专利名称:组播数据流的发送方法、装置和二层交换设备的制作方法
技术领域:
本发明涉及以太网组播技术领域,尤其涉及一种组播数据流的发送方法、装置和 二层交换设备。
背景技术:
现有技术中,因特网组管理协议(Internet Group Manage Protocol, IGMP)的主 要功能在于为主机终端和路由器之间提供必要的组成员关系维护机制。例如二层组播采用 的互联网组管理协议侦听技术建立在IGMP协议上,互联网组管理协议侦听在链路层运行, 当二层交换设备收到主机终端和路由器之间传递的IGMP报文时,互联网组管理协议侦听 分析其携带的信息,在二层交换设备上建立和维护硬件地址(Media Access Control,MAC) 组播地址表,在接收到路由器下发的组播数据流后,根据该MAC组播地址表转发,从而可以 防止组播数据流在二层交换设备中广播。主机终端可以通过IGMP消息加入组播组,并获取数据流,参见图1,其流程如下 主机终端1向二层交换设备发送IGMP报告报文申请加入组播组;二层交换设备接收到IGMP报告报文根据该IGMP报告报文建立MAC组播转发表;二层交换设备向路由器转发该IGMP报告报文,告知路由器有主机终端请求组播 组的数据流,并创建转发表项。路由器将接收到的数据流根据转发表项转发到二层交换设备中,二层交换设备再 根据MAC组播转发表,将数据流转发到主机终端1。因为主机终端2和主机终端3向二层交换设备发送IGMP报告报文请求组播数据, 所以二层交换设备不会向主机终端2和主机终端3转发数据流。主机终端也可以通过向二层交换设备发送IG MP离开报文,以实现离开组播组,第 一种情况,主机终端1和主机终端2同为组播组成员,主机终端1申请离开,参见图2,其流 程如下主机终端1向二层交换设备发送发送IGMP离开报文;二层交换设备将IGMP离开报文发送给组播路由器,以告知子网中的所有路由器, 主机终端1正在离开组播组;组播路由器收到IGMP离开报文后,向所有在组播组的主机终端特定组查询报文, 以确定当前子网中是否有主机终端,有哪几个需要数据流;主机终端2接收到特定组查询报文,反馈报告报文,告知子网中主机终端2为组播 组成员。路由器将数据流转发到二层交换设备,再由二层交换设备转发到主机终端2上。第一种情况,主机终端2为组播组的最后一个成员,主机终端2申请离开,参见图3,其流程如下主机终端2向二层交换设备发送发送IGMP离开报文;二层交换设备将IGMP离开报文发送给组播路由器,以告知子网中的所有路由器,主机终端2正在离开组播组;组播路由器收到IGMP离开报文后,向所有在组播组的主机终端特定组查询报文, 以确定当前子网中是否有主机终端,有哪几个需要数据流。此时子网中组播组已经没有组成员,因此没有主机终端对该特定组查询做出响 应,路由器删除组播组对应的转发表项,同时二层交换设备也删除组播组对应的MAC组播 转发表,因此数据流也不再转发。
在上述的主机终端加入之后,二层交换设备会生成MAC组播转发表,这个表项包 括收到IGMP报告报文的物理端口,该端口的VLAN(Virtual LocalArea Network,虚拟局域 网)ID和组播组的MAC地址,然后根据该MAC转发表进行数据流的转发。但是该MAC转发表 只包含数据流发出端口信息,没有数据流接入端口信息,对数据流的接入没有控制,无法保 证主机终端收到的数据流是正确的。例如,假如主机终端3为攻击者,主机终端3向二层交 换设备发送的一个错误数据流,二层交换设备接收该数据流后,同样根据转发表进行转发, 此时主机终端1会收到两份数据流,错误的数据流可能导致主机终端无法正常运行。
发明内容
本发明的主要目的在于提供一种组播数据流的发送方法、装置和二层交换设备, 防止主机终端接收错误的数据流,保证主机终端正常运行。本发明提出一种组播数据流的发送方法,其包括步骤判断接收到的数据流的数据源信息与预先设置的可信数据源信息是否匹配;在接收到的数据流的数据源信息与预先设置的可信数据源信息匹配时,向主机终 端转发数据流;或者,在接收到的数据流的数据源信息与预先设置的可信数据源信息不匹配时,则丢弃 数据流。优选地,在判断接收到的数据流的数据源信息与预先设置的可信数据源信息是否 匹配之前还包括获取接收到的数据流的数据源信息。优选地,所述可信数据源信息包括以下信息的一种或多种数据源IP地址信息、 数据源MAC地址信息、数据源端口信息、访问控制列表信息。本发明另提出一种组播数据流的发送装置,其包括检测模块,用于判断接收到的数据流的数据源信息与预先设置的可信数据源信息 是否匹配;发送模块,用于在接收到的数据流的数据源信息与预先设置的可信数据源信息匹 配时,向主机终端转发数据流;或者,在接收到的数据流的数据源信息与预先设置的可信数 据源信息不匹配时,丢弃数据流。优选地,还包括获取模块,用于获取接收到的数据流的数据源信息。优选地,所述可信数据源信息包括以下信息的一种或多种数据源IP地址信息、 数据源MAC地址信息、数据源端口信息、访问控制列表信息。本发明还提出一种二层交换设备,包括用于接收数据流的接收模块,其还包括组 播数据流的发送装置,所述组播数据流的发送装置又包括检测模块,用于判断接收到的数据流的数据源信息与预先设置的可信数据源信息是否匹配;发送模块,用于在接收到的数据流的数据源信息与预先设置的可信数据源信息匹 配时,向主机终端转发数据流;或者,在接收到的数据流的数据源信息与预先设置的可信数 据源信息不匹配时,丢弃数据流。优选地,还包括获取模块,用于获取接收到的数据流的数据源信息。优选地,所述可信数据源信息包括以下信息的一种或多种数据源IP地址信息、 数据源MAC地址信息、数据源端口信息、访问控制列表信息。本发明所提供的一种组播数据流的发送方法、装置和二层交换设备,通过对比接 收到的数据流的数据源信息与预先设置的可信数据源信息,判断二者是否匹配,匹配的数 据流则转发给主机终端,不匹配的数据流则丢弃,保证了主机终端用户获取正确的数据流, 实现业务的正常运行。
图1是现有技术中的主机终端加入组播组的结构示意图;图2是现有技术中的主机终端离开组播组的结构示意图;图3是现有技术中的主机终端离开组播组的另一结构示意图;图4是本发明的组播数据流的发送方法一实施例的流程图;图5是本发明的组播数据流的发送方法另一实施例的流程图;图6是本发明的组播数据流的发送装置一实施例的结构示意图;图7是本发明的组播数据流的发送装置另一实施例的结构示意图;图8是本发明的组播数据流的发送装置另一实施例的结构示意图;图9是本发明的二层交换设备一实施例的结构图;图10是本发明的二层交换设备另一实施例的结构图;图11是本发明的二层交换设备另一实施例的结构图;图12是本发明的组播数据流的发送实例的结构示意图。本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施例方式应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。参见图4,提出本发明的组播数据流的发送方法一实施例,其包括步骤101、判断接收到的数据流的数据源信息与预先设置的可信数据源信息是否匹配;在接收到的数据流的数据源信息与预先设置的可信数据源信息匹配时,转入步骤 102 ;或者,在接收到的数据流的数据源信息与预先设置的可信数据源信息不匹配时,则转 入步骤103 ;本步骤中的可信数据源信息包括以下信息的一种或多种数据源IP地址、数据源 MAC地址、数据源端口、访问控制列表。数据源端口为接入路由器发送过来的数据流的数据流接入端口,该数据流接入端 口可以编号的形式记录在可信数据源信息中。访问控制列表,记录有对接入数据流的二层交换设备中的每个端口是否禁止将接入的数据流转发进行配置的配置信息。例如,预先设置的可信数据源信息为一服务器的IP地址,接收到的数据流恰好是 由该服务器发送给路由器,然后通过路由器根据转发表项转发的,此时表示接收的数据流 是正确的,即接收到的数据流的数据源信息与预先设置的可信数据源信息相匹配,则转入 步骤102。若接收到的数据流是由其他主机终端发送来的,这种数据流一般是错误或破坏性 的,该其他主机终端的IP地址与服务器的IP地址不同,即接收到的数据流的数据源信息与 预先设置的可信数据源信息不相匹配,则转入步骤102。步骤102、向主机终端转发数据流;
本步骤根据MAC转发表中的信息向主机终端转发数据流。步骤103、丢弃数据流。本步骤在接入该数据流的接入端口直接丢弃该数据流,防止主机终端接收到错误 的数据流。进一步地,参见图5,提出本发明的组播数据流的发送方法另一实施例,在上述实 施例的步骤101之前还包括步骤104、获取接收到的数据流的数据源信息。本步骤为上述实施例的步骤101做准备。本实施例,通过对比接收到的数据流的数据源信息与预先设置的可信数据源信 息,判断二者是否匹配,匹配的数据流则转发给主机终端,不匹配的数据流则丢弃,保证了 主机终端用户获取正确的数据流,实现业务的正常运行。参见图6,提出本发明的组播数据流的发送装置10 —实施例,其包括检测模块 11、发送模块12 ;其中,检测模块11,用于判断接收到的数据流的数据源信息与预先设置的 可信数据源信息是否匹配;发送模块12,可用于在接收到的数据流的数据源信息与预先设 置的可信数据源信息匹配时,向主机终端转发数据流。例如,预先设置的可信数据源信息为 一服务器的IP地址,接收到的数据流恰好是由该服务器发送给路由器数据流,然后通过路 由器根据转发表项转发的。此时表示接收的数据流是正确的。发送模块12,还可用于在接 收到的数据流的数据源信息与预先设置的可信数据源信息不匹配时,丢弃数据流,防止主 机终端接收到错误的数据流。例如,如上所述预先设置的可信数据源信息为一服务器的IP 地址,但接收到的数据流是由其他主机终端发送来的,该其他主机终端的IP地址与服务器 的IP地址不相匹配,这种数据流一般是错误的数据流或破坏性的数据流,可能造成接收该 数据流的主机终端无法正常运行,因此必须丢弃,在接入该数据流的接入端口直接丢弃。可信数据源信息包括以下信息的一种或多种数据源IP地址信息、数据源MAC地 址信息、数据源端口信息、访问控制列表信息。数据源端口为接入路由器发送过来的数据流的数据流接入端口,该数据流接入端 口可以编号的形式记录在可信数据源信息中。访问控制列表,记录有对接入数据流的二层交换设备中的每个端口是否禁止将接 入的数据流转发进行配置的配置信息。
进一步地,参见图7,上述组播数据流的发送装置10还包括获取模块13,该获取 模块13,用于获取接收到的数据流的数据源信息。为检测模块11判断数据流的数据源信息与预先设置的可信数据源信息是否匹配做准备。
进一步地,参见图8,上述组播数据流的发送装置10还包括存储模块14,该存储 模块14,用于存储预先设置的可信数据源信息。本实施例,通过对比接收到的数据流的数据源信息与预先设置的可信数据源信 息,判断二者是否匹配,匹配的数据流则转发给主机终端,不匹配的数据流则丢弃,保证了 主机终端用户获取正确的数据流,实现业务的正常运行。参见图9,提出本发明的二层交换设备,包括用于接收数据流的接收模块41和组 播数据流的发送装置10。组播数据流的发送装置10又包括检测模块11和发送模块12, 其中,检测模块11,用于判断接收到的数据流的数据源信息与预先设置的可信数据源信息 是否匹配。例如,预先设置的可信数据源信息为一服务器的IP地址,接收到的数据流恰好 是由该服务器发送给路由器数据流,然后通过路由器根据转发表项转发的。此时表示接收 的数据流是正确的。发送模块12,用于在接收到的数据流的数据源信息与预先设置的可信 数据源信息匹配时,转发数据流;或者,在接收到的数据流的数据源信息与预先设置的可信 数据源信息不匹配时,丢弃数据流,防止主机终端接收到错误的数据流。例如,如上所述预 先设置的可信数据源信息为一服务器的IP地址,但接收到的数据流是由其他主机终端发 送来的,该其他主机终端的IP地址与服务器的IP地址不相匹配,这种数据流一般是错误的 数据流或破坏性的数据流,可能造成接收该数据流的主机终端无法正常运行,因此必须丢 弃,在接入该数据流的接入端口直接丢弃。可信数据源信息包括以下信息的一种或多种数据源IP地址信息、数据源MAC地 址信息、数据源端口信息、访问控制列表信息。数据源端口为接入路由器发送过来的数据流的数据流接入端口,该数据流接入端 口可以编号的形式记录在可信数据源信息中。访问控制列表,记录有对接入数据流的二层交换设备中的每个端口是否禁止将接 入的数据流转发进行配置的配置信息。进一步地,参见图10,上述二层交换设备还包括获取模块13 ;该获取模块13,用 于获取接收到的数据流的数据源信息。为检测模块11判断数据流的数据源信息与预先设 置的可信数据源信息是否匹配做准备。进一步地,参见图11,上述二层交换设备还包括存储模块14,该存储模块14,用 于存储预先设置的可信数据源信息。本实施例,通过对比接收到的数据流的数据源信息与预先设置的可信数据源信 息,判断二者是否匹配,匹配的数据流则转发给主机终端,不匹配的数据流则丢弃,保证了 主机终端用户获取正确的数据流,实现业务的正常运行。可将上述二层交换设备应用于以太网组播系统,以下以在以太网系统中进行组播 数据流发送为例,进行详细的描述。参见图12,上述组播数据流的发送装置10可以设置 在以太网系统中的二层交换设备40中。另外,提供正确数据流的服务器20的IP地址为 1. 1. 1. 1,MAC地址为0000:00:OA:OB:0C,该服务器20将数据流发送给路由器30。二层交换设备40中的接收模块41接收到数据流之前,在组播数据流的发送装置 10的存储模块14中预先设置可信数据源信息,该可信数据源信息包括以下信息的一种或 多种服务器20的IP地址、服务器20的MAC地址,接入数据流的端口信息,访问控制列表信息。组播数据流的发送过程如下主机终端50向二层交换设备40发送申请数据流的报告报文,二层交换设备40收 到报告报文后,根据报告报文创建MAC转发表,并向路由器30转发收到的报告报文;路由器30收到报告报文后,创建转发表页,然后将服务器20发来的数据流根据转 发表页向二层交换设备40转发;二层交换设备40中的接收模块41收到数据流后,由组播数据流的发送装置10内 的获取模块13获取该接收到的数据流的数据源信息;检测模块11将该收到的数据流的数据源信息与存储模块14中预先设置的可信数 据源信息进步比对,判断二者是否匹配;当二者相匹配,则发送模块12根据MAC转发表向主机终端50转发数据流;当二者不相匹配,则发送模块12将该数据流从接收该数据流的端口丢弃。通过上述方法可以有效地防止主机终端接收错误的数据流,导致业务无法正常运 行的情况的发生。应当理解的是,以上仅为本发明的优选实施例,不能因此限制本发明的专利范围, 凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在 其他相关的技术领域,均同理包括在本发明的专利保护范围内。
权利要求
一种组播数据流的发送方法,其特征在于,包括步骤判断接收到的数据流的数据源信息与预先设置的可信数据源信息是否匹配;在接收到的数据流的数据源信息与预先设置的可信数据源信息匹配时,向主机终端转发数据流;或者,在接收到的数据流的数据源信息与预先设置的可信数据源信息不匹配时,则丢弃数据流。
2.根据权利要求1所述的组播数据流的发送方法,其特征在于,在判断接收到的数据 流的数据源信息与预先设置的可信数据源信息是否匹配之前还包括获取接收到的数据流的数据源信息。
3.根据权利要求1或2所述的组播数据流的发送方法,其特征在于,所述可信数据源 信息包括以下信息的一种或多种数据源IP地址信息、数据源MAC地址信息、数据源端口信 息、访问控制列表信息。
4.一种组播数据流的发送装置,其特征在于,包括检测模块,用于判断接收到的数据流的数据源信息与预先设置的可信数据源信息是否 匹配;发送模块,用于在接收到的数据流的数据源信息与预先设置的可信数据源信息匹配 时,向主机终端转发数据流;或者,在接收到的数据流的数据源信息与预先设置的可信数据 源信息不匹配时,丢弃数据流。
5.根据权利要求4所述的组播数据流的发送装置,其特征在于,还包括获取模块,用于获取接收到的数据流的数据源信息。
6.根据权利要求4或5所述的组播数据流的发送装置,其特征在于,所述可信数据源 信息包括以下信息的一种或多种数据源IP地址信息、数据源MAC地址信息、数据源端口信 息、访问控制列表信息。
7.—种二层交换设备,包括用于接收数据流的接收模块,其特征在于,还包括组播数据 流的发送装置,所述组播数据流的发送装置又包括检测模块,用于判断接收到的数据流的 数据源信息与预先设置的可信数据源信息是否匹配;发送模块,用于在接收到的数据流的数据源信息与预先设置的可信数据源信息匹配 时,向主机终端转发数据流;或者,在接收到的数据流的数据源信息与预先设置的可信数据 源信息不匹配时,丢弃数据流。
8.根据权利要求7所述的二层交换设备,其特征在于,还包括获取模块,用于获取接收到的数据流的数据源信息。
9.根据权利要求7或8所述的二层交换设备,其特征在于,所述可信数据源信息包括以 下信息的一种或多种数据源IP地址信息、数据源MAC地址信息、数据源端口信息、访问控 制列表信息。
全文摘要
本发明公开了组播数据流的发送方法、装置和二层交换设备,该组播数据流的发送方法包括判断接收到的数据流的数据源信息与预先设置的可信数据源信息是否匹配;在接收到的数据流的数据源信息与预先设置的可信数据源信息匹配时,向主机终端转发数据流;或者,在接收到的数据流的数据源信息与预先设置的可信数据源信息不匹配时,则丢弃数据流。本发明所提供的组播数据流的发送方法、装置和二层交换设备,通过对比接收到的数据流的数据源信息与预先设置的可信数据源信息,判断二者是否匹配,匹配的数据流则转发给主机终端,不匹配的数据流则丢弃,保证了主机终端用户获取正确的数据流,实现业务的正常运行。
文档编号H04L12/56GK101827037SQ201010178708
公开日2010年9月8日 申请日期2010年5月20日 优先权日2010年5月20日
发明者张香让 申请人:中兴通讯股份有限公司