WO2018082592A1

WO2018082592A1 - 一种报文处理方法以及网络设备

Info

Publication number: WO2018082592A1
Application number: PCT/CN2017/109038
Authority: WO
Inventors: 郑合文; 韩磊; 冯海东
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2016-11-02
Filing date: 2017-11-02
Publication date: 2018-05-11
Anticipated expiration: 2019-05-02
Also published as: US12101254B2; EP3531635B1; CN108011824A; US10931580B2; EP3531635A4; CN108011824B; EP3531635A1; US20190260677A1; CN113938426A; US20210144092A1

Abstract

本发明实施例公开了一种报文处理方法以及网络设备。可以有效地解决导致网络设备中，由于报文转发芯片自身硬件资源的稀缺，而导致对报文处理策略的并行数目有限的问题。本发明实施例方法部分包括：第一网络设备获取标识信息；当所述第一网络设备接收到报文时，对所述报文进行处理，处理后的所述报文包含所述标识信息，其中，对应不同预置策略信息的所述报文所包含的所述标识信息不相同；所述第一网络设备发送经过所述处理后的所述报文至第二网络设备，以使第二网络设备根据所述标识信息对经过所述处理后的所述报文匹配对应的策略。

Description

一种报文处理方法以及网络设备

本申请要求于2016年11月2日提交中国专利局、申请号为201610945556.7、申请名称为“一种报文处理方法以及网络设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络通信领域，尤其涉及到一种报文处理方法以及网络设备。

背景技术

访问控制列表(英文全称：Access Control Lists，缩写：ACL)是应用在路由器端口的指令列表，这些指令列表配置的策略用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。其中，访问控制列表所配置的策略功能的实现本质上是依赖网络设备的报文转发芯片实现的，其中，网络设备可以是指路由器，交换机等网络设备，网络设备中的报文转发芯片依据访问控制列表所配置的策略对报文进行接收或拒绝接收处理。

其中，不同协议的报文，例如互联网协议第四版(英文全称：Internet Protocol Version 4，缩写：IPv4)报文、互联网协议第六版(英文全称：Internet Protocol Version 4，缩写：IPv6)报文，数据链路层(L2)报文，多协议标签交换(英文全称：Multi-Protocol Label Switching，缩写：MPLS)报文以及多链路透明互联(英文全称：TRansparent Interconnection of Lots of Links，缩写：TRILL)等报文，具有不同的格式，其中，构成上述报文的字段不完全相同，并且，即使是相同的字段位置，两种报文的比特位所代表的含义也不同，各个字段的含义分别遵循各自的协议规范。

因此，现有技术中，如图1所示，为了适应不同协议的报文，网络设备中的报文转发芯片应用访问控制列表的策略之前，需先识别报文类型，接着根据报文类型进入报文转发芯片不同的关键构建模块(英文全称：Key Construction Block，缩写：KCB)，其中KCB的结构示意图如图2所示，例如，若是IPv4报文，则进入IPv4关键构建模块。其中，每个KCB有64个字段拷贝引擎(Copy Engine)、7个长度为160比特的关键存储单元(Key Buffer)，具体。网络设备中的报文转发芯片再利用KCB提取报文字段，然后组合成Key描述信息用以标识报文，并将组合成的Key描述信息存储至Key Buffer中，这些Key描述信息再与预先配置的策略进行匹配，即与如果匹配上就执行已经配置到该报文的对应策略。由图2所示可以知道，Copy Engine和key buffer是稀缺资源，当网络汇聚节点或者核心节点等对应的网络设备匹配字段提取过多，容易因为资源不足导致策略无法下发到硬件。即由于copy engine和key buffer是稀缺资源，对于同一种类型的报文而言，用于构建Key描述信息的资源过少，即有可能导致同一时间里，用户配置的一些策略无法被有效地执行，即导致网络设备对报文处理策略的并行数目有限。

发明内容

本发明实施例提供了报文处理方法以及网络设备，可以有效地解决导致网络设备中，由于报文转发芯片自身硬件资源的稀缺，而导致对报文处理策略的并行数目有限的问题。

有鉴于此，本发明实施例第一方面提供了一种报文处理方法，在该方法中，第一网络设备获取标识信息；当第一网络设备接收到报文时，对报文进行处理，处理后的报文包含标识信息，其中，处理后的报文中，对应不同预置策略信息的报文，即对应不同ACL策略信息的报文所包含的标识信息并不相同；第一网络设备根据预置转发表发送经过处理后的报文至第二网络设备，以使第二网络设备根据标识信息对经过处理后的报文匹配对应的策略。，其中，第二网络设备和第一网络设备为不同的网络设备，第二网络设备为第一网络设备的下游设备，预置转发表为预先配置在第一网络设备中的转发表，应理解，第一网络设备在转发报文的时候，是根据预置转发表所指示的路由、端口等信息对报文进行转发处理。

由以上方案可以看出，经过第一网络设备的处理后，具有不同预置策略信息的报文具有不同的标识信息，这样可以使得第二网络设备，即第一网络设备的下游设备在进行策略匹配的时候，只需提取匹配标识信息即可，不需要通过报文的多个字段来构建Key描述信息来匹配策略，可以有效地解决导致网络设备中，由于报文转发芯片自身硬件资源的稀缺，而导致对报文处理策略的并行数目有限的问题。

在一种可能的实现中，第一网络设备获取标识信息具体是通过向控制器发送请求消息，该请求消息用于请求对应的标识信息，第一网络设备接收控制器发送的标识信息，其中，该标识信息由控制器根据预置策略信息中的报文描述信息确定，应理解，预置策略信息中包括报文描述信息以及动作信息，报文描述信息即是指就是用以归类报文为某种报文流的特征信息，这些特征信息包括但不限于报文的源物理地址(英文全称：Medium Access Control，缩写：MAC)、目的MAC地址、源IP地址、目的IP地址、IP协议类型、传输层源端口、传输层目的端口等信息，具体由预置策略信息所确定。标识信息与预置策略信息中的报文描述信息相对应，该控制器根据不同的预置策略信息中不同的报文描述信息确定不同的标识信息，即不同的报文描述信息对应不同的标识信息。

由以上方案可见，由第一网络设备主动向控制器索要标识信息，该标识信息直接的来自控制器，由控制器针对不同预置策略信息中，报文描述信息所对应的报文统一分配，增强了方案的可实施性。

在一种可能的实现中，在一种可能的实现中，第一网络设备获取标识信息具体是通过接收由控制器发送的标识信息，其中，该标识信息由控制器根据预置策略信息中的报文描述信息确定，同样，标识信息与预置策略信息中的报文描述信息相对应，该控制器根据不同的预置策略信息中不同的报文描述信息确定不同的标识信息，即不同的报文描述信息对应不同的标识信息。

由以上方案可知，与上一种实现手段相比，在本实现中，不是由第一网路设备主动向控制器索要标识信息，而是由控制器主动向第一网络设备发送该标识信息，标识信息同样直接的来至控制器，由控制器针对不同预置策略信息中，报文描述信息所对应的报文统一分配，增强了方案的可实施性以及多样性。

在一种可能的实现中，第一网络设备获取标识信息具体是指接收控制器发送的标识信息集合，根据标识信息集合确定标识信息，标识信息为标识信息集合中的标识信息。即在本发明实施例中，提供了另一种标识信息的分配方式，即该标识信息间接的来控制器，控制器通过为第一网络设备分配标识信息集合，其中，第一网络设备为管理域网络内的网络设备，这些标识信息集合相互之间的标识信息不重复交叉，第一网络设备自主为流在其所授权的标识信息集合内确定标识信息，为具有不同预置策略配置信息的报文分配标识信息。

在一种可能的实现中，第一网络设备对报文进行处理之前，第一网络设备会确定报文是否携带标识信息，若第一网络设备确定该报文并未携带有标识信息，则第一网络设备根据该标识信息对报文进行处理。

即在本发明实施例中，第一网络设备对报文进行上述处理时，会先确定报文是否已经含有上述标识信息，若有则第一网络设备可以直接根据该标识信息进行策略的匹配，若不是，则根据获取的标识信息对该报文进行处理，使得处理后的报文包含有上述标识信息。由此可见，这样可以使得最终在一个网络管理域内，具有不同预置策略信息的报文包含有不同的标识信息。

在一种可能的实现中，第一网络设备根据标识信息对报文进行处理，具体是通过在该报文的预设字段插入标识信息。即在本发明实施例中，具体给出了一种对报文处理后，报文包含有该标识信息的方法，增强了方案的可实施性。

本发明实施例第二方面提供了一种网络设备，该网络设备具有实现上述方法设计中第一网络设备行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。所述模块可以是软件和/或硬件。

在一种可能的实现中，该网络设备包括获取模、接收模块、处理模块以及发送模块。

其中，获取模块，用于获取标识信息；接收模块，用于接收报文；处理模块，用于当接收模块接收到报文时，对报文进行处理，使得处理后的报文包含获取模块获取的标识信息，其中，对应不同预置策略信息的报文所包含的标识信息不相同；发送模块，用于发送经过处理模块处理后的报文至第二网络设备，以使第二网络设备根据标识信息对经过处理后的报文匹配对应的策略。

在一个可能的实现中，网络设备的结构中包括接收器、处理器和发射器，所述接收器，用于接收上述方法中所涉及的信息数据或指令，所述处理器被配置为支持上述第一网络设备执行上述方法中相应的功能。所述发射器发送上述方法中所涉及的信息或者指令。所述第一网络设备还可以包括存储器，所述存储器用于与处理器耦合，其保存第一网络设备必要的程序指令和数据。

本发明实施例第三方面提供了一种计算机存储介质，该计算机存储介质中存储有程序代码，该程序代码用于指示执行上述第一方面中的方法。

相较于现有技术，从以上技术方案可以看出，本发明实施例中，经过第一网络设备的处理后，具有不同预置策略信息的报文具有不同的标识信息，这样可以使得第二网络设备，即第一网络设备的下游设备在进行策略匹配的时候，只需匹配标识信息即可，不需要根据报文的类型，提取报文的多个字段来构建Key描述信息来匹配策略，可以有效地解决导致网络设备中，由于报文转发芯片自身硬件资源的稀缺，而导致对报文处理策略的并行数目有限的问题。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，还可以根据这些附图获得其他的附图。

图1为现有技术中网络设备对报文进行策略匹配的过程示意图；

图2为网络设备中报文转发芯片内部的构建模块结构示意图；

图3为本发明实施例一种报文处理方法一个系统框架示意图；

图4为本发明实施例一种报文处理方法一个实施例流程示意图；

图5为本发明实施例一种报文处理方法一个插入标识信息示意图；

图6为本发明实施例一种报文处理方法一个应用场景示意图；

图7为IPv4报文头的一个格式示意图；

图8为本发明实施例中IPv4报文头插入标识信息后的一个格式示意图；

图9为本发明实施例中IPv4报文头插入标识信息后的另一格式示意图；

图10为IPv6报文头的一个格式示意图；

图11为本发明实施例中IPv6报文头插入标识信息后的一个格式示意图；

图12为本发明实施例中IPv6报文头插入标识信息后的另一格式示意图；

图13为WXLAN报文头的一个格式示意图；

图14为本发明实施例中WXLAN报文头插入标识信息后的一个格式示意图；

图15为本发明实施例中一种报文处理方法一个应用场景示意图；

图16为本发明实施例中一种报文处理方法另一应用场景示意图；

图17为本发明实施例中一种报文处理方法一种策略配置方式示意图；

图18为本发明实施例一种网络设备一个实施例结构示意图；

图19为本发明实施例一种网络设备另一实施例结构示意图。

具体实施方式

本发明实施例公开了一种报文处理方法以及网络设备。可以有效地解决导致网络设备中，由于报文转发芯片自身硬件资源的稀缺，而导致对报文处理策略的并行数目有限的问题。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员所获得的所有其他实施例，都应当属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

请参阅图3，图3为本发明实施例一个系统框架示意图，在图3所示的图中，包括多个网络设备以及服务器，其中，网络设备是指连接到网络中的物理实体设备。网络设备的种类繁多，具体可以是指，但不局限于计算机(无论其为个人电脑或者服务器)、集线器、交换机、网桥、路由器、网关、等。当服务器#1与服务器#2进行通信的过程中，例如当服务器#1向服务器#2发送报文的时候，需要进过网络设备S1、网络设备S2以及网络设备S3的转发，最终到达服务器#2。这里设网络设备S1为第一网络设备，在本发明实施例中，第一网络设备获取标识信息；当第一网络设备接收到报文时，对报文进行处理，处理后的报文包含标识信息，其中，处理后的报文中，对应不同预置策略信息的报文，即对应不同ACL策略信息的报文所包含的标识信息并不相同；第一网络设备根据预置转发表发送经过处理后的报文至第二网络设备，以使第二网络设备根据标识信息对经过处理后的报文匹配对应的策略。其中，第一网络设备可以是指某个网络管理域内的网络设备，具体如图3所示的系统框架图所对应的网络管理域时，第一网络设备可以是指图3所示的网络设备S1、网络设备S2、网络设备S3，也可以是指服务器#1或者服务器#2，具体此处不做限定，只要使得最后在网络管理域内的报文中，具有不同预置策略信息的报文具有不同的标识信息即可，第二网络设备第一网络设备的下游网络设备，例如图3所示系统架构图中，网络设备S2、网络设备S3以及服务器#2都为网络设备S1的下游设备。为了便于理解，下面将对本发明实施例进行详细的介绍。

请参阅图4，图4为本发明实施例一种报文处理方法一个实施例流程示意图，包括：

101、第一网络设备向控制器发送请求消息。

其中，该请求消息用于向控制器请求标识信息。

102、第一网络设备接收控制器发送的标识信息。

本发明实施例中，当第一网络设备向控制器发送请求消息后，接收控制器发送的标识信息，其中，标识信息由控制器接收到请求消息后，根据预置策略信息中的报文描述信息确定，其中，标识信息为预先配置的信息，可以为一个数字、字符串或者数字与字符串之间的随机组合，或者是其他标识，具体此处不做限定。而预置策略信息是指配置在第一网络设备上的ACL策略信息，应理解，ACL策略信息包括报文流描述信息以及对应的动作信息，其中，报文流描述信息就是用以归类报文的描述信息，这些描述信息可以包括但不限于报文的源物理地址(英文全称：Medium Access Control，缩写：MAC)、目的MAC地址、源IP地址、目的IP地址、IP协议类型、传输层源端口、传输层目的端口等信息，动作信息是指对匹配到该预置策略信息的报文所对应的动作信息，例如丢弃或者接收。具体的预置策略信息由实际策略配置结果确定。另外，标识信息与预置策略信息中的报文描述信息相对应，不同的报文描述信息对应不同的标识信息。

为了便于理解，下面通过具体的网络拓扑图进行介绍：

如图5所示，图5为本发明实施例一种报文处理方法一个应用场景示意图，以第一网络设备为图5中的交换机S1为例进行说明：

其中，其中策略模块可以是指包含有配置在交换机S1上的所有预置策略信息，即所有的ACL策略信息。应理解，每个ACL策略信息中，包含有报文描述信息以及对应的动作信息，举例来说，假设当ACL策略信息是对源IP地址为10.10.10.1，且目的IP地址是20.20.20.2的报文进行permit(允许接收)动作时，源IP地址以及目的IP地址即是ACL策略信息中的报文描述信息，permit动作即是对应的动作信息。

在实际应用中，策略模块可以为配置在交换机S1上的模块或者是独立的硬件实体模块存在，具体此处不做限定，在本发明实施例中，交换机S1与控制器进行通讯，交换机S1向控制器发送请求消息，该请求消息用于向控制器请求标识信息，当控制器接收到上述请求消息后，控制器与策略模块进行通讯，根据策略模块中的预置策略信息中的报文描述信息确定出对应的标识信息，标识信息与预置策略信息中的报文描述信息相对应，即不同的报文描述信息对应不同的标识信息，接着控制器将确定的标识信息发送给交换机S1，以保证在网络管理域范围的网络内，为不同报文描述信息所对应的报文分配有不同的标识信息。

其中，需要说明的是，上述获取标识信息的方法中，是由交换机S1主动向控制器请求标识信息的，除了上述方式外，还可以通过以下方式：

控制器主动下发标识信息，仍以图5为例，当策略模块每被配置一个预置策略信息，控制器就针对该预置策略信息中的报文描述信息分配标识信息，并将标识信息下发到交换机S1，以保证在网络管理域范围的网络内，为具有不同报文描述信息的报文分配有不同的标识信息，即标识信息与该预置策略信息的报文描述信息相对应，不同的报文描述信息对应不同的标识信息。

需要说明的是，控制器是指网络管理域内的控制中心，可以对网络管理域内的网络设备进行管理的控制器。

103、当第一网络设备接收到报文时，确定报文是否符合报文描述信息且未携带标识信息时，若是，则执行步骤104。

在本发明实施例中，当第一网络设备接收到报文时，首先确定接收到的报文是否已经携带有标识信息，确定该报文是否符合报文描述信息，若确定所述报文符合该报文描述信息且未携带标识信息，则执行步骤104。

需要说明的是，当确定接收到的报文不符合报文描述信息，说明策略模块上没有针对该报文有预置策略信息，此时，第一网络设备可以选择按照预置转发表转发该报文。

104、第一网络设备在报文的预设字段插入标识信息。

在本发明实施例中，当第一网络设备确定接收到的报文未携带有标识信息，且确定该报文是否符合报文描述信息，则在该报文的预设字段插入标识信息。

例如，假设控制器为源IP地址为10.10.10.1，且目的IP地址是20.20.20.2的报文分配了“31000”这个标识信息，当第一网络设备接收到源IP地址为10.10.10.1，且目的IP地址是20.20.20.2的报文时，且该报文未携带有“31000”的标识信息时，则第一网络设备在报文的预设字段插入该“31000”标识信息。

其中，需要说明的是，预设字段可以是指该报文协议规范内的字段，也可以是指新增加的字段，具体此处不做限定。

优选地，第一网络设备将标识信息插入到报文的网络层(IP头)和传输层(英文全称：Transmission Control Protocol/User Datagram Protocol，缩写：TCP/UDP)头之间，如图6所示，左边是第一网络设备收到的未插入标识信息报文层次结构，右边是插入了标识信息后的到第一网络设备接收的报文中之后的新报文层次结构。

为了便于理解，下面通过具体的报文例子进行说明：

请参阅图7，应理解，IPv4报文头的格式如图7所示，对于IPv4报文头，互联网协议规范RFC(Request For Comments)791，定义了IPv4报文头中每个字段(field)的位置、长度和含义，比如协议(Protocol)字段为8个比特位、位于IPv4报文头向后偏移71比特的位置作为起始点，就是说从第72比特开始连续的8个比特位为IPv4报文头的Protocol字段，含义就是表明IPv4报文的负载对应的协议类型，即在规范RFC790中规范了IPv4报文头中Protocol字段数值与含义的对应关系，比如控制报文协议(英文全称：Internet Control Message Protocol，缩写：ICMP)对应数值1、TCP协议对应数值6、UDP协议对应数值17。具体关于IPv4报文头中各个字段的含义在此不做一一赘述。

在本发明实施例中，可选地，可以将标识信息可以插入到IPv4报文头的选项(Option)字段中，具体如图8所示。需要说明的是，关于IPv4报文头Option字段的具体规范可以参考RFC791，标识信息的插入与承载遵从RFC791对IPv4报文头Option字段格式的规范，具体此处不做限定，只要使得最终Option字段包含有标识信息即可。

可选地，标识信息的承载可以通过申请新的IPv4协议类型，然后将标识信息承载在新协议类型头中，具体如图9所示，标识信息在新协议类型头所占用的位数为32位，但可以理解的是，标识信息在新协议类型头所占用的位数可以根据实际应用情况进行配置，具体此处不做限定。

以IPv6报文为例，请参阅图10，IPv6报文头的协议格式具体如图10所示。与IPv4报文相类似的，在IPv6报文头中，通过互联网协议规范了各个字段的位置、长度以及含义，比如版本(Version)指明IP协议是哪个版本，IPv6版本对应的数值为0110。具体关于IPv6报文中各个字段的含义在此也不做一一赘述。

可选地，在本发明实施例中，标识信息的承载可以通过申请新的IPv6协议类型，然后将标识信息承载在新协议类型头中，具体如图11所示，其中，需要说明的是，标识信息在新协议类型头所占用的位数可以根据实际应用情况进行配置，具体此处不做限定。

可选地，在本发明实施例中，还可以改写IPv6报文头中的流标签(flow label)作为我们的标识信息，具体如图12所示。

另外，标识信息也可以放在IP隧道头中，比如虚拟可扩展局域网(英文全称：Virtual Extensible LAN，缩写：VXLAN)报文头中，如图13所示，图13为VXLAN报文头格式示意图，其中包括标识位(I)、未使用位(F)、未使用字段(Reserved)以及VXLAN网络标识(VXLAN Network ID)，应理解，其中标识位(I)用于表示VXLAN网络标识有效。在本发明实施例中，标识信息可以承载在VXLAN报文头的未使用字段中，具体如图14所示，在这里，可以通过：VXLAN报文头的第一个比特位置为1来指示第9到第32位携带的是该报文的标识信息，或者通过其他约定的比特位置的特定值来提供这类指示，具体此处不做限定，也不一一赘述。

需要说明的是，以上插入标识信息的过程在这里仅仅是举例进行说明，但并不对本发明实施例构成限定，标识信息可以通过协议规范的方式，约定放置到报文的其他指定位置，或者通过约定规范的方式在其他特定的位置插入特定的字段来承载，具体此处不做限定。

另外需要说明的是，为了便于第一网络设备进行处理，标识信息插入的位置和字段的长度，优选地是相对报文头的固定位置和固定长度，或者至少是在一定的空间范围，即某个预置网络设备管理域内，或者预置时间范围(时间周期)内固定的，具体此处不做限定。

105、第一网络设备发送插入标识信息后的报文，以使得第二网络设备根据标识信息对插入标识信息后的报文匹配对应的策略。

在本发明实施例中，第一网络设备可以根据预置转发表发送插入标识信息后的报文，以使得第二网络设备根据标识信息对插入所述标识信息后的报文匹配对应的策略。

如图15所示，为本发明实施例一种报文处理方法一个应用场景示意图，其中，在图15中，以交换机S1作为第一网络设备，可以理解的是，通过图15所示的流程中，交换机S1的下游设备，即第二网络设备在接收到插入有标识信息的报文时，可以根据标识信息进行策略的匹配。可选地，下游设备也可以在根据实际配置情况擦除由交换机S1插入的标识信息。

这里需要说明的是，在上述描述中，具体关键是需要配置标识信息的获得方法，可以通过可以是直接或间接来自集中的控制器，以保证在管理域范围的网络内，具有不同预置策略信息的报文不会具有相同的标识信息。除了上文提到的两种标识信息的获得方法外，还有其他分配标识信息的方法，例如，由第一网络设备自身分配标识信息，具体第一网络设备通过接收控制器发送的标识信息集合；第一网络设备根据标识信息集合确定标识信息，标识信息为标识信息集合中的标识信息。接着第一网络设备具有不同预置策略信息的报文分配不同的标识信息，标识信息与不同预置策略信息的对应关系告知控制器，以便控制器在第一网络设备的下游设备进行策略的匹配。即在本发明实施例中，除了上述提到的两种获取标识信息的方式，还可以通过控制器给每个交换机分配一段标识信息集合，每个交换机的标识信息集合相互之间不重复交叉，以交换机S1为例，交换机S1可以自主为报文在其所授权的标识信息集合内为确定标识信息。当接收到报文时，交换机S1在报文的预设字段插入标识信息，只要使得标识信息与预置策略信息中的报文描述信息相对应，即不同的报文描述信息对应不同的标识信息即可。

综上所述，在本发明实施例中，有多种分配标识信息的方法，针对每种报文流，即具有每种报文描述信息的报文分配一个网络管理域内全局唯一的标识信息，这样具有不同预置策略信息的报文自然不会具有相同的标识信息；另一种是具有相同动作信息的所对应的报文，中，即使是不同报文描述信息的报文，也可以分配相同的标识信息，只要不同动作信息所对应的报文具有不同的标识信息即可，具体此处不做限定。

需要说明的是，在上述所举的例子，都是以交换机S1为例，但在实际应用中，也可以以服务器#1或服务器#2上作为本发明实施例中的第一网络设备，优选地，通过选网络管理域内的边缘设备，如图16所示，即服务器#1作为第一网络设备。具体可以通过比如通过在服务器#1上额外安装程序或修改主机协议栈代码、或在虚拟交换机(vSwitch)增加功能等来本发明实施例，具体此处不做限定。

本发明实施例中，当第一网络设备在接收的报文的预设字段插入标识信息后，可以根据预置转发表转发插入所述标识信息后的报文。应理解，经过本发实施插标识信息的步骤后，具有不同预置策略信息的报文具有不同的标识信息，这样在第一网络设备后下游的网络设备，即第二网络设备在进行策略处理时，就非常简单了，只需要从报文的指定位置读出标识信息进行匹配就好，如果匹配就执行对应策略，如果不匹配则忽略。

例如，采用了本发明实施例后，假设对应的标识信息是一个数值为31000的标识，那么在后续网络设备上的配置就可以归一化如图17所示的策略，应理解，其中，“ip access-list extended apply_racl”，其中关键词“ip”说明这个是针对IP报文的，关键词“access-list”说明这个是一个访问控制列表策略配置，关键词“extended”说明这个是一个扩展访问控制列表，词语“apply_racl”是用户给这个访问扩展列表，即策略命名的名字，“permit flow id 31000”表示这个“apply_racl”策略许可包含有标识信息为31000的报文进行访问。“interface GigabitEthernet3/1”，是指定下面的配置是应用在网络设备上名称为“GigabitEthernet3/1”的端口上的，“ip address 192.168.1.1255.255.255.0”是用来指定这个端口的IP地址的，就是为这个端口配置一个IP地址。

而“ip access-group apply_racl out”是用来指定应用到这个端口的策略是“apply_racl”。“apply_racl”说明这里应用的策略就是这个系统上配置的访问策略“apply_racl”，可以看到匹配的时候仅需要匹配报文的标识信息31000这一个字段，而不需要提取报文的多个字段组合成key描述信息来匹配，从而彻底解决现有的网络设备中的转发芯片因设计问题导致报文处理策略并行数目有限的问题。

即由以上方案可以看出，经过第一网络设备的处理后，具有不同策略信息的报文具有不同的标识信息，这样当可以使得第二网络设备，即第一网络设备的下游设备在进行策略匹配的时候，只需匹配标识信息即可，不需要通过报文的字段来构建Key描述信息来匹配策略，可以有效地解决导致网络设备中，由于报文转发芯片自身硬件资源的稀缺，而导致对报文处理策略的并行数目有限的问题。

以上对本发明实施例中的一种报文处理方法进行了描述，下面对本发明实施例中的网络设备进行描述：

请参阅图18，图18为本发明实施例一种网络设备一个实施例结构示意图，该网络设备包括获取模块101、接收模块102、处理模块103以及发送模块104。

其中，获取模块101用于获取标识信息；接收模块102用于接收报文；处理模块103用于当接收模块102接收到报文时，对报文进行处理，处理后的报文包含获取模块101获取的标识信息，其中，对应不同预置策略信息的报文所包含的标识信息不相同；发送模块104用于发送经过处理模块103处理后的报文至第二网络设备，以使第二网络设备根据标识信息对经过处理后的报文匹配对应的策略。

在一种可能的实现中，获取模块101包括：发送单元以及接收单元。其中，发送单元用于向控制器发送请求消息；接收单元用于接收控制器发送的标识信息，标识信息由控制器接收到发送单元发送的请求消息后，根据预置策略信息中的报文描述信息确定，标识信息与预置策略信息中的报文描述信息相对应，不同的报文描述信息对应不同的标识信息；

处理模块103具体用于当接收模块102接收到报文时，若报文符合报文描述信息时，则对报文进行处理。

在一种可能的实现中，获取模块101包括接收单元，该接收单元用于接收控制器发送的标识信息，标识信息为控制器根据预置策略信息中的报文描述信息确定，标识信息与预置策略信息中的报文描述信息相对应，不同的报文描述信息对应不同的标识信息；

在一种可能的实现中，接收单元用于接收控制器发送的标识信息集合；获取单元用于从标识信息集合中获取标识信息，标识信息为标识信息集合中的标识信息。

在一种可能的实现中，处理模块103具体用于：若处理模块103确定报文符合报文描述信息且报文未携带标识信息，则根据标识信息对报文进行处理。

在一种可能的实现中，若处理模块103确定报文符合报文描述信息且报文未携带标识信息时，处理模块103具体用于在报文的预设字段插入标识信息。

由以上方案可以看出，经过第一网络设备的处理后，具有不同策略信息的报文具有不同的标识信息，这样当可以使得第二网络设备，即第一网络设备的下游设备在进行策略匹配的时候，只需匹配标识信息即可，不需要通过报文的多个字段来构建Key描述信息来匹配策略，可以有效地解决导致网络设备中，由于报文转发芯片自身硬件资源的稀缺，而导致对报文处理策略的并行数目有限的问题。

这里需要说明的是，结合上述实施例，获取模块101、接收模块102、处理模块103以及发送模块104的功能或者所执行的步骤、或者更多的细节可以参照前述方法实施例中第一网络设备对应的过程，具体此处不再赘述。

上面从模块化功能实体的角度对本发明实施例中的网络设备进行描述，下面从硬件处理的角度对本发明实施例中的网络设备进行描述，

请参阅图19，本申请实施例提供的一种网络设备的结构示意图，该网络设备200包括处理器201、存储器202和通信接口203。其中，处理器201、存储器202和通信接口203之间通过总线204相互连接。

其中，处理器201可以是中央处理器(英文全称：central processing unit，缩写：CPU)，网络处理器(英文全称：network processor，缩写：NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片，具体可以是专用集成电路(英文全称：application-specific integrated circuit，缩写：ASIC)，可编程逻辑器(英文全称：programmable logic device，缩写：PLD)或其组合。另外PLD可以是复杂可编程逻辑器件(英文全称：complex programmable logic device，缩写：CPLD)，现场可编程逻辑门阵列(英文全称：field-programmable gate array，缩写：FPGA)，通用阵列逻辑(英文全称：generic array logic,缩写：GAL)或其任意组合，在本申请中不做任何限定。

存储器202可以包括易失性存储器(英文全称：volatile memory)，例如随机存取存储器(英文全称：random-access memory，缩写：RAM)；存储器也可以包括非易失性存储器(英文全称：non-volatile memory)，例如快闪存储器(英文全称：flash memory)，硬盘(英文全称：hard disk drive，缩写：HDD)或固态硬盘(英文全称：solid-state drive，缩写：SSD)；存储器还可以包括上述种类的存储器的组合。

总线204可以是外设部件互连标准(英文全称：peripheral component interconnect，缩写：PCI)总线或扩展工业标准结构(英文全称：extended industry standard architecture，缩写：EISA)总线等。所述总线还可以分为地址总线、数据总线、控制总线等。为便于表示，图19仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

其中，通信接口203用于发送或者接收上述对应方法实施例中对应网络设备所用到的指令或者数据。

存储器202可以存储程序代码205，还可以存储上述方法实施例中网络设备所用到的数据206，例如数据206可以是指标识信息、标识信息集合以及预置策略配置信息等上述方法实施例中，第一网络设备所涉及到的信息数据。处理器201可以调用该存储器中存储的程序代码205，执行上述方法实施例中对应的步骤，使得最终网络设备可以实现上述方法实施例中第一网络设备的功能。

网络设备200还可以包括电源207。需要说明的是，图17中示出的网络设备结构并不构成对网络设备构成限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置，在此不一一赘述。

本申请实施例中由网络设备所执行的步骤可以基于该图17所示的网络设备的结构示意图，具体可以参考前述方法实施例第一网络设备对应的过程，在此也不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，模块和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的模块果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文全称：Read-Only Memory，缩写：ROM)、随机存取存储器(英文全称：Random Access Memory，缩写：RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

一种报文处理方法，其特征在于，包括：

第一网络设备获取标识信息；

当所述第一网络设备接收到报文时，对所述报文进行处理，处理后的所述报文包含所述标识信息，其中，对应不同预置策略信息的所述报文所包含的所述标识信息不相同；

所述第一网络设备发送经过所述处理后的所述报文至第二网络设备，以使第二网络设备根据所述标识信息对经过所述处理后的所述报文匹配对应的策略。
根据权利要求1所述的方法，其特征在于，所述第一网络设备获取所述标识信息，包括：

所述第一网络设备向控制器发送请求消息；

所述第一网络设备接收所述控制器发送的所述标识信息，所述标识信息由所述控制器接收到所述请求消息后，根据所述预置策略信息中的报文描述信息确定，所述标识信息与所述预置策略信息中的报文描述信息相对应，不同的报文描述信息对应不同的标识信息；

当所述第一网络设备接收到报文时，对所述报文进行处理，包括：

若所述报文符合所述报文描述信息时，则对所述报文进行所述处理。
根据权利要求1所述的方法，其特征在于，所述第一网络设备获取所述标识信息，包括：

所述第一网络设备接收所述控制器发送的所述标识信息，所述标识信息为所述控制器根据所述预置策略信息中的报文描述信息确定，所述标识信息与所述预置策略信息中的报文描述信息相对应，不同的报文描述信息对应不同的标识信息；

当所述第一网络接收到报文时，对所述报文进行处理，包括：

若所述报文符合所述报文描述信息时，则对所述报文进行处理。
根据权利要求1所述的方法，其特征在于，所述第一网络设备获取所述标识信息，包括：

所述第一网络设备接收所述控制器发送的标识信息集合；

所述第一网络设备从所述标识信息集合中获取所述标识信息，所述标识信息为所述标识信息集合中的标识信息。
根据权利要求1至4中任一项所述的方法，其特征在于，若所述报文符合所述报文描述信息时，所述对所述报文进行处理，包括：

若所述报文符合所述报文描述信息且所述报文未携带所述标识信息时，则根据所述标识信息对所述报文进行所述处理。
根据权利要求5中所述的方法，其特征在于，所述根据所述标识信息对所述报文进行处理，包括：

所述第一网络设备在所述报文的预设字段插入所述标识信息。
一种网络设备，其特征在于，包括：

获取模块，用于获取标识信息；

接收模块，用于接收报文；

处理模块，用于当所述接收模块接收到所述报文时，对所述报文进行处理，处理后的所述报文包含所述获取模块获取的所述标识信息，其中，对应不同预置策略信息的所述报文所包含的所述标识信息不相同；

发送模块，用于发送经过所述处理模块处理后的所述报文至第二网络设备，以使第二网络设备根据所述标识信息对经过所述处理后的所述报文匹配对应的策略。
根据权利要求7所述的网络设备，其特征在于，所述获取模块包括：

发送单元，用于向控制器发送请求消息；

接收单元，用于接收所述控制器发送的所述标识信息，所述标识信息由所述控制器接收到所述发送单元发送的所述请求消息后，根据所述预置策略信息中的报文描述信息确定，所述标识信息与所述预置策略信息中的报文描述信息相对应，不同的报文描述信息对应不同的标识信息；

所述处理模块具体用于，当所述接收模块接收到所述报文时，若所述报文符合所述报文描述信息时，则对所述报文进行处理。
根据权利要求7所述的网络设备，其特征在于，所述获取模块包括：

所述接收单元，用于接收所述控制器发送的所述标识信息，所述标识信息为所述控制器根据所述预置策略信息中的报文描述信息确定，所述标识信息与所述预置策略信息中的报文描述信息相对应，不同的报文描述信息对应不同的标识信息；

所述处理模块用于，当所述接收模块接收到所述报文时，若所述报文符合所述报文描述信息时，则对所述报文进行处理。
根据权利要求7所述的网络设备，其特征在于，所述获取模块包括:

所述接收单元，用于接收所述控制器发送的标识信息集合；

获取单元，用于从所述标识信息集合中获取所述标识信息，所述标识信息为所述标识信息集合中的标识信息。
根据权利要求7至10中任一项所述的网络设备，其特征在于，所述处理模块具体用于：

若所述处理模块确定所述报文符合所述报文描述信息且所述报文未携带所述标识信息，则根据所述标识信息对所述报文进行所述处理。
根据权利要求11中所述的网络设备，其特征在于，若所述处理模块确定所述报文符合所述报文描述信息且所述报文未携带所述标识信息时，所述处理模块具体用于：

在所述报文的预设字段插入所述标识信息。