本申请属于数据通信领域,尤其涉及一种l2tp数据处理方法、设备及系统。
背景技术
如图1所示,在现有l2tp(layer2tunnelingprotocol,二层隧道协议)组网拓扑中,客户端向lac(l2tpaccessconcentrator,l2tp访问集中器)设备发起拨号请求,lac设备接收到拨号请求,触发lac设备与lns(l2tpnetworkserver,l2tp网络服务器)设备建立l2tp隧道和会话,客户端与lns设备进行ppp相关的协商,协商成功后,客户端与lns设备之间链路打通,可以进行数据的传输。在lac设备上只要能通过查找路由进入到l2tp隧道的报文,最终都会被送到lns设备进行处理。当lac设备上存在非法报文(如攻击报文或无效报文等)且该非法报文能够通过查到路由的方式顺利进入到l2tp隧道,则该非法报文可以进行l2tp封装并转发到lns设备上。然而接入到lns设备的lac设备数量众多,lns设备处理lac设备传送过来的非法报文,需要消耗大量的lns设备资源。
技术实现要素:
本申请提供了一种l2tp数据处理方法、设备及系统,用以解决lns处理lac传送过来的非法报文,需要消耗大量的lns资源的问题。
为了达到上述目的,第一方面,本申请实施例提供了一种l2tp数据处理方法,所述方法包括:
l2tp网络服务器lns设备配置报文过滤规则,并将所述报文过滤规则通告给对应的l2tp访问集中器lac设备;
所述lac设备将所述报文过滤规则下发到l2tp隧道入口;
所述lac设备接收到数据报文后,在所述l2tp隧道入口对所述数据报文进行报文过滤规则匹配,若所述数据报文满足所述报文过滤规则且执行动作为允许通过,则对所述数据报文进行l2tp封装,并将封装后的l2tp报文通过所述l2tp隧道发送至所述lns设备。
第二方面,本申请实施例提供了一种lns设备,包括:
配置模块,用于配置报文过滤规则,并建立所述报文过滤规则与对应的l2tp访问集中器lac设备的关联关系;
发送模块,用于根据配置模块建立的所述报文过滤规则与对应的lac设备的关联关系将所述报文过滤规则携带在l2tp报文中发送给对应的lac设备。
第三方面,本申请实施例提供了一种lac设备,包括:
接收模块,用于接收l2tp网络服务器lns设备发送的携带报文过滤规则的l2tp报文;
解析模块,用于解析出所述l2tp报文中的报文过滤规则;
发送模块,用于将所述报文过滤规则应用到l2tp隧道入口;
所述接收模块,还用于接收数据报文;
匹配模块,用于在所述l2tp隧道入口对所述数据报文进行报文过滤规则匹配;
所述发送模块,还用于所述匹配模块匹配到所述数据报文满足所述报文过滤规则且执行动作为允许通过,则对所述数据报文进行l2tp封装,并将封装后的l2tp报文通过所述l2tp隧道发送至所述lns设备。
第四方面,本申请提供了一种l2tp数据处理系统,所述系统至少包括:如第二方面所述的l2tp网络服务器lns设备以及如第三方面所述的l2tp访问集中器lac设备。
本申请提供的一种l2tp数据处理方法、设备及系统,通过在lns设备配置报文过滤规则,并将该报文过滤规则通告给对应的lac设备,lac设备解析出该报文过滤规则,并将该报文过滤规则下发到l2tp隧道入口。本申请提供的一种l2tp数据处理方法,将需要在lns设备上处理的非法报文,在l2tp隧道入口进行处理,大大减小了lns设备上数据报文的处理量,节约了lns设备资源。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例的应用场景示意图;
图2为本申请实施例提供的一种l2tp数据处理方法的方法流程图;
图3为本申请实施例提供的一种lns设备的架构示意图;
图4为本申请实施例提供的一种lac设备的架构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例描述的系统架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域普通技术人员可知,随着系统架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
下面结合具体实施例对上述方法进行详细描述。
在现有虚拟专用拨号网络(virtualprivatedial-upnetworks,vpdn)组网环境中,lns设备上接入的lac设备数量较多,lns设备处理lac设备传送过来的非法报文(如攻击报文、无效报文等),需要消耗大量的lns设备资源。目前对于该问题,通常采用的方式包括:一种方式是在l2tp隧道出口(在本申请实施例中l2tp隧道出口为靠近lns设备侧的l2tp隧道口)配置报文过滤策略,非法报文将不满足该报文过滤策略,进行丢弃处理。此种方式仍然需要消耗lns设备资源才能进行相应的处理。另一种方式是在每一条l2tp隧道入口(在本申请实施例中l2tp隧道入口为靠近lac设备侧的l2tp隧道口)手动配置报文过滤策略,在非法报文进入l2tp隧道前进行匹配,将不满足报文过滤策略的非法报文,进行丢弃处理。此种方式需要在l2tp隧道入口手动配置报文过滤策略,然而lac设备分散且数量众多,对每一台lac设备手动配置报文过滤策略,工作量大,且不利于有效实施,不能有效应对动态变化的网络环境。
基于上述问题,本申请实施例提供了一种l2tp数据处理方法、设备及系统,根据l2tp集中接入的特点,通过lns设备来集中管理lac设备。在本申请实施例中,通过在lns设备上配置报文过滤规则,并建立报文过滤规则与对应的lac设备的关联关系,可以将接入的多台lac设备对应一条报文过滤规则,也可以将接入的每台lac设备对应不同的报文过滤规则,此处不做具体限定。根据建立的报文过滤规则与对应的lac设备的关联关系将报文过滤规则通告给对应的lac设备,实现将处理非法报文的任务分担到lac设备,大大减轻了lns设备的压力,节约了lns设备的资源。
本申请实施例提供的一种l2tp数据处理方法,如图2所示,所述方法包括:
步骤201、l2tp网络服务器lns设备配置报文过滤规则,并将所述报文过滤规则通告给对应的l2tp访问集中器lac设备,其中,所述报文过滤规则可以为访问控制列表(accesscontrollist,acl)规则,支持acl规则的标准模式和扩展模式等,具体的报文过滤规则可以根据acl规则能够匹配的字段进行自定义配置,如可以选择lac设备上接收到的数据报文的ip地址、tcp/udp端口以及报文协议类型等字段来配置不同的acl规则。
在本步骤中,lns设备配置报文过滤规则,并将所述报文过滤规则通告给对应的lac设备,具体包括:lns设备配置报文过滤规则,并建立所述报文过滤规则与对应的lac设备的关联关系,具体的,可以将接入的lac设备的接入地址(如ip地址等)与报文过滤规则进行关联,从而建立起报文过滤规则与对应的lac设备的关联关系。若该报文过滤规则为acl规则,可以将接入的多台lac设备对应相同的acl规则,也可以将接入的每台lac设备对应不同的acl规则。如:假设两台lac设备lac1和lac2,其中,lac1的接入ip地址为100.1.1.1,lac2的接入ip地址为111.1.1.1,lns设备上建立的acl规则包括:acl1和acl2,并将acl1与接入ip地址100.1.1.1关联,将acl2与接入ip地址111.1.1.1关联,当lac1与lns设备建立l2tp会话的过程中,lac1向lns设备发送icrq报文,lns设备根据该icrq报文中携带的接入ip地址100.1.1.1,查询到该接入ip地址对应acl1,则将acl1携带在icrp报文中回应给lac1,实现将acl1通告给lac1。
lns设备根据所述报文过滤规则与对应的lac设备的关联关系将所述报文过滤规则携带在l2tp报文中发送给对应的lac设备。在本步骤中,l2tp报文也可以是用户自定义的其他报文,当然,也可以选择除l2tp报文外的其他报文来携带报文过滤规则,此处不做穷举。
可选的,当lac设备首次接入lns设备时,lac设备向lns设备发起建立l2tp隧道和会话请求以建立l2tp隧道和会话。lac设备向lns设备发送输入呼叫请求(incomingcallrequest,icrq)报文,并在接收到lns设备回应的输入呼叫应答(incomingcallreply,icrp)报文后建立l2tp会话。因此在本申请实施例中,可以在建立l2tp会话的过程中,将报文过滤规则携带在icrp报文中发送给lac设备,以实现将报文过滤规则的下发。
优选的,在申请实施例中,可以将报文过滤规则携带在l2tp报文的扩展字段中发送给指定的lac设备,显然,也可以选择l2tp报文的其他字段来携带报文过滤规则,此处不再赘述,l2tp报文可以采用avp格式,也可以采用其他格式,如下表1所示为avp格式的l2tp报文包含的具体字段:
表1
其中,开始的6个bit是一个位掩码,用来描述avp的普通属性,rfc2661定义了前2位,其余的被保留,保留位一定要置0,如果收到一个保留位为1的avp,会把收到的avp当作不认识。
(m)命令位:用来控制收到不认识的avp时必须执行的动作。如果在一个关联特殊的会话消息中m位被置为不认识的avp,这个会话一定会被终止。如果在一个关联全部通道的消息中m位被置为不认识的avp,整个通道包括通道内的会话一定会被终止。如果m为没有被设置,这个不认识的avp会被忽略掉。
(h)隐藏位:用来识别一个avp属性域里面的隐藏数据。
length:这个指该扩展字段的报文长度。
venderid:指厂商信息,一般设置为0000。
attributtype:2个字节,标示该扩展属性的类型。
attrubutevalue:这个字段内容用于扩展的具体内容,在本申请实施例中,可以存放报文过滤规则的具体内容。
步骤202、所述lac设备将所述报文过滤规则下发到l2tp隧道入口。在本步骤中,所述lac设备将所述报文过滤规则下发到l2tp隧道入口,具体包括:所述lac设备解析出所述l2tp报文中的报文过滤规则,并将所述报文过滤规则应用到l2tp隧道入口。在本申请实施例中,lac设备接收到lns设备发送的l2tp报文后,如果不能识别该l2tp报文的扩展字段中的内容,则忽略该扩展字段,如果能够识别该l2tp报文的扩展字段中的内容,则解析出该l2tp报文的扩展字段的报文过滤规则,并将该报文过滤规则下发到l2tp隧道入口。
步骤203、所述lac设备接收到数据报文后,在所述l2tp隧道入口对所述数据报文进行报文过滤规则匹配,若所述数据报文满足所述报文过滤规则且执行动作为允许通过,则对所述数据报文进行l2tp封装,并将封装后的l2tp报文通过所述l2tp隧道发送至所述lns设备。在本步骤中,该报文过滤规则的内容可以包含匹配条件和执行动作。其中,匹配条件可以是ip地址、报文源地址、报文目的地址等一个或多个参数,执行动作包括允许通过permit和丢弃处理deny。如:报文过滤规则的内容包含ip地址:131.44.1.1和执行动作permit,即满足ip地址为131.44.1.1的报文允许通过。又如报文过滤规则的内容包含ip地址:131.44.1.2和执行动作deny,即满足ip地址为131.44.1.2的报文丢弃处理。可选的,如果当某一报文不满足任意一条报文过滤规则时,则进行丢弃处理。
具体的,lac设备上的数据报文在进入l2tp隧道前,在l2tp隧道入口进行报文过滤规则匹配,对满足报文过滤规则且执行动作为permit的数据报文进行l2tp封装后,通过该l2tp隧道发送给lns设备。对满足报文过滤规则且执行动作为deny的数据报文进行丢弃处理。对不满足任意一条报文过滤规则的非法数据报文进行丢弃处理。
本申请提供的一种l2tp数据处理方法,通过在lns设备上配置报文过滤规则,并将该报文过滤规则通告给对应的lac设备,lac设备解析出该报文过滤规则,并将该报文过滤规则下发到l2tp隧道入口。本申请提供的一种l2tp数据处理方法,将需要在lns设备上处理的非法报文,在l2tp隧道入口进行处理,大大减小了lns设备上数据报文的处理量,节约了lns设备资源。
更优的,若lac设备与lns设备间已建立l2tp隧道和会话,此时需要更改接入的指定lac设备的报文过滤规则或者建立对应的lac设备与报文过滤规则的关联关系时,则可以采取以下两种方式实现:
一种实现方式是:lns设备为该接入的指定lac设备配置新的报文过滤规则,并向lac设备发出拆除数据会话(call-disconnect-notify,cdn)消息,先中断正在进行的l2tp会话。并在新的l2tp会话建立过程中,lns设备接收到lac设备发送的icrq报文后,将该接入的指定lac设备对应的新的报文过滤规则携带在icrp报文中发送给lac设备,lac设备接收到该icrp报文后,解析出该icrp报文中新的报文过滤规则的内容,并将该新的报文过滤规则下发到l2tp隧道入口。
另一种实现方式是:lns设备不中断当前的l2tp会话,lns设备为该接入的指定lac设备配置新的报文过滤规则后,并主动向lac设备发送l2tp报文,所述l2tp报文中携带该接入的指定lac设备对应的新的报文过滤规则。lac设备接收到该l2tp报文后,解析出该l2tp报文中新的报文过滤规则的内容,并将该新的报文过滤规则下发到l2tp隧道入口,优选的,为了不增加报文类型,在此种实现方式中,携带新的报文过滤规则的l2tp报文可以选用icrp报文。
利用上述两种方式,对接入的指定lac设备对应的报文过滤规则进行更改,可以实现根据网络变化动态的配置报文过滤规则,并将报文过滤规则应用到指定的lac设备上,增强了lns设备节点的安全性,能够有效保障lns设备的稳定运行。
本申请实施例提供了一种lns设备,如图3所示,该lns设备30包括:
配置模块301,用于配置报文过滤规则,并建立所述报文过滤规则与对应的l2tp访问集中器lac设备的关联关系;这里的报文过滤规则可以为lns设备上的acl规则。在本申请实施例中,报文过滤规则的内容中可以包含匹配条件和执行动作。其中,匹配条件可以是ip地址、报文源地址、报文目的地址等一个或多个参数,执行动作包括允许通过permit和丢弃处理deny。如:报文过滤规则的内容包含ip地址:131.44.1.1和执行动作permit,即满足ip地址为131.44.1.1的报文允许通过。又如报文过滤规则的内容包含ip地址:131.44.1.2和执行动作deny,即满足ip地址为131.44.1.2的报文丢弃处理。可选的,如果当某一报文不满足任意一条报文过滤规则时,则进行丢弃处理。
发送模块302,用于根据配置模块建立的所述报文过滤规则与对应的lac设备的关联关系将所述报文过滤规则携带在l2tp报文中发送给对应的lac设备。具体的,可以将对应的lac设备的接入地址(如ip地址等)与报文过滤规则进行关联,从而建立起报文过滤规则与对应的lac设备的关联关系。可选的,l2tp报文也可以是用户自定义的其他报文,当然,也可以选择除l2tp报文外的其他报文来携带报文过滤规则,此处不做穷举。可选的,当lac设备首次接入lns设备时,lac设备向lns设备发起建立l2tp隧道和会话请求以建立l2tp隧道和会话。lac设备向lns设备发送输入呼叫请求(incomingcallrequest,icrq)报文,并在接收到lns设备回应的输入呼叫应答(incomingcallreply,icrp)报文后建立l2tp会话。因此在本申请实施例中,可以在建立l2tp会话的过程中,将报文过滤规则携带在icrp报文中发送给lac设备,以实现将报文过滤规则的下发。
因此,当l2tp报文选用icrp报文时,所述lns设备还包括接收模块303,用于接收lac设备发送的icrq报文。
本申请实施例提供了一种lac设备,如图4所示,该lac设备40包括:
接收模块401,用于接收l2tp网络服务器lns设备发送的携带报文过滤规则的l2tp报文;
解析模块402,用于解析出所述l2tp报文中的报文过滤规则;
发送模块403,用于将所述报文过滤规则应用到l2tp隧道入口;
所述接收模块401,还用于接收数据报文;
匹配模块404,用于在所述l2tp隧道入口对所述数据报文进行报文过滤规则匹配;在本申请实施例中,报文过滤规则的内容中可以包含匹配条件和执行动作。其中,匹配条件可以是ip地址、报文源地址、报文目的地址等一个或多个参数,执行动作包括允许通过permit和丢弃处理deny。如:报文过滤规则的内容包含ip地址:131.44.1.1和执行动作permit,即满足ip地址为131.44.1.1的报文允许通过。又如报文过滤规则的内容包含ip地址:131.44.1.2和执行动作deny,即满足ip地址为131.44.1.2的报文丢弃处理。可选的,如果当某一报文不满足任意一条报文过滤规则时,则进行丢弃处理。
所述发送模块403,还用于所述匹配模块匹配到所述数据报文满足所述报文过滤规则且执行动作为允许通过,则对所述数据报文进行l2tp封装,并将封装后的l2tp报文通过所述l2tp隧道发送至所述lns设备。在本申请实施例中,报文接收模块401接收到lns设备发送的l2tp报文后,如果不能识别该l2tp报文的扩展字段中的内容,则忽略该扩展字段,如果能够识别该l2tp报文的扩展字段中的内容,则解析出该l2tp报文的扩展字段的报文过滤规则,并将该报文过滤规则下发到l2tp隧道入口。
可选的,当lac设备首次接入lns设备时,lac设备向lns设备发起建立l2tp隧道和会话请求以建立l2tp隧道和会话。lac设备向lns设备发送icrq报文,并在接收到lns设备回应的icrp报文后建立l2tp会话。因此在本申请实施例中,可以在建立l2tp会话的过程中,将报文过滤规则携带在icrp报文中发送给lac设备,以实现将报文过滤规则的下发。
所述发送模块403,还用于向l2tp网络服务器lns设备发送icrq报文。
本申请实施例提供了一种l2tp数据处理系统,所述系统至少包括:如图3所示的l2tp网络服务器lns设备以及如图4所示的l2tp访问集中器lac设备。
本申请实施例提供的一种l2tp数据处理系统,通过在lns设备配置报文过滤规则,并将该报文过滤规则通告给对应的lac设备,lac设备解析出该报文过滤规则,并将该报文过滤规则下发到l2tp隧道入口。本申请提供的一种l2tp数据处理方法,将需要在lns设备上处理的非法报文,在l2tp隧道入口进行处理,大大减小了lns设备上数据报文的处理量,节约了lns设备资源。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。