WO2012058988A1 - 一种报文转向的方法和深度包检测设备 - Google Patents

Description

一种报文转向的方法和深度包检测设备 本申请要求于 2010 年 11 月 4 日提交中国专利局、 申请号为 201010532260.5、 发明名称为 "一种报文转向的方法和深度包检测设备" 的中 国专利申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明涉及网络通信领域， 特别是涉及一种报文转向的方法和深度包检 测设备。 背景技术

随着 Internet技术的发展， 网络设备的功能也越来越丰富， 对网络进行监 控变得愈加必要。

目前， 网络设备通过对流量和报文的分析和监控来实现对网络的监控。 由于不同网络设备对报文处理的侧重点不同， 带宽支持也不同， 因此在部署 时经常需要组成集群， 通过网络设备之间的协助分析， 满足报文的处理需求。

发明人在实现本发明的过程中发现：

在上述部署格局下， 可能出现一种应用场景， 即一个报文需要依次被传 递给同一集群内的多个网络设备， 集群内的每个网络设备具有特定的分析处 理功能， 则同一集群内的网络设备之间需要对同一个报文进行转向； 所述转 向是指将报文由一个网络设备交给另一个网络设备处理， 所述另一个网络设 备处理完成后再将报文返回的过程。 但是， 现有技术中还没有实现报文转向 的技术方案。 发明内容

本发明实施例的目的是提供一种报文转向的方法和深度包检测设备， 以 解决报文转向的问题。 本发明实施例提供了一种报文转向的方法， 包括：

接收报文， 所述报文中包含有用户标识；

根据所述用户标识以及预先设置的用户标识与服务类型的第一对应关 系， 查找与所述报文中的用户标识对应的服务类型；

根据所述服务类型、 预先设置的服务类型和从设备标识的第二对应关系 以及从设备标识和转向标识字段中各比特位的第三对应关系， 为报文添加内 层虚拟局域网 Vlan头，所述内层 Vlan头包括转向标识字段，所述转向标识字 段中包含有转向标识；

根据所述转向标识字段中的转向标识将带有内层 Vlan头的报文转向给对 应的从设备， 所述从设备包括至少一台。

本发明实施例还提供了一种深度包检测设备， 包括：

接收单元， 用于接收报文， 所述报文中包含有用户标识；

查找单元， 用于根据所述用户标识以及预先设置的用户标识与服务类型 的第一对应关系， 查找与所述报文中的用户标识对应的服务类型；

处理单元， 用于根据所述服务类型、 预先设置的服务类型和从设备标识 的第二对应关系以及从设备标识和转向标识字段中各比特位的第三对应关 系 ,为报文添加内层虚拟局域网 Vlan头，所述内层 Vlan头包括转向标识字段， 所述转向标识字段中包含有转向标识；

转向单元， 用于根据所述转向标识字段中转向标识将带有内层 Vlan头的 报文转向给对应的从设备， 所述从设备包括至少一台。

本发明实施例的报文转向的方法和深度包检测设备， 提供了报文转向的 解决方案， 通过在报文中添加带有转向标识字段的内层 Vlan头， 指示报文在 同一集群中的转向， 降低 DPI设备的处理负担， 同时可以支持用户定制多个 不同的个性化服务。 附图说明

为了更清楚地说明本发明实施例中的技术方案， 下面将对实施例描述中 所需要使用的附图作简单地介绍， 显而易见地， 下面描述中的附图仅仅是本 发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动性 的前提下， 还可以根据这些附图获得其他的附图。

图 1是本发明实施例同一集群中 DPI设备和从设备的架构示意图； 图 2是本发明实施例报文转向的方法的第一实施例的流程示意图； 图 3是本发明的内层 Vlan头的示意图；

图 4是本发明实施例报文转向的方法的第二实施例的流程示意图； 图 5是本发明第三实施例中 DPI设备和从设备之间报文的走向示意图； 图 6是本发明实施例报文转向的方法的第三实施例的流程示意图； 图 7是本发明实施例的报文添加内层 Vlan头之前的示意图；

图 8是发明第三实施例中内层 Vlan头的示意图；

图 9是本发明第三实施例的报文添加内层 Vlan头之后的示意图；

图 10是本发明第三实施例中具有交换机时， DPI设备和从设备之间报文的 走向示意图；

图 11是本发明实施例的深度包检测设备的第一实施例的结构示意图； 图 12是本发明实施例的深度包检测设备的第二实施例的结构示意图。 具体实施方式

为使本发明实施例的上述目的、 特征和优点能够更加明显易懂， 下面结 合附图和具体实施方式对本发明实施例作进一步详细的说明。

实施例一

本实施例的 DPI ( Deep Packet Inspection, 深度包检测 )设备下可以附属 有至少一台从设备， 如图 1所示， DPI设备具备简单的业务处理能力， 每个从 设备具有特定的分析处理功能， 例如杀毒、 URL ( Uniform Resource Locator, 统一资源定位符）过滤、 WAN ( wide area network, 广域网）加速等， DPI设 的方法， 如图 2所示， 包括如下步骤： S10, 接收报文， 所述报文中包含有用户标识。

S20, 根据所述用户标识以及预先设置的用户标识与服务类型的第一对应 关系， 查找与所述报文中的用户标识对应的服务类型。

由于 DPI设备位于核心网和用户之间， 所以 DPI设备可以为其控制范围 内的用户提供定制的服务。 若所述报文为上行报文， 则所述报文中用户标识 为发送所述报文的用户标识， 所述发送报文的用户标识可以为源 IP (网际协 议）地址、 用户账号等； 若所述报文为下行报文， 则所述用户标识为接收所 述才艮文的用户标识， 所述接收 ·艮文的用户标识可以为目的 IP地址、 用户账号 等。 由于用户标识与用户具有一一对应的关系， 当用户定制了符合个性需求 的服务类型后， DPI设备可以通过将用户的用户标识和用户定制的服务类型建 立第一对应关系， 实现为用户的针对性服务。 所述服务类型可以包括杀毒、 URL过滤、 WAN加速等。 用户针对上下行报文定制的服务可以相同， 也可以 针对上行报文和下行报文定制不同的服务， 当针对上行报文和下行报文定制 的服务不同时， 第一对应关系要区分为针对上行报文的第一对应关系和针对 下行报文的第一对应关系， 其中， 报文属性（上行或下行）可以根据报文进 入 DPI设备的入链路接口的属性（上行口或下行口） 来判断。

典型的 DPI设备通常包括位于前台的分流模块和处理模块， 以及位于后 台的网页配置模块和数据库。 当第一对应关系的数量较少时， 第一对应关系 可以存储在分流模块中； 当第一对应关系的数量较多时， 可以存储在 DPI设 备后台的数据库中。

S30, 根据所述服务类型、 预先设置的服务类型和从设备标识的第二对应 关系以及从设备标识和转向标识字段中各比特位的第三对应关系， 为报文添 加内层虚拟局域网 Vlan头，所述内层 Vlan头包括转向标识字段，所述转向标 识字段中包含有转向标识。

Vlan技术是一种通过将局域网内的设备逻辑地划分成一个个网段从而实 现虚拟工作组的技术， 提出了解决以太网的广播和安全性问题的协议， 其在 以太网帧的基础上增加 Vlan头，用 Vlan把用户划分为更小的工作组， 限制不 同工作组间的用户二层互访。

现有的 Vlan头共 16bit, 其中前 3bit表示的字段为 PRI (优先级）， 第 4bit 表示的字段为 CFI ( Canonical Format Indicator, 标准格式指示）， 后 12bit均 为保留字段。 在本实施例中， 都是对后 12bit保留字段的应用， 而对前 4bit进 行原样保留。 内层 Vlan头可以包括转向标识字段， 还可以进一步包括链路号 字段， 其中， 转向标识字段中包含有转向标识， 转向标识可以用 1或 0来表 示， 当然不限于此。 如图 3所示， 为内层 Vlan头的结构示意图。 内层 Vlan 头的后 12bit中包含转向标识字段和链路号字段， 转向标识字段的比特位数可 以与 DPI设备下附属的从设备数量相同， 也可以多于从设备的数量。

服务类型和从设备标识具有第二对应关系 ,第二对应关系预先设置在 DPI 设备中。 通过第二对应关系， 可以将用户定制的服务具体到提供服务的从设 备， 将用户发出 /接收的报文转向给提供对应服务的从设备即可实现为用户提 供其定制的服务。

从设备标识和转向标识字段中各比特位具有第三对应关系， 第三对应关 系预先设置在 DPI设备中。 通过第三对应关系， DPI设备可以在给报文添加 内层 Vlan头时， 确定转向标识字段如何设置， 以指示后续的转向操作。 转向 标识字段中包含有转向标识： 与报文需要转向的从设备对应的比特位上具有 转向标识， 与报文不需要转向的从设备对应的比特位上具有不转向标识。 具 体的， 在设置转向标识字段时， 可以将报文需要转向的从设备对应的比特位 的值置为 1 , 报文不需要转向的从设备对应的比特位的值置为 0。 当然， 也可 以将报文需要转向的从设备对应的比特位的值置为 0,报文不需要转向的从设 备对应的比特位的值置为 1。 且不限于上述两种设置方式， 可以根据具体需要 而定。

实际应用中， 由于第二对应关系和第三对应关系的数量都不是艮大， 可 以保存在 DPI设备前台的分流模块中。

S40, 根据所述转向标识字段中的转向标识将带有内层 Vlan头的报文转 向给对应的从设备， 所述从设备包括至少一台。 在附图 1所示的组网结构中， DPI设备和每个从设备釆用双臂组网， DPI 设备将带有内层 Vlan头的报文通过双臂中的一端发送给从设备， 该从设备处 理完之后再将报文通过双臂中的另一端返回 DPI设备。

在实际应用中， DPI设备自身可以单独记录报文的整个转向操作过程，并 将报文按照内层 Vlan头转向标识字段中的转向标识从左到右或从右到左的顺 序依次转向给对应的从设备， 这样， 可以避免遗漏转向或重复转向操作。

DPI设备自身也可以不记录转向操作过程，而是将转向操作过程记录在内 层 Vlan头的转向标识字段中随报文一起转向。

在另一种实现方式中， 当报文通过上述步骤完成转向后， 如图 4所示， 所述方法还包括：

S50, 判断报文是否完成转向；

具体的， 当报文只需要转向给一台从设备时， 则报文完成转向是指报文 完成 DPI设备与该台从设备之间的转向； 当报文需要转向给多台从设备时， 则报文完成转向是指报文完成 DPI设备与所有从设备之间的转向。也就是说， 当报文只需要转向给一台从设备时， 则报文完成一次转向即为报文完成转向； 当报文需要转向给多台从设备时， 只有当报文完成多次转向时才称为报文完 成转向。

具体的， 判断报文是否完成转向时， 可以根据转向操作过程记录的方式 不同进行不同的处理。 若 DPI设备是釆用自身单独记录报文的整个转向操作 过程， 则当报文转向过程记录中显示报文完成转向时， 确认所述报文完成转 向； 若是釆用将转向操作过程记录在转向标识字段中随报文一起转向的方式， 则当转向回来的报文的转向标识字段中不含有转向标识时， 确认报文完成转 向， 否则认为报文没有完成转向。

具体的， 在判断报文是否完成转向的过程中， 对于 DPI设备不记录转向 操作过程的情况， 为了避免重复转向或遗漏转向操作， 在转向过程中， DPI 设备可以有两种操作模式， 第一种， 当带有内层 Vlan头的报文即将向从设备 转向前， 将转向标识字段中与所述从设备对应的比特位由转向标识置为转向 完成标识， 然后再将报文转向到所述从设备； 第二种， 当带有内层 Vlan头的 报文从某个从设备转向回来后， 将转向标识字段中与所述从设备对应的比特 位由转向标识置为转向完成标识。 其中， 转向标识可以为 1、 转向完成标识可 以为 0; 或转向标识可以为 0、 转向完成标识为 1 , 可以理解的是， 转向完成 标识可以与不转向标识用相同的标识表示， 但转向完成标识与转向标识要有 所区别， 转向标识与不转向标识也应有所区别。 转向标识、 不转向标识和转 向完成标识可以根据预定的策略进行设置， 转向标识表示需要将报文转向到 该比特位对应的从设备， 不转向标识表示不将该报文转向到该比特位对应的 从设备， 转向完成标识表示已经将该报文转向到该比特位对应的从设备。

以下以转向标识为 1、 不转向标识为 0、 转向完成标识为 0, 且 DPI设备 在报文转向时， 按照转向标识字段从左到右的顺序依次转向给对应的从设备 为例对上述两种操作模式进行详细描述：

第一种， 在将该报文转向某个从设备前， 将转向标识字段中与该转向从 设备对应的比特位由转向标识置为转向完成标识后， 将报文转向到所述从设 备： 具体的， 当 DPI设备为所述报文添加内层 Vlan头后， DPI设备先检查内 层 Vlan头的转向标识字段中从左到右的第一个值为 1的比特位， 确定该比特 位对应的从设备 A为报文转向的第一个从设备， 然后将转向标识字段中的该 比特位的值由转向标识 1置为转向完成标识 0, 并将带有内层 Vlan头的 ·艮文 转向给从设备 Α; 当报文从从设备 Α返回后， DPI设备再次检查转向标识字 段中从左到右的第一个值为 1的比特位， 确定该比特位对应的从设备 B为报 文转向的第二个从设备， 然后将转向标识字段中与从设备 B对应的该比特位 的值由转向标识 1置为转向完成标识 0, 将带有内层 Vlan头的报文转向给从 设备 B, 如此往复， 则 S50具体可以为： 判断从所述从设备转向回来的报文 中转向标识字段中各比特位是否为不转向标识或转向完成标识， 即判断从某 个从设备返回的报文的转向标识字段中的比特位的值是否全部为 0,若全部为 0则表示该报文已经依次完成所有转向操作。

第二种， 在该报文从某个从设备转向回来后， 将转向标识字段中与该从 设备对应的比特位由转向标识置为转向完成标识， 具体的， 当 DPI设备为所 述报文添加内层 Vlan头后， DPI设备先检查转向标识字段中从左到右的第一 个值为 1的比特位， 确定该比特位对应的从设备 A为报文转向的第一个从设 回后， DPI设备将转向标识字段中与从设备 A对应的比特位的值由转向标识 1 置为转向完成标识 0;接着检查转向标识字段中从左到右的第一个值为 1的比 特位， 确定该比特位对应的从设备 B为报文转向的第二个从设备， 将带有内 层 Vlan头后的报文转向给第二个从设备 B, 在报文从从设备 B返回后， DPI 设备将转向标识字段中与从设备 B对应的比特位的值由转向标识 1置为转向 完成标识 0, 如此往复， 则 S50具体可以为： 在将转向标识字段中与所述从设 备对应的比特位置为转向完成标识后， 判断报文的转向标识字段中各比特位 是否为不转向标识或转向完成标识， 即在 DPI设备将与某个从设备对应的转 向标识 1置为转向完成标识 0后， 判断转向标识字段中的比特位的值是否全 部为 0, 若全部为 0则表示该报文已经依次完成所有转向操作。

实际应用中， DPI设备可以对同一群组中的从设备釆用同一种操作模式。 需要说明的是， 在报文转向过程中， 从设备仅对报文进行处理， 对内层 Vlan头不进行操作。

由此， 报文能够在 DPI设备与其附属的从设备之间进行转向。

S60, 当报文完成转向后， 去除报文中的内层 Vlan头， 并通过接收报文 的通信链路继续传输报文。

具体的， 若 DPI设备单独记录报文的整个转向操作过程， 则当报文转向 过程记录中显示报文完成转向时， 确认所述报文完成转向； 若 DPI设备没有 单独记录转向操作过程， 而是将转向操作过程记录在内层 Vlan头的转向标识 字段中随报文一起转向， 则当转向回来的报文的转向标识字段中不含有转向 标识时， 确认 4艮文完成转向。

在该报文完成转向后， DPI设备去除报文中的内层 Vlan头， 并通过接收 报文的通信链路继续传输报文。 进一步的， DPI设备还可以在从通信链路接收到报文时记录所述链路的链 路号， 以在报文完成转向后， 通过与记录的该链路号相应的通信链路继续传 输报文。

进一步的， DPI设备也可以将所述链路的链路号添加在内层 Vlan头中， 即内层 Vlan头还包括与所述链路对应的链路号字段， 则 DPI设备通过与所述 内层 Vlan头中链路号字段中的链路标识对应的通信链路继续传输报文。

实际应用中， 由于 Vlan头中的保留字段为后 12bit, 且， 对于将来一段时 间内用户可能形成的服务需求， 8个从设备基本可以满足用户的个性化定制， 4bit的链路号字段可以区分 16条链路， 也基本可以满足将来一段时间的网络 发展规模。 因此， 优选的， 可以将所述内层 Vlan头的转向标识字段设置为 8 比特， 所述链路号字段设置为 4 比特。 此外， 需要说明的是， 本发明实施例 对转向标识字段和链路号字段的前后顺序不作限制。 通过内层 Vlan头中的链 路号字段携带传输报文的链路号的好处是可以减少 DPI设备的记录负担， 将 链路号携带在内层 Vlan头中跟随报文一起转向， 若在转向过程中该报文不符 合用户定制的规则而被过滤掉， DPI设备就没必要记录该报文的链路号， 而且 除了第一步的添加内层 Vlan头外， 后续过程都可以由分流模块完成， 使 DPI 设备处理报文的效率更高。

本实施例的报文转向的方法， 提供了报文转向的解决方案， 通过在报文 中添加带有转向标识字段的内层 Vlan头， 指示报文在同一集群中进行多次转 向， 从而降低了 DPI设备的处理负担。 本实施例的报文转向的方法， 支持用 户定制多个不同的个性化服务。

实施例二

本实施例为 4艮文转向方法的一个具体实施例。 设一个集群中包括一台 DPI设备和其管理的三台从设备（参见图 5 ): 从设备 a、 从设备 b、 从设备 c。 设其中从设备 a的功能是杀毒， 从设备 b的功能是 URL过滤 , 从设备 c的功 能是 WAN加速。每个从设备只能与 DPI设备进行通信，从设备之间无法通信。

如图 6所示， 该方法包括： 5101 , DPI设备接收报文， 所述报文中包含有用户标识。

5102, DPI设备根据 IP地址以及预先设置的 IP地址与服务类型的第一对 应关系， 查找与报文中 IP地址对应的服务类型。

所述 文如图 7所示， 若所述 ·艮文为下行 ·艮文， 且其目的 IP地址对应的 服务类型包括杀毒和 URL过滤，则所述报文需要转向给从设备 a和从设备 b。

5103 , DPI设备根据所述服务类型、 预先设置的服务类型和从设备标识 的第二对应关系、 以及从设备标识和转向标识字段中各比特位的第三对应关 系， 为才艮文添加内层 Vlan头。

本例中的内层 Vlan头包括 8比特的转向标识字段和 4bit的链路号字段， 如图 8所示。 第二对应关系中杀毒对应的从设备标识为 a, URL过滤对应的 从设备标识为 b, 第三对应关系中从设备 a对应转向标识字段中的第 lbit, 从 设备 b对应转向标识字段中的第 2bit。 所述链路的链路号为 3。 添加了内层 Vlan头的报文如图 9所示，其中" 0x8100"用于指示所增加的为 Vlan头， "Vlan ID" 即内层 Vlan头， "0x8100" 和 Vlan头共 4字节。

5104, DPI设备根据所述转向标识字段中的转向标识将带有内层 Vlan头 的报文转向给对应的从设备， 所述从设备包括至少一台。

以 DPI釆用第二种操作模式为例， DPI设备将带有内层 Vlan头的报文转 向给从设备 a (图 5中的虚线表示了报文走向， 其中的数字 1-6表示报文传递 的顺序）， 在接收到由从设备 a返回的报文后， 将转向标识字段中与从设备 a 对应的比特位的值置为 0; 之后， 将报文再转向给从设备 b, 当报文由从设备 b返回后， 将转向标识字段中与从设备 b对应的比特位的值置为 0。

5105, 当报文完成转向后， DPI设备去除报文中的内层 Vlan头， 并通过 接收报文的通信链路继续传输报文。

由于在将转向标识字段中与从设备 b对应的比特位的值置为 0后， 报文 的转向标识字段中的比特位的值均为 0, 则全部转向完成。 DPI设备去除报文 中的内层 Vlan头， 并通过链路号为 3的通信链路的上行口继续传输报文。

对于 DPI设备与各从设备之间还包括交换机的情况，可以构造两层 Vlan, 例如 802.1 Q in 802.1 Q。在 DPI设备上配置从设备标识和交换机端口号的第四 对应关系。 在为报文添加内层 Vlan头时， DPI设备根据预先设置的从设备标 识和交换机端口号的第四对应关系， 为报文添加外层 Vlan头； 所述外层 Vlan 头的值为报文即将转向的从设备对应的交换机端口号。

还是以上面的例子进行说明， 如图 10所示， DPI设备与从设备111、 从设 备 n、 从设备 p之间通过交换机连接， 图中虚线表示了报文走向， 其中的数字 1-10表示报文传递的顺序。 从设备 m对应的交换机端口为（ 100, 101 ), 其中 100为发送端口， 101为接收端口；从设备 n对应的交换机端口为（ 102, 103 ), 从设备 p对应的交换机端口为（ 104 , 105 ); DPI设备与交换机可以通过 trunk 连接， trunk使能后可以对所有的交换机端口放行。

在为报文添加内层 Vlan头和外层 Vlan头之后， DPI设备对报文进行转向。 DPI先将带有内层 Vlan头和外层 Vlan头的报文发送给交换机；交换机根据外 层 Vlan头的值， 确定报文即将转向的从设备 m所在的交换机端口号， 将报文 通过端口 100转向给从设备 m, 即将报文通过与所述外层 Vlan头的值对应的 交换机端口转向给相应的从设备； 从设备 m处理完报文后， 通过端口 101返 回给交换机； 交换机再将报文返回 DPI设备； DPI设备将内层 Vlan头的转向 标识字段中与从设备 m对应的比特置为 0, 然后查找报文需要转向的下一个 从设备。 由于内层 Vlan头的转向标识字段的第 2比特位的值为 1 , DPI设备 将外层 Vlan头中的交换机端口号改为 102, DPI设备将报文发送给交换机； 交换机根据外层 Vlan头中的交换机端口号， 将报文通过端口 102转向给从设 备 n; 从设备 n处理完报文后， 通过端口 103返回给交换机； 交换机再将当所 述才艮文返回 DPI设备； DPI设备将内层 Vlan头的转向标识字段中与从设备 n 对应的比特位的值置为 0。 这时， 由于转向标识字段中的比特位的值均为 0, 代表全部转向完成。 当报文完成转向后， DPI设备会去除报文中的内层 Vlan 头及外层 Vlan头。 之后， DPI设备通过接收报文的通信链路继续传输报文。

在报文转向过程中， 从设备仅对报文进行处理， 对内层 Vlan 头和外层 Vlan头不进行操作； 交换机仅按照外层 Vlan头中的交换机端口转发报文， 对 内层 Vlan头和外层 Vlan头也不进行操作； DPI设备通过外层 Vlan头控制交 换机将报文转向给对应的从设备， 通过内层 Vlan头记录报文转向操作的进展 状况。

本实施例的报文转向的方法， 提供了报文转向的解决方案， 通过在报文 中添加带有转向标识字段的内层 Vlan头和外层 Vlan头，指示报文在同一集群 中的多次转向， 降低 DPI设备的处理负担， 同时可以支持用户定制个性化服 务。 实施例三

本实施例提供了一种深度包检测设备， 所述深度包检测设备下可以附属 有至少一台从设备。 如图 11所示， 所述深度包检测设备包括： 接收单元 10、 查找单元 20, 处理单元 30, 转向单元 40。

接收单元 10, 用于接收报文， 所述报文中包含有用户标识。

查找单元 20, 用于根据所述用户标识以及预先设置的用户标识与服务类 型的第一对应关系， 查找与所述报文中的用户标识对应的服务类型。

具体的， 若所述报文为上行报文， 则所述用户标识为发送所述报文的用 户标识， 所述发送报文的用户标识可以为源 IP地址、 用户账号等； 若所述报 文为下行报文， 则所述用户标识为接收所述报文的用户标识， 所述接收报文 的用户标识可以为目的 IP地址、 用户账号等。

处理单元 30, 用于根据所述服务类型、 预先设置的服务类型和从设备标 识的第二对应关系以及从设备标识和转向标识字段中各比特位的第三对应关 系， 为报文添加内层 Vlan头， 所述内层 Vlan头可以包括转向标识字段， 转向 标识字段中包含有转向标识。

具体的， 转向标识字段中， 与报文需要转向的从设备对应的比特位为转 向标识， 与报文不需要转向的从设备对应的比特位为不转向标识， 其中转向 标识可以用 1或 0表示， 当然不限于上述两种， 且转向标识需要与不转向标 识相区别。 转向单元 40,用于根据所述转向标识字段中转向标识将带有内层 Vlan头 的报文转向给对应的从设备， 所述从设备包括至少一台。

本实施例提供的深度包检测设备， 通过在报文中添加带有转向标识字段 的内层 Vlan头， 指示报文在同一集群中转向， 降低 DPI设备的处理负担， 并 能够为用户提供用户定制的个性化服务。

参见图 12, 在又一个本发明实施例中， 在图 11所述的实施例基础上， 图 12所述的深度包检测设备还可以包括：

判断单元 50, 用于当报文完成转向后， 判断报文是否完成转向； 具体的， 当报文只需要转向给一台从设备时， 则报文完成转向是指报文 完成 DPI设备与该台从设备之间的转向； 当报文需要转向给多台从设备时， 则报文完成转向是指报文完成 DPI设备与所有从设备之间的转向。也就是说， 当报文只需要转向给一台从设备时， 则报文完成一次转向即为报文完成转向； 当报文需要转向给多台从设备时， 只有当报文完成多次转向时才称为报文完 成转向。

发送单元 60, 用于当所述判断单元 50判断出报文完成转向后， 去除报文 中的内层 Vlan头， 并通过接收报文的通信链路继续传输报文。

其中， 所述内层 Vlan头还可以包括与所述链路对应的链路号字段， 所述 链路号字段中包含有接收报文的通信链路的链路标识， 则所述发送单元 60具 体可以用于： 通过与所述内层 Vlan头中链路号字段中的链路标识对应的通信 链路继续传输报文。

优选的， 所述转向标识字段包括 8比特， 所述链路号字段包括 4比特。 例如在所述转向标识字段中， 可以将报文需要转向的从设备对应的比特位的 值置为 1 , 报文不需要转向的从设备对应的比特位的值置为 0。

所述带有内层 Vlan头的报文优选按照转向标识字段从左到右或从右到左 的顺序依次转向给报文需要转向的从设备。

具体的， 所述转向单元 40可以将转向操作过程记录在内层 Vlan头的转 向标识字段中随报文一起转向， 则， 在这种情况下， 判断报文是否完成转向 时具体可以釆用下述两种方式： 识字段中与所述从设备对应的比特位置为转向完成标识； 则所述判断单元 50 转向标识或转向完成标识来判断 4艮文是否完成转向。 向标识字段中与所述从设备对应的比特位置为转向完成标识； 则所述判断单 元可以在当带有内层 Vlan头的报文从某个从设备转向回来后， 将转向标识字 段中与所述从设备对应的比特位置为转向完成标识后， 判断报文的转向标识 字段中各比特位是否为不转向标识或转向完成标识来判断报文是否完成转 向。 换机时， 在为报文添加内层 Vlan头时， 所述处理单元 30还可以用于： 根据 预先设置的从设备标识和交换机端口号的第四对应关系， 为报文添加外层 Vlan头，所述外层 Vlan头的值为报文即将转向的从设备对应的交换机端口号； 则所述转向单元 40可以用于： 将带有内层 Vlan头和外层 Vlan头的 ·艮文 通过与所述外层 Vlan头的值对应的交换机端口转向给相应的从设备。

则所述发送单元 60 可以用于： 当才艮文完成转向后， 去除才艮文中的内层 Vlan头及外层 Vlan头， 并通过接收报文的通信链路继续传输报文。

本实施例的深度包检测设备， 提供了报文转向的功能， 通过在报文中添 加带有转向标识字段的内层 Vlan头， 指示报文在同一集群中进行多次转向， 从而降低 DPI设备的处理负担。 本实施例的深度包检测设备， 能够为用户提 供用户定制的个性化服务。 的比较简略， 相关之处请参见方法实施例部分， 此处不再赘述。 且在上述实 施例中， 对各个实施例的描述都各有侧重， 某个实施例中没有详述的部分， 需要说明的是， 在本文中， 诸如第一和第二等之类的关系术语仅仅用来 将一个实体或者操作与另一个实体或操作区分开来， 而不一定要求或者暗示 这些实体或操作之间存在任何这种实际的关系或者顺序。 而且， 术语 "包括"、 "包含" 或者其任何其他变体意在涵盖非排他性的包含， 从而使得包括一系 列要素的过程、 方法、 物品或者设备不仅包括那些要素， 而且还包括没有明 确列出的其他要素， 或者是还包括为这种过程、 方法、 物品或者设备所固有 的要素。 在没有更多限制的情况下， 由语句 "包括一个 ... ... " 限定的要素， 并不排除在包括所述要素的过程、 方法、 物品或者设备中还存在另外的相同 要素。

以上所述仅为本发明的较佳实施例而已， 并非用于限定本发明的保护范 围。 凡在本发明的精神和原则之内所作的任何修改、 等同替换、 改进等， 均 包含在本发明的保护范围内。

Claims

权 利 要 求

1、 一种报文转向的方法， 其特征在于， 包括：

接收报文， 所述报文中包含有用户标识；

根据所述用户标识以及预先设置的用户标识与服务类型的第一对应关 系， 查找与所述报文中的用户标识对应的服务类型；

根据所述服务类型、 预先设置的服务类型和从设备标识的第二对应关系 以及从设备标识和转向标识字段中各比特位的第三对应关系， 为报文添加内 层虚拟局域网 Vlan头，所述内层 Vlan头包括转向标识字段，所述转向标识字 段中包含有转向标识；

根据所述转向标识字段中的转向标识将带有内层 Vlan头的报文转向给对 应的从设备， 所述从设备包括至少一台。

2、 如权利要求 1所述的方法， 其特征在于， 还包括：

判断报文是否完成转向；

当报文完成转向后， 去除报文中的内层 Vlan头， 并通过接收报文的通信 链路继续传输报文。

3、 如权利要求 2所述的方法， 其特征在于， 所述内层 Vlan头还包括链 路号字段， 所述链路号字段中包含有接收报文的通信链路的链路标识；

所述通过接收报文的通信链路继续传输报文包括：

通过与所述内层 Vlan头中链路号字段中的链路标识对应的通信链路继续 传输报文。

4、 如权利要求 2所述的方法， 其特征在于， 所述判断报文是否完成转向 包括：

若单独记录报文的转向操作过程， 则当报文转向过程记录中显示报文完 成转向时， 确认所述报文完成转向； 或

若将转向操作过程记录在转向标识字段中随报文一起转向， 则当转向回 来的报文的转向标识字段中不含有转向标识时， 确认所述报文完成转向。

5、 如权利要求 4所述的方法， 其特征在于， 当单独记录报文的转向操作 将报文按照内层 Vlan头转向标识字段中的转向标识从左到右或从右到左 的顺序依次转向给对应的从设备。

6、 如权利要求 4所述的方法， 其特征在于， 当不记录报文的转向操作过 当带有内层 Vlan头的报文即将向从设备转向前， 将转向标识字段中与所 述从设备对应的比特位由转向标识置为转向完成标识， 然后再将报文转向到 所述从设备； 或者，

当带有内层 Vlan头的报文从从设备转向回来后， 将转向标识字段中与该 从设备对应的比特位由转向标识置为转向完成标识。

7、 如权利要求 2或 3所述的方法， 其特征在于， 还包括：

根据预先设置的从设备标识和交换机端口号的第四对应关系， 为报文添 端口号；

则所述根据转向标识字段中的转向标识将带有内层 Vlan头的报文转向给 对应的从设备包括： 应的交换机端口转向给相应的从设备；

所述当才艮文完成转向后， 去除 ·艮文中的内层 Vlan头， 并通过接收 ·艮文的 通信链路继续传输报文包括：

当报文完成转向后，去除报文中的内层 Vlan头及外层 Vlan头，并通过接 收报文的通信链路继续传输报文。

8、 一种深度包检测设备， 其特征在于， 包括：

接收单元， 用于接收报文， 所述报文中包含有用户标识；

查找单元， 用于根据所述用户标识以及预先设置的用户标识与服务类型 的第一对应关系， 查找与所述报文中的用户标识对应的服务类型； 处理单元， 用于根据所述服务类型、 预先设置的服务类型和从设备标识 的第二对应关系以及从设备标识和转向标识字段中各比特位的第三对应关 系 ,为报文添加内层虚拟局域网 Vlan头，所述内层 Vlan头包括转向标识字段， 所述转向标识字段中包含有转向标识；

转向单元， 用于根据所述转向标识字段中转向标识将带有内层 Vlan头的 报文转向给对应的从设备， 所述从设备包括至少一台。

9、 如权利要求 8所述的深度包检测设备， 其特征在于， 还包括： 判断单元， 用于判断报文是否完成转向；

发送单元， 用于当所述判断单元判断报文完成转向后， 去除报文中的内 层 Vlan头， 并通过接收报文的通信链路继续传输报文。

10、 如权利要求 9所述的深度包检测设备， 其特征在于：

所述内层 Vlan头还包括链路号字段， 所述链路号字段中包含有接收报文 号字段中的链路标识对应的通信链路继续传输报文。

11、 如权利要求 8或 9所述的深度包检测设备， 其特征在于：

所述处理单元， 还用于根据预先设置的从设备标识和交换机端口号的第 四对应关系，为报文添加外层 Vlan头； 所述外层 Vlan头的值为报文即将转向 的从设备对应的交换机端口号； 贝' J ,

所述转向单元，用于将带有内层 Vlan头和外层 Vlan头的报文通过与所述 外层 Vlan头的值对应的交换机端口转向给相应的从设备；

所述发送单元， 用于当报文完成转向后， 去除报文中的内层 Vlan头及外 层 Vlan头， 并通过接收报文的通信链路继续传输报文。

+