專利名稱:報文轉(zhuǎn)發(fā)方法�、設(shè)備及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技木,尤其涉及ー種報文轉(zhuǎn)發(fā)方法�、設(shè)備及系統(tǒng)��。
背景技術(shù):
防火墻通常是由軟件和硬件設(shè)備組合而成���,用于在內(nèi)部網(wǎng)和外部網(wǎng)之間���、專用網(wǎng)與公共網(wǎng)之間、局域網(wǎng)(Intranet)與互聯(lián)網(wǎng)(Internet)之間建立起ー個安全網(wǎng)關(guān)(Security Gateway),從而保護內(nèi)部網(wǎng)����、專用網(wǎng)或局域網(wǎng)不受非法用戶的侵入。現(xiàn)有技術(shù)中一般會部署防火墻雙機熱備����,為了實現(xiàn)流量負載均衡,還出現(xiàn)了負載分擔(dān)方式的雙機備份����。即在正常情況下,對于一條流來說����,該流的流量走其中的ー個防火墻�����,該防火墻將轉(zhuǎn)發(fā)該流所需的流表同步給另ー個防火墻進行備份�����,當(dāng)該防火墻發(fā)生故障 吋�����,該流的流量切換到另ー個防火墻���。在雙機備份情況下,要求同一流的流量路徑對稱��,也就是�����,當(dāng)一個流的流量走ー個防火墻時��,要求該流回程的流量也走該防火墻���,否則該流回程的流量將被丟棄�。但是在網(wǎng)絡(luò)流量繁重的情況下,大量流表的同步可能無法及時完成���,這樣當(dāng)該流的流量從另ー防火墻回程時��,就會被丟棄,造成流量丟失�。
發(fā)明內(nèi)容
本發(fā)明提供ー種報文轉(zhuǎn)發(fā)方法、設(shè)備及系統(tǒng)����,用以解決防火墻雙機熱備場景下流量丟失的問題。本發(fā)明一方面提供ー種報文轉(zhuǎn)發(fā)方法����,包括互為熱備的多個防火墻中的從防火墻接收報文流中的非首報文;如果所述從防火墻在本地未找到轉(zhuǎn)發(fā)所述非首報文所需的流表�,通過與所述互為熱備的多個防火墻中的主防火墻之間的報文轉(zhuǎn)發(fā)隧道,將所述非首報文轉(zhuǎn)發(fā)給所述主防火墻���,以使所述主防火墻根據(jù)本地的所述流表轉(zhuǎn)發(fā)所述非首報文��。本發(fā)明一方面還提供ー種防火墻設(shè)備�����,包括第一接收模塊�,用于接收報文流中的非首報文,其中��,所述防火墻設(shè)備為互為熱備的多個防火墻中的從防火墻��;第一轉(zhuǎn)發(fā)模塊�����,用于在本地未找到轉(zhuǎn)發(fā)所述非首報文所需的流表時�,通過與所述互為熱備的多個防火墻中的主防火墻之間的報文轉(zhuǎn)發(fā)隧道,將所述非首報文轉(zhuǎn)發(fā)給所述主防火墻���,以使所述主防火墻根據(jù)本地的所述流表轉(zhuǎn)發(fā)所述非首報文��。本發(fā)明另一方面提供ー種報文轉(zhuǎn)發(fā)方法���,包括互為熱備的多個防火墻中的主防火墻通過與所述互為熱備的多個防火墻中的從防火墻之間的報文轉(zhuǎn)發(fā)隧道,接收所述從防火墻發(fā)送的非首報文�����,所述非首報文為所述從防火墻接收到的報文流中的報文;所述主防火墻根據(jù)本地轉(zhuǎn)發(fā)所述非首報文所需的流表���,轉(zhuǎn)發(fā)所述非首報文�����。本發(fā)明另一方面還提供ー種防火墻設(shè)備�����,包括第二接收模塊,用于通過與互為熱備的多個防火墻中的從防火墻之間的報文轉(zhuǎn)發(fā)隧道�,接收所述從防火墻發(fā)送的非首報文,所述非首報文為所述從防火墻接收到的報文流中的報文��;其中�,所述防火墻設(shè)備為所述互為熱備的多個防火墻中的主防火墻;第二轉(zhuǎn)發(fā)模塊����,用于根據(jù)本地轉(zhuǎn)發(fā)所述非首報文所需的流表,轉(zhuǎn)發(fā)所述非首報文��。本發(fā)明又一方面提供ー種報文轉(zhuǎn)發(fā)系統(tǒng)����,包括本發(fā)明一方面提供的任一防火墻設(shè)備和另一方面提供的任一防火墻設(shè)備����。本發(fā)明提供的報文轉(zhuǎn)發(fā)方法����、設(shè)備及系統(tǒng),互為熱備的多個防火墻中的從防火墻在接收到報文流中的報文后�,在本地查找是否存在轉(zhuǎn)發(fā)該報文所需的流表,如果在本地未找到�,則通過與互為熱備的多個防火墻中的主防火墻之間的報文轉(zhuǎn)發(fā)隧道,將接收到的報文轉(zhuǎn)發(fā)給主防火墻����,由主防火墻根據(jù)本地的流表轉(zhuǎn)發(fā)非首報文,由此可見�����,本發(fā)明技術(shù)方案通過在主防火墻與從防火墻之間增加報文轉(zhuǎn)發(fā)隧道�,實現(xiàn)了主防火墻與從防火墻在轉(zhuǎn)發(fā)層面的互通,從防火墻在本地未獲取到轉(zhuǎn)發(fā)報文所需的流表時���,將報文轉(zhuǎn)發(fā)給主防火墻�,由主防火墻進行轉(zhuǎn)發(fā),解決了因流表無法及時同步給從防火墻���,造成從防火墻將報文丟棄引起的流量丟失的問題��。
圖I為本發(fā)明一實施例提供的報文轉(zhuǎn)發(fā)方法的流程圖����;圖2為本發(fā)明另ー實施例提供的報文轉(zhuǎn)發(fā)方法的流程圖��;圖3為本發(fā)明又一實施例提供的報文轉(zhuǎn)發(fā)方法的流程圖����;圖4為本發(fā)明又一實施例提供的報文轉(zhuǎn)發(fā)方法的流程圖;圖5為本發(fā)明又一實施例提供的報文轉(zhuǎn)發(fā)方法的流程圖��;圖6-圖12為本發(fā)明一實施例提供的報文轉(zhuǎn)發(fā)方法的圖示過程��;圖13為本發(fā)明一實施例提供的防火墻設(shè)備的結(jié)構(gòu)示意圖�����;圖14為本發(fā)明另ー實施例提供的防火墻設(shè)備的結(jié)構(gòu)示意圖��;圖15為本發(fā)明又一實施例提供的防火墻設(shè)備的結(jié)構(gòu)示意圖���;圖16為本發(fā)明又一實施例提供的防火墻設(shè)備的結(jié)構(gòu)示意圖�。
具體實施例方式圖I為本發(fā)明一實施例提供的報文轉(zhuǎn)發(fā)方法的流程圖�����。如圖I所示����,本實施例的方法包括步驟101、互為熱備的多個防火墻中的從防火墻接收報文流中的非首報文�。步驟102、如果從防火墻在本地未找到轉(zhuǎn)發(fā)非首報文所需的流表�����,通過與互為熱備的多個防火墻中的主防火墻之間的報文轉(zhuǎn)發(fā)隧道��,將非首報文轉(zhuǎn)發(fā)給主防火墻����,以使主防火墻根據(jù)本地的所述流表轉(zhuǎn)發(fā)非首報文。在本實施例中���,多個物理防火墻互為熱備���,在互為熱備的多個防火墻中存在ー個主防火墻和多個從防火墻���。本實施例以其中某個從防火墻為執(zhí)行主體,描述從防火墻進行報文轉(zhuǎn)發(fā)的過程����。具體的,從防火墻接收報文流中的非首報文(即該報文流的后續(xù)報文)�。其中,從防火墻可以根據(jù)報文流中各報文的協(xié)議特征區(qū)分出接收到的報文是該報文流的首報文還是非首報文�。舉例說明,對于TCP連接均要求其首報文為SYN報文���,非首報文即非SYN報文的其他報文����。根據(jù)所使用的傳輸協(xié)議的不同�,從防火墻具體判斷接收到的報文是否為首報文的過程不完全相同���。這里的非首報文可以是除該報文流的首報文之外的其他任意報文��。從防火墻接收到的非首報文可以是其上游設(shè)備發(fā)送的�,也可以是其下游設(shè)備發(fā)送的。該非首報文可以是該報文流的首報文相同方向的后續(xù)報文�,也可以是該報文流的首報文相反方向的報文,即非首報文還可以是ー個回程報文���。當(dāng)從防火墻識別出接收到的報文是非首報文后�����,在本地查找轉(zhuǎn)發(fā)非首報文所需的流表����。具體的���,從防火墻可以根據(jù)非首報文中的五元組(即源IP地址�,源端ロ�����,目的IP地址���,目的端口和傳輸層協(xié)議號)在本地查找轉(zhuǎn)發(fā)非首報文所需的流表��。如果從防火墻未在本地查找到轉(zhuǎn)發(fā)非首報文所需的流表����,則通過與主防火墻之間的報文轉(zhuǎn)發(fā)隧道,將非首報文轉(zhuǎn)發(fā)給主防火墻��,由主防火墻根據(jù)本地轉(zhuǎn)發(fā)非首報文所需的流表轉(zhuǎn)發(fā)非首報文�。在本實施例中,主防火墻負責(zé)為每個報文流建立用于轉(zhuǎn)發(fā)該報文流中的報文的流表�,并會將建立的流表存儲在本地,因此�,主防火墻上一定會存在轉(zhuǎn)發(fā)非首報文所需的流表,故從防火墻將非首報文轉(zhuǎn)發(fā)給主防護墻可以保證非首報文被成功轉(zhuǎn)發(fā)出去�����,而不會被丟棄�。主防火墻在接收到每個報文流的首報文時為該報文流建立用于轉(zhuǎn)發(fā)該報文流中的報文所需的流表。其中��,主防火墻接收到的報文流的首報文可以是來自從防火墻�,也可以是來自其上游設(shè)備或下游 設(shè)備。另外�����,在本實施例中���,主防火墻還會將建立的流表同步給各從防火墻����,以便于從防火墻根據(jù)流表進行相應(yīng)報文流中的報文的轉(zhuǎn)發(fā)�����。其中����,從防火墻未在本地查找到轉(zhuǎn)發(fā)非首報文所需的流表的情況可能是該流表尚未從主防火墻同步到從防火墻,例如可能是因為網(wǎng)絡(luò)過于繁忙造成流表無法及時完成同步等��。如果從防火墻在本地查找到轉(zhuǎn)發(fā)非首報文所需的流表��,則可以直接根據(jù)查找到的流表將非首報文轉(zhuǎn)發(fā)出去�����。在本實施例中���,流表中主要包括一條報文流對應(yīng)的五元組信息(即報文流對應(yīng)的源IP地址���,源端ロ����,目的IP地址���,目的端口和傳輸層協(xié)議號)��、過濾規(guī)則以及下一跳����、出接ロ等信息�����,根據(jù)這些信息可以完成非首報文的轉(zhuǎn)發(fā)�。在此說明,本實施例中主防火墻與從防火墻之間除了在控制層面進行互通(即主防火墻將建立的各報文流對應(yīng)的流表同步給從防火墻進行備份)之外����,還可以在轉(zhuǎn)發(fā)層面進行互通,具體是通過在主防火墻與從防火墻之間增加報文轉(zhuǎn)發(fā)隧道實現(xiàn)的���,在轉(zhuǎn)發(fā)層面的互通是指從防火墻可以通過報文轉(zhuǎn)發(fā)隧道將接收到的報文轉(zhuǎn)發(fā)給主防火墻�。而在現(xiàn)有技術(shù)中,互為備份的主防火墻和從防火墻之間僅在控制層面存在互通�,而在轉(zhuǎn)發(fā)層面是相互獨立的,即從防火墻接收到報文之后如果本地存在轉(zhuǎn)發(fā)該報文所需的流表��,則成功轉(zhuǎn)發(fā)該報文�,如果本地不存在轉(zhuǎn)發(fā)該報文所需的流表�,則只能將該報文丟棄,而不會將該報文轉(zhuǎn)發(fā)給主防火墻�����。由上述可見��,本實施例通過在主防火墻與從防火墻之間增加報文轉(zhuǎn)發(fā)隧道�,實現(xiàn)了主防火墻與從防火墻在轉(zhuǎn)發(fā)層面的互通,從防火墻在本地未獲取到轉(zhuǎn)發(fā)報文所需的流表時����,將報文轉(zhuǎn)發(fā)給主防火墻,由主防火墻進行轉(zhuǎn)發(fā)��,解決了因流表無法及時同步給從防火墻�����,造成從防火墻將報文丟棄引起的流量丟失的問題。圖2為本發(fā)明另ー實施例提供的報文轉(zhuǎn)發(fā)方法的流程圖����。本實施例基于圖I所示實施例實現(xiàn),如圖2所示����,本實施例在步驟101之前包括步驟100、從防火墻接收上述報文流的首報文����,通過上述報文轉(zhuǎn)發(fā)隧道將該報文流的首報文轉(zhuǎn)發(fā)給主防火墻,以使主防火墻根據(jù)該報文流的首報文在本地建立上述流表井根據(jù)建立的流表轉(zhuǎn)發(fā)該首報文���。在本實施例中���,上述報文流的首報文直接到達從防火墻,即從防火墻會接收報文流的首報文����。其中,報文流的首報文是指該報文流的首個報文����。從防火墻可以根據(jù)報文流中各報文的協(xié)議特征區(qū)分接收到報文是否為首報文��。具體可參見上述實施例的描述���。在本實施例中,從防火墻識別出接收到報文為報文流的首報文之后�,可以獲知本地尚未存在轉(zhuǎn)發(fā)該首報文的流表,而本實施例中由主防火墻統(tǒng)ー為報文流建立轉(zhuǎn)發(fā)報文流中的報文所需的流表���,故從防火墻上通過其與主防火墻之間的報文轉(zhuǎn)發(fā)隧道,將接收到的報文流的首報文轉(zhuǎn)發(fā)給主防火墻���,而主防火墻識別出該報文為報文流的首報文之后����,獲知需要建立該報文流對應(yīng)的流表�����,于是根據(jù)接收到的首報文在本地建立該報文流對應(yīng)的流表��,并根據(jù)建立的流表轉(zhuǎn)發(fā)該首報文���。另外��,主防火墻還向從防火墻發(fā)送所建立的流表����,相應(yīng)的,從防火墻接收主防火墻發(fā)送的流表����,并在接收到主防火墻發(fā)送的流表時根據(jù)接收到的流表進行該報文流中的后續(xù)報文(即非首報文)的轉(zhuǎn)發(fā)。其中�����,主防火墻向從防火墻發(fā)送流表的結(jié)果包括發(fā)送成功和發(fā)送失敗���,相應(yīng)的����,從防火墻接收主防火墻發(fā)送流表的結(jié)果包括接收到流表和未接收到流表����。在此說明,主防火墻為報文流建立的流表���、報文流對應(yīng)的流表����、轉(zhuǎn)發(fā)非首報文所需 的流表以及轉(zhuǎn)發(fā)報文流的首報文的流表是同一流表。由上述可見��,當(dāng)從防火墻接收到報文流的首報文之后���,通過與主防火墻之間的報文轉(zhuǎn)發(fā)隧道將接收到的首報文轉(zhuǎn)發(fā)給主防火墻����,然后由主防火墻統(tǒng)ー為報文流建立流表�,而不再像現(xiàn)有技術(shù)那樣由接收到首報文的防火墻負責(zé)為該報文流建立流表�,有利于實現(xiàn)流表建立的統(tǒng)ー化,便于防火墻資源的統(tǒng)一分配��,并且不涉及不同防火墻建立的流表之間的同步問題��,實現(xiàn)簡單��。圖3為本發(fā)明又一實施例提供的報文轉(zhuǎn)發(fā)方法的流程圖���。本實施例基于圖2所示實施例實現(xiàn)���,如圖3所示���,本實施例的方法在步驟100之前包括步驟201、從防火墻通過虛擬技術(shù)與互為熱備的多個防火墻中的其他防火墻形成邏輯防火墻����,其中,互為熱備的多個防火墻之間通過物理鏈路相互連接�。具體的,從防火墻可以通過堆疊技術(shù)與互為熱備的多個防火墻中的其他防火墻形成邏輯防火墻�。其中,堆疊技術(shù)是ー種虛擬技木��。除了堆疊技術(shù)之外�,從防火墻還可以采用其他虛擬技術(shù),例如智能彈性架構(gòu)(Intelligent Resilient Framework,簡稱為IRF)或虛擬交換單元技術(shù)(Virtual Switch Unit��,簡稱為VSU)�����,與互為熱備的多個防火墻中的其他防火墻形成邏輯防火墻����。在本實施例中,預(yù)先將多個互為熱備的防火墻通過物理鏈路相互連接起來,然后各防火墻通過虛擬技術(shù)形成邏輯防火墻����。本實施例中互為熱備的多個防火墻具有相同的軟件特性、相同或兼容的硬件特性����。邏輯防火墻在網(wǎng)絡(luò)中僅表現(xiàn)為ー個網(wǎng)絡(luò)節(jié)點,因此�����,本實施例將多個防火墻虛擬成為ー個邏輯防火墻�����,有利于簡化網(wǎng)絡(luò)組網(wǎng)與管理��。進ー步�,在該邏輯防火墻內(nèi)部劃分為主防火墻和從防火墻����,主防火墻控制整個邏輯防火墻,例如負責(zé)所有防火墻的設(shè)備管理��,以及邏輯防火墻的業(yè)務(wù)配置管理等。其中���,邏輯防火墻的業(yè)務(wù)只需在主防火墻上配置��,主防火墻配置完成之后�,會同步給從防火墻����。這里的配置主要是指用戶手動在主防火墻上配置業(yè)務(wù)的過程。另外���,主防火墻和從防火墻通過Hello報文�、硬件狀態(tài)變化等信息維護該虛擬防火墻的拓撲狀態(tài)����。
可選的,在步驟201之后還包括步驟202����、從防火墻對該從防火墻連接的上游設(shè)備或下游設(shè)備與互為熱備的多個防火墻之間的所有物理鏈路進行聚合處理,形成聚合鏈路或等價路由�����。也就是說,邏輯防火墻與其上游設(shè)備和下游設(shè)備通過聚合鏈路或等價路由方式連接�。對于同一上游設(shè)備或下游設(shè)備來說,其對應(yīng)的聚合鏈路或等價路由中包含每個防火墻分別與該上游設(shè)備或下游設(shè)備連接的物理鏈路�����,但是效果上只相當(dāng)于一條邏輯鏈路�。其中,通過聚合鏈路或等價路由方式連接上邏輯防火墻與其下游設(shè)備����,可以實現(xiàn)流量在多個防火墻上進行負載均衡。圖4為本發(fā)明又一實施例提供的報文轉(zhuǎn)發(fā)方法的流程圖�。如圖4所示,本實施例的方法包括步驟401���、互為熱備的多個防火墻中的主防火墻通過與互為熱備的多個防火墻中 的從防火墻之間的報文轉(zhuǎn)發(fā)隧道����,接收從防火墻發(fā)送的非首報文����,所述非首報文為從防火墻接收到的報文流中的報文�����。 步驟402、主防火墻根據(jù)本地轉(zhuǎn)發(fā)非首報文所需的流表����,轉(zhuǎn)發(fā)非首報文。本實施例與圖I所示實施例相適應(yīng)�����,主要是從主防火墻的角度進行描述�����。具體的��,從防火墻接收報文流中的報文���,并識別出接收到的是非首報文(即該報文流的后續(xù)報文)后���,在本地查找轉(zhuǎn)發(fā)非首報文所需的流表,當(dāng)未在本地查找到轉(zhuǎn)發(fā)非首報文所需的流表吋����,通過與主防火墻之間的報文轉(zhuǎn)發(fā)隧道將非首報文轉(zhuǎn)發(fā)給主防火墻���。主防火墻接收從防火墻通過兩者之間的報文轉(zhuǎn)發(fā)隧道發(fā)送的非首報文。這里的非首報文(即后續(xù)報文)可以是除報文流的首報文之外的其他任意報文��。主防火墻在接收到報文流的首報文之后�����,根據(jù)報文流的首報文建立轉(zhuǎn)發(fā)該報文流中的報文所需的流表�����,因此��,在接收到除報文流的首報文之外的非首報文時����,可以獲知本地已經(jīng)存在轉(zhuǎn)發(fā)非首報文所需的流表,故根據(jù)非首報文中的五元組等信息���,在本地獲取轉(zhuǎn)發(fā)非首報文所需的流表�,然后根據(jù)該流表將非首報文轉(zhuǎn)發(fā)出去�。在上述過程中,關(guān)于從防火墻的操作可參見圖I所示實施例的描述����。在上述過程中,主防火墻也會根據(jù)接收到的報文的協(xié)議特征區(qū)分接收到的報文是否為首報文��,其具體過程與從防火墻區(qū)分的過程相同�,在此不再細述。同理���,本實施例中主防火墻與從防火墻之間除了在控制層面進行互通(即主防火墻將建立的各報文流對應(yīng)的流表同步給從防火墻進行備份)之外�,還可以在轉(zhuǎn)發(fā)層面進行互通���,具體是通過在主防火墻與從防火墻之間增加報文轉(zhuǎn)發(fā)隧道實現(xiàn)的��,在轉(zhuǎn)發(fā)層面的互通是指從防火墻可以通過報文轉(zhuǎn)發(fā)隧道將接收到的報文轉(zhuǎn)發(fā)給主防火墻����。而在現(xiàn)有技術(shù)中��,互為備份的主防火墻和從防火墻之間僅在控制層面存在互通�,而在轉(zhuǎn)發(fā)層面是相互獨立的,即從防火墻接收到報文之后如果本地存在轉(zhuǎn)發(fā)該報文所需的流表�,則成功轉(zhuǎn)發(fā)該報文,如果本地不存在轉(zhuǎn)發(fā)該報文所需的流表�,則只能將該報文丟棄�����,而不會將該報文轉(zhuǎn)發(fā)給主防火墻�。由上述可見��,本實施例通過在主防火墻與從防火墻之間增加報文轉(zhuǎn)發(fā)隧道�����,實現(xiàn)了主防火墻與從防火墻在轉(zhuǎn)發(fā)層面的互通�����,從防火墻在本地未獲取到轉(zhuǎn)發(fā)報文所需的流表時����,將報文轉(zhuǎn)發(fā)給主防火墻,由主防火墻進行轉(zhuǎn)發(fā)���,解決了因流表無法及時同步給從防火墻�����,造成從防火墻將報文丟棄引起的流量丟失的問題��。圖5為本發(fā)明又一實施例提供的報文轉(zhuǎn)發(fā)方法的流程圖�����。本實施例基于圖4所示實施例實現(xiàn)����,如圖5所示���,本實施例的方法在步驟401之前包括步驟500���、主防火墻通過報文轉(zhuǎn)發(fā)隧道,接收從防火墻發(fā)送的報文流的首報文��。步驟501���、主防火墻根據(jù)接收到的首報文在本地建立所述流表��,根據(jù)建立的流表轉(zhuǎn)發(fā)該首報文��。在本實施例中�����,上述報文流的首報文到達從防火墻���,并由從防火墻將該首報文轉(zhuǎn)發(fā)給主防火墻����,主防火墻接收到從防火墻發(fā)送的報文后��,根據(jù)報文的協(xié)議特征區(qū)分接收到的報文是否為首報文����,在確定從防火墻發(fā)送的報文為首報文之后,根據(jù)首報文在本地建立轉(zhuǎn)發(fā)該首報文所屬報文流中的報文所需的流表(即轉(zhuǎn)發(fā)非首報文所需的流表)��,然后基于建立的流表將該首報文轉(zhuǎn)發(fā)出去�。另外,主防火墻還會向從防火墻發(fā)送所建立的流表���。相應(yīng)的����,從防火墻會接收主防火墻發(fā)送的流表���。其中����,主防火墻向從防火墻發(fā)送流表的結(jié)果包括發(fā)送成功和發(fā)送失敗,相應(yīng)的����,從防火墻接收主防火墻發(fā)送流表的結(jié)果包括接收到流表和未接收到流表。如果從防 火墻接收到主防火墻發(fā)送的流表��,則在后續(xù)接收到上述報文流中的非首報文后可以直接根據(jù)接收到的流表轉(zhuǎn)發(fā)非首報文��,如果從防火墻未接收到主防火墻發(fā)送的流表��,則在后續(xù)接收到上述報文流中的非首報文后就會執(zhí)行上述步驟401及后續(xù)步驟�����,以完成非首報文的轉(zhuǎn)發(fā)���。由上述可見,當(dāng)從防火墻接收到報文流的首報文之后���,通過與主防火墻之間的報文轉(zhuǎn)發(fā)隧道將接收到的首報文轉(zhuǎn)發(fā)給主防火墻�,然后由主防火墻統(tǒng)ー為報文流建立流表,而不再像現(xiàn)有技術(shù)那樣由接收到首報文的防火墻負責(zé)為該報文流建立流表��,有利于實現(xiàn)流表建立的統(tǒng)ー化��,便于防火墻資源的統(tǒng)一分配��,并且不涉及不同防火墻建立的流表之間的同步問題�����,實現(xiàn)簡單��。在此說明�,本實施例的主防火墻除了可以接收從防火墻發(fā)送的報文流中的非首報文和首報文之外,也可以接收其他設(shè)備�����,例如主防火墻的上游設(shè)備或下游設(shè)備等發(fā)送的其他報文流中的報文(包括首報文和后續(xù)報文)���,并會根據(jù)其他報文流中的首報文為建立轉(zhuǎn)發(fā)其他報文流中的報文所需的流表����,根據(jù)建立的流表進行其他報文流中報文的轉(zhuǎn)發(fā)����,也會將建立的流表同步給從防火墻��,以便在主防火墻發(fā)生故障時由從防火墻根據(jù)接收到的流表進行其他報文流中的后續(xù)報文的轉(zhuǎn)發(fā)����。在圖4或圖5所示實施例的基礎(chǔ)上�����,在步驟500之前包括以下可選步驟主防火墻通過虛擬技術(shù)與互為熱備的多個防火墻中的其他防火墻形成邏輯防火墻����,其中互為熱備的多個防火墻之間通過物理鏈路相互連接。具體的�����,主防火墻通過堆疊技術(shù)或其他虛擬技術(shù)(例如IRF��、VSU)與互為熱備的多個防火墻中的其他防火墻形成所述邏輯防火墻��。通過形成邏輯防火墻�,有利于簡化網(wǎng)絡(luò)組網(wǎng)與管理���。進ー步���,在形成邏輯防火墻之后還可以包括一可選步驟主防火墻對該主防火墻連接的上游設(shè)備或下游設(shè)備與互為熱備的多個防火墻之間的所有物理鏈路進行聚合處理�,形成聚合鏈路或等價路由���。也就是說����,邏輯防火墻通過聚合鏈路方式或等價路由方式與邏輯防火墻的上游設(shè)備和下游設(shè)備進行連接���。通過聚合鏈路或等價路由方式連接上邏輯防火墻與其下游設(shè)備�����,可以實現(xiàn)流量在多個防火墻上進行負載均衡���。上述可選步驟的具體描述可參見圖3所示實施例,在此不再贅述�����。進ー步在上述各實施例中�,當(dāng)主防火墻發(fā)生故障時�����,從防火墻會成為新的主用防火墻����。下面結(jié)合具體圖示�,對本發(fā)明一優(yōu)選實施方式進行詳細說明。在以下描述中�����,假設(shè)互為熱備的多個防火墻包括防火墻FWl和防火墻FW2��。如圖6所示���,通過物理鏈路將防火墻FWl和防火墻FW2連接起來��,通過虛擬技術(shù)(例如堆疊技術(shù))將防火墻FWl和防火墻FW2虛擬成一個邏輯防火墻。如圖7所示�,使用聚合鏈路連接邏輯防火墻與其上游設(shè)備Rl和下游設(shè)備R2。如圖7所示���,使用聚合鏈路將邏輯防火墻與其上游設(shè)備Rl和下游設(shè)備R2連接��,實際上是將邏輯防火墻中的防火墻FWl和防火墻FW2通過物理鏈路分別與上游設(shè)備Rl和下游設(shè)備R2連接�。在圖7所示的聚合鏈路中包含兩個物理鏈路,但是效果上只相當(dāng)于一條邏輯鏈路���。在邏輯防火墻中存在主防火墻和從防火墻��,主防火墻和從防火墻可以由管理員手動配置�����,也可以由各防火墻采用一定的選舉機制自行選舉出�����。在本實施例中�,假設(shè)主防火墻為防火墻FW1�,從防火墻為FW2。
基于上述邏輯防火墻的拓撲結(jié)構(gòu)�,報文轉(zhuǎn)發(fā)過程具體包括如圖8所示,當(dāng)一個報文流的首報文到達防火墻FWl吋�����,防火墻FWl創(chuàng)建對應(yīng)的流表����,并將該報文流的首報文以及該報文流的后續(xù)報文從對應(yīng)的聚合鏈路中主防火墻對應(yīng)的端ロ轉(zhuǎn)發(fā)出去����,同時防火墻FWl將建立的流表同步給防火墻FW2�。報文轉(zhuǎn)發(fā)路徑如圖8中帶箭頭的虛線所示。如圖9所示�����,當(dāng)一個報文流的首報文到達防火墻FW2吋��,防火墻FW2將該報文流的首報文通過與防火墻FWl之間的報文轉(zhuǎn)發(fā)隧道轉(zhuǎn)發(fā)給防火墻FWl�,防火墻FWl創(chuàng)建對應(yīng)的流表,并將該報文流的首報文從對應(yīng)的聚合鏈路中主防火墻對應(yīng)的端ロ轉(zhuǎn)發(fā)出去��,同時防火墻FWl將建立的流表同步給防火墻FW2��,以使防火墻FW2根據(jù)該流表轉(zhuǎn)發(fā)該報文流的后續(xù)報文��。其中�����,首報文的轉(zhuǎn)發(fā)路徑如圖9中帶箭頭的虛線所示�����。如圖10所示�,如果上述報文流中的后續(xù)報文進入防火墻FWl時,防火墻FWl可以找到對應(yīng)的流表��,則將后續(xù)報文直接從對應(yīng)的聚合鏈路中防火墻FWl對應(yīng)的端ロ轉(zhuǎn)發(fā)出去�。在本實施例中以后續(xù)報文為回程報文為例,則后續(xù)報文的轉(zhuǎn)發(fā)路徑如圖10中帶箭頭的虛線所示�����。如圖11所示����,如果上述報文流中的后續(xù)報文進入防火墻FW2時,防火墻FW2在本地查找對應(yīng)的流表�,如果在本地找到對應(yīng)的流表,則將后續(xù)報文直接從對應(yīng)的聚合鏈路中防火墻FW2對應(yīng)的端ロ轉(zhuǎn)發(fā)出去����。在本實施例中以后續(xù)報文為回程報文為例,則后續(xù)報文的轉(zhuǎn)發(fā)路徑如圖11中帶箭頭的虛線所示���。如圖12所示�����,如果上述報文流中的后續(xù)報文進入防火墻FW2時��,防火墻FW2在本地查找對應(yīng)的流表����,如果未在本地找到對應(yīng)的流表,則通過與防火墻FWl之間的報文轉(zhuǎn)發(fā)隧道����,將后續(xù)報文轉(zhuǎn)發(fā)給防火墻FWl,防火墻FWl可以在本地找到對應(yīng)的流表����,則將后續(xù)報文直接從對應(yīng)的聚合鏈路中防火墻FWl對應(yīng)的端ロ轉(zhuǎn)發(fā)出去。在本實施例中以后續(xù)報文為回程報文為例����,則后續(xù)報文的轉(zhuǎn)發(fā)路徑如圖12中帶箭頭的虛線所示。由上述可見�����,本實施例通過將多個防火墻虛擬成一個邏輯防火墻,可以簡化組網(wǎng)�,通過聚合鏈路連接邏輯防火墻與其上下游設(shè)備,可以實現(xiàn)流量在多個防火墻上進行負載均衡�����,通過在主從防火墻之間建立報文轉(zhuǎn)發(fā)隧道���,可以解決從防火墻在流表尚未完全同步或丟失等情況下造成的流量丟失的問題。
圖13為本發(fā)明一實施例提供的防火墻設(shè)備的結(jié)構(gòu)示意圖����。本實施例的防火墻設(shè)備可以作為互為熱備的多個防火墻設(shè)備中的從防火墻。如圖13所示���,本實施例的防火墻設(shè)備包括第一接收模塊131和第一轉(zhuǎn)發(fā)模塊132����。第一接收模塊131����,用于接收報文流中的非首報文。其中�����,第一接收模塊131與第ー轉(zhuǎn)發(fā)模塊132連接。第一接收模塊131會將接收到的非首報文提供給第一轉(zhuǎn)發(fā)模塊132�����。第一轉(zhuǎn)發(fā)模塊132���,用于在本地未找到轉(zhuǎn)發(fā)第一接收模塊131接收到的非首報文所需的流表時���,通過與互為熱備的多個防火墻中的主防火墻之間的報文轉(zhuǎn)發(fā)隧道,將非首報文轉(zhuǎn)發(fā)給主防火墻�����,以使主防火墻根據(jù)本地的所述流表轉(zhuǎn)發(fā)所述非首報文����。在本實施例的一可選實施方式中,第一接收模塊131還用于在接收所述非首報文之前�,接收所述報文流的首報文。同理�����,第一接收模塊131會將首報文提供給第一轉(zhuǎn)發(fā)模塊132。相應(yīng)的����,第一轉(zhuǎn)發(fā)模塊132還用于通過所述報文轉(zhuǎn)發(fā)隧道將所述首報文轉(zhuǎn)發(fā)給所述主防火墻,以使所述主防火墻根據(jù)所述首報文在本地建立所述流表井根據(jù)所述流表轉(zhuǎn)發(fā)所述首報文��。
在本實施例的一可選實施方式中�����,第一接收模塊131還用于接收所述主防火墻發(fā)送的所述流表�。第一接收模塊131可以向第一轉(zhuǎn)發(fā)模塊132提供所述流表���?����?蛇x的�����,第一轉(zhuǎn)發(fā)模塊132還用于在本地找到轉(zhuǎn)發(fā)所述非首報文所需的流表時�����,直接根據(jù)本地找到的流表轉(zhuǎn)發(fā)所述非首報文�����。在本實施例的一可選實施方式中�����,如圖14所示�����,本實施例的防火墻設(shè)備還包括第一形成模塊133����。第一形成模塊133,通過虛擬技術(shù)與互為熱備的多個防火墻中的其他防火墻形成邏輯防火墻��,其中�,所述互為熱備的多個防火墻之間通過物理鏈路相互連接?����?蛇x的����,第一形成模塊133具體可用于通過堆疊技術(shù)或其他虛擬技術(shù)(例如IRF�����、VSU)與互為熱備的多個防火墻中的其他防火墻形成所述邏輯防火墻���。可選的�����,第一形成模塊133還可與第一接收模塊131連接�����,具體用于在第一接收模塊131接收報文流的首報文之前����,形成所述邏輯防火墻��。在本實施例的一可選實施方式中��,如圖14所示�����,本實施例的防火墻設(shè)備還包括第一鏈路聚合模塊134。第一鏈路聚合模塊134,用于在第一形成模塊133形成邏輯防火墻之后�,對本實施例的防火墻設(shè)備連接的上游設(shè)備或下游設(shè)備與互為熱備的多個防火墻之間的所有物理鏈路進行聚合處理,形成聚合鏈路或等價路由�。可選的����,第一鏈路聚合模塊134與第一形成模塊133連接。本實施例提供的防火墻設(shè)備的各功能模塊可用于執(zhí)行上述圖I-圖3所示方法實施例的相應(yīng)流程�,其具體工作原理不再贅述,詳見方法實施例的描述��。本實施例提供的防火墻設(shè)備作為互為熱備的多個防火墻中的從防火墻��,在接收到報文流中的報文后���,在本地查找是否存在轉(zhuǎn)發(fā)該報文所需的流表���,如果在本地未找到,則通過與互為熱備的多個防火墻中的主防火墻之間的報文轉(zhuǎn)發(fā)隧道���,將接收到的報文轉(zhuǎn)發(fā)給主防火墻��,由主防火墻根據(jù)本地的流表轉(zhuǎn)發(fā)非首報文��,由此可見�,本實施例的防火墻設(shè)備與主防火墻之間増加了報文轉(zhuǎn)發(fā)隧道,實現(xiàn)了本實施例的防火墻設(shè)備與主防火墻在轉(zhuǎn)發(fā)層面的互通�,本實施例的防火墻設(shè)備可以在在本地未獲取到轉(zhuǎn)發(fā)報文所需的流表時,將報文轉(zhuǎn)發(fā)給主防火墻����,由主防火墻進行轉(zhuǎn)發(fā),解決了因流表無法及時同步給從防火墻�,造成的將報文丟棄引起的流量丟失的問題。
圖15為本發(fā)明又一實施例提供的防火墻設(shè)備的結(jié)構(gòu)示意圖�����。本實施例的防火墻設(shè)備可以是互為熱備的多個防火墻中的主防火墻�。如圖15所示����,本實施例的防火墻設(shè)備包括第二接收模塊151和第二轉(zhuǎn)發(fā)模塊152。其 中���,第二接收模塊151�,用于通過與互為熱備的多個防火墻中的從防火墻之間的報文轉(zhuǎn)發(fā)隧道,接收所述從防火墻發(fā)送的非首報文���,所述非首報文為所述從防火墻接收到的報文流中的報文�。第二接收模塊151與第二轉(zhuǎn)發(fā)模塊152連接�,用于將接收到的非首報文提供給第二轉(zhuǎn)發(fā)模塊152。第二轉(zhuǎn)發(fā)模塊152���,用于根據(jù)本地轉(zhuǎn)發(fā)所述非首報文所需的流表��,轉(zhuǎn)發(fā)所述非首報文���。在本實施例的一可選實施方式中,第二接收模塊151還用于在接收所述非首報文之前����,通過所述報文轉(zhuǎn)發(fā)隧道,接收所述從防火墻發(fā)送的所述報文流的首報文����。基于此�,如圖16所示,本實施例的防火墻設(shè)備還包括流表建立模塊153。該流表建立模塊153�����,與第ニ接收模塊151連接����,用于根據(jù)第二接收模塊151接收到的所述首報文在本地建立所述流表。相應(yīng)的�����,第二轉(zhuǎn)發(fā)模塊152還與流表建立模塊153連接����,用于根據(jù)流表建立模塊153建立的所述流表轉(zhuǎn)發(fā)所述首報文。在本實施例的一可選實施方式中��,如圖16所示�,本實施例的防火墻設(shè)備還包括流表同步模塊154。該流表同步模塊154���,與流表建立模塊153連接,用于向所述從防火墻發(fā)送流表建立模塊153建立的所述流表���。在本實施例的一可選實施方式中����,如圖16所示,本實施例的防火墻設(shè)備還包括第二形成模塊155��。第二形成模塊155���,用于通過虛擬技術(shù)與互為熱備的多個防火墻中的其他防火墻形成邏輯防火墻�,其中��,所述互為熱備的多個防火墻之間通過物理鏈路相互連接����。可選的��,第二形成模塊155具體可用于通過堆疊技術(shù)或其他虛擬技術(shù)(例如IRF�、VSU)與互為熱備的多個防火墻中的其他防火墻形成所述邏輯防火墻?��?蛇x的���,第二形成模塊155與第二接收模塊151連接���,具體可用于在第二接收模塊151接收所述首報文之前,形成所述邏輯防火墻����。在本實施例的一可選實施方式中,如圖16所示�����,本實施例的防火墻設(shè)備還包括第二鏈路聚合模塊156�。第二鏈路聚合模塊156,與第二形成模塊155連接,用于在第二形成模塊155形成所述邏輯防火墻之后,對防火墻設(shè)備連接的上游設(shè)備或下游設(shè)備與所述互為熱備的多個防火墻之間的所有物理鏈路進行聚合處理�,形成聚合鏈路或等價路由。本實施例提供的防火墻設(shè)備的各功能模塊可用于執(zhí)行上述圖4或圖5所示方法實施例的相應(yīng)流程���,其具體工作原理不再贅述�����,詳見方法實施例的描述�����。本實施例提供的防火墻設(shè)備作為互為熱備的多個防火墻中的主防火墻���,與互為熱備的多個防火墻中的從防火墻之間増加了報文轉(zhuǎn)發(fā)隧道,使得從防火墻無法成功轉(zhuǎn)發(fā)報文流的非首報文時可以轉(zhuǎn)發(fā)給本實施例的防火墻設(shè)備���,而本實施例的防火墻設(shè)備在接收到從防火墻發(fā)送的報文流的非首報文吋����,根據(jù)本地的流表轉(zhuǎn)發(fā)非首報文�����,解決了因流表無法及時同步給從防火墻��,造成從防火墻將報文丟棄引起的流量丟失的問題�����。本發(fā)明ー實施例提供ー種報文轉(zhuǎn)發(fā)系統(tǒng)�,包括本發(fā)明圖13或圖14所示實施例提供的防火墻設(shè)備,以及圖15或圖16所示實施例提供的防火墻設(shè)備�。其中,圖13或圖14所示實施例提供的防火墻設(shè)備作為本系統(tǒng)中的從防火墻�����,本系統(tǒng)可以包括多個從防火墻;圖15或圖16所示實施例提供的防火墻設(shè)備作為本系統(tǒng)中的主防火墻��。從防火墻和主防火墻相互配合完成各報文流中的報文的轉(zhuǎn)發(fā)����。其具體轉(zhuǎn)發(fā)過程可參見上述方法實施例的描述,在此不再贅述��。本實施例提供的報文轉(zhuǎn)發(fā)系統(tǒng)包括互為熱備的從防火墻和主防火墻�����,從防火墻在接收到報文流中的報文后����,在本地查找是否存在轉(zhuǎn)發(fā)該報文所需的流表,如果在本地未找至IJ�,則通過與互為熱備的多個防火墻中的主防火墻之間的報文轉(zhuǎn)發(fā)隧道,將接收到的報文轉(zhuǎn)發(fā)給主防火墻�,由主防火墻根據(jù)本地的流表轉(zhuǎn)發(fā)非首報文,由此可見��,本實施例的系統(tǒng)通過在主防火墻與從防火墻之間增加報文轉(zhuǎn)發(fā)隧道���,實現(xiàn)了主防火墻與從防火墻在轉(zhuǎn)發(fā)層面的互通���,從防火墻在本地未獲取到轉(zhuǎn)發(fā)報文所需的流表時���,將報文轉(zhuǎn)發(fā)給主防火墻����,由主防火墻進行轉(zhuǎn)發(fā),解決了因流表無法及時同步給從防火墻����,造成從防火墻將報文丟棄引起的流量丟失的問題。本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述各方法實施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成����。前述的程序可以存儲于ー計算機可讀取存儲介質(zhì)中。該程序在執(zhí)行時��,執(zhí)行包括上述各方法實施例的步驟��;而前述的存儲介質(zhì)包括R0M����、RAM、磁碟 或者光盤等各種可以存儲程序代碼的介質(zhì)����。最后應(yīng)說明的是以上各實施例僅用以說明本發(fā)明的技術(shù)方案����,而非對其限制�;盡管參照前述各實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對前述各實施例所記載的技術(shù)方案進行修改���,或者對其中部分或者全部技術(shù)特征進行等同替換�;而這些修改或者替換�����,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的范圍���。
權(quán)利要求
1.一種報文轉(zhuǎn)發(fā)方法,其特征在于,包括 互為熱備的多個防火墻中的從防火墻接收報文流中的非首報文�����; 如果所述從防火墻在本地未找到轉(zhuǎn)發(fā)所述非首報文所需的流表��,通過與所述互為熱備的多個防火墻中的主防火墻之間的報文轉(zhuǎn)發(fā)隧道���,將所述非首報文轉(zhuǎn)發(fā)給所述主防火墻���,以使所述主防火墻根據(jù)本地的所述流表轉(zhuǎn)發(fā)所述非首報文。
2.根據(jù)權(quán)利要求I所述的報文轉(zhuǎn)發(fā)方法�����,其特征在于�,所述互為熱備的多個防火墻中的從防火墻接收報文流中的非首報文之前包括 所述從防火墻接收所述報文流的首報文�����,通過所述報文轉(zhuǎn)發(fā)隧道將所述首報文轉(zhuǎn)發(fā)給所述主防火墻�����,以使所述主防火墻根據(jù)所述首報文在本地建立所述流表并根據(jù)所述流表轉(zhuǎn)發(fā)所述首報文���。
3.根據(jù)權(quán)利要求2所述的報文轉(zhuǎn)發(fā)方法���,其特征在于,還包括 所述從防火墻接收所述主防火墻發(fā)送的所述流表�。
4.根據(jù)權(quán)利要求2或3所述的報文轉(zhuǎn)發(fā)方法,其特征在于,所述從防火墻接收所述報文流的首報文之前包括 所述從防火墻通過虛擬技術(shù)與所述互為熱備的多個防火墻中的其他防火墻形成邏輯防火墻����,其中,所述互為熱備的多個防火墻之間通過物理鏈路相互連接�。
5.根據(jù)權(quán)利要求4所述的報文轉(zhuǎn)發(fā)方法,其特征在于��,所述從防火墻通過虛擬技術(shù)與所述互為熱備的多個防火墻中的其他防火墻形成邏輯防火墻包括 所述從防火墻通過堆疊技術(shù)與所述互為熱備的多個防火墻中的其他防火墻形成所述邏輯防火墻�。
6.根據(jù)權(quán)利要求4所述的報文轉(zhuǎn)發(fā)方法,其特征在于���,形成所述邏輯防火墻之后還包括 所述從防火墻對所述從防火墻連接的上游設(shè)備或下游設(shè)備與所述互為熱備的多個防火墻之間的所有物理鏈路進行聚合處理����,形成聚合鏈路或等價路由��。
7.—種報文轉(zhuǎn)發(fā)方法,其特征在于,包括 互為熱備的多個防火墻中的主防火墻通過與所述互為熱備的多個防火墻中的從防火墻之間的報文轉(zhuǎn)發(fā)隧道�,接收所述從防火墻發(fā)送的非首報文,所述非首報文為所述從防火墻接收到的報文流中的報文��; 所述主防火墻根據(jù)本地轉(zhuǎn)發(fā)所述非首報文所需的流表�,轉(zhuǎn)發(fā)所述非首報文。
8.根據(jù)權(quán)利要求7所述的報文轉(zhuǎn)發(fā)方法�����,其特征在于,所述互為熱備的多個防火墻中的主防火墻通過與所述互為熱備的多個防火墻中的從防火墻之間的報文轉(zhuǎn)發(fā)隧道��,接收所述從防火墻發(fā)送的非首報文之前包括 所述主防火墻通過所述報文轉(zhuǎn)發(fā)隧道�,接收所述從防火墻發(fā)送的所述報文流的首報文; 所述主防火墻根據(jù)所述首報文在本地建立所述流表���,根據(jù)建立的所述流表轉(zhuǎn)發(fā)所述首報文���。
9.根據(jù)權(quán)利要求8所述的報文轉(zhuǎn)發(fā)方法,其特征在于��,還包括 所述主防火墻向所述從防火墻發(fā)送所述流表����。
10.根據(jù)權(quán)利要求8或9所述的報文轉(zhuǎn)發(fā)方法��,其特征在于�,所述主防火墻通過所述報文轉(zhuǎn)發(fā)隧道,接收所述從防火墻發(fā)送的所述報文流的首報文之前包括 所述主防火墻通過虛擬技術(shù)與所述互為熱備的多個防火墻中的其他防火墻形成邏輯防火墻�,其中,所述互為熱備的多個防火墻之間通過物理鏈路相互連接����。
11.根據(jù)權(quán)利要求10所述的報文轉(zhuǎn)發(fā)方法����,其特征在于���,所述主防火墻通過虛擬技術(shù)與所述互為熱備的多個防火墻中的其他防火墻形成邏輯防火墻包括 所述主防火墻通過堆疊技術(shù)與所述互為熱備的多個防火墻中的其他防火墻形成所述邏輯防火墻�。
12.根據(jù)權(quán)利要求10所述的報文轉(zhuǎn)發(fā)方法�,其特征在于,形成所述邏輯防火墻之后還包括 所述主防火墻對所述主防火墻連接的上游設(shè)備或下游設(shè)備與所述互為熱備的多個防火墻之間的所有物理鏈路進行聚合處理�,形成聚合鏈路或等價路由。
13.一種防火墻設(shè)備��,其特征在于���,包括 第一接收模塊�,用于接收報文流中的非首報文���,其中���,所述防火墻設(shè)備為互為熱備的多個防火墻中的從防火墻; 第一轉(zhuǎn)發(fā)模塊�,用于在本地未找到轉(zhuǎn)發(fā)所述非首報文所需的流表時�����,通過與所述互為熱備的多個防火墻中的主防火墻之間的報文轉(zhuǎn)發(fā)隧道���,將所述非首報文轉(zhuǎn)發(fā)給所述主防火墻,以使所述主防火墻根據(jù)本地的所述流表轉(zhuǎn)發(fā)所述非首報文�。
14.根據(jù)權(quán)利要求13所述的防火墻設(shè)備,其特征在于�����,所述第一接收模塊還用于在接收所述非首報文之前����,接收所述報文流的首報文; 所述第一轉(zhuǎn)發(fā)模塊還用于通過所述報文轉(zhuǎn)發(fā)隧道將所述首報文轉(zhuǎn)發(fā)給所述主防火墻��,以使所述主防火墻根據(jù)所述首報文在本地建立所述流表并根據(jù)所述流表轉(zhuǎn)發(fā)所述首報文��。
15.根據(jù)權(quán)利要求14所述的防火墻設(shè)備�,其特征在于���,所述第一接收模塊還用于接收所述主防火墻發(fā)送的所述流表�����。
16.根據(jù)權(quán)利要求14或15所述的防火墻設(shè)備�,其特征在于,還包括 第一形成模塊�����,通過虛擬技術(shù)與所述互為熱備的多個防火墻中的其他防火墻形成邏輯防火墻����,其中,所述互為熱備的多個防火墻之間通過物理鏈路相互連接����。
17.根據(jù)權(quán)利要求16所述的防火墻設(shè)備,其特征在于�,所述第一形成模塊具體用于通過堆疊技術(shù)與所述互為熱備的多個防火墻中的其他防火墻形成所述邏輯防火墻。
18.根據(jù)權(quán)利要求16所述的防火墻設(shè)備����,其特征在于,還包括 第一鏈路聚合模塊���,用于對所述防火墻設(shè)備連接的上游設(shè)備或下游設(shè)備與所述互為熱備的多個防火墻之間的所有物理鏈路進行聚合處理����,形成聚合鏈路或等價路由。
19.一種防火墻設(shè)備�����,其特征在于��,包括 第二接收模塊�,用于通過與互為熱備的多個防火墻中的從防火墻之間的報文轉(zhuǎn)發(fā)隧道,接收所述從防火墻發(fā)送的非首報文���,所述非首報文為所述從防火墻接收到的報文流中的報文�����;其中,所述防火墻設(shè)備為所述互為熱備的多個防火墻中的主防火墻�����; 第二轉(zhuǎn)發(fā)模塊��,用于根據(jù)本地轉(zhuǎn)發(fā)所述非首報文所需的流表��,轉(zhuǎn)發(fā)所述非首報文����。
20.根據(jù)權(quán)利要求19所述的防火墻設(shè)備����,其特征在于,所述第二接收模塊還用于在接收所述非首報文之前����,通過所述報文轉(zhuǎn)發(fā)隧道,接收所述從防火墻發(fā)送的所述報文流的首報文����;所述防護墻設(shè)備還包括 流表建立模塊����,用于根據(jù)所述首報文在本地建立所述流表; 所述第二轉(zhuǎn)發(fā)模塊還用于根據(jù)建立的所述流表轉(zhuǎn)發(fā)所述首報文��。
21.根據(jù)權(quán)利要求20所述的防火墻設(shè)備,其特征在于,還包括 流表同步模塊���,用于向所述從防火墻發(fā)送所述流表�����。
22.根據(jù)權(quán)利要求20或21所述的防火墻設(shè)備�����,其特征在于����,還包括 第二形成模塊�����,用于通過虛擬技術(shù)與所述互為熱備的多個防火墻中的其他防火墻形成邏輯防火墻���,其中�����,所述互為熱備的多個防火墻之間通過物理鏈路相互連接����。
23.根據(jù)權(quán)利要求22所述的防火墻設(shè)備���,其特征在于�����,所述第二形成模塊具體用于通過堆疊技術(shù)與所述互為熱備的多個防火墻中的其他防火墻形成所述邏輯防火墻���。
24.根據(jù)權(quán)利要求22所述的防火墻設(shè)備��,其特征在于,還包括 第二鏈路聚合模塊��,用于對所述防火墻設(shè)備連接的上游設(shè)備或下游設(shè)備與所述互為熱備的多個防火墻之間的所有物理鏈路進行聚合處理����,形成聚合鏈路或等價路由�。
25.一種報文轉(zhuǎn)發(fā)系統(tǒng)����,其特征在于��,包括權(quán)利要求13-18任一項所述的防火墻設(shè)備和權(quán)利要求19-24任一項所述的防火墻設(shè)備。
全文摘要
本發(fā)明提供一種報文轉(zhuǎn)發(fā)方法��、設(shè)備及系統(tǒng)����。一種轉(zhuǎn)發(fā)方法包括互為熱備的多個防火墻中的從防火墻接收報文流中的非首報文;如果從防火墻在本地未找到轉(zhuǎn)發(fā)非首報文所需的流表���,通過與互為熱備的多個防火墻中的主防火墻之間的報文轉(zhuǎn)發(fā)隧道�,將非首報文轉(zhuǎn)發(fā)給主防火墻��,以使主防火墻根據(jù)本地的流表轉(zhuǎn)發(fā)非首報文��。本發(fā)明技術(shù)方案解決了防火墻雙機熱備場景下流量丟失的問題��。
文檔編號H04L29/06GK102821099SQ20121025842
公開日2012年12月12日 申請日期2012年7月24日 優(yōu)先權(quán)日2012年7月24日
發(fā)明者劉熙 申請人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司