一种报文处理方法及装置制造方法及图纸

本发明专利技术提供一种报文处理方法及装置。本发明专利技术实施例中，网络设备根据ARP类型报文生成包括MAC地址与转发信息的ACL表项，并通过生成的ACL表项，对数据类型报文实施转发控制。当查询到与接收到的数据类型报文匹配的ACL表项时，网络设备可通过该ACL表项中的转发信息对该接收到的数据类型报文进行转发，否则，将接收到的数据类型报文丢弃。本发明专利技术实施例实现了数据类型报文的转发控制，有效减小了攻击报文可以通过网络设备的几率，降低了网络设备所在网络承受网络攻击的风险，提高了网络安全性。

【技术实现步骤摘要】
一种报文处理方法及装置
本专利技术涉及网络通信
，尤其涉及一种报文处理方法及装置。
技术介绍
现有的一些网络设备是基于MAC(MediaAccessControl，媒体访问控制)转发表实现报文的转发的。这些网络设备在接收到设备发送的报文后，可在MAC转发表中查找与报文所携带的目的MAC地址相匹配的MAC转发表项，当存在与目的MAC地址匹配的MAC转发表项时，根据查找到的MAC转发表项对报文进行转发；当不存在与目的MAC地址匹配的MAC转发表项时，对报文进行广播。即无论是否存在与目的MAC地址匹配的MAC转发表项，网络设备都会对接收到的报文执行放通处理。但是，由于网络中可能存在攻击设备，即网络设备所放通的报文很可能为攻击设备发送的攻击报文，故现有基于MAC转发表实现报文转发的网络设备，其所在的网络承受着网络攻击的风险，网络安全性较低。
技术实现思路
有鉴于此，本专利技术提供一种报文处理方法及装置，以解决网络设备所在的网络承受网络攻击风险，网络安全性较低的问题。根据本专利技术实施例的第一方面，提供一种报文处理方法，所述方法应用于网络设备，所述方法包括：接收报文，确定所述报文的报文类型；若确定出的报文类型为ARP类型，则收集源设备与目的设备之间交互的ARP报文；根据收集到的ARP报文生成ACL表项，所述ACL表项用于记录MAC地址与转发信息的对应关系；若确定出的报文类型为数据类型，则查询本地是否存在与所述报文匹配的ACL表项；若存在，则通过该ACL表项中的转发信息对所述报文进行转发；若不存在，则将所述报文丢弃。根据本专利技术实施例的第二方面，提供一种报文处理装置，所述装置应用于网络设备，所述装置包括：确定单元，用于接收报文，确定所述报文的报文类型；收集单元，用于当所述确定单元确定出的报文类型为ARP类型时，收集源设备与目的设备之间交互的ARP报文；生成单元，用于根据收集到的ARP报文生成ACL表项，所述ACL表项用于记录MAC地址与转发信息的对应关系；查询单元，用于当所述确定单元确定出的报文类型为数据类型时，查询本地是否存在与所述报文匹配的ACL表项；转发单元，用于当所述查询单元查询到与所述报文匹配的ACL表项时，通过该ACL表项中的转发信息对所述报文进行转发；丢弃单元，用于当所述查询单元未查询到与所述报文匹配的ACL表项时，将所述报文丢弃。本专利技术实施例中，网络设备根据ARP类型报文生成包括MAC地址与转发信息的ACL表项，并通过生成的ACL表项，对数据类型报文实施转发控制。应用本专利技术实施例，当查询到与接收到的数据类型报文匹配的ACL表项时，网络设备可通过该ACL表项中的转发信息对该接收到的数据类型报文进行转发，否则，将接收到的数据类型报文丢弃。由此可见，本专利技术实施例实现了数据类型报文的转发控制，有效减小了攻击报文可以通过网络设备的几率，降低了网络设备所在网络承受网络攻击的风险，提高了网络安全性。附图说明图1是本专利技术一种报文处理方法的场景示意图；图2是本专利技术一种报文处理方法的一个实施例流程图；图3是本专利技术一种报文处理装置结构图；图4是收集单元的第一种结构图；图5是收集单元的第二种结构图；图6是收集单元的第三种结构图；图7是收集单元的第四种结构图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本专利技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本专利技术的一些方面相一致的装置和方法的例子。在本专利技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本专利技术。在本专利技术和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本专利技术可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本专利技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。参见图1，图1是本专利技术一种报文处理方法的场景示意图。本场景图可以包括网络设备、源设备以及目的设备，其中，源设备和目的设备分别与网络设备建立有网络连接。网络设备可以为交换机、路由器等；源设备和目的设备可以为用户设备、服务器、网关等。现有技术中，网络设备一般基于MAC转发表实现报文的转发，在接收到设备发送的报文后，网络设备可在MAC转发表中查找与报文所携带的目的MAC地址相匹配的MAC转发表项，当存在与目的MAC地址匹配的MAC转发表项时，根据查找到的MAC转发表项对报文进行转发；当不存在与目的MAC地址匹配的MAC转发表项时，对报文进行广播。即无论是否存在与目的MAC地址匹配的MAC转发表项，网络设备都会对接收到的报文执行放通处理。但是，由于网络中可能存在攻击设备，即网络设备所放通的报文很可能为攻击设备发送的攻击报文，故现有基于MAC转发表实现报文转发的网络设备，其所在的网络承受着网络攻击的风险，网络安全性较低。针对上述问题，本专利技术提供一种报文处理方法及装置，以解决网络设备所在的网络承受网络攻击风险，网络安全性较低的问题。为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术实施例中技术方案作进一步详细的说明。参见图2，图2是本专利技术一种报文处理方法的一个实施例流程图，该流程图可以包括以下步骤：步骤201：接收报文，确定报文的报文类型，若确定出的报文类型为ARP类型，执行步骤202；否则执行步骤203。本实施例应用于网络设备。为便于说明，将发送上述报文的设备描述为源设备，将该报文中目的地址所对应的设备描述为目的设备。本实施例中，网络设备可以确定所接收的报文的报文类型，比如，根据报文中的协议字段确定报文的报文类型，其中，协议字段中所填写的协议类型可以为ARP(AddressResolutionProtocol，地址解析协议)、IP(InternetProtocol，网络互连协议)等协议类型，比如当设备A需要与设备B进行通信，但仅知道设备B的IP地址时，设备A可以通过向自身所在网络中的所有设备发送ARP请求报文的方式，获知该网络中设备B的MAC地址，则在上述过程中，上述ARP请求报文中协议字段中填写的协议类型即为ARP类型。由于对所接收的报文的报文类型进行确定，不在本专利技术要求保护的范围之内，故不详述。步骤202：收集源设备与目的设备之间交互的ARP报文，根据收集到的ARP报文生成ACL表项，该ACL表项用于记录MAC地址与转发信息的对应关系。本步骤中，源设备为发送或者接收ARP报文的设备，目的设备为接收或者发送ARP报文的设备，具体的，若收集到源设备发送的ARP请求报文，则目的设备即为该ARP请求报文中目的IP地址字段中填写的IP地址所对应的设备。在第一个实施例中，在收集到上述源设备发送本文档来自技高网...

【技术保护点】
一种报文处理方法，其特征在于，所述方法应用于网络设备，所述方法包括：接收报文，确定所述报文的报文类型；若确定出的报文类型为ARP类型，则收集源设备与目的设备之间交互的ARP报文，根据收集到的ARP报文生成ACL表项，所述ACL表项用于记录MAC地址与转发信息的对应关系；若确定出的报文类型为数据类型，则查询本地是否存在与所述报文匹配的ACL表项；若存在，则通过该ACL表项中的转发信息对所述报文进行转发；若不存在，则将所述报文丢弃。

【技术特征摘要】
1.一种报文处理方法，其特征在于，所述方法应用于网络设备，所述方法包括：接收报文，确定所述报文的报文类型；若确定出的报文类型为ARP类型，则收集源设备与目的设备之间交互的ARP报文，根据收集到的ARP报文生成ACL表项，所述ACL表项用于记录MAC地址与转发信息的对应关系；若确定出的报文类型为数据类型，则查询本地是否存在与所述报文匹配的ACL表项；若存在，则通过该ACL表项中的转发信息对所述报文进行转发；若不存在，则将所述报文丢弃。2.根据权利要求1所述的方法，其特征在于，根据收集到的ARP报文生成ACL表项，包括：在收集到所述源设备发送的ARP请求报文后，确定所述源设备的MAC地址、所述ARP请求报文的第一入接口以及所述第一入接口关联的VLAN，生成第一ACL表项，所述第一ACL表项的目的MAC地址为所确定的源设备的MAC地址、转发信息为所确定的第一入接口以及所述第一入接口关联的VLAN；在收集到所述目的设备返回的针对所述ARP请求报文的ARP响应报文后，确定所述目的设备的MAC地址、所述ARP响应报文的第二入接口以及所述第二入接口关联的VLAN，生成第二ACL表项，所述第二ACL表项的目的MAC地址为所确定的目的设备的MAC地址、转发信息为所确定的第二入接口以及所述第二入接口关联的VLAN。3.根据权利要求1所述的方法，其特征在于，根据收集到的ARP报文生成ACL表项，包括：在收集到所述源设备发送的ARP请求报文后，确定所述ARP请求报文的第三入接口以及所述第三入接口关联的VLAN，并对所确定的第三入接口以及所述第三入接口关联的VLAN进行保存；在收集到所述目的设备返回的针对所述ARP请求报文的ARP响应报文后，确定所述ARP响应报文的源MAC地址、目的MAC地址、第四入接口以及所述第四入接口关联的VLAN；生成第三ACL表项和第四ACL表项，所述第三ACL表项的源MAC地址为所述ARP响应报文的源MAC地址、目的MAC地址为所述ARP响应报文的目的MAC地址、转发信息为所保存的第三入接口以及所述第三入接口关联的VLAN，所述第四ACL表项的源MAC地址为所述ARP响应报文的目的MAC地址、目的MAC地址为所述ARP响应报文的源MAC地址、转发信息为所保存的第四入接口以及所述第四入接口关联的VLAN。4.根据权利要求2或3所述的方法，其特征在于，所述方法还包括：在收集到所述源设备发送的ARP请求报文后，将该源设备的MAC地址对应的ARP请求报文数量统计值加1，获取该统计值的最新值；判断所述最新值是否大于预设阈值，若是，则将所收集的ARP请求报文丢弃。5.根据权利要求3所述的方法，其特征在于，所述方法还包括：在收集到所述源设备发送的ARP请求报文后，判断是否在预设时长内接收到目的设备返回的针对所述ARP请求报文的ARP响应报文；若否，则将所保存的所述ARP请求报文的第三入接口以及所述第三入接口关联的VLAN删除。6.一种报文处理装置，其特征在于，所述装置应用于网络设备，所述装置包括：确定单元，用于接收报文，确定所述报文的报文类型；收集单元，用于当所述确定单元确定出的报文类型为ARP类型时，收集源设备与目的设备之...

【专利技术属性】
技术研发人员：王富涛，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33