本发明专利技术提供了一种用于交换机的处理报文的方法和装置,该处理报文的方法包括:从第一以太网卡上接收到第一报文,并获取第一报文的报文类型,所述第一以太网卡启用MACSEC协议;从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理。从而在以太网卡上,可以兼容MACSEC协议与其他协议,例如,兼容MACSEC协议与LLDP、LACP等协议。
【技术实现步骤摘要】
用于交换机的处理报文的方法和装置
本专利技术涉及网络通信
,尤其涉及一种用于交换机的处理报文的方法和装置。
技术介绍
MACSEC(MediaAccessControlSecurity,媒体访问控制安全)协议定义了基于IEEE802以太网的数据安全通信的方法,MACSEC协议可为用户提供安全的MAC(MediaAccessControl,媒体访问控制)层数据发送和接收服务,包括用户数据加密、数据帧完整性检查和数据源真实性校验。在MACSEC协议中,当主机A要向主机B发送数据时,主机A会使用预设的密钥对该数据进行加密,得到加密报文,之后将该加密报文发送到主机B,主机B能够进行完整性检查,然后使用预设的密钥对该加密报文进行解密,从而得到该数据,可见,基于MACSEC协议,主机B可以识别出不是主机A发送的加密报文或者被其他主机恶意篡改的加密报文,这里,可以基于MKA(MACSECKeyAgreement,MACSEC密钥协商)协议协商而得到密钥。在数据链路层的协议中还包含有其他协议,其中有些协议的报文是不能进行加密的,例如,LLDP(LinkLayerDiscoveryProtocol,链路层发现协议)协议、LACP(LinkAggregationControlProtocol,链路控制汇聚协议)协议等的报文是不能进行加密。因此,在以太网卡上,如何兼容MACSEC协议与LLDP、LACP等其他协议,就成为一个亟待解决的问题。
技术实现思路
本专利技术的目的在于提供一种用于交换机的处理报文的方法和装置。为了实现上述专利技术目的之一,本专利技术一实施方式提供了一种用于交换机的处理报文的方法,包括以下步骤:从第一以太网卡上接收到第一报文,并获取第一报文的报文类型,所述第一以太网卡启用MACSEC协议;从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理。作为本专利技术一实施方式的进一步改进,所述“从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理”,包括:从第一以太网卡的ACL列表中查找与所述报文特征相匹配的ACE规则,依据所述ACE规则中的处理操作对第一报文进行处理。作为本专利技术一实施方式的进一步改进,在所述预配置项中,LACP报文和LLDP报文对应的处理操作为:将第一报文给网络协议栈处理;MACSEC报文对应的处理操作为:将第一报文进行解密得到第二报文,并将第二报文提交给网络协议栈进行处理。作为本专利技术一实施方式的进一步改进,所述将第二报文提交给网络协议栈进行处理,包括:从转发表中获取能够转发第二报文的第二以太网卡,通过第二以太网卡转发第二报文。作为本专利技术一实施方式的进一步改进,所述通过第二以太网卡转发第二报文,包括:在确定第二以太网卡启用MACSEC协议时,将第二报文加密得到第三报文,通过第二以太网卡转发第三报文。作为本专利技术一实施方式的进一步改进,所述获取第一报文的报文特征,包括:依据所述报文中的EtherType字段来确定第一报文的报文特征。本专利技术实施例还提供了一种用于交换机的处理报文的装置,包括以下模块:报文接收模块,用于从第一以太网卡上接收到第一报文,并获取第一报文的报文类型,所述第一以太网卡启用MACSEC协议;报文处理模块,用于从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理。作为本专利技术一实施方式的进一步改进,,所述报文处理模块,还用于:从第一以太网卡的ACL列表中查找与所述报文特征相匹配的ACE规则,依据所述ACE规则中的处理操作对第一报文进行处理。作为本专利技术一实施方式的进一步改进,在所述预配置项中,LACP报文和LLDP报文对应的处理操作为:将第一报文给网络协议栈处理;MACSEC报文对应的处理操作为:将第一报文进行解密得到第二报文,并将第二报文提交给网络协议栈进行处理。作为本专利技术一实施方式的进一步改进,所述报文处理模块,还用于:从转发表中获取能够转发第二报文的第二以太网卡,通过第二以太网卡转发第二报文。相对于现有技术,本专利技术的技术效果在于:本专利技术实施例提供了一种用于交换机的处理报文的方法和装置,该处理报文的方法包括:从第一以太网卡上接收到第一报文,并获取第一报文的报文类型,所述第一以太网卡启用MACSEC协议;从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理。从而在以太网卡上,可以兼容MACSEC协议与其他协议,例如,兼容MACSEC协议与LLDP、LACP等协议。附图说明图1是本专利技术实施例一中的处理报文的方法的流程示意图;图2是本专利技术实施例一中的检索ACL列表的方法的流程示意图;图3是本专利技术实施例二中的以太网卡的结构示意图;图4是本专利技术实施例二中的ASIC芯片的结构示意图。具体实施方式以下将结合附图所示的各实施方式对本专利技术进行详细描述。但这些实施方式并不限制本专利技术,本领域的普通技术人员根据这些实施方式所做出的结构、方法、或功能上的变换均包含在本专利技术的保护范围内。本文使用的例如“上”、“上方”、“下”、“下方”等表示空间相对位置的术语是出于便于说明的目的来描述如附图中所示的一个单元或特征相对于另一个单元或特征的关系。空间相对位置的术语可以旨在包括设备在使用或工作中除了图中所示方位以外的不同方位。例如,如果将图中的设备翻转,则被描述为位于其他单元或特征“下方”或“之下”的单元将位于其他单元或特征“上方”。因此,示例性术语“下方”可以囊括上方和下方这两种方位。设备可以以其他方式被定向(旋转90度或其他朝向),并相应地解释本文使用的与空间相关的描述语。并且,应当理解的是尽管术语第一、第二等在本文中可以被用于描述各种元件或结构,但是这些被描述对象不应受到这些术语的限制。这些术语仅用于将这些描述对象彼此区分开。例如,第一以太网卡可以被称为第二以太网卡,并且类似地第二以太网卡也可以被称为第一以太网卡,这并不背离本申请的保护范围。本专利技术实施例一提供了一种用于交换机的处理报文的方法,这里,该方法由一个接入以太网中的交换机来执行,该方法可以由该交换机中的CPU(CentralProcessingUnit,中央处理器)来执行或者以太网卡来执行。如图1所示,包括以下步骤:步骤101:从第一以太网卡上接收到第一报文,并获取第一报文的报文类型,所述第一以太网卡启用MACSEC协议;这里,该交换机的第一以太网卡接入到以太网中,则第一以太网卡可能会接收到若干以太网数据包,该以太网数据包对应于物理层,第一以太网卡会将若干以太网数据包合并成数据帧(即本专利技术中的报文),该报文对应于链路层。这里,可以使用EtherType字段来确定报文的类型。步骤102:从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理;这里,该预设配置项可以为一个配置文件,例如,ACL(AccessControlList,访问控制列表)列表等。在该步骤中,可以根据用户的需求来配置该预设配置项,例如,MACSEC需要进行解密,然后再由网络协议栈进行处理;而有些类型的报文(例如,LLDP报文或者LACP报文等)就不需要进行解密,可以直接由网络协议栈进行处理。优选的,所述“从预设配置项中查询与所述报文特本文档来自技高网...
【技术保护点】
1.一种用于交换机的处理报文的方法,其特征在于,包括以下步骤:从第一以太网卡上接收到第一报文,并获取第一报文的报文类型,所述第一以太网卡启用MACSEC协议;从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理。
【技术特征摘要】
1.一种用于交换机的处理报文的方法,其特征在于,包括以下步骤:从第一以太网卡上接收到第一报文,并获取第一报文的报文类型,所述第一以太网卡启用MACSEC协议;从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理。2.根据权利要求1所述的处理报文的方法,其特征在于,所述“从预设配置项中查询与所述报文特征匹配的处理操作,并基于所述处理操作对第一报文进行处理”,包括:从第一以太网卡的ACL列表中查找与所述报文特征相匹配的ACE规则,依据所述ACE规则中的处理操作对第一报文进行处理。3.根据权利要求1所述的处理报文的方法,其特征在于,在所述预配置项中,LACP报文和LLDP报文对应的处理操作为:将第一报文给网络协议栈处理;MACSEC报文对应的处理操作为:将第一报文进行解密得到第二报文,并将第二报文提交给网络协议栈进行处理。4.根据权利要求3所述的处理报文的方法,其特征在于,所述将第二报文提交给网络协议栈进行处理,包括:从转发表中获取能够转发第二报文的第二以太网卡,通过第二以太网卡转发第二报文。5.根据权利要求4所述的处理报文的方法,其特征在于,所述通过第二以太网卡转发第二报文,包括:在确定第二以太网卡启用MACSEC协议时,将第二报...
【专利技术属性】
技术研发人员:朱涛,龚海东,
申请(专利权)人:盛科网络苏州有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。