CN112737948A - 一种vlan间的数据传输方法、装置及工控防火墙设备 - Google Patents
一种vlan间的数据传输方法、装置及工控防火墙设备 Download PDFInfo
- Publication number
- CN112737948A CN112737948A CN202011596457.5A CN202011596457A CN112737948A CN 112737948 A CN112737948 A CN 112737948A CN 202011596457 A CN202011596457 A CN 202011596457A CN 112737948 A CN112737948 A CN 112737948A
- Authority
- CN
- China
- Prior art keywords
- data message
- vlan
- data
- preset
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 230000005540 biological transmission Effects 0.000 title claims description 66
- 230000015654 memory Effects 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 3
- 238000012546 transfer Methods 0.000 claims description 3
- 230000006855 networking Effects 0.000 abstract description 8
- 230000008569 process Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种VLAN间的数据传输方法、装置及工控防火墙设备,其中,该方法包括如下步骤:接收数据报文;当所述数据报文需要路由时,根据所述数据报文的目的IP地址确定预设路由表中是否存在所述数据报文的VLAN出接口;若所述预设路由表中存在所述数据报文的VLAN出接口,根据所述数据报文的目的IP地址从预设arp表中确定是否存在所述数据报文的出接口;当所述预设arp表存在所述数据报文的出接口时,通过所述出接口发送所述数据报文。通过实施本发明,实现了VLAN之间的三层路由转发以及VLAN接口与路由口之间的路由,提高了防火墙组网的灵活性,丰富了防火墙的使用场景。
Description
技术领域
本发明涉及数据传输技术领域,具体涉及一种VLAN间的数据传输方法、装置及工控防火墙设备。
背景技术
虚拟局域网(Virtual LAN,VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样。由于VLAN隔离了二层广播域,也间接隔离了各个VLAN之间的其他二层流量交换,这样导致属于不同VLAN之间的用户不能进行通信,故亟待提出一种实现VLAN之间路由的方法。
发明内容
因此,本发明要解决的技术问题在于解决现有技术中不同VLAN之间不能进行通信的问题,从而提供一种VLAN间的数据传输方法、装置及工控防火墙设备。
根据第一方面,本发明公开了一种VLAN间的数据传输方法,包括如下步骤:接收数据报文;当所述数据报文需要路由时,根据所述数据报文的目的IP地址确定预设路由表中是否存在所述数据报文的VLAN出接口;若所述预设路由表中存在所述数据报文的VLAN出接口,根据所述数据报文的目的IP地址从预设arp表中确定是否存在所述数据报文的出接口;当所述预设arp表存在所述数据报文的出接口时,通过所述出接口发送所述数据报文。
可选地,判断所述数据报文是否需要路由的过程,包括:判断发送所述数据报文的接口是否存在VLAN配置数据;当发送所述数据报文的接口存在VLAN配置数据时,判断所述数据报文的目的物理地址与预设物理地址是否一致;若所述数据报文的目的物理地址与预设物理地址一致,则判定所述数据报文需要路由;若所述数据报文的目的物理地址与预设物理地址不一致,则判定所述数据报文不需要路由。
可选地,当所述预设arp表不存在所述数据报文的出接口时,所述方法还包括:向所述VLAN出接口对应的VLAN中的设备广播arp请求;若接收到响应于所述arp请求的反馈报文,向所述arp请求的反馈报文对应的接口发送所述数据报文。
可选地,所述方法还包括:当所述数据报文不需要路由时,基于交换机模式传输所述数据报文。
可选地,所述方法还包括:当发送所述数据报文的接口不存在所述VLAN配置数据时,基于交换机模式传输所述数据报文。
可选地,在所述接收报文之前,所述方法还包括:接收配置操作请求;根据所述配置操作请求对目标设备做VLAN配置处理;根据配置处理后的VLAN配置信息构建所述预设路由表。
可选地,在所述当所述数据报文需要路由时,根据所述数据报文的目的IP地址确定预设路由表中是否存在所述数据报文的VLAN出接口之前,所述方法还包括:获取所述数据报文的传输属性信息;判断是否存在与所述数据报文的传输属性信息对应的流表,所述流表中存储的信息至少包括:历史数据报文的传输属性信息、预设安全策略以及时间;当存在与所述数据报文的传输属性信息对应的流表时,根据所述流表发送所述数据报文。
可选地,所述方法还包括:当不存在所述数据报文的传输属性信息对应的流表时,执行所述根据所述数据报文的目的IP地址确定预设路由表中是否存在所述数据报文的VLAN出接口的步骤,并根据所述传输属性信息以及路由信息建立与所述数据报文的传输属性信息对应的流表。
根据第二方面,本发明还公开了一种VLAN间的数据传输装置,包括:接收模块,用于接收数据报文;第一判断模块,用于当所述数据报文需要路由时,根据所述数据报文的目的IP地址确定预设路由表中是否存在所述数据报文的VLAN出接口;确定模块,用于若所述预设路由表中存在所述数据报文的VLAN出接口,根据所述数据报文的目的IP地址从预设arp表中确定是否存在所述数据报文的出接口;第一发送模块,用于当所述预设arp表存在所述数据报文的出接口时,通过所述出接口发送所述数据报文。
根据第三方面,本发明还公开了一种工控防火墙设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行如第一方面或第一方面任一可选实施方式所述的VLAN间的数据传输方法的步骤。
根据第四方面,本发明还公开了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面或第一方面任一可选实施方式所述的VLAN间的数据传输方法的步骤。
本发明技术方案,具有如下优点:
本发明提供的VLAN间的数据传输方法及装置,通过接收数据报文,当数据报文需要路由时,根据数据报文的目的IP地址确定预设路由表中是否存在数据报文的VLAN出接口,若预设路由表中存在数据报文的VLAN出接口,根据数据报文的目的IP地址从预设arp表中确定是否存在数据报文的出接口,当预设arp表存在数据报文的出接口时,通过出接口发送数据报文。本发明通过从预设路由表中找到数据报文的VLAN出接口,从预设arp表中找到数据报文的出接口,进而通过出接口发送数据报文,实现了VLAN之间的三层路由转发以及VLAN接口与路由口之间的路由,提高了防火墙组网的灵活性,丰富了防火墙的使用场景。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中VLAN间的数据传输方法的一个具体示例的流程图;
图2为本发明实施例中VLAN间的数据传输装置的一个具体示例的原理框图;
图3为本发明实施例中工控防火墙设备的一个具体示例图。
具体实施方式
下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,还可以是两个元件内部的连通,可以是无线连接,也可以是有线连接。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
本发明实施例公开了一种VLAN间的数据传输方法,应用于工控防火墙设备,该工控防火墙设备连接多个设备,如图1所示,包括如下步骤:
S11:接收数据报文。
示例性地,该数据报文可以是与工控防火墙设备连接的设备基于IP地址发送的报文(即跨网段的数据传输),也可以是与工控防火墙设备连接的设备基于MAC地址发送的报文(即同网段的数据传输)。数据报文可以跨VLAN的设备之间进行数据传输,也可以在同VLAN内的设备之间进行数据传输,还可以是VLAN内的设备与实际局域网内的设备进行数据传输。数据报文可以通过有线网络或者无线网络的方式接收。本发明实施例对该数据报文、数据报文的传输对象以及数据报文的接收方法均不作具体限定,可以根据具体的数据报文以及工控防火墙与各个设备的实际连接情况确定。
S12:当数据报文需要路由时,根据数据报文的目的IP地址确定预设路由表中是否存在数据报文的VLAN出接口。
示例性地,根据数据报文的目的IP地址从预设路由表中的查找路由信息,查找到的下一跳出接口可以为VLAN出接口,也可以为普通物理出接口,本发明实施例通过预设路由表确定数据报文的下一跳出接口是否为VLAN出接口。
判断接收到的数据报文是否需要路由可以通过判断数据报文的目的物理地址(即MAC地址)是否为工控防火墙的MAC地址来确定,具体地,该判断过程主要包括:
判断发送数据报文的接口是否存在VLAN配置数据。
示例性地,该VLAN配置数据可以包括:VLAN接口号、VLAN的MAC地址等。本发明实施例对该VLAN配置数据不作具体限定,本领域技术人员可以根据具体数据报文确定。
当发送数据报文的接口不存在VLAN配置数据时,基于交换机模式传输数据报文。在本发明实施例中,交换机模式指的是同网段的数据报文的传输。
当发送数据报文的接口存在VLAN配置数据时,判断数据报文的目的物理地址与预设物理地址是否一致。该预设物理地址指的是工控防火墙的MAC地址。若数据报文的目的物理地址与预设物理地址一致,则判定数据报文需要路由;若数据报文的目的物理地址与预设物理地址不一致,则判定数据报文不需要路由,基于交换机模式传输数据报文。
可选地,在本发明的一些实施例中,该预设路由表可以是提前设置好存储在服务器中的,该预设路由表的具体构建方法如下:
首先,接收配置操作请求。
示例性地,该配置操作请求可以包括:VLAN组网方法、VLAN接口号、VLAN ID、VLANNAME、VLAN的IP地址/掩码等。配置操作请求可以是用户根据实际组网需求发送的,其可以通过有线网络或者无线网络的方法接收。本发明实施例对该配置操作请求以及配置操作请求的接收方法均不作具体限定,可以根据实际VLAN组网需求以及工控防火墙与用户终端的实际连接情况确定。
在本发明实施例中,VLAN NAME可以设置为:VLAN1-VLAN64中的任意一个;VLAN ID可以设置为1-4049之间的任意一个数;VLAN的IP地址/掩码可以设置成IPV4地址和掩码;VLAN接口号可以设置为工控防火墙的物理接口号最大值+VLAN NAME的数字后缀。
其次,根据配置操作请求对目标设备做VLAN配置处理。
示例性地,该目标设备可以为终端主机,也可以为工控设备。本发明实施例对该目标设备不作具体限定,本领域技术人员可以根据与工控防火墙连接的各个设备的类型确定。
根据配置操作请求对目标设备做VLAN配置处理的过程具体可以为:根据配置操作请求中的VLAN组网方法将与工控防火墙连接的目标设备组成一个VLAN,并给该VLAN配置VLAN NAME、VLAN ID以及IP地址/掩码等。
再次,根据配置处理后的VLAN配置信息构建预设路由表。
示例性地,根据配置处理后的VLAN配置信息构建预设路由表的过程具体可以为:将IP地址/掩码转化为预设路由表的目的IP地址/掩码,将下一跳地址设置为该VLAN的IP地址,预设路由表的出接口设置为VLAN接口对应的接口号。
S13:若预设路由表中存在数据报文的VLAN出接口,根据数据报文的目的IP地址从预设arp表中确定是否存在数据报文的出接口。
示例性地,预设arp表为各个设备以及VLAN的MAC地址与IP地址对应关系的表。该预设arp表的构建方法可以为:提前获取到每一个与工控防火墙连接的设备的MAC地址和IP地址以及每一个设备所属的VLAN,将每一个设备所属的VLAN、MAC地址以及IP地址关联存储形成预设arp表。
S14:当预设arp表存在数据报文的出接口时,通过出接口发送数据报文。
示例性地,当预设arp表存在数据报文的出接口时,直接通过该出接口将该数据报文发送给对应的设备。
当预设arp表不存在数据报文的出接口时,工控防火墙向所述VLAN出接口对应的VLAN中的设备广播arp请求,各个设备接收到的该arp请求后,若该arp请求与自己的地址信息相对应,则会发出反馈报文;若该arp请求与自己的地址信息不对应,则丢弃该arp请求。
当接收到响应于所述arp请求的反馈报文时,向arp请求的反馈报文对应的接口发送数据报文,以实现数据传输。
本发明提供的VLAN间的数据传输方法,通过接收数据报文,当数据报文需要路由时,根据数据报文的目的IP地址确定预设路由表中是否存在数据报文的VLAN出接口,若预设路由表中存在数据报文的VLAN出接口,根据数据报文的目的IP地址从预设arp表中确定是否存在数据报文的出接口,当预设arp表存在数据报文的出接口时,通过出接口发送数据报文。本发明通过从预设路由表中找到数据报文的VLAN出接口,从预设arp表中找到数据报文的出接口,进而通过出接口发送数据报文,实现了VLAN之间的三层路由转发以及VLAN接口与路由口之间的路由,提高了防火墙组网的灵活性,丰富了防火墙的使用场景。
作为本发明实施例一个可选实施方式,在当数据报文需要路由时,根据数据报文的目的IP地址确定预设路由表中是否存在数据报文的VLAN出接口之前,该VLAN间的数据传输方法还包括:
首先,获取数据报文的传输属性信息。
示例性地,该传输属性信息可以包括:数据报文的五元组(即源IP地址、目的IP地址、源端口、目的端口以及传输协议)、时间等。本发明实施例对该数据报文的传输属性信息不作具体限定,本领域技术人员可以根据实际情况设定。该传输属性信息可以直接解析数据报文获得。
其次,判断是否存在与数据报文的传输属性信息对应的流表,流表中存储的信息至少包括:历史数据报文的传输属性信息、预设安全策略以及时间。
示例性地,该流表可以包括:历史数据报文的传输属性信息、预设安全策略以及数据报文到达时间,流表的路由信息可以包括正反2个传输方向的信息(客户端到服务器,服务器到客户端),每个方向信息包括:路由的下一跳IP地址(next_hop)、下一跳MAC地址(next_mac)、下一跳的出接口:(out_if)、动作标记(action)等。本发明实施例对该流表包括的内容以及每个方向的路由信息均不作具体限定,本领域技术人员可以根据实际情况确定。
再次,当存在与数据报文的传输属性信息对应的流表时,根据流表发送数据报文;当不存在数据报文的传输属性信息对应的流表时,执行根据数据报文的目的IP地址确定预设路由表中是否存在数据报文的VLAN出接口及其后续步骤转发该数据报文,并根据上述步骤得到的路由信息和传输属性信息构建该数据报文的传输属性信息对应的流表,便于下一次接收到相同的数据报文时,直接查询路由信息进行转发。
本发明实施例通过对接收到的每一条历史数据报文都建立一个流表,当接收到相同的五元组的需要路由的数据报文时,可以直接从流表中获取路由信息进行报文转发,不需要通过查找预设路由表、预设arp表等查找路由信息,提高了数据报文的转发速度和效率。
本发明实施例还公开了一种VLAN间的数据传输装置,如图2所示,包括:
接收模块21,用于接收数据报文;具体实现方式见上述实施例中步骤S11的相关描述,在此不再赘述。
第一判断模块22,用于当数据报文需要路由时,根据数据报文的目的IP地址确定预设路由表中是否存在数据报文的VLAN出接口;具体实现方式见上述实施例中步骤S12的相关描述,在此不再赘述。
确定模块23,用于若预设路由表中存在数据报文的VLAN出接口,根据所述数据报文的目的IP地址从预设arp表中确定是否存在所述数据报文的出接口;具体实现方式见上述实施例中步骤S13的相关描述,在此不再赘述。
第一发送模块24,用于当预设arp表存在数据报文的出接口时,通过出接口发送数据报文。具体实现方式见上述实施例中步骤S14的相关描述,在此不再赘述。
本发明提供的VLAN间的数据传输装置,通过接收数据报文,当数据报文需要路由时,根据数据报文的目的IP地址确定预设路由表中是否存在数据报文的VLAN出接口,若预设路由表中存在数据报文的VLAN出接口,根据数据报文的目的IP地址从预设arp表中确定是否存在数据报文的出接口,当预设arp表存在数据报文的出接口时,通过出接口发送数据报文。本发明通过从预设路由表中找到数据报文的VLAN出接口,从预设arp表中找到数据报文的出接口,进而通过出接口发送数据报文,实现了VLAN之间的三层路由转发以及VLAN接口与路由口之间的路由,提高了防火墙组网的灵活性,丰富了防火墙的使用场景。
作为本发明实施例一个可选实施方式,判断数据报文是否需要路由的过程,包括:
第二判断模块,用于判断发送数据报文的接口是否存在VLAN配置数据;具体实现方式见上述实施例中对应的步骤的相关描述,在此不再赘述。
第三判断模块,用于当发送数据报文的接口存在VLAN配置数据时,判断数据报文的目的物理地址与预设物理地址是否一致;具体实现方式见上述实施例中对应的步骤的相关描述,在此不再赘述。具体实现方式见上述实施例中对应的步骤的相关描述,在此不再赘述。
第一判定模块,用于若数据报文的目的物理地址与预设物理地址一致,则判定数据报文需要路由;具体实现方式见上述实施例中对应的步骤的相关描述,在此不再赘述。
第二判定模块,用于若数据报文的目的物理地址与预设物理地址不一致,则判定数据报文不需要路由。具体实现方式见上述实施例中对应的步骤的相关描述,在此不再赘述。
作为本发明实施例一个可选实施方式,预设arp表不存在数据报文的出接口,该VLAN间的数据传输装置还包括:
广播模块,用于向所述VLAN出接口对应的VLAN中的设备广播arp请求;
第二发送模块,用于若接收到响应于所述arp请求的反馈报文,向所述arp请求的反馈报文对应的接口发送所述数据报文。
作为本发明实施例一个可选实施方式,该VLAN间的数据传输装置还包括:
第一传输模块,用于当数据报文不需要路由时,基于交换机模式传输数据报文。具体实现方式见上述实施例中对应的步骤的相关描述,在此不再赘述。
作为本发明实施例一个可选实施方式,该VLAN间的数据传输装置还包括:
第二传输模块,用于当发送数据报文的接口不存在VLAN配置数据时,基于交换机模式传输数据报文。具体实现方式见上述实施例中对应的步骤的相关描述,在此不再赘述。
作为本发明实施例一个可选实施方式,该VLAN间的数据传输装置还包括:
配置操作请求接收模块,用于接收配置操作请求;具体实现方式见上述实施例中对应的步骤的相关描述,在此不再赘述。
配置模块,用于根据配置操作请求对目标设备做VLAN配置处理;具体实现方式见上述实施例中对应的步骤的相关描述,在此不再赘述。
构建模块,用于根据配置处理后的VLAN配置信息构建预设路由表。具体实现方式见上述实施例中对应的步骤的相关描述,在此不再赘述。
作为本发明实施例一个可选实施方式,该VLAN间的数据传输装置还包括:
获取模块,用于获取数据报文的传输属性信息;具体实现方式见上述实施例中对应的步骤的相关描述,在此不再赘述。
第四判断模块,用于判断是否存在与数据报文的传输属性信息对应的流表,流表中存储的信息至少包括:历史数据报文的传输属性信息、预设安全策略以及时间;具体实现方式见上述实施例中对应的步骤的相关描述,在此不再赘述。
第三发送模块,用于当存在与数据报文的传输属性信息对应的流表时,根据流表发送数据报文。具体实现方式见上述实施例中对应的步骤的相关描述,在此不再赘述。
作为本发明实施例一个可选实施方式,该VLAN间的数据传输装置还包括:
建立模块,用于当不存在数据报文的传输属性信息对应的流表时,执行根据数据报文的目的IP地址确定预设路由表中是否存在数据报文的VLAN出接口的步骤,并根据传输属性信息以及路由信息建立与数据报文的传输属性信息对应的流表。具体实现方式见上述实施例中对应的步骤的相关描述,在此不再赘述。
本发明实施例还提供了一种工控防火墙设备,如图3所示,该工控防火墙设备可以包括处理器31和存储器32,其中处理器31和存储器32可以通过总线或者其他方式连接,图3中以通过总线连接为例。
处理器31可以为中央处理器(Central Processing Unit,CPU)。处理器31还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器32作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本发明实施例中的VLAN间的数据传输方法对应的程序指令/模块(例如,图2所示的接收模块21、第一判断模块22、确定模块23和第一发送模块24)。处理器31通过运行存储在存储器32中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及数据处理,即实现上述方法实施例中的VLAN间的数据传输方法。
存储器32可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器31所创建的数据等。此外,存储器32可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器32可选包括相对于处理器31远程设置的存储器,这些远程存储器可以通过网络连接至处理器31。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个模块存储在所述存储器32中,当被所述处理器31执行时,执行如图1所示实施例中的VLAN间的数据传输方法。
上述工控防火墙设备具体细节可以对应参阅图1所示的实施例中对应的相关描述和效果进行理解,此处不再赘述。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random AccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下作出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。
Claims (11)
1.一种VLAN间的数据传输方法,其特征在于,包括如下步骤:
接收数据报文;
当所述数据报文需要路由时,根据所述数据报文的目的IP地址确定预设路由表中是否存在所述数据报文的VLAN出接口;
若所述预设路由表中存在所述数据报文的VLAN出接口,根据所述数据报文的目的IP地址从预设arp表中确定是否存在所述数据报文的出接口;
当所述预设arp表存在所述数据报文的出接口时,通过所述出接口发送所述数据报文。
2.根据权利要求1所述的方法,其特征在于,判断所述数据报文是否需要路由的过程,包括:
判断发送所述数据报文的接口是否存在VLAN配置数据;
当发送所述数据报文的接口存在VLAN配置数据时,判断所述数据报文的目的物理地址与预设物理地址是否一致;
若所述数据报文的目的物理地址与预设物理地址一致,则判定所述数据报文需要路由;
若所述数据报文的目的物理地址与预设物理地址不一致,则判定所述数据报文不需要路由。
3.根据权利要求1所述的方法,其特征在于,当所述预设arp表不存在所述数据报文的出接口时,所述方法还包括:
向所述VLAN出接口对应的VLAN中的设备广播arp请求;
若接收到响应于所述arp请求的反馈报文,向所述arp请求的反馈报文对应的接口发送所述数据报文。
4.根据权利要求1或2所述的方法,其特征在于,当所述数据报文不需要路由时,基于交换机模式传输所述数据报文。
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当发送所述数据报文的接口不存在所述VLAN配置数据时,基于交换机模式传输所述数据报文。
6.根据权利要求1所述的方法,其特征在于,在所述接收报文之前,所述方法还包括:
接收配置操作请求;
根据所述配置操作请求对目标设备做VLAN配置处理;
根据配置处理后的VLAN配置信息构建所述预设路由表。
7.根据权利要求1所述的方法,其特征在于,在所述当所述数据报文需要路由时,根据所述数据报文的目的IP地址确定预设路由表中是否存在所述数据报文的VLAN出接口之前,所述方法还包括:
获取所述数据报文的传输属性信息;
判断是否存在与所述数据报文的传输属性信息对应的流表,所述流表中存储的信息至少包括:历史数据报文的传输属性信息、预设安全策略以及时间;
当存在与所述数据报文的传输属性信息对应的流表时,根据所述流表发送所述数据报文。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
当不存在所述数据报文的传输属性信息对应的流表时,执行所述根据所述数据报文的目的IP地址确定预设路由表中是否存在所述数据报文的VLAN出接口的步骤,并根据所述传输属性信息以及路由信息建立与所述数据报文的传输属性信息对应的流表。
9.一种VLAN间的数据传输装置,其特征在于,包括:
接收模块,用于接收数据报文;
第一判断模块,用于当所述数据报文需要路由时,根据所述数据报文的目的IP地址确定预设路由表中是否存在所述数据报文的VLAN出接口;
确定模块,用于若所述预设路由表中存在所述数据包括的VLAN出接口,根据所述数据报文的目的IP地址从预设arp表中确定是否存在所述数据报文的出接口;
第一发送模块,用于当所述预设arp表存在所述数据报文的出接口时,通过所述出接口发送所述数据报文。
10.一种工控防火墙设备,其特征在于,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行如权利要求1-8任一所述的VLAN间的数据传输方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-8中任一项所述的VLAN间的数据传输方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011596457.5A CN112737948A (zh) | 2020-12-30 | 2020-12-30 | 一种vlan间的数据传输方法、装置及工控防火墙设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011596457.5A CN112737948A (zh) | 2020-12-30 | 2020-12-30 | 一种vlan间的数据传输方法、装置及工控防火墙设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112737948A true CN112737948A (zh) | 2021-04-30 |
Family
ID=75610158
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011596457.5A Pending CN112737948A (zh) | 2020-12-30 | 2020-12-30 | 一种vlan间的数据传输方法、装置及工控防火墙设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112737948A (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1905528A (zh) * | 2006-08-02 | 2007-01-31 | 杭州华为三康技术有限公司 | 基于虚拟局域网的数据发送方法与装置 |
| CN102420762A (zh) * | 2011-12-05 | 2012-04-18 | 北京星网锐捷网络技术有限公司 | 报文转发方法、系统、网络设备和防火墙线卡 |
| CN104022973A (zh) * | 2014-06-18 | 2014-09-03 | 福建星网锐捷网络有限公司 | 报文转发方法、交换模块、防火墙卡和交换机 |
| CN104683243A (zh) * | 2013-11-26 | 2015-06-03 | 华为技术有限公司 | 一种数据处理方法、装置及系统 |
| CN106330654A (zh) * | 2016-09-14 | 2017-01-11 | 重庆邮电大学 | 一种基于wpa2‑psk的虚拟局域网之间的无线数据传输方法 |
| CN107517129A (zh) * | 2017-08-25 | 2017-12-26 | 杭州迪普科技股份有限公司 | 一种基于OpenStack配置设备上行接口的方法和装置 |
| WO2018166253A1 (zh) * | 2017-03-14 | 2018-09-20 | 华为技术有限公司 | Evpn报文处理方法、设备及系统 |
| CN111132170A (zh) * | 2019-12-31 | 2020-05-08 | 奇安信科技集团股份有限公司 | 虚拟防火墙的通信方法和装置、虚拟防火墙及拓扑结构 |
-
2020
- 2020-12-30 CN CN202011596457.5A patent/CN112737948A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1905528A (zh) * | 2006-08-02 | 2007-01-31 | 杭州华为三康技术有限公司 | 基于虚拟局域网的数据发送方法与装置 |
| CN102420762A (zh) * | 2011-12-05 | 2012-04-18 | 北京星网锐捷网络技术有限公司 | 报文转发方法、系统、网络设备和防火墙线卡 |
| CN104683243A (zh) * | 2013-11-26 | 2015-06-03 | 华为技术有限公司 | 一种数据处理方法、装置及系统 |
| CN104022973A (zh) * | 2014-06-18 | 2014-09-03 | 福建星网锐捷网络有限公司 | 报文转发方法、交换模块、防火墙卡和交换机 |
| CN106330654A (zh) * | 2016-09-14 | 2017-01-11 | 重庆邮电大学 | 一种基于wpa2‑psk的虚拟局域网之间的无线数据传输方法 |
| WO2018166253A1 (zh) * | 2017-03-14 | 2018-09-20 | 华为技术有限公司 | Evpn报文处理方法、设备及系统 |
| CN107517129A (zh) * | 2017-08-25 | 2017-12-26 | 杭州迪普科技股份有限公司 | 一种基于OpenStack配置设备上行接口的方法和装置 |
| CN111132170A (zh) * | 2019-12-31 | 2020-05-08 | 奇安信科技集团股份有限公司 | 虚拟防火墙的通信方法和装置、虚拟防火墙及拓扑结构 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9225641B2 (en) | Communication between hetrogenous networks | |
| CN105812259B (zh) | 一种报文转发方法和设备 | |
| CN110324165B (zh) | 网络设备的管理方法、装置及系统 | |
| US11750411B2 (en) | Method of and devices for supporting selective forwarding of messages in a network of communicatively coupled communication devices | |
| WO2022062506A1 (zh) | 一种数据处理方法、装置、存储介质及电子装置 | |
| CN106101617B (zh) | 一种报文传输方法、装置及系统 | |
| CN110324159B (zh) | 链路配置方法、控制器和存储介质 | |
| CN112751767B (zh) | 路由信息传输方法及装置、数据中心互联网络 | |
| CN112134776B (zh) | 生成组播转发表项的方法和接入网关 | |
| EP3313031A1 (en) | Sdn-based arp realization method and apparatus | |
| US20210105324A1 (en) | Switch device, monitoring method and monitoring program | |
| US20150271086A1 (en) | Reducing Network Traffic By Intercepting Address Resolution Messages | |
| CN111327545B (zh) | 数据发送方法、装置、网络系统及交换机 | |
| CN110401726B (zh) | 地址解析协议报文的处理方法、装置及设备、存储介质 | |
| EP3503484B1 (en) | Message transmission methods and devices | |
| CN113285877B (zh) | 一种报文转发的控制方法及相关装置 | |
| CN111064825B (zh) | 一种基于arp实现dpi数据采集和控制方法和装置 | |
| CN111327530B (zh) | 数据发送方法、装置、网络系统及交换机 | |
| CN113037691A (zh) | 报文处理方法、装置及系统 | |
| CN112737948A (zh) | 一种vlan间的数据传输方法、装置及工控防火墙设备 | |
| CN115174528A (zh) | 一种设备地址管控方法、装置及系统 | |
| US20170019845A1 (en) | Communication terminal, communication method, and program-containing storage medium | |
| CN108259292B (zh) | 建立隧道的方法及装置 | |
| CN106452992B (zh) | 一种远端多归属组网的实现方法及装置 | |
| GB2414360A (en) | Translating data packet multicast addresses to multiple unicast addresses |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210430 |
|
| RJ01 | Rejection of invention patent application after publication |