CN102420767A - 转发路径切换方法、装置及网络设备 - Google Patents
转发路径切换方法、装置及网络设备 Download PDFInfo
- Publication number
- CN102420767A CN102420767A CN2011104212994A CN201110421299A CN102420767A CN 102420767 A CN102420767 A CN 102420767A CN 2011104212994 A CN2011104212994 A CN 2011104212994A CN 201110421299 A CN201110421299 A CN 201110421299A CN 102420767 A CN102420767 A CN 102420767A
- Authority
- CN
- China
- Prior art keywords
- compartment wall
- fire compartment
- wall card
- switch
- layers
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Alarm Systems (AREA)
Abstract
本发明提供一种转发路径切换方法、装置及网络设备。其中,方法包括:交换机对嵌入所述交换机的防火墙卡的工作状态进行检测;如果所述交换机检测到所述防火墙卡发生故障,所述交换机使预先备份的所述防火墙卡上的三层路由配置信息生效,以在所述交换机上重新启动所述防火墙卡上的与所述三层路由配置信息对应的路由协议。本发明技术方案通过预先备份防火墙卡上的三层路由配置信息,在交换机上实现对防火墙卡的旁路,使得数据流能够继续通过交换机进行转发,解决了防火墙卡工作在路由模式下发生故障导致数据流中断的问题,使用户能够继续使用防火墙卡外面的网络资源。
Description
技术领域
本发明涉及网络通信技术,尤其涉及一种转发路径切换方法、装置及网络设备。
背景技术
由于互联网(Internet)协议基于开放的传输控制协议/因特网互联协议(Transmission Control Protocol/Internet Protocol,简称为:TCP/IP)协议,因此,各种企业网、校园网的安全问题日益突出。交换机或路由器结合防火墙的安全方案不仅可以解决一些网络安全问题,在一些场合通过在核心交换机嵌入防火墙卡还可以给用户带来更大的方便,具体表现在:防火墙卡处理性能非常强劲可达到万兆处理级别、防火墙卡可以利用交换机的端口作为防火墙的端口因此它的端口密度非常大、由于防火墙卡内嵌在交换机内部使得用户在布线上很方便同时节约了空间、防火墙卡支持虚拟防火墙工作方式可逻辑上划分为多个防火墙使用。基于此,在交换机或路由器中嵌入防火墙卡的应用模式越来越受欢迎。
防火墙卡在进行数据转发时的工作模式分为透明模式和路由模式。路由模式是指防火墙卡在数据转发中充当一台路由器的角色进行三层转发的模式。在路由模式下,防火墙卡有自己的网络层接口,并根据报文的目的IP地址进行路由选路转发,只不过在三层转发过程中,防火墙卡会根据自己的安全策略对报文进行过滤。防火墙卡工作在路由模式下时,用户数据转发流程包括:用户的数据通过接入交换机到达箱式交换机上。由于用户报文的目的介质访问控制(Media Access Control,简称为:MAC)地址为嵌在箱式交换机上的防火墙卡的MAC地址,故箱式交换机则直接通过二层转发将数据转给嵌在箱式交换机中的防火墙卡。由于箱式交换机与防火墙卡之间的链路为trunk链路,故到达防火墙卡的用户数据会被交换机加上相应的虚拟局域网(Virtual Local Area Network,简称为:VLAN)标识(TAG)。防火墙卡根据自己的过滤策略对用户数据进行过滤处理后,查找路由表,将用户数据的VLAN TAG改为外网VLAN ID并替换相应的二三层头部信息后,将用户数据送回箱式交换机。箱式交换机再通过二层转发将用户数据转发到互联网(Internet)中。从Internet返回的数据将沿上述路径逆向转发。
在防火墙卡的实际应用中,不仅要求较高的安全性,对可靠性的要求也越来越高。当防火墙卡出现故障时,如果得不到处理就会导致数据流中断。为了防止数据流中断,一般会使用两块防火墙卡进行防火墙卡的热备份,但当主、备防火墙卡都出现故障时,还是会出现数据流中断的问题。为了解决因防火墙卡故障引起数据流中断的问题,现有技术通过实现旁路(BYPASS)功能来解决该问题。BYPASS功能会检测防火墙卡的工作状态,当发现防火墙卡出现故障时,BYPASS功能会将数据流直接转发,不再送给防火墙卡,这样防火墙卡故障就不会导致数据流中断了。但是,目前现有技术中的BYPASS功能仅支持为工作在透明模式下的防火墙卡提供旁路,无法为工作在路由模式下的防火墙卡提供旁路。因此,当防火墙卡工作在路由模式时,如果出现故障就会导致数据流中断。
发明内容
本发明提供一种转发路径切换方法、装置及网络设备,用于解决防火墙卡工作在路由模式下,发生故障导致数据流中断的问题。
本发明提供一种转发路径切换方法,包括:
交换机对嵌入所述交换机的防火墙卡的工作状态进行检测;
如果所述交换机检测到所述防火墙卡发生故障,所述交换机使预先备份的所述防火墙卡上的三层路由配置信息生效,以在所述交换机上重新启动所述防火墙卡上的与所述三层路由配置信息对应的路由协议。
本发明提供一种转发路径切换装置,包括:
检测模块,用于对嵌入所述转发路径切换装置的防火墙卡的工作状态进行检测;
协议重启模块,用于在所述检测模块检测到所述防火墙卡发生故障时,使预先备份的所述防火墙卡上的三层路由配置信息生效,以在所述转发路径切换装置上重新启动所述防火墙卡上的与所述三层路由配置信息对应的路由协议。
本发明提供一种网络设备,包括本发明提供的任一转发路径切换装置。
本发明提供的转发路径切换方法、装置及网络设备,通过预先备份防火墙卡上的三层路由配置信息,在检测到防火墙卡发生故障时,使预先备份的防火墙卡上的三层路由配置信息生效,使得防火墙卡上的路由协议在交换机上重新开启并进行收敛,在交换机上实现对防火墙卡的旁路,使得数据流能够继续通过交换机进行转发,解决了防火墙卡工作在路由模式下发生故障导致数据流中断的问题,使用户能够继续使用防火墙卡外面的网络资源。
附图说明
图1为本发明一实施例提供的转发路径切换方法的流程图;
图2A为本发明另一实施例提供的转发路径切换方法的流程图;
图2B为本发明再一实施例提供的转发路径切换方法的流程图;
图3为本发明又一实施例提供的转发路径切换方法的流程图;
图4A为本发明一实施例提供的转发路径切换装置的结构示意图;
图4B为本发明另一实施例提供的转发路径切换装置的结构示意图。
具体实施方式
图1为本发明一实施例提供的转发路径切换方法的流程图。如图1所示,本实施例的方法包括:
步骤101、交换机对嵌入交换机的防火墙卡的工作状态进行检测。
在本发明各实施例中,防火墙卡是一款集成在交换机上的高性能的防火墙卡。例如,防火墙卡可以提供20Gbps的吞吐率,每秒15万个新建连接、以及200万个并发连接等,但不限于此。本发明各实施例中的防火墙卡可插在任意一个交换机的插槽中。本发明各实施例的交换机主要是指箱式交换机,允许插入防火墙卡,而且还允许同时插入多个防火墙卡来提供更高的处理性能。
在本实施例中,防火墙卡与交换机工作在正常的备份关系状态,如果交换机发现防火墙卡故障,需要立刻进行旁路切换,即将防火墙卡的转发工作切换到自己上。基于此,交换机需要对防火墙卡的工作状态进行检测,以便及时发现防火墙卡的故障。
其中,交换机对防火墙卡的工作状态进行检测主要包括以下几个方面:
交换机检测防火墙卡是否被移除;如果检测到防火墙卡被移除时,判定防火墙卡发生故障。所述防护墙卡被移除包括:防火墙卡被拔出、防火墙卡意外断电(例如因内部硬件故障造成意外断电)、防火墙卡重启、以及其他导致交换机与防火墙卡的管理通信断开的各种情况。
交换机检测防火墙卡与交换机连接的接口(即内连接口)是否全部断开连接(link-down);如果交换机检测到防火墙卡与交换机连接的接口全部link-down时,判定防火墙卡发生故障。其中,防火墙卡与交换机主要通过内部的万兆以太网接口(TenGigabitEthernet)相连。这里的“内部的万兆以太网接口”主要是指的是带内通道(即数据通道),也就是说用户发来的数据将从这个通道送给防火墙卡,防火墙卡过滤后也从这个通道送回给交换机。
另外,由于交换机发送给防火墙卡的报文或数据,由防火墙卡进行过滤处理后会返回给交换机,因此,交换机可以通过定期向防火墙卡发送检测报文,来检测防火墙卡的三层转发功能是否正常,即检测防火墙卡是否发生故障。如果交换机发送检测报文之后,在预设时间内未接收到防火墙卡返回的检测报文,判定防火墙卡发生故障。其中,检测报文的源IP地址和目的IP地址为预先配置在所述交换机上的IP地址。也就是说,检测报文的相关参数,例如源IP地址、目的IP地址等,是由管理员或用户在交换机上配置。为了避免因配置错误导致误判防火墙卡发生故障的情况发生,在配置相关参数后需要对相关参数进行测试,当使用所配置的相关参数至少成功检测一次后在使所配置的相关参数生效。另外,当防火墙卡的配置发生变动时,用户或管理员需要同步修改该配置。
其中,交换机可以仅使用上述检测方法中的一种对防火墙卡进行故障检测,也可以同时使用上述检测方法的任意组合对防火墙卡进行故障检测。无论交换机使用哪种方式对防火墙卡进行故障检测,只要出现其中一种情况就判定防火墙卡发生故障。
步骤102、交换机判断是否检测到防火墙卡故障;如果判断结果为是,执行步骤103;如果判断结果为否,返回执行步骤101,即继续对防火墙卡的工作状态进行检测。
交换机对防火墙卡的工作状态进行检测时,判断防火墙卡是否发生故障;如果检测到防火墙卡故障,则执行步骤103。如果未检测到防火墙卡故障,即防火墙卡正常工作,则交换机继续对防火墙卡的工作状态进行检测,以便及时发现防火墙卡的故障。
步骤103、交换机使预先备份的防火墙卡上的三层路由配置信息生效,以在交换机上重新启动防火墙卡上的与三层路由配置信息对应的路由协议。
当交换机检测到防火墙卡故障时,交换机使预先备份的防火墙卡上的三层路由配置信息生效,以使防火墙卡上的路由协议在交换机上重新启动并进行收敛,实现将防火墙卡的转发工作切换到交换机上的目的,从而使得数据流能够通过交换机继续被转发。
其中,在防火墙卡工作在路由模式的情况下,交换机上没有保存防火墙卡上路由协议的运行状态,故为了在交换机上为防火墙卡提供旁路功能,需要在交换机上预先备份防火墙卡上的IP地址等有关信息。其中,所述的有关信息主要包括:防火墙卡上的三层路由配置信息,但不限于此。因此,在本实施例中,在执行步骤103之前,包括在交换机上预先备份防火墙卡上有关信息的步骤。其中,在交换机上备份防火墙卡的有关信息的方法可以采用以下方法中的任意一种或其组合:
交换机在交换机和防火墙卡均进入正常工作状态时,对防火墙卡上的三层路由配置信息进行备份。该方法主要是说在交换机和防火墙卡都刚刚进入正常工作状态,备份关系刚刚建立的时候,防火墙卡将其上的有关信息同步给交换机,以使交换机进行备份。
交换机在由备份交换机状态切换为主交换机状态时,对防火墙卡上的三层路由配置信息进行备份。该方法主要是说在交换机热备环境下,当主备交换机发生切换(即备份交换机接替成为主交换机)时,在新的主交换机上对防火墙卡上的有关信息进行备份。
交换机在防火墙卡由备份防火墙状态切换为主防火墙状态时,对防火墙卡上的三层路由配置信息进行备份。该方法主要是说在防火墙卡热备环境下,当主备防火墙卡切换(即备份防火墙卡接替成为主防火墙卡)时,新的主防火墙卡将其上的有关信息同步给交换机,以使交换机进行备份。
另外,交换机在防火墙卡的三层路由配置信息发生变化时,对防火墙卡上的三层路由配置信息进行备份。该方法主要是说在防火墙卡的配置发生改变,防火墙卡退出配置模式的时候,防火墙卡将重新配置后的三层路由配置信息同步给交换机,以使交换机进行备份。
交换机根据预设第一备份周期,对防火墙卡上的三层路由配置信息进行备份。该方法主要是说在防火墙正常工作时,会定期将防火墙卡中的相关信息备份到交换机上,即定期将防火墙卡中的有关信息同步到交换机的内存中。其中,对第一备份周期的具体数值不做限定。
在上述各方法中,交换机和防火墙卡可以使用两者之间的带外管理通道完成有关信息的备份。其中,在防火墙卡正常工作时,这些备份到交换机上的信息不会生效。其中,带外管理通道是指交换机为了对防火墙卡进行管理,用于传递管理信息的专用通道。由于管理信息有着速率小,但对可靠性要求较高的特点,因此,需要专门的独立于带内数据通道的带外管理通道进行传输。带外管理通道主要用于配置下发、管理信息获取、防火墙卡状态监控等。
其中,对于防火墙卡上的三层路由配置信息主要包括:防火墙卡的三层接口的IP/IPv6地址、防火墙卡上的动态路由配置和静态路由配置,但不限于此。例如,如果防火墙卡上还运行有组播协议,则三层路由配置信息还包括与组播相关的配置信息。
防火墙卡工作在路由模式下时,防火墙卡的三层接口使用的是动态交换虚拟接口(Switch Virtual Interface;简称为:SVI),而防火墙卡与交换机之间的链路是trunk链路,在防火墙卡上运行的SVI接口对应的VLAN ID与交换机上同一VLAN的VLAN ID是一致的,因此,防火墙卡上运行的SVI接口的相关配置可以直接移植到交换机上。对于SVI接口上属于防火墙特有的配置在交换机上不会生效,也不会造成其它影响,因此可以无差别地备份到交换机上。
基于上述,当交换机检测到防火墙卡发生故障时,通过将预先备份的防火墙卡上的三层路由配置信息在交换机上生效,实现将防火墙卡上运行的路由协议转移到交换机上,达到在交换机上为防火墙卡提供旁路功能的目的,使得数据流能够通过交换机继续被转发,解决了防火墙卡在路由模式下发生故障导致数据流中断的问题,使得用户在防火墙卡故障时也能够利用防火墙卡外面的网络资源,有利于提高网络资源的利用率。
在上述实施例中,由于交换机上一开始并没有防火墙卡上的路由协议,也就没有与这些路由协议相对应的硬件表项,因此,防火墙卡上的路由协议在交换机上重新启动并收敛的流程包括:交换机将预先备份的防火墙卡上的三层路由配置信息生效,然后与这些三层路由配置信息对应的路由协议启动,在启动后,这些路由协议就会计算出软件的转发表项,交换机将这些软件的转发表项下发到其硬件中成为硬件表项,至此路由协议的收敛完成。通常,从三层路由配置信息生效到生成硬件表项的时间比较长,这会降低网络体验。本发明实施例为了优化网络体验,保证在开始切换时网络就可通,在上述实施例的基础上提供一种实施方式,该实施方式包括:交换机同样预先备份防火墙卡上的与三层路由配置信息对应的三层转发表项,并在交换机使预先备份的防火墙卡上的三层路由配置信息生效,以在交换机上重新启动防火墙卡上的与其三层路由配置信息对应的路由协议时,将预先备份的防火墙卡上的三层转发表项下发到交换机的硬件表项中。本实施方式在切换一开始时就将预先备份的软件的三层转发表项下发下去,做到了保证网络可通的目的,但是此时该表项不会随着整个网络路由的变化而变化,不具有动态路由的效果,当这些在交换机上重新启动的路由协议走完正常启动并收敛的流程时,路由协议就会接管硬件表项,自然就会实现动态路由。
其中,交换机预先备份防火墙卡上的三层转发表项的时机包括以下任一方式或其组合:
交换机在交换机和防火墙卡均进入正常工作状态时,对防火墙卡上的三层转发表项进行备份。
交换机在由备份交换机状态切换为主交换机状态时,对防火墙卡上的三层转发表项进行备份。
交换机在防火墙卡由备份防火墙状态切换为主防火墙状态时,对防火墙卡上的三层转发表项进行备份。
交换机在防火墙卡的三层转发表项发生变化时,对防火墙卡上的三层转发表项进行备份。该方法主要是说为了保证交换机上的备份能够与防火墙卡上的保持同步,如果防火墙卡的三层转发表项发生变化,交换机就要对防火墙卡上的三层转发表项进行备份。
交换机根据预设第二备份周期,对防火墙卡上的三层转发表项进行备份。该方法主要是说在防火墙正常工作时,会定期将防火墙卡中的相关信息备份到交换机上,即定期将防火墙卡中的有关信息同步到交换机的内存中。其中,对第二备份周期的具体数值不做限定。其中,第一备份周期和第二备份周期可以相同。
另外,在此说明,交换机对防火墙卡上的三层路由配置信息进行备份的操作和对防火墙卡上的三层转发表项进行备份的操作可以独立执行,也可以同时执行。
图2A为本发明另一实施例提供的转发路径切换方法的流程图。如图2A所示,本实施例的方法包括:
步骤201、交换机预先备份防火墙卡上的三层路由配置信息、防火墙卡上的三层转发表项和防火墙卡上的优雅重启(Graceful Restart;简称为:GR)信息。
其中,关于预先备份防火墙卡上的三层路由配置信息和防火墙卡上的三层转发表项的操作可参见前述实施例中的描述,在此不再赘述。
其中,GR主要是为了实现在协议的重新启动过程中数据转发不间断而提出的一种切换功能。例如,在热备环境中,主备实体的切换过程通过使用GR功能,可以网络拓扑保持稳定,维持转发表,保障数据转发不中断。
其中,不同路由协议下的GR过程不完全一样,但是都是由协议重启者(Restarter)和协议重启协助者(Helper)两种角色协作完成。Restarter和Helper互为协议邻居,Restarter执行协议重启,Helper协助Restarter完成协议重启。
在本实施例中,为了减少防火墙卡与交换机进行主备切换时造成数据转发中断的时间,防火墙卡上开启了GR功能。为了使用GR功能进行主备切换,交换机需要预先备份防火墙卡上的GR信息。所述GR信息主要包括:防火墙卡上参与三层转发的VLAN列表、防火墙卡的硬件MAC或者其它标识信息,以及发生GR时需要向哪些路由协议邻居通告怎样的GR启动的信息。当防火墙卡出现故障时须由交换机发出GR开始的通告,但是由于交换机上预先备份的防火墙卡上的三层路由配置信息没有生效,交换机无法获知需要发出哪些通告,因此这些通告需要由防火墙根据自己的配置提供给交换机。
其中,交换机对防火墙卡上的GR信息进行备份的方式可以是以下任意一种或其组合:交换机在交换机和防火墙卡均进入正常工作状态时,对防火墙卡上的GR信息进行备份。该方法主要是说在交换机和防火墙卡都刚刚进入正常工作状态,备份关系刚刚建立的时候,防火墙卡将其上的GR信息同步给交换机。
交换机在由备份交换机状态切换为主交换机状态时,对防火墙卡上的GR信息进行备份。该方法主要是说在交换机热备环境下,当主备交换机发生切换(即备份交换机接替成为主交换机)时,防火墙卡将其上的GR信息同步给新的主交换机,以使新的主交换机进行备份。
交换机在防火墙卡由备份防火墙状态切换为主防火墙状态时,对防火墙卡上的GR信息进行备份。该方法主要是说在防火墙卡热备环境下,当主备防火墙卡切换(即备份防火墙卡接替成为主防火墙卡)时,新的主防火墙卡将其上的GR信息同步给交换机,以使交换机进行备份。
交换机在防火墙卡的GR信息发生变化时,对防火墙卡上的GR信息进行备份。该方法主要是说在防火墙卡的GR信息发生改变时,防火墙卡将改变后的GR信息同步给交换机,以使交换机备份GR信息。
交换机根据预设第三备份周期,对防火墙卡上的GR信息进行备份。该方法主要是说在防火墙正常工作时,会定期将防火墙卡中的GR信息备份到交换机上,即定期将防火墙卡中的GR信息同步到交换机的内存中。其中,第一备份周期、第二备份周期和第三备份周期相互可以相同,也可以不同。
也就是说,在实际运行过程中,交换机可以在上述任何一种时机或事件的触发下对防火墙卡上的三层路由配置信息、三层转发表项和GR信息进行备份。
另外,交换机除了备份防火墙卡上的三层路由配置信息、三层转发表项和GR信息之外,对于实现交换机与防火墙卡之间的切换所需的其他信息也可以预先进行备份,且备份方法与上述备份防火墙卡上的三层路由配置信息、三层转发表项和GR信息的方法相类似。而对于一些与实现交换机与防火墙卡之间的切换无关的信息,可以不用在交换机上备份。例如,由于交换机本身不支持状态跟踪、过滤规则,因此防火墙卡上与此有关的配置信息可以不在交换机上进行备份。另外,由于防火墙和交换机有各自的用户界面,当转发路径切换至交换机后,用户将通过交换机自己的用户界面进行管理,交换机上无需用到防火墙的用户界面配置。
步骤202、交换机对嵌入交换机的防火墙卡的工作状态进行检测。
步骤203、交换机判断是否检测到防火墙卡故障;如果判断结果为是,执行步骤2041;如果判断结果为否,返回执行步骤202,即继续对防火墙卡的工作状态进行检测。
上述步骤202和步骤203可参见步骤101和步骤102的描述,在此不再赘述。
步骤2041、交换机根据预先备份的防火墙卡上的GR信息,向在交换机上重新启动的防火墙卡上的与三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息。
其中,交换机是GR功能的Restarter。交换机通告其所有协议邻居(即Helper),让协议邻居知道自己将要复位。所述协议邻居是指将要重启的路由协议的协议邻居。然后,GR开始,所有Helper对外保持原有的邻居关系和协议状态。交换机则保持原有的路由表和其它转发表不变,在交换机上进行防火墙卡上的路由协议的重启。
步骤2042、交换机将预先备份的防火墙卡上的三层路由配置信息生效。
该步骤主要是指交换机在其上加载防火墙卡上的三层接口、动态路由协议、静态路由协议、以及组播有关的配置等。
步骤2043、交换机将预先备份的防火墙卡上的三层转发表项下发到交换机的硬件表项中。
该步骤主要是指交换机将其内存中存储的防火墙卡上的三层转发表项下发到自己的硬件表项中,使防火墙卡上的路由协议所使用的三层转发表项在交换机上生效,以保证在路由协议完成重启并收敛之前由防火墙卡上切换到交换机上的路由协议下的数据能够被成功转发。
步骤2044、交换机在与三层路由配置信息对应的路由协议重新启动并收敛后,向在交换机上重新启动的防火墙卡上的与三层路由配置信息对应的路由协议的协议邻居发送GR结束的通告消息。
交换机在其上重新启动原来在防火墙卡上运行的路由协议后,这些路由协议会重新进行收敛,例如重新计算新的路由并会更新下发到交换机的硬件表中的三层转发表项等。当这些重新启动的路由协议收敛后,交换机就会恢复与所有协议邻居的关系,并且在交换机上重新启动的这些路由协议就会发出一个GR结束的通告消息,以告知所有协议邻居结束自己的GR状态。
至此,通过GR功能完成了交换机与发生故障的防火墙卡之间的切换,这样防火墙卡的功能就由交换机接替了,保证了用户数据流能够继续被转发。
由于防火墙卡是嵌入在交换机中的,对于路由邻居来说,上述切换过程不涉及到协议邻居的任何链路和表项的切换,不会造成整网拓扑振荡。通常,交换机的旁路切换可以在1秒内完成,假设默认的主动发现防火墙故障的周期为2秒,因此整个切换过程造成的断流时间是1~3秒,对网络的影响是很小的。在本实施例中,交换机与防火墙卡使用路由协议的GR机制减少了切换过程中的断流时间,有利于提高用户的体验度。
图2B为本发明再一实施例提供的转发路径切换方法的流程图。如图2B所示,该本实施方式包括:
步骤201a、交换机预先备份防火墙卡上的三层路由配置信息、防火墙卡上的三层转发表项和防火墙卡上的GR信息。
步骤202a、交换机对嵌入交换机的防火墙卡的工作状态进行检测。
步骤203a、交换机判断是否检测到防火墙卡故障;如果判断结果为是,执行步骤204a;如果判断结果为否,返回执行步骤202a,即继续对防火墙卡的工作状态进行检测。
上述步骤201a-步骤203a可参见步骤201-步骤203,不再赘述。
步骤204a、交换机通过与防火墙卡之间的带外管理通道,向防火墙卡发送故障通知消息,以使防火墙卡进行自我诊断或修复。
在本实施方式中,交换机检测到防火墙故障时,如果交换机与防火墙卡之间的带外管理通道还是连通的,交换机向防火墙卡发送故障通知消息。防火墙收到故障通知后自己进行相应的检查和修复。
另外,交换机也可以通过与防火墙卡之间的带外管理通道,向防火墙卡发送复位通知消息,直接将防火墙卡复位。
通过上述操作,可以使防火墙卡从故障中尽快恢复过来。
步骤204b、交换机根据预先备份的防火墙卡上的GR信息,向在交换机上重新启动的与三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息。
步骤204c、交换机将预先备份的防火墙卡上的三层路由配置信息生效。
步骤204d、交换机将预先备份的防火墙卡上的三层转发表项下发到交换机的硬件表项中。
步骤204b-步骤204d可参见步骤2041-步骤2043的描述,在此不再赘述。
步骤204e、交换机将预先备份的防火墙卡上的GR信息、防火墙卡上的三层路由配置信息和防火墙卡上的三层转发表项同步给作为交换机的热备份的交换机。
在本实施例中,假设交换机处于热备环境。在本实施例的交换机主要是指处于主交换机状态的交换机,该处于主交换机状态的交换机在与防火墙卡的切换过程中,需要将预先备份的防火墙卡上的三层路由配置信息、三层转发表项等有关信息同步给其备份交换机。其中,所述同步是指将上述有关信息发送给备份交换机,备份交换机将有关信息存储到其内存中,以保证发生主备交换机切换时切换前后信息的一致。
步骤204f、交换机在与三层路由配置信息对应的路由协议重新启动并收敛后,向在交换机上重新启动的防火墙卡上的与三层路由配置信息对应的路由协议的协议邻居发送GR结束的通告消息。
该步骤可参见步骤2044,在此不再赘述。
进一步,当防火墙卡处于热备环境中,即当交换机上同时存在两张防火墙卡,且两张防火墙卡互为热备关系。在防火墙卡热备环境中,交换机会同时检测处于主防火墙状态和处于备份防火墙状态的防火墙卡的工作状态。如果交换机检测到两张防火墙卡都出现故障,才判定防火墙卡发生故障,才将数据的转发工作切换到交换机上进行。如果一张防火墙卡故障时,则由另一张防火墙卡接替该防火墙卡继续工作。
在防火墙卡热备环境中,交换机使预先备份的防火墙卡上的三层路由配置信息生效,并将预先备份的防火墙卡上的三层转发表项下发到交换机的硬件表项中,以在交换机上重新启动防火墙卡上的与三层路由配置信息对应的路由协议并使重新启动后的路由协议收敛是指:交换机使预先备份的处于主防火墙状态的防火墙卡上的三层路由配置信息生效,并将预先备份的处于主防火墙状态的防火墙卡上的三层转发表项下发到交换机的硬件表项中,以在交换机上重新启动处于主防火墙状态的防火墙卡上的与三层路由配置信息对应的路由协议并使重新启动后的路由协议收敛。
图3为本发明又一实施例提供的转发路径切换方法的流程图。本实施例基于图2A所示方法实现,如图3所示,本实施例的方法在步骤2044之后还包括:
步骤205、交换机检测到防火墙卡恢复正常时,向在交换机上重新启动的防火墙上的与三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息,将交换机上预先备份的防火墙卡上的三层路由配置信息失效,并通告防火墙在交换机上重新启动的与三层路由配置信息对应的路由协议处于GR状态,以使与防火墙卡上的三层路由配置信息对应的路由协议在防火墙卡上再次启动并收敛后发出GR结束的通告消息。
步骤206、交换机接收防火墙卡发送的切换完成消息,所述切换完成消息是由防火墙卡在与防火墙卡上的三层路由配置信息对应的路由协议收敛完成后发送的。
在本实施例中,交换机在接替防火墙卡进行转发工作后,还会继续检测防火墙卡的工作状态,当检测到防火墙卡恢复正常时,需要将数据转发工作重新切换给防火墙卡。
该切换回防火墙卡的过程主要包括:交换机通过自身运行的路由协议(该路由协议是指原来运行在防火墙卡上的路由协议)向所有协议邻居发送GR开始的通告。交换机将自己从防火墙卡同步过来的路由协议关闭,即使预先备份的防火墙卡上的三层路由配置信息失效,并通告防火墙卡运行在交换机上的路由协议(即原来在防火墙卡上运行的路由协议)已处于GR状态。其中,防火墙卡恢复正常后,会自动重新启动其上的路由协议并使这些路由协议收敛。交换机通告防火墙卡在交换机上重新启动的防火墙卡原来运行的路由协议处于GR状态是为了使防火墙卡在与防火墙卡上的三层配置信息对应的路由协议在防火墙卡上再次启动并收敛完成后向交换机发送切换完成消息,即使防火墙卡通知交换机切换完成。其中,在防火墙卡上再次启动的各路由协议在收敛后会发出GR结束的通告消息,防火墙卡根据路由协议发出的GR结束的通告,判断是否其上运行的所有路由协议都已经GR完成;在所有路由协议都GR完成后,通告交换机切换已完成。交换机收到切换完成的通告后将之前从防火墙卡载入的相关配置信息删除。如果交换机处于热备环境中,交换机还要将有关信息(如步骤204e中同步给备份交换机的信息)从备份交换机中删除或移除。至此,数据转发的工作又重新切换回到防火墙卡上。接下来,交换机和防火墙卡又会重新开始旁路备份,即交换机在适当的时机重新对防火墙卡上的三层路由配置信息、三层转发表项、以及GR信息等进行备份,以备防火墙卡再次发生故障时进行旁路切换。
其中,交换机检测防火墙卡是否恢复正常的操作包括:交换机检测防火墙卡是否处于在线状态。交换机检测防火墙卡与交换机连接的接口中是否至少存在一个处于连接(link-up)状态。交换机向防火墙卡发送检测报文,并判断是否接收到防火墙卡返回的检测报文。如果交换机检测到防火墙卡处于在线状态,且检测防火墙卡与交换机连接的接口中至少存在一个处于link-up状态,同时接收到了防火墙卡返回的检测报文,判定检测到防火墙卡恢复正常。对于其他检测结果,交换机会判为防火墙卡仍处于故障状态。
本实施例描述了在防火墙卡与交换机完成切换后,发现防火墙卡恢复正常时,将数据转发工作切换回防火墙卡的切换流程。但是,在实际应用过程中,防火墙卡在与交换机的切换过程中也可能会恢复正常。基于此,交换机在检测到防火墙卡由故障恢复正常时,需要判断是否已经完成了与防火墙卡的切换,即交换机判断是否已经完成使预先备份的防火墙卡上的三层路由配置信息生效,以在交换机上重新启动防火墙卡上的与三层路由配置信息对应的路由协议的操作。如果判断结果为是,则交换机在检测到防火墙卡由故障恢复正常时,直接执行步骤205以及步骤206;如果判断结果为否,则交换机需要等待完成使预先备份的防火墙卡上的三层路由配置信息生效,以在交换机上重新启动防火墙卡上的与三层路由配置信息对应的路由协议的操作(即等待完成与防火墙卡的切换)后,再执行步骤205及步骤206,将数据转发工作重新切换到防火墙卡上。
上述实施例提供了一种防火墙卡与交换机之间网络层功能的备份机制,实现了在交换机上为防火墙卡提供旁路的功能。其中,在交换机上预先备份防火墙卡上的有关信息的方案不会对交换机产生负面的影响,并且基于配置信息的备份也易于实现软件版本的向前兼容。当防火墙卡出现故障时,防火墙卡的功能可由交换机接替,当防火墙卡恢复正常时,可将防火墙卡的功能切换回防火墙卡,解决了防火墙卡发生故障导致的数据流中断问题。另外,使用GR机制进行防火墙卡与交换机之间的切换,加速了路由协议重启和收敛的速度,从而实现业务的快速切换。再者,本发明实施例提供的转发路径切换方法不仅适用于单一交换机、单一防火墙卡的环境,对于交换机热备和/或防火墙卡热备的环境也适用,同时对于多交换机备份和/或多防火墙备份的场景也都适用,具有很强的灵活性和适应性。
图4A为本发明一实施例提供的转发路径切换装置的结构示意图。如图4A所示,本实施例的装置包括:检测模块41和协议重启模块42。
其中,检测模块41,用于对嵌入该转发路径切换装置的防火墙卡的工作状态进行检测。协议重启模块42,与检测模块41连接,用于在检测模块41检测到防火墙卡发生故障时,使预先备份的防火墙卡上的三层路由配置信息生效,以在转发路径切换装置上重新启动防火墙卡上的与三层路由配置信息对应的路由协议。
本实施例转发路径切换装置的各功能模块可用于执行图1所示转发路径切换方法的流程图,其具体工作原理不再赘述,详见方法实施例的描述。
本实施例的转发路径切换装置可以是允许嵌入防火墙卡的交换机,例如箱式交换机。
本实施例的转发路径切换装置,通过预先备份防火墙卡上的三层路由配置信息,在检测到防火墙卡发生故障时,使预先备份的防火墙卡上的三层路由配置信息生效,使得防火墙卡上的路由协议在转发路径切换装置上重新开启并进行收敛,在转发路径切换装置上实现对防火墙卡的旁路,使得数据流能够继续通过转发路径切换装置进行转发,解决了防火墙卡工作在路由模式下发生故障导致数据流中断的问题,使用户能够继续使用防火墙卡外面的网络资源。
图4B为本发明另一实施例提供的转发路径切换装置的结构示意图。本实施例基于图4A所示实施例实现,如图4B所示,本实施例的转发路径切换装置还包括:第一备份模块43。
第一备份模块43,与协议重启模块42连接,用于在转发路径切换装置和防火墙卡均进入正常工作状态时,或者在转发路径切换装置由备份转发路径切换装置状态切换为主转发路径切换装置状态时,或者在防火墙卡由备份防火墙状态切换为主防火墙状态时,或者在防火墙卡的三层路由配置信息发生变化时,或者根据预设第一备份周期,对防火墙卡上的三层路由配置信息进行备份,为协议重启模块42提供备份的防火墙卡上的三层路由配置信息。
本实施例的检测模块41具体用于检测所述防火墙卡是否被移除,当检测到所述防火墙卡被移除时,判定防火墙卡发生故障;或者具体用于检测防火墙卡与转发路径切换装置连接的接口是否全部断开连接,当检测到防火墙卡与转发路径切换装置连接的接口全部断开连接时,判定防火墙卡发生故障;或者具体用于定期向防火墙卡发送检测报文,如果在预设时间内未接收到防火墙卡返回的检测报文,判定防火墙卡发生故障,所述检测报文的源IP地址和目的IP地址为预先配置在转发路径切换装置上的IP地址。
进一步,本实施例的协议重启模块42还用于在使预先备份的防火墙卡上的三层路由配置信息生效,以在转发路径切换装置上重新启动防火墙卡上的与三层路由配置信息对应的路由协议时,将预先备份的防火墙卡上的三层转发表项下发到转发路径切换装置的硬件表项中。
基于上述,本实施例的转发路径切换装置还包括:第二备份模块44。该第二备份模块44,与协议重启模块42连接,用于在转发路径切换装置和防火墙卡均进入正常工作状态时,或者在转发路径切换装置由备份转发路径切换装置状态切换为主转发路径切换装置状态时,或者在防火墙卡由备份防火墙状态切换为主防火墙状态时,或者在防火墙卡的三层转发表项发生变化时,或者根据预设第二备份周期,对防火墙卡上的三层转发表项进行备份,以向协议重启模块42提供防火墙卡的三层转发表项。
基于上述,本实施例的转发路径切换装置包括:开始消息发送模块421和结束消息发送模块424。
其中,开始消息发送模块421,与协议重启模块42连接,用于在协议重启模块42使预先备份的防火墙卡上的三层路由配置信息生效,以在转发路径切换装置上重新启动防火墙卡上的与三层路由配置信息对应的路由协议,并将预先备份的防火墙卡上的三层转发表项下发到转发路径切换装置的硬件表项中之前,根据预先备份的防火墙卡上的GR信息,向在转发路径切换装置上重新启动的防火墙卡上的与三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息。
结束消息发送模块424,与协议重启模块42连接,用于在协议重启模块42使预先备份的防火墙卡上的三层路由配置信息生效,以在转发路径切换装置上重新启动防火墙卡上的与三层路由配置信息对应的路由协议,并将预先备份的防火墙卡上的三层转发表项下发到转发路径切换装置的硬件表项中之后,在转发路径切换装置上重新启动的防火墙卡上的与三层路由配置信息对应的路由协议重新启动并收敛后,向在转发路径切换装置上重新启动的防火墙卡上的与三层路由配置信息对应的路由协议的协议邻居发送GR结束的通告消息。
基于上述,本实施例的转发路径切换装置还包括:第三备份模块45。该第三备份模块45,与开始消息发送模块421连接,用于在转发路径切换装置和防火墙卡均进入正常工作状态时,或者在转发路径切换装置由备份转发路径切换装置状态切换为主转发路径切换装置状态时,或者在防火墙卡由备份防火墙状态切换为主防火墙状态时,或者在防火墙卡的GR信息发生变化时,或者根据预设第三备份周期,对防火墙卡上的GR信息进行备份,以向开始消息发送模块421提供防火墙卡上的GR消息。
进一步,本实施例的转发路径切换装置还包括:通告模块46。该通告模块46,与检测模块41连接,用于在检测模块41检测到防火墙卡发生故障时,通过与防火墙卡之间的带外管理通道,向防火墙卡发送故障通知消息,以使防火墙卡进行自我诊断或修复;或者通过与防火墙卡之间的带外管理通道,向防火墙卡发送复位通知消息,以将防火墙卡复位。
本实施例的转发路径切换装置还包括:同步模块47。该同步模块47,与结束消息发送模块424连接,用于在结束消息发送模块424发送GR结束的通告消息之前,将预先备份的防火墙卡上的GR信息、防火墙卡上的三层路由配置信息和防火墙卡上的三层转发表项同步给作为转发路径切换装置的热备份的转发路径切换装置。
本实施例的转发路径切换装置还包括:协议关闭模块48和完成消息接收模块49。
其中,协议关闭模块48,与检测模块41连接,用于在检测模块41检测到防火墙卡恢复正常时,向在转发路径切换装置上重新启动的防火墙卡上的与三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息,将转发路径切换装置上预先备份的防火墙卡上的三层路由配置信息失效,并通告防火墙卡在转发路径切换装置上重新启动的防火墙卡上的与防火墙卡上的三层路由配置信息对应的路由协议处于GR状态,以使与防火墙卡上的三层路由配置信息对应的路由协议在防火墙上再次启动并收敛后发出GR结束的通告消息。
完成消息接收模块49,与协议关闭模块48连接,用于在协议关闭模块48通告防火墙卡在转发路径切换装置上重新启动的防火墙卡上的与防火墙卡上的三层路由配置信息对应的路由协议处于GR状态之后,接收防火墙卡发送的切换完成消息,所述切换完成消息是由防火墙卡在与防火墙卡上的三层路由配置信息对应的路由协议收敛完成后发送的。
其中,检测模块41具体用于在检测到防火墙卡处于在线状态,且检测防火墙卡与转发路径切换装置连接的接口中至少存在一个处于连接状态,同时接收到了防火墙卡返回的检测报文时,判定检测到防火墙卡恢复正常。
更进一步,本实施例的转发路径切换装置还包括:判断模块50。
判断模块50,与检测模块41、协议重启模块42和协议关闭模块48连接,用于在检测模块41检测到防火墙卡恢复正常时,判断协议重启模块42是否已经完成使预先备份的防火墙卡上的三层路由配置信息生效,以在转发路径切换装置上重新启动防火墙卡上的与三层路由配置信息对应的路由协议的操作;并在判断结果为是时,触发协议关闭模块48直接执行向在转发路径切换装置上重新启动的防火墙卡上的与三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息,将转发路径切换装置上预先备份的防火墙卡上的三层路由配置信息失效,并通告防火墙卡在转发路径切换装置上重新启动的防火墙卡上的与三层路由配置信息对应的路由协议处于GR状态,以使与防火墙卡上的三层路由配置信息对应的路由协议在防火墙卡上再次启动并收敛后发出GR结束的通告消息的操作;并在判断结果为否时,等待协议重启模块42完成使预先备份的防火墙卡上的三层路由配置信息生效,以在转发路径切换装置上重新启动防火墙卡上的与三层路由配置信息对应的路由协议的操作后,触发协议关闭模块48直接执行向在转发路径切换装置上重新启动的所防火墙卡上的与三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息,将转发路径切换装置上预先备份的防火墙卡上的三层路由配置信息失效,并通告防火墙卡在转发路径切换装置上重新启动的防火墙卡上的与三层路由配置信息对应的路由协议处于GR状态,以使与防火墙卡上的三层路由配置信息对应的路由协议在防火墙卡上再次启动并收敛后发出GR结束的通告消息的操作。
更进一步,本实施例的检测模块41具体用于同时检测处于主防火墙状态和处于备份防火墙状态的防火墙卡的工作状态,并在检测到处于主防火墙状态和处于备份防火墙状态的防火墙卡均发生故障时,判定防火墙卡发生故障。
协议重启模块42具体用于使预先备份的处于主防火墙状态的防火墙卡上的三层路由配置信息生效,以在转发路径切换装置上重新启动处于主防火墙状态的防火墙卡上的与三层路由配置信息对应的路由协议。
上述各功能模块或单元可用于执行图2A-图3所示实施例中的相应流程,其具体工作原理不再赘述,详见方法实施例的描述。
本实施例的转发路径切换装置实现了与防火墙卡之间的网络层功能的备份机制,实现了在转发路径切换装置上为防火墙卡提供旁路的功能。其中,在转发路径切换装置上预先备份防火墙卡上的有关信息的方案不会对转发路径切换装置产生负面的影响,并且基于配置信息的备份也易于实现软件版本的向前兼容。当防火墙卡出现故障时,防火墙卡的功能可由转发路径切换装置接替,当防火墙卡恢复正常时,可将防火墙卡的功能切换回防火墙卡,解决了防火墙卡发生故障导致的数据流中断问题。另外,本实施例的转发路径切换装置使用GR机制进行防火墙卡与转发路径切换装置之间的切换,加速了路由协议重启和收敛的速度,从而实现业务的快速切换。再者,本实施例的转发路径切换装置不仅适用于单一转发路径切换装置、单一防火墙卡的环境,对于转发路径切换装置热备和/或防火墙卡热备的环境也适用,同时对于多转发路径切换装置备份和/或多防火墙备份的场景也都适用,具有很强的灵活性和适应性。
本发明一实施例提供一种网络设备,包括转发路径切换装置。其中转发路径切换装置为本发明上述实施例提供的转发路径切换装置,其结构可参见图4A和图4B所示,其工作原理可参见图1-图3所示方法实施例,在此均不在赘述。
本实施例的网络设备可以是允许嵌入防火墙卡的各种设备,例如箱式交换机。
本实施例的网络设备包括本发明提供的转发路径切换装置,同样实现了对防火墙卡的旁路,使得数据流能够继续通过网络设备进行转发,解决了防火墙卡工作在路由模式下发生故障导致数据流中断的问题,使用户能够继续使用防火墙卡外面的网络资源。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (15)
1.一种转发路径切换方法,其特征在于,包括:
交换机对嵌入所述交换机的防火墙卡的工作状态进行检测;
如果所述交换机检测到所述防火墙卡发生故障,所述交换机使预先备份的所述防火墙卡上的三层路由配置信息生效,以在所述交换机上重新启动所述防火墙卡上的与所述三层路由配置信息对应的路由协议。
2.根据权利要求1所述的转发路径切换方法,其特征在于,还包括:
所述交换机使预先备份的所述防火墙卡上的三层路由配置信息生效,以在所述交换机上重新启动所述防火墙卡上的与所述三层路由配置信息对应的路由协议时,将预先备份的所述防火墙卡上的三层转发表项下发到所述交换机的硬件表项中。
3.根据权利要求2所述的转发路径切换方法,其特征在于,所述交换机使预先备份的所述防火墙卡上的三层路由配置信息生效,以在所述交换机上重新启动所述防火墙卡上的与所述三层路由配置信息对应的路由协议时,将预先备份的所述防火墙卡上的三层转发表项下发到所述交换机的硬件表项中之前包括:
所述交换机根据预先备份的所述防火墙卡上的优雅重启GR信息,向在所述交换机上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息;
所述交换机使预先备份的所述防火墙卡上的三层路由配置信息生效,以在所述交换机上重新启动所述防火墙卡上的与所述三层路由配置信息对应的路由协议时,将预先备份的所述防火墙卡上的三层转发表项下发到所述交换机的硬件表项中之后包括:所述交换机在所述交换机上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议重新启动并收敛后,向在所述交换机上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议的协议邻居发送GR结束的通告消息。
4.根据权利要求1所述的转发路径切换方法,其特征在于,还包括:
如果所述交换机检测到所述防火墙卡发生故障,所述交换机通过与所述防火墙卡之间的带外管理通道,向所述防火墙卡发送故障通知消息,以使所述防火墙卡进行自我诊断或修复;或者
所述交换机通过与所述防火墙卡之间的带外管理通道,向所述防火墙卡发送复位通知消息,以将所述防火墙卡复位。
5.根据权利要求3所述的转发路径切换方法,其特征在于,还包括:
所述交换机检测到所述防火墙卡恢复正常时,向在所述交换机上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息,将所述交换机上预先备份的所述防火墙卡上的三层路由配置信息失效,并通告所述防火墙卡在所述交换机上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议处于GR状态,以使与所述防火墙卡上的三层路由配置信息对应的路由协议在所述防火墙上再次启动并收敛后发出GR结束的通告消息;
所述交换机接收所述防火墙卡发送的切换完成消息,所述切换完成消息是由所述防火墙卡在与所述防火墙卡上的三层路由配置信息对应的路由协议收敛完成后发送的。
6.根据权利要求5所述的转发路径切换方法,其特征在于,所述交换机检测到所述防火墙卡恢复正常时,在向所有在所述交换机上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息,将所述交换机上预先备份的所述防火墙卡上的三层路由配置信息失效,并通告所述防火墙卡在所述交换机上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议处于GR状态,以使与所述防火墙卡上的三层路由配置信息对应的路由协议在所述防火墙上再次启动并收敛后发出GR结束的通告消息之前包括:
所述交换机在检测到所述防火墙卡恢复正常时,判断是否已经完成使预先备份的所述防火墙卡上的三层路由配置信息生效,以在所述交换机上重新启动所述防火墙卡上的与所述三层路由配置信息对应的路由协议的操作;
如果判断结果为是,所述交换机直接执行向所有在所述交换机上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息,将所述交换机上预先备份的所述防火墙卡上的三层路由配置信息失效,并通告所述防火墙卡在所述交换机上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议处于GR状态,以使与所述防火墙卡上的三层路由配置信息对应的路由协议在所述防火墙卡上再次启动并收敛后发出GR结束的通告消息的操作;
如果判断结果为否,所述交换机等待完成使预先备份的所述防火墙卡上的三层路由配置信息生效,以在所述交换机上重新启动所述防火墙卡上的与所述三层路由配置信息对应的路由协议的操作后,执行向所有在所述交换机上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息,将所述交换机上预先备份的所述防火墙卡上的三层路由配置信息失效,并通告所述防火墙卡在所述交换机上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议处于GR状态,以使与所述防火墙卡上的三层路由配置信息对应的路由协议在所述防火墙卡上再次启动并收敛后发出GR结束的通告消息的操作。
7.根据权利要求1-6任一项所述的转发路径切换方法,其特征在于,所述交换机对嵌入所述交换机的防火墙卡的工作状态进行检测包括:
所述交换机同时检测处于主防火墙状态和处于备份防火墙状态的防火墙卡的工作状态;
如果检测到处于主防火墙状态和处于备份防火墙状态的防火墙卡均发生故障时,判定所述防火墙卡发生故障;
所述交换机使预先备份的所述防火墙卡上的三层路由配置信息生效,以在所述交换机上重新启动所述防火墙卡上的与所述三层路由配置信息对应的路由协议包括:
所述交换机使预先备份的处于主防火墙状态的所述防火墙卡上的三层路由配置信息生效,以在所述交换机上重新启动处于主防火墙状态的所述防火墙卡上的与所述三层路由配置信息对应的路由协议。
8.一种转发路径切换装置,其特征在于,包括:
检测模块,用于对嵌入所述转发路径切换装置的防火墙卡的工作状态进行检测;
协议重启模块,用于在所述检测模块检测到所述防火墙卡发生故障时,使预先备份的所述防火墙卡上的三层路由配置信息生效,以在所述转发路径切换装置上重新启动所述防火墙卡上的与所述三层路由配置信息对应的路由协议。
9.根据权利要求8所述的转发路径切换装置,其特征在于,所述协议重启模块还用于在使预先备份的所述防火墙卡上的三层路由配置信息生效,以在所述转发路径切换装置上重新启动所述防火墙卡上的与所述三层路由配置信息对应的路由协议时,将预先备份的所述防火墙卡上的三层转发表项下发到所述转发路径切换装置的硬件表项中。
10.根据权利要求9所述的转发路径切换装置,其特征在于,还包括:
开始消息发送模块,用于根据预先备份的所述防火墙卡上的优雅重启GR信息,向在所述转发路径切换装置上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息;
结束消息发送模块,用于在所述转发路径切换装置上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议重新启动并收敛后,向在所述转发路径切换装置上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议的协议邻居发送GR结束的通告消息。
11.根据权利要求8所述的转发路径切换装置,其特征在于,还包括:
通告模块,用于在所述检测模块检测到所述防火墙卡发生故障时,通过与所述防火墙卡之间的带外管理通道,向所述防火墙卡发送故障通知消息,以使所述防火墙卡进行自我诊断或修复;或者通过与所述防火墙卡之间的带外管理通道,向所述防火墙卡发送复位通知消息,以将所述防火墙卡复位。
12.根据权利要求10所述的转发路径切换装置,其特征在于,还包括:
协议关闭模块,用于在所述检测模块检测到所述防火墙卡恢复正常时,向在所述转发路径切换装置上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息,将所述转发路径切换装置上预先备份的所述防火墙卡上的三层路由配置信息失效,并通告所述防火墙卡在所述转发路径切换装置上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议处于GR状态,以使与所述防火墙卡上的三层路由配置信息对应的路由协议在所述防火墙上再次启动并收敛后发出GR结束的通告消息;
完成消息接收模块,用于接收所述防火墙卡发送的切换完成消息,所述切换完成消息是由所述防火墙卡在与所述防火墙卡上的三层路由配置信息对应的路由协议收敛完成后发送的。
13.根据权利要求12所述的转发路径切换装置,其特征在于,还包括:
判断模块,用于在检测到所述防火墙卡恢复正常时,判断所述协议重启模块是否已经完成使预先备份的所述防火墙卡上的三层路由配置信息生效,以在所述转发路径切换装置上重新启动所述防火墙卡上的与所述三层路由配置信息对应的路由协议的操作,并在判断结果为是时,触发所述协议关闭模块直接执行向在所述转发路径切换装置上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息,将所述转发路径切换装置上预先备份的所述防火墙卡上的三层路由配置信息失效,并通告所述防火墙卡在所述转发路径切换装置上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议处于GR状态,以使与所述防火墙卡上的三层路由配置信息对应的路由协议在所述防火墙卡上再次启动并收敛后发出GR结束的通告消息的操作;并在判断结果为否时,等待所述协议重启模块完成使预先备份的所述防火墙卡上的三层路由配置信息生效,以在所述转发路径切换装置上重新启动所述防火墙卡上的与所述三层路由配置信息对应的路由协议的操作后,触发所述协议关闭模块直接执行向在所述转发路径切换装置上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议的协议邻居发送GR开始的通告消息,将所述转发路径切换装置上预先备份的所述防火墙卡上的三层路由配置信息失效,并通告所述防火墙卡在所述转发路径切换装置上重新启动的所述防火墙卡上的与所述三层路由配置信息对应的路由协议处于GR状态,以使与所述防火墙卡上的三层路由配置信息对应的路由协议在所述防火墙卡上再次启动并收敛后发出GR结束的通告消息的操作。
14.根据权利要求8-13任一项所述的转发路径切换装置,其特征在于,所述检测模块具体用于同时检测处于主防火墙状态和处于备份防火墙状态的防火墙卡的工作状态,并在检测到处于主防火墙状态和处于备份防火墙状态的防火墙卡均发生故障时,判定所述防火墙卡发生故障;
所述协议重启模块具体用于使预先备份的处于主防火墙状态的所述防火墙卡上的三层路由配置信息生效,以在所述转发路径切换装置上重新启动处于主防火墙状态的所述防火墙卡上的与所述三层路由配置信息对应的路由协议。
15.一种网络设备,其特征在于,包括权利要求8-14任一项所述的转发路径切换装置的网络设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110421299.4A CN102420767B (zh) | 2011-12-15 | 2011-12-15 | 转发路径切换方法、装置及网络设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110421299.4A CN102420767B (zh) | 2011-12-15 | 2011-12-15 | 转发路径切换方法、装置及网络设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102420767A true CN102420767A (zh) | 2012-04-18 |
CN102420767B CN102420767B (zh) | 2014-07-02 |
Family
ID=45945007
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110421299.4A Active CN102420767B (zh) | 2011-12-15 | 2011-12-15 | 转发路径切换方法、装置及网络设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102420767B (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102957607A (zh) * | 2012-11-06 | 2013-03-06 | 华为技术有限公司 | 一种链路切换方法及相关装置、系统 |
CN103036801A (zh) * | 2012-12-18 | 2013-04-10 | 网神信息技术(北京)股份有限公司 | 数据包的处理方法及装置 |
CN103401779A (zh) * | 2013-07-15 | 2013-11-20 | 福建星网锐捷网络有限公司 | 报文转发路径切换方法、装置及网络设备 |
CN107347032A (zh) * | 2016-05-05 | 2017-11-14 | 中兴通讯股份有限公司 | 报文转发方法及装置 |
CN109076071A (zh) * | 2016-04-11 | 2018-12-21 | 西门子股份公司 | 用于检查至少一个防火墙装置的设备和用于保护至少一个数据接收器的方法 |
CN110138656A (zh) * | 2019-05-28 | 2019-08-16 | 新华三技术有限公司 | 业务处理方法及装置 |
CN111061521A (zh) * | 2019-12-13 | 2020-04-24 | 恒为科技(上海)股份有限公司 | 一种启动设备的方法及系统 |
CN114301842A (zh) * | 2021-12-30 | 2022-04-08 | 山石网科通信技术股份有限公司 | 路由查找方法及装置、存储介质和处理器、网络系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1848841A (zh) * | 2005-04-05 | 2006-10-18 | 华为技术有限公司 | 路由设备备份方法 |
US20070153765A1 (en) * | 2005-11-30 | 2007-07-05 | Huawei Technologies Co., Ltd. | Method for Managing Virtual Router Redundancy Protocol Backup Groups |
CN101257490A (zh) * | 2008-02-03 | 2008-09-03 | 杭州华三通信技术有限公司 | 一种防火墙旁路模式下的报文处理方法和系统 |
CN101651680A (zh) * | 2009-09-14 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种网络安全部署方法和一种网络安全设备 |
CN101984600A (zh) * | 2010-11-05 | 2011-03-09 | 华为技术有限公司 | 路由协议的优雅重启方法、设备和系统 |
-
2011
- 2011-12-15 CN CN201110421299.4A patent/CN102420767B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1848841A (zh) * | 2005-04-05 | 2006-10-18 | 华为技术有限公司 | 路由设备备份方法 |
US20070153765A1 (en) * | 2005-11-30 | 2007-07-05 | Huawei Technologies Co., Ltd. | Method for Managing Virtual Router Redundancy Protocol Backup Groups |
CN101257490A (zh) * | 2008-02-03 | 2008-09-03 | 杭州华三通信技术有限公司 | 一种防火墙旁路模式下的报文处理方法和系统 |
CN101651680A (zh) * | 2009-09-14 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种网络安全部署方法和一种网络安全设备 |
CN101984600A (zh) * | 2010-11-05 | 2011-03-09 | 华为技术有限公司 | 路由协议的优雅重启方法、设备和系统 |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102957607A (zh) * | 2012-11-06 | 2013-03-06 | 华为技术有限公司 | 一种链路切换方法及相关装置、系统 |
CN103036801A (zh) * | 2012-12-18 | 2013-04-10 | 网神信息技术(北京)股份有限公司 | 数据包的处理方法及装置 |
CN103036801B (zh) * | 2012-12-18 | 2019-06-14 | 网神信息技术(北京)股份有限公司 | 数据包的处理方法及装置 |
CN103401779A (zh) * | 2013-07-15 | 2013-11-20 | 福建星网锐捷网络有限公司 | 报文转发路径切换方法、装置及网络设备 |
CN103401779B (zh) * | 2013-07-15 | 2016-12-28 | 福建星网锐捷网络有限公司 | 报文转发路径切换方法、装置及网络设备 |
CN109076071B (zh) * | 2016-04-11 | 2021-10-12 | 西门子股份公司 | 用于检查至少一个防火墙装置的设备和用于保护至少一个数据接收器的方法 |
CN109076071A (zh) * | 2016-04-11 | 2018-12-21 | 西门子股份公司 | 用于检查至少一个防火墙装置的设备和用于保护至少一个数据接收器的方法 |
US11044231B2 (en) | 2016-04-11 | 2021-06-22 | Siemens Aktiengesellschaft | Assembly for checking at least one firewall device, and method for protecting at least one data receiver |
CN107347032B (zh) * | 2016-05-05 | 2019-09-10 | 中兴通讯股份有限公司 | 报文转发方法及装置 |
CN107347032A (zh) * | 2016-05-05 | 2017-11-14 | 中兴通讯股份有限公司 | 报文转发方法及装置 |
CN110138656A (zh) * | 2019-05-28 | 2019-08-16 | 新华三技术有限公司 | 业务处理方法及装置 |
CN110138656B (zh) * | 2019-05-28 | 2022-03-01 | 新华三技术有限公司 | 业务处理方法及装置 |
CN111061521A (zh) * | 2019-12-13 | 2020-04-24 | 恒为科技(上海)股份有限公司 | 一种启动设备的方法及系统 |
CN111061521B (zh) * | 2019-12-13 | 2023-06-09 | 恒为科技(上海)股份有限公司 | 一种启动设备的方法及系统 |
CN114301842A (zh) * | 2021-12-30 | 2022-04-08 | 山石网科通信技术股份有限公司 | 路由查找方法及装置、存储介质和处理器、网络系统 |
CN114301842B (zh) * | 2021-12-30 | 2024-03-15 | 山石网科通信技术股份有限公司 | 路由查找方法及装置、存储介质和处理器、网络系统 |
Also Published As
Publication number | Publication date |
---|---|
CN102420767B (zh) | 2014-07-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102420767B (zh) | 转发路径切换方法、装置及网络设备 | |
CN101558609B (zh) | 一种环保护方法、装置及系统 | |
CN100571180C (zh) | 保障以太环网在传输节点故障时可靠运行的方法及装置 | |
CN101232428B (zh) | 一种以太网环保护方法及装置 | |
CN102081540B (zh) | 一种分布式双主控网络设备软件升级方法和装置 | |
CN100596356C (zh) | 网络节点及其所在以太环网的故障恢复方法 | |
CN107911291B (zh) | Vrrp路由器切换方法、路由器、vrrp主备切换系统及存储介质 | |
CN101557313B (zh) | 一种电信级宽带接入设备上联板卡保护的方法 | |
US8699380B2 (en) | Port table flushing in ethernet networks | |
CN101431428B (zh) | 安全监控服务恢复方法及系统 | |
JP4628945B2 (ja) | レイヤ2ネットワーク | |
CN102232279A (zh) | 以太网中环路位置检测的方法及以太网交换设备 | |
US20110305245A1 (en) | Network switch | |
CN101436975B (zh) | 一种在环网中实现快速收敛的方法、装置及系统 | |
CN101677267A (zh) | 一种跨环转发协议帧的方法及以太网多环中的共享节点 | |
CN1825832B (zh) | 快速环生成树协议 | |
CN102647304A (zh) | 地址解析协议表的同步方法及装置 | |
CN102420737B (zh) | 一种处理mrp环网中的故障的方法和mrp环网 | |
CN108337159B (zh) | 端口操作控制方法及装置 | |
JP4405941B2 (ja) | 回線冗長化方法およびこれに用いる中継装置 | |
CN117459482B (zh) | 交换机的重启方法和装置、存储介质及电子装置 | |
CN102957588A (zh) | 防止广播风暴的环网保护实现方法及系统 | |
CN109445975B (zh) | 异常处理方法、逻辑装置及成员设备 | |
CN101425952B (zh) | 保障以太环网可靠运行的方法及装置 | |
CN101702684B (zh) | 一种实现以太环网地址转发表刷新的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |