[发明专利]处理报文的方法及交换机

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种处理报文的方法及交换机。

背景技术

随着人们对网络的需求不断加强，网络带宽的要求也越来越高。为了提供高网络带宽，目前通常使用专用集成电路(Application Specific IntegratedCircuits，ASIC)芯片来实现硬件转发，以提供交换机的转发速率。通过ASIC芯片实现的三层交换机同时具有二层转发和三层转发的功能，并已成为交换机的发展趋势。

用于实现三层交换机的三层转发有两种网关接口，一种为交换虚拟接口(Switch virtual interface，SVI)。SVI是同一个虚拟局域网(Virtual Local AreaNetwork，VLAN)中的几个物理口共同虚拟成的一个网关接口，代表三层交换的逻辑接口，实现三层设备中跨VLAN之间的路由。另一种为路由口。路由口是三层设备上的一个物理端口，作为三层交换机的网关接口，能进行三层路由协议的配置。由于一个SVI中的物理口在同一个VLAN中，这些物理口之间的通信是以二层转发的形式进行的，因此用户容易受到广播风暴或其他类型的攻击。如果有一些比较重要的服务器存在其中，就显的非常的不安全，这时可以让他们单独享有一个三层接口即路由口。另外，三层交换机与路由器之间的互连也往往是通过路由口的形式进行的。如图1所示，三层交换机把网络分成了5个网段，用户A和用户B及与之相连的网关接口在一个网段：192.168.1.0；服务器及与之相连的网关接口在一个网段：192.168.2.0；用户C和用户D在一个网段：192.168.5.0；用户E及与之相连的网关接口在一个网段：192.168.3.0；与路由器相连的网关接口在一个网段：192.168.4.0。 其中，三层交换机与用户A和用户B相连的网关接口是SVI，与服务器、用户E、路由器及二层交换机相连的接口是路由口。这样，目前需要实现路由口进来报文在二层报文处理装置中具有唯一标识，并进而实现路由口和非路由口间及路由口之间二层转发报文的隔离，以保证二层报文不会被传播到服务器，以保障服务器的安全，避免用户受到广播风暴或其他类型的攻击。

发明内容

本发明的目的在于提出一种处理报文的方法及交换机，以实现非路由口与路由口之间二层转发报文的隔离。

为实现上述目的，本发明提供了一种处理报文的方法，包括：

接收来自路由口的报文；

根据预先设定的虚拟局域网的成员集为所述报文分配值为4095的虚拟局域网标识；所述预先设定的虚拟局域网的虚拟局域网标识为4095，成员集包括所有路由口；

提取所述报文中的目的介质访问控制地址；

判断所述目的介质访问控制地址是否为路由口的介质访问控制地址，在所述目的介质访问控制地址为非路由口介质访问控制地址的情况下，丢弃所述报文。

本发明还提供了一种交换机，包括：

接收模块，用于接收来自路由口的报文；

分配模块，用于根据预先设定的虚拟局域网的成员集为所述报文分配值为4095的虚拟局域网标识；所述预先设定的虚拟局域网的虚拟局域网标识为4095，成员集包括所有路由口；

提取模块，用于提取所述报文中的目的介质访问控制地址；

处理模块，用于判断所述目的介质访问控制地址是否为路由口的介质访问控制地址，在所述目的介质访问控制地址为非路由口的介质访问控制地址 的情况下，丢弃所述报文。

上述技术方案通过为从路由口接收的报文分配值为4095的VLAN标识(VLAN ID，VID)，使得从路由口接收的报文的VID区别于其他报文的VID，成为二层报文处理装置中的唯一标识，并在目的介质访问控制(MediaAccess Control，MAC)地址为非路由口的MAC地址情况下，丢弃具有该唯一标识的报文，保证了来自路由口的报文不会被转发到非路由口，实现了非路由口与路由口之间二层转发报文的隔离。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

图1为现有技术中三层交换机的应用场景示意图；

图2为本发明处理报文的方法实施例的流程图；

图3为本发明处理报文的方法实施例中经过扩展的以太网的帧格式的结构示意图；

图4为本发明交换机实施例的结构示意图。

具体实施方式

图2为本发明处理报文的方法实施例的流程图。包括：

步骤21.交换机中的ASIC芯片接收来自路由口的报文；