三层报文引流方法及控制器技术

本申请公开了一种三层报文引流方法及控制器，涉及通讯领域，用于实现在服务链架构下安全设备开启一致性检查时对三层报文进行引流。该方法包括：当去程三层报文流入所述交换设备时，控制器将去程三层报文的源媒体访问控制MAC地址替换为第一虚拟MAC地址，并将去程三层报文的目的MAC地址替换为第二虚拟MAC地址；控制器控制交换设备将去程三层报文通过安全端口引流至安全设备；当与去程三层报文对应的返程三层报文流入交换设备时，控制器将返程三层报文的目的MAC地址替换为第一虚拟MAC地址，并将返程三层报文的源MAC地址替换为第二虚拟MAC地址；控制器控制交换设备将返程三层报文通过安全端口引流至安全设备。本申请实施例应用于安全设备一致性检查。

Three layer message drainage method and controller

The application discloses a three layer message drainage method and controller, which relates to the communication field, and is used for draining the three layer message when checking the safety device's opening consistency under the service chain structure. The method includes: when go into the three layer packet switching equipment, the controller will go three layer media access control message source MAC address is replaced with the first virtual MAC address, and will go to three packets at the destination MAC address is replaced with second virtual MAC address; controller switching equipment will go three packets through the security port drainage to safety equipment; and when to lift three packets corresponding to three packets into the return switching device, the controller will return three packets at the destination MAC address is replaced with the first virtual MAC address, and will replace the return source MAC address three layer message for second virtual MAC address; controller switching equipment will return three packets through the safe port drainage to safety equipment. This application example should be used for safety equipment consistency check.

【技术实现步骤摘要】
三层报文引流方法及控制器
本专利技术涉及通信领域，尤其涉及一种三层报文引流方法及控制器。
技术介绍
服务链(ServiceChain)网格架构的网络设备布置方案把所有安全设备旁挂到一台交换机上，安全设备一般都具备会话的双向路径一致性检测功能，即在透明模式下，对报文的二层报头中的源媒体访问控制(MediaAccessControl，MAC)和目的MAC一致性进行检查，如果发现回程报文与去程报文的源MAC和目的MAC不一致，则该报文流将被阻断。当前服务链的透明模式，对于二层报文流可以正常引流，但对于三层报文流时，由于三层报文流的双向报文流的动态媒体访问控制(DynamicMediaAccessControl，DMAC)都是交换机的MAC，此时安全设备开启一致性检查时则流量直接会被安全设备截断。而如果关闭一致性检查，会导致大部分安全设备的安全防护功能失效，客户网络面临受攻击的风险。
技术实现思路
本专利技术的实施例提供一种三层报文引流方法及控制器，用于实现在服务链架构下安全设备开启一致性检查时对三层报文进行引流。为达到上述目的，本专利技术的实施例采用如下技术方案：第一方面，提供了一种三层报文引本文档来自技高网...

【技术保护点】
一种三层报文引流方法，应用于控制器、交换设备和安全设备以服务链形式构成的网络架构，其特征在于，所述安全设备为透明模式，所述交换设备上与所述安全设备连接的安全端口为路由模式，所述方法包括：当去程三层报文流入所述交换设备时，所述控制器将所述去程三层报文的源媒体访问控制MAC地址替换为第一虚拟MAC地址，并将所述去程三层报文的目的MAC地址替换为第二虚拟MAC地址，所述去程报文与所述第一虚拟MAC地址和所述第二虚拟MAC地址一一对应；所述控制器控制所述交换设备将所述去程三层报文通过所述安全端口引流至所述安全设备；当与所述去程三层报文对应的返程三层报文流入所述交换设备时，所述控制器将所述返程三层报文的...

【技术特征摘要】
1.一种三层报文引流方法，应用于控制器、交换设备和安全设备以服务链形式构成的网络架构，其特征在于，所述安全设备为透明模式，所述交换设备上与所述安全设备连接的安全端口为路由模式，所述方法包括：当去程三层报文流入所述交换设备时，所述控制器将所述去程三层报文的源媒体访问控制MAC地址替换为第一虚拟MAC地址，并将所述去程三层报文的目的MAC地址替换为第二虚拟MAC地址，所述去程报文与所述第一虚拟MAC地址和所述第二虚拟MAC地址一一对应；所述控制器控制所述交换设备将所述去程三层报文通过所述安全端口引流至所述安全设备；当与所述去程三层报文对应的返程三层报文流入所述交换设备时，所述控制器将所述返程三层报文的源MAC地址替换为对应的第二虚拟MAC地址，并将所述返程三层报文的目的MAC地址替换为对应的第一虚拟MAC地址；所述控制器控制所述交换设备将所述返程三层报文通过所述安全端口引流至所述安全设备。2.根据权利要求1所述的方法，其特征在于，所述第一虚拟MAC地址和第二虚拟MAC地址存储在所述交换设备的下一跳表和接口表中，其中，所述下一跳表用于存储转发三层报文的目的MAC地址，所述接口表用于存储转发三层报文的源MAC地址。3.根据权利要求2所述的方法，其特征在于，所述控制器将所述去程三层报文的源媒体访问控制MAC地址替换为第一虚拟MAC地址，并将所述去程三层报文的目的MAC地址替换为第二虚拟MAC地址，包括：所述控制器根据所述接口表将所述去程三层报文的源MAC地址替换为所述第一虚拟MAC地址，并根据所述下一跳表将所述去程三层报文的目的MAC地址替换为所述第二虚拟MAC地址；所述控制器将所述返程三层报文的源MAC地址替换为对应的第二虚拟MAC地址，并将所述返程三层报文的目的MAC地址替换为对应的第一虚拟MAC地址，包括：所述控制器根据所述接口表将所述返程三层报文的源MAC地址替换为对应的第二虚拟MAC地址，并根据所述下一跳表将所述返程三层报文的目的MAC地址替换为对应的第一虚拟MAC地址。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：当所述去程三层报文或返程三层报文在多个安全设备之间引流时，所述控制器设置所述去程三层报文或所述返程三层报文的虚拟MAC地址保持不变。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：所述控制器将第一虚拟MAC地址和第二虚拟MAC地址配置至所述交换设备的触发路由表，所述触发路由表用于控制所述去程三层报文或所述返程三层报文从所述安全设备流回所述交换设备后由于所述控制器未下发流表从而触...

【专利技术属性】
技术研发人员：周遵亮，
申请(专利权)人：锐捷网络股份有限公司，
类型：发明
国别省市：福建,35