[发明专利]基于VXLAN的报文过滤方法和装置

说明书

本申请提供一种基于VXLAN的报文过滤方法及装置，应用于过滤设备中，所述方法包括：获取待处理队列的当前待处理报文；将所述当前待处理报文匹配转发策略集中的至少一个控制项；若确定所述当前待处理报文匹配上所述至少一个控制项中的选定控制项，则获取所述选定控制项所属的转发策略对应的第一分析服务器；根据所述当前待处理报文、所述第一分析服务器、所述选定控制项所属的转发策略的转发策略优先级和所述当前待处理报文对应的首片时钟周期携带的剩余匹配次数生成第一VXLAN报文；将所述第一VXLAN报文发送给所述第一分析服务器。应用本申请的实施例，实现全面分析报文，使得分析结果多样化。

技术领域

本申请涉及网络通信技术领域，特别设计一种基于虚拟可扩展局域网(VirtualeXtensible Local Area Network，VXLAN)的报文过滤方法和装置。

背景技术

通过合法监控和分析网络中的报文，并对非法报文进行过滤是维护网络安全的一种有效手段，为此，出现了过滤设备。如图1所示，可以在两台路由器之间接入过滤设备来过滤报文，过滤设备将接收到的来自一台路由器的符合条件的报文发送给分析服务器，分析服务器对报文的内容进行分析后，再将报文转发给过滤设备，通过过滤设备将报文转发至另一台路由器。

过滤设备可以通过关心报文携带的源互联网协议(Internet Protocol，IP)地址、目的IP、源端口号、目的端口号和协议这五元组信息中的一元组信息或多元组信息建立多个控制项。由于网络中报文的数量极大，五元组信息的变化范围也非常广，为实现对报文的高效分析，过滤设备连接的分析服务器的数量众多，不同的分析服务器实现的分析功能不同，过滤设备与各个分析服务器之间可以基于VXLAN进行通信。过滤设备还可以配置转发策略集合，每个转发策略包括控制项标识(Identification，ID)、分析服务器的IP地址、所属的转发策略的转发策略ID、转发策略优先级等信息。

过滤设备接收路由器转发的报文后，提取报文的五元组信息，根据报文的五元组信息依次遍历匹配转发策略集合中所有的控制项，当匹配上控制项时，记录该控制项的控制项ID、所属的转发策略的转发策略优先级。若后续匹配到另一个控制项，比较另一个控制项所属的转发策略的转发策略优先级与所记录的转发策略优先级的高低，若另一个控制项所属的转发策略的转发策略优先级高于所记录的转发策略优先级，则记录另一控制项的控制项ID、所属的转发策略的转发策略优先级，替换原有的记录；若另一个控制项所属的转发策略的转发策略优先级不高于所记录的转发策略优先级，保持原有的记录不变。遍历完所有控制项后，记录的控制项ID对应的控制项就是报文命中的控制项，然后获取该控制项所属的转发策略，若该控制项所属的转发策略有多个，可以选取转发策略优先级最高的转发策略。过滤设备将命中控制项的报文进行VXLAN封装，得到VXLAN报文，VXLAN报文的目的IP地址为控制项所属的转发策略绑定的分析服务器的IP地址，源IP地址为过滤设备的虚拟地址。

分析服务器接收到VXLAN报文后，对VXLAN报文进行解封装，分析完得到的报文后，再次对得到的报文进行VXLAN封装，得到VXLAN报文，VXLAN报文的目的IP地址为过滤设备的虚拟地址，源IP地址为分析服务器的IP地址。

过滤设备接收到分析服务器回流的VXLAN报文后，对VXLAN报文进行解封装，将得到的报文转发给另一个路由器。

上述基于VXLAN的报文过滤方法中，若报文匹配上的控制项所属的转发策略有多个，可以选取转发策略优先级最高的转发策略，此时就会导致携带相同五元组信息的报文会一直转发到同一个分析服务器上进行分析，由于每个分析服务器的分析功能不同，其他的分析服务器无法分析该报文，这就会导致分析结果单一，无法全面分析报文。

发明内容

有鉴于此，本申请提供一种基于VXLAN的报文过滤方法和装置，以解决相关技术中存在的分析结果单一，无法全面分析报文的问题。

具体地，本申请是通过如下技术方案实现的：