技术特征:
1.一种报文转发方法,应用于双机热备组的任一防火墙设备,其特征在于,所述方法包括:接收第一ipv6报文;确定未查找到所述第一ipv6报文的会话表项;将所述第一ipv6报文封装为第一分段路由ipv6报文;其中,所述第一分段路由ipv6报文的外层源ip地址是本设备ipv6地址,所述第一分段路由ipv6报文的目的ip地址是到达对端防火墙的ipv6地址的下一跳;所述分段路由头的分段列表是逆序压栈的到达所述对端防火墙设备的各跳的ipv6地址;向所述下一跳发送所述第一分段路由ipv6报文,以使得所述双机热备组的对端防火墙设备收到所述第一分段路由ipv6后对内层的所述第一ipv6报文进行会话检查。2.根据权利要求1所述的方法,其特征在于,所述方法包括:接收第二分段路由ipv6报文;其中,所述第二分段路由ipv6报文的外层源ip地址和目的ip地址分别是所述对端防火墙设备的ipv6地址以及所述本设备的ipv6地址;根据所述本设备的ipv6地址的指令部分,将所述第二分段路由ipv6报文的外层ip头和分段路由头剥掉;根据内层的第二ipv6报文查找到会话表项,根据所述第二ipv6报文的目的ip地址执行三层转发。3.一种报文转发设备,其特征在于,所述设备作为双机备份组的防火墙设备包括处理器以及存储器;所述存储器用于存储处理器可执行指令;其中,所述处理器通过运行所述存储器中的处理器可执行指令用以执行以下操作:接收第一ipv6报文;确定未查找到所述第一ipv6报文的会话表项;将所述第一ipv6报文封装为第一分段路由ipv6报文;其中,所述第一分段路由ipv6报文的外层源ip地址是本设备ipv6地址,所述第一分段路由ipv6报文的目的ip地址是到达对端防火墙的ipv6地址的下一跳;所述分段路由头的分段列表是逆序压栈的到达所述对端防火墙设备的各跳的ipv6地址;向所述下一跳发送所述第一分段路由ipv6报文,以使得所述双机热备组的对端防火墙设备收到所述第一分段路由ipv6后对内层的所述第一ipv6报文进行会话检查。4.根据权利要求3所述的设备,其特征在于,所述处理器通过运行所述存储器中的处理器可执行指令还执行以下操作:接收第二分段路由ipv6报文;其中,所述第二分段路由ipv6报文的外层源ip地址和目的ip地址分别是所述对端防火墙设备的ipv6地址以及所述本设备的ipv6地址;根据所述本设备的ipv6地址的指令部分,将所述第二分段路由ipv6报文的外层ip头和分段路由头剥掉;根据内层的第二ipv6报文查找到会话表项,根据所述第二ipv6报文的目的ip地址执行三层转发。5.一种报文转发方法,其特征在于,所述方法包括:接收第一分段路由ipv6报文;其中,所述第一分段路由ipv6报文的外层目的ip地址的源ip地址是双机热备组的第一防火墙设备的ipv6地址;所述分段路由头的分段列表的逆序
压栈的第一个分段标识是所述双机热备组的第二防火墙设备的ipv6地址;确定所述第一分段路由ipv6报文的外层目的ip地址是本设备ipv6地址;根据所述本设备ipv6地址的指令部分读取所述分段列表中作为下一个分段标识;将所述第一分段路由ipv6报文的内层ipv6报文的内层目的ip地址在本地路由表的下一跳修改为作为所述下一个分段标识的ipv6地址;将所述第一分段路由ipv6报文的外层目的ip地址修改为作为所述下一个分段标识的ipv6地址;将所述第一ipv6报文发送到修改后的外层目的ip地址。6.根据权利要求5所述的方法,其特征在于,所述方法还包括:接收第二ipv6报文;根据所述第二ipv6报文的目的ip地址查找所述本地路由表;确定所述第二ipv6报文的目的ip地址的下一跳地址是所述作为下一个分段标识的ipv6地址;将所述第二ipv6报文发往所述作为下一个分段标识的ipv6地址。7.一种报文转发设备,其特征在于,所述设备作为路由设备包括处理器以及存储器;所述存储器用于存储处理器可执行指令;其中,所述处理器通过运行所述存储器中的处理器可执行指令用以执行以下操作:接收第一分段路由ipv6报文;其中,所述第一分段路由ipv6报文的外层目的ip地址的源ip地址是双机热备组的第一防火墙设备的ipv6地址;所述分段路由头的分段列表的逆序压栈的第一个分段标识是所述双机热备组的第二防火墙设备的ipv6地址;确定所述第一分段路由ipv6报文的外层目的ip地址是本设备ipv6地址;根据所述本设备ipv6地址的指令部分读取所述分段列表中作为下一个分段标识,将所述第一分段路由ipv6报文的内层ipv6报文的内层目的ip地址在本地路由表的下一跳修改为作为所述下一个分段标识的ipv6地址;将所述第一分段路由ipv6报文的外层目的ip地址修改为作为所述下一个分段标识的ipv6地址;将所述第一ipv6报文发送到修改后的外层目的ip地址。8.根据权利要求7所述的设备,其特征在于,所述处理器通过运行所述存储器中的处理器可执行指令还执行以下操作:接收第二ipv6报文;根据所述第二ipv6报文的目的ip地址查找所述本地路由表;确定所述第二ipv6报文的目的ip地址的下一跳地址是所述作为下一个分段标识的ipv6地址;将所述第二ipv6报文发往所述作为下一个分段标识的ipv6地址。
技术总结
本申请提供了报文转发方法及设备。本申请提供的报文转发方法中,双机热备组的任一防火墙设备接收IPv6报文,确定未查找到IPv6报文的会话表项,将IPv6报文封装为分段路由IPv6报文;其中,分段路由IPv6报文的外层源IP地址是本设备IPv6地址,分段路由IPv6报文的目的IP地址是到达对端防火墙的IPv6地址的下一跳;分段路由头的分段列表是逆序压栈的到达对端防火墙设备的各跳的IPv6地址;向下一跳发送分段路由IPv6报文,以使得双机热备组的对端防火墙设备收到分段路由IPv6后对内层的IPv6报文进行会话检查。会话检查。会话检查。
技术研发人员:柴永富
受保护的技术使用者:新华三信息安全技术有限公司
技术研发日:2021.06.29
技术公布日:2021/10/8