本发明专利技术涉及动态数据注入的装置及方法,尤其是一种用于虚拟专用拨号网中动态数据注入的装置及其方法。本装置包括:串接口单元、全局控制单元、分类匹配单元、业务单元、回传单元。本发明专利技术解决了对上网用户的上网行为进行干预后再返回给用户的需求。本装置上的业务口既能实现公知的数据过滤据转发业务,并且还能实现动态数据注入的业务,且业务口和回传口的定义可以在全局控制单元灵活的配置,这种灵活性和可扩展性可以极大的满足日益复杂的业务需求。
【技术实现步骤摘要】
一种用于虚拟专用拨号网中动态数据注入的装置及其方法
本专利技术涉及动态数据注入的装置及方法,尤其是一种用于虚拟专用拨号网中动态数据注入的装置及其方法。
技术介绍
VPDN(VirtualPrivateDial-upNetwork,虚拟专用拨号网络),是基于拨号用户的虚拟专用拨号网业务,亦即以拨号接入的方式上网,通过公共电话交换网传输数据时对网络数据的封包和加密;VPDN中可以传输私有数据,达到私有网络的安全级别。它是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网,是近年来随着Internet技术的发展而迅速发展起来的一种技术。目前比较常用的VPDN业务是,企业出差人员和跨区域办公的企业可以远程经过公共网络、通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络;另外VPDN业务还有一些其他的典型业务如:保险行业无线定损应用、电力行业的无线移动抄表应用等。目前应用在VPDN业务上的转发分流设备能够通过各种高效的查询方法将数据流过滤以及转发,这种装置和方法可以很好的解决对VPDN业务进行监控以及统计的需求,但是如果需要在同一个装置上既能监视上网用户的行为又能给上网用户推送自定义的数据,即对上网用户的上网请求干预后再返回给用户,如有非法的请求或者企业内部指定的请求需要监视但又不丢弃用户的请求,传统的基于VPDN的分流设备是不能满足这种需求的。传统的分流设备的结构图如图1所示。其中,网络I的上网数据通过串接口达到分类匹配模块后只能单向的通过业务口输出到监控设备。申请号0213628508的中国专利技术专利申请公开了虚拟专用拨号网业务数据包的转发方法,利用会话号进行相应会话的快速查询,快速的定位到相应的VPDN数据区;将用户的数据通过查询后转发出去,并不能改变用户的请求目标,也不能做到将上网用户的上网行为干预后再返回给用户,即不能动态的将自定义的数据注入给用户。
技术实现思路
本专利技术要解决的问题是目前VPDN服务中并不能实现对上网用户的上网行为进行干预后再返回给用户的现状。为了解决上述技术问题,本专利技术提出的具体技术方案是:一种用于虚拟专用拨号网中动态数据注入的装置,包括:串接口单元1、全局控制单元2、分类匹配单元3、业务单元4、回传单元5;所述串接口单元1,是至少一对串接在网络服务器和交换机之间作为串联流量的转发口;所述全局控制单元2,是通过配置界面配置业务口和回传口,配置需要重定向到回传口数据包的规则和行为;初始化流表;所述分类匹配单元3,是接收串接口单元1的数据包,查询规则后根据结果转发至业务单元4、串接口单元1或者回传单元5;接收回传单元5的数据包,查询流表,分析数据包的上下行方向,查询原端口;置数据包的转发端口为查询到的端口后发送给串接口单元1;所述业务单元4,是接收分类匹配单元3的数据包,根据上述结果标签将数据包转发到特定的设备或者其他的网络中;所述回传单元5,是接收分类匹配单元3的数据,将数据发送至外接的服务器,接收外接服务器的数据包并将数据包发送给分类匹配单元3。上述串接口单元1是成对的;装置上可以有多对串接口以满足串接多条链路。上述串接口单元1,包含串接口A和串接口B,接收分类匹配单元输出的数据包,根据上下行方向分别从串接口B和串接口A转发到原始链路中。上述全局控制单元2运行于本专利技术装置的CPU上,通过数据总线控制其他的单元。上述全局控制单元2通过管理界面设置接口的属性为业务口或者回传口,初始化流表的空间。本专利技术装置上可见的物理接口中了除了串接口、管理串口和管理网口外,其他所有的接口都可以是业务口或者回传口,业务口和回传口需要用户明确的定义,但一个接口不能既是回传口也是业务口。上述分类匹配单元3接收串接口单元1输入的数据包,并在流表中查询行为,如若没有命中则新建流到流表中,然后再查询规则;如若命中则将数据包的行为置为流的行为;同时分类匹配单元3接收回传单元5输入的数据包,并在流表中查询流是否存在,如若存在则需要分析数据包的上下行方向,根据上下行方向查询端口,并置数据包的转发端口为查询到的端口。上述回传单元5接收来自分类匹配单元3并且命中特定规则的数据包,将所述数据包发送至外接的服务器;接收外接服务器发送的数据包给分类匹配单元3。本专利技术是串接在原始链路中,并可以外接服务器,该外接服务器根据不同的规则产生不同的数据包,并将所述数据包通过回传口发回本专利技术装置中,本专利技术装置再通过分类匹配单元中的流表匹配上述数据包的原端口,并给上述数据包打上原端口的结果标签,最终根据结果标签将上述动态数据包发送至原始链路中,自此就实现了面向虚拟专用拨号网的动态数据注入。本专利技术还提供一种用于虚拟专用拨号网中动态数据注入的方法,步骤包括:步骤S1,串接口单元1接收上网用户的上网请求,并提取上网请求数据包的流特征;步骤S2,分类匹配单元3匹配需要转发到回传口的数据包;根据流特征判断是否在流表中存在,若存在判断该数据包的命中门限值;若不存在则根据所述流特征在流表中动态创建一条流,并将所述新建的流更新到流表中,再查询规则;判断数据包的命中数,若大于流的命中门限值,置所述数据包的行为为查询流的行为,若小于流动命中门限值则需要查询规则;命中数小于命中门限或者在流表中不存在的数据包,查询规则集中的三类规则,三类规则分为:target规则、L4规则、L7规则;根据规则查询结果给数据包打上行为标签结果;步骤S3,回传口接收外接服务器动态产生的数据包,并查询流表;所述流表指步骤S2中动态更新过的流表;查询流表表示,根据所述数据包的流特征在流表中查询符合该特征的流是否存在;若存在,分析所述数据包的上下行方向;若不存在则置该数据包的行为为丢弃;步骤S4,分析上下行方向,查询端口号;所述分析上下行方向表示,如果所述数据包方向为上行,则需要在上述流表中查询目的端口;如果所述数据包的方向为下行,则需要在上述流表中查询源端口;并置所述数据包的转发端口为查询到的目的端口或者源端口;步骤S5,根据流的行为和转发端口将数据包发送到原始链路。技术效果:如图2所示,当企业的出差人员经过公共网络访问企业内部的网络时,企业内部的网络可对VPDN的上网数据进行监控和干预,如有非法的请求或者企业内部指定的请求需要监视但又不丢弃用户的请求时就可采用本专利技术的动态数据注入装置和方法。与现有技术相比,本专利技术增加了回传单元,解决了对上网用户的上网请求干预后再返回给用户的需求。本装置上的业务口既能实现公知的数据过滤据转发业务,并且还能实现动态数据注入的业务,且业务口和回传口的定义可以在全局控制单元灵活的配置,这种灵活性和可扩展性可以极大的满足日益复杂的业务需求。附图说明图1是传统的过滤转发装置结构图。图2是本专利技术装置的网络接入位置图。图3是本专利技术面向VPDN的动态数据注入的装置结构图。图4是本专利技术面向VPDN的动态数据注入的装置及其方法的结构模块图。图5是本专利技术面向VPDN的动态数据注入的装置及其方法的基本流程图。图6是本专利技术面向VPDN的动态数据注入的装置及其方法的详细数据流程图。具体实施方式下面结合附图和实施对本专利技术作进一步说明。在下列描述中,限于篇幅原因,不再对一些现有公知常识的内容,包括结构和功能进行赘述。本文档来自技高网...
【技术保护点】
一种用于虚拟专用拨号网中动态数据注入的装置,其特征在于,包括:串接口单元(1)、全局控制单元(2)、分类匹配单元(3)、业务单元(4)、回传单元(5);其中:所述串接口单元(1),是至少一对串接在网络服务器和交换机之间作为串联流量的转发口;所述全局控制单元(2),是通过配置界面配置业务口和回传口,配置需要重定向到回传口数据包的规则和行为;初始化流表;所述分类匹配单元(3),是接收串接口单元1的数据包,查询规则后根据结果转发至业务单元(4)、串接口单元(1)或者回传单元(5);接收回传单元(5)的数据包,查询流表,分析数据包的上下行方向,查询原端口;置数据包的转发端口为查询到的端口后发送给串接口单元(1);所述业务单元(4),是接收分类匹配单元(3)的数据包,根据上述结果标签将数据包转发到特定的设备或者其他的网络中;所述回传单元(5),是接收分类匹配单元(3)的数据,将数据发送至外接的服务器,接收外接服务器的数据包并将数据包发送给分类匹配单元(3)。
【技术特征摘要】
1.一种用于虚拟专用拨号网中动态数据注入的装置,其特征在于,包括:串接口单元(1)、全局控制单元(2)、分类匹配单元(3)、业务单元(4)、回传单元(5);其中:所述串接口单元(1),是至少一对串接在网络服务器和交换机之间作为串联流量的转发口;所述全局控制单元(2),是通过配置界面配置业务口和回传口,配置需要重定向到回传口数据包的规则和行为;初始化流表;所述分类匹配单元(3),是接收串接口单元1的数据包,查询规则后根据结果转发至业务单元(4)、串接口单元(1)或者回传单元(5);接收回传单元(5)的数据包,查询流表,分析数据包的上下行方向,根据上下行方向的结果查询端口,如果所述数据包为上行,则在流表中查询对应的目的端口,如果所述数据包为下行,则在流表中查询对应的源端口,将数据包的转发端口置为查询到的端口;置数据包的转发端口为查询到的端口形成结果标签;将所述结果标签发送给串接口单元(1);所述业务单元(4),是接收分类匹配单元(3)的数据包,根据上述结果标签将数据包转发;所述回传单元(5),是接收分类匹配单元(3)的数据,将数据发送至外接的服务器,接收外接服务器的数据包并将数据包发送给分类匹配单元(3)。2.根据权利要求1所述的一种用于虚拟专用拨号网中动态数据注入的装置,其特征在于,所述串接口单元(1)是成对的;该装置上有多对串接口以满足串接多条链路。3.根据权利要求1所述的一种用于虚拟专用拨号网中动态数据注入的装置,其特征在于,所述串接口单元(1),包含串接口A和串接口B,...
【专利技术属性】
技术研发人员:李明捷,杨贵桂,
申请(专利权)人:上海恒为信息科技有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。