本申請提供一種報文處理方法及裝置，應用于VTEP設備上，該方法包括：接收ARP報文，判斷該ARP報文的發送端IP地址和預設的網關IP地址以及該ARP報文的發送端MAC地址和預設的網關MAC地址是否均匹配；若二者均匹配，則檢查ARP報文的轉發方向是否正確，若轉發方向錯誤，則丟棄ARP報文；若發送端IP地址和預設的網關IP地址不匹配，或者發送端MAC地址和預設的網關MAC地址不匹配，則丟棄ARP報文。本申請通過將ARP報文的發送端IP地址和預設的網關IP地址以及所述ARP報文的發送端MAC地址和預設的網關MAC地址進行匹配，并根據匹配結果識別出攻擊報文，并丟棄ARP報文，從而可以避免將攻擊報文發往網關，減少網絡故障。

技術領域

本申請涉及通信技術，尤其涉及一種報文處理方法及裝置。

背景技術

VXLAN(Virtual eXtensible LAN，可擴展虛擬局域網絡)是基于因特網互聯協議(IP)網絡、采用“媒體訪問控制在用戶數據報協議中(MAC in UDP)”封裝形式的二層虛擬專用網絡(VPN)技術。VXLAN主要應用于數據中心網絡。

其中，VXLAN的無狀態網關組網是非常廣泛的一種應用，如圖1所示，VXLAN的無狀態網關組網包括多個VXLAN網關(GW)，且所有VXLAN網關都是無狀態網關，即所有VXLAN網關的IP地址和媒體訪問控制(Media Access Control，MAC)地址完全相同，這樣，對于VXLAN隧道端點(VXLAN Tunneling End Point，VTEP)設備來說，所有VXLAN網關就相當于一臺設備，VTEP設備不用區分各VXLAN網關。

但是，在圖1所示的無狀態網關組網中，如果某個虛擬機(VM)受到攻擊，發出冒充網關的地址解析協議(ARP)廣播，則所有其它VM都會收到該ARP廣播，導致所有發往網關的報文封裝錯誤，致使整個網絡故障。

發明內容

有鑒于此，本申請提供一種報文處理方法及裝置。

具體地，本申請是通過如下技術方案實現的：

根據本發明實施例的第一方面，提供一種報文處理方法，應用于VTEP設備上，所述方法包括：

接收ARP報文；

判斷所述ARP報文的發送端IP地址和預設的網關IP地址以及所述ARP報文的發送端MAC地址和預設的網關MAC地址是否均匹配；

若二者均匹配，則檢查所述ARP報文的轉發方向是否正確，若所述轉發方向錯誤，則丟棄所述ARP報文；

若所述發送端IP地址和預設的網關IP地址不匹配，或者所述發送端MAC地址和預設的網關MAC地址不匹配，則丟棄所述ARP報文。

根據本發明實施例的第二方面，提供一種報文處理裝置，應用于可擴展虛擬局域網隧道端點VTEP設備上，所述裝置包括：

接收模塊，用于接收ARP報文；

匹配模塊，用于判斷所述接收模塊接收的所述ARP報文的發送端IP地址和預設的網關IP地址以及所述ARP報文的發送端MAC地址和預設的網關MAC地址是否均匹配；

檢查丟棄模塊，用于若所述匹配模塊的匹配結果為二者均匹配，則檢查所述ARP報文的轉發方向是否正確，若所述轉發方向錯誤，則丟棄所述ARP報文；

丟棄模塊，用于若所述匹配模塊的匹配結果為所述發送端IP地址和預設的網關IP地址不匹配，或者所述發送端MAC地址和預設的網關MAC地址不匹配，則丟棄所述ARP報文。

在本申請實施例中，通過將ARP報文的發送端IP地址和預設的網關IP地址以及所述ARP報文的發送端MAC地址和預設的網關MAC地址進行匹配，并根據匹配結果識別出攻擊報文，并丟棄屬于攻擊報文的ARP報文，從而可以避免將攻擊報文發往網關，減少了網絡故障。