本發明公開一種針對L2TP協議的解析方法及系統，屬于報文審計技術領域，解決了現有技術中無法得到L2TP報文的準確審計結果的問題。一種針對L2TP協議的審計方法，包括以下步驟：獲取L2TP報文，當所述L2TP報文是數據報文，并當PPP報文頭的負載是IP報文且所述IP報文合法時，則在會話已建立并且不存在阻斷標記或者會話未建立情況下，形成一個新報文；將所述新報文關聯至會話，對新報文執行用戶識別、完全解析、分類、標記、應用策略匹配，更新流量統計信息，之后刪除新報文；在L2TP報文為控制報文、PPP報文頭負載不為IP報文、IP報文不合法或者在策略動作不為阻斷的情況下，對L2TP報文進行源NAT，然后發包。能夠得到L2TP報文的準確審計結果。

技術領域

本發明涉及報文審計技術領域，尤其是涉及種針對L2TP協議的解析方法及系統。

背景技術

L2TP通過撥號網絡(PSTN/ISDN)，基于PPP協議，在分支機構與總部之間建立隧道，或者，通過L2TP客戶端，直接在用戶終端與總部之間建立隧道。最終，分支機構和遠程用戶都能接入總部網絡；

通常，應用引擎只會對最外層IP報文的負載進行解析和審計；但是，對于L2TP隧道中傳輸的數據，應用引擎只看到了L2TP報文，而原始報文被封裝在L2TP報文內部，無法完成審計，從而無法得到L2TP報文的準確審計結果。

發明內容

本發明的目的在于至少克服上述一種技術不足，提出一種針對L2TP協議的解析方法及系統。

一方面，本發明提供了一種針對L2TP協議的解析方法，包括以下步驟：

步驟S1、獲取L2TP報文，判斷所述L2TP報文是控制報文還是數據報文，若是控制報文，則執行步驟S5，若是數據報文，則執行步驟S2；

步驟S2、判斷L2TP報文的PPP報文頭負載是否為IP報文，若是，則判斷IP報文是否合法，若PPP報文頭的負載是IP報文且所述IP報文合法，則在會話已建立并且不存在阻斷標記或者會話未建立情況下，從L2TP報文中提取內層報文，形成一個新報文，執行步驟S3，若PPP報文頭負載不為IP報文或IP報文不合法，執行步驟S5；

步驟S3若會話已建立并且不存在阻斷標記，則將所述新報文關聯至該會話，若會話未建立，則新建會話，將所述新報文關聯至該新建的會話；

步驟S4、對新報文執行用戶識別，對新報文進行完全解析，結合特征庫對新報文進行分類、標記，對新報文進行應用策略匹配，更新流量統計信息，之后刪除新報文；

步驟S5、判斷策略動作是否為阻斷，若否則執行步驟S6，若是則執行步驟S7；

步驟S6、對所述L2TP報文進行源NAT，然后發包，結束流程；

步驟S7、丟棄L2TP報文，并對所述L2TP報文對應會話打上阻斷標記，結束流程。

進一步地，所述判斷L2TP報文的PPP報文頭負載是否為IP報文，具體包括，將指向L2TP報文頭部的指針偏移至PPP報文頭部，解析PPP報文頭部，檢查PPP報文頭部的負載是否為IP報文。

進一步地，所述判斷IP報文是否合法，具體包括，判斷IP報文版本號是否正確、IP頭長度是否正確、skb保存對長度與IP頭部設置的長度是否一致、源MAC地址和目的MAC地址是否均不為零、校驗和是否正確，若均為是，則IP報文為合法，否則不合法。

進一步地，所述針對L2TP協議的審計方法，還包括，根據IP報文的五元組，在會話表中查找會話，以判斷會話是否已建立，若會話已建立并且存在阻斷標記，則丟棄L2TP報文，并對所述L2TP報文對應會話打上阻斷標記，結束流程。

另一方面，本發明提供了一種針對L2TP協議的解析系統，包括L2TP報文類型判別模塊、新建報文模塊、新報文關聯模塊、新報文處理模塊、發包模塊和阻斷標記模塊。