CN1980135A - 建立第一部件和第二部件通信的方法以及部件 - Google Patents
建立第一部件和第二部件通信的方法以及部件 Download PDFInfo
- Publication number
- CN1980135A CN1980135A CNA2006101386194A CN200610138619A CN1980135A CN 1980135 A CN1980135 A CN 1980135A CN A2006101386194 A CNA2006101386194 A CN A2006101386194A CN 200610138619 A CN200610138619 A CN 200610138619A CN 1980135 A CN1980135 A CN 1980135A
- Authority
- CN
- China
- Prior art keywords
- nfc
- iac
- message
- interface
- mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种建立第一部件和第二部件通信的方法,用于建立网络转发部件NFC和各个独立业务部件IAC之间的通信,包括:在NFC和IAC分别设定主机模式、镜像模式、重定向模式和穿透模式的一种或几种:在通信过程中,从NFC和IAC上共同支持的工作模式中选择或重新选择其中之一或几种组合来进行两者之间通信。
Description
技术领域
本发明涉及网络领域的两个部件之间进行通信的方法,尤其涉及OAA(Open Application Architecture,开放应用架构)中NFC(NetworkForwarding Component,网络转发部件)和IAC(Independent ApplicationComponent,独立业务部件)之间相应通信的方法以及OAA。
背景技术
随着网络业务的迅猛发展与逐步细化,传统的网络设备在处理这些业务时变得不再得心应手。比如,要求设备既能做数据转发又能接入语音、要求设备既能完成负载分担又能进行内容安全过滤。此时,一家独立的技术厂家是很难同时提供给用户所要求的所有服务。为此,用户通常需要购买多个厂家的设备,并将该些设备连接在一起。这样不仅互通性经常出现问题、设备间配合更是不容易协商,而且也给设备的管理和维护带来成本上的负担。
以交换设备(所述交换设备包括交换机与路由器)为例,目前根据网络中的位置与作用,交换设备通常分为中低端交换设备与核心交换设备。中低端交换设备的主要功能是汇集和进行业务管理,核心交换设备的主要功能是快速转发,使得数据包尽可能快速地通过IP骨干网。中低端交换设备一般处于网络的边缘位置,实现方案为一般的单处理器(CPU)的集中式交换设备。由于集中式交换设备有较好的价格成本优势,所以得到较为广泛的应用。集中式交换设备可以依靠内部功能简单的单一处理器来实现交换功能,但是,面对日益丰富的业务特性要求,如IPSec(IP Security协议)、IPS(Intrusion Protect System入侵防御系统)、语音和无线等,集中式交换设备已不能满足该些业务的需求。
为此,本申请人考虑是否可以将完成各种业务功能的自带有处理器(CPU)的智能接口板集成到交换设备中,允许智能接口板的软件或硬件由各个厂家提供,以便在交换设备上能够完成各种业务功能,从而使得设备满足各种丰富业务需求。但是,目前没有一种智能接口板与交换设备之间通用的硬件连接和两者之间通用的通信方法,能轻松地把不同厂家提供的两个部件集成在一起,在两个部件通信过程中互通性不容易出现问题,以便为用户提供更多附加值的服务。
发明内容
本发明的目的在于提供了一种建立第一部件和第二部件通信的方法,以解决现有的两个部件之间没有通用的通信方式,从而导致两个部件在通信过程中容易出现通信问题的技术问题。
本发明的另一目的在于提供了一种建立第一部件和第二部件通信的系统,以解决现有技术中两个部件之间未有通用的硬件联系方式,从而导致两个部件在通信过程中容易出现通信问题的技术问题。
为了达到本发明的上述目的,本发明建立第一部件和第二部件通信的方法,所述第一部件为网络转发部件NFC,第二部件为各个独立业务部件IAC,所述方法包括:
(1)在NFC和IAC分别设定主机模式、镜像模式、重定向模式和穿透模式的一种或几种:
所述主机模式为NFC通过转发通道进行IAC报文的转发,
所述镜像模式为NFC通过镜像通道将满足镜像条件的报文复制给IAC,同时继续完成所述报文的转发,
所述重定向模式为NFC将满足重定向条件的报文通过重定向通道重定向至IAC,当NFC接收到返回的所述报文后继续完成转发,
所述穿透模式为IAC通过穿透通道完成NFC报文的转发;
(2)NFC和每个IAC通信时,从两者共同支持的工作模式中选择其中之一或几种组合来进行通信。
步骤(2)包括:在NFC和IAC上进行配置,所述配置包括NFC和IAC分别获知与本部件连接的对端侧的接口信息和当前的工作模式。
在NFC与IAC上配置信息还包括:IAC向NFC下发包含获取规则的联动报文,所述获取规则为重定向条件或镜像条件;NFC保存所述联动报文中的获取规则。
步骤(2)还包括:IAC对来自NFC的匹配所述获取规则成功的报文进行业务处理;当NFC接收来自IAC的联动报文时,从中解析出特定报文的处理规则及其所满足的网络拓扑信息;NFC对满足上述特定处理规则关联的网络拓扑信息的报文,应用所述处理规则。
在NFC与IAC上配置信息还包括:在NFC和IAC上为内部控制接口建立内部控制通道;在从外部接口报文线路Line接收到进行IAC配置的指令后,将外部接口Line的输入从内部控制通道输出至IAC,将该内部控制通道的输入从外部接口Line输出:按照IAC内部控制通道的输入进行IAC的配置,并将配置结果自IAC内部控制通道输出至NFC进行相应配置。
本发明还包括:在NFC与每个IAC通信之前,NFC与IAC之间建立供电通道,NFC通过供电通道向IAC提供电源。
本发明还包括:所述转发通道、镜像通道、重定向通道、穿透通道是逻辑通道,通过以太网接口来实现所述些逻辑通道。
一种开放应用架构OAA,所述开放应用架构包括网络转发部件NFC、独立业务部件IAC以及NFC和IAC之间建立联系的接口连接部件ILC,其中:
NFC为路由器或交换机的主体部分,用于在其上设定主机模式、镜像模式、重定向模式和穿透模式的一种或几种;
IAC为用来提供业务服务功能的业务部件,用来在其上设定主机模式、镜像模式、重定向模式和穿透模式的一种或几种;
ILC包括NFC与IAC连接的数据通信通道。
ILC还包括与IAC连接的设置在NFC上的第一控制接口和与NFC连接的设置在IAC上的第二控制接口,所述第一控制接口和第二控制接口在物理上表现为串行接口、模拟出串行接口的以太网接口。
所述NFC包括机框和单板、或表现为能插卡的集中式交换设备,所述IAC为一单板或扣卡。
ILC还包括在NFC和IAC上设置的两者之间建立供电通道的供电接口。
与现有技术相比,本申请人经总结获知,NFC与IAC之间的通信通常仅有四种工作模式:主机模式、镜像模式、重定向模式和穿透模式。在NFC和IAC上分别设置这四种工作模式中的一种或几种,当通信时,NFC和IAC可以选择其中之一或其中几种组合来完成双方的通信。由于双方具有通用的通信方式,减少了通信问题。并且,也使得双方通信具有可扩展性。比如,NFC可以由一个厂商提供,IAC由另一个厂商提供,或者IAC上的某些软件由第三方来提供,由此做到多家厂商设备的融合集成。
并且,本发明可以通过联动的方式进行NFC和IAC之间的工作配合,另外,本发明也可以采用NFC监听IAC配置从而进行对应配置的方式,由此降低通信过程中两部件不配合的问题,进而提高了通信的可靠性。
附图说明
图1为本发明OAA框架的结构原理示意图;
图2为本发明OAA框架的结构示例图;
图3为在NFC上配置IAC的结构示例图;
图4为在NFC上配置IAC的一种处理实例流程;
图5为NFC和IAC之间联动的一实例处理流程。
具体实施方式
以下结合附图,具体说明本发明。
请参阅图1,其为本发明OAA框架的结构原理示意图。所述OAA框架是一种将不同厂商的设备集成为一个松耦合的系统。一个符合OAA的架构系统包括通过ILC(Interface Linkage Component,接口连接部件)连接的NFC和IAC。其中:
NFC是OAA的主体,负责进行报文转发,有着完整的路由器或交换机的功能,也是用户管理控制的核心。一般在OAA中表现为路由器或交换机的主体部件,包括机框和单板,也可以是一个能够插卡的集中式交换设备。NFC在其上设定主机模式、镜像模式、重定向模式和穿透模式的一种或几种。通常,NFC上预先设定四种工作模式。因为NFC有着路由器或交换机的功能,因此它本身支持主机模式和穿透模式。NFC支持镜像模式,只需要在NFC上设置接收到满足镜像条件的报文后复制一份至指定IAC即可。NFC支持重定向模式,需要在NFC上设置接收到满足重定向条件的报文后将所述报文发送至指定的IAC,以及接收到返回的报文进行后续处理。
IAC是用来提供各种应用的附加功能的业务服务主体,一般在OAA中表现为一块单板或扣卡。IAC可以根据具体的功能在其上设定支持主机模式、镜像模式、重定向模式和穿透模式的一种或几种工作模式。由于IAC上有单独的处理器,因此只需要对该处理器进行编程,即可要求IAC按照预先的设定工作。
ILC通常作为接口分别集成在NFC和IAC之上,为NFC和IAC提供报文转发和控制信息传递的路径。
现有技术是购买多家厂家的设备,并将该些设备连接在一起,来实现完成用户要求的多个功能的目的。这种方式下有多个设备连接在一起,不仅互通性经常出现问题,而且设备管理和维护的成本很高。本发明的IAC自带有处理器,能在其上提供各种应用附加功能,它表现为一块单板或扣卡,直接连接在NFC上。整个OAA框架表现为一个设备,单个设备管理和维护的成本低、容易携带,而且,该设备具有很强的扩展性。比如,用户需要在设备上增设某一功能时,用户可以直接将能实现该功能的IAC连接在NFC上,而无需增设一实现该功能的设备。
请参阅图2,其为本发明OAA框架的实例图。NFC包括第一处理器及存储单元(包括内存、闪存等),IAC包括第二处理器及存储单元(内存、闪存等),ILC包括NFC与IAC之间的数据通信通道和控制通信通道。数据通信通道用来传输业务数据,控制通信通道用于传输控制信息。图中未绘示,OAA框架中NFC与IAC之间可以设置一供电通道。NFC通过供电通道向IAC提供电源,这样,IAC就不必在单独外结电源。本发明的供电通道在物理上可以有很多的实现方式。本发明NFC与IAC上分别设置一可以互连的供电接口。所述供电接口可以采用类似USB结构,由NFC侧的电源向IAC进行供电。
在物理上,ILC的数据通信通道为第一以太网接口和第二以太网接口。所述控制通信通道为第一控制接口和第二控制接口。第一以太网接口和第一控制接口设置在NFC侧,即所述第一以太网接口和第一控制接口为NFC与IAC连接的NFC侧的接口。第二以太网接口和第二控制接口设置在IAC侧,即所述第二以太网接口和第二控制接口为NFC与IAC连接的IAC侧的接口。
第一控制接口和第二控制接口可以分别是通过一通用异步接收/发送器UART来实现的串行接口。比如,通用异步接收/发送器可以直接连接到NFC的第一处理器的局部总线上来实现第一串行接口的功能,通用异步接收/发送器直接连接在IAC的第二处理器的局部总线上来实现第二串行接口的功能。
本发明也可以通过以太网接口模拟出串行接口来实现第一控制接口和第二控制接口的目的。在第一处理器和第二处理器上预先进行编程,分别设置一适配层,它们用于将串口格式的数据和以太网报文之间的转换。比如,发送端的适配层将一个串口格式的8位串行数据填充到一以太网报文的数据区,并将本报文承载串行数据的标识填充到该以太网报文的以太网报文头。接收端的适配层将以太网报文转换为串行数据为:从以太网报文的以太网报文头是否承载所述标识来判断所述报文是否是承载串行控制数据,若是,则从以太网报文的数据区中获得一8位串行数据组成一串口格式数据。第一控制接口和第二控制接口可以分别采用一新的以太网接口来模拟串行接口,也可以复用数据通道的第一以太网接口和第二以太网接口来模拟出串行接口。
从上可知,NFC与IAC之间必须有一个以太网接口,可以设置一个异步串行接口,也可以通过以太网接口来模拟出串行接口。即,本发明可以复用进行数据通信的以太网接口,也可以是设置额外的以太网接口来模拟出串行接口。当然,本发明还可以不设置异步串行接口,在IAC上还设置一外在接口(外在接口可以是Console端口或Aux端口)。所述外在接口是指不与NFC连接的接口,该接口也可以是以太网接口,用于给IAC提供一个单独的控制台(Console)口,用户通过该外在接口完成对IAC的配置。最主要的配置工作是配置IAC端的第二以太网接口的地址(如IP地址、MAC地址等)。这样方式下,ILC可以省略第二控制接口,NFC与IAC之间通过自定义的以太网报文来传送控制信息。
综上所述,NFC与各个IAC通过上述公开的物理接口连接在一起。IAC和NFC可以由不同的厂商提供,配合在一起工作。只要NFC与IAC采用上述公开的通用物理接口方式(如一串行接口和一以太网接口)连接,就能使一个设备上集成有若干增值服务成为可能,而避免出现现有技术中为了提供若干增值服务而需要多个设备的复杂情况。
即,在一个NFC上,插入多个彼此独立的IAC,就好像一个PC机上可以插多个PCI插卡一样。一个OAA类似于一个半封闭的自治网络。这种结构实现起来非常简单,而且具有很高的扩展性。
针对上述的物理结构,本申请人考虑如何使两者之间的通信具有通用性呢?本申请人发现两个设备之间的通信方式不适用NFC与IAC这一个设备两个部件之间的通信,而PC机和PCI插卡之间通常采用PCI等总线协议进行两者的通信,同样也不适用NFC与IAC这一个设备两个部件之间的通信。那么,NFC与IAC之间如何进行通信呢?本申请人经过深思熟虑,再一步发现NFC与IAC之间采用的工作模式是固定的,它们之间通常采用主机模式、镜像模式、重定向模式和穿透模式这四种工作模式进行通信。本发明可以通过这4种模式之一或其中几种的组合来完成NFC与IAC之间的通信。以下先分别介绍NFC与IAC之间的这四种工作模式。
一、主机(Host)模式
所述主机模式为NFC通过转发通道进行IAC报文的转发。即,IAC就像网络上的一台主机,拥有自己的IP地址,作为网络末梢存在。报文都是通ILC的以太网接口转发的,在逻辑上称其为转发通道(Forwarding-Channel)。这种方式,NFC和IAC之间的耦合是最松的,NFC仅仅完成单纯的报文转发,IAC则作为数据报文的发起者和接收者,收发各种报文,NFC就是IAC的网关。
以路由器为例,NFC上设定该主机模式时,无需对NFC做改进。当IAC和NFC协商好工作在主机模式时,IAC会将其IP地址告知NFC,或通过配置将IAC的IP地址告知NFC。NFC就设定一获取规则(报文的目的IP地址为预设IAC的IP地址)及发送至哪个IAC的信息(如IAC标识)。在通信中,流经NFC的报文若满足该获取规则,就将所述报文发送至指定的IAC。由于NFC具有路由器或交换机的完整功能,针对主机模式,在逻辑上也不需要特殊处理。转发通道是逻辑通道,物理上它指传输业务数据的NFC与IAC的以太网接口。
在上述主机模式下,本发明可以进行IAC的主、从备份来提高运行的可靠性。比如,本发明可以通过为互为备份的至少两个IAC设置相同的虚拟IP地址,使得多个IAC均可处理相同业务。另外,从IAC拒绝响应NFC对虚拟IP地址的ARP(地址解析协议)请求,只由主IAC响应,保证了同一时间只有一个主IAC工作。当从IAC新当选为主IAC时,发布其自身MAC地址与虚拟IP地址对应关系的免费ARP报文,触发NFC刷新已有的ARP记录。进而,NFC根据刷新后的ARP记录,就可以将新到达所述虚拟IP地址的业务流量发送给所述新主IAC,即完成了IAC的主从切换,使新主IAC得以顺利接替原主IAC的工作。本发明也可以在互为备份IAC在具有负载分担功能的情况下能够顺利进行主、从切换。
当NFC与IAC是通过以下步骤实现在主机模式下通信的:
(一)、启动阶段
OAA设备启动后,NFC和IAC各自加电启动。NFC和IAC的启动过程和现有技术类似。比如,NFC为路由器时,一般地,它启动时,首先运行内存的ROM(只读存储器)中的程序,随后进行系统自检及引导,然后运行FLASH(闪存)中的IOS(Internetwork Operationg System,网络操作系统),寻找路由器配置,并装入DRAM中。IAC加电启动通常是运行ROM中的程序,并进行系统自检及引导等。
启动后,IAC会主动向NFC注册,说明本IAC一些属性信息,比如IAC的软件版本信息,本IAC ID(IAC标识)等。NFC收到注册信息后,记录该些信息,通过该些信息可以区别不同的IAC。并且,NFC响应该注册信息,在返回的响应注册信息中返回本NFC所支持的工作模式,所述工作模式至少包括主机模式。
(二)、配置阶段
在这个阶段,网络管理员可以分别对NFC和IAC进行配置。即,网络管理员通过上述公开的IAC的外在接口直接对IAC进行配置,通过上述未提及的NFC的用户控制接口直接对NFC进行配置。所述配置包括对NFC与IAC连接的NFC侧的接口信息(如第一以太网接口的MAC地址等)、NFC与IAC连接的IAC侧的接口信息(如第二以太网接口的MAC地址)、IAC的IP地址。NFC与IAC分别在本端保存该些配置信息。比如,NFC上可以设置一接口信息表。所述接口信息表中保存IAC标识、NFC与IAC连接的IAC侧的接口信息、NFC与IAC连接的NFC侧的接口信息、IAC的IP地址的对应关系。
本发明还公开了一种通过NFC对IAC进行配置的方法,即,网络管理员通过NFC对IAC进行配置,NFC同时也保存该IAC的IP地址。配置信息包括在配置IAC的IP地址,通过这种方式,能够避免IAC与NFC上配置的内容不一致的问题。
由于IAC通常表现为一单板或扣卡,而NFC通常表现为一路由器或交换机的主体部分,因此上述所说通过网络管理员对其进行配置,是指网络管理员通过一管理终端来配置。
连接NFC与IAC的ILC通常包括控制通信通道(即第一控制接口和第二控制接口),其物理端口表现为串行接口、模拟出串行接口的以太网接口。NFC上的第一控制接口与IAC上的第二控制接口相连接,管理终端连接NFC上的用户控制接口。用户控制接口可以是NFC的Console端口或Aux端口,也可以是管理终端通过Telnet登录至NFC上的物理端口。请参阅图3,其为本发明配置NFC与IAC的结构示意图。
当管理终端通过Console端口或Aux端口连接到在NFC上并令NFC进入配置模式时,NFC上为Console端口或Aux端口建立外部接口Line(数据流线路)。Line是对设备抽象的一种数据流通道,用来向NFC Core(内核)传递由Console端口或Aux端口输入的管理配置指令,以及将NFC Core的执行结果从Console端口或Aux端口输出。这些管理配置指令和执行结果以无帧格式字节流的形式在Line上进行传输。当管理终端以Telnet方式登录NFC时,NFC将Telnet客户端作为一种虚拟终端接口,为其建立外部接口Line,在NFC Core和Telnet客户端之间传递字节流,以完成对NFC的配置管理工作。
当OAA系统中连接NFC与IAC的内部控制接口为工作在流模式的串行接口时,类似于Console端口和Aux端口,在NFC和IAC上可以分别为本部件的内部控制接口建立内部接口Line。在NFC上将外部接口Line的输入直接输出到连接IAC的NFC内部接口Line,则IAC Core可以从连接NFC的IAC内部接口Line接收到管理终端的配置管理指令字节流;同样,IAC Core的执行结果也可以通过IAC内部接口Line、NFC内部接口Line和NFC上的外部接口Line到达管理终端,从而实现通过NFC对IAC进行配置管理。在这种管理方式中,NFC内部接口Line作为NFC上的内部控制通道进行字节流的传递。本发明所述通过NFC配置IAC的方法实施例一即采用上述实现方式。
实施例一中,在IAC一侧,为连接NFC的内部控制接口建立内部接口Line。由于内部控制接口工作在流模式,可以采用现有技术中为Console端口、Aux端口建立Line的方式建立内部接口Line。IAC按照连接NFC的IAC内部接口Line的输入进行配置操作,并且将配置操作的结果从该IAC内部接口Line输出至NFC。
本实施例中在NFC上配置IAC的处理流程如图4所示,在步骤S210,在NFC上为连接IAC的内部控制接口建立内部接口Line。
对通过多个内部控制接口连接多个IAC的NFC,执行步骤S220,在NFC上保存NFC内部接口Line与其连接的IAC的标识的对应关系。IAC标识由管理终端和NFC使用,在通过NFC配置IAC时由管理终端用来通知NFC所要配置的是哪个IAC。
IAC标识可以由用户自主设置,只要能够区分各个IAC即可。由于OAA系统中连接至同一个NFC的IAC通常位于不同的槽位(Slot),方便起见,本发明推荐采用IAC所在的Slot号作为该IAC的标识。
在步骤S230,在NFC上为用户控制接口建立外部接口Line。本实施例中的用户控制接口可以是Console端口、Aux端口或者Telnet的虚拟终端接口。本步骤与现有技术相同,不再赘述。
在步骤S240,在NFC上对外部接口Line的输入进行检测。本实施例中在NFC上预设所要检测的指令,主要是涉及启动和关闭对IAC进行配置操作的控制命令,通常包括进行IAC配置的指令和结束IAC配置的指令。本步骤中在NFC上对这些预设的控制命令进行检测,并根据这些控制命令启动或结束对某个IAC的配置。
通常情况下,外部接口Line在建立后缺省以NFC Core为输入输出端,在检测到进行IAC配置的指令前,NFC Core根据通过本步骤中检测的外部接口Line输入进行NFC的配置操作,并且将配置操作的结果从外部接口Line输出。
在步骤S250,当在NFC上外部接口Line的输入中检测到进行IAC配置的指令后,NFC从指令中解析出IAC标识,查找与该IAC标识对应的NFC内部接口Line。对此后外部接口Line的输入,在通过步骤S240中的检测后,NFC将外部接口Line的输入字节流从与该IAC标识对应的NFC内部接口Line中输出,这些字节流通过IAC为其内部控制接口建立的IAC内部接口Line到达该IAC的内核,对该IAC进行管理配置;同样,对该IAC从NFC内部接口Line返回的字节流,NFC直接将其从外部接口Line输出,到达管理终端。
NFC在逻辑上相当于将外部接口Line与连通该IAC的NFC内部接口Line短接。这样,NFC上的外部接口Line、NFC上到该IAC的NFC内部接口Line和该IAC上的IAC内部接口Line形成一条管理通道,沿着这一管理通道,管理终端即可实现通过NFC对IAC进行配置管理。
当NFC只连接一个IAC时,进行IAC配置的指令中可以不包括IAC标识,NFC在接收到进行IAC配置的指令后可以直接以外部接口Line和NFC内部接口Line互为输入输出。
在步骤S260,当在NFC上外部接口Line的输入中检测到结束IAC配置的指令后,NFC取消外部接口Line与NFC内部接口Line之间在逻辑上的短接。对此后外部接口Line的输入,在通过步骤S240中的检测后,NFC可以将外部接口Line的输入字节流输出至NFC Core,按照外部接口Line的输入进行NFC的配置,并将配置结果从外部接口Line输出。
本实施例中,步骤S210、S220、S230之间的顺序可以任意排列。另外,当NFC启动时缺省设置是外部接口Line用于配置NFC时,步骤S240通常在步骤250之前;当NFC启动时缺省设置时外部接口Line用于配置某个IAC时,步骤S240通常在步骤S250之后。
当OAA系统中连接NFC与IAC的内部控制接口为转发报文的物理端口时,可以采用反向Yelnet(Reverse Telnet)的方式通过NFC对IAC进行管理。在NFC和IAC之间建立反向Telnet连接后,可以将管理配置指令和IAC的执行结果以字节流的形式承载在反向Telnet连接上进行双向传输,实现对IAC的配置。在这种管理方式中,NFC与IAC之间的反向Telnet连接作为NFC和IAC的内部控制通道进行字节流的传递。
上述对NFC和IAC的配置过程:在NFC上外部接口Line的输入中检测对IAC进行配置的指令,在接收到该指令后以NFC的外部接口Line和连接至IAC的内部控制通道互为输入输出,使得用户只需接入到NFC即可完成对IAC的配置,不仅操作简便,而且IAC不再需要向外部提供单独的Console端口和Aux端口。当然,本发明也并不排除在IAC上向外部提供单独的Console端口和Aux端口进行配置这种实现方案。
(三)、配合工作阶段
当上述配置阶段完毕后,其配置信息已在NFC和IAC上生效。NFC对每一流经本部件的报文,进行判断报文的目的IP地址是否和需要进行主机模式的一IAC的IP地址相同,若是,则将所述报文提供至指定的IAC。即,找到该IP地址对应的IAC标识,然后再找到该IAC标识对应的IAC侧的接口信息,最后将报文发送至该接口。
二、镜像(Mirror)模式
所述镜像模式为NFC通过镜像通道将满足条件的报文复制给IAC,同时继续完成所述报文的转发。即,NFC在报文转发的过程中,根据预先设定的条件,将满足所述条件的报文复制一份给IAC,原始报文继续完成正常的转发。而IAC收到所述报文以后,按照预先的设定对所述报文进行分析和处理后,将报文丢弃或进行其它处理。这种模式下,报文也是通过ILC的以太网接口转发。但是与主机模式不同的是,这种模式下有一个逻辑的镜像通道。镜像通道是单向的,即通过此通道的数据总是从NFC流向IAC。要支持此通道,NFC需要预先对其进行设定。比如,若NFC为路由器,则在NFC的主机处理器上需要配置或IAC通过联动设定进行镜像模式的满足镜像条件的镜像条件。当流经NFC的报文满足镜像条件时,,NFC将所述报文复制一份发送至IAC,并且将所述报文完成后续的转发工作。
对IAC而言,所述镜像通道从物理上来说为一普通以太网接口。这种工作模式经常应用于IDS(入侵检测系统),即IAC相当于IDS,将IDS串在网络设备上。IDS通过该工作模式来过滤通过该网络设备(比如Lan Switch)的流量,及时发现攻击行为。
3、重定向(Redirection)模式
所述重定向模式为NFC将满足重定向条件的报文通过重定向通道重定向至IAC,IAC丢弃报文或返回报文,当NFC接收到返回的所述报文后继续完成转发。这种模式下,NFC在报文转发过程中,根据预先设定的重定向条件,将满足所述条件的报文重定向给IAC。IAC分析所述报文并处理所述报文,所述处理报文包括丢弃所述报文和将所述报文原封不动的返回。如果报文被原封不动的还给NFC,NFC则从当初中断的地方继续处理,完成后续的转发工作。这种模式下,重定向的报文也是通过ILC的以太网口转发的。这种模式多用于IPS(入侵防御系统),即IAC相当于IPS。
由于实现NFC和IAC工作在重定向模式和镜像模式的方式类似,因此本申请人将一起介绍如何实现NFC和IAC工作在重定向模式和镜像模式。
(一)启动阶段
0AA设备的启动后,NFC和IAC各自加电启动。NFC和IAC的启动过程和现有技术类似。比如,NFC为路由器时,一般地,它启动时,首先运行内存的ROM(只读存储器)中的程序,随后进行系统自检及引导,然后运行FLASH(闪存)中的IOS,寻找路由器配置,并装入DRAM中。IAC加电启动通常是运行ROM中的程序,并进行系统自检及引导等。
启动后,IAC会主动向NFC注册,说明本IAC一些属性信息,比如IAC的软件版本信息,本IAC ID(IAC标识)等。NFC收到注册信息后,记录该些信息,通过该些信息可以区别不同的IAC。并且,NFC响应该注册信息,在返回的响应注册信息中返回本NFC所支持的工作模式,所述工作模式至少包括镜像模式和/或重定向模式。
(二)、配置阶段
在这个阶段,网络管理员可以分别对NFC和IAC进行配置。即,网络管理员通过上述公开的IAC的外在接口直接对IAC进行配置,通过上述的NFC的用户控制接口直接对IAC进行配置。所述配置包括对NFC与IAC连接的NFC侧的接口信息(如第一以太网接口的MAC地址等)、NFC与IAC连接的IAC侧的接口信息(如第二以太网接口的MAC地址)、IAC的IP地址。NFC与IAC分别在本端保存该些配置信息。比如,NFC上可以设置一接口信息表。所述接口信息表中保存IAC标识、NFC与IAC连接的IAC侧的接口信息、NFC与IAC连接的NFC侧的接口信息、IAC的IP地址的对应关系。
本发明还可以使用上述公开了的通过NFC对IAC进行配置的方法来完成上述信息的配置。
并且,本发明还需要通过联动方式在NFC上设置重定向条件和镜像条件。
请参阅图5,其为OAA框架中NFC和IAC实现联动的优选实施例流程图。
步骤S310:IAC设置联动策略并向NFC发送包含所述联动策略的联动报文,每条联动策略具有唯一的策略标识。所述联动策略用于描述流经NFC报文的原始网络拓扑信息,网络拓扑信息是与报文自身特征(如报文七元组)无关的路径信息,包括但不限于流经NFC报文的原始入接口、原始出接口、原始入接口所属VLAN以及原始出接口所属VLAN中的一种或多种;此外可以包括流经NFC报文的中途变向接口,如报文被重定向或镜像到的目的接口,即NFC和IAC之间互连的接口。总之,只要可以用于限定报文、与报文自身特征无关的信息都可以作为联动策略的描述内容。
优选的,一条联动策略包括以下内容:
(1)策略标识(策略标识);
(2)原始入接口;
(3)原始出接口;
(4)被重定向/镜像到的目的接口;
策略标识是策略的唯一标记,让NFC和IAC都清楚操作的对象是谁。以IAC为IPS为例,IPS本身对网络数据而言是透明的,所以,原始入接口和原始出接口就是报文未被重定向的时候正常流经NFC的入接口和出接口;被重定向到的目的接口,则一般就是连接IAC和NFC的以太网接口。
IAC向NFC发送的联动策略,可以是一条也可以是多条,每条联动策略的策略标识是唯一的。
步骤S320:NFC从来自IAC的联动报文中解析联动策略,为每个策略标识分配对应的关联标识,并将策略标识和关联标识的对应关系汇报至IAC。由于策略标识是IAC分配的,对于NFC而言,所述策略标识可能并不适于在现有报文格式中予以携带,例如需要修改现有报文格式。因此,NFC根据其自身软硬件结构为每个策略标识分配一个对应的关联标识,并将策略标识和关联标识之间的对应关系向IAC汇报,使IAC可以根据关联标识对应出策略标识。
对于纯软件而言,可以使用VLAN标签作为关联标识;对于硬件而言,可以使用ASIC芯片的堆叠头作为关联标识。无论是VLAN标签字段还是堆叠头字段,都是现有报文格式中允许包含的字段。因此,NFC将其没有使用的VLAN标签或没有使用的堆叠头分配给策略标识,作为策略标识对应的关联标识(相对于策略标识的描述内容)。
步骤S330:IAC设置获取规则,向NFC发送包含所述获取规则的联动报文。所述获取规则与步骤S310中设置的联动策略相关联,因此所述联动报文中还包括获取规则关联的联动策略的策略标识。向NFC发送的获取规则可以是一条也可以是多条。IAC设置需要从NFC获取报文的获取规则,所述获取规则包括报文特征和获取动作。优选的,所述报文特征为报文的报文自身特征,可以但不限于:源MAC、目的MAC、VLAN范围、802.1q的优先级、源IP地址+掩码、目的IP地址+掩码、IP协议号、源端口范围、目的端口范围、IP优先级、IP分片标记等中一种或几种组合;所述获取动作包括但不限于重定向或镜像,总而言之,是指示NFC向IAC提供报文。
步骤S340:NFC从来自IAC的联动报文中解析获取规则及其关联的策略标识。由于NFC在步骤S320中已经解析出联动策略及其策略标识,因此在本步骤NFC解析出获取规则关联的策略标识后,即可知道所述获取规则关联的是哪个/哪些联动策略。进一步,由于联动策略描述的是报文流经NFC的原始网络拓扑信息,因此,NFC就可以知道获取规则针对的是具有哪些网络拓扑信息的报文。
(三)配合工作阶段
当NFC和IAC的配置内容和联动策略、获取规则都已生效时,NFC与IAC按照预先配置好的工作模式进行通信。
步骤S350:NFC根据获取规则及其关联的联动策略,对流经报文进行匹配。由于IAC向NFC指出了获取规则关联的联动策略,因此NFC不必在所有流经报文中查找满足获取规则的报文,只需在满足联动策略描述的网络拓扑信息的报文中进行查找即可,由此加快了NFC进行规则匹配的效率。为了说明更清楚,下面举个具体获取规则及其关联的联动策略例子加以说明。
假设IAC向NFC发送了一条获取规则(内容不予详述)及其关联的策略标识2,即NFC从联动报文中解析出一条获取规则,其关联的策略标识为2。NFC根据步骤S320中已经解析出的各种策略记录可知,策略标识为2的联动策略描述的网络拓扑信息是:原始入接口为以太网接口2,原始出接口为以太网接口4,重定向接口为以太网接口1(即IAC和NFC之间的以太网接口)。
进而,NFC只需在来自以太网接口2的报文中查找匹配所述获取规则的报文。优选的,将根据获取规则中报文特征(如五元组)制定的ACL规则下发到以太网接口2,而对于其他以太网接口并不下发该ACL规则。由此可见,由于IAC告知NFC获取规则关联的联动策略,使得NFC在根据获取规则对报文进行匹配时,针对性更强,只在一个较小范围内(如入接口为以太网接口2)进行规则匹配,即可找出满足所述获取规则的报文。
需要说明,联动策略中的原始入接口或出接口也可以没有,没有入接口,则表示对所有从指定出接口出的报文做匹配;没有出接口,则表示对所有从指定入接口入的报文做匹配;如果都没有,则表示对所有流经NFC的报文做匹配,即在所有流经NFC的报文中查找匹配获取规则的报文。
步骤S360:NFC在匹配成功获取规则的报文中承载其关联的联动策略对应的关联标识,然后按照获取规则规定的获取动作(如重定向或镜像)提供给IAC。步骤S320中提过,NFC在解析出IAC设置的策略标识后,为其分配对应的关联标识,因此一个策略标识对应于一个关联标识;而获取规则又关联于特定的联动策略,因此可以使用关联标识描述策略标识,以向IAC表明所述报文流经NFC的原始网络拓扑信息。
步骤S370:IAC根据来自NFC的报文中的关联标识,获知所述报文流经NFC的原始网络拓扑信息。对于IAC而言,在步骤S320中NFC已经将策略标识和关联标识的对应关系上报给IAC,因此IAC完全可以根据来自NFC报文中承载的关联标识,获知对应的策略标识;进一步,IAC就可以知道来自NFC的报文匹配的获取规则关联于哪条联动策略;再进一步,即可知道所述报文的原始网络拓扑信息。
对于IAC而言,能够获知来自NFC报文的原始网络拓扑信息,如流经NFC的原始入接口、原始出接口以及原始入接口所属VLANN、原始出接口所属VLAN,即相当于可以识别出不同的报文,进而能够得出有针对性的业务分析统计。如果不能获知报文的原始网络拓扑信息,那么所有来自NFC的报文对于IAC而言是不能加以区分的,只是知道这些报文都来自NFC,但不知道报文流经NFC的原始拓扑信息。
步骤S380:IAC对来自NFC的报文进行业务分析,根据所述分析结果向NFC发送包含特定报文处置规则的联动报文,并指明所述处置规则关联的策略标识。IAC下发给NFC的特定报文处置规则可以是一条也可以是多条。
如果IAC实现的是IPS业务或IDS业务,IAC通常会对来自NFC的报文进行业务分析,最为常见的分析其中是否存在攻击报文。当IAC分析出具有某种报文特征的报文是攻击报文后,就会设置相应的特定报文处置规则,所述特定报文处置规则通常包括特定报文特征和希望NFC执行的对应处置动作。例如,当所述处置规则中特定报文特征描述的是攻击报文特征,那么对应的处置动作通常是“拒绝”;反之,当处置规则中特定报文特征描述的是合法报文特征,那么对应的处置动作通常是“允许”;此外,所述处置动作还可以是“限速”。需要说明,所述处置动作包括但不限于“拒绝”、“允许”,及“限速”。此外,IAC也可以对已经分析识别出的攻击报文直接删除。
前述提过IAC可以根据报文中的关联标识,获知所述报文的原始网络拓扑信息。此时,结合本步骤的业务分析,IAC就可以得出非常细化的分析结果,例如,分析发现许多攻击报文都对应于同一条联动策略,如果该条联动策略描述的原始入接口为以太网接口3,那么IAC就可以得出从NFC以太网接口3进入的报文存在较大攻击性,进而有利于网络管理人员有针对性的解决问题。
此外,由于IAC可以根据报文中的关联标识,知道来自NFC的攻击报文对应的联动策略,因此优选的,将据此攻击报文设置的特定报文处置规则仍然和原始联动策略相关联。例如,IAC对来自NFC的报文进行业务分析后,发现具有某一报文特征的报文是攻击报文,所述报文中的关联标识对应于联动策略3。于是,IAC就以此攻击报文的报文特征为基础设置一条特定报文处置规则,该特定报文处置规则中的报文特征是上述攻击报文的报文特征,“拒绝”作为对应的处置动作。进一步,将所述特定报文获取规则和联动策略3相关联,即在向NFC发送的包含特定报文处置规则的联动报文中,指出所述处置规则对应的联动策略3的策略标识,所示联动策略3的策略标识,用以向NFC表明所述特定报文处置规则的具体应用对象。
步骤S390:NFC从来自IAC的联动报文中解析特定报文处置规则及其关联的策略标识,并据此对流经报文进行处理。NFC根据策略标识即可知道所述特定报文处置规则关联的联动策略,以及策略中描述的网络拓扑信息。
与前述NFC处理获取规则的步骤类似,NFC并无需对所有流经报文应用所述特定报文处置规则处理,而是只需对满足联动策略描述的网络拓扑信息的报文应用上述处理规则。具体而言,NFC在满足上述网络拓扑信息的报文中进行特定报文处置规则匹配,从中找到匹配成功的数流流,然后根据特定报文处置规则规定的处置动作予以处理,如“拒绝”、“允许”及“限速”等。
由此可见,采用将特定报文处置规则与联动策略相关联的技术,使得NFC查找匹配特定报文处置规则报文的对象范围大大缩小,例如可能只针对从某个以太网接口进入的报文进行查找,或者只是针对原始出接口为某个以太网接口的报文进行查找,具体可以参考前述NFC对获取规则的相关处理。
步骤S410:IAC将来自NFC的全部或部分报文返回至NFC,被返报文中保留关联标识,所述关联标识用于NFC还原报文原始网络拓扑信息。
步骤S420:NFC接收被IAC返回的报文(即回流报文),并根据所述报文中的关联标识还原报文原始网络拓扑信息。NFC按照所述报文的原始网络拓扑信息,将所述回流报文沿着原始路径流动。
在某些模式下,如IAC工作于重定向模式时,IAC需要将来自NFC的报文全部或部分返回至NFC,使得这些报文在NFC中能够继续沿着原始路径流动。本领域技术人员知道,如果要使得回流至NFC的报文能够沿着原始路径流动,至少需要知道报文的原始出接口,由于原始出接口是与报文自身特征无关的信息(即属于网络拓扑信息),因此NFC无法从回流报文中直接得到。
但是,NFC可以根据回流报文中承载的关联标识找到对应的策略标识,即联动策略。联动策略描述的内容就是所述报文的原始网络拓扑信息,于是,NFC就可以还原出回流报文的原始网络拓扑信息,进而根据所述原始网络拓扑信息就能将回流报文沿着原始路径(如重定向之前的路径)流动(如转发)。
以上通过一个优选实施例较为详尽的介绍了本发明联动的技术方案。由于以上实施例仅是本发明的优选实施例,其中许多步骤还有替代技术方案。此外,就本发明解决的最基本问题而言,上述优选实施例中的某些步骤在一定环境下也可以省略。下面针对其中的重要几点进行说明:
(1)在一些简单的应用环境中,IAC向NFC发送的联动策略和获取规则或特定报文处置规则可以合一,即一并通过联动报文下发至NFC,这样可以减少通讯次数。以联动策略和获取规则为例,可以将IAC设置的各条联动策略以及每条联动策略关联的各条获取规则,一并下发给NFC。获取规则和特定报文处置规则可以看作都属于联动规则,也可以混合下发。只要告知NFC联动策略和联动规则的关联关系,即可以缩小NFC查找匹配联动规则报文的报文范围,从而提高NFC匹配联动规则的效率。
(2)获取规则包含的内容既可以如上述优选实施例中所述:包括报文特征和获取动作,也可以包括非报文特征和获取动作。例如,获取规则包括的报文特征是原始入接口为以太网接口2、原始出接口为以太网接口3,于是NFC就会将原始入接口为以太网接口2,原始出接口为以太网接口3的报文提供给IAC。此外,无论获取规则描述的报文特征是报文特征还是非报文特征,即使没有后续联动策略的相关技术特征,也只需在IAC上单独设置即可实现IAC和NFC的最基本联动,解决了现有需要在IAC和NFC分别进行协同配置导致操作不变的技术问题。两个独立系统之间最基本的联动是指,一个独立系统(客户端)从另外一个独立系统获取其想要的报文,或者说一个独立系统(服务器端)在另一个独立系统的指示下,将所述另一个独立系统想要的报文提供给它。
(3)优选实施例中NFC为IAC设置的策略标识分配对应一一对应的关联标识,并将两者之间的对应关系上报给IAC,进而在匹配获取规则的报文中承载关联标识,来向IAC表明所述报文匹配规则对应的联动策略。在实际应用中,NFC也可以不执行关联标识的相关动作,而是在匹配获取规则的报文中直接承载策略标识。总而言之,只要NFC在匹配获取规则的报文中指明了其匹配获取规则关联的联动策略,如在报文中包含策略标识的描述内容(策略标识或其对应的关联标识或其他均可),IAC就可以识别出不同报文,获知所述报文流经NFC的原始网络拓扑信息,同理,NFC也可以据此还原出回流报文的原始网络拓扑信息。无论是在报文中直接承载IAC设置的策略标识,还是在报文中承载NFC分配的关联标识,具体的承载方式多种多样,可以在报文现有格式中添加一个专门字段,也可以利用现有报文格式中的已有字段,比如VLAN标签字段。
举个例子,某条联动策略的策略标识是10,NFC根据其自身目前的资源利用情况分配策略标识10对应的关联标识是VLAN20。通常而言,NFC会将其目前并没有使用的信息作为关联标识,比如NFC发现VLAN标签15-25没有被使用,那么就会将VLAN标签15-25作为关联标识,以代表相应的策略标识。于是NFC在报文中VLAN标签字段承载所述关联标识20。当IAC接收到VLAN标签字段为20的报文时,就知道该报文对应的策略标识是10。
(4)IAC并不是在所有情况下都将NFC提供来的报文返回,例如当IAC工作于镜像模式下,即NFC采用镜像方式向IAC提供报文,通常IAC不会再将镜像过来的报文返回至NFC。此外,IAC在通过重定向方式从NFC获取报文后,经过分析删除非法数据报文,然后将合法报文返回至NFC,由此回流至NFC的报文基本都是合法报文。如此反复处理,IAC相当于已经过虑掉了非法数据,其就无需再向NFC下发特定报文处置规则。当然,IAC也可以把已经识别出的非法数据过滤工作交给NFC完成,即IAC将特定报文处置规则下发给NFC,有NFC完成非法数据的过滤。
(5)IAC向NFC下发获取规则的步骤,与NFC向IAC汇报策略标识和关联标识对应关系的步骤并无必然的先后顺序。IAC对来自NFC的报文业务分析步骤,与IAC根据报文中的关联标识获知其原始网络拓扑信息步骤,也没有必然的先后顺序。
此外,对于NFC和IAC之间的具体通信协议,既可以借鉴现有SNMP协议(MIB),也完全可以采用自己定义的一套私有通信协议。以SNMP协议为例,现有SNMP定义了5种报文:(1)get-request操作:从代理进程处提取一个或多个参数值。(2)get-next-request操作:从代理进程处提取一个或多个参数值的下一个参数值。(3)set-request操作:设置代理进程的一个或多个参数值。(4)get-response操作:返回的一个或多个参数值。这个操作是由代理进程发出的,是3)中操作的响应操作。(5)trap操作:代理进程主动发出的报文,通知管理进程有某些事情发生。结合本发明技术方案,IAC向NFC设置联动策略以及联动规则的步骤可以采用set-request报文;IAC向NFC获取关联标识的步骤,可以采用get-request操作,相应的,NFC给IAC返回策略标识和关联标识对应关系的步骤可以采用get-response操作等等。MIB作为管理信息库,其NFC所有可被查询和修改的参数。应该意识到,IAC和NFC进行信息交互时采用的通信协议并不是本发明关心的实质内容,适用于本发明技术方案的通信协议有多种,此处仅以SNMP为例进行了简要说明。
另外需要说明的是,在重定向或镜像模式下,IAC也可以进行主、从备份,从而提高通信的安全性和可靠性。一旦互为备份IAC发生主从切换,对于新当选的主IAC而言,更新原主IAC已下发至NFC联动策略中的变向目的接口为自己与NFC的交互接口,进而使得NFC可以将报文提供给新主IAC,由新主IAC为其提供后续服务,保证了IAC与NFC之间的联动不会受到IAC主从切换的影响,达到了较好的备份效果。本发明也可以使得互为备份IAC在基于联动策略组进行负载分担的情况下仍然能够顺利进行主、从切换。
四、穿透(Pass-Through)模式
所述穿透模式为IAC通过穿透通道完成NFC报文的转发。在这种模式下,IAC没有配置IP地址,并且IAC一定有外在的以太网口,数据从这个以太网口流入,穿过IAC,经过ILC的以太网口到达NFC,或者反方向。在NFC看来,外部数据像是直接到达了ILC的以太网口,IAC似乎根本不存在一样。当然,流量通过的时候,IAC还是会做相关的记录分析,必要的时候,IAC还会报文会做一定的修改以完成相关的功能。在这种模式下,数据也是通过ILC的以太网口转发的,将此通道称为穿透通道。穿透通道对地NFC而言,和普通的以太网接口上的处理方式没有什么区别,在逻辑上也不需要特殊处理,而对于IAC而言,穿透通道表现为一个二层的以太网口,而转发通道表现为三层的以太网口。
以下介绍IAC和NFC如何实现穿透模式。
(一)启动阶段
该阶段于上述公开的启动阶段类似,在此就不再赘述。
(二)配置阶段
在这个阶段,网络管理员可以分别对NFC和IAC进行配置或通过NFC配置IAC的方式进行NFC和IAC的配置。所述配置包括对NFC与IAC连接的NFC侧的接口信息(如第一以太网接口的MAC地址等)、NFC与IAC连接的IAC侧的接口信息(如第二以太网接口的MAC地址)、NFC的IP地址。即包括NFC和IAC上分别配置与部件连接的对端侧的接口信息。另外,NFC与IAC上还需要配置当前采用的工作模式。
(三)配合工作阶段
当上述配置阶段完毕后,其配置信息已在NFC和IAC上生效。
IAC对每一流经本部件的报文,进行判断报文的目的IP地址是否和NFC的IP地址相同,若是,则将所述报文提供至NFC。若不是,则按预先的配置将报文丢弃或进行其他处理。
通常,在NFC上会设定上述4种模式,在IAC上设定其中之一或其中几种组合。当NFC和IAC进行通信之初,可以从约定的工作模式中选择其中之一或几种组合来进行两者之间的通信。所述约定的工作模式是指NFC和IAC同时支持的工作模式。当然,在NFC上也可以设定4种模式中的一种或几种,在IAC上也设置其中之一或其中几种组合,当NFC和IAC进行通信时,可以从双方共同支持的工作模式中选择其中之一或其中几种的组合进行双方的通信。并且,在双方的通信过程中,可以修改其双方通信的工作模式,即从共同支持的工作模式中选择另外的一种或其它组合来进行双方的通信。
转发通道、镜像通道、穿透通道和重定向通道都是逻辑通道。它们是按照工作方式来划分的,事实上,它们在物理上表现为独立的以太网接口,也可以是复用的以太网接口。
以下就具体介绍建立网络转发部件NFC和各个独立业务部件IAC之间的通信,它包括:
一、启动阶段
OAA设备启动后,NFC和IAC各自加电启动。NFC和IAC的启动过程和现有技术类似。比如,NFC为路由器时,一般地,它启动时,首先运行内存的ROM(只读存储器)中的程序,随后进行系统自检及引导,然后运行FLASH(闪存)中的IOS,并在NVRAM中寻找路由器配置,并装入DRAM中。IAC加电启动通常是运行ROM中的程序,并进行系统自检及引导等。
通常,生产厂家在生产NFC和IAC时预先设定其支持的工作模式。
启动后,IAC会主动向NFC注册,说明本IAC一些属性信息,比如IAC的软件版本信息,本IAC的ID等。NFC收到注册信息后,记录该些信息,通过该些信息可以区别不同的IAC。并且,NFC响应该注册信息,在返回的响应注册信息中返回本NFC所支持的工作模式。比如,NFC在返回的响应注册信息中指明NFC支持4种工作模式。
二、配置联动阶段
在这个阶段,网络管理员可以分别对NFC和IAC进行配置。即,网络管理员通过上述公开的IAC的外在接口直接对IAC进行配置,通过上述的NFC的用户控制接口直接对IAC进行配置。所述配置包括对NFC与IAC连接的NFC侧的接口信息(如第一以太网接口的MAC地址等)、NFC与IAC连接的IAC侧的接口信息(如第二以太网接口的MAC地址)、IAC的IP地址。NFC与IAC分别在本端保存该些配置信息。比如,NFC上可以设置一接口信息表。所述接口信息表中保存IAC标识、NFC与IAC连接的IAC侧的接口信息、NFC与IAC连接的NFC侧的接口信息、IAC的IP地址的对应关系。
本发明还可以使用上述公开了的通过NFC对IAC进行配置的方法来完成上述信息的配置。
并且,若本发明支持重定向和镜像模式,还需要通过上述公开的联动方式在NFC上设置重定向条件和镜像条件。当然,重定向条件和镜像条件也可以是网络管理员分别配置到NFC和IAC之上。
三、NFC和IAC配合工作阶段
NFC和IAC上的配置都已生效,双方按照预先设定的方式来配合工作。当前工作模式为主机模式,NFC从流经本部件的报文中找到目的IP地址是和IAC的IP地址相同的报文,提供至指定的IAC,当前工作模式为镜像模式或重定向模式工作模式时,NFC从流经本部件的报文中找到匹配所述获取规则成功的报文提供到指定的IAC,以及当前工作模式为穿透模式时,IAC从流经本部件的报文中找到目的IP地址是和IAC的IP地址相同的报文,提供至NFC。
第二阶段和第三阶段可以反复进行,也可以混合在一起工作。比如,NFC与三个IAC连接,NFC和第一个IAC工作在主机模式,和第二个IAC工作在重定向模式,和第三个IAC工作在镜像模式。当NFC和第二个IAC之间需要增设联动策略和获取规则时,通过第二阶段的联动配置过程在第二个IAC和NFC上设置对应获取规则及关联的联动策略,配置完毕后,NFC对流经本部件的报文进行匹配,匹配成功的报文进行重定向操作。再比如,第二个IAC通过联动向NFC下发镜像条件以及指明当前的工作模式为镜像模式,NFC与第二IAC就可工作在镜像模式。
通过上述的流程可知,NFC和与之相连的各个IAC的通信过程都是独立的。NFC与每个IAC的第二阶段的配置、第三阶段的配合工作都是可以反复进行的。
基于上述公开的NFC与IAC之间配合工作过程,以下还举一个配合工作过程的实施例。
例如,一块IPS业务板,需要对特定的数据报文做过滤,IAC与NFC之间的配合模式描述如下:
l、NFC与IAC各自启动,NFC所述启动包括运行内存的ROM(只读存储器)中的程序,随后进行系统自检及引导,然后运行FLASH(闪存)中的IOS,并在NVRAM中寻找路由器配置,并装入DRAM中。IAC加电启动通常是运行ROM中的程序,并进行系统自检及引导等。
2、IAC向NFC注册,说明本IAC的基本情况,如IAC采用的软件版本、IAC的ID等。
3、NFC收到注册后,保存该些信息。NFC向IAC回应响应,说明NFC支持4种工作模式,并告知IAC连接接口ILC在NFC这一侧的接口名以及对应的板号或槽号。
4、IAC通过配置或通过其它方式获知IAC的IP地址。另外,NFC通过联动或通过配置获得IAC的IP地址,以及IAC与NFC连接的在IAC侧的接口名及对应的板号或槽号。
5、IAC根据网络管理员的配置,通过联动MIB向NFC下发重定向条件,所述规则中包括需要满足哪些特定要求的报文重定向至该IAC;
6、NFC通过接收到的重定向条件,记录所述重定向条件;
7、当有满足对应重定向条件的报文被NFC接收后,就会被重定向至IAC;
8、IAC对这些报文进行过滤,过滤的条件预先配置好的,通过过滤条件的报文进行过滤,未通过过滤条件的报文原封不动返回;
9、NFC收到返回的数据报文后,继续完成原先的转发动作。
通过本发明,可以完成NFC与IAC灵活地集成在一起,为用户提供各种增值服务。
以上公开的仅为本发明的几个具体实施例,但本发明并非局限于此,任何本领域的技术人员能思之的变化,都应落在本发明的保护范围内。
Claims (11)
1、建立第一部件和第二部件通信的方法,其特征在于,所述第一部件为网络转发部件NFC,第二部件为各个独立业务部件IAC,所述方法包括:
(1)在NFC和IAC分别设定主机模式、镜像模式、重定向模式和穿透模式的一种或几种:
所述主机模式为NFC通过转发通道进行IAC报文的转发,
所述镜像模式为NFC通过镜像通道将满足镜像条件的报文复制给IAC,同时继续完成所述报文的转发,
所述重定向模式为NFC将满足重定向条件的报文通过重定向通道重定向至IAC,当NFC接收到返回的所述报文后继续完成转发,
所述穿透模式为IAC通过穿透通道完成NFC报文的转发;
(2)NFC和每个IAC通信时,从两者共同支持的工作模式中选择其中之一或几种组合来进行通信。
2、如权利要求1所述的方法,其特征在于,步骤(2)包括:
在NFC和IAC上进行配置,所述配置包括NFC和IAC分别获知与本部件连接的对端侧的接口信息和当前的工作模式。
3、如权利要求2所述的方法,其特征在于,在NFC与IAC上配置信息还包括:
IAC向NFC下发包含获取规则的联动报文,所述获取规则为重定向条件或镜像条件;
NFC保存所述联动报文中的获取规则。
4、如权利要求3所述的方法,其特征在于,步骤(2)还包括:
IAC对来自NFC的匹配所述获取规则成功的报文进行业务处理;
当NFC接收来自IAC的联动报文时,从中解析出特定报文的处理规则及其所满足的网络拓扑信息;
NFC对满足上述特定处理规则关联的网络拓扑信息的报文,应用所述处理规则。
5、如权利要求2所述的方法,其特征在于,在NFC与IAC上配置信息还包括:
在NFC和IAC上为内部控制接口建立内部控制通道;
在从外部接口报文线路Line接收到进行IAC配置的指令后,将外部接口Line的输入从内部控制通道输出至IAC,将该内部控制通道的输入从外部接口Line输出:按照IAC内部控制通道的输入进行IAC的配置,并将配置结果自IAC内部控制通道输出至NFC进行相应配置。
6、如权利要求1所述的方法,其特征在于,还包括:
在NFC与每个IAC通信之前,NFC与IAC之间建立供电通道,NFC通过供电通道向IAC提供电源。
7、如权利要求1所述的方法,其特征在于,还包括:所述转发通道、镜像通道、重定向通道、穿透通道是逻辑通道,通过以太网接口来实现所述些逻辑通道。
8、一种开放应用架构OAA,其特征在于,所述开放应用架构包括网络转发部件NFC、独立业务部件IAC以及NFC和IAC之间建立联系的接口连接部件ILC,其中:
NFC为路由器或交换机的主体部分,用于在其上设定主机模式、镜像模式、重定向模式和穿透模式的一种或几种;
IAC为用来提供业务服务功能的业务部件,用来在其上设定主机模式、镜像模式、重定向模式和穿透模式的一种或几种;
ILC包括NFC与IAC连接的数据通信通道。
9、如权利要求8所述的OAA,其特征在于,ILC还包括与IAC连接的设置在NFC上的第一控制接口和与NFC连接的设置在IAC上的第二控制接口,所述第一控制接口和第二控制接口在物理上表现为串行接口、模拟出串行接口的以太网接口。
10、如权利要求9所述的OAA,其特征在于,所述NFC包括机框和单板、或表现为能插卡的集中式交换设备,所述IAC为一单板或扣卡。
11、如权利要求8所述的OAA,其特征在于,ILC还包括在NFC和IAC上设置的两者之间建立供电通道的供电接口。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2006101386194A CN100495970C (zh) | 2006-11-08 | 2006-11-08 | 开放应用架构系统及建立其中部件间通信的相应方法 |
EP07721096.1A EP2068498B1 (en) | 2006-09-25 | 2007-05-09 | Method and network device for communicating between different components |
US12/442,838 US9083565B2 (en) | 2006-09-25 | 2007-05-09 | Network apparatus and method for communication between different components |
PCT/CN2007/001523 WO2008037159A1 (fr) | 2006-09-25 | 2007-05-09 | Procédé et dispositif de réseau pour communiquer entre différents composants |
US14/731,222 US9602391B2 (en) | 2006-09-25 | 2015-06-04 | Network apparatus and method for communication between different components |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2006101386194A CN100495970C (zh) | 2006-11-08 | 2006-11-08 | 开放应用架构系统及建立其中部件间通信的相应方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1980135A true CN1980135A (zh) | 2007-06-13 |
CN100495970C CN100495970C (zh) | 2009-06-03 |
Family
ID=38131158
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2006101386194A Expired - Fee Related CN100495970C (zh) | 2006-09-25 | 2006-11-08 | 开放应用架构系统及建立其中部件间通信的相应方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100495970C (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101267351B (zh) * | 2008-05-13 | 2011-02-02 | 杭州华三通信技术有限公司 | 开放应用架构中软件在线升级的实现方法、系统及设备 |
US9385886B2 (en) | 2011-07-06 | 2016-07-05 | Huawei Technologies Co., Ltd. | Method for processing a packet and related device |
CN105991444A (zh) * | 2015-08-06 | 2016-10-05 | 杭州迪普科技有限公司 | 业务处理的方法和装置 |
-
2006
- 2006-11-08 CN CNB2006101386194A patent/CN100495970C/zh not_active Expired - Fee Related
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101267351B (zh) * | 2008-05-13 | 2011-02-02 | 杭州华三通信技术有限公司 | 开放应用架构中软件在线升级的实现方法、系统及设备 |
US9385886B2 (en) | 2011-07-06 | 2016-07-05 | Huawei Technologies Co., Ltd. | Method for processing a packet and related device |
CN105991444A (zh) * | 2015-08-06 | 2016-10-05 | 杭州迪普科技有限公司 | 业务处理的方法和装置 |
CN105991444B (zh) * | 2015-08-06 | 2019-05-07 | 杭州迪普科技股份有限公司 | 业务处理的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
CN100495970C (zh) | 2009-06-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2068498B1 (en) | Method and network device for communicating between different components | |
CN109561108B (zh) | 一种基于策略的容器网络资源隔离控制方法 | |
US7385973B1 (en) | Method and apparatus for VLAN ID discovery | |
US6898183B1 (en) | Method of determining a data link path in a managed network | |
CN110535766A (zh) | 一种生成路由的方法和设备 | |
CN101282237B (zh) | 一种基于snmp协议的综合网管系统 | |
CN116208525A (zh) | 一种数据报文的检测方法、设备及系统 | |
KR20060024337A (ko) | 사용자 mac 프레임 전송방법, 에지 브리지 및 프로그램 | |
CN110324165A (zh) | 网络设备的管理方法、装置及系统 | |
CN112769602B (zh) | 一种白盒交换机统一配置管理系统、方法和网络操作系统 | |
CN114006839B (zh) | 一种基于eBPF的流量采集方法及装置 | |
US8489834B1 (en) | Automatic class of service provisioning for data transfer within a data center | |
CN100446509C (zh) | 实现重定向报文正确转发的方法及第一部件、第二部件 | |
EP3817293B1 (en) | Bulk discovery of devices behind a network address translation device | |
CN100495970C (zh) | 开放应用架构系统及建立其中部件间通信的相应方法 | |
CN102281197A (zh) | 一种rfid路由器架构系统 | |
CN112671643B (zh) | 一种基于mpls的sdn业务隔离及选路的装置 | |
KR100889753B1 (ko) | 링크 애그리게이션 그룹에서의 보호 절체 방법 및 그 장치 | |
CN100596145C (zh) | 一种与其他独立系统联动的方法以及支持联动的独立系统 | |
KR20180058592A (ko) | Sdn 제어기 | |
CN114189485A (zh) | 一种交换机的网口管理方法、系统及计算机可读存储介质 | |
Cisco | Configuring Interface Characteristics | |
CN112751701B (zh) | 用于管理网络装置的系统、方法及计算机可读介质 | |
CN113395334A (zh) | 服务功能链在线更新方法、系统及设备 | |
EP3562101A1 (en) | Bras management method, packet forwarding method, packet forwarding controller, and bras |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090603 Termination date: 20201108 |
|
CF01 | Termination of patent right due to non-payment of annual fee |