CN107948150A - 报文转发方法及装置 - Google Patents
报文转发方法及装置 Download PDFInfo
- Publication number
- CN107948150A CN107948150A CN201711174503.0A CN201711174503A CN107948150A CN 107948150 A CN107948150 A CN 107948150A CN 201711174503 A CN201711174503 A CN 201711174503A CN 107948150 A CN107948150 A CN 107948150A
- Authority
- CN
- China
- Prior art keywords
- address
- message
- waf
- server
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2557—Translation policies or rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及一种报文转发方法及装置。所述方法包括:从WAF的第一虚接口接收客户端发送的第一请求报文,第一请求报文包括所述客户端待访问的服务器的域名;根据服务器的域名,获取服务器的IP地址;根据服务器的IP地址查找已存储的转发信息,生成第二请求报文,第二请求报文的源IP地址为WAF的第二虚接口的IP地址,目的IP地址为服务器的IP地址;通过第二虚接口向WAF的下一跳网络设备发送第二请求报文,以使下一跳网络设备向服务器转发第二请求报文。通过为WAF配置相互独立的多个虚接口,将WAF访问Web Server的流量通过第二虚空口接口转发,减轻了网关和LB设备的负担。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种报文转发方法及装置。
背景技术
目前,为了保护网络服务器(Web Server)不会受到外网的攻击。在Web Server前架设网络应用防火墙/防护系统(也称:网站应用级入侵防御系统,英文:Web ApplicationFirewall,简称:WAF)。通过WAF的反向代理功能,在转发客户端发送的请求报文前,对请求进行一次清洗。也即,只有合法的请求报文才会被送到Web Server处进行处理,不合法的请求报文将被WAF进行安全策略过滤而丢弃。
如图1a-图1d为现有技术中客户端通过WAF访问Web Server以及Web Server通过WAF回应客户端的流程示意图。以客户端发送的请求为超文本传输协议(英文:Hyper TextTransfer Protocol,简称:HTTP)请求报文为例,图1a所示为客户端访问WAF的流程。HTTP请求报文到达防火墙后,防火墙根据网络地址转换原则,将HTTP请求报文通过网关转发至负载均衡(英文:Load Balance,简称:LB)设备。LB选择一个WAF后,再次将HTTP请求报文发送至网关,网关将HTTP请求转发至选择出的WAF。
图1b所示为WAF访问Web Server的流程。WAF的业务检测接口在接收到HTTP请求报文后,对HTTP请求报文进行安全策略匹配。若HTTP请求报文为合法报文,则对该HTTP请求报文进行代理。通过业务检测接口,将HTTP请求报文发送至网关。网关向LB设备发送HTTP请求报文。LB设备确定该HTTP请求报文为发送至Web Server的请求报文后,再发送至网关。由网关将该HTTP请求报文发送至Web Server处。
图1c所示为Web Server回应WAF的流程。Web Server收到HTTP请求报文后,对HTTP请求报文进行回应,将回应报文发送至网关。网关收到回应报文后,将回应报文转发至WAF所在私网中。图1d所示为WAF回应客户端的流程。WAF回应客户端的流程为图1a客户端访问WAF的流程的逆过程,在此不再复述。
在对上述流程的描述可知,在图1b所示的流程中,由于WAF向网关发送的HTTP请求报文的源网络协议(英文:Internet Protocol,简称:IP)地址为WAF的业务检测接口的IP地址,网关在根据自身的转发表进行匹配时,会将该HTTP请求报文直接转发至LB设备,由LB设备进行地址匹配后转发至网关,最后再由网关发送至Web Server,这使得WAF访问WebServer的路径在网关和LB设备上存在冗余转发,增加了网关和LB设备的负担。
发明内容
有鉴于此,本发明提出了一种报文转发方法及装置,减轻了网关和LB设备的负担,同时,也实现了WAF访问Web Server的流量与外网访问WAF的流量隔离。
在第一方面,本发明提供了一种报文转发方法,所述方法应用于Web应用防护系统WAF,所述方法包括:
从所述WAF的第一虚接口接收客户端发送的第一请求报文,所述第一请求报文包括所述客户端待访问的服务器的域名;
根据所述服务器的域名,获取所述服务器的IP地址;
根据所述服务器的IP地址查找已存储的转发信息,生成第二请求报文,所述第二请求报文的源IP地址为所述WAF的第二虚接口的IP地址,目的IP地址为所述服务器的IP地址;
通过所述第二虚接口向所述WAF的下一跳网络设备发送所述第二请求报文,以使所述下一跳网络设备向所述服务器转发所述第二请求报文。
在一种可能的实现方式中,所述方法还包括:
从所述第二虚接口接收所述服务器发送的第一回应报文,所述第一回应报文的源IP地址为所述服务器的IP地址,目的IP地址为所述第二虚接口的IP地址;
当确定所述第一回应报文为所述服务器向所述客户端发送的回应报文时,根据所述第二虚接口与所述第一虚接口之间的映射关系,将所述第一回应报文中的源IP地址、目的IP地址进行转换处理,得到第二回应报文,所述第二回应报文的源IP地址为所述第一虚接口的IP地址、目的IP地址为所述客户端的IP地址;
通过所述第一虚接口向所述WAF的下一跳网络设备发送所述第二回应报文,以使所述WAF的下一跳网络设备向所述客户端转发所述第二回应报文。
在一种可能的实现方式中,所述方法还包括:
接收控制器发送的配置命令,所述配置命令携带有所述转发信息;
将所述转发信息进行存储;
其中,所述转发信息包括所述WAF提供保护的服务器的IP地址、下一跳出接口信息以及所述下一跳网络设备的地址信息。
在一种可能的实现方式中,所述从所述WAF的第一虚接口接收客户端发送的第一请求报文之后,所述方法还包括:
对所述第一请求报文进行安全策略匹配;
若所述第一请求报文为合法报文,则解析所述第一请求报文,并获取所述服务器的域名。
在一种可能的实现方式中,所述第一虚接口为业务检测接口,所述第二虚接口为服务访问接口。
在第二方面,本发明提供了一种报文转发装置,所述装置应用于Web应用防护系统WAF,所述装置包括:
第一接收模块,用于从所述WAF的第一虚接口接收客户端发送的第一请求报文,所述第一请求报文包括所述客户端待访问的服务器的域名;
获取模块,用于根据所述服务器的域名,获取所述服务器的IP地址;
第一报文生成模块,用于根据所述服务器的IP地址查找已存储的转发信息,生成第二请求报文,所述第二请求报文的源IP地址为所述WAF的第二虚接口的IP地址,目的IP地址为所述服务器的IP地址;
第一发送模块,用于通过所述第二虚接口向所述WAF的下一跳网络设备发送所述第二请求报文,以使所述下一跳网络设备向所述服务器转发所述第二请求报文。
在一种可能的实现方式中,所述装置还包括:
第二接收模块,用于从所述第二虚接口接收所述服务器发送的第一回应报文,所述第一回应报文的源IP地址为所述服务器的IP地址,目的IP地址为所述第二虚接口的IP地址;
第二报文生成模块,用于当确定所述第一回应报文为所述服务器向所述客户端发送的回应报文时,根据所述第二虚接口与所述第一虚接口之间的映射关系,将所述第一回应报文中的源IP地址、目的IP地址进行转换处理,得到第二回应报文,所述第二回应报文的源IP地址为所述第一虚接口的IP地址、目的IP地址为所述客户端的IP地址;
第二发送模块,用于通过所述第一虚接口向所述WAF的下一跳网络设备发送所述第二回应报文,以使所述WAF的下一跳网络设备向所述客户端转发所述第二回应报文。
在一种可能的实现方式中,所述装置还包括:
第三接收模块,用于接收控制器发送的配置命令,所述配置命令携带有所述转发信息;
存储模块,用于将所述转发信息进行存储;
其中,所述转发信息包括所述WAF提供保护的服务器的IP地址、下一跳出接口信息以及所述下一跳网络设备的地址信息。
在一种可能的实现方式中,所述装置还包括:
匹配模块,用于对所述第一请求报文进行安全策略匹配;
解析模块,用于若所述第一请求报文为合法报文,则解析所述第一请求报文,并获取所述服务器的域名。
在一种可能的实现方式中,所述第一虚接口为业务检测接口,所述第二虚接口为服务访问接口。
在WAF访问Web Server的过程中,WAF通过第一虚接口接收到客户端发送的第一请求报文。由于WAF的第二虚接口的IP地址没有加入LB设备的实服务器组成员中。因此,WAF生成的第二请求报文到达网络设备后,不会被网络设备中的策略路由送往LB设备进行目的地址匹配后再次转发至网络设备,而是直接转发到了Web Server所在的私网中,减轻了网络设备和LB的负担;同时,也实现了WAF访问Web Server的流量与外网(客户端)访问WAF的流量隔离。
根据下面参考附图对示例性实施例的详细说明,本发明的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本发明的示例性实施例、特征和方面,并且用于解释本发明的原理。
图1a示出一示例的外网客户端通过WAF访问服务器流程应用于LB组网场景的示意图;
图1b示出一示例的外网客户端通过WAF访问服务器流程应用于LB组网场景的示意图;
图1c示出一示例的外网客户端通过WAF访问服务器流程应用于LB组网场景的示意图;
图1d示出一示例的外网客户端通过WAF访问服务器流程应用于LB组网场景的示意图;
图2示出根据本发明一实施例的报文转发方法的流程图;
图3示出根据本发明一实施例的报文转发方法的流程图;
图4示出根据本发明一实施例的报文转发方法的流程图;
图5示出根据本发明一实施例的报文转发方法的流程图;
图6是根据一示例性实施例示出的一种报文转发方法的应用场景的示意图;
图7示出根据本发明一实施例的报文转发装置的框图;
图8示出根据本发明一实施例的报文转发装置的框图;
图9示出根据本发明一实施例的报文转发装置的硬件框图。
具体实施方式
以下将参考附图详细说明本发明的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本发明,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本发明同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本发明的主旨。
为了解决上述技术问题,本发明实施例提供了一种报文转发方法,以减轻网关和LB设备的负担,并且能够实现在WAF访问Web Server的过程中,与外网(客户端)访问WAF的流量相互隔离。
图2示出根据本发明一实施例的报文转发方法的流程图。该报文转发方法可以应用于WAF。该WAF可集成部署在网络中的设备上,例如,部署在服务器、路由器上。如图2所示,该方法可以包括:
步骤S101,从所述WAF的第一虚接口接收客户端发送的第一请求报文,所述第一请求报文包括所述客户端待访问的服务器的域名。
具体地,客户端发起对Web Server的访问。如图1a所示客户端访问WAF的流程。客户端生成第一请求报文。该第一请求报文包括源IP地址、目的IP地址以及目的域名。其中,源IP地址为客户端的IP地址;目的IP地址为LB设备的外网IP地址;目的域名为待访问的WebServer的域名地址。
该第一请求报文到达防火墙后,防火墙确定目的IP地址为LB设备的外网IP地址,根据自身配置的网络地址转换(英文:Network Address Translation,简称:NAT)规则以及转发规则,防火墙将第一请求报文的目的IP地址转换为LB设备的虚服务器IP地址。防火墙通过网关将第一请求报文转发至LB设备进行负载均衡调度。
LB设备接收到第一请求报文后,从多个WAF中选择出一个可对客户端发送的HTTP请求报文进行处理的WAF(LB设备可根据当前多个WAF的负载能力进行选择),再次将第一请求报文的目的IP地址转换为选择出的WAF的第一虚接口的IP地址。LB设备再次将第一请求报文发送至网关。
网关接收到第一请求报文后,查找自身的路由表,对第一请求报文进行虚拟扩展局域网(英文:Virtual Extensible LAN,简称:VXLAN)隧道封装操作,将该封装后的第一请求报文转发至与选择出的WAF连接的VXLAN隧道端点(英文:VXLAN Tunnel End Point,简称:VETP)1处。VETP1对封装后的第一请求报文进行VXLAN隧道解封装操作,得到第一请求报文。VETP1根据第一请求报文的目的IP地址,将第一请求报文发送至WAF的第一虚接口。
至此,WAF通过第一虚接口接收客户端发送的第一请求报文。第一请求报文的源IP地址为客户端的IP地址、目的IP地址为WAF的第一虚接口的IP地址。
在本发明实施例中,第一虚接口为业务检测接口,第一虚接口是软件定义网络(英文:Soft Define Network,简称:SDN)控制器在添加WAF时,定义的WAF的接口。该接口也可以称为外网流量接口。
举例来说,SDN控制器可以在添加WAF时对WAF的接口进行定义。例如,SDN控制器定义WAF的eth0网卡为业务检测接口,并保存这个接口的MAC地址。WAF上线时,eth0网卡上电,并以普通虚接口(英文:virtual port,简称:vport)形式上线。SDN控制器学习到这个vport,并获取这个vport对应的网关的IP地址。
在本发明实施例中,第一请求报文可以是HTTP/HTTPS请求报文,或者其他网络协议的访问请求报文。
步骤S102,根据所述服务器的域名,获取所述服务器的IP地址。
具体地,WAF接收到第一请求报文后,WAF根据第一请求报文包括的待访问的WebServer的域名,查找本地配置的保护站点域名信息,得到客户端待访问的Web Server的IP地址。
步骤S103,根据所述服务器的IP地址查找已存储的转发信息,生成第二请求报文,所述第二请求报文的源IP地址为所述WAF的第二虚接口的IP地址,目的IP地址为所述服务器的IP地址。
具体地,WAF在得到Web Server的IP地址后,查找已存储的转发表。从转发表中获取转发第一请求报文的转发信息。WAF根据转发信息,将第一请求报文的源IP地址转换为WAF的第二虚接口的IP地址,目的IP地址转换为Web Server的IP地址。WAF生成第二请求报文。
可以理解的是,转发信息包括WAF提供保护的服务器的IP地址、下一跳出接口信息(在本发明实施例中也即是第二虚接口的IP地址)以及下一跳网络设备(在本发明实施例中也即是网关)的地址信息。
在本发明实施例中,第二虚接口为服务访问接口,第二虚接口是SDN控制器在添加WAF节点设备时,定义的WAF的接口。该接口也可以称为内网流量接口。
举例来说,SDN控制器可以在添加WAF时对WAF的接口进行定义。例如,SDN控制器定义WAF的eth1网卡为服务访问接口,并保存这个接口的MAC地址。WAF上线时,eth1网卡上电,并以普通vport形式上线。SDN控制器会学习到这个vport,并获取这个vport对应的网关的IP地址。
在本发明实施例中,第二请求报文也可以是HTTP/HTTPS请求报文,或者其他网络协议的访问请求报文,本发明实施例对此不作限定。
步骤S104,通过所述第二虚接口向所述WAF的下一跳网络设备发送所述第二请求报文,以使所述下一跳网络设备向所述服务器转发所述第二请求报文。
具体地,WAF在生成第二请求报文后,需将第二请求报文发送至Web Server。根据步骤S101中网关通过与WAF连接的VTEP1向WAF转发第一请求报文的逆过程,WAF生成第二请求报文后,通过第二虚接口向与自身连接的VTEP1发送第二请求报文。VTEP1根据第二请求报文的源、目的IP地址信息,确定第二请求报文需通过VXLAN隧道进行转发。VTEP1对第二请求报文进行VXLAN隧道封装操作,并通过VXLAN隧道向网关发送封装后的第二请求报文。
网关接收到封装后的第二请求报文后,进行VXLAN隧道解封装操作。网关得到第二请求报文。根据第二请求报文的源、目的IP地址信息查找自身的路由表,网关确定还需再次对第二请求报文进行VXLAN隧道封装操作,并通过VXLAN隧道才可将第二请求报文转发至Web Server中。此时,网关再次对第二请求报文进行VXLAN隧道封装操作,并将封装后的第二请求报文发送至与Web Server连接的VTEP2处。VETP2对封装后的第二请求报文进行VXLAN隧道解封装操作,得到第二请求报文。VETP2根据第二请求报文的目的IP地址,将第二请求报文发送至Web Server。
Web Server接收到第二请求报文后,对第二请求报文进行相应的处理。
进一步地,WAF可与Web Server建立TCP连接。通过TCP连接方式,WAF与Web Server之间进行通信交互。例如,WAF通过第二虚接口向Web Server发送第二请求报文。
因此,在WAF访问Web Server的过程中,由于WAF的第二虚接口的IP地址没有加入LB设备的实服务器组成员中。因此,WAF生成的第二请求报文到达网关后,不会再被网关的策略路由送往LB设备进行目的地址匹配后再次转发至网关,而是直接通过网关转发至WebServer所在的私网中,减轻了网关和LB设备的负担。通过为WAF配置相互独立的第一虚接口与第二虚接口,将WAF访问Web Server的流量通过第二虚接口进行转发,也实现了WAF访问Web Server的流量与外网访问WAF的流量隔离。
图3示出根据本发明一实施例的报文转发方法的流程图。如图3所示,WAF接收到第一请求报文后,所述方法还可以包括:
步骤S105,对所述第一请求报文进行安全策略匹配;
步骤S106,若所述第一请求报文为合法报文,则解析所述第一请求报文,并获取服务器的域名。
具体地,SDN控制器在添加WAF时,还为WAF配置了安全策略、转发规则和保护站点配置信息等。其中,保护站点配置信息可以包括保护站点域名和对应的IP地址等。
在本发明实施例中,保护站点为前述实施例中的Web Server。每一个Web Server都有唯一的域名以及对应的IP地址。在实际应用中,保护站点还可以是防火墙等其他网络设备,本发明实施例对此不作限定。
在一个例子中,第一请求报文为HTTP请求报文。WAF在接收到第一HTTP请求报文后,先对第一HTTP请求报文进行安全策略匹配。若第一HTTP请求报文为合法报文,则WAF解析第一HTTP请求报文,并获取Web Server的域名。WAF获取Web Server的域名后,根据保护站点配置信息,WAF进行域名映射操作,得到Web Server的IP地址。
需要说明的是,在图3中的步骤S101-步骤S104与前述实施例图2中的步骤S101-步骤S104相同,在此不再复述。
图4示出根据本发明一实施例的报文转发方法的流程图。如图4所示,在图4中的步骤S101-步骤S104与前述实施例图2中的步骤S101-步骤S104相同,在此不再复述。在步骤S104之后,所述方法还可以包括:
步骤S107,从所述第二虚接口接收所述服务器发送的第一回应报文,所述第一回应报文的源IP地址为所述服务器的IP地址,目的IP地址为所述第二虚接口的IP地址。
具体地,Web Server在接收到WAF发送的第二请求报文后,对第二请求报文做出回应,Web Server回应WAF的流程可参考图1c所示。
Web Server生成第一回应报文。其中,第一回应报文的源IP地址为Web Server的IP地址,目的IP为第二虚接口的IP地址。Web Server向与自身连接的VTEP2发送第一回应报文。VTEP2根据第一回应报文的源、目的IP地址信息,确定第一回应报文需通过VXLAN隧道进行转发。VTEP2对第一回应报文进行VXLAN隧道封装操作,并通过VXLAN隧道向网关发送封装后的第一回应报文。
网关接收到封装后的第一回应报文后,进行VXLAN隧道解封装操作。网关得到第一回应报文。根据第一回应报文的源、目的IP地址信息查找自身的路由表,网关确定还需再次对第一回应报文进行VXLAN隧道封装操作,并通过VXLAN隧道才可将第一回应报文转发至WAF中。此时,网关再次对第一回应报文进行VXLAN隧道封装操作,并将封装后的第一回应报文发送至与WAF连接的VTEP1处。VETP1对封装后的第一回应报文进行VXLAN隧道解封装操作,得到第一回应报文。VETP1根据第一回应报文的目的IP地址,将第一回应报文发送至WAF的第二虚接口。
至此,WAF通过第二虚接口接收Web Server发送的第一回应报文。
可以理解的是,在本发明实施例中,第一回应报文也可以是HTTP回应报文。
步骤S108,根据所述第二虚接口与第一虚接口之间的映射关系以及第一回应报文生成第二回应报文,所述第二回应报文的源IP地址为所述第一虚接口的IP地址、目的IP地址为所述客户端的IP地址。
具体地,WAF从第二虚接口接收服务器回应于第二请求报文发送的第一回应报文后,WAF先将第一回应报文复制在自身的内存中。
WAF根据已记录的接收第一请求报文的第一虚接口与发送第二请求报文的第二虚接口之间的映射关系,查找接收第一回应报文的第二虚接口对应的第一虚接口。
根据查找到的第一虚接口,WAF生成第二回应报文。进一步地,WAF从内存中获取第一回应报文,并将第一回应报文的源IP地址转换为查找到的第一虚接口的IP地址,目的IP地址转换为客户端的IP地址。WAF还将第一回应报文包括的报文内容复制到第二回应报文中,WAF得到第二回应报文。
步骤S109,通过所述第一虚接口向所述WAF的下一跳网络设备发送所述第二回应报文,以使所述WAF的下一跳网络设备向所述客户端转发所述第二回应报文。
具体地,WAF在生成第二回应报文后,需将第二回应报文发送至客户端。根据步骤S101中客户端通过网关、与WAF连接的VTEP1向WAF转发第一请求报文的逆过程,WAF生成第二回应报文后,通过第一虚接口向与自身连接的VTEP1发送第二回应报文。VTEP1根据第二回应报文的源、目的IP地址信息,确定第二回应报文需通过VXLAN隧道进行转发。VTEP1对第二回应报文进行VXLAN隧道封装操作,并通过VXLAN隧道向网关发送封装后的第二回应报文。
网关接收到封装后的第二回应报文后,进行VXLAN隧道解封装操作。网关得到第二回应报文。根据第二回应报文的源IP地址信息确定需将第二回应报文转发至LB设备。网关向LB设备发送第二回应报文。
LB设备接收到第二回应报文后,根据第二回应报文的源、目的IP地址进行地址匹配。LB设备将第二回应报文的源IP地址转换为LB的需服务器的IP地址,目的IP地址保持不变。LB再次将第二回应报文发送至网关。
网关接收到第二回应报文后,查找自身的路由表,将第二回应报文转发至防火墙。该第二回应报文到达防火墙后,防火墙确定目的IP地址为客户端的IP地址,根据自身配置的NAT规则以及转发规则,防火墙将第二回应报文的源IP地址转换为LB设备的外网IP地址。防火墙将第二回应报文转发至客户端。
至此,客户端接收到第二回应报文。客户端、WAF、Web Server完成一次访问请求交互流程。
图5示出根据本发明一实施例的报文转发方法的流程图。如图5所示,在图5中的步骤S101-步骤S104与前述实施例图2中的步骤S101-步骤S104相同,在此不再复述。在步骤S101之前,所述方法还可以包括:
步骤S110,接收控制器发送的配置命令,所述配置命令携带有所述转发信息。
步骤S111,将所述转发信息进行存储。
具体地,SDN控制器在添加WAF时,为WAF配置的、WAF提供保护的保护站点的转发信息。SDN控制器生成配置命令。该配置命令包括转发信息。其中,转发信息包括WAF提供保护的服务器的IP地址、下一跳出接口信息以及下一跳网络设备的地址等信息。WAF接收到SDN控制器下发的配置命令后,从配置命令中获取转发信息,并将转发信息进行存储。
可以理解的是,转发信息可以是向WAF配置去往Web Server的路由。SDN控制器指定WAF的下一跳出接口为第二虚接口,下一跳为第二虚接口对应的网络设备的IP地址(例如,第二虚接口对应的网关的IP地址),使用VXLAN隧道转发报文等。
在一个示例中,当WAF与Web Server位于不同子网时,下一跳网络设备的地址为第二虚接口对应的网关的IP地址。
在另一示例中,当WAF与Web Server位于相同子网时,WAF设备主动学习到去往WebServer的主机路由。该主机路由的优先级高于SDN控制器下发的转发信息中包括的路由。则WAF按照主机路由方式查找自身的路由表,以获取下一跳网络设备的地址。
因此,通过为WAF配置WAF提供保护的保护站点的转发信息,将WAF访问保护站点的下一跳出接口设置为第二虚接口,使得网关接收到WAF发送的请求报文后,不会再被网关的策略路由送往LB设备进行目的地址匹配后再次转发至网关,而是直接通过网关转发至保护站点所在的私网中,减轻了网关和LB设备的负担。
应用示例
图6是根据一示例性实施例示出的一种报文转发方法的应用场景的示意图。以下结合图6对本发明实施例提供的报文转发方法的流程进行描述,以便于理解本发明实施例的目的,本领域技术人员应该理解,以下示例不应视为对本发明的限制。
如图6所示,在该应用示例中,包括客户端、防火墙、网关、LB设备、多个VTEP(VTEP1、VTEP2)、与VTEP1连接的多个WAF,以及与VTEP2连接的Web Server。
SDN控制器添加WAF时,通过发送配置命令,为每个WAF配置了第一虚接口(下述以业务检测接口为例进行说明)和第二虚接口(下述以服务访问接口为例进行说明),并且还为每个WAF配置了安全策略、转发规则和保护站点配置信息等。
如图6所示,以各网络设备转发HTTP请求报文为例,本发明实施例提供的报文转发方法具体过程为:WAF从业务检测接口接收客户端发送的第一HTTP请求报文,第一HTTP请求报文的源IP地址为源IP地址为客户端的IP地址、目的IP地址为业务检测接口的IP地址。第一HTTP请求报文还包括客户端待访问的服务器的域名。WAF根据已配置的安全策略对第一HTTP请求报文进行安全策略匹配。若第一HTTP请求报文为合法报文,WAF从第一HTTP请求报文中获取服务器的域名。
WAF根据服务器的域名进行域名映射,得到Web Server的IP地址。
根据服务器的IP地址查找已存储的转发信息,WAF对第一HTTP请求报文的源IP地址、目的IP地址进行转换,生成第二HTTP请求报文,第二HTTP请求报文的源IP地址为服务访问接口的IP地址,目的IP地址为服务器的IP地址。
可以理解的是,WAF接收客户端在通过防火墙、网关、LB设备发送的第一HTTP请求报文的过程在前述实施例中已进行了详细描述,在此不再复述。
WAF在生成第二HTTP请求报文后,通过第二虚接口向与自身连接的VTEP1发送第二HTTP请求报文。VTEP1根据第二HTTP请求报文的源、目的IP地址信息,确定第二HTTP请求报文需通过VXLAN隧道进行转发。VTEP1对第二HTTP请求报文进行VXLAN隧道封装操作,并通过VXLAN隧道向网关发送封装后的第二HTTP请求报文。
网关接收到封装后的第二HTTP请求报文后,进行VXLAN隧道解封装操作。网关得到第二HTTP请求报文。根据第二HTTP请求报文的源、目的IP地址信息查找自身的路由表,网关确定还需再次对第二HTTP请求报文进行VXLAN隧道封装操作,并通过VXLAN隧道才可将第二HTTP请求报文转发至Web Server中。此时,网关再次对第二HTTP请求报文进行VXLAN隧道封装操作,并将封装后的第二HTTP请求报文发送至与Web Server连接的VTEP2处。VETP2对封装后的第二HTTP请求报文进行VXLAN隧道解封装操作,得到第二HTTP请求报文。VETP2根据第二HTTP请求报文的目的IP地址,将第二HTTP请求报文发送至Web Server。
Web Server接收到第二HTTP请求报文后,对第二请求报文进行相应的处理。
对第二HTTP请求报文做出回应。Web Server生成第一HTTP回应报文。其中,第一HTTP回应报文的源IP地址为Web Server的IP地址,目的IP为第二虚接口的IP地址。WebServer向与自身连接的VTEP2发送第一HTTP回应报文。VTEP2根据第一HTTP回应报文的源、目的IP地址信息,确定第一HTTP回应报文需通过VXLAN隧道进行转发。VTEP2对第一HTTP回应报文进行VXLAN隧道封装操作,并通过VXLAN隧道向网关发送封装后的第一HTTP回应报文。
网关接收到封装后的第一HTTP回应报文后,进行VXLAN隧道解封装操作。网关得到第一HTTP回应报文。根据第一HTTP回应报文的源、目的IP地址信息查找自身的路由表,网关确定还需再次对第一HTTP回应报文进行VXLAN隧道封装操作,并通过VXLAN隧道才可将第一HTTP回应报文转发至WAF中。此时,网关再次对第一HTTP回应报文进行VXLAN隧道封装操作,并将封装后的第一HTTP回应报文发送至与WAF连接的VTEP1处。VETP1对封装后的第一HTTP回应报文进行VXLAN隧道解封装操作,得到第一HTTP回应报文。VETP1根据第一HTTP回应报文的目的IP地址,将第一HTTP回应报文发送至WAF的第二虚接口。
至此,WAF通过第二虚接口接收Web Server发送的第一HTTP回应报文。
WAF将第一HTTP回应报文复制在自身的内存中。WAF根据已记录的接收第一HTTP请求报文的第一虚接口与发送第二HTTP请求报文的第二虚接口之间的映射关系,查找接收第一HTTP回应报文的第二虚接口对应的第一虚接口。
根据查找到的第一虚接口,WAF生成第二HTTP回应报文。进一步地,WAF从内存中获取第一HTTP回应报文,并将第一HTTP回应报文的源IP地址转换为查找到的第一虚接口的IP地址,目的IP地址转换为客户端的IP地址。WAF还将第一HTTP回应报文包括的报文内容复制到第二HTTP回应报文中,WAF得到第二HTTP回应报文。
WAF生成第二HTTP回应报文后,通过第一虚接口向与自身连接的VTEP1发送第二HTTP回应报文。VTEP1根据第HTTP二回应报文的源、目的IP地址信息,确定第二HTTP回应报文需通过VXLAN隧道进行转发。VTEP1对第二HTTP回应报文进行VXLAN隧道封装操作,并通过VXLAN隧道向网关发送封装后的第二HTTP回应报文。
网关接收到封装后的第二HTTP回应报文后,进行VXLAN隧道解封装操作。网关得到第二HTTP回应报文。根据第二HTTP回应报文的源IP地址信息确定需将第二HTTP回应报文转发至LB设备。网关向LB设备发送第二HTTP回应报文。
LB设备接收到第二HTTP回应报文后,根据第二HTTP回应报文的源、目的IP地址进行地址匹配。LB设备将第二HTTP回应报文的源IP地址转换为LB的需服务器的IP地址,目的IP地址保持不变。LB再次将第二HTTP回应报文发送至网关。
网关接收到第二HTTP回应报文后,查找自身的路由表,将第二HTTP回应报文转发至防火墙。该第二HTTP回应报文到达防火墙后,防火墙确定目的IP地址为客户端的IP地址,根据自身配置的NAT规则以及转发规则,防火墙将第二HTTP回应报文的源IP地址转换为LB设备的外网IP地址。防火墙将第二HTTP回应报文转发至客户端。
至此,客户端接收到第二HTTP回应报文。
因此,在WAF访问Web Server的过程中,由于WAF的第二虚接口的IP地址没有加入LB设备的实服务器组成员中。因此,WAF生成的第二请求报文到达网关后,不会再被网关的策略路由送往LB设备进行目的地址匹配后再次转发至网关,而是直接通过网关转发至WebServer所在的私网中,减轻了网关和LB设备的负担。通过为WAF配置相互独立的第一虚接口与第二虚接口,将WAF访问Web Server的流量通过第二虚接口进行转发,也实现了WAF访问Web Server的流量与外网访问WAF的流量隔离。
图7示出根据本发明一实施例的报文转发装置的框图。该报文转发装置可以应用于Web应用防护系统WAF,如图7所示,该装置可以包括:
第一接收模块71,用于从所述WAF的第一虚接口接收客户端发送的第一请求报文,所述第一请求报文包括所述客户端待访问的服务器的域名;
获取模块72,用于根据所述服务器的域名,获取所述服务器的IP地址;
第一报文生成模块73,用于根据所述服务器的IP地址查找已存储的转发信息,生成第二请求报文,所述第二请求报文的源IP地址为所述WAF的第二虚接口的IP地址,目的IP地址为所述服务器的IP地址;
第一发送模块74,用于通过所述第二虚接口向所述WAF的下一跳网络设备发送所述第二请求报文,以使所述下一跳网络设备向所述服务器转发所述第二请求报文。
因此,在WAF访问Web Server的过程中,由于WAF的第二虚接口的IP地址没有加入LB设备的实服务器组成员中。因此,WAF生成的第二请求报文到达网关后,不会再被网关的策略路由送往LB设备进行目的地址匹配后再次转发至网关,而是直接通过网关转发至WebServer所在的私网中,减轻了网关和LB设备的负担。通过为WAF配置相互独立的第一虚接口与第二虚接口,将WAF访问Web Server的流量通过第二虚接口进行转发,也实现了WAF访问Web Server的流量与外网访问WAF的流量隔离。
可选地,图8示出根据本发明一实施例的报文转发装置的框图。如图8所示,该装置还可以包括:
匹配模块75,用于对所述第一请求报文进行安全策略匹配;
解析模块76,用于若所述第一请求报文为合法报文,则解析所述第一请求报文,并获取所述服务器的域名。
可选地,该装置还可以包括:
第二接收模块77,用于从所述第二虚接口接收所述服务器发送的第一回应报文,所述第一回应报文的源IP地址为所述服务器的IP地址,目的IP地址为所述第二虚接口的IP地址;
第二报文生成模块78,用于当确定所述第一回应报文为所述服务器向所述客户端发送的回应报文时,根据所述第二虚接口与所述第一虚接口之间的映射关系,将所述第一回应报文中的源IP地址、目的IP地址进行转换处理,得到第二回应报文,所述第二回应报文的源IP地址为所述第一虚接口的IP地址、目的IP地址为所述客户端的IP地址;
第二发送模块79,用于通过所述第一虚接口向所述WAF的下一跳网络设备发送所述第二回应报文,以使所述WAF的下一跳网络设备向所述客户端转发所述第二回应报文。
可选地,所述装置还包括:
第三接收模块710,用于接收控制器发送的配置命令,所述配置命令携带有所述转发信息;
存储模块711,用于将所述转发信息进行存储;
其中,所述转发信息包括所述WAF提供保护的服务器的IP地址、下一跳出接口信息以及所述下一跳网络设备的地址信息。
可选地,所述第一虚接口为业务检测接口,所述第二虚接口为服务访问接口。
图9是根据一示例性实施例示出的一种用于报文转发装置900的框图。参照图9,该装置900可包括处理器901、存储有机器可执行指令的机器可读存储介质902。处理器901与机器可读存储介质902可经由系统总线903通信。并且,处理器901通过读取机器可读存储介质902中与报文转发逻辑对应的机器可执行指令以执行上文所述的报文转发方法。
本文中提到的机器可读存储介质902可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:随机存取存储器(英文:Radom Access Memory,简称:RAM)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (10)
1.一种报文转发方法,其特征在于,所述方法应用于Web应用防护系统WAF,所述方法包括:
从所述WAF的第一虚接口接收客户端发送的第一请求报文,所述第一请求报文包括所述客户端待访问的服务器的域名;
根据所述服务器的域名,获取所述服务器的IP地址;
根据所述服务器的IP地址查找已存储的转发信息,生成第二请求报文,所述第二请求报文的源IP地址为所述WAF的第二虚接口的IP地址,目的IP地址为所述服务器的IP地址;
通过所述第二虚接口向所述WAF的下一跳网络设备发送所述第二请求报文,以使所述下一跳网络设备向所述服务器转发所述第二请求报文。
2.根据权利要求1所述的报文转发方法,其特征在于,所述方法还包括:
从所述第二虚接口接收所述服务器发送的第一回应报文,所述第一回应报文的源IP地址为所述服务器的IP地址,目的IP地址为所述第二虚接口的IP地址;
当确定所述第一回应报文为所述服务器向所述客户端发送的回应报文时,根据所述第二虚接口与所述第一虚接口之间的映射关系,将所述第一回应报文中的源IP地址、目的IP地址进行转换处理,得到第二回应报文,所述第二回应报文的源IP地址为所述第一虚接口的IP地址、目的IP地址为所述客户端的IP地址;
通过所述第一虚接口向所述WAF的下一跳网络设备发送所述第二回应报文,以使所述WAF的下一跳网络设备向所述客户端转发所述第二回应报文。
3.根据权利要求1所述的报文转发方法,其特征在于,所述方法还包括:
接收控制器发送的配置命令,所述配置命令携带有所述转发信息;
将所述转发信息进行存储;
其中,所述转发信息包括所述WAF提供保护的服务器的IP地址、下一跳出接口信息以及所述下一跳网络设备的地址信息。
4.根据权利要求1所述的报文转发方法,其特征在于,所述从所述WAF的第一虚接口接收客户端发送的第一请求报文之后,所述方法还包括:
对所述第一请求报文进行安全策略匹配;
若所述第一请求报文为合法报文,则解析所述第一请求报文,并获取所述服务器的域名。
5.根据权利要求1-4任一项所述的报文转发方法,其特征在于,所述第一虚接口为业务检测接口,所述第二虚接口为服务访问接口。
6.一种报文转发装置,其特征在于,所述装置应用于Web应用防护系统WAF,所述装置包括:
第一接收模块,用于从所述WAF的第一虚接口接收客户端发送的第一请求报文,所述第一请求报文包括所述客户端待访问的服务器的域名;
获取模块,用于根据所述服务器的域名,获取所述服务器的IP地址;
第一报文生成模块,用于根据所述服务器的IP地址查找已存储的转发信息,生成第二请求报文,所述第二请求报文的源IP地址为所述WAF的第二虚接口的IP地址,目的IP地址为所述服务器的IP地址;
第一发送模块,用于通过所述第二虚接口向所述WAF的下一跳网络设备发送所述第二请求报文,以使所述下一跳网络设备向所述服务器转发所述第二请求报文。
7.根据权利要求6所述的报文转发装置,其特征在于,所述装置还包括:
第二接收模块,用于从所述第二虚接口接收所述服务器发送的第一回应报文,所述第一回应报文的源IP地址为所述服务器的IP地址,目的IP地址为所述第二虚接口的IP地址;
第二报文生成模块,用于当确定所述第一回应报文为所述服务器向所述客户端发送的回应报文时,根据所述第二虚接口与所述第一虚接口之间的映射关系,将所述第一回应报文中的源IP地址、目的IP地址进行转换处理,得到第二回应报文,所述第二回应报文的源IP地址为所述第一虚接口的IP地址、目的IP地址为所述客户端的IP地址;
第二发送模块,用于通过所述第一虚接口向所述WAF的下一跳网络设备发送所述第二回应报文,以使所述WAF的下一跳网络设备向所述客户端转发所述第二回应报文。
8.根据权利要求6所述的报文转发装置,其特征在于,所述装置还包括:
第三接收模块,用于接收控制器发送的配置命令,所述配置命令携带有所述转发信息;
存储模块,用于将所述转发信息进行存储;
其中,所述转发信息包括所述WAF提供保护的服务器的IP地址、下一跳出接口信息以及所述下一跳网络设备的地址信息。
9.根据权利要求6所述的报文转发装置,其特征在于,所述装置还包括:
匹配模块,用于对所述第一请求报文进行安全策略匹配;
解析模块,用于若所述第一请求报文为合法报文,则解析所述第一请求报文,并获取所述服务器的域名。
10.根据权利要求6-9任一项所述的报文转发装置,其特征在于,所述第一虚接口为业务检测接口,所述第二虚接口为服务访问接口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711174503.0A CN107948150B (zh) | 2017-11-22 | 2017-11-22 | 报文转发方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711174503.0A CN107948150B (zh) | 2017-11-22 | 2017-11-22 | 报文转发方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107948150A true CN107948150A (zh) | 2018-04-20 |
CN107948150B CN107948150B (zh) | 2020-12-01 |
Family
ID=61930666
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711174503.0A Active CN107948150B (zh) | 2017-11-22 | 2017-11-22 | 报文转发方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107948150B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109413224A (zh) * | 2018-11-12 | 2019-03-01 | 杭州数梦工场科技有限公司 | 报文转发方法和装置 |
CN112671698A (zh) * | 2020-08-17 | 2021-04-16 | 紫光云技术有限公司 | 一种防止公有云环境中waf被绕过的方法 |
WO2021219104A1 (zh) * | 2020-04-30 | 2021-11-04 | 华为技术有限公司 | 混合云系统、网闸、网络访问方法及存储介质 |
CN113783843A (zh) * | 2021-08-10 | 2021-12-10 | 中移(杭州)信息技术有限公司 | 基于云waf域名调度方法、装置、设备及可读存储介质 |
CN113992557A (zh) * | 2021-09-10 | 2022-01-28 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
CN116155838A (zh) * | 2023-04-24 | 2023-05-23 | 远江盛邦(北京)网络安全科技股份有限公司 | 流量透传方法、装置和电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104301180A (zh) * | 2014-10-16 | 2015-01-21 | 杭州华三通信技术有限公司 | 一种业务报文处理方法和设备 |
US20150229607A1 (en) * | 2014-02-13 | 2015-08-13 | National Taipei University Of Technology | Bilateral firewall traversal method for advanced domain name system |
CN106453272A (zh) * | 2015-10-30 | 2017-02-22 | 远江盛邦(北京)网络安全科技股份有限公司 | 透明反向代理模式下的 ip 地址还原方法 |
CN106487807A (zh) * | 2016-11-18 | 2017-03-08 | 汉柏科技有限公司 | 一种域名解析的防护方法和装置 |
-
2017
- 2017-11-22 CN CN201711174503.0A patent/CN107948150B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150229607A1 (en) * | 2014-02-13 | 2015-08-13 | National Taipei University Of Technology | Bilateral firewall traversal method for advanced domain name system |
CN104301180A (zh) * | 2014-10-16 | 2015-01-21 | 杭州华三通信技术有限公司 | 一种业务报文处理方法和设备 |
CN106453272A (zh) * | 2015-10-30 | 2017-02-22 | 远江盛邦(北京)网络安全科技股份有限公司 | 透明反向代理模式下的 ip 地址还原方法 |
CN106487807A (zh) * | 2016-11-18 | 2017-03-08 | 汉柏科技有限公司 | 一种域名解析的防护方法和装置 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109413224A (zh) * | 2018-11-12 | 2019-03-01 | 杭州数梦工场科技有限公司 | 报文转发方法和装置 |
CN109413224B (zh) * | 2018-11-12 | 2022-03-01 | 杭州数梦工场科技有限公司 | 报文转发方法和装置 |
WO2021219104A1 (zh) * | 2020-04-30 | 2021-11-04 | 华为技术有限公司 | 混合云系统、网闸、网络访问方法及存储介质 |
CN112671698A (zh) * | 2020-08-17 | 2021-04-16 | 紫光云技术有限公司 | 一种防止公有云环境中waf被绕过的方法 |
CN113783843A (zh) * | 2021-08-10 | 2021-12-10 | 中移(杭州)信息技术有限公司 | 基于云waf域名调度方法、装置、设备及可读存储介质 |
CN113783843B (zh) * | 2021-08-10 | 2022-11-29 | 中移(杭州)信息技术有限公司 | 基于云waf域名调度方法、装置、设备及可读存储介质 |
CN113992557A (zh) * | 2021-09-10 | 2022-01-28 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
CN113992557B (zh) * | 2021-09-10 | 2023-03-31 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
CN116155838A (zh) * | 2023-04-24 | 2023-05-23 | 远江盛邦(北京)网络安全科技股份有限公司 | 流量透传方法、装置和电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN107948150B (zh) | 2020-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107911258B (zh) | 一种基于sdn网络的安全资源池的实现方法及系统 | |
CN107948150A (zh) | 报文转发方法及装置 | |
JP6549996B2 (ja) | ネットワーク装置、通信方法、及び、ネットワークシステム | |
CN104052666B (zh) | 实现主机路由可达的方法和装置 | |
CN102971992B (zh) | 虚拟专用局域网设备、网络组件和数据帧转发方法 | |
CN111682996B (zh) | 网络中报文转发的方法、网络节点、网络系统 | |
RU2544766C2 (ru) | Способ, устройство и система маршрутизации данных между сегментами сетей | |
EP2893676B1 (en) | Packet forwarding | |
JP2019516320A (ja) | パケット伝送 | |
CN106559292A (zh) | 一种宽带接入方法和装置 | |
EP2995042A1 (en) | Data plane learning of bi-directional service chains | |
CN108900414B (zh) | 转发表生成方法及装置 | |
CN105591907B (zh) | 一种路由获取方法和装置 | |
CN107147580B (zh) | 一种隧道建立的方法及通信系统 | |
CN105791072A (zh) | 以太虚拟网络的接入方法及装置 | |
CN110213148B (zh) | 一种数据传输的方法、系统及装置 | |
JP4330520B2 (ja) | 通信装置 | |
US20150341263A1 (en) | Associating internet protocol (ip) addresses with ethernet virtualisation interconnection (evi) links | |
CN109412927B (zh) | 一种多vpn数据传输方法、装置及网络设备 | |
CN107426343B (zh) | 用于跨网络内的多个接口代理子网内流量的方法、系统和装置 | |
CN107659484B (zh) | 从vlan网络接入vxlan网络的方法、装置及系统 | |
JP6098192B2 (ja) | アドレス生成装置 | |
CN107872389B (zh) | 用于业务负载平衡的方法、设备及计算机可读存储介质 | |
JP3858884B2 (ja) | ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム | |
CN109246016B (zh) | 跨vxlan的报文处理方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |