[发明专利]报文处理的方法和交换机

说明书

技术领域

本发明涉及通信技术领域，尤其涉及报文处理的方法和交换机。

背景技术

在典型的交换机结构中，所属同一主机内的所有交换机都可以连接在同一个交换机上。

由于使用三层、二层防火墙都无法对接在同一个交换机上的同IP(Internet Protocol，网络之间互连的协议)网段的交换机之间的通信进行控制，因此，使用常规网络设备也就不能对安装在同一个主机之上的同IP网段的交换机之间的流量进行控制。

为了解决上述问题，可以利用虚拟网络标识(virtual network-tag，VN-TAG)对安装在相同主机之上的同IP网段的交换机之间的流量进行控制。在报文中增加VN-TAG帧头以标识每个交换机所绑定的虚拟接口(virtual interface，简称VIF)。VN-TAG标识中包括了目的虚拟接口标识(destination virtual interface_ID，简称DVIF_ID)和源虚拟接口标识(source virtual interface_ID，简称SVIF_ID)，利用VN-TAG标识可以清楚地区分来自同一个物理网口上的每个交换机的虚拟网络接口的报文。交换机强制把交换机的流量上传到物理网络中，物理网络内的安全设备对流量进行正常处理之后再转发给相应的交换机。由于VN-TAG标识的存在，可以保证流量转发进入物理网络之后，依然能够返回至VN-TAG标识对应的交换机中。

在实现上述报文处理的过程中，发明人发现现有技术中至少存在如下问题：VN-TAG技术的实现，需要通过物理网卡芯片固件或者交换机平台软件；因此使用VN-TAG技术时，需要对现有的硬件以及软件进行升级或更换，导致成本较高。例如，改变现有的二层协议，更换特殊的服务器网卡硬件，或者更换物理交换机设备，才可以在交换机中实现VN-TAG技术。

发明内容

本发明的实施例提供一种报文处理的方法和交换机，解决了为了对交换机流量在物理网络中进行控制，而导致成本较高的问题。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明实施例提供了一种报文处理的方法，包括：

接收第一报文；

根据预先确定的规则判断是否需要对所述第一报文进行检测；

若需要对所述第一报文进行检测，则将所述第一报文发送至报文检测设备；

接收从所述报文检测设备返回的通过检测的第二报文；

判断所述第二报文的目的MAC地址是否是多播地址；

若所述第二报文的目的MAC地址是多播地址，则将所述第二报文发送至其他端口，所述其他端口为除接收所述第一报文的端口、将所述第一报文发送至所述报文检测设备的端口以及接收所述第二报文的端口外的交换机的端口。

在第一种可能的实现方式中，在接收第一报文之后，所述方法还包括：

判断所述第一报文的源MAC地址及接收所述第一报文的源端口是否存储于MAC学习表中；

若未存储于所述MAC学习表中，则将所述源MAC地址及所述源端口更新到所述MAC学习表中。

结合第一方面或第一方面的第一种可能的实现方式，在第二种可能的实现方式中，在所述判断所述第二报文的目的MAC地址是否是多播地址之后，所述方法还包括：

若所述第二报文的目的MAC地址不是多播地址，则查找MAC学习表中是否存储有所述目的MAC地址；

若所述MAC学习表中未存储有所述目的MAC地址，则按预定策略对所述第二报文进行处理；

若所述MAC学习表中存储有所述目的MAC地址，判断所述目的MAC地址与所述源MAC地址是否相同；

如果相同，则丢弃所述第二报文；

如果不相同，则将所述第二报文发至所述目的MAC地址对应的端口。

结合第一方面的第二种可能的实现方式，在第三种可能的实现方式中，所述预定策略包括：

丢弃所述第二报文；或者，

将所述第二报文发送至所述其他端口。

结合第一方面或第一方面的第一种可能的实现方式至第三种可能的实现方式中任意一种方式，在第四种可能的实现方式中，所述预先确定的规则为：

若所述接收所述第一报文的端口与所述接收所述第二报文的端口相同，则不将所述第一报文发送至所述报文检测设备；

若所述接收所述第一报文的端口与所述接收所述第二报文的端口不相同，则将所述第一报文发送至所述报文检测设备；或者，