一种报文处理方法及装置的制造方法

一种报文处理方法及装置的制造方法
【专利摘要】本发明实施例公开了一种报文处理方法及装置，方法包括：第一VTEP设备接收对端设备发送的可扩展虚拟局域网络VXLAN报文；判断接收该VXLAN报文的第一端口是否为安全端口，其中，该安全端口为建立VXLAN隧道的端口；如果为，将该VXLAN报文发送至该第一VTEP设备的处理单元。应用本发明实施例可以对所接收到的VXLAN报文进行筛选处理，只将从安全端口所接收到的VXLAN报文发送至该第一VTEP设备的处理单元，以达到减轻处理单元的报文处理负担的效果。
【专利说明】
一种报文处理方法及装置
技术领域
[0001 ]本发明涉及信息安全领域，特别涉及一种报文处理方法及装置。
【背景技术】
[0002]在SDN( Sof tware Defined Network，软件定义网络)网络中，要使用到VXLAN(Virtual extensible Local Area Network，可扩展虚拟局域网络)隧道技术来完成数据报文的封装、解封装以及转发。该VXLAN以IP网络作为Under lay网络，向用户提供虚拟网络。在VXLAN隧道技术中，存在多个VTEP(VXLAN Tunnel End Point，VXLAN隧道端点)设备，该各VTEP设备之间可以建立VXLAN隧道(即在underlay网络的基础上建立overlay网络)，通过建立的VXLAN隧道进行数据传输。该VTEP设备为VXLAN的边缘设备，具体的，该VTEP设备可以是一台独立的物理设备，也可以是VM(Virtual Machine，虚拟机)所在的服务器。
[0003]在现有的利用VXLAN隧道技术进行数据传输的过程中，VXLAN隧道两端的两个VTEP设备互为对端设备，具体的:当VM将数据报文发送到VTEP设备后，该VTEP设备接收并将该数据报文发送至对应的VSI (Virtual Switch Instance，虚拟交换实例)，以确定该数据报文对应的VXLAN隧道，该VTEP设备对该数据报文进行封装，生成报文，其中，该报文可以是UDP(User Datagram Protocol，用户数据报协议)报文，通过该VSI对应的VXLAN隧道将该UDP报文发送至对端VTEP设备，该对端VTEP设备将接收到的报文上送至处理单元(如:CPU)进行解封装，得到对应的数据报文，进而将该数据报文发送至目的VM。
[0004]在现有技术中，该对端VTEP设备接收到报文，并判断出该报文所携带的目的端口号为4789后，即确认该报文为VXLAN报文，并将该VXLAN报文发送至处理单元，如:CPU，以使该处理单元对该VXLAN报文进行处理。

【发明内容】

[0005]本发明实施例公开了一种报文处理方法及装置，以对所接收到的UDP报文进行筛选处理，减轻处理单元(如:CPU)的报文处理负担。具体方案如下:
[0006]—方面，本发明实施例提供了一种报文处理方法，应用于可扩展虚拟局域网络VXLAN的第一VTEP设备中，所述方法包括:
[0007]接收对端设备发送的VXLAN报文；
[0008]判断接收所述VXLAN报文的第一端口是否为安全端口，其中，所述安全端口为建立VXLAN隧道的端口；
[0009]如果为，将所述VXLAN报文发送至所述第一 VTEP设备的处理单元。
[0010]可选的，在所述判断接收所述VXLAN报文的第一端口是否为安全端口之前，本发明实施例所提供的一种报文处理方法还包括:
[0011 ] 获取所述第一VTEP设备用于建立VXLAN隧道的隧道端口 ；
[0012]所述判断接收所述VXLAN报文的第一端口是否为安全端口，包括:
[0013]判断所述隧道端口中是否存在所述第一端口；
[0014]若存在，确定所述第一端口为安全端口。
[0015]可选的，本发明实施例所提供的一种报文处理方法还包括:
[0016]获取所述隧道端口与所述对端设备的对应关系；
[0017]所述判断接收所述VXLAN报文的第一端口是否为安全端口，还包括:
[0018]判断所述对应关系中是否存在所述第一端口与发送所述VXLAN报文的对端设备的对应关系，若存在，确定所述第一端口为安全端口。
[0019]可选的，本发明实施例所提供的一种报文处理方法还包括:
[0020]当判断所述第一端口不为安全端口时，丢弃所述VXLAN报文。
[0021]可选的，在将所述VXLAN报文发送至所述第一VTEP设备的处理单元之前，本发明实施例所提供的一种报文处理方法还包括:
[0022]针对安全端口，设置发送所述VXLAN报文至所述处理单元的发送速率阈值；
[0023]所述将所述VXLAN报文发送至所述第一 VTEP设备的处理单元，包括:
[0024]当所述安全端口接收VXLAN报文的速率超过所述发送速率阈值时，以所述发送速率阈值发送VXLAN报文至所述处理单元。
[0025]另一方面，本发明实施例还提供了一种报文处理装置，应用于可扩展虚拟局域网络VXLAN的第一VTEP设备中，所述装置包括:报文接收模块、判断模块和发送模块；
[0026]所述报文接收模块:用于接收对端设备发送的VXLAN报文；
[0027]所述判断模块:用于判断接收所述VXLAN报文的第一端口是否为安全端口，其中，所述安全端口为建立VXLAN隧道的端口 ；
[0028]所述发送模块:用于当判断所述第一端口为安全端口时，将所述VXLAN报文发送至所述第一 VTEP设备的处理单元。
[0029]可选的，本发明实施例所提供的一种报文处理装置还包括获取模块；
[0030]所述获取模块:用于在所述判断接收所述VXLAN报文的第一端口是否为安全端口之前，获取所述第一VTEP设备用于建立VXLAN隧道的隧道端口 ；
[0031 ]所述判断模块具体用于:
[0032]判断所述隧道端口中是否存在所述第一端口；
[0033]若存在，确定所述第一端口为安全端口。
[0034]可选的，所述获取模块还用于获取所述隧道端口与所述对端设备的对应关系；
[0035]所述判断模块还用于:
[0036]判断所述对应关系中是否存在所述第一端口与发送所述VXLAN报文的对端设备的对应关系，若存在，确定所述第一端口为安全端口。
[0037]可选的，本发明实施例所提供的一种报文处理装置还包括丢弃模块；
[0038]所述丢弃模块:用于当判断所述第一端口不为安全端口时，丢弃所述VXLAN报文。
[0039]可选的，本发明实施例所提供的一种报文处理装置还包括设置模块:
[0040]所述设置模块:用于针对安全端口，设置发送VXLAN报文至所述处理单元的发送速率阈值；
[0041]所述发送模块具体用于:当所述安全端口接收VXLAN报文的速率超过所述发送速率阈值时，以所述发送速率阈值发送VXLAN报文至所述处理单元。
[0042]在本方案中，第一VTEP设备接收对端设备发送的VXLAN报文;判断接收该VXLAN报文的第一端口是否为安全端口，其中，该安全端口为建立VXLAN隧道的端口 ；如果为，将该VXLAN报文发送至该第一 VTEP设备的处理单元。以对所接收到的VXLAN报文进行筛选处理，只将从安全端口所接收到的VXLAN报文发送至该第一VTEP设备的处理单元，以达到减轻处理单元(如:CPU)的报文处理负担的效果。当然，实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。
【附图说明】
[0043]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0044]图1为本发明实施例所提供的一种报文处理方法的流程示意图；
[0045]图2为本发明实施例所提供的一种报文处理方法的另一流程示意图；
[0046]图3为本发明实施例所提供的一种报文处理装置的结构示意图；
[0047]图4为本发明实施例所提供的一种报文处理装置的另一结构示意图；
[0048]图5为本发明实施例所提供的一种组网分布示意图；
[0049]图6为本发明实施例所提供的另一种组网分布示意图。
【具体实施方式】
[0050]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0051]可以理解的是，当VTEP设备接收到对端设备发送的VXLAN报文后，不会去识别其是否是自身所需处理的VXLAN报文(该VXLAN报文可能是对端设备伪造的VXLAN报文，也可能是在网络中泛洪的VXLAN报文，这些VXLAN报文均有可能是不需要该VTEP设备所需处理的报文)，均会上送至处理单元(如:CPU)，当该VTEP设备接收到的VXLAN报文的数量非常大时，无疑会造成CPU的处理负担过大的问题。举例而言:对端设备通过underlay网络向该VTEP设备发送大量的VXLAN报文(目的端□号为4789的报文)后，该VTEP设备会将该大量的VXLAN报文全部上送至CPU，使得CPU的处理负担过大。本发明实施例提供了一种报文处理方法及装置，以对所接收到的VXLAN报文进行筛选处理，减轻处理单元(如:CPU)的报文处理负担。
[0052]下面首先对本发明实施例所提供的一种报文处理方法进行介绍。
[0053]需要说明的是，本发明实施例所提供的一种报文处理方法可以应用于可扩展虚拟局域网络VXLAN的第一VTEP设备中，该第一VTEP设备可以是任一接收到对端设备发送的VXLAN报文的VTEP设备，其中，该对端设备可以是与该第一VTEP设备建立VXLAN隧道的第二VTEP设备，也可以是与该第一 VTEP设备进行数据传输的主机，也可以是未与该第一 VTEP设备建立VXLAN隧道的其他VTEP设备。该第一 VTEP设备与该第二 VTEP设备可以直接通过所建立的VXLAN隧道，进行数据(VXLAN报文)传输。在实际应用中，该VTEP设备可以使用虚拟交换机vSwitch代替。该VXLAN报文的目的端口号为4789的报文。
[0054]另外，需要强调的是，本发明实施例中的“第一VTEP设备”中的“第一”和“第二VTEP设备”中的“第二”仅仅用于从命名上区分VXLAN报文接收设备和VXLAN报文发送设备，并不具有任何限定意义。
[0055]本发明实施例提供了一种报文处理方法，如图1所示，可以包括如下步骤:
[0056]SlOl:接收对端设备发送的VXLAN报文；
[0057]可以理解的是，报文所携带的目的端口号不同，其所对应的类别不同，其中，报文的目的端口号可以包括53(对应域名系统DNS报文)、69 (对应简单文件传输协议TFTP报文)、161 (对应简单网络管理协议SNFP报文)和4789(对应VXLAN报文)。本发明实施例中，该第一VTEP设备主要是针对所接收的VXLAN报文(即所携带目的端口号为4789的报文)进行处理。第一VTEP设备接收对端设备发送的所携带端口号为4789的VXLAN报文，其中，对端设备可能是主机或者对端VTEP设备，该对端VTEP设备可能是与该第一 VTEP设备建立VXLAN隧道的第二 VTEP设备，也可能是未与该第一 VTEP设备建立VXLAN隧道的其他对端VTEP设备。
[0058]S102:判断接收该VXLAN报文的第一端口是否为安全端口，其中，该安全端口为建立VXLAN隧道的端口，如果为，执行S103;
[0059]需要说明的是，该第一VTEP设备中可以设置一个或多个端口，通过该一个或多个端口与对端设备进行通信，该第一 VTEP设备可以和任一对端设备(对端VTEP设备)建立VXLAN隧道，该建立的VXLAN隧道所对应的、且设置于该第一 VTEP设备的隧道端口即为安全端口，相应的，可以认为其他的未与对端设备(对端VTEP设备)建立VXLAN隧道的、且设置于该第一VTEP设备的端口则为非安全端口。其中，该第一端口可以是该第一VTEP设备上的任一接收到VXLAN报文的端口。
[0060]具体的，该第一VTEP设备接收该VXLAN报文后，判断接收该VXLAN报文的第一端口是否为安全端口，当判断出接收该VXLAN报文的第一端口为安全端口时，可以继续执行后续的报文处理流程。在一种具体实现中，在该第一VTEP设备中，可以通过标识信息对该安全端口进行标记，以与该第一 VTEP设备所设置的其他非安全端口进行区分，或者，可以将安全端口存储于安全端口表项中，相应的，将非安全端口存储于防攻击表项中。遍历该安全端口表项，判断该第一端口是否存储于该安全端口表项中，如果存储有，确定该第一端口为安全端口，进而继续执行后续的报文处理流程;如果未存储，确定该第一端口为非安全端口。
[0061 ] S103:将该VXLAN报文发送至该第一 VTEP设备的处理单元。
[0062]需要说明的是，当确定接收该VXLAN报文的第一端口为安全端口后，可以确定该VXLAN报文为该第一 VTEP设备所需处理的报文，将该VXLAN报文发送至该第一 VTEP设备的处理单元，以使该处理单元对该VXLAN报文进行处理，其中，该处理单元可以是CPU，该将VXLAN报文发送至处理单元以及该处理单元对VXLAN报文进行处理均可以采用现有技术，在此不做赘述。
[0063]应用本发明实施例，第一VTEP设备接收对端设备发送的VXLAN报文；判断接收该VXLAN报文的第一端口是否为安全端口，其中，该安全端口为建立VXLAN隧道的端口 ；如果为，将该VXLAN报文发送至该第一 VTEP设备的处理单元。以对所接收到的VXLAN报文进行筛选处理，只将从安全端口所接收到的VXLAN报文发送至该第一VTEP设备的处理单元，以达到减轻处理单元(如:CPU)的报文处理负担的效果。
[0064]在一种具体实现方式中，在所述判断接收该VXLAN报文的第一端口是否为安全端口之前，本发明实施例所提供的报文处理方法还可以包括:
[0065]获取该第一VTEP设备用于建立VXLAN隧道的隧道端口 ；
[0066]所述判断接收该VXLAN报文的第一端口是否为安全端口(S102)，包括:
[0067]判断该隧道端口中是否存在该第一端口；
[0068]若存在，确定该第一端口为安全端口。
[0069]可以理解的是，该第一 VTEP设备在与对端VTEP设备建立VXLAN隧道时，可以预先记录该VXLAN隧道所对应的、且设置于该第一VTEP设备的隧道端口。获取该第一VTEP设备用于建立VXLAN隧道的隧道端口，判断接收该VXLAN报文的第一端口是否存在于该隧道端口中，当存在时，即可确定该第一端口为隧道端口，即为安全端口，则可以进行后续的报文处理流程;当不存在时，即可确定该第一端口为非隧道端口，即为非安全端口。需要强调的是，该安全端口为设置于该第一VTEP设备的，且所接收的VXLAN报文可以上送至处理单元进行处理的端口。本发明实施例可以防止第一VTEP设备受到主机和其他VTEP设备(未与该第一VTEP设备建立VXLAN隧道的VTEP设备)所仿造的VXLAN报文的攻击。
[0070]在一种具体实现方式中，本发明实施例所提供的报文处理方法还可以包括:
[0071 ]获取该隧道端口与该对端设备的对应关系；
[0072]所述判断接收该VXLAN报文的第一端口是否为安全端口，还包括:
[0073 ]判断该对应关系中是否存在该第一端口与发送该VXLAN报文的对端设备的对应关系，若存在，确定该第一端口为安全端口。
[0074]需要说明的是，对于VTEP设备之间建立的VXLAN隧道来说，该VXLAN隧道与隧道端口都存在对应性，如图5所示，VTEP设备I (第一VTEP设备，地址为1.1.1.1)通过端口 A与VTEP设备3 (对端设备，地址为3.3.3.3)建立VXLAN隧道，该端口 A为隧道端口，且与对端设备(VTEP设备3)存在对应关系。在正常情况下，端口 A所接收的VXLAN报文的目的地址(相对于第一VTEP设备来说)为3.3.3.3(VTEP设备3的地址)，当端口A所接收的VXLAN报文的目的地址不为3.3.3.3(VTEP设备3的地址)时，该VXLAN报文也不会被发送至处理单元。
[0075]对于判断该接收VXLAN报文的第一端口是否为安全端口(所接收的VXLAN报文可以发送至处理单元的端口)，在确定出该第一端口为隧道端口后，还要确定所获取的隧道端口与对端设备的对应关系中，是否存在该第一端口与对端设备(发送该VXLAN报文的设备)的对应关系，如果存在，则确定该第一端口为安全端口(即所接收的VXLAN报文可以发送至处理单元的端口)。当然，该判断该隧道端口中是否存在该第一端口的步骤与判断该对应关系中是否存在该第一端口与发送该VXLAN报文的对端设备的对应关系的步骤，可以同时进行。
[0076]可以理解的是，该第一VTEP设备本地记录有与该第一 VTEP设备进行通信的对端设备的MAC地址或IP路由地址(对应记录于MAC地址表项或路由表项中)以及对应的端口，根据所记录MAC地址或路由IP地址可以确定进行数据通信的端口，进而可以确定该第一VTEP设备与对端设备建立的VXLAN隧道对应的隧道端口，可以将与对端设备对应的隧道端口确定为安全端口。
[0077]从对端设备发送至第一VTEP设备的VXLAN报文中，携带有该对端设备的MAC(MediaAccess Control，控制媒体访问)地址或路由IP地址，通过从VXLAN报文中解析出的MAC地址或路由IP地址(对端设备)，以及所获得的隧道端口与对端设备的对应关系，确定该接收VXLAN报文的第一端口是否为安全端口，进而确定是否进行后续的报文处理流程。
[0078]举例而言，如图5所示，VTEP设备I (第一VTEP设备，地址为1.1.1.1)设置端口 A和端口 B，通过端口 A(链路I)与VTEP设备3 (第二 VTEP设备，地址为3.3.3.3)进行通信，通过端口 B与P设备建立通信，P设备(交换机)又与VTEP设备3进行通信。VTEP设备I (通过端口 A)与VTEP设备3之间建立VXLAN隧道(隧道I)，即在VTEP设备I与VTEP设备3之间建立了overlay网络，P设备与VTEP设备1、VTEP设备3不建立VXLAN隧道，即从VTEP设备I到P设备再到VTEP设备3之间建立了underlay网络。针对VTEP设备I来说，链路1(隧道I)的源地址为1.1.1.1，目的地址为3.3.3.3，该VTEP设备I通过查询本地的MAC地址表项或路由表项，确定针对VTEP设备3(目的地址3.3.3.3)的、该VTEP设备I的端口为端口 A，则确定端口 A为安全端口。
[0079]在一种具体实现方式中，鉴于该第一VTEP设备本地的存储资源的有限性的考虑，为了节省该第一 VTEP设备本地的存储资源，避免过多的占用本地的空间资源，如图2所示，本发明实施例所提供的一种报文处理方法还可以包括:
[0080]S201:当判断该第一端口不为安全端口时，丢弃该VXLAN报文。
[0081]其中，该丢弃VXLAN报文可以采用现有技术，在此不做赘述。
[0082]在一种具体实现方式中，该第一VTEP设备可能设置有多个安全端口(隧道端口)，可以通过该多个安全端口(以及所设置的其他端口)与对端设备进行数据通信。当出现多个安全端口同时向处理单元发送的VXLAN报文时，为了均衡处理单元对各个安全端口所发送的VXLAN报文的处理，可以限制各个安全端口向处理单元发送VXLAN报文的发送速率，以避免该处理单元为处理某个安全端口的VXLAN报文，而导致其他安全端口的VXLAN报文处理不及时的情况，在将该VXLAN报文发送至该第一 VTEP设备的处理单元(S103)之前，本发明实施例所提供的一种报文处理方法还可以包括:
[0083]针对安全端口，设置发送VXLAN报文至该处理单元的发送速率阈值；
[0084]所述将该VXLAN报文发送至该第一VTEP设备的处理单元(S103)，包括:
[0085]当该安全端口接收VXLAN报文的速率超过该发送速率阈值时，以该发送速率阈值发送VXLAN报文至该处理单元。
[0086]可以理解的是，预先设置该第一 VTEP设备发送VXLAN报文至该处理单元的发送速率阈值，当安全端口接收VXLAN报文的速率超过该发送速率阈值时，以该发送速率阈值发送VXLAN报文至该处理单元，以使该处理单元对该VXLAN报文进行处理；当安全端口接收VXLAN报文的速率未超过该发送速率阈值时，可以以接收该VXLAN报文的速率，发送VXLAN报文至该处理单元。其中，该发送速率阈值可以根据该第一VTEP设备自身的性能进行设置调整。
[0087]在一种具体实现方式中，在数据(VXLAN报文)通信过程中，该第一VTEP设备与对端设备之间可能会增加建立VXLAN隧道，或者第一VTEP设备与对端设备之间通信链路(路由)发送改变，为了避免需要自身处理(发送至处理单元进行处理)的VXLAN报文的丢失，当将该安全端口存储于安全端口表项中时，可以定期或不定期地更新该安全端口表项。
[0088]举例而言，如图5所示，VTEP设备I与VTEP设备3之间的underlay网络发生故障，导致over I ay网络中VTEP设备I上的隧道I的端口发生切换(现有技术实现)，即与VTEP设备3对应的安全端口由端口 A切换至端口 B，当将该安全端口存储于安全端口表项中时，就需要对该安全端口表项进行更新，以避免需要该VTEP设备I上送至处理单元CPU处理的VXLAN报文的丢失。
[0089]如图6所示，在图5的基础上，VTEP设备I与VTEP设备2之间，通过VTEP设备I的端口 C建立VXLAN隧道(隧道2)，对于VTEP设备I来说，隧道2的源地址为1.1.1.1，目的地址为2.2.2.2,则对应于该VTEP设备2、该VTEP设备I上的安全端口为端口 C，并且为了避免需要该VTEP设备I上送至处理单元CPU处理的VXLAN报文的丢失，需将与该VTEP设备2对应的端口 C也确定为安全端口。
[0090]相应于上述方法实施例，本发明实施例还提供了一种报文处理装置，可以应用于可扩展虚拟局域网络VXLAN第一 VTEP设备，如图3所示，所述装置可以包括:报文接收模块301、判断模块302和发送模块303;
[0091 ]所述报文接收模块301:用于接收对端设备发送的VXLAN报文；
[0092]所述判断模块302:用于判断接收所述VXLAN报文的第一端口是否为安全端口，其中，所述安全端口为建立VXLAN隧道的端口 ；
[0093]所述发送模块303:用于当判断所述第一端口为安全端口时，将所述VXLAN报文发送至所述第一 VTEP设备的处理单元。
[0094]应用本发明实施例，第一VTEP设备接收对端设备发送的VXLAN报文；判断接收该VXLAN报文的第一端口是否为安全端口，其中，该安全端口为建立VXLAN隧道的端口 ；如果为，将该VXLAN报文发送至该第一 VTEP设备的处理单元。以对所接收到的VXLAN报文进行筛选处理，只将从安全端口所接收到的VXLAN报文发送至该第一VTEP设备的处理单元，以达到减轻处理单元(如:CPU)的报文处理负担的效果。
[0095]在一种具体实现方式中，如图4所示，基于301?303，本发明实施例所提供的一种报文处理装置还可以包括获取模块401;
[0096]所述获取模块401:用于在所述判断接收所述VXLAN报文的第一端口是否为安全端口之前，获取所述第一VTEP设备用于建立VXLAN隧道的隧道端口 ；
[0097]所述判断模块302具体用于:
[0098]判断所述隧道端口中是否存在所述第一端口；
[0099]若存在，确定所述第一端口为安全端口。
[0100]在一种具体实现方式中，本发明实施例所提供的获取模块401还用于获取所述隧道端口与所述对端设备的对应关系；
[0101]所述判断模块302还用于:
[0102]判断所述对应关系中是否存在所述第一端口与发送所述VXLAN报文的对端设备的对应关系，若存在，确定所述第一端口为安全端口。
[0103]在一种具体实现方式中，本发明实施例所提供的一种报文处理装置还可以包括丢弃模块；
[0104]所述丢弃模块:用于当判断所述第一端口不为安全端口时，丢弃所述VXLAN报文。
[0105]在一种具体实现方式中，本发明实施例所提供的一种报文处理装置还可以包括设置模块:
[0106]所述设置模块:用于针对安全端口，设置发送VXLAN报文至所述处理单元的发送速率阈值；
[0107]所述发送模块303具体用于:当所述安全端口接收VXLAN报文的速率超过所述发送速率阈值时，以所述发送速率阈值发送VXLAN报文至所述处理单元。
[0108]对于系统/装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0109]需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0110]本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于计算机可读取存储介质中，这里所称得的存储介质，如:R0M/RAM、磁碟、光盘等。
[0111]以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。
【主权项】
1.一种报文处理方法，其特征在于，应用于可扩展虚拟局域网络VXLAN的第一VTEP设备中，所述方法包括: 接收对端设备发送的VXLAN报文； 判断接收所述VXLAN报文的第一端口是否为安全端口，其中，所述安全端口为建立VXLAN隧道的端口； 如果为，将所述VXLAN报文发送至所述第一 VTEP设备的处理单元。2.根据权利要求1所述的方法，其特征在于，在所述判断接收所述VXLAN报文的第一端口是否为安全端口之前，所述方法还包括: 获取所述第一VTEP设备用于建立VXLAN隧道的隧道端口 ； 所述判断接收所述VXLAN报文的第一端口是否为安全端口，包括: 判断所述隧道端口中是否存在所述第一端口； 若存在，确定所述第一端口为安全端口。3.根据权利要求2所述的方法，其特征在于，还包括: 获取所述隧道端口与所述对端设备的对应关系； 所述判断接收所述VXLAN报文的第一端口是否为安全端口，还包括: 判断所述对应关系中是否存在所述第一端口与发送所述VXLAN报文的对端设备的对应关系，若存在，确定所述第一端口为安全端口。4.根据权利要求1-3任一项所述的方法，其特征在于，还包括: 当判断所述第一端口不为安全端口时，丢弃所述VXLAN报文。5.根据权利要求1-3任一项所述的方法，其特征在于，在将所述VXLAN报文发送至所述第一 VTEP设备的处理单元之前，所述方法还包括: 针对安全端口，设置发送VXLAN报文至所述处理单元的发送速率阈值； 所述将所述VXLAN报文发送至所述第一 VTEP设备的处理单元，包括: 当所述安全端口接收VXLAN报文的速率超过所述发送速率阈值时，以所述发送速率阈值发送VXLAN报文至所述处理单元。6.—种报文处理装置，其特征在于，应用于可扩展虚拟局域网络VXLAN的第一VTEP设备中，所述装置包括:报文接收模块、判断模块和发送模块； 所述报文接收模块:用于接收对端设备发送的VXLAN报文； 所述判断模块:用于判断接收所述VXLAN报文的第一端口是否为安全端口，其中，所述安全端口为建立VXLAN隧道的端口 ； 所述发送模块:用于当判断所述第一端口为安全端口时，将所述VXLAN报文发送至所述第一 VTEP设备的处理单元。7.根据权利要求6所述的装置，其特征在于，所述装置还包括获取模块； 所述获取模块:用于在所述判断接收所述VXLAN报文的第一端口是否为安全端口之前，获取所述第一VTEP设备用于建立VXLAN隧道的隧道端口 ； 所述判断模块具体用于: 判断所述隧道端口中是否存在所述第一端口； 若存在，确定所述第一端口为安全端口。8.根据权利要求7所述的装置，其特征在于，所述获取模块还用于获取所述隧道端口与所述对端设备的对应关系； 所述判断模块还用于: 判断所述对应关系中是否存在所述第一端口与发送所述VXLAN报文的对端设备的对应关系，若存在，确定所述第一端口为安全端口。9.根据权利要求6-8任一项所述的装置，其特征在于，所述装置还包括丢弃模块； 所述丢弃模块:用于当判断所述第一端口不为安全端口时，丢弃所述VXLAN报文。10.根据权利要求6-8任一项所述的装置，其特征在于，所述装置还包括设置模块: 所述设置模块:用于针对安全端口，设置发送VXLAN报文至所述处理单元的发送速率阈值； 所述发送模块具体用于:当所述安全端口接收VXLAN报文的速率超过所述发送速率阈值时，以所述发送速率阈值发送VXLAN报文至所述处理单元。
【文档编号】H04L12/935GK106067864SQ201610388021
【公开日】2016年11月2日
【申请日】2016年6月2日 公开号201610388021.4, CN 106067864 A, CN 106067864A, CN 201610388021, CN-A-106067864, CN106067864 A, CN106067864A, CN201610388021, CN201610388021.4
【发明人】黄李伟, 王伟
【申请人】杭州华三通信技术有限公司