具体实施方式

在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的，而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本公开提供一种报文处理方法、装置及电子设备、机器可读存储介质，以改善上述无法区分报文归属的问题。

具体地，技术方案如后述。

在一种实施方式中，本公开提供了一种报文处理方法，应用于附加业务板，所述方法包括：接收防火墙发送的映射关系表，根据映射关系表更新在本地预先建立的快速查找表；在快速查找表中查询与业务日志关联的ID信息，将ID信息添加至关联的业务日志；向防火墙设备发送带有ID信息的业务日志；所述ID信息用于使防火墙设备根据ID信息将业务日志分发至关联的逻辑设备。

具体地，如图1，包括以下步骤：

步骤S11，接收防火墙发送的映射关系表，根据映射关系表更新在本地预先建立的快速查找表；

步骤S12，在快速查找表中查询与业务日志关联的ID信息，将ID信息添加至关联的业务日志；

步骤S13，向防火墙设备发送带有ID信息的业务日志。

所述ID信息用于使防火墙设备根据ID信息将业务日志分发至关联的逻辑设备。由防火墙发送给附加业务板的带有逻辑设备的ID信息和MAC地址映射关系的映射关系表，附加业务板根据此表在业务日志中添加关联的ID信息，从而使接收业务日志的下一跳设备根据该ID信息将业务日志分发至对应的逻辑设备，解决了无法区分报文归属的问题。

在一种实施方式中，所述在快速查找表中查询与业务日志关联的ID信息，将ID信息添加至关联的业务日志，包括：接收旁路镜像的业务报文，根据业务报文的MAC地址，在快速查找表中查询关联的ID信息；对业务报文处理生成业务日志，在业务日志中添加字段用于记载关联的ID信息。

在一种实施方式中，所述接收防火墙发送的映射关系表，根据映射关系表更新在本地预先建立的快速查找表，包括；按照预设周期间隔向防火墙获取当前映射关系表，或，接收防火墙更新映射关系表后发送的映射关系表；根据映射关系表更新在本地预先建立的快速查找表。

在一种实施方式中，所述映射关系表是防火墙根据各逻辑设备的ID信息与关联的网口的MAC地址的映射关系生成的。

当用户在防火墙上配置多context环境时，防火墙收集context id和网口对应关系，并存储在指定的文件中。防火墙启动时或者发现对应关系发生变化时，解析context id和网口对应关系到内存。防火墙获取context id和网口映射关系表中每个网口的MAC地址，建立MAC地址与context id的映射关系表；

附加业务板启动后，尝试连接防火墙直到建立连接为止。防火墙发现有附加业务板连上之后，向其发送映射关系表，防火墙和附加业务板之间的连接方式可以是附加业务板连接防火墙，也可以是防火墙主动连接附加业务板；连接可以是基于socket TCP,也可以是HTTP Restful接口等其他方式。

附加业务板上的收到映射关系表后将其保存到内存，并据此建立快速查找表，例如“哈西查找表”等。附加业务板在收到报文后，获取其中的源、目的MAC地址，并查找MAC地址对应的context id(没有找到的则按默认context处理)，附加业务板在自身业务中需要区分context的地方利用查找到的context id来实现context区分，例如，在向防火墙发送的业务日志中加上context id，防火墙会根据这个context id将日志存储到不同的用户context的日志存储模块中，这样就能确保每个用户只能看到自身流量产生的业务日志。

在一种实施方式中，本公开同时提供了一种报文处理装置，如图2，应用于附加业务板，所述装置包括：表项模块21，用于接收防火墙发送的映射关系表，根据映射关系表更新在本地预先建立的快速查找表；添加模块22，用于在快速查找表中查询与业务日志关联的ID信息，将ID信息添加至关联的业务日志；发送模块23，用于向防火墙设备发送带有ID信息的业务日志；所述ID信息用于使防火墙设备根据ID信息将业务日志分发至关联的逻辑设备。

在一种实施方式中，所述在快速查找表中查询与业务日志关联的ID信息，将ID信息添加至关联的业务日志，包括：接收旁路镜像的业务报文，根据业务报文的MAC地址，在快速查找表中查询关联的ID信息；对业务报文处理生成业务日志，在业务日志中添加字段用于记载关联的ID信息。

在一种实施方式中，所述接收防火墙发送的映射关系表，根据映射关系表更新在本地预先建立的快速查找表，包括；按照预设周期间隔向管理设备获取当前映射关系表，或，接收管理设备更新映射关系表后发送的映射关系表；根据映射关系表更新在本地预先建立的快速查找表。

在一种实施方式中，所述映射关系表是管理设备根据各逻辑设备的ID信息与关联的网口的MAC地址的映射关系生成的。

装置实施方式与对应的方法实施方式相同或相似，在此不再赘述。

在一种实施方式中，本公开提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的报文处理方法，从硬件层面而言，硬件架构示意图可以参见图3所示。

在一种实施方式中，本公开提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的报文处理方法。

这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(RadomAccess Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

上述实施方式阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本公开的实施方式可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且，本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本领域技术人员应明白，本公开的实施方式可提供为方法、系统或计算机程序产品。因此，本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且，本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上所述仅为本公开的实施方式而已，并不用于限制本公开。对于本领域技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本公开的权利要求范围之内。