基于VXLAN的报文过滤方法和装置制造方法及图纸

本申请提供一种基于VXLAN的报文过滤方法及装置，应用于过滤设备中，所述方法包括：获取待处理队列的当前待处理报文；将所述当前待处理报文匹配转发策略集中的至少一个控制项；若确定所述当前待处理报文匹配上所述至少一个控制项中的选定控制项，则获取所述选定控制项所属的转发策略对应的第一分析服务器；根据所述当前待处理报文、所述第一分析服务器、所述选定控制项所属的转发策略的转发策略优先级和所述当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文；将所述第一VXLAN报文发送给所述第一分析服务器。应用本申请的实施例，实现全面分析报文，使得分析结果多样化。

【技术实现步骤摘要】
基于VXLAN的报文过滤方法和装置
本申请涉及网络通信
，特别设计一种基于虚拟可扩展局域网(VirtualeXtensibleLocalAreaNetwork，VXLAN)的报文过滤方法和装置。
技术介绍
通过合法监控和分析网络中的报文，并对非法报文进行过滤是维护网络安全的一种有效手段，为此，出现了过滤设备。如图1所示，可以在两台路由器之间接入过滤设备来过滤报文，过滤设备将接收到的来自一台路由器的符合条件的报文发送给分析服务器，分析服务器对报文的内容进行分析后，再将报文转发给过滤设备，通过过滤设备将报文转发至另一台路由器。过滤设备可以通过关心报文携带的源互联网协议(InternetProtocol，IP)地址、目的IP、源端口号、目的端口号和协议这五元组信息中的一元组信息或多元组信息建立多个控制项。由于网络中报文的数量极大，五元组信息的变化范围也非常广，为实现对报文的高效分析，过滤设备连接的分析服务器的数量众多，不同的分析服务器实现的分析功能不同，过滤设备与各个分析服务器之间可以基于VXLAN进行通信。过滤设备还可以配置转发策略集本文档来自技高网...

【技术保护点】
1.一种基于VXLAN的报文过滤方法，应用于过滤设备中，其特征在于，所述方法包括：/n获取待处理队列的当前待处理报文，所述待处理队列的各个报文来自所述过滤设备连接的至少一个路由器或者至少一个分析服务器、且对应的首片时钟周期携带上次转发策略优先级和剩余匹配次数；/n将所述当前待处理报文匹配转发策略集中的至少一个控制项；/n若确定所述当前待处理报文匹配上所述至少一个控制项中的选定控制项，则获取所述选定控制项所属的转发策略对应的第一分析服务器，所述选定控制项所属的转发策略的转发策略优先级低于且最接近所述当前待处理报文对应的首片时钟周期携带的上次转发策略优先级；/n根据所述当前待处理报文、所述第一分析...

【技术特征摘要】
1.一种基于VXLAN的报文过滤方法，应用于过滤设备中，其特征在于，所述方法包括：
获取待处理队列的当前待处理报文，所述待处理队列的各个报文来自所述过滤设备连接的至少一个路由器或者至少一个分析服务器、且对应的首片时钟周期携带上次转发策略优先级和剩余匹配次数；
将所述当前待处理报文匹配转发策略集中的至少一个控制项；
若确定所述当前待处理报文匹配上所述至少一个控制项中的选定控制项，则获取所述选定控制项所属的转发策略对应的第一分析服务器，所述选定控制项所属的转发策略的转发策略优先级低于且最接近所述当前待处理报文对应的首片时钟周期携带的上次转发策略优先级；
根据所述当前待处理报文、所述第一分析服务器、所述选定控制项所属的转发策略的转发策略优先级和所述当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文；
将所述第一VXLAN报文发送给所述第一分析服务器。


2.根据权利要求1所述的方法，其特征在于，确定所述当前待处理报文匹配上所述至少一个控制项中的选定控制项，具体包括：
确定所述当前待处理报文匹配上的控制项，得到候选控制项集合；
将所述候选控制项集合中的各个控制项按照所属的转发策略的转发策略优先级从高到低的顺序排序；
获取所属的转发策略的转发策略优先级低于且最接近所述待处理报文对应的首片时钟周期携带的上次转发策略优先级的控制项，得到选定控制项。


3.根据权利要求1所述的方法，其特征在于，所述方法还包括：
接收连接的第一路由器发送的第一报文；
将所述第一报文加入所述待处理队列中；以及，
将所述第一报文对应的首片时钟周期的上次转发策略优先级和剩余匹配次数设置为初始值。


4.根据权利要求1所述的方法，其特征在于，所述方法还包括：
接收连接的第二分析服务器发送的第二VXLAN报文；
解封装所述第二VXLAN报文，获取所述第二VXLAN报文携带的第二报文和剩余匹配次数；
确定所述第二VXLAN报文携带的剩余匹配次数减少一个单位的数值后的余值是否为0；
若确定所述余值为0，则将所述第二报文发送给连接的第二路由器，所述第二路由器与发送所述第二报文的路由器不同；
若确定所述余值不为0，则将所述第二报文加入所述待处理队列中，并将所述第二报文对应的首片时钟周期的上次转发策略优先级设置为所述第二VXLAN报文携带的上次转发策略优先级，将所述第二报文对应的首片时钟周期的剩余匹配次数设置为所述余值。


5.根据权利要求1-4所述的方法，其特征在于，根据所述当前待处理报文、所述第一分析服务器、所述选定控制项所属的转发策略的转发策略优先级和所述当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文，具体包括：
封装所述当前待处理报文，得到第一VXLAN报文；
将所述第一VXLAN报文的源互联网协议IP地址设置为所述过滤设备的IP地址、目的地址设置为所述第一分析服务器的IP地址；
确定所述待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数是否为初始值；
若确定所述待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数为所述初始值，则将所述第一VXLAN报文携带的上次转发策略优先级和剩余匹配次数分别设置为所述选定控制项所属的转发策略的转发策略优先级和最大次数；若确定所述待处理报文对应的首片时钟周期携带的上次转发策略优先级和剩余匹配次数不为所述初始值，则将所述第一VXLAN报文携带的上次转发策略优先级设置为所述选定控制项所属的转发策略的转发策略优先级，将所述第一VXLAN报文携带的剩余匹配次数设置为所述待处理报文对应的首片时钟周期携带的剩余匹配次数。


6.一种基于VXLAN的报文过滤装置，应用于过滤设备中，其特征在于，所述装置包括：
第一获取模块，用于获取待处理队列的当前待处理报文，所述待处理队列的各个报文来自所述过滤设备连接的至少一个路由器或者至少一个分析服务器、且对应的首片时钟周期携带上次转发策略优先级和剩余匹配次数；
匹配模块，用于将所述当前待处理报文匹配转...

【专利技术属性】
技术研发人员：李高超，张乾，王大伟，王晖，邹昕，李政，陈训逊，
申请(专利权)人：国家计算机网络与信息安全管理中心，杭州迪普信息技术有限公司，
类型：发明
国别省市：北京;11