一种实现多业务规则匹配以及流量复制的系统及方法技术方案

本发明专利技术公开一种实现多业务规则匹配以及流量复制的系统及方法，其中通过一级分流设备提供多业务配置、查询、匹配查找等业务之间相互独立的平台，通过用户标签属性与报文信息的共同编址，将匹配结果做二次判别，完成多业务转发动作的聚合设定。二级交换机实现多业务流量的复制。该方案可以成倍地节省空间和电力，并极大地缓解系统疲于扩容升级的难题。

【技术实现步骤摘要】
一种实现多业务规则匹配以及流量复制的系统及方法
本专利技术涉及网络安全
，具体涉及一种基于网络处理器实现多业务规则匹配以及流量复制的系统。本专利技术同时涉及基于网络处理器实现多业务规则匹配以及流量复制的方法。
技术介绍
近年来，骨干网海量数据的实时网络安全处理已经成为世界主要大国在互联网领域进行战略对抗和竞争的主要焦点。随着互联网带宽高速扩容，新业务层出不穷，通过分流设备来完成多业务匹配和复制需求时，对于当前主流网络处理器，包括NP或FPGA等，都存在业务流量复制的瓶颈，尤其是在业务数量超过四个时，性能接近呈指数下降。故，需要一种新的技术方案以解决上述问题。
技术实现思路
本专利技术的目的在于：提供一种实现多业务规则匹配以及流量复制的系统，用以解决网络中多业务情况下业务流量复制效率低下的问题。本专利技术同时提供多种VPN流量的采集分析方法，同样用以解决网络中多业务情况下业务流量复制效率低下的问题。为达到上述目的，本专利技术实现多业务规则匹配以及流量复制的系统可采用如下技术方案：一种实现多业务规则匹配以及流量复制的系统，包括：一级分流设备，用以配置多业务信息，按需提取流量关键字查表，获取多业务用户信息，并根据多业务用户信息，计算该多业务组合的vlanid，并在原始报文中添加一层vlan，以及在输出报文的SMAC、DMAC上添加标识；二级交换机，用以接收一级分流设备输出的输出报文，并通过VLAN泛洪机制完成多业务流量复制后将需共享的流量转发至不同业务所属端口。有益效果：本专利技术提供的实现多业务规则匹配以及流量复制的系统中，一级分流设备提供多业务配置、查询、匹配查找等业务之间相互独立的平台，通过用户标签属性与报文信息的共同编址，将匹配结果做二次判别，完成多业务转发动作的聚合设定。二级交换机实现多业务流量的复制。该方案可以成倍地节省空间和电力，并极大地缓解系统疲于扩容升级的难题。进一步的，多业务信息为多用户对应的服务器server的mac地址的编址信息。进一步的，对于MAC封装格式，多业务用户等分12字节的mac地址长度。进一步的，一级分流设备将编址后的多业务用户信息替换原始链路头。本专利技术提供的实现多业务规则匹配以及流量复制的方法可采用如下技术方案，包括以下步骤：(1)、通过一级分流设备配置多业务信息，按需提取流量关键字查表，获取多业务用户信息，并根据多业务用户信息，计算该多业务组合的vlanid，并在原始报文中添加一层vlan，以及在输出报文的SMAC、DMAC上添加标识；(2)、一级分流设备将输出报文输送至二级交换机，二级交换机通过VLAN泛洪机制完成多业务流量复制后将需共享的流量转发至不同业务所属端口。有益效果：本专利技术提供的实现多业务规则匹配以及流量复制的方法通过一级分流设备提供多业务配置、查询、匹配查找等业务之间相互独立的平台，通过用户标签属性与报文信息的共同编址，将匹配结果做二次判别，完成多业务转发动作的聚合设定。二级交换机实现多业务流量的复制。该方案可以成倍地节省空间和电力，并极大地缓解系统疲于扩容升级的难题。本专利技术提供的实现多业务规则匹配以及流量复制的方法还可以采用以下技术方案，包括以下步骤：步骤101，流量进入一级分流设备，匹配规则，一级分流设备对流量进行解析处理；步骤102，一级分流设备配置多业务信息，按需提取流量关键字查表，获取多业务用户信息，确定是哪些业务需要的流量；步骤103，根据多业务用户信息，计算该多业务组合的vlanid，并在原始报文中添加一层vlan；步骤104，MAC地址封装，输出报文的SMAC、DMAC上添加标识；步骤105，将封装了vlan和修改了mac的报文发送到二级交换机；步骤106，携带VLAN标签值的报文进入二级交换机之后，二级交换机通过VLAN广播或匹配VLANACL将特定VLAN标签流量转发至复制端口组输出。有益效果：本专利技术提供的实现多业务规则匹配以及流量复制的方法通过一级分流设备提供多业务配置、查询、匹配查找等业务之间相互独立的平台，通过用户标签属性与报文信息的共同编址，将匹配结果做二次判别，完成多业务转发动作的聚合设定。二级交换机实现多业务流量的复制。该方案可以成倍地节省空间和电力，并极大地缓解系统疲于扩容升级的难题。附图说明图1为本专利技术中的多业务规则匹配和流量复制方法流程图。图2为一级分流设备需要在输出报文的SMAC、DMAC上添加特定标识的示意图。具体实施方式下面结合附图对进行说明。实施例一可参考图1，实施例一提供一种实现多业务规则匹配以及流量复制的系统，包括一级分流设备及二级交换机。一级分流设备及根据多业务配置，查表得到多业务用户信息。对多业务信息编址，将编址后的信息替换原始链路头。为了进一步可扩展，也可以使用“MacInMac”格式封装原始报文输出。a1、对于多业务用户信息，可以是多用户对应的服务器server的mac地址的编址信息。a2、对于MAC封装格式，多业务用户可以等分12字节的mac地址长度，也可以不等分。各业务用户占用的长度可以根据需求灵活可配置。结合图2，一级分流设备需要在输出报文的SMAC、DMAC上带特定的标,。根据命中的业务情况，计算vlan。对需标记的n种不同业务，最大可能的组合数目为：VLANid＝2n+X(n取值范围为0-11)X＝1(X固定取值为1，不随业务数量、业务号变化)如：业务1：n＝0；VLANid＝20+1＝2；如：业务2：n＝1；VLANid＝21+1＝3；如：业务1+业务2：VLANid＝20+21+x＝4；业务1+业务2+……+业务N：VLANid＝2n+2n-1+……+20+X；在VLANid≦4094的情况下，可求得n最大值为11。也就是说，在一层VLAN前提下，系统最大可支持11种独立业务的共性组合，未来可根据需要进一步扩展，采用QinQ技术增加容量。二级交换机用以接收一级分流设备输出的输出报文，并通过VLAN泛洪机制完成多业务流量复制后将需共享的流量转发至不同业务所属端口。实施例二对应上述实现多业务规则匹配以及流量复制的系统，该实施例二提供实现多业务规则匹配以及流量复制的方法，包括：(1)、通过一级分流设备配置多业务信息，按需提取流量关键字查表，获取多业务用户信息，并根据多业务用户信息，计算该多业务组合的vlanid，并在原始报文中添加一层vlan，以及在输出报文的SMAC、DMAC上添加标识；(2)、一级分流设备将输出报文输送至二级交换机，二级交换机通过VLAN泛洪机制完成多业务流量复制后将需共享的流量转发至不同业务所属端口。实施例三请结合图1所示，本实施例提供一种实现多业务规则匹配以及流量复制的方法，包括以下步骤：步骤101，流量进入一级分流设备，匹配规则，一级分流设备对流量进行解析处理；步骤102，一级分流设备配置多业务信息，按需提取流量关键字查表，获取多业务用户信息，确定是哪些业务需要的流量；步骤103，根据多业务用户信息，计算该多业务组合的vlanid，并在原始报文中添加一层vlan；步骤104，MAC地址封装，输出报文的SMAC、DMAC上添加标识；步骤105，将封装了vlan和修改了mac的报文发送到二级交换机；步骤106，携带VLAN标签值的报文进入二级交换机之后，二级交换机通过VLAN本文档来自技高网...

【技术保护点】
1.一种实现多业务规则匹配以及流量复制的系统，其特征在于，包括：一级分流设备，用以配置多业务信息，按需提取流量关键字查表，获取多业务用户信息，并根据多业务用户信息，计算该多业务组合的vlan id，并在原始报文中添加一层vlan，以及在输出报文的SMAC、DMAC上添加标识；二级交换机，用以接收一级分流设备输出的输出报文，并通过VLAN泛洪机制完成多业务流量复制后将需共享的流量转发至不同业务所属端口。

【技术特征摘要】
1.一种实现多业务规则匹配以及流量复制的系统，其特征在于，包括：一级分流设备，用以配置多业务信息，按需提取流量关键字查表，获取多业务用户信息，并根据多业务用户信息，计算该多业务组合的vlanid，并在原始报文中添加一层vlan，以及在输出报文的SMAC、DMAC上添加标识；二级交换机，用以接收一级分流设备输出的输出报文，并通过VLAN泛洪机制完成多业务流量复制后将需共享的流量转发至不同业务所属端口。2.根据权利要求1所述的系统，其特征在于：多业务信息为多用户对应的服务器server的mac地址的编址信息。3.根据权利要求1所述的系统，其特征在于：对于MAC封装格式，多业务用户等分12字节的mac地址长度。4.根据权利要求1所述的系统，其特征在于：一级分流设备将编址后的多业务用户信息替换原始链路头。5.一种实现多业务规则匹配以及流量复制的方法，其特征在于，包括以下步骤：(1)、通过一级分流设备配置多业务信息，按需提取流量关键字查表，获取多业务用户信息，并根据多业务用户信息，计算该多业务组合的vlanid，并在原始报文中添加一层vlan，以及在输出报文的SMAC、DMAC上添加标识；(2)、一级分流设备将输出报文输送至二级...

【专利技术属性】
技术研发人员：邹昕，张家琦，于敬敬，孙浩，韩志前，王佩，王维晟，马秀娟，
申请(专利权)人：国家计算机网络与信息安全管理中心，南京中新赛克科技有限责任公司，
类型：发明
国别省市：北京,11