CN111654558A - Arp交互与内网流量转发方法、装置和设备 - Google Patents

Arp交互与内网流量转发方法、装置和设备 Download PDF

Info

Publication number
CN111654558A
CN111654558A CN202010478585.3A CN202010478585A CN111654558A CN 111654558 A CN111654558 A CN 111654558A CN 202010478585 A CN202010478585 A CN 202010478585A CN 111654558 A CN111654558 A CN 111654558A
Authority
CN
China
Prior art keywords
message
address
arp
source
gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010478585.3A
Other languages
English (en)
Other versions
CN111654558B (zh
Inventor
王富涛
安兆哲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN202010478585.3A priority Critical patent/CN111654558B/zh
Publication of CN111654558A publication Critical patent/CN111654558A/zh
Application granted granted Critical
Publication of CN111654558B publication Critical patent/CN111654558B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/354Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/66Layer 2 routing, e.g. in Ethernet based MAN's

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提出一种ARP交互与内网流量转发方法、装置和设备。该方法应用于二层转发设备;其中,上述二层转发设备可以包括若干隔离网段;上述二层转发设备可以包括若干隔离接口与若干非隔离接口。该方法可以包括,基于上述若干隔离网段分别对应的网关IP,以及子网掩码信息,构建隔离表项。基于接收的ARP报文,构建溯源表项。基于上述隔离表项,处理上述隔离接口接收到的ARP报文,并基于上述隔离表项与上述溯源表项,处理上述非隔离接口接收到的ARP报文,以阻断上述二层转发设备的隔离接口与隔离接口之间,以及隔离接口与非隔离接口之间的ARP交互。

Description

ARP交互与内网流量转发方法、装置和设备
技术领域
本申请涉及计算机技术,具体涉及ARP交互与内网流量转发方法、装置和设备。
背景技术
互联网时代,信息系统已成为企业最重要的基础设施,并在企业的运营中扮演着日益重要的角色。互联网、云计算等新技术帮助企业大幅提高效率,同时也带来了新的问题,核心业务系统和重要数据通过网络承载和传输,必然面临网络和信息安全问题,如何实现效率与安全并举是所有企业关注的问题,网络安全也将成为企业信息化建设的下一个热点。
传统建网理念中,企业内网与互联网相互独立,不会存在安全风险,因此在信息安全建设的过程中,企业长期关注来自于互联网和网络边界的威胁,忽视了内网安全建设。而实际上,企业信息安全的首要威胁往往来自于内网攻击和病毒,内网安全则成为了整网的薄弱的环节。2017年5月22日,WannaCry勒索病毒在全球爆发,在内网迅速传播,致使大量企业的内网服务器感染停摆,这些企业虽然采购和部署了大量的信息安全设备,但面对层出不穷的内网攻击时仍然捉襟见肘。勒索病毒是新形势下内网威胁的代表,它的大规模爆发恰恰说明了内网安全是现今企业信息化建设的盲点,构建一张安全内网已经势在必行。
传统的内网是一种共享型网络,共享型网络同VLAN内的终端互访不受控制,为病毒、攻击的传播提供了极大的便利,一旦发生内网安全事件,无法第一时间定位及控制攻击源,事后回溯也极其困难。
发明内容
有鉴于此,本申请至少公开一种ARP交互方法,应用于二层转发设备;其中,上述二层转发设备可以包括若干隔离网段;上述二层转发设备可以包括若干隔离接口与若干非隔离接口;
上述方法可以包括:
基于上述若干隔离网段分别对应的网关IP,以及子网掩码信息,构建隔离表项;
基于接收的ARP报文,构建溯源表项;
基于上述隔离表项,处理上述隔离接口接收到的ARP报文,并基于上述隔离表项与上述溯源表项,处理上述非隔离接口接收到的ARP报文,以阻断上述二层转发设备的隔离接口与隔离接口之间,以及隔离接口与非隔离接口之间的ARP交互。
在示出的一实施例中,上述基于上述隔离表项,处理上述隔离接口接收到的ARP报文,可以包括:
当上述二层转发设备的隔离接口接收到第一免费ARP报文时,基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
将上述第一免费ARP报文携带的源MAC地址,更新为该网关的MAC地址,并将更新后的免费ARP报文广播到除接收该报文的入接口,以及与上述网关连接的接口以外的所有接口;
当上述二层转发设备的隔离接口接收到第一ARP请求报文时,基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
丢弃该报文,并将该网关的MAC地址,作为ARP应答报文的源MAC地址,作出应答;
当上述二层转发设备的隔离接口接收到第一ARP应答报文时,基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
确定该报文携带的目的IP,是否为该网关的IP地址,如果是,则转发该报文,否则丢弃该报文。
在示出的一实施例中,上述基于上述隔离表项与上述溯源表项,处理上述非隔离接口接收到的ARP报文,可以包括:
当上述二层转发设备的非隔离接口接收到任意类型的ARP报文时,基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
确定上述ARP报文的源IP地址,是否为该网关的IP地址;
如果上述ARP报文的源IP地址是该网关的IP地址,则转发上述ARP报文。
在示出的一实施例中,上述溯源表项为基于上述二层转发设备的隔离接口与非隔离接口所接收的ARP报文构建的表项;上述溯源表项可以包括上述终端的IP地址、MAC地址、该ARP报文的入接口;上述方法还可以包括:
如果上述ARP报文的源IP地址不是该网关的IP地址,并且上述ARP报文为第二ARP请求报文时,查询上述溯源表项中,是否存在与该报文携带的目的IP地址匹配的IP地址;
如果查询到匹配的IP地址,则进一步确定上述溯源表项中,与上述匹配的IP地址对应的入接口是否为隔离接口;
如果是,则基于上述隔离表项,确定与上述第二ARP请求报文携带的源IP地址处于同一网段的网关,并丢弃上述第二ARP请求报文,将该网关的MAC地址作为ARP应答报文的源MAC,作出应答;
否则,直接通过上述入接口转发上述第二ARP请求报文。
在示出的一实施例中,上述溯源表项为基于上述二层转发设备的隔离接口所接收的ARP报文构建的表项;上述溯源表项包括上述终端的IP地址、MAC地址、该ARP报文的入接口;
上述方法还包括:
如果上述ARP报文的源IP地址不是该网关的IP地址,并且上述ARP报文为第二ARP请求报文时,查询上述溯源表项中,是否存在与该报文携带的目的IP地址匹配的IP地址;
如果查询到匹配的IP地址,则基于上述隔离表项,确定与上述第二ARP请求报文携带的源IP地址处于同一网段的网关,并丢弃上述第二ARP请求报文,将该网关的MAC地址作为ARP应答报文的源MAC,作出应答。
在示出的一实施例中,上述方法还可以包括:
在查询上述溯源表项中,是否存在与上述第二ARP请求报文携带的目的IP地址匹配的IP地址时,如果未查询到匹配的IP地址,
基于上述隔离表项,确定与上述第二ARP请求报文携带的源IP地址处于同一网段的网关;
将上述第二ARP请求报文携带的源MAC地址更新为,该网关的MAC地址,并将更新后的ARP请求报文广播到上述二层转发设备的隔离接口。
在示出的一实施例中,上述方法还可以包括:
如果上述ARP报文的源IP地址,不是与上述源IP地址处于同一网段的网关的IP地址,并且上述ARP报文为第二免费ARP报文时,
基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
将上述第二免费ARP报文携带的源MAC地址,更新为该网关的MAC地址,并将更新后的免费ARP报文广播到上述二层转发设备的隔离接口。
在示出的一实施例中,上述二层转发设备维护了用于指示不参与横向隔离的终端的IP地址表;
上述方法还可以包括:
当接收到ARP报文时,确定上述ARP报文携带的源IP地址是否命中上述IP地址表;
如果是,则按照非隔离接口接收到ARP报文时的处理方式,对该ARP报文进行处理。
在示出的一实施例中,上述方法还可以包括:
在基于上述隔离表项,确定与报文携带的源IP地址处于同一网段的网关时,
根据上述隔离表项维护的子网掩码信息,确定上述报文携带的源IP地址所处的网段;
根据上述子网掩码信息,以及上述隔离表项中与上述子网掩码信息对应的目标网关的IP地址,确定上述目标网关所处的网段;
确定该报文携带的源IP地址所处的网段,是否与上述目标网关所处的网段相同;如果相同,则将上述目标网关确定为与上述报文携带的源IP地址处于同一网段的网关。
在示出的一实施例中,上述隔离表项还维护了上述隔离网段对应的VLAN标识,与上述目标网关的对应关系;
上述方法还可以包括:
如果该报文携带的源IP地址所处的IP网段,与上述目标网关所处的IP网段相同时,进一步确定该报文对应的VLAN标识,是否与上述目标网关对应的VLAN标识相同;
如果相同,则将上述目标网关确定为与上述报文携带的源IP地址处于同一网段的网关。
在示出的一实施例中,上述二层转发设备为二层接入设备。
本申请提出一种内网流量转发方法,应用于二层转发设备;上述方法可以包括:
根据上述任一实施例公开的ARP交互方法,构建转发表项;
基于上述转发表项对内网内的流量进行转发。
本申请提出一种ARP交互装置,应用于二层转发设备;其中,上述二层转发设备可以包括若干隔离网段;上述二层转发设备可以包括若干隔离接口与若干非隔离接口;
上述装置可以包括:
第一构建模块,基于上述若干隔离网段分别对应的网关IP,以及子网掩码信息,构建隔离表项;
第二构建模块,基于接收的ARP报文,构建溯源表项;
交互模块,基于上述隔离表项,处理上述隔离接口接收到的ARP报文,并基于上述隔离表项与上述溯源表项,处理上述非隔离接口接收到的ARP报文,以阻断上述二层转发设备的隔离接口与隔离接口之间,以及隔离接口与非隔离接口之间的ARP交互。
在示出的一实施例中,上述交互模块,可以包括:
当上述二层转发设备的隔离接口接收到第一免费ARP报文时,基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
将上述第一免费ARP报文携带的源MAC地址,更新为该网关的MAC地址,并将更新后的免费ARP报文广播到除接收该报文的入接口,以及与上述网关连接的接口以外的所有接口;
当上述二层转发设备的隔离接口接收到第一ARP请求报文时,基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
丢弃该报文,并将该网关的MAC地址,作为ARP应答报文的源MAC地址,作出应答;
当上述二层转发设备的隔离接口接收到第一ARP应答报文时,基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
确定该报文携带的目的IP,是否为该网关的IP地址,如果是,则转发该报文,否则丢弃该报文。
在示出的一实施例中,上述交互模块,还可以包括:
当上述二层转发设备的非隔离接口接收到任意类型的ARP报文时,基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
确定上述ARP报文的源IP地址,是否为该网关的IP地址;
如果上述ARP报文的源IP地址是该网关的IP地址,则转发上述ARP报文。
在示出的一实施例中,上述溯源表项为基于上述二层转发设备的隔离接口与非隔离接口所接收的ARP报文构建的表项;上述溯源表项可以包括上述终端的IP地址、MAC地址、该ARP报文的入接口;
上述交互模块,还可以包括:
如果上述ARP报文的源IP地址不是该网关的IP地址,并且上述ARP报文为第二ARP请求报文时,查询上述溯源表项中,是否存在与该报文携带的目的IP地址匹配的IP地址;
如果查询到匹配的IP地址,则进一步确定上述溯源表项中,与上述匹配的IP地址对应的入接口是否为隔离接口;
如果是,则基于上述隔离表项,确定与上述第二ARP请求报文携带的源IP地址处于同一网段的网关,并丢弃上述第二ARP请求报文,将该网关的MAC地址作为ARP应答报文的源MAC,作出应答;
否则,直接通过上述入接口转发上述第二ARP请求报文。
在示出的一实施例中,上述溯源表项为基于上述二层转发设备的隔离接口所接收的ARP报文构建的表项;上述溯源表项包括上述终端的IP地址、MAC地址、该ARP报文的入接口;
上述交互模块,还包括:
如果上述ARP报文的源IP地址不是该网关的IP地址,并且上述ARP报文为第二ARP请求报文时,查询上述溯源表项中,是否存在与该报文携带的目的IP地址匹配的IP地址;
如果查询到匹配的IP地址,则基于上述隔离表项,确定与上述第二ARP请求报文携带的源IP地址处于同一网段的网关,并丢弃上述第二ARP请求报文,将该网关的MAC地址作为ARP应答报文的源MAC,作出应答。
上述交互模块,还可以包括:
在查询上述溯源表项中,是否存在与上述第二ARP请求报文携带的目的IP地址匹配的IP地址时,如果未查询到匹配的IP地址,
基于上述隔离表项,确定与上述第二ARP请求报文携带的源IP地址处于同一网段的网关;
将上述第二ARP请求报文携带的源MAC地址更新为,该网关的MAC地址,并将更新后的ARP请求报文广播到上述二层转发设备的隔离接口。
在示出的一实施例中,上述交互模块,还可以包括:
如果上述ARP报文的源IP地址,不是与上述源IP地址处于同一网段的网关的IP地址,并且上述ARP报文为第二免费ARP报文时,
基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
将上述第二免费ARP报文携带的源MAC地址,更新为该网关的MAC地址,并将更新后的免费ARP报文广播到上述二层转发设备的隔离接口。
在示出的一实施例中,上述二层转发设备维护了用于指示不参与横向隔离的终端的IP地址表;
上述装置还可以包括:
确定模块,当接收到ARP报文时,确定上述ARP报文携带的源IP地址是否命中上述IP地址表;
如果是,则按照非隔离接口接收到ARP报文时的处理方式,对该ARP报文进行处理。
在示出的一实施例中,上述装置还可以包括:
确定网关模块,在基于上述隔离表项,确定与报文携带的源IP地址处于同一网段的网关时,
根据上述隔离表项维护的子网掩码信息,确定上述报文携带的源IP地址所处的网段;
根据上述子网掩码信息,以及上述隔离表项中与上述子网掩码信息对应的目标网关的IP地址,确定上述目标网关所处的网段;
确定该报文携带的源IP地址所处的网段,是否与上述目标网关所处的网段相同;如果相同,则将上述目标网关确定为与上述报文携带的源IP地址处于同一网段的网关。
在示出的一实施例中,上述隔离表项还维护了上述隔离网段对应的VLAN标识,与上述目标网关的对应关系;
上述确定网关模块,还可以包括:
如果该报文携带的源IP地址所处的IP网段,与上述目标网关所处的IP网段相同时,进一步确定该报文对应的VLAN标识,是否与上述目标网关对应的VLAN标识相同;
如果相同,则将上述目标网关确定为与上述报文携带的源IP地址处于同一网段的网关。
在示出的一实施例中,上述二层转发设备为二层接入设备。
本申请提出一种内网流量转发装置,应用于二层转发设备;上述装置可以包括:
构建模块,根据上述任一实施例公开的ARP交互方法,构建转发表项;
转发模块,基于上述转发表项对内网内的流量进行转发。
本申请提出一种ARP交互设备,可以包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,上述处理器通过运行上述可执行指令以实现如上述任一实施例公开的ARP交互方法。
本申请提出一种内网流量转发设备,可以包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,上述处理器通过运行上述可执行指令以实现如上述任一实施例公开的内网流量转发方法。
一方面,由于上述设备可以基于上述隔离表项,处理上述隔离接口接收到的ARP报文,并基于上述隔离表项与上述溯源表项,处理上述非隔离接口接收到的ARP报文,以使上述设备的隔离接口与隔离接口之间,以及隔离接口与非隔离接口之间的ARP交互被阻断,因此,上述二层转发设备的隔离接口与隔离接口连接的终端设备之间,以及隔离接口与非隔离接口连接的终端设备之间不能相互学习对方的MAC地址,从而阻断了二层转发设备中处于同一隔离网段内的隔离接口连接的终端设备之间的二层交互。
另一方面,由于上述设备可以基于上述任一实施例公开的ARP交互方法构建转发表项,因此,基于上述转发表项对内网内的流量进行转发,可以阻断处于同一隔离网段内的隔离接口连接的终端设备之间的二层流量交互,而将上述终端间的流量引流至网关,以使网关设备可以通过自身配置的隔离策略进行统一安全隔离或通过端口镜像等方式将流量镜像至安全检测设备对上述流量进行安全检测,从而防止病毒快速传播。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
为了更清楚地说明本申请一个或多个实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请一个或多个实施例中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请示出的一种内网组网图;
图2为本申请示出的一种ARP交互方法的方法流程图;
图3为本申请示出的一种内网流量转发方法的方法流程图;
图4为本申请示出的一种ARP交互装置的结构图;
图5为本申请示出的一种ARP交互设备的硬件结构图;
图6为本申请示出的一种内网流量转发设备的硬件结构图。
具体实施方式
下面将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的设备和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“上述”和“该”也旨在可以包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。还应当理解,本文中所使用的词语“如果”,取决于语境,可以被解释成为“在……时”或“当……时”或“响应于确定”。
请参见图1,图1为本申请示出的一种内网组网图。如图1所示,上述内网通过网关设备与外部互联网连接。其中,上述网关设备与若干汇聚交换机通信连接;上述汇聚交换机与若干接入交换机连接;上述接入交换机与若干用户终端连接。
如图1所示,由于处于同一内网中的用户终端之间通过接入交换机或汇聚交换机互相通信,因此,同一VLAN(Virtual Local Area Network,虚拟局域网)下的终端之间的互访不受控制,从而为病毒或其它攻击的传播提供了极大的便利。一旦发生内网安全事件,将无法在第一时间定位及控制攻击源。
因此,为了解决内网的安全隐患,传统的解决方案是通过给每个用户终端分配不同的VLAN和相关的IP子网,由此通过VLAN从网络体系结构中的第二层将每个用户终端隔离开来,以防止病毒在内网快速传播。但是,这种解决方案对日后的网络扩展造成了巨大局限,可以包括:
1)由于交换机可使用的VLAN资源的数目是有限的,如果为每个终端都分配一个VLAN,则导致可接入的终端的数量受限,无法满足更多终端的接入需求;
2)对于每个VLAN的每个相关的Spanning Tree的拓扑都需要管理,而STP(Spanning Tree Protocol,生成树协议)较为复杂,并且需要对每个IP子网都进行相应的默认网关的配置,从而导致管理较为复杂;
3)由于需要为每个终端分配相关的IP子网,IP子网的划分势必造成一些IP地址的浪费,容易导致IP地址的紧缺。
4)为每个用户终端配置不同的网段,还需要配置相应的网关,工作量巨大。
基于此,本申请提出一种ARP交互方法,该方法通过基于上述隔离表项,处理上述隔离接口接收到的ARP报文,并基于上述隔离表项与上述溯源表项,处理上述非隔离接口接收到的ARP报文,以阻断上述二层转发设备的隔离接口与隔离接口之间,以及隔离接口与非隔离接口之间的ARP交互。
由于上述二层转发设备的隔离接口与隔离接口之间,以及隔离接口与非隔离接口之间的ARP交互被阻断,因此,上述二层转发设备的隔离接口与隔离接口连接的终端设备之间,以及隔离接口与非隔离接口连接的终端设备之间不能相互学习对方的MAC地址,从而阻断了二层转发设备中处于同一隔离网段内的隔离接口连接的终端设备之间的二层交互,以防止病毒在内网快速传播。
以下结合具体实施例对本申请记载的技术方案进行说明。
请参见图2,图2为本申请示出的一种ARP交互方法的方法流程图。如图2所示,上述方法可以包括:
S202,基于上述若干隔离网段分别对应的网关IP,以及子网掩码信息,构建隔离表项;
S204,基于接收的ARP报文,构建溯源表项;
S206,基于上述隔离表项,处理上述隔离接口接收到的ARP报文,并基于上述隔离表项与上述溯源表项,处理上述非隔离接口接收到的ARP报文,以阻断上述二层转发设备的隔离接口与隔离接口之间,以及隔离接口与非隔离接口之间的ARP交互。
其中,上述方法可以应用于二层转发设备。可以理解的是该二层转发设备搭载的硬件环境可以为实现上述方法提供算力。
上述二层转发设备,具体可以包括二层接入设备,二层汇聚设备等具有二层转发功能的设备。以下以执行主体为上述二层转发设备(简称“设备”)进行实施例说明。
上述设备可以将接收的ARP报文上送该设备搭载的CPU处理。其中,上述ARP报文至少可以包括ARP请求报文、ARP应答报文、以及免费ARP报文。需要说明的是,上送ARP报文的技术手段可以是通过BPDU表项、ACL规则、配置寄存器等方式,在此不作限定。
通常上述二层转发设备中将配置若干VLAN,其中,每一VLAN可以对应一个网段,而每一网段都可以对应一个网关IP地址,以及子网掩码。
在本实施例中,上述设备被配置的若干网段中,可以至少有部分网段被设置为内部设备之间需要相互隔离的网段。该网段即为上述隔离网段。
上述二层转发设备可以包括若干隔离接口与若干非隔离接口。
其中,上述隔离接口,具体为上述设备可以包括的接口中,需要与其他接口进行隔离的接口。上述隔离接口通常可以是上述设备中预先被配置的接口。
在配置隔离接口时,管理员可以基于配置策略,将上述设备可以包括的若干接口定义为隔离接口,以使与隔离接口连接的终端之间可以相互隔离。
上述非隔离接口,具体为具上述设备可以包括的接口中,仅需要与隔离接口进行隔离的接口。在一实施例中,上述非隔离接口可以是上述设备中预先被配置的接口。在另一实施例中,上述非隔离接口可以不需要特殊配置,即如果上述设备中未被配置为隔离接口的接口,可以被作为非隔离接口。
如果需要配置非隔离接口时,管理员可以基于配置策略,将上述设备可以包括的若干接口定义为非隔离接口,以使与非隔离接口连接的终端之间可以相互连通。
在此需要说明的是,上述设备通常会通过接口与网关设备进行通信连接(至少可以包括直接与网关设备连接,或通过其他设备与网关设备连接两种连接情况),此时,上述接口在本申请中被称为上行接口。相应的,上述设备与终端设备连接的接口被称为下行接口。
可以理解的是,下行接口既可以是隔离接口,也可以是非隔离接口,而上行接口只可能被配置为非隔离接口。而为了保证上行接口不能被配置为隔离接口,在本申请中,提出一种检测方法。该方法通过在上述设备中配置一段检测程序,以使上述设备可以检测上述上行接口是否被配置为隔离接口,如果是,则将该配置结果失效并使上述接口被作为非隔离接口处理。
在实际应用中,上述设备可以周期性启动检测线程,对上述设备可以包括的接口进行以下检测。
首先,上述设备可以先判断该接口是否为上行接口。
如果是,上述设备可以进一步判断该接口是否被配置为隔离接口。
如果是,上述设备可以无效该配置结果并使上述接口被作为非隔离接口处理;反之,则报送该接口原配置结果。
上述隔离表项,具体为维护上述设备中被配置的隔离网段所对应网关IP地址,与子网掩码的对应关系的表项。在一实施例中,上述隔离表项中还可以包括VLAN标识。
请参见表1,表1为本申请示出的一种隔离表项的示意图。需要说明的是,上述表1示出的隔离表项结构仅为了更好说明实施例,在实际应用中,上述隔离表项的结构或可以包括的项目可以根据实际业务进行调整,在此不作限定。
如表1所示,上述隔离表项可以包括若干VLAN、网关IP、子网掩码信息。
表1
序号 VLAN标识 网关IP 子网掩码 网关MAC
1 10 10.10.0.1 24 A
2 27 10.27.0.1 16 B
3 28 10.28.0.1 16 C
在一实施例中,上述设备可以获取网关地址对应的网关MAC地址,并维护获取的网关MAC地址与其对应的网关地IP址之间的对应关系。
在实际应用中,上述设备可以周期性发送ARP请求报文,并通过来自网关IP地址发送的ARP应答报文或免费ARP报文获取该网关IP地址对应的网关MAC地址。在获取到上述网关MAC地址后,可以将该网关MAC地址填入上述隔离表项中。
在构建上述隔离表项时,上述设备可以基于上述若干隔离网段分别对应的网关IP,以及子网掩码信息完成上述隔离表项构建。需要说明的是,该隔离表项可以是上述设备基于自身被配置的隔离网段信息(隔离网段IP、子网掩码、VLAN等信息)自动构建的,也可以是管理员根据隔离策略进行配置的,在此不作限定。
上述溯源表项,具体为基于接收的ARP报文信息构建的表项。
在一情形中,上述设备可以仅基于通过隔离接口接收到的任意类型的ARP报文信息构建上述溯源表项。上述溯源表项可以包括源IP地址、源MAC地址、入接口、以及VLAN标识信息。
可以理解的是,上述源IP地址以及源MAC地址,可以指示与隔离接口连接的需要被隔离的终端设备的IP地址与MAC地址。上述入接口,可以指示接收ARP报文的接口。上述VLAN标识,可以是上述ARP报文中携带的VLAN标识,也可以是接收上述ARP报文的接口所对应的默认VLAN。
请参见表2,表2为本申请示出的一种溯源表项的示意图。需要说明的是,上述表2示出的溯源表项结构仅为了更好说明实施例,在实际应用中,上述溯源表项的结构或可以包括的项目可以根据实际业务进行调整,在此不作限定。
如表2所示,上述溯源表项可以包括若干源IP地址、源MAC地址、入接口、以及VLAN标识信息。
表2
序号 源IP 源MAC 入接口 VLAN标识
1 10.10.0.100 10.10.0.1 3 10
2 10.27.1.100 10.27.0.1 6 27
3 10.28.1.100 10.28.0.1 9 28
在构建上述溯源表项时,上述设备可以基于隔离接口接收的ARP报文来构建。
在实际应用中,上述设备在在接收到报文后,可以判断该报文是否为隔离接口接收的ARP报文。如果是,上述设备可以从该报文中提取源IP地址、源MAC地址、VLAN标识、入接口等信息,并将提取的上述信息填入上述溯源表项中。
在另一情形中,上述设备可以基于任意接口接收到的ARP报文信息构建上述溯源表项。具体构建上述溯源表项的方式可以参照隔离接口接收到ARP报文后的构建方式,在此不作详述。
在另一情形中,上述设备可以仅基于非隔离接口接收到的ARP报文信息构建上述溯源表项。具体构建上述溯源表项的方式可以参照隔离接口接收到ARP报文后的构建方式,在此不作详述。
在构建上述隔离表项与上述溯源表项后,上述设备可以基于上述隔离表项,处理上述隔离接口接收到的ARP报文,并基于上述隔离表项与上述溯源表项,处理上述非隔离接口接收到的ARP报文,以阻断上述二层转发设备的隔离接口与隔离接口之间,以及隔离接口与非隔离接口之间的ARP交互。
由上述技术方案可知,由于上述设备可以基于上述隔离表项,处理上述隔离接口接收到的ARP报文,并基于上述隔离表项与上述溯源表项,处理上述非隔离接口接收到的ARP报文,以使上述设备的隔离接口与隔离接口之间,以及隔离接口与非隔离接口之间的ARP交互被阻断,因此,上述二层转发设备的隔离接口与隔离接口连接的终端设备之间,以及隔离接口与非隔离接口连接的终端设备之间不能相互学习对方的MAC地址,从而阻断了二层转发设备中处于同一隔离网段内的隔离接口连接的终端设备之间的二层交互,以防止病毒在内网快速传播。
在一实施例中,上述设备在基于上述隔离表项,处理上述隔离接口接收到的ARP报文时,可以分为以下几种情形进行处理。
当上述设备的隔离接口接收到第一免费ARP报文时,基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关。
将上述第一免费ARP报文携带的源MAC地址,更新为该网关的MAC地址,并将更新后的免费ARP报文广播到除接收该报文的入接口,以及与上述网关连接的接口以外的所有接口。
需要说明的是,本申请并不限定上述各步骤的实施顺序。
在基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关时,可以先确定上述免费ARP报文携带的源IP地址。在确定上述源IP地址后,上述设备可以按照上述隔离表项中维护的子网掩码信息,确定上述源IP地址所处的网段。
在确定上述源IP地址所处的网段后,上述设备可以根据上述子网掩码信息,以及上述隔离表项中与上述子网掩码信息对应的目标网关的IP地址,确定上述目标网关所处的网段。
在得到上述源IP地址所处的网段,以及上述目标网关所处的网段后,上述设备可以确定该源IP地址所处的网段,是否与上述目标网关所处的网段相同;如果相同,则将上述目标网关确定为与上述报文携带的源IP地址处于同一网段的网关。
例如,上述源IP地址为10.27.1.100。基于如表1所示的溯源表项,可以确定与上述源IP地址处于同一网段的网关的IP地址为10.27.0.1。
需要说明的是,在一种情形中,在确定与该报文携带的源IP地址处于同一网段的网关时,可能会确定出多个上述网关。
在一实施例中,上述设备可以将第一个确定的上述网关作为与该报文携带的源IP地址处于同一网段的网关。
在另一实施例中,上述设备可以在该报文携带的源IP地址所处的IP网段,与上述目标网关所处的IP网段相同时,进一步确定该报文对应的VLAN标识,是否与上述目标网关对应的VLAN标识相同。如果相同,则将上述目标网关确定为与上述报文携带的源IP地址处于同一网段的网关。
在确定与该报文携带的源IP地址处于同一网段的网关后,上述设备可以通过查询上述隔离表项,确定上述网关对应的网关MAC地址。在确定上述网关MAC地址后,上述设备可以将上述报文中携带的源MAC地址替换为上述网关MAC地址,并进行广播。
需要说明的是,一方面,在针对该报文进行广播时,可以不将该报文广播至该报文的入接口和上行接口。另一方面,在接收到该报文后,上述设备还可以基于该报文维护溯源表项。
由于上述设备在通过隔离接口接收到免费ARP报文后,将该报文的源MAC地址替换为与该报文携带的源IP地址处于同一网段的网关的MAC地址,以使接收到该报文的终端无法基于该报文获取到与上述隔离接口连接的终端的相关MAC信息,以使上述隔离接口与其他接口进行隔离。
当上述设备的隔离接口接收到第一ARP请求报文时,基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
丢弃该报文,并将该网关的MAC地址,作为ARP应答报文的源MAC地址,作出应答。
需要说明的是,本申请不对上述实施步骤的实施顺序作出特别限定。
在确定与上述第一ARP请求报文携带的源IP地址处于同一网段的网关后,上述设备可以丢弃该报文,并通过隔离表项确定该网关对应的网关MAC地址。在确定上述网关MAC地址后,上述设备可以基于该网关MAC地址构造ARP应答报文,并返回至发送该第一ARP请求报文的终端。
由于上述设备将隔离接口接收到的ARP请求报文丢弃,并基于与该APR请求报文对应的网关的网关MAC地址作出ARP应答,以使与上述隔离接口连接的终端无法学习到与其处于同一网段的网关MAC地址以外的其他MAC地址,从而实现对该隔离接口的隔离。
当上述设备的隔离接口接收到第一ARP应答报文时,基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
确定该报文携带的目的IP,是否为该网关的IP地址,如果是,则转发该报文,否则丢弃该报文。
由于上述设备的隔离接口在接收到ARP应答报文后,将确定该报文携带的目的IP,是否为该网关的IP地址,如果是,则转发该报文,否则丢弃该报文,因此,上述设备可以使与该报文携带的源IP地址处于同一网段的网关以外的其他终端无法获取与上述隔离接口连接的终端的MAC地址,从而使上述隔离接口被隔离。
在基于上述隔离表项与上述溯源表项,处理上述非隔离接口接收到的ARP报文时,可以分为以下几种情形进行处理。
当上述设备的非隔离接口接收到任意类型的ARP报文时,上述设备可以基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关。
在确定上述网关后,上述设备可以确定上述ARP报文的源IP地址,是否为该网关的IP地址。如果上述ARP报文的源IP地址是该网关的IP地址,则转发上述ARP报文。
需要说明的是,本申请并不限定上述各步骤的实施顺序。
由于上述设备的非隔离接口接收到任意类型的ARP报文,上述设备可以仅转发来自网关的ARP报文,因此,可以仅使隔离接口连接的终端设备与网关建立连接,而无法使上述隔离接口与其他接口建立连接,从而使隔离接口被隔离。
接下来介绍如果上述ARP报文的源IP地址不是该网关的IP地址,并且上述ARP报文为第二ARP请求报文时,上述设备执行的动作。
需要说明的是,由于上述溯源表项的构建方式可以有三种,因此此处分为三个情形进行说明。
在一情形中,当上述溯源表项为基于隔离接口与非隔离接口接收到的的ARP报文构建的表项时,如果上述ARP报文的源IP地址不是该网关的IP地址,并且上述ARP报文为第二ARP请求报文时,上述设备可以查询上述溯源表项中,是否存在与该报文携带的目的IP地址匹配的IP地址。
如果查询到匹配的IP地址,上述设备可以进一步确定上述溯源表项中,与上述匹配的IP地址对应的入接口是否为隔离接口。
如果是,则基于上述隔离表项,确定与上述第二ARP请求报文携带的源IP地址处于同一网段的网关,并丢弃上述第二ARP请求报文,将该网关的MAC地址作为ARP应答报文的源MAC,作出应答;
否则,直接通过上述入接口转发上述第二ARP请求报文。
在查询上述溯源表项中,是否存在与上述第二ARP请求报文携带的目的IP地址匹配的IP地址时,如果未查询到匹配的IP地址,上述设备可以基于上述隔离表项,确定与上述第二ARP请求报文携带的源IP地址处于同一网段的网关。
在确定上述网关后,上述设备可以将上述第二ARP请求报文携带的源MAC地址更新为,该网关的MAC地址,并将更新后的ARP请求报文广播到上述设备可以包括的隔离接口。
可以理解的是,在查询上述溯源表项中,是否存在与上述第二ARP请求报文携带的目的IP地址匹配的IP地址时,如果未查询到匹配的IP地址,上述设备可以直接将该报文转发至上述设备包括的入接口以外的非隔离接口。
在另一情形中,上述溯源表项是基于隔离接口接收到的ARP报文构建的表项时,如果上述ARP报文的源IP地址不是该网关的IP地址,并且上述ARP报文为第二ARP请求报文时,上述设备可以查询上述溯源表项中,是否存在与该报文携带的目的IP地址匹配的IP地址。
如果查询到匹配的IP地址,则可以说明上述第二ARP请求报文请求的目标为需要被隔离的终端的MAC地址。此时,上述设备可以丢弃上述第二ARP请求报文,将该网关的MAC地址作为ARP应答报文的源MAC,作出应答。
在一实施例中,为了避免可能隔离策略变化而导致的隔离接口变动,在查询到匹配的IP地址后,上述设备可以进一步确定上述溯源表项中,与上述匹配的IP地址对应的入接口是否为隔离接口。
如果是,则基于上述隔离表项,确定与上述第二ARP请求报文携带的源IP地址处于同一网段的网关,并丢弃上述第二ARP请求报文,将该网关的MAC地址作为ARP应答报文的源MAC,作出应答;
否则,直接通过上述入接口转发上述第二ARP请求报文。
在通过上述入接口转发上述第二ARP请求报文时,上述设备可以基于从上述溯源表项中查询到的与该报文携带的目的IP地址对应的入接口,完成该报文的转发。
例如,假设第二ARP请求报文携带的目的IP地址为10.27.1.100,基于表2示出的溯源表项,可以确定需要从接口6转发该报文。
在查询上述溯源表项中,是否存在与上述第二ARP请求报文携带的目的IP地址匹配的IP地址时,如果未查询到匹配的IP地址,上述设备可以基于上述隔离表项,确定与上述第二ARP请求报文携带的源IP地址处于同一网段的网关。
在确定上述网关后,上述设备可以将上述第二ARP请求报文携带的源MAC地址更新为,该网关的MAC地址,并将更新后的ARP请求报文广播到上述设备可以包括的隔离接口。
可以理解的是,在查询上述溯源表项中,是否存在与上述第二ARP请求报文携带的目的IP地址匹配的IP地址时,如果未查询到匹配的IP地址,上述设备可以直接将该报文转发至上述设备包括的入接口以外的非隔离接口。
在另一情形中,上述溯源表项是基于非隔离接口接收到的ARP报文构建的表项时,如果上述ARP报文的源IP地址不是该网关的IP地址,并且上述ARP报文为第二ARP请求报文时,上述设备可以查询上述溯源表项中,是否存在与该报文携带的目的IP地址匹配的IP地址。
如果未查询到匹配的IP地址,上述设备可以基于上述隔离表项,确定与上述第二ARP请求报文携带的源IP地址处于同一网段的网关。在确定上述网关后,上述设备可以将上述第二ARP请求报文携带的源MAC地址更新为,该网关的MAC地址,并将更新后的ARP请求报文广播到上述设备可以包括的隔离接口。可以理解的是,在查询上述溯源表项中,是否存在与上述第二ARP请求报文携带的目的IP地址匹配的IP地址时,如果未查询到匹配的IP地址,上述设备可以直接将该报文转发至上述设备包括的入接口以外的非隔离接口。
如果查询到匹配的IP地址,则可以说明上述第二ARP请求报文请求的目标为不需要被隔离的终端的MAC地址。此时,上述设备可以从上述溯源表项中与查询到的上述IP地址对应的入接口,转发该第二ARP请求报文。
在以上三种情形中,一方面,上述设备可以仅将非隔离接口接收到的ARP请求报文发送至非隔离接口或网关;因此,该方法可以使非隔离接口与隔离接口之间可以相互隔离。
另一方面,上述设备可以仅是隔离接口接收到处于同一网段的网关的ARP请求,而无法接收到非隔离接口发送的APR请求,从而使上述隔离接口可以与网关建立连接,而无法与非隔离接口建立连接,实现隔离接口与非隔离接口之间的隔离。
至此,则介绍完毕如果上述ARP报文的源IP地址不是该网关的IP地址,并且上述ARP报文为第二ARP请求报文时,上述设备执行的动作。以下介绍如果上述ARP报文的源IP地址,不是与上述源IP地址处于同一网段的网关的IP地址,并且上述ARP报文为第二免费ARP报文时,上述设备的执行动作。
如果上述ARP报文的源IP地址,不是与上述源IP地址处于同一网段的网关的IP地址,并且上述ARP报文为第二免费ARP报文时,上述设备可以基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关。
将上述第二免费ARP报文携带的源MAC地址,更新为该网关的MAC地址,并将更新后的免费ARP报文广播到上述隔离接口。
可以理解的是,如果上述ARP报文的源IP地址不是与该报文携带的源IP地址处于同一网段的网关的IP地址,并且上述ARP报文为第二免费ARP报文时,上述设备可以直接将该报文转发至上述设备包括的入接口以外的非隔离接口。
由于通过上述方法,上述设备可以仅是隔离接口接收到处于同一网段的网关的免费ARP报文,而无法接收到非隔离接口发送的免费APR报文,从而使上述隔离接口可以与网关建立连接,而无法与非隔离接口建立连接,实现隔离接口与非隔离接口之间的隔离。
如果上述ARP报文的源IP地址不是与该报文携带的源IP地址处于同一网段的网关的IP地址,并且上述ARP报文为第二ARP应答报文时,基于前面实施的步骤,上述非隔离接口接收的ARP应答报文的目的MAC地址仅可以包括网关MAC地址或非隔离接口连接的终端的MAC地址两种情形,因此,上述设备可以基于上述第二APR应答报文携带的目的MAC地址完成该报文的转发。
在一实施例中,为了使与隔离接口连接的终端中,至少部分终端不被隔离,在上述设备中可以维护用于指示不参与横向隔离的终端的IP地址表,在上述设备接收到ARP报文时,上述设备可以先确定上述ARP报文携带的源IP地址是否命中上述IP地址表。
如果是,则按照当上述设备的非隔离接口接收到ARP报文时的处理方式,对该ARP报文进行处理。
如果未命中,则按照上述任一实施例示出的ARP交互方法进行报文转发。
上述IP地址表,具体维护不参与横向隔离的终端的IP地址。在维护上述IP地址表时,在一实施例中,管理员可以通过命令行等方式,基于隔离策略进行维护。在另一实施例中,上述设备可以响应于远程指令,自行完成维护。
由于上述设备可以将携带的源IP地址命中上述IP地址表的ARP报文按照非隔离接口接收到ARP报文时的处理方式进行处理,从而即便该ARP报文是隔离接口接收到的,也不会对其进行隔离,因此实现了隔离接口中连接的部分终端不被隔离的目的。
为了实现内网间流量的隔离,本申请中还提出一种内网流量转发方法。请参见图3,图3为本申请示出的一种内网流量转发方法的方法流程图。
如图3所示,上述方法可以包括:
S302,根据前述任一实施例公开的ARP交互方法,构建转发表项;
S304,基于上述转发表项对内网内的流量进行转发。
其中,上述方法可以应用于二层转发设备。可以理解的是该二层转发设备搭载的硬件环境可以为实现上述方法提供算力。
上述二层转发设备,具体可以包括二层接入设备,二层汇聚设备等具有二层转发功能的设备。以下以执行主体为上述二层转发设备(简称“设备”)进行实施例说明。
上述转发表项,具体是用于二层转发的表项。在实际应用中,上述转发表项可以是基于ARP交互结果得到的MAC地址,以及入接口维护的。
由于前述任一实施例公开的ARP交互方法可以使非隔离接口与非隔离接口之间,隔离接口、非隔离接口各自与上行接口之间具有连接关系,因此,基于前述任一实施例公开的ARP交互方法,构建的转发表项仅可以包括隔离接口与上行接口之间的转发关系,以及非隔离接口之间的转发关系。
由于上述设备可以基于上述转发表项对内网内的流量进行转发,因此阻断二层转发设备中处于同一隔离网段内的隔离接口连接的终端设备之间的二层流量交互,而将上述终端间的流量引流至网关,以使网关设备可以通过自身配置的隔离策略进行统一安全隔离或通过端口镜像等方式将流量镜像至安全检测设备对上述流量进行安全检测,从而防止病毒快速传播。
例如,假设现有如图1所示的组网。其中,上述接入设备1中的接口3与接口6处于同一VLAN(处于同一网段),且上述两个接口被配置为隔离接口。上述接入设备中采用了上述任一实施例示出的ARP交互方法进行ARP交互。
基于前述任一实施例示出的ARP交互方法,上述终端3将仅学习到网关的MAC地址,因此在终端3与终端6进行通信时,需要经过上述网关。此时,上述网关可以将终端3发送的流量镜像至上述安全设备实现对上述流量的安全检测。当针对上述流量的检测结果为安全时,将该流量转发值终端6。
可见,通过本申请任一实施例记载的ARP交互方法,可以阻断了二层转发设备中处于同一隔离网段内的终端设备之间的二层流量交互,以防止病毒在内网快速传播。
与上述任一实施例相对应的,本申请还提出一种ARP交互装置,应用于二层转发设备。其中,上述二层转发设备可以包括若干隔离网段;上述二层转发设备可以包括若干隔离接口与若干非隔离接口。
请参见图4,图4为本申请示出的一种ARP交互装置的结构图。如图4所示,上述装置400可以包括:
第一构建模块410,基于上述若干隔离网段分别对应的网关IP,以及子网掩码信息,构建隔离表项;
第二构建模块420,基于接收的ARP报文,构建溯源表项;
交互模块430,基于上述隔离表项,处理上述隔离接口接收到的ARP报文,并基于上述隔离表项与上述溯源表项,处理上述非隔离接口接收到的ARP报文,以阻断上述二层转发设备的隔离接口与隔离接口之间,以及隔离接口与非隔离接口之间的ARP交互。
在示出的一实施例中,上述交互模块430,可以包括:
当上述二层转发设备的隔离接口接收到第一免费ARP报文时,基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
将上述第一免费ARP报文携带的源MAC地址,更新为该网关的MAC地址,并将更新后的免费ARP报文广播到除接收该报文的入接口,以及与上述网关连接的接口以外的所有接口;
当上述二层转发设备的隔离接口接收到第一ARP请求报文时,基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
丢弃该报文,并将该网关的MAC地址,作为ARP应答报文的源MAC地址,作出应答;
当上述二层转发设备的隔离接口接收到第一ARP应答报文时,基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
确定该报文携带的目的IP,是否为该网关的IP地址,如果是,则转发该报文,否则丢弃该报文。
在示出的一实施例中,上述交互模块430,还可以包括:
当上述二层转发设备的非隔离接口接收到任意类型的ARP报文时,基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
确定上述ARP报文的源IP地址,是否为该网关的IP地址;
如果上述ARP报文的源IP地址是该网关的IP地址,则转发上述ARP报文。
在示出的一实施例中,上述溯源表项为基于上述二层转发设备的隔离接口与非隔离接口所接收的ARP报文构建的表项;上述溯源表项可以包括上述终端的IP地址、MAC地址、该ARP报文的入接口;
上述交互模块,还可以包括:
如果上述ARP报文的源IP地址不是该网关的IP地址,并且上述ARP报文为第二ARP请求报文时,查询上述溯源表项中,是否存在与该报文携带的目的IP地址匹配的IP地址;
如果查询到匹配的IP地址,则进一步确定上述溯源表项中,与上述匹配的IP地址对应的入接口是否为隔离接口;
如果是,则基于上述隔离表项,确定与上述第二ARP请求报文携带的源IP地址处于同一网段的网关,并丢弃上述第二ARP请求报文,将该网关的MAC地址作为ARP应答报文的源MAC,作出应答;
否则,直接通过上述入接口转发上述第二ARP请求报文。
在示出的一实施例中,上述溯源表项为基于上述二层转发设备的隔离接口所接收的ARP报文构建的表项;上述溯源表项包括上述终端的IP地址、MAC地址、该ARP报文的入接口;
上述交互模块430,还包括:
如果上述ARP报文的源IP地址不是该网关的IP地址,并且上述ARP报文为第二ARP请求报文时,查询上述溯源表项中,是否存在与该报文携带的目的IP地址匹配的IP地址;
如果查询到匹配的IP地址,则基于上述隔离表项,确定与上述第二ARP请求报文携带的源IP地址处于同一网段的网关,并丢弃上述第二ARP请求报文,将该网关的MAC地址作为ARP应答报文的源MAC,作出应答。
在示出的一实施例中,上述交互模块430,还可以包括:
在查询上述溯源表项中,是否存在与上述第二ARP请求报文携带的目的IP地址匹配的IP地址时,如果未查询到匹配的IP地址,
基于上述隔离表项,确定与上述第二ARP请求报文携带的源IP地址处于同一网段的网关;
将上述第二ARP请求报文携带的源MAC地址更新为,该网关的MAC地址,并将更新后的ARP请求报文广播到上述二层转发设备的隔离接口。
在示出的一实施例中,上述交互模块430,还可以包括:
如果上述ARP报文的源IP地址,不是与上述源IP地址处于同一网段的网关的IP地址,并且上述ARP报文为第二免费ARP报文时,
基于上述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
将上述第二免费ARP报文携带的源MAC地址,更新为该网关的MAC地址,并将更新后的免费ARP报文广播到上述二层转发设备的隔离接口。
在示出的一实施例中,上述二层转发设备维护了用于指示不参与横向隔离的终端的IP地址表;上述装置400还可以包括:
确定模块,当接收到ARP报文时,确定上述ARP报文携带的源IP地址是否命中上述IP地址表;
如果是,则按照非隔离接口接收到ARP报文时的处理方式,对该ARP报文进行处理。
在示出的一实施例中,上述装置400还可以包括:
确定网关模块440,在基于上述隔离表项,确定与报文携带的源IP地址处于同一网段的网关时,
根据上述隔离表项维护的子网掩码信息,确定上述报文携带的源IP地址所处的网段;
根据上述子网掩码信息,以及上述隔离表项中与上述子网掩码信息对应的目标网关的IP地址,确定上述目标网关所处的网段;
确定该报文携带的源IP地址所处的网段,是否与上述目标网关所处的网段相同;如果相同,则将上述目标网关确定为与上述报文携带的源IP地址处于同一网段的网关。
在示出的一实施例中,上述隔离表项还维护了上述隔离网段对应的VLAN标识,与上述目标网关的对应关系;上述确定网关模块440,还可以包括:
如果该报文携带的源IP地址所处的IP网段,与上述目标网关所处的IP网段相同时,进一步确定该报文对应的VLAN标识,是否与上述目标网关对应的VLAN标识相同;
如果相同,则将上述目标网关确定为与上述报文携带的源IP地址处于同一网段的网关。
在示出的一实施例中,上述二层转发设备为二层接入设备。
本申请提出一种内网流量转发装置,应用于二层转发设备;上述装置可以包括:
构建模块,根据上述任一实施例公开的ARP交互方法,构建转发表项;
转发模块,基于上述转发表项对内网内的流量进行转发。
本申请示出的ARP交互装置的实施例可以应用于ARP交互设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在电子设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本申请示出的一种ARP交互设备的硬件结构图,除了图5所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常根据该电子设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图5所示的一种ARP交互设备,上述设备可以包括:处理器。
用于存储处理器可执行指令的存储器。
其中,上述处理器通过运行上述可执行指令以实现如上述任一实施例上述的ARP交互方法。
本申请提出一种计算机可读存储介质,上述存储介质存储有计算机程序,上述计算机程序用于执行如上述任一实施例上述的ARP交互方法。
本申请示出的内网流量转发装置的实施例可以应用于内网流量转发设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在电子设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图6所示,为本申请示出的一种内网流量转发设备的硬件结构图,除了图6所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常根据该电子设备的实际功能,还可以包括其他硬件,对此不再赘述。
请参考图6所示的一种内网流量转发设备,上述设备可以包括:处理器。
用于存储处理器可执行指令的存储器。
其中,上述处理器通过运行上述可执行指令以实现如上述任一实施例上述的内网流量转发方法。
本申请提出一种计算机可读存储介质,上述存储介质存储有计算机程序,上述计算机程序用于执行如上述任一实施例上述的内网流量转发方法。
本领域技术人员应明白,本申请一个或多个实施例可提供为方法、系统或计算机程序产品。因此,本申请一个或多个实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请记载的“和/或”表示至少具有两者中的其中一个,例如,“A和/或B”可以包括三种方案:A、B、以及“A和B”。
本申请中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于数据处理设备实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
上述对本申请特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的行为或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本申请中描述的主题及功能操作的实施例可以在以下中实现:数字电子电路、有形体现的计算机软件或固件、可以包括本申请中公开的结构及其结构性等同物的计算机硬件、或者它们中的一个或多个的组合。本申请中描述的主题的实施例可以实现为一个或多个计算机程序,即编码在有形非暂时性程序载体上以被数据处理装置执行或控制数据处理装置的操作的计算机程序指令中的一个或多个模块。可替代地或附加地,程序指令可以被编码在人工生成的传播信号上,例如机器生成的电、光或电磁信号,该信号被生成以将信息编码并传输到合适的接收机装置以由数据处理装置执行。计算机存储介质可以是机器可读存储设备、机器可读存储基板、随机或串行存取存储器设备、或它们中的一个或多个的组合。
本申请中描述的处理及逻辑流程可以由执行一个或多个计算机程序的一个或多个可编程计算机执行,以通过根据输入数据进行操作并生成输出来执行相应的功能。上述处理及逻辑流程还可以由专用逻辑电路—例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)来执行,并且装置也可以实现为专用逻辑电路。
适合用于执行计算机程序的计算机可以包括,例如通用和/或专用微处理器,或任何其他类型的中央处理单元。通常,中央处理单元将从只读存储器和/或随机存取存储器接收指令和数据。计算机的基本组件可以包括用于实施或执行指令的中央处理单元以及用于存储指令和数据的一个或多个存储器设备。通常,计算机还将可以包括用于存储数据的一个或多个大容量存储设备,例如磁盘、磁光盘或光盘等,或者计算机将可操作地与此大容量存储设备耦接以从其接收数据或向其传送数据,抑或两种情况兼而有之。然而,计算机不是必须具有这样的设备。此外,计算机可以嵌入在另一设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏操纵台、全球定位系统(GPS)接收机、或例如通用串行总线(USB)闪存驱动器的便携式存储设备,仅举几例。
适合于存储计算机程序指令和数据的计算机可读介质可以包括所有形式的非易失性存储器、媒介和存储器设备,例如可以包括半导体存储器设备(例如EPROM、EEPROM和闪存设备)、磁盘(例如内部硬盘或可移动盘)、磁光盘以及CD ROM和DVD-ROM盘。处理器和存储器可由专用逻辑电路补充或并入专用逻辑电路中。
虽然本申请包含许多具体实施细节,但是这些不应被解释为限制任何公开的范围或所要求保护的范围,而是主要用于描述特定公开的具体实施例的特征。本申请内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如上上述在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
类似地,虽然在附图中以特定顺序描绘了操作,但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离,并且应当理解,所描述的程序组件和系统通常可以一起集成在单个软件产品中,或者封装成多个软件产品。
由此,主题的特定实施例已被描述。其他实施例在所附权利要求书的范围以内。在某些情况下,权利要求书中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外,附图中描绘的处理并非必需所示的特定顺序或顺次顺序,以实现期望的结果。在某些实现中,多任务和并行处理可能是有利的。
以上上述仅为本申请一个或多个实施例的较佳实施例而已,并不用以限制本申请一个或多个实施例,凡在本申请一个或多个实施例的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请一个或多个实施例保护的范围之内。

Claims (26)

1.一种ARP交互方法,应用于二层转发设备;其中,所述二层转发设备包括若干隔离网段;所述二层转发设备包括若干隔离接口与若干非隔离接口;
所述方法包括:
基于所述若干隔离网段分别对应的网关IP,以及子网掩码信息,构建隔离表项;
基于接收的ARP报文,构建溯源表项;
基于所述隔离表项,处理所述隔离接口接收到的ARP报文,并基于所述隔离表项与所述溯源表项,处理所述非隔离接口接收到的ARP报文,以阻断所述二层转发设备的隔离接口与隔离接口之间,以及隔离接口与非隔离接口之间的ARP交互。
2.根据权利要求1所述的方法,所述基于所述隔离表项,处理所述隔离接口接收到的ARP报文,包括:
当所述二层转发设备的隔离接口接收到第一免费ARP报文时,基于所述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
将所述第一免费ARP报文携带的源MAC地址,更新为该网关的MAC地址,并将更新后的免费ARP报文广播到除接收该报文的入接口,以及与所述网关连接的接口以外的所有接口;
当所述二层转发设备的隔离接口接收到第一ARP请求报文时,基于所述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
丢弃该报文,并将该网关的MAC地址,作为ARP应答报文的源MAC地址,作出应答;
当所述二层转发设备的隔离接口接收到第一ARP应答报文时,基于所述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
确定该报文携带的目的IP,是否为该网关的IP地址,如果是,则转发该报文,否则丢弃该报文。
3.根据权利要求2所述的方法,所述基于所述隔离表项与所述溯源表项,处理所述非隔离接口接收到的ARP报文,包括:
当所述二层转发设备的非隔离接口接收到任意类型的ARP报文时,基于所述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
确定所述ARP报文的源IP地址,是否为该网关的IP地址;
如果所述ARP报文的源IP地址是该网关的IP地址,则转发所述ARP报文。
4.根据权利要求3所述的方法,所述溯源表项为基于所述二层转发设备的隔离接口与非隔离接口所接收的ARP报文构建的表项;所述溯源表项包括所述终端的IP地址、MAC地址、该ARP报文的入接口;
所述方法还包括:
如果所述ARP报文的源IP地址不是该网关的IP地址,并且所述ARP报文为第二ARP请求报文时,查询所述溯源表项中,是否存在与该报文携带的目的IP地址匹配的IP地址;
如果查询到匹配的IP地址,则进一步确定所述溯源表项中,与所述匹配的IP地址对应的入接口是否为隔离接口;
如果是,则基于所述隔离表项,确定与所述第二ARP请求报文携带的源IP地址处于同一网段的网关,并丢弃所述第二ARP请求报文,将该网关的MAC地址作为ARP应答报文的源MAC,作出应答;
否则,直接通过所述入接口转发所述第二ARP请求报文。
5.根据权利要求3所述的方法,所述溯源表项为基于所述二层转发设备的隔离接口所接收的ARP报文构建的表项;所述溯源表项包括所述终端的IP地址、MAC地址、该ARP报文的入接口;
所述方法还包括:
如果所述ARP报文的源IP地址不是该网关的IP地址,并且所述ARP报文为第二ARP请求报文时,查询所述溯源表项中,是否存在与该报文携带的目的IP地址匹配的IP地址;
如果查询到匹配的IP地址,则基于所述隔离表项,确定与所述第二ARP请求报文携带的源IP地址处于同一网段的网关,并丢弃所述第二ARP请求报文,将该网关的MAC地址作为ARP应答报文的源MAC,作出应答。
6.根据权利要求4所述的方法,还包括:
在查询所述溯源表项中,是否存在与所述第二ARP请求报文携带的目的IP地址匹配的IP地址时,如果未查询到匹配的IP地址,
基于所述隔离表项,确定与所述第二ARP请求报文携带的源IP地址处于同一网段的网关;
将所述第二ARP请求报文携带的源MAC地址更新为,该网关的MAC地址,并将更新后的ARP请求报文广播到所述二层转发设备的隔离接口。
7.根据权利要求4所述的方法,还包括:
如果所述ARP报文的源IP地址,不是与所述源IP地址处于同一网段的网关的IP地址,并且所述ARP报文为第二免费ARP报文时,
基于所述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
将所述第二免费ARP报文携带的源MAC地址,更新为该网关的MAC地址,并将更新后的免费ARP报文广播到所述二层转发设备的隔离接口。
8.根据权利要求3-7任一所述的方法,所述二层转发设备维护了用于指示不参与横向隔离的终端的IP地址表;
所述方法还包括:
当接收到ARP报文时,确定所述ARP报文携带的源IP地址是否命中所述IP地址表;
如果是,则按照非隔离接口接收到ARP报文时的处理方式,对该ARP报文进行处理。
9.根据权利要求2-8任一所述的方法,还包括:
在基于所述隔离表项,确定与报文携带的源IP地址处于同一网段的网关时,
根据所述隔离表项维护的子网掩码信息,确定所述报文携带的源IP地址所处的网段;
根据所述子网掩码信息,以及所述隔离表项中与所述子网掩码信息对应的目标网关的IP地址,确定所述目标网关所处的网段;
确定该报文携带的源IP地址所处的网段,是否与所述目标网关所处的网段相同;如果相同,则将所述目标网关确定为与所述报文携带的源IP地址处于同一网段的网关。
10.根据权利要求9所述的方法,所述隔离表项还维护了所述隔离网段对应的VLAN标识,与所述目标网关的对应关系;
所述方法还包括:
如果该报文携带的源IP地址所处的IP网段,与所述目标网关所处的IP网段相同时,进一步确定该报文对应的VLAN标识,是否与所述目标网关对应的VLAN标识相同;
如果相同,则将所述目标网关确定为与所述报文携带的源IP地址处于同一网段的网关。
11.根据权利要求1所述的方法,所述二层转发设备为二层接入设备。
12.一种内网流量转发方法,应用于二层转发设备;所述方法包括:
根据权利要求1-11任一所述的ARP交互方法,构建转发表项;
基于所述转发表项对内网内的流量进行转发。
13.一种ARP交互装置,应用于二层转发设备;其中,所述二层转发设备包括若干隔离网段;所述二层转发设备包括若干隔离接口与若干非隔离接口;
所述装置包括:
第一构建模块,基于所述若干隔离网段分别对应的网关IP,以及子网掩码信息,构建隔离表项;
第二构建模块,基于接收的ARP报文,构建溯源表项;
交互模块,基于所述隔离表项,处理所述隔离接口接收到的ARP报文,并基于所述隔离表项与所述溯源表项,处理所述非隔离接口接收到的ARP报文,以阻断所述二层转发设备的隔离接口与隔离接口之间,以及隔离接口与非隔离接口之间的ARP交互。
14.根据权利要求13所述的装置,所述交互模块,包括:
当所述二层转发设备的隔离接口接收到第一免费ARP报文时,基于所述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
将所述第一免费ARP报文携带的源MAC地址,更新为该网关的MAC地址,并将更新后的免费ARP报文广播到除接收该报文的入接口,以及与所述网关连接的接口以外的所有接口;
当所述二层转发设备的隔离接口接收到第一ARP请求报文时,基于所述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
丢弃该报文,并将该网关的MAC地址,作为ARP应答报文的源MAC地址,作出应答;
当所述二层转发设备的隔离接口接收到第一ARP应答报文时,基于所述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
确定该报文携带的目的IP,是否为该网关的IP地址,如果是,则转发该报文,否则丢弃该报文。
15.根据权利要求14所述的装置,所述交互模块,还包括:
当所述二层转发设备的非隔离接口接收到任意类型的ARP报文时,基于所述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
确定所述ARP报文的源IP地址,是否为该网关的IP地址;
如果所述ARP报文的源IP地址是该网关的IP地址,则转发所述ARP报文。
16.根据权利要求15所述的装置,所述溯源表项为基于所述二层转发设备的隔离接口与非隔离接口所接收的ARP报文构建的表项;所述溯源表项包括所述终端的IP地址、MAC地址、该ARP报文的入接口;
所述交互模块,还包括:
如果所述ARP报文的源IP地址不是该网关的IP地址,并且所述ARP报文为第二ARP请求报文时,查询所述溯源表项中,是否存在与该报文携带的目的IP地址匹配的IP地址;
如果查询到匹配的IP地址,则进一步确定所述溯源表项中,与所述匹配的IP地址对应的入接口是否为隔离接口;
如果是,则基于所述隔离表项,确定与所述第二ARP请求报文携带的源IP地址处于同一网段的网关,并丢弃所述第二ARP请求报文,将该网关的MAC地址作为ARP应答报文的源MAC,作出应答;
否则,直接通过所述入接口转发所述第二ARP请求报文。
17.根据权利要求15所述的装置,所述溯源表项为基于所述二层转发设备的隔离接口所接收的ARP报文构建的表项;所述溯源表项包括所述终端的IP地址、MAC地址、该ARP报文的入接口;
所述交互模块,还包括:
如果所述ARP报文的源IP地址不是该网关的IP地址,并且所述ARP报文为第二ARP请求报文时,查询所述溯源表项中,是否存在与该报文携带的目的IP地址匹配的IP地址;
如果查询到匹配的IP地址,则基于所述隔离表项,确定与所述第二ARP请求报文携带的源IP地址处于同一网段的网关,并丢弃所述第二ARP请求报文,将该网关的MAC地址作为ARP应答报文的源MAC,作出应答。
18.根据权利要求16所述的装置,所述交互模块,还包括:
在查询所述溯源表项中,是否存在与所述第二ARP请求报文携带的目的IP地址匹配的IP地址时,如果未查询到匹配的IP地址,
基于所述隔离表项,确定与所述第二ARP请求报文携带的源IP地址处于同一网段的网关;
将所述第二ARP请求报文携带的源MAC地址更新为,该网关的MAC地址,并将更新后的ARP请求报文广播到所述二层转发设备的隔离接口。
19.根据权利要求16所述的装置,所述交互模块,还包括:
如果所述ARP报文的源IP地址,不是与所述源IP地址处于同一网段的网关的IP地址,并且所述ARP报文为第二免费ARP报文时,
基于所述隔离表项,确定与该报文携带的源IP地址处于同一网段的网关;
将所述第二免费ARP报文携带的源MAC地址,更新为该网关的MAC地址,并将更新后的免费ARP报文广播到所述二层转发设备的隔离接口。
20.根据权利要求15-19任一所述的装置,所述二层转发设备维护了用于指示不参与横向隔离的终端的IP地址表;
所述装置还包括:
确定模块,当接收到ARP报文时,确定所述ARP报文携带的源IP地址是否命中所述IP地址表;
如果是,则按照非隔离接口接收到ARP报文时的处理方式,对该ARP报文进行处理。
21.根据权利要求14-20任一所述的装置,所述装置还包括:
确定网关模块,在基于所述隔离表项,确定与报文携带的源IP地址处于同一网段的网关时,
根据所述隔离表项维护的子网掩码信息,确定所述报文携带的源IP地址所处的网段;
根据所述子网掩码信息,以及所述隔离表项中与所述子网掩码信息对应的目标网关的IP地址,确定所述目标网关所处的网段;
确定该报文携带的源IP地址所处的网段,是否与所述目标网关所处的网段相同;如果相同,则将所述目标网关确定为与所述报文携带的源IP地址处于同一网段的网关。
22.根据权利要求21所述的装置,所述隔离表项还维护了所述隔离网段对应的VLAN标识,与所述目标网关的对应关系;
所述确定网关模块,还包括:
如果该报文携带的源IP地址所处的IP网段,与所述目标网关所处的IP网段相同时,进一步确定该报文对应的VLAN标识,是否与所述目标网关对应的VLAN标识相同;
如果相同,则将所述目标网关确定为与所述报文携带的源IP地址处于同一网段的网关。
23.根据权利要求13所述的装置,所述二层转发设备为二层接入设备。
24.一种内网流量转发装置,应用于二层转发设备;所述装置包括:
构建模块,根据权利要求1-11任一所述的ARP交互方法,构建转发表项;
转发模块,基于所述转发表项对内网内的流量进行转发。
25.一种ARP交互设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如权利要求1-11中任一项所述的ARP交互方法。
26.一种内网流量转发设备,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器通过运行所述可执行指令以实现如权利要求12所述的内网流量转发方法。
CN202010478585.3A 2020-05-29 2020-05-29 Arp交互与内网流量转发方法、装置和设备 Active CN111654558B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010478585.3A CN111654558B (zh) 2020-05-29 2020-05-29 Arp交互与内网流量转发方法、装置和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010478585.3A CN111654558B (zh) 2020-05-29 2020-05-29 Arp交互与内网流量转发方法、装置和设备

Publications (2)

Publication Number Publication Date
CN111654558A true CN111654558A (zh) 2020-09-11
CN111654558B CN111654558B (zh) 2023-02-28

Family

ID=72343071

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010478585.3A Active CN111654558B (zh) 2020-05-29 2020-05-29 Arp交互与内网流量转发方法、装置和设备

Country Status (1)

Country Link
CN (1) CN111654558B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113612697A (zh) * 2021-08-19 2021-11-05 迈普通信技术股份有限公司 报文转发控制方法、装置、网络设备及无线网络系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103404084A (zh) * 2012-11-21 2013-11-20 华为技术有限公司 Mac地址强制转发装置及方法
CN105227363A (zh) * 2015-10-08 2016-01-06 上海斐讯数据通信技术有限公司 一种基于sdn的全网络端口隔离方法及装置
CN109525601A (zh) * 2018-12-28 2019-03-26 杭州迪普科技股份有限公司 内网中终端间的横向流量隔离方法和装置
US10382390B1 (en) * 2017-04-28 2019-08-13 Cisco Technology, Inc. Support for optimized microsegmentation of end points using layer 2 isolation and proxy-ARP within data center

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103404084A (zh) * 2012-11-21 2013-11-20 华为技术有限公司 Mac地址强制转发装置及方法
CN105227363A (zh) * 2015-10-08 2016-01-06 上海斐讯数据通信技术有限公司 一种基于sdn的全网络端口隔离方法及装置
US10382390B1 (en) * 2017-04-28 2019-08-13 Cisco Technology, Inc. Support for optimized microsegmentation of end points using layer 2 isolation and proxy-ARP within data center
CN109525601A (zh) * 2018-12-28 2019-03-26 杭州迪普科技股份有限公司 内网中终端间的横向流量隔离方法和装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113612697A (zh) * 2021-08-19 2021-11-05 迈普通信技术股份有限公司 报文转发控制方法、装置、网络设备及无线网络系统

Also Published As

Publication number Publication date
CN111654558B (zh) 2023-02-28

Similar Documents

Publication Publication Date Title
US10230577B2 (en) Packet broadcast mechanism in a split architecture network
US9225641B2 (en) Communication between hetrogenous networks
US9680751B2 (en) Methods and devices for providing service insertion in a TRILL network
US11374857B2 (en) Network device management method and apparatus, and system for indicating a network device to perform management operation
US9379975B2 (en) Communication control system, control server, forwarding node, communication control method, and communication control program
US9755959B2 (en) Dynamic service path creation
US10263808B2 (en) Deployment of virtual extensible local area network
CN111901244B (zh) 一种网络报文转发系统
CN109525601B (zh) 内网中终端间的横向流量隔离方法和装置
CN106921578B (zh) 一种转发表项的生成方法和装置
CN105262683A (zh) 网络系统和路由控制方法
CN108880968A (zh) 软件定义网络中广播、组播实现方法及装置、存储介质
WO2018068588A1 (zh) 提供组播业务的方法和软件定义网络控制器
CN107547346B (zh) 一种报文传输方法和装置
KR102621953B1 (ko) 패킷 검출 방법 및 제1 네트워크 장치
US11522792B2 (en) Method for discovering forwarding path and related device thereof
CN105187311A (zh) 一种报文转发方法及装置
CN107786386B (zh) 对用于验证多播连接的双向转发检测(bfd)消息的选择性传输
US20130279513A1 (en) Systems and methods for pseudo-link creation
Amamou et al. A trill-based multi-tenant data center network
CN111654558B (zh) Arp交互与内网流量转发方法、装置和设备
CN106453367A (zh) 一种基于sdn的防地址扫描攻击的方法及系统
JP7119170B2 (ja) Bierv6パケット転送方法、デバイス、およびシステム
CN114040407A (zh) 一种基于路由回路的虫洞攻击检测与定位方法
CN108881015B (zh) 一种报文广播方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant