CN104734953B - 基于vlan实现报文二层隔离的方法、装置及交换机 - Google Patents

基于vlan实现报文二层隔离的方法、装置及交换机 Download PDF

Info

Publication number
CN104734953B
CN104734953B CN201510130330.7A CN201510130330A CN104734953B CN 104734953 B CN104734953 B CN 104734953B CN 201510130330 A CN201510130330 A CN 201510130330A CN 104734953 B CN104734953 B CN 104734953B
Authority
CN
China
Prior art keywords
message
vlan
layers
pass
mode
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510130330.7A
Other languages
English (en)
Other versions
CN104734953A (zh
Inventor
林鹏
苏桂能
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ruijie Networks Co Ltd
Original Assignee
Fujian Star Net Communication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Star Net Communication Co Ltd filed Critical Fujian Star Net Communication Co Ltd
Priority to CN201510130330.7A priority Critical patent/CN104734953B/zh
Publication of CN104734953A publication Critical patent/CN104734953A/zh
Application granted granted Critical
Publication of CN104734953B publication Critical patent/CN104734953B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种基于VLAN实现报文二层隔离的方法、装置及交换机,该方法包括:接收并解析报文;确定解析出的报文中携带的VLAN ID为预设VLAN ID,且,确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离。本发明能够灵活的针对来自特定VLAN ID的报文进行二层隔离,解决了现有技术中的端口隔离方法所存在的问题。

Description

基于VLAN实现报文二层隔离的方法、装置及交换机
技术领域
本发明涉及网络通信技术领域,尤其涉及一种基于VLAN实现报文二层隔离的方法、装置及交换机。
背景技术
VLAN(Virtual Local Area Network,虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。基于VLAN隔离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。
目前,常用的基于VLAN的隔离技术为:针对属于同一局域网内的所有用户,为每个用户都分配一个VLAN,被分配不同VLAN的用户之间的数据传输是通过第三层路由方式来实现的,从而实现VLAN用户之间的隔离。
但是这种VLAN隔离技术会存在以下缺陷:被分配相同VLAN的用户之间是进行第二层通信的,这样同一VLAN的用户之间进行二层通信,就容易造成ARP(Address ResolutionProtocil,地址解析协议)攻击、局域网广播风暴、ARP欺骗等问题。
现有技术中,为了防止上述问题的出现,所采用解决方案为:针对同一交换机,如果该交换机的不同端口被分配了相同VLAN,将该交换机的不同端口之间的相同VLAN进行隔离(端口隔离),从而使不同端口的VLAN用户之间的报文不可以进行二层转发,其中,为各个用户分配来自同一端口的VLAN各不相同。这种解决方案虽然能够使被分配了相同VLAN的用户之间的报文不进行二层转发,从而避免ARP攻击、局域网广播风暴、ARP欺骗等现象,但是这种解决方案会将VLAN限制在某个端口下,即,同一交换机不同端口下的所有VLAN用户之间的报文都不能进行二层转发,这就会导致原本需要不同端口之间的具有相同VLAN且需要进行二层通信的VLAN不能进行二层通信,因此,上述端口隔离的技术方案不能灵活的确定对哪些VLAN进行二层隔离,不对哪些VLAN进行二层隔离。
发明内容
本发明提供一种基于虚拟局域网VLAN实现报文二层隔离的方法、装置及交换机,用以解决现有技术中不能灵活的确定对VLAN进行二层隔离的问题。
一种基于虚拟局域网VLAN实现报文二层隔离的方法,包括:
接收并解析报文;
确定解析出的报文中携带的VLAN ID为预设VLAN ID,且,确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离。
所述方法中,确定解析出的报文中携带的VLAN ID为预设VLAN ID,具体包括:
根据预先存储的VLAN ID与class id值的对应关系,确定与所述解析出的报文中携带的VLAN ID对应的class id值;
确定与所述解析出的报文中携带的VLAN ID对应的class id值与预先存储的第一ACL表项中设定的class id值匹配时,确定解析出的报文中携带的VLAN ID为预设VLAN ID,所述设定的class id值非零。
本发明实施例通过预先将VLAN ID与class id值进行对应,并通过将class id与ACL表项进行匹配,可以大大节省ACL表项资源。
所述方法中,确定所述解析出的报文的转发方式为二层转发方式,具体包括:
确定所述解析出的报文中的Pkt Resolution字段值与第一ACL表项中设定的PktResolution字段值匹配时,确定所述解析出的报文的转发方式为二层转发方式。
本发明实施例通过比较报文中的Pkt Resolution字段值与ACL表项中设定的PktResolution字段值是否一致,能够准确且快速的确定报文的转发方式。
所述方法中,确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离,具体包括:
根据预先存储的预设VLAN ID与设定的基于服务的流量控制引擎索引ID的对应关系,获取与所述解析出的报文中携带的VLAN ID对应的设定的基于服务的流量控制引擎索引ID;
根据设定的基于服务的流量控制引擎索引ID对应的策略,对所述解析出的报文进行处理,所述设定的基于服务的流量控制引擎索引ID对应的策略为:确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离。
本发明实施例通过利用基于服务的流量控制引擎索引功能,对报文的转发方式进行自动分类,从而提高了确定报文转发方式的效率。
所述方法中,设定的基于服务的流量控制引擎索引ID对应的策略,具体采用如下方式制定:
将设定的基于服务的流量控制引擎索引ID的行为限速为零,且,将设定的基于服务的流量控制引擎索引ID与二层转发方式的报文进行匹配。
本发明还提供了一种基于虚拟局域网VLAN实现报文二层隔离的装置,包括:
解析单元,用于接收并解析报文;
隔离单元,用于确定解析出的报文中携带的VLAN ID为预设VLAN ID,且,确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离。
所述装置中,所述隔离单元具体用于:
根据预先存储的VLAN ID与class id值的对应关系,确定与所述解析出的报文中携带的VLAN ID对应的class id值;
确定与所述解析出的报文中携带的VLAN ID对应的class id值与预先存储的第一ACL表项中设定的class id值匹配时,确定解析出的报文中携带的VLAN ID为预设VLAN ID,所述设定的class id值非零。
所述装置中,所述隔离单元具体用于:
确定所述解析出的报文中的Pkt Resolution字段值与第一ACL表项中设定的PktResolution字段值匹配时,确定所述解析出的报文的转发方式为二层转发方式。
所述装置中,所述隔离单元具体用于:
根据预先存储的预设VLAN ID与设定的基于服务的流量控制引擎索引ID的对应关系,获取与所述预设VLAN ID对应的设定的基于服务的流量控制引擎索引ID;
根据设定的基于服务的流量控制引擎索引ID对应的策略,对所述解析出的报文进行处理,所述设定的基于服务的流量控制引擎索引ID对应的策略为:确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离。
所述装置中,所述隔离单元还用于:
具体采用如下方式制定设定的基于服务的流量控制引擎索引ID对应的策略:
将设定的基于服务的流量控制引擎索引ID的行为限速为零,且,将设定的基于服务的流量控制引擎索引ID与二层转发方式的报文进行匹配。
本发明还提供一种交换机,包括上述任一所述的基于虚拟局域网VLAN实现报文二层隔离的装置。
利用本发明提供基于虚拟局域网VLAN实现报文二层隔离的方法、装置及交换机,具有以下有益效果:将预设的VLAN ID设置为二层隔离,则所有来自该预设VLAN ID的二层转发报文都进行二层隔离,而来自其它VLAN ID的报文按照正常转发流程进行转发,从而能够灵活的针对来自特定VLAN ID的报文进行二层隔离,解决了现有技术中的端口隔离方法所存在的问题。
附图说明
图1为本发明实施例提供的基于VLAN实现报文二层隔离的方法流程图;
图2为本发明实施例提供的设定class id值添加到报文中的方法流程图;
图3为本发明实施例提供的报文为二层转发方式时,对报文进行二层隔离的方式流程图;
图4为本发明实施例提供的基于VLAN实现报文二层隔离的装置示意图。
具体实施方式
下面结合附图和实施例对本发明提供的基于VLAN实现报文二层隔离的方法、装置及交换机进行更详细地说明。
本发明实施例提供一种基于VLAN实现报文二层隔离的方法,如图1所示,包括:
步骤101,接收并解析报文。
具体的,交换机接收并解析接收到的报文,对报文进行解析后可获得报文中携带的内容,报文中携带的内容包括发送该报文的VLAN ID(Virtual Local Area NetworkIdentity,虚拟局域网身份标识号码)。对报文进行解析的方法为现有方法,这里不再赘述。ID(id)即身份标识号码,Identity。
步骤102,确定解析出的报文中携带的VLAN ID为预设VLAN ID,且,确定所述解析出的报文的转发方式为二层转发方式时,对所述报文进行二层隔离。
具体的,针对任一解析出的报文,若该报文中携带的VLAN ID为预设VLAN ID,且,该报文的转发方式为二层转发方式,则对该报文进行二层隔离。报文的转发方式包括:二层转发方式、三层转发方式,二层转发方式包括:L2UC(L2unicast,二层单播)、L2MC(L2multicast,二层多播)、L2BC(L2broadcast,二层广播),三层转发方式包括:L3UC(L3unicast,三层单播)、L3MC(L3multicast,三层多播)。对报文进行二层隔离,即不允许报文采用二层转发方式进行转发。
本发明实施例预设的VLAN ID可以为一个,也可以为多个,当为多个VLAN ID时,多个VLAN ID可以是属于同一个端口的VLAN ID,也可以是属于不同端口的VLAN ID。
现有技术中,端口隔离方法,不同端口之间的报文不可进行二层转发,从而实现了对报文的二层隔离,但是,该方法具有很大的局限性,会将来自不同端口VLAN的二层转发报文都进行二层隔离,如果不同该端口的VLAN之间需要进行报文的二层转发,则此时该方法不适用,从而导致不能灵活的对特定VLAN进行二层隔离,其它VLAN不进行二层隔离的问题。本发明实施例,将预设的VLAN ID设置为二层隔离,则所有来自该预设VLAN ID的二层转发报文都进行二层隔离,而来自其它VLAN ID的报文按照正常转发流程进行转发,从而能够灵活的针对来自特定VLAN ID的报文进行二层隔离,解决了端口隔离方法所存在的问题,且本发明实施例可以使用在任何需要进行二层隔离的场景,比如可以在端口隔离场景的基础上实施,也可以在其它场景下实施,这里不做限定。
作为一种优选实施方式,确定解析出的报文中携带的VLAN ID为预设VLAN ID,具体包括:
根据预先存储的VLAN ID与class id值的对应关系,确定与所述解析出的报文中携带的VLAN ID对应的class id值;
确定与所述解析出的报文中携带的VLAN ID对应的class id值与预先存储的第一ACL(Access Control List,访问控制列表)表项中设定的class id值匹配时,确定解析出的报文中携带的VLAN ID为预设VLAN ID,所述设定的class id值非零。
其中,确定解析出的报文中携带的VLAN ID对应的class id值与预先存储的第一ACL表项中设定的class id值相同时,确定解析出的报文中携带的VLAN ID对应的class id值与预先存储的第一ACL表项中设定的class id值匹配。
具体的,class id在现有技术中的默认值为零,本优选实施方式中,预先将classid字段的值与VLAN ID进行对应,其中,预设VLAN ID(即需要进行二层隔离的VLAN ID)与设定的class id值对应,预设VLAN ID存在多个时,多个预设VLAN ID与同一设定的class id值对应,即,不论预设的VLAN ID有多少个,所有预设VLAN ID对应的可以是同一个设定的class id值。
具体的,ACL表项存储在VLAN寄存器中对应的关联域。其中,优选地,不需要进行二层隔离的VLAN ID(即非预设VLAN ID)可不与任何class id值关联。
在需要进行二层隔离的VLAN ID比较多时,比如一个端口对应4096个VLAN ID,假设需要对其中的4095个VLAN ID进行二层隔离,如果不采用本发明实施例,则确定解析出的报文中携带的VLAN ID为预设VLAN ID,并确定报文为二层转发报文后,对来自预设VLAN ID的报文进行二层隔离,此时,不同的预设VLAN ID与报文转发方式为二层转发方式的报文对应一个ACL表项,即,需要设置4095个ACL表项,会占用数量较多的ACL表项。采用本优选实施方式,将预设VLAN ID与设定的class id值对应,即预先将4095个VLAN ID与同一设定classid值对应,并且,在设置ACL表项时,将设定的class id值与报文的相同的转发方式对应一个ACL表项,这样可以节省ACL表项,节省资源,避免出现ACL表项不足的问题。
举例说明,假设预设的VLAN ID为100、200,则不利用本优选实施方式得到的ACL表格如表1所示:
表1
ACL表项 VLAN ID 转发方式
1 100 L2UC
2 200 L2UC
3 100 L2BC
4 200 L2BC
5 100 L2MC
6 200 L2MC
表1中,不同的转发方式不同的VLAN ID对应一个ACL表项,而利用本优选实施方式得到的ACL表格如表2所示:
表2
ACL表项 class id 转发方式
1 3 L2UC
2 3 L2BC
3 3 L2MC
表2中,由于预先将预设的VLAN ID(100、200)与设定的class id值(3)对应,因此,当来自预设VLAN ID的报文的转发方式相同时,在本优选实施方式中可将表1中的六个ACL表项合并为表2中的三个ACL表项,从而达到了节省ACL表项的目的。
具体的,如图2所示,采用如下方式将设定class id值添加到报文中:
步骤201,预先存储预设VLAN ID与设定class id值的对应关系。
步骤202,确定解析出的报文中携带的VLAN ID为预设VLAN ID时,根据预先存储的预设VLAN ID与设定class id值的对应关系,获取设定class id值。
步骤203,将获取的设定class id值添加到解析出的报文头部的扩展区域。
具体的,报文头部的扩展区域位于报文头部之前,与报文头部相邻。
作为一种优选实施方式,确定所述解析出的报文的转发方式为二层转发方式,具体包括:确定所述解析出的报文中的Pkt Resolution字段值与第一ACL表项中设定的PktResolution字段值匹配时,确定所述解析出的报文的转发方式为二层转发方式。
其中,确定所述报文中的Pkt Resolution字段值与第一ACL表项中设定的PktResolution字段值相同时,确定所述解析出的报文中的Pkt Resolution字段值与第一ACL表项中设定的Pkt Resolution字段值匹配。
本优选实施方式中的第一ACL表项,与上一优选实施方式中的第一ACL表项为同一ACL表项。
具体的,不同的Pkt Resolution字段的值对应不同的报文的转发方式,具体PktResolution字段的值所对应的报文的转发方式可参考交换机芯片的出厂设置,不同的交换机芯片可能有不同的设置,这里不做限定。本优选实施方式直接利用Pkt Resolution字段的值确定报文的转发方式,能够快速的确定出报文的转发方式,提高处理报文的速率。本优选实施方式适合任何型号的交换机芯片。
具体的,Pkt Resolution字段也添加在步骤203中的报文头部扩展区域。报文在交换机内部进行L2、L3转发流程后,即可确定Pkt Resolution字段的值,之后,将确定了值的Pkt Resolution字段添加到报文头部扩展区域,具体的将Pkt Resolution字段添加到报文头部扩展区域的过程为现有技术,这里不再赘述。
作为另一种优选实施方式,确定所述解析出的报文的转发方式为二层转发方式时,对所述报文进行二层隔离,如图3所示,具体包括:
步骤301,确定解析出的报文中携带的VLAN ID为预设VLAN ID时,根据预先存储的预设VLAN ID与设定的servicemeter索引ID的对应关系,获取与所述解析出的报文中携带的VLAN ID对应的设定的servicemeter索引ID。
具体的,预先利用交换机芯片中的servicemeter(service based metering,基于服务的流量控制引擎)功能,设置一个servicemeter索引ID;将该servicemeter索引ID对应的行为限速为零(进行二层隔离),并将报文的转发方式,如L2UC、L2MC、L2BC、L3UC、L3MC等作为该servicemeter索引ID的流匹配条件,设置该servicemeter索引ID匹配二层转发方式的报文,关联动作为进行二层隔离。将预设的VLAN ID与该servicemeter索引ID对应,并存储在交换机芯片的VLAN寄存器中对应的关联域中。其中,可采用现有的方式确定解析出的报文中携带的VLAN ID为预设VLAN ID,本发明实施例中不再赘述。
其中,当预设VLAN ID存在多个时,多个预设VLAN ID与同一设定的servicemeter索引ID对应,即,不论预设的VLAN ID有多少个,所有预设VLAN ID对应的可以是同一个设定的servicemeter索引ID。
步骤302,根据设定的servicemeter索引ID对应的策略,对所述解析出的报文进行处理,所述设定的servicemeter索引ID对应的策略为:确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离。
具体的,设定的servicemeter索引ID对应的策略,具体采用如下方式制定:
将设定的servicemeter索引ID的行为限速为零,且,将设定的servicemeter索引ID与二层转发方式的报文进行匹配。
其中,将设定的servicemeter索引ID的行为限速为零,即将流量的转发速率限制为零,将流量的转发速率限制为零后,可不转发来自预设VLAN ID的报文,从而实现对来自预设VLAN ID的报文进行二层隔离。
本优选实施方式只适用于具有servicemeter功能的交换机芯片,比如5664x系列芯片。
利用本发明实施例,能够对来自预设VLAN ID的二层转发报文进行二层隔离,假设预设VLAN ID为VLAN 100,那么VLAN 100会与上述设定的servicemeter索引ID对应(关联),当确定解析出的报文中携带的VLAN ID为VLAN 100时,servicemeter控制器就会将该报文按照转发方式进行分类,当确定该报文为二层转发报文时,对该报文进行二层隔离。而来自预设VLAN ID之外的VLAN ID的报文不受影响,按照正常流程转发即可。利用该优选实施方式,不论预设VLAN ID的数量是多少,所有的预设的VLAN ID与设定servicemeter索引ID关联,从而使得只占用一条servicemeter资源。
基于上述任一实施例,对报文进行二层隔离,具体包括:丢弃该二层转发方式的报文。
基于与上述实施例提供的基于虚拟局域网VLAN实现报文二层隔离的方法同样的发明构思,本发明实施例还提供了一种基于虚拟局域网VLAN实现报文二层隔离的装置,如图4所示,包括:
解析单元401,用于接收并解析报文;
隔离单元402,用于确定解析出的报文中携带的VLAN ID为预设VLAN ID,且,确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离。
优选地,所述装置中,所述隔离单元具体用于:
根据预先存储的VLAN ID与class id值的对应关系,确定与所述解析出的报文中携带的VLAN ID对应的class id值;
确定与所述解析出的报文中携带的VLAN ID对应的class id值与预先存储的第一ACL表项中设定的class id值匹配时,确定解析出的报文中携带的VLAN ID为预设VLAN ID,所述设定的class id值非零。
优选地,所述装置中,所述隔离单元具体用于:
确定所述解析出的报文中的Pkt Resolution字段值与第一ACL表项中设定的PktResolution字段值匹配时,确定所述解析出的报文的转发方式为二层转发方式。
优选地,所述装置中,所述隔离单元具体用于:
根据预先存储的预设VLAN ID与设定的基于服务的流量控制引擎索引ID的对应关系,获取与所述解析出的报文中携带的VLAN ID对应的设定的基于服务的流量控制引擎索引ID;
根据设定的基于服务的流量控制引擎索引ID对应的策略,对所述解析出的报文进行处理,所述设定的基于服务的流量控制引擎索引ID对应的策略为:确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离。
优选地,所述装置中,所述隔离单元还用于:
具体采用如下方式制定设定的基于服务的流量控制引擎索引ID对应的策略:
将设定的基于服务的流量控制引擎索引ID的行为限速为零,且,将设定的基于服务的流量控制引擎索引ID与二层转发方式的报文进行匹配。
所述装置中,所述隔离单元对所述报文进行二层隔离时,具体用于:丢弃所述报文。
本发明实施例还提供了一种交换机,包括图4所示的任一种基于虚拟局域网VLAN实现报文二层隔离的装置。
利用本发明实施例提供的基于VLAN实现报文二层隔离的方法、装置及交换机,具有以下有益效果:将预设的VLAN ID设置为二层隔离,则所有来自该预设VLAN ID的二层转发报文都进行二层隔离,而来自其它VLAN ID的报文按照正常转发流程进行转发,从而能够灵活的针对来自特定VLAN ID的报文进行二层隔离,解决了现有技术中的端口隔离方法所存在的问题;通过将设定的class id值与预设VLAN ID对应,从而节省了ACL表项;利用PktResolution字段的值确定报文的转发方式,能够快速的确定出报文的转发方式,提高处理报文的速率;并且通过利用基于服务的流量控制引擎索引功能,对报文的转发方式进行自动分类,从而提高了确定报文转发方式的效率。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (7)

1.一种基于虚拟局域网VLAN实现报文二层隔离的方法,其特征在于,包括:
接收并解析报文;
确定解析出的报文中携带的VLAN ID为预设VLAN ID,且,确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离;
其中,确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离,具体包括:
根据预先存储的预设VLAN ID与设定的基于服务的流量控制引擎索引ID的对应关系,获取与所述解析出的报文中携带的VLAN ID对应的设定的基于服务的流量控制引擎索引ID;
根据设定的基于服务的流量控制引擎索引ID对应的策略,对所述解析出才报文进行处理,所述设定的基于服务的流量控制引擎索引ID对应的策略为:确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离;
其中,确定解析出的报文中携带的VLAN ID为预设VLAN ID,具体包括:
根据预先存储的VLAN ID与class id值的对应关系,确定与所述解析出的报文中携带的VLAN ID对应的class id值;
确定与所述解析出的报文中携带的VLAN ID对应的class id值与预先存储的第一ACL表项中设定的class id值匹配时,确定解析出的报文中携带的VLAN ID为预设VLAN ID,所述设定的class id值非零。
2.如权利要求1所述的方法,其特征在于,确定所述解析出的报文的转发方式为二层转发方式,具体包括:
确定所述解析出的报文中的Pkt Resolution字段值与第一ACL表项中设定的PktResolution字段值匹配时,确定所述解析出的报文的转发方式为二层转发方式。
3.如权利要求1所述的方法,其特征在于,设定的基于服务的流量控制引擎索引ID对应的策略,具体采用如下方式制定:
将设定的基于服务的流量控制引擎索引ID的行为限速为零,且,将设定的基于服务的流量控制引擎索引ID与二层转发方式的报文进行匹配。
4.一种基于虚拟局域网VLAN实现报文二层隔离的装置,其特征在于,包括:
解析单元,用于接收并解析报文;
隔离单元,用于确定解析出的报文中携带的VLAN ID为预设VLAN ID,且,确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离;
其中,所述隔离单元具体用于:
根据预先存储的预设VLAN ID与设定的基于服务的流量控制引擎索引ID的对应关系,获取与所述解析出的报文中携带的VLAN ID对应的设定的基于服务的流量控制引擎索引ID;
根据设定的基于服务的流量控制引擎索引ID对应的策略,对所述解析出的报文进行处理,所述设定的基于服务的流量控制引擎索引ID对应的策略为:确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离;
其中,所述隔离单元具体用于:
根据预先存储的VLAN ID与class id值的对应关系,确定与所述解析出的报文中携带的VLAN ID对应的class id值;
确定与所述解析出的报文中携带的VLAN ID对应的class id值与预先存储的第一ACL表项中设定的class id值匹配时,确定解析出的报文中携带的VLAN ID为预设VLAN ID,所述设定的class id值非零。
5.如权利要求4所述的装置,其特征在于,所述隔离单元具体用于:
确定所述解析出的报文中的Pkt Resolution字段值与第一ACL表项中设定的PktResolution字段值匹配时,确定所述解析出的报文的转发方式为二层转发方式。
6.如权利要求5所述的装置,其特征在于,所述隔离单元还用于:
具体采用如下方式制定设定的基于服务的流量控制引擎索引ID对应的策略:
将设定的基于服务的流量控制引擎索引ID的行为限速为零,且,将设定的基于服务的流量控制引擎索引ID与二层转发方式的报文进行匹配。
7.一种交换机,其特征在于,包括权利要求4-6任一所述的基于虚拟局域网VLAN实现报文二层隔离的装置。
CN201510130330.7A 2015-03-24 2015-03-24 基于vlan实现报文二层隔离的方法、装置及交换机 Active CN104734953B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510130330.7A CN104734953B (zh) 2015-03-24 2015-03-24 基于vlan实现报文二层隔离的方法、装置及交换机

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510130330.7A CN104734953B (zh) 2015-03-24 2015-03-24 基于vlan实现报文二层隔离的方法、装置及交换机

Publications (2)

Publication Number Publication Date
CN104734953A CN104734953A (zh) 2015-06-24
CN104734953B true CN104734953B (zh) 2019-07-23

Family

ID=53458401

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510130330.7A Active CN104734953B (zh) 2015-03-24 2015-03-24 基于vlan实现报文二层隔离的方法、装置及交换机

Country Status (1)

Country Link
CN (1) CN104734953B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107294940A (zh) * 2016-04-12 2017-10-24 中兴通讯股份有限公司 交换机端口隔离方法和装置
CN106559268B (zh) * 2016-11-28 2019-12-13 浙江宇视科技有限公司 用于ip监控系统的动态端口隔离方法及装置
CN106878986B (zh) * 2017-01-05 2021-03-26 新华三技术有限公司 一种用户隔离方法及装置
CN107172101A (zh) * 2017-07-13 2017-09-15 无锡路通视信网络股份有限公司 端口隔离和vlan隔离切换方法及在epon中的应用
CN109525601B (zh) 2018-12-28 2021-04-27 杭州迪普科技股份有限公司 内网中终端间的横向流量隔离方法和装置
CN110602110A (zh) * 2019-09-18 2019-12-20 深圳市信锐网科技术有限公司 一种全网端口隔离方法、装置、设备及存储介质
CN112714052B (zh) * 2020-12-20 2022-12-27 苏州浪潮智能科技有限公司 一种流量隔离方法、装置、交换机及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101035052A (zh) * 2007-04-25 2007-09-12 中兴通讯股份有限公司 一种基于虚拟局域网的端口隔离方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1286298C (zh) * 2003-10-23 2006-11-22 华为技术有限公司 二层vlan端口隔离的方法
CN100508520C (zh) * 2004-06-03 2009-07-01 华为技术有限公司 基于虚拟局域网的二层虚拟专用网的实现方法
CN101494610B (zh) * 2009-03-12 2011-06-22 福建星网锐捷网络有限公司 处理报文的方法及交换机
CN101557541B (zh) * 2009-05-26 2012-04-18 杭州华三通信技术有限公司 数据包传输的方法、系统及装置
CN101702679B (zh) * 2009-11-26 2011-11-02 福建星网锐捷网络有限公司 基于虚拟局域网的报文处理方法及交换设备
CN101924700B (zh) * 2010-08-09 2012-11-21 福建星网锐捷网络有限公司 报文处理方法、装置和网络设备
US8660075B2 (en) * 2011-01-10 2014-02-25 Brocade Communications Systems, Inc. Congestion notification in private VLANs
CN102932342B (zh) * 2012-10-26 2015-08-26 华为技术有限公司 实现隔离多用户虚拟局域网的方法及网络设备

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101035052A (zh) * 2007-04-25 2007-09-12 中兴通讯股份有限公司 一种基于虚拟局域网的端口隔离方法

Also Published As

Publication number Publication date
CN104734953A (zh) 2015-06-24

Similar Documents

Publication Publication Date Title
CN104734953B (zh) 基于vlan实现报文二层隔离的方法、装置及交换机
CN105474602B (zh) 软件定义网络中识别攻击流的方法、装置以及设备
CN106603550B (zh) 一种网络隔离方法及装置
CN105490961A (zh) 报文处理方法、装置以及网络设备
CN105391634B (zh) 一种报文处理方法、装置及交换机
CN104065571B (zh) 一种广播报文处理方法、装置及系统
CN104579894B (zh) 分布式虚拟交换机系统的IGMP Snooping实现方法及装置
CN103354529B (zh) 一种选择路径的方法和设备
CN104521220B (zh) 报文处理方法及设备
CN105515992A (zh) Vxlan网络中的流表项处理方法及装置
CN103746922B (zh) 一种组播报文的转发方法及装置
CN103595712B (zh) 一种Web认证方法、装置及系统
EP2897328B1 (en) Method, system and apparatus for establishing communication link
CN104160735A (zh) 发报文处理方法、转发器、报文处理设备、报文处理系统
CN103457782B (zh) 一种基于vlan的环回检测方法及网络设备
CN103179044B (zh) 流量管理的实现方法、设备和系统
CN108055215A (zh) 报文转发方法和装置
WO2017000861A1 (zh) 交换机虚拟局域网中mac地址的学习方法及装置
CN103944886B (zh) 一种端口安全的实现方法及系统
CN105338127B (zh) 媒体接入控制mac地址表更新方法、交换机及系统
CN102647359B (zh) 基于DSA TAG及自定义协议栈的网桥IGMP Snooping实现方法
CN107623636A (zh) 一种用户隔离方法和交换机
CN104065689A (zh) 宽带无线接入共享及广告方法
CN107612738B (zh) Vpls双归属业务模型的上行流量快速切换系统及方法
CN106302188A (zh) 一种交换机设备的组播报文转发控制方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor

Patentee after: RUIJIE NETWORKS Co.,Ltd.

Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park 19 floor

Patentee before: Beijing Star-Net Ruijie Networks Co.,Ltd.