專(zhuān)利名稱(chēng):基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及安全業(yè)務(wù)技術(shù)領(lǐng)域���,具體涉及基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)方法及系統(tǒng)。
背景技術(shù):
隨著網(wǎng)絡(luò)的普及與發(fā)展�,對(duì)網(wǎng)絡(luò)設(shè)備的要求已經(jīng)不僅僅是單純的快速轉(zhuǎn) 發(fā),還需要網(wǎng)絡(luò)設(shè)備提供安全業(yè)務(wù)。市場(chǎng)的這一需求促進(jìn)了安全設(shè)備的發(fā)展�����,
并對(duì)安全設(shè)備提出以下要求在對(duì)網(wǎng)絡(luò)數(shù)據(jù)實(shí)施安全業(yè)務(wù)如安全檢查過(guò)濾 等的情況下仍然提供比較好的轉(zhuǎn)發(fā)性能�。
安全設(shè)備要達(dá)到以上要求,依賴(lài)于硬件性能的提升�����,同時(shí)也依賴(lài)軟件相 關(guān)表項(xiàng)的組織以及相關(guān)的業(yè)務(wù)流程優(yōu)化�����。如何組織相關(guān)的主要表項(xiàng)并依賴(lài)其 提升處理性能��,成為安全產(chǎn)品面臨的一個(gè)命題�����。
圖1為現(xiàn)有的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)流程圖��,如圖1所示�,其具體步驟 如下
步驟101:在安全設(shè)備上配置安全業(yè)務(wù)表項(xiàng)�。
每個(gè)安全業(yè)務(wù)表項(xiàng)包括五元組信息中的一個(gè)或任意組合與安全業(yè)務(wù)信 息的對(duì)應(yīng)關(guān)系,或者包括轉(zhuǎn)發(fā)信息與安全業(yè)務(wù)信息的對(duì)應(yīng)關(guān)系,或者包括 五元組信息中的 一 個(gè)或任意組合����、轉(zhuǎn)發(fā)信息與安全業(yè)務(wù)信息的對(duì)應(yīng)關(guān)系。
五元組信息即源IP地址信息�����、源端口信息����、協(xié)議號(hào)碼、目的IP地址 信息���、目的出端口信息�����。
轉(zhuǎn)發(fā)信息即轉(zhuǎn)發(fā)信息庫(kù)(FIB)表項(xiàng)中的三層出接口信息等���,地址解 析協(xié)議(ARP)表項(xiàng)中的出端口信息等。
安全業(yè)務(wù)信息指示具體應(yīng)執(zhí)行何種安全業(yè)務(wù)處理�,如過(guò)濾處理等。
步驟102:安全設(shè)備接收到包����,查找與該包的五元組對(duì)應(yīng)的安全業(yè)務(wù)表項(xiàng)���。
步驟103:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息,對(duì) 該包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理���,執(zhí)行完畢�����,轉(zhuǎn)至步驟104�。
本步驟中的安全業(yè)務(wù)處理針對(duì)的是安全設(shè)備入口處的安全業(yè)務(wù)處理����。 步驟104:安全設(shè)備查找與該包的目的IP地址對(duì)應(yīng)的FIB表項(xiàng)��。 步驟105:安全設(shè)備查找與FIB表項(xiàng)最匹配的ARP表項(xiàng)�。 步驟106:安全設(shè)備查找與FIB表項(xiàng)中的三層出接口信息對(duì)應(yīng)的安全業(yè) 務(wù)表項(xiàng)。
步驟107:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息���,對(duì) 該包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理�����,執(zhí)行完畢�,轉(zhuǎn)至步驟108。
本步驟中的安全業(yè)務(wù)處理針對(duì)的是安全設(shè)備出口處的安全業(yè)務(wù)處理����。
步驟108:安全設(shè)備將查找到的ARP表項(xiàng)中的二層鏈路層頭封裝到包 的二層頭上,將該包轉(zhuǎn)發(fā)出去���。
從以上過(guò)程可以看出安全設(shè)備接收到包后��,首先根據(jù)包的五元組信息 查找安全業(yè)務(wù)表項(xiàng)�����,并進(jìn)行相應(yīng)的安全業(yè)務(wù)處理��,然后查找FIB表項(xiàng)和ARP 表項(xiàng)����,再根據(jù)查找到的FIB表項(xiàng)和ARP表項(xiàng)查找安全業(yè)務(wù)表項(xiàng)�,并進(jìn)行相 應(yīng)的安全業(yè)務(wù)處理,處理完畢�,根據(jù)ARP表項(xiàng)轉(zhuǎn)發(fā)包。很顯然�����,處理流程 較長(zhǎng),大大降低了包的轉(zhuǎn)發(fā)效率���。
發(fā)明內(nèi)容
本發(fā)明提供基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)方法及系統(tǒng)����,以提高基于安全業(yè)務(wù)的包 的轉(zhuǎn)發(fā)效率�。
本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的 一種基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)方法,包括 建立FIB表項(xiàng)與ARP表項(xiàng)的關(guān)聯(lián)關(guān)系��;
接收到業(yè)務(wù)流的首包�,獲取與該首包對(duì)應(yīng)的安全業(yè)務(wù)信息,建立該首包攜
帶的業(yè)務(wù)流包的屬性信息與安全業(yè)務(wù)信息的對(duì)應(yīng)關(guān)系�;
接收到業(yè)務(wù)流的后續(xù)包,根據(jù)后續(xù)包攜帶的業(yè)務(wù)流包屬性信息及所述對(duì)應(yīng) 關(guān)系和所述關(guān)聯(lián)關(guān)系����,查找到安全業(yè)務(wù)信息和ARP表項(xiàng)信息,根據(jù)安全業(yè)務(wù)信 息對(duì)后續(xù)包執(zhí)行安全業(yè)務(wù)處理�����,根據(jù)ARP表項(xiàng)信息將后續(xù)包轉(zhuǎn)發(fā)出去�。
所述關(guān)聯(lián)關(guān)系和對(duì)應(yīng)關(guān)系保存在軟件單元中。
所述建立關(guān)聯(lián)關(guān)系包括將與每個(gè)FIB表項(xiàng)最匹配的ARP表項(xiàng)的索引添加 到該FIB表項(xiàng)中�����;
對(duì)接收到的后續(xù)包���,所述查找到安全業(yè)務(wù)信息包括在所述對(duì)應(yīng)關(guān)系中查 找與該后續(xù)包攜帶的業(yè)務(wù)流包屬性信息對(duì)應(yīng)的安全業(yè)務(wù)信息�;
對(duì)接收到的后續(xù)包�����,所述查找到ARP表項(xiàng)信息包括獲取與后續(xù)包的目的 IP地址對(duì)應(yīng)的FIB表項(xiàng)��,根據(jù)該FIB表項(xiàng)中的ARP表項(xiàng)索11查找到ARP表項(xiàng)��。
所述關(guān)聯(lián)關(guān)系和對(duì)應(yīng)關(guān)系保存在硬件單元中�����。
所述建立關(guān)聯(lián)關(guān)系之前進(jìn)一步包括在軟件單元中學(xué)習(xí)ARP表項(xiàng)和FIB表
項(xiàng)�����;
所述建立關(guān)聯(lián)關(guān)系包括在硬件單元中保存與軟件單元中每個(gè)ARP表項(xiàng)內(nèi) 容相同的ARP感知表項(xiàng)�;在硬件單元中保存與軟件單元中每個(gè)FIB表項(xiàng)內(nèi)容相 同的FIB感知表項(xiàng)���,將與該FIB感知表項(xiàng)最匹配的ARP感知表項(xiàng)的索引添加到 該FIB感知表項(xiàng)中;
對(duì)接收到的后續(xù)包�,所述查找到安全業(yè)務(wù)信息包括在所述對(duì)應(yīng)關(guān)系中查 找與該后續(xù)包攜帶的業(yè)務(wù)流包屬性信息對(duì)應(yīng)的安全業(yè)務(wù)信息;
對(duì)接收到的后續(xù)包��,所述獲取ARP表項(xiàng)信息為根據(jù)后續(xù)包的目的IP地 址查找到FIB感知表項(xiàng)��,根據(jù)所述FIB感知表項(xiàng)中的ARP感知表項(xiàng)索引查找到 ARP感知表項(xiàng)����,該ARP感知表項(xiàng)即為查找到的ARP表項(xiàng)信息。
所述業(yè)務(wù)流包的屬性信息為五元組信息���。
一種基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)系統(tǒng)�,包括
業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)模塊�,建立FIB表項(xiàng)和ARP表項(xiàng)的關(guān)聯(lián)關(guān)系;接收到業(yè)務(wù)流 首包�,獲取與該首包對(duì)應(yīng)的安全業(yè)務(wù)信息,建立該首包攜帶的業(yè)務(wù)流包的屬性
信息與安全業(yè)務(wù)信息的對(duì)應(yīng)關(guān)系�����;接收到業(yè)務(wù)流的后續(xù)包����,根據(jù)該后續(xù)包攜帶 的業(yè)務(wù)流包屬性信息及所述對(duì)應(yīng)關(guān)系和所述關(guān)聯(lián)關(guān)系,查找到安全業(yè)務(wù)信息和 ARP表項(xiàng)信息����;將查找到的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊,將查找到 的ARP表項(xiàng)信息發(fā)送給轉(zhuǎn)發(fā)模塊�����;
安全業(yè)務(wù)處理模塊�����,根據(jù)接收到的安全業(yè)務(wù)信息對(duì)接收到的業(yè)務(wù)流包執(zhí)行 安全業(yè)務(wù)處理����,將經(jīng)安全業(yè)務(wù)處理的業(yè)務(wù)流包發(fā)送給轉(zhuǎn)發(fā)模塊;
轉(zhuǎn)發(fā)模塊��,根據(jù)接收到的ARP表項(xiàng)信息將接收到的業(yè)務(wù)流包轉(zhuǎn)發(fā)出去��。
所述業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)模塊包括
FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊�,學(xué)習(xí)FIB表項(xiàng),將與該FIB表項(xiàng)最匹配的ARP 表項(xiàng)的索引添加到該FIB表項(xiàng)中;
Session表項(xiàng)存儲(chǔ)模塊�,保存各Session表項(xiàng);
Session表項(xiàng)查找模塊���,接收到業(yè)務(wù)流包�,若在Session表項(xiàng)存儲(chǔ)模塊中 查找到與該業(yè)務(wù)流包的屬性信息對(duì)應(yīng)的Session表項(xiàng)����,將該Session表項(xiàng)中的 安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊,并在FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊中查找 與該業(yè)務(wù)流包對(duì)應(yīng)的FIB表項(xiàng)���,根據(jù)FIB表項(xiàng)中的ARP表項(xiàng)索引查找到ARP 表項(xiàng)���,將該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊;否則��,將該業(yè)務(wù)流包發(fā)送給Session 表項(xiàng)建立模塊���;
Session表項(xiàng)建立模塊����,接收到業(yè)務(wù)流包����,將與該業(yè)務(wù)流包的屬性信息 對(duì)應(yīng)的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊�����,并建立包括業(yè)務(wù)流包的屬性 信息和安全業(yè)務(wù)信息的Session表項(xiàng);在FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊中查找與該 業(yè)務(wù)流包對(duì)應(yīng)的FIB表項(xiàng)���,查找與該FIB表項(xiàng)最匹配的ARP表項(xiàng)���,將該ARP 表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊,將新建立的Session表項(xiàng)存儲(chǔ)到Session表項(xiàng)存儲(chǔ)模塊���。
該系統(tǒng)進(jìn)一步包括FIB表項(xiàng)更新模塊��,更新FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊中 的FIB表項(xiàng)�,且在FIB表項(xiàng)更新完畢時(shí)����,查找與該更新后的FIB表項(xiàng)最匹配 的ARP表項(xiàng),以該查找到的ARP表項(xiàng)的索引更新該FIB表項(xiàng)中的ARP表 項(xiàng)索引���。
所述FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊和Session表項(xiàng)存儲(chǔ)模塊位于軟件單元中���。
所述業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)模塊包括
FIB感知表項(xiàng)存儲(chǔ)模塊��,保存內(nèi)容與軟件單元中的各FIB表項(xiàng)內(nèi)容相同 的FIB感知表項(xiàng)���,且每個(gè)FIB感知表項(xiàng)包含與該FIB感知表項(xiàng)最匹配的ARP 感知表項(xiàng)的索引;.
ARP感知表項(xiàng)存儲(chǔ)模塊��,保存內(nèi)容與軟件單元中的各ARP表項(xiàng)內(nèi)容相 同的ARP感知表項(xiàng)���;
Session表項(xiàng)存儲(chǔ)模塊����,保存各Session表項(xiàng)�����;
Session表項(xiàng)查找模塊�,接收到業(yè)務(wù)流包,在Session表項(xiàng)存儲(chǔ)模塊中查 找與業(yè)務(wù)流包的屬性信息對(duì)應(yīng)的Session表項(xiàng)�,若查找到,則將該Session 表項(xiàng)中的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊�,并在FIB感知表項(xiàng)存儲(chǔ)模 塊中查找與業(yè)務(wù)流包對(duì)應(yīng)的FIB感知表項(xiàng),將FIB感知表項(xiàng)中的ARP感知 表項(xiàng)索引發(fā)送給轉(zhuǎn)發(fā)模塊����;若未查找到�,則將該業(yè)務(wù)流包發(fā)送給Session表 項(xiàng)建立模塊����;
Session表項(xiàng)建立模塊,接收到業(yè)務(wù)流包�,將與該業(yè)務(wù)流包對(duì)應(yīng)的安全 業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊,并建立包括業(yè)務(wù)流包的屬性信息和安全 業(yè)務(wù)信息的Session表項(xiàng)��;在軟件單元中查找與業(yè)務(wù)流包對(duì)應(yīng)的ARP表項(xiàng)��, 將該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊���,并將建立的Session表項(xiàng)保存到Session表 項(xiàng)存儲(chǔ)模塊中。
該系統(tǒng)進(jìn)一步包括FIB表項(xiàng)更新模塊�,更新軟件單元中的FIB表項(xiàng), 且在FIB表項(xiàng)更新完畢時(shí)�,在軟件單元中查找與該更新后的FIB表項(xiàng)最匹配 的ARP表項(xiàng),以與該ARP表項(xiàng)對(duì)應(yīng)的ARP感知表項(xiàng)的索引和更新后的FIB 表項(xiàng)的內(nèi)容更新FIB感知表項(xiàng)存儲(chǔ)模塊中與所述FIB表項(xiàng)對(duì)應(yīng)的FIB感知表 項(xiàng)的內(nèi)容����。
所述FIB感知表項(xiàng)存儲(chǔ)模塊、ARP感知表項(xiàng)存儲(chǔ)模塊��、Session表項(xiàng)存 儲(chǔ)模塊位于硬件單元中。
與現(xiàn)有技術(shù)相比����,本發(fā)明通過(guò)建立FIB表項(xiàng)與ARP表項(xiàng)的關(guān)聯(lián)關(guān)系,
并對(duì)業(yè)務(wù)流的首包采用現(xiàn)有技術(shù)進(jìn)行安全業(yè)務(wù)表項(xiàng)�、FIB表項(xiàng)、ARP表項(xiàng)的
查找��,并以首包的屬性信息為業(yè)務(wù)流各包的屬性信息�����,根據(jù)查找結(jié)果建立業(yè) 務(wù)流包的屬性信息與安全業(yè)務(wù)信息的對(duì)應(yīng)關(guān)系��,使得業(yè)務(wù)流的后續(xù)包可直接 根據(jù)所述對(duì)應(yīng)關(guān)系進(jìn)行安全業(yè)務(wù)處理�����,根據(jù)所述關(guān)聯(lián)關(guān)系進(jìn)行轉(zhuǎn)發(fā)處理�,無(wú) 需每個(gè)包都進(jìn)行安全業(yè)務(wù)表項(xiàng)、ARP表項(xiàng)的查找�����,大大提高了基于安全業(yè)務(wù) 的包轉(zhuǎn)發(fā)效率�。
圖1為現(xiàn)有的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)流程圖2為本發(fā)明實(shí)施例一提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)流程圖3為本發(fā)明實(shí)施例二提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)流程圖4為本發(fā)明實(shí)施例一提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)系統(tǒng)組成圖5為本發(fā)明實(shí)施例二提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)系統(tǒng)組成圖��。
具體實(shí)施例方式
由于同 一業(yè)務(wù)流中的各個(gè)包的五元組是相同的��,且安全業(yè)務(wù)表項(xiàng)通常都 以包的五元組為依據(jù)建立���,從而可以得知對(duì)同一業(yè)務(wù)流的各個(gè)包所進(jìn)行的 安全業(yè)務(wù)處理是相同的。因此��,本發(fā)明的核心思想是對(duì)業(yè)務(wù)流的首包按照 現(xiàn)有技術(shù)進(jìn)行安全業(yè)務(wù)表項(xiàng)查找和FIB表項(xiàng)��、ARP表項(xiàng)查找���,并根據(jù)查找 結(jié)果建立包的五元組與需對(duì)該包執(zhí)行的所有安全業(yè)務(wù)的信息的關(guān)聯(lián)關(guān)系。這 樣�,該業(yè)務(wù)流的后續(xù)包就可根據(jù)該關(guān)聯(lián)關(guān)系直接查找到安全業(yè)務(wù)信息,從而 直接對(duì)該后續(xù)包進(jìn)行安全業(yè)務(wù)處理��,而無(wú)需再進(jìn)行安全業(yè)務(wù)表項(xiàng)的查找過(guò) 程��。另外�,在學(xué)習(xí)到FIB表項(xiàng)時(shí),查找與該FIB表項(xiàng)對(duì)應(yīng)的ARP表項(xiàng)����,建 立FIB表項(xiàng)與ARP表項(xiàng)的關(guān)聯(lián)關(guān)系��,這樣�����,就無(wú)需對(duì)業(yè)務(wù)流的后續(xù)包再進(jìn) 行FIB表項(xiàng)和ARP表項(xiàng)的匹配過(guò)程�����。
下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明再作進(jìn)一步詳細(xì)的說(shuō)明���。 圖2為本發(fā)明實(shí)施例一提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)流程圖,如圖2所 示��,其具體步驟如下
步驟201:安全設(shè)備通過(guò)軟件學(xué)習(xí)到FIB表項(xiàng)����,查找與該FIB表項(xiàng)對(duì)應(yīng) 的ARP表項(xiàng),將該ARP表項(xiàng)的索引添加到該FIB表項(xiàng)中��。
可以看出���,F(xiàn)IB表項(xiàng)的內(nèi)容為目的IP地址+目的掩碼+三層出接口+下 一跳+ARP表項(xiàng)索引��。
當(dāng)更新FIB表項(xiàng)時(shí)�����,要重新查找與該更新后的FIB表項(xiàng)最匹配的ARP 表項(xiàng),以該ARP表項(xiàng)的索引更新該FIB表項(xiàng)中的ARP表項(xiàng)索引���。
步驟202:安全設(shè)備接收到包��,查找與該包的五元組信息對(duì)應(yīng)的Session 表項(xiàng)����。
步驟203:安全設(shè)備判斷是否查找到Session表項(xiàng)���,若是��,執(zhí)行步驟212; 否則����,^執(zhí)行步驟204�����。
步驟204:安全設(shè)備確定該包為業(yè)務(wù)流的首包���,在軟件中查找與該首包 攜帶的信息如五元組信息對(duì)應(yīng)的安全業(yè)務(wù)表項(xiàng)��。
步驟205:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息�����,對(duì) 該首包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理���,并在軟件中建立Session表項(xiàng),該Session 表項(xiàng)包括該首包的五元組信息和所述安全業(yè)務(wù)信息����。
本步驟中的安全業(yè)務(wù)處理針對(duì)的是安全設(shè)備入口處的安全業(yè)務(wù)處理。
安全設(shè)備有可能查找到多于一個(gè)安全業(yè)務(wù)表項(xiàng)���,此時(shí)�����,安全設(shè)備將查找 到的所有安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息添加到Session表項(xiàng)中�。
步驟206:安全設(shè)備在軟件中查找與該首包的目的IP地址對(duì)應(yīng)的FIB 表項(xiàng)��。
FIB表項(xiàng)包括目的IP地址��、目的掩碼、三層出接口����、下一跳等信息。 步驟207:安全設(shè)備查找到FIB表項(xiàng)��,在軟件中查找與該FIB表項(xiàng)最匹 配的ARP表項(xiàng)���。
本步驟207也可更改為安全設(shè)備查找到FIB表項(xiàng)��,根據(jù)該FIB表項(xiàng)中 的ARP表項(xiàng)索引查找到與該FIB表項(xiàng)最匹配的ARP表項(xiàng)��。
步驟208:安全設(shè)備查找與所述FIB表項(xiàng)中的三層出接口信息對(duì)應(yīng)的安 全業(yè)務(wù)表項(xiàng)��。
步驟209:安全設(shè)備判斷是否查找到安全業(yè)務(wù)表項(xiàng)���,若是,執(zhí)行步驟210; 否則�����,執(zhí)行步驟211��。
步驟210:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息���,對(duì) 該首包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理���,同時(shí)將該安全業(yè)務(wù)信息添加到步驟205中 建立的Session表項(xiàng)中,安全業(yè)務(wù)處理完畢����,轉(zhuǎn)至步驟211。
本步驟中的安全業(yè)務(wù)處理針對(duì)的是安全設(shè)備出口處的安全業(yè)務(wù)處理���。若 在步驟209中未查找到安全業(yè)務(wù)表項(xiàng)�,則可確定該首包在安全設(shè)備出口處無(wú) 需作安全業(yè)務(wù)處理��。
步驟211:安全設(shè)備將查找到的ARP表項(xiàng)中的二層鏈路層頭封裝到該 首包的二層頭上���,將該首包轉(zhuǎn)發(fā)出去����,返回步驟202���。
步驟212:安全設(shè)備確定該包為業(yè)務(wù)流的后續(xù)包���,根據(jù)Session表項(xiàng)中 的安全業(yè)務(wù)信息�,對(duì)該后續(xù)包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理��,執(zhí)行完畢���,轉(zhuǎn)至步 驟213����。
步驟213:安全設(shè)備在軟件中查找與該后續(xù)包的目的IP地址對(duì)應(yīng)的FIB表項(xiàng)�����。
步驟214:安全設(shè)備根據(jù)查找到的FIB表項(xiàng)中的ARP表項(xiàng)索引查找到 ARP表項(xiàng)����,將查找到的ARP表項(xiàng)中的二層鏈路層頭封裝到該后續(xù)包的二層 頭上,將該后續(xù)包轉(zhuǎn)發(fā)出去��,返回步驟202�����。
從圖2所示流程可以看出當(dāng)在軟件中學(xué)習(xí)到FIB表項(xiàng)后�,在軟件中查 找與該FIB表項(xiàng)最匹配的ARP表項(xiàng),將該ARP表項(xiàng)的索引添加到該FIB表 項(xiàng)中�。
當(dāng)對(duì)業(yè)務(wù)流的首包進(jìn)行了軟件中的安全業(yè)務(wù)表項(xiàng)查找后���,根據(jù)查找結(jié)果 在軟件中所建立的新Session表項(xiàng)的結(jié)構(gòu)如下 Session表項(xiàng)五元組信息�����、安全業(yè)務(wù)信息�����。
這樣���,當(dāng)收到該業(yè)務(wù)流的后續(xù)包后�����,就可根據(jù)該后續(xù)包的五元組信息在 軟件中查找到上述Session表項(xiàng)��,然后根據(jù)該Session表項(xiàng)中的安全業(yè)務(wù)信息 對(duì)該后續(xù)包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理�,根據(jù)該后續(xù)包的目的IP地址在軟件
中查找到FIB表項(xiàng)���,再根據(jù)該FIB表項(xiàng)中的ARP表項(xiàng)索引查找到ARP表項(xiàng)�����, 從而將該后續(xù)包轉(zhuǎn)發(fā)出去����。可以看出��,將所有的安全業(yè)務(wù)信息都集中存儲(chǔ)在 Session表項(xiàng)中�����,提高了安全業(yè)務(wù)處理效率��;且�,在查找ARP表項(xiàng)時(shí),無(wú)需 進(jìn)行ARP表項(xiàng)與FIB表項(xiàng)的匹配操作�����,而可以根據(jù)FIB表項(xiàng)中的ARP表項(xiàng) 索引直接查找到ARP表項(xiàng)���,進(jìn)一步提高了轉(zhuǎn)發(fā)效率���。
圖2所示實(shí)施例中,對(duì)業(yè)務(wù)流的后續(xù)包的安全業(yè)務(wù)處理和轉(zhuǎn)發(fā)處理都是 在軟件中進(jìn)行的��,以下給出在硬件中對(duì)業(yè)務(wù)流的后續(xù)包進(jìn)行安全業(yè)務(wù)處理和 轉(zhuǎn)發(fā)處理的實(shí)施例。
圖3為本發(fā)明實(shí)施例二提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)流程圖���,如圖3所 示�����,其具體步驟如下
步驟301:安全設(shè)備通過(guò)軟件學(xué)習(xí)到ARP表項(xiàng),在硬件中建立ARP感 知表項(xiàng)�����,該ARP感知表項(xiàng)中包含的內(nèi)容與所學(xué)習(xí)到的ARP表項(xiàng)的內(nèi)容相同���, 并將ARP感知表項(xiàng)的索引添加到所學(xué)習(xí)到的ARP表項(xiàng)中�����。
經(jīng)過(guò)本步驟后���,ARP表項(xiàng)和ARP感知表項(xiàng)的內(nèi)容分別如下
ARP表項(xiàng)三層出接口+出端口+有效標(biāo)志位+鏈路層頭長(zhǎng)度+二層鏈路 層頭+ARP感知表項(xiàng)索引。
ARP感知表項(xiàng)三層出接口+出端口+有效標(biāo)志位+鏈路層頭長(zhǎng)度+二層 鏈路層頭����。
可以看出ARP表項(xiàng)與ARP感知表項(xiàng)的區(qū)別在于����,ARP表項(xiàng)中包含了 ARP感知表項(xiàng)索引����。
當(dāng)更新ARP表項(xiàng)時(shí),要根據(jù)ARP表項(xiàng)中的ARP感知表項(xiàng)索引查找到 ARP感知表項(xiàng)�,然后以更新后的ARP表項(xiàng)的內(nèi)容更新該ARP感知表項(xiàng)的內(nèi)容。
步驟302:安全設(shè)備通過(guò)軟件學(xué)習(xí)到FIB表項(xiàng)����,在石更件中建立FIB感知 表項(xiàng),該FIB感知表項(xiàng)中所包含的內(nèi)容與所學(xué)習(xí)到的FIB表項(xiàng)的內(nèi)容相同�; 查找與該FIB表項(xiàng)對(duì)應(yīng)的ARP表項(xiàng),將該ARP表項(xiàng)中的ARP感知表項(xiàng)的 索引添加到該FIB感知表項(xiàng)中����,將該FIB感知表項(xiàng)的索引添加到學(xué)習(xí)到的
FIB表項(xiàng)中。
經(jīng)過(guò)本步驟后�,F(xiàn)IB表項(xiàng)和FIB感知表項(xiàng)的內(nèi)容分別如下 FIB表項(xiàng)目的IP地址+目的掩碼+三層出接口十下一跳+FIB感知表項(xiàng) 索引。
FIB感知表項(xiàng)目的IP地址+目的掩碼+三層出接口 +下一跳+八11 感知
表項(xiàng)索引���。
可以看出FIB表項(xiàng)與FIB感知表項(xiàng)的區(qū)別在于�����,F(xiàn)IB表項(xiàng)中包含了 FIB 感知表項(xiàng)索引�,F(xiàn)IB感知表項(xiàng)中包含了與自身最匹配的ARP感知表項(xiàng)索引。
當(dāng)更新FIB表項(xiàng)時(shí)���,要根據(jù)FIB表項(xiàng)中的FIB感知表項(xiàng)索引查找到FIB 感知表項(xiàng)���,然后以更新后的FIB表項(xiàng)的內(nèi)容更新該FIB感知表項(xiàng)的內(nèi)容,并 重新查找與該更新后的FIB表項(xiàng)最匹配的ARP表項(xiàng)��,以該ARP表項(xiàng)中的 ARP感知表項(xiàng)索引更新該FIB感知表項(xiàng)中的ARP感知表項(xiàng)索引�����。
步驟303:安全設(shè)備接收到包����,在硬件中查找與該包的五元組信息對(duì)應(yīng) 的Session表項(xiàng)�����。
步驟304:安全設(shè)備判斷是否查找到Session表項(xiàng)�����,若是,執(zhí)行步驟313; 否則�,執(zhí)行步驟305。
步驟305:安全設(shè)備確定該包為業(yè)務(wù)流的首包�,在軟件中查找與該首包 攜帶的信息如五元組信息對(duì)應(yīng)的安全業(yè)務(wù)表項(xiàng)。
步驟306:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息���,對(duì) 該首包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理���,并在軟件中建立Session表項(xiàng),該Session 表項(xiàng)包括該首包的五元組信息和所述安全業(yè)務(wù)信息�。
安全設(shè)備有可能查找到多于一個(gè)安全業(yè)務(wù)表項(xiàng),此時(shí)�,安全設(shè)備將查找 到的所有安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息添加到Session表項(xiàng)中。
步驟307:安全設(shè)備在軟件中查找與該首包的目的IP地址對(duì)應(yīng)的FIB 表項(xiàng)���。
步驟308:安全設(shè)備查找到FIB表項(xiàng)����,在軟件中查找與該FIB表項(xiàng)最匹 配的ARP表項(xiàng)�����。
步驟309:安全設(shè)備在軟件中查找與所述FIB表項(xiàng)中的三層出接口信息 對(duì)應(yīng)的安全業(yè)務(wù)表項(xiàng)。
步驟310:安全設(shè)備判斷是否查找到安全業(yè)務(wù)表項(xiàng)�,若是,執(zhí)行步驟311; 否則����,執(zhí)行步驟312。
步驟311:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息�,對(duì) 該首包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理,同時(shí)將該安全業(yè)務(wù)信息添加到步驟306中 建立的Session表項(xiàng)中����,同時(shí)將該Session表項(xiàng)保存到硬件中,安全業(yè)務(wù)處理 完畢��,轉(zhuǎn)至步驟312��。
步驟312:安全設(shè)備將查找到的ARP表項(xiàng)中的二層鏈路層頭封裝到該 首包的二層頭上����,將該首包轉(zhuǎn)發(fā)出去�,返回步驟303。
步驟313:安全設(shè)備確定該包為業(yè)務(wù)流的后續(xù)包�,根據(jù)Session表項(xiàng)中 的安全業(yè)務(wù)信息,對(duì)該后續(xù)包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理����,執(zhí)行完畢���,轉(zhuǎn)至步 驟314。
步驟314:安全設(shè)備在硬件中查找與該后續(xù)包的目的IP地址對(duì)應(yīng)的FIB
感知表項(xiàng)����。
步驟315:安全設(shè)備根據(jù)查找到的FIB感知表項(xiàng)中的ARP感知表項(xiàng)索 引查找到ARP感知表項(xiàng),將查找到的ARP感知表項(xiàng)中的二層鏈路層頭封裝 到該后續(xù)包的二層頭上����,將該后續(xù)包轉(zhuǎn)發(fā)出去,返回步驟303���。
從圖3所示流程可以看出當(dāng)在軟件中學(xué)習(xí)到ARP表項(xiàng)后���,會(huì)在硬件 中保存與該ARP表項(xiàng)對(duì)應(yīng)的ARP感知表項(xiàng)。
當(dāng)在軟件中學(xué)習(xí)到FIB表項(xiàng)后�,在硬件中保存與該FIB表項(xiàng)對(duì)應(yīng)的FIB 感知表項(xiàng),并在軟件中查找與該FIB表項(xiàng)最匹配的ARP表項(xiàng)�,將該ARP表 項(xiàng)中的ARP感知表項(xiàng)索引添加到FIB感知表項(xiàng)中。
當(dāng)對(duì)業(yè)務(wù)流的首包進(jìn)行了軟件中的安全業(yè)務(wù)表項(xiàng)查找后�����,根據(jù)查找結(jié)果 在硬件中所保存的新Session表項(xiàng)的結(jié)構(gòu)如下
Session表項(xiàng)五元組信息、安全業(yè)務(wù)信息��。
這樣��,當(dāng)收到該業(yè)務(wù)流的后續(xù)包后����,就可根據(jù)該后續(xù)包的五元組信息在
硬件中查找到上述Session表項(xiàng),然后根據(jù)該Session表項(xiàng)中的安全業(yè)務(wù)信息 對(duì)該后續(xù)包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理��,根據(jù)該后續(xù)包的目的IP地址在硬件 中查找到FIB感知表項(xiàng)�,再根據(jù)該FIB感知表項(xiàng)中的ARP感知表項(xiàng)索引查 找到硬件中的ARP感知表項(xiàng),從而將該后續(xù)包轉(zhuǎn)發(fā)出去�����?��?梢钥闯觯瑢?duì)后 續(xù)包的安全業(yè)務(wù)處理和轉(zhuǎn)發(fā)處理都是在硬件中進(jìn)行的��,大大提高了后續(xù)包的 安全業(yè)務(wù)處理效率和轉(zhuǎn)發(fā)效率��。
圖4為本發(fā)明實(shí)施例一提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)系統(tǒng)組成圖��,如圖 4所示,其主要包括安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊401�、 FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊 402、 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊403���、 Session表項(xiàng)存儲(chǔ)模塊404��、包接收模塊 405�����、 Session表項(xiàng)查找模塊406�、 Session表項(xiàng)建立模塊407����、安全業(yè)務(wù)處理 模塊408和轉(zhuǎn)發(fā)模塊409,其中
安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊401:保存由五元組信息和/或轉(zhuǎn)發(fā)表項(xiàng)信息與安 全業(yè)務(wù)信息組成的各安全業(yè)務(wù)表項(xiàng)����。
FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊402:學(xué)習(xí)到FIB表項(xiàng),保存該FIB表項(xiàng)����,并在 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊403中查找與該FIB表項(xiàng)最匹配的ARP表項(xiàng),將該 ARP表項(xiàng)索引添加到學(xué)習(xí)到的FIB表項(xiàng)中����。
ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊403:學(xué)習(xí)并保存ARP表項(xiàng)��。
Session表項(xiàng)存儲(chǔ)模塊404:保存由五元組��、安全業(yè)務(wù)信息組成的各 Session表項(xiàng)�����。
包接收模塊405..用于接收包�,將該包發(fā)送給安全業(yè)務(wù)處理模塊408和 Session表項(xiàng)查找模塊406�。
Session表項(xiàng)查找模塊406:接收包接收模塊405發(fā)來(lái)的包,在Session 表項(xiàng)存儲(chǔ)模塊404中查找與該包的五元組對(duì)應(yīng)的Session表項(xiàng)��,若查找到�, 將該Session表項(xiàng)中的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理才莫塊408,并在FIB 表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊402中查找與該包的目的IP地址對(duì)應(yīng)的FIB表項(xiàng),根據(jù) 該FIB表項(xiàng)中的ARP表項(xiàng)索引在ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊403中查找到ARP 表項(xiàng)��,將該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊409;若未查找到�,則將該包發(fā)送給
Session表項(xiàng)建立模塊407。
Session表項(xiàng)建立模塊407:接收Session表項(xiàng)查找模塊406發(fā)來(lái)的包���, 在安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊401中查找與該包攜帶的信息如五元組對(duì)應(yīng)的安 全業(yè)務(wù)信息�,將查找到的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊408����,建立 新的Session表項(xiàng),該Session表項(xiàng)包括所述包的五元組和查找到的安全業(yè) 務(wù)信息�����;在FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊402中查找與該包的目的IP地址對(duì)應(yīng)的 FIB表項(xiàng)���,在ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊403中查找與該FIB表項(xiàng)最匹配的ARP 表項(xiàng)����,將該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊409�����,并在安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊401 中查找與所述查找到的FIB表項(xiàng)中的三層出接口信息對(duì)應(yīng)的安全業(yè)務(wù)信息���, 若查找到�����,將該安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊408���,并將該安全業(yè) 務(wù)信息添加到新建立的Session表項(xiàng)中����,將該新建立的Session表項(xiàng)保存到 Session表項(xiàng)存儲(chǔ)模塊404中��。
安全業(yè)務(wù)處理模塊408:接收包接收模塊406發(fā)來(lái)的包�,接收Session 表項(xiàng)查找模塊406或Session表項(xiàng)建立模塊407發(fā)來(lái)的安全業(yè)務(wù)信息,根據(jù) 該安全業(yè)務(wù)信息對(duì)該包進(jìn)行相應(yīng)的安全業(yè)務(wù)處理�,處理完畢,將該包發(fā)送給 轉(zhuǎn)發(fā)模塊409��。
轉(zhuǎn)發(fā)模塊409:接收安全業(yè)務(wù)處理模塊408發(fā)來(lái)的經(jīng)安全業(yè)務(wù)處理的包�����, 接收Session表項(xiàng)查找模塊406或Session表項(xiàng)建立模塊407發(fā)來(lái)的ARP表 項(xiàng)�����,根據(jù)該ARP表項(xiàng)�,將包發(fā)送出去。
本發(fā)明實(shí)施例中的系統(tǒng)還可進(jìn)一步包括FIB表項(xiàng)更新才莫塊�,用于更新 FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊402中的FIB表項(xiàng),且在FIB表項(xiàng)更新完畢時(shí)�,根在 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊403中查找與該更新后的FIB表項(xiàng)最匹配的ARP表 項(xiàng),以該查找到的ARP表項(xiàng)的索引更新該FIB表項(xiàng)中的ARP表項(xiàng)索引。
在實(shí)際應(yīng)用中�����,可將安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊401�、 FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模 塊402����、 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)才莫塊403、 Session表項(xiàng)存儲(chǔ)模塊404����、 Session 表項(xiàng)查找模塊406、 Session表項(xiàng)建立模塊407統(tǒng)稱(chēng)為業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)模塊�。
圖5為本發(fā)明實(shí)施例二提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)系統(tǒng)組成圖,如圖
5所示�,其主要包括安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊501、 FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊 502��、 FIB感知表項(xiàng)存儲(chǔ)模塊503���、 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)才莫塊504���、 ARP感知表 項(xiàng)存儲(chǔ)模塊505、 Session表項(xiàng)存儲(chǔ)模塊506、包接收模塊507�、 Session表項(xiàng) 查找模塊508、 Session表項(xiàng)建立模塊509�、安全業(yè)務(wù)處理模塊510和轉(zhuǎn)發(fā)模 塊511,其中
安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊501:保存由五元組信息和/或轉(zhuǎn)發(fā)表項(xiàng)信息與安 全業(yè)務(wù)信息組成的各安全業(yè)務(wù)表項(xiàng)�����。
FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊502:學(xué)習(xí)到FIB表項(xiàng)�����,保存該FIB表項(xiàng)����,并在 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊504中查找與該FIB表項(xiàng)最匹配的ARP表項(xiàng),在FIB 感知表項(xiàng)存儲(chǔ)模塊503中建立FIB感知表項(xiàng)���,該FIB感知表項(xiàng)包括學(xué)習(xí)到的 FIB表項(xiàng)中的所有內(nèi)容��,還包括查找到的APR表項(xiàng)中的ARP感知表項(xiàng)索引�, 然后將該FIB感知表項(xiàng)索引添加到學(xué)習(xí)到的FIB表項(xiàng)中�����。
FIB感知表項(xiàng)存儲(chǔ)模塊503:存儲(chǔ)FIB感知表項(xiàng)。
ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊504:學(xué)習(xí)并保存ARP表項(xiàng)��,同時(shí)在ARP感知 表項(xiàng)存儲(chǔ)模塊505中建立ARP感知表項(xiàng)���,該ARP感知表項(xiàng)的內(nèi)容與學(xué)習(xí)到 的ARP表項(xiàng)的內(nèi)容相同��,將該ARP感知表項(xiàng)的索引添加到學(xué)習(xí)到的ARP
表項(xiàng)中。
ARP感知表項(xiàng)存儲(chǔ)模塊505:存儲(chǔ)ARP感知表項(xiàng)��。 Session表項(xiàng)存儲(chǔ)模塊506:保存由五元組���、安全業(yè)務(wù)信息組成的各 Session表項(xiàng)�����。
包接收模塊507:用于接收包����,將該包發(fā)送給安全業(yè)務(wù)處理模塊510和 Session表項(xiàng)查找模塊508��。
Session表項(xiàng)查找模塊508:接收包接收模塊507發(fā)來(lái)的包�,在Session 表項(xiàng)存卩諸才莫塊506中查找與該包的五元組對(duì)應(yīng)的Session表項(xiàng),若查找到�����, 則在FIB感知表項(xiàng)存儲(chǔ)模塊503中查找與該包的目的IP地址對(duì)應(yīng)的FIB感 知表項(xiàng),將該Session表項(xiàng)中的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊510��, 將該FIB感知表項(xiàng)中的ARP感知表項(xiàng)索引發(fā)送給轉(zhuǎn)發(fā)模塊511;若未查找
到��,則將該包發(fā)送給Session表項(xiàng)建立模塊509�����。
Session表項(xiàng)建立模塊509:接收Session表項(xiàng)查找模塊508發(fā)來(lái)的包���, 在安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊501中查找與該包攜帶的信息如五元組對(duì)應(yīng)的安 全業(yè)務(wù)信息�,將查找到的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊510,建立 新的Session表項(xiàng)���,該Session表項(xiàng)包括所述包的五元組和查找到的安全業(yè) 務(wù)信息����;在FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊502中查找與該包的目的IP地址對(duì)應(yīng)的 FIB表項(xiàng)�����,在ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊504中查找與該FIB表項(xiàng)最匹配的ARP 表項(xiàng)�,將該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊511����,并在安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊501 中查找與所述查找到的FIB表項(xiàng)中的三層出接口信息對(duì)應(yīng)的安全業(yè)務(wù)信息����, 若查找到,將該安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊510����,并將該安全業(yè) 務(wù)信息添加到新建立的Session表項(xiàng)中,將該新建立的Session表項(xiàng)保存到 Session表項(xiàng)存儲(chǔ)模塊506中��。
安全業(yè)務(wù)處理模塊510:接收包接收模塊507發(fā)來(lái)的包���,接收Session 表項(xiàng)查找模塊508或Session表項(xiàng)建立模塊509發(fā)來(lái)的安全業(yè)務(wù)信息,根據(jù) 該安全業(yè)務(wù)信息對(duì)該包進(jìn)行相應(yīng)的安全業(yè)務(wù)處理���,處理完畢�����,將該包發(fā)送給 轉(zhuǎn)發(fā)模塊511��。
轉(zhuǎn)發(fā)模塊511:接收安全業(yè)務(wù)處理模塊510發(fā)來(lái)的經(jīng)安全業(yè)務(wù)處理的包��, 接收Session表項(xiàng)查找模塊508發(fā)來(lái)的ARP感知表項(xiàng)索引���,在ARP感知表 項(xiàng)存儲(chǔ)模塊505中查找該ARP感知表項(xiàng)索引指向的ARP感知表項(xiàng)���,根據(jù)該 ARP感知表項(xiàng),將該包發(fā)送出去�����;接收Session表項(xiàng)建立模塊509發(fā)來(lái)的 ARP表項(xiàng)��,根據(jù)該ARP表項(xiàng)��,將包發(fā)送出去����。
本發(fā)明實(shí)施例中的系統(tǒng)還可進(jìn)一步包括FIB表項(xiàng)更新模塊,用于更新 FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊502中的FIB表項(xiàng)���,且在FIB表項(xiàng)更新完畢時(shí)����,根據(jù) 該FIB表項(xiàng)中的FIB感知表項(xiàng)索引在FIB感知表項(xiàng)存儲(chǔ)模塊503中查找到 FIB感知表項(xiàng)�,在ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊504中查找與該更新后的FIB表 項(xiàng)最匹配的ARP表項(xiàng)����,以該查找到的ARP表項(xiàng)中的ARP感知表項(xiàng)索引和 更新后的FIB表項(xiàng)的內(nèi)容更新所查找到的FIB感知表項(xiàng)的內(nèi)容����。
在實(shí)際應(yīng)用中,可將安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊501���、 FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模 塊502���、 FIB感知表項(xiàng)存儲(chǔ)模塊503、 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊504�、 ARP感 知表項(xiàng)存儲(chǔ)模塊505、 Session表項(xiàng)存儲(chǔ)模塊506���、 Session表項(xiàng)查找模塊508、 Session表項(xiàng)建立模塊509統(tǒng)稱(chēng)為業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)模塊�����。
需要指出的是����,安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊501 �、FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊502�����、 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊504為采用現(xiàn)有技術(shù)構(gòu)造的模塊�,保存在軟件中。而 FIB感知表項(xiàng)存儲(chǔ)模塊503�����、 ARP感知表項(xiàng)存儲(chǔ)模塊505���、 Session表項(xiàng)存儲(chǔ) 模塊506為本發(fā)明實(shí)施例構(gòu)造的模塊�����,保存在硬件中���,如TCAM中,以加 快安全設(shè)備對(duì)Session表項(xiàng)�、FIB感知表項(xiàng)、ARP感知表項(xiàng)的訪問(wèn)速度����,從 而提高基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)效率��。
以上所述僅為本發(fā)明的過(guò)程及方法實(shí)施例�����,并不用以限制本發(fā)明�,凡在 本發(fā)明的精神和原則之內(nèi)所做的任何修改��、等同替換����、改進(jìn)等,均應(yīng)包含在 本發(fā)明的保護(hù)范圍之內(nèi)��。
權(quán)利要求
1��、一種基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)方法��,其特征在于���,包括建立轉(zhuǎn)發(fā)信息庫(kù)FIB表項(xiàng)與地址解析協(xié)議ARP表項(xiàng)的關(guān)聯(lián)關(guān)系;接收到業(yè)務(wù)流的首包�,獲取與該首包對(duì)應(yīng)的安全業(yè)務(wù)信息,建立該首包攜帶的業(yè)務(wù)流包的屬性信息與安全業(yè)務(wù)信息的對(duì)應(yīng)關(guān)系�����;接收到業(yè)務(wù)流的后續(xù)包,根據(jù)后續(xù)包攜帶的業(yè)務(wù)流包屬性信息及所述對(duì)應(yīng)關(guān)系和所述關(guān)聯(lián)關(guān)系��,查找到安全業(yè)務(wù)信息和ARP表項(xiàng)信息����,根據(jù)安全業(yè)務(wù)信息對(duì)后續(xù)包執(zhí)行安全業(yè)務(wù)處理,根據(jù)ARP表項(xiàng)信息將后續(xù)包轉(zhuǎn)發(fā)出去����。
2、 如權(quán)利要求l所述的方法�����,其特征在于����,所述關(guān)聯(lián)關(guān)系和對(duì)應(yīng)關(guān)系保存 在軟件單元中。
3�����、 如權(quán)利要求2所述的方法,其特征在于�����,所述建立關(guān)聯(lián)關(guān)系包括將與 每個(gè)FIB表項(xiàng)最匹配的ARP表項(xiàng)的索引添加到該FIB表項(xiàng)中���;對(duì)接收到的后續(xù)包��,所述查找到安全業(yè)務(wù)信息包括在所述對(duì)應(yīng)關(guān)系中查 找與該后續(xù)包攜帶的業(yè)務(wù)流包屬性信息對(duì)應(yīng)的安全業(yè)務(wù)信息���;對(duì)接收到的后續(xù)包,所述查找到ARP表項(xiàng)信息包括獲取與后續(xù)包的目的 IP地址對(duì)應(yīng)的FIB表項(xiàng)���,根據(jù)該FIB表項(xiàng)中的ARP表項(xiàng)索引查找到ARP表項(xiàng)��。
4��、 如權(quán)利要求l所述的方法����,其特征在于�,所述關(guān)聯(lián)關(guān)系和對(duì)應(yīng)關(guān)系保存 在硬件單元中。
5�����、 如權(quán)利要求4所述的方法��,其特征在于�����,所述建立關(guān)聯(lián)關(guān)系之前進(jìn)一步 包括在軟件單元中學(xué)習(xí)ARP表項(xiàng)和FIB表項(xiàng)���;所述建立關(guān)聯(lián)關(guān)系包括在硬件單元中保存與軟件單元中每個(gè)ARP表項(xiàng)內(nèi) 容相同的ARP感知表項(xiàng)����;在硬件單元中保存與軟件單元中每個(gè)FIB表項(xiàng)內(nèi)容相 同的FIB感知表項(xiàng)�,將與該FIB感知表項(xiàng)最匹配的ARP感知表項(xiàng)的索引添加到 該FIB感知表項(xiàng)中;對(duì)接收到的后續(xù)包���,所述查找到安全業(yè)務(wù)信息包括在所述對(duì)應(yīng)關(guān)系中查 找與該后續(xù)包攜帶的業(yè)務(wù)流包屬性信息對(duì)應(yīng)的安全業(yè)務(wù)信息��; 對(duì)接收到的后續(xù)包�����,所述獲取ARP表項(xiàng)信息為根據(jù)后續(xù)包的目的IP地 址查找到FIB感知表項(xiàng)�,根據(jù)所述FIB感知表項(xiàng)中的ARP感知表項(xiàng)索引查找到 ARP感知表項(xiàng),該ARP感知表項(xiàng)即為查找到的ARP表項(xiàng)信息���。
6�、 如權(quán)利要求l所述的方法���,其特征在于����,所述業(yè)務(wù)流包的屬性信息為 五元組信息����。
7、 一種基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)系統(tǒng)����,其特征在于,包括 業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)模塊��,建立FIB表項(xiàng)和ARP表項(xiàng)的關(guān)聯(lián)關(guān)系��;接收到業(yè)務(wù)流首包�,獲取與該首包對(duì)應(yīng)的安全業(yè)務(wù)信息,建立該首包攜帶的業(yè)務(wù)流包的屬性 信息與安全業(yè)務(wù)信息的對(duì)應(yīng)關(guān)系�����;接收到業(yè)務(wù)流的后續(xù)包,根據(jù)該后續(xù)包攜帶 的業(yè)務(wù)流包屬性信息及所述對(duì)應(yīng)關(guān)系和所述關(guān)聯(lián)關(guān)系����,查找到安全業(yè)務(wù)信息和 ARP表項(xiàng)信息��;將查找到的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊��,將查找到 的ARP表項(xiàng)信息發(fā)送給轉(zhuǎn)發(fā)模塊��;安全業(yè)務(wù)處理模塊����,根據(jù)接收到的安全業(yè)務(wù)信息對(duì)接收到的業(yè)務(wù)流包執(zhí)行 安全業(yè)務(wù)處理,將經(jīng)安全業(yè)務(wù)處理的業(yè)務(wù)流包發(fā)送給轉(zhuǎn)發(fā);f莫塊����;轉(zhuǎn)發(fā)模塊,根據(jù)接收到的ARP表項(xiàng)信息將接收到的業(yè)務(wù)流包轉(zhuǎn)發(fā)出去����。
8、 如權(quán)利要求7所述的系統(tǒng)�����,其特征在于,所述業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)模塊包括 FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊����,學(xué)習(xí)FIB表項(xiàng),將與該FIB表項(xiàng)最匹配的ARP表項(xiàng)的索引添加到該FIB表項(xiàng)中�����;Session表項(xiàng)存儲(chǔ)模塊��,保存各Session表項(xiàng)����;Session表項(xiàng)查找模塊,接收到業(yè)務(wù)流包�����,若在Session表項(xiàng)存儲(chǔ)模塊中 查找到與該業(yè)務(wù)流包的屬性信息對(duì)應(yīng)的Session表項(xiàng)���,將該Session表項(xiàng)中的 安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊��,并在FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊中查找 與該業(yè)務(wù)流包對(duì)應(yīng)的FIB表項(xiàng)��,根據(jù)FIB表項(xiàng)中的ARP表項(xiàng)索引查找到ARP 表項(xiàng)�,將該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊;否則��,將該業(yè)務(wù)流包發(fā)送給Session 表項(xiàng)建立模塊����;Session表項(xiàng)建立模塊���,接收到業(yè)務(wù)流包���,將與該業(yè)務(wù)流包的屬性信息 對(duì)應(yīng)的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊,并建立包括業(yè)務(wù)流包的屬性 信息和安全業(yè)務(wù)信息的Session表項(xiàng)��;在FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)才莫塊中查找與該 業(yè)務(wù)流包對(duì)應(yīng)的FIB表項(xiàng)����,查找與該FIB表項(xiàng)最匹配的ARP表項(xiàng),將該ARP 表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊���,將新建立的Session表項(xiàng)存儲(chǔ)到Session表項(xiàng)存儲(chǔ)模塊����。
9、 如權(quán)利要求8所述的系統(tǒng)�,其特征在于,該系統(tǒng)進(jìn)一步包括FIB 表項(xiàng)更新模塊�,更新FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊中的FIB表項(xiàng),且在FIB表項(xiàng)更 新完畢時(shí)��,查找與該更新后的FIB表項(xiàng)最匹配的ARP表項(xiàng)�,以該查找到的 ARP表項(xiàng)的索引更新該FIB表項(xiàng)中的ARP表項(xiàng)索引。
10����、 如權(quán)利要求8或9所述的系統(tǒng),其特征在于��,所述FIB表項(xiàng)學(xué)習(xí)存 儲(chǔ)模塊和Session表項(xiàng)存儲(chǔ)模塊位于軟件單元中���。
11��、 如權(quán)利要求7所述的系統(tǒng)����,其特征在于�����,所述業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)模塊包括 FIB感知表項(xiàng)存儲(chǔ)模塊,保存內(nèi)容與軟件單元中的各FIB表項(xiàng)內(nèi)容相同的FIB感知表項(xiàng)���,且每個(gè)FIB感知表項(xiàng)包含與該FIB感知表項(xiàng)最匹配的ARP 感知表項(xiàng)的索引�;ARP感知表項(xiàng)存儲(chǔ)模塊���,保存內(nèi)容與軟件單元中的各ARP表項(xiàng)內(nèi)容相 同的ARP感知表項(xiàng)�����;Session表項(xiàng)存儲(chǔ)模塊�,保存各Session表項(xiàng)����;Session表項(xiàng)查找模塊���,接收到業(yè)務(wù)流包��,在Session表項(xiàng)存儲(chǔ)模塊中查 找與業(yè)務(wù)流包的屬性信息對(duì)應(yīng)的Session表項(xiàng)���,若查找到,則將該Session 表項(xiàng)中的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊����,并在FIB感知表項(xiàng)存儲(chǔ)模 塊中查找與業(yè)務(wù)流包對(duì)應(yīng)的FIB感知表項(xiàng)�����,將FIB感知表項(xiàng)中的ARP感知 表項(xiàng)索引發(fā)送給轉(zhuǎn)發(fā)模塊�;若未查找到���,則將該業(yè)務(wù)流包發(fā)送給Session表 項(xiàng)建立模塊�����;Session表項(xiàng)建立模塊���,接收到業(yè)務(wù)流包,將與該業(yè)務(wù)流包對(duì)應(yīng)的安全 業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊�,并建立包括業(yè)務(wù)流包的屬性信息和安全 業(yè)務(wù)信息的Session表項(xiàng);在軟件單元中查找與業(yè)務(wù)流包對(duì)應(yīng)的ARP表項(xiàng)����, 將該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊,并將建立的Session表項(xiàng)保存到Session表 項(xiàng)存儲(chǔ)模塊中�。
12、 如權(quán)利要求11所述的系統(tǒng),其特征在于���,該系統(tǒng)進(jìn)一步包括FIB 表項(xiàng)更新模塊����,更新軟件單元中的FIB表項(xiàng)�����,且在FIB表項(xiàng)更新完畢時(shí)��,在 軟件單元中查找與該更新后的FIB表項(xiàng)最匹配的ARP表項(xiàng)����,以與該ARP表 項(xiàng)對(duì)應(yīng)的ARP感知表項(xiàng)的索引和更新后的FIB表項(xiàng)的內(nèi)容更新FIB感知表 項(xiàng)存儲(chǔ)模塊中與所述FIB表項(xiàng)對(duì)應(yīng)的FIB感知表項(xiàng)的內(nèi)容。
13���、 如權(quán)利要求11或12所述的系統(tǒng),其特征在于�����,所述FIB感知表項(xiàng) 存儲(chǔ)模塊��、ARP感知表項(xiàng)存儲(chǔ)模塊、Session表項(xiàng)存儲(chǔ)模塊位于硬件單元中���。
全文摘要
本發(fā)明公開(kāi)了基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)方法及系統(tǒng)�。建立FIB表項(xiàng)與ARP表項(xiàng)的關(guān)聯(lián)關(guān)系��;接收到業(yè)務(wù)流的首包�,獲取與該首包對(duì)應(yīng)的安全業(yè)務(wù)信息,建立該首包攜帶的業(yè)務(wù)流包的屬性信息與安全業(yè)務(wù)信息的對(duì)應(yīng)關(guān)系�;接收到業(yè)務(wù)流的后續(xù)包,根據(jù)后續(xù)包攜帶的業(yè)務(wù)流包屬性信息及所述對(duì)應(yīng)關(guān)系和所述關(guān)聯(lián)關(guān)系����,查找到安全業(yè)務(wù)信息和ARP表項(xiàng)信息,根據(jù)安全業(yè)務(wù)信息對(duì)后續(xù)包執(zhí)行安全業(yè)務(wù)處理�����,根據(jù)ARP表項(xiàng)信息將后續(xù)包轉(zhuǎn)發(fā)出去��。本發(fā)明無(wú)需對(duì)每個(gè)包都進(jìn)行安全業(yè)務(wù)表項(xiàng)����、ARP表項(xiàng)的查找,大大提高了基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)效率���。
文檔編號(hào)H04L29/06GK101110769SQ200710119879
公開(kāi)日2008年1月23日 申請(qǐng)日期2007年8月2日 優(yōu)先權(quán)日2007年8月2日
發(fā)明者常向青, 方鐘偉, 曉 李, 李明玉, 颶 王, 鄒旭東 申請(qǐng)人:杭州華三通信技術(shù)有限公司