亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)方法及系統(tǒng)的制作方法

文檔序號(hào):7655601閱讀:153來源:國知局
專利名稱:基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及安全業(yè)務(wù)技術(shù)領(lǐng)域,具體涉及基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)方法及 系統(tǒng)。
背景技術(shù)
隨著網(wǎng)絡(luò)的普及與發(fā)展,對(duì)網(wǎng)絡(luò)設(shè)備的要求已經(jīng)不僅僅是單純的快速轉(zhuǎn) 發(fā),還需要網(wǎng)絡(luò)設(shè)備提供安全業(yè)務(wù)。市場的這一需求促進(jìn)了安全設(shè)備的發(fā)展,
并對(duì)安全設(shè)備提出以下要求在對(duì)網(wǎng)絡(luò)數(shù)據(jù)實(shí)施安全業(yè)務(wù)如安全檢查過濾 等的情況下仍然提供比較好的轉(zhuǎn)發(fā)性能。
安全設(shè)備要達(dá)到以上要求,依賴于硬件性能的提升,同時(shí)也依賴軟件相 關(guān)表項(xiàng)的組織以及相關(guān)的業(yè)務(wù)流程優(yōu)化。如何組織相關(guān)的主要表項(xiàng)并依賴其 提升處理性能,成為安全產(chǎn)品面臨的一個(gè)命題。
圖1為現(xiàn)有的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)流程圖,如圖1所示,其具體步驟 如下:
步驟101:在安全設(shè)備上配置安全業(yè)務(wù)表項(xiàng)。
每個(gè)安全業(yè)務(wù)表項(xiàng)包括五元組信息中的一個(gè)或任意組合與安全業(yè)務(wù)信 息的對(duì)應(yīng)關(guān)系,或者包括轉(zhuǎn)發(fā)信息與安全業(yè)務(wù)信息的對(duì)應(yīng)關(guān)系,或者包括 五元組信息中的一個(gè)或任意組合、轉(zhuǎn)發(fā)信息與安全業(yè)務(wù)信息的對(duì)應(yīng)關(guān)系。
五元組信息即源IP地址信息、源端口信息、協(xié)議號(hào)碼、目的IP地址 信息、目的出端口4言息。
轉(zhuǎn)發(fā)信息即轉(zhuǎn)發(fā)信息庫(FIB)表項(xiàng)中的三層出接口信息等,地址解 析協(xié)議(ARP )表項(xiàng)中的出端口信息等。
安全業(yè)務(wù)信息指示具體應(yīng)執(zhí)行何種安全業(yè)務(wù)處理,如過濾處理等。
步驟102:安全設(shè)備接收到包,查找與該包的五元組對(duì)應(yīng)的安全業(yè)務(wù)表項(xiàng)。
步驟103:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息,執(zhí)
行相應(yīng)的安全業(yè)務(wù)處理,執(zhí)行完畢,轉(zhuǎn)至步驟104。
本步驟中的安全業(yè)務(wù)處理針對(duì)的是入口處的安全業(yè)務(wù)處理。
步驟104:安全i殳備查找與該包的目的IP地址對(duì)應(yīng)的FIB表項(xiàng)。
步驟105:安全設(shè)備查找與FIB表項(xiàng)最匹配的ARP表項(xiàng)。
步驟106:安全設(shè)備查找與FIB表項(xiàng)中的三層出接口信息對(duì)應(yīng)的安全業(yè)
務(wù)表項(xiàng)。
步驟107:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息,執(zhí) 行相應(yīng)的安全業(yè)務(wù)處理,執(zhí)行完畢,轉(zhuǎn)至步驟108。
本步驟中的安全業(yè)務(wù)處理針對(duì)的是出口處的安全業(yè)務(wù)處理。
步驟108:安全設(shè)備將查找到的ARP表項(xiàng)中的二層鏈路層頭封裝到包 的二層頭上,將該包轉(zhuǎn)發(fā)出去。
從以上過程可以看出安全設(shè)備接收到包后,首先根據(jù)包的五元組信息 查找安全業(yè)務(wù)表項(xiàng),并進(jìn)行相應(yīng)的安全業(yè)務(wù)處理,然后查找FIB表項(xiàng)和ARP 表項(xiàng),再根據(jù)查找到的FIB表項(xiàng)和ARP表項(xiàng)查找安全業(yè)務(wù)表項(xiàng),并進(jìn)行相 應(yīng)的安全業(yè)務(wù)處理,處理完畢,根據(jù)ARP表項(xiàng)轉(zhuǎn)發(fā)包。很顯然,處理流程 較長,大大降低了包的轉(zhuǎn)發(fā)效率。

發(fā)明內(nèi)容
本發(fā)明提供基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)方法及系統(tǒng),以提高基于安全業(yè)務(wù)的包 的轉(zhuǎn)發(fā)效率。
本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的
一種基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)方法,其特征在于,包括
接收業(yè)務(wù)流的首包,獲取與該首包對(duì)應(yīng)的安全業(yè)務(wù)信息和ARP表項(xiàng),建立 首包攜帶的業(yè)務(wù)流包的屬性信息與安全業(yè)務(wù)信息、ARP表項(xiàng)信息的關(guān)聯(lián)關(guān)系;
接收業(yè)務(wù)流的后續(xù)包,根據(jù)后續(xù)包攜帶的業(yè)務(wù)流包屬性信息及所述關(guān)聯(lián)關(guān)
系,查找到安全業(yè)務(wù)信息和ARP表項(xiàng)信息,根據(jù)安全業(yè)務(wù)信息對(duì)后續(xù)包執(zhí)行安 全業(yè)務(wù)處理,根據(jù)ARP表項(xiàng)信息將后續(xù)包轉(zhuǎn)發(fā)出去。 所述關(guān)聯(lián)關(guān)系保存在軟件單元中。
所述建立關(guān)聯(lián)關(guān)系包括建立業(yè)務(wù)流包的屬性信息、安全業(yè)務(wù)信息及ARP 表項(xiàng)的索引之間的關(guān)聯(lián)關(guān)系。
當(dāng)接收到后續(xù)包時(shí),所述查找包括在所有關(guān)聯(lián)關(guān)系中,查找與后續(xù)包攜 帶的業(yè)務(wù)流包的屬性信息對(duì)應(yīng)的關(guān)聯(lián)關(guān)系,該關(guān)聯(lián)關(guān)系中的安全業(yè)務(wù)信息即為 查找到的安全業(yè)務(wù)信息,根據(jù)該關(guān)聯(lián)關(guān)系中的ARP表項(xiàng)索引查找到ARP表項(xiàng)。
所述接收業(yè)務(wù)流的首包之前進(jìn)一步包括在軟件單元中學(xué)習(xí)FIB表項(xiàng);
當(dāng)接收到業(yè)務(wù)流的首包時(shí),所述獲取ARP表項(xiàng)包括查找與該首包對(duì)應(yīng)的 FIB表項(xiàng),再查找與該FIB表項(xiàng)最匹配的ARP表項(xiàng),
且,所述建立關(guān)聯(lián)關(guān)系進(jìn)一步包括為該關(guān)聯(lián)關(guān)系設(shè)置指示有效的有效標(biāo) 志位,并建立FIB表項(xiàng)的索引與該關(guān)聯(lián)關(guān)系的索引的對(duì)應(yīng)關(guān)系,
且,當(dāng)更新FIB表項(xiàng)時(shí),根據(jù)該FIB表項(xiàng)索引在所述對(duì)應(yīng)關(guān)系中查找到關(guān) 聯(lián)關(guān)系索引,將該關(guān)聯(lián)關(guān)系索引指向的關(guān)聯(lián)關(guān)系中的有效標(biāo)志位設(shè)置為無效。
當(dāng)接收到后續(xù)包時(shí),所述查找到關(guān)聯(lián)關(guān)系進(jìn)一步包括判斷該關(guān)聯(lián)關(guān)系中 的有效標(biāo)志位是否指示有效,若是,根據(jù)該關(guān)聯(lián)關(guān)系中的安全業(yè)務(wù)信息進(jìn)行安 全處理;否則,在軟件單元中重新查找與該后續(xù)包對(duì)應(yīng)的安全業(yè)務(wù)信息和ARP 表項(xiàng),以查找到的安全業(yè)務(wù)信息替換該關(guān)聯(lián)關(guān)系中的安全業(yè)務(wù)信息,以查找到 的ARP表項(xiàng)的索引替換該關(guān)聯(lián)關(guān)系中的ARP表項(xiàng)索引。
所述關(guān)聯(lián)關(guān)系保存在硬件單元中。
所述接收業(yè)務(wù)流的首包之前進(jìn)一步包括在軟件單元中學(xué)習(xí)ARP表項(xiàng),在 硬件單元中保存內(nèi)容與該ARP表項(xiàng)相同的ARP感知表項(xiàng),
所述建立關(guān)聯(lián)關(guān)系為建立業(yè)務(wù)流包的屬性信息、安全業(yè)務(wù)信息及所述獲 取到的ARP表項(xiàng)中的ARP感知表項(xiàng)的索引之間的關(guān)聯(lián)關(guān)系,將該關(guān)聯(lián)關(guān)系保 存到硬件單元中。
當(dāng)接收到后續(xù)包時(shí),所述查找包括在硬件單元中的所有關(guān)聯(lián)關(guān)系中,查 找與該后續(xù)包攜帶的業(yè)務(wù)流包的屬性信息對(duì)應(yīng)的關(guān)聯(lián)關(guān)系,該關(guān)聯(lián)關(guān)系中的安 全業(yè)務(wù)信息即為查找到的安全業(yè)務(wù)信息,根據(jù)該關(guān)聯(lián)關(guān)系中的ARP感知表項(xiàng)索 虧1在硬件單元中查找到ARP感知表項(xiàng),該ARP感知表項(xiàng)即為查找到的ARP表 項(xiàng)信息。
所述建立ARP感知表項(xiàng)之后進(jìn)一步包括在ARP表項(xiàng)中記錄該ARP感知 表項(xiàng)的索引,
所述接收業(yè)務(wù)流的首包之前進(jìn)一步包括在軟件單元中學(xué)習(xí)FIB表項(xiàng);
當(dāng)接收到業(yè)務(wù)流的首包時(shí),所述查找ARP表項(xiàng)包括查找與該首包對(duì)應(yīng)的 FIB表項(xiàng),再查找與該FIB表項(xiàng)最匹配的ARP表項(xiàng),
且,所述建立關(guān)聯(lián)關(guān)系進(jìn)一步包括為該關(guān)聯(lián)關(guān)系設(shè)置指示有效的有效標(biāo) 志位,并建立FIB表項(xiàng)的索引與該關(guān)聯(lián)關(guān)系的索引的對(duì)應(yīng)關(guān)系,
且,當(dāng)更新FIB表項(xiàng)時(shí),根據(jù)該FIB表項(xiàng)索引在所述對(duì)應(yīng)關(guān)系中查找到關(guān) 聯(lián)關(guān)系索引,將該關(guān)聯(lián)關(guān)系索引指向的關(guān)聯(lián)關(guān)系中的有效標(biāo)志位設(shè)置為無效。
當(dāng)接收到后續(xù)包時(shí),所述查找到關(guān)聯(lián)關(guān)系進(jìn)一步包括判斷該關(guān)聯(lián)關(guān)系中 的有效標(biāo)志位是否指示有效,若是,根據(jù)該關(guān)聯(lián)關(guān)系中的安全業(yè)務(wù)信息進(jìn)行安 全處理;否則,在軟件單元中重新查找與該后續(xù)包對(duì)應(yīng)的安全業(yè)務(wù)信息和ARP 表項(xiàng),以查找到的安全業(yè)務(wù)信息替換該關(guān)聯(lián)關(guān)系中的安全業(yè)務(wù)信息,以查找到 的ARP表項(xiàng)中的ARP感知表項(xiàng)索引替換該關(guān)聯(lián)關(guān)系中的ARP感知表項(xiàng)索引。
所述業(yè)務(wù)流包的屬性信息為五元組信息。
一種基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)系統(tǒng),包括
業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)4莫塊,接收業(yè)務(wù)流的首包,建立首包攜帶的業(yè)務(wù)流包的屬性
信息與首包對(duì)應(yīng)的安全業(yè)務(wù)信息、首包對(duì)應(yīng)的ARP表項(xiàng)信息之間的關(guān)聯(lián)關(guān)系;
接收業(yè)務(wù)流的后續(xù)包,根據(jù)該后續(xù)包攜帶的業(yè)務(wù)流包的屬性信息以及所述關(guān)聯(lián)
關(guān)系,查找到安全業(yè)務(wù)信息和ARP表項(xiàng)信息;將查找到的安全業(yè)務(wù)信息發(fā)送給
安全業(yè)務(wù)處理模塊,將查找到的ARP表項(xiàng)信息發(fā)送給轉(zhuǎn)發(fā)模塊;
安全業(yè)務(wù)處理模塊,根據(jù)接收到的安全業(yè)務(wù)信息對(duì)接收到的業(yè)務(wù)流包執(zhí)行
安全業(yè)務(wù)處理,執(zhí)行完畢,將業(yè)務(wù)流包發(fā)送給轉(zhuǎn)發(fā)模塊;
轉(zhuǎn)發(fā)模塊,根據(jù)接收到的ARP表項(xiàng)信息將接收到的業(yè)務(wù)流包轉(zhuǎn)發(fā)出去。 所述業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)才莫塊包括
Session表項(xiàng)存儲(chǔ)模塊,保存由業(yè)務(wù)流包的屬性信息、安全業(yè)務(wù)信息、 ARP表項(xiàng)索引組成的各Session表項(xiàng);
Session表項(xiàng)查找模塊,接收業(yè)務(wù)流包,在Session表項(xiàng)存儲(chǔ)模塊中查找 與業(yè)務(wù)流包的屬性信息對(duì)應(yīng)的Session表項(xiàng),若查找到,將Session表項(xiàng)中的 安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊,將Session表項(xiàng)中的ARP表項(xiàng)索引 發(fā)送給轉(zhuǎn)發(fā)模塊;否則,將業(yè)務(wù)流包發(fā)送給Session表項(xiàng)建立更新模塊;
Session表項(xiàng)建立更新模塊,接收業(yè)務(wù)流包,將業(yè)務(wù)流包對(duì)應(yīng)的安全業(yè)務(wù) 信息發(fā)送給安全業(yè)務(wù)處理模塊,建立包括業(yè)務(wù)流包的屬性信息和所述安全業(yè) 務(wù)信息的Session表項(xiàng),查找與業(yè)務(wù)流包對(duì)應(yīng)的ARP表項(xiàng),將該ARP表項(xiàng) 發(fā)送給轉(zhuǎn)發(fā)模塊,并將查找到的ARP表項(xiàng)的索引添加到建立的Session表項(xiàng) 中,將Session表項(xiàng)保存到Session表項(xiàng)存儲(chǔ)模塊。
該系統(tǒng)進(jìn)一步包括FIB和Session表項(xiàng)關(guān)聯(lián)模塊、FIB表項(xiàng)更新模塊, 其中-.
FIB和Session表項(xiàng)關(guān)聯(lián)模塊,保存FIB表項(xiàng)索引和Session表項(xiàng)索引的 對(duì)應(yīng)關(guān)系;
且,所述Session表項(xiàng)建立更新模塊進(jìn)一步,為建立的Session表項(xiàng)設(shè) 置指示有效的有效標(biāo)志位,并將業(yè)務(wù)流包對(duì)應(yīng)的FIB表項(xiàng)的索引和所建立的 Session表項(xiàng)的索引的對(duì)應(yīng)關(guān)系保存在FIB和Session表項(xiàng)關(guān)聯(lián)模塊中,
FIB表項(xiàng)更新模塊,當(dāng)更新FIB表項(xiàng)時(shí),在FIB和Session表項(xiàng)關(guān)聯(lián)模 塊中查找到與該FIB表項(xiàng)索引對(duì)應(yīng)的Session表項(xiàng)索引,根據(jù)該Session表 項(xiàng)索引在Session表項(xiàng)存儲(chǔ)模塊中查找到Session表項(xiàng),將Session表項(xiàng)中的 有效標(biāo)志位i殳置為無效。
所述Session表項(xiàng)查找模塊在Session表項(xiàng)存儲(chǔ)模塊中查找到Session表 項(xiàng)后,判斷該Session表項(xiàng)中的有效標(biāo)志位是否指示有效,若指示無效,則
將業(yè)務(wù)流包和該Session表項(xiàng)的索引發(fā)送給Session表項(xiàng)建立更新模塊,
所述Session表項(xiàng)建立更新模塊接收到業(yè)務(wù)流包和Session表項(xiàng)索引后, 將與該業(yè)務(wù)流包對(duì)應(yīng)的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊,根據(jù)該 Session表項(xiàng)索引在Session表項(xiàng)存儲(chǔ)模塊中查找到Session表項(xiàng),以查找到 的安全業(yè)務(wù)信息替換該Session表項(xiàng)中的安全業(yè)務(wù)信息;查找與業(yè)務(wù)流包對(duì) 應(yīng)的ARP表項(xiàng),將該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊,以該ARP表項(xiàng)的索引替 換該Session表項(xiàng)中的ARP表項(xiàng)索引。
所述Session表項(xiàng)存儲(chǔ)模塊位于軟件單元中。 所述業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)模塊包括
ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊,學(xué)習(xí)ARP表項(xiàng),將ARP感知表項(xiàng)存儲(chǔ)模塊中 與ARP表項(xiàng)內(nèi)容相同的ARP感知表項(xiàng)的索引添加到ARP表項(xiàng)中;
ARP感知表項(xiàng)存儲(chǔ)模塊,保存與軟件單元中的ARP表項(xiàng)內(nèi)容相同的 ARP感知表項(xiàng);
Session表項(xiàng)存儲(chǔ)模塊,保存由業(yè)務(wù)流包的屬性信息、安全業(yè)務(wù)信息、 ARP感知表項(xiàng)索引組成的各Session表項(xiàng);
Session表項(xiàng)查找模塊,接收業(yè)務(wù)流包,在Session表項(xiàng)存儲(chǔ)模塊中查找 與業(yè)務(wù)流包的屬性信息對(duì)應(yīng)的Session表項(xiàng),若查找到,將Session表項(xiàng)中的 安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊,將Session表項(xiàng)中的ARP感知表項(xiàng) 索引發(fā)送給轉(zhuǎn)發(fā)模塊;否則,將業(yè)務(wù)流包發(fā)送給Session表項(xiàng)建立更新模塊;
Session表項(xiàng)建立更新模塊,接收業(yè)務(wù)流包,將與業(yè)務(wù)流包對(duì)應(yīng)的安全 業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊,建立包括業(yè)務(wù)流包的屬性信息和所述安 全業(yè)務(wù)信息的Session表項(xiàng);查找與業(yè)務(wù)流包對(duì)應(yīng)的ARP表項(xiàng),將該ARP 表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊,并將ARP表項(xiàng)中的ARP感知表項(xiàng)索引添加到建立的 Session表項(xiàng)中,將Session表項(xiàng)保存到Session表項(xiàng)存儲(chǔ)模塊。
該系統(tǒng)進(jìn)一步包括FIB和Session表項(xiàng)關(guān)聯(lián)模塊、FIB表項(xiàng)更新模塊, 其中
FIB和Session表項(xiàng)關(guān)聯(lián)模塊,保存FIB表項(xiàng)索引和Session表項(xiàng)索引的
對(duì)應(yīng)關(guān)系;
且,所述Session表項(xiàng)建立更新模塊進(jìn)一步,為建立的Session表項(xiàng)設(shè) 置指示有效的有效標(biāo)志位,將業(yè)務(wù)流包對(duì)應(yīng)的FIB表項(xiàng)的索引和建立的 Session表項(xiàng)的索引的對(duì)應(yīng)關(guān)系保存在FIB和Session表項(xiàng)關(guān)聯(lián)模塊中,
FIB表項(xiàng)更新模塊,當(dāng)更新FIB表項(xiàng)時(shí),在FIB和Session表項(xiàng)關(guān)聯(lián)模 塊中查找到與該FIB表項(xiàng)索引對(duì)應(yīng)的Session表項(xiàng)索引,根據(jù)該Session表 項(xiàng)索引在Session表項(xiàng)存儲(chǔ)模塊中查找到Session表項(xiàng),將Session表項(xiàng)中的 有效標(biāo)志位設(shè)置為無效。
所述Session表項(xiàng)查找才莫塊在Session表項(xiàng)存儲(chǔ)j莫塊中查找到Session表 項(xiàng)后,判斷該Session表項(xiàng)中的有效標(biāo)志位是否指示有效,若指示無效,將 業(yè)務(wù)流包和Session表項(xiàng)索引發(fā)送給Session表項(xiàng)建立更新模塊,
所述Session表項(xiàng)建立更新模塊接收到業(yè)務(wù)流包和Session表項(xiàng)索引后, 將與業(yè)務(wù)流包對(duì)應(yīng)的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊,根據(jù)該 Session表項(xiàng)索引在Session表項(xiàng)存儲(chǔ)模塊中查找到Session表項(xiàng),以所述安 全業(yè)務(wù)信息替換該Session表項(xiàng)中的安全業(yè)務(wù)信息;查找與業(yè)務(wù)流包對(duì)應(yīng)的 ARP表項(xiàng),將該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊,并以該ARP表項(xiàng)中的ARP感 知表項(xiàng)索引替換所查找到的Session表項(xiàng)中的ARP感知表項(xiàng)索引。
所述ARP感知表項(xiàng)存儲(chǔ)模塊、Session表項(xiàng)存儲(chǔ)模塊位于硬件單元中。
與現(xiàn)有技術(shù)相比,本發(fā)明通過對(duì)業(yè)務(wù)流的首包采用現(xiàn)有技術(shù)進(jìn)行安全業(yè) 務(wù)表項(xiàng)、FIB表項(xiàng)、ARP表項(xiàng)的查找,并以該首包的屬性信息為業(yè)務(wù)流各包 的屬性信息,根據(jù)查找結(jié)果建立該業(yè)務(wù)流包的屬性信息與安全業(yè)務(wù)信息、 ARP表項(xiàng)的關(guān)聯(lián)關(guān)系,使得業(yè)務(wù)流的后續(xù)包可直接根據(jù)所述關(guān)聯(lián)關(guān)系進(jìn)行安 全業(yè)務(wù)處理和轉(zhuǎn)發(fā)處理,無需每個(gè)包都進(jìn)行安全業(yè)務(wù)表項(xiàng)、FIB表項(xiàng)、ARP 表項(xiàng)的查找,大大提高了基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)效率。


圖1為現(xiàn)有的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)流程圖2為本發(fā)明實(shí)施例一提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)流程圖; 圖3為本發(fā)明實(shí)施例二提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)流程圖; 圖4為本發(fā)明實(shí)施例 一 提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)系統(tǒng)組成圖; 圖5為本發(fā)明實(shí)施例二提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)系統(tǒng)組成圖。
具體實(shí)施例方式
由于同一業(yè)務(wù)流中的各個(gè)包的五元組是相同的,且安全業(yè)務(wù)表項(xiàng)通常都 以包的五元組為依據(jù)建立,而轉(zhuǎn)發(fā)表項(xiàng)FIB表項(xiàng)和ARP表項(xiàng)也是以包的 五元組為依據(jù)建立的,從而可以得知對(duì)同一業(yè)務(wù)流的各個(gè)包所進(jìn)行的安全 業(yè)務(wù)處理和轉(zhuǎn)發(fā)處理是相同的。因此,本發(fā)明的核心思想是對(duì)業(yè)務(wù)流的首 包按照現(xiàn)有技術(shù)進(jìn)行安全業(yè)務(wù)表項(xiàng)查找和FIB表項(xiàng)、ARP表項(xiàng)查找,并根 據(jù)查找結(jié)果建立該首包的五元組信息與需對(duì)該包執(zhí)行的所有安全業(yè)務(wù)的信 息以及該包對(duì)應(yīng)的ARP表項(xiàng)的關(guān)if關(guān)關(guān)系。這樣,該業(yè)務(wù)流的后續(xù)包就可才艮 據(jù)該關(guān)聯(lián)關(guān)系直接查找到安全業(yè)務(wù)信息和ARP表項(xiàng)信息,從而直接對(duì)該后 續(xù)包進(jìn)行安全業(yè)務(wù)處理和轉(zhuǎn)發(fā)處理,而無需再進(jìn)行安全業(yè)務(wù)表項(xiàng)和FIB表 項(xiàng)、ARP表項(xiàng)的查找過程。
下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明再作進(jìn)一步詳細(xì)的說明。
圖2為本發(fā)明實(shí)施例一提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)流程圖,如圖2所 示,其具體步驟如下
步驟201:安全設(shè)備接收到包,在軟件中查找與該包的五元組信息對(duì)應(yīng) 的Session表項(xiàng)。
步驟202:安全設(shè)備判斷是否查找到Session表項(xiàng),若是,執(zhí)行步驟213; 否則,執(zhí)行步驟203。
步驟203:安全設(shè)備確定該包為業(yè)務(wù)流的首包,查找與該首包攜帶的信 息如五元組信息對(duì)應(yīng)的安全業(yè)務(wù)表項(xiàng)。
步驟204:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息,執(zhí) 行相應(yīng)的安全業(yè)務(wù)處理,并在軟件中建立Session表項(xiàng),該Session表項(xiàng)包括 該首包的五元組信息和所述安全業(yè)務(wù)信息。
本步驟中的安全業(yè)務(wù)處理針對(duì)的是入口處的安全業(yè)務(wù)處理。
步驟205:安全設(shè)備在軟件中查找與該首包的目的IP地址對(duì)應(yīng)的FIB 表項(xiàng)。
步驟206:安全設(shè)備查找到FIB表項(xiàng),在軟件中查找與該FIB表項(xiàng)最匹 配的ARP表項(xiàng)。
在本步驟中,當(dāng)安全設(shè)備查找到FIB表項(xiàng)時(shí),進(jìn)一步保存該FIB表項(xiàng)的 索引與所建立的Session表項(xiàng)索引的對(duì)應(yīng)關(guān)系,并且,當(dāng)修改或刪除FIB表 項(xiàng)時(shí),通過所述對(duì)應(yīng)關(guān)系,查找到與該FIB表項(xiàng)對(duì)應(yīng)的所有Session表項(xiàng), 將所有Session表項(xiàng)中的有效標(biāo)志位設(shè)置為指示無效。這樣,當(dāng)收到業(yè)務(wù)流 的后續(xù)包時(shí),就可根據(jù)Session表項(xiàng)中的有效標(biāo)志位確定FIB表項(xiàng)是否被修 改或刪除過,若是,就觸發(fā)Session表項(xiàng)的更新。
步驟207:安全設(shè)備將查找到的ARP表項(xiàng)的索引添加到步驟204建立 的Session表項(xiàng)中。
可以看出,執(zhí)行完本步驟后,安全設(shè)備建立的Session表項(xiàng)包括五元 組信息、安全業(yè)務(wù)信息、ARP表項(xiàng)索引。
步驟208:安全設(shè)備查找與所述FIB表項(xiàng)中的三層出接口信息對(duì)應(yīng)的安 全業(yè)務(wù)表項(xiàng)。
FIB表項(xiàng)包括目的IP地址、目的掩碼、三層出接口、下一跳等信息。 步驟209:安全設(shè)備判斷是否查找到安全業(yè)務(wù)表項(xiàng),若是,執(zhí)行步驟210;
否則,執(zhí)行步驟211。
步驟210:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息,對(duì)
該首包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理,同時(shí)將該安全業(yè)務(wù)信息添加到步驟204建
立的Session表項(xiàng)中,安全業(yè)務(wù)處理完畢,轉(zhuǎn)至步驟211。
本步驟中的安全業(yè)務(wù)處理針對(duì)的是出口處的安全業(yè)務(wù)處理。
步驟211:安全設(shè)備將指示有效的有效標(biāo)志位添加到步驟204建立的
Session表項(xiàng)中。
若在步驟209中未查找到安全業(yè)務(wù)表項(xiàng),則可確定該首包在出口處無需 作安全業(yè)務(wù)處理。
步驟212:安全設(shè)備將查找到的ARP表項(xiàng)中的二層鏈路層頭封裝到該 首包的二層頭上,將該包轉(zhuǎn)發(fā)出去,返回步驟201。
步驟213:安全設(shè)備確定該包為業(yè)務(wù)流的后續(xù)包,判斷Session表項(xiàng)中 的有效標(biāo)志位是否指示有效,若是,執(zhí)行步驟214;否則,執(zhí)行步驟216。
步驟214:安全設(shè)備確定FIB表項(xiàng)未被修改或刪除過,從而確定Session 表項(xiàng)中的ARP表項(xiàng)索引正確,根據(jù)Session表項(xiàng)中的安全業(yè)務(wù)信息,對(duì)該后 續(xù)包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理,執(zhí)行完畢,轉(zhuǎn)至步驟215。
步驟215:安全設(shè)備根據(jù)Session表項(xiàng)中的ARP表項(xiàng)索引查找到ARP 表項(xiàng),將查找到的ARP表項(xiàng)中的二層鏈路層頭封裝到該后續(xù)包的二層頭上, 將該包轉(zhuǎn)發(fā)出去,返回步驟201。
步驟216:安全設(shè)備確定FIB表項(xiàng)被修改或刪除過,將該后續(xù)包當(dāng)作首 包處理,在軟件中查找與該后續(xù)包的五元組信息對(duì)應(yīng)的安全業(yè)務(wù)表項(xiàng)。
步驟217:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息,對(duì) 該后續(xù)包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理,并以該安全業(yè)務(wù)信息替換查找到的 Session表項(xiàng)中的安全業(yè)務(wù)信息。
步驟218:安全設(shè)備在軟件中查找與該后續(xù)包的目的IP地址對(duì)應(yīng)的FIB 表項(xiàng)。
步驟219:安全設(shè)備查找到FIB表項(xiàng),在軟件中查找與該FIB表項(xiàng)最匹 配的ARP表項(xiàng)。
步驟220:安全設(shè)備以查找到的ARP表項(xiàng)的索引替換查找到的Session 表項(xiàng)中的ARP表項(xiàng)索引。
步驟221:安全設(shè)備查找與所述FIB表項(xiàng)中的三層出接口信息對(duì)應(yīng)的安 全業(yè)務(wù)表項(xiàng)。
步驟222:安全設(shè)備判斷是否查找到安全業(yè)務(wù)表項(xiàng),若是,執(zhí)行步驟223; 否則,執(zhí)行步驟224。
步驟223:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息,對(duì) 該后續(xù)包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理,同時(shí)將該安全業(yè)務(wù)信息添加到查找到的 Session表項(xiàng)中,并將查找到的Session表項(xiàng)中的有效標(biāo)志位設(shè)置為指示有效, 安全業(yè)務(wù)處理完畢,轉(zhuǎn)至步驟224。
步驟224:安全設(shè)備將查找到的ARP表項(xiàng)中的二層鏈路層頭封裝到該 后續(xù)包的二層頭上,將該包轉(zhuǎn)發(fā)出去,返回步驟201。
從圖2所示流程可以看出當(dāng)對(duì)業(yè)務(wù)流的首包進(jìn)行了軟件中的安全業(yè)務(wù) 表項(xiàng)、FIB表項(xiàng)和ARP表項(xiàng)查找后,根據(jù)查找結(jié)果在軟件中所建立的Session 表項(xiàng)的結(jié)構(gòu)如下
Session表項(xiàng)五元組信息、安全業(yè)務(wù)信息、ARP表項(xiàng)索引、有效標(biāo)志位。
這樣,當(dāng)收到該業(yè)務(wù)流的后續(xù)包后,就可根據(jù)該后續(xù)包的五元組信息在 軟件中查找到上述Session表項(xiàng),然后根據(jù)該Session表項(xiàng)中的安全業(yè)務(wù)信息 執(zhí)行相應(yīng)的安全業(yè)務(wù)處理,根據(jù)該Session表項(xiàng)中的ARP表項(xiàng)索引查找到軟 件中的ARP表項(xiàng),從而將該后續(xù)包轉(zhuǎn)發(fā)出去??梢钥闯?,所有的安全業(yè)務(wù) 信息都集中存儲(chǔ)在Session表項(xiàng)中,提高了安全業(yè)務(wù)處理效率;且,在查找 ARP表項(xiàng)時(shí),也無需再根據(jù)五元組信息進(jìn)行FIB表項(xiàng)的查找、也無需進(jìn)行 ARP表項(xiàng)與FIB表項(xiàng)的匹配操作,而可以根據(jù)Session表項(xiàng)中的ARP表項(xiàng) 索引直接查找到ARP表項(xiàng),進(jìn)一步提高了轉(zhuǎn)發(fā)效率。
圖2所示實(shí)施例中,對(duì)業(yè)務(wù)流的后續(xù)包的安全業(yè)務(wù)處理和轉(zhuǎn)發(fā)處理都是 在軟件中進(jìn)行的,以下給出在硬件中對(duì)業(yè)務(wù)流的后續(xù)包進(jìn)行安全業(yè)務(wù)處理和 轉(zhuǎn)發(fā)處理的實(shí)施例。
圖3為本發(fā)明實(shí)施例二提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)流程圖,如圖3所 示,其具體步驟如下
步驟301:安全設(shè)備通過軟件學(xué)習(xí)到ARP表項(xiàng),在硬件中建立ARP感
知表項(xiàng),該ARP感知表項(xiàng)中包含的內(nèi)容與所學(xué)習(xí)到的ARP表項(xiàng)的內(nèi)容相同,
并將ARP感知表項(xiàng)的索引添加到所學(xué)習(xí)到的ARP表項(xiàng)中。
當(dāng)通過軟件更新ARP表項(xiàng)時(shí),根據(jù)該ARP表項(xiàng)中的ARP感知表項(xiàng)索 引查找到硬件中的ARP感知表項(xiàng),從而同步更新該ARP感知表項(xiàng)。
步驟302:安全設(shè)備接收到包,在硬件中查找與該包的五元組信息對(duì)應(yīng) 的Session表項(xiàng)。
步驟303:安全設(shè)備判斷是否查找到Session表項(xiàng),若是,執(zhí)行步驟314; 否則,執(zhí)行步驟304。
步驟304:安全設(shè)備確定該包為業(yè)務(wù)流的首包,在軟件中查找與該首包 攜帶的信息如五元組信息對(duì)應(yīng)的安全業(yè)務(wù)表項(xiàng)。
步驟305:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息,對(duì) 該首包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理,并在軟件中建立Session表項(xiàng),該Session 表項(xiàng)包括該首包的五元組信息和所述安全業(yè)務(wù)信息。
步驟306:安全設(shè)備在軟件中查找與該首包的目的IP地址對(duì)應(yīng)的FIB 表項(xiàng)。
步驟307:安全設(shè)備查找到FIB表項(xiàng),在軟件中查找與該FIB表項(xiàng)最匹 配的ARP表項(xiàng)。
在本步驟中,當(dāng)安全設(shè)備查找到FIB表項(xiàng)時(shí),進(jìn)一步保存該FIB表項(xiàng)的 索引與所建立的Session表項(xiàng)索引的對(duì)應(yīng)關(guān)系,并且,當(dāng)修改或刪除FIB表 項(xiàng)時(shí),通過所述對(duì)應(yīng)關(guān)系,查找到與該FIB表項(xiàng)對(duì)應(yīng)的所有Session表項(xiàng), 將所有Session表項(xiàng)中的有效標(biāo)志位設(shè)置為指示無效。這樣,當(dāng)收到業(yè)務(wù)流 的后續(xù)包時(shí),就可根據(jù)Session表項(xiàng)中的有效標(biāo)志位確定FIB表項(xiàng)是否被修 改或刪除過,若是,就觸發(fā)Session表項(xiàng)的更新。
步驟308:安全設(shè)備將查找到的ARP表項(xiàng)中的ARP感知表項(xiàng)索引添加 到步驟305中建立的Session表項(xiàng)中。
可以看出,執(zhí)行完本步驟后,安全設(shè)備建立的Session表項(xiàng)包括五元 組信息、安全業(yè)務(wù)信息、ARP感知表項(xiàng)索引。
步驟309:安全設(shè)備在軟件中查找與所述FIB表項(xiàng)中的三層出接口信息 對(duì)應(yīng)的安全業(yè)務(wù)表項(xiàng)。
步驟310:安全設(shè)備判斷是否查找到安全業(yè)務(wù)表項(xiàng),若是,執(zhí)行步驟311; 否則,執(zhí)行步驟312。
步驟311:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息,對(duì) 該首包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理,同時(shí)將該安全業(yè)務(wù)信息添加到步驟305建 立的Session表項(xiàng)中,安全業(yè)務(wù)處理完畢,轉(zhuǎn)至步驟312。
步驟312:安全設(shè)備將指示有效的有效標(biāo)志位添加到步驟305建立的 Session表項(xiàng)中,然后將該Session表項(xiàng)保存到硬件中。
步驟313:安全設(shè)備將查找到的ARP表項(xiàng)中的二層鏈路層頭封裝到該 首包的二層頭上,將該包轉(zhuǎn)發(fā)出去,返回步驟302。
步驟314:安全設(shè)備確定該包為業(yè)務(wù)流的后續(xù)包,判斷Session表項(xiàng)中 的有效標(biāo)志位是否指示有效,若是,執(zhí)行步驟315;否則,執(zhí)行步驟317。
步驟315:安全設(shè)備確定FIB表項(xiàng)未被修改或刪除過,從而確定Session 表項(xiàng)中的ARP感知表項(xiàng)索引正確,根據(jù)Session表項(xiàng)中的安全業(yè)務(wù)信息,對(duì) 該后續(xù)包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理,執(zhí)行完畢,轉(zhuǎn)至步驟316。
步驟316:安全設(shè)備根據(jù)Session表項(xiàng)中的ARP感知表項(xiàng)索引查找到 ARP感知表項(xiàng),將查找到的ARP感知表項(xiàng)中的二層鏈路層頭封裝到該后續(xù) 包的二層頭上,將該包轉(zhuǎn)發(fā)出去,返回步驟302。
步驟317:安全設(shè)備確定FIB表項(xiàng)被修改或刪除過,將該后續(xù)包當(dāng)作首 包處理,在軟件中查找與該后續(xù)包的五元組信息對(duì)應(yīng)的安全業(yè)務(wù)表項(xiàng)。
步驟318:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息,對(duì) 該后續(xù)包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理,并以該安全業(yè)務(wù)信息替換查找到的 Session表項(xiàng)中的安全業(yè)務(wù)信息。
步驟319:安全設(shè)備在軟件中查找與該后續(xù)包的目的IP地址對(duì)應(yīng)的FIB 表項(xiàng)。
步驟320:安全設(shè)備查找到FIB表項(xiàng),在軟件中查找與該FIB表項(xiàng)最匹 配的ARP表項(xiàng)。
步驟321:安全設(shè)備以查找到的ARP表項(xiàng)中的ARP感知表項(xiàng)索引替換
查找到的Session表項(xiàng)中的ARP感知表項(xiàng)索引。
步驟322:安全設(shè)備在軟件中查找與所述FIB表項(xiàng)中的三層出接口信息 對(duì)應(yīng)的安全業(yè)務(wù)表項(xiàng)。
步驟323:安全設(shè)備判斷是否查找到安全業(yè)務(wù)表項(xiàng),若是,執(zhí)行步驟324; 否則,執(zhí)行步驟325。
步驟324:安全設(shè)備根據(jù)查找到的安全業(yè)務(wù)表項(xiàng)中的安全業(yè)務(wù)信息,對(duì) 該后續(xù)包執(zhí)行相應(yīng)的安全業(yè)務(wù)處理,同時(shí)將該安全業(yè)務(wù)信息添加到查找到的 Session表項(xiàng)中,并將該Session表項(xiàng)中的有效標(biāo)志位設(shè)置為指示有效,安全 業(yè)務(wù)處理完畢,執(zhí)行步驟325。
步驟325:安全設(shè)備將查找到的ARP表項(xiàng)中的二層鏈路層頭封裝到該 后續(xù)包的二層頭上,將該包轉(zhuǎn)發(fā)出去,返回步驟302。
從圖3所示流程可以看出當(dāng)在軟件中學(xué)習(xí)到ARP表項(xiàng)后,會(huì)在硬件 中保存與該ARP表項(xiàng)對(duì)應(yīng)的ARP感知表項(xiàng),并將該ARP感知表項(xiàng)索引保 存到學(xué)習(xí)到的ARP表項(xiàng)中。
當(dāng)對(duì)業(yè)務(wù)流的首包進(jìn)行了軟件中的安全業(yè)務(wù)表項(xiàng)、FIB表項(xiàng)和ARP表 項(xiàng)查找后,根據(jù)查找結(jié)果在硬件中所保存的Session表項(xiàng)的結(jié)構(gòu)如下
Session表項(xiàng)五元組信息、安全業(yè)務(wù)信息、ARP感知表項(xiàng)索引、有效 標(biāo)志位。
這樣,當(dāng)收到該業(yè)務(wù)流的后續(xù)包后,就可根據(jù)該包的五元組信息在硬件 中查找到上述Session表項(xiàng),然后根據(jù)該Session表項(xiàng)中的安全業(yè)務(wù)信息執(zhí)行 相應(yīng)的安全業(yè)務(wù)處理,根據(jù)該Session表項(xiàng)中的ARP感知表項(xiàng)索引查找到硬 件中的ARP感知表項(xiàng),從而將該報(bào)文轉(zhuǎn)發(fā)出去??梢钥闯?,對(duì)后續(xù)包的安 全業(yè)務(wù)處理和轉(zhuǎn)發(fā)處理都是在硬件中進(jìn)行的,大大提高了后續(xù)包的安全業(yè)務(wù) 處理效率和轉(zhuǎn)發(fā)效率。
圖4為本發(fā)明實(shí)施例一提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)系統(tǒng)組成圖,如圖 4所示,其主要包括安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊401、 FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊 402、 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊403、 Session表項(xiàng)存儲(chǔ)模塊404、包接收模塊
405、 Session表項(xiàng)查找模塊406、 Session表項(xiàng)建立更新模塊407、安全業(yè)務(wù) 處理模塊408、轉(zhuǎn)發(fā)模塊409、 FIB和Session表項(xiàng)關(guān)聯(lián)模塊410和FIB表項(xiàng) 更新模塊411,其中
安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊401:保存由五元組信息和/或轉(zhuǎn)發(fā)表項(xiàng)信息與安 全業(yè)務(wù)信息組成的各安全業(yè)務(wù)表項(xiàng)。
IB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊402:學(xué)習(xí)到FIB表項(xiàng),保存該FIB表項(xiàng)。 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊403:學(xué)習(xí)并保存ARP表項(xiàng)。 Session表項(xiàng)存儲(chǔ)模塊404:保存由五元組信息、安全業(yè)務(wù)信息、ARP 感知表項(xiàng)索引、有效標(biāo)志位組成的各Session表項(xiàng)。
包接收模塊405:用于接收包,將該包發(fā)送給安全業(yè)務(wù)處理模塊408和 Session表項(xiàng)查找模塊406。
Session表項(xiàng)查找模塊406:接收包接收模塊405發(fā)來的包,在Session 表項(xiàng)存儲(chǔ)模塊404中查找與該包攜帶的五元組信息對(duì)應(yīng)的Session表項(xiàng),若 查找到,判斷該Session表項(xiàng)中的有效標(biāo)志位是否指示有效,若指示有效, 則將該Session表項(xiàng)中的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊408,根據(jù) 該Session表項(xiàng)中的ARP表項(xiàng)索引在ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊403中查找到 ARP表項(xiàng),將該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊409;若指示無效,將該包和該 Session表項(xiàng)索S1攜帶在更新指示中發(fā)送給Session表項(xiàng)建立更新模塊407; 若未查找到,則將該包攜帶在建立指示中發(fā)送給Session表項(xiàng)建立更新模塊 407。
Session表項(xiàng)建立更新模塊407:接收到Session表項(xiàng)查找模塊406發(fā)來 的攜帶包的建立指示后,在安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊401中查找與該包攜帶的 信息如五元組信息對(duì)應(yīng)的安全業(yè)務(wù)信息,將查找到的安全業(yè)務(wù)信息發(fā)送給 安全業(yè)務(wù)處理模塊408,建立新的Session表項(xiàng),該Session表項(xiàng)包括所述 五元組信息和查找到的安全業(yè)務(wù)信息;在FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊402中查找 與該包攜帶的目的IP地址對(duì)應(yīng)的FIB表項(xiàng),將該FIB表項(xiàng)的索引與所建立 的Session表項(xiàng)的索引的對(duì)應(yīng)關(guān)系保存在FIB和Session表項(xiàng)關(guān)聯(lián)模塊410
中,在ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊403中查找與該FIB表項(xiàng)最匹配的ARP表項(xiàng), 將該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊409,并將該ARP表項(xiàng)中的ARP感知表項(xiàng)索 引添加到新建立的Session表項(xiàng)中,然后在安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊401中查 找與所述查找到的FIB表項(xiàng)中的三層出接口信息對(duì)應(yīng)的安全業(yè)務(wù)信息,若查 找到,將該安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊408,并將該安全業(yè)務(wù)信 息添加到新建立的Session表項(xiàng)中,將該Session表項(xiàng)保存到Session表項(xiàng)存 儲(chǔ)模塊404中。接收到Session表項(xiàng)查找模塊406發(fā)來的攜帶包和Session 表項(xiàng)索引的更新指示后,在安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊401中查找與該包攜帶的 信息如五元組信息對(duì)應(yīng)的安全業(yè)務(wù)信息,將查找到的安全業(yè)務(wù)信息發(fā)送給 安全業(yè)務(wù)處理模塊408,根據(jù)該Session表項(xiàng)索引在Session表項(xiàng)存儲(chǔ)模塊404 中查找到Session表項(xiàng),以查找到的安全業(yè)務(wù)信息替換該Session表項(xiàng)中的安 全業(yè)務(wù)信息;在FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊402中查找與該包攜帶的目的IP地 址對(duì)應(yīng)的FIB表項(xiàng),在ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊403中查找與該FIB表項(xiàng)最 匹配的ARP表項(xiàng),將該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊409,以該ARP表項(xiàng)中的 ARP感知表項(xiàng)索引替換該Session表項(xiàng)中的ARP感知表項(xiàng)索引,并在安全業(yè) 務(wù)表項(xiàng)存儲(chǔ)模塊401中查找與所述查找到的FIB表項(xiàng)中的三層出接口信息對(duì) 應(yīng)的安全業(yè)務(wù)信息,若查找到,將該安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊 408,并將該安全業(yè)務(wù)信息添加到該Session表項(xiàng)中。
安全業(yè)務(wù)處理模塊408:接收包接收模塊405發(fā)來的包,接收Session 表項(xiàng)查找一莫塊406或Session表項(xiàng)建立更新模塊407發(fā)來的安全業(yè)務(wù)信息, 根據(jù)該安全業(yè)務(wù)信息對(duì)該包進(jìn)行相應(yīng)的安全業(yè)務(wù)處理,處理完畢,將該包發(fā) 送給轉(zhuǎn)發(fā)4莫塊409。
轉(zhuǎn)發(fā)模塊409:接收安全業(yè)務(wù)處理模塊408發(fā)來的經(jīng)安全業(yè)務(wù)處理的包, 接收Session表項(xiàng)查找模塊406或Session表項(xiàng)建立更新模塊407發(fā)來的ARP 表項(xiàng),根據(jù)該ARP表項(xiàng),將該包發(fā)送出去。
FIB和Session表項(xiàng)關(guān)聯(lián)模塊410:保存FIB表項(xiàng)索引和Session表項(xiàng)索 引的對(duì)應(yīng)關(guān)系。
FIB表項(xiàng)更新模塊411:用于更新FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊402中的FIB 表項(xiàng),且在更新FIB表項(xiàng)時(shí),在FIB和Session表項(xiàng)關(guān)聯(lián)才莫塊410中查找到 與該FIB表項(xiàng)索引對(duì)應(yīng)的Session表項(xiàng)索引,根據(jù)該Session表項(xiàng)索引在 Session表項(xiàng)存儲(chǔ)模塊404中查找到Session表項(xiàng),將該Session表項(xiàng)的有效 標(biāo)志位設(shè)置為指示無效。
在實(shí)際應(yīng)用中,可將安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊401、 FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模 塊402、 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊403、 Session表項(xiàng)存儲(chǔ)模塊404、 Session 表項(xiàng)查找模塊406和Session表項(xiàng)建立更新模塊407統(tǒng)稱為業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)模 塊。
在圖4所示實(shí)施例中,安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊401、 FIB表項(xiàng)學(xué)習(xí)存儲(chǔ) 模塊402、 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊403、 Session表項(xiàng)存儲(chǔ)模塊404都位于軟 件單元中。
圖5為本發(fā)明實(shí)施例二提供的基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)系統(tǒng)組成圖,如圖 5所示,其主要包括安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊501、 FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊 502、 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊503、 ARP感知表項(xiàng)存儲(chǔ)模塊504、 Session表 項(xiàng)存儲(chǔ)模塊505、包接收模塊506、 Session表項(xiàng)查找模塊507、 Session表項(xiàng) 建立更新模塊508、安全業(yè)務(wù)處理模塊509、轉(zhuǎn)發(fā)模塊510、 FIB和Session 表項(xiàng)關(guān)聯(lián)模塊511和FIB表項(xiàng)更新模塊512,其中
安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊501:保存由五元組信息和/或轉(zhuǎn)發(fā)表項(xiàng)信息與安 全業(yè)務(wù)信息組成的各安全業(yè)務(wù)表項(xiàng)。
FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊502:學(xué)習(xí)到FIB表項(xiàng),保存該FIB表項(xiàng)。
ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊503:學(xué)習(xí)并保存ARP表項(xiàng),同時(shí)在ARP感知 表項(xiàng)存儲(chǔ)才莫塊504中建立ARP感知表項(xiàng),該ARP感知表項(xiàng)的內(nèi)容與學(xué)習(xí)到 的ARP表項(xiàng)的內(nèi)容相同,將該ARP感知表項(xiàng)的索引添加到學(xué)習(xí)到的ARP 表項(xiàng)中。
ARP感知表項(xiàng)存儲(chǔ)模塊504:存儲(chǔ)ARP感知表項(xiàng)。
Session表項(xiàng)存儲(chǔ)模塊505:保存由五元組信息、安全業(yè)務(wù)信息、ARP
感知表項(xiàng)索引、有效標(biāo)志位組成的各Session表項(xiàng)。
包接收模塊506:用于接收包,將該包發(fā)送給安全業(yè)務(wù)處理模塊509和 Session表項(xiàng)查找模塊507。
Session表項(xiàng)查找模塊507:接收包接收模塊506發(fā)來的包,在Session 表項(xiàng)存儲(chǔ)模塊505中查找與該包攜帶的信息如五元組信息對(duì)應(yīng)的Session 表項(xiàng),若查找到,判斷該Session表項(xiàng)中的有效標(biāo)志位是否指示有效,若指 示有效,則將該Session表項(xiàng)中的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊 509,將該Session表項(xiàng)中的ARP感知表項(xiàng)索引發(fā)送給轉(zhuǎn)發(fā)模塊510;若指 示無效,將該包和該Session表項(xiàng)索引攜帶在更新指示中發(fā)送給Session表項(xiàng) 建立更新模塊508;若未查找到,則將該包攜帶在建立指示中發(fā)送給Session 表項(xiàng)建立更新模塊508。
Session表項(xiàng)建立更新模塊508:接收Session表項(xiàng)查找模塊507發(fā)來的 攜帶包的建立指示,在安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊501中查找與該包攜帶的信息 如五元組信息對(duì)應(yīng)的安全業(yè)務(wù)信息,將查找到的安全業(yè)務(wù)信息發(fā)送給安全 業(yè)務(wù)處理模塊509,建立新的Session表項(xiàng),該Session表項(xiàng)包括所述五元 組信息和查找到的安全業(yè)務(wù)信息;在FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊502中查找與該 包攜帶的目的IP地址對(duì)應(yīng)的FIB表項(xiàng),將該FIB表項(xiàng)的索引與所建立的 Session表項(xiàng)的索引的對(duì)應(yīng)關(guān)系保存在FIB和Session表項(xiàng)關(guān)聯(lián)模塊511中, 在ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊503中查找與該FIB表項(xiàng)最匹配的ARP表項(xiàng),將 該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊510,并將該ARP表項(xiàng)中的ARP感知表項(xiàng)索引 添加到新建立的Session表項(xiàng)中,并在安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊501中查找與 所述查找到的FIB表項(xiàng)中的三層出接口信息對(duì)應(yīng)的安全業(yè)務(wù)信息,若查找 到,將該安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊509,并將該安全業(yè)務(wù)信息 添加到新建立的Session表項(xiàng)中,將該Session表項(xiàng)保存到Session表項(xiàng)存^f諸 模塊505中。接收Session表項(xiàng)查找模塊507發(fā)來的攜帶包和Session表項(xiàng)索 引的更新指示,在安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊501中查找與該包攜帶的信息如 五元組信息對(duì)應(yīng)的安全業(yè)務(wù)信息,將查找到的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)
處理模塊509,根據(jù)該Session表項(xiàng)索引在Session表項(xiàng)存儲(chǔ)模塊505中查找 到Session表項(xiàng),以查找到的安全業(yè)務(wù)信息替換該Session表項(xiàng)中的安全業(yè)務(wù) 信息;在FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊502中查找與該包攜帶的目的IP地址對(duì)應(yīng) 的FIB表項(xiàng),在ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊503中查找與該FIB表項(xiàng)最匹配的 ARP表項(xiàng),將該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊510,并以該ARP表項(xiàng)中的ARP 感知表項(xiàng)索引替換所查找到的Session表項(xiàng)中的ARP感知表項(xiàng)索引,并在安 全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊501中查找與所述查找到的FIB表項(xiàng)中的三層出接口信 息對(duì)應(yīng)的安全業(yè)務(wù)信息,若查找到,將該安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理 模塊509,并將該安全業(yè)務(wù)信息添加到所查找到的Session表項(xiàng)中。
安全業(yè)務(wù)處理模塊509:接收包接收模塊506發(fā)來的包,接收Session 表項(xiàng)查找模塊507或Session表項(xiàng)建立更新模塊508發(fā)來的安全業(yè)務(wù)信息, 根據(jù)該安全業(yè)務(wù)信息對(duì)該包進(jìn)行相應(yīng)的安全業(yè)務(wù)處理,處理完畢,將該包發(fā) 送給轉(zhuǎn)發(fā)模塊510。
轉(zhuǎn)發(fā)模塊510:接收安全業(yè)務(wù)處理模塊509發(fā)來的經(jīng)安全業(yè)務(wù)處理的包, 接收Session表項(xiàng)查找模塊507發(fā)來的ARP感知表項(xiàng)索引,在ARP感知表 項(xiàng)存儲(chǔ)模塊504中查找該ARP感知表項(xiàng)索引指向的ARP感知表項(xiàng),根據(jù)該 ARP感知表項(xiàng),將該包發(fā)送出去;接收Session表項(xiàng)建立更新模塊508發(fā)來 的ARP表項(xiàng),根據(jù)該ARP表項(xiàng),將包發(fā)送出去。
FIB和Session表項(xiàng)關(guān)聯(lián)模塊511:保存FIB表項(xiàng)索引和Session表項(xiàng)索 引的對(duì)應(yīng)關(guān)系。
FIB表項(xiàng)更新模塊512,用于更新FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊502中的FIB 表項(xiàng),且在更新FIB表項(xiàng)時(shí),在FIB和Session表項(xiàng)關(guān)聯(lián)模塊511中查找到 與該FIB表項(xiàng)索引對(duì)應(yīng)的Session表項(xiàng)索引,根據(jù)該Session表項(xiàng)索引在 Session表項(xiàng)存儲(chǔ)才莫塊505中查找到Session表項(xiàng),將該Session表項(xiàng)的有效 標(biāo)志位設(shè)置為指示無效。
在實(shí)際應(yīng)用中,可將安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊501、 FIB表項(xiàng)學(xué)習(xí)存儲(chǔ)模 塊502、 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊503、 ARP感知表項(xiàng)存儲(chǔ)模塊504、 Session
表項(xiàng)存儲(chǔ)模塊505、 Session表項(xiàng)查找模塊507和Session表項(xiàng)建立更新模塊 508統(tǒng)稱為業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)模塊。
在圖5所示實(shí)施例中,安全業(yè)務(wù)表項(xiàng)存儲(chǔ)模塊501、 FIB表項(xiàng)學(xué)習(xí)存儲(chǔ) 模塊502、 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊503為采用現(xiàn)有技術(shù)構(gòu)造的模塊,保存在 軟件中。而ARP感知表項(xiàng)存儲(chǔ)模塊504、 Session表項(xiàng)存儲(chǔ)模塊505為本發(fā) 明實(shí)施例構(gòu)造的模塊,保存在硬件中,如TCAM中,以加快安全設(shè)備對(duì) Session表項(xiàng)、ARP感知表項(xiàng)的訪問速度,從而提高基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā) 效率。
以上所述僅為本發(fā)明的過程及方法實(shí)施例,并不用以限制本發(fā)明,凡在 本發(fā)明的精神和原則之內(nèi)所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在 本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1、一種基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)方法,其特征在于,包括接收業(yè)務(wù)流的首包,獲取與該首包對(duì)應(yīng)的安全業(yè)務(wù)信息和地址解析協(xié)議ARP表項(xiàng),建立首包攜帶的業(yè)務(wù)流包的屬性信息與安全業(yè)務(wù)信息、ARP表項(xiàng)信息的關(guān)聯(lián)關(guān)系;接收業(yè)務(wù)流的后續(xù)包,根據(jù)后續(xù)包攜帶的業(yè)務(wù)流包屬性信息及所述關(guān)聯(lián)關(guān)系,查找到安全業(yè)務(wù)信息和ARP表項(xiàng)信息,根據(jù)安全業(yè)務(wù)信息對(duì)后續(xù)包執(zhí)行安全業(yè)務(wù)處理,根據(jù)ARP表項(xiàng)信息將后續(xù)包轉(zhuǎn)發(fā)出去。
2、 如權(quán)利要求l所述的方法,其特征在于,所述關(guān)聯(lián)關(guān)系保存在軟件單元中。
3、 如權(quán)利要求2所述的方法,其特征在于,所述建立關(guān)聯(lián)關(guān)系包括建立 業(yè)務(wù)流包的屬性信息、安全業(yè)務(wù)信息及ARP表項(xiàng)的索引之間的關(guān)聯(lián)關(guān)系。
4、 如權(quán)利要求3所述的方法,其特征在于,當(dāng)接收到后續(xù)包時(shí),所述查找 包括在所有關(guān)聯(lián)關(guān)系中,查找與后續(xù)包攜帶的業(yè)務(wù)流包的屬性信息對(duì)應(yīng)的關(guān) 聯(lián)關(guān)系,該關(guān)聯(lián)關(guān)系中的安全業(yè)務(wù)信息即為查找到的安全業(yè)務(wù)信息,根據(jù)該關(guān) 聯(lián)關(guān)系中的ARP表項(xiàng)索引查找到ARP表項(xiàng)。
5、 如權(quán)利要求3所述的方法,其特征在于,所述接收業(yè)務(wù)流的首包之前進(jìn) 一步包括在軟件單元中學(xué)習(xí)轉(zhuǎn)發(fā)信息庫FIB表項(xiàng);當(dāng)接收到業(yè)務(wù)流的首包時(shí),所述獲取ARP表項(xiàng)包括查找與該首包對(duì)應(yīng)的 FIB表項(xiàng),再查找與該FIB表項(xiàng)最匹配的ARP表項(xiàng),且,所述建立關(guān)聯(lián)關(guān)系進(jìn)一步包括為該關(guān)聯(lián)關(guān)系設(shè)置指示有效的有效標(biāo) 志位,并建立FIB表項(xiàng)的索引與該關(guān)聯(lián)關(guān)系的索引的對(duì)應(yīng)關(guān)系,且,當(dāng)更新FIB表項(xiàng)時(shí),根據(jù)該FIB表項(xiàng)索引在所述對(duì)應(yīng)關(guān)系中查找到關(guān) 聯(lián)關(guān)系索引,將該關(guān)聯(lián)關(guān)系索引指向的關(guān)聯(lián)關(guān)系中的有效標(biāo)志位設(shè)置為無效。
6、 如權(quán)利要求5所述的方法,其特征在于,當(dāng)接收到后續(xù)包時(shí),所述查找 到關(guān)聯(lián)關(guān)系進(jìn)一步包括判斷該關(guān)聯(lián)關(guān)系中的有效標(biāo)志位是否指示有效,若是, 根據(jù)該關(guān)聯(lián)關(guān)系中的安全業(yè)務(wù)信息進(jìn)行安全處理;否則,在軟件單元中重新查 找與該后續(xù)包對(duì)應(yīng)的安全業(yè)務(wù)信息和ARP表項(xiàng),以查找到的安全業(yè)務(wù)信息替換 該關(guān)聯(lián)關(guān)系中的安全業(yè)務(wù)信息,以查找到的ARP表項(xiàng)的索引替換該關(guān)聯(lián)關(guān)系中 的ARP表項(xiàng)索引。
7、 如權(quán)利要求l所述的方法,其特征在于,所述關(guān)聯(lián)關(guān)系保存在硬件單元中。
8、 如權(quán)利要求7所述的方法,其特征在于,所述接收業(yè)務(wù)流的首包之前進(jìn) 一步包括在軟件單元中學(xué)習(xí)ARP表項(xiàng),在硬件單元中保存內(nèi)容與該ARP表 項(xiàng)相同的ARP感知表項(xiàng),所述建立關(guān)聯(lián)關(guān)系為建立業(yè)務(wù)流包的屬性信息、安全業(yè)務(wù)信息及所述獲 取到的ARP表項(xiàng)中的ARP感知表項(xiàng)的索引之間的關(guān)聯(lián)關(guān)系,將該關(guān)聯(lián)關(guān)系保 存到硬件單元中。
9、 如權(quán)利要求8所述的方法,其特征在于,當(dāng)接收到后續(xù)包時(shí),所述查找 包括在硬件單元中的所有關(guān)聯(lián)關(guān)系中,查找與該后續(xù)包攜帶的業(yè)務(wù)流包的屬 性信息對(duì)應(yīng)的關(guān)聯(lián)關(guān)系,該關(guān)聯(lián)關(guān)系中的安全業(yè)務(wù)信息即為查找到的安全業(yè)務(wù) 信息,根據(jù)該關(guān)聯(lián)關(guān)系中的ARP感知表項(xiàng)索引在硬件單元中查找到ARP感知 表項(xiàng),該ARP感知表項(xiàng)即為查找到的ARP表項(xiàng)信息。
10、 如權(quán)利要求8所述的方法,其特征在于,所述建立ARP感知表項(xiàng)之后 進(jìn)一步包括在ARP表項(xiàng)中記錄該ARP感知表項(xiàng)的索引,所述接收業(yè)務(wù)流的首包之前進(jìn)一步包括在軟件單元中學(xué)習(xí)FIB表項(xiàng);當(dāng)接收到業(yè)務(wù)流的首包時(shí),所述查找ARP表項(xiàng)包括查找與該首包對(duì)應(yīng)的 FIB表項(xiàng),再查找與該FIB表項(xiàng)最匹配的ARP表項(xiàng),且,所述建立關(guān)聯(lián)關(guān)系進(jìn)一步包括為該關(guān)聯(lián)關(guān)系設(shè)置指示有效的有效標(biāo) 志位,并建立FIB表項(xiàng)的索引與該關(guān)聯(lián)關(guān)系的索引的對(duì)應(yīng)關(guān)系,且,當(dāng)更新FIB表項(xiàng)時(shí),根據(jù)該FIB表項(xiàng)索引在所ii^"應(yīng)關(guān)系中查找到關(guān) 聯(lián)關(guān)系索引,將該關(guān)聯(lián)關(guān)系索引指向的關(guān)聯(lián)關(guān)系中的有效標(biāo)志位設(shè)置為無效。
11、 如權(quán)利要求IO所述的方法,其特征在于,當(dāng)接收到后續(xù)包時(shí),所述查 找到關(guān)聯(lián)關(guān)系進(jìn)一步包括判斷該關(guān)聯(lián)關(guān)系中的有效標(biāo)志位是否指示有效,若 是,根據(jù)該關(guān)聯(lián)關(guān)系中的安全業(yè)務(wù)信息進(jìn)行安全處理;否則,在軟件單元中重 新查找與該后續(xù)包對(duì)應(yīng)的安全業(yè)務(wù)信息和ARP表項(xiàng),以查找到的安全業(yè)務(wù)信息 替換該關(guān)聯(lián)關(guān)系中的安全業(yè)務(wù)信息,以查找到的ARP表項(xiàng)中的ARP感知表項(xiàng) 索51替換該關(guān)聯(lián)關(guān)系中的ARP感知表項(xiàng)索引。
12、 如權(quán)利要求l所述的方法,其特征在于,所述業(yè)務(wù)流包的屬性信息為 五元組信息。
13、 一種基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)系統(tǒng),其特征在于,包括 業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)模塊,接收業(yè)務(wù)流的首包,建立首包攜帶的業(yè)務(wù)流包的屬性信息與首包對(duì)應(yīng)的安全業(yè)務(wù)信息、首包對(duì)應(yīng)的ARP表項(xiàng)信息之間的關(guān)聯(lián)關(guān)系; 接收業(yè)務(wù)流的后續(xù)包,根據(jù)該后續(xù)包攜帶的業(yè)務(wù)流包的屬性信息以及所述關(guān)聯(lián) 關(guān)系,查找到安全業(yè)務(wù)信息和ARP表項(xiàng)信息;將查找到的安全業(yè)務(wù)信息發(fā)送給 安全業(yè)務(wù)處理模塊,將查找到的ARP表項(xiàng)信息發(fā)送給轉(zhuǎn)發(fā)模塊;安全業(yè)務(wù)處理模塊,根據(jù)接收到的安全業(yè)務(wù)信息對(duì)接收到的業(yè)務(wù)流包執(zhí)行 安全業(yè)務(wù)處理,執(zhí)行完畢,將業(yè)務(wù)流包發(fā)送給轉(zhuǎn)發(fā)模塊;轉(zhuǎn)發(fā)模塊,根據(jù)接收到的ARP表項(xiàng)信息將接收到的業(yè)務(wù)流包轉(zhuǎn)發(fā)出去。
14、 如權(quán)利要求12所述的系統(tǒng),其特征在于,所述業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)模塊包括 Session表項(xiàng)存儲(chǔ)模塊,保存由業(yè)務(wù)流包的屬性信息、安全業(yè)務(wù)信息、ARP表項(xiàng)索引組成的各Session表項(xiàng);Session表項(xiàng)查找模塊,接收業(yè)務(wù)流包,在Session表項(xiàng)存儲(chǔ)模塊中查找 與業(yè)務(wù)流包的屬性信息對(duì)應(yīng)的Session表項(xiàng),若查找到,將Session表項(xiàng)中的 安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊,將Session表項(xiàng)中的ARP表項(xiàng)索引 發(fā)送給轉(zhuǎn)發(fā)模塊;否則,將業(yè)務(wù)流包發(fā)送給Session表項(xiàng)建立更新模塊;Session表項(xiàng)建立更新模塊,接收業(yè)務(wù)流包,將業(yè)務(wù)流包對(duì)應(yīng)的安全業(yè)務(wù) 信息發(fā)送給安全業(yè)務(wù)處理模塊,建立包括業(yè)務(wù)流包的屬性信息和所述安全業(yè) 務(wù)信息的Session表項(xiàng),查找與業(yè)務(wù)流包對(duì)應(yīng)的ARP表項(xiàng),將該ARP表項(xiàng) 發(fā)送給轉(zhuǎn)發(fā)模塊,并將查找到的ARP表項(xiàng)的索引添加到建立的Session表項(xiàng)中,將Session表項(xiàng)保存到Session表項(xiàng)存儲(chǔ)才莫塊。
15、 如權(quán)利要求14所述的系統(tǒng),其特征在于,該系統(tǒng)進(jìn)一步包括FIB 和Session表項(xiàng)關(guān)聯(lián)模塊、FIB表項(xiàng)更新模塊,其中FIB和Session表項(xiàng)關(guān)聯(lián)模塊,保存FIB表項(xiàng)索引和Session表項(xiàng)索引的 對(duì)應(yīng)關(guān)系;且,所述Session表項(xiàng)建立更新模塊進(jìn)一步,為建立的Session表項(xiàng)設(shè) 置指示有效的有效標(biāo)志位,并將業(yè)務(wù)流包對(duì)應(yīng)的FIB表項(xiàng)的索引和所建立的 Session表項(xiàng)的索引的對(duì)應(yīng)關(guān)系保存在FIB和Session表項(xiàng)關(guān)聯(lián)模塊中,F(xiàn)IB表項(xiàng)更新模塊,當(dāng)更新FIB表項(xiàng)時(shí),在FIB和Session表項(xiàng)關(guān)聯(lián)模 塊中查找到與該FIB表項(xiàng)索引對(duì)應(yīng)的Session表項(xiàng)索引,根據(jù)該Session表 項(xiàng)索引在Session表項(xiàng)存儲(chǔ)模塊中查找到Session表項(xiàng),將Session表項(xiàng)中的 有步爻標(biāo)志j立^殳置為無戔文。
16、 如權(quán)利要求15所述的系統(tǒng),其特征在于,所述Session表項(xiàng)查找模 塊在Session表項(xiàng)存儲(chǔ)模塊中查找到Session表項(xiàng)后,判斷該Session表項(xiàng)中 的有效標(biāo)志位是否指示有效,若指示無效,則將業(yè)務(wù)流包和該Session表項(xiàng) 的索引發(fā)送給Session表項(xiàng)建立更新模塊,所述Session表項(xiàng)建立更新模塊接收到業(yè)務(wù)流包和Session表項(xiàng)索引后, 將與該業(yè)務(wù)流包對(duì)應(yīng)的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊,根據(jù)該 Session表項(xiàng)索引在Session表項(xiàng)存儲(chǔ)模塊中查找到Session表項(xiàng),以查找到 的安全業(yè)務(wù)信息替換該Session表項(xiàng)中的安全業(yè)務(wù)信息;查找與業(yè)務(wù)流包對(duì) 應(yīng)的ARP表項(xiàng),將該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊,以該ARP表項(xiàng)的索引替 換該Session表項(xiàng)中的ARP表項(xiàng)索引。
17、 如權(quán)利要求14至16中任一項(xiàng)所述的系統(tǒng),其特征在于,所述Session 表項(xiàng)存儲(chǔ)模塊位于軟件單元中。
18、 如權(quán)利要求13所述的系統(tǒng),其特征在于,所述業(yè)務(wù)轉(zhuǎn)發(fā)關(guān)聯(lián)模塊包括 ARP表項(xiàng)學(xué)習(xí)存儲(chǔ)模塊,學(xué)習(xí)ARP表項(xiàng),將ARP感知表項(xiàng)存儲(chǔ)模塊中與ARP表項(xiàng)內(nèi)容相同的ARP感知表項(xiàng)的索引添加到ARP表項(xiàng)中;ARP感知表項(xiàng)存儲(chǔ)模塊,保存與軟件單元中的ARP表項(xiàng)內(nèi)容相同的 ARP感知表項(xiàng);Session表項(xiàng)存儲(chǔ)模塊,保存由業(yè)務(wù)流包的屬性信息、安全業(yè)務(wù)信息、 ARP感知表項(xiàng)索引組成的各Session表項(xiàng);Session表項(xiàng)查找模塊,接收業(yè)務(wù)流包,在Session表項(xiàng)存儲(chǔ)模塊中查找 與業(yè)務(wù)流包的屬性信息對(duì)應(yīng)的Session表項(xiàng),若查找到,將Session表項(xiàng)中的 安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊,將Session表項(xiàng)中的ARP感知表項(xiàng) 索引發(fā)送給轉(zhuǎn)發(fā)模塊;否則,將業(yè)務(wù)流包發(fā)送給Session表項(xiàng)建立更新模塊;Session表項(xiàng)建立更新才莫塊,接收業(yè)務(wù)流包,將與業(yè)務(wù)流包對(duì)應(yīng)的安全 業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊,建立包括業(yè)務(wù)流包的屬性信息和所述安 全業(yè)務(wù)信息的Session表項(xiàng);查找與業(yè)務(wù)流包對(duì)應(yīng)的ARP表項(xiàng),將該ARP 表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊,并將ARP表項(xiàng)中的ARP感知表項(xiàng)索引添加到建立的 Session表項(xiàng)中,將Session表項(xiàng)保存到Session表項(xiàng)存儲(chǔ)模塊。
19、 如權(quán)利要求18所述的系統(tǒng),其特征在于,該系統(tǒng)進(jìn)一步包括FIB 和Session表項(xiàng)關(guān)聯(lián)模塊、FIB表項(xiàng)更新模塊,其中FIB和Session表項(xiàng)關(guān)聯(lián)模塊,保存FIB表項(xiàng)索引和Session表項(xiàng)索引的 對(duì)應(yīng)關(guān)系;且,所述Session表項(xiàng)建立更新模塊進(jìn)一步,為建立的Session表項(xiàng)設(shè) 置指示有效的有效標(biāo)志位,將業(yè)務(wù)流包對(duì)應(yīng)的FIB表項(xiàng)的索引和建立的 Session表項(xiàng)的索引的對(duì)應(yīng)關(guān)系保存在FIB和Session表項(xiàng)關(guān)聯(lián)模塊中,F(xiàn)IB表項(xiàng)更新模塊,當(dāng)更新FIB表項(xiàng)時(shí),在FIB和Session表項(xiàng)關(guān)聯(lián)模 塊中查找到與該FIB表項(xiàng)索引對(duì)應(yīng)的Session表項(xiàng)索引,根據(jù)該Session表 項(xiàng)索引在Session表項(xiàng)存儲(chǔ)模塊中查找到Session表項(xiàng),將Session表項(xiàng)中的 有效標(biāo)志位設(shè)置為無效。
20、 如權(quán)利要求19所述的系統(tǒng),其特征在于,所述Session表項(xiàng)查找模 塊在Session表項(xiàng)存儲(chǔ)模塊中查找到Session表項(xiàng)后,判斷該Session表項(xiàng)中 的有效標(biāo)志位是否指示有效,若指示無效,將業(yè)務(wù)流包和Session表項(xiàng)索引 發(fā)送給Session表項(xiàng)建立更新才莫塊,所述Session表項(xiàng)建立更新模塊接收到業(yè)務(wù)流包和Session表項(xiàng)索引后, 將與業(yè)務(wù)流包對(duì)應(yīng)的安全業(yè)務(wù)信息發(fā)送給安全業(yè)務(wù)處理模塊,根據(jù)該 Session表項(xiàng)索引在Session表項(xiàng)存儲(chǔ)模塊中查找到Session表項(xiàng),以所述安 全業(yè)務(wù)信息替換該Session表項(xiàng)中的安全業(yè)務(wù)信息;查找與業(yè)務(wù)流包對(duì)應(yīng)的 ARP表項(xiàng),將該ARP表項(xiàng)發(fā)送給轉(zhuǎn)發(fā)模塊,并以該ARP表項(xiàng)中的ARP感 知表項(xiàng)索引替換所查找到的Session表項(xiàng)中的ARP感知表項(xiàng)索引。
21、如權(quán)利要求18至20中任一項(xiàng)所述的系統(tǒng),其特征在于,所述ARP 感知表項(xiàng)存儲(chǔ)模塊、Session表項(xiàng)存儲(chǔ)模塊位于硬件單元中。
全文摘要
本發(fā)明公開了基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)方法及系統(tǒng)。接收業(yè)務(wù)流的首包,獲取與該首包對(duì)應(yīng)的安全業(yè)務(wù)信息和ARP表項(xiàng),建立首包攜帶的業(yè)務(wù)流包的屬性信息與安全業(yè)務(wù)信息、ARP表項(xiàng)信息的關(guān)聯(lián)關(guān)系;接收業(yè)務(wù)流的后續(xù)包,根據(jù)后續(xù)包攜帶的業(yè)務(wù)流包屬性信息及所述關(guān)聯(lián)關(guān)系,查找到安全業(yè)務(wù)信息和ARP表項(xiàng)信息,根據(jù)安全業(yè)務(wù)信息對(duì)后續(xù)包執(zhí)行安全業(yè)務(wù)處理,根據(jù)ARP表項(xiàng)信息將后續(xù)包轉(zhuǎn)發(fā)出去。本發(fā)明無需對(duì)每個(gè)包都進(jìn)行安全業(yè)務(wù)表項(xiàng)、FIB表項(xiàng)、ARP表項(xiàng)的查找,大大提高了基于安全業(yè)務(wù)的包轉(zhuǎn)發(fā)效率。
文檔編號(hào)H04L29/06GK101106529SQ200710119880
公開日2008年1月16日 申請(qǐng)日期2007年8月2日 優(yōu)先權(quán)日2007年8月2日
發(fā)明者常向青, 李明玉, 颶 王, 鄒旭東 申請(qǐng)人:杭州華三通信技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1