CN101771685B - 一种数据包的转发方法和装置 - Google Patents

一种数据包的转发方法和装置 Download PDF

Info

Publication number
CN101771685B
CN101771685B CN2009102175550A CN200910217555A CN101771685B CN 101771685 B CN101771685 B CN 101771685B CN 2009102175550 A CN2009102175550 A CN 2009102175550A CN 200910217555 A CN200910217555 A CN 200910217555A CN 101771685 B CN101771685 B CN 101771685B
Authority
CN
China
Prior art keywords
age
packet
connection
neighbours
described connection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2009102175550A
Other languages
English (en)
Other versions
CN101771685A (zh
Inventor
王震
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN2009102175550A priority Critical patent/CN101771685B/zh
Publication of CN101771685A publication Critical patent/CN101771685A/zh
Application granted granted Critical
Publication of CN101771685B publication Critical patent/CN101771685B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种数据包的转发方法,包括:A、接收数据包;B、当与所述数据包对应的连接中记录的策略年龄等于全局的策略年龄,且所述连接中记录的邻居年龄不等于全局的邻居年龄时,判断所述连接中记录的邻居信息是否修改过,如果是,则转步骤C,否则转步骤D;C、匹配所述数据包的访问策略、建立连接、查找路由和地址解析协议并记录到所述连接中,将全局策略年龄和邻居年龄的值记录到所述连接中;D、转发所述数据包。本发明还公开了一种数据包的转发装置。本发明消除了因为网络环境中的ARP变化引起的防火墙转发系统震荡,使得防火墙转发系统性能更加稳定、可靠。

Description

一种数据包的转发方法和装置
技术领域
本发明涉及防火墙技术领域,特别是涉及一种数据包的转发方法和装置。
背景技术
目前的防火墙系统都是基于状态检测技术的。防火墙在收到包之后匹配访问策略,如果策略允许通过,就建立session(连接)转发出去,并把当前的policy_age(策略年龄)记录到这个session中,其中session由源地址、源端口、目的地址、目的端口、协议号确定,policy_age是用来记录访问策略修改次数的全局变量。防火墙在收到后续的属于这个session的包后,比较一下session中记录的策略年龄和policy_age,如果相等就直接转发出去,不需要再匹配访问策略等工作;如果不相等就重新匹配访问策略、查找路由和ARP(AddressResolve Protocol,地址解析协议)转发出去。目前的技术都是针对访问策略、路由和ARP的修改来增加policy_age,这样当访问策略、路由和ARP有任一修改后,都需要把所有的session重新走一遍匹配访问策略、查找路由和ARP等工作。这在一般稳定的网络环境中是不会有问题的,因为用户不会经常修改访问策略和路由,即使是在有动态路由协议的网络环境中,路由协商好后路由也不会再变化。而且当访问策略和路由发生变化时,所有的session的确需要重新匹配访问策略和查找路由。但是当ARP变化后,只有和这个ARP相关的session才需要重新查找ARP;其他session的ARP没有变化,不需要重新匹配访问策略和查找路由。
但是,当访问策略、路由和ARP变化时,转发系统会把session中记录的策略年龄和全局的policy_age来比较,如果不相等,就重新匹配访问策略、查找路由和ARP。这样在ARP变化频繁的网络环境中,防火墙转发系统就会频繁震荡,造成系统的整体性能下降。
发明内容
本发明要解决的问题是提供一种数据包的转发方法和装置,以克服现有技术中在ARP变化频繁的网络环境中,防火墙转发系统会频繁震荡的缺陷。
为达到上述目的,本发明的技术方案提供一种数据包的转发方法,所述方法包括以下步骤:A、接收数据包;B、当与所述数据包对应的连接中记录的策略年龄等于全局的策略年龄,且所述连接中记录的邻居年龄不等于全局的邻居年龄时,判断所述连接中记录的邻居信息是否修改过,如果是,则转步骤C,否则转步骤D;C、匹配所述数据包的访问策略、建立连接、查找路由和地址解析协议并记录到所述连接中,将全局策略年龄和邻居年龄的值记录到所述连接中;D、转发所述数据包。
进一步,在所述步骤B中,具体包括:B1、判断所述连接中记录的策略年龄是否等于全局的策略年龄,如果是,则转步骤B2,否则转步骤C;B2、判断所述连接中记录的邻居年龄是否等于全局的邻居年龄,如果是,则转步骤D,否则转步骤B3;B3、判断所述连接中记录的邻居信息是否修改过,如果是,则转步骤C,否则转步骤D。
进一步,在步骤A与步骤B之间,还包括:E、查找是否存在与所述数据包对应的连接,如果是,则转步骤B,否则转步骤C。
本发明的技术方案还提供一种数据包的转发装置,所述装置包括:数据包接收单元,用于接收数据包;连接检测单元,用于当与所述数据包对应的连接中记录的策略年龄等于全局的策略年龄,且所述连接中记录的邻居年龄不等于全局的邻居年龄时,判断所述连接中记录的邻居信息是否修改过;连接建立单元,用于根据连接检测单元的检测结果,匹配所述数据包的访问策略、建立连接、查找路由和地址解析协议并记录到所述连接中,将全局策略年龄和邻居年龄的值记录到所述连接中;数据包转发单元,用于转发所述数据包。
进一步,所述连接检测单元包括:策略年龄检测子单元,用于判断所述连接中记录的策略年龄是否等于全局的策略年龄;邻居年龄检测子单元,用于判断所述连接中记录的邻居年龄是否等于全局的邻居年龄;邻居信息修改检测子单元,用于判断所述连接中记录的邻居信息是否修改过。
进一步,所述装置还包括连接查找单元,用于根据所述数据包接收单元接收到的数据包,查找与所述数据包对应的连接。
与现有技术相比,本发明有益效果如下:
当与接收到的数据包对应的连接中记录的策略年龄等于全局的策略年龄,且所述连接中记录的邻居年龄不等于全局的邻居年龄时,本发明判断所述连接中记录的邻居信息是否修改过,如果没有被修改过,就直接转发出去,不用重新匹配访问策略、查找路由/ARP等工作,从而消除因为网络环境中的ARP变化引起的防火墙转发系统震荡,使得防火墙转发系统性能更加稳定、可靠。
附图说明
图1是本发明实施例的一种数据包的转发方法的流程图;
图2是本发明实施例的一种数据包的转发装置的结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
本发明实施例的一种数据包的转发方法如图1所示,防火墙转发系统收到数据包,如果查找到session就比较session中记录的ts_policy_age/ts_neigh_age和全局的policy_age/neigh_age,如果二者都不相等,就判断session中记录的ts_neigh信息是否被修改过,如果没有被修改过,就直接转发出去。参照图1,本实施例包括以下步骤:
步骤s101,接收数据包。
步骤s102,查找是否存在与数据包对应的session,如果是,则转步骤s103,否则转步骤s106。
步骤s103,判断所述session中记录的策略年龄ts_policy_age是否等于全局的策略年龄policy_age,如果是,则转步骤s104,否则转步骤s106。
步骤s104,判断所述session中记录的邻居年龄tsneigh_age是否等于全局的邻居年龄neigh_age,如果是,则转步骤s107,否则转步骤s105。
步骤s105,判断所述session中记录的邻居信息ts_neigh是否修改过,如果是,则转步骤s106,否则转步骤s107。
步骤s106,匹配所述数据包的访问策略、建立session、查找路由和ARP并记录到所述session中,将全局策略年龄policy_age和邻居年龄neigh_age的值记录到所述session中;
步骤s107,转发所述数据包。
本发明实施例的一种数据包的转发装置如图2所示,包括数据包接收单元、连接查找单元、连接检测单元、连接建立单元和数据包转发单元。其中连接查找单元分别与数据包接收单元、连接检测单元和连接建立单元连接,连接检测单元分别与连接建立单元和数据包转发单元连接,连接建立单元和数据包转发单元连接。
数据包接收单元用于接收数据包;连接查找单元用于根据所述数据包接收单元接收到的数据包,查找与所述数据包对应的连接;连接检测单元用于当与所述数据包对应的连接中记录的策略年龄等于全局的策略年龄,且所述连接中记录的邻居年龄不等于全局的邻居年龄时,判断所述连接中记录的邻居信息是否修改过;连接建立单元用于根据连接检测单元的检测结果,匹配所述数据包的访问策略、建立连接、查找路由和地址解析协议并记录到所述连接中,将全局策略年龄和邻居年龄的值记录到所述连接中;数据包转发单元用于转发所述数据包。
连接检测单元包括策略年龄检测子单元、邻居年龄检测子单元和邻居信息修改检测子单元。策略年龄检测子单元用于判断所述连接中记录的策略年龄是否等于全局的策略年龄;邻居年龄检测子单元用于判断所述连接中记录的邻居年龄是否等于全局的邻居年龄;邻居信息修改检测子单元用于判断所述连接中记录的邻居信息是否修改过。
在本发明实施例中,当与接收到的数据包对应的连接中记录的策略年龄等于全局的策略年龄,且所述连接中记录的邻居年龄不等于全局的邻居年龄时,本发明判断所述连接中记录的邻居信息是否修改过,如果没有被修改过,就直接转发出去,不用重新匹配访问策略、查找路由/ARP等工作,从而消除因为网络环境中的ARP变化引起的防火墙转发系统震荡,使得防火墙转发系统性能更加稳定、可靠。尤其在快速转发和匹配访问策略、查找路由和ARP的处理过程有很大性能差异时,效果更好。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (4)

1.一种数据包的转发方法,其特征在于,所述方法包括以下步骤:
A、接收数据包;查找是否存在与所述数据包对应的连接,如果是,则转步骤B,否则转步骤C;
B、当与所述数据包对应的连接中记录的策略年龄等于全局的策略年龄,且所述连接中记录的邻居年龄不等于全局的邻居年龄时,判断所述连接中记录的邻居信息是否修改过,如果是,则转步骤C,否则转步骤D;
C、匹配所述数据包的访问策略、建立连接、查找路由和地址解析协议并记录到所述连接中,将全局策略年龄和邻居年龄的值记录到所述连接中;
D、转发所述数据包。
2.如权利要求1所述的数据包的转发方法,其特征在于,在所述步骤B中,具体包括:
B1、判断所述连接中记录的策略年龄是否等于全局的策略年龄,如果是,则转步骤B2,否则转步骤C;
B2、判断所述连接中记录的邻居年龄是否等于全局的邻居年龄,如果是,则转步骤D,否则转步骤B3;
B3、判断所述连接中记录的邻居信息是否修改过,如果是,则转步骤C,否则转步骤D。
3.一种数据包的转发装置,其特征在于,所述装置包括:
数据包接收单元,用于接收数据包;
连接查找单元,用于根据所述数据包接收单元接收到的数据包,查找与所述数据包对应的连接;
连接检测单元,用于当与所述数据包对应的连接中记录的策略年龄等于全局的策略年龄,且所述连接中记录的邻居年龄不等于全局的邻居年龄时,判断所述连接中记录的邻居信息是否修改过;
连接建立单元,用于根据连接检测单元的检测结果,匹配所述数据包的访问策略、建立连接、查找路由和地址解析协议并记录到所述连接中,将全局策略年龄和邻居年龄的值记录到所述连接中;
数据包转发单元,用于转发所述数据包。
4.如权利要求3所述的数据包的转发装置,其特征在于,所述连接检测单元包括:
策略年龄检测子单元,用于判断所述连接中记录的策略年龄是否等于全局的策略年龄;
邻居年龄检测子单元,用于判断所述连接中记录的邻居年龄是否等于全局的邻居年龄;
邻居信息修改检测子单元,用于判断所述连接中记录的邻居信息是否修改过。
CN2009102175550A 2009-12-31 2009-12-31 一种数据包的转发方法和装置 Active CN101771685B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2009102175550A CN101771685B (zh) 2009-12-31 2009-12-31 一种数据包的转发方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009102175550A CN101771685B (zh) 2009-12-31 2009-12-31 一种数据包的转发方法和装置

Publications (2)

Publication Number Publication Date
CN101771685A CN101771685A (zh) 2010-07-07
CN101771685B true CN101771685B (zh) 2013-05-08

Family

ID=42504279

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009102175550A Active CN101771685B (zh) 2009-12-31 2009-12-31 一种数据包的转发方法和装置

Country Status (1)

Country Link
CN (1) CN101771685B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1845530A (zh) * 2006-05-19 2006-10-11 清华大学 基于策略优化的流媒体资源分配方法
CN1897566A (zh) * 2005-07-14 2007-01-17 中兴通讯股份有限公司 一种基于分类等级实现汇聚点服务质量保证的系统及方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1897566A (zh) * 2005-07-14 2007-01-17 中兴通讯股份有限公司 一种基于分类等级实现汇聚点服务质量保证的系统及方法
CN1845530A (zh) * 2006-05-19 2006-10-11 清华大学 基于策略优化的流媒体资源分配方法

Also Published As

Publication number Publication date
CN101771685A (zh) 2010-07-07

Similar Documents

Publication Publication Date Title
US8654626B2 (en) Packet sorting device, receiving device and packet sorting method
CN103139071B (zh) 报文转发方法、装置和系统
US8340106B2 (en) Connecting multi-hop mesh networks using MAC bridge
CN106470158B (zh) 报文转发方法及装置
JP5594171B2 (ja) 通信処理装置、アドレス学習プログラムおよびアドレス学習方法
CN103379029B (zh) 一种内容网络的路由转发的方法、装置及系统
CN109495320B (zh) 一种数据报文的传输方法和装置
CN104780103A (zh) 报文转发方法及装置
CN109728972B (zh) 网络连接检测方法和装置
US7953067B2 (en) Method, network apparatus, and tangible machine-readable medium thereof for detecting a looping network packet
CN105915516A (zh) 基于安全检测的数据流获取方法及装置
CN102790773A (zh) 一种家庭网关用防火墙的实现方法
CN111131539B (zh) 报文转发方法及装置
US9019951B2 (en) Routing apparatus and method for processing network packet thereof
CN101771685B (zh) 一种数据包的转发方法和装置
US8249101B2 (en) Mobile ad hoc network configured as a virtual internet protocol network
EP1294156B1 (en) Method and apparatus for transferring packets in network with monitoring of malicious packets
CN102655476B (zh) 一种互联网协议流转发方法,及设备
CN106330712B (zh) 一种mac地址学习的控制方法和装置
US10009265B2 (en) Communication control apparatus, communication control method, communication system, and recording medium
CN114697160B (zh) 一种隧道报文的处理方法和装置
CN104394081B (zh) 一种数据处理方法及装置
US9185029B2 (en) Apparatus and method for processing path management packet
JP5533100B2 (ja) スイッチ、通知プログラム、および通知方法
KR20110075569A (ko) 센서 네트워크에서 패킷의 송신 경로를 역추적하는 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Free format text: FORMER NAME: BEIJING HEAVEN MELTS LETTER SCIENCE TECHNOLOGIES CO., LTD.

CP01 Change in the name or title of a patent holder

Address after: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Patentee after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Patentee before: Beijing heaven melts letter Science Technologies Co., Ltd.

C56 Change in the name or address of the patentee

Owner name: BEIJING HEAVEN MELTS LETTER SCIENCE TECHNOLOGIES C

Free format text: FORMER NAME: BEIJING TOPSEC TECHNOLOGY CO., LTD.

CP01 Change in the name or title of a patent holder

Address after: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Patentee after: Beijing heaven melts letter Science Technologies Co., Ltd.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Patentee before: BEIJING TOPSEC TECHNOLOGY CO., LTD.

C56 Change in the name or address of the patentee
CP01 Change in the name or title of a patent holder

Address after: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Patentee after: BEIJING TOPSEC TECHNOLOGY CO., LTD.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Patentee before: Beijing heaven melts letter Science Technologies Co., Ltd.

C56 Change in the name or address of the patentee
CP01 Change in the name or title of a patent holder

Address after: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Patentee after: Beijing heaven melts letter Science Technologies Co., Ltd.

Address before: 100085 Haidian District East Road, No. three, China control building, floor, floor, 1

Patentee before: BEIJING TOPSEC TECHNOLOGY CO., LTD.