[go: up one dir, main page]

CN106603523A - 一种报文转发方法及网络交换设备 - Google Patents

一种报文转发方法及网络交换设备 Download PDF

Info

Publication number
CN106603523A
CN106603523A CN201611130090.1A CN201611130090A CN106603523A CN 106603523 A CN106603523 A CN 106603523A CN 201611130090 A CN201611130090 A CN 201611130090A CN 106603523 A CN106603523 A CN 106603523A
Authority
CN
China
Prior art keywords
board
type
switch board
service message
exchange
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201611130090.1A
Other languages
English (en)
Inventor
邵继超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Dongtu Jinyue Technology Co Ltd
Original Assignee
Beijing Dongtu Jinyue Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Dongtu Jinyue Technology Co Ltd filed Critical Beijing Dongtu Jinyue Technology Co Ltd
Priority to CN201611130090.1A priority Critical patent/CN106603523A/zh
Publication of CN106603523A publication Critical patent/CN106603523A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/15Interconnection of switching modules
    • H04L49/1515Non-blocking multistage, e.g. Clos
    • H04L49/1523Parallel switch fabric planes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明实施例公开了一种报文转发方法及网络交换设备,网络交换设备包含安全板和多个交换板,交换板接收到业务报文后,并不直接对其进行转发,而是将该业务报文转发送至安全板。如果是第一类交换板从外部收到的业务报文,直接发送到安全板;如果是非第一类交换板从外部收到的业务报文,通过第一类交换板转发至安全板。安全板根据预先存储的安全策略验证该业务报文是否合法,仅在该业务报文合法的情况下,安全板将该业务报文发送至第一类交换板,由第一类交换板将其发送至外部设备或将其对其进行转发到非第一类交换板,避免了非法报文攻击其他设备的情况,提高了网络交换设备的安全性。

Description

一种报文转发方法及网络交换设备
技术领域
本发明涉及通信技术领域,特别涉及一种报文转发方法及网络交换设备。
背景技术
网络交换设备通常包括交换机、路由器、网关等。网络交换设备可以实现信息交换的功能,具体来说,网络交换设备可以对其他设备之间进行数据交互的报文进行转发。
现有的网络交换设备仅能够对报文进行转发,并不能对报文进行安全识别。举例来说,假设主机A与主机B之间的数据交互需要经过网络交换设备;主机A被非法用户攻击,主机A通过该网络交换设备向主机B发送攻击报文;网络交换设备会将攻击报文转发给主机B,这样,攻击报文会攻击主机B。因此,这种网络交换设备的安全性较低。
发明内容
本发明实施例的目的在于提供一种报文转发方法及网络交换设备,提高网络交换设备的安全性。
为达到上述目的,本发明实施例公开了一种报文转发方法,应用于网络交换设备,所述网络交换设备包含安全板和多个交换板;所述方法包括:
交换板接收业务报文:
若所述交换板被配置为第一类交换板,则将接收到的所述业务报文发送至所述安全板;
若所述交换板被配置为非第一类交换板,则将接收到的所述业务报文发送至所述第一类交换板,以使所述第一类交换板将所述业务报文转发至所述安全板;
所述安全板根据预先存储的安全策略,验证所述业务报文是否合法;如果是,将所述业务报文确定为合法业务报文,将所述合法业务报文发送至第一类交换板;
所述第一类交换板接收到所述合法业务报文后,确定所述合法业务报文的目的地址,并根据所述目的地址,将所述合法业务报文发送至外部设备或转发至非第一类交换板;
所述非第一类交换板接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备。
可选的,第一类交换板根据所述目的地址,将所述合法业务报文发送至外部设备或转发至非第一类交换板的步骤,可以包括:
第一类交换板根据所述目的地址,确定所述合法业务报文对应的目标出接口、及所述目标出接口对应的目标交换板:当目标交换板包含第一类交换板时,第一类交换板通过自身目标出接口将所述合法业务报文发送至外部设备;当目标交换板包含非第一类交换板时,第一类交换板将所述合法业务报文转发至非第一类交换板;
非第一类交换板根据所述目的地址,将所述合法业务报文发送至外部设备的步骤,可以包括:
非第一类交换板通过自身目标出接口将所述合法业务报文发送至外部设备。
可选的,所述第一类交换板根据所述目的地址,确定所述合法业务报文对应的目标出接口的步骤,可以包括:
第一类交换板根据所述目的地址,判断所述合法业务报文是否为单播业务报文;
如果是,查找本地转发表项,根据查找结果,确定所述合法业务报文对应的目标出接口;
如果否,将所述网络交换设备的全部出接口确定为所述合法业务报文对应的目标出接口,或者,确定所述合法业务报文所属的广播域,将所述广播域下的出接口确定为所述合法业务报文对应的目标出接口。
可选的,所述安全板根据预先存储的安全策略验证所述业务报文是否合法的步骤,可以包括:
所述安全板判断所述业务报文的源地址是否位于第一预设地址区间;或者,
判断所述业务报文的目的地址是否位于第二预设地址区间;或者,
根据预先设定的源地址与目的地址的对应关系,判断所述业务报文的源地址与目的地址是否对应;或者,
判断所述业务报文的以太网类型是否为预设以太网类型;或者,
判断所述业务报文的互联网协议类型是否为预设互联网协议类型;
如果是,表示所述业务报文合法。
可选的,所述若所述交换板被配置为非第一类交换板,则将接收到的所述业务报文发送至第一类交换板的步骤,可以包括:
若所述交换板被配置为第二类交换板,则将接收到的业务报文发送至第一类交换板;
若所述交换板被配置为第三类交换板,则将接收到的业务报文发送至第二类交换板,以使第二类交换板将接收到的业务报文转发至第一类交换板;
所述非第一类交换板接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备的步骤,可以包括:
当所述交换板被配置为第二类交换板时,所述交换板接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备或转发至第三类交换板;
当所述交换板被配置为第三类交换板时,所述交换板接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备。
可选的,所述交换板接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备或转发至第三类交换板的步骤,可以包括:
第二类交换板接收到所述合法业务报文后,判断所述目的地址对应的目标出接口所在的目标交换板是否包含第三类交换板:如果否,通过自身目标出接口将所述合法业务报文发送至外部设备;如果是,将所述合法业务报文转发至第三类交换板;
所述交换板接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备的步骤,可以包括:
第三类交换板接收到所述合法业务报文后,通过自身目标出接口将所述合法业务报文发送至外部设备。
可选的,所述网络交换设备还包含主控板,所述主控板与安全板及交换板相连,所述方法还可以包括:
所述主控板检测各个交换板是否在位:
当检测到第一类交换板不在位时,将第二类交换板与所述安全板相连的线路使能;当检测到第二类交换板不在位时,将第三类交换板与第一类交换板相连的线路使能;当检测到第一类交换板、及第二类交换板均不在位时,将第三类交换板与所述安全板相连的线路使能;
交换板检测到自身与所述安全板相连的线路使能后,确定自身被配置为第一类交换板;
交换板检测到自身与第一类交换板相连的线路使能后,确定自身被配置为第二类交换板;
交换板检测到自身与第二类交换板相连的线路使能后,确定自身被配置为第三类交换板。
为达到上述目的,本发明实施例还公开了一种网络交换设备,包括:交换板和安全板,其中,
所述交换板,还用于若被配置为第一类交换板,则将接收到的所述业务报文发送至所述安全板;
所述交换板,还用于若被配置为非第一类交换板,则将接收到的所述业务报文发送至所述第一类交换板,以使所述第一类交换板将所述业务报文转发至所述安全板;
所述安全板,用于根据预先存储的安全策略,验证所述业务报文是否合法;如果是,将所述业务报文确定为合法业务报文,将所述合法业务报文发送至第一类交换板;
所述交换板,还用于若被配置为所述第一类交换板,接收到所述合法业务报文后,确定所述合法业务报文的目的地址,并根据所述目的地址,将所述合法业务报文发送至外部设备或转发至非第一类交换板;
所述交换板,还用于若被配置为所述第二类交换板,接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备。
可选的,所述交换板,还用于若被配置为所述第一类交换板,根据所述目的地址确定所述合法业务报文对应的目标出接口、及所述目标出接口对应的目标交换板:当目标交换板包含第一类交换板时,第一类交换板通过自身目标出接口将所述合法业务报文发送至外部设备;当目标交换板包含非第一类交换板时,第一类交换板将所述合法业务报文转发至非第一类交换板;
所述交换板,还用于若被配置为所述非第一类交换板,通过自身目标出接口将所述合法业务报文发送至外部设备。
可选的,所述交换板,还用于若被配置为所述第一类交换板,根据所述目的地址,判断所述合法业务报文是否为单播业务报文;如果是,查找本地转发表项,根据查找结果,确定所述合法业务报文对应的目标出接口;如果否,将自身全部出接口确定为所述合法业务报文对应的目标出接口,或者,确定所述合法业务报文所属的广播域,将所述广播域下的出接口确定为所述合法业务报文对应的目标出接口。
可选的,所述安全板,还用于判断所述业务报文的源地址是否位于第一预设地址区间;如果是,表示所述业务报文合法;或者,
所述安全板,还用于判断所述业务报文的目的地址是否位于第二预设地址区间;如果是,表示所述业务报文合法;或者,
所述安全板,还用于根据预先设定的源地址与目的地址的对应关系,判断所述业务报文的源地址与目的地址是否对应;如果是,表示所述业务报文合法;或者,
所述安全板,还用于判断所述业务报文的以太网类型是否为预设以太网类型;如果是,表示所述业务报文合法;或者,
所述安全板,还用于判断所述业务报文的互联网协议类型是否为预设互联网协议类型;如果是,表示所述业务报文合法。
可选的,所述非第一类交换板包括第二类交换板和第三类交换板;
所述交换板,还用于若被配置为所述第三类交换板,将接收到的业务报文发送至第二类交换板;
所述交换板,还用于若被配置为所述第二类交换板,将接收到的业务报文发送至第一类交换板;
所述交换板,还用于若被配置为所述第二类交换板,接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备或转发至第三类交换板;
所述交换板,还用于若被配置为所述第三类交换板,接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备。
可选的,所述交换板,还用于若被配置为所述第二类交换板,接收到所述合法业务报文后,判断所述目的地址对应的目标出接口所在的目标交换板是否包含第三类交换板:如果否,通过自身目标出接口将所述合法业务报文发送至外部设备;如果是,将所述合法业务报文转发至第三类交换板;
所述交换板,还用于若被配置为所述第三类交换板,接收到所述合法业务报文后,通过自身目标出接口将所述合法业务报文发送至外部设备。
可选的,所述网络交换设备还包含主控板,所述主控板与安全板及交换板相连,
所述主控板,用于检测各个交换板是否在位:
当检测到第一类交换板不在位时,将第二类交换板与所述安全板相连的线路使能;当检测到第二类交换板不在位时,将第三类交换板与第一类交换板相连的线路使能;当检测到第一类交换板、及第二类交换板均不在位时,将第三类交换板与所述安全板相连的线路使能;
所述交换板,还用于检测到自身与所述安全板相连的线路使能后,确定自身被配置为第一类交换板;
所述交换板,还用于检测到自身与第一类交换板相连的线路使能后,确定自身被配置为第二类交换板;
所述交换板,还用于检测到自身与第二类交换板相连的线路使能后,确定自身被配置为第三类交换板。
应用本发明所示实施例,网络交换设备包含安全板和多个交换板,交换板接收到业务报文后,并不直接对其进行转发,而是将该业务报文转发送至安全板。如果是第一类交换板从外部收到的业务报文,直接发送到安全板;如果是非第一类交换板从外部收到的业务报文,通过第一类交换板转发至安全板。安全板根据预先存储的安全策略验证该业务报文是否合法,仅在该业务报文合法的情况下,安全板将该业务报文发送至第一类交换板,由第一类交换板将其发送至外部设备或将其转发到非第一类交换板,避免了非法报文攻击其他设备的情况,提高了网络交换设备的安全性。
当然,实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的网络交换设备的第一种结构示意图;
图2为本发明实施例提供的报文转发方法的第一种信令图;
图3为本发明实施例提供的报文转发方法的第二种信令图;
图4为本发明实施例提供的网络交换设备的第二种结构示意图;
图5为本发明实施例提供的报文转发方法的第三种信令图;
图6为本发明实施例提供的报文转发方法的第四种信令图;
图7为本发明实施例提供的网络交换设备的第三种结构示意图;
图8为本发明实施例提供的网络交换设备的第四种结构示意图;
图9为本发明实施例提供的网络交换设备的第五种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决上述技术问题,本发明实施例提供了一种报文转发方法以及一种网络交换设备。该报文转发方法可以应用于该网络交换设备,该网络交换设备可以如图1所示,包含安全板100和多个交换板(交换板210和交换板220)。下面首先对本发明实施例提供的报文转发方法进行详细说明。
在本发明实施例中,可以在交换板中预先配置角色信息。作为一种实施方式,角色信息可以包括:第一类交换板和非第一类交换板。其中,第一类交换板可以理解为当前状态下与安全板直接相连的交换板;非第一类交换板可以理解为除第一类交换板以外的交换板。
图1中,交换板210被配置为第一类交换板,交换板220被配置为非第一类交换板。第一类交换板为与安全板直接相连的交换板,非第一类交换板为第一类交换板相连的交换板。
在本实施例中,将网络交换设备接收到的该设备外部发来的报文称为业务报文,比如ARP报文。本实施例提供的网络交换设备中的各个交换板中均可以设置有交换端口,用于接收和发送业务报文。需要说明的是,本实施例中的“接口”既包括真实物理端口,也包括虚拟接口(比如higig接口),该交换端口也属于“接口”。
假设交换板210接收到业务报文,如图2所示:
交换板210接收到业务报文后,读取自身配置的角色信息:交换板210被配置为第一类交换板,则交换板210将接收到的业务报文发送至安全板100;安全板100根据预先存储的安全策略验证所述业务报文是否合法;如果是,将所述业务报文确定为合法业务报文,将所述合法业务报文发送至第一类交换板210;第一类交换板210接收所述合法业务报文,确定所述合法业务报文的目的地址,并根据所述目的地址,将所述合法业务报文发送至外部设备或转发至非第一类交换板。
假设交换板220接收到业务报文,如图3所示:
交换板220接收到业务报文后,读取自身配置的角色信息:交换板220被配置为非第一类交换板,则交换板220将接收到的业务报文发送至第一类交换板210,第一类交换板再将该业务报文发送至安全板100;安全板100根据预先存储的安全策略验证所述业务报文是否合法;如果是,将所述业务报文确定为合法业务报文,将所述合法业务报文发送至第一类交换板210;第一类交换板210接收所述合法业务报文,确定所述合法业务报文的目的地址,并根据所述目的地址,将所述合法业务报文发送至外部设备或转发至非第一类交换板。
需要说明的是,如果安全板100验证该业务报文不合法,可以将该报文丢弃,或者也可以不作处理,不再将该报文发送给交换板。
本发明实施例提供的网络交换设备包含安全板和多个交换板,交换板接收到业务报文后,并不直接对其进行转发,而是将该业务报文转发至安全板。如果是第一类交换板从外部收到的业务报文,直接发送到安全板;如果是非第一类交换板从外部收到的业务报文,通过第一类交换板转发至安全板。安全板根据预先存储的安全策略验证该业务报文是否合法,仅在该业务报文合法的情况下,安全板将该业务报文发送至第一类交换板,由第一类交换板将其发送至外部设备或将其对其进行转发到非第一类交换板,避免了非法报文攻击其他设备的情况,提高了网络交换设备的安全性。
以下说明在本发明实施例提供的网络交换设备内部如何转发合法业务报文,并将合法业务报文转发到外部设备:
作为一种实施方式,第一类交换板210可以根据所述目的地址,确定所述合法业务报文对应的目标出接口、及所述目标出接口对应的目标交换板:当目标交换板包含第一类交换板时,第一类交换板通过自身目标出接口将所述合法业务报文发送至外部设备;当目标交换板包含非第一类交换板时,第一类交换板将所述合法业务报文转发至非第一类交换板。
具体来说,第一类交换板可以根据所述目的地址,判断所述合法业务报文是否为单播业务报文;
如果是,查找本地转发表项,根据查找结果,确定所述合法业务报文对应的目标出接口;
如果否,将所述网络交换设备的全部出接口确定为所述合法业务报文对应的目标出接口,或者,确定所述合法业务报文所属的广播域,将所述广播域下的出接口确定为所述合法业务报文对应的目标出接口。
可以理解的是,如果判断结果为否,则表示该合法业务报文为广播业务报文,广播业务报文可以包含多种情况,比如:该广播业务报文需要广播至该网络交换设备所属的全部广播域,这种情况下,将网络交换设备的全部出接口确定为该合法业务报文对应的目标出接口;如果该广播业务报文仅需广播至该业务报文所属的广播域中,则确定该合法业务报文所属的广播域,将该广播域下的出接口确定为该合法业务报文对应的目标出接口。
目标出接口所在的交换板即为目标交换板。也就是说,如果该合法业务报文为单播业务报文,目标交换板可以为第一类交换板或者非第一类交换板;如果该合法业务报文为广播业务报文,目标交换板则包含第一类交换板和非第一类交换板。
延续上述例子,如果目标交换板仅包含第一类交换板210,则第一类交换板210直接将该合法业务报文通过自身目标出接口发送至外部设备;如果目标交换板仅包含非第一类交换板220,则第一类交换板210将该合法业务报文发送至非第一类交换板220;如果目标交换板包含第一类交换板210和非第一类交换板220,则第一类交换板210将该合法业务报文通过自身目标出接口发送至外部设备,并且将该合法业务报文发送至非第一类交换板220。
非第一类交换板220接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备。具体的,非第一类交换板220通过自身目标出接口将所述合法业务报文发送至外部设备。
另外,需要说明的是,网络交换设备中存储有本地转发表项,该本地转发表项为该网络交换设备通过学习得到的。具体学习方式有多种,比如,网络交换设备可以在接收到广播报文后,学习得到广播报文中携带的源地址与接收该广播报文的接口的对应关系,等等,在此不做赘述。
以下对本发明实施例安全板使用的安全策略进行说明:
作为一种实施方式,上述安全策略可以为针对业务报文的源地址预先设定的一个地址区间(第一预设地址区间),安全板100判断该业务报文的源地址是否位于该第一预设地址区间,如果是,表示该业务报文合法。
业务报文的源地址可以包括源MAC地址、源IP地址等等,具体不做限定。当源地址为源MAC地址时,该第一预设地址区间可以为多个合法的MAC地址或者为多个合法的MAC地址及其掩码,当源地址为源IP地址时,该第一预设地址区间可以为一个合法网段。
作为另一种实施方式,该安全策略还可以为针对业务报文的目的地址预先设定的一个地址区间(第二预设地址区间),安全板100判断该业务报文的源地址是否位于该第二预设地址区间,如果是,表示该业务报文合法。
业务报文的目的地址可以包括目的MAC地址、目的IP地址等等,具体不做限定。当目的地址为目的MAC地址时,该第二预设地址区间可以为多个合法的MAC地址,或者为多个合法的MAC地址及其掩码,当目的地址为目的IP地址时,该第二预设地址区间可以为一个合法网段。
需要说明的是,在本实施例中,为了区分描述,将源地址对应的预设地址区间称为第一预设地址区间,将目的地址对应的预设地址区间称为第二预设地址区间,第一预设地址区间与第二预设地址区间根据实际需求进行设定,可以相同或不同。
作为另一种实施方式,该安全策略还可以为预先设定的源地址与目的地址的对应关系,安全板100根据该对应关系判断该业务报文的源地址与目的地址是否对应,如果是,表示该业务报文合法。
该对应关系可以理解为一种权限:来自设备A(源地址)的业务报文是否有权限到达设备B(目的地址)。可以根据实际权限需求,设定该对应关系。
作为另一种实施方式,该安全策略还可以为预设以太网类型,安全板100判断该业务报文的以太网类型是否与该预设以太网类型一致,如果是,表示该业务报文合法。
作为另一种实施方式,该安全策略还可以为预设互联网协议类型,也就是预设IP类型,安全板100判断该业务报文的IP类型是否与该预设IP类型一致,如果是,表示该业务报文合法。
本实施例提供的安全策略可以为上述任何一种或多种实施方式的结合,比如,安全板可以执行如下操作:
判断所述业务报文的源地址是否位于第一预设地址区间;判断所述业务报文的目的地址是否位于第二预设地址区间;根据预先设定的源地址与目的地址的对应关系,判断所述业务报文的源地址与目的地址是否对应;判断所述业务报文的以太网类型是否为预设以太网类型;判断所述业务报文的互联网协议类型是否为预设互联网协议类型。
上述操作过程中各步骤的先后顺序可以任意调整,当任一判断结果为否时,操作终止,当全部判断结果为是时,表示所述业务报文合法。
当然,也可以采用其他方式验证该业务报文是否合法,在此不做限定。
以下说明本发明实施例的网络交换设备如何使用安全板:
作为本发明的一种实施方式,该网络交换设备可以开启安全功能,也可以关闭安全功能。
当该网络交换设备开启安全功能时,该网络交换设备执行上述方案。
当该网络交换设备关闭安全功能时,交换板接收到业务报文后,不再将该业务报文发送给安全板100,而是交换板确定该业务报文的目的地址,并根据所确定的目的地址确定该业务报文对应的目标出接口,通过所确定的目标出接口发送该业务报文。
这样,用户可以选择开启或者关闭网络交换设备的安全功能,方案更合理。
在上述实施方式中,安全板100为可热插拔板,当安全板100在位(未被拔掉)时,表示该设备的安全功能开启,当安全板100不在位(被拔掉)时,表示该设备的安全功能关闭。
以下对本发明实施例中的网络交换设备中交换板的个数和交换板的类型进行说明:
在交换板的个数为一个时,本发明实施例中的网络交换设备只包括第一类交换板,第一类交换板与安全板直接相连;在交换板的个数为两个时,本发明实施例中的网络交换设备包括一个第一类交换板和一个第二类交换板。在此情况下,第一类交换板与安全板直接相连,第二类交换板与第一类交换板直接相连。
在交换板的个数为三个时,本发明实施例中的网络交换设备包括一个第一类交换板、一个第二类交换板和一个第三类交换板。在此情况下,第一类交换板与安全板直接相连,该第二类交换板也是与第一类交换板直接相连,第三类交换板与该第二类交换板直接相连。如图4所示,交换板210为第一类交换板,交换板220为第二类交换板,交换板230为第三类交换板,交换板210与安全板100直接相连,交换板220与交换板210直接相连,交换板230与交换板220直接相连。
在交换板的个数为三个以上时,如图9所示,本发明实施例中的网络交换设备包括一个第一类交换板、多个第二类交换板和一个第三类交换板。在此情况下,第一类交换板与安全板直接相连,第一类交换板和第三类交换板均为一个,中间的交换板均为第二类交换板,其中一个第二类交换板与第一类交换板直接相连,另一个第二类交换板与第三类交换板直接相连,其余的第二类交换板之间串连。
通过上述描述可知,在有交换板的情况下,不论交换板的个数是多少,本发明实施例中的网络交换设备只包括一个第一类交换板,第一类交换板为与安全板直接相连的交换板。在交换板的个数为两个或三个时,本发明实施例中的网络交换设备只包括一个且与第一类交换板直接相连的第二类交换板。在交换板的个数达到三个时,本发明实施例中的网络交换设备包括第三类交换板且只包括一个第三类交换板,第三类交换板与第二类交换板直接相连。本发明实施例中的网络交换设备包括三个以上交换板时,第二类交换板个数超过一个。
以下说明业务报文从第二类交换板或从第三类交换板进入本发明实施例提供的网络交换设备情况下,业务报文的转发过程:假设图4所示的网络交换设备中交换板220从外部接收到业务报文,如图5所示:
交换板220接收到业务报文后,读取自身配置的角色信息:交换板220被配置为第二类交换板,则交换板220将接收到的业务报文发送至第一类交换板210,第一类交换板再将该业务报文发送至安全板100;安全板100根据预先存储的安全策略验证所述业务报文是否合法;如果是,将所述业务报文确定为合法业务报文,将所述合法业务报文发送至第一类交换板210;第一类交换板210接收所述合法业务报文,确定所述合法业务报文的目的地址,并根据所述目的地址,将所述合法业务报文发送至外部设备或转发至第二类交换板。
假设图4所示的网络交换设备中交换板230接收到业务报文,如图6所示:
交换板230接收到业务报文后,读取自身配置的角色信息:交换板230被配置为第三类交换板,则交换板230将接收到的业务报文发送至第二类交换板220,第二类交换板220将该业务报文发送到第一类交换板210,第一类交换板再将该业务报文发送至安全板100;安全板100根据预先存储的安全策略验证所述业务报文是否合法;如果是,将所述业务报文确定为合法业务报文,将所述合法业务报文发送至第一类交换板210;第一类交换板210接收所述合法业务报文,确定所述合法业务报文的目的地址,并根据所述目的地址,将所述合法业务报文发送至外部设备或转发至第二类交换板。
作为一种实施方式,第一类交换板210可以根据所述目的地址,确定所述合法业务报文对应的目标出接口、及所述目标出接口对应的目标交换板:
当目标交换板包含第一类交换板时,第一类交换板通过自身目标出接口将所述合法业务报文发送至外部设备;
当目标交换板包含第二类交换板时,第一类交换板将所述合法业务报文转发至第二类交换板,第二类交换板通过自身目标出接口将所述合法业务报文发送至外部设备;
当目标交换板包含第三类交换板时,第一类交换板将所述合法业务报文转发至第二类交换板,第二类交换板将所述合法业务报文转发至第三类交换板,第三类交换板通过自身目标出接口将所述合法业务报文发送至外部设备。具体来说,第一类交换板可以根据所述目的地址,判断所述合法业务报文是否为单播业务报文;
如果是,查找本地转发表项,根据查找结果,确定所述合法业务报文对应的目标出接口;
如果否,将所述网络交换设备的全部出接口确定为所述合法业务报文对应的目标出接口,或者,确定所述合法业务报文所属的广播域,将所述广播域下的出接口确定为所述合法业务报文对应的目标出接口。
可以理解的是,如果判断结果为否,则表示该合法业务报文为广播业务报文,广播业务报文可以包含多种情况,比如:该广播业务报文需要广播至该网络交换设备所属的全部广播域,这种情况下,将网络交换设备的全部出接口确定为该合法业务报文对应的目标出接口;如果该广播业务报文仅需广播至该业务报文所属的广播域中,则确定该合法业务报文所属的广播域,将该广播域下的出接口确定为该合法业务报文对应的目标出接口。
目标出接口所在的交换板即为目标交换板。也就是说,如果该合法业务报文为单播业务报文,目标交换板可以为第一类交换板或者第二类交换板或者第三类交换板;如果该合法业务报文为广播业务报文,目标交换板则包含第一类交换板、第二类交换板和第三类交换板。
延续上述例子,如果目标交换板仅包含第一类交换板210,则第一类交换板210直接将该合法业务报文通过自身目标出接口发送至外部设备;如果目标交换板仅包含第二类交换板220,则第一类交换板210将该合法业务报文发送至第二类交换板220;如果目标交换板仅包含第三类交换板230,则第一类交换板210将该合法业务报文发送至第二类交换板220;如果目标交换板包含第一类交换板210、第二类交换板220和第三类交换板230,则第一类交换板210将该合法业务报文通过自身目标出接口发送至外部设备,并且将该合法业务报文发送至第二类交换板220。
第二类交换板220接收到所述合法业务报文后,判断所述目的地址对应的目标出接口所在的目标交换板是否包含第三类交换板:如果否,通过自身目标出接口将所述合法业务报文发送至外部设备;如果是,将所述合法业务报文转发至第三类交换板。
延续上述例子,如果目标交换板仅包含第二类交换板220,则第二类交换板220直接将该合法业务报文通过自身目标出接口发送至外部设备;如果目标交换板仅包含第三类交换板230,则第二类交换板220将该合法业务报文发送至第三类交换板230;如果目标交换板包含第二类交换板220和第三类交换板230,则第二类交换板220将该合法业务报文通过自身目标出接口发送至外部设备,并且将该合法业务报文发送至第三类交换板230。
第三类交换板230接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备。具体的,第三类交换板230通过自身目标出接口将所述合法业务报文发送至外部设备。
以下说明本发明实施例提供的网络交换设备中,如何确定各交换板的类型:
本发明实施例中的网络交换设备还可以如图7所示,本发明图7所示实施例在本发明图4所示实施例的基础上增加主控板300,主控板300与安全板100、交换板210、交换板220和交换板230均相连。
主控板300检测各个交换板是否在位:
当检测到第一类交换板不在位时,将第二类交换板与所述安全板相连的线路使能;当检测到第二类交换板不在位时,将第三类交换板与第一类交换板相连的线路使能;当检测到第一类交换板、及第二类交换板均不在位时,将第三类交换板与所述安全板相连的线路使能;
交换板检测到自身与所述安全板相连的线路使能后,确定自身被配置为第一类交换板;
交换板检测到自身与第一类交换板相连的线路使能后,确定自身被配置为第二类交换板;
交换板检测到自身与第二类交换板相连的线路使能后,确定自身被配置为第三类交换板。
在图7所示实施例中,各交换板、安全板、主控板之间均存在物理线路,只是仅有部分物理线路使能。举例来说,第二类交换板不仅与第一类交换板相连,而且与安全板相连,只是第二类交换板与第一类交换板相连的线路使能,第二类交换板与安全板相连的线路未使能。
在本发明实施例中,主控板可以通过控制切换higig接口,实现线路使能以及未使能。
在本实施例中,各交换板、安全板、主控板可以为热插拔板,当第一类交换板不在位(被拔掉)时,主控板将第二类交换板与安全板相连的线路使能,也就是说,第二类交换板升级为第一类交换板;
当第二类交换板不在位(被拔掉)且第一类交换板在位时,主控板将第三类交换板与第一类交换板相连的线路使能,也就是说,第三类交换板升级为第二类交换板;
当第一类交换板及第二类交换板均不在位(被拔掉)时,主控板将第三类交换板与安全板相连的线路使能,也就是说,第三类交换板升级为第一类交换板。
作为一种实施方式,各个交换板中可以预先配置有三类角色信息或三类类型信息;
交换板确定自身被配置为第一类交换板的步骤可以包括:
交换板在自身配置的三类角色信息中,选择第一类交换板作为当前角色信息;
交换板确定自身被配置为第二类交换板的步骤可以包括:
交换板在自身配置的三类角色信息中,选择第二类交换板作为当前角色信息;
交换板确定自身被配置为第三类交换板的步骤可以包括:
交换板在自身配置的三类角色信息中,选择第三类交换板作为当前角色信息。
需要说明的是,不同的角色信息对应的功能不同:
第三类交换板实现的功能包括:从交换端口接收到设备外部发来的业务报文后,只能将该业务报文通过与第二类交换板相连的higig接口,发送至第二类交换板。
第二类交换板实现的功能包括:从交换端口或者与第三类交换板相连的higig接口接收到业务报文后,只能将该业务报文通过与第一类交换板相连的higig接口,发送至第一类交换板。
第一类交换板实现的功能包括:从交换端口或者与第二类交换板相连的higig接口接收到业务报文后,只能将该业务报文通过与安全板相连的higig接口,发送至安全板。
上述功能可以保证网络交换设备接收到的业务报文会发送至安全板进行合法性验证,提高了网络交换设备的安全性。
安全板将验证通过的合法业务报文发送至第一类交换板。作为一种具体的实施方式,第一类交换板在确定合法业务报文的目的地址、目的出接口、目的交换板后,如果目的交换板包含第二类交换板,第一类交换板可以将目的地址、目的出接口封装在higig头中,通过higig接口将合法业务报文转发至第二类交换板。第二类交换板接收到合法业务报文后,根据higig头进行转发操作。
类似的,第二类交换板也可以将目的地址、目的出接口封装在higig头中,通过higig接口将合法业务报文转发至第三类交换板。第三类交换板接收到合法业务报文后,根据higig头进行转发操作。
本发明实施例还提供一种网络交换设备,如图1所示,包括:包含安全板100和多个交换板(交换板210和交换板220),其中,第一类交换板可以理解为当前状态下与安全板直接相连的交换板;非第一类交换板可以理解为除第一类交换板以外的交换板。
交换板,用于接收业务报文;
交换板,还可以用于若被配置为第一类交换板(交换板210),则将接收到的所述业务报文发送至所述安全板;
交换板,还可以用于若被配置为非第一类交换板(交换板220),则将接收到的所述业务报文发送至所述第一类交换板,以使所述第一类交换板将所述业务报文转发至所述安全板;
安全板100,用于根据预先存储的安全策略,验证所述业务报文是否合法;如果是,将所述业务报文确定为合法业务报文,将所述合法业务报文发送至第一类交换板(交换板210);
所述交换板,还可以用于若被配置为所述第一类交换板(交换板210),接收到所述合法业务报文后,确定所述合法业务报文的目的地址,并根据所述目的地址,将所述合法业务报文发送至外部设备或转发至非第一类交换板(交换板220);
所述交换板,还可以用于若被配置为所述第二类交换板(交换板220),接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备。
在本实施例中,所述交换板,还可以用于若被配置为所述第一类交换板(交换板210),根据所述目的地址确定所述合法业务报文对应的目标出接口、及所述目标出接口对应的目标交换板:当目标交换板包含第一类交换板(交换板210)时,第一类交换板(交换板210)通过自身目标出接口将所述合法业务报文发送至外部设备;当目标交换板包含非第一类交换板(交换板220)时,第一类交换板(交换板210)将所述合法业务报文转发至非第一类交换板(交换板220);
所述交换板,还可以用于若被配置为所述非第一类交换板(交换板220),通过自身目标出接口将所述合法业务报文发送至外部设备。
在本实施例中,所述交换板,还可以用于若被配置为所述第一类交换板(交换板210),根据所述目的地址,判断所述合法业务报文是否为单播业务报文;如果是,查找本地转发表项,根据查找结果,确定所述合法业务报文对应的目标出接口;如果否,将自身全部出接口确定为所述合法业务报文对应的目标出接口,或者,确定所述合法业务报文所属的广播域,将所述广播域下的出接口确定为所述合法业务报文对应的目标出接口。
本发明实施例提供的网络交换设备包含安全板和多个交换板,交换板接收到业务报文后,并不直接对其进行转发,而是将该业务报文转发送至安全板。如果是第一类交换板从外部收到的业务报文,直接发送到安全板;如果是非第一类交换板从外部收到的业务报文,通过第一类交换板转发至安全板。安全板根据预先存储的安全策略验证该业务报文是否合法,仅在该业务报文合法的情况下,安全板将该业务报文发送至第一类交换板,由第一类交换板将其发送至外部设备或将其对其进行转发到非第一类交换板,由非第一类交换板对其进行转发,避免了非法报文攻击其他设备的情况,提高了网络交换设备的安全性。
在本实施例中,所述交换板,接收到业务报文之后,判断所述网络交换设备是否开启安全功能;
如果是,所述交换板确定自身配置的角色信息;
如果否,所述交换板确定所述业务报文的目的地址,并根据所述目的地址确定所述业务报文对应的目标出接口,通过所述目标出接口发送所述业务报文。
在本实施例中,所述安全板为可热插拔板,
所述交换板,判断所述安全板是否在位,如果是,表示所述网络交换设备开启安全功能。
以下对本发明实施例安全板使用的安全策略进行说明:
在本实施例中,所述安全板,还可以用于判断所述业务报文的源地址是否位于第一预设地址区间;如果是,表示所述业务报文合法;或者,
所述安全板,还可以用于判断所述业务报文的目的地址是否位于第二预设地址区间;如果是,表示所述业务报文合法;或者,
所述安全板,还可以用于根据预先设定的源地址与目的地址的对应关系,判断所述业务报文的源地址与目的地址是否对应;如果是,表示所述业务报文合法;或者,
所述安全板,还可以用于判断所述业务报文的以太网类型是否为预设以太网类型;如果是,表示所述业务报文合法;或者,
所述安全板,还可以用于判断所述业务报文的互联网协议类型是否为预设互联网协议类型;如果是,表示所述业务报文合法。
本发明实施例中的网络交换设备还可以如图4所示,包含安全板100、交换板210、交换板220和交换板230。在图4所示实施例中,非第一类交换板包括第二类交换板和第三类交换板,其中,第二类交换板可以理解为当前状态下与第一类板直接相连的交换板;第三类交换板可以理解为当前状态下与第二类板直接相连的交换板。交换板220为第二类交换板,交换板230为第三类交换板。
所述交换板,还可以用于若被配置为所述第三类交换板(交换板230),将接收到的业务报文发送至第二类交换板(交换板220);
所述交换板,还可以用于若被配置为所述第二类交换板(交换板220),将接收到的业务报文发送至第一类交换板(交换板210);
所述交换板,还可以用于若被配置为所述第二类交换板(交换板220),接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备或转发至第三类交换板(交换板230);
所述交换板,还可以用于若被配置为所述第三类交换板(交换板230),接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备。
在本实施例中,所述交换板,还可以用于若被配置为所述第二类交换板(交换板220),接收到所述合法业务报文后,判断所述目的地址对应的目标出接口所在的目标交换板是否包含第三类交换板(交换板230):如果否,通过自身目标出接口将所述合法业务报文发送至外部设备;如果是,将所述合法业务报文转发至第三类交换板(交换板230);
所述交换板,还可以用于若被配置为所述第三类交换板(交换板230),接收到所述合法业务报文后,通过自身目标出接口将所述合法业务报文发送至外部设备。
本发明实施例中的网络交换设备还可以如图7所示,本发明图7所示实施例在本发明图4所示实施例的基础上增加主控板300,主控板300与安全板100、交换板210、交换板220和交换板230均相连。
主控板300检测各个交换板是否在位:
当检测到第一类交换板不在位时,将第二类交换板与所述安全板相连的线路使能;当检测到第二类交换板不在位时,将第三类交换板与第一类交换板相连的线路使能;当检测到第一类交换板、及第二类交换板均不在位时,将第三类交换板与所述安全板相连的线路使能;
交换板检测到自身与所述安全板相连的线路使能后,确定自身被配置为第一类交换板;
交换板检测到自身与第一类交换板相连的线路使能后,确定自身被配置为第二类交换板;
交换板检测到自身与第二类交换板相连的线路使能后,确定自身被配置为第三类交换板。
作为一种实施方式,各个交换板中预先配置有三类角色信息;
所述交换板,检测到自身与所述安全板相连的线路使能后,在自身配置的三类角色信息中,选择第一类交换板作为当前角色信息;
所述交换板,检测到自身与第一类交换板相连的线路使能后,在自身配置的三类角色信息中,选择第二类交换板作为当前角色信息;
所述交换板,检测到自身与第二类交换板相连的线路使能后,交换板在自身配置的三类角色信息中,选择第三类交换板作为当前角色信息。
在本发明实施例中,主控板的数量可以大于1,本发明实施例提供的网络交换设备还可以如图8所示,该设备包含一个安全板、多个交换板:交换板210、交换板220和交换板230,另外,还包含两个主控板:主控板310和主控板320,主控板与所有交换板及安全板均相连。
在图8所示实施例中,两个主控板中其中一个为主主控板,另一个为备份主控板,当主主控板出现故障时,该备份主控板可以代替主主控板。
具体的,当主主控板在位时,主主控板通过控制切换higig接口,实现线路使能以及未使能;当该主主控板出现故障时,该备份主控板变为可用状态,该备份主控板控制切换higig接口,实现线路使能以及未使能。
在本发明所示实施例中,各个安全板、交换板、主控板之间可以通过交互管理报文来记录各自的标识信息及在位状态信息。在本实施例中,将网络交换设备内部交互的报文称为管理报文,比如Hello报文。
在位状态信息可以理解为通告自身为在位状态的信息,具体的,状态信息可以包含在位状态信息和不在位状态信息,如果未接收到某个板发送的管理报文,则可以认为该板的状态信息为不在位状态信息。
因此,交换板在接收到业务报文后,可以根据所述安全板的状态信息(在位状态信息或者不在位状态信息),判断是否开启安全功能(当安全板为在位状态信息时,表示开启安全功能),如果是,将所述业务报文发送至所述安全板,如果否,确定所述业务报文的目的地址,并根据所述目的地址确定所述业务报文对应的出接口,通过所述出接口发送所述业务报文。
也就是说,当安全板为在位状态信息时,该设备的安全功能开启,当安全板的状态信息为不在位时,该设备的安全功能关闭。
应用本发明所示实施例,网络交换设备包含安全板和多个交换板,交换板接收到业务报文后,并不直接对其进行转发,而是将该业务报文发送至安全板,安全板根据预先存储的安全策略验证该业务报文是否合法,仅在该业务报文合法的情况下,安全板将该业务报文发送至交换板,由交换板对其进行转发,避免了非法报文攻击其他设备的情况,提高了网络交换设备的安全性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (14)

1.一种报文转发方法,其特征在于,应用于网络交换设备,所述网络交换设备包含安全板和多个交换板;所述方法包括:
交换板接收业务报文:
若所述交换板被配置为第一类交换板,则将接收到的所述业务报文发送至所述安全板;
若所述交换板被配置为非第一类交换板,则将接收到的所述业务报文发送至所述第一类交换板,以使所述第一类交换板将所述业务报文转发至所述安全板;
所述安全板根据预先存储的安全策略,验证所述业务报文是否合法;如果是,将所述业务报文确定为合法业务报文,将所述合法业务报文发送至第一类交换板;
所述第一类交换板接收到所述合法业务报文后,确定所述合法业务报文的目的地址,并根据所述目的地址,将所述合法业务报文发送至外部设备或转发至非第一类交换板;
所述非第一类交换板接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备。
2.根据权利要求1所述的方法,其特征在于,第一类交换板根据所述目的地址,将所述合法业务报文发送至外部设备或转发至非第一类交换板的步骤,包括:
第一类交换板根据所述目的地址,确定所述合法业务报文对应的目标出接口、及所述目标出接口对应的目标交换板:当目标交换板包含第一类交换板时,第一类交换板通过自身目标出接口将所述合法业务报文发送至外部设备;当目标交换板包含非第一类交换板时,第一类交换板将所述合法业务报文转发至非第一类交换板;
非第一类交换板根据所述目的地址,将所述合法业务报文发送至外部设备的步骤,包括:
非第一类交换板通过自身目标出接口将所述合法业务报文发送至外部设备。
3.根据权利要求2所述的方法,其特征在于,所述第一类交换板根据所述目的地址,确定所述合法业务报文对应的目标出接口的步骤,包括:
第一类交换板根据所述目的地址,判断所述合法业务报文是否为单播业务报文;
如果是,查找本地转发表项,根据查找结果,确定所述合法业务报文对应的目标出接口;
如果否,将所述网络交换设备的全部出接口确定为所述合法业务报文对应的目标出接口,或者,确定所述合法业务报文所属的广播域,将所述广播域下的出接口确定为所述合法业务报文对应的目标出接口。
4.根据权利要求1所述的方法,其特征在于,所述安全板根据预先存储的安全策略验证所述业务报文是否合法的步骤,包括:
所述安全板判断所述业务报文的源地址是否位于第一预设地址区间;或者,判断所述业务报文的目的地址是否位于第二预设地址区间;或者,
根据预先设定的源地址与目的地址的对应关系,判断所述业务报文的源地址与目的地址是否对应;或者,
判断所述业务报文的以太网类型是否为预设以太网类型;或者,
判断所述业务报文的互联网协议类型是否为预设互联网协议类型;
如果是,表示所述业务报文合法。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述若所述交换板被配置为非第一类交换板,则将接收到的所述业务报文发送至第一类交换板的步骤,包括:
若所述交换板被配置为第二类交换板,则将接收到的业务报文发送至第一类交换板;
若所述交换板被配置为第三类交换板,则将接收到的业务报文发送至第二类交换板,以使第二类交换板将接收到的业务报文转发至第一类交换板;
所述非第一类交换板接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备的步骤,包括:
当所述交换板被配置为第二类交换板时,所述交换板接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备或转发至第三类交换板;
当所述交换板被配置为第三类交换板时,所述交换板接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备。
6.根据权利要求5所述的方法,其特征在于,所述交换板接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备或转发至第三类交换板的步骤,包括:
第二类交换板接收到所述合法业务报文后,判断所述目的地址对应的目标出接口所在的目标交换板是否包含第三类交换板:如果否,通过自身目标出接口将所述合法业务报文发送至外部设备;如果是,将所述合法业务报文转发至第三类交换板;
所述交换板接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备的步骤,包括:
第三类交换板接收到所述合法业务报文后,通过自身目标出接口将所述合法业务报文发送至外部设备。
7.根据权利要求5所述的方法,其特征在于,所述网络交换设备还包含主控板,所述主控板与安全板及交换板相连,所述方法还包括:
所述主控板检测各个交换板是否在位:
当检测到第一类交换板不在位时,将第二类交换板与所述安全板相连的线路使能;当检测到第二类交换板不在位时,将第三类交换板与第一类交换板相连的线路使能;当检测到第一类交换板、及第二类交换板均不在位时,将第三类交换板与所述安全板相连的线路使能;
交换板检测到自身与所述安全板相连的线路使能后,确定自身被配置为第一类交换板;
交换板检测到自身与第一类交换板相连的线路使能后,确定自身被配置为第二类交换板;
交换板检测到自身与第二类交换板相连的线路使能后,确定自身被配置为第三类交换板。
8.一种网络交换设备,其特征在于,包含安全板和交换板;其中,
所述交换板,用于接收业务报文;
所述交换板,还用于若被配置为第一类交换板,则将接收到的所述业务报文发送至所述安全板;
所述交换板,还用于若被配置为非第一类交换板,则将接收到的所述业务报文发送至所述第一类交换板,以使所述第一类交换板将所述业务报文转发至所述安全板;
所述安全板,用于根据预先存储的安全策略,验证所述业务报文是否合法;如果是,将所述业务报文确定为合法业务报文,将所述合法业务报文发送至第一类交换板;
所述交换板,还用于若被配置为所述第一类交换板,接收到所述合法业务报文后,确定所述合法业务报文的目的地址,并根据所述目的地址,将所述合法业务报文发送至外部设备或转发至非第一类交换板;
所述交换板,还用于若被配置为所述第二类交换板,接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备。
9.根据权利要求8所述的设备,其特征在于,
所述交换板,还用于若被配置为所述第一类交换板,根据所述目的地址确定所述合法业务报文对应的目标出接口、及所述目标出接口对应的目标交换板:当目标交换板包含第一类交换板时,第一类交换板通过自身目标出接口将所述合法业务报文发送至外部设备;当目标交换板包含非第一类交换板时,第一类交换板将所述合法业务报文转发至非第一类交换板;
所述交换板,还用于若被配置为所述非第一类交换板,通过自身目标出接口将所述合法业务报文发送至外部设备。
10.根据权利要求9所述的设备,其特征在于,
所述交换板,还用于若被配置为所述第一类交换板,根据所述目的地址,判断所述合法业务报文是否为单播业务报文;如果是,查找本地转发表项,根据查找结果,确定所述合法业务报文对应的目标出接口;如果否,将自身全部出接口确定为所述合法业务报文对应的目标出接口,或者,确定所述合法业务报文所属的广播域,将所述广播域下的出接口确定为所述合法业务报文对应的目标出接口。
11.根据权利要求8所述的设备,其特征在于,
所述安全板,还用于判断所述业务报文的源地址是否位于第一预设地址区间;如果是,表示所述业务报文合法;或者,
所述安全板,还用于判断所述业务报文的目的地址是否位于第二预设地址区间;如果是,表示所述业务报文合法;或者,
所述安全板,还用于根据预先设定的源地址与目的地址的对应关系,判断所述业务报文的源地址与目的地址是否对应;如果是,表示所述业务报文合法;或者,
所述安全板,还用于判断所述业务报文的以太网类型是否为预设以太网类型;如果是,表示所述业务报文合法;或者,
所述安全板,还用于判断所述业务报文的互联网协议类型是否为预设互联网协议类型;如果是,表示所述业务报文合法。
12.根据权利要求8-11任一项所述的设备,其特征在于,所述非第一类交换板包括第二类交换板和第三类交换板;
所述交换板,还用于若被配置为所述第三类交换板,将接收到的业务报文发送至第二类交换板;
所述交换板,还用于若被配置为所述第二类交换板,将接收到的业务报文发送至第一类交换板;
所述交换板,还用于若被配置为所述第二类交换板,接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备或转发至第三类交换板;
所述交换板,还用于若被配置为所述第三类交换板,接收到所述合法业务报文后,根据所述目的地址,将所述合法业务报文发送至外部设备。
13.根据权利要求12所述的设备,其特征在于,
所述交换板,还用于若被配置为所述第二类交换板,接收到所述合法业务报文后,判断所述目的地址对应的目标出接口所在的目标交换板是否包含第三类交换板:如果否,通过自身目标出接口将所述合法业务报文发送至外部设备;如果是,将所述合法业务报文转发至第三类交换板;
所述交换板,还用于若被配置为所述第三类交换板,接收到所述合法业务报文后,通过自身目标出接口将所述合法业务报文发送至外部设备。
14.根据权利要求12所述的设备,其特征在于,所述网络交换设备还包含主控板,所述主控板与安全板及交换板相连,
所述主控板,用于检测各个交换板是否在位:
当检测到第一类交换板不在位时,将第二类交换板与所述安全板相连的线路使能;当检测到第二类交换板不在位时,将第三类交换板与第一类交换板相连的线路使能;当检测到第一类交换板、及第二类交换板均不在位时,将第三类交换板与所述安全板相连的线路使能;
所述交换板,还用于检测到自身与所述安全板相连的线路使能后,确定自身被配置为第一类交换板;
所述交换板,还用于检测到自身与第一类交换板相连的线路使能后,确定自身被配置为第二类交换板;
所述交换板,还用于检测到自身与第二类交换板相连的线路使能后,确定自身被配置为第三类交换板。
CN201611130090.1A 2016-12-09 2016-12-09 一种报文转发方法及网络交换设备 Pending CN106603523A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611130090.1A CN106603523A (zh) 2016-12-09 2016-12-09 一种报文转发方法及网络交换设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611130090.1A CN106603523A (zh) 2016-12-09 2016-12-09 一种报文转发方法及网络交换设备

Publications (1)

Publication Number Publication Date
CN106603523A true CN106603523A (zh) 2017-04-26

Family

ID=58598178

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611130090.1A Pending CN106603523A (zh) 2016-12-09 2016-12-09 一种报文转发方法及网络交换设备

Country Status (1)

Country Link
CN (1) CN106603523A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116366579A (zh) * 2023-06-01 2023-06-30 惠州迈腾伟业科技发展有限公司 一种网络交换机交互的方法以及网络交换机

Citations (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1556633A (zh) * 2003-12-30 2004-12-22 港湾网络有限公司 集成防火墙的路由交换机
CN1710905A (zh) * 2004-06-16 2005-12-21 华为技术有限公司 网间互联协议报文处理装置及其方法
CN1805410A (zh) * 2006-01-24 2006-07-19 杭州华为三康技术有限公司 具有防火墙功能的交换设备
CN101127717A (zh) * 2007-09-30 2008-02-20 中控科技集团有限公司 一种报文转发的方法和交换机
CN101217472A (zh) * 2007-12-29 2008-07-09 福建星网锐捷网络有限公司 模块化交换机报文路由方法
CN101567848A (zh) * 2009-06-01 2009-10-28 北京星网锐捷网络技术有限公司 安全控制方法与交换机
CN201388238Y (zh) * 2009-03-20 2010-01-20 沈阳空管技术开发有限公司 双网全交换无线通讯系统
CN101651697A (zh) * 2009-09-21 2010-02-17 杭州华三通信技术有限公司 一种网络访问权限的管理方法和设备
CN101827038A (zh) * 2010-05-24 2010-09-08 杭州华三通信技术有限公司 分布式设备和分布式设备中报文转发的方法
CN101997749A (zh) * 2009-08-12 2011-03-30 甘肃省计算中心 一种融合了入侵检测功能的交换机
CN102427429A (zh) * 2012-01-12 2012-04-25 神州数码网络(北京)有限公司 一种实现交换机内部报文安全防护的方法、系统以及交换机
CN102447634A (zh) * 2011-12-29 2012-05-09 华为技术有限公司 一种发送报文的方法、装置和系统
CN202602699U (zh) * 2012-04-20 2012-12-12 姜宁 一种wifi上网过滤装置
CN103795622A (zh) * 2014-01-22 2014-05-14 杭州华三通信技术有限公司 一种报文转发方法及其装置
EP2663038B1 (en) * 2012-01-21 2015-12-09 Huawei Technologies Co., Ltd. Switch chip port management method, main control board, switch board, and system
CN105763557A (zh) * 2016-04-07 2016-07-13 烽火通信科技股份有限公司 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统
CN105939292A (zh) * 2015-09-29 2016-09-14 杭州迪普科技有限公司 控制策略生成方法以及装置
CN106161340A (zh) * 2015-03-26 2016-11-23 中兴通讯股份有限公司 业务分流方法和系统

Patent Citations (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1556633A (zh) * 2003-12-30 2004-12-22 港湾网络有限公司 集成防火墙的路由交换机
CN1710905A (zh) * 2004-06-16 2005-12-21 华为技术有限公司 网间互联协议报文处理装置及其方法
CN1805410A (zh) * 2006-01-24 2006-07-19 杭州华为三康技术有限公司 具有防火墙功能的交换设备
CN101127717A (zh) * 2007-09-30 2008-02-20 中控科技集团有限公司 一种报文转发的方法和交换机
CN101217472A (zh) * 2007-12-29 2008-07-09 福建星网锐捷网络有限公司 模块化交换机报文路由方法
CN201388238Y (zh) * 2009-03-20 2010-01-20 沈阳空管技术开发有限公司 双网全交换无线通讯系统
CN101567848A (zh) * 2009-06-01 2009-10-28 北京星网锐捷网络技术有限公司 安全控制方法与交换机
CN101997749A (zh) * 2009-08-12 2011-03-30 甘肃省计算中心 一种融合了入侵检测功能的交换机
CN101651697A (zh) * 2009-09-21 2010-02-17 杭州华三通信技术有限公司 一种网络访问权限的管理方法和设备
CN101827038A (zh) * 2010-05-24 2010-09-08 杭州华三通信技术有限公司 分布式设备和分布式设备中报文转发的方法
CN102447634A (zh) * 2011-12-29 2012-05-09 华为技术有限公司 一种发送报文的方法、装置和系统
CN102427429A (zh) * 2012-01-12 2012-04-25 神州数码网络(北京)有限公司 一种实现交换机内部报文安全防护的方法、系统以及交换机
EP2663038B1 (en) * 2012-01-21 2015-12-09 Huawei Technologies Co., Ltd. Switch chip port management method, main control board, switch board, and system
CN202602699U (zh) * 2012-04-20 2012-12-12 姜宁 一种wifi上网过滤装置
CN103795622A (zh) * 2014-01-22 2014-05-14 杭州华三通信技术有限公司 一种报文转发方法及其装置
CN106161340A (zh) * 2015-03-26 2016-11-23 中兴通讯股份有限公司 业务分流方法和系统
CN105939292A (zh) * 2015-09-29 2016-09-14 杭州迪普科技有限公司 控制策略生成方法以及装置
CN105763557A (zh) * 2016-04-07 2016-07-13 烽火通信科技股份有限公司 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
中国电子信息产业发展研究院: "《港湾网络BigHammer6800系列骨干智能多层交换机》", 《2004中国网络产品与技术调查参选推介手册》 *
彭祖林等: "《网络系统集成布线工程分类》", 《网络系统集成工程项目投标与施工》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116366579A (zh) * 2023-06-01 2023-06-30 惠州迈腾伟业科技发展有限公司 一种网络交换机交互的方法以及网络交换机
CN116366579B (zh) * 2023-06-01 2023-08-11 惠州迈腾伟业科技发展有限公司 一种网络交换机交互的方法以及网络交换机

Similar Documents

Publication Publication Date Title
US8875233B2 (en) Isolation VLAN for layer two access networks
CN101415012B (zh) 一种防御地址解析协议报文攻击的方法和系统
US8862705B2 (en) Secure DHCP processing for layer two access networks
CN107707435B (zh) 一种报文处理方法和装置
CN101321102A (zh) Dhcp服务器的检测方法与接入设备
CN113556274B (zh) 终端接入认证的方法、装置、系统、控制器及设备
JPWO2012014509A1 (ja) 不正アクセス遮断制御方法
CN101621513B (zh) 规范接入子网内源地址验证方案的方法
CN104618522B (zh) 终端ip地址自动更新的方法及以太网接入设备
CN102137073A (zh) 一种防止仿冒ip地址进行攻击的方法和接入设备
CN101582891A (zh) 一种广域网终端接入控制认证方法、系统和终端
CN105847234B (zh) 可疑终端接入预警方法、网关管理平台及网关设备
CN113556337A (zh) 终端地址识别方法、网络系统、电子设备及存储介质
CN106603468A (zh) 数据报文处理方法及装置
WO2020078428A1 (zh) 用户上线方法、装置、宽带远程接入服务器及存储介质
CN106603523A (zh) 一种报文转发方法及网络交换设备
CN101567883B (zh) 防止mac地址仿冒的实现方法
CN104601578A (zh) 一种攻击报文识别方法、装置及核心设备
CN106789531B (zh) 基于动态mac的vlan分配方法及装置
CN103188662B (zh) 一种验证无线接入点的方法以及装置
CN108306875B (zh) 一种控制有线终端接入的方法及装置
CN101436954B (zh) 业务策略请求验证系统、业务策略申请和撤销方法
Bagnulo et al. SAVI: The IETF standard in address validation
CN107995125B (zh) 一种流量调度方法及装置
CN105282270B (zh) 一种防止ip地址冒用的方法、装置及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20170426