用于優(yōu)化深度包檢測的方法����、用戶側板卡和寬帶接入網關的制作方法
【專利摘要】本發(fā)明公開一種用于優(yōu)化深度包檢測的方法、用戶側板卡和寬帶接入網關�����。其中在用于優(yōu)化深度包檢測的方法中����,接收網絡側板卡轉發(fā)的第一數(shù)據����,判斷所述第一數(shù)據是否匹配已有的流表策略�,若判斷所述第一數(shù)據不匹配已有的流表策略,則將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡�,以便深度包檢測板卡利用所述第一個報文生成深度包檢測流表策略。接收深度包檢測板卡發(fā)送的深度包檢測流表策略����,利用深度包檢測流表策略對所述第一數(shù)據進行處理并進行轉發(fā)。由于深度包檢測板卡僅用于生成與數(shù)據相關的流表策略����,并不進行策略執(zhí)行,也不進行流量數(shù)據轉發(fā)�,因此減輕了深度包檢測板卡的處理負擔,解決了因深度包檢測板卡處理能力不足而導致的瓶頸問題��。
【專利說明】用于優(yōu)化深度包檢測的方法�����、用戶側板卡和寬帶接入網關
【技術領域】
[0001]本發(fā)明涉及通信領域,特別涉及一種用于優(yōu)化深度包檢測的方法�、用戶側板卡和寬帶接入網關。
【背景技術】
[0002]DPICDeep Packet Inspection,深度包檢測)技術是一種基于應用層的流量檢測與控制技術����,可深入讀取IP (Internet Protocol,互聯(lián)網協(xié)議)包載荷中OSI (Open SystemInterconnection,開放系統(tǒng)互連)七層協(xié)議的應用層信息��,從而實現(xiàn)對各類網絡流量的識另IJ����,統(tǒng)計各類流量占用的帶寬�。
[0003]在運營商網絡中,寬帶接入網關處在網絡接入控制層�����,主要負責業(yè)務接入控制�,實現(xiàn)撥號和專線接入互聯(lián)網網關、組播網關��、IPTV (Internet Protocol Television,網絡電視)網關����、MPLS (Multiprotocol Label Switching,多協(xié)議標簽交換)VPN (Virtual PrivateNetwork,虛擬專用網)PE(Provider Edge,提供商邊緣設備)功能。寬帶接入網關是全網流量的必經之處,是實現(xiàn)網絡業(yè)務流量感知的最佳節(jié)點����。一般來說,寬帶接入網關可通過靜態(tài)端口號�����、VLAN (Virtual Local Area Network,虛擬局域網)子接口�、IP DSCP (DifferentiatedServices Code Point,差分服務代碼點)字段與802.1P字段來進行流量的簡單分類��。DPI技術與寬帶接入網關結合���,可實現(xiàn)更精細化的業(yè)務感知���。
[0004]在現(xiàn)有集中式內置DPI的寬帶接入網關裝置中,以下行流量為例��,當用戶流量進入寬帶接入網關網絡側板卡時�����,主控板卡按照預先靜態(tài)配置的策略判斷是否需要對用戶流量進行深度包檢測分析���。若不需要對用戶流量進行深度包檢測分析����,直接將用戶流量通過用戶側板卡進行轉發(fā)。若需要對用戶流量進行深度包檢測分析��,則將用戶流量牽引至DPI板卡進行處理�。DPI板卡對用戶流量進行流量分析、業(yè)務識別�����,匹配相應的流表策略�����,并執(zhí)行相應的流表策略���,再由DPI板卡將經過處理后的用戶流量通過用戶側板卡進行轉發(fā)。
[0005]由于DPI板卡需要對用戶流量進行深度報文處理�����,同時還要進行業(yè)務流量轉發(fā)處理����,從而增加了 DPI板卡的處理負擔�。由于DPI板卡的處理能力往往不足�����,這就會成為寬帶接入網關提聞DPI性能的瓶頸����。
【發(fā)明內容】
[0006]本發(fā)明要解決的技術問題是提供一種用于優(yōu)化深度包檢測的方法、用戶側板卡和寬帶接入網關�����。由于在本發(fā)明中���,深度包檢測板卡僅用于生成與數(shù)據相關的流表策略��,并不進行策略執(zhí)行�����,也不進行流量數(shù)據轉發(fā)���,因此減輕了深度包檢測板卡的處理負擔����,提升了寬帶接入網關的深度包檢測性能���,從而解決了因深度包檢測板卡處理能力不足而導致的瓶頸問題�����。
[0007]根據本發(fā)明的另一方面��,提供一種用于優(yōu)化深度包檢測的方法�,包括:
[0008]接收網絡側板卡轉發(fā)的第一數(shù)據和主控板卡發(fā)送的指示信息��,其中主控板卡根據預先配置的用戶業(yè)務策略�����,判斷所述第一數(shù)據是否需要進行深度包檢測分析����,若判斷所述第一數(shù)據需要進行深度包檢測分析�,則指示信息中包括用于表示進行檢測分析的第一標識;
[0009]判斷指示信息中是否包括所述第一標識��;
[0010]若判斷指示信息中包括所述第一標識,則進一步判斷所述第一數(shù)據是否匹配已有的流表策略���;
[0011]若判斷所述第一數(shù)據不匹配已有的流表策略����,則將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡�,以便深度包檢測板卡利用所述第一個報文生成深度包檢測流表策略;
[0012]接收深度包檢測板卡發(fā)送的深度包檢測流表策略��;
[0013]利用深度包檢測流表策略對所述第一數(shù)據進行處理�,以得到第二數(shù)據;
[0014]將第二數(shù)據進行轉發(fā)��。
[0015]根據本發(fā)明的另一方面�����,提供一種用于優(yōu)化深度包檢測的用戶側板卡����,包括:
[0016]接收單元,用于接收網絡側板卡轉發(fā)的第一數(shù)據和主控板卡發(fā)送的指示信息�����,其中主控板卡根據預先配置的用戶業(yè)務策略,判斷所述第一數(shù)據是否需要進行深度包檢測分析��,若判斷所述第一數(shù)據需要進行深度包檢測分析���,則指示信息中包括用于表示進行檢測分析的第一標識�����;
[0017]第一識別單元�����,用于判斷指示信息中是否包括所述第一標識��;
[0018]第二識別單元���,用于在第一識別單元判斷指示信息中包括所述第一標識,則進一步判斷所述第一數(shù)據是否匹配已有的流表策略���;
[0019]策略獲取單元,用于在第二識別單元判斷所述第一數(shù)據不匹配已有的流表策略�,則將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡,以便深度包檢測板卡利用所述第一個報文生成深度包檢測流表策略�;接收深度包檢測板卡發(fā)送的深度包檢測流表策略�;
[0020]策略執(zhí)行單元���,用于利用深度包檢測流表策略對所述第一數(shù)據進行處理����,以得到
第二數(shù)據�;
[0021 ] 數(shù)據轉發(fā)單元,用于將第二數(shù)據進行轉發(fā)�。
[0022]根據本發(fā)明的另一方面,提供一種用于優(yōu)化深度包檢測的寬帶接入網關�����,包括:
[0023]網絡側板卡���,用于將接收到的第一數(shù)據發(fā)送給用戶側板卡��;
[0024]主控板卡�,用于根據預先配置的用戶業(yè)務策略�����,判斷所述第一數(shù)據是否需要進行深度包檢測分析,若判斷所述第一數(shù)據需要進行深度包檢測分析����,則向用戶側板卡發(fā)送包括用于表示進行檢測分析的第一標識的指示信息;
[0025]用戶側板卡����,用于接收網絡側板卡轉發(fā)的第一數(shù)據和主控板卡發(fā)送的指示信息,判斷指示信息中是否包括所述第一標識�����;若判斷指示信息中包括所述第一標識�,則進一步判斷所述第一數(shù)據是否匹配已有的流表策略;若判斷所述第一數(shù)據不匹配已有的流表策略�����,則將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡�����;接收深度包檢測板卡發(fā)送的深度包檢測流表策略��;利用深度包檢測流表策略對所述第一數(shù)據進行處理����,以得到第二數(shù)據;將第二數(shù)據進行轉發(fā)�;
[0026]深度包檢測板卡,用于利用所述第一個報文生成深度包檢測流表策略�,將所述深度包檢測流表策略發(fā)送給用戶側板卡。
[0027]本發(fā)明通過接收網絡側板卡轉發(fā)的第一數(shù)據�,判斷所述第一數(shù)據是否匹配已有的流表策略,若判斷所述第一數(shù)據不匹配已有的流表策略����,則將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡,以便深度包檢測板卡利用所述第一個報文生成深度包檢測流表策略���。接收深度包檢測板卡發(fā)送的深度包檢測流表策略�����,利用深度包檢測流表策略對所述第一數(shù)據進行處理�,以得到第二數(shù)據�����,將第二數(shù)據進行轉發(fā)����。由于深度包檢測板卡僅用于生成與數(shù)據相關的流表策略�,并不進行策略執(zhí)行�,也不進行流量數(shù)據轉發(fā),因此減輕了深度包檢測板卡的處理負擔�,提升了寬帶接入網關的深度包檢測性能,解決了因深度包檢測板卡處理能力不足而導致的瓶頸問題�。
【專利附圖】
【附圖說明】
[0028]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹���,顯而易見地�,下面描述中的附圖僅僅是本發(fā)明的一些實施例�,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動性的前提下�,還可以根據這些附圖獲得其他的附圖。
[0029]圖1為本發(fā)明深度包檢測優(yōu)化方法一個實施例的示意圖���。
[0030]圖2為本發(fā)明深度包檢測優(yōu)化方法另一實施例的示意圖���。
[0031]圖3為本發(fā)明用戶側板卡一個實施例的示意圖。
[0032]圖4為本發(fā)明寬帶接入網絡一個實施例的示意圖���。
【具體實施方式】
[0033]下面將結合本發(fā)明實施例中的附圖�����,對本發(fā)明實施例中的技術方案進行清楚���、完整地描述,顯然�,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例����。以下對至少一個示例性實施例的描述實際上僅僅是說明性的,決不作為對本發(fā)明及其應用或使用的任何限制��?���;诒景l(fā)明中的實施例,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例�����,都屬于本發(fā)明保護的范圍����。
[0034]除非另外具體說明�,否則在這些實施例中闡述的部件和步驟的相對布置��、數(shù)字表達式和數(shù)值不限制本發(fā)明的范圍���。
[0035]同時���,應當明白,為了便于描述��,附圖中所示出的各個部分的尺寸并不是按照實際的比例關系繪制的�����。
[0036]對于相關領域普通技術人員已知的技術��、方法和設備可能不作詳細討論���,但在適當情況下���,所述技術、方法和設備應當被視為授權說明書的一部分��。
[0037]在這里示出和討論的所有示例中���,任何具體值應被解釋為僅僅是示例性的���,而不是作為限制�����。因此��,示例性實施例的其它示例可以具有不同的值。
[0038]應注意到:相似的標號和字母在下面的附圖中表示類似項���,因此�����,一旦某一項在一個附圖中被定義���,則在隨后的附圖中不需要對其進行進一步討論。
[0039]圖1為本發(fā)明深度包檢測優(yōu)化方法一個實施例的示意圖���。優(yōu)選的�,本實施例的方法步驟可由用戶側板卡執(zhí)行�����。
[0040]步驟101,接收網絡側板卡轉發(fā)的第一數(shù)據和主控板卡發(fā)送的指示信息�����。
[0041]其中主控板卡根據預先配置的用戶業(yè)務策略�,判斷所述第一數(shù)據是否需要進行深度包檢測分析,若判斷所述第一數(shù)據需要進行深度包檢測分析����,則指示信息中包括用于表示進行檢測分析的第一標識。
[0042]步驟102�,判斷指示信息中是否包括所述第一標識。
[0043]步驟103���,若判斷指示信息中包括所述第一標識����,則進一步判斷所述第一數(shù)據是否匹配已有的流表策略�����。
[0044]步驟104�,若判斷所述第一數(shù)據不匹配已有的流表策略��,則將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡�����,以便深度包檢測板卡利用所述第一個報文生成深度包檢測流表策略���。
[0045]步驟105,接收深度包檢測板卡發(fā)送的深度包檢測流表策略�。
[0046]步驟106,利用深度包檢測流表策略對所述第一數(shù)據進行處理����,以得到第二數(shù)據�����。
[0047]步驟107���,將第二數(shù)據進行轉發(fā)��。
[0048]基于本發(fā)明上述實施例提供的深度包檢測優(yōu)化方法�,通過接收網絡側板卡轉發(fā)的第一數(shù)據�,判斷所述第一數(shù)據是否匹配已有的流表策略���,若判斷所述第一數(shù)據不匹配已有的流表策略,則將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡���,以便深度包檢測板卡利用所述第一個報文生成深度包檢測流表策略����。接收深度包檢測板卡發(fā)送的深度包檢測流表策略�,利用深度包檢測流表策略對所述第一數(shù)據進行處理,以得到第二數(shù)據���,將第二數(shù)據進行轉發(fā)�����。由于深度包檢測板卡僅用于生成與數(shù)據相關的流表策略�,并不進行策略執(zhí)行�����,也不進行流量數(shù)據轉發(fā)�,因此減輕了深度包檢測板卡的處理負擔,提升了寬帶接入網關的深度包檢測性能,解決了因深度包檢測板卡處理能力不足而導致的瓶頸問題�����。
[0049]圖2為本發(fā)明深度包檢測優(yōu)化方法另一實施例的示意圖�����。其中:
[0050]步驟201����,接收網絡側板卡轉發(fā)的第一數(shù)據和主控板卡發(fā)送的指示信息。
[0051]其中主控板卡根據預先配置的用戶業(yè)務策略�,判斷所述第一數(shù)據是否需要進行深度包檢測分析,若判斷所述第一數(shù)據需要進行深度包檢測分析�,則指示信息中包括用于表示進行檢測分析的第一標識。
[0052]步驟202�,判斷指示信息中是否包括所述第一標識。若判斷指示信息中不包括所述第一標識�����,則執(zhí)行步驟203 ;若判斷指示信息中包括所述第一標識�,則執(zhí)行步驟204����。
[0053]步驟203����,直接將第一數(shù)據進行轉發(fā)���。之后�,不再執(zhí)行本實施例的其它步驟���。
[0054]由于第一數(shù)據無需進行深度包檢測處理����,因此可直接轉發(fā)該數(shù)據����。
[0055]步驟204,判斷所述第一數(shù)據是否匹配已有的流表策略����。若判斷所述第一數(shù)據不匹配已有的流表策略,則執(zhí)行步驟205 ;若判斷所述第一數(shù)據匹配已有的流表策略��,則執(zhí)行步驟 209���。
[0056]若第一數(shù)據匹配已有的流表策略��,則可用已有的流表策略進行處理�。若第一數(shù)據不匹配已有的流表策略,則從深度包檢測板卡獲取相關的流表策略��。
[0057]步驟205��,將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡����,以便深度包檢測板卡利用所述第一個報文生成深度包檢測流表策略。
[0058]步驟206�����,接收深度包檢測板卡發(fā)送的深度包檢測流表策略����。
[0059]步驟207,利用深度包檢測流表策略對所述第一數(shù)據進行處理���,以得到第二數(shù)據。
[0060]步驟208��,將第二數(shù)據進行轉發(fā)。之后����,不再執(zhí)行本實施例的其它步驟。
[0061]步驟209�,利用已有的流表策略對所述第一數(shù)據進行處理,得到第三數(shù)據��。
[0062]步驟210����,將所述第三數(shù)據進行轉發(fā)。[0063]優(yōu)選的���,在上述判斷所述第一數(shù)據不匹配已有的流表策略的步驟之后�����,還包括:
[0064]將所述第一數(shù)據進行轉發(fā)���。
[0065]然后執(zhí)行將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡的步驟。
[0066]相應的�,上述利用深度包檢測流表策略對所述第一數(shù)據進行處理,以得到第二數(shù)據的步驟之后��,還包括:
[0067]停止轉發(fā)第一數(shù)據。
[0068]然后執(zhí)行將第二數(shù)據進行轉發(fā)的步驟��。
[0069]由于在需要將第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡以獲得相應流表策略��、以及執(zhí)行該策略時會有一定的延時�,因此對于用戶來說,此時在進行瀏覽時會感覺到有一定的停頓���,從而降低了用戶體驗���。為了提高用戶體驗,用戶側板卡在從深度包檢測板卡獲取流表策略以進行策略執(zhí)行的過程中�����,用戶側板卡還正常轉發(fā)原始數(shù)據�����,當用戶側板卡從深度包檢測板卡獲得略并執(zhí)行該策略后�,再將流表策處理后的數(shù)據轉發(fā)給用戶,從而避免了停頓現(xiàn)象的發(fā)生�。
[0070]圖3為本發(fā)明用戶側板卡一個實施例的示意圖。如圖3所示�����,用于優(yōu)化深度包檢測的用戶側板卡包括:
[0071]接收單元301�����,用于接收網絡側板卡轉發(fā)的第一數(shù)據和主控板卡發(fā)送的指示信息����,其中主控板卡根據預先配置的用戶業(yè)務策略,判斷所述第一數(shù)據是否需要進行深度包檢測分析����,若判斷所述第一數(shù)據需要進行深度包檢測分析,則指示信息中包括用于表示進行檢測分析的第一標識���。
[0072]第一識別單元302���,用于判斷指示信息中是否包括所述第一標識。
[0073]第二識別單元303��,用于在第一識別單元302判斷指示信息中包括所述第一標識���,則進一步判斷所述第一數(shù)據是否匹配已有的流表策略���。
[0074]策略獲取單元304����,用于在第二識別單元303判斷所述第一數(shù)據不匹配已有的流表策略時����,將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡,以便深度包檢測板卡利用所述第一個報文生成深度包檢測流表策略�;接收深度包檢測板卡發(fā)送的深度包檢測流表策略。
[0075]策略執(zhí)行單元305��,用于利用深度包檢測流表策略對所述第一數(shù)據進行處理����,以得到第二數(shù)據。
[0076]數(shù)據轉發(fā)單元306�����,用于將第二數(shù)據進行轉發(fā)�����。
[0077]基于本發(fā)明上述實施例提供的用戶側板卡���,通過接收網絡側板卡轉發(fā)的第一數(shù)據����,判斷所述第一數(shù)據是否匹配已有的流表策略,若判斷所述第一數(shù)據不匹配已有的流表策略��,則將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡���,以便深度包檢測板卡利用所述第一個報文生成深度包檢測流表策略。接收深度包檢測板卡發(fā)送的深度包檢測流表策略���,利用深度包檢測流表策略對所述第一數(shù)據進行處理���,以得到第二數(shù)據,將第二數(shù)據進行轉發(fā)�����。由于深度包檢測板卡僅用于生成與數(shù)據相關的流表策略���,并不進行策略執(zhí)行�����,也不進行流量數(shù)據轉發(fā)�����,因此減輕了深度包檢測板卡的處理負擔�,提升了寬帶接入網關的深度包檢測性能,解決了因深度包檢測板卡處理能力不足而導致的瓶頸問題�����。
[0078]優(yōu)選的�����,策略執(zhí)行單元305還用于在第二識別單元303判斷所述第一數(shù)據匹配已有的流表策略時����,利用已有的流表策略對所述第一數(shù)據進行處理,得到第三數(shù)據�����,指示數(shù)據轉發(fā)單元306將所述第三數(shù)據進行轉發(fā)�。
[0079]優(yōu)選的,數(shù)據轉發(fā)單元306還用于第二識別單元303在判斷指示信息中不包括所述第一標識時,直接將第一數(shù)據進行轉發(fā)���。
[0080]優(yōu)選的�����,數(shù)據轉發(fā)單元306還用于在第二識別單元303判斷所述第一數(shù)據不匹配已有的流表策略的步驟之后�����,將所述第一數(shù)據進行轉發(fā),然后指示策略獲取單元304執(zhí)行將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡的操作�。
[0081]優(yōu)選的,數(shù)據轉發(fā)單元306還用于在策略執(zhí)行單元305在利用深度包檢測流表策略對所述第一數(shù)據進行處理����,以得到第二數(shù)據后,停止轉發(fā)第一數(shù)據�����,然后執(zhí)行將第二數(shù)據進行轉發(fā)的操作�����。
[0082]圖4為本發(fā)明寬帶接入網絡一個實施例的示意圖。如圖4所示����,寬帶接入網關包括:
[0083]網絡側板卡401,用于將接收到的第一數(shù)據發(fā)送給用戶側板卡403��。
[0084]主控板卡402����,用于根據預先配置的用戶業(yè)務策略,判斷所述第一數(shù)據是否需要進行深度包檢測分析����,并向用戶側板卡403發(fā)送指示信息。其中若判斷所述第一數(shù)據需要進行深度包檢測分析�����,則向用戶側板卡403發(fā)送包括用于表示進行檢測分析的第一標識的指不?目息���。
[0085]用戶側板卡403����,用于接收網絡側板卡402轉發(fā)的第一數(shù)據和主控板卡發(fā)送的指示信息�,判斷指示信息中是否包括所述第一標識����;若判斷指示信息中包括所述第一標識��,則進一步判斷所述第一數(shù)據是否匹配已有的流表策略��;若判斷所述第一數(shù)據不匹配已有的流表策略�,則將所述第一數(shù)據的 第一個報文發(fā)送給深度包檢測板卡404 ;接收深度包檢測板卡404發(fā)送的深度包檢測流表策略;利用深度包檢測流表策略對所述第一數(shù)據進行處理���,以得到第二數(shù)據��;將第二數(shù)據進行轉發(fā)����。
[0086]深度包檢測板卡404��,用于利用所述第一個報文生成深度包檢測流表策略����,將所述深度包檢測流表策略發(fā)送給用戶側板卡403���。
[0087]基于本發(fā)明上述實施例提供的寬帶接入網絡�����,通過接收網絡側板卡轉發(fā)的第一數(shù)據����,判斷所述第一數(shù)據是否匹配已有的流表策略,若判斷所述第一數(shù)據不匹配已有的流表策略��,則將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡���,以便深度包檢測板卡利用所述第一個報文生成深度包檢測流表策略�����。接收深度包檢測板卡發(fā)送的深度包檢測流表策略���,利用深度包檢測流表策略對所述第一數(shù)據進行處理,以得到第二數(shù)據���,將第二數(shù)據進行轉發(fā)�。由于深度包檢測板卡僅用于生成與數(shù)據相關的流表策略����,并不進行策略執(zhí)行�,也不進行流量數(shù)據轉發(fā)����,因此減輕了深度包檢測板卡的處理負擔,提升了寬帶接入網關的深度包檢測性能�,解決了因深度包檢測板卡處理能力不足而導致的瓶頸問題。
[0088]優(yōu)選的����,用戶側板卡403為圖3中任一實施例涉及的用戶側板卡。
[0089]優(yōu)選的��,在上述寬帶接入網關中����,主控板卡、網絡側板卡�、用戶側板卡和深度包檢板卡通過網板進行交互。
[0090]其中����,所述主控板卡�,是系統(tǒng)控制平面核心,具備至少256k用戶會話能力��、至少I百萬的策略能力及至少I百萬的路由計算能力。實現(xiàn)靜態(tài)或者動態(tài)的用戶策略���,并應用至相應的業(yè)務板卡�。
[0091]網絡側板卡���,具備高性能的轉發(fā)能力�。[0092]交換網板���,具備單槽400Gbps以上的無阻塞交換能力�。
[0093]深度包檢測板卡��,不僅僅處理4層以下的基礎信息分析�����,更重要的是增加應用層分析��,識別各種應用及內容��,對一序列數(shù)據包的包頭����、負載中的簽名特征����、多條流的簽名特征關聯(lián)來進行分析����,最終精確識別應用協(xié)議,解析出相應信息�����;同時根據應用策略要求���,生成相應的業(yè)務流表策略����,下發(fā)至用戶側板卡���。深度包檢測板卡僅進行業(yè)務流量的深度報文處理�,不進行業(yè)務流量轉發(fā)處理����,因此不會成為寬帶接入網關的瓶頸��。深度包檢測板卡采用多個多核處理器分布式處理機制,達到IOOGbps以上處理能力����。
[0094]用戶側板卡,完成用戶接入控制���,對寬帶用戶進行接入認證��、授權與計費�����,同時統(tǒng)籌考慮用戶策略與DPI策略流表的應用�,對流量實現(xiàn)策略控制及統(tǒng)計�����。傳統(tǒng)寬帶網關的用戶側板卡功能比網絡側板卡豐富����,處理能力強,同時具備對寬帶用戶認證�、授權與計費功能。因此�,在用戶側板卡上實現(xiàn)DPI管控能更好地實現(xiàn)用戶多維度管理�����。
[0095]本領域普通技術人員可以理解實現(xiàn)上述實施例的全部或部分步驟可以通過硬件來完成�,也可以通過程序來指令相關的硬件完成��,所述的程序可以存儲于一種計算機可讀存儲介質中���,上述提到的存儲介質可以是只讀存儲器��,磁盤或光盤等�����。
[0096]本發(fā)明的描述是為了示例和描述起見而給出的��,而并不是無遺漏的或者將本發(fā)明限于所公開的形式����。很多修改和變化對于本領域的普通技術人員而言是顯然的��。選擇和描述實施例是為了更好說明本發(fā)明的原理和實際應用�����,并且使本領域的普通技術人員能夠理解本發(fā)明從而設計適于特定用途的帶有各種修改的各種實施例。
【權利要求】
1.一種用于優(yōu)化深度包檢測的方法�,其特征在于�,包括: 接收網絡側板卡轉發(fā)的第一數(shù)據和主控板卡發(fā)送的指示信息,其中主控板卡根據預先配置的用戶業(yè)務策略�,判斷所述第一數(shù)據是否需要進行深度包檢測分析,若判斷所述第一數(shù)據需要進行深度包檢測分析�����,則指示信息中包括用于表示進行檢測分析的第一標識�;判斷指示信息中是否包括所述第一標識; 若判斷指示信息中包括所述第一標識�,則進一步判斷所述第一數(shù)據是否匹配已有的流表策略; 若判斷所述第一數(shù)據不匹配已有的流表策略�,則將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡,以便深度包檢測板卡利用所述第一個報文生成深度包檢測流表策略�;接收深度包檢測板卡發(fā)送的深度包檢測流表策略; 利用深度包檢測流表策略對所述第一數(shù)據進行處理��,以得到第二數(shù)據����; 將第二數(shù)據進行轉發(fā)。
2.根據權利要求1所述的方法,其特征在于: 若判斷所述第一數(shù)據匹配已有的流表策略���,則利用已有的流表策略對所述第一數(shù)據進行處理�,得到第三數(shù)據�����; 將所述第三數(shù)據進行轉發(fā)�。
3.根據權利要求1所述的方法,其特征在于: 若判斷指示信息中不包括所述第一標識��,則直接將第一數(shù)據進行轉發(fā)��。
4. 根據權利要求1-3中任一項所述的方法��,其特征在于: 在判斷所述第一數(shù)據不匹配已有的流表策略的步驟之后�,還包括: 將所述第一數(shù)據進行轉發(fā); 然后執(zhí)行將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡的步驟�。
5.根據權利要求4所述的方法,其特征在于: 利用深度包檢測流表策略對所述第一數(shù)據進行處理�,以得到第二數(shù)據的步驟之后,還包括: 停止轉發(fā)第一數(shù)據����; 然后執(zhí)行將第二數(shù)據進行轉發(fā)的步驟��。
6.一種用于優(yōu)化深度包檢測的用戶側板卡�����,其特征在于���,包括接收單元�����、第一識別單元���、第二識別單元��、策略獲取單元���、策略執(zhí)行單元和數(shù)據轉發(fā)單元,其中: 接收單元����,用于接收網絡側板卡轉發(fā)的第一數(shù)據和主控板卡發(fā)送的指示信息,其中主控板卡根據預先配置的用戶業(yè)務策略��,判斷所述第一數(shù)據是否需要進行深度包檢測分析,若判斷所述第一數(shù)據需要進行深度包檢測分析����,則指示信息中包括用于表示進行檢測分析的第一標識; 第一識別單元����,用于判斷指示信息中是否包括所述第一標識; 第二識別單元����,用于在第一識別單元判斷指示信息中包括所述第一標識,則進一步判斷所述第一數(shù)據是否匹配已有的流表策略��; 策略獲取單元���,用于在第二識別單元判斷所述第一數(shù)據不匹配已有的流表策略���,則將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡,以便深度包檢測板卡利用所述第一個報文生成深度包檢測流表策略���;接收深度包檢測板卡發(fā)送的深度包檢測流表策略�����;策略執(zhí)行單元�����,用于利用深度包檢測流表策略對所述第一數(shù)據進行處理���,以得到第二數(shù)據����; 數(shù)據轉發(fā)單元��,用于將第二數(shù)據進行轉發(fā)�。
7.根據權利要求6所述的用戶側板卡���,其特征在于: 策略執(zhí)行單元還用于在第二識別單元判斷所述第一數(shù)據匹配已有的流表策略時��,利用已有的流表策略對所述第一數(shù)據進行處理��,得到第三數(shù)據����,指示數(shù)據轉發(fā)單元將所述第三數(shù)據進行轉發(fā)����。
8.根據權利要求6所述的用戶側板卡���,其特征在于: 數(shù)據轉發(fā)單元還用于第二識別單元在判斷指示信息中不包括所述第一標識時,直接將第一數(shù)據進行轉發(fā)��。
9.根據權利要求6-8中任一項所述的用戶側板卡��,其特征在于: 數(shù)據轉發(fā)單元還用于在第二識別單元判斷所述第一數(shù)據不匹配已有的流表策略的步驟之后��,將所述第一數(shù)據進行轉發(fā)���,然后指示策略獲取單元執(zhí)行將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡的操作�。
10.根據權利要求9所述的用戶側板卡�����,其特征在于: 數(shù)據轉發(fā)單元還用于在策略執(zhí)行單元在利用深度包檢測流表策略對所述第一數(shù)據進行處理�,以得到第二數(shù)據后,停止轉發(fā)第一數(shù)據�����,然后執(zhí)行將第二數(shù)據進行轉發(fā)的操作�����。
11.一種用于優(yōu)化深度包檢測 的寬帶接入網關,其特征在于�,包括網絡側板卡、主控板卡�����、用戶側板卡和深度包檢測板卡�,其中: 網絡側板卡,用于將接收到的第一數(shù)據發(fā)送給用戶側板卡�; 主控板卡,用于根據預先配置的用戶業(yè)務策略�����,判斷所述第一數(shù)據是否需要進行深度包檢測分析����,若判斷所述第一數(shù)據需要進行深度包檢測分析��,則向用戶側板卡發(fā)送包括用于表示進行檢測分析的第一標識的指示信息�����; 用戶側板卡,用于接收網絡側板卡轉發(fā)的第一數(shù)據和主控板卡發(fā)送的指示信息�����,判斷指示信息中是否包括所述第一標識�����;若判斷指示信息中包括所述第一標識��,則進一步判斷所述第一數(shù)據是否匹配已有的流表策略�����;若判斷所述第一數(shù)據不匹配已有的流表策略�����,則將所述第一數(shù)據的第一個報文發(fā)送給深度包檢測板卡�����;接收深度包檢測板卡發(fā)送的深度包檢測流表策略��;利用深度包檢測流表策略對所述第一數(shù)據進行處理,以得到第二數(shù)據�����;將第二數(shù)據進行轉發(fā)����; 深度包檢測板卡,用于利用所述第一個報文生成深度包檢測流表策略��,將所述深度包檢測流表策略發(fā)送給用戶側板卡�。
12.根據權利要求11所述的寬帶接入網關,其特征在于: 用戶側板卡為權利要求6-10中任一項 涉及的用戶側板卡����。
【文檔編號】H04L12/813GK103888307SQ201210557155
【公開日】2014年6月25日 申請日期:2012年12月20日 優(yōu)先權日:2012年12月20日
【發(fā)明者】陳華南, 朱永慶, 歐亮, 鄒潔, 唐宏 申請人:中國電信股份有限公司