Nothing Special   »   [go: up one dir, main page]

CN112333162B - 一种业务处理方法及设备 - Google Patents

一种业务处理方法及设备 Download PDF

Info

Publication number
CN112333162B
CN112333162B CN202011149505.6A CN202011149505A CN112333162B CN 112333162 B CN112333162 B CN 112333162B CN 202011149505 A CN202011149505 A CN 202011149505A CN 112333162 B CN112333162 B CN 112333162B
Authority
CN
China
Prior art keywords
virtual
card
board
network port
virtual network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011149505.6A
Other languages
English (en)
Other versions
CN112333162A (zh
Inventor
朱学朋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Security Technologies Co Ltd
Original Assignee
New H3C Security Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Security Technologies Co Ltd filed Critical New H3C Security Technologies Co Ltd
Priority to CN202011149505.6A priority Critical patent/CN112333162B/zh
Publication of CN112333162A publication Critical patent/CN112333162A/zh
Application granted granted Critical
Publication of CN112333162B publication Critical patent/CN112333162B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种业务处理方法及设备。该业务处理方法包括:接收发往插卡板的镜像报文流;查找镜像报文流的各镜像报文的目的MAC地址或源MAC地址映射的插卡板虚拟网口;将各镜像报文存储在映射的插卡板虚拟网口的接收队列;各虚拟防火墙从关联的插卡板虚拟网口的接收队列读取镜像报文进行旁路业务处理,丢弃完成旁路处理后的各镜像报文。

Description

一种业务处理方法及设备
技术领域
本申请涉及通信技术,具体的讲是一种业务处理方法及设备。
背景技术
防火墙的虚拟化,就是将一台物理防火墙设备从逻辑上划分为多台虚拟防火墙设备,但是共享CPU、内存等物理资源;不同的虚拟防火墙之间,配置、转发完全隔离,从而实现功能定制、个性化管理以及资源的最大化利用。通过虚拟化技术将一台物理设备划分成多台逻辑设备,每台逻辑设备就称为一个context。每个context拥有自己专属的软硬件资源,独立运行,提高组网灵活性。
防火墙设备还可增加插卡板处理特殊的业务需求,譬如运行人工智能算法进行流量分析、运行耗性能的引擎进行病毒检测等。但是,在防火墙设备被虚拟化成多个虚拟防火墙的网络场景下,防火墙设备的插卡板无法区分处理的流量属于哪个虚拟防火墙。原因是,插卡板上无法针对不同的虚拟防火墙应用不同的业务配置、以及无法在插卡板上执行不同虚拟防火墙之间的业务报文隔离。
如图1所示的防火墙设备中有管理context以及虚拟防火墙context1和context2。虚拟防火墙context1和context2以各自绑定的虚拟网口21和22的MAC地址进行ARP协议交互,虚拟防火墙context1和context2发出的业务报文的源MAC地址为各自绑定的虚拟网口21和22的MAC地址;发往虚拟防火墙context1和context2业务报文的目的MAC地址为各自绑定的虚拟网口21和22的MAC地址。防火墙设备通过入接口接收到来自上一级设备根据业务报文目的MAC地址进行二层转发,将业务报文发各目的MAC地址对应接口1或接口2。
图1中,接口板/交换板还会复制发往虚拟防火墙context1和context2业务报文,作为镜像报文发往接口3,插卡板通过连接接口3的物理网口30收到镜像报文,进行旁路业务处理,将旁路业务处理结果发往管理context,然后丢弃镜像报文。旁路处理业务不区分虚拟防火墙,无法隔离不同虚拟防火墙之间的业务报文。
发明内容
本申请的目的在于提供一种业务处理方法和设备,在防火墙设备的插卡板上提供隔离不同虚拟防火墙之间的旁路业务处理。
为实现上述目的,本申请提供一种业务处理方法,其中该方法包括:接收发往插卡板的镜像报文流;查找镜像报文流的各镜像报文的目的MAC地址或源MAC地址映射的插卡板虚拟网口;将各镜像报文存储在映射的插卡板虚拟网口的接收队列;各虚拟防火墙从关联的插卡板虚拟网口的接收队列读取镜像报文进行旁路业务处理,丢弃完成旁路处理后的各镜像报文。
为实现上述目的,本申请还提供了一种业务处理设备,该业务处理设备作为防火墙设备的插卡板,该设备包括:接收模块,接收发往插卡板的镜像报文流;分发模块,用于查找镜像报文流的各镜像报文的目的MAC地址或源MAC地址映射的插卡板虚拟网口;虚拟网口驱动模块,用于将将各镜像报文存储在映射的插卡板虚拟网口的接收队列;各虚拟防火墙从关联的插卡板虚拟网口的接收队列读取镜像报文进行旁路业务处理,丢弃完成旁路处理后的各镜像。
本申请的有益效果在于,在防火墙设备的插卡板不仅隔离不同虚拟防火墙之间的镜像报文,并且提供了插卡板不同虚拟防火墙之间的隔离旁路业务处理,有利于防火墙设备在插卡板上根据旁路业务需求的种类提供不同的业务处理,提高了防火墙设备的旁路业务处理的灵活性。
附图说明
图1所示为现有的防火墙插卡板处理报文的状态示意图;
图2所示为本申请提供的业务处理方法的流程图;
图3所示为本申请提供的业务处理设备的示意图。
具体实施方式
将以多个附图所示的多个例子进行详细说明。在以下详细描述中,多个具体细节用于提供对本申请的全面理解。实例中没有详细地描述已知的方法、步骤、组件以及电路,以免使这些例子难于理解。
使用的术语中,术语“包括”表示包括但不限于;术语“含有”表示包括但不限于;术语“以上”、“以内”以及“以下”包含本数;术语“大于”、“小于”表示不包含本数。术语“基于”表示至少基于其中一部分。
图2所示为本申请提供的业务处理方法的流程图;该方法包括:
步骤201,接收发往插卡板的镜像报文流;
步骤202,查找镜像报文流的各镜像报文的目的MAC地址或源MAC地址映射的插卡板虚拟网口;
步骤203,将各镜像报文存储在映射的插卡板虚拟网口的接收队列;
步骤204,各虚拟防火墙从关联的插卡板虚拟网口的接收队列读取镜像报文进行旁路业务处理;
步骤205,各虚拟防火墙丢弃完成旁路处理后的各镜像报文。
图2所示的方法的有益效果在于,在防火墙设备的插卡板上隔离不同虚拟防火墙之间的镜像报文,提供了插卡板不同虚拟防火墙之间的隔离旁路业务处理。
图3所示为本申请提供的业务处理设备40的示意图,该业务处理设备40可以作为防火墙设备的插卡板。业务处理设备40包括处理器CPU41、存储器42以及收发模块43。
存储器42用于存储处理器可执行指令;处理器41通过运行存储器42的处理器可执行指令用以实现虚拟网口驱动模块421,配置管理模块422、分发模块423。
虚拟网口驱动模块421,用于生成插卡板40的虚拟网口31、32以及33,分别关联虚拟防火墙context1、虚拟防火墙context2以及管理context。
配置管理模块422,基于由防火墙板的管理context同步的配置信息,获取虚拟防火墙context1与虚拟网口21的关联关系以及虚拟防火墙context2与虚拟网口22的关联关系;获取虚拟网口21对应的MAC地址MAC21以及虚拟网口22对应的MAC地址MAC22;从虚拟网口驱动模块421获取虚拟防火墙context1与虚拟网口31的关联关系以及虚拟防火墙context2与虚拟网口32的关联关系。
配置管理模块422,生成插卡板虚拟网口地址映射关系,用于记录虚拟网口21的MAC地址MAC21映射于虚拟网口31,以及虚拟网口22的MAC地址MAC22映射于虚拟网口32。管理配置模块42将生成的插卡板虚拟网口地址映射关系发送给分发模块423。接收模块43,从插卡板40的物理网口30接收镜像报文流。接收模块43可以是物理网卡,缓存从物理端口30读取的镜像报文流的各镜像报文,通过DPDK(Data Plane Development Kit)、Libpcap(Packet Capture Library)等方式送入报文分发模块423。
分发模块423,根据镜像报文流的各镜像报文的目的MAC地址或源MAC地址查找插卡板虚拟网口地址映射关系。因为,防火墙板的虚拟防火墙context1或context2发出的报文的源MAC地址分别是虚拟网口21或22的MAC地址;而上一级设备发往防火墙板的虚拟防火墙context1或context2的报文的目的MAC地址也是虚拟网口21或22的MAC地址。
分发模块423通过查找插卡板虚拟网口地址映射关系,确定出插卡板40上虚拟防火墙context1或context2的虚拟网口31或32。
分发模块423根据虚拟网口驱动模块421提供接口,将各镜像报文写入到虚拟网口驱动模块421中虚拟网口31或32的接收队列。
虚拟网口驱动模块421可通过触发软中断通知插卡板40上的虚拟防火墙context1或context2收到了报文。这样,虚拟防火墙context1或context2分别通过虚拟网口31或32接收到的各自的镜像报文。
插卡板40上,虚拟防火墙context1或context2分别从各自关联的虚拟网口31或32的接收队列读取镜像报文,进行旁路业务处理,完成旁路处理之后,丢弃完成旁路处理的各镜像报文;虚拟防火墙context1或context2还可进一步将旁路业务处理的结果记录在插卡板40的虚拟防火墙context1或context2的本地旁路业务日志。
分发模块423,基于收到的镜像报文的源MAC地址或目的MAC地址在生成的插卡板虚拟网口地址映射关系没有查找到对应的虚拟网口31或32。
虚拟网口驱动模块421还用将未查找到映射插卡板虚拟网口的各镜像报文存储在虚拟网口33的接收队列,即插卡板上的管理虚拟网口的接收队列。同样的,分发模块423根据虚拟网口驱动模块421提供接口,将这些查找匹配失败的各镜像报文写入到虚拟网口驱动模块421中虚拟网口33的接收队列。
虚拟网口驱动模块421可通过触发软中断通知插卡板40上管理context收到了报文。插卡板30上的管理context通过虚拟网口33接收到的镜像报文。
在插卡板40上,管理context从关联的虚拟网口33的接收队列读取存储的各镜像报文进行旁路处理,丢弃管理虚拟网口的接收队列中完成旁路处理的各镜像报文。管理context将旁路业务处理的结果记录在插卡板40的本地管理context旁路业务日志。
在插卡板40上,虚拟防火墙context1或context2分别将插卡板40上存储的本地旁路业务日志同步到防火墙板上各自的虚拟防火墙的业务日志;管理context,将插卡板40上存储的管理context的旁路业务日志同步到防火墙板上管理context的业务日志。
本申请的有益效果在于,能够解决防火墙设备处理旁路镜像报文流量场景下支持多用户虚拟化,在防火墙设备的插卡板隔离不同用户的虚拟防火墙之间的镜像报文,提高了防火墙设备的旁路业务处理的灵活性。
以上仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (8)

1.一种业务处理方法,其特征在于,所述方法包括:
生成插卡板上关联每个各虚拟防火墙板的每个所述插卡板虚拟网口以及关联管理虚拟防火墙的所述插卡板管理虚拟网口;
获取所述防火墙板上各所述虚拟防火墙与各防火墙板虚拟网口的关联关系;
获取各所述防火墙板虚拟网口的MAC地址;
获取各所述虚拟防火墙与各所述插卡板虚拟网口的关联关系;
生成插卡板虚拟网口地址映射关系,用于记录各虚拟防火墙关联的各所述防火墙板虚拟网口的MAC地址与各所述虚拟防火墙关联的各插卡板虚拟网口的关联关系;
接收发往插卡板的镜像报文流;
查找所述镜像报文流的各镜像报文的目的MAC地址或源MAC地址映射的插卡板虚拟网口;
将所述各镜像报文存储在映射的插卡板虚拟网口的接收队列;
各虚拟防火墙从关联的插卡板虚拟网口的接收队列读取镜像报文进行旁路业务处理,丢弃完成旁路处理后的各镜像报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将未查找到映射插卡板虚拟网口的各镜像报文存储在插卡板管理虚拟网口的接收队列;
管理虚拟防火墙从关联的所述插卡板管理虚拟网口的接收队列读取存储的各镜像报文进行旁路处理,丢弃所述插卡板管理虚拟网口的接收队列中完成旁路处理的各镜像报文。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将所述插卡板上存储的各所述虚拟防火墙的旁路业务日志同步到防火墙板上各所述虚拟防火墙的业务日志;
将所述插卡板上存储的管理虚拟防火墙的旁路业务日志同步到所述防火墙板上管理虚拟防火墙的业务日志。
4.根据权利要求1所述的方法,其特征在于,查找所述镜像报文流的各镜像报文的目的MAC地址或源MAC地址映射的插卡板虚拟网口是指,基于所述镜像报文流的各镜像报文的目的MAC地址或源MAC地址,查找插卡板虚拟网口地址映射关系,获取映射的插卡板虚拟网口。
5.一种业务处理设备,所述业务处理设备作为防火墙设备的插卡板,其特征在于,所述设备包括:
接收模块,接收发往插卡板的镜像报文流;
分发模块,用于查找所述镜像报文流的各镜像报文的目的MAC地址或源MAC地址映射的插卡板虚拟网口;
虚拟网口驱动模块,用于将所述各镜像报文存储在映射的插卡板虚拟网口的接收队列;各虚拟防火墙从关联的插卡板虚拟网口的接收队列读取镜像报文进行旁路业务处理,丢弃完成旁路处理后的各镜像;
所述虚拟网口驱动模块,还用于生成所述插卡板上关联每个各虚拟防火墙板的每个所述插卡板虚拟网口以及关联管理虚拟防火墙的所述插卡板管理虚拟网口;
配置管理模块,用于获取所述防火墙板上各所述虚拟防火墙与各防火墙板虚拟网口的关联关系;获取各所述防火墙板虚拟网口的MAC地址;获取各所述虚拟防火墙与各所述插卡板虚拟网口的关联关系;生成插卡板虚拟网口地址映射关系;将生成的插卡板虚拟网口地址映射关系发送给所述分发模块;其中,所述插卡板虚拟网口地址映射关系用于记录各虚拟防火墙关联的各所述防火墙板虚拟网口的MAC地址与各所述虚拟防火墙关联的各插卡板虚拟网口的关联关系。
6.根据权利要求5所述的设备,其特征在于,
所述分发模块,还用于确定未查找到映射插卡板虚拟网口的各镜像报文;
所述虚拟网口驱动模块,还用将未查找到映射插卡板虚拟网口的各镜像报文存储在插卡板管理虚拟网口的接收队列;
管理虚拟防火墙,用于从关联的所述插卡板管理虚拟网口的接收队列读取存储的各镜像报文进行旁路处理,丢弃所述插卡板管理虚拟网口的接收队列中完成旁路处理的各镜像报文。
7.根据权利要求5所述的设备,其特征在于,
所述多个虚拟防火墙,分别将所述插卡板上存储的各所述虚拟防火墙的旁路业务日志同步到防火墙板上各所述虚拟防火墙的业务日志;
所述管理虚拟防火墙,将所述插卡板上存储的所述管理虚拟防火墙的旁路业务日志同步到防火墙板上管理虚拟防火墙的业务日志。
8.根据权利要求5所述的设备,其特征在于,所述分发模块,基于所述镜像报文流的各镜像报文的目的MAC地址或源MAC地址,查找插卡板虚拟网口地址映射关系,获取映射的插卡板虚拟网口。
CN202011149505.6A 2020-10-23 2020-10-23 一种业务处理方法及设备 Active CN112333162B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011149505.6A CN112333162B (zh) 2020-10-23 2020-10-23 一种业务处理方法及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011149505.6A CN112333162B (zh) 2020-10-23 2020-10-23 一种业务处理方法及设备

Publications (2)

Publication Number Publication Date
CN112333162A CN112333162A (zh) 2021-02-05
CN112333162B true CN112333162B (zh) 2022-05-24

Family

ID=74312022

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011149505.6A Active CN112333162B (zh) 2020-10-23 2020-10-23 一种业务处理方法及设备

Country Status (1)

Country Link
CN (1) CN112333162B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113794640B (zh) * 2021-08-20 2022-11-18 新华三信息安全技术有限公司 一种报文处理方法、装置、设备及机器可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101651680A (zh) * 2009-09-14 2010-02-17 杭州华三通信技术有限公司 一种网络安全部署方法和一种网络安全设备
CN103533096A (zh) * 2013-10-09 2014-01-22 杭州华三通信技术有限公司 一种网卡接口绑定方法及装置
CN109831390A (zh) * 2019-01-21 2019-05-31 新华三云计算技术有限公司 报文转发控制方法及装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8024787B2 (en) * 2006-05-02 2011-09-20 Cisco Technology, Inc. Packet firewalls of particular use in packet switching devices
US10708299B2 (en) * 2018-03-19 2020-07-07 Fortinet, Inc. Mitigating effects of flooding attacks on a forwarding database

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101651680A (zh) * 2009-09-14 2010-02-17 杭州华三通信技术有限公司 一种网络安全部署方法和一种网络安全设备
CN103533096A (zh) * 2013-10-09 2014-01-22 杭州华三通信技术有限公司 一种网卡接口绑定方法及装置
CN109831390A (zh) * 2019-01-21 2019-05-31 新华三云计算技术有限公司 报文转发控制方法及装置

Also Published As

Publication number Publication date
CN112333162A (zh) 2021-02-05

Similar Documents

Publication Publication Date Title
US7983257B2 (en) Hardware switch for hypervisors and blade servers
US7586936B2 (en) Host Ethernet adapter for networking offload in server environment
US8073966B2 (en) Virtual interface
US7684423B2 (en) System and method for virtual network interface cards based on internet protocol addresses
JP4068166B2 (ja) 高性能多層スイッチ要素用探索エンジン・アーキテクチャ
US7653754B2 (en) Method, system and protocol that enable unrestricted user-level access to a network interface adapter
CN109547580B (zh) 一种处理数据报文的方法和装置
CN113326228B (zh) 基于远程直接数据存储的报文转发方法、装置及设备
US7515596B2 (en) Full data link bypass
US7386628B1 (en) Methods and systems for processing network data packets
US9356844B2 (en) Efficient application recognition in network traffic
US20080019365A1 (en) Host operating system bypass for packets destined for a virtual machine
EP0889623A2 (en) System and method for efficient remote disk I/O
JP2017126998A (ja) オフロードデバイスベースのパケット処理のためのフレームワークおよびインターフェース
JP2005006303A (ja) 仮想ネットワーク・アドレス
US9253089B2 (en) System and method for routing using path identifiers
CN112583655B (zh) 数据传输方法、装置、电子设备及可读存储介质
CN118647976A (zh) 加密数据分组转发
CN112333162B (zh) 一种业务处理方法及设备
RU2602333C2 (ru) Сетевая система, способ обработки пакетов и носитель записи
WO2021103657A1 (zh) 网络操作方法、装置、设备和存储介质
US7492771B2 (en) Method for performing a packet header lookup
US20050111447A1 (en) Technique for tracing source addresses of packets
US8050266B2 (en) Low impact network debugging
WO2001016742A2 (en) Network shared memory

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant