技術領域

本發明涉及網絡數據通訊領域，尤其涉及一種報文轉發方法、裝置及網絡設備。

背景技術

防火墻的報文過濾功能并非僅僅以某個單個報文為目標，根據規則允許或阻止其通過；而是跟蹤完整的數據交互過程，在一定的上下文環境中，審核數據交互過程雙方每個往來報文的合法性。

防火墻一般通過“流”來記錄數據交互過程的上下文環境。

以傳輸控制協議(Transmission?Control?Protocol，TCP)報文為例：同步(SYN，synchronize)報文是一次數據交互的開始，防火墻收到SYN報文后，創建一個流記錄。在這種狀況下，只允許SYN報文的響應端響應一個SYNACK報文，或SYN報文的發起端重發SYN報文；如果收到SYN報文發起端的非SYN報文，或收到SYN報文響應端的非同步確認(SYNACK)報文，都認為非法。如果防火墻收到一個非SYN報文，并且沒有任何一條“流”記錄與該報文匹配，也就是說不存在該非SYN報文的上下文環境，則認為該非SYN報文非法。其他類型報文，如結束(FIN)報文、確認(ACK)報文等，也是通過上下文環境，決定取舍。

目前，防火墻以“鏈表數組”的形式組織和管理流，這個“鏈表數組”通常稱為“流表”。

還是以TCP報文為例，防火墻一般通過五元組標識一個TCP流，這五元組由源IP、目的IP、協議類型，源端口和目的端口五部分信息組成。

每收到一個TCP報文，防火墻從報頭提取出源IP、目的IP、協議類型，源端口和目的端口，將五元組經過哈希(HASH)運算，得到的HASH結果(假設為X)，作為“流表”的索引。

在“流表”的索引值為X位置上，是一條“流”記錄鏈表，反過來說，該鏈表的每個節點是一個“流”記錄，每個“流”的五元組的HASH運算結果都等于X。

防火墻把該TCP報文的五元組與鏈表上的每個節點所記錄的五元組逐個匹配，如果能夠匹配表示該報文所屬的“流”已存在；否則，防火墻在確定該TCP報文符合創建新連接的條件后，將創建一個“流”，添加到在“流表”的索引值為X位置的“流”鏈表上，以記錄該報文所屬的連接的上下文環境。導致防火墻新創建一個“流”記錄的報文，通常稱為“首報文”。

透明模式的防火墻類似網橋，防火墻的各個接口成對配成“橋組”，每個橋組有且只有兩個成員接口，網絡報文從一個接口(即接收接口，以下稱“入接口”)被防火墻接收，如果通過防火墻審查，允許轉發，則該報文一定從與“入接口”同屬一個橋組的另一個接口(即發送出口，以下稱“出接口”)離開防火墻；反之，如果報文從“出接口”進，如果沒有被防火墻甄別為非法而被丟棄的話，則一定會從“入接口”出。

創建流記錄的過程中，透明模式防火墻需要在橋組表中找到接收“首報文”的“入接口”所屬的橋組，接著獲得與“入接口”同屬于一個橋組的“出接口”，“入接口”與流的發起端(也就是“首報文”的發起端)對應，“出接口”與流的響應端(也就是“首報文”的響應端)對應，保存在流記錄中。

當收到屬于該流的后續報文，防火墻確認報文合法后，如果報文來源是“發起端”，則從“出接口”離開防火墻；如果報文來源是“響應端”，則從“入接口”離開防火墻。

通過把“入接口”和“出接口”與發起端和響應端對應，記錄在“流”中，流創建后，防火墻無需再為了確定報文離開防火墻的路徑，而查詢橋組表，減少這項查詢操作，有助于提高報文轉發率。

發明人發現，現有技術中，透明模式的防火墻橋接的兩個物理子網經該防火墻轉發報文時，如果不論報文發送的方向如何，報文的內容一樣，換言之，報文中包含的五元組一樣，但是從該防火墻橋接的兩個接口分別接收的，就會引發錯誤轉發的問題，下面舉一個實例進行說明：

假設透明模式防火墻橋接兩個物理子網(子網Net_A和子網Net_B)，子網Net_A接在防火墻的接口Intf_A上，子網Net_B接在防火墻的接口Intf_B上。

兩個子網的PC機的IP都是動態配置的，網絡中唯一的一臺動態主機配置協議(DHCP，Dynamic?Host?Configuration?Protocol)服務器放置在子網Net_A。

位于子網Net_A的主機PC_A在啟動的時候發出DHCP-discover廣播報文(源IP地址為0.0.0.0、目的IP地址為255.255.255.255、源端口為68、目的端口為67、協議類型為UDP協議)PKT_1，請求DHCP服務器為其分配IP，因為PKT_1是廣播報文，所以子網Net_A的所有設備，包括防火墻在內，都會收到PKT_1。