技术领域
[0001] 本
发明涉及通信技术领域,尤其涉及一种报文传输的方法和业务板。
背景技术
[0002] 分布式
防火墙通过多个业务板并行处理业务,从而提升分布式防火墙的处理性能,并满足用户对于高并发、高新建、高吞吐量的需求。为了充分发挥分布式防火墙的性能,分布式防火墙通常由主控板、
接口板和多个业务板组成。基于此,接口板在接收到报文后,会基于HASH(哈希)
算法均衡的将报文发送给各个业务板。各业务板在接收到报文后,会独立的处理会话建立、报文转发、L2TP(Layer 2 Tunnel Protocol,二层隧道协议)等业务。
[0003] 针对L2TP业务,对于源设备发送给目的设备的报文,目的设备返回给源设备的报文,需要由分布式防火墙的同一个业务板进行处理。但是,接口板在接收到源设备发送给目的设备的报文时,会将报文发送给一个业务板进行处理,而接口板在接收到目的设备返回给源设备的报文时,会将报文发送给另一个业务板进行处理,即无法保证报文被分配给同一个业务板进行处理。
发明内容
[0004] 本发明
实施例提供一种报文传输的方法,所述方法包括以下步骤:
[0005] 第一业务板接收源设备发送给目的设备的第一数据报文;
[0006] 若所述第一数据报文携带隧道封装头,且所述第一业务板中不存在第一地址信息与第一业务板的标识的对应关系且不存在第二地址信息与其它业务板的标识的对应关系,则所述第一业务板对所述第一数据报文进行业务处理;
[0007] 所述第一业务板生成并记录所述第一地址信息与所述第一业务板的标识的对应关系;其中,所述第一地址信息包括的源地址为所述第一数据报文的目的地址,所述第一地址信息包括的目的地址为所述第一数据报文的源地址;所述第二地址信息包括的源地址为所述第一数据报文的源地址,所述第二地址信息包括的目的地址为所述第一数据报文的目的地址;
[0008] 所述第一业务板利用所述第一地址信息确定接收目的设备返回给源设备的第二数据报文的第二业务板,将所述第一地址信息与所述第一业务板的标识的对应关系发送给第二业务板,以使所述第二业务板在接收到源地址和目的地址与所述第一地址信息匹配的第二数据报文时,根据所述第一地址信息对应的第一业务板的标识,将所述第二数据报文发送至第一业务板;
[0009] 所述第一业务板接收第二数据报文,并对第二数据报文进行业务处理。
[0010] 本发明实施例提供一种报文传输的方法,所述方法包括以下步骤:
[0011] 第一业务板接收源设备发送给目的设备的第一数据报文;
[0012] 若所述第一业务板中不存在第一地址信息与第一业务板的标识的对应关系且不存在第二地址信息与其它业务板的标识的对应关系,则所述第一业务板对所述第一数据报文进行业务处理;
[0013] 所述第一业务板生成并记录所述第一地址信息与所述第一业务板的标识的对应关系;其中,所述第一地址信息包括的源地址为所述第一数据报文的目的地址,所述第一地址信息包括的目的地址为所述第一数据报文的源地址;所述第二地址信息包括的源地址为所述第一数据报文的源地址,所述第二地址信息包括的目的地址为所述第一数据报文的目的地址;
[0014] 所述第一业务板利用所述第一地址信息确定接收目的设备返回给源设备的第二数据报文的第二业务板,将所述第一地址信息与所述第一业务板的标识的对应关系发送给第二业务板,以使所述第二业务板在接收到源地址和目的地址与所述第一地址信息匹配的第二数据报文时,根据所述第一地址信息对应的第一业务板的标识,将所述第二数据报文发送至第一业务板;
[0015] 所述第一业务板接收第二数据报文,并对第二数据报文进行业务处理。
[0016] 本发明实施例提供一种业务板,作为第一业务板,所述第一业务板包括:
[0017] 接收模
块,用于接收源设备发送给目的设备的第一数据报文;
[0018] 处理模块,用于若所述第一数据报文携带隧道封装头,且所述第一业务板中不存在第一地址信息与第一业务板的标识的对应关系且不存在第二地址信息与其它业务板的标识的对应关系,则对所述第一数据报文进行业务处理;
[0019] 生成模块,用于生成并记录所述第一地址信息与所述第一业务板的标识的对应关系;其中,所述第一地址信息包括的源地址为所述第一数据报文的目的地址,所述第一地址信息包括的目的地址为所述第一数据报文的源地址;所述第二地址信息包括的源地址为所述第一数据报文的源地址,所述第二地址信息包括的目的地址为所述第一数据报文的目的地址;
[0020] 发送模块,用于利用所述第一地址信息确定接收目的设备返回给源设备的第二数据报文的第二业务板,将所述第一地址信息与所述第一业务板的标识的对应关系发送给第二业务板,以使所述第二业务板在接收到源地址和目的地址与所述第一地址信息匹配的第二数据报文时,根据所述第一地址信息对应的第一业务板的标识,将所述第二数据报文发送至第一业务板;
[0021] 所述接收模块,还用于接收第二数据报文;
[0022] 所述处理模块,还用于对所述第二数据报文进行业务处理。
[0023] 本发明实施例提供一种业务板,作为第一业务板,所述第一业务板包括:
[0024] 接收模块,用于接收源设备发送给目的设备的第一数据报文;
[0025] 处理模块,用于若所述第一业务板中不存在第一地址信息与第一业务板的标识的对应关系且不存在第二地址信息与其它业务板的标识的对应关系,则对所述第一数据报文进行业务处理;
[0026] 生成模块,用于生成并记录所述第一地址信息与所述第一业务板的标识的对应关系;其中,所述第一地址信息包括的源地址为所述第一数据报文的目的地址,所述第一地址信息包括的目的地址为所述第一数据报文的源地址;所述第二地址信息包括的源地址为所述第一数据报文的源地址,所述第二地址信息包括的目的地址为所述第一数据报文的目的地址;
[0027] 发送模块,用于利用所述第一地址信息确定接收目的设备返回给源设备的第二数据报文的第二业务板,将所述第一地址信息与所述第一业务板的标识的对应关系发送给第二业务板,以使所述第二业务板在接收到源地址和目的地址与所述第一地址信息匹配的第二数据报文时,根据所述第一地址信息对应的第一业务板的标识,将所述第二数据报文发送至第一业务板;
[0028] 所述接收模块,还用于接收第二数据报文;
[0029] 所述处理模块,还用于对所述第二数据报文进行业务处理。
[0030] 基于上述技术方案,本发明实施例中,通过在业务板上维护地址信息与业务板标识之间的对应关系,保证源设备发送给目的设备的数据报文,目的设备返回给源设备的数据报文,由分布式防火墙的同一个业务板进行处理。
附图说明
[0031] 图1是本发明实施例中提出的分布式防火墙的组网示意图;
[0032] 图2是本发明实施例一中提供的一种报文传输的方法流程示意图;
[0033] 图3是针对本发明实施例一的具体应用场景示意图;
[0034] 图4是本发明实施例二中提供的一种报文传输的方法流程示意图;
[0035] 图5是针对本发明实施例二的具体应用场景示意图;
[0036] 图6是本发明实施例三中提供的一种业务板的结构示意图;
[0037] 图7是本发明实施例四中提供的一种业务板的结构示意图。
具体实施方式
[0038] 实施例一
[0039] 针对
现有技术中存在的问题,本发明实施例提供一种报文传输的方法,该方法应用于包括多个业务板的网络设备中,如应用于包括多个业务板的分布式防火墙中。如图1所示,为分布式防火墙的组网示意图,分布式防火墙由交换网络、主控板、接口板(一个或多个)和多个业务板组成。其中,主控板用于处理配置和路由等,不参与转发处理。接口板用于接收报文,并基于HASH(哈希)算法均衡的将报文发送给各个业务板。业务板用于独立的处理会话建立、报文转发、L2TP、QoS(服务
质量)等业务。由于分布式防火墙存在多个业务板,各业务板并行处理业务,因此可以提升业务处理性能。
[0040] 对于某些业务(如L2TP业务),源设备发送给目的设备的报文,目的设备返回给源设备的报文,需要由分布式防火墙的同一个业务板进行处理。而且,源设备发送给目的设备的控制报文,源设备发送给目的设备的数据报文需要由分布式防火墙的同一个业务板进行处理;目的设备返回给源设备的控制报文,目的设备返回给源设备的数据报文需要由分布式防火墙的同一个业务板进行处理。基于此,本发明实施例是针对特定业务(如L2TP业务)的业务处理过程,如分布式防火墙中的各业务板用于对L2TP业务进行业务处理。
[0041] 在上述应用场景下,如图2所示,该报文传输的方法具体包括以下步骤:
[0042] 步骤201,第一业务板接收源设备发送给目的设备的第一数据报文。
[0043] 步骤202,若第一数据报文携带隧道封装头,且第一业务板中不存在第一地址信息与第一业务板的标识的对应关系且不存在第二地址信息与其它业务板的标识的对应关系,则第一业务板对第一数据报文进行业务处理。其中,第一地址信息包括的源地址为第一数据报文的目的地址,第一地址信息包括的目的地址为第一数据报文的源地址;第二地址信息包括的源地址为第一数据报文的源地址,第二地址信息包括的目的地址为第一数据报文的目的地址。
[0044] 步骤203,第一业务板生成第一地址信息与第一业务板的标识的对应关系,并记录第一地址信息与第一业务板的标识的对应关系。
[0045] 步骤204,第一业务板利用第一地址信息确定接收目的设备返回给源设备的第二数据报文的第二业务板,并将第一地址信息与第一业务板的标识的对应关系发送给第二业务板。第二业务板记录第一地址信息与第一业务板的标识的对应关系,并在接收到源地址和目的地址与第一地址信息匹配的第二数据报文时,基于第一地址信息与第一业务板的标识的对应关系,根据第一地址信息对应的第一业务板的标识,将第二数据报文发送至第一业务板。
[0046] 步骤205,第一业务板接收第二数据报文(即来自第二业务板的源地址和目的地址与第一地址信息匹配的报文),并对第二数据报文进行业务处理。
[0047] 本发明实施例中,在第一业务板接收源设备发送给目的设备的第一数据报文后,若第一业务板中存在第一地址信息与第一业务板的标识的对应关系或存在第二地址信息与第一业务板的标识的对应关系,则对第一数据报文进行业务处理;若第一业务板中存在第二地址信息与其它业务板的标识的对应关系,则第一业务板将第一数据报文发送给其它业务板的标识对应的其它业务板,以使其它业务板对第一数据报文进行业务处理。
[0048] 本发明实施例中,在第一业务板接收源设备发送给目的设备的第一数据报文之前,第一业务板还接收隧道协商报文,并获得该隧道协商报文对应的隧道信息,并将该隧道信息与第一业务板的标识之间的对应关系广播发送给其它业务板,以使其它业务板记录该隧道信息与第一业务板的标识之间的对应关系。该隧道信息具体包括但不限于该隧道协商报文的源地址和目的地址。
[0049] 基于此,在第一业务板接收源设备发送给目的设备的第一数据报文之后,若第一数据报文没有携带隧道封装头,且第一业务板中不存在第一地址信息与第一业务板的标识的对应关系且不存在第二地址信息与其它业务板的标识的对应关系,则第一业务板利用第一数据报文的目的地址查询路由以确定用于发送第一数据报文的隧道的隧道信息。之后,第一业务板利用该隧道信息查询隧道信息与业务板的标识之间的对应关系;如果隧道信息对应于第一业务板的标识,则第一业务板对第一数据报文进行业务处理;如果隧道信息对应于其它业务板的标识,则第一业务板将第一数据报文发送给其它业务板的标识对应的其它业务板,以使其它业务板对第一数据报文进行业务处理。
[0050] 基于上述技术方案,本发明实施例中,通过在业务板上维护地址信息与业务板标识之间的对应关系,保证源设备发送给目的设备的数据报文,目的设备返回给源设备的数据报文,由分布式防火墙的同一个业务板进行处理。
[0051] 以下结合图3所示的应用场景对本发明实施例的技术方案进行详细说明。
[0052] 当分支内网设备L1b1发起对中心内网设备S1的
访问时,分支设备LAC1在收到来自分支内网设备L1b1的首个数据报文时,由于当前没有针对分支内网设备L1b1的L2TP隧道,因此,分支设备LAC1向分布式防火墙发送L2TP协商报文,以协商分支内网设备L1b1与分布式防火墙之间的L2TP隧道。
[0053] 分布式防火墙的接口板在接收到L2TP协商报文之后,利用L2TP协商报文的源IP地址(即分支设备LAC1的IP地址)、目的IP地址(即分布式防火墙的IP地址)和业务板数量进行HASH处理,假设HASH处理结果为业务板1,则接口板将L2TP协商报文发送给业务板1。
[0054] 业务板1在收到L2TP协商报文后,获得该L2TP协商报文的隧道信息,即L2TP协商报文的源IP地址(即分支设备LAC1的IP地址)和目的IP地址(即分布式防火墙的IP地址)。由于本业务板1中没有记录该L2TP协商报文的隧道信息,因此业务板1启动L2TP隧道协商的过程,并向分支设备LAC1返回L2TP协商响应报文,并在本业务板1中记录L2TP协商报文的隧道信息与业务板1标识之间的对应关系,并将L2TP协商报文的隧道信息与业务板1标识之间的对应关系广播发送给业务板2和业务板3。业务板2在业务板2中记录L2TP协商报文的隧道信息与业务板1标识之间的对应关系,业务板3在业务板3中记录L2TP协商报文的隧道信息与业务板1标识之间的对应关系。
[0055] 在完成L2TP隧道协商之后,分支设备LAC1会将分支内网设备L1b1访问中心内网设备S1的首个数据报文以及后续的数据报文均发送给分布式防火墙,为描述方便本例中将分支内网设备L1b1发送至中心内网设备S1的数据报文称为数据报文1。其中,分支设备LAC1在将该数据报文1发送给分布式防火墙时,会为该数据报文1封装隧道头,该隧道头携带的源IP地址为分支设备LAC1的IP地址,该隧道头携带的目的IP地址为分布式防火墙的IP地址。
[0056] 分布式防火墙的接口板在接收到数据报文1时,利用该数据报文1的隧道头携带的源IP地址、该数据报文1的隧道头携带的目的IP地址和业务板数量进行HASH处理,此时,由于该数据报文1的隧道头携带的源IP地址、目的IP地址与L2TP协商报文的源IP地址、目的IP地址相同,因此HASH处理结果为业务板1,则接口板会将数据报文1发送给业务板1。
[0057] 业务板1在接收到分支内网设备L1b1访问中心内网设备S1的首个数据报文1之后,由于该数据报文1携带隧道封装头,且业务板1中不存在数据报文1对应的第一地址信息(数据报文1对应的第一地址信息包括:源地址和目的地址,其中,该源地址为数据报文的目的地址,该目的地址为数据报文的源地址)与业务板1的标识的对应关系,且不存在数据报文1对应的第二地址信息(数据报文1对应的第二地址信息包括:源地址和目的地址,其中,该源地址为数据报文的源地址,该目的地址为数据报文的目的地址)与其它业务板的标识的对应关系,则业务板1对该数据报文1进行业务处理,生成数据报文1对应的第一地址信息与业务板1的标识的对应关系,并记录数据报文1对应的第一地址信息与业务板1的标识的对应关系,并利用数据报文1对应的第一地址信息确定接收中心内网设备S1发送至分支内网设备L1b1的数据报文的业务板(假设为业务板3),为描述方便本例中将中心内网设备S1发送至分支内网设备L1b1的数据报文称为数据报文2,并将数据报文1对应的第一地址信息与业务板1的标识的对应关系发送给业务板3。业务板3记录数据报文1对应的第一地址信息与业务板1的标识的对应关系。其中,业务板1在利用数据报文1对应的第一地址信息确定接收数据报文2的业务板(假设为业务板3)时,业务板1利用数据报文1的目的地址(即数据报文2的源地址),数据报文1的源地址(即数据报文2的目的地址)和业务板数量进行HASH处理,此时,HASH处理结果为业务板3。
[0058] 需要注意的是,在进行HASH处理时,针对多个相同的处理对象,当各处理对象的顺序不同时,则HASH处理结果不同。例如,利用处理对象A和处理对象B进行HASH处理的HASH处理结果,与利用处理对象B和处理对象A进行HASH处理的HASH处理结果并不相同。
[0059] 业务板1在接收到分支内网设备L1b1访问中心内网设备S1的后续数据报文1(即首个数据报文后面的数据报文1)之后,由于该数据报文1携带隧道封装头,且业务板1中存在数据报文1对应的第一地址信息与业务板1的标识的对应关系,则业务板1对该数据报文1进行业务处理,将该数据报文1发送给中心内网设备S1。
[0060] 针对中心内网设备S1返回给分支内网设备L1b1的数据报文2,分布式防火墙的接口板在接收到该数据报文2时,利用该数据报文2的源IP地址、目的IP地址和业务板数量进行HASH处理,此时HASH处理结果为业务板3,则接口板会将该数据报文2发送给业务板3。
[0061] 业务板3在接收到数据报文2之后,由于业务板3中存在数据报文2对应的第二地址信息(数据报文2对应的第二地址信息包括源地址和目的地址,其中,该源地址为数据报文2的源地址,该目的地址为数据报文2的目的地址,即数据报文2对应的第二地址信息与数据报文1对应的第一地址信息相同)与业务板1的标识的对应关系,因此,业务板3将数据报文2发送给业务板1的标识对应的业务板1。
[0062] 业务板1在接收到数据报文2后,由于业务板1中存在数据报文2的对应的第二地址信息(即数据报文1对应的第一地址信息)与业务板1的标识的对应关系,因此,业务板1利用数据报文2进行业务处理,将数据报文2发送给分支设备LAC1,分支设备LAC1将该数据报文2发送给分支内网设备L1b1。
[0063] 针对中心内网设备S2主动发送给分支内网设备L1b1的数据报文,为描述方便本例中将中心内网设备S2发送给分支内网设备L1b1的数据报文称为数据报文3,分布式防火墙的接口板在接收到该数据报文3时,可以利用该数据报文3的源IP地址、目的IP地址和业务板数量进行HASH处理,假设HASH处理结果为业务板2,则分布式防火墙的接口板会将该数据报文3发送给业务板2进行后续处理。
[0064] 业务板2在接收到数据报文3后,由于数据报文3没有携带隧道封装头,且业务板2中不存在数据报文3对应的第一地址信息(数据报文3对应的第一地址信息包括源地址和目的地址,其中,该源地址为数据报文3的目的地址,该目的地址为数据报文3的源地址)与业务板2的标识的对应关系,不存在数据报文3对应的第二地址信息(数据报文3对应的第二地址信息包括源地址和目的地址,其中,该源地址为数据报文3的源地址,该目的地址为数据报文3的目的地址)与其它业务板的标识的对应关系,业务板2利用数据报文3的目的地址查询路由以确定用于发送数据报文3的隧道的隧道信息,该隧道信息包括分布式防火墙的IP地址和分支设备LAC1的IP地址。由于业务板2上记录了分布式防火墙的IP地址、分支设备LAC1的IP地址与业务板1的标识之间的对应关系,因此,业务板2将该数据报文3发送给业务板1的标识对应的业务板1。业务板1对该数据报文3进行业务处理,对数据报文3进行隧道封装,并将封装后的数据报文3发送给分支设备LAC1,分支设备LAC1对该封装后的数据报文3进行解封装,并将该数据报文3发送给分支内网设备L1b1,以最终传输中心内网设备S2主动发送给分支内网设备L1b1的数据报文3。
[0065] 实施例二
[0066] 针对现有技术中存在的问题,本发明实施例提供一种报文传输的方法,该方法应用于包括多个业务板的网络设备中,如应用于包括多个业务板的分布式防火墙中。如图1所示,为分布式防火墙的组网示意图,分布式防火墙由交换网络、主控板、接口板(一个或多个)和多个业务板组成。其中,主控板用于处理配置和路由等,不参与转发处理。接口板用于接收报文,并基于HASH(哈希)算法均衡的将报文发送给各个业务板。业务板用于独立的处理会话建立、报文转发、L2TP、QoS(服务质量)等业务。由于分布式防火墙存在多个业务板,各业务板并行处理业务,因此可以提升业务处理性能。
[0067] 对于某些业务(如L2TP业务),源设备发送给目的设备的报文,目的设备返回给源设备的报文,需要由分布式防火墙的同一个业务板进行处理。而且,源设备发送给目的设备的控制报文,源设备发送给目的设备的数据报文需要由分布式防火墙的同一个业务板进行处理;目的设备返回给源设备的控制报文,目的设备返回给源设备的数据报文需要由分布式防火墙的同一个业务板进行处理。基于此,本发明实施例是针对特定业务(如L2TP业务)的业务处理过程,如分布式防火墙中的各业务板用于对L2TP业务进行业务处理。
[0068] 在上述应用场景下,如图4所示,该报文传输的方法具体包括以下步骤:
[0069] 步骤401,第一业务板接收源设备发送给目的设备的第一数据报文。
[0070] 步骤402,若第一业务板中不存在第一地址信息与第一业务板的标识的对应关系,且不存在第二地址信息与其它业务板的标识的对应关系,则第一业务板对该第一数据报文进行业务处理。其中,该第一地址信息包括的源地址为该第一数据报文的目的地址,该第一地址信息包括的目的地址为该第一数据报文的源地址;该第二地址信息包括的源地址为该第一数据报文的源地址,该第二地址信息包括的目的地址为该第一数据报文的目的地址。
[0071] 步骤403,第一业务板生成第一地址信息与第一业务板的标识的对应关系,并记录第一地址信息与第一业务板的标识的对应关系。
[0072] 步骤404,第一业务板利用第一地址信息确定接收目的设备返回给源设备的第二数据报文的第二业务板,并将第一地址信息与第一业务板的标识的对应关系发送给第二业务板。第二业务板记录第一地址信息与第一业务板的标识的对应关系,并在接收到源地址和目的地址与第一地址信息匹配的第二数据报文时,基于第一地址信息与第一业务板的标识的对应关系,根据第一地址信息对应的第一业务板的标识,将第二数据报文发送至第一业务板。
[0073] 步骤405,第一业务板接收第二数据报文(即来自第二业务板的源地址和目的地址与第一地址信息匹配的报文),并对第二数据报文进行业务处理。
[0074] 本发明实施例中,第一业务板接收源设备发送给目的设备的第一数据报文之后,若第一业务板中存在第一地址信息与第一业务板的标识的对应关系或存在第二地址信息与第一业务板的标识的对应关系,则对第一数据报文进行业务处理;若第一业务板中存在第二地址信息与其它业务板的标识的对应关系,则第一业务板将第一数据报文发送给其它业务板的标识对应的其它业务板,以使其它业务板对第一数据报文进行业务处理。
[0075] 基于上述技术方案,本发明实施例中,通过在业务板上维护地址信息与业务板标识之间的对应关系,保证源设备发送给目的设备的数据报文,目的设备返回给源设备的数据报文,由分布式防火墙的同一个业务板进行处理。
[0076] 本发明实施例提供的上述技术方案,可应用于图5所示的应用场景,以下结合图5所示的应用场景对本发明实施例的技术方案进行详细说明。
[0077] 为描述方便本例中将分支内网设备L1b1发送至中心内网设备S1的数据报文称为数据报文1。当分支内网设备L1b1发起对中心内网设备S1的访问时,分布式防火墙的接口板在收到来自分支内网设备L1b1的首个数据报文1和后续的数据报文1时,利用该数据报文1的源IP地址、目的IP地址和业务板数量进行HASH处理,假设HASH处理结果为业务板1,则接口板将该数据报文1发送给业务板1。
[0078] 业务板1在接收到分支内网设备L1b1访问中心内网设备S1的首个数据报文1后,由于业务板1中不存在数据报文1对应的第一地址信息(数据报文1对应的第一地址信息包括:源地址和目的地址,其中,该源地址为数据报文的目的地址,该目的地址为数据报文的源地址)与业务板1的标识的对应关系,且不存在数据报文1对应的第二地址信息(数据报文1对应的第二地址信息包括:源地址和目的地址,其中,该源地址为数据报文的源地址,该目的地址为数据报文的目的地址)与其它业务板的标识的对应关系,则业务板1对数据报文1进行业务处理,生成数据报文1对应的第一地址信息与业务板1的标识的对应关系,并记录数据报文1对应的第一地址信息与业务板1的标识的对应关系,并利用数据报文1对应的第一地址信息确定接收中心内网设备S1发送至分支内网设备L1b1数据报文的业务板(假设为业务板3),为描述方便本例中将中心内网设备S1发送至分支内网设备L1b1的数据报文称为数据报文2,并将数据报文1对应的第一地址信息与业务板1的标识的对应关系发送给业务板
3。业务板3记录数据报文1对应的第一地址信息与业务板1的标识的对应关系。业务板1在利用数据报文1对应的第一地址信息确定接收数据报文2的业务板(假设为业务板3)时,业务板1利用数据报文1的目的地址(即数据报文2的源地址),数据报文1的源地址(即数据报文2的目的地址)和业务板数量进行HASH处理,此时,HASH处理结果为业务板3。
[0079] 需要注意的是,在进行HASH处理时,针对多个相同的处理对象,当各处理对象的顺序不同时,则HASH处理结果不同。例如,利用处理对象A和处理对象B进行HASH处理的HASH处理结果,与利用处理对象B和处理对象A进行HASH处理的HASH处理结果并不相同。
[0080] 业务板1在接收到分支内网设备L1b1访问中心内网设备S1的后续数据报文1时,由于业务板1中存在数据报文1对应的第一地址信息与业务板1的标识的对应关系,则业务板1对该数据报文1进行业务处理,将该数据报文1发送给中心内网设备S1。
[0081] 针对中心内网设备S1返回给分支内网设备L1b1的数据报文2,分布式防火墙的接口板在接收到该数据报文2时,利用该数据报文2的源IP地址、目的IP地址和业务板数量进行HASH处理,此时,HASH处理结果为业务板3,则接口板会将该数据报文2发送给业务板3。
[0082] 业务板3在接收到数据报文2之后,由于业务板3中存在数据报文2对应的第二地址信息(数据报文2对应的第二地址信息包括源地址和目的地址,其中,该源地址为数据报文2的源地址,该目的地址为数据报文2的目的地址,即数据报文2对应的第二地址信息与数据报文1对应的第一地址信息相同)与业务板1的标识的对应关系,因此,业务板3将数据报文2发送给业务板1的标识对应的业务板1。业务板1在接收到数据报文2之后,由于业务板1中存在数据报文2的对应的第二地址信息(即数据报文1对应的第一地址信息)与业务板1的标识的对应关系,因此,业务板1利用数据报文2进行业务处理,将数据报文2发送分支内网设备L1b1。
[0083] 实施例三
[0084] 基于与上述方法同样的发明构思,本发明实施例中还提供了一种业务板,作为第一业务板,如图6所示,所述第一业务板包括:
[0085] 接收模块11,用于接收源设备发送给目的设备的第一数据报文;
[0086] 处理模块12,用于若所述第一数据报文携带隧道封装头,所述第一业务板中不存在第一地址信息与第一业务板的标识的对应关系且不存在第二地址信息与其它业务板的标识的对应关系,则对所述第一数据报文进行业务处理;
[0087] 生成模块13,用于生成并记录所述第一地址信息与所述第一业务板的标识的对应关系;其中,所述第一地址信息包括的源地址为所述第一数据报文的目的地址,所述第一地址信息包括的目的地址为所述第一数据报文的源地址;所述第二地址信息包括的源地址为所述第一数据报文的源地址,所述第二地址信息包括的目的地址为所述第一数据报文的目的地址;
[0088] 发送模块14,用于利用所述第一地址信息确定接收目的设备返回给源设备的第二数据报文的第二业务板,将所述第一地址信息与所述第一业务板的标识的对应关系发送给第二业务板,以使所述第二业务板在接收到源地址和目的地址与所述第一地址信息匹配的第二数据报文时,根据所述第一地址信息对应的第一业务板的标识,将所述第二数据报文发送至第一业务板;
[0089] 所述接收模块11,还用于接收第二数据报文;
[0090] 所述处理模块12,还用于对所述第二数据报文进行业务处理。
[0091] 所述处理模块12,还用于在接收源设备发送给目的设备的第一数据报文之后,若所述第一业务板中存在所述第一地址信息与所述第一业务板的标识的对应关系或存在所述第二地址信息与所述第一业务板的标识的对应关系,则对所述第一数据报文进行业务处理;
[0092] 所述发送模块14,还用于在接收源设备发送给目的设备的第一数据报文之后,若所述第一业务板中存在所述第二地址信息与其它业务板的标识的对应关系,则将所述第一数据报文发送给其它业务板的标识对应的其它业务板,以使所述其它业务板对所述第一数据报文进行业务处理。
[0093] 所述接收模块11,还用于在接收源设备发送给目的设备的第一数据报文之前,接收隧道协商报文;
[0094] 所述发送模块14,还用于获得所述隧道协商报文对应的隧道信息,将隧道信息与所述第一业务板的标识之间的对应关系广播发送给其它业务板,以使其它业务板记录所述隧道信息与所述第一业务板的标识之间的对应关系。
[0095] 所述处理模块12,还用于在接收源设备发送给目的设备的第一数据报文之后,若所述第一数据报文没有携带隧道封装头,且所述第一业务板中不存在第一地址信息与第一业务板的标识的对应关系且不存在第二地址信息与其它业务板的标识的对应关系,则利用所述第一数据报文的目的地址查询路由以确定用于发送所述第一数据报文的隧道的隧道信息;利用所述隧道信息查询隧道信息与业务板的标识之间的对应关系;如果所述隧道信息对应于所述第一业务板的标识,则对所述第一数据报文进行业务处理;
[0096] 所述发送模块14,还用于如果所述隧道信息对应于其它业务板的标识,则将所述第一数据报文发送给所述其它业务板的标识对应的其它业务板,以使所述其它业务板对所述第一数据报文进行业务处理。
[0097] 其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
[0098] 实施例四
[0099] 基于与上述方法同样的发明构思,本发明实施例中还提供了一种业务板,作为第一业务板,如图7所示,所述第一业务板包括:
[0100] 接收模块21,用于接收源设备发送给目的设备的第一数据报文;
[0101] 处理模块22,用于若所述第一业务板中不存在第一地址信息与第一业务板的标识的对应关系且不存在第二地址信息与其它业务板的标识的对应关系,则对所述第一数据报文进行业务处理;
[0102] 生成模块23,用于生成并记录所述第一地址信息与所述第一业务板的标识的对应关系;其中,所述第一地址信息包括的源地址为所述第一数据报文的目的地址,所述第一地址信息包括的目的地址为所述第一数据报文的源地址;所述第二地址信息包括的源地址为所述第一数据报文的源地址,所述第二地址信息包括的目的地址为所述第一数据报文的目的地址;
[0103] 发送模块24,用于利用所述第一地址信息确定接收目的设备返回给源设备的第二数据报文的第二业务板,将所述第一地址信息与所述第一业务板的标识的对应关系发送给第二业务板,以使所述第二业务板在接收到源地址和目的地址与所述第一地址信息匹配的第二数据报文时,根据所述第一地址信息对应的第一业务板的标识,将所述第二数据报文发送至第一业务板;
[0104] 所述接收模块21,还用于接收第二数据报文;
[0105] 所述处理模块22,还用于对所述第二数据报文进行业务处理。
[0106] 所述处理模块22,还用于在接收源设备发送给目的设备的第一数据报文之后,若所述第一业务板中存在所述第一地址信息与所述第一业务板的标识的对应关系或存在所述第二地址信息与所述第一业务板的标识的对应关系,则对所述第一数据报文进行业务处理;
[0107] 所述发送模块24,还用于在接收源设备发送给目的设备的第一数据报文之后,若所述第一业务板中存在所述第二地址信息与其它业务板的标识的对应关系,则将所述第一数据报文发送给其它业务板的标识对应的其它业务板,以使所述其它业务板对所述第一数据报文进行业务处理。
[0108] 其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
[0109] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助
软件加必需的通用
硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,
服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
