一種路由生成方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種路由生成方法及裝置�,應(yīng)用于防火墻�����,所述方法包括:接收發(fā)送至所述防火墻的數(shù)據(jù)包���,判斷所述數(shù)據(jù)包的目的IP地址是否屬于預(yù)設(shè)地址�,若是,則獲取所述數(shù)據(jù)包對應(yīng)的透明網(wǎng)橋標識�����、目的IP地址及目的MAC地址����,依據(jù)所述透明網(wǎng)橋標識、目的IP地址及目的MAC地址�,生成路由,將所述路由保存于預(yù)先設(shè)置的路由表中����。通過本發(fā)明提供的路由生成方法,路由表中包含有與數(shù)據(jù)包目的IP地址對應(yīng)的透明網(wǎng)橋標識及目的MAC地址���,為數(shù)據(jù)包的發(fā)送提供了相應(yīng)的路由���,通過查詢所述路由表可將所述數(shù)據(jù)包進行發(fā)送,從而解決了現(xiàn)有技術(shù)中數(shù)據(jù)包在經(jīng)過代理服務(wù)單元后無法查找路由���,導致數(shù)據(jù)包發(fā)送失敗的問題����。
【專利說明】一種路由生成方法及裝置
【技術(shù)領(lǐng)域】
[0001 ] 本申請涉及網(wǎng)絡(luò)通信【技術(shù)領(lǐng)域】�����,尤其是一種路由生成方法及裝置�����。
【背景技術(shù)】
[0002]隨著防火墻技術(shù)的發(fā)展��,市場上各種類型的防火墻產(chǎn)品不斷更新��。衡量防火漆產(chǎn)品的重要指標之一是設(shè)置并提高安全性能的透明模式���。工作在透明模式的防火墻就像是一根網(wǎng)線�,串聯(lián)在用戶網(wǎng)絡(luò)中�����,不需對網(wǎng)絡(luò)設(shè)備和計算機終端設(shè)備相關(guān)設(shè)置(如IP地址和網(wǎng)關(guān))進行改變��,但同時可以解析所有通過它的數(shù)據(jù)包����,從而既增加了網(wǎng)絡(luò)的安全性�����,又降低了用戶管理的復雜程度�。
[0003]防火墻在實現(xiàn)所述透明模式的過程中需要結(jié)合透明網(wǎng)橋技術(shù)�,具體過程為:透明網(wǎng)橋接收到數(shù)據(jù)包后,將需要進行代理服務(wù)的數(shù)據(jù)包通過TCP/IP協(xié)議棧發(fā)送到防火墻上的代理服務(wù)單元���。而該TCP/IP協(xié)議棧處理數(shù)據(jù)包的過程中會刪去目的MAC地址��,這樣����,造成數(shù)據(jù)包在經(jīng)過代理服務(wù)單元的處理后無法確定發(fā)送路由�����,從而導致數(shù)據(jù)包發(fā)送失敗��。
【發(fā)明內(nèi)容】
[0004]有鑒于此���,本申請?zhí)峁┝艘环N路由生成方法及裝置�,以解決現(xiàn)有技術(shù)中數(shù)據(jù)包在經(jīng)過代理服務(wù)后無法查找路由����,從而導致數(shù)據(jù)包發(fā)送失敗的問題�。本申請?zhí)峁┑募夹g(shù)方案如下:
[0005]一種路由生成方法�����,應(yīng)用于防火墻��,所述方法包括:
[0006]接收發(fā)送至所述防火墻的數(shù)據(jù)包���;
[0007]判斷所述數(shù)據(jù)包的目的IP地址是否屬于預(yù)設(shè)地址;
[0008]若是���,則獲取所述數(shù)據(jù)包對應(yīng)的透明網(wǎng)橋標識�、目的IP地址及目的MAC地址����,依據(jù)所述透明網(wǎng)橋標識、目的IP地址及目的MAC地址�,生成路由,將所述路由保存于預(yù)先設(shè)置的路由表中����。
[0009]上述方法�����,優(yōu)選的��,透明網(wǎng)橋標識�、目的IP地址及目的MAC地址保存在數(shù)據(jù)包結(jié)構(gòu)體中���;
[0010]其中���,獲取與數(shù)據(jù)包對應(yīng)的透明網(wǎng)橋標識、目的IP地址及目的MAC地址�����,包括:
[0011]提取所述數(shù)據(jù)包結(jié)構(gòu)體中的透明網(wǎng)橋標識�、目的IP地址及目的MAC地址。
[0012]上述方法����,優(yōu)選的,所述透明網(wǎng)橋標識包括:透明網(wǎng)橋的網(wǎng)卡名稱和/或透明網(wǎng)橋的編號�����。
[0013]上述方法,優(yōu)選的�,在依據(jù)所述透明網(wǎng)橋標識、目的IP地址及目的MAC地址����,生成路由,并保存于預(yù)先設(shè)置的路由表中之后�����,還包括:
[0014]將所述數(shù)據(jù)包發(fā)送至代理服務(wù)單元�����;
[0015]觸發(fā)所述代理服務(wù)單元檢測所述數(shù)據(jù)包是否符合預(yù)設(shè)的協(xié)議規(guī)則標準��,若是��,則觸發(fā)所述代理服務(wù)單元標記所述數(shù)據(jù)包并發(fā)送所述標記的數(shù)據(jù)包����。
[0016]上述方法��,優(yōu)選的,在將所述路由保存于預(yù)先設(shè)置的路由表中之后��,還包括:[0017]接收所述代理服務(wù)單元發(fā)送的所述標記的數(shù)據(jù)包���;
[0018]獲取所述標記的數(shù)據(jù)包對應(yīng)的目的IP地址���;
[0019]依據(jù)所述目的IP地址,在所述路由表中查找相對應(yīng)的透明網(wǎng)橋標識及目的MAC地址�����;
[0020]依據(jù)所述透明網(wǎng)橋標識����,將所述數(shù)據(jù)包發(fā)送至相對應(yīng)的透明網(wǎng)橋��;
[0021]觸發(fā)所述透明網(wǎng)橋依據(jù)所述目的MAC地址發(fā)送所述數(shù)據(jù)包��。
[0022]本申請還提供了一種路由生成裝置,應(yīng)用于防火墻����,所述裝置包括:
[0023]接收模塊�����,用于接收發(fā)送至所述防火墻的數(shù)據(jù)包���;
[0024]判斷模塊����,用于判斷所述數(shù)據(jù)包的目的IP地址是否屬于預(yù)設(shè)地址;若是����,觸發(fā)生成模塊;
[0025]生成模塊����,用于獲取所述數(shù)據(jù)包對應(yīng)的透明網(wǎng)橋標識��、目的IP地址及目的MAC地址��,依據(jù)所述透明網(wǎng)橋標識�����、目的IP地址及目的MAC地址,生成路由�,并保存于預(yù)先設(shè)置的
路由表中����。
[0026]上述裝置����,優(yōu)選的,所述生成模塊包括:
[0027]獲取單元�����,用于獲取所述數(shù)據(jù)包對應(yīng)的透明網(wǎng)橋標識�����、目的IP地址及目的MAC地址�����;
[0028]生成單元,用于依據(jù)所述透明網(wǎng)橋標識�����、目的IP地址及目的MAC地址,生成路由��,并保存于預(yù)先設(shè)置的路由表中��;
[0029]其中:所述獲取單元包括:
[0030]提取子單元����,用于提取所述數(shù)據(jù)包結(jié)構(gòu)體中的透明網(wǎng)橋標識�、目的IP地址及目的MAC地址����。
[0031]上述裝置,優(yōu)選的����,所述生成模塊獲取到的透明網(wǎng)橋標識包括透明網(wǎng)橋的網(wǎng)卡名稱和/或透明網(wǎng)橋的編號。
[0032]上述裝置����,優(yōu)選的,還包括:
[0033]第一發(fā)送模塊���,用于將所述數(shù)據(jù)包發(fā)送至代理服務(wù)單元���;
[0034]第一觸發(fā)模塊,用于觸發(fā)所述代理服務(wù)單元檢測所述數(shù)據(jù)包是否符合預(yù)設(shè)的協(xié)議規(guī)則標準�����,若是,則觸發(fā)所述代理服務(wù)單元標記所述數(shù)據(jù)包并發(fā)送所述標記的數(shù)據(jù)包�����。
[0035]上述裝置����,優(yōu)選的,還包括:
[0036]接收模塊����,用于接收所述代理服務(wù)單元發(fā)送的所述標記的數(shù)據(jù)包;
[0037]獲取模塊���,用于獲取所述標記的數(shù)據(jù)包對應(yīng)的目的IP地址���;
[0038]查找模塊,用于依據(jù)所述目的IP地址����,在所述路由表中查找相對應(yīng)的透明網(wǎng)橋標識及目的MAC地址�����;
[0039]第二發(fā)送模塊,用于依據(jù)所述透明網(wǎng)橋標識�����,將所述數(shù)據(jù)包發(fā)送至相對應(yīng)的透明網(wǎng)橋�����;
[0040]第二觸發(fā)模塊���,用于觸發(fā)所述透明網(wǎng)橋依據(jù)所述目的MAC地址發(fā)送所述數(shù)據(jù)包��。
[0041]由以上技術(shù)方案可知����,本申請?zhí)峁┝艘环N路由生成方法及裝置�,應(yīng)用于防火墻,該方法包括:接收發(fā)送至所述防火墻的數(shù)據(jù)包���,判斷該數(shù)據(jù)包的目的IP地址是否屬于預(yù)設(shè)地址����,若是,獲取該數(shù)據(jù)包對應(yīng)的透明網(wǎng)橋標識�、目的IP地址及目的MAC地址,并依據(jù)所述透明網(wǎng)橋標識��、目的IP地址及目的MAC地址生成路由��,并保存于預(yù)先設(shè)置的路由表中�。通過本申請?zhí)峁┑穆酚缮煞椒ǎ酚杀碇邪信c數(shù)據(jù)包目的IP地址對應(yīng)的透明網(wǎng)橋標識及目的MAC地址�,為數(shù)據(jù)包的發(fā)送提供了相應(yīng)的路由,通過查詢所述路由表可將所述數(shù)據(jù)包進行發(fā)送��,從而解決了現(xiàn)有技術(shù)中數(shù)據(jù)包在經(jīng)過代理服務(wù)后無法查找路由����,導致數(shù)據(jù)包發(fā)送失敗的問題。
【專利附圖】
【附圖說明】
[0042]為了更清楚地說明本申請實施例中的技術(shù)方案�,下面將對實施例描述中所需要使用的附圖作簡單地介紹,顯而易見地��,下面描述中的附圖僅僅是本申請的一些實施例�����,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下����,還可以根據(jù)這些附圖獲得其他的附圖��。
[0043]圖1為本申請?zhí)峁┑囊环N路由生成方法實施例一的流程圖�;
[0044]圖2為本申請?zhí)峁┑囊环N路由生成方法實施例二的部分流程圖;
[0045]圖3為本申請?zhí)峁┑囊环N路由生成方法實施例三的部分流程圖�;
[0046]圖4為本申請?zhí)峁┑囊环N路由生成裝置實施例四的結(jié)構(gòu)示意圖;
[0047]圖5為本申請?zhí)峁┑囊环N路由生成裝置實施例五的部分結(jié)構(gòu)示意圖��;
[0048]圖6為本申請?zhí)峁┑囊环N路由生成裝置實施例六的部分結(jié)構(gòu)示意圖�;
[0049]圖7為本申請?zhí)峁┑囊环N路由生成裝置實施例七的部分結(jié)構(gòu)示意圖。
【具體實施方式】
[0050]下面將結(jié)合本申請實施例中的附圖,對本申請實施例中的技術(shù)方案進行清楚�����、完整地描述�����,顯然���,所描述的實施例僅僅是本申請一部分實施例��,而不是全部的實施例��?����;诒旧暾堉械膶嵤├?,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本申請保護的范圍�����。
[0051]請參閱圖1���,其示出了本申請?zhí)峁┑囊环N路由生成方法實施例一的流程圖���,本實施例的方法應(yīng)用于防火墻,該方法可以包括:
[0052]步驟101:接收發(fā)送至所述防火墻的數(shù)據(jù)包�����。
[0053]防火墻利用代理技術(shù)可實現(xiàn)對數(shù)據(jù)包內(nèi)容的檢測�����,以防包含有非法協(xié)議內(nèi)容的數(shù)據(jù)包攻擊計算機設(shè)備。代理技術(shù)之一為透明模式的代理服務(wù)����,工作在透明模式的防火墻就像是一根網(wǎng)線,串聯(lián)在用戶網(wǎng)絡(luò)中�,網(wǎng)絡(luò)設(shè)備和計算機設(shè)備無需改變設(shè)置����,如IP地址和網(wǎng)關(guān)等。
[0054]而實現(xiàn)所述透明代理模式�,防火墻需要與透明網(wǎng)橋技術(shù)進行結(jié)合,即數(shù)據(jù)包通過透明網(wǎng)橋轉(zhuǎn)發(fā)至所述防火墻��。所述透明網(wǎng)橋由于無IP地址�,因此對用戶的設(shè)備來說是透明的。要使需要進行代理服務(wù)的數(shù)據(jù)包通過透明網(wǎng)橋被發(fā)送至所述防火墻的代理服務(wù)單元��,需要在所述透明網(wǎng)橋上預(yù)先配置IP地址����,用于表明發(fā)送到所述IP地址上的數(shù)據(jù)包進行代理服務(wù)檢測。當然���,除了預(yù)先配置IP地址外��,還可以配置與所述IP地址相對應(yīng)的端口號�����。
[0055]例如��,在透明網(wǎng)橋上配置IP地址為123.123.123.123����,端口號為80,則表示目的IP地址為123.123.123.123����,端口號為80的數(shù)據(jù)包需要進行代理服務(wù)。當透明網(wǎng)橋接收到數(shù)據(jù)包后�,檢測所述數(shù)據(jù)包的目的IP地址及端口號,如果符合設(shè)置的上述兩項標準��,則將所述數(shù)據(jù)包轉(zhuǎn)發(fā)至防火墻���。[0056]接收發(fā)送至所述防火墻的數(shù)據(jù)包����,所述數(shù)據(jù)包可能是由透明網(wǎng)橋發(fā)送過來的�����,也可能是由其他的網(wǎng)絡(luò)設(shè)備發(fā)送過來的,如路由器��。
[0057]步驟102:判斷所述數(shù)據(jù)包的目的IP地址是否屬于預(yù)設(shè)地址�����;若是����,執(zhí)行步驟103�。
[0058]解析所述數(shù)據(jù)包,以判斷所述數(shù)據(jù)包的目的IP地址是否屬于預(yù)設(shè)地址��。所述預(yù)設(shè)地址即步驟101中在透明網(wǎng)橋上預(yù)先設(shè)置的IP地址�。若所述目的IP地址屬于預(yù)設(shè)地址,進而執(zhí)行步驟103�����。
[0059]步驟103��,獲取所述數(shù)據(jù)包對應(yīng)的透明網(wǎng)橋標識����、目的IP地址及目的MAC地址��,依據(jù)所述透明網(wǎng)橋標識���、目的IP地址及目的MAC地址,生成路由�,將所述路由保存于預(yù)先設(shè)置的路由表中。
[0060]步驟101中接收到的所述數(shù)據(jù)包是由透明網(wǎng)橋發(fā)送過來的���,則存在與所述數(shù)據(jù)包相對應(yīng)發(fā)送所述數(shù)據(jù)包的透明網(wǎng)橋的標識��,所述數(shù)據(jù)包的目的IP地址����,所述數(shù)據(jù)包的MAC地址��,獲取所述透明網(wǎng)橋標識����、目的IP地址及目的MAC地址,生成一條路由����,即建立所述透明網(wǎng)橋標識�、目的IP地址及目的MAC地址的對應(yīng)關(guān)系����,并將所述對應(yīng)關(guān)系保存在預(yù)先設(shè)置的路由表中。
[0061]例如�,獲取到的透明網(wǎng)橋標識為fcO,目的IP地址為123.123.123.123�,目的MAC地址為00-50-56-C0-00-01,建立對應(yīng)關(guān)系����,保存于預(yù)先設(shè)置的路由表中。將所述路由保存于路由表后����,路由表的形式請參閱表1�����。
[0062]
【權(quán)利要求】
1.一種路由生成方法�����,其特征在于�,應(yīng)用于防火墻�,所述方法包括:接收發(fā)送至所述防火墻的數(shù)據(jù)包����;判斷所述數(shù)據(jù)包的目的IP地址是否屬于預(yù)設(shè)地址;若是��,則獲取所述數(shù)據(jù)包對應(yīng)的透明網(wǎng)橋標識�����、目的IP地址及目的MAC地址�����,依據(jù)所述透明網(wǎng)橋標識�����、目的IP地址及目的MAC地址�����,生成路由�����,將所述路由保存于預(yù)先設(shè)置的路由表中。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于��,透明網(wǎng)橋標識���、目的IP地址及目的MAC地址保存在數(shù)據(jù)包結(jié)構(gòu)體中����;其中����,獲取與數(shù)據(jù)包對應(yīng)的透明網(wǎng)橋標識、目的IP地址及目的MAC地址�,包括:提取所述數(shù)據(jù)包結(jié)構(gòu)體中的透明網(wǎng)橋標識�、目的IP地址及目的MAC地址。
3.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述透明網(wǎng)橋標識包括:透明網(wǎng)橋的網(wǎng)卡名稱和/或透明網(wǎng)橋的編號��。
4.根據(jù)權(quán)利要求1至3任意一項所述的方法�����,其特征在于,在將所述路由保存于預(yù)先設(shè)直的路由表中之后��,還包括:將所述數(shù)據(jù)包發(fā)送至代理服務(wù)單元����;觸發(fā)所述代理服務(wù)單元檢測所述數(shù)據(jù)包是否符合預(yù)設(shè)的協(xié)議規(guī)則標準,若是����,則觸發(fā)所述代理服務(wù)單元標記所述數(shù)據(jù)包并發(fā)送所述標記的數(shù)據(jù)包。`
5.根據(jù)權(quán)利要求4所述的方法��,其特征在于���,在觸發(fā)所述代理服務(wù)單元標記所述數(shù)據(jù)包并發(fā)送所述標記的數(shù)據(jù)包之后���,還包括:接收所述代理服務(wù)單元發(fā)送的所述標記的數(shù)據(jù)包;獲取所述標記的數(shù)據(jù)包對應(yīng)的目的IP地址��;依據(jù)所述目的IP地址��,在所述路由表中查找相對應(yīng)的透明網(wǎng)橋標識及目的MAC地址;依據(jù)所述透明網(wǎng)橋標識�����,將所述數(shù)據(jù)包發(fā)送至相對應(yīng)的透明網(wǎng)橋����;觸發(fā)所述透明網(wǎng)橋依據(jù)所述目的MAC地址發(fā)送所述數(shù)據(jù)包。
6.一種路由生成裝置�����,其特征在于�����,應(yīng)用于防火墻����,所述裝置包括:接收模塊,用于接收發(fā)送至所述防火墻的數(shù)據(jù)包����;判斷模塊�,用于判斷所述數(shù)據(jù)包的目的IP地址是否屬于預(yù)設(shè)地址;若是,觸發(fā)生成模塊�;生成模塊,用于獲取所述數(shù)據(jù)包對應(yīng)的透明網(wǎng)橋標識����、目的IP地址及目的MAC地址,依據(jù)所述透明網(wǎng)橋標識����、目的IP地址及目的MAC地址,生成路由����,將所述路由保存于預(yù)先設(shè)置的路由表中。
7.根據(jù)權(quán)利要求6所述的裝置��,其特征在于����,透明網(wǎng)橋標識、目的IP地址及目的MAC地址保存在數(shù)據(jù)包結(jié)構(gòu)體中�����,所述生成模塊包括:獲取單元��,用于獲取所述數(shù)據(jù)包對應(yīng)的透明網(wǎng)橋標識、目的IP地址及目的MAC地址���;生成單元�,用于依據(jù)所述透明網(wǎng)橋標識�、目的IP地址及目的MAC地址,生成路由��,并保存于預(yù)先設(shè)置的路由表中��;其中:所述獲取單元包括:提取子單元�����,用于提取所述數(shù)據(jù)包結(jié)構(gòu)體中的透明網(wǎng)橋標識���、目的IP地址及目的MAC地址���。
8.根據(jù)權(quán)利要求6所述的裝置,其特征在于���,所述生成模塊獲取到的透明網(wǎng)橋標識包括透明網(wǎng)橋的網(wǎng)卡名稱和/或透明網(wǎng)橋的編號���。
9.根據(jù)權(quán)利要求6至8任意一項所述的裝置�,其特征在于�,還包括:第一發(fā)送模塊���,用于將所述數(shù)據(jù)包發(fā)送至代理服務(wù)單元�;第一觸發(fā)模塊���,用于觸發(fā)所述代理服務(wù)單元檢測所述數(shù)據(jù)包是否符合預(yù)設(shè)的協(xié)議規(guī)則標準�����,若是����,則觸發(fā)所述代理服務(wù)單元標記所述數(shù)據(jù)包并發(fā)送所述標記的數(shù)據(jù)包���。
10.根據(jù)權(quán)利 要求9所述的裝置�����,其特征在于���,還包括:接收模塊�,用于接收所述代理服務(wù)單元發(fā)送的所述標記的數(shù)據(jù)包���;獲取模塊��,用于獲取所述標記的數(shù)據(jù)包對應(yīng)的目的IP地址�����;查找模塊����,用于依據(jù)所述目的IP地址����,在所述路由表中查找相對應(yīng)的透明網(wǎng)橋標識及目的MAC地址;第二發(fā)送模塊�,用于依據(jù)所述透明網(wǎng)橋標識,將所述數(shù)據(jù)包發(fā)送至相對應(yīng)的透明網(wǎng)橋���;第二觸發(fā)模塊��,用于觸發(fā)所述透明網(wǎng)橋依據(jù)所述目的MAC地址發(fā)送所述數(shù)據(jù)包���。
【文檔編號】H04L12/741GK103607350SQ201310667281
【公開日】2014年2月26日 申請日期:2013年12月10日 優(yōu)先權(quán)日:2013年12月10日
【發(fā)明者】王發(fā)鑫, 孫應(yīng)娥, 張青, 高隆林 申請人:山東中創(chuàng)軟件商用中間件股份有限公司