CN102420762B - 报文转发方法、系统、网络设备和防火墙线卡 - Google Patents
报文转发方法、系统、网络设备和防火墙线卡 Download PDFInfo
- Publication number
- CN102420762B CN102420762B CN201110399450.9A CN201110399450A CN102420762B CN 102420762 B CN102420762 B CN 102420762B CN 201110399450 A CN201110399450 A CN 201110399450A CN 102420762 B CN102420762 B CN 102420762B
- Authority
- CN
- China
- Prior art keywords
- port
- message
- vlan
- mutual message
- isolated vlan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种报文转发方法、系统、网络设备和防火墙线卡,方法包括:接收所述源服务器通过所述隔离VLAN中所述源服务器对应的源下行端口发送的交互报文;在所述交互报文中添加隔离VLAN标识后,通过所述隔离VLAN的上行端口将所述交互报文泛洪转发给防火墙线卡,以由所述防火墙线卡对所述交互报文进行安全控制处理;通过所述隔离VLAN的上行端口接收所述防火墙线卡转发的交互报文;通过所述隔离VLAN中所述目的服务器对应的目的下行端口,将所述交互报文转发到所述目的服务器。本发明解决了多个服务器间二层互访安全隔离需要占用多个VLAN资源的问题。
Description
技术领域
本发明涉及通信技术,尤其涉及一种报文转发方法、系统、网络设备和防火墙线卡。
背景技术
随着传输控制协议(Transmission Control Protocol;以下简称:TCP)/IP网络的广泛应用,对网络可靠性方面的要求越来越高。在传统的路由器和交换机等基础网络设备中嵌入融合防火墙线卡,具有即插即用、扩展性强的特点,不仅可以有效降低用户管理难度、减少维护成本,而且还突破了物理单品防火墙自有的端口数量限制,使得组网应用更加灵活方便。在这种路由交换网络设备中集成嵌入防火墙线卡,实现了网络和安全保护的高度一体化,已逐渐成为网络发展的一种趋势。其中,集成嵌入防火墙线卡可以提供桥组跨虚拟局域网(Virtual Local Area Network;以下简称:VLAN)二层转发和三层路由转发的功能,桥组跨VLAN二层转发是指由数据链路层来完成不同VLAN间的通信。
图1为现有技术中不同VLAN中服务器间安全隔离的组网示意图,如图1所示,在交换机上集成嵌入的防火墙线卡通过桥组转发来隔离不同VLAN中各服务器间的互访流量。图中三台服务器A、B、C被划分到不同的VLAN中,具体地,交换机将从服务器A发出的二层访问流量报文加上VLAN2标识后发送到防火墙线卡,防火墙线卡经过桥组跨VLAN二层转发后,将该二层访问流量报文的VLAN2标识修改为VLAN3标识,然后再转发给交换机,交换机最终将接收到的携带VLAN3标识的流量报文转发给VLAN3中的服务器B,防火墙线卡通过跨VLAN二层转发功能,对各服务器间的二层互访流量进行安全控制,来保证各服务器间的二层安全隔离。
然而,现有技术中的方案需要为每台服务器单独分配一个VLAN,从而占用大量的VLAN资源。
发明内容
本发明的第一个方面是提供一种报文转发方法,在网络设备上配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN,所述方法包括:
接收所述源服务器通过所述隔离VLAN中所述源服务器对应的源下行端口发送的交互报文;
在所述交互报文中添加隔离VLAN标识后,通过所述隔离VLAN的上行端口将所述交互报文泛洪转发给防火墙线卡,以由所述防火墙线卡对所述交互报文进行安全控制处理;
通过所述隔离VLAN的上行端口接收所述防火墙线卡转发的交互报文;
通过所述隔离VLAN中所述目的服务器对应的目的下行端口,将所述交互报文转发到所述目的服务器。
本发明的一个方面是提供另一种报文转发方法,在网络设备上配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN,所述方法包括:
通过隔离VLAN标识对应的端口接收网络设备转发的交互报文,所述交互报文为所述网络设备通过所述隔离VLAN中所述源服务器对应的源下行端口从所述源服务器接收的,并由所述网络设备在所述交互报文中添加有所述隔离VLAN标识;
对所述交互报文进行安全控制处理,并通过所述隔离VLAN标识对应的端口向所述网络设备转发所述交互报文,以由所述网络设备通过所述隔离VLAN中所述目的服务器的对应的目的下行端口将所述交互报文转发到所述目的服务器。
本发明的另一个方面是提供一种网络设备,包括:
配置模块,用于配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN;
第一接收模块,用于接收所述源服务器通过所述隔离VLAN中所述源服务器对应的源下行端口发送的交互报文;
第一转发模块,用于在所述交互报文中添加隔离VLAN标识后,通过所述隔离VLAN的上行端口将所述交互报文泛洪转发给防火墙线卡,以由所述防火墙线卡对所述交互报文进行安全控制处理;
第二接收模块,用于通过所述隔离VLAN的上行端口接收所述防火墙线卡转发的交互报文;
第二转发模块,用于通过所述隔离VLAN中所述目的服务器对应的目的下行端口,将所述交互报文转发到所述目的服务器。
本发明的另一个方面是提供另一种防火墙线卡,在网络设备上配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN,所述防火墙线卡包括:
第三接收模块,用于通过隔离VLAN标识对应的端口接收网络设备转发的交互报文,所述交互报文为所述网络设备通过所述隔离VLAN中所述源服务器对应的源下行端口从所述源服务器接收的,并由所述网络设备在所述交互报文中添加有所述隔离VLAN标识;
第三转发模块,用于对所述交互报文进行安全控制处理,并通过所述隔离VLAN标识对应的端口向所述网络设备转发所述交互报文,以由所述网络设备通过所述隔离VLAN中所述目的服务器的对应的目的下行端口将所述交互报文转发到所述目的服务器。
本发明的又一个方面是提供一种报文转发系统,包括上述网络设备、上述防火墙线卡和多个服务器。
本发明的技术效果是:通过在网络设备上配置源服务器和目的服务器所在的VLAN为隔离VLAN,网络设备通过隔离VLAN的源下行端口接收交互报文,在交互报文中添加隔离VLAN标识后通过隔离VLAN的上行端口转发给防火墙线卡,防火墙线卡对交互报文进行安全控制处理后,通过隔离VLAN标识对应的端口将交互报文转发到网络设备;网络设备最终通过隔离VLAN的目的下行端口将交互报文转发到目的服务器。本实施例无需为每台服务器单独分配一个VLAN,解决了多个服务器间二层互访安全隔离需要占用多个VLAN资源的问题,从而减少了所占的VLAN资源;同时使得同一VLAN内各服务器间的二层互访流量只需通过防火墙线卡一次,便可以实现其互访流量受防火墙安全控制的目的。
附图说明
图1为现有技术中不同VLAN中服务器间安全隔离的组网示意图;
图2为本发明报文转发方法实施例一的流程图;
图3为本发明报文转发方法实施例一中同一隔离VLAN内各服务器间安全隔离的组网示意图;
图4为本发明报文转发方法实施例二的流程图;
图5为本发明报文转发方法实施例三的流程图;
图6为本发明网络设备实施例一的结构示意图;
图7为本发明网络设备实施例二的结构示意图;
图8为本发明防火墙线卡实施例一的结构示意图;
图9为本发明防火墙线卡实施例二的结构示意图。
具体实施方式
图2为本发明报文转发方法实施例一的流程图,如图2所示,在本实施例中,在网络设备上设置VLAN隔离的功能,具体为将报文转发的源服务器和目的服务器所在的VLAN配置为隔离VLAN,同一隔离VLAN的下行端口之间相互隔离,而上行端口和各下行端口之间可以相互通信。其中,本实施例中的网络设备可以具体为交换机、路由器等,此处以交换机为例进行说明,源服务器为发送报文的服务器,目的服务器为接收报文的服务器,本实施例通过从源服务器向目的服务器转发报文来阐述本发明的内容。图3为本发明报文转发方法实施例一中同一隔离VLAN内各服务器间安全隔离的组网示意图,如图3所示,服务器A、B、C被划分在同一VLAN2中,本实施例将VLAN2配置为隔离VLAN,隔离VLAN的下行端口为交换机与各服务器互联的端口,隔离VLAN的上行端口为交换机与防火墙线卡的内联端口。当源服务器向目的服务器发起访问请求时,如果源服务器上存在目的服务器对应的地址解析协议(Address Resolution Protocol;以下简称:ARP)表项时,本实施例从网络设备一侧对本发明的方案进行具体说明,此处的网络设备具体以交换机为例,本实施例可以具体包括如下步骤:
步骤201,接收所述源服务器通过所述隔离VLAN中所述源服务器对应的源下行端口发送的交互报文。
当源服务器向目的服务器发送交互报文时,通过交换机来转发。该交互报文可以为单播报文或非单播报文,即可以为单播形式的访问流量报文或非单播形式的ARP请求报文;如果源服务器上已经存在目的服务器对应的ARP表项,例如源服务器已经通过历史报文转发过程学习到目的服务器的ARP信息,则源服务器直接向目的服务器发送访问流量报文,此时本实施例中的交互报文具体为访问流量报文;如果源服务器上不存在目的服务器对应的ARP表项,则源服务器先向目的服务器发送ARP请求广播报文,此时本实施例中的交互报文具体为ARP请求广播报文。参见上述图3,当源服务器向目的服务器发送交互报文时,该交互报文先通过隔离VLAN中与源服务器对应的源下行端口发送到交换机。本步骤为交换机接收源服务器通过该源下行端口发送的交互报文,该交互报文中可以携带源服务器的IP地址和介质访问控制(Media Access Control;以下简称:MAC)地址,以及目的服务器的IP地址。交换机在从源下行端口接收到交互报文时,先进行二层转发的正常源MAC地址的学习。
步骤202,在交互报文中添加隔离VLAN标识后,通过所述隔离VLAN的上行端口将交互报文泛洪转发给防火墙线卡,以由所述防火墙线卡对所述交互报文进行安全控制处理。
交换机在接收到从隔离VLAN的下行端口发送的交互报文后,在该交互报文中添加该隔离VLAN的隔离VLAN标识。交换机通过隔离VLAN的上行端口将该交互报文转发到防火墙线卡,其中,当隔离VLAN存在多个上行端口时,则交换机需要以泛洪的方式向隔离VLAN的所有上行端口发送交互报文。防火墙线卡在从隔离VLAN标识对应的端口接收到交互报文时,先进行二层转发的正常源MAC地址的学习,再对该交互报文进行安全控制处理,以保证同一VLAN内服务器间互访的安全性。需要指出的是,在本实施例中,对于防火墙线卡来说,不存在隔离VLAN的上行端口和下行端口的区别,只有隔离VLAN标识对应的端口,此处的隔离VLAN标识对应的端口与隔离VLAN的上行端口是等价的。然后,防火墙线卡将该交互报文通过隔离VLAN标识对应的端口转发到交换机上。
步骤203,通过所述隔离VLAN的上行端口接收所述防火墙线卡转发的交互报文。
本步骤为在防火墙线卡对交互报文进行安全控制处理后,交换机通过隔离VLAN的上行端口接收防火墙线卡转发的交互报文。在本实施例中,防火墙线卡在对交互报文进行安全控制处理后,向交换机转发该交互报文时,会将该交互报文转发到包含防火墙线卡接收交互报文的端口在内的VLAN端口上。此处的防火墙线卡接收交互报文的端口即为隔离VLAN标识对应的端口,由此可见,在本实施例中,交换机通过隔离VLAN的上行端口将交互报文转发到防火墙线卡后,还可以在同一隔离VLAN的上行端口上接收到防火墙线卡转发的交互报文,从而可以实现在一个VLAN中包含多个服务器,交互报文可以在同一VLAN中的不同服务器之间转发,而无需为每个服务器分别分配一个VLAN。
步骤204,通过所述隔离VLAN中所述目的服务器对应的目的下行端口,将所述交互报文转发到所述目的服务器。
交换机在从隔离VLAN的上行端口接收到处理后的交互报文后,在隔离VLAN中对该交互报文进行二层转发。交换机可以通过隔离VLAN中目的服务器对应的目的下行端口,直接将处理后的交互报文转发到目的服务器,实现了交互报文在源服务器与目的服务器之间的二层转发。
具体地,当所述交互报文为单播报文时,上述步骤204可以具体包括如下步骤:根据所述交互报文的目的MAC地址查询MAC地址转发表,获取所述交互报文的目的端口为所述隔离VLAN中所述目的服务器对应的目的下行端口;通过所述目的下行端口将所述交互报文转发到所述目的服务器。
具体地,当所述交互报文为非单播报文时,上述步骤204可以具体包括如下步骤:通过所述隔离VLAN的所有下行端口对所述交互报文进行泛洪转发,以将所述交互报文转发到所述目的服务器。
进一步地,本实施例中的隔离VLAN的上行端口不具备介质访问控制MAC地址学习功能,即交换机从隔离VLAN的上行端口接收到访问流量报文后,不进行源MAC地址的学习,使得交换机中保存的访问流量报文的源MAC地址还是源服务器的MAC地址,不会由于MAC地址学习而使其变更为防火墙线卡的MAC地址,从而避免了频繁修改交换机中的MAC地址转发表所带来的额外开销。
本实施例提供了一种报文转发方法,通过在网络设备上配置源服务器和目的服务器所在的VLAN为隔离VLAN,网络设备通过隔离VLAN的源下行端口接收交互报文,在交互报文中添加隔离VLAN标识后通过隔离VLAN的上行端口转发给防火墙线卡,防火墙线卡对交互报文进行安全控制处理后,通过隔离VLAN标识对应的端口将交互报文转发到网络设备;网络设备最终通过隔离VLAN的目的下行端口将交互报文转发到目的服务器。本实施例无需为每台服务器单独分配一个VLAN,解决了多个服务器间二层互访安全隔离需要占用多个VLAN资源的问题,从而减少了所占的VLAN资源;同时使得同一VLAN内各服务器间的二层互访流量只需通过防火墙线卡一次,便可以实现其互访流量受防火墙安全控制的目的。
图4为本发明报文转发方法实施例二的流程图,如图4所示,本实施例提供了一种报文转发方法,在网络设备上配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN,本实施例具体从防火墙线卡一侧对本发明的方案进行具体说明,可以具体包括如下步骤:
步骤401,通过隔离VLAN标识对应的端口接收网络设备转发的交互报文,所述交互报文为所述网络设备通过所述隔离VLAN中所述源服务器对应的源下行端口从所述源服务器接收的,并由所述网络设备在所述交互报文中添加有所述隔离VLAN标识。
本实施例中的交互报文可以为单播报文或非单播报文,网络设备可以具体为交换机或路由器,此处以交换机为例进行说明。当源服务器向目的服务器发送交互报文时,通过交换机将交互报文转发到防火墙线卡上进行处理。本步骤具体为防火墙线卡通过隔离VLAN标识对应的端口接收交换机转发的交互报文,该交互报文为交换机通过隔离VLAN中所述源服务器对应的源下行端口从所述源服务器接收的,并由交换机在其中添加隔离VLAN标识。
步骤402,对交互报文进行安全控制处理,并通过所述隔离VLAN标识对应的端口向所述网络设备转发所述交互报文,以由所述网络设备通过所述隔离VLAN中所述目的服务器的对应的目的下行端口将所述交互报文转发到所述目的服务器。
防火墙线卡在接收到交互报文后,对该交互报文进行安全控制处理,并通过隔离VLAN标识对应的端口向交换机转发所述交互报文。在本实施例中,防火墙线卡对从隔离VLAN标识对应的端口接收的交互报文进行处理后,仍从该端口向交换机转发处理后的交互报文。当交换机从隔离VLAN的上行端口接收到返回的交互报文后,通过所述隔离VLAN中所述目的服务器的对应的目的下行端口,将该交互报文转发到目的服务器。
具体地,在本实施例中,当所述交互报文为单播报文时,上述通过所述隔离VLAN标识对应的端口向所述网络设备转发所述交互报文的步骤可以具体包括:根据所述交互报文的目的MAC地址查询桥组内的MAC地址转发表,获取所述交互报文的目的端口为所述隔离VLAN标识对应的端口;通过所述隔离VLAN标识对应的端口向所述网络设备转发所述交互报文。
具体地,当所述交互报文为非单播报文时,上述通过所述隔离VLAN标识对应的端口向所述网络设备转发所述交互报文的步骤可以具体包括:通过桥组内包含所述隔离VLAN标识对应的端口在内的所有VLAN端口,向所述网络设备泛洪转发所述交互报文。
本实施例提供了一种报文转发方法,通过在网络设备上配置源服务器和目的服务器所在的VLAN为隔离VLAN,防火墙线卡通过隔离VLAN标识对应的端口接收网络设备转发的交互报文,对该交互报文进行安全控制处理,并通过隔离VLAN标识对应的端口向网络设备转发交互报文,以由网络设备通过隔离VLAN的目的下行端口将交互报文转发到目的服务器;本实施例无需为每台服务器单独分配一个VLAN,解决了多个服务器间二层互访安全隔离需要占用多个VLAN资源的问题,从而减少了所占的VLAN资源;同时使得同一VLAN内各服务器间的二层互访流量只需通过防火墙线卡一次,便可以实现其互访流量受防火墙安全控制的目的。
图5为本发明报文转发方法实施例三的流程图,如图5所示,本实施例提供了一种报文转发方法,可以具体包括如下步骤:
步骤501,在交换机上配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN。
在本实施例中,在交换机上设置VLAN隔离的功能,具体为将报文转发的源服务器和目的服务器所在的VLAN配置为隔离VLAN,同一隔离VLAN的下行端口之间相互隔离,而上行端口和各下行端口之间可以相互通信。继续参见上述图3,本实施例中的源服务器可以具体为服务器A,目的服务器可以具体为服务器B,本步骤为在交换机上将VLAN2配置为隔离VLAN。服务器A、B、C的服务器网关设置在交换机虚拟接口(Switch Virtual Interface;以下简称:SVI)5上,防火墙线卡上配置有VLAN2和VLAN5的桥组跨VLAN二层转发。
步骤502,判断源服务器上是否存在目的服务器对应的ARP表项,如果是,则执行步骤503,否则执行步骤509。
在源服务器向目的服务器发起访问请求时,先判断源服务器上是否存在目的服务器对应的ARP表项,如果是,则执行步骤503-508,源服务器直接向目的服务器发送访问流量报文;否则执行步骤509-519,源服务器先向目的服务器发送ARP请求广播报文。
步骤503,源服务器通过隔离VLAN中源服务器对应的源下行端口向交换机发送访问流量报文。
当源服务器上存在目的服务器对应的ARP表项时,源服务器向目的服务器发送访问流量报文,参见上述图3,即当服务器A上存在服务器B对应的ARP表项时,服务器A向服务器B发送访问流量报文。服务器A具体通过隔离VLAN中自身对应的下行端口,即端口A,向交换机发送访问流量报文,该访问流量报文中可以携带服务器A的IP地址和MAC地址,以及服务器B的IP地址和MAC地址。
步骤504,交换机在接收到的访问流量报文中添加隔离VLAN标识,通过隔离VLAN的上行端口将访问流量报文泛洪转发给防火墙线卡。
交换机在从端口A接收到服务器A发送的访问流量报文时,先进行二层转发的正常源MAC地址的学习,即交换机学习到服务器A的MAC地址对应的输出端口为端口A。交换机在接收到的访问流量报文中添加隔离VLAN标识,即添加VLAN2标识,交换机通过隔离VLAN的上行端口,将访问流量报文泛洪转发给防火墙线卡。具体可以为,交换机将访问流量报文加上VLAN2标识后泛洪到VLAN2的上行端口。
步骤505,防火墙线卡对访问流量报文进行安全控制处理,并根据访问流量报文的目的MAC地址查询桥组内的MAC地址转发表,获取处理后的访问流量报文的目的端口为隔离VLAN标识对应的端口。
防火墙线卡通过VLAN2对应的端口接收到访问流量报文后,对访问流量报文进行安全控制处理,并进行二层转发的正常源MAC地址学习,即防火墙线卡学习到服务器A的MAC地址对应的输出端口为VLAN2对应的端口。由于访问流量报文为单播报文,防火墙线卡根据访问流量报文的目的MAC地址查询桥组内的MAC地址转发表,获取处理后的访问流量报文的目的端口为隔离VLAN标识对应的端口。即防火墙线卡根据服务器B的MAC地址查询桥组内的MAC地址转发表,查询到访问流量报文的目的端口为VLAN2对应的端口。在本实施例中,当防火墙线卡未查询到服务器B对应的MAC表项时,则同样需要将访问流量报文泛洪转发至桥组内包括接收端口在内的所有VLAN端口。
步骤506,防火墙线卡通过隔离VLAN标识对应的端口将处理后的访问流量报文转发给交换机。
防火墙线卡在查询到访问流量报文的目的端口后,直接通过该VLAN2对应的端口将处理后的访问流量报文转发给交换机,即从防火墙线卡接收该报文的接收端口向交换机转发报文。
步骤507,交换机根据访问流量报文的目的MAC地址查询MAC地址转发表,并获取处理后的访问流量报文的目的端口为隔离VLAN中目的服务器对应的目的下行端口。
由于本实施例中隔离VLAN的上行端口不具备MAC地址学习功能,交换机从VLAN2的上行端口接收到访问流量报文后,交换机不进行源MAC地址学习。此时交换机上保存的访问流量报文的源MAC地址对应的输出端口还是端口A,而不会变为防火墙线卡转发所使用的某个端口。交换机在接收到访问流量报文后,根据访问流量报文的目的MAC地址查询MAC地址转发表,并获取处理后的访问流量报文的目的端口为隔离VLAN中目的服务器对应的目的下行端口。即交换机根据报文的目的MAC地址在隔离VLAN内查询MAC地址转发表,查询到该报文的目的端口为VLAN2的下行端口B。如果交换机未查找到服务器B对应的MAC表项,则同样需要将访问流量报文泛洪转发至隔离VLAN的所有下行端口。
步骤508,交换机通过目的下行端口将处理后的访问流量报文转发到目的服务器。
交换机通过查询到的目的下行端口将处理后的访问流量报文转发到目的服务器,即交换机通过VLAN2的下行端口B将访问流量报文转发到服务器B上,实现了访问流量报文在源服务器与目的服务器之间的二层转发。
步骤509,源服务器通过隔离VLAN中源服务器对应的源下行端口向交换机发送ARP请求广播报文。
当源服务器上不存在目的服务器对应的ARP表项时,源服务器需要先向目的服务器发送ARP请求广播报文。继续参见上述图3,当服务器A上不存在服务器B对应的ARP表项时,服务器A需要先向服务器B发起ARP请求广播报文。服务器A具体通过隔离VLAN中自身对应的下行端口,即端口A,向交换机发送ARP请求广播报文,该ARP请求广播报文中包括服务器A的IP地址和MAC地址,以及服务器B的IP地址和广播MAC地址。
步骤510,交换机在ARP请求广播报文中添加隔离VLAN标识,并通过隔离VLAN的上行端口转发给防火墙线卡。
交换机在从端口A接收到服务器A发送的ARP请求广播报文时,先进行二层转发的正常源MAC地址的学习,即交换机学习到服务器A的MAC地址对应的输出端口为端口A。交换机在接收到的ARP请求广播报文中添加隔离VLAN标识,即添加VLAN2标识,交换机通过隔离VLAN的上行端口,将ARP请求广播报文转发给防火墙线卡。具体可以为,交换机将ARP请求广播报文加上VLAN2标识后泛洪到VLAN2的上行端口。
步骤511,防火墙线卡对ARP请求广播报文进行安全控制处理,并通过桥组内包含接收端口在内的所有VLAN端口,将处理后的ARP请求广播报文泛洪转发到交换机。
防火墙线卡通过VLAN2对应的端口接收到ARP请求广播报文后,对ARP请求广播报文进行安全控制处理,并进行二层转发的正常源MAC地址学习,即防火墙线卡学习到服务器A的MAC地址对应的输出端口为VLAN2对应的端口。由于ARP请求广播报文为广播报文,防火墙线卡需要对处理后的ARP请求广播报文进行泛洪转发处理,即在桥组内包含VLAN2接收端口在内的所有VLAN端口上泛洪转发该ARP请求广播报文。在本实施例中,具体为防火墙线卡除了将ARP请求广播报文中的VLAN2标识修改为VLAN5标识,并将其转发给交换机上服务器网关对应的虚拟接口SVI5之外,防火墙线卡还将ARP请求广播报文复制一份,并转发到防火墙线卡之前接收该报文的端口,即VLAN2对应的端口上。
步骤512,交换机通过隔离VLAN的所有下行端口对处理后的ARP请求广播报文进行泛洪转发,以将处理后的ARP请求广播报文转发到目的服务器。
由于本实施例中隔离VLAN的上行端口不具备MAC地址学习功能,交换机在通过VLAN2中的上行端口接收到ARP请求广播报文后,交换机不进行源MAC地址学习,此时交换机上保存的服务器A的MAC地址对应的输出端口还是端口A。交换机直接通过隔离VLAN的所有下行端口对处理后的ARP请求广播报文进行泛洪转发,以将处理后的ARP请求广播报文转发到目的服务器。另外,对于交换机上从虚拟接口SVI5接收到的ARP请求广播报文来说,由于报文的目的IP地址不是交换机自身,则该报文会被执行正常丢弃处理。
步骤513,目的服务器通过目的下行端口向交换机发送ARP响应报文。
当目的服务器通过目的下行端口接收到ARP请求广播报文后,目的服务器还通过目的下行端口向交换机发送ARP响应报文。具体地,服务器B从VLAN2的下行端口B接收到该ARP请求广播报文后,服务器B通过该端口B向交换机返回ARP响应报文,而其他服务器在接收到ARP请求广播报文后,由于报文的目的IP地址不是自身,则该报文会被执行正常丢弃处理。
步骤514,交换机在接收到的ARP响应报文中添加隔离VLAN标识,通过隔离VLAN的上行端口将ARP响应报文转发给防火墙线卡。
交换机在从端口B接收到服务器B发送的ARP响应报文时,先进行二层转发的正常源MAC地址的学习,即交换机学习到服务器B的MAC地址对应的输出端口为端口B。交换机在接收到的ARP响应报文中添加隔离VLAN标识,即添加VLAN2标识,交换机通过隔离VLAN的上行端口,将ARP响应报文转发给防火墙线卡。具体可以为,交换机将ARP响应报文加上VLAN2标识后泛洪到VLAN2的上行端口。
步骤515,防火墙线卡对ARP响应报文进行安全控制处理,并根据ARP响应报文的目的MAC地址查询桥组内的MAC地址转发表,获取处理后的ARP响应报文的目的端口为隔离VLAN标识对应的端口。
防火墙线卡通过VLAN2对应的端口接收到ARP响应报文后,对ARP响应报文进行安全控制处理,并进行二层转发的正常源MAC地址学习,即防火墙线卡学习到服务器B的MAC地址对应的输出端口为VLAN2对应的端口。防火墙线卡根据ARP响应报文的目的MAC地址查询桥组内的MAC地址转发表,获取处理后的ARP响应报文的目的端口为隔离VLAN标识对应的端口。即防火墙线卡根据ARP响应报文的目的MAC地址查询桥组内的MAC地址转发表,查询到ARP响应报文的目的端口为VLAN2对应的端口。
步骤516,防火墙线卡通过隔离VLAN对应的端口将处理后的ARP响应报文转发给交换机。
防火墙线卡在查询到ARP响应报文的目的端口后,直接通过该VLAN2对应的端口将处理后的ARP响应报文转发给交换机,即从防火墙线卡接收该报文的接收端口向交换机转发报文。
步骤517,交换机根据ARP响应报文的目的MAC地址查询MAC地址转发表,并获取处理后的ARP响应报文的目的端口为隔离VLAN中源服务器对应的源下行端口。
由于本实施例中隔离VLAN的上行端口不具备MAC地址学习功能,交换机从VLAN2的上行端口接收到ARP响应报文后,交换机不进行源MAC地址学习。此时交换机上保存的服务器B的MAC地址对应的输出端口还是端口B,而不会变为防火墙线卡转发所使用的某个端口。交换机在接收到ARP响应报文后,根据ARP响应报文的目的MAC地址查询MAC地址转发表,并获取处理后的ARP响应报文的目的端口为隔离VLAN中目的服务器对应的目的下行端口。即交换机根据ARP响应报文的目的MAC地址在隔离VLAN内查询MAC地址转发表,查询到该报文的目的端口为VLAN2的下行端口A。
步骤518,交换机通过源下行端口将处理后的ARP响应报文转发到源服务器,并返回执行步骤503-508。
交换机通过查询到的目的下行端口将处理后的ARP响应报文转发到目的服务器,即交换机通过VLAN2的下行端口A将ARP响应报文转发到服务器A上。在通过执行上述步骤509-518之后,源服务器学习到了目的服务器的地址信息,即在源服务器上保存了目的服务器对应的ARP表项,则返回执行步骤503-508向目的服务器发送后续的访问流量报文。
本实施例提供了一种报文转发方法,通过在交换机上配置源服务器和目的服务器所在的VLAN为隔离VLAN,交换机通过隔离VLAN的源下行端口接收访问流量报文或APR请求广播报文,在访问流量报文或APR请求广播报文中添加隔离VLAN标识后通过隔离VLAN的上行端口转发给防火墙线卡,防火墙线卡对访问流量报文或APR请求广播报文进行安全控制处理后,通过隔离VLAN标识对应的端口将访问流量报文或APR请求广播报文转发到交换机;交换机最终通过隔离VLAN的目的下行端口将访问流量报文或APR请求广播报文转发到目的服务器。本实施例无需为每台服务器单独分配一个VLAN,解决了多个服务器间二层互访安全隔离需要占用多个VLAN资源的问题,从而减少了所占的VLAN资源;同时使得同一VLAN内各服务器间的二层互访流量只需通过防火墙线卡一次,便可以实现其互访流量受防火墙安全控制的目的。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
图6为本发明网络设备实施例一的结构示意图,如图6所示,本实施例提供了一种网络设备,可以具体执行上述方法实施例一中的各个步骤,此处不再赘述。当所述源服务器上存在所述目的服务器对应的地址解析协议APR表项时,本实施例提供的网络设备可以具体包括配置模块601、第一接收模块602、第一转发模块603、第二接收模块604和第二转发模块605。其中,配置模块601用于配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN。第一接收模块602用于接收所述源服务器通过所述隔离VLAN中所述源服务器对应的源下行端口发送的交互报文。第一转发模块603用于在所述交互报文中添加隔离VLAN标识后,通过所述隔离VLAN的上行端口将所述交互报文泛洪转发给防火墙线卡,以由所述防火墙线卡对所述交互进行安全控制处理。第二接收模块604用于通过所述隔离VLAN的上行端口接收所述防火墙线卡转发的交互报文。第二转发模块605用于通过所述隔离VLAN中所述目的服务器对应的目的下行端口,将所述交互报文转发到所述目的服务器。
图7为本发明网络设备实施例二的结构示意图,如图7所示,本实施例提供了一种网络设备,可以具体执行上述方法实施例三中的各个步骤,此处不再赘述。本实施例在上述图6所示的实施例的基础之上,第二转发模块605可以具体包括第一获取单元615和第一转发单元625。其中,第一获取单元615用于当所述交互报文为单播报文时,根据所述交互报文的目的MAC地址查询MAC地址转发表,获取所述交互报文的目的端口为所述隔离VLAN中所述目的服务器对应的目的下行端口。第一转发单元625用于通过所述目的下行端口将所述交互报文转发到所述目的服务器。
或者,第二转发模块605可以具体包括第二转发单元635,第二转发单元635用于当所述交互报文为非单播报文时,通过所述隔离VLAN的所有下行端口对所述交互报文进行泛洪转发,以将所述交互报文转发到所述目的服务器。
本实施例提供了一种网络设备,通过在网络设备上配置源服务器和目的服务器所在的VLAN为隔离VLAN,网络设备通过隔离VLAN的源下行端口接收交互报文,在交互报文中添加隔离VLAN标识后通过隔离VLAN的上行端口转发给防火墙线卡,防火墙线卡对交互报文进行安全控制处理后,通过隔离VLAN标识对应的端口将交互报文转发到网络设备;网络设备最终通过隔离VLAN的目的下行端口将交互报文转发到目的服务器。本实施例无需为每台服务器单独分配一个VLAN,解决了多个服务器间二层互访安全隔离需要占用多个VLAN资源的问题,从而减少了所占的VLAN资源;同时使得同一VLAN内各服务器间的二层互访流量只需通过防火墙线卡一次,便可以实现其互访流量受防火墙安全控制的目的。
图8为本发明防火墙线卡实施例一的结构示意图,如图8所示,本实施例提供了一种防火墙线卡,可以具体执行上述方法实施例二中的各个步骤,此处不再赘述。本实施例提供的防火墙线卡在网络设备上配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN,所述防火墙线卡可以具体包括第三接收模块801和第三转发模块802。其中,第三接收模块801用于通过隔离VLAN标识对应的端口接收网络设备转发的交互报文,所述交互报文为所述网络设备通过所述隔离VLAN中所述源服务器对应的源下行端口从所述源服务器接收的,并由所述网络设备在所述交互报文中添加有所述隔离VLAN标识。第三转发模块802用于对所述交互报文进行安全控制处理,并通过所述隔离VLAN标识对应的端口向所述网络设备转发所述交互报文,以由所述网络设备通过所述隔离VLAN中所述目的服务器的对应的目的下行端口将所述交互报文转发到所述目的服务器。
图9为本发明防火墙线卡实施例二的结构示意图,如图7所示,本实施例提供了一种防火墙线卡,可以具体执行上述方法实施例三中的各个步骤,此处不再赘述。本实施例在上述图8所示的实施例的基础之上,第三转发模块802可以具体包括第二获取单元812和第三转发单元822。其中,第二获取单元812用于当所述交互报文为单播报文时,对所述交互报文进行安全控制处理,并根据所述交互报文的目的MAC地址查询桥组内的MAC地址转发表,获取所述交互报文的目的端口为所述隔离VLAN标识对应的端口。第三转发单元822用于通过所述隔离VLAN标识对应的端口向所述网络设备转发所述交互报文,以由所述网络设备通过所述隔离VLAN中所述目的服务器的对应的目的下行端口将所述交互报文转发到所述目的服务器。
或者,本实施例中的第三转发模块802可以具体包括第四转发单元832,第四转发单元832用于当所述交互报文为非单播报文时,对所述交互报文进行安全控制处理,通过桥组内包含所述隔离VLAN标识对应的端口在内的所有VLAN端口,向所述网络设备泛洪转发所述交互报文,以由所述网络设备通过所述隔离VLAN中所述目的服务器的对应的目的下行端口将所述交互报文转发到所述目的服务器。
本实施例提供了一种防火墙线卡,通过在网络设备上配置源服务器和目的服务器所在的VLAN为隔离VLAN,防火墙线卡通过隔离VLAN标识对应的端口接收网络设备转发的交互报文,对该交互报文进行安全控制处理,并通过隔离VLAN标识对应的端口向网络设备转发交互报文,以由网络设备通过隔离VLAN的目的下行端口将交互报文转发到目的服务器;本实施例无需为每台服务器单独分配一个VLAN,解决了多个服务器间二层互访安全隔离需要占用多个VLAN资源的问题,从而减少了所占的VLAN资源;同时使得同一VLAN内各服务器间的二层互访流量只需通过防火墙线卡一次,便可以实现其互访流量受防火墙安全控制的目的。
本实施例还提供了一种报文转发系统,可以包括上述图6或图7所示的网络设备、上述图8或图9所示的防火墙线卡和多个服务器。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (9)
1.一种报文转发方法,其特征在于,在网络设备上配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN,同一隔离VLAN的下行端口之间相互隔离,而上行端口和各下行端口之间可以相互通信;所述隔离VLAN的下行端口为交换机与各服务器互联的端口,所述隔离VLAN的上行端口为交换机与防火墙线卡的内联端口;所述隔离VLAN的上行端口不具备介质访问控制MAC地址学习功能;所述方法包括:
接收所述源服务器通过所述隔离VLAN中所述源服务器对应的源下行端口发送的交互报文;
在所述交互报文中添加隔离VLAN标识后,通过所述隔离VLAN的、与所述隔离VLAN标识对应的上行端口将所述交互报文泛洪转发给防火墙线卡,以由所述防火墙线卡对所述交互报文进行安全控制处理;
通过所述隔离VLAN的、与所述隔离VLAN标识对应的上行端口接收所述防火墙线卡转发的交互报文;
通过所述隔离VLAN中所述目的服务器对应的目的下行端口,将所述交互报文转发到所述目的服务器。
2.根据权利要求1所述的方法,其特征在于,所述通过所述隔离VLAN中所述目的服务器对应的目的下行端口,将所述交互报文转发到所述目的服务器包括:
当所述交互报文为单播报文时,根据所述交互报文的目的MAC地址查询MAC地址转发表,获取所述交互报文的目的端口为所述隔离VLAN中所述目的服务器对应的目的下行端口;
通过所述目的下行端口将所述交互报文转发到所述目的服务器;
或者,
当所述交互报文为非单播报文时,通过所述隔离VLAN的所有下行端口对所述交互报文进行泛洪转发,以将所述交互报文转发到所述目的服务器。
3.一种报文转发方法,其特征在于,在网络设备上配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN,同一隔离VLAN的下行端口之间相互隔离,而上行端口和各下行端口之间可以相互通信;所述隔离VLAN的下行端口为交换机与各服务器互联的端口,所述隔离VLAN的上行端口为交换机与防火墙线卡的内联端口;所述隔离VLAN的上行端口不具备介质访问控制MAC地址学习功能;所述方法包括:
通过隔离VLAN标识对应的端口接收网络设备转发的交互报文,所述交互报文为所述网络设备通过所述隔离VLAN中所述源服务器对应的源下行端口从所述源服务器接收的,并由所述网络设备在所述交互报文中添加有所述隔离VLAN标识;
对所述交互报文进行安全控制处理,并通过所述隔离VLAN标识对应的端口向所述网络设备转发所述交互报文,以由所述网络设备通过所述隔离VLAN中所述目的服务器的对应的目的下行端口将所述交互报文转发到所述目的服务器。
4.根据权利要求3所述的方法,其特征在于,所述通过所述隔离VLAN标识对应的端口向所述网络设备转发所述交互报文包括:
当所述交互报文为单播报文时,根据所述交互报文的目的介质访问控制MAC地址查询桥组内的MAC地址转发表,获取所述交互报文的目的端口为所述隔离VLAN标识对应的端口;
通过所述隔离VLAN标识对应的端口向所述网络设备转发所述交互报文;
或者,
当所述交互报文为非单播报文时,通过桥组内包含所述隔离VLAN标识对应的端口在内的所有VLAN端口,向所述网络设备泛洪转发所述交互报文。
5.一种网络设备,其特征在于,包括:
配置模块,用于配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN,同一隔离VLAN的下行端口之间相互隔离,而上行端口和各下行端口之间可以相互通信;所述隔离VLAN的下行端口为交换机与各服务器互联的端口,所述隔离VLAN的上行端口为交换机与防火墙线卡的内联端口;所述隔离VLAN的上行端口不具备介质访问控制MAC地址学习功能;
第一接收模块,用于接收所述源服务器通过所述隔离VLAN中所述源服务器对应的源下行端口发送的交互报文;
第一转发模块,用于在所述交互报文中添加隔离VLAN标识后,通过所述隔离VLAN的、与所述隔离VLAN标识对应的上行端口将所述交互报文泛洪转发给防火墙线卡,以由所述防火墙线卡对所述交互报文进行安全控制处理;
第二接收模块,用于通过所述隔离VLAN的、与所述隔离VLAN标识对应的上行端口接收所述防火墙线卡转发的交互报文;
第二转发模块,用于通过所述隔离VLAN中所述目的服务器对应的目的下行端口,将所述交互报文转发到所述目的服务器。
6.根据权利要求5所述的网络设备,其特征在于,所述第二转发模块包括:
第一获取单元,用于当所述交互报文为单播报文时,根据所述交互报文的目的MAC地址查询MAC地址转发表,获取所述交互报文的目的端口为所述隔离VLAN中所述目的服务器对应的目的下行端口;
第一转发单元,用于通过所述目的下行端口将所述交互报文转发到所述目的服务器;
或者,
第二转发单元,用于当所述交互报文为非单播报文时,通过所述隔离VLAN的所有下行端口对所述交互报文进行泛洪转发,以将所述交互报文转发到所述目的服务器。
7.一种防火墙线卡,其特征在于,在网络设备上配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN,同一隔离VLAN的下行端口之间相互隔离,而上行端口和各下行端口之间可以相互通信;所述隔离VLAN的下行端口为交换机与各服务器互联的端口,所述隔离VLAN的上行端口为交换机与防火墙线卡的内联端口;所述隔离VLAN的上行端口不具备介质访问控制MAC地址学习功能;所述防火墙线卡包括:
第三接收模块,用于通过隔离VLAN标识对应的端口接收网络设备转发的交互报文,所述交互报文为所述网络设备通过所述隔离VLAN中所述源服务器对应的源下行端口从所述源服务器接收的,并由所述网络设备在所述交互报文中添加有所述隔离VLAN标识;
第三转发模块,用于对所述交互报文进行安全控制处理,并通过所述隔离VLAN标识对应的端口向所述网络设备转发所述交互报文,以由所述网络设备通过所述隔离VLAN中所述目的服务器的对应的目的下行端口将所述交互报文转发到所述目的服务器。
8.根据权利要求7所述的防火墙线卡,其特征在于,所述第三转发模块包括:
第二获取单元,用于当所述交互报文为单播报文时,对所述交互报文进行安全控制处理,并根据所述交互报文的目的MAC地址查询桥组内的MAC地址转发表,获取所述交互报文的目的端口为所述隔离VLAN标识对应的端口;
第三转发单元,用于通过所述隔离VLAN标识对应的端口向所述网络设备转发所述交互报文,以由所述网络设备通过所述隔离VLAN中所述目的服务器的对应的目的下行端口将所述交互报文转发到所述目的服务器;
或者,
第四转发单元,用于当所述交互报文为非单播报文时,对所述交互报文进行安全控制处理,通过桥组内包含所述隔离VLAN标识对应的端口在内的所有VLAN端口,向所述网络设备泛洪转发所述交互报文,以由所述网络设备通过所述隔离VLAN中所述目的服务器的对应的目的下行端口将所述交互报文转发到所述目的服务器。
9.一种报文转发系统,其特征在于,包括权利要求5或6所述的网络设备、权利要求7或8所述的防火墙线卡和多个服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110399450.9A CN102420762B (zh) | 2011-12-05 | 2011-12-05 | 报文转发方法、系统、网络设备和防火墙线卡 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110399450.9A CN102420762B (zh) | 2011-12-05 | 2011-12-05 | 报文转发方法、系统、网络设备和防火墙线卡 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102420762A CN102420762A (zh) | 2012-04-18 |
CN102420762B true CN102420762B (zh) | 2015-04-22 |
Family
ID=45945002
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110399450.9A Active CN102420762B (zh) | 2011-12-05 | 2011-12-05 | 报文转发方法、系统、网络设备和防火墙线卡 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102420762B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103118149B (zh) * | 2013-03-04 | 2016-06-29 | 华为技术有限公司 | 同一租户内服务器间的通信控制方法及网络设备 |
CN104683240B (zh) * | 2013-12-03 | 2018-07-13 | 华为技术有限公司 | 一种数据流处理的方法及装置 |
CN104022973A (zh) * | 2014-06-18 | 2014-09-03 | 福建星网锐捷网络有限公司 | 报文转发方法、交换模块、防火墙卡和交换机 |
CN106559268B (zh) * | 2016-11-28 | 2019-12-13 | 浙江宇视科技有限公司 | 用于ip监控系统的动态端口隔离方法及装置 |
CN109104353B (zh) * | 2018-09-21 | 2021-04-30 | 新华三信息安全技术有限公司 | 一种数据传输的方法及装置 |
CN109525601B (zh) | 2018-12-28 | 2021-04-27 | 杭州迪普科技股份有限公司 | 内网中终端间的横向流量隔离方法和装置 |
CN112311737A (zh) * | 2019-07-31 | 2021-02-02 | 中兴通讯股份有限公司 | 一种流量隔离方法、装置及设备、存储介质 |
CN112737948A (zh) * | 2020-12-30 | 2021-04-30 | 北京威努特技术有限公司 | 一种vlan间的数据传输方法、装置及工控防火墙设备 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040210623A1 (en) * | 2003-03-06 | 2004-10-21 | Aamer Hydrie | Virtual network topology generation |
CN100438439C (zh) * | 2006-05-19 | 2008-11-26 | 华为技术有限公司 | 一种防止mac地址欺骗的方法 |
JP4259581B2 (ja) * | 2007-02-07 | 2009-04-30 | 日立電線株式会社 | スイッチングハブおよびlanシステム |
US8054840B2 (en) * | 2007-06-12 | 2011-11-08 | International Business Machines Corporation | Data center virtual local area network system and method |
CN101383835B (zh) * | 2008-10-21 | 2011-07-27 | 杭州华三通信技术有限公司 | 一种实现服务器安全隔离的方法及装置 |
CN101764753A (zh) * | 2009-12-28 | 2010-06-30 | 中兴通讯股份有限公司 | 一种实现交换机端口mac地址防迁移的方法及装置 |
-
2011
- 2011-12-05 CN CN201110399450.9A patent/CN102420762B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN102420762A (zh) | 2012-04-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102420762B (zh) | 报文转发方法、系统、网络设备和防火墙线卡 | |
US11070619B2 (en) | Routing messages between cloud service providers | |
CN102594711B (zh) | 一种在边缘设备上的报文转发方法和边缘设备 | |
EP2502389B1 (en) | Method for the provision of gateway anycast virtual mac reachability in extended subnets | |
CN112422307B (zh) | Evpn和vpls共存双活的方法、设备及系统 | |
CN104104570A (zh) | Irf系统中的聚合处理方法及装置 | |
CN101534209B (zh) | 一种组播报文发送的方法和装置 | |
CN102577331A (zh) | 虚拟第2层及使其可扩展的机制 | |
CN108200225A (zh) | 不对称网络地址封装 | |
CN108259635B (zh) | 一种arp表项学习方法和dr设备 | |
CN102647487B (zh) | 一种节约ip地址的方法及接入代理设备 | |
CN103944828A (zh) | 一种协议报文的传输方法和设备 | |
KR101694223B1 (ko) | 패킷을 전송하는 방법, 라우팅 브리지, 및 시스템 | |
CN109474507B (zh) | 一种报文转发方法及装置 | |
CN107040441B (zh) | 跨数据中心的数据传输方法、装置及系统 | |
CN103401781A (zh) | 应用于多链路透明互联网络的接入方法和设备 | |
US10757066B2 (en) | Active-active access to transparent interconnection of lots of links (TRILL) edges | |
CN105187311A (zh) | 一种报文转发方法及装置 | |
CN103078800A (zh) | Evi网络中的mac地址信息控制方法及边缘设备 | |
CN104253698A (zh) | 报文组播的处理方法和设备 | |
CN113794615B (zh) | 一种报文转发方法及设备 | |
US9548887B2 (en) | Proactive creation of multicast state in an overlay transport network to achieve fast convergence on failover | |
CN104009919A (zh) | 报文转发方法及装置 | |
CN103354567B (zh) | 一种同步媒体访问控制地址的方法和设备 | |
CN102238040B (zh) | 一种对ce进行监控的方法和路由设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |