CN100456754C - 路由消息分组的系统和方法 - Google Patents
路由消息分组的系统和方法 Download PDFInfo
- Publication number
- CN100456754C CN100456754C CNB2005101246758A CN200510124675A CN100456754C CN 100456754 C CN100456754 C CN 100456754C CN B2005101246758 A CNB2005101246758 A CN B2005101246758A CN 200510124675 A CN200510124675 A CN 200510124675A CN 100456754 C CN100456754 C CN 100456754C
- Authority
- CN
- China
- Prior art keywords
- router
- fire compartment
- compartment wall
- grouping
- peer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
响应消息分组是对沿出站路径而行的请求消息分组的响应。响应第一防火墙收到请求消息分组,防火墙向第一批对等防火墙和/或路由器广播请求消息分组的会话及防火墙的身份。第一批多个对等防火墙和/或路由器记录会话及第一防火墙是出站路径中的第一中继段。第一防火墙把请求消息分组转发给第一路由器。第一路由器向第二批对等防火墙和/或路由器广播会话及身份。第二批多个对等防火墙和/或路由器记录会话及第一路由器是出站路径中的第二中继段。响应第二路由器收到响应消息分组,第二路由器比较指示的响应消息分组会话与一记录,从记录确定第一防火墙或第一路由器在出站路径中,把响应消息分组转发给第一防火墙或第一路由器。第二路由器不在出站路径中。
Description
技术领域
本发明涉及计算机系统,更具体地说涉及路由消息分组的技术。
背景技术
目前,数字通信经常使用诸如TCP/IP之类的协议,其中消息被分成多个分组。每个分组包括消息的一部分,以及指示消息中该分组的目的地和序列号的报头。分组通过一个或多个中间防火墙和路由器,从源节点发送给目的地节点。源节点可存在于受防火墙保护,以便滤出无用消息的网络中。这种情况下,防火墙位于它所保护的网络和因特网或者通向目的地节点的其它路由器和网络之间。为了防火墙负载均衡、高可用性和其它目的,单一网络可具有两个或更多的防火墙。在源节点或源网络和目的地节点或目的地网络之间通常存在许多可能的路线(即,路由器系列)。
就异步路由协议,比如TCP/IP来说,常见的是请求消息分组经过从源到目的地的一条路线,响应消息分组经过从目的地到源的一条不同路线。每条路线一般以每个路由器和防火墙内的路由表为基础。在存在一种异步路由协议和用于源节点或源网络的一个以上的防火墙的情况下,请求消息分组可能通过用于源节点或源网络的一个防火墙离开网络,响应消息分组可能到达用于源节点或源网络的另一防火墙。
在TCP/IP协议中,当请求消息分组通过防火墙之一离开源节点或源网络时,该防火墙记录在其期间发送该请求消息分组的会话ID。响应消息分组将包括相同的会话ID。但是,如果响应消息分组到达另一防火墙,即使初始消息分组的源节点或源网络的另一防火墙,该另一防火墙也不能识别响应消息会话ID。这种情况下,所述另一防火墙将不把响应消息分组转发给请求消息分组的源节点或源网络。
图1图解说明了上述问题的例子。用户/源计算机10的用户产生具有源IP地址10.0.0.4和目的地IP地址10.1.1.5的请求消息分组。在该标准命名惯例中,“10.0.0”代表用户计算机10所存在的网络12,“.4”代表用户计算机10。同样地,“10.1.1.”代表目的地服务器22所存在的网络21,“.5”代表目的地服务器22。在用户计算机10内存在一个消息路由表,根据用户计算机10的配置,用户计算机10把消息分组发送给虚拟路由冗余协议(“VRRP”)地址10.0.0.1。VRRP地址是防火墙14或防火墙15的虚拟IP地址,如下确定。防火墙14和15先前在它们之间就谁将用VRRP 10.0.0.1处理/路由消息分组进行协商。如果防火墙14或15停止(不对从另一防火墙发送的“心跳”消息作出反应),那么另一防火墙将用VRRP虚拟地址10.0.0.1或10.1.1.X处理消息分组。从而,防火墙14从用户计算机10接收请求消息分组。在把请求消息分组转发给目的地服务器22之前,防火墙记录消息分组的“状态”信息。该状态信息包含会话ID,分组序列号,源IP地址和目的地IP地址。会话ID是用户计算机10开始的发送请求消息分组和接收响应消息分组的会话的身份。单个消息可能已被分成多个分组,从而分组序列号识别每个分组在消息中的位置。在TCP/IP中,在正常的操作条件下,会话保持有效,直到防火墙14从目的地服务器收到完整的响应消息为止(但是,如果在预定的时间内,目的地服务器没有作出响应,那么会话将超时)。防火墙14具有指定到目的地IP地址或者至少到下一中转路由器或防火墙的路径,以便向目的地IP地址发送消息分组的表格。该表格可利用公知的OSPF、RIP、EIGRP、IGRP、BGP、STATIC或IS-IS路由协议来编译。在举例说明的例子中,该表格指示路由器16是下一中转路由器,从而防火墙14把请求消息分组发送给路由器16。同样地,路由器16具有指定到目的地IP地址或者至少到下一中转路由器或防火墙的路径,以便向目的地IP地址发送消息分组的表格。该表格也可利用OSPF、RIP、EIGRP、IGRP、BGP、STATIC或IS-IS路由协议来编译。在举例说明的例子中,该表格指示路由器18是下一中转路由器,从而路由器16把请求消息分组发送给路由器18。同样地,路由器18具有指定到目的地IP地址或者至少到下一中转路由器或防火墙的路径,以便向目的地IP地址发送消息分组的表格。该表格也可利用OSPF、RIP、EIGRP、IGRP、BGP、STATIC或IS-IS路由协议来编译。在举例说明的例子中,该表格指示防火墙20是下一中转防火墙,从而路由器18把请求消息分组发送给防火墙20。类似地,防火墙20具有指定到目的地IP地址的路径的表格。该表格也可利用OSPF、RIP、EIGRP、IGRP、BGP、STATIC或IS-IS路由协议来编译。在举例说明的例子中,该表格指示防火墙20可把消息分组直接发送给目的地IP地址,即,目的地服务器22的IP地址10.1.1.5,从而防火墙20把消息分组发送给目的地服务器22。
每个消息分组包括下述参数中的一个或多个:
SIN-指示消息是初始请求,例如对信息或动作的请求,而不是对另一消息的响应。
FIN-指示发送者与连接断开,从而会话可被终止。
RST-是由于初始连接存在问题,重新建立连接的请求。
ACK-是请求消息分组被收到的(响应)确认。
会话ID-是会话的标识,包括在从用户计算机10到服务器22,以及从服务器22到用户10的所有消息分组中。
SINACT-指示分组是响应消息分组,并且包含对完整的请求消息起反应的部分或全部数据。是在目的地服务器接收并处理从用户计算机收到的完整消息之后,目的地服务器产生的数据。例如,在目的地服务器是web服务器的情况下,该数据可以是网页。
下面举例说明根据现有技术的返回路由的例子,该例子举例说明现有技术的问题。从用户计算机10发送的消息经过防火墙14,从而防火墙14,而不是防火墙16记录状态信息。在请求消息分组通过路由器14、路由器16和防火墙20被转发给目的地服务器22之后,目的地服务器22产生响应消息。该响应消息包含均具有源IP地址10.1.1.5和目的地IP地址10.0.0.4的许多消息分组。在服务器计算机22内存在一个消息路由表,根据服务器计算机22的配置,服务器计算机22把每个消息分组发送给虚拟路由冗余协议(“VRRP”)地址10.1.1.1。该VRRP地址是防火墙20或防火墙24的虚拟IP地址,如下确定。防火墙20和24先前就哪一个将以VRRP 10.1.1.1处理/路由消息分组进行协商,只要该防火墙有效。但是,如果指定的防火墙停止(并且不对从另一防火墙发送的“心跳”消息作出反应),那么另一防火墙将以VRRP虚拟地址10.1.1.1处理消息分组。在举例说明的例子中,防火墙20目前是现用防火墙(在防火墙20和24之间),并被配置成以VRRP虚拟地址10.1.1.1接收消息分组。从而,防火墙20从服务器计算机22接收消息分组。
如上所述,防火墙20具有指定到响应目的地IP地址(即计算机10的IP地址)或者至少到下一中继段(路由器或防火墙)的路由路径,以便向响应目的地IP地址(即,计算机10的IP地址)发送响应消息分组的路由表。该表可利用公知的OSPF、RIP、EIGRP、IGRP、BGP、STATIC或IS-IS路由协议来编译。在举例说明的例子中,该表指示路由器18是下一中转路由器,从而防火墙20把消息分组发送给路由器18。同样地,如上所述,路由器18具有指定到响应目的地IP地址或者至少到下一中继段(路由器或防火墙)的路径,以便向响应目的地IP地址发送响应消息分组的表格。该表也可利用OSPF、RIP、EIGRP、IGRP、BGP、STATIC或IS-IS路由协议来编译。在举例说明的例子中,该表指示路由器28是下一中转路由器,从而路由器18把消息分组发送给路由器28(情况可能是从路由器18到路由器16的通信路径中断或者拥塞,或者由于某一其它原因比到路由器28的路径慢,从而路由器18中的表格把路由器28选为下一中继段)。同样地,路由器28具有指定到响应目的地IP地址或者至少到下一中继段(路由器或防火墙)的路径,以便向响应目的地IP地址发送响应消息分组的表格。该表也可利用OSPF、RIP、EIGRP、IGRP、BGP、STATIC或IS-IS路由协议来编译。在举例说明的例子中,该表指示防火墙15是下一中转防火墙,从而路由器28把消息分组发送给防火墙15。
如上所述,防火墙14和15都是“有状态的”;出于安全性原因,它们把某些响应消息分组的处理和转发限制为具有基于请求消息分组的处理,防火墙已知的会话ID的那些响应消息分组的处理和转发。在一个限制性例子中,防火墙15只处理和转发响应型消息分组,所述响应型消息分组是对先前由与用户计算机10的会话产生的消息分组的响应,防火墙15知道在用户计算机10有该会话。许多情况下,这是过于限制性的,从而对于某些类型的响应消息,防火墙14和15可被配置成有状态的,但是对于其它类型的响应消息,则不可以。例如,可根据接收响应消息分组的防火墙已知的会话ID,限制发送给用户计算机10内的某些应用程序的响应消息分组,但是,不可依据它们的会话ID,这样限制发送给用户计算机10内的其它应用程序的响应消息分组。在任何一种情况下,每当防火墙14或15收到不包括SIN、FIN、RST或ACK指示符的消息分组时,防火墙假定该消息分组是对先前发送的请求消息的响应。从而,当收到响应消息分组时,防火墙15检查它的有效会话的会话ID的列表,以确定防火墙15是否转发了先前的对应请求消息分组。如果是,那么有状态的防火墙15具有该会话ID的记录,防火墙15将把其转发给下一中继段,这种情况下是用户计算机10。但是,在举例说明的例子中,有状态的防火墙15并不具有该会话ID的记录(由于来自用户计算机10的初始请求消息分组经过防火墙14),从而防火墙15将丢弃该消息分组,即,清除该消息分组,而不将其转发给用户计算机10或者任何别的地方。从而,用户计算机10不能从服务器计算机22收到该响应消息分组。
已知防火墙群集中的每个防火墙把它通过出站/请求消息分组的接收而获悉的每个会话通知群集中的其它防火墙。从而,如果响应消息分组到达一个未处理过出站/请求消息分组的有状态防火墙,那么该防火墙将仍然认识该会话,从而该防火墙能够接受消息分组,并将其转发给目的地。
对于某些应用来说,在要求统一的服务质量的情况下,消息的所有分组最好沿着从源到目的地的相同或者几乎相同的路径而行,在该路径可用的条件下。但是,防火墙和路由器中的路由表将不断力求选择最快的路径,并将避开停机或者拥塞的路由器和防火墙。虽然在许多情况下,最快的路径是理想的,不过优选路径一致性。
另外还已知试图使响应消息分组沿着出站/请求消息使用的相同路径而行。但是,在一些情况下,该路径中的一个或多个路由器或防火墙不可用,从而响应消息不可能沿着出站/请求消息使用的相同路径而行。这种情况下,当故障设备不对其定期的问候消息作出反应时,利用VRRP协议的TCP/IP通信程序获悉该设备的故障。随后,TCP/IP通信程序将据此更新其路由表,以防止消息被再次发送给故障设备(除非故障设备对后来的问候消息作出反应)。
本发明的目的是提供一种实用的,沿着相同会话内出站/请求消息分组使用的相同或相似路径,路由响应消息分组的系统、方法和程序。
发明内容
本发明在于一种路由响应消息分组的系统、方法和计算机程序。响应消息分组是对请求消息分组的响应,所述请求消息分组沿着从源计算机到目的地计算机的出站(outbound)路径而行。出站路径包含用于源计算机的第一防火墙和与第一防火墙耦接的第一路由器。响应第一防火墙接收请求消息分组,防火墙向第一批多个对等防火墙和/或路由器广播请求消息分组的会话及防火墙的身份(identity)。作为响应,第一批多个对等防火墙和/或路由器记录请求消息分组的会话,以及第一防火墙是出站路径中的第一中继段(hop)。第一防火墙随后把请求消息分组转发给第一路由器。作为响应,第一路由器向第二批多个对等防火墙和/或路由器广播消息分组的会话,以及第一路由器的身份。作为响应,第二批多个对等防火墙和/或路由器记录请求消息分组的会话,以及第一路由器是出站路径中的第二中继段。响应第二批多个对等防火墙和/或路由器中的第二路由器收到响应消息分组,第二路由器(a)比较响应消息分组指示的响应消息分组的会话与请求消息分组的会话的第二路由器的记录,(b)根据该记录确定第一防火墙或第一路由器在出站路径中,和(c)把响应消息分组转发给第一防火墙或第一路由器。第二路由器不在出站路径中。
根据本发明的一个特征,第二路由器也是第一批多个对等防火墙和/或路由器之一。响应第二路由器收到响应消息分组,第二路由器把响应消息分组转发给第一防火墙。
根据本发明的另一特征,响应第一路由器收到请求消息分组,第一路由器记录请求消息分组的会话,以及第一防火墙是出站路径中的先前中继段。响应第一路由器收到响应消息分组,第一路由器检查其记录,以获悉第一防火墙是出站路径中的先前中继段,随后把响应消息分组转发给第一防火墙。第一路由器定期向第二批多个对等防火墙和/或路由器发送指示第一路由器有效(active)的信号。当第二路由器收到响应消息分组,并且未能在第二路由器收到响应消息分组之前发送指示第一路由器有效的信号时,第一路由器无效(inactive)。作为响应,第二路由器把消息分组转发给第一防火墙。
根据本发明的另一特征,在第一路由器从第一防火墙收到请求消息分组之后,并在响应消息分组被产生之前,第一路由器把请求消息分组转发给出站路径中的第三路由器。作为响应,第三路由器向第三批多个对等防火墙和/或路由器广播消息分组的会话,以及第三路由器的身份。作为响应,第三批多个对等防火墙和/或路由器记录请求消息分组的会话,以及第三路由器是出站路径中的第三中继段。
附图说明
图1是根据现有技术的计算机系统的方框图。
图2是包含本发明的计算机系统的方框图。
图3(A)和(3B)是图解说明根据本发明的图2的计算机系统的每个防火墙和路由器内的路由程序的流程图。
具体实施方式
现在将参考图2、图3(A)和3(B)详细说明本发明。图2图解说明网络12上的用户计算机或节点10。举例来说,网络12是LAN、WAN、MAN或因特网。图2还图解说明网络12的防火墙114和115。除了别的以外,防火墙114和115过滤在去网络12的途中的无用消息分组,并且过滤一些输出的消息分组。防火墙114和115还包括把消息分组路由到目的地IP地址(如果该目的地地址邻近防火墙)的相应路由器功能,或者把消息分组路由到在到目的地IP地址的途中的“下一中继段”路由器(如果目的地地址不邻近防火墙114或115)的相应路由器功能。在举例说明的例子中,目的地地址,服务器22并不邻近防火墙114或116,从而防火墙114和116不能直接把消息分组路由到目的地地址。相反,防火墙114和116如下所述,通过相邻的中间的下一中继段路由器,比如路由器116和128路由消息分组(图1通过实线和虚线,图解说明防火墙114直接与路由器116和118连接,防火墙116直接与路由器116和128连接。但是,在图解说明的例子中,根据目前的防火墙114的路由表,防火墙114把路由器11用于在到服务器22的途中的出站消息分组,根据目前的防火墙116的路由表,防火墙116把路由器128用于在到服务器22的途中的出站消息分组)。图2还图解说明了路由器118和126,除了别的之外,路由器118和126把消息分组路由给目的地地址(如果目的地地址被直接连接),或者路由给在到目的地IP地址的途中的“下一中继段”路由器或防火墙(如果目的地地址未被直接连接)。在图解说明的例子中,路由器118和126未直接与目的地服务器22连接。图2还图解说明网络21上的服务器22。举例来说,网络21是LAN、WAN、MAN或因特网。图2还图解说明网络21的防火墙120和124。除了别的以外,防火墙120和124过滤在到网络21的途中的无用消息分组,并且过滤来自网络21的一些出站消息分组。防火墙120和124还包括把消息分组路由到目的地IP地址(如果该目的地地址直接与防火墙连接)的相应路由器功能,或者把消息分组路由到在到目的地IP地址的途中的“下一中继段”路由器(如果目的地地址不直接与防火墙连接)的相应路由器功能。防火墙120和124都直接与目的地服务器22连接。
防火墙114、115、120和124及路由器116、118、126和128还都包括已知的硬件和/或软件,用于向它们的相应对等体定期发送“保活”信号(图3(B)的步骤336)。这些“保活”信号指示发送装置(即,防火墙114、115、120和124及路由器116、118、126和128仍然活着/有效。如果某一装置持续一定时间不能发送“保活”信号,那么其对等体认为该装置停机,把该装置从路由表中除去,用通向列举的目的地的另一有效装置代替该装置,即,确定在该停机装置周围的新路径。防火墙114、115、120和124及路由器116、118、126和128还都包括根据本发明的硬件和/或软件,根据本发明的硬件和/或软件(a)广播它们接收的消息分组的会话信息,和(b)使用从其它路由器和防火墙广播的会话信息确保消息分组被可靠在转发给预定目的地。下面参考图3(A)和3(B)更详细地说明该过程。
在举例说明的例子中,用户在用户计算机10产生消息,或者用户计算机10中的应用程序产生消息,用户计算机10内的已知连网硬件和软件把消息分成多个分组,以便通过网络传输。在举例说明的例子中,每个分组具有源IP地址10.0.0.4,目的地IP地址10.1.1.5,其它报头信息和部分消息数据。在这种标准命名惯例中,“10.0.0”代表用户计算机10所存在的网络12,“.4”代表用户计算机10。同样地,“10.1.1.”代表服务器22所存在的网络21,“.5”代表服务器22。在用户计算机10内存在一个消息路由表,根据用户计算机10的配置,用户计算机10把消息分组发送给虚拟路由冗余协议(“VRRP”)地址10.0.0.1。VRRP地址是防火墙114或防火墙115的虚拟IP地址,如下确定。防火墙114和115先前在它们之间就谁将用VRRP 10.0.0.1处理/路由消息分组进行协商。如果防火墙114或115停止(并且不对从另一防火墙发送的“心跳”消息作出反应),那么另一防火墙将用VRRP虚拟地址10.0.0.1或10.1.1.X处理消息分组。在举例说明的例子中,防火墙114目前是配置成用VRRP虚拟地址10.0.0.1或10.1.1.X接收消息分组的“现用”防火墙(在防火墙114和115之间)。从而,防火墙114接收来自用户计算机10的前述消息分组。
每个消息分组包括下述参数中的一个或多个:
SIN-指示消息是初始的出站请求消息分组,例如对信息或动作的请求,而不是对另一消息的响应。
FIN-指示消息是出站消息(并且不是初始消息,除非单分组消息),并且发送者与连接断开,从而会话可被终止。
RST-指示消息是出站或入站消息,并且是由于初始连接存在问题,重新建立连接的请求。
ACK-指示(响应)消息,是请求消息分组被收到的确认。对于每个请求分组,每“x”个请求分组或者整个请求消息(当完整地被接收时),可存在一个确认分组。这是在用户计算机10和服务器22之间在TCP/IP层商议的。
会话ID-指示会话的ID,包括在从用户计算机10到服务器22,以及从服务器22到用户10的所有那些消息分组中。
SINACT-指示分组包含对完整的请求消息起反应的部分或全部数据。是在服务器22接收并处理从用户计算机10收到的完整消息之后,服务器22产生的数据。例如,在服务器22是web服务器的情况下,该数据可以是网页。
图3(A)和3(B)更详细地图解说明上述消息分组的路由和处理。如前所述,计算机10把出站/请求消息分组发送给VRRP 10.0.0(步骤300)。当收到消息分组时,防火墙114根据前述参数,确定该分组是出站/请求消息的一部分,还是入站/响应消息分组的一部分(判定304)。消息分组中的SIN、FIN和RST指示出站/请求消息。消息分组中的ACK和SINACK参数指示入站/响应消息。
当消息分组是出站/请求消息分组时,应用图3(A)的下述步骤。对源计算机10和目的地服务器22之间的处理在到服务器22的途中的出站/请求消息分组的每个防火墙和路由器重复步骤3040320。当防火墙114收到请求消息分组时,防火墙114解析报头,获悉该分组是请求消息分组,由SIN、FIN或RST参数指示,并且获悉会话信息(步骤304)。会话信息包含会话ID、分组序列号、源IP地址和目的地IP地址。会话信息还指示作为出站消息路径中的一个中继段,防火墙114接收消息分组。会话ID用于由用户计算机10与服务器22开始的会话(这种情况下,从用户计算机10到服务器22的第一请求消息可以是建立会话。相同会话中的后续请求可以是来自用户计算机10的向服务器22的数据请求)。如前所述,单个消息可被分成多个分组,从而分组序列号识别每个分组在消息中的位置。在TCP/IP中,在正常的操作条件下,会话保持有效,直到防火墙114从目的地服务器收到响应为止(但是,如果在预定的时间内,目的地服务器不作出响应,那么会话将超时)。在解析会话信息之后,防火墙114向其对等体广播会话信息,即它自己的IP地址,会话ID,源IP地址,目的地IP地址和该装置的初始广播的日期/时间戳记(步骤308)。会话信息中的防火墙114的IP地址指示防火墙114收到实际的请求消息分组。换句话说,会话信息中的防火墙114的IP地址指示防火墙114是出站请求分组路径中的一个中继段。“对等体”是直接连接的路由器和防火墙。在举例说明的例子中,防火墙115、路由器116和路由器128是防火墙114的对等体。为在初始广播期间,没有运行的任何对等体打算,防火墙114定期向其对等体重新广播会话信息。在每个(对等)路由器或防火墙启动时及之后,每个路由器和防火墙监听这样的广播会话信息,并在“会话”表中产生对应的条目(步骤312)。对于每个会话,每个路由器和防火墙中的会话表列举会话ID、源IP地址、目的地IP地址、广播会话信息的路由器或防火墙的IP地址,和日期/时间戳记。防火墙114还包括会话表,防火墙114用会话信息更新所述会话表。防火墙114还具有“路由表”,所述路由表指定到目的地IP地址(即服务器22)的路径,或者至少指定向目的地IP地址发送消息分组的下一中继段(路由器或防火墙)。该路由表可利用公知的OSPF、RIP、EIGRP、IGRP、BGP、STATIC或IS-IS路由协议编译。防火墙114中的路由表是现有技术。在向其对等体广播会话信息(并且所述对等体在它们的会话表中产生条目,把防火墙114表示为消息分组的接收者和会话信息的广播者),并补充它自己的会话表之后,防火墙114把请求消息分组发送给路由表指示的下一中转路由器(步骤320)。在举例说明的例子中,防火墙114的路由表指示路由器116是下一中转路由器,从而,防火墙114把请求消息分组发送给路由器116。
对路由器116重复前述步骤304-320。响应防火墙114向路由器116发送的请求消息分组,路由器116解析报头,获悉这是一个请求消息分组,由SIN、FIN或REST参数指示,并且获悉会话信息(步骤304)。该会话信息包含会话ID、分组序列号、源IP地址和目的地IP地址。该会话信息还指出防火墙114是会话信息的先前中继段。随后,路由器116向其所有对等体广播会话信息(步骤308),所述对等体把该会话信息记录在它们各自的会话表中(步骤312)。路由器116广播并由其对等体记录的会话信息包含广播者的IP地址(这种情况下,路由器116的IP地址),源IP地址,目的地IP地址,会话ID和路由器116的初始广播的日期/时间戳记。在举例说明的例子中,防火墙114、防火墙115、路由器118、路由器126和路由器128是对等体(不过一般来说,存在更多的对等体)。从而,防火墙114和路由器116以及从防火墙114和路由器116接收广播的对等体中的会话表既指示出站请求消息路径的中继段,又指示中继段的顺序(根据各个日期/时间戳记)。路由器118和126中的会话表将只记录出站请求消息路径中的路由器116中继段(因为路由器118和126不是防火墙114的对等体)。除了广播会话信息之外,路由器116把会话信息输入其会话表中,包括它是防火墙114之后的下一中继段的指示(步骤316)。路由器116也具有指定到目的地IP地址或者至少到下一中转路由器或防火墙,以便向目的地IP地址发送消息分组的路径的“路由”表。该路由表可利用公知的OSPF、RIP、EIGRP、IGRP、BGP、STATIC或IS-IS路由协议来编译。路由器116中的路由表是现有技术。在向其对等体广播前述会话信息(和对等体在它们的会话表中产生条目),并把会话信息记录在它自己的会话表中之后,路由器116把请求消息分组发送给路由表指示的下一中转路由器(步骤320)。在举例说明的例子中,路由器116的路由表指示路由器118是下一中转路由器,从而路由器116把请求消息分组发送给路由器118。
对路由器118重复上述步骤304-320。响应路由器116向路由器118发送的消息分组,路由器118解析报头,获悉这是一个请求消息分组,由SIN、FIN或REST参数指示,并且获悉会话信息(步骤304)。该会话信息包含会话ID、分组序列号、源IP地址和目的地IP地址。该会话信息还指出路由器118是出站消息分组路径中的下一中继段。随后,路由器118向其所有对等体广播会话信息(步骤308),所述对等体把该会话信息记录在它们各自的会话表中(步骤312)。路由器118广播并由其对等体记录的会话信息包含广播者的IP地址(这种情况下,路由器118的IP地址),源IP地址,目的地IP地址,会话ID和路由器118的初始广播的日期/时间戳记。在举例说明的例子中,路由器116、防火墙120、路由器126、路由器128和防火墙124是对等体。路由器116和路由器128(以及从防火墙114、路由器116和路由器118接收广播的任意其它对等体)中的会话表指示出站请求消息分组的所有三个中继段,以及中继段的顺序(根据各个日期/时间戳记)。防火墙120未直接与防火墙114或路由器116连接,从而防火墙120此时只具有路由器118接收出站请求消息分组和路由器118广播会话信息的记录。除了广播会话信息之外,路由器118把会话信息输入其会话表中,包括它是路由器116之后的下一中继段的指示(步骤316)。路由器118也具有指定到目的地IP地址或者至少到下一中转路由器或防火墙,以便向目的地IP地址发送消息分组的路径的“路由”表。该路由表可利用公知的OSPF、RIP、EIGRP、IGRP、BGP、STATIC或IS-IS路由协议来编译。路由器118中的路由表是现有技术。在向其对等体广播前述会话信息(和对等体在它们的会话表中产生条目)之后,路由器118把消息分组发送给路由表指示的下一中转路由器(步骤320)。在举例说明的例子中,路由器118的路由表指示防火墙120是下一中转路由器,从而路由器118把请求消息分组发送给防火墙120。
对防火墙120重复上述步骤304-320。响应路由器118向防火墙120发送的请求消息分组,防火墙120解析报头,获悉这是一个请求消息分组,由SIN、FIN或REST参数指示,并且获悉会话信息(步骤304)。该会话信息包含会话ID、分组序列号、源IP地址和目的地IP地址。该会话信息还指出路由器118是请求消息分组的先前中继段。随后,防火墙120向其所有对等体广播会话信息(步骤308),所述对等体把该会话信息记录在它们各自的会话表中(步骤312)。防火墙120广播并由其对等体记录的会话信息包含广播者的IP地址(这种情况下,防火墙120的IP地址),源IP地址,目的地IP地址,会话ID和防火墙120的初始广播的日期/时间戳记。在举例说明的例子中,路由器118、路由器126和防火墙124是对等体。除了还从防火墙114接收广播的路由器和防火墙的会话表之外,路由器116和/或路由器118将包括这些广播的附加会话信息。所述附加信息指示出站请求消息路径的其它段。在举例说明的例子中,路由器118、路由器126和防火墙124中的会话表将指示通过路由器118的出站消息路径的先前中继段。路由器118和路由器126中的会话表还指示通过路由器116的出站消息的先前中继段(和中继段的顺序,根据相应的日期/时间戳记)。防火墙120未直接与防火墙114或路由器116连接,从而防火墙120此时只具有路由器118接收出站请求消息分组和路由器118广播会话信息的记录。除了广播会话信息之外,防火墙120随后把会话信息输入其会话表中,包括它是路由器118之后的下一中继段的指示(步骤316)。防火墙120也具有指定到目的地IP地址或者至少到下一中继段(路由器、防火墙或目的地服务器),以便向目的地IP地址发送消息分组的路径的“路由”表。该路由表可利用公知的OSPF、RIP、EIGRP、IGRP、BGP、STATIC或IS-IS路由协议来编译。防火墙120中的路由表是现有技术。在向其对等体广播前述会话信息(和对等体在它们的会话表中产生条目),并且防火墙120补充其会话表之后,防火墙120把消息分组发送给路由表指示的下一中继段(步骤320)。在举例说明的例子中,防火墙120的路由表指示服务器22是下一中继段,从而防火墙120把请求消息分组发送给服务器22。
当收到前述请求消息分组时,服务器22处理请求消息分组(步骤330)。服务器22可产生指示前述请求消息分组被接收的确认(响应)消息分组(步骤340)。这种情况下,服务器22开始向用户计算机10发送确认消息分组,如下参考图3(B)所述。如果该请求消息分组是形成整个请求消息的最后一个消息分组,那么服务器22还读取并处理该请求。请求可以是对数据或者另一服务的请求。在处理请求之后,服务器22产生响应消息(它一般包括数据)(步骤340),并把响应消息分成一个或多个分组。响应分组被传送给计算机10,如下参考图3(A)所述。
图3(B)中图解说明的下述步骤适用于任意一种响应消息分组,并由服务器22和计算机10之间的接收到计算机10途中的响应消息分组的每个防火墙和路由器执行。在举例说明的例子中,第一个响应消息分组由服务器22产生并被发送给防火墙120,如下所述。该响应消息包含均具有源IP地址10.1.1.5和目的地IP地址10.0.0.4的一个或多个消息分组。确认消息一般是单个分组,而对完整请求消息的独立响应一般是多个分组。在本发明的优先实施例中,服务器22并不具有或使用会话表,不记录出站/请求消息分组采用的路径。相反,在服务器计算机22内存在一个已知的消息路由表,根据服务器计算机2的配置,它把每个消息分组发送给虚拟路由冗余协议(“VRRP”)地址10.1.1.1。该VRRP地址是防火墙120或防火墙124的虚拟IP地址,如下确定。防火墙120和124先前就哪一个将用VRRP 10.1.1.1处理/路由消息分组进行协商,只有该防火墙有效。但是,如果指定的防火墙停机(并且不对从另一防火墙发送的“心跳”消息作出反应),那么所述另一防火墙将用VRRP虚拟地址10.1.1.1处理消息分组。在举例说明的例子中,防火墙120目前是现用防火墙(在防火墙120和124之间),并被配置成用VRRP虚拟地址10.1.1.1接收消息分组。从而,防火墙120从服务器计算机122接收响应消息分组。响应消息分组将把ACK或SINACK参数包括在其报头中。
在消息分组是响应分组,由ACK或SINACK参数指示的情况下,防火墙120解释消息分组,获悉该分组是响应消息分组,并且获悉消息分组的会话ID(步骤344)。随后,防火墙120检查其会话表,根据先前在该会话中收到消息分组,或者收到该会话的会话信息的广播,确定防火墙120是否具有该会话的记录(判定348)。在举例说明的例子中,防火墙120应根据自路由器118的在先广播,以及根据随后在该会话中收到出站请求消息分组,在其会话表中具有该会话的记录。该记录应指出路由器118是在到达防火墙120之前,出站/请求消息分组的先前中继段,即,路由器118在出站/请求消息路径中(判定352,yes分支)。换句话说,防火墙120中的会话表指示路由器118先前把当前消息分组为其响应分组的出站/请求消息分组转发给防火墙120。根据本发明,如果可行的话,响应消息分组应逆向沿着相同的路径而行。如果路由器118有效,那么防火墙120把响应消息分组转发给路由器118(步骤356,第一判定)(但是,如果路由器118无效(步骤356,第二判定,由持续预定时间缺少保活信号指示),那么防火墙120将改为把响应消息分组转发给由防火墙120的路由表指示的下一中继段,如下所述)。
在收到响应消息分组之后,路由器118解析消息分组报头,获悉该分组是响应消息分组,并且获悉该消息分组的会话信息(步骤344)。随后,路由器118检查其会话表,根据先前在该会话中收到消息分组,或者收到该会话的会话信息的广播,确定路由器118是否具有该会话的记录(判定348)。在举例说明的例子中,路由器118应根据自路由器116的在先广播,以及根据随后在该会话中收到出站请求消息分组,在其会话表中具有该会话的记录。该记录应指出路由器116是在到达路由器118之前,出站/请求消息分组的先前中继段(判定352,yes分支)。换句话说,路由器118中的会话表指示路由器116先前把当前消息分组为其响应分组的出站/请求消息分组转发给路由器118。根据本发明,如果可行的话,响应消息分组应逆向沿着相同的路径而行。从而,路由器118把响应消息分组转发给路由器116(步骤356,第一判定)(但是,如果路由器116无效(步骤356,第二判定,由持续预定时间缺少保活信号指示),那么路由器118将把响应消息分组转发给由路由器118的路由表指示的下一中继段,如下所述)。
在从路由器118收到响应消息分组之后,路由器116解析消息分组报头,获悉该分组是响应消息分组,并且获悉该消息分组的会话信息(步骤344)。随后,路由器116检查其会话表,根据先前在该会话中收到消息分组,或者收到该会话的会话信息的广播,确定路由器116是否具有该会话的记录(判定348)。在举例说明的例子中,路由器116应根据自防火墙114的在先广播,以及根据随后在该会话中收到出站请求消息分组,在其会话表中具有该会话的记录。该记录应指出防火墙114是在到达路由器116之前,出站/请求消息分组的先前中继段。换句话说,路由器116中的会话表指示防火墙114先前把当前消息分组为其响应分组的出站/请求消息分组转发给路由器116(判定352,yes分支)。根据本发明,如果可能的话,响应消息分组应逆向沿着相同的路径而行。从而,路由器116把响应消息分组转发给防火墙114(但是,如果路由器114无效(步骤356,第二判定,由持续预定时间缺少保活信号指示),那么路由器116将把响应消息分组转发给由路由器116的路由表指示的下一中继段)。
在从路由器116收到响应消息分组之后,防火墙114解析消息分组报头,获悉该分组是响应消息分组,并且获悉该消息分组的会话信息(步骤344)。随后,防火墙114检查其会话表,根据先前在该会话中收到消息分组,或者收到该会话的会话信息的广播,确定防火墙114是否具有该会话的记录(判定348)。在举例说明的例子中,防火墙114应根据在该会话中收到出站请求消息分组,在其会话表中具有该会话的记录。该记录应指出计算机10是在到达防火墙114之前,出站请求消息分组的先前中继段/来源。换句话说,防火墙114中的会话表指示计算机10先前把当前消息分组为其响应分组的出站/请求消息分组转发给防火墙114(判定352,yes分支)。根据本发明,如果可能的话,响应分组应逆向沿着相同的路径而行。从而,防火墙114把响应消息分组转发给计算机10。
当用于响应分组的出站消息分组路径没有问题时,即,当该路径中的所有防火墙和路由器有效时,发生由防火墙120、路由器118、路由器116和防火墙114进行的响应消息分组的上述处理。下面是对于响应消息分组,该路径中的一个或多个防火墙和路由器无效时的例子。
考虑根据防火墙120的不可用性或者防火墙120和124之间的现用防火墙的重新协商,服务器最初把响应消息分组转发给防火墙124而不是防火墙120的情况。在这种情况下,防火墙124根据报头确定该分组是响应消息分组(步骤344),关于该会话的条目检查其会话表(步骤348),获悉防火墙124不在出站/请求消息路径中(判定352,no分支)。相反,防火墙124获悉防火墙120是出站/请求消息路径中的最后一个中继段,路由器118是出站/请求消息分组路径中的倒数第二个中继段(防火墙124看不到出站请求消息路径中的更上游,因为防火墙124未从防火墙114或路由器116上到出站消息广播)。在由防火墙124中的路由配置选项指示的本发明的一个实施例中,由于防火墙124直接与路由器118连接,并且假定路由器118仍然“活着”(判定360,yes分支),防火墙124能够绕过防火墙120,把响应消息分组转发给路由器118。这会向恰当的出站消息路径返回响应消息分组(步骤364)。但是,如果路由器118无效,或者根据防火墙124中的路由配置选项指示的本发明的另一实施例,防火墙124将把响应消息分组发送给防火墙120,假定防火墙120“活着”(步骤364)。防火墙120随后检查其会话表(步骤348),获悉防火墙120在出站消息路径中(判定352,yes分支),随后把响应消息分组转发给由会话表指示的出站消息路径中的先前中继段,即,路由器118(步骤356)。如果路由器118和防火墙120都“无效”,那么防火墙124将把响应消息分组转发给由防火墙124内的路由表指示的下一中继段(步骤364)。在图解说明的例子中,假定下一中继段是路由器126(不过它可以是路由器136)。当收到响应消息分组时,路由器126将关于会话ID检查其会话表(步骤344和348)。在举例说明的例子中,根据由相同会话中的出站/请求消息分组产生的防火墙114、路由器116和路由器118的在先广播,路由器126将在其会话表中具有关于该会话的条目。随后,在由路由配置选项指示的本发明的一个实施例中,路由器12将把响应消息分组转发给出站/请求路径中的最上游装置(判定360yes分支和步骤364)。在举例说明的例子中,这将是路由器116(判定352no分支,判定360yes分支和步骤364)。在由路由配置选项指示的本发明的另一实施例中,路由器将把响应消息分组转发给出站/请求路径中的下游装置。
考虑根据路由器116的不可用性(由不存在来自路由器116的保活信号指示),路由器118从防火墙120或124收到消息分组,但是把响应消息分组转发给路由器128而不是路由器116的情况。这种情况下,路由器128关于该会话的条目检查其会话表(步骤344和348),获悉路由器128不在出站/请求消息路径中(判定352,no分支)。相反,路由器128获悉路由器116是响应消息分组的发送者,即路由器118之前的最后中继段,路由器114是出站/请求消息分组路径中的倒数第二个中继段(路由器128看不见到计算机10的出站请求消息路径中的更上游)。由于路由器128直接与防火墙114连接,并且假定路由器114仍然“活着”,路由器128能够把响应消息分组转发给路由器114(判定360,yes分支和步骤364),这会向恰当的出站消息路径返回响应消息分组。如果路由器128未直接与路由器114或出站/请求路径中的任何其它防火墙或路由器连接(判定360,no分支)(不同于举例说明的实施例),路由器128将把响应消息分组发送给路由器116,如果路由器116现在“活着”(步骤364)。如果路由器116和路由器114现在都“无效”,那么路由器128将把响应消息分组转发给由路由器128内的路由表指示的下一中继段(步骤368)。在图解说明的例子中,这将是防火墙115。当收到响应消息分组时,防火墙115将关于会话ID检查其会话表(步骤344)。在举例说明的例子中,根据由相同会话中的出站/请求消息分组产生的防火墙114的在先广播,防火墙115将在其会话表中具有关于该会话的条目(步骤348)。随后,防火墙115将把消息分组转发给出站/请求路径中的最上游装置。在举例说明的例子中,这将是计算机10。另一方面,如路由配置选项所示,防火墙115能够把消息分组转发给防火墙114,从而向出站消息路径返回响应消息分组,如果防火墙114有效的话(步骤364)。
考虑响应消息分组到达防火墙115,而不是防火墙114的另一例子。在许多情形下会发生这种情况。例如,在服务器22最初把响应消息分组转发给防火墙124,防火墙120和路由器118都停机的情况下。假定防火墙124中的路由表把路由器136指示为下一中继段,并且路由器136在其路由表中没有关于该会话的条目(因为路由器136未直接与防火墙114、路由器116、路由器118或防火墙120中的任意一个连接,并且在出站/请求消息分组路由期间,没有收到它们的广播)。路由器136直接与防火墙114和115连接(判定352,no分支和判定360,yes分支),但是路由器136中的路由表指示防火墙115为下一中继段。从而,当响应消息分组到达防火墙115时,防火墙115将检查其会话表,获悉出站/请求消息分组路径中的最上游中继段是防火墙114,从而防火墙115能够把响应消息分组转发给防火墙114(步骤364)。作为响应,防火墙114将检查其会话表,获悉它具有该会话的记录,并且能够“接受”该消息分组,作为对出站/请求消息分组的合理响应,随后把响应消息分组转发给防火墙114中的会话表中指示的计算机10。另一方面,由于防火墙115具有该消息分组的会话信息,因此防火墙115能够“接受”该消息分组,作为对出站/请求消息分组的合理响应,并根据防火墙115内的会话表把其直接转发给计算机10(步骤364)。
根据上面所述,公开了在可能的范围内,沿着出站/请求消息路径,路由响应消息分组的系统、方法和程序产品。但是,在不偏离本发明的范围的情况下,可做出众多的修改和替换。于是,公开的本发明只是例证性的,而不是限制性的,本发明的范围应由下述权利要求限定。
Claims (12)
1、一种路由响应消息分组的方法,所述响应消息分组是对请求消息分组的响应,所述请求消息分组沿着从源计算机到目的地计算机的出站路径而行,所述出站路径包含用于所述源计算机的第一防火墙和与所述第一防火墙耦接的第一路由器,所述方法包含:
响应所述第一防火墙接收所述请求消息分组,所述第一防火墙向第一批多个对等体防火墙和/或路由器广播所述请求消息分组的会话及所述第一防火墙的身份,并且作为响应,所述第一批多个对等体防火墙和/或路由器记录所述请求消息分组的会话以及所述第一防火墙是所述出站路径中的第一中继段;
所述第一防火墙把所述请求消息分组转发给所述第一路由器,并且作为响应,所述第一路由器向第二批多个对等体防火墙和/或路由器广播所述请求消息分组的会话以及所述第一路由器的身份,并且作为响应,所述第二批多个对等体防火墙和/或路由器记录所述请求消息分组的会话以及所述第一路由器是所述出站路径中的第二中继段;和
响应所述第二批多个对等体防火墙和/或路由器中的第二路由器接收所述响应消息分组,所述第二路由器比较由所述响应消息分组指示的所述响应消息分组的会话与第二路由器记录的所述请求消息分组的会话,根据所述记录确定所述第一防火墙或所述第一路由器在所述出站路径中,和把所述响应消息分组转发给所述第一防火墙或所述第一路由器,所述第二路由器不在所述出站路径中。
2、按照权利要求1所述的方法,其中所述第二路由器也是所述第一批多个对等体防火墙和/或路由器之一,并且响应所述第二路由器接收所述响应消息分组,所述第二路由器把所述响应消息分组转发给所述第一防火墙。
3、按照权利要求1所述的方法,其中响应所述第一路由器接收所述请求消息分组,所述第一路由器记录所述请求消息分组的会话以及所述第一防火墙是所述出站路径中的先前中继段。
4、按照权利要求3所述的方法,其中响应所述第一路由器接收所述响应消息分组,所述第一路由器检查其记录,以获悉所述第一防火墙是所述出站路径中的先前中继段,随后把所述响应消息分组转发给所述第一防火墙。
5、按照权利要求3所述的方法,其中:
所述第一路由器定期向所述第二批多个对等体防火墙和/或路由器发送指示所述第一路由器有效的信号,当所述第二路由器收到所述响应消息分组,并且在所述第二路由器收到所述响应消息分组的情况下未能发送指示所述第一路由器有效的信号时,所述第一路由器无效,并且作为响应,所述第二路由器把所述响应消息分组转发给所述第一防火墙。
6、按照权利要求1所述的方法,其中在所述第一路由器从所述第一防火墙接收所述请求消息分组之后,并在所述响应消息分组被产生之前,
所述第一路由器把所述请求消息分组转发给所述出站路径中的第三路由器,并且作为响应,所述第三路由器向第三批多个对等体防火墙和/或路由器广播所述请求消息分组的会话以及所述第三路由器的身份,并且作为响应,所述第三批多个对等体防火墙和/或路由器记录所述请求消息分组的会话以及所述第三路由器是所述出站路径中的第三中继段。
7、一种路由响应消息分组的系统,所述响应消息分组是对请求消息分组的响应,所述请求消息分组沿着从源计算机到目的地计算机的出站路径而行,所述出站路径包含用于所述源计算机的第一防火墙和与所述第一防火墙耦接的第一路由器,所述系统包含:
所述第一防火墙包括响应所述第一防火墙接收所述请求消息分组,向第一批多个对等体防火墙和/或路由器广播所述请求消息分组的会话及所述第一防火墙的身份的装置,并且作为响应,所述第一批多个对等体防火墙和/或路由器包含记录所述请求消息分组的会话以及所述第一防火墙是所述出站路径中的第一中继段的装置;
所述第一防火墙包括把所述请求消息分组转发给所述第一路由器的装置,并且作为响应,所述第一路由器包括向第二批多个对等体防火墙和/或路由器广播所述请求消息分组的会话以及所述第一路由器的身份的装置,并且作为响应,所述第二批多个对等体防火墙和/或路由器包括记录所述请求消息分组的会话以及所述第一路由器是所述出站路径中的第二中继段的装置;和
响应所述第二批多个对等体防火墙和/或路由器中的第二路由器收到所述响应消息分组,所述第二路由器包括比较由所述响应消息分组指示的所述响应消息分组的会话与第二路由器记录的所述请求消息分组的会话,根据所述记录确定所述第一防火墙或所述第一路由器在所述出站路径中,和把所述响应消息分组转发给所述第一防火墙或所述第一路由器的装置,所述第二路由器不在所述出站路径中。
8、按照权利要求7所述的系统,其中所述第二路由器也是所述第一批多个对等体防火墙和/或路由器之一,并且响应所述第二路由器接收所述响应消息分组,所述第二路由器中的转发装置把所述响应消息分组转发给所述第一防火墙。
9、按照权利要求7所述的系统,其中响应所述第一路由器接收所述请求消息分组,所述第一路由器包括记录所述请求消息分组的会话以及所述第一防火墙是所述出站路径中的先前中继段的装置。
10、按照权利要求9所述的系统,其中响应所述第一路由器接收所述响应消息分组,所述第一路由器包括检查其记录,以获悉所述第一防火墙是所述出站路径中的先前中继段,随后把所述响应消息分组转发给所述第一防火墙的装置。
11、按照权利要求9所述的系统,其中:
所述第一路由器包括定期向所述第二批多个对等体防火墙和/或路由器发送指示所述第一路由器有效的信号的装置,当所述第二路由器收到所述响应消息分组,并且在所述第二路由器收到所述响应消息分组的情况下未能发送指示所述第一路由器有效的信号时,所述第一路由器无效,并且作为响应,所述第二路由器中的转发装置把所述响应消息分组转发给所述第一防火墙。
12、按照权利要求7所述的系统,其中在所述第一路由器从所述第一防火墙接收所述请求消息分组之后,并在所述响应消息分组被产生之前,
所述第一路由器包括把所述请求消息分组转发给所述出站路径中的第三路由器的装置,并且作为响应,所述第三路由器包括向第三批多个对等体防火墙和/或路由器广播所述请求消息分组的会话以及所述第三路由器的身份的装置,并且作为响应,所述第三批多个对等体防火墙和/或路由器包括记录所述请求消息分组的会话以及所述第三路由器是所述出站路径中的第三中继段的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/015,165 US7447796B2 (en) | 2004-12-17 | 2004-12-17 | System, method and program product to route message packets |
| US11/015,165 | 2004-12-17 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1791073A CN1791073A (zh) | 2006-06-21 |
| CN100456754C true CN100456754C (zh) | 2009-01-28 |
Family
ID=36597764
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005101246758A Expired - Fee Related CN100456754C (zh) | 2004-12-17 | 2005-11-14 | 路由消息分组的系统和方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (2) | US7447796B2 (zh) |
| CN (1) | CN100456754C (zh) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110197114A1 (en) * | 2004-12-08 | 2011-08-11 | John Martin | Electronic message response and remediation system and method |
| US7853657B2 (en) * | 2004-12-08 | 2010-12-14 | John Martin | Electronic message response and remediation system and method |
| KR100695146B1 (ko) * | 2005-04-12 | 2007-03-14 | 삼성전자주식회사 | 사설망과 공인망이 혼재된 네크워크에서 메시지 전송 방법및 장치 |
| US8280867B2 (en) * | 2005-10-20 | 2012-10-02 | Teradata Us, Inc. | Identifying database request sources |
| CN101022451B (zh) * | 2006-02-14 | 2014-07-23 | 杭州华三通信技术有限公司 | 数据通信中连接状态的同步方法及其应用的通信节点 |
| US8009566B2 (en) * | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
| US8594085B2 (en) * | 2007-04-11 | 2013-11-26 | Palo Alto Networks, Inc. | L2/L3 multi-mode switch including policy processing |
| US8925015B2 (en) | 2007-07-20 | 2014-12-30 | At&T Intellectual Property I, L.P. | System and method of determining viewership information |
| US7809810B2 (en) * | 2007-09-05 | 2010-10-05 | International Business Machines Corporation | Network and method for the configuration thereof |
| US8134915B2 (en) * | 2007-12-12 | 2012-03-13 | Cisco Technology, Inc. | Method and apparatus for providing network redundancy |
| US7929449B2 (en) * | 2008-05-30 | 2011-04-19 | International Business Machines Corporation | System, method and program for determining failure in network communication |
| US8036141B2 (en) * | 2008-08-15 | 2011-10-11 | At&T Intellectual Property I, L.P | Apparatus and method for managing a network |
| US8782286B2 (en) * | 2008-09-12 | 2014-07-15 | Cisco Technology, Inc. | Optimizing state sharing between firewalls on multi-homed networks |
| US8873556B1 (en) | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
| US8769664B1 (en) | 2009-01-30 | 2014-07-01 | Palo Alto Networks, Inc. | Security processing in active security devices |
| US8776207B2 (en) | 2011-02-16 | 2014-07-08 | Fortinet, Inc. | Load balancing in a network with session information |
| US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| US8695096B1 (en) | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
| US8595818B2 (en) * | 2011-06-01 | 2013-11-26 | Raytheon Bbn Technologies Corp. | Systems and methods for decoy routing and covert channel bonding |
| KR20130113246A (ko) * | 2012-04-05 | 2013-10-15 | 한국전자통신연구원 | 온 디맨드형 콘텐츠 전달 오버레이 네트워크 구성 방법 및 장치 |
| JP5389301B1 (ja) * | 2013-03-29 | 2014-01-15 | 三菱電機株式会社 | シーケンサシステムおよびアドレス設定方法 |
| US9106610B2 (en) * | 2013-06-07 | 2015-08-11 | International Business Machines Corporation | Regional firewall clustering in a networked computing environment |
| CN104683319A (zh) * | 2013-12-03 | 2015-06-03 | 中国移动通信集团广东有限公司 | 一种清除防火墙会话的方法、装置及网络设备 |
| JP6406349B2 (ja) * | 2014-03-27 | 2018-10-17 | 日本電気株式会社 | 通信端末 |
| US10021117B2 (en) * | 2016-01-04 | 2018-07-10 | Bank Of America Corporation | Systems and apparatus for analyzing secure network electronic communication and endpoints |
| CN105656779B (zh) * | 2016-01-18 | 2019-08-23 | 西安三星电子研究有限公司 | 在非对称链路中选择路由的方法、设备和系统 |
| CN113364610B (zh) * | 2018-03-30 | 2022-08-09 | 华为技术有限公司 | 网络设备的管理方法、装置及系统 |
| US11483287B2 (en) * | 2018-06-13 | 2022-10-25 | Nokia Solutions And Networks Oy | Reliable firewall |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010043598A1 (en) * | 1997-11-05 | 2001-11-22 | Charles L. Brabenac | Mehtod and apparatus for routing a packet in a network |
| CN1408160A (zh) * | 1999-12-06 | 2003-04-02 | 艾利森电话股份有限公司 | 特定网中的路由更新 |
| CN1408159A (zh) * | 1999-12-06 | 2003-04-02 | 艾利森电话股份有限公司 | 作为对于路由发现的触发机制的广播 |
| KR20040004918A (ko) * | 2002-07-06 | 2004-01-16 | 한국전자통신연구원 | 이기종 망 연동 통신시스템에서의 노드간 라우팅 정보교환 및 관리 방법 |
| US6704293B1 (en) * | 1999-12-06 | 2004-03-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Broadcast as a triggering mechanism for route discovery in ad-hoc networks |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5689689A (en) * | 1992-12-17 | 1997-11-18 | Tandem Computers Incorporated | Clock circuits for synchronized processor systems having clock generator circuit with a voltage control oscillator producing a clock signal synchronous with a master clock signal |
| US6047330A (en) * | 1998-01-20 | 2000-04-04 | Netscape Communications Corporation | Virtual router discovery system |
| US6505254B1 (en) * | 1999-04-19 | 2003-01-07 | Cisco Technology, Inc. | Methods and apparatus for routing requests in a network |
| US6850980B1 (en) * | 2000-06-16 | 2005-02-01 | Cisco Technology, Inc. | Content routing service protocol |
| US7111072B1 (en) * | 2000-09-13 | 2006-09-19 | Cosine Communications, Inc. | Packet routing system and method |
| US7035217B1 (en) * | 2000-10-20 | 2006-04-25 | Cisco Technology, Inc. | Router-assisted multicast congestion control |
| JP3660285B2 (ja) * | 2001-08-30 | 2005-06-15 | 富士通株式会社 | 通信制御方法、中継方法及び中継装置 |
| US7072332B2 (en) * | 2001-09-27 | 2006-07-04 | Samsung Electronics Co., Ltd. | Soft switch using distributed firewalls for load sharing voice-over-IP traffic in an IP network |
| US7100201B2 (en) * | 2002-01-24 | 2006-08-29 | Arxceo Corporation | Undetectable firewall |
| US7089323B2 (en) * | 2002-06-21 | 2006-08-08 | Microsoft Corporation | Method for multicasting a message on a computer network |
-
2004
- 2004-12-17 US US11/015,165 patent/US7447796B2/en not_active Expired - Fee Related
-
2005
- 2005-11-14 CN CNB2005101246758A patent/CN100456754C/zh not_active Expired - Fee Related
-
2008
- 2008-08-01 US US12/184,279 patent/US7747776B2/en not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20010043598A1 (en) * | 1997-11-05 | 2001-11-22 | Charles L. Brabenac | Mehtod and apparatus for routing a packet in a network |
| CN1408160A (zh) * | 1999-12-06 | 2003-04-02 | 艾利森电话股份有限公司 | 特定网中的路由更新 |
| CN1408159A (zh) * | 1999-12-06 | 2003-04-02 | 艾利森电话股份有限公司 | 作为对于路由发现的触发机制的广播 |
| US6704293B1 (en) * | 1999-12-06 | 2004-03-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Broadcast as a triggering mechanism for route discovery in ad-hoc networks |
| KR20040004918A (ko) * | 2002-07-06 | 2004-01-16 | 한국전자통신연구원 | 이기종 망 연동 통신시스템에서의 노드간 라우팅 정보교환 및 관리 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20060137002A1 (en) | 2006-06-22 |
| CN1791073A (zh) | 2006-06-21 |
| US20080288656A1 (en) | 2008-11-20 |
| US7747776B2 (en) | 2010-06-29 |
| US7447796B2 (en) | 2008-11-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100456754C (zh) | 路由消息分组的系统和方法 | |
| US10659343B2 (en) | Method and system for gateway selection in inter-region communication on IP networks | |
| US7065059B1 (en) | Technique for restoring adjacencies in OSPF in a non-stop forwarding intermediate node of a computer network | |
| US7035202B2 (en) | Network routing using link failure information | |
| EP1716500B1 (en) | Apparatus, method,system and computer program product for communicating packets in a network environment | |
| US7430176B2 (en) | Adaptive timing of update messages transmitted by routers employing the border gateway protocol | |
| CN102377666B (zh) | 具有平均速率和突发速率控制的基于泛洪的路由协议 | |
| US6950427B1 (en) | Technique for resynchronizing LSDB in OSPF after a software reload in a non-stop forwarding intermediate node of a computer network | |
| US20020065930A1 (en) | Collaborative host masquerading system | |
| JPH0522345A (ja) | 最大転送単位の最適値管理決定方式 | |
| US8667174B2 (en) | Method and system for survival of data plane through a total control plane failure | |
| US8526437B2 (en) | Communication system and communication control device | |
| CN101326777B (zh) | 用于下游报价的系统和/或方法 | |
| US7539191B1 (en) | System and method for securing route processors against attack | |
| EP1847072B1 (en) | System for scheduling scans of interior nodes of a network domain for reachability events | |
| EP1185041B1 (en) | OSPF autonomous system with a backbone divided into two sub-areas | |
| KR20140027226A (ko) | 통신 시스템 및 방법 | |
| JP4391960B2 (ja) | リソース管理装置、システムおよび方法 | |
| US7773610B2 (en) | QoS and fault isolation in BGP traffic, address families and routing topologies | |
| Cisco | Configuring OSPF | |
| CN100411383C (zh) | 一种在路由设备中实现报文转发的方法 | |
| Cisco | Novell IPX Commands | |
| JP2002009820A (ja) | ネットワークにおける配送メッセージ送出抑制方法 | |
| JP3802915B2 (ja) | 通信ネットワークシステム | |
| JP2006060346A (ja) | データ伝送システム及び方法並びにデータ伝送用プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: TREND TECHNOLOGY CORP. Free format text: FORMER OWNER: INTERNATIONAL BUSINESS MACHINES CORP. Effective date: 20100715 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: NEW YORK, THE USA TO: TOKYO METROPOLIS, JAPAN |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20100715 Address after: Tokyo, Japan, Japan Patentee after: Trend Technology Corp. Address before: American New York Patentee before: International Business Machines Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090128 Termination date: 20191114 |