报文经过guard_in_0送往eth2。
6、经过接口对出口eth2将报文送往下游设备。
本公开的发明人发现,由于现有技术中,所有报文都要经过同一转发路径,分别上送所有业务板卡的cpu,当网络中存在攻击、网络风暴、流量突发、业务板cpu忙等情况时,动态协议报文势必受到影响,动态协议往往检测严格,个别报文丢弃都会造成网络的震荡,甚至网络中断,例如组网中使用了生成树防止环路,上下游需要DPX透传生成树报文(STP),当STP由于上送cpu受其他因素影响被丢弃时,整个组网的生成树拓扑势必出现震荡,又如上下游配置使用了动态路由协议(如ospf),需要DPX设备透传,当ospf协议报文由上送cpu受其他因素被丢弃时,上下游的路由势必出现震荡甚至路由丢失。
本公开的发明人认为,由于透明流定义在透传报文时,所有报文都上送各业务板卡cpu,增加了动态协议报文被丢弃的风险。基于这个风险隐患,本公开提出了一种深度业务交换网关的报文传输方法,下面借助具体的实施例,来对本公开的内容进行详细描述。
图2是根据一示例性实施例示出的一种深度业务交换网关的报文传输方法的流程图。深度业务交换网关的报文传输方法20至少包括步骤S202至S210。
如图2所示,在S202中,深度业务交换网关由接口对入口获取报文。包括:上游设备获取所述报文并将所述报文转发至所述深度业务交换网关的接口对入口。
在S204中,对所述报文进行解析以获取所述报文的报文特征。包括:基于动态报文协议对所述报文进行解析以提取所述报文的报文特征。
在S206中,将所述报文特征和动态协议透传表进行匹配。包括:将所述报文特征和所述动态协议透传表中的多个协议类型和其对应的特征进行匹配;在所述报文特征和任一协议类型和其对应的特征完全一致时,确定所述报文特征和动态协议透传表为匹配状态。
在S208中,当所述报文特征和所述动态协议透传表不匹配时,将所述报文发送至少一个业务板卡以进行报文传输。包括:基于透明流定义将所述报文发送至少一个业务板卡;所述至少一个业务板卡依次对所述报文进行处理;在处理结束后,由接口对出口将所述报文发送至下游设备。
在S210中,当所述报文特征和所述动态协议透传表匹配时,将所述报文发送至芯片中以进行由所述芯片进行直接传输。包括:确定访问控制列表中是否存在所述报文的访问控制规则;在所述访问控制列表存在所述报文的访问控制规则时,提取所述访问控制规则;所述芯片基于所述访问控制规则对所述报文进行直接传输。
根据本公开的深度业务交换网关的报文传输方法,深度业务交换网关由接口对入口获取报文;对所述报文进行解析以获取所述报文的报文特征;将所述报文特征和动态协议透传表进行匹配;当所述报文特征和所述动态协议透传表不匹配时,将所述报文发送至少一个业务板卡以进行报文传输;当所述报文特征和所述动态协议透传表匹配时,将所述报文发送至芯片中以进行由所述芯片进行直接传输的方式,能够解决了透明流定义透传报文的风险,还能够实时的适应各种组网环境,且更加智能、还能够支持预留资源,增加了技术方案的可扩展性。
应清楚地理解,本公开描述了如何形成和使用特定示例,但本公开的原理不限于这些示例的任何细节。相反,基于本公开公开的内容的教导,这些原理能够应用于许多其它实施例。
在一个实施例中,还包括:根据多个协议的报文种类特征生成所述动态协议透传表;和/或通过厂商自定义报文种类特征生成所述动态协议透传表。在实际应用中,DPX上下游设备可能配置多种动态协议报文,需要DPX设备透传。通过芯片ACL功能调度动态协议报文不再上送cpu,直接通过芯片转发送出。制定动态协议透传表来管理不需要上送CPU的报文种类,接口对入口收到的报文比对动态协议报文透传表,当属于表项中的一种时,对接口对入口芯片添加ACL规则实现自动控制报文由芯片透传,动态协议透传表预留资源支持手动配置添加自定义报文增加强壮性。
可具体的,可通过动态协议透传表模块决定哪些报文不需要上送cpu,由芯片控制报文在接口对直接透传,主要分为两方面,一方面是知名协议报文种类特征,另一方面是自定义报文种类特征。知名协议报文种类特征主要指能够唯一标示某知名协议的元素特征,即根据表中特征可以判断报文是否为某知名协议,表项可参考下表:
其中,自定义报文种类特征主要是各厂商自己定义的动态报文,例如心跳报文、健康保温、保活报文等,DPX上下游设备如果使用了自己私有的自定义报文,则可将报文特征填充到自定义报文特征表中,依此可甄别自定义动态报文。
图3是根据另一示例性实施例示出的一种深度业务交换网关的报文传输方法的流程图。图3所示的流程30是对图2所示的流程中S210“将所述报文发送至芯片中以进行由所述芯片进行直接传输”的详细描述。
如图3所示,在S302中,确定访问控制列表中是否存在所述报文的访问控制规则。
更具体的,可将接口对接口接收到的报文与动态协议透传表进行匹配,如果存在一一映射的报文类型,则携带此报文特征及报文入口通知ACL管理模块。
其中,ACL管理模块存储所有透传相关的ACL表项资源,负责资源管理。同时,当新增ACL资源时,通知ACL规则下发模块进行ACL规则下发到芯片,使芯片透传动态报文生效,相应的,当要删除ACL资源时,通知ACL规则下发模块进行芯片的规则删除。
其中,ACL规则下发模块负责ACL资源管理模块和底层芯片侧信息交互,对制定好的ACL规则进行下发,保证透传功能正常。
在S304中,在所述访问控制列表存在所述报文的访问控制规则时,提取所述访问控制规则。
在S306中,所述芯片基于所述访问控制规则对所述报文进行直接传输。其中,所述芯片基于所述访问控制规则对所述报文进行直接传输,包括:将所述访问控制规则发送至芯片;所述芯片接收所述访问控制规则并依据所述访问控制规则对所述报文进行直接传输。
在一个实施例中,还包括:在所述访问控制列表中的任一访问控制规则对应的报文配置删除时,对应删除所述访问控制规则。
在一个实施例中,还包括:在所述访问控制列表不存在所述报文的访问控制规则时,新建针对所述报文的访问控制规则,所述芯片基于所述访问控制规则对所述报文进行直接传输。
其中,还可例如,通过对访问控制列表中访问控制规则的命中计数,可以验证ACL规则下发模块是否成功下发芯片的。所以,可以实时检测已下发规则命中计数,当规则1分钟内计数未发生变化,此时认为上下游此动态报文的配置已删除,进而通知ACL资源管理模块删除对应报文的ACL资源。
图4是根据另一示例性实施例示出的一种深度业务交换网关的报文传输方法的示意图。如图4所示,本发明方案的主要流程如下:
1、上游设备将报文送至DPX接口对入口eth1。
2、eth1接收到的报文经过动态协议报文解析模块进行解析,取报文特征匹配动态协议透传表。
3、如果报文不属于动态协议透传表中所列报文,则保持之前路径不变,直接送往芯片,由流定义送往业务板卡cpu。
4、如果报文属于动态协议透传表中报文,则通知透明ACL资源管理模块进行制定该种类报文的ACL规则并保存。
5、资源管理模块通知ACL规则下发模块要向芯片下发该条ACL规则,下发模块整理规则进行下发。
6、动态协议技术检测模块实时检测已有规则的技术匹配情况,当出现持续60秒计数不再增长情况时,通知资源管理模块进行ACL规则删除,资源管理模块将对应报文种类保存的ACL资源删除,并通知下发模块取消芯片该条ACL规则。
在本公开中,通过ACL的方式,使动态报文不再上送CPU,而是通过芯片直接透传,解决了透明流定义透传报文的风险。自动添加、删除、管理ACL资源的方式,能够实时的适应各种组网环境,且更加智能。支持预留资源,增加了技术方案的可扩展性。
本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本公开提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本公开装置实施例,可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节,请参照本公开方法实施例。
图5是根据一示例性实施例示出的一种深度业务交换网关的报文传输装置的框图。如图5所示,深度业务交换网关的报文传输装置50包括:报文模块502,特征模块504,匹配模块506,第一传输模块508,第二传输模块510,透传表模块512。
报文模块502用于深度业务交换网关由接口对入口获取报文;
特征模块504用于对所述报文进行解析以获取所述报文的报文特征;
匹配模块506用于将所述报文特征和动态协议透传表进行匹配;
第一传输模块508用于当所述报文特征和所述动态协议透传表不匹配时,将所述报文发送至少一个业务板卡以进行报文传输;
第二传输模块510用于当所述报文特征和所述动态协议透传表匹配时,将所述报文发送至芯片中以进行由所述芯片进行直接传输。
透传表模块512用于根据多个协议的报文种类特征生成所述动态协议透传表;和/或通过厂商自定义报文种类特征生成所述动态协议透传表。
根据本公开的深度业务交换网关的报文传输装置,深度业务交换网关由接口对入口获取报文;对所述报文进行解析以获取所述报文的报文特征;将所述报文特征和动态协议透传表进行匹配;当所述报文特征和所述动态协议透传表不匹配时,将所述报文发送至少一个业务板卡以进行报文传输;当所述报文特征和所述动态协议透传表匹配时,将所述报文发送至芯片中以进行由所述芯片进行直接传输的方式,能够解决了透明流定义透传报文的风险,还能够实时的适应各种组网环境,且更加智能、还能够支持预留资源,增加了技术方案的可扩展性。
图6是根据一示例性实施例示出的一种电子设备的框图。
下面参照图6来描述根据本公开的这种实施方式的电子设备600。图6显示的电子设备600仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图6所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同系统组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元610执行,使得所述处理单元610执行本说明书中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元610可以执行如图2,图3中所示的步骤。
所述存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
所述存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备600’(例如键盘、指向设备、蓝牙设备等)通信,使得用户能与该电子设备600交互的设备通信,和/或该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,如图7所示,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述方法。
所述软件产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该计算机可读介质实现如下功能:深度业务交换网关由接口对入口获取报文;对所述报文进行解析以获取所述报文的报文特征;将所述报文特征和动态协议透传表进行匹配;当所述报文特征和所述动态协议透传表不匹配时,将所述报文发送至少一个业务板卡以进行报文传输;当所述报文特征和所述动态协议透传表匹配时,将所述报文发送至芯片中以进行由所述芯片进行直接传输。
本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中,也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施例的方法。
以上具体地示出和描述了本公开的示例性实施例。应可理解的是,本公开不限于这里描述的详细结构、设置方式或实现方法;相反,本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (10)
1.一种深度业务交换网关的报文传输方法,其特征在于,包括:
深度业务交换网关由接口对入口获取报文;
对所述报文进行解析以获取所述报文的报文特征;
将所述报文特征和动态协议透传表进行匹配;
当所述报文特征和所述动态协议透传表不匹配时,基于透明流定义将所述报文发送至少一个业务板卡CPU,所述至少一个业务板卡CPU依次对所述报文进行处理,在处理结束后,由接口对出口将所述报文发送至下游设备;
当所述报文特征和所述动态协议透传表匹配时,确定访问控制列表中是否存在所述报文的访问控制规则,在所述访问控制列表存在所述报文的访问控制规则时,提取所述访问控制规则,将所述报文发送至接口对入口芯片中以便不经过任意业务板卡CPU由所述接口对入口芯片基于所述访问控制规则在接口对之间对所述报文进行直接传输。
2.如权利要求1所述的报文传输方法,其特征在于,还包括:
根据多个协议的报文种类特征生成所述动态协议透传表;和/或
通过厂商自定义报文种类特征生成所述动态协议透传表。
3.如权利要求1所述的报文传输方法,其特征在于,深度业务交换网关由接口对入口获取报文,包括:
上游设备获取所述报文并将所述报文转发至所述深度业务交换网关的接口对入口。
4.如权利要求1所述的报文传输方法,其特征在于,对所述报文进行解析以获取所述报文的报文特征,包括:
基于动态报文协议对所述报文进行解析以提取所述报文的报文特征。
5.如权利要求1所述的报文传输方法,其特征在于,将所述报文特征和动态协议透传表进行匹配,包括:
将所述报文特征和所述动态协议透传表中的多个协议类型和其对应的特征进行匹配;
在所述报文特征和任一协议类型和其对应的特征完全一致时,确定所述报文特征和动态协议透传表为匹配状态。
6.如权利要求1所述的报文传输方法,其特征在于,所述接口对入口芯片基于所述访问控制规则在接口对之间对所述报文进行直接传输,包括:
在所述访问控制列表不存在所述报文的访问控制规则时,新建针对所述报文的访问控制规则。
7.如权利要求6所述的报文传输方法,其特征在于,所述接口对入口芯片基于所述访问控制规则在接口对之间对所述报文进行直接传输,包括:
将新建的访问控制规则发送至接口对入口芯片;
所述接口对入口芯片接收所述访问控制规则并不经过任意业务板卡CPU依据所述访问控制规则在接口对之间对所述报文进行直接传输。
8.如权利要求1所述的报文传输方法,其特征在于,还包括:
在所述访问控制列表中的任一访问控制规则对应的报文配置删除时,对应删除所述访问控制规则。
9.一种深度业务交换网关的报文传输装置,其特征在于,包括:
报文模块,用于深度业务交换网关由接口对入口获取报文;
特征模块,用于对所述报文进行解析以获取所述报文的报文特征;
匹配模块,用于将所述报文特征和动态协议透传表进行匹配;
第一传输模块,用于当所述报文特征和所述动态协议透传表不匹配时,基于透明流定义将所述报文发送至少一个业务板卡CPU,所述至少一个业务板卡CPU依次对所述报文进行处理,在处理结束后,由接口对出口将所述报文发送至下游设备;
第二传输模块,用于当所述报文特征和所述动态协议透传表匹配时,确定访问控制列表中是否存在所述报文的访问控制规则,在所述访问控制列表存在所述报文的访问控制规则时,提取所述访问控制规则,将所述报文发送至接口对入口芯片中以便不经过任意业务板卡CPU由所述接口对入口芯片基于所述访问控制规则在接口对之间对所述报文进行直接传输。
10.如权利要求9所述的报文传输装置,其特征在于,还包括:
透传表模块,用于根据多个协议的报文种类特征生成所述动态协议透传表;和/或通过厂商自定义报文种类特征生成所述动态协议透传表。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011342439.4A CN112511527B (zh) | 2020-11-26 | 2020-11-26 | 报文传输方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011342439.4A CN112511527B (zh) | 2020-11-26 | 2020-11-26 | 报文传输方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112511527A CN112511527A (zh) | 2021-03-16 |
CN112511527B true CN112511527B (zh) | 2022-10-21 |
Family
ID=74966220
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011342439.4A Active CN112511527B (zh) | 2020-11-26 | 2020-11-26 | 报文传输方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112511527B (zh) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104244305A (zh) * | 2014-09-02 | 2014-12-24 | 福建三元达通讯股份有限公司 | 基于atca硬件的多板卡lte网关处理方法及系统 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1486025A (zh) * | 2003-08-22 | 2004-03-31 | 北京港湾网络有限公司 | PPPoE二层透传端口用户名绑定检查的方法 |
US8265077B2 (en) * | 2005-05-31 | 2012-09-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Lawful interception method and architecture for transparent transmission of interception information |
CN100428688C (zh) * | 2005-06-09 | 2008-10-22 | 杭州华三通信技术有限公司 | 网络攻击的防护方法 |
CN101378333B (zh) * | 2008-10-08 | 2011-04-20 | 中兴通讯股份有限公司 | 实现连续性检查消息报文收发的系统、装置及方法 |
CN101699817B (zh) * | 2009-11-04 | 2012-09-26 | 杭州华三通信技术有限公司 | 报文上送cpu的控制方法和装置 |
CN101951323A (zh) * | 2010-08-12 | 2011-01-19 | 上海市共进通信技术有限公司 | 吉比特无源光网络中实现上行组播的装置及方法 |
CN103281257B (zh) * | 2013-06-05 | 2016-06-08 | 杭州华三通信技术有限公司 | 一种协议报文处理方法和设备 |
CN103457953A (zh) * | 2013-09-11 | 2013-12-18 | 重庆大学 | 端口安全接入方式下防802.1x协议攻击的处理机制 |
CN105991391A (zh) * | 2015-03-03 | 2016-10-05 | 中兴通讯股份有限公司 | 一种协议报文上送cpu的方法和装置 |
CN105939305A (zh) * | 2015-06-24 | 2016-09-14 | 杭州迪普科技有限公司 | 访问控制方法和装置 |
CN105939291B (zh) * | 2015-09-25 | 2019-09-06 | 杭州迪普科技股份有限公司 | 报文处理方法和网络设备 |
CN109510780B (zh) * | 2018-12-12 | 2023-02-17 | 锐捷网络股份有限公司 | 流控方法、交换芯片及网络设备 |
CN111641659A (zh) * | 2020-06-09 | 2020-09-08 | 北京东土军悦科技有限公司 | 一种交换机的中央处理器防攻击的方法、装置、设备及存储介质 |
-
2020
- 2020-11-26 CN CN202011342439.4A patent/CN112511527B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104244305A (zh) * | 2014-09-02 | 2014-12-24 | 福建三元达通讯股份有限公司 | 基于atca硬件的多板卡lte网关处理方法及系统 |
CN107846699A (zh) * | 2014-09-02 | 2018-03-27 | 福建三元达网络技术有限公司 | 多板卡lte网关的数据处理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN112511527A (zh) | 2021-03-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10355949B2 (en) | Behavioral network intelligence system and method thereof | |
CN101690027B (zh) | 用于集成多个异构网络功能的开放平台结构 | |
EP3207685B1 (en) | Systems and methods for threat analysis of computer data | |
CN110708215B (zh) | 深度包检测规则库生成方法、装置、网络设备及存储介质 | |
US20140075557A1 (en) | Streaming Method and System for Processing Network Metadata | |
EP2667553B1 (en) | Packet processing method, device and system | |
CN105229976B (zh) | 数据中心使用的低延迟无损交换结构 | |
CN104115463A (zh) | 用于处理网络元数据的流式传输方法和系统 | |
CN108234404A (zh) | 一种DDoS攻击的防御方法、系统及相关设备 | |
Hyun et al. | Real‐time and fine‐grained network monitoring using in‐band network telemetry | |
CA2897664A1 (en) | An improved streaming method and system for processing network metadata | |
KR101527377B1 (ko) | Sdn 기반의 서비스 체이닝 시스템 | |
KR102376493B1 (ko) | Nfv 기반 메시징 서비스 보안 제공 방법 및 이를 위한 시스템 | |
CN110535881A (zh) | 工业网络攻击流量检测方法及服务器 | |
CN112583850A (zh) | 网络攻击防护方法、装置及系统 | |
CN112511527B (zh) | 报文传输方法及装置 | |
CN112953851B (zh) | 一种流量的分类方法以及流量管理设备 | |
CN107210969B (zh) | 一种基于软件定义网络的数据处理方法及相关设备 | |
WO2022100707A1 (zh) | 一种确定数据流信息的方法、装置及系统 | |
CN114244610B (zh) | 一种文件传输方法、装置,网络安全设备及存储介质 | |
CN110166359B (zh) | 一种报文转发方法及装置 | |
US10891646B2 (en) | Locating a network cable connector | |
KR20180058593A (ko) | Sdn 화이트박스 스위치 | |
KR101707073B1 (ko) | Sdn 기반의 에러 탐색 네트워크 시스템 | |
CN101714950A (zh) | 实现故障定位的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |