一种报文处理方法及装置与流程

本申请涉及通信，尤其涉及一种报文处理方法及装置。

背景技术：

1、在一些微型组网中，一般会使用防火墙产品作为网关接入互联网，用户内网与外网之间的流量都必须经过网关，由网关设备进行严格的安全检查后，才能实现相互访问。用户的内网一般也会进行简单的划分，例如，某内网划分为两个子网，两个子网之间的互访一般也需要经过防火墙。但是，若在单个子网内部实现访问时，一般为二层转发，流量不经过防火墙设备，例如，该子网内包括2个主机pc，pc1和pc2；在实现pc1与pc2之间的互访时，直接由该子网的交换设备sw作二层转发，即不会经过防火墙设备。这样就会存在如下问题：如果pc1感染病毒，则pc1到pc2二层访问，很容易引起病毒的快速扩散。

2、为了解决上述子网中病毒扩散问题，某些安全厂家提供了一种特殊的二层交换设备，其可以将所有的二层访问转换为三层转发，并作nat转换，实现二层设备的相互隔离，并且能有效发现二层访问中的扫描行为。但是该方法需要将二层设备全部进行替换，网络改造成本较高，适用性不强。

3、因此，如何在不改变二层交换设备的情况下，实现二层网络的安全隔离，保护内网的安全性，同时节省成本是值得考虑的技术问题之一。

技术实现思路

1、有鉴于此，本申请提供一种报文处理方法及装置，用以在不改变二层交换设备的情况下，实现二层网络的安全隔离，保护内网的安全性，同时节省成本。

2、具体地，本申请是通过如下技术方案实现的：

3、根据本申请的第一方面，提供一种报文处理方法，应用于交换设备，所述交换设备接入至少两个主机设备；所述方法，包括：

4、接收所述主机设备发送的业务报文；

5、若所述业务报文中的目的mac地址为网关设备的mac地址，则将所述业务报文转发给所述网关设备；

6、若所述业务报文中的目的mac地址不是网关设备的mac地址，则利用所述目的mac地址查询设定规则表；

7、若未命中所述设定规则表，则在所述业务报文的mac字段与ip字段之间插入srv6头，并将所述业务报文的目的mac地址修改为所述网关设备的mac地址，得到目标业务报文，所述目标业务报文的srv6头中包括修改之前的所述目的mac地址；

8、将所述目标业务报文发送给所述网关设备。

9、根据本申请的第二方面，提供另一种报文处理方法，应用于网关设备中，所述方法，包括：

10、接收交换设备发送的目标业务报文，所述目标业务报文为所述交换设备接收到主机设备发送的业务报文后，对所述业务报文进行地址转换得到的；

11、从所述目标业务报文的srv6头中提取出目的mac地址；

12、删除所述srv6头，得到第一报文；

13、对所述第一报文进行安全性检查；

14、在检查通过后，将所述第一报文的源mac地址配置为所述网关设备的mac地址，将所述第一报文的目的mac地址配置为提取出的目的mac地址，得到第二报文；

15、将所述第二报文发送给所述目的mac地址对应的设备。

16、根据本申请的第三方面，提供一种报文处理装置，设置于交换设备中，所述交换设备接入至少两个主机设备；所述装置，包括：

17、接收模块，用于接收所述主机设备发送的业务报文；

18、发送模块，用于若所述业务报文中的目的mac地址为网关设备的mac地址，则将所述业务报文转发给所述网关设备；

19、查询模块，用于若所述业务报文中的目的mac地址不是网关设备的mac地址，则利用所述目的mac地址查询设定规则表；

20、插入模块，用于若未命中所述设定规则表，则在所述业务报文的mac字段与ip字段之间插入srv6头，并将所述业务报文的目的mac地址修改为所述网关设备的mac地址，得到目标业务报文，所述目标业务报文的srv6头中包括修改之前的所述目的mac地址；

21、所述发送模块，还用于将所述目标业务报文发送给所述网关设备。

22、根据本申请的第四方面，提供另一种报文处理装置，设置于网关设备中，所述装置，包括：

23、接收模块，用于接收交换设备发送的目标业务报文，所述目标业务报文为所述交换设备接收到主机设备发送的业务报文后，对所述业务报文进行地址转换得到的；

24、提取模块，用于从所述目标业务报文的srv6头中提取出目的mac地址；

25、删除模块，用于删除所述srv6头，得到第一报文；

26、检查模块，用于对所述第一报文进行安全性检查；

27、配置模块，用于在所述检查模块检查通过后，将所述第一报文的源mac地址配置为所述网关设备的mac地址，将所述第一报文的目的mac地址配置为提取出的目的mac地址，得到第二报文；

28、发送模块，用于将所述第二报文发送给所述目的mac地址对应的设备。

29、根据本申请的第三方面，提供一种网关设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法，或者，执行本申请实施例第二方面所提供的方法。

30、根据本申请的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法，或者，执行本申请实施例第二方面所提供的方法。

31、本申请实施例的有益效果：

32、本申请实施例提供的报文处理方法及装置中，接收上述主机设备发送的业务报文；若上述业务报文中的目的mac地址为网关设备的mac地址，则将上述业务报文转发给上述网关设备；若上述业务报文中的目的mac地址不是网关设备的mac地址，则利用上述目的mac地址查询设定规则表；若未命中上述设定规则表，则在上述业务报文的mac字段与ip字段之间插入srv6头，并将上述业务报文的目的mac地址修改为上述网关设备的mac地址，得到目标业务报文，上述目标业务报文的srv6头中包括修改之前的上述目的mac地址；将上述目标业务报文发送给上述网关设备。由此，本申请中将未命中设定规则表的业务报文进行重新封装处理，得到目标业务报文，以将本可以直接发送给与主机设备属于同一内网的接收方设备的业务报文发送给网关设备，这样一来，网关设备就可以接收到的业务报文进行安全检测邮件，待安全检测通过后再发送给接收端，这样，交换设备在不需要用使用专用设备的情况下，就可以实现二层网络的安全隔离，从而保证了交换设备所在内网的安全性，同时也节省了成本。

技术特征：

1.一种报文处理方法，其特征在于，应用于交换设备，所述交换设备接入至少两个主机设备；所述方法，包括：

2.根据权利要求1所述的方法，其特征在于，所述srv6头包括ipv6头和路由扩展头；

3.根据权利要求2所述的方法，其特征在于，所述路由扩展头中的段标识sid包括所述网关设备的ip地址、功能码和参数，所述参数包括所述修改之前的所述目的mac地址；其中，

4.根据权利要求1所述的方法，其特征在于，还包括：

5.根据权利要求1所述的方法，其特征在于，还包括：

6.一种报文处理方法，其特征在于，应用于网关设备中，所述方法，包括：

7.根据权利要求6所述的方法，其特征在于，所述srv6头包括路由扩展头；

8.根据权利要求7所述的方法，其特征在于，所述路由扩展头中的段标识sid包括功能码和参数，所述参数包括所述目的mac地址；

9.一种报文处理装置，其特征在于，设置于交换设备中，所述交换设备接入至少两个主机设备；所述装置，包括：

10.一种报文处理装置，其特征在于，设置于网关设备中，所述装置，包括：

技术总结
本申请提供了一种报文处理方法及装置，涉及通信技术领域。交换设备在实施该方法时，接收所述主机设备发送的业务报文；若所述业务报文中的目的MAC地址为网关设备的MAC地址，则将所述业务报文转发给所述网关设备；若所述业务报文中的目的MAC地址不是网关设备的MAC地址，则利用所述目的MAC地址查询设定规则表；若未命中所述设定规则表，则在所述业务报文的MAC字段与IP字段之间插入SRv6头，并将所述业务报文的目的MAC地址修改为所述网关设备的MAC地址，得到目标业务报文，所述目标业务报文的SRv6头中包括修改之前的所述目的MAC地址；将所述目标业务报文发送给所述网关设备。

技术研发人员：柴永富
受保护的技术使用者：新华三信息安全技术有限公司
技术研发日：
技术公布日：2024/3/4