技術領域

本發明涉及通信技術領域，特別涉及一種報文轉發方法及網絡交換設備。

背景技術

網絡交換設備通常包括交換機、路由器、網關等。網絡交換設備可以實現信息交換的功能，具體來說，網絡交換設備可以對其他設備之間進行數據交互的報文進行轉發。

現有的網絡交換設備僅能夠對報文進行轉發，并不能對報文進行安全識別。舉例來說，假設主機A與主機B之間的數據交互需要經過網絡交換設備；主機A被非法用戶攻擊，主機A通過該網絡交換設備向主機B發送攻擊報文；網絡交換設備會將攻擊報文轉發給主機B，這樣，攻擊報文會攻擊主機B。因此，這種網絡交換設備的安全性較低。

發明內容

本發明實施例的目的在于提供一種報文轉發方法及網絡交換設備，提高網絡交換設備的安全性。

為達到上述目的，本發明實施例公開了一種報文轉發方法，應用于網絡交換設備，所述網絡交換設備包含安全板和多個交換板；所述方法包括：

交換板接收業務報文：

若所述交換板被配置為第一類交換板，則將接收到的所述業務報文發送至所述安全板；

若所述交換板被配置為非第一類交換板，則將接收到的所述業務報文發送至所述第一類交換板，以使所述第一類交換板將所述業務報文轉發至所述安全板；

所述安全板根據預先存儲的安全策略，驗證所述業務報文是否合法；如果是，將所述業務報文確定為合法業務報文，將所述合法業務報文發送至第一類交換板；

所述第一類交換板接收到所述合法業務報文后，確定所述合法業務報文的目的地址，并根據所述目的地址，將所述合法業務報文發送至外部設備或轉發至非第一類交換板；

所述非第一類交換板接收到所述合法業務報文后，根據所述目的地址，將所述合法業務報文發送至外部設備。

可選的，第一類交換板根據所述目的地址，將所述合法業務報文發送至外部設備或轉發至非第一類交換板的步驟，可以包括：

第一類交換板根據所述目的地址，確定所述合法業務報文對應的目標出接口、及所述目標出接口對應的目標交換板：當目標交換板包含第一類交換板時，第一類交換板通過自身目標出接口將所述合法業務報文發送至外部設備；當目標交換板包含非第一類交換板時，第一類交換板將所述合法業務報文轉發至非第一類交換板；

非第一類交換板根據所述目的地址，將所述合法業務報文發送至外部設備的步驟，可以包括：

非第一類交換板通過自身目標出接口將所述合法業務報文發送至外部設備。

可選的，所述第一類交換板根據所述目的地址，確定所述合法業務報文對應的目標出接口的步驟，可以包括：

第一類交換板根據所述目的地址，判斷所述合法業務報文是否為單播業務報文；

如果是，查找本地轉發表項，根據查找結果，確定所述合法業務報文對應的目標出接口；

如果否，將所述網絡交換設備的全部出接口確定為所述合法業務報文對應的目標出接口，或者，確定所述合法業務報文所屬的廣播域，將所述廣播域下的出接口確定為所述合法業務報文對應的目標出接口。

可選的，所述安全板根據預先存儲的安全策略驗證所述業務報文是否合法的步驟，可以包括：

所述安全板判斷所述業務報文的源地址是否位于第一預設地址區間；或者，

判斷所述業務報文的目的地址是否位于第二預設地址區間；或者，

根據預先設定的源地址與目的地址的對應關系，判斷所述業務報文的源地址與目的地址是否對應；或者，

判斷所述業務報文的以太網類型是否為預設以太網類型；或者，

判斷所述業務報文的互聯網協議類型是否為預設互聯網協議類型；

如果是，表示所述業務報文合法。

可選的，所述若所述交換板被配置為非第一類交換板，則將接收到的所述業務報文發送至第一類交換板的步驟，可以包括：

若所述交換板被配置為第二類交換板，則將接收到的業務報文發送至第一類交換板；

若所述交換板被配置為第三類交換板，則將接收到的業務報文發送至第二類交換板，以使第二類交換板將接收到的業務報文轉發至第一類交換板；

所述非第一類交換板接收到所述合法業務報文后，根據所述目的地址，將所述合法業務報文發送至外部設備的步驟，可以包括：

當所述交換板被配置為第二類交換板時，所述交換板接收到所述合法業務報文后，根據所述目的地址，將所述合法業務報文發送至外部設備或轉發至第三類交換板；