专利名称:一种报文转向的方法和深度包检测设备的制作方法
技术领域:
本发明涉及网络通信领域,特别是涉及一种报文转向的方法和深度包检测设备。
背景技术:
随着Internet技术的发展,网络设备的功能也越来越丰富,对网络进行监控变得 愈加必要。目前,网络设备通过对流量和报文的分析和监控来实现对网络的监控。由于不同 网络设备对报文处理的侧重点不同,带宽支持也不同,因此在部署时经常需要组成集群,通 过网络设备之间的协助分析,满足报文的处理需求。发明人在实现本发明的过程中发现在上述部署格局下,可能出现一种应用场景,即一个报文需要依次被传递给同一 集群内的多个网络设备,集群内的每个网络设备具有特定的分析处理功能,则同一集群内 的网络设备之间需要对同一个报文进行转向;所述转向是指将报文由一个网络设备交给另 一个网络设备处理,所述另一个网络设备处理完成后再将报文返回的过程。但是,现有技术 中还没有实现报文转向的技术方案。
发明内容
本发明实施例的目的是提供一种报文转向的方法和深度包检测设备,以解决报文 转向的问题。本发明实施例提供了一种报文转向的方法,包括接收报文,所述报文中包含有用户标识;根据所述用户标识以及预先设置的用户标识与服务类型的第一对应关系,查找与 所述报文中的用户标识对应的服务类型;根据所述服务类型、预先设置的服务类型和从设备标识的第二对应关系以及从设 备标识和转向标识字段中各比特位的第三对应关系,为报文添加内层虚拟局域网Vlan头, 所述内层Vlan头包括转向标识字段,所述转向标识字段中包含有转向标识;根据所述转向标识字段中的转向标识将带有内层Vlan头的报文转向给对应的从 设备,所述从设备包括至少一台。本发明实施例还提供了一种深度包检测设备,包括接收单元,用于接收报文,所述报文中包含有用户标识;查找单元,用于根据所述用户标识以及预先设置的用户标识与服务类型的第一对 应关系,查找与所述报文中的用户标识对应的服务类型;处理单元,用于根据所述服务类型、预先设置的服务类型和从设备标识的第二对 应关系以及从设备标识和转向标识字段中各比特位的第三对应关系,为报文添加内层虚拟 局域网Vlan头,所述内层Vlan头包括转向标识字段,所述转向标识字段中包含有转向标 识;
4
转向单元,用于根据所述转向标识字段中转向标识将带有内层Vlan头的报文转 向给对应的从设备,所述从设备包括至少一台。本发明实施例的报文转向的方法和深度包检测设备,提供了报文转向的解决方 案,通过在报文中添加带有转向标识字段的内层Vlan头,指示报文在同一集群中的转向, 降低DPI设备的处理负担,同时可以支持用户定制多个不同的个性化服务。
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使 用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于 本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其 他的附图。图1是本发明实施例同一集群中DPI设备和从设备的架构示意图;图2是本发明实施例报文转向的方法的第一实施例的流程示意图;图3是本发明的内层Vlan头的示意图;图4是本发明实施例报文转向的方法的第二实施例的流程示意图;图5是本发明第三实施例中DPI设备和从设备之间报文的走向示意图;图6是本发明实施例报文转向的方法的第三实施例的流程示意图;图7是本发明实施例的报文添加内层Vlan头之前的示意图;图8是发明第三实施例中内层Vlan头的示意图;图9是本发明第三实施例的报文添加内层Vlan头之后的示意图;图10是本发明第三实施例中具有交换机时,DPI设备和从设备之间报文的走向示 意图;图11是本发明实施例的深度包检测设备的第一实施例的结构示意图;图12是本发明实施例的深度包检测设备的第二实施例的结构示意图。
具体实施例方式为使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式
对本发明实施例作进一步详细的说明。实施例一本实施例的DPI (De印Packet Inspection,深度包检测)设备下可以附属有至少 一台从设备,如图1所示,DPI设备具备简单的业务处理能力,每个从设备具有特定的分析 处理功能,例如杀毒、URL (Uniform Resource Locator,统一资源定位符)过滤、WAN (wide area network,广域网)加速等,DPI设备通过将报文转发给特定的从设备来实现相应的功 能。本实施例的报文转向的方法,如图2所示,包括如下步骤S10,接收报文,所述报文中包含有用户标识。S20,根据所述用户标识以及预先设置的用户标识与服务类型的第一对应关系,查 找与所述报文中的用户标识对应的服务类型。由于DPI设备位于核心网和用户之间,所以DPI设备可以为其控制范围内的用户 提供定制的服务。若所述报文为上行报文,则所述报文中用户标识为发送所述报文的用户标识,所述发送报文的用户标识可以为源IP(网际协议)地址、用户账号等;若所述报文为 下行报文,则所述用户标识为接收所述报文的用户标识,所述接收报文的用户标识可以为 目的IP地址、用户账号等。由于用户标识与用户具有一一对应的关系,当用户定制了符合 个性需求的服务类型后,DPI设备可以通过将用户的用户标识和用户定制的服务类型建立 第一对应关系,实现为用户的针对性服务。所述服务类型可以包括杀毒、URL过滤、WAN加速 等。用户针对上下行报文定制的服务可以相同,也可以针对上行报文和下行报文定制不同 的服务,当针对上行报文和下行报文定制的服务不同时,第一对应关系要区分为针对上行 报文的第一对应关系和针对下行报文的第一对应关系,其中,报文属性(上行或下行)可以 根据报文进入DPI设备的入链路接口的属性(上行口或下行口)来判断。典型的DPI设备通常包括位于前台的分流模块和处理模块,以及位于后台的网页 配置模块和数据库。当第一对应关系的数量较少时,第一对应关系可以存储在分流模块中; 当第一对应关系的数量较多时,可以存储在DPI设备后台的数据库中。S30,根据所述服务类型、预先设置的服务类型和从设备标识的第二对应关系以及 从设备标识和转向标识字段中各比特位的第三对应关系,为报文添加内层虚拟局域网Vlan 头,所述内层Vlan头包括转向标识字段,所述转向标识字段中包含有转向标识。Vlan技术是一种通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟 工作组的技术,提出了解决以太网的广播和安全性问题的协议,其在以太网帧的基础上增 加Vlan头,用Vlan把用户划分为更小的工作组,限制不同工作组间的用户二层互访。现有的Vlan头共16bit,其中前3bit表示的字段为PRI (优先级),第4bit表示 的字段为CFI (Canonical Format Indicator,标准格式指示),后12bit均为保留字段。在 本实施例中,都是对后12bit保留字段的应用,而对前4bit进行原样保留。内层Vlan头可 以包括转向标识字段,还可以进一步包括链路号字段,其中,转向标识字段中包含有转向标 识,转向标识可以用1或0来表示,当然不限于此。如图3所示,为内层Vlan头的结构示意 图。内层Vlan头的后12bit中包含转向标识字段和链路号字段,转向标识字段的比特位数 可以与DPI设备下附属的从设备数量相同,也可以多于从设备的数量。服务类型和从设备标识具有第二对应关系,第二对应关系预先设置在DPI设备 中。通过第二对应关系,可以将用户定制的服务具体到提供服务的从设备,将用户发出/接 收的报文转向给提供对应服务的从设备即可实现为用户提供其定制的服务。从设备标识和转向标识字段中各比特位具有第三对应关系,第三对应关系预先设 置在DPI设备中。通过第三对应关系,DPI设备可以在给报文添加内层Vlan头时,确定转 向标识字段如何设置,以指示后续的转向操作。转向标识字段中包含有转向标识与报文需 要转向的从设备对应的比特位上具有转向标识,与报文不需要转向的从设备对应的比特位 上具有不转向标识。具体的,在设置转向标识字段时,可以将报文需要转向的从设备对应的 比特位的值置为1,报文不需要转向的从设备对应的比特位的值置为0。当然,也可以将报 文需要转向的从设备对应的比特位的值置为0,报文不需要转向的从设备对应的比特位的 值置为1。且不限于上述两种设置方式,可以根据具体需要而定。实际应用中,由于第二对应关系和第三对应关系的数量都不是很大,可以保存在 DPI设备前台的分流模块中。S40,根据所述转向标识字段中的转向标识将带有内层Vlan头的报文转向给对应的从设备,所述从设备包括至少一台。在实际应用中,DPI设备自身可以单独记录报文的整个转向操作过程,并将报文按 照内层Vlan头转向标识字段中的转向标识从左到右或从右到左的顺序依次转向给对应的 从设备,这样,可以避免遗漏转向或重复转向操作。DPI设备自身也可以不记录转向操作过程,而是将转向操作过程记录在内层Vlan 头的转向标识字段中随报文一起转向。在另一种实现方式中,当报文通过上述步骤完成转向后,如图4所示,所述方法还 包括S50,判断报文是否完成转向;具体的,当报文只需要转向给一台从设备时,则报文完成转向是指报文完成DPI 设备与该台从设备之间的转向;当报文需要转向给多台从设备时,则报文完成转向是指报 文完成DPI设备与所有从设备之间的转向。也就是说,当报文只需要转向给一台从设备时, 则报文完成一次转向即为报文完成转向;当报文需要转向给多台从设备时,只有当报文完 成多次转向时才称为报文完成转向。具体的,判断报文是否完成转向时,可以根据转向操作过程记录的方式不同进行 不同的处理。若DPI设备是采用自身单独记录报文的整个转向操作过程,则当报文转向过 程记录中显示报文完成转向时,确认所述报文完成转向;若是采用将转向操作过程记录在 转向标识字段中随报文一起转向的方式,则当转向回来的报文的转向标识字段中不含有转 向标识时,确认报文完成转向,否则认为报文没有完成转向。具体的,在判断报文是否完成转向的过程中,对于DPI设备不记录转向操作过程 的情况,为了避免重复转向或遗漏转向操作,在转向过程中,DPI设备可以有两种操作模式, 第一种,当带有内层Vlan头的报文即将向从设备转向前,将转向标识字段中与所述从设备 对应的比特位由转向标识置为转向完成标识,然后再将报文转向到所述从设备;第二种,当 带有内层Vlan头的报文从某个从设备转向回来后,将转向标识字段中与所述从设备对应 的比特位由转向标识置为转向完成标识。其中,转向标识可以为1、转向完成标识可以为0 ; 或转向标识可以为0、转向完成标识为1,可以理解的是,转向完成标识可以与不转向标识 用相同的标识表示,但转向完成标识与转向标识要有所区别,转向标识与不转向标识也应 有所区别。转向标识、不转向标识和转向完成标识可以根据预定的策略进行设置,转向标识 表示需要将报文转向到该比特位对应的从设备,不转向标识表示不将该报文转向到该比特 位对应的从设备,转向完成标识表示已经将该报文转向到该比特位对应的从设备。以下以转向标识为1、不转向标识为0、转向完成标识为0,且DPI设备在报文转向 时,按照转向标识字段从左到右的顺序依次转向给对应的从设备为例对上述两种操作模式 进行详细描述第一种,在将该报文转向某个从设备前,将转向标识字段中与该转向从设备对应 的比特位由转向标识置为转向完成标识后,将报文转向到所述从设备具体的,当DPI设备 为所述报文添加内层Vlan头后,DPI设备先检查内层Vlan头的转向标识字段中从左到右的 第一个值为1的比特位,确定该比特位对应的从设备A为报文转向的第一个从设备,然后将 转向标识字段中的该比特位的值由转向标识1置为转向完成标识0,并将带有内层Vlan头 的报文转向给从设备A ;当报文从从设备A返回后,DPI设备再次检查转向标识字段中从左
7到右的第一个值为1的比特位,确定该比特位对应的从设备B为报文转向的第二个从设备, 然后将转向标识字段中与从设备B对应的该比特位的值由转向标识1置为转向完成标识0, 将带有内层Vlan头的报文转向给从设备B,如此往复,则S50具体可以为判断从所述从设 备转向回来的报文中转向标识字段中各比特位是否为不转向标识或转向完成标识,即判断 从某个从设备返回的报文的转向标识字段中的比特位的值是否全部为0,若全部为0则表 示该报文已经依次完成所有转向操作。第二种,在该报文从某个从设备转向回来后,将转向标识字段中与该从设备对应 的比特位由转向标识置为转向完成标识,具体的,当DPI设备为所述报文添加内层Vlan头 后,DPI设备先检查转向标识字段中从左到右的第一个值为1的比特位,确定该比特位对应 的从设备A为报文转向的第一个从设备,然后将带有内层Vlan头后的报文转向给从设备A, 当报文从从设备A返回后,DPI设备将转向标识字段中与从设备A对应的比特位的值由转 向标识1置为转向完成标识0 ;接着检查转向标识字段中从左到右的第一个值为1的比特 位,确定该比特位对应的从设备B为报文转向的第二个从设备,将带有内层Vlan头后的报 文转向给第二个从设备B,在报文从从设备B返回后,DPI设备将转向标识字段中与从设备 B对应的比特位的值由转向标识1置为转向完成标识0,如此往复,则S50具体可以为在将 转向标识字段中与所述从设备对应的比特位置为转向完成标识后,判断报文的转向标识字 段中各比特位是否为不转向标识或转向完成标识,即在DPI设备将与某个从设备对应的转 向标识1置为转向完成标识0后,判断转向标识字段中的比特位的值是否全部为0,若全部 为0则表示该报文已经依次完成所有转向操作。实际应用中,DPI设备可以对同一群组中的从设备采用同一种操作模式。需要说明的是,在报文转向过程中,从设备仅对报文进行处理,对内层Vlan头不 进行操作。由此,报文能够在DPI设备与其附属的从设备之间进行转向。S60,当报文完成转向后,去除报文中的内层Vlan头,并通过接收报文的通信链路 继续传输报文。具体的,若DPI设备单独记录报文的整个转向操作过程,则当报文转向过程记录 中显示报文完成转向时,确认所述报文完成转向;若DPI设备没有单独记录转向操作过程, 而是将转向操作过程记录在内层Vlan头的转向标识字段中随报文一起转向,则当转向回 来的报文的转向标识字段中不含有转向标识时,确认报文完成转向。在该报文完成转向后,DPI设备去除报文中的内层Vlan头,并通过接收报文的通 信链路继续传输报文。进一步的,DPI设备还可以在从通信链路接收到报文时记录所述链路的链路号,以 在报文完成转向后,通过与记录的该链路号相应的通信链路继续传输报文。进一步的,DPI设备也可以将所述链路的链路号添加在内层Vlan头中,即内层 Vlan头还包括与所述链路对应的链路号字段,则DPI设备通过与所述内层Vlan头中链路号 字段中的链路标识对应的通信链路继续传输报文。实际应用中,由于Vlan头中的保留字段为后12bit,且,对于将来一段时间内用户 可能形成的服务需求,8个从设备基本可以满足用户的个性化定制,4bit的链路号字段可 以区分16条链路,也基本可以满足将来一段时间的网络发展规模。因此,优选的,可以将所述内层Vlan头的转向标识字段设置为8比特,所述链路号字段设置为4比特。此外,需要说 明的是,本发明实施例对转向标识字段和链路号字段的前后顺序不作限制。通过内层Vlan 头中的链路号字段携带传输报文的链路号的好处是可以减少DPI设备的记录负担,将链路 号携带在内层Vlan头中跟随报文一起转向,若在转向过程中该报文不符合用户定制的规 则而被过滤掉,DPI设备就没必要记录该报文的链路号,而且除了第一步的添加内层Vlan 头外,后续过程都可以由分流模块完成,使DPI设备处理报文的效率更高。本实施例的报文转向的方法,提供了报文转向的解决方案,通过在报文中添加带 有转向标识字段的内层Vlan头,指示报文在同一集群中进行多次转向,从而降低了 DPI设 备的处理负担。本实施例的报文转向的方法,支持用户定制多个不同的个性化服务。实施例二本实施例为报文转向方法的一个具体实施例。假设一个集群中包括一台DPI设备 和其管理的三台从设备(参见图5)从设备a、从设备b、从设备C。设其中从设备a的功能 是杀毒,从设备b的功能是URL过滤,从设备c的功能是WAN加速。每个从设备只能与DPI 设备进行通信,从设备之间无法通信。如图6所示,该方法包括S101,DPI设备接收报文,所述报文中包含有用户标识。S102,DPI设备根据IP地址以及预先设置的IP地址与服务类型的第一对应关系, 查找与报文中IP地址对应的服务类型。所述报文如图7所示,若所述报文为下行报文,且其目的IP地址对应的服务类型 包括杀毒和URL过滤,则所述报文需要转向给从设备a和从设备b。S103,DPI设备根据所述服务类型、预先设置的服务类型和从设备标识的第二对应 关系、以及从设备标识和转向标识字段中各比特位的第三对应关系,为报文添加内层Vlan 头。本例中的内层Vlan头包括8比特的转向标识字段和4bit的链路号字段,如图8所 示。第二对应关系中杀毒对应的从设备标识为a,URL过滤对应的从设备标识为b,第三对应 关系中从设备a对应转向标识字段中的第lbit,从设备b对应转向标识字段中的第2bit。 所述链路的链路号为3。添加了内层Vlan头的报文如图9所示,其中“0x8100”用于指示所 增加的为Vlan头,"Vlan ID”即内层Vlan头,“0x8100”和Vlan头共4字节。S104,DPI设备根据所述转向标识字段中的转向标识将带有内层Vlan头的报文转 向给对应的从设备,所述从设备包括至少一台。以DPI采用第二种操作模式为例,DPI设备将带有内层Vlan头的报文转向给从设 备a (图5中的虚线表示了报文走向,其中的数字1-6表示报文传递的顺序),在接收到由从 设备a返回的报文后,将转向标识字段中与从设备a对应的比特位的值置为0 ;之后,将报 文再转向给从设备b,当报文由从设备b返回后,将转向标识字段中与从设备b对应的比特 位的值置为0。S105,当报文完成转向后,DPI设备去除报文中的内层Vlan头,并通过接收报文的 通信链路继续传输报文。由于在将转向标识字段中与从设备b对应的比特位的值置为0后,报文的转向标 识字段中的比特位的值均为0,则全部转向完成。DPI设备去除报文中的内层Vlan头,并通
9过链路号为3的通信链路的上行口继续传输报文。对于DPI设备与各从设备之间还包括交换机的情况,可以构造两层Vlan,例如 802. IQ in 802. 1Q。在DPI设备上配置从设备标识和交换机端口号的第四对应关系。在为 报文添加内层Vlan头时,DPI设备根据预先设置的从设备标识和交换机端口号的第四对应 关系,为报文添加外层Vlan头;所述外层Vlan头的值为报文即将转向的从设备对应的交换 机端口号。还是以上面的例子进行说明,如图10所示,DPI设备与从设备m、从设备η、从设备 P之间通过交换机连接,图中虚线表示了报文走向,其中的数字1-10表示报文传递的顺序。 从设备m对应的交换机端口为(100,101),其中100为发送端口,101为接收端口 ;从设备η 对应的交换机端口为(102,103),从设备ρ对应的交换机端口为(104,105) ;DPI设备与交 换机可以通过trunk连接,trunk使能后可以对所有的交换机端口放行。在为报文添加内层Vlan头和外层Vlan头之后,DPI设备对报文进行转向。DPI先 将带有内层Vlan头和外层Vlan头的报文发送给交换机;交换机根据外层Vlan头的值,确 定报文即将转向的从设备m所在的交换机端口号,将报文通过端口 100转向给从设备m,即 将报文通过与所述外层Vlan头的值对应的交换机端口转向给相应的从设备;从设备m处 理完报文后,通过端口 101返回给交换机;交换机再将报文返回DPI设备;DPI设备将内层 Vlan头的转向标识字段中与从设备m对应的比特置为0,然后查找报文需要转向的下一个 从设备。由于内层Vlan头的转向标识字段的第2比特位的值为1,DPI设备将外层Vlan头 中的交换机端口号改为102,DPI设备将报文发送给交换机;交换机根据外层Vlan头中的 交换机端口号,将报文通过端口 102转向给从设备η ;从设备η处理完报文后,通过端口 103 返回给交换机;交换机再将当所述报文返回DPI设备;DPI设备将内层Vlan头的转向标识 字段中与从设备η对应的比特位的值置为0。这时,由于转向标识字段中的比特位的值均 为0,代表全部转向完成。当报文完成转向后,DPI设备会去除报文中的内层Vlan头及外层 Vlan头。之后,DPI设备通过接收报文的通信链路继续传输报文。在报文转向过程中,从设备仅对报文进行处理,对内层Vlan头和外层Vlan头不进 行操作;交换机仅按照外层Vlan头中的交换机端口转发报文,对内层Vlan头和外层Vlan 头也不进行操作;DPI设备通过外层Vlan头控制交换机将报文转向给对应的从设备,通过 内层Vlan头记录报文转向操作的进展状况。本实施例的报文转向的方法,提供了报文转向的解决方案,通过在报文中添加带 有转向标识字段的内层Vlan头和外层Vlan头,指示报文在同一集群中的多次转向,降低 DPI设备的处理负担,同时可以支持用户定制个性化服务。实施例三本实施例提供了一种深度包检测设备,所述深度包检测设备下可以附属有至少一 台从设备。如图11所示,所述深度包检测设备包括接收单元10、查找单元20,处理单元 30,转向单元40。接收单元10,用于接收报文,所述报文中包含有用户标识。查找单元20,用于根据所述用户标识以及预先设置的用户标识与服务类型的第一 对应关系,查找与所述报文中的用户标识对应的服务类型。具体的,若所述报文为上行报文,则所述用户标识为发送所述报文的用户标识,所
10述发送报文的用户标识可以为源IP地址、用户账号等;若所述报文为下行报文,则所述用 户标识为接收所述报文的用户标识,所述接收报文的用户标识可以为目的IP地址、用户账5寸。处理单元30,用于根据所述服务类型、预先设置的服务类型和从设备标识的第二 对应关系以及从设备标识和转向标识字段中各比特位的第三对应关系,为报文添加内层 Vlan头,所述内层Vlan头可以包括转向标识字段,转向标识字段中包含有转向标识。具体的,转向标识字段中,与报文需要转向的从设备对应的比特位为转向标识,与 报文不需要转向的从设备对应的比特位为不转向标识,其中转向标识可以用1或0表示,当 然不限于上述两种,且转向标识需要与不转向标识相区别。转向单元40,用于根据所述转向标识字段中转向标识将带有内层Vlan头的报文 转向给对应的从设备,所述从设备包括至少一台。本实施例提供的深度包检测设备,通过在报文中添加带有转向标识字段的内层 Vlan头,指示报文在同一集群中转向,降低DPI设备的处理负担,并能够为用户提供用户定 制的个性化服务。参见图12,在又一个本发明实施例中,在图11所述的实施例基础上,图12所述的 深度包检测设备还可以包括判断单元50,用于当报文完成转向后,判断报文是否完成转向;具体的,当报文只需要转向给一台从设备时,则报文完成转向是指报文完成DPI 设备与该台从设备之间的转向;当报文需要转向给多台从设备时,则报文完成转向是指报 文完成DPI设备与所有从设备之间的转向。也就是说,当报文只需要转向给一台从设备时, 则报文完成一次转向即为报文完成转向;当报文需要转向给多台从设备时,只有当报文完 成多次转向时才称为报文完成转向。发送单元60,用于当所述判断单元50判断出报文完成转向后,去除报文中的内层 Vlan头,并通过接收报文的通信链路继续传输报文。其中,所述内层Vlan头还可以包括与所述链路对应的链路号字段,所述链路号字 段中包含有接收报文的通信链路的链路标识,则所述发送单元60具体可以用于通过与所 述内层Vlan头中链路号字段中的链路标识对应的通信链路继续传输报文。优选的,所述转向标识字段包括8比特,所述链路号字段包括4比特。例如在所述 转向标识字段中,可以将报文需要转向的从设备对应的比特位的值置为1,报文不需要转向 的从设备对应的比特位的值置为0。所述带有内层Vlan头的报文优选按照转向标识字段从左到右或从右到左的顺序 依次转向给报文需要转向的从设备。具体的,所述转向单元40可以将转向操作过程记录在内层Vlan头的转向标识字 段中随报文一起转向,则,在这种情况下,判断报文是否完成转向时具体可以采用下述两种 方式第一种,当所述带有内层Vlan头的报文即将向从设备转向前,将转向标识字段中 与所述从设备对应的比特位置为转向完成标识;则所述判断单元50可以根据从所述从设 备转向回来的报文中转向标识字段中各比特位是否为不转向标识或转向完成标识来判断 报文是否完成转向。
第二种,当所述带有内层Vlan头的报文从所述从设备转向回来后,将转向标识字 段中与所述从设备对应的比特位置为转向完成标识;则所述判断单元可以在当带有内层 Vlan头的报文从某个从设备转向回来后,将转向标识字段中与所述从设备对应的比特位置 为转向完成标识后,判断报文的转向标识字段中各比特位是否为不转向标识或转向完成标 识来判断报文是否完成转向。在另一种实现方式中,当所述深度包检测设备与各从设备之间还包括交换机时, 在为报文添加内层Vlan头时,所述处理单元30还可以用于根据预先设置的从设备标识和 交换机端口号的第四对应关系,为报文添加外层Vlan头,所述外层Vlan头的值为报文即将 转向的从设备对应的交换机端口号;则所述转向单元40可以用于将带有内层Vlan头和外层Vlan头的报文通过与所 述外层Vlan头的值对应的交换机端口转向给相应的从设备。则所述发送单元60可以用于当报文完成转向后,去除报文中的内层Vlan头及外 层Vlan头,并通过接收报文的通信链路继续传输报文。本实施例的深度包检测设备,提供了报文转向的功能,通过在报文中添加带有转 向标识字段的内层Vlan头,指示报文在同一集群中进行多次转向,从而降低DPI设备的处 理负担。本实施例的深度包检测设备,能够为用户提供用户定制的个性化服务。由于深度包检测设备的实施例与方法实施例的相似内容较多,因此介绍的比较简 略,相关之处请参见方法实施例部分,此处不再赘述。且在上述实施例中,对各个实施例的 描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实 体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存 在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵 盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要 素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排
除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在 本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围 内。
权利要求
一种报文转向的方法,其特征在于,包括接收报文,所述报文中包含有用户标识;根据所述用户标识以及预先设置的用户标识与服务类型的第一对应关系,查找与所述报文中的用户标识对应的服务类型;根据所述服务类型、预先设置的服务类型和从设备标识的第二对应关系以及从设备标识和转向标识字段中各比特位的第三对应关系,为报文添加内层虚拟局域网Vlan头,所述内层Vlan头包括转向标识字段,所述转向标识字段中包含有转向标识;根据所述转向标识字段中的转向标识将带有内层Vlan头的报文转向给对应的从设备,所述从设备包括至少一台。
2.如权利要求1所述的方法,其特征在于,还包括 判断报文是否完成转向;当报文完成转向后,去除报文中的内层Vlan头,并通过接收报文的通信链路继续传输 报文。
3.如权利要求2所述的方法,其特征在于,所述内层Vlan头还包括链路号字段,所述链 路号字段中包含有接收报文的通信链路的链路标识;所述通过接收报文的通信链路继续传输报文包括通过与所述内层Vlan头中链路号字段中的链路标识对应的通信链路继续传输报文。
4.如权利要求2所述的方法,其特征在于,所述判断报文是否完成转向包括若单独记录报文的转向操作过程,则当报文转向过程记录中显示报文完成转向时,确 认所述报文完成转向;或若将转向操作过程记录在转向标识字段中随报文一起转向,则当转向回来的报文的转 向标识字段中不含有转向标识时,确认所述报文完成转向。
5.如权利要求2或3所述的方法,其特征在于,还包括根据预先设置的从设备标识和交换机端口号的第四对应关系,为报文添加外层Vlan 头;所述外层Vlan头的值为报文即将转向的从设备对应的交换机端口号;则所述根据转向标识字段中的转向标识将带有内层Vlan头的报文转向给对应的从设 备包括将带有内层Vlan头和外层Vlan头的报文通过与所述外层Vlan头的值对应的交换机 端口转向给相应的从设备;所述当报文完成转向后,去除报文中的内层Vlan头,并通过接收报文的通信链路继续 传输报文包括当报文完成转向后,去除报文中的内层Vlan头及外层Vlan头,并通过接收报文的通信 链路继续传输报文。
6.一种深度包检测设备,其特征在于,包括接收单元,用于接收报文,所述报文中包含有用户标识;查找单元,用于根据所述用户标识以及预先设置的用户标识与服务类型的第一对应关 系,查找与所述报文中的用户标识对应的服务类型;处理单元,用于根据所述服务类型、预先设置的服务类型和从设备标识的第二对应关 系以及从设备标识和转向标识字段中各比特位的第三对应关系,为报文添加内层虚拟局域网Vlan头,所述内层Vlan头包括转向标识字段,所述转向标识字段中包含有转向标识;转向单元,用于根据所述转向标识字段中转向标识将带有内层Vlan头的报文转向给 对应的从设备,所述从设备包括至少一台。
7.如权利要求6所述的深度包检测设备,其特征在于,还包括判断单元,用于判断报文是否完成转向;发送单元,用于当所述判断单元判断报文完成转向后,去除报文中的内层Vlan头,并 通过接收报文的通信链路继续传输报文。
8.如权利要求7所述的深度包检测设备,其特征在于所述内层Vlan头还包括链路号字段,所述链路号字段中包含有接收报文的通信链路 的链路标识,则所述发送单元用于通过与所述内层Vlan头中链路号字段中的链路标识对 应的通信链路继续传输报文。
9.如权利要求6或7所述的深度包检测设备,其特征在于所述处理单元,还用于根据预先设置的从设备标识和交换机端口号的第四对应关系, 为报文添加外层Vlan头;所述外层Vlan头的值为报文即将转向的从设备对应的交换机端 口号;则,所述转向单元,用于将带有内层Vlan头和外层Vlan头的报文通过与所述外层Vlan头 的值对应的交换机端口转向给相应的从设备;所述发送单元,用于当报文完成转向后,去除报文中的内层Vlan头及外层Vlan头,并 通过接收报文的通信链路继续传输报文。
全文摘要
本发明公开了一种报文转向的方法和DPI设备,所述方法包括接收报文,所述报文中包含有用户标识;根据所述用户标识以及预先设置的用户标识与服务类型的第一对应关系,查找与报文中的用户标识对应的服务类型;根据所述服务类型、预先设置的服务类型和从设备标识的第二对应关系以及从设备标识和转向标识字段中各比特位的第三对应关系,为报文添加内层虚拟局域网Vlan头,所述内层Vlan头包括转向标识字段,所述转向标识字段中包含有转向标识;根据所述转向标识字段中的转向标识将带有内层Vlan头的报文转向给对应的从设备,所述从设备包括至少一台。通过在报文中添加带有转向标识字段的内层Vlan头,指示报文在同一集群中的转向。
文档编号H04L12/26GK101984598SQ201010532260
公开日2011年3月9日 申请日期2010年11月4日 优先权日2010年11月4日
发明者宁志明, 陈亮, 陈浩 申请人:成都市华为赛门铁克科技有限公司