业务处理方法及装置与流程
本发明涉及通信技术领域,尤其涉及一种业务处理方法及装置。
背景技术:
fabric网络是一种采用脊/叶(spine/leaf)架构的数据中心网络。图1是脊/叶架构的示例图。如图1所示,spine之间没有连线,leaf之间没有连线,spine与leaf间为全网状(fullmesh)连接。在数据中心网络中,用户根据组网场景的不同,可能存在跨fabric网络部署。
防火墙设备通过边界路由器border的外网出口转发各业务的业务报文。对于不同的业务,防火墙设备设置了不同的处理策略。针对每一种业务,防火墙设备在接收到属于该业务的第一个业务报文时,创建该业务的业务会话(session)信息。业务会话session信息可以包括该业务的业务报文的源ip地址、目的ip地址等。并且,在创建业务会话session信息时,将该业务对应的处理策略也包含在业务会话session信息中。这样,在后续再接收到属于该业务的业务报文时,防火墙设备直接根据该业务的业务会话session信息对业务报文进行转发,无需再查询该业务对应的处理策略。
相关技术中,如果边界路由器border的外网出口出现故障,则防火墙设备无法通过故障的外网出口转发业务报文,从而导致业务中断。
技术实现要素:
为克服相关技术中存在的问题,本发明提供了一种业务处理方法及装置,能够提高效率,减小对主用防火墙设备的业务处理性能的影响。
第一方面,本发明提供一种业务处理方法,该方法应用于防火墙设备,包括:
获取边界路由器border的外网出口故障;
将本地业务会话session信息发送至备防火墙设备进行备份;
确定本地业务会话session信息已备份至所述备防火墙设备,则向网关发送路径切换通知,以由所述网关根据所述路径切换通知将从所述网关至本防火墙设备的路径切换为从所述网关至所述备防火墙设备的路径。
结合第一方面,在第一种可能的实现方式中,所述将本地业务会话session信息发送至备防火墙设备进行备份包括:
针对本地业务会话session,确定所述业务会话session所属的目标业务,从本防火墙设备对应的各备防火墙设备中选择用于处理所述目标业务的目标备防火墙设备,将该业务会话session发送至目标备防火墙设备进行备份。
结合第一方面,在第二种可能的实现方式中,所述将本地业务会话session信息发送至备防火墙设备进行备份是由接收到需通过故障的所述外网出口发送的第一业务报文触发的;
所述将业务会话session发送至目标备防火墙设备进行备份包括:
若所述第一业务报文匹配所述业务会话session,则将所述第一业务报文与业务会话session一起发送至目标备防火墙设备,以由目标备防火墙设备存储接收的业务会话session,并转发接收的第一业务报文。
结合第一方面,在第三种可能的实现方式中,该方法之前进一步包括:
在所述主防火墙设备和备防火墙设备之间建立用于备份业务session信息的点对点隧道;
所述将所述第一业务报文与业务会话session一起发送至目标备防火墙设备包括:
将所述第一业务报文与业务会话session一起通过所述主防火墙设备与目标备防火墙设备之间的点对点隧道发送至目标备防火墙设备。
结合第一方面,在第四种可能的实现方式中,在将本地业务会话session信息发送至备防火墙设备进行备份的过程中,若接收到第二业务报文,该方法进一步包括:
检查与第二业务报文匹配的业务会话session信息是否已备份至第一备防火墙设备,所述第一备防火墙设备为用于处理第二业务报文所属业务的备防火墙设备;
如果是,则通过本防火墙设备与所述第一备防火墙设备之间的点对点隧道发送所述第二业务报文至所述第一备防火墙设备进行转发;如果否,将所述第二业务报文与所述第二业务报文所匹配的业务会话session信息一起通过本防火墙设备与所述第一备防火墙设备之间的点对点隧道发送至所述第一备防火墙设备,以使所述第一备防火墙设备存储收到的业务会话session,并转发收到的所述第二业务报文。
第二方面,本发明提供一种业务处理装置,该装置应用于防火墙设备,包括:
获取模块,用于获取边界路由器border的外网出口故障;
备份模块,用于将本地业务会话session信息发送至备防火墙设备进行备份;
路径切换模块,用于确定本地业务会话session信息已备份至所述备防火墙设备,则向网关发送路径切换通知,以由所述网关根据路径切换通知将从所述网关至本防火墙设备的路径切换为从所述网关至所述备防火墙设备的路径。
结合第二方面,在第一种可能的实现方式中,所述备份模块在用于将本地业务会话session信息发送至备防火墙设备进行备份时,具体用于:
针对本地业务会话session,确定所述业务会话session所属的目标业务,从本防火墙设备对应的各备防火墙设备中选择用于处理所述目标业务的目标备防火墙设备,将该业务会话session发送至目标备防火墙设备进行备份。
结合第二方面,在第二种可能的实现方式中,所述将本地业务会话session信息发送至备防火墙设备进行备份是由接收到需通过故障的所述外网出口发送的第一业务报文触发的;
所述备份模块在用于将业务会话session发送至目标备防火墙设备进行备份时,具体用于:
若所述第一业务报文匹配所述业务会话session,则将所述第一业务报文与业务会话session一起发送至目标备防火墙设备,以由目标备防火墙设备存储接收的业务会话session,并转发接收的第一业务报文。
结合第二方面,在第三种可能的实现方式中,还包括:
隧道建立模块,用于在本防火墙设备和备防火墙设备之间建立用于备份业务session信息的点对点隧道;
所述备份模块在用于将所述第一业务报文与业务会话session一起发送至目标备防火墙设备时,具体用于:
将所述第一业务报文与业务会话session一起通过所述主防火墙设备与目标备防火墙设备之间的点对点隧道发送至目标备防火墙设备。
结合第二方面,在第四种可能的实现方式中,在将本地业务会话session信息发送至备防火墙设备进行备份的过程中,若接收到第二业务报文,该装置进一步包括:
检查模块,用于检查与第二业务报文匹配的业务会话session信息是否已备份至第一备防火墙设备,所述第一备防火墙设备为用于处理第二业务报文所属业务的备防火墙设备;
发送模块,用于如果是,则通过本防火墙设备与所述第一备防火墙设备之间的点对点隧道发送所述第二业务报文至所述第一备防火墙设备进行转发;如果否,将所述第二业务报文与所述第二业务报文所匹配的业务会话session信息一起通过本防火墙设备与所述第一备防火墙设备之间的点对点隧道发送至所述第一备防火墙设备,以使所述第一备防火墙设备存储收到的业务会话session,并转发收到的第二业务报文。
因此,本发明提供的业务处理方法,通过获取边界路由器border的外网出口故障,将本地业务会话session信息发送至备防火墙设备进行备份,确定本地业务会话session信息已备份至备防火墙设备,则向网关发送路径切换通知,以由网关根据路径切换通知将从网关至本防火墙设备的路径切换为从网关至备防火墙设备的路径,实现了在边界路由器border的外网出口出现故障时,由备防火墙设备转发业务报文,避免业务中断,提升了用户体验。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1是脊/叶架构的一个示例图。
图2是现有技术中业务转发路径的示例图。
图3是现有技术中主、备用业务转发路径的示例图。
图4是本发明实施例提供的业务处理方法的流程示例图。
图5是备用业务转发路径的最短路径的示例图。
图6是本发明实施例提供的业务处理装置的功能方块图。
图7是本发明实施例提供的防火墙设备的一种硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本发明实施例的一些方面相一致的装置和方法的例子。
在本发明实施例使用的术语是仅仅出于描述特定本发明实施例的目的,而非旨在限制本发明实施例。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本发明实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
图2是现有技术中业务转发路径的示例图。图3是现有技术中主、备用业务转发路径的示例图。如图2所示,在第一数据中心网络中,虚拟机(virtualmachine,vm)发出的业务报文经由叶节点-脊节点-边界路由器border-防火墙设备-边界路由器border-无线接入网(wirelessaccessnetwork,wan)构成的路径传输给外部网络wan1,这条路径(即图2中带箭头的虚线指示的路径)为业务转发路径。
为了防止边界路由器出现故障,为图2中的防火墙设备设置了备防火墙设备,如图3所示,备防火墙设备位于另一个数据中心网络(即第二数据中心网络)中。为了便于描述,以下将图2中的防火墙设备称为主防火墙设备。现有的相关技术中,当边界路由器border出现故障,业务报文无法通过边界路由器border转发给外部网络wan1时,通过图3所示的备用业务转发路径(即图3中带箭头的虚线指示的路径)将业务报文发送给外部网络wan1。由图3可见,备用业务转发路径经过主防火墙设备侧的边界路由器border、主防火墙设备、第一数据中心网络中的边缘设备(edgedevice,ed)、第二中心网络中的边缘设备、备防火墙设备和备防火墙设备侧的边界路由器border(此处并未一一列举,备用业务转发路径经过的其他设备请详见图3)。
不同业务的备防火墙设备可能位于不同的数据中心网络上。例如,业务1和业务2的主防火墙设备都位于图2所示的第一数据中心网络上,业务1对应的备防火墙设备位于图3所示的第二数据中心网络上,业务2对应的备防火墙设备位于第三数据中心网络上。
相关技术中,如果边界路由器border的外网出口出现故障,则防火墙设备无法通过故障的外网出口转发业务报文,从而导致业务中断。
一些相关技术中,主防火墙设备创建session表项后,将session表项实时备份到备防火墙设备上。当主防火墙设备侧的边界路由器border出现故障时,业务转发路径由图2所示的主用业务转发路径切换为图3所示的备用业务转发路径,业务报文由备防火墙设备侧的边界路由器border转发给外部网络wan1。这样虽然保证了业务不会中断,但是,由于主防火墙设备实时地将session表项传输给备防火墙设备,导致每对主备防火墙设备都要进行session表项的备份,然而并不是每个备防火墙设备都要用到备份的session表项,实际上主用业务转发路径发生故障的概率通常较低,这样备防火墙设备需要同步session表项的情况很少,而备份却无论需要不需要都要进行,因此效率很低。
而且,实时传输session表项会不必要地占用主防火墙设备的资源,主防火墙设备能够用于主用业务转发路径的资源就会受到限制,从而会降低主防火墙设备的业务处理性能。
为了解决上述的问题,本发明实施例提供了一种业务处理方法,该方法不对会话session进行实时转发,而是在获取边界路由器border的外网出口故障时,才将主防火墙设备的本地业务会话session信息发送至备防火墙设备进行备份。这样,既能够保证主防火墙设备侧的边界路由器border的外网出口出现故障时业务能够通过备防火墙设备侧的边界路由器border的外网出口转发,避免业务终端,又减小了对主防火墙设备的影响,使主防火墙设备保持较高的业务处理性能。。
本发明实施例的业务处理方法可以应用于跨fabric网络的场景,也可以应用于非跨fabric网络的场景。下面通过实施例对本发明的业务处理方法进行说明。
图4是本发明实施例提供的业务处理方法的流程示例图。该业务处理方法应用于数据中心网络上的防火墙设备,如图4所示,该方法可以包括:
s401,获取边界路由器border的外网出口故障。
s402,将本地业务会话session信息发送至备防火墙设备进行备份。
s403,确定本地业务会话session信息已备份至备防火墙设备,则向网关发送路径切换通知,以由网关根据路径切换通知将从网关至本防火墙设备的路径切换为从网关至备防火墙设备的路径。
本实施例中,并不是实时将本地业务会话session信息发送到备防火墙设备进行备份,而是在本防火墙设备侧的边界路由器border的外网出口故障时才进行备份。
这样,由于在大部分情况下,边界路由器border的外网出口没有故障,处于正常工作中,本防火墙设备无需向备防火墙设备进行本地业务会话session信息的备份,本防火墙设备的业务处理性能不会受到影响。
在边界路由器border的外网出口出现故障时,如果在故障期间,本防火墙设备没有收到业务报文,此时本防火墙设备也不需要向备防火墙设备进行本地业务会话session信息的备份。
只有在边界路由器border的外网出口出现故障、且在故障期间本防火墙设备接收到业务报文的情况下,本防火墙设备才需要向备防火墙设备进行本地业务会话session信息的备份。
如此,就尽可能地减少了备份的次数,提高了效率。并且最大程度地减少了对本防火墙设备的业务处理性能的影响。
在一个示例中,本防火墙设备可以对边界路由器border的外网出口进行监测,以动态感知边界路由器border的外网出口故障。
在一个例子中,可以在本防火墙设备中安装一个故障监测程序,用于对边界border路由器进行故障监测。本防火墙设备根据故障监测程序的结果来确定边界路由器是否出现了故障。其中,故障监测的方式可以是:防火墙设备定期向边界路由器发送keepalive心跳报文,如果在预定的响应时间内未收到边界路由器回应的心跳报文,则认为边界路由器出现了故障。
在一个示例性的实现过程中,步骤s402可以包括:
针对本地业务会话session信息,确定业务会话session信息所属的目标业务,从本防火墙设备对应的各备防火墙设备中选择用于处理目标业务的目标备防火墙设备,将该业务会话session信息发送至目标备防火墙设备进行备份。
例如,假设本防火墙设备上处理三种业务:业务1、业务2和业务3,其中,用于处理业务1的备防火墙设备为防火墙设备1,用于处理业务,2的备防火墙设备为防火墙设备2,用于处理业务3的备防火墙设备为防火墙设备3。当本防火墙设备侧的边界路由器border的外网出口故障时,本防火墙设备将业务1的业务会话session信息发送至防火墙设备1进行备份,将业务2的业务会话session信息发送至防火墙设备2进行备份,将业务3的业务会话session信息发送至防火墙设备3进行备份。
在一个示例性的实现过程中,将本地业务会话session信息发送至备防火墙设备进行备份是由接收到需通过故障的外网出口发送的第一业务报文触发的;
将业务会话session信息发送至目标备防火墙设备进行备份包括:
若第一业务报文匹配业务会话session信息,则将第一业务报文与业务会话session信息一起发送至目标备防火墙设备,以由目标备防火墙设备存储接收的业务会话session信息,并转发接收的第一业务报文。
本实施例中,第一业务报文匹配业务会话session信息,说明第一业务报文是业务会话session信息所属的目标业务的报文,要使备防火墙设备对第一业务报文进行转发,备防火墙设备中需要有与第一业务报文匹配的业务会话session信息。
本示例中,当本防火墙设备接收到需通过故障的外网出口发送的第一业务报文时,触发本地业务会话session信息的备份。此时,本防火墙设备将第一业务报文与业务会话session信息一起发送至目标备防火墙设备,这样,目标备防火墙设备就可以根据业务会话session信息对第一业务报文进行转发,从而保持第一业务的持续。
在一个示例性的实现过程中,该方法之前进一步包括:
在本防火墙设备和备防火墙设备之间建立用于备份业务session信息的点对点隧道;
将第一业务报文与业务会话session信息一起发送至目标备防火墙设备包括:
将第一业务报文与业务会话session信息一起通过本防火墙设备与目标备防火墙设备之间的点对点隧道发送至目标备防火墙设备。
在一个示例中,在可扩展虚拟局域网覆盖(virtualextendlocalaccessnetwork,vxlanoverlay)组网中,可以采用虚拟隧道端点隧道(virtualtunnelendpoint,vteptunnel)作为点对点隧道。
在步骤s402中,本防火墙设备可以将业务报文和对应的session表项一同打包后发送到备防火墙设备。
在一个例子中,可以预先在本防火墙设备和备防火墙设备之间设置点对点隧道tunnel,在本防火墙设备和备防火墙设备之间设置有点对点隧道tunnel的情形下,本防火墙设备可以通过该点对点隧道tunnel将本地的会话session信息和业务报文发送给备防火墙设备,或者在会话session信息已备份至备防火墙设备的情况下通过该点对点隧道tunnel将业务报文发送给备防火墙设备中。session信息和对应的业务报文可以同时封装在隧道封装中。session信息已备份的情况下,可以将业务报文独立封装在隧道封装中发送给备防火墙设备。
在一个示例性的实现过程中,在将本地业务会话session信息发送至备防火墙设备进行备份的过程中,若接收到第二业务报文,该方法进一步包括:
检查与第二业务报文匹配的业务会话session信息是否已备份至第一备防火墙设备,第一备防火墙设备为用于处理第二业务报文所属业务的备防火墙设备;
如果是,则通过本防火墙设备与第一备防火墙设备之间的点对点隧道发送第二业务报文至第一备防火墙设备进行转发;如果否,将第二业务报文与第二业务报文所匹配的业务会话session信息一起通过本防火墙设备与第一备防火墙设备之间的点对点隧道发送至第一备防火墙设备,以使第一备防火墙设备存储收到的业务会话session信息,并转发收到的第二业务报文。
每种业务的报文的转发需要使用与该业务报文匹配的业务会话session信息。在业务会话session信息的备份过程中,若本防火墙设备接收到新业务报文,仍然需要检查检查与该新业务报文匹配的业务会话session信息是否已备份至对应的备防火墙设备,如果已备份,则直接向备防火墙设备转发业务报文即可,如果还未备份,则需要向备防火墙设备转发业务报文和对应的业务会话session信息,以保证备防火墙设备能够根据对应的业务会话session信息转发业务报文。
在步骤s403中,本防火墙设备通过向网关发送路径切换通知,实现了主备业务转发路径的切换。
其中,主业务转发路径指从网关至本防火墙设备的路径,备业务转发路径指从网关至备防火墙设备的路径。
在步骤s403中,各业务的session信息全部备份完毕后才进行业务转发路径的切换,保证备防火墙设备侧的边界路由器在路径切换后就能够根据session信息转发对应的业务报文,从而使主备业务转发路径之间能够平滑过渡。
在一个示例性的实现过程中,备业务转发路径通过最短路径路由将业务报文转发给备防火墙设备。
其中,最短路径不经过本防火墙设备和本防火墙设备侧的边界路由器,使得业务报文的传输时间更短,传输速度更快。图5是备业务转发路径的最短路径的示例图。如图5所示,最短路径直接从一个脊节点(可以为网关)到达另一个脊节点,中间不经过本防火墙设备和本防火墙设备侧的边界路由器。
本发明实施例,通过获取边界路由器border的外网出口故障,将本地业务会话session信息发送至备防火墙设备进行备份,确定本地业务会话session信息已备份至备防火墙设备,则向网关发送路径切换通知,以由网关根据路径切换通知将从网关至本防火墙设备的路径切换为从网关至备防火墙设备的路径,实现了在边界路由器border的外网出口出现故障时,由备防火墙设备转发业务报文,避免业务中断,提升了用户体验。
并且,本发明实施例在边界路由器出现故障且故障期间接收到业务报文的情况下才启动主备用防火墙设备之间的session信息备份,减少了执行session信息备份的操作次数,因此提高了处理效率,并且不需要在主用业务转发路径使用期间进行session信息的备份,减小了对本防火墙设备的业务处理性能的影响。
与前述方法的实施例相对应,本说明书还提供了装置及其所应用的设备的实施例。
图6是本发明实施例提供的业务处理装置的功能方块图。该业务处理装置应用于防火墙设备,如图6所示,该装置包括:
获取模块610,用于获取边界路由器border的外网出口故障;
备份模块620,用于将本地业务会话session信息发送至备防火墙设备进行备份;
路径切换模块630,用于确定本地业务会话session信息已备份至所述备防火墙设备,则向网关发送路径切换通知,以由所述网关根据路径切换通知将从所述网关至本防火墙设备的路径切换为从所述网关至所述备防火墙设备的路径。
在一个示例性的实现过程中,备份模块620在用于将本地业务会话session信息发送至备防火墙设备进行备份时,可以具体用于:
针对本地业务会话session信息,确定所述业务会话session信息所属的目标业务,从本防火墙设备对应的各备防火墙设备中选择用于处理所述目标业务的目标备防火墙设备,将该业务会话session信息发送至目标备防火墙设备进行备份。
在一个示例性的实现过程中,将本地业务会话session信息发送至备防火墙设备进行备份是由接收到需通过故障的所述外网出口发送的第一业务报文触发的;
备份模块620在用于将业务会话session信息发送至目标备防火墙设备进行备份时,可以具体用于:
若所述第一业务报文匹配所述业务会话session信息,则将所述第一业务报文与业务会话session信息一起发送至目标备防火墙设备,以由目标备防火墙设备存储接收的业务会话session信息,并转发接收的第一业务报文。
在一个示例性的实现过程中,所述装置还可以包括:
隧道建立模块,用于在本防火墙设备和备防火墙设备之间建立用于备份业务session信息的点对点隧道;
备份模块620在用于将第一业务报文与业务会话session信息一起发送至目标备防火墙设备时,可以具体用于:
将所述第一业务报文与业务会话session信息一起通过本防火墙设备与目标备防火墙设备之间的点对点隧道发送至目标备防火墙设备。
在一个示例性的实现过程中,在将本地业务会话session信息发送至备防火墙设备进行备份的过程中,若接收到第二业务报文,该装置进一步包括:
检查模块,用于检查与第二业务报文匹配的业务会话session信息是否已备份至第一备防火墙设备,所述第一备防火墙设备为用于处理第二业务报文所属业务的备防火墙设备;
发送模块,用于如果是,则通过本防火墙设备与所述第一备防火墙设备之间的点对点隧道发送所述第二业务报文至所述第一备防火墙设备进行转发;如果否,将所述第二业务报文与所述第二业务报文所匹配的业务会话session信息一起通过本防火墙设备与所述第一备防火墙设备之间的点对点隧道发送至所述第一备防火墙设备,以使所述第一备防火墙设备存储收到的业务会话session信息,并转发收到的第二业务报文。
本发明实施例还提供一种防火墙设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现如下操作:
获取边界路由器border的外网出口故障;
将本地业务会话session信息发送至备防火墙设备进行备份;
确定本地业务会话session信息已备份至所述备防火墙设备,则向网关发送路径切换通知,以由所述网关根据所述路径切换通知将从所述网关至本防火墙设备的路径切换为从所述网关至所述备防火墙设备的路径。
在一个示例性的实现过程中,所述将本地业务会话session信息发送至备防火墙设备进行备份包括:
针对本地业务会话session信息,确定所述业务会话session信息所属的目标业务,从本防火墙设备对应的各备防火墙设备中选择用于处理所述目标业务的目标备防火墙设备,将该业务会话session信息发送至目标备防火墙设备进行备份。
在一个示例性的实现过程中,所述将本地业务会话session信息发送至备防火墙设备进行备份是由接收到需通过故障的所述外网出口发送的第一业务报文触发的;
所述将业务会话session信息发送至目标备防火墙设备进行备份包括:
若所述第一业务报文匹配所述业务会话session信息,则将所述第一业务报文与业务会话session信息一起发送至目标备防火墙设备,以由目标备防火墙设备存储接收的业务会话session信息,并转发接收的第一业务报文。
在一个示例性的实现过程中,该方法之前进一步包括:
在本防火墙设备和备防火墙设备之间建立用于备份业务session信息的点对点隧道;
所述将所述第一业务报文与业务会话session信息一起发送至目标备防火墙设备包括:
将所述第一业务报文与业务会话session信息一起通过本防火墙设备与目标备防火墙设备之间的点对点隧道发送至目标备防火墙设备。
在一个示例性的实现过程中,在将本地业务会话session信息发送至备防火墙设备进行备份的过程中,若接收到第二业务报文,该方法进一步包括:
检查与第二业务报文匹配的业务会话session信息是否已备份至第一备防火墙设备,所述第一备防火墙设备为用于处理第二业务报文所属业务的备防火墙设备;
如果是,则通过本防火墙设备与所述第一备防火墙设备之间的点对点隧道发送所述第二业务报文至所述第一备防火墙设备进行转发;如果否,将所述第二业务报文与所述第二业务报文所匹配的业务会话session信息一起通过本防火墙设备与所述第一备防火墙设备之间的点对点隧道发送至所述第一备防火墙设备,以使所述第一备防火墙设备存储收到的业务会话session信息,并转发收到的所述第二业务报文。
本发明实施例的防火墙设备可以采用如图7所示的硬件结构。图7是本发明实施例提供的防火墙设备的一种硬件结构图,图7中,存储器包括内存和非易失性存储器,实现业务处理方法的计算机程序存储在内存中。
需要说明的是,除了图7所示的处理器、网络接口、内存以及非易失性存储器之外,在其他实施例中防火墙设备通常还可以包括其他硬件,对此图7中不再详细示出。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,其中,所述程序被处理器执行时实现如下操作:
获取边界路由器border的外网出口故障;
将本地业务会话session信息发送至备防火墙设备进行备份;
确定本地业务会话session信息已备份至所述备防火墙设备,则向网关发送路径切换通知,以由所述网关根据所述路径切换通知将从所述网关至本防火墙设备的路径切换为从所述网关至所述备防火墙设备的路径。
在一个示例性的实现过程中,所述将本地业务会话session信息发送至备防火墙设备进行备份包括:
针对本地业务会话session信息,确定所述业务会话session信息所属的目标业务,从本防火墙设备对应的各备防火墙设备中选择用于处理所述目标业务的目标备防火墙设备,将该业务会话session信息发送至目标备防火墙设备进行备份。
在一个示例性的实现过程中,所述将本地业务会话session信息发送至备防火墙设备进行备份是由接收到需通过故障的所述外网出口发送的第一业务报文触发的;
所述将业务会话session信息发送至目标备防火墙设备进行备份包括:
若所述第一业务报文匹配所述业务会话session信息,则将所述第一业务报文与业务会话session信息一起发送至目标备防火墙设备,以由目标备防火墙设备存储接收的业务会话session信息,并转发接收的第一业务报文。
在一个示例性的实现过程中,该方法之前进一步包括:
在本防火墙设备和备防火墙设备之间建立用于备份业务session信息的点对点隧道;
所述将所述第一业务报文与业务会话session信息一起发送至目标备防火墙设备包括:
将所述第一业务报文与业务会话session信息一起通过本防火墙设备与目标备防火墙设备之间的点对点隧道发送至目标备防火墙设备。
在一个示例性的实现过程中,在将本地业务会话session信息发送至备防火墙设备进行备份的过程中,若接收到第二业务报文,该方法进一步包括:
检查与第二业务报文匹配的业务会话session信息是否已备份至第一备防火墙设备,所述第一备防火墙设备为用于处理第二业务报文所属业务的备防火墙设备;
如果是,则通过本防火墙设备与所述第一备防火墙设备之间的点对点隧道发送所述第二业务报文至所述第一备防火墙设备进行转发;如果否,将所述第二业务报文与所述第二业务报文所匹配的业务会话session信息一起通过本防火墙设备与所述第一备防火墙设备之间的点对点隧道发送至所述第一备防火墙设备,以使所述第一备防火墙设备存储收到的业务会话session信息,并转发收到的所述第二业务报文。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
- 还没有人留言评论。精彩留言会获得点赞!