一种业务处理方法及设备技术

本申请涉及一种业务处理方法及设备。该业务处理方法包括：接收发往插卡板的镜像报文流；查找镜像报文流的各镜像报文的目的MAC地址或源MAC地址映射的插卡板虚拟网口；将各镜像报文存储在映射的插卡板虚拟网口的接收队列；各虚拟防火墙从关联的插卡板虚拟网口的接收队列读取镜像报文进行旁路业务处理，丢弃完成旁路处理后的各镜像报文。成旁路处理后的各镜像报文。成旁路处理后的各镜像报文。

【技术实现步骤摘要】
一种业务处理方法及设备


[0001]本申请涉及通信技术，具体的讲是一种业务处理方法及设备。

技术介绍

[0002]防火墙的虚拟化，就是将一台物理防火墙设备从逻辑上划分为多台虚拟防火墙设备，但是共享CPU、内存等物理资源；不同的虚拟防火墙之间，配置、转发完全隔离，从而实现功能定制、个性化管理以及资源的最大化利用。通过虚拟化技术将一台物理设备划分成多台逻辑设备，每台逻辑设备就称为一个context。每个context拥有自己专属的软硬件资源，独立运行，提高组网灵活性。
[0003]防火墙设备还可增加插卡板处理特殊的业务需求，譬如运行人工智能算法进行流量分析、运行耗性能的引擎进行病毒检测等。但是，在防火墙设备被虚拟化成多个虚拟防火墙的网络场景下，防火墙设备的插卡板无法区分处理的流量属于哪个虚拟防火墙。原因是，插卡板上无法针对不同的虚拟防火墙应用不同的业务配置、以及无法在插卡板上执行不同虚拟防火墙之间的业务报文隔离。
[0004]如图1所示的防火墙设备中有管理context以及虚拟防火墙context1和context2。虚拟防火墙context1和context2以各自绑定的虚拟网口21和22的MAC地址进行ARP协议交互，虚拟防火墙context1和context2发出的业务报文的源MAC地址为各自绑定的虚拟网口21和22的MAC地址；发往虚拟防火墙context1和context2业务报文的目的MAC地址为各自绑定的虚拟网口21和22的MAC地址。防火墙设备通过入接口接收到来自上一级设备根据业务报文目的MAC地址进行二层转发，将业务报文发各目的MAC地址对应接口1或接口2。
[0005]图1中，接口板/交换板还会复制发往虚拟防火墙context1和context2业务报文，作为镜像报文发往接口3，插卡板通过连接接口3的物理网口30收到镜像报文，进行旁路业务处理，将旁路业务处理结果发往管理context，然后丢弃镜像报文。旁路处理业务不区分虚拟防火墙，无法隔离不同虚拟防火墙之间的业务报文。

技术实现思路

[0006]本申请的目的在于提供一种业务处理方法和设备，在防火墙设备的插卡板上提供隔离不同虚拟防火墙之间的旁路业务处理。
[0007]为实现上述目的，本申请提供一种业务处理方法，其中该方法包括：接收发往插卡板的镜像报文流；查找镜像报文流的各镜像报文的目的MAC地址或源MAC地址映射的插卡板虚拟网口；将各镜像报文存储在映射的插卡板虚拟网口的接收队列；各虚拟防火墙从关联的插卡板虚拟网口的接收队列读取镜像报文进行旁路业务处理，丢弃完成旁路处理后的各镜像报文。
[0008]为实现上述目的，本申请还提供了一种业务处理设备，该业务处理设备作为防火墙设备的插卡板，该设备包括：接收模块，接收发往插卡板的镜像报文流；分发模块，用于查找镜像报文流的各镜像报文的目的MAC地址或源MAC地址映射的插卡板虚拟网口；虚拟网口
驱动模块，用于将将各镜像报文存储在映射的插卡板虚拟网口的接收队列；各虚拟防火墙从关联的插卡板虚拟网口的接收队列读取镜像报文进行旁路业务处理，丢弃完成旁路处理后的各镜像。
[0009]本申请的有益效果在于，在防火墙设备的插卡板不仅隔离不同虚拟防火墙之间的镜像报文，并且提供了插卡板不同虚拟防火墙之间的隔离旁路业务处理，有利于防火墙设备在插卡板上根据旁路业务需求的种类提供不同的业务处理，提高了防火墙设备的旁路业务处理的灵活性。
附图说明
[0010]图1所示为现有的防火墙插卡板处理报文的状态示意图；
[0011]图2所示为本申请提供的业务处理方法的流程图；
[0012]图3所示为本申请提供的业务处理设备的示意图。
具体实施方式
[0013]将以多个附图所示的多个例子进行详细说明。在以下详细描述中，多个具体细节用于提供对本申请的全面理解。实例中没有详细地描述已知的方法、步骤、组件以及电路，以免使这些例子难于理解。
[0014]使用的术语中，术语“包括”表示包括但不限于；术语“含有”表示包括但不限于；术语“以上”、“以内”以及“以下”包含本数；术语“大于”、“小于”表示不包含本数。术语“基于”表示至少基于其中一部分。
[0015]图2所示为本申请提供的业务处理方法的流程图；该方法包括：
[0016]步骤201，接收发往插卡板的镜像报文流；
[0017]步骤202，查找镜像报文流的各镜像报文的目的MAC地址或源MAC地址映射的插卡板虚拟网口；
[0018]步骤203，将各镜像报文存储在映射的插卡板虚拟网口的接收队列；
[0019]步骤204，各虚拟防火墙从关联的插卡板虚拟网口的接收队列读取镜像报文进行旁路业务处理；
[0020]步骤205，各虚拟防火墙丢弃完成旁路处理后的各镜像报文。
[0021]图1所示的方法的有益效果在于，在防火墙设备的插卡板上隔离不同虚拟防火墙之间的镜像报文，提供了插卡板不同虚拟防火墙之间的隔离旁路业务处理。
[0022]图3所示为本申请提供的业务处理设备40的示意图，该业务处理设备40可以作为防火墙设备的插卡板。业务处理设备40包括处理器CPU41、存储器42以及收发模块43。
[0023]存储器42用于存储处理器可执行指令；处理器41通过运行存储器42的处理器可执行指令用以实现虚拟网口驱动模块421，配置管理模块422、分发模块423。
[0024]虚拟网口驱动模块421，用于生成插卡板40的虚拟网口31、32以及33，分别关联虚拟防火墙context1、虚拟防火墙context2以及管理context。
[0025]配置管理模块422，基于由防火墙板的管理context同步的配置信息，获取虚拟防火墙context1与虚拟网口21的关联关系以及虚拟防火墙context2与虚拟网口22的关联关系；获取虚拟网口21对应的MAC地址MAC21以及虚拟网口22对应的MAC地址MAC222；从虚拟网
口驱动模块421获取虚拟防火墙context1与虚拟网口31的关联关系以及虚拟防火墙context2与虚拟网口32的关联关系。
[0026]配置管理模块422，生成插卡板虚拟网口地址映射关系，用于记录虚拟网口21的MAC地址MAC21映射于虚拟网口31，以及虚拟网口22的MAC地址MAC22映射于虚拟网口32。管理配置模块42将生成的插卡板虚拟网口地址映射关系发送给分发模块423。接收模块43，从插卡板40的物理网口30接收镜像报文流。接收模块43可以是物理网卡，缓存从物理端口30读取的镜像报文流的各镜像报文，通过DPDK(Data Plane Development Kit)、Libpcap(Packet Capture Library)等方式送入报文分发模块423。
[0027]分发模块423，根据镜像报文流的各镜像报文的目的MAC地址或源MAC地址查找插卡板虚拟网口地址映射关系。因为，防火墙板的虚拟防火墙contex本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种业务处理方法，其特征在于，所述方法包括：接收发往插卡板的镜像报文流；查找所述镜像报文流的各镜像报文的目的MAC地址或源MAC地址映射的插卡板虚拟网口；将所述各镜像报文存储在映射的插卡板虚拟网口的接收队列；各虚拟防火墙从关联的插卡板虚拟网口的接收队列读取镜像报文进行旁路业务处理，丢弃完成旁路处理后的各镜像报文。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：将未查找到映射插卡板虚拟网口的各镜像报文存储在插卡板管理虚拟网口的接收队列；管理虚拟防火墙从关联的所述插卡板管理虚拟网口的接收队列读取存储的各镜像报文进行旁路处理，丢弃所述插卡板管理虚拟网口的接收队列中完成旁路处理的各镜像报文。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：将所述插卡板上存储的各所述虚拟防火墙的旁路业务日志同步到所述防火墙板上各所述虚拟防火墙的业务日志；将所述插卡板上存储的所述管理虚拟防火墙的旁路业务日志同步到所述防火墙板上管理虚拟防火墙的业务日志。4.根据权利要求3所述的方法，其特征在于，接收发往插卡板的镜像报文流之前，所述方法还包括：生成所述插卡板上关联每个各虚拟防火墙板的每个所述插卡板虚拟网口以及关联所述管理虚拟防火墙的所述插卡板管理虚拟网口；获取所述防火墙板上各所述虚拟防火墙与各防火墙板虚拟网口的关联关系；获取各所述防火墙板虚拟网口的MAC地址；获取各所述虚拟防火墙与各所述插卡板虚拟网口的关联关系；生成插卡板虚拟网口地址映射关系，用于记录各虚拟防火墙关联的各所述防火墙板虚拟网口的MAC地址与各所述虚拟防火墙关联的各插卡板虚拟网口的关联关系。5.根据权利要求1所述的方法，其特征在于，查找所述镜像报文流的各镜像报文的目的MAC地址或源MAC地址映射的插卡板虚拟网口是指，基于所述镜像报文流的各镜像报文的目的MAC地址或源MAC地址，查找插卡板虚拟网口地址映射关系，获取映射的插卡板虚拟网口。6.一种业务处理设备，所述业务处理设备作为防火墙设备的插卡板，其特征在于，所述设备包括：接收模块，接收发往插卡板的镜像报文流；分发模块...

【专利技术属性】
技术研发人员：朱学朋，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：