专利名称::基于安全设备的报文转发系统和方法以及安全设备的制作方法
技术领域:
:本发明涉及流量控制技术,特别涉及一种基于安全设备的报文转发系统、一种基于安全设备的报文转发方法、以及一种安全设备。
背景技术:
:为了对主干链路上的所有报文流或部分报文流进行检测、监视以及流量分析等处理,通常将主干链路上的报文流通过一个安全设备转发给至少一个接收设备,例如分析服务器,由接收设备对接收到的报文流进行相应处理。其中,每个安全设备中,一个出接口与一个接收设备直接相连;与接收设备相连的至少一个出接口可称为一个均衡组;安全设备可以根据不同的报文特性参数,例如源IP地址、目的IP地址等,进行哈希(Hash)运算,从而实现报文流在均衡组中各出接口上的负载分担。然而,随着主干链路上网络业务的多样化,报文流量也成比例增加。因此,单台安全设备已经不能承担主干链路中的所有流量。因此,为了增加安全设备所能承担的报文流量并增加其对应的接收设备的数量,可以通过增加均衡组中的出接口数量来增大安全设备的容量。然而,现有均衡组中的出接口只能为以太网主接口等物理接口,由于安全设备中的物理接口数量有限,从而使得均衡组中的出接口数量无法无限制地增加,从而无法有岁iU广容。为了解决上述问题,现有的一种方案中,在主干链路上串联多个分光器,每个分光器连接一个安全设备,每个安全设备的入接口通过与其相连的分光器接收不同的报文流,例如,每个安全设备的入接口接收匹配不同服务质量(Qos)策略和/或访问控制列表(ACL)规则的报文流,且保证各安全设备接收的报文流总流量与主干链路中需要处理的报文流总量相同,从而将主干链路中需处理的所有报文流分流到多个安全设备中。图1为现有的一种基于安全设备的报文转发系统的结构示意图。如图1所示,以两个安全设备、每个安全设备为安全路由器、均衡组中的出接口为以太网主接口、接收设备为分析服务器为例,该系统中包括安全路由器A和安全路由器B、以及安全路由器A对应的4个分析服务器和安全路由器B对应的另外4个分析服务器。安全路由器A的入接口与主干链路上的分光器A相连;安全路由器A中包括4个以太网主接口,4个以太网主接口构成均衡组a,每个以太网主接口与1个安全路由器A对应的分析服务器直接相连,即均衡组a与分析服务器采用直联模式相连。安全路由器B的入接口与主干链路上的分光器B相连;安全路由器B中包括4个以太网主接口,4个以太网主接口构成均tf组b,每个以太网主接口与1个安全路由器B对应的分析服务器直接相连,即均衡组b与分析服务器采用直联模式相连。安全路由器A中预设的Qos策略,允许协议端口号大于32768的报文进入其入接口;而安全路由器B中预设的Qos策略,允许协议端口号小于等于32768的报文进入其入接口,从而保证安全路由器A和安全路由器B分别接收到的报文流总量等于主干链路中的总报文流量。这样,安全路由器A和安全路由器B分别将从其入接口进入的报文流进行流量控制和在各出接口上的负载分担,并通过对应的出接口发送给对应的分析服务器,由8个分析服务器分别对主干链路中的报文流进行分析处理。可见,通过增加安全设备的方式,将主干链路中的报文流分流到各安全设备中,减轻了各安全设备的负担,保证基于安全设备的报文转发系统能够承担主干链路中的所有流量,且能够提高接收设备的数量。但是,上述系统仍然存在以下问题如果安全路由器A和安全路由器B均根据报文的源IP地址进行Hash运算,则具有相同源IP地址的所有报文称为同源报文。而对于主干链路中相同源IP地址的报文,如果协议端口号大于32768,则进入安全路由器A,由安全路由器A对应的分析服务器中进行处理;如果协议端口号小于等于32768,则进入安全路由器B,由安全路由器B对应的分析服务器中处理。可见,同一源IP地址的报文送往了不同的分析服务器。同理,如果安全路由器A和安全路由器B均根据报文的目的IP地址进行Hash运算,则具有相同目的IP地址的所有报文称为同源报文。对于主干链路中相同目的IP地址的报文,如果协议端口号大于32768,则进入安全路由器A,由安全路由器A对应的分析服务器中进行处理;如果协议端口号小于等于32768,则进入安全路由器B,由安全路由器B对应的分析服务器中处理。可见,同一目的IP地址的报文送往了不同的分析服务器。报文的同源同宿是流量控制要求的最重要的原则,同源的报文只有送到同一个接收设备才能对流量进行连续的分析和处理。然而,现有多安全设备的报文转发系统中,由于每个安全设备只能将其接收到的报文发送给与该安全设备对应的接收设备,从而无法保证将同源的报文发送到同一个接收设备,即无法保证报文的同源同宿。而且,不论是单安全设备的报文转发系统还是多安全设备的报文转发系统,均存在安全设备的物理接口数量有限的问题,限制了均衡组中的出接口数量,使得安全设备的扩容能力不高,进而使得系统无法有效扩容。
发明内容有鉴于此,本发明提供了一种基于安全设备的报文转发系统和一种安全设备、以及一种基于安全设备的报文转发方法,能够在基于多安全设备进行报文转发的情况下保证报文的同源同宿。本发明提供的一种基于安全设备的报文转发系统,包括安全设备和接收设备,每个安全设备接收同一主干链路中的报文流,该系统进一步包括互连的网络设备;每个连接在网络设备上的安全设备通过该网络设备与连接在每个网络设备上的接收设备相连;每个安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的网络设备;接收到同源报文的网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的接收设备。每个安全设备中包括出接口,所述出接口为物理接口或逻辑子接口。所述地址标识为接收设备的媒体接入控制MAC地址,所述同一接收设备的MAC地址设置在同源报文的目的地址字段中;或者,所述地址标识为虚拟局域网标识VLANID,所述同一接收设备的VLANID设置在同源报文的VLANID字段中。所述安全设备中存储了预设的出接口与所述地址标识对应关系;每个安全设备根据报文特性对接收到的所有报文进行哈希Hash运算,将同源报文指定到同一个出接口,并在指定到同一出接口的同源报文中设置该出接口对应的地址标识,实现在同源4艮文中设置同一地址标识。本发明提供的一种安全设备,包括入接口和出接口,该安全设备在其入接口接收到的同源报文中设置同一地址标识,并通过所述地址标识对应的出接口发送给外部与其相连的网络设备;所述网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的接收设备。本发明提供的一种基于安全设备的报文转发方法,包括每个安全设备接收同一主干链路中的报文流,每个安全设备通过网络设备与所有接收设备相连;该方法包才舌每个安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的网络设备;接收到同源报文的网络设备按照设置在同源报文中的地址标识,将所述同源报文发送给所述地址标识对应的接收设备。每个安全设备中包括出接口,所述出接口为物理接口或逻辑子接口;所述发送给与该安全设备相连的网络设备为通过对应的出接口发送给与该安全设备相连的网络设备。所述地址标识为接收设备的媒体接入控制MAC地址,所述在接收到的同源报文中设置同一地址标识为在接收到的同源报文的目的地址字段中设置同一接收设备的MAC地址;或者,所述地址标识为虚拟局域网标识VLANID,所述在接收到的同源报文中设置同一地址标识为在接收到的同源报文的VLANID字段中设置同一接收设备的VLANID。所述在接收到的同源报文中设置同一地址标识为根据报文特性对接收到的所有报文进行哈希Hash运算,将同源报文指定到同一个出接口;根据预设的出接口与地址标识的对应关系,在指定到同一出接口的同源报文中设置该出接口对应的地址标识。本发明还提供了另一种基于安全设备的报文转发系统和另一种安全设备,能够实现系统的扩容。本发明提供的另一种基于安全设备的报文转发系统,包括安全设备、接收设备和网络设备,其中,安全设备包括出接口,所迷出接口为逻辑子接口,逻辑子接口通过所述网络设备对应连4妄接收设备;安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的网络设备;网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的接收设备。所述地址标识为接收设备的媒体接入控制MAC地址,所述同一接收设备的MAC地址设置在同源报文的目的地址字段中;或者,所述地址标识为虚拟局域网标识VLANID,所述同一接收设备的VLANID设置在同源报文的VLANID字段中。本发明提供的另一种安全设备,包括入接口和出接口,所述出接口为逻辑子接口,逻辑子接口通过外部网络设备对应连接外部接收设备;该安全设备在其入接口接收到的同源报文中设置同一地址标识,并通过所述地址标识对应的出接口发送给外部与其相连的网络设备;所述网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的接收设备。由上述技术方案可见,本发明中的每个安全设备均通过网络设备与所有收设备中的任意一个;所有安全设备均在同源报文中设置同一接收设备的地址标识,即保证所有同源报文中包括相同的地址标识,因而能够保证所有同源报文发送给相同的接收设备,实现同源同宿。而且,每个安全设备均通过网络设备与所有接收设备级联,实现了所有安全设备共享所有的接收设备,提高了接收设备的利用率,降低了系统成本。安全设备中的一个出接口对应一个接收设备,且出接口为以太网子接口等逻辑子接口,使得出接口数量不受物理接口数量的限制,从而能够有效实现安全设备的扩容。图1为现有的一种基于安全设备的报文转发系统的结构示意图。图2为本发明中基于安全设备的报文转发系统的示例性结构图。图3本发明实施例中基于安全设备的报文转发系统1的结构示意图。图4为本发明实施例中基于安全设备的报文转发系统2的结构示意图。图5为本发明实施例中基于安全设备的报文转发系统中的报文流示意图。图6为本发明实施例中基于安全设备的报文转发方法的流程示意图。具体实施例方式为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细i《明。本发明中,每个安全设备均通过互连的多个交换机与所有接收设备级意一个;所有安全设备均在同源报文中设置同一接收设备的地址标识,即保证所有同源报文中包括相同的地址标识,这样,能够保证交换机将所有同源报文发送给相同的接收设备,实现同源同宿。图2为本发明中基于安全设备的报文转发系统的示例性结构图。如图2所示,该系统包括N个安全设备和M个接收设备,N和M为大于等于2的正整数。与同一主干链路相连的N个安全设备,仍然接收同一主干链路中的报文流,例如,每个安全设备的入接口接收匹配不同Qos策略和/或ACL规则的报文流,且保证每个安全设备接收的报文流总量等于主干链路中需要处理的报文流总量。该系统中还包括N个互连的交换机,其中,N个交换机串联,实际应用中,N个交换机也可以是两两相连;每个安全设备包括M个出接口,每个安全设备的M个出接口与同一个交换机相连,每个出接口通过互连的交换机分别对应不同的一个接收设备;M个接收设备中,不同的至少一个接收设备分别与一个交换机相连。个安全设备即可通过相连的N个交换机,将报文发送给M个接收设备中的任意一个。所有安全设备将同源报文通过对应同一接收设备的出接口,发送给与该出接口相连的交换机,并将同一接收设备的地址标识设置在上述同源报文中。其中,同源报文可以为具有相同源IP地址、具有相同目的IP地址、具有相同源端口等任意一种或多种报文特性参数的所有报文;同源报文所指的相同报文特性参数,为安全设备进行Hash运算所依据的报文特性参数。每个交换机按照设置在报文中的地址标识,将接收到的报文直接或通过其他交换机发送给对应的接收设备。这样,所有安全设备均在同源报文中设置同一接收设备的地址标识,即保证所有同源报文中包括相同的地址标识,因而能够保证交换机将同源报文发送给相同的接收设备,实现同源同宿。上述系统中,每个安全设备中的所有出接口仍可称为一个均衡组,该均衡组与所有接收设备采用级联模式相连,而不是采用直联方式相连。每个安全设备中均设置一个均衡组表项,包括该安全设备的均衡组中包括的出接口的列表、所有安全设备的均衡组级联的接收设备的地址标识列表、以及出接口与接收设备地址标识的对应关系。根据对应的均衡组表项、并按照相应的分类方式,所有安全设备均将具有相同源IP地址的所有才艮文指定到对应同一接收i殳备地址标识的出接口,并将这些报文的目的地址中的内容替换为该出接口对应的接收设备的地址标识后,发送给与该出接口相连的交换机,再由交换机利用其转发功能,直接或通过其他交换机间接发送给与报文目的地址对应的接收设备,从而使得且能够将相同源IP地址的所有报文发送给相同的接收设备,从而实现同源同宿。本发明中,均衡组中的出接口仍可以为例如以太网主接口等物理接口。但由于将物理接口作为均衡组中的出接口无法有效扩充安全设备的容量,因此,本发明中的均衡组中的出接口可以为例如以太网子接口等逻辑子接口。如果将例如以太网子接口等逻辑子接口作为均衡组中的出接口,则每个安全设备中设置的均衡组表项中,出接口列表包括物理接口列表、每个物理接口对应的逻辑子接口列表;且出接口与接收设备地址标识的对应关系为逻辑子接口与接收设备地址标识的对应关系。这样,均衡组中的每个逻辑子接口均可以通过交换机级联一个接收设备,使得均衡组中的出接口数量不受安全设备物理接口数量的限制,从而使得安全设备能够连接的接收设备数量成倍增加,有效扩充了安全设备的容量。例如,假设每个安全设备最多只能有IO个物理接口,则对应的均衡组中最多也只能有IO个出接口,并级联10个接收设备。而如果将上述安全设备中的每个物理接口均划分为IO个逻辑子接口,则每个安全设备的均衡组中最多可以包括ioo个出接口,并级联ioo个接收设备。而且,如果系统中包括10个安全设备,由于每个安全设备的均衡组与对应的100个接收设备级联,且所有均衡组之间通过交换机相连,从而10个安全设备的均衡组能够共享所有安全设备对应的所有接收设备,即每个均衡组均可直接或间接地级联1000个接收设备。同理,对于单台安全设备的报文转发系统来说,如果采用逻辑子接口作为出接口,也可以提高安全设备和报文转发系统的扩容能力。基于单台安全设备的报文转发系统中包括一个安全设备和多个接收设备。安全设备中包括多个逻辑子接口,一个逻辑子接口通过交换机对应连接一个接收设备。假设该安全设备的物理接口最多只能为10个,而将每个物理接口划分为了多个逻辑子接口则实现了该安全设备的扩容,且一个逻辑子接口对应一个接收设备,使得接收设备数量也成倍增长,即实现了系统的扩容。基于单台安全设备的报文转发系统中也需要保证同源同宿,因此,安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的交换机;交换机按照设置在同源报文中的地址标识,将同源报文发送给地址标识对应的接收设备。可见,对于基于单台安全设备的报文转发系统,本发明能够在保证同源同宿的前提下,也能够实现系统的有效扩容。本发明中,对于出接口为物理接口的情况,接收设备对应的地址标识可以为接收设备的媒体接入控制(MAC)地址,MAC地址可设置在报文的目的地址字段中;对于出接口为逻辑子接口的情况,接收设备对应的地址标识可以为接收设备的MAC地址、或对应逻辑子接口的虛拟局域网标识(VLANID),VLANID可设置在报文的VLANID字段中。下面,以安全设备为安全路由器、出接口为以太网子接口为例,对本发明中基于安全设备的报文转发系统进行详细说明。图3为本发明实施例中基于安全设备的报文转发系统1的结构示意图。如图3所示,以2个安全路由器、8个分析服务器、同源报文为相同源IP地址的所有报文为例,本实施例中基于安全设备的报文转发系统1包括安全路由器A和安全路由器B、分析服务器1~8。安全路由器A和安全路由器B分别接收同一主干链路中的不同报文流。安全路由器A中包括以太网主接口GigabitEthernet2/1/1、以太网主接口GigabitEthernet2/1/2,2个以太网主接口与交换机A相连。安全路由器B中包括以太网主接口GigabitEthernet2/1/1、以太网主接口GigabitEthernet2/1/2,2个以太网主接口与交换机B相连。交换机A与分析服务器1分析服务器4相连,交换机B与分析服务器5分析服务器8相连,且交换机A和交换机B相连。本实施例中,以太网主接口GigabitEthernet2/1/1又划分为4个以太网子接口GigabkEthernet2/1/1.1GigabitEthernet2/1/1.4;以太网主4妻口GigabitEthernet2/1/2也划分为4个以太网子4妄口GigabitEthernet2/1/2.5~GigabitEthernet2/1/2.8。这样,安全路由器A包括上述8个以太网子接口,为均衡组a,其中的4个以太网子接口通过交换机A分别对应分析服务器1分析服务器4中的一个,另外的4个以太网子接口通过交换机A和交换机B分别对应分析服务器5分析服务器8中的一个;安全路由器B也包括上述8个以太网子接口,为均衡组b,其中的4个以太网子接口通过交换机B分别对应分析服务器5~分析服务器8中的一个,另外的4个以太网子接口通过交换机B和交换机A分别对应分析服务器1分析服务器4中的一个。安全路由器A中存储着预先设置的均衡组a的均衡组表项,该表项中包括物理接口列表、每个物理接口对应的逻辑子接口列表、分析服务器地址标识列表、以及逻辑子接口与分析服务器地址标识的对应关系。本实施例中均衡组a的均衡组表项如表1所示,逻辑子接口列表中的每个以太网子接口,分别对应分析服务器地址标识列表中的一个MAC地址。其中,MAC1MAC8分别为分析服务器1分析服务器8的MAC地址。<table>tableseeoriginaldocumentpage15</column></row><table>表1安全路由器B中存储着预先设置的均衡组b的均衡组表项,该表项中包括物理接口列表、每个物理接口对应的逻辑子接口列表、分析服务器地址标识列表、以及逻辑子接口与分析服务器地址标识的对应关系。本实施例中,均衡组b的均衡组表项也可以如表1所示。安全路由器A中还存储着预设的Hash算法,根据入接口接收到的报文的源IP地址和均:銜组a中的以太网子接口数量进行Hash运算,将相同源IP地址的报文指定到相同的以太网子接口;查找均衡组a的均衡组表项,将每个报文的目的地址中的内容,替换为指定的以太网子接口对应的分析服务器的MAC地址,然后将每个报文从指定的以太网子接口发送给交换机A。安全路由器B中还存储着预设的Hash算法,由于均衡组b的均衡组表项与均衡组a相同,因此,为了保证安全路由器B和安全路由器A将相同源IP地址的报文发送给同一个分析服务器,安全路由器B中存储的Hash算法可以与安全路由器A中的相同;根据入接口接收到的报文的源IP地址和均衡组b中的以太网子接口数量进行Hash运算,将相同源IP地址和协议端口号的报文指定到相同的以太网子接口;查找均衡组b的均衡组表项,将每个报文的目的地址中的内容,替换为指定的以太网子接口对应的分析服务器的MAC地址,然后将每个报文从指定的以太网子接口发送给交换机B。具体实现中,可以按照如表1所示的均衡组表项,在对应的以太网子接口上配置对应的分析服务器的MAC地址,当报文发送到对应的以太网子接口时,其目的地址中的内容即可替换为该以太网子接口上配置的对应分析服务器的MAC地址。如果交换机A接收到的报文的目的地址为分析服务器1分析服务器4中任意一个的MAC地址,则交换机A直接将该报文发送给分析服务器1分析服务器4中与MAC地址对应的一个;如果交换机A接收到的报文的目的地址为分析服务器5分析服务器8中任意一个的MAC地址,则交换机A将该报文转发给交换机B,由交换机B将该报文发送给分析服务器5~分析服务器8中与MAC地址对应的一个。如果交换机B接收到的报文的目的地址为分析服务器5分析服务器8中任意一个的MAC地址,则交换机B直接将该报文发送给分析服务器5~分析服务器8中与MAC地址对应的一个;如果交换机B接收到的报文的目的地址为分析服务器1分析服务器4中任意一个的MAC地址,则交换机B将该报文转发给交换机A,由交换机A将该报文发送给分析服务器1~分析服务器4中与MAC地址对应的一个。图4为本发明实施例中基于安全设备的报文转发系统2的结构示意图。如图4所示,仍以2个安全路由器、8个分析服务器、同源报文为相同目的IP地址的所有报文为例,本实施例中基于安全设备的报文转发系统2包括安全路由器A和安全路由器B、分析服务器1~8。相比于基于安全设备的报文转发系统1,本实施例中基于安全设备的报文转发系统2的不同之处在于,分析服务器的地址标识为与其对应的以太网子才妄口的VLANID。交换机A也通过接入(Access)接口与分析服务器1分析服务器4相连,且连接分析服务器1分析服务器4的Access接口的VLANID,分别为以太网子接口GigabitEthernet2/1/1.1~GigabitEthernet2/1/1.4的VLANID。交换机B也通过Access接口与分析服务器5分析服务器8相连,且连4娄分析服务器5分析服务器8的Access接口的VLANID,分别为以太网子接口Gigabi伍thernet2/1/2.5GigabitEthernet2/1/2.8的VLANID。交换机A和交换机B之间相连的接口不限,例如干线(Trunk)接口。这样,均衡组a和均衡組b的均衡组表项可以如表2所示。<table>tableseeoriginaldocumentpage17</column></row><table>表2安全路由器A根据入接口接收到的报文的目的IP地址和均纟軒组a中的以太网子接口数量进行Hash运算,将相同目的IP地址的报文指定到相同的以太网子接口;查找均衡组a的均衡组表项,将每个报文的目的地址中的内容,替换为指定的以太网子接口对应的VLANID,然后将每个报文从指定的以太网子接口发送给交换机A。安全路由器B根据入接口接收到的报文的目的IP地址和均衡组b中的以太网子接口数量,进行与安全路由器A中相同的Hash运算,将相同目的IP地址和协议端口号的报文指定到相同的以太网子接口;查找均衡组b的均衡组表项,将每个报文的目的地址中的内容,替换为指定的以太网子接口对应的VLANID,然后将每个报文从指定的以太网子接口发送给交换机B。具体实现中,可以按照如表2所示的均衡组表项,在对应的以太网子接口上配置对应的VLANID,当寺艮文发送到对应的以太网子4妄口时,其目的地址中的内容即可替换为该以太网子接口上配置的对应VLANID。如果交换机A接收到的报文的目的地址为V1V4中的任意一个VLANID,则报文会在VLANID内广播,该报文会发送到与Access接口相连的分析服务器;如果交换机A接收到的报文中的VLANID为V5V8中的任意一个VLANID,则报文经过交换才几A在VLANID内广播转发给交换机B。如果交换机B接收到的报文的目的地址为V5V8中的任意一个VLANID,则报文会在VLANID内广播,该报文会发送到与Access接口相连的分析服务器;如果交换机B接收到的报文中的VLANID为V1V4中的任意一个VLANID,则报文经过交换机B在VLANID内广播转发给交换机A。上述两个系统中,安全路由器A和安全路由器B分别将从其入接口进入的报文流进行流量控制和在各出接口上的负载分担,并通过对应的出接口发送给对应的分析服务器,由8个分析服务器分别对主干链路中的报文流进行分析处理。实际应用中,也可以将以太网主接口作为均衡组中的出接口,这样,虽然使得安全路由器的扩容收到物理接口数量的限制,但也能够保证报文的同源同宿。图5为本发明实施例中基于安全设备的报文转发系统中的报文流示意图。如图5所示,报文P1为协议端口号大于32768的报文、报文P2为协议端口号小于等于32768的报文,且报文Pl与报文P2为同源报文,例如相同源IP地址或目的IP:l也址。对于上述两个系统,假设安全路由器A中预设的Qos策略,允许协议端口号大于32768的报文进入其入接口;而安全路由器B中预设的Qos策略,允许协议端口号小于等于32768的报文进入其入接口。报文P1进入了安全路由器A,由安全路由器A根据报文的源IP地址进行Hash计算后,报文Pl进入均衡组a的以太网子接口GigabkEthemet2/1/1.1,且其目的地址字段中的内容被替换为以太网子接口GigabitEthernet2/1/1.1上配置的分析服务器1的MAC地址、或报文Pl中被添加了以太网子接口GigabitEthernet2/1/1.1上配置的与交换机A中连接分析服务器1的Access接口相同的VLANID;然后报文Pl被发送到了交换机A,经过交换机的报文转发功能,报文P1最终送到了分析服务器1。而报文P2则进入了安全路由器B,由安全路由器B根据报文的源IP地址进行Hash计算后,报文P2进入均衡组b的子接口GigabitEthernet2/1/1.1,且其目的地址字段中的内容被替换为以太网子接口GigabitEthernet2/1/1.1上配置的分析服务器1的MAC地址、或报文P2中被添加了以太网子接口GigabitEthernet2/1/1.1上配置的与交换机A中连接分析服务器1的Access接口相同的VLANID;然后,报文P2被发送到了交换机B,经过交换机的报文转发功能,报文被送到了交换机A,再由交换机A最终把报文送到了分析服务器1。可见,虽然报文P1和报文P2由于不同的协议端口号,分别被分流到安全路由器A和安全路由器B,但由于安全路由器A和安全路由器B分别通过交换机A和交换机B与对应的分析服务器级联,且交换机A与交换机B相互连接,因此,安全路由器A和安全路由器B分别将报文Pl和报文P2发送给对应同一分析服务器的以太网子接口,即可利用交换机的报文转发功能,将同源的报文P1和报文P2发送给同一个分析服务器,实现了同源同宿。上述实施例只是对本发明技术方案的举例说明,也可以用其他类型的路由器来实现安全路由器的功能,而且,对于主干链路中需要处理的报文流总量的不同,可以任意设置系统中的安全设备及交换机的数量。以上是对本发明实施例中基于安全设备的报文转发系统的详细说明,下图6为本发明实施例中基于安全设备的报文转发方法的流程示意图。如图6所示,基于如图2所示的系统,本实施例中基于安全设备的报文转发方法包括步骤601,每个安全设备分别接收同一主干链路中的不同报文流。本步骤中,不同的安全设备可以接收同一主干链路中,匹配不同Qos策略和/或ACL规则的不同报文流。步骤602,每个安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的交换机。其中,同源报文是指具有相同源IP地址、或目的IP地址等报文特性参数的所有报文。本步骤中,地址标识可以为接收设备的MAC地址,设置在同源报文的目的地址字段中;也可以为交换机中连接接收设备的Access接口的VLANID,设置在同源报文的VLANID字段中。如果地址标识为VLANID,则本步骤之前,还需要将交换机与每个接收设备相连的Access接口的VLANID,设置为与该接收设备对应的出接口的VLANID。步骤603,接收到同源报文的交换机按照设置在同源报文中的地址标识,将同源报文发送给地址标识对应的接收i殳备。至此,本流程结束。由上述实施例可见,每个安全设备均通过交换机与所有接收设备级联,因此,每个安全设备即可通过交换机将报文发送给所有接收设备中的任意一个;所有安全设备均在同源报文中设置同一接收设备的地址标识,因而能够保证交换机将所有同源报文发送给相同的接收设备,实现同源同宿。而且,每个安全设备均通过交换机与所有接收设备级联,实现了所有安全设备共享所有的接收设备,提高了接收设备的利用率,降低了系统成本。如果将逻辑子接口作为均衡组中的出接口,则使得均衡组中的出接口数量不受物理接口数量的限制,从而能够有效实现安全设备的扩容。以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应包含在本发明的保护范围之内。权利要求1、一种基于安全设备的报文转发系统,包括安全设备和接收设备,每个安全设备接收主干链路中的报文流,其特征在于,该系统进一步包括互连的网络设备;每个连接在网络设备上的安全设备通过该网络设备与连接在每个网络设备上的接收设备相连;每个安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的网络设备;接收到同源报文的网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的接收设备。2、如权利要求l所述的系统,其特征在于,每个安全设备中包括出接口,所述出接口为物理接口或逻辑子接口。3、如权利要求2所述的系统,其特征在于,所述地址标识为接收设备的媒体接入控制MAC地址,所述同一接收设备的MAC地址设置在同源报文的目的地址字段中;或者,所述地址标识为虚拟局域网标识VLANID,所述同一接收设备的VLANID设置在同源报文的VLANID字段中。4、如权利要求2或3所述的系统,其特征在于,所述安全设备中存储了预"i殳的出接口与所述地址标识对应关系;每个安全设备根据报文特性对接收到的所有报文进行哈希Hash运算,将同源报文指定到同一个出接口,并在指定到同一出接口的同源报文中设置该出接口对应的地址标识,实现在同源#^文中^L置同一地址标识。5、一种安全设备,包括入接口和出接口,其特征在于,该安全设备在其入接口接收到的同源报文中设置同一地址标识,并通过所述地址标识对应的出接口发送给外部与其相连的网络设备;所述网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的接收设备。6、一种基于安全设备的报文转发方法,每个安全设备接收主干链路中的报文流,其特征在于,每个安全设备通过网络设备与所有接收设备相连;该方法包括每个安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的网络设备;接收到同源报文的网络设备按照设置在同源报文中的地址标识,将所述同源报文发送给所述地址标识对应的接收设备。7、如权利要求6所述的方法,其特征在于,每个安全设备中包括出接口,所述出接口为物理接口或逻辑子接口;所述发送给与该安全设备相连的网络设备为通过对应的出接口发送给与该安全设备相连的网络设备。8、如权利要求7所述的方法,其特征在于,所述地址标识为接收设备的媒体接入控制MAC地址,所述在接收到的同源4艮文中设置同一地址标识为在接收到的同源报文的目的地址字段中设置同一接收设备的MAC地址;或者,所述地址标识为虚拟局域网标识VLANID,所述在接收到的同源报文中设置同一地址标识为在接收到的同源报文的VLANID字段中设置同一接收设备的VLANID。9、如权利要求7或8所述的方法,其特征在于,所述在接收到的同源报文中i殳置同一地址标识为根据报文特性对接收到的所有报文进行哈希Hash运算,将同源报文指定到同一个出4妄口;根据预设的出接口与地址标识的对应关系,在指定到同一出接口的同源报文中i殳置该出4妄口对应的地址标识。10、一种基于安全设备的报文转发系统,包括安全设备和接收设备,其特征在于,该系统进一步包括网络i殳备,其中,安全设备包括出接口,所述出接口为逻辑子接口,逻辑子接口通过所述网络设备对应连接接收设备;安全设备在接收到的同源报文中设置同一地址标识,并发送给与其相连的网络设备;网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的接收设备。11、如权利要求IO所述的系统,其特征在于,所述地址标识为接收设备的媒体接入控制MAC地址,所述同一接收设备的MAC地址设置在同源报文的目的地址字,殳中;或者,所述地址标识为虚拟局域网标识VLANID,所述同一接收设备的VLANID设置在同源报文的VLANID字段中。12、一种安全设备,包括入接口和出接口,其特征在于,所述出接口为逻辑子接口,逻辑子接口通过外部网络设备对应连接外部接收设备;该安全设备在其入接口接收到的同源报文中设置同一地址标识,并通过所"、口wwmw-ir/《,*飼w;&,it白。^给^所述网络设备按照设置在同源报文中的地址标识,将同源报文发送给所述地址标识对应的4妻收i殳备。全文摘要本发明公开了一种基于安全设备的报文转发系统和一种基于安全设备的报文转发方法。本发明中的每个安全设备均通过网络设备与所有接收设备级联,因此,每个安全设备即可通过网络设备将报文发送给所有接收设备中的任意一个;所有安全设备均在同源报文中设置同一接收设备的地址标识,因而能够保证所有同源报文发送给相同的接收设备,实现同源同宿。而且,每个安全设备均通过网络设备与所有接收设备级联,实现了所有安全设备共享所有的接收设备,提高了接收设备的利用率,降低了系统成本。安全设备中的一个出接口对应一个接收设备,且出接口可以为以太网子接口等逻辑子接口,使得出接口数量不受物理接口数量的限制,从而能够有效实现安全设备的扩容。文档编号H04L29/06GK101106528SQ20071011979公开日2008年1月16日申请日期2007年7月31日优先权日2007年7月31日发明者孙加君,峰金申请人:杭州华三通信技术有限公司