一种报文处理方法、装置及交换机的制作方法
【技术领域】
[0001] 本发明设及网络技术领域,尤其设及一种报文处理方法、装置及交换机。
【背景技术】
[0002] 目前对用户进行S层认证的网络拓扑图如图1所示,在出口设备和S层核屯、认证 设备之间设置一个出口认证服务器,=层核屯、设备负责将来自用户的访问外部网络数据报 文转发给出口认证服务器,出口认证服务器根据该用户的访问外部网络的数据报文判断该 用户是否为已认证用户,如果是已认证用户,则将该数据报文转发至出口设备允许该用户 访问外部网络,否则,出口认证服务器对该用户的访问外部网络的数据报文进行认证后,允 许该用户访问外部网络。
[0003] 但是,上述认证服务器是利用其中的CPU对来自用户的数据报文进行软件层面的 处理,不能走忍片级的硬件处理,运就会导致处理报文的性能差的问题,并且认证服务器既 要进行认证处理又要进行转发处理,负荷较大。
【发明内容】
[0004] 本发明提供一种报文处理方法、装置及交换机,用于解决现有的报文只能在认证 服务器中进行软件层面的处理,不能走忍片级的硬件处理,而导致的处理报文的性能差的 问题W及认证服务器负荷较大的问题。
[0005] 一种报文处理方法,包括:
[0006]=层认证交换机的交换忍片通过第一端口接收=层核屯、设备转发的来自用户的 数据报文,并从所述数据报文中获取源网络协议IP地址;
[0007] 为所述数据报文分配预设虚拟路由转发标识VRFID;
[0008] 根据所述源IP地址W及所述预设VRFID进行路由表查询,判断所述用户是否为已 认证用户;
[0009] 如果是,将所述数据报文发送给所述出口设备,其中,进行路由表查找后,所述数 据报文的目的MC地址和源MC地址不变;
[0010] 如果否,将所述数报文发送给所述=层认证交换机的中央处理器CPU, W使CPU将 所述数据报文发送给认证服务器进行认证处理。
[0011] 所述方法,根据所述源IP地址W及所述预设VRFID进行路由表查询之前,还包 括:
[0012] 将所述数据报文的目的MAC地址确定为所述S层认证交换机的MAC地址。
[0013] 本发明实施例可W保证针对通过第一端口接收的数据报文进行路由表查找。
[0014] 所述方法中,根据所述源IP地址W及所述预设VRFID进行路由查找,判断所述用 户是否为已认证用户,具体包括:
[0015] 判断所述源IP地址W及所述预设VRFID是否属于路由表中的同一路由表项;
[0016] 如果是,确定所述用户为已认证用户;
[0017] 如果否,确定所述用户为未认证用户。
[001引本发明实施例,通过查询路由表判断用户是否已认证。
[0019] 所述方法中,将所述数据报文发送给所述出口设备,具体包括:
[0020] 将所述数据报文在访问控制列表ACL中进行匹配,根据匹配结果将所述数据报文 发送给所述出口设备,所述A化表中预先设置了将预设classic!值对应的数据报文发送给 出口设备的表项,所述数据报文包括预设classic!值的标签。
[0021] 本发明实施例,通过匹配A化表触发将数据报文发送给出口设备的操作。
[0022] 所述方法中,将所述数据报文发送给所述=层认证交换机的中央处理器CPU,具体 包括:
[0023] 将所述数据报文在A化表中进行匹配,根据匹配结果将所述数据报文发送给所述 S层交换机的CPU,所述ACL表中预先设置了将目的端口为第二端口的传输控制协议TCP报 文发送给所述=层交换机的CPU的表项。
[0024] 本发明实施例,通过将数据报文匹配A化表,将目的端口为第二端口的传输控制 协议TCP报文发送给CPU。
[00巧]所述方法,还包括:
[0026] 确定接收到所述CPU对所述数据报文认证通过的消息时,在所述路由表中添加与 所述源IP地址W及所述VRFID唯一匹配的路由表项。
[0027] 本发明实施例,在CPU对未认证用户进行认证通过时,将认证通过的消息通知给 交换忍片,交换忍片将该认证通过用户的数据报文的源IP地址W及预设VRFID生成一个唯 一匹配的路由表项,待再次接收到该认证通过的用户发出的数据报文时,进行路由表查询, 根据查询结果将该用户的数据报文转发给出口设备。
[0028] 所述方法中,所述S层认证交换机的交换忍片通过硬件Bypass设备接收来自所 述S层核屯、设备的数据报文,并且通过所述硬件Bypass设备将数据报文发送给所述出口 设备,所述硬件Bypass设备分别与所述S层核屯、设备W及所述出口设备连接。
[0029] 本发明实施例在出口设备和S层核屯、设备之间添加硬件Bypass设备,在S层认 证交换机故障时,可W保证来自用户的数据报文能够发送给出口设备,从而达到不影响用 户上网的目的。
[0030] 所述方法,还包括:
[0031] 针对每个已认证用户,将该已认证用户的上行流量和下行流量引流到同一张计费 卡中,W使该计费卡对该已认证用户进行计费。
[0032] 本优选实施例,将同一用户产生的上行流量和下行流量引流到同一张计费卡中计 费,计费卡在统计该用户的流量时更加简便快捷。
[0033] 本发明还提供一种报文处理装置,包括:
[0034] 接收单元,用于通过第一端口接收=层核屯、设备转发的来自用户的数据报文,并 从所述数据报文中获取源网络协议IP地址;
[0035] 分配单元,用于为所述数据报文分配预设虚拟路由转发标识VRFID;
[0036] 判断单元,用于根据所述源IP地址W及所述预设VRFID进行路由表查询,判断所 述用户是否为已认证用户;
[0037] 第一发送单元,用于在所述用户为已认证用户时,将所述数据报文发送给所述出 口设备,其中,进行路由表查找后,所述数据报文的目的MAC地址和源MAC地址不变;
[0038] 第二发送单元,用于在所述用户为未认证用户时,将所述数报文发送给=层认证 交换机的中央处理器CPU,W使CPU将所述数据报文发送给认证服务器进行认证处理。
[0039] 所述装置,还包括:
[0040] 确定单元,用于在所述判断单元根据所述源IP地址W及所述预设VRFID进行路由 表查询之前,将所述数据报文的目的MC地址确定为S层认证交换机的MC地址。
[0041] 所述装置中,所述判断单元具体用于:
[0042] 判断所述源IP地址W及所述预设VRFID是否属于路由表中的同一路由表项;
[0043] 如果是,确定所述用户为已认证用户;
[0044] 如果否,确定所述用户为未认证用户。
[0045] 所述装置中,所述第一发送单元具体用于:
[0046] 将所述数据报文在访问控制列表ACL中进行匹配,根据匹配结果将所述数据报文 发送给所述出口设备,所述A化表中预先设置了将预设classic!值对应的数据报文发送给 出口设备的表项,所述数据报文包括预设classic!值的标签。
[0047] 所述装置中,所述第二发送单元具体具体用于:
[0048] 将所述数据报文在A化表中进行匹配,根据匹配结果将所述数据报文发送给所述 S层交换机的CPU,所述ACL表中预先设置了将目的端口为第二端口的传输控制协议TCP报 文发送给所述=层交换机的CPU的表项。
[0049] 所述装置,还包括:
[0050] 添加单元,用于确定接收到所述CPU对所述数据报文认证通过的消息时,在所述 路由表中添加与所述源IP地址W及所述VRFID唯一匹配的路由表项。
[0051] 所述装置通过硬件Bypass设备接收来自所述S层核屯、设备的数据报文,并且通 过所述硬件Bypass设备将数据报文发送给所述出口设备,所述硬件Bypass设备分别与所 述=层核屯、设备W及所述出口设备连接。
[0052] 所述装置,还包括:
[0053] 流量引流单元,用于针对每个已认证用户,将该已认证用户的上行流量和下行流 量引流到同一张计费卡中,W使该计费卡对该已认证用户进行计费。
[0054] 本发明还提供一种=层认证交换机,该=层认证交换机包括上述任一所述的装 置。
[0055] 利用本发明实施例提供的报文处理方法、装置及交换机,具有W下有益效果:通过 在出口设备和=层核屯、设备间设置一=层认证交换机,并利用该交换机中的交换机忍片实 现在硬件层面的对报文进行处理并且该=层认证交换机负责转发数据报文,从而在一定程 度上减轻了认证服务器的负荷,提高了报文处理速度,并且基于硬件层面对报文进行处理 的方式相比于在软件层面对报文进行处理的方式更加快速、可靠、稳定。此外,在确定发出 数据报文的用户为已认证用户时,不修改该数据报文的目的MC地址和源MC地址,从而实 现了数据报文的二层转发。
【附图说明】
[0056] 图1为现有的S层认证网络拓扑示意图;
[0057] 图2为本发明实施例提供的报文处理方法流程图;
[005引图3为本发明实施例提供的报文处理方法应用场景的网络拓扑示意图;
[0059] 图4为本发明实施例提供的判断用户是否为已认证用户的方法流程图;
[0060] 图5为本发明实施例提供的在图3的基础上添加硬件Bypass设备的网络拓扑示 意图;<