本申請提供一種報文轉發方法及裝置，應用于防火墻設備中，所述方法包括：確定來自連接的終端發送的報文匹配上預設IPSec策略后，在IP?MAC映射節點集合中添加與所述報文對應的第一IP?MAC映射節點，并根據MAC轉發表轉發所述報文；以及，通過所述IPSec VPN連接接收IPSec報文后，在所述IP?MAC映射節點集合中查找所述IPSec報文的內層報文對應的第二IP?MAC映射節點；若查找到所述第二IP?MAC映射節點，則根據所述第二IP?MAC映射節點重新設置所述內層報文的源MAC地址和目的MAC地址；根據所述MAC轉發表轉發重新設置后的所述內層報文。應用本申請的實施例，可以避免一直泛洪終端的報文，進而可以大大節省網絡資源。

技術領域

本申請涉及網絡通信技術領域，特別設計一種報文轉發方法和裝置。

背景技術

有些大規模的公司需要在本部之外建立分支，為了滿足本部與各個分支之間的通信需求，可以在各個區域的內部、以及各個區域之間進行二層組網，請參見圖1，圖1為二層組網的架構示意圖，無論包含多少個區域，通信原理都是相同的，圖中以包含兩個區域為例進行說明。

互聯網協議安全(Internet Protocol Security，IPSec)是一種工作在三層的加密協議，通過在IPSec對等體之間建立雙向的IPSec隧道，并將匹配IPSec策略的報文引入該IPSec隧道，然后對通過IPSec隧道接收到的報文進行加密和驗證，進而實現安全傳輸指定的報文。為了保證圖1所示的二層組網中各區域之間報文交互的安全，可以引入透明模式的防火墻設備，防火墻設備工作在二層轉發模式，通過IPSec虛擬專用網絡(Virtual PrivateNetwork，VPN)功能對報文進行加密，保證報文的安全，請參見圖2，圖2為在圖1的基礎上引入防火墻設備的二層組網的架構示意圖。

假設，區域1的終端1和區域2的終端2需要通信，首先發送地址解析協議(AddressResolution Protocol，ARP)請求報文，請求終端2的媒體訪問控制(Media AccessControl，MAC)地址，終端2接收到ARP請求報文后，會發送ARP響應報文，終端1與防火墻設備1可以學習到終端2的MAC地址，終端2與防火墻設備2可以學習到終端1的MAC地址，從而生成對應的MAC轉發表項。

當終端1向終端2發送的訪問請求報文到達防火墻設備1時，防火墻設備1會匹配IPSec策略，若匹配上IPSec策略，則將訪問請求報文加密得到IPSec報文，并發送到防火墻設備2，防火墻設備2解密IPSec報文并發送到區域2的終端2，終端2發送的訪問響應報文以此類推，如此即可完成一次報文交互。

上述過程中，IPSec報文具有新的三層及二層頭，也就是說IPSec報文的MAC地址與原訪問請求報文的MAC地址不一致，當終端2的IPSec報文到達防火墻設備1后，無法保活終端2的MAC地址對應的MAC轉發表項，由于防火墻設備上的各個MAC轉發表項有一定的生存時間(典型值為300秒)，在生存時間內沒有收到匹配的報文就會刪除該MAC轉發表項，若此時終端1再次向終端2發送訪問請求報文，由于此時防火墻設備1已經刪除終端2對應的MAC轉發表項，導致該訪問請求報文在防火墻設備1的所有廣播域內進行泛洪，而且由于一直學習不到終端2對應的MAC轉發表項，發往終端2的報文會一直泛洪，這就會大大浪費網絡資源。

發明內容

有鑒于此，本申請提供一種報文轉發方法和裝置，以解決由于報文一直泛洪而導致的大大浪費網絡資源的問題。

具體地，本申請是通過如下技術方案實現的：

一種報文轉發方法，應用于防火墻設備中，所述防火墻設備分別與其他至少一個防火墻設備之間建立IPSec VPN連接，所述防火墻設備工作在二層透明模式，所述方法包括：

確定來自連接的終端發送的報文匹配上預設IPSec策略后，在互聯網協議IP-媒體訪問控制MAC映射節點集合中添加與所述報文對應的第一IP-MAC映射節點，并根據MAC轉發表轉發所述報文；以及，