一种报文转发方法及装置的制造方法
【技术领域】
[0001] 本发明涉及通信技术领域,尤其涉及一种报文转发方法及装置。
【背景技术】
[0002] 为了增加网关的可靠性,目前的组网中通常使用多台路由器作为网关,并使用 VRRP(VirtualRouterRedundancyProtocol,虚拟路由器冗余协议)进行管理。VRRP将能 够承担网关功能的一组路由器加入到备份组中,形成一台虚拟路由器,并由VRRP的选举机 制来决定哪台路由器负责转发任务。
[0003] 现有技术中,当连接上述虚拟路由器的网络交换转发设备收到用户主机发送的 ARP(AddressResolutionProtocol,地址解析协议)请求报文时,通常会在该设备所在的 局域网内广播该ARP请求报文。由于该局域网内的非法主机亦可收到该ARP请求报文,并 利用该ARP请求报文来冒充网关对用户主机实施ARP网关欺骗,因此会对用户主机的信息 安全造成威胁。
【发明内容】
[0004] 有鉴于此,本发明提供一种报文转发方法及装置来解决VRRP组网中非法用户进 行ARP网关欺骗的问题。
[0005] 具体地,本发明是通过如下技术方案实现的:
[0006] 一种报文转发方法,所述方法应用于VRRP组网中的网络交换转发设备,所述方法 包括:
[0007] 接收用户主机发送的ARP请求报文;
[0008] 当确认所述ARP请求报文目的IP与网关信息表项相匹配时,从所述网关信息表项 中记录的接口发送所述ARP请求报文,其中,所述网关信息表项中包括所述VRRP组网中网 关的虚IP地址。
[0009] 进一步的,所述方法还包括:
[0010] 监听所述VRRP组网中网关之间交互的控制报文;
[0011] 获取所述控制报文的报文特征,所述控制报文的报文特征包括网关虚IP地址、网 关优先级及网关接入接口;
[0012] 根据所述控制报文的报文特征建立或更新所述网关信息表项。
[0013] 进一步的,所述网关信息表项还包括网关接入接口,所述根据所述控制报文的报 文特征建立或更新所述网关信息表项,包括:
[0014] 根据所述网关优先级判断所述网关的身份;
[0015] 当所述网关为主网关,且存在与所述控制报文的网关虚IP地址及网关接入接口 相匹配的网关信息表项时,则更新所述网关信息表项的老化时间;
[0016] 当所述网关为主网关,且不存在与所述控制报文的网关虚IP地址及网关接入接 口相匹配的网关信息表项时,则根据所述控制报文的网关虚IP地址及网关接入接口建立 网关信息表项,并为该网关信息表项设置老化时间。
[0017] 进一步的,所述方法还包括:
[0018] 当所述网关为备用网关,且存在与所述控制报文的网关虚IP地址及网关接入接 口相匹配的网关信息表项时,则删除该网关信息表项。
[0019] 进一步的,所述方法还包括:
[0020] 当确认所述ARP请求报文目的IP与网关信息表项不匹配时,将所述ARP请求报文 从所有接口广播。
[0021] 基于相同的构思,本发明还提供一种报文转发装置,所述装置应用于VRRP组网中 的网络交换转发设备,所述装置包括:
[0022] 请求接收单元,用于接收用户主机发送的ARP请求报文;
[0023] 报文发送单元,用于在确认所述ARP请求报文目的IP与网关信息表项相匹配时, 从所述网关信息表项中记录的接口发送所述ARP请求报文,其中,所述网关信息表项中包 括所述VRRP组网中网关的虚IP地址。
[0024] 进一步的,所述装置还包括:
[0025] 报文监听单元,用于监听所述VRRP组网中网关之间交互的控制报文;
[0026] 特征获取单元,用于获取所述控制报文中的报文特征,所述控制报文的报文特征 包括网关虚IP地址、网关优先级及网关接入接口;
[0027] 表项修改单元,用于根据所述控制报文的报文特征建立或更新所述网关信息表 项。
[0028] 进一步的,所述网关信息表项还包括网关接入接口,所述表项修改单元,包括:
[0029] 身份判断子单元,用于根据所述网关优先级判断所述网关的身份;
[0030] 表项更新子单元,用于在所述网关为主网关,且存在与所述控制报文的网关虚IP 地址及网关接入接口相匹配的网关信息表项时,更新所述网关信息表项的老化时间;
[0031] 表项建立子单元,用于在所述网关为主网关,且不存在与所述控制报文的网关虚 IP地址及网关接入接口相匹配的网关信息表项时,根据所述控制报文的网关虚IP地址及 网关接入接口建立网关信息表项,并为该网关信息表项设置老化时间。
[0032] 进一步的,所述装置还包括:
[0033] 表项删除单元,用于在所述网关为备用网关,且存在与所述控制报文的网关虚IP 地址及网关接入接口相匹配的网关信息表项时,删除该网关信息表项。
[0034] 进一步的,所述报文发送单元,还用于在确认所述ARP请求报文目的IP与网关信 息表项不匹配时,将所述ARP请求报文从所有接口广播。由此可见,本发明的网络交换转发 设备在收到用户主机发送的ARP请求后,当确认该ARP请求报文的目的IP与网关信息表项 相匹配时,从该网关信息表项中记录的接口发送该ARP请求报文,从而可以避免非法用户 收到该ARP请求报文,因此提高了用户主机在VRRP组网中的安全性。
【附图说明】
[0035] 图1是本发明一种示例性实施方式中的VRRP组网架构图;
[0036] 图2是本发明一种示例性实施方式中的一种报文转发方法的处理流程图;
[0037] 图3是本发明一种示例性实施方式中的报文转发方法的交互流程图;
[0038] 图4是本发明一种示例性实施方式中的表项维护的处理流程图;
[0039]图5是本发明一种示例性实施方式中报文转发装置所在的网络交换转发设备的 硬件结构图;
[0040] 图6是本发明一种示例性实施方式中的一种报文转发装置的逻辑结构图。
【具体实施方式】
[0041] 请参见图1,是本发明一种示例性实施方式中的VRRP组网架构图,其中包括交换 机、用户主机、非法主机、以及由多个具有网关功能的路由器组成虚拟路由器,根据VRRP的 选举机制可以决定其中一台路由器承担该虚拟路由器的转发任务,即为主网关;其它路由 器则为备用网关。
[0042] 通常交换机在收到用户主机发送的ARP请求报文时,会将该ARP请求报文进行广 播。然而在上述VRRP组网中的非法主机也会收到该ARP请求报文,并通过伪造ARP应答来 欺骗用户主机,从而给用户主机带来安全隐患。
[0043] 为了解决上述问题,本发明的网络交换转发设备在收到用户主机发送的ARP请求 后,当确认该ARP请求报文的目的IP与网关信息表项相匹配时,从该网关信息表项中记录 的接口发送该ARP请求报文,从而可以避免非法用户收到该ARP请求报文,因此提高了用户 主机在VRRP组网中的安全性。
[0044] 请参考图2,是本发明一种示例性实施方式中的一种报文转发方法处理流程图,所 述方法应用于VRRP组网中的网络交换转发设备,所述方法包括:
[0045] 步骤201、网络交换转发设备接收用户主机发送的ARP请求报文;
[0046] 其中,所述网络交换转发设备可以通过与用户主机之间已建立的连接接收用户主 机发送的ARP请求报文。当该ARP请求报文是对网关的请求报文
[0047]CZ1411187时,该ARP请求报文中源IP地址为用户主机的IP地址,目的IP地址为 目标网关的虚IP地址,此外,当该VRRP组网中存在多个虚拟局域网时,该ARP请求报文中 还可包括该目标网关所属的VLANID。
[0048] 步骤202、当确认所述ARP请求报文目的IP与网关信息表项相匹配时,从所述网关 信息表项中记录的接口发送所述ARP请求报文,其中,所述网关信息表项中包括所述VRRP 组网中网关的虚IP地址;
[0049] 该网络交换转发设备中可预先设置包含该VRRP组网中网关虚IP地址的网关信息 表项。该网络交换转发设备获取ARP请求报文中的目的IP地址后,可以判断该ARP请求报 文的目的IP地址与该网关信息表项是否匹配。当确认该ARP请求报文目的IP与网关信息 表项相匹配时,可根据该网关信息表项中记录的接口将所述ARP请求报文以单播的方式发 送到该目标网关,以使目标