專利名稱:一種數(shù)據(jù)報文處理方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通訊領(lǐng)域���,尤其涉及一種數(shù)據(jù)報文處理方法及裝置�����。
背景技術(shù):
在通信技術(shù)領(lǐng)域�����,虛擬局域網(wǎng)(vlan)是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段��,從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)數(shù)據(jù)報文轉(zhuǎn)發(fā)中���。數(shù)據(jù)報文分為不打標(biāo)簽報文(untag)和打標(biāo)簽報文(tag)兩種�。不打標(biāo)簽報文就是普通的以太網(wǎng)報文�����,打標(biāo)簽報文是在以太網(wǎng)標(biāo)準(zhǔn)幀中插入了 4字節(jié)虛擬局域網(wǎng)標(biāo)簽信息的報文�,如圖1所示。網(wǎng)絡(luò)數(shù)據(jù)報文則是通過交換機(jī)端口轉(zhuǎn)接達(dá)到數(shù)據(jù)傳送和接收的目的���。交換機(jī)端口有三種鏈路類型Access�、Hybrid和Trunk, Access類型的端口只能屬于一個虛擬局域網(wǎng)�����,一般用于連接計算機(jī)的端口 �����;Trunk類型的端口可以允許多個帶有 虛擬局域網(wǎng)信息標(biāo)簽的數(shù)據(jù)通過�����,可以接收和發(fā)送多個帶有虛擬局域網(wǎng)信息標(biāo)簽的數(shù)據(jù)報文,一般用于交換機(jī)之間連接的端口 ���;Hybrid類型的端口可以允許多個帶有虛擬局域網(wǎng)信息標(biāo)簽的數(shù)據(jù)通過,可以接收和發(fā)送多個帶有虛擬局域網(wǎng)信息標(biāo)簽的數(shù)據(jù)報文�����,可以用于交換機(jī)之間連接��,也可以用于連接用戶的計算機(jī)。通常,帶有所屬虛擬局域網(wǎng)標(biāo)簽信息的報文會通過屬于對應(yīng)虛擬局域網(wǎng)的端口轉(zhuǎn)發(fā)���。而對于不帶標(biāo)簽信息的報文��,則通過缺省端口轉(zhuǎn)發(fā)��。缺省端口的虛擬局域網(wǎng)號對應(yīng)端口所屬的虛擬局域網(wǎng),Access端口只屬于一個虛擬局域網(wǎng)���,所以它的缺省虛擬局域網(wǎng)號就是它所在的虛擬局域網(wǎng)����,不用設(shè)置���;Hybrid端口和Trunk端口屬于多個虛擬局域網(wǎng),所以需要設(shè)置端口缺省虛擬局域網(wǎng)號��。默認(rèn)情況下��,Hybrid端口和Trunk端口的缺省虛擬局域網(wǎng)號為I。如果設(shè)置了端口的缺省虛擬局域網(wǎng)號��,當(dāng)端口接收到不帶虛擬局域網(wǎng)標(biāo)簽信息的報文后��,則將報文轉(zhuǎn)發(fā)到屬于缺省虛擬局域網(wǎng)的端口 ;當(dāng)端口發(fā)送帶有虛擬局域網(wǎng)標(biāo)簽信息的報文時����,如果該報文的虛擬局域網(wǎng)值與端口缺省的虛擬局域網(wǎng)值相同����,則系統(tǒng)將去掉報文的標(biāo)簽信息����,然后再發(fā)送該報文���。但本申請發(fā)明人在實現(xiàn)本申請實施例中發(fā)明技術(shù)方案的過程中�,發(fā)現(xiàn)上述技術(shù)至少存在如下技術(shù)問題缺省端口的存在使某些不帶標(biāo)簽信息報文可以在不同虛擬局域網(wǎng)內(nèi)自由轉(zhuǎn)發(fā)。但也帶來了很多安全隱患��,例如局域網(wǎng)跳躍攻擊���,利用雙層虛擬局域網(wǎng)標(biāo)簽進(jìn)行攻擊����,如果攻擊者位于虛擬局域網(wǎng)10���,受侵犯者位于虛擬局域網(wǎng)20����,兩個交換機(jī)間以trunk方式連接���,端口的缺省虛擬局域網(wǎng)值是10。攻擊者發(fā)送雙標(biāo)簽報文����,外部標(biāo)簽為虛擬局域網(wǎng)10標(biāo)簽信息�����,內(nèi)部標(biāo)簽為虛擬局域網(wǎng)20標(biāo)簽信息��,由于外部標(biāo)簽與缺省虛擬局域網(wǎng)值一致��,故第一個交換機(jī)將去掉外部標(biāo)簽,將只有一層標(biāo)簽屬于虛擬局域網(wǎng)20的報文傳遞出去,第二個交換機(jī)就會將報文轉(zhuǎn)發(fā)給屬于虛擬局域網(wǎng)20的攻擊對象
發(fā)明內(nèi)容
本申請實施例通過提供一種數(shù)據(jù)報文處理方法及裝置�����,解決了現(xiàn)有技術(shù)中普通以太網(wǎng)數(shù)據(jù)報文在不同虛擬局域網(wǎng)內(nèi)自由轉(zhuǎn)發(fā)的技術(shù)問題��,實現(xiàn)了增強(qiáng)虛擬局域網(wǎng)數(shù)據(jù)安全性的技術(shù)效果��。所述一種報文處理方法包括接收到數(shù)據(jù)報文后,檢測所述數(shù)據(jù)報文是否為帶標(biāo)簽的數(shù)據(jù)報文����,得到檢測結(jié)果;根據(jù)所述檢測結(jié)果確定所述數(shù)據(jù)報文為不帶標(biāo)簽的數(shù)據(jù)報文時�����,則獲取接收所述數(shù)據(jù)報文的第一端口的端口配置信息�����;當(dāng)所述端口配置信息中包含預(yù)設(shè)命令參數(shù),則根據(jù)所述預(yù)設(shè)命令參數(shù)丟棄所述數(shù)據(jù)報文�����。所述裝置���,包括 檢測單元,用于接收到數(shù)據(jù)報文后���,檢測所述數(shù)據(jù)報文是否為帶標(biāo)簽的數(shù)據(jù)報文��,得到檢測結(jié)果����;配置信息獲取單元,用于根據(jù)所述檢測結(jié)果確定所述數(shù)據(jù)報文為不帶標(biāo)簽的數(shù)據(jù)報文時��,則獲取接收所述數(shù)據(jù)報文的第一端口的端口配置信息���;數(shù)據(jù)報文處理單元�����,用于當(dāng)所述端口配置信息中包含預(yù)設(shè)命令參數(shù)��,則根據(jù)所述預(yù)設(shè)命令參數(shù)丟棄所述數(shù)據(jù)報文。本申請實施例中提供的一個或多個技術(shù)方案����,至少具有如下技術(shù)效果或優(yōu)點1����、由于在選中端口配置 switchport tag trunk native vlan enable命令�,所以���,有效解決了普通untag報文在虛擬局域網(wǎng)內(nèi)自由傳播的問題�,從而實現(xiàn)了選中trunk端口具有攔截普通untag數(shù)據(jù)報文屬性的技術(shù)效果�。2、由于在交換機(jī)上配置default vlan disable命令,該命令對交換機(jī)上所有端口起作用��,所以��,有效解決了普通untag數(shù)據(jù)報文在虛擬局域網(wǎng)內(nèi)自由傳播,從而實現(xiàn)了所有端口具有攔截普通untag數(shù)據(jù)報文屬性的技術(shù)效果�����。
圖1是802.1Q的幀格式示意圖���;圖2是本發(fā)明實施例一�����,配置第一命令和第二命令的處理流程圖���;圖3是本發(fā)明實施例二�����,配置第一命令的處理流程圖����;圖4是本發(fā)明實施例三����,配置第二命令的處理流程圖�;圖5是本發(fā)明提供一種數(shù)據(jù)報文處理裝置的結(jié)構(gòu)示意圖�。
具體實施例方式本發(fā)明實施例所提供的方法是設(shè)置交換機(jī)端口的屬性參數(shù)��,然后根據(jù)所述屬性參數(shù)選擇性的轉(zhuǎn)發(fā)或丟棄數(shù)據(jù)報文�,從而達(dá)到增加網(wǎng)絡(luò)安全性的目的��。在本發(fā)明實施例中設(shè)置交換機(jī)端口的屬性參數(shù)的具體實現(xiàn)方式可以包括以下兩種一�����、從交換機(jī)的多個端口中選擇�����,至少一個端口�,設(shè)置與選中端口對應(yīng)的第一命令�����。在本發(fā)明實施例中,設(shè)置第一命令(switchporttag trunk native vlan enable命令)的端口在接收到初始數(shù)據(jù)報文為不帶標(biāo)簽的數(shù)據(jù)報文以后將對該數(shù)據(jù)報文做丟棄處理���。根據(jù)以上設(shè)置,有效解決了不帶標(biāo)簽數(shù)據(jù)報文在虛擬局域網(wǎng)內(nèi)自由傳播的技術(shù)問題���,從而實現(xiàn)了選中端口攔截不帶標(biāo)簽數(shù)據(jù)報文的技術(shù)效果��。二�、在交換機(jī)上配置第二命令(default vlan disable),該第二命令對交換機(jī)所有端口起作用��。對于初始報文是不帶標(biāo)簽的數(shù)據(jù)報文���,當(dāng)端口接收到所述不帶標(biāo)簽數(shù)據(jù)報文后,由于端口本身自帶屬性���,端口將會對所述不帶標(biāo)簽數(shù)據(jù)報文打上缺省標(biāo)簽,使所述不帶標(biāo)簽報文成為帶有缺省標(biāo)簽的數(shù)據(jù)報文����。針對這類被打上缺省標(biāo)簽的數(shù)據(jù)報文����,由于端口配置所述第二命令�,交換機(jī)芯片通過識別報文頭中的標(biāo)志位知道所述帶標(biāo)簽數(shù)據(jù)報文的缺省標(biāo)簽是由交換機(jī)打上的,所以����,所述接收端口將會對所述帶有缺省標(biāo)簽的數(shù)據(jù)報文做丟棄處理。
在本發(fā)明實施例中,所述Default vlan命令是對所有端口有效,該Default vlan命令設(shè)置在網(wǎng)絡(luò)處理器芯片的公共寄存器中���。需要說明的是����,針對以上兩種配置,可以根據(jù)具體需求同時配置或者選擇性的配置���。本發(fā)明實施例提供一種數(shù)據(jù)報文處理方法,具體包括端口接收到數(shù)據(jù)報文后�����,檢測所述數(shù)據(jù)報文是否為帶標(biāo)簽的數(shù)據(jù)報文��,得到檢測結(jié)果;根據(jù)所述檢測結(jié)果確定所述數(shù)據(jù)報文為不帶標(biāo)簽的數(shù)據(jù)報文時,則獲取接收所述數(shù)據(jù)報文的第一端口的端口配置信息�����;所述預(yù)設(shè)命令參數(shù)包括第一命令��,所述第一命令與端口一一對應(yīng)�。則所述獲取接收所述數(shù)據(jù)報文的第一端口的端口配置信息的方式可以是查詢第一端口對應(yīng)的端口表獲取所述第一端口對應(yīng)的端口配置信息�����。所述預(yù)設(shè)命令參數(shù)包括第二命令,所述第二命令對應(yīng)多個端口����。則獲取接收所述數(shù)據(jù)報文的第一端口的端口配置信息的方式可以是查詢網(wǎng)絡(luò)處理器公共寄存器獲取所述第一端口對應(yīng)的端口配置信息��。當(dāng)所述端口配置信息中包含預(yù)設(shè)命令參數(shù)���,則根據(jù)所述預(yù)設(shè)命令參數(shù)丟棄所述數(shù)據(jù)報文���。所述預(yù)設(shè)命令參數(shù)包括第一命令和/或第二命令����,所述端口配置信息中包含預(yù)設(shè)命令參數(shù),則根據(jù)所述預(yù)設(shè)命令參數(shù)丟棄所述數(shù)據(jù)報文包括根據(jù)所述配置信息確定所述第一端口是否配置第一命令�,如果是��,則丟棄所述數(shù)據(jù)報文;否則當(dāng)確定所述數(shù)據(jù)報文的標(biāo)簽為缺省標(biāo)簽��,則判斷所述第一端口是否配置第二命令,如果是�,則丟棄所述數(shù)據(jù)報文���。為了使本申請所屬技術(shù)領(lǐng)域中的技術(shù)人員更清楚地理解本發(fā)明���,下面結(jié)合附圖,通過具體實施例對本發(fā)明技術(shù)方案作詳細(xì)描述�����。如圖2所示��,實施例一�����,本發(fā)明實施例提供一種數(shù)據(jù)報文處理方法,該實施例中當(dāng)前轉(zhuǎn)發(fā)數(shù)據(jù)報文的交換機(jī)設(shè)置第一命令和第二命令�����,具體的實現(xiàn)方法包括步驟101 :端口接收到數(shù)據(jù)報文后,判斷所述數(shù)據(jù)報文是否為不帶標(biāo)簽的報文�,如果是���,則進(jìn)入步驟103 ;否則進(jìn)入步驟102��。數(shù)據(jù)報文分為不帶標(biāo)簽數(shù)據(jù)報文(untag)和帶標(biāo)簽數(shù)據(jù)報文(tag)兩種���,其中����,檢測數(shù)據(jù)報文是否為帶標(biāo)簽的數(shù)據(jù)報文的實現(xiàn)方式為接收到數(shù)據(jù)報文后,檢測所述數(shù)據(jù)報文的標(biāo)志位��,如果所述標(biāo)志位存在vlan標(biāo)簽,則該數(shù)據(jù)報文為tag數(shù)據(jù)報文(即帶標(biāo)簽的報文)����;否則�����,該報文為untag數(shù)據(jù)報文(即不帶標(biāo)簽的報文)。步驟102 :根據(jù)帶標(biāo)簽數(shù)據(jù)報文中的標(biāo)簽��,對所述帶標(biāo)簽報文進(jìn)行普通二層轉(zhuǎn)發(fā)�����。步驟103 :獲取接收所述數(shù)據(jù)報文的第一端口的配置信息;在本發(fā)明實施例中�,因為用戶可以在交換機(jī)的操作界面對交換機(jī)的每個端口(port)設(shè)置不同的服務(wù)要求(即每個端口的配置信息)�����,這些針對每個port的服務(wù)要求通過表格的形式進(jìn)行存儲形成了 port表���,所以本發(fā)明實施例中,可以查詢所述port表獲取每個端口的配置信息�。
·
在本實施例中,查詢所述port表獲得端口的屬性和配置信息���,該配置信息中包括端口有無配置 switchport tag trunk native vlan enable 命令�����。步驟104 :根據(jù)所述配置信息確定所述第一端口是否配置第一命令��,如果是��,則進(jìn)入步驟105 ;否則進(jìn)入步驟106����。在本發(fā)明實施例中����,配置第一命令(switchporttag trunk native vlan enable)后,可以實現(xiàn)對雙層標(biāo)簽的局域網(wǎng)跳躍攻擊進(jìn)行阻止���,具體實現(xiàn)可以通過以下方式實現(xiàn)局域網(wǎng)跳躍攻擊時��,需要滿足的一個條件是其數(shù)據(jù)包的最外層vlan標(biāo)簽要與trunk端口的native vlan 一致,這樣,trunk才能剝離標(biāo)簽�����。當(dāng)交換機(jī)缺省vlan對應(yīng)的第一 trunk端口配置switchport tag命令后���,第一trunk端口不再屬于原來的native vlan,故當(dāng)雙層標(biāo)簽最外層vlan是native vlan時,貝U該報文不會被轉(zhuǎn)發(fā)出去�,而是直接丟棄�。當(dāng)雙層報文最外層vlan不是native vlan而是trunk端口所屬的其他vlan時,該trunk端口不會剝離標(biāo)簽,正常轉(zhuǎn)發(fā)�。步驟105 :丟棄所述數(shù)據(jù)報文。在步驟101判斷接收到的數(shù)據(jù)報文為untag數(shù)據(jù)報文后�,由于端口本身自帶屬性�,接收數(shù)據(jù)報文的端口會將接收到的untag數(shù)據(jù)報文打上缺省vlan標(biāo)簽。在打上缺省vlan標(biāo)簽后�����,在數(shù)據(jù)報文的其他比特位標(biāo)示該標(biāo)簽為交換機(jī)打上的���。則該實施的方法還包括步驟106 :確定所述數(shù)據(jù)報文的標(biāo)簽為缺省標(biāo)簽���,則判斷所述第一端口是否配置第二命令(default vlan disable),如果是,則進(jìn)入步驟105,否則,按照現(xiàn)有的轉(zhuǎn)發(fā)流程轉(zhuǎn)發(fā)所述數(shù)據(jù)報文。在本發(fā)明實施例中���,default vlan disable命令一旦配置,所有端口的defaultvlan都失效�����,即該命令是針對所有端口的����,所以該配置信息保存在網(wǎng)絡(luò)處理器公共寄存器中���;則該步驟106中判斷端口是否配置第二命令(default vlan disable)的具體實現(xiàn)包括從網(wǎng)絡(luò)處理器公共寄存器中查看有無配置default vlan disable命令,命令default vlan disable可在網(wǎng)絡(luò)處理器公共寄存器中某一位得知。所述按照現(xiàn)有的轉(zhuǎn)發(fā)流程轉(zhuǎn)發(fā)所述數(shù)據(jù)報文包括數(shù)據(jù)報文從Access接口發(fā)出時���,交換機(jī)先剝離數(shù)據(jù)報文的VLAN Tag,然后再發(fā)出��。數(shù)據(jù)報文從Trunk接口發(fā)出時�����,比較端口的native vlan和發(fā)送報文的vlan信息,如果相等則剝離vlan信息����,再發(fā)送��,如果不相等則直接發(fā)送�。數(shù)據(jù)報文從Hybrid接口發(fā)出時,交換機(jī)先判斷VLAN在本接口的屬性是Untag還是Tag��,如果是Untag�����,先剝離數(shù)據(jù)報文的VLAN Tag����,再發(fā)送����;如果是Tag����,直接發(fā)送數(shù)據(jù)報文��。上述本申請實施例中的技術(shù)方案,至少具有如下的技術(shù)效果或優(yōu)點交換機(jī)端口攔截了不帶標(biāo)簽數(shù)據(jù)報文�,避免不帶標(biāo)簽數(shù)據(jù)報文在虛擬局域網(wǎng)內(nèi)自由轉(zhuǎn)發(fā)的問題�����。如圖3所示�����,實施例二���,該實施例中交換機(jī)的幾個端口設(shè)置第一命令�,具體的實現(xiàn) 方法包括步驟201 :端口接收到數(shù)據(jù)報文后�,判斷所述數(shù)據(jù)報文是否為不帶標(biāo)簽的報文����,如果是�,則進(jìn)入步驟203 ;否則進(jìn)入步驟202����。數(shù)據(jù)報文分為不帶標(biāo)簽數(shù)據(jù)報文(untag)和帶標(biāo)簽數(shù)據(jù)報文(tag)兩種����,其中��,檢測數(shù)據(jù)報文是否為帶標(biāo)簽的數(shù)據(jù)報文的實現(xiàn)方式為接收到數(shù)據(jù)報文后��,檢測所述數(shù)據(jù)報文的標(biāo)志位����,如果所述標(biāo)志位存在vlan標(biāo)簽�����,則該數(shù)據(jù)報文為tag數(shù)據(jù)報文(即帶標(biāo)簽的報文);否則�,該報文為untag數(shù)據(jù)報文(即帶打標(biāo)簽的報文)�����。步驟202 :根據(jù)帶標(biāo)簽數(shù)據(jù)報文中的標(biāo)簽�����,對所述帶標(biāo)簽報文進(jìn)行普通二層轉(zhuǎn)發(fā)��。步驟203 :獲取接收所述數(shù)據(jù)報文的第一端口的配置信息�����;在本發(fā)明實施例中�����,因為用戶可以在交換機(jī)的操作界面對交換機(jī)的每個端口(port)設(shè)置不同的服務(wù)要求(即每個端口的配置信息),這些針對每個port的服務(wù)要求通過表格的形式進(jìn)行存儲形成了 port表����,所以本發(fā)明實施例中����,可以查詢所述port表獲取每個端口的配置信息�����。在本實施例中�,查詢所述port表獲得端口的屬性和配置信息�,該配置信息中包括端口有無配置 switchport tag trunk native vlan enable 命令。步驟204 :根據(jù)所述配置信息確定所述第一端口是否配置第一命令���,如果是,則進(jìn)入步驟205 ;否則�,按照現(xiàn)有的轉(zhuǎn)發(fā)流程轉(zhuǎn)發(fā)所述數(shù)據(jù)報文�����。在本發(fā)明實施例中����,配置第二命令(default vlan disable)后,可以實現(xiàn)對雙層標(biāo)簽的局域網(wǎng)跳躍攻擊進(jìn)行阻止����,具體實現(xiàn)可以通過以下方式實現(xiàn)實現(xiàn)局域網(wǎng)跳躍攻擊時�,需要滿足的一個條件是其數(shù)據(jù)包的最外層vlan標(biāo)簽要與trunk端口的native vlan 一致,這樣���,trunk才能剝離標(biāo)簽����。當(dāng)交換機(jī)的缺省vlan對應(yīng)的第一 trunk端口配置switchport tag命令后�����,第一trunk端口則不屬于原本的native vlan,故當(dāng)雙層標(biāo)簽最外層vlan是native vlan時,貝U該報文不會被轉(zhuǎn)發(fā)出去���,而是直接丟棄���。當(dāng)雙層報文最外層vlan不是native vlan而是trunk端口所屬的其他vlan時�����,該trunk端口不會剝離標(biāo)簽,正常轉(zhuǎn)發(fā)�。步驟205 :丟棄所述數(shù)據(jù)報文�����。上述本申請實施例中的技術(shù)方案,至少具有如下的技術(shù)效果或優(yōu)點
交換機(jī)的設(shè)定端口攔截了不帶標(biāo)簽數(shù)據(jù)報文�,避免不帶標(biāo)簽數(shù)據(jù)報文在虛擬局域網(wǎng)內(nèi)自由轉(zhuǎn)發(fā)的問題���。如圖4所示����,實施例三�,該實施例中當(dāng)前轉(zhuǎn)發(fā)數(shù)據(jù)報文的交換機(jī)設(shè)置第二命令��,具體的實現(xiàn)方法包括步驟301 :端口接收到數(shù)據(jù)報文后,判斷所述數(shù)據(jù)報文是否為不帶標(biāo)簽的報文���,如果是,則進(jìn)入步驟303 ;否則進(jìn)入步驟302����。數(shù)據(jù)報文分為不帶標(biāo)簽數(shù)據(jù)報文(untag)和帶標(biāo)簽數(shù)據(jù)報文(tag)兩種����,其中��,檢·測數(shù)據(jù)報文是否為帶標(biāo)簽的數(shù)據(jù)報文的實現(xiàn)方式為接收到數(shù)據(jù)報文后,檢測所述數(shù)據(jù)報文的標(biāo)志位�,如果所述標(biāo)志位存在vlan標(biāo)簽���,則該數(shù)據(jù)報文為tag數(shù)據(jù)報文(即帶標(biāo)簽的報文);否則�,該報文為untag數(shù)據(jù)報文(即不帶標(biāo)簽的報文)�����。步驟302 :根據(jù)帶標(biāo)簽數(shù)據(jù)報文中的標(biāo)簽�����,對所述帶標(biāo)簽報文進(jìn)行普通二層轉(zhuǎn)發(fā)。在步驟301判斷接收到的數(shù)據(jù)報文為untag數(shù)據(jù)報文后���,由于端口本身自帶屬性�����,交換機(jī)會將接收到的untag數(shù)據(jù)報文打上缺省vlan標(biāo)簽���。在打上缺省vlan標(biāo)簽后,在數(shù)據(jù)報文的其他比特位標(biāo)示該標(biāo)簽為交換機(jī)打上的�。則該實施的方法還包括步驟303 :確定所述數(shù)據(jù)報文的標(biāo)簽為缺省標(biāo)簽�,則判斷接收所述數(shù)據(jù)報文的第一端口是否配置第二命令(defeult vlan disable),如果是,則進(jìn)入步驟304,否則,按照現(xiàn)有的轉(zhuǎn)發(fā)流程轉(zhuǎn)發(fā)所述數(shù)據(jù)報文��。在本發(fā)明實施例中���,default vlan disable命令一旦配置,所有端口的defaultvlan都失效�����,即該命令是針對所有端口的�,所以該配置信息保存在網(wǎng)絡(luò)處理器全局寄存器中��;則該步驟303中判斷端口是否配置第二命令(default vlan disable)的具體實現(xiàn)包括從網(wǎng)絡(luò)處理器全局寄存器中查看有無配置default vlan disable命令,命令default vlan disable可在全局寄存器中某一位得知��。步驟304 :丟棄所述數(shù)據(jù)報文�����。如圖5所示,本發(fā)明實施例提供一種數(shù)據(jù)報文處理裝置���,包括檢測單元401,用于接收到數(shù)據(jù)報文后����,檢測所述數(shù)據(jù)報文是否為帶標(biāo)簽的數(shù)據(jù)報文,得到檢測結(jié)果��。配置信息獲取單元402�����,用于根據(jù)所述檢測結(jié)果確定所述數(shù)據(jù)報文為不帶標(biāo)簽的數(shù)據(jù)報文時,則獲取接收所述數(shù)據(jù)報文的第一端口的端口配置信息����。為了達(dá)到獲取端口配置信息跟好的效果�,查詢第一端口對應(yīng)的端口表獲取所述第一端口對應(yīng)的端口配置信息���;配置信息獲取單元還用于查詢網(wǎng)絡(luò)處理器獲取所述第一端口對應(yīng)的端口配置信肩、O數(shù)據(jù)報文處理單元403��,用于當(dāng)所述端口配置信息中包含預(yù)設(shè)命令參數(shù),則根據(jù)所述預(yù)設(shè)命令參數(shù)丟棄所述數(shù)據(jù)報文��。為了更好的獲得預(yù)設(shè)命令參數(shù)信息�,則所述數(shù)據(jù)報文處理單元403還根據(jù)所述配置信息確定所述第一端口是否配置第一命令�,如果是�����,則丟棄所述數(shù)據(jù)報文��;
否則當(dāng)確定所述數(shù)據(jù)報文的標(biāo)簽為缺省標(biāo)簽,則判斷所述第一端口是否配置第二命令��,如果是�����,則丟棄所述數(shù)據(jù)報文。以上對本發(fā)明所提供的一種增強(qiáng)虛擬局域網(wǎng)安全性的網(wǎng)絡(luò)配置方法進(jìn)行了詳細(xì)介紹�����,通過在選中trunk端口配置switchport tag trunk native vlan enable命令,有效解決了普通數(shù)據(jù)報文在虛擬局域網(wǎng)內(nèi)自由傳播����,從而實現(xiàn)了選中trunk端口具有攔截普通數(shù)據(jù)報文屬性的技術(shù)效果�����;通過在交換機(jī)上配置default vlan disable命令,該命令對交換機(jī)上所有端口起作用��,有效解決了普通數(shù)據(jù)報文在虛擬局域網(wǎng)內(nèi)自由傳播�,從而實現(xiàn)了所有端口具有攔截普通數(shù)據(jù)報文屬性的技術(shù)效果����。本發(fā)明有效解決了普通數(shù)據(jù)報文在虛擬局域網(wǎng)內(nèi)自由傳播的問題���,從而實現(xiàn)了攔截不帶標(biāo)簽數(shù)據(jù)報文的技術(shù)效果。盡管已描述了本發(fā)明的優(yōu)選實施例�����,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念,則可對這些實施例作出另外的變更和修改��。所以����,所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改����。顯然,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進(jìn)行各種改動和變型而不脫離本發(fā)明的精 神和范圍��。這樣���,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)��,則本發(fā)明也意圖包含這些改動和變型在內(nèi)��。
權(quán)利要求
1.一種數(shù)據(jù)報文處理方法,其特征在于���,包括 接收到數(shù)據(jù)報文后����,檢測所述數(shù)據(jù)報文是否為帶標(biāo)簽的數(shù)據(jù)報文�����,得到檢測結(jié)果�; 根據(jù)所述檢測結(jié)果確定所述數(shù)據(jù)報文為不帶標(biāo)簽的數(shù)據(jù)報文時����,則獲取接收所述數(shù)據(jù)報文的第一端口的端口配置信息�����; 當(dāng)所述端口配置信息中包含預(yù)設(shè)命令參數(shù),則根據(jù)所述預(yù)設(shè)命令參數(shù)丟棄所述數(shù)據(jù)報文�����。
2.如權(quán)利要求1所述的方法�����,其特征在于�,所述預(yù)設(shè)命令參數(shù)包括第一命令,所述第一命令與端口——對應(yīng)�。
3.如權(quán)利要求2所述的方法�,其特征在于�,所述獲取接收所述數(shù)據(jù)報文的第一端口的端口配置信息包括 查詢第一端口對應(yīng)的端口表獲取所述第一端口對應(yīng)的端口配置信息���。
4.如權(quán)利要求1所述的方法,其特征在于���,所述預(yù)設(shè)命令參數(shù)包括第二命令����,所述第二命令對應(yīng)多個端口�����。
5.如權(quán)利要求4所述的方法���,其特征在于,所述獲取接收所述數(shù)據(jù)報文的第一端口的端口配置信息包括 查詢網(wǎng)絡(luò)處理器公共寄存器獲取所述第一端口對應(yīng)的端口配置信息�。
6.如權(quán)利要求1所述的方法���,其特征在于,所述預(yù)設(shè)命令參數(shù)包括第一命令和/或第二命令����,所述端口配置信息中包含預(yù)設(shè)命令參數(shù)����,則根據(jù)所述預(yù)設(shè)命令參數(shù)丟棄所述數(shù)據(jù)報文包括 根據(jù)所述配置信息確定所述第一端口是否配置第一命令�,如果是,則丟棄所述數(shù)據(jù)報文�����;否則當(dāng)確定所述數(shù)據(jù)報文的標(biāo)簽為缺省標(biāo)簽���,則判斷所述第一端口是否配置第二命令���,如果是���,則丟棄所述數(shù)據(jù)報文����。
7.一種數(shù)據(jù)報文處理裝置��,其特征在于����,包括 檢測單元���,用于接收到數(shù)據(jù)報文后����,檢測所述數(shù)據(jù)報文是否為帶標(biāo)簽的數(shù)據(jù)報文��,得到檢測結(jié)果��; 配置信息獲取單元,用于根據(jù)所述檢測結(jié)果確定所述數(shù)據(jù)報文為不帶標(biāo)簽的數(shù)據(jù)報文時���,則獲取接收所述數(shù)據(jù)報文的第一端口的端口配置信息��; 數(shù)據(jù)報文處理單元�����,用于當(dāng)所述端口配置信息中包含預(yù)設(shè)命令參數(shù)����,則根據(jù)所述預(yù)設(shè)命令參數(shù)丟棄所述數(shù)據(jù)報文����。
8.如權(quán)利要求7所述的數(shù)據(jù)報文處理裝置,其特征在于����,配置信息獲取單元還用于查詢第一端口對應(yīng)的端口表獲取所述第一端口對應(yīng)的端口配置信息。
9.如權(quán)利要求7所述的數(shù)據(jù)報文處理裝置��,其特征在于���,配置信息獲取單元還用于查詢網(wǎng)絡(luò)處理器器公共寄存器獲取所述第一端口對應(yīng)的端口配置信息����。
10.如權(quán)利要求7所述的數(shù)據(jù)報文處理裝置,其特征在于����,所述預(yù)設(shè)命令參數(shù)包括第一命令和/或第二命令,數(shù)據(jù)報文處理單元還根據(jù)所述配置信息確定所述第一端口是否配置第一命令��,如果是�����,則丟棄所述數(shù)據(jù)報文�����;否則當(dāng)確定所述數(shù)據(jù)報文的標(biāo)簽為缺省標(biāo)簽��,則判斷所述第一端口是否配置第二命令����,如果是�����,則丟棄所述數(shù)據(jù)報文。
全文摘要
本發(fā)明公開一種數(shù)據(jù)報文處理方法及裝置�����,該方法包括接收到數(shù)據(jù)報文后�����,檢測所述數(shù)據(jù)報文是否為帶標(biāo)簽的數(shù)據(jù)報文���,得到檢測結(jié)果����;根據(jù)所述檢測結(jié)果確定所述數(shù)據(jù)報文為不帶標(biāo)簽的數(shù)據(jù)報文時��,則獲取接收所述數(shù)據(jù)報文的第一端口的端口配置信息�����;當(dāng)所述端口配置信息中包含預(yù)設(shè)命令參數(shù)���,則根據(jù)所述預(yù)設(shè)命令參數(shù)丟棄所述數(shù)據(jù)報文��。應(yīng)用本發(fā)明提供的方法及裝置�,實現(xiàn)了增強(qiáng)虛擬局域網(wǎng)數(shù)據(jù)安全性的技術(shù)效果。
文檔編號H04L12/723GK103023779SQ20121028666
公開日2013年4月3日 申請日期2012年8月13日 優(yōu)先權(quán)日2012年8月13日
發(fā)明者李穎佩 申請人:中興通訊股份有限公司