一种报文转发方法及装置制造方法及图纸

本发明专利技术提供一种报文转发方法及装置，该方法包括：当接收VXLAN报文，且确定所述VXLAN报文与缺省VXLAN隧道匹配时，对所述VXLAN报文进行解封装并转发；当接收到非VXLAN报文，且确定所述非VXLAN报文的出端口不存在时，丢弃所述非VXLAN报文。应用本发明专利技术实施例可以实现高密级别的VTEP设备与低密级别的VTEP设备之间的单向传输，保证数据的安全性。

A Message Forwarding Method and Device

The invention provides a message forwarding method and device. The method includes: when receiving VXLAN message and determining that the VXLAN message matches the default VXLAN tunnel, the VXLAN message is unpackaged and forwarded; when receiving non-VXLAN message and determining that the port of the non-VXLAN message does not exist, the non-VXLAN message is discarded. The embodiment of the present invention can realize one-way transmission between high-density VTEP devices and low-density VTEP devices to ensure data security.

【技术实现步骤摘要】
一种报文转发方法及装置
本专利技术涉及网络通信
，尤其涉及一种报文转发方法及装置。
技术介绍
网络系统的开放性使得网络安全变得尤为重要，MAC(MediaAccessControl，媒体访问控制)认证、网络防火墙等安全防护技术是保证网络安全的常用技术，但是这些技术只能满足一般性的安全需求，难以解决涉密信息系统等重要网络的保护问题。在VXLAN(VirtualExtensibleLocalAreaNetwork，虚拟可扩展局域网)的网络中存在高密级别的设备或者网络和低密级别的设备或者网络，为了保证网络的安全，需要确保低密级别的设备或者网络的数据能流向高密级别的设备或者网络，并且高密级别的设备或者网络的数据不能向低密级别的设备或者网络的数据，从而在进行数据单向转发过程中，防止泄密的发生。
技术实现思路
本专利技术提供一种报文转发方法及装置，以解决无法实现高密级别的设备或网络和低密级别的设备或网络之间的数据单向转发的问题。根据本专利技术实施例的第一方面，提供一种报文转发方法，应用于VXLAN组网中的任一VTEP设备，所述VXLAN组网中高密级别的VTEP设备上对应第一类型VXLAN隧道创建有缺省VXLAN隧道，所述第一类型VXLAN隧道为低密级别的VTEP设备到所述高密级别的VTEP设备的VXLAN隧道，所述缺省VXLAN隧道的源IP地址为所述高密级别的VTEP设备的IP地址，且不存在目的IP地址，所述方法包括：当接收VXLAN报文，且确定所述VXLAN报文与缺省VXLAN隧道匹配时，对所述VXLAN报文进行解封装并转发；当接收到非VXLAN报文，且确定所述非VXLAN报文的出端口不存在时，丢弃所述非VXLAN报文。根据本专利技术实施例的第二方面，提供一种报文转发装置，应用于VXLAN组网中的任一VTEP设备，所述VXLAN组网中高密级别的VTEP设备上对应第一类型VXLAN隧道创建有缺省VXLAN隧道，所述第一类型VXLAN隧道为低密级别的VTEP设备到所述高密级别的VTEP设备的VXLAN隧道，所述缺省VXLAN隧道的源IP地址为所述高密级别的VTEP设备的IP地址，且不存在目的IP地址，所述装置包括：接收单元，用于接收报文；确定单元，用于当所述接收单元接收到VXLAN报文时，确定所述VXLAN报文是否与缺省VXLAN隧道匹配；解封装单元，用于当所述VXLAN报文与缺省VXLAN隧道匹配时，对所述VXLAN报文进行解封装；转发单元，用于对解封装后的所述VXLAN报文进行转发；所述转发单元，还用于当所述接收单元接收到非VXLAN报文，且所述确定单元确定所述非VXLAN报文的出端口不存在时，丢弃所述非VXLAN报文。应用本专利技术公开的技术方案，通过配置缺省VXLAN隧道，高密级别的VTEP设备和低密级别的VTEP设备之间建立VXLAN隧道时，低密级别的VTEP设备正常建立VXLAN隧道，而高密级别的VTEP设备对应该VXLAN隧道创建缺省VXLAN隧道，由于该缺省VXLAN隧道不存在目的IP地址，且高密级别的VTEP设备无法通过该缺省VXLAN隧道向外转发流量，因此，高密级别VTEP设备可以通过该缺省VXLAN隧道匹配低密级别的VTEP设备发送的VXLAN报文，并进行处理，而高密级别的VTEP设备无法通过VXLAN隧道向低密级别的VTEP设备发送报文，从而实现了高密级别的VTEP设备与低密级别的VTEP设备之间的单向传输，保证了数据的安全性。附图说明图1是本专利技术实施例提供的一种报文转发方法的流程示意图；图2和图3是本专利技术实施例提供的具体应用场景的架构示意图；图4是本专利技术实施例提供的一种报文转发装置的结构示意图；图5是本专利技术实施例提供的另一种报文转发装置的结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术实施例中技术方案作进一步详细的说明。请参见图1，为本专利技术实施例提供的一种报文转发方法的流程示意图，其中，该报文转发方法可以应用于VXLAN组网中的任一VTEP(VXLANTunnelEndpoint，VXLAN隧道端点)设备(下文中称为目标VTEP设备)，如图1所示，该报文转发方法可以包括以下步骤：步骤101、当接收到VXLAN报文，且确定该VXLAN报文与缺省VXLAN隧道匹配时，对VXLAN报文进行解封装并转发。本专利技术实施例中，为了确保VXLAN网络中低密级别的设备或者网络的数据能流向高密级别的设备或者网络，低密级别的VTEP设备(连接低密级别的设备或者网络的VTEP设备)与高密级别的VTEP设备(连接高密级别的设备或者网络的VTEP设备)之间建立VXLAN隧道时，低密级别的VTEP可以正常创建VXLAN隧道，而高密级别的VTEP设备可以对应该VXLAN隧道创建缺省VXLAN隧道。其中，缺省VXLAN隧道的源IP地址为该高密级别的VTEP设备的IP地址，且不存在目的IP地址，缺省VXLAN隧道可以匹配外层目的IP地址(VXLAN封装头中的目的IP地址)为该高密级别的VTEP设备，源IP地址为任意IP地址的VXLAN报文，从而，该高密级别的VTEP设备可以接收并处理低密级别的VTEP设备的通过VXLAN隧道发送给该高密级别的VTEP设备的VXLAN报文。相应地，在本专利技术实施例中，当目标VTEP设备接收到VXLAN报文时，目标VTEP设备可以先确定该VXLAN报文的外层目的IP地址是否为本设备(即目标VTEP设备)的IP地址。若是，则目标VTEP设备可以进一步根据该VXLAN报文的外层源IP地址和目的IP地址(VXLAN封装头中的源IP地址和目的IP地址)进行VXLAN隧道匹配，以确定是否存在与该VXLAN报文的外层源IP地址和目的IP地址均匹配的VXLAN隧道。若不存在，则确定该VXLAN报文与缺省VXLAN隧道匹配，此时，目标VTEP设备可以对该VXLAN报文进行解除VXLAN封装后转发。其中，目标VTEP设备对该VXLAN报文进行解除VXLAN封装并转发的具体实现可以参见现有相关方案中的相关描述，本专利技术实施例在此不做赘述。需要说明的是，在本专利技术实施例中，当目标VTEP设备确定接收到的VXLAN报文的外层目的IP地址不是本设备的IP地址时，目标VTEP设备可以根据该VXLAN报文查找underlay(下层)的三层转发表项进行转发；或，当目标VTEP设备根据VXLAN报文的外层源IP地址和目的IP地址匹配到VXLAN隧道时，目标VTEP设备可以对该VXLAN报文解除VXLAN封装后转发，其具体实现可以参见相关现有方案中的相关描述，本专利技术实施例在此不做赘述。步骤102、当接收到非VXLAN报文，且确定该非VXLAN报文的出端口不存在时，丢弃该非VXLAN报文。本专利技术实施例中，当目标VTEP设备接收到非VXLAN报文时，目标VTEP设备可以查询转发表项以确定该非VXLAN报文的出端口。例如，目标VTEP设备可以获取所接收到的非VXLAN报文中携带的VLAN(VirtualLocalAreaNetwork，虚拟局域网)信息以及该非VXLAN报文的入端口信息确定对应的AC(AttachmentCircuit，接本文档来自技高网...

【技术保护点】
1.一种报文转发方法，应用于虚拟可扩展局域网VXLAN组网中的任一虚拟可扩展局域网隧道端点VTEP设备，其特征在于，所述VXLAN组网中高密级别的VTEP设备上对应第一类型VXLAN隧道创建有缺省VXLAN隧道，所述第一类型VXLAN隧道为低密级别的VTEP设备到所述高密级别的VTEP设备的VXLAN隧道，所述缺省VXLAN隧道的源IP地址为所述高密级别的VTEP设备的IP地址，且不存在目的IP地址，所述方法包括：当接收VXLAN报文，且确定所述VXLAN报文与缺省VXLAN隧道匹配时，对所述VXLAN报文进行解封装并转发；当接收到非VXLAN报文，且确定所述非VXLAN报文的出端口不存在时，丢弃所述非VXLAN报文。

【技术特征摘要】
1.一种报文转发方法，应用于虚拟可扩展局域网VXLAN组网中的任一虚拟可扩展局域网隧道端点VTEP设备，其特征在于，所述VXLAN组网中高密级别的VTEP设备上对应第一类型VXLAN隧道创建有缺省VXLAN隧道，所述第一类型VXLAN隧道为低密级别的VTEP设备到所述高密级别的VTEP设备的VXLAN隧道，所述缺省VXLAN隧道的源IP地址为所述高密级别的VTEP设备的IP地址，且不存在目的IP地址，所述方法包括：当接收VXLAN报文，且确定所述VXLAN报文与缺省VXLAN隧道匹配时，对所述VXLAN报文进行解封装并转发；当接收到非VXLAN报文，且确定所述非VXLAN报文的出端口不存在时，丢弃所述非VXLAN报文。2.根据权利要求1所述的方法，其特征在于，所述确定所述VXLAN报文与缺省VXLAN隧道匹配，包括：当所述VXLAN报文的VXLAN封装头中的目的IP地址为本设备的IP地址，但是不存在与所述VXLAN封装头中的源IP地址和目的IP地址匹配的VXLAN隧道时，确定所述VXLAN报文与所述缺省VXLAN隧道匹配。3.根据权利要求1所述的方法，其特征在于，当接收到非VXLAN报文时，所述方法还包括：根据所述非VXLAN报文的虚拟局域网VLAN信息和入端口信息确定对应的目标接入电路AC；在所述目标AC关联的目标虚拟交换实例VSI内查找转发表，以确定所述非VXLAN报文的出端口。4.根据权利要求1所述的方法，其特征在于，所述缺省VXLAN隧道的出方向为不存在的物理端口；所述确定该非VXLAN报文的出端口不存在，包括：当确定该非VXLAN报文的出端口为缺省VXLAN隧道时，确定该非VXLAN报文的出端口不存在。5.根据权利要求1所述的方法，其特征在于，所述方法还包括：当接收到VXLAN报文，且确定该VXLAN报文与所述缺省VXLAN隧道匹配时，拒绝根据所述VXLAN报文进行媒体访问控制MAC地址学习。6.一种报文转发装置，应用于虚拟可扩展局域网VXLAN组网中的任一虚拟可扩展局域网隧道端点VTEP设备，其特征在...

【专利技术属性】
技术研发人员：程剑锋，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：浙江,33