一种业务处理方法及设备与流程

[0001]
本申请涉及通信技术，具体的讲是一种业务处理方法及设备。


背景技术：

[0002]
防火墙的虚拟化，就是将一台物理防火墙设备从逻辑上划分为多台虚拟防火墙设备，但是共享cpu、内存等物理资源；不同的虚拟防火墙之间，配置、转发完全隔离，从而实现功能定制、个性化管理以及资源的最大化利用。通过虚拟化技术将一台物理设备划分成多台逻辑设备，每台逻辑设备就称为一个context。每个context拥有自己专属的软硬件资源，独立运行，提高组网灵活性。
[0003]
防火墙设备还可增加插卡板处理特殊的业务需求，譬如运行人工智能算法进行流量分析、运行耗性能的引擎进行病毒检测等。但是，在防火墙设备被虚拟化成多个虚拟防火墙的网络场景下，防火墙设备的插卡板无法区分处理的流量属于哪个虚拟防火墙。原因是，插卡板上无法针对不同的虚拟防火墙应用不同的业务配置、以及无法在插卡板上执行不同虚拟防火墙之间的业务报文隔离。
[0004]
如图1所示的防火墙设备中有管理context以及虚拟防火墙context1和context2。虚拟防火墙context1和context2以各自绑定的虚拟网口21和22的mac地址进行arp协议交互，虚拟防火墙context1和context2发出的业务报文的源mac地址为各自绑定的虚拟网口21和22的mac地址；发往虚拟防火墙context1和context2业务报文的目的mac地址为各自绑定的虚拟网口21和22的mac地址。防火墙设备通过入接口接收到来自上一级设备根据业务报文目的mac地址进行二层转发，将业务报文发各目的mac地址对应接口1或接口2。
[0005]
图1中，接口板/交换板还会复制发往虚拟防火墙context1和context2业务报文，作为镜像报文发往接口3，插卡板通过连接接口3的物理网口30收到镜像报文，进行旁路业务处理，将旁路业务处理结果发往管理context，然后丢弃镜像报文。旁路处理业务不区分虚拟防火墙，无法隔离不同虚拟防火墙之间的业务报文。


技术实现要素：

[0006]
本申请的目的在于提供一种业务处理方法和设备，在防火墙设备的插卡板上提供隔离不同虚拟防火墙之间的旁路业务处理。
[0007]
为实现上述目的，本申请提供一种业务处理方法，其中该方法包括：接收发往插卡板的镜像报文流；查找镜像报文流的各镜像报文的目的mac地址或源mac地址映射的插卡板虚拟网口；将各镜像报文存储在映射的插卡板虚拟网口的接收队列；各虚拟防火墙从关联的插卡板虚拟网口的接收队列读取镜像报文进行旁路业务处理，丢弃完成旁路处理后的各镜像报文。
[0008]
为实现上述目的，本申请还提供了一种业务处理设备，该业务处理设备作为防火墙设备的插卡板，该设备包括：接收模块，接收发往插卡板的镜像报文流；分发模块，用于查找镜像报文流的各镜像报文的目的mac地址或源mac地址映射的插卡板虚拟网口；虚拟网口
驱动模块，用于将将各镜像报文存储在映射的插卡板虚拟网口的接收队列；各虚拟防火墙从关联的插卡板虚拟网口的接收队列读取镜像报文进行旁路业务处理，丢弃完成旁路处理后的各镜像。
[0009]
本申请的有益效果在于，在防火墙设备的插卡板不仅隔离不同虚拟防火墙之间的镜像报文，并且提供了插卡板不同虚拟防火墙之间的隔离旁路业务处理，有利于防火墙设备在插卡板上根据旁路业务需求的种类提供不同的业务处理，提高了防火墙设备的旁路业务处理的灵活性。
附图说明
[0010]
图1所示为现有的防火墙插卡板处理报文的状态示意图；
[0011]
图2所示为本申请提供的业务处理方法的流程图；
[0012]
图3所示为本申请提供的业务处理设备的示意图。
具体实施方式
[0013]
将以多个附图所示的多个例子进行详细说明。在以下详细描述中，多个具体细节用于提供对本申请的全面理解。实例中没有详细地描述已知的方法、步骤、组件以及电路，以免使这些例子难于理解。
[0014]
使用的术语中，术语“包括”表示包括但不限于；术语“含有”表示包括但不限于；术语“以上”、“以内”以及“以下”包含本数；术语“大于”、“小于”表示不包含本数。术语“基于”表示至少基于其中一部分。
[0015]
图2所示为本申请提供的业务处理方法的流程图；该方法包括：
[0016]
步骤201，接收发往插卡板的镜像报文流；
[0017]
步骤202，查找镜像报文流的各镜像报文的目的mac地址或源mac地址映射的插卡板虚拟网口；
[0018]
步骤203，将各镜像报文存储在映射的插卡板虚拟网口的接收队列；
[0019]
步骤204，各虚拟防火墙从关联的插卡板虚拟网口的接收队列读取镜像报文进行旁路业务处理；
[0020]
步骤205，各虚拟防火墙丢弃完成旁路处理后的各镜像报文。
[0021]
图1所示的方法的有益效果在于，在防火墙设备的插卡板上隔离不同虚拟防火墙之间的镜像报文，提供了插卡板不同虚拟防火墙之间的隔离旁路业务处理。
[0022]
图3所示为本申请提供的业务处理设备40的示意图，该业务处理设备40可以作为防火墙设备的插卡板。业务处理设备40包括处理器cpu41、存储器42以及收发模块43。
[0023]
存储器42用于存储处理器可执行指令；处理器41通过运行存储器42的处理器可执行指令用以实现虚拟网口驱动模块421，配置管理模块422、分发模块423。
[0024]
虚拟网口驱动模块421，用于生成插卡板40的虚拟网口31、32以及33，分别关联虚拟防火墙context1、虚拟防火墙context2以及管理context。
[0025]
配置管理模块422，基于由防火墙板的管理context同步的配置信息，获取虚拟防火墙context1与虚拟网口21的关联关系以及虚拟防火墙context2与虚拟网口22的关联关系；获取虚拟网口21对应的mac地址mac21以及虚拟网口22对应的mac地址mac222；从虚拟网
口驱动模块421获取虚拟防火墙context1与虚拟网口31的关联关系以及虚拟防火墙context2与虚拟网口32的关联关系。
[0026]
配置管理模块422，生成插卡板虚拟网口地址映射关系，用于记录虚拟网口21的mac地址mac21映射于虚拟网口31，以及虚拟网口22的mac地址mac22映射于虚拟网口32。管理配置模块42将生成的插卡板虚拟网口地址映射关系发送给分发模块423。接收模块43，从插卡板40的物理网口30接收镜像报文流。接收模块43可以是物理网卡，缓存从物理端口30读取的镜像报文流的各镜像报文，通过dpdk(data plane development kit)、libpcap(packet capture library)等方式送入报文分发模块423。
[0027]
分发模块423，根据镜像报文流的各镜像报文的目的mac地址或源mac地址查找插卡板虚拟网口地址映射关系。因为，防火墙板的虚拟防火墙context1或context2发出的报文的源mac地址分别是虚拟网口21或22的mac地址；而上一级设备发往防火墙板的虚拟防火墙context1或context2的报文的目的mac地址也是虚拟网口21或22的mac地址。
[0028]
分发模块423通过查找插卡板虚拟网口地址映射关系，确定出插卡板40上虚拟防火墙context1或context2的虚拟网口31或32。
[0029]
分发模块423根据虚拟网口驱动模块421提供接口，将各镜像报文写入到虚拟网口驱动模块421中虚拟网口31或32的接收队列。
[0030]
虚拟网口驱动模块421可通过触发软中断通知插卡板40上的虚拟防火墙context1或context2收到了报文。这样，虚拟防火墙context1或context2分别通过虚拟网口31或32接收到的各自的镜像报文。
[0031]
插卡板40上，虚拟防火墙context1或context2分别从各自关联的虚拟网口31或32的接收队列读取镜像报文，进行旁路业务处理，完成旁路处理之后，丢弃完成旁路处理的各镜像报文；虚拟防火墙context1或context2还可进一步将旁路业务处理的结果记录在插卡板40的虚拟防火墙context1或context2的本地旁路业务日志。
[0032]
分发模块423，基于收到的镜像报文的源mac地址或目的mac地址在生成的插卡板虚拟网口地址映射关系没有查找到对应的虚拟网口31或32。
[0033]
虚拟网口驱动模块421还用将未查找到映射插卡板虚拟网口的各镜像报文存储在虚拟网口33的接收队列，即插卡板上的管理虚拟网口的接收队列。同样的，分发模块423根据虚拟网口驱动模块421提供接口，将这些查找匹配失败的各镜像报文写入到虚拟网口驱动模块421中虚拟网口33的接收队列。
[0034]
虚拟网口驱动模块421可通过触发软中断通知插卡板40上管理context收到了报文。插卡板30上的管理context通过虚拟网口33接收到的镜像报文。
[0035]
在插卡板40上，管理context从关联的虚拟网口33的接收队列读取存储的各镜像报文进行旁路处理，丢弃管理虚拟网口的接收队列中完成旁路处理的各镜像报文。管理context将旁路业务处理的结果记录在插卡板40的本地管理context旁路业务日志。
[0036]
在插卡板40上，虚拟防火墙context1或context2分别将插卡板40上存储的本地旁路业务日志同步到防火墙板上各自的虚拟防火墙的业务日志；管理context，将插卡板40上存储的管理context的旁路业务日志同步到防火墙板上管理context的业务日志。
[0037]
本申请的有益效果在于，能够解决防火墙设备处理旁路镜像报文流量场景下支持多用户虚拟化，在防火墙设备的插卡板隔离不同用户的虚拟防火墙之间的镜像报文，提高
了防火墙设备的旁路业务处理的灵活性。
[0038]
以上仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。