CN103607350B - 一种路由生成方法及装置 - Google Patents
一种路由生成方法及装置 Download PDFInfo
- Publication number
- CN103607350B CN103607350B CN201310667281.1A CN201310667281A CN103607350B CN 103607350 B CN103607350 B CN 103607350B CN 201310667281 A CN201310667281 A CN 201310667281A CN 103607350 B CN103607350 B CN 103607350B
- Authority
- CN
- China
- Prior art keywords
- address
- packet
- bridge
- mark
- mac address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本申请公开了一种路由生成方法及装置,应用于防火墙,所述方法包括:接收发送至所述防火墙的数据包,判断所述数据包的目的IP地址是否属于预设地址,若是,则获取所述数据包对应的透明网桥标识、目的IP地址及目的MAC地址,依据所述透明网桥标识、目的IP地址及目的MAC地址,生成路由,将所述路由保存于预先设置的路由表中。通过本申请提供的路由生成方法,路由表中包含有与数据包目的IP地址对应的透明网桥标识及目的MAC地址,为数据包的发送提供了相应的路由,通过查询所述路由表可将所述数据包进行发送,从而解决了现有技术中数据包在经过代理服务单元后无法查找路由,导致数据包发送失败的问题。
Description
技术领域
本申请涉及网络通信技术领域,尤其是一种路由生成方法及装置。
背景技术
随着防火墙技术的发展,市场上各种类型的防火墙产品不断更新。衡量防火漆产品的重要指标之一是设置并提高安全性能的透明模式。工作在透明模式的防火墙就像是一根网线,串联在用户网络中,不需对网络设备和计算机终端设备相关设置(如IP地址和网关)进行改变,但同时可以解析所有通过它的数据包,从而既增加了网络的安全性,又降低了用户管理的复杂程度。
防火墙在实现所述透明模式的过程中需要结合透明网桥技术,具体过程为:透明网桥接收到数据包后,将需要进行代理服务的数据包通过TCP/IP协议栈发送到防火墙上的代理服务单元。而该TCP/IP协议栈处理数据包的过程中会删去目的MAC地址,这样,造成数据包在经过代理服务单元的处理后无法确定发送路由,从而导致数据包发送失败。
发明内容
有鉴于此,本申请提供了一种路由生成方法及装置,以解决现有技术中数据包在经过代理服务后无法查找路由,从而导致数据包发送失败的问题。本申请提供的技术方案如下:
一种路由生成方法,应用于防火墙,所述方法包括:
接收发送至所述防火墙的数据包;
判断所述数据包的目的IP地址是否属于预设地址;
若是,则获取所述数据包对应的透明网桥标识、目的IP地址及目的MAC地址,依据所述透明网桥标识、目的IP地址及目的MAC地址,生成路由,将所述路由保存于预先设置的路由表中。
上述方法,优选的,透明网桥标识、目的IP地址及目的MAC地址保存在数据包结构体中;
其中,获取与数据包对应的透明网桥标识、目的IP地址及目的MAC地址,包括:
提取所述数据包结构体中的透明网桥标识、目的IP地址及目的MAC地址。
上述方法,优选的,所述透明网桥标识包括:透明网桥的网卡名称和/或透明网桥的编号。
上述方法,优选的,在依据所述透明网桥标识、目的IP地址及目的MAC地址,生成路由,并保存于预先设置的路由表中之后,还包括:
将所述数据包发送至代理服务单元;
触发所述代理服务单元检测所述数据包是否符合预设的协议规则标准,若是,则触发所述代理服务单元标记所述数据包并发送所述标记的数据包。
上述方法,优选的,在将所述路由保存于预先设置的路由表中之后,还包括:
接收所述代理服务单元发送的所述标记的数据包;
获取所述标记的数据包对应的目的IP地址;
依据所述目的IP地址,在所述路由表中查找相对应的透明网桥标识及目的MAC地址;
依据所述透明网桥标识,将所述数据包发送至相对应的透明网桥;
触发所述透明网桥依据所述目的MAC地址发送所述数据包。
本申请还提供了一种路由生成装置,应用于防火墙,所述装置包括:
接收模块,用于接收发送至所述防火墙的数据包;
判断模块,用于判断所述数据包的目的IP地址是否属于预设地址;若是,触发生成模块;
生成模块,用于获取所述数据包对应的透明网桥标识、目的IP地址及目的MAC地址,依据所述透明网桥标识、目的IP地址及目的MAC地址,生成路由,并保存于预先设置的路由表中。
上述装置,优选的,所述生成模块包括:
获取单元,用于获取所述数据包对应的透明网桥标识、目的IP地址及目的MAC地址;
生成单元,用于依据所述透明网桥标识、目的IP地址及目的MAC地址,生成路由,并保存于预先设置的路由表中;
其中:所述获取单元包括:
提取子单元,用于提取所述数据包结构体中的透明网桥标识、目的IP地址及目的MAC地址。
上述装置,优选的,所述生成模块获取到的透明网桥标识包括透明网桥的网卡名称和/或透明网桥的编号。
上述装置,优选的,还包括:
第一发送模块,用于将所述数据包发送至代理服务单元;
第一触发模块,用于触发所述代理服务单元检测所述数据包是否符合预设的协议规则标准,若是,则触发所述代理服务单元标记所述数据包并发送所述标记的数据包。
上述装置,优选的,还包括:
接收模块,用于接收所述代理服务单元发送的所述标记的数据包;
获取模块,用于获取所述标记的数据包对应的目的IP地址;
查找模块,用于依据所述目的IP地址,在所述路由表中查找相对应的透明网桥标识及目的MAC地址;
第二发送模块,用于依据所述透明网桥标识,将所述数据包发送至相对应的透明网桥;
第二触发模块,用于触发所述透明网桥依据所述目的MAC地址发送所述数据包。
由以上技术方案可知,本申请提供了一种路由生成方法及装置,应用于防火墙,该方法包括:接收发送至所述防火墙的数据包,判断该数据包的目的IP地址是否属于预设地址,若是,获取该数据包对应的透明网桥标识、目的IP地址及目的MAC地址,并依据所述透明网桥标识、目的IP地址及目的MAC地址生成路由,并保存于预先设置的路由表中。通过本申请提供的路由生成方法,路由表中包含有与数据包目的IP地址对应的透明网桥标识及目的MAC地址,为数据包的发送提供了相应的路由,通过查询所述路由表可将所述数据包进行发送,从而解决了现有技术中数据包在经过代理服务后无法查找路由,导致数据包发送失败的问题。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的一种路由生成方法实施例一的流程图;
图2为本申请提供的一种路由生成方法实施例二的部分流程图;
图3为本申请提供的一种路由生成方法实施例三的部分流程图;
图4为本申请提供的一种路由生成装置实施例四的结构示意图;
图5为本申请提供的一种路由生成装置实施例五的部分结构示意图;
图6为本申请提供的一种路由生成装置实施例六的部分结构示意图;
图7为本申请提供的一种路由生成装置实施例七的部分结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,其示出了本申请提供的一种路由生成方法实施例一的流程图,本实施例的方法应用于防火墙,该方法可以包括:
步骤101:接收发送至所述防火墙的数据包。
防火墙利用代理技术可实现对数据包内容的检测,以防包含有非法协议内容的数据包攻击计算机设备。代理技术之一为透明模式的代理服务,工作在透明模式的防火墙就像是一根网线,串联在用户网络中,网络设备和计算机设备无需改变设置,如IP地址和网关等。
而实现所述透明代理模式,防火墙需要与透明网桥技术进行结合,即数据包通过透明网桥转发至所述防火墙。所述透明网桥由于无IP地址,因此对用户的设备来说是透明的。要使需要进行代理服务的数据包通过透明网桥被发送至所述防火墙的代理服务单元,需要在所述透明网桥上预先配置IP地址,用于表明发送到所述IP地址上的数据包进行代理服务检测。当然,除了预先配置IP地址外,还可以配置与所述IP地址相对应的端口号。
例如,在透明网桥上配置IP地址为123.123.123.123,端口号为80,则表示目的IP地址为123.123.123.123,端口号为80的数据包需要进行代理服务。当透明网桥接收到数据包后,检测所述数据包的目的IP地址及端口号,如果符合设置的上述两项标准,则将所述数据包转发至防火墙。
接收发送至所述防火墙的数据包,所述数据包可能是由透明网桥发送过来的,也可能是由其他的网络设备发送过来的,如路由器。
步骤102:判断所述数据包的目的IP地址是否属于预设地址;若是,执行步骤103。
解析所述数据包,以判断所述数据包的目的IP地址是否属于预设地址。所述预设地址即步骤101中在透明网桥上预先设置的IP地址。若所述目的IP地址属于预设地址,进而执行步骤103。
步骤103,获取所述数据包对应的透明网桥标识、目的IP地址及目的MAC地址,依据所述透明网桥标识、目的IP地址及目的MAC地址,生成路由,将所述路由保存于预先设置的路由表中。
步骤101中接收到的所述数据包是由透明网桥发送过来的,则存在与所述数据包相对应发送所述数据包的透明网桥的标识,所述数据包的目的IP地址,所述数据包的MAC地址,获取所述透明网桥标识、目的IP地址及目的MAC地址,生成一条路由,即建立所述透明网桥标识、目的IP地址及目的MAC地址的对应关系,并将所述对应关系保存在预先设置的路由表中。
例如,获取到的透明网桥标识为Br0,目的IP地址为123.123.123.123,目的MAC地址为00-50-56-C0-00-01,建立对应关系,保存于预先设置的路由表中。将所述路由保存于路由表后,路由表的形式请参阅表1。
| 网桥标识 | 目的IP地址 | 目的MAC地址 |
| Br0 | 123.123.123.123 | 00-50-56-C0-00-01 |
表1
由以上技术方案可知,本实施例提供了一种路由生成方法,应用于防火墙,该方法包括:接收发送至所述防火墙的数据包,判断该数据包的目的IP地址是否属于预设地址,若是,获取该数据包对应的透明网桥标识、目的IP地址及目的MAC地址,并依据所述透明网桥标识、目的IP地址及目的MAC地址生成路由,并保存于预先设置的路由表中。通过本申请提供的路由生成方法,路由表中包含有与数据包目的IP地址对应的透明网桥标识及目的MAC地址,为数据包的发送提供了相应的路由,通过查询所述路由表可将所述数据包进行发送,从而解决了现有技术中数据包在经过代理服务后无法查找路由,从而导致数据包发送失败的问题。
由源IP地址发送到目的IP地址的数据包需要经过防火墙代理服务单元进行代理服务检测,若预先设置由所述目的IP地址返回到所述源IP地址的数据包同样进行数据包的检测,则在上述实施例中,步骤103获取所述数据包对应的透明网桥标识、源IP地址、源MAC地址、目的IP地址、目的MAC地址,依据所述透明网桥标识、源IP地址、源MAC地址、目的IP地址、目的MAC地址生成路由,将所述路由保存于预先设置的路由表中。
例如,获取到的透明网桥标识为Br0,源IP地址为168.168.168.168,源MAC地址为00-19-66-E7-C0-98,目的IP地址为123.123.123.123,目的MAC地址为00-50-56-C0-00-01,建立对应关系,保存于预先设置的路由表中。将所述路由保存于路由表后,路由表的形式请参阅表2。
| 网桥标识 | 目的IP地址 | 目的MAC地址 | 源IP地址 | 源MAC地址 |
| Br0 | 123.123.123.123 | 00-50-56-C0-00-01 | 168.168.168.168 | 00-19-66-E7-C0-98 |
表2
与实施例一中步骤101中接收到的数据包相对应的透明网桥标识、目的IP地址及目的MAC地址保存在数据包结构体中,则步骤103中获取所述数据包对应的透明网桥标识、目的IP地址及目的MAC地址可以有如下的具体实现方式:提取所述数据包结构体中的透明网桥标识、目的IP地址及目的MAC地址。需要说明的是:数据包结构体并不是硬件功能单元,而是防火墙接收到数据包时建立的存储单元,用以保存接收到的数据包的全部信息(如发送该数据包的透明网桥的标识、数据包的IP地址,数据包的MAC地址)和与数据包相关的上下文信息。步骤101中接收到的发送到防火墙的数据包,防火墙会为所述数据包建立相应的数据包结构体,用以存储所述数据包的相关信息,其中包含有所述数据包对应的透明网桥标识、目的IP地址及目的MAC地址。
实施例一中的步骤103中获取到的透明网桥标识可以有不同的形式,可以是透明网桥的网卡名称,可以是透明网桥的编号,也可以是所述两个。当然,所述网卡名称与所述透明网桥的编号存在一一对应的关系。所述透明网桥的标识用于将步骤101中接收到的数据包发送至与所述数据包相对应的透明网桥,过程为:依据所述透明网桥的标识,在预先建立的透明网桥标识与透明网桥网卡物理地址的对应关系中,查找所述透明网桥标识相对应的透明网桥网卡的物理地址,依据所述物理地址,将所述数据包发送到所述透明网桥的网卡。其中:所述透明网桥的编号还可以用于依据所述编号对所述路由表中的各条路由进行排序,相当于建立索引,从而在所述路由表中进行路由查找时,提高路由的查找速度。
请参阅图2,其示出了本申请提供的一种路由生成方法实施例二的部分流程图,在实施例一中将所述路由保存于预先设置的路由表中之后,还可以包括:
步骤201:将所述数据包发送至代理服务单元。
步骤202:触发所述代理服务单元检测所述数据包是否符合预设的协议规则标准,若是,则触发所述代理服务单元标记所述数据包并发送所述标记的数据包。
所述代理服务单元用于检测所述数据包中是否包含有非法的攻击内容,如对数据包使用的网络协议内容进行解析,与预设的协议规则标准进行匹配,当所述数据包使用的协议内容符合所述规则标准时,将所述数据包确定为正常的数据包,对所述数据包进行标记。若所述数据包中包含有mark属性,标记的形式可以为获取数据包中的mark属性值,将所述属性值标记为1。当然,标记形式并不限于上述方式,现有技术中对数据包进行标记的方式都属于本申请的保护范围。
将所述数据包进行标记后,发送所述经过标记后的数据包。
请参阅图3,其示出了本申请提供的一种路由生成方法实施例三的部分流程图,在实施例二的步骤202之后,还可以包括:
步骤301:接收所述代理服务单元发送的所述标记的数据包。
所述数据包中包含有标记,说明所述数据包是经过代理服务单元且数据包协议内容符合预设协议规则标准的数据包,属于正常的数据包。
步骤302:获取所述标记的数据包对应的目的IP地址。
所述数据包中包含有目的IP地址,获取所述目的IP地址的方式为提取所述数据包中包含的目的IP地址。
步骤303:依据所述目的IP地址,在所述路由表中查找相对应的透明网桥标识及目的MAC地址。
经过实施例一中步骤103后,所述预先设置的路由表中包含有与所述数据包的目的IP地址相对应的透明网桥标识与目的MAC地址,则在所述路由表中依据所述步骤302中获取到的目的IP地址,提取所述目的IP地址相对应的透明网桥标识与目的MAC地址。
需要说明的是,将所述目的MAC地址封装入所述数据包中,则发送到所述透明网桥的数据包中包含有目的MAC地址。
步骤304:依据所述透明网桥标识,将所述数据包发送至相对应的透明网桥。
所述透明网桥标识可以为透明网桥的网卡名称,可以为透明网桥的编号,还可以是两者结合。需要说明的是,所述透明网桥的网卡名称与所述透明网桥的编号一一对应。具体地,所述发送过程可以为:依据所述透明网桥的标识,在预先建立的透明网桥标识与透明网桥网卡物理地址的对应关系中,查找所述透明网桥标识相对应的透明网桥网卡的物理地址,依据所述物理地址,将所述数据包发送到所述透明网桥的网卡。
步骤305:触发所述透明网桥依据所述目的MAC地址发送所述数据包。
所述透明网桥依据所述目的MAC地址发送所述数据包的过程可以是,提取所述数据包中的目的MAC地址,依据所述目的MAC地址确定所述数据包的发送路由,从而成功地将所述数据包发送到与所述目的IP地址对应的目的MAC地址中。
另外,本申请提供的方法中步骤303可同时获取到所述透明网桥的标识与所述目的MAC,相对于现有技术中,先查询路由表获取透明网桥标识,再查询ARP表获取目的MAC地址,减少了查询及获取的次数,节省了发送数据包的时间,提高了发包效率。
请参阅图4,其示出了本申请提供的一种路由生成装置实施例四的结构示意图,本实施例应用于防火墙,该装置可以包括:接收模块401、判断模块402及生成模块403,其中:
所述接收模块401,用于接收发送至所述防火墙的数据包。
防火墙利用代理技术可实现对数据包内容的检测,以防包含有非法协议内容的数据包攻击计算机设备。代理技术之一为透明模式的代理服务,工作在透明模式的防火墙就像是一根网线,串联在用户网络中,网络设备和计算机设备无需改变设置,如IP地址和网关等。
而实现所述透明代理模式,防火墙需要与透明网桥技术进行结合,即数据包通过透明网桥转发至所述防火墙。所述透明网桥由于无IP地址,因此对用户的设备来说是透明的。要使需要进行代理服务的数据包通过透明网桥被发送至所述防火墙的代理服务单元,需要在所述透明网桥上预先配置IP地址,用于表明发送到所述IP地址上的数据包进行代理服务检测。当然,除了预先配置IP地址外,还可以配置与所述IP地址相对应的端口号。
例如,在透明网桥上配置IP地址为123.123.123.123,端口号为80,则表示目的IP地址为123.123.123.123,端口号为80的数据包需要进行代理服务。当透明网桥接收到数据包后,检测所述数据包的目的IP地址及端口号,如果符合设置的上述两项标准,则将所述数据包转发至防火墙。
所述接收模块401接收发送至所述防火墙的数据包,所述数据包可能是由透明网桥发送过来的,也可能是由其他的网络设备发送过来的,如路由器。
所述判断模块402,用于判断所述数据包的目的IP地址是否属于预设地址;若是,触发所述生成模块403。
所述判断模块402解析所述数据包,以判断所述数据包的目的IP地址是否属于预设地址。所述预设地址即在透明网桥上预先设置的IP地址。若所述目的IP地址属于预设地址,进而触发所述生成模块403。
所述生成模块403,用于获取所述数据包对应的透明网桥标识、目的IP地址及目的MAC地址,依据所述透明网桥标识、目的IP地址及目的MAC地址,生成路由,将所述路由保存于预先设置的路由表中。
所述接收模块401接收到的所述数据包是由透明网桥发送过来的,则存在与所述数据包相对应发送所述数据包的透明网桥的标识,所述数据包的目的IP地址,所述数据包的MAC地址,所述生成模块403获取所述透明网桥标识、目的IP地址及目的MAC地址,生成一条路由,即建立所述透明网桥标识、目的IP地址及目的MAC地址的对应关系,并将所述对应关系保存在预先设置的路由表中。
例如,所述生成模块403获取到的透明网桥标识为Br0,目的IP地址为123.123.123.123,目的MAC地址为00-50-56-C0-00-01,建立对应关系,保存于预先设置的路由表中。将所述路由保存于路由表后,路由表的形式请参阅表3。
| 网桥标识 | 目的IP地址 | 目的MAC地址 |
| Br0 | 123.123.123.123 | 00-50-56-C0-00-01 |
表3
由以上技术方案可知,本实施例提供了一种路由生成装置,应用于防火墙,该装置通过接收发送至所述防火墙的数据包,判断该数据包的目的IP地址是否属于预设地址,若是,获取该数据包对应的透明网桥标识、目的IP地址及目的MAC地址,并依据所述透明网桥标识、目的IP地址及目的MAC地址生成路由,并保存于预先设置的路由表中。通过本申请提供的路由生成方法,路由表中包含有与数据包目的IP地址对应的透明网桥标识及目的MAC地址,为数据包的发送提供了相应的路由,通过查询所述路由表可将所述数据包进行发送,从而解决了现有技术中数据包在经过代理服务后无法查找路由,从而导致数据包发送失败的问题。
由源IP地址发送到目的IP地址的数据包需要经过防火墙代理服务单元进行代理服务检测,若预先设置由所述目的IP地址返回到所述源IP地址的数据包同样进行数据包的检测,则在上述实施例中,所述生成模块403获取所述数据包对应的透明网桥标识、源IP地址、源MAC地址、目的IP地址、目的MAC地址,并依据所述透明网桥标识、源IP地址、源MAC地址、目的IP地址、目的MAC地址生成路由,将所述路由保存于预先设置的路由表中。
例如,所述生成模块403获取到的透明网桥标识为Br0,源IP地址为168.168.168.168,源MAC地址为00-19-66-E7-C0-98,目的IP地址为123.123.123.123,目的MAC地址为00-50-56-C0-00-01,建立对应关系,保存于预先设置的路由表中。所述生成模块403将所述路由保存于路由表后,路由表的形式请参阅表4。
| 网桥标识 | 目的IP地址 | 目的MAC地址 | 源IP地址 | 源MAC地址 |
| Br0 | 123.123.123.123 | 00-50-56-C0-00-01 | 168.168.168.168 | 00-19-66-E7-C0-98 |
表4
请参阅图5,其示出了本申请提供的一种路由生成装置实施例五的部分结构示意图,与实施例四中接收模块401接收到的数据包相对应的透明网桥标识、目的IP地址及目的MAC地址保存在数据包结构体中,实施例四中的生成模块403可以包括获取单元4031及生成单元4032。其中:
所述获取单元4031用于获取所述数据包对应的透明网桥标识、目的IP地址及目的MAC地址;所述生成单元4032用于依据所述透明网桥标识、目的IP地址及目的MAC地址,生成路由,并保存于预先设置的路由表中。其中:
所述获取单元4031包括:提取子单元40311,用于获取所述数据包对应的透明网桥标识、目的IP地址及目的MAC地址可以有如下的具体实现方式:提取所述数据包结构体中的透明网桥标识、目的IP地址及目的MAC地址。
需要说明的是:数据包结构体并不是硬件功能单元,而是防火墙接收到数据包时建立的存储单元,用以保存接收到的数据包的全部信息(如发送该数据包的透明网桥的标识、数据包的IP地址,数据包的MAC地址)和与数据包相关的上下文信息。
实施例四中的生成模块403获取到的透明网桥标识可以有不同的形式,可以是透明网桥的网卡名称,可以是透明网桥的编号,也可以是所述两个。当然,所述网卡名称与所述透明网桥的编号存在一一对应的关系。所述透明网桥的标识用于将所述接收模块401接收到的数据包发送至与所述数据包相对应的透明网桥,具体过程为:依据所述透明网桥的标识,在预先建立的透明网桥标识与透明网桥网卡物理地址的对应关系中,查找所述透明网桥标识相对应的透明网桥网卡的物理地址,依据所述物理地址,将所述数据包发送到所述透明网桥的网卡。其中:所述透明网桥的编号还可以用于依据所述编号对所述路由表中的各条路由进行排序,相当于建立索引,从而在所述路由表中进行路由查找时,提高路由的查找速度。
请参阅图6,其示出了本申请提供的一种路由生成方法实施例六的部分结构示意图,在实施例四的基础上,还可以包括:第一发送模块601及第一触发模块602。其中:
所述第一发送模块601,用于将所述数据包发送至代理服务单元603。
所述第一发送模块601与所述代理服务单元603相连,将实施例四中的接收模块401接收到的所述数据包发送至所述代理服务单元603。
所述第一触发模块602,用于触发所述代理服务单元603检测所述数据包是否符合预设的协议规则标准,若是,则触发所述代理服务单元603标记所述数据包并发送所述标记的数据包。
所述第一触发模块602与所述第一发送模块601相连,当所述第一发送模块601将所述数据包发送至代理服务单元603后,触发所述代理服务单元603。
所述代理服务单元603用于检测所述数据包中是否包含有非法的攻击内容,如对数据包使用的网络协议内容进行解析,与预设的协议规则标准进行匹配,当所述数据包使用的协议内容符合所述规则标准时,将所述数据包确定为正常的数据包,对所述数据包进行标记。若所述数据包中包含有mark属性,标记的形式可以为获取数据包中的mark属性值,将所述属性值标记为1。当然,标记形式并不限于上述方式,现有技术中对数据包进行标记的方式都属于本申请的保护范围。
所述第一触发模块602与所述代理服务单元603相连,触发所述代理服务单元603将所述数据包进行标记后,触发所述代理服务单元603发送所述经过标记后的数据包。
请参阅图7,其示出了本申请提供的一种路由生成装置实施例七的部分结构示意图,在实施例六的基础上,还可以包括:接收模块701、获取模块702、查找模块703、第二发送模块704及第二触发模块705。其中:
所述接收模块701,用于接收所述代理服务单元发送的所述标记的数据包。
所述接收模块701接收到的所述数据包中包含有标记,说明所述数据包是经过代理服务单元且数据包协议内容符合预设协议规则标准的数据包,属于正常的数据包。
所述获取模块702,用于获取所述标记的数据包对应的目的IP地址。
所述接收模块701接收到的所述数据包中包含有目的IP地址,所述获取模块702获取所述目的IP地址的方式为提取所述数据包中包含的目的IP地址。
所述查找模块703,用于依据所述目的IP地址,在所述路由表中查找相对应的透明网桥标识及目的MAC地址。
实施例四的生成模块403将生成的路由保存在预先设置的路由表中,则所述路由表中包含有与所述数据包的目的IP地址相对应的透明网桥标识与目的MAC地址,则所述查找模块703在所述路由表中依据所述获取模块702获取到的目的IP地址,提取所述目的IP地址相对应的透明网桥标识与目的MAC地址。
需要说明的是,所述查找模块703将所述目的MAC地址封装入所述数据包中,则发送到所述透明网桥的数据包中包含有目的MAC地址。
所述第二发送模块704,用于依据所述透明网桥标识,将所述数据包发送至相对应的透明网桥。
所述查找模块703查找到的所述透明网桥标识可以为透明网桥的网卡名称,可以为透明网桥的编号,还可以是两者结合。需要说明的是,所述透明网桥的网卡名称与所述透明网桥的编号一一对应。具体地,所述第二发送模块704发送过程可以为:依据所述透明网桥的标识,在预先建立的透明网桥标识与透明网桥网卡物理地址的对应关系中,查找所述透明网桥标识相对应的透明网桥网卡的物理地址,依据所述物理地址,将所述数据包发送到所述透明网桥的网卡。
所述第二触发模块705,用于触发所述透明网桥依据所述目的MAC地址发送所述数据包。
所述透明网桥依据所述目的MAC地址发送所述数据包的过程可以是,提取所述数据包中的目的MAC地址,依据所述目的MAC地址确定所述数据包的发送路由,从而成功地将所述数据包发送到与所述目的IP地址对应的目的MAC地址中。
另外,本申请提供的装置中的查找模块703可同时获取到所述透明网桥的标识与所述目的MAC,相对于现有技术中,先查询路由表获取透明网桥标识,再查询ARP表获取目的MAC地址,减少了查询及获取的次数,节省了发送数据包的时间,提高了发包效率。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
以上对本发明所提供的一种路由生成方法及装置进行了详细介绍,对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (8)
1.一种路由生成方法,其特征在于,应用于防火墙,所述方法包括:
接收发送至所述防火墙的数据包;
判断所述数据包的目的IP地址是否属于预设地址;
若是,则获取所述数据包对应的透明网桥标识、目的IP地址及目的MAC地址,依据所述透明网桥标识、目的IP地址及目的MAC地址,生成路由,将所述路由保存于预先设置的路由表中;
将所述数据包发送至代理服务单元;
触发所述代理服务单元检测所述数据包是否符合预设的协议规则标准,若是,则触发所述代理服务单元标记所述数据包并发送所述标记的数据包。
2.根据权利要求1所述的方法,其特征在于,透明网桥标识、目的IP地址及目的MAC地址保存在数据包结构体中;
其中,获取与数据包对应的透明网桥标识、目的IP地址及目的MAC地址,包括:
提取所述数据包结构体中的透明网桥标识、目的IP地址及目的MAC地址。
3.根据权利要求1所述的方法,其特征在于,所述透明网桥标识包括:透明网桥的网卡名称和/或透明网桥的编号。
4.根据权利要求1所述的方法,其特征在于,在触发所述代理服务单元标记所述数据包并发送所述标记的数据包之后,还包括:
接收所述代理服务单元发送的所述标记的数据包;
获取所述标记的数据包对应的目的IP地址;
依据所述目的IP地址,在所述路由表中查找相对应的透明网桥标识及目的MAC地址;
依据所述透明网桥标识,将所述数据包发送至相对应的透明网桥;
触发所述透明网桥依据所述目的MAC地址发送所述数据包。
5.一种路由生成装置,其特征在于,应用于防火墙,所述装置包括:
接收模块,用于接收发送至所述防火墙的数据包;
判断模块,用于判断所述数据包的目的IP地址是否属于预设地址;若是,触发生成模块;
生成模块,用于获取所述数据包对应的透明网桥标识、目的IP地址及目的MAC地址,依据所述透明网桥标识、目的IP地址及目的MAC地址,生成路由,将所述路由保存于预先设置的路由表中;
第一发送模块,用于将所述数据包发送至代理服务单元;
第一触发模块,用于触发所述代理服务单元检测所述数据包是否符合预设的协议规则标准,若是,则触发所述代理服务单元标记所述数据包并发送所述标记的数据包。
6.根据权利要求5所述的装置,其特征在于,透明网桥标识、目的IP地址及目的MAC地址保存在数据包结构体中,所述生成模块包括:
获取单元,用于获取所述数据包对应的透明网桥标识、目的IP地址及目的MAC地址;
生成单元,用于依据所述透明网桥标识、目的IP地址及目的MAC地址,生成路由,并保存于预先设置的路由表中;
其中:所述获取单元包括:
提取子单元,用于提取所述数据包结构体中的透明网桥标识、目的IP地址及目的MAC地址。
7.根据权利要求5所述的装置,其特征在于,所述生成模块获取到的透明网桥标识包括透明网桥的网卡名称和/或透明网桥的编号。
8.根据权利要求5所述的装置,其特征在于,还包括:
接收模块,用于接收所述代理服务单元发送的所述标记的数据包;
获取模块,用于获取所述标记的数据包对应的目的IP地址;
查找模块,用于依据所述目的IP地址,在所述路由表中查找相对应的透明网桥标识及目的MAC地址;
第二发送模块,用于依据所述透明网桥标识,将所述数据包发送至相对应的透明网桥;
第二触发模块,用于触发所述透明网桥依据所述目的MAC地址发送所述数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310667281.1A CN103607350B (zh) | 2013-12-10 | 2013-12-10 | 一种路由生成方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310667281.1A CN103607350B (zh) | 2013-12-10 | 2013-12-10 | 一种路由生成方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103607350A CN103607350A (zh) | 2014-02-26 |
| CN103607350B true CN103607350B (zh) | 2017-02-01 |
Family
ID=50125550
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310667281.1A Active CN103607350B (zh) | 2013-12-10 | 2013-12-10 | 一种路由生成方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103607350B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104994084A (zh) * | 2015-06-23 | 2015-10-21 | 西安交大捷普网络科技有限公司 | Web防火墙的局部代理方法 |
| CN111147382B (zh) * | 2019-12-31 | 2021-09-21 | 杭州迪普科技股份有限公司 | 报文转发方法和装置 |
| CN112165460B (zh) * | 2020-09-10 | 2023-07-25 | 杭州安恒信息技术股份有限公司 | 流量检测方法、装置、计算机设备和存储介质 |
| CN112769850B (zh) * | 2021-01-19 | 2022-11-22 | 英赛克科技(北京)有限公司 | 网络报文过滤方法、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101834783A (zh) * | 2010-03-29 | 2010-09-15 | 北京星网锐捷网络技术有限公司 | 一种报文转发方法、装置及网络设备 |
| CN102065111A (zh) * | 2009-11-13 | 2011-05-18 | 北京神州绿盟信息安全科技股份有限公司 | 一种反向代理方法和反向代理服务器 |
| CN102611700A (zh) * | 2012-02-24 | 2012-07-25 | 汉柏科技有限公司 | 一种在透明模式下实现vpn接入的方法 |
| CN102685140A (zh) * | 2012-05-22 | 2012-09-19 | 汉柏科技有限公司 | 透明模式的防火墙支持aaa认证功能的方法及系统 |
-
2013
- 2013-12-10 CN CN201310667281.1A patent/CN103607350B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065111A (zh) * | 2009-11-13 | 2011-05-18 | 北京神州绿盟信息安全科技股份有限公司 | 一种反向代理方法和反向代理服务器 |
| CN101834783A (zh) * | 2010-03-29 | 2010-09-15 | 北京星网锐捷网络技术有限公司 | 一种报文转发方法、装置及网络设备 |
| CN102611700A (zh) * | 2012-02-24 | 2012-07-25 | 汉柏科技有限公司 | 一种在透明模式下实现vpn接入的方法 |
| CN102685140A (zh) * | 2012-05-22 | 2012-09-19 | 汉柏科技有限公司 | 透明模式的防火墙支持aaa认证功能的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103607350A (zh) | 2014-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102821009B (zh) | 基于链路层发现协议监控环形网络的方法和装置 | |
| CN103944826B (zh) | Spbm网络中的表项聚合方法及设备 | |
| CN101160850B (zh) | 一种转发报文的方法及装置 | |
| CN105634956B (zh) | 一种报文转发方法、装置和系统 | |
| CN100525237C (zh) | 数据转发系统、方法以及网络转发设备 | |
| CN103607350B (zh) | 一种路由生成方法及装置 | |
| CN109067634A (zh) | 一种转发表项创建方法及装置 | |
| CN104883410B (zh) | 一种网络传输方法和网络传输装置 | |
| CN105721457A (zh) | 基于动态变换的网络安全防御系统和网络安全防御方法 | |
| CN1722707B (zh) | 用于在局域网交换机中保证通信的方法 | |
| CN101789949B (zh) | 一种实现负荷分担的方法和路由设备 | |
| CN106385365B (zh) | 基于开放流Openflow表实现云平台安全的方法和装置 | |
| CN103036875B (zh) | 一种用户身份处理装置及识别装置 | |
| CN105791214A (zh) | 一种RapidIO报文和以太网报文之间的转换方法和设备 | |
| CN107306220A (zh) | 报文转发方法及装置 | |
| CN103795631A (zh) | 部署了以太网虚拟连接的网络中的流量转发方法及设备 | |
| CN102857428A (zh) | 一种基于访问控制列表的报文转发方法和设备 | |
| CN101610266A (zh) | 一种检测地址解析协议arp报文合法性的方法及装置 | |
| CN106789387A (zh) | 一种用于sdn的链路检测方法及装置 | |
| CN104040967B (zh) | 一种报文的流转发方法及报文转发设备 | |
| CN108259442B (zh) | 一种慢协议报文处理方法及相关装置 | |
| CN102957755B (zh) | 一种地址解析方法、装置及信息传输方法 | |
| CN106656656A (zh) | 一种网络设备抓包方法及装置 | |
| CN104579939A (zh) | 网关的保护方法和装置 | |
| CN105429880B (zh) | 网络设备及其进行路由转发的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |