CN1956415A - 还原重定向报文特征信息的方法 - Google Patents
还原重定向报文特征信息的方法 Download PDFInfo
- Publication number
- CN1956415A CN1956415A CNA2006101376173A CN200610137617A CN1956415A CN 1956415 A CN1956415 A CN 1956415A CN A2006101376173 A CNA2006101376173 A CN A2006101376173A CN 200610137617 A CN200610137617 A CN 200610137617A CN 1956415 A CN1956415 A CN 1956415A
- Authority
- CN
- China
- Prior art keywords
- message
- nfc
- redirection message
- information
- satellite information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
一种还原重定向报文特征信息的方法,包括:(1)第一部件对流经本部件的报文进行重定向规则的匹配,存储匹配成功的重定向报文的特征信息;(2)第一部件将所述重定向报文重定向至第二部件,所述重定向报文中承载用于在重定向报文返回时第一部件上找到原始重定向报文特征信息的标识信息;(3)第一部件接收由第二部件返回的重定向报文,依据重定向报文中承载的所述标识信息还原所述原始重定向报文的特征信息。通过本发明,能够解决重定向带来特征信息丢失的问题。
Description
技术领域
本发明涉及网络领域,尤其涉及OAA(Open Application Architecture,开放应用架构)中NFC(Network Forwarding Component,网络转发部件)和IAC(Independent Application Component,独立业务部件)之间重定向时还原特征信息的方法以及应用该方法的IAC和NFC。
背景技术
随着网络业务的迅猛发展与逐步细化,传统的网络设备在处理这些业务时变得不再得心应手。比如,要求设备既能做数据转发又能接入语音、要求设备既能完成负载分担又能进行内容安全过滤。此时,一家独立的技术厂家是很难同时提供给用户所要求的所有服务。为此,用户通常需要购买多个厂家的设备,并将该些设备连接在一起。这样不仅互通性经常出现问题、设备间配合更是不容易协商,而且也给设备的管理和维护带来成本上的负担。
以交换设备(所述交换设备包括交换机与路由器)为例,目前根据网络中的位置与作用,交换设备通常分为中低端交换设备与核心交换设备。中低端交换设备的主要功能是汇集和进行业务管理,核心交换设备的主要功能是快速转发,使得数据包尽可能快速地通过IP骨干网。中低端交换设备一般处于网络的边缘位置,实现方案为一般的单处理器(CPU)的集中式交换设备。由于集中式交换设备有较好的价格成本优势,所以得到较为广泛的应用。集中式交换设备可以依靠内部功能简单的单一处理器来实现交换功能,但是,面对日益丰富的业务特性要求,如IPSec(IP Security协议)、IPS(Intrusion Protect System入侵防御系统)、语音和无线等,集中式交换设备已不能满足该些业务的需求。
为了解决上述问题,本申请人提出了一种OAA架构,将不同厂商的设备集成为一个松耦合的系统(请参阅图1)。一个符合OAA架构的系统包括通过ILC(Interface Linkage Component,接口连接部件)连接的NFC和IAC,其中NFC是OAA系统的主体,负责进行报文转发,有着完整的路由器和交换机的功能,也是用户管理控制的核心;IAC是用来提供各种应用的附加功能的业务服务主体,一般在OAA系统中表现为一块单板或扣卡;ILC通常作为接口分别集成在NFC和IAC之上,为NFC和IAC提供报文转发和控制信息传递的路径。
NFC在报文的转发过程中,通常需要将某一些满足特定条件的报文重定向给某一IAC处理。重定向是指改变报文在网络设备中的流向。请参阅图2,其为现有的重定向实现示意图。报文从接口A进入,按照报文携带的目的地址应从接口D出去,但是,经重定向处理后从接口G出去。
还是以图2为例,若重定向后的报文需要从原路返回继续走完正常的流程,即报文从接口G回来,还从接口D出去,由于现有技术在重定向时,没有保存报文被重定向前的相关特征信息,当重定向报文返回后,由于无法恢复该些特征信息,因此造成原有报文后续业务无法处理的后果。
譬如:NFC对流经本部件的报文进行重定向规则匹配,若所述报文是匹配重定向规则的重定向报文,NFC就需要对报文中的源、目的MAC地址进行处理:将报文中目的业务端口的MAC地址修改为IAC与NFC连接的IAC侧端口的MAC地址,将报文中的源业务端口的MAC地址修改为NFC上与IAC连接的NFC侧端口MAC地址,这样,NFC才可以将所述重定向报文重定向至指定的IAC上,而且,IAC才能将处理后的重定向报文返回至NFC。由于返回的重定向报文中,报文的原有业务的源、目的MAC地址已丢失,若后续业务需要获知报文源业务MAC地址,目的业务MAC地址,按照现有的重定向方法,是无法还原源业务MAC地址和目的业务MAC地址,由此造成后续业务的中断。
发明内容
本发明公开了一种开放应用架构的还原重定向报文特征信息的方法,以解决现有技术中返回的重定向报文特征信息容易丢失而使得业务受限或中断的技术问题。
为了达到上述目的,本发明提供了一种还原重定向报文特征信息的方法,用于还原开放应用架构中重定向报文的特征信息,包括:(1)开放应用构架的网络转发部件NFC对流经本部件的报文进行重定向规则的匹配,存储匹配成功的重定向报文的特征信息;(2)NFC将所述重定向报文重定向至指定的开放应用构架的独立业务部件IAC,所述重定向报文中承载用于在重定向报文返回时NFC上找到原始重定向报文特征信息的标识信息;(3)NFC接收由IAC返回的重定向报文,依据重定向报文中承载的所述标识信息还原所述原始重定向报文的特征信息。
所述特征信息为所述重定向报文的附属信息;步骤(2)和步骤(3)中的标识信息为能够在NFC上找到所述附属信息的识别信息。
步骤(3)依据重定向报文中承载的所述识别信息还原所述附属信息包括:依据所述识别信息找到预先存储在NFC上原始重定向报文的附属信息;将所述附属信息复制到所述返回的重定向报文的附属信息区。
优选地,步骤(2)还包括:所述重定向报文中还承载用于校验所述报文是否进行修改的校验信息;步骤(3)还包括:从所述返回的重定向报文中解析出校验信息,校验所述报文是否进行过修改,若未通过校验,则丢弃所述报文。
优选地,步骤(2)中所述校验信息为魔术字;步骤(3)中校验所述报文是否由IAC进行过修改进一步为:比较报文中获得的魔术字与预先保存的本附属信息对应的魔术字,若相同,则通过校验,否则未通过校验。
优选地,步骤(2)还包括:所述重定向报文中还承载表明NFC保存所述附属信息保存时间的时间戳;步骤(3)还包括:NFC从所述返回的重定向报文中解析出时间戳,NFC接收到所述返回重定向报文的时间与所述时间戳之差若超过预设的指定时间间隔,则丢弃所述报文。
优选地,步骤(1)中存储所述重定向报文的附属信息进一步包括:预先建立附属信息缓冲池,在所述附属信息缓冲池中分配好附属信息块,为每一附属信息块分配一用于能够找到所述附属信息块的序号;当NFC接收重定向报文时,将重定向报文的附属信息存储在一状态标志为空闲状态的附属信息块上,并将所述附属信息块的状态标志置为已用状态;步骤(2)中的所述识别信息为所述附属信息块对应的序号。
本发明还包括:NFC事件触发式或定周期检测所述已用状态的附属信息块;当附属信息块内存储的附属信息已超过预设的生命期限,则将所述附属信息块设置为空闲状态。
本发明公开了一种应用上述方法的网络转发部件NFC,用于还原开放应用架构中重定向报文的特征信息,所述NFC包括第一处理器、若干收发单元,其中:所述收发单元,用于接收报文和发送报文,其中还包括用于建立与独立业务部件IAC进行重定向报文通信的第一重定向收发单元;
第一处理器进一步包括:接收单元:用于接收收发单元发送的报文;处理单元:用于对流经本部件的报文进行重定向规则的匹配,并将匹配成功的重定向报文发送至指定IAC,以及给返回的重定向报文还原出其特征信息;发送单元:用于发送报文至收发单元。
一种应用上述方法的独立业务部件IAC,用于还原开放应用架构中重定向报文的特征信息,所述IAC包括第二处理器和第二重定向收发单元,其中,第二重定向收发单元,用于建立与网络转发部件NFC进行重定向报文通信;第二处理器:用于按照预先设定的策略决定报文是经过分析后删除还是经过分析后原封不动地返回。
一种还原重定向报文特征信息的方法,用于还原开放应用架构中重定向报文的特征信息,包括:(1)开放应用构架的网络转发部件NFC将所述重定向报文重定向至开放应用构架的独立业务部件IAC,所述重定向报文中承载特征信息;(2)NFC接收由IAC返回的重定向报文,从所述返回的重定向报文中解析出特征信息。
所述特征信息为所述重定向报文的附属信息;本方法还包括:将解析出的所述附属信息复制到所述返回的重定向报文的附属信息区。
与现有技术相比,本发明可以在重定向报文中承载用于在NFC上找到所述特征信息的标识信息;当接收由IAC返回的重定向报文后,依据重定向报文中承载的所述标识信息可以还原原始重定向报文的特征信息,完成后续的业务。
譬如:NFC在接收报文后,若所述报文是匹配重定向条件的重定向报文,则先保存报文的特征信息,所述特征信息包括报文的目的业务端口的MAC地址和源业务端口的MAC地址。NFC再对所述报文中目的业务端口的MAC地址修改为IAC与NFC连接的IAC侧端口的MAC地址,将源业务端口的MAC地址修改为NFC上与IAC连接的NFC侧端口MAC地址。随后,NFC将所述重定向报文重定向至指定的IAC上,以及,IAC将所述重定向报文返回至NFC。最后,NFC还原出原始重定向报文的特征信息,包括还原出预先保存的目的业务端口的MAC地址和源业务端口的MAC地址,解决了由于业务端口的MAC地址和源业务端口的MAC地址丢失而无法进行后续业务处理的问题。
本发明可以解决重定向带来特征信息丢失的问题。同样,当特征信息较少时,可以将特征信息直接塞入报文的头部或以太网报文头与IP头之间,也可以降低重定向带来特征信息丢失的风险。
所述特征信息包括附属信息,以路由器为例,当一个报文流经该路由器时,该路由器上各个层都需要对其进行处理,如链路层、网络层,通常是用所述报文的附属信息区来保存各个层之间传递报文的一些信息,在报文重定向至IAC及从IAC返回至NFC的过程中,容易造成附属信息区的内容丢失的问题。而本发明,NFC接收到返回的重定向报文后,可以还原出原始重定向报文的附属信息,进行后续报文的处理,由此解决了附属信息区中的附属信息在重定向过程丢失,从而造成后续处理的业务受限或中断的技术问题。
并且,本发明采用在报文重定向之前将报文的特征信息预先保存在NFC上,仅向IAC传送承载有所述标识信息的重定向报文。当IAC返回重定向报文时,NFC可以通过重定向报文中的标识信息还原出原始重定向报文的特征信息。通过上述方法可知,本发明无需将整个特征信息在重定向报文中承载,从而减少传输的时延,提高传输的速率。
附图说明
图1为本发明应用的OAA系统的一种典型结构;
图2为现有的重定向流程示意图;
图3为本发明实现重定向的NFC的结构原理示意图;
图4为本发明IAC的原理结构示意图;
图5为本发明公开的一种还原重定向报文特征信息的流程示意图;
图6为本发明公开的一种还原重定向报文附属信息的流程示意图;
图7为现有的报文数据结构的一逻辑示意图;
图8为本发明附属信息块的结构示意图;
图9为本发明公开的另一种还原重定向报文特征信息的流程示意图。
具体实施方式
以下结合附图,具体说明本发明。
还是请参照图1,图1所示为本发明应用的OAA系统的一种典型结构。OAA中连接NFC与IAC的ILC通常包括控制接口和数据平面接口,控制接口可以是异步串口、同步串口等支持流模式的接口,也可能是一个单独的以太网物理端口,或者与数据平面共用的物理端口。NFC上的控制接口与IAC上的控制接口相连接,用于进行控制信息的通信,NFC上的数据平面接口与IAC上的数据平面接口相连接,用于进行数据信息的通信。另外,一个OAA系统中可以包括完成不同功能的多个IAC。
在OAA系统中,转发的功能由NFC完成,业务附加处理由IAC完成。针对不同的应用,申请人定义4种工作模式,可以通过这4种模式之一或其中几种的组合来完成NFC与IAC之间的通信。以下针对各种工作模式进行示例性介绍:
1、主机(Host)模式
IAC就象网络上的一台主机,拥有自己的IP地址,作为网络末梢存在。IP报文都是通过ILC的以太网口转发的。这种方式,NFC仅仅完成单纯的报文转发,IAC则作为数据报文的发起者和接收者,收发各种报文,NFC就是IAC的网关。
2、镜像(Mirror)模式
这种模式下,镜像报文也是通过ILC的以太网口转发,NFC在报文转发的过程中,根据要求,把特定的报文复制一份给IAC,原始报文继续完成正常的转发。而IAC收到这个报文以后进行分析和处理,然后将报文根据特定的策略丢弃。这种工作模式经常应用于IDS(入侵检测系统)。
3、重定向(Redirection)模式
这种模式下,重定向报文也是通过ILC的以太网口转发的,NFC在报文转发过程中,根据要求,把特定的报文重定向给IAC。IAC处理以后,或丢弃,或通过。如果通过,则报文被原封不动的还给NFC,NFC则从当初中断的地方继续处理,完成后续的转发工作。这种模式多用于IPS(入侵防御系统)。
4、穿透(Pass-Through)模式
这种模式下,IAC没有配置IP地址,并且一定要有外在的以太网口,数据从这个外在以太网口流入,穿过IAC,经过ILC的以太网口到NFC,或者反方向。在NFC看来,外部数据像是直接到达了ILC的以太网口,IAC似乎根本不存在一样。当然,流量通过的时候,IAC还是会做相关的记录分析,必要的时候,IAC还会在报文会做一定的修改以完成相关的功能。
以下介绍本发明如何实现重定向过程。
请参阅图3,其为本发明实现重定向的NFC的结构原理示意图。所述NFC包括第一处理器、若干收发单元,其中:
所述收发单元,用于接收报文和发送报文,其中还包括用于建立与独立业务IAC进行重定向报文通信的第一重定向收发单元。所述收发单元通常可以采用具有简单转发功能的以太网卡。
第一处理器进一步包括:
接收单元:用于接收收发单元发送的报文;
处理单元:用于对流经本部件的报文进行重定向规则的匹配,并对匹配成功的重定向报文发送至指定IAC,以及给返回的重定向报文还原出特征信息;
发送单元:用于发送报文至收发单元。
请参阅图4,其为本发明的IAC的结构原理示意图。IAC包括第二处理器和第二重定向收发单元。
所述第二处理器,用于处理报文,按照预先设定的策略决定报文是经过分析后删除还是经过分析后原封不动地返回。
具体地展开来说就是,当接收报文时,通过按照预先设定的策略对报文进行处理,比如,对报文进行分析判断其是否是非法报文,若是,则丢弃报文,否则,根据获得报文匹配的重定向规则,将报文原封不动的返回。
第二处理器由此可以进行细粒度的管理。所述细粒度的管理是指IAC对重定向报文进行有针对性的处理以及对NFC进行有针对性的控制。比如,IAC在按照预先设定的策略决定报文是经过分析后删除还是经过分析后原封不动地返回的同时,还统计删除报文的个数。再比如,IAC发现从NFC接口A接收的源IP为192.168.1.1的报文都是恶意攻击报文,则可以通过联动MIB等手段告诉NFC,在接口A上将收到的源IP为192.168.1.1的报文全部丢弃。
第二重定向收发单元:用于通过NFC上的第一重定向收发单元建立NFC与IAC之间的报文通信。
基于上述公开的OAA架构,本发明公开了一种还原重定向报文特征信息的方法。请参阅图5,其为本发明一种还原重定向报文特征信息的流程示意图。它包括:
S11:开放应用构架的网络转发部件NFC对流经本部件的报文进行重定向规则的匹配,存储匹配成功的重定向报文的特征信息;
S12:NFC将所述重定向报文重定向至指定的开放应用构架的独立业务部件IAC,所述重定向报文中承载用于在重定向报文返回时NFC上找到原始重定向报文特征信息的标识信息;
S13:NFC接收由IAC返回的重定向报文,依据重定向报文中承载的所述标识信息还原所述原始重定向报文的特征信息。
本发明的特征信息是指表明报文特征的信息,主要为附属信息和/或上下文。以下就以附属信息为例,说明本发明如何还原重定向报文的特征信息。
请参阅图6,其为本发明中还原重定向报文附属信息的流程示意图。
S110:开放应用构架的网络转发部件NFC对流经本部件的报文进行重定向规则的匹配,存储匹配成功的重定向报文的特征信息;
S120:NFC将所述重定向报文重定向至指定的开放应用构架的独立业务部件IAC,所述重定向报文中承载用于在重定向报文返回时在NFC上找到原始重定向报文附属信息的识别信息;
S130:NFC接收由IAC返回的重定向报文,依据重定向报文中承载的所述原始重定向报文的识别信息还原所述附属信息。
以下说明每一步骤。
(一)、步骤S110
当一个报文进入该网络设备(如NFC)时,通常需要在NFC的软件系统的各个层次进行处理,比如数据链路层、网络层。为了防止报文在处理时丢失数据,报文的数据结构主要由两块组成:存储报文实际内容的内容区和存储报文附属信息的附属信息区,以便于在各层之间、各个模块之间传递报文。请参阅图7,其为报文数据结构的一逻辑示意图。内容区是指报文中携带的数据内容,而附属信息是用于表明报文携带的相关属性信息。比如,报文链路层地址,链路层类型、报文的发送时间等。
NFC对流经本部件的报文进行重定向规则的匹配,存储匹配成功的重定向报文的特征信息。流经本部件的报文包括由外部其它业务端口发送的报文,还包括由另外IAC发送至NFC的报文。当NFC接收到流经本部件的报文后,就会对其进行重定向规则的匹配。重定向规则可以由IAC通过联动方式下发至NFC,也可以是通过网络管理员直接给NFC配置得到。从匹配成功的重定向报文中找到特征信息,并对其进行保存。在保存的同时,记录能够在存储单元中找到该特征信息的标识,如存储地址。
本发明可以预先建立一附属信息缓冲池,在该附属信息缓冲池中分配好所有的附属信息块。每一附属信息块的大小是固定的。并且,为每一附属信息块分配一用于能够在附属信息缓冲池中找到本附属信息块的序号,该序号即为识别信息。为了方便管理附属信息缓冲池,也可以为每一附属信息块设置表明本附属信息块当前处于空闲状态还是已用状态的状态标识。当附属信息块的状态标识为已用状态标识时,说明该附属信息块内已保存有附属信息。当附属信息块内存储的附属信息超过预设的生命期限时,将附属信息块的状态标识从已用状态置为空闲状态,允许在该附属信息块内存储新的附属信息。
每当NFC需要存储重定向报文的附属信息时,从附属信息缓冲池中找到一处于空闲状态的附属信息块,再将所述附属信息保存到该附属信息块中,然后,记录该附属信息块的序号。
另外,本发明还可以利用动态分配附属信息块来存储附属信息。简单地说,每当NFC需要存储附属信息时,从附属信息缓冲池或直接从存储单元中分配一与该附属信息所占空间大小相同的附属信息块,用于保存该附属信息,并且将该附属信息块的起始地址和其空间大小作为该附属信息的标识信息。当附属信息块中保存的附属信息超过生命期限,则释放该附属信息块对应的存储单元。
(二)、步骤S120
NFC的第一处理器将重定向报文通过第一重定向收发单元发送至指定的IAC,该重定向报文中至少承载用于在重定向报文返回时NFC能找到原始重定向报文附属信息的识别信息。
NFC可以与多个IAC连接,当在NFC上设置重定向规则时,通常还需要指定匹配该重定向规则的报文重定向至哪个IAC。本发明的一种实现方式是,每一重定向规则与IAC标识建立一一对应关系,并且通过IAC标识可以获知IAC与NFC连接的IAC侧的接口信息。本发明的另一种实现方式是,每一重定向规则直接与指定IAC侧的接口信息建立一一对应关系。所述IAC侧的接口信息包括接口的MAC地址。
在重定向报文的何处进行承载,可以预先进行设定。比如,重定向报文的MAC地址字段(如SMAC或DMAC字段)中承载识别信息。
为了能够校验返回的重定向报文是否会经过IAC修改,本发明还可以设置校验信息,如校验码、魔术字等。至于校验信息在重定向报文的何处进行承载,可以预先进行设定。
以下以魔术字为例来说明如何进行校验重定向报文。魔术字是用来检验重定向报文在重定向过程中是否进行过修改。NFC可以动态给报文分配一唯一对应的魔术字。在该实施方式中,步骤S110存储附属信息的同时,也存储分配给该报文的魔术字。在步骤S120中,将魔术字与序号一起承载于重定向报文中转发至IAC。在步骤S130中,NFC接收到返回的重定向报文,从返回的重定向报文中解析出魔术字,并且将所述魔术字与预先保存的原始魔术字进行比较,若相同,则通过校验,否则未通过校验,丢弃该返回的重定向报文。检验信息还可以是除魔术字之外的其他检验信息,比如所述校验信息是对报文的某几个字段的值进行计算后的值。当重定向报文返回后,NFC重新计算这几个字段的值,若该值与从返回的重定向报文中解析出的检验信息相同,则说明该重定向报文在重定向过程中未进行过修改,否则丢弃所述返回的重定向报文。
重定向报文中还可以承载表明NFC保存所述附属信息时间的时间戳,当NFC接收到返回的重定向报文时,获得所述时间戳,若NFC接收到所述重定向报文的时间超过预设的时间间隔,即接收返回的重定向报文的时间与预先保存的时间戳之差超过预设的时间间隔,则丢弃所述报文。至于时间戳在重定向报文的何处进行承载,同样可以预先进行设定。比如,将时间戳连接识别信息和校验信息通过报文的MAC地址字段来进行承载。
(三)、步骤S130
由NFC接收由IAC返回的重定向报文,依据重定向报文中承载的所述识别信息还原原始重定向报文的所述附属信息。
当NFC接收到返回的重定向报文后,先解析出标识信息,再通过该识别信息在NFC上找到存储的原始重定向报文的附属信息,然后还原出附属信息。还原附属信息可以将附属信息直接复制到所述报文的原附属信息区。
通过上述方法,本发明能够彻底解决重定向带来原始重定向报文附属信息丢失的问题。
以下举一个具体实施例来说明还原附属信息过程。
实施例
步骤211:在NFC上建立附属信息缓冲池,分配好所有附属信息块,每一附属信息块对应唯一的序号,初始化所有的附属信息块。
在NFC上开辟一连续的存储空间做为附属信息缓冲池。NFC在把附属信息缓冲池划分成若干存储空间相同的附属信息块,每一附属信息块设定一唯一对应的序号。并且,NFC将所有附属信息块的状态标识置为空闲状态。
步骤212:当NFC对流经该NFC的报文进行重定向规则匹配,若所述报文匹配成功一重定向规则,则保存该重定向报文的附属信息,并将所述报文发送至指定的IAC。
NFC对匹配成功的报文,先将该报文的附属信息保存到一状态标识为空闲状态的附属信息块上,并将该附属信息块的状态标识置为已用状态。另外,在本实施例中,NFC还动态分配该报文对应的魔术字以及记录保存该附属信息时间的时间戳,将该魔术字与时间戳也保存到该附属信息块中。
随后,NFC将该附属信息块对应的序号、时间戳、魔术字塞入重定向报文中,请参阅图8,其为本实施例中附属信息块的结构示意图。
之后,NFC将所述重定向报文重定向至指定的开放应用构架的独立业务部件IAC。
并且,当附属信息块内存储的附属信息超过预设的生命期限时,将附属信息块的状态标识从已用状态置为空闲状态,允许在该附属信息块内存储新的附属信息。
步骤213:NFC接收到返回的重定向报文。
IAC接收到该重定向报文后,按照预先设定的策略决定报文是经过分析后删除还是经过分析后原封不动地返回。当IAC将报文原封不动地返回时,NFC就接收到该返回的重定向报文。
步骤214:NFC解析返回的重定向报文,从中解析出序号、时间戳、魔术字。NFC根据解析出的序号查找附属信息缓冲池中对应的附属信息块,若找不到,则丢弃报文丢弃。
步骤215:从报文中解析出的魔术字与存储在附属信息块中的魔术字进行比较,若不相同,则将报文丢弃。
魔术字不相同主要存在两种情况,第一种情况时,报文在重定向过程中被修改过,第二种情况是,当附属信息块内存储的附属信息超过预设的生命期限时,NFC将附属信息块的状态标识从已用状态置为空闲状态,若在该附属信息块内又存储新的附属信息及对应的包括魔术字在内的其它信息,在这种情况下,从返回的重定向报文中解析出来的魔术字与附属信息块中保存的魔术字是不相同的,返回的重定向报文需要进行丢弃处理。
步骤216:从报文中解析出的时间戳,然后当前接收到返回重定向报文的时间与所述时间戳进行相减,若两者之差超过指定时间间隔时,将报文丢弃。
当NFC对处理报文有时间限定或者报文本身对处理时间有限定时,可以通过上述步骤来达到该些目的。
步骤217:将附属信息块上的附属信息复制到对应的返回的重定向报文的原附属信息区,并将附属信息块的状态标志置为空闲状态。
从上述实施例可知,IAC在处理重定向过来的重定向报文时,除了原封不动返回该报文之外,还有可能将所述报文丢弃,如何能保证NFC上IAC丢弃的重定向报文的附属信息也完成丢弃工作呢。为此,NFC需要定周期检测附属信息缓冲池内所有状态标志为已用状态的附属信息块,当附属信息块中存储的附属信息已超过指定生命期限时,将该附属信息块的状态标志置为空闲状态。
借助上述流程能够还原出重定向报文的附属信息,彻底解决了重定向带来附属信息丢失的问题,后续返回的重定向报文可以继续进行处理,进而降低由此带来业务中断或受限的情况。并且,本实施例还能够提高存储空间的利用率。
为了能完成上述实施例的方案,NFC需要在硬件上进行些改进。
NFC的存储单元上开辟一连续的存储空间作为附属信息缓冲池,该附属信息缓冲池又划分成若干块附属信息块。每一附属信息块上设置用于存储附属信息的附属信息区和用于存储序号、时间戳、魔术字和状态标志的其他信息区。
对NFC的主机处理器进行软件编程,从功能上划分接收单元、处理单元和发送单元。其中,所述处理单元进一步细化为:
报文重定向前处理子单元:用于给匹配重定向规则成功的报文找到一空闲状态的附属信息块,并为该报文分配一魔术字,并将该报文的附属信息保存到附属信息块的附属信息区,以及将所述魔术字、当前保存所述报文附属信息的时间戳、序号进行保存;
重定向报文返回处理子单元:用于先从所述返回的重定向报文中解析出序号、魔术字、时间戳,随后利用所述序号找到附属信息块,随后解析出来的魔术字与附属信息块中保存的魔术字进行比较,当魔术字不相同时,丢弃所述报文,当所述魔术字相同时,进行当前接收所述返回的重定向报文的时间与附属信息块中保存的时间戳比较,超过指定时间间隔,将所述报文丢弃,否则还原原始重定向报文的附属信息;
附属信息缓冲池处理子单元:定周期检测附属信息缓冲池内所有状态标志为已用状态的附属信息块,当附属信息块中存储的附属信息已超过指定生命期限时,将该附属信息块的状态标志置为空闲状态。
特征信息也可以直接承载在重定向报文中进行重定向过程。当NFC接收到返回的重定向报文时,直接从报文中解析出特征信息。为此,本发明还公开了一种还原重定向报文特征信息的方法,用于还原开放应用架构中重定向报文的特征信息。请参阅图9,其为本发明另一种还原重定向报文特征信息的方法的流程图。它包括:
S210开放应用构架的网络转发部件NFC将所述重定向报文重定向至开放应用构架的独立业务部件IAC,所述重定向报文的报文头中承载特征信息;
S220NFC接收由IAC返回的重定向报文,通过所述重定向报文解析出特征信息。
所述特征信息为所述重定向报文的附属信息;本方法包括:将从返回的重定向报文中解析出的所述附属信息复制到所述报文的附属信息区。
当特征信息非常少时,可以直接将特征信息塞入报文的头部。比如,以太网头部源MAC、目的MAC有12个字节,当特征信息少于等于12个字节时,可以直接将其塞入该些字段中。当然,也可以将特征信息塞入报文头部与IP头之间,存储该些特征信息。事实上,只需要IAC与NFC之间协商好放置特征信息的位置即可。
当特征信息较少时,将特征信息直接塞入报文的头部或以太网报文头与IP头之间,可以降低重定向带来特征信息丢失的风险。
以上公开的仅为本发明的几个具体实施例,但本发明并非局限于此,任何本领域的技术人员能思之的变化,都应落在本发明的保护范围内。
Claims (12)
1、一种还原重定向报文特征信息的方法,用于还原开放应用架构中重定向报文的特征信息,其特征在于,包括:
(1)开放应用构架的网络转发部件NFC对流经本部件的报文进行重定向规则的匹配,存储匹配成功的重定向报文的特征信息;
(2)NFC将所述重定向报文重定向至指定的开放应用构架的独立业务部件IAC,所述重定向报文中承载用于在重定向报文返回时NFC上找到原始重定向报文特征信息的标识信息;
(3)NFC接收由IAC返回的重定向报文,依据重定向报文中承载的所述标识信息还原所述原始重定向报文的特征信息。
2、如权利要求1所述的方法,其特征在于,所述特征信息为所述重定向报文的附属信息;
步骤(2)和步骤(3)中的标识信息为能够在NFC上找到所述附属信息的识别信息。
3、如权利要求2所述的方法,其特征在于,步骤(3)依据重定向报文中承载的所述识别信息还原所述附属信息包括:
依据所述识别信息找到预先存储在NFC上原始重定向报文的附属信息;
将所述附属信息复制到所述返回的重定向报文的附属信息区。
4、如权利要求2所述的方法,其特征在于,
步骤(2)还包括:所述重定向报文中还承载用于校验所述报文是否进行修改的校验信息;
步骤(3)还包括:从所述返回的重定向报文中解析出校验信息,校验所述报文是否进行过修改,若未通过校验,则丢弃所述报文。
5、如权利要求4所述的方法,其特征在于,
步骤(2)中所述校验信息为魔术字;
步骤(3)中校验所述报文是否由IAC进行过修改进一步为:比较报文中获得的魔术字与预先保存的本附属信息对应的魔术字,若相同,则通过校验,否则未通过校验。
6、如权利要求2或4所述的方法,其特征在于,
步骤(2)还包括:所述重定向报文中还承载表明NFC保存所述附属信息保存时间的时间戳;
步骤(3)还包括:NFC从所述返回的重定向报文中解析出时间戳,NFC接收到所述返回重定向报文的时间与所述时间戳之差若超过预设的指定时间间隔,则丢弃所述报文。
7、如权利要求2所述的方法,其特征在于,
步骤(1)中存储所述重定向报文的附属信息进一步包括:
预先建立附属信息缓冲池,在所述附属信息缓冲池中分配好附属信息块,为每一附属信息块分配一用于能够找到所述附属信息块的序号;
当NFC接收重定向报文时,将重定向报文的附属信息存储在一状态标志为空闲状态的附属信息块上,并将所述附属信息块的状态标志置为已用状态;
步骤(2)中的所述识别信息为所述附属信息块对应的序号。
8、如权利要求7所述的方法,其特征在于,还包括:
NFC事件触发式或定周期检测所述已用状态的附属信息块;
当附属信息块内存储的附属信息已超过预设的生命期限,则将所述附属信息块设置为空闲状态。
9、一种应用上述方法的网络转发部件NFC,用于还原开放应用架构中重定向报文的特征信息,其特征在于,所述NFC包括第一处理器、若干收发单元,其中:
所述收发单元,用于接收报文和发送报文,其中还包括用于建立与独立业务部件IAC进行重定向报文通信的第一重定向收发单元;
第一处理器进一步包括:
接收单元:用于接收收发单元发送的报文;
处理单元:用于对流经本部件的报文进行重定向规则的匹配,并将匹配成功的重定向报文发送至指定IAC,以及给返回的重定向报文还原出其特征信息;
发送单元:用于发送报文至收发单元。
10、一种应用上述方法的独立业务部件IAC,用于还原开放应用架构中重定向报文的特征信息,其特征在于,所述IAC包括第二处理器和第二重定向收发单元,其中,
第二重定向收发单元,用于建立与网络转发部件NFC进行重定向报文通信;
第二处理器:用于按照预先设定的策略决定报文是经过分析后删除还是经过分析后原封不动地返回。
11、一种还原重定向报文特征信息的方法,用于还原开放应用架构中重定向报文的特征信息,其特征在于,包括:
(1)开放应用构架的网络转发部件NFC将所述重定向报文重定向至开放应用构架的独立业务部件IAC,所述重定向报文中承载特征信息;
(2)NFC接收由IAC返回的重定向报文,从所述返回的重定向报文中解析出特征信息。
12、如权利要求11所述的方法,其特征在于,所述特征信息为所述重定向报文的附属信息;
本方法还包括:将解析出的所述附属信息复制到所述返回的重定向报文的附属信息区。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006101376173A CN100550844C (zh) | 2006-10-31 | 2006-10-31 | 还原重定向报文特征信息的方法 |
| US12/442,838 US9083565B2 (en) | 2006-09-25 | 2007-05-09 | Network apparatus and method for communication between different components |
| EP07721096.1A EP2068498B1 (en) | 2006-09-25 | 2007-05-09 | Method and network device for communicating between different components |
| PCT/CN2007/001523 WO2008037159A1 (fr) | 2006-09-25 | 2007-05-09 | Procédé et dispositif de réseau pour communiquer entre différents composants |
| US14/731,222 US9602391B2 (en) | 2006-09-25 | 2015-06-04 | Network apparatus and method for communication between different components |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2006101376173A CN100550844C (zh) | 2006-10-31 | 2006-10-31 | 还原重定向报文特征信息的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1956415A true CN1956415A (zh) | 2007-05-02 |
| CN100550844C CN100550844C (zh) | 2009-10-14 |
Family
ID=38063519
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2006101376173A Active CN100550844C (zh) | 2006-09-25 | 2006-10-31 | 还原重定向报文特征信息的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100550844C (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252523B (zh) * | 2008-04-18 | 2011-07-20 | 杭州华三通信技术有限公司 | 报文重定向方法、还原重定向报文特征信息的方法及装置 |
| CN101453466B (zh) * | 2007-12-05 | 2011-12-28 | 华为技术有限公司 | 网络承载重定向方法、装置及系统 |
| CN104506548A (zh) * | 2014-12-31 | 2015-04-08 | 北京天融信科技有限公司 | 一种数据包重定向装置、虚拟机安全保护方法及系统 |
| US9385886B2 (en) | 2011-07-06 | 2016-07-05 | Huawei Technologies Co., Ltd. | Method for processing a packet and related device |
-
2006
- 2006-10-31 CN CNB2006101376173A patent/CN100550844C/zh active Active
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101453466B (zh) * | 2007-12-05 | 2011-12-28 | 华为技术有限公司 | 网络承载重定向方法、装置及系统 |
| CN101252523B (zh) * | 2008-04-18 | 2011-07-20 | 杭州华三通信技术有限公司 | 报文重定向方法、还原重定向报文特征信息的方法及装置 |
| US9385886B2 (en) | 2011-07-06 | 2016-07-05 | Huawei Technologies Co., Ltd. | Method for processing a packet and related device |
| CN104506548A (zh) * | 2014-12-31 | 2015-04-08 | 北京天融信科技有限公司 | 一种数据包重定向装置、虚拟机安全保护方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100550844C (zh) | 2009-10-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1310467C (zh) | 基于端口的网络访问控制方法 | |
| CN1851657A (zh) | 一种双机备份实现方法及系统 | |
| CN1929472A (zh) | 数据网络中管理数据传输的方法、系统、信号及介质 | |
| CN1805363A (zh) | 网络隔离与信息交换模块的大规模并行处理装置及方法 | |
| CN1921457A (zh) | 一种网络设备和基于多核处理器的报文转发方法 | |
| Bollapragada et al. | Inside cisco ios software architecture | |
| CN101047714A (zh) | 一种处理网络数据的方法及系统 | |
| CN101060498A (zh) | 实现网关Mac绑定的方法、组件、网关和二层交换机 | |
| CN101069170A (zh) | 数据包队列、调度和排序 | |
| CN1567808A (zh) | 一种网络安全装置及其实现方法 | |
| KR20080021677A (ko) | 데이터 프로세싱 시스템 | |
| CN1856163A (zh) | 一种具有会话边界控制器的通信系统及其传输信令的方法 | |
| CN101060485A (zh) | 拓扑改变报文的处理方法和处理装置 | |
| CN101056275A (zh) | 一种即时通讯系统中对群组消息接收方式的设置方法 | |
| CN1744563A (zh) | 在以太网交换机上实现策略路由的方法 | |
| CN1946061A (zh) | 一种快速处理报文的方法及装置 | |
| CN1946060A (zh) | 实现重定向报文正确转发的方法及第一部件、第二部件 | |
| CN1494274A (zh) | 基于网络处理器实现ip报文分片重组的方法 | |
| CN1742469A (zh) | 用于在存储区域网之间传输数据的方法和设备 | |
| CN1852261A (zh) | 维护邻居表项的方法 | |
| CN1921491A (zh) | 防范利用地址解析协议进行网络攻击的方法及设备 | |
| CN1956415A (zh) | 还原重定向报文特征信息的方法 | |
| CN1839591A (zh) | 用于丢弃缓冲器中对应于同一分组的所有段的方法 | |
| CN1722663A (zh) | 一种代理服务器系统及其实现代理通讯的方法 | |
| CN100379205C (zh) | 交换机加速arp表项老化的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |