报文转发方法和装置制造方法及图纸

本申请提供一种报文转发方法及装置，应用于防火墙设备中，所述方法包括：确定来自连接的终端发送的报文匹配上预设IPSec策略后，在IP‑MAC映射节点集合中添加与所述报文对应的第一IP‑MAC映射节点，并根据MAC转发表转发所述报文；以及，通过所述IPSec VPN连接接收IPSec报文后，在所述IP‑MAC映射节点集合中查找所述IPSec报文的内层报文对应的第二IP‑MAC映射节点；若查找到所述第二IP‑MAC映射节点，则根据所述第二IP‑MAC映射节点重新设置所述内层报文的源MAC地址和目的MAC地址；根据所述MAC转发表转发重新设置后的所述内层报文。应用本申请的实施例，可以避免一直泛洪终端的报文，进而可以大大节省网络资源。

【技术实现步骤摘要】
报文转发方法和装置
本申请涉及网络通信
，特别设计一种报文转发方法和装置。
技术介绍
有些大规模的公司需要在本部之外建立分支，为了满足本部与各个分支之间的通信需求，可以在各个区域的内部、以及各个区域之间进行二层组网，请参见图1，图1为二层组网的架构示意图，无论包含多少个区域，通信原理都是相同的，图中以包含两个区域为例进行说明。互联网协议安全(InternetProtocolSecurity，IPSec)是一种工作在三层的加密协议，通过在IPSec对等体之间建立双向的IPSec隧道，并将匹配IPSec策略的报文引入该IPSec隧道，然后对通过IPSec隧道接收到的报文进行加密和验证，进而实现安全传输指定的报文。为了保证图1所示的二层组网中各区域之间报文交互的安全，可以引入透明模式的防火墙设备，防火墙设备工作在二层转发模式，通过IPSec虚拟专用网络(VirtualPrivateNetwork，VPN)功能对报文进行加密，保证报文的安全，请参见图2，图2为在图1的基础上引入防火墙设备的二层组网的架构示意图。假设，区域1的终端1本文档来自技高网...

【技术保护点】
1.一种报文转发方法，应用于防火墙设备中，所述防火墙设备分别与其他至少一个防火墙设备之间建立互联网协议安全IPSec虚拟专用网络VPN连接，所述防火墙设备工作在二层透明模式，其特征在于，所述方法包括：/n确定来自连接的终端发送的报文匹配上预设IPSec策略后，在互联网协议IP-媒体访问控制MAC映射节点集合中添加与所述报文对应的第一IP-MAC映射节点，并根据MAC转发表转发所述报文；以及，/n通过所述IPSec VPN连接接收IPSec报文后，在所述IP-MAC映射节点集合中查找所述IPSec报文的内层报文对应的第二IP-MAC映射节点；/n若查找到所述第二IP-MAC映射节点，则根据所述第...

【技术特征摘要】
1.一种报文转发方法，应用于防火墙设备中，所述防火墙设备分别与其他至少一个防火墙设备之间建立互联网协议安全IPSec虚拟专用网络VPN连接，所述防火墙设备工作在二层透明模式，其特征在于，所述方法包括：
确定来自连接的终端发送的报文匹配上预设IPSec策略后，在互联网协议IP-媒体访问控制MAC映射节点集合中添加与所述报文对应的第一IP-MAC映射节点，并根据MAC转发表转发所述报文；以及，
通过所述IPSecVPN连接接收IPSec报文后，在所述IP-MAC映射节点集合中查找所述IPSec报文的内层报文对应的第二IP-MAC映射节点；
若查找到所述第二IP-MAC映射节点，则根据所述第二IP-MAC映射节点重新设置所述内层报文的源MAC地址和目的MAC地址；
根据所述MAC转发表转发重新设置后的所述内层报文。


2.根据权利要求1所述的方法，其特征在于，在IP-MAC映射节点集合中添加与所述报文对应的第一IP-MAC映射节点，具体包括：
获取所述报文携带的第一源IP地址、第一目的IP地址、第一源MAC地址和第一目的MAC地址；
将所述第一源IP地址和所述第一目的IP地址进行哈希运算，得到第一哈希值；
生成包括所述第一哈希值、所述第一源IP地址、所述第一目的IP地址、所述第一源MAC地址、所述第一目的MAC地址和当前生成时刻的第一IP-MAC映射节点；
将所述第一IP-MAC映射节点添加到IP-MAC映射节点集合中。


3.根据权利要求2所述的方法，其特征在于，所述方法还包括：
确定生成时刻与当前时刻之间的时长超过老化时长的第三IP-MAC映射节点；
从所述IP-MAC映射节点集合中删除所述第三IP-MAC映射节点。


4.根据权利要求2所述的方法，其特征在于，在所述IP-MAC映射节点集合中查找所述IPSec报文的内层报文对应的第二IP-MAC映射节点，具体包括：
解密所述IPSec报文，得到所述IPSec报文的内层报文；
获取所述内层报文携带的第二源IP地址和第二目的IP地址；
将所述第二源IP地址和所述第二目的IP地址进行哈希运算，得到第二哈希值；
在所述IP-MAC映射节点集合中查找所述第二哈希值、所述第二源IP地址和所述第二目的IP地址对应的最新的IP-MAC映射节点，得到所述内层报文对应的第二IP-MAC映射节点。


5.根据权利要求4所述的方法，其特征在于，根据所述第二IP-MAC映射节点重新设置所述内层报文的源MAC地址和目的MAC地址，具体包括：
获取所述第二IP-MAC映射节点包括的第二源MAC地址和第二目的MAC地址；
将所述第二源MAC地址和所述第二目的MAC地址重新设置为所述内层报文的目的IP地址和源MAC地址。


6.根据权利要求1-5任一所述的方法，其特征在于，所述方法还包括：
若未查找到所述第二IP-MAC映射节点，则以三层方式转发所述内层报文。


7.一种报文转发装置，应用于所述防火墙设备分别与其他至少一个防火墙设备之间建立IPSecVPN连接，所述防火墙设备工作在二层透明模式，其特征在于，所述装置包括：
处理模块，用于确定来自连接的终端发送的报文匹配上预设IPSec策略后，在IP-MAC映射节点集...

【专利技术属性】
技术研发人员：张瑞冬，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江;33