专利名称:一种arp信息表项更新方法及装置的制作方法
技术领域:
本发明涉及二层防火墙的组网技术领域,尤其是涉及一种地址解析协议(ARP,Address Resolution Protocol)信息表项更新方法及装置。
背景技术:
随着传输控制协议/因特网互联协议(TCP/IP, Transimission ControlProtocol/Internet Protocol)网络的广泛应用,对网络可靠性方面的要求越来越高。其中在路由器和/或交换机等基础网络设备中集成嵌入防火墙线卡模块,实现网络和安全保护的高度一体化,已经得到越来越广泛的应用。其中,使用防火墙线卡用于局域网内服务器安全保护的可靠性组网方案具体如图I所示,首先,两台网络设备通过虚拟路由冗余协议(VRRP, Virtual Router Redundancy Protocol)组成一台虚拟路由设备,作为局域网内各服务器的冗余备份缺省网关。VRRP主用设备定时向VRRP备用设备发送VRRP组播协议报文通告该主设备的工作状态,当主设备出现故障时,备用设备能够及时接替工作,从而保证各服务器业务应用的连续性。其次,在两台网络设备中分别嵌入一块集成防火墙线卡工作在桥组跨虚拟局域网(VLAN,VirtualLocal Area Network)转发模式,串接在网络设备和各服务器之间做二层桥组转发,两块防火墙线卡之间形成双机热备关系,双机热备技术具体又可分为主备模式(Active-Standby)和主主模式(Active-Active)。防火墙线卡的桥组跨VLAN 二层转发,是指由数据链路层来完成不同VLAN间的通信。具体如图I所示工作在主备模式的二层桥组转发应用下的防火墙线卡配置同一桥组内转发接口包含VLANl和VLAN11,则当防火墙线卡从网络设备收到VLANl标识的报文时,会将其修改为VLANll标识的报文再转发给网络设备;反之当防火墙线卡从网络设备收到VLANll标识的报文时,则将其修改为VLANl标识的报文再转发给网络设备。上述组网方案中,通过网络设备间的虚拟路由冗余协议VRRP以及防火墙间的双机热备技术,实现了局域网内关键节点的冗余保护。当VRRP主设备出现故障时,由VRRP备设备及时接替工作。当两块防火墙工作在主备模式时,VRRP主设备通告的协议报文通过两台网络设备的聚合(Trunk)链路到达对端,不需要经过防火墙线卡,因此当主用防火墙线卡故障而触发防火墙线卡进行热备切换时,备用防火墙线卡接替成为新的主用防火墙线卡进行工作,同时VRRP主备用设备间不会发生主备用切换。但是由于新的主用防火墙线卡所在的网络设备上可能存在服务器的原有MAC地址信息表项,因此会导致外部网络无法主动成功访问局域网内部分服务器的问题。综上述所述,当防火墙线卡发生热备切换后,外部网络访问局域网内服务器时,访问成功率较低。
发明内容
本发明实施例提供了一种报文转发方法及装置,能够较好地提高防火墙线卡发生热备切换后,外部网络访问局域网内服务器时的访问成功率。一种地址解析协议ARP信息表项更新方法,包括当前的主用防火墙线卡处于正常工作状态时,监听虚拟路由冗余协议VRRP网关发来的ARP信息报文并同步给当前的备用防火墙线卡;在判断出当前的主用防火墙线卡处于异常工作状态时,当前的备用防火墙线卡切换为新的主用防火墙线卡,并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文;以及在接收到服务器响应的ARP应答单播报文后,根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。一种地址解析协议ARP信息表项更新装置,包括监听单元,用于当前的主用防火墙线卡处于正常工作状态时,监听虚拟路由冗余协议VRRP网关发来的ARP信息报文并同步给当前的备用防火墙线卡;判断单元,用于判断当前的主用防火墙线卡是否处于异常工作状态;发送单元,用于在判断出当前的主用防火墙线卡处于异常工作状态时,当前的备用防火墙线卡切换为新的主用防火墙线卡,并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文;以及更新单元,用于在接收到服务器响应的ARP应答单播报文后,根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。 采用上述技术方案,在判断出当前的主用防火墙线卡处于异常工作状态时,当前的备用防火墙线卡切换为新的主用防火墙线卡,并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文,然后在接收到服务器响应的ARP应答单播报文后,根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。使得局域网内各服务器对应的MAC地址转发表项能够得到及时更新,从而保证外部网络能够及时主动成功访问局域网内各服务器,较好地提高了防火墙线卡发生热备切换后,外部网络访问局域网内服务器时的访问成功率。
图I为现有技术中,提出的服务器安全保护的可靠性组网结构示意图;图2为本发明实施例一中,提出的ARP信息表项更新方法流程图;图3为本发明实施例一中,提出的主用防火墙线卡未发生故障时的服务器访问外部设备时报文传输路径示意图;图4为本发明实施例一中,提出的ARP信息表项更新装置结构示意图。
具体实施例方式针对现有技术中存在的当防火墙线卡发生热备切换后,外部网络访问局域网内服务器时,访问成功率较低的问题,本发明实施例这里提出的技术方案,在当前的主、备用防火墙线卡发生切换后,当前的备用防火墙线卡接替成为新的主用防火墙线卡,并向局域网内的各服务器发送ARP广播请求报文,使网络中各服务器对应的MAC地址信息表项得到及时更新,能够较好地提高防火墙线卡发生热备切换后、外部网络访问局域网内服务器时的访问成功率。下面将结合各个附图对本发明实施例技术方案的主要实现原理具体实施方式
及其对应能够达到的有益效果进行详细地阐述。实施例一
如图2所示,为本发明实施例一中,提出的ARP信息表项更新方法流程图,具体处理过程如下所述步骤21,当前的主用防火墙线卡处于正常工作状态时,监听VRRP网关发来的ARP信息报文。其中,基于图I所示的组网方案,在两台网络设备中分别嵌入一块集成防火墙线卡工作在桥组跨VLAN转发模式,串接在网络设备和各服务器之间做二层桥组转发,两块防火墙线卡之间形成双机热备关系,双机热备技术具体又可分为主备模式和主主模式。为便于阐述,称之为主用防火墙线卡和备用防火墙线卡。具体地,主备模式是指处于主用状态的网络设备处理全部业务、并将会话表项备份到处于备用状态的网络设备中,处于备用状态的网络设备仅做备份处理、不参与报文转发,当处于主用状态的网络设备出现故障时,报文转发可以迅速切换到处于备用状态的网络设备,由于处于备用状态的网络设备存储着备份的会话表项,因此切换后的报文可以继续处理、不会被中断。而主主模式则是指两台网络设备都为处于主用状态的主用网络设备,即都参与转发并处理业务,同时又互为备份,当其中一台主用设备出现故障时,另一台持续处理全部业务。本发明实施例这里提出的技术方案,·主要基于主备模式。即处于备用状态的网络设备,仅作备份,不参与报文的转发。为便于阐述,本发明实施例这里提出的技术方案中,将集成在网络设备中的当前处于主用状态的防火墙线卡称之为主用防火墙线卡,将集成在网络设备中的当前处于备用状态的防火墙线卡称之为备用防火墙线卡,当前的主用防火墙线卡和当前的备用防火墙线卡工作在二层桥组跨VLAN转发,不具备三层特性。本发明实施例这里提出的技术方案,可以在当前的主用防火墙线卡上配置指定的VRRP网关地址信息,然后监听VRRP网关发来的ARP信息报文。具体地,例如VRRP网关对应的IP地址信息、IP地址掩码信息等,然后监听这些VRRP网关地址发送的ARP信息报文。具体地,当前的主用防火墙线卡监听的VRRP网关发送的ARP信息报文可以但不限于包括VRRP网关发出的请求局域网中某个服务器ARP地址的ARP请求广播报文、VRRP网关回应给局域网中某个服务器请求VRRP网关对应ARP地址的ARP应答单播报文、以及VRRP网关主动发送的免费ARP通告报文等。步骤22,将监听到的VRRP网关发来的ARP信息报文同步给当前的备用防火墙线卡。其中,当前的主用防火墙线卡监听到的VRRP网关发来的ARP信息报文,可以通过双机备份技术同步给当前的备用防火墙线卡。具体地,当前的主用防火墙线卡监听到VRRP网关发来的ARP信息报文时,记录该VRRP网关对应的ARP地址和出接口等信息;同时把该信息通过双机备份技术同步给当前的备用防火墙线卡。步骤23,判断出当前的主用防火墙线卡是否处于异常工作状态。如果判断结果为否,则执行步骤24。反之,执行步骤25。其中,可以通过当前的主用防火墙线卡和当前的备用防火墙线卡之间的心跳检测机制检测对端是否处于正常工作状态,当检测到当前的主用防火墙线卡处于异常工作状态时,例如当前的主用防火墙线卡出现故障,当前的备用防火墙线卡通过心跳检测机制即可以发现故障而立即升级成为新的主用防火墙线卡。具体检测方法可以为
步骤一接收当前的主用防火墙线卡通过心跳检测机制向当前的备用防火墙线卡发送的状态报告信息。步骤二 若在预设时长内,未接收到当前的主用防火墙线卡发送的状态报告信息,则确定当前的主用防火墙线卡处于异常工作状态。步骤24,当前的主用防火墙线卡处于正常工作状态,则不进行处理。当前的主用防火墙线卡继续工作。如图3所示,组网架构与图I相同,当前的主用防火墙线卡处于正常工作状态,即当前的主用防火墙线卡没有发生故障时,服务器同外部通信的外访报文转发过程具体如下其中,本发明实施例这里以服务器I访问外部网络为例来进行详细阐述步骤一当服务器I要访问外部网络时,发送获取VRRP缺省网关的ARP地址的ARP请求广播报文。步骤二 网络设备I收到该ARP请求广播报文后,在VLANl内进行正常的源MAC地址学习和泛洪转发。即该ARP请求广播报文会在除入接口外的所有VLANl的成员口内进行转发,其中包括发送给当前的主用防火墙线卡和网络设备2。此时网络设备I的对应服务器I的MAC地址转发信息表项如下述表I :表I
权利要求
1.一种地址解析协议ARP信息表项更新方法,其特征在于,包括 当前的主用防火墙线卡处于正常工作状态时,监听虚拟路由冗余协议VRRP网关发来的ARP信息报文并同步给当前的备用防火墙线卡; 在判断出当前的主用防火墙线卡处于异常工作状态时,当前的备用防火墙线卡切换为新的主用防火墙线卡,并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文;以及 在接收到服务器响应的ARP应答单播报文后,根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。
2.如权利要求I所述的方法,其特征在于,在将监听到的ARP信息报文同步给当前的备用防火墙线卡之前,还包括 在当前的主用防火墙线卡处于正常工作状态时,监听非VRRP网关发送的ARP信息报文;并 获得所述非VRRP网关发送的ARP信息报文中包含的互联网协议IP地址信息。
3.如权利要求I所述的方法,其特征在于,在将监听到的ARP信息报文同步给当前的备用防火墙线卡之前,还包括 在当前的主用防火墙线卡处于正常工作状态时,配置当前的主用防火墙线卡和当前的备用防火墙线卡切换后不需要更新MAC地址信息表项的指定服务器IP地址。
4.如权利要求I所述的方法,其特征在于,判断当前的主用防火墙线卡是否处于异常工作状态,包括 接收当前的主用防火墙线卡通过心跳检测机制向当前的备用防火墙线卡发送的状态报告信息; 若在预设时长内,未接收到当前的主用防火墙线卡发送的状态报告信息,则确定当前的主用防火墙线卡处于异常工作状态。
5.如权利要求I所述的方法,其特征在于,在根据接收的ARP信息报文更新MAC地址信息表项之后,还包括 接收客户端发来的请求访问局域网内至少一个服务器的访问请求报文; 新的主用防火墙线卡修改所述访问请求报文的VLAN标识;并 将修改后的访问请求报文转发给访问的服务器。
6.一种地址解析协议ARP信息表项更新装置,其特征在于,包括 监听单元,用于当前的主用防火墙线卡处于正常工作状态时,监听虚拟路由冗余协议VRRP网关发来的ARP信息报文并同步给当前的备用防火墙线卡; 判断单元,用于判断当前的主用防火墙线卡是否处于异常工作状态; 发送单元,用于在判断出当前的主用防火墙线卡处于异常工作状态时,当前的备用防火墙线卡切换为新的主用防火墙线卡,并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文;以及 更新单元,用于在接收到服务器响应的ARP应答单播报文后,根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。
7.如权利要求6所述的装置,其特征在于, 所述监听单元,还用于在当前的主用防火墙线卡处于正常工作状态时,监听非VRRP网关发送的ARP信息报文; 所述装置还包括 获得单元,用于获得所述非VRRP网关发送的ARP信息报文中包含的互联网协议IP地址信息。
8.如权利要求6所述的装置,其特征在于,还包括 配置单元,用于在当前的主用防火墙线卡处于正常工作状态时,配置当前的主用防火墙线卡和当前的备用防火墙线卡切换后不需要更新MAC地址信息表项的指定服务器IP地址。
9.如权利要求6所述的装置,其特征在于,所述判断单元,具体用于接收当前的主用防火墙线卡通过心跳检测机制向当前的备用防火墙线卡发送的状态报告信息;若在预设时长内,未接收到当前的主用防火墙线卡发送的状态报告信息,则确定当前的主用防火墙线卡处于异常工作状态。
10.如权利要求6所述的装置,其特征在于,还包括 转发单元,用于接收客户端发来的请求访问局域网内至少一个服务器的访问请求报文;新的主用防火墙线卡修改所述访问请求报文的VLAN标识;并将修改后的访问请求报文转发给访问的服务器。
全文摘要
本发明公开了一种地址解析协议ARP信息表项更新方法及装置,该方法包括当前的主用防火墙线卡处于正常工作状态时,监听虚拟路由冗余协议VRRP网关发来的ARP信息报文并同步给当前的备用防火墙线卡;在判断出当前的主用防火墙线卡处于异常工作状态时,当前的备用防火墙线卡切换为新的主用防火墙线卡,并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文;以及在接收到服务器响应的ARP应答单播报文后,根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。采用上述技术方案,能够较好地提高防火墙线卡发生热备切换后,外部网络访问局域网内服务器时的访问成功率。
文档编号H04L12/713GK102904818SQ20121037455
公开日2013年1月30日 申请日期2012年9月27日 优先权日2012年9月27日
发明者陈佑建 申请人:北京星网锐捷网络技术有限公司