CN105282109B - 一种vlan聚合中arp代理的方法及装置 - Google Patents
一种vlan聚合中arp代理的方法及装置 Download PDFInfo
- Publication number
- CN105282109B CN105282109B CN201410325361.3A CN201410325361A CN105282109B CN 105282109 B CN105282109 B CN 105282109B CN 201410325361 A CN201410325361 A CN 201410325361A CN 105282109 B CN105282109 B CN 105282109B
- Authority
- CN
- China
- Prior art keywords
- switch
- request message
- arp
- arp request
- vlan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种VLAN聚合中ARP代理的方法及装置,在该方法中Super VLAN设备转发第一交换机发送的ARP请求报文,并启动老化定时器,根据在老化定时器的计时时间长度内,是否接收到第二交换机返回的ARP应答报文,确定是否通知第一交换机和第二交换机建立连接。由于在本发明实施例中Super VLAN设备转发第一交换机的ARP请求报文,在老化定时器的计时时间长度内接收到第二交换机返回的ARP应答报文时,才通知第一交换机和第二交换机建立连接,从而避免了在等待第二交换机返回ARP应答报文时,自身的端口受到第一交换机的报文冲击,从而保证了网络的可靠性。
Description
技术领域
本发明涉及VLAN聚合技术领域,尤其涉及一种VLAN聚合中ARP代理的方法及装置。
背景技术
在传统的VLAN间路由中,我们需要为每个VLAN配置一个IP地址,作为此VLAN的网关,以实现三层路由,在此方法中,每个VLAN都是一个子网,子网号不能为主机所用,该子网需要分配一个IP地址作为网关,还有一个IP地址作为定向广播地址,如果VLAN中的主机不需要那么多IP地址,那该子网内的剩余IP地址,也不能分配给其VLAN的主机使用,造成极大的浪费。就算是使用可变长子网掩码(Variable Length Subnet Masking,VLSM)分配IP地址,每个VLAN也至少浪费三个IP地址,如果有几十或上百个VLAN,那会浪费大量的IP地址。在此这种情况下,为节约IP地址,提出Super VLAN的概念。
Super VLAN又称为VLAN聚合,其原理是一个Super VLAN包含多个Sub VLAN,每个Sub VLAN是一个广播域,不同Sub VLAN之间二层相互隔离。Super VLAN可以配置三层接口,Sub VLAN不能配置三层接口。当Sub VLAN内的用户需要进行三层通信时,将使用SuperVLAN三层接口的IP地址作为网关地址,这样多个共用一个IP网段,从而节省了IP地址资源。
现有技术中由于每个Super VLAN设备包含多个Sub VLAN,且每个Sub VLAN由多台设备组成,当属于同一个VLAN的两台设备进行数据通信时,其中的一台设备向另一台设备发送ARP请求报文,另一台设备和Super VLAN根据接收到ARP请求报文的时间先后,分别向该设备返回ARP应答报文,从而与该设备建立二层或三层连接进行通信。由于两台设备位于同一SUB VLAN中,只需建立二层连接即可通信,因此,当通过Super VLAN建立三层连接时,就浪费了三层资源,并且降低了通信效率。更或者在建立三层连接时,当链路中存在MAC地址保护装置时,将中断本次连接,从而导致两台设备无法正常通信。
另外,当进行通信的两台设备分属不同的SUB VLAN时,其中的一台设备向SuperVLAN发送ARP请求报文,Super VLAN在接收到该ARP请求报文后,立即向该设备返回ARP应答报文,该设备在接收到该ARP应答报文后,就将待发送的数据发送至Super VLAN,但在SuperVLAN未接收到另一台设备的ARP应答报文之前,Super VLAN将丢弃该设备的数据,但是其端口将受到该设备大量数据的持续冲击,尤其是当未找到另一台设备或者该ARP请求报文为伪造报文进行恶意攻击时,Super VLAN的端口可能被拥塞导致无法正常通信,从而给整个网络带来安全隐患。
因此,在现有技术中Super VLAN在接收到ARP请求报文时,直接返回ARP回复报文同意建立连接,然后在自身的各SUB VLAN中转发该ARP请求报文的方式,将可能导致同VLAN的设备采用三层进行通信,并且Super VLAN等待回复报文时,自身的端口将受到大量报文的冲击,降低了通信效率,无法保证网络可靠性。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种VLAN聚合中ARP代理的方法及装置。
本发明实施例提供了一种VLAN聚合中ARP代理的方法,该方法包括:
Super VLAN设备接收第一交换机发送的ARP请求报文;
根据所述ARP请求报文进行转发,并启动老化定时器;
判断在所述老化定时器的计时时间长度内,是否接收到第二交换机返回的ARP应答报文;
当接收到第二交换机返回的ARP应答报文时,向所述第一交换机返回所述ARP应答报文,通知第一交换机和第二交换机建立连接;
当未接收到第二交换机返回的ARP应答报文时,丢弃该ARP请求报文。
为了提高Super VLAN设备的处理效率,快速排除恶意攻击,所述根据所述ARP请求报文进行转发包括:
获取所述ARP请求报文中的源IP地址和目的IP地址;
根据自身保存的黑名单,判断所述ARP请求报文中的该对源IP地址和目的IP地址是否保存在所述黑名单中,其中,所述黑名单中保存有多条源IP地址和目的IP地址的对应记录;
当所述ARP请求报文中的源IP地址和目的IP地址未保存在所述黑名单中时,根据所述ARP请求报文进行转发;
当所述ARP请求报文中的源IP地址和目的IP地址保存在所述黑名单中时,丢弃所述ARP请求报文。
为了实时更新Super VLAN设备保存的黑名单信息,有效快速排除恶意攻击,所述当未接收到第二交换机返回的ARP应答报文时,所述方法还包括:
将所述ARP请求报文的源IP地址和目的IP地址作为一对对应记录,保存到黑名单中。
为了防止同一SUB VLAN的设备建立三层链接,浪费网络资源,所述根据所述ARP请求报文进行转发包括:
在所述ARP请求报文中获取发送该报文的第一交换机所在的VLAN ID;
根据所述VLAN ID,确定所述第一交换机归属的SUB VLAN;
将所述ARP请求报文中的源MAC地址替换为自身的MAC地址,并在除所述第一交换机归属的SUB VLAN之外的其他SUB VLAN中转发该ARP请求报文。
为了提高Super VLAN设备的处理效率,有效防止三层链接的建立,所述通知第一交换机和第二交换机建立连接包括:
在所述ARP应答报文中获取第二交换机所在的VLAN ID;
判断所述VLAN ID与所述ARP请求报文中第一交换机所在的VLAN ID是否相同;
当不相同时,向所述第一交换机返回ARP应答报文,并通知第一交换机和第二交换机建立连接;
否则,丢弃该ARP请求报文。
本发明实施例提供了一种VLAN聚合中ARP代理的装置,所述装置包括:
接收模块,用于接收第一交换机发送的ARP请求报文;
转发模块,用于根据所述ARP请求报文进行转发,并启动老化定时器;
判断模块,用于判断在所述老化定时器的计时时间长度内,是否接收到第二交换机返回的ARP应答报文;
执行模块,用于当判断模块判断接收到第二交换机返回的ARP应答报文时,向所述第一交换机返回ARP应答报文,通知第一交换机和第二交换机建立连接;当判断模块判断未接收到第二交换机返回的ARP应答报文时,丢弃该ARP请求报文。
为了提高Super VLAN设备的处理效率,快速排除恶意攻击,判断模块,还用于获取所述ARP请求报文中的源IP地址和目的IP地址,根据自身保存的黑名单,判断所述ARP请求报文中的该对源IP地址和目的IP地址是否保存在所述黑名单中,其中,所述黑名单中保存有多条源IP地址和目的IP地址的对应记录;
所述转发模块,还用于当判断模块判断所述ARP请求报文中的源IP地址和目的IP地址未保存在所述黑名单中时,根据所述ARP请求报文进行转发;当判断模块判断所述ARP请求报文中的源IP地址和目的IP地址保存在所述黑名单的记录中时,丢弃所述ARP请求报文。
为了实时更新Super VLAN设备保存的黑名单信息,有效快速排除恶意攻击,所述装置还包括:
更新模块,用于当未接收到第二交换机返回的ARP应答报文时,将所述ARP请求报文的源IP地址和目的IP地址作为一对对应记录,保存到黑名单中。
为了防止同一SUB VLAN的设备建立三层链接,浪费网络资源,所述转发模块,还用于在所述ARP请求报文中获取发送该报文的第一交换机所在的VLAN ID;根据所述VLAN ID,确定所述第一交换机归属的SUB VLAN;将所述ARP请求报文中的源MAC地址替换为自身的MAC地址,并在除所述第一交换机归属的SUB VLAN之外的其他SUB VLAN中转发该ARP请求报文。
为了提高Super VLAN设备的处理效率,有效防止三层链接的建立,所述执行模块,还用于在所述ARP应答报文中获取第二交换机所在的VLAN ID;判断所述VLAN ID与所述ARP请求报文中第一交换机所在的VLAN ID是否相同;当不相同时,向所述第一交换机返回ARP应答报文,并通知第一交换机和第二交换机建立连接;当所述VLAN ID与所述ARP请求报文中第一交换机所在的VLAN ID不相同,丢弃该ARP请求报文。
本发明实施例提供了一种VLAN聚合中ARP代理的方法及装置,在该方法中SuperVLAN设备转发第一交换机发送的ARP请求报文,并启动老化定时器,根据在老化定时器的计时时间长度内,是否接收到第二交换机返回的ARP应答报文,确定是否通知第一交换机和第二交换机建立连接。由于在本发明实施例中Super VLAN设备转发第一交换机的ARP请求报文,在老化定时器的计时时间长度内接收到第二交换机返回的ARP应答报文时,才通知第一交换机和第二交换机建立连接,从而避免了在等待第二交换机返回ARP应答报文时,自身的端口受到第一交换机的报文冲击,从而保证了网络的可靠性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例提供的一种VLAN聚合中ARP代理的过程示意图;
图2为本发明实施例一提供的一种VLAN聚合中ARP代理的实施过程图;
图3为本发明实施例二提供的一种VLAN聚合中ARP代理的详细过程示意图;
图4为本发明实施例三提供的一种VLAN聚合中ARP代理的详细过程示意图;
图5为本发明实施例四提供的一种VLAN聚合中ARP代理的详细过程示意图;
图6为本发明实施例五提供的一种VLAN聚合中ARP代理的详细过程示意图
图7为本发明实施例提供的一种VLAN聚合中ARP代理的装置结构示意图。
具体实施方式
为了解决Super VLAN设备接收到ARP请求报文后,在等待SUB VLAN中的设备返回ARP应答报文时,自身端口受到报文冲击的问题,提高网络的可靠性,本发明实施例提供了一种VLAN聚合中ARP代理的方法及装置。
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
下面结合说明附图,对本发明实施例进行说明。
图1为本发明实施例提供的一种VLAN聚合中ARP代理的过程示意图,该过程包括以下步骤:
S101:Super VLAN设备接收第一交换机发送的ARP请求报文。
第一交换机根据自身的需求向Super VLAN设备发送ARP请求报文,其中,该ARP请求报文中包含发送该ARP请求报文的源IP地址(第一交换机自身的IP地址)和目的IP地址、第一交换机的MAC地址和第一交换机归属的SUB VLAN的VLAN ID等信息。
S102:根据所述ARP请求报文进行转发,并启动老化定时器。
Super VLAN设备在本地维护ARP任务请求表,其中,该ARP任务请求表中包含有多条ARP任务表项,每条ARP任务表项保存每个ARP请求报文的目的IP地址与源IP地址、源MAC地址和发送该APR请求报文的交换机所在的VLAN ID的映射关系。当对该APR请求报文处理完成后(建立连接,或者删除APR请求报文),在该ARP任务请求表中删除对应的ARP任务表项。
Super VLAN设备根据接收到的ARP请求报文包含的目的IP地址、源IP地址、源MAC地址和VLAN ID,判断自身的ARP任务请求表中是否已经建立该ARP请求报文的任务表项,当确定该ARP请求报文的任务表项已经存在时,丢弃该报文,否则,为该ARP请求报文建立新的任务表项,并启动老化定时器。
S103:判断在所述老化定时器的计时时间长度内,是否接收到第二交换机返回的ARP应答报文,当判定结果为是时,进行步骤S104,否则,进行步骤S105。
Super VLAN设备接收第一交换机发送的ARP请求报文,确定该ARP请求报文未在本地的ARP任务请求表建立ARP任务表项,则在本地的ARP任务请求表中为该ARP请求报文建立新的ARP任务表项,将该ARP请求报文的源MAC地址替换自身的MAC地址进行转发,并为该ARP任务表项启动老化定时器,Super VLAN设备根据在该ARP任务表项对应的老化定时器超时之前,是否收到该ARP请求报文的ARP应答报文,确定对该第一交换发送的ARP请求报文的处理方式。
S104:向所述第一交换机返回ARP应答报文,通知第一交换机和第二交换机建立连接。
Super VLAN设备将第一交换机发送的ARP请求报文的源MAC地址替换为自身的MAC地址后,向自身的每个SUB VLAN转发该ARP请求报文,并启动老化定时器。当确定在该老化定时器的计时时间长度内,接收到第二交换机返回的ARP应答报文时,将该ARP应答报文的源MAC地址替换为自身的MAC地址后转发给第一交换机,并将ARP任务请求表中对应的ARP任务表项删除。第一交换机接收到Super VLAN设备返回的该ARP应答报文后,将待发送数据通过Super VLAN设备发送给第二交换机,从而建立了第一交换机和第二交换机的三层链路。
S105:丢弃该ARP请求报文。
当Super VLAN设备在该老化定时器的计时时间长度内,未接收到返回的ARP应答报文时,确定第一交换机发送的该ARP请求报文的目的IP不存在,丢弃第一交换机发送的该ARP请求报文,并将自身ARP任务请求表中对应的ARP任务表项删除。
由于在本发明实施例中Super VLAN设备转发第一交换机的ARP请求报文,在老化定时器的计时时间长度内接收到第二交换机返回的ARP应答报文时,才通知第一交换机和第二交换机建立连接,从而避免了在等待第二交换机返回ARP应答报文时,自身的端口受到第一交换机的报文冲击,从而保证了网络的可靠性。
另外,在本发明实施例中为了进一步提高网络的安全性,防止网络攻击对SuperVLAN设备的冲击,所述根据所述ARP请求报文进行转发包括:
获取所述ARP请求报文中的源IP地址和目的IP地址;
根据自身保存的黑名单,判断所述ARP请求报文中的该对源IP地址和目的IP地址是否保存在所述黑名单中,其中,所述黑名单中保存有多条源IP地址和目的IP地址的对应记录;
当所述ARP请求报文中的源IP地址和目的IP地址未保存在所述黑名单中时,根据所述ARP请求报文进行转发;
当所述ARP请求报文中的源IP地址和目的IP地址保存在所述黑名单中时,丢弃所述ARP请求报文。
具体的,Super VLAN设备在本地保存有黑名单,该黑名单中保存有多条源IP地址和目的IP地址对的对应记录,Super VLAN设备根据黑名单中保存的每条IP地址和目的IP地址对的对应记录,确定接收到的ARP请求报文的合法性。
图2为本发明实施例一提供的一种VLAN聚合中ARP代理的实施过程图,该过程包括以下步骤:
S201:Super VLAN设备接收第一交换机发送的ARP请求报文。
S202:获取所述ARP请求报文中的源IP地址和目的IP地址。
S203:根据自身保存的黑名单,判断所述ARP请求报文中的该对源IP地址和目的IP地址是否保存在所述黑名单中,当判断结果为否时,进行步骤S204,否则,进行步骤S207。
S204:根据所述ARP请求报文进行转发,并启动老化定时器。
S205:判断在所述老化定时器的计时时间长度内,是否接收到第二交换机返回的ARP应答报文,当判定结果为是时,进行步骤S206,否则,进行步骤S207。
S206:向所述第一交换机返回ARP应答报文,通知第一交换机和第二交换机建立连接。
S207:丢弃该ARP请求报文。
另外,在本发明实施例中为了进一步提高网络的安全性,有效快速排除恶意攻击,所述当未接收到第二交换机返回的ARP响应报文时,所述方法还包括:
将所述ARP请求报文的源IP地址和目的IP地址作为一对对应记录,保存到黑名单中。
具体的,当Super VLAN设备根据第一交换机的ARP请求报文中的源IP地址和目的IP地址,在黑名单中未查找到该对源IP地址和目的IP地址时,暂时确定该ARP请求报文是合法的报文,Super VLAN设备根据该ARP请求报文的目的IP地址、源IP地址、源MAC和VLAN ID,当在ARP请求任务表中未查找到该ARP任务表项时,为该ARP请求报文建立ARP任务表项并启动老化定时器,当在该老化定时器的计时时间长度内未接收到ARP应答报文时,确定该ARP请求报文是非法报文,提取该ARP请求报文目的IP地址和源IP地址,在黑名单中保存该目的IP地址和源IP地址的对应记录,并将该ARP请求报文丢弃。
图3为本发明实施例二提供的一种VLAN聚合中ARP代理的详细过程示意图,该过程包括以下步骤:
S301:Super VLAN设备接收第一交换机发送的ARP请求报文。
S302:获取所述ARP请求报文中的源IP地址和目的IP地址。
S303:根据自身保存的黑名单,判断所述ARP请求报文中的该对源IP地址和目的IP地址是否保存在所述黑名单中,当判定结果为否时,进行步骤S304,否则,丢弃该ARP请求报文。
S304:根据所述ARP请求报文进行转发,并启动老化定时器。
S305:判断在所述老化定时器的计时时间长度内,是否接收到第二交换机返回的ARP应答报文,当判定结果为是时,进行步骤S306,否则,进行步骤S307。
S306:向所述第一交换机返回ARP应答报文,通知第一交换机和第二交换机建立连接。
S307:丢弃该ARP请求报文,将所述ARP请求报文的源IP地址和目的IP地址作为一对对应记录,保存到黑名单中。
由于在本发明实施例中Super VLAN设备接收到第一交换机的ARP请求报文后,首先判断黑名单中是否保存有该ARP请求报文的源IP地址和目的IP地址对,从而确定该ARP请求报文的合法性,然后针对确定为合法的ARP请求报文,在本地建立该ARP请求报文的ARP任务表项,并启动老化定时器,并根据在定时器的计时时间长度内是否收到第二交换机返回的ARP应答报文,确定是否通知第一交换机和第二交换机建立连接,进一步避免了恶意攻击报文对自身端口的冲击,提高网络的可靠性。
另外,为了进一步提高网络的可靠性,防止同一SUB VLAN的设备进行三层通信,节省三层通信资源,所述根据所述ARP请求报文进行转发包括:
在所述ARP请求报文中获取发送该报文的第一交换机所在的VLAN ID;
根据所述VLAN ID,确定所述第一交换机归属的SUB VLAN;
将所述ARP请求报文中的源MAC地址替换为自身的MAC地址,并在除所述第一交换机归属的SUB VLAN之外的其他SUB VLAN中转发该ARP请求报文。
具体的,当第一交换机与第二交换机属于相同的SUB VLAN时,Super VLAN设备接收第一交换机发送的ARP请求报文,根据该ARP请求报文,获取该ARP请求报文中第一交换机所在的VLAN ID,从而确定该第一交换机归属的SUB VLAN。为了避免属于同一SUB VLAN的两台设备建立三层通信,Super VLAN设备在向SUB VLAN转发该ARP请求报文时,不向该第一交换机归属的SUB VLAN进行转发,并启动老化定时器。
此时,由于第二交换机与第一交换机属于同一SUB VLAN,因此第二交换机只能收到第一交换机发送的ARP请求报文,并与第一交换机建立二层连接进行通信。由于SuperVLAN设备未向第二交换机归属的SUB VLAN转发该ARP请求报文,因此,在该ARP请求报文的ARP任务表项对应的老化定时器的计时时间长度时,Super VLAN设备仍然不能接收到第二交换机返回的ARP应答报文,Super VLAN设备将丢弃第一交换机的ARP请求报文,从而保证了第一交换机和第二交换机保持二层通信。
图4为本发明实施例三提供的一种VLAN聚合中ARP代理的详细过程示意图,该过程包括以下步骤:
S401:Super VLAN设备接收第一交换机发送的ARP请求报文。
S402:在所述ARP请求报文中获取发送该报文的第一交换机所在的VLAN ID。
S403:根据所述VLAN ID,确定所述第一交换机归属的SUB VLAN。
S404:将所述ARP请求报文中的源MAC地址替换为自身的MAC地址,并在除所述第一交换机归属的SUB VLAN之外的其他SUB VLAN中转发该ARP请求报文,并启动老化定时器。
S405:判断在所述老化定时器的计时时间长度内,是否接收到第二交换机返回的ARP应答报文,当判定结果为是时,进行步骤S406,否则,进行步骤S407。
S406:向所述第一交换机返回ARP应答报文,通知第一交换机和第二交换机建立连接。
S407:丢弃该ARP请求报文。
另外,为了防止同一SUB VLAN的设备进行三层通信,节省三层通信资源,所述通知第一交换机和第二交换机建立连接包括:
在所述ARP应答报文中获取第二交换机所在的VLAN ID;
判断所述VLAN ID与所述ARP请求报文中第一交换机所在的VLAN ID是否相同;
当不相同时,向所述第一交换机返回ARP应答报文,并通知第一交换机和第二交换机建立连接;
否则,丢弃该ARP请求报文。
具体的,当第一交换机与第二交换机同属于相同的SUB VLAN时,Super VLAN设备接收第一交换机发送的ARP请求报文,获取该ARP请求报文中携带的源MAC地址、源IP地址、VLAN ID,将该ARP请求报文的源MAC地址替换为自身MAC地址,在所有的SUB VLAN中进行转发,并启动老化计时器。
当第二交换机接收到第一交换机发送的ARP请求报文时,与第一交换机建立二层连接进行通信。之后第二交换机接收到Super VLAN设备转发的该ARP请求报文时,向SuperVLAN设备返回ARP应答报文,其中,该ARP应答报文中携带发送该报文的第二交换机的IP地址和其所在的VLAN ID等信息。Super VLAN设备根据接收的该ARP应答报文,获取第二交换机所在的VLAN ID,由于第二交换机所在的VLAN ID与第一交换机所在的VLAN ID相同,因此,Super VLAN设备将丢弃第一交换机的ARP请求报文,删除自身的ARP请求任务表中保存的该ARP请求报文对应ARP任务表项,从而保证第一交换机和第二交换机建立的二层通信不被覆盖。
图5为本发明实施例四提供的一种VLAN聚合中ARP代理的详细过程示意图,该过程包括以下步骤:
S501:Super VLAN设备接收第一交换机发送的ARP请求报文。
S502:在所述ARP请求报文中获取发送该报文的第一交换机所在的VLAN ID,将所述ARP请求报文中的源MAC地址替换为自身的MAC地址,转发该ARP请求报文,并启动老化定时器。
S503:判断在所述老化定时器的计时时间长度内,是否接收到第二交换机返回的ARP应答报文,当判定结果为是时,进行步骤S504,否则,进行步骤S507。
S504:获取该ARP应答报文中第二交换机所在的VLAN ID。
S505:判断所述VLAN ID与所述ARP请求报文中第一交换机所在的VLAN ID是否相同,当判定结果为否时,进行步骤S506,否则,进行步骤S507。
S506:向所述第一交换机返回ARP应答报文,并通知第一交换机和第二交换机建立连接。
S507:丢弃该ARP请求报文。
为了防止归属于同一SUB VLAN之间建立三层通信,在本发明实施例中根据ARP请求报文中及ARP应答报文中携带的源交换机所在的VLAN ID进行判断,当两台交换机归属于同一SUB VLAN时,将该ARP请求报文丢弃,否则,建立两台设备间的通信链路。
为了有效的提高网络的安全性,有效快速的排恶意攻击,并且有效的避免归属于同一SUB VLAN的两台设备建立三层链路,浪费资源,在本发明实施例中可以先根据黑名单进行判断,之后再判断两台设备是否归属于同一SUB VLAN,从而在节省资源的情况下,有效的保证网络的安全。
图6为本发明实施例五提供的一种VLAN聚合中ARP代理的详细过程示意图,该过程包括以下步骤:
S601:Super VLAN设备接收第一交换机发送的ARP请求报文。
S602:获取所述ARP请求报文中的源IP地址和目的IP地址。
S603:根据自身保存的黑名单,判断所述ARP请求报文中的该对源IP地址和目的IP地址是否保存在所述黑名单中,当判定结果为否时,进行步骤S604,否则,丢弃该ARP请求报文。
S604:在所述ARP请求报文中获取发送该报文的第一交换机所在的VLAN ID,将所述ARP请求报文中的源MAC地址替换为自身的MAC地址,转发该ARP请求报文,并启动老化定时器。
S605:判断在所述老化定时器的计时时间长度内,是否接收到第二交换机返回的ARP应答报文,当判定结果为是时,进行步骤S606,否则,进行步骤S609。
S606:获取该ARP应答报文中第二交换机所在的VLAN ID。
S607:判断所述VLAN ID与所述ARP请求报文中第一交换机所在的VLAN ID是否相同,当判定结果为否时,进行步骤S608,否则,进行步骤S609。
S608:向所述第一交换机返回ARP应答报文,并通知第一交换机和第二交换机建立连接。
S609:丢弃该ARP请求报文,将所述ARP请求报文的源IP地址和目的IP地址作为一对对应记录,保存到黑名单中。
这样归属于同一SUB VLAN的第一交换机和第二交换机的地址,也会作为黑名单中的一对源IP地址和目的IP地址保存到黑名单中,当后续再接收到第一交换机发送的ARP请求报文时,因为第一交换机和第二交换机的地址保存在了黑名单中,因此Super VLAN设备可以直接将该ARP请求报文丢弃,无需转发该ARP请求报文,节省了Super VLAN设备的资源,提高了ARP代理的效率。
图7为本发明实施例提供的一种VLAN聚合中ARP代理的装置结构示意图,该装置包括:
接收模块71,用于接收第一交换机发送的ARP请求报文;
转发模块72,用于根据所述ARP请求报文进行转发,并启动老化定时器;
判断模块73,用于判断在所述老化定时器的计时时间长度内,是否接收到第二交换机返回的ARP应答报文;
执行模块74,用于当判断模块判断接收到第二交换机返回的ARP应答报文时,向所述第一交换机返回ARP应答报文,通知第一交换机和第二交换机建立连接;当判断模块判断未接收到第二交换机返回的ARP应答报文时,丢弃该ARP请求报文。
为了提高Super VLAN设备的处理效率,快速排除恶意攻击,所述判断模块73,还用于获取所述ARP请求报文中的源IP地址和目的IP地址,根据自身保存的黑名单,判断所述ARP请求报文中的该对源IP地址和目的IP地址是否保存在所述黑名单中,其中,所述黑名单中保存有多条源IP地址和目的IP地址的对应记录;
所述转发模块72,还用于当判断模块判断所述ARP请求报文中的源IP地址和目的IP地址未保存在所述黑名单中时,根据所述ARP请求报文进行转发;当判断模块判断所述ARP请求报文中的源IP地址和目的IP地址保存在所述黑名单的记录中时,丢弃所述ARP请求报文。
为了实时更新Super VLAN设备保存的黑名单信息,有效快速排除恶意攻击,所述装置还包括:
更新模块75,用于当未接收到第二交换机返回的ARP应答报文时,将所述ARP请求报文的源IP地址和目的IP地址作为一对对应记录,保存到黑名单中。
为了防止同一SUB VLAN的设备建立三层链接,浪费网络资源,所述转发模块72,还用于在所述ARP请求报文中获取发送该报文的第一交换机所在的VLAN ID;根据所述VLANID,确定所述第一交换机归属的SUB VLAN;将所述ARP请求报文中的源MAC地址替换为自身的MAC地址,并在除所述第一交换机归属的SUB VLAN之外的其他SUB VLAN中转发该ARP请求报文。
为了提高Super VLAN设备的处理效率,有效防止三层链接的建立,所述执行模块74,还用于在所述ARP应答报文中获取第二交换机所在的VLAN ID;判断所述VLAN ID与所述ARP请求报文中第一交换机所在的VLAN ID是否相同;当不相同时,向所述第一交换机返回ARP应答报文,并通知第一交换机和第二交换机建立连接;当所述VLAN ID与所述ARP请求报文中第一交换机所在的VLAN ID不相同,丢弃该ARP请求报文。
本发明实施例提供了一种VLAN聚合中ARP代理的方法及装置,在该方法中SuperVLAN设备转发第一交换机发送的ARP请求报文,并启动老化定时器,根据在老化定时器的计时时间长度内,是否接收到第二交换机返回的ARP应答报文,确定是否通知第一交换机和第二交换机建立连接。由于在本发明实施例中Super VLAN设备转发第一交换机的ARP请求报文,在老化定时器的计时时间长度内接收到第二交换机返回的ARP应答报文时,才通知第一交换机和第二交换机建立连接,从而避免了在等待第二交换机返回ARP应答报文时,自身的端口受到第一交换机的报文冲击,从而保证了网络的可靠性。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的通过VLAN聚合中ARP代理的装置,设备及系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (4)
1.一种VLAN聚合中ARP代理的方法,其特征在于,所述方法包括:
SuperVLAN设备接收第一交换机发送的ARP请求报文;
获取所述ARP请求报文中的源IP地址和目的IP地址;
根据自身保存的黑名单,判断所述ARP请求报文中的该对源IP地址和目的IP地址是否保存在所述黑名单中;
若否,在所述ARP请求报文中获取发送该报文的第一交换机所在的VLANID;
根据所述VLANID,确定所述第一交换机归属的SUBVLAN;
将所述ARP请求报文中的源MAC地址替换为自身的MAC地址,并在除所述第一交换机归属的SUBVLAN之外的其他SUBVLAN中转发该ARP请求报文,并启动老化定时器;
判断在所述老化定时器的计时时间长度内,是否接收到第二交换机返回的ARP应答报文;
当接收到第二交换机返回的ARP应答报文时,向所述第一交换机返回所述ARP应答报文,通知第一交换机和第二交换机建立三层链路连接;
当未接收到第二交换机返回的ARP应答报文时,丢弃该ARP请求报文,并将所述ARP请求报文的源IP地址和目的IP地址作为一对对应记录,保存到黑名单中。
2.如权利要求1所述的方法,其特征在于,所述通知第一交换机和第二交换机建立连接包括:
在所述ARP应答报文中获取第二交换机所在的VLANID;判断所述VLANID与所述ARP请求报文中第一交换机所在的VLANID是否相同;
当不相同时,向所述第一交换机返回ARP应答报文,并通知第一交换机和第二交换机建立连接;
否则,丢弃该ARP请求报文。
3.一种VLAN聚合中ARP代理的装置,其特征在于,所述装置包括:
接收模块,用于接收第一交换机发送的ARP请求报文;
转发模块,获取所述ARP请求报文中的源IP地址和目的IP地址;
根据自身保存的黑名单,判断所述ARP请求报文中的该对源IP地址和目的IP地址是否保存在所述黑名单中;
若否,在所述ARP请求报文中获取发送该报文的第一交换机所在的VLANID;
根据所述VLANID,确定所述第一交换机归属的SUBVLAN;
将所述ARP请求报文中的源MAC地址替换为自身的MAC地址,并在除所述第一交换机归属的SUBVLAN之外的其他SUBVLAN中转发该ARP请求报文于根据所述ARP请求报文进行转发,并启动老化定时器;
判断模块,用于判断在所述老化定时器的计时时间长度内,是否接收到第二交换机返回的ARP应答报文;
执行模块,用于当判断模块判断接收到第二交换机返回的ARP应答报文时,向所述第一交换机返回ARP应答报文,通知第一交换机和第二交换机建立三层链路连接;当判断模块判断未接收到第二交换机返回的ARP应答报文时,丢弃该ARP请求报文,并将所述ARP请求报文的源IP地址和目的IP地址作为一对对应记录,保存到黑名单中。
4.如权利要求3任一项所述的装置,其特征在于,所述执行模块,还用于在所述ARP应答报文中获取第二交换机所在的VLANID;判断所述VLAN ID与所述ARP请求报文中第一交换机所在的VLANID是否相同;当不相同时,向所述第一交换机返回ARP应答报文,并通知第一交换机和第二交换机建立连接;当所述VLANID与所述ARP请求报文中第一交换机所在的VLANID相同,丢弃该ARP请求报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410325361.3A CN105282109B (zh) | 2014-07-09 | 2014-07-09 | 一种vlan聚合中arp代理的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410325361.3A CN105282109B (zh) | 2014-07-09 | 2014-07-09 | 一种vlan聚合中arp代理的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105282109A CN105282109A (zh) | 2016-01-27 |
| CN105282109B true CN105282109B (zh) | 2020-04-24 |
Family
ID=55150448
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410325361.3A Active CN105282109B (zh) | 2014-07-09 | 2014-07-09 | 一种vlan聚合中arp代理的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105282109B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7792058B1 (en) * | 2000-06-16 | 2010-09-07 | Extreme Networks, Inc. | Method and system for VLAN aggregation |
| CN101980488A (zh) * | 2010-10-22 | 2011-02-23 | 中兴通讯股份有限公司 | Arp表项的管理方法和三层交换机 |
| CN102932225A (zh) * | 2011-08-11 | 2013-02-13 | 中兴通讯股份有限公司 | 子虚拟局域网之间的通信实现方法、系统及装置 |
| CN103441932A (zh) * | 2013-08-30 | 2013-12-11 | 福建星网锐捷网络有限公司 | 一种主机路由表项生成方法及设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1946041B (zh) * | 2006-06-20 | 2010-08-18 | 杭州华三通信技术有限公司 | 基于arp侦听的vlan聚合方法、汇聚交换机及系统 |
-
2014
- 2014-07-09 CN CN201410325361.3A patent/CN105282109B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7792058B1 (en) * | 2000-06-16 | 2010-09-07 | Extreme Networks, Inc. | Method and system for VLAN aggregation |
| CN101980488A (zh) * | 2010-10-22 | 2011-02-23 | 中兴通讯股份有限公司 | Arp表项的管理方法和三层交换机 |
| CN102932225A (zh) * | 2011-08-11 | 2013-02-13 | 中兴通讯股份有限公司 | 子虚拟局域网之间的通信实现方法、系统及装置 |
| CN103441932A (zh) * | 2013-08-30 | 2013-12-11 | 福建星网锐捷网络有限公司 | 一种主机路由表项生成方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105282109A (zh) | 2016-01-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3226508B1 (en) | Attack packet processing method, apparatus, and system | |
| US10148573B2 (en) | Packet processing method, node, and system | |
| TWI583151B (zh) | 實施及管理虛擬網路的系統與方法 | |
| US10298519B2 (en) | Virtual network | |
| WO2016201990A1 (zh) | 防止无线网络中直径信令攻击的方法、装置和系统 | |
| US20150033321A1 (en) | Construct large-scale dvpn | |
| CN109067784B (zh) | 一种vxlan中防欺骗的方法和设备 | |
| WO2005036831A1 (ja) | フレーム中継装置 | |
| CN107547510B (zh) | 一种邻居发现协议安全表项处理方法和装置 | |
| CN108551446A (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
| WO2014086023A1 (zh) | 跨服务区通信的方法、装置和数据中心网络 | |
| CN106713311B (zh) | 一种降低dns劫持风险的方法和装置 | |
| CN107690004B (zh) | 地址解析协议报文的处理方法及装置 | |
| CN109089263A (zh) | 一种报文处理方法及装置 | |
| CN110912912B (zh) | 一种切换ip信誉检测模式的方法及装置 | |
| CN102347903B (zh) | 一种数据报文转发方法、装置及系统 | |
| CN107948104A (zh) | 一种网络地址转换环境中报文转发的方法及交换设备 | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| US9967214B2 (en) | Direct client-to-client internet relay chat for softap clients | |
| CN105635138B (zh) | 一种防止arp攻击的方法和装置 | |
| US20180139231A1 (en) | Protecting iaps from ddos attacks | |
| CN107528929B (zh) | Arp条目的处理方法及装置 | |
| CN109474525B (zh) | 报文的处理方法、装置、设备及可读存储介质 | |
| CN105282109B (zh) | 一种vlan聚合中arp代理的方法及装置 | |
| CN106506410B (zh) | 一种安全表项建立方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |