[发明专利]基于VLAN实现报文二层隔离的方法、装置及交换机

说明书

本发明提供一种基于VLAN实现报文二层隔离的方法、装置及交换机，该方法包括：接收并解析报文；确定解析出的报文中携带的VLAN ID为预设VLAN ID，且，确定所述解析出的报文的转发方式为二层转发方式时，对所述解析出的报文进行二层隔离。本发明能够灵活的针对来自特定VLAN ID的报文进行二层隔离，解决了现有技术中的端口隔离方法所存在的问题。

技术领域

本发明涉及网络通信技术领域，尤其涉及一种基于VLAN实现报文二层隔离的方法、装置及交换机。

背景技术

VLAN(Virtual Local Area Network，虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。基于VLAN隔离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。

目前，常用的基于VLAN的隔离技术为：针对属于同一局域网内的所有用户，为每个用户都分配一个VLAN，被分配不同VLAN的用户之间的数据传输是通过第三层路由方式来实现的，从而实现VLAN用户之间的隔离。

但是这种VLAN隔离技术会存在以下缺陷：被分配相同VLAN的用户之间是进行第二层通信的，这样同一VLAN的用户之间进行二层通信，就容易造成ARP(Address ResolutionProtocil，地址解析协议)攻击、局域网广播风暴、ARP欺骗等问题。

现有技术中，为了防止上述问题的出现，所采用解决方案为：针对同一交换机，如果该交换机的不同端口被分配了相同VLAN，将该交换机的不同端口之间的相同VLAN进行隔离(端口隔离)，从而使不同端口的VLAN用户之间的报文不可以进行二层转发，其中，为各个用户分配来自同一端口的VLAN各不相同。这种解决方案虽然能够使被分配了相同VLAN的用户之间的报文不进行二层转发，从而避免ARP攻击、局域网广播风暴、ARP欺骗等现象，但是这种解决方案会将VLAN限制在某个端口下，即，同一交换机不同端口下的所有VLAN用户之间的报文都不能进行二层转发，这就会导致原本需要不同端口之间的具有相同VLAN且需要进行二层通信的VLAN不能进行二层通信，因此，上述端口隔离的技术方案不能灵活的确定对哪些VLAN进行二层隔离，不对哪些VLAN进行二层隔离。

发明内容

本发明提供一种基于虚拟局域网VLAN实现报文二层隔离的方法、装置及交换机，用以解决现有技术中不能灵活的确定对VLAN进行二层隔离的问题。

一种基于虚拟局域网VLAN实现报文二层隔离的方法，包括：

接收并解析报文；

确定解析出的报文中携带的VLAN ID为预设VLAN ID，且，确定所述解析出的报文的转发方式为二层转发方式时，对所述解析出的报文进行二层隔离。

所述方法中，确定解析出的报文中携带的VLAN ID为预设VLAN ID，具体包括：

根据预先存储的VLAN ID与class id值的对应关系，确定与所述解析出的报文中携带的VLAN ID对应的class id值；

确定与所述解析出的报文中携带的VLAN ID对应的class id值与预先存储的第一ACL表项中设定的class id值匹配时，确定解析出的报文中携带的VLAN ID为预设VLAN ID，所述设定的class id值非零。

本发明实施例通过预先将VLAN ID与class id值进行对应，并通过将class id与ACL表项进行匹配，可以大大节省ACL表项资源。

所述方法中，确定所述解析出的报文的转发方式为二层转发方式，具体包括：