CN114827045B - 用于流量编排的方法和装置 - Google Patents
用于流量编排的方法和装置 Download PDFInfo
- Publication number
- CN114827045B CN114827045B CN202210715957.9A CN202210715957A CN114827045B CN 114827045 B CN114827045 B CN 114827045B CN 202210715957 A CN202210715957 A CN 202210715957A CN 114827045 B CN114827045 B CN 114827045B
- Authority
- CN
- China
- Prior art keywords
- flow
- current flow
- destination device
- preset
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/31—Flow control; Congestion control by tagging of packets, e.g. using discard eligibility [DE] bits
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Control Of Conveyors (AREA)
Abstract
本发明实施例提供一种用于流量编排的方法和装置,属于网络技术领域。该方法包括:判断接收到的当前流量是否是预设要编排的流量;在所述当前流量是所述预设要编排的流量的情况下,确定对所述当前流量进行编排对应的预设目的设备顺序表;以及控制所述当前流量依次进入所述预设目的设备顺序表中的目的设备,以对所述当前流量进行编排。籍此,实现了对接收到的流量进行筛选,非全部流量都被进行编排,以实现细颗粒度的流编排。
Description
技术领域
本发明涉及网络技术领域,具体地涉及一种用于流量编排的方法和装置。
背景技术
网络安全越来越受到重视,在国家安全中占据重要地位,目前很多安全设备分析流量都需要交换机流量镜像功能进行引流,但是这种方式存在着一些问题。
现有技术存在多处缺点:(1)目前常用的流量编排的方式就是利用交换机的流量镜像功能,将进出某个交换机端口的所有流量全部导入网络安全设备(例如IDS入侵检查系统、IPS入侵防御系统等)或其他流量分析系统,是全部流量都会被导入进去,而不能按照用户感兴趣的流量进行识别并导入,例如,用户只想要TCP流量或者所有目的端口为80的流量进行导入,交换机流量镜像功能是不支持这种细颗粒度的流量编排功能;(2)交换机的流量镜像功能只能实现单个设备的流量导入,而不能实现多个设备按一定先后顺序进行流量导入,例如,使流量先过IDS系统,再过IPS系统,最后过WAF系统,无法实现多设备的流量编排功能。
发明内容
本发明实施例的目的是提供一种用于流量编排的方法和装置,其可解决或至少部分解决上述问题。
为了实现上述目的,本发明实施例的一个方面提供一种用于流量编排的方法,该方法包括:判断接收到的当前流量是否是预设要编排的流量;在所述当前流量是所述预设要编排的流量的情况下,确定对所述当前流量进行编排对应的预设目的设备顺序表;以及控制所述当前流量依次进入所述预设目的设备顺序表中的目的设备,以对所述当前流量进行编排。
可选地,判断所述当前流量是否是所述预设要编排的流量包括:根据以下任一者判断所述当前流量是否是所述预设要编排的流量:所述当前流量对应的标识信息是否是预设标识信息以及所述当前流量对应的会话记录中的流量编排标记,其中,所述流量编排标记表明对应的流量是否是所述预设要编排的流量。
可选地,所述标识信息是五元组信息或数据字符串或特征码,所述预设标识信息是预设五元组信息或预设数据字符串或预设特征码。
可选地,在根据所述当前流量对应的会话记录中的流量编排标记判断所述当前流量是否是所述预设要编排的流量的情况下,在根据所述流量编排标记判断所述当前流量是否是所述预设要编排的流量之前,该方法还包括:获取所述当前流量对应的所述流量编排标记。
可选地,所述获取所述当前流量对应的所述流量编排标记包括:判断所述当前流量是否是首次流量;以及在所述当前流量是所述首次流量的情况下,针对所述当前流量创建会话记录并在所创建的会话记录中建立所述流量编排标记,从所创建的会话记录中获取所建立的流量编排标记,以获取所述当前流量对应的所述流量编排标记;和/或在所述当前流量不是所述首次流量的情况下,获取所述当前流量对应的历史会话记录中的流量编排标记以获取所述当前流量对应的所述流量编排标记。
可选地,所述控制所述当前流量依次进入所述预设目的设备顺序表中的目的设备包括:确定所述当前流量将进入的下一目的设备;将所述当前流量引至所确定的下一目的设备,以使得所述当前流量进入所确定的下一目的设备;再次接收所述当前流量,其中,再次接收所述当前流量为从所确定的下一目的设备进行接收;判断所确定的下一目的设备是否是所述预设目的设备顺序表中的最后目的设备;在所确定的下一目的设备是所述最后目的设备的情况下,完成控制所述当前流量依次进入所述预设目的设备顺序表中的目的设备;以及在所确定的下一目的设备不是所述最后目的设备的情况下,重复关于确定下一目的设备、将所述当前流量引至所确定的下一目的设备、再次接收所述当前流量及判断是否是最后目的设备的操作,直到所确定的下一目的设备是所述最后目的设备。
可选地,所述将所述当前流量引至所确定的下一目的设备包括:将所述当前流量的报文的目的MAC地址修改为所确定的下一目的设备的MAC地址以及将所述当前流量的报文的源MAC地址修改为运行用于流量编排的方法的设备的MAC地址。
相应地,本发明实施例的另一方面提供一种用于流量编排的装置,该装置包括:流量判断模块,用于判断接收到的当前流量是否是预设要编排的流量;预设目的设备顺序表确定模块,用于在所述当前流量是所述预设要编排的流量的情况下,确定对所述当前流量进行编排对应的预设目的设备顺序表;以及控制模块,用于控制所述当前流量依次进入所述预设目的设备顺序表中的目的设备,以对所述当前流量进行编排。
可选地,所述流量判断模块判断所述当前流量是否是所述预设要编排的流量包括:根据以下任一者判断所述当前流量是否是所述预设要编排的流量:所述当前流量对应的标识信息是否是预设标识信息以及所述当前流量对应的会话记录中的流量编排标记,其中,所述流量编排标记表明对应的流量是否是所述预设要编排的流量。
可选地,所述标识信息是五元组信息或数据字符串或特征码,所述预设标识信息是预设五元组信息或预设数据字符串或预设特征码。
可选地,该装置还包括:流量编排标记获取模块,用于在根据所述当前流量对应的会话记录中的流量编排标记判断所述当前流量是否是所述预设要编排的流量的情况下,在根据所述流量编排标记判断所述当前流量是否是所述预设要编排的流量之前,获取所述当前流量对应的所述流量编排标记。
可选地,所述流量编排标记获取模块获取所述当前流量对应的所述流量编排标记包括:判断所述当前流量是否是首次流量;以及在所述当前流量是所述首次流量的情况下,针对所述当前流量创建会话记录并在所创建的会话记录中建立所述流量编排标记,从所创建的会话记录中获取所建立的流量编排标记,以获取所述当前流量对应的所述流量编排标记;和/或在所述当前流量不是所述首次流量的情况下,获取所述当前流量对应的历史会话记录中的流量编排标记以获取所述当前流量对应的所述流量编排标记。
可选地,所述控制模块控制所述当前流量依次进入所述预设目的设备顺序表中的目的设备包括:确定所述当前流量将进入的下一目的设备;将所述当前流量引至所确定的下一目的设备,以使得所述当前流量进入所确定的下一目的设备;再次接收所述当前流量,其中,再次接收所述当前流量为从所确定的下一目的设备进行接收;判断所确定的下一目的设备是否是所述预设目的设备顺序表中的最后目的设备;在所确定的下一目的设备是所述最后目的设备的情况下,完成控制所述当前流量依次进入所述预设目的设备顺序表中的目的设备;以及在所确定的下一目的设备不是所述最后目的设备的情况下,重复关于确定下一目的设备、将所述当前流量引至所确定的下一目的设备、再次接收所述当前流量及判断是否是最后目的设备的操作,直到所确定的下一目的设备是所述最后目的设备。
可选地,所述将所述当前流量引至所确定的下一目的设备包括:将所述当前流量的报文的目的MAC地址修改为所确定的下一目的设备的MAC地址以及将所述当前流量的报文的源MAC地址修改为运行用于流量编排的方法的设备的MAC地址。
此外,本发明实施例的另一方面还提供一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令用于使得机器执行上述的方法。
另外,本发明实施例的另一方面还提供一种处理器,用于运行程序,其中,所述程序被运行时用于执行上述的方法。
通过上述技术方案,判断接收到的当前流量是否是预设要编排的流量,在是预设要编排的流量的情况下才对当前流量进行编排,如此,对接收到的流量进行筛选,非全部流量都被进行编排,以实现细颗粒度的流编排;此外,预设要编排的流量可以是根据用户兴趣进行设定的,如此,可以实现按照用户感兴趣的流量进行识别并导入;另外,控制当前流量按照预设目的设备顺序表依次进入目的设备,如此,实现了多个设备按一定先后顺序进行流量导入,实现多设备的流量编排功能。
本发明实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明实施例,但并不构成对本发明实施例的限制。在附图中:
图1是本发明以实施例提供的用于流量编排的方法的流程图;
图2是本发明另一实施例提供的用于流量编排的方法的逻辑示意图;
图3是本发明另一实施例提供的流量走向示意图;以及
图4是本发明另一实施例提供的用于流量编排的装置的结构框图。
附图标记说明
1、流量判断模块;2、预设目的设备顺序表确定模块;3、控制模块。
具体实施方式
以下结合附图对本发明实施例的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明实施例,并不用于限制本发明实施例。
本发明实施例的一个方面提供一种用于流量编排的方法。
图1是本发明一实施例提供的用于流量编排的方法的流程图。如图1所示,该方法包括以下内容。
在步骤S10中,判断接收到的当前流量是否是预设要编排的流量,若当前流量是预设要编排的流量则执行步骤S11,若当前流量不是预设要编排的流量则执行步骤S13。其中,预设要编排的流量是预先设置的对其进行编排的流量。此外,预设要编排的流量可以是根据具体情况而定的,例如,根据用户的兴趣进行设置,设置用户感兴趣的流量为预设要编排的流量。例如,可以通过将接收到的当前流量与预设要编排的流量进行比对,来判断当前流量是否是预设要编排的流量。可选地,可以是借助于流量的标识信息将当前流量与预设要编排的流量进行比对,具体地,通过判断当前流量对应的标识信息是否是预设要编排的流量对应的预设标识信息,来判断当前流量是否是预设要编排的流量。例如,标识信息可以是五元组信息或数据字符串或特征码等等。其中,五元组信息包括流量的源地址、目的地址、源端口、目的端口和协议。可选地,设置预设要编排的流量的五元组信息或数据字符串或特征码为预设五元组信息或预设数据字符串或预设特征码,将接收到的当前流量的五元组信息或数据字符串或特征码与预设五元组信息或预设数据字符串或预设特征码进行比对,以判断当前流量的五元组信息或数据字符串或特征码是否是预设五元组信息或预设数据字符串或预设特征码,从而判断当前流量是否是预设要编排的流量。也就是,在本发明实施例中,标识信息可以是五元组信息,预设标识信息可以是预设五元组信息;或者,标识信息可以是数据字符串,预设标识信息可以是预设数据字符串;或者,标识信息可以是特征码,预设标识信息可以是预设特征码。此外,还可以根据当前流量对应的会话(session)记录中的流量编排标记来判断当前流量是否是预设要编排的流量。其中,流量编排标记表明对应的流量是否是预设要编排的流量。具体地,当当前流量对应的流量编排标记表明当前流量不是预设要编排的流量时则判断当前流量不是预设要编排的流量,当当前流量对应的流量编排标记表明当前流量是预设要编排的流量时则判断当前流量是预设要编排的流量。具体地,流量编排标记是会话记录中的一个变量,为其赋不同的值表明不同的内容,例如,标记变量赋值为0表明对应的流量不是预设要编排的流量,标记变量赋值为1表明对应的流量是预设要编排的流量。
在步骤S11中,确定对当前流量进行编排对应的预设目的设备顺序表。其中,预设目的设备顺序表包括至少1个目的设备。此外,目的设备可以是IDS(入侵检测系统)、IPS(入侵防御系统)、WAF(web防火墙)、DPI(深度报文检测)等用于分析流量的设备。另外,预设目的设备顺序表是预先设置的,预设目的设备顺序表表明了对流量进行编排包括的目的设备及流量经过目的设备的顺序。需要说明的是,当预设目的设备顺序表中仅包括一个目的设备时,流量仅经过该一个目的设备,顺序也是仅经过该一个目的设备。例如,可以是在设置哪些流量是预设要编排的流量时,针对预设要编排的流量设置预设目的设备顺序表,从在确定当前流量是预设要编排的流量的情况下,将与当前流量对应的预设要编排的流量对应的预设目的设备顺序表确定为对当前流量进行编排对应的预设目的设备顺序表。在借助于流量的标识信息将当前流量与预设要编排的流量进行比对的情况下,可以是针对预设标识信息设置预设目的设备顺序表;具体地,在当前流量的标识信息是预设标识信息的情况下,将与当前流量的标识信息对应的预设标识信息对应的预设目的设备顺序表确定为对当前流量进行编排对应的预设目的设备顺序表。此外,预设目的设备顺序表可以记录在会话记录中,当根据当前流量对应的会话记录中的流量编排标记判断当前流量是预设要编排的流量时,对当前流量进行编排对应的预设目的设备顺序表被记录在了当前流量对应的会话记录中,则可以从当前流量对应的会话记录中获取到当前流量对应的预设目的设备顺序表,以确定当前流量对应的预设目的设备顺序表。
在步骤S12中,控制当前流量依次进入预设目的设备顺序表中的目的设备,以对当前流量进行编排。其中,在预设目的设备顺序表中仅包括一个目的设备的情况下,控制当前流量进入该一个目的设备;在预设目的设备顺序表中包括至少两个目的设备的情况下,根据预设目的设备顺序表中表明的目的设备的顺序控制当前流量进入这至少两个目的设备。
在步骤S13中,查找路由正常转发。将当前流量正常转发至目的地,例如,转发至目的服务器。
通过上述技术方案,判断接收到的当前流量是否是预设要编排的流量,在是预设要编排的流量的情况下才对当前流量进行编排,如此,对接收到的流量进行筛选,非全部流量都被进行编排,以实现细颗粒度的流编排;此外,预设要编排的流量可以是根据用户兴趣进行设定的,如此,可以实现按照用户感兴趣的流量进行识别并导入;另外,控制当前流量按照预设目的设备顺序表依次进入目的设备,如此,实现了多个设备按一定先后顺序进行流量导入,实现多设备的流量编排功能。
可选地,在本发明实施例中,在根据当前流量对应的会话记录中的流量编排标记判断当前流量是否是预设要编排的流量的情况下,在根据流量编排标记判断当前流量是否是预设要编排的流量之前,该方法还包括:获取当前流量对应的流量编排标记。
可选地,在本发明实施例中,获取当前流量对应的流量编排标记可以包括以下内容。判断当前流量是否是首次流量。其中,首次流量指的是对应的数据包第一次被接收的流量,判断当前流量是否是首次流量也就是判断当前流量对应的数据包是否是被首次接收。例如,可以根据五元组信息来判断当前流量是否是首次流量。具体地,获取当前流量的五元组信息,判断是否存在与所获取的五元组信息匹配的历史会话记录来判断当前流量是否是首次流量。其中,会话记录是利用五元组信息针对流量创建的,例如使用hash map算法创建的,且创建的会话记录会被保存。若某流量的数据包之前被接收过则之前已建立过与该流量对应的会话记录;若某流量的数据包之前未被接收过则未建立过于该流量对应的会话记录。由此,可以通过判断是否有与接收到的当前流量的五元组信息匹配的历史会话记录来判断当前流量是否是首次流量。在当前流量是首次流量的情况下,针对当前流量创建会话记录并在所创建的会话记录中建立流量编排标记,从所创建的会话记录中获取所建立的流量编排标记,以获取当前流量对应的流量编排标记。其中,建立流量编排标记为根据当前流量是否是预设要编排的流量进行建立,在当前流量是预设要编排的流量的情况下,所建立的流量编排标记表明当前流量是预设要编排的流量;在当前流量不是预设要编排的流量的情况下,所建立的流量编排标记表明当前流量不是预设要编排的流量。具体地,可以根据当前流量的标识信息是否是预设标识信息判断当前流量是否是预设要编排的流量,具体地,可以参见上述实施例中所述的方法。和/或在当前流量不是首次流量的情况下,获取当前流量对应的历史会话记录中的流量编排标记以获取当前流量对应的流量编排标记。
可选地,在本发明实施例中,控制当前流量依次进入预设目的设备顺序表中的目的设备可以包括以下内容。确定当前流量将进入的下一目的设备。例如,解析当前流量的报文的协议头部,根据解析得到的源MAC地址,确定当前流量所来自的或者刚刚进入的当前目的设备,将所确定的当前目的设备与预设目的设备顺序表中包括的目的设备进行比对,判断预设目的设备顺序表中是否有与所确定的当前目的设备相同的目的设备。若预设目的设备顺序表中没有与所确定的当前目的设备相同的目的设备,则预设目的设备顺序表中排在第一位的第一目的设备为下一目的设备;若预设目的设备顺序表中有与所确定的当前目的设备相同的目的设备,则预设目的设备顺序表中排在与所确定的当前目的设备相同的目的设备后的目的设备为下一目的设备。预设目的设备顺序表中表明了目的设备之间的顺序关系,通过将当前目的设备与预设目的设备顺序表进行比对,可以确定下一目的设备。具体地,在将当前目的设备与预设目的设备顺序表中的目的设备进行比对时,可以是将设备的标识信息(例如,名称、编号、源MAC地址等可以对设备进行区分的信息)进行比对。例如,标识信息可以是源MAC地址,预设目的设备顺序表中包括目的设备的源MAC地址,将当前目的设备的源MAC地址与预设目的设备顺序表中的目的设备的源MAC地址进行比对。将当前流量引至所确定的下一目的设备,以使得当前流量进入所确定的下一目的设备。例如,可以是通过将当前流量的报文的目的MAC地址修改为所确定的下一目的设备的MAC地址以及将当前流量的报文的源MAC地址修改为运行用于流量编排的方法的设备的MAC地址来将当前流量引至所确定的下一目的设备。再次接收当前流量,其中,再次接收当前流量为从所确定的下一目的设备进行接收。判断所确定的下一目的设备是否是预设目的设备顺序表中的最后目的设备。其中,最后目的设备指的是预设目的设备顺序表中排在最后一位的目的设备。具体地,可以将下一目的设备与预设目的设备顺序表中的最后目的设备进行比对,例如,可以是将设备的标识信息进行比对,以判断下一目的设备是否是最后目的设备。在所确定的下一目的设备是最后目的设备的情况下,完成控制当前流量依次进入预设目的设备顺序表中的目的设备。其中,完成控制当前流量依次进入预设目的设备顺序表中的目的设备后,可以进行查找路由正常转发的操作。其中,路由可以被记录在会话记录中,可以根据会话记录中的路由进行转发。在所确定的下一目的设备不是最后目的设备的情况下,重复关于确定下一目的设备、将当前流量引至所确定的下一目的设备、再次接收当前流量及判断是否是最后目的设备的操作,直到所确定的下一目的设备是最后目的设备。
图2是本发明另一实施例提供的用于流量编排的方法的逻辑示意图。其中,本发明实施例提供的技术方案主要包括两个方面,一个是采用流量编排标记进行流量匹配,二是将流量按自定义顺序依次转发到指定设备上。下面结合图2对本发明实施例提供的用于流量编排的方法进行示例性介绍。其中,在该实施例中,预设要编排的流量是感兴趣的流量。
如图2所示,该方法包括以下内容。客户端发起输入流量的请求,所请求的流量即为当前流量。当前流量输入。获取当前流量的五元组信息。判断是否存在与当前流量的五元组信息匹配的会话记录。若存在,则当前流量非首次流量,则按照与当前流量的五元组信息匹配的会话记录的信息执行后续内容。若不存在,则当前流量是首次流量,用五元组信息使用hash map算法针对当前流量创建会话记录。获取当前流量的数据字符串或者特征码。判断当前流量是否匹配到五元组信息或者数据字符串或者特征码,预先设置感兴趣的流量对应的五元组信息或者数据字符串或者特征码,判断预先设置的五元组信息或者数据字符串或者特征码中是否有与当前流量匹配的五元组信息或者数据字符串或者特征码,也就是判断当前流量的五元组信息是否是预设五元组信息,或者判断当前流量的数据字符串是否是预设数据字符串,或者判断当前流量的特征码是否是预设特征码。若是,则说明当前流量是感兴趣的流量;标记感兴趣,也就是流量编排标记表明当前流量是感兴趣的流量;获取当前流量对应的预设目的设备顺序表并将其记录进创建的会话记录中;查找路由并将其记录进创建的会话记录中,在当前流量依次进入预设目的设备顺序表中的目的设备后可按会话记录中路由信息正常转发;按创建的会话记录的信息执行后续内容。若否,则说明当前流量不是感兴趣的流量;标记不感兴趣,也就是流量编排标记表明当前流量不是感兴趣的流量;查找路由并将其记录进创建的会话记录中;按创建的会话记录的信息执行后续内容。根据会话记录中的标记(流量编排标记)判断当前流量是否是感兴趣的流量。若不是,则根据当前流量对应的会话记录中的路由转发出去。若是,则根据当前流量对应的会话记录确定下一目的设备,也就是,根据当前流量对应的会话记录中的记录的预设目的设备顺序表确定下一目的设备。具体地,可以参加上述实施例中所述的方法确定下一目的设备。将当前流量的报文的目的MAC地址修改为所确定的下一目的设备的MAC地址以及将当前流量的报文的源MAC地址修改为运行用于流量编排的方法的设备的MAC地址,将当前流量发送至所确定的下一目的设备。下一目的设备接收当前流量分析后又返回当前流量,也就是再次接收到当前流量。其中,可以预先设置好从下一目的设备返回当前流量的路由地址。根据会话记录判断下一目的设备是否是最后目的设备,也就是根据会话记录中记录的预设目的设备顺序表判断下一目的设备是否是最后目的设备,具体地,参见上述实施例中所述的方法。若是,则根据当前流量对应的会话记录中的路由转发出去。若否,执行回到“根据当前流量对应的会话记录确定下一目的设备”这一步继续重复执行后续内容,此时下一目的设备成为当前流量刚刚进入的当前目的设备。根据当前流量对应的会话记录中的路由转发出去后,目的服务器接收当前流量。
采用本发明实施例提供的技术方案可以实现识别对应的流量(也就是对流量进行筛选),不着急转发到真正的目的地,而是先依次过要编排的设备,如图3所示,流量依次过IDS、WAF,最后到达目的服务器。其中,在图3中,流量编排系统即为本发明实施例提供的用于流量编排的方法对应的产品。
本发明实施例提供的技术方案可以解决交换机流量镜像功能的不足,实现细颗粒度的识别流量,并且将识别出来的流量按自定义顺序依次导入指定的设备进行分析。
相应地,本发明实施例的另一方面提供一种用于流量编排的装置。
图4是本发明另一实施例提供的用于流量编排的装置的结构框图。如图4所示,该装置包括流量判断模块1、预设目的设备顺序表确定模块2和控制模块3。其中,流量判断模块1用于判断接收到的当前流量是否是预设要编排的流量;预设目的设备顺序表确定模块2用于在当前流量是预设要编排的流量的情况下,确定对当前流量进行编排对应的预设目的设备顺序表;控制模块3用于控制当前流量依次进入预设目的设备顺序表中的目的设备,以对当前流量进行编排。
可选地,在本发明实施例中,流量判断模块判断当前流量是否是预设要编排的流量包括:根据以下任一者判断当前流量是否是预设要编排的流量:当前流量对应的标识信息是否是预设标识信息以及当前流量对应的会话记录中的流量编排标记,其中,流量编排标记表明对应的流量是否是预设要编排的流量。
可选地,在本发明实施例中,标识信息是五元组信息或数据字符串或特征码,预设标识信息是预设五元组信息或预设数据字符串或预设特征码。
可选地,在本发明实施例中,该装置还包括:流量编排标记获取模块,用于在根据当前流量对应的会话记录中的流量编排标记判断当前流量是否是预设要编排的流量的情况下,在根据流量编排标记判断当前流量是否是预设要编排的流量之前,获取当前流量对应的流量编排标记。
可选地,在本发明实施例中,流量编排标记获取模块获取当前流量对应的流量编排标记包括:判断当前流量是否是首次流量;以及在当前流量是首次流量的情况下,针对当前流量创建会话记录并在所创建的会话记录中建立流量编排标记,从所创建的会话记录中获取所建立的流量编排标记,以获取当前流量对应的流量编排标记;和/或在当前流量不是首次流量的情况下,获取当前流量对应的历史会话记录中的流量编排标记以获取当前流量对应的流量编排标记。
可选地,在本发明实施例中,控制模块控制当前流量依次进入预设目的设备顺序表中的目的设备包括:确定当前流量将进入的下一目的设备;将当前流量引至所确定的下一目的设备,以使得当前流量进入所确定的下一目的设备;再次接收当前流量,其中,再次接收当前流量为从所确定的下一目的设备进行接收;判断所确定的下一目的设备是否是预设目的设备顺序表中的最后目的设备;在所确定的下一目的设备是最后目的设备的情况下,完成控制当前流量依次进入预设目的设备顺序表中的目的设备;以及在所确定的下一目的设备不是最后目的设备的情况下,重复关于确定下一目的设备、将当前流量引至所确定的下一目的设备、再次接收当前流量及判断是否是最后目的设备的操作,直到所确定的下一目的设备是所述最后目的设备。
可选地,在本发明实施例中,将当前流量引至所确定的下一目的设备包括:将当前流量的报文的目的MAC地址修改为所确定的下一目的设备的MAC地址以及将当前流量的报文的源MAC地址修改为运行用于流量编排的方法的设备的MAC地址。
本发明实施例提供的用于流量编排的装置的具体工作原理及益处与本发明实施例提供的用于流量编排的方法的具体工作原理及益处相似,这里将不再赘述。
所述用于流量编排的装置包括处理器和存储器,流量判断模块、预设目的设备顺序表确定模块和控制模块等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来对接收到的流量进行筛选,非全部流量都被进行编排,以实现细颗粒度的流编排。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
此外,本发明实施例的另一方面还提供一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令用于使得机器执行上述实施例中所述的方法。
另外,本发明实施例的另一方面还提供一种处理器,用于运行程序,其中,所述程序被运行时用于执行上述实施例中所述的方法。
此外,本发明实施例的另一方面还提供一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现上述实施例中所述的方法。本文中的设备可以是服务器、PC、PAD、手机等。
另外,本发明实施例的另一方面还提供一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有上述实施例中所述的方法步骤的程序:
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器 (CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存 (PRAM)、静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器 (ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘 (DVD) 或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体 (transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种用于流量编排的方法,其特征在于,该方法包括:
判断接收到的当前流量是否是预设要编排的流量;
在所述当前流量是所述预设要编排的流量的情况下,确定对所述当前流量进行编排对应的预设目的设备顺序表;以及
控制所述当前流量依次进入所述预设目的设备顺序表中的目的设备,以对所述当前流量进行编排;
其中,判断所述当前流量是否是所述预设要编排的流量包括:根据所述当前流量对应的会话记录中的流量编排标记判断所述当前流量是否是所述预设要编排的流量,其中,所述流量编排标记表明对应的流量是否是所述预设要编排的流量;
其中,在根据所述流量编排标记判断所述当前流量是否是所述预设要编排的流量之前,该方法还包括:获取所述当前流量对应的所述流量编排标记。
2.根据权利要求1所述的方法,其特征在于,所述获取所述当前流量对应的所述流量编排标记包括:
判断所述当前流量是否是首次流量;以及
在所述当前流量是所述首次流量的情况下,针对所述当前流量创建会话记录并在所创建的会话记录中建立所述流量编排标记,从所创建的会话记录中获取所建立的流量编排标记,以获取所述当前流量对应的所述流量编排标记;和/或
在所述当前流量不是所述首次流量的情况下,获取所述当前流量对应的历史会话记录中的流量编排标记以获取所述当前流量对应的所述流量编排标记。
3.根据权利要求1所述的方法,其特征在于,所述控制所述当前流量依次进入所述预设目的设备顺序表中的目的设备包括:
确定所述当前流量将进入的下一目的设备;
将所述当前流量引至所确定的下一目的设备,以使得所述当前流量进入所确定的下一目的设备;
再次接收所述当前流量,其中,再次接收所述当前流量为从所确定的下一目的设备进行接收;
判断所确定的下一目的设备是否是所述预设目的设备顺序表中的最后目的设备;
在所确定的下一目的设备是所述最后目的设备的情况下,完成控制所述当前流量依次进入所述预设目的设备顺序表中的目的设备;以及
在所确定的下一目的设备不是所述最后目的设备的情况下,重复关于确定下一目的设备、将所述当前流量引至所确定的下一目的设备、再次接收所述当前流量及判断是否是最后目的设备的操作,直到所确定的下一目的设备是所述最后目的设备。
4.根据权利要求3所述的方法,其特征在于,所述将所述当前流量引至所确定的下一目的设备包括:
将所述当前流量的报文的目的MAC地址修改为所确定的下一目的设备的MAC地址以及将所述当前流量的报文的源MAC地址修改为运行用于流量编排的方法的设备的MAC地址。
5.一种用于流量编排的装置,其特征在于,该装置包括:
流量判断模块,用于判断接收到的当前流量是否是预设要编排的流量;
预设目的设备顺序表确定模块,用于在所述当前流量是所述预设要编排的流量的情况下,确定对所述当前流量进行编排对应的预设目的设备顺序表;以及
控制模块,用于控制所述当前流量依次进入所述预设目的设备顺序表中的目的设备,以对所述当前流量进行编排;
其中,所述流量判断模块判断所述当前流量是否是所述预设要编排的流量包括:根据所述当前流量对应的会话记录中的流量编排标记判断所述当前流量是否是所述预设要编排的流量,其中,所述流量编排标记表明对应的流量是否是所述预设要编排的流量;
其中,该装置还包括:流量编排标记获取模块,用于在根据所述流量编排标记判断所述当前流量是否是所述预设要编排的流量之前,获取所述当前流量对应的所述流量编排标记。
6.根据权利要求5所述的装置,其特征在于,所述流量编排标记获取模块获取所述当前流量对应的所述流量编排标记包括:
判断所述当前流量是否是首次流量;以及
在所述当前流量是所述首次流量的情况下,针对所述当前流量创建会话记录并在所创建的会话记录中建立所述流量编排标记,从所创建的会话记录中获取所建立的流量编排标记,以获取所述当前流量对应的所述流量编排标记;和/或
在所述当前流量不是所述首次流量的情况下,获取所述当前流量对应的历史会话记录中的流量编排标记以获取所述当前流量对应的所述流量编排标记。
7.根据权利要求5所述的装置,其特征在于,所述控制模块控制所述当前流量依次进入所述预设目的设备顺序表中的目的设备包括:
确定所述当前流量将进入的下一目的设备;
将所述当前流量引至所确定的下一目的设备,以使得所述当前流量进入所确定的下一目的设备;
再次接收所述当前流量,其中,再次接收所述当前流量为从所确定的下一目的设备进行接收;
判断所确定的下一目的设备是否是所述预设目的设备顺序表中的最后目的设备;
在所确定的下一目的设备是所述最后目的设备的情况下,完成控制所述当前流量依次进入所述预设目的设备顺序表中的目的设备;以及
在所确定的下一目的设备不是所述最后目的设备的情况下,重复关于确定下一目的设备、将所述当前流量引至所确定的下一目的设备、再次接收所述当前流量及判断是否是最后目的设备的操作,直到所确定的下一目的设备是所述最后目的设备。
8.根据权利要求7所述的装置,其特征在于,所述将所述当前流量引至所确定的下一目的设备包括:
将所述当前流量的报文的目的MAC地址修改为所确定的下一目的设备的MAC地址以及将所述当前流量的报文的源MAC地址修改为运行用于流量编排的方法的设备的MAC地址。
9.一种机器可读存储介质,其特征在于,该机器可读存储介质上存储有指令,该指令用于使得机器执行权利要求1-4中任一项所述的方法。
10.一种处理器,其特征在于,用于运行程序,其中,所述程序被运行时用于执行权利要求1-4中任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210715957.9A CN114827045B (zh) | 2022-06-23 | 2022-06-23 | 用于流量编排的方法和装置 |
| PCT/CN2022/103302 WO2023245721A1 (zh) | 2022-06-23 | 2022-07-01 | 用于流量编排的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210715957.9A CN114827045B (zh) | 2022-06-23 | 2022-06-23 | 用于流量编排的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114827045A CN114827045A (zh) | 2022-07-29 |
| CN114827045B true CN114827045B (zh) | 2022-09-13 |
Family
ID=82521590
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210715957.9A Active CN114827045B (zh) | 2022-06-23 | 2022-06-23 | 用于流量编排的方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114827045B (zh) |
| WO (1) | WO2023245721A1 (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107896195A (zh) * | 2017-11-16 | 2018-04-10 | 锐捷网络股份有限公司 | 服务链编排方法、装置及服务链拓扑结构 |
| CN108092934A (zh) * | 2016-11-21 | 2018-05-29 | 中国移动通信有限公司研究院 | 安全服务系统及方法 |
| CN111163004A (zh) * | 2019-12-31 | 2020-05-15 | 奇安信科技集团股份有限公司 | 服务链数据处理方法、装置和计算机设备 |
| CN112104540A (zh) * | 2020-09-08 | 2020-12-18 | 中国电子科技集团公司第五十四研究所 | 一种跨域资源动态编排方法及跨域互联系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101610264B (zh) * | 2009-07-24 | 2011-12-07 | 深圳市永达电子股份有限公司 | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 |
| US8776207B2 (en) * | 2011-02-16 | 2014-07-08 | Fortinet, Inc. | Load balancing in a network with session information |
| CN107819683B (zh) * | 2017-10-25 | 2021-01-26 | 杭州安恒信息技术股份有限公司 | 安全资源池实现租户业务流量编排的方法、装置及电子设备 |
| CN112822037B (zh) * | 2020-12-30 | 2022-09-02 | 绿盟科技集团股份有限公司 | 一种安全资源池的流量编排方法及系统 |
| CN112910705B (zh) * | 2021-02-02 | 2023-04-07 | 杭州安恒信息技术股份有限公司 | 网络流量编排的方法、设备和存储介质 |
| CN114338193B (zh) * | 2021-12-31 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 一种流量编排方法、装置及ovn流量编排系统 |
-
2022
- 2022-06-23 CN CN202210715957.9A patent/CN114827045B/zh active Active
- 2022-07-01 WO PCT/CN2022/103302 patent/WO2023245721A1/zh unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108092934A (zh) * | 2016-11-21 | 2018-05-29 | 中国移动通信有限公司研究院 | 安全服务系统及方法 |
| CN107896195A (zh) * | 2017-11-16 | 2018-04-10 | 锐捷网络股份有限公司 | 服务链编排方法、装置及服务链拓扑结构 |
| CN111163004A (zh) * | 2019-12-31 | 2020-05-15 | 奇安信科技集团股份有限公司 | 服务链数据处理方法、装置和计算机设备 |
| CN112104540A (zh) * | 2020-09-08 | 2020-12-18 | 中国电子科技集团公司第五十四研究所 | 一种跨域资源动态编排方法及跨域互联系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114827045A (zh) | 2022-07-29 |
| WO2023245721A1 (zh) | 2023-12-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20160261562A1 (en) | Method for providing authoritative application-based routing and an improved application firewall | |
| US20190075049A1 (en) | Determining Direction of Network Sessions | |
| CN112152826B (zh) | 一种资产管理的方法、装置、系统及介质 | |
| CN108063714B (zh) | 一种网络请求的处理方法及装置 | |
| CN113794690B (zh) | 数据处理方法、装置、非易失性存储介质及处理器 | |
| US8250360B2 (en) | Content based routing with high assurance MLS | |
| CN110505248B (zh) | 一种内网nat流量的定位方法及系统 | |
| CN112468364B (zh) | Cip资产的探测方法、装置、计算机设备及可读存储介质 | |
| CN112600952B (zh) | 一种移动端网络加速分流方法和系统 | |
| CN108322495B (zh) | 资源访问请求的处理方法、装置和系统 | |
| CN114827045B (zh) | 用于流量编排的方法和装置 | |
| CN109729050B (zh) | 一种网络访问监控方法及装置 | |
| CN111163245B (zh) | 网络硬盘录像机中添加网络摄像机的方法及装置 | |
| CN111698168B (zh) | 消息处理方法、装置、存储介质及处理器 | |
| CN111241547B (zh) | 一种越权漏洞的检测方法、装置及系统 | |
| CN111010362B (zh) | 一种异常主机的监控方法及装置 | |
| CN112311724A (zh) | 一种定位http劫持的方法、装置、介质及设备 | |
| CN116126462A (zh) | 一种虚拟场景中业务部署的方法、装置以及云服务器 | |
| CN103095529B (zh) | 检测引擎装置、防火墙、检测网络传输文件的方法及装置 | |
| CN113301003B (zh) | 信息、数据链路检测方法、设备及存储介质 | |
| CN114827158A (zh) | 一种配置信息的加载方法、系统及服务器 | |
| CN110851750B (zh) | 一种数据获取方法及装置 | |
| CN117155826B (zh) | 一种网络流量的检测方法、装置、电子设备和存储介质 | |
| CN114301709B (zh) | 报文的处理方法和装置、存储介质及计算设备 | |
| CN115243248A (zh) | 终端的流量共享类型识别方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |