WO2012065474A1 - 一种发送报文的方法和装置 - Google Patents

Abstract

本发明公开了一种发送报文的方法和装置，方法包括：绑定第一超虚拟局域网（SUPERVLAN）的发送端发送报文时，判断接收端是否绑定第二SUPERVLAN；若否，则发送端向接收端发送所述报文。装置包括：判断模块，用于在发送端绑定第一SUPERVLAN，且需要发送报文时，判断接收端是否绑定第二SUPERVLAN；发送模块，用于在第一判断模块判断为否时，向接收端发送所述报文。通过本发明，能够控制SUPERVLAN之间的通信，提高发送报文的安全性。

Description

一种发送报文的方法和装置 技术领域

本发明涉及数据通信领域， 特别涉及一种发送报文的方法和装置。 背景技术

SUPERVLAN (超虚拟局域网 )又叫 VLAN (虚拟局域网 )聚合， 该技 术将多个子接口或者实接口绑在一个虚接口中， 这个虚接口就是 SUPERVLAN 接口， 每个子接口或者实接口称为该 SUPERVLAN 的子 VLANo

SUPERVLAN可以配置三层接口， 子 VLAN不能配置三层接口。

当子 VLAN内的用户需要进行三层通信时，将使用 SUPERVLAN三层 接口的 IP ( Internet Protocol, 互联网协议 )地址作为网关地址， 这样多个子 VLAN共用一个 IP网段， 从而节省了 IP地址资源。

该技术可以使处在同一个物理设备中的分属不同广播域的主机处在同 一个 IPv4 (互联网协议第四版） 子网中， 而且使用同一个默认网关， 这样 就可以消除原有的在一个 VLAN或者 MAN ( Metropolitan Area Network, 城域网） 中必须使用一个专用 IP子网的限制。

使用这种机制可以明显减少 VLAN或 MAN中对 IP地址空间的消耗， 提高 IP地址的使用效率， 緩沖 IP地址不够用的问题。 另外， 也能够降低网 络中 IP地址管理的难度。

SUPERVLAN是可以让不同 VLAN的网关使用同一个 IP。 而这个 IP 就是 SUPERVLAN的 IP, 它是逻辑上的 VLAN, 下面的不同 VLAN都可以 看作是它的子 VLAN, 这些子 VLAN是物理的， 要加端口才能激活。 只要 有一个子 VLAN是激活的， 那么 SUPERVLAN就是激活的。 使用 SUPERVLAN时， SUPERVLAN可以定义一个任意 IP地址，但是 没有自己的成员端口， 端口都是指定在子 VLAN 中。 子 VLAN 作为 SUPERVLAN的成员，并没有自己的 IP地址， 而是使用 SUPERVLAN的 IP 地址作为自己的路由接口地址。 通常客户端都是指定在子 VLAN内， 可以 在子 VLAN 中有选择的分配一些地址段， 前提是这些地址段必须在 SUPERVLAN的子网范围内， 以便于更好的管理 IP地址。

为了实现不同子 VLAN间的三层互通及子 VLAN与其他网络互通， 需 要利用 ARP ( Address Resolution Protocol, 地址解析协议）代理功能。 通过 ARP代理可以进行 ARP请求和响应报文的转发与处理，从而实现了二层隔 离端口间的三层互通。

子 VLAN之间互相通信的第一步是发送 ARP报文， SUPERVLAN接收 到 ARP报文后如果找不到相应成员就进行广播处理。 广播范围是所有子 VLAN, 如果和某个子 VLAN连接的是另一个 SUPERVLAN的子 VLAN, 这时候报文就会广播到另一个 SUPERVLAN里； 然而， 如果需要发送的报 文是机密报文 (隐私报文）， 则不希望广播到另一个 SUPERVLAN中， 只希 望在本 SUPERVLAN内广播。

除了广播， 正常单播， 如果发送的报是机密报文， 也希望只在本 SUPERVLAN内部传递 , 而不希望转发到其他 SUPERVLAN中。

综上所述，现有技术中在发送报文时，由于无法获知对端 SUPERVLAN 的安全性， 在不同的 SUPERVLAN之间传播时， 报文的安全性比较低， 但 目前没有一种控制 SUPERVLAN之间的通信的方案。 发明内容

本发明实施例提供一种发送报文的方法和装置， 用以控制 SUPERVLAN之间的通信， 提高发送报文的安全性。

一种发送 ·^艮文的方法， 包括： 绑定第一超虚拟局域网 SUPERVLAN的发送端发送报文时， 判断接收 端是否绑定第二 SUPERVLAN;

若否， 则所述发送端向所述接收端发送所述报文。

所述发送端判断所述接收端是否绑定所述第二 SUPERVLAN, 包括： 在收到来自所述接收端的携带绑定的所述第二 SUPERVLAN的标识的 通知报文后， 确定所述接收端绑定所述第二 SUPERVLAN, 反之， 则确定 所述接收端未绑定所述第二 SUPERVLAN。

第一 SUPERVLAN与第二 SUPERVLAN不同或者相同。

若所述接收端绑定的所述第二 SUPERVLAN的标识与发送端绑定的所 述第一 SUPERVLAN 的标识相同， 则确定所述接收端绑定的所述第二

SUPERVLAN与所述发送端绑定的所述第一 SUPERVLAN相同， 否则， 则 不同。

若所述第一 SUPERVLAN与所述第二 SUPERVLAN不同并且所述接收 端绑定到第二 SUPERVLAN, 则所述第一 SUPERVLAN判断是否允许与所 述第二 SUPERVLAN通信， 若不允许， 则所述发送端丟弃所述报文。

一种发送 ·^艮文的装置， 包括：

判断模块， 用于在发送端绑定第一超虚拟局域网 SUPERVLAN, 且需 要发送报文时， 判断接收端是否绑定第二 SUPERVLAN;

发送模块， 用于在所述第一判断模块判断为否时， 向所述接收端发送 所述报文。

所述判断模块， 还用于：

在收到来自所述接收端的携带绑定的所述第二 SUPERVLAN的标识的 通知报文后， 确定所述接收端绑定所述第二 SUPERVLAN, 反之， 则确定 所述接收端未绑定所述第二 SUPERVLAN。

所述判断模块， 还用于判断所述第一 SUPERVLAN 与所述第二 SUPERVLAN是否相同。

所述判断模块， 还用于若所述接收端绑定的所述第二 SUPERVLAN的 标识与发送端绑定的所述第一 SUPERVLAN的标识相同， 则确定所述接收 端绑定的所述第二 SUPERVLAN 与所述发送端绑定的所述第一 SUPERVLAN相同， 否则， 则不同。

所述发送模块， 还用于：

若所述第一 SUPERVLAN与所述第二 SUPERVLAN不同并且所述接收 端绑定到第二 SUPERVLAN, 则所述第一 SUPERVLAN判断是否允许与所 述第二 SUPERVLAN通信， 若不允许， 则所述发送端丟弃所述报文。

由于本发明实施例绑定第一 SUPERVLAN 的发送端在需要发送报文 时， 判断接收端是否绑定第二 SUPERVLAN; 若否， 则所述发送端向所述 接收端发送所述报文。通过这种方式， 能够控制 SUPERVLAN之间的通信， 而使发送报文具有更高的安全性。 附图说明

图 1为本发明实施例第一种发送 ·^艮文的方法示意图；

图 2为本发明实施例第二种发送 ·^艮文的方法示意图；

图 3为本发明实施例第三种发送 ·^艮文的方法示意图；

图 4为本发明实施例发送 ·^艮文的装置示意图。 具体实施方式

下面结合说明书附图对本发明实施例进一步详细介绍。

本发明实施例绑定第一 SUPERVLAN的发送端在需要发送报文时， 判 断接收端是否绑定第二 SUPERVLAN; 在判断为否时， 发送端向接收端发 送报文。 通过这种方式， 能够控制 SUPERVLAN之间的通信， 而使发送报 文具有更高的安全性。 实施例一、

参见图 1 , 本发明实施例提供的第一种发送报文的方法， 该方法包括如 下步驟：

步驟 101、 绑定第一 SUPERVLAN的发送端需要向接收端发送报文。 其中， 发送端发送的报文包括但不限于 ARP报文、 协议报文和数据报 文中的一种或多种。

步驟 102、 判断接收端是否绑定第二 SUPERVLAN。 若是， 执行步驟

103; 否则， 执行步驟 105。

该步驟中， 发送端判断接收端是否绑定第二 SUPERVLAN包括： 在收到来自所述接收端的携带绑定的所述第二 SUPERVLAN的标识的 通知报文后， 确定所述接收端绑定所述第二 SUPERVLAN, 反之， 则确定 所述接收端未绑定所述第二 SUPERVLAN。

第一 SUPERVLAN与第二 SUPERVLAN不同或者相同。

其中， SUPERVLAN的标识能够唯一区分 SUPERVLAN, 该标识可以 是 SUPERVLAN的 IP地址， 也可以是数字或字符串。

进一步地， 在发送端收到来自接收端的包括绑定的第二 SUPERVLAN 的标识的通知报文之后 , 还可以将接收端绑定的第二 SUPERVLAN的标识 记录在记录信息中， 发送端通过查看记录信息确定接收端是否绑定第二

SUPERVLAN

步驟 103、 判断接收端绑定的第二 SUPERVLAN与发送端绑定的第一 SUPERVLAN是否相同。 若是， 执行步驟 105; 否则， 执行步驟 104。

该步驟中， 判断接收端绑定的第二 SUPERVLAN与发送端绑定的第一 SUPERVLAN是否相同包括：

若所述接收端绑定的所述第二 SUPERVLAN的标识与发送端绑定的所 述第一 SUPERVLAN 的标识相同， 则确定所述接收端绑定的所述第二 SUPERVLAN与所述发送端绑定的所述第一 SUPERVLAN相同， 否则， 则 不同。

步驟 104、 根据配置信息判断不同 SUPERVLAN之间是否能够通信， 即所述第一 SUPERVLAN与所述第二 SUPERVLAN不同并且所述接收端绑 定到第二 SUPERVLAN。 若是， 执行步驟 105; 否则， 执行步驟 106。

步驟 105、 发送端向接收端发送报文， 结束流程。

步驟 106、 发送端丟弃报文， 结束流程。

实施例二、

参见图 2, 本发明实施例提供的第二种发送报文的方法， 与实施例中第 一种发送 ·^艮文的方法有所不同， 该方法包括如下步驟：

步驟 201、 绑定第一 SUPERVLAN的发送端需要向接收端发送报文。 步驟 202、 根据配置信息判断不同 SUPERVLAN之间是否能够通信。 若是， 执行步驟 205; 否则， 执行步驟 203。

步驟 203、 判断接收端是否绑定第二 SUPERVLAN。 若是， 执行步驟 204; 否则， 执行步驟 205。

步驟 204、 判断接收端绑定的第二 SUPERVLAN与发送端绑定的第一 SUPERVLAN是否相同。 若是， 执行步驟 205; 否则， 执行步驟 206。

步驟 205、 发送端向接收端发送报文， 结束流程。

步驟 206、 发送端丟弃报文， 结束流程。 较佳实施例， 并不用于限制本发明。

实施例三、

参见图 3 , 本发明实施例提供的第三种发送报文的方法， 该方法包括如 下步驟：

步驟 301、 绑定第一 SUPERVLAN的发送端需要向接收端发送报文。 步驟 302、 判断接收端是否绑定第二 SUPERVLAN。 若是， 执行步驟 303; 否则， 执行步驟 305。

步驟 303、 根据配置信息判断不同 SUPERVLAN之间是否能够通信。 若是， 执行步驟 305; 否则， 执行步驟 304。

步驟 304、 判断接收端绑定的第二 SUPERVLAN与发送端绑定的第一 SUPERVLAN是否相同。 若是， 执行步驟 305; 否则， 执行步驟 306。

步驟 305、 发送端向接收端发送报文， 结束流程。

步驟 306、 发送端丟弃报文， 结束流程。

以上三个实施例的区别在于， 根据配置信息判断不同 SUPERVLAN之 间是否能够通信的步驟的执行顺序不同， 在实际应用中， 我们可以根据需 要选用较优的执行顺序。

实施例四、

基于与上述发送报文的方法相同的发明构思， 本发明实施例中还提供 一种发送报文的装置， 由于该装置实施的原理与发送报文的方法实施的原 理相似， 因此重复之处， 不再赘述。

参见图 4, 本发明实施例提供一种发送报文的装置， 包括：

判断模块 401 , 用于在发送端绑定第一超虚拟局域网 SUPERVLAN,且 需要发送报文时， 判断接收端是否绑定第二 SUPERVLAN。

发送模块 402, 用于在第一判断模块 401判断为否时， 向接收端发送报 文。

其中， 判断模块 401还具体用于：

在收到来自所述接收端的携带绑定的所述第二 SUPERVLAN的标识的 通知报文后， 确定所述接收端绑定所述第二 SUPERVLAN, 反之， 则确定 所述接收端未绑定所述第二 SUPERVLAN。

其中， 判断模块 401 , 还用于判断所述第一 SUPERVLAN与所述第二 SUPERVLAN是否相同。

具体的， 若所述接收端绑定的所述第二 SUPERVLAN的标识与发送端 绑定的所述第一 SUPERVLAN的标识相同， 则确定所述接收端绑定的所述 第二 SUPERVLAN与所述发送端绑定的所述第一 SUPERVLAN相同，否则， 则不同。

发送模块 402还用于：

若所述第一 SUPERVLAN与所述第二 SUPERVLAN不同并且所述接收 端绑定到第二 SUPERVLAN, 则所述第一 SUPERVLAN判断是否允许与所 述第二 SUPERVLAN通信， 若不允许， 则所述发送端丟弃所述报文。

本领域内的技术人员应明白， 本发明的实施例可提供为方法、 系统、 或计算机程序产品。 因此， 本发明可采用完全硬件实施例、 完全软件实施 例、 或结合软件和硬件方面的实施例的形式。 而且， 本发明可采用在一个 或多个其中包含有计算机可用程序代码的计算机可用存储介质 （包括但不 限于磁盘存储器、 CD-ROM、 光学存储器等）上实施的计算机程序产品的 形式。

本发明是参照根据本发明实施例的方法、 设备（系统）、 和计算机程序 产品的流程图和 /或方框图来描述的。 应理解可由计算机程序指令实现流 程图和 /或方框图中的每一流程和 /或方框、 以及流程图和 /或方框图中 的流程和 /或方框的结合。 可提供这些计算机程序指令到通用计算机、 专 用计算机、 嵌入式处理机或其他可编程数据处理设备的处理器以产生一个 机器， 使得通过计算机或其他可编程数据处理设备的处理器执行的指令产 生用于实现在流程图一个流程或多个流程和 /或方框图一个方框或多个方 框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理 设备以特定方式工作的计算机可读存储器中， 使得存储在该计算机可读存 储器中的指令产生包括指令装置的制造品， 该指令装置实现在流程图一个 流程或多个流程和 /或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备 上， 使得在计算机或其他可编程设备上执行一系列操作步驟以产生计算机 实现的处理， 从而在计算机或其他可编程设备上执行的指令提供用于实现 在流程图一个流程或多个流程和 /或方框图一个方框或多个方框中指定的 功能的步驟。

尽管已描述了本发明的优选实施例， 但本领域内的技术人员一旦得知 了基本创造性概念， 则可对这些实施例作出另外的变更和修改。 所以， 所 附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和 修改。

显然， 本领域的技术人员可以对本发明进行各种改动和变型而不脱离 本发明的精神和范围。 这样， 倘若本发明的这些修改和变型属于本发明权 利要求及其等同技术的范围之内， 则本发明也意图包含这些改动和变型在 内。

Claims

权利要求书

1、 一种发送报文的方法， 其特征在于， 该方法包括：

绑定第一超虚拟局域网 SUPERVLAN的发送端发送报文时， 判断接收 端是否绑定第二 SUPERVLAN;

若否， 则所述发送端向所述接收端发送所述报文。

2、 如权利要求 1所述的方法， 其特征在于， 所述发送端判断所述接收 端是否绑定所述第二 SUPERVLAN, 包括：

在收到来自所述接收端的携带绑定的所述第二 SUPERVLAN的标识的 通知报文后， 确定所述接收端绑定所述第二 SUPERVLAN, 反之， 则确定 所述接收端未绑定所述第二 SUPERVLAN。

3、 如权利要求 2所述的方法， 其特征在于， 所述第一 SUPERVLAN与 第二 SUPERVLAN不同或者相同。

4、 如权利要求 3所述的方法， 其特征在于，

若所述接收端绑定的所述第二 SUPERVLAN的标识与发送端绑定的所 述第一 SUPERVLAN 的标识相同， 则确定所述接收端绑定的所述第二 SUPERVLAN与所述发送端绑定的所述第一 SUPERVLAN相同， 否则， 则 不同。

5、 如权利要求 1、 2、 3 或 4所述的方法， 其特征在于， 若所述第一 SUPERVLAN 与所述第二 SUPERVLAN 不同并且所述接收端绑定到第二 SUPERVLAN , 则所述第一 SUPERVLAN 判断是否允许与所述第二 SUPERVLAN通信， 若不允许， 则所述发送端丟弃所述报文。

6、 一种发送报文的装置， 其特征在于， 该装置包括：

判断模块， 用于在发送端绑定第一超虚拟局域网 SUPERVLAN, 且需 要发送报文时， 判断接收端是否绑定第二 SUPERVLAN;

发送模块， 用于在所述第一判断模块判断为否时， 向所述接收端发送 所述报文。

7、 如权利要求 6所述的装置， 其特征在于， 所述判断模块， 还用于： 在收到来自所述接收端的携带绑定的所述第二 SUPERVLAN的标识的 通知报文后， 确定所述接收端绑定所述第二 SUPERVLAN, 反之， 则确定 所述接收端未绑定所述第二 SUPERVLAN。

8、 如权利要求 6所述的装置， 其特征在于， 所述判断模块， 还用于判 断所述第一 SUPERVLAN与所述第二 SUPERVLAN是否相同。

9、 如权利要求 8所述的装置， 其特征在于， 所述判断模块， 还用于若 所述接收端绑定的所述第二 SUPERVLAN的标识与发送端绑定的所述第一 SUPERVLAN的标识相同，则确定所述接收端绑定的所述第二 SUPERVLAN 与所述发送端绑定的所述第一 SUPERVLAN相同， 否则， 则不同。

10、 如权利要求 6、 7、 8或 9所述的装置， 其特征在于， 所述发送模 块， 还用于：

若所述第一 SUPERVLAN与所述第二 SUPERVLAN不同并且所述接收 端绑定到第二 SUPERVLAN, 则所述第一 SUPERVLAN判断是否允许与所 述第二 SUPERVLAN通信， 若不允许， 则所述发送端丟弃所述报文。