CN112688940A - 报文处理方法及装置 - Google Patents
报文处理方法及装置 Download PDFInfo
- Publication number
- CN112688940A CN112688940A CN202011537433.2A CN202011537433A CN112688940A CN 112688940 A CN112688940 A CN 112688940A CN 202011537433 A CN202011537433 A CN 202011537433A CN 112688940 A CN112688940 A CN 112688940A
- Authority
- CN
- China
- Prior art keywords
- security
- entry
- terminal
- message
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种报文处理方法及装置,所述方法应用于第一接入交换机,所述第一接入交换机接入汇聚交换机,所述方法包括:接收第一终端发送的第一报文,所述第一报文包括第一源地址以及所述第一终端所处的第一VLAN标识;根据已存储的安全表,查找是否已存在与所述第一源地址以及所述第一VLAN标识均匹配的第一安全表项;若存在,则确定所述第一终端为合法终端,并根据所述第一报文的报文类型,对所述第一报文执行相应处理。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种报文处理方法及装置。
背景技术
传统IP网络中,一般通过DHCP服务器为用户动态分配IP地址,终端漫游时,接入网关发生改变,终端自身的IP地址也随之变化,如此,出现断流较长时间的问题。
随着网络技术的发展,逐渐形成了分布式网关的概念。采用分布式网络,将有线终端或无线终端的网关统一。即使终端在漫游过程中,接入网关的IP地址与终端的IP地址均不发生改变。如此,方便网络管理,改善终端漫游时的用户体验。但,在网络中若存在伪造的非法终端漫游,则会导致合法终端无法正常收发流量,所以,如何判别漫游终端的合法性就变得至关重要。
如图1所示,图1为现有分布式网络应用场景示意图。在图1中,DHCP服务器、Radius服务器、无线AC接入核心交换机;无线AP与接入交换机连接并构建无线网络,有线终端也可直接与接入交换机连接并构建有线网络。有线终端、无线终端可通过DHCP中继(Relay)动态申请IPv4/IPv6地址,或者,通过无状态地址分配IPv6地址,以访问IP网络。
汇聚交换机与核心交换机连接,并分别与每个接入交换机连接。接入交换机、汇聚交换机以及核心交换机相互之间建立EBGP邻居。每个接入交换机学习ARP/ND报文,并将学习到的ARP/ND报文转换为终端主机路由。每个接入交换机通过EBGP协议,向汇聚交换机通告终端主机路由,并由汇聚交换机向其他接入交换机同步该终端主机路由。
组网中全部的接入交换机均配置相同的网关IP地址,并配置相同的三层网关MAC地址,并开启ARP/ND本地代理功能。因此,终端漫游时网关的IP地址与终端的IP地址保持不变。当组网中某一接入交换机接收到漫游终端发送的ARP/ND报文而触发终端主机路由的迁移,该接入交换机通过EBGP协议,向汇聚交换机通告漫游终端主机路由,并由汇聚交换机向其他接入交换机同步,从而流量快速向漫游终端转发,实现业务不断流。
尽管接入交换机可通过终端发送的ARP/ND报文触发终端主机路由的迁移,进而实现业务不断流,但,接入交换机无法判别终端的合法性。若组网中存在伪造的非法终端漫游,则会导致合法终端无法正常收发流量,缺少对终端安全的保障。
发明内容
有鉴于此,本申请提供了一种报文处理方法及装置,用以解决现有组网中接入交换机无法判别漫游终端的合法性的问题。
第一方面,本申请提供了一种报文处理方法,所述方法应用于第一接入交换机,所述第一接入交换机接入汇聚交换机,所述方法包括:
接收第一终端发送的第一报文,所述第一报文包括第一源地址以及所述第一终端所处的第一VLAN标识;
根据已存储的安全表,查找是否已存在与所述第一源地址以及所述第一VLAN标识均匹配的第一安全表项;
若存在,则确定所述第一终端为合法终端,并根据所述第一报文的报文类型,对所述第一报文执行相应处理。
第二方面,本申请提供了一种报文处理装置,所述装置应用于第一接入交换机,所述第一接入交换机接入汇聚交换机,所述装置包括:
接收单元,用于接收第一终端发送的第一报文,所述第一报文包括第一源地址以及所述第一终端所处的第一VLAN标识;
查找单元,用于根据已存储的安全表,查找是否已存在与所述第一源地址以及所述第一VLAN标识均匹配的第一安全表项;
处理单元,用于若存在,则确定所述第一终端为合法终端,并根据所述第一报文的报文类型,对所述第一报文执行相应处理。
第三方面,本申请提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本申请第一方面所提供的方法。
因此,通过应用本申请提供的报文处理方法及装置,第一接入交换机接收第一终端发送的第一报文,该第一报文包括第一源地址以及第一终端所处的第一VLAN标识。根据已存储的安全表,第一接入交换机查找是否已存在与第一源地址以及第一VLAN标识均匹配的第一安全表项。若存在,则第一接入交换机确定第一终端为合法终端,并根据第一报文的报文类型,对第一报文执行相应处理。
如此,解决现有组网中接入交换机无法判别漫游终端的合法性的问题。实现了对终端在接入交换机不同端口漫游或跨接入交换机漫游的安全保障。
附图说明
图1为现有分布式网络应用场景示意图;
图2为本申请实施例提供的报文处理方法的流程图;
图3-A为本申请实施例提供的终端在接入交换机不同端口漫游组网示意图;
图3-B为本申请实施例提供的终端在跨接入交换机漫游组网示意图;
图3-C为本申请实施例提供的生成安全表项的组网示意图;
图3-D为本申请实施例提供的接入交换机老化安全表项的组网示意图;
图4为本申请实施例提供的报文处理装置结构图;
图5为本申请实施例提供的网络设备硬件结构体。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请实施例提供的报文处理方法进行详细地说明。参见图2,图2为本申请实施例提供的报文处理方法的流程图。该方法应用于第一接入交换机,本申请实施例提供的报文处理方法可包括如下所示步骤。
步骤210、接收第一终端发送的第一报文,所述第一报文包括第一源地址以及所述第一终端所处的第一VLAN标识。
具体地,分布式网络内包括多个汇聚交换机、接入交换机以及终端。在本申请实施例中以组网内包括三台汇聚交换机、两台接入交换机以及一台终端为例进行说明。如图3-A所示,图3-A为本申请实施例提供的终端在接入交换机不同端口漫游组网示意图。如图3-B所示,图3-B为本申请实施例提供的终端在跨接入交换机漫游组网示意图。
在图3-A中,AP1、AP2分别与第一接入交换机连接,第一终端通过AP2接入第一接入交换机,第一接入交换机、第二接入交换机分别接入三台汇聚交换机。
在一种场景下,第一终端从AP2漫游至AP1,并通过AP1接入第一接入交换机。此时,第一终端通过AP1向第一接入交换机发送第一报文,该第一报文包括第一源地址以及第一终端所处的第一VLAN标识。
在图3-B中,AP3与第二接入交换机连接,AP4与第一接入交换机连接,第二终端通过AP4接入第一接入交换机,第一接入交换机、第二接入交换机分别接入三台汇聚交换机。
在另一种场景下,第二终端从AP4漫游至AP3,并通过AP3接入第二接入交换机。此时,第二终端通过AP3向第二接入交换机发送第一报文,该第一报文包括第一源地址以及第一终端所处的第一VLAN标识。
进一步地,第一报文可具体为第一协议报文或者第一数据报文。其中,第一协议报文可具体包括ARP报文或者ND报文。第一源地址可具体为第一源IP地址、第一源MAC地址,在后续描述中,以第一源地址为例进行说明。
在本申请实施例中,第一接入交换机、第二接入交换机均可互换角色并执行相应的步骤。例如,第一接入交换机为本地接入交换机,则第二接入交换机为远端接入交换机,反之亦然。比如,图3-B中的第二接入交换机也可为第一接入交换机,第一接入交换机也可为第二接入交换机。
在图3-A、图3-B中的第一终端、第二终端均为泛指的终端,并不限定于第一终端、第二终端,也可为第三终端、第四终端。
步骤220、根据已存储的安全表,查找是否已存在与所述第一源地址以及所述第一VLAN标识均匹配的第一安全表项。
具体地,根据步骤210的描述,第一接入交换机接收到第一报文后,从第一报文中获取第一源地址以及第一VLAN标识。根据已存储的安全表,第一接入交换机查找是否已存在与第一源地址以及第一VLAN标识均匹配的第一安全表项。
若存在第一安全表项,则第一接入交换机执行步骤230。若不存在第一安全表项,则第一接入交换机确定第一终端为非法终端,并丢弃第一报文。
进一步地,安全表具体包括本地安全表以及远端安全表。在本步骤中,若本地安全表中存在第一安全表项,则第一接入交换机执行步骤230。或者,若远端安全表中存在第一安全表项,则第一接入交换机执行步骤230。
其中,本地安全表项可根据本地存储的第二类型地址信息表项生成。该第二类型地址信息表项可具体为DHCPv4/v6 relay表项或者为ND snooping表项。可以理解的是,在本申请实施例中,将DHCPv4/v6 relay表项或者为ND snooping表项称为第二类型地址信息表项。远端安全表项则根据汇聚交换机同步的由其他接入交换机发送的安全表项生成。
在本申请实施例中,第二类型地址信息表项为终端通过AP接入本地接入交换机后,在终端申请IP地址的过程中,由本地接入交换机生成的,具体生成过程与现有生成表项过程相同,在此不再复述。
更进一步地,根据第二类型地址信息表项生成安全表项的过程为:第一接入交换机获取第二类型地址信息表项,该第二类型地址信息表项包括第二终端(该第二终端为组网中接入第一交换机的任一终端,也可为第一终端、第三终端,在此为了区分,以第二终端为例进行说明)的源地址以及第二终端所处的第二VLAN标识,该第二类型地址信息表项根据第一接入交换机获取的第二报文(例如,用于生成DHCPv4/v6 relay表项的DHCP相关报文、用于生成ND snooping表项的NS报文)生成。
根据第二源地址以及第二VLAN标识,第一接入交换机生成第三安全表项(也可为第一、第二、第四安全表项,在此为了区分,以第三安全表项为例进行说明),并将第三安全表项存储至本地安全表中,该第三安全表项包括第二源地址、第二VLAN标识以及安全表项的来源类型。其中,安全表项的来源类型用于指示该安全表项是通过何种第二类型地址信息表项生成的。若通过DHCPv4/v6 relay表项生成,则安全表项的来源类型为DHCP relay;若通过NDsnooping表项生成,则安全表项的来源类型为ND snooping。
第一接入交换机向汇聚交换机发送第三BGP更新消息(也可为第一、第二、第四、第五、第六BGP更新消息,在此为了区分,以第三BGP更新消息为例进行说明),该第三BGP更新消息包括第二源地址、第二VLAN标识以及安全表项的来源类型,以使得汇聚交换机向第二接入交换机(该第二接入交换机即为远端接入交换机)转发第三BGP更新消息,从而第二交换机根据第二源地址、第二VLAN标识以及安全表项的来源类型生成远端安全表项。
可以理解的是,本地安全表中包括的安全表项均配置“local”属性;远端安全表中包括的安全表项均配置“remote”属性。
如图3-C所示,图3-C为本申请实施例提供的生成安全表项的组网示意图。在图3-C中,AP5与第二接入交换机连接,AP6与第一接入交换机连接。第三终端通过AP6接入第一接入交换机,第一接入交换机、第二接入交换机分别接入三台汇聚交换机。
第三终端接入第一接入交换机后,可通过DHCP Relay动态申请IPv4/IPv6地址或无状态地址分配IPv6地址。第三终端获取到IP地址的同时,第一接入交换机也生成第二类型地址信息表项,该第二类型地址信息表项包括第三终端的源地址以及第一VLAN标识。
根据第一源地址以及第一VLAN标识,第一接入交换机生成第三安全表项(也可为第一、第二、第四安全表项,在此为了区分,以第三安全表项为例进行说明),并将第三安全表项存储至本地安全表中,该第三安全表项包括第一源地址、第一VLAN标识以及安全表项的来源类型。其中,安全表项的来源类型用于指示该安全表项是通过何种第二类型地址信息表项生成的。若通过DHCPv4/v6 relay表项生成,则安全表项的来源类型为DHCP relay;若通过NDsnooping表项生成,则安全表项的来源类型为ND snooping。
第一接入交换机向三台汇聚交换机分别发送第三BGP更新消息(也可为第一、第二、第四、第五、第六BGP更新消息,在此为了区分,以第三BGP更新消息为例进行说明),该第三BGP更新消息包括第一源地址、第一VLAN标识以及安全表项的来源类型,以使得汇聚交换机向第二接入交换机转发第三BGP更新消息,从而第二交换机根据第一源地址、第一VLAN标识以及安全表项的来源类型生成远端安全表项。
如图3-C所示,第一接入交换机向三台汇聚交换机分别发送第三BGP更新消息,该第三BGP更新消息包括第一源地址、第一VLAN标识以及安全表项的来源类型。
以第一汇聚交换机为例进行说明。第一汇聚交换机接收到第三BGP更新消息后,向接入的除第一交换机之外的其他接入交换机转发第三BGP更新消息。在图3-C中,第一汇聚交换机向第二接入交换机转发第三BGP更新消息。
第二接入交换机接收第三BGP更新消息后,从中获取第一源地址、第一VLAN标识以及安全表项的来源类型。根据第一源地址、第一VLAN标识以及安全表项的来源类型,第二接入交换机生成第四安全表项(也可为第一、第二、第三安全表项,在此为了区分,以第三安全表项为例进行说明),并将生成的第四安全表项存储至远端安全表中,该第四安全表项包括第一源地址、第一VLAN标识以及安全表项的来源类型。
更进一步地,若第一接入交换机作为远端接入交换机,此时,第一接入交换机还可接收汇聚交换机发送的BGP更新消息(例如,第三终端通过AP5接入第二接入交换机,第二接入交换机生成本地安全表项后发送),并根据该BGP更新消息,生成远端安全表项。
第一接入交换机接收汇聚交换机发送的第五BGP更新消息(也可为第一、第二、第三、第四、第六BGP更新消息,在此为了区分,以第五BGP更新消息为例进行说明),该第五BGP更新消息包括第三终端(该第三终端为组网中接入第二接入交换机的任一终端,也可为第一、第二终端,在此为了区分,以第三终端为例进行说明)的第三源地址、第三终端所处的第三VLAN标识以及安全表项的来源类型。
根据第三源地址、第三VLAN标识以及安全表项的来源类型,第一接入交换机生成第四安全表项(也可为第一、第二、第三安全表项,在此为了区分,以第四安全表项为例进行说明),并将生成的第四安全表项存储至远端安全表中,该第四安全表项包括第三源地址、第三VLAN标识以及安全表项的来源类型。
可以理解的是,第一接入交换机在接收到第五BGP更新消息后,可先根据第五BGP更新消息包括的内容查找本地安全表以及远端安全表。在本示例中,本地安全表以及远端安全表均为空,此时,第一接入交换机可根据第五BGP更新消息包括的内容生成第四安全表项,并存储至远端安全表中。针对本地安全表以及远端安全表为非空的描述,在后续实施例中进行说明。
在本申请实施例中,第一接入交换机、第二接入交换机均可互换角色并执行相应的步骤。例如,第一接入交换机为本地接入交换机,则第二接入交换机为远端接入交换机,反之亦然。比如,图3-C中的第二接入交换机也可为第一接入交换机,第一接入交换机也可为第二接入交换机。
在图3-C中的第三终端均为泛指的终端,并不限定于第三终端,也可为第一终端、第二终端。步骤230、若存在,则确定所述第一终端为合法终端,并根据所述第一报文的报文类型,对所述第一报文执行相应处理。
具体地,根据步骤220的描述,若本地安全表中存在第一安全表项,或者,远端安全表中存在第一安全表项,则第一接入交换机确定第一终端为合法终端,并根据第一报文的报文类型,对第一报文执行相应的处理。
进一步地,若第一报文为第一数据报文,则第一接入交换机根据第一数据报文包括的目的地址,转发第一数据报文。
更进一步地,在一种场景下,若第一报文为第一协议报文且通过本地安全表确定第一终端为合法终端,则第一接入交换机根据第一源地址以及第一VLAN标识,获取对应的第一类型地址表项。该第一类型地址表项包括与第一源地址以及第一VLAN标识匹配的第一端口标识。
根据接收第一报文的第二端口标识,第一接入交换机更新第一类型地址表项包括的第一端口标识。第一接入交换机生成第一终端的终端主机路由,并向汇聚交换机发送第一BGP更新消息(也可为第二、第三、第四、第五、第六BGP更新消息,在此为了区分,以第一BGP更新消息为例进行说明)。该第一BGP更新消息包括第一终端的终端主机路由,以使得汇聚交换机向第二接入交换机转发第一BGP更新消息。
第二接入交换机接收到第一BGP更新消息后,从中获取第一终端的终端主机路由。若第二接入交换机中已存储(本地主机路由中或远端主机路由中)第一终端的终端主机路由,则第二接入交换机更新第一终端的终端主机路由;若第二接入交换机中未存储第一终端的终端主机路由,则第二接入交换机存储第一终端的终端主机路由。
可以理解的是,第二接入交换机接收的第一终端的终端主机路由为远端主机路由。
需要说明的是,在本申请实施例中,第一协议报文可具体包括ARP报文或者ND报文。第一类型地址表项为ARP表项或ND表项。在前述过程中,若第一报文为ARP报文且通过本地安全表确定第一终端为合法终端后,第一接入交换机学习ARP报文并对ARP表项进行更新。
下面以ARP报文为例进行说明。第一接入交换机通过第二端口接收到ARP报文且通过本地安全表确定第一终端为合法终端后,第一接入交换机对ARP报文进行学习,并确定第一终端在第一接入交换机的不同端口漫游(例如,第一终端从第一端口漫游至第二端口)。第一接入交换机对ARP进行学习并确定终端为漫游终端的过程,与现有技术相同,在此不再复述。
如图3-A所示,漫游前,第一终端接入AP2,通过AP2接入第一接入交换机的第一端口。第一终端漫游至AP1,并通过AP1接入第一接入交换机的第二端口。若第一报文为ARP报文且通过本地安全表确定第一终端为合法终端,则第一接入交换机根据第一源地址以及第一VLAN标识,获取对应的ARP表项。该ARP表项包括与第一源地址以及第一VLAN标识匹配的第一端口标识。
根据第二端口标识,第一接入交换机更新ARP表项包括的第一端口标识。第一接入交换机生成第一终端的终端主机路由,并向汇聚交换机发送第一BGP更新消息(也可为第二、第三、第四、第五、第六BGP更新消息,在此为了区分,以第一BGP更新消息为例进行说明)。该第一BGP更新消息包括第一终端的终端主机路由,以使得汇聚交换机向第二接入交换机转发第一BGP更新消息。
第二接入交换机接收到第一BGP更新消息后,从中获取第一终端的终端主机路由。若第二接入交换机中在先已存储(本地主机路由中或远端主机路由中)第一终端的终端主机路由,则第二接入交换机更新第一终端的终端主机路由;若第二接入交换机中在先未存储第一终端的终端主机路由,则第二接入交换机存储第一终端的终端主机路由。在另一种场景下,若第一报文为第一协议报文且通过远端安全表确定第一终端为合法终端,则第一接入交换机生成第一类型地址表项。该第一类型地址表项包括地址信息(例如,IP地址、MAC地址)以及第一VLAN标识。其中,地址信息包括第一源地址。
根据第一类型地址表项,第一接入交换机获取第二类型地址表项。根据第二类型地址表项,第一接入交换机生成第二安全表项。第一接入交换机将第二安全表项存储至本地安全表中,该第二安全表项包括第一源地址、第一VLAN标识以及安全表项的来源类型。
第一接入交换机向汇聚交换机发送第二BGP更新消息(也可为第一、第三、第四、第五、第六BGP更新消息,在此为了区分,以第二BGP更新消息为例进行说明),该第二BGP更新消息包括第一源地址、第一VLAN标识以及安全表项的来源类型,以使得汇聚交换机向第二接入交换机转发第二BGP更新消息。
第二接入交换机接收到第二BGP更新消息后,从中获取第一源地址、第一VLAN标识以及安全表项的来源类型。根据第一源地址、第一VLAN标识以及安全表项的来源类型,第二接入交换机查找本地安全表中是否已存在与第一源地址、第一VLAN标识以及安全表项的来源类型均匹配的第四安全表项(也可为第一、第二、第三安全表项,在此为了区分,以第四安全表项为例进行说明)。
若本地安全表中存在第四安全表项,则第二接入交换机向第一源地址对应的第一终端发起探测请求。
当在预设时间内未接收到第一终端发送的探测响应,则第二接入交换机确定第一终端为漫游终端,且已经漫游并接入第一接入交换机。根据第一源地址、第一VLAN标识以及安全表项的来源类型,第二接入交换机删除对应的第一类型地址表项、第二类型地址表项以及第四安全表项。
第二接入交换机向汇聚交换机发送第六BGP更新消息(也可为第一、第二、第三、第四、第五BGP更新消息,在此为了区分,以第六BGP更新消息为例进行说明),该第六BGP更新消息包括第一源地址、第一VLAN标识以及安全表项的来源类型。
汇聚交换机接收到第六BGP更新消息后,向第一接入交换机转发第六BGP更新消息。第一接入交换机接收到第六BGP更新消息后,从中获取第一源地址、第一VLAN标识以及安全表项的来源类型。第一交换机删除远端安全表中与第一源地址、第一VLAN标识以及安全表项的来源类型对应的远端安全表项。
第二接入交换机在查找本地安全表的过程中,若本地安全表中不存在第四安全表项,则第二接入交换机根据第一源地址、第一VLAN标识以及安全表项的来源类型,查找远端安全表中是否已存在与第一源地址、第一VLAN标识以及安全表项的来源类型均匹配的第四安全表项。
若远端安全表中不存在第四安全表项,则第二接入交换机根据第一源地址、第一VLAN标识以及安全表项的来源类型,生成所述第四安全表项(也可为第一、第二、第三安全表项,在此为了区分,以第四安全表项为例进行说明)。
若远端安全表中存在第四安全表项,则第二接入交换机根据第一源地址、第一VLAN标识以及安全表项的来源类型,更新第四安全表项。
需要说明的是,在本申请实施例中,第一协议报文可具体包括ARP报文或者ND报文。第一类型地址表项为ARP表项或ND表项。第二类型表项为DHCPv4/v6 relay表项或NDsnooping表项。
在前述过程中,若第一报文为ARP报文且通过远端安全表确定第一终端为合法终端后,第一接入交换机学习ARP报文并触发更新本地安全表,同时,第一接入交换机向汇聚交换机同步更新后的本地安全表项的内容,以使得汇聚交换机向第二接入交换机转发该更新后的本地安全表项的内容。第二接入交换机根据该更新后的本地安全表项的内容,触发删除本地安全表、撤销在先同步的安全表项的内容以及更新远端安全表的过程。
下面以ARP报文为例进行说明。在图3-B中,AP3与第二接入交换机连接,AP4与第一接入交换机连接。漫游前,第二终端接入AP4,通过AP4接入第一接入交换机。第二终端漫游至AP3,并通过AP3接入第二接入交换机。若第一报文为ARP报文且通过远端安全表确定第一终端为合法终端,则第二接入交换机对ARP报文进行学习,并确定第一终端为漫游终端。第二接入交换机生成ARP表项。该ARP表项包括地址信息(例如,IP地址、MAC地址)以及第一VLAN标识。其中,地址信息包括第一源地址。
根据ARP表项,第二接入交换机获取对应的DHCPv4/v6 relay表项。根据DHCPv4/v6relay表项,第二接入交换机生成第二安全表项(也可为第一、第三、第四安全表项,在此为了区分,以第二安全表项为例进行说明)。第二接入交换机将第二安全表项存储至本地安全表中,该第二安全表项包括第一源地址、第一VLAN标识以及安全表项的来源类型。
第二接入交换机向第一汇聚交换机发送第二BGP更新消息(也可为第一、第三、第四、第五、第六BGP更新消息,在此为了区分,以第二BGP更新消息为例进行说明),该第二BGP更新消息包括第一源地址、第一VLAN标识以及安全表项的来源类型,以使得第一汇聚交换机向第二接入交换机转发第二BGP更新消息。
第一接入交换机接收到第二BGP更新消息后,从中获取第一源地址、第一VLAN标识以及安全表项的来源类型。根据第一源地址、第一VLAN标识以及安全表项的来源类型,第一接入交换机查找本地安全表中是否已存在与第一源地址、第一VLAN标识以及安全表项的来源类型均匹配的第四安全表项(也可为第一、第二、第三安全表项,在此为了区分,以第四安全表项为例进行说明)。
若本地安全表中存在第四安全表项,则第一接入交换机向第一源地址对应的第二终端发起探测请求。
当在预设时间内未接收到第二终端发送的探测响应,则第一接入交换机确定第二终端为漫游终端,且已经漫游并接入第二接入交换机。根据第一源地址、第一VLAN标识以及安全表项的来源类型,第一接入交换机删除对应的ARP表项、DHCPv4/v6 relay表项以及第四安全表项。
第一接入交换机向第一汇聚交换机发送第六BGP更新消息(也可为第一、第二、第三、第四、第五BGP更新消息,在此为了区分,以第六BGP更新消息为例进行说明),该第六BGP更新消息包括第一源地址、第一VLAN标识以及安全表项的来源类型。
汇聚交换机接收到第六BGP更新消息后,向第二接入交换机转发第六BGP更新消息。第二接入交换机接收到第六BGP更新消息后,从中获取第一源地址、第一VLAN标识以及安全表项的来源类型。第二接入交换机删除远端安全表中与第一源地址、第一VLAN标识以及安全表项的来源类型对应的远端安全表项。
需要说明的是,在一种实现方式中,第六BGP更新消息可具体为用于撤销远端安全表项的BGP消息。该第六BGP更新消息可具体在第一接入交换机确定第二终端为漫游终端,且本地存储的第二终端的ARP表项老化后触发DHCP relay表项的老化进而删除本地存储的第二终端的安全表项后发送。针对安全表项删除的过程,在后续进行详细说明。
第一接入交换机在查找本地安全表的过程中,若本地安全表中不存在第四安全表项,则第一接入交换机根据第一源地址、第一VLAN标识以及安全表项的来源类型,查找远端安全表中是否已存在与第一源地址、第一VLAN标识以及安全表项的来源类型均匹配的第四安全表项。
若远端安全表中不存在第四安全表项,则第一接入交换机根据第一源地址、第一VLAN标识以及安全表项的来源类型,生成所述第四安全表项(也可为第一、第二、第三安全表项,在此为了区分,以第四安全表项为例进行说明)。
若远端安全表中存在第四安全表项,则第二接入交换机根据第一源地址、第一VLAN标识以及安全表项的来源类型,更新第四安全表项。
在本申请实施例中,第一接入交换机、第二接入交换机均可互换角色并执行相应的步骤。例如,第一接入交换机为本地接入交换机,则第二接入交换机为远端接入交换机,反之亦然。比如,图3-B中的第二接入交换机也可为第一接入交换机,第一接入交换机也可为第二接入交换机。
在图3-A、图3-B中的第一终端、第二终端均为泛指的终端,并不限定于第一终端、第二终端,也可为第三终端、第四终端。因此,通过应用本申请提供的报文处理方法,第一接入交换机接收第一终端发送的第一报文,该第一报文包括第一源地址以及第一终端所处的第一VLAN标识。根据已存储的安全表,第一接入交换机查找是否已存在与第一源地址以及第一VLAN标识均匹配的第一安全表项。若存在,则第一接入交换机确定第一终端为合法终端,并根据第一报文的报文类型,对第一报文执行相应处理。
如此,解决现有组网中接入交换机无法判别漫游终端的合法性的问题。实现了对终端在接入交换机不同端口漫游或跨接入交换机漫游的安全保障。
可选地,在本申请实施例中,还包括第一接入交换机老化安全表项的过程。
具体地,如图3-D所示,图3-D为本申请实施例提供的接入交换机老化安全表项的组网示意图。在图3-D中,AP7与第二接入交换机连接,AP8与第一接入交换机连接。第四终端通过AP8接入第一接入交换机,第一接入交换机、第二接入交换机分别接入三台汇聚交换机。
当已存储的第一类型地址信息表项(例如,第四终端的ARP表项或者ND表项)的老化时间到达时,第一接入交换机删除第一类型地址信息表项。根据第一类型地址信息表项包括的终端地址信息(例如,第四终端的IP地址、MAC地址),第一接入交换机触发第二类型地址信息(例如,第四终端的DHCPv4/v6relay表项或者ND snooping表项)、本地安全表项老化(例如,第四终端的本地安全表项),并删除老化的表项。
根据终端地址信息,第一接入交换机从第二类型地址信息表、本地安全表中删除与第一类型地址表项对应的第二类型地址信息表项以及本地安全表项。
第一接入交换机向汇聚交换机发送第四BGP更新消息(也可为第一、第二、第三、第五、第六BGP更新消息,在此为了区分,以第四BGP更新消息为例进行说明),该第四BGP更新消息包括第一源地址、第一VLAN标识以及安全表项的来源类型。
汇聚交换机接收到第四BGP更新消息后,向第二接入交换机转发第四BGP更新消息。第二接入交换机接收到第四BGP更新消息后,从中获取第一源地址、第一VLAN标识以及安全表项的来源类型。
可以理解的是,第二接入交换机根据第一源地址、第一VLAN标识以及安全表项的来源类型,分别查找本地安全表以及远端安全表。若在本地安全表中查找到对应的本地安全表项,则第二接入交换机可根据前述实施例中的描述执行探测过程,并在未接收到探测响应时,删除本地安全表项。若在远端安全表中查找到与第一源地址、第一VLAN标识以及安全表项的来源类型对应的远端安全表项,则第二接入交换机删除该远端安全表项。
需要说明的是,若在第一接入交换机中配置ARP联动DHCP功能,则终端下线后,ARP表项的老化触发DHCP relay表项的老化。若在第一接入交换机中未配置ARP联动DHCP功能,则终端下线后,DHCP relay表项的老化直接触发安全表项的老化。
在本申请实施例中,第一接入交换机、第二接入交换机均可互换角色并执行相应的步骤。例如,第一接入交换机为本地接入交换机,则第二接入交换机为远端接入交换机,反之亦然。比如,图3-D中的第二接入交换机也可为第一接入交换机,第一接入交换机也可为第二接入交换机。
在图3-D中的第四终端均为泛指的终端,并不限定于第四终端,也可为第一终端、第二终端、第三终端。
需要说明的是,在本申请实施例中,BGP更新消息具体为BGP Update消息。接入交换机在向汇聚交换机同步安全表项的内容时,若生成新的终端主机路由,或,若撤销在先同步的终端主机路由时,也将生成或撤销的终端主机路由一同携带在BGP更新消息中,该同步生成或撤销终端主机路由的过程与现有技术相同,在此不再复述。
接入交换机可通过新增的私有地址族实现同步安全表项的内容。该新增的私有地址族可通过BGP协议中定义的NLRI属性实现。
基于同一发明构思,本申请实施例还提供了与报文处理方法对应的报文处理装置。参见图4,图4为本申请实施例提供的报文处理装置结构图,所述装置应用于第一接入交换机,所述第一接入交换机接入汇聚交换机,所述装置包括:
接收单元410,用于接收第一终端发送的第一报文,所述第一报文包括第一源地址以及所述第一终端所处的第一VLAN标识;
查找单元420,用于根据已存储的安全表,查找是否已存在与所述第一源地址以及所述第一VLAN标识均匹配的第一安全表项;
第一处理单元430,用于若存在,则确定所述第一终端为合法终端,并根据所述第一报文的报文类型,对所述第一报文执行相应处理。
可选地,所述第一处理单元430还用于,若不存在,则确定所述第一终端为非法终端,并丢弃所述第一报文。
可选地,所述安全表包括本地安全表;所述查找单元420具体用于,根据所述本地安全表,查找是否已存在与所述第一源地址以及所述第一VLAN标识均匹配的第一安全表项;
所述第一处理单元430具体用于,若所述第一报文为第一协议报文,则根据所述第一源地址以及所述第一VLAN标识,获取对应的第一类型地址表项,所述第一类型地址表项包括与所述第一源地址以及所述第一VLAN标识匹配的第一端口标识;
根据接收所述第一报文的第二端口标识,更新所述第一类型地址表项包括的第一端口标识;
所述装置还包括:发送单元(图中未示出),用于向所述汇聚交换机发送第一BGP更新消息,所述第一BGP更新消息包括所述第一终端的终端主机路由,以使得所述汇聚交换机向第二接入交换机转发所述第一BGP更新消息。
可选地,所述安全表包括远端安全表;所述查找单元420具体用于,根据所述远端安全表,查找是否已存在与所述第一源地址以及所述第一VLAN标识均匹配的第一安全表项;
所述第一处理单元430具体用于,若所述第一报文为第一协议报文,则生成第一类型地址表项,所述第一类型地址表项包括地址信息以及所述第一VLAN标识,所述地址信息包括所述第一源地址;
根据所述第一类型地址表项,获取第二类型地址表项;
根据所述第二类型地址表项,生成第二安全表项,并将所述第二安全表项存储至本地安全表中,所述第二安全表项包括所述第一源地址、所述第一VLAN标识以及安全表项的来源类型;
所述发送单元(图中未示出)还用于,向所述汇聚交换机发送第二BGP更新消息,所述第二BGP更新消息包括所述第一源地址、所述第一VLAN标识以及所述安全表项的来源类型,以使得所述汇聚交换机向第二接入交换机转发所述第二BGP更新消息。
可选地,所述第一处理单元430具体用于,若所述第一报文为第一数据报文,则根据所述第一数据报文包括的目的地址,转发所述第一数据报文。
可选地,所述装置还包括:获取单元(图中未示出),用于获取第二类型地址信息表项,所述第二类型地址信息表项包括第二终端的源地址以及所述第二终端所处的第二VLAN标识,所述第二类型地址信息表项根据所述第一接入交换机获取的第二报文生成;
存储单元(图中未示出),用于根据所述第二源地址以及所述第二VLAN标识,生成第三安全表项,并将所述第三安全表项存储至本地安全表中,所述第三安全表项包括所述第二源地址、所述第二VLAN标识以及安全表项的来源类型;
所述发送单元(图中未示出)还用于,向所述汇聚交换机发送第三BGP更新消息,所述第三BGP更新消息包括所述第二源地址、所述第二VLAN标识以及所述安全表项的来源类型,以使得所述汇聚交换机向第二接入交换机转发所述第三BGP更新消息,从而所述第二交换机根据所述第二源地址、所述第二VLAN标识以及所述安全表项的来源类型生成远端安全表。
可选地,所述装置还包括:删除单元,(图中未示出),用于当已存储的第一类型地址信息表项的老化时间到达时,删除所述第一类型地址信息表项;
根据所述第一类型地址信息表项包括的终端地址信息从第二类型地址信息表、本地安全表中删除与所述第一类型地址表项对应的第二类型地址信息表项以及本地安全表项;
所述发送单元(图中未示出)还用于,向所述汇聚交换机发送第四BGP更新消息,所述第四BGP更新消息包括所述第一源地址、所述第一VLAN标识以及安全表项的来源类型,以使得所述汇聚交换机向所述第二接入交换机转发所述第四BGP更新消息,从而所述第二接入交换机删除与所述第一源地址、所述第一VLAN标识以及安全表项的来源类型对应的远端安全表项。
可选地,所述接收单元410还用于,接收所述汇聚交换机发送的第五BGP更新消息,所述第五BGP更新消息包括第三终端的第三源地址、所述第三终端所处的第三VLAN标识以及安全表项的来源类型;
所述装置还包括:第二处理单元(图中未示出),用于根据所述第三源地址、所述第三VLAN标识以及所述安全表项的来源类型,生成、或更新、或删除第四安全表项;
所述存储单元(图中未示出)还用于,将生成或更新后的所述第四安全表项存储至远端安全表中,所述第四安全表项包括所述第三源地址、所述第三VLAN标识以及所述安全表项的来源类型。
可选地,所述查找单元420还用于,根据所述第三源地址、所述第三VLAN标识以及安全表项的来源类型,查找本地安全表中是否已存在与所述第三源地址、所述第三VLAN标识以及安全表项的来源类型均匹配的第四安全表项;
所述发送单元(图中未示出)还用于,若存在,则向所述第三源地址对应的所述第三终端发起探测请求;
所述删除单元(图中未示出)还用于,当在预设时间内未接收到所述第三终端发送的探测响应,则根据所述第三源地址、所述第三VLAN标识以及安全表项的来源类型,删除对应的第一类型地址表项、第二类型地址表项以及所述第四安全表项;
所述发送单元(图中未示出)还用于,向所述汇聚交换机发送第六BGP更新消息,所述第六BGP更新消息包括所述第三源地址、所述第三VLAN标识以及安全表项的来源类型,以使得所述汇聚交换机向第二接入交换机转发所述第六BGP更新消息,从而所述第二接入交换机删除与所述第三源地址、所述第三VLAN标识以及安全表项的来源类型对应的远端安全表项。
可选地,所述查找单元420还用于,若不存在,则根据所述第三源地址以及所述第三VLAN标识,查找远端安全表中是否已存在与所述第三源地址以及所述第三VLAN标识均匹配的第五安全表项;
所述第二处理单元(图中未示出)还用于,若不存在,则根据所述第三源地址、所述第三VLAN标识以及所述安全表项的来源类型,生成所述第四安全表项;
所述第二处理单元(图中未示出)还用于,若存在,则根据所述第三源地址、所述第三VLAN标识以及所述安全表项的来源类型,更新或删除所述第四安全表项。
因此,通过应用本申请提供的报文处理装置,该装置接收第一终端发送的第一报文,该第一报文包括第一源地址以及第一终端所处的第一VLAN标识。根据已存储的安全表,该装置查找是否已存在与第一源地址以及第一VLAN标识均匹配的第一安全表项。若存在,则该装置确定第一终端为合法终端,并根据第一报文的报文类型,对第一报文执行相应处理。
如此,解决现有组网中接入交换机无法判别漫游终端的合法性的问题。实现了对终端在接入交换机不同端口漫游或跨接入交换机漫游的安全保障。
基于同一发明构思,本申请实施例还提供了一种网络设备,如图5所示,包括处理器510、收发器520和机器可读存储介质530,机器可读存储介质530存储有能够被处理器510执行的机器可执行指令,处理器510被机器可执行指令促使执行本申请实施例所提供的报文处理方法。前述图4所示的报文处理装置,可采用如图5所示的网络设备硬件结构实现。
上述计算机可读存储介质530可以包括随机存取存储器(英文:Random AccessMemory,简称:RAM),也可以包括非易失性存储器(英文:Non-volatile Memory,简称:NVM),例如至少一个磁盘存储器。可选的,计算机可读存储介质530还可以是至少一个位于远离前述处理器510的存储装置。
上述处理器510可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例中,处理器510通过读取机器可读存储介质530中存储的机器可执行指令,被机器可执行指令促使能够实现处理器510自身以及调用收发器520执行前述本申请实施例描述的报文处理方法。
另外,本申请实施例提供了一种机器可读存储介质530,机器可读存储介质530存储有机器可执行指令,在被处理器510调用和执行时,机器可执行指令促使处理器510自身以及调用收发器520执行前述本申请实施例描述的报文处理方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
对于报文处理装置以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (11)
1.一种报文处理方法,其特征在于,所述方法应用于第一接入交换机,所述第一接入交换机接入汇聚交换机,所述方法包括:
接收第一终端发送的第一报文,所述第一报文包括第一源地址以及所述第一终端所处的第一VLAN标识;
根据已存储的安全表,查找是否已存在与所述第一源地址以及所述第一VLAN标识均匹配的第一安全表项;
若存在,则确定所述第一终端为合法终端,并根据所述第一报文的报文类型,对所述第一报文执行相应处理。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若不存在,则确定所述第一终端为非法终端,并丢弃所述第一报文。
3.根据权利要求1所述的方法,其特征在于,所述安全表包括本地安全表;
所述根据已存储的安全表,查找是否已存在与所述第一源地址以及所述第一VLAN标识均匹配的第一安全表项,具体包括:
根据所述本地安全表,查找是否已存在与所述第一源地址以及所述第一VLAN标识均匹配的第一安全表项;
所述根据所述第一报文的报文类型,对所述第一报文执行相应处理,具体包括:
若所述第一报文为第一协议报文,则根据所述第一源地址以及所述第一VLAN标识,获取对应的第一类型地址表项,所述第一类型地址表项包括与所述第一源地址以及所述第一VLAN标识匹配的第一端口标识;
根据接收所述第一报文的第二端口标识,更新所述第一类型地址表项包括的第一端口标识;
向所述汇聚交换机发送第一BGP更新消息,所述第一BGP更新消息包括所述第一终端的终端主机路由,以使得所述汇聚交换机向第二接入交换机转发所述第一BGP更新消息。
4.根据权利要求1所述的方法,其特征在于,所述安全表包括远端安全表;
所述根据已存储的安全表,查找是否已存在与所述第一源地址以及所述第一VLAN标识均匹配的第一安全表项,具体包括:
根据所述远端安全表,查找是否已存在与所述第一源地址以及所述第一VLAN标识均匹配的第一安全表项;
所述根据所述第一报文的报文类型,对所述第一报文执行相应处理,具体包括:
若所述第一报文为第一协议报文,则生成第一类型地址表项,所述第一类型地址表项包括地址信息以及所述第一VLAN标识,所述地址信息包括所述第一源地址;
根据所述第一类型地址表项,获取第二类型地址表项;
根据所述第二类型地址表项,生成第二安全表项,并将所述第二安全表项存储至本地安全表中,所述第二安全表项包括所述第一源地址、所述第一VLAN标识以及安全表项的来源类型;
向所述汇聚交换机发送第二BGP更新消息,所述第二BGP更新消息包括所述第一源地址、所述第一VLAN标识以及所述安全表项的来源类型,以使得所述汇聚交换机向第二接入交换机转发所述第二BGP更新消息。
5.根据权利要求3或4任一项所述的方法,其特征在于,所述根据所述第一报文的报文类型,对所述第一报文执行相应处理,具体包括:
若所述第一报文为第一数据报文,则根据所述第一数据报文包括的目的地址,转发所述第一数据报文。
6.根据权利要求1所述的方法,其特征在于,所述接收终端发送的第一报文之前,所述方法还包括:
获取第二类型地址信息表项,所述第二类型地址信息表项包括第二终端的源地址以及所述第二终端所处的第二VLAN标识,所述第二类型地址信息表项根据所述第一接入交换机获取的第二报文生成;
根据所述第二源地址以及所述第二VLAN标识,生成第三安全表项,并将所述第三安全表项存储至本地安全表中,所述第三安全表项包括所述第二源地址、所述第二VLAN标识以及安全表项的来源类型;
向所述汇聚交换机发送第三BGP更新消息,所述第三BGP更新消息包括所述第二源地址、所述第二VLAN标识以及所述安全表项的来源类型,以使得所述汇聚交换机向第二接入交换机转发所述第三BGP更新消息,从而所述第二交换机根据所述第二源地址、所述第二VLAN标识以及所述安全表项的来源类型生成远端安全表。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当已存储的第一类型地址信息表项的老化时间到达时,删除所述第一类型地址信息表项;
根据所述第一类型地址信息表项包括的终端地址信息从第二类型地址信息表、本地安全表中删除与所述第一类型地址表项对应的第二类型地址信息表项以及本地安全表项;
向所述汇聚交换机发送第四BGP更新消息,所述第四BGP更新消息包括所述第一源地址、所述第一VLAN标识以及安全表项的来源类型,以使得所述汇聚交换机向所述第二接入交换机转发所述第四BGP更新消息,从而所述第二接入交换机删除与所述第一源地址、所述第一VLAN标识以及安全表项的来源类型对应的远端安全表项。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述汇聚交换机发送的第五BGP更新消息,所述第五BGP更新消息包括第三终端的第三源地址、所述第三终端所处的第三VLAN标识以及安全表项的来源类型;
根据所述第三源地址、所述第三VLAN标识以及所述安全表项的来源类型,生成、或更新、或删除第四安全表项;
将生成或更新后的所述第四安全表项存储至远端安全表中,所述第四安全表项包括所述第三源地址、所述第三VLAN标识以及所述安全表项的来源类型。
9.根据权利要求8所述的方法,其特征在于,所述接收所述汇聚交换机发送的第五BGP更新消息之后,所述方法还包括:
根据所述第三源地址、所述第三VLAN标识以及安全表项的来源类型,查找本地安全表中是否已存在与所述第三源地址、所述第三VLAN标识以及安全表项的来源类型均匹配的第四安全表项;
若存在,则向所述第三源地址对应的所述第三终端发起探测请求;
当在预设时间内未接收到所述第三终端发送的探测响应,则根据所述第三源地址、所述第三VLAN标识以及安全表项的来源类型,删除对应的第一类型地址表项、第二类型地址表项以及所述第四安全表项;
向所述汇聚交换机发送第六BGP更新消息,所述第六BGP更新消息包括所述第三源地址、所述第三VLAN标识以及安全表项的来源类型,以使得所述汇聚交换机向第二接入交换机转发所述第六BGP更新消息,从而所述第二接入交换机删除与所述第三源地址、所述第三VLAN标识以及安全表项的来源类型对应的远端安全表项。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
若不存在,则根据所述第三源地址以及所述第三VLAN标识,查找远端安全表中是否已存在与所述第三源地址以及所述第三VLAN标识均匹配的第五安全表项;
若不存在,则根据所述第三源地址、所述第三VLAN标识以及所述安全表项的来源类型,生成所述第四安全表项;
若存在,则根据所述第三源地址、所述第三VLAN标识以及所述安全表项的来源类型,更新或删除所述第四安全表项。
11.一种报文处理装置,其特征在于,所述装置应用于第一接入交换机,所述第一接入交换机接入汇聚交换机,所述装置包括:
接收单元,用于接收第一终端发送的第一报文,所述第一报文包括第一源地址以及所述第一终端所处的第一VLAN标识;
查找单元,用于根据已存储的安全表,查找是否已存在与所述第一源地址以及所述第一VLAN标识均匹配的第一安全表项;
处理单元,用于若存在,则确定所述第一终端为合法终端,并根据所述第一报文的报文类型,对所述第一报文执行相应处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011537433.2A CN112688940A (zh) | 2020-12-23 | 2020-12-23 | 报文处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011537433.2A CN112688940A (zh) | 2020-12-23 | 2020-12-23 | 报文处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112688940A true CN112688940A (zh) | 2021-04-20 |
Family
ID=75451055
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011537433.2A Pending CN112688940A (zh) | 2020-12-23 | 2020-12-23 | 报文处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112688940A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113595893A (zh) * | 2021-07-20 | 2021-11-02 | 锐捷网络股份有限公司 | 一种路由接收系统、路由接收方法、装置、设备及介质 |
| CN113794657A (zh) * | 2021-09-14 | 2021-12-14 | 迈普通信技术股份有限公司 | Mac地址迁移处理方法、装置及交换设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101834870A (zh) * | 2010-05-13 | 2010-09-15 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗攻击的方法和装置 |
| US20120215933A1 (en) * | 2009-10-26 | 2012-08-23 | Zte Corporation | Method for performing dynamic tunnel message forwarding and switch thereof |
| CN104144095A (zh) * | 2014-08-08 | 2014-11-12 | 福建星网锐捷网络有限公司 | 终端认证方法及交换机 |
| CN107707486A (zh) * | 2017-10-26 | 2018-02-16 | 锐捷网络股份有限公司 | 一种基于openflow通道的报文处理方法和装置 |
| CN110505621A (zh) * | 2019-08-30 | 2019-11-26 | 新华三技术有限公司 | 一种终端迁移的处理方法及装置 |
-
2020
- 2020-12-23 CN CN202011537433.2A patent/CN112688940A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120215933A1 (en) * | 2009-10-26 | 2012-08-23 | Zte Corporation | Method for performing dynamic tunnel message forwarding and switch thereof |
| CN101834870A (zh) * | 2010-05-13 | 2010-09-15 | 中兴通讯股份有限公司 | 一种防止mac地址欺骗攻击的方法和装置 |
| CN104144095A (zh) * | 2014-08-08 | 2014-11-12 | 福建星网锐捷网络有限公司 | 终端认证方法及交换机 |
| CN107707486A (zh) * | 2017-10-26 | 2018-02-16 | 锐捷网络股份有限公司 | 一种基于openflow通道的报文处理方法和装置 |
| CN110505621A (zh) * | 2019-08-30 | 2019-11-26 | 新华三技术有限公司 | 一种终端迁移的处理方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113595893A (zh) * | 2021-07-20 | 2021-11-02 | 锐捷网络股份有限公司 | 一种路由接收系统、路由接收方法、装置、设备及介质 |
| CN113595893B (zh) * | 2021-07-20 | 2024-05-14 | 锐捷网络股份有限公司 | 一种路由接收系统、路由接收方法、装置、设备及介质 |
| CN113794657A (zh) * | 2021-09-14 | 2021-12-14 | 迈普通信技术股份有限公司 | Mac地址迁移处理方法、装置及交换设备 |
| CN113794657B (zh) * | 2021-09-14 | 2023-10-31 | 迈普通信技术股份有限公司 | Mac地址迁移处理方法、装置及交换设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10171414B2 (en) | Method for allocating internet protocol addresses to clients of a network and corresponding apparatus | |
| CN104468866B (zh) | 一种无线局域网中多网关终端快速漫游方法 | |
| EP3026872B1 (en) | Packet forwarding method, apparatus, and system | |
| US20100316019A1 (en) | Method for detecting a duplicate address, mobile station, network element and communication system | |
| JP2011515945A (ja) | ローカル・ネットワーク間でデータ・パケットを通信するための方法および装置 | |
| CN102075420B (zh) | 基于位置标识和主机标识分离的系统及其移动性管理方法 | |
| JP5147995B2 (ja) | ホスト・アイデンティティ・プロトコル・サーバ・アドレス構成 | |
| KR20100019518A (ko) | 노드 식별자와 위치 지시자를 이용한 패킷의 통신방법 | |
| CN107094110B (zh) | 一种dhcp报文转发方法及装置 | |
| CN111953607B (zh) | 路由更新的方法及装置 | |
| US20120271965A1 (en) | Provisioning mobility services to legacy terminals | |
| CN112688940A (zh) | 报文处理方法及装置 | |
| CN112867086B (zh) | 一种报文处理方法及装置 | |
| US9503889B2 (en) | System and method for mobile IP | |
| CN113472913A (zh) | 通信方法及装置 | |
| CN109698869B (zh) | 私网穿越方法、通信节点及存储介质 | |
| KR100737140B1 (ko) | 이동통신에서의 인터넷 프로토콜 가상 사설망 서비스처리장치 및 방법 | |
| CN105635138A (zh) | 一种防止arp攻击的方法和装置 | |
| US20140198781A1 (en) | Method for data transmission and local network entity | |
| CN112996077B (zh) | 报文处理方法及装置 | |
| Nam et al. | An identifier locator separation protocol for the shared prefix model over IEEE WAVE IPv6 networks | |
| CN106452992B (zh) | 一种远端多归属组网的实现方法及装置 | |
| CN117440500B (zh) | 基于终端的面向低时延、高可靠业务的移动网络通信方法 | |
| CN102457510A (zh) | 一种hap切换的方法和系统 | |
| CN116566899A (zh) | 路由处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210420 |
|
| RJ01 | Rejection of invention patent application after publication |