CN110311866A - 一种快速转发报文的方法及装置 - Google Patents

一种快速转发报文的方法及装置 Download PDF

Info

Publication number
CN110311866A
CN110311866A CN201910572284.4A CN201910572284A CN110311866A CN 110311866 A CN110311866 A CN 110311866A CN 201910572284 A CN201910572284 A CN 201910572284A CN 110311866 A CN110311866 A CN 110311866A
Authority
CN
China
Prior art keywords
message
fast
forwarding information
forwarding
session entry
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910572284.4A
Other languages
English (en)
Other versions
CN110311866B (zh
Inventor
王俊珂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou DPTech Technologies Co Ltd
Original Assignee
Hangzhou DPTech Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou DPTech Technologies Co Ltd filed Critical Hangzhou DPTech Technologies Co Ltd
Priority to CN201910572284.4A priority Critical patent/CN110311866B/zh
Publication of CN110311866A publication Critical patent/CN110311866A/zh
Application granted granted Critical
Publication of CN110311866B publication Critical patent/CN110311866B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Abstract

本申请提出快速转发报文的方法,应用于网络安全设备,查找与接收到的报文对应的会话表项;确定查找到的所述会话表项中是否包括第一预设标识;其中,所述第一预设标识指示所述报文为多次经过所述网络安全设备,并且,每次经过所述网络安全设备的转发信息均不一致的报文;所述网络安全设备维护的与多次经过所述网络安全设备的报文对应的快速转发信息,包括所述报文的入接口;如果所述报文对应的会话表项中包括所述第一预设标识,获取所述报文的入接口,并在所述网络设备维护的快速转发信息中查找与所述报文的入接口对应的快速转发信息;基于查找到的所述快速转发信息转发所述报文,以提升网络安全设备的转发效率,改善用户体验。

Description

一种快速转发报文的方法及装置
技术领域
本申请涉及计算机技术领域,尤其涉及一种快速转发报文的方法及装置。
背景技术
为了提高网络安全设备转发报文的性能,网络安全设备中通常增加快速转发报文的功能。
目前,网络安全设备快速转发报文的方式为:当网络安全设备接收到待转发目标报文时,先通过该目标报文的报文特征信息查找对应的快速转发表,然后根据快速转发表项中记录的转发信息将该目标报文转发出去。
网络安全设备通过上述快速转发方式,能极大的减少转发报文的时间,从而达到提高转发效率的目的。
发明内容
有鉴于此,本申请提供一种快速转发报文的方法,应用于网络安全设备,上述方法包括:
查找与接收到的报文对应的会话表项;
确定查找到的所述会话表项中是否包括第一预设标识;其中,所述第一预设标识指示所述报文为多次经过所述网络安全设备,并且,每次经过所述网络安全设备的转发信息均不一致的报文;所述网络安全设备维护的与多次经过所述网络安全设备的报文对应的快速转发信息,包括所述报文的入接口;
如果所述报文对应的会话表项中包括所述第一预设标识,获取所述报文的入接口,并在所述网络设备维护的快速转发信息中查找与所述报文的入接口对应的快速转发信息;
基于查找到的所述快速转发信息转发所述报文。
在示出的一种实施方式中,上述方法还包括:
如果未查找到与所述接收到的报文对应的会话表项,创建会话表项;
将所述报文上送CPU进行全流程转发,并基于全流程转发得到的转发信息生成与所述报文对应的快速转发信息;
将所述快速转发信息携带的ID更新为所述报文ID,并将该快速转发信息添加至所述会话表项中。
在示出的一种实施方式中,上述方法还包括:
若在所述网络设备中未查找到与所述报文的入接口对应的快速转发信息,则将所述报文上送CPU进行全流程转发;
基于全流程转发得到的转发信息生成与所述报文对应的快速转发信息,并将所述快速转发信息添加至与所述报文对应的会话表项中。
在示出的一种实施方式中,上述方法还包括:
如果所述报文对应的会话表项中不包括所述第一预设标识,进一步确定所述会话表项是否包括第二预设标识;所述第二预设标识指示所述报文为多次经过所述网络安全设备,并且,每次经过所述网络安全设备的转发信息均一致的报文;
如果确定所述会话表项包括所述第二预设标识,基于查找到的快速转发信息转发所述报文。
在示出的一种实施方式中,所述会话表项中的快速转发信息包括报文ID,上述方法还包括:
如果所述会话表项不包括所述第一预设标识和所述第二预设标识中的任一预设标识,获取所述目标报文的报文ID,并将获取到的所述目标报文的报文ID与所述会话表项中记录的报文ID进行比较;
若比较结果为不相同,基于所述会话表项中快速转发信息转发所述报文。
在示出的一种实施方式中,上述方法还包括:
若比较结果为相同,在所述报文中增加第三预设标识后上送CPU进行全流程转发;其中,所述第三预设标识指示该报文为多次经过所述网络安全设备的报文,并使CPU在对所述报文进行全流程转发后,禁止基于全流程转发得到的转发信息对所述报文对应的会话表项中的快速转发信息进行覆盖更新;
确定基于全流程转发得到的转发信息,与所述报文对应的会话表项中的快速转发信息是否相同;
如果不相同,在所述会话表项中增加所述第一预设标识;
如果相同,在所述会话表项中增加所述第二预设标识。
本申请还提供一种快速转发报文的装置,应用于网络安全设备,所述装置包括:
查找会话模块,查找与接收到的报文对应的会话表项;
第一确定模块,确定查找到的所述会话表项中是否包括第一预设标识;其中,所述第一预设标识指示所述报文为多次经过所述网络安全设备,并且,每次经过所述网络安全设备的转发信息均不一致的报文;所述网络安全设备维护的与多次经过所述网络安全设备的报文对应的快速转发信息,包括所述报文的入接口;
查找快转信息模块,如果所述报文对应的会话表项中包括所述第一预设标识,获取所述报文的入接口,并在所述网络设备维护的快速转发信息中查找与所述报文的入接口对应的快速转发信息;
快速转发模块,基于查找到的所述快速转发信息转发所述报文。
在示出的一种实施方式中,上述装置还包括:
创建会话模块,如果未查找到与所述接收到的报文对应的会话表项,创建会话表项;
生成模块,将所述报文上送CPU进行全流程转发,并基于全流程转发得到的转发信息生成与所述报文对应的快速转发信息;
添加模块,将所述快速转发信息携带的ID更新为所述报文ID,并将该快速转发信息添加至所述会话表项中。
在示出的一种实施方式中,上述添加模块还用于:
若在所述网络设备中未查找到与所述报文的入接口对应的快速转发信息,则将所述报文上送CPU进行全流程转发;
基于全流程转发得到的转发信息生成与所述报文对应的快速转发信息,并将所述快速转发信息添加至与所述报文对应的会话表项中。
在示出的一种实施方式中,上述快速转发模块还用于:
如果所述报文对应的会话表项中不包括所述第一预设标识,进一步确定所述会话表项是否包括第二预设标识;所述第二预设标识指示所述报文为多次经过所述网络安全设备,并且,每次经过所述网络安全设备的转发信息均一致的报文;
如果确定所述会话表项包括所述第二预设标识,基于查找到的快速转发信息转发所述报文。
在示出的一种实施方式中,所述会话表项中的快速转发信息包括报文ID;上述快速转发模块还用于:
如果所述会话表项不包括所述第一预设标识和所述第二预设标识中的任一预设标识,获取所述目标报文的报文ID,并将获取到的所述目标报文的报文ID与所述会话表项中记录的报文ID进行比较;
若比较结果为不相同,基于所述会话表项中快速转发信息转发所述报文。
在示出的一种实施方式中,上述装置还包括:
增加标识模块,若比较结果为相同,在所述报文中增加第三预设标识后上送CPU进行全流程转发;其中,所述第三预设标识指示该报文为多次经过所述网络安全设备的报文,并使CPU在对所述报文进行全流程转发后,禁止基于全流程转发得到的转发信息对所述报文对应的会话表项中的快速转发信息进行覆盖更新;
确定基于全流程转发得到的转发信息,与所述报文对应的会话表项中的快速转发信息是否相同;
如果不相同,在所述会话表项中增加所述第一预设标识;
如果相同,在所述会话表项中增加所述第二预设标识。
由上述技术方案可知,该网络安全设备通过识别与接收到的报文对应的会话表项中携带的预设标识信息,确认该报文是否为多次经过所述网络安全设备且每次经过所述网络安全设备的转发信息均不一致的报文;如果是,根据该目标报文的入接口查找该网络安全设备中对应的快速转发信息,并基于该快速转发表转发该目标报文。
由于网络安全设备根据该报文的入接口查找对应的快速转发信息,并基于该转发信息转发该报文,使该网络安全设备避免因基于与该报文的五元组对应的快速转发信息而转发报文错误,因此,在无需关闭该设备快速转发功能的基础上,保证了转发报文结果正确性,从而提升了该网络安全设备的转发效率,保证了该设备的转发性能,从而改善了用户体验。
附图说明
图1为本说明书示出的一种设备组网图;
图2为本说明书示出的一种快速转发报文的方法实施流程图;
图3为本说明书示出的一种会话表项打标流程图;
图4为本说明书示出的一种快速转发报文的方法流程图;
图5为本说明书示出的一种快速转发报文的装置内部结构图。
具体实施方式
下面将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的设备和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在本发明示出的一实施例中,同一报文会多次经过同一台设备进行转发,请参见图1,图1为本说明书示出的一种设备组网图。
如图1所示,服务器A和服务器B为不同网段的两个服务器,两台服务器的网关都在路由器上,且防火墙做二层转发。服务器A和服务器B互相访问时,由于两台服务器在不同网段上,因此,两台服务器的互访报文需要通过网关进行转发。
例如,服务器A访问服务器B时,需向服务器B发送访问报文。该访问报文将先通过防火墙转发至网关,再通过该防火墙转发至服务器B,可见,该访问报文两次经过同一防火墙设备。
在上述组网场景中,该防火墙设备执行两次报文转发的过程分别为:
当该访问报文第一次经过防火墙转发至网关时,防火墙设备将该访问报文上送CPU执行全流程转发。上述全流程转发完毕后,CPU将以该转发结果形成转发信息,再将该转发信息与该访问报文的报文特征信息结合生成快速转发信息以备下次快速转发使用。需要说明的是,报文的报文特征信息可以是该报文的五元组、三元组等信息,在此不作限定,以下以五元组信息为例。
当该访问报文第二次经过防火墙转发至服务器B时,根据该访问报文的五元组信息,该防火墙设备将查找到与该访问报文对应的快速转发信息,并基于该快速转发信息上将该访问报文转发出去。由于该访问报文第一次经过防火墙时生成的快速转发信息为将该访问报文发送至网关,因此,此时使用该快速转发信息执行快速转发将导致该访问报文被转发至网关而无法被转发至服务器B。由上可见,为了保证该访问报文转发结果的正确性,在上述组网场景中只能关闭该防火墙设备的快速转发功能,使该访问报文被上送至CPU执行全流程转发。
由上述过程可知,同一个报文多次经过一台设备进行转发时,快速转发信息中记录的转发信息为报文第一次到达设备时生成的转发信息,当此报文第二次过设备时如果按照报文第一次过设备生成的转发信息进行转发可能将导致转发错误。所以,为了保证报文转发结果的正确性,当同一个报文多次经过一台设备进行转发时,将关闭该设备的快速转发功能,使每次对报文的转发都只能上送CPU执行全流程转发。
由于该设备每次转发报文都需要上送CPU执行全流程转发将导致报文处理延时,因此,影响到该设备转发性能,从而影响用户体验。
基于此,本发明提出一种快速转发报文的方法,应用于网络安全设备。当目标报文为多次经过该网络安全设备且每次经过该网络安全设备的转发信息不一致的报文时,根据该目标报文的入接口查找该网络安全设备中对应的快速转发信息,并基于该快速转发表转发该目标报文。
以下执行主体为分流设备,具体方法流程请参见图2,图2为本说明书示出的一种快速转发报文的方法实施流程图。
S201,查找与接收到的报文对应的会话表项;
S202,确定查找到的所述会话表项中是否包括第一预设标识;其中,所述第一预设标识指示所述报文为多次经过所述网络安全设备,并且,每次经过所述网络安全设备的转发信息均不一致的报文;所述网络安全设备维护的与多次经过所述网络安全设备的报文对应的快速转发信息,包括所述报文的入接口;
S203,如果所述报文对应的会话表项中包括所述第一预设标识,获取所述报文的入接口,并在所述网络设备维护的快速转发信息中查找与所述报文的入接口对应的快速转发信息;
S204,基于查找到的所述快速转发信息转发所述报文。
由上述技术方案可知,该网络安全设备通过识别与接收到的报文对应的会话表项中携带的预设标识信息,确认该报文是否为多次经过所述网络安全设备且每次经过所述网络安全设备的转发信息均不一致的报文;如果是,根据该目标报文的入接口查找该网络安全设备中对应的快速转发信息,并基于该快速转发表转发该目标报文。需要说明的是,在执行上述步骤时,根据目标报文的入接口查找对应的快速转发信息有两种方式,即第一种方式,可以先根据该报文的五元组查找对应的快速转发信息,再在查找出的快速转发信息中查找与该报文入接口对应的快速转发信息;第二种方式,也可以先根据该报文的入接口查找对应的快速转发信息,再在查找出的快速转发信息中查找与该报文五元组对应的快速转发信息,以下第一种查找方式为例进行说明。
由于网络安全设备根据该报文的入接口查找对应的快速转发信息,并基于该转发信息转发该报文,使该网络安全设备避免因基于与该报文的五元组对应的快速转发信息而转发报文错误,因此,在无需关闭该设备快速转发功能的基础上,保证了转发报文结果正确性,从而提升了该网络安全设备的转发效率,保证了该设备的转发性能,从而改善了用户体验。
在本发明示出的一实施例中,网络安全设备可能是第一次接收到待转发的报文。因此,在该设备中将无法查找到与该待转发报文对应的快速转发信息。为了在该设备中创建与该报文对应的快速转发信息,该设备将创建一个会话表项,并且将该待转发报文上送CPU执行全流程转发;在执行完毕全流程转发后,CPU将基于转发结果生成与该报文对应的快速转发信息,并将该快速转发信息添加至上述会话表项中;需要说明的是,在本实施例中,该设备还将在快速转发信息中增加ID字段,并将该ID更新为该待转发报文的ID;另外,上述会话表项可以存储在该设备的内存、高速缓存或存储硬件中,在此不作限定。
在本发明示出的一实施例中,当根据待转发报文的入接口未查找到对应的快速转发信息时,网络安全设备将该报文上送CPU进行全流程转发;在执行完毕全流程转发后,CPU将基于转发结果生成与该报文对应的快速转发信息,并将该快速转发信息添加至上述会话表项中;需要说明的是,在将该快速转发信息添加至上述会话表项的过程中,并不会影响到该会话表项中已经保存的快速转发信息。
在本发明示出的一实施例中,如果网络安全设备接收到的报文对应的会话表项中不包括上述第一预设标识,该设备将进一步确定上述会话表项是否包括第二预设标识;其中,第二预设标识指示所述报文为多次经过所述网络安全设备且每次经过所述网络安全设备的转发信息均一致的报文;
如果确定上述会话表项包括上述第二预设标识,则说明该待转发报文即使是多次进入该设备,但是每次的转发结果是一致的,即可基于根据该报文五元组查找到的快速转发表项转发所述报文。
在本发明示出的一实施例中,如果网络安全设备接收到的报文对应的会话表项中既不包括上述第一预设标识,也不包括上述第二预设标识,则说明该报文可能是未经过打标的报文,此时,将获取该报文ID,并将该ID与上述会话表项中记录的报文ID比较,如果比较结果不相同,则说明该报文可能并非多次经过该设备的报文,则只需按照一般快速转发方式,根据与该报文的五元组对应的快速转发信息进行转发即可。
在本发明示出的一实施例中,如果上述比较结果为相同,则说明该报文可能是多次经过该设备的报文,即需要判断该报文每次经过该设备的转发信息是否一致,并根据该判断结果来对该设备中与该报文对应的会话表项打标。打标的具体流程请参照图3,图3为本说明书示出的一种会话表项打标流程图。
下面将结合具体的实施例进行说明。
例如,一条需要该设备转发的报文ID为A,当该设备接收到该报文后,查找对应的会话表项,并获取该会话表项记录的报文ID(假设为A),此时将上述两个ID比较,得出比较结果为一致,则执行判断该报文每次经过该设备的转发信息是否一致的步骤:
S301,在该待转发报文中增加第三预设标识;
S302,将该报文上送CPU进行全流程转发;
S303,确定待全流程转发的报文中是否携带上述第三预设标识;
如果携带,S304,在全流程转发后,禁止基于全流程转发得到的转发信息对所述报文对应的会话表项中的快速转发信息进行覆盖更新;
S305,确定基于全流程转发得到的转发信息,与所述报文对应的会话表项中的快速转发信息是否相同;
如果不相同,S306,在上述会话表项中增加第一预设标识;
如果相同,S307,在上述会话表项中增加第二预设标识。
由于该网络安全设备将该待转发报文执行全流程转发后生成的转发信息与该报文对应的会话表项的快速转发信息进行了比较,从而可以得出,如果上述比较结果为不相同,说明该报文为多次经过所述网络安全设备且每次经过所述网络安全设备的转发信息均不一致的报文的结论,并且在上述会话表项中增加第一预设标识;如果上述比较结果为相同,说明该报文为多次经过所述网络安全设备且每次经过所述网络安全设备的转发信息均一致的报文,并且在上述会话表项中增加第二预设标识。
经过上述打标过程后,需要经过网络安全设备转发的报文,在进入该设备后,只需根据查找到的对应的会话表项中携带的标识信息即可执行不同的快速转发操作。具体流程请参见图4,图4为本说明书示出的一种快速转发报文的方法流程图。
当网络安全设备接收到待转发报文后,查找对应的会话表项;
S401,确定查找到的会话表项携带的标识信息;
如果上述标识信息为第一预设标识,S402,获取该报文的入接口,并在该网络设备维护的快速转发信息中查找与该报文的入接口和五元组对应的快速转发信息,并基于该快速转发信息转发该报文,上述步骤具体实现过程在此不做详述;
如果上述标识信息为第二预设标识,S403,获取该报文的五元组,在该网络设备维护的快速转发信息中查找与该报文的五元组对应的快速转发信息,并基于该快速转发信息转发该报文,上述步骤具体实现过程在此不做详述;
如果上述标识信息既不是上述第一预设标识也不是上述第二预设标识,S404,将获取该报文ID,并将该ID与上述会话表项中记录的报文ID比较;
如果比较结果不相同,S405,使用一般快速转发方式转发该报文;
如果比较结果相同,S406,将该报文上送CPU执行全流程转发,并执行上述打标过程,具体打标过程在此做复述。
由于该网络安全设备只需根据查找到的对应的会话表项中携带的标识信息即可执行不同的快速转发操作,因此,在无需关闭该设备快速转发功能的基础上,保证了转发报文结果正确性,从而提升了该网络安全设备的转发效率,保证了该设备的转发性能,改善了用户体验。
相应于上面的方法实施例,本申请还提供一种快速转发报文的装置500,应用于网络安全设备,请参见图5,图5为本说明书示出的一种快速转发报文的装置内部结构图,所述装置包括:
查找会话模块510,查找与接收到的报文对应的会话表项;
确定模块520,确定查找到的所述会话表项中是否包括第一预设标识;其中,所述第一预设标识指示所述报文为多次经过所述网络安全设备,并且,每次经过所述网络安全设备的转发信息均不一致的报文;所述网络安全设备维护的与多次经过所述网络安全设备的报文对应的快速转发信息,包括所述报文的入接口;
查找快转信息模块530,如果所述报文对应的会话表项中包括所述第一预设标识,获取所述报文的入接口,并在所述网络设备维护的快速转发信息中查找与所述报文的入接口对应的快速转发信息;
快速转发模块540,基于查找到的所述快速转发信息转发所述报文。
在示出的一种实施方式中,上述装置还包括:
创建会话模块,如果未查找到与所述接收到的报文对应的会话表项,创建会话表项;
生成模块,将所述报文上送CPU进行全流程转发,并基于全流程转发得到的转发信息生成与所述报文对应的快速转发信息;
添加模块,将所述快速转发信息携带的ID更新为所述报文ID,并将该快速转发信息添加至所述会话表项中。
在示出的一种实施方式中,上述添加模块还用于:
若在所述网络设备中未查找到与所述报文的入接口对应的快速转发信息,则将所述报文上送CPU进行全流程转发;
基于全流程转发得到的转发信息生成与所述报文对应的快速转发信息,并将所述快速转发信息添加至与所述报文对应的会话表项中。
在示出的一种实施方式中,上述快速转发模块540还用于:
如果所述报文对应的会话表项中不包括所述第一预设标识,进一步确定所述会话表项是否包括第二预设标识;所述第二预设标识指示所述报文为多次经过所述网络安全设备,并且,每次经过所述网络安全设备的转发信息均一致的报文;
如果确定所述会话表项包括所述第二预设标识,基于查找到的快速转发信息转发所述报文。
在示出的一种实施方式中,所述会话表项中的快速转发信息包括报文ID;上述快速转发模块540还用于:
如果所述会话表项不包括所述第一预设标识和所述第二预设标识中的任一预设标识,获取所述目标报文的报文ID,并将获取到的所述目标报文的报文ID与所述会话表项中记录的报文ID进行比较;
若比较结果为不相同,基于所述会话表项中快速转发信息转发所述报文。
在示出的一种实施方式中,上述装置还包括:
增加标识模块,若比较结果为相同,在所述报文中增加第三预设标识后上送CPU进行全流程转发;其中,所述第三预设标识指示该报文为多次经过所述网络安全设备的报文,并使CPU在对所述报文进行全流程转发后,禁止基于全流程转发得到的转发信息对所述报文对应的会话表项中的快速转发信息进行覆盖更新;
确定基于全流程转发得到的转发信息,与所述报文对应的会话表项中的快速转发信息是否相同;
如果不相同,在所述会话表项中增加所述第一预设标识;
如果相同,在所述会话表项中增加所述第二预设标识。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (12)

1.一种快速转发报文的方法,应用于网络安全设备,其特征在于,所述方法包括:
查找与接收到的报文对应的会话表项;
确定查找到的所述会话表项中是否包括第一预设标识;其中,所述第一预设标识指示所述报文为多次经过所述网络安全设备,并且,每次经过所述网络安全设备的转发信息均不一致的报文;所述网络安全设备维护的与多次经过所述网络安全设备的报文对应的快速转发信息,包括所述报文的入接口;
如果所述报文对应的会话表项中包括所述第一预设标识,获取所述报文的入接口,并在所述网络设备维护的快速转发信息中查找与所述报文的入接口对应的快速转发信息;
基于查找到的所述快速转发信息转发所述报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果未查找到与所述接收到的报文对应的会话表项,创建会话表项;
将所述报文上送CPU进行全流程转发,并基于全流程转发得到的转发信息生成与所述报文对应的快速转发信息;
将所述快速转发信息携带的ID更新为所述报文ID,并将该快速转发信息添加至所述会话表项中。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若在所述网络设备中未查找到与所述报文的入接口对应的快速转发信息,则将所述报文上送CPU进行全流程转发;
基于全流程转发得到的转发信息生成与所述报文对应的快速转发信息,并将所述快速转发信息添加至与所述报文对应的会话表项中。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述报文对应的会话表项中不包括所述第一预设标识,进一步确定所述会话表项是否包括第二预设标识;所述第二预设标识指示所述报文为多次经过所述网络安全设备,并且,每次经过所述网络安全设备的转发信息均一致的报文;
如果确定所述会话表项包括所述第二预设标识,基于查找到的快速转发信息转发所述报文。
5.根据权利要求4所述的方法,其特征在于,所述会话表项中的快速转发信息包括报文ID;所述方法还包括:
如果所述会话表项不包括所述第一预设标识和所述第二预设标识中的任一预设标识,获取所述目标报文的报文ID,并将获取到的所述目标报文的报文ID与所述会话表项中记录的报文ID进行比较;
若比较结果为不相同,基于所述会话表项中快速转发信息转发所述报文。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
若比较结果为相同,在所述报文中增加第三预设标识后上送CPU进行全流程转发;其中,所述第三预设标识指示该报文为多次经过所述网络安全设备的报文,并使CPU在对所述报文进行全流程转发后,禁止基于全流程转发得到的转发信息对所述报文对应的会话表项中的快速转发信息进行覆盖更新;
确定基于全流程转发得到的转发信息,与所述报文对应的会话表项中的快速转发信息是否相同;
如果不相同,在所述会话表项中增加所述第一预设标识;
如果相同,在所述会话表项中增加所述第二预设标识。
7.一种快速转发报文的装置,应用于网络安全设备,其特征在于,所述装置包括:
查找会话模块,查找与接收到的报文对应的会话表项;
第一确定模块,确定查找到的所述会话表项中是否包括第一预设标识;其中,所述第一预设标识指示所述报文为多次经过所述网络安全设备,并且,每次经过所述网络安全设备的转发信息均不一致的报文;所述网络安全设备维护的与多次经过所述网络安全设备的报文对应的快速转发信息,包括所述报文的入接口;
查找快转信息模块,如果所述报文对应的会话表项中包括所述第一预设标识,获取所述报文的入接口,并在所述网络设备维护的快速转发信息中查找与所述报文的入接口对应的快速转发信息;
快速转发模块,基于查找到的所述快速转发信息转发所述报文。
8.根据权利要求7所述的方法,其特征在于,所述装置还包括:
创建会话模块,如果未查找到与所述接收到的报文对应的会话表项,创建会话表项;
生成模块,将所述报文上送CPU进行全流程转发,并基于全流程转发得到的转发信息生成与所述报文对应的快速转发信息;
添加模块,将所述快速转发信息携带的ID更新为所述报文ID,并将该快速转发信息添加至所述会话表项中。
9.根据权利要求7所述的方法,其特征在于,所述添加模块还用于:
若在所述网络设备中未查找到与所述报文的入接口对应的快速转发信息,则将所述报文上送CPU进行全流程转发;
基于全流程转发得到的转发信息生成与所述报文对应的快速转发信息,并将所述快速转发信息添加至与所述报文对应的会话表项中。
10.根据权利要求7所述的方法,其特征在于,所述快速转发模块还用于:
如果所述报文对应的会话表项中不包括所述第一预设标识,进一步确定所述会话表项是否包括第二预设标识;所述第二预设标识指示所述报文为多次经过所述网络安全设备,并且,每次经过所述网络安全设备的转发信息均一致的报文;
如果确定所述会话表项包括所述第二预设标识,基于查找到的快速转发信息转发所述报文。
11.根据权利要求10所述的方法,其特征在于,所述会话表项中的快速转发信息包括报文ID;所述快速转发模块还用于:
如果所述会话表项不包括所述第一预设标识和所述第二预设标识中的任一预设标识,获取所述目标报文的报文ID,并将获取到的所述目标报文的报文ID与所述会话表项中记录的报文ID进行比较;
若比较结果为不相同,基于所述会话表项中快速转发信息转发所述报文。
12.根据权利要求11所述的方法,其特征在于,所述装置还包括:
增加标识模块,若比较结果为相同,在所述报文中增加第三预设标识后上送CPU进行全流程转发;其中,所述第三预设标识指示该报文为多次经过所述网络安全设备的报文,并使CPU在对所述报文进行全流程转发后,禁止基于全流程转发得到的转发信息对所述报文对应的会话表项中的快速转发信息进行覆盖更新;
确定基于全流程转发得到的转发信息,与所述报文对应的会话表项中的快速转发信息是否相同;
如果不相同,在所述会话表项中增加所述第一预设标识;
如果相同,在所述会话表项中增加所述第二预设标识。
CN201910572284.4A 2019-06-28 2019-06-28 一种快速转发报文的方法及装置 Active CN110311866B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910572284.4A CN110311866B (zh) 2019-06-28 2019-06-28 一种快速转发报文的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910572284.4A CN110311866B (zh) 2019-06-28 2019-06-28 一种快速转发报文的方法及装置

Publications (2)

Publication Number Publication Date
CN110311866A true CN110311866A (zh) 2019-10-08
CN110311866B CN110311866B (zh) 2021-11-02

Family

ID=68078475

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910572284.4A Active CN110311866B (zh) 2019-06-28 2019-06-28 一种快速转发报文的方法及装置

Country Status (1)

Country Link
CN (1) CN110311866B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110932979A (zh) * 2019-11-26 2020-03-27 锐捷网络股份有限公司 一种快速转发报文的方法和装置
CN111107007A (zh) * 2019-12-31 2020-05-05 奇安信科技集团股份有限公司 报文转发方法、装置、电子设备和介质
CN111404940A (zh) * 2020-03-17 2020-07-10 深信服科技股份有限公司 一种数据包识别方法、装置及电子设备和存储介质
CN112333097A (zh) * 2020-09-29 2021-02-05 新华三信息安全技术有限公司 一种报文转发方法、装置及网关设备
CN115834498A (zh) * 2023-01-06 2023-03-21 北京中科网威信息技术有限公司 业务加速方法、装置、设备及介质

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101212314A (zh) * 2006-12-30 2008-07-02 北京天融信网络安全技术有限公司 单一芯片实现多项网络安全功能的方法
US20120207174A1 (en) * 2011-02-10 2012-08-16 Choung-Yaw Michael Shieh Distributed service processing of network gateways using virtual machines
CN105099921A (zh) * 2015-05-29 2015-11-25 杭州华三通信技术有限公司 一种基于用户的快速业务处理方法以及装置
CN105939274A (zh) * 2016-05-17 2016-09-14 杭州迪普科技有限公司 报文转发方法及装置
CN105959254A (zh) * 2015-12-02 2016-09-21 杭州迪普科技有限公司 处理报文的方法和装置
CN106330715A (zh) * 2015-06-30 2017-01-11 杭州华三通信技术有限公司 报文处理方法及装置
CN107483341A (zh) * 2017-08-29 2017-12-15 杭州迪普科技股份有限公司 一种跨防火墙报文快速转发方法及装置
CN107948076A (zh) * 2017-12-29 2018-04-20 杭州迪普科技股份有限公司 一种转发报文的方法及装置
CN108134748A (zh) * 2017-12-11 2018-06-08 杭州迪普科技股份有限公司 一种基于快速转发表项的丢包方法和装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101212314A (zh) * 2006-12-30 2008-07-02 北京天融信网络安全技术有限公司 单一芯片实现多项网络安全功能的方法
US20120207174A1 (en) * 2011-02-10 2012-08-16 Choung-Yaw Michael Shieh Distributed service processing of network gateways using virtual machines
CN105099921A (zh) * 2015-05-29 2015-11-25 杭州华三通信技术有限公司 一种基于用户的快速业务处理方法以及装置
CN106330715A (zh) * 2015-06-30 2017-01-11 杭州华三通信技术有限公司 报文处理方法及装置
CN105959254A (zh) * 2015-12-02 2016-09-21 杭州迪普科技有限公司 处理报文的方法和装置
CN105939274A (zh) * 2016-05-17 2016-09-14 杭州迪普科技有限公司 报文转发方法及装置
CN107483341A (zh) * 2017-08-29 2017-12-15 杭州迪普科技股份有限公司 一种跨防火墙报文快速转发方法及装置
CN108134748A (zh) * 2017-12-11 2018-06-08 杭州迪普科技股份有限公司 一种基于快速转发表项的丢包方法和装置
CN107948076A (zh) * 2017-12-29 2018-04-20 杭州迪普科技股份有限公司 一种转发报文的方法及装置

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110932979A (zh) * 2019-11-26 2020-03-27 锐捷网络股份有限公司 一种快速转发报文的方法和装置
CN110932979B (zh) * 2019-11-26 2022-07-19 锐捷网络股份有限公司 一种快速转发报文的方法和装置
CN111107007A (zh) * 2019-12-31 2020-05-05 奇安信科技集团股份有限公司 报文转发方法、装置、电子设备和介质
CN111404940A (zh) * 2020-03-17 2020-07-10 深信服科技股份有限公司 一种数据包识别方法、装置及电子设备和存储介质
CN111404940B (zh) * 2020-03-17 2022-01-21 深信服科技股份有限公司 一种数据包识别方法、装置及电子设备和存储介质
CN112333097A (zh) * 2020-09-29 2021-02-05 新华三信息安全技术有限公司 一种报文转发方法、装置及网关设备
CN112333097B (zh) * 2020-09-29 2022-05-24 新华三信息安全技术有限公司 一种报文转发方法、装置及网关设备
CN115834498A (zh) * 2023-01-06 2023-03-21 北京中科网威信息技术有限公司 业务加速方法、装置、设备及介质

Also Published As

Publication number Publication date
CN110311866B (zh) 2021-11-02

Similar Documents

Publication Publication Date Title
CN110311866A (zh) 一种快速转发报文的方法及装置
JP4906504B2 (ja) インテリジェント統合ネットワークセキュリティ装置
CN106878194B (zh) 一种报文处理方法和装置
KR101723098B1 (ko) 네트워크 제어 보안
EP3541014A1 (en) Method, device and system for detecting fault in nfv system
CN105959254B (zh) 处理报文的方法和装置
KR20170060066A (ko) 통신 네트워크에서의 네트워크 서비스 기능들의 체이닝
CN102255909B (zh) 监控会话流的方法及装置
CN108259425A (zh) 攻击请求的确定方法、装置及服务器
US10491414B1 (en) System and method of providing a controlled interface between devices
US8855113B2 (en) Link state identifier collision handling
US11838318B2 (en) Data plane with connection validation circuits
CN105959282A (zh) Dhcp攻击的防护方法及装置
CN103701822A (zh) 访问控制方法
CN106656615A (zh) 一种基于tracert命令的报文处理方法及装置
CN108259348A (zh) 一种报文传输方法和装置
US20140298329A1 (en) System, method, and computer-readable medium
US11785053B2 (en) Systems and methods for determining secure network paths
CN105959248B (zh) 报文访问控制的方法及装置
Yang et al. An SDN‐based MTD model
CN104717216B (zh) 一种网络接入控制方法、装置及核心设备
CN105391733B (zh) 一种802.1x认证用户迁移防攻击的方法和系统
Zhang et al. Toward comprehensive network verification: Practices, challenges and beyond
CN105227462B (zh) 一种用于更新OpenFlow流表的方法与设备
CN107888624B (zh) 一种防护网络安全的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant