[发明专利]一种报文转发方法及装置

说明书

本申请提供一种报文转发方法及装置，应用于交换设备，所述交换设备维护有会话表和hash索引表；其中，会话表中的会话表项包括会话的五元组信息；hash索引表中的hash索引表项包括与会话表项对应的hash索引；hash索引包括从与会话的五元组信息对应的hash值中提取到的至少一个hash片段；所述方法包括：计算与接收到的报文的五元组信息对应的hash值，并从hash值中提取出至少一个hash片段；在hash索引表中，查找与所述至少一个hash片段匹配的hash索引表项；如果查找到与至少一个hash片段匹配的hash索引表项，则进一步基于与所述hash索引表项对应的会话表项，转发报文。

技术领域

本申请涉及通信技术领域，尤其涉及一种报文转发方法、装置、电子设备及机器可读存储介质。

背景技术

为了防止用户的计算机被攻击，通常可以在具有交换功能的网络设备上部署防火墙，还可以预先为防火墙配置安全策略，以使防火墙可以过滤经过网络设备转发的报文。

在实际应用中，交换设备可以利用其维护的会话表，先对该交换设备接收到的报文进行安全策略匹配；交换设备允许符合安全策略的报文通过，将不符合安全策略的报文直接丢弃。

例如，交换设备在接收到某一会话的首个报文时，可以先检测该报文是否符合预设的安全策略；如果符合，则转发该报文，并在会话表中创建记录有该报文的五元组信息的会话表项，上述会话表项包括与该报文对应的会话的五元组信息；如果不符合，则丢弃该报文；后续，如果在会话表中可以查找到与接收到的报文的五元组信息匹配的会话表项，则交换设备无需再对接收到的报文进行安全策略匹配，可以直接转发该报文。

发明内容

本申请提供一种报文转发方法，应用于交换设备，所述交换设备维护有会话表和hash索引表；其中，所述会话表中的会话表项包括会话的五元组信息；所述hash索引表中的hash索引表项包括与所述会话表项对应的hash索引；所述hash索引包括从与所述会话的五元组信息对应的hash值中提取到的至少一个hash片段；所述方法包括：

计算与接收到的报文的五元组信息对应的hash值，并从所述hash值中提取出至少一个hash片段；

在所述hash索引表中，查找与所述至少一个hash片段匹配的hash索引表项；

如果查找到与所述至少一个hash片段匹配的hash索引表项，则进一步基于与所述hash索引表项对应的会话表项，转发所述报文。

可选的，所述从所述hash值中提取出至少一个hash片段，包括：

从所述hash值的预设比特位区间中，提取出至少一个hash片段。

可选的，所述基于与所述hash索引表项对应的会话表项，转发所述报文，包括：

在所述会话表中，查找与所述hash索引表项对应的会话表项；

比较所述会话表项中的五元组信息与所述报文的五元组信息是否匹配；

如果所述会话表项中的五元组信息与所述报文的五元组信息匹配，则基于所述会话表项，转发所述报文。

可选的，所述hash索引表项还包括与所述会话表项对应的会话标识；

所述查找与所述hash索引表项对应的会话表项，包括：

获取所述hash索引表项中的会话标识；

在所述会话表中，查找与所述会话标识对应的会话表项。

可选的，还包括：