本发明专利技术提供一种基于VLAN实现报文二层隔离的方法、装置及交换机,该方法包括:接收并解析报文;确定解析出的报文中携带的VLAN ID为预设VLAN ID,且,确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离。本发明专利技术能够灵活的针对来自特定VLAN ID的报文进行二层隔离,解决了现有技术中的端口隔离方法所存在的问题。
【技术实现步骤摘要】
本专利技术涉及网络通信
,尤其涉及一种基于VLAN实现报文二层隔离的方 法、装置及交换机。
技术介绍
VLAN(VirtualLocalAreaNetwork,虚拟局域网)是对连接到的第二层交换机端 口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。 VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来 进行分组。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使 用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。基于VLAN隔 离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。 目前,常用的基于VLAN的隔离技术为:针对属于同一局域网内的所有用户,为每 个用户都分配一个VLAN,被分配不同VLAN的用户之间的数据传输是通过第三层路由方式 来实现的,从而实现VLAN用户之间的隔离。 但是这种VLAN隔离技术会存在以下缺陷:被分配相同VLAN的用户之间是进 行第二层通信的,这样同一VLAN的用户之间进行二层通信,就容易造成ARP(Address ResolutionProtocil,地址解析协议)攻击、局域网广播风暴、ARP欺骗等问题。 现有技术中,为了防止上述问题的出现,所采用解决方案为:针对同一交换机,如 果该交换机的不同端口被分配了相同VLAN,将该交换机的不同端口之间的相同VLAN进行 隔离(端口隔离),从而使不同端口的VLAN用户之间的报文不可以进行二层转发,其中, 为各个用户分配来自同一端口的VLAN各不相同。这种解决方案虽然能够使被分配了相同 VLAN的用户之间的报文不进行二层转发,从而避免ARP攻击、局域网广播风暴、ARP欺骗等 现象,但是这种解决方案会将VLAN限制在某个端口下,S卩,同一交换机不同端口下的所有 VLAN用户之间的报文都不能进行二层转发,这就会导致原本需要不同端口之间的具有相同 VLAN且需要进行二层通信的VLAN不能进行二层通信,因此,上述端口隔离的技术方案不能 灵活的确定对哪些VLAN进行二层隔离,不对哪些VLAN进行二层隔离。
技术实现思路
本专利技术提供一种基于虚拟局域网VLAN实现报文二层隔离的方法、装置及交换机, 用以解决现有技术中不能灵活的确定对VLAN进行二层隔离的问题。 一种基于虚拟局域网VLAN实现报文二层隔离的方法,包括: 接收并解析报文; 确定解析出的报文中携带的VLANID为预设VLANID,且,确定所述解析出的报文 的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离。 所述方法中,确定解析出的报文中携带的VLANID为预设VLANID,具体包括: 根据预先存储的VLANID与classid值的对应关系,确定与所述解析出的报文中 携带的VLANID对应的classid值; 确定与所述解析出的报文中携带的VLANID对应的classid值与预先存储的第 一ACL表项中设定的classid值匹配时,确定解析出的报文中携带的VLANID为预设VLAN ID,所述设定的classid值非零。 本专利技术实施例通过预先将VLANID与classid值进行对应,并通过将classid 与ACL表项进行匹配,可以大大节省ACL表项资源。 所述方法中,确定所述解析出的报文的转发方式为二层转发方式,具体包括: 确定所述解析出的报文中的PktResolution字段值与第一ACL表项中设定的Pkt Resolution字段值匹配时,确定所述解析出的报文的转发方式为二层转发方式。 本专利技术实施例通过比较报文中的PktResolution字段值与ACL表项中设定的Pkt Resolution字段值是否一致,能够准确且快速的确定报文的转发方式。 所述方法中,确定所述解析出的报文的转发方式为二层转发方式时,对所述解析 出的报文进行二层隔离,具体包括: 根据预先存储的预设VLANID与设定的基于服务的流量控制引擎索引ID的对应 关系,获取与所述解析出的报文中携带的VLANID对应的设定的基于服务的流量控制引擎 索引ID; 根据设定的基于服务的流量控制引擎索引ID对应的策略,对所述解析出的报文 进行处理,所述设定的基于服务的流量控制引擎索引ID对应的策略为:确定所述解析出的 报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离。 本专利技术实施例通过利用基于服务的流量控制引擎索引功能,对报文的转发方式进 行自动分类,从而提高了确定报文转发方式的效率。 所述方法中,设定的基于服务的流量控制引擎索引ID对应的策略,具体采用如下 方式制定: 将设定的基于服务的流量控制引擎索引ID的行为限速为零,且,将设定的基于服 务的流量控制引擎索引ID与二层转发方式的报文进行匹配。 本专利技术还提供了一种基于虚拟局域网VLAN实现报文二层隔离的装置,包括: 解析单元,用于接收并解析报文; 隔离单元,用于确定解析出的报文中携带的VLANID为预设VLANID,且,确定所述 解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离。 所述装置中,所述隔离单元具体用于: 根据预先存储的VLANID与classid值的对应关系,确定与所述解析出的报文中 携带的VLANID对应的classid值; 确定与所述解析出的报文中携带的VLANID对应的classid值与预先存储的第 一ACL表项中设定的classid值匹配时,确定解析出的报文中携带的VLANID为预设VLAN ID,所述设定的classid值非零。 所述装置中,所述隔离单元具体用于: 确定所述解析出的报文中的PktResolution字段值与第一ACL表项中设定的Pkt Resolution字段值匹配时,确定所述解析出的报文的转发方式为二层转发方式。 所述装置中,所述隔离单元具体用于: 根据预先存储的预设VLANID与设定的基于服务的流量控制引擎索引ID的对应 关系,获取与所述预设VLANID对应的设定的基于服务的流量控制引擎索引ID; 根据设定的基于服务的流量控制引擎索引ID对应的策略,对所述解析出的报文 进行处理,所述设定的基于服务的流量控制引擎索引ID对应的策略为:确定所述解析出的 报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离。 所述装置中,所述隔离单元还用于: 具体采用如下方式制定设定的基于服务的流量控制引擎索引ID对应的策略: 将设定的基于服务的流量控制引擎索引ID的行为限速为零,且,将设定的基于服 务的流量控制引擎索引ID与二层转发方式的报文进行匹配。 本专利技术还提供一种交换机,包括上述任一所述的基于虚拟局域网VLAN实现报文 二层隔离的装置。 利用本专利技术提供基于虚拟局域网VLAN实现报文二层隔离的方法、装置及交换机, 具有以下有益效果:将预设的VLANID设置为二层隔离,则所有来自该预设VLANID的二层 转发报文都进行二层隔离,而来自其它VLANID的报文按照正常转发流程进行转发,从而能 够灵活的针对来自特定VLANID的报文进行二层隔离,解决了现有技术中的端口隔离方法 所存在的问题。【附图说明】 图1为本专利技术实施例提供的基于VLAN实现报文二层隔离的方法流本文档来自技高网...
【技术保护点】
一种基于虚拟局域网VLAN实现报文二层隔离的方法,其特征在于,包括:接收并解析报文;确定解析出的报文中携带的VLAN ID为预设VLAN ID,且,确定所述解析出的报文的转发方式为二层转发方式时,对所述解析出的报文进行二层隔离。
【技术特征摘要】
【专利技术属性】
技术研发人员:林鹏,苏桂能,
申请(专利权)人:福建星网锐捷网络有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。