访问请求的控制方法和系统、通信设备技术方案

本发明专利技术实施例公开了一种访问请求的控制方法和系统、通信设备，其中，方法包括：应用服务器前端的通信设备接收用户请求访问应用服务器的会话数据包，查询流表中预先设置的目的匹配表中是否包括数据包中的目的IP地址；若包括，查询数据包中目的IP地址对应的源匹配表中是否存在数据包中源IP地址对应的流记录；若存在，根据流记录中的访问控制指令对数据包进行相应的访问控制；若不存在，由应用控制器根据应用服务器当前的负载情况下发接纳控制指令，根据接纳控制指令在源匹配表中添加相应的流记录并对数据包进行相应的访问控制。本发明专利技术实施例可以解决访问量过大导致应用服务器崩溃的技术问题。

【技术实现步骤摘要】
访问请求的控制方法和系统、通信设备
本专利技术涉及通信技术，尤其是一种访问请求的控制方法和系统、通信设备。
技术介绍
现有互联网应用服务器可能因为突发性地大量访问而导致服务过载，甚至系统崩溃。目前解决这类问题的主流技术是网站应用服务器端自行限制会话数，但由于现有互联网是一种“尽力而为”的网络，基于逐包路由转发，所以网络并不感知应用会话和网站应用服务器的负载情况。当大量用户不断刷屏时，大量用户数据包仍然会抵达网站的应用服务器端，应用服务器对数据包的识别和分析也会耗尽其资源，导致其网站系统瘫痪。
技术实现思路
本专利技术实施例所要解决的一个技术问题是：提供一种访问请求的控制方法和系统、通信设备，以基于网站服务器的负载情况对用户访问该网站服务器的数据包进行控制，从而解决访问量过大导致网站服务器应用服务器崩溃的技术问题。本专利技术实施例提供的一种访问请求的控制方法，包括：应用服务器前端的通信设备接收用户请求访问应用服务器的会话数据包，所述数据包中包括所述应用服务器使用的目的IP地址和所述用户使用的源IP地址；所述通信设备查询流表中预先设置的目的匹配表中是否包括所述数据包中的目的IP地址；所述流表包括所述目的匹配表和目的匹配表中各目的IP地址对应的源匹配表，所述目的匹配表中包括需要进行访问控制的应用服务器的目的IP地址，所述源匹配表包括一条以上流记录，每条流记录包括一条源IP地址和访问控制指令；若目的匹配表中包括所述数据包中的目的IP地址，通信设备查询所述数据包中目的IP地址对应的源匹配表中是否存在所述数据包中源IP地址对应的流记录；若所述数据包中目的IP地址对应的源匹配表中存在所述数据包中源IP地址对应的流记录，通信设备根据所述对应的流记录中的访问控制指令对所述数据包进行相应的访问控制，所述访问控制指令包括转发或阻止；否则，若所述数据包中目的IP地址对应的源匹配表中不存在所述数据包中源IP地址对应的流记录，通信设备向应用控制器转发所述数据包；应用控制器根据所述应用服务器当前的负载情况向所述通信设备下发接纳控制指令，所述接纳控制指令包括所述数据包中的源IP地址和目的IP地址、以及对所述用户请求访问所述应用服务器的数据包的访问控制指令；所述通信设备根据所述接纳控制指令在所述数据包中目的IP地址对应的源匹配表中添加所述源IP地址对应的流记录，并根据所述添加的流记录中的访问控制指令对所述数据包进行相应的访问控制，所述源IP地址对应的流记录包括所述数据包中的源IP地址和所述接纳控制指令中的访问控制指令。基于上述方法的另一个实施例中，所述流记录还包括目的IP地址；在所述数据包中目的IP地址对应的源匹配表中添加的所述源IP地址对应的流记录具体包括所述数据包中的源IP地址和目的IP地址、以及所述接纳控制指令中的访问控制指令。基于上述方法的另一个实施例中，应用控制器中预先存储各需要进行访问控制的应用服务器的峰值会话数；通信设备向应用控制器转发所述数据包时，还向所述应用控制器上报所述应用服务器的目的IP地址对应的源匹配表中的有效流记录数，所述有效流记录数为访问控制指令为转发且当前未失效的流记录的数量。基于上述方法的另一个实施例中，所述应用服务器当前的负载情况具体为所述应用服务器的目的IP地址对应的源匹配表中当前的有效流记录数；所述应用控制器根据所述应用服务器当前的负载情况向所述通信设备下发接纳控制指令包括：所述应用控制器识别所述应用服务器的目的IP地址对应的源匹配表中当前的有效流记录数是否达到所述应用服务器的峰值会话数；若所述应用控制器的目的IP地址对应的源匹配表中当前的有效流记录数达到所述应用服务器的峰值会话数，确定对所述用户请求访问所述应用服务器的数据包的访问控制指令为阻止，并向所述通信设备下发访问控制指令为阻止的接纳控制指令；否则，若所述应用控制器的目的IP地址对应的源匹配表中当前的有效流记录数未达到所述应用服务器的峰值会话数，确定对所述用户请求访问所述应用服务器的数据包的访问控制指令为转发，并向所述通信设备下发访问控制指令为转发的接纳控制指令。基于上述方法的另一个实施例中，还包括：当所述用户请求访问所述应用服务器的会话结束时，结束的会话对应的源匹配表中的流记录失效，所述通信设备删除该失效的流记录。基于上述方法的另一个实施例中，所述用户请求访问应用服务器的会话结束包括：所述应用服务器的目的IP地址和所述用户的源IP地址对应的流记录在预设有效时长内未进行有效匹配。基于上述方法的另一个实施例中，所述阻止具体为丢弃；所述通信设备根据所述对应的流记录中的访问控制指令对所述数据包进行相应的访问控制具体为：通信设备丢弃所述数据包。基于上述方法的另一个实施例中，所述阻止具体为缓存；所述对应的流记录中的访问控制指令为阻止时，所述通信设备根据所述对应的流记录中的访问控制指令对所述数据包进行相应的访问控制具体为：所述通信设备按照接收到数据包的时间先后顺序将所述数据包加入缓存队列中。基于上述方法的另一个实施例中，还包括：通信设备中有流记录对应的会话结束时，通信设备向应用控制器上报已有用户的会话结束通知消息，并按照先入先出规则提取缓存队列中最先顺序的数据包发送给所述应用控制器；应用控制器向所述通信设备下发针对所述最先顺序的数据包的接纳控制指令，针对所述最先顺序的数据包的接纳控制指令包括所述最先顺序的数据包中的源IP地址和目的IP地址、以及转发的访问控制指令；所述通信设备根据所述最先顺序的数据包的接纳控制指令，在所述最先顺序的数据包中目的IP地址对应的源匹配表中添加所述最先顺序的数据包中源IP地址对应的流记录，并根据该添加的流记录中的访问控制指令对所述最先顺序的数据包进行转发。基于上述方法的另一个实施例中，还包括：若目的匹配表中不包括所述应用服务器使用的目的IP地址，对所述用户请求访问所述应用服务器的会话数据包进行正常转发。基于上述方法的另一个实施例中，所述通信设备为所述应用服务器所在互联网数据中心IDC的网关路由器连接的OpenFlow交换机；对所述数据包进行转发时，具体通过所述IDC的网关路由器基于所述数据包中的目的IP地址对所述数据包进行转发。基于上述方法的另一个实施例中，所述通信设备还包括网络接入段的宽带接入服务器BRAS和业务路由器SR连接的OpenFlow交换机、以及与其他对等区域网络互连的网关GW连接的OpenFlow交换机中的任意一个或多个；对所述数据包进行转发时，具体通过所述通信设备连接的、相应的网关路由器、BRAS、SR或GW基于所述数据包中的目的IP地址转发所述数据包。本专利技术实施例提供的一种通信设备，包括：接收单元，用于接收用户请求访问应用服务器的会话数据包，所述数据包中包括所述应用服务器使用的目的IP地址和所述用户使用的源IP地址；以及接收应用控制器根据所述应用服务器当前的负载情况下发的接纳控制指令，所述接纳控制指令包括所述数据包中的源IP地址和目的IP地址、以及对所述数据包的访问控制指令；存储单元，用于存储流表，所述流表包括目的匹配表和目的匹配表中各目的IP地址对应的源匹配表，所述目的匹配表中包括需要进行访问控制的应用服务器的目的IP地址，所述源匹配表包括一条以上流记录，每条流记录包括一条源IP地址和访问控制指令，所述访问控本文档来自技高网...

【技术保护点】
一种访问请求的控制方法，其特征在于，包括：应用服务器前端的通信设备接收用户请求访问应用服务器的会话数据包，所述数据包中包括所述应用服务器使用的目的IP地址和所述用户使用的源IP地址；所述通信设备查询流表中预先设置的目的匹配表中是否包括所述数据包中的目的IP地址；所述流表包括所述目的匹配表和目的匹配表中各目的IP地址对应的源匹配表，所述目的匹配表中包括需要进行访问控制的应用服务器的目的IP地址，所述源匹配表包括一条以上流记录，每条流记录包括一条源IP地址和访问控制指令；若目的匹配表中包括所述数据包中的目的IP地址，通信设备查询所述数据包中目的IP地址对应的源匹配表中是否存在所述数据包中源IP地址对应的流记录；若所述数据包中目的IP地址对应的源匹配表中存在所述数据包中源IP地址对应的流记录，通信设备根据所述对应的流记录中的访问控制指令对所述数据包进行相应的访问控制，所述访问控制指令包括转发或阻止；否则，若所述数据包中目的IP地址对应的源匹配表中不存在所述数据包中源IP地址对应的流记录，通信设备向应用控制器转发所述数据包；应用控制器根据所述应用服务器当前的负载情况向所述通信设备下发接纳控制指令，所述接纳控制指令包括所述数据包中的源IP地址和目的IP地址、以及对所述用户请求访问所述应用服务器的数据包的访问控制指令；所述通信设备根据所述接纳控制指令在所述数据包中目的IP地址对应的源匹配表中添加所述源IP地址对应的流记录，并根据所述添加的流记录中的访问控制指令对所述数据包进行相应的访问控制，所述源IP地址对应的流记录包括所述数据包中的源IP地址和所述接纳控制指令中的访问控制指令。...

【技术特征摘要】
1.一种访问请求的控制方法，其特征在于，包括：应用服务器前端的通信设备接收用户请求访问应用服务器的会话数据包，所述数据包中包括所述应用服务器使用的目的IP地址和所述用户使用的源IP地址；所述通信设备查询流表中预先设置的目的匹配表中是否包括所述数据包中的目的IP地址；所述流表包括所述目的匹配表和目的匹配表中各目的IP地址对应的源匹配表，所述目的匹配表中包括需要进行访问控制的应用服务器的目的IP地址，所述源匹配表包括一条以上流记录，每条流记录包括一条源IP地址和访问控制指令；若目的匹配表中包括所述数据包中的目的IP地址，通信设备查询所述数据包中目的IP地址对应的源匹配表中是否存在所述数据包中源IP地址对应的流记录；若所述数据包中目的IP地址对应的源匹配表中存在所述数据包中源IP地址对应的流记录，通信设备根据所述对应的流记录中的访问控制指令对所述数据包进行相应的访问控制，所述访问控制指令包括转发或阻止；否则，若所述数据包中目的IP地址对应的源匹配表中不存在所述数据包中源IP地址对应的流记录，通信设备向应用控制器转发所述数据包；应用控制器根据所述应用服务器当前的负载情况向所述通信设备下发接纳控制指令，所述接纳控制指令包括所述数据包中的源IP地址和目的IP地址、以及对所述用户请求访问所述应用服务器的数据包的访问控制指令；所述通信设备根据所述接纳控制指令在所述数据包中目的IP地址对应的源匹配表中添加所述源IP地址对应的流记录，并根据添加的流记录中的访问控制指令对所述数据包进行相应的访问控制，所述源IP地址对应的流记录包括所述数据包中的源IP地址和所述接纳控制指令中的访问控制指令；其中，应用控制器中预先存储各需要进行访问控制的应用服务器的峰值会话数；通信设备向应用控制器转发所述数据包时，还向所述应用控制器上报所述应用服务器的目的IP地址对应的源匹配表中的有效流记录数，所述有效流记录数为访问控制指令为转发且当前未失效的流记录的数量。2.根据权利要求1所述的方法，其特征在于，所述流记录还包括目的IP地址；在所述数据包中目的IP地址对应的源匹配表中添加的所述源IP地址对应的流记录具体包括所述数据包中的源IP地址和目的IP地址、以及所述接纳控制指令中的访问控制指令。3.根据权利要求1所述的方法，其特征在于，所述应用服务器当前的负载情况具体为所述应用服务器的目的IP地址对应的源匹配表中当前的有效流记录数；所述应用控制器根据所述应用服务器当前的负载情况向所述通信设备下发接纳控制指令包括：所述应用控制器识别所述应用服务器的目的IP地址对应的源匹配表中当前的有效流记录数是否达到所述应用服务器的峰值会话数；若所述应用控制器的目的IP地址对应的源匹配表中当前的有效流记录数达到所述应用服务器的峰值会话数，确定对所述用户请求访问所述应用服务器的数据包的访问控制指令为阻止，并向所述通信设备下发访问控制指令为阻止的接纳控制指令；否则，若所述应用控制器的目的IP地址对应的源匹配表中当前的有效流记录数未达到所述应用服务器的峰值会话数，确定对所述用户请求访问所述应用服务器的数据包的访问控制指令为转发，并向所述通信设备下发访问控制指令为转发的接纳控制指令。4.根据权利要求1至3任意一项所述的方法，其特征在于，还包括：当所述用户请求访问所述应用服务器的会话结束时，结束的会话对应的源匹配表中的流记录失效，所述通信设备删除该失效的流记录。5.根据权利要求4所述的方法，其特征在于，所述用户请求访问应用服务器的会话结束包括：所述应用服务器的目的IP地址和所述用户的源IP地址对应的流记录在预设有效时长内未进行有效匹配。6.根据权利要求1至3任意一项所述的方法，其特征在于，所述阻止具体为丢弃；所述通信设备根据所述对应的流记录中的访问控制指令对所述数据包进行相应的访问控制具体为：通信设备丢弃所述数据包。7.根据权利要求1至3任意一项所述的方法，其特征在于，所述阻止具体为缓存；所述对应的流记录中的访问控制指令为阻止时，所述通信设备根据所述对应的流记录中的访问控制指令对所述数据包进行相应的访问控制具体为：所述通信设备按照接收到数据包的时间先后顺序将所述数据包加入缓存队列中。8.根据权利要求7所述的方法，其特征在于，还包括：通信设备中有流记录对应的会话结束时，通信设备向应用控制器上报已有用户的会话结束通知消息，并按照先入先出规则提取缓存队列中最先顺序的数据包发送给所述应用控制器；应用控制器向所述通信设备下发针对所述最先顺序的数据包的接纳控制指令，针对所述最先顺序的数据包的接纳控制指令包括所述最先顺序的数据包中的源IP地址和目的IP地址、以及转发的访问控制指令；所述通信设备根据所述最先顺序的数据包的接纳控制指令，在所述最先顺序的数据包中目的IP地址对应的源匹配表中添加所述最先顺序的数据包中源IP地址对应的流记录，并根据该添加的流记录中的访问控制指令对所述最先顺序的数据包进行转发。9.根据权利要求1至3任意一项所述的方法，其特征在于，还包括：若目的匹配表中不包括所述应用服务器使用的目的IP地址，对所述用户请求访问所述应用服务器的会话数据包进行正常转发。10.根据权利要求1至3任意一项所述的方法，其特征在于，所述通信设备为所述应用服务器所在互联网数据中心IDC的网关路由器连接的OpenFlow交换机；对所述数据包进行转发时，具体通过所述IDC的网关路由器基于所述数据包中的目的IP地址对所述数据包进行转发。11.根据权利要求9所述的方法，其特征在于，所述通信设备还包括网络接入段的宽带接入服务器BRAS和业务路由器SR连接的OpenFlow交换机、以及与其他对等区域网络互连的网关GW连接的OpenFlow交换机中的任意一个或多个；对所述数据包进行转发时，具体通过所述通信设备连接的、相应的网关路由器、BRAS、SR或GW基于所述数据包中的目的IP地址转发该数据包。12.一种通信设备，其特征在于，包括：接收单元，用于接收用户请求访问应用服务器的会话数据包，所述数据包中包括所述应用服务器使用的目的IP地址和所述用户使用的源IP地址；以及接收应用控制器根据所述应用服务器当前的负载情况下发的接纳控制指令，所述接纳控制指令包括所述数据包中的源IP地址和目的IP地址、以及对所述数据包的访问控制指令；存储单元，用于存储流表，所述流表包括目的匹配表和目的匹配表中各目的IP地址对应的源匹配表，所述目的匹配表中包括需要进行访问控制的应用服务器的目的IP地址，所述源匹配表包括一条以上流记录，每条流记录包括一条源IP地址和访问控制指令，所述访问控制指令包括转发或阻止；查询单元，用于查询流表中预先设置的目的匹配表中是否包括所述数据包中的目的IP地址；若目的匹配表中包括所述数据包中的目的IP地址，查询所述数据包中目的IP地址对应的源匹配表中是否存在所述数...

【专利技术属性】
技术研发人员：刘汉江，陈文华，毛宇，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：北京;11