一种报文转发方法、第一交换机及相关系统技术方案
Message forwarding method, first switch and related system
The embodiment of the invention discloses a message forwarding method, first switch and related system, the method includes: a first switch receives multiple message from the first network, the first switch to the first firewall and second firewall to send multiple messages, the first switch to the first and second firewall firewall message sent is the same. In order to make the first session item second are based on the firewall and firewall multiple message session in the first packet of the first packet is establishing a session session table, session table contains five tuples, five tuple is used to determine the flow through the firewall packet is a message session session; the first switch receives the first firewall sent from the second network the first message is transmitted from the switch; in the second session of the first network to network. With this application, the second firewall can replace the business of the first firewall on the basis of the session table item created by itself when the first firewall fails, thereby avoiding service interruption.
【技术实现步骤摘要】
一种报文转发方法、第一交换机及相关系统
本专利技术涉及计算机
,尤其涉及一种报文转发方法、第一交换机及相关系统。
技术介绍
虚拟机软件(VirtualMachineware,VMware)、内核虚拟机(Kernel-basedVirtualMachine,KVM)等环境的虚拟化技术的原理是将一台物理机的物理资源虚拟成多个虚拟机(VirtualMachine,VM),使得每个VM都可以实现物理机的功能。随着网络功能虚拟化(NetworkFunctionVirtualization,NFV)的不断演进,很多传统的网关,如防火墙、路由器等,都将部署到虚拟机上。多个虚拟机之间形成互为备份的容灾机制可以避免网关在的运行过程中出现网络流量所承载的业务中断的情况。请参见图1,图1是现有技术中的基于虚拟技术的防火墙,即虚拟防火墙,转发报文的场景示意图,其中除了以虚拟防火墙101和虚拟防火墙102为例的虚拟防火墙之外,还可能存在其他虚拟防火墙,图1只是以2个虚拟防火墙为例进行举例说明。虚拟防火墙101和虚拟防火墙102通过虚拟路由器冗余协议(VirtualRouterRedu...
【技术保护点】
一种报文转发方法,其特征在于,包括:第一交换机接收来自于第一网络的多个报文,所述第一交换机与第一防火墙、第二防火墙和所述第一网络相连,所述多个报文是所述第一网络与第二网络之间传输的报文,所述第一防火墙为主用防火墙,所述第二防火墙为备用防火墙,所述第一防火墙和第二防火墙分别与所述第一交换机和第二交换机连接,所述第二交换机还与所述第二网络连接;所述第一交换机分别向所述第一防火墙和所述第二防火墙发送所述多个报文,所述第一交换机向所述第一防火墙和所述第二防火墙发送的报文是相同的,以使所述第一防火墙和所述第二防火墙均根据所述多个报文中的会话首报文建立所述会话首报文所属会话的会话表项,...
【技术特征摘要】
1.一种报文转发方法,其特征在于,包括:第一交换机接收来自于第一网络的多个报文,所述第一交换机与第一防火墙、第二防火墙和所述第一网络相连,所述多个报文是所述第一网络与第二网络之间传输的报文,所述第一防火墙为主用防火墙,所述第二防火墙为备用防火墙,所述第一防火墙和第二防火墙分别与所述第一交换机和第二交换机连接,所述第二交换机还与所述第二网络连接;所述第一交换机分别向所述第一防火墙和所述第二防火墙发送所述多个报文,所述第一交换机向所述第一防火墙和所述第二防火墙发送的报文是相同的,以使所述第一防火墙和所述第二防火墙均根据所述多个报文中的会话首报文建立所述会话首报文所属会话的会话表项,所述会话表项包含五元组,所述五元组用于判断流经防火墙的报文是否属于所述会话;所述第一交换机接收所述第一防火墙发送的来自于所述第二网络的所述会话的报文;所述第一交换机向所述第一网络转发所述来自于所述第二网络的所述会话的报文。2.根据权利要求1所述的方法,其特征在于,所述第一交换机分别向所述第一防火墙和所述第二防火墙发送所述多个报文之后,所述方法还包括:所述第一交换机检测所述第一防火墙是否发生故障,或者所述第一交换机与所述第一防火墙之间的链路是否中断;如果所述第一交换机检测到所述第一防火墙故障、或者所述第一交换机与所述第一防火墙之间的链路中断,则所述第一交换机接收并转发所述第二防火墙发送的来自于所述第二网络的所述会话的报文。3.根据权利要求2所述的方法,其特征在于,所述第一交换机检测所述第一防火墙是否发生故障,具体为:所述第一交换机通过双向转发检测机制BFD检测所述第一防火墙是否故障。4.根据权利要求2或3所述的方法,其特征在于,所述第一交换机检测到所述第一防火墙故障、或者所述第一交换机与所述第一防火墙之间的链路中断之前,所述方法还包括:所述第一交换机不接收所述第二防火墙发送的来自于所述第二网络的所述会话的报文,或者接收并丢弃所述第二防火墙发送的来自于所述第二网络的所述会话的报文。5.根据权利要求4所述的方法,其特征在于,所述第一交换机包括所述第一交换机与所述第一防火墙相连的第一接口,以及所述第一交换机与所述第二防火墙相连的第二接口,所述第一交换机检测到所述第一防火墙故障、或者所述第一交换机与所述第一防火墙之间的链路中断之前,所述第一接口被设置为主接口,所述第二接口被设置为备接口;所述第一交换机通过所述第一接口接收并转发所述第一防火墙发送的来自于所述第二网络的所述会话的报文,所述第一交换机不接收所述第二防火墙发送的来自于所述第二网络的所述会话的报文,或者通过所述备接口接收所述第二防火墙发送的来自于所述第二网络的所述会话的报文,并丢弃通过所述备接口接收到的来自于所述第二网络的所述会话的报文;所述第一交换机检测到所述第一防火墙故障、或者所述第一交换机与所述第一防火墙之间的链路中断之后,所述方法还包括:将所述第一接口设置为备接口,将所述第二接口设置为主接口,通过所述第二接口接收并转发所述第二防火墙发送的来自于所述第二网络的所述会话的报文。6.一种第一交换机,其特征在于,所述第一交换机包括处理器、存储器和网络接口,其中:所述网络接口用于接收报文和发送报文;所述存储器用于存储指令和数据;所述处理器,用于读取所述存储器中存储的指令和数据,执行如下操作:通过所述网络接口接收来自于第一网络的多个报文,所述第一交换机与第一防火墙、第二防火墙和所述第一网络相连,所述多个报文是所述第一网络与第二网络之间传输的报文,所述第一防火墙为主用防火墙,所述第二防火墙为备用防火墙,所述第一防火墙和第二防火墙分别与所述第一交换机和第二交换机连接,所述第二交换机还与所述第二网络连接;通过所述网络接口分别向所述第一防火墙和所述第二防火墙发送所述多个报文,通过所述网络接口向所述第一防火墙和所述第二防火墙发送的报文是相同的,以使所述第一防火墙和所述第二防火墙均根据所述多个报文中的会话首报文建立所述会话首报文所属会话的会话表项,所述会话表项包含五元组,所述五元组用于判断流经防火墙的报文是否属于所述会话;通过所述网络接口接收所述第一防火墙发送的来自于所述第二网络的所述会话的报文;通过所述网络接口向所述第一网络转发所述来自于所述第二网络的所述会话的报文。7.根据权利要求6所述的第一交换机,其特征在于,所述处理器通过所述网络接口分别向所述第一防火墙和所述第二防火墙发送所述多个报文之后,所述处理器还用于:检测所述第一防火墙是否发生故障,或者所述第一交换机与所述第一防火墙之间的链路是否中断;如果所述第一防火墙故障、或者所述第一交换机与所述第...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。