CN101257490B - 一种防火墙旁路模式下的报文处理方法和系统 - Google Patents

Abstract

本发明公开了一种防火墙旁路模式下的报文处理方法，包括：主用汇聚交换设备通过旁路于所述主用汇聚交换设备的防火墙向备份汇聚交换设备发送状态报告信息，并与所述主用汇聚交换设备的防火墙配合对待过滤报文进行处理；在所述备份汇聚交换设备接收所述状态报告信息出现异常时，确定新的主用汇聚交换设备并进行主备切换，由所述新的主用汇聚交换设备及旁路于该设备的防火墙对待过滤报文进行处理。本发明还公开了一种防火墙旁路模式下的报文处理系统，能够提高局域网的可用性。

Description

一种防火墙旁路模式下的报文处理方法和系统

技术领域

本发明涉及二层防火墙的组网技术，特别涉及一种防火墙旁路模式下的报文处理方法和系统。

背景技术

企业局域网对于安全和可用性要求较高；同时局域网内的流量很大，对于网络设备的转发性能要求很高。如何在保证局域网安全和性能的条件下，提高局域网的可用性是衡量一个局域网部署方案好坏的标志。

具体地，防火墙技术是保证局域网安全的一个重要手段，可以工作在透明模式下或路由模式下。工作在透明模式下的防火墙在数据链路层连接局域网(LAN)，网络终端用户无需为连接网络而对设备进行特别配置，就像使用以太网交换机一样进行网络连接，相对于路由模式而言，网络部署非常简单，不需要对现有网络结构作大的调整。

网络可用性也就是通常所讲的网络可靠性。所谓网络高可用性指的是网络出现故障导致业务中断的概率非常小，即便出现故障业务中断的时间也非常短，不会对企业的正常业务运作造成不良的影响。

网络高可用性实现的关键就在于实现网络方案的冗余设计。对于网络方案的每一个节点、每一条链路都有备份(冗余)设计，同时在两者之间定义迅速准确地故障检测手段，以便及时感知故障发生并自动采取动作缓解故障发生导致的不良影响。从而实现网络方案整体高可用性。

虚拟路由冗余协议(VRRP，Virtual Router Redundancy Protocol)是实现网络高可用性的一项常用技术。简单来说，VRRP是一种容错协议，它保证当主机的下一跳设备坏掉时，可以及时的由另一台设备来代替，从而保持通讯的连续性和可靠性。为了使VRRP工作，首先要创建一个虚拟IP地址和MAC地址，这样在这个网络中就加入了一个虚拟网关。该虚拟网关由一个主设备(Master)和若干个备份设备(Backup)组成，主设备一方面定时向备份设备发送VRRP组播报文通告该主设备的存在，另一方面向局域网中的设备发送ARP组播报文，通告各个设备虚拟网关的IP地址在该主设备上，并转发局域网中设备发来的报文。

备份设备在定时时间内接收到主设备发出的VRRP报文，则确定主设备工作正常；否则，确定主设备或该主设备所在的链路异常，备份设备切换成为新的主设备，接替主设备的工作，向局域网中的设备发送ARP组播报文，将虚拟网关的IP地址定位在自身上，并完成报文转发操作。网络上的主机与虚拟网关通信，无需了解这个网络上物理设备的任何信息。

图1为典型的企业网络局域网的组网示意图。如图1所示，整个网络分为三层：核心、汇聚和接入层。在每一层、每一个节点、每一条链路都有备份(冗余)设计，以实现高可用性。

现有两种防火墙透明模式的组网方式，分别为In_Line方式和旁路方式，防火墙基于上述两种组网方式进行报文处理。图2为防火墙透明模式下In_Line方式的组网示意图。如图2所示，防火墙串接在核心层与汇聚层交换设备之间，做二层转发。

图2所示组网方式及基于该组网方式进行报文处理的优点是：组网方式部署简单，不需要对网络结构作调整，也不需要修改网络设备的配置。

相应的缺点包括：

1、防火墙的In_Line部署会对网络转发性能形成强烈的限制，形成一个性能瓶颈。由于防火墙对于安全业务的处理相当复杂，尤其是针对DDoS和应用层面的一些程序(例如病毒等)的处理相当漫长。所以防火墙的转发性能一直都无法与交换机设备相提并论。两者之间基本相差有一个量级(10倍)。将防火墙以In_Line的方式部署在核心与汇聚的高性能交换设备之间，会严重制约交换设备的高性能转发引擎，导致整个网络系统的吞吐量下降。

2、部署不够灵活，可扩展性不足。在原有防火墙性能不足，需要进行扩容时。必须先将原有设备换下，才能换上新设备。会引起网络的中断。而且原有设备也无法再利用，造成浪费。

图3为防火墙透明模式下的旁路组网方式示意图。其中，FW代表防火墙，Core代表核心交换设备，AGG代表汇聚交换设备，ACC代表接入交换设备，A和B代表两个冗余设计节点，V100代表vlan100(下同)。在该组网方式下，Core与AGG交换机设备之间作三层转发，AGG与ACC交换设备之间做二层转发，FW与AGG交换设备之间做二层透明转发，FW做双臂旁路，分别对应不同的Vlan。

由于防火墙设备需要保存数据流的会话信息，这就要求请求数据流(上行)和对应的响应数据流(下行)必须经过同一个防火墙设备，否则可能会造成防火墙的异常丢包现象。这一特点称之为数据流的对称性。

上述图3所示的旁路组网方式及基于该组网方式进行报文处理的优点是：

1、防火墙旁路后不再制约网络核心与汇聚交换设备之间的转发性能。可以在汇聚设备的入接口处做策略控制，通过策略分离出可疑流量，将其作为待过滤报文转发到防火墙上，对于其他的流量，作为直接转发报文直接进入汇聚交换设备转发。所以对于网络系统而言，不存在大的性能瓶颈，系统吞吐量由交换设备容量决定。

2、可扩展性强，可以灵活扩容并利旧。当原有防火墙性能不足时，不需要拆卸这个防火墙，可以直接在汇聚设备上新增旁路的大容量防火墙，并在汇聚交换设备的入接口处做新的策略配置即可。网络业务不会中断，原有的设备也可以得到充分的利用。

相应的缺点是：在高可用环境中，保证数据流对称性最好的方式就是使用VRRP技术，将VRRP组设置到主备防火墙上，可以使上行、下行数据流经过同一个防火墙。但在防火墙透明旁路部署方案中，由于防火墙是二层透明转发，不具备三层特性，所以无法配置VRRP组。即便是将VRRP组设置在与其直接相邻的汇聚交换设备上也无法保证高可用性。如图3中所示，在汇聚设备上配置VRRP组后，VRRP组的组播信令会通过汇聚设备之间的聚合(Trunk)链路到达对端，完全不经过防火墙设备。也就是说，即便防火墙设备出现异常，或是链路中断，VRRP组不会发生主备倒换，造成流量路径上的流量异常丢包，导致业务中断，降低系统的可用性。

发明内容

有鉴于此，本发明提供一种防火墙旁路模式下的报文处理方法和系统，能够在提高局域网转发性能的前提下，提高局域网的可用性。

为实现上述目的，本发明采用如下的技术方案：

一种防火墙旁路模式下的报文处理方法，包括：

主用汇聚交换设备通过旁路于所述主用汇聚交换设备的防火墙向备份汇聚交换设备发送状态报告信息，并与所述主用汇聚交换设备的防火墙配合对待过滤报文进行处理；

在所述备份汇聚交换设备接收所述状态报告信息出现异常时，确定新的主用汇聚交换设备并进行主备切换，由所述新的主用汇聚交换设备及旁路于该设备的防火墙对待过滤报文进行处理，

其中，该方法进一步包括：预先针对待过滤报文所在的每个用户VLAN，分别在所述主备汇聚交换设备上对应配置VRRP组，并将主备汇聚交换设备分别配置为所述VRRP组的主备网关；对应所述VRRP组，在所述主备汇聚交换设备上分别仅设置一个与旁路于该设备的防火墙相连的VRRP报文VLAN接口，在所述主备汇聚交换设备间的聚合Trunk链路上禁止传输所述VRRP报文；在旁路于所述主备汇聚交换设备的防火墙上，为每个用户VLAN分别与所述VRRP报文VLAN建立映射关系。

较佳地，所述主用汇聚交换设备通过旁路于所述主用汇聚交换设备的防火墙向备份汇聚交换设备发送状态报告信息包括：

所述主用汇聚交换设备从所述VRRP报文VLAN接口发送VRRP报文，并传输给旁路于所述主用汇聚交换设备的防火墙；

旁路于所述主用汇聚交换设备的防火墙根据所述映射关系，将VRRP报文换上相应用户VLAN的标签，通过该用户VLAN返回给所述主用汇聚交换设备；

所述主用汇聚交换设备将携带所述用户VLAN标签的VRRP报文发送给所述备份汇聚交换设备，再转发到旁路于所述备份汇聚交换设备的防火墙；

旁路于所述备份汇聚交换设备的防火墙根据所述映射关系，将携带所述用户VLAN标签的VRRP报文换上所述VRRP报文VLAN的标签，发送给所述备份汇聚交换设备的所述VRRP报文VLAN接口。

较佳地，所述针对待过滤报文所在的每个用户VLAN，分别在所述主用汇聚交换设备和备份汇聚交换设备上对应配置VRRP组包括：针对所述每个用户VLAN，在所述主用汇聚交换设备和备份汇聚交换设备上分别配置一缺省网关接口，在该缺省网关接口上配置所述VRRP组，设置该VRRP组的VRRP网关为相应用户VLAN的缺省网关；

所述对应所述VRRP组、在主备汇聚交换设备上分别仅设置一个与旁路于该设备的防火墙相连的VRRP报文VLAN接口包括：在主备汇聚交换设备上针对配置所述VRRP组的缺省网关接口，仅对应设置一个与旁路于主备汇聚交换设备的防火墙相连的VRRP报文VLAN接口；在所述主备汇聚交换设备间的聚合Trunk链路上禁止传输所述VRRP报文。

较佳地，设置所述VRRP组的VRRP网关为相应用户VLAN的缺省网关为：将所述VRRP组的虚拟IP地址设置为预设的相应用户VLAN的缺省网关地址。

较佳地，当所述VRRP组主备网关和该VRRP组对应用户VLAN的接入交换设备间，两两存在传输链路时，在三个设备之间启用MSTP，将根桥设置在作为所述VRRP组主网关上，缺省条件下阻断所述VRRP组备份网关与所述接入交换设备之间的链路。

较佳地，在所述主备汇聚交换设备与核心交换设备间运行开放最短路径优先OSPF协议，在所述主备汇聚交换设备的缺省网关接口上启用OSPF，且，所述VRRP组主网关的OSPF优先级高于所述VRRP组备份网关的OSPF优先级。

较佳地，当所述备份汇聚交换设备在预定时间内未接收到主用汇聚交换设备发送的状态报告信息时，确定所述备份汇聚交换设备接收所述状态报告信息出现异常。

较佳地，所述进行主备切换包括：

原所述VRRP组主网关切换为所述VRRP组备份网关，并删除自身的配置VRRP组缺省网关接口的相关路由，并向核心交换设备发出路由信令删除所述缺省网关接口网段的相关路由；

对新的主用汇聚交换设备，将相应的所述VRRP组网关设置为所述VRRP组主网关，向网络中的接入交换设备和用户设备发送ARP报文，将目的地为所述缺省网关的报文定向到本汇聚交换设备上。

较佳地，所述由新的主用汇聚交换设备及旁路于该设备的防火墙对报文进行处理包括：

用户设备发出的相应用户VLAN报文通过接入交换设备到达所述新的主用汇聚交换设备，该新的主用汇聚交换设备将接收报文中的待过滤报文发送给旁路于该设备的防火墙，所述防火墙根据所述映射关系，将接收的报文换上所述VRRP报文VLAN的标签，发送给所述新的主用汇聚交换设备的配置所述VRRP组的缺省网关接口；所述新的主用汇聚交换设备，根据路由将所述缺省网关接口的报文转发给核心交换设备；

所述新的主用汇聚交换设备接收核心交换设备发送目的地为相应用户VLAN的报文，并将接收报文中的待过滤报文打上所述VRRP报文VLAN的标签发送给旁路于该设备的防火墙，所述防火墙根据所述映射关系，将接收的报文换上相应用户VLAN的标签，返回给所述新的主用汇聚交换设备；所述新的主用汇聚交换设备，根据路由将所述防火墙返回的报文转发给接入交换设备。

一种防火墙旁路模式下的报文处理系统，包括主用汇聚交换设备和旁路于该汇聚交换设备的第一防火墙、备份汇聚交换设备和旁路于该汇聚交换设备的第二防火墙，

所述主用汇聚交换设备，用于通过所述第一防火墙和第二防火墙向所述备份汇聚交换设备发送状态报告信息，与所述第一防火墙配合对待过滤报文进行处理；在所述备份汇聚交换设备接收状态报告信息出现异常时，切换为备份汇聚交换设备；

所述备份汇聚交换设备，在接收所述状态报告信息出现异常、且被确定为新的主用汇聚交换设备后，用于与所述第二防火墙配合对待过滤报文进行处理，

其中，在所述主用汇聚交换设备和备份汇聚交换设备上针对待过滤报文所在的每个用户VLAN分别对应配置VRRP组，对应所述VRRP组，分别设置一个与旁路于本设备的防火墙相连的VRRP报文VLAN接口，所述主用汇聚交换设备和备份汇聚交换设备间的聚合Trunk链路上禁止传输所述VRRP报文；主用汇聚交换设备和备份汇聚交换设备分别为所述VRRP组的主网关和所述VRRP组的备份网关；

所述第一防火墙和第二防火墙，用于为每个用户VLAN分别与所述VRRP报文VLAN建立映射关系，对自身接收的报文进行VLAN的转换。

由上述技术方案可见，本发明中，主用汇聚交换设备通过旁路于主用汇聚交换设备的防火墙向备份汇聚交换设备发送状态报告信息；在备份汇聚交换设备接收所述状态报告信息出现异常时，确定新的主用汇聚交换设备并进行主备切换，由所述新的主用汇聚交换设备及旁路于该设备的防火墙对待过滤报文进行处理。这样，主用汇聚交换设备的状态报告信息通过旁路防火墙到达备份汇聚交换设备，从而该状态报告信息的接收能够反映防火墙及其所在链路的故障状况，提高局域网的可用性。

附图说明

图1为典型的企业网络局域网的组网示意图。

图2为防火墙透明模式下In_Line方式的组网示意图。

图3为防火墙透明模式下的旁路组网方式示意图。

图4为本发明提供的防火墙旁路模式下的报文处理方法总体流程图。

图5为本发明的防火墙旁路模式下组网及相应配置示意图。

图6为图5所示的组网结构下，防火墙工作正常时转发VRRP报文的流量路径示意图。

图7为图5所示的组网结构下，防火墙工作正常时转发ARP报文的流量路径示意图。

图8为图5所示的组网结构下，防火墙工作正常时转发数据报文的流量路径示意图。

图9为图5所示的组网结构下，防火墙FW_A异常时转发控制报文的流量路径示意图。

图10为图5所示的组网结构下，与VRRP组主网关相邻的防火墙或其所在链路故障时转发数据报文的流量路径示意图。

具体实施方式

为使本发明的目的、技术手段和优点更加清楚明白，以下结合附图，对本发明做进一步详细说明。

本发明的基本思想是：在背景技术中提到的防火墙透明旁路模式的基础上，将状态报告信息的路径配置为必须经过旁路防火墙，从而提高局域网的高可用性。

图4为本发明提供的防火墙旁路模式下的报文处理方法总体流程图。如图4所示，该方法包括：

步骤401，主用汇聚交换设备通过旁路于主用汇聚交换设备的防火墙向备用汇聚交换设备发送状态报告信息。

本步骤中，主用汇聚交换设备发送的状态报告信息，一定通过旁路于主用汇聚交换设备的防火墙到达备用汇聚交换设备，从而保证该状态报告信息能够反映防火墙及其所在链路的故障状况。

步骤402，在备份汇聚交换设备接收状态报告信息出现异常时，确定新的主用汇聚交换设备并进行主备切换，由新的主用汇聚交换设备及旁路于该设备的防火墙对待过滤报文进行处理。

当状态报告信息的接收异常，确定主用汇聚交换设备所在链路及该链路上设备出现异常，因此，在备份汇聚交换设备中确定新的主用汇聚交换设备，完成主备切换。

至此，本发明提供的方法总体流程结束。利用上述方法，使在主备汇聚交换设备间的状态报告信息通过旁路于主用汇聚交换设备的防火墙传输，从而提高网络的可用性。

下面通过具体实施例说明本发明的具体实施方式。在实施本发明的报文处理方法时，通过预先进行的组网及相应配置，能够实现状态报告信息通过防火墙进行传送。具体的，在本发明实施例中，以VRRP协议进行主备设备的维持，状态报告信息也即VRRP报文，在汇聚交换设备上设置VRRP组，并将VRRP报文的路径配置为必须经过旁路的防火墙，从而提高局域网的高可用性。

下面，首先介绍预先进行的组网及相应配置。具体示意图如图5所示。其中，图5所示的组网结构与图3所示的透明模式下的旁路组网相同。下面对基于该组网结构所进行的配置做进一步详细描述。为简便起见，以网络中存在相应的一个备份网络设备为例，说明具体的组网方式和相应配置。

这里，每个汇聚交换设备可能管辖多个用户VLAN区域，关于用户VLAN的划分，一方面可以按照区域和业务类型划分，另一方面，通常将每个区域或业务类型中需要防火墙处理的待过滤报文和不需要防火墙处理的直接转发报文划分在不同的VLAN。在进行组网配置时，需要针对待过滤报文所在的VLAN，在各个网络设备上进行配置。具体地，对于待过滤报文所在的每个用户VLAN进行的配置均相同，下面以其中一个用户VLAN-图5中的VLAN 300为例描述具体配置。其中，将AGG_A设为主用汇聚交换设备，将AGG_B设为备份汇聚交换设备。

步骤1、设置VLAN 300对应的缺省网关地址为IP_GW。

步骤2、在汇聚交换设备AGG_A和AGG_B上，对应配置VRRP组。

配置VRRP组的具体方式包括：

步骤21、为VLAN 300配置一缺省网关接口Vlan Interface 200，该接口为三层逻辑接口。

其中，由于防火墙在透明模式不能配置网关，因此将网关配置在防火墙二层相邻的汇聚交换设备上。

步骤22、在汇聚交换设备AGG_A和AGG_B的缺省网关接口VlanInterface 200上配置一VRRP组，则该VRRP组的VRRP报文Vlan也就是VLAN 200，并设置VRRP网关是VLAN 300的缺省网关，设AGG_A为主网关(Master)，AGG_B为备份网关(Slave)。

其中，设置VRRP网关是VLAN 300的缺省网关的方式具体为：设置VRRP网关的虚拟IP地址为IP_GW。

至此，针对VLAN 300的VRRP组配置完成。

步骤3、对应设置的VRRP组，在汇聚交换设备上分别仅设置一个与旁路于该汇聚交换设备的防火墙相连的VRRP报文VLAN接口，在汇聚交换设备间的Trunk链路上，禁止VRRP报文通过。

具体地，在步骤2中将VRRP组设置在缺省网关接口Vlan Interface 200上，因此本步骤中，在AGG_A中对应该三层接口，仅设置一个与相邻防火墙FW_A相连的VRRP报文VLAN接口，设为VLAN 200；在AGG_B中进行相同配置，即对应缺省网关接口Vlan Interface 200，仅设置一个与防火墙FW_B相连的VRRP报文VLAN接口，即VLAN 200。并且，在相邻的汇聚交换设备AGG_A和AGG_B之间的Trunk链路上，禁止VLAN200的报文(即VRRP报文)通过。

经过本步骤的配置后，使VRRP组主网关发出的VRRP报文必须通过防火墙才能到达VRRP组备份网关，从而保证VRRP报文反映防火墙所在链路和防火墙的故障状况，提高系统的高可用性。

步骤4、防火墙FW_A和FW_B将VRRP报文的VLAN(即VLAN 200)映射到用户VLAN 300中，这样，VRRP组主网关发出的VRRP报文就可以通过用户VLAN 300到达VRRP组备份网关。

步骤5、在AGG_A、AGG_B和Core_A、Core_B之间运行OSPF，具体AGG_A和AGG_B的Vlan interface 200上启用OSPF，为Vlan interface200网段的流量优先路由到VRRP组主网关AGG_A上，将AGG_A的OSPF优先级设置为高于AGG_B的OSPF优先级。

如上所示，即完成了针对一个用户VLAN的配置，如果存在多个需要配置的VLAN，则针对每个VLAN，对各个设备上按照上述方法进行配置。另外，在防火墙透明模式下旁路的组网结构中，如果两个汇聚交换设备AGG_A和AGG_B以及VLAN 300的接入交换设备ACC_A间，两两存在传输链路，如图5所示，则优选地，为避免产生环路，在上述三个设备间启用MSTP，将根桥设置在VRRP组主网关AGG_A上，缺省条件下阻断AGG_B与ACC_A之间的链路。

至此，完成了预先进行的组网及相应配置。通过上述的组网及相应配置可以保证状态报告信息的传输必然经过旁路防火墙。下面，具体介绍报文处理方法和系统。具体地，进行报文转发处理时，存在两类报文的转发，一类是控制报文的转发，包括VRRP报文和ARP报文；另一类是数据报文的转发。

其中，对于控制报文，主用汇聚交换设备向备份汇聚交换设备发送状态报告信息(本实施例中具体为VRRP报文)，并向网络中的接入交换设备和用户设备发送ARP报文，将目的IP地址为相应用户VLAN(本实施例中为VLAN 300)缺省网关的报文定向到本汇聚交换设备上；

对于数据报文，接入交换设备和用户设备根据接收的ARP报文，将目的IP地址为相应用户VLAN(本实施例中为VLAN 300)缺省网关的报文通过主用汇聚交换设备进行转发，并将报文中的待过滤报文发送给旁路于主用汇聚交换设备的防火墙处理；该防火墙将接收报文处理后，根据所述映射关系进行报文VLAN的转换。

具体地，图6为图5所示的组网结构下，防火墙工作正常时转发VRRP报文的流量路径示意图。如图6所示，

步骤1、AGG_A作为VRRP组主网关，在VLAN 300的缺省网关接口VlanInterface 200上发出VRRP报文。VRRP报文通过VLAN 200转发到防火墙FW_A。

其中，由于AGG_A和AGG_B间的Trunk链路禁止传输VLAN 200的报文，因此VRRP报文无法通过Trunk链路到达AGG_B，这是本发明配置方式的关键，从而保证VRRP报文必然经过防火墙。

步骤2、FW_A根据配置的VLAN映射关系，将VLAN 200的VRRP报文换上VLAN 300的标签并转发给AGG_A。

步骤3、AGG_A根据MSTP确定的路径将VRRP报文转发到FW_B。

根据MSTP设置，缺省条件下VRRP报文沿曲线1标识的路径通过AGG_B到达FW_B；如果AGG_A和AGG_B中间的聚合链路中断，则沿曲线2标识的路径依次通过ACC_A和AGG_B到达FW_B。可见，在该网络中存在冗余路径，能够提高可用性。

步骤4、FW_B在VLAN 300收到VRRP报文，根据配置的VLAN映射关系将VLAN标签转换到VLAN 200，并转发给AGG_B。

步骤5、AGG_B的缺省网关接口Vlan Interface 200收到VRRP报文，根据报文内容调整状态。

具体状态调整方式与现有方式相同，这里就不再赘述。

图7为图5所示的组网结构下，防火墙工作正常时转发ARP报文的流量路径示意图。如图7所示，

步骤1、AGG_A作为VRRP组主网关，在VLAN 300的缺省网关接口VlanInterface 200上发出ARP报文。

步骤2、ARP报文通过VLAN 200转发到防火墙FW_A，FW_A根据配置的VLAN映射关系，将VLAN 200的ARP报文换上VLAN 300的标签并转发给AGG_A。

步骤3、AGG_A将ARP报文发送给接入交换设备ACC_A及用户设备，从而将目的IP地址为VLAN 300的缺省网关的报文定向到VRRP组主网关上。

由于在控制报文转发过程中，将目的IP地址为VLAN 300的缺省网关的报文定向到VRRP组主网关AGG_A上，因此在后续的报文转发过程中，通过该VRRP组主网关转发报文。

图8为图5所示的组网结构下，防火墙工作正常时转发数据报文的流量路径示意图。如图8所示，对于上行业务流：

步骤1、VLAN 300的业务流以IP_GW为缺省网关地址，根据接收的ARP报文所学习的路径，通过VLAN 300到达FW_A(对应曲线1标识的流量)。

步骤2、FW_A根据配置的VLAN映射关系，将VLAN 300的业务报文换上VLAN 200的标签并转发给AGG_A。

步骤3、AGG_A的缺省网关接口Vlan Interface 200收到业务流，根据路由将业务流转发给Core_A。

对于下行业务流：

步骤1′、从Core_A返回的响应数据(对应曲线2标识的流量)，在AGG_A上根据路由确定出接口是Vlan Interface 200，从而通过VLAN 200转发给FW_A。

步骤2′、FW_A根据配置的VLAN映射关系，将VLAN 200的业务报文换上VLAN 300的标签并转发给AGG_A。

步骤3′、AGG_A将业务流通过VLAN 300转发给对应的用户。

由上述报文转发过程可见，一方面，VRRP报文的路径必然经过防火墙，因此等效于在防火墙上实现了VRRP，提高了系统的可用性；另一方面，在进行数据报文转发时，上下行报文通过同一个防火墙，保证数据流的对称性。

当主用汇聚交换设备所在的链路及该链路上的设备出现异常时，通过VRRP报文能够获取该信息，重新确定一个新的汇聚交换设备完成主备切换，并通过新的主用汇聚交换设备和旁路于该设备的防火墙进行报文的正常路由和转发。上述主用汇聚交换设备所在的链路及该链路上的设备出现异常，可能是旁路于主用汇聚交换设备的防火墙异常、或主用汇聚交换设备异常、或二者间的链路异常，在下面的实施例中，假定旁路于主用汇聚交换设备的防火墙出现异常。

具体地，图9为图5所示的组网结构下，防火墙FW_A异常时转发控制报文的流量路径示意图。如图9所示，FW_A异常宕机：

步骤1、AGG_A发出的VRRP报文被丢弃。

步骤2、AGG_B确定VRRP报文接收异常。

本实施例中，AGG_B确定VRRP报文接收异常的方式为：在指定时间范围内没有收到AGG_A发出的VRRP报文。

步骤3，确定新的主用汇聚交换设备，完成主备切换。

具体确定新的主用汇聚交换设备的方式可以采用现有的方式实现，这里不再赘述。本实施例中，只有一个备份汇聚交换设备AGG_B，因此该AGG_B为新的主用汇聚交换设备。

具体主备切换的方式包括：一方面，AGG_A发现Vlan interface 200接口Down，自动降级为VRRP组备份网关，从而使AGG_A降级为备份汇聚交换设备，删除Vlan interface 200接口相关路由，并向Core_A和Core_B发送路由信令，通知删除AGG_A的Vlan interface200网段相关路由；另一方面，AGG_B自动升级为主网关，从而使AGG_B升级为主用汇聚交换设备，并在缺省网关接口Vlan Interface 200上发送ARP报文，从而将目的地址是IP_GW的数据流定向到自己。

事实上，上述AGG_A降级为备份汇聚交换设备，删除路由和向核心交换设备发送路由信令的操作可以在步骤1后即可执行，不必一定在步骤2完成后进行。

步骤4、AGG_B在Vlan Interface 200上发出ARP组播报文，该ARP组播报文只能通过VLAN 200转发到防火墙FW_B。

步骤5、FW_B根据配置的VLAN映射关系，将VLAN 200的组播信令换上VLAN 300的标签并转发给AGG_B。

步骤6、AGG_B根据MSTP确定的路径将ARP组播信令转发给用户设备。

同时，AGG_B也会发出VRRP报文，但该报文到达FW_A后必然被丢弃，因此在图9中未标出VRRP报文路径。

一方面，通过上述步骤1中路由信令(对应曲线1标识的流量)的转发，Core_A将AGG_A的Vlan interface200网段相关路由删除，从而使得下行报文将通过AGG_B进行转发；另一方面，通过上述ARP报文(对应曲线2标识的流量)的转发，接入交换设备ACC_A和用户设备均将目的IP地址为VLAN 300缺省网关的报文定向到刚刚升级为VRRP组主网关的AGG_B，从而使ACC_A也通过AGG_B转发报文；此时，AGG_A也已降级为VRRP组备份网关，也就是实现了故障状况下的VRRP组主备网关自动切换。

可见，在FW_A出现故障后，AGG_A和AGG_B会自动完成VRRP组主备网关切换，也即主备汇聚交换设备的切换，并继续进行报文转发。

图10为图5所示的组网结构下，旁路于主用汇聚交换设备的防火墙故障时转发数据报文的流量路径示意图。如图10所示，对于上行业务流：

步骤1、VLAN 300的业务流以IP_GW为缺省网关地址，根据接收的ARP报文学习到的路径，通过VLAN 300到达FW_B(对应曲线1标识的流量)。

步骤2、FW_B根据配置的VLAN映射关系，将VLAN 300的业务报文换上VLAN 200的标签并转发给AGG_B。

步骤3、AGG_B的缺省网关接口Vlan Interface 200收到业务流，根据路由将业务流转发给Core_A。

对于下行业务流：

步骤1′、从Core_A返回的响应数据(对应曲线2标识的流量)转发给AGG_B，在AGG_B上根据路由确定出接口是Vlan Interface 200，从而通过Vlan200转发给FW_B。

步骤2′、FW_B根据配置的VLAN映射关系，将VLAN 200的业务报文换上VLAN 300的标签并转发给AGG_B。

步骤3′、AGG_B将业务流通过VLAN 300转发给对应的用户。

由上述报文转发过程可见，一方面，旁路于主用汇聚交换设备的防火墙故障时，备份汇聚交换设备升级为新的主用汇聚交换设备，并通过旁路于该设备的防火墙处理相应VLAN的报文，实现了系统的高可用性；另一方面，在进行数据报文转发时，上下行报文均通过同一个防火墙FW_B，保证数据流的对称性。

上述是以旁路于主用汇聚交换设备的防火墙出现故障为例说明故障状况下的主备切换及切换后的报文处理方式，事实上，当主用汇聚交换设备或该设备与旁路于主用汇聚交换设备的防火墙间的链路出现故障时，具体处理方式相同，这里就不再赘述。

上述即为本发明中的方法和系统的具体实施方式，由上述实施方式可见，本发明中的方法和系统，首先，通过防火墙旁路部署，消除性能瓶颈，提高了整个局域网的转发性能；同时，提高了局域网内防火墙的可扩展性，便于网络内防火墙升级和利旧；再者，防火墙透明部署，简化了配置过程；最后，在透明旁路的两个防火墙之间可以实现VRRP，提高了局域网的可用性，同时，保证了经过防火墙的数据流的数据对称性。

以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种防火墙旁路模式下的报文处理方法，其特征在于，该方法包括：

主用汇聚交换设备通过旁路于所述主用汇聚交换设备的防火墙向备份汇聚交换设备发送状态报告信息，并与所述主用汇聚交换设备的防火墙配合对待过滤报文进行处理；

在所述备份汇聚交换设备接收所述状态报告信息出现异常时，确定新的主用汇聚交换设备并进行主备切换，由所述新的主用汇聚交换设备及旁路于该设备的防火墙对待过滤报文进行处理，

其中，该方法进一步包括：预先针对待过滤报文所在的每个用户VLAN，分别在所述主备汇聚交换设备上对应配置VRRP组，并将主备汇聚交换设备分别配置为所述VRRP组的主备网关；对应所述VRRP组，在所述主备汇聚交换设备上分别仅设置一个与旁路于该设备的防火墙相连的VRRP报文VLAN接口，在所述主备汇聚交换设备间的聚合Trunk链路上禁止传输所述VRRP报文；在旁路于所述主备汇聚交换设备的防火墙上，为每个用户VLAN分别与所述VRRP报文VLAN建立映射关系。

2.根据权利要求1所述的方法，其特征在于，所述主用汇聚交换设备通过旁路于所述主用汇聚交换设备的防火墙向备份汇聚交换设备发送状态报告信息包括：

所述主用汇聚交换设备从所述VRRP报文VLAN接口发送VRRP报文，并传输给旁路于所述主用汇聚交换设备的防火墙；

旁路于所述主用汇聚交换设备的防火墙根据所述映射关系，将VRRP报文换上相应用户VLAN的标签，通过该用户VLAN返回给所述主用汇聚交换设备；

所述主用汇聚交换设备将携带所述用户VLAN标签的VRRP报文发送给所述备份汇聚交换设备，再转发到旁路于所述备份汇聚交换设备的防火墙；

旁路于所述备份汇聚交换设备的防火墙根据所述映射关系，将携带所述用户VLAN标签的VRRP报文换上所述VRRP报文VLAN的标签，发送给所述备份汇聚交换设备的所述VRRP报文VLAN接口。

3.根据权利要求1所述的方法，其特征在于，所述针对待过滤报文所在的每个用户VLAN，分别在所述主用汇聚交换设备和备份汇聚交换设备上对应配置VRRP组包括：针对所述每个用户VLAN，在所述主用汇聚交换设备和备份汇聚交换设备上分别配置一缺省网关接口，在该缺省网关接口上配置所述VRRP组，设置该VRRP组的VRRP网关为相应用户VLAN的缺省网关；

所述对应所述VRRP组、在主备汇聚交换设备上分别仅设置一个与旁路于该设备的防火墙相连的VRRP报文VLAN接口包括：在主备汇聚交换设备上针对配置所述VRRP组的缺省网关接口，仅对应设置一个与旁路于主备汇聚交换设备的防火墙相连的VRRP报文VLAN接口；在所述主备汇聚交换设备间的聚合Trunk链路上禁止传输所述VRRP报文。

4.根据权利要求3所述的方法，其特征在于，设置所述VRRP组的VRRP网关为相应用户VLAN的缺省网关为：将所述VRRP组的虚拟IP地址设置为预设的相应用户VLAN的缺省网关地址。

5.根据权利要求1所述的方法，其特征在于，当所述VRRP组主备网关和该VRRP组对应用户VLAN的接入交换设备间，两两存在传输链路时，在三个设备之间启用MSTP，将根桥设置在作为所述VRRP组主网关上，缺省条件下阻断所述VRRP组备份网关与所述接入交换设备之间的链路。

6.根据权利要求1所述的方法，其特征在于，在所述主备汇聚交换设备与核心交换设备间运行开放最短路径优先OSPF协议，在所述主备汇聚交换设备的缺省网关接口上启用OSPF，且，所述VRRP组主网关的OSPF优先级高于所述VRRP组备份网关的OSPF优先级。

7.根据权利要求1所述的方法，其特征在于，当所述备份汇聚交换设备在预定时间内未接收到主用汇聚交换设备发送的状态报告信息时，确定所述备份汇聚交换设备接收所述状态报告信息出现异常。

8.根据权利要求1所述的方法，其特征在于，所述进行主备切换包括：

原所述VRRP组主网关切换为所述VRRP组备份网关，并删除自身的配置VRRP组缺省网关接口的相关路由，并向核心交换设备发出路由信令删除所述缺省网关接口网段的相关路由；

对新的主用汇聚交换设备，将相应的所述VRRP组网关设置为所述VRRP组主网关，向网络中的接入交换设备和用户设备发送ARP报文，将目的地为所述缺省网关的报文定向到本汇聚交换设备上。

9.根据权利要求8所述的方法，其特征在于，所述由新的主用汇聚交换设备及旁路于该设备的防火墙对报文进行处理包括：

用户设备发出的相应用户VLAN报文通过接入交换设备到达所述新的主用汇聚交换设备，该新的主用汇聚交换设备将接收报文中的待过滤报文发送给旁路于该设备的防火墙，所述防火墙根据所述映射关系，将接收的报文换上所述VRRP报文VLAN的标签，发送给所述新的主用汇聚交换设备的配置所述VRRP组的缺省网关接口；所述新的主用汇聚交换设备，根据路由将所述缺省网关接口的报文转发给核心交换设备；

所述新的主用汇聚交换设备接收核心交换设备发送目的地为相应用户VLAN的报文，并将接收报文中的待过滤报文打上所述VRRP报文VLAN的标签发送给旁路于该设备的防火墙，所述防火墙根据所述映射关系，将接收的报文换上相应用户VLAN的标签，返回给所述新的主用汇聚交换设备；所述新的主用汇聚交换设备，根据路由将所述防火墙返回的报文转发给接入交换设备。

10.一种防火墙旁路模式下的报文处理系统，包括主用汇聚交换设备和旁路于该汇聚交换设备的第一防火墙、备份汇聚交换设备和旁路于该汇聚交换设备的第二防火墙，其特征在于，

所述主用汇聚交换设备，用于通过所述第一防火墙和第二防火墙向所述备份汇聚交换设备发送状态报告信息，与所述第一防火墙配合对待过滤报文进行处理；在所述备份汇聚交换设备接收状态报告信息出现异常时，切换为备份汇聚交换设备；

所述备份汇聚交换设备，在接收所述状态报告信息出现异常、且被确定为新的主用汇聚交换设备后，用于与所述第二防火墙配合对待过滤报文进行处理，

其中，在所述主用汇聚交换设备和备份汇聚交换设备上针对待过滤报文所在的每个用户VLAN分别对应配置VRRP组，对应所述VRRP组，分别设置一个与旁路于本设备的防火墙相连的VRRP报文VLAN接口，所述主用汇聚交换设备和备份汇聚交换设备间的聚合Trunk链路上禁止传输所述VRRP报文；主用汇聚交换设备和备份汇聚交换设备分别为所述VRRP组的主网关和所述VRRP组的备份网关；

所述第一防火墙和第二防火墙，用于为每个用户VLAN分别与所述VRRP报文VLAN建立映射关系，对自身接收的报文进行VLAN的转换。

Images