应用安全策略的数据包转发方法

专利名称：应用安全策略的数据包转发方法
技术领域：
本发明涉及网络安全，更具体地，涉及一种应用安全策略的凄t 才居包4争发方法。
背景技术：
现有的二三层以太网交换机、路由器或者具有二三层交换功能 的防火墙中不支持同时在二层端口之间和三层接口之间设置安全策 略，这不能满足二三层混和应用中的网络的安全需求。防火墙设备 虽然支持安全策略，但其安全策略不是用在三层接口之间(这被称为 路由模式)，就是用在二层接口之间(这被称为透明模式)，而不能同时 用在二层接口和三层接口之上。
图1是现有技术中的安全策略解决方案的示意图。
如图1所示，同一 VLAN下为二层交换，跨VLAN的为三层 转发。该技术的缺点是无安全解决方案。
另外，在现有的防火墙中可在三层接口之间设置安全策略或者 在二层端口上设置安全策略，但不能同时在三层接口之间和二层接 口之间设置安全策略，从而不能支持二三层混合应用下的安全需求。

发明内容
本发明所要解决的技术问题是在二三层混合应用情况下的安全
应用，二层端口和三层接口之间都可以设置安全策略；虚拟局域网 标签(VLANtag)的重标签，不同VLANtag的子接口可以在同一 个二层转发域；以及细粒度的安全策略设置，接口的子接口之间可 设置安全策略。
为了解决上述问题，本发明提出了 一种应用安全策略的数据包 转发方法，该方法包括以下步骤步骤一，配置用于转发数据包的 多个关系表；步骤二，根据待转发数据包中的地址信息和虚拟交换 机的地址信息，确定待转发数据包的转发模式；以及步骤三，根据 多个关系表和待转发数据包中的地址信息，确定待转发数据包的出 接口 ，并且依据待转发数据包的入接口至待转发数据包的出接口的 安全策略，用所确定的转发模式对待转发数据包进行转发或丢弃。
根据本发明的方法，多个关系表包括一个或多个虚拟交换机转 发表、路由器的路由表、虚拟交换机和虚拟端口号之间的映射关系 表、以及虚拟端口号表，其中， 一个或多个虚拟交换4几转发表分别 与 一个或多个虚拟交摘^几相对应。
其中，转发^t式包括二层转发和三层转发。
一个或多个虚拟交换机转发表包括虚拟端口号与待转发数据包 的目的MAC地址之间的对应关系。
路由器的路由表包括待转发数据包的目的IP地址与待转发数 据包的出接口之间的对应关系。
虚拟端口号表由虚拟局域网子接口号和待转发数据包的物理端 口号确定，其中，物理端口号包4舌源物理端口号和目的物理端口号。此外，安全策略包括允许转发和不允许转发。
步骤二包括根据待转发数据包的虚拟局域网子接口号和待转 发数据包的源物理端口号，确定待转发数据包的入接口的虚拟端口 号；根据虚拟交换机与虚拟端口号之间的映射关系表和所确定的待 转发数据包的入接口的虚拟端口号来确定进行转发的虚拟交换才几； 以及判断待转发数据包的目的MAC地址与所确定的虛拟交换机的 MAC地址是否相同，如果相同，则进行三层转发，否则，进行二层 转发。
其中，二层转发包括以下步骤4艮据与所确定的虚拟交换才几相 对应的虚拟交换机转发表，由待转发数据包的目的MAC地址确定 待转发数据包的出接口的虚拟端口号；以及判断所确定的待转发数 据包的入接口的虚拟端口号和所确定的待转发数据包的出接口的虚 拟端口号之间的安全策略，如果不允许转发，则丟弃待转发数据包， 否则，4艮据虚拟端口号表，查找与所确定的4寺转发凄t据包的出4妄口 的虚拟端口号相对应的待转发lt据包的目的物理端口号和虚拟局域 网子接口号，将查找到的虚拟局域网子接口号封装到待转发数据包 中，并将封装后的待转发数据包从待转发数据包的目的物理端口发 送出去。
三层转发包括以下步骤根据路由器的路由表，由待转发数据 包的目的IP地址确定4寺转发数据包的出4妄口 ；以及判断4寺转发凄t据 包的入接口和所确定的待转发数据包的出接口之间的安全策略，如 果不允许转发，则丟弃待转发数据包，否则，将待转发数据包从待 转发数据包的出接口发送出去。
因此，采用本发明的方法只需要一台设备就可以解决二三层混 合应用下的安全需求，大大地降低了建网成本和网络管理成本。本发明的其它特4正和优点将在随后的il明书中阐述，并且，部 分地从说明书中变得显而易见，或者通过实施本发明而了解。本发 明的目的和其4也优点可通过在所写的i兌明书、4又利要求书、以及附 图中所特别指出的结构来实现和获得。


附图用来提供对本发明的进一步理解，并且构成说明书的一部 分，与本发明的实施例一起用于解释本发明，并不构成对本发明的 限制。在附图中
图l是现有技术中的安全策略解决方案的示意图； 图2是根据本发明的方法的流程图； 图3是根据本发明方法的第一实施例的示意图；以及 图4是4艮据本发明方法的第二实施例的示意图。
具体实施例方式
以下结合附图对本发明的优选实施例进行说明，应当理解，此 处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本 发明。
如图2所示，该方法包括以下步骤
S202,配置用于转发数据包的多个关系表；
S204,根据待转发数据包中的地址信息和虚拟交换机的地址信 息，确定待转发数据包的转发模式；以及S206,根据多个关系表和待转发数据包中的地址信息，确定待 转发数据包的出接口 ，并且依据待转发数据包的入接口至待转发数 据包的出接口的安全策略，用所确定的转发模式对待转发数据包进 行转发或丟弃。 '
才艮据本发明的方法，多个关系表包括一个或多个虚拟交换才几转 发表、路由器的路由表、虚拟交换机和虛拟端口号之间的映射关系 表、以及虚拟端口号表，其中， 一个或多个虚拟交换机转发表分别
与 一个或多个虚4以交换:冲几相^"应。
其中，转发模式包括二层转发和三层转发。
一个或多个虚拟交换4几转发表包括虚拟端口号与待转发数据包
的目的MAC地址之间的对应关系。
路由器的路由表包括待转发数据包的目的IP地址与待转发数 据包的出接口之间的对应关系。
虚拟端口号表由虚拟局域网子接口号和待转发数据包的物理端 口号确定，其中，物理端口号包^^源物理端口号和目的物理端口号。
此外，安全策略包括允许转发和不允许转发。
S204包括才艮据待转发数据包的虚拟局域网子接口号和待转发 数据包的源物理端口号，确定待转发数据包的入接口的虚拟端口号； 根据虚拟交换机与虚拟端口号之间的映射关系表和所确定的待转发 数据包的入接口的虚拟端口号来确定进行转发的虚拟交换机；以及 判断待转发数据包的目的MAC地址与所确定的虚拟交换机的MAC 地址是否相同，如果相同，则进行三层转发，否则，进行二层转发。其中，二层转发包括以下步骤根据与所确定的虚拟交换机相对应的虚拟交换机转发表，由待转发数据包的目的MAC地址确定待转发数据包的出接口的虛拟端口号；以及判断所确定的待转发数据包的入接口的虚拟端口号和所确定的待转发数据包的出接口的虚拟端口号之间的安全策略，如果不允许转发，则丟弃待转发数据包，否则，根据虚拟端口号表，查找与所确定的待转发数据包的出接口的虚拟端口号相对应的待转发数据包的目的物理端口号和虚拟局域网子接口号，将查找到的虚拟局域网子接口号封装到待转发数据包中，并将封装后的待转发数据包从待转发数据包的目的物理端口发送出去。
三层转发包括以下步骤根据路由器的路由表，由待转发数据包的目的IP地址确定待转发数据包的出接口 ；以及判断待转发数据包的入接口和所确定的待转发数据包的出接口之间的安全策略，如果不允许转发，则丟弃待转发数据包，否则，将待转发数据包从待转发数据包的出接口发送出去。
*接下来描述本发明的第 一 实施例。
首先需要引入虚拟交换机(VSWITCH)和虚拟端口(VPORT，Virtual Port)的概念。设备可以创建多个VSWITCH, —个VSWITCH是一个二层4争发i或。VSWITCH中的成员是VPORT。 一个物理4妾口及其虚拟局i或网(VLAN )子4妾口可以作为VPORT加入VSWITCH中。例如，可以将物理接口 Ethernet0/0的VLAN子接口 ethernet0/0.2加入到VSWITCH中。从VSWITCH看来，ethernet0/0.2是它的一个端口 。 一个VSWITCH对应一个三层接口 ， VSWITCH接口之间为路由转发。在VSWITCH下的VPORT之间设置安全策略。在三层接口之间也设置安全策略，即VSWITCH接口之间及VSWITCH接口和其他三层4妄口之间i更置安全策略。图3是根据本发明方法的第一实施例的示意图。
如图3所示，VSWITCH1下各端口之间的转发为二层转发，VSWITCH 4妾口之间为三层转发。二层转发通过查找VSWTICH下的转发表得到出端口，三层转发通过查找路由表得到出接口。每个VSWITCH有独立的转发表，该表是通过MAC学习建立起来的，在数据转发时，通过查找目的MAC地址决定出端口，转发表的表项包含VPORT和MAC地址。
其中，数据包的处理流程如下
步骤一，接收数据包；
步骤二，根据数据包的VLANTag值和数据包的源物理端口得到入VPORT号；
步骤三，才艮据VPORT号决定该凄t据包应该在哪一个VSWITCH中转发；
步骤四，如果数据包的目的MAC地址与VSWITCH接口的地址相同，则进行三层转发，否则进行如下的二层转发；
步骤五，在相应VSWITCH的转发表中查找凄t悟包的目的MACi也址4寻到出VPORT;
步骤六，检查入VPORT到出VPORT的安全策略，如果不允许则丢弃，否则进^f于下一步；
步骤七，从VPORT得到物理端口和VLAN tag ^f直；以及
步骤八，用新的VLANtag值封装数据包并从物理端口发出。三层转发包括以下步骤
步骤一，数据包的入接口为VSWITCH接口 ，查找路由表确定出4妄口；以及
步骤二，检查从入接口到出接口的安全策略，如果不允许则丢弃，否则，从出接口转发出去。
接下来描述本发明的第二实施例。
某公司需要增加一防火墙对网络进行保护，有如下需求
(l)研发部、市场部、财务部共享一个IP地址^殳10.1.0.1/16,并用同 一个DHCP服务器(SERVER)分配IP地址；
(2 )研发部的网络用VLAN ID 1接入防火墙；
(3 )市场部和财务部以VLAN ID 2 4妄入防火》啬；
(4)各部门之间需要设置安全策略限制；
(5 )各部门和DHCP SERVER之间需要设置安全策略限制；
(6) 网络中有MAIL SERVER,并需要保护；以及
(7) 公司内外网络之间需要设置安全策略。
图4是才艮据本发明方法的第二实施例的示意图。如图4所示，其安全策略配置如下研发部与市场部之间乂人《壬意至^f壬意FTP允i午(from any to any FTP permit)乂人4壬意至4壬意;t財巨纟色(from any to any any deny )研发部与财务部之间
乂人4壬意至4壬意老卩才巨纟色(from any to any any deny )财务部与市场部之间
,人4壬意至4壬意者財巨纟色(from any to any any deny )各部门到DHCP SERVER之间
乂人4壬意至4壬意DHCP都允i午(from any to any DHCP permit)
乂人4壬意至4壬意啫卩才巨纟色(from any to any any deny )
MAIL SERVER与VSWITCH接口之间
从任意至任意POP3都允许(from any to any POP3 permit)
,人4壬意至4壬意啫財巨纟色(from any to any any deny )
MAIL SERVER与外部接口 eth0/4之间
乂人任意至4壬意SMTP都允许(from any to any SMTP permit)
/人4壬意至4壬意老財巨纟色(from any to any any deny )
综上所述，采用本发明的方法只需要一 台设备就可以解决二三层混合应用下的安全需求，大大地降低了建网成本和网络管理成本。以上仅为本发明的优选实施例而已，并不用于限制本发明，对 于本领域的4支术人员来i兌，本发明可以有各种更改和变化。凡在本 发明的精神和原则之内，所作的任何修改、等同替换、改进等，均 应包含在本发明的保护范围之内。
权利要求
1.一种应用安全策略的数据包转发方法，其特征在于，所述方法包括以下步骤步骤一，配置用于转发数据包的多个关系表；步骤二，根据待转发数据包中的地址信息和虚拟交换机的地址信息，确定所述待转发数据包的转发模式；以及步骤三，根据所述多个关系表和所述待转发数据包中的地址信息，确定所述待转发数据包的出接口，并且依据所述待转发数据包的入接口至所述待转发数据包的出接口的安全策略，用所确定的转发模式对所述待转发数据包进行转发或丢弃。
2. 根据权利要求1所述的方法，其特征在于，所述多个关系表包 括一个或多个虚拟交换机转发表、路由器的路由表、虚拟交换 机和虚拟端口号之间的映射关系表、以及虚拟端口号表，其中， 所述一个或多个虚拟交换才几转发表分别与 一个或多个虛拟交 换机相对应。
3. 根据权利要求2所述的方法，其特征在于，所述转发模式包括 二层转发和三层转发。
4. 根据权利要求3所述的方法，其特征在于，所述一个或多个虚 拟交换机转发表包括所述虚拟端口号与所述待转发数据包的 目的MAC ;也址之间的7于应关系。
5. 根据权利要求4所述的方法，其特征在于，所述路由器的路由 表包括所述待转发数据包的目的IP地址与所述待转发数据包 的出4妄口之间的3十应关系。
6. 根据权利要求5所述的方法，其特征在于，所述虚拟端口号表 由虚拟局域网子4妾口号和所述4寺转发凄t据包的物理端口号确 定，其中，所述物理端口号包括源物理端口号和目的物理端口 号。
7. 根据权利要求6所述的方法，其特征在于，所述安全策略包括 允许转发和不允许转发。
8. 根据权利要求7所述的方法，其特征在于，所述步骤二包括转发数据包的源物理端口号，确定所述待转发数据包的入接口 的虛拟端口号；根据所述虚拟交换机与虚拟端口号之间的映射关系表和 所确定的待转发数据包的入接口的虚拟端口号来确定进行转 发的虚拟交换才几；以及判断所述;f寺转发lt据包的目的MAC地址与所确定的虚拟 交换才几的MAC地址是否相同，如果相同，则进行所述三层转 发，否则，进行所述二层转发。
9. 4艮据权利要求8所述的方法，其特征在于，所述二层转发包括 以下步艰《根据与所确定的虚拟交换机相对应的所述虚拟交换机转 发表，由所述待转发数据包的目的MAC地址确定所述待转发 凄史才居包的出4妻口的虚拟端口号；以及判断所确定的待转发数据包的入接口的虚拟端口号和所 确定的待转发数据包的出接口的虚拟端口号之间的安全策略， 如果不允许转发，则丢弃所述待转发数据包，否则，根据所述 虛拟端口号表，查找与所确定的待转发数据包的出接口的虚拟 端口号相对应的所述待转发数据包的目的物理端口号和虚拟局域网子接口号，将查找到的虚拟局域网子接口号封装到所述 待转发数据包中，并将封装后的待转发数据包从所述待转发数 据包的目的物理端口发送出去。
10. 根据权利要求8所述的方法，其特征在于，所述三层转发包括 以下步-骤根据所述路由器的路由表，由所述待转发数据包的目的IP 地址确定所述待转发数据包的出接口 ；以及判断所述待转发数据包的入接口和所确定的待转发数据 包的出接口之间的安全策略，如果不允许转发，则丢弃所述待 转发数据包，否则，将所述待转发数据包从所述待转发数据包 的出接口发送出去。
全文摘要
本发明提供了一种应用安全策略的数据包转发方法，该方法包括以下步骤步骤一，配置用于转发数据包的多个关系表；步骤二，根据待转发数据包中的地址信息和虚拟交换机的地址信息，确定待转发数据包的转发模式；以及步骤三，根据多个关系表和待转发数据包中的地址信息，确定待转发数据包的出接口，并且依据待转发数据包的入接口至待转发数据包的出接口的安全策略，用所确定的转发模式对待转发数据包进行转发或丢弃。因此，采用本发明的方法只需要一台设备就可以解决二三层混合应用下的安全需求，大大地降低了建网成本和网络管理成本。
文档编号H04L29/06GK101635702SQ20081011695
公开日2010年1月27日 申请日期2008年7月21日 优先权日2008年7月21日
发明者刘向明, 杨启军, 钟 王 申请人:山石网科通信技术(北京)有限公司