專利名稱:一種報文轉(zhuǎn)發(fā)方法�����、裝置及網(wǎng)絡(luò)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)數(shù)據(jù)通訊領(lǐng)域���,尤其涉及一種報文轉(zhuǎn)發(fā)方法�、裝置及網(wǎng)絡(luò)設(shè)備��。
背景技術(shù):
防火墻的報文過濾功能并非僅僅以某個單個報文為目標(biāo)�,根據(jù)規(guī)則允許或阻止其 通過;而是跟蹤完整的數(shù)據(jù)交互過程���,在一定的上下文環(huán)境中�,審核數(shù)據(jù)交互過程雙方每個 往來報文的合法性����。防火墻一般通過“流”來記錄數(shù)據(jù)交互過程的上下文環(huán)境。以傳輸控制協(xié)議(Transmission Control Protocol, TCP)報文為例同步(SYN, synchronize)報文是一次數(shù)據(jù)交互的開始�����,防火墻收到SYN報文后�����,創(chuàng)建一個流記錄����。在這 種狀況下,只允許SYN報文的響應(yīng)端響應(yīng)一個SYNACK報文��,或SYN報文的發(fā)起端重發(fā)SYN報 文��;如果收到SYN報文發(fā)起端的非SYN報文���,或收到SYN報文響應(yīng)端的非同步確認(rèn)(SYNACK) 報文��,都認(rèn)為非法��。如果防火墻收到一個非SYN報文,并且沒有任何一條“流”記錄與該報 文匹配��,也就是說不存在該非SYN報文的上下文環(huán)境�,則認(rèn)為該非SYN報文非法�����。其他類型 報文�����,如結(jié)束(FIN)報文����、確認(rèn)(ACK)報文等�,也是通過上下文環(huán)境,決定取舍�����。目前�,防火墻以“鏈表數(shù)組”的形式組織和管理流,這個“鏈表數(shù)組”通常稱為“流 表”�。還是以TCP報文為例,防火墻一般通過五元組標(biāo)識一個TCP流����,這五元組由源IP、 目的IP、協(xié)議類型���,源端口和目的端口五部分信息組成���。每收到一個TCP報文,防火墻從報頭提取出源IP�����、目的IP����、協(xié)議類型,源端口和目 的端口�,將五元組經(jīng)過哈希(HASH)運算,得到的HASH結(jié)果(假設(shè)為X)���,作為“流表”的索 引��。在“流表”的索引值為X位置上�����,是一條“流”記錄鏈表���,反過來說,該鏈表的每個 節(jié)點是一個“流”記錄�����,每個“流”的五元組的HASH運算結(jié)果都等于X����。防火墻把該TCP報文的五元組與鏈表上的每個節(jié)點所記錄的五元組逐個匹配,如 果能夠匹配表示該報文所屬的“流”已存在��;否則���,防火墻在確定該TCP報文符合創(chuàng)建新連 接的條件后����,將創(chuàng)建一個“流”�����,添加到在“流表”的索引值為X位置的“流”鏈表上���,以記錄 該報文所屬的連接的上下文環(huán)境���。導(dǎo)致防火墻新創(chuàng)建一個“流”記錄的報文�����,通常稱為“首 報文”����。透明模式的防火墻類似網(wǎng)橋����,防火墻的各個接口成對配成“橋組”,每個橋組有且 只有兩個成員接口�,網(wǎng)絡(luò)報文從一個接口(即接收接口,以下稱“入接口”)被防火墻接收���, 如果通過防火墻審查��,允許轉(zhuǎn)發(fā)�����,則該報文一定從與“入接口���,�,同屬一個橋組的另一個接口 (即發(fā)送出口�,以下稱“出接口”)離開防火墻;反之�����,如果報文從“出接口”進���,如果沒有被 防火墻甄別為非法而被丟棄的話,則一定會從“入接口 ”出�����。創(chuàng)建流記錄的過程中��,透明模式防火墻需要在橋組表中找到接收“首報文”的“入 接口�,,所屬的橋組���,接著獲得與“入接口���,,同屬于一個橋組的“出接口 ”��,“入接口,�����,與流的發(fā)起端(也就是“首報文”的發(fā)起端)對應(yīng)����,“出接口”與流的響應(yīng)端(也就是“首報文”的響
應(yīng)端)對應(yīng),保存在流記錄中����。當(dāng)收到屬于該流的后續(xù)報文,防火墻確認(rèn)報文合法后�����,如果報文來源是“發(fā)起端”�, 則從“出接口”離開防火墻;如果報文來源是“響應(yīng)端”�����,則從“入接口”離開防火墻�。通過把“入接口”和“出接口”與發(fā)起端和響應(yīng)端對應(yīng),記錄在“流”中�,流創(chuàng)建后��, 防火墻無需再為了確定報文離開防火墻的路徑��,而查詢橋組表����,減少這項查詢操作���,有助于 提高報文轉(zhuǎn)發(fā)率。發(fā)明人發(fā)現(xiàn)����,現(xiàn)有技術(shù)中,透明模式的防火墻橋接的兩個物理子網(wǎng)經(jīng)該防火墻轉(zhuǎn) 發(fā)報文時��,如果不論報文發(fā)送的方向如何���,報文的內(nèi)容一樣���,換言之,報文中包含的五元組 一樣���,但是從該防火墻橋接的兩個接口分別接收的�����,就會引發(fā)錯誤轉(zhuǎn)發(fā)的問題����,下面舉一個 實例進行說明假設(shè)透明模式防火墻橋接兩個物理子網(wǎng)(子網(wǎng)Net_A和子網(wǎng)Net_ B),子網(wǎng)Net_A 接在防火墻的接口 Intf_Ai�����,子網(wǎng)Net_B接在防火墻的接口 Intf_B上�����。兩個子網(wǎng)的PC機的IP都是動態(tài)配置的���,網(wǎng)絡(luò)中唯一的一臺動態(tài)主機配置協(xié)議 (DHCP, Dynamic Host Configuration Protocol)服務(wù)器放置在子網(wǎng) Net_A�。位于子網(wǎng)Net_A的主機PC_A在啟動的時候發(fā)出DHCP-discover廣播報文(源IP 地址為0. 0. 0. 0��、目的IP地址為255. 255. 255. 255����、源端口為68、目的端口為67、協(xié)議類型 為UDP協(xié)議)PKT_1�,請求DHCP服務(wù)器為其分配ΙΡ,因為ΡΚΤ_1是廣播報文��,所以子網(wǎng)Net_ A的所有設(shè)備���,包括防火墻在內(nèi)�����,都會收到PKT_1��。防火墻收到ΡΚΤ_1后����,經(jīng)過遍歷存儲的流表����,沒有與任何現(xiàn)存的流記錄匹配���,而 且ΡΚΤ_1也沒有違背用戶設(shè)定的流創(chuàng)建的限制策略����,于是防火墻以ΡΚΤ_1作為首報文,創(chuàng) 建一條流記錄“入接口” Intf_A���、對應(yīng)發(fā)起端0. 0. 0.0 ��;“出接口” Intf_B��、對應(yīng)響應(yīng)端 255. 255. 255. 255�。并把 PKT_1 轉(zhuǎn)發(fā)到子網(wǎng) Net_B��。隨后��,位于子網(wǎng)Net_B的主機PC_B也啟動了�����,也發(fā)出了 DHCP-discover廣播報文 PKT_2,因為所有的DHCP-discover廣播報文的內(nèi)容完全相同�����,所以PKT_1和ΡΚΤ_2的包含
的五元組也一模一樣�����。防火墻收到ΡΚΤ_2后���,提取其五元組(源IP地址�����、目的IP地址���、源端口����、目的端口 和協(xié)議類型)信息�,遍歷存儲的流表,發(fā)現(xiàn)與ΡΚΤ_1所屬的流記錄匹配����,因為流記錄中響應(yīng) 端255. 255. 255. 255對應(yīng)的接口是Intf_B,因此防火墻就把PKT_2從Intf_B轉(zhuǎn)發(fā)出去���。這樣,PKT_2就相當(dāng)于被防火墻擋回來����,不能到達(dá)位于子網(wǎng)Net_A中的DHCP服務(wù) 器,造成了 PC_B無法分配到IP�����。
發(fā)明內(nèi)容
本發(fā)明實施例提供了一種報文轉(zhuǎn)發(fā)方法、裝置及網(wǎng)絡(luò)設(shè)備����,用以實現(xiàn)透明模式的 防火墻對從組成橋組的兩個不同接口接收的、具有相同五元組信息的報文的正確轉(zhuǎn)發(fā)�����。本發(fā)明實施例提供的一種報文轉(zhuǎn)發(fā)方法��,包括確定接收報文的第一接口 ����;從接收的所述報文中提取五元組信息;將所述五元組信息與流表中的流記錄的五元組信息進行匹配����;如果匹配成功,比較所述第一接口與匹配的第一流記錄中報文發(fā)起端對應(yīng)的接收接口是否一致��,若一致����,則 從所述第一流記錄中報文響應(yīng)端對應(yīng)的發(fā)送接口轉(zhuǎn)發(fā)該報文���;若不一致,則在流表中建立 第二流記錄����,在所述第二流記錄中將與所述第一接口組成橋組的第二接口作為報文響應(yīng)端 對應(yīng)的發(fā)送接口,從所述第二接口轉(zhuǎn)發(fā)該報文�。本發(fā)明實施例提供的一種報文轉(zhuǎn)發(fā)裝置,包括確定單元����,用于確定接收報文的第一接口 ;提取單元���,用于從接收的所述報文中提取五元組信息��;匹配單元����,用于將所述五元組信息與流表中的流記錄的五元組信息進行匹配����;比較單元�����,用于當(dāng)匹配單元匹配成功時,比較所述第一接口與匹配的第一流記錄 中報文發(fā)起端對應(yīng)的接收接口是否一致�;流記錄創(chuàng)建單元,用于當(dāng)所述比較單元的比較結(jié)果為不一致時����,在流表中創(chuàng)建第 二流記錄,在所述第二流記錄中將與所述第一接口組成橋組的第二接口作為報文響應(yīng)端對 應(yīng)的發(fā)送接口�;轉(zhuǎn)發(fā)單元,用于當(dāng)所述比較單元的比較結(jié)果為一致時��,從所述第一流記錄中報文 響應(yīng)端對應(yīng)的發(fā)送接口轉(zhuǎn)發(fā)該報文����;或者當(dāng)所述比較單元的比較結(jié)果為不一致時,從第二 流記錄中的所述第二接口轉(zhuǎn)發(fā)該報文����。本發(fā)明實施例提供的一種網(wǎng)絡(luò)設(shè)備,包含有上述報文轉(zhuǎn)發(fā)裝置����。本發(fā)明實施例的有益效果包括本發(fā)明實施例提供的報文轉(zhuǎn)發(fā)方法、裝置及網(wǎng)絡(luò)設(shè)備��,在分別從組成橋組的一對 接口接收具有相同五元組信息的報文的情況下,當(dāng)報文的五元組信息與流表中已創(chuàng)建的流 記錄的五元組信息匹配�、但接收接口與該流記錄中報文發(fā)送端對應(yīng)的接口不一致時,為該 報文重新創(chuàng)建第二流記錄�,并從后建立的第二流記錄中記錄的與第一接口組成橋組的第二 接口轉(zhuǎn)發(fā),避免了現(xiàn)有技術(shù)中出現(xiàn)的當(dāng)接收報文的第一接口與匹配的流記錄中報文發(fā)送端 對應(yīng)的接收接口不一致時�,也按照該匹配的流記錄中報文響應(yīng)端的發(fā)送接口發(fā)送該報文, 導(dǎo)致出現(xiàn)從第一接口接收的報文再從第一接口轉(zhuǎn)發(fā)回去的問題���,從而實現(xiàn)了透明模式的防 火墻對于從組成橋組的兩個不同接口接收的��、具有相同五元組信息的報文的正確轉(zhuǎn)發(fā)���。
圖1為本發(fā)明實施例提供的報文轉(zhuǎn)發(fā)方法的流程圖;圖2為本發(fā)明實施例提供的具體實例的網(wǎng)絡(luò)連接示意圖�;圖3為本發(fā)明實施例提供的報文轉(zhuǎn)發(fā)裝置的結(jié)構(gòu)示意圖。
具體實施例方式下面結(jié)合附圖�,對本發(fā)明提供的一種報文轉(zhuǎn)發(fā)方法、裝置及網(wǎng)絡(luò)設(shè)備的具體實施 方式進行詳細(xì)的說明�。本發(fā)明實施例提供的報文轉(zhuǎn)發(fā)方法,如圖1所示��,包括下述步驟S101�����、確定防火墻接收報文的第一接口 �����;S102�、防火墻從接收的該報文中提取五元組信息。S103��、防火墻將五元組信息與流表中的流記錄的五元組信息進行匹配��;如果匹配成功����,則執(zhí)行步驟S104 ;如果匹配不成功�����,則執(zhí)行步驟S108 �;S104、防火墻進一步比較該防火墻接收該報文的第一接口與匹配的第一流記錄中 報文發(fā)起端的接收接口是否一致�,若一致,則執(zhí)行步驟S105���,若不一致�����,則執(zhí)行步驟S106 �;S105、從第一流記錄中記錄的報文發(fā)送接口轉(zhuǎn)發(fā)該報文�����;S106�����、在流表中建立第二流記錄�,在該第二流記錄中將與第一接口組成橋組的第 二接口作為報文響應(yīng)端對應(yīng)的發(fā)送接口 ;然后執(zhí)行S107 �����;S107�����、從第二接口轉(zhuǎn)發(fā)該報文���。S108��、按照現(xiàn)有透明模式的防火墻創(chuàng)建流記錄的方法創(chuàng)建一條新的流記錄����。上述步驟SlOl中��,防火墻從接收到的報文中提取五元組信息的方法與現(xiàn)有技術(shù) 相同��,即提取報文的源IP地址�、目的IP地址、源端口��、目的端口以及協(xié)議類型的五項信息��。上述步驟S103中���,防火墻遍歷其存儲的流表中的各條流記錄���,將接收的報文的五 元組信息,與流表中各條流記錄的五元組信息進行比較���,如果存在某條流記錄中的五元組 信息與提取出的五元組信息一致�����,則認(rèn)為匹配成功����,如果接收的報文的五元組信息,與流表 中每一條流記錄中的五元組信息都不相同��,則認(rèn)為匹配不成功��。在本發(fā)明實施例中���,與現(xiàn)有技術(shù)中透明模式的防火墻的工作模式不同之處在于�, 在五元組信息匹配成功時����,還需要執(zhí)行上述步驟S104。上述步驟S104中��,按照現(xiàn)有流表中每個流記錄��,除了記錄該報文的五元組信息���, 還包含了該防火墻中與該報文發(fā)起端與接收接口(或稱入接口)的對應(yīng)關(guān)系和與該報文響 應(yīng)端和發(fā)送接口(或稱出接口)的對應(yīng)關(guān)系���,只有在防火墻當(dāng)前實際接收報文的接口��,與流 表中五元組與之匹配的那個流記錄中記錄的報文發(fā)起端對應(yīng)的接收接口一致時����,才認(rèn)為該 報文完全與該條流記錄完全匹配��,在完全匹配的情況下�����,才允許報文從該流記錄中記錄的 報文響應(yīng)端的發(fā)送接口發(fā)送出去���。在五元組信息都無法與流表中的流記錄匹配,或者在五元組與流表中的流記錄匹 配成功���,但是該防火墻實際接收該報文的接口和與之匹配的流記錄中報文發(fā)起端對應(yīng)的接 收接口不一致��,也認(rèn)為該報文無法與流表中的流記錄完全匹配����,需要以該報文作為首報文����, 建立一條新的流記錄即第二流記錄���,在該流記錄中,不僅包含五元組信息����,還包含有報文發(fā) 送端與第一接口的對應(yīng)關(guān)系信息以及報文響應(yīng)端與第二接口的對應(yīng)關(guān)系信息,第一接口和 第二接口是該防火墻的一對橋組接口���,是預(yù)先就配對完成的�。上述步驟S106中��,在流表中建立第二流記錄�,即在流表中創(chuàng)建一條新的包含有該 報文的五元組信息、將第一接口作為報文發(fā)起端的接收接口即報文發(fā)起端與第一接口的對 應(yīng)關(guān)系信息�����,以及將與第一接口組成橋組的第二接口作為報文響應(yīng)端的發(fā)送接口即報文響 應(yīng)端與第二接口的對應(yīng)關(guān)系信息的記錄����,該新的記錄作為第二流記錄。上述步驟S106和S108創(chuàng)建流記錄時���,較佳地�����,使用數(shù)據(jù)鏈表的形式創(chuàng)建流記錄���。為了更清楚地說明本發(fā)明實施例提供的報文轉(zhuǎn)發(fā)方法���,下面以背景技術(shù)中提到的 DHCP報文的轉(zhuǎn)發(fā)的具體實例對本發(fā)明實施例提供的報文轉(zhuǎn)發(fā)方法進行詳細(xì)說明。如圖2所示����,透明模式的防火墻連接子網(wǎng)A和子網(wǎng)B,子網(wǎng)A連接在防火墻的接口A上����,子網(wǎng)B連接在防火墻的接口 B上�����,網(wǎng)絡(luò)中只有一臺DHCP服務(wù)器放置在子網(wǎng)A中����。當(dāng) 然�,該防火墻并不僅僅連接了這一對子網(wǎng)�����,它還有可能連接有其他成對的子網(wǎng)�,本發(fā)明實施 例僅以其中一對子網(wǎng)進行說明。
位于子網(wǎng)A的主機PC_A1在啟動后向DHCP服務(wù)器發(fā)送動態(tài)主機配置協(xié)議發(fā)現(xiàn) (DHCP Discover)的廣播報文�����,該廣播報文的五元組信息為源IP地址為0. 0. 0. 0�����、目的IP 地址為255. 255. 255. 255��、源端口為68��、目的端口為67��、協(xié)議類型為UDP協(xié)議����,防火墻接收到 該廣播報文后,遍歷存儲的流表���,發(fā)現(xiàn)沒有任何已有的流記錄的五元組信息與之匹配����,防火 墻以該廣播報文為首報文,創(chuàng)建一條流記錄(以下稱為第一流記錄)����,該第一流記錄中,除 了記錄該廣播報文的五元組信息��,還記錄該廣播報文的發(fā)起端(IP地址0.0. 0.0)與接口 A 的對應(yīng)關(guān)系信息���,以及該廣播報文的響應(yīng)端(IP地址為255. 255. 255. 255)與接口 B的對應(yīng) 關(guān)系信息����,然后將該廣播報文從接口 B發(fā)送出去���。如果在防火墻完成主機PC_A1的DHCP discover廣播報文轉(zhuǎn)發(fā)的過程后,再次出 現(xiàn)子網(wǎng)A中的一個主機PC_A2向該DHCP服務(wù)器發(fā)送DHCP Discover廣播報文����,按照本發(fā)明 實施例提供的上述技術(shù)方案,由于每個DHCP Discover廣播報文的內(nèi)容都是一樣的�,提取主 機PC_A2發(fā)送的廣播報文中五元組信息�����,可以與流表存儲的已有的第一流記錄相匹配�����,并 且����,以由于防火墻實際是從接口 A接收的該DHCP discover廣播報文���,與該第一流記錄中記 錄的報文發(fā)起端對應(yīng)的接收接口一致����,因此����,可以通過該第一流記錄記錄的該報文響應(yīng)端 對應(yīng)的接口 B轉(zhuǎn)發(fā)該DHCP discover廣播報文。
如果在防火墻完成主機PC_A1的DHCP discover廣播報文轉(zhuǎn)發(fā)的過程后���,再次出 現(xiàn)子網(wǎng)B中的一個主機PC_B1向該DHCP服務(wù)器發(fā)送DHCP Discover廣播報文��,按照本發(fā)明 實施例提供的上述技術(shù)方案����,由于每個DHCP Discover廣播報文的內(nèi)容都是一樣的,提取主 機PC_A2發(fā)送的廣播報文中五元組信息����,可以與流表存儲的已有的第一流記錄相匹配,但 是��,將防火墻實際接收該廣播報文的接口 B��,與第一流記錄中記錄的報文發(fā)送端對應(yīng)的接口 A進行比較時��,發(fā)現(xiàn)兩者不一致�,則以該廣播報文為首報文,在流表中重新創(chuàng)建一個新的流 記錄(以下稱為第二流記錄)�����,該第二流記錄除了記錄該廣播報文的五元組信息即源IP 地址為0. 0. 0. 0��、目的IP地址為255. 255. 255. 255�、源端口為68、目的端口為67�����、協(xié)議類型 為UDP協(xié)議之外�����,還記錄了該廣播報文的報文發(fā)起端(IP地址為0. 0. 0. 0)與接口 B的對應(yīng) 關(guān)系�����,以及記錄該廣播報文的報文響應(yīng)端(IP地址為255. 255. 255. 255)與接口 A的對應(yīng)關(guān) 系���,然后按照第二流記錄�����,將該廣播報文從接口 A轉(zhuǎn)發(fā)出去�����,從而實現(xiàn)了報文的正確轉(zhuǎn)發(fā)�。在創(chuàng)建了第二流記錄之后��,如果子網(wǎng)B中的一個主機PC_B2向該DHCP服務(wù)器發(fā)送 DHCP Discover廣播報文����,與主機PC_A2的情況類似�����,提取該廣播報文的五元組信息����,與第 一流記錄和第二流記錄都匹配����,但接收該廣播報文的接口即接口 B與第二流記錄中報文發(fā) 起端對應(yīng)的接口 B—致,因此��,按照第二流記錄中記錄的報文響應(yīng)端對應(yīng)的接口 A轉(zhuǎn)發(fā)該廣 播報文��,從而到達(dá)了子網(wǎng)A中的DHCP服務(wù)器�,實現(xiàn)了廣播報文的正確轉(zhuǎn)發(fā)?���;谕话l(fā)明構(gòu)思,本發(fā)明實施例還提供了一種報文轉(zhuǎn)發(fā)裝置及網(wǎng)絡(luò)設(shè)備��,由于 該裝置及設(shè)備解決問題的原理與前述一種報文轉(zhuǎn)發(fā)方法相似�����,因此該裝置和防火墻的實施 可以參見方法的實施,重復(fù)之處不在贅述�。本發(fā)明實施例提供的一種報文轉(zhuǎn)發(fā)裝置��,如圖3所示���,包括提取單元301����,用于確定接收報文的第一接口 �����;確定單元302�����,用于從接收的該報文中提取五元組信息����;匹配單元303,用于將五元組信息與流表中的流記錄的五元組信息進行匹配����;比較單元304���,用于當(dāng)匹配單元匹配成功時,比較第一接口與匹配的第一流記錄中報文發(fā)起端對應(yīng)的接收接口是否一致�;流記錄創(chuàng)建單元305,用于當(dāng)比較單元304的比較結(jié)果為不一致時���,在流表中創(chuàng)建 第二流記錄�,在第二流記錄中將與第一接口組成橋組的第二接口作為報文響應(yīng)端對應(yīng)的發(fā) 送接口 �;轉(zhuǎn)發(fā)單元306,用于當(dāng)比較單元304的比較結(jié)果為一致時�����,從第一流記錄中報文響 應(yīng)端對應(yīng)的發(fā)送接口轉(zhuǎn)發(fā)該報文�;或者當(dāng)比較單元304的比較結(jié)果為不一致時,從第二流 記錄中的第二接口轉(zhuǎn)發(fā)該報文�����。進一步地���,本發(fā)明實施例提供的報文轉(zhuǎn)發(fā)裝置中的流記錄創(chuàng)建單元305�����,還用于當(dāng) 匹配單元303匹配不成功時�,將該報文作為首報文,在流表中建立一條新的流記錄��。本發(fā)明實施例提供的流記錄創(chuàng)建單元305�����,進一步用于在流表中創(chuàng)建一條包含有 該報文的五元組信息��、報文發(fā)起端與第一接口的對應(yīng)關(guān)系信息��,以及報文響應(yīng)端與第二接 口的對應(yīng)關(guān)系信息的記錄作為第二流記錄�。本發(fā)明實施例還提供了一種網(wǎng)絡(luò)設(shè)備�����,該網(wǎng)絡(luò)設(shè)備包含上述報文轉(zhuǎn)發(fā)裝置����,能夠 實現(xiàn)接收接口不同但具有相同五元組信息的報文的正確轉(zhuǎn)發(fā)。較佳地�,本發(fā)明實施例提供的上述網(wǎng)絡(luò)設(shè)備為防火墻��。本發(fā)明實施例提供的報文轉(zhuǎn)發(fā)方法����、裝置及網(wǎng)絡(luò)設(shè)備���,在分別從組成橋組的一對 接口接收具有相同五元組信息的報文的情況下�,當(dāng)報文的五元組信息與流表中已創(chuàng)建的流 記錄的五元組信息匹配���、但接收接口與該流記錄中報文發(fā)送端對應(yīng)的接口不一致時��,為該 報文重新創(chuàng)建第二流記錄�,并從后建立的第二流記錄中記錄的與第一接口組成橋組的第二 接口轉(zhuǎn)發(fā)����,避免了現(xiàn)有技術(shù)中出現(xiàn)的當(dāng)接收報文的第一接口與匹配的流記錄中報文發(fā)送端 對應(yīng)的接收接口不一致時,也按照該匹配的流記錄中報文響應(yīng)端的發(fā)送接口發(fā)送該報文��, 導(dǎo)致出現(xiàn)從第一接口接收的報文再從第一接口轉(zhuǎn)發(fā)回去的問題���,從而實現(xiàn)了透明模式的防 火墻對于從組成橋組的兩個不同接口接收的�����、具有相同五元組信息的報文的正確轉(zhuǎn)發(fā)��。顯然��,本領(lǐng)域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精 神和范圍���。這樣���,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍 之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)�。
權(quán)利要求
一種報文轉(zhuǎn)發(fā)方法���,其特征在于�����,包括確定接收報文的第一接口����;從接收的所述報文中提取五元組信息�;將所述五元組信息與流表中的流記錄的五元組信息進行匹配;如果匹配成功����,比較所述第一接口與匹配的第一流記錄中報文發(fā)起端對應(yīng)的接收接口是否一致��,若一致�,則從所述第一流記錄中報文響應(yīng)端對應(yīng)的發(fā)送接口轉(zhuǎn)發(fā)該報文��;若不一致�,則在流表中創(chuàng)建第二流記錄,在所述第二流記錄中將與所述第一接口組成橋組的第二接口作為報文響應(yīng)端對應(yīng)的發(fā)送接口�,從所述第二接口轉(zhuǎn)發(fā)該報文。
2.如權(quán)利要求1所述的方法�����,其特征在于���,在流表中創(chuàng)建第二流記錄�,包括 在流表中創(chuàng)建一條包含有該報文的五元組信息����、所述報文發(fā)起端與所述第一接口的對應(yīng)關(guān)系信息,以及所述報文響應(yīng)端與所述第二接口的對應(yīng)關(guān)系信息的記錄作為第二流記 錄����。
3.如權(quán)利要求1所述的方法����,其特征在于���,如果匹配不成功����,則將所述報文作為首報 文����,在流表中創(chuàng)建一條新的流記錄。
4.如權(quán)利要求1或2所述的方法�,其特征在于,使用數(shù)據(jù)鏈表的形式創(chuàng)建第二流記錄�。
5.一種報文轉(zhuǎn)發(fā)裝置���,其特征在于��,包括 確定單元�����,用于確定接收報文的第一接口 �;提取單元,用于從接收的所述報文中提取五元組信息����; 匹配單元,用于將所述五元組信息與流表中的流記錄的五元組信息進行匹配���; 比較單元���,用于當(dāng)匹配單元匹配成功時,比較所述第一接口與匹配的第一流記錄中報 文發(fā)起端對應(yīng)的接收接口是否一致����;流記錄創(chuàng)建單元,用于當(dāng)所述比較單元的比較結(jié)果為不一致時�����,在流表中創(chuàng)建第二流 記錄����,在所述第二流記錄中將與所述第一接口組成橋組的第二接口作為報文響應(yīng)端對應(yīng)的 發(fā)送接口 ;轉(zhuǎn)發(fā)單元����,用于當(dāng)所述比較單元的比較結(jié)果為一致時��,從所述第一流記錄中報文響應(yīng) 端對應(yīng)的發(fā)送接口轉(zhuǎn)發(fā)該報文�;或者當(dāng)所述比較單元的比較結(jié)果為不一致時�����,從第二流記 錄中的所述第二接口轉(zhuǎn)發(fā)該報文�����。
6.如權(quán)利要求5所述的裝置�����,其特征在于��,所述流記錄創(chuàng)建單元���,進一步用于在流表中 創(chuàng)建一條包含有該報文的五元組信息、所述報文發(fā)起端與所述第一接口的對應(yīng)關(guān)系信息����, 以及所述報文響應(yīng)端與所述第二接口的對應(yīng)關(guān)系信息的記錄作為第二流記錄。
7.如權(quán)利要求5所述的裝置,其特征在于��,所述流記錄創(chuàng)建單元��,還用于當(dāng)所述匹配單 元匹配不成功時��,將所述報文作為首報文��,在流表中建立一條新的流記錄�����。
8.—種網(wǎng)絡(luò)設(shè)備���,其特征在于�����,包含如權(quán)利要求5 7任一權(quán)利要求所述的報文轉(zhuǎn)發(fā)裝置�。
全文摘要
本發(fā)明公開了一種報文轉(zhuǎn)發(fā)方法��、裝置及網(wǎng)絡(luò)設(shè)備�,其中方法包括確定接收報文的第一接口;從接收的報文中提取五元組信息����;將五元組信息與流表中的流記錄的五元組信息進行匹配��;如果匹配成功���,比較第一接口與匹配的第一流記錄中報文發(fā)起端對應(yīng)的接收接口是否一致,若一致�,則從第一流記錄中報文響應(yīng)端對應(yīng)的發(fā)送接口轉(zhuǎn)發(fā)該報文;若不一致�����,則在流表中創(chuàng)建第二流記錄���,在該第二流記錄中將第一接口組成橋組的第二接口作為報文響應(yīng)端對應(yīng)的發(fā)送接口���;從第二接口轉(zhuǎn)發(fā)該報文。本發(fā)明實現(xiàn)了透明模式的防火墻對從組成橋組的兩個不同接口接收的�、具有相同五元組信息的報文的正確轉(zhuǎn)發(fā)。
文檔編號H04L12/56GK101834783SQ20101013661
公開日2010年9月15日 申請日期2010年3月29日 優(yōu)先權(quán)日2010年3月29日
發(fā)明者黃凱明 申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司