数据转发的方法及装置的制作方法

文档序号:7869205阅读:105来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:数据转发的方法及装置的制作方法
技术领域
本发明涉及网络信息安全技术领域,更具体地,涉及一种数据转发的方法及装置。
背景技术
常规路由器一般都有多个网络接口,接口从网络中接收到数据包,根据数据包源、目的进行路由表查找,并对查找成功的数据包进行转发,现在企业在不同的地区有大大小小的分支机构,这些分支机构都拥有自己的局域网络,对于一些核心业务不但要求加密处理并且需要多个链路出口进行链路备份和负载,路由器转发的下一跳地址都是具体的网关IP地址,无法实现下一跳地址直接送入到具体的虚拟专用网络(Virtual Private Network,简称为VPN)隧道设备,也无法实现将不同分支机构的内网私有地址在公网上进行路由。所以依靠路由器无法满足当前多出口环境下各分支机构之间内部网络的路由和VPN多隧道负载需求。

发明内容
本发明旨在提供一种数据转发的方法及装置,以至少解决相关技术中,由于路由器转发的下一跳地址都是具体的网关IP地址,无法实现下一跳地址直接送入到具体的VPN隧道设备的问题。根据本发明的一个方面,提供了一种数据转发的方法,包括在安全规则的VPN设备表项中查找转发数据包的VPN设备,其中,所述安全规则用于对数据包进行安全检测;在查找到的VPN设备对应的虚拟隧道上转发所述数据包。优选地,在安全规则的VPN设备表项中查找转发数据包的VPN设备之前,还包括确定所述数据包通过所述安全规则的安全检测。优选地,在安全规则的VPN设备表项中查找转发数据包的VPN设备包括在所述数据包对应的规则上的一个或多个VPN设备表项中确定一个VPN设备表项为转发所述数据包的VPN设备表项;在确定的所述VPN设备表项中按照优先级和/或权重顺序查找所述VPN设备。优选地,在查找到的VPN设备对应的虚拟隧道上转发所述数据包包括判断所述虚拟隧道是否与所述VPN设备对应的虚拟隧道网络接口已经建立连接;如果是,则进行数据隧道封装,并在所述隧道上转发所述数据包。优选地,判断所述虚拟隧道是否与所述VPN设备对应的虚拟隧道网络接口已经建立连接之后,还包括在所述虚拟隧道与所述虚拟隧道网络接口未建立连接的情况下,进行隧道协商;在隧道协商成功的情况下进行数据隧道封装,并在所述隧道上转发所述数据包。优选地,在所述VPN设备表项中优先级最高的VPN设备对应的虚拟隧道与所述虚拟隧道网络接口出现故障的情况下,按照所述VPN设备的优先级和/或权重顺序在所述VPN设备表项中剩下的VPN设备之间进行重新负载,并选择对应的虚拟隧道转发所述数据包。根据本发明的另一个方面,提供了一种数据转发的装置,包括查找模块,用于在安全规则的VPN设备表项中查找转发数据包的VPN设备,其中,所述安全规则用于对数据包进行安全检测;转发模块,用于在查找到的VPN设备对应的虚拟隧道上转发所述数据包。优选地,所述装置还包括确定模块,用于确定所述数据包通过所述安全规则的安全检测。优选地,所述查找模块包括确定单元,用于在所述数据包对应的规则上的一个或多个VPN设备表项中确定一个VPN设备表项为转发所述数据包的VPN设备表项;查找单元,用于在确定的所述VPN设备表项中按照优先级和/或权重顺序查找所述VPN设备。优选地,所述转发模块包括判断单元,用于判断所述虚拟隧道是否与所述VPN设备对应的虚拟隧道网络接口已经建立连接;转发单元,用于在所述虚拟隧道与所述虚拟隧道网络接口已经建立连接的情况下,进行数据隧道封装,并在所述隧道上转发所述数据包。本发明采用了如下方法在安全规则的VPN设备表项中查找转发数据包的VPN设备,在查找到的VPN设备对应的虚拟隧道上转发该数据包。通过运用本发明,解决了相关技 术中,由于路由器转发的下一跳地址都是具体的网关IP地址,无法实现下一跳地址直接送入到具体的VPN隧道设备的问题,可以通过在VPN设备表项中查找转发数据包的VPN设备,以直接通过对应的VPN设备转发数据包,解决各企业分支机构内网地址通过VPN设备实现路由扩展,减少了查找VPN设备的复杂性,且缩短了查找时间。


附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图I示出了本发明实施例的数据转发的方法的流程图;图2示出了本发明实施例的数据转发的装置的结构框图一;图3示出了本发明实施例的数据转发的装置的结构框图二 ;图4示出了本发明实施例的数据转发的装置的结构框图三;图5示出了本发明优选实施例一的数据转发过程的流程图;图6示出了本发明优选实施例二的数据转发装置所在系统的系统架构示意图;图7示出了本发明优选实施例二的数据流处理流程的流程图。
具体实施例方式下面将参考附图并结合实施例,来详细说明本发明。基于相关技术中由于路由器转发的下一跳地址都是具体的网关IP地址,无法实现下一跳地址直接送入到具体的VPN隧道设备的问题,本发明实施例提供了一种数据转发的方法,其流程如图I所示,包括步骤S102至步骤S104 步骤S102,在安全规则的虚拟专用网络VPN设备表项中查找转发数据包的VPN设备,其中,安全规则用于对数据包进行安全检测;步骤S104,在查找到的VPN设备对应的虚拟隧道上转发数据包。本实施例采用了如下方法在安全规则的VPN设备表项中查找转发数据包的VPN设备,在查找到的VPN设备对应的虚拟隧道上转发该数据包。通过运用本实施例,解决了相关技术中,由于路由器转发的下一跳地址都是具体的网关IP地址,无法实现下一跳地址直接送入到具体的VPN隧道设备的问题,可以通过在VPN设备表项中查找转发数据包的VPN设备,通过对应的VPN设备转发数据包,解决各企业分支机构内网地址通过VPN设备实现路由扩展,减少了查找VPN设备的复杂性,且缩短了查找时间。在安全规则的VPN设备表项中查找转发数据包的VPN设备之前,还需要判断数据包是否通过安全规则的安全检测。如果没有通过安全规则的检测,则丢弃该数据包,如果通过了安全规则的检测,则在通过安全规则的安全检测后,开始在安全规则的VPN设备表项中查找转发数据包的VPN设备。在实施的过程中,在数据包对应的规则上的一个或多个VPN设备表项中确定一个VPN设备表项为转发数据包的VPN设备表项;然后再在确定的这个VPN设备表项中按照优先级和/或权重顺序查找VPN设备。下面单独以优先级的方式来查找VPN设备进行说明,当然,也可以同时根据权重顺序一起进行查找。在确定VPN设备表项的过程中,根据待转发的数据包直接确定一个可以转发的VPN设备表项,按照该VPN设备表项中VPN设备的优先级顺序选取VPN设备来进行转发数据包。如果当前的VPN设备因为各种原因而导致无法使用,则可以根据优先级顺序查找下一 个VPN设备进行转发。在查找到的VPN设备对应的虚拟隧道上转发数据包可以包括如下过程首先,判断虚拟隧道是否与VPN设备对应的虚拟隧道网络接口已经建立连接;如果已经建立了连接,则进行数据隧道封装,在隧道上转发数据包。如果述虚拟隧道与虚拟隧道网络接口未建立连接,则先进行隧道协商,然后在隧道协商成功的情况下进行数据隧道封装,并在隧道上转发数据包。如果实施的过程中VPN设备表项中优先级最高的VPN设备对应的虚拟隧道与虚拟隧道网络接口出现故障了,则按照VPN设备的优先级顺序查找下一个VPN设备对应的虚拟隧道转发数据包,也就是在当前VPN设备表项中剩下的VPN设备间进行重新查找以负载。本发明实施例还提供了一种数据转发的装置,该装置的结构框图如图2所示,包括查找模块10,用于在安全规则的虚拟专用网络VPN设备表项中查找转发数据包的VPN设备,其中,安全规则用于对数据包进行安全检测;转发模块20,与查找模块10耦合,用于在查找到的VPN设备对应的虚拟隧道上转发数据包。在一个优选实施例中,上述装置的结构框图还可以如图3所示,还包括确定模块30,与查找模块10耦合,用于确定数据包通过安全规则的安全检测。在实现上述装置的过程中,上述装置可以进一步优化,其结构框图可以如图4所示,其中,查找模块10可以包括确定单元102,用于在数据包对应的规则上的一个或多个VPN设备表项中确定一个VPN设备表项为转发数据包的VPN设备表项;查找单元104,与确定单元102耦合,用于在确定的VPN设备表项中按照优先级和/或权重顺序查找VPN设备。转发模块20包括判断单元202,用于判断虚拟隧道是否与VPN设备对应的虚拟隧道网络接口已经建立连接;转发单元204,与判断单元202耦合,用于在虚拟隧道与虚拟隧道网络接口已经建立连接的情况下,进行数据隧道封装,并在隧道上转发数据包。下面结合优选实施例对上述实施方式进行说明。在下面的优选实施例中,装置中的各模块的命名与上述数据转发的装置略有不同,但都能实现相同的功能。优选实施例一本实施例针对现有网络设备中对于转发技术存在的不足,提出了一种利用在安全规则中通过查找VPN设备表项中转发的VPN设备来实现准确的数据转发的方法。本实施例提供的方法是基于安全规则来实现的,通过运用该方法,可以使企业在多出口环境下可以实现到达网通的地址走网通线路,到达电信的地址走电信线路。下面,进一步说明上述方法及实现上述方法的装置。本实施例提供的装置对现有的路由模块及安全规则模块做了改进,在安全规则模块中设置了与VPN设备对应的VPN设备表项,VPN设备表项中存储着各VPN设备对应的虚拟隧道。在数据包进行转发时,可以通过安全规则中的VPN设备表项直接查找到相对应的VPN设备及其对应的虚拟隧道,在此隧道上进行数据包的转发。实现时,上述方法的流程可以如图5所示,包括步骤S502至步骤S510。步骤S502,防火墙系统接收数据包后,在安全规则中进行查找,判断该数据包是否通过安全规则的检测。如果是,则执行步骤S504,否则执行步骤S506。步骤S504,在安全规则中是否能够查找到VPN设备表项。如果是,则执行步骤 S508,否则执行步骤S510。 步骤S506,丢弃该数据包。步骤S508,按照已查找到的VPN设备表项中规定的设备转发数据包。步骤S510,按照常规查找方式进行查找,并转发数据包。优选实施例二本实施例是一种利用基于路由负载原理将IP层安全协议(IP Security,简称为IPSec) VPN设备引入到VPN设备表项的下一跳中的网络处理方法及装置。在本实施例中,其该装置存在的系统架构如图6所示,由交换机侧发出的数据包经过防火墙,在防火墙侧进行安全规则的检测,并选择转发数据包的VPN设备,其中,图中并未将VPN设备画出,其可以是在防火墙上的一种虚拟设备。如果发送的数据是到电信服务器,则可以进行如下的配置添加VPN端点;添加3条VPN隧道;添加3个虚拟隧道网络接口,分别和3条隧道一一对应,该接口是用于与隧道进行连接而设计的;添加VPN设备表项,包含上面3个虚拟隧道网络接口,当然,还可以包含其他表项,用于在发往其他服务器时进行VPN设备的选择;配置安全规则,安全规则中可以灵活配置具体的源目的地址、服务、协议等,并且和VPN设备表项进行关联。在进行了上述设置后,数据流处理流程如图7所示,包括步骤S702至步骤S716。步骤S702,接收数据包。步骤S704,查找安全规则,判断是否通过安全规则的检测。如果是,则执行步骤S706,否则执行步骤S708。步骤S706,匹配到安全规则后,根据规则查找相关VPN设备表项。执行步骤S710。步骤S708,丢弃该数据包。步骤S710,通过路由负载算法,在VPN表项中选定一个虚拟隧道网络接口。步骤S712,判断和该接口对应的隧道是否已经建立。如果未建立,则执行步骤S714,已经建立,则执行步骤S716。步骤S714,进行隧道协商。步骤S716,直接进行数据隧道封装。在实施的过程中,VPN设备定期遍历VPN表项中的虚拟隧道网络接口对于的隧道状态是否正常,如果发现那条隧道异常,就从VPN表项中删除,恢复正常后再自动加入。从以上的描述中,可以看出,本发明上述的实施例实现了如下技术效果本发明采用了如下方法在安全规则的VPN设备表项中查找转发数据包的VPN设备,在查找到的VPN设备对应的虚拟隧道上转发该数据包。通过运用本发明,解决了相关技术中,由于路由器转发的下一跳地址都是具体的网关IP地址,无法实现下一跳地址直接送入到具体的VPN隧道设备的问题,可以通过在VPN设备表项中查找转发数据包的VPN设备,通过对应的VPN设备转发数据包,减少了查找VPN设备的复杂性,且缩短了查找时间。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技 术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种数据转发的方法,其特征在于,包括 在安全规则的虚拟专用网络VPN设备表项中查找转发数据包的VPN设备,其中,所述安全规则用于对数据包进行安全检测; 在查找到的VPN设备对应的虚拟隧道上转发所述数据包。
2.根据权利要求I所述的方法,其特征在于,在安全规则的VPN设备表项中查找转发数据包的VPN设备之前,还包括 确定所述数据包通过所述安全规则的安全检测。
3.根据权利要求I所述的方法,其特征在于,在安全规则的VPN设备表项中查找转发数据包的VPN设备包括 在所述数据包对应的规则上的一个或多个VPN设备表项中确定一个VPN设备表项为转发所述数据包的VPN设备表项; 在确定的所述VPN设备表项中按照优先级和/或权重顺序查找所述VPN设备。
4.根据权利要求3所述的方法,其特征在于,在查找到的VPN设备对应的虚拟隧道上转发所述数据包包括 判断所述虚拟隧道是否与所述VPN设备对应的虚拟隧道网络接口已经建立连接; 如果是,则进行数据隧道封装,并在所述隧道上转发所述数据包。
5.根据权利要求4所述的方法,其特征在于,判断所述虚拟隧道是否与所述VPN设备对应的虚拟隧道网络接口已经建立连接之后,还包括 在所述虚拟隧道与所述虚拟隧道网络接口未建立连接的情况下,进行隧道协商; 在隧道协商成功的情况下进行数据隧道封装,并在所述隧道上转发所述数据包。
6.根据权利要求4或5所述的方法,其特征在于,在所述VPN设备表项中优先级最高的VPN设备对应的虚拟隧道与所述虚拟隧道网络接口出现故障的情况下,按照所述VPN设备的优先级和/或权重顺序在所述VPN设备表项中剩下的VPN设备之间进行重新负载,并选择对应的虚拟隧道转发所述数据包。
7.一种数据转发的装置,其特征在于,包括 查找模块,用于在安全规则的虚拟专用网络VPN设备表项中查找转发数据包的VPN设备,其中,所述安全规则用于对数据包进行安全检测; 转发模块,用于在查找到的VPN设备对应的虚拟隧道上转发所述数据包。
8.根据权利要求7所述的装置,其特征在于,还包括 确定模块,用于确定所述数据包通过所述安全规则的安全检测。
9.根据权利要求7或8所述的装置,其特征在于,所述查找模块包括 确定单元,用于在所述数据包对应的规则上的一个或多个VPN设备表项中确定一个VPN设备表项为转发所述数据包的VPN设备表项; 查找单元,用于在确定的所述VPN设备表项中按照优先级和/或权重顺序查找所述VPN设备。
10.根据权利要求7或8所述的装置,其特征在于,所述转发模块包括 判断单元,用于判断所述虚拟隧道是否与所述VPN设备对应的虚拟隧道网络接口已经建立连接; 转发单元,用于在所述虚拟隧道与所述虚拟隧道网络接口已经建立连接的情况下,进行数据隧道封装,并在所述隧道上转发所述数据包 。
全文摘要
本发明公开了一种数据转发的方法及装置,其中,该方法包括在安全规则对应的VPN设备表项中查找转发数据包的VPN设备,其中,安全规则用于对数据包进行安全检测;在查找到的VPN设备对应的虚拟隧道上转发数据包。通过运用本发明,解决了相关技术中,由于路由器转发的下一跳地址都是具体的网关IP地址,无法实现下一跳地址直接送入到具体的VPN隧道设备的问题,可以通过在VPN设备表项中查找转发数据包的VPN设备,通过对应的VPN设备转发数据包,解决各企业分支机构内网地址通过VPN设备实现路由扩展,减少了查找VPN设备的复杂性,且缩短了查找时间。
文档编号H04L12/741GK102970229SQ20121055176
公开日2013年3月13日 申请日期2012年12月18日 优先权日2012年12月18日
发明者任献永 申请人:网神信息技术(北京)股份有限公司, 网神科技(北京)有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:任献永
  • 技术所有人:网神信息技术(北京)股份有限公司;网神科技(北京)有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
一种电讯信号转发装置相关技术
数据采集装置相关技术
设备数据接口装置相关技术
监测装置数据接入相关技术
跨隔离装置数据交互相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2