[发明专利]一种报文转发方法及网络交换设备

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种报文转发方法及网络交换设备。

背景技术

网络交换设备通常包括交换机、路由器、网关等。网络交换设备可以实现信息交换的功能，具体来说，网络交换设备可以对其他设备之间进行数据交互的报文进行转发。

现有的网络交换设备仅能够对报文进行转发，并不能对报文进行安全识别。举例来说，假设主机A与主机B之间的数据交互需要经过网络交换设备；主机A被非法用户攻击，主机A通过该网络交换设备向主机B发送攻击报文；网络交换设备会将攻击报文转发给主机B，这样，攻击报文会攻击主机B。因此，这种网络交换设备的安全性较低。

发明内容

本发明实施例的目的在于提供一种报文转发方法及网络交换设备，提高网络交换设备的安全性。

为达到上述目的，本发明实施例公开了一种报文转发方法，应用于网络交换设备，所述网络交换设备包含安全板和多个交换板；所述方法包括：

交换板接收业务报文：

若所述交换板被配置为第一类交换板，则将接收到的所述业务报文发送至所述安全板；

若所述交换板被配置为非第一类交换板，则将接收到的所述业务报文发送至所述第一类交换板，以使所述第一类交换板将所述业务报文转发至所述安全板；

所述安全板根据预先存储的安全策略，验证所述业务报文是否合法；如果是，将所述业务报文确定为合法业务报文，将所述合法业务报文发送至第一类交换板；

所述第一类交换板接收到所述合法业务报文后，确定所述合法业务报文的目的地址，并根据所述目的地址，将所述合法业务报文发送至外部设备或转发至非第一类交换板；

所述非第一类交换板接收到所述合法业务报文后，根据所述目的地址，将所述合法业务报文发送至外部设备。

可选的，第一类交换板根据所述目的地址，将所述合法业务报文发送至外部设备或转发至非第一类交换板的步骤，可以包括：

第一类交换板根据所述目的地址，确定所述合法业务报文对应的目标出接口、及所述目标出接口对应的目标交换板：当目标交换板包含第一类交换板时，第一类交换板通过自身目标出接口将所述合法业务报文发送至外部设备；当目标交换板包含非第一类交换板时，第一类交换板将所述合法业务报文转发至非第一类交换板；

非第一类交换板根据所述目的地址，将所述合法业务报文发送至外部设备的步骤，可以包括：

非第一类交换板通过自身目标出接口将所述合法业务报文发送至外部设备。

可选的，所述第一类交换板根据所述目的地址，确定所述合法业务报文对应的目标出接口的步骤，可以包括：

第一类交换板根据所述目的地址，判断所述合法业务报文是否为单播业务报文；

如果是，查找本地转发表项，根据查找结果，确定所述合法业务报文对应的目标出接口；

如果否，将所述网络交换设备的全部出接口确定为所述合法业务报文对应的目标出接口，或者，确定所述合法业务报文所属的广播域，将所述广播域下的出接口确定为所述合法业务报文对应的目标出接口。

可选的，所述安全板根据预先存储的安全策略验证所述业务报文是否合法的步骤，可以包括：

所述安全板判断所述业务报文的源地址是否位于第一预设地址区间；或者，

判断所述业务报文的目的地址是否位于第二预设地址区间；或者，

根据预先设定的源地址与目的地址的对应关系，判断所述业务报文的源地址与目的地址是否对应；或者，

判断所述业务报文的以太网类型是否为预设以太网类型；或者，

判断所述业务报文的互联网协议类型是否为预设互联网协议类型；

如果是，表示所述业务报文合法。

可选的，所述若所述交换板被配置为非第一类交换板，则将接收到的所述业务报文发送至第一类交换板的步骤，可以包括：

若所述交换板被配置为第二类交换板，则将接收到的业务报文发送至第一类交换板；

若所述交换板被配置为第三类交换板，则将接收到的业务报文发送至第二类交换板，以使第二类交换板将接收到的业务报文转发至第一类交换板；

所述非第一类交换板接收到所述合法业务报文后，根据所述目的地址，将所述合法业务报文发送至外部设备的步骤，可以包括：

当所述交换板被配置为第二类交换板时，所述交换板接收到所述合法业务报文后，根据所述目的地址，将所述合法业务报文发送至外部设备或转发至第三类交换板；