报文转发方法及设备技术

本申请提供了报文转发方法及设备。本申请提供的报文转发方法中，双机热备组的任一防火墙设备接收IPv6报文，确定未查找到IPv6报文的会话表项，将IPv6报文封装为分段路由IPv6报文；其中，分段路由IPv6报文的外层源IP地址是本设备IPv6地址，分段路由IPv6报文的目的IP地址是到达对端防火墙的IPv6地址的下一跳；分段路由头的分段列表是逆序压栈的到达对端防火墙设备的各跳的IPv6地址；向下一跳发送分段路由IPv6报文，以使得双机热备组的对端防火墙设备收到分段路由IPv6后对内层的IPv6报文进行会话检查。会话检查。会话检查。

【技术实现步骤摘要】
报文转发方法及设备


[0001]本申请涉及通信技术，特别涉及报文转发方法及设备。

技术介绍

[0002]防火墙双机热备组将互为备份的两台防火墙设备会通过备份链路定时向另一台设备发送状态协商报文，协商进入同步状态后开始备份对端设备上的会话、A表项、黑名单等重要信息。当其中一台防火墙设备发生故障时，在转发层面利用VRRP或动态路由(例如OSPF)机制将业务流量切换到另一台防火墙设备。理想情况下，不同的业务流通过两台防火墙设备，这样每个流的正向报文和反向设备都通过同一台防火墙转发，这样防火墙设备能够基于会话进行业务防护。
[0003]由于双机热备组的防火墙设备之间并不时实时备份，一旦某个业务流的正向报文通过其中一台防火墙设备转发，而反向报文被转发到另一台防火墙设备时，收到反向报文的防火墙设备会因为没有同步会话信息，只能丢弃收到的反向报文。网络中，防火墙有可能连接多台路由器，此时，也无法通过配置保持上一跳功能，无法保持统一业务流的正向报文和反向报文的路径一致。

技术实现思路

[0004]本申请的目的在于提供报文转发方法及设备，使得经由双机热备组的防火墙设备转发的同一业务流的正向报文和反向报文的路径一致。
[0005]未实现上述目的，本申请提供了一种报文转发方法，应用于双机热备组的任一防火墙设备，该方法包括：接收第一IPv6报文；确定未查找到第一IPv6报文的会话表项；将第一IPv6报文封装为第一分段路由IPv6报文；其中，第一分段路由IPv6报文的外层源IP地址是本设备IPv6地址，第一分段路由IPv6报文的目的IP地址是到达对端防火墙的IPv6地址的下一跳；分段路由头的分段列表是逆序压栈的到达对端防火墙设备的各跳的IPv6地址；向下一跳发送第一分段路由IPv6报文，以使得双机热备组的对端防火墙设备收到第一分段路由IPv6后对内层的第一IPv6报文进行会话检查。
[0006]为实现上述目的，本申请还提供了，一种报文转发设备，该设备作为双机备份组的防火墙设备包括处理器以及存储器；存储器用于存储处理器可执行指令；其中，处理器通过运行存储器中的处理器可执行指令用以执行以下操作：接收第一IPv6报文；确定未查找到第一IPv6报文的会话表项；将第一IPv6报文封装为第一分段路由IPv6报文；其中，第一分段路由IPv6报文的外层源IP地址是本设备IPv6地址，第一分段路由IPv6报文的目的IP地址是到达对端防火墙的IPv6地址的下一跳；分段路由头的分段列表是逆序压栈的到达对端防火墙设备的各跳的IPv6地址；向下一跳发送第一分段路由IPv6报文，以使得双机热备组的对端防火墙设备收到第一分段路由IPv6后对内层的第一IPv6报文进行会话检查。
[0007]为实现上述目的，本申请还提供了一种报文转发方法，该方法包括：接收第一分段路由IPv6报文；其中，第一分段路由IPv6报文的外层目的IP地址的源IP地址是双机热备组
的第一防火墙设备的IPv6地址；分段路由头的分段列表的逆序压栈的第一个分段标识是双机热备组的第二防火墙设备的IPv6地址；确定第一分段路由IPv6报文的外层目的IP地址是本设备IPv6地址；根据本设备IPv6地址的指令部分读取分段列表中作为下一个分段标识，将第一分段路由IPv6报文的内层IPv6报文的内层目的IP地址在本地路由表的下一跳修改为作为下一个分段标识的IPv6地址；将第一分段路由IPv6报文的外层目的IP地址修改为作为下一个分段标识的IPv6地址；将第一IPv6报文发送到修改后的外层目的IP地址。
[0008]为实现上述目的，本申请还提供了一种报文转发设备，该设备作为路由设备包括处理器以及存储器；存储器用于存储处理器可执行指令；其中，处理器通过运行存储器中的处理器可执行指令用以执行以下操作：接收第一分段路由IPv6报文；其中，第一分段路由IPv6报文的外层目的IP地址的源IP地址是双机热备组的第一防火墙设备的IPv6地址；分段路由头的分段列表的逆序压栈的第一个分段标识是双机热备组的第二防火墙设备的IPv6地址；确定第一分段路由IPv6报文的外层目的IP地址是本设备IPv6地址；根据本设备IPv6地址的指令部分读取分段列表中作为下一个分段标识，将第一分段路由IPv6报文的内层IPv6报文的内层目的IP地址在本地路由表的下一跳修改为作为下一个分段标识的IPv6地址；将第一分段路由IPv6报文的外层目的IP地址修改为作为下一个分段标识的IPv6地址；将第一IPv6报文发送到修改后的外层目的IP地址。
[0009]本申请的有益效果在于，经由双机热备组的防火墙设备转发的同一业务流的正向报文和反向报文的路径一致，提高防火墙设备的业务可靠性。
附图说明
[0010]图1为本申请提供的报文转发方法实施例的流程图；
[0011]图2为本申请提供报文转发示意图；
[0012]图3和图4为图2中报文转发设备的示意图。
具体实施方式
[0013]将以多个附图所示的多个例子进行详细说明。在以下详细描述中，多个具体细节用于提供对本申请的全面理解。实例中没有详细地描述已知的方法、步骤、组件以及电路，以免使这些例子的难于理解。
[0014]使用的术语中，术语“包括”表示包括但不限于；术语“含有”表示包括但不限于；术语“以上”、“以内”以及“以下”包含本数；术语“大于”、“小于”表示不包含本数。术语“基于”表示至少基于其中一部分。
[0015]图1的本申请提供的报文转发方法实施例包括以下步骤：
[0016]步骤101，接收IPv6报文；
[0017]步骤102，确定未查找到IPv6报文的会话表项；
[0018]步骤103，将IPv6报文封装为分段路由IPv6报文；其中，分段路由IPv6报文的外层源IP地址和目的IP地址分别是本设备IPv6地址以及是到达对端防火墙的IPv6地址的下一跳；分段路由头的分段列表是逆序压栈的到达对端防火墙设备的各跳的IPv6地址；
[0019]步骤104，向下一跳发送分段路由IPv6报文；
[0020]通过上述步骤，以使得双机热备组的对端防火墙设备收到三层报文的会话检查。
[0021]本申请的有益效果在于，经由双机热备组的防火墙设备转发的同一业务流的正向报文和反向报文的路径一致，提高防火墙设备的业务可靠性。
[0022]图2为本申请提供报文转发示意图。
[0023]图2中，终端20发送访问服务器26的正向的IPv6报文210；其中，源IP地址是IP20，目的IP地址是IP26。IPv6报文210被逐跳地转发到双机热备组的防火墙设备21。防火墙设备21基于收到的IPv6报文210建立会话表项；该会话表项记录报文的源IP、源端口、目的IP、目的端口、协议以及地址转换等信息。
[0024]防火墙设备21。根据路由表中目的IP地址的下一跳将其发送到路由器23。IPv6报文210经由路由器23被逐跳地发送到网络设备25，由网络设备25基于IPv6报文210的目的I本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种报文转发方法，应用于双机热备组的任一防火墙设备，其特征在于，所述方法包括：接收第一IPv6报文；确定未查找到所述第一IPv6报文的会话表项；将所述第一IPv6报文封装为第一分段路由IPv6报文；其中，所述第一分段路由IPv6报文的外层源IP地址是本设备IPv6地址，所述第一分段路由IPv6报文的目的IP地址是到达对端防火墙的IPv6地址的下一跳；所述分段路由头的分段列表是逆序压栈的到达所述对端防火墙设备的各跳的IPv6地址；向所述下一跳发送所述第一分段路由IPv6报文，以使得所述双机热备组的对端防火墙设备收到所述第一分段路由IPv6后对内层的所述第一IPv6报文进行会话检查。2.根据权利要求1所述的方法，其特征在于，所述方法包括：接收第二分段路由IPv6报文；其中，所述第二分段路由IPv6报文的外层源IP地址和目的IP地址分别是所述对端防火墙设备的IPv6地址以及所述本设备的IPv6地址；根据所述本设备的IPv6地址的指令部分，将所述第二分段路由IPv6报文的外层IP头和分段路由头剥掉；根据内层的第二IPv6报文查找到会话表项，根据所述第二IPv6报文的目的IP地址执行三层转发。3.一种报文转发设备，其特征在于，所述设备作为双机备份组的防火墙设备包括处理器以及存储器；所述存储器用于存储处理器可执行指令；其中，所述处理器通过运行所述存储器中的处理器可执行指令用以执行以下操作：接收第一IPv6报文；确定未查找到所述第一IPv6报文的会话表项；将所述第一IPv6报文封装为第一分段路由IPv6报文；其中，所述第一分段路由IPv6报文的外层源IP地址是本设备IPv6地址，所述第一分段路由IPv6报文的目的IP地址是到达对端防火墙的IPv6地址的下一跳；所述分段路由头的分段列表是逆序压栈的到达所述对端防火墙设备的各跳的IPv6地址；向所述下一跳发送所述第一分段路由IPv6报文，以使得所述双机热备组的对端防火墙设备收到所述第一分段路由IPv6后对内层的所述第一IPv6报文进行会话检查。4.根据权利要求3所述的设备，其特征在于，所述处理器通过运行所述存储器中的处理器可执行指令还执行以下操作：接收第二分段路由IPv6报文；其中，所述第二分段路由IPv6报文的外层源IP地址和目的IP地址分别是所述对端防火墙设备的IPv6地址以及所述本设备的IPv6地址；根据所述本设备的IPv6地址的指令部分，将所述第二分段路由IPv6报文的外层IP头和分段路由头剥掉；根据内层的第二IPv6报文查找到会话表项，根据所述第二IPv6报文的目的IP地址执行三层转发。5.一种报文转发方...

【专利技术属性】
技术研发人员：柴永富，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：