本发明专利技术提供一种报文处理方法、装置及交换机,该方法包括:三层认证交换机的交换芯片通过第一端口接收三层核心设备转发的来自用户的数据报文,并从所述数据报文中获取源网络协议IP地址;为所述数据报文分配预设虚拟路由转发标识VRFID;根据所述源IP地址以及所述预设VRFID进行路由表查询,判断所述用户是否为已认证用户;如果是,将所述数据报文发送给所述出口设备,其中,进行路由表查找后,所述数据报文的目的MAC地址和源MAC地址不变;如果否,将所述数报文发送给所述三层认证交换机的中央处理器CPU,以使CPU将所述数据报文发送给认证服务器进行认证处理。本发明专利技术可提高对报文的处理速度,并且减轻了认证服务器的负荷。
【技术实现步骤摘要】
本专利技术设及网络
,尤其设及一种报文处理方法、装置及交换机。
技术介绍
目前对用户进行S层认证的网络拓扑图如图1所示,在出口设备和S层核屯、认证 设备之间设置一个出口认证服务器,=层核屯、设备负责将来自用户的访问外部网络数据报 文转发给出口认证服务器,出口认证服务器根据该用户的访问外部网络的数据报文判断该 用户是否为已认证用户,如果是已认证用户,则将该数据报文转发至出口设备允许该用户 访问外部网络,否则,出口认证服务器对该用户的访问外部网络的数据报文进行认证后,允 许该用户访问外部网络。 但是,上述认证服务器是利用其中的CPU对来自用户的数据报文进行软件层面的 处理,不能走忍片级的硬件处理,运就会导致处理报文的性能差的问题,并且认证服务器既 要进行认证处理又要进行转发处理,负荷较大。
技术实现思路
本专利技术提供一种报文处理方法、装置及交换机,用于解决现有的报文只能在认证 服务器中进行软件层面的处理,不能走忍片级的硬件处理,而导致的处理报文的性能差的 问题W及认证服务器负荷较大的问题。 一种报文处理方法,包括:=层认证交换机的交换忍片通过第一端口接收=层核屯、设备转发的来自用户的 数据报文,并从所述数据报文中获取源网络协议IP地址; 为所述数据报文分配预设虚拟路由转发标识VRFID; 根据所述源IP地址W及所述预设VRFID进行路由表查询,判断所述用户是否为已 认证用户; 如果是,将所述数据报文发送给所述出口设备,其中,进行路由表查找后,所述数 据报文的目的MC地址和源MC地址不变; 如果否,将所述数报文发送给所述=层认证交换机的中央处理器CPU, W使CPU将 所述数据报文发送给认证服务器进行认证处理。 所述方法,根据所述源IP地址W及所述预设VRFID进行路由表查询之前,还包 括: 将所述数据报文的目的MAC地址确定为所述S层认证交换机的MAC地址。 本专利技术实施例可W保证针对通过第一端口接收的数据报文进行路由表查找。 所述方法中,根据所述源IP地址W及所述预设VRFID进行路由查找,判断所述用 户是否为已认证用户,具体包括: 判断所述源IP地址W及所述预设VRFID是否属于路由表中的同一路由表项; 如果是,确定所述用户为已认证用户; 如果否,确定所述用户为未认证用户。[001引本专利技术实施例,通过查询路由表判断用户是否已认证。 所述方法中,将所述数据报文发送给所述出口设备,具体包括: 将所述数据报文在访问控制列表ACL中进行匹配,根据匹配结果将所述数据报文 发送给所述出口设备,所述A化表中预先设置了将预设classic!值对应的数据报文发送给 出口设备的表项,所述数据报文包括预设classic!值的标签。 本专利技术实施例,通过匹配A化表触发将数据报文发送给出口设备的操作。 所述方法中,将所述数据报文发送给所述=层认证交换机的中央处理器CPU,具体 包括: 将所述数据报文在A化表中进行匹配,根据匹配结果将所述数据报文发送给所述 S层交换机的CPU,所述ACL表中预先设置了将目的端口为第二端口的传输控制协议TCP报 文发送给所述=层交换机的CPU的表项。 本专利技术实施例,通过将数据报文匹配A化表,将目的端口为第二端口的传输控制 协议TCP报文发送给CPU。所述方法,还包括: 确定接收到所述CPU对所述数据报文认证通过的消息时,在所述路由表中添加与 所述源IP地址W及所述VRFID唯一匹配的路由表项。 本专利技术实施例,在CPU对未认证用户进行认证通过时,将认证通过的消息通知给 交换忍片,交换忍片将该认证通过用户的数据报文的源IP地址W及预设VRFID生成一个唯 一匹配的路由表项,待再次接收到该认证通过的用户发出的数据报文时,进行路由表查询, 根据查询结果将该用户的数据报文转发给出口设备。 所述方法中,所述S层认证交换机的交换忍片通过硬件Bypass设备接收来自所 述S层核屯、设备的数据报文,并且通过所述硬件Bypass设备将数据报文发送给所述出口 设备,所述硬件Bypass设备分别与所述S层核屯、设备W及所述出口设备连接。 本专利技术实施例在出口设备和S层核屯、设备之间添加硬件Bypass设备,在S层认 证交换机故障时,可W保证来自用户的数据报文能够发送给出口设备,从而达到不影响用 户上网的目的。 所述方法,还包括: 针对每个已认证用户,将该已认证用户的上行流量和下行流量引流到同一张计费 卡中,W使该计费卡对该已认证用户进行计费。 本优选实施例,将同一用户产生的上行流量和下行流量引流到同一张计费卡中计 费,计费卡在统计该用户的流量时更加简便快捷。 本专利技术还提供一种报文处理装置,包括: 接收单元,用于通过第一端口接收=层核屯、设备转发的来自用户的数据报文,并 从所述数据报文中获取源网络协议IP地址; 分配单元,用于为所述数据报文分配预设虚拟路由转发标识VRFID; 判断单元,用于根据所述源IP地址W及所述预设VRFID进行路由表查询,判断所 述用户是否为已认证用户; 第一发送单元,用于在所述用户为已认证用户时,将所述数据报文发送给所述出 口设备,其中,进行路由表查找后,所述数据报文的目的MAC地址和源MAC地址不变; 第二发送单元,用于在所述用户为未认证用户时,将所述数报文发送给=层认证 交换机的中央处理器CPU,W使CPU将所述数据报文发送给认证服务器进行认证处理。 所述装置,还包括: 确定单元,用于在所述判断单元根据所述源IP地址W及所述预设VRFID进行路由 表查询之前,将所述数据报文的目的MC地址确定为S层认证交换机的MC地址。 所述装置中,所述判断单元具体用于: 判断所述源IP地址W及所述预设VRFID是否属于路由表中的同一路由表项; 如果是,确定所述用户为已认证用户; 如果否,确定所述用户为未认证用户。 所述装置中,所述第一发送单元具体用于: 将所述数据报文在访问控制列表ACL中进行匹配,根据匹配结果将所述数据报文 发送给所述出口设备,所述A化表中预先设置了将预设classic!值对应的数据报文发送给 出口设备的表项,所述数据报文包括预设classic!值的标签。 所述装置中,所述第二发送单元具体具体用于: 将所述数据报文在A化表中进行匹配,根据匹配结果将所述数据报文发送给所述 S层交换机的CPU,所述ACL表中预先设置了将目的端口为第二端口的传输控制协议TCP报 文发送给所述=层交换机的CPU的表项。 所述装置,还包括: 添加单元,用于确定接收到所述CPU对所述数据报文认证通过的消息时,在所述 路由表中添加与所述源IP地址W及所述VRFID唯一匹配的路由表项。 所述装置通过硬件Bypass设备接收来自所述S层核屯、设备的数据报文,并且通 过所述硬件Bypass设备将数据报文发送给所述出口设备,所述硬件Bypass设备分别与所 述=层核屯、设备W及所述出口设备连接。 所述装置,还包括: 流量引流单元,用于针对每个已认证用户,将该已认证用户的上行流量和下行流 量引流到同一张计费卡中,W使该计费卡对该已认证用户进行计费。 本专利技术还提供一种=层认证交换机,该=层认证交换机包括上述任一所述的装 置。 利用本专利技术实施例提供的报文处理方法、装置及交换机,具有W下有益效果:通过 在出口设备本文档来自技高网...
【技术保护点】
一种报文处理方法,其特征在于,包括:三层认证交换机的交换芯片通过第一端口接收三层核心设备转发的来自用户的数据报文,并从所述数据报文中获取源网络协议IP地址;为所述数据报文分配预设虚拟路由转发标识VRFID;根据所述源IP地址以及所述预设VRFID进行路由表查询,判断所述用户是否为已认证用户;如果是,将所述数据报文发送给所述出口设备,其中,进行路由表查找后,所述数据报文的目的MAC地址和源MAC地址不变;如果否,将所述数报文发送给所述三层认证交换机的中央处理器CPU,以使CPU将所述数据报文发送给认证服务器进行认证处理。
【技术特征摘要】
【专利技术属性】
技术研发人员:翁财忍,
申请(专利权)人:福建星网锐捷网络有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。