【技术实现步骤摘要】
一种报文转发控制方法及装置
本专利技术涉及网络通信
,尤其涉及一种报文转发控制方法及装置。
技术介绍
业务随行是一种限制不同种类用户可以访问的信息或资产的范围即业务,用户在园区网任意位置移动办公,都可以满足访问权限不改变,做到业务跟随,增加网络的灵活性与弹性。目前的业务随行实现方案中,对于跨汇聚交换机(即报文的发送端与目的端接入不同的汇聚交换机)的业务随行场景,需要通过虚拟可扩展局域网(VirtualExtensibleLocalAreaNetwork,简称VXLAN)隧道将源终端的安全组标签(SecurityGroupTags,简称SGT)发送至目的端接入的汇聚交换机(可以称为目的网关),由目的网关根据源终端的SGT、目的终端的SGT以及预先配置的策略,对报文进行转发控制。然而实践发现,目前的业务随行实现方案中,在目的网关对报文进行转发控制,按照预先配置的策略需要丢弃的报文依然会占用源终端接入的汇聚交换机(可以称为源网关)和目的网关之间的网络带宽,增加网络负担,且可能会将蠕虫病毒等攻击性报文转发到网络...
【技术保护点】
1.一种报文转发控制方法,应用于汇聚交换机,其特征在于,所述方法包括:/n获取本交换机接入的第一终端设备以及远端汇聚交换机接入的第二终端设备的安全组标签SGT,并维护第一终端设备的IP地址与SGT的对应关系,以及第二终端设备的IP地址与SGT的对应关系;/n当从终端侧接收到第一报文时,分别基于所述第一报文的源IP地址以及目的IP地址,查询所述第一终端设备的IP地址与SGT的对应关系,以及第二终端设备的IP地址与SGT的对应关系,以确定第一源SGT以及第一目的SGT;/n基于所述第一源SGT以及第一目的SGT对所述第一报文进行转发控制。/n
【技术特征摘要】
1.一种报文转发控制方法,应用于汇聚交换机,其特征在于,所述方法包括:
获取本交换机接入的第一终端设备以及远端汇聚交换机接入的第二终端设备的安全组标签SGT,并维护第一终端设备的IP地址与SGT的对应关系,以及第二终端设备的IP地址与SGT的对应关系;
当从终端侧接收到第一报文时,分别基于所述第一报文的源IP地址以及目的IP地址,查询所述第一终端设备的IP地址与SGT的对应关系,以及第二终端设备的IP地址与SGT的对应关系,以确定第一源SGT以及第一目的SGT;
基于所述第一源SGT以及第一目的SGT对所述第一报文进行转发控制。
2.根据权利要求1所述的方法,其特征在于,获取第二终端设备的SGT,包括:
接收远端汇聚交换机发布的第二终端设备的SGT;其中,所述第二终端设备的SGT是所述远端汇聚交换机检测到所述第二终端设备上线,且获取到所述第二终端设备的SGT时发布的。
3.根据权利要求2所述方法,其特征在于,所述获取本交换机接入的第一终端的SGT之后,还包括:
向远端汇聚交换机发布所述第一终端设备的SGT。
4.根据权利要求1所述的方法,其特征在于,所述维护第一终端设备的IP地址与SGT的对应关系,以及第二终端设备的IP地址与SGT的对应关系,包括:
维护包括第一终端设备的SGT的地址解析协议ARP表项,以及包括第二终端设备的SGT的ARP表项;
基于所述第一报文的源IP地址,查询所述第一终端设备的IP地址与SGT的对应关系,以确定第一源SGT,包括:
基于所述第一报文的源IP地址进行强制ARP解析,以确定所述第一源SGT。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当从网络侧接收到虚拟可扩展虚拟局域网VXLAN报文时,解除所述VXLAN报文的VXLAN封装,以得到第二报文;
分别基于所述第二报文的源IP地址以及目的IP地址,查询所述第一终端设备的IP地址与SGT的对应关系,以及第二终端设备的IP地址与SGT的对应关系,以确定第二源SGT以及第二目的SGT;
基于所述第二源SGT以及第二目的SGT对所述第二报文进行转发控...
【专利技术属性】
技术研发人员:刘洪玉,赵海峰,
申请(专利权)人:新华三大数据技术有限公司,
类型:发明
国别省市:河南;41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。