CN108683610A

CN108683610A - 一种实现多业务规则匹配以及流量复制的***及方法

Info

Publication number: CN108683610A
Application number: CN201810326074.2A
Authority: CN
Inventors: 邹昕; 张家琦; 于敬敬; 孙浩; 韩志前; 王佩; 王维晟; 马秀娟
Original assignee: Nanjing Sinovatio Technology LLC; National Computer Network and Information Security Management Center
Current assignee: Nanjing Sinovatio Technology LLC; National Computer Network and Information Security Management Center
Priority date: 2018-04-12
Filing date: 2018-04-12
Publication date: 2018-10-19

Abstract

本发明公开一种实现多业务规则匹配以及流量复制的***及方法，其中通过一级分流设备提供多业务配置、查询、匹配查找等业务之间相互独立的平台，通过用户标签属性与报文信息的共同编址，将匹配结果做二次判别，完成多业务转发动作的聚合设定。二级交换机实现多业务流量的复制。该方案可以成倍地节省空间和电力，并极大地缓解***疲于扩容升级的难题。

Description

一种实现多业务规则匹配以及流量复制的***及方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于网络处理器实现多业务规则匹配以及流量复制的***。

本发明同时涉及基于网络处理器实现多业务规则匹配以及流量复制的方法。

背景技术

近年来，骨干网海量数据的实时网络安全处理已经成为世界主要大国在互联网领域进行战略对抗和竞争的主要焦点。随着互联网带宽高速扩容，新业务层出不穷，通过分流设备来完成多业务匹配和复制需求时，对于当前主流网络处理器，包括NP或FPGA等，都存在业务流量复制的瓶颈，尤其是在业务数量超过四个时，性能接近呈指数下降。

故，需要一种新的技术方案以解决上述问题。

发明内容

本发明的目的在于：提供一种实现多业务规则匹配以及流量复制的***，用以解决网络中多业务情况下业务流量复制效率低下的问题。

本发明同时提供多种VPN流量的采集分析方法，同样用以解决网络中多业务情况下业务流量复制效率低下的问题。

为达到上述目的，本发明实现多业务规则匹配以及流量复制的***可采用如下技术方案：

一种实现多业务规则匹配以及流量复制的***，包括：

一级分流设备，用以配置多业务信息，按需提取流量关键字查表，获取多业务用户信息，并根据多业务用户信息，计算该多业务组合的vlan id，并在原始报文中添加一层vlan，以及在输出报文的SMAC、DMAC上添加标识；

二级交换机，用以接收一级分流设备输出的输出报文，并通过VLAN泛洪机制完成多业务流量复制后将需共享的流量转发至不同业务所属端口。

有益效果：本发明提供的实现多业务规则匹配以及流量复制的***中，一级分流设备提供多业务配置、查询、匹配查找等业务之间相互独立的平台，通过用户标签属性与报文信息的共同编址，将匹配结果做二次判别，完成多业务转发动作的聚合设定。二级交换机实现多业务流量的复制。该方案可以成倍地节省空间和电力，并极大地缓解***疲于扩容升级的难题。

进一步的，多业务信息为多用户对应的服务器server的mac地址的编址信息。

进一步的，对于MAC封装格式，多业务用户等分12字节的mac地址长度。

进一步的，一级分流设备将编址后的多业务用户信息替换原始链路头。

本发明提供的实现多业务规则匹配以及流量复制的方法可采用如下技术方案，包括以下步骤：

(1)、通过一级分流设备配置多业务信息，按需提取流量关键字查表，获取多业务用户信息，并根据多业务用户信息，计算该多业务组合的vlan id，并在原始报文中添加一层vlan，以及在输出报文的SMAC、DMAC上添加标识；

(2)、一级分流设备将输出报文输送至二级交换机，二级交换机通过VLAN泛洪机制完成多业务流量复制后将需共享的流量转发至不同业务所属端口。

有益效果：本发明提供的实现多业务规则匹配以及流量复制的方法通过一级分流设备提供多业务配置、查询、匹配查找等业务之间相互独立的平台，通过用户标签属性与报文信息的共同编址，将匹配结果做二次判别，完成多业务转发动作的聚合设定。二级交换机实现多业务流量的复制。该方案可以成倍地节省空间和电力，并极大地缓解***疲于扩容升级的难题。

本发明提供的实现多业务规则匹配以及流量复制的方法还可以采用以下技术方案，包括以下步骤：

步骤101，流量进入一级分流设备，匹配规则，一级分流设备对流量进行解析处理；

步骤102，一级分流设备配置多业务信息，按需提取流量关键字查表，获取多业务用户信息，确定是哪些业务需要的流量；

步骤103，根据多业务用户信息，计算该多业务组合的vlan id，并在原始报文中添加一层vlan；

步骤104，MAC地址封装，输出报文的SMAC、DMAC上添加标识；

步骤105，将封装了vlan和修改了mac的报文发送到二级交换机；

步骤106，携带VLAN标签值的报文进入二级交换机之后，二级交换机通过VLAN广播或匹配VLAN ACL将特定VLAN标签流量转发至复制端口组输出。

附图说明

图1为本发明中的多业务规则匹配和流量复制方法流程图。

图2为一级分流设备需要在输出报文的SMAC、DMAC上添加特定标识的示意图。

具体实施方式

下面结合附图对进行说明。

实施例一

可参考图1，实施例一提供一种实现多业务规则匹配以及流量复制的***，包括一级分流设备及二级交换机。

一级分流设备及根据多业务配置，查表得到多业务用户信息。对多业务信息编址，将编址后的信息替换原始链路头。为了进一步可扩展，也可以使用“MacInMac”格式封装原始报文输出。

a1、对于多业务用户信息，可以是多用户对应的服务器server的mac地址的编址信息。

a2、对于MAC封装格式，多业务用户可以等分12字节的mac地址长度，也可以不等分。各业务用户占用的长度可以根据需求灵活可配置。结合图2，一级分流设备需要在输出报文的SMAC、DMAC上带特定的标,。

根据命中的业务情况，计算vlan。对需标记的n种不同业务，最大可能的组合数目为：

VLAN id＝2n+X(n取值范围为0-11)

X＝1(X固定取值为1，不随业务数量、业务号变化)

如：业务1：n＝0；VLAN id＝20+1＝2；

如：业务2：n＝1；VLAN id＝21+1＝3；

如：业务1+业务2：VLAN id＝20+21+x＝4；

业务1+业务2+……+业务N：

VLAN id＝2n+2n-1+……+20+X；

在VLAN id≦4094的情况下，可求得n最大值为11。也就是说，在一层VLAN前提下，***最大可支持11种独立业务的共性组合，未来可根据需要进一步扩展，采用QinQ技术增加容量。

二级交换机用以接收一级分流设备输出的输出报文，并通过VLAN泛洪机制完成多业务流量复制后将需共享的流量转发至不同业务所属端口。

实施例二

对应上述实现多业务规则匹配以及流量复制的***，该实施例二提供实现多业务规则匹配以及流量复制的方法，包括：

实施例三

请结合图1所示，本实施例提供一种实现多业务规则匹配以及流量复制的方法，包括以下步骤：

步骤104，MAC地址封装，输出报文的SMAC、DMAC上添加标识；

步骤105，将封装了vlan和修改了mac的报文发送到二级交换机；

本发明主要在于提出一种“通过一级分流设备和二级交换机级联的方式，实现多业务规则匹配和流量复制”的解决方案。

Claims

1.一种实现多业务规则匹配以及流量复制的***，其特征在于，包括：

2.根据权利要求1所述的***，其特征在于：多业务信息为多用户对应的服务器server的mac地址的编址信息。

3.根据权利要求1所述的***，其特征在于：对于MAC封装格式，多业务用户等分12字节的mac地址长度。

4.根据权利要求1所述的***，其特征在于：一级分流设备将编址后的多业务用户信息替换原始链路头。

5.一种实现多业务规则匹配以及流量复制的方法，其特征在于，包括以下步骤：

6.根据权利要求5所述的方法，其特征在于：多业务信息为多用户对应的服务器server的mac地址的编址信息。

7.根据权利要求5所述的方法，其特征在于：对于MAC封装格式，多业务用户等分12字节的mac地址长度。

8.根据权利要求6所述的方法，其特征在于：步骤(1)中，将编址后的多业务用户信息替换原始链路头。

9.一种实现多业务规则匹配以及流量复制的方法，其特征在于，包括以下步骤：

步骤104，MAC地址封装，输出报文的SMAC、DMAC上添加标识；

步骤105，将封装了vlan和修改了mac的报文发送到二级交换机；