專利名稱:建立第一部件和第二部件通信的方法以及部件的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡領域的兩個部件之間進行通信的方法,尤其涉及OAA(Open Application Architecture,開放應用架構)中NFC(NetworkForwarding Component,網(wǎng)絡轉發(fā)部件)和IAC(Independent ApplicationComponent,獨立業(yè)務部件)之間相應通信的方法以及OAA。
背景技術:
隨著網(wǎng)絡業(yè)務的迅猛發(fā)展與逐步細化,傳統(tǒng)的網(wǎng)絡設備在處理這些業(yè)務時變得不再得心應手。比如,要求設備既能做數(shù)據(jù)轉發(fā)又能接入語音、要求設備既能完成負載分擔又能進行內容安全過濾。此時,一家獨立的技術廠家是很難同時提供給用戶所要求的所有服務。為此,用戶通常需要購買多個廠家的設備,并將該些設備連接在一起。這樣不僅互通性經(jīng)常出現(xiàn)問題、設備間配合更是不容易協(xié)商,而且也給設備的管理和維護帶來成本上的負擔。
以交換設備(所述交換設備包括交換機與路由器)為例,目前根據(jù)網(wǎng)絡中的位置與作用,交換設備通常分為中低端交換設備與核心交換設備。中低端交換設備的主要功能是匯集和進行業(yè)務管理,核心交換設備的主要功能是快速轉發(fā),使得數(shù)據(jù)包盡可能快速地通過IP骨干網(wǎng)。中低端交換設備一般處于網(wǎng)絡的邊緣位置,實現(xiàn)方案為一般的單處理器(CPU)的集中式交換設備。由于集中式交換設備有較好的價格成本優(yōu)勢,所以得到較為廣泛的應用。集中式交換設備可以依靠內部功能簡單的單一處理器來實現(xiàn)交換功能,但是,面對日益豐富的業(yè)務特性要求,如IPSec(IP Security協(xié)議)、IPS(Intrusion Protect System入侵防御系統(tǒng))、語音和無線等,集中式交換設備已不能滿足該些業(yè)務的需求。
為此,本申請人考慮是否可以將完成各種業(yè)務功能的自帶有處理器(CPU)的智能接口板集成到交換設備中,允許智能接口板的軟件或硬件由各個廠家提供,以便在交換設備上能夠完成各種業(yè)務功能,從而使得設備滿足各種豐富業(yè)務需求。但是,目前沒有一種智能接口板與交換設備之間通用的硬件連接和兩者之間通用的通信方法,能輕松地把不同廠家提供的兩個部件集成在一起,在兩個部件通信過程中互通性不容易出現(xiàn)問題,以便為用戶提供更多附加值的服務。
發(fā)明內容
本發(fā)明的目的在于提供了一種建立第一部件和第二部件通信的方法,以解決現(xiàn)有的兩個部件之間沒有通用的通信方式,從而導致兩個部件在通信過程中容易出現(xiàn)通信問題的技術問題。
本發(fā)明的另一目的在于提供了一種建立第一部件和第二部件通信的系統(tǒng),以解決現(xiàn)有技術中兩個部件之間未有通用的硬件聯(lián)系方式,從而導致兩個部件在通信過程中容易出現(xiàn)通信問題的技術問題。
為了達到本發(fā)明的上述目的,本發(fā)明建立第一部件和第二部件通信的方法,所述第一部件為網(wǎng)絡轉發(fā)部件NFC,第二部件為各個獨立業(yè)務部件IAC,所述方法包括(1)在NFC和IAC分別設定主機模式、鏡像模式、重定向模式和穿透模式的一種或幾種所述主機模式為NFC通過轉發(fā)通道進行IAC報文的轉發(fā),所述鏡像模式為NFC通過鏡像通道將滿足鏡像條件的報文復制給IAC,同時繼續(xù)完成所述報文的轉發(fā),所述重定向模式為NFC將滿足重定向條件的報文通過重定向通道重定向至IAC,當NFC接收到返回的所述報文后繼續(xù)完成轉發(fā),所述穿透模式為IAC通過穿透通道完成NFC報文的轉發(fā);(2)NFC和每個IAC通信時,從兩者共同支持的工作模式中選擇其中之一或幾種組合來進行通信。
步驟(2)包括在NFC和IAC上進行配置,所述配置包括NFC和IAC分別獲知與本部件連接的對端側的接口信息和當前的工作模式。
在NFC與IAC上配置信息還包括IAC向NFC下發(fā)包含獲取規(guī)則的聯(lián)動報文,所述獲取規(guī)則為重定向條件或鏡像條件;NFC保存所述聯(lián)動報文中的獲取規(guī)則。
步驟(2)還包括IAC對來自NFC的匹配所述獲取規(guī)則成功的報文進行業(yè)務處理;當NFC接收來自IAC的聯(lián)動報文時,從中解析出特定報文的處理規(guī)則及其所滿足的網(wǎng)絡拓撲信息;NFC對滿足上述特定處理規(guī)則關聯(lián)的網(wǎng)絡拓撲信息的報文,應用所述處理規(guī)則。
在NFC與IAC上配置信息還包括在NFC和IAC上為內部控制接口建立內部控制通道;在從外部接口報文線路Line接收到進行IAC配置的指令后,將外部接口Line的輸入從內部控制通道輸出至IAC,將該內部控制通道的輸入從外部接口Line輸出按照IAC內部控制通道的輸入進行IAC的配置,并將配置結果自IAC內部控制通道輸出至NFC進行相應配置。
本發(fā)明還包括在NFC與每個IAC通信之前,NFC與IAC之間建立供電通道,NFC通過供電通道向IAC提供電源。
本發(fā)明還包括所述轉發(fā)通道、鏡像通道、重定向通道、穿透通道是邏輯通道,通過以太網(wǎng)接口來實現(xiàn)所述些邏輯通道。
一種開放應用架構OAA,所述開放應用架構包括網(wǎng)絡轉發(fā)部件NFC、獨立業(yè)務部件IAC以及NFC和IAC之間建立聯(lián)系的接口連接部件ILC,其中NFC為路由器或交換機的主體部分,用于在其上設定主機模式、鏡像模式、重定向模式和穿透模式的一種或幾種;IAC為用來提供業(yè)務服務功能的業(yè)務部件,用來在其上設定主機模式、鏡像模式、重定向模式和穿透模式的一種或幾種;ILC包括NFC與IAC連接的數(shù)據(jù)通信通道。
ILC還包括與IAC連接的設置在NFC上的第一控制接口和與NFC連接的設置在IAC上的第二控制接口,所述第一控制接口和第二控制接口在物理上表現(xiàn)為串行接口、模擬出串行接口的以太網(wǎng)接口。
所述NFC包括機框和單板、或表現(xiàn)為能插卡的集中式交換設備,所述IAC為一單板或扣卡。
ILC還包括在NFC和IAC上設置的兩者之間建立供電通道的供電接口。
與現(xiàn)有技術相比,本申請人經(jīng)總結獲知,NFC與IAC之間的通信通常僅有四種工作模式主機模式、鏡像模式、重定向模式和穿透模式。在NFC和IAC上分別設置這四種工作模式中的一種或幾種,當通信時,NFC和IAC可以選擇其中之一或其中幾種組合來完成雙方的通信。由于雙方具有通用的通信方式,減少了通信問題。并且,也使得雙方通信具有可擴展性。比如,NFC可以由一個廠商提供,IAC由另一個廠商提供,或者IAC上的某些軟件由第三方來提供,由此做到多家廠商設備的融合集成。
并且,本發(fā)明可以通過聯(lián)動的方式進行NFC和IAC之間的工作配合,另外,本發(fā)明也可以采用NFC監(jiān)聽IAC配置從而進行對應配置的方式,由此降低通信過程中兩部件不配合的問題,進而提高了通信的可靠性。
圖1為本發(fā)明OAA框架的結構原理示意圖;圖2為本發(fā)明OAA框架的結構示例圖;圖3為在NFC上配置IAC的結構示例圖;圖4為在NFC上配置IAC的一種處理實例流程;圖5為NFC和IAC之間聯(lián)動的一實例處理流程。
具體實施例方式
以下結合附圖,具體說明本發(fā)明。
請參閱圖1,其為本發(fā)明OAA框架的結構原理示意圖。所述OAA框架是一種將不同廠商的設備集成為一個松耦合的系統(tǒng)。一個符合OAA的架構系統(tǒng)包括通過ILC(Interface Linkage Component,接口連接部件)連接的NFC和IAC。其中NFC是OAA的主體,負責進行報文轉發(fā),有著完整的路由器或交換機的功能,也是用戶管理控制的核心。一般在OAA中表現(xiàn)為路由器或交換機的主體部件,包括機框和單板,也可以是一個能夠插卡的集中式交換設備。NFC在其上設定主機模式、鏡像模式、重定向模式和穿透模式的一種或幾種。通常,NFC上預先設定四種工作模式。因為NFC有著路由器或交換機的功能,因此它本身支持主機模式和穿透模式。NFC支持鏡像模式,只需要在NFC上設置接收到滿足鏡像條件的報文后復制一份至指定IAC即可。NFC支持重定向模式,需要在NFC上設置接收到滿足重定向條件的報文后將所述報文發(fā)送至指定的IAC,以及接收到返回的報文進行后續(xù)處理。
IAC是用來提供各種應用的附加功能的業(yè)務服務主體,一般在OAA中表現(xiàn)為一塊單板或扣卡。IAC可以根據(jù)具體的功能在其上設定支持主機模式、鏡像模式、重定向模式和穿透模式的一種或幾種工作模式。由于IAC上有單獨的處理器,因此只需要對該處理器進行編程,即可要求IAC按照預先的設定工作。
ILC通常作為接口分別集成在NFC和IAC之上,為NFC和IAC提供報文轉發(fā)和控制信息傳遞的路徑。
現(xiàn)有技術是購買多家廠家的設備,并將該些設備連接在一起,來實現(xiàn)完成用戶要求的多個功能的目的。這種方式下有多個設備連接在一起,不僅互通性經(jīng)常出現(xiàn)問題,而且設備管理和維護的成本很高。本發(fā)明的IAC自帶有處理器,能在其上提供各種應用附加功能,它表現(xiàn)為一塊單板或扣卡,直接連接在NFC上。整個OAA框架表現(xiàn)為一個設備,單個設備管理和維護的成本低、容易攜帶,而且,該設備具有很強的擴展性。比如,用戶需要在設備上增設某一功能時,用戶可以直接將能實現(xiàn)該功能的IAC連接在NFC上,而無需增設一實現(xiàn)該功能的設備。
請參閱圖2,其為本發(fā)明OAA框架的實例圖。NFC包括第一處理器及存儲單元(包括內存、閃存等),IAC包括第二處理器及存儲單元(內存、閃存等),ILC包括NFC與IAC之間的數(shù)據(jù)通信通道和控制通信通道。數(shù)據(jù)通信通道用來傳輸業(yè)務數(shù)據(jù),控制通信通道用于傳輸控制信息。圖中未繪示,OAA框架中NFC與IAC之間可以設置一供電通道。NFC通過供電通道向IAC提供電源,這樣,IAC就不必在單獨外結電源。本發(fā)明的供電通道在物理上可以有很多的實現(xiàn)方式。本發(fā)明NFC與IAC上分別設置一可以互連的供電接口。所述供電接口可以采用類似USB結構,由NFC側的電源向IAC進行供電。
在物理上,ILC的數(shù)據(jù)通信通道為第一以太網(wǎng)接口和第二以太網(wǎng)接口。所述控制通信通道為第一控制接口和第二控制接口。第一以太網(wǎng)接口和第一控制接口設置在NFC側,即所述第一以太網(wǎng)接口和第一控制接口為NFC與IAC連接的NFC側的接口。第二以太網(wǎng)接口和第二控制接口設置在IAC側,即所述第二以太網(wǎng)接口和第二控制接口為NFC與IAC連接的IAC側的接口。
第一控制接口和第二控制接口可以分別是通過一通用異步接收/發(fā)送器UART來實現(xiàn)的串行接口。比如,通用異步接收/發(fā)送器可以直接連接到NFC的第一處理器的局部總線上來實現(xiàn)第一串行接口的功能,通用異步接收/發(fā)送器直接連接在IAC的第二處理器的局部總線上來實現(xiàn)第二串行接口的功能。
本發(fā)明也可以通過以太網(wǎng)接口模擬出串行接口來實現(xiàn)第一控制接口和第二控制接口的目的。在第一處理器和第二處理器上預先進行編程,分別設置一適配層,它們用于將串口格式的數(shù)據(jù)和以太網(wǎng)報文之間的轉換。比如,發(fā)送端的適配層將一個串口格式的8位串行數(shù)據(jù)填充到一以太網(wǎng)報文的數(shù)據(jù)區(qū),并將本報文承載串行數(shù)據(jù)的標識填充到該以太網(wǎng)報文的以太網(wǎng)報文頭。接收端的適配層將以太網(wǎng)報文轉換為串行數(shù)據(jù)為從以太網(wǎng)報文的以太網(wǎng)報文頭是否承載所述標識來判斷所述報文是否是承載串行控制數(shù)據(jù),若是,則從以太網(wǎng)報文的數(shù)據(jù)區(qū)中獲得一8位串行數(shù)據(jù)組成一串口格式數(shù)據(jù)。第一控制接口和第二控制接口可以分別采用一新的以太網(wǎng)接口來模擬串行接口,也可以復用數(shù)據(jù)通道的第一以太網(wǎng)接口和第二以太網(wǎng)接口來模擬出串行接口。
從上可知,NFC與IAC之間必須有一個以太網(wǎng)接口,可以設置一個異步串行接口,也可以通過以太網(wǎng)接口來模擬出串行接口。即,本發(fā)明可以復用進行數(shù)據(jù)通信的以太網(wǎng)接口,也可以是設置額外的以太網(wǎng)接口來模擬出串行接口。當然,本發(fā)明還可以不設置異步串行接口,在IAC上還設置一外在接口(外在接口可以是Console端口或Aux端口)。所述外在接口是指不與NFC連接的接口,該接口也可以是以太網(wǎng)接口,用于給IAC提供一個單獨的控制臺(Console)口,用戶通過該外在接口完成對IAC的配置。最主要的配置工作是配置IAC端的第二以太網(wǎng)接口的地址(如IP地址、MAC地址等)。這樣方式下,ILC可以省略第二控制接口,NFC與IAC之間通過自定義的以太網(wǎng)報文來傳送控制信息。
綜上所述,NFC與各個IAC通過上述公開的物理接口連接在一起。IAC和NFC可以由不同的廠商提供,配合在一起工作。只要NFC與IAC采用上述公開的通用物理接口方式(如一串行接口和一以太網(wǎng)接口)連接,就能使一個設備上集成有若干增值服務成為可能,而避免出現(xiàn)現(xiàn)有技術中為了提供若干增值服務而需要多個設備的復雜情況。
即,在一個NFC上,插入多個彼此獨立的IAC,就好像一個PC機上可以插多個PCI插卡一樣。一個OAA類似于一個半封閉的自治網(wǎng)絡。這種結構實現(xiàn)起來非常簡單,而且具有很高的擴展性。
針對上述的物理結構,本申請人考慮如何使兩者之間的通信具有通用性呢?本申請人發(fā)現(xiàn)兩個設備之間的通信方式不適用NFC與IAC這一個設備兩個部件之間的通信,而PC機和PCI插卡之間通常采用PCI等總線協(xié)議進行兩者的通信,同樣也不適用NFC與IAC這一個設備兩個部件之間的通信。那么,NFC與IAC之間如何進行通信呢?本申請人經(jīng)過深思熟慮,再一步發(fā)現(xiàn)NFC與IAC之間采用的工作模式是固定的,它們之間通常采用主機模式、鏡像模式、重定向模式和穿透模式這四種工作模式進行通信。本發(fā)明可以通過這4種模式之一或其中幾種的組合來完成NFC與IAC之間的通信。以下先分別介紹NFC與IAC之間的這四種工作模式。
一、主機(Host)模式所述主機模式為NFC通過轉發(fā)通道進行IAC報文的轉發(fā)。即,IAC就像網(wǎng)絡上的一臺主機,擁有自己的IP地址,作為網(wǎng)絡末梢存在。報文都是通ILC的以太網(wǎng)接口轉發(fā)的,在邏輯上稱其為轉發(fā)通道(Forwarding-Channel)。這種方式,NFC和IAC之間的耦合是最松的,NFC僅僅完成單純的報文轉發(fā),IAC則作為數(shù)據(jù)報文的發(fā)起者和接收者,收發(fā)各種報文,NFC就是IAC的網(wǎng)關。
以路由器為例,NFC上設定該主機模式時,無需對NFC做改進。當IAC和NFC協(xié)商好工作在主機模式時,IAC會將其IP地址告知NFC,或通過配置將IAC的IP地址告知NFC。NFC就設定一獲取規(guī)則(報文的目的IP地址為預設IAC的IP地址)及發(fā)送至哪個IAC的信息(如IAC標識)。在通信中,流經(jīng)NFC的報文若滿足該獲取規(guī)則,就將所述報文發(fā)送至指定的IAC。由于NFC具有路由器或交換機的完整功能,針對主機模式,在邏輯上也不需要特殊處理。轉發(fā)通道是邏輯通道,物理上它指傳輸業(yè)務數(shù)據(jù)的NFC與IAC的以太網(wǎng)接口。
在上述主機模式下,本發(fā)明可以進行IAC的主、從備份來提高運行的可靠性。比如,本發(fā)明可以通過為互為備份的至少兩個IAC設置相同的虛擬IP地址,使得多個IAC均可處理相同業(yè)務。另外,從IAC拒絕響應NFC對虛擬IP地址的ARP(地址解析協(xié)議)請求,只由主IAC響應,保證了同一時間只有一個主IAC工作。當從IAC新當選為主IAC時,發(fā)布其自身MAC地址與虛擬IP地址對應關系的免費ARP報文,觸發(fā)NFC刷新已有的ARP記錄。進而,NFC根據(jù)刷新后的ARP記錄,就可以將新到達所述虛擬IP地址的業(yè)務流量發(fā)送給所述新主IAC,即完成了IAC的主從切換,使新主IAC得以順利接替原主IAC的工作。本發(fā)明也可以在互為備份IAC在具有負載分擔功能的情況下能夠順利進行主、從切換。
當NFC與IAC是通過以下步驟實現(xiàn)在主機模式下通信的(一)、啟動階段OAA設備啟動后,NFC和IAC各自加電啟動。NFC和IAC的啟動過程和現(xiàn)有技術類似。比如,NFC為路由器時,一般地,它啟動時,首先運行內存的ROM(只讀存儲器)中的程序,隨后進行系統(tǒng)自檢及引導,然后運行FLASH(閃存)中的IOS(Internetwork Operationg System,網(wǎng)絡操作系統(tǒng)),尋找路由器配置,并裝入DRAM中。IAC加電啟動通常是運行ROM中的程序,并進行系統(tǒng)自檢及引導等。
啟動后,IAC會主動向NFC注冊,說明本IAC一些屬性信息,比如IAC的軟件版本信息,本IAC ID(IAC標識)等。NFC收到注冊信息后,記錄該些信息,通過該些信息可以區(qū)別不同的IAC。并且,NFC響應該注冊信息,在返回的響應注冊信息中返回本NFC所支持的工作模式,所述工作模式至少包括主機模式。
(二)、配置階段在這個階段,網(wǎng)絡管理員可以分別對NFC和IAC進行配置。即,網(wǎng)絡管理員通過上述公開的IAC的外在接口直接對IAC進行配置,通過上述未提及的NFC的用戶控制接口直接對NFC進行配置。所述配置包括對NFC與IAC連接的NFC側的接口信息(如第一以太網(wǎng)接口的MAC地址等)、NFC與IAC連接的IAC側的接口信息(如第二以太網(wǎng)接口的MAC地址)、IAC的IP地址。NFC與IAC分別在本端保存該些配置信息。比如,NFC上可以設置一接口信息表。所述接口信息表中保存IAC標識、NFC與IAC連接的IAC側的接口信息、NFC與IAC連接的NFC側的接口信息、IAC的IP地址的對應關系。
本發(fā)明還公開了一種通過NFC對IAC進行配置的方法,即,網(wǎng)絡管理員通過NFC對IAC進行配置,NFC同時也保存該IAC的IP地址。配置信息包括在配置IAC的IP地址,通過這種方式,能夠避免IAC與NFC上配置的內容不一致的問題。
由于IAC通常表現(xiàn)為一單板或扣卡,而NFC通常表現(xiàn)為一路由器或交換機的主體部分,因此上述所說通過網(wǎng)絡管理員對其進行配置,是指網(wǎng)絡管理員通過一管理終端來配置。
連接NFC與IAC的ILC通常包括控制通信通道(即第一控制接口和第二控制接口),其物理端口表現(xiàn)為串行接口、模擬出串行接口的以太網(wǎng)接口。NFC上的第一控制接口與IAC上的第二控制接口相連接,管理終端連接NFC上的用戶控制接口。用戶控制接口可以是NFC的Console端口或Aux端口,也可以是管理終端通過Telnet登錄至NFC上的物理端口。請參閱圖3,其為本發(fā)明配置NFC與IAC的結構示意圖。
當管理終端通過Console端口或Aux端口連接到在NFC上并令NFC進入配置模式時,NFC上為Console端口或Aux端口建立外部接口Line(數(shù)據(jù)流線路)。Line是對設備抽象的一種數(shù)據(jù)流通道,用來向NFC Core(內核)傳遞由Console端口或Aux端口輸入的管理配置指令,以及將NFC Core的執(zhí)行結果從Console端口或Aux端口輸出。這些管理配置指令和執(zhí)行結果以無幀格式字節(jié)流的形式在Line上進行傳輸。當管理終端以Telnet方式登錄NFC時,NFC將Telnet客戶端作為一種虛擬終端接口,為其建立外部接口Line,在NFC Core和Telnet客戶端之間傳遞字節(jié)流,以完成對NFC的配置管理工作。
當OAA系統(tǒng)中連接NFC與IAC的內部控制接口為工作在流模式的串行接口時,類似于Console端口和Aux端口,在NFC和IAC上可以分別為本部件的內部控制接口建立內部接口Line。在NFC上將外部接口Line的輸入直接輸出到連接IAC的NFC內部接口Line,則IAC Core可以從連接NFC的IAC內部接口Line接收到管理終端的配置管理指令字節(jié)流;同樣,IAC Core的執(zhí)行結果也可以通過IAC內部接口Line、NFC內部接口Line和NFC上的外部接口Line到達管理終端,從而實現(xiàn)通過NFC對IAC進行配置管理。在這種管理方式中,NFC內部接口Line作為NFC上的內部控制通道進行字節(jié)流的傳遞。本發(fā)明所述通過NFC配置IAC的方法實施例一即采用上述實現(xiàn)方式。
實施例一中,在IAC一側,為連接NFC的內部控制接口建立內部接口Line。由于內部控制接口工作在流模式,可以采用現(xiàn)有技術中為Console端口、Aux端口建立Line的方式建立內部接口Line。IAC按照連接NFC的IAC內部接口Line的輸入進行配置操作,并且將配置操作的結果從該IAC內部接口Line輸出至NFC。
本實施例中在NFC上配置IAC的處理流程如圖4所示,在步驟S210,在NFC上為連接IAC的內部控制接口建立內部接口Line。
對通過多個內部控制接口連接多個IAC的NFC,執(zhí)行步驟S220,在NFC上保存NFC內部接口Line與其連接的IAC的標識的對應關系。IAC標識由管理終端和NFC使用,在通過NFC配置IAC時由管理終端用來通知NFC所要配置的是哪個IAC。
IAC標識可以由用戶自主設置,只要能夠區(qū)分各個IAC即可。由于OAA系統(tǒng)中連接至同一個NFC的IAC通常位于不同的槽位(Slot),方便起見,本發(fā)明推薦采用IAC所在的Slot號作為該IAC的標識。
在步驟S230,在NFC上為用戶控制接口建立外部接口Line。本實施例中的用戶控制接口可以是Console端口、Aux端口或者Telnet的虛擬終端接口。本步驟與現(xiàn)有技術相同,不再贅述。
在步驟S240,在NFC上對外部接口Line的輸入進行檢測。本實施例中在NFC上預設所要檢測的指令,主要是涉及啟動和關閉對IAC進行配置操作的控制命令,通常包括進行IAC配置的指令和結束IAC配置的指令。本步驟中在NFC上對這些預設的控制命令進行檢測,并根據(jù)這些控制命令啟動或結束對某個IAC的配置。
通常情況下,外部接口Line在建立后缺省以NFC Core為輸入輸出端,在檢測到進行IAC配置的指令前,NFC Core根據(jù)通過本步驟中檢測的外部接口Line輸入進行NFC的配置操作,并且將配置操作的結果從外部接口Line輸出。
在步驟S250,當在NFC上外部接口Line的輸入中檢測到進行IAC配置的指令后,NFC從指令中解析出IAC標識,查找與該IAC標識對應的NFC內部接口Line。對此后外部接口Line的輸入,在通過步驟S240中的檢測后,NFC將外部接口Line的輸入字節(jié)流從與該IAC標識對應的NFC內部接口Line中輸出,這些字節(jié)流通過IAC為其內部控制接口建立的IAC內部接口Line到達該IAC的內核,對該IAC進行管理配置;同樣,對該IAC從NFC內部接口Line返回的字節(jié)流,NFC直接將其從外部接口Line輸出,到達管理終端。
NFC在邏輯上相當于將外部接口Line與連通該IAC的NFC內部接口Line短接。這樣,NFC上的外部接口Line、NFC上到該IAC的NFC內部接口Line和該IAC上的IAC內部接口Line形成一條管理通道,沿著這一管理通道,管理終端即可實現(xiàn)通過NFC對IAC進行配置管理。
當NFC只連接一個IAC時,進行IAC配置的指令中可以不包括IAC標識,NFC在接收到進行IAC配置的指令后可以直接以外部接口Line和NFC內部接口Line互為輸入輸出。
在步驟S260,當在NFC上外部接口Line的輸入中檢測到結束IAC配置的指令后,NFC取消外部接口Line與NFC內部接口Line之間在邏輯上的短接。對此后外部接口Line的輸入,在通過步驟S240中的檢測后,NFC可以將外部接口Line的輸入字節(jié)流輸出至NFC Core,按照外部接口Line的輸入進行NFC的配置,并將配置結果從外部接口Line輸出。
本實施例中,步驟S210、S220、S230之間的順序可以任意排列。另外,當NFC啟動時缺省設置是外部接口Line用于配置NFC時,步驟S240通常在步驟250之前;當NFC啟動時缺省設置時外部接口Line用于配置某個IAC時,步驟S240通常在步驟S250之后。
當OAA系統(tǒng)中連接NFC與IAC的內部控制接口為轉發(fā)報文的物理端口時,可以采用反向Yelnet(Reverse Telnet)的方式通過NFC對IAC進行管理。在NFC和IAC之間建立反向Telnet連接后,可以將管理配置指令和IAC的執(zhí)行結果以字節(jié)流的形式承載在反向Telnet連接上進行雙向傳輸,實現(xiàn)對IAC的配置。在這種管理方式中,NFC與IAC之間的反向Telnet連接作為NFC和IAC的內部控制通道進行字節(jié)流的傳遞。
上述對NFC和IAC的配置過程在NFC上外部接口Line的輸入中檢測對IAC進行配置的指令,在接收到該指令后以NFC的外部接口Line和連接至IAC的內部控制通道互為輸入輸出,使得用戶只需接入到NFC即可完成對IAC的配置,不僅操作簡便,而且IAC不再需要向外部提供單獨的Console端口和Aux端口。當然,本發(fā)明也并不排除在IAC上向外部提供單獨的Console端口和Aux端口進行配置這種實現(xiàn)方案。
(三)、配合工作階段當上述配置階段完畢后,其配置信息已在NFC和IAC上生效。NFC對每一流經(jīng)本部件的報文,進行判斷報文的目的IP地址是否和需要進行主機模式的一IAC的IP地址相同,若是,則將所述報文提供至指定的IAC。即,找到該IP地址對應的IAC標識,然后再找到該IAC標識對應的IAC側的接口信息,最后將報文發(fā)送至該接口。
二、鏡像(Mirror)模式所述鏡像模式為NFC通過鏡像通道將滿足條件的報文復制給IAC,同時繼續(xù)完成所述報文的轉發(fā)。即,NFC在報文轉發(fā)的過程中,根據(jù)預先設定的條件,將滿足所述條件的報文復制一份給IAC,原始報文繼續(xù)完成正常的轉發(fā)。而IAC收到所述報文以后,按照預先的設定對所述報文進行分析和處理后,將報文丟棄或進行其它處理。這種模式下,報文也是通過ILC的以太網(wǎng)接口轉發(fā)。但是與主機模式不同的是,這種模式下有一個邏輯的鏡像通道。鏡像通道是單向的,即通過此通道的數(shù)據(jù)總是從NFC流向IAC。要支持此通道,NFC需要預先對其進行設定。比如,若NFC為路由器,則在NFC的主機處理器上需要配置或IAC通過聯(lián)動設定進行鏡像模式的滿足鏡像條件的鏡像條件。當流經(jīng)NFC的報文滿足鏡像條件時,,NFC將所述報文復制一份發(fā)送至IAC,并且將所述報文完成后續(xù)的轉發(fā)工作。
對IAC而言,所述鏡像通道從物理上來說為一普通以太網(wǎng)接口。這種工作模式經(jīng)常應用于IDS(入侵檢測系統(tǒng)),即IAC相當于IDS,將IDS串在網(wǎng)絡設備上。IDS通過該工作模式來過濾通過該網(wǎng)絡設備(比如Lan Switch)的流量,及時發(fā)現(xiàn)攻擊行為。
3、重定向(Redirection)模式所述重定向模式為NFC將滿足重定向條件的報文通過重定向通道重定向至IAC,IAC丟棄報文或返回報文,當NFC接收到返回的所述報文后繼續(xù)完成轉發(fā)。這種模式下,NFC在報文轉發(fā)過程中,根據(jù)預先設定的重定向條件,將滿足所述條件的報文重定向給IAC。IAC分析所述報文并處理所述報文,所述處理報文包括丟棄所述報文和將所述報文原封不動的返回。如果報文被原封不動的還給NFC,NFC則從當初中斷的地方繼續(xù)處理,完成后續(xù)的轉發(fā)工作。這種模式下,重定向的報文也是通過ILC的以太網(wǎng)口轉發(fā)的。這種模式多用于IPS(入侵防御系統(tǒng)),即IAC相當于IPS。
由于實現(xiàn)NFC和IAC工作在重定向模式和鏡像模式的方式類似,因此本申請人將一起介紹如何實現(xiàn)NFC和IAC工作在重定向模式和鏡像模式。
(一)啟動階段0AA設備的啟動后,NFC和IAC各自加電啟動。NFC和IAC的啟動過程和現(xiàn)有技術類似。比如,NFC為路由器時,一般地,它啟動時,首先運行內存的ROM(只讀存儲器)中的程序,隨后進行系統(tǒng)自檢及引導,然后運行FLASH(閃存)中的IOS,尋找路由器配置,并裝入DRAM中。IAC加電啟動通常是運行ROM中的程序,并進行系統(tǒng)自檢及引導等。
啟動后,IAC會主動向NFC注冊,說明本IAC一些屬性信息,比如IAC的軟件版本信息,本IAC ID(IAC標識)等。NFC收到注冊信息后,記錄該些信息,通過該些信息可以區(qū)別不同的IAC。并且,NFC響應該注冊信息,在返回的響應注冊信息中返回本NFC所支持的工作模式,所述工作模式至少包括鏡像模式和/或重定向模式。
(二)、配置階段在這個階段,網(wǎng)絡管理員可以分別對NFC和IAC進行配置。即,網(wǎng)絡管理員通過上述公開的IAC的外在接口直接對IAC進行配置,通過上述的NFC的用戶控制接口直接對IAC進行配置。所述配置包括對NFC與IAC連接的NFC側的接口信息(如第一以太網(wǎng)接口的MAC地址等)、NFC與IAC連接的IAC側的接口信息(如第二以太網(wǎng)接口的MAC地址)、IAC的IP地址。NFC與IAC分別在本端保存該些配置信息。比如,NFC上可以設置一接口信息表。所述接口信息表中保存IAC標識、NFC與IAC連接的IAC側的接口信息、NFC與IAC連接的NFC側的接口信息、IAC的IP地址的對應關系。
本發(fā)明還可以使用上述公開了的通過NFC對IAC進行配置的方法來完成上述信息的配置。
并且,本發(fā)明還需要通過聯(lián)動方式在NFC上設置重定向條件和鏡像條件。
請參閱圖5,其為OAA框架中NFC和IAC實現(xiàn)聯(lián)動的優(yōu)選實施例流程圖。
步驟S310IAC設置聯(lián)動策略并向NFC發(fā)送包含所述聯(lián)動策略的聯(lián)動報文,每條聯(lián)動策略具有唯一的策略標識。所述聯(lián)動策略用于描述流經(jīng)NFC報文的原始網(wǎng)絡拓撲信息,網(wǎng)絡拓撲信息是與報文自身特征(如報文七元組)無關的路徑信息,包括但不限于流經(jīng)NFC報文的原始入接口、原始出接口、原始入接口所屬VLAN以及原始出接口所屬VLAN中的一種或多種;此外可以包括流經(jīng)NFC報文的中途變向接口,如報文被重定向或鏡像到的目的接口,即NFC和IAC之間互連的接口??傊灰梢杂糜谙薅▓笪?、與報文自身特征無關的信息都可以作為聯(lián)動策略的描述內容。
優(yōu)選的,一條聯(lián)動策略包括以下內容(1)策略標識(策略標識);(2)原始入接口;(3)原始出接口;(4)被重定向/鏡像到的目的接口;策略標識是策略的唯一標記,讓NFC和IAC都清楚操作的對象是誰。以IAC為IPS為例,IPS本身對網(wǎng)絡數(shù)據(jù)而言是透明的,所以,原始入接口和原始出接口就是報文未被重定向的時候正常流經(jīng)NFC的入接口和出接口;被重定向到的目的接口,則一般就是連接IAC和NFC的以太網(wǎng)接口。
IAC向NFC發(fā)送的聯(lián)動策略,可以是一條也可以是多條,每條聯(lián)動策略的策略標識是唯一的。
步驟S320NFC從來自IAC的聯(lián)動報文中解析聯(lián)動策略,為每個策略標識分配對應的關聯(lián)標識,并將策略標識和關聯(lián)標識的對應關系匯報至IAC。由于策略標識是IAC分配的,對于NFC而言,所述策略標識可能并不適于在現(xiàn)有報文格式中予以攜帶,例如需要修改現(xiàn)有報文格式。因此,NFC根據(jù)其自身軟硬件結構為每個策略標識分配一個對應的關聯(lián)標識,并將策略標識和關聯(lián)標識之間的對應關系向IAC匯報,使IAC可以根據(jù)關聯(lián)標識對應出策略標識。
對于純軟件而言,可以使用VLAN標簽作為關聯(lián)標識;對于硬件而言,可以使用ASIC芯片的堆疊頭作為關聯(lián)標識。無論是VLAN標簽字段還是堆疊頭字段,都是現(xiàn)有報文格式中允許包含的字段。因此,NFC將其沒有使用的VLAN標簽或沒有使用的堆疊頭分配給策略標識,作為策略標識對應的關聯(lián)標識(相對于策略標識的描述內容)。
步驟S330IAC設置獲取規(guī)則,向NFC發(fā)送包含所述獲取規(guī)則的聯(lián)動報文。所述獲取規(guī)則與步驟S310中設置的聯(lián)動策略相關聯(lián),因此所述聯(lián)動報文中還包括獲取規(guī)則關聯(lián)的聯(lián)動策略的策略標識。向NFC發(fā)送的獲取規(guī)則可以是一條也可以是多條。IAC設置需要從NFC獲取報文的獲取規(guī)則,所述獲取規(guī)則包括報文特征和獲取動作。優(yōu)選的,所述報文特征為報文的報文自身特征,可以但不限于源MAC、目的MAC、VLAN范圍、802.1q的優(yōu)先級、源IP地址+掩碼、目的IP地址+掩碼、IP協(xié)議號、源端口范圍、目的端口范圍、IP優(yōu)先級、IP分片標記等中一種或幾種組合;所述獲取動作包括但不限于重定向或鏡像,總而言之,是指示NFC向IAC提供報文。
步驟S340NFC從來自IAC的聯(lián)動報文中解析獲取規(guī)則及其關聯(lián)的策略標識。由于NFC在步驟S320中已經(jīng)解析出聯(lián)動策略及其策略標識,因此在本步驟NFC解析出獲取規(guī)則關聯(lián)的策略標識后,即可知道所述獲取規(guī)則關聯(lián)的是哪個/哪些聯(lián)動策略。進一步,由于聯(lián)動策略描述的是報文流經(jīng)NFC的原始網(wǎng)絡拓撲信息,因此,NFC就可以知道獲取規(guī)則針對的是具有哪些網(wǎng)絡拓撲信息的報文。
(三)配合工作階段當NFC和IAC的配置內容和聯(lián)動策略、獲取規(guī)則都已生效時,NFC與IAC按照預先配置好的工作模式進行通信。
步驟S350NFC根據(jù)獲取規(guī)則及其關聯(lián)的聯(lián)動策略,對流經(jīng)報文進行匹配。由于IAC向NFC指出了獲取規(guī)則關聯(lián)的聯(lián)動策略,因此NFC不必在所有流經(jīng)報文中查找滿足獲取規(guī)則的報文,只需在滿足聯(lián)動策略描述的網(wǎng)絡拓撲信息的報文中進行查找即可,由此加快了NFC進行規(guī)則匹配的效率。為了說明更清楚,下面舉個具體獲取規(guī)則及其關聯(lián)的聯(lián)動策略例子加以說明。
假設IAC向NFC發(fā)送了一條獲取規(guī)則(內容不予詳述)及其關聯(lián)的策略標識2,即NFC從聯(lián)動報文中解析出一條獲取規(guī)則,其關聯(lián)的策略標識為2。NFC根據(jù)步驟S320中已經(jīng)解析出的各種策略記錄可知,策略標識為2的聯(lián)動策略描述的網(wǎng)絡拓撲信息是原始入接口為以太網(wǎng)接口2,原始出接口為以太網(wǎng)接口4,重定向接口為以太網(wǎng)接口1(即IAC和NFC之間的以太網(wǎng)接口)。
進而,NFC只需在來自以太網(wǎng)接口2的報文中查找匹配所述獲取規(guī)則的報文。優(yōu)選的,將根據(jù)獲取規(guī)則中報文特征(如五元組)制定的ACL規(guī)則下發(fā)到以太網(wǎng)接口2,而對于其他以太網(wǎng)接口并不下發(fā)該ACL規(guī)則。由此可見,由于IAC告知NFC獲取規(guī)則關聯(lián)的聯(lián)動策略,使得NFC在根據(jù)獲取規(guī)則對報文進行匹配時,針對性更強,只在一個較小范圍內(如入接口為以太網(wǎng)接口2)進行規(guī)則匹配,即可找出滿足所述獲取規(guī)則的報文。
需要說明,聯(lián)動策略中的原始入接口或出接口也可以沒有,沒有入接口,則表示對所有從指定出接口出的報文做匹配;沒有出接口,則表示對所有從指定入接口入的報文做匹配;如果都沒有,則表示對所有流經(jīng)NFC的報文做匹配,即在所有流經(jīng)NFC的報文中查找匹配獲取規(guī)則的報文。
步驟S360NFC在匹配成功獲取規(guī)則的報文中承載其關聯(lián)的聯(lián)動策略對應的關聯(lián)標識,然后按照獲取規(guī)則規(guī)定的獲取動作(如重定向或鏡像)提供給IAC。步驟S320中提過,NFC在解析出IAC設置的策略標識后,為其分配對應的關聯(lián)標識,因此一個策略標識對應于一個關聯(lián)標識;而獲取規(guī)則又關聯(lián)于特定的聯(lián)動策略,因此可以使用關聯(lián)標識描述策略標識,以向IAC表明所述報文流經(jīng)NFC的原始網(wǎng)絡拓撲信息。
步驟S370IAC根據(jù)來自NFC的報文中的關聯(lián)標識,獲知所述報文流經(jīng)NFC的原始網(wǎng)絡拓撲信息。對于IAC而言,在步驟S320中NFC已經(jīng)將策略標識和關聯(lián)標識的對應關系上報給IAC,因此IAC完全可以根據(jù)來自NFC報文中承載的關聯(lián)標識,獲知對應的策略標識;進一步,IAC就可以知道來自NFC的報文匹配的獲取規(guī)則關聯(lián)于哪條聯(lián)動策略;再進一步,即可知道所述報文的原始網(wǎng)絡拓撲信息。
對于IAC而言,能夠獲知來自NFC報文的原始網(wǎng)絡拓撲信息,如流經(jīng)NFC的原始入接口、原始出接口以及原始入接口所屬VLANN、原始出接口所屬VLAN,即相當于可以識別出不同的報文,進而能夠得出有針對性的業(yè)務分析統(tǒng)計。如果不能獲知報文的原始網(wǎng)絡拓撲信息,那么所有來自NFC的報文對于IAC而言是不能加以區(qū)分的,只是知道這些報文都來自NFC,但不知道報文流經(jīng)NFC的原始拓撲信息。
步驟S380IAC對來自NFC的報文進行業(yè)務分析,根據(jù)所述分析結果向NFC發(fā)送包含特定報文處置規(guī)則的聯(lián)動報文,并指明所述處置規(guī)則關聯(lián)的策略標識。IAC下發(fā)給NFC的特定報文處置規(guī)則可以是一條也可以是多條。
如果IAC實現(xiàn)的是IPS業(yè)務或IDS業(yè)務,IAC通常會對來自NFC的報文進行業(yè)務分析,最為常見的分析其中是否存在攻擊報文。當IAC分析出具有某種報文特征的報文是攻擊報文后,就會設置相應的特定報文處置規(guī)則,所述特定報文處置規(guī)則通常包括特定報文特征和希望NFC執(zhí)行的對應處置動作。例如,當所述處置規(guī)則中特定報文特征描述的是攻擊報文特征,那么對應的處置動作通常是“拒絕”;反之,當處置規(guī)則中特定報文特征描述的是合法報文特征,那么對應的處置動作通常是“允許”;此外,所述處置動作還可以是“限速”。需要說明,所述處置動作包括但不限于“拒絕”、“允許”,及“限速”。此外,IAC也可以對已經(jīng)分析識別出的攻擊報文直接刪除。
前述提過IAC可以根據(jù)報文中的關聯(lián)標識,獲知所述報文的原始網(wǎng)絡拓撲信息。此時,結合本步驟的業(yè)務分析,IAC就可以得出非常細化的分析結果,例如,分析發(fā)現(xiàn)許多攻擊報文都對應于同一條聯(lián)動策略,如果該條聯(lián)動策略描述的原始入接口為以太網(wǎng)接口3,那么IAC就可以得出從NFC以太網(wǎng)接口3進入的報文存在較大攻擊性,進而有利于網(wǎng)絡管理人員有針對性的解決問題。
此外,由于IAC可以根據(jù)報文中的關聯(lián)標識,知道來自NFC的攻擊報文對應的聯(lián)動策略,因此優(yōu)選的,將據(jù)此攻擊報文設置的特定報文處置規(guī)則仍然和原始聯(lián)動策略相關聯(lián)。例如,IAC對來自NFC的報文進行業(yè)務分析后,發(fā)現(xiàn)具有某一報文特征的報文是攻擊報文,所述報文中的關聯(lián)標識對應于聯(lián)動策略3。于是,IAC就以此攻擊報文的報文特征為基礎設置一條特定報文處置規(guī)則,該特定報文處置規(guī)則中的報文特征是上述攻擊報文的報文特征,“拒絕”作為對應的處置動作。進一步,將所述特定報文獲取規(guī)則和聯(lián)動策略3相關聯(lián),即在向NFC發(fā)送的包含特定報文處置規(guī)則的聯(lián)動報文中,指出所述處置規(guī)則對應的聯(lián)動策略3的策略標識,所示聯(lián)動策略3的策略標識,用以向NFC表明所述特定報文處置規(guī)則的具體應用對象。
步驟S390NFC從來自IAC的聯(lián)動報文中解析特定報文處置規(guī)則及其關聯(lián)的策略標識,并據(jù)此對流經(jīng)報文進行處理。NFC根據(jù)策略標識即可知道所述特定報文處置規(guī)則關聯(lián)的聯(lián)動策略,以及策略中描述的網(wǎng)絡拓撲信息。
與前述NFC處理獲取規(guī)則的步驟類似,NFC并無需對所有流經(jīng)報文應用所述特定報文處置規(guī)則處理,而是只需對滿足聯(lián)動策略描述的網(wǎng)絡拓撲信息的報文應用上述處理規(guī)則。具體而言,NFC在滿足上述網(wǎng)絡拓撲信息的報文中進行特定報文處置規(guī)則匹配,從中找到匹配成功的數(shù)流流,然后根據(jù)特定報文處置規(guī)則規(guī)定的處置動作予以處理,如“拒絕”、“允許”及“限速”等。
由此可見,采用將特定報文處置規(guī)則與聯(lián)動策略相關聯(lián)的技術,使得NFC查找匹配特定報文處置規(guī)則報文的對象范圍大大縮小,例如可能只針對從某個以太網(wǎng)接口進入的報文進行查找,或者只是針對原始出接口為某個以太網(wǎng)接口的報文進行查找,具體可以參考前述NFC對獲取規(guī)則的相關處理。
步驟S410IAC將來自NFC的全部或部分報文返回至NFC,被返報文中保留關聯(lián)標識,所述關聯(lián)標識用于NFC還原報文原始網(wǎng)絡拓撲信息。
步驟S420NFC接收被IAC返回的報文(即回流報文),并根據(jù)所述報文中的關聯(lián)標識還原報文原始網(wǎng)絡拓撲信息。NFC按照所述報文的原始網(wǎng)絡拓撲信息,將所述回流報文沿著原始路徑流動。
在某些模式下,如IAC工作于重定向模式時,IAC需要將來自NFC的報文全部或部分返回至NFC,使得這些報文在NFC中能夠繼續(xù)沿著原始路徑流動。本領域技術人員知道,如果要使得回流至NFC的報文能夠沿著原始路徑流動,至少需要知道報文的原始出接口,由于原始出接口是與報文自身特征無關的信息(即屬于網(wǎng)絡拓撲信息),因此NFC無法從回流報文中直接得到。
但是,NFC可以根據(jù)回流報文中承載的關聯(lián)標識找到對應的策略標識,即聯(lián)動策略。聯(lián)動策略描述的內容就是所述報文的原始網(wǎng)絡拓撲信息,于是,NFC就可以還原出回流報文的原始網(wǎng)絡拓撲信息,進而根據(jù)所述原始網(wǎng)絡拓撲信息就能將回流報文沿著原始路徑(如重定向之前的路徑)流動(如轉發(fā))。
以上通過一個優(yōu)選實施例較為詳盡的介紹了本發(fā)明聯(lián)動的技術方案。由于以上實施例僅是本發(fā)明的優(yōu)選實施例,其中許多步驟還有替代技術方案。此外,就本發(fā)明解決的最基本問題而言,上述優(yōu)選實施例中的某些步驟在一定環(huán)境下也可以省略。下面針對其中的重要幾點進行說明(1)在一些簡單的應用環(huán)境中,IAC向NFC發(fā)送的聯(lián)動策略和獲取規(guī)則或特定報文處置規(guī)則可以合一,即一并通過聯(lián)動報文下發(fā)至NFC,這樣可以減少通訊次數(shù)。以聯(lián)動策略和獲取規(guī)則為例,可以將IAC設置的各條聯(lián)動策略以及每條聯(lián)動策略關聯(lián)的各條獲取規(guī)則,一并下發(fā)給NFC。獲取規(guī)則和特定報文處置規(guī)則可以看作都屬于聯(lián)動規(guī)則,也可以混合下發(fā)。只要告知NFC聯(lián)動策略和聯(lián)動規(guī)則的關聯(lián)關系,即可以縮小NFC查找匹配聯(lián)動規(guī)則報文的報文范圍,從而提高NFC匹配聯(lián)動規(guī)則的效率。
(2)獲取規(guī)則包含的內容既可以如上述優(yōu)選實施例中所述包括報文特征和獲取動作,也可以包括非報文特征和獲取動作。例如,獲取規(guī)則包括的報文特征是原始入接口為以太網(wǎng)接口2、原始出接口為以太網(wǎng)接口3,于是NFC就會將原始入接口為以太網(wǎng)接口2,原始出接口為以太網(wǎng)接口3的報文提供給IAC。此外,無論獲取規(guī)則描述的報文特征是報文特征還是非報文特征,即使沒有后續(xù)聯(lián)動策略的相關技術特征,也只需在IAC上單獨設置即可實現(xiàn)IAC和NFC的最基本聯(lián)動,解決了現(xiàn)有需要在IAC和NFC分別進行協(xié)同配置導致操作不變的技術問題。兩個獨立系統(tǒng)之間最基本的聯(lián)動是指,一個獨立系統(tǒng)(客戶端)從另外一個獨立系統(tǒng)獲取其想要的報文,或者說一個獨立系統(tǒng)(服務器端)在另一個獨立系統(tǒng)的指示下,將所述另一個獨立系統(tǒng)想要的報文提供給它。
(3)優(yōu)選實施例中NFC為IAC設置的策略標識分配對應一一對應的關聯(lián)標識,并將兩者之間的對應關系上報給IAC,進而在匹配獲取規(guī)則的報文中承載關聯(lián)標識,來向IAC表明所述報文匹配規(guī)則對應的聯(lián)動策略。在實際應用中,NFC也可以不執(zhí)行關聯(lián)標識的相關動作,而是在匹配獲取規(guī)則的報文中直接承載策略標識??偠灾灰狽FC在匹配獲取規(guī)則的報文中指明了其匹配獲取規(guī)則關聯(lián)的聯(lián)動策略,如在報文中包含策略標識的描述內容(策略標識或其對應的關聯(lián)標識或其他均可),IAC就可以識別出不同報文,獲知所述報文流經(jīng)NFC的原始網(wǎng)絡拓撲信息,同理,NFC也可以據(jù)此還原出回流報文的原始網(wǎng)絡拓撲信息。無論是在報文中直接承載IAC設置的策略標識,還是在報文中承載NFC分配的關聯(lián)標識,具體的承載方式多種多樣,可以在報文現(xiàn)有格式中添加一個專門字段,也可以利用現(xiàn)有報文格式中的已有字段,比如VLAN標簽字段。
舉個例子,某條聯(lián)動策略的策略標識是10,NFC根據(jù)其自身目前的資源利用情況分配策略標識10對應的關聯(lián)標識是VLAN20。通常而言,NFC會將其目前并沒有使用的信息作為關聯(lián)標識,比如NFC發(fā)現(xiàn)VLAN標簽15-25沒有被使用,那么就會將VLAN標簽15-25作為關聯(lián)標識,以代表相應的策略標識。于是NFC在報文中VLAN標簽字段承載所述關聯(lián)標識20。當IAC接收到VLAN標簽字段為20的報文時,就知道該報文對應的策略標識是10。
(4)IAC并不是在所有情況下都將NFC提供來的報文返回,例如當IAC工作于鏡像模式下,即NFC采用鏡像方式向IAC提供報文,通常IAC不會再將鏡像過來的報文返回至NFC。此外,IAC在通過重定向方式從NFC獲取報文后,經(jīng)過分析刪除非法數(shù)據(jù)報文,然后將合法報文返回至NFC,由此回流至NFC的報文基本都是合法報文。如此反復處理,IAC相當于已經(jīng)過慮掉了非法數(shù)據(jù),其就無需再向NFC下發(fā)特定報文處置規(guī)則。當然,IAC也可以把已經(jīng)識別出的非法數(shù)據(jù)過濾工作交給NFC完成,即IAC將特定報文處置規(guī)則下發(fā)給NFC,有NFC完成非法數(shù)據(jù)的過濾。
(5)IAC向NFC下發(fā)獲取規(guī)則的步驟,與NFC向IAC匯報策略標識和關聯(lián)標識對應關系的步驟并無必然的先后順序。IAC對來自NFC的報文業(yè)務分析步驟,與IAC根據(jù)報文中的關聯(lián)標識獲知其原始網(wǎng)絡拓撲信息步驟,也沒有必然的先后順序。
此外,對于NFC和IAC之間的具體通信協(xié)議,既可以借鑒現(xiàn)有SNMP協(xié)議(MIB),也完全可以采用自己定義的一套私有通信協(xié)議。以SNMP協(xié)議為例,現(xiàn)有SNMP定義了5種報文(1)get-request操作從代理進程處提取一個或多個參數(shù)值。(2)get-next-request操作從代理進程處提取一個或多個參數(shù)值的下一個參數(shù)值。(3)set-request操作設置代理進程的一個或多個參數(shù)值。(4)get-response操作返回的一個或多個參數(shù)值。這個操作是由代理進程發(fā)出的,是3)中操作的響應操作。(5)trap操作代理進程主動發(fā)出的報文,通知管理進程有某些事情發(fā)生。結合本發(fā)明技術方案,IAC向NFC設置聯(lián)動策略以及聯(lián)動規(guī)則的步驟可以采用set-request報文;IAC向NFC獲取關聯(lián)標識的步驟,可以采用get-request操作,相應的,NFC給IAC返回策略標識和關聯(lián)標識對應關系的步驟可以采用get-response操作等等。MIB作為管理信息庫,其NFC所有可被查詢和修改的參數(shù)。應該意識到,IAC和NFC進行信息交互時采用的通信協(xié)議并不是本發(fā)明關心的實質內容,適用于本發(fā)明技術方案的通信協(xié)議有多種,此處僅以SNMP為例進行了簡要說明。
另外需要說明的是,在重定向或鏡像模式下,IAC也可以進行主、從備份,從而提高通信的安全性和可靠性。一旦互為備份IAC發(fā)生主從切換,對于新當選的主IAC而言,更新原主IAC已下發(fā)至NFC聯(lián)動策略中的變向目的接口為自己與NFC的交互接口,進而使得NFC可以將報文提供給新主IAC,由新主IAC為其提供后續(xù)服務,保證了IAC與NFC之間的聯(lián)動不會受到IAC主從切換的影響,達到了較好的備份效果。本發(fā)明也可以使得互為備份IAC在基于聯(lián)動策略組進行負載分擔的情況下仍然能夠順利進行主、從切換。
四、穿透(Pass-Through)模式所述穿透模式為IAC通過穿透通道完成NFC報文的轉發(fā)。在這種模式下,IAC沒有配置IP地址,并且IAC一定有外在的以太網(wǎng)口,數(shù)據(jù)從這個以太網(wǎng)口流入,穿過IAC,經(jīng)過ILC的以太網(wǎng)口到達NFC,或者反方向。在NFC看來,外部數(shù)據(jù)像是直接到達了ILC的以太網(wǎng)口,IAC似乎根本不存在一樣。當然,流量通過的時候,IAC還是會做相關的記錄分析,必要的時候,IAC還會報文會做一定的修改以完成相關的功能。在這種模式下,數(shù)據(jù)也是通過ILC的以太網(wǎng)口轉發(fā)的,將此通道稱為穿透通道。穿透通道對地NFC而言,和普通的以太網(wǎng)接口上的處理方式?jīng)]有什么區(qū)別,在邏輯上也不需要特殊處理,而對于IAC而言,穿透通道表現(xiàn)為一個二層的以太網(wǎng)口,而轉發(fā)通道表現(xiàn)為三層的以太網(wǎng)口。
以下介紹IAC和NFC如何實現(xiàn)穿透模式。
(一)啟動階段該階段于上述公開的啟動階段類似,在此就不再贅述。
(二)配置階段在這個階段,網(wǎng)絡管理員可以分別對NFC和IAC進行配置或通過NFC配置IAC的方式進行NFC和IAC的配置。所述配置包括對NFC與IAC連接的NFC側的接口信息(如第一以太網(wǎng)接口的MAC地址等)、NFC與IAC連接的IAC側的接口信息(如第二以太網(wǎng)接口的MAC地址)、NFC的IP地址。即包括NFC和IAC上分別配置與部件連接的對端側的接口信息。另外,NFC與IAC上還需要配置當前采用的工作模式。
(三)配合工作階段當上述配置階段完畢后,其配置信息已在NFC和IAC上生效。
IAC對每一流經(jīng)本部件的報文,進行判斷報文的目的IP地址是否和NFC的IP地址相同,若是,則將所述報文提供至NFC。若不是,則按預先的配置將報文丟棄或進行其他處理。
通常,在NFC上會設定上述4種模式,在IAC上設定其中之一或其中幾種組合。當NFC和IAC進行通信之初,可以從約定的工作模式中選擇其中之一或幾種組合來進行兩者之間的通信。所述約定的工作模式是指NFC和IAC同時支持的工作模式。當然,在NFC上也可以設定4種模式中的一種或幾種,在IAC上也設置其中之一或其中幾種組合,當NFC和IAC進行通信時,可以從雙方共同支持的工作模式中選擇其中之一或其中幾種的組合進行雙方的通信。并且,在雙方的通信過程中,可以修改其雙方通信的工作模式,即從共同支持的工作模式中選擇另外的一種或其它組合來進行雙方的通信。
轉發(fā)通道、鏡像通道、穿透通道和重定向通道都是邏輯通道。它們是按照工作方式來劃分的,事實上,它們在物理上表現(xiàn)為獨立的以太網(wǎng)接口,也可以是復用的以太網(wǎng)接口。
以下就具體介紹建立網(wǎng)絡轉發(fā)部件NFC和各個獨立業(yè)務部件IAC之間的通信,它包括一、啟動階段OAA設備啟動后,NFC和IAC各自加電啟動。NFC和IAC的啟動過程和現(xiàn)有技術類似。比如,NFC為路由器時,一般地,它啟動時,首先運行內存的ROM(只讀存儲器)中的程序,隨后進行系統(tǒng)自檢及引導,然后運行FLASH(閃存)中的IOS,并在NVRAM中尋找路由器配置,并裝入DRAM中。IAC加電啟動通常是運行ROM中的程序,并進行系統(tǒng)自檢及引導等。
通常,生產(chǎn)廠家在生產(chǎn)NFC和IAC時預先設定其支持的工作模式。
啟動后,IAC會主動向NFC注冊,說明本IAC一些屬性信息,比如IAC的軟件版本信息,本IAC的ID等。NFC收到注冊信息后,記錄該些信息,通過該些信息可以區(qū)別不同的IAC。并且,NFC響應該注冊信息,在返回的響應注冊信息中返回本NFC所支持的工作模式。比如,NFC在返回的響應注冊信息中指明NFC支持4種工作模式。
二、配置聯(lián)動階段在這個階段,網(wǎng)絡管理員可以分別對NFC和IAC進行配置。即,網(wǎng)絡管理員通過上述公開的IAC的外在接口直接對IAC進行配置,通過上述的NFC的用戶控制接口直接對IAC進行配置。所述配置包括對NFC與IAC連接的NFC側的接口信息(如第一以太網(wǎng)接口的MAC地址等)、NFC與IAC連接的IAC側的接口信息(如第二以太網(wǎng)接口的MAC地址)、IAC的IP地址。NFC與IAC分別在本端保存該些配置信息。比如,NFC上可以設置一接口信息表。所述接口信息表中保存IAC標識、NFC與IAC連接的IAC側的接口信息、NFC與IAC連接的NFC側的接口信息、IAC的IP地址的對應關系。
本發(fā)明還可以使用上述公開了的通過NFC對IAC進行配置的方法來完成上述信息的配置。
并且,若本發(fā)明支持重定向和鏡像模式,還需要通過上述公開的聯(lián)動方式在NFC上設置重定向條件和鏡像條件。當然,重定向條件和鏡像條件也可以是網(wǎng)絡管理員分別配置到NFC和IAC之上。
三、NFC和IAC配合工作階段NFC和IAC上的配置都已生效,雙方按照預先設定的方式來配合工作。當前工作模式為主機模式,NFC從流經(jīng)本部件的報文中找到目的IP地址是和IAC的IP地址相同的報文,提供至指定的IAC,當前工作模式為鏡像模式或重定向模式工作模式時,NFC從流經(jīng)本部件的報文中找到匹配所述獲取規(guī)則成功的報文提供到指定的IAC,以及當前工作模式為穿透模式時,IAC從流經(jīng)本部件的報文中找到目的IP地址是和IAC的IP地址相同的報文,提供至NFC。
第二階段和第三階段可以反復進行,也可以混合在一起工作。比如,NFC與三個IAC連接,NFC和第一個IAC工作在主機模式,和第二個IAC工作在重定向模式,和第三個IAC工作在鏡像模式。當NFC和第二個IAC之間需要增設聯(lián)動策略和獲取規(guī)則時,通過第二階段的聯(lián)動配置過程在第二個IAC和NFC上設置對應獲取規(guī)則及關聯(lián)的聯(lián)動策略,配置完畢后,NFC對流經(jīng)本部件的報文進行匹配,匹配成功的報文進行重定向操作。再比如,第二個IAC通過聯(lián)動向NFC下發(fā)鏡像條件以及指明當前的工作模式為鏡像模式,NFC與第二IAC就可工作在鏡像模式。
通過上述的流程可知,NFC和與之相連的各個IAC的通信過程都是獨立的。NFC與每個IAC的第二階段的配置、第三階段的配合工作都是可以反復進行的。
基于上述公開的NFC與IAC之間配合工作過程,以下還舉一個配合工作過程的實施例。
例如,一塊IPS業(yè)務板,需要對特定的數(shù)據(jù)報文做過濾,IAC與NFC之間的配合模式描述如下l、NFC與IAC各自啟動,NFC所述啟動包括運行內存的ROM(只讀存儲器)中的程序,隨后進行系統(tǒng)自檢及引導,然后運行FLASH(閃存)中的IOS,并在NVRAM中尋找路由器配置,并裝入DRAM中。IAC加電啟動通常是運行ROM中的程序,并進行系統(tǒng)自檢及引導等。
2、IAC向NFC注冊,說明本IAC的基本情況,如IAC采用的軟件版本、IAC的ID等。
3、NFC收到注冊后,保存該些信息。NFC向IAC回應響應,說明NFC支持4種工作模式,并告知IAC連接接口ILC在NFC這一側的接口名以及對應的板號或槽號。
4、IAC通過配置或通過其它方式獲知IAC的IP地址。另外,NFC通過聯(lián)動或通過配置獲得IAC的IP地址,以及IAC與NFC連接的在IAC側的接口名及對應的板號或槽號。
5、IAC根據(jù)網(wǎng)絡管理員的配置,通過聯(lián)動MIB向NFC下發(fā)重定向條件,所述規(guī)則中包括需要滿足哪些特定要求的報文重定向至該IAC;6、NFC通過接收到的重定向條件,記錄所述重定向條件;7、當有滿足對應重定向條件的報文被NFC接收后,就會被重定向至IAC;
8、IAC對這些報文進行過濾,過濾的條件預先配置好的,通過過濾條件的報文進行過濾,未通過過濾條件的報文原封不動返回;9、NFC收到返回的數(shù)據(jù)報文后,繼續(xù)完成原先的轉發(fā)動作。
通過本發(fā)明,可以完成NFC與IAC靈活地集成在一起,為用戶提供各種增值服務。
以上公開的僅為本發(fā)明的幾個具體實施例,但本發(fā)明并非局限于此,任何本領域的技術人員能思之的變化,都應落在本發(fā)明的保護范圍內。
權利要求
1.建立第一部件和第二部件通信的方法,其特征在于,所述第一部件為網(wǎng)絡轉發(fā)部件NFC,第二部件為各個獨立業(yè)務部件IAC,所述方法包括(1)在NFC和IAC分別設定主機模式、鏡像模式、重定向模式和穿透模式的一種或幾種所述主機模式為NFC通過轉發(fā)通道進行IAC報文的轉發(fā),所述鏡像模式為NFC通過鏡像通道將滿足鏡像條件的報文復制給IAC,同時繼續(xù)完成所述報文的轉發(fā),所述重定向模式為NFC將滿足重定向條件的報文通過重定向通道重定向至IAC,當NFC接收到返回的所述報文后繼續(xù)完成轉發(fā),所述穿透模式為IAC通過穿透通道完成NFC報文的轉發(fā);(2)NFC和每個IAC通信時,從兩者共同支持的工作模式中選擇其中之一或幾種組合來進行通信。
2.如權利要求1所述的方法,其特征在于,步驟(2)包括在NFC和IAC上進行配置,所述配置包括NFC和IAC分別獲知與本部件連接的對端側的接口信息和當前的工作模式。
3.如權利要求2所述的方法,其特征在于,在NFC與IAC上配置信息還包括IAC向NFC下發(fā)包含獲取規(guī)則的聯(lián)動報文,所述獲取規(guī)則為重定向條件或鏡像條件;NFC保存所述聯(lián)動報文中的獲取規(guī)則。
4.如權利要求3所述的方法,其特征在于,步驟(2)還包括IAC對來自NFC的匹配所述獲取規(guī)則成功的報文進行業(yè)務處理;當NFC接收來自IAC的聯(lián)動報文時,從中解析出特定報文的處理規(guī)則及其所滿足的網(wǎng)絡拓撲信息;NFC對滿足上述特定處理規(guī)則關聯(lián)的網(wǎng)絡拓撲信息的報文,應用所述處理規(guī)則。
5.如權利要求2所述的方法,其特征在于,在NFC與IAC上配置信息還包括在NFC和IAC上為內部控制接口建立內部控制通道;在從外部接口報文線路Line接收到進行IAC配置的指令后,將外部接口Line的輸入從內部控制通道輸出至IAC,將該內部控制通道的輸入從外部接口Line輸出按照IAC內部控制通道的輸入進行IAC的配置,并將配置結果自IAC內部控制通道輸出至NFC進行相應配置。
6.如權利要求1所述的方法,其特征在于,還包括在NFC與每個IAC通信之前,NFC與IAC之間建立供電通道,NFC通過供電通道向IAC提供電源。
7.如權利要求1所述的方法,其特征在于,還包括所述轉發(fā)通道、鏡像通道、重定向通道、穿透通道是邏輯通道,通過以太網(wǎng)接口來實現(xiàn)所述些邏輯通道。
8.一種開放應用架構OAA,其特征在于,所述開放應用架構包括網(wǎng)絡轉發(fā)部件NFC、獨立業(yè)務部件IAC以及NFC和IAC之間建立聯(lián)系的接口連接部件ILC,其中NFC為路由器或交換機的主體部分,用于在其上設定主機模式、鏡像模式、重定向模式和穿透模式的一種或幾種;IAC為用來提供業(yè)務服務功能的業(yè)務部件,用來在其上設定主機模式、鏡像模式、重定向模式和穿透模式的一種或幾種;ILC包括NFC與IAC連接的數(shù)據(jù)通信通道。
9.如權利要求8所述的OAA,其特征在于,ILC還包括與IAC連接的設置在NFC上的第一控制接口和與NFC連接的設置在IAC上的第二控制接口,所述第一控制接口和第二控制接口在物理上表現(xiàn)為串行接口、模擬出串行接口的以太網(wǎng)接口。
10.如權利要求9所述的OAA,其特征在于,所述NFC包括機框和單板、或表現(xiàn)為能插卡的集中式交換設備,所述IAC為一單板或扣卡。
11.如權利要求8所述的OAA,其特征在于,ILC還包括在NFC和IAC上設置的兩者之間建立供電通道的供電接口。
全文摘要
一種建立第一部件和第二部件通信的方法,用于建立網(wǎng)絡轉發(fā)部件NFC和各個獨立業(yè)務部件IAC之間的通信,包括在NFC和IAC分別設定主機模式、鏡像模式、重定向模式和穿透模式的一種或幾種在通信過程中,從NFC和IAC上共同支持的工作模式中選擇或重新選擇其中之一或幾種組合來進行兩者之間通信。
文檔編號G06F9/46GK1980135SQ200610138619
公開日2007年6月13日 申請日期2006年11月8日 優(yōu)先權日2006年11月8日
發(fā)明者王颶, 周順林, 陳國華 申請人:杭州華為三康技術有限公司