CN104734986A - 一种报文转发方法和装置 - Google Patents
一种报文转发方法和装置 Download PDFInfo
- Publication number
- CN104734986A CN104734986A CN201310704097.XA CN201310704097A CN104734986A CN 104734986 A CN104734986 A CN 104734986A CN 201310704097 A CN201310704097 A CN 201310704097A CN 104734986 A CN104734986 A CN 104734986A
- Authority
- CN
- China
- Prior art keywords
- message
- territory
- outbound port
- acl strategy
- acl
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种报文转发方法和装置。输入交换机获取通过ACL策略引入的报文;根据预先配置的ACL策略与VN域的对应关系,获取所述ACL策略所对应的VN域;对获取的所述报文进行VxLAN封装得到已封装报文;将所述已封装报文根据VxLAN标准转发到对应的输出交换机。本发明通过在对网络流量进行检测时,预先配置ACL策略与VN域之间的对应关系以及VN域与出端口之间的对应关系,将由ACL策略引入的报文使用VxLAN协议的方式进行转发到出端口,当需要对根据ACL策略引入的报文增加或删除出端口时,只需要修改对应该ACL策略的VN域的出端口信息即可,由此大大提高了流量监控网络的可扩展性。
Description
技术领域
本发明涉及互联网领域,特别是涉及一种报文转发方法和装置。
背景技术
网络是信息传递的桥梁,通过网络,用户可以便捷的发送或者获取信息,但是,网络上除了有用信息以外,也有用户或团体通过网络散布一些违法的信息,所以网络信息安全必须纳入法制化管理,在正常报文转发过程中进行有效信息监控,以此检索出不良信息,净化网络。
而流量是指由报文组成的数据量,也就是说,对流量的业务监控实际上就是对组成流量的报文的业务监控,现有针对网上转发的报文的业务监控,一般是采用访问控制列表(英文:Access Control List,缩写:ACL)策略通过重定向的方式进行的,比如说,如果部门需要监控一个网站所转发的报文内容是否合法,首先通过ACL的方式配置策略路由,将该网站的输出报文重定向到该部门指定的出端口,即将所述输出报文复制一份,将复制的报文发送到该部门指定的出端口,然后由连接该出端口的单台设备对接收到的流量进行业务监控。
然而,随着监控项目的不断丰富,单台设备难以满足业务监控的需求,需要加入其它设备或者需要其它部门协同监控时,通过ACL策略就只能对新加入的设备进行重新配置策略路由,网络规模很难扩展,网络建设成本非常高。
发明内容
为了解决上述技术问题,本发明提供了一种报文转发方法和装置,通过使用VxLAN协议有效的扩展监控网络规模,提高监控网络的可扩展性。
本发明公开了如下技术方案:
一方面,本发明提供一种报文转发方法,所述方法包括:
输入交换机获取通过访问控制列表ACL策略引入的报文;
所述输入交换机根据预先配置的ACL策略与虚拟可扩展局域网网络VN域的对应关系,获取所述ACL策略所对应的VN域;
所述输入交换机对获取的所述报文进行虚拟可扩展局域网VxLAN封装得到已封装报文,所述已封装报文的封装外层头中包含所述VN域的地址信息;
所述输入交换机将所述已封装报文根据VxLAN标准转发到对应的输出交换机。
在第一方面的第一种可能的实现方式中,所述ACL策略与VN域的对应关系中:
一个ACL策略对应一个VN域,一个VN域对应至少一个ACL策略。
结合第一方面和第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述VN域的地址信息包括所述VN域的标识VNI以及所述VN域的IP地址。
结合第一方面和第一方面的第一种或第二种可能的实现方式,在第三种可能的实现方式中,所述输入交换机获取通过ACL策略引入的报文之前,所述方法还包括:
所述输入交换机对接收到的报文根据所述报文的五元组进行ACL匹配,确定所述报文为能够通过ACL策略引入的报文,所述五元组包括所述报文的源IP地址、目的IP地址、源端口号、目的端口号以及协议号。
第二方面,本发明提供一种输入交换机,包括:
报文获取单元,用于获取通过ACL策略引入的报文;
确定单元,用于根据预先配置的ACL策略与虚拟可扩展局域网网络VN域的对应关系,获取所述ACL策略所对应的VN域;
封装单元,用于对获取的所述报文进行虚拟可扩展局域网VxLAN封装得到已封装报文,所述已封装报文的封装外层头中包含所述VN域的地址信息;
发送单元,用于将所述已封装报文根据VxLAN标准转发到对应的输出交换机。
在第二方面的第一种可能的实现方式中,所述ACL策略与VN域的对应关系中:
一个ACL策略对应一个VN域,一个VN域对应至少一个ACL策略。
结合第二方面和第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述VN域的地址信息包括所述VN域的标识VNI以及所述VN域的IP地址。
结合第二方面和第二方面的第一种或第二种可能的实现方式,在第三种可能的实现方式中,还包括:
ACL匹配单元,用于对接收到的报文根据所述报文的五元组进行ACL匹配,确定所述报文为能够通过ACL策略引入的报文,所述五元组包括所述报文的源IP地址、目的IP地址、源端口号、目的端口号以及协议号。
第三方面,本发明提供一种报文转发方法,所述方法包括:
输出交换机接收输入交换机发送的已封装报文,所述已封装报文的封装外层头中包含虚拟可扩展局域网网络VN域的地址信息;
所述输出交换机根据所述已封装报文的外层头中的所述VN域的地址信息查找预先配置的VN域与出端口的对应关系,获取所述VN域对应的出端口;
所述输出交换机将所述已封装报文解封装,得到解封装后的报文,所述解封装后的报文为输入交换机通过ACL策略引入的报文,将所述解封装后的报文发送给所述出端口。
在第三方面的第一种可能的实现方式中,所述VN域与出端口的对应关系中:
一个VN域与至少一个出端口相对应。
结合第三方面和第三方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述VN域的地址信息包括VN域的标识VNI以及VN域的IP地址。
结合第三方面的第一种可能的实现方式,在第三种可能的实现方式中,所述输出交换机向所述出端口发送所述已封装报文,并在送达出端口之前将所述已封装报文解封装,以使得所述出端口获得通过ACL策略引入的报文包括:
所述输出交换机在获取到N个出端口时,复制所述已封装报文得到N份所述已封装报文,N为大于等于2的自然数;
所述输出交换机分别向每个所述出端口发送一份已封装流量,并在送达出端口之前将所述已封装报文解封装,以使得所述出端口获得通过ACL策略引入的报文。
第四方面,本发明提供一种输出交换机,包括:
接收单元,用于接收输入交换机发送的已封装报文,所述已封装报文的封装外层头中包含虚拟可扩展局域网网络VN域的地址信息;
出端口获取单元,用于根据所述已封装报文的外层头中的所述VN域的地址信息查找预先配置的VN域与出端口的对应关系,获取所述VN域对应的出端口;
发送单元,用于向所述出端口发送所述已封装报文,并在送达出端口之前将所述已封装报文解封装,以使得出端口获得通过ACL策略引入的报文。
在第四方面的第一种可能的实现方式中,所述VN域与出端口的对应关系具体为:
一个VN域与至少一个出端口相对应。
结合第四方面和第四方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述VN域的地址信息包括VN域的标识VNI以及VN域的IP地址。
结合第四方面的第一种可能的实现方式,在第三种可能的实现方式中,所述发送单元具体用于:
当所述出端口获取单元获取到N个出端口时,复制所述已封装报文得到N份所述已封装报文,N为大于等于2的自然数,分别向每个所述出端口发送一份已封装报文,并在送达出端口之前将所述已封装报文解封装,以使得所述出端口获得通过ACL策略引入的报文。
由上述技术方案可以看出,本发明技术方案在对网络流量进行检测时,预先配置ACL策略与VN域之间的对应关系以及VN域与出端口之间的对应关系,将由ACL策略引入的报文使用VxLAN协议的方式进行转发到出端口,当需要对根据ACL策略引入的报文增加或删除出端口时,只需要修改对应该ACL策略的VN域的出端口信息即可,由此大大提高了流量监控网络的可扩展性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明ACL策略与VxLAN协议结合示意图;
图2为本发明一种报文转发方法的方法流程图之一;
图3为本发明一种报文转发方法的方法流程图之二;
图4为本发明的报文转发示意图;
图5为本发明一种输入交换机的装置结构图之一;
图6为本发明一种输入交换机的装置结构图之二;
图7为本发明一种交换机的硬件构成示意图;
图8为本发明一种输出交换机的装置结构图;
图9为本发明一种交换机的硬件构成示意图。
具体实施方式
本发明实施例提供了一种报文转发方法和装置。将ACL策略与虚拟可扩展局域网(英文:Virtual eXtensible LAN,缩写:VxLAN)协议进行结合需要至少对网络上的报文引入端口以及指向检测该流量的检测服务器的报文输出端口进行对应的扩展,请参阅图1,其为本发明ACL策略与VxLAN协议结合示意图,需要预先配置好引入报文所使用的ACL策略与虚拟可扩展局域网网络(英文:VxLAN Network,缩写:VN)域的对应关系以及VN域与出端口的对应关系,这里VN域所对应的出端口就是连接对通过对应该VN域的ACL策略引入的报文进行检测的检测服务器的端口。由此将VN域可预先灵活设定的出端口与报文的出端口有机的结合起来,当针对一待监控报文时,因业务监控的需要或者其他情况需要加入其它报文监控设备或者需要其它部门协同监控时,只需要调整引入该报文所使用的ACL策略所对应的VN域的出端口的信息即可。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例进行详细描述。
实施例一
本实施例以报文引入端口的输入交换机为执行主体,对本发明的技术方案进行描述,请参阅图2,其为本发明一种报文转发方法的方法流程图之一,该方法包括以下步骤:
S201:输入交换机获取通过ACL策略引入的报文;
这里需要说明的是,输入交换机接收到的流量中不仅包括由ACL策略所引入的报文,还包括其他网络报文,这种情况下,需要输入交换机对接收到的报文进行有效的匹配,从中确定出哪些是由ACL策略引入的报文,本发明的技术方案中提供了一种优选的匹配报文的方法,通过匹配接收到的报文的报文五元组来进行筛选,符合匹配规则的即被确定为通过ACL策略引入的报文,这里所述的报文五元组包括所述报文的源IP、目的IP、源端口号、目的端口号以及协议号。这种匹配方法仅仅是一个优选的例子,报文五元组是报文L2~L3层上的信息,也可以匹配处于报文L2~L7层中能够用于匹配ACL策略的其他信息,本发明对如何匹配出由ACL策略引入的报文的方法不进行限定。
S202:所述输入交换机根据预先配置的ACL策略与虚拟可扩展局域网网络VN域的对应关系,获取发送所述ACL策略所对应的VN域;
这里需要说明的是,预先定义好不同ACL策略与不同VN域之间的对应关系,其中可以根据实际情况设定一个或者多个ACL策略均对应同一个VN域,这样通过这几个ACL策略转发的流量均可以根据该对应关系映射到用一个VN域中,也就是说,一个ACL策略对应一个VN域,一个VN域对应至少一个ACL策略。在实际组网环境中,该预先设定对应关系的步骤在转发报文的过程中并不需要每次都执行。
S203:所述输入交换机对获取的所述报文进行VxLAN封装得到已封装报文,所述已封装报文的封装外层头中包含所述VN域的地址信息;
这里需要说明的是,这种封装方式与现有的VxLAN标准的封装方式不同,首先封装的是由ACL策略引入的报文,然后进行封装,在封装后的报文的外层头中加入包含所述VN域的地址信息,以便接收该已封装报文的输出交换机可以根据VN域的地址信息确定出端口。所述VN域的地址信息至少要包括VN域的标识VNI以及VN域的IP地址,VN域的标识是处在一定数值范围内的一个数值,比如说20、30或40,输出交换机可以根据这个标识,通过预先配置的VN域与出端口的对应关系来确定出该VN域所对应的出端口的信息。VN域的IP地址一般在现有技术中为组播IP地址的形式,比如说239.0.0.2等,属于该已封装报文的目的IP,输入交换机由此将已封装报文映射到该VN域中。
S204:所述输入交换机将所述已封装报文根据VxLAN标准转发到对应的输出交换机。
这一步骤的转发是使用VxLAN标准进行的,这里不再赘述。至于转发到输出交换机的具体处理步骤,将在实施例二中进行描述。
由本实施例可以看出,本发明技术方案在对网络流量进行检测时,预先配置ACL与VN域之间的对应关系,将由ACL策略引入的报文使用VxLAN协议的方式进行转发,当需要对根据ACL策略引入的报文增加或删除出端口时,只需要修改对应该ACL策略的VN域的出端口信息即可,由此大大提高了流量监控网络的可扩展性。
实施例二
本实施例将以作为指向检测该流量的检测服务器的流量输出端口的输出交换机为执行主体,对本发明的技术方案进行描述,请参阅图3,其为本发明一种报文转发方法的方法流程图之二,该方法包括以下步骤:
S301:输出交换机接收输入交换机发送的已封装报文,所述已封装报文的封装外层头中包含VN域的地址信息;
这里接收到的已封装报文是实施例一中步骤S204中按照VxLAN标准转发来的,转发到接收均是按照VxLAN标准来进行,这里不再赘述。
S302:所述输出交换机根据所述已封装报文的外层头中的所述VN域的地址信息查找预先配置的VN域与出端口的对应关系,获取所述VN域对应的出端口;
在实施例一的步骤S203中已经提到过,所述VN域的地址信息至少要包括VN域的标识VNI以及VN域的IP地址,VN域的标识是处在一定数值范围内的一个数值,比如说20、30或40,输出交换机可以根据这个标识,通过预先配置的VN域与出端口的对应关系来确定出该VN域所对应的出端口的信息。需要说明的是,这里所说的预先定义的对应关系,是指可以根据实际情况设定一个VN域对应的一个或者多个出端口,这里的实际情况主要是指与该VN域对应的一个或多个ACL策略所引入的报文都需要通过哪些检测业务,或者说需要由哪些检测服务器进行检测,该VN域的出端口的具***置和信息将根据这些检测服务器进行设定。也就是说,如果该VN域对应的ACL策略所引入的报文只需一台检测服务器进行检测,则只需设定一个与该检测服务器相连的出端口。如果需要多台检测服务器进行检测,则需设定分别与该多台检测服务器相连的出端口。VN域与出端口的对应关系可以以出端口列表的形式,如下表所示:
| VNI | 出端口列表 |
| 20 | Port1、Port2 |
| 40 | Port3、Port4 |
一个VNI对应的出端口可以为一个或多个。
S303:所述输出交换机向所述出端口发送所述已封装报文,并在送达出端口之前将所述已封装报文解封装,以使得所述出端口获得通过ACL策略引入的报文。
这里需要说明的是,如果步骤S302中所提到的确定出多个出端口的情况时,将复制出的多份已封装报文分别向每一个出端口发送一份已封装报文,并在送达出端口之前将已封装报文解封,还原成原始的报文,以使得每个检测服务器都能获得完整的通过ACL策略引入的报文进行相关的检测业务。还有一种可以实现为多个出端口发送报文的实施方式是,先将已封装报文进行解封装,还原成原始的由ACL策略引入的报文,然后再将该报文复制多份,将复制出的报文发送到对应的多个出端口,以使得每个检测服务器都能够获得一份完整的报文用于进行相关的检测。也就是说,在本发明的技术方案中,既可以先将已封装报文复制后分别发送到确定出的多个出端口处,然后在出端口之前解封,或者也可以先将已封装报文解封,还原为原始的由ACL策略引入的报文,然后再复制成多份并分别发送到所述多个出端口处,到底采用先解封后复制还是先复制再解封的方式,可以事先设置好或者根据实际的应用场景来决定。
由本实施例可以看出,本发明技术方案在对网络流量进行检测时,预先配置VN域与出端口之间的对应关系,将由ACL策略引入的报文使用VxLAN协议的方式进行转发,当需要对根据ACL策略引入的报文增加或删除出端口时,只需要修改对应该ACL策略的VN域的出端口信息即可,由此大大提高了流量监控网络的可扩展性。
实施例三
结合实施例一和实施例二的输入交换机和输出交换机的部分,以整个从接收到由ACL策略引入的报文到将该报文送达检测服务器的流程,举例进行描述。请参阅图4,其为本发明的报文转发示意图:
假设,配置的输入交换机401从接收到的报文中匹配出两条由ACL策略引入的报文A和B,其中,报文A的源IP地址为:2.2.2.2,报文B的源IP地址为:3.3.3.3。
输入交换机401的设备IP地址为:1.1.1.3;输入交换机通过预先配置的ACL策略与VN域的对应关系,确定出源IP地址为2.2.2.2的报文A所对应的VN域的标识为20,组播IP地址为239.0.0.1;确定出源IP地址为3.3.3.3的报文B所对应的VN域的标识为40,组播IP地址为239.0.0.2。
确定好这两个由ACL策略引入的报文所对应的VN域后,输入交换机401将报文A和报文B进行VxLAN封装,在已封装报文A的外层头中封装了所对应的VN域的标识20,组播IP地址239.0.0.1和输入交换机的设备IP地址1.1.1.3,在已封装报文B的外层头中封装了所对应的VN域的标识40,组播IP地址239.0.0.2和输入交换机的设备IP地址1.1.1.3。
然后输入交换机401按照标准的VxLAN协议将已封装的报文A和B分别映射到对应的VN域中进行组播转发。
当已封装报文A到达对应的输出交换机402后,输出交换机402通过分析已封装报文A的外层头获得VN域的标识20,然后根据预先配置的VN域与出端口的对应关系确定出对应该VN域的出端口有两个,分别是Port1和Port2,这两个出端口分别连接需要对报文A进行检测的两个检测服务器。
当已封装报文B到达对应的输出交换机403后,输出交换机403通过分析已封装报文B的外层头获得VN域的标识40,然后根据预先配置的VN域与出端口的对应关系确定出对应该VN域的出端口有两个,分别是Port3和Port4,这两个出端口分别连接需要对报文B进行检测的两个检测服务器。
输出交换机402将已封装报文A复制为两份,分别发送到Port1和Port2处,并在到达Port1和Port2处之前将该已封装报文A解封装,还原为原始报文A。当然也可以先解封装得到原始报文A,再对报文A进行复制,然后直接将报文A分别发送到两个出端口Port1和Port2,本发明不对此不做限定。
输出交换机403将已封装报文B复制为两份,分别发送到Port3和Port4处,并在到达Port3和Port4处之前将该已封装报文B解封装,还原为原始报文B。当然也可以先解封装得到原始报文B,再对报文B进行复制,然后直接将报文B分别发送到两个出端口Port3和Port4,本发明不对此不做限定。
实施例三
本实施例为对应实施例一的装置实施例,请参阅图5,其为本发明一种输入交换机的装置结构图之一,所述输入交换机包括:
报文获取单元501,用于获取通过ACL策略引入的报文;
确定单元502,用于根据预先配置的ACL策略与虚拟可扩展局域网网络VN域的对应关系,获取所述ACL策略所对应的VN域;
封装单元503,用于对获取的所述报文进行虚拟可扩展局域网VxLAN封装得到已封装报文,所述已封装报文的封装外层头中包含所述VN域的地址信息;
发送单元504,用于将所述已封装报文根据VxLAN标准转发到对应的输出交换机。
其中,优选的,所述ACL策略与VN域的对应关系中:
一个ACL策略对应一个VN域,一个VN域对应至少一个ACL策略。
优选的,
所述VN域的地址信息包括VN域的标识VNI以及VN域的IP地址。
优选的,在前述实施例保护的输入交换机还可以进一步包括ACL匹配单元,如图6所示为如在图5所示的输入交换机中还包括:
ACL匹配单元601,用于对接收到的报文根据所述报文的五元组进行ACL匹配,确定所述报文为能够通过ACL策略引入的报文,所述五元组包括所述报文的源IP地址、目的IP地址、源端口号、目的端口号以及协议号。
进一步地,本发明实施例还提供了一种交换机,用于实现图2所示的方法。请参阅图7,其为本发明一种交换机的硬件构成示意图,所述交换机包括存储器701、接收器702和发送器704以及分别与存储器701、接收器702和发送器704连接的处理器703:
所述存储器701,用于存储预先配置的ACL策略与虚拟可扩展局域网网络VN域的对应关系;
所述接收器702,用于获取通过访问控制列表ACL策略引入的报文;
所述处理器703,用于根据存储器701中预先配置的ACL策略与VN域的对应关系,获取所述ACL策略所对应的VN域;对获取的所述报文进行虚拟可扩展局域网VxLAN封装得到已封装报文,所述已封装报文的封装外层头中包含所述VN域的地址信息;
所述发送器704,用于将所述已封装报文根据VxLAN标准转发到对应的输出交换机。
实施例四
本实施例为对应实施例二的装置实施例,请参阅图8,其为本发明一种输出交换机的装置结构图,所述输出交换机包括:
接收单元801,用于用于接收输入交换机发送的已封装报文,所述已封装报文的封装外层头中包含虚拟可扩展局域网网络VN域的地址信息;
出端口获取单元802,用于根据所述已封装报文的外层头中的所述VN域的地址信息查找预先配置的VN域与出端口的对应关系,获取所述VN域对应的出端口;
发送单元803,用于向所述出端口发送所述已封装报文,并在送达出端口之前将所述已封装报文解封装,以使得出端口获得通过ACL策略引入的报文。
其中,优选的,所述VN域与出端口的对应关系具体为:
一个VN域与至少一个出端口相对应。
优选的,所述VN域的地址信息包括VN域的标识VNI以及VN域的IP地址。
优选的,所述发送单元803具体用于:
当所述出端口获取单元获取到N个出端口时,复制所述已封装报文得到N份所述已封装报文,N为大于等于2的自然数,分别向每个所述出端口发送一份已封装报文,并在送达出端口之前将所述已封装报文解封装,以使得所述出端口获得通过ACL策略引入的报文。
进一步地,本发明实施例还提供了一种交换机,用于实现图3所示的方法。请参阅图9,其为本发明一种交换机的硬件构成示意图,所述交换机包括存储器901、接收器902和发送器904以及分别与存储器901、接收器902和发送器904连接的处理器903:
所述存储器901,用于存储预先配置的VN域与出端口的对应关系;
所述接收器902,用于接收输入交换机发送的已封装报文,所述已封装报文的封装外层头中包含虚拟可扩展局域网网络VN域的地址信息;
所述处理器903,用于根据所述已封装报文的外层头中的所述VN域的地址信息查找所述存储器901中预先配置的VN域与出端口的对应关系,获取所述VN域对应的出端口;
所述发送器904,用于向所述出端口发送所述已封装报文,并在送达出端口之前将所述已封装报文解封装,以使得出端口获得通过ACL策略引入的报文。
由上述实施例可以看出,本发明技术方案在对网络流量进行检测时,预先配置ACL策略与VN域之间的对应关系以及VN域与出端口之间的对应关系,将由ACL策略引入的报文使用VxLAN协议的方式进行转发到出端口,当需要对根据ACL策略引入的报文增加或删除出端口时,只需要修改对应该ACL策略的VN域的出端口信息即可,由此大大提高了流量监控网络的可扩展性。
需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上对本发明所提供的一种报文转发方法和装置进行了详细介绍,本文中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (16)
1.一种报文转发方法,其特征在于,所述方法包括:
输入交换机获取通过访问控制列表ACL策略引入的报文;
所述输入交换机根据预先配置的ACL策略与虚拟可扩展局域网网络VN域的对应关系,获取所述ACL策略所对应的VN域;
所述输入交换机对获取的所述报文进行虚拟可扩展局域网VxLAN封装得到已封装报文,所述已封装报文的封装外层头中包含所述VN域的地址信息;
所述输入交换机将所述已封装报文根据VxLAN标准转发到对应的输出交换机。
2.根据权利要求1所述的方法,其特征在于,所述ACL策略与VN域的对应关系中:
一个ACL策略对应一个VN域,一个VN域对应至少一个ACL策略。
3.根据权利要求1或2所述的方法,其特征在于,
所述VN域的地址信息包括所述VN域的标识VNI以及所述VN域的IP地址。
4.根据权利要求1至3中任意一项所述的方法,其特征在于,所述输入交换机获取通过ACL策略引入的报文之前,所述方法还包括:
所述输入交换机对接收到的报文根据所述报文的五元组进行ACL匹配,确定所述报文为能够通过ACL策略引入的报文,所述五元组包括所述报文的源IP地址、目的IP地址、源端口号、目的端口号以及协议号。
5.一种输入交换机,其特征在于,包括:
报文获取单元,用于获取通过ACL策略引入的报文;
确定单元,用于根据预先配置的ACL策略与虚拟可扩展局域网网络VN域的对应关系,获取所述ACL策略所对应的VN域;
封装单元,用于对获取的所述报文进行虚拟可扩展局域网VxLAN封装得到已封装报文,所述已封装报文的封装外层头中包含所述VN域的地址信息;
发送单元,用于将所述已封装报文根据VxLAN标准转发到对应的输出交换机。
6.根据权利要求5所述的输入交换机,其特征在于,所述ACL策略与VN域的对应关系中:
一个ACL策略对应一个VN域,一个VN域对应至少一个ACL策略。
7.根据权利要求5或6所述的输入交换机,其特征在于,
所述VN域的地址信息包括所述VN域的标识VNI以及所述VN域的IP地址。
8.根据权利要求5至7中任意一项所述的输入交换机,其特征在于,还包括:
ACL匹配单元,用于对接收到的报文根据所述报文的五元组进行ACL匹配,确定所述报文为能够通过ACL策略引入的报文,所述五元组包括所述报文的源IP地址、目的IP地址、源端口号、目的端口号以及协议号。
9.一种报文转发方法,其特征在于,所述方法包括:
输出交换机接收输入交换机发送的已封装报文,所述已封装报文的封装外层头中包含虚拟可扩展局域网网络VN域的地址信息;
所述输出交换机根据所述已封装报文的外层头中的所述VN域的地址信息查找预先配置的VN域与出端口的对应关系,获取所述VN域对应的出端口;
所述输出交换机向所述出端口发送所述已封装报文,并在送达出端口之前将所述已封装报文解封装,以使得出端口获得通过ACL策略引入的报文。
10.根据权利要9所述的方法,其特征在于,所述VN域与出端口的对应关系中:
一个VN域与至少一个出端口相对应。
11.根据权利要求9或10所述的方法,其特征在于,
所述VN域的地址信息包括VN域的标识VNI以及VN域的IP地址。
12.根据权利要求10所述的方法,其特征在于,所述输出交换机向所述出端口发送所述已封装报文,并在送达出端口之前将所述已封装报文解封装,以使得所述出端口获得通过ACL策略引入的报文包括:
所述输出交换机在获取到N个出端口时,复制所述已封装报文得到N份所述已封装报文,N为大于等于2的自然数;
所述输出交换机分别向每个所述出端口发送一份已封装流量,并在送达出端口之前将所述已封装报文解封装,以使得所述出端口获得通过ACL策略引入的报文。
13.一种输出交换机,其特征在于,包括:
接收单元,用于接收输入交换机发送的已封装报文,所述已封装报文的封装外层头中包含虚拟可扩展局域网网络VN域的地址信息;
出端口获取单元,用于根据所述已封装报文的外层头中的所述VN域的地址信息查找预先配置的VN域与出端口的对应关系,获取所述VN域对应的出端口;
发送单元,用于向所述出端口发送所述已封装报文,并在送达出端口之前将所述已封装报文解封装,以使得出端口获得通过ACL策略引入的报文。
14.根据权利要求13所述的输出交换机,其特征在于,所述VN域与出端口的对应关系具体为:
一个VN域与至少一个出端口相对应。
15.根据权利要求13或14所述的输出交换机,其特征在于,
所述VN域的地址信息包括VN域的标识VNI以及VN域的IP地址。
16.根据权利要求13所述的输出交换机,其特征在于,所述发送单元具体用于:
当所述出端口获取单元获取到N个出端口时,复制所述已封装报文得到N份所述已封装报文,N为大于等于2的自然数,分别向每个所述出端口发送一份已封装报文,并在送达出端口之前将所述已封装报文解封装,以使得所述出端口获得通过ACL策略引入的报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310704097.XA CN104734986B (zh) | 2013-12-19 | 2013-12-19 | 一种报文转发方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310704097.XA CN104734986B (zh) | 2013-12-19 | 2013-12-19 | 一种报文转发方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104734986A true CN104734986A (zh) | 2015-06-24 |
| CN104734986B CN104734986B (zh) | 2018-12-25 |
Family
ID=53458433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310704097.XA Active CN104734986B (zh) | 2013-12-19 | 2013-12-19 | 一种报文转发方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104734986B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591834A (zh) * | 2015-07-10 | 2016-05-18 | 杭州华三通信技术有限公司 | Vxlan中的流量监控方法和装置 |
| CN105939230A (zh) * | 2016-04-27 | 2016-09-14 | 杭州迪普科技有限公司 | 多点远程监控方法和装置 |
| CN106230668A (zh) * | 2016-07-14 | 2016-12-14 | 杭州华三通信技术有限公司 | 接入控制方法及装置 |
| CN108063718A (zh) * | 2017-12-18 | 2018-05-22 | 迈普通信技术股份有限公司 | 报文处理方法、装置及电子设备 |
| CN108093051A (zh) * | 2017-12-20 | 2018-05-29 | 迈普通信技术股份有限公司 | 报文复制方法及装置 |
| CN108616463A (zh) * | 2018-04-25 | 2018-10-02 | 新华三技术有限公司 | 一种报文处理方法及交换机 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466340A (zh) * | 2002-06-24 | 2004-01-07 | �人��������������ι�˾ | 以策略流方式转发数据的方法和数据转发设备 |
| CN101217539A (zh) * | 2007-12-29 | 2008-07-09 | 杭州华三通信技术有限公司 | 一种防火墙设备及处理二层转发报文的方法 |
| US20110058549A1 (en) * | 2009-09-09 | 2011-03-10 | Amir Harel | Method and system for layer 2 manipulator and forwarder |
| CN102307136A (zh) * | 2011-07-06 | 2012-01-04 | 杭州华三通信技术有限公司 | 报文处理方法及其装置 |
| US20120033670A1 (en) * | 2010-08-06 | 2012-02-09 | Alcatel-Lucent, Usa Inc. | EGRESS PROCESSING OF INGRESS VLAN ACLs |
| US20120287786A1 (en) * | 2011-05-14 | 2012-11-15 | International Business Machines Corporation | Priority based flow control in a distributed fabric protocol (dfp) switching network architecture |
| US20130064247A1 (en) * | 2010-05-24 | 2013-03-14 | Hangzhou H3C Technologies Co., Ltd. | Method and device for processing source role information |
| CN103152257A (zh) * | 2013-03-14 | 2013-06-12 | 杭州华三通信技术有限公司 | 一种数据传输方法及其装置 |
-
2013
- 2013-12-19 CN CN201310704097.XA patent/CN104734986B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466340A (zh) * | 2002-06-24 | 2004-01-07 | �人��������������ι�˾ | 以策略流方式转发数据的方法和数据转发设备 |
| CN101217539A (zh) * | 2007-12-29 | 2008-07-09 | 杭州华三通信技术有限公司 | 一种防火墙设备及处理二层转发报文的方法 |
| US20110058549A1 (en) * | 2009-09-09 | 2011-03-10 | Amir Harel | Method and system for layer 2 manipulator and forwarder |
| US20130064247A1 (en) * | 2010-05-24 | 2013-03-14 | Hangzhou H3C Technologies Co., Ltd. | Method and device for processing source role information |
| US20120033670A1 (en) * | 2010-08-06 | 2012-02-09 | Alcatel-Lucent, Usa Inc. | EGRESS PROCESSING OF INGRESS VLAN ACLs |
| US20120287786A1 (en) * | 2011-05-14 | 2012-11-15 | International Business Machines Corporation | Priority based flow control in a distributed fabric protocol (dfp) switching network architecture |
| CN102307136A (zh) * | 2011-07-06 | 2012-01-04 | 杭州华三通信技术有限公司 | 报文处理方法及其装置 |
| CN103152257A (zh) * | 2013-03-14 | 2013-06-12 | 杭州华三通信技术有限公司 | 一种数据传输方法及其装置 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105591834A (zh) * | 2015-07-10 | 2016-05-18 | 杭州华三通信技术有限公司 | Vxlan中的流量监控方法和装置 |
| CN105591834B (zh) * | 2015-07-10 | 2018-12-11 | 新华三技术有限公司 | Vxlan中的流量监控方法和装置 |
| CN105939230A (zh) * | 2016-04-27 | 2016-09-14 | 杭州迪普科技有限公司 | 多点远程监控方法和装置 |
| CN106230668A (zh) * | 2016-07-14 | 2016-12-14 | 杭州华三通信技术有限公司 | 接入控制方法及装置 |
| CN106230668B (zh) * | 2016-07-14 | 2020-01-03 | 新华三技术有限公司 | 接入控制方法及装置 |
| CN108063718A (zh) * | 2017-12-18 | 2018-05-22 | 迈普通信技术股份有限公司 | 报文处理方法、装置及电子设备 |
| CN108063718B (zh) * | 2017-12-18 | 2021-02-05 | 迈普通信技术股份有限公司 | 报文处理方法、装置及电子设备 |
| CN108093051A (zh) * | 2017-12-20 | 2018-05-29 | 迈普通信技术股份有限公司 | 报文复制方法及装置 |
| CN108093051B (zh) * | 2017-12-20 | 2021-02-05 | 迈普通信技术股份有限公司 | 报文复制方法及装置 |
| CN108616463A (zh) * | 2018-04-25 | 2018-10-02 | 新华三技术有限公司 | 一种报文处理方法及交换机 |
| CN108616463B (zh) * | 2018-04-25 | 2021-04-30 | 新华三技术有限公司 | 一种报文处理方法及交换机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104734986B (zh) | 2018-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104734986A (zh) | 一种报文转发方法和装置 | |
| CN105264834B (zh) | 一种在nvo3网络中处理组播报文的方法、装置和nvo3网络 | |
| CN108322338B (zh) | 一种广播抑制方法和vtep设备 | |
| US20070288613A1 (en) | Providing support for responding to location protocol queries within a network node | |
| CN103841037B (zh) | 组播报文转发的方法及设备 | |
| CN106161335A (zh) | 一种网络数据包的处理方法和装置 | |
| CN104852840B (zh) | 一种控制虚拟机之间互访的方法及装置 | |
| WO2020073685A1 (zh) | 转发路径确定方法、装置、***、计算机设备及存储介质 | |
| CN107547349A (zh) | 一种虚拟机迁移的方法及装置 | |
| CN104852826B (zh) | 一种环路检测方法及装置 | |
| CN112887229B (zh) | 一种会话信息同步方法及装置 | |
| US20180054397A1 (en) | Filtration of Network Traffic Using Virtually-Extended Ternary Content-Addressable Memory (TCAM) | |
| CN103200100A (zh) | 一种报文转发方法和设备 | |
| CN102882793B (zh) | 拓扑改变消息的传输处理方法及网络设备 | |
| CN105187311A (zh) | 一种报文转发方法及装置 | |
| CN103067270B (zh) | 一种虚拟机互访安全控制方法及装置 | |
| CN104660597A (zh) | 三层认证方法、装置及三层认证交换机 | |
| CN108540386A (zh) | 一种防止业务流中断方法及装置 | |
| CN104780090A (zh) | Vpn组播传输的方法、装置、pe设备 | |
| CN105812221A (zh) | 虚拟可扩展本地区域网络中数据传输的设备和方法 | |
| CN105306357A (zh) | 一种检测环回的***及方法 | |
| CN106209554A (zh) | 跨虚拟可扩展局域网的报文转发方法和设备 | |
| CN104104597B (zh) | 一种数据传输方法、装置及*** | |
| CN113472667B (zh) | 一种报文转发方法、装置、节点设备及存储介质 | |
| KR101068716B1 (ko) | 센서 네트워크에서 패킷의 송신 경로를 역추적하는 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |