报文转发方法及装置的制造方法

报文转发方法及装置的制造方法
【专利摘要】本申请提供的报文转发方法及装置，所述方法包括：接收经由入接口进入的报文；CPU根据所述报文的五元组，匹配得到所述报文的业务类型；其中，所述五元组包括源ip、目的ip、源端口、目的端口和协议号；所述CPU根据所述业务类型对所述报文进行业务处理，并将所述报文转至交换芯片；所述交换芯片根据预设的芯片表项，得到所述报文的出接口；所述交换芯片通过所述出接口将所述报文发出。应用本申请实施例，通过在防火墙设备上使用交换芯片，利用所述交换芯片的代理转发功能可以在同一报文多次经过防火墙设备时，匹配正确的出接口并转发所述报文。
【专利说明】
报文转发方法及装置
技术领域
[0001] 本申请设及互联网技术领域，尤其设及一种报文转发方法及装置。
【背景技术】
[0002] 报文是互联网中数据传输的基本单元，通常可W根据报文中携带的=元组（如源 IP、目的IP、协议号)或者五元组(如源IP、目的IP、源端口、目的端口、协议号)确定传输的方 向。通常，为了网络安全，会在数据传输双方之间设置防火墙设备，相应地，报文在由发起方 传输到响应方的过程中需要由防火墙设备进行报文转发。
[0003] 如图1为现有技术中报文转发方法的流程图，该方法W防火墙设备为执行主体，具 体步骤如下所示：
[0004] 步骤110:防火墙设备接收经由入接口进入的报文；
[0005] 步骤120:防火墙设备的CPU根据所述报文的五元组，匹配得到所述报文的出接口 及业务类型;其中，所述五元组包括源ip、目的ip、源端口、目的端口和协议号；
[0006] 步骤130:防火墙设备的CPU根据所述业务类型对所述报文进行业务处理，并通过 所述出接口将所述报文发出。
[0007] 上述实施例中，所述匹配是将五元组匹配预设的快转表。所述快转表中记录了五 元组对应的出接口及业务类型。通常，一次数据传输中，首报文到达防火墙设备后，由于快 转表并没有记录相关的五元组，所W会匹配失败，CPU会将所述报文上传至网络协议找的至 少一个业务处理单元进行业务处理后，从出接口发出，并且CPU会将该报文的五元组、入接 口、出接口、业务类型等信息记录到快转表中。由于同一个数据传输过程中，每个报文的五 元组都是相同的，所W后续报文到达防火墙设备后，只需匹配一次快转表，就可W完成报文 转发。如此，通过快转技术就可W大大提高防火墙设备转发报文的效率。
[000引举例说明，如图2所示为客户端和服务器经过防火墙设备进行数据传输的场景图。 客户端的ip为192.85.1.2,端口号为1024;服务器的ip为192.85.1.3,端口号为1025;假设 业务类型为二层转发。
[0009] 在客户端发送的首次报文经过防火墙设备转发后，快转表中会相应记录该报文的 五元组、入接口、出接口和业务类型，具体如下表1所示：
[0010] 表1 「00111 LUUiZJ 巧i中，Sip巧不微ap，dip巧不日的
IP，sport巧不娜綱U，dport巧不日的綱U， protocol表示协议号，in_if表示入接口，out_if表示出接口，flag表示业务标记，0x2代表 了业务类型为二层转发。如前所述，表1中前5个元素就是五元组。
[0013]在本次传输的后续报文到达所述防火墙设备时，CPU就可W根据报文的五元组匹 配表1所示的快转表，并根据业务类型做业务处理，并从出接口将报文发出。具体地，如果发 送方为客户端，响应方为服务器，则根据五元组(源ip 192.85.1.2，目的ip 192.85.1.3，源 端口 1024,目的端口 1025,协议号17)匹配到快转表中第一条快转表项，根据业务类型为0x2 做二层转发处理，并从出接口 Ethl发出；如果发送方为服务器，响应方为客户端，则根据五 元组(源ip 192.85.1.3，目的ip 192.85.1.2，源端口 1025，目的端口 1024，协议号17)匹配 到快转表中第二条快转表项，根据业务类型0x2做二层转发处理，并从出接口化hO发出。
[0014] 快转技术虽然大大提高了防火墙设备的报文转发效率，但在同一报文多次过设备 时却无法正常转发。如图3为客户端和服务器经过防火墙设备及交换机设备进行数据传输 的场景图。在该场景下，同一报文会两次经过防火墙设备。在防火墙设备转发首报文后，记 录的快转表同表1相同。W客户端到服务器方向的报文加W说明，正常时应该是(报文发送 方)客户端-〉(第一次经过)防火墙设备-〉交换机设备-〉(第二次进过)防火墙设备-〉(报文 响应方)服务器。但在本次传输的后续报文到达防火墙设备时，报文第一次过防火墙设备 时，根据五元组(源ip 192.85.1.2，目的ip 192.85.1.3，源端口 1024，目的端口 1025，协议 号17)匹配到快转表中第一条快转表项，所W从出接口化hi发出。然后经过交换机设备转发 后从入接口化h3第二次进入防火墙设备，此时，由于是同一报文五元组也是相同的，依然匹 配到快转表中第一条快转表项，从化hi发出。运样又会发向交换机设备，如此反复，该报文 会在防火墙设备和交换机设备之间形成环路，所述防火墙设备无法正常转发报文。

【发明内容】

[0015] 本申请提供的报文转发方法及装置，W解决现有技术中同一报文多次经过防火墙 设备时，防火墙设备无法正常转发报文的问题。
[0016] 根据本申请实施例提供的一种报文转发方法，所述方法包括：
[0017]接收经由入接口进入的报文；
[0018] CPU根据所述报文的五元组，匹配得到所述报文的业务类型；其中，所述五元组包 括源ip、目的ip、源端口、目的端口和协议号；
[0019] 所述CPU根据所述业务类型对所述报文进行业务处理，并将所述报文转至交换忍 片；
[0020] 所述交换忍片根据预设的忍片表项，得到所述报文的出接口；
[0021] 所述交换忍片通过所述出接口将所述报文发出。
[0022] 根据本申请实施例提供的一种报文转发装置，所述装置包括：
[002引接收单元，用于接收经由入接日进入的报文；
[0024] 匹配单元，用于CP诉良据所述报文的五元组，匹配得到所述报文的业务类型；其中， 所述五元组包括源ip、目的ip、源端口、目的端口和协议号；
[0025] 业务处理单元，用于所述CP诉良据所述业务类型对所述报文进行业务处理，并将所 述报文转至交换忍片；
[0026] 获取单元，用于所述交换忍片根据预设的忍片表项，得到所述报文的出接口；
[0027] 转发单元，用于所述交换忍片通过所述出接口将所述报文发出。
[0028] 根据本申请实施例提供的一种防火墙设备，所述防火墙设备包括CPU和交换忍片， 其中，
[0029] 所述CPU用于根据报文的五元组，匹配得到所述报文的业务类型，并将所述报文转 至交换忍片;其中，所述五元组包括源ip、目的ip、源端口、目的端口和协议号；
[0030] 所述交换忍片用于根据预设的忍片表项，得到所述报文的出接口，并通过所述出 接口将所述报文发出。
[0031] 本申请实施例中，通过在防火墙设备上使用交换忍片，利用所述交换忍片的代理 转发功能，即根据交换忍片中预设的忍片表项得到报文正确的出接口，实现同一报文多次 经过防火墙设备时，可W正常的转发报文;而且由于将原本由CPU处理报文转发的工作转移 给了交换忍片，而防火墙设备的整体性能是由CPU的处理能力决定的，如此在减轻了 CPU的 处理负担同时，相应地也就提高了防火墙设备的整体性能。
【附图说明】
[0032] 图1是现有技术中报文转发方法的流程图；
[0033] 图2是客户端和服务器经过防火墙设备进行数据传输的场景图；
[0034] 图3是客户端和服务器经过防火墙设备及交换机设备进行数据传输的场景图；
[0035] 图4是本申请实施例提供的防火墙设备的结构示意图；
[0036] 图5是本申请一实施例提供的报文转发方法的流程图；
[0037] 图6是客户端和服务器经过防火墙设备及交换机设备进行数据传输的场景图；
[0038] 图7是本申请报文转发装置所在设备的一种硬件结构图；
[0039] 图8是本申请一实施例提供的报文转发装置的模块图。
【具体实施方式】
[0040] 运里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述设及 附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。W下示例性实施例 中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附 权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0041] 在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。 在本申请和所附权利要求书中所使用的单数形式的"一种"、"所述"和"该"也旨在包括多数 形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语"和/或"是指并包 含一个或多个相关联的列出项目的任何或所有可能组合。
[0042] 应当理解，尽管在本申请可能采用术语第一、第二、第=等来描述各种信息，但运 些信息不应限于运些术语。运些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离 本申请范围的情况下，第一信息也可W被称为第二信息，类似地，第二信息也可W被称为第 一信息。取决于语境，如在此所使用的词语"如果"可W被解释成为"在……时"或"当…… 时"或"响应于确定"。
[0043] 本申请实施例中防火墙设备中需要设置有交换忍片。如图4所示，为本申请实施例 提供的防火墙设备的结构示意图。
[0044] 图4中，防火墙设备主要包括CPU(Central Processing Unit,中央处理器）、交换 忍片。其中，
[0045] 所述CPU用于根据报文的五元组，匹配得到所述报文的业务类型，并将所述报文转 至交换忍片;其中，所述五元组包括源ip、目的ip、源端口、目的端口和协议号；
[0046] 所述交换忍片用于根据忍片表项，得到所述报文的出接口，并通过所述出接口将 所述报文发出。
[0047] 所述防火墙设备，还包括若干接口，Eth 0、…、Eth n;需要说明的是，报文在进入 所述防火墙设备和从所述防火墙设备发出，需要通过所述接口提供的通道。一般的，将报文 进入防火墙设备使用的接口称为入接口；将报文发出防火墙设备使用的接口称为出接口。
[0048] 在本实施例中，CPU和交换忍片之间可W通过内部通道进行数据传输。本实施例 中，防火墙设备中的CPU负责对报文进行业务处理，而交换忍片负责对报文进行转发。
[0049] 参见图5,为本申请一实施例提供的报文转发方法的流程图，该实施例从防火墙设 备侧进行描述，包括W下步骤：
[0050] 步骤210:接收经由入接口进入的报文；
[0051] 本实施例中，防火墙设备可W接收经由入接口进入的报文。
[0052] W下结合图6所示的本申请提供的客户端和服务器经过防火墙设备及交换机设备 进行数据传输的场景图。图6中，客户端发出的报文第一次进入防火墙设备时，是由所述防 火墙设备的入接口化h 0进入的。该报文第二次进入所述防火墙设备时，是由所述防火墙设 备的入接口化h 2进入的。
[0053] 步骤220: CP诉良据所述报文的五元组，匹配得到所述报文的业务类型。
[0054] 本实施例中，防火墙设备的CPU可W根据所述报文的五元组，匹配得到所述报文的 业务类型。其中，所述五元组包括源ip、目的ip、源端口、目的端口和协议号。所述源ip和源 端口为报文发送方的ip和端口；所述目的ip和目的端口为报文响应方的ip和端口；所述协 议号为报文发送方与报文响应方在通信协议(如UDP协议通信)下的协议号。
[0055] 具体地，所述步骤220,可W包括如下步骤：
[0化6] 所述CPU获取所述报文中的五元组；
[0057]所述CP诉良据所述五元组，匹配快转表；
[005引如果匹配成功，则获取所述五元组对应的业务类型。
[0059] 在本实施例中，所述快转表如前所述，通常在一次数据传输的过程中，首报文到达 防火墙设备，经由网络协议找的至少一个业务处理模块进行业务处理后，会该报文的五元 组、入接口、出接口及业务类型记录到快转表中。在后续报文到达防火墙设备后，就可W根 据报文的五元组匹配所述快转表，从而快速的进行报文转发。
[0060] 依然参考图6,客户端的ip为192.85. 1 .2,端口号为1024;服务器的ip为 192.85.1.3,端口号为1025;假设业务类型为二层转发。所述客户端与服务器之间的首报文 转发后，记录的快转表如下表2所示：
[0061] 表 2 「nn么O1 L〇〇63」表2中，sip表示源ip，dip表示目的
ip，sport表示源端口，dport表示目的端口， protocol表示协议号，in_if表示入接口，out_if表示出接口，flag表示业务标记，0x2代表 了vlan2即业务类型为二层转发。其中，表2中前5个元素为五元组。
[0064] 从客户端到服务器方向一次正常的报文转发过程中报文依次经过：（报文发送方） 客户端-〉(第一次经过)防火墙设备-〉交换机设备-〉(第二次经过)防火墙设备-〉(报文响应 方)服务器。
[0065] 例子一，W报文第一次经过防火墙设备加 W说明，当客户端发送的报文，从入接口 Eth 0进入防火墙设备后，所述防火墙设备的CPU根据该报文的五元组(源ip 192.85.1.2， 目的ip 192.85.1.3，源端口 1024，目的端口 1025，协议号17)匹配到快转表中第一条快转表 项，得出业务类型为0x2。
[0066] 例子二，W报文第二次经过防火墙设备加 W说明，当交换机设备转发的报文，从入 接口Eth 2第二次进入防火墙设备后，所述防火墙设备的WU根据该报文的五元组（源ip 192.85.1.2，目的ip 192.85.1.3，源端口 1024，目的端口 1025，协议号17)匹配到快转表中 第一条快转表项，得出业务类型为0x2。
[0067] 值得一提的时，所述忍片表可W包括忍片HASH表(哈希表、散列表）dHA甜表可W根 据键值对化ey value)存放和访问数据，使用HA甜表可W快速匹配到表中记录的数据，从而 提高数据访问的效率。
[0068] 步骤230:所述CP诉良据所述业务类型对所述报文进行业务处理，并将所述报文转 至交换忍片。
[0069] 本实施例中，防火墙设备的CPU可W根据得到的业务类型对所述报文进行业务处 理，然后将所述报文通过CPU与交换忍片之间的内部通道转至交换忍片进行转发。
[0070] 沿用步骤220中的例子一，即防火墙设备的CPU匹配得到的业务类型为0x2,运样所 述CPU可W根据该业务类型0x2对所述报文进行业务处理，并由内部通道将所述报文转至交 换忍片。
[0071] 沿用步骤220中的例子二，执行本步骤230的过程与例子一相同，此处不再寶述。
[0072] 步骤240:所述交换忍片根据预设的忍片表项，得到所述报文的出接口；
[0073] 本实施例中，防火墙设备的交换忍片可W根据预先设置的忍片表项，得到所述报 文的出接口。
[0074] 所述交换忍片作为一种硬件设备，在世界各地普遍的使用。目前市场上主流的交 换忍片厂商例如有Cisco(思科）、化oadcom(博通）、富±通半导体、华为等。所述交换忍片自 身具有代理转发功能，可W对报文进行转发。报文转发技术是业内常用技术，运里主要对其 中的二层转发、路由转发加 W说明，当然还包括一些其它的转发形式，在此不再过多寶述。
[0075] 针对二层转发，所述步骤240,具体可W包括如下步骤：
[0076] 在二层转发时，所述交换忍片获取所述报文的Vlan号和目的mac地址；
[0077] 所述交换忍片根据所述Vlan号和目的mac地址，匹配二层表项；
[0078] 如果匹配成功，则获取所述Vlan号和目的mac地址对应的出接口。
[0079] 本实施例中，所述忍片表项可W包括二层表、路由表、arp表等，在二层转发时，所 述交换忍片需要应用的二层表。
[0080] 报文还包括了 Vlan号和目的mac地址，所述二层表中记录了 Vlan号、目的mac地址 和出接口的对应关系，如下表3所示：
[0081] 表 3 「瞧 L 0083 J 表3中，mac_ad虹表示报文的目的mac
地址，vlan表示报文的vlan号，out_if表示报 文的出接口。
[0084] 沿用步骤220中的例子一，即报文第一次经过防火墙设备，结合图6所示的内容，假 设报文的vlan号为2，目的mac地址为00:25:19: 9c: IF: 2E。在所述报文通过入接口化h 0进 入的防火墙设备，由于所述报文的业务类型为二层转发，进而所述交换忍片获取所述报文 的vlan号和目的mac地址。根据所述vlan号和目的mac地址匹配上述表3中所示的二层表，由 于可W匹配到第一条二层表项，所W可W得到所述报文的出接口化h 1。
[0085] 沿用步骤220中的例子二，即报文第二次经过防火墙设备，结合图6所示的内容，假 设报文的vlan号为3，目的mac地址为00:25:19: 9c: IF: 2F。在所述报文通过入接口化h 2进 入的防火墙设备，由于所述报文的业务类型为二层转发，进而所述交换忍片获取所述报文 的vlan号和目的mac地址。根据所述vlan号和目的mac地址匹配上述表3中所示的二层表，由 于可W匹配到第二条二层表项，所W可W得到所述报文的出接口化h 3。
[0086] 值得一提的时，所述二层表可W包括快转HASH表(哈希表、散列表）。HA甜表可W根 据键值对化ey value)存放和访问数据，使用HA甜表可W快速匹配到表中记录的数据，从而 提高数据访问的效率。
[0087] 针对路由转发(=层转发），所述步骤240,具体可W包括如下步骤：
[0088] 在路由转发时，所述交换忍片获取所述报文的目的ip;
[0089] 所述交换忍片根据所述目的ip，匹配路由表；
[0090] 如果匹配成功，则获取所述路由表中标识对应的arp表中的出接口。
[0091] 本实施例中，所述忍片表项可W包括二层表、路由表、arp表等，在路由转发时，所 述交换忍片需要应用的路由表、arp表。
[0092] 所述路由表中记录了目的ip与arp(Ad化ess Resolution Protocol，地址解析协 议)表的对应关系，如下表4所示：
[OOW]表 4 r00941
[0095] 表4中，ip_acM;r表示目的ip;next_hop表示目的ip对应的a;rp表中的标识。
[0096] 所述arp表记录了对应路由表中标识的编号、vlan号、目的mac地址和出接口，如下 表5所不：
[0097] 表 5 [009引
[0099] 表5中，index表示编号，vain表示vlan号，mac_ad化表示报文的目的mac地址，out_ if表示报文的出接口。
[0100] 假设，报文中的目的ip为192.168.000.000,在报文进入防火墙设备后，由于所述 报文的业务类型为路由转发，进而所述交换忍片获取所述报文的目的ip。根据所述目的ip， 匹配到表4所示的路由表中标识next_hop为125;之后，所述交换忍片可W进一步获取所述 标识对应的表5所示的arp表中编号为125对应的Vlan号、目的mac、出接口分别为4、00:25: 19:9c:lF:2F、化h 3。
[0101] 值得一提的时，在路由转发中，所述交换忍片在通过出接口将报文发出前，还需要 根据arp表中的Vlan号及目的mac地址修改所述报文中的Vlan号及目的mac地址。如表5所 示，标识为125时，交换忍片获取到出接口Eth 3后，还需要修改报文中的Vlan号为4,目的 mac 地址为00:25:19: 9c: 1F: 2F。
[0102 ]步骤250:所述交换忍片通过所述出接口将报文发出。
[0103] 本实施例中，防火墙设备的交换忍片通过所述出接口将所述报文发出。
[0104] 依然沿用步骤240中的例子一，结合图6所示的内容，防火墙设备的交换忍片通过 所述出接口化h 1将所述报文发出，最终报文能够达到交换机设备。
[0105] 相似的，依然沿用步骤240中的例子二，结合图6所示的内容，防火墙设备的交换忍 片通过所述出接口化h 3将所述报文发出，最终报文能够达到服务器。
[0106] 通过本实施例，在防火墙设备上使用交换忍片，利用所述交换忍片的代理转发功 能，即根据交换忍片中预设的忍片表项得到报文正确的出接口，实现同一报文多次经过防 火墙设备时，可W正常的转发报文;而且由于将原本由CPU处理报文转发的工作转移给了交 换忍片，而防火墙设备的整体性能是由CPU的处理能力决定的，如此在减轻了 CPU的处理负 担同时，相应地也就提高了防火墙设备的整体性能。
[0107] 与前述报文传输方法实施例相对应，本申请还提供了报文转发装置的实施例。
[0108] 本申请报文转发装置的实施例可W分别应用在防火墙设备上。装置实施例可W通 过软件实现，也可W通过硬件或者软硬件结合的方式实现。W软件实现为例，作为一个逻辑 意义上的装置，是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读 取到内存中运行形成的。从硬件层面而言，如图7所示，为本申请报文转发装置所在设备的 一种硬件结构图，除了图7所示的处理器、网络接口、内存W及非易失性存储器之外，实施例 中装置所在的设备通常根据该报文转发的实际功能，还可W包括其他硬件，如交换忍片，根 据所述交换忍片的代理转发功能来实现报文转发。
[0109] 参见图8,为本申请一实施例提供的报文转发装置的模块图，所述装置应用在用于 实现报文转发的防火墙设备上，所述装置包括:接收单元310、匹配单元320、业务处理单元 330、获取单元340及转发单元350。
[0110] 其中，所述接收单元310,用于接收经由入接口进入的报文；
[0111] 所述匹配单元320，用于CPU根据所述报文的五元组，匹配得到所述报文的业务类 型；
[0112] 所述业务处理单元330,用于所述CPU根据所述业务类型对所述报文进行业务处 理，并将所述报文转至交换忍片；
[0113] 所述获取单元340,用于所述交换忍片根据预设的忍片表项，得到所述报文的出接 p;
[0114] 所述转发单元350,用于所述交换忍片通过所述出接口将所述报文发出。
[0115] 在一个可选的实现方式中：
[0116] 所述获取单元340,具体可W包括：
[0117] 第一获取子单元，用于在二层转发时，所述交换忍片获取所述入接口对应的Vlan 号和mac地址；
[0118] 第二获取子单元，用于所述交换忍片根据所述Vlan号和mac地址，匹配忍片表；
[0119] 第S获取子单元，用于在匹配成功时，获取所述Vlan号和mac地址对应的出接口。
[0120] 在一个可选的实现方式中：
[0121] 所述获取单元340,具体可W包括：
[0122] 第一获取子单元，用于在路由转发时，所述交换忍片获取所述报文的目的ip;
[0123] 第二获取子单元，用于所述交换忍片根据所述目的ip，匹配路由表；
[0124] 第S获取子单元，用于在匹配成功时，获取所述路由表中标识对应的arp表中的出 接口。
[0125] 在一个可选的实现方式中：
[01%] 所述匹配单元320,具体可W包括：
[0127]第一匹配子单元，用于所述CPU获取所述报文中的五元组；
[01 %]第二匹配子单元，用于所述CP诉良据所述五元组，匹配快转表；
[0129] 第=匹配子单元，用于在匹配成功时，获取所述五元组对应的业务类型。
[0130] 在一个可选的实现方式中：
[0131] 所述第二匹配子单元中，所述快转表包括快转哈希表。
[0132] 通过本实施例，在防火墙设备上使用交换忍片，利用所述交换忍片的代理转发功 能，即根据交换忍片中预设的忍片表项得到报文正确的出接口，实现同一报文多次经过防 火墙设备时，可W正常的转发报文;而且由于将原本由CPU处理报文转发的工作转移给了交 换忍片，而防火墙设备的整体性能是由CPU的处理能力决定的，如此在减轻了 CPU的处理负 担同时，相应地也就提高了防火墙设备的整体性能。
[0133] 上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的 实现过程，在此不再寶述。
[0134] 对于装置实施例而言，由于其基本对应于方法实施例，所W相关之处参见方法实 施例的部分说明即可。W上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件 说明的单元可W是或者也可W不是物理上分开的，作为单元显示的部件可W是或者也可W 不是物理单元，即可W位于一个地方，或者也可W分布到多个网络单元上。可W根据实际的 需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付 出创造性劳动的情况下，即可W理解并实施。
[0135] 本领域技术人员在考虑说明书及实践运里公开的发明后，将容易想到本申请的其 它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，运些变型、用途或 者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识 或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由下面的 权利要求指出。
[0136]应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并 且可W在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
【主权项】
1. 一种报文转发方法，其特征在于，所述方法包括： 接收经由入接口进入的报文； CPU根据所述报文的五元组，匹配得到所述报文的业务类型；其中，所述五元组包括源 ip、目的ip、源端口、目的端口和协议号； 所述CHJ根据所述业务类型对所述报文进行业务处理，并将所述报文转至交换芯片； 所述交换芯片根据预设的芯片表项，得到所述报文的出接口； 所述交换芯片通过所述出接口将报文发出。2. 根据权利要求1所述的方法，其特征在于，所述交换芯片根据预设的芯片表项，得到 所述报文的出接口，具体包括： 在二层转发时，所述交换芯片获取所述报文的vlan号和目的mac地址； 所述交换芯片根据所述vlan号和目的mac地址，匹配二层表； 如果匹配成功，则获取所述vlan号和目的mac地址对应的出接口。3. 根据权利要求1所述的方法，其特征在于，所述交换芯片根据预设的芯片表项，得到 所述报文的出接口，具体包括： 在路由转发时，所述交换芯片获取所述报文的目的ip; 所述交换芯片根据所述目的ip，匹配路由表； 如果匹配成功，则获取所述路由表中标识对应的arp表中的出接口。4. 根据权利要求1所述的方法，其特征在于，所述CPU根据所述报文的五元组，匹配得到 所述报文的业务类型，具体包括： 所述CHJ获取所述报文中的五元组； 所述CHJ根据所述五元组，匹配快转表； 如果匹配成功，则获取所述五元组对应的业务类型。5. 根据权利要求4所述的方法，其特征在于，所述快转表包括快转哈希表。6. -种报文转发装置，其特征在于，所述装置包括： 接收单元，用于接收经由入接口进入的报文； 匹配单元，用于CPU根据所述报文的五元组，匹配得到所述报文的业务类型；其中，所述 五元组包括源ip、目的ip、源端口、目的端口和协议号； 业务处理单元，用于所述CPU根据所述业务类型对所述报文进行业务处理，并将所述报 文转至交换芯片； 获取单元，用于所述交换芯片根据预设的芯片表项，得到所述报文的出接口； 转发单元，用于所述交换芯片通过所述出接口将所述报文发出。7. 根据权利要求6所述的装置，其特征在于，所述获取单元，具体包括： 第一获取子单元，用于在二层转发时，所述交换芯片获取所述入接口对应的vlan号和 mac地址； 第二获取子单元，用于所述交换芯片根据所述vlan号和mac地址，匹配芯片表； 第三获取子单元，用于在匹配成功时，获取所述vlan号和mac地址对应的出接口。8. 根据权利要求6所述的装置，其特征在于，所述获取单元，具体包括： 第一获取子单元，用于在路由转发时，所述交换芯片获取所述报文的目的ip; 第二获取子单元，用于所述交换芯片根据所述目的ip，匹配路由表； 第三获取子单元，用于在匹配成功时，获取所述路由表中标识对应的arp表中的出接 □ 〇9. 根据权利要求6所述的装置，其特征在于，所述匹配单元，具体包括： 第一匹配子单元，用于所述CPU获取所述报文中的五元组； 第二匹配子单元，用于所述CPU根据所述五元组，匹配快转表； 第三匹配子单元，用于在匹配成功时，获取所述五元组对应的业务类型。10. 根据权利要求9所述的装置，其特征在于，所述快转表包括快转哈希表。11. 一种防火墙设备，其特征在于，包括CHJ和交换芯片，其中， 所述CHJ用于根据报文的五元组，匹配得到所述报文的业务类型，并将所述报文转至交 换芯片;其中，所述五元组包括源ip、目的ip、源端口、目的端口和协议号； 所述交换芯片用于根据预设的芯片表项，得到所述报文的出接口，并通过所述出接口 将所述报文发出。
【文档编号】H04L29/06GK105939274SQ201610326573
【公开日】2016年9月14日
【申请日】2016年5月17日
【发明人】任红军
【申请人】杭州迪普科技有限公司