一种用于虚拟专用拨号网中动态数据注入的装置及其方法
【专利摘要】本发明涉及动态数据注入的装置及方法,尤其是一种用于虚拟专用拨号网中动态数据注入的装置及其方法。本装置包括:串接口单元、全局控制单元、分类匹配单元、业务单元、回传单元。本发明解决了对上网用户的上网行为进行干预后再返回给用户的需求。本装置上的业务口既能实现公知的数据过滤据转发业务,并且还能实现动态数据注入的业务,且业务口和回传口的定义可以在全局控制单元灵活的配置,这种灵活性和可扩展性可以极大的满足日益复杂的业务需求。
【专利说明】一种用于虚拟专用拨号网中动态数据注入的装置及其方法
【技术领域】
[0001]本发明涉及动态数据注入的装置及方法,尤其是一种用于虚拟专用拨号网中动态数据注入的装置及其方法。
【背景技术】
[0002]VPDN(Virtual Private Dial-up Network,虚拟专用拨号网络),是基于拨号用户的虚拟专用拨号网业务,亦即以拨号接入的方式上网,通过公共电话交换网传输数据时对网络数据的封包和加密;VPDN中可以传输私有数据,达到私有网络的安全级别。它是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网,是近年来随着Internet技术的发展而迅速发展起来的一种技术。
[0003]目前比较常用的VPDN业务是,企业出差人员和跨区域办公的企业可以远程经过公共网络、通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络;另外VPDN业务还有一些其他的典型业务如:保险行业无线定损应用、电力行业的无线移动抄表应用等。目前应用在VPDN业务上的转发分流设备能够通过各种高效的查询方法将数据流过滤以及转发,这种装置和方法可以很好的解决对VPDN业务进行监控以及统计的需求,但是如果需要在同一个装置上既能监视上网用户的行为又能给上网用户推送自定义的数据,即对上网用户的上网请求干预后再返回给用户,如有非法的请求或者企业内部指定的请求需要监视但又不丢弃用户的请求,传统的基于VPDN的分流设备是不能满足这种需求的。
[0004]传统的分流设备的结构图如图1所示。其中,网络I的上网数据通过串接口达到分类匹配模块后只能单向的通过业务口输出到监控设备。
[0005]申请号0213628508的中国发明专利申请公开了虚拟专用拨号网业务数据包的转发方法,利用会话号进行相应会话的快速查询,快速的定位到相应的VPDN数据区;将用户的数据通过查询后转发出去,并不能改变用户的请求目标,也不能做到将上网用户的上网行为干预后再返回给用户,即不能动态的将自定义的数据注入给用户。
【发明内容】
[0006]本发明要解决的问题是目前VPDN服务中并不能实现对上网用户的上网行为进行干预后再返回给用户的现状。
[0007]为了解决上述技术问题,本发明提出的具体技术方案是:一种用于虚拟专用拨号网中动态数据注入的装置,包括:串接口单元1、全局控制单元2、分类匹配单元3、业务单元4、回传单元5 ;
所述串接口单元1,是至少一对串接在网络服务器和交换机之间作为串联流量的转发
Π ;
所述全局控制单元2,是通过配置界面配置业务口和回传口,配置需要重定向到回传口数据包的规则和行为;初始化流表; 所述分类匹配单元3,是接收串接口单元I的数据包,查询规则后根据结果转发至业务单元4、串接口单元I或者回传单元5 ;接收回传单元5的数据包,查询流表,分析数据包的上下行方向,查询原端口 ;置数据包的转发端口为查询到的端口后发送给串接口单元I;
所述业务单元4,是接收分类匹配单元3的数据包,根据上述结果标签将数据包转发到特定的设备或者其他的网络中;
所述回传单元5,是接收分类匹配单元3的数据,将数据发送至外接的服务器,接收外接服务器的数据包并将数据包发送给分类匹配单元3。
[0008]上述串接口单元I是成对的;装置上可以有多对串接口以满足串接多条链路。
[0009]上述串接口单元1,包含串接口 A和串接口 B,接收分类匹配单元输出的数据包,根据上下行方向分别从串接口 B和串接口 A转发到原始链路中。
[0010]上述全局控制单元2运行于本发明装置的CPU上,通过数据总线控制其他的单元。[0011 ] 上述全局控制单元2通过管理界面设置接口的属性为业务口或者回传口,初始化流表的空间。本发明装置上可见的物理接口中了除了串接口、管理串口和管理网口外,其他所有的接口都可以是业务口或者回传口,业务口和回传口需要用户明确的定义,但一个接口不能既是回传口也是业务口。
[0012]上述分类匹配单元3接收串接口单元I输入的数据包,并在流表中查询行为,如若没有命中则新建流到流表中,然后再查询规则;如若命中则将数据包的行为置为流的行为;同时分类匹配单元3接收回传单元5输入的数据包,并在流表中查询流是否存在,如若存在则需要分析数据包的上下行方向,根据上下行方向查询端口,并置数据包的转发端口为查询到的端口。
[0013]上述回传单元5接收来自分类匹配单元3并且命中特定规则的数据包,将所述数据包发送至外接的服务器;接收外接服务器发送的数据包给分类匹配单元3。
[0014]本发明是串接在原始链路中,并可以外接服务器,该外接服务器根据不同的规则产生不同的数据包,并将所述数据包通过回传口发回本发明装置中,本发明装置再通过分类匹配单元中的流表匹配上述数据包的原端口,并给上述数据包打上原端口的结果标签,最终根据结果标签将上述动态数据包发送至原始链路中,自此就实现了面向虚拟专用拨号网的动态数据注入。
[0015]本发明还提供一种用于虚拟专用拨号网中动态数据注入的方法,步骤包括:
步骤SI,串接口单元I接收上网用户的上网请求,并提取上网请求数据包的流特征; 步骤S2,分类匹配单元3匹配需要转发到回传口的数据包;
根据流特征判断是否在流表中存在,若存在判断该数据包的命中门限值;若不存在则根据所述流特征在流表中动态创建一条流,并将所述新建的流更新到流表中,再查询规则;
判断数据包的命中数,若大于流的命中门限值,置所述数据包的行为为查询流的行为,若小于流动命中门限值则需要查询规则;
命中数小于命中门限或者在流表中不存在的数据包,查询规则集中的三类规则,三类规则分为:target规则、L4规则、L7规则;
根据规则查询结果给数据包打上行为标签结果;
步骤S3,回传口接收外接服务器动态产生的数据包,并查询流表; 所述流表指步骤S2中动态更新过的流表;
查询流表表示,根据所述数据包的流特征在流表中查询符合该特征的流是否存在;若存在,分析所述数据包的上下行方向;若不存在则置该数据包的行为为丢弃;
步骤S4,分析上下行方向,查询端口号;
所述分析上下行方向表示,如果所述数据包方向为上行,则需要在上述流表中查询目的端口 ;如果所述数据包的方向为下行,则需要在上述流表中查询源端口 ;并置所述数据包的转发端口为查询到的目的端口或者源端口;
步骤S5,根据流的行为和转发端口将数据包发送到原始链路。
[0016]技术效果:
如图2所示,当企业的出差人员经过公共网络访问企业内部的网络时,企业内部的网络可对VPDN的上网数据进行监控和干预,如有非法的请求或者企业内部指定的请求需要监视但又不丢弃用户的请求时就可采用本发明的动态数据注入装置和方法。
[0017]与现有技术相比,本发明增加了回传单元,解决了对上网用户的上网请求干预后再返回给用户的需求。本装置上的业务口既能实现公知的数据过滤据转发业务,并且还能实现动态数据注入的业务,且业务口和回传口的定义可以在全局控制单元灵活的配置,这种灵活性和可扩展性可以极大的满足日益复杂的业务需求。
【专利附图】
【附图说明】
[0018]图1是传统的过滤转发装置结构图。
[0019]图2是本发明装置的网络接入位置图。
[0020]图3是本发明面向VPDN的动态数据注入的装置结构图。
[0021]图4是本发明面向VPDN的动态数据注入的装置及其方法的结构模块图。
[0022]图5是本发明面向VPDN的动态数据注入的装置及其方法的基本流程图。
[0023]图6是本发明面向VPDN的动态数据注入的装置及其方法的详细数据流程图。
【具体实施方式】
[0024]下面结合附图和实施对本发明作进一步说明。在下列描述中,限于篇幅原因,不再对一些现有公知常识的内容,包括结构和功能进行赘述。
[0025]如图2所示,本发明提供一种串接在网络服务器(简称:LNS)和交换机之间的装置,图2是本发明面向VPDN的动态数据注入的装置及其方法的网络接入位置图。
[0026]本发明装置的结构图如图3所示。网络I的上网数据通过串接口达到分类匹配模块,分类匹配模块可以实现传统的转发过滤,转发数据到监控设备,还能实现把上述数据通过回传口输出到外接的服务器,并接收外接服务器产生的数据回传到原始网络中。
[0027]图4是本发明面向VPDN的动态数据注入的装置及其方法的结构模块图。
[0028]包括串接口单元I中的串接口 A和串接口 B、全局控制单元2、分类匹配单元3、业务单元4、回传单元5。
[0029]串接口 A:提供一对外部端口的其中I个,用以连接2个被串接网元设备的其中I个,作为串接流量转发口的其中一个。
[0030]端口 A为可见的物理接口,可为光接口或者电接口,具备一种或者多重速率能力。端口 A和端口 B是一对串接口,这属于公知的内容,在此不再赘述。
[0031]串接口 B:提供一对外部端口的其中I个,用以连接2个被串接网元设备的其中I个,作为串接流量转发口的其中一个。
[0032]端口 B为可见的物理接口,可为光接口或者电接口,具备一种或者多重速率能力。端口 B和端口 A是一对串接口,这属于公知的内容,在此不再赘述。
[0033]全局控制单元2:提供配置界面,指定装置上的接口哪些为业务口,哪些为回传口,可以指定装置上任意数量的非串接口为回传口。
[0034]分类匹配单元3:接收串接口单元I的数据,在流表中查询数据包所属的特征流,如果查询成功则得到匹配结果,如果查询失败再查询规则,得到匹配结果。
[0035]具体地,接收串接口单元I输入的数据包,提取流特征,然后在流表中查询该条流是否存在。根据所述查询结果新建流或者继续查询规则。查询流成功的数据包直接得到转发结果,否则查询规则得到转发结果。
[0036]接收回传口的数据包,在流表中查询上述数据包所属的流是否存在,如果存在,分析所述数据包的上下行方向,并查找端口号,最后根据转发端口号转发原始数据包。这属于公知的内容,在此不再详述。
[0037]业务单元4:接收分类匹配单元3的数据包并根据转发行为转发数据包,这属于公之内容,在此不再详述。
[0038]回传单元5:接收分类匹配单元3匹配的特定数据包并转发所述数据包至外接的服务器;接收外接的服务器产生的数据包并将所述数据包转发至分类匹配单元3进行行为结果查询和上下行分析。回传口是物理上可见的端口,可以是电口或者收发的光口。
[0039]如图5是本发明面向VPDN的动态数据注入的方法基本流程图。
[0040]步骤SI,串接口单元I接收上网用户的上网请求,并提取上网请求数据包的流特征;
步骤S2,分类匹配单元3匹配需要转发到回传口的数据包;
根据流特征判断是否在流表中存在,若存在判断该数据包的命中门限值;若不存在则根据所述流特征在流表中动态创建一条流,并将所述新建的流更新到流表中,再查询规则;
判断数据包的命中数,若大于流的命中门限值,置所述数据包的行为为查询流的行为,若小于流动命中门限值则需要查询规则;
命中数小于命中门限或者在流表中不存在的数据包,查询规则集中的三类规则,三类规则分为:target规则、L4规则、L7规则;
根据规则查询结果给数据包打上行为标签结果;
步骤S3,回传口接收外接服务器动态产生的数据包,并查询流表;
所述流表指步骤S2中动态更新过的流表;
查询流表表示,根据所述数据包的流特征在流表中查询符合该特征的流是否存在;若存在,分析所述数据包的上下行方向;若不存在则置该数据包的行为为丢弃;
步骤S4,分析上下行方向,查询端口号;
所述分析上下行方向表示,如果所述数据包方向为上行,则需要在上述流表中查询目的端口 ;如果所述数据包的方向为下行,则需要在上述流表中查询源端口 ;并置所述数据包的转发端口为查询到的端口;
步骤S5,根据流的行为和串接口将数据包发送到原始链路。
[0041]下面结合图6以某公司的一个具体需求为例,对本发明面向VPDN的动态数据注入的装置作示例性说明。
[0042]如图6所示,用户名为终端I,发送域名(domain)为〃www.wik1.com",且搜索的关键字为"VPDN"的数据请求从串接口 A进入本发明装置。本发明装置可以将访问“www.wik1.com”的HTTP请求报文重定向到公司内部的wiki服务器优先进行搜索,如果在公司内部的wiki上没有搜到关键字的结果就将请求发送给www.wik1.com。本发明装置完成以上功能的方法包括如下步骤:
初始状态中,串接口 A连接公司内部局域网的路由器,串接口 B连接公司外网的路由器,串接口 C连接了一台服务器1,假设这台服务器的ip地址为〃192.168.8.100",且这台服务器上运行着公司内部的wiki网站。
[0043]用户通过SSH登录到设备的管理界面,配置接口 C为回传口,配置一条domain=〃www.wik1.com"的规则,设置这条规则的转发行为为“从接口 C转发。”
步骤6a01,终端I向"www.wik1.com"发起HTTP请求,关键字为“VPDN”。假设终端I的IP地址为192.168.8.111,该局域网的网关为192.168.8.1。
[0044]步骤6a02,串接口 A收到请求报文后,首先从数据包中提取流特征,即sip="192.168.8.1ll", dip="192.168.8.1",sport="A", dport="B", protocol="http";然后进入步骤6a03。
[0045]流表项的信息如下表表1所示,通常流是由五元组所唯一定义的,包括协议类型(Protocol)、源 IP(sip)、目的 IP (dip)、源端口(sport)、目的端口(dport)。具有相同五元组特征的数据包属于同一条流。由于五元组区分了源和目的IP,因此这样的流具有单向的特征。对于一个完整的交互过程,其数据包将属于两条不同的流。在很多应用中更关注的是连接,即完整的交互过程。连接包括了两条源IP地址、源端口与目的IP地址、目的端口互换的流。为了便于表述,这里用流的概念来表示连接,或者说是双向流。这样一条流由协议类型与一对IP、端口组来唯一定义。初始状态下流表为空,原始端口号、目的端口号和协议类型暂时填为0,原始IP和目的IP暂时填为0.0.0.0,流的行为暂时填为丢弃(drop)。表1:
【权利要求】
1.一种用于虚拟专用拨号网中动态数据注入的装置,其特征在于,包括:串接口单元(I)、全局控制单元(2)、分类匹配单元(3)、业务单元(4)、回传单元(5);其中: 所述串接口单元(1),是至少一对串接在网络服务器和交换机之间作为串联流量的转发口 ; 所述全局控制单元(2),是通过配置界面配置业务口和回传口,配置需要重定向到回传口数据包的规则和行为;初始化流表; 所述分类匹配单元(3),是接收串接口单元I的数据包,查询规则后根据结果转发至业务单元(4)、串接口单元(I)或者回传单元(5);接收回传单元(5)的数据包,查询流表,分析数据包的上下行方向,查询原端口 ;置数据包的转发端口为查询到的端口后发送给串接口单元(I); 所述业务单元(4),是接收分类匹配单元(3)的数据包,根据上述结果标签将数据包转发到特定的设备或者其他的网络中; 所述回传单元(5),是接收分类匹配单元(3)的数据,将数据发送至外接的服务器,接收外接服务器的数据包并将数据包发送给分类匹配单元(3)。
2.根据权利要求1所述的一种用于虚拟专用拨号网中动态数据注入的装置,其特征在于,所述串接口单元( I)是成对的;该装置上有多对串接口以满足串接多条链路。
3.根据权利要求1所述的一种用于虚拟专用拨号网中动态数据注入的装置,其特征在于,所述串接口单元(1),包含串接口 A和串接口 B,接收分类匹配单元输出的数据包,根据上下行方向分别从串接口 B和串接口 A转发到原始链路中。
4.根据权利要求1所述的一种用于虚拟专用拨号网中动态数据注入的装置,其特征在于,所述全局控制单元(2)运行于本发明装置的CPU上,通过数据总线控制其他的单元。
5.根据权利要求1所述的一种用于虚拟专用拨号网中动态数据注入的装置,其特征在于,所述全局控制单元(2)通过管理界面设置物理接口的属性为业务口或者回传口,初始化流表的空间。
6.根据权利要求5所述的一种用于虚拟专用拨号网中动态数据注入的装置,其特征在于,所述物理接口中了除了串接口、管理串口和管理网口外,其他所有的接口都可以是业务口或者回传口,业务口和回传口需要用户明确的定义,但一个接口不能既是回传口也是业务口。
7.根据权利要求1所述的一种用于虚拟专用拨号网中动态数据注入的装置,其特征在于,所述分类匹配单元(3)接收串接口单元(I)输入的数据包,并在流表中查询行为,如若没有命中则新建流到流表中,然后再查询规则;如若命中则将数据包的行为置为流的行为;同时分类匹配单元(3)接收回传单元(5)输入的数据包,并在流表中查询流是否存在,如若存在则需要分析数据包的上下行方向,根据上下行方向查询端口,并置数据包的转发端口为查询到的端口。
8.根据权利要求1所述的一种用于虚拟专用拨号网中动态数据注入的装置,其特征在于,所述回传单元(5)接收来自分类匹配单元3并且命中特定规则的数据包,将所述数据包发送至外接的服务器;接收外接服务器发送的数据包给分类匹配单元(3)。
9.一种用于虚拟专用拨号网中动态数据注入的方法,其特征在于,将权利要求1所述一种用于虚拟专用拨号网中动态数据注入的装置串接在原始链路中,外接服务器,该外接服务器根据不同的规则产生不同的数据包,并将所述数据包通过回传口发回该装置中,该装置通过分类匹配单元查询上述数据包所属的流是否存在,如果不存在则丢弃该数据包;如果存在则分析上述数据包的上下行方向,并根据上下行方向结果查询端口,然后置上述数据包的转发端口为查询到的端口,最后根据转发端口将上述动态数据包发送至原始链路中,实现面向虚拟专用拨号网的动态数据注入。
10.根据权利要求9所述一种用于虚拟专用拨号网中动态数据注入的方法,步骤包括: 步骤SI,串接口单元I接收上网用户的上网请求,并提取上网请求数据包的流特征; 步骤S2,分类匹配单元3匹配需要转发到回传口的数据包; 根据流特征判断是否在流表中存在,若存在判断该数据包的命中门限值;若不存在则根据所述流特征在流表中动态创建一条流,并将所述新建的流更新到流表中,再查询规则; 判断数据包的命中数,若大于流的命中门限值,置所述数据包的行为为查询流的行为,若小于流动命中门限值则需要查询规则; 命中数小于命中门限或者在流表中不存在的数据包,查询规则集中的三类规则,三类规则分为:target规则、L4规则、L7规则; 根据规则查询结果置数据包的行为为查询到的规则的行为; 步骤S3,回传口接收外接服务器动态产生的数据包,并查询流表; 所述流表指步骤S2中动态更新过的流表;` 查询流表表示,根据所述数据包的流特征在流表中查询符合该特征的流是否存在;若存在,分析所述数据包的上下行方向;若不存在则置该数据包的行为为丢弃; 步骤S4,分析上下行方向,查询端口号; 所述分析上下行方向表示,如果所述数据包方向为上行,则需要在上述流表中查询目的端口 ;如果所述数据包的方向为下行,则需要在上述流表中查询源端口号;并置所述数据包的转发端口为所述查询到的目的端口或者源端口; 步骤S5,根据流的行为和转发端口将数据包发送到原始链路。
【文档编号】H04L12/46GK103685310SQ201310731323
【公开日】2014年3月26日 申请日期:2013年12月27日 优先权日:2013年12月27日
【发明者】李明捷, 杨贵桂 申请人:上海恒为信息科技有限公司