一种报文处理方法及装置、设备、存储介质制造方法及图纸

本申请提供了一种报文处理方法及装置、设备、存储介质，方法包括，确定出接收的第一待处理报文对应的状态检测结果；状态检测结果用于表征接收第一待处理报文的次数；基于状态检测结果对第一待处理报文进行封装处理，得到第一报文，并将第一报文发送至安全检测节点；接收安全检测节点反馈的第二报文；第二报文是安全检测节点对第一报文安全检测后的报文；基于第一预设流表对第二报文进行转发处理，第一预设流表是基于首包报文而查找的，第一预设流表包含第一待处理报文的转发规则。这样，本申请实施例通过对转发处理和安全检测的解耦，可以提高报文处理的可靠性。高报文处理的可靠性。高报文处理的可靠性。

【技术实现步骤摘要】
一种报文处理方法及装置、设备、存储介质


[0001]本申请涉及安全检测
，尤其涉及一种报文处理方法及装置、设备、存储介质。

技术介绍

[0002]超融合设备环境中，目前使用虚拟交换机(open vSwitch，ovs)作为数据面，对于虚拟路由器上可以通过流表来实现流量防护功能和流量转发的功能。在相关技术中，使用ovs流表来实现上述功能时，用户的一条配置往往需要被拆分成多条openflow流表来下发到ovs上，这会导致通过ovs实现流量防护功能和流量转发功能的运维难度较大；并且在实现流量防护的过程中，匹配域的可扩展性依赖于ovs的实现，新增扩展域(比如要匹配某个中央处理器上转发的流量)后需要替换ovs数据面，势必导致流量中断，进而导致报文处理可靠性差。

技术实现思路

[0003]本申请主要提供一种报文处理方法及装置、设备、存储介质，能够提高报文处理的可靠性。
[0004]本申请实施例的技术方案是这样实现的：
[0005]本申请实施例提供了一种报文处理方法，所述方法应用于转发节点；所述方法包括：
[0006]确定出接收的第一待处理报文对应的状态检测结果；所述状态检测结果用于表征接收所述第一待处理报文的次数；
[0007]基于所述状态检测结果对所述第一待处理报文进行封装处理，得到第一报文，并将所述第一报文发送至安全检测节点；
[0008]接收所述安全检测节点反馈的第二报文；所述第二报文是所述安全检测节点对所述第一报文安全检测后的报文；
[0009]基于第一预设流表对所述第二报文进行转发处理，所述第一预设流表是基于首包报文而查找的，所述第一预设流表包含所述第一待处理报文的转发规则。
[0010]本申请实施例还提供了一种报文处理装置，所述装置应用于转发节点；所述装置包括：
[0011]确定单元，用于确定出接收的第一待处理报文对应的状态检测结果；所述状态检测结果用于表征接收所述第一待处理报文的次数；
[0012]封装单元，用于基于所述状态检测结果对所述第一待处理报文进行封装处理，得到第一报文，并将所述第一报文发送至安全检测节点；
[0013]接收单元，用于接收所述安全检测节点反馈的第二报文；所述第二报文是所述安全检测节点对所述第一报文安全检测后的报文；
[0014]转发单元，用于基于第一预设流表对所述第二报文进行转发处理，所述第一预设
流表是基于首包报文而查找的，所述第一预设流表包含所述待处理报文的转发规则。
[0015]本申请实施例还提供了一种电子设备，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述方法中的步骤。
[0016]本申请实施例还提供了一种存储介质，所述存储介质上存储有可执行指令，该可执行指令被处理器执行时实现上述的方法步骤。
[0017]本申请实施例在接收第一待处理报文之后，确定与第一待处理报文对应的用于表征第一待处理报文是否为首包报文的状态检测结果，基于状态检测结果对第一待处理报文进行封装处理，得到第一报文，并将第一报文发送至安全检测节点；接收安全检测节点反馈的第二报文；基于包含第一待处理报文的转发规则的第一预设流表对第二报文进行转发处理。这样，本申请实施例将转发处理和安全检测处理解耦，通过转发节点实现对报文的转发处理，通过安全检测节点实现对报文的安全检测处理，降低了流量防护功能和流量转发功能的运维难度，并且本申请实施例通过安全检测节点实现对报文的安全检测处理，如此便不需要新增扩展域后替换ovs数据面，即可以避免相关技术中通过ovs实现流量防护功能而造成的流量中断，提高了报文处理的可靠性。
附图说明
[0018]图1为本申请实施例提供的报文处理方法的一个可选的流程示意图；
[0019]图2为本申请实施例提供的报文处理方法的一个可选的流程示意图；
[0020]图3为本申请实施例提供的报文处理方法的一个可选的流程示意图；
[0021]图4为本申请实施例提供的报文处理方法的一个可选的流程示意图；
[0022]图5为本申请实施例提供的第一报文的结构示意图；
[0023]图6为本申请实施例提供的报文处理方法的一个可选的流程示意图；
[0024]图7为本申请实施例提供的报文处理方法的一个可选的流程示意图；
[0025]图8为本申请实施例提供的报文处理方法的一个可选的流程示意图；
[0026]图9为本申请实施例提供的报文处理方法的一个可选的流程示意图；
[0027]图10为本申请实施例中报文的处理过程示意图；
[0028]图11为本申请实施例提供的报文处理方法的一个可选的流程示意图；
[0029]图12为本申请实施例中重传报文的处理过程示意图；
[0030]图13为本申请实施例提供的报文处理方法的一个可选的流程示意图；
[0031]图14为本申请实施例提供的报文处理方法的一个可选的流程示意图；
[0032]图15为本申请实施例中后续报文的处理过程示意图；
[0033]图16为本申请实施例提供的报文处理装置的组成结构示意图；
[0034]图17为本申请实施例提供的报文处理设备的组成结构示意图。
具体实施方式
[0035]下面结合附图和具体实施例对本申请的技术方案进一步详细阐述。
[0036]为了使本
的人员更好地理解本公开实施例方案，下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚地描述，显然，所描述的实施例仅仅是
本申请一部分的实施例，而不是全部的实施例。
[0037]本申请的说明书实施例和权利要求书及上述附图中的术语“第一”、“第二”、和“第三”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元。方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0038]相关技术中，通常使用ovs来实现访问控制列表(AccessControlLists，ACL)功能时，需要将用户的配置拆分成多条openflow流表来下发到ovs上，这会导致通过ovs实现流量防护功能和流量转发功能的运维难度较大；而且在进行匹配域的扩展时，需要修改ovs用户态进程，来增加匹配域，同时需要修改ovs内核模块以便内核模块能够先对新增加的匹配域对应的字段进行解析，再根据解析的新字段与新的匹配域进行比较；这个过程需要将老的内核模块卸载，卸载后再重新加载新的内核模块，这中间就会导致流量的中断，从而导致报文处理可靠性差。
[0039]为了解决上述技术问题，本申请实施例提供一种报文处理方法，该方法可以应用至转发节点，在一些实施例中，该转发节点可以是ovs，在转发节点接收到发送服务器发送的报本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种报文处理方法，其特征在于，所述方法应用于转发节点；所述方法包括：确定出接收的第一待处理报文对应的状态检测结果；所述状态检测结果用于表征接收所述第一待处理报文的次数；基于所述状态检测结果对所述第一待处理报文进行封装处理，得到第一报文，并将所述第一报文发送至安全检测节点；接收所述安全检测节点反馈的第二报文；所述第二报文是所述安全检测节点对所述第一报文安全检测后的报文；基于第一预设流表对所述第二报文进行转发处理，所述第一预设流表是基于首包报文而查找的，所述第一预设流表包含所述第一待处理报文的转发规则。2.根据权利要求1所述的报文处理方法，其特征在于，所述确定出接收的第一待处理报文对应的状态检测结果，包括以下之一：在基于所述第一待处理报文的第一头部字段未查找到所述第一预设流表的情况下，确定出表征所述第一待处理报文为所述首包报文的所述状态检测结果；在基于所述第一待处理报文的第一头部字段查找到所述第一预设流表，且在所述第一预设流表中查找对应的连接跟踪表项的会话状态为第一状态的情况下，确定出表征所述第一待处理报文为重发报文的所述状态检测结果；所述重发报文为所述首包报文的重发报文。3.根据权利要求2所述的报文处理方法，其特征在于，所述在基于所述第一待处理报文的第一头部字段未查找到所述第一预设流表的情况下，确定出表征所述第一待处理报文为所述首包报文的所述状态检测结果之后，所述基于所述状态检测结果对所述第一待处理报文进行封装处理，得到第一报文，并将所述第一报文发送至安全检测节点之前，所述方法还包括：在所述第一待处理报文的入接口标识非安全检测节点接口的情况下，在多个第一预设数据集合中的各所述第一预设数据集合查找对应的多个第一流表项，进而得到多个所述第一流表项。4.根据权利要求3所述的报文处理方法，其特征在于，多个所述第一预设数据集合包括：目的地址数据集合、路由数据集合以及访问控制数据集合；多个所述第一流表项包括：目的地址表项、目的端口表项、出接口标识、下位设备标识以及连接跟踪表项；所述在多个第一预设数据集合中的各所述第一预设数据集合查找对应的多个第一流表项，包括：在所述目的地址数据集合中查找到所述目的地址表项及所述目的端口表项；在所述路由数据集合中查找到所述出接口标识及所述下位设备标识；在所述访问控制数据集合中未查到与所述第一待处理报文对应的所述连接跟踪表项的情况下，构建所述连接跟踪表项并将所述连接跟踪表项的会话状态设置为第一状态。5.根据权利要求4所述的报文处理方法，其特征在于，在所述第一待处理报文为所述首包报文的情况下，所述接收所述安全检测节点反馈的第二报文之后，所述基于第一预设流表对所述第二报文进行转发处理之前，所述方法还包括：对所述第二报文解封装，得到所述入接口标识、路由器标识、所述出接口标识及所述下位设备标识；
基于所述入接口标识、所述路由器标识、所述出接口标识及所述下位设备标识，在源地址数据集合中查找到源地址表项及源端口表项；将所述源地址端口表项、所述源端口表项、所述目的地址表项、目的端口表项、所述出接口标识及所述下位设备标识组合得到所述第一预设流表。6.根据权利要求5所述的报文处理方法，其特征在于，所述基于所述状态检测结果对所述第一待处理报文进行封装处理，得到第一报文，包括：在所述状态检测结果表征所述第一待处理报文为所述首包报文或者所述重发报文的情况下，将所述入接口标识、所述路由器标识、所述出接口标识及所述下位设备标识封装至所述第一待处理报文的第一头部信息；所述路由器标识是基于所述入接口标识确定的；将...

【专利技术属性】
技术研发人员：焦利涛，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：