CN102904818B - 一种arp信息表项更新方法及装置 - Google Patents
一种arp信息表项更新方法及装置 Download PDFInfo
- Publication number
- CN102904818B CN102904818B CN201210374551.5A CN201210374551A CN102904818B CN 102904818 B CN102904818 B CN 102904818B CN 201210374551 A CN201210374551 A CN 201210374551A CN 102904818 B CN102904818 B CN 102904818B
- Authority
- CN
- China
- Prior art keywords
- line card
- server
- arp
- firewall line
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种地址解析协议ARP信息表项更新方法及装置,该方法包括:当前的主用防火墙线卡处于正常工作状态时,监听虚拟路由冗余协议VRRP网关发来的ARP信息报文并同步给当前的备用防火墙线卡;在判断出当前的主用防火墙线卡处于异常工作状态时,当前的备用防火墙线卡切换为新的主用防火墙线卡,并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文;以及在接收到服务器响应的ARP应答单播报文后,根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。采用上述技术方案,能够较好地提高防火墙线卡发生热备切换后,外部网络访问局域网内服务器时的访问成功率。
Description
技术领域
本发明涉及二层防火墙的组网技术领域,尤其是涉及一种地址解析协议(ARP,AddressResolutionProtocol)信息表项更新方法及装置。
背景技术
随着传输控制协议/因特网互联协议(TCP/IP,TransimissionControlProtocol/InternetProtocol)网络的广泛应用,对网络可靠性方面的要求越来越高。其中在路由器和/或交换机等基础网络设备中集成嵌入防火墙线卡模块,实现网络和安全保护的高度一体化,已经得到越来越广泛的应用。
其中,使用防火墙线卡用于局域网内服务器安全保护的可靠性组网方案具体如图1所示,首先,两台网络设备通过虚拟路由冗余协议(VRRP,VirtualRouterRedundancyProtocol)组成一台虚拟路由设备,作为局域网内各服务器的冗余备份缺省网关。VRRP主用设备定时向VRRP备用设备发送VRRP组播协议报文通告该主设备的工作状态,当主设备出现故障时,备用设备能够及时接替工作,从而保证各服务器业务应用的连续性。其次,在两台网络设备中分别嵌入一块集成防火墙线卡工作在桥组跨虚拟局域网(VLAN,VirtualLocalAreaNetwork)转发模式,串接在网络设备和各服务器之间做二层桥组转发,两块防火墙线卡之间形成双机热备关系,双机热备技术具体又可分为主备模式(Active-Standby)和主主模式(Active-Active)。
防火墙线卡的桥组跨VLAN二层转发,是指由数据链路层来完成不同VLAN间的通信。具体如图1所示:工作在主备模式的二层桥组转发应用下的防火墙线卡配置同一桥组内转发接口包含VLAN1和VLAN11,则当防火墙线卡从网络设备收到VLAN1标识的报文时,会将其修改为VLAN11标识的报文再转发给网络设备;反之当防火墙线卡从网络设备收到VLAN11标识的报文时,则将其修改为VLAN1标识的报文再转发给网络设备。
上述组网方案中,通过网络设备间的虚拟路由冗余协议VRRP以及防火墙间的双机热备技术,实现了局域网内关键节点的冗余保护。当VRRP主设备出现故障时,由VRRP备设备及时接替工作。当两块防火墙工作在主备模式时,VRRP主设备通告的协议报文通过两台网络设备的聚合(Trunk)链路到达对端,不需要经过防火墙线卡,因此当主用防火墙线卡故障而触发防火墙线卡进行热备切换时,备用防火墙线卡接替成为新的主用防火墙线卡进行工作,同时VRRP主备用设备间不会发生主备用切换。
但是由于新的主用防火墙线卡所在的网络设备上可能存在服务器的原有MAC地址信息表项,因此会导致外部网络无法主动成功访问局域网内部分服务器的问题。
综上述所述,当防火墙线卡发生热备切换后,外部网络访问局域网内服务器时,访问成功率较低。
发明内容
本发明实施例提供了一种报文转发方法及装置,能够较好地提高防火墙线卡发生热备切换后,外部网络访问局域网内服务器时的访问成功率。
一种地址解析协议ARP信息表项更新方法,包括:当前的主用防火墙线卡处于正常工作状态时,监听虚拟路由冗余协议VRRP网关发来的ARP信息报文并同步给当前的备用防火墙线卡;在判断出当前的主用防火墙线卡处于异常工作状态时,当前的备用防火墙线卡切换为新的主用防火墙线卡,并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文;以及在接收到服务器响应的ARP应答单播报文后,根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。
一种地址解析协议ARP信息表项更新装置,包括:监听单元,用于当前的主用防火墙线卡处于正常工作状态时,监听虚拟路由冗余协议VRRP网关发来的ARP信息报文并同步给当前的备用防火墙线卡;判断单元,用于判断当前的主用防火墙线卡是否处于异常工作状态;发送单元,用于在判断出当前的主用防火墙线卡处于异常工作状态时,当前的备用防火墙线卡切换为新的主用防火墙线卡,并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文;以及更新单元,用于在接收到服务器响应的ARP应答单播报文后,根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。
采用上述技术方案,在判断出当前的主用防火墙线卡处于异常工作状态时,当前的备用防火墙线卡切换为新的主用防火墙线卡,并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文,然后在接收到服务器响应的ARP应答单播报文后,根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。使得局域网内各服务器对应的MAC地址转发表项能够得到及时更新,从而保证外部网络能够及时主动成功访问局域网内各服务器,较好地提高了防火墙线卡发生热备切换后,外部网络访问局域网内服务器时的访问成功率。
附图说明
图1为现有技术中,提出的服务器安全保护的可靠性组网结构示意图;
图2为本发明实施例一中,提出的ARP信息表项更新方法流程图;
图3为本发明实施例一中,提出的主用防火墙线卡未发生故障时的服务器访问外部设备时报文传输路径示意图;
图4为本发明实施例一中,提出的ARP信息表项更新装置结构示意图。
具体实施方式
针对现有技术中存在的当防火墙线卡发生热备切换后,外部网络访问局域网内服务器时,访问成功率较低的问题,本发明实施例这里提出的技术方案,在当前的主、备用防火墙线卡发生切换后,当前的备用防火墙线卡接替成为新的主用防火墙线卡,并向局域网内的各服务器发送ARP广播请求报文,使网络中各服务器对应的MAC地址信息表项得到及时更新,能够较好地提高防火墙线卡发生热备切换后、外部网络访问局域网内服务器时的访问成功率。
下面将结合各个附图对本发明实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细地阐述。
实施例一
如图2所示,为本发明实施例一中,提出的ARP信息表项更新方法流程图,具体处理过程如下所述:
步骤21,当前的主用防火墙线卡处于正常工作状态时,监听VRRP网关发来的ARP信息报文。
其中,基于图1所示的组网方案,在两台网络设备中分别嵌入一块集成防火墙线卡工作在桥组跨VLAN转发模式,串接在网络设备和各服务器之间做二层桥组转发,两块防火墙线卡之间形成双机热备关系,双机热备技术具体又可分为主备模式和主主模式。为便于阐述,称之为主用防火墙线卡和备用防火墙线卡。具体地,主备模式是指处于主用状态的网络设备处理全部业务、并将会话表项备份到处于备用状态的网络设备中,处于备用状态的网络设备仅做备份处理、不参与报文转发,当处于主用状态的网络设备出现故障时,报文转发可以迅速切换到处于备用状态的网络设备,由于处于备用状态的网络设备存储着备份的会话表项,因此切换后的报文可以继续处理、不会被中断。而主主模式则是指两台网络设备都为处于主用状态的主用网络设备,即都参与转发并处理业务,同时又互为备份,当其中一台主用设备出现故障时,另一台持续处理全部业务。本发明实施例这里提出的技术方案,主要基于主备模式。即处于备用状态的网络设备,仅作备份,不参与报文的转发。
为便于阐述,本发明实施例这里提出的技术方案中,将集成在网络设备中的当前处于主用状态的防火墙线卡称之为主用防火墙线卡,将集成在网络设备中的当前处于备用状态的防火墙线卡称之为备用防火墙线卡,当前的主用防火墙线卡和当前的备用防火墙线卡工作在二层桥组跨VLAN转发,不具备三层特性。本发明实施例这里提出的技术方案,可以在当前的主用防火墙线卡上配置指定的VRRP网关地址信息,然后监听VRRP网关发来的ARP信息报文。具体地,例如VRRP网关对应的IP地址信息、IP地址掩码信息等,然后监听这些VRRP网关地址发送的ARP信息报文。
具体地,当前的主用防火墙线卡监听的VRRP网关发送的ARP信息报文可以但不限于包括:VRRP网关发出的请求局域网中某个服务器ARP地址的ARP请求广播报文、VRRP网关回应给局域网中某个服务器请求VRRP网关对应ARP地址的ARP应答单播报文、以及VRRP网关主动发送的免费ARP通告报文等。
步骤22,将监听到的VRRP网关发来的ARP信息报文同步给当前的备用防火墙线卡。
其中,当前的主用防火墙线卡监听到的VRRP网关发来的ARP信息报文,可以通过双机备份技术同步给当前的备用防火墙线卡。
具体地,当前的主用防火墙线卡监听到VRRP网关发来的ARP信息报文时,记录该VRRP网关对应的ARP地址和出接口等信息;同时把该信息通过双机备份技术同步给当前的备用防火墙线卡。
步骤23,判断出当前的主用防火墙线卡是否处于异常工作状态。如果判断结果为否,则执行步骤24。反之,执行步骤25。
其中,可以通过当前的主用防火墙线卡和当前的备用防火墙线卡之间的心跳检测机制检测对端是否处于正常工作状态,当检测到当前的主用防火墙线卡处于异常工作状态时,例如当前的主用防火墙线卡出现故障,当前的备用防火墙线卡通过心跳检测机制即可以发现故障而立即升级成为新的主用防火墙线卡。具体检测方法可以为:
步骤一:接收当前的主用防火墙线卡通过心跳检测机制向当前的备用防火墙线卡发送的状态报告信息。
步骤二:若在预设时长内,未接收到当前的主用防火墙线卡发送的状态报告信息,则确定当前的主用防火墙线卡处于异常工作状态。
步骤24,当前的主用防火墙线卡处于正常工作状态,则不进行处理。当前的主用防火墙线卡继续工作。
如图3所示,组网架构与图1相同,当前的主用防火墙线卡处于正常工作状态,即当前的主用防火墙线卡没有发生故障时,服务器同外部通信的外访报文转发过程具体如下:
其中,本发明实施例这里以服务器1访问外部网络为例来进行详细阐述:
步骤一:当服务器1要访问外部网络时,发送获取VRRP缺省网关的ARP地址的ARP请求广播报文。
步骤二:网络设备1收到该ARP请求广播报文后,在VLAN1内进行正常的源MAC地址学习和泛洪转发。即该ARP请求广播报文会在除入接口外的所有VLAN1的成员口内进行转发,其中包括发送给当前的主用防火墙线卡和网络设备2。此时网络设备1的对应服务器1的MAC地址转发信息表项如下述表1:
表1
| VLAN | MAC Address | Interface |
| 1 | 服务器1 | 与服务器1相连的物理接口 |
步骤三:当前的主用防火墙线卡收到VLAN1标识的ARP请求广播报文以后,通过桥组转发将其修改为VLAN11标识的ARP请求广播报文,然后再发送给网络设备1。网络设备1收到该VLAN11标识的ARP请求广播报文后,在VLAN11内进行正常的源MAC地址学习和泛洪转发,即除了将报文上送给本地VRRP主网关(对应虚拟交换接口SVI11)处理外,还需要复制1份发送给网络设备2。此时网络设备1上服务器1的MAC地址信息表项更新如表2所示:
表2
| VLAN | MAC Address | Interface |
| 1 | 服务器1 | 与服务器1相连的物理接口 |
| 11 | 服务器1 | 与主用防火墙FW1互联的接口 |
步骤四:网络设备2从网络设备1收到两份泛洪转发的ARP请求广播报文:分别是VLAN1标识的和VLAN11标识的。网络设备2同样在对应的VLAN成员口内,对这两份ARP请求广播报文进行正常的源MAC地址学习和泛洪转发(但是转发后的报文不被最终处理)。经过转发处理后,网络设备2上服务器1的MAC地址表项信息如下述表3所示:
表3
| VLAN | MAC Address | Interface |
| 1 | 服务器1 | Trunk对应的物理接口 |
| 11 | 服务器1 | Trunk对应的物理接口 |
需要说明的是,VLAN1标识的ARP请求广播报文,经网络设备2泛洪转发后到达当前的备用防火墙线卡和服务器2,但二者对此报文均做丢弃处理,VLAN11标识的ARP请求广播报文,经网络设备2泛洪转发后到达当前的备用防火墙线卡和VRRP备网关,同样二者对此报文也是做丢弃处理。
步骤五:网络设备1上的本地VRRP主网关SVI11收到服务器1的ARP请求广播报文后,会正确响应ARP应答单播报文,该应答单播报文的目的MAC为服务器1的MAC地址。因此该应答单播报文,后续就以单播转发方式经由主用防火墙线卡最终到达服务器1。具体路径为:网络设备1-主用防火墙线卡FW1-网络设备1-服务器1。
步骤六:服务器1同外部网络(如客户端1)的互访通信流量路径,如图3所示,转发报文经由VRRP主网关和当前的主用防火墙线卡FW1进行安全保护。
步骤25,在判断出当前的主用防火墙线卡处于异常工作状态时,当前的备用防火墙线卡切换为新的主用防火墙线卡,并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文。
其中,当前的备用防火墙线卡通过心跳检测机制,检测到当前的主用防火墙线卡发生故障,触发主备用切换,当前的备用防火墙线卡升级成为新的主用防火墙线卡。在新的主用防火墙线卡上存在有:指定VRRP网关对应的IP地址和掩码信息,以及VRRP网关对应的ARP地址和出接口等信息,因此新的主用防火墙线卡作为代理VRRP网关,在VRRP网关所在的同一桥组转发VLAN接口内、除VRRP网关所在的出接口外(其中,VRRP网关所在的出接口,即为上述文中的VRRP网关对应的出接口)的所有其他VLAN接口,向需要更新MAC地址信息表项的各服务器发送ARP请求广播报文。
具体地,向各服务器发送的ARP请求广播报文:其源MAC是VRRP网关对应的MAC地址(即VRRP网关的ARP地址),目的MAC为广播地址;ARP请求广播报文的发送者IP地址为VRRP网关IP地址,目的IP地址为需要更新MAC地址信息表项的各服务器IP地址。
步骤26,在接收到服务器响应的ARP应答单播报文后,根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。
其中,各服务器收到新的主用防火墙线卡发送的对应ARP请求广播报文后,可以回应单播形式的ARP应答报文。ARP应答单播报文到达新的主用防火墙线卡所在的网络设备后,该网络设备进行正常的报文转发MAC地址学习更新。
各服务器对应的MAC地址信息表项更新完成后,外部网络就能及时主动成功的访问局域网内各服务器。因此在上述步骤26之后,还可以包括:
步骤27,接收客户端发来的请求访问局域网内至少一个服务器的访问请求报文,新的主用防火墙线卡修改所述访问请求报文的VLAN标识,并将修改后的访问请求报文转发给访问的服务器。
较佳地,在上述步骤22之前,还可以包括:在当前的主用防火墙线卡处于正常工作状态时,监听非VRRP网关发送的ARP信息报文,并获得所述非VRRP网关发送的ARP信息报文中包含的互联网协议IP地址信息;同时当前的主用防火墙线卡记录的非VRRP网关发送的ARP信息报文中对应的IP地址信息,可以通过双机备份技术同步给当前的备用防火墙线卡。
将记录的非VRRP网关发送的ARP信息报文中对应的IP地址信息同步给当前的备用防火墙线卡,可以较好地实现容灾备份,当前的主用防火墙线卡发生故障之后,当前的备用防火墙线卡接替成为新主用的防火墙线卡,可以及时的获知已经发生故障的主用防火墙线卡中记录的非VRRP网关发送的ARP信息报文中对应的IP地址信息,这样接替成为新主用的防火墙线卡可以即时迅速的接替出现故障的防火墙线卡进行报文转发工作,使得业务处理不会出现中断,保证外部网络能够准确的访问局域网内的各服务器。
较佳地,在上述步骤22之前,还可以包括:在当前的主用防火墙线卡处于正常工作状态时,配置当前的主用防火墙线卡和当前的备用防火墙线卡切换后不需要更新MAC地址信息表项的指定服务器IP地址。例如,局域网内不存在的服务器的IP地址等。
其中,当前的主、备用防火墙线卡热备切换后需要更新MAC地址信息表项的服务器IP地址可以手动配置,也可以通过监听非VRRP网关发送的ARP信息报文并记录对应的IP地址。相应地,在上述步骤26中,需要更新MAC地址信息表项的各服务器地址包括:当采用手动配置方式时,即为VRRP网关所在网段内的,除VRRP网关、以及已经指定不需要更新MAC地址信息的指定IP地址外的所有其他IP地址。当采用非手动配置方式时,即为记录的非VRRP网关发送的ARP信息报文中对应的IP地址(除已指定不需要更新MAC地址信息的指定IP地址外)。
在当前的主用防火墙线卡处于正常工作状态时,配置当前的主用防火墙线卡和当前的备用防火墙线卡切换后不需要更新MAC地址信息表项的指定服务器IP地址,并且将这些配置的信息一并备份给当前的备用防火墙线卡,这样,在当前的主用防火墙线卡出现故障,当前的备用防火墙线卡升级为新的主用防火墙线卡之后,在发送ARP请求广播报文时,可以选择性发送,对局域网内不存在的服务器对应的IP地址不进行发送,从而可以较好地节省网络传输资源。
相应地,本发明实施例一这里还提出一种ARP信息表项更新装置,如图4所示,包括:
监听单元401,用于当前的主用防火墙线卡处于正常工作状态时,监听虚拟路由冗余协议VRRP网关发来的ARP信息报文并同步给当前的备用防火墙线卡。
判断单元402,用于判断当前的主用防火墙线卡是否处于异常工作状态。
具体地,上述判断单元402,具体用于接收当前的主用防火墙线卡通过心跳检测机制向当前的备用防火墙线卡发送的状态报告信息;若在预设时长内,未接收到当前的主用防火墙线卡发送的状态报告信息,则确定当前的主用防火墙线卡处于异常工作状态。
发送单元403,用于在判断出当前的主用防火墙线卡处于异常工作状态时,当前的备用防火墙线卡切换为新的主用防火墙线卡,并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文。
更新单元404,用于在接收到服务器响应的ARP应答单播报文后,根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。
其中,上述所述监听单元401,还用于在当前的主用防火墙线卡处于正常工作状态时,监听非VRRP网关发送的ARP信息报文。该装置还包括:获得单元,用于获得所述非VRRP网关发送的ARP信息报文中包含的互联网协议IP地址信息。
其中,上述装置还包括:配置单元,用于在当前的主用防火墙线卡处于正常工作状态时,配置当前的主用防火墙线卡和当前的备用防火墙线卡切换后不需要更新MAC地址信息表项的指定服务器IP地址。
其中,上述装置还包括:转发单元,用于接收客户端发来的请求访问局域网内至少一个服务器的访问请求报文;新的主用防火墙线卡修改所述访问请求报文的VLAN标识;并将修改后的访问请求报文转发给访问的服务器。
实施例二
上述实施例一中提出的技术方案为:在二层桥组转发应用下的当前的主用防火墙线卡上配置监听VRRP网关地址,当前的主用防火墙线卡故障后,当前的备用防火墙线卡接替成为新的主用防火墙线卡,并作为代理VRRP网关向局域网内需要更新MAC地址信息表项的各服务器发送ARP请求广播报文,使网络中各服务器对应的MAC地址信息表项得到及时更新,从而保证外部网络能及时主动成功的访问局域网内各服务器。进一步地,本发明实施例二这里在上述实施例一的基础之上,结合图1中所示的网络架构,对本发明实施例这里提出的技术方案做进一步的阐述:
如图1所示,两台服务器(服务器1和服务器2)划分在VLAN1中,IP地址分别为192.168.1.1/24和192.168.1.2/24;两台网络设备(网络设备1和网络设备2)分别配置VRRP,其服务器对应的VRRP网关为交换虚拟接口SVI11,其IP地址为192.168.1.254/24(VRRP主网关在网络设备1中,VRRP备网关在网络设备2中),两块防火墙线卡工作在二层桥组转发并形成主备模式的热备关系,当前的主用防火墙线卡配置VLAN1和VLAN11为同一桥组转发,当前的主用防火墙线卡上配置监听VRRP网关地址192.168.1.254的ARP信息报文、以及采用手动配置方式指定热备切换后需要更新MAC地址信息表项的两台服务器IP地址192.168.1.1/24和192.168.1.2/24。两台网络设备间的Trunk链路配置允许通过VLAN1和VLAN11标识的报文。
当前的主用防火墙线卡未发生故障时,假设服务器1需要和外部网络中的客户端1进行通信,则报文转发路径和网络设备上的MAC地址信息表项如下述:
步骤一:服务器1上不存在VRRP网关的ARP表项时,服务器1需要先向VRRP网关发起ARP请求广播报文,网络设备1收到该广播报文后,在VLAN1内进行源MAC地址学习和泛洪转发(包括发送给当前的主用防火墙线卡FW1和网络设备2),此时网络设备1上的对应服务器1的MAC地址转发表信息如表4所示:
表4
| VLAN | MAC Address | Interface |
| 1 | 服务器1 | 与服务器1相连的物理接口 |
步骤二:当前的主用防火墙线卡FW1收到该广播报文后将其变为VLAN11标识,然后发送给网络设备1,网络设备1收到该VLAN11标识的ARP请求广播报文后,在VLAN11内进行源MAC地址学习和泛洪转发(包括发送给本地VRRP主网关和网络设备2)。此时网络设备1上服务器1的MAC地址信息表更新如表5所示:
表5
| VLAN | MAC Address | Interface |
| 1 | 服务器1 | 与服务器1相连的物理接口 |
| 11 | 服务器1 | 与主用防火墙FW1互联的接口 |
步骤三:网络设备2从网络设备1收到两份泛洪转发的ARP请求广播报文:分别是VLAN1标识的和VLAN11标识的。因此网络设备2上服务器1的MAC地址表项信息如表6所示:
表6
| VLAN | MAC Address | Interface |
| 1 | 服务器1 | Trunk对应的物理接口 |
| 11 | 服务器1 | Trunk对应的物理接口 |
步骤四:网络设备1上的本地VRRP主网关收到服务器1的ARP请求广播报文后,回应ARP单播应答报文。该ARP单播应答报文的目的MAC是服务器1的,因此网络设备1根据上述步骤二中的MAC地址信息表,将ARP单播应答报文发送给当前的主用防火墙线卡。
步骤五:当前的主用防火墙线卡监听到VRRP网关发来的ARP单播应答报文,记录该网关对应的ARP地址和出接口信息(具体信息见下表7所示),同时通过热备备份技术将其信息同步给当前的备用防火墙线卡。
表7
| VRRP网关 | ARP地址 | Interface |
| 192.168.1.254 | VRRP网关MAC | VLAN11 |
步骤六:VRRP网关的ARP单播应答报文经过主用防火墙线卡处理后,经由网络设备1转发最终到达服务器1。后续服务器1同外部网络客户端1的互访报文流量路径,就经由VRRP主网关和主用防火墙线卡进行安全保护。
当前的主用防火墙线卡FW1发生故障时,当前的备用防火墙FW2接替成为新的主用防火墙线卡。这时假设外部网络中的客户端2需要主动访问服务器1,则报文转发路径和网络设备上的MAC地址信息表项具体如下述:
步骤七:新的主用防火墙线卡FW2代替VRRP网关,在桥组转发VLAN接口内(除VRRP网关所在的出接口VLAN11外)向各服务器发送ARP请求广播报文:即新的主用防火墙线卡FW2通过VLAN1向网络设备2发送服务器1和服务器2的ARP请求广播报文。该些广播报文的源MAC为VRRP网关MAC,目的MAC为广播的MAC地址,报文发送者IP地址为VRRP网关192.168.1.254,目的IP分别为服务器地址192.168.1.1和192.168.1.2。
步骤八:网络设备1收到新的主用防火墙线卡发送的VLAN1标识的ARP广播报文,则在VLAN1内进行泛洪转发。服务器1对应的ARP广播报文最终会通过网络设备间的Trunk接口链路经由网络设备1送到服务器1上。
步骤九:服务器1和服务器2收到对应的ARP请求广播报文时,回应ARP单播应答报文。该ARP单播应答报文的目的MAC为VRRP网关对应的MAC地址。
步骤十:网络设备2收到服务器回应的ARP单播应答报文时,在VLAN1内进行源MAC地址学习和正常的二层MAC地址表查找转发,然后将该应答报文转发给新的主用防火墙线卡FW2。此时网络设备2上关于服务器1对应的MAC地址信息表项如表8所示。
表8
| VLAN | MAC Address | Interface |
| 1 | 服务器1 | Trunk对应的物理接口 |
| 11 | 服务器1 | Trunk对应的物理接口 |
需要说明的是,在当前的主、备用防火墙线卡热备切换之后,网络设备1上VRRP主网关仍然时时发送VRRP通告报文,因此网络设备2上的VRRP网关对应的MAC地址信息表项会得到及时更新如下述表9所示。因此在上述步骤十中,网络设备2收到VLAN1标识的ARP单播应答报文后,查表得到报文出接口为新的主用防火墙线卡FW2。
表9
| VLAN | MAC Address | Interface |
| 11 | VRRP网关MAC | Trunk对应的物理接口 |
| 1 | VRRP网关MAC | 与新主用防火墙FW2互联的接口 |
步骤十一:新的主用防火墙线卡FW2收到VLAN1标识的ARP应答报文后,将其修改为VLAN11标识的ARP应答报文转发给网络设备2。
步骤十二:网络设备2收到VLAN11标识的ARP应答报文后,在VLAN11内进行源MAC地址学习和正常的二层MAC地址表查找转发,该服务器应答报文最终经由网络设备1转发到达VRRP主用网关上。而此时网络设备2上关于服务器1对应的MAC地址信息表项已正确更新如下述表10所示。
表10
| VLAN | MAC Address | Interface |
| 1 | 服务器1 | Trunk对应的物理接口 |
| 11 | 服务器1 | 与新主用防火墙FW2互联的接口 |
需要说明的是,网络设备2收到VLAN11标识的ARP单播应答报文后,查表得到报文出接口为trunk对应的物理接口。
步骤十三:外部网络中的客户端2需要主动访问服务器1时,其访问流量可以经由VRRP主网关和新的主用防火墙线卡FW2进行正常的转发安全保护。此时网络设备1上关于服务器1对应的MAC地址信息表项更新如表11所示。
表11
| VLAN | MAC Address | Interface |
| 1 | 服务器1 | 与服务器1相连的物理接口 |
| 11 | 服务器1 | Trunk对应的物理接口 |
步骤十四:当新的主用防火墙线卡FW2又因为某种原因发生故障时,此时若原主用防火墙线卡FW1故障已经恢复,则此时防火墙线卡FW1重新成为新的主用防火墙,则新的主用防火墙线卡FW1代替VRRP网关,在桥组VLAN接口内(除VRRP网关所在的出接口VLAN11外)向各服务器发送ARP请求广播报文。即新的主用防火墙线卡FW1通过VLAN1向网络设备1发送服务器1和服务器2的ARP请求广播报文。这些广播报文的源MAC为VRRP网关MAC,目的MAC为广播的MAC地址;报文发送者IP地址为VRRP网关192.168.1.254,目的IP分别为服务器地址192.168.1.1和192.168.1.2。
步骤十五:网络设备1收到新的主用防火墙FW1发送的VLAN1标识的ARP广播报文,则在VLAN1内进行泛洪转发。服务器1收到对应的ARP广播报文后,回复单播应答报文给网络设备1。
步骤十六:网络设备1收到服务器1回应的ARP单播应答报文时,在VLAN1内进行正常的二层MAC地址表查找转发,然后将该应答报文转发给新的主用防火墙线卡FW1。新的主用防火墙线卡FW1收到VLAN1标识的ARP应答报文后,将其修改为VLAN11标识的ARP应答报文转发给网络设备1。
步骤十七:网络设备1收到VLAN11标识的ARP单播应答报文后,在VLAN11内进行源MAC地址学习,和正常的二层MAC地址表查找转发后送到VRRP主用网关上。而此时网络设备1上关于服务器1对应的MAC地址信息表项已正确更新如下表12所示。
表12
| VLAN | MAC Address | Interface |
| 1 | 服务器1 | 与服务器1相连的物理接口 |
| 11 | 服务器1 | 与主用防火墙FW1互联的接口 |
步骤十八:外部网络中的客户端需要主动访问服务器1时,发送的访问报文可以经由VRRP主网关和新的主用防火墙线卡FW1重新进行正常的转发,从而实现防火墙线卡对局域网内的安全保护。
本发明实施例这里提出的技术方案,相对现有技术,本方案不仅解决了防火墙线卡热备切换后的外部网络不能及时主动成功访问局域网内服务器的问题,而且提高了防火墙用于局域网安全保护方案的可用性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种地址解析协议ARP信息表项更新方法,其特征在于,防火墙线卡工作在桥组跨VLAN转发模式,串接在网络设备和各服务器之间做二层桥组转发,该方法包括:
当前的主用防火墙线卡处于正常工作状态时,监听虚拟路由冗余协议VRRP网关发来的ARP信息报文并同步给当前的备用防火墙线卡;
在判断出当前的主用防火墙线卡处于异常工作状态时,当前的备用防火墙线卡切换为新的主用防火墙线卡,并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文;以及
在接收到服务器响应的ARP应答单播报文后,根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。
2.如权利要求1所述的方法,其特征在于,在将监听到的ARP信息报文同步给当前的备用防火墙线卡之前,还包括:
在当前的主用防火墙线卡处于正常工作状态时,监听非VRRP网关发送的ARP信息报文;并
获得所述非VRRP网关发送的ARP信息报文中包含的互联网协议IP地址信息。
3.如权利要求1所述的方法,其特征在于,在将监听到的ARP信息报文同步给当前的备用防火墙线卡之前,还包括:
在当前的主用防火墙线卡处于正常工作状态时,配置当前的主用防火墙线卡和当前的备用防火墙线卡切换后不需要更新MAC地址信息表项的指定服务器IP地址。
4.如权利要求1所述的方法,其特征在于,判断当前的主用防火墙线卡是否处于异常工作状态,包括:
接收当前的主用防火墙线卡通过心跳检测机制向当前的备用防火墙线卡发送的状态报告信息;
若在预设时长内,未接收到当前的主用防火墙线卡发送的状态报告信息,则确定当前的主用防火墙线卡处于异常工作状态。
5.如权利要求1所述的方法,其特征在于,在根据接收的ARP信息报文更新MAC地址信息表项之后,还包括:
接收客户端发来的请求访问局域网内至少一个服务器的访问请求报文;
新的主用防火墙线卡修改所述访问请求报文的VLAN标识;并
将修改后的访问请求报文转发给访问的服务器。
6.一种地址解析协议ARP信息表项更新装置,其特征在于,防火墙线卡工作在桥组跨VLAN转发模式,串接在网络设备和各服务器之间做二层桥组转发,包括:
监听单元,用于当前的主用防火墙线卡处于正常工作状态时,监听虚拟路由冗余协议VRRP网关发来的ARP信息报文并同步给当前的备用防火墙线卡;
判断单元,用于判断当前的主用防火墙线卡是否处于异常工作状态;
发送单元,用于在判断出当前的主用防火墙线卡处于异常工作状态时,当前的备用防火墙线卡切换为新的主用防火墙线卡,并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文;以及
更新单元,用于在接收到服务器响应的ARP应答单播报文后,根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。
7.如权利要求6所述的装置,其特征在于,
所述监听单元,还用于在当前的主用防火墙线卡处于正常工作状态时,监听非VRRP网关发送的ARP信息报文;
所述装置还包括:
获得单元,用于获得所述非VRRP网关发送的ARP信息报文中包含的互联网协议IP地址信息。
8.如权利要求6所述的装置,其特征在于,还包括:
配置单元,用于在当前的主用防火墙线卡处于正常工作状态时,配置当前的主用防火墙线卡和当前的备用防火墙线卡切换后不需要更新MAC地址信息表项的指定服务器IP地址。
9.如权利要求6所述的装置,其特征在于,所述判断单元,具体用于接收当前的主用防火墙线卡通过心跳检测机制向当前的备用防火墙线卡发送的状态报告信息;若在预设时长内,未接收到当前的主用防火墙线卡发送的状态报告信息,则确定当前的主用防火墙线卡处于异常工作状态。
10.如权利要求6所述的装置,其特征在于,还包括:
转发单元,用于接收客户端发来的请求访问局域网内至少一个服务器的访问请求报文;新的主用防火墙线卡修改所述访问请求报文的VLAN标识;并将修改后的访问请求报文转发给访问的服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210374551.5A CN102904818B (zh) | 2012-09-27 | 2012-09-27 | 一种arp信息表项更新方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210374551.5A CN102904818B (zh) | 2012-09-27 | 2012-09-27 | 一种arp信息表项更新方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102904818A CN102904818A (zh) | 2013-01-30 |
| CN102904818B true CN102904818B (zh) | 2015-11-25 |
Family
ID=47576861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210374551.5A Active CN102904818B (zh) | 2012-09-27 | 2012-09-27 | 一种arp信息表项更新方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102904818B (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103118148B (zh) * | 2013-01-31 | 2016-06-08 | 杭州华三通信技术有限公司 | 一种arp缓存更新方法和设备 |
| CN103401779B (zh) * | 2013-07-15 | 2016-12-28 | 福建星网锐捷网络有限公司 | 报文转发路径切换方法、装置及网络设备 |
| CN103441987A (zh) * | 2013-07-30 | 2013-12-11 | 曙光信息产业(北京)有限公司 | 双机防火墙系统的管理方法和装置 |
| CN105323135A (zh) * | 2014-07-23 | 2016-02-10 | 中兴通讯股份有限公司 | 一种同步地址解析协议表的方法、装置及系统 |
| CN104506513B (zh) * | 2014-12-16 | 2018-05-22 | 北京星网锐捷网络技术有限公司 | 防火墙流表备份方法、防火墙及防火墙系统 |
| CN105991392A (zh) * | 2015-03-04 | 2016-10-05 | 中兴通讯股份有限公司 | 一种信息同步的方法及装置 |
| CN106161331A (zh) * | 2015-03-23 | 2016-11-23 | 中兴通讯股份有限公司 | 一种防火墙双机热备方法、装置及系统 |
| CN105991794B (zh) * | 2015-06-01 | 2019-05-07 | 杭州迪普科技股份有限公司 | 一种地址学习方法及装置 |
| CN107241208B (zh) * | 2016-03-29 | 2020-02-21 | 华为技术有限公司 | 一种报文转发方法、第一交换机及相关系统 |
| CN106506555B (zh) * | 2016-12-29 | 2019-01-29 | 杭州盈高科技有限公司 | 一种arp准入控制方法 |
| CN109218178B (zh) * | 2017-07-05 | 2021-06-22 | 华为技术有限公司 | 一种报文处理方法及网络设备 |
| CN109819058B (zh) * | 2017-11-20 | 2021-08-27 | 北京华为数字技术有限公司 | 一种转发业务数据的方法、装置和系统 |
| CN109995883B (zh) * | 2017-12-29 | 2023-06-30 | 资易国际股份有限公司 | 网络设备实虚地址对应失效的自动修复方法 |
| CN108965493A (zh) * | 2018-07-03 | 2018-12-07 | 中国电子科技集团公司第十四研究所 | 双机热备中的数据传输切换方法 |
| CN108833612B (zh) * | 2018-09-03 | 2021-06-15 | 武汉虹信科技发展有限责任公司 | 一种基于arp协议的局域网设备的联通方法 |
| CN109815065B (zh) * | 2019-01-31 | 2022-09-30 | 杭州迪普科技股份有限公司 | 双机的主备切换方法、装置、电子设备 |
| CN112637105B (zh) * | 2019-09-24 | 2022-08-02 | 中国电信股份有限公司 | 切换防火墙的方法、系统、装置及计算机可读存储介质 |
| CN110891018B (zh) * | 2019-11-25 | 2022-02-22 | 新华三大数据技术有限公司 | 网络流量恢复方法、装置、sdn控制器及存储介质 |
| CN111083174B (zh) * | 2019-12-31 | 2022-03-29 | 北京力控华康科技有限公司 | 防火墙双机热备系统、备用防火墙及状态处理方法、装置 |
| CN111526059B (zh) * | 2020-05-19 | 2023-03-03 | 徐维灿 | 组网方法、装置、设备及存储介质 |
| CN112532524B (zh) * | 2020-11-24 | 2022-12-13 | 锐捷网络股份有限公司 | 一种报文处理方法及装置 |
| CN112653596B (zh) * | 2020-12-16 | 2022-07-01 | 杭州迪普科技股份有限公司 | 一种路由信息下发、网关设备切换的方法及装置 |
| CN112994948B (zh) * | 2021-03-31 | 2022-11-25 | 杭州迪普科技股份有限公司 | 静默双机切换方法、装置、设备及计算机可读存储介质 |
| CN113839862B (zh) * | 2021-09-16 | 2023-06-06 | 苏州浪潮智能科技有限公司 | Mclag邻居之间同步arp信息的方法、系统、终端及存储介质 |
| CN115987761B (zh) * | 2022-12-16 | 2024-09-27 | 北京威努特技术有限公司 | 一种工控防火墙透明模式接入双机热备的实现方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101257490A (zh) * | 2008-02-03 | 2008-09-03 | 杭州华三通信技术有限公司 | 一种防火墙旁路模式下的报文处理方法和系统 |
| CN101764744A (zh) * | 2009-11-24 | 2010-06-30 | 福建星网锐捷网络有限公司 | Vrrp接入方法、装置与系统及vrrp路由设备 |
| US7769862B2 (en) * | 2003-12-19 | 2010-08-03 | Check Point Software Technologies Inc. | Method and system for efficiently failing over interfaces in a network |
| CN102035676A (zh) * | 2010-12-07 | 2011-04-27 | 中兴通讯股份有限公司 | 基于arp协议交互的链路故障检测与恢复的方法和设备 |
| CN102215158A (zh) * | 2010-04-08 | 2011-10-12 | 杭州华三通信技术有限公司 | 实现vrrp流量传输的方法和路由设备 |
-
2012
- 2012-09-27 CN CN201210374551.5A patent/CN102904818B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7769862B2 (en) * | 2003-12-19 | 2010-08-03 | Check Point Software Technologies Inc. | Method and system for efficiently failing over interfaces in a network |
| CN101257490A (zh) * | 2008-02-03 | 2008-09-03 | 杭州华三通信技术有限公司 | 一种防火墙旁路模式下的报文处理方法和系统 |
| CN101764744A (zh) * | 2009-11-24 | 2010-06-30 | 福建星网锐捷网络有限公司 | Vrrp接入方法、装置与系统及vrrp路由设备 |
| CN102215158A (zh) * | 2010-04-08 | 2011-10-12 | 杭州华三通信技术有限公司 | 实现vrrp流量传输的方法和路由设备 |
| CN102035676A (zh) * | 2010-12-07 | 2011-04-27 | 中兴通讯股份有限公司 | 基于arp协议交互的链路故障检测与恢复的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102904818A (zh) | 2013-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102904818B (zh) | 一种arp信息表项更新方法及装置 | |
| US9461841B2 (en) | Communication system, communication method, node, and program for node | |
| JP3956685B2 (ja) | ネットワーク間接続方法、仮想ネットワーク間接続装置およびその装置を用いたネットワーク間接続システム | |
| CN102439903B (zh) | 实现容灾备份的方法、设备及系统 | |
| CN102404146B (zh) | 主从切换方法、网络设备及dhcp服务器 | |
| CN101557317B (zh) | 双机热备组网中实现会话主动备份的系统、设备及方法 | |
| US8462795B2 (en) | Method and device for transmitting control message based on multi-ring ethernet | |
| KR101591102B1 (ko) | Vrrp 라우터의 동작 방법 및 이를 위한 통신 시스템 | |
| CN105915400A (zh) | 一种数据流切换方法及系统 | |
| US20040008694A1 (en) | Method for implementing router interface backup with virtual router redundancy protocol | |
| JP4790591B2 (ja) | リングノード装置 | |
| WO2012000234A1 (zh) | 链路间快速切换的方法、装置和系统 | |
| CN103684716A (zh) | 在可冗余操作的工业通信网络中传输消息的方法和可冗余操作的工业通信网络的通信设备 | |
| CN109076635B (zh) | 可冗余运行的工业通信系统、方法和无线电-用户站 | |
| CN108702317B (zh) | 能冗余地运行的工业化的通信系统、用于其运行的方法和无线接收站 | |
| CN105119822A (zh) | 基于vrrp的备份组管理方法及系统 | |
| WO2008014696A1 (fr) | Méthode et dispositif pour effectuer un transfert de communications | |
| CN104639367A (zh) | 一种实现主备服务器切换的方法及系统 | |
| CN102932183B (zh) | 双上行链路故障处理方法及设备 | |
| CN105634848B (zh) | 一种虚拟路由器监控方法及装置 | |
| CN105939215B (zh) | Vrrp备份组状态切换的方法及装置 | |
| CN108270593A (zh) | 一种双机热备份方法和系统 | |
| CN104901880B (zh) | 一种业务运行的方法及装置 | |
| CN106911548A (zh) | 一种隧道状态切换方法及装置 | |
| CN107959626B (zh) | 数据中心的通信方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |