[发明专利]在隧道传输中的安全监测方法和装置

说明书

本发明提供了一种在隧道传输中的安全监测方法和装置，解决了现有技术在隧道传输中不能实现对报文负载的安全监测的问题。该在隧道传输中的安全监测方法包括：对隧道报文进行解析，获得隧道报文的内层报文头部信息；根据内层报文头部信息查询访问控制列表ACL，并判断是否匹配到ACL流表；若是，基于ACL流表中下发的安全机制对隧道报文进行处理。

技术领域

本发明涉及网络设备技术领域，具体涉及一种在隧道传输中的安全监测方法和装置。

背景技术

随着数据中心的不断发展，虚拟化成为技术发展的趋势，虚拟化通过服务器提高资源利用率，同时降低单位能耗。为解决虚拟化服务器规模的不断扩大带来的管理问题，隧道技术应运而生。隧道技术是一种使用互联网络的基础设施在网络之间传递数据的方式，使用隧道传递的数据可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包头中发送，新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。

现有技术中，隧道业务的中间交换机仅支持基于包的外层头信息进行安全监测，而根据外层头做监测仅仅是对隧道本身的安全监测，并不能实现对报文负载的安全监测。因此，如何在隧道传输中加强对业务本身的网络安全监测是一个急需解决的问题。

发明内容

有鉴于此，本发明的目的在于提供一种在隧道传输中基于业务的安全监测方法和装置。

为了实现上述目的，本发明一实施例提供的技术方案如下：

一种在隧道传输中的安全监测方法，所述方法包括：

对隧道报文进行解析，获得所述隧道报文的内层报文头部信息；

根据所述内层报文头部信息查询访问控制列表ACL，并判断是否匹配到ACL流表；若是，

基于所述ACL流表中下发的安全机制对所述隧道报文进行处理。

一实施例中，在对所述隧道报文进行解析时，还获得所述隧道报文的外层隧道封装信息；

所述方法具体包括：

根据所述外层隧道封装信息查找转发表；

根据所述转发表查找结果和所述内层报文头部信息查询访问控制列表ACL。

一实施例中，所述方法还包括：

根据所述外层隧道封装信息及其转发表的查找结果，对所述处理后的隧道报文进行学习和转发。

一实施例中，所述方法还包括：

根据当前节点位置，确定是否需要对所述隧道报文解封装；若否，

执行所述查询ACL的步骤。

一实施例中，若确定需要对所述隧道报文解封装；则，

在对所述隧道报文解封装后，根据所述内层报文头部信息查找转发表；

根据所述内层报文头部信息及其转发表的查找结果，对解封装后的所述隧道报文进行学习和转发。

本申请还提供一种在隧道传输中的安全监测装置，包括：

解析模块，用于对隧道报文进行解析以获得所述隧道报文的内层报文头部信息；

匹配模块，用于根据所述内层报文头部信息查询访问控制列表ACL，并判断是否匹配到ACL流表；

安全处理模块，用于在匹配到ACL流表时，基于所述ACL流表中下发的安全机制对所述隧道报文进行处理。

一实施例中，所述解析模块在对所述隧道报文进行解析时，还获得所述隧道报文的外层隧道封装信息；

所述安全监测装置还包括：