報文轉(zhuǎn)發(fā)方法及裝置的制造方法
【專利摘要】本申請?zhí)峁┑膱笪霓D(zhuǎn)發(fā)方法及裝置�,所述方法包括:接收經(jīng)由入接口進入的報文��;CPU根據(jù)所述報文的五元組,匹配得到所述報文的業(yè)務(wù)類型��;其中���,所述五元組包括源ip��、目的ip����、源端口��、目的端口和協(xié)議號���;所述CPU根據(jù)所述業(yè)務(wù)類型對所述報文進行業(yè)務(wù)處理,并將所述報文轉(zhuǎn)至交換芯片���;所述交換芯片根據(jù)預(yù)設(shè)的芯片表項����,得到所述報文的出接口��;所述交換芯片通過所述出接口將所述報文發(fā)出�。應(yīng)用本申請實施例��,通過在防火墻設(shè)備上使用交換芯片��,利用所述交換芯片的代理轉(zhuǎn)發(fā)功能可以在同一報文多次經(jīng)過防火墻設(shè)備時�,匹配正確的出接口并轉(zhuǎn)發(fā)所述報文����。
【專利說明】
報文轉(zhuǎn)發(fā)方法及裝置
技術(shù)領(lǐng)域
[0001] 本申請設(shè)及互聯(lián)網(wǎng)技術(shù)領(lǐng)域,尤其設(shè)及一種報文轉(zhuǎn)發(fā)方法及裝置�����。
【背景技術(shù)】
[0002] 報文是互聯(lián)網(wǎng)中數(shù)據(jù)傳輸?shù)幕締卧?,通常可W根據(jù)報文中攜帶的=元組(如源 IP�、目的IP、協(xié)議號)或者五元組(如源IP����、目的IP、源端口��、目的端口����、協(xié)議號)確定傳輸?shù)姆?向��。通常��,為了網(wǎng)絡(luò)安全���,會在數(shù)據(jù)傳輸雙方之間設(shè)置防火墻設(shè)備,相應(yīng)地���,報文在由發(fā)起方 傳輸?shù)巾憫?yīng)方的過程中需要由防火墻設(shè)備進行報文轉(zhuǎn)發(fā)��。
[0003] 如圖1為現(xiàn)有技術(shù)中報文轉(zhuǎn)發(fā)方法的流程圖����,該方法W防火墻設(shè)備為執(zhí)行主體����,具 體步驟如下所示:
[0004] 步驟110:防火墻設(shè)備接收經(jīng)由入接口進入的報文���;
[0005] 步驟120:防火墻設(shè)備的CPU根據(jù)所述報文的五元組�,匹配得到所述報文的出接口 及業(yè)務(wù)類型;其中�����,所述五元組包括源ip、目的ip�����、源端口�����、目的端口和協(xié)議號�����;
[0006] 步驟130:防火墻設(shè)備的CPU根據(jù)所述業(yè)務(wù)類型對所述報文進行業(yè)務(wù)處理�,并通過 所述出接口將所述報文發(fā)出。
[0007] 上述實施例中����,所述匹配是將五元組匹配預(yù)設(shè)的快轉(zhuǎn)表。所述快轉(zhuǎn)表中記錄了五 元組對應(yīng)的出接口及業(yè)務(wù)類型��。通常���,一次數(shù)據(jù)傳輸中����,首報文到達防火墻設(shè)備后,由于快 轉(zhuǎn)表并沒有記錄相關(guān)的五元組�,所W會匹配失敗,CPU會將所述報文上傳至網(wǎng)絡(luò)協(xié)議找的至 少一個業(yè)務(wù)處理單元進行業(yè)務(wù)處理后����,從出接口發(fā)出,并且CPU會將該報文的五元組�、入接 口、出接口����、業(yè)務(wù)類型等信息記錄到快轉(zhuǎn)表中。由于同一個數(shù)據(jù)傳輸過程中�,每個報文的五 元組都是相同的,所W后續(xù)報文到達防火墻設(shè)備后���,只需匹配一次快轉(zhuǎn)表,就可W完成報文 轉(zhuǎn)發(fā)�。如此,通過快轉(zhuǎn)技術(shù)就可W大大提高防火墻設(shè)備轉(zhuǎn)發(fā)報文的效率�����。
[000引舉例說明,如圖2所示為客戶端和服務(wù)器經(jīng)過防火墻設(shè)備進行數(shù)據(jù)傳輸?shù)膱鼍皥D����。 客戶端的ip為192.85.1.2,端口號為1024;服務(wù)器的ip為192.85.1.3,端口號為1025;假設(shè) 業(yè)務(wù)類型為二層轉(zhuǎn)發(fā)。
[0009] 在客戶端發(fā)送的首次報文經(jīng)過防火墻設(shè)備轉(zhuǎn)發(fā)后�����,快轉(zhuǎn)表中會相應(yīng)記錄該報文的 五元組�、入接口、出接口和業(yè)務(wù)類型�����,具體如下表1所示:
[0010] 表1 「00111 LUUiZJ 巧i中��,Sip巧不微ap��,dip巧不日的
IP�,sport巧不娜綱U,dport巧不日的綱U����, protocol表示協(xié)議號,in_if表示入接口��,out_if表示出接口,flag表示業(yè)務(wù)標記��,0x2代表 了業(yè)務(wù)類型為二層轉(zhuǎn)發(fā)�����。如前所述����,表1中前5個元素就是五元組。
[0013]在本次傳輸?shù)暮罄m(xù)報文到達所述防火墻設(shè)備時����,CPU就可W根據(jù)報文的五元組匹 配表1所示的快轉(zhuǎn)表,并根據(jù)業(yè)務(wù)類型做業(yè)務(wù)處理�,并從出接口將報文發(fā)出。具體地���,如果發(fā) 送方為客戶端�,響應(yīng)方為服務(wù)器�,則根據(jù)五元組(源ip 192.85.1.2,目的ip 192.85.1.3����,源 端口 1024,目的端口 1025,協(xié)議號17)匹配到快轉(zhuǎn)表中第一條快轉(zhuǎn)表項,根據(jù)業(yè)務(wù)類型為0x2 做二層轉(zhuǎn)發(fā)處理���,并從出接口 Ethl發(fā)出�;如果發(fā)送方為服務(wù)器�,響應(yīng)方為客戶端,則根據(jù)五 元組(源ip 192.85.1.3���,目的ip 192.85.1.2�,源端口 1025����,目的端口 1024,協(xié)議號17)匹配 到快轉(zhuǎn)表中第二條快轉(zhuǎn)表項���,根據(jù)業(yè)務(wù)類型0x2做二層轉(zhuǎn)發(fā)處理���,并從出接口化hO發(fā)出。
[0014] 快轉(zhuǎn)技術(shù)雖然大大提高了防火墻設(shè)備的報文轉(zhuǎn)發(fā)效率����,但在同一報文多次過設(shè)備 時卻無法正常轉(zhuǎn)發(fā)。如圖3為客戶端和服務(wù)器經(jīng)過防火墻設(shè)備及交換機設(shè)備進行數(shù)據(jù)傳輸 的場景圖���。在該場景下����,同一報文會兩次經(jīng)過防火墻設(shè)備。在防火墻設(shè)備轉(zhuǎn)發(fā)首報文后�,記 錄的快轉(zhuǎn)表同表1相同。W客戶端到服務(wù)器方向的報文加W說明�����,正常時應(yīng)該是(報文發(fā)送 方)客戶端-〉(第一次經(jīng)過)防火墻設(shè)備-〉交換機設(shè)備-〉(第二次進過)防火墻設(shè)備-〉(報文 響應(yīng)方)服務(wù)器����。但在本次傳輸?shù)暮罄m(xù)報文到達防火墻設(shè)備時,報文第一次過防火墻設(shè)備 時�,根據(jù)五元組(源ip 192.85.1.2,目的ip 192.85.1.3����,源端口 1024,目的端口 1025����,協(xié)議 號17)匹配到快轉(zhuǎn)表中第一條快轉(zhuǎn)表項,所W從出接口化hi發(fā)出���。然后經(jīng)過交換機設(shè)備轉(zhuǎn)發(fā) 后從入接口化h3第二次進入防火墻設(shè)備�����,此時���,由于是同一報文五元組也是相同的,依然匹 配到快轉(zhuǎn)表中第一條快轉(zhuǎn)表項�����,從化hi發(fā)出����。運樣又會發(fā)向交換機設(shè)備,如此反復(fù)�,該報文 會在防火墻設(shè)備和交換機設(shè)備之間形成環(huán)路,所述防火墻設(shè)備無法正常轉(zhuǎn)發(fā)報文����。
【發(fā)明內(nèi)容】
[0015] 本申請?zhí)峁┑膱笪霓D(zhuǎn)發(fā)方法及裝置,W解決現(xiàn)有技術(shù)中同一報文多次經(jīng)過防火墻 設(shè)備時�,防火墻設(shè)備無法正常轉(zhuǎn)發(fā)報文的問題。
[0016] 根據(jù)本申請實施例提供的一種報文轉(zhuǎn)發(fā)方法���,所述方法包括:
[0017]接收經(jīng)由入接口進入的報文��;
[0018] CPU根據(jù)所述報文的五元組����,匹配得到所述報文的業(yè)務(wù)類型;其中�����,所述五元組包 括源ip����、目的ip、源端口�����、目的端口和協(xié)議號�����;
[0019] 所述CPU根據(jù)所述業(yè)務(wù)類型對所述報文進行業(yè)務(wù)處理�,并將所述報文轉(zhuǎn)至交換忍 片;
[0020] 所述交換忍片根據(jù)預(yù)設(shè)的忍片表項�����,得到所述報文的出接口;
[0021] 所述交換忍片通過所述出接口將所述報文發(fā)出�。
[0022] 根據(jù)本申請實施例提供的一種報文轉(zhuǎn)發(fā)裝置,所述裝置包括:
[002引接收單元�����,用于接收經(jīng)由入接日進入的報文��;
[0024] 匹配單元����,用于CP訴良據(jù)所述報文的五元組��,匹配得到所述報文的業(yè)務(wù)類型���;其中��, 所述五元組包括源ip��、目的ip�、源端口�、目的端口和協(xié)議號���;
[0025] 業(yè)務(wù)處理單元,用于所述CP訴良據(jù)所述業(yè)務(wù)類型對所述報文進行業(yè)務(wù)處理����,并將所 述報文轉(zhuǎn)至交換忍片;
[0026] 獲取單元��,用于所述交換忍片根據(jù)預(yù)設(shè)的忍片表項�����,得到所述報文的出接口�����;
[0027] 轉(zhuǎn)發(fā)單元��,用于所述交換忍片通過所述出接口將所述報文發(fā)出����。
[0028] 根據(jù)本申請實施例提供的一種防火墻設(shè)備,所述防火墻設(shè)備包括CPU和交換忍片�����, 其中,
[0029] 所述CPU用于根據(jù)報文的五元組�,匹配得到所述報文的業(yè)務(wù)類型,并將所述報文轉(zhuǎn) 至交換忍片;其中����,所述五元組包括源ip、目的ip����、源端口����、目的端口和協(xié)議號;
[0030] 所述交換忍片用于根據(jù)預(yù)設(shè)的忍片表項��,得到所述報文的出接口�,并通過所述出 接口將所述報文發(fā)出。
[0031] 本申請實施例中�����,通過在防火墻設(shè)備上使用交換忍片���,利用所述交換忍片的代理 轉(zhuǎn)發(fā)功能�,即根據(jù)交換忍片中預(yù)設(shè)的忍片表項得到報文正確的出接口,實現(xiàn)同一報文多次 經(jīng)過防火墻設(shè)備時���,可W正常的轉(zhuǎn)發(fā)報文;而且由于將原本由CPU處理報文轉(zhuǎn)發(fā)的工作轉(zhuǎn)移 給了交換忍片�����,而防火墻設(shè)備的整體性能是由CPU的處理能力決定的����,如此在減輕了 CPU的 處理負擔(dān)同時���,相應(yīng)地也就提高了防火墻設(shè)備的整體性能����。
【附圖說明】
[0032] 圖1是現(xiàn)有技術(shù)中報文轉(zhuǎn)發(fā)方法的流程圖����;
[0033] 圖2是客戶端和服務(wù)器經(jīng)過防火墻設(shè)備進行數(shù)據(jù)傳輸?shù)膱鼍皥D;
[0034] 圖3是客戶端和服務(wù)器經(jīng)過防火墻設(shè)備及交換機設(shè)備進行數(shù)據(jù)傳輸?shù)膱鼍皥D����;
[0035] 圖4是本申請實施例提供的防火墻設(shè)備的結(jié)構(gòu)示意圖���;
[0036] 圖5是本申請一實施例提供的報文轉(zhuǎn)發(fā)方法的流程圖;
[0037] 圖6是客戶端和服務(wù)器經(jīng)過防火墻設(shè)備及交換機設(shè)備進行數(shù)據(jù)傳輸?shù)膱鼍皥D��;
[0038] 圖7是本申請報文轉(zhuǎn)發(fā)裝置所在設(shè)備的一種硬件結(jié)構(gòu)圖�;
[0039] 圖8是本申請一實施例提供的報文轉(zhuǎn)發(fā)裝置的模塊圖。
【具體實施方式】
[0040] 運里將詳細地對示例性實施例進行說明���,其示例表示在附圖中�����。下面的描述設(shè)及 附圖時���,除非另有表示�,不同附圖中的相同數(shù)字表示相同或相似的要素。W下示例性實施例 中所描述的實施方式并不代表與本申請相一致的所有實施方式���。相反�����,它們僅是與如所附 權(quán)利要求書中所詳述的�����、本申請的一些方面相一致的裝置和方法的例子����。
[0041] 在本申請使用的術(shù)語是僅僅出于描述特定實施例的目的,而非旨在限制本申請�����。 在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的"一種"����、"所述"和"該"也旨在包括多數(shù) 形式,除非上下文清楚地表示其他含義����。還應(yīng)當(dāng)理解,本文中使用的術(shù)語"和/或"是指并包 含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合�����。
[0042] 應(yīng)當(dāng)理解��,盡管在本申請可能采用術(shù)語第一�、第二�、第=等來描述各種信息�����,但運 些信息不應(yīng)限于運些術(shù)語��。運些術(shù)語僅用來將同一類型的信息彼此區(qū)分開�����。例如���,在不脫離 本申請范圍的情況下�,第一信息也可W被稱為第二信息���,類似地�����,第二信息也可W被稱為第 一信息。取決于語境�����,如在此所使用的詞語"如果"可W被解釋成為"在……時"或"當(dāng)…… 時"或"響應(yīng)于確定"。
[0043] 本申請實施例中防火墻設(shè)備中需要設(shè)置有交換忍片�����。如圖4所示���,為本申請實施例 提供的防火墻設(shè)備的結(jié)構(gòu)示意圖���。
[0044] 圖4中,防火墻設(shè)備主要包括CPU(Central Processing Unit,中央處理器)�����、交換 忍片��。其中���,
[0045] 所述CPU用于根據(jù)報文的五元組�,匹配得到所述報文的業(yè)務(wù)類型�����,并將所述報文轉(zhuǎn) 至交換忍片;其中�����,所述五元組包括源ip、目的ip��、源端口��、目的端口和協(xié)議號�;
[0046] 所述交換忍片用于根據(jù)忍片表項,得到所述報文的出接口�����,并通過所述出接口將 所述報文發(fā)出����。
[0047] 所述防火墻設(shè)備,還包括若干接口���,Eth 0�、…����、Eth n;需要說明的是�,報文在進入 所述防火墻設(shè)備和從所述防火墻設(shè)備發(fā)出��,需要通過所述接口提供的通道�。一般的�����,將報文 進入防火墻設(shè)備使用的接口稱為入接口����;將報文發(fā)出防火墻設(shè)備使用的接口稱為出接口。
[0048] 在本實施例中�����,CPU和交換忍片之間可W通過內(nèi)部通道進行數(shù)據(jù)傳輸�。本實施例 中,防火墻設(shè)備中的CPU負責(zé)對報文進行業(yè)務(wù)處理���,而交換忍片負責(zé)對報文進行轉(zhuǎn)發(fā)��。
[0049] 參見圖5,為本申請一實施例提供的報文轉(zhuǎn)發(fā)方法的流程圖�����,該實施例從防火墻設(shè) 備側(cè)進行描述����,包括W下步驟:
[0050] 步驟210:接收經(jīng)由入接口進入的報文;
[0051] 本實施例中����,防火墻設(shè)備可W接收經(jīng)由入接口進入的報文。
[0052] W下結(jié)合圖6所示的本申請?zhí)峁┑目蛻舳撕头?wù)器經(jīng)過防火墻設(shè)備及交換機設(shè)備 進行數(shù)據(jù)傳輸?shù)膱鼍皥D�����。圖6中�����,客戶端發(fā)出的報文第一次進入防火墻設(shè)備時���,是由所述防 火墻設(shè)備的入接口化h 0進入的�。該報文第二次進入所述防火墻設(shè)備時�,是由所述防火墻設(shè) 備的入接口化h 2進入的。
[0053] 步驟220: CP訴良據(jù)所述報文的五元組���,匹配得到所述報文的業(yè)務(wù)類型��。
[0054] 本實施例中����,防火墻設(shè)備的CPU可W根據(jù)所述報文的五元組�����,匹配得到所述報文的 業(yè)務(wù)類型���。其中��,所述五元組包括源ip���、目的ip、源端口�、目的端口和協(xié)議號。所述源ip和源 端口為報文發(fā)送方的ip和端口��;所述目的ip和目的端口為報文響應(yīng)方的ip和端口�;所述協(xié) 議號為報文發(fā)送方與報文響應(yīng)方在通信協(xié)議(如UDP協(xié)議通信)下的協(xié)議號。
[0055] 具體地�����,所述步驟220,可W包括如下步驟:
[0化6] 所述CPU獲取所述報文中的五元組;
[0057]所述CP訴良據(jù)所述五元組�,匹配快轉(zhuǎn)表;
[005引如果匹配成功����,則獲取所述五元組對應(yīng)的業(yè)務(wù)類型。
[0059] 在本實施例中�����,所述快轉(zhuǎn)表如前所述�����,通常在一次數(shù)據(jù)傳輸?shù)倪^程中����,首報文到達 防火墻設(shè)備,經(jīng)由網(wǎng)絡(luò)協(xié)議找的至少一個業(yè)務(wù)處理模塊進行業(yè)務(wù)處理后�,會該報文的五元 組、入接口���、出接口及業(yè)務(wù)類型記錄到快轉(zhuǎn)表中�����。在后續(xù)報文到達防火墻設(shè)備后�,就可W根 據(jù)報文的五元組匹配所述快轉(zhuǎn)表,從而快速的進行報文轉(zhuǎn)發(fā)��。
[0060] 依然參考圖6,客戶端的ip為192.85. 1 .2,端口號為1024;服務(wù)器的ip為 192.85.1.3,端口號為1025;假設(shè)業(yè)務(wù)類型為二層轉(zhuǎn)發(fā)���。所述客戶端與服務(wù)器之間的首報文 轉(zhuǎn)發(fā)后,記錄的快轉(zhuǎn)表如下表2所示:
[0061] 表 2 「nn么O1 L〇〇63」表2中����,sip表示源ip,dip表示目的
ip�����,sport表示源端口�,dport表示目的端口, protocol表示協(xié)議號��,in_if表示入接口�,out_if表示出接口,flag表示業(yè)務(wù)標記�,0x2代表 了vlan2即業(yè)務(wù)類型為二層轉(zhuǎn)發(fā)。其中�,表2中前5個元素為五元組����。
[0064] 從客戶端到服務(wù)器方向一次正常的報文轉(zhuǎn)發(fā)過程中報文依次經(jīng)過:(報文發(fā)送方) 客戶端-〉(第一次經(jīng)過)防火墻設(shè)備-〉交換機設(shè)備-〉(第二次經(jīng)過)防火墻設(shè)備-〉(報文響應(yīng) 方)服務(wù)器�����。
[0065] 例子一�,W報文第一次經(jīng)過防火墻設(shè)備加 W說明,當(dāng)客戶端發(fā)送的報文�����,從入接口 Eth 0進入防火墻設(shè)備后����,所述防火墻設(shè)備的CPU根據(jù)該報文的五元組(源ip 192.85.1.2, 目的ip 192.85.1.3�����,源端口 1024����,目的端口 1025,協(xié)議號17)匹配到快轉(zhuǎn)表中第一條快轉(zhuǎn)表 項��,得出業(yè)務(wù)類型為0x2。
[0066] 例子二�,W報文第二次經(jīng)過防火墻設(shè)備加 W說明,當(dāng)交換機設(shè)備轉(zhuǎn)發(fā)的報文�����,從入 接口Eth 2第二次進入防火墻設(shè)備后�,所述防火墻設(shè)備的WU根據(jù)該報文的五元組(源ip 192.85.1.2,目的ip 192.85.1.3����,源端口 1024����,目的端口 1025,協(xié)議號17)匹配到快轉(zhuǎn)表中 第一條快轉(zhuǎn)表項�����,得出業(yè)務(wù)類型為0x2���。
[0067] 值得一提的時�,所述忍片表可W包括忍片HASH表(哈希表��、散列表)dHA甜表可W根 據(jù)鍵值對化ey value)存放和訪問數(shù)據(jù),使用HA甜表可W快速匹配到表中記錄的數(shù)據(jù)�����,從而 提高數(shù)據(jù)訪問的效率��。
[0068] 步驟230:所述CP訴良據(jù)所述業(yè)務(wù)類型對所述報文進行業(yè)務(wù)處理����,并將所述報文轉(zhuǎn) 至交換忍片。
[0069] 本實施例中����,防火墻設(shè)備的CPU可W根據(jù)得到的業(yè)務(wù)類型對所述報文進行業(yè)務(wù)處 理,然后將所述報文通過CPU與交換忍片之間的內(nèi)部通道轉(zhuǎn)至交換忍片進行轉(zhuǎn)發(fā)�����。
[0070] 沿用步驟220中的例子一����,即防火墻設(shè)備的CPU匹配得到的業(yè)務(wù)類型為0x2,運樣所 述CPU可W根據(jù)該業(yè)務(wù)類型0x2對所述報文進行業(yè)務(wù)處理,并由內(nèi)部通道將所述報文轉(zhuǎn)至交 換忍片�。
[0071] 沿用步驟220中的例子二,執(zhí)行本步驟230的過程與例子一相同��,此處不再寶述。
[0072] 步驟240:所述交換忍片根據(jù)預(yù)設(shè)的忍片表項�,得到所述報文的出接口;
[0073] 本實施例中�,防火墻設(shè)備的交換忍片可W根據(jù)預(yù)先設(shè)置的忍片表項,得到所述報 文的出接口��。
[0074] 所述交換忍片作為一種硬件設(shè)備���,在世界各地普遍的使用���。目前市場上主流的交 換忍片廠商例如有Cisco(思科)、化oadcom(博通)����、富±通半導(dǎo)體�、華為等。所述交換忍片自 身具有代理轉(zhuǎn)發(fā)功能�����,可W對報文進行轉(zhuǎn)發(fā)��。報文轉(zhuǎn)發(fā)技術(shù)是業(yè)內(nèi)常用技術(shù)�,運里主要對其 中的二層轉(zhuǎn)發(fā)�、路由轉(zhuǎn)發(fā)加 W說明�,當(dāng)然還包括一些其它的轉(zhuǎn)發(fā)形式,在此不再過多寶述�����。
[0075] 針對二層轉(zhuǎn)發(fā)�����,所述步驟240,具體可W包括如下步驟:
[0076] 在二層轉(zhuǎn)發(fā)時�����,所述交換忍片獲取所述報文的Vlan號和目的mac地址��;
[0077] 所述交換忍片根據(jù)所述Vlan號和目的mac地址�����,匹配二層表項�;
[0078] 如果匹配成功,則獲取所述Vlan號和目的mac地址對應(yīng)的出接口��。
[0079] 本實施例中,所述忍片表項可W包括二層表�����、路由表�、arp表等,在二層轉(zhuǎn)發(fā)時���,所 述交換忍片需要應(yīng)用的二層表��。
[0080] 報文還包括了 Vlan號和目的mac地址����,所述二層表中記錄了 Vlan號�����、目的mac地址 和出接口的對應(yīng)關(guān)系����,如下表3所示:
[0081] 表 3 「瞧 L 0083 J 表3中�����,mac_ad虹表示報文的目的mac
地址,vlan表示報文的vlan號����,out_if表示報 文的出接口。
[0084] 沿用步驟220中的例子一�,即報文第一次經(jīng)過防火墻設(shè)備,結(jié)合圖6所示的內(nèi)容���,假 設(shè)報文的vlan號為2�,目的mac地址為00:25:19: 9c: IF: 2E��。在所述報文通過入接口化h 0進 入的防火墻設(shè)備����,由于所述報文的業(yè)務(wù)類型為二層轉(zhuǎn)發(fā),進而所述交換忍片獲取所述報文 的vlan號和目的mac地址�。根據(jù)所述vlan號和目的mac地址匹配上述表3中所示的二層表,由 于可W匹配到第一條二層表項���,所W可W得到所述報文的出接口化h 1�。
[0085] 沿用步驟220中的例子二�,即報文第二次經(jīng)過防火墻設(shè)備,結(jié)合圖6所示的內(nèi)容��,假 設(shè)報文的vlan號為3,目的mac地址為00:25:19: 9c: IF: 2F���。在所述報文通過入接口化h 2進 入的防火墻設(shè)備�����,由于所述報文的業(yè)務(wù)類型為二層轉(zhuǎn)發(fā)�����,進而所述交換忍片獲取所述報文 的vlan號和目的mac地址���。根據(jù)所述vlan號和目的mac地址匹配上述表3中所示的二層表,由 于可W匹配到第二條二層表項�,所W可W得到所述報文的出接口化h 3。
[0086] 值得一提的時����,所述二層表可W包括快轉(zhuǎn)HASH表(哈希表、散列表)����。HA甜表可W根 據(jù)鍵值對化ey value)存放和訪問數(shù)據(jù),使用HA甜表可W快速匹配到表中記錄的數(shù)據(jù)����,從而 提高數(shù)據(jù)訪問的效率。
[0087] 針對路由轉(zhuǎn)發(fā)(=層轉(zhuǎn)發(fā))���,所述步驟240,具體可W包括如下步驟:
[0088] 在路由轉(zhuǎn)發(fā)時���,所述交換忍片獲取所述報文的目的ip;
[0089] 所述交換忍片根據(jù)所述目的ip,匹配路由表���;
[0090] 如果匹配成功�,則獲取所述路由表中標識對應(yīng)的arp表中的出接口�����。
[0091] 本實施例中�����,所述忍片表項可W包括二層表��、路由表�、arp表等,在路由轉(zhuǎn)發(fā)時�,所 述交換忍片需要應(yīng)用的路由表����、arp表����。
[0092] 所述路由表中記錄了目的ip與arp(Ad化ess Resolution Protocol,地址解析協(xié) 議)表的對應(yīng)關(guān)系�,如下表4所示:
[OOW]表 4 r00941
[0095] 表4中,ip_acM;r表示目的ip;next_hop表示目的ip對應(yīng)的a;rp表中的標識��。
[0096] 所述arp表記錄了對應(yīng)路由表中標識的編號��、vlan號���、目的mac地址和出接口�����,如下 表5所不:
[0097] 表 5 [009引
[0099] 表5中���,index表示編號,vain表示vlan號�,mac_ad化表示報文的目的mac地址,out_ if表示報文的出接口���。
[0100] 假設(shè)����,報文中的目的ip為192.168.000.000,在報文進入防火墻設(shè)備后��,由于所述 報文的業(yè)務(wù)類型為路由轉(zhuǎn)發(fā)��,進而所述交換忍片獲取所述報文的目的ip�����。根據(jù)所述目的ip��, 匹配到表4所示的路由表中標識next_hop為125;之后���,所述交換忍片可W進一步獲取所述 標識對應(yīng)的表5所示的arp表中編號為125對應(yīng)的Vlan號�、目的mac���、出接口分別為4�、00:25: 19:9c:lF:2F���、化h 3����。
[0101] 值得一提的時,在路由轉(zhuǎn)發(fā)中���,所述交換忍片在通過出接口將報文發(fā)出前���,還需要 根據(jù)arp表中的Vlan號及目的mac地址修改所述報文中的Vlan號及目的mac地址。如表5所 示���,標識為125時�����,交換忍片獲取到出接口Eth 3后�,還需要修改報文中的Vlan號為4,目的 mac 地址為00:25:19: 9c: 1F: 2F��。
[0102 ]步驟250:所述交換忍片通過所述出接口將報文發(fā)出�����。
[0103] 本實施例中����,防火墻設(shè)備的交換忍片通過所述出接口將所述報文發(fā)出���。
[0104] 依然沿用步驟240中的例子一,結(jié)合圖6所示的內(nèi)容����,防火墻設(shè)備的交換忍片通過 所述出接口化h 1將所述報文發(fā)出,最終報文能夠達到交換機設(shè)備�。
[0105] 相似的�,依然沿用步驟240中的例子二,結(jié)合圖6所示的內(nèi)容����,防火墻設(shè)備的交換忍 片通過所述出接口化h 3將所述報文發(fā)出,最終報文能夠達到服務(wù)器����。
[0106] 通過本實施例,在防火墻設(shè)備上使用交換忍片�,利用所述交換忍片的代理轉(zhuǎn)發(fā)功 能,即根據(jù)交換忍片中預(yù)設(shè)的忍片表項得到報文正確的出接口�,實現(xiàn)同一報文多次經(jīng)過防 火墻設(shè)備時,可W正常的轉(zhuǎn)發(fā)報文;而且由于將原本由CPU處理報文轉(zhuǎn)發(fā)的工作轉(zhuǎn)移給了交 換忍片�,而防火墻設(shè)備的整體性能是由CPU的處理能力決定的,如此在減輕了 CPU的處理負 擔(dān)同時�,相應(yīng)地也就提高了防火墻設(shè)備的整體性能���。
[0107] 與前述報文傳輸方法實施例相對應(yīng),本申請還提供了報文轉(zhuǎn)發(fā)裝置的實施例�。
[0108] 本申請報文轉(zhuǎn)發(fā)裝置的實施例可W分別應(yīng)用在防火墻設(shè)備上。裝置實施例可W通 過軟件實現(xiàn)���,也可W通過硬件或者軟硬件結(jié)合的方式實現(xiàn)��。W軟件實現(xiàn)為例�����,作為一個邏輯 意義上的裝置���,是通過其所在設(shè)備的處理器將非易失性存儲器中對應(yīng)的計算機程序指令讀 取到內(nèi)存中運行形成的。從硬件層面而言�����,如圖7所示���,為本申請報文轉(zhuǎn)發(fā)裝置所在設(shè)備的 一種硬件結(jié)構(gòu)圖���,除了圖7所示的處理器�����、網(wǎng)絡(luò)接口���、內(nèi)存W及非易失性存儲器之外,實施例 中裝置所在的設(shè)備通常根據(jù)該報文轉(zhuǎn)發(fā)的實際功能��,還可W包括其他硬件���,如交換忍片�����,根 據(jù)所述交換忍片的代理轉(zhuǎn)發(fā)功能來實現(xiàn)報文轉(zhuǎn)發(fā)。
[0109] 參見圖8,為本申請一實施例提供的報文轉(zhuǎn)發(fā)裝置的模塊圖����,所述裝置應(yīng)用在用于 實現(xiàn)報文轉(zhuǎn)發(fā)的防火墻設(shè)備上,所述裝置包括:接收單元310����、匹配單元320、業(yè)務(wù)處理單元 330、獲取單元340及轉(zhuǎn)發(fā)單元350���。
[0110] 其中�����,所述接收單元310,用于接收經(jīng)由入接口進入的報文�;
[0111] 所述匹配單元320��,用于CPU根據(jù)所述報文的五元組��,匹配得到所述報文的業(yè)務(wù)類 型��;
[0112] 所述業(yè)務(wù)處理單元330,用于所述CPU根據(jù)所述業(yè)務(wù)類型對所述報文進行業(yè)務(wù)處 理�,并將所述報文轉(zhuǎn)至交換忍片;
[0113] 所述獲取單元340,用于所述交換忍片根據(jù)預(yù)設(shè)的忍片表項���,得到所述報文的出接 p;
[0114] 所述轉(zhuǎn)發(fā)單元350,用于所述交換忍片通過所述出接口將所述報文發(fā)出�。
[0115] 在一個可選的實現(xiàn)方式中:
[0116] 所述獲取單元340,具體可W包括:
[0117] 第一獲取子單元�����,用于在二層轉(zhuǎn)發(fā)時����,所述交換忍片獲取所述入接口對應(yīng)的Vlan 號和mac地址�����;
[0118] 第二獲取子單元�����,用于所述交換忍片根據(jù)所述Vlan號和mac地址�����,匹配忍片表��;
[0119] 第S獲取子單元����,用于在匹配成功時�����,獲取所述Vlan號和mac地址對應(yīng)的出接口�。
[0120] 在一個可選的實現(xiàn)方式中:
[0121] 所述獲取單元340,具體可W包括:
[0122] 第一獲取子單元�����,用于在路由轉(zhuǎn)發(fā)時,所述交換忍片獲取所述報文的目的ip;
[0123] 第二獲取子單元����,用于所述交換忍片根據(jù)所述目的ip,匹配路由表�����;
[0124] 第S獲取子單元����,用于在匹配成功時,獲取所述路由表中標識對應(yīng)的arp表中的出 接口�����。
[0125] 在一個可選的實現(xiàn)方式中:
[01%] 所述匹配單元320,具體可W包括:
[0127]第一匹配子單元���,用于所述CPU獲取所述報文中的五元組��;
[01 %]第二匹配子單元�����,用于所述CP訴良據(jù)所述五元組�,匹配快轉(zhuǎn)表;
[0129] 第=匹配子單元����,用于在匹配成功時,獲取所述五元組對應(yīng)的業(yè)務(wù)類型�����。
[0130] 在一個可選的實現(xiàn)方式中:
[0131] 所述第二匹配子單元中���,所述快轉(zhuǎn)表包括快轉(zhuǎn)哈希表��。
[0132] 通過本實施例�,在防火墻設(shè)備上使用交換忍片�����,利用所述交換忍片的代理轉(zhuǎn)發(fā)功 能�����,即根據(jù)交換忍片中預(yù)設(shè)的忍片表項得到報文正確的出接口�����,實現(xiàn)同一報文多次經(jīng)過防 火墻設(shè)備時����,可W正常的轉(zhuǎn)發(fā)報文;而且由于將原本由CPU處理報文轉(zhuǎn)發(fā)的工作轉(zhuǎn)移給了交 換忍片,而防火墻設(shè)備的整體性能是由CPU的處理能力決定的�����,如此在減輕了 CPU的處理負 擔(dān)同時���,相應(yīng)地也就提高了防火墻設(shè)備的整體性能���。
[0133] 上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的 實現(xiàn)過程,在此不再寶述�。
[0134] 對于裝置實施例而言,由于其基本對應(yīng)于方法實施例���,所W相關(guān)之處參見方法實 施例的部分說明即可����。W上所描述的裝置實施例僅僅是示意性的���,其中所述作為分離部件 說明的單元可W是或者也可W不是物理上分開的����,作為單元顯示的部件可W是或者也可W 不是物理單元,即可W位于一個地方�,或者也可W分布到多個網(wǎng)絡(luò)單元上?��?蒞根據(jù)實際的 需要選擇其中的部分或者全部模塊來實現(xiàn)本申請方案的目的�。本領(lǐng)域普通技術(shù)人員在不付 出創(chuàng)造性勞動的情況下����,即可W理解并實施。
[0135] 本領(lǐng)域技術(shù)人員在考慮說明書及實踐運里公開的發(fā)明后����,將容易想到本申請的其 它實施方案。本申請旨在涵蓋本申請的任何變型���、用途或者適應(yīng)性變化����,運些變型、用途或 者適應(yīng)性變化遵循本申請的一般性原理并包括本申請未公開的本技術(shù)領(lǐng)域中的公知常識 或慣用技術(shù)手段�。說明書和實施例僅被視為示例性的�,本申請的真正范圍和精神由下面的 權(quán)利要求指出。
[0136]應(yīng)當(dāng)理解的是��,本申請并不局限于上面已經(jīng)描述并在附圖中示出的精確結(jié)構(gòu)��,并 且可W在不脫離其范圍進行各種修改和改變����。本申請的范圍僅由所附的權(quán)利要求來限制。
【主權(quán)項】
1. 一種報文轉(zhuǎn)發(fā)方法��,其特征在于����,所述方法包括: 接收經(jīng)由入接口進入的報文; CPU根據(jù)所述報文的五元組����,匹配得到所述報文的業(yè)務(wù)類型;其中����,所述五元組包括源 ip、目的ip����、源端口�、目的端口和協(xié)議號��; 所述CHJ根據(jù)所述業(yè)務(wù)類型對所述報文進行業(yè)務(wù)處理�,并將所述報文轉(zhuǎn)至交換芯片; 所述交換芯片根據(jù)預(yù)設(shè)的芯片表項����,得到所述報文的出接口; 所述交換芯片通過所述出接口將報文發(fā)出���。2. 根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,所述交換芯片根據(jù)預(yù)設(shè)的芯片表項��,得到 所述報文的出接口���,具體包括: 在二層轉(zhuǎn)發(fā)時�����,所述交換芯片獲取所述報文的vlan號和目的mac地址�; 所述交換芯片根據(jù)所述vlan號和目的mac地址,匹配二層表��; 如果匹配成功�����,則獲取所述vlan號和目的mac地址對應(yīng)的出接口��。3. 根據(jù)權(quán)利要求1所述的方法�,其特征在于����,所述交換芯片根據(jù)預(yù)設(shè)的芯片表項,得到 所述報文的出接口����,具體包括: 在路由轉(zhuǎn)發(fā)時,所述交換芯片獲取所述報文的目的ip; 所述交換芯片根據(jù)所述目的ip��,匹配路由表; 如果匹配成功�,則獲取所述路由表中標識對應(yīng)的arp表中的出接口。4. 根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述CPU根據(jù)所述報文的五元組�����,匹配得到 所述報文的業(yè)務(wù)類型�����,具體包括: 所述CHJ獲取所述報文中的五元組�; 所述CHJ根據(jù)所述五元組,匹配快轉(zhuǎn)表��; 如果匹配成功��,則獲取所述五元組對應(yīng)的業(yè)務(wù)類型�。5. 根據(jù)權(quán)利要求4所述的方法,其特征在于���,所述快轉(zhuǎn)表包括快轉(zhuǎn)哈希表��。6. -種報文轉(zhuǎn)發(fā)裝置�����,其特征在于�,所述裝置包括: 接收單元,用于接收經(jīng)由入接口進入的報文��; 匹配單元����,用于CPU根據(jù)所述報文的五元組����,匹配得到所述報文的業(yè)務(wù)類型;其中��,所述 五元組包括源ip����、目的ip、源端口���、目的端口和協(xié)議號��; 業(yè)務(wù)處理單元���,用于所述CPU根據(jù)所述業(yè)務(wù)類型對所述報文進行業(yè)務(wù)處理�,并將所述報 文轉(zhuǎn)至交換芯片����; 獲取單元,用于所述交換芯片根據(jù)預(yù)設(shè)的芯片表項�����,得到所述報文的出接口�; 轉(zhuǎn)發(fā)單元,用于所述交換芯片通過所述出接口將所述報文發(fā)出�。7. 根據(jù)權(quán)利要求6所述的裝置,其特征在于�,所述獲取單元,具體包括: 第一獲取子單元��,用于在二層轉(zhuǎn)發(fā)時���,所述交換芯片獲取所述入接口對應(yīng)的vlan號和 mac地址�; 第二獲取子單元�,用于所述交換芯片根據(jù)所述vlan號和mac地址��,匹配芯片表����; 第三獲取子單元���,用于在匹配成功時����,獲取所述vlan號和mac地址對應(yīng)的出接口����。8. 根據(jù)權(quán)利要求6所述的裝置,其特征在于�����,所述獲取單元���,具體包括: 第一獲取子單元,用于在路由轉(zhuǎn)發(fā)時�����,所述交換芯片獲取所述報文的目的ip; 第二獲取子單元,用于所述交換芯片根據(jù)所述目的ip�,匹配路由表; 第三獲取子單元���,用于在匹配成功時����,獲取所述路由表中標識對應(yīng)的arp表中的出接 □ 〇9. 根據(jù)權(quán)利要求6所述的裝置��,其特征在于�,所述匹配單元,具體包括: 第一匹配子單元���,用于所述CPU獲取所述報文中的五元組����; 第二匹配子單元�����,用于所述CPU根據(jù)所述五元組�����,匹配快轉(zhuǎn)表; 第三匹配子單元�,用于在匹配成功時,獲取所述五元組對應(yīng)的業(yè)務(wù)類型�����。10. 根據(jù)權(quán)利要求9所述的裝置��,其特征在于�,所述快轉(zhuǎn)表包括快轉(zhuǎn)哈希表。11. 一種防火墻設(shè)備��,其特征在于��,包括CHJ和交換芯片��,其中�����, 所述CHJ用于根據(jù)報文的五元組�����,匹配得到所述報文的業(yè)務(wù)類型�,并將所述報文轉(zhuǎn)至交 換芯片;其中,所述五元組包括源ip����、目的ip、源端口���、目的端口和協(xié)議號���; 所述交換芯片用于根據(jù)預(yù)設(shè)的芯片表項,得到所述報文的出接口�����,并通過所述出接口 將所述報文發(fā)出����。
【文檔編號】H04L29/06GK105939274SQ201610326573
【公開日】2016年9月14日
【申請日】2016年5月17日
【發(fā)明人】任紅軍
【申請人】杭州迪普科技有限公司