一种流分类处理方法和装置制造方法及图纸

本申请提供了一种流分类处理方法和装置，其中该方法中，在各VPN虚拟专用网络内，将一个用户网络地址映射一个全局唯一的流分类软件标识；将多个流分类硬件标识中的一个映射到不同的VPN的一个所述软件分类标识；在每个VPN路由表建立对应于每个流分类软件标识的路由表项；其中，每个流分类软件标识对应的路由表项记录了各流分类软件标识映射的网络地址以及流分类硬件标识；在不同VPN内基于各所述流分类硬件标识执行流分类处理。本申请通过流分类硬件标识映射的流分类软件标识，增加用户可管理的流分类数量。

【技术实现步骤摘要】
一种流分类处理方法和装置
本申请涉及
，具体地讲是一种流分类处理方法和装置。
技术介绍
现有的流分类处理方法中，基于用户的网络地址进行分类处理，为网络地址分配流分类硬件标识，根据各个流分类硬件标识建立各用户网络地址的路由表项，并将网络地址的流分类硬件标识存储在路由表项。网络设备转发数据报文时，根据数据报文的网络地址查找到匹配的路由表项，获取路由表项记录的流分类硬件标识，再根据流分类硬件标识查找流分类表，获得对应流分类动作。但是，现有方法的缺陷在于，查找流分类表依赖于流分类硬件标识，但是网络设备的流分类硬件标识的数目有限，对于具有大量用户的网络，流分类硬件标识的资源有限限制了可管理的流分类数量。在大规模网络中，只能对有限的用户进行流分类管理。
技术实现思路
本申请目的在于提供一种流分类处理方法和装置，通过流分类硬件标识映射的流分类软件标识，增加用户可管理的流分类数量。为实现上述目的，本申请提供了：一种流分类处理方法，其中该方法包括:在各VPN虚拟专用网络内，将一个用户网络地址映射一个全局唯一的流分类软件标识；将多个流分类硬件标识中的一个映射到不同的VPN的一个所述软件分类标识；在每个VPN路由表建立对应于每个流分类软件标识的路由表项；其中，每个流分类软件标识对应的路由表项记录了各流分类软件标识映射的网络地址以及流分类硬件标识；在不同VPN内基于各所述流分类硬件标识执行流分类处理。为实现上述目的，本申请还提供了一种流分类处理装置，该装置包括:映射模块，用于在各VPN虚拟专用网络内，将一个用户网络地址映射一个全局唯一的流分类软件标识；将多个流分类硬件标识中的一个映射到不同的VPN的一个所述软件分类标识；表项模块，用于在每个VPN路由表建立对应于每个流分类软件标识的路由表项；其中，每个流分类软件标识对应的路由表项记录了各流分类软件标识映射的网络地址以及流分类硬件标识；转发模块，在不同VPN内基于各所述流分类硬件标识执行流分类处理。本申请提供的流分类处理机制，通过流分类硬件标识映射的流分类软件标识，在不同的VPN复用流分类硬件标识，用户在设备上基于流分类软件标识进行数据流管理，通过全局唯一的流分类软件标识在不同VPN映射流分类硬件标识，增加用户在设备上可管理的流分类数量。附图说明图1为本申请提供的流分类处理方法实施例一的流程图；图2为本申请提供的流分类处理方法实施例二的流程图；图3为本申请提供的流分类处理方法实施例三的流程图；图4为本申请提供的流分类处理装置实施例示意图。具体实施方式将以多个附图所示的多个例子进行详细说明。在以下详细描述中，多个具体细节用于提供对本申请的全面理解。实例中没有详细地描述已知的方法、步骤、组件以及电路，以免使这些例子的难于理解。使用的术语中，术语“包括”表示包括但不限于；术语“含有”表示包括但不限于；术语“以上”、“以内”以及“以下”包含本数；术语“大于”、“小于”表示不包含本数。术语“基于”表示至少基于其中一部分。图1是本申请提供的流分类处理方法实施例流程图，该方法包括：步骤101，在各VPN虚拟专用网络内，将一个用户网络地址映射一个全局唯一的流分类软件标识。本实施例以大学的校园网为例，大学的校园网通过三层虚拟专用网(L3VPN)隔离不同的学院，在学院1的VPN1，学院1的学生网络设备位于网段10.0.1.0，为该网段10.0.1.0的两个网络地址10.0.1.1，10.0.1.2，分别分配流分类软件标识USER-FLOW-ID1，USER-FLOW-ID2；学院1的教师网络设备位于网段10.0.2.0，为该网段10.0.2.0的两个网络地址10.0.2.1，10.0.2.2，分别分配流分类软件标识USER-FLOW-ID3，USER-FLOW-ID4；学院1开放给学院1的所有人的公共服务器的网络地址为10.1.0.253，为其分配USER-FLOW-ID5；学院1只开放给教师的服务器的网络地址为10.2.2.253，为其分配USER-FLOW-ID6。假设学院2的VPN2中，学院2的学生网络设备位于网段20.0.1.0，为该网段20.0.1.0的两个网络地址20.0.1.1，20.0.1.2，分别分配流分类软件标识USER-FLOW-ID21，USER-FLOW-ID22；学院2的教师网络设备位于网段20.0.2.0，为该网段20.0.2.0的两个网络地址20.0.2.1，20.0.2.2，分别分配流分类软件标识USER-FLOW-ID23，USER-FLOW-ID24；学院2开放给学院2的所有人的公共服务器的网络地址为20.1.0.253，为其分配USER-FLOW-ID25；学院2只开放给教师的服务器的网络地址为20.2.2.253，为其分配USER-FLOW-ID26。步骤102，将多个流分类硬件标识中的一个映射到不同的VPN的一个软件分类标识。在vpn1中，为10.0.1.1的流分类软件标识USER-FLOW-ID1分配流分类硬件标识Hardware-FLOW-ID1；为10.0.1.2的流分类软件标识USER-FLOW-ID2分配流分类硬件标识Hardware-FLOW-ID2；为10.0.2.1的流分类软件标识USER-FLOW-ID3分配流分类硬件标识Hardware-FLOW-ID3；为10.0.2.2的流分类软件标识USER-FLOW-ID4分配流分类硬件标识Hardware-FLOW-ID4；为学院1公共服务器10.1.0.253的流分类软件标识USER-FLOW-ID5分配流分类硬件标识Hardware-FLOW-ID5；为学院1教师专用服务器的10.2.2.253的流分类软件标识USER-FLOW-ID6分配流分类硬件标识Hardware-FLOW-ID6。在vpn2中，为20.0.1.1的流分类软件标识USER-FLOW-ID21分配流分类硬件标识Hardware-FLOW-ID1；为20.0.1.2的流分类软件标识USER-FLOW-ID22，分配流分类硬件标识Hardware-FLOW-ID2；为20.0.2.1的流分类软件标识USER-FLOW-ID23，分配流分类硬件标识Hardware-FLOW-ID3；为20.0.2.2的流分类软件标识USER-FLOW-ID24分配流分类硬件标识Hardware-FLOW-ID4；为学院2公共服务器20.1.0.253的流分类软件标识USER-FLOW-ID25，分配流分类硬件标识Hardware-FLOW-ID5；为学院2教师专用服务器的20.2.2.253的流分类软件标识USER-FLOW-ID26，分配流分类硬件标识Hardware-FLOW-ID6。同一个流分类硬件标识被映射到了不同的VPN1和VPN2的不同流分类软件标识。在VPN1，在流分类ACL表记录ACL表项用以管理学生设备之间数据流、学生设备与学院公共服务器之间的数本文档来自技高网...

【技术保护点】
1.一种流分类处理方法，其特征在于，所述方法包括:/n在各VPN虚拟专用网络内，将一个用户网络地址映射一个全局唯一的流分类软件标识；/n将多个流分类硬件标识中的一个映射到不同的VPN的一个所述软件分类标识；/n在每个VPN路由表建立对应于每个流分类软件标识的路由表项；其中，每个流分类软件标识对应的路由表项记录了各流分类软件标识映射的网络地址以及流分类硬件标识；/n在不同VPN内基于各所述流分类硬件标识执行流分类处理。/n

【技术特征摘要】
1.一种流分类处理方法，其特征在于，所述方法包括:
在各VPN虚拟专用网络内，将一个用户网络地址映射一个全局唯一的流分类软件标识；
将多个流分类硬件标识中的一个映射到不同的VPN的一个所述软件分类标识；
在每个VPN路由表建立对应于每个流分类软件标识的路由表项；其中，每个流分类软件标识对应的路由表项记录了各流分类软件标识映射的网络地址以及流分类硬件标识；
在不同VPN内基于各所述流分类硬件标识执行流分类处理。


2.根据权利要求1所述的方法，其特征在于，在不同VPN内基于各所述流分类硬件标识执行流分类处理包括：
在收到的第一数据报文所属VPN的VPN路由表中，查找匹配所述第一数据报文的源网络地址的路由表项，获取所述源网络地址映射的源流分类硬件标识；查找匹配所述第一数据报文的目的网络地址的路由表项，获取所述目的网络地址映射的目的流分类硬件标识；
根据所述第一数据报文的所属VPN的标识、所述源流分类硬件标识、所述目的流分类硬件标识获取所述第一数据报文的流分类处理动作。


3.根据权利要求1所述的方法，其特征在于，在不同VPN内基于各所述流分类硬件标识执行流分类处理之前，所述方法还包括：
设置流分类表；
在所述流分类表中设置多个流分类表项；每个流分类表项中记录同一个VPN内的两个网络地址之间的数据流对应的流管理动作。


4.根据权利要求3所述的方法，其特征在于，所述方法还包括:
在各所述VPN，将多个需要按照角色类型管理的用户网络地址映射一个全局唯一的角色流分类软件标识；
将所有同种类角色流分类软件标识映射到所述多个流分类硬件标识中的一个映射；
在每个VPN路由表建立对应于每个角色流分类软件标识的路由表项；其中，每个角色流分类软件标识对应的路由表项记录了各角色流分类软件标识映射的网络地址以及流分类硬件标识；在收到的第二数据报文所属VPN的VPN路由表中，查找匹配所述第二数据报文的源网络地址的路由表项，获取所述源网络地址映射的源角色流分类硬件标识；查找匹配所述第二数据报文的目的网络地址的路由表项，获取所述目的网络地址映射的目的角色流分类硬件标识；
根据所述第二数据报文的VPN的标识、所述源角色流分类硬件标识、所述目的角色流分类硬件标识获取所述第二数据报文的角色类型处理动作。


5.根据权利要求1所述的方法，其特征在于，所述方法还包括:
在各所述VPN，将多个需要按照角色类型管理的用户网络地址映射一个全局唯一的角色流分类软件标识；
将每个所述VPN的所述角色流分类软件标识分别映射多个流分类硬件标识中的一个；
在各所述VPN的路由表建立对应于每个角色流分类软件标识的路由表项；其中，每个角色流分类软件标识对应的路由表项记录了各角色流分类软件标识映射的网络地址以及流分类硬件标识；
在收到的第三数据报文所属VPN的VPN路由表中，查找匹配所述第三数据报文的源网络地址的路由表项，获取所述源网络地址映射的源角色流分类硬件标识；查找匹配所述第三数据报文的目的网络地址的路由表项，获取所述目的网络地址映射的目的角色流分类硬件标识；
根据所述第三数据报文的VPN的标识、所述源角色流分类硬件标识、所述目的角色流分类硬件标识获取所述第三数据报文的角色类型处理动作。

【专利技术属性】
技术研发人员：李光，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：安徽;34