[发明专利]报文转发路径切换方法、装置及网络设备

说明书

技术领域

本发明涉及通信技术，尤其涉及一种报文转发路径切换方法、装置及网络设备。

背景技术

随着传输控制协议/因特网互联协议（Transmission Control Protocol/Internet Protocol，简称为TCP/IP）网络的广泛应用，对网络可靠性方面的要求越来越高。在路由器和交换机等基础网络设备中集成嵌入防火墙卡，实现了网络和安全保护的高度一体化，已经得到越来越广泛的应用。

当网络设备中集成的防火墙卡出现故障时，因为单点故障会导致数据流转发出现中断。现有技术中，为了解决因防火墙卡故障而导致断流的问题，网络设备上通常会部署旁路（BYPASS）功能。网络设备上的BYPASS功能会检测防火墙卡的工作状态，当检测到防火墙卡出现故障时，能够自动将数据流的转发路径切换到网络设备上进行直接转发，而不再将其发送给防火墙卡进行处理，从而保证在防火墙卡故障时数据流转发不中断。

当BYPASS功能检测到防火墙卡故障恢复时，一般需要将数据流重新回切到防火墙卡进行安全保护处理。而此时，由于防火墙卡上不存在这些回切数据流的流表状态信息，因此需要重新对这些回切数据流进行合法状态检测并在通过合法性检测后建立流表信息。在该过程中，那些不符合防火墙卡状态连接检测的报文将会被丢弃，从而导致回切到防火墙卡的数据流可能出现中断的问题。

发明内容

本发明提供一种报文转发路径切换方法、装置及网络设备，用以解决数据流回切到防火墙卡可能出现中断的问题。

第一方面提供一种报文转发路径切换方法，包括：

网络设备检测嵌入所述网络设备的防火墙卡的状态；

当检测到所述防火墙卡由故障恢复正常后，所述网络设备向所述防火墙卡发送数据流切换通告消息，以指示所述防火墙卡在预设的数据流回切期间，对回切到所述防火墙卡的属于预设的允许直接建立流表的数据流类型的数据流直接建立流表，并将数据流的转发路径由所述网络设备回切到所述防火墙卡，以使所述数据流回切到所述防火墙卡进行转发。

第二方面提供一种报文转发路径切换方法，包括：

嵌入网络设备的防火墙卡接收所述网络设备发送的数据流切换通告消息，并接收由所述网络设备回切到所述防火墙卡的数据流；所述数据流切换通告消息是所述网络设备在所述防火墙卡由故障恢复正常后发送的；

所述防火墙卡根据所述数据流切换通告消息，在预设的数据流回切期间对回切到所述防火墙卡的属于预设的允许直接建立流表的数据流类型的数据流直接建立流表。

第三方面提供一种报文转发路径切换装置，包括：

检测模块，用于检测嵌入所述报文转发路径切换装置的防火墙卡的状态；

发送模块，用于在所述检测模块检测到所述防火墙卡由故障恢复正常后，向所述防火墙卡发送数据流切换通告消息，以指示所述防火墙卡在预设的数据流回切期间，对回切到所述防火墙卡的属于预设的允许直接建立流表的数据流类型的数据流直接建立流表，并将数据流的转发路径由所述网络设备回切到所述防火墙卡，以使所述数据流回切到所述防火墙卡进行转发。

第四方面提供一种防火墙卡，嵌入网络设备实现，所述防火墙卡包括：

接收模块，用于接收所述网络设备发送的数据流切换通告消息，并接收由所述网络设备回切到所述防火墙卡的数据流；所述数据流切换通告消息是所述网络设备在所述防火墙卡由故障恢复正常后发送的；

流表建立模块，用于根据所述接收模块接收的所述数据流切换通告消息，在预设的数据流回切期间对回切到所述防火墙卡的属于预设的允许直接建立流表的数据流类型的数据流直接建立流表。

第五方面提供一种网络设备，包括第三方面提供的任一报文转发路径切换装置。

本发明提供的报文转发路径切换方法、装置及网络设备，网络设备检测嵌入网络设备的防火墙卡的状态，当检测到防火墙由故障恢复正常后，网络设备向防火墙卡发送数据流切换通告消息，以指示防火墙卡在预设的数据流回切期间对回切到所述防火墙卡的属于预设的允许直接建立流表的数据流类型的数据流直接建立流表，并将数据流的转发路径切换回防火墙卡，使数据流回切到防火墙卡进行转发，这样对于那些不符合防火墙卡状态连接检测但属于预设的允许直接建立流表的数据流类型的数据流，在回切到防火墙卡后就不会发生中断的问题。

附图说明

图1为本发明实施例提供的一种报文转发路径切换方法的流程图；

图2为本发明实施例提供的另一种报文转发路径切换方法的流程图；