CN102664804A - 网络设备实现网桥功能的方法及系统 - Google Patents

网络设备实现网桥功能的方法及系统 Download PDF

Info

Publication number
CN102664804A
CN102664804A CN2012101221568A CN201210122156A CN102664804A CN 102664804 A CN102664804 A CN 102664804A CN 2012101221568 A CN2012101221568 A CN 2012101221568A CN 201210122156 A CN201210122156 A CN 201210122156A CN 102664804 A CN102664804 A CN 102664804A
Authority
CN
China
Prior art keywords
interface
message
bridge
mac address
sub
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012101221568A
Other languages
English (en)
Other versions
CN102664804B (zh
Inventor
陈海滨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Opzoon Technology Co Ltd
Original Assignee
Opzoon Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Opzoon Technology Co Ltd filed Critical Opzoon Technology Co Ltd
Priority to CN201210122156.8A priority Critical patent/CN102664804B/zh
Publication of CN102664804A publication Critical patent/CN102664804A/zh
Application granted granted Critical
Publication of CN102664804B publication Critical patent/CN102664804B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种网络设备实现网桥功能的方法及系统,涉及网络通信技术领域,所述方法包括:S1:当前网络设备中设有Q个网桥;S2:若当前网桥V的某个子接口Vx接收到报文时,根据所述报文的源mac地址和目的mac地址查找与所述当前网桥V对应的mac地址表,若未查找到相应的第一地址记录,则直接丢弃所述报文,结束所述方法,否则执行下一步;S3:根据所述第一地址记录判断所述目的mac地址所对应的接口类型,若接口类型为子接口,则执行报文桥内转发处理过程,若接口类型为网桥口,则执行报文桥外转发处理过程。本发明通过报文的桥内转发过程和桥外转发过程,实现了网络段间的监控,并提高了安全性。

Description

网络设备实现网桥功能的方法及系统
技术领域
本发明涉及网络通信技术领域,特别涉及一种网络设备实现网桥功能的方法及系统。
背景技术
网桥功能类似于中继器,连接两个局域网络段,但它是在数据链路层连接两个网。网间通信从网桥传送,而网路内部的通信被网桥隔离,网桥检查报文的源地址和目的地址,如果目的地址和源地址不在同一个网络段上,就把报文转发到另一个网络段上;若两个地址在同一个网络段上,则不转发,所以网桥能起到过滤报文的作用。网桥的报文过滤特性很有用,当一个网络由于负载很重而性能下降时,可以用网桥把它分成两个网络段并使得段间的通信量保持最小,例如,把分布在两层楼上的网络分成每层一个网络段,段间用网桥连接。这样配置可以最大限度地缓解网络通信繁忙的程度,提高通信效率。同时由于网桥的隔离作用,一个网络段上的故障不会影响另一个网络段,从而提高了网络的可靠性,但由于网桥的网络段的隔离特性,无法实现网络段间的监控,导致网桥的使用范围受到了限制,并且由于传统网桥的报文过滤方式较为简单,因此安全性较低。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何实现网络段间的监控,并提高安全性。
(二)技术方案
为解决上述技术问题,本发明提供了一种网络设备实现网桥功能的方法,所述方法包括以下步骤:
S1:当前网络设备中设有Q个网桥,所述网络设备中的每N个物理接口配置为所述Q个网桥中1个网桥的子接口、且所述网络设备还剩余M个物理接口,每个网桥均设有1个对外的网桥口,为每个网桥内的子接口分别分配安全级别,其中,N为大于等于2的整数,Q、M为大于等于1的整数;
S2:若当前网桥V的某个子接口Vx接收到报文时,根据所述报文的源mac地址和目的mac地址查找与所述当前网桥V对应的mac地址表,若未查找到相应的第一地址记录,则直接丢弃所述报文,结束所述方法,否则执行下一步,所述当前网桥V对应的mac地址表通过所述当前网桥V内的子接口的安全级别建立;
S3:根据所述第一地址记录判断所述目的mac地址所对应的接口类型,若接口类型为子接口,则执行报文桥内转发处理过程,若接口类型为网桥口,则执行报文桥外转发处理过程。
优选地,步骤S3中所述报文桥内转发处理过程包括以下步骤:
S301:所述报文的IP五元组查找二层快速转发表,若查找到相应的连接记录,则直接将所述报文转发至与所述目的mac地址对应的子接口,否则执行下一步;
S302:比较与所述目的mac地址对应的子接口和所述子接口Vx之间的安全级别,若所述子接口Vx的安全级别较高,则执行步骤S303,否则执行步骤S304;
S303:将所述报文通过与所述目的mac地址对应的子接口进行转发,并将所述报文的IP五元组的连接记录保存至所述二层快速转发表中,结束所述方法;
S304:丢弃所述报文,结束所述方法。
优选地,步骤S302和步骤S304之间还包括以下步骤:
S3021:根据所述报文的IP五元组判断第一预设的三层访问控制列表中是否配置了准许转发所述报文的记录,若有,则执行步骤S303,否则执行步骤S304。
优选地,所述当前网络设备为每个网桥的所述网桥口和剩余的M个物理接口分别分配安全级别,步骤S3中所述报文桥外转发处理过程包括以下步骤:
S311:对所述报文进行解析,并进行二层协议头处理;
S312:根据所述报文的IP五元组查找三层快速转发表,若查找到相应的连接记录,则将所述连接记录中的出接口E1的mac地址作为所述报文的源mac地址及所述连接记录中下一跳网关C1的mac地址作为所述报文的目的mac地址封装至所述报文的报头中,所述出接口E1为其它网桥口及剩余的M个物理接口中的一个,当所述出接口E1为物理接口,则将封装后的报文通过所述出接口E1进行转发,结束所述方法,当所述出接口E1为网桥口,则将封装后的报文通过与所述连接记录中的子接口号对应的子接口进行转发,结束所述方法,结束所述方法,若未查找到相应的连接记录,则执行下一步;
S313:根据所述报文的目的IP地址查找路由表,以获得所述报文的出接口E2的mac地址及下一跳网关C2的mac地址,所述出接口E2为其它网桥口及剩余的M个物理接口中的一个,比较所述当前网桥V的网桥口和所述出接口E2的安全级别,若所述出接口E2的安全级别较低,则执行步骤S314,否则执行步骤S315;
S314:若所述出接口E2为物理接口,则将所述出接口E2的mac地址作为所述报文的源mac地址以及所述下一跳网关C2的mac地址作为目的mac地址封装至所述报文的报头中,将所述报文的IP五元组、所述出接口E2的mac地址及下一跳网关C2的mac地址之间的对应关系保存至所述三层快速转发表中,并将封装后的报文根据所述出接口E2进行转发,结束所述方法;
若所述出接口E2为网桥口,则将所述出接口E2的mac地址作为所述报文的源mac地址以及所述下一跳网关C2的mac地址作为目的mac地址封装至所述报文的报头中,查询所述出接口E2所对应网桥的mac地址表,若未查找到相应的第二地址记录,则执行步骤S315,否则,将所述报文的IP五元组、所述出接口E2的mac地址、所述第二地址记录中的子接口号、下一跳网关C2的mac地址之间的对应关系保存至所述三层快速转发表中,并将封装后的报文通过与所述子接口号对应的子接口进行转发,结束所述方法;
S315:丢弃所述报文,结束所述方法。
优选地,步骤S313和步骤S315之间还包括以下步骤:
S3131:根据所述报文的IP五元组判断第二预设的三层访问控制列表中是否配置了准许转发所述报文的记录,若有,则执行步骤S314,否则执行步骤S315。
优选地,所述当前网络设备为每个网桥的所述网桥口和剩余的M个物理接口分别分配安全级别,步骤S1之后,若当前物理接口接收到报文时,所述当前物理接口为所述剩余的M个物理接口中的一个,则不执行步骤S2,直接执行以下步骤:
S4:对所述报文进行解析,并进行二层协议头处理;
S5:根据所述报文的IP五元组查找三层快速转发表,若查找到相应的连接记录,则将所述连接记录中的出接口E3的mac地址作为所述报文的源mac地址及所述连接记录中下一跳网关C3的mac地址作为所述报文的目的mac地址封装至所述报文的报头中,所述出接口E3为其它网桥口及剩余的M个物理接口中的一个,当所述出接口E3为物理接口,则将封装后的报文通过所述出接口E3进行转发,结束所述方法,当所述出接口E3为网桥口,则将封装后的报文通过与所述连接记录中的子接口号对应的子接口进行转发,结束所述方法,结束所述方法,若未查找到相应的连接记录,则执行下一步;
S6:根据所述报文的目的IP地址查找路由表,以获得所述报文的出接口E4的mac地址及下一跳网关C4的mac地址,所述出接口E4为Q个网桥口及其它物理接口中的一个,比较所述当前物理接口和所述出接口E4的安全级别,若所述出接口E4的安全级别较低,则执行步骤S7,否则执行步骤S8;
S7:若所述出接口E4为物理接口,则将所述出接口E4的mac地址作为所述报文的源mac地址以及所述下一跳网关C4的mac地址作为目的mac地址封装至所述报文的报头中,将所述报文的IP五元组、所述出接口E4的mac地址及下一跳网关C4的mac地址之间的对应关系保存至所述三层快速转发表中,并将封装后的报文根据所述出接口E4进行转发,结束所述方法;
若所述出接口E4为网桥口,则将所述出接口E4的mac地址作为所述报文的源mac地址以及所述下一跳网关C4的mac地址作为目的mac地址封装至所述报文的报头中,查询所述出接口E4所对应网桥的mac地址表,若未查找到相应的第三地址记录,则执行步骤S8,否则,将所述报文的IP五元组、所述出接口E4的mac地址、所述第三地址记录中的子接口号、下一跳网关C4的mac地址之间的对应关系保存至所述三层快速转发表中,并将封装后的报文通过与所述子接口号对应的子接口进行转发,结束所述方法;
S8:丢弃所述报文,结束所述方法。
优选地,步骤S6和步骤S8之间还包括以下步骤:
S61:根据所述报文的IP五元组判断预设的三层访问控制列表中是否配置了准许转发所述报文的记录,若有,则执行步骤S7,否则执行步骤S8。
优选地,所述Q个网桥中每个网桥对应的mac地址表的建立过程包括以下步骤:
A1:当前网桥B的某个子接口Bx向当前网桥B的其它子接口和网桥口发送广播报文,并将所述子接口Bx的子接口号和对应的mac地址作为半地址记录;
A2:若其它子接口中的一个子接口回应了广播报文,则比较所述子接口Bx和回应了广播报文的子接口之间的安全级别,若所述子接口Bx的安全级别较高,则执行步骤A3,否则执行步骤A5;
若网桥口回应了广播报文,则直接执行步骤A4;
A3:将所述回应了广播报文的子接口的子接口号和对应的mac地址加入所述半地址记录中,作为地址记录保存至所述mac地址表中,执行步骤A6;
A4:将所述网桥口的mac地址加入所述半地址记录中,作为地址记录保存至所述mac地址表中,执行步骤A6;
A5:删除所述半地址记录,执行步骤A6;
A6:将所述子接口Bx换为其它子接口中的一个子接口,并返回步骤A1,直至所述当前网桥B的所有子接口均被选择过;
A7:所述当前网桥B的桥接口向所述当前网桥B的所有子接口发送广播报文,并将所述桥接口的mac地址作为半地址记录,若所述当前网桥B的所有子接口中的一个子接口回应了广播报文,将所述回应了广播报文的子接口的子接口号和对应的mac地址加入所述半地址记录中,作为地址记录保存至所述mac地址表中。
优选地,所述步骤A2和A5之间还包括以下步骤:
A21:根据所述报文的源mac地址和目的mac地址判断预设的二层访问控制列表中是否配置了准许转发所述报文的记录,若有,则执行步骤A3,否则执行步骤A5。
本发明还公开了一种网络设备实现网桥功能的系统,所述系统:
配置模块,用于当前网络设备中设有Q个网桥,所述网络设备中的每N个物理接口配置为所述Q个网桥中1个网桥的子接口、且所述网络设备还剩余M个物理接口,每个网桥均设有1个对外的网桥口,为每个网桥内的子接口分别分配安全级别,其中,N为大于等于2的整数,Q、M为大于等于1的整数;
查找模块,用于若当前网桥V的某个子接口Vx接收到报文时,根据所述报文的源mac地址和目的mac地址查找与所述当前网桥V对应的mac地址表,若未查找到相应的第一地址记录,则直接丢弃所述报文,结束所述系统,否则执行转发模块,所述当前网桥V对应的mac地址表通过所述当前网桥V内的子接口的安全级别建立;
转发模块,用于根据所述第一地址记录判断所述目的mac地址所对应的接口类型,若接口类型为子接口,则执行报文桥内转发处理过程,若接口类型为网桥口,则执行报文桥外转发处理过程。
(三)有益效果
本发明通过报文的桥内转发过程和桥外转发过程,实现了网络段间的监控,并提高了安全性。
附图说明
图1是按照本发明一种实施方式的网络设备实现网桥功能的方法的流程图;
图2是按照本发明一种实施例的网络设备实现网桥功能的方法所基于的网络设备的结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是按照本发明一种实施例的网络设备实现网桥功能的方法所基于的网络设备的结构示意图;参照图1,所述实施方式的方法包括以下步骤:
S1:当前网络设备(所述网络设备可为防火墙、路由器或交换机等网络设备)中设有Q个网桥,所述网络设备中的每N个物理接口配置为所述Q个网桥中1个网桥的子接口、且所述网络设备还剩余M个物理接口,每个网桥均设有1个对外的网桥口,为每个网桥内的子接口分别分配安全级别,其中,N为大于等于2的整数,Q、M为大于等于1的整数,网桥的子接口不能配置网络之间互连的协议(InternetProtocol,IP)地址和介质访问控制层(Medium Access Control,mac)地址,而桥接口和剩余的M个物理接口可以配置IP地址和mac地址,因此,对用户而言,相当于此网络设备具有Q个桥接口和M个物理接口一共Q+M个三层接口;参照图2,本实施例以具有8个物理端口的网络设备来说明接口关系,但并不限定本发明的保护范围,网络设备中设有1个网桥,所述网络设备中的4个物理接口配置为所述网桥的子接口分别为子接口0、子接口1、子接口2及子接口3,且所述网络设备还剩余4个物理接口分别为物理接口4、物理接口5、物理接口6及物理接口7,网桥设有1个对外的网桥口,设安全级别为0~100,这样可设置子接口0的安全级别为100,子接口1的安全级别为80,子接口2的安全级别为60,子接口3的级别为0,设置安全级别时,不会设置相同的安全级别,即两个子接口之间的安全级别必然存在高低;
S2:若当前网桥V的某个子接口Vx接收到报文时,根据所述报文的源mac地址和目的mac地址查找与所述当前网桥V对应的mac地址表,若未查找到相应的第一地址记录,则直接丢弃所述报文,结束所述方法,否则执行下一步,所述当前网桥V对应的mac地址表通过所述当前网桥V内的子接口的安全级别建立;
S3:根据所述第一地址记录判断所述目的mac地址所对应的接口类型,若接口类型为子接口,则执行报文桥内转发处理过程,若接口类型为网桥口,则执行报文桥外转发处理过程。
优选地,步骤S3中所述报文桥内转发处理过程包括以下步骤:
S301:所述报文的IP五元组查找二层快速转发表(所述二层快速转发表中还可包括流控、身份验证-授权-统计等不对报文进行修改的三层业务的处理结果),若查找到相应的连接记录,则直接将所述报文转发至与所述目的mac地址对应的子接口,否则执行下一步;
S302:比较与所述目的mac地址对应的子接口和所述子接口Vx之间的安全级别,若所述子接口Vx的安全级别较高,则执行步骤S303,否则执行步骤S304;
S303:将所述报文通过与所述目的mac地址对应的子接口进行转发,并将所述报文的IP五元组的连接记录保存至所述二层快速转发表中,结束所述方法;
S304:丢弃所述报文,结束所述方法。
桥内转发没有对二层协议头进行处理,但对转发进行了安全匹配监控,禁止低安全级别的接口随意发起三层连接,保证了高安全级别的接口安全,为便于控制桥内的访问权限,优选地,步骤S302和步骤S304之间还包括以下步骤:
S3021:根据所述报文的IP五元组判断第一预设的三层访问控制列表中是否配置了准许转发所述报文的记录,若有,则执行步骤S303,否则执行步骤S304。
优选地,所述当前网络设备为每个网桥的所述网桥口和剩余的M个物理接口分别分配安全级别,步骤S3中所述报文桥外转发处理过程(报文桥外转发的报文主要为:如传输控制协议TCP业务、用户数据包协议UDP业务及Internet控制报文协议业务等三层业务的报文)包括以下步骤:
S311:对所述报文进行解析,并进行二层协议头处理,所述二层协议头处理,即将所述报文中保存源mac地址和目的mac地址的报头删除的过程;
S312:根据所述报文的IP五元组查找三层快速转发表(所述三层快速转发表中还可包括流控、身份验证-授权-统计等不对报文进行修改的三层业务的处理结果),若查找到相应的连接记录,则将所述连接记录中的出接口E1的mac地址作为所述报文的源mac地址及所述连接记录中下一跳网关C1的mac地址作为所述报文的目的mac地址封装至所述报文的报头中,所述出接口E1为其它网桥口及剩余的M个物理接口中的一个,当所述出接口E1为物理接口,则将封装后的报文通过所述出接口E1进行转发,结束所述方法,当所述出接口E1为网桥口,则将封装后的报文通过与所述连接记录中的子接口号对应的子接口进行转发,结束所述方法,结束所述方法,若未查找到相应的连接记录,则执行下一步;
S313:根据所述报文的目的IP地址查找路由表,以获得所述报文的出接口E2的mac地址及下一跳网关C2的mac地址,所述出接口E2为其它网桥口及剩余的M个物理接口中的一个,比较所述当前网桥V的网桥口和所述出接口E2的安全级别,若所述出接口E2的安全级别较低,则执行步骤S314,否则执行步骤S315;
S314:若所述出接口E2为物理接口,则将所述出接口E2的mac地址作为所述报文的源mac地址以及所述下一跳网关C2的mac地址作为目的mac地址封装至所述报文的报头中,将所述报文的IP五元组、所述出接口E2的mac地址及下一跳网关C2的mac地址之间的对应关系保存至所述三层快速转发表中,并将封装后的报文根据所述出接口E2进行转发,结束所述方法;
若所述出接口E2为网桥口,则将所述出接口E2的mac地址作为所述报文的源mac地址以及所述下一跳网关C2的mac地址作为目的mac地址封装至所述报文的报头中,查询所述出接口E2所对应网桥的mac地址表,若未查找到相应的第二地址记录,则执行步骤S315,否则,将所述报文的IP五元组、所述出接口E2的mac地址、所述第二地址记录中的子接口号、下一跳网关C2的mac地址之间的对应关系保存至所述三层快速转发表中,并将封装后的报文通过与所述子接口号对应的子接口进行转发,结束所述方法;
S315:丢弃所述报文,结束所述方法。
为便于控制桥外的访问权限,优选地,步骤S313和步骤S315之间还包括以下步骤:
S3131:根据所述报文的IP五元组判断第二预设的三层访问控制列表中是否配置了准许转发所述报文的记录,若有,则执行步骤S314,否则执行步骤S315。
优选地,所述当前网络设备为每个网桥的所述网桥口和剩余的M个物理接口分别分配安全级别,步骤S1之后,若当前物理接口接收到报文时,所述当前物理接口为所述剩余的M个物理接口中的一个,则不执行步骤S2,直接执行以下步骤:
S4:对所述报文进行解析,并进行二层协议头处理;
S5:根据所述报文的IP五元组查找三层快速转发表,若查找到相应的连接记录,则将所述连接记录中的出接口E3的mac地址作为所述报文的源mac地址及所述连接记录中下一跳网关C3的mac地址作为所述报文的目的mac地址封装至所述报文的报头中,所述出接口E3为其它网桥口及剩余的M个物理接口中的一个,当所述出接口E3为物理接口,则将封装后的报文通过所述出接口E3进行转发,结束所述方法,当所述出接口E3为网桥口,则将封装后的报文通过与所述连接记录中的子接口号对应的子接口进行转发,结束所述方法,结束所述方法,若未查找到相应的连接记录,则执行下一步;
S6:根据所述报文的目的IP地址查找路由表,以获得所述报文的出接口E4的mac地址及下一跳网关C4的mac地址,所述出接口E4为Q个网桥口及其它物理接口中的一个,比较所述当前物理接口和所述出接口E4的安全级别,若所述出接口E4的安全级别较低,则执行步骤S7,否则执行步骤S8;
S7:若所述出接口E4为物理接口,则将所述出接口E4的mac地址作为所述报文的源mac地址以及所述下一跳网关C4的mac地址作为目的mac地址封装至所述报文的报头中,将所述报文的IP五元组、所述出接口E4的mac地址及下一跳网关C4的mac地址之间的对应关系保存至所述三层快速转发表中,并将封装后的报文根据所述出接口E4进行转发,结束所述方法;
若所述出接口E4为网桥口,则将所述出接口E4的mac地址作为所述报文的源mac地址以及所述下一跳网关C4的mac地址作为目的mac地址封装至所述报文的报头中,查询所述出接口E4所对应网桥的mac地址表,若未查找到相应的第三地址记录,则执行步骤S8,否则,将所述报文的IP五元组、所述出接口E4的mac地址、所述第三地址记录中的子接口号、下一跳网关C4的mac地址之间的对应关系保存至所述三层快速转发表中,并将封装后的报文通过与所述子接口号对应的子接口进行转发,结束所述方法;
S8:丢弃所述报文,结束所述方法。
为控制物理接口(不包括被配置为子接口的物理接口)的访问权限,优选地,步骤S6和步骤S8之间还包括以下步骤:
S61:根据所述报文的IP五元组判断预设的三层访问控制列表中是否配置了准许转发所述报文的记录,若有,则执行步骤S7,否则执行步骤S8。
优选地,所述Q个网桥中每个网桥对应的mac地址表的建立过程包括以下步骤:
A1:当前网桥B的某个子接口Bx向当前网桥B的其它子接口和网桥口发送广播报文(即地址解析协议arp报文),并将所述子接口Bx的子接口号和对应的mac地址作为半地址记录;
A2:若其它子接口中的一个子接口回应了广播报文,则比较所述子接口Bx和回应了广播报文的子接口之间的安全级别,若所述子接口Bx的安全级别较高,则执行步骤A3,否则执行步骤A5;
若网桥口回应了广播报文,则直接执行步骤A4;
A3:将所述回应了广播报文的子接口的子接口号和对应的mac地址加入所述半地址记录中,作为地址记录保存至所述mac地址表中,执行步骤A6;
A4:将所述网桥口的mac地址加入所述半地址记录中,作为地址记录保存至所述mac地址表中,执行步骤A6;
A5:删除所述半地址记录,执行步骤A6;
A6:将所述子接口Bx换为其它子接口中的一个子接口,并返回步骤A1,直至所述当前网桥B的所有子接口均被选择过;
A7:所述当前网桥B的桥接口向所述当前网桥B的所有子接口发送广播报文,并将所述桥接口的mac地址作为半地址记录,若所述当前网桥B的所有子接口中的一个子接口回应了广播报文,将所述回应了广播报文的子接口的子接口号和对应的mac地址加入所述半地址记录中,作为地址记录保存至所述mac地址表中。
在不设置二层访问控制列表时,高安全级别的接口可以向低安全级别的接口发起请求,拒绝低安全级别的接口向高安全级别的接口发起数据传输请求,为控制mac地址表的建立,优选地,所述步骤A2和A5之间还包括以下步骤:
A21:根据所述报文的源mac地址和目的mac地址判断预设的二层访问控制列表中是否配置了准许转发所述报文的记录,若有,则执行步骤A3,否则执行步骤A5。
本发明还公开了一种网络设备实现网桥功能的系统,所述系统:
配置模块,用于当前网络设备中设有Q个网桥,所述网络设备中的每N个物理接口配置为所述Q个网桥中1个网桥的子接口、且所述网络设备还剩余M个物理接口,每个网桥均设有1个对外的网桥口,为每个网桥内的子接口分别分配安全级别,并为每个网桥的网桥口和剩余的M个物理接口分别分配安全级别,其中,N为大于等于2的整数,Q、M为大于等于1的整数;
查找模块,用于若当前网桥V的某个子接口Vx接收到报文时,根据所述报文的源mac地址和目的mac地址查找与所述当前网桥V对应的mac地址表,若未查找到相应的第一地址记录,则直接丢弃所述报文,结束所述方法,否则执行转发模块;
转发模块,用于根据所述第一地址记录判断所述目的mac地址所对应的接口类型,若接口类型为子接口,则执行报文桥内转发处理过程,若接口类型为网桥口,则执行报文桥外转发处理过程。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

Claims (10)

1.一种网络设备实现网桥功能的方法,其特征在于,所述方法包括以下步骤:
S1:当前网络设备中设有Q个网桥,所述网络设备中的每N个物理接口配置为所述Q个网桥中1个网桥的子接口、且所述网络设备还剩余M个物理接口,每个网桥均设有1个对外的网桥口,为每个网桥内的子接口分别分配安全级别,其中,N为大于等于2的整数,Q、M为大于等于1的整数;
S2:若当前网桥V的某个子接口Vx接收到报文时,根据所述报文的源mac地址和目的mac地址查找与所述当前网桥V对应的mac地址表,若未查找到相应的第一地址记录,则直接丢弃所述报文,结束所述方法,否则执行下一步,所述当前网桥V对应的mac地址表通过所述当前网桥V内的子接口的安全级别建立;
S3:根据所述第一地址记录判断所述目的mac地址所对应的接口类型,若接口类型为子接口,则执行报文桥内转发处理过程,若接口类型为网桥口,则执行报文桥外转发处理过程。
2.如权利要求1所述的方法,其特征在于,步骤S3中所述报文桥内转发处理过程包括以下步骤:
S301:所述报文的IP五元组查找二层快速转发表,若查找到相应的连接记录,则直接将所述报文转发至与所述目的mac地址对应的子接口,否则执行下一步;
S302:比较与所述目的mac地址对应的子接口和所述子接口Vx之间的安全级别,若所述子接口Vx的安全级别较高,则执行步骤S303,否则执行步骤S304;
S303:将所述报文通过与所述目的mac地址对应的子接口进行转发,并将所述报文的IP五元组的连接记录保存至所述二层快速转发表中,结束所述方法;
S304:丢弃所述报文,结束所述方法。
3.如权利要求2所述的方法,其特征在于,步骤S302和步骤S304之间还包括以下步骤:
S3021:根据所述报文的IP五元组判断第一预设的三层访问控制列表中是否配置了准许转发所述报文的记录,若有,则执行步骤S303,否则执行步骤S304。
4.如权利要求1所述的方法,其特征在于,所述当前网络设备为每个网桥的所述网桥口和剩余的M个物理接口分别分配安全级别,步骤S3中所述报文桥外转发处理过程包括以下步骤:
S311:对所述报文进行解析,并进行二层协议头处理;
S312:根据所述报文的IP五元组查找三层快速转发表,若查找到相应的连接记录,则将所述连接记录中的出接口E1的mac地址作为所述报文的源mac地址及所述连接记录中下一跳网关C1的mac地址作为所述报文的目的mac地址封装至所述报文的报头中,所述出接口E1为其它网桥口及剩余的M个物理接口中的一个,当所述出接口E1为物理接口,则将封装后的报文通过所述出接口E1进行转发,结束所述方法,当所述出接口E1为网桥口,则将封装后的报文通过与所述连接记录中的子接口号对应的子接口进行转发,结束所述方法,结束所述方法,若未查找到相应的连接记录,则执行下一步;
S313:根据所述报文的目的IP地址查找路由表,以获得所述报文的出接口E2的mac地址及下一跳网关C2的mac地址,所述出接口E2为其它网桥口及剩余的M个物理接口中的一个,比较所述当前网桥V的网桥口和所述出接口E2的安全级别,若所述出接口E2的安全级别较低,则执行步骤S314,否则执行步骤S315;
S314:若所述出接口E2为物理接口,则将所述出接口E2的mac地址作为所述报文的源mac地址以及所述下一跳网关C2的mac地址作为目的mac地址封装至所述报文的报头中,将所述报文的IP五元组、所述出接口E2的mac地址及下一跳网关C2的mac地址之间的对应关系保存至所述三层快速转发表中,并将封装后的报文根据所述出接口E2进行转发,结束所述方法;
若所述出接口E2为网桥口,则将所述出接口E2的mac地址作为所述报文的源mac地址以及所述下一跳网关C2的mac地址作为目的mac地址封装至所述报文的报头中,查询所述出接口E2所对应网桥的mac地址表,若未查找到相应的第二地址记录,则执行步骤S315,否则,将所述报文的IP五元组、所述出接口E2的mac地址、所述第二地址记录中的子接口号、下一跳网关C2的mac地址之间的对应关系保存至所述三层快速转发表中,并将封装后的报文通过与所述子接口号对应的子接口进行转发,结束所述方法;
S315:丢弃所述报文,结束所述方法。
5.如权利要求4所述的方法,其特征在于,步骤S313和步骤S315之间还包括以下步骤:
S3131:根据所述报文的IP五元组判断第二预设的三层访问控制列表中是否配置了准许转发所述报文的记录,若有,则执行步骤S314,否则执行步骤S315。
6.如权利要求1所述的方法,其特征在于,所述当前网络设备为每个网桥的所述网桥口和剩余的M个物理接口分别分配安全级别,步骤S1之后,若当前物理接口接收到报文时,所述当前物理接口为所述剩余的M个物理接口中的一个,则不执行步骤S2,直接执行以下步骤:
S4:对所述报文进行解析,并进行二层协议头处理;
S5:根据所述报文的IP五元组查找三层快速转发表,若查找到相应的连接记录,则将所述连接记录中的出接口E3的mac地址作为所述报文的源mac地址及所述连接记录中下一跳网关C3的mac地址作为所述报文的目的mac地址封装至所述报文的报头中,所述出接口E3为其它网桥口及剩余的M个物理接口中的一个,当所述出接口E3为物理接口,则将封装后的报文通过所述出接口E3进行转发,结束所述方法,当所述出接口E3为网桥口,则将封装后的报文通过与所述连接记录中的子接口号对应的子接口进行转发,结束所述方法,结束所述方法,若未查找到相应的连接记录,则执行下一步;
S6:根据所述报文的目的IP地址查找路由表,以获得所述报文的出接口E4的mac地址及下一跳网关C4的mac地址,所述出接口E4为Q个网桥口及其它物理接口中的一个,比较所述当前物理接口和所述出接口E4的安全级别,若所述出接口E4的安全级别较低,则执行步骤S7,否则执行步骤S8;
S7:若所述出接口E4为物理接口,则将所述出接口E4的mac地址作为所述报文的源mac地址以及所述下一跳网关C4的mac地址作为目的mac地址封装至所述报文的报头中,将所述报文的IP五元组、所述出接口E4的mac地址及下一跳网关C4的mac地址之间的对应关系保存至所述三层快速转发表中,并将封装后的报文根据所述出接口E4进行转发,结束所述方法;
若所述出接口E4为网桥口,则将所述出接口E4的mac地址作为所述报文的源mac地址以及所述下一跳网关C4的mac地址作为目的mac地址封装至所述报文的报头中,查询所述出接口E4所对应网桥的mac地址表,若未查找到相应的第三地址记录,则执行步骤S8,否则,将所述报文的IP五元组、所述出接口E4的mac地址、所述第三地址记录中的子接口号、下一跳网关C4的mac地址之间的对应关系保存至所述三层快速转发表中,并将封装后的报文通过与所述子接口号对应的子接口进行转发,结束所述方法;
S8:丢弃所述报文,结束所述方法。
7.如权利要求6所述的方法,其特征在于,步骤S6和步骤S8之间还包括以下步骤:
S61:根据所述报文的IP五元组判断预设的三层访问控制列表中是否配置了准许转发所述报文的记录,若有,则执行步骤S7,否则执行步骤S8。
8.如权利要求1~7中任一项所述的方法,其特征在于,所述Q个网桥中每个网桥对应的mac地址表的建立过程包括以下步骤:
A1:当前网桥B的某个子接口Bx向当前网桥B的其它子接口和网桥口发送广播报文,并将所述子接口Bx的子接口号和对应的mac地址作为半地址记录;
A2:若其它子接口中的一个子接口回应了广播报文,则比较所述子接口Bx和回应了广播报文的子接口之间的安全级别,若所述子接口Bx的安全级别较高,则执行步骤A3,否则执行步骤A5;
若网桥口回应了广播报文,则直接执行步骤A4;
A3:将所述回应了广播报文的子接口的子接口号和对应的mac地址加入所述半地址记录中,作为地址记录保存至所述mac地址表中,执行步骤A6;
A4:将所述网桥口的mac地址加入所述半地址记录中,作为地址记录保存至所述mac地址表中,执行步骤A6;
A5:删除所述半地址记录,执行步骤A6;
A6:将所述子接口Bx换为其它子接口中的一个子接口,并返回步骤A1,直至所述当前网桥B的所有子接口均被选择过;
A7:所述当前网桥B的桥接口向所述当前网桥B的所有子接口发送广播报文,并将所述桥接口的mac地址作为半地址记录,若所述当前网桥B的所有子接口中的一个子接口回应了广播报文,将所述回应了广播报文的子接口的子接口号和对应的mac地址加入所述半地址记录中,作为地址记录保存至所述mac地址表中。
9.如权利要求8所述的方法,其特征在于,所述步骤A2和A5之间还包括以下步骤:
A21:根据所述报文的源mac地址和目的mac地址判断预设的二层访问控制列表中是否配置了准许转发所述报文的记录,若有,则执行步骤A3,否则执行步骤A5。
10.一种网络设备实现网桥功能的系统,其特征在于,所述系统:
配置模块,用于当前网络设备中设有Q个网桥,所述网络设备中的每N个物理接口配置为所述Q个网桥中1个网桥的子接口、且所述网络设备还剩余M个物理接口,每个网桥均设有1个对外的网桥口,为每个网桥内的子接口分别分配安全级别,其中,N为大于等于2的整数,Q、M为大于等于1的整数;
查找模块,用于若当前网桥V的某个子接口Vx接收到报文时,根据所述报文的源mac地址和目的mac地址查找与所述当前网桥V对应的mac地址表,若未查找到相应的第一地址记录,则直接丢弃所述报文,结束所述系统,否则执行转发模块,所述当前网桥V对应的mac地址表通过所述当前网桥V内的子接口的安全级别建立;
转发模块,用于根据所述第一地址记录判断所述目的mac地址所对应的接口类型,若接口类型为子接口,则执行报文桥内转发处理过程,若接口类型为网桥口,则执行报文桥外转发处理过程。
CN201210122156.8A 2012-04-24 2012-04-24 网络设备实现网桥功能的方法及系统 Expired - Fee Related CN102664804B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210122156.8A CN102664804B (zh) 2012-04-24 2012-04-24 网络设备实现网桥功能的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210122156.8A CN102664804B (zh) 2012-04-24 2012-04-24 网络设备实现网桥功能的方法及系统

Publications (2)

Publication Number Publication Date
CN102664804A true CN102664804A (zh) 2012-09-12
CN102664804B CN102664804B (zh) 2015-03-25

Family

ID=46774222

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210122156.8A Expired - Fee Related CN102664804B (zh) 2012-04-24 2012-04-24 网络设备实现网桥功能的方法及系统

Country Status (1)

Country Link
CN (1) CN102664804B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103795632A (zh) * 2012-10-31 2014-05-14 华为技术有限公司 一种数据报文传输方法及相关设备、系统
CN105207904A (zh) * 2014-06-25 2015-12-30 广州市动景计算机科技有限公司 报文的处理方法、装置和路由器
CN105939216A (zh) * 2016-03-16 2016-09-14 杭州迪普科技有限公司 报文传输的方法及装置
CN108512714A (zh) * 2017-02-28 2018-09-07 华为技术有限公司 一种报文传输方法、相关设备和系统
CN115811536A (zh) * 2023-02-07 2023-03-17 南京芯驰半导体科技有限公司 一种基于多核异构的汽车中央网关系统及实现方法
CN116527586B (zh) * 2023-07-05 2023-09-19 北京亿赛通科技发展有限责任公司 一种基于多链路负载均衡网络的串接代理系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1885765A (zh) * 2005-06-23 2006-12-27 株式会社日立制作所 包中继装置及包中继系统
CN1905528A (zh) * 2006-08-02 2007-01-31 杭州华为三康技术有限公司 基于虚拟局域网的数据发送方法与装置
CN101447933A (zh) * 2008-12-30 2009-06-03 杭州华三通信技术有限公司 端口安全防御的辅助方法和装置、方法和系统及交换设备
CN101491014A (zh) * 2006-08-04 2009-07-22 思科技术公司 在交换机上的虚拟网桥之间共享物理端口
CN101635702A (zh) * 2008-07-21 2010-01-27 山石网科通信技术(北京)有限公司 应用安全策略的数据包转发方法
CN101808041A (zh) * 2010-03-31 2010-08-18 迈普通信技术股份有限公司 一种报文桥接转发的方法及转发路由器
CN101902469A (zh) * 2010-07-12 2010-12-01 江苏华丽网络工程有限公司 一种基于二层网络设备的智能安全防御方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1885765A (zh) * 2005-06-23 2006-12-27 株式会社日立制作所 包中继装置及包中继系统
CN1905528A (zh) * 2006-08-02 2007-01-31 杭州华为三康技术有限公司 基于虚拟局域网的数据发送方法与装置
CN101491014A (zh) * 2006-08-04 2009-07-22 思科技术公司 在交换机上的虚拟网桥之间共享物理端口
CN101635702A (zh) * 2008-07-21 2010-01-27 山石网科通信技术(北京)有限公司 应用安全策略的数据包转发方法
CN101447933A (zh) * 2008-12-30 2009-06-03 杭州华三通信技术有限公司 端口安全防御的辅助方法和装置、方法和系统及交换设备
CN101808041A (zh) * 2010-03-31 2010-08-18 迈普通信技术股份有限公司 一种报文桥接转发的方法及转发路由器
CN101902469A (zh) * 2010-07-12 2010-12-01 江苏华丽网络工程有限公司 一种基于二层网络设备的智能安全防御方法

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103795632A (zh) * 2012-10-31 2014-05-14 华为技术有限公司 一种数据报文传输方法及相关设备、系统
US9516114B2 (en) 2012-10-31 2016-12-06 Huawei Technologies Co., Ltd. Data packet transmission method and related device and system
CN103795632B (zh) * 2012-10-31 2017-02-22 华为技术有限公司 一种数据报文传输方法及相关设备、系统
CN105207904A (zh) * 2014-06-25 2015-12-30 广州市动景计算机科技有限公司 报文的处理方法、装置和路由器
CN105207904B (zh) * 2014-06-25 2018-07-17 广州市动景计算机科技有限公司 报文的处理方法、装置和路由器
CN105939216A (zh) * 2016-03-16 2016-09-14 杭州迪普科技有限公司 报文传输的方法及装置
CN105939216B (zh) * 2016-03-16 2019-11-12 杭州迪普科技股份有限公司 报文传输的方法及装置
CN108512714A (zh) * 2017-02-28 2018-09-07 华为技术有限公司 一种报文传输方法、相关设备和系统
CN108512714B (zh) * 2017-02-28 2021-10-01 华为技术有限公司 一种报文传输方法、相关设备和系统
CN115811536A (zh) * 2023-02-07 2023-03-17 南京芯驰半导体科技有限公司 一种基于多核异构的汽车中央网关系统及实现方法
CN115811536B (zh) * 2023-02-07 2023-05-05 南京芯驰半导体科技有限公司 一种基于多核异构的汽车中央网关系统及实现方法
CN116527586B (zh) * 2023-07-05 2023-09-19 北京亿赛通科技发展有限责任公司 一种基于多链路负载均衡网络的串接代理系统

Also Published As

Publication number Publication date
CN102664804B (zh) 2015-03-25

Similar Documents

Publication Publication Date Title
CN106161335B (zh) 一种网络数据包的处理方法和装置
EP1650916B1 (en) The system and method for realize multimedia call crossover the private network
US7505473B2 (en) Transmission of broadcast packets in secure communication connections between computers
EP2253123B1 (en) Method and apparatus for communication of data packets between local networks
US9571382B2 (en) Method, controller, and system for processing data packet
CN102132532B (zh) 用于避免不需要的数据分组的方法和装置
CN104023006B (zh) 一种基于应用层中继的多径传输系统及方法
CN102664804A (zh) 网络设备实现网桥功能的方法及系统
US7729365B2 (en) Gateway for controlling electric equipment connected to LAN through WAN
CN102647487B (zh) 一种节约ip地址的方法及接入代理设备
JP2007202036A (ja) パケット中継方法及びパケット中継システム
CN102546428A (zh) 基于DHCPv6侦听的IPv6报文交换系统及方法
CN106027491B (zh) 基于隔离ip地址的独立链路式通信处理方法和系统
CN101141396B (zh) 报文处理方法和网络设备
JP5818272B2 (ja) ホームゲートウェイ装置およびパケット転送方法
JP6048129B2 (ja) 通信システムと装置と方法とプログラム
CN104518959B (zh) 一种设备间通信的方法及装置
JP5986044B2 (ja) ネットワークシステム、通信制御方法、通信制御装置、およびプログラム
CN104518937B (zh) 虚拟局域网vlan多设备间通信的方法及装置
CN102638390A (zh) 基于dhcp snooping的三层交换装置及方法
CN115883256B (zh) 基于加密隧道的数据传输方法、装置及存储介质
JP2012195783A (ja) 通信システムおよびアドレス空間共有方法
JP5752014B2 (ja) ゲートウェイ装置およびデータ送信方法
CN102546431A (zh) 一种路由器公告安全接入方法、系统及装置
Jingjing et al. The Study on the Encryption Technology of Black Core Network

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20150325

Termination date: 20180424