CN116647414A - 报文端口过滤方法、终端设备以及计算机可读存储介质 - Google Patents

报文端口过滤方法、终端设备以及计算机可读存储介质 Download PDF

Info

Publication number
CN116647414A
CN116647414A CN202310922219.6A CN202310922219A CN116647414A CN 116647414 A CN116647414 A CN 116647414A CN 202310922219 A CN202310922219 A CN 202310922219A CN 116647414 A CN116647414 A CN 116647414A
Authority
CN
China
Prior art keywords
message
interface
forwarded
layer
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310922219.6A
Other languages
English (en)
Other versions
CN116647414B (zh
Inventor
吴宗泽
李太安
陈桂耀
肖存峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Rongan Networks Technology Co ltd
Shenzhen University
Original Assignee
Shenzhen Rongan Networks Technology Co ltd
Shenzhen University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Rongan Networks Technology Co ltd, Shenzhen University filed Critical Shenzhen Rongan Networks Technology Co ltd
Priority to CN202310922219.6A priority Critical patent/CN116647414B/zh
Publication of CN116647414A publication Critical patent/CN116647414A/zh
Application granted granted Critical
Publication of CN116647414B publication Critical patent/CN116647414B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了报文端口过滤方法、终端设备以及计算机可读存储介质,该方法包括:接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型;其中,所述待转发报文上携带入接口标记值;若所述出接口类型为二层物理出接口,基于二层物理地址表确定所述待转发报文对应的出接口标记值;基于所述入接口标记值和所述出接口标记值,对所述待转发报文进行二层接口过滤。解决了报文三层转发出接口为桥接口时,二层接口过滤的问题。

Description

报文端口过滤方法、终端设备以及计算机可读存储介质
技术领域
本申请涉及通信技术领域,尤其涉及报文端口过滤方法、终端设备以及计算机可读存储介质。
背景技术
Netfilter网络过滤模块是Linux内核空间的数据包处理框架,Netfilter、iptables以及ebtables组成Linux平台下的包过滤防火墙。iptables用来制定网络层过滤规则,ebtables负责桥数据链路层过滤规则。
当系统用于转发时,netfilter处理分为二层处理和三层处理两种流程,当入接口处为三层接口,则进入三层处理流程。在prerouting转发链之后,进行查路由操作。根据查询结果,如果是本机路由,则进入input链处理,如果是转发的流量,则进入forward链处理。由于三层处理流程中,只能获取到三层出接口,若报文是三层跨逻辑接口转发报文,则由于尚未获得二层物理出接口,无法进行物理接口过滤。需要结合ebtables规则实现对二层出接口的过滤,操作复杂且难以实现复杂的规则组合。
发明内容
本申请实施例通过提供一种报文端口过滤方法、终端设备以及计算机可读存储介质,解决了报文转发时,三层转发出接口为桥接口的二层接口过滤问题,使得可以简单的实现二三层接口的过滤。
本申请实施例提供了一种报文端口过滤方法,所述方法包括:
接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型;其中,所述待转发报文上携带入接口标记值;
若所述出接口类型为二层物理出接口,基于二层物理地址表确定所述待转发报文对应的出接口标记值;
基于所述入接口标记值和所述出接口标记值,对所述待转发报文进行二层接口过滤。
可选地,所述接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型的步骤之前,包括:
获取接收报文的硬件设备的网口个数;
根据所述网口个数确定入接口和出接口的个数,并划分所述标记值的输入域以及所述标记值的输出域。
可选地,所述根据所述网口个数确定入接口和出接口的个数,并划分所述标记值的输入域以及所述标记值的输出域的步骤之后,包括:
对所述入接口和所述出接口的报文互通规则进行配置;
获取报文互通的入接口和出接口的端口号;
在所述输入域中对入接口端口号进行标记,形成入接口标记值;以及
在所述输出域中对出接口端口号进行标记,形成出接口标记值。
可选地,所述基于所述入接口标记值和所述出接口标记值,对所述待转发报文进行二层接口过滤的步骤包括:
根据所述入接口标记值和所述出接口标记值,确定预设报文过滤规则;
根据所述预设报文过滤规则,对所述待转发报文进行处理,完成所述二层接口过滤。
可选地,所述接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型的步骤之后,包括:
若所述出接口类型为三层物理出接口,获取所述三层物理出接口对应的出接口标记值,对所述待转发报文进行三层接口过滤。
可选地,所述若所述出接口类型为二层物理出接口,基于二层物理地址表确定所述待转发报文对应的出接口标记值的步骤包括:
若在所述二层物理地址表中查询不到所述二层物理出接口对应的出接口标记值,则返回匹配失败信息;
将所述待转发报文返回所述三层物理入接口并等待重新接收待转发报文。
可选地,所述接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型的步骤,包括:
基于所述待转发报文进行路由查询;
根据所述待转发报文的路由信息,确定所述待转发报文对应的出接口类型。
可选地,所述根据所述待转发报文的路由信息,确定所述待转发报文对应的出接口类型的步骤之后,包括:
基于所述路由信息,获取下一跳网关地址;
根据所述下一跳网关地址,在邻居表中获取Mac地址;所述Mac地址用于确定所述二层物理地址表。
此外,为实现上述目的,本发明实施例还提供一种终端设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的报文端口过滤程序,所述处理器执行所述报文端口过滤程序时,实现如上所述的方法。
此外,为实现上述目的,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有报文端口过滤程序,所述报文端口过滤程序被处理器执行时,实现如上所述的方法。
本申请实施例中提供的一个或多个技术方案,至少具有如下技术效果或优点:
当接收到入接口为三层物理入接口的待转发报文时,执行报文转发流程,对待转发报文进行路径决策,若根据路径决策结果确定待转发报文的出接口为二层物理出接口,在二层物理地址表中获取待转发报文对应的出接口标记值,结合待转发报文上携带的入接口标记值,对所述待转发报文进行二层接口过滤。通过入接口和出接口的标记值,对待转发报文进行二层接口过滤。使得报文转发时,可以通过简单的标记值匹配完成报文过滤,简化过滤流程。
附图说明
图1为本申请报文端口过滤方法实施例一的流程示意图;
图2为本申请报文端口过滤过程的流程示意图;
图3为本申请报文端口过滤方法实施例二的流程示意图;
图4为本申请报文端口过滤方法实施例二的另一流程示意图;
图5为本申请一实施例方案涉及的硬件运行环境的终端结构示意图。
具体实施方式
当转发报文的入接口为三层接口,出接口为二层接口时,在三层处理流程中,只能获取到三层出接口,若要获取二层出接口,需要借助ebtables规则获取二层出接口,实现对二层出接口的过滤,过程较复杂。本申请提供一种报文端口过滤方法。当接收到入接口为三层物理入接口的待转发报文时,基于待转发报文对应的路径决策结果,确定待转发报文对应的出接口类型,其中,待转发报文上携带入接口标记值。若确定出接口类型为二层物理出接口,则基于二层物理地址表确定待转发报文对应的出接口标记值。根据出接口标记值确定对应的二层出接口,再根据入接口标记值和出接口标记值是否匹配,完成二层接口过滤。使得报文转发时,可以通过简单的标记值匹配完成报文过滤,简化过滤流程。
为了更好的理解上述技术方案,下面将参照附图更详细地描述本申请的示例性实施例。虽然附图中显示了本申请的示例性实施例,然而应当理解,可以以各种形式实现本申请而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本申请,并且能够将本申请的范围完整的传达给本领域的技术人员。
为了更好的理解上述技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。
实施例一
在本实施例中,提供一种报文端口过滤方法。
参照图1,本实施例的报文端口过滤方法包括以下步骤:
步骤S100:接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型;其中,所述待转发报文上携带入接口标记值;
在本实施例中,待转发报文上携带有入接口标记值,硬件设备上有多个入接口,每个入接口有各自对应的标记值,待转发报文上携带的入接口标记值用于指示需要通过哪个入接口进行报文转发。路径决策指的是判断待转发报文的出接口类型,出接口类型包括二层接口和三层接口,其中二层接口包括逻辑接口和桥接口。
作为一种可选实施方式,参照图2,在接收到待转发报文后,基于待转发报文进行路由查询。根据查询到的路由信息,判断待转发报文是本机流量还是转发的流量。如果是本机的流量,则直接进入INPUT链处理;如果是转发的流量,则进入FORWARD链处理。若待转发报文为转发的流量,进行路径决策,根据路径决策结果,可以确定待转发报文的出接口为三层物理出接口还是二层物理出接口。
示例性地,根据待转发报文上携带的入接口标记值确定对应的入接口,若入接口标记值对应的是三层物理入接口,则接入所述三层物理入接口,进入三层处理流程。先进行路由查询,判断待转发报文是本机的流量还是转发的流量,若为本机流量,则直接获取三层物理出接口,进入INPUT链。若为转发的流量,则进入FORWARD链处理。进行路径决策查询,根据路径决策结果,确定待转发报文对应的出接口是三层物理出接口还是二层物理出接口。若为三层物理出接口,则进入INPUT链;若为二层物理出接口,进入OUTPUT链处理。
作为另一种可选实施方式,在进行路由查询后,基于路由信息获取下一跳网关地址,根据下一跳网关地址,在neigh表中获取MAC地址信息,MAC地址信息用于获取二层物理地址表。
作为又一种可选实施方式,在确定待转发报文对应的出接口类型后,若出接口类型为三层物理出接口,则直接获取到三层物理出接口对应的出接口标记值,对待转发报文进行三层接口过滤。
示例性地,三层处理流程中,能直接获取到三层物理出接口,但不能直接获取具体的二层物理出接口,在后续处理走到链路层OUTPUT链时,才能查出二层物理出接口。当确定待转发报文为本机流量或者出接口为三层物理出接口时,直接获取对应的三层物理出接口地址,完成报文的三层接口过滤。
步骤S200:若所述出接口类型为二层物理出接口,基于二层物理地址表确定所述待转发报文对应的出接口标记值;
在本实施例中,二层物理出接口包括逻辑接口和桥接口,一个硬件设备上有多个二层物理出接口,每个出接口有各自对应的物理地址。二层物理地址表上有各个二层接口对应的标记值。
作为一种可选实施方式,若在二层物理地址表中查询不到所述二层物理出接口对应的出接口标记值,则返回匹配失败信息;将所述待转发报文返回所述三层物理入接口并等待重新接收待转发报文。
示例性地,通过路径决策可以确定出接口的类型,但不能确定出接口的具体地址。因此需要在二层物理地址表中查询对应的二层物理出接口以及二层物理出接口对应的标记值。若在二层物理地址表中查询不到待转发报文对应的二层物理出接口,表明匹配失败,将待转发报文退回入接口。若在二层物理地址表中查询到待转发报文对应的二层物理出接口,则获取对应的二层物理出接口标记值,并将所述二层物理出接口标记值标记在待转发报文上。
作为另一种可选实施方式,iptables中已配置好各个入接口和出接口的报文匹配规则,到接收到待转发报文时,可以根据所述待转发报文上携带的入接口标记值,确定所述待转发报文对应的可用出接口范围。确定出接口范围后,根据所述待转发报文对应的过滤规则,在二层物理地址表中获取所述实际二层物理出接口及其标记值。
示例性地,通过一个入接口可以访问至少一个出接口,系统内已预先配置好接口访问规则。确定入接口的后,可以根据接口访问规则确定待转发报文可访问的出接口范围。进入三层处理流程后,当处理流程到forward链转发层前,先基于待转发报文上携带的报文过滤信息,查询二层物理地址表,获取所述待转发报文的实际二层物理出接口,及二层物理出接口的标记值。
步骤S300:基于所述入接口标记值和所述出接口标记值,对所述待转发报文进行二层接口过滤。
在本实施例中,网口设备上配置有多个入接口和出接口,且入接口和出接口预先配置有标记值,每个标记值用于标识对应的接口。
作为一种可选实施方式,根据入接口标记值和出接口标记值,确定预设的报文过滤规则,再根据预设报文过滤规则,对待转发报文进行处理,完成二层接口过滤。
示例性地,预设报文过滤规则指的是在iptables中预先配置好的过滤规则。iptables按照规则办事,当确定入接口标记值和出接口标记值后,iptables会从上到下读取防火墙规则。找到与待转发报文对应的匹配规则,结束匹配工作,并执行对应的动作。若找不到与所述待转发报文对应的匹配规则,则执行默认规则。
在本实施例中,当接收到入接口为三层物理入接口的待转发报文后,进行三层处理流程。所述待转发报文中携带入接口标记值。根据三层处理流程中的路径决策结果,确定待转发报文对应的出接口类型。若出接口类型为三层物理出接口,则进行正常的报文过滤流程。若出接口类型为二层物理出接口,则在二层物理地址表中查询获取二层物理出接口地址及其对应的标记值。根据二层物理出接口标记值和待转发报文携带的入接口标记值,确定过滤规则,进行正常报文过滤。通过入接口标记值和出接口标记值,利用iptables框架确定过滤规则,进行报文过滤。在三层过滤流程中,可以提前查询二层物理接口,实现在forward链上过滤跨二三层接口的报文过滤,提高了匹配效率,且只需通过标记值进行匹配,配置简单。
实施例二
基于实施例一,提出本申请的另一实施例,参照图3,在步骤S100之前,包括以下步骤:
步骤S010:获取接收报文的硬件设备的网口个数;
步骤S020:根据所述网口个数确定入接口和出接口的个数,并划分所述标记值的输入域以及所述标记值的输出域。
步骤S030:根据不同的硬件设备,对输入域和输出域的标记值进行设置,不同设备有各自对应的输入域和输出域标记值。
在本实施例中,进行报文过滤前,先对硬件规格进行配置,划分输入域和输出域,并为输入域和输出域的每个端口设置标记值。
作为一种可选实施方式,不同的硬件设备的网口个数不同,对硬件设备的网口进行配置,确定入接口和出接口,并对各个入接口和出接口配置标记值。对标记值进行规划,划出用于表示报文入接口的输入域和报文出接口的输出域。
示例性地,标记值可以为数字,当硬件设备有8个网口时,则一共有16个入接口和出接口,需要16个数字作为标记值,取0到15作为标记值。可以将0到7作为输入域,对8个入接口进行标记,将8到15作为输出与,对8个出接口进行标记。通过对硬件设备的网口划分输入域和输出域,每个接口对应有一个标记值,便于对硬件设备的网口进行管理。
参照图4,在根据所述网口个数确定入接口和出接口个数,并划分所述标记值的输入域以及所述标记值的输出域的步骤之后,还包括:
步骤S021:对所述入接口和所述出接口的报文互通规则进行配置;
步骤S022:获取报文互通的入接口和出接口的端口号;
步骤S023:在所述输入域中对入接口端口号进行标记,形成入接口标记值;以及
步骤S024:在所述输出域中对出接口端口号进行标记,形成出接口标记值。
在本实施例中,报文互通规则指的是在网络层iptables规则中配置的过滤规则。在报文过滤过程中,除了需要执行链路层ebtables过滤规则外,还需要执行网络层iptables过滤规则,达到同时执行网络层过滤和链路层过滤的目的。
作为另一种可选实施方式,在输入域和输出域设置标记值后,再结合其它规则,生成iptables过滤规则,下发到内核中。
示例性地,设置标记值后,再设置各个入接口和出接口的过滤规则。例如允许流量通过入接口a通过出接口c访问对应的服务器。禁止流量通过入接口a通过出接口f访问对应的服务器。预先设置访问规则,结合配置好的接口标记值,生成iptables过滤规则。
在本实施例中,进行报文过滤之前,需要先对硬件设备进行配置。根据硬件设备的网口个数,确定入接口和出接口的个数,并划分标记值的输入域以及标记值的输出域。根据不同的硬件设备,对输入域和输出域的标记值进行设置,不同设备有各自对应的输入域和输出域标记值。防止当接收到报文以及报文上携带的入接口标记值时,会由于接口标记值不唯一,出现报文传输混乱的问题。
实施例三
在本申请实施例中,提出一种报文端口过滤装置。
参照图4,图4为本申请一实施例方案涉及的硬件运行环境的终端结构示意图。
如图4所示,该控制终端可以包括:处理器1001,例如CPU,网络接口1003,存储器1004,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。网络接口1003可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1004可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1004可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图4中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图4所示,作为一种计算机存储介质的存储器1004中可以包括操作系统、网络通信模块、以及报文端口过滤程序。
在图4所示的报文端口过滤设备硬件结构中,处理器1001可以调用存储器1004中存储的报文端口过滤程序,并执行以下操作:
接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型;其中,所述待转发报文上携带入接口标记值;
若所述出接口类型为二层物理出接口,基于二层物理地址表确定所述待转发报文对应的出接口标记值;
基于所述入接口标记值和所述出接口标记值,对所述待转发报文进行二层接口过滤。
可选地,处理器1001可以调用存储器1004中存储的报文端口过滤程序,还执行以下操作:
获取接收报文的硬件设备的网口个数;
根据所述网口个数确定入接口和出接口的个数,并划分所述标记值的输入域以及所述标记值的输出域。
可选地,处理器1001可以调用存储器1004中存储的报文端口过滤程序,还执行以下操作:
对所述入接口和所述出接口的报文互通规则进行配置;
获取报文互通的入接口和出接口的端口号;
在所述输入域中对入接口端口号进行标记,形成入接口标记值;以及
在所述输出域中对出接口端口号进行标记,形成出接口标记值。
可选地,处理器1001可以调用存储器1004中存储的报文端口过滤程序,还执行以下操作:
根据所述入接口标记值和所述出接口标记值,确定预设报文过滤规则;
根据所述预设报文过滤规则,对所述待转发报文进行处理,完成所述二层接口过滤。
可选地,处理器1001可以调用存储器1004中存储的报文端口过滤程序,还执行以下操作:
若所述出接口类型为三层物理出接口,获取所述三层物理出接口对应的出接口标记值,对所述待转发报文进行三层接口过滤。
可选地,处理器1001可以调用存储器1004中存储的报文端口过滤程序,还执行以下操作:
若在所述二层物理地址表中查询不到所述二层物理出接口对应的出接口标记值,则返回匹配失败信息;
将所述待转发报文返回所述三层物理入接口并等待重新接收待转发报文。
可选地,处理器1001可以调用存储器1004中存储的报文端口过滤程序,还执行以下操作:
基于所述待转发报文进行路由查询;
根据所述待转发报文的路由信息,确定所述待转发报文对应的出接口类型。
可选地,处理器1001可以调用存储器1004中存储的报文端口过滤程序,还执行以下操作:
基于所述路由信息,获取下一跳网关地址;
根据所述下一跳网关地址,在邻居表中获取Mac地址;所述Mac地址用于确定所述二层物理地址表。
此外,为实现上述目的,本发明实施例还提供一种终端设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的报文端口过滤程序,所述处理器执行所述报文端口过滤程序时,实现如上所述的报文端口过滤方法。
此外,为实现上述目的,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有报文端口过滤程序,所述报文端口过滤程序被处理器执行时,实现如上所述的报文端口过滤方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
应当注意的是,在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本申请可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种报文端口过滤方法,其特征在于,所述方法包括:
接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型;其中,所述待转发报文上携带入接口标记值;
若所述出接口类型为二层物理出接口,基于二层物理地址表确定所述待转发报文对应的出接口标记值;
基于所述入接口标记值和所述出接口标记值,对所述待转发报文进行二层接口过滤。
2.如权利要求1所述的方法,其特征在于,所述接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型的步骤之前,包括:
获取接收报文的硬件设备的网口个数;
根据所述网口个数确定入接口和出接口的个数,并划分所述标记值的输入域以及所述标记值的输出域。
3.如权利要求2所述的方法,其特征在于,所述根据所述网口个数确定入接口和出接口的个数,并划分所述标记值的输入域以及所述标记值的输出域的步骤之后,包括:
对所述入接口和所述出接口的报文互通规则进行配置;
获取报文互通的入接口和出接口的端口号;
在所述输入域中对入接口端口号进行标记,形成入接口标记值;以及
在所述输出域中对出接口端口号进行标记,形成出接口标记值。
4.如权利要求1所述的方法,其特征在于,所述基于所述入接口标记值和所述出接口标记值,对所述待转发报文进行二层接口过滤的步骤包括:
根据所述入接口标记值和所述出接口标记值,确定预设报文过滤规则;
根据所述预设报文过滤规则,对所述待转发报文进行处理,完成所述二层接口过滤。
5.如权利要求1所述的方法,其特征在于,所述接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型的步骤之后,包括:
若所述出接口类型为三层物理出接口,获取所述三层物理出接口对应的出接口标记值,对所述待转发报文进行三层接口过滤。
6.如权利要求1所述的方法,其特征在于,所述若所述出接口类型为二层物理出接口,基于二层物理地址表确定所述待转发报文对应的出接口标记值的步骤包括:
若在所述二层物理地址表中查询不到所述二层物理出接口对应的出接口标记值,则返回匹配失败信息;
将所述待转发报文返回所述三层物理入接口并等待重新接收待转发报文。
7.如权利要求1所述的方法,其特征在于,所述接收到入接口为三层物理入接口的待转发报文时,基于所述待转发报文对应的路径决策结果,确定所述待转发报文对应的出接口类型的步骤,包括:
基于所述待转发报文进行路由查询;
根据所述待转发报文的路由信息,确定所述待转发报文对应的出接口类型。
8.如权利要求7所述的方法,其特征在于,所述根据所述待转发报文的路由信息,确定所述待转发报文对应的出接口类型的步骤之后,包括:
基于所述路由信息,获取下一跳网关地址;
根据所述下一跳网关地址,在邻居表中获取Mac地址;所述Mac地址用于确定所述二层物理地址表。
9.一种终端设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的报文端口过滤程序,所述处理器执行所述报文端口过滤程序时,实现权利要求1-8任一所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有报文端口过滤程序,所述报文端口过滤程序被处理器执行时,实现权利要求1-8任一所述的方法。
CN202310922219.6A 2023-07-26 2023-07-26 报文端口过滤方法、终端设备以及计算机可读存储介质 Active CN116647414B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310922219.6A CN116647414B (zh) 2023-07-26 2023-07-26 报文端口过滤方法、终端设备以及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310922219.6A CN116647414B (zh) 2023-07-26 2023-07-26 报文端口过滤方法、终端设备以及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN116647414A true CN116647414A (zh) 2023-08-25
CN116647414B CN116647414B (zh) 2023-10-31

Family

ID=87623340

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310922219.6A Active CN116647414B (zh) 2023-07-26 2023-07-26 报文端口过滤方法、终端设备以及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN116647414B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101094185A (zh) * 2007-07-27 2007-12-26 杭州华三通信技术有限公司 基于多链路的报文转发方法和装置
CN101217539A (zh) * 2007-12-29 2008-07-09 杭州华三通信技术有限公司 一种防火墙设备及处理二层转发报文的方法
CN101771732A (zh) * 2010-01-06 2010-07-07 福建星网锐捷网络有限公司 报文处理方法、装置和网络设备
CN108199963A (zh) * 2017-12-27 2018-06-22 新华三技术有限公司 报文转发方法和装置
CN112615778A (zh) * 2020-11-06 2021-04-06 北京东土军悦科技有限公司 报文转发方法、装置、路由器、存储介质及系统
CN114374641A (zh) * 2021-12-23 2022-04-19 锐捷网络股份有限公司 一种三层报文转发方法及装置
WO2023056747A1 (zh) * 2021-10-09 2023-04-13 深圳市广和通无线股份有限公司 应用程序流量的控制方法、装置、设备及存储介质
CN116112218A (zh) * 2022-12-19 2023-05-12 北京椰子树信息技术有限公司 一种云盾场景实现方法、防火墙、电子设备、存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101094185A (zh) * 2007-07-27 2007-12-26 杭州华三通信技术有限公司 基于多链路的报文转发方法和装置
CN101217539A (zh) * 2007-12-29 2008-07-09 杭州华三通信技术有限公司 一种防火墙设备及处理二层转发报文的方法
CN101771732A (zh) * 2010-01-06 2010-07-07 福建星网锐捷网络有限公司 报文处理方法、装置和网络设备
CN108199963A (zh) * 2017-12-27 2018-06-22 新华三技术有限公司 报文转发方法和装置
CN112615778A (zh) * 2020-11-06 2021-04-06 北京东土军悦科技有限公司 报文转发方法、装置、路由器、存储介质及系统
WO2023056747A1 (zh) * 2021-10-09 2023-04-13 深圳市广和通无线股份有限公司 应用程序流量的控制方法、装置、设备及存储介质
CN114374641A (zh) * 2021-12-23 2022-04-19 锐捷网络股份有限公司 一种三层报文转发方法及装置
CN116112218A (zh) * 2022-12-19 2023-05-12 北京椰子树信息技术有限公司 一种云盾场景实现方法、防火墙、电子设备、存储介质

Also Published As

Publication number Publication date
CN116647414B (zh) 2023-10-31

Similar Documents

Publication Publication Date Title
US9838277B2 (en) Packet copy management for service chain processing within virtual processing systems
WO2018222584A1 (en) Creating cross-service chains of virtual network functions in a wide area network
US9912639B1 (en) Verifying firewall filter entries using rules associated with an access control list (ACL) template
CN105991444B (zh) 业务处理的方法和装置
CN101641913A (zh) Mpls虚拟专用网络拓扑的配置工具
CN105429879B (zh) 流表项查询方法、设备及系统
CN108183868A (zh) 使用外部部件的动态网络设备处理
EP3322135A1 (en) Packet transmission method and device
CN107547391A (zh) 一种报文传输方法和装置
JP7250871B2 (ja) 伝送パスを決定する方法およびノード
CN112272145A (zh) 一种报文处理方法、装置、设备及机器可读存储介质
KR101754618B1 (ko) 소프트웨어 정의 네트워크 기반의 가상 네트워크 동적 생성 방법 및 그 장치
CN109756411B (zh) 报文转发方法、装置、第一vtep设备及存储介质
CN112637081A (zh) 带宽限速的方法及装置
WO2017000714A1 (zh) 一种端口扩展方法、装置及存储介质
CN116647414B (zh) 报文端口过滤方法、终端设备以及计算机可读存储介质
CN105991428B (zh) 交换机路由冲突的处理方法及装置
US10177935B2 (en) Data transfer system, data transfer server, data transfer method, and program recording medium
CN110995609A (zh) 报文发送方法、装置、电子设备及存储介质
CN115865802A (zh) 虚拟实例的流量镜像方法、装置、虚拟机平台及存储介质
CN115987889A (zh) 虚拟网络通信方法、装置、计算机设备及存储介质
CN115567436A (zh) 组播报文的处理方法、系统、计算机设备和可读存储介质
CN113079128B (zh) 信息封堵方法、装置、计算设备及计算机存储介质
CN114124804A (zh) 一种通信方法、装置以及系统
CN113886071B (zh) 服务功能链的编排方法、装置、存储介质以及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant