CN112996077B - 报文处理方法及装置 - Google Patents
报文处理方法及装置 Download PDFInfo
- Publication number
- CN112996077B CN112996077B CN202110198588.6A CN202110198588A CN112996077B CN 112996077 B CN112996077 B CN 112996077B CN 202110198588 A CN202110198588 A CN 202110198588A CN 112996077 B CN112996077 B CN 112996077B
- Authority
- CN
- China
- Prior art keywords
- switch
- bgp protocol
- remote
- access switch
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/24—Connectivity information management, e.g. connectivity discovery or connectivity update
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种报文处理方法及装置,该方法应用于远程交换机,该方法包括:接收第一汇聚交换机转发的第一接入交换机发送的第一BGP协议报文,第一BGP协议报文包括接入第一接入交换机的终端的源地址以及终端所处的VLAN标识;根据源地址以及VLAN标识,查找未知源远端表;当未知源远端表存在与源地址以及VLAN标识匹配的未知源远端表项时,向第一汇聚交换机发送第二BGP协议报文,第二BGP协议报文包括源地址以及VLAN标识,以使得第一汇聚交换机向第一接入交换机转发第二BGP协议报文,第一接入交换机根据源地址以及VLAN标识向终端发起探测。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种报文处理方法及装置。
背景技术
在5G时代大数据、大流量的背景下,在提供快速,稳定的数据转发技术的基础上,如何保护用户安全也是5G时代的关键。
IP源保护(英文:IP source guard,简称:IPSG)防攻击技术,将终端的源IP地址、源MAC地址以及终端所属VLAN设置为IPSG表项,也可称之为白名单表项。当接入交换机接收到终端发送的数据报文且在转发该数据报文之前,利用IPSG表项对数据报文包括的源IP地址、源MAC地址以及终端所属的VLAN进行匹配。当数据报文包括的内容与IPSG表项匹配时,则会对该数据报文进行转发,否则,丢弃该数据报文,从而有效避免了非法终端对局域网的攻击。
在前述IPSG防攻击技术的基础上,通过BGP协议,第一接入交换机(本地接入交换机)将生成的IPSG本地表项同步至第二接入交换机(远端接入交换机),第二接入交换机将同步的IPSG本地表项存储为IPSG远端表项。当终端漫游至第二接入交换机并在第二接入交换机处上线时,第二接入交换机生成IPSG本地表项,并撤销IPSG远端表项,实现各个接入交换机之间的IPSG漫游技术联动。
针对终端接入量较小的组网场景下,前述IPSG漫游技术可很好的使用,部署简单且实现有效的非法拦截。然而,在终端接入量较大的组网场景下,目前的IPSG漫游技术也存在如下缺陷:1)每台接入交换机均会维护整个局域网内远端接入交换机同步的所有IPSG远端表项,但是,IPSG远端表项不会作为白名单成员,其仅在终端漫游时才会作为探测终端来源的依据。每台接入交换机单独维护所有IPSG远端表项,成本较高;2)当IPSG表项变化时,整个系统的路由收敛时间较长;3)数据报文的转发、IPSG表项的添加、删除均由接入交换机处理,对接入交换机的性能要求较高。
发明内容
有鉴于此,本申请提供了一种报文处理方法及装置,用以解决现有组网中各台接入交换机单独维护所有IPSG远端表项,成本较高、组网内路由收敛时间较长以及对接入交换机的性能要求较高的问题。
第一方面,本申请提供了一种报文处理方法,所述方法应用于远程交换机,所述远程交换机与至少一个汇聚交换机连接,每个汇聚交换机与至少一个接入交换机连接,所述方法包括:
接收第一汇聚交换机转发的第一接入交换机发送的第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识;
根据所述源地址以及VLAN标识,查找未知源远端表;
当所述未知源远端表存在与所述源地址以及VLAN标识匹配的未知源远端表项时,向所述第一汇聚交换机发送第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识,以使得所述第一汇聚交换机向所述第一接入交换机转发所述第二BGP协议报文,所述第一接入交换机根据所述源地址以及VLAN标识向所述终端发起探测。
第二方面,本申请提供了一种报文处理方法,所述方法应用于汇聚交换机,所述汇聚交换机接入远程交换机,所述汇聚交换机与至少一个接入交换机连接,所述方法包括:
接收第一接入交换机发送的第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识;
向所述远程交换机发送所述第一BGP协议报文;
当接收到所述远程交换机发送的第二BGP协议报文时,向所述第一接入交换机发送所述第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识,以使得所述第一接入交换机根据所述源地址以及VLAN标识向所述终端发起探测。
第三方面,本申请提供了一种报文处理方法,所述方法应用于接入交换机,所述接入交换机接入汇聚交换机,所述汇聚交换机接入远程交换机,所述方法包括:
向所述汇聚交换机发送第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识,以使得所述汇聚交换机向所述远程交换机发送所述第一BGP协议报文,所述远程交换机根据所述源地址以及VLAN标识查找未知源远端表,并在所述未知源远端表中查找到匹配的未知源远端表项时,向所述汇聚交换机发送第二BGP协议报文;
接收所述汇聚交换机发送的第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识;
根据所述源地址以及VLAN标识,向所述终端发起探测。
第四方面,本申请提供了一种报文处理装置,所述装置应用于远程交换机,所述远程交换机与至少一个汇聚交换机连接,每个汇聚交换机与至少一个接入交换机连接,所述装置包括:
接收单元,用于接收第一汇聚交换机转发的第一接入交换机发送的第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识;
查找单元,用于根据所述源地址以及VLAN标识,查找未知源远端表;
发送单元,用于当所述未知源远端表存在与所述源地址以及VLAN标识匹配的未知源远端表项时,向所述第一汇聚交换机发送第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识,以使得所述第一汇聚交换机向所述第一接入交换机转发所述第二BGP协议报文,所述第一接入交换机根据所述源地址以及VLAN标识向所述终端发起探测。
第五方面,本申请提供了一种报文处理装置,所述装置应用于汇聚交换机,所述汇聚交换机接入远程交换机,所述汇聚交换机与至少一个接入交换机连接,所述装置包括:
接收单元,用于接收第一接入交换机发送的第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识;
发送单元,用于向所述远程交换机发送所述第一BGP协议报文;
所述发送单元还用于,当接收单元接收到所述远程交换机发送的第二BGP协议报文时,向所述第一接入交换机发送所述第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识,以使得所述第一接入交换机根据所述源地址以及VLAN标识向所述终端发起探测。
第六方面,本申请提供了一种报文处理装置,所述装置应用于接入交换机,所述接入交换机接入汇聚交换机,所述汇聚交换机接入远程交换机,所述装置包括:
发送单元,用于向所述汇聚交换机发送第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识,以使得所述汇聚交换机向所述远程交换机发送所述第一BGP协议报文,所述远程交换机根据所述源地址以及VLAN标识查找未知源远端表,并在所述未知源远端表中查找到匹配的未知源远端表项时,向所述汇聚交换机发送第二BGP协议报文;
接收单元,用于接收所述汇聚交换机发送的第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识;
探测单元,用于根据所述源地址以及VLAN标识,向所述终端发起探测。
第七方面,本申请提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本申请第一方面所提供的方法。
第八方面,本申请提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本申请第二方面所提供的方法。
第九方面,本申请提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本申请第三方面所提供的方法。
因此,通过应用本申请提供的报文处理方法及装置,远程交换机接收第一汇聚交换机转发的第一接入交换机发送的第一BGP协议报文,该第一BGP协议报文包括接入第一接入交换机的终端的源地址以及终端所处的VLAN标识。根据源地址以及VLAN标识,远程交换机查找未知源远端表。当未知源远端表存在与源地址以及VLAN标识匹配的未知源远端表项时,远程交换机向第一汇聚交换机发送第二BGP协议报文,该第二BGP协议报文包括源地址以及VLAN标识,以使得第一汇聚交换机向第一接入交换机转发第二BGP协议报文,第一接入交换机根据源地址以及VLAN标识向终端发起探测。
如此,通过在组网内新增连接全部汇聚交换机的远程交换机,并将组网中全部接入交换机生成的IPSG表项存储至未知源远端表内,简化了IPSG的同步机制,有利于组网内路由的快速收敛。解决了现有组网中各台接入交换机单独维护所有IPSG远端表项,成本较高、组网内路由收敛时间较长以及对接入交换机的性能要求较高的问题。
附图说明
图1为本申请实施例提供的一种报文处理方法的流程图;
图2-A为本申请实施例提供的远程交换机接入现有分布式组网示意图;
图2-B为本申请实施例提供的终端在跨接入交换机漫游组网示意图;
图3为本申请实施例提供的另一种报文处理方法的流程图;
图4为本申请实施例提供的另一种报文处理方法的流程图;
图5为本申请实施例提供的一种报文处理装置结构图;
图6为本申请实施例提供的另一种报文处理装置结构图;
图7为本申请实施例提供的另一种报文处理装置结构图;
图8为本申请实施例提供的网络设备硬件结构体。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请实施例提供的报文处理方法进行详细地说明。参见图1,图1为本申请实施例提供的一种报文处理方法的流程图。该方法应用于远程交换机,本申请实施例提供的报文处理方法可包括如下所示步骤。
步骤110、接收第一汇聚交换机转发的第一接入交换机发送的第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识。
具体地,分布式网络内包括核心交换机、远程交换机、多个汇聚交换机、接入交换机以及终端。在本申请实施例中以组网内包括一台核心交换机、一台远程交换机、两台汇聚交换机、四台接入交换机以及一台终端为例进行说明。
如图2-A所示,图2-A为本申请实施例提供的远程交换机接入现有分布式组网示意图。如图2-B所示,图2-B为本申请实施例提供的终端在跨接入交换机漫游组网示意图。
在图2-A中,终端接入AP2,并通过AP2接入第二接入交换机。第一接入交换机、第二接入交换机分别接入第一汇聚交换机。第三接入交换机、第四接入交换机分别接入第二汇聚交换机。第一汇聚交换机、第二汇聚交换机分别与核心交换机、远程交换机全连接。
在一种场景下,终端从AP2漫游至AP1,并通过AP1接入第一接入交换机。此时,第一终端通过AP1向第一接入交换机发送第一数据报文,该第一数据报文包括终端的源地址以及终端所处的VLAN标识。
其中,源地址可具体为源IP地址、源MAC地址,在后续描述中,以源地址为例进行说明。
第一接入交换机接收到第一数据报文后,从第一数据报文中获取源地址以及终端所处的VLAN标识。第一交换机获取的源地址为源MAC地址。在该VLAN标识对应的VLAN下,第一接入交换机判断VLAN下的MAC地址表中是否存在与源MAC地址匹配的MAC地址表项。
若MAC地址表中未存在匹配的MAC地址表项,则第一交换机从第一数据报文中获取源IP地址,并生成第一BGP协议报文。该第一BGP协议报文包括终端的源地址以及终端所处的VLAN标识。
若MAC地址表中存在匹配的MAC地址表项,则第一接入交换机根据已存储的IPSG本地表,对第一数据报文进行转发处理。
第一接入交换机向第一汇聚交换机发送第一BGP协议报文。
第一汇聚交换机接收到第一BGP协议报文后,向接入的远程交换机发送第一BGP协议报文。
远程交换机接收到第一BGP协议报文后,从第一BGP协议报文中获取终端的源地址以及终端所处的VLAN标识。
进一步地,在本步骤之前,还包括远程交换机建立未知源远端表的过程。具体如下描述:
终端接入第一接入交换机后,可通过DHCP Relay动态申请IPv4/IPv6地址或无状态地址分配IPv6地址。终端获取到IP地址的同时,第一接入交换机通过终端与DHCP Relay或路由器之间交互协议报文(例如,协议报文可具体为ARP报文或者ND报文)后,生成对应的地址信息表项,该地址信息表项包括终端的源地址以及终端所处的VLAN标识。其中,地址信息表项包括DHCPv4/v6 relay表项、ND snooping表项。
第一接入交换机根据地址信息表项生成第一IPSG本地表项,并将第一IPSG本地表项存储至本地安全表中。
第一接入交换机生成第三BGP协议报文(该第三BGP协议报文仅为示例说明)。该第三BGP协议报文包括第一IPSG本地表项。可以理解的是,第三BGP协议报文包括第一IPSG本地表项中存储的内容,即源地址以及VLAN标识。
第一接入交换机向第一汇聚交换机发送第三BGP协议报文。
第一汇聚交换机接收到第三BGP协议报文后,向远程交换机发送第三BGP协议报文。远程交换机接收到第三BGP协议报文后,从第三BGP协议报文中获取第一IPSG本地表项,也即是,获取第一IPSG本地表项的内容,源地址以及VLAN标识。
远程交换机将第一IPSG本地表项的内容存储至未知源远端表中。
可以理解的是,接入第一汇聚交换机中的每个接入交换机均向第一汇聚交换机发送第三BGP协议报文。第一汇聚交换机将每个接入交换机发送的第三BGP协议报文均发送至远程交换机。接入远程交换机的每个汇聚交换机均向远程交换机发送第三BGP协议报文。如此,实现远程交换机中存储组网内每个接入交换机生成的第一IPSG本地表项的内容。
需要说明的是,在本申请实施例中,汇聚交换机接收到接入交换机发送的第三BGP协议报文后,不再向远端接入交换机同步该第三BGP协议报文。也即是,组网内每个接入交换机本地仅存储生成的IPSG本地表项,而不再存储由汇聚交换机同步的IPSG远端表项。组网内IPSG远端表项统一存储至远端交换机包括的未知源远端表中。
步骤120、根据所述源地址以及VLAN标识,查找未知源远端表。
具体地,根据步骤120的描述,远程交换机获取到源地址以及VLAN标识后,根据源地址以及VLAN标识,查找本地存储的未知源远端表。
进一步地,在本申请实施例中,未知源远端表中除了包括源地址字段、VLAN标识字段外,还包括接入交换机标识字段。该接入交换机标识字段用于表明终端当前所接入的接入交换机。
更近一步地,未知源远端表中还可以包括汇聚交换机标识字段,该汇聚交换机标识字段用于表明终端当前接入的接入交换机所连接的汇聚交换机。
步骤130、当所述未知源远端表存在与所述源地址以及VLAN标识匹配的未知源远端表项时,向所述第一汇聚交换机发送第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识,以使得所述第一汇聚交换机向所述第一接入交换机转发所述第二BGP协议报文,所述第一接入交换机根据所述源地址以及VLAN标识向所述终端发起探测。
具体地,根据步骤120的描述,远程交换机根据源地址以及VLAN标识,查找本地存储的未知源远端表。
当在未知源远端表中未存在与源地址以及VLAN标识匹配的未知源远端表项时,远程交换机丢弃第一BGP协议报文。
若在未知源远端表中查找到与源地址以及VLAN标识匹配的未知源远端表项,则远程交换机生成第二BGP协议报文,该第二BGP协议报文包括源地址以及VLAN标识。远程交换机向第一汇聚交换机发送第二BGP协议报文。
第一汇聚交换机接收到第二BGP协议报文后,向第一接入交换机发送第二BGP协议报文。
第一接入交换机接收到第二BGP协议报文后,从中获取源地址以及VLAN标识。根据源地址以及VLAN标识,向源地址对应的终端发起探测。在本申请实施例中,该探测可具体为ARP/ND探测,以判断终端是否真实接入第一接入交换机。
第一接入交换机向源地址对应的终端发送探测报文,并在预设的时间内判断是否接收到终端的探测回复报文。当在预设的时间内接收到终端发送的探测回复报文,则第一接入交换机确定该终端当前已接入自身,第一接入交换机生成第二IPSG本地表项,该第二IPSG本地表项包括终端的源地址以及终端所处的VLAN标识。同时,第一接入交换机生成通知报文,该通知报文包括第一接入交换机对终端发起探测的探测结果。
第一接入交换机向第一汇聚交换机发送通知报文,第一汇聚交换机接收到通知报文后,向远程交换机发送通知报文。
远程交换机接收到通知报文后,从中获取探测结果。根据探测结果,远程交换机获取与源地址以及VLAN标识匹配的未知源远端表项,并从未知源远端表项中获取记录的接入交换机的标识(例如,第二接入交换机的标识)。
根据探测结果以及第二接入交换机的标识,远程交换机确定该终端为漫游终端,并且是从第二接入交换机漫游至第一接入交换机处。
远程交换机生成第四BGP协议报文,该第四BGP协议报文包括源地址以及VLAN标识。远程交换机向第二接入交换机接入的汇聚交换机(例如,第二汇聚交换机)发送第四BGP协议报文。第二汇聚交换机接收到第四BGP协议报文后,向第二接入交换机发送第四BGP协议报文。
第二接入交换机接收到第四BGP协议报文后,从第四BGP协议报文中获取源地址以及VLAN标识。第二接入交换机根据源地址以及VLAN标识查找IPSG本地表项。
当查找到与源地址以及VLAN标识匹配的IPSG本地表项时,第二接入交换机撤销存储的IPSG本地表项。
进一步地,远程交换机还根据探测结果,将前述未知源远端表项中获取的接入交换机的标识进行更新,即,将第二接入交换机的标识更新为第一接入交换机的标识。
可以理解的是,远程交换机在发送第四BGP协议报文时,确定第二接入交换机当前接入的汇聚交换机。若第二接入交换机当前接入第一汇聚交换机,则向第一汇聚交换机发送第四BGP协议报文。
需要说明的是,在本申请实施例中,前述第一BGP协议报文、第二BGP协议报文、第三BGP协议报文以及第四BGP协议报文均为BGP update协议报文。
因此,通过应用本申请提供的报文处理方法,远程交换机接收第一汇聚交换机转发的第一接入交换机发送的第一BGP协议报文,该第一BGP协议报文包括接入第一接入交换机的终端的源地址以及终端所处的VLAN标识。根据源地址以及VLAN标识,远程交换机查找未知源远端表。当未知源远端表存在与源地址以及VLAN标识匹配的未知源远端表项时,远程交换机向第一汇聚交换机发送第二BGP协议报文,该第二BGP协议报文包括源地址以及VLAN标识,以使得第一汇聚交换机向第一接入交换机转发第二BGP协议报文,第一接入交换机根据源地址以及VLAN标识向终端发起探测。
如此,通过在组网内新增连接全部汇聚交换机的远程交换机,并将组网中全部接入交换机生成的IPSG表项存储至未知源远端表内,简化了IPSG的同步机制,有利于组网内路由的快速收敛。解决了现有组网中各台接入交换机单独维护所有IPSG远端表项,成本较高、组网内路由收敛时间较长以及对接入交换机的性能要求较高的问题。
下面对本申请实施例提供的报文处理方法进行详细地说明。参见图3,图3为本申请实施例提供的另一种报文处理方法的流程图。该方法应用于汇聚交换机交换机,本申请实施例提供的报文处理方法可包括如下所示步骤。
步骤310、接收第一接入交换机发送的第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识。
具体地,分布式网络内包括核心交换机、远程交换机、多个汇聚交换机、接入交换机以及终端。在本申请实施例中以组网内包括一台核心交换机、一台远程交换机、两台汇聚交换机、四台接入交换机以及一台终端为例进行说明。
如图2-A所示,图2-A为本申请实施例提供的远程交换机接入现有分布式组网示意图。如图2-B所示,图2-B为本申请实施例提供的终端在跨接入交换机漫游组网示意图。
在图2-A中,终端接入AP2,并通过AP2接入第二接入交换机。第一接入交换机、第二接入交换机分别接入第一汇聚交换机。第三接入交换机、第四接入交换机分别接入第二汇聚交换机。第一汇聚交换机、第二汇聚交换机分别与核心交换机、远程交换机全连接。
在一种场景下,终端从AP2漫游至AP1,并通过AP1接入第一接入交换机。此时,第一终端通过AP1向第一接入交换机发送第一数据报文,该第一数据报文包括终端的源地址以及终端所处的VLAN标识。
其中,源地址可具体为源IP地址、源MAC地址,在后续描述中,以源地址为例进行说明。
第一接入交换机接收到第一数据报文后,从第一数据报文中获取源地址以及终端所处的VLAN标识。第一交换机获取的源地址为源MAC地址。在该VLAN标识对应的VLAN下,第一接入交换机判断VLAN下的MAC地址表中是否存在与源MAC地址匹配的MAC地址表项。若MAC地址表中未存在匹配的MAC地址表项,则第一交换机从第一数据报文中获取源IP地址,并生成第一BGP协议报文。该第一BGP协议报文包括终端的源地址以及终端所处的VLAN标识。
若MAC地址表中存在匹配的MAC地址表项,则第一接入交换机根据已存储的IPSG本地表,对第一数据报文进行转发处理。
第一接入交换机向第一汇聚交换机发送第一BGP协议报文。
步骤320、向所述远程交换机发送所述第一BGP协议报文。
具体地,根据步骤310的描述,第一汇聚交换机接收到第一BGP协议报文后,向接入的远程交换机发送第一BGP协议报文。
步骤330、当接收到所述远程交换机发送的第二BGP协议报文时,向所述第一接入交换机发送所述第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识,以使得所述第一接入交换机根据所述源地址以及VLAN标识向所述终端发起探测。
具体地,根据步骤320的描述,远程交换机接收到第一BGP协议报文后,从第一BGP协议报文中获取终端的源地址以及终端所处的VLAN标识。
远程交换机获取到源地址以及VLAN标识后,根据源地址以及VLAN标识,查找本地存储的未知源远端表。
进一步地,远程交换机建立未知源远端表的过程。具体如下描述:
终端接入第一接入交换机后,可通过DHCP Relay动态申请IPv4/IPv6地址或无状态地址分配IPv6地址。终端获取到IP地址的同时,第一接入交换机通过终端与DHCP Relay或路由器之间交互协议报文(例如,协议报文可具体为ARP报文或者ND报文)后,生成对应的地址信息表项,该地址信息表项包括终端的源地址以及终端所处的VLAN标识。其中,地址信息表项包括DHCPv4/v6 relay表项、ND snooping表项。
第一接入交换机根据地址信息表项生成第一IPSG本地表项,并将第一IPSG本地表项存储至本地安全表中。
第一接入交换机生成第三BGP协议报文(该第三BGP协议报文仅为示例说明)。该第三BGP协议报文包括第一IPSG本地表项。可以理解的是,第三BGP协议报文包括第一IPSG本地表项中存储的内容,即源地址以及VLAN标识。
第一接入交换机向第一汇聚交换机发送第三BGP协议报文。
第一汇聚交换机接收到第三BGP协议报文后,向远程交换机发送第三BGP协议报文。远程交换机接收到第三BGP协议报文后,从第三BGP协议报文中获取第一IPSG本地表项,也即是,获取第一IPSG本地表项的内容,源地址以及VLAN标识。
远程交换机将第一IPSG本地表项的内容存储至未知源远端表中。
可以理解的是,接入第一汇聚交换机中的每个接入交换机均向第一汇聚交换机发送第三BGP协议报文。第一汇聚交换机将每个接入交换机发送的第三BGP协议报文均发送至远程交换机。接入远程交换机的每个汇聚交换机均向远程交换机发送第三BGP协议报文。如此,实现远程交换机中存储组网内每个接入交换机生成的第一IPSG本地表项的内容。
需要说明的是,在本申请实施例中,汇聚交换机接收到接入交换机发送的第三BGP协议报文后,不再向远端接入交换机同步该第三BGP协议报文。也即是,组网内每个接入交换机本地仅存储生成的IPSG本地表项,而不再存储由汇聚交换机同步的IPSG远端表项。组网内IPSG远端表项统一存储至远端交换机包括的未知源远端表中。
进一步地,在本申请实施例中,未知源远端表中除了包括源地址字段、VLAN标识字段外,还包括接入交换机标识字段。该接入交换机标识字段用于表明终端当前所接入的接入交换机。
更近一步地,未知源远端表中还可以包括汇聚交换机标识字段,该汇聚交换机标识字段用于表明终端当前接入的接入交换机所连接的汇聚交换机。
当在未知源远端表中未存在与源地址以及VLAN标识匹配的未知源远端表项时,远程交换机丢弃第一BGP协议报文。
若在未知源远端表中查找到与源地址以及VLAN标识匹配的未知源远端表项,则远程交换机生成第二BGP协议报文,该第二BGP协议报文包括源地址以及VLAN标识。远程交换机向第一汇聚交换机发送第二BGP协议报文。
第一汇聚交换机接收到第二BGP协议报文后,向第一接入交换机发送第二BGP协议报文。
第一接入交换机接收到第二BGP协议报文后,从中获取源地址以及VLAN标识。根据源地址以及VLAN标识,向源地址对应的终端发起探测。在本申请实施例中,该探测可具体为ARP/ND探测,以判断终端是否真实接入第一接入交换机。
第一接入交换机向源地址对应的终端发送探测报文,并在预设的时间内判断是否接收到终端的探测回复报文。当在预设的时间内接收到终端发送的探测回复报文,则第一接入交换机确定该终端当前已接入自身,第一接入交换机生成第二IPSG本地表项,该第二IPSG本地表项包括终端的源地址以及终端所处的VLAN标识。同时,第一接入交换机生成通知报文,该通知报文包括第一接入交换机对终端发起探测的探测结果。
第一接入交换机向第一汇聚交换机发送通知报文,第一汇聚交换机接收到通知报文后,向远程交换机发送通知报文。
远程交换机接收到通知报文后,从中获取探测结果。根据探测结果,远程交换机获取与源地址以及VLAN标识匹配的未知源远端表项,并从未知源远端表项中获取记录的接入交换机的标识(例如,第二接入交换机的标识)。
根据探测结果以及第二接入交换机的标识,远程交换机确定该终端为漫游终端,并且是从第二接入交换机漫游至第一接入交换机处。
远程交换机生成第四BGP协议报文,该第四BGP协议报文包括源地址以及VLAN标识。远程交换机向第二接入交换机接入的汇聚交换机(例如,第二汇聚交换机)发送第四BGP协议报文。
第二汇聚交换机接收到第四BGP协议报文后,向第二接入交换机发送第四BGP协议报文。第二接入交换机接收到第四BGP协议报文后,从第四BGP协议报文中获取源地址以及VLAN标识。
第二接入交换机根据源地址以及VLAN标识查找IPSG本地表项。当查找到与源地址以及VLAN标识匹配的IPSG本地表项时,第二接入交换机撤销存储的IPSG本地表项。
进一步地,远程交换机还根据探测结果,将前述未知源远端表项中获取的接入交换机的标识进行更新,即,将第二接入交换机的标识更新为第一接入交换机的标识。
可以理解的是,远程交换机在发送第四BGP协议报文时,确定第二接入交换机当前接入的汇聚交换机。若第二接入交换机当前接入第一汇聚交换机,则向第一汇聚交换机发送第四BGP协议报文。
需要说明的是,在本申请实施例中,前述第一BGP协议报文、第二BGP协议报文、第三BGP协议报文以及第四BGP协议报文均为BGP update协议报文。
因此,通过应用本申请提供的报文处理方法,远程交换机接收第一汇聚交换机转发的第一接入交换机发送的第一BGP协议报文,该第一BGP协议报文包括接入第一接入交换机的终端的源地址以及终端所处的VLAN标识。根据源地址以及VLAN标识,远程交换机查找未知源远端表。当未知源远端表存在与源地址以及VLAN标识匹配的未知源远端表项时,远程交换机向第一汇聚交换机发送第二BGP协议报文,该第二BGP协议报文包括源地址以及VLAN标识,以使得第一汇聚交换机向第一接入交换机转发第二BGP协议报文,第一接入交换机根据源地址以及VLAN标识向终端发起探测。
如此,通过在组网内新增连接全部汇聚交换机的远程交换机,并将组网中全部接入交换机生成的IPSG表项存储至未知源远端表内,简化了IPSG的同步机制,有利于组网内路由的快速收敛。解决了现有组网中各台接入交换机单独维护所有IPSG远端表项,成本较高、组网内路由收敛时间较长以及对接入交换机的性能要求较高的问题。
下面对本申请实施例提供的报文处理方法进行详细地说明。参见图4,图4为本申请实施例提供的另一种报文处理方法的流程图。该方法应用于接入交换机,本申请实施例提供的报文处理方法可包括如下所示步骤。
步骤410、向所述汇聚交换机发送第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识,以使得所述汇聚交换机向所述远程交换机发送所述第一BGP协议报文,所述远程交换机根据所述源地址以及VLAN标识查找未知源远端表,并在所述未知源远端表中查找到匹配的未知源远端表项时,向所述汇聚交换机发送第二BGP协议报文。
具体地,分布式网络内包括核心交换机、远程交换机、多个汇聚交换机、接入交换机以及终端。在本申请实施例中以组网内包括一台核心交换机、一台远程交换机、两台汇聚交换机、四台接入交换机以及一台终端为例进行说明。
如图2-A所示,图2-A为本申请实施例提供的远程交换机接入现有分布式组网示意图。如图2-B所示,图2-B为本申请实施例提供的终端在跨接入交换机漫游组网示意图。
在图2-A中,终端接入AP2,并通过AP2接入第二接入交换机。第一接入交换机、第二接入交换机分别接入第一汇聚交换机。第三接入交换机、第四接入交换机分别接入第二汇聚交换机。第一汇聚交换机、第二汇聚交换机分别与核心交换机、远程交换机全连接。
在一种场景下,终端从AP2漫游至AP1,并通过AP1接入第一接入交换机。此时,第一终端通过AP1向第一接入交换机发送第一数据报文,该第一数据报文包括终端的源地址以及终端所处的VLAN标识。
其中,源地址可具体为源IP地址、源MAC地址,在后续描述中,以源地址为例进行说明。
第一接入交换机接收到第一数据报文后,从第一数据报文中获取源地址以及终端所处的VLAN标识。第一交换机获取的源地址为源MAC地址。在该VLAN标识对应的VLAN下,第一接入交换机判断VLAN下的MAC地址表中是否存在与源MAC地址匹配的MAC地址表项。若MAC地址表中未存在匹配的MAC地址表项,则第一交换机从第一数据报文中获取源IP地址,并生成第一BGP协议报文。该第一BGP协议报文包括终端的源地址以及终端所处的VLAN标识。
若MAC地址表中存在匹配的MAC地址表项,则第一接入交换机根据已存储的IPSG本地表,对第一数据报文进行转发处理。
第一接入交换机向第一汇聚交换机发送第一BGP协议报文。
第一汇聚交换机接收到第一BGP协议报文后,向接入的远程交换机发送第一BGP协议报文。
远程交换机接收到第一BGP协议报文后,从第一BGP协议报文中获取终端的源地址以及终端所处的VLAN标识。
进一步地,在本步骤之前,还包括远程交换机建立未知源远端表的过程。具体如下描述:
终端接入第一接入交换机后,可通过DHCP Relay动态申请IPv4/IPv6地址或无状态地址分配IPv6地址。终端获取到IP地址的同时,第一接入交换机通过终端与DHCP Relay或路由器之间交互协议报文(例如,协议报文可具体为ARP报文或者ND报文)后,生成对应的地址信息表项,该地址信息表项包括终端的源地址以及终端所处的VLAN标识。其中,地址信息表项包括DHCPv4/v6 relay表项、ND snooping表项。
第一接入交换机根据地址信息表项生成第一IPSG本地表项,并将第一IPSG本地表项存储至本地安全表中。
第一接入交换机生成第三BGP协议报文(该第三BGP协议报文仅为示例说明)。该第三BGP协议报文包括第一IPSG本地表项。可以理解的是,第三BGP协议报文包括第一IPSG本地表项中存储的内容,即源地址以及VLAN标识。
第一接入交换机向第一汇聚交换机发送第三BGP协议报文。
第一汇聚交换机接收到第三BGP协议报文后,向远程交换机发送第三BGP协议报文。远程交换机接收到第三BGP协议报文后,从第三BGP协议报文中获取第一IPSG本地表项,也即是,获取第一IPSG本地表项的内容,源地址以及VLAN标识。
远程交换机将第一IPSG本地表项的内容存储至未知源远端表中。
可以理解的是,接入第一汇聚交换机中的每个接入交换机均向第一汇聚交换机发送第三BGP协议报文。第一汇聚交换机将每个接入交换机发送的第三BGP协议报文均发送至远程交换机。接入远程交换机的每个汇聚交换机均向远程交换机发送第三BGP协议报文。如此,实现远程交换机中存储组网内每个接入交换机生成的第一IPSG本地表项的内容。
需要说明的是,在本申请实施例中,汇聚交换机接收到接入交换机发送的第三BGP协议报文后,不再向远端接入交换机同步该第三BGP协议报文。也即是,组网内每个接入交换机本地仅存储生成的IPSG本地表项,而不再存储由汇聚交换机同步的IPSG远端表项。组网内IPSG远端表项统一存储至远端交换机包括的未知源远端表中。
远程交换机获取到源地址以及VLAN标识后,根据源地址以及VLAN标识,查找本地存储的未知源远端表。
进一步地,在本申请实施例中,未知源远端表中除了包括源地址字段、VLAN标识字段外,还包括接入交换机标识字段。该接入交换机标识字段用于表明终端当前所接入的接入交换机。
更近一步地,未知源远端表中还可以包括汇聚交换机标识字段,该汇聚交换机标识字段用于表明终端当前接入的接入交换机所连接的汇聚交换机。
当在未知源远端表中未存在与源地址以及VLAN标识匹配的未知源远端表项时,远程交换机丢弃第一BGP协议报文。
若在未知源远端表中查找到与源地址以及VLAN标识匹配的未知源远端表项,则远程交换机生成第二BGP协议报文,该第二BGP协议报文包括源地址以及VLAN标识。远程交换机向第一汇聚交换机发送第二BGP协议报文。
步骤420、接收所述汇聚交换机发送的第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识。
具体地,根据步骤410的描述,第一汇聚交换机接收到第二BGP协议报文后,向第一接入交换机发送第二BGP协议报文。
第一接入交换机接收到第二BGP协议报文后,从中获取源地址以及VLAN标识。
步骤430、根据所述源地址以及VLAN标识,向所述终端发起探测。
具体地,根据步骤420的描述,根据源地址以及VLAN标识,向源地址对应的终端发起探测。在本申请实施例中,该探测可具体为ARP/ND探测,以判断终端是否真实接入第一接入交换机。
第一接入交换机向源地址对应的终端发送探测报文,并在预设的时间内判断是否接收到终端的探测回复报文。当在预设的时间内接收到终端发送的探测回复报文,则第一接入交换机确定该终端当前已接入自身,第一接入交换机生成第二IPSG本地表项,该第二IPSG本地表项包括终端的源地址以及终端所处的VLAN标识。同时,第一接入交换机生成通知报文,该通知报文包括第一接入交换机对终端发起探测的探测结果。
第一接入交换机向第一汇聚交换机发送通知报文,第一汇聚交换机接收到通知报文后,向远程交换机发送通知报文。
远程交换机接收到通知报文后,从中获取探测结果。根据探测结果,远程交换机获取与源地址以及VLAN标识匹配的未知源远端表项,并从未知源远端表项中获取记录的接入交换机的标识(例如,第二接入交换机的标识)。
根据探测结果以及第二接入交换机的标识,远程交换机确定该终端为漫游终端,并且是从第二接入交换机漫游至第一接入交换机处。
远程交换机生成第四BGP协议报文,该第四BGP协议报文包括源地址以及VLAN标识。远程交换机向第二接入交换机接入的汇聚交换机(例如,第二汇聚交换机)发送第四BGP协议报文。第二汇聚交换机接收到第四BGP协议报文后,向第二接入交换机发送第四BGP协议报文。
第二接入交换机接收到第四BGP协议报文后,从第四BGP协议报文中获取源地址以及VLAN标识。第二接入交换机根据源地址以及VLAN标识查找IPSG本地表项。
当查找到与源地址以及VLAN标识匹配的IPSG本地表项时,第二接入交换机撤销存储的IPSG本地表项。
进一步地,远程交换机还根据探测结果,将前述未知源远端表项中获取的接入交换机的标识进行更新,即,将第二接入交换机的标识更新为第一接入交换机的标识。
可以理解的是,远程交换机在发送第四BGP协议报文时,确定第二接入交换机当前接入的汇聚交换机。若第二接入交换机当前接入第一汇聚交换机,则向第一汇聚交换机发送第四BGP协议报文。
需要说明的是,在本申请实施例中,前述第一BGP协议报文、第二BGP协议报文、第三BGP协议报文以及第四BGP协议报文均为BGP update协议报文。
因此,通过应用本申请提供的报文处理方法,远程交换机接收第一汇聚交换机转发的第一接入交换机发送的第一BGP协议报文,该第一BGP协议报文包括接入第一接入交换机的终端的源地址以及终端所处的VLAN标识。根据源地址以及VLAN标识,远程交换机查找未知源远端表。当未知源远端表存在与源地址以及VLAN标识匹配的未知源远端表项时,远程交换机向第一汇聚交换机发送第二BGP协议报文,该第二BGP协议报文包括源地址以及VLAN标识,以使得第一汇聚交换机向第一接入交换机转发第二BGP协议报文,第一接入交换机根据源地址以及VLAN标识向终端发起探测。
如此,通过在组网内新增连接全部汇聚交换机的远程交换机,并将组网中全部接入交换机生成的IPSG表项存储至未知源远端表内,简化了IPSG的同步机制,有利于组网内路由的快速收敛。解决了现有组网中各台接入交换机单独维护所有IPSG远端表项,成本较高、组网内路由收敛时间较长以及对接入交换机的性能要求较高的问题。
基于同一发明构思,本申请实施例还提供了与报文处理方法对应的报文处理装置。参见图5,图5为本申请实施例提供的一种报文处理装置结构图。所述装置应用于远程交换机,所述远程交换机与至少一个汇聚交换机连接,每个汇聚交换机与至少一个接入交换机连接,所述装置包括:
接收单元510,用于接收第一汇聚交换机转发的第一接入交换机发送的第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识;
查找单元520,用于根据所述源地址以及VLAN标识,查找未知源远端表;
发送单元530,用于当所述未知源远端表存在与所述源地址以及VLAN标识匹配的未知源远端表项时,向所述第一汇聚交换机发送第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识,以使得所述第一汇聚交换机向所述第一接入交换机转发所述第二BGP协议报文,所述第一接入交换机根据所述源地址以及VLAN标识向所述终端发起探测。
可选地,所述接收单元510还用于,接收每个汇聚交换机发送的第三BGP协议报文,所述第三BGP协议报文包括接入汇聚交换机的每个接入交换机生成的本地IPSG表项;
所述装置还包括:存储单元(图中未示出)用于,将每个接入交换机生成的IPSG本地表项存储至所述未知源远端表中;
其中,所述IPSG本地表项包括接入接入交换机的每个终端的源地址字段以及终端所处的VLAN标识字段。
可选地,所述装置还包括:丢弃单元(图中未示出)用于,当所述未知源远端表未存在与所述源地址以及VLAN标识匹配的未知源远端表项时,丢弃所述第一BGP协议报文。
可选地,所述接收单元510还用于,接收所述第一汇聚交换机转发的所述第一接入交换机发送的通知报文,所述通知报文包括所述第一接入交换机对所述终端发起探测的探测结果;
所述发送单元530还用于,根据所述探测结果,向第二接入交换机接入的第二汇聚交换机发送第四BGP协议报文,以使得所述第二汇聚交换机向所述第二接入交换机转发所述第四BGP协议报文,所述第二接入交换机根据所述第四BGP协议报文撤销存储的IPSG本地表项;
其中,所述第二接入交换机为所述终端漫游前接入。
可选地,所述未知源远端表还包括接入交换机标识字段,所述装置还包括:更新单元(图中未示出)用于,根据所述探测结果,将所述未知源远端表项包括的所述第二接入交换机的标识更新为所述第一接入交换机的标识。
基于同一发明构思,本申请实施例还提供了与报文处理方法对应的报文处理装置。参见图6,图6为本申请实施例提供的另一种报文处理装置结构图。所述装置应用于汇聚交换机,所述汇聚交换机接入远程交换机,所述汇聚交换机与至少一个接入交换机连接,所述装置包括:
接收单元610,用于接收第一接入交换机发送的第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识;
发送单元620,用于向所述远程交换机发送所述第一BGP协议报文;
所述发送单元620还用于,当接收单元接收到所述远程交换机发送的第二BGP协议报文时,向所述第一接入交换机发送所述第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识,以使得所述第一接入交换机根据所述源地址以及VLAN标识向所述终端发起探测。
可选地,所述接收单元610还用于,接收每个接入交换机发送的第三BGP协议报文,所述第三BGP协议报文包括每个接入交换机生成的IPSG本地表项;
所述发送单元620还用于,向所述远程交换机发送所述第三BGP协议报文,以使得所述远程交换机将每个接入交换机生成的IPSG本地表项存储至未知源远端表中;
其中,所述IPSG本地表项包括接入接入交换机的每个终端的源地址以及终端所处的VLAN标识。
可选地,所述接收单元610还用于,接收所述第一接入交换机发送的通知报文,所述通知报文包括所述第一接入交换机对所述终端发起探测的探测结果;
所述发送单元620还用于,向所述远程交换机发送所述探测结果。
可选地,所述接收单元610还用于,接收所述远程交换机发送的第四BGP协议报文,所述第四BGP协议报文包括所述源地址以及VLAN标识;
所述发送单元620还用于,向第二接入交换机发送所述第四BGP协议报文,以使得所述第二接入交换机根据所述源地址以及VLAN标识撤销存储的IPSG本地表项;
其中,所述第二接入交换机为所述终端漫游前接入。
基于同一发明构思,本申请实施例还提供了与报文处理方法对应的报文处理装置。参见图7,图7为本申请实施例提供的另一种报文处理装置结构图。所述装置应用于接入交换机,所述接入交换机接入汇聚交换机,所述汇聚交换机接入远程交换机,所述装置包括:
发送单元710,用于向所述汇聚交换机发送第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识,以使得所述汇聚交换机向所述远程交换机发送所述第一BGP协议报文,所述远程交换机根据所述源地址以及VLAN标识查找未知源远端表,并在所述未知源远端表中查找到匹配的未知源远端表项时,向所述汇聚交换机发送第二BGP协议报文;
接收单元720,用于接收所述汇聚交换机发送的第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识;
探测单元730,用于根据所述源地址以及VLAN标识,向所述终端发起探测。
可选地,所述接收单元720还用于,接收终端发送的第一数据报文,所述第一数据报文包括所述源地址以及VLAN标识;
所述装置还包括:判断单元(图中未示出),用于在所述VLAN标识对应的VLAN下,判断所述VLAN下的地址表中是否存在与所述源地址匹配的地址表项;
生成单元(图中未示出),用于若未存在所述地址表项,则从所述第一数据报文中获取所述源地址,并生成所述第一BGP协议报文;
处理单元(图中未示出),用于若存在所述地址表项,则根据已存储的IPSG本地表,对所述第一数据报文进行转发处理。
可选地,所述发送单元710还用于,向所述汇聚交换机发送第三BGP协议报文,所述第三BGP协议报文包括所述IPSG本地表中的第一IPSG本地表项,以使得所述汇聚交换机向所述远程交换机发送所述第三BGP协议报文,所述远程交换机将所述第一IPSG本地表项存储至未知源远端表中;
其中,所述第一IPSG本地表项包括接入接入交换机的每个终端的源地址以及终端所处的VLAN标识。
可选地,所述生成单元(图中未示出)还用于,当接收单元720接收到所述终端发送的探测回复报文时,生成第二IPSG本地表项,所述第二IPSG本地表项包括所述源地址以及VLAN标识;
所述装置还包括:存储单元(图中未示出),用于将所述第二IPSG本地表项包括所述源地址以及VLAN标识存储至所述IPSG本地表中。
可选地,所述发送单元710还用于,向所述汇聚交换机发送通知报文,所述通知报文包括所述第一接入交换机对所述终端发起探测的探测结果,以使得所述汇聚交换机向所述远程交换机发送所述通知报文,所述远程交换机根据所述探测结果向第二接入交换机接入的第二汇聚交换机发送第四BGP协议报文,所述第二汇聚交换机向所述第二接入交换机发送所述第四BGP协议报文,所述第二接入交换机根据所述第四BGP协议报文撤销存储的IPSG本地表项;
其中,所述第二接入交换机为所述终端漫游前接入。
因此,通过应用本申请提供的报文处理方法及装置,远程交换机接收第一汇聚交换机转发的第一接入交换机发送的第一BGP协议报文,该第一BGP协议报文包括接入第一接入交换机的终端的源地址以及终端所处的VLAN标识。根据源地址以及VLAN标识,远程交换机查找未知源远端表。当未知源远端表存在与源地址以及VLAN标识匹配的未知源远端表项时,远程交换机向第一汇聚交换机发送第二BGP协议报文,该第二BGP协议报文包括源地址以及VLAN标识,以使得第一汇聚交换机向第一接入交换机转发第二BGP协议报文,第一接入交换机根据源地址以及VLAN标识向终端发起探测。
如此,通过在组网内新增连接全部汇聚交换机的远程交换机,并将组网中全部接入交换机生成的IPSG表项存储至未知源远端表内,简化了IPSG的同步机制,有利于组网内路由的快速收敛。解决了现有组网中各台接入交换机单独维护所有IPSG远端表项,成本较高、组网内路由收敛时间较长以及对接入交换机的性能要求较高的问题。
基于同一发明构思,本申请实施例还提供了一种网络设备,如图8所示,包括处理器810、收发器820和机器可读存储介质830,机器可读存储介质830存储有能够被处理器810执行的机器可执行指令,处理器810被机器可执行指令促使执行本申请实施例所提供的报文处理方法。前述图5、图6、图7所示的报文处理装置,可采用如图8所示的网络设备硬件结构实现。
上述计算机可读存储介质830可以包括随机存取存储器(英文:Random AccessMemory,简称:RAM),也可以包括非易失性存储器(英文:Non-volatile Memory,简称:NVM),例如至少一个磁盘存储器。可选的,计算机可读存储介质830还可以是至少一个位于远离前述处理器810的存储装置。
上述处理器810可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例中,处理器810通过读取机器可读存储介质830中存储的机器可执行指令,被机器可执行指令促使能够实现处理器810自身以及调用收发器820执行前述本申请实施例描述的报文处理方法。
另外,本申请实施例提供了一种机器可读存储介质830,机器可读存储介质830存储有机器可执行指令,在被处理器810调用和执行时,机器可执行指令促使处理器810自身以及调用收发器820执行前述本申请实施例描述的报文处理方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
对于报文处理装置以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (17)
1.一种报文处理方法,其特征在于,所述方法应用于远程交换机,所述远程交换机与至少一个汇聚交换机连接,每个汇聚交换机与至少一个接入交换机连接,所述方法包括:
接收第一汇聚交换机转发的第一接入交换机发送的第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识;
根据所述源地址以及VLAN标识,查找未知源远端表;
当所述未知源远端表存在与所述源地址以及VLAN标识匹配的未知源远端表项时,向所述第一汇聚交换机发送第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识,以使得所述第一汇聚交换机向所述第一接入交换机转发所述第二BGP协议报文,所述第一接入交换机根据所述源地址以及VLAN标识向所述终端发起探测。
2.根据权利要求1所述的方法,其特征在于,所述接收第一汇聚交换机转发的第一接入交换机发送的第一BGP协议报文之前,所述方法还包括:
接收每个汇聚交换机发送的第三BGP协议报文,所述第三BGP协议报文包括接入汇聚交换机的每个接入交换机生成的本地IPSG表项;
将每个接入交换机生成的IPSG本地表项存储至所述未知源远端表中;
其中,所述IPSG本地表项包括接入接入交换机的每个终端的源地址字段以及终端所处的VLAN标识字段。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述未知源远端表未存在与所述源地址以及VLAN标识匹配的未知源远端表项时,丢弃所述第一BGP协议报文。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收所述第一汇聚交换机转发的所述第一接入交换机发送的通知报文,所述通知报文包括所述第一接入交换机对所述终端发起探测的探测结果;
根据所述探测结果,向第二接入交换机接入的第二汇聚交换机发送第四BGP协议报文,以使得所述第二汇聚交换机向所述第二接入交换机转发所述第四BGP协议报文,所述第二接入交换机根据所述第四BGP协议报文撤销存储的IPSG本地表项;
其中,所述第二接入交换机为所述终端漫游前接入。
5.根据权利要求4所述的方法,其特征在于,所述未知源远端表还包括接入交换机标识字段,所述方法还包括:
根据所述探测结果,将所述未知源远端表项包括的所述第二接入交换机的标识更新为所述第一接入交换机的标识。
6.一种报文处理方法,其特征在于,所述方法应用于汇聚交换机,所述汇聚交换机接入远程交换机,所述汇聚交换机与至少一个接入交换机连接,所述方法包括:
接收第一接入交换机发送的第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识;
向所述远程交换机发送所述第一BGP协议报文;
当接收到所述远程交换机发送的第二BGP协议报文时,向所述第一接入交换机发送所述第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识,以使得所述第一接入交换机根据所述源地址以及VLAN标识向所述终端发起探测。
7.根据权利要求6所述的方法,其特征在于,所述接收第一接入交换机发送的第一BGP协议报文之前,所述方法还包括:
接收每个接入交换机发送的第三BGP协议报文,所述第三BGP协议报文包括每个接入交换机生成的IPSG本地表项;
向所述远程交换机发送所述第三BGP协议报文,以使得所述远程交换机将每个接入交换机生成的IPSG本地表项存储至未知源远端表中;
其中,所述IPSG本地表项包括接入接入交换机的每个终端的源地址以及终端所处的VLAN标识。
8.根据权利要求6所述的方法,其特征在于,所述方法还包括:
接收所述第一接入交换机发送的通知报文,所述通知报文包括所述第一接入交换机对所述终端发起探测的探测结果;
向所述远程交换机发送所述探测结果。
9.根据权利要求8所述的方法,其特征在于,所述方法还包括:
接收所述远程交换机发送的第四BGP协议报文,所述第四BGP协议报文包括所述源地址以及VLAN标识;
向第二接入交换机发送所述第四BGP协议报文,以使得所述第二接入交换机根据所述源地址以及VLAN标识撤销存储的IPSG本地表项;
其中,所述第二接入交换机为所述终端漫游前接入。
10.一种报文处理方法,其特征在于,所述方法应用于接入交换机,所述接入交换机接入汇聚交换机,所述汇聚交换机接入远程交换机,所述方法包括:
向所述汇聚交换机发送第一BGP协议报文,所述第一BGP协议报文包括接入所述接入交换机的终端的源地址以及所述终端所处的VLAN标识,以使得所述汇聚交换机向所述远程交换机发送所述第一BGP协议报文,所述远程交换机根据所述源地址以及VLAN标识查找未知源远端表,并在所述未知源远端表中查找到匹配的未知源远端表项时,向所述汇聚交换机发送第二BGP协议报文;
接收所述汇聚交换机发送的第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识;
根据所述源地址以及VLAN标识,向所述终端发起探测。
11.根据权利要求10所述的方法,其特征在于,所述向所述汇聚交换机发送第一BGP协议报文之前,所述方法还包括:
接收终端发送的第一数据报文,所述第一数据报文包括所述源地址以及VLAN标识;
在所述VLAN标识对应的VLAN下,判断所述VLAN下的地址表中是否存在与所述源地址匹配的地址表项;
若未存在所述地址表项,则从所述第一数据报文中获取所述源地址,并生成所述第一BGP协议报文;
若存在所述地址表项,则根据已存储的IPSG本地表,对所述第一数据报文进行转发处理。
12.根据权利要求11所述的方法,其特征在于,所述向所述汇聚交换机发送第一BGP协议报文之前,所述方法还包括:
向所述汇聚交换机发送第三BGP协议报文,所述第三BGP协议报文包括所述IPSG本地表中的第一IPSG本地表项,以使得所述汇聚交换机向所述远程交换机发送所述第三BGP协议报文,所述远程交换机将所述第一IPSG本地表项存储至未知源远端表中;
其中,所述第一IPSG本地表项包括接入接入交换机的每个终端的源地址以及终端所处的VLAN标识。
13.根据权利要求11所述的方法,其特征在于,所述方法还包括:
当接收到所述终端发送的探测回复报文时,生成第二IPSG本地表项,所述第二IPSG本地表项包括所述源地址以及VLAN标识;
将所述第二IPSG本地表项包括所述源地址以及VLAN标识存储至所述IPSG本地表中。
14.根据权利要求10所述的方法,其特征在于,所述方法还包括:
向所述汇聚交换机发送通知报文,所述通知报文包括所述接入交换机对所述终端发起探测的探测结果,以使得所述汇聚交换机向所述远程交换机发送所述通知报文,所述远程交换机根据所述探测结果向第二接入交换机接入的第二汇聚交换机发送第四BGP协议报文,所述第二汇聚交换机向所述第二接入交换机发送所述第四BGP协议报文,所述第二接入交换机根据所述第四BGP协议报文撤销存储的IPSG本地表项;
其中,所述第二接入交换机为所述终端漫游前接入。
15.一种报文处理装置,其特征在于,所述装置应用于远程交换机,所述远程交换机与至少一个汇聚交换机连接,每个汇聚交换机与至少一个接入交换机连接,所述装置包括:
接收单元,用于接收第一汇聚交换机转发的第一接入交换机发送的第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识;
查找单元,用于根据所述源地址以及VLAN标识,查找未知源远端表;
发送单元,用于当所述未知源远端表存在与所述源地址以及VLAN标识匹配的未知源远端表项时,向所述第一汇聚交换机发送第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识,以使得所述第一汇聚交换机向所述第一接入交换机转发所述第二BGP协议报文,所述第一接入交换机根据所述源地址以及VLAN标识向所述终端发起探测。
16.一种报文处理装置,其特征在于,所述装置应用于汇聚交换机,所述汇聚交换机接入远程交换机,所述汇聚交换机与至少一个接入交换机连接,所述装置包括:
接收单元,用于接收第一接入交换机发送的第一BGP协议报文,所述第一BGP协议报文包括接入所述第一接入交换机的终端的源地址以及所述终端所处的VLAN标识;
发送单元,用于向所述远程交换机发送所述第一BGP协议报文;
所述发送单元还用于,当接收单元接收到所述远程交换机发送的第二BGP协议报文时,向所述第一接入交换机发送所述第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识,以使得所述第一接入交换机根据所述源地址以及VLAN标识向所述终端发起探测。
17.一种报文处理装置,其特征在于,所述装置应用于接入交换机,所述接入交换机接入汇聚交换机,所述汇聚交换机接入远程交换机,所述装置包括:
发送单元,用于向所述汇聚交换机发送第一BGP协议报文,所述第一BGP协议报文包括接入所述接入交换机的终端的源地址以及所述终端所处的VLAN标识,以使得所述汇聚交换机向所述远程交换机发送所述第一BGP协议报文,所述远程交换机根据所述源地址以及VLAN标识查找未知源远端表,并在所述未知源远端表中查找到匹配的未知源远端表项时,向所述汇聚交换机发送第二BGP协议报文;
接收单元,用于接收所述汇聚交换机发送的第二BGP协议报文,所述第二BGP协议报文包括所述源地址以及VLAN标识;
探测单元,用于根据所述源地址以及VLAN标识,向所述终端发起探测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110198588.6A CN112996077B (zh) | 2021-02-23 | 2021-02-23 | 报文处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110198588.6A CN112996077B (zh) | 2021-02-23 | 2021-02-23 | 报文处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112996077A CN112996077A (zh) | 2021-06-18 |
| CN112996077B true CN112996077B (zh) | 2022-07-12 |
Family
ID=76349455
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110198588.6A Active CN112996077B (zh) | 2021-02-23 | 2021-02-23 | 报文处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112996077B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009689A (zh) * | 2006-01-26 | 2007-08-01 | 西门子(中国)有限公司 | 一种防止地址解析欺骗的方法 |
| CN101719877A (zh) * | 2010-01-15 | 2010-06-02 | 福建星网锐捷网络有限公司 | 一种报文转发装置、网络设备及方法 |
| CN101820396A (zh) * | 2010-05-24 | 2010-09-01 | 杭州华三通信技术有限公司 | 一种报文安全性验证的方法和设备 |
| WO2010130181A1 (zh) * | 2009-05-11 | 2010-11-18 | 中兴通讯股份有限公司 | 防止IPv6地址被欺骗性攻击的装置与方法 |
| CN106412996A (zh) * | 2016-09-30 | 2017-02-15 | 杭州迪普科技有限公司 | 转发报文的方法及装置 |
| CN109525601A (zh) * | 2018-12-28 | 2019-03-26 | 杭州迪普科技股份有限公司 | 内网中终端间的横向流量隔离方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7861076B2 (en) * | 2004-12-27 | 2010-12-28 | Cisco Technology, Inc. | Using authentication server accounting to create a common security database |
| US8380819B2 (en) * | 2009-05-14 | 2013-02-19 | Avaya Inc. | Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network |
-
2021
- 2021-02-23 CN CN202110198588.6A patent/CN112996077B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101009689A (zh) * | 2006-01-26 | 2007-08-01 | 西门子(中国)有限公司 | 一种防止地址解析欺骗的方法 |
| WO2010130181A1 (zh) * | 2009-05-11 | 2010-11-18 | 中兴通讯股份有限公司 | 防止IPv6地址被欺骗性攻击的装置与方法 |
| CN101719877A (zh) * | 2010-01-15 | 2010-06-02 | 福建星网锐捷网络有限公司 | 一种报文转发装置、网络设备及方法 |
| CN101820396A (zh) * | 2010-05-24 | 2010-09-01 | 杭州华三通信技术有限公司 | 一种报文安全性验证的方法和设备 |
| CN106412996A (zh) * | 2016-09-30 | 2017-02-15 | 杭州迪普科技有限公司 | 转发报文的方法及装置 |
| CN109525601A (zh) * | 2018-12-28 | 2019-03-26 | 杭州迪普科技股份有限公司 | 内网中终端间的横向流量隔离方法和装置 |
Non-Patent Citations (3)
| Title |
|---|
| HFC集成Wi-Fi网络架构研究;刘宏;《广播电视信息》;20130715;全文 * |
| IPv6 campus network deployment guidelines for DNS, Web server, Proxy server and Wi-Fi;Adeel Baig;《2016 26th International Telecommunication Networks and Applications Conference (ITNAC)》;20170416;全文 * |
| 基于IP DHCP Snooping的大型局域网安全策略研究;史罕初 等;《网络安全技术与应用》;20091115(第11期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112996077A (zh) | 2021-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104468866B (zh) | 一种无线局域网中多网关终端快速漫游方法 | |
| EP2493117B1 (en) | Method and apparatus for duplicate address detection proxy | |
| US20110032939A1 (en) | Network system, packet forwarding apparatus, and method of forwarding packets | |
| EP3065358A1 (en) | Method and device for message forwarding | |
| US10372775B2 (en) | Anonymous identity in identity oriented networks and protocols | |
| US20190058731A1 (en) | User-side detection and containment of arp spoofing attacks | |
| CN102025734B (zh) | 一种防止mac地址欺骗的方法、系统及交换机 | |
| CN108600109B (zh) | 一种报文转发方法和装置 | |
| US7729362B2 (en) | Method and apparatus for processing packet in high speed router | |
| CN107094110B (zh) | 一种dhcp报文转发方法及装置 | |
| CN111654485B (zh) | 一种客户端的认证方法以及设备 | |
| CN111953607B (zh) | 路由更新的方法及装置 | |
| CN110505621B (zh) | 一种终端迁移的处理方法及装置 | |
| US20130243004A1 (en) | Communication control method, relay device, and information processing device | |
| US8804729B1 (en) | IPv4, IPv6, and ARP spoofing protection method | |
| US11283645B2 (en) | Forwarding packet | |
| CN108494686B (zh) | 路由处理方法及装置 | |
| CN108306825B (zh) | 一种等价转发表项生成方法和vtep设备 | |
| EP4440038A1 (en) | Flood attack defense method and related device | |
| JP2014150364A (ja) | アドレス生成装置 | |
| CN112688940A (zh) | 报文处理方法及装置 | |
| EP2466815B1 (en) | Method and system for initiating forwarding of communicaiton, information and data message and for routing configuration | |
| JP2022512707A (ja) | Diameterシグナリングメッセージ外部識別子アドレス解決およびルーティングのための方法、システム、およびコンピュータ可読媒体 | |
| CN112996077B (zh) | 报文处理方法及装置 | |
| CN105635138B (zh) | 一种防止arp攻击的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |