[发明专利]一种ARP信息表项更新方法及装置

说明书

技术领域

本发明涉及二层防火墙的组网技术领域，尤其是涉及一种地址解析协议（ARP，Address Resolution Protocol）信息表项更新方法及装置。

背景技术

随着传输控制协议/因特网互联协议（TCP/IP，Transimission Control Protocol/Internet Protocol）网络的广泛应用，对网络可靠性方面的要求越来越高。其中在路由器和/或交换机等基础网络设备中集成嵌入防火墙线卡模块，实现网络和安全保护的高度一体化，已经得到越来越广泛的应用。

其中，使用防火墙线卡用于局域网内服务器安全保护的可靠性组网方案具体如图1所示，首先，两台网络设备通过虚拟路由冗余协议（VRRP，Virtual Router Redundancy Protocol）组成一台虚拟路由设备，作为局域网内各服务器的冗余备份缺省网关。VRRP主用设备定时向VRRP备用设备发送VRRP组播协议报文通告该主设备的工作状态，当主设备出现故障时，备用设备能够及时接替工作，从而保证各服务器业务应用的连续性。其次，在两台网络设备中分别嵌入一块集成防火墙线卡工作在桥组跨虚拟局域网（VLAN，Virtual Local Area Network）转发模式，串接在网络设备和各服务器之间做二层桥组转发，两块防火墙线卡之间形成双机热备关系，双机热备技术具体又可分为主备模式（Active-Standby）和主主模式（Active-Active）。

防火墙线卡的桥组跨VLAN二层转发，是指由数据链路层来完成不同VLAN间的通信。具体如图1所示：工作在主备模式的二层桥组转发应用下的防火墙线卡配置同一桥组内转发接口包含VLAN1和VLAN11，则当防火墙线卡从网络设备收到VLAN1标识的报文时，会将其修改为VLAN11标识的报文再转发给网络设备；反之当防火墙线卡从网络设备收到VLAN11标识的报文时，则将其修改为VLAN1标识的报文再转发给网络设备。

上述组网方案中，通过网络设备间的虚拟路由冗余协议VRRP以及防火墙间的双机热备技术，实现了局域网内关键节点的冗余保护。当VRRP主设备出现故障时，由VRRP备设备及时接替工作。当两块防火墙工作在主备模式时，VRRP主设备通告的协议报文通过两台网络设备的聚合（Trunk）链路到达对端，不需要经过防火墙线卡，因此当主用防火墙线卡故障而触发防火墙线卡进行热备切换时，备用防火墙线卡接替成为新的主用防火墙线卡进行工作，同时VRRP主备用设备间不会发生主备用切换。

但是由于新的主用防火墙线卡所在的网络设备上可能存在服务器的原有MAC地址信息表项，因此会导致外部网络无法主动成功访问局域网内部分服务器的问题。

综上述所述，当防火墙线卡发生热备切换后，外部网络访问局域网内服务器时，访问成功率较低。

发明内容

本发明实施例提供了一种报文转发方法及装置，能够较好地提高防火墙线卡发生热备切换后，外部网络访问局域网内服务器时的访问成功率。

一种地址解析协议ARP信息表项更新方法，包括：当前的主用防火墙线卡处于正常工作状态时，监听虚拟路由冗余协议VRRP网关发来的ARP信息报文并同步给当前的备用防火墙线卡；在判断出当前的主用防火墙线卡处于异常工作状态时，当前的备用防火墙线卡切换为新的主用防火墙线卡，并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文；以及在接收到服务器响应的ARP应答单播报文后，根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。

一种地址解析协议ARP信息表项更新装置，包括：监听单元，用于当前的主用防火墙线卡处于正常工作状态时，监听虚拟路由冗余协议VRRP网关发来的ARP信息报文并同步给当前的备用防火墙线卡；判断单元，用于判断当前的主用防火墙线卡是否处于异常工作状态；发送单元，用于在判断出当前的主用防火墙线卡处于异常工作状态时，当前的备用防火墙线卡切换为新的主用防火墙线卡，并向局域网内至少一个服务器发送地址解析协议ARP请求广播报文；以及更新单元，用于在接收到服务器响应的ARP应答单播报文后，根据接收的ARP信息报文更新介质访问控制MAC地址信息表项。