CN102647343B - 安全网络设备的流量控制方法及*** - Google Patents
安全网络设备的流量控制方法及*** Download PDFInfo
- Publication number
- CN102647343B CN102647343B CN201210088285.XA CN201210088285A CN102647343B CN 102647343 B CN102647343 B CN 102647343B CN 201210088285 A CN201210088285 A CN 201210088285A CN 102647343 B CN102647343 B CN 102647343B
- Authority
- CN
- China
- Prior art keywords
- message
- forwarding table
- fast
- current message
- outgoing interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种安全网络设备的流量控制方法及***,涉及网络通信技术领域,本发明通过将流量控制设备和安全网络设备进行融合,并同时对报文的处理流程进行优化,使安全网络设备在进行流量控制时,采用相同的快速转发表,从而实现了在对报文处理时,无需进行二次匹配,实现了通过一台安全网络设备对报文处理同时完成流量控制设备和安全网络设备所有功能所用的时间远远小于流量控制设备和安全网络设备分别对报文处理时间的总和,并且实现了设备采购成本,提高了网络性能。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种安全网络设备的流量控制方法及***。
背景技术
报文(message)是网络中交换与传输的数据单元,即站点一次性要发送的数据块。报文包含了将要发送的完整的数据信息,其长短很不一致,长度不限且可变,根据长度不同可分为自由报文和数字报文。
报文也是网络传输的单位,传输过程中会不断的封装成分组、包、或帧来进行传输,封装的方式就是添加一些信息段,那些就是报文头以一定格式组织起来的数据,比如该信息段里面有报文类型、报文版本、报文长度、以及报文实体等等信息。
目前,当用户构建网络时,通常会同时购买安全网络设备和流量控制设备,流量控制设备主要是对报文进行四层业务的深度分析,如用户行为统计,并对报文进行相应的控制(例如阻断控制、带宽控制等)。安全网络设备(如防火墙设备)对报文做网络地址转换(NETWORKADDRESSTRANSLATION,NAT)、Internet协议安全性(IPSEC)加解密等处理。但由于安全网络设备和流量控制设备的成本均较高、功能较为单一,并且由于安全网络设备和流量控制设备对报文均需要进行处理,导致报文处理时间的增加,使网络性能较低。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何减少报文处理时间,并降低成本。
(二)技术方案
为解决上述技术问题,本发明提供了一种安全网络设备的流量控制方法,所述方法包括以下步骤:
S1:接收内网A向外网B发送的当前报文;
S2:对所述当前报文进行解析,并进行二层协议头处理;
S3:根据所述当前报文的IP五元组查找快速转发表,若查找到记录,则将查找到的出接口作为所述当前报文的出接口,若未查找到记录,则通过路由表查找报文的出接口,将查找到的出接口作为所述当前报文的出接口,并将查找到的出接口与所述IP五元组之间的对应关系保存至所述快速转发表,所述出接口为物理接口;
S4:对所述当前报文进行二层协议头封装;
S5:将所述当前报文和所述当前报文之前的报文中具有相同IP五元组的报文划分为同一条数据流,对属于同一条数据流的报文通过所述快速转发表进行流量控制;
S6:将所述当前报文通过所述当前报文的出接口进行转发。
优选地,步骤S6之后还包括以下步骤:
S7:接收所述外网B接收到所述内网A所发送的所述当前报文后的回应报文;
S8:对所述回应报文和所述回应报文之前的回应报文中具有相同IP五元组的报文划分为同一条数据流,对属于同一条数据流的回应报文通过所述快速转发表进行流量控制;
S9:通过查询所述快速转发表,将所述回应报文发送至所述内网A。
优选地,所述快速转发表中还包括AAA处理结果,
步骤S3中在查找快速转发表时,还获得相应的AAA处理结果,若未查找到记录,还进行AAA处理,并对应的AAA处理结果存储至所述快速转发表。
优选地,所述快速转发表中还包括NAT处理结果,
步骤S3中在查找快速转发表时,还获得相应的NAT处理结果,若未查找到记录,还进行NAT处理,并对应的NAT处理结果存储至所述快速转发表。
优选地,所述快速转发表中还包括VPN处理结果,
步骤S3中在查找快速转发表时,还获得相应的VPN处理结果,若未查找到记录,还进行VPN处理,并对应的VPN处理结果存储至所述快速转发表。
优选地,所述IP五元组包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议号。
本发明还公开了一种安全网络设备的流量控制***,所述***包括:
接收模块,用于接收内网A向外网B发送的当前报文;
二层处理模块,用于对所述当前报文进行解析,并进行二层协议头处理;
查表模块,用于根据所述当前报文的IP五元组查找快速转发表,若查找到记录,则将查找到的出接口作为所述当前报文的出接口,若未查找到记录,则通过路由表查找报文的出接口,将查找到的出接口作为所述当前报文的出接口,并将查找到的出接口与所述IP五元组之间的对应关系保存至所述快速转发表,所述出接口为物理接口;
二层封装模块,用于对所述当前报文进行二层协议头封装;
流量控制模块,用于将所述当前报文和所述当前报文之前的报文中具有相同IP五元组的报文划分为同一条数据流,对属于同一条数据流的报文通过所述快速转发表进行流量控制;
转发模块,用于将所述当前报文通过所述当前报文的出接口进行转发。
(三)有益效果
本发明通过将流量控制设备和安全网络设备进行融合,并同时对报文的处理流程进行优化,使安全网络设备在进行流量控制时,采用相同的快速转发表,从而实现了在对报文处理时,无需进行二次匹配,实现了通过一台安全网络设备对报文处理同时完成流量控制设备和安全网络设备所有功能所用的时间远远小于流量控制设备和安全网络设备分别对报文处理时间的总和,并且实现了设备采购成本,提高了网络性能。
附图说明
图1是按照本发明一种实施方式的安全网络设备的流量控制方法的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是按照本发明一种实施方式的安全网络设备的流量控制方法的流程图;参照图1,本实施方式的方法包括以下步骤:
S1:接收内网A向外网B发送的当前报文;
S2:对所述当前报文进行解析,并进行二层协议头处理;即根据当前报文的报文头中的介质访问控制(MediaAccessControl,MAC)地址进行判断,若是本机报文,则由本机进行二层协议头处理,否则丢弃所述当前报文;
S3:根据所述当前报文的IP五元组查找快速转发表,若查找到记录,则将查找到的出接口作为所述当前报文的出接口,若未查找到记录,则通过路由表查找报文的出接口,将查找到的出接口作为所述当前报文的出接口,并将查找到的出接口与所述IP五元组之间的对应关系保存至所述快速转发表,所述出接口为物理接口;其中,所述IP五元组包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议号。
S4:对所述当前报文进行二层协议头封装;即将当前报文的出接口对应的MAC地址封装至所述当前报文的报文头中;
S5:将所述当前报文和所述当前报文之前的报文中具有相同IP五元组的报文划分为同一条数据流,对属于同一条数据流的报文通过所述快速转发表进行流量控制;
S6:将所述当前报文通过所述当前报文的出接口进行转发。
为实现对回应报文的流量控制,优选地,步骤S6之后还包括以下步骤:
S7:接收所述外网B接收到所述内网A所发送的所述当前报文后的回应报文;
S8:对所述回应报文和所述回应报文之前的回应报文中具有相同IP五元组的报文划分为同一条数据流,对属于同一条数据流的回应报文通过所述快速转发表进行流量控制;
S9:通过查询所述快速转发表,将所述回应报文发送至所述内网A。
为进一步提高当前报文在进行转发的过程中需要进行身份验证-授权-统计(Authentication-Authorization-Accounting,AAA)处理的速度,优选地,所述快速转发表中还包括AAA处理结果,
步骤S3中在查找快速转发表时,还获得相应的AAA处理结果,若未查找到记录,还进行AAA处理,并对应的AAA处理结果存储至所述快速转发表。
为进一步提高当前报文在进行转发的过程中需要进行NAT处理的速度,优选地,所述快速转发表中还包括NAT处理结果,
步骤S3中在查找快速转发表时,还获得相应的NAT处理结果,若未查找到记录,还进行NAT处理,并对应的NAT处理结果存储至所述快速转发表。
为进一步提高当前报文在进行转发的过程中需要进行虚拟专用网络(VirtualPrivateNetwork,VPN)处理的速度,优选地,所述快速转发表中还包括VPN处理结果,
步骤S3中在查找快速转发表时,还获得相应的VPN处理结果,若未查找到记录,还进行VPN处理,并对应的VPN处理结果存储至所述快速转发表。
本发明还公开了一种安全网络设备的流量控制***,所述***包括:
接收模块,用于接收内网A向外网B发送的当前报文;
二层处理模块,用于对所述当前报文进行解析,并进行二层协议头处理;
查表模块,用于根据所述当前报文的IP五元组查找快速转发表,若查找到记录,则将查找到的出接口作为所述当前报文的出接口,若未查找到记录,则通过路由表查找报文的出接口,将查找到的出接口作为所述当前报文的出接口,并将查找到的出接口与所述IP五元组之间的对应关系保存至所述快速转发表,所述出接口为物理接口;
二层封装模块,用于对所述当前报文进行二层协议头封装;
流量控制模块,用于将所述当前报文和所述当前报文之前的报文中具有相同IP五元组的报文划分为同一条数据流,对属于同一条数据流的报文通过所述快速转发表进行流量控制;
转发模块,用于将所述当前报文通过所述当前报文的出接口进行转发。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (7)
1.一种安全网络设备的流量控制方法,其特征在于,所述方法包括以下步骤:
S1:接收内网A向外网B发送的当前报文;
S2:对所述当前报文进行解析,并进行二层协议头处理;
S3:根据所述当前报文的IP五元组查找快速转发表,若查找到记录,则将查找到的出接口作为所述当前报文的出接口,若未查找到记录,则通过路由表查找报文的出接口,将查找到的出接口作为所述当前报文的出接口,并将查找到的出接口与所述IP五元组之间的对应关系保存至所述快速转发表,所述出接口为物理接口;
S4:对所述当前报文进行二层协议头封装;
S5:将所述当前报文和所述当前报文之前的报文中具有相同IP五元组的报文划分为同一条数据流,对属于同一条数据流的报文通过所述快速转发表进行流量控制;
S6:将所述当前报文通过所述当前报文的出接口进行转发。
2.如权利要求1所述的方法,其特征在于,步骤S6之后还包括以下步骤:
S7:接收所述外网B接收到所述内网A所发送的所述当前报文后的回应报文;
S8:对所述回应报文和所述回应报文之前的回应报文中具有相同IP五元组的报文划分为同一条数据流,对属于同一条数据流的回应报文通过所述快速转发表进行流量控制;
S9:通过查询所述快速转发表,将所述回应报文发送至所述内网A。
3.如权利要求1所述的方法,其特征在于,所述快速转发表中还包括AAA处理结果,所述AAA为身份验证-授权-统计,
步骤S3中在查找快速转发表时,还获得相应的AAA处理结果,若未查找到记录,还进行AAA处理,并对应的AAA处理结果存储至所述快速转发表。
4.如权利要求1所述的方法,其特征在于,所述快速转发表中还包括NAT处理结果,
步骤S3中在查找快速转发表时,还获得相应的NAT处理结果,若未查找到记录,还进行NAT处理,并对应的NAT处理结果存储至所述快速转发表。
5.如权利要求1所述的方法,其特征在于,所述快速转发表中还包括VPN处理结果,
步骤S3中在查找快速转发表时,还获得相应的VPN处理结果,若未查找到记录,还进行VPN处理,并对应的VPN处理结果存储至所述快速转发表。
6.如权利要求1~5中任一项所述的方法,其特征在于,所述IP五元组包括:源IP地址、源端口、目的IP地址、目的端口和传输层协议号。
7.一种安全网络设备的流量控制***,其特征在于,所述***包括:
接收模块,用于接收内网A向外网B发送的当前报文;
二层处理模块,用于对所述当前报文进行解析,并进行二层协议头处理;
查表模块,用于根据所述当前报文的IP五元组查找快速转发表,若查找到记录,则将查找到的出接口作为所述当前报文的出接口,若未查找到记录,则通过路由表查找报文的出接口,将查找到的出接口作为所述当前报文的出接口,并将查找到的出接口与所述IP五元组之间的对应关系保存至所述快速转发表,所述出接口为物理接口;
二层封装模块,用于对所述当前报文进行二层协议头封装;
流量控制模块,用于将所述当前报文和所述当前报文之前的报文中具有相同IP五元组的报文划分为同一条数据流,对属于同一条数据流的报文通过所述快速转发表进行流量控制;
转发模块,用于将所述当前报文通过所述当前报文的出接口进行转发。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210088285.XA CN102647343B (zh) | 2012-03-30 | 2012-03-30 | 安全网络设备的流量控制方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210088285.XA CN102647343B (zh) | 2012-03-30 | 2012-03-30 | 安全网络设备的流量控制方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102647343A CN102647343A (zh) | 2012-08-22 |
| CN102647343B true CN102647343B (zh) | 2016-01-06 |
Family
ID=46659927
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210088285.XA Expired - Fee Related CN102647343B (zh) | 2012-03-30 | 2012-03-30 | 安全网络设备的流量控制方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102647343B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103684830B (zh) * | 2012-09-18 | 2016-11-09 | 北京网康科技有限公司 | 控制用户识别的方法、装置和*** |
| CN103237039A (zh) * | 2013-05-10 | 2013-08-07 | 汉柏科技有限公司 | 一种报文转发方法及设备 |
| CN103763194B (zh) * | 2013-12-31 | 2017-08-22 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN113645188B (zh) * | 2021-07-07 | 2023-05-09 | 中国电子科技集团公司第三十研究所 | 一种基于安全关联的数据包快速转发方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106528A (zh) * | 2007-07-31 | 2008-01-16 | 杭州华三通信技术有限公司 | 基于安全设备的报文转发***和方法以及安全设备 |
| CN101635676A (zh) * | 2009-08-31 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种报文处理方法和一种网络设备 |
| CN101938415A (zh) * | 2010-08-30 | 2011-01-05 | 北京傲天动联技术有限公司 | 网络转发设备的快速转发方法 |
| CN102158422A (zh) * | 2011-05-27 | 2011-08-17 | 杭州华三通信技术有限公司 | 一种用于二层环网中的报文转发的方法和设备 |
| CN102316012A (zh) * | 2010-06-30 | 2012-01-11 | 杭州华三通信技术有限公司 | 一种实现ip快转的方法和三层转发设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010151496A1 (en) * | 2009-06-22 | 2010-12-29 | Citrix Systems, Inc. | Systems and methods for platform rate limiting |
-
2012
- 2012-03-30 CN CN201210088285.XA patent/CN102647343B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106528A (zh) * | 2007-07-31 | 2008-01-16 | 杭州华三通信技术有限公司 | 基于安全设备的报文转发***和方法以及安全设备 |
| CN101635676A (zh) * | 2009-08-31 | 2010-01-27 | 杭州华三通信技术有限公司 | 一种报文处理方法和一种网络设备 |
| CN102316012A (zh) * | 2010-06-30 | 2012-01-11 | 杭州华三通信技术有限公司 | 一种实现ip快转的方法和三层转发设备 |
| CN101938415A (zh) * | 2010-08-30 | 2011-01-05 | 北京傲天动联技术有限公司 | 网络转发设备的快速转发方法 |
| CN102158422A (zh) * | 2011-05-27 | 2011-08-17 | 杭州华三通信技术有限公司 | 一种用于二层环网中的报文转发的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102647343A (zh) | 2012-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102882789B (zh) | 一种数据报文处理方法、***及设备 | |
| US10122629B2 (en) | Systems and methods for externalizing network functions via packet trunking | |
| US8259571B1 (en) | Handling overlapping IP addresses in multi-tenant architecture | |
| US9992310B2 (en) | Multi-hop Wan MACsec over IP | |
| US20200084141A1 (en) | Methods and systems for network security universal control point | |
| US10904217B2 (en) | Encryption for gateway tunnel-based VPNs independent of wan transport addresses | |
| US9967185B1 (en) | Interface for extending service capabilities of a network device | |
| CN102136989B (zh) | 报文传输的方法、***和设备 | |
| CN102932377B (zh) | 一种ip报文过滤方法及装置 | |
| US10505759B2 (en) | Access layer-2 virtual private network from layer-3 virtual private network | |
| EP3292661B1 (en) | Packet forwarding | |
| WO2018121397A1 (zh) | 一种网络流量控制方法以及交换机设备 | |
| CN103139222A (zh) | 一种ipsec隧道数据传输方法及装置 | |
| CN102647343B (zh) | 安全网络设备的流量控制方法及*** | |
| CN105516062A (zh) | 一种实现L2TP over IPsec接入的方法 | |
| CN112449751A (zh) | 一种数据传输方法、交换机及站点 | |
| US10951520B2 (en) | SDN, method for forwarding packet by SDN, and apparatus | |
| CN103457952A (zh) | 一种基于加密引擎的IPSec处理方法和设备 | |
| CN106161386B (zh) | 一种实现IPsec分流的方法和装置 | |
| CN102932229A (zh) | 一种对数据包进行加解密处理的方法 | |
| CN112600802B (zh) | 一种SRv6加密报文、SRv6报文的加解密方法及装置 | |
| CN102647347B (zh) | 实现基于连接的流量的处理方法及*** | |
| CN111464550B (zh) | 一种用于报文处理设备的https透明防护方法 | |
| CN103607350A (zh) | 一种路由生成方法及装置 | |
| US20130133060A1 (en) | Communication system, control device and control program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160106 Termination date: 20180330 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |