一种报文转发方法和装置的制造方法
【技术领域】
[0001] 本发明涉及互联网领域,特别是涉及一种报文转发方法和装置。
【背景技术】
[0002] 网络是信息传递的桥梁,通过网络,用户可以便捷的发送或者获取信息,但是,网 络上除了有用信息以外,也有用户或团体通过网络散布一些违法的信息,所以网络信息安 全必须纳入法制化管理,在正常报文转发过程中进行有效信息监控,以此检索出不良信息, 净化网络。
[0003] 而流量是指由报文组成的数据量,也就是说,对流量的业务监控实际上就是对组 成流量的报文的业务监控,现有针对网上转发的报文的业务监控,一般是采用访问控制列 表(英文:Access Control List,缩写:ACL)策略通过重定向的方式进行的,比如说,如果部 门需要监控一个网站所转发的报文内容是否合法,首先通过ACL的方式配置策略路由,将 该网站的输出报文重定向到该部门指定的出端口,即将所述输出报文复制一份,将复制的 报文发送到该部门指定的出端口,然后由连接该出端口的单台设备对接收到的流量进行业 务监控。
[0004] 然而,随着监控项目的不断丰富,单台设备难以满足业务监控的需求,需要加入其 它设备或者需要其它部门协同监控时,通过ACL策略就只能对新加入的设备进行重新配置 策略路由,网络规模很难扩展,网络建设成本非常高。
【发明内容】
[0005] 为了解决上述技术问题,本发明提供了一种报文转发方法和装置,通过使用VxLAN 协议有效的扩展监控网络规模,提高监控网络的可扩展性。
[0006] 本发明公开了如下技术方案:
[0007] -方面,本发明提供一种报文转发方法,所述方法包括:
[0008] 输入交换机获取通过访问控制列表ACL策略引入的报文;
[0009] 所述输入交换机根据预先配置的ACL策略与虚拟可扩展局域网网络VN域的对应 关系,获取所述ACL策略所对应的VN域;
[0010] 所述输入交换机对获取的所述报文进行虚拟可扩展局域网VxLAN封装得到已封 装报文,所述已封装报文的封装外层头中包含所述VN域的地址信息;
[0011] 所述输入交换机将所述已封装报文根据VxLAN标准转发到对应的输出交换机。
[0012] 在第一方面的第一种可能的实现方式中,所述ACL策略与VN域的对应关系中:
[0013] 一个ACL策略对应一个VN域,一个VN域对应至少一个ACL策略。
[0014] 结合第一方面和第一方面的第一种可能的实现方式,在第二种可能的实现方式 中,所述VN域的地址信息包括所述VN域的标识VNI以及所述VN域的IP地址。
[0015] 结合第一方面和第一方面的第一种或第二种可能的实现方式,在第三种可能的实 现方式中,所述输入交换机获取通过ACL策略引入的报文之前,所述方法还包括:
[0016] 所述输入交换机对接收到的报文根据所述报文的五元组进行ACL匹配,确定所述 报文为能够通过ACL策略引入的报文,所述五元组包括所述报文的源IP地址、目的IP地 址、源端口号、目的端口号以及协议号。
[0017] 第二方面,本发明提供一种输入交换机,包括:
[0018] 报文获取单元,用于获取通过ACL策略引入的报文;
[0019] 确定单元,用于根据预先配置的ACL策略与虚拟可扩展局域网网络VN域的对应关 系,获取所述ACL策略所对应的VN域;
[0020] 封装单元,用于对获取的所述报文进行虚拟可扩展局域网VxLAN封装得到已封装 报文,所述已封装报文的封装外层头中包含所述VN域的地址信息;
[0021] 发送单元,用于将所述已封装报文根据VxLAN标准转发到对应的输出交换机。
[0022] 在第二方面的第一种可能的实现方式中,所述ACL策略与VN域的对应关系中:
[0023] 一个ACL策略对应一个VN域,一个VN域对应至少一个ACL策略。
[0024] 结合第二方面和第二方面的第一种可能的实现方式,在第二种可能的实现方式 中,所述VN域的地址信息包括所述VN域的标识VNI以及所述VN域的IP地址。
[0025] 结合第二方面和第二方面的第一种或第二种可能的实现方式,在第三种可能的实 现方式中,还包括:
[0026] ACL匹配单元,用于对接收到的报文根据所述报文的五元组进行ACL匹配,确定所 述报文为能够通过ACL策略引入的报文,所述五元组包括所述报文的源IP地址、目的IP地 址、源端口号、目的端口号以及协议号。
[0027] 第三方面,本发明提供一种报文转发方法,所述方法包括:
[0028] 输出交换机接收输入交换机发送的已封装报文,所述已封装报文的封装外层头中 包含虚拟可扩展局域网网络VN域的地址信息;
[0029] 所述输出交换机根据所述已封装报文的外层头中的所述VN域的地址信息查找预 先配置的VN域与出端口的对应关系,获取所述VN域对应的出端口;
[0030] 所述输出交换机将所述已封装报文解封装,得到解封装后的报文,所述解封装后 的报文为输入交换机通过ACL策略引入的报文,将所述解封装后的报文发送给所述出端 □。
[0031] 在第三方面的第一种可能的实现方式中,所述VN域与出端口的对应关系中:
[0032] 一个VN域与至少一个出端口相对应。
[0033] 结合第三方面和第三方面的第一种可能的实现方式,在第二种可能的实现方式 中,
[0034] 所述VN域的地址信息包括VN域的标识VNI以及VN域的IP地址。
[0035] 结合第三方面的第一种可能的实现方式,在第三种可能的实现方式中,所述输出 交换机向所述出端口发送所述已封装报文,并在送达出端口之前将所述已封装报文解封 装,以使得所述出端口获得通过ACL策略引入的报文包括:
[0036] 所述输出交换机在获取到N个出端口时,复制所述已封装报文得到N份所述已封 装报文,N为大于等于2的自然数;
[0037] 所述输出交换机分别向每个所述出端口发送一份已封装流量,并在送达出端口之 前将所述已封装报文解封装,以使得所述出端口获得通过ACL策略引入的报文。
[0038] 第四方面,本发明提供一种输出交换机,包括:
[0039] 接收单元,用于接收输入交换机发送的已封装报文,所述已封装报文的封装外层 头中包含虚拟可扩展局域网网络VN域的地址信息;
[0040] 出端口获取单元,用于根据所述已封装报文的外层头中的所述VN域的地址信息 查找预先配置的VN域与出端口的对应关系,获取所述VN域对应的出端口;
[0041] 发送单元,用于向所述出端口发送所述已封装报文,并在送达出端口之前将所述 已封装报文解封装,以使得出端口获得通过ACL策略引入的报文。
[0042] 在第四方面的第一种可能的实现方式中,所述VN域与出端口的对应关系具体为:
[0043] 一个VN域与至少一个出端口相对应。
[0044] 结合第四方面和第四方面的第一种可能的实现方式,在第二种可能的实现方式 中,
[0045] 所述VN域的地址信息包括VN域的标识VNI以及VN域的IP地址。
[0046] 结合第四方面的第一种可能的实现方式,在第三种可能的实现方式中,所述发送 单元具体用于:
[0047] 当所述出端口获取单元获取到N个出端口时,复制所述已封装报文得到N份所述 已封装报文,N为大于等于2的自然数,分别向每个所述出端口发送一份已封装报文,并在 送达出端口之前将所述已封装报文解封装,以使得所述出端口获得通过ACL策略引入的报 文。
[0048] 由上述技术方案可以看出,本发明技术方案在对网络流量进行检测时,预先配置 ACL策略与VN域之间的对应关系以及VN域与出端口之间的对应关系,将由ACL策略引入的 报文使用VxLAN协议的方式进行转发到出端口,当需要对根据ACL策略引入的报文增加或 删除出端口时,只需要修改对应该ACL策略的VN域的出端口信息即可,由此大大提高了流 量监控网络的可扩展性。
【附图说明】
[0049] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使 用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于 本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其 他的附图。
[0050] 图1为本发明ACL策略与VxLAN协议结合示意图;
[0051] 图2为本发明一种报文转发方法的方法流程图之一;
[0052] 图3为本发明一种报文转发方法的方法流程图之二;
[0053] 图4为本发明的报文转发示意图;
[0054] 图5为本发明一种输入交换机的装置结构图之一;
[0055] 图6为本发明一种输入交换机的装置结构图之二;
[0056] 图7为本发明一种交换机的硬件构成示意图;
[0057] 图8为本发明一种输出交换机的装置结构图;
[0058] 图9为本发明一种交换机的硬件构成示意图。
【具体实施方式】
[0059] 本发明实施例提供了一种报文转发方法和装置。将ACL策略与虚拟可扩展局域网 (英文:VirtualextensibleLAN,缩写:VxLAN)协议进行结合需要至少对网络上的报文引 入端口以及指向检测该流量的检测服务器的报文输出端口进行对应的扩展,请参阅图1,其 为本发明ACL策略与VxLAN协议结合示意图,需要预先配置好引入报文所使用的ACL策略 与虚拟可扩展局域网网络(英文:VxLANNetwork,缩写:VN)域的对应关系以及VN域与出端 口的对应关系,这里VN域所对应的出端口就是连接对通过对应该VN域的ACL策略引入的 报文进行检测的检测服务器的端口。由此将VN域可预先灵活设定的出端口与报文的出端 口有机的结合起来,当针对一待监控报文时,因业务监控的需要或者其他情况需要加入其 它报文监控设备或者需要其它部门协同监控时,只需要调整引入该报文所使用的ACL策略 所对应的VN域的出端口的信息即可。
[0060] 为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明 实施例进行详细描述。
[0061] 实施例一
[0062] 本实施例以报文引入端口的输入交换机为执行主体,对本发明的技术方案进行描 述,请参阅图2,其为本发明一种报文转发方法的方法流程图之一,该方法包括以下步骤:
[0063] S201 :输入交换机获取通过ACL策略引入的报文;
[0064] 这里需要说明的是,输入交换机接收到的流量中不仅包括由ACL策略所引入的报 文,还包括其他网络报文,这种情况下,需要输入交换机对