WO2012146139A1 - 一种报文的过滤方法和接入设备 - Google Patents

Abstract

一种报文的过滤方法和接入设备，涉及网络通信技术。本发明实施例的技术方案包括：首先，硬件转发平面或接入设备中的用户端口接收上行节点发送的报文；然后，硬件转发平面根据该报文中下行目的节点的IP地址查询对应表确定下行目的节点对应的用户端口，并将该报文通过该对应的用户端口发送给下行目的节点；或者，用户端口在接入用户表中查询本用户端口是否对应所述寺艮文中下行目的节点的IP地址，若是，则将该报文发送给所述下行目的节点；若否，则丢弃报文。其根据查询对应表或接入用户表使得报文可以通过下行目的节点对应的用户端口仅发送给对应的用户设备，避免了带宽资源的浪费，同时减少了不必要的广播报文数量，从而提高了网络的安全性。

Description

一种报文的过滤方法和接入 i殳备 本申请要求于 2011 年 4 月 28 日提交中国专利局、 申请号为 201110115531.1, 发明名称为"一种报文的过滤方法和接入设备"的中国专利 申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域

本发明涉及通信领域， 尤其涉及一种报文的过滤方法和接入设备。 背景技术

目前接入设备接收到上行节点发送 ARP 广播请求报文或根据目的 MAC查找不到二层转发表项的单播 I P报文时， 都会根据 vlan+mac进行二 层转发，通过硬件转发平面向接入设备中所有的下行节点都进行广播，例如， 如图 1所示， 若上行节点发送 ARP请求报文给 I P地址为 I P— 1 的下行目的 节点， 由于目的 MAC是广播地址， 此时硬件转发平面会将该 ARP请求报 文向所有的端口 （即 Port— A、 Port— B、 Port— C和 Port— D )进行广播， 所有 的端口会将该请求报文下发给与其连接的所有下行节点 （包括 I P 地址为 I P— 1 的下行目的节点、 I P地址为 IP— 2的下行节点、 I P地址为 IP— 3的下行 节点、 IP地址为 I P— 4的下行节点、 IP地址为 IP— 5的下行节点和 I P地址为 I P— 6的下行节点）， 而该请求报文只需转发给 Port— A中 IP地址为 I P— 1 的 下行目的节点即可， 与端口 Port— B、 Port— C和 Port— D连接的下行节点并 不需要接收该报文， 故导致不需要该报文的下行节点也会接收到该报文， 占 用带宽资源并产生了大量的垃圾报文。 发明内容 本发明的实施例提供了一种报文的过滤方法和接入设备， 使得上行节点发 送的报文能够仅发送给对应的用户设备， 避免了带宽资源的浪费。 本发明实施例提供了一种报文的过滤方法， 包括：

硬件转发平面接收上行节点发送的报文， 所述报文为地址解析协议 ARP广 播请求报文， 或根据目的 MAC查找不到二层转发表项的 IP报文， 所述报文中包 括下行目的节点的 IP地址；

硬件转发平面根据所述报文中下行目的节点的 IP地址查询对应表确定所述 下行目的节点对应的用户端口， 所述对应表包括接入设备中用户端口与其连接 的下行节点 I P地址的对应关系； 所述下行目的节点。

本发明实施例提供了一种接入设备， 包括：

接收器， 用于接收上行节点发送的报文， 所述报文为地址解析协议 ARP广 播请求报文， 或根据目的 MAC查找不到二层转发表项的 IP报文， 所述报文中包 括下行目的节点的 IP地址；

端口确定单元， 用于根据所述报文中下行目的节点的 IP地址查询对应表确 定所述下行目的节点对应的用户端口， 所述对应表包括该接入设备中用户端口 与其连接的下行节点 I P地址的对应关系；

发送器， 用于将上行节点发送的报文通过所述端口确定单元确定的所述对 应的用户端口发送给所述下行目的节点。

本发明实施例还提供了一种报文的过滤方法， 包括：

接入设备中的用户端口接收硬件转发平面发送的报文， 所述报文为地址解 析协议 ARP广播请求报文， 或根据目的 MAC查找不到二层转发表项的 IP报文， 所述 >¾文中包括下行目的节点的 IP地址；

接入设备中的用户端口在接入用户表中查询本用户端口是否对应所述报文 中下行目的节点的 IP地址， 若是， 则将所述报文发送给所述下行目的节点； 若 否， 则丢弃报文； 所述接入用户表包括本用户端口与其连接的下行节点的 IP地 址的对应关系， 或所述接入用户表包括接入设备中所有用户端口与其连接的下 行节点 IP地址的对应关系。 本发明实施例还提供了接入设备， 包括：

接收模块， 用于接收硬件转发平面发送的报文， 所述报文为地址解析协议

ARP广播请求报文， 或根据目的 MAC查找不到二层转发表项的 IP报文， 所述报 文中包括下行目的节点的 IP地址；

判断模块， 用于在接入用户表中查询是否对应所述报文中下行目的节点的 IP地址， 若是， 则指示发送器发送所述报文， 若否， 则丢弃报文； 所述接入用 户表包括本用户端口与其连接的下行节点的 IP地址的对应关系， 或所述接入用 户表包括接入设备中所有用户端口与其连接的下行节点 I P地址的对应关系； 发送器， 用于根据判断模块的指示， 将接收模块接收到的所述报文发送给 所述下行目的节点。

由上述本发明的实施例提供的技术方案可以看出，其根据查询对应表或 接入用户表使得报文可以通过下行目的节点对应的用户端口仅发送给对应 的用户设备， 避免了带宽资源的浪费， 同时减少了不必要的广播报文数量， 从而提高了网络的安全性。 附图说明

为了更清楚地说明本发明实施例的技术方案， 下面将对实施例描述中所需 要使用的附图作筒单地介绍， 显而易见地， 下面描述中的附图仅仅是本发明的 一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1为现有技术中 ARP广播请求报文或单播 IP报文传输的示意图； 图 2为本发明实施例提供的一种报文的过滤方法流程示意图；

图 3为本发明实施例提供的接入设备的结构示意图；

图 4为本发明实施例提供的又一种报文的过滤方法流程示意图；

图 5为本发明实施例提供的接入设备的结构示意图；

图 6为本发明实施例中 ARP广播请求报文或单播 IP报文传输的示意图。 具体实施方式

下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行清 楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是 全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

本发明实施例提供了一种报文的过滤方法， 如图 2所示， 包括：

21、 硬件转发平面接收上行节点发送的报文， 所述报文中包括下行目的节 点的 I P地址。

具体地， 上述报文可以是地址解析协议（ARP )广播请求报文， 也可以是 根据目的 MAC ( Media Access Control , 介质访问控制）查找不到二层转发表 项的 I P报文。

22、 硬件转发平面根据所述报文中下行目的节点的 IP地址查询对应表确定 所述下行目的节点对应的用户端口， 所述对应表包括接入设备中用户端口与其 连接的下行节点 I P地址的对应关系。

进一步， 上述对应表可以是接入设备中的 CPU发送给硬件转发平面的， 也 可以是下行节点预先上报的。 若接入设备中用户端口与其连接的下行节点 I P地 址的对应关系如图 1所示， 则对应表可以包括：

送给所述下行目的节点。

具体地， 例如， 若上行节点发送 ARP请求报文给 I P地址为 I P— 1的下行目的 节点， 则硬件转发平面通过查询对应表确定 IP— 1对应的接入设备中的用户端口 为 Port— A, 故硬件转发平面将 ARP请求报文通过 Port— A发送给下行目的节点。

本发明实施例还提供了接入设备，该接入设备可以是硬件转发平面，如图 3 所示， 包括：

接收器 31 , 用于接收上行节点发送的报文， 所述报文为地址解析协议 ARP 请求报文， 或根据目的 MAC查找不到二层转发表项的 IP报文， 所述报文中包括 下行目的节点的 IP地址。

端口确定单元 32, 用于根据接收单元 31接收到的报文中下行目的节点的 IP 地址查询对应表确定所述下行目的节点对应的用户端口， 所述对应表接入设备 中用户端口与其连接的下行节点 I P地址的对应关系。

发送器 33, 用于将上行节点发送的报文通过端口确定单元 32确定的所述对 应的用户端口发送给所述下行目的节点。

作为可选的， 上述接入设备， 还可以包括存储器， 用于存储所述对应表。 对应表可以是接入设备中的 CPU发送给硬件转发平面的， 也可以是下行节点预 先上报的。

上述接入设备中包含的各单元或各器件的处理功能的具体实现方式在之前 的方法实施例中已经描述， 在此不再重复描述。

本发明实施例提供了又一种报文的过滤方法， 如图 4所示， 包括：

41、 接入设备中的用户端口接收硬件转发平面发送的报文， 所述报文中包 括下行目的节点的 IP地址。

具体地， 上述报文可以是地址解析协议（ARP )报文， 也可以是根据目的 MAC查找不到二层转发表项的 I P报文。

42、 接入设备中的用户端口在接入用户表中查询本用户端口是否对应所述 报文中下行目的节点的 IP地址， 若是， 则执行 43; 若否， 则执行 44; 所述接入 用户表包括本用户端口与其连接的下行节点的 I P地址的对应关系， 或所述接入 用户表包括接入设备中所有用户端口与其连接的下行节点 I P地址的对应关系。

进一步， 上述接入用户表可以是所述接入用户表是手动配置的， 也可以是 用户端口中的下行节点预先上报的， 作为可选的还可以是接入设备中的 CPU发 送给各个用户端口的。 若接入设备中用户端口与其连接的下行节点 IP地址的对 应关系如图 1所示， 则接入设备中的用户端口为 Port— A、 Port— B、 Port— C和 Port— D的接入用户表可以都为：

或者， 接入设备中的用户端口为 Port— A的接入用户表为:

接入设备中的用户端口为 Port— B的接入用户表为：

接入设备中的用户端口为 Port— C的接入用户表为：

接入设备中的用户端口为 Port— A的接入用户表为：

43、 接入设备中的用户端口将接收到的报文发送给所述下行目的节点。

44、 接入设备中的用户端口丢弃接收到的报文。

具体地， 如图 6所示， 若上行节点发送 ARP请求报文给 IP地址为 IP— 1的下 行目的节点， 则硬件转发平面会将该 ARP请求报文分别发送给接入设备中的用 户端口 Port— A、 Port— B、 Port— C和 Port— D,每个用户端口接收到该 ARP报文后， 均会查询接入用户表确定本用户端口是否对应 I P地址为 I P— 1的下行节点， 此时 仅有用户端口 Port— A查询到其自身对应 I P地址为 I P— 1的下行目的节点， 则用户 端口 Port— A将该 ARP请求报文发送给下行目的节点； 用户端口 Port— B、 Port— C 和 Port— D丢弃该 ARP请求报文。

本发明实施例提供了接入设备，该接入设备可以是接入设备中的用户端口， 如图 5所示， 包括：

接收模块 51 , 用于接收硬件转发平面发送的报文， 所述报文为地址解析协 议 ARP请求报文， 或根据目的 MAC查找不到二层转发表项的 IP报文， 所述报文 中包括下行目的节点的 IP地址.

判断模块 52, 用于在接入用户表中查询是否对应所述报文中下行目的节点 的 IP地址， 若是， 则指示发送器发送所述报文 53, 若否， 则丢弃报文； 所述接 入用户表包括本用户端口与其连接的下行节点的 I P地址的对应关系， 或所述接 入用户表包括接入设备中所有用户端口与其连接的下行节点 I P地址的对应关 系。

发送器 53, 用于根据判断模块 52的指示， 将接收模块 51接收到的所述报文 发送给下行目的节点。

作为可选的， 上述接入设备， 还可以包括存储器， 用于存储所述接入用户 表， 上述接入用户表可以是所述接入用户表是手动配置的， 也可以是用户端口 中的下行节点预先上报的， 作为可选的还可以是接入设备中的 CPU发送给各个 用户端口的。

上述接入设备中包含的各模块的处理功能的具体实现方式在之前的方法实 施例中已经描述， 在此不再重复描述。

上述实施例中， 报文中可以不仅限于下行目的节点的 IP地址， 其它可以与 接入设备中的用户端口对应的下行目的节点的身份信息都可以用本发明实施例 所述的方法实现。 本发明实施例也不仅限于接入设备的应用。

本发明实施例的硬件转发平面通过查询对应表将 ARP请求报文或根据目的 MAC查找不到二层转发表项的 IP报文仅发送给需要的下行目的节点， 以及接入 设备中的用户端口通过查询接入用户表避免了 ARP请求报文或根据目的 MAC 查找不到二层转发表项的 IP报文下发给不需要的下行目的节点， 上述技术方案 均实现了对报文的过滤， 避免了带宽资源的浪费， 同时减少了不必要的广播报 文数量， 从而提高了网络的安全性， 降低了恶意用户对网络中其它用户的攻击 可能性。

值得注意的是， 上述接入设备实施例中， 所包括的各个单元或器件或模块 只是按照功能逻辑进行划分的， 但并不局限于上述的划分， 只要能够实现相应 的功能即可； 另外， 各功能单元或模块的具体名称也只是为了便于相互区分， 并不用于限制本发明的保护范围。

另外， 本领域普通技术人员可以理解实现上述各方法实施例中的全部或部 分步骤是可以通过程序来指令相关的硬件完成， 相应的程序可以存储于一种计 算机可读存储介质中， 上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不 局限于此，任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围 内， 可轻易想到的变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本发明的保护范围应该以权利要求的保护范围为准。

Claims

权利要求

1、 一种报文的过滤方法， 其特征在于， 包括：

硬件转发平面接收上行节点发送的报文， 所述报文为地址解析协议 ARP广 播请求报文， 或根据目的 MAC查找不到二层转发表项的 IP报文， 所述报文中包 括下行目的节点的 IP地址；

硬件转发平面根据所述报文中下行目的节点的 IP地址查询对应表确定所述 下行目的节点对应的用户端口， 所述对应表包括接入设备中用户端口与其连接 的下行节点 I P地址的对应关系； 所述下行目的节点。

2、 根据权利要求 1所述的方法， 其特征在于， 所述对应表是接入设备中的 CPU发送的， 或所述对应表是下行节点预先上报的。

3、 一种接入设备， 其特征在于， 包括：

接收器， 用于接收上行节点发送的报文， 所述报文为地址解析协议 ARP广 播请求报文， 或根据目的 MAC查找不到二层转发表项的 IP报文， 所述报文中包 括下行目的节点的 IP地址；

端口确定单元， 用于根据所述报文中下行目的节点的 IP地址查询对应表确 定所述下行目的节点对应的用户端口， 所述对应表包括该接入设备中用户端口 与其连接的下行节点 I P地址的对应关系；

发送器， 用于将上行节点发送的报文通过所述端口确定单元确定的所述对 应的用户端口发送给所述下行目的节点。

4、 根据权利要求 3所述的接入设备， 其特征在于， 还包括：

存储器， 用于存储所述对应表， 所述对应表是接入设备中的 CPU发送的， 或所述对应表是下行节点预先上报的。

5、 一种报文的过滤方法， 其特征在于， 包括：

接入设备中的用户端口接收硬件转发平面发送的报文， 所述报文为地址解 析协议 ARP广播请求报文， 或根据目的 MAC查找不到二层转发表项的 IP报文， 所述 >¾文中包括下行目的节点的 IP地址；

接入设备中的用户端口在接入用户表中查询本用户端口是否对应所述报文 中下行目的节点的 IP地址， 若是， 则将所述报文发送给所述下行目的节点； 若 否， 则丢弃报文； 所述接入用户表包括本用户端口与其连接的下行节点的 IP地 址的对应关系， 或所述接入用户表包括接入设备中所有用户端口与其连接的下 行节点 IP地址的对应关系。

6、 根据权利要求 5所述的方法， 其特征在于， 所述接入用户表是手动配置 的， 或所述接入用户表是下行节点预先上报的。

7、 一种接入设备， 其特征在于， 包括：

接收模块， 用于接收硬件转发平面发送的报文， 所述报文为地址解析协议 ARP广播请求报文， 或根据目的 MAC查找不到二层转发表项的 IP报文， 所述报 文中包括下行目的节点的 IP地址；

判断模块， 用于在接入用户表中查询是否对应所述报文中下行目的节点的 IP地址， 若是， 则指示发送器发送所述报文， 若否， 则丢弃报文； 所述接入用 户表包括本用户端口与其连接的下行节点的 IP地址的对应关系， 或所述接入用 户表包括接入设备中所有用户端口与其连接的下行节点 I P地址的对应关系； 发送器， 用于根据判断模块的指示， 将接收模块接收到的所述报文发送给 所述下行目的节点。

8、 根据权利要求 7所述的接入设备， 其特征在于， 还包括：

存储器， 用于存储所述接入用户表， 所述接入用户表是手动配置的， 或所 述接入用户表是下行节点预先上报的。