【技术实现步骤摘要】
一种多用户规则匹配以及流量复制的系统和方法
本专利技术属于网络通信
,具体涉及一种多用户规则匹配以及流量复制的系统和方法。
技术介绍
随着通信技术不断升级,互联网技术得到迅猛发展,各种基于互联网的应用不断涌现,现有的分流系统大多只能基于五元组、特定位置的关键字对数据进行分发,无法识别出数据的应用类型,无法使用更精细化的分流规则,导致大量低价值的流量流向后端业务分析系统,从而导致系统建设成本大幅增加。同时,现有的分流系统大多只支持单用户下发规则,如果后端有多个厂家的业务分析系统,需要增加前端分流设备的数量,从而会增加系统的建设成本。若采用多用户规则下发,如果多个用户对同一份流量感兴趣,那么就需要将流量复制成多份,流量的复制是会大大降级系统的整体处理性能,这也是行业中的一个难题。此外,当前的分流系统大多都是集成化,即分流规则匹配和分流板是集成在一个板子上完成的,这种架构不方便后期扩容。
技术实现思路
为了解决现有技术方案中存在的问题,本专利技术提供了一种多用户规则匹配以及流量复制的系统和方法。<...
【技术保护点】
1.一种多用户规则匹配以及流量复制的系统,其特征在于,所述系统包括前端交换板、分别与所述前端交换板相连的信令分析子系统、用户规则匹配子系统;所述前端交换板上增设有FPGA报文打标模块和FPGA报文复制模块;/n所述前端交换板用于接收原始网络报文,并根据报文特征将所述原始网络报文分为信令报文和数据报文;将所述信令报文发送至信令分析子系统,获取信令分析子系统输出的关联信息元数据;根据所述关联信息元数据,通过FPGA报文打标模块对所述数据报文进行打标,得到携带扩展功能标签的数据报文;将所述携带扩展功能标签的数据报文发送给对应的用户规则匹配子系统,获取用户规则匹配子系统输出的携带扩...
【技术特征摘要】
1.一种多用户规则匹配以及流量复制的系统,其特征在于,所述系统包括前端交换板、分别与所述前端交换板相连的信令分析子系统、用户规则匹配子系统;所述前端交换板上增设有FPGA报文打标模块和FPGA报文复制模块;
所述前端交换板用于接收原始网络报文,并根据报文特征将所述原始网络报文分为信令报文和数据报文;将所述信令报文发送至信令分析子系统,获取信令分析子系统输出的关联信息元数据;根据所述关联信息元数据,通过FPGA报文打标模块对所述数据报文进行打标,得到携带扩展功能标签的数据报文;将所述携带扩展功能标签的数据报文发送给对应的用户规则匹配子系统,获取用户规则匹配子系统输出的携带扩展功能标签和规则命中标签的数据报文;对需要复制的数据报文,通过FPGA报文复制模块对多用户规则命中打标后的报文进行复制;前端交换板根据命中用户的VLAN号将复制完成的报文分发给对应的用户业务系统;
所述信令分析子系统用于提取所述信令报文中的上网账号信息或手机号信息,并与所述数据报文的五元组信息进行关联,形成关联信息元数据;将所述关联信息元数据下发给前端交换板的FPGA报文打标模块;
所述用户规则匹配子系统用于对携带扩展功能标签的数据报文进行层次结构解析、缓存、应用识别和多用户规则匹配并打标,得到携带扩展功能标签和规则命中标签的数据报文。
2.根据权利要求1所述多用户规则匹配以及流量复制的系统,其特征在于,所述前端交换板中,所述FPGA报文打标模块用于根据关联信息元数据修改相应的数据报文头部,包括修改DMAC、SMAC、增加新的VLAN标签,同时在所述数据报文尾部打上上网账号或手机号码信息标签,得到携带扩展功能标签的数据报文。
3.根据权利要求1所述多用户规则匹配以及流量复制的系统,其特征在于,所述用户规则匹配子系统中,对于连续N个报文都没有命中的流,丢弃该条流的所有报文;对于命中的流,在该条流的所有报文尾部打上相应的规则命中标签,所述规则命中标签包括识别出来的应用号、命中用户最高优先级的规则ID、命中用户的VLAN号、用户要求的报文剥离类型。
4.根据权利要求1所述多用户规则匹配以及流量复制的系统,其特征在于,所述用户规则匹配子系统具体包括如下功能模块:
数据整理模块:用于对数据报文进行IP分片重组、缓存、解析,建立流表,对TCP乱序报文进行重组,以及对错误报文或巨型报文进行异常处理;具体包括异常报文处理单元、IP分片重组单元、多层报文结构解析单元、报文缓存单元、流表单元、TCP流重组单元;
基础类规则匹配模块:用于基础类规则匹配,包括上网账号规则匹配单元、五元组规则匹配单元、特征码规则匹配单元、模型规则匹配单元;
应用识别模块:用于识别应用类型,包括应用特征库加载单元、应用特征库更新单元、应用识别单元;
应用类规则匹配模块:用于根据识别出的应用类型分别进行不同的应用规则匹配,包括应用规则匹配单元、DNS规则匹配单元、HTTP规则匹配单元、HTTPS规则匹配单元、音视频规则匹配单元;
检查类规则匹配模块:用于对每条命中规则的附属属性规则进行相应的检查;
组合规则处理模块:用于对于一条规则中包含多个子规则的情况,若每个子规则都满足条件则认定为命中;如果所有的子规则不在一个报文中命中,记录该条流已经命中的子规则,直到所有子规则全部满足或匹配超时;
多用户规则处理模块:用于对命中的规则进行用户分类和优先级排序,对于相同用户命中多条规则,只保留最高优先级的命中规则号,分别保存每个用户命中的最高优先级的规则ID;对于不同用户命中的规则,互不影响,分别保存;
报文打标和发送模块:用于对于命中的报文和之后该报文所属的流上的所有报文,打上相应的规则命中标签并发送出去。
5.根据权利要求1所述多用户规则匹配以及流量复制的系统,其特征在于,所述前端交换板中,所述FPGA报文复制模块用于读取多用户规则命中的报文中的标签信息,按照预定规则对数据报文进行复制,并修改相应的VLAN号,对于有剥离要求的报文进行相应的报文剥离,将处理完成的报文交给前端交换板。
6.一种使用权利要求1-5任一项所述系统的多用户规则匹配以及流量复制的方法,其特征在于,所述方法包括:
S1、前端交换板接收原始网络报文,并根据报文特征将所述原始网络报文分为信令报文和数据报文;
S2、将所述信令报文发送至信令分析子系统,信令分析子系统提取信令报文中的上网账号信息或手机号信息,并与数据报文的五元组信息进行关联,...
【专利技术属性】
技术研发人员:陈志华,曾祥刚,
申请(专利权)人:湖北微源卓越科技有限公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。