[发明专利]一种接口隔离方法和装置

说明书

本发明公开了一种接口隔离方法和装置，涉及计算机技术领域。该方法的一具体实施方式包括：确定待传输的报文，获取报文中的源地址和目的地址；利用路由策略，判断源地址是否处于带外接口网段中，若是，则确定传输报文的接口类型为带外接口，否则为带内接口；在与所确定接口类型对应的路由表中，确定与目的地址相匹配的带内接口或带外接口，进而通过所确定的带内接口或带外接口传输报文。该实施方式通过将带外接口相关的路由信息与带内接口的相关路由信息存放至不同路由表中，并配置路由策略，实现带外接口和带内接口所传输报文的隔离，相较于现有技术，不需要借助NA或者VRF，且无需考虑交换机系统版本。

技术领域

本发明涉及计算机技术领域，尤其涉及一种接口隔离方法和装置。

背景技术

当前数据中心的网络设备，比如交换机，通常设有三种类型的端口——串口、管理口、业务口。在大规模数据应用场景下，通常通过管理口对交换机进行配置、升级、监控等管理相关操作，而业务口承担业务流量的转发。前者一般称作带外流量，管理口称作带外接口，后者称作带内流量，业务口称作带内接口。

网络部署中，带内、外流量应当是隔离的，即从管理口收到的管理指令，相应响应报文也只能通过管理口发送。但若存在两条或多条路由，交换机在发送响应报文时会通过哈希算法选择其中一条，引发选择的接口与收到请求的接口不一的情况。

针对上述问题，目前在Linux中主要采用NA(Network namespace，网络命名空间)和VRF(Virtual routing forwarding，虚拟路由转发)两种方式，通过将管理口和业务口放到不同的NA，以实现带内、外流量的隔离。

在实现本发明的过程中，发明人发现现有技术至少存在如下问题：

1、从网络角度考虑，NA如同虚拟机。若在交换机的系统中使用该功能实现网络隔离，实现较复杂；且若考虑带内外同时支持管理服务，例如SSH(Secure Shell，安全壳协议)、syslog、NTP(Network Time Protocol，网络时间协议)，这些应用服务需分别运行在多个NA中；

2、VRF虽相比NA较为轻量，但也需要创建VRF实例和关联接口，相关应用程序也需要绑定到实例，操作依旧复杂；且不适用于低版本系统，若版本较低，只能采用NA实现网络隔离。

发明内容

有鉴于此，本发明实施例提供一种接口隔离方法和装置，至少能够解决现有技术中内外网络隔离复杂、需考虑系统版本的现象。

为实现上述目的，根据本发明实施例的一个方面，提供了一种接口隔离方法，包括：

确定待传输的报文，获取所述报文中的源地址和目的地址；

利用路由策略，判断所述源地址是否处于带外接口网段中，若是，则确定传输所述报文的接口类型为带外接口，否则为带内接口；

在与所确定接口类型对应的路由表中，确定与所述目的地址相匹配的带内接口或带外接口，进而通过所确定的带内接口或带外接口传输所述报文。

可选的，所述报文为响应报文；

所述利用路由策略，判断所述源地址是否处于带外接口网段中，若是，则确定传输所述报文的接口类型为带外接口，否则为带内接口，包括：利用带外接口匹配规则，判断所述响应报文的源地址是否处于带外接口网段中；若是，则确定传输所述响应报文的接口类型为带外接口，否则为带内接口。

可选的，所述报文为请求报文或单向报文，所述请求报文或所述单向报文的源地址为空；