專利名稱:報文處理方法���、接入設備和通信系統(tǒng)的制作方法
技術領域:
本發(fā)明實施例涉及通信技術領域����,特別涉及一種報文處理方法�����、接入設備和通信系統(tǒng)����。
背景技術:
在網絡應用中����,為了與不同網段的網絡進行通訊���,主機需要設置默認網關���,本網段的所有報文通過默認網關才能轉發(fā)到其他網段。當網關發(fā)生故障時���,整個主機和外部網絡的通訊都會中斷����。在虛擬路由冗余協(xié)議(VirtualRouter Redundancy Protocol ;簡稱VRRP)中�����,則不需要改變組網情況��,也不需要在主機上做任何配置�����,僅在相關路由器上配置極少的幾條命令,就可以實現(xiàn)下一跳網關的備用�����,且不會給主機帶來負擔��。與其他方法相比����,VRRP具有配置簡單��、管理方便�、無需主機增加額外支持等優(yōu)點。 在VRRP應用過程中����,多臺路由器通過優(yōu)先級選舉出主(master)路由器,只有主路由器可以發(fā)送VRRP報文��,其他的備用(backup)路由器禁止發(fā)送VRRP報文�。當主路由器收到優(yōu)先級比自己更高的VRRP報文后,從主狀態(tài)改變?yōu)閭溆脿顟B(tài)��,不再發(fā)送VRRP報文、并且丟棄所有目的介質訪問控制(Media AccessControl ;簡稱MAC)地址是虛擬路由器MAC地址的數(shù)據(jù)包��。VRRP只需在路由器上運行�,當主機由接入設備匯聚到路由器上時,接入設備把來自連接路由器的入端口 VRRP報文作為普通的業(yè)務報文向連接主機的出端口進行發(fā)送�,不對入端口和出端口進行限制,VRRP報文可以被上網用戶收到���。 現(xiàn)有技術中�,在接入設備下行轉發(fā)方向���,由于VRRP報文的目的MAC地址是組播地址���,接入設備采用組播方式把來自連接路由器的入端口的VRRP報文作為普通的業(yè)務報文向連接主機的出端口直接轉發(fā)用戶側的各個上網用戶,即主機�。上網用戶接收到VRRP報文后,可以將VRRP報文的優(yōu)先級修改為最大�,然后向網絡側發(fā)送,而上網用戶修改優(yōu)先級后的VRRP報文可以使真正的主路由器從主狀態(tài)改變?yōu)閭溆脿顟B(tài)����,不再轉發(fā)業(yè)務報文,從而使整個虛擬路由器下的上網用戶業(yè)務中斷�,影響網絡安全���。
發(fā)明內容
本發(fā)明實施例提供一種報文處理方法、接入設備和通信系統(tǒng)����,用以解決用戶接收
到VRRP報文影響網絡安全和業(yè)務運行的問題,增強網絡安全性�,保證業(yè)務的正常運行。 本發(fā)明實施例提供一種接入設備上的報文處理方法�,包括 接入設備通過所述接入設備的第一網絡端口接收網絡側的多播報文; 所述接入設備識別所述多播報文的協(xié)議類型���; 如果識別到所述多播報文為虛擬路由冗余協(xié)議報文�����,則根據(jù)用于虛擬路由冗余協(xié)議報文轉發(fā)的偵聽端口列表將所述虛擬路由冗余協(xié)議報文通過所述接入設備的第二網絡端口發(fā)送給網絡側,其中����,所述偵聽端口列表記錄有包括第一網絡端口和第二網絡端口的端口信息; 如果識別到所述多播報文為非虛擬路由冗余協(xié)議報文����,則將所述非虛擬路由冗余協(xié)議報文通過所述接入設備的用戶端口發(fā)送給用戶側。
本發(fā)明實施例又提供一種接入設備,包括
至少兩個網絡端口�����,用于連接網絡側設備�����;
用戶端口�,用于連接用戶終端; 識別單元�����,用于識別從第一網絡端口接收的多播報文的協(xié)議類型���; 處理單元�,用于在所述多播報文為虛擬路由冗余協(xié)議報文時�����,根據(jù)偵聽端口列表
將所述虛擬路由冗余協(xié)議報文通過第二網絡端口發(fā)送到網絡側��;在所述多播報文為非虛擬
路由冗余協(xié)議報文時����,將所述非虛擬路由冗余協(xié)議報文通過所述用戶端口發(fā)送到用戶側�����;
其中�����,所述偵聽端口列表記錄有包括第一網絡端口和第二網絡端口的端口信息����。 本發(fā)明實施例還提供一種通信系統(tǒng)�,包括接入設備,所述接入設備上設置有第一
網絡端口和第二網絡端口��; 所述接入設備�����,用于通過第一網絡端口接收網絡側的多播報文���;識別所述多播報 文的協(xié)議類型,如果所述多播報文為虛擬路由冗余協(xié)議報文�����,則根據(jù)偵聽端口列表將所述 虛擬路由冗余協(xié)議報文通過第二網絡端口發(fā)送到網絡側;如果所述多播報文為非虛擬路由 冗余協(xié)議報文����,則將所述非虛擬路由冗余協(xié)議報文通過用戶端口發(fā)送到用戶側,其中����,所述 偵聽端口列表記錄有包括第一網絡端口和第二網絡端口在內的端口信息。
本發(fā)明實施例提供了報文處理方法����、接入設備和通信系統(tǒng),與第一路由器連接的 偵聽端口接收VRRP報文�����,將VRRP報文轉發(fā)到與第二路由器連接的偵聽端口 �,從而防止接入 設備將VRRP報文向所有用戶廣播,節(jié)約網絡帶寬��;進而可以防止VRRP報文被用戶偵聽到���, 而構造優(yōu)先級高的VRRP報文對路由器進行攻擊����,增強網絡安全性,保證業(yè)務的正常運行����。
圖1為本發(fā)明實施例中的網絡架構示意圖; 圖2為本發(fā)明一個實施例提供的報文處理方法的流程示意圖����; 圖3為本發(fā)明另一個實施例提供的報文處理方法中接入設備對原轉發(fā)記錄表的 處理的流程圖; 圖4為本發(fā)明一個實施例提供的接入設備的結構示意圖�。
具體實施例方式
下面通過附圖和實施例,對本發(fā)明的技術方案做進一步的詳細描述�����。
圖1為本發(fā)明實施例中的網絡架構示意圖���,包括接入設備11和兩個路由器��,本領 域普通技術人員可以知悉���,這里的也可以是一個路由器或者多個路由器���,與接入設備11相 連的路由器可以組成虛擬路由器���。其中接入設備ll通過端口 14(第一網絡端口)與第一 路由器12相連����,通過端口 19(第二網絡端口)與第二路由器17相連�����。本發(fā)明實施例中第 一路由器12可以為主路由器���,能夠發(fā)送VRRP報文�,第二路由器17可以為備用路由器�����,可以 接收VRRP報文��。此外本發(fā)明實施例中�,接入設備上與虛擬路由器連接的端口為偵聽端口, 比如圖1中的端口 14和端口 19��。這里的虛擬路由器是指在組網時,將與接入設備11相連 的一部分或者全部路由器組成虛擬路由器���;與用戶設備連接的端口叫做非偵聽端口���,比如 端口 16。
本發(fā)明一個實施例提供一種報文處理方法����,所提供的方法能避免從偵聽端口收到的VRRP報文向用戶端口轉發(fā)。 圖2為本發(fā)明一個實施例提供的報文處理方法的流程示意圖�,該報文處理方法包括 步驟101、接入設備通過第一網絡端口接收來自網絡側的多播報文�;
這里的多播報文包括目的地址為組播組地址的組播報文和目的地址沒有指向特定用戶的廣播報文,可以是VRRP報文�����、地址解析協(xié)議(Addres sResolution Protocol ;簡稱ARP)報文�、TCP/IP報文、用戶數(shù)據(jù)包協(xié)議(UserDatagram Protocol ;簡稱UDP)報文以及因特網組管理協(xié)議(Internet GroupManagement Protocol ;簡稱IGMP)報文等��。
步驟103��、所述接入設備識別所述多播報文的協(xié)議類型是否為VRRP報文�����,如果為VRRP報文,則執(zhí)行步驟105����,如果為非VRRP報文�����,則執(zhí)行步驟107 ; 步驟105���、接入設備根據(jù)偵聽端口列表將收到的VRRP報文通過第二網絡端口發(fā)送給網絡側以便該報文能夠到達第二路由器��; 偵聽端口列表中記錄有接入設備上的偵聽端口的端口信息�,包括端口標識��、端口
在接入設備上的框位�、端口在接入設備上的槽位等信息中的一種或多種。 這里的第二網絡端口可以是一個或多個偵聽端口��,接入設備收到VRRP報文后�,向
偵聽端口列表中其它偵聽端口廣播該VRRP報文。 如果接收VPPR報文的端口為非偵聽端口 �����,即當接收VRRP報文的端口不在偵聽端口列表中時,接入設備可以將該VRRP報文丟棄����。 步驟107、接入設備將非VRRP報文的多播報文通過用戶端口發(fā)送給用戶側��。
當所述多播報文為非VRRP報文時���,接入設備則將該多播報文向用戶端口廣播���。這里的非VRRP報文可以是ARP報文、TCP/IP報文�、UDP報文以及IGMP報文等。
本實施例中的偵聽端口列表可以預先保存����,還可以根據(jù)連接狀態(tài)實時更新。
在步驟105中�����,第一網絡端口也可以直接向第二網絡端口轉發(fā)VRRP報文��,然后第二網絡端口再將VRRP報文發(fā)送給第二路由器。 此外��,為了防止偵聽端口例如第一網絡端口和第二網絡端口之間廣播下行業(yè)務報文���,還可以在偵聽端口之間設置隔離��,比如,將偵聽端口設置為禁止自動轉發(fā)業(yè)務報文等��,這樣���,偵聽端口收到VRRP報文后��,不會直接發(fā)送給另一個偵聽端口 ���,而是通過接入設備的偵聽端口在多臺路由器之間轉發(fā)VRRP報文,從而避免接入設備不能刷新二層轉發(fā)表項�,無法進行二層MAC地址自學習而導致的廣播風暴。 本實施例接入設備的第一網絡端口接收來自網絡側的VRRP報文����,如果第一網絡端口是偵聽端口 ,則根據(jù)偵聽端口列表將VRRP報文通過第二網絡端口發(fā)送上層網絡����,可以防止接入設備將VRRP報文向所有用戶廣播�����,節(jié)約網絡帶寬���;而且還可以防止VRRP報文被用戶偵聽到,而構造優(yōu)先級高的VRRP報文對路由器進行攻擊���,增強網絡安全性����,保證業(yè)務的正常運行�。此外,通過禁止偵聽端口之間自動轉發(fā)業(yè)務報文��,可以在接入設備無法進行二層MAC地址自學習時防止產生廣播風暴��;并且在接入設備的上行的偵聽端口不能二層互通時���,可以使多臺路由器之間正常運行VRRP協(xié)議�����。 本發(fā)明另一個實施例中��,接入設備通過第一網絡端口接收到VRRP報文后���,還可以對原轉發(fā)表項進行處理�����。圖3為本發(fā)明另一個實施例提供的報文處理方法中接入設備對原轉發(fā)記錄表的處理的流程圖�����,包括 步驟201、對接收到的VRRP報文進行分析����,得到分析結果; 其中�����,分析結果包括虛擬路由器IP����、虛擬路由器介質訪問控制地址�����、虛擬局域網標 識和接收到所述虛擬路由冗余協(xié)議報文的端口的信息��。 分析結果可用分析表項表示�,也就是說將一條VRRP報文的分析結果作為一個表 項記錄在分析表中�; 步驟203、判斷所述分析結果與原轉發(fā)表記錄的內容是否一致���,若一致����,則維持所 述原轉發(fā)表記錄的內容���;若不一致���,則執(zhí)行步驟205。 步驟205��、根據(jù)所述分析結果更新原轉發(fā)表記錄的轉發(fā)表項����,轉發(fā)表項包括二層轉 發(fā)表項和三層轉發(fā)表項���。 具體的,接入設備根據(jù)虛擬路由器IP����、虛擬路由器介質訪問控制地址MAC、虛擬局
域網標識VLAN和接收到所述VRRP報文的端口的信息更新二層轉發(fā)表項�����,并根據(jù)所述虛擬
路由器MAC��、 VLAN和接收到所述VRRP報文的端口的信息更新三層轉發(fā)表項�����,這里的二層轉
發(fā)表項可以是二層MAC地址表的轉發(fā)表項�,三層轉發(fā)表項可以是三層ARP表的表項�����。 進一步地�,若接入設備同時接收到所述虛擬路由冗余協(xié)議報文和地址解析協(xié)議報
文,則優(yōu)先根據(jù)所述地址解析協(xié)議報文更新所述原轉發(fā)表記錄的內容����。 本發(fā)明實施例接入設備同時接收到VRRP報文和ARP報文時���,可以優(yōu)先根據(jù)ARP報
文更新原轉發(fā)記錄表,在沒有接收到ARP報文���,也可以根據(jù)接收到VRRP報文更新原轉發(fā)記
錄表�����,保證了三層轉發(fā)表項的更新����,從而保證接入設備的偵聽端口連接的第一路由器的實
時性��,可以將上行業(yè)務報文轉發(fā)到最新的主路由器����;由于VRRP報文比ARP報文的間隔時間
短很多,可以減少業(yè)務中斷時間���,保證業(yè)務正常運行�,減少虛擬路由器MAC地址的數(shù)據(jù)包的
丟包率;在多臺路由器進行VRRP負載分擔組網時�,可以防止由于接入設備不能自學習二層
MAC地址表項導致的廣播風暴,節(jié)約帶寬資源���。 本發(fā)明一個實施例提供一種接入設備���,圖4為本發(fā)明一個實施例提供的接入設備 的結構示意圖,接入設備40可以包括至少兩個網絡端口�,用于連接網絡側設備;用戶端 口�����,用于連接用戶終端��。 具體地���,接入設備40可以包括第一網絡端口 31���、識別單元34��、處理單元32和第 二網絡端口 33��。 第一網絡端口 31,用于接收來自網絡側的多播報文����;
識別單元34,用于識別所述多播報文的協(xié)議類型��; 處理單元32���,用于在所述多播報文為虛擬路由冗余協(xié)議報文時�,根據(jù)偵聽端口列 表將所述虛擬路由冗余協(xié)議報文通過第二網絡端口 33發(fā)送到網絡側����;在所述多播報文為 非虛擬路由冗余協(xié)議報文時,將所述非虛擬路由冗余協(xié)議報文通過用戶端口發(fā)送到用戶 側�;其中,所述偵聽端口列表記錄有包括第一網絡端口 31和第二網絡端口 33的端口信息����。
本實施例中的第一網絡端口 31可以連接主路由器,第二網絡端口 33可以連接備 用路由器�。 處理單元32還用于對接收到的所述虛擬路由冗余協(xié)議報文進行分析,得到分析 表項���,判斷所述分析表項與原轉發(fā)表記錄的內容是否一致����,若一致,則維持所述原轉發(fā)表記 錄的內容�����;若不一致����,則根據(jù)所述分析表項,對原轉發(fā)表記錄的內容進行更新����。
7
處理單元32還用于在所述多播報文為地址解析協(xié)議報文時,根據(jù)所述地址解析協(xié)議報文更新原轉發(fā)表記錄的內容�����。 本實施例接入設備接收來自第一路由器的VRRP報文后����,可以根據(jù)偵聽端口列表將VRRP報文轉發(fā)到其它的偵聽端口 ,可以防止接入設備將VRRP報文向所有用戶廣播���,節(jié)省網絡帶寬�;而且可以防止VRRP報文被用戶偵聽到����,而構造優(yōu)先級高的VRRP報文對路由器進行攻擊,增強網絡安全性���,保證業(yè)務的正常運行�����。 本發(fā)明一個實施例提供一種通信系統(tǒng)����,該系統(tǒng)包括接入設備��,接入設備上設置有第一網絡端口和第二網絡端口�; 其中,接入設備��,用于通過第一網絡端口接收網絡側的多播報文�����;識別所述多播報文的協(xié)議類型��,如果所述多播報文為VRRP報文,則根據(jù)偵聽端口列表將所述VRRP報文通過第二網絡端口發(fā)送到網絡側��;如果所述多播報文為非VRRP報文���,則將所述非VRRP報文通過用戶端口發(fā)送到用戶側����,其中�����,所述偵聽端口列表記錄有包括第一網絡端口和第二網絡端口在內的端口信息�����。 進一步地���,所述接入設備還用于��,若同時接收到VRRP報文和ARP報文����,則優(yōu)先根據(jù)所述ARP報文更新原轉發(fā)表記錄的內容���。 本實施例接入設備接收來自網絡側的VRRP報文�����,通過第二網絡端口可以將VRRP
報文轉發(fā)到網絡側���,第一網絡端口和第二網絡端口是偵聽端口,可以防止接入設備將VRRP
報文向所有用戶廣播���,節(jié)約網絡帶寬���;進而可以防止VRRP報文被用戶偵聽到,而構造優(yōu)先
級高的VRRP報文對路由器進行攻擊��,增強網絡安全性��,保證業(yè)務的正常運行�。 本領域普通技術人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可以通過
程序指令相關的硬件來完成,前述的程序可以存儲于一計算機可讀取存儲介質中�,該程序
在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟���;而前述的存儲介質包括R0M�、 RAM、磁碟或者
光盤等各種可以存儲程序代碼的介質���。 最后應說明的是以上實施例僅用以說明本發(fā)明的技術方案����,而非對其限制����;盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領域的普通技術人員應當理解其依然可以對前述各實施例所記載的技術方案進行修改�,或者對其中部分技術特征進行等同替換;而這些修改或者替換���,并不使相應技術方案的本質脫離本發(fā)明各實施例技術方案的范圍���。
8
權利要求
一種接入設備上的報文處理方法,其特征在于����,包括接入設備通過所述接入設備的第一網絡端口接收網絡側的多播報文;所述接入設備識別所述多播報文的協(xié)議類型���;如果識別到所述多播報文為虛擬路由冗余協(xié)議報文�����,則根據(jù)用于虛擬路由冗余協(xié)議報文轉發(fā)的偵聽端口列表將所述虛擬路由冗余協(xié)議報文通過所述接入設備的第二網絡端口發(fā)送給網絡側����,其中,所述偵聽端口列表記錄有包括第一網絡端口和第二網絡端口的端口信息�;如果識別到所述多播報文為非虛擬路由冗余協(xié)議報文���,則將所述非虛擬路由冗余協(xié)議報文通過所述接入設備的用戶端口發(fā)送給用戶側�。
2. 根據(jù)權利要求1所述的方法�,其特征在于,如果識別到所述多播報文為虛擬路由冗 余協(xié)議報文�����,所述方法還包括所述接入設備對所述虛擬路由冗余協(xié)議報文進行分析���,得到分析結果���,所述分析結果 包含虛擬路由器IP、虛擬路由器介質訪問控制地址��、虛擬局域網標識和接收到所述虛擬路 由冗余協(xié)議報文的端口的信息;判斷所述分析結果與原轉發(fā)表記錄的內容進行匹配��;若不一致���,則根據(jù)所述分析結果�, 更新原轉發(fā)表記錄的轉發(fā)表項����。
3. 根據(jù)權利要求2所述的方法,其特征在于���,所述根據(jù)所述分析結果��,更新原轉發(fā)表記 錄的轉發(fā)表項���,包括根據(jù)所述分析結果中的虛擬路由器IP、虛擬路由器介質訪問控制地址���、虛擬局域網標 識和接收到所述虛擬路由冗余協(xié)議報文的第一網絡端口的信息更新二層轉發(fā)表項�;根據(jù)所述虛擬路由器介質訪問控制地址����、虛擬局域網標識和接收到所述虛擬路由冗余 協(xié)議報文的第一網絡端口的信息更新三層轉發(fā)表項��。
4. 根據(jù)權利要求2所述的方法����,其特征在于�����,所述非虛擬路由冗余協(xié)議報文包括地址 解析協(xié)議報文��,所述方法還包括如果識別到所述多播報文為用于所述解析虛擬路由器IP的地址解析協(xié)議報文����,所述 接入設備根據(jù)所述地址解析協(xié)議報文更新所述原轉發(fā)表的轉發(fā)表項�。
5. 根據(jù)權利要求2所述的方法,其特征在于����,接入設備通過所述接入設備的第一網絡 端口接收網絡側的多播報文之前還包括設置所述第一 網絡端口為禁止自動轉發(fā)業(yè)務報文端口 。
6. —種接入設備��,其特征在于�����,包括 至少兩個網絡端口,用于連接網絡側設備���; 用戶端口���,用于連接用戶終端;識別單元�,用于識別從第一網絡端口接收的多播報文的協(xié)議類型;處理單元���,用于在所述多播報文為虛擬路由冗余協(xié)議報文時�����,根據(jù)偵聽端口列表將所 述虛擬路由冗余協(xié)議報文通過第二網絡端口發(fā)送到網絡側����;在所述多播報文為非虛擬路由 冗余協(xié)議報文時���,將所述非虛擬路由冗余協(xié)議報文通過所述用戶端口發(fā)送到用戶側�����;其中���, 所述偵聽端口列表記錄有包括第一網絡端口和第二網絡端口的端口信息���。
7. 根據(jù)權利要求6所述的接入設備,其特征在于��,所述處理單元還用于在所述多播報 文為地址解析協(xié)議報文時����,根據(jù)所述地址解析協(xié)議報文更新原轉發(fā)表記錄的內容。
8. 根據(jù)權利要求7所述的接入設備����,其特征在于,所述處理單元還用于對所述虛擬路 由冗余協(xié)議報文進行分析����,得到分析結果�,所述分析結果包含虛擬路由器IP、虛擬路由器介 質訪問控制地址��、虛擬局域網標識和接收到所述虛擬路由冗余協(xié)議報文的端口的信息�����,判 斷所述分析結果與原轉發(fā)表記錄的內容進行匹配,若不一致����,則根據(jù)所述分析結果,更新原 轉發(fā)表記錄的二層轉發(fā)表項和三層轉發(fā)表項�����。
9. 一種通信系統(tǒng)�����,其特征在于���,包括接入設備��,所述接入設備上設置有第一網絡端口和 第二網絡端口���;所述接入設備,用于通過第一網絡端口接收網絡側的多播報文����;識別所述多播報文的 協(xié)議類型��,如果所述多播報文為虛擬路由冗余協(xié)議報文���,則根據(jù)偵聽端口列表將所述虛擬 路由冗余協(xié)議報文通過第二網絡端口發(fā)送到網絡側;如果所述多播報文為非虛擬路由冗余 協(xié)議報文����,則將所述非虛擬路由冗余協(xié)議報文通過用戶端口發(fā)送到用戶側,其中���,所述偵聽 端口列表記錄有包括第一網絡端口和第二網絡端口在內的端口信息�。
10. 根據(jù)權利要求9所述的通信系統(tǒng)�����,其特征在于�,所述接入設備還用于,在所述多播 報文為地址解析協(xié)議報文時�����,根據(jù)所述地址解析協(xié)議報文更新原轉發(fā)表���。
全文摘要
本發(fā)明實施例涉及一種報文處理方法���、接入設備和通信系統(tǒng),該方法包括接入設備通過該接入設備的第一網絡端口接收網絡側的多播報文��;接入設備識別多播報文的協(xié)議類型�����;如果識別到多播報文為虛擬路由冗余協(xié)議報文�,則根據(jù)用于虛擬路由冗余協(xié)議報文轉發(fā)的偵聽端口列表將該虛擬路由冗余協(xié)議報文通過接入設備的第二網絡端口發(fā)送給網絡側;如果識別到多播報文為非虛擬路由冗余協(xié)議報文��,則將該非虛擬路由冗余協(xié)議報文通過所述接入設備的用戶端口發(fā)送給用戶側���。本發(fā)明實施例可以防止接入設備將VRRP報文向所有用戶廣播����,節(jié)約網絡帶寬����;防止VRRP報文被用戶偵聽到而構造優(yōu)先級高的VRRP報文對路由器進行攻擊,增強網絡安全性��,保證業(yè)務的正常運行��。
文檔編號H04L12/54GK101741742SQ200910260629
公開日2010年6月16日 申請日期2009年12月18日 優(yōu)先權日2009年12月18日
發(fā)明者顏志勇, 黃斌 申請人:華為技術有限公司