[發(fā)明專利]報文轉(zhuǎn)發(fā)方法及裝置、存儲介質(zhì)、電子設(shè)備有效
| 申請?zhí)枺?/td> | 201711067952.5 | 申請日: | 2017-11-03 |
| 公開(公告)號: | CN107888500B | 公開(公告)日: | 2020-04-17 |
| 發(fā)明(設(shè)計)人: | 劉健男 | 申請(專利權(quán))人: | 東軟集團股份有限公司 |
| 主分類號: | H04L12/741 | 分類號: | H04L12/741;H04L12/805;H04L29/06 |
| 代理公司: | 北京英創(chuàng)嘉友知識產(chǎn)權(quán)代理事務(wù)所(普通合伙) 11447 | 代理人: | 楊云倩;魏嘉熹 |
| 地址: | 110179 遼*** | 國省代碼: | 遼寧;21 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 報文 轉(zhuǎn)發(fā) 方法 裝置 存儲 介質(zhì) 電子設(shè)備 | ||
本公開涉及一種報文轉(zhuǎn)發(fā)方法及裝置、存儲介質(zhì)、電子設(shè)備。預(yù)設(shè)虛擬防火墻的默認身份標識,且在會話表中保存本地發(fā)出的報文對應(yīng)的虛擬防火墻的真實身份標識,會話表采用共享內(nèi)存設(shè)計,該方法包括:如果本地發(fā)出的報文中未攜帶虛擬防火墻的真實身份標識,則從本地發(fā)出的報文中提取五元組,利用五元組以及虛擬防火墻的默認身份標識,在哈希表中查找本地發(fā)出的報文對應(yīng)的會話表;若在哈希表中查找到會話表,則訪問會話表獲得本地發(fā)出的報文對應(yīng)的虛擬防火墻的真實身份標識;將本地發(fā)出的報文發(fā)送至用戶態(tài),以通過具有真實身份標識的虛擬防火墻對應(yīng)的網(wǎng)卡,按照會話表中的轉(zhuǎn)發(fā)策略發(fā)送本地發(fā)出的報文。有助于提高基于虛擬防火墻實現(xiàn)的報文轉(zhuǎn)發(fā)的性能。
技術(shù)領(lǐng)域
本公開涉及通信技術(shù)領(lǐng)域,具體地,涉及一種報文轉(zhuǎn)發(fā)方法及裝置、計算機可讀存儲介質(zhì)、電子設(shè)備。
背景技術(shù)
為了使物理計算機的資源利用最大化,減少用戶成本,虛擬防火墻技術(shù)已成為各網(wǎng)絡(luò)安全廠商的研究重點。虛擬防火墻技術(shù)能夠?qū)⒁慌_物理防火墻在邏輯上劃分成多個虛擬防火墻vsys(英文:virtual system),從用戶角度來說,每個虛擬防火墻都可以被看成是一臺完全獨立的防火墻設(shè)備。
基于虛擬防火墻技術(shù)進行報文轉(zhuǎn)發(fā)時,可以先由內(nèi)核態(tài)獲取虛擬防火墻的真實身份標識,然后將本地發(fā)出的報文發(fā)送至用戶態(tài),使用戶態(tài)通過具有真實身份標識的虛擬防火墻對應(yīng)的網(wǎng)卡,按照會話表中的轉(zhuǎn)發(fā)策略進行報文轉(zhuǎn)發(fā)。
通常,如果首包是本地到達的報文,由現(xiàn)有的協(xié)議棧實現(xiàn)可知,報文經(jīng)協(xié)議棧再從本地發(fā)出時,無法攜帶虛擬防火墻的真實身份標識。針對于此,可以通過遍歷的方式獲得虛擬防火墻的真實身份標識。
具體地,如果虛擬防火墻系統(tǒng)包括255個虛擬防火墻,各虛擬防火墻的真實身份標識為1~255,則從本地發(fā)出的報文中提取出五元組后,五元組可以逐個與各虛擬防火墻的真實身份標識組合,嘗試查找對應(yīng)的會話表。如果查找到對應(yīng)的會話表,則說明當前組合中的身份標識即為本地發(fā)出的報文對應(yīng)的虛擬防火墻的真實身份標識。
如此遍歷方案,會影響基于虛擬防火墻實現(xiàn)的報文轉(zhuǎn)發(fā)的性能,如上述示例中,最差情況可能需要查詢255次才能確定出虛擬防火墻的真實身份標識。
發(fā)明內(nèi)容
本公開的目的是提供一種報文轉(zhuǎn)發(fā)方法及裝置、計算機可讀存儲介質(zhì)、電子設(shè)備,有助于提高基于虛擬防火墻實現(xiàn)的報文轉(zhuǎn)發(fā)的性能。
為了實現(xiàn)上述目的,第一方面,本公開提供一種報文轉(zhuǎn)發(fā)方法,預(yù)設(shè)虛擬防火墻的默認身份標識,且在會話表中保存本地發(fā)出的報文對應(yīng)的虛擬防火墻的真實身份標識,所述會話表采用共享內(nèi)存設(shè)計,所述方法包括:
如果所述本地發(fā)出的報文中未攜帶虛擬防火墻的真實身份標識,則從所述本地發(fā)出的報文中提取五元組后,利用所述五元組以及所述虛擬防火墻的默認身份標識,在哈希表中查找所述本地發(fā)出的報文對應(yīng)的會話表;
如果在所述哈希表中查找到所述會話表,則訪問所述會話表,獲得所述本地發(fā)出的報文對應(yīng)的虛擬防火墻的真實身份標識;
將所述本地發(fā)出的報文發(fā)送至用戶態(tài),以通過具有所述真實身份標識的虛擬防火墻對應(yīng)的網(wǎng)卡,按照所述會話表中的轉(zhuǎn)發(fā)策略發(fā)送所述本地發(fā)出的報文。
可選地,所述將所述本地發(fā)出的報文發(fā)送至用戶態(tài),包括:
通過內(nèi)核態(tài)的指定CPU將所述本地發(fā)出的報文發(fā)送至用戶態(tài)的指定CPU,所述用戶態(tài)的指定CPU用于將所述本地發(fā)出的報文轉(zhuǎn)發(fā)至所述虛擬防火墻對應(yīng)的網(wǎng)卡,使所述虛擬防火墻對應(yīng)的網(wǎng)卡按照所述會話表中的轉(zhuǎn)發(fā)策略發(fā)送所述本地發(fā)出的報文。
可選地,所述內(nèi)核態(tài)的CPU與所述用戶態(tài)的CPU為一對一關(guān)系,則確定所述內(nèi)核態(tài)的指定CPU的方式為:
從本地到達的報文中提取五元組,所述本地到達的報文與所述本地發(fā)出的報文屬于同一個會話;
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于東軟集團股份有限公司,未經(jīng)東軟集團股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201711067952.5/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 一種轉(zhuǎn)發(fā)表的生成方法及裝置
- 報文轉(zhuǎn)發(fā)的方法及網(wǎng)絡(luò)設(shè)備
- 一種轉(zhuǎn)發(fā)表項的存儲方法和裝置
- 一種計算轉(zhuǎn)發(fā)路徑的方法及網(wǎng)絡(luò)設(shè)備
- 一種報文轉(zhuǎn)發(fā)方法及裝置
- 報文轉(zhuǎn)發(fā)方法及裝置
- 一種信息發(fā)布及轉(zhuǎn)發(fā)方法
- 報文轉(zhuǎn)發(fā)方法及裝置
- 數(shù)據(jù)轉(zhuǎn)發(fā)的控制系統(tǒng)、方法、電子設(shè)備及存儲介質(zhì)
- 一種5G數(shù)據(jù)轉(zhuǎn)發(fā)平面的轉(zhuǎn)發(fā)效率控制方法、系統(tǒng)及終端
