、數(shù)據(jù)根據(jù)不同的顏色標(biāo)記進(jìn)入到不同的待發(fā)送分級(jí)隊(duì)列中,每次進(jìn)入消耗同數(shù) 據(jù)大小的令牌數(shù),進(jìn)入速率由Tokenbucket算法控制;
[0042] 5、按照優(yōu)先級(jí)設(shè)置從待發(fā)送分級(jí)隊(duì)列中選取數(shù)據(jù)包進(jìn)入發(fā)送隊(duì)列,發(fā)送速率由 Leakybucket算法控制。
[0043] 圖2為本發(fā)明基于NAT的網(wǎng)絡(luò)層隧道化的總體流程圖,具體實(shí)現(xiàn)方式如下:
[0044] 1、服N代表高密級(jí)組網(wǎng),LSN代表低密級(jí)組網(wǎng)。
[0045] 2、紅色I(xiàn)P代表服N網(wǎng)段,藍(lán)色I(xiàn)P代表LSN網(wǎng)段;服N和LSN通過服N代理服務(wù)器、 LSN代理服務(wù)器、單向傳輸設(shè)備相連接;黑色I(xiàn)P代表單向傳輸配置網(wǎng)段。
[0046] 3、代理程序主要分為S部分出SN代理程序、LSN代理程序、單向傳輸發(fā)送-接收 API。
[0047] 4、服N代理程序部署在服N代理服務(wù)器上,LSN代理程序部署在LSN代理服務(wù)器 上。
[0048] 5、在此組網(wǎng)模式下,服N用戶可在通用編程模型下訪問LSN服務(wù)器上部署的應(yīng)用 層通信服務(wù),如WinSocket、HTTP、WebService服務(wù)等。
[0049] 圖3為本發(fā)明基于NAT的網(wǎng)絡(luò)層隧道化的服N代理流程圖,具體實(shí)現(xiàn)方式如下;
[0050] 1、線程"T虹ea曲ownwardCap1:ure捕獲網(wǎng)卡A(192. 168. 101. 114)上滿足條件的數(shù) 據(jù)(基于Win化ap的函數(shù)包,過濾條件設(shè)置在網(wǎng)卡層),投入一個(gè)隊(duì)列QA。
[0化1] 2、線程化rea曲ownwar加nidirectionS處理隊(duì)列QA的捕獲數(shù)據(jù),對(duì)每一個(gè)數(shù)據(jù)檢 查目的IP是否為滿足要求的外網(wǎng)IP,按設(shè)定規(guī)則進(jìn)行過濾。調(diào)用單向傳輸發(fā)送API將捕獲 的數(shù)據(jù)包從網(wǎng)卡B(172. 168. 112. 114)進(jìn)行發(fā)送。
[005引 3、線程"T虹ea加pwardRecv調(diào)用單向傳輸接收API從網(wǎng)卡C(172. 168. 113. 114)接 收數(shù)據(jù)包,投入一個(gè)隊(duì)列地。
[0化3] 4、線程化rea加pwardTrans處理隊(duì)列地的數(shù)據(jù),對(duì)數(shù)據(jù)包進(jìn)行判斷后通過網(wǎng)卡 A(172. 168. 101. 114)進(jìn)行轉(zhuǎn)發(fā)。
[0化4]圖4為本發(fā)明基于NAT的網(wǎng)絡(luò)層隧道化的LSN代理流程圖,具體實(shí)現(xiàn)方式如下;
[0055] 1、線程"T虹ea曲ownwardRecv調(diào)用單向傳輸接收API從網(wǎng)卡E(172. 168. 112. 113) 接收數(shù)據(jù)包,投入一個(gè)隊(duì)列QC。
[0056] 2、線程T虹ea曲ownwardTrans處理隊(duì)列QC的捕獲數(shù)據(jù),對(duì)每一個(gè)數(shù)據(jù)檢查目的IP 是否為滿足要求LSNIP。對(duì)源1?-化的進(jìn)行哈希,檢查哈希值是否在tablel中。若不在, 建立化;rtInne;r_Po;r地ash的對(duì)應(yīng)項(xiàng)插入表t油lei中,建立Mac_IP_Port_Map的對(duì)應(yīng)項(xiàng)插 入表t油le2中;若在,查找對(duì)應(yīng)項(xiàng)。將Mac帖數(shù)據(jù)中的源Mac地址、源Ip地址替換為網(wǎng)卡 D(10. 36. 192. 113)的Mac、IP地址,對(duì)數(shù)據(jù)進(jìn)行重組后,再通過網(wǎng)卡D進(jìn)行轉(zhuǎn)發(fā)。
[0化7] T油lei表結(jié)構(gòu)如下;
[0化引
【主權(quán)項(xiàng)】
1. 一種基于單向傳輸設(shè)備的網(wǎng)絡(luò)層隧道化方法,其特征在于,包括以下步驟: 步驟一、對(duì)單向傳輸設(shè)備進(jìn)行第一層封裝:在數(shù)據(jù)發(fā)送的入口點(diǎn),采用Token bucket 算法,選取單桶單速率模型,令每個(gè)令牌可承載IByte數(shù)據(jù);根據(jù)網(wǎng)絡(luò)環(huán)境的參數(shù)要求,初 始化令牌桶深度D、當(dāng)前令牌數(shù)C、令牌入桶速率R,在數(shù)據(jù)發(fā)送的入口點(diǎn)進(jìn)行流量的控制, 在流量突發(fā)允許范圍內(nèi)反饋當(dāng)前數(shù)據(jù)的發(fā)送狀態(tài); 在數(shù)據(jù)發(fā)送的出口點(diǎn),采用Leaky bucket算法,選取高頻時(shí)鐘控制方式,以固定的速率 進(jìn)行發(fā)送,在出口點(diǎn)進(jìn)行流量整形,使數(shù)據(jù)流以平穩(wěn)的速率到達(dá)接收方;在數(shù)據(jù)接收點(diǎn),采 用動(dòng)態(tài)平衡樹鏈表管理,對(duì)接收到的數(shù)據(jù)包進(jìn)行快速整合還原,超時(shí)的數(shù)據(jù)包則按既定策 略進(jìn)行處理; 通過第一層封裝后,實(shí)現(xiàn)了單向傳輸設(shè)備數(shù)據(jù)傳輸?shù)牧髁靠刂婆c整形功能; 步驟二、對(duì)單向傳輸設(shè)備進(jìn)行第二層封裝:選取三色標(biāo)記模型,建立分級(jí)隊(duì)列,數(shù)據(jù) 在發(fā)送時(shí)根據(jù)不同的顏色標(biāo)記進(jìn)入到不同的待發(fā)送分級(jí)隊(duì)列中,進(jìn)入速率由步驟一中的 Token bucket算法控制;按照優(yōu)先級(jí)設(shè)置從待發(fā)送分級(jí)隊(duì)列中進(jìn)行輪詢,選取數(shù)據(jù)包進(jìn)入 發(fā)送隊(duì)列,發(fā)送速率由步驟一中的Leaky bucket算法控制;待發(fā)送隊(duì)列的長(zhǎng)度上限需根據(jù) 實(shí)際情況進(jìn)行調(diào)控,若待發(fā)送隊(duì)列已滿,需要發(fā)送的數(shù)據(jù)按既定策略進(jìn)行處理; 通過第二層封裝后,在保證數(shù)據(jù)單向傳輸穩(wěn)定性的同時(shí),又提供了對(duì)數(shù)據(jù)進(jìn)行分級(jí)管 理、優(yōu)先發(fā)送的功能。 步驟三、對(duì)單向傳輸設(shè)備進(jìn)行第三層封裝:此時(shí)需要上下行兩臺(tái)單向傳輸設(shè)備,底層數(shù) 據(jù)的發(fā)送接收模塊按步驟一、二封裝;通過第三層封裝后,實(shí)現(xiàn)了上下行單向設(shè)備的邏輯整 合,形成了數(shù)據(jù)交互的有效通道。
2. 如權(quán)利要求1所述的一種基于單向傳輸設(shè)備的網(wǎng)絡(luò)層隧道化方法,其特征在于,進(jìn) 一步地,所述步驟三中HSN(HIGH SECURITY NETWORK)代表高密級(jí)組網(wǎng),LSN(L0W SECURITY NETWORK)代表低密級(jí)組網(wǎng),現(xiàn)HSN中用戶A,需通過單向傳輸設(shè)備訪問LSN服務(wù)器B中的數(shù) 據(jù),其交互模式如下: 1. HSN代理程序?qū)崿F(xiàn)對(duì)HSN用戶A數(shù)據(jù)請(qǐng)求的捕獲; 2) 判斷數(shù)據(jù)請(qǐng)求是否是需要轉(zhuǎn)發(fā),按一定安全規(guī)則對(duì)數(shù)據(jù)進(jìn)行分離刪選; 3) 通過單向傳輸設(shè)備發(fā)送符合條件的數(shù)據(jù); 4. LSN代理程序接收單向傳輸設(shè)備發(fā)送過來的數(shù)據(jù); 5. LSN代理程序檢查數(shù)據(jù)是否符合轉(zhuǎn)發(fā)條件; 6) 對(duì)數(shù)據(jù)進(jìn)行重組,根據(jù)數(shù)據(jù)信息建立映射表; 7) 將符合條件的數(shù)據(jù)轉(zhuǎn)發(fā)到LSN服務(wù)器B ; 8. LSN代理程序?qū)崿F(xiàn)對(duì)LSN服務(wù)器B返回?cái)?shù)據(jù)的捕獲; 9) 根據(jù)映射表,將捕獲的符合條件數(shù)據(jù)進(jìn)行重組; 10) 通過單向傳輸設(shè)備將數(shù)據(jù)發(fā)送到HSN ; IDHSN代理程序接收單向傳輸設(shè)備發(fā)送過來的數(shù)據(jù); 12. HSN代理程序?qū)⒎祷財(cái)?shù)據(jù)發(fā)送給HSN用戶A。
3. 如權(quán)利要求1或2所述的一種基于單向傳輸設(shè)備的網(wǎng)絡(luò)層隧道化方法,其特征在于, 進(jìn)一步地,所述的三色標(biāo)記模型綠黃紅三色對(duì)應(yīng)below normal\normal\above normal類型 數(shù)據(jù)。
【專利摘要】本發(fā)明提供一種基于單向傳輸設(shè)備的網(wǎng)絡(luò)層隧道化方法,實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)牧髁靠刂婆c整形,以及對(duì)數(shù)據(jù)進(jìn)行分級(jí)管理。本發(fā)明通過對(duì)單向傳輸設(shè)備進(jìn)行第一層封裝,實(shí)現(xiàn)了數(shù)據(jù)單向發(fā)送的流量控制與整形。第二層在第一層的基礎(chǔ)上,對(duì)數(shù)據(jù)進(jìn)行分級(jí)管理,保證了重要數(shù)據(jù)的優(yōu)先發(fā)送。第三層基于組網(wǎng)層次進(jìn)行封裝,在數(shù)據(jù)安全有效傳輸?shù)幕A(chǔ)上,對(duì)上下行單向設(shè)備的進(jìn)行邏輯整合,達(dá)到了組網(wǎng)聯(lián)動(dòng)和支持大部分應(yīng)用層通信協(xié)議的目的。
【IPC分類】H04L12-815, H04L12-803
【公開號(hào)】CN104836745
【申請(qǐng)?zhí)枴緾N201510231058
【發(fā)明人】張恪, 俞波, 邱慶, 李宏偉, 張巨, 邱杰嵩, 袁佳, 李斗, 程博, 張磊, 隗松
【申請(qǐng)人】中國(guó)人民解放軍61600部隊(duì)
【公開日】2015年8月12日
【申請(qǐng)日】2015年5月8日