專利名稱:報文轉發(fā)方法��、系統(tǒng)�����、網絡設備和防火墻線卡的制作方法
技術領域:
本發(fā)明涉及通信技術����,尤其涉及一種報文轉發(fā)方法、系統(tǒng)��、網絡設備和防火墻線卡����。
背景技術:
隨著傳輸控制協議(Transmission Control Protocol ;以下簡稱TCP)/IP 網絡的廣泛應用�����,對網絡可靠性方面的要求越來越高��。在傳統(tǒng)的路由器和交換機等基礎網絡設備中嵌入融合防火墻線卡��,具有即插即用�、擴展性強的特點,不僅可以有效降低用戶管理難度�、減少維護成本,而且還突破了物理單品防火墻自有的端口數量限制����,使得組網應用更加靈活方便。在這種路由交換網絡設備中集成嵌入防火墻線卡����,實現了網絡和安全保護的高度一體化,已逐漸成為網絡發(fā)展的一種趨勢�。其中,集成嵌入防火墻線卡可以提供橋組跨虛擬局域網(Virtual Local Area Network �����;以下簡稱VLAN) 二層轉發(fā)和三層路由轉發(fā)的功能��,橋組跨VLAN 二層轉發(fā)是指由數據鏈路層來完成不同VLAN間的通信��。圖1為現有技術中不同VLAN中服務器間安全隔離的組網示意圖���,如圖1所示��,在交換機上集成嵌入的防火墻線卡通過橋組轉發(fā)來隔離不同VLAN中各服務器間的互訪流量����。圖中三臺服務器A、B���、C被劃分到不同的VLAN中���,具體地,交換機將從服務器A發(fā)出的二層訪問流量報文加上VLAN2標識后發(fā)送到防火墻線卡�����,防火墻線卡經過橋組跨VLAN 二層轉發(fā)后�����,將該二層訪問流量報文的VLAN2標識修改為VLAN3標識����,然后再轉發(fā)給交換機,交換機最終將接收到的攜帶VLAN3標識的流量報文轉發(fā)給VLAN3中的服務器B�����,防火墻線卡通過跨VLAN 二層轉發(fā)功能����,對各服務器間的二層互訪流量進行安全控制,來保證各服務器間的二層安全隔離���。然而�,現有技術中的方案需要為每臺服務器單獨分配一個VLAN����,從而占用大量的 VLAN資源。
發(fā)明內容
本發(fā)明的第一個方面是提供一種報文轉發(fā)方法�����,在網絡設備上配置源服務器和目的服務器所在的虛擬局域網VLAN為隔離VLAN�����,所述方法包括接收所述源服務器通過所述隔離VLAN中所述源服務器對應的源下行端口發(fā)送的交互報文�����;在所述交互報文中添加隔離VLAN標識后���,通過所述隔離VLAN的上行端口將所述交互報文泛洪轉發(fā)給防火墻線卡����,以由所述防火墻線卡對所述交互報文進行安全控制處理;通過所述隔離VLAN的上行端口接收所述防火墻線卡轉發(fā)的交互報文�;通過所述隔離VLAN中所述目的服務器對應的目的下行端口,將所述交互報文轉發(fā)到所述目的服務器�����。本發(fā)明的一個方面是提供另一種報文轉發(fā)方法��,在網絡設備上配置源服務器和目的服務器所在的虛擬局域網VLAN為隔離VLAN�,所述方法包括通過隔離VLAN標識對應的端口接收網絡設備轉發(fā)的交互報文,所述交互報文為所述網絡設備通過所述隔離VLAN中所述源服務器對應的源下行端口從所述源服務器接收的����,并由所述網絡設備在所述交互報文中添加有所述隔離VLAN標識;對所述交互報文進行安全控制處理����,并通過所述隔離VLAN標識對應的端口向所述網絡設備轉發(fā)所述交互報文,以由所述網絡設備通過所述隔離VLAN中所述目的服務器的對應的目的下行端口將所述交互報文轉發(fā)到所述目的服務器���。本發(fā)明的另一個方面是提供一種網絡設備���,包括配置模塊��,用于配置源服務器和目的服務器所在的虛擬局域網VLAN為隔離VLAN ����;第一接收模塊���,用于接收所述源服務器通過所述隔離VLAN中所述源服務器對應的源下行端口發(fā)送的交互報文;第一轉發(fā)模塊�����,用于在所述交互報文中添加隔離VLAN標識后��,通過所述隔離VLAN 的上行端口將所述交互報文泛洪轉發(fā)給防火墻線卡���,以由所述防火墻線卡對所述交互報文進行安全控制處理�����;第二接收模塊����,用于通過所述隔離VLAN的上行端口接收所述防火墻線卡轉發(fā)的交互報文;第二轉發(fā)模塊��,用于通過所述隔離VLAN中所述目的服務器對應的目的下行端口�, 將所述交互報文轉發(fā)到所述目的服務器。本發(fā)明的另一個方面是提供另一種防火墻線卡���,在網絡設備上配置源服務器和目的服務器所在的虛擬局域網VLAN為隔離VLAN����,所述防火墻線卡包括第三接收模塊���,用于通過隔離VLAN標識對應的端口接收網絡設備轉發(fā)的交互報文�����,所述交互報文為所述網絡設備通過所述隔離VLAN中所述源服務器對應的源下行端口從所述源服務器接收的���,并由所述網絡設備在所述交互報文中添加有所述隔離VLAN標識;第三轉發(fā)模塊�,用于對所述交互報文進行安全控制處理,并通過所述隔離VLAN標識對應的端口向所述網絡設備轉發(fā)所述交互報文�����,以由所述網絡設備通過所述隔離VLAN 中所述目的服務器的對應的目的下行端口將所述交互報文轉發(fā)到所述目的服務器。本發(fā)明的又一個方面是提供一種報文轉發(fā)系統(tǒng)����,包括上述網絡設備、上述防火墻線卡和多個服務器����。本發(fā)明的技術效果是通過在網絡設備上配置源服務器和目的服務器所在的 VLAN為隔離VLAN,網絡設備通過隔離VLAN的源下行端口接收交互報文�,在交互報文中添加隔離VLAN標識后通過隔離VLAN的上行端口轉發(fā)給防火墻線卡����,防火墻線卡對交互報文進行安全控制處理后,通過隔離VLAN標識對應的端口將交互報文轉發(fā)到網絡設備����;網絡設備最終通過隔離VLAN的目的下行端口將交互報文轉發(fā)到目的服務器。本實施例無需為每臺服務器單獨分配一個VLAN�����,解決了多個服務器間二層互訪安全隔離需要占用多個VLAN資源的問題�,從而減少了所占的VLAN資源;同時使得同一 VLAN內各服務器間的二層互訪流量只需通過防火墻線卡一次�����,便可以實現其互訪流量受防火墻安全控制的目的。
圖1為現有技術中不同VLAN中服務器間安全隔離的組網示意圖2為本發(fā)明報文轉發(fā)方法實施例一的流程圖�;圖3為本發(fā)明報文轉發(fā)方法實施例一中同一隔離VLAN內各服務器間安全隔離的組網示意圖;圖4為本發(fā)明報文轉發(fā)方法實施例二的流程圖�;圖5為本發(fā)明報文轉發(fā)方法實施例三的流程圖;圖6為本發(fā)明網絡設備實施例一的結構示意圖����;圖7為本發(fā)明網絡設備實施例二的結構示意圖;圖8為本發(fā)明防火墻線卡實施例一的結構示意圖��;圖9為本發(fā)明防火墻線卡實施例二的結構示意圖���。
具體實施例方式圖2為本發(fā)明報文轉發(fā)方法實施例一的流程圖�,如圖2所示�����,在本實施例中����,在網絡設備上設置VLAN隔離的功能,具體為將報文轉發(fā)的源服務器和目的服務器所在的VLAN 配置為隔離VLAN�����,同一隔離VLAN的下行端口之間相互隔離,而上行端口和各下行端口之間可以相互通信����。其中,本實施例中的網絡設備可以具體為交換機�����、路由器等�,此處以交換機為例進行說明,源服務器為發(fā)送報文的服務器��,目的服務器為接收報文的服務器�,本實施例通過從源服務器向目的服務器轉發(fā)報文來闡述本發(fā)明的內容��。圖3為本發(fā)明報文轉發(fā)方法實施例一中同一隔離VLAN內各服務器間安全隔離的組網示意圖�����,如圖3所示��,服務器A����、B���、 C被劃分在同一 VLAN2中,本實施例將VLAN2配置為隔離VLAN����,隔離VLAN的下行端口為交換機與各服務器互聯的端口,隔離VLAN的上行端口為交換機與防火墻線卡的內聯端口����。當源服務器向目的服務器發(fā)起訪問請求時,如果源服務器上存在目的服務器對應的地址解析協議(Address Resolution Protocol ���;以下簡稱ARP)表項時�����,本實施例從網絡設備一側對本發(fā)明的方案進行具體說明���,此處的網絡設備具體以交換機為例,本實施例可以具體包括如下步驟步驟201�����,接收所述源服務器通過所述隔離VLAN中所述源服務器對應的源下行端口發(fā)送的交互報文。當源服務器向目的服務器發(fā)送交互報文時�����,通過交換機來轉發(fā)��。該交互報文可以為單播報文或非單播報文�,即可以為單播形式的訪問流量報文或非單播形式的ARP請求報文;如果源服務器上已經存在目的服務器對應的ARP表項���,例如源服務器已經通過歷史報文轉發(fā)過程學習到目的服務器的ARP信息�,則源服務器直接向目的服務器發(fā)送訪問流量報文�����,此時本實施例中的交互報文具體為訪問流量報文���;如果源服務器上不存在目的服務器對應的ARP表項,則源服務器先向目的服務器發(fā)送ARP請求廣播報文����,此時本實施例中的交互報文具體為ARP請求廣播報文。參見上述圖3,當源服務器向目的服務器發(fā)送交互報文時�����,該交互報文先通過隔離VLAN中與源服務器對應的源下行端口發(fā)送到交換機�����。本步驟為交換機接收源服務器通過該源下行端口發(fā)送的交互報文�����,該交互報文中可以攜帶源服務器的IP地址和介質訪問控制(Media Access Control �����;以下簡稱MAC)地址��,以及目的服務器的IP地址��。交換機在從源下行端口接收到交互報文時��,先進行二層轉發(fā)的正常源MAC地址的學習����。步驟202�����,在交互報文中添加隔離VLAN標識后���,通過所述隔離VLAN的上行端口將交互報文泛洪轉發(fā)給防火墻線卡,以由所述防火墻線卡對所述交互報文進行安全控制處理���。交換機在接收到從隔離VLAN的下行端口發(fā)送的交互報文后�����,在該交互報文中添加該隔離VLAN的隔離VLAN標識�。交換機通過隔離VLAN的上行端口將該交互報文轉發(fā)到防火墻線卡���,其中�����,當隔離VLAN存在多個上行端口時�,則交換機需要以泛洪的方式向隔離 VLAN的所有上行端口發(fā)送交互報文�����。防火墻線卡在從隔離VLAN標識對應的端口接收到交互報文時�����,先進行二層轉發(fā)的正常源MAC地址的學習��,再對該交互報文進行安全控制處理����, 以保證同一 VLAN內服務器間互訪的安全性。需要指出的是���,在本實施例中��,對于防火墻線卡來說����,不存在隔離VLAN的上行端口和下行端口的區(qū)別�,只有隔離VLAN標識對應的端口, 此處的隔離VLAN標識對應的端口與隔離VLAN的上行端口是等價的���。然后�,防火墻線卡將該交互報文通過隔離VLAN標識對應的端口轉發(fā)到交換機上���。步驟203��,通過所述隔離VLAN的上行端口接收所述防火墻線卡轉發(fā)的交互報文�����。本步驟為在防火墻線卡對交互報文進行安全控制處理后����,交換機通過隔離VLAN 的上行端口接收防火墻線卡轉發(fā)的交互報文。在本實施例中�����,防火墻線卡在對交互報文進行安全控制處理后�����,向交換機轉發(fā)該交互報文時����,會將該交互報文轉發(fā)到包含防火墻線卡接收交互報文的端口在內的VLAN端口上。此處的防火墻線卡接收交互報文的端口即為隔離VLAN標識對應的端口����,由此可見�,在本實施例中�,交換機通過隔離VLAN的上行端口將交互報文轉發(fā)到防火墻線卡后�����,還可以在同一隔離VLAN的上行端口上接收到防火墻線卡轉發(fā)的交互報文���,從而可以實現在一個VLAN中包含多個服務器�,交互報文可以在同一 VLAN中的不同服務器之間轉發(fā)����,而無需為每個服務器分別分配一個VLAN。步驟204��,通過所述隔離VLAN中所述目的服務器對應的目的下行端口����,將所述交互報文轉發(fā)到所述目的服務器。交換機在從隔離VLAN的上行端口接收到處理后的交互報文后�����,在隔離VLAN中對該交互報文進行二層轉發(fā)����。交換機可以通過隔離VLAN中目的服務器對應的目的下行端口���, 直接將處理后的交互報文轉發(fā)到目的服務器,實現了交互報文在源服務器與目的服務器之間的二層轉發(fā)�。具體地,當所述交互報文為單播報文時����,上述步驟204可以具體包括如下步驟根據所述交互報文的目的MAC地址查詢MAC地址轉發(fā)表,獲取所述交互報文的目的端口為所述隔離VLAN中所述目的服務器對應的目的下行端口 ����;通過所述目的下行端口將所述交互報文轉發(fā)到所述目的服務器。具體地��,當所述交互報文為非單播報文時�,上述步驟204可以具體包括如下步驟 通過所述隔離VLAN的所有下行端口對所述交互報文進行泛洪轉發(fā),以將所述交互報文轉發(fā)到所述目的服務器���。進一步地�����,本實施例中的隔離VLAN的上行端口不具備介質訪問控制MAC地址學習功能��,即交換機從隔離VLAN的上行端口接收到訪問流量報文后���,不進行源MAC地址的學習�����, 使得交換機中保存的訪問流量報文的源MAC地址還是源服務器的MAC地址,不會由于MAC 地址學習而使其變更為防火墻線卡的MAC地址�,從而避免了頻繁修改交換機中的MAC地址轉發(fā)表所帶來的額外開銷。本實施例提供了一種報文轉發(fā)方法����,通過在網絡設備上配置源服務器和目的服務
7器所在的VLAN為隔離VLAN,網絡設備通過隔離VLAN的源下行端口接收交互報文���,在交互報文中添加隔離VLAN標識后通過隔離VLAN的上行端口轉發(fā)給防火墻線卡�,防火墻線卡對交互報文進行安全控制處理后��,通過隔離VLAN標識對應的端口將交互報文轉發(fā)到網絡設備��; 網絡設備最終通過隔離VLAN的目的下行端口將交互報文轉發(fā)到目的服務器����。本實施例無需為每臺服務器單獨分配一個VLAN��,解決了多個服務器間二層互訪安全隔離需要占用多個 VLAN資源的問題���,從而減少了所占的VLAN資源;同時使得同一 VLAN內各服務器間的二層互訪流量只需通過防火墻線卡一次���,便可以實現其互訪流量受防火墻安全控制的目的�����。圖4為本發(fā)明報文轉發(fā)方法實施例二的流程圖���,如圖4所示,本實施例提供了一種報文轉發(fā)方法���,在網絡設備上配置源服務器和目的服務器所在的虛擬局域網VLAN為隔離 VLAN���,本實施例具體從防火墻線卡一側對本發(fā)明的方案進行具體說明,可以具體包括如下步驟步驟401����,通過隔離VLAN標識對應的端口接收網絡設備轉發(fā)的交互報文,所述交互報文為所述網絡設備通過所述隔離VLAN中所述源服務器對應的源下行端口從所述源服務器接收的,并由所述網絡設備在所述交互報文中添加有所述隔離VLAN標識�。本實施例中的交互報文可以為單播報文或非單播報文,網絡設備可以具體為交換機或路由器�,此處以交換機為例進行說明。當源服務器向目的服務器發(fā)送交互報文時�����,通過交換機將交互報文轉發(fā)到防火墻線卡上進行處理�。本步驟具體為防火墻線卡通過隔離VLAN 標識對應的端口接收交換機轉發(fā)的交互報文,該交互報文為交換機通過隔離VLAN中所述源服務器對應的源下行端口從所述源服務器接收的����,并由交換機在其中添加隔離VLAN標識�。步驟402,對交互報文進行安全控制處理��,并通過所述隔離VLAN標識對應的端口向所述網絡設備轉發(fā)所述交互報文���,以由所述網絡設備通過所述隔離VLAN中所述目的服務器的對應的目的下行端口將所述交互報文轉發(fā)到所述目的服務器�����。防火墻線卡在接收到交互報文后���,對該交互報文進行安全控制處理����,并通過隔離 VLAN標識對應的端口向交換機轉發(fā)所述交互報文�。在本實施例中,防火墻線卡對從隔離 VLAN標識對應的端口接收的交互報文進行處理后�,仍從該端口向交換機轉發(fā)處理后的交互報文。當交換機從隔離VLAN的上行端口接收到返回的交互報文后�,通過所述隔離VLAN中所述目的服務器的對應的目的下行端口,將該交互報文轉發(fā)到目的服務器�。具體地,在本實施例中��,當所述交互報文為單播報文時�,上述通過所述隔離VLAN 標識對應的端口向所述網絡設備轉發(fā)所述交互報文的步驟可以具體包括根據所述交互報文的目的MAC地址查詢橋組內的MAC地址轉發(fā)表,獲取所述交互報文的目的端口為所述隔離VLAN標識對應的端口 ��;通過所述隔離VLAN標識對應的端口向所述網絡設備轉發(fā)所述交互報文���。具體地�,當所述交互報文為非單播報文時����,上述通過所述隔離VLAN標識對應的端口向所述網絡設備轉發(fā)所述交互報文的步驟可以具體包括通過橋組內包含所述隔離 VLAN標識對應的端口在內的所有VLAN端口��,向所述網絡設備泛洪轉發(fā)所述交互報文���。本實施例提供了一種報文轉發(fā)方法,通過在網絡設備上配置源服務器和目的服務器所在的VLAN為隔離VLAN���,防火墻線卡通過隔離VLAN標識對應的端口接收網絡設備轉發(fā)的交互報文�����,對該交互報文進行安全控制處理����,并通過隔離VLAN標識對應的端口向網絡設
8備轉發(fā)交互報文����,以由網絡設備通過隔離VLAN的目的下行端口將交互報文轉發(fā)到目的服務器����;本實施例無需為每臺服務器單獨分配一個VLAN,解決了多個服務器間二層互訪安全隔離需要占用多個VLAN資源的問題��,從而減少了所占的VLAN資源���;同時使得同一 VLAN內各服務器間的二層互訪流量只需通過防火墻線卡一次��,便可以實現其互訪流量受防火墻安全控制的目的�����。圖5為本發(fā)明報文轉發(fā)方法實施例三的流程圖���,如圖5所示�����,本實施例提供了一種報文轉發(fā)方法�,可以具體包括如下步驟步驟501���,在交換機上配置源服務器和目的服務器所在的虛擬局域網VLAN為隔離 VLAN0在本實施例中�,在交換機上設置VLAN隔離的功能��,具體為將報文轉發(fā)的源服務器和目的服務器所在的VLAN配置為隔離VLAN�,同一隔離VLAN的下行端口之間相互隔離,而上行端口和各下行端口之間可以相互通信�����。繼續(xù)參見上述圖3,本實施例中的源服務器可以具體為服務器A����,目的服務器可以具體為服務器B,本步驟為在交換機上將VLAN2配置為隔離 VLAN�。服務器A、B����、C的服務器網關設置在交換機虛擬接口(Switch Virtual Interface ; 以下簡稱SVI) 5上��,防火墻線卡上配置有VLAN2和VLAN5的橋組跨VLAN 二層轉發(fā)�����。步驟502��,判斷源服務器上是否存在目的服務器對應的ARP表項�,如果是,則執(zhí)行步驟503,否則執(zhí)行步驟509�����。在源服務器向目的服務器發(fā)起訪問請求時�����,先判斷源服務器上是否存在目的服務器對應的ARP表項��,如果是�,則執(zhí)行步驟503-508�����,源服務器直接向目的服務器發(fā)送訪問流量報文����;否則執(zhí)行步驟509-519��,源服務器先向目的服務器發(fā)送ARP請求廣播報文。步驟503��,源服務器通過隔離VLAN中源服務器對應的源下行端口向交換機發(fā)送訪問流量報文�。當源服務器上存在目的服務器對應的ARP表項時���,源服務器向目的服務器發(fā)送訪問流量報文���,參見上述圖3,即當服務器A上存在服務器B對應的ARP表項時,服務器A向服務器B發(fā)送訪問流量報文。服務器A具體通過隔離VLAN中自身對應的下行端口�����,即端口 A��, 向交換機發(fā)送訪問流量報文��,該訪問流量報文中可以攜帶服務器A的IP地址和MAC地址���, 以及服務器B的IP地址和MAC地址�。步驟504��,交換機在接收到的訪問流量報文中添加隔離VLAN標識����,通過隔離VLAN 的上行端口將訪問流量報文泛洪轉發(fā)給防火墻線卡。交換機在從端口 A接收到服務器A發(fā)送的訪問流量報文時�,先進行二層轉發(fā)的正常源MAC地址的學習��,即交換機學習到服務器A的MAC地址對應的輸出端口為端口 A��。交換機在接收到的訪問流量報文中添加隔離VLAN標識��,即添加VLAN2標識��,交換機通過隔離 VLAN的上行端口,將訪問流量報文泛洪轉發(fā)給防火墻線卡���。具體可以為���,交換機將訪問流量報文加上VLAN2標識后泛洪到VLAN2的上行端口���。步驟505�,防火墻線卡對訪問流量報文進行安全控制處理,并根據訪問流量報文的目的MAC地址查詢橋組內的MAC地址轉發(fā)表�����,獲取處理后的訪問流量報文的目的端口為隔離VLAN標識對應的端口。防火墻線卡通過VLAN2對應的端口接收到訪問流量報文后��,對訪問流量報文進行安全控制處理����,并進行二層轉發(fā)的正常源MAC地址學習��,即防火墻線卡學習到服務器A的MAC地址對應的輸出端口為VLAN2對應的端口��。由于訪問流量報文為單播報文��,防火墻線卡根據訪問流量報文的目的MAC地址查詢橋組內的MAC地址轉發(fā)表,獲取處理后的訪問流量報文的目的端口為隔離VLAN標識對應的端口���。即防火墻線卡根據服務器B的MAC地址查詢橋組內的MAC地址轉發(fā)表���,查詢到訪問流量報文的目的端口為VLAN2對應的端口。在本實施例中�����,當防火墻線卡未查詢到服務器B對應的MAC表項時,則同樣需要將訪問流量報文泛洪轉發(fā)至橋組內包括接收端口在內的所有VLAN端口�。步驟506,防火墻線卡通過隔離VLAN標識對應的端口將處理后的訪問流量報文轉發(fā)給交換機����。防火墻線卡在查詢到訪問流量報文的目的端口后,直接通過該VLAN2對應的端口將處理后的訪問流量報文轉發(fā)給交換機���,即從防火墻線卡接收該報文的接收端口向交換機轉發(fā)報文����。步驟507�����,交換機根據訪問流量報文的目的MAC地址查詢MAC地址轉發(fā)表�,并獲取處理后的訪問流量報文的目的端口為隔離VLAN中目的服務器對應的目的下行端口。由于本實施例中隔離VLAN的上行端口不具備MAC地址學習功能�����,交換機從VLAN2 的上行端口接收到訪問流量報文后,交換機不進行源MAC地址學習�。此時交換機上保存的訪問流量報文的源MAC地址對應的輸出端口還是端口 A,而不會變?yōu)榉阑饓€卡轉發(fā)所使用的某個端口���。交換機在接收到訪問流量報文后��,根據訪問流量報文的目的MAC地址查詢 MAC地址轉發(fā)表����,并獲取處理后的訪問流量報文的目的端口為隔離VLAN中目的服務器對應的目的下行端口���。即交換機根據報文的目的MAC地址在隔離VLAN內查詢MAC地址轉發(fā)表��, 查詢到該報文的目的端口為VLAN2的下行端口 B���。如果交換機未查找到服務器B對應的MAC 表項,則同樣需要將訪問流量報文泛洪轉發(fā)至隔離VLAN的所有下行端口�。步驟508,交換機通過目的下行端口將處理后的訪問流量報文轉發(fā)到目的服務器����。交換機通過查詢到的目的下行端口將處理后的訪問流量報文轉發(fā)到目的服務器���, 即交換機通過VLAN2的下行端口 B將訪問流量報文轉發(fā)到服務器B上����,實現了訪問流量報文在源服務器與目的服務器之間的二層轉發(fā)。步驟509���,源服務器通過隔離VLAN中源服務器對應的源下行端口向交換機發(fā)送 ARP請求廣播報文���。當源服務器上不存在目的服務器對應的ARP表項時,源服務器需要先向目的服務器發(fā)送ARP請求廣播報文���。繼續(xù)參見上述圖3�����,當服務器A上不存在服務器B對應的ARP表項時��,服務器A需要先向服務器B發(fā)起ARP請求廣播報文��。服務器A具體通過隔離VLAN中自身對應的下行端口��,即端口 A���,向交換機發(fā)送ARP請求廣播報文,該ARP請求廣播報文中包括服務器A的IP地址和MAC地址,以及服務器B的IP地址和廣播MAC地址��。步驟510����,交換機在ARP請求廣播報文中添加隔離VLAN標識,并通過隔離VLAN的上行端口轉發(fā)給防火墻線卡����。交換機在從端口 A接收到服務器A發(fā)送的ARP請求廣播報文時,先進行二層轉發(fā)的正常源MAC地址的學習���,即交換機學習到服務器A的MAC地址對應的輸出端口為端口 A�����。 交換機在接收到的ARP請求廣播報文中添加隔離VLAN標識�����,即添加VLAN2標識���,交換機通過隔離VLAN的上行端口,將ARP請求廣播報文轉發(fā)給防火墻線卡�。具體可以為�,交換機將 ARP請求廣播報文加上VLAN2標識后泛洪到VLAN2的上行端口��。
10
步驟511�,防火墻線卡對ARP請求廣播報文進行安全控制處理����,并通過橋組內包含接收端口在內的所有VLAN端口,將處理后的ARP請求廣播報文泛洪轉發(fā)到交換機��。防火墻線卡通過VLAN2對應的端口接收到ARP請求廣播報文后����,對ARP請求廣播報文進行安全控制處理,并進行二層轉發(fā)的正常源MAC地址學習�����,即防火墻線卡學習到服務器A的MAC地址對應的輸出端口為VLAN2對應的端口����。由于ARP請求廣播報文為廣播報文,防火墻線卡需要對處理后的ARP請求廣播報文進行泛洪轉發(fā)處理�,即在橋組內包含 VLAN2接收端口在內的所有VLAN端口上泛洪轉發(fā)該ARP請求廣播報文。在本實施例中�,具體為防火墻線卡除了將ARP請求廣播報文中的VLAN2標識修改為VLAN5標識����,并將其轉發(fā)給交換機上服務器網關對應的虛擬接口 SVI5之外��,防火墻線卡還將ARP請求廣播報文復制一份��,并轉發(fā)到防火墻線卡之前接收該報文的端口��,即VLAN2對應的端口上���。步驟512���,交換機通過隔離VLAN的所有下行端口對處理后的ARP請求廣播報文進行泛洪轉發(fā),以將處理后的ARP請求廣播報文轉發(fā)到目的服務器��。由于本實施例中隔離VLAN的上行端口不具備MAC地址學習功能���,交換機在通過 VLAN2中的上行端口接收到ARP請求廣播報文后��,交換機不進行源MAC地址學習���,此時交換機上保存的服務器A的MAC地址對應的輸出端口還是端口 A。交換機直接通過隔離VLAN的所有下行端口對處理后的ARP請求廣播報文進行泛洪轉發(fā)�����,以將處理后的ARP請求廣播報文轉發(fā)到目的服務器。另外���,對于交換機上從虛擬接口 SVI5接收到的ARP請求廣播報文來說,由于報文的目的IP地址不是交換機自身�����,則該報文會被執(zhí)行正常丟棄處理�。步驟513,目的服務器通過目的下行端口向交換機發(fā)送ARP響應報文�。當目的服務器通過目的下行端口接收到ARP請求廣播報文后,目的服務器還通過目的下行端口向交換機發(fā)送ARP響應報文���。具體地�,服務器B從VLAN2的下行端口 B接收到該ARP請求廣播報文后��,服務器B通過該端口 B向交換機返回ARP響應報文�,而其他服務器在接收到ARP請求廣播報文后,由于報文的目的IP地址不是自身���,則該報文會被執(zhí)行正常丟棄處理��。步驟514���,交換機在接收到的ARP響應報文中添加隔離VLAN標識�,通過隔離VLAN 的上行端口將ARP響應報文轉發(fā)給防火墻線卡�。交換機在從端口 B接收到服務器B發(fā)送的ARP響應報文時,先進行二層轉發(fā)的正常源MAC地址的學習�����,即交換機學習到服務器B的MAC地址對應的輸出端口為端口 B�。交換機在接收到的ARP響應報文中添加隔離VLAN標識,即添加VLAN2標識��,交換機通過隔離 VLAN的上行端口����,將ARP響應報文轉發(fā)給防火墻線卡。具體可以為�,交換機將ARP響應報文加上VLAN2標識后泛洪到VLAN2的上行端口。步驟515�����,防火墻線卡對ARP響應報文進行安全控制處理���,并根據ARP響應報文的目的MAC地址查詢橋組內的MAC地址轉發(fā)表����,獲取處理后的ARP響應報文的目的端口為隔離VLAN標識對應的端口。防火墻線卡通過VLAN2對應的端口接收到ARP響應報文后����,對ARP響應報文進行安全控制處理,并進行二層轉發(fā)的正常源MAC地址學習��,即防火墻線卡學習到服務器B的 MAC地址對應的輸出端口為VLAN2對應的端口����。防火墻線卡根據ARP響應報文的目的MAC 地址查詢橋組內的MAC地址轉發(fā)表�����,獲取處理后的ARP響應報文的目的端口為隔離VLAN標識對應的端口���。即防火墻線卡根據ARP響應報文的目的MAC地址查詢橋組內的MAC地址轉發(fā)表�,查詢到ARP響應報文的目的端口為VLAN2對應的端口���。步驟516���,防火墻線卡通過隔離VLAN對應的端口將處理后的ARP響應報文轉發(fā)給交換機��。防火墻線卡在查詢到ARP響應報文的目的端口后�,直接通過該VLAN2對應的端口將處理后的ARP響應報文轉發(fā)給交換機����,即從防火墻線卡接收該報文的接收端口向交換機轉發(fā)報文。步驟517���,交換機根據ARP響應報文的目的MAC地址查詢MAC地址轉發(fā)表�����,并獲取處理后的ARP響應報文的目的端口為隔離VLAN中源服務器對應的源下行端口����。由于本實施例中隔離VLAN的上行端口不具備MAC地址學習功能�,交換機從VLAN2 的上行端口接收到ARP響應報文后,交換機不進行源MAC地址學習�����。此時交換機上保存的服務器B的MAC地址對應的輸出端口還是端口 B,而不會變?yōu)榉阑饓€卡轉發(fā)所使用的某個端口��。交換機在接收到ARP響應報文后��,根據ARP響應報文的目的MAC地址查詢MAC地址轉發(fā)表�,并獲取處理后的ARP響應報文的目的端口為隔離VLAN中目的服務器對應的目的下行端口。即交換機根據ARP響應報文的目的MAC地址在隔離VLAN內查詢MAC地址轉發(fā)表���, 查詢到該報文的目的端口為VLAN2的下行端口 A�。步驟518�����,交換機通過源下行端口將處理后的ARP響應報文轉發(fā)到源服務器��,并返回執(zhí)行步驟503-508��。交換機通過查詢到的目的下行端口將處理后的ARP響應報文轉發(fā)到目的服務器�����, 即交換機通過VLAN2的下行端口 A將ARP響應報文轉發(fā)到服務器A上��。在通過執(zhí)行上述步驟509-518之后���,源服務器學習到了目的服務器的地址信息��,即在源服務器上保存了目的服務器對應的ARP表項����,則返回執(zhí)行步驟503-508向目的服務器發(fā)送后續(xù)的訪問流量報文��。本實施例提供了一種報文轉發(fā)方法�,通過在交換機上配置源服務器和目的服務器所在的VLAN為隔離VLAN,交換機通過隔離VLAN的源下行端口接收訪問流量報文或APR請求廣播報文���,在訪問流量報文或APR請求廣播報文中添加隔離VLAN標識后通過隔離VLAN 的上行端口轉發(fā)給防火墻線卡�����,防火墻線卡對訪問流量報文或Ara請求廣播報文進行安全控制處理后����,通過隔離VLAN標識對應的端口將訪問流量報文或APR請求廣播報文轉發(fā)到交換機��;交換機最終通過隔離VLAN的目的下行端口將訪問流量報文或AI5R請求廣播報文轉發(fā)到目的服務器���。本實施例無需為每臺服務器單獨分配一個VLAN�����,解決了多個服務器間二層互訪安全隔離需要占用多個VLAN資源的問題��,從而減少了所占的VLAN資源�����;同時使得同一 VLAN內各服務器間的二層互訪流量只需通過防火墻線卡一次�����,便可以實現其互訪流量受防火墻安全控制的目的�����。本領域普通技術人員可以理解實現上述各方法實施例的全部或部分步驟可以通過程序指令相關的硬件來完成��。前述的程序可以存儲于一計算機可讀取存儲介質中���。該程序在執(zhí)行時,執(zhí)行包括上述各方法實施例的步驟����;而前述的存儲介質包括R0M、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質����。圖6為本發(fā)明網絡設備實施例一的結構示意圖,如圖6所示���,本實施例提供了一種網絡設備�,可以具體執(zhí)行上述方法實施例一中的各個步驟����,此處不再贅述。當所述源服務器上存在所述目的服務器對應的地址解析協議APR表項時����,本實施例提供的網絡設備可以具體包括配置模塊601、第一接收模塊602��、第一轉發(fā)模塊603����、第二接收模塊604和第二轉發(fā)模塊605。其中�,配置模塊601用于配置源服務器和目的服務器所在的虛擬局域網VLAN為隔離VLAN。第一接收模塊602用于接收所述源服務器通過所述隔離VLAN中所述源服務器對應的源下行端口發(fā)送的交互報文��。第一轉發(fā)模塊603用于在所述交互報文中添加隔離VLAN 標識后,通過所述隔離VLAN的上行端口將所述交互報文泛洪轉發(fā)給防火墻線卡�����,以由所述防火墻線卡對所述交互進行安全控制處理�����。第二接收模塊604用于通過所述隔離VLAN的上行端口接收所述防火墻線卡轉發(fā)的交互報文��。第二轉發(fā)模塊605用于通過所述隔離VLAN 中所述目的服務器對應的目的下行端口�,將所述交互報文轉發(fā)到所述目的服務器。圖7為本發(fā)明網絡設備實施例二的結構示意圖���,如圖7所示�����,本實施例提供了一種網絡設備���,可以具體執(zhí)行上述方法實施例三中的各個步驟,此處不再贅述��。本實施例在上述圖6所示的實施例的基礎之上��,第二轉發(fā)模塊605可以具體包括第一獲取單元615和第一轉發(fā)單元625����。其中,第一獲取單元615用于當所述交互報文為單播報文時��,根據所述交互報文的目的MAC地址查詢MAC地址轉發(fā)表����,獲取所述交互報文的目的端口為所述隔離VLAN 中所述目的服務器對應的目的下行端口。第一轉發(fā)單元625用于通過所述目的下行端口將所述交互報文轉發(fā)到所述目的服務器����。或者�,第二轉發(fā)模塊605可以具體包括第二轉發(fā)單元635,第二轉發(fā)單元635用于當所述交互報文為非單播報文時�,通過所述隔離VLAN的所有下行端口對所述交互報文進行泛洪轉發(fā),以將所述交互報文轉發(fā)到所述目的服務器��。本實施例提供了一種網絡設備�,通過在網絡設備上配置源服務器和目的服務器所在的VLAN為隔離VLAN,網絡設備通過隔離VLAN的源下行端口接收交互報文���,在交互報文中添加隔離VLAN標識后通過隔離VLAN的上行端口轉發(fā)給防火墻線卡�����,防火墻線卡對交互報文進行安全控制處理后�����,通過隔離VLAN標識對應的端口將交互報文轉發(fā)到網絡設備�;網絡設備最終通過隔離VLAN的目的下行端口將交互報文轉發(fā)到目的服務器。本實施例無需為每臺服務器單獨分配一個VLAN�,解決了多個服務器間二層互訪安全隔離需要占用多個 VLAN資源的問題,從而減少了所占的VLAN資源�;同時使得同一 VLAN內各服務器間的二層互訪流量只需通過防火墻線卡一次,便可以實現其互訪流量受防火墻安全控制的目的�。圖8為本發(fā)明防火墻線卡實施例一的結構示意圖,如圖8所示�����,本實施例提供了一種防火墻線卡�,可以具體執(zhí)行上述方法實施例二中的各個步驟,此處不再贅述��。本實施例提供的防火墻線卡在網絡設備上配置源服務器和目的服務器所在的虛擬局域網VLAN為隔離 VLAN���,所述防火墻線卡可以具體包括第三接收模塊801和第三轉發(fā)模塊802��。其中����,第三接收模塊801用于通過隔離VLAN標識對應的端口接收網絡設備轉發(fā)的交互報文��,所述交互報文為所述網絡設備通過所述隔離VLAN中所述源服務器對應的源下行端口從所述源服務器接收的����,并由所述網絡設備在所述交互報文中添加有所述隔離VLAN標識。第三轉發(fā)模塊 802用于對所述交互報文進行安全控制處理�����,并通過所述隔離VLAN標識對應的端口向所述網絡設備轉發(fā)所述交互報文��,以由所述網絡設備通過所述隔離VLAN中所述目的服務器的對應的目的下行端口將所述交互報文轉發(fā)到所述目的服務器�����。圖9為本發(fā)明防火墻線卡實施例二的結構示意圖��,如圖7所示����,本實施例提供了一種防火墻線卡�����,可以具體執(zhí)行上述方法實施例三中的各個步驟�,此處不再贅述��。本實施例在上述圖8所示的實施例的基礎之上�����,第三轉發(fā)模塊802可以具體包括第二獲取單元812和第三轉發(fā)單元822��。其中�����,第二獲取單元812用于當所述交互報文為單播報文時����,對所述交互報文進行安全控制處理,并根據所述交互報文的目的MAC地址查詢橋組內的MAC地址轉發(fā)表����,獲取所述交互報文的目的端口為所述隔離VLAN標識對應的端口。第三轉發(fā)單元822 用于通過所述隔離VLAN標識對應的端口向所述網絡設備轉發(fā)所述交互報文,以由所述網絡設備通過所述隔離VLAN中所述目的服務器的對應的目的下行端口將所述交互報文轉發(fā)到所述目的服務器���?�;蛘?,本實施例中的第三轉發(fā)模塊802可以具體包括第四轉發(fā)單元832���,第四轉發(fā)單元832用于當所述交互報文為非單播報文時,對所述交互報文進行安全控制處理�����,通過橋組內包含所述隔離VLAN標識對應的端口在內的所有VLAN端口����,向所述網絡設備泛洪轉發(fā)所述交互報文,以由所述網絡設備通過所述隔離VLAN中所述目的服務器的對應的目的下行端口將所述交互報文轉發(fā)到所述目的服務器����。本實施例提供了一種防火墻線卡,通過在網絡設備上配置源服務器和目的服務器所在的VLAN為隔離VLAN�����,防火墻線卡通過隔離VLAN標識對應的端口接收網絡設備轉發(fā)的交互報文,對該交互報文進行安全控制處理�,并通過隔離VLAN標識對應的端口向網絡設備轉發(fā)交互報文,以由網絡設備通過隔離VLAN的目的下行端口將交互報文轉發(fā)到目的服務器����;本實施例無需為每臺服務器單獨分配一個VLAN,解決了多個服務器間二層互訪安全隔離需要占用多個VLAN資源的問題�����,從而減少了所占的VLAN資源���;同時使得同一 VLAN內各服務器間的二層互訪流量只需通過防火墻線卡一次����,便可以實現其互訪流量受防火墻安全控制的目的���。本實施例還提供了一種報文轉發(fā)系統(tǒng)�,可以包括上述圖6或圖7所示的網絡設備���、 上述圖8或圖9所示的防火墻線卡和多個服務器����。最后應說明的是以上各實施例僅用以說明本發(fā)明的技術方案,而非對其限制�����; 盡管參照前述各實施例對本發(fā)明進行了詳細的說明����,本領域的普通技術人員應當理解其依然可以對前述各實施例所記載的技術方案進行修改,或者對其中部分或者全部技術特征進行等同替換�����;而這些修改或者替換�,并不使相應技術方案的本質脫離本發(fā)明各實施例技術方案的范圍�����。
1權利要求
1.一種報文轉發(fā)方法��,其特征在于�,在網絡設備上配置源服務器和目的服務器所在的虛擬局域網VLAN為隔離VLAN,所述方法包括接收所述源服務器通過所述隔離VLAN中所述源服務器對應的源下行端口發(fā)送的交互報文�����;在所述交互報文中添加隔離VLAN標識后,通過所述隔離VLAN的上行端口將所述交互報文泛洪轉發(fā)給防火墻線卡����,以由所述防火墻線卡對所述交互報文進行安全控制處理;通過所述隔離VLAN的上行端口接收所述防火墻線卡轉發(fā)的交互報文��;通過所述隔離VLAN中所述目的服務器對應的目的下行端口��,將所述交互報文轉發(fā)到所述目的服務器�。
2.根據權利要求1所述的方法,其特征在于�����,所述通過所述隔離VLAN中所述目的服務器對應的目的下行端口�����,將所述交互報文轉發(fā)到所述目的服務器包括當所述交互報文為單播報文時��,根據所述交互報文的目的MAC地址查詢MAC地址轉發(fā)表���,獲取所述交互報文的目的端口為所述隔離VLAN中所述目的服務器對應的目的下行端 Π ���;通過所述目的下行端口將所述交互報文轉發(fā)到所述目的服務器��;或者���,當所述交互報文為非單播報文時,通過所述隔離VLAN的所有下行端口對所述交互報文進行泛洪轉發(fā)�����,以將所述交互報文轉發(fā)到所述目的服務器���。
3.根據權利要求1或2所述的方法����,其特征在于��,所述隔離VLAN的上行端口不具備介質訪問控制MAC地址學習功能����。
4.一種報文轉發(fā)方法����,其特征在于,在網絡設備上配置源服務器和目的服務器所在的虛擬局域網VLAN為隔離VLAN���,所述方法包括通過隔離VLAN標識對應的端口接收網絡設備轉發(fā)的交互報文�,所述交互報文為所述網絡設備通過所述隔離VLAN中所述源服務器對應的源下行端口從所述源服務器接收的, 并由所述網絡設備在所述交互報文中添加有所述隔離VLAN標識�;對所述交互報文進行安全控制處理,并通過所述隔離VLAN標識對應的端口向所述網絡設備轉發(fā)所述交互報文����,以由所述網絡設備通過所述隔離VLAN中所述目的服務器的對應的目的下行端口將所述交互報文轉發(fā)到所述目的服務器。
5.根據權利要求4所述的方法���,其特征在于����,所述通過所述隔離VLAN標識對應的端口向所述網絡設備轉發(fā)所述交互報文包括當所述交互報文為單播報文時�����,根據所述交互報文的目的介質訪問控制MAC地址查詢橋組內的MAC地址轉發(fā)表�����,獲取所述交互報文的目的端口為所述隔離VLAN標識對應的端 Π ��;通過所述隔離VLAN標識對應的端口向所述網絡設備轉發(fā)所述交互報文�����;或者,當所述交互報文為非單播報文時���,通過橋組內包含所述隔離VLAN標識對應的端口在內的所有VLAN端口����,向所述網絡設備泛洪轉發(fā)所述交互報文���。
6.一種網絡設備�����,其特征在于��,包括配置模塊���,用于配置源服務器和目的服務器所在的虛擬局域網VLAN為隔離VLAN ��;第一接收模塊���,用于接收所述源服務器通過所述隔離VLAN中所述源服務器對應的源下行端口發(fā)送的交互報文�����;第一轉發(fā)模塊����,用于在所述交互報文中添加隔離VLAN標識后,通過所述隔離VLAN的上行端口將所述交互報文泛洪轉發(fā)給防火墻線卡��,以由所述防火墻線卡對所述交互報文進行安全控制處理���;第二接收模塊�����,用于通過所述隔離VLAN的上行端口接收所述防火墻線卡轉發(fā)的交互報文���;第二轉發(fā)模塊,用于通過所述隔離VLAN中所述目的服務器對應的目的下行端口�,將所述交互報文轉發(fā)到所述目的服務器。
7.根據權利要求6所述的網絡設備���,其特征在于����,所述第二轉發(fā)模塊包括第一獲取單元,用于當所述交互報文為單播報文時�,根據所述交互報文的目的MAC地址查詢MAC地址轉發(fā)表,獲取所述交互報文的目的端口為所述隔離VLAN中所述目的服務器對應的目的下行端口����;第一轉發(fā)單元,用于通過所述目的下行端口將所述交互報文轉發(fā)到所述目的服務器��;或者�,第二轉發(fā)單元,用于當所述交互報文為非單播報文時��,通過所述隔離VLAN的所有下行端口對所述交互報文進行泛洪轉發(fā)��,以將所述交互報文轉發(fā)到所述目的服務器�����。
8.一種防火墻線卡��,其特征在于�,在網絡設備上配置源服務器和目的服務器所在的虛擬局域網VLAN為隔離VLAN,所述防火墻線卡包括第三接收模塊����,用于通過隔離VLAN標識對應的端口接收網絡設備轉發(fā)的交互報文,所述交互報文為所述網絡設備通過所述隔離VLAN中所述源服務器對應的源下行端口從所述源服務器接收的�,并由所述網絡設備在所述交互報文中添加有所述隔離VLAN標識;第三轉發(fā)模塊��,用于對所述交互報文進行安全控制處理�����,并通過所述隔離VLAN標識對應的端口向所述網絡設備轉發(fā)所述交互報文��,以由所述網絡設備通過所述隔離VLAN中所述目的服務器的對應的目的下行端口將所述交互報文轉發(fā)到所述目的服務器�。
9.根據權利要求8所述的防火墻線卡,其特征在于��,所述第三轉發(fā)模塊包括第二獲取單元��,用于當所述交互報文為單播報文時��,對所述交互報文進行安全控制處理�����,并根據所述交互報文的目的MAC地址查詢橋組內的MAC地址轉發(fā)表���,獲取所述交互報文的目的端口為所述隔離VLAN標識對應的端口 ��;第三轉發(fā)單元����,用于通過所述隔離VLAN標識對應的端口向所述網絡設備轉發(fā)所述交互報文,以由所述網絡設備通過所述隔離VLAN中所述目的服務器的對應的目的下行端口將所述交互報文轉發(fā)到所述目的服務器�����;或者���,第四轉發(fā)單元��,用于當所述交互報文為非單播報文時����,對所述交互報文進行安全控制處理����,通過橋組內包含所述隔離VLAN標識對應的端口在內的所有VLAN端口,向所述網絡設備泛洪轉發(fā)所述交互報文�,以由所述網絡設備通過所述隔離VLAN中所述目的服務器的對應的目的下行端口將所述交互報文轉發(fā)到所述目的服務器。
10.一種報文轉發(fā)系統(tǒng)���,其特征在于��,包括權利要求6或7所述的網絡設備�����、權利要求8 或9所述的防火墻線卡和多個服務器�����。
全文摘要
本發(fā)明提供一種報文轉發(fā)方法����、系統(tǒng)�、網絡設備和防火墻線卡,方法包括接收所述源服務器通過所述隔離VLAN中所述源服務器對應的源下行端口發(fā)送的交互報文���;在所述交互報文中添加隔離VLAN標識后�����,通過所述隔離VLAN的上行端口將所述交互報文泛洪轉發(fā)給防火墻線卡���,以由所述防火墻線卡對所述交互報文進行安全控制處理�����;通過所述隔離VLAN的上行端口接收所述防火墻線卡轉發(fā)的交互報文�;通過所述隔離VLAN中所述目的服務器對應的目的下行端口�����,將所述交互報文轉發(fā)到所述目的服務器�����。本發(fā)明解決了多個服務器間二層互訪安全隔離需要占用多個VLAN資源的問題�。
文檔編號H04L12/46GK102420762SQ201110399450
公開日2012年4月18日 申請日期2011年12月5日 優(yōu)先權日2011年12月5日
發(fā)明者陳佑建 申請人:北京星網銳捷網絡技術有限公司