CN102427429B - 一种实现交换机内部报文安全防护的方法、系统以及交换机 - Google Patents
一种实现交换机内部报文安全防护的方法、系统以及交换机 Download PDFInfo
- Publication number
- CN102427429B CN102427429B CN201210009271.4A CN201210009271A CN102427429B CN 102427429 B CN102427429 B CN 102427429B CN 201210009271 A CN201210009271 A CN 201210009271A CN 102427429 B CN102427429 B CN 102427429B
- Authority
- CN
- China
- Prior art keywords
- message
- security protection
- card
- interface
- vlan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种实现交换机内部报文安全防护的方法、系统以及交换机,所述方法包括:主控模块向安全防护模块实时同步三层VLAN状态信息;通过主控模块指定需要报文安全防护的VLAN;主控模块根据预设的过滤规则生成报文引导规则并下发至接口模块;接口模块把进入和/或流出所述指定VLAN的IP报文重定向到安全防护模块;安全防护模块根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口模块。采用本发明的技术方案,在一个既需要交换又需要安全防护的网络拓扑中,达到交换与安全充分融合,不用对拓扑做出任何变动,降低了用户投资和管理成本。
Description
技术领域
本发明涉及数据通信技术领域,尤其涉及一种实现交换机内部报文安全防护的方法、系统以及交换机。
背景技术
防火墙是现代网络中必不可少的安全设备,它通过控制网络访问的方式实现安全策略。防火墙传统上仅仅实现了非法报文的过滤,防止外来非法地址的接入,UTM在此基础之上进行了扩展,实现更细力度的访问控制、NAT、VPN服务、IPS、防病毒、URL过滤、DPI识别等多种功能,充分保护了用户网络的私密性、完整性和可用性。
传统上区域边界一般会部署多台应用设备,比如应用网关、防火墙、VPN设备等,大量设备串联,不仅增加了用户投资,也增加了实施复杂度和管理成本。近来业界推出防火墙线卡,将交换机的转发和安全业务一定程度的融合起来,降低了网络拓扑复杂度和管理成本,但是都没有做到充分的融合,例如NP方案,一般是由一个功能强大的通用控制CPU和多个NP构建的解决方案,相同转发性能的软硬件成本明显偏高。采用RMI多核方案,它是通过万兆接口与交换机连接,实际这是两个独立的硬件系统通过以太网连接的一个集成产品,多业务板接收数据时不能获取入口交换机的入口物理信息,处理完数据包也不能指定交换机出端口的信息,这在数据包流回线卡后会增加接口线卡的处理负担。
发明内容
本发明的目的在于,在一个既需要交换又需要安全防护的网络拓扑中,达到交换与安全充分融合,降低用户投资和管理成本。
为达此目的,本发明采用以下技术方案:
一种实现交换机内部报文安全防护的方法,包括以下步骤:
A、主控模块向安全防护模块实时同步三层VLAN状态信息;
B、通过主控模块指定需要报文安全防护的VLAN;
C、主控模块根据预设的过滤规则生成报文引导规则并下发至接口模块;
D、接口模块把进入和/或流出所述指定VLAN的IP报文重定向到安全防护模块;
E、安全防护模块根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口模块。
所述步骤A中,所述三层VLAN状态信息包括:三层VLAN接口MAC、接口IP信息、路由表项和邻居表项;其中路由表项和邻居表项,包括静态配置的条目和动态生成的条目。
所述步骤C中,所述预设的过滤规则,是指为所述指定VLAN指定相应的安全防护模块进行报文安全防护处理。
所述步骤C中,所述报文引导规则包括ACL规则和邻居表项;
所述ACL规则,用于实现接口模块把进入所述指定VLAN的IP报文重定向到安全防护模块;
所述邻居表项,用于实现接口模块把流出所述指定VLAN的IP报文重定向到安全防护模块。
所述步骤D中,
当所述指定VLAN有IP报文流入时,接口模块根据主控模块下发的ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护模块;
当所述指定VLAN有IP报文流出时,将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护模块的识别信息,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护模块。
所述步骤E进一步包括以下步骤:
E1、安全防护模块对收到的IP报文根据NAT规则进行处理;
E2、判断处理后的IP报文的目标IP地址是否属于本机三层VLAN接口的IP地址;若属于,则所述IP报文为本地报文,进入步骤E3;若不属于,则所述IP报文为转发报文,进入步骤E4;
E3、安全防护模块根据预设的安全策略,对所述本地报文进行处理,把通过安全策略处理的本地报文转回接口模块;
E4、安全防护模块根据预设的安全策略,对所述转发报文进行处理,对于通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口模块,接口模块不再做路由查找而直接将所述转发数据包转发出去。
一种实现交换机内部报文安全防护的系统,包括:
主控模块,用于指定需要报文安全防护的VLAN,根据预设的过滤规则生成报文引导规则并下发至接口模块;
接口模块,用于根据报文引导规则将进入和/或流出的IP报文重定向到安全防护模块;
安全防护模块,用于根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口模块;
其中主控模块分别与接口模块和安全防护模块连接,接口模块与安全防护模块连接。
所述主控模块下发至接口模块的报文引导规则包括ACL规则和邻居表项;接口模块根据ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护模块;接口模块通过将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护模块的识别信息,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护模块。
所述安全防护模块对收到的IP报文根据NAT规则进行处理,判断处理后的IP报文的类型;对于本地报文,安全防护模块根据预设的安全策略进行处理,把通过安全策略处理的本地报文转回接口模块;对于转发报文,安全防护模块根据预设的安全策略进行处理,对通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口模块,接口模块不再做路由查找,而直接将所述转发数据包转发出去。
一种实现内部报文安全防护的交换机,包括主控卡、至少一块接口线卡和至少一块安全防护线卡,所述接口线卡和安全防护线卡为独立线卡,通过HiGig口与交换机背板数据通道连接,主控卡通过背板的控制通道对接口线卡和安全防护线卡进行控制管理;
主控卡,用于指定需要报文安全防护的VLAN,根据预设的过滤规则生成报文引导规则并下发至接口线卡;
接口线卡,用于根据报文引导规则将进入和/或流出的IP报文重定向到安全防护线卡;
安全防护线卡,用于根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口线卡。
所述主控卡向同一机柜内的至少一块安全防护线卡实时同步三层VLAN状态信息,包括三层VLAN接口MAC、接口IP信息、路由表项、邻居表项,其中路由表项和邻居表包括静态配置的条目和动态生成的条目。
主控卡指定至少一个VLAN进行报文安全防护,并且为每个所述指定VLAN指定一块安全防护线卡。
所述主控卡下发至接口线卡的报文引导规则包括ACL规则和邻居表项;接口线卡根据ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护线卡;接口线卡通过将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护线卡所在的槽位号,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护线卡。
所述安全防护线卡对收到的IP报文根据NAT规则进行处理,判断处理后的IP报文的类型;对于本地报文,安全防护模块根据预设的安全策略进行处理,把通过安全策略处理的本地报文转回接口线卡;对于转发报文,安全防护线卡根据预设的安全策略进行处理,对通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口线卡,接口线卡不再做路由查找,直接将所述转发数据包转发出去。
采用本发明的技术方案,在一个既需要交换又需要安全防护的网络拓扑中,达到交换与安全充分融合,降低用户投资和管理成本,使得管理员在已有的网络拓扑中添加安全防护功能时,仅用插入安全防护线卡和简单的命令配置即可完成,不用对拓扑做出任何变动。
附图说明
图1是本发明具体实施方式提供的实现交换机内部报文安全防护的方法流程示意图;
图2是安全防护模块对收到的IP报文进行处理的流程示意图;
图3是本发明具体实施方式提供的实现交换机内部报文安全防护的系统结构示意图;
图4是本发明具体实施方式提供的实现内部报文安全防护的交换机结构示意图。
具体实施方式
下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。
图1是本发明具体实施方式提供的实现交换机内部报文安全防护的方法流程示意图,如图1所示,该实现交换机内部报文安全防护的方法包括以下步骤:
步骤S101,主控模块向安全防护模块实时同步三层VLAN状态信息。主控模块向处于运行状态的安全防护模块同步当前的三层VLAN状态信息,所述三层VLAN状态信息包括,三层VLAN接口MAC、接口IP信息、路由表项和邻居表项;其中路由表项和邻居表项,既包括静态配置的条目,又包括动态生成的条目。
步骤S102,通过主控模块指定需要报文安全防护的VLAN。管理员在主控模块上指定需要做安全防护的VLAN,与该VLAN相关的流量将会进行安全防护。
步骤S103,主控模块根据预设的过滤规则生成报文引导规则并下发至接口模块。在所述主控模块上可以配置过滤规则,将指定VLAN内的报文,指定到某一个安全防护线模块进行安全防护。
所述指定VLAN内的流量包括,进入该VLAN内的IP报文和从该VLAN转发出去的IP报文。进入该VLAN的IP报文识别特征为,该IP报文的目的MAC为该VLAN的三层接口的MAC。从该VLAN转发出去的IP报文,来自交换机的其它三层VLAN,出接口为该三层VLAN接口,识别特征为:目的路由的下一跳和该三层VLAN接口处于同一网段。
主控模块根据过滤规则,生成报文引导规则下发给接口模块。所述报文引导规则包括ACL规则,用于实现接口模块把进入所述指定VLAN的IP报文重定向到安全防护模块;邻居表项,用于实现接口模块把流出所述指定VLAN的IP报文重定向到安全防护模块。
步骤S104,接口模块把进入和/或流出所述指定VLAN的IP报文重定向到安全防护模块。当所述指定VLAN有IP报文流入时,接口模块根据主控模块下发的ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护模块;
当所述指定VLAN有IP报文流出时,将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护模块的识别信息,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护模块。
两种方式都保持重定向报文的完整性,不修改IP报文的任何内容,特别是不修改TTL。
步骤S105,安全防护模块根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口模块。图2为所述步骤S105中安全防护模块对收到的IP报文进行处理的流程示意图,如图2所示,该处理流程包括以下步骤:
步骤S201,安全防护模块对从HiGig口上收到的IP报文根据NAT规则进行处理。
步骤S202,判断处理后的IP报文的目标IP地址是否属于本机三层VLAN接口的IP地址。目标IP地址为本机三层VLAN接口IP的IP报文,视作本地报文,目标IP地址为非本机三层VLAN接口IP的其它IP报文,视作转发报文。
当所述IP报文为本地报文时,进入步骤S203;当所述IP报文为转发报文时,进入步骤S204。
步骤S203,安全防护模块根据预设的安全策略,对本地报文进行安全防护。对通过安全策略处理的本地报文,重定向到接口模块。
步骤S204,安全防护模块根据预设的安全策略,对所述转发报文进行安全防护,对于通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口模块,接口模块不再做路由查找而直接将所述转发数据包转发出去。
图3是本发明具体实施方式提供的实现交换机内部报文安全防护的系统结构示意图;如图3所示,该实现交换机内部报文安全防护的系统包括:
主控模块301,用于指定需要报文安全防护的VLAN,根据预设的过滤规则生成报文引导规则并下发至接口模块302;
接口模块302,用于根据报文引导规则将进入和/或流出的IP报文重定向到安全防护模块303;
安全防护模块303,用于根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口模块302;
其中主控模块分别与接口模块和安全防护模块连接,接口模块与安全防护模块连接。
所述主控模块下发至接口模块的报文引导规则包括ACL规则和邻居表项;接口模块根据ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护模块;接口模块通过将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护模块的识别信息,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护模块。
所述安全防护模块对收到的IP报文根据NAT规则进行处理,判断处理后的IP报文的类型;对于本地报文,安全防护模块根据预设的安全策略进行处理,把通过安全策略处理的本地报文转回接口模块;对于转发报文,安全防护模块根据预设的安全策略进行处理,对通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口模块,接口模块不再做路由查找,而直接将所述转发数据包转发出去。
图4是本发明具体实施方式提供的实现内部报文安全防护的交换机结构示意图;如图4所示,该交换机包括:
包括主控卡401、至少一块接口线卡402和至少一块安全防护线卡403,所述接口线卡402和安全防护线卡403为独立线卡,通过HiGig口与交换机背板数据通道连接,主控卡401通过背板的控制通道对接口线卡402和安全防护线卡403进行控制管理;
主控卡401,用于指定需要报文安全防护的VLAN,根据预设的过滤规则生成报文引导规则并下发至接口线卡;
接口线卡402,用于根据报文引导规则将进入和/或流出的IP报文重定向到安全防护线卡;
安全防护线卡403,用于根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口线卡。
所述主控卡向同一机柜内的至少一块安全防护线卡实时同步三层VLAN状态信息,包括三层VLAN接口MAC、接口IP信息、路由表项、邻居表项,其中路由表项和邻居表包括静态配置的条目和动态生成的条目。
主控卡指定至少一个VLAN进行报文安全防护,并且为每个所述指定VLAN指定一块安全防护线卡。
所述主控卡下发至接口线卡的报文引导规则包括ACL规则和邻居表项;接口线卡根据ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护线卡;接口线卡通过将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护线卡所在的槽位号,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护线卡。
所述安全防护线卡对收到的IP报文根据NAT规则进行处理,判断处理后的IP报文的类型;对于本地报文,安全防护模块根据预设的安全策略进行处理,把通过安全策略处理的本地报文转回接口线卡;对于转发报文,安全防护线卡根据预设的安全策略进行处理,对通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口线卡,接口线卡不再做路由查找,直接将所述转发数据包转发出去。
本发明具体实施方式提供的实现内部报文安全防护的交换机,转发逻辑和安全控制逻辑集成在同一主控卡上,接口线卡工作在网关模式,路由协议学习、邻居表项学习全部由主控卡完成,然后通过背板控制通道同步到安全防护线卡上,安全防护线卡完全融合到交换机系统中,仅把需要安全防护的流量(一般根据VLAN划分)导入安全防护线卡进行处理,其它流量仍在交换机进行高速的三层转发。与业界通过以太网连接而集成的产品相比,本发明具体实施方式中的安全防护线卡能够获取接口线卡的入口物理信息,处理完IP报文后直接指定接口线卡的出端口,减少了接口线卡的处理负担;同时在有安全防护线卡时,TTL仅花费1跳,与业界同类产品花费3跳相比,优化了报文的转发性能。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (9)
1.一种实现交换机内部报文安全防护的方法,其特征在于,包括以下步骤:
A、主控卡向安全防护线卡实时同步三层VLAN状态信息;
B、通过主控卡指定需要报文安全防护的VLAN,其中,所述三层VLAN状态信息包括:三层VLAN接口MAC、接口IP信息、路由表项和邻居表项;其中路由表项和邻居表项,包括静态配置的条目和动态生成的条目;
C、主控卡根据预设的过滤规则生成报文引导规则并下发至接口线卡;
D、接口线卡把进入和/或流出所述指定VLAN的IP报文重定向到安全防护线卡,其中,主控卡分别与接口线卡和安全防护线卡连接,接口线卡与安全防护线卡连接;
E、安全防护线卡根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口线卡。
2.根据权利要求1所述的实现交换机内部报文安全防护的方法,其特征在于,步骤C中,所述预设的过滤规则,是指为所述指定VLAN指定相应的安全防护线卡进行报文安全防护处理。
3.根据权利要求1所述的实现交换机内部报文安全防护的方法,其特征在于,步骤C中,所述报文引导规则包括ACL规则和邻居表项;
所述ACL规则,用于实现接口线卡把进入所述指定VLAN的IP报文重定向到安全防护线卡;
所述邻居表项,用于实现接口线卡把流出所述指定VLAN的IP报文重定向到安全防护线卡。
4.根据权利要求3所述的实现交换机内部报文安全防护的方法,其特征在于,步骤D中,
当所述指定VLAN有IP报文流入时,接口线卡根据主控卡下发的ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护线卡;
当所述指定VLAN有IP报文流出时,将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护线卡的识别信息,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护线卡。
5.根据权利要求1-4任一所述的实现交换机内部报文安全防护的方法,其特征在于,所述步骤E进一步包括以下步骤:
E1、安全防护线卡对收到的IP报文根据NAT规则进行处理;
E2、判断处理后的IP报文的目标IP地址是否属于本机三层VLAN接口的IP地址;若属于,则所述IP报文为本地报文,进入步骤E3;若不属于,则所述IP报文为转发报文,进入步骤E4;
E3、安全防护线卡根据预设的安全策略,对所述本地报文进行处理,把通过安全策略处理的本地报文转回接口线卡;
E4、安全防护线卡根据预设的安全策略,对所述转发报文进行处理,对于通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口线卡,接口线卡不再做路由查找而直接将所述转发数据包转发出去。
6.一种实现内部报文安全防护的交换机,其特征在于,包括主控卡、至少一块接口线卡和至少一块安全防护线卡,所述接口线卡和安全防护线卡为独立线卡,通过HiGig口与交换机背板数据通道连接,主控卡通过背板的控制通道对接口线卡和安全防护线卡进行控制管理;
主控卡,用于指定需要报文安全防护的VLAN,根据预设的过滤规则生成报文引导规则并下发至接口线卡,以及,所述主控卡向同一机柜内的至少一块安全防护线卡实时同步三层VLAN状态信息,包括三层VLAN接口MAC、接口IP信息、路由表项、邻居表项,其中路由表项和邻居表包括静态配置的条目和动态生成的条目;
接口线卡,用于根据报文引导规则将进入和/或流出的IP报文重定向到安全防护线卡;
安全防护线卡,用于根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口线卡。
7.根据权利要求6所述的一种实现内部报文安全防护的交换机,其特征在于,主控卡指定至少一个VLAN进行报文安全防护,并且为每个所述指定VLAN指定一块安全防护线卡。
8.根据权利要求6所述的一种实现内部报文安全防护的交换机,其特征在于,所述主控卡下发至接口线卡的报文引导规则包括ACL规则和邻居表项;接口线卡根据ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护线卡;接口线卡通过将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护线卡所在的槽位号,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护线卡。
9.根据权利要求6或8所述的一种实现内部报文安全防护的交换机,其特征在于,所述安全防护线卡对收到的IP报文根据NAT规则进行处理,判断处理后的IP报文的类型;对于本地报文,安全防护线卡根据预设的安全策略进行处理,把通过安全策略处理的本地报文转回接口线卡;对于转发报文,安全防护线卡根据预设的安全策略进行处理,对通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口线卡,接口线卡不再做路由查找,直接将所述转发数据包转发出去。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210009271.4A CN102427429B (zh) | 2012-01-12 | 2012-01-12 | 一种实现交换机内部报文安全防护的方法、系统以及交换机 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210009271.4A CN102427429B (zh) | 2012-01-12 | 2012-01-12 | 一种实现交换机内部报文安全防护的方法、系统以及交换机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102427429A CN102427429A (zh) | 2012-04-25 |
| CN102427429B true CN102427429B (zh) | 2016-12-14 |
Family
ID=45961375
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210009271.4A Active CN102427429B (zh) | 2012-01-12 | 2012-01-12 | 一种实现交换机内部报文安全防护的方法、系统以及交换机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102427429B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9548933B2 (en) | 2012-03-05 | 2017-01-17 | Nec Corporation | Network system, switch, and methods of network configuration |
| WO2014067043A1 (zh) * | 2012-10-29 | 2014-05-08 | 华为技术有限公司 | 网络流量检测方法、系统、设备及控制器 |
| CN104050193B (zh) * | 2013-03-15 | 2017-11-03 | 中国银联股份有限公司 | 生成报文的方法和实现该方法的数据处理系统 |
| CN103236992B (zh) * | 2013-04-03 | 2016-09-28 | 武汉烽火网络有限责任公司 | 实现机架式系统背板互联的方法 |
| CN103561001A (zh) * | 2013-10-21 | 2014-02-05 | 华为技术有限公司 | 一种安全防护方法及路由设备 |
| CN104022973A (zh) * | 2014-06-18 | 2014-09-03 | 福建星网锐捷网络有限公司 | 报文转发方法、交换模块、防火墙卡和交换机 |
| CN106603523A (zh) * | 2016-12-09 | 2017-04-26 | 北京东土军悦科技有限公司 | 一种报文转发方法及网络交换设备 |
| CN110247928B (zh) * | 2019-06-29 | 2020-09-15 | 河南信大网御科技有限公司 | 一种拟态交换机安全流量控制装置及方法 |
| CN110855568B (zh) * | 2019-11-22 | 2022-02-22 | 迈普通信技术股份有限公司 | 报文转发方法及系统 |
| CN113626736B (zh) * | 2021-08-10 | 2023-11-17 | 迈普通信技术股份有限公司 | Url特征学习方法、装置、电子设备及计算机可读存储介质 |
| CN114900350B (zh) * | 2022-04-29 | 2024-02-20 | 北京元数智联技术有限公司 | 报文传输方法、装置、设备、存储介质及程序产品 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1767495A (zh) * | 2004-10-28 | 2006-05-03 | 华为技术有限公司 | 保证城域传输设备中二层以太网交换机数据安全的方法 |
| CN101217539A (zh) * | 2007-12-29 | 2008-07-09 | 杭州华三通信技术有限公司 | 一种防火墙设备及处理二层转发报文的方法 |
| CN101567848A (zh) * | 2009-06-01 | 2009-10-28 | 北京星网锐捷网络技术有限公司 | 安全控制方法与交换机 |
-
2012
- 2012-01-12 CN CN201210009271.4A patent/CN102427429B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1767495A (zh) * | 2004-10-28 | 2006-05-03 | 华为技术有限公司 | 保证城域传输设备中二层以太网交换机数据安全的方法 |
| CN101217539A (zh) * | 2007-12-29 | 2008-07-09 | 杭州华三通信技术有限公司 | 一种防火墙设备及处理二层转发报文的方法 |
| CN101567848A (zh) * | 2009-06-01 | 2009-10-28 | 北京星网锐捷网络技术有限公司 | 安全控制方法与交换机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102427429A (zh) | 2012-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102427429B (zh) | 一种实现交换机内部报文安全防护的方法、系统以及交换机 | |
| JP7332689B2 (ja) | 動的なインテントベースのファイアウォール | |
| CN103491095B (zh) | 流量清洗架构、装置及流量牵引、流量回注方法 | |
| CN101431449B (zh) | 一种网络流量清洗系统 | |
| CN104811400B (zh) | 一种分布式网络设备 | |
| CN108696434A (zh) | 一种转发数据报文的方法、设备和系统 | |
| CN107851109A (zh) | 软件定义网络的配置 | |
| CN104283756A (zh) | 一种实现分布式多租户虚拟网络的方法和装置 | |
| CN101013962A (zh) | 集成安全交换机 | |
| CN102035740B (zh) | 多协议标签交换三层私有虚拟网快速重路由方法及系统 | |
| CN105703960A (zh) | 基于sdn的网络功能管理系统及方法 | |
| CN101635702A (zh) | 应用安全策略的数据包转发方法 | |
| CN103428061A (zh) | 接入底盘节点和利用接入底盘节点进行数据转发的方法 | |
| US10432515B1 (en) | Reducing number of Ethernet segment MPLS labels for all-active multi-homing | |
| CN106713026A (zh) | 业务链拓扑结构、业务链设置方法和控制器 | |
| Kumar et al. | Open flow switch with intrusion detection system | |
| CN105991441A (zh) | 对bgp路由选择性下发路由转发表的方法和装置 | |
| US20110058559A1 (en) | Vlan data framing and transmission | |
| CN103346950B (zh) | 一种机架式无线控制器用户业务板间负载均摊方法及装置 | |
| CN106341296A (zh) | 一种变电站内通信网络中避免数据报文碰撞的方法 | |
| CN105978806A (zh) | 一种服务链引流方法和装置 | |
| CN115766335A (zh) | 技术研究成果信息共享的组网系统 | |
| CN107645458B (zh) | 三层报文引流方法及控制器 | |
| CN103986660B (zh) | 加载微码的装置以及加载微码的方法 | |
| CN104579697B (zh) | 网络扩展模块及多网络处理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100085 Beijing Haidian District, No. 9 Shangdi Jiujie Digital Science and Technology Plaza Patentee after: Beijing Shenzhou Digital Cloud Information Technology Co., Ltd. Address before: 100085 Beijing Haidian District, No. 9 Shangdi Jiujie Digital Science and Technology Plaza Patentee before: Digital China Networks (Beijing) Limited |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190620 Address after: 430000 Six Floors of 777B Office Building, Guanggu Third Road, Donghu New Technology Development Zone, Wuhan City, Hubei Province Patentee after: Wuhan Shenzhou Digital Cloud Technology Co., Ltd. Address before: 100085 Beijing Haidian District, No. 9 Shangdi Jiujie Digital Science and Technology Plaza Patentee before: Beijing Shenzhou Digital Cloud Information Technology Co., Ltd. |