一种ARP表项转主机路由方法、装置、电子设备及存储介质

技术领域

本发明涉及通信技术领域，特别是涉及一种ARP表项转主机路由方法、装置、电子设备及存储介质。

背景技术

相关技术中，交换机通常分为三类，一类为全ARP(Address ResolutionProtocol，地址解析协议)表项转主机路由，即所有ARP表项都会转主机路由发布，第二类为生成额外的ARP表项根据使用者设定的限制去转发路由，即使用者可根据需求设定ARP表项来限制转主机路由发布，第三类根据接口去转主机路由，即设定具体的转主机路由的接口，仅将通过设定接口的发送的表项转主机路由，这些都为主动设定去转主机路由，即需要用户主动设定能够转主机路由的ARP表项，使得用户操作繁琐，且对于恶意的ARP表项，不能及时阻止其转主机路由发布。

发明内容

有鉴于此，本发明旨在提出一种ARP表项转主机路由方法、装置、电子设备及存储介质，以解决相关技术需要用户手动设定ARP表项转主机路由，操作繁琐且不能及时阻止恶意ARP表项转主机路由发布的问题。

为达到上述目的，本发明的技术方案是这样实现的：

一种ARP表项转主机路由方法，应用于交换机，所述交换机连接流量监控设备，所述流量监控设备连接终端，包括：

在接收到所述流量监控设备转发的来自所述终端的第一报文的情况下，向所述流量监控设备发送黑名单获取请求，以获取第一黑名单；

基于所述第一黑名单，确定是否进行ARP表项转主机路由；

在所述第一报文的源IP地址不在所述第一黑名单中的情况下，确定进行ARP表项转主机路由；

在所述第一报文的源IP地址在所述第一黑名单中的情况下，确定不进行ARP表项转主机路由。

进一步地，所述方法还包括：

在接收到所述流量监控设备转发的来自所述终端的第二报文的情况下，向所述流量监控设备发送黑名单获取请求，以获取所述流量监控设备对所述第一黑名单更新得到的第二黑名单；

基于所述第二黑名单，确定是否进行ARP表项转主机路由；

在所述第二报文的源IP地址不在所述第二黑名单中的情况下，确定进行ARP表项转主机路由；

在所述第二报文的源IP地址在所述第二黑名单中的情况下，确定不进行ARP表项转主机路由。

进一步地，在所述向所述流量监控设备发送黑名单获取请求之前，所述方法还包括：

获取所述交换机的接口信息；

在确定所述接口开启ARP表项转主机路由的情况下，通过所述第一报文对应的ARP表项确定所述第一报文的源IP地址。

进一步地，在所述向所述流量监控设备发送黑名单获取请求之前，所述方法还包括：

获取所述交换机的接口信息；

在确定所述接口未开启ARP表项转主机路由的情况下，不向所述流量监控设备发送黑名单获取请求；

所述向所述流量监控设备发送黑名单获取请求，包括：

在确定所述接口开启ARP表项转主机路由的情况下，向所述流量监控设备发送黑名单获取请求。

本发明的另一目的在于提出一种ARP表项转主机路由方法，以解决相关技术需要用户手动设定ARP表项转主机路由，操作繁琐且不能及时阻止恶意ARP表项转主机路由发布的问题。

为达到上述目的，本发明的技术方案是这样实现的：

一种ARP表项转主机路由方法，应用于流量监控设备，所述流量监控设备分别与终端、交换机连接，包括：

在接收所述终端发送的第一报文时，将所述第一报文转发至所述交换机，并对所述第一报文进行流量监控；

基于所述流量监控的结果，得到第一黑名单；

在接收到所述交换机基于所述第一报文发送的黑名单获取请求时，向所述交换机发送所述第一黑名单。

进一步地，所述方法还包括：

在所述流量监控设备持续接收流量的过程中，实时对所述第一黑名单进行更新。

进一步地，所述方法还包括：

在接收到所述终端发送的第二报文时，将所述第二报文转发至所述交换机，并对所述第二报文进行流量监控；

基于所述流量监控的结果，对最近一次更新后的所述第一黑名单进行更新，得到第二黑名单；

在持续接收流量的过程中，实时对所述第二黑名单进行更新；

在接收到所述交换机基于所述第二报文发送的黑名单获取请求时，向所述交换机发送最近一次更新后的所述第二黑名单。

本发明的另一目的在于提出一种ARP表项转主机路由装置，以解决相关技术需要用户手动设定ARP表项转主机路由，操作繁琐且不能及时阻止恶意ARP表项转主机路由发布的问题。

为达到上述目的，本发明的技术方案是这样实现的：

一种ARP表项转主机路由装置，应用于交换机，所述交换机连接流量监控设备，所述流量监控设备连接终端，包括：

接收模块，用于接收到所述流量监控设备转发的来自所述终端的第一报文；

获取模块，用于在接收到所述流量监控设备转发的来自所述终端的第一报文的情况下，向所述流量监控设备发送黑名单获取请求，以获取第一黑名单；

确定模块，用于基于所述第一黑名单，确定是否发布所述主机路由；

第一确定子模块，用于在所述第一报文的源IP地址不在所述第一黑名单中的情况下，确定进行ARP表项转主机路由；

第二确定子模块，用于在所述第一报文的源IP地址在所述第一黑名单中的情况下，确定不进行ARP表项转主机路由。

所述ARP表项转主机路由装置与上述ARP表项转主机路由方法相对于现有技术所具有的优势相同，在此不做赘述。

本发明的另一目的在于提出一种ARP表项转主机路由装置，以解决相关技术需要用户手动设定ARP表项转主机路由，操作繁琐且不能及时阻止恶意ARP表项转主机路由发布的问题。

为达到上述目的，本发明的技术方案是这样实现的：

一种ARP表项转主机路由装置，应用于流量监控设备，所述流量监控设备分别与终端、交换机连接，包括：

接收模块，用于接收所述终端发送的第一报文；

转发模块，用于在接收所述终端发送的第一报文时，将所述第一报文转发至所述交换机；

流量监控模块，用于在接收所述终端发送的第一报文时，对所述第一报文进行流量监控；

确定模块，用于基于所述流量监控的结果，得到第一黑名单；

发送模块，用于在接收到所述交换机基于所述第一报文发送的黑名单获取请求时，向所述交换机发送所述第一黑名单。

所述ARP表项转主机路由装置与ARP表项转主机路由方法相对于现有技术所具有的优势相同，在此不做赘述。

本发明的另一目的在于提出一种电子设备，以解决相关技术需要用户手动设定ARP表项转主机路由，操作繁琐且不能及时阻止恶意ARP表项转主机路由发布的问题。

一种电子设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行时实现上述ARP表项转主机路由方法中的步骤。

所述电子设备与上述ARP表项转主机路由方法相对于现有技术所具有的优势相同，在此不做赘述。

本发明的另一目的在于提出一种计算机可读存储介质，以解决相关技术需要用户手动设定ARP表项转主机路由，操作繁琐且不能及时阻止恶意ARP表项转主机路由发布的问题。

为达到上述目的，本发明的技术方案是这样实现的：

一种计算机可读存储介质，所述计算机可读存储介质存储执行上述ARP表项转主机路由方法的计算机程序。

所述计算机可读存储介质与上述ARP表项转主机路由方法相对于现有技术所具有的优势相同，在此不做赘述。

相对于现有技术，本发明所述的主机路由发布方法具有以下优势：

本发明通过在接收到所述流量监控设备转发的来自所述终端的第一报文的情况下，向所述流量监控设备发送黑名单获取请求，以获取第一黑名单；基于所述第一黑名单，确定是否进行ARP表项转主机路由；在所述第一报文的源IP地址不在所述第一黑名单中的情况下，确定进行ARP表项转主机路由；在所述第一报文的源IP地址在所述第一黑名单中的情况下，确定不进行ARP表项转主机路由；本发明通过在接收到终端的流量报文时，获取流量监控记录的黑名单，通过确定流量报文的IP地址是否在黑名单内，决定是否进行转主机路由，由于终端报文由流量监控设备转发至交换机，使得流量监控设备能够在每次终端发送报文时对黑名单进行更新，即在确定每次报文是否为恶意流量时，对黑名单进行更新，在不需要用户手动设定ARP表项转主机路由的名单的情况下，避免了恶意ARP表项转主机路由发布，使得网关整体负载提高的问题。同时，由于流量监控设备实时对发送至交换记得流量进行了监控，使得交换机能够通过黑名单及时发现恶意ARP表项，从而能够及时阻止恶意ARP表项转主机路由发布。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1示出了现有技术中去堆叠的服务器架构的结构示意图；

图2示出了本发明实施例一提供的一种ARP表项转主机路由方法的步骤流程图；

图3示出了本发明实施例二提供的一种ARP表项转主机路由方法步骤流程图；

图4示出了本发明实施例三提供的一种ARP表项转主机路由方法步骤流程图；

图5示出了本发明实施例三中交换机接口开启ARP表项转主机路由的控制逻辑示意图；

图6示出了本发明实施例三提供服务器架构的结果示意图；

图7示出了本发明实施例三提供的一种ARP表项转主机路由的控制逻辑图；

图8示出了本发明实施例四提供的一种ARP表项转主机路由装置的结构示意图；

图9示出了本发明实施例五提供的一种ARP表项转主机路由装置的结构示意图。

具体实施方式

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

相关技术中，S-MLAG(Simple Multi-chassis Link Aggregation Group，去堆叠)是透过LACP(Link Aggregation Control Protocol，链路聚合)的特殊方式绑定，通过两台边界设备让服务器认为连接对端的接入交换机是同一个网络设备。服务器同样也要做特殊设定使ARP能在同一个LACP端口双发，当其中一条线路有问题时能马上使用备援的线路来实现高可用性及可靠性，如图1所示，其中一台边界设备线路无法使用时，为了通过备援的线路将数据发送至另一台服务器，就需要通过边界设备下的交换机发送到另一台边界设备，而在此过程中，由于另一台边界设备并未学习到另一台服务器的MAC地址，因此，一般的流程需要再发送ARP请求，以学习到对应的MAC地址。而在S-MLAG的实现方式中，存在相邻边界设备间可通过BGP Type2的路由发布来同步BGP(Border Gateway Protocol，边界网关协议)邻居之间的可达路由，使得另一台边界设备可直接学习到MAC地址，而无需再发送ARP请求，提高了网络传输的效率。

其中，为实现S-MLAG则必须存在ARP表项转主机路由的功能，以将被动学习的ARP主动转为主机路由发布，但是现有的交换机通常仅能够将ARP表项转主机路由，无法避免冗余或是恶意主机路由发布到网络，或是仅能够由用户主动设置能够进行转主机路由的ARP表项，操作繁琐。

有鉴于此，申请人提供了一种ARP表项转主机路由方法、装置、电子设备及存储介质，以解决无法避免恶意主机路由发布到网络或用户需要手动设置转主机路由的问题。

下面将参考附图并结合实施例来详细说明本发明的一种ARP转主机路由方法、装置、电子设备及存储介质。

实施例一

参照图2，图2示出了本发明实施例提供的一种ARP转主机路由方法，其中，本实施例的ARP转主机路由方法应用于交换机，所述交换机连接流量监控设备，所述流量监控设备连接终端，所述方法包括：

S101，在接收到所述流量监控设备转发的来自所述终端的第一报文的情况下，向所述流量监控设备发送黑名单获取请求，以获取第一黑名单。

具体地，本发明实施例中交换机为边界交换设备，即能够是实现ARP表项转主机路由的设备。其中，由于交换机连接流量监控设备，而流量监控设备连接终端，为对终端发送的流量进行监控，终端将报文通过流量监控设备发送至交换机，从而使流量监控设备能够对流量进行实时监控。由于流量监控设备对发送至交换机的流量进行了实时监控，因此，可直接向流量监控设备获取黑名单数据，其中，黑名单数据用于保存恶意流量的源IP地址信息。

具体地，在学习到第一报文的ARP时，通过流量监控设备的应用程序界面获取黑名单数据并保存，以方便后续根据第一报文的源IP地址与黑名单中的源IP地址进行匹配。

S102，基于所述第一黑名单，确定是否进行ARP表项转主机路由。

具体地，通过请求获取到流量监控设备存储的黑名单后，可将第一报文的源IP地址与黑名单中的源IP地址匹配，以确定是否能够将对应ARP表项转主机路由发布，其中，在两者未匹配上时，执行步骤S103，在两者匹配上时，执行步骤S104。

S103，在所述第一报文的源IP地址不在所述第一黑名单中的情况下，确定进行ARP表项转主机路由。

具体地，在确定第一报文的源IP地址不在第一黑名单中，则表示可以进行ARP表项转主机路由发布，则将ARP表项转主机路由后透过BGP协议发布。

S104，在所述第一报文的源IP地址在所述第一黑名单中的情况下，确定不进行ARP表项转主机路由。

具体地，在第一报文源IP地址在第一黑名单中，则表示该IP地址为恶意IP或冗余IP，则不进行转主机路由，进而不会发布主机路由，也就避免了对网关造成负载，影响网络效率的问题。

而在一些实施例中，当交换机收到不同的报文时，有如下操作：

S105，在接收到所述流量监控设备转发的来自所述终端的第二报文的情况下，向所述流量监控设备发送黑名单获取请求，以获取所述流量监控设备对所述第一黑名单更新得到的第二黑名单。

其中，即使是接收到同一源IP地址发送的不同报文，仍然需要进行黑名单匹配工作，以避免出现该IP地址被更改为恶意IP的情况，因此，在接收到终端的第二报文时，即终端在第一报文后发送的报文，仍需要向流量监控设备发送黑名单获取请求，此时，流量监控设备发送的即为对第二报文进行监控后更新的黑名单。由此，通过流量监控设备根据对转发报文的流量监控结果，即可实时更新黑名单，从而使交换机存储的黑名单不断更新。

S106，基于所述第二黑名单，确定是否进行ARP表项转主机路由。

由于获取的黑名单是实时更新的，在确定第二报文的源IP地址时，并不直接按照第一报文的操作结果直接对ARP表项转主机路由发布或是直接放弃ARP表项转主机路由，而是再次在黑名单中查询第二报文对应的源IP地址是否在更新后的黑名单中，再来判断是否进行转主机路由。

具体地，在确定第二报文的源IP地址在第二黑名单中时，对第二报文对应的ARP表项不进行转主机路由；而在确定第二报文的源IP地址不在第二黑名单中时，进行ARP表项转主机路由。

本发明实施例通过在接收到流量监控设备转发的来自终端的第一报文时，向流量监控设备获取黑名单，通过流量监控设备获取的黑名单确定是否对ARP表项转主机路由，再在接收到流量监控设备转发的来自终端的第二报文时，重新向流量监控设别获取黑名单，通过更新后的黑名单确定是否对ARP表项转主机路由，通过实时更新黑名单实现主机路由发布的安全性，并且无需用户手动设置具体的ARP表项转主机路由的名单，减少用户操作，提升了用户体验。同时，减少恶意及冗余的主机路由的发布，也避免了冗余或恶意的主机路由发布到网关造成网络效率较低的情况。

实施例二

参照图3，图3示出了本发明实施例提供的一种ARP表项转主机路由方法的步骤流程图，其中，本实施例提供的ARP表项转主机路由方法应用于流量监控设备，所述流量监控设备分别与终端、交换机连接，如图3所示，所述方法包括：

S201，在接收所述终端的第一报文时，将所述第一报文转发至所述交换机，并对所述第一报文进行流量监控。

在本发明实施例中，在流量监控设备在接收到终端的第一报文时，将其转发到交换机，其中，将报文通过流量监控设备发送到交换机目的就是为了对报文流量进行监测，以确定报文流量是否为恶意流量，通过将恶意流量的源IP地址记录到黑名单中，以便交换机获取，从而避免了交换机将恶意的主机路由发布到网络中，提升网关负载的情况。

S202，基于所述流量监控结果，得到第一黑名单。

具体实施时，可以在流量监控设备中配置第三方流量监控软件，通过流量监控软件监控经流量监控设备转发的报文流量，记录报文流量的源IP地址及流量信息，并根据流量信息判断其是否属于恶意流量，进而在确定恶意流量时将对应的源IP地址记录在黑名单中，其中，流量监控软件可为现有技术中的流量监控软件，如netflow等，本发明不做具体限制。

S203，在接收到所述交换机基于第一报文发送的黑名单获取请求时，向所述交换机发送所述第一黑名单。

具体地，在接收到交换机基于第一报文发送的黑名单获取请求时，则将该第一黑名单发送给交换机，以方便交换机根据黑名单对转主机路由进行筛选。

在具体实施时，由于流量监控设备持续接收报文并转发给交换机，因此，在流量监控设备接收到其他终端设备等的报文时，监控其他设备的报文流量，实时更新黑名单，以记录恶意IP地址。

其中，在终端继续发送第二报文的情况下，流量监控设备执行如下步骤：

S204，在接收到所述终端发送的第二报文时，将所述第二报文转发至所述交换机，并对所述第二报文进行流量监控。

其中，由于流量监控设备会持续对发送的报文进行流量监控，因此，在接收到同一源IP地址的第二报文时，仍然根据第二报文进行流量监控，以确定对应的源IP地址是否在黑名单中，如果在黑名单中，而目前的流量监测结果表示该源IP地址不属于恶意IP，则将其从黑名单中删除，而若是不在黑名单中，但本次监测结果显示该IP地址为流量为恶意流量，则将该恶意流量对应的源IP地址加入黑名单中。

S205，基于所述流量监控的结果，对最近一次更新后的所述第一黑名单进行更新，得到第二黑名单。

具体地，由于流量监控设备在根据第一报文的监测结果得到第一黑名单后，还会针对后续接收的报文持续进行流量监测，因此在接收终端的第二报文时，根据对第二报文的监测结果更新的是上一次更新后的黑名单，而非根据第一报文更新的第一黑名单。

S206，在接收到所述交换机基于所述第二报文发送的黑名单获取请求时，向所述交换机发送最近一次更新后的所述第二黑名单。

其中，由于流量监控设备接收第二报文转发后会继续接收其他报文，如其他终端发送的报文并转发，由此，在对第一黑名单进行更新得到第二黑名单后，第二黑名单仍然在持续更新。因此，在接收到交换机的黑名单获取请求时，可直接将最近一次更新的黑名单发送到交换机，以确保交换机获取的黑名单为最新版本的黑名单。

本发明实施例通过流量监控设备对终端发送到交换机的报文进行流量监控，并通过流量监控结果对黑名单进行更新，其中，在流量监控设备持续接收流量的过程中，根据对报文的流量监控结果对黑名单进行实时更新，实现了黑名单的动态更新，进而交换机获取的黑名单动态更新，使得交换机能够查询到恶意的IP地址，以及时避免恶意主机路由发布到网络上提升网关负载，同时，也避免了需要用户手动设定ARP表项转主机路由名单的情况，减少了用户操作，提升了用户体验。

实施例三

参照图4，图4示出了本发明实施例的一种ARP表项转主机路由方法步骤流程图，其中，本实施例的ARP转主机路由方法应用于交换机，所述交换机连接流量监控设备，所述流量监控设备连接终端，如图4所示，所述方法包括：

S301，在接收到所述流量监控设备转发的来自所述终端的第一报文的情况下，获取所述交换机的接口信息。

在本发明实施例中，还需设定接口开启ARP表项转主机路由，才能够进行转主机路由的操作，因此，在转主机路由之前还需获取交换机的接口信息，以确定对应接口能够进行ARP表项转主机路由。

S302，在确定所述接口开启ARP表项转主机路由的情况下，通过所述第一报文对应的ARP表项确定所述第一报文的源IP地址。

在本发明实施例中，在确定接口开启ARP表项转主机路由的情况下，实际查询模块并未学习到该报文的IP地址，所以还需要确定报文的源IP地址信息，此时，通过ARP表确定该报文对应的IP地址，并计算第一报文的32位IP，以在确定能够转主机路由时直接将对进行ARP表项转主机路由。

而若是在确定接口未开启ARP表项转主机路由的情况下，则表示无法将第一报文的ARP表项转主机路由，因此，无需查询第一报文的源IP地址是否为恶意IP地址。

S303，向所述流量监控设备发送黑名单获取请求，以获取第一黑名单。

S304，基于所述第一黑名单，确定是否进行ARP表项转主机路由。

具体地，将学习到的第一报文的源IP地址与第一黑名单中的源IP地址进行匹配，在未匹配上时，对对应的ARP表项进行转主机路由，并写入路由表中将主机路由发布；若是未匹配上，则不进行ARP表项转主机路由，以防止恶意主机路由发布到网络中，增加网关负载的情况。

其中，参照图5，图5示出了控制接口开启ARP表项转主机路由的控制逻辑图，如图5所示，首先对网络接口设定ARP表项转主机路由，在设定成功时，在数据库中记录接口开启ARP表项转主机路由的事件，在路由模块获取配置更新后，表示该数据接口已经开启ARP表项转主机路由。示例地，Ethernet8这个接口要开启转主机路由,则会在数据库里面纪录Ethenet8:arp_to_host route＝enable，进而路由模块根据数据库记录进行更新，更新后则Ethernet8接口已经开启ARP表项转主机路由。

而在一些实施例中，当交换机收到不同的报文时，有如下操作：

S305，在接收到所述流量监控设备转发的来自所述终端的第二报文的情况下，向所述流量监控设备发送黑名单获取请求，以获取所述流量监控设备对所述第一黑名单更新得到的第二黑名单。

其中，在接收到同一源IP地址的报文时，并不是直接放弃进行ARP表项转主机路由或是直接进行ARP表项转主机路由，而仍然是在获取到报文时进行黑名单查询，依据黑名单的查询结果来确定是否进行ARP表项转主机路由。

S306，基于所述第二黑名单，确定是否进行ARP表项转主机路由。

在本发明实施例中，在获取到第二黑名单时，确定第二报文的源IP地址是否在第二黑名单中，进而确定是否进行ARP表项转主机路由。具体地，在确定第二报文的源IP地址在第二黑名单中时，对第二报文对应的ARP表项不进行转主机路由；而在确定第二报文的源IP地址不在第二黑名单中时，进行ARP表项转主机路由。

下面通过一个具体示例对上述过程进行阐述：

参照图6，图6示出了本发明实施例的控制逻辑示意图，如图6所示，其中，服务器架构如图7所示，在多个设备向流量监控软件发送报文时，流量监控软件对报文进行流量监测并将报文发送至边界交换设备，其中，若流量监控软件流量监控结果表示为恶意流量时，则将该报文的源IP地址记录在黑名单中。

在边界交换设备接收到报文时，确认是否要进行ARP表项转主机路由，在确认需要ARP转主机路由时确认对应接口的是否在工作状态，若是接口并未在工作状态则无法进行转主机路由，在确认接口正常工作时，确定对应接口是否开启ARP表项转主机路由。

其中，根据图5的控制流程，在接口开启ARP表项转主机路由时，会记录在数据库中，因此，可直接查询数据库确认对应接口是否开启ARP表项转主机路由，若是对应接口并未开启ARP表项转主机路由，则不管报文的源IP地址是否在黑名单中都无法进行转主机路由，此时，可以不进行黑名单查询工作。

而在确认对应接口开启ARP表项转主机路由后，则可以进行黑名单查询工作，先根据报文对应的ARP表项确认其源IP地址，并计算32位IP，根据计算的32位IP，并向流量监控软件获取黑名单数据，若无黑名单数据，则表示所有ARP表项都可转主机路由，此时可直接将报文对应的ARP表项转主机路由，并写入路由表进行发布；

而在获取黑名单后，接收到黑名单数据，则将黑名单记录在交换机内，而后将计算得到的32位IP与黑名单中的源IP地址进行匹配，确定该报文对应的源IP地址是否在黑名单中。

若是查询到该报文的源IP地址在黑名单中时，表示接收到的为恶意流量，因此，不进行ARP表项转主机路由，以防止恶意主机路由发布到网络中；若是查询到该报文的源IP地址不在黑名单中时，则进行ARP表项转主机路由，并将主机路由发布。

本发明实施例通过在接收到流量监控设备转发的来自终端的第一报文时，确定接口是否开启ARP表项转主机路由，在确定接口开启ARP表项转主机路由的情况下，向流量监控设备获取黑名单，通过流量监控设备获取的黑名单确定是否对ARP表项转主机路由，再在接收到流量监控设备转发的来自终端的第二报文时，重新向流量监控设别获取黑名单，通过更新后的黑名单确定是否对ARP表项转主机路由，通过实时更新黑名单实现主机路由发布的安全性，并且无需用户手动设置具体的ARP表项转主机路由的名单，减少用户操作，提升了用户体验。同时，减少恶意及冗余的主机路由的发布，也避免了冗余或恶意的主机路由发布到网关造成网络效率较低的情况。

实施例四

参照图8，图8示出了本发明实施例的一种ARP表项转主机路由装置，其中，本实施例的ARP转主机路由装置应用于交换机，所述交换机连接流量监控设备，所述流量监控设备连接终端，如图8所示，所述装置包括：

接收模块401，用于接收到所述流量监控设备转发的来自所述终端的第一报文；

获取模块402，用于在接收到所述流量监控设备转发的来自所述终端的第一报文的情况下，向所述流量监控设备发送黑名单获取请求，以获取第一黑名单；

确定模块403，用于基于所述第一黑名单，确定是否发布所述主机路由；

第一确定子模块，用于在所述第一报文的源IP地址不在所述第一黑名单中的情况下，确定进行ARP表项转主机路由；

第二确定子模块，用于在所述第一报文的源IP地址在所述第一黑名单中的情况下，确定不进行ARP表项转主机路由。

在一些可行的实施例中，所述接收模块401还包括：

第一获取子模块，用于获取所述交换机的接口信息；

第二获取子模块，用于在确定所述接口开启ARP表项转主机路由的情况下，通过所述第一报文对应的ARP表项确定所述第一报文的源IP地址。

实施例五

参照图9，图9示出了本发明实施例的一种ARP表项转主机路由装置，其中，本实施例的ARP表项转主机路由装置应用于流量监控设备，所述流量监控设备分别与终端、交换机连接，如图9所示，所述装置包括：

接收模块501，用于接收所述终端发送的第一报文；

转发模块502，用于在接收所述终端发送的第一报文时，将所述第一报文转发至所述交换机；

流量监控模块503，用于在接收所述终端发送的第一报文时，对所述第一报文进行流量监控；

记录模块504，用于基于所述流量监控的结果，得到第一黑名单；

发送模块505，用于在接收到所述交换机基于所述第一报文发送的黑名单获取请求时，向所述交换机发送所述第一黑名单。

本发明实施例还提供了一种电子设备，该电子设备可以包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器上述任一实施例所述的ARP表项转主机路由方法。

本发明实施例还提供了一种计算机可读存储介质，当所述存储介质中的指令由处理器执行时，使得所述处理器能够执行上述任一实施例所述的ARP表项转主机路由方法所执行的操作。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本发明所提供的一种ARP表项转主机路由方法、装置、电子设备及存储介质，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。