本发明专利技术提供了一种流量隔离方法、装置、交换机及存储介质,涉及计算机网络通讯技术领域,应用于虚拟局域网的交换机,所述方法包括:接收待转发的报文;识别报文的类型,对目标类型的报文添加目标类型标签;设置标签出口ACL规则,且所述标签出口ACL规则的优先级高于默认出口ACL规则;根据所述标签出口ACL规则,转发带有目标类型标签的报文,丢弃不带有目标类型标签的报文该流量隔离方法和装置能够有效隔离环路风暴、泛洪攻击等,同时又能满足用户正常的二层三层通信需求,保障了网络安全,提高了网络带宽利用率。高了网络带宽利用率。高了网络带宽利用率。
【技术实现步骤摘要】
一种流量隔离方法、装置、交换机及存储介质
[0001]本专利技术涉及计算机网络通讯
,尤其是涉及一种流量隔离方法、装置、交换机及存储介质。
技术介绍
[0002]在以太网交换机设备使用过程中,经常会遭遇ARP攻击、环路风暴等,为了保证数据的安全和网络通畅,人们希望能够隔离端口或用户之间的未知流量的互通。
[0003]在现有技术中,交换机采用的隔离方法如下:
[0004]1、VLAN隔离;通过将不同的端口加入到不同的VLAN,或者是匹配用户特征划分到不同的VLAN而实现VLAN隔离,这种方案实现了流量的二层隔离,但会使得原本有二层通信需求的用户无法得到服务。如果在一个大的网络当中的话,接入交换机端口很多,用户很多的情况下,会需要分配大量的VLAN,VLAN资源会无法满足要求。
[0005]2、端口隔离;这种方式在端口之间实现隔离,不同端口下的用户不能直接通信,只能通过上游汇聚或核心交换机转发通信,它能够很好地隔离ARP攻击,环路风暴等,但是增加了上游汇聚或核心交换机地链路负担,而且增加了转发路径,延时增大,对于用户的二层通信需求也无法满足;
[0006]综上所述,无论是VLAN隔离还是端口隔离,都有其局限性,无法按流量类型进行隔离,无法让目的已知的单播报文通过,而只隔离目的未知的泛洪流量,无法满足用户间的二层通信需求;另一方面,端口隔离依赖于上游汇聚或核心交换机实现用户间的三层通信,占用核心带宽,且延时大,效率低。
技术实现思路
[0007]本专利技术的目的在于提供一种流量隔离方法、装置、交换机及存储介质,通过该方法可实现隔离目的未知的泛洪流量,让目的已知的二层和三层报文都可以正常通过,减少网络中的泛洪攻击,环路风暴,提高网络带宽利用率,保护用户安全。
[0008]第一方面,本专利技术提供的一种流量隔离方法,应用于虚拟局域网的交换机,所述方法包括:
[0009]接收待转发的报文;
[0010]识别报文的类型,对目标类型的报文添加目标类型标签;
[0011]设置标签出口ACL规则,且所述标签出口ACL规则的优先级高于默认出口ACL规则;
[0012]根据所述标签出口ACL规则,转发带有目标类型标签的报文,丢弃不带有目标类型标签的报文。
[0013]进一步的,在接收待转发的报文的步骤之前,还包括:
[0014]为每种目标类型分配各自的目标类型标签。
[0015]进一步的,在接收待转发的报文的步骤之前,还包括:
[0016]为每个入端口和出端口分别分配入端口标签和出端口标签。
[0017]进一步的,识别报文的类型,对目标类型的报文添加目标类型标签的步骤,包括:
[0018]识别报文的进入端口,对报文添加相应的入端口标签;
[0019]识别报文的类型,对目标类型的报文添加相应的目标类型标签;
[0020]识别报文的目的端口,对报文添加相应的出端口标签。
[0021]进一步的,根据所述标签出口ACL规则,转发带有目标类型标签的报文,丢弃不带有目标类型标签的报文的步骤,包括:
[0022]根据所述标签出口ACL规则,确定可转发的目标出入端口;
[0023]读取报文的入端口标签和出端口标签,判断报文的出入端口是否与目标出入端口一致;
[0024]若是,则转发带有目标类型标签的报文,丢弃不带有目标类型标签的报文。
[0025]进一步的,读取报文的入端口标签和出端口标签,判断报文的出入端口是否与目标出入端口一致的步骤之后,还包括:
[0026]若否,则丢弃报文。
[0027]进一步的,所述目标类型包括二层单播报文、二层组播报文、三层单播报文、三层组播报文中的一种或多种。
[0028]第二方面,本专利技术还提供了一种流量隔离装置,应用于虚拟局域网的交换机,所述装置包括:
[0029]接收模块,用于接收待转发的报文;
[0030]标签模块,用于识别报文的类型,对目标类型的报文添加目标类型标签;
[0031]规则模块,用于设置标签出口ACL规则,且所述标签出口ACL规则的优先级高于默认出口ACL规则;
[0032]转发模块,用于根据所述标签出口ACL规则,转发带有目标类型标签的报文,丢弃不带有目标类型标签的报文。
[0033]第三方面,本专利技术还提供了一种交换机,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述流量隔离方法的步骤。
[0034]第四方面,本专利技术还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有机器可运行指令,所述计算机可运行指令在被处理器调用和运行时,所述计算机可运行指令促使所述处理器运行所述流量隔离方法。
[0035]本专利技术提供的一种流量隔离方法,能够有效隔离环路风暴、泛洪攻击等,同时又能满足用户正常的二层三层通信需求,保障了网络安全,提高了网络带宽利用率。
[0036]相应地,本专利技术实施例提供的一种流量隔离装置、交换机及计算机可读存储介质,也同样具有上述技术效果。
附图说明
[0037]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0038]图1为本专利技术实施例提供的实现交换机流量隔离的流程图;
[0039]图2为本专利技术实施例提供的给进入交换机的报文添加标签的逻辑框图;
[0040]图3为本专利技术实施例提供的交换机的模块组图。
具体实施方式
[0041]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0042]本专利技术实施例中所提到的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括其他没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0043]请参阅图1和图2,本专利技术提供的一种流量隔离方法,应用于虚拟局域网的交换机,方法包括:
[0044]接收待转发的报文;
[0045]识别报文的类型,对目标类型的报文添加目标类型标签;
[0046]设置标签出口ACL规则,且标签出口ACL规则的优先级高于默认出口ACL规则;
[0047]根据标签出口ACL规则,转发带有目标类型标签的报文,丢弃不带有目标类型标签的报文。
[本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种流量隔离方法,其特征在于,应用于虚拟局域网的交换机,所述方法包括:接收待转发的报文;识别报文的类型,对目标类型的报文添加目标类型标签;设置标签出口ACL规则,且所述标签出口ACL规则的优先级高于默认出口ACL规则;根据所述标签出口ACL规则,转发带有目标类型标签的报文,丢弃不带有目标类型标签的报文。2.根据权利要求1所述的流量隔离方法,其特征在于,接收待转发的报文的步骤之前,还包括:为每种目标类型分配各自的目标类型标签。3.根据权利要求1或2所述的流量隔离方法,其特征在于,接收待转发的报文的步骤之前,还包括:为每个入端口和出端口分别分配入端口标签和出端口标签。4.根据权利要求3所述的流量隔离方法,其特征在于,识别报文的类型,对目标类型的报文添加目标类型标签的步骤,包括:识别报文的进入端口,对报文添加相应的入端口标签;识别报文的类型,对目标类型的报文添加相应的目标类型标签;识别报文的目的端口,对报文添加相应的出端口标签。5.根据权利要求4所述的流量隔离方法,其特征在于,根据所述标签出口ACL规则,转发带有目标类型标签的报文,丢弃不带有目标类型标签的报文的步骤,包括:根据所述标签出口ACL规则,确定可转发的目标出入端口;读取报文的入端口标签和出端口标签,判断报文的出入端口是否与目标出入端口一致;若是,则转...
【专利技术属性】
技术研发人员:刘铮,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。