[发明专利]一种报文转发控制方法及装置

说明书

本发明提供一种报文转发控制方法及装置，所述方法包括：获取本交换机接入的第一终端设备以及远端汇聚交换机接入的第二终端设备的安全组标签SGT，并维护第一终端设备的IP地址与SGT的对应关系，以及第二终端设备的IP地址与SGT的对应关系；当从终端侧接收到第一报文时，分别基于所述第一报文的源IP地址以及目的IP地址，查询所述第一终端设备的IP地址与SGT的对应关系，以及第二终端设备的IP地址与SGT的对应关系，以确定第一源SGT以及第一目的SGT；基于所述第一源SGT以及第一目的SGT对所述第一报文进行转发控制。应用本发明实施例可以减少源网关和目的网关之间的网络带宽的浪费，并减少网络安全隐患。

技术领域

本发明涉及网络通信技术领域，尤其涉及一种报文转发控制方法及装置。

背景技术

业务随行是一种限制不同种类用户可以访问的信息或资产的范围即业务，用户在园区网任意位置移动办公，都可以满足访问权限不改变，做到业务跟随，增加网络的灵活性与弹性。

目前的业务随行实现方案中，对于跨汇聚交换机(即报文的发送端与目的端接入不同的汇聚交换机)的业务随行场景，需要通过虚拟可扩展局域网(Virtual ExtensibleLocal Area Network，简称VXLAN)隧道将源终端的安全组标签(Security Group Tags，简称SGT)发送至目的端接入的汇聚交换机(可以称为目的网关)，由目的网关根据源终端的SGT、目的终端的SGT以及预先配置的策略，对报文进行转发控制。

然而实践发现，目前的业务随行实现方案中，在目的网关对报文进行转发控制，按照预先配置的策略需要丢弃的报文依然会占用源终端接入的汇聚交换机(可以称为源网关)和目的网关之间的网络带宽，增加网络负担，且可能会将蠕虫病毒等攻击性报文转发到网络中，为网络安全带来隐患。

发明内容

有鉴于此，本发明提供一种报文转发控制方法及装置，以解决现有技术中在目的网关进行转发控制导致的网络带宽浪费以及网络安全隐患高的问题。

第一方面，本发明提供一种报文转发控制方法，应用于汇聚交换机，所述方法包括：

获取本交换机接入的第一终端设备以及远端汇聚交换机接入的第二终端设备的安全组标签SGT，并维护第一终端设备的IP地址与SGT的对应关系，以及第二终端设备的IP地址与SGT的对应关系；

当从终端侧接收到第一报文时，分别基于所述第一报文的源IP地址以及目的IP地址，查询所述第一终端设备的IP地址与SGT的对应关系，以及第二终端设备的IP地址与SGT的对应关系，以确定第一源SGT以及第一目的SGT；

基于所述第一源SGT以及第一目的SGT对所述第一报文进行转发控制

第二方面，本发明提供一种报文转发控制装置，应用于汇聚交换机，所述装置包括：

获取单元，获取本交换机接入的第一终端设备以及远端汇聚交换机接入的第二终端设备的安全组标签SGT；

维护单元，用于维护第一终端设备的IP地址与SGT的对应关系，以及第二终端设备的IP地址与SGT的对应关系；

接收单元，用于接收报文；

确定单元，用于当所述接收单元从终端侧接收到第一报文时，分别基于所述第一报文的源IP地址以及目的IP地址，查询所述第一终端设备的IP地址与SGT的对应关系，以及第二终端设备的IP地址与SGT的对应关系，以确定第一源SGT以及第一目的SGT；

控制单元，用于基于所述第一源SGT以及第一目的SGT对所述第一报文进行转发控制。