[发明专利]一种数据报文处理方法及装置

说明书

技术领域

本发明涉及网络通讯领域，尤其涉及一种数据报文处理方法及装置。

背景技术

在通信技术领域，虚拟局域网(vlan)是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机数据报文转发中。数据报文分为不打标签报文(untag)和打标签报文(tag)两种。不打标签报文就是普通的以太网报文，打标签报文是在以太网标准帧中插入了4字节虚拟局域网标签信息的报文，如图1所示。网络数据报文则是通过交换机端口转接达到数据传送和接收的目的。

交换机端口有三种链路类型：Access、Hybrid和Trunk，Access类型的端口只能属于一个虚拟局域网，一般用于连接计算机的端口；Trunk类型的端口可以允许多个带有虚拟局域网信息标签的数据通过，可以接收和发送多个带有虚拟局域网信息标签的数据报文，一般用于交换机之间连接的端口；Hybrid类型的端口可以允许多个带有虚拟局域网信息标签的数据通过，可以接收和发送多个带有虚拟局域网信息标签的数据报文，可以用于交换机之间连接，也可以用于连接用户的计算机。

通常，带有所属虚拟局域网标签信息的报文会通过属于对应虚拟局域网的端口转发。而对于不带标签信息的报文，则通过缺省端口转发。缺省端口的虚拟局域网号对应端口所属的虚拟局域网，Access端口只属于一个虚拟局域网，所以它的缺省虚拟局域网号就是它所在的虚拟局域网，不用设置；Hybrid端口和Trunk端口属于多个虚拟局域网，所以需要设置端口缺省虚拟局域网号。默认情况下，Hybrid端口和Trunk端口的缺省虚拟局域网号为1。如果设置了端口的缺省虚拟局域网号，当端口接收到不带虚拟局域网标签信息的报文后，则将报文转发到属于缺省虚拟局域网的端口；当端口发送带有虚拟局域网标签信息的报文时，如果该报文的虚拟局域网值与端口缺省的虚拟局域网值相同，则系统将去掉报文的标签信息，然后再发送该报文。

但本申请发明人在实现本申请实施例中发明技术方案的过程中，发现上述技术至少存在如下技术问题：

缺省端口的存在使某些不带标签信息报文可以在不同虚拟局域网内自由转发。但也带来了很多安全隐患，例如局域网跳跃攻击，利用双层虚拟局域网标签进行攻击，如果攻击者位于虚拟局域网10，受侵犯者位于虚拟局域网20，两个交换机间以trunk方式连接，端口的缺省虚拟局域网值是10。攻击者发送双标签报文，外部标签为虚拟局域网10标签信息，内部标签为虚拟局域网20标签信息，由于外部标签与缺省虚拟局域网值一致，故第一个交换机将去掉外部标签，将只有一层标签属于虚拟局域网20的报文传递出去，第二个交换机就会将报文转发给属于虚拟局域网20的攻击对象。

发明内容

本申请实施例通过提供一种数据报文处理方法及装置，解决了现有技术中普通以太网数据报文在不同虚拟局域网内自由转发的技术问题，实现了增强虚拟局域网数据安全性的技术效果。

所述一种报文处理方法包括：接收到数据报文后，检测所述数据报文是否为带标签的数据报文，得到检测结果；

根据所述检测结果确定所述数据报文为不带标签的数据报文时，则获取接收所述数据报文的第一端口的端口配置信息；

当所述端口配置信息中包含预设命令参数，则根据所述预设命令参数丢弃所述数据报文。

所述装置，包括：

检测单元，用于接收到数据报文后，检测所述数据报文是否为带标签的数据报文，得到检测结果；

配置信息获取单元，用于根据所述检测结果确定所述数据报文为不带标签的数据报文时，则获取接收所述数据报文的第一端口的端口配置信息；

数据报文处理单元，用于当所述端口配置信息中包含预设命令参数，则根据所述预设命令参数丢弃所述数据报文。

本申请实施例中提供的一个或多个技术方案，至少具有如下技术效果或优点：

1、由于在选中端口配置switchport tag trunk native vlan enable命令，所以，有效解决了普通untag报文在虚拟局域网内自由传播的问题，从而实现了选中trunk端口具有拦截普通untag数据报文属性的技术效果。

2、由于在交换机上配置default vlan disable命令，该命令对交换机上所有端口起作用，所以，有效解决了普通untag数据报文在虚拟局域网内自由传播，从而实现了所有端口具有拦截普通untag数据报文属性的技术效果。

附图说明

图1是802.1Q的帧格式示意图；