CN109040124A - 用于交换机的处理报文的方法和装置 - Google Patents
用于交换机的处理报文的方法和装置 Download PDFInfo
- Publication number
- CN109040124A CN109040124A CN201811084228.8A CN201811084228A CN109040124A CN 109040124 A CN109040124 A CN 109040124A CN 201811084228 A CN201811084228 A CN 201811084228A CN 109040124 A CN109040124 A CN 109040124A
- Authority
- CN
- China
- Prior art keywords
- message
- processing
- ethernet card
- processing operation
- macsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供了一种用于交换机的处理报文的方法和装置,该处理报文的方法包括:从第一以太网卡上接收到第一报文,并获取第一报文的报文类型,所述第一以太网卡启用MACSEC协议;从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理。从而在以太网卡上,可以兼容MACSEC协议与其他协议,例如,兼容MACSEC协议与LLDP、LACP等协议。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种用于交换机的处理报文的方法和装置。
背景技术
MACSEC(Media Access Control Security,媒体访问控制安全)协议定义了基于IEEE 802以太网的数据安全通信的方法,MACSEC协议可为用户提供安全的MAC(MediaAccess Control,媒体访问控制)层数据发送和接收服务,包括用户数据加密、数据帧完整性检查和数据源真实性校验。在MACSEC协议中,当主机A要向主机B发送数据时,主机A会使用预设的密钥对该数据进行加密,得到加密报文,之后将该加密报文发送到主机B,主机B能够进行完整性检查,然后使用预设的密钥对该加密报文进行解密,从而得到该数据,可见,基于MACSEC协议,主机B可以识别出不是主机A发送的加密报文或者被其他主机恶意篡改的加密报文,这里,可以基于MKA(MACSEC Key Agreement,MACSEC密钥协商)协议协商而得到密钥。
在数据链路层的协议中还包含有其他协议,其中有些协议的报文是不能进行加密的,例如,LLDP(Link Layer Discovery Protocol,链路层发现协议)协议、LACP(LinkAggregation Control Protocol,链路控制汇聚协议)协议等的报文是不能进行加密。
因此,在以太网卡上,如何兼容MACSEC协议与LLDP、LACP等其他协议,就成为一个亟待解决的问题。
发明内容
本发明的目的在于提供一种用于交换机的处理报文的方法和装置。
为了实现上述发明目的之一,本发明一实施方式提供了一种用于交换机的处理报文的方法,包括以下步骤:从第一以太网卡上接收到第一报文,并获取第一报文的报文类型,所述第一以太网卡启用MACSEC协议;从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理。
作为本发明一实施方式的进一步改进,所述“从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理”,包括:从第一以太网卡的ACL列表中查找与所述报文特征相匹配的ACE规则,依据所述ACE规则中的处理操作对第一报文进行处理。
作为本发明一实施方式的进一步改进,在所述预配置项中,LACP报文和LLDP报文对应的处理操作为:将第一报文给网络协议栈处理;MACSEC报文对应的处理操作为:将第一报文进行解密得到第二报文,并将第二报文提交给网络协议栈进行处理。
作为本发明一实施方式的进一步改进,所述将第二报文提交给网络协议栈进行处理,包括:从转发表中获取能够转发第二报文的第二以太网卡,通过第二以太网卡转发第二报文。
作为本发明一实施方式的进一步改进,所述通过第二以太网卡转发第二报文,包括:在确定第二以太网卡启用MACSEC协议时,将第二报文加密得到第三报文,通过第二以太网卡转发第三报文。
作为本发明一实施方式的进一步改进,所述获取第一报文的报文特征,包括:依据所述报文中的EtherType字段来确定第一报文的报文特征。
本发明实施例还提供了一种用于交换机的处理报文的装置,包括以下模块:报文接收模块,用于从第一以太网卡上接收到第一报文,并获取第一报文的报文类型,所述第一以太网卡启用MACSEC协议;报文处理模块,用于从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理。
作为本发明一实施方式的进一步改进,,所述报文处理模块,还用于:
从第一以太网卡的ACL列表中查找与所述报文特征相匹配的ACE规则,依据所述ACE规则中的处理操作对第一报文进行处理。
作为本发明一实施方式的进一步改进,在所述预配置项中,LACP报文和LLDP报文对应的处理操作为:将第一报文给网络协议栈处理;MACSEC报文对应的处理操作为:将第一报文进行解密得到第二报文,并将第二报文提交给网络协议栈进行处理。
作为本发明一实施方式的进一步改进,所述报文处理模块,还用于:从转发表中获取能够转发第二报文的第二以太网卡,通过第二以太网卡转发第二报文。
相对于现有技术,本发明的技术效果在于:本发明实施例提供了一种用于交换机的处理报文的方法和装置,该处理报文的方法包括:从第一以太网卡上接收到第一报文,并获取第一报文的报文类型,所述第一以太网卡启用MACSEC协议;从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理。从而在以太网卡上,可以兼容MACSEC协议与其他协议,例如,兼容MACSEC协议与LLDP、LACP等协议。
附图说明
图1是本发明实施例一中的处理报文的方法的流程示意图;
图2是本发明实施例一中的检索ACL列表的方法的流程示意图;
图3是本发明实施例二中的以太网卡的结构示意图;
图4是本发明实施例二中的ASIC芯片的结构示意图。
具体实施方式
以下将结合附图所示的各实施方式对本发明进行详细描述。但这些实施方式并不限制本发明,本领域的普通技术人员根据这些实施方式所做出的结构、方法、或功能上的变换均包含在本发明的保护范围内。
本文使用的例如“上”、“上方”、“下”、“下方”等表示空间相对位置的术语是出于便于说明的目的来描述如附图中所示的一个单元或特征相对于另一个单元或特征的关系。空间相对位置的术语可以旨在包括设备在使用或工作中除了图中所示方位以外的不同方位。例如,如果将图中的设备翻转,则被描述为位于其他单元或特征“下方”或“之下”的单元将位于其他单元或特征“上方”。因此,示例性术语“下方”可以囊括上方和下方这两种方位。设备可以以其他方式被定向(旋转90度或其他朝向),并相应地解释本文使用的与空间相关的描述语。
并且,应当理解的是尽管术语第一、第二等在本文中可以被用于描述各种元件或结构,但是这些被描述对象不应受到这些术语的限制。这些术语仅用于将这些描述对象彼此区分开。例如,第一以太网卡可以被称为第二以太网卡,并且类似地第二以太网卡也可以被称为第一以太网卡,这并不背离本申请的保护范围。
本发明实施例一提供了一种用于交换机的处理报文的方法,这里,该方法由一个接入以太网中的交换机来执行,该方法可以由该交换机中的CPU(Central ProcessingUnit,中央处理器)来执行或者以太网卡来执行。如图1所示,包括以下步骤:
步骤101:从第一以太网卡上接收到第一报文,并获取第一报文的报文类型,所述第一以太网卡启用MACSEC协议;这里,该交换机的第一以太网卡接入到以太网中,则第一以太网卡可能会接收到若干以太网数据包,该以太网数据包对应于物理层,第一以太网卡会将若干以太网数据包合并成数据帧(即本发明中的报文),该报文对应于链路层。这里,可以使用EtherType字段来确定报文的类型。
步骤102:从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理;这里,该预设配置项可以为一个配置文件,例如,ACL(AccessControl List,访问控制列表)列表等。在该步骤中,可以根据用户的需求来配置该预设配置项,例如,MACSEC需要进行解密,然后再由网络协议栈进行处理;而有些类型的报文(例如,LLDP报文或者LACP报文等)就不需要进行解密,可以直接由网络协议栈进行处理。
优选的,所述“从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理”,包括:从第一以太网卡的ACL(Access Control List,访问控制列表)列表中查找与所述报文特征相匹配的ACE(Access Control Entry,访问控制表项)规则,依据所述ACE规则中的处理操作对第一报文进行处理。ACL访问控制列表是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL通过匹配规则和处理操作来实现对报文的过滤功能,ACL是一组有序的规则集,其中包含若干条ACE规则。ACE规则由三部分组成:规格编号(Sequence)、匹配规则(Key)和处理操作(Action),其中,规格编号用于标识不同的ACE,同时也体现该ACE的优先级;一旦报文的某个字段与匹配规则相匹配,则会依据该处理操作对该报文进行处理,匹配规则可以为:报文的类型(Ethernet Type)、源IP地址(Source IP)或目的IP地址(DestinationIP)等;处理操作用于表征命中ACE后的操作,例如丢弃报文(deny)等。
优选的,在所述预配置项中,LACP报文和LLDP报文对应的处理操作为:将第一报文给网络协议栈处理;
MACSEC报文对应的处理操作为:将第一报文进行解密得到第二报文,并将第二报文提交给网络协议栈进行处理。
这里,网络协议栈是该交换机中实现了网络中各层协议的一个软件或硬件模块,例如,实现了TCP(Transmission Control Protocol,传输控制协议)/IP(InternetProtocol,因特网互联协议)协议中的部分协议的网络协议栈。LACP报文在以太网中传输的时候,是明文传输的,因此可以直接将LACP报文提交给网络协议栈进行处理,从而就可以实现链路动态汇聚与解汇聚的功能。LLDP报文在以太网中传输的时候,是明文传输的,因此可以直接将LLDP报文提交给网络协议栈进行处理,从而就可以实现网络设备在本地子网中通告自己的设备标识和性能的功能。
这里,由于该第一以太网卡中已经启用MACSEC协议,则可以获得第一以太网卡的MACSEC协议的密钥(例如,动态密钥或静态密钥),可以使用该密钥对第一报文进行解密,从而得到第二报文,之后可以将第二报文提交给网络协议栈进行处理。可以理解的是,交换机具有转发报文的功能,如果该报文的是发送给该第一以太网卡的,则交换机会获取第二报文中的数据提交给交换机的CPU进行处理;而如果不是发送给该第一以太网卡的,则需要进行转发;也可以,直接查找转发表转发端口,然后从转发端口将第二报文转发出去。
在现有技术中,当启用MACSEC协议的以太网卡接收到明文报文时,通常是丢弃,因此,导致了LACP和LLDP等协议与MACSEC协议不兼容,而在本发明实施例的处理报文的方法中,当接收到LACP报文或LLDP报文时,不进行丢弃处理,而是直接提交给网络协议栈进行处理,从而使得LACP和LLDP等协议与MACSEC协议兼容。
这里,LACP报文和LLDP报文的处理规则写在ACL列表中,例如:(1)LACP报文对应的ACE规则可以为:key:ethernet type=0x8809(LACP报文的ethernet type为0x8809),action:dot1AeSpecialCase+dot1AeEncryptDisable;(2)LLDP报文对应的ACE规则可以为:key:ethernet type=0x88CC(LLDP报文的ethernet type为0x88CC),action:dot1AeSpecialCase+dot1AeEncryptDisable。
这里,如图2所示,操作“从第一以太网卡的ACL列表中查找与所述类型相匹配的ACE规则”包括以下步骤:
步骤201:接收到第一报文;
步骤202:查询第一以太网卡上是否存在ACL?这里,可以从第一以太网卡的配置文件中来查找其是否存在ACL,如果存在,则执行步骤203;否则,执行步骤208;
步骤203:查询第一以太网卡的ACL中是否包含有ACE,如果包含,则执行步骤203,否则执行步骤208;
步骤204:从ACL中获取一条未分析的ACE表项;
步骤203:判断报文是否匹配ACE表项,即该报文是否与该ACE表项相匹配?如果匹配,则执行步骤207,否则执行步骤206;
步骤206:判断ACL是否存在未分析的ACE表项?如果存在,则执行步骤204,如果为否,则执行步骤208,即没有找到与该报文匹配的ACE表项;
步骤207:获取ACE的Action;
步骤208:结束。
优选的,所述将第二报文提交给网络协议栈进行处理,包括:从转发表中获取能够转发第二报文的第二以太网卡,通过第二以太网卡转发第二报文。这样,就可以将第二报文通过第二以太网卡转发出去。
优选的,所述通过第二以太网卡转发第二报文,包括:在确定第二以太网卡启用MACSEC协议时,将第二报文加密得到第三报文,通过第二以太网卡转发第三报文。这里,第二以太网卡有可能启用MACSEC协议,也有可能没有启用MACSEC协议,可以理解的是,如果没有启用MACSEC协议,则将处于明文状态的第二报文通过第二以太网卡直接转发出去;而如果启用了MACSEC协议,则需要获取第二以太网卡的MACSEC协议的密钥(例如,动态密钥或静态密钥),可以使用该密钥对第二报文进行加密,从而得到第三报文,之后通过第二以太网卡直接转发出去。这里,第一以太网卡和第二以太网卡是相互独立的,它们的MACSEC协议的配置也是相互独立的。
优选的,所述获取第一报文的报文特征,包括:依据所述报文中的EtherType字段来确定第一报文的报文特征。这里,EtherType是以太网帧里的一个字段,用来指明应用于帧数据字段的协议,例如,值0x0806表示ARP(Address Resolution Protocol,地址解析协议)协议,值0x0808表示帧中继ARP(Frame Relay ARP),值0x6559表示原始帧中继(RawFrame Relay),值0x8035表示动态DARP(Dynamic RARP)和反向地址解析协议(RARP:Reverse Address Resolution Protocol)等等。因此,可以使用EtherType字段来判断该报文的类型。
本发明实施例还提供了一种用于交换机的处理报文的装置,包括以下模块:
报文接收模块,用于从第一以太网卡上接收到第一报文,并获取第一报文的报文类型,所述第一以太网卡启用MACSEC协议;
报文处理模块,用于从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理。
优选的,所述报文处理模块,还用于:从第一以太网卡的ACL列表中查找与所述报文特征相匹配的ACE规则,依据所述ACE规则中的处理操作对第一报文进行处理。
优选的,在所述预配置项中,LACP报文和LLDP报文对应的处理操作为:将第一报文给网络协议栈处理;MACSEC报文对应的处理操作为:将第一报文进行解密得到第二报文,并将第二报文提交给网络协议栈进行处理。
优选的,所述报文处理模块,还用于:从转发表中获取能够转发第二报文的第二以太网卡,通过第二以太网卡转发第二报文。
本发明实施例二提供了一种以太网卡以及处理报文的方法,该以太网卡的结构如图3所示,包含有PHY(Port Physical Layer,端口物理层)芯片,MAC(Media AccessControl,媒体访问控制)芯片和ASIC(Application Specific Integrated Circuit,供专门应用的集成电路)芯片,其中ASIC芯片中包含有MACSEC引擎,ASIC芯片的构成如图4所述。
针对既不是LACP报文也不是LLDP报文的处理流程包括以下步骤:
步骤1:从第一以太网卡接收到报文;
步骤2:解析报文信息,获取报文类型;
步骤3:沿着入口方向进入MACSEC预处理流程,获取第一以太网卡的MACSEC属性,发现第一以太网卡已使能MACSEC功能;
步骤4:检查报文是否为Dot1AE报文(MACSEC加密报文就是Dot1AE报文),这里不是Dot1AE报文,给报文置上discard(该报文需要被丢弃);
步骤5:继续入口方向中的正常报文处理流程;
步骤6:进入ACL处理流程,查找匹配的ACL表项,这里没有匹配的表项;
步骤7:入口方向处理结束,因为报文被置上了discard标记,报文被丢弃。
针对MACSEC报文的处理流程包括以下步骤:
步骤1:从第一以太网卡接收到报文;
步骤2:解析报文信息,获取报文类型;
步骤3:沿着入口方向进入MACSEC预处理流程,获取第一以太网卡的MACSEC属性,发现第一以太网卡已使能MACSEC功能;
步骤4:检查报文是否为Dot1AE报文(MACSEC加密报文就是Dot1AE报文),这里是Dot1AE报文,给报文置上needDot1AeDecrypt(等待MACSEC解密)和bypassAll(忽略报文正常接收处理流程)标记;因为报文置上了bypass标记,跳过查询转发表等正常报文处理步骤;
步骤5:直接来到ACL处理流程;进入ACL处理流程,查找匹配的ACL表项,这里没有匹配的表项;入方向处理结束,进入调度流程;
步骤6:依照预设的调度算法,调度成功,该报文进入出口方向处理;由于报文置上了bypassAll标记,所以跳过后续的正常报文处理流程;
步骤7:出方向处理结束,由于报文置上了needDot1AeDecrypt标记,进入MACSEC加解密引擎;
步骤8:在MACSEC加解密引擎中,对报文进行MACSEC解密,解密成功,重新回到入口方向处理;
步骤9:此时入口方向收到的就是一个明文报文,进行正常报文处理流程;
步骤10:查找转发表,获取出接口和下一跳信息;
步骤11:进入ACL处理流程,查找匹配的ACL表项,这里没有匹配的表项;
步骤12:入方向处理结束,进入调度流程;
步骤13:调度成功,进入出方向处理;
步骤14:进入出方向MACSEC预处理流程,获取第二以太网卡的MACSEC属性,发现该网口已经使能MACSEC功能,给报文置上needDot1AeEncrypt标记;
步骤15:进行后续的正常报文处理流程;
步骤16:出方向处理结束,由于报文置上了needDot1AeEncrypt标记,进入MACSEC加解密引擎;
步骤17:在MACSEC加解密引擎中,对报文进行MACSEC加密,加密成功,置上dot1AeEncrypted标记,重新回到入方向处理;
步骤18:此时,入口方向收到的就是一个密文报文;
步骤19:进入入口方向MACSEC预处理流程,由于报文置上了dot1AeEncrypted标记,给报文置上bypassAll标记;
步骤20:因为报文置上了bypass标记,跳过查询转发表等正常报文处理步骤,直接来到ACL处理流程;
步骤21:进入ACL处理流程,查找匹配的ACL表项,这里没有匹配的表项;
步骤22:入方向处理结束,进入调度流程;
步骤23:调度成功,进入出口方向处理;
步骤24:由于报文置上了bypassAll标记,所以跳过后续的正常报文处理流程;
步骤25:出方向处理结束,将报文从第二以太网卡发送出去。
针对LACP报文的处理流程包括以下步骤:
步骤1:从第一以太网卡接收到报文;
步骤2:解析报文信息,获取报文类型;
步骤3:进入入口方向MACSEC预处理流程,获取入网口的MACSEC属性,发现该网口已使能MACSEC功能;
步骤4:检查报文是否为Dot1AE报文(MACSEC加密报文就是Dot1AE报文),这里不是Dot1AE报文,给报文置上discard(该报文需要被丢弃);
步骤5:查找转发表,获取第二以太网卡和下一跳信息;
步骤6:进入ACL处理流程,查找匹配的ACL表项,这里查到匹配的表项,获取ACL表现的action,这里为dot1AeSpecialCase和dot1AeEncryptDisable;
步骤7:根据ACL中的dot1AeSpecialCase action,去掉报文的discard标记,根据ACL中的dot1AeEncryptDisable action,给报文置上dot1AeEncryptDisable标记;
步骤8:入方向处理结束,进入调度流程;
步骤9:调度成功,进入出方向处理;
步骤10:进入出方向MACSEC预处理流程,由于报文置上了dot1AeEncryptDisable标记,跳过该MACSEC预处理流程;
步骤11:进行后续的正常报文处理流程;
步骤12:出方向结束,将报文从第二以太网卡发送出去。
应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施方式中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
上文所列出的一系列的详细说明仅仅是针对本发明的可行性实施方式的具体说明,它们并非用以限制本发明的保护范围,凡未脱离本发明技艺精神所作的等效实施方式或变更均应包含在本发明的保护范围之内。
Claims (10)
1.一种用于交换机的处理报文的方法,其特征在于,包括以下步骤:
从第一以太网卡上接收到第一报文,并获取第一报文的报文类型,所述第一以太网卡启用MACSEC协议;
从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理。
2.根据权利要求1所述的处理报文的方法,其特征在于,所述“从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理”,包括:
从第一以太网卡的ACL列表中查找与所述报文特征相匹配的ACE规则,依据所述ACE规则中的处理操作对第一报文进行处理。
3.根据权利要求1所述的处理报文的方法,其特征在于,
在所述预配置项中,LACP报文和LLDP报文对应的处理操作为:将第一报文给网络协议栈处理;
MACSEC报文对应的处理操作为:将第一报文进行解密得到第二报文,并将第二报文提交给网络协议栈进行处理。
4.根据权利要求3所述的处理报文的方法,其特征在于,所述将第二报文提交给网络协议栈进行处理,包括:
从转发表中获取能够转发第二报文的第二以太网卡,通过第二以太网卡转发第二报文。
5.根据权利要求4所述的处理报文的方法,其特征在于,所述通过第二以太网卡转发第二报文,包括:
在确定第二以太网卡启用MACSEC协议时,将第二报文加密得到第三报文,通过第二以太网卡转发第三报文。
6.根据权利要求1所述的处理报文的方法,其特征在于,所述获取第一报文的报文特征,包括:依据所述报文中的EtherType字段来确定第一报文的报文特征。
7.一种用于交换机的处理报文的装置,其特征在于,包括以下模块:
报文接收模块,用于从第一以太网卡上接收到第一报文,并获取第一报文的报文类型,所述第一以太网卡启用MACSEC协议;
报文处理模块,用于从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理。
8.根据权利要求7所述的处理报文的装置,其特征在于,所述报文处理模块,还用于:
从第一以太网卡的ACL列表中查找与所述报文特征相匹配的ACE规则,依据所述ACE规则中的处理操作对第一报文进行处理。
9.根据权利要求7所述的处理报文的装置,其特征在于,
在所述预配置项中,LACP报文和LLDP报文对应的处理操作为:将第一报文给网络协议栈处理;
MACSEC报文对应的处理操作为:将第一报文进行解密得到第二报文,并将第二报文提交给网络协议栈进行处理。
10.根据权利要求9所述的处理报文的装置,其特征在于,所述报文处理模块,还用于:
从转发表中获取能够转发第二报文的第二以太网卡,通过第二以太网卡转发第二报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811084228.8A CN109040124A (zh) | 2018-09-17 | 2018-09-17 | 用于交换机的处理报文的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811084228.8A CN109040124A (zh) | 2018-09-17 | 2018-09-17 | 用于交换机的处理报文的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109040124A true CN109040124A (zh) | 2018-12-18 |
Family
ID=64622451
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811084228.8A Withdrawn CN109040124A (zh) | 2018-09-17 | 2018-09-17 | 用于交换机的处理报文的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109040124A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110868362A (zh) * | 2019-10-22 | 2020-03-06 | 苏州盛科科技有限公司 | 一种MACsec非受控端口报文的处理方法及装置 |
| CN114070636A (zh) * | 2021-11-22 | 2022-02-18 | 迈普通信技术股份有限公司 | 安全控制方法、装置,交换机,服务器及网络系统 |
| CN114244626A (zh) * | 2021-12-31 | 2022-03-25 | 苏州盛科通信股份有限公司 | 一种基于MACSec网络的报文处理方法和装置 |
| WO2022104869A1 (zh) * | 2020-11-20 | 2022-05-27 | 昆高新芯微电子(江苏)有限公司 | 基于芯片级加密的以太网和现场总线融合网关及传输方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080141023A1 (en) * | 2006-12-08 | 2008-06-12 | Zheng Qi | Chaining port scheme for network security |
| CN105635154A (zh) * | 2016-01-05 | 2016-06-01 | 盛科网络(苏州)有限公司 | 灵活的MACSec报文加密认证的芯片实现方法及实现装置 |
| CN106301765A (zh) * | 2016-10-14 | 2017-01-04 | 盛科网络(苏州)有限公司 | 加密和解密芯片及其实现加密和加密的方法 |
| CN106657121A (zh) * | 2016-12-30 | 2017-05-10 | 盛科网络(苏州)有限公司 | 镜像802.1ae明文和密文的方法及交换芯片 |
| CN107819685A (zh) * | 2016-09-13 | 2018-03-20 | 华为数字技术(苏州)有限公司 | 一种数据处理的方法以及网络设备 |
| CN108173769A (zh) * | 2017-12-28 | 2018-06-15 | 盛科网络(苏州)有限公司 | 一种报文传输方法、装置及计算机可读存储介质 |
-
2018
- 2018-09-17 CN CN201811084228.8A patent/CN109040124A/zh not_active Withdrawn
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080141023A1 (en) * | 2006-12-08 | 2008-06-12 | Zheng Qi | Chaining port scheme for network security |
| CN105635154A (zh) * | 2016-01-05 | 2016-06-01 | 盛科网络(苏州)有限公司 | 灵活的MACSec报文加密认证的芯片实现方法及实现装置 |
| CN107819685A (zh) * | 2016-09-13 | 2018-03-20 | 华为数字技术(苏州)有限公司 | 一种数据处理的方法以及网络设备 |
| CN106301765A (zh) * | 2016-10-14 | 2017-01-04 | 盛科网络(苏州)有限公司 | 加密和解密芯片及其实现加密和加密的方法 |
| CN106657121A (zh) * | 2016-12-30 | 2017-05-10 | 盛科网络(苏州)有限公司 | 镜像802.1ae明文和密文的方法及交换芯片 |
| CN108173769A (zh) * | 2017-12-28 | 2018-06-15 | 盛科网络(苏州)有限公司 | 一种报文传输方法、装置及计算机可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| CISCO: ""Identity-Based Networking Services: MAC Security"", 《CISCO官网,原文链接为:HTTPS://WWW.CISCO.COM/C/EN/US/PRODUCTS/COLLATERAL/IOS-NX-OS-SOFTWARE/IDENTITY-BASED-NETWORKING-SERVICES/DEPLOY_GUIDE_C17-663760.HTML 》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110868362A (zh) * | 2019-10-22 | 2020-03-06 | 苏州盛科科技有限公司 | 一种MACsec非受控端口报文的处理方法及装置 |
| CN110868362B (zh) * | 2019-10-22 | 2022-04-08 | 苏州盛科科技有限公司 | 一种MACsec非受控端口报文的处理方法及装置 |
| WO2022104869A1 (zh) * | 2020-11-20 | 2022-05-27 | 昆高新芯微电子(江苏)有限公司 | 基于芯片级加密的以太网和现场总线融合网关及传输方法 |
| CN114070636A (zh) * | 2021-11-22 | 2022-02-18 | 迈普通信技术股份有限公司 | 安全控制方法、装置,交换机,服务器及网络系统 |
| CN114070636B (zh) * | 2021-11-22 | 2023-08-11 | 迈普通信技术股份有限公司 | 安全控制方法、装置,交换机,服务器及网络系统 |
| CN114244626A (zh) * | 2021-12-31 | 2022-03-25 | 苏州盛科通信股份有限公司 | 一种基于MACSec网络的报文处理方法和装置 |
| WO2023124880A1 (zh) * | 2021-12-31 | 2023-07-06 | 苏州盛科通信股份有限公司 | 一种基于MACSec网络的报文处理方法和装置 |
| CN114244626B (zh) * | 2021-12-31 | 2024-03-15 | 苏州盛科通信股份有限公司 | 一种基于MACSec网络的报文处理方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109040124A (zh) | 用于交换机的处理报文的方法和装置 | |
| US8561140B2 (en) | Method and system for including network security information in a frame | |
| US7363653B2 (en) | Firewall including local bus | |
| CN100594690C (zh) | 一种安全网关中进行安全策略统一处理的方法及装置 | |
| US8335918B2 (en) | MAC frame provision method and apparatus capable of establishing security in IEEE 802.15.4 network | |
| CN103067290B (zh) | 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 | |
| CN103262486B (zh) | 用于在转发引擎中应用客户端关联的策略的方法和装置 | |
| US20160036514A1 (en) | Communication terminal, communication control apparatus, communication system, communication control method, and program | |
| US11418434B2 (en) | Securing MPLS network traffic | |
| CN106301765B (zh) | 加密和解密芯片及其实现加密和解密的方法 | |
| CN105591754B (zh) | 一种基于sdn的验证头验证方法和系统 | |
| CN104660597B (zh) | 三层认证方法、装置及三层认证交换机 | |
| CN110868362B (zh) | 一种MACsec非受控端口报文的处理方法及装置 | |
| JP2007166514A (ja) | 通信処理装置及び通信処理方法 | |
| CN107645513A (zh) | 一种IPsec内容审计装置及方法 | |
| CN109302420A (zh) | 网络数据安全传输方法、系统以及电子设备 | |
| US8964748B2 (en) | Methods, systems, and computer readable media for performing flow compilation packet processing | |
| CN100393047C (zh) | 一种入侵检测系统与网络设备联动的系统及方法 | |
| CN103607350A (zh) | 一种路由生成方法及装置 | |
| CN107094157A (zh) | 一种基于sdn的radius安全认证方法及系统 | |
| CN106982434A (zh) | 一种无线局域网安全接入方法及装置 | |
| CN106685861B (zh) | 一种软件定义网络系统及其报文转发控制方法 | |
| CN114039795A (zh) | 软件定义路由器及基于该软件定义路由器的数据转发方法 | |
| CN107124282A (zh) | 基于MIPv6的云环境下RFID认证系统及方法 | |
| CN106998327A (zh) | 一种接入控制方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20181218 |
|
| WW01 | Invention patent application withdrawn after publication |