本发明涉及网络通信
技术领域:
,尤其涉及一种报文处理方法及装置。
背景技术:
:现有的一些网络设备是基于MAC(MediaAccessControl,媒体访问控制)转发表实现报文的转发的。这些网络设备在接收到设备发送的报文后,可在MAC转发表中查找与报文所携带的目的MAC地址相匹配的MAC转发表项,当存在与目的MAC地址匹配的MAC转发表项时,根据查找到的MAC转发表项对报文进行转发;当不存在与目的MAC地址匹配的MAC转发表项时,对报文进行广播。即无论是否存在与目的MAC地址匹配的MAC转发表项,网络设备都会对接收到的报文执行放通处理。但是,由于网络中可能存在攻击设备,即网络设备所放通的报文很可能为攻击设备发送的攻击报文,故现有基于MAC转发表实现报文转发的网络设备,其所在的网络承受着网络攻击的风险,网络安全性较低。技术实现要素:有鉴于此,本发明提供一种报文处理方法及装置,以解决网络设备所在的网络承受网络攻击风险,网络安全性较低的问题。根据本发明实施例的第一方面,提供一种报文处理方法,所述方法应用于网络设备,所述方法包括:接收报文,确定所述报文的报文类型;若确定出的报文类型为ARP类型,则收集源设备与目的设备之间交互的ARP报文;根据收集到的ARP报文生成ACL表项,所述ACL表项用于记录MAC地址与转发信息的对应关系;若确定出的报文类型为数据类型,则查询本地是否存在与所述报文匹配的ACL表项;若存在,则通过该ACL表项中的转发信息对所述报文进行转发;若不存在,则将所述报文丢弃。根据本发明实施例的第二方面,提供一种报文处理装置,所述装置应用于网络设备,所述装置包括:确定单元,用于接收报文,确定所述报文的报文类型;收集单元,用于当所述确定单元确定出的报文类型为ARP类型时,收集源设备与目的设备之间交互的ARP报文;生成单元,用于根据收集到的ARP报文生成ACL表项,所述ACL表项用于记录MAC地址与转发信息的对应关系;查询单元,用于当所述确定单元确定出的报文类型为数据类型时,查询本地是否存在与所述报文匹配的ACL表项;转发单元,用于当所述查询单元查询到与所述报文匹配的ACL表项时,通过该ACL表项中的转发信息对所述报文进行转发;丢弃单元,用于当所述查询单元未查询到与所述报文匹配的ACL表项时,将所述报文丢弃。本发明实施例中,网络设备根据ARP类型报文生成包括MAC地址与转发信息的ACL表项,并通过生成的ACL表项,对数据类型报文实施转发控制。应用本发明实施例,当查询到与接收到的数据类型报文匹配的ACL表项时,网络设备可通过该ACL表项中的转发信息对该接收到的数据类型报文进行转发,否则,将接收到的数据类型报文丢弃。由此可见,本发明实施例实现了数据类型报文的转发控制,有效减小了攻击报文可以通过网络设备的几率,降低了网络设备所在网络承受网络攻击的风险,提高了网络安全性。附图说明图1是本发明一种报文处理方法的场景示意图;图2是本发明一种报文处理方法的一个实施例流程图;图3是本发明一种报文处理装置结构图;图4是收集单元的第一种结构图;图5是收集单元的第二种结构图;图6是收集单元的第三种结构图;图7是收集单元的第四种结构图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解,尽管在本发明可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。参见图1,图1是本发明一种报文处理方法的场景示意图。本场景图可以包括网络设备、源设备以及目的设备,其中,源设备和目的设备分别与网络设备建立有网络连接。网络设备可以为交换机、路由器等;源设备和目的设备可以为用户设备、服务器、网关等。现有技术中,网络设备一般基于MAC转发表实现报文的转发,在接收到设备发送的报文后,网络设备可在MAC转发表中查找与报文所携带的目的MAC地址相匹配的MAC转发表项,当存在与目的MAC地址匹配的MAC转发表项时,根据查找到的MAC转发表项对报文进行转发;当不存在与目的MAC地址匹配的MAC转发表项时,对报文进行广播。即无论是否存在与目的MAC地址匹配的MAC转发表项,网络设备都会对接收到的报文执行放通处理。但是,由于网络中可能存在攻击设备,即网络设备所放通的报文很可能为攻击设备发送的攻击报文,故现有基于MAC转发表实现报文转发的网络设备,其所在的网络承受着网络攻击的风险,网络安全性较低。针对上述问题,本发明提供一种报文处理方法及装置,以解决网络设备所在的网络承受网络攻击风险,网络安全性较低的问题。为了使本
技术领域:
的人员更好地理解本发明实施例中的技术方案,并使本发明实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明实施例中技术方案作进一步详细的说明。参见图2,图2是本发明一种报文处理方法的一个实施例流程图,该流程图可以包括以下步骤:步骤201:接收报文,确定报文的报文类型,若确定出的报文类型为ARP类型,执行步骤202;否则执行步骤203。本实施例应用于网络设备。为便于说明,将发送上述报文的设备描述为源设备,将该报文中目的地址所对应的设备描述为目的设备。本实施例中,网络设备可以确定所接收的报文的报文类型,比如,根据报文中的协议字段确定报文的报文类型,其中,协议字段中所填写的协议类型可以为ARP(AddressResolutionProtocol,地址解析协议)、IP(InternetProtocol,网络互连协议)等协议类型,比如当设备A需要与设备B进行通信,但仅知道设备B的IP地址时,设备A可以通过向自身所在网络中的所有设备发送ARP请求报文的方式,获知该网络中设备B的MAC地址,则在上述过程中,上述ARP请求报文中协议字段中填写的协议类型即为ARP类型。由于对所接收的报文的报文类型进行确定,不在本发明要求保护的范围之内,故不详述。步骤202:收集源设备与目的设备之间交互的ARP报文,根据收集到的ARP报文生成ACL表项,该ACL表项用于记录MAC地址与转发信息的对应关系。本步骤中,源设备为发送或者接收ARP报文的设备,目的设备为接收或者发送ARP报文的设备,具体的,若收集到源设备发送的ARP请求报文,则目的设备即为该ARP请求报文中目的IP地址字段中填写的IP地址所对应的设备。在第一个实施例中,在收集到上述源设备发送的ARP请求报文后,网络设备可以根据该ARP请求报文,确定该源设备的MAC地址、该ARP请求报文的第一入接口以及该第一入接口关联的VLAN(VirtualLocalAreaNetwork,虚拟局域网),并生成第一ACL(AccessControlList,访问控制列表)表项,第一ACL表项的目的MAC地址为所确定的源设备的MAC地址、转发信息为所确定的第一入接口以及该第一入接口关联的VLAN;而在收集到上述目的设备返回的针对上述ARP请求报文的ARP响应报文后,网络设备可以根据该ARP响应报文确定该目的设备的MAC地址、该ARP响应报文的第二入接口以及该第二入接口关联的VLAN,并生成第二ACL表项,第二ACL表项的目的MAC地址为所确定的目的设备的MAC地址、转发信息为所确定的第二入接口以及该第二入接口关联的VLAN。在第二个实施例中,网络设备可在接收到源设备与目的设备之间交互的ARP请求报文和ARP响应报文后,生成ACL表项。具体地,在收集到上述源设备发送的ARP请求报文后,网络设备可确定该ARP请求报文的第三入接口以及该第三入接口关联的VLAN,并对所确定的第三入接口以及该第三入接口关联的VLAN进行保存;在收集到上述目的设备返回的针对该ARP请求报文的ARP响应报文后,网络设备可确定该ARP响应报文的源MAC地址、目的MAC地址、第四入接口以及该第四入接口关联的VLAN;并在此之后,生成第三ACL表项和第四ACL表项,其中,第三ACL表项的源MAC地址为上述ARP响应报文的源MAC地址、目的MAC地址为上述ARP响应报文的目的MAC地址、转发信息为所保存的第三入接口以及该第三入接口关联的VLAN,第四ACL表项的源MAC地址为上述ARP响应报文的目的MAC地址、目的MAC地址为上述ARP响应报文的源MAC地址、转发信息为所确定的第四入接口以及该第四入接口关联的VLAN。本领域技术人员可以理解的是,针对一组对应的ARP请求报文和ARP响应报文,ARP请求报文中的源MAC地址即为ARP响应报文中的目的MAC地址,即网络设备可以通过预先保存ARP请求报文中的源MAC地址来确定与该ARP请求报文对应的ARP响应报文。在上述第二个实施例中,网络设备也可以通过确定ARP请求报文中的源MAC地址、该ARP请求报文的第三入接口以及该第三入接口关联的VLAN、以及与该ARP请求报文对应的ARP响应报文中的源MAC地址,生成上述第三ACL表项;与之对应的,上述第四ACL表项的生成方法与上述第三ACL表项的生成方法近似,在此不再赘述。优选地,在上述第一个实施例或第二个实施例中,当网络设备收集到上述源设备发送的ARP请求报文时,可将该源设备的MAC地址对应的ARP请求报文数量统计值加1,并获取该统计值的最新值,此时,网络设备可判断该最新值是否大于一预设阈值,若是,则将该ARP请求报文丢弃,不再执行确定ARP请求报文入接口等一系列生成ACL表项的步骤;否则,执行生成ACL表项的一系列步骤,以生成ACL表项。本领域技术人员可以理解的是,如果一台源设备在一段有限的时长内,比如1秒内,频繁地发送ARP请求报文,则可判断该源设备为攻击设备,该ARP请求报文为攻击报文,此时,网络设备将对该ARP请求报文执行丢弃操作,以对该源设备发送的ARP请求报文进行限速,保证网络设备所在网络的安全性。优选地,在上述第二个实施例中,在收集到上述源设备发送的ARP请求报文后,网络设备可判断是否在预设时长内接收到上述目的设备返回的针对该ARP请求报文的ARP响应报文,若否,则将所保存的该ARP请求报文的第三入接口以及该第三入接口关联的VLAN删除,不再等待针对该ARP请求报文的ARP响应报文,或者在接收到该ARP响应报文后,直接将该ARP响应报文丢弃,不再执行根据该ARP响应报文确定目的设备的MAC地址等一系列生成ACL表项的步骤;否则,执行生成ACL表项的一系列步骤,以生成ACL表项。本领域技术人员可以理解的是,针对一个ARP请求报文,如果网络设备未在合理的时长内接收到相应的ARP响应报文,则同样可判断该源设备为攻击设备,该ARP请求报文为攻击报文,此时,网络设备将对所保存的ARP请求报文的入接口执行删除操作,即不再针对该ARP请求报文生成ACL表项的所有动作,以保证网络设备所在网络的安全性。需要指出的是,上述转发信息除包括ARP请求报文的入接口以及该入接口关联的VLAN以外,还可以包括其他用于指导网络设备对待转发报文进行正确转发的信息,在此不再一一赘述。步骤203:查询本地是否存在与报文匹配的ACL表项,若存在,执行步骤204;否则执行步骤205。本实施例中,当确定出的报文类型为数据类型时,网络设备可查询本地是否存在与该数据类型报文匹配的ACL表项。具体地,对应于根据上述第一个实施例生成的ACL表项,网络设备可通过比较该数据类型报文中的目的MAC地址和ACL表项中的目的MAC地址,来确定本地是否存在与该数据类型报文匹配的ACL表项。而对应于根据上述第二个实施例生成的ACL表项,网络设备则需分别对该数据类型报文中的目的MAC地址和ACL表项中的目的MAC地址、以及该数据类型报文中的源MAC地址和该ACL表项中的源MAC地址进行分别比较,来确定本地是否存在与该数据类型报文匹配的ACL表项,即当该数据类型报文中的源MAC地址和目的MAC地址分别与一条ACL表项中所记录的源MAC地址和目的MAC地址匹配时,才认为该查询到的ACL表项与该数据类型报文相匹配。步骤204:通过该ACL表项中的转发信息对报文进行转发。本实施例中,当本地存在与上述数据类型报文匹配的ACL表项时,网络设备通过该ACL表项中的转发信息对该数据类型报文进行转发。步骤205:将报文丢弃。本实施例中,当本地不存在与上述数据类型报文匹配的ACL表项时,网络设备则会将该数据类型报文丢弃。与现有技术相比,在上述第一个实施例中,网络设备通过生成第一ACL表项和第二ACL表项来替代现有技术中的MAC转发表项,当接收到的数据类型报文中的目的MAC地址与上述第一ACL表项或第二ACL表项中的目的MAC地址不匹配时,网络设备可将该数据类型报文丢弃,而不是将该数据类型报文在网络中进行广播,从而避免了可能存在的攻击报文在网络中传播的现象。其中,MAC转发表侧重于指导流量的转发,故MAC转发表在设计上注重将流量通过各种方式转发出去,而不对所转发流量本身的安全性进行考虑。而ACL侧重于流量的控制,在不失对满足特定条件的流量进行正常转发的基础上,可以通过丰富的策略对不满足特定条件的流量进行过滤,实现流量的安全转发。所以应用本发明实施,可以通过ACL实现流量在转发层面的早期控制,一旦发生网络攻击,则可以及时对攻击流量进行过滤,避免网络攻击的形成。与现有技术相比,在上述第二个实施例中,网络设备不仅通过生成第三ACL表项和第四ACL表项来替代现有技术中的MAC转发表项,还通过在上述第三ACL表项和第四ACL表项中将匹配项由一个目的MAC地址扩展为源MAC地址和目的MAC地址所构成的地址组,增强了报文与表项匹配项的匹配难度,获得了更优的攻击报文的过滤效果。与以上第二个实施例同属于一个总的发明构思,作为一个优选的实施例,本发明也可在现有的MAC转发表的基础上增设一个ACL表,该ACL表中记录包括源MAC地址和目的MAC地址的匹配项。具体地,在接收到源设备发送的ARP请求报文,并接收到目的设备返回的针对该ARP请求报文的ARP响应报文后,网络设备可以根据该ARP响应报文中的源MAC地址和目的MAC地址分别生成第五ACL表项和第六ACL表项,其中,第五ACL表项中的源MAC地址为上述ARP响应报文中的源MAC地址、目的MAC地址为上述ARP响应报文中的目的MAC地址;第六ACL表项中的源MAC地址为上述ARP响应报文中的目的MAC地址、目的MAC地址为上述ARP响应报文中的源MAC地址。当接收到的数据类型报文可以匹配上述第五ACL表项或第六ACL表项时,根据第五ACL表项或第六ACL表项中的目的MAC地址查找对应的MAC转发表项,并根据该转发表项中的转发信息对上述数据类型报文进行转发;当接收到的数据类型报文不可以匹配上述第五ACL表项或第六ACL表项时,则对上述数据类型报文执行丢弃处理。本发明实施例中,网络设备根据ARP类型报文生成包括MAC地址与转发信息的ACL表项,并通过生成的ACL表项,对数据类型报文实施转发控制。应用本发明实施例,当查询到与接收到的数据类型报文匹配的ACL表项时,网络设备可通过该ACL表项中的转发信息对该接收到的数据类型报文进行转发,否则,将接收到的数据类型报文丢弃。由此可见,本发明实施例实现了数据类型报文的转发控制,有效减小了攻击报文可以通过网络设备的几率,降低了网络设备所在网络承受网络攻击的风险,提高了网络安全性。以下将通过一个实施例对发明方法进行详细描述,与上述实施例不同的是,本实施例将结合具体示例对部分步骤进行说明,具有较强的实际操作意义,具体地,本实施例可以包括以下步骤:步骤301:接收报文,确定报文的报文类型,若确定出的报文类型为ARP类型,执行步骤302;否则执行步骤303。本实施例应用于网络设备。本实施例中,ARP类型的报文可以为ARP请求报文或者ARP响应报文。步骤302:收集源设备与目的设备之间交互的ARP报文,根据收集到的ARP报文生成ACL表项,该ACL表项用于记录MAC地址与转发信息的对应关系。本实施例中,源设备与目的设备之间待收集的ARP报文,即为上述ARP请求报文和ARP响应报文,由于通常情况下,网络设备在接收到一个ARP响应报文之前,会首先接收到对应于该ARP响应报文的ARP请求报文,所以,为了便于说明,本实施例中假设网络设备在步骤301中所接收到的ARP类型报文为一个ARP请求报文,此时网络设备可确定该ARP请求报文的第三入接口以及该第三入接口关联的VLAN,并对该入接口以及该ARP请求报文的一些其他必要信息进行保存,以备生成用于报文转发的ACL表项;当在一预设时长比如10秒内接收到上述目的设备返回的针对该ARP请求报文的ARP响应报文后,网络设备可确定该ARP响应报文的第四入接口以及该第四入接口关联的VLAN,并通过对该ARP响应报文进行解析,确定该ARP响应报文的源MAC地址和目的MAC地址,最后生成上述步骤202中的第三ACL表项和第四ACL表项,其中,第三ACL表项的源MAC地址为上述ARP响应报文的源MAC地址、目的MAC地址为上述ARP响应报文的目的MAC地址、转发信息为所保存的第三入接口以及该第三入接口关联的VLAN,第四ACL表项的源MAC地址为上述ARP响应报文的目的MAC地址、目的MAC地址为上述ARP响应报文的源MAC地址、转发信息为所确定的第四入接口以及该第四入接口关联的VLAN。其中,若网络设备接收到的ARP请求报文中包括VLAN标签,则将该VLAN标签对应的VLAN确定为该ARP请求报文的第三入接口所关联的VLAN;若接收到的ARP请求报文中不包括VLAN标签,则将上述第三入接口默认所属的VLAN确定为该第三入接口所关联的的VLAN;网络设备将接收到的ARP请求报文在上述第三入接口所关联的VLAN中广播。以生成上述第三ACL表项为例,在确定了待生成的第三ACL表项中的源MAC地址、目的MAC地址以及转发信息后,网络设备可预先判断本地是否已经存在源MAC地址和目的MAC地址分别为上述确定了的源MAC地址和目的MAC地址的ACL表项,如果不存在,则生成上述待生成的第三ACL表项,如果存在,则判断所存在的ACL表项中的转发信息与上述确定了的转发信息是否相同,如果不同,则根据该确定了的转发信息对所存在的ACL表项中的转发信息进行更新,如果相同,则不再生成上述待生成的第三ACL表项。若假设ARP响应报文的源MAC地址为MAC-S、目的MAC地址为MAC-D、第三入接口为A、第三入接口A关联的VLAN为VLAN1、第四入接口为B、第四入接口B关联的VLAN为VLAN2,则上述第三ACL表项可以为表1示出的形式:源MAC地址目的MAC地址转发信息MAC-SMAC-DA-VLAN1表1上述第四ACL表项可以为表2示出的形式:源MAC地址目的MAC地址转发信息MAC-DMAC-SB-VLAN2表2其中,上述第三ACL表项用于匹配上述源设备发送至上述目的设备的数据类型报文,上述第四ACL表项用于匹配上述目的设备发送至上述源设备的数据类型报文,以使上述源设备与目的设备之间的数据报文可以因上述第三ACL表项或第四ACL表项的存在而得到网络设备的转发。需要指出的是,本发明为过滤攻击报文,将用于报文转发的表项中的匹配项,由现有技术中的一个目的MAC地址扩展到了源MAC地址和目的MAC地址所构成的地址组,则本领域技术人员容易想到的是,在实际应用中,可以根据不同的组网情况,对表项中的匹配项进行合理地扩展,比如,进一步将ARP响应报文的第四入接口加入至上述第三ACL表项中,或者将ARP请求报文的第三入接口加入至上述第四ACL表项中,以增强报文与表项匹配项的匹配难度,获得更优的攻击报文的过滤效果,故本实施例仅以此实施例进行示例性说明,但并不以此对本发明的核心构思进行限定。本实施例中,当网络设备确定出一个接收到的报文的报文类型为ARP类型时,可以将该ARP类型报文上送至CPU(CentralProcessingUnit,中央处理单元)处理,即上述第三ACL表项和第四ACL表项的生成过程可在CPU中完成,并由CPU将生成完成的第三ACL表项和第四ACL表项下发至转发芯片,以使转发芯片对接收到的数据类型报文进行表项的匹配查询和对匹配成功的数据类型报文的转发。当然,网络设备也可以根据实际情况,将上述ARP类型报文发送至一些功能较为强大的ASIC(ApplicationSpecificIntegratedCircuits,专用集成电路)中进行处理,本发明对此不作限制。步骤303:查询本地是否存在与报文匹配的ACL表项,若存在,执行步骤304;否则执行步骤305。本实施例中,鉴于可能接收到的报文的报文类型很多,故网络设备可在上述第三ACL表项和第四ACL表项所在的ACL中,配置一些优先级低于上述第三ACL表项和第四ACL表项的默认ACL表项,并在这些默认ACL表项中分别标明可以匹配该默认ACL表项的报文的报文类型,并将这些默认ACL表项中的动作项设置为放通,其中,上述报文类型为除ARP类型和数据类型以外的其他的报文类型。若假设一个待放通的报文的报文类型为DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)类型,则用于匹配该DHCP类型报文的默认ACL表项可以表示为表3所示的形式:报文类型动作项DHCP类型放通表3本实施例中,ACL表项的优先级可以通过表项在ACL表中的存放顺序进行限定,比如,默认ACL表中从上至下ACL表项的优先级依次降低,则在这一默认条件下,可以将上述默认ACL表项存放于上述第三ACL表项和第四ACL表项以下,以使网络设备可以优先对上述第三ACL表项和第四ACL表项进行匹配,当无法匹配上述第三ACL表项或第四ACL表项时,再对上述默认ACL表项进行匹配,当一非ARP类型报文无法匹配ACL中的任何一条默认ACL表项时,将该非ARP类型报文丢弃。本实施例中,对于刚刚根据接收到的ARP请求报文和ARP响应报文生成的上述第三ACL表项和第四ACL表项,可以默认将其添加至ACL表的最上方,以实现该组源设备与目的设备之间即将交互的数据报文的快速匹配和转发。步骤304:通过该ACL表项中的转发信息对报文进行转发。步骤305:丢弃该报文。本发明实施例中,网络设备根据ARP请求报文和ARP响应报文生成包括源MAC地址、目的MAC地址以及转发信息的ACL表项,并通过生成的ACL表项,对数据类型报文实施转发控制。应用本发明实施例,当查询到与接收到的数据类型报文匹配的ACL表项时,网络设备可通过该ACL表项中的转发信息对该接收到的数据类型报文进行转发,否则,则根据该数据类型报文与默认ACL表项的匹配情况,对该数据类型报文执行放通或丢弃的处理。由此可见,本发明实施例实现了数据类型报文的转发控制,有效减小了攻击报文可以通过网络设备的几率,降低了网络设备所在网络承受网络攻击的风险,提高了网络安全性。比如在一个具体的实施例中,假设在一个组网中,一个网关连接一汇聚交换机,该汇聚交换机分别连接了接入交换机A和接入交换机B,接入交换机A分别连接了用户设备1和用户设备2,接入交换机B分别连接了用户设备3和用户设备4。则如果用户设备1需要与用户设备3通信,却不知道用户设备3的MAC地址,则用户设备1会向该组网中的所有设备发送ARP请求报文,并可根据用户设备3返回的ARP响应报文获得用户设备3的MAC地址。在上述过程中,接入交换机A(网络设备)已经在其本地生成了上述第三ACL表项和第四ACL表项,以保证用户设备1和用户设备3之间即将交互的数据报文得以正常转发;而除用户设备1和用户设备3之间交互的报文以外的数据报文,则不能直接被接入交换机A进行转发。本领域技术人员可以理解的是,如果该组网中存在攻击设备,且该攻击设备试图利用数据报文诱发MAC泛洪攻击(攻击报文中的源MAC地址由攻击设备伪造生成),则由于攻击报文中的源MAC地址在接入交换机A中的ACL表项中不存在,且接入交换机A不会对该攻击报文的源MAC地址和入接口进行学习,所以不会导致上述攻击报文在组网中的广播以及因接入交换机A的ACL表项过满而诱的发上述MAC泛洪攻击。与前述一种报文处理方法的实施例相对应,本发明还提供了一种报文处理装置的实施例。参见图3,图3是本发明一种报文处理装置结构图。该装置应用于网络设备,可以包括:确定单元410、收集单元420、生成单元430、查询单元440、转发单元450、丢弃单元460。其中,确定单元410,用于接收报文,确定报文的报文类型;收集单元420,用于当确定单元410确定出的报文类型为ARP类型时,收集源设备与目的设备之间交互的ARP报文;生成单元430,用于根据收集到的ARP报文生成ACL表项,上述ACL表项用于记录MAC地址与转发信息的对应关系;查询单元440,用于当确定单元410确定出的报文类型为数据类型时,查询本地是否存在与上述报文匹配的ACL表项;转发单元450,用于当查询单元440查询到与上述报文匹配的ACL表项时,通过该ACL表项中的转发信息对上述报文进行转发;丢弃单元460,用于当查询单元440未查询到与上述报文匹配的ACL表项时,将上述报文丢弃。在本装置实施例的第一种实现方式中,收集单元420可以包括:第一ACL表项生成子单元421、第二ACL表项生成子单元422,具体可参见图4,图4是收集单元的第一种结构图。其中,第一ACL表项生成子单元421,用于在收集到上述源设备发送的ARP请求报文后,确定上述源设备的MAC地址、上述ARP请求报文的第一入接口以及上述第一入接口关联的VLAN,生成第一ACL表项,上述第一ACL表项的目的MAC地址为所确定的源设备的MAC地址、转发信息为所确定的第一入接口以及上述第一入接口关联的VLAN;第二ACL表项生成子单元422,用于在收集到上述目的设备返回的针对上述ARP请求报文的ARP响应报文后,确定上述目的设备的MAC地址、上述ARP响应报文的第二入接口以及上述第二入接口关联的VLAN,生成第二ACL表项,上述第二ACL表项的目的MAC地址为所确定的目的设备的MAC地址、转发信息为所确定的第二入接口以及上述第二入接口关联的VLAN。在本装置实施例的第二种实现方式中,收集单元420可以包括:确定子单元423、ACL表项生成子单元424,具体可参见图5,图5是收集单元的第二种结构图。其中,确定子单元423,用于在收集到上述源设备发送的ARP请求报文后,确定上述ARP请求报文的第三入接口以及上述第三入接口关联的VLAN,并对所确定的第三入接口以及上述第三入接口关联的VLAN进行保存;在收集到上述目的设备返回的针对上述ARP请求报文的ARP响应报文后,确定上述ARP响应报文的源MAC地址、目的MAC地址、第四入接口以及上述第四入接口关联的VLAN;ACL表项生成子单元424,用于生成第三ACL表项和第四ACL表项,上述第三ACL表项的源MAC地址为上述ARP响应报文的源MAC地址、目的MAC地址为上述ARP响应报文的目的MAC地址、转发信息为所保存的第三入接口以及上述第三入接口关联的VLAN,上述第四ACL表项的源MAC地址为上述ARP响应报文的目的MAC地址、目的MAC地址为上述ARP响应报文的源MAC地址、转发信息为所保存的第四入接口以及上述第四入接口关联的VLAN。在本装置实施例的第三种实现方式中,收集单元420还可以包括:获取子单元425、第一判断子单元426、丢弃子单元427,具体可参见图6,图6是收集单元的第三种结构图。其中,获取子单元425,用于在收集到上述源设备发送的ARP请求报文后,将该源设备的MAC地址对应的ARP请求报文数量统计值加1,获取该统计值的最新值;第一判断子单元426,用于判断上述最新值是否大于预设阈值;丢弃子单元427,用于在第一判断子单元426的判断结果为是时,将所收集的ARP请求报文丢弃。在本装置实施例的第四种实现方式中,收集单元420还可以包括:第二判断子单元428、删除子单元429,具体可参见图7,图7是收集单元的第四种结构图。第二判断子单元428,用于在收集到上述源设备发送的ARP请求报文后,判断是否在预设时长内接收到目的设备返回的针对上述ARP请求报文的ARP响应报文;删除子单元429,用于在第二判断子单元428的判断结果为否时,将所保存的上述ARP请求报文的第三入接口以及所述第三入接口关联的VLAN删除。本发明实施例中,网络设备根据ARP类型报文生成包括MAC地址与转发信息的ACL表项,并通过生成的ACL表项,对数据类型报文实施转发控制。应用本发明实施例,当查询到与接收到的数据类型报文匹配的ACL表项时,网络设备可通过该ACL表项中的转发信息对该接收到的数据类型报文进行转发,否则,将接收到的数据类型报文丢弃。由此可见,本发明实施例实现了数据类型报文的转发控制,有效减小了攻击报文可以通过网络设备的几率,降低了网络设备所在网络承受网络攻击的风险,提高了网络安全性。上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。当前第1页1 2 3