本申请公开了一种路由查找方法及装置、存储介质和处理器、网络系统。该方法包括:触发主防火墙发送目标会话的备份请求;响应备份请求,将主防火墙上的目标会话备份至备防火墙上;若第一目标开关开启,则依据目标会话的IP地址,在备防火墙上为目标会话重新查找路由,其中,第一目标开关用于指示为目标会话查找路由。通过本申请,解决了相关技术中在非标准HA主备模式组网场景中,当进行主备切换后,使备份到备防火墙上的会话的路由不正确,导致会话的流量中断的问题。的流量中断的问题。的流量中断的问题。
【技术实现步骤摘要】
路由查找方法及装置、存储介质和处理器、网络系统
[0001]本申请涉及网络通信
,具体而言,涉及一种路由查找方法及装置、存储介质和处理器、网络系统。
技术介绍
[0002]防火墙在HA(Highly Available,高可用性)主备模式下进行组网的场景如图1所示,且图1中包括了标准的HA主备模式组网场景和非标准的HA主备模式组网场景。另外,图1中的防火墙FW01为HA主防火墙,防火墙FW02为HA备防火墙。
[0003]如图1所示,上半部分是标准的HA主备模式组网场景。其中,两台防火墙通过二层交换机与对端服务器的一个IP地址(图1中示例IP为1.1.1.1)进行通讯。而且FW01和FW02上面对外接口和IP地址一致(图1中示例接口为eth0/1,IP为1.1.1.2)。所以由上述内容可以得到,当HA发生主备切换时,FW02变为主防火墙,且FW02中的Flow session(流会话)中指向的下行路由的下一跳仍然指向2层交换机SW01的IP地址,因此在标准的HA主备模式组网场景中不会导致Flow session的下行数据业务(FW01/FW02去往SW01的流量)在HA主备切换后中断的问题,也即标准的HA主备模式组网方式没有问题。
[0004]但是,在如图1中所示的下半部分的非标准的HA主备模式组网场景下,会导致Flow session的流量在HA主备切换后中断的问题。具体为:图1中的两台防火墙连接不同的两台3层交换机的不同的IP地址(图1中示例:FW01与SW02的IP地址2.2.2.8通讯,FW02与SW03的IP地址2.2.2.9通讯)。而且SW02和SW03中间无连线,不做堆叠,不做VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议),为单机部署,并配置静态路由。这样,当HA发生主备切换时,FW02变为主防火墙,但是FW02中的Flow session中指向的下行路由的下一跳仍然指向SW02的IP地址(从FW01同步session(会话)过来的,图1中示例为2.2.2.8),因此导致Flow session的下行数据业务(FW01/FW02去往SW02/SW03的流量)在HA主备切换后中断的问题。
[0005]综上,在非标准的HA主备模式组网场景中,存在现有的flow session在HA主备切换后中断的问题。即此session的业务流量在HA主备切换后会一直不通,一直到session被删除(session老化被删除,TCP RST/FIN报文触发删除session等)。
[0006]目前相关技术中,在非标准的HA主备模式组网场景下,将两台三层交换机的接口IP地址和MAC地址都配置成一样的,即把SW02和SW03对着防火墙一侧的IP地址配置成一样的,把SW02和SW03对着防火墙一侧的MAC地址也配置成一样的,但是,采用这种将两台3层交换机配置同样的IP地址和同样的MAC地址的方案,会导致网络部署存在隐患,也有可能会引入路由震荡和MAC地址表震荡的风险。而且,有些网管系统会定期检查所有设备的配置,会认为这种情况为非标/错误的配置,并自动修改/恢复为不同的IP地址和不同的MAC地址。因此,对于这种场景,此方案也会失效。
[0007]针对相关技术中在非标准HA主备模式组网场景中,当进行主备切换后,使备份到备防火墙上的会话的路由不正确,导致会话的流量中断的问题,目前尚未提出有效的解决
方案。
技术实现思路
[0008]本申请的主要目的在于提供一种路由查找方法及装置、存储介质和处理器、网络系统,以解决相关技术中在非标准HA主备模式组网场景中,当进行主备切换后,使备份到备防火墙上的会话的路由不正确,导致会话的流量中断的问题。
[0009]为了实现上述目的,根据本申请的一个方面,提供了一种网络系统。该系统包括:主防火墙;备防火墙;第一交换机;第二交换机;其中,所述主防火墙有第一目标接口和第二目标接口,所述备防火墙有所述第一目标接口和所述第二目标接口,其中,所述主防火墙的第一目标接口与所述第一交换机连接,所述备防火墙的第二目标接口与所述第二交换机连接,所述主防火墙的第二目标接口和所述备防火墙的第一目标接口无线路连接,其中,所述主防火墙的第一目标接口和所述备防火墙的第二目标接口所使用的IP网段不相同。
[0010]进一步地,所述主防火墙和所述备防火墙的路由配置相同。
[0011]为了实现上述目的,根据本申请的一个方面,提供了一种路由查找方法。该方法包括:触发所述主防火墙发送目标会话的备份请求;响应所述备份请求,将所述主防火墙上的所述目标会话备份至所述备防火墙上;若第一目标开关开启,则依据所述目标会话的IP地址,在所述备防火墙上为所述目标会话重新查找路由,其中,所述第一目标开关用于指示为所述目标会话查找路由。
[0012]进一步地,在在所述备防火墙上为所述目标会话重新查找路由之后,所述方法还包括:若在所述备防火墙上为所述目标会话重新查找路由成功,则将所述目标会话从所述主防火墙上拷贝的路由替换为所述目标会话在所述备防火墙上重新查找到的路由;若在所述备防火墙上为所述目标会话重新查找路由失败,则在所述目标会话上记录第一目标信息,其中,所述第一目标信息用于标识后续需要继续查找所述目标会话对应的路由。
[0013]进一步地,在所述目标会话上记录第一目标信息之后,所述方法还包括:若所述主防火墙与所述备防火墙完成主备切换后,则所述备防火墙变为第一主防火墙,且在所述第一主防火墙上进行报文的传输;若第一目标报文与所述目标会话匹配,则查找所述目标会话在所述第一主防火墙上对应的路由,其中,所述第一目标报文为在所述第一主防火墙上进行传输的报文。
[0014]进一步地,在查找所述目标会话在所述第一主防火墙上对应的路由之后,所述方法还包括:若查找所述目标会话在所述第一主防火墙上对应的路由成功,则将所述目标会话从所述主防火墙上拷贝的路由替换为所述目标会话在所述第一主防火墙上重新查找到的路由,并在所述目标会话上记录第二目标信息,其中,所述第二目标信息用于标识后续不需要继续查找所述目标会话对应的路由;若查找所述目标会话在所述第一主防火墙上对应的路由失败,则丢弃所述第一目标报文。
[0015]进一步地,在丢弃所述第一目标报文之后,所述方法还包括:依据预设要求选择预设处理方式;若选择的预设处理方式为预设处理方式一,则删除所述目标会话;若选择的预设处理方式为预设处理方式二,则当第二目标报文与所述目标会话匹配时,则按照预设次数为所述目标会话在所述第一主防火墙上查找对应的路由,其中,所述第二目标报文包括在所述第一主防火墙上进行传输的除所述第一目标报文之外的报文和将所述第一目标报
文进行重新传输后得到的报文;若所述目标会话在所述第一主防火墙上查找对应的路由的次数不大于所述预设次数,且查找所述目标会话在所述第一主防火墙上对应的路由失败,则丢弃所述第二目标报文;若所述目标会话在所述第一主防火墙上查找对应的路由的次数大于所述预设次本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络系统,其特征在于,包括:主防火墙;备防火墙;第一交换机;第二交换机;其中,所述主防火墙有第一目标接口和第二目标接口,所述备防火墙有所述第一目标接口和所述第二目标接口,其中,所述主防火墙的第一目标接口与所述第一交换机连接,所述备防火墙的第二目标接口与所述第二交换机连接,所述主防火墙的第二目标接口和所述备防火墙的第一目标接口无线路连接,其中,所述主防火墙的第一目标接口和所述备防火墙的第二目标接口所使用的IP网段不相同。2.根据权利要求1所述的网络系统,其特征在于,所述主防火墙和所述备防火墙的路由配置相同。3.一种路由查找方法,其特征在于,所述方法应用在上述权利要求1至2中任意一项所述的网络系统中,包括:触发所述主防火墙发送目标会话的备份请求;响应所述备份请求,将所述主防火墙上的所述目标会话备份至所述备防火墙上;若第一目标开关开启,则依据所述目标会话的IP地址,在所述备防火墙上为所述目标会话重新查找路由,其中,所述第一目标开关用于指示为所述目标会话查找路由。4.根据权利要求3所述的方法,其特征在于,在在所述备防火墙上为所述目标会话重新查找路由之后,所述方法还包括:若在所述备防火墙上为所述目标会话重新查找路由成功,则将所述目标会话从所述主防火墙上拷贝的路由替换为所述目标会话在所述备防火墙上重新查找到的路由;若在所述备防火墙上为所述目标会话重新查找路由失败,则在所述目标会话上记录第一目标信息,其中,所述第一目标信息用于标识后续需要继续查找所述目标会话对应的路由。5.根据权利要求4所述的方法,其特征在于,在所述目标会话上记录第一目标信息之后,所述方法还包括:若所述主防火墙与所述备防火墙完成主备切换后,则所述备防火墙变为第一主防火墙,且在所述第一主防火墙上进行报文的传输;若第一目标报文与所述目标会话匹配,则查找所述目标会话在所述第一主防火墙上对应的路由,其中,所述第一目标报文为在所述第一主防火墙上进行传输的报文。6.根据权利要求5所述的方法,其特征在于,在查找所述目标会话在所述第一主防火...
【专利技术属性】
技术研发人员:鲍志军,杨启军,王镜清,张作涛,李家顺,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。