报文端口过滤方法、终端设备以及计算机可读存储介质技术

本申请公开了报文端口过滤方法、终端设备以及计算机可读存储介质，该方法包括：接收到入接口为三层物理入接口的待转发报文时，基于所述待转发报文对应的路径决策结果，确定所述待转发报文对应的出接口类型；其中，所述待转发报文上携带入接口标记值；若所述出接口类型为二层物理出接口，基于二层物理地址表确定所述待转发报文对应的出接口标记值；基于所述入接口标记值和所述出接口标记值，对所述待转发报文进行二层接口过滤。解决了报文三层转发出接口为桥接口时，二层接口过滤的问题。二层接口过滤的问题。二层接口过滤的问题。

【技术实现步骤摘要】
报文端口过滤方法、终端设备以及计算机可读存储介质


[0001]本申请涉及通信
，尤其涉及报文端口过滤方法、终端设备以及计算机可读存储介质。

技术介绍

[0002]Netfilter网络过滤模块是Linux内核空间的数据包处理框架，Netfilter、iptables以及ebtables组成Linux平台下的包过滤防火墙。iptables用来制定网络层过滤规则，ebtables负责桥数据链路层过滤规则。
[0003]当系统用于转发时，netfilter处理分为二层处理和三层处理两种流程，当入接口处为三层接口，则进入三层处理流程。在prerouting转发链之后，进行查路由操作。根据查询结果，如果是本机路由，则进入input链处理，如果是转发的流量，则进入forward链处理。由于三层处理流程中，只能获取到三层出接口，若报文是三层跨逻辑接口转发报文，则由于尚未获得二层物理出接口，无法进行物理接口过滤。需要结合ebtables规则实现对二层出接口的过滤，操作复杂且难以实现复杂的规则组合。

技术实现思路

[0004]本申请实施例通过提供一种报文端口过滤方法、终端设备以及计算机可读存储介质，解决了报文转发时，三层转发出接口为桥接口的二层接口过滤问题，使得可以简单的实现二三层接口的过滤。
[0005]本申请实施例提供了一种报文端口过滤方法，所述方法包括：接收到入接口为三层物理入接口的待转发报文时，基于所述待转发报文对应的路径决策结果，确定所述待转发报文对应的出接口类型；其中，所述待转发报文上携带入接口标记值；若所述出接口类型为二层物理出接口，基于二层物理地址表确定所述待转发报文对应的出接口标记值；基于所述入接口标记值和所述出接口标记值，对所述待转发报文进行二层接口过滤。
[0006]可选地，所述接收到入接口为三层物理入接口的待转发报文时，基于所述待转发报文对应的路径决策结果，确定所述待转发报文对应的出接口类型的步骤之前，包括：获取接收报文的硬件设备的网口个数；根据所述网口个数确定入接口和出接口的个数，并划分所述标记值的输入域以及所述标记值的输出域。
[0007]可选地，所述根据所述网口个数确定入接口和出接口的个数，并划分所述标记值的输入域以及所述标记值的输出域的步骤之后，包括：对所述入接口和所述出接口的报文互通规则进行配置；获取报文互通的入接口和出接口的端口号；
在所述输入域中对入接口端口号进行标记，形成入接口标记值；以及在所述输出域中对出接口端口号进行标记，形成出接口标记值。
[0008]可选地，所述基于所述入接口标记值和所述出接口标记值，对所述待转发报文进行二层接口过滤的步骤包括：根据所述入接口标记值和所述出接口标记值，确定预设报文过滤规则；根据所述预设报文过滤规则，对所述待转发报文进行处理，完成所述二层接口过滤。
[0009]可选地，所述接收到入接口为三层物理入接口的待转发报文时，基于所述待转发报文对应的路径决策结果，确定所述待转发报文对应的出接口类型的步骤之后，包括：若所述出接口类型为三层物理出接口，获取所述三层物理出接口对应的出接口标记值，对所述待转发报文进行三层接口过滤。
[0010]可选地，所述若所述出接口类型为二层物理出接口，基于二层物理地址表确定所述待转发报文对应的出接口标记值的步骤包括：若在所述二层物理地址表中查询不到所述二层物理出接口对应的出接口标记值，则返回匹配失败信息；将所述待转发报文返回所述三层物理入接口并等待重新接收待转发报文。
[0011]可选地，所述接收到入接口为三层物理入接口的待转发报文时，基于所述待转发报文对应的路径决策结果，确定所述待转发报文对应的出接口类型的步骤，包括：基于所述待转发报文进行路由查询；根据所述待转发报文的路由信息，确定所述待转发报文对应的出接口类型。
[0012]可选地，所述根据所述待转发报文的路由信息，确定所述待转发报文对应的出接口类型的步骤之后，包括：基于所述路由信息，获取下一跳网关地址；根据所述下一跳网关地址，在邻居表中获取Mac地址；所述Mac地址用于确定所述二层物理地址表。
[0013]此外，为实现上述目的，本专利技术实施例还提供一种终端设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的报文端口过滤程序，所述处理器执行所述报文端口过滤程序时，实现如上所述的方法。
[0014]此外，为实现上述目的，本专利技术实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有报文端口过滤程序，所述报文端口过滤程序被处理器执行时，实现如上所述的方法。
[0015]本申请实施例中提供的一个或多个技术方案，至少具有如下技术效果或优点：当接收到入接口为三层物理入接口的待转发报文时，执行报文转发流程，对待转发报文进行路径决策，若根据路径决策结果确定待转发报文的出接口为二层物理出接口，在二层物理地址表中获取待转发报文对应的出接口标记值，结合待转发报文上携带的入接口标记值，对所述待转发报文进行二层接口过滤。通过入接口和出接口的标记值，对待转发报文进行二层接口过滤。使得报文转发时，可以通过简单的标记值匹配完成报文过滤，简化过滤流程。
附图说明
[0016]图1为本申请报文端口过滤方法实施例一的流程示意图；图2为本申请报文端口过滤过程的流程示意图；图3为本申请报文端口过滤方法实施例二的流程示意图；图4为本申请报文端口过滤方法实施例二的另一流程示意图；图5为本申请一实施例方案涉及的硬件运行环境的终端结构示意图。
具体实施方式
[0017]当转发报文的入接口为三层接口，出接口为二层接口时，在三层处理流程中，只能获取到三层出接口，若要获取二层出接口，需要借助ebtables规则获取二层出接口，实现对二层出接口的过滤，过程较复杂。本申请提供一种报文端口过滤方法。当接收到入接口为三层物理入接口的待转发报文时，基于待转发报文对应的路径决策结果，确定待转发报文对应的出接口类型，其中，待转发报文上携带入接口标记值。若确定出接口类型为二层物理出接口，则基于二层物理地址表确定待转发报文对应的出接口标记值。根据出接口标记值确定对应的二层出接口，再根据入接口标记值和出接口标记值是否匹配，完成二层接口过滤。使得报文转发时，可以通过简单的标记值匹配完成报文过滤，简化过滤流程。
[0018]为了更好的理解上述技术方案，下面将参照附图更详细地描述本申请的示例性实施例。虽然附图中显示了本申请的示例性实施例，然而应当理解，可以以各种形式实现本申请而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本申请，并且能够将本申请的范围完整的传达给本领域的技术人员。
[0019]为了更好的理解上述技术方案，下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。
[0020]实施例一在本实施例中，提供一种报文端口过滤方法。
[0021]参照图1，本实施例的报文端口过滤方法包括以下步骤：步骤S100：接收到入接口为三层物理入接口的待本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种报文端口过滤方法，其特征在于，所述方法包括：接收到入接口为三层物理入接口的待转发报文时，基于所述待转发报文对应的路径决策结果，确定所述待转发报文对应的出接口类型；其中，所述待转发报文上携带入接口标记值；若所述出接口类型为二层物理出接口，基于二层物理地址表确定所述待转发报文对应的出接口标记值；基于所述入接口标记值和所述出接口标记值，对所述待转发报文进行二层接口过滤。2.如权利要求1所述的方法，其特征在于，所述接收到入接口为三层物理入接口的待转发报文时，基于所述待转发报文对应的路径决策结果，确定所述待转发报文对应的出接口类型的步骤之前，包括：获取接收报文的硬件设备的网口个数；根据所述网口个数确定入接口和出接口的个数，并划分所述标记值的输入域以及所述标记值的输出域。3.如权利要求2所述的方法，其特征在于，所述根据所述网口个数确定入接口和出接口的个数，并划分所述标记值的输入域以及所述标记值的输出域的步骤之后，包括：对所述入接口和所述出接口的报文互通规则进行配置；获取报文互通的入接口和出接口的端口号；在所述输入域中对入接口端口号进行标记，形成入接口标记值；以及在所述输出域中对出接口端口号进行标记，形成出接口标记值。4.如权利要求1所述的方法，其特征在于，所述基于所述入接口标记值和所述出接口标记值，对所述待转发报文进行二层接口过滤的步骤包括：根据所述入接口标记值和所述出接口标记值，确定预设报文过滤规则；根据所述预设报文过滤规则，对所述待转发报文进行处理，完成所述二层接口过滤。5.如权利要求1所述的方法，其特征在于，所述接收到入接口为三层物理入接口的待转发报文时，基于所述待转发报文对应的路径决策结果...

【专利技术属性】
技术研发人员：吴宗泽，李太安，陈桂耀，肖存峰，
申请(专利权)人：深圳融安网络科技有限公司，
类型：发明
国别省市：