WO2012159338A1

WO2012159338A1 - 一种虚拟专用网络的分流方法、分流设备和分流系统

Info

Publication number: WO2012159338A1
Application number: PCT/CN2011/077425
Authority: WO
Inventors: 云长江; 陆春华
Original assignee: 华为技术有限公司
Priority date: 2011-07-21
Filing date: 2011-07-21
Publication date: 2012-11-29
Also published as: CN103004145A; CN103004145B

Abstract

本发明公开了一种虚拟专用网络的分流方法、分流设备和分流系统，涉及通信领域，用以能够对同一VPN网络中各用户报文的分析。所述分流方法，包括：接收虚拟专用网络VPN中前级设备发送的报文（101）；解析所述报文，得到该报文的网络标识（102）；判断所述报文的网络标识与预设的网络标识是否匹配；所述预设的网络标识与后端设备组对应（103）；若所述报文的网络标识与预设的网络标识匹配，解析所述报文，得到该报文的五元组中的至少一项（104）；判断所述报文的五元组中至少一项与ACL表项是否匹配（105）；若所述报文的五元组中至少一项与ACL表项匹配，将所述报文发送给与该报文的网络标识对应的后端设备组（106）。本发明提供的方案适用于对VPN网络中的数据分流的情景。

Description

一种虚拟专用网络的分流方法、分流设备和分流系统技术领域

本发明涉及通信领域，尤其涉及一种虚拟专用网络的分流方法、分流设备和分流系统。

背景技术

互联网在人们日常工作和生活中发挥着越来越重要的作用，如若不能对互联网进行有效的监控和管理，将会对国家、企业或者个人的网络造成危害。目前对于信息的监控通常采用的技术是分流。用于分流的设备（以下简称为分流设备）将接收到的前级设备分光或镜像得到的报文，根据访问控制列表（英文全称为： Access Control List, 以下简称为： ACL )过滤上述报文，将不匹配 ACL任一表项的报文直接丟弃，将匹配 ACL某一表项的报文输出到后端设备进行分析处理。其中，所述 ACL规则是针对报文的五元组设定的。

虚拟专用网络（英文全称为： Virtual Private Network , 以下简称为： VPN )是在骨干的宽带互联网协议（英文全称为： Internet Protocol, 以下简称为： IP ) 网络上构建私有数据网络的技术。于 VPN 网络而言，根据 ACL 规则过滤报文，实际上只是针对报文的五元组中的一项或者多项进行匹配，这就导致了分流到一个后端设备的报文可能来自多个 VPN网络，从而不利于对同一 VPN网络中 4艮文的分析。

发明内容

本发明的实施例提供一种虚拟专用网络的分流方法、分流设备和分流系统，用以能够对同一 VPN网络中各用户 4艮文的分析。

为达到上述目的，本发明一方面提供了一种虚拟专用网络的分流方法，包括：

接收虚拟专用网络 VPN中前级设备发送的报文；其中，所述报文的网络标识携带在所述报文中，所述报文的网络标识用于表示该报文所属的 VPN网络；

解析所述报文，得到该报文的网络标识；

判断所述 4艮文的网络标识与预设的网络标识是否匹配；所述预设的网络标识与后端设备组对应；

若所述报文的网络标识与预设的网络标识匹配，解析所述报文，得到该才艮文的五元组中的至少一项；

判断所述 ^艮文的五元组中至少一项与 ACL表项是否匹配；

若所述 4艮文的五元组中至少一项与 ACL表项匹配，将所述文发送给与该 ^艮文的网络标识对应的后端设备组。

本发明的实施例另一方面提供了一种虚拟专用网络的分流设备，包括：

接收单元，用于接收虚拟专用网络 VPN中前级设备发送的报文；其中，所述报文的网络标识携带在所述报文中，所述报文的网络标识用于表示该 4艮文所属的 VPN网络；

第一网络处理器，用于解析所述报文，得到该报文的网络标识；第一匹配单元，用于判断所述报文的网络标识与预设的网络标识是否匹配；所述预设的网络标识与后端设备组对应；

第二网络处理器，用于在所述第一匹配单元的判断结果为匹配的情况下，解析所述报文，得到该报文的五元组中的至少一项；

第二匹配单元，用于判断所述 ^艮文的五元组中至少一项与 ACL表项是否匹配；

第一执行单元，用于在所述第二匹配单元的判断结果为匹配的情况下，将所述报文发送给与该报文的网络标识对应的后端设备组。

发明的实施例又一方面提供了一种虚拟专用网络的分流设备，包括：前级设备，分流设备和至少一个后端设备组；其中：

所述前级设备，用于获得来自虚拟专用网络 VPN的报文，并发送给所述分流设备；所述分流设备为上述分流设备；

所述至少一个后端设备组，用于对所述分流设备发送的报文进行分本发明实施例提供的一种虚拟专用网络的分流方法、分流设备和分流系统，当所述才艮文的网络标识与预设的网络标识相匹配时，解析才艮文；当所述 4艮文的五元组中至少一项与 ACL表项匹配时，将所述 4艮文发送给与该才艮文的网络标识对应的后端设备组。由于预设的网络标识与后端设备组对应，这就可以保证分流至同一后端设备组的报文来自同一 VPN网络，也就是说，对于同一后端设备组中的每一后端设备而言，其收到的报文均来自同一 VPN网络。

附图说明实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例提供的一种虚拟专用网络的分流方法流程图；图 2a 为本发明实施例提供的另一种虚拟专用网络的分流方法流程图；

图 2b 为本发明实施例提供的另一种虚拟专用网络的分流方法流程图；

图 3 为本发明实施例提供的一种虚拟专用网络的分流设备结构示意图；

图 4 为本发明实施例提供的另一种虚拟专用网络的分流设备结构示意图；

图 5 为本发明实施例提供的另一种虚拟专用网络的分流设备结构示意图；图 6为本发明实施例提供的一种虚拟专用网络的分流系统示意图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例提供了一种虚拟专用网络的分流方法，该分流方法的执行主体可以是一分流设备。

所述虚拟专用网络的分流方法，如图 1所示，包括：

101、接收虚拟专用网络 VPN中前级设备发送的报文；其中，所述报文的网络标识携带在所述报文中，所述报文的网络标识用于表示该报文所属的 VPN网络；

若至少两个文的网络标识相同，则所述至少两个 4艮文所属的 VPN 网络相同。报文的网络标识可以承载在该报文的一个字段中。

从报文传输的方向来说，在本发明的实施例中，所述前级设备是指 VPN 网络中逻辑上位于分流设备上游的设备。例如，前级设备可以是分光器，分光器将分光过来的报文发送至分流设备。

另外，所述 VPN 网络可以为多协议标签交换（英文全称为： Multi-Protocol Label Switching, 以下简称为： MPLS ) VPN网络，在 MPLS VPN网络中，所述网络标识为标签。

102、解析所述报文，得到该报文的网络标识；

例如，解析所述报文，读取所述报文中承载该报文的网络标识的字段，得到该报文的网络标识。

103、判断所述报文的网络标识与预设的网络标识是否匹配；所述预设的网络标识与后端设备组对应；

从报文传输的方向来说，在本发明实施例中，所述后端设备是指 VPN 网络中逻辑上位于分流设备下游的设备。例如，后端设备可以是数据分析服务器。

一个预设的网络标识对应一个后端设备组，所述后端设备组包括至少一个后端设备。具体在实际应用中一个后端设备组包括一个后端设备还是多个（例如，两个及两个以上）后端设备，可以根据实际需要预先设定。

由于网络标识用于表示 4艮文所属的 VPN网络，又由于预设的网络标识与后端设备组对应，这就可以保证分流设备能够将来自同一 VPN网络的才艮文分流至同一后端设备组。

所述判断所述 4艮文的网络标识与预设的网络标识是否匹配，可以是比较报文的网络标识和预设的网络标识，若报文的网络标识和预设的网络标识中的一个相同，则匹配，否则不匹配。

104、若所述 4艮文的网络标识与预设的网络标识匹配，解析所述 4艮文，得到该 4艮文的五元组中的至少一项；

所述五元组包括：源 IP地址、目的 IP地址、协议号、源端口号和目的端口号。

可选的，在本发明的实施例中，可以预先设定规则，在 104 中，可以根据预设的规则，解析所述报文。所述预设规则可以是指针对报文的五元组中的至少一项所预先设置的规则。例如，所述预设规则可以为针对报文中的源端口号所预先设置的规则；则所述根据预设规则解析所述报文，得到该报文的五元组中的至少一项可以为：根据预设规则，解析所述报文，得到该报文的五元组中的源端口号。又如，若预设规则是针对报文中的源端口号和目的端口号预先设定的，则可以根据预设规则解析所述报文，得到报文的源端口号和目的端口号。

105、判断所述 4艮文的五元组中至少一项与 ACL表项是否匹配；所述判断所述 4艮文的五元组中至少一项与 ACL表项是否匹配，可以是比较报文的五元组中的至少一项和 ACL表项，若相同则匹配，若不相同则不匹配。例如，文的目标 IP地址与一个 ACL表项所存储的目标 IP地址相同，则匹配，否则不匹配；又如， 4艮文的源端口号、目的端口号与一个 ACL表项所存储的源端口号、目的端口号均相同，则匹配，否则不匹配。

106、若所述 4艮文的五元组中至少一项与 ACL表项匹配，将所述才艮文发送给与该文的网络标识对应的后端设备组。

由于该 4艮文的网络标识与预设的网络标识匹配，而预设的网络标识与后端设备组对应；因此，将所述报文发送给与该报文的网络标识对应的后端设备组具体是指：将所述报文发送给与该报文的网络标识匹配的预设的网络标识所对应的后端设备组。

由于所述后端设备组包括至少一个后端设备，在本发明的一个可选实施例中，可以将报文发送给该后端设备组中的任一后端设备。

本发明实施例提供的虚拟专用网络的分流方法，当所述报文的网络标识与预设的网络标识相匹配时，解析 4艮文；当所述 4艮文的五元组中至少一项与 ACL表项匹配时，将所述报文发送给与该报文的网络标识对应的后端设备组。由于预设的网络标识与后端设备组对应，这就可以保证分流至同一后端设备组的才艮文来自同一 VPN网络，从而能够对同一 VPN网络的报文进行分析。可选的，如图 2a所示，在本发明的又一实施例中， 106具体可以为：若所述 4艮文的五元组中至少一项与 ACL表项匹配，根据所述 4艮文中携带用户标识信息的字段，将所述报文发送给与该报文的网络标识对应的后端设备组中的一个后端设备。

其中，用户标识信息可以是报文中的标签和 /或源 IP地址。因此，根据所述报文中携带用户标识信息的字段来发送报文，能够保证分流至同一后端设备的报文来自同一 VPN网络中的同一用户。也就是说，对于同一后端设备组中的某一后端设备而言，其收到的报文均来自同一 VPN网络中的同一用户。

例如，可以利用散列（英文全称： Hash ) 技术，对同一 VPN网络中的不同用户的报文进行分流。分流设备接收到的 VPN 1 中一用户的报文，该才艮文的网络标识为 1 , 该 4艮文的网络标识和预设的网络标识 1对应；预设的网络标识 1与后端设备组 A对应，其中，后端设备组 A中包括 Al、 A2、 A3 三个后端设备。当所述 4艮文的五元组中至少一项与 ACL表项匹配时，将该报文中携带用户标识信息的字段作为 Hash函数的输入，根据 Hash函数的输出，将所述报文发送给后端设备组 A中的某一个后端设备 (例如， A1 )。在这种场景中，上述 Hash 函数的输出可以理解为一个索引，根据该索引，能够知道这个用户的报文应该发送给后端设备组中的哪一个后端设备。这不仅能够保证分流至同一后端设备的报文来自同一 VPN 网络中的同一用户，还能在后端设备组中实现负载分担，避免其中某一个或者某几个后端设备的负担过重。

进一步可选的，如图 2b所示，本发明实施例提供的分流方法还可以包括：若 103和 105中任一项的判断结果为不匹配，可以进行 107: 将报文做默认处理。

当然，也可以是 103和 105的判断结果均为不匹配时，进行 107: 将报文做默认处理。优选的，上述默认处理可以包括：丟弃报文；或者，存储报文。本发明实施例还提供了与上述分流方法相对应的分流设备，该分流设备可以是业务分流平台（英文全称为 Service Splitting Platform , 简称为 SSP ), 该分流设备用于将接收到的 VPN中前级设备发送的报文，分流到后端设备。如图 3所示，该分流设备包括：

接收单元 31 , 用于接收虚拟专用网络 VPN中前级设备发送的报文；其中，所述报文的网络标识携带在所述报文中，所述报文的网络标识用于表示该 4艮文所属的 VPN网络；若至少两个文的网络标识相同，则所述至少两个 4艮文所属的 VPN 网络相同。报文的网络标识可以承载在该报文的一个字段中。

从报文传输的方向上来说，在本发明的实施例中，所述前级设备是指

VPN 网络中逻辑上位于分流设备上游的设备。例如，前级设备可以是分光器，分光器将分光过来的报文发送至分流设备。

所述 VPN网络可以为多协议标签交换 MPLS VPN网络，此时所述网络标识可以为标签。

第一网络处理器 32 , 用于解析所述报文，得到该报文的网络标识；例如，解析所述报文，读取所述报文中承载该报文的网络标识的字段，得到该报文的网络标识。

第一匹配单元 33 , 用于判断所述报文的网络标识与预设的网络标识是否匹配；所述预设的网络标识与后端设备组对应；

从报文传输的方向上来说，在本发明的实施例中，所述后端设备是指 VPN 网络中逻辑上位于分流设备下游的设备。例如，后端设备可以是数据分析服务器。

所述后端设备组包括至少一个后端设备。具体在实际应用中一个后端设备组包括一个后端设备还是多个（例如，两个及两个以上）后端设备，可以根据实际需要预先设定。

所述判断所述 4艮文的网络标识与预设的网络标识是否匹配，可以是比较才艮文的网络标识和预设的网络标识，若 4艮文的网络标识和预设网络标识中的一个相同，则匹配，否则不匹配。

第二网络处理器 34 , 还用于在所述第一匹配单元 33判断结果为匹配时，解析所述^艮文，得到该文的五元组中的至少一项；

上述第二网络处理器 34和第一网络处理器 32可以是同一个处理器，也可以是不同的处理器。

可选的，在本发明的实施例中，可以预先设定规则，在第二网络处理器 34可以根据预设的规则，解析所述报文。所述预设规则可以是指针对报文的五元组中的至少一项所预先设置的规则。例如，所述预设规则可以为针对报文中的源端口号所预先设置的规则；则所述根据预设规则解析所述报文，得到该报文的五元组中的至少一项可以为：根据预设规则，解析所述报文，得到该报文的五元组中的源端口号。又如，若预设规则是针对报文中的源端口号和目的端口号预先设定的，则可以根据预设规则解析所述报文，得到报文的源端口号和目的端口号。

第二匹配单元 35 , 用于判断所述 4艮文的五元组中至少一项与 ACL表项是否匹配；

所述判断所述 4艮文的五元组中至少一项与 ACL表项是否匹配，可以是比较报文的五元组中的至少一项和 ACL表项，若相同则匹配，若不相同则不匹配。例如，文的目标 IP地址与一个 ACL表项所存储的目标 IP地址相同，则匹配，否则不匹配；又如， 4艮文的源端口号、目的端口号与一个 ACL表项所存储的源端口号、目的端口号均相同，则匹配，否则不匹配。

第一执行单元 36 , 用于在所述第二匹配单元 35的判断结果为匹配的情况下，将所述报文发送给与该报文的网络标识对应的后端设备组。

经过第一匹配单元 33 已经可以判断得该 4艮文的网络标识与预设的网络标识匹配，而预设的网络标识与后端设备组对应；所述将所述文发送给与该报文的网络标识对应的后端设备组具体是指：将所述报文发送给该才艮文的网络标识匹配的预设的网络标识所对应的后端设备组。

由于所述后端设备组包括至少一个后端设备，第一执行单元 36可以将报文发送给与该报文的网络标识对应的后端设备组中的任一后端设备。本发明实施例提供的虚拟专用网络的分流设备，当所述报文的网络标识与预设的网络标识相匹配时，解析 4艮文；当所述 ^艮文的五元组中至少一项与 ACL表项匹配时，将所述报文发送给与该报文的网络标识对应的后端设备组。由于预设的网络标识与后端设备组对应，这就可以保证分流至同一后端设备组的才艮文来自同一 VPN网络，从而能够对同一 VPN网络的报文进行分析。

优选的，如图 4所示，第一执行单元 36可以包括：

分流执行子单元 361 , 用于在所述第二匹配单元 35判断结果为匹配时，根据所述报文中携带用户标识信息的字段，将所述报文发送给与该报文的网络标识对应的后端设备组中的一个后端设备。

进一步的可选的，如图 5所示，所述分流设备还可以包括：

第二执行单元 37 , 用于在所述第一匹配单元 33 和 /或第二匹配单元 35 的判断结果为不匹配时，将报文做默认处理。例如，丟弃报文，或者存储报文。

本发明的实施例还提供了一种虚拟专用网络的分流系统，如图 6 所示，包括：前级设备 61 , 分流设备 62以及至少一个后端设备组 63。其中，该前级设备 61 , 用于获得来自虚拟专用网络 VPN的报文，并发送给分流设备；可选的，前级设备 61可以是分光器，可以用分光等操作获得来自 VPN的报文；当然，前级设备 61也可以采用镜像等操作来获得来自 VPN网络的报文，本发明的实施例对此不做任何限定。

该分流设备 62 , 可以是如图 3-5 中任一描述的分流设备。例如，用于接收前级设备 61发送的报文，解析所述报文，得到该报文的网络标识；判断所述 ^艮文的网络标识与预设的网络标识是否匹配；所述预设的网络标识与后端设备组对应；若所述报文的网络标识与预设的网络标识匹配，解析所述文，得到该文的五元组中的至少一项；判断所述^艮文的五元组中至少一项与 ACL 表项是否匹配；若所述 4艮文的五元组中至少一项与 ACL 表项匹配，将所述报文发送给与该报文的网络标识对应的后端设备组。此处不再贅述。

该至少一个后端设备组 63 ,用于对分流设备 62发送的文进行分析。可选的，一个后端设备组包括至少一个后端设备。例如，后端设备可以是数据分析服务器、刀片服务器或者多核单板。具体在实际应用中一个后端设备组包括一个后端设备还是多个（例如，两个及两个以上）后端设备，可以根据实际需要预先设定。具体的，后端设备对报文进行分析，可以是行为分析，数据挖掘，关联分析，模式匹配等深度包检测（英文全称为： Deep Packet Inspection, 简称为： DPI ) 技术；也可以根据实际的情况进行分析，本发明的实施例对此不做限定。本发明实施例提供的虚拟专用网络的分流系统，当所述报文的网络标识与预设的网络标识相匹配时，分流设备解析报文；当所述报文的五元组中至少一项与 ACL表项匹配时，分流设备将所述报文发送给与该报文的网络标识对应的后端设备组。由于预设的网络标识与后端设备组对应，这就可以保证分流至同一后端设备组的报文来自同一 VPN网络，从而能够对同一 VPN网络的才艮文进行分析。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在可读取的存储介质中，如计算机的软盘，硬盘或光盘等，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述的方法。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

权利要求书

1、一种虚拟专用网络的分流方法，其特征在于，包括：

解析所述报文，得到该报文的网络标识；

判断所述 4艮文的五元组中至少一项与访问控制列表 ACL 表项是否匹配；

若所述报文的五元组中至少一项与 ACL表项匹配，将所述报文发送给与该 4艮文的网络标识对应的后端设备组。

2、根据权利要求 1所述的分流方法，其特征在于，将所述报文发送给该才艮文的网络标识对应的后端设备组包括：

根据所述报文中携带用户标识信息的字段，将所述报文发送给与该报文的网络标识对应的后端设备组中的一个后端设备。

3、根据权利要求 1或 2所述的分流方法，其特征在于，还包括：若所述报文的网络标识与预设的网络标识不匹配，将报文做默认处理；和 /或

若所述报文的五元组中至少一项与 ACL表项不匹配，将报文做默认处理。

4、根据权利要求 3所述的分流方法，其特征在于，所述将报文做默认处理包括：

丟弃报文；或者，存储报文。

5、根据权利要求 1〜4任一项权利要求所述的分流方法，其特征在于，所述 VPN网络为多协议标签交换 MPLS VPN网络。

6、一种虚拟专用网络的分流设备，其特征在于，包括：

接收单元，用于接收虚拟专用网络 VPN中前级设备发送的报文；其中，所述报文的网络标识携带在所述报文中，所述报文的网络标识用于表示该才艮文所属的 VPN网络；

第二网络处理器，用于在所述第一匹配单元的判断结果为匹配时，解析所述文，得到该文的五元组中的至少一项；

第一执行单元，用于在所述第二匹配单元的判断结果为匹配时，将所述报文发送给与该报文的网络标识对应的后端设备组。

7、根据权利要求 6所述的分流设备，其特征在于，所述第一执行单元包括：

分流执行子单元，用于在所述第二匹配单元判断结果为匹配时，根据所述报文中携带用户标识信息的字段，将所述报文发送给与该报文的网络标识对应的后端设备组中的一个后端设备。

8、根据权利要求 7所述的分流设备，其特征在于，所述分流设备还包括：

第二执行单元，用于在所述第一匹配单元和 /或第二匹配单元的判断结果为不匹配时，将报文做默认处理。

9、一种虚拟专用网络的分流系统，其特征在于，包括：前级设备，分流设备和至少一个后端设备组；其中：

所述前级设备，用于获得来自虚拟专用网络 VPN的报文，并发送给所述分流设备；所述分流设备为权利要求 6-8中任一项所述的分流设备；

所述至少一个后端设备组，用于对所述分流设备发送的报文进行分析。