CN110677385A - 一种基于vlan的arp分类及转发方法 - Google Patents

一种基于vlan的arp分类及转发方法 Download PDF

Info

Publication number
CN110677385A
CN110677385A CN201910799402.5A CN201910799402A CN110677385A CN 110677385 A CN110677385 A CN 110677385A CN 201910799402 A CN201910799402 A CN 201910799402A CN 110677385 A CN110677385 A CN 110677385A
Authority
CN
China
Prior art keywords
arp
vlan
matching
message
forwarding
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910799402.5A
Other languages
English (en)
Other versions
CN110677385B (zh
Inventor
孙潇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Cisco Networking Technology Co Ltd
Original Assignee
Inspur Cisco Networking Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Cisco Networking Technology Co Ltd filed Critical Inspur Cisco Networking Technology Co Ltd
Priority to CN201910799402.5A priority Critical patent/CN110677385B/zh
Publication of CN110677385A publication Critical patent/CN110677385A/zh
Application granted granted Critical
Publication of CN110677385B publication Critical patent/CN110677385B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于vlan的arp分类及转发方法,包括以下步骤:构造acl匹配规则;基于vlan对arp报文进行划分;使用acl匹配规则对arp报文进行匹配与动作执行,通过快速对arp分类并进行相关动作执行,避免了arp报文在vxlan域中的洪泛。本发明提出了一种基于vlan的arp分类及转发方法,其能够快速对arp分类,是网络设备精确识别有用的ARP报文,并有效阻止了ARP泛洪攻击导致ARP处理效率低的问题,节省了系统的整体开销,提高处理效率和防护效果。

Description

一种基于vlan的arp分类及转发方法
技术领域
本发明涉及一种基于vlan的arp分类及转发方法,属于通信技术领域。
背景技术
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议(Address ResolutionProtocol,地址解析协议)的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
在目前的通信网络中,在三层转发过程中需要使用arp协议进行IP地址到mac地址的转换。传统跨vlan转发的过程中arp报文需要进行上送CPU处理并在vlan域中洪泛。在vxlan转发的时候使用vlan接入方式接入vxlan网络的场景下,arp需要上送CPU,并且为了避免arp泛滥,应该避免arp报文在vxlan域中的洪泛。
有较多ARP报文经过网络设备,对于ARP协议报文,网络设备通常不判断该ARP报文是否本设备需要的,就全部在CPU进行相关协议处理。这样就容易导致CPU运行较忙,甚至资源耗尽,从而影响设备的正常的工作。基于此,需要一种基于vlan的arp分类及转发方法,用于对普通vlan和接入vxlan网络的vlan进入的arp报文进行区分处理。
发明内容
针对以上方法存在的不足,本发明提出了一种基于vlan的arp分类及转发方法,其通过快速对普通vlan和接入vxlan网络的vlan进入的arp报文进行区分处理,能够避免arp报文在vxlan域中的洪泛。
本发明解决其技术问题采取的技术方案是:
一方面,本发明实施例提供的一种基于vlan的arp分类及转发方法,包括以下步骤:
构造acl匹配规则;
基于vlan对arp报文进行划分;
使用acl匹配规则对arp报文进行匹配与动作执行。
结合作为本实施例一种可能的实现方式,所述acl匹配规则包括:
第一条规则:匹配字段是tagA,执行动作是转发并拷贝副本上送CPU;
第二条规则:匹配字段是tagB,执行动作是上送CPU,不执行转发动作。
结合作为本实施例一种可能的实现方式,所述基于vlan对arp报文进行划分的过程为:
确认vlan id是属于普通vlan还是接入vxlan网络的vlan;
如果vlan id属于普通的vlan,则将arp报文的识别标志位置为tagA;如果vlan id属于vxlan网络,则将arp报文的识别标志位tagB。
结合作为本实施例一种可能的实现方式,所述使用acl匹配规则对arp报文进行匹配与动作执行的过程为:
1)当匹配条件命中tagA,即命中第一条规则,报文走转发流程并上送CPU;
2)当匹配条件命中tagB,即命中第二条规则,报文将报文上送至CPU,不再继续转发;
3)当上述两条规则均未命中,则走默认的转发流程。
另一方面,本发明实施例提供的另一种基于vlan的arp分类及转发方法,在arp上送或转发过程中,基于vlan采用acl匹配规则通过匹配arp报文中标志对arp进行分类。
结合作为本实施例一种可能的实现方式,所述方法包括以下步骤:
确认vlan id是属于普通vlan还是接入vxlan网络的vlan;
如果vlan id属于普通的vlan,则将arp报文的识别标志位置为tagA;如果vlan id属于vxlan网络,则将arp报文的识别标志位tagB;
基于tag标志使用acl匹配规则对arp报文进行匹配:匹配到tagA时,对arp报文进行转发并拷贝副本至CPU;匹配到tagB时,将arp报文拷贝副本至CPU。
结合作为本实施例一种可能的实现方式,在使用acl匹配规则对arp报文进行匹配之前,所述方法还包括以下步骤:
构造acl匹配规则。
结合作为本实施例一种可能的实现方式,在使用acl匹配规则对arp报文进行匹配过程中:
1)当匹配条件命中tagA,报文走转发流程并上送CPU;
2)当匹配条件命中tagB,报文将报文上送至CPU,不再继续转发;
3)当tagA和tagB均未命中,则走默认的转发流程。
结合作为本实施例一种可能的实现方式,所述acl匹配规则包括:
第一条规则:匹配字段是tagA,执行动作是转发并拷贝副本上送CPU;
第二条规则:匹配字段是tagB,执行动作是上送CPU,不执行转发动作。
本发明实施例的技术方案可以具有的有益效果如下:
本发明实施例的技术方案的一种基于vlan的arp分类及转发方法,包括以下步骤:构造acl匹配规则;基于vlan对arp报文进行划分;使用acl匹配规则对arp报文进行匹配与动作执行,通过快速对arp分类并进行相关动作执行,避免了arp报文在vxlan域中的洪泛。
本发明实施例的技术方案的一种基于vlan的arp分类及转发方法,在arp上送或转发过程中,基于vlan采用acl匹配规则通过匹配arp报文中标志对arp进行分类。本发明提出了一种基于vlan的arp分类及转发方法,其能够快速对arp分类,是网络设备精确识别有用的ARP报文,并有效阻止了ARP泛洪攻击导致ARP处理效率低的问题,节省了系统的整体开销,提高处理效率和防护效果。
附图说明:
图1是根据一示例性实施例示出的一种基于vlan的arp分类及转发方法的流程图;
图2是根据一示例性实施例示出的一种基于vlan的arp报文分类的流程图;
图3是根据一示例性实施例示出的一种基于tag标志的acl匹配规则匹配与动作执行的流程图。
具体实施方式
下面结合附图与实施例对本发明做进一步说明:
为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开,下文中对特定例子的部件和设置进行描述。此外,本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的,其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意,在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。
图1是根据一示例性实施例示出的一种基于vlan的arp分类及转发方法的流程图。如图1所述,本发明实施例提供的一种基于vlan的arp分类及转发方法,包括以下步骤:
构造acl匹配规则;
基于vlan对arp报文进行划分;
使用acl匹配规则对arp报文进行匹配与动作执行。
结合作为本实施例一种可能的实现方式,所述acl匹配规则包括:
第一条规则:匹配字段是tagA,执行动作是转发并拷贝副本上送CPU;
第二条规则:匹配字段是tagB,执行动作是上送CPU,不执行转发动作。
结合作为本实施例一种可能的实现方式,如图2所示,所述基于vlan对arp报文进行划分的过程为:
确认vlan id是属于普通vlan还是接入vxlan网络的vlan;
如果vlan id属于普通的vlan,则将arp报文的识别标志位置为tagA;如果vlan id属于vxlan网络,则将arp报文的识别标志位tagB。
结合作为本实施例一种可能的实现方式,如图3所示,所述使用acl匹配规则对arp报文进行匹配与动作执行的过程为:
1)当匹配条件命中tagA,即命中第一条规则,报文走转发流程并上送CPU;
2)当匹配条件命中tagB,即命中第二条规则,报文将报文上送至CPU,不再继续转发;
3)当上述两条规则均未命中,则走默认的转发流程。
本实施例通过快速对普通vlan和接入vxlan网络的vlan进入的arp报文进行区分处理,避免了arp报文在vxlan域中的洪泛。
本发明实施例提供的另一种基于vlan的arp分类及转发方法,在arp上送或转发过程中,基于vlan采用acl匹配规则通过匹配arp报文中标志对arp进行分类。
结合作为本实施例一种可能的实现方式,如图2和图3所示,所述方法包括以下步骤:
确认vlan id是属于普通vlan还是接入vxlan网络的vlan;
如果vlan id属于普通的vlan,则将arp报文的识别标志位置为tagA;如果vlan id属于vxlan网络,则将arp报文的识别标志位tagB;
基于tag标志使用acl匹配规则对arp报文进行匹配:匹配到tagA时,对arp报文进行转发并拷贝副本至CPU;匹配到tagB时,将arp报文拷贝副本至CPU。
结合作为本实施例一种可能的实现方式,如图3所示,在使用acl匹配规则对arp报文进行匹配之前,所述方法还包括以下步骤:
构造acl匹配规则。
结合作为本实施例一种可能的实现方式,在使用acl匹配规则对arp报文进行匹配过程中:
1)当匹配条件命中tagA,报文走转发流程并上送CPU;
2)当匹配条件命中tagB,报文将报文上送至CPU,不再继续转发;
3)当tagA和tagB均未命中,则走默认的转发流程。
结合作为本实施例一种可能的实现方式,所述acl匹配规则包括:
第一条规则:匹配字段是tagA,执行动作是转发并拷贝副本上送CPU;
第二条规则:匹配字段是tagB,执行动作是上送CPU,不执行转发动作。
本实施例提出了一种基于vlan的arp分类及转发方法,其能够快速对arp分类,是网络设备精确识别有用的ARP报文,并有效阻止了ARP泛洪攻击导致ARP处理效率低的问题,节省了系统的整体开销,提高处理效率和防护效果。
如图2所示,基于vlan的arp报文分类的过程为:
用户首先根据需求将vlan id加入到vxlan域,对于未加入vxlan的vlan id属于普通vlan。
vlan域中接收到了arp报文,首先根据vlan id是否属于vxlan进行区分。如果报文vlan id属于vxlan则将报文的标志位置为tagB,若属于普通vlan则将标志位置为tagA。
如图3所示,基于tag标志的acl匹配规则匹配与动作执行的过程为:
首先,构造两条acl匹配规则:
第一条规则匹配字段是tagA,执行动作是转发并拷贝副本上送CPU;
第二条规则匹配字段是tagB,执行动作是上送CPU,不执行转发动作。
然后进行acl匹配规则匹配与动作执行:
1)当匹配条件命中tagA,即命中第一条规则,报文走转发流程并上送CPU;
2)当匹配条件命中tagB,即命中第二条规则,报文将报文上送至CPU,不再继续转发;
3)当上述两条规则均未命中,则走默认的转发流程。
本发明通过快速对普通vlan和接入vxlan网络的vlan进入的arp报文进行区分处理,不仅避免了arp泛滥,而且避免了arp报文在vxlan域中的洪泛。
本发明提出了一种基于vlan的arp分类及转发方法,其能够快速对arp分类,是网络设备精确识别有用的ARP报文,并有效阻止了ARP泛洪攻击导致ARP处理效率低的问题,节省了系统的整体开销,提高处理效率和防护效果。
以上所述只是本发明的优选实施方式,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也被视作为本发明的保护范围。

Claims (9)

1.一种基于vlan的arp分类及转发方法,其特征是,包括以下步骤:
构造acl匹配规则;
基于vlan对arp报文进行划分;
使用acl匹配规则对arp报文进行匹配与动作执行。
2.根据权利要求1所述的一种基于vlan的arp分类及转发方法,其特征是,所述acl匹配规则包括:
第一条规则:匹配字段是tagA,执行动作是转发并拷贝副本上送CPU;
第二条规则:匹配字段是tagB,执行动作是上送CPU,不执行转发动作。
3.根据权利要求2所述的一种基于vlan的arp分类及转发方法,其特征是,所述基于vlan对arp报文进行划分的过程为:
确认vlan id是属于普通vlan还是接入vxlan网络的vlan;
如果vlan id属于普通的vlan,则将arp报文的识别标志位置为tagA;如果vlan id属于vxlan网络,则将arp报文的识别标志位tagB。
4.根据权利要求3所述的一种基于vlan的arp分类及转发方法,其特征是,所述使用acl匹配规则对arp报文进行匹配与动作执行的过程为:
1)当匹配条件命中tagA,即命中第一条规则,报文走转发流程并上送CPU;
2)当匹配条件命中tagB,即命中第二条规则,报文将报文上送至CPU,不再继续转发;
3)当第一条规则和第二条规则均未命中,则走默认的转发流程。
5.一种基于vlan的arp分类及转发方法,其特征是,在arp上送或转发过程中,基于vlan采用acl匹配规则通过匹配arp报文中标志对arp进行分类。
6.根据权利要求5所述的一种基于vlan的arp分类及转发方法,其特征是,包括以下步骤:
确认vlan id是属于普通vlan还是接入vxlan网络的vlan;
如果vlan id属于普通的vlan,则将arp报文的识别标志位置为tagA;如果vlan id属于vxlan网络,则将arp报文的识别标志位tagB;
基于tag标志使用acl匹配规则对arp报文进行匹配:匹配到tagA时,对arp报文进行转发并拷贝副本至CPU;匹配到tagB时,将arp报文拷贝副本至CPU。
7.根据权利要求6所述的一种基于vlan的arp分类及转发方法,其特征是,在使用acl匹配规则对arp报文进行匹配之前还包括以下步骤:
构造acl匹配规则。
8.根据权利要求6所述的一种基于vlan的arp分类及转发方法,其特征是,在使用acl匹配规则对arp报文进行匹配过程中:
1)当匹配条件命中tagA,报文走转发流程并上送CPU;
2)当匹配条件命中tagB,报文将报文上送至CPU,不再继续转发;
3)当tagA和tagB均未命中,则走默认的转发流程。
9.根据权利要求5-8任意一项所述的一种基于vlan的arp分类及转发方法,其特征是,所述acl匹配规则包括:
第一条规则:匹配字段是tagA,执行动作是转发并拷贝副本上送CPU;
第二条规则:匹配字段是tagB,执行动作是上送CPU,不执行转发动作。
CN201910799402.5A 2019-08-27 2019-08-27 一种基于vlan的arp分类及转发方法 Active CN110677385B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910799402.5A CN110677385B (zh) 2019-08-27 2019-08-27 一种基于vlan的arp分类及转发方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910799402.5A CN110677385B (zh) 2019-08-27 2019-08-27 一种基于vlan的arp分类及转发方法

Publications (2)

Publication Number Publication Date
CN110677385A true CN110677385A (zh) 2020-01-10
CN110677385B CN110677385B (zh) 2022-07-19

Family

ID=69076396

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910799402.5A Active CN110677385B (zh) 2019-08-27 2019-08-27 一种基于vlan的arp分类及转发方法

Country Status (1)

Country Link
CN (1) CN110677385B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112671783A (zh) * 2020-12-28 2021-04-16 上海自恒信息科技有限公司 一种基于vlan用户组的防主机ip扫描方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070211626A1 (en) * 2006-03-10 2007-09-13 Mark Gooch Hardware throttling of network traffic sent to a processor based on new address rates
CN101075905A (zh) * 2006-05-19 2007-11-21 中兴通讯股份有限公司 一种减轻网络设备中cpu负荷的方法
CN101841474A (zh) * 2010-04-15 2010-09-22 华为技术有限公司 访问控制列表的实现装置
CN103414730A (zh) * 2013-08-29 2013-11-27 迈普通信技术股份有限公司 一种arp报文的处理方法及装置
CN105591989A (zh) * 2016-01-25 2016-05-18 盛科网络(苏州)有限公司 一种协议报文上送cpu的芯片实现方法
CN105991391A (zh) * 2015-03-03 2016-10-05 中兴通讯股份有限公司 一种协议报文上送cpu的方法和装置
CN108616463A (zh) * 2018-04-25 2018-10-02 新华三技术有限公司 一种报文处理方法及交换机

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070211626A1 (en) * 2006-03-10 2007-09-13 Mark Gooch Hardware throttling of network traffic sent to a processor based on new address rates
CN101075905A (zh) * 2006-05-19 2007-11-21 中兴通讯股份有限公司 一种减轻网络设备中cpu负荷的方法
CN101841474A (zh) * 2010-04-15 2010-09-22 华为技术有限公司 访问控制列表的实现装置
CN103414730A (zh) * 2013-08-29 2013-11-27 迈普通信技术股份有限公司 一种arp报文的处理方法及装置
CN105991391A (zh) * 2015-03-03 2016-10-05 中兴通讯股份有限公司 一种协议报文上送cpu的方法和装置
CN105591989A (zh) * 2016-01-25 2016-05-18 盛科网络(苏州)有限公司 一种协议报文上送cpu的芯片实现方法
CN108616463A (zh) * 2018-04-25 2018-10-02 新华三技术有限公司 一种报文处理方法及交换机

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112671783A (zh) * 2020-12-28 2021-04-16 上海自恒信息科技有限公司 一种基于vlan用户组的防主机ip扫描方法

Also Published As

Publication number Publication date
CN110677385B (zh) 2022-07-19

Similar Documents

Publication Publication Date Title
WO2021008028A1 (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
US9110703B2 (en) Virtual machine packet processing
US8625594B2 (en) Switching apparatus and method based on virtual interfaces
US20120023552A1 (en) Method for detection of a rogue wireless access point
CN109525601B (zh) 内网中终端间的横向流量隔离方法和装置
CN106911724B (zh) 一种报文处理方法及装置
RU2006143768A (ru) Ароматическое ограничение сетевого нарушителя
US20070258462A1 (en) Network Node Unit And Method For Forwarding Data Packets
CN103609089B (zh) 一种防止附连到子网的主机上拒绝服务攻击的方法及装置
EP1906591A2 (en) Method, device and system for detecting layer 2 loop
CN104022953A (zh) 基于开放流Openflow的报文转发方法和装置
CN106982234A (zh) 一种arp攻击防御方法及装置
CN103905251B (zh) 网络拓扑获取方法及装置
CN107690004B (zh) 地址解析协议报文的处理方法及装置
CN105991795B (zh) Arp表项更新方法以及装置
US20160006684A1 (en) Communication system, control apparatus, communication method, and program
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
CN110677385B (zh) 一种基于vlan的arp分类及转发方法
CN108650237B (zh) 一种基于存活时间的报文安全检查方法及系统
US20210203695A1 (en) Anti-spoofing attack check method, device, and system
Song et al. A novel frame switching model based on virtual MAC in SDN
CN110224932B (zh) 一种数据快速转发的方法及系统
US20100238930A1 (en) Router and method of forwarding ipv6 packets
EP2893674B1 (en) A method of operating a switch or access node in a network and a processing apparatus configured to implement the same
CN102546387B (zh) 一种数据报文的处理方法、装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant