CN106899474A - 一种报文转发的方法和装置 - Google Patents
一种报文转发的方法和装置 Download PDFInfo
- Publication number
- CN106899474A CN106899474A CN201611118642.7A CN201611118642A CN106899474A CN 106899474 A CN106899474 A CN 106899474A CN 201611118642 A CN201611118642 A CN 201611118642A CN 106899474 A CN106899474 A CN 106899474A
- Authority
- CN
- China
- Prior art keywords
- message
- port number
- source
- tunnel
- source port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/72—Routing based on the source address
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种报文转发方法,所述方法应用于防火墙设备,包括:从第一隧道接收主机发送的用于建立会话的第一报文;按照设定规则计算第一报文的第一源端口号对应的第一映射端口号;在会话表中添加包括第一报文的第一源地址信息,第一源端口号,第一隧道信息及第一映射端口号的会话表项;将第一报文的第一源端口号替换为第一映射端口号,并转发替换后的第一报文,以使接收到第一报文的目标设备,在向主机发送第二报文时,将第一映射端口号作为第二报文的目的端口号;接收第二报文,根据会话表项,将第二报文的目的端口号替换为第一源端口号,并利用第一隧道转发替换后的第二报文。从而解决了目前地址重叠造成报文转发错误的问题。
Description
技术领域
本申请涉及通讯技术,特别是涉及一种报文转发的方法和装置。
背景技术
隧道技术是一种封装技术,隧道是一条虚拟的点对点连接,隧道的两端需要对数据报文进行封装及解封装。
参见图1,其示出了现有技术中的隧道组网环境示意图,该组网环境包括:主机A、主机B、网络设备1、网络设备2、防火墙设备和服务器,其中,网络设备1与防火墙设备建立隧道1,网络设备2与防火墙设备建立隧道2,主机A通过网络设备1访问服务器,主机B通过网络设备2访问服务器,防火墙设备和服务器相连。
基于上述组网环境,主机A和主机B访问服务器,服务器需要向主机A和主机B发送报文时,防火墙设备接收服务器发送的报文,若主机A和主机B的地址和端口号均相同,则防火墙设备无法区分哪些报文发送给主机A,哪些报文发送给主机B,因此容易出现报文转发错误的问题。
发明内容
本申请提供了一种报文转发的方法和装置,以解决目前地址重叠造成报文转发错误的问题。
为了解决上述问题,本申请公开了一种报文转发方法,所述方法应用于防火墙设备,包括:
从第一隧道接收主机发送的用于建立会话的第一报文;
按照设定规则计算所述第一报文的第一源端口号对应的第一映射端口号;
在所述会话表中添加包括所述第一报文的第一源地址信息,所述第一源端口号,第一隧道的第一隧道信息及第一映射端口号的会话表项;所述会话表中源地址信息,源端口号相同的会话表项包括映射端口号各不相同;
将所述第一报文的第一源端口号替换为第一映射端口号,并转发替换后的第一报文,以使接收到所述第一报文的目标设备,在向所述主机发送第二报文时,将所述第一映射端口号作为所述第二报文的目的端口号;
接收第二报文,根据所述会话表项,将所述第二报文的目的端口号替换为所述第一源端口号,并利用所述第一隧道信息对应的第一隧道转发替换后的第二报文。
为了解决上述问题,本申请还公开了一种报文转发装置,所述装置应用于防火墙设备,包括:
第一接收单元,用于从第一隧道接收主机发送的用于建立会话的第一报文;
计算单元,用于按照设定规则计算所述第一报文的第一源端口号对应的第一映射端口号;
添加单元,用于在所述会话表中添加包括所述第一报文的第一源地址信息,所述第一源端口号,第一隧道的第一隧道信息及第一映射端口号的会话表项;所述会话表中源地址信息,源端口号相同的会话表项包括映射端口号各不相同;
第一发送单元,用于将所述第一报文的第一源端口号替换为第一映射端口号,并转发替换后的第一报文,以使接收到所述第一报文的目标设备,在向所述主机发送第二报文时,将所述第一映射端口号作为所述第二报文的目的端口号;
第二接收单元,用于接收第二报文;
第二发送单元,用于根据所述会话表项,将所述第二报文的目的端口号替换为所述第一源端口号,并利用所述第一隧道信息对应的第一隧道转发替换后的第二报文。
与现有技术相比,本申请包括以下优点:
本申请中,会话表中的源地址信息和源端口号为主机的地址信息和端口号,源地址信息、源端口号相同的会话表项包括映射端口号各不相同,并且会话表项中还包括接收报文的隧道的隧道信息。防火墙设备在转发主机发往服务器的正向报文时,将映射端口号作为该正向报文的源端口号,基于此,在服务器往该主机发送的反向报文的目的端口号即为该映射端口号。也就是说,如果组网中存在多个地址信息和端口号相同的主机,当防火墙设备接收到服务器发往主机的反向报文时,可以根据映射端口号来区分主机,从会话表项中找用于转发该反向报文至相应主机的隧道的隧道信息,然后通过该隧道转发该反向报文,以将该反向报文转发至正确的主机,从而解决地址重叠造成数据转发错误的问题。
当然,实施本申请的任一产品不一定需要同时达到以上所述的所有优点。
附图说明
图1是现有技术中的隧道组网环境示意图;
图2是本申请实施例一种报文转发方法的流程图;
图3是本申请另一实施例一种报文转发方法的流程图;
图4是本申请另一实施例一种报文转发方法的流程图;
图5是本申请实施例一种报文转发装置的结构框图;
图6是本申请另一实施例一种报文转发装置的结构框图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
基于图1组网示意图,参照图2,示出了本申请其中一个实施例的一种报文转发方法的流程图。所述方法应用于防火墙设备,在本实施例中,该方法具体包括:
步骤201,从第一隧道接收主机发送的用于建立会话的第一报文。
步骤202,按照设定规则计算第一报文的第一源端口号对应的第一映射端口号。
本实施例中,按照设定规则计算第一报文的第一源端口号对应的第一映射端口号具体包括:
第一源端口号加上随机数,且第一源端口号与随机数的总和不大于设定阈值,获得第一映射端口号。
需要说明的是,本实施例中不限定第一映射端口号的计算方式,可以实现相同源端口号在每次计算时,计算出不同映射端口号的计算方式均属于本申请的保护范围。
步骤203,在会话表中添加包括第一报文的第一源地址信息,第一源端口号,第一隧道的第一隧道信息及第一映射端口号的会话表项。
该会话表中源地址信息,源端口号相同的会话表项包括映射端口号各不相同。本实施例,可通过不同的映射端口号对源地址信息和源端口号相同的主机进行区分。
步骤204,将第一报文的第一源端口号替换为第一映射端口号,并转发替换后的第一报文。
本实施例中,在目标设备接收到该第一报文后,由于该第一报文的第一源端口号为第一映射端口号,因此该目标设备在向该主机发送第二报文时,将第一映射端口号作为第二报文的目的端口号。该第二报文的目的地址信息为该主机的地址信息,即为第一源地址信息。
步骤205,接收第二报文,根据添加的会话表项,将第二报文的目的端口号替换为第一源端口号,并利用第一隧道信息对应的第一隧道转发替换后的第二报文。
防火墙设备在接收到该第二报文后,在会话表中查找源地址信息与第二报文的目的地址信息相同且映射端口号与第二报文的目的端口号相同的会话表项,即步骤203中添加的会话表项。然后,将第二报文的目的端口号替换为查找到的会话表项中的源端口号,并利用查找到的会话表项中的隧道信息对应的隧道转发替换后的第二报文。
通过利用本实施例,会话表中的源地址信息和源端口号为主机的地址信息和端口号,源地址信息、源端口号相同的会话表项包括映射端口号各不相同,并且会话表项中还包括接收报文的隧道的隧道信息。防火墙设备在转发主机发往服务器的正向报文时,将映射端口号作为该正向报文的源端口号,基于此,在服务器往该主机发送的反向报文的目的端口号即为该映射端口号。也就是说,如果组网中存在多个地址信息和端口号相同的主机,当防火墙设备接收到服务器发往主机的反向报文时,可以根据映射端口号来区分主机,从会话表项中找用于转发该反向报文至相应主机的隧道的隧道信息,然后通过该隧道转发该反向报文,以将该反向报文转发至正确的主机,从而解决地址重叠造成数据转发错误的问题。
基于图1组网示意图,参照图3,示出了本申请其中另一个实施例的一种报文转发方法的流程图。所述方法应用于防火墙设备,在本实施例中,该方法具体包括:
步骤301,从第一隧道接收主机发送的用于建立会话的第一报文。
步骤302,确定会话表中是否存在包括第一源地址信息和第一源端口号的会话表项。
若存在,则执行步骤303到步骤306。若不存在,执行步骤307到步骤309。
步骤303,按照设定规则计算第一报文的第一源端口号对应的第一映射端口号。
步骤304,在会话表中添加包括第一报文的第一源地址信息,第一源端口号,第一隧道的第一隧道信息及第一映射端口号的会话表项。
步骤305,将第一报文的第一源端口号替换为第一映射端口号,并转发替换后的第一报文。
步骤306,接收第二报文,根据添加的会话表项,将第二报文的目的端口号替换为第一源端口号,并利用第一隧道信息对应的第一隧道转发替换后的第二报文。
步骤303到步骤306与图2所示的实施例中的步骤202到步骤205类似,在此不再赘述。
步骤307,将第一源端口号作为第一映射端口号,在会话表中添加包括第一源地址信息,第一源端口号,第一隧道的第一隧道信息及第一映射端口号的会话表项。
本实施例中,可先判断会话表中是否已经存在有源地址信息和源端口号相同的会话表项,如果不存在,说明当前组网中没有与该主机地址信息和端口号相同的主机,那么不需要进行区分,也就不需要计算,直接将第一源端口号作为第一映射端口号即可。因此可以减少计算量,节省防火墙设备计算资源。
步骤308,转发第一报文。
相应的,第一报文直接转发即可,也不需要进行源端口替换。
本实施例中,在目标设备接收到该第一报文后,由于该第一报文的源端口没有替换,依然为第一源端口号,因此该目标设备在向该主机发送第三报文时,第三报文的目的端口号为该第一源端口号。该第三报文的目的地址信息为该主机的地址信息,即为第一源地址信息。
步骤309,接收第三报文,根据会话表项,利用第一隧道信息对应的第一隧道转发第三报文。
防火墙设备在接收到该第三报文后,在会话表中查找源地址信息与第二报文的目的地址信息相同且映射端口号与第二报文的目的端口号相同的会话表项,即步骤307中添加的会话表项。然后,由于该查找到的会话表项中的源端口号与映射端口号相同,因此,防火墙设备无需对第三报文的目的端口号进行替换,直接利用查找到的会话表项中的隧道信息对应的隧道转发该第三报文。
通过利用本实施例,会话表中的源地址信息和源端口号为主机的地址信息和端口号,源地址信息、源端口号相同的会话表项包括映射端口号各不相同,并且会话表项中还包括接收报文的隧道的隧道信息。防火墙设备在转发主机发往服务器的正向报文时,将映射端口号作为该正向报文的源端口号,基于此,在服务器往该主机发送的反向报文的目的端口号即为该映射端口号。也就是说,如果组网中存在多个地址信息和端口号相同的主机,当防火墙设备接收到服务器发往主机的反向报文时,可以根据映射端口号来区分主机,从会话表项中找用于转发该反向报文至相应主机的隧道的隧道信息,然后通过该隧道转发该反向报文,以将该反向报文转发至正确的主机,从而解决地址重叠造成数据转发错误的问题。
基于图2和图3的实施例,防火墙设备在添加完会话表项之后,转发主机发往服务器的报文时,如图4所示,可以包括如下步骤:
步骤401,接收主机发送的第四报文。
第四报文为主机与服务器建立会话之后发送的报文。
步骤402,在会话表中查找源地址信息与第四报文的源地址信息相同且源端口号与第四报文的源端口号相同且隧道信息为接收第四报文的隧道的隧道信息的目标会话表项。
由于组网中可能存在源地址信息和源端口相同的其它主机,因此在查找会话表项时,需要查找源地址信息与第四报文的源地址信息相同且源端口号与第四报文的源端口号相同且隧道信息为接收第四报文的隧道的隧道信息的会话表项,以避免源地址信息和源端口相同的多个主机查找到同一会话表项,发生无法区分主机的问题。
步骤403,若目标会话表项的映射端口号与源端口号相同,则转发第四报文。
步骤404,若所目标会话表项的映射端口号与源端口号不同,则将第四报文的源端口号替换为目标会话表项中的映射端口号,转发替换后的第四报文。
由于在建立会话时,目标设备收到主机的报文的源端口为映射端口号,因此目标设备会认为映射端口号为主机的源端口号。为了保持一致,在建立会话之后,防火墙设备在转发主机发送至目标设备的报文时,需要将映射端口号作为报文的源端口号,这样目标设备可以确定发送该报文的主机。
进一步的,为了本领域技术人员更好的理解本申请的技术方案,以图1为例说明防火墙设备对数据报文的处理过程。
以图1组网图为例,说明主机A和主机B与服务器交互报文的处理过程:
图1组网中主机A和主机B具有相同的IP地址3.1.1.10和相同的端口号5555,服务器的IP地址为50.1.1.10,端口号为80。
主机A与服务器建立会话,主机A向服务器发送用于建立会话的报文1,报文1的源IP地址为3.1.1.10,目的IP地址为50.1.1.10,源端口号为5555,目的端口号为80。
防火墙设备通过隧道1接收到主机A发送的报文1,确定会话表中是否存在包括源地址信息为3.1.1.10和源端口号为5555的会话表项,假设当前会话表项中不存在源地址信息为3.1.1.10和源端口号为5555的会话表项,则在会话表中源地址信息为3.1.1.10,目的地址信息为50.1.1.10,源端口号为5555,目的端口号为80,隧道信息为隧道1,映射端口号为5555的会话表项(记为会话表项1),添加后的会话表如表1所示:
表1
| 源地址信息 | 目的地址 | 源端口号 | 目的端口号 | 隧道信息 | 映射端口号 |
| 3.1.1.10 | 50.1.1.10 | 5555 | 80 | 隧道1 | 5555 |
防火墙设备报文1转发至服务器。
主机B与服务器建立会话,主机B向服务器发送用于建立会话的报文2,报文2的源IP地址为3.1.1.10,目的IP地址为50.1.1.10,源端口号为5555,目的端口号为80。
防火墙设备通过隧道2接收到主机B发送的报文2,确定会话表中是否存在包括源地址信息为3.1.1.10和源端口号为5555的会话表项,由于在此之前,防火墙设备已经接收到报文1,在会话表项中添加了源地址信息为3.1.1.10和源端口号为5555的会话表项,因此,确定会话表中存在包括源地址信息为3.1.1.10和源端口号为5555的会话表项。
防火墙设备在确定会话表中存在包括源地址信息为3.1.1.10和源端口号为5555的会话表项之后,计算源端口号5555对应的映射端口号,具体地,可以将源端口号5555加上一随机数,得到源端口号5555对应的映射端口号,假设计算得到的映射端口号为6789。
然后,防火墙设备在会话表中源地址信息为3.1.1.10,目的地址信息为50.1.1.10,源端口号为5555,目的端口号为80,隧道信息为隧道2,映射端口号为6789的会话表项(记为会话表项2),添加后的会话表如表2所示:
表2
| 源地址信息 | 目的地址 | 源端口号 | 目的端口号 | 隧道信息 | 映射端口号 |
| 3.1.1.10 | 50.1.1.10 | 5555 | 80 | 隧道1 | 5555 |
| 3.1.1.10 | 50.1.1.10 | 5555 | 80 | 隧道2 | 6789 |
防火墙设备将报文2的源端口号5555替换为映射端口号6789,将替换了源端口号的报文2转发至服务器。
服务器在接收到报文1和报文2后,根据报文1和报文2的源IP地址和源端口号会认为,发送报文1的主机A的IP地址为3.1.1.10,端口号为5555,而发送报文2的主机B的IP地址为3.1.1.10,端口号为6789。基于此,在服务器向主机A发送报文(记为报文3)时,报文3的目的IP地址为3.1.1.10,目的端口号5555,而在服务器向主机B发送报文(记为报文4)时,报文4的目的IP地址为3.1.1.10,目的端口号6789。
防火墙设备在接收到报文3后,在会话表中查找源地址信息为3.1.1.10,映射端口号为5555的会话表项,根据表2所示的会话表可知,会话表项1为源地址信息为3.1.1.10,映射端口号为5555的会话表项,并且会话表项1中的映射端口号和源端口号相同,所以不需要替换目的端口号,可直接将报文3通过隧道1转发至主机A。
防火墙设备在接收到报文4后,在会话表中查找源地址信息为3.1.1.10,映射端口号为6789的会话表项,根据表2所示的会话表可知,会话表项2为源地址信息为3.1.1.10,映射端口号为6789的会话表项,并且会话表项2中的映射端口号和源端口号不同,所以需要将报文4的目的端口号替换会话表项2中的源端口号5555,然后将替换了目的端口号的报文4通过隧道2转发至主机B。
另外,在主机A和主机B分别与服务器建立会话之后,主机A和主机B在向服务器发送报文时,也需要做相应改进。以主机A向服务器发送报文5、主机B向服务器发送报文6为例。报文5的源IP地址为3.1.1.10,目的IP地址为50.1.1.10,源端口号为5555,目的端口号为80。报文6的源IP地址为3.1.1.10,目的IP地址为50.1.1.10,源端口号为5555,目的端口号为80。
防火墙设备通过隧道1接收到主机A发送的报文5后,在会话表中查找源地址信息为3.1.1.10,源端口号为5555,隧道信息为隧道1的会话表项,根据表2所示的会话表可知,会话表项1为源地址信息为3.1.1.10,源端口号为5555,隧道信息为隧道1的会话表项,且会话表项1中的映射端口号和源端口号相同,所以不需要替换源端口号,可直接将报文5转发至服务器。
防火墙设备通过隧道2接收到主机B发送的报文6后,在会话表中查找源地址信息为3.1.1.10,源端口号为5555,隧道信息为隧道2的会话表项,根据表2所示的会话表可知,会话表项2为源地址信息为3.1.1.10,源端口号为5555,隧道信息为隧道2的会话表项,并且会话表项2中的映射端口号和源端口号不同,所以需要将报文6的源端口号替换会话表项2中的源端口号6789,然后将替换了源端口号的报文6转发至服务器。
从上述过程可知,本方案可以解决组网内存在IP地址和端口号相同的多个主机时,报文转发错误的问题。
需要说明的是,对于前述的方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请所必需的。
基于上述方法实施例的说明,本申请还提供了相应的装置实施例,来实现上述方法实施例所述的内容。
参照图5,示出了本申请其中一个实施例的一种报文转发装置的结构框图。所述装置应用于防火墙设备,在本实施例中,该装置具体包括:
第一接收单元510,用于从第一隧道接收主机发送的用于建立会话的第一报文。
计算单元520,用于按照设定规则计算第一报文的第一源端口号对应的第一映射端口号。
添加单元530,用于在会话表中添加包括第一报文的第一源地址信息,第一源端口号,第一隧道的第一隧道信息及第一映射端口号的会话表项。
其中,会话表中源地址信息,源端口号相同的会话表项包括映射端口号各不相同。
第一发送单元540,用于将第一报文的第一源端口号替换为第一映射端口号,并转发替换后的第一报文,以使接收到第一报文的目标设备,在向主机发送第二报文时,将第一映射端口号作为第二报文的目的端口号。
第二接收单元550,用于接收第二报文。
第二发送单元560,用于根据会话表项,将第二报文的目的端口号替换为第一源端口号,并利用第一隧道信息对应的第一隧道转发替换后的第二报文。
其中,计算单元520具体用于:确定会话表中是否存在包括第一源地址信息和第一源端口号的会话表项;若存在包括第一源地址信息和第一源端口号的会话表项,则按照设定规则计算第一源端口号对应的第一映射端口号。
相应的,添加单元530,还用于若不存在包括第一源地址信息和第一源端口号的会话表项,则将第一源端口号作为第一映射端口号,在会话表中添加包括第一源地址信息,第一源端口号,第一隧道的第一隧道信息及第一映射端口号的会话表项。
第一发送单元540,还用于转发第一报文,以使接收到第一报文的目标设备,在向主机发送第三报文时,将第一源端口号作为第三报文的目的端口号。
第二接收单元550,还用于接收第三报文。
第二发送单元560,还用于根据会话表项,利用第一隧道信息对应的第一隧道转发第三报文。
另外,计算单元520具体用于:将第一源端口号加上随机数,且第一源端口号与随机数的总和不大于设定阈值,获得第一映射端口号。
如图6所示,该装置还可以包括查找单元570。
相应的,第一接收单元510,还用于接收主机发送的第四报文。
查找单元570,用于在会话表中查找源地址信息与第四报文的源地址信息相同且源端口号与第四报文的源端口号相同且隧道信息为接收第四报文的隧道的隧道信息的目标会话表项。
第一发送单元540,还用于若目标会话表项的映射端口号与源端口号相同,则转发第四报文;若目标会话表项的映射端口号与源端口号不同,则将第四报文的源端口号替换为目标会话表项中的映射端口号,转发替换后的第四报文。
对于上述装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处所示方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域技术人员易于想到的是:上述各个实施例的任意组合应用都是可行的,故上述各个实施例之间的任意组合都是本申请的实施方案,但是由于篇幅限制,本说明书在此就不一一详述了。
本申请实施例可以实施在任何支持图形处理、互联网内容撷取和渲染的装置(或多个装置)上。这些装置包括但不限于个人计算机、集群服务器、移动电话、工作站、嵌入式系统、游戏机、电视、机顶盒,或任何其它支持计算机图形和内容显示的计算装置。这些装置可以包括但不限于拥有执行和储存指令的一个或多个处理器和存储器的装置。这些装置可以包括软件、固件和硬件。软件可以包括一个或多个应用程序和操作系统。硬件可以包括但不限于处理器、存储器及显示器。本申请可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
在本申请中,“组件”、“装置”、“系统”等等指应用于计算机的相关实体,如硬件、硬件和软件的组合、软件或执行中的软件等。详细地说,例如,组件可以、但不限于是运行于处理器的过程、处理器、对象、可执行组件、执行线程、程序和/或计算机。还有,运行于服务器上的应用程序或脚本程序、服务器都可以是组件。一个或多个组件可在执行的过程和/或线程中,并且组件可以在一台计算机上本地化和/或分布在两台或多台计算机之间,并可以由各种计算机可读介质运行。组件还可以根据具有一个或多个数据包的信号,例如,来自一个与本地系统、分布式系统中另一组件交互的,和/或在因特网的网络通过信号与其它系统交互的数据的信号通过本地和/或远程过程来进行通信。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”,不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
而且,上文中的“和/或”表示本文既包含了“和”的关系,也包含了“或”的关系,其中:如果方案A与方案B是“和”的关系,则表示某实施例中可以同时包括方案A和方案B;如果方案A与方案B是“或”的关系,则表示某实施例中可以单独包括方案A,或者单独包括方案B。本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。以上对本申请所提供的一种报文选路方法和装置,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种报文转发方法,其特征在于,所述方法应用于防火墙设备,包括:
从第一隧道接收主机发送的用于建立会话的第一报文;
按照设定规则计算所述第一报文的第一源端口号对应的第一映射端口号;
在所述会话表中添加包括所述第一报文的第一源地址信息,所述第一源端口号,第一隧道的第一隧道信息及第一映射端口号的会话表项;所述会话表中源地址信息,源端口号相同的会话表项包括映射端口号各不相同;
将所述第一报文的第一源端口号替换为第一映射端口号,并转发替换后的第一报文,以使接收到所述第一报文的目标设备,在向所述主机发送第二报文时,将所述第一映射端口号作为所述第二报文的目的端口号;
接收第二报文,根据所述会话表项,将所述第二报文的目的端口号替换为所述第一源端口号,并利用所述第一隧道信息对应的第一隧道转发替换后的第二报文。
2.根据权利要求1所述的方法,其特征在于,所述按照设定规则计算所述第一报文的第一源端口号对应的第一映射端口号,具体包括:
确定会话表中是否存在包括第一源地址信息和第一源端口号的会话表项;
若存在,则按照设定规则计算所述第一源端口号对应的第一映射端口号。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若不存在,则将所述第一源端口号作为第一映射端口号,在所述会话表中添加包括第一源地址信息,第一源端口号,第一隧道的第一隧道信息及第一映射端口号的会话表项;
转发所述第一报文,以使接收到所述第一报文的目标设备,在向所述主机发送第三报文时,将所述第一源端口号作为所述第三报文的目的端口号;
接收第三报文,根据所述会话表项,利用所述第一隧道信息对应的第一隧道转发所述第三报文。
4.根据权利要求1所述的方法,其特征在于,所述按照设定规则计算所述第一源端口号对应的第一映射端口号,包括:
第一源端口号加上随机数,且所述第一源端口号与随机数的总和不大于设定阈值,获得第一映射端口号。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收主机发送的第四报文;
在所述会话表中查找源地址信息与所述第四报文的源地址信息相同且源端口号与所述第四报文的源端口号相同且隧道信息为接收所述第四报文的隧道的隧道信息的目标会话表项;
若所述目标会话表项的映射端口号与源端口号相同,则转发所述第四报文;
若所述目标会话表项的映射端口号与源端口号不同,则将所述第四报文的源端口号替换为所述目标会话表项中的映射端口号,转发替换后的第四报文。
6.一种报文转发装置,其特征在于,所述装置应用于防火墙设备,包括:
第一接收单元,用于从第一隧道接收主机发送的用于建立会话的第一报文;
计算单元,用于按照设定规则计算所述第一报文的第一源端口号对应的第一映射端口号;
添加单元,用于在所述会话表中添加包括所述第一报文的第一源地址信息,所述第一源端口号,第一隧道的第一隧道信息及第一映射端口号的会话表项;所述会话表中源地址信息,源端口号相同的会话表项包括映射端口号各不相同;
第一发送单元,用于将所述第一报文的第一源端口号替换为第一映射端口号,并转发替换后的第一报文,以使接收到所述第一报文的目标设备,在向所述主机发送第二报文时,将所述第一映射端口号作为所述第二报文的目的端口号;
第二接收单元,用于接收第二报文;
第二发送单元,用于根据所述会话表项,将所述第二报文的目的端口号替换为所述第一源端口号,并利用所述第一隧道信息对应的第一隧道转发替换后的第二报文。
7.根据权利要求6所述的装置,其特征在于,所述计算单元具体用于:
确定会话表中是否存在包括第一源地址信息和第一源端口号的会话表项;
若存在包括第一源地址信息和第一源端口号的会话表项,则按照设定规则计算所述第一源端口号对应的第一映射端口号。
8.根据权利要求7所述的装置,其特征在于,所述添加单元,还用于
若不存在包括第一源地址信息和第一源端口号的会话表项,则将所述第一源端口号作为第一映射端口号,在所述会话表中添加包括第一源地址信息,第一源端口号,第一隧道的第一隧道信息及第一映射端口号的会话表项;
所述第一发送单元,还用于转发所述第一报文,以使接收到所述第一报文的目标设备,在向所述主机发送第三报文时,将所述第一源端口号作为所述第三报文的目的端口号;
所述第二接收单元,还用于接收第三报文;
所述第二发送单元,还用于根据所述会话表项,利用所述第一隧道信息对应的第一隧道转发所述第三报文。
9.根据权利要求6所述的装置,其特征在于,所述计算单元具体用于:
第一源端口号加上随机数,且所述第一源端口号与随机数的总和不大于设定阈值,获得第一映射端口号。
10.根据权利要求6所述的装置,其特征在于,
所述第一接收单元,还用于接收主机发送的第四报文;
所述装置还包括:
查找单元,用于在所述会话表中查找源地址信息与所述第四报文的源地址信息相同且源端口号与所述第四报文的源端口号相同且隧道信息为接收所述第四报文的隧道的隧道信息的目标会话表项;
所述第一发送单元,还用于若所述目标会话表项的映射端口号与源端口号相同,则转发所述第四报文;若所述目标会话表项的映射端口号与源端口号不同,则将所述第四报文的源端口号替换为所述目标会话表项中的映射端口号,转发替换后的第四报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611118642.7A CN106899474B (zh) | 2016-12-07 | 2016-12-07 | 一种报文转发的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611118642.7A CN106899474B (zh) | 2016-12-07 | 2016-12-07 | 一种报文转发的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106899474A true CN106899474A (zh) | 2017-06-27 |
| CN106899474B CN106899474B (zh) | 2020-06-09 |
Family
ID=59197759
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611118642.7A Active CN106899474B (zh) | 2016-12-07 | 2016-12-07 | 一种报文转发的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106899474B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108810009A (zh) * | 2018-06-28 | 2018-11-13 | 迈普通信技术股份有限公司 | 一种l2tp数据处理方法、设备及系统 |
| CN110768983A (zh) * | 2019-10-24 | 2020-02-07 | 新华三信息安全技术有限公司 | 一种报文处理方法和装置 |
| CN111147520A (zh) * | 2019-12-31 | 2020-05-12 | 奇安信科技集团股份有限公司 | 由防火墙执行的信息处理方法和装置 |
| CN111953770A (zh) * | 2020-08-07 | 2020-11-17 | 平安科技(深圳)有限公司 | 一种路由转发方法、装置、路由设备及可读存储介质 |
| CN112217909A (zh) * | 2019-07-11 | 2021-01-12 | 奇安信科技集团股份有限公司 | 基于会话的数据转发方法及数据转发装置 |
| CN114615080A (zh) * | 2022-03-30 | 2022-06-10 | 阿里巴巴(中国)有限公司 | 工业设备的远程通信方法、装置以及设备 |
| CN114866314A (zh) * | 2022-04-29 | 2022-08-05 | 苏州雄立科技有限公司 | 会话数据包的路由方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101133625A (zh) * | 2005-04-11 | 2008-02-27 | 国际商业机器公司 | 防止来自网络地址端口转换器服务的客户机的重复源 |
| CN101605136A (zh) * | 2009-07-28 | 2009-12-16 | 杭州华三通信技术有限公司 | 一种对报文进行互联网协议安全性IPSec处理的方法和装置 |
| CN103701945A (zh) * | 2013-12-16 | 2014-04-02 | 浙江宇视科技有限公司 | 一种地址转换方法和装置 |
-
2016
- 2016-12-07 CN CN201611118642.7A patent/CN106899474B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101133625A (zh) * | 2005-04-11 | 2008-02-27 | 国际商业机器公司 | 防止来自网络地址端口转换器服务的客户机的重复源 |
| CN101605136A (zh) * | 2009-07-28 | 2009-12-16 | 杭州华三通信技术有限公司 | 一种对报文进行互联网协议安全性IPSec处理的方法和装置 |
| CN103701945A (zh) * | 2013-12-16 | 2014-04-02 | 浙江宇视科技有限公司 | 一种地址转换方法和装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108810009A (zh) * | 2018-06-28 | 2018-11-13 | 迈普通信技术股份有限公司 | 一种l2tp数据处理方法、设备及系统 |
| CN112217909A (zh) * | 2019-07-11 | 2021-01-12 | 奇安信科技集团股份有限公司 | 基于会话的数据转发方法及数据转发装置 |
| CN110768983A (zh) * | 2019-10-24 | 2020-02-07 | 新华三信息安全技术有限公司 | 一种报文处理方法和装置 |
| CN110768983B (zh) * | 2019-10-24 | 2022-04-22 | 新华三信息安全技术有限公司 | 一种报文处理方法和装置 |
| CN111147520A (zh) * | 2019-12-31 | 2020-05-12 | 奇安信科技集团股份有限公司 | 由防火墙执行的信息处理方法和装置 |
| CN111147520B (zh) * | 2019-12-31 | 2022-02-25 | 奇安信科技集团股份有限公司 | 由防火墙执行的信息处理方法和装置 |
| CN111953770A (zh) * | 2020-08-07 | 2020-11-17 | 平安科技(深圳)有限公司 | 一种路由转发方法、装置、路由设备及可读存储介质 |
| CN111953770B (zh) * | 2020-08-07 | 2022-11-25 | 平安科技(深圳)有限公司 | 一种路由转发方法、装置、路由设备及可读存储介质 |
| CN114615080A (zh) * | 2022-03-30 | 2022-06-10 | 阿里巴巴(中国)有限公司 | 工业设备的远程通信方法、装置以及设备 |
| CN114615080B (zh) * | 2022-03-30 | 2023-12-05 | 阿里巴巴(中国)有限公司 | 工业设备的远程通信方法、装置以及设备 |
| CN114866314A (zh) * | 2022-04-29 | 2022-08-05 | 苏州雄立科技有限公司 | 会话数据包的路由方法 |
| CN114866314B (zh) * | 2022-04-29 | 2024-05-14 | 苏州雄立科技有限公司 | 会话数据包的路由方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106899474B (zh) | 2020-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106899474A (zh) | 一种报文转发的方法和装置 | |
| US10187855B2 (en) | Message processing method and apparatus | |
| US9742589B2 (en) | Techniques for realizing service chaining | |
| KR101577920B1 (ko) | 위치-기반 그룹 생성 방법, 장치 및 시스템 | |
| JP6879367B2 (ja) | 攻撃状況可視化装置、攻撃状況可視化方法及びプログラム | |
| CN109981493B (zh) | 一种用于配置虚拟机网络的方法和装置 | |
| US9832139B2 (en) | Method and system for accessing network service | |
| US20190182208A1 (en) | Apparatus and method for correlating addresses of different internet protocol versions | |
| CN108183975A (zh) | 一种域名解析的方法和系统 | |
| CN110808857B (zh) | 实现Kubernetes集群的网络互通方法、装置、设备以及存储介质 | |
| CN106921578A (zh) | 一种转发表项的生成方法和装置 | |
| CN110730133A (zh) | 路由通告方法和系统 | |
| US10454816B2 (en) | Transparent satellite routing system and method | |
| CN104038522B (zh) | 一种基于互联网的虚拟—现实混合空间定位系统 | |
| JP2015091018A (ja) | ネットワークシステムおよびネットワーク中継装置 | |
| CN103023704B (zh) | 虚拟网络服务设备接入方法及系统 | |
| CN104537061A (zh) | 在电子地图上自定义poi名称以及查询poi的方法和装置 | |
| US20210112025A1 (en) | Method and server for processing messages | |
| CN107682257A (zh) | 数据传输方法和系统 | |
| CN104301423A (zh) | 一种发送心跳报文的方法、装置及系统 | |
| CN106899475A (zh) | 一种整合隧道资源的方法、装置以及处理报文的方法 | |
| CN105812434B (zh) | 用户手持设备虚拟化后的业务链控制方法及装置 | |
| CN112583720B (zh) | 自治系统间跟踪路由消息 | |
| CN112165430A (zh) | 数据路由方法、装置、设备以及存储介质 | |
| CN106230729A (zh) | 一种网络设备地址通告的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |