CN113067780B - 虚拟交换矩阵的流量处理方法及电子设备 - Google Patents
虚拟交换矩阵的流量处理方法及电子设备 Download PDFInfo
- Publication number
- CN113067780B CN113067780B CN202110275652.6A CN202110275652A CN113067780B CN 113067780 B CN113067780 B CN 113067780B CN 202110275652 A CN202110275652 A CN 202110275652A CN 113067780 B CN113067780 B CN 113067780B
- Authority
- CN
- China
- Prior art keywords
- board card
- detection
- flow
- switching matrix
- standby
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0663—Performing the actions predefined by failover planning, e.g. switching to standby network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/55—Prevention, detection or correction of errors
- H04L49/552—Prevention, detection or correction of errors by ensuring the integrity of packets received through redundant connections
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种虚拟交换矩阵及其流量处理方法、电子设备及计算机可读介质。该方法包括:虚拟交换矩阵获取待处理流量;对所述虚拟交换矩阵中主设备和备用设备的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡、防火墙板卡分别进行检测;根据检测结果将所述待处理流量发送至所述主设备和/或所述备用设备进行处理。本公开涉及的虚拟交换矩阵及其流量处理方法、电子设备及计算机可读介质,引入多个异常因素来综合控制虚拟交换矩阵的主设备和备用设备之间的流量切换,大幅度减少长时间网络异常情况的产生,减少网络的风险。
Description
技术领域
本公开涉及计算机信息处理领域,具体而言,涉及一种虚拟交换矩阵的流量处理方法、电子设备及计算机可读介质。
背景技术
随着网络的规模越来越大,网络中的流量也越来越多种多样,需要对网络业务的处理要求也越来越多,所以网络设备引入了DPX框式设备,在一个框式设备中可以插入多种业务板卡,通过流定义技术引导流量上送业务板卡进行业务处理,实现设备能够处理多种业务的目的,满足越来越多种多样的业务要求。但是单框的DPX设备如果设备出现异常,那么网络势必会出现严重故障,进而DPTECH推出VSM虚拟设备技术,两个框虚拟为一个框,Slave 作为Master的冗余备份设备,当Master重启时,Slave切换为主框。
随着网络规模的增大,对于企业和运营商每分每秒的流量中断都会造成不可估量的损失,通常网络设备在一年时间内允许中断的最长时间仅为5分钟。主备流定义技术虽然可以实现冗余备份,但是依赖于设备CPU在位状态 (设备是否重启)或依赖于手工切换,当主业务板卡出现非CPU故障时,例如:内存异常、CPU使用率过高、内部口异常、网络业务异常等情况时,此时只能依赖管理员对主备流定义手工进行切换,但是,网络设备往往不会随时在管理员的监控之下,此时,会出现网络长时间异常的严重后果。所以,当前需要更加细节、更加智能的主备流定义切换技术方案。
在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本公开提供一种虚拟交换矩阵及其流量处理方法、电子设备及计算机可读介质,引入多个异常因素来综合控制虚拟交换矩阵的主设备和备用设备之间的流量切换,大幅度减少长时间网络异常情况的产生,减少网络的风险。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一方面,提出一种虚拟交换矩阵及其流量处理方法,该方法包括:虚拟交换矩阵获取待处理流量;对所述虚拟交换矩阵中主设备和备用设备的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡、防火墙板卡分别进行检测;根据检测结果将所述待处理流量发送至所述主设备和/或所述备用设备进行处理。
在本公开的一种示例性实施例中,虚拟交换矩阵获取待处理流量之后,还包括:对所述虚拟交换矩阵进行切换检测,所述切换检测用于检测所述虚拟交换矩阵中主设备和备用设备之间的切换关系;在所述切换检测的结果为异常时,拒绝处理所述待处理流量。
在本公开的一种示例性实施例中,对所述虚拟交换矩阵进行切换检测,包括:对所述虚拟交换矩阵进行重启检测;对所述虚拟交换矩阵进行芯片丢包率检测;对所述虚拟交换矩阵进行内部口单通检测;对所述虚拟交换矩阵进行逻辑检测;对所述虚拟交换矩阵进行内存使用率检测;对所述虚拟交换矩阵进行CPU使用率检测;对所述虚拟交换矩阵进行系统进程挂死检测;对所述虚拟交换矩阵进行丢包率检测。
在本公开的一种示例性实施例中,对所述虚拟交换矩阵中主设备和备用设备的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡、防火墙板卡分别进行检测,包括:对所述虚拟交换矩阵中的主设备的分布式拒绝服务攻击板卡进行检测;在所述主设备的分布式拒绝服务攻击板卡检测不通过时,对所述虚拟交换矩阵中的备用设备的分布式拒绝服务攻击板卡进行检测。
在本公开的一种示例性实施例中,根据检测结果将所述待处理流量发送至所述主设备和/或所述备用设备进行处理,包括:在所述主设备的分布式拒绝服务攻击板卡检测通过时,将所述待处理流量发送至所述主设备进行处理;在所述主设备的分布式拒绝服务攻击板卡检测不通过,而所述备用设备的分布式拒绝服务攻击板卡检测通过时,将所述待处理流量发送至所述备用设备进行处理;在所述主设备和所述备用设备的分布式拒绝服务攻击板卡检测均不通过时,将所述待处理流量发送至所述主设备的入侵防御板卡进行处理。
在本公开的一种示例性实施例中,对所述虚拟交换矩阵中主设备和备用设备的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡、防火墙板卡分别进行检测,包括:对所述虚拟交换矩阵中的主设备的入侵防御板卡进行检测;在所述主设备的入侵防御板卡检测不通过时,对所述虚拟交换矩阵中的备用设备的入侵防御板卡进行检测。
在本公开的一种示例性实施例中,根据检测结果将所述待处理流量发送至所述主设备和/或所述备用设备进行处理,包括:在所述主设备的入侵防御板卡检测通过时,将所述待处理流量发送至所述主设备进行处理;在所述主设备的入侵防御板卡检测不通过,而所述备用设备的入侵防御板卡检测通过时,将所述待处理流量发送至所述备用设备进行处理;在所述主设备和所述备用设备的入侵防御板卡检测均不通过时,将所述待处理流量发送至所述主设备的UAG板卡进行处理。
在本公开的一种示例性实施例中,对所述虚拟交换矩阵中主设备和备用设备的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡、防火墙板卡分别进行检测,包括:对所述虚拟交换矩阵中的主设备的UAG板卡进行检测;在所述主设备的UAG板卡检测不通过时,对所述虚拟交换矩阵中的备用设备的UAG板卡进行检测。
在本公开的一种示例性实施例中,根据检测结果将所述待处理流量发送至所述主设备和/或所述备用设备进行处理,包括:在所述主设备的UAG板卡检测通过时,将所述待处理流量发送至所述主设备进行处理;在所述主设备的UAG板卡检测不通过,而所述备用设备的UAG板卡检测通过时,将所述待处理流量发送至所述备用设备进行处理;在所述主设备和所述备用设备的入侵防御板卡检测均不通过时,将所述待处理流量发送至所述主设备的防火墙板卡进行处理。
在本公开的一种示例性实施例中,对所述虚拟交换矩阵中主设备和备用设备的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡、防火墙板卡分别进行检测,包括:对所述虚拟交换矩阵中的主设备的防火墙板卡进行检测;在所述主设备的防火墙板卡检测不通过时,对所述虚拟交换矩阵中的备用设备的防火墙板卡进行检测。
在本公开的一种示例性实施例中,根据检测结果将所述待处理流量发送至所述主设备和/或所述备用设备进行处理,包括:在所述主设备的防火墙板卡检测通过时,将所述待处理流量发送至所述主设备进行处理;在所述主设备的防火墙板卡检测不通过,而所述备用设备的防火墙板卡检测通过时,将所述待处理流量发送至所述备用设备进行处理;在所述主设备和所述备用设备的防火墙板卡检测均不通过时,将所述待处理流量直接转发。
根据本公开的一方面,提出一种虚拟交换矩阵设备,该虚拟交换矩阵设备包括:公共检测器,用于对所述虚拟交换矩阵进行切换检测,所述切换检测用于检测所述虚拟交换矩阵中主设备和备用设备之间的切换关系;主设备,用于对待处理流量进行处理,所述主设备上设置有服务攻击板卡、入侵防御板卡、UAG板卡、防火墙板卡;备用设备,用于在主设备故障时,对所述待处理流量进行处理,所述备用设备上设置有服务攻击板卡、入侵防御板卡、 UAG板卡、防火墙板卡。
根据本公开的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
根据本公开的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
根据本公开的虚拟交换矩阵及其流量处理方法、电子设备及计算机可读介质,虚拟交换矩阵获取待处理流量;对所述虚拟交换矩阵中主设备和备用设备的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡、防火墙板卡分别进行检测;根据检测结果将所述待处理流量发送至所述主设备和/或所述备用设备进行处理的方式,引入多个异常因素来综合控制虚拟交换矩阵的主设备和备用设备之间的流量切换,大幅度减少长时间网络异常情况的产生,减少网络的风险。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
通过参照附图详细描述其示例实施例,本公开的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本公开的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术中的虚拟交换矩阵的系统框图。
图2是根据一示例性实施例示出的一种虚拟交换矩阵的系统框图。
图3是根据另一示例性实施例示出的一种虚拟交换矩阵的流量处理方法的示意图。
图4是根据另一示例性实施例示出的一种虚拟交换矩阵的流量处理方法的示意图。
图5是根据另一示例性实施例示出的一种虚拟交换矩阵的流量处理方法的示意图。
图6是根据另一示例性实施例示出的一种虚拟交换矩阵的流量处理方法的示意图。
图7是根据另一示例性实施例示出的一种虚拟交换矩阵的流量处理方法的示意图。
图8是根据一示例性实施例示出的一种虚拟交换矩阵的流量处理方法的流程图。
图9是根据另一示例性实施例示出的一种虚拟交换矩阵的流量处理方法的流程图。
图10是根据一示例性实施例示出的一种电子设备的框图。
图11是根据一示例性实施例示出的一种计算机可读介质的框图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本公开的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、实现或者操作以避免模糊本公开的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/ 步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应理解,虽然本文中可能使用术语第一、第二、第三等来描述各种组件,但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此,下文论述的第一组件可称为第二组件而不偏离本公开概念的教示。如本文中所使用,术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。
本领域技术人员可以理解,附图只是示例实施例的示意图,附图中的模块或流程并不一定是实施本公开所必须的,因此不能用于限制本公开的保护范围。
本公开涉及的名称解释如下:
DPX:深度业务交换网关,集路由交换、网络安全、应用交付三大功能于一体的框式设备。框式设备可插入多种业务板卡,每种业务板卡可做对应的业务,如FW、UAG、IPS、GUARD等,DPX设备多种业务板卡对网络中流量做业务处理依赖于流定义将流量上送到业务板卡。
业务板卡:实现各种网络业务、安全业务和应用功能的板卡,可插入框式设备。
VSM:Virtual Switch Matrix,虚拟交换矩阵。一种将多台网络设备虚拟成一台网络设备的新型网络设备虚拟化技术。每个框式设备为VSM的一个成员,VSM可以由多个成员虚拟而成,每个成员都有一个唯一标示,VSM技术实现了扩容及备份冗余的功能。
流定义:流定义是DP xFabric解决方案的核心技术,可以在不同业务模块间灵活调度流量。DPX设备中流定义可以引导流量上送业务板卡进行业务处理,同时可以实现引导流量从不同的业务板卡间进行转发上送。
主备流定义:处理业务的业务板卡冗余备份技术。当主业务板卡发生异常时,可将业务切换到备份业务板卡进行业务处理。
分布式拒绝服务攻击(Distributed Denial of Service,DDOS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。
入侵防御(Intrusion Prevention System,IPS)是电脑网络安全设施,是对防病毒软件和防火墙的补充。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
在现有技术中,VSM设备可由DPX1(主设备)和DPX2(备用设备) 虚拟而成,FW1(第一防火墙)和FW2(第二防火墙)设备作为防火墙设备负责完成防火墙的包过滤、NAT、ALG等网络业务,FW1在DPX1,FW2在 DPX2,FW1和FW2部署主备流定义,FW1为主,FW2为备,VSM设备接收到的流量经流定义引导上送FW1处理,FW2作为备份设备旁挂在DPX2。
现有技术中,通过如下方式进行主设备和备用设备之间的切换:当FW1 出现硬件异常、软件系统崩溃等严重故障导致FW1发生异常重启时,流定义将VSM设备接收到的流量引导上送到FW2处理避免出现网络故障。当管理员发现FW1网络业务出现异常,手动修改配置,修改为FW2为主,FW1为备,流定义将VSM设备收到的流量引导上送到FW2进行处理。
现有技术中的方案不能够应对更多的异常情况,当主设备已经异常,但是还依赖于手工或者设备自行异常重启才能够发生切换,现有的主备流定义切换方案存在网络长时间中断的风险。
图2是根据一示例性实施例示出的一种虚拟交换矩阵的系统框图。如图2 所示,虚拟交换矩阵可包括:公共检测器,用于对所述虚拟交换矩阵进行切换检测,所述切换检测用于检测所述虚拟交换矩阵中主设备和备用设备之间的切换关系;主设备,用于对待处理流量进行处理,所述主设备上设置有服务攻击板卡、入侵防御板卡、UAG板卡、防火墙板卡;备用设备,用于在主设备故障时,对所述待处理流量进行处理,所述备用设备上设置有服务攻击板卡、入侵防御板卡、UAG板卡、防火墙板卡。
更具体的,在一个实施例中,VSM设备由DPX1和DPX2的级联口互联虚拟而成,DPX1中插入FW1、UAG1、IPS1、DDOS1,DPX2中插入FW2、 UAG2、IPS2、DDOS2,FW1、FW2配置主备流定义,FW1为主,UAG1、 UAG2配置主备流定义,UAG1为主,IPS1、IPS2配置主备流定义,IPS1为主, DDOS1、DDOS2配置流定义,DDOS1为主。通过流定义引流引导VSM接收的报文上送DDOS1,做SYN Flood防护、UDP Flood防护、黑白名单业务,业务处理后,通过跨板卡内部口流量上送到IPS1,做防病毒、入侵防御业务,业务处理后通过跨板卡内部口流量上送到UAG1,做流量审计、行为审计业务,业务处理后,通过跨板卡内部口流量上送到FW1,做NAT、包过滤业务,待业务处理后转发送出设备。
更具体的,如图3所示,公共检测器,可检测公共的板卡软硬件严重故障与主备流定义的切换制定耦合关系,所有的主备流定义板卡都会使用该检测器进行切换的检测,该耦合关系主要检测的因素:重启、芯片丢包率过高、内部口单通、逻辑异常、内存使用率过高、CPU使用率过高、重要系统进程挂死、软件转发流程丢包率过高。当出现某一项或几项时,认定该板卡异常,不能把流量引导上送被检测板卡。
更具体的,如图4所示,可通过DDOS板卡检测器进行DDOS板卡的检测,首先调用板卡公共检测器对板卡进行检测,如果通过检测,然后再根据该板卡所负责业务和主备流定义切换所指定该关系的耦合关系继续进行检测,该耦合关系主要检测因素:SYN Flood攻击防护业务异常、UDP Flood 攻击防护业务异常、黑白名单业务异常。
更具体的,如图5所示,可通过IPS板卡检测器对IPS板卡的检测,首先调用板卡公共检测器对板卡进行检测,如果通过检测,然后再根据该板卡所负责业务和主备流定义切换所指定该关系的耦合关系继续进行检测,该耦合关系主要检测因素:防病毒业务异常、入侵防御业务异常。
更具体的,如图6所示,可通过UAG板卡检测器对UAG板卡的检测,首先调用板卡公共检测器对板卡进行检测,如果通过检测,然后再根据该板卡所负责业务和主备流定义切换所指定该关系的耦合关系继续进行检测,该耦合关系主要检测因素:流量审计业务异常、行为审计业务异常。
更具体的,如图7所示,可通过FW板卡检测器对FW板卡的检测,首先调用板卡公共检测器对板卡进行检测,如果通过检测,然后再根据该板卡所负责业务和主备流定义切换所指定该关系的耦合关系继续进行检测,该耦合关系主要检测因素:NAT业务异常、包过滤业务异常。
基于本公开中的虚拟交换矩阵,主备流定义的切换依赖于设备的异常重启之外,还可根据用户的设置确定更多的影响因素,例如公共系统类的严重软件异常、硬件的异常、网络业务的异常等,当检测到设定的因素异常时,主动的进行主备流定义切换,这样能够防止这些异常导致的网络异常。当主备的业务板卡的业务处理都异常时,流定义不再引导流量上送业务板卡CPU 处理,直接由网络芯片转发,这样避免网络中断。
图8是根据一示例性实施例示出的一种虚拟交换矩阵的流量处理方法的流程图。虚拟交换矩阵及其流量处理方法80至少包括步骤S802至S806。
如图8所示,在S802中,虚拟交换矩阵获取待处理流量。其中,虚拟交换矩阵获取待处理流量之后,还包括:对所述虚拟交换矩阵进行切换检测,所述切换检测用于检测所述虚拟交换矩阵中主设备和备用设备之间的切换关系;在所述切换检测的结果为异常时,拒绝处理所述待处理流量。
其中,对所述虚拟交换矩阵进行切换检测,可包括:对所述虚拟交换矩阵进行重启检测;对所述虚拟交换矩阵进行芯片丢包率检测;对所述虚拟交换矩阵进行内部口单通检测;对所述虚拟交换矩阵进行逻辑检测;对所述虚拟交换矩阵进行内存使用率检测;对所述虚拟交换矩阵进行CPU使用率检测;对所述虚拟交换矩阵进行系统进程挂死检测;对所述虚拟交换矩阵进行丢包率检测。
在S804中,对所述虚拟交换矩阵中主设备和备用设备的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡、防火墙板卡分别进行检测。
在一个实施例中,可对所述虚拟交换矩阵中的主设备的分布式拒绝服务攻击板卡进行检测;在所述主设备的分布式拒绝服务攻击板卡检测不通过时,对所述虚拟交换矩阵中的备用设备的分布式拒绝服务攻击板卡进行检测。
在一个实施例中,可对所述虚拟交换矩阵中的主设备的入侵防御板卡进行检测;在所述主设备的入侵防御板卡检测不通过时,对所述虚拟交换矩阵中的备用设备的入侵防御板卡进行检测。
在一个实施例中,可对所述虚拟交换矩阵中的主设备的UAG板卡进行检测;在所述主设备的UAG板卡检测不通过时,对所述虚拟交换矩阵中的备用设备的UAG板卡进行检测。
在一个实施例中,可对所述虚拟交换矩阵中的主设备的防火墙板卡进行检测;在所述主设备的防火墙板卡检测不通过时,对所述虚拟交换矩阵中的备用设备的防火墙板卡进行检测。
在S806中,根据检测结果将所述待处理流量发送至所述主设备和/或所述备用设备进行处理。
在一个实施例中,在所述主设备的分布式拒绝服务攻击板卡检测通过时,将所述待处理流量发送至所述主设备进行处理;在所述主设备的分布式拒绝服务攻击板卡检测不通过,而所述备用设备的分布式拒绝服务攻击板卡检测通过时,将所述待处理流量发送至所述备用设备进行处理;在所述主设备和所述备用设备的分布式拒绝服务攻击板卡检测均不通过时,将所述待处理流量发送至所述主设备的入侵防御板卡进行处理。
在一个实施例中,在所述主设备的入侵防御板卡检测通过时,将所述待处理流量发送至所述主设备进行处理;在所述主设备的入侵防御板卡检测不通过,而所述备用设备的入侵防御板卡检测通过时,将所述待处理流量发送至所述备用设备进行处理;在所述主设备和所述备用设备的入侵防御板卡检测均不通过时,将所述待处理流量发送至所述主设备的UAG板卡进行处理。
在一个实施例中,在所述主设备的UAG板卡检测通过时,将所述待处理流量发送至所述主设备进行处理;在所述主设备的UAG板卡检测不通过,而所述备用设备的UAG板卡检测通过时,将所述待处理流量发送至所述备用设备进行处理;在所述主设备和所述备用设备的入侵防御板卡检测均不通过时,将所述待处理流量发送至所述主设备的防火墙板卡进行处理。
在一个实施例中,在所述主设备的防火墙板卡检测通过时,将所述待处理流量发送至所述主设备进行处理;在所述主设备的防火墙板卡检测不通过,而所述备用设备的防火墙板卡检测通过时,将所述待处理流量发送至所述备用设备进行处理;在所述主设备和所述备用设备的防火墙板卡检测均不通过时,将所述待处理流量直接转发。
根据本公开的虚拟交换矩阵及其流量处理方法,虚拟交换矩阵获取待处理流量;对所述虚拟交换矩阵中主设备和备用设备的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡、防火墙板卡分别进行检测;根据检测结果将所述待处理流量发送至所述主设备和/或所述备用设备进行处理的方式,引入多个异常因素来综合控制虚拟交换矩阵的主设备和备用设备之间的流量切换,大幅度减少长时间网络异常情况的产生,减少网络的风险。
应清楚地理解,本公开描述了如何形成和使用特定示例,但本公开的原理不限于这些示例的任何细节。相反,基于本公开公开的内容的教导,这些原理能够应用于许多其它实施例。
图9是根据另一示例性实施例示出的一种虚拟交换矩阵的流量处理方法的流程图。图9所示的流程90 是对“DDOS板卡检测转发”的详细描述。
如图9所示,在S901中,上送DDOS业务板做攻击检测,攻击检测可包括SYNFload攻击、UDPLoad攻击、黑白名单业务。
在S902中,调用DDOS板卡检测器对主设备上的DDOS板卡进行检测。
在S903中,板卡是否异常。
在S904中,调用DDOS板卡检测器对备用设备上的DDOS板卡进行检测。
在S905中,板卡是否异常。
在S906中,不上送DDOS芯片转发。
在S907中,流定义上送备用设备上的DDOS板卡处理并转发。
在S908中,流定义上送主设备上的DDOS板卡处理并转发。
在S909中,送往下一块板卡。
IPS板卡的检测过程、UGA板卡的检测过程、FW板卡的检测过程可参考图5,6,7和图9中的示例,在本开中不再赘述。在VSM接收流量之后,可进行DDOS防护业务,通过DDOS检测器对DDOS1进行检测,如果,DDOS1 检测通过,则将流量引导上送至DDOS1进行业务处理,否则,进行DDOS2 检测,如果,DDOS2检测通过,则将流量引导上送至DDOS2进行业务处理,否则,流量业务不上送DDOS板卡进行处理,直接由芯片进行转发进行下一个板卡业务的处理。
然后,可进行IPS防护业务,通过IPS检测器对IPS1进行检测,如果, IPS1检测通过,则将流量引导上送至IPS1进行业务处理,否则,进行IPS2检测,如果IPS2检测通过,则将流量引导上送至IPS2进行业务处理,否则,流量业务不上送IPS板卡进行处理,直接由芯片进行转发进行下一个板卡业务的处理。
然后,可进行UAG防护业务,通过IPS检测器对UAG1进行检测,如果,UAG1检测通过,则将流量引导上送至UAG1进行业务处理,否则,进行UAG2 检测,如果UAG2检测通过,则将流量引导上送至UAG2进行业务处理,否则,流量业务不上送UAG板卡进行处理,直接由芯片进行转发进行下一个板卡业务的处理。
然后,可进行FW防护业务,通过FW检测器对FW1进行检测,如果FW1 检测通过,则将流量引导上送至FW1进行业务处理,否则,进行FW2检测,如果FW2检测通过,则将流量引导上送至FW2进行业务处理,否则,流量业务不上送FW板卡进行处理。
此时,VSM处理完流量,将流量转发送出。
本公开的虚拟交换矩阵的流量处理方法,通过主备流定义,能够切换耦合更多公共的软硬件异常因素及板卡独特的业务异常因素,避免出现板卡已经出现严重异常,但是流量仍然在该异常板卡上面处理,进而大幅度减少长时间网络异常的风险。
根据本公开的虚拟交换矩阵的流量处理方法,当主备业务板都出现异常时,此时流定义不再上送该业务的板卡,直接底层进行转发送往下一流程。这种方式能够大幅度减少长时间网络异常的风险。
本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由 CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本公开提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
图10是根据一示例性实施例示出的一种电子设备的框图。
下面参照图10来描述根据本公开的这种实施方式的电子设备1000。图10 显示的电子设备1000仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图10所示,电子设备1000以通用计算设备的形式表现。电子设备1000 的组件可以包括但不限于:至少一个处理单元1010、至少一个存储单元1020、连接不同系统组件(包括存储单元1020和处理单元1010)的总线1030、显示单元1040等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元1010执行,使得所述处理单元1010执行本说明书中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元1010可以执行如图8,图9中所示的步骤。
所述存储单元1020可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)10201和/或高速缓存存储单元10202,还可以进一步包括只读存储单元(ROM)10203。
所述存储单元1020还可以包括具有一组(至少一个)程序模块10205的程序/实用工具10204,这样的程序模块10205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线1030可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备1000也可以与一个或多个外部设备1000‘ (例如键盘、指向设备、蓝牙设备等)通信,使得用户能与该电子设备1000交互的设备通信,和/ 或该电子设备1000能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口1050 进行。并且,电子设备1000还可以通过网络适配器1060与一个或者多个网络 (例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器1060可以通过总线1030与电子设备1000的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备1000使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、 RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,如图11所示,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是 CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述方法。
所述软件产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、 C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN) 或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备 (例如利用因特网服务提供商来通过因特网连接)。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该计算机可读介质实现如下功能:虚拟交换矩阵获取待处理流量;对所述虚拟交换矩阵中主设备和备用设备的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡、防火墙板卡分别进行检测;根据检测结果将所述待处理流量发送至所述主设备和/或所述备用设备进行处理。
本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中,也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施例的方法。
以上具体地示出和描述了本公开的示例性实施例。应可理解的是,本公开不限于这里描述的详细结构、设置方式或实现方法;相反,本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。
Claims (5)
1.一种虚拟交换矩阵的流量处理方法,其特征在于,包括:
虚拟交换矩阵获取待处理流量;
对所述虚拟交换矩阵中主设备的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡以及防火墙板卡分别进行检测,并在所述主设备的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡以及防火墙板卡之一检测不通过时,对所述虚拟交换矩阵中的备用设备的对应的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡以及防火墙板卡之一进行检测;
在所述主设备的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡以及防火墙板卡之一检测通过时,将所述待处理流量发送至所述主设备进行处理;
在所述主设备的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡以及防火墙板卡之一检测不通过,而所述备用设备的对应的分布式拒绝服务攻击板卡、入侵防御板卡、UAG板卡以及防火墙板卡之一检测通过时,将所述待处理流量发送至所述备用设备进行处理;以及
在所述主设备和所述备用设备的分布式拒绝服务攻击板卡检测均不通过时,将所述待处理流量发送至所述主设备的入侵防御板卡进行处理,在所述主设备的入侵防御板卡检测不通过,而所述备用设备的入侵防御板卡检测通过时,将所述待处理流量发送至所述备用设备进行处理,在所述主设备和所述备用设备的入侵防御板卡检测均不通过时,将所述待处理流量发送至所述主设备的防火墙板卡进行处理,以及在所述主设备和所述备用设备的防火墙板卡检测均不通过时,将所述待处理流量直接转发。
2.如权利要求1所述的方法,其特征在于,虚拟交换矩阵获取待处理流量之后,还包括:
对所述虚拟交换矩阵进行切换检测,所述切换检测用于检测所述虚拟交换矩阵中主设备和备用设备之间的切换关系;
在所述切换检测的结果为异常时,拒绝处理所述待处理流量。
3.如权利要求2所述的方法,其特征在于,对所述虚拟交换矩阵进行切换检测,包括:
对所述虚拟交换矩阵进行重启检测;和/或
对所述虚拟交换矩阵进行芯片丢包率检测;和/或
对所述虚拟交换矩阵进行内部口单通检测;和/或
对所述虚拟交换矩阵进行逻辑检测;和/或
对所述虚拟交换矩阵进行内存使用率检测;和/或
对所述虚拟交换矩阵进行CPU使用率检测;和/或
对所述虚拟交换矩阵进行系统进程挂死检测;和/或
对所述虚拟交换矩阵进行丢包率检测。
4.一种虚拟交换矩阵设备,其特征在于,包括:
公共检测器,用于根据权利要求1-3之一所述的方法对所述虚拟交换矩阵进行切换检测,所述切换检测用于检测所述虚拟交换矩阵中主设备和备用设备之间的切换关系;
主设备,用于对待处理流量进行处理,所述主设备上设置有服务攻击板卡、入侵防御板卡、UAG板卡、防火墙板卡;
备用设备,用于在主设备故障时,对所述待处理流量进行处理,所述备用设备上设置有服务攻击板卡、入侵防御板卡、UAG板卡、防火墙板卡。
5.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-3中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110275652.6A CN113067780B (zh) | 2021-03-15 | 2021-03-15 | 虚拟交换矩阵的流量处理方法及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110275652.6A CN113067780B (zh) | 2021-03-15 | 2021-03-15 | 虚拟交换矩阵的流量处理方法及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113067780A CN113067780A (zh) | 2021-07-02 |
| CN113067780B true CN113067780B (zh) | 2022-11-01 |
Family
ID=76560633
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110275652.6A Active CN113067780B (zh) | 2021-03-15 | 2021-03-15 | 虚拟交换矩阵的流量处理方法及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113067780B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106533736A (zh) * | 2016-10-13 | 2017-03-22 | 杭州迪普科技股份有限公司 | 一种网络设备重启方法和装置 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100364246C (zh) * | 2004-09-16 | 2008-01-23 | 华为技术有限公司 | 一种通信网络设备中实现单板备份的方法及装置 |
| US8867552B2 (en) * | 2010-05-03 | 2014-10-21 | Brocade Communications Systems, Inc. | Virtual cluster switching |
| CN102255740A (zh) * | 2010-05-21 | 2011-11-23 | 中兴通讯股份有限公司 | 业务节点主备切换方法和装置 |
| CN104734868A (zh) * | 2013-12-19 | 2015-06-24 | 中兴通讯股份有限公司 | 业务节点间业务处理方法及装置 |
| CN106603303A (zh) * | 2016-12-30 | 2017-04-26 | 杭州迪普科技股份有限公司 | 云聚合板卡的切换方法和装置 |
| CN107819617B (zh) * | 2017-11-01 | 2021-08-24 | 京信网络系统股份有限公司 | 一种通信设备的监控方法和通信设备 |
| CN109462509B (zh) * | 2018-12-03 | 2022-07-29 | 杭州迪普科技股份有限公司 | 一种板卡的批量备份的方法和装置 |
| CN111209112A (zh) * | 2019-12-31 | 2020-05-29 | 杭州迪普科技股份有限公司 | 一种异常处理方法及装置 |
| CN112073236B (zh) * | 2020-09-01 | 2023-09-08 | 深信服科技股份有限公司 | 堆叠系统的故障处理方法、框式交换机、堆叠系统及介质 |
-
2021
- 2021-03-15 CN CN202110275652.6A patent/CN113067780B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106533736A (zh) * | 2016-10-13 | 2017-03-22 | 杭州迪普科技股份有限公司 | 一种网络设备重启方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113067780A (zh) | 2021-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10915374B2 (en) | Method of facilitating live migration of virtual machines | |
| US9690606B1 (en) | Selective system call monitoring | |
| US9594881B2 (en) | System and method for passive threat detection using virtual memory inspection | |
| US10474813B1 (en) | Code injection technique for remediation at an endpoint of a network | |
| EP2867811B1 (en) | Method, system, and device for securely handling virtual function driver communications with a physical function driver | |
| US11374964B1 (en) | Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints | |
| US11303673B1 (en) | System and method for preventing lateral propagation of ransomware using a security appliance that functions as a DHCP relay on a shared network | |
| US10944720B2 (en) | Methods and systems for network security | |
| US11252183B1 (en) | System and method for ransomware lateral movement protection in on-prem and cloud data center environments | |
| EP3053086A1 (en) | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection | |
| JP2012104088A (ja) | 情報セキュリティ保護ホスト | |
| KR101290963B1 (ko) | 가상화 기반 망분리 시스템 및 방법 | |
| KR101286015B1 (ko) | 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스 제어방법 | |
| CN103067384A (zh) | 威胁处理方法及系统、联动客户端、安全设备及主机 | |
| US9332023B1 (en) | Uploading signatures to gateway level unified threat management devices after endpoint level behavior based detection of zero day threats | |
| US8321369B2 (en) | Anti-intrusion method and system for a communication network | |
| CN113067780B (zh) | 虚拟交换矩阵的流量处理方法及电子设备 | |
| WO2019243657A1 (en) | Accessing a secure computer network | |
| CN113612785A (zh) | 基于sdn的防护系统及其控制方法 | |
| CN115333853B (zh) | 网络入侵检测方法、装置与电子设备 | |
| US11979431B1 (en) | System and method for prevention of lateral propagation of ransomware using ARP control on network switches to create point-to-point links between endpoints | |
| CN115622808B (zh) | 安全隔离的方法、电子设备、计算机可读介质 | |
| US20130074190A1 (en) | Apparatus and method for providing security functions in computing system | |
| CN117955719A (zh) | 用于满足等级保护测评的云安全资源池安全系统及方法 | |
| CN107911358B (zh) | 一种保护网络安全的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |