CN103441932B - 一种主机路由表项生成方法及设备 - Google Patents
一种主机路由表项生成方法及设备 Download PDFInfo
- Publication number
- CN103441932B CN103441932B CN201310388895.6A CN201310388895A CN103441932B CN 103441932 B CN103441932 B CN 103441932B CN 201310388895 A CN201310388895 A CN 201310388895A CN 103441932 B CN103441932 B CN 103441932B
- Authority
- CN
- China
- Prior art keywords
- address
- list item
- host routes
- routes list
- arp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种主机路由表项生成方法及设备,具体内容为:在接收到终端发送的ARP请求报文时,根据该终端在认证过程中保存的认证信息直接生成主机路由表项。相对于现有技术中在根据ARP监测表项对ARP请求报文验证通过后根据ARP表项生成主机路由表项的方案,本发明公开的该方案可减少资源消耗。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种主机路由表项生成方法及设备。
背景技术
为了节省IP地址资源,一种超级虚拟局域网(Super Virtual Local AreaNetwork,Super VLAN)技术应运而生,其网络架构示意图如图1所示。一个Super VLAN可包含多个子虚拟局域网(Sub VLAN),不同Sub VLAN之间二层相互隔离,当不同Sub VLAN内的用户终端需要进行三层通信时,将使用Super VLAN三层接口的IP地址作为网关地址,这样多个Sub VLAN共用一个IP网段,从而节省了IP地址资源。例如,图1中的Sub VLAN1、Sub VLAN2和Sub VLAN3共用同一个子网(1.1.1.0/24),属于同一个网段。
为了实现不同Sub VLAN间的三层互通及Sub VLAN与其他网络的互通,需要进行地址解析协议(Address Resolution Protocol,ARP)代理,通过ARP代理可以进行ARP请求和响应报文的转发与处理,从而实现了二层隔离端口间的三层互通。例如,假设图1中Sub VLAN1中的PC1要与Sub VLAN2中的PC3进行通信,则三层交换机中的ARP代理模块进行ARP代理的过程为:
第一步:当PC1的ARP表项中没有PC3的介质访问控制(Midea AccessControl,MAC)地址时,PC1将发送一个ARP请求报文,该ARP请求报文中包含PC1的源IP地址(假设为PC1_IP)、PC1的源MAC地址(假设为MAC_PC1)以及PC3的目的IP地址(假设为PC3_IP);
第二步:三层交换机中的ARP代理模块接收到PC1发送的ARP请求报文后,根据自身存储的ARP监测表项(根据认证信息生成,包含IP地址、MAC地址、VLAN标识号和端口号)对该ARP请求报文中的源IP地址、源MAC地址进行验证。如果验证出该ARP请求报文中的源IP地址和源MAC地址与存储的某条ARP监测表项中的IP地址和MAC地址匹配一致,则生成PC1的ARP表项(该ARP表项中包含PC1的源IP地址、源MAC地址和VLAN标识号),并根据生成的ARP表项生成PC1的主机路由表项。之后,三层交换机将该ARP请求报文中的源MAC地址修改为三层交换机的MAC地址(假设为MAC_ARP)后,向Super VLAN下所有Sub VLAN下的终端发送包含的源MAC地址为三层交换机的MAC地址的ARP请求报文;
第三步:PC3接收到ARP代理模块发送的ARP请求报文之后,通过ARP应答报文将自己的MAC地址(假设为MAC_PC3)发送给ARP代理模块;
第四步:ARP代理模块接收到PC3发送的ARP应答报文后,根据基于PC1的ARP表项所生成的路由目的地为PC1的主机路由表项,将自己的MAC地址(MAC_ARP)通过ARP应答报文发送给PC1;
第五步:PC1接收到ARP代理模块发送的ARP应答报文后,会以为该ARP应答报文中的MAC(MAC_ARP)地址是PC3的MAC地址,从而之后将想要发送给PC3的数据包进行二层封装(目的MAC地址是MAC_ARP)发送给ARP代理模块,由ARP代理模块转发给PC3。
上述步骤执行完毕后,PC1和PC3之间就可以通过三层交换机的ARP代理模块所生成的主机路由表项进行数据通信。
根据上述现有技术可知,三层交换机生成主机路由表项的过程为:在接收到终端发送的ARP请求报文时,利用事先存储的ARP监测表项(根据终端的认证信息生成),对该ARP请求报文进行验证,如果通过验证,则根据该ARP请求报文生成ARP表项,并根据生成的ARP表项生成路由目的地为该终端的主机路由表项。上述过程中需事先生成ARP监测表项,并在接收到ARP请求报文时,对该ARP请求报文的合法性进行验证,其执行过程需要耗费较多的处理资源。例如,在接收到ARP请求报文时,现有技术需通过三态内容寻址存储器(Ternary Content Addressable Memory,TCAM)从TCAM存储的ARP监测表项(该ARP监测表项同时存储在RAM中)中查找与该ARP请求报文中的源IP地址相匹配的ARP监测表项信息,一方面对ARP监测表项的存储会占用一定的存储空间,如TCAM和RAM中都会存储ARP监测表项;另一方面,对ARP请求报文的验证会占用较多的TCAM资源,针对三层交换机下大量终端发送ARP请求报文的情况,对TCAM的容量和处理能力要求较高。
发明内容
本发明实施例提供了一种主机路由表项生成方法及设备,用以解决现有技术中生成主机路由表项的方式会耗费较多的处理资源的问题。
一种主机路由表项生成方法,所述方法包括:交换机获得终端发送的地址解析协议ARP请求报文;所述交换机根据所述ARP请求报文中的源因特网协议IP地址,判断所述交换机中是否存储有包含所述源IP地址的认证信息;若判断结果为是,则根据所述认证信息中包含的所述源IP地址、介质访问控制MAC地址、虚拟局域网VLAN标识号以及端口号,在所述交换机所存储的路由表中生成包含所述源IP地址、所述MAC地址、所述VLAN标识号以及所述端口号的第一主机路由表项。
从上述方案可以看出,在接收到终端发送的ARP请求报文时,直接根据该终端的认证信息生成主机路由表项,可有效避免ARP欺骗;且相对于现有技术中在根据ARP监测表项对ARP请求报文验证通过后根据ARP表项生成主机路由表项的方案,可减少资源消耗。
可选地,所述方法还包括:若判断结果为否,则根据所述ARP请求报文中包含的源IP地址、源MAC地址和VLAN标识号生成ARP表项;根据所述ARP表项在所述路由表中生成第二主机路由表项。
在没有认证信息的情况下先生成主机路由表项的目的在于在终端进行认证前为终端分配IP地址,以便于终端能够进行WEB认证。
所述方法还包括:在生成所述第二主机路由表项后,在所述第二主机路由表项中包含的IP地址相对应的终端通过认证时,根据所述IP地址相对应的终端的认证信息更新所述第二主机路由表项。
利用终端的认证信息更新主机路由表项,可确保将IP数据包发送给通过认证的合法的终端。
所述方法还包括:所述交换机根据所述ARP请求报文中的目的IP地址,从所述路由表包含的除包含所述交换机的IP地址的主机路由表项外的其他主机路由表项中,查找包含所述目的IP地址的主机路由表项;若查找到包含所述目的IP地址的主机路由表项,则向所述终端发送ARP应答报文;若查找不到包含所述目的IP地址的主机路由表项,则丢弃所述ARP请求报文。
根据事先生成的主机路由表项,在查找到包含目的IP地址的主机路由表项时,直接向发送ARP请求报文的终端发送ARP应答报文,而不向交换机下的其他终端广播ARP请求报文,可减少交换机与其他终端的交互、减少ARP报文的处理过程,提升交换机性能。
在所述交换机根据所述IP地址,从所述其他主机路由表项中查找包含所述目的IP地址的主机路由表项之前,所述方法还包括:所述交换机确定出所述源IP地址和所述目的IP地址属于所述交换机下的同一个Super VLAN。
如此,即可确保处于同一个Super VLAN下终端间才可进行通信。
与上述主机路由表项生成方法相对应,本发明的实施例还提供一种主机路由表项生成设备,所述设备包括:获得模块,用于获得终端发送的ARP请求报文;判断模块,用于根据所述ARP请求报文中的源IP地址,判断所述主机路由表项生成设备是否存储有包含所述源IP地址的认证信息;主机路由表项生成模块,用于在判断模块的判断结果为存储有包含所述源IP地址的认证信息时,根据所述认证信息中包含的所述源IP地址、MAC地址、VLAN标识号以及端口号,在所述主机路由表项生成设备所存储的路由表中生成包含所述源IP地址、所述MAC地址、所述VLAN标识号以及所述端口号的第一主机路由表项。
采用该设备在接收到终端发送的ARP请求报文时,根据该终端的认证信息生成主机路由表项,可有效避免ARP欺骗;且相对于现有技术中在根据ARP监测表项对ARP请求报文验证通过后根据ARP表项生成主机路由表项的方案,可减少资源消耗。
所述主机路由表项生成模块,还用于判断模块的判断结果为没有存储包含所述源IP地址的认证信息时,根据所述ARP请求报文中包含的源IP地址、源MAC地址和VLAN标识号生成ARP表项,并根据所述ARP表项在所述路由表中生成第二主机路由表项。
在没有认证信息的情况下先生成主机路由表项的目的在于在终端进行认证前为终端分配IP地址,以便于终端能够进行WEB认证。
所述主机路由表项生成模块,还用于在生成所述第二主机路由表项后,在所述第二主机路由表项中包含的IP地址相对应的终端通过认证时,根据所述IP地址相对应的终端的认证信息更新所述第二主机路由表项。
利用终端的认证信息更新主机路由表项,可确保将IP数据包发送给通过认证的合法的终端。
所述设备还包括:主机路由表项查找模块,用于从所述路由表包含的除包含所述主机路由表项生成设备的IP地址的主机路由表项外的其他主机路由表项中,查找包含目的IP地址的主机路由表项;响应模块,用于在主机路由表项查找模块查找到包含所述目的IP地址的主机路由表项时,向所述终端发送ARP应答报文;在主机路由表项查找模块查找不到包含所述目的IP地址的主机路由表项时,丢弃所述ARP请求报文。根据事先生成的主机路由表项,在查找到包含目的IP地址的主机路由表项时,直接向发送ARP请求报文的终端发送ARP应答报文,可减少ARP报文的处理过程。
所述设备还包括:确定模块,用于在主机路由表项查找模块从所述其他主机路由表项中查找包含所述目的IP地址的主机路由表项之前,确定出所述源IP地址和所述目的IP地址属于同一个Super VLAN。如此,即可确保处于同一个Super VLAN下终端间才可进行通信。
附图说明
图1为现有技术中基于Super VLAN的网络架构示意图;
图2为本发明实施例中基于Super VLAN的网络架构示意图;
图3为本发明实施例一中主机路由表项生成方法的步骤示意图;
图4为本发明实施例二中对ARP请求报文进行应答的步骤示意图;
图5为本发明实施例三中主机路由表项生成设备的结构示意图。
具体实施方式
本发明实施例的方案在接收到终端发送的ARP请求报文时,直接根据该终端的认证信息生成主机路由表项,可有效避免ARP欺骗。并且,相对于现有技术中在根据ARP监测表项对ARP请求报文验证通过后根据ARP表项生成主机路由表项的方案,本发明实施例的方案可不生成ARP监测表项,因此,在达到有效避免ARP欺骗的技术效果的基础上,可减少资源消耗。
本发明实施例中基于Super VLAN的网络架构示意图如图2所示。本发明实施例方案中的交换机为三层交换机,且每个端口均配置为Trunk口,可根据每个端口承载的用户终端数动态为每个端口划分VLAN,理论上每个端口最多可承载的用户终端数量为4094个。为了保证不同用户终端之间不能进行二层通信,本发明实施例的方案针对一个端口下的不同用户终端分别配置不同的Sub VLAN。例如,图2中交换机的端口1下的4个终端分别处于4个不同的Sub VLAN中,因此,PC1、PC2、PC3、PC4之间均不能直接进行通信。
进一步地,为了防止两个端口之间相同的VLAN标识号下的用户终端(如图2中的PC1和PC5)之间相互转发报文,本发明实施例的方案设置端口之间不能二层转发报文,由此可以确保Super VLAN下任何用户终端之间的通信都需要通过交换机的认证,由交换机进行数据包的转发。
按照图2所示的网络架构,本发明实施例的方案可根据端口号和VLAN标识号的组合唯一地标示每个用户终端。
需要说明的是,本发明实施例方案中的交换机包含多个线路卡,每个线路卡上有一组端口,每个端口可承载上千个用户终端,每个线路卡均摊整机的用户终端数。
基于图2的网络架构,下面对本发明实施例的方案进行详细描述,但本发明不局限于下面的实施例。
实施例一:
如图3所示,为本发明实施例一中主机路由表项生成方法的步骤示意图,所述方法主要包括以下步骤:
步骤101:交换机获得终端发送的ARP请求报文。
本步骤101的具体实现方式为:
源终端在需要向目的终端发送数据包时,源终端通过查找自身存储的ARP表项发现没有目的终端的IP地址所对应的MAC地址,则向交换机发送一个ARP请求报文,该ARP请求报文中包含源IP地址(即源终端的IP地址,比如可以假设为IP_PC1)、源MAC地址(即源终端的MAC地址,比如可以假设为MAC_PC1)、源终端所在VLAN的VLAN标识号(假设为VLAN ID_PC1)以及目的IP地址(即目的终端的IP地址,比如可以假设为IP_PC2)。
此时,交换机中的线路卡接收到源终端发送的ARP请求报文后,将该ARP请求报文发送至交换机的管理板。
步骤102:该交换机根据该ARP请求报文中的源IP地址,判断该交换机中是否存储有包含该源IP地址的认证信息,若是,则转至步骤103;若否,则转至步骤104。
在通过执行步骤101而实现交换机获得源终端的ARP请求报文后,是由交换机的管理板根据该ARP请求报文中的源IP地址,判断管理板中是否存储有包含该源IP地址的认证信息。
具体地,上述认证信息一般是在终端通过交换机认证后保存下来的。所有通过认证的终端均会在交换机的管理板上生成一条认证信息。其中,该认证信息中包含通过认证的终端的MAC地址、为该终端分配的IP地址、VLAN标识号以及端口号,其具体认证方式不限于802.1X认证、WEB认证。
若交换机的管理板在存储的认证信息中找到了包含有该ARP请求报文中的源IP地址的认证信息,表示发送该ARP请求报文的终端(即源终端)是之前已经通过认证的终端,则转至步骤103;否则,转至步骤104。例如,假设ARP请求报文中的源IP地址为IP_PC1,而交换机的管理板中有一条认证信息中包含:IP_PC1、MAC_PC1、VLAN ID_PC1、PORT_PC1,则确定该交换机中存储有包含该源IP地址的认证信息。
需要说明的是,本发明实施例的方案并不限于根据ARP请求报文中源IP地址查找与该源IP地址相匹配的认证信息,也可根据ARP请求报文中的源IP地址、VLAN标识号以及接收该ARP请求报文的端口的端口号查找与上述三者信息均匹配的认证信息。
步骤103:交换机根据该认证信息中包含的源IP地址、MAC地址、VLAN标识号以及端口号,在该交换机所存储的路由表中生成包含该源IP地址、MAC地址、VLAN标识号以及端口号的第一主机路由表项。至此,完成对主机路由表项的生成,流程结束。
在步骤102中,当交换机在存储的认证信息中找到了包含有该源IP地址的认证信息时,可以由交换机的管理板根据该认证信息,在存储的路由表中生成与该认证信息相对应的主机路由表项。例如,假设该认证信息中包含:IP_PC1、MAC_PC1、VLAN ID_PC1、PORT_PC1,则本次生成的主机路由表项中包含IP_PC1、MAC_PC1、VLAN ID_PC1、PORT_PC1的信息。此时,交换机的管理板生成了源终端的主机路由表项,之后,如果有IP数据包需要发送给该终端,则交换机可根据该主机路由表项转发该IP数据包给该终端。
需要说明的是,本步骤103在生成第一主机路由表项的同时,根据ARP请求报文中包含的源IP地址、源MAC地址和VLAN标识号生成ARP表项。
通过执行本步骤103,交换机的管理板存储的路由表中包含了本次最新生成的第一主机路由表项。
步骤104:交换机根据该ARP请求报文中包含的源IP地址、源MAC地址和VLAN标识号生成ARP表项,并根据该ARP表项在路由表中生成第二主机路由表项。至此,完成对主机路由表项的生成,流程结束。
在步骤102中,当交换机在存储的认证信息中没有找到包含有该源IP地址的认证信息时,可以由交换机的管理板根据该ARP请求报文中包含的源IP地址、源MAC地址和VLAN标识号生成ARP表项,并根据该ARP表项在路由表中生成第二主机路由表项。第二主机路由表项中包含该ARP表项中包含的源IP地址、源MAC地址和VLAN标识号,以及端口号。其中,该端口号是接收该ARP请求报文的端口的端口号,可以按照现有技术根据ARP表项中包含的源MAC地址和VLAN标识号获得,也可以根据交换机接收该ARP请求报文的端口确定。
需要说明的是,本步骤104是可选步骤,本步骤104生成主机路由表项的目的在于在终端进行认证前为终端分配IP地址以便于终端能够连接到WEB认证服务器进行WEB认证,因为WEB认证成功的前提是交换机中存储有该终端的主机路由表项。
本步骤104是根据ARP表项生成第二主机路由表项的,为了确保主机路由表项中的信息是合法的,在生成第二主机路由表项后,后续如果有与该第二主机路由表项中包含的IP地址相对应的终端通过认证,交换机保存了该终端的认证信息,则根据该终端的认证信息更新第二主机路由表项。
需要说明的是,本发明实施例方案中的主机路由表项可用于IP数据包的转发,但是如果交换机中当前没有存储该主机路由表项中的MAC地址所对应的终端的认证信息(即该终端没有通过认证),则交换机还是不会把IP数据包发送给该终端。
本发明实施例一以终端的认证信息已添加或未添加,而此时接收到该终端发送的ARP请求报文的情况为例对主机路由表项的生成时机进行了详细说明,其他情况可参考如表1所示的内容。其中,表1中的ARP表项是在接收到一条ARP请求报文后,根据该ARP请求报文中包含的源IP地址、源MAC地址和VLAN标识号生成的。
表1:
| 认证信息 | ARP表项 | 处理方式 |
| 已添加 | 从未添加到添加 | 以认证信息为准生成主机路由表项 |
| 未添加 | 从未添加到添加 | 以ARP表项为准生成主机路由表项 |
| 从未添加到添加 | 已添加 | 以认证信息为准更新主机路由表项 |
| 从添加到删除 | 已添加 | 以ARP表项为准更新主机路由表项 |
| 已添加 | 从添加到删除 | 删除主机路由表项 |
| 从未添加到添加 | 未添加 | 不生成主机路由表项,更新认证信息表 |
表1中第1~第3种情况已在前文进行了详细描述,第4~第6种情况描述如下:
当某一终端下线(即认证信息从添加到删除),而交换机中存储有该终端的ARP表项(即ARP表项已添加),则本发明实施例中的交换机可将其认证信息删除,并以ARP表项为准更新主机路由表项。
当某一终端的ARP表项因老化而删除(即ARP表项从添加到删除)时,本发明实施例中的交换机可将与该终端对应的主机路由表项删除。
当某一终端通过认证(即认证信息从未添加到添加),而交换机并没有收到过该终端发送的ARP请求报文(即ARP表项未添加),则本发明实施例中的交换机生成该终端的认证信息并利用该认证信息更新认证信息表,其中,该认证信息表中存储有不同终端的认证信息。此时,并不生成与该终端相对应的主机路由表项。
本发明实施例的方案根据终端通过认证后的认证信息生成与该终端相对应的主机路由表项,后续根据本发明实施例的方案生成的主机路由表项进行数据包的转发,可避免ARP欺骗。并且,相对于现有技术中根据ARP监测表项对ARP请求报文进行验证,并在通过验证时,根据ARP表项生成主机路由表项的方案,本发明实施例的方案无需生成ARP监测表项,可减少资源消耗。
实施例二:
基于实施例一描述的方法生成的主机路由表项,本发明实施例的方案可对终端发送的ARP请求报文进行应答。如图4所示,为本发明实施例二中对ARP请求报文进行应答的步骤示意图,主要包括以下步骤:
步骤201:交换机根据步骤101获得的ARP请求报文中的目的IP地址,从存储的路由表包含的除包含该交换机的IP地址的主机路由表项外的其他主机路由表项中,查找包含该目的IP地址的主机路由表项,若查找到包含该目的IP地址的主机路由表项,则转至步骤202;若查找不到包含该目的IP地址的主机路由表项,则转至步骤203。
需要说明的是,本发明实施例的方案中目的IP地址所对应的终端(即目的终端)的主机路由表项的生成方式与上述源IP地址所对应的终端(即源终端)的主机路由表项的生成方式相同。本发明实施例的方案中交换机的管理板可将包含多条主机路由表项的路由表下发给交换机的线路卡。
具体地,本步骤201可以由交换机的线路卡根据获得的ARP请求报文中的目的IP地址从上述路由表包含的除包含该交换机的IP地址的主机路由表项外的其他主机路由表项中,查找包含该目的IP地址的主机路由表项,当查找到包含该目的IP地址的主机路由表项时,转至步骤202;否则,转至步骤203。
可选地,在本步骤201之前,本发明实施例的方案中可先判断获得的ARP请求报文中的源IP地址和目的IP地址是否属于该交换机下的同一个SuperVLAN。在确定出该源IP地址和该目的IP地址属于该交换机下的同一个SuperVLAN时,执行本步骤201,否则直接丢弃该ARP请求报文。
步骤202:向发送ARP请求报文的终端发送ARP应答报文,流程结束。
在步骤201中交换机的线路卡查找到包含该目的IP地址的主机路由表项后,线路卡向发送该ARP请求报文的终端发送ARP应答报文,其中该ARP应答报文中的目的MAC地址为交换机的MAC地址。之后,发送该ARP请求报文的终端将数据包发送给交换机,由交换机进行数据包的转发。
步骤203:丢弃该ARP请求报文,流程结束。
在步骤201中交换机的线路卡查找不到包含该目的IP地址的主机路由表项时,直接丢弃该ARP请求报文。
本发明实施例的方案由交换机的线路卡进行ARP请求报文的应答,可减小管理板的压力,保证交换机的性能。并且在接收到终端发送的ARP请求报文后,本发明实施例方案的交换机并不向Super VLAN下所有Sub VLAN下的终端广播ARP请求报文,而是在对该ARP请求报文中的目的IP地址进行验证后,直接发送ARP应答报文,相对于现有技术中交换机在接收到某一终端的ARP请求报文后向其他终端广播ARP请求报文的方案,本发明实施例的方案可减少交换机与其他终端的交互、减少ARP报文的处理过程,大大降低了网络中ARP报文的数量,降低了交换机和终端处理大量ARP报文所带来的高负载问题,提升了交换机的性能;并且交换机发送的ARP应答报文中的目的MAC地址为交换机的MAC地址,由此可防止交换机下的终端之间相互转发ARP报文,进一步防止ARP欺骗。
实施例三:
本实施例三是与实施例一、实施例二属于同一发明构思的主机路由表项生成设备,如图5所示,所述设备主要包括:获得模块11、判断模块12以及主机路由表项生成模块13。
其中,获得模块11用于获得终端发送的ARP请求报文。
判断模块12用于根据所述ARP请求报文中的源IP地址,判断所述主机路由表项生成设备是否存储有包含所述源IP地址的认证信息。
主机路由表项生成模块13用于在判断模块12的判断结果为存储有包含所述源IP地址的认证信息时,根据所述认证信息中包含的所述源IP地址、MAC地址、VLAN标识号以及端口号,在所述主机路由表项生成设备所存储的路由表中生成包含所述源IP地址、所述MAC地址、所述VLAN标识号以及所述端口号的第一主机路由表项。
所述主机路由表项生成模块13还用于判断模块12的判断结果为没有存储包含所述源IP地址的认证信息时,根据所述ARP请求报文中包含的源IP地址、源MAC地址和VLAN标识号生成ARP表项,并根据所述ARP表项在所述路由表中生成第二主机路由表项。
所述主机路由表项生成模块13还用于在生成所述第二主机路由表项后,在所述第二主机路由表项中包含的IP地址相对应的终端通过认证时,根据所述IP地址相对应的终端的认证信息更新所述第二主机路由表项。
可选地,所述设备还包括:
主机路由表项查找模块,用于从所述路由表包含的除包含所述主机路由表项生成设备的IP地址的主机路由表项外的其他主机路由表项中,查找包含目的IP地址的主机路由表项。
响应模块,用于在主机路由表项查找模块查找到包含所述目的IP地址的主机路由表项时,向所述终端发送ARP应答报文;在主机路由表项查找模块查找不到包含所述目的IP地址的主机路由表项时,丢弃所述ARP请求报文。
可选地,所述设备还包括:
确定模块,用于在主机路由表项查找模块从所述其他主机路由表项中查找包含所述目的IP地址的主机路由表项之前,确定出所述源IP地址和所述目的IP地址属于同一个Super VLAN。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (8)
1.一种主机路由表项生成方法,其特征在于,所述方法包括:
交换机获得终端发送的地址解析协议ARP请求报文;
所述交换机根据所述ARP请求报文中的源因特网协议IP地址,判断所述交换机中是否存储有包含所述源IP地址的认证信息;
若判断结果为是,则根据所述认证信息中包含的所述源IP地址、介质访问控制MAC地址、虚拟局域网VLAN标识号以及端口号,在所述交换机所存储的路由表中生成包含所述源IP地址、所述MAC地址、所述VLAN标识号以及所述端口号的第一主机路由表项;
若判断结果为否,则根据所述ARP请求报文中包含的源IP地址、源MAC地址和VLAN标识号生成ARP表项;
根据所述ARP表项在所述路由表中生成第二主机路由表项。
2.如权利要求1所述的主机路由表项生成方法,其特征在于,所述方法还包括:
在生成所述第二主机路由表项后,在所述第二主机路由表项中包含的IP地址相对应的终端通过认证时,根据所述IP地址相对应的终端的认证信息更新所述第二主机路由表项。
3.如权利要求1所述的主机路由表项生成方法,其特征在于,所述方法还包括:
所述交换机根据所述ARP请求报文中的目的IP地址,从所述路由表包含的除包含所述交换机的IP地址的主机路由表项外的其他主机路由表项中,查找包含所述目的IP地址的主机路由表项;
若查找到包含所述目的IP地址的主机路由表项,则向所述终端发送ARP应答报文;
若查找不到包含所述目的IP地址的主机路由表项,则丢弃所述ARP请求报文。
4.如权利要求3所述的主机路由表项生成方法,其特征在于,在所述交换机根据所述目的IP地址,从所述其他主机路由表项中查找包含所述目的IP地址的主机路由表项之前,所述方法还包括:
所述交换机确定出所述源IP地址和所述目的IP地址属于所述交换机下的同一个Super VLAN。
5.一种主机路由表项生成设备,其特征在于,所述设备包括:
获得模块,用于获得终端发送的ARP请求报文;
判断模块,用于根据所述ARP请求报文中的源IP地址,判断所述主机路由表项生成设备是否存储有包含所述源IP地址的认证信息;
主机路由表项生成模块,用于在判断模块的判断结果为存储有包含所述源IP地址的认证信息时,根据所述认证信息中包含的所述源IP地址、MAC地址、VLAN标识号以及端口号,在所述主机路由表项生成设备所存储的路由表中生成包含所述源IP地址、所述MAC地址、所述VLAN标识号以及所述端口号的第一主机路由表项;
所述主机路由表项生成模块,还用于判断模块的判断结果为没有存储包含所述源IP地址的认证信息时,根据所述ARP请求报文中包含的源IP地址、源MAC地址和VLAN标识号生成ARP表项,并根据所述ARP表项在所述路由表中生成第二主机路由表项。
6.如权利要求5所述的主机路由表项生成设备,其特征在于,
所述主机路由表项生成模块,还用于在生成所述第二主机路由表项后,在所述第二主机路由表项中包含的IP地址相对应的终端通过认证时,根据所述IP地址相对应的终端的认证信息更新所述第二主机路由表项。
7.如权利要求5所述的主机路由表项生成设备,其特征在于,所述设备还包括:
主机路由表项查找模块,用于从所述路由表包含的除包含所述主机路由表项生成设备的IP地址的主机路由表项外的其他主机路由表项中,查找包含目的IP地址的主机路由表项;
响应模块,用于在主机路由表项查找模块查找到包含所述目的IP地址的主机路由表项时,向所述终端发送ARP应答报文;在主机路由表项查找模块查找不到包含所述目的IP地址的主机路由表项时,丢弃所述ARP请求报文。
8.如权利要求7所述的主机路由表项生成设备,其特征在于,所述设备还包括:
确定模块,用于在主机路由表项查找模块从所述其他主机路由表项中查找包含所述目的IP地址的主机路由表项之前,确定出所述源IP地址和所述目的IP地址属于同一个Super VLAN。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310388895.6A CN103441932B (zh) | 2013-08-30 | 2013-08-30 | 一种主机路由表项生成方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310388895.6A CN103441932B (zh) | 2013-08-30 | 2013-08-30 | 一种主机路由表项生成方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103441932A CN103441932A (zh) | 2013-12-11 |
| CN103441932B true CN103441932B (zh) | 2016-08-17 |
Family
ID=49695598
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310388895.6A Active CN103441932B (zh) | 2013-08-30 | 2013-08-30 | 一种主机路由表项生成方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103441932B (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685610B (zh) * | 2013-12-25 | 2018-03-13 | 上海寰创通信科技股份有限公司 | 一种实现arp代理的方法 |
| CN103763407A (zh) * | 2014-01-28 | 2014-04-30 | 上海斐讯数据通信技术有限公司 | 二层虚拟局域网实现地址解析协议代理方法及局域网系统 |
| CN105282109B (zh) * | 2014-07-09 | 2020-04-24 | 北京东土科技股份有限公司 | 一种vlan聚合中arp代理的方法及装置 |
| CN105743761A (zh) * | 2014-12-12 | 2016-07-06 | 中兴通讯股份有限公司 | 实现路由接口二层隔离和三层互通的方法及网络设备 |
| CN106330648B (zh) * | 2015-06-15 | 2020-06-30 | 中兴通讯股份有限公司 | 路由信息生成方法及装置 |
| CN109327462B (zh) * | 2018-11-14 | 2020-10-27 | 盛科网络(苏州)有限公司 | 一种基于l2vpn网络的mac地址认证方法 |
| CN109905336B (zh) * | 2019-03-13 | 2021-04-16 | 武汉星耀科技有限公司 | 分布式虚拟交换机的SuperVLAN实现方法及系统 |
| CN111884916A (zh) * | 2020-07-24 | 2020-11-03 | 杭州希益丰新业科技有限公司 | 一种基于多网口计算机实现透明传输的代理网关系统 |
| CN112671783B (zh) * | 2020-12-28 | 2021-08-10 | 上海自恒信息科技有限公司 | 一种基于vlan用户组的防主机ip扫描方法 |
| CN114024885B (zh) * | 2021-10-13 | 2023-07-14 | 裕太微电子股份有限公司 | 一种基于子网掩码划分的ip路由表管理系统及方法 |
| CN114553761B (zh) * | 2022-01-14 | 2024-02-09 | 新华三技术有限公司合肥分公司 | 一种异常处理方法、装置、网络设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101237378A (zh) * | 2008-03-11 | 2008-08-06 | 杭州华三通信技术有限公司 | 虚拟局域网的映射方法和设备 |
| CN101370019A (zh) * | 2008-09-26 | 2009-02-18 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议报文欺骗攻击的方法及交换机 |
| CN101511117A (zh) * | 2009-04-08 | 2009-08-19 | 杭州华三通信技术有限公司 | 一种二层跨网段通信的方法、系统和设备 |
| CN101741855A (zh) * | 2009-12-16 | 2010-06-16 | 中兴通讯股份有限公司 | 地址解析协议缓存表维护方法和网络设备 |
| CN103107934A (zh) * | 2013-01-25 | 2013-05-15 | 杭州华三通信技术有限公司 | 一种报文处理控制方法及装置 |
-
2013
- 2013-08-30 CN CN201310388895.6A patent/CN103441932B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101237378A (zh) * | 2008-03-11 | 2008-08-06 | 杭州华三通信技术有限公司 | 虚拟局域网的映射方法和设备 |
| CN101370019A (zh) * | 2008-09-26 | 2009-02-18 | 北京星网锐捷网络技术有限公司 | 防止地址解析协议报文欺骗攻击的方法及交换机 |
| CN101511117A (zh) * | 2009-04-08 | 2009-08-19 | 杭州华三通信技术有限公司 | 一种二层跨网段通信的方法、系统和设备 |
| CN101741855A (zh) * | 2009-12-16 | 2010-06-16 | 中兴通讯股份有限公司 | 地址解析协议缓存表维护方法和网络设备 |
| CN103107934A (zh) * | 2013-01-25 | 2013-05-15 | 杭州华三通信技术有限公司 | 一种报文处理控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103441932A (zh) | 2013-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103441932B (zh) | 一种主机路由表项生成方法及设备 | |
| CN106506274B (zh) | 一种可动态扩展的高效单包溯源方法 | |
| CN105634956B (zh) | 一种报文转发方法、装置和系统 | |
| CN106712988B (zh) | 一种虚拟网络管理方法及装置 | |
| CN105262667A (zh) | Overlay网络中控制组播传输的方法、装置 | |
| CN103581022B (zh) | Mac地址的查找转发方法和装置 | |
| CN106130819B (zh) | Vtep异常的检测方法及装置 | |
| CN107547349A (zh) | 一种虚拟机迁移的方法及装置 | |
| CN101237378A (zh) | 虚拟局域网的映射方法和设备 | |
| CN105939240A (zh) | 负载均衡方法及装置 | |
| CN108134856A (zh) | 一种基于网络树的虚拟化mac地址防冲突方法和装置 | |
| CN107979614A (zh) | 数据包检测方法及装置 | |
| CN107147580A (zh) | 一种隧道建立的方法及通信系统 | |
| CN106209638A (zh) | 从虚拟局域网至虚拟可扩展局域网的报文转发方法和设备 | |
| CN105187311A (zh) | 一种报文转发方法及装置 | |
| CN104113609A (zh) | 一种mac地址发布的方法和设备 | |
| CN108540386A (zh) | 一种防止业务流中断方法及装置 | |
| CN107547339A (zh) | 一种网关媒体接入控制mac地址反馈方法及装置 | |
| CN107896188A (zh) | 数据转发方法及装置 | |
| CN105933235A (zh) | 数据通信方法及装置 | |
| CN105897542A (zh) | 一种隧道建立方法及视频监控系统 | |
| CN106209554A (zh) | 跨虚拟可扩展局域网的报文转发方法和设备 | |
| CN103227733B (zh) | 一种拓扑发现方法及系统 | |
| CN106209680A (zh) | 信息处理装置以及方法 | |
| CN103095858B (zh) | 地址解析协议arp报文处理的方法、网络设备及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee after: RUIJIE NETWORKS CO., LTD. Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor Patentee before: Fujian Xingwangruijie Network Co., Ltd. |