專利名稱：：基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)和方法以及安全設(shè)備的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及流量控制技術(shù)，特別涉及一種基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)、一種基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)方法、以及一種安全設(shè)備。
背景技術(shù)：
：為了對(duì)主干鏈路上的所有報(bào)文流或部分報(bào)文流進(jìn)行檢測(cè)、監(jiān)視以及流量分析等處理，通常將主干鏈路上的報(bào)文流通過(guò)一個(gè)安全設(shè)備轉(zhuǎn)發(fā)給至少一個(gè)接收設(shè)備，例如分析服務(wù)器，由接收設(shè)備對(duì)接收到的報(bào)文流進(jìn)行相應(yīng)處理。其中，每個(gè)安全設(shè)備中，一個(gè)出接口與一個(gè)接收設(shè)備直接相連；與接收設(shè)備相連的至少一個(gè)出接口可稱為一個(gè)均衡組；安全設(shè)備可以根據(jù)不同的報(bào)文特性參數(shù)，例如源IP地址、目的IP地址等，進(jìn)行哈希(Hash)運(yùn)算，從而實(shí)現(xiàn)報(bào)文流在均衡組中各出接口上的負(fù)載分擔(dān)。然而，隨著主干鏈路上網(wǎng)絡(luò)業(yè)務(wù)的多樣化，報(bào)文流量也成比例增加。因此，單臺(tái)安全設(shè)備已經(jīng)不能承擔(dān)主干鏈路中的所有流量。因此，為了增加安全設(shè)備所能承擔(dān)的報(bào)文流量并增加其對(duì)應(yīng)的接收設(shè)備的數(shù)量，可以通過(guò)增加均衡組中的出接口數(shù)量來(lái)增大安全設(shè)備的容量。然而，現(xiàn)有均衡組中的出接口只能為以太網(wǎng)主接口等物理接口，由于安全設(shè)備中的物理接口數(shù)量有限，從而使得均衡組中的出接口數(shù)量無(wú)法無(wú)限制地增加，從而無(wú)法有歲iU廣容。為了解決上述問(wèn)題，現(xiàn)有的一種方案中，在主干鏈路上串聯(lián)多個(gè)分光器，每個(gè)分光器連接一個(gè)安全設(shè)備，每個(gè)安全設(shè)備的入接口通過(guò)與其相連的分光器接收不同的報(bào)文流，例如，每個(gè)安全設(shè)備的入接口接收匹配不同服務(wù)質(zhì)量(Qos)策略和/或訪問(wèn)控制列表(ACL)規(guī)則的報(bào)文流，且保證各安全設(shè)備接收的報(bào)文流總流量與主干鏈路中需要處理的報(bào)文流總量相同，從而將主干鏈路中需處理的所有報(bào)文流分流到多個(gè)安全設(shè)備中。圖1為現(xiàn)有的一種基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)的結(jié)構(gòu)示意圖。如圖1所示，以兩個(gè)安全設(shè)備、每個(gè)安全設(shè)備為安全路由器、均衡組中的出接口為以太網(wǎng)主接口、接收設(shè)備為分析服務(wù)器為例，該系統(tǒng)中包括安全路由器A和安全路由器B、以及安全路由器A對(duì)應(yīng)的4個(gè)分析服務(wù)器和安全路由器B對(duì)應(yīng)的另外4個(gè)分析服務(wù)器。安全路由器A的入接口與主干鏈路上的分光器A相連；安全路由器A中包括4個(gè)以太網(wǎng)主接口，4個(gè)以太網(wǎng)主接口構(gòu)成均衡組a，每個(gè)以太網(wǎng)主接口與1個(gè)安全路由器A對(duì)應(yīng)的分析服務(wù)器直接相連，即均衡組a與分析服務(wù)器采用直聯(lián)模式相連。安全路由器B的入接口與主干鏈路上的分光器B相連；安全路由器B中包括4個(gè)以太網(wǎng)主接口，4個(gè)以太網(wǎng)主接口構(gòu)成均tf組b，每個(gè)以太網(wǎng)主接口與1個(gè)安全路由器B對(duì)應(yīng)的分析服務(wù)器直接相連，即均衡組b與分析服務(wù)器采用直聯(lián)模式相連。安全路由器A中預(yù)設(shè)的Qos策略，允許協(xié)議端口號(hào)大于32768的報(bào)文進(jìn)入其入接口；而安全路由器B中預(yù)設(shè)的Qos策略，允許協(xié)議端口號(hào)小于等于32768的報(bào)文進(jìn)入其入接口，從而保證安全路由器A和安全路由器B分別接收到的報(bào)文流總量等于主干鏈路中的總報(bào)文流量。這樣，安全路由器A和安全路由器B分別將從其入接口進(jìn)入的報(bào)文流進(jìn)行流量控制和在各出接口上的負(fù)載分擔(dān)，并通過(guò)對(duì)應(yīng)的出接口發(fā)送給對(duì)應(yīng)的分析服務(wù)器，由8個(gè)分析服務(wù)器分別對(duì)主干鏈路中的報(bào)文流進(jìn)行分析處理?？梢?jiàn)，通過(guò)增加安全設(shè)備的方式，將主干鏈路中的報(bào)文流分流到各安全設(shè)備中，減輕了各安全設(shè)備的負(fù)擔(dān)，保證基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)能夠承擔(dān)主干鏈路中的所有流量，且能夠提高接收設(shè)備的數(shù)量。但是，上述系統(tǒng)仍然存在以下問(wèn)題如果安全路由器A和安全路由器B均根據(jù)報(bào)文的源IP地址進(jìn)行Hash運(yùn)算，則具有相同源IP地址的所有報(bào)文稱為同源報(bào)文。而對(duì)于主干鏈路中相同源IP地址的報(bào)文，如果協(xié)議端口號(hào)大于32768，則進(jìn)入安全路由器A，由安全路由器A對(duì)應(yīng)的分析服務(wù)器中進(jìn)行處理；如果協(xié)議端口號(hào)小于等于32768,則進(jìn)入安全路由器B,由安全路由器B對(duì)應(yīng)的分析服務(wù)器中處理。可見(jiàn)，同一源IP地址的報(bào)文送往了不同的分析服務(wù)器。同理，如果安全路由器A和安全路由器B均根據(jù)報(bào)文的目的IP地址進(jìn)行Hash運(yùn)算，則具有相同目的IP地址的所有報(bào)文稱為同源報(bào)文。對(duì)于主干鏈路中相同目的IP地址的報(bào)文，如果協(xié)議端口號(hào)大于32768，則進(jìn)入安全路由器A,由安全路由器A對(duì)應(yīng)的分析服務(wù)器中進(jìn)行處理；如果協(xié)議端口號(hào)小于等于32768,則進(jìn)入安全路由器B，由安全路由器B對(duì)應(yīng)的分析服務(wù)器中處理?？梢?jiàn)，同一目的IP地址的報(bào)文送往了不同的分析服務(wù)器。報(bào)文的同源同宿是流量控制要求的最重要的原則，同源的報(bào)文只有送到同一個(gè)接收設(shè)備才能對(duì)流量進(jìn)行連續(xù)的分析和處理。然而，現(xiàn)有多安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)中，由于每個(gè)安全設(shè)備只能將其接收到的報(bào)文發(fā)送給與該安全設(shè)備對(duì)應(yīng)的接收設(shè)備，從而無(wú)法保證將同源的報(bào)文發(fā)送到同一個(gè)接收設(shè)備，即無(wú)法保證報(bào)文的同源同宿。而且，不論是單安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)還是多安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)，均存在安全設(shè)備的物理接口數(shù)量有限的問(wèn)題，限制了均衡組中的出接口數(shù)量，使得安全設(shè)備的擴(kuò)容能力不高，進(jìn)而使得系統(tǒng)無(wú)法有效擴(kuò)容。
發(fā)明內(nèi)容有鑒于此，本發(fā)明提供了一種基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)和一種安全設(shè)備、以及一種基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)方法，能夠在基于多安全設(shè)備進(jìn)行報(bào)文轉(zhuǎn)發(fā)的情況下保證報(bào)文的同源同宿。本發(fā)明提供的一種基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)，包括安全設(shè)備和接收設(shè)備，每個(gè)安全設(shè)備接收同一主干鏈路中的報(bào)文流，該系統(tǒng)進(jìn)一步包括互連的網(wǎng)絡(luò)設(shè)備；每個(gè)連接在網(wǎng)絡(luò)設(shè)備上的安全設(shè)備通過(guò)該網(wǎng)絡(luò)設(shè)備與連接在每個(gè)網(wǎng)絡(luò)設(shè)備上的接收設(shè)備相連；每個(gè)安全設(shè)備在接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)，并發(fā)送給與其相連的網(wǎng)絡(luò)設(shè)備；接收到同源報(bào)文的網(wǎng)絡(luò)設(shè)備按照設(shè)置在同源報(bào)文中的地址標(biāo)識(shí)，將同源報(bào)文發(fā)送給所述地址標(biāo)識(shí)對(duì)應(yīng)的接收設(shè)備。每個(gè)安全設(shè)備中包括出接口，所述出接口為物理接口或邏輯子接口。所述地址標(biāo)識(shí)為接收設(shè)備的媒體接入控制MAC地址，所述同一接收設(shè)備的MAC地址設(shè)置在同源報(bào)文的目的地址字段中；或者，所述地址標(biāo)識(shí)為虛擬局域網(wǎng)標(biāo)識(shí)VLANID,所述同一接收設(shè)備的VLANID設(shè)置在同源報(bào)文的VLANID字段中。所述安全設(shè)備中存儲(chǔ)了預(yù)設(shè)的出接口與所述地址標(biāo)識(shí)對(duì)應(yīng)關(guān)系；每個(gè)安全設(shè)備根據(jù)報(bào)文特性對(duì)接收到的所有報(bào)文進(jìn)行哈希Hash運(yùn)算，將同源報(bào)文指定到同一個(gè)出接口，并在指定到同一出接口的同源報(bào)文中設(shè)置該出接口對(duì)應(yīng)的地址標(biāo)識(shí)，實(shí)現(xiàn)在同源4艮文中設(shè)置同一地址標(biāo)識(shí)。本發(fā)明提供的一種安全設(shè)備，包括入接口和出接口，該安全設(shè)備在其入接口接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)，并通過(guò)所述地址標(biāo)識(shí)對(duì)應(yīng)的出接口發(fā)送給外部與其相連的網(wǎng)絡(luò)設(shè)備；所述網(wǎng)絡(luò)設(shè)備按照設(shè)置在同源報(bào)文中的地址標(biāo)識(shí)，將同源報(bào)文發(fā)送給所述地址標(biāo)識(shí)對(duì)應(yīng)的接收設(shè)備。本發(fā)明提供的一種基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)方法，包括每個(gè)安全設(shè)備接收同一主干鏈路中的報(bào)文流，每個(gè)安全設(shè)備通過(guò)網(wǎng)絡(luò)設(shè)備與所有接收設(shè)備相連；該方法包才舌每個(gè)安全設(shè)備在接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)，并發(fā)送給與其相連的網(wǎng)絡(luò)設(shè)備；接收到同源報(bào)文的網(wǎng)絡(luò)設(shè)備按照設(shè)置在同源報(bào)文中的地址標(biāo)識(shí)，將所述同源報(bào)文發(fā)送給所述地址標(biāo)識(shí)對(duì)應(yīng)的接收設(shè)備。每個(gè)安全設(shè)備中包括出接口，所述出接口為物理接口或邏輯子接口；所述發(fā)送給與該安全設(shè)備相連的網(wǎng)絡(luò)設(shè)備為通過(guò)對(duì)應(yīng)的出接口發(fā)送給與該安全設(shè)備相連的網(wǎng)絡(luò)設(shè)備。所述地址標(biāo)識(shí)為接收設(shè)備的媒體接入控制MAC地址，所述在接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)為在接收到的同源報(bào)文的目的地址字段中設(shè)置同一接收設(shè)備的MAC地址；或者，所述地址標(biāo)識(shí)為虛擬局域網(wǎng)標(biāo)識(shí)VLANID，所述在接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)為在接收到的同源報(bào)文的VLANID字段中設(shè)置同一接收設(shè)備的VLANID。所述在接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)為根據(jù)報(bào)文特性對(duì)接收到的所有報(bào)文進(jìn)行哈希Hash運(yùn)算，將同源報(bào)文指定到同一個(gè)出接口；根據(jù)預(yù)設(shè)的出接口與地址標(biāo)識(shí)的對(duì)應(yīng)關(guān)系，在指定到同一出接口的同源報(bào)文中設(shè)置該出接口對(duì)應(yīng)的地址標(biāo)識(shí)。本發(fā)明還提供了另一種基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)和另一種安全設(shè)備，能夠?qū)崿F(xiàn)系統(tǒng)的擴(kuò)容。本發(fā)明提供的另一種基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)，包括安全設(shè)備、接收設(shè)備和網(wǎng)絡(luò)設(shè)備，其中，安全設(shè)備包括出接口，所迷出接口為邏輯子接口，邏輯子接口通過(guò)所述網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)連4妄接收設(shè)備；安全設(shè)備在接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)，并發(fā)送給與其相連的網(wǎng)絡(luò)設(shè)備；網(wǎng)絡(luò)設(shè)備按照設(shè)置在同源報(bào)文中的地址標(biāo)識(shí)，將同源報(bào)文發(fā)送給所述地址標(biāo)識(shí)對(duì)應(yīng)的接收設(shè)備。所述地址標(biāo)識(shí)為接收設(shè)備的媒體接入控制MAC地址，所述同一接收設(shè)備的MAC地址設(shè)置在同源報(bào)文的目的地址字段中；或者，所述地址標(biāo)識(shí)為虛擬局域網(wǎng)標(biāo)識(shí)VLANID,所述同一接收設(shè)備的VLANID設(shè)置在同源報(bào)文的VLANID字段中。本發(fā)明提供的另一種安全設(shè)備，包括入接口和出接口，所述出接口為邏輯子接口，邏輯子接口通過(guò)外部網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)連接外部接收設(shè)備；該安全設(shè)備在其入接口接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)，并通過(guò)所述地址標(biāo)識(shí)對(duì)應(yīng)的出接口發(fā)送給外部與其相連的網(wǎng)絡(luò)設(shè)備；所述網(wǎng)絡(luò)設(shè)備按照設(shè)置在同源報(bào)文中的地址標(biāo)識(shí)，將同源報(bào)文發(fā)送給所述地址標(biāo)識(shí)對(duì)應(yīng)的接收設(shè)備。由上述技術(shù)方案可見(jiàn)，本發(fā)明中的每個(gè)安全設(shè)備均通過(guò)網(wǎng)絡(luò)設(shè)備與所有收設(shè)備中的任意一個(gè)；所有安全設(shè)備均在同源報(bào)文中設(shè)置同一接收設(shè)備的地址標(biāo)識(shí)，即保證所有同源報(bào)文中包括相同的地址標(biāo)識(shí)，因而能夠保證所有同源報(bào)文發(fā)送給相同的接收設(shè)備，實(shí)現(xiàn)同源同宿。而且，每個(gè)安全設(shè)備均通過(guò)網(wǎng)絡(luò)設(shè)備與所有接收設(shè)備級(jí)聯(lián)，實(shí)現(xiàn)了所有安全設(shè)備共享所有的接收設(shè)備，提高了接收設(shè)備的利用率，降低了系統(tǒng)成本。安全設(shè)備中的一個(gè)出接口對(duì)應(yīng)一個(gè)接收設(shè)備，且出接口為以太網(wǎng)子接口等邏輯子接口，使得出接口數(shù)量不受物理接口數(shù)量的限制，從而能夠有效實(shí)現(xiàn)安全設(shè)備的擴(kuò)容。圖1為現(xiàn)有的一種基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)的結(jié)構(gòu)示意圖。圖2為本發(fā)明中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)的示例性結(jié)構(gòu)圖。圖3本發(fā)明實(shí)施例中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)1的結(jié)構(gòu)示意圖。圖4為本發(fā)明實(shí)施例中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)2的結(jié)構(gòu)示意圖。圖5為本發(fā)明實(shí)施例中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)中的報(bào)文流示意圖。圖6為本發(fā)明實(shí)施例中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)方法的流程示意圖。具體實(shí)施例方式為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下參照附圖并舉實(shí)施例，對(duì)本發(fā)明進(jìn)一步詳細(xì)i《明。本發(fā)明中，每個(gè)安全設(shè)備均通過(guò)互連的多個(gè)交換機(jī)與所有接收設(shè)備級(jí)意一個(gè)；所有安全設(shè)備均在同源報(bào)文中設(shè)置同一接收設(shè)備的地址標(biāo)識(shí)，即保證所有同源報(bào)文中包括相同的地址標(biāo)識(shí)，這樣，能夠保證交換機(jī)將所有同源報(bào)文發(fā)送給相同的接收設(shè)備，實(shí)現(xiàn)同源同宿。圖2為本發(fā)明中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)的示例性結(jié)構(gòu)圖。如圖2所示，該系統(tǒng)包括N個(gè)安全設(shè)備和M個(gè)接收設(shè)備，N和M為大于等于2的正整數(shù)。與同一主干鏈路相連的N個(gè)安全設(shè)備，仍然接收同一主干鏈路中的報(bào)文流，例如，每個(gè)安全設(shè)備的入接口接收匹配不同Qos策略和/或ACL規(guī)則的報(bào)文流，且保證每個(gè)安全設(shè)備接收的報(bào)文流總量等于主干鏈路中需要處理的報(bào)文流總量。該系統(tǒng)中還包括N個(gè)互連的交換機(jī)，其中，N個(gè)交換機(jī)串聯(lián)，實(shí)際應(yīng)用中，N個(gè)交換機(jī)也可以是兩兩相連；每個(gè)安全設(shè)備包括M個(gè)出接口，每個(gè)安全設(shè)備的M個(gè)出接口與同一個(gè)交換機(jī)相連，每個(gè)出接口通過(guò)互連的交換機(jī)分別對(duì)應(yīng)不同的一個(gè)接收設(shè)備；M個(gè)接收設(shè)備中，不同的至少一個(gè)接收設(shè)備分別與一個(gè)交換機(jī)相連。個(gè)安全設(shè)備即可通過(guò)相連的N個(gè)交換機(jī)，將報(bào)文發(fā)送給M個(gè)接收設(shè)備中的任意一個(gè)。所有安全設(shè)備將同源報(bào)文通過(guò)對(duì)應(yīng)同一接收設(shè)備的出接口，發(fā)送給與該出接口相連的交換機(jī)，并將同一接收設(shè)備的地址標(biāo)識(shí)設(shè)置在上述同源報(bào)文中。其中，同源報(bào)文可以為具有相同源IP地址、具有相同目的IP地址、具有相同源端口等任意一種或多種報(bào)文特性參數(shù)的所有報(bào)文；同源報(bào)文所指的相同報(bào)文特性參數(shù)，為安全設(shè)備進(jìn)行Hash運(yùn)算所依據(jù)的報(bào)文特性參數(shù)。每個(gè)交換機(jī)按照設(shè)置在報(bào)文中的地址標(biāo)識(shí)，將接收到的報(bào)文直接或通過(guò)其他交換機(jī)發(fā)送給對(duì)應(yīng)的接收設(shè)備。這樣，所有安全設(shè)備均在同源報(bào)文中設(shè)置同一接收設(shè)備的地址標(biāo)識(shí)，即保證所有同源報(bào)文中包括相同的地址標(biāo)識(shí)，因而能夠保證交換機(jī)將同源報(bào)文發(fā)送給相同的接收設(shè)備，實(shí)現(xiàn)同源同宿。上述系統(tǒng)中，每個(gè)安全設(shè)備中的所有出接口仍可稱為一個(gè)均衡組，該均衡組與所有接收設(shè)備采用級(jí)聯(lián)模式相連，而不是采用直聯(lián)方式相連。每個(gè)安全設(shè)備中均設(shè)置一個(gè)均衡組表項(xiàng)，包括該安全設(shè)備的均衡組中包括的出接口的列表、所有安全設(shè)備的均衡組級(jí)聯(lián)的接收設(shè)備的地址標(biāo)識(shí)列表、以及出接口與接收設(shè)備地址標(biāo)識(shí)的對(duì)應(yīng)關(guān)系。根據(jù)對(duì)應(yīng)的均衡組表項(xiàng)、并按照相應(yīng)的分類方式，所有安全設(shè)備均將具有相同源IP地址的所有才艮文指定到對(duì)應(yīng)同一接收i殳備地址標(biāo)識(shí)的出接口，并將這些報(bào)文的目的地址中的內(nèi)容替換為該出接口對(duì)應(yīng)的接收設(shè)備的地址標(biāo)識(shí)后，發(fā)送給與該出接口相連的交換機(jī)，再由交換機(jī)利用其轉(zhuǎn)發(fā)功能，直接或通過(guò)其他交換機(jī)間接發(fā)送給與報(bào)文目的地址對(duì)應(yīng)的接收設(shè)備，從而使得且能夠?qū)⑾嗤碔P地址的所有報(bào)文發(fā)送給相同的接收設(shè)備，從而實(shí)現(xiàn)同源同宿。本發(fā)明中，均衡組中的出接口仍可以為例如以太網(wǎng)主接口等物理接口。但由于將物理接口作為均衡組中的出接口無(wú)法有效擴(kuò)充安全設(shè)備的容量，因此，本發(fā)明中的均衡組中的出接口可以為例如以太網(wǎng)子接口等邏輯子接口。如果將例如以太網(wǎng)子接口等邏輯子接口作為均衡組中的出接口，則每個(gè)安全設(shè)備中設(shè)置的均衡組表項(xiàng)中，出接口列表包括物理接口列表、每個(gè)物理接口對(duì)應(yīng)的邏輯子接口列表；且出接口與接收設(shè)備地址標(biāo)識(shí)的對(duì)應(yīng)關(guān)系為邏輯子接口與接收設(shè)備地址標(biāo)識(shí)的對(duì)應(yīng)關(guān)系。這樣，均衡組中的每個(gè)邏輯子接口均可以通過(guò)交換機(jī)級(jí)聯(lián)一個(gè)接收設(shè)備，使得均衡組中的出接口數(shù)量不受安全設(shè)備物理接口數(shù)量的限制，從而使得安全設(shè)備能夠連接的接收設(shè)備數(shù)量成倍增加，有效擴(kuò)充了安全設(shè)備的容量。例如，假設(shè)每個(gè)安全設(shè)備最多只能有IO個(gè)物理接口，則對(duì)應(yīng)的均衡組中最多也只能有IO個(gè)出接口，并級(jí)聯(lián)10個(gè)接收設(shè)備。而如果將上述安全設(shè)備中的每個(gè)物理接口均劃分為IO個(gè)邏輯子接口，則每個(gè)安全設(shè)備的均衡組中最多可以包括ioo個(gè)出接口，并級(jí)聯(lián)ioo個(gè)接收設(shè)備。而且，如果系統(tǒng)中包括10個(gè)安全設(shè)備，由于每個(gè)安全設(shè)備的均衡組與對(duì)應(yīng)的100個(gè)接收設(shè)備級(jí)聯(lián)，且所有均衡組之間通過(guò)交換機(jī)相連，從而10個(gè)安全設(shè)備的均衡組能夠共享所有安全設(shè)備對(duì)應(yīng)的所有接收設(shè)備，即每個(gè)均衡組均可直接或間接地級(jí)聯(lián)1000個(gè)接收設(shè)備。同理，對(duì)于單臺(tái)安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)來(lái)說(shuō)，如果采用邏輯子接口作為出接口，也可以提高安全設(shè)備和報(bào)文轉(zhuǎn)發(fā)系統(tǒng)的擴(kuò)容能力?；趩闻_(tái)安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)中包括一個(gè)安全設(shè)備和多個(gè)接收設(shè)備。安全設(shè)備中包括多個(gè)邏輯子接口，一個(gè)邏輯子接口通過(guò)交換機(jī)對(duì)應(yīng)連接一個(gè)接收設(shè)備。假設(shè)該安全設(shè)備的物理接口最多只能為10個(gè)，而將每個(gè)物理接口劃分為了多個(gè)邏輯子接口則實(shí)現(xiàn)了該安全設(shè)備的擴(kuò)容，且一個(gè)邏輯子接口對(duì)應(yīng)一個(gè)接收設(shè)備，使得接收設(shè)備數(shù)量也成倍增長(zhǎng)，即實(shí)現(xiàn)了系統(tǒng)的擴(kuò)容?；趩闻_(tái)安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)中也需要保證同源同宿，因此，安全設(shè)備在接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)，并發(fā)送給與其相連的交換機(jī)；交換機(jī)按照設(shè)置在同源報(bào)文中的地址標(biāo)識(shí)，將同源報(bào)文發(fā)送給地址標(biāo)識(shí)對(duì)應(yīng)的接收設(shè)備?？梢?jiàn)，對(duì)于基于單臺(tái)安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)，本發(fā)明能夠在保證同源同宿的前提下，也能夠?qū)崿F(xiàn)系統(tǒng)的有效擴(kuò)容。本發(fā)明中，對(duì)于出接口為物理接口的情況，接收設(shè)備對(duì)應(yīng)的地址標(biāo)識(shí)可以為接收設(shè)備的媒體接入控制(MAC)地址，MAC地址可設(shè)置在報(bào)文的目的地址字段中；對(duì)于出接口為邏輯子接口的情況，接收設(shè)備對(duì)應(yīng)的地址標(biāo)識(shí)可以為接收設(shè)備的MAC地址、或?qū)?yīng)邏輯子接口的虛擬局域網(wǎng)標(biāo)識(shí)(VLANID)，VLANID可設(shè)置在報(bào)文的VLANID字段中。下面，以安全設(shè)備為安全路由器、出接口為以太網(wǎng)子接口為例，對(duì)本發(fā)明中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)進(jìn)行詳細(xì)說(shuō)明。圖3為本發(fā)明實(shí)施例中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)1的結(jié)構(gòu)示意圖。如圖3所示，以2個(gè)安全路由器、8個(gè)分析服務(wù)器、同源報(bào)文為相同源IP地址的所有報(bào)文為例，本實(shí)施例中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)1包括安全路由器A和安全路由器B、分析服務(wù)器1~8。安全路由器A和安全路由器B分別接收同一主干鏈路中的不同報(bào)文流。安全路由器A中包括以太網(wǎng)主接口GigabitEthernet2/1/1、以太網(wǎng)主接口GigabitEthernet2/1/2，2個(gè)以太網(wǎng)主接口與交換機(jī)A相連。安全路由器B中包括以太網(wǎng)主接口GigabitEthernet2/1/1、以太網(wǎng)主接口GigabitEthernet2/1/2，2個(gè)以太網(wǎng)主接口與交換機(jī)B相連。交換機(jī)A與分析服務(wù)器1分析服務(wù)器4相連，交換機(jī)B與分析服務(wù)器5分析服務(wù)器8相連，且交換機(jī)A和交換機(jī)B相連。本實(shí)施例中，以太網(wǎng)主接口GigabitEthernet2/1/1又劃分為4個(gè)以太網(wǎng)子接口GigabkEthernet2/1/1.1GigabitEthernet2/1/1.4;以太網(wǎng)主4妻口GigabitEthernet2/1/2也劃分為4個(gè)以太網(wǎng)子4妄口GigabitEthernet2/1/2.5~GigabitEthernet2/1/2.8。這樣，安全路由器A包括上述8個(gè)以太網(wǎng)子接口，為均衡組a，其中的4個(gè)以太網(wǎng)子接口通過(guò)交換機(jī)A分別對(duì)應(yīng)分析服務(wù)器1分析服務(wù)器4中的一個(gè)，另外的4個(gè)以太網(wǎng)子接口通過(guò)交換機(jī)A和交換機(jī)B分別對(duì)應(yīng)分析服務(wù)器5分析服務(wù)器8中的一個(gè)；安全路由器B也包括上述8個(gè)以太網(wǎng)子接口，為均衡組b，其中的4個(gè)以太網(wǎng)子接口通過(guò)交換機(jī)B分別對(duì)應(yīng)分析服務(wù)器5~分析服務(wù)器8中的一個(gè)，另外的4個(gè)以太網(wǎng)子接口通過(guò)交換機(jī)B和交換機(jī)A分別對(duì)應(yīng)分析服務(wù)器1分析服務(wù)器4中的一個(gè)。安全路由器A中存儲(chǔ)著預(yù)先設(shè)置的均衡組a的均衡組表項(xiàng)，該表項(xiàng)中包括物理接口列表、每個(gè)物理接口對(duì)應(yīng)的邏輯子接口列表、分析服務(wù)器地址標(biāo)識(shí)列表、以及邏輯子接口與分析服務(wù)器地址標(biāo)識(shí)的對(duì)應(yīng)關(guān)系。本實(shí)施例中均衡組a的均衡組表項(xiàng)如表1所示，邏輯子接口列表中的每個(gè)以太網(wǎng)子接口，分別對(duì)應(yīng)分析服務(wù)器地址標(biāo)識(shí)列表中的一個(gè)MAC地址。其中，MAC1MAC8分別為分析服務(wù)器1分析服務(wù)器8的MAC地址。<table>tableseeoriginaldocumentpage15</column></row><table>表1安全路由器B中存儲(chǔ)著預(yù)先設(shè)置的均衡組b的均衡組表項(xiàng)，該表項(xiàng)中包括物理接口列表、每個(gè)物理接口對(duì)應(yīng)的邏輯子接口列表、分析服務(wù)器地址標(biāo)識(shí)列表、以及邏輯子接口與分析服務(wù)器地址標(biāo)識(shí)的對(duì)應(yīng)關(guān)系。本實(shí)施例中，均衡組b的均衡組表項(xiàng)也可以如表1所示。安全路由器A中還存儲(chǔ)著預(yù)設(shè)的Hash算法，根據(jù)入接口接收到的報(bào)文的源IP地址和均:銜組a中的以太網(wǎng)子接口數(shù)量進(jìn)行Hash運(yùn)算，將相同源IP地址的報(bào)文指定到相同的以太網(wǎng)子接口；查找均衡組a的均衡組表項(xiàng)，將每個(gè)報(bào)文的目的地址中的內(nèi)容，替換為指定的以太網(wǎng)子接口對(duì)應(yīng)的分析服務(wù)器的MAC地址，然后將每個(gè)報(bào)文從指定的以太網(wǎng)子接口發(fā)送給交換機(jī)A。安全路由器B中還存儲(chǔ)著預(yù)設(shè)的Hash算法，由于均衡組b的均衡組表項(xiàng)與均衡組a相同，因此，為了保證安全路由器B和安全路由器A將相同源IP地址的報(bào)文發(fā)送給同一個(gè)分析服務(wù)器，安全路由器B中存儲(chǔ)的Hash算法可以與安全路由器A中的相同；根據(jù)入接口接收到的報(bào)文的源IP地址和均衡組b中的以太網(wǎng)子接口數(shù)量進(jìn)行Hash運(yùn)算，將相同源IP地址和協(xié)議端口號(hào)的報(bào)文指定到相同的以太網(wǎng)子接口；查找均衡組b的均衡組表項(xiàng)，將每個(gè)報(bào)文的目的地址中的內(nèi)容，替換為指定的以太網(wǎng)子接口對(duì)應(yīng)的分析服務(wù)器的MAC地址，然后將每個(gè)報(bào)文從指定的以太網(wǎng)子接口發(fā)送給交換機(jī)B。具體實(shí)現(xiàn)中，可以按照如表1所示的均衡組表項(xiàng)，在對(duì)應(yīng)的以太網(wǎng)子接口上配置對(duì)應(yīng)的分析服務(wù)器的MAC地址，當(dāng)報(bào)文發(fā)送到對(duì)應(yīng)的以太網(wǎng)子接口時(shí)，其目的地址中的內(nèi)容即可替換為該以太網(wǎng)子接口上配置的對(duì)應(yīng)分析服務(wù)器的MAC地址。如果交換機(jī)A接收到的報(bào)文的目的地址為分析服務(wù)器1分析服務(wù)器4中任意一個(gè)的MAC地址，則交換機(jī)A直接將該報(bào)文發(fā)送給分析服務(wù)器1分析服務(wù)器4中與MAC地址對(duì)應(yīng)的一個(gè)；如果交換機(jī)A接收到的報(bào)文的目的地址為分析服務(wù)器5分析服務(wù)器8中任意一個(gè)的MAC地址，則交換機(jī)A將該報(bào)文轉(zhuǎn)發(fā)給交換機(jī)B，由交換機(jī)B將該報(bào)文發(fā)送給分析服務(wù)器5~分析服務(wù)器8中與MAC地址對(duì)應(yīng)的一個(gè)。如果交換機(jī)B接收到的報(bào)文的目的地址為分析服務(wù)器5分析服務(wù)器8中任意一個(gè)的MAC地址，則交換機(jī)B直接將該報(bào)文發(fā)送給分析服務(wù)器5~分析服務(wù)器8中與MAC地址對(duì)應(yīng)的一個(gè)；如果交換機(jī)B接收到的報(bào)文的目的地址為分析服務(wù)器1分析服務(wù)器4中任意一個(gè)的MAC地址，則交換機(jī)B將該報(bào)文轉(zhuǎn)發(fā)給交換機(jī)A，由交換機(jī)A將該報(bào)文發(fā)送給分析服務(wù)器1~分析服務(wù)器4中與MAC地址對(duì)應(yīng)的一個(gè)。圖4為本發(fā)明實(shí)施例中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)2的結(jié)構(gòu)示意圖。如圖4所示，仍以2個(gè)安全路由器、8個(gè)分析服務(wù)器、同源報(bào)文為相同目的IP地址的所有報(bào)文為例，本實(shí)施例中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)2包括安全路由器A和安全路由器B、分析服務(wù)器1~8。相比于基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)1，本實(shí)施例中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)2的不同之處在于，分析服務(wù)器的地址標(biāo)識(shí)為與其對(duì)應(yīng)的以太網(wǎng)子才妄口的VLANID。交換機(jī)A也通過(guò)接入(Access)接口與分析服務(wù)器1分析服務(wù)器4相連，且連接分析服務(wù)器1分析服務(wù)器4的Access接口的VLANID,分別為以太網(wǎng)子接口GigabitEthernet2/1/1.1~GigabitEthernet2/1/1.4的VLANID。交換機(jī)B也通過(guò)Access接口與分析服務(wù)器5分析服務(wù)器8相連，且連4婁分析服務(wù)器5分析服務(wù)器8的Access接口的VLANID,分別為以太網(wǎng)子接口Gigabi伍thernet2/1/2.5GigabitEthernet2/1/2.8的VLANID。交換機(jī)A和交換機(jī)B之間相連的接口不限，例如干線(Trunk)接口。這樣，均衡組a和均衡組b的均衡組表項(xiàng)可以如表2所示。<table>tableseeoriginaldocumentpage17</column></row><table>表2安全路由器A根據(jù)入接口接收到的報(bào)文的目的IP地址和均纟軒組a中的以太網(wǎng)子接口數(shù)量進(jìn)行Hash運(yùn)算，將相同目的IP地址的報(bào)文指定到相同的以太網(wǎng)子接口；查找均衡組a的均衡組表項(xiàng)，將每個(gè)報(bào)文的目的地址中的內(nèi)容，替換為指定的以太網(wǎng)子接口對(duì)應(yīng)的VLANID，然后將每個(gè)報(bào)文從指定的以太網(wǎng)子接口發(fā)送給交換機(jī)A。安全路由器B根據(jù)入接口接收到的報(bào)文的目的IP地址和均衡組b中的以太網(wǎng)子接口數(shù)量，進(jìn)行與安全路由器A中相同的Hash運(yùn)算，將相同目的IP地址和協(xié)議端口號(hào)的報(bào)文指定到相同的以太網(wǎng)子接口；查找均衡組b的均衡組表項(xiàng)，將每個(gè)報(bào)文的目的地址中的內(nèi)容，替換為指定的以太網(wǎng)子接口對(duì)應(yīng)的VLANID,然后將每個(gè)報(bào)文從指定的以太網(wǎng)子接口發(fā)送給交換機(jī)B。具體實(shí)現(xiàn)中，可以按照如表2所示的均衡組表項(xiàng)，在對(duì)應(yīng)的以太網(wǎng)子接口上配置對(duì)應(yīng)的VLANID，當(dāng)寺艮文發(fā)送到對(duì)應(yīng)的以太網(wǎng)子4妄口時(shí)，其目的地址中的內(nèi)容即可替換為該以太網(wǎng)子接口上配置的對(duì)應(yīng)VLANID。如果交換機(jī)A接收到的報(bào)文的目的地址為V1V4中的任意一個(gè)VLANID,則報(bào)文會(huì)在VLANID內(nèi)廣播，該報(bào)文會(huì)發(fā)送到與Access接口相連的分析服務(wù)器；如果交換機(jī)A接收到的報(bào)文中的VLANID為V5V8中的任意一個(gè)VLANID,則報(bào)文經(jīng)過(guò)交換才幾A在VLANID內(nèi)廣播轉(zhuǎn)發(fā)給交換機(jī)B。如果交換機(jī)B接收到的報(bào)文的目的地址為V5V8中的任意一個(gè)VLANID，則報(bào)文會(huì)在VLANID內(nèi)廣播，該報(bào)文會(huì)發(fā)送到與Access接口相連的分析服務(wù)器；如果交換機(jī)B接收到的報(bào)文中的VLANID為V1V4中的任意一個(gè)VLANID，則報(bào)文經(jīng)過(guò)交換機(jī)B在VLANID內(nèi)廣播轉(zhuǎn)發(fā)給交換機(jī)A。上述兩個(gè)系統(tǒng)中，安全路由器A和安全路由器B分別將從其入接口進(jìn)入的報(bào)文流進(jìn)行流量控制和在各出接口上的負(fù)載分擔(dān)，并通過(guò)對(duì)應(yīng)的出接口發(fā)送給對(duì)應(yīng)的分析服務(wù)器，由8個(gè)分析服務(wù)器分別對(duì)主干鏈路中的報(bào)文流進(jìn)行分析處理。實(shí)際應(yīng)用中，也可以將以太網(wǎng)主接口作為均衡組中的出接口，這樣，雖然使得安全路由器的擴(kuò)容收到物理接口數(shù)量的限制，但也能夠保證報(bào)文的同源同宿。圖5為本發(fā)明實(shí)施例中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)中的報(bào)文流示意圖。如圖5所示，報(bào)文P1為協(xié)議端口號(hào)大于32768的報(bào)文、報(bào)文P2為協(xié)議端口號(hào)小于等于32768的報(bào)文，且報(bào)文Pl與報(bào)文P2為同源報(bào)文，例如相同源IP地址或目的IP:l也址。對(duì)于上述兩個(gè)系統(tǒng)，假設(shè)安全路由器A中預(yù)設(shè)的Qos策略，允許協(xié)議端口號(hào)大于32768的報(bào)文進(jìn)入其入接口；而安全路由器B中預(yù)設(shè)的Qos策略，允許協(xié)議端口號(hào)小于等于32768的報(bào)文進(jìn)入其入接口。報(bào)文P1進(jìn)入了安全路由器A，由安全路由器A根據(jù)報(bào)文的源IP地址進(jìn)行Hash計(jì)算后，報(bào)文Pl進(jìn)入均衡組a的以太網(wǎng)子接口GigabkEthemet2/1/1.1,且其目的地址字段中的內(nèi)容被替換為以太網(wǎng)子接口GigabitEthernet2/1/1.1上配置的分析服務(wù)器1的MAC地址、或報(bào)文Pl中被添加了以太網(wǎng)子接口GigabitEthernet2/1/1.1上配置的與交換機(jī)A中連接分析服務(wù)器1的Access接口相同的VLANID;然后報(bào)文Pl被發(fā)送到了交換機(jī)A,經(jīng)過(guò)交換機(jī)的報(bào)文轉(zhuǎn)發(fā)功能，報(bào)文P1最終送到了分析服務(wù)器1。而報(bào)文P2則進(jìn)入了安全路由器B，由安全路由器B根據(jù)報(bào)文的源IP地址進(jìn)行Hash計(jì)算后，報(bào)文P2進(jìn)入均衡組b的子接口GigabitEthernet2/1/1.1,且其目的地址字段中的內(nèi)容被替換為以太網(wǎng)子接口GigabitEthernet2/1/1.1上配置的分析服務(wù)器1的MAC地址、或報(bào)文P2中被添加了以太網(wǎng)子接口GigabitEthernet2/1/1.1上配置的與交換機(jī)A中連接分析服務(wù)器1的Access接口相同的VLANID;然后，報(bào)文P2被發(fā)送到了交換機(jī)B,經(jīng)過(guò)交換機(jī)的報(bào)文轉(zhuǎn)發(fā)功能，報(bào)文被送到了交換機(jī)A,再由交換機(jī)A最終把報(bào)文送到了分析服務(wù)器1?？梢?jiàn)，雖然報(bào)文P1和報(bào)文P2由于不同的協(xié)議端口號(hào)，分別被分流到安全路由器A和安全路由器B,但由于安全路由器A和安全路由器B分別通過(guò)交換機(jī)A和交換機(jī)B與對(duì)應(yīng)的分析服務(wù)器級(jí)聯(lián)，且交換機(jī)A與交換機(jī)B相互連接，因此，安全路由器A和安全路由器B分別將報(bào)文Pl和報(bào)文P2發(fā)送給對(duì)應(yīng)同一分析服務(wù)器的以太網(wǎng)子接口，即可利用交換機(jī)的報(bào)文轉(zhuǎn)發(fā)功能，將同源的報(bào)文P1和報(bào)文P2發(fā)送給同一個(gè)分析服務(wù)器，實(shí)現(xiàn)了同源同宿。上述實(shí)施例只是對(duì)本發(fā)明技術(shù)方案的舉例說(shuō)明，也可以用其他類型的路由器來(lái)實(shí)現(xiàn)安全路由器的功能，而且，對(duì)于主干鏈路中需要處理的報(bào)文流總量的不同，可以任意設(shè)置系統(tǒng)中的安全設(shè)備及交換機(jī)的數(shù)量。以上是對(duì)本發(fā)明實(shí)施例中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)的詳細(xì)說(shuō)明，下圖6為本發(fā)明實(shí)施例中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)方法的流程示意圖。如圖6所示，基于如圖2所示的系統(tǒng)，本實(shí)施例中基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)方法包括步驟601,每個(gè)安全設(shè)備分別接收同一主干鏈路中的不同報(bào)文流。本步驟中，不同的安全設(shè)備可以接收同一主干鏈路中，匹配不同Qos策略和/或ACL規(guī)則的不同報(bào)文流。步驟602，每個(gè)安全設(shè)備在接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)，并發(fā)送給與其相連的交換機(jī)。其中，同源報(bào)文是指具有相同源IP地址、或目的IP地址等報(bào)文特性參數(shù)的所有報(bào)文。本步驟中，地址標(biāo)識(shí)可以為接收設(shè)備的MAC地址，設(shè)置在同源報(bào)文的目的地址字段中；也可以為交換機(jī)中連接接收設(shè)備的Access接口的VLANID，設(shè)置在同源報(bào)文的VLANID字段中。如果地址標(biāo)識(shí)為VLANID,則本步驟之前，還需要將交換機(jī)與每個(gè)接收設(shè)備相連的Access接口的VLANID，設(shè)置為與該接收設(shè)備對(duì)應(yīng)的出接口的VLANID。步驟603,接收到同源報(bào)文的交換機(jī)按照設(shè)置在同源報(bào)文中的地址標(biāo)識(shí)，將同源報(bào)文發(fā)送給地址標(biāo)識(shí)對(duì)應(yīng)的接收i殳備。至此，本流程結(jié)束。由上述實(shí)施例可見(jiàn)，每個(gè)安全設(shè)備均通過(guò)交換機(jī)與所有接收設(shè)備級(jí)聯(lián)，因此，每個(gè)安全設(shè)備即可通過(guò)交換機(jī)將報(bào)文發(fā)送給所有接收設(shè)備中的任意一個(gè)；所有安全設(shè)備均在同源報(bào)文中設(shè)置同一接收設(shè)備的地址標(biāo)識(shí)，因而能夠保證交換機(jī)將所有同源報(bào)文發(fā)送給相同的接收設(shè)備，實(shí)現(xiàn)同源同宿。而且，每個(gè)安全設(shè)備均通過(guò)交換機(jī)與所有接收設(shè)備級(jí)聯(lián)，實(shí)現(xiàn)了所有安全設(shè)備共享所有的接收設(shè)備，提高了接收設(shè)備的利用率，降低了系統(tǒng)成本。如果將邏輯子接口作為均衡組中的出接口，則使得均衡組中的出接口數(shù)量不受物理接口數(shù)量的限制，從而能夠有效實(shí)現(xiàn)安全設(shè)備的擴(kuò)容。以上所述僅為本發(fā)明的較佳實(shí)施例而已，并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換以及改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。權(quán)利要求1、一種基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)，包括安全設(shè)備和接收設(shè)備，每個(gè)安全設(shè)備接收主干鏈路中的報(bào)文流，其特征在于，該系統(tǒng)進(jìn)一步包括互連的網(wǎng)絡(luò)設(shè)備；每個(gè)連接在網(wǎng)絡(luò)設(shè)備上的安全設(shè)備通過(guò)該網(wǎng)絡(luò)設(shè)備與連接在每個(gè)網(wǎng)絡(luò)設(shè)備上的接收設(shè)備相連；每個(gè)安全設(shè)備在接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)，并發(fā)送給與其相連的網(wǎng)絡(luò)設(shè)備；接收到同源報(bào)文的網(wǎng)絡(luò)設(shè)備按照設(shè)置在同源報(bào)文中的地址標(biāo)識(shí)，將同源報(bào)文發(fā)送給所述地址標(biāo)識(shí)對(duì)應(yīng)的接收設(shè)備。2、如權(quán)利要求l所述的系統(tǒng)，其特征在于，每個(gè)安全設(shè)備中包括出接口，所述出接口為物理接口或邏輯子接口。3、如權(quán)利要求2所述的系統(tǒng)，其特征在于，所述地址標(biāo)識(shí)為接收設(shè)備的媒體接入控制MAC地址，所述同一接收設(shè)備的MAC地址設(shè)置在同源報(bào)文的目的地址字段中；或者，所述地址標(biāo)識(shí)為虛擬局域網(wǎng)標(biāo)識(shí)VLANID，所述同一接收設(shè)備的VLANID設(shè)置在同源報(bào)文的VLANID字段中。4、如權(quán)利要求2或3所述的系統(tǒng)，其特征在于，所述安全設(shè)備中存儲(chǔ)了預(yù)"i殳的出接口與所述地址標(biāo)識(shí)對(duì)應(yīng)關(guān)系；每個(gè)安全設(shè)備根據(jù)報(bào)文特性對(duì)接收到的所有報(bào)文進(jìn)行哈希Hash運(yùn)算，將同源報(bào)文指定到同一個(gè)出接口，并在指定到同一出接口的同源報(bào)文中設(shè)置該出接口對(duì)應(yīng)的地址標(biāo)識(shí)，實(shí)現(xiàn)在同源#^文中^L置同一地址標(biāo)識(shí)。5、一種安全設(shè)備，包括入接口和出接口，其特征在于，該安全設(shè)備在其入接口接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)，并通過(guò)所述地址標(biāo)識(shí)對(duì)應(yīng)的出接口發(fā)送給外部與其相連的網(wǎng)絡(luò)設(shè)備；所述網(wǎng)絡(luò)設(shè)備按照設(shè)置在同源報(bào)文中的地址標(biāo)識(shí)，將同源報(bào)文發(fā)送給所述地址標(biāo)識(shí)對(duì)應(yīng)的接收設(shè)備。6、一種基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)方法，每個(gè)安全設(shè)備接收主干鏈路中的報(bào)文流，其特征在于，每個(gè)安全設(shè)備通過(guò)網(wǎng)絡(luò)設(shè)備與所有接收設(shè)備相連；該方法包括每個(gè)安全設(shè)備在接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)，并發(fā)送給與其相連的網(wǎng)絡(luò)設(shè)備；接收到同源報(bào)文的網(wǎng)絡(luò)設(shè)備按照設(shè)置在同源報(bào)文中的地址標(biāo)識(shí)，將所述同源報(bào)文發(fā)送給所述地址標(biāo)識(shí)對(duì)應(yīng)的接收設(shè)備。7、如權(quán)利要求6所述的方法，其特征在于，每個(gè)安全設(shè)備中包括出接口，所述出接口為物理接口或邏輯子接口；所述發(fā)送給與該安全設(shè)備相連的網(wǎng)絡(luò)設(shè)備為通過(guò)對(duì)應(yīng)的出接口發(fā)送給與該安全設(shè)備相連的網(wǎng)絡(luò)設(shè)備。8、如權(quán)利要求7所述的方法，其特征在于，所述地址標(biāo)識(shí)為接收設(shè)備的媒體接入控制MAC地址，所述在接收到的同源4艮文中設(shè)置同一地址標(biāo)識(shí)為在接收到的同源報(bào)文的目的地址字段中設(shè)置同一接收設(shè)備的MAC地址；或者，所述地址標(biāo)識(shí)為虛擬局域網(wǎng)標(biāo)識(shí)VLANID，所述在接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)為在接收到的同源報(bào)文的VLANID字段中設(shè)置同一接收設(shè)備的VLANID。9、如權(quán)利要求7或8所述的方法，其特征在于，所述在接收到的同源報(bào)文中i殳置同一地址標(biāo)識(shí)為根據(jù)報(bào)文特性對(duì)接收到的所有報(bào)文進(jìn)行哈希Hash運(yùn)算，將同源報(bào)文指定到同一個(gè)出4妄口；根據(jù)預(yù)設(shè)的出接口與地址標(biāo)識(shí)的對(duì)應(yīng)關(guān)系，在指定到同一出接口的同源報(bào)文中i殳置該出4妄口對(duì)應(yīng)的地址標(biāo)識(shí)。10、一種基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)，包括安全設(shè)備和接收設(shè)備，其特征在于，該系統(tǒng)進(jìn)一步包括網(wǎng)絡(luò)i殳備，其中，安全設(shè)備包括出接口，所述出接口為邏輯子接口，邏輯子接口通過(guò)所述網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)連接接收設(shè)備；安全設(shè)備在接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)，并發(fā)送給與其相連的網(wǎng)絡(luò)設(shè)備；網(wǎng)絡(luò)設(shè)備按照設(shè)置在同源報(bào)文中的地址標(biāo)識(shí)，將同源報(bào)文發(fā)送給所述地址標(biāo)識(shí)對(duì)應(yīng)的接收設(shè)備。11、如權(quán)利要求IO所述的系統(tǒng)，其特征在于，所述地址標(biāo)識(shí)為接收設(shè)備的媒體接入控制MAC地址，所述同一接收設(shè)備的MAC地址設(shè)置在同源報(bào)文的目的地址字,殳中；或者，所述地址標(biāo)識(shí)為虛擬局域網(wǎng)標(biāo)識(shí)VLANID，所述同一接收設(shè)備的VLANID設(shè)置在同源報(bào)文的VLANID字段中。12、一種安全設(shè)備，包括入接口和出接口，其特征在于，所述出接口為邏輯子接口，邏輯子接口通過(guò)外部網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)連接外部接收設(shè)備；該安全設(shè)備在其入接口接收到的同源報(bào)文中設(shè)置同一地址標(biāo)識(shí)，并通過(guò)所"、口wwmw-ir/《，*飼w;&，it白。^給^所述網(wǎng)絡(luò)設(shè)備按照設(shè)置在同源報(bào)文中的地址標(biāo)識(shí)，將同源報(bào)文發(fā)送給所述地址標(biāo)識(shí)對(duì)應(yīng)的4妻收i殳備。全文摘要本發(fā)明公開(kāi)了一種基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)系統(tǒng)和一種基于安全設(shè)備的報(bào)文轉(zhuǎn)發(fā)方法。本發(fā)明中的每個(gè)安全設(shè)備均通過(guò)網(wǎng)絡(luò)設(shè)備與所有接收設(shè)備級(jí)聯(lián)，因此，每個(gè)安全設(shè)備即可通過(guò)網(wǎng)絡(luò)設(shè)備將報(bào)文發(fā)送給所有接收設(shè)備中的任意一個(gè)；所有安全設(shè)備均在同源報(bào)文中設(shè)置同一接收設(shè)備的地址標(biāo)識(shí)，因而能夠保證所有同源報(bào)文發(fā)送給相同的接收設(shè)備，實(shí)現(xiàn)同源同宿。而且，每個(gè)安全設(shè)備均通過(guò)網(wǎng)絡(luò)設(shè)備與所有接收設(shè)備級(jí)聯(lián)，實(shí)現(xiàn)了所有安全設(shè)備共享所有的接收設(shè)備，提高了接收設(shè)備的利用率，降低了系統(tǒng)成本。安全設(shè)備中的一個(gè)出接口對(duì)應(yīng)一個(gè)接收設(shè)備，且出接口可以為以太網(wǎng)子接口等邏輯子接口，使得出接口數(shù)量不受物理接口數(shù)量的限制，從而能夠有效實(shí)現(xiàn)安全設(shè)備的擴(kuò)容。文檔編號(hào)H04L29/06GK101106528SQ20071011979公開(kāi)日2008年1月16日申請(qǐng)日期2007年7月31日優(yōu)先權(quán)日2007年7月31日發(fā)明者孫加君,峰金申請(qǐng)人:杭州華三通信技術(shù)有限公司