[发明专利]报文转发方法及设备

权利要求书

1.一种报文转发方法，应用于双机热备组的任一防火墙设备，其特征在于，所述方法包括：

接收第一反向IPv6报文；

确定未查找到所述第一反向IPv6报文的会话表项；

将所述第一反向IPv6报文封装为第一分段路由IPv6报文；其中，所述第一分段路由IPv6报文的外层源IP地址是本设备IPv6地址，所述第一分段路由IPv6报文的目的IP地址是到达对端防火墙的IPv6地址的下一跳；分段路由头的分段列表是逆序压栈的到达所述对端防火墙设备的各跳的IPv6地址；

向所述下一跳发送所述第一分段路由IPv6报文，以使得所述双机热备组的对端防火墙设备收到所述第一分段路由IPv6后对内层的第一IPv6报文进行会话检查。

2.根据权利要求1所述的方法，其特征在于，所述方法包括：

接收第二分段路由IPv6报文；其中，所述第二分段路由IPv6报文的外层源IP地址和目的IP地址分别是所述对端防火墙设备的IPv6地址以及所述本设备的IPv6地址；

根据所述本设备的IPv6地址的指令部分，将所述第二分段路由IPv6报文的外层IP头和分段路由头剥掉；

根据内层的第二IPv6报文查找到会话表项，根据所述第二IPv6报文的目的IP地址执行三层转发。

3.一种报文转发设备，其特征在于，所述设备作为双机热备组的防火墙设备包括处理器以及存储器；所述存储器用于存储处理器可执行指令；其中，所述处理器通过运行所述存储器中的处理器可执行指令用以执行以下操作：

接收第一反向IPv6报文；

确定未查找到所述第一反向IPv6报文的会话表项；

将所述第一反向IPv6报文封装为第一分段路由IPv6报文；其中，所述第一分段路由IPv6报文的外层源IP地址是本设备IPv6地址，所述第一分段路由IPv6报文的目的IP地址是到达对端防火墙的IPv6地址的下一跳；分段路由头的分段列表是逆序压栈的到达所述对端防火墙设备的各跳的IPv6地址；

向所述下一跳发送所述第一分段路由IPv6报文，以使得所述双机热备组的对端防火墙设备收到所述第一分段路由IPv6后对内层的第一IPv6报文进行会话检查。

4.根据权利要求3所述的设备，其特征在于，所述处理器通过运行所述存储器中的处理器可执行指令还执行以下操作：

接收第二分段路由IPv6报文；其中，所述第二分段路由IPv6报文的外层源IP地址和目的IP地址分别是所述对端防火墙设备的IPv6地址以及所述本设备的IPv6地址；

根据所述本设备的IPv6地址的指令部分，将所述第二分段路由IPv6报文的外层IP头和分段路由头剥掉；

根据内层的第二IPv6报文查找到会话表项，根据所述第二IPv6报文的目的IP地址执行三层转发。

5.一种报文转发方法，其特征在于，所述方法包括：

接收第一分段路由IPv6报文；其中，所述第一分段路由IPv6报文的外层目的IP地址的源IP地址是双机热备组的第一防火墙设备的IPv6地址；分段路由头的分段列表的逆序压栈的第一个分段标识是所述双机热备组的第二防火墙设备的IPv6地址；

确定所述第一分段路由IPv6报文的外层目的IP地址是本设备IPv6地址；

根据所述本设备IPv6地址的指令部分读取所述分段列表中下一个分段标识；

将所述第一分段路由IPv6报文的内层IPv6报文的内层目的IP地址在本地路由表的下一跳被修改成作为所述下一个分段标识的IPv6地址；

所述第一分段路由IPv6报文的外层目的IP地址被修改成作为所述下一个分段标识的IPv6地址；

将所述第一分段路由IPv6报文发送到修改后的外层目的IP地址。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

接收第二IPv6报文；

根据所述第二IPv6报文的目的IP地址查找所述本地路由表；

确定所述第二IPv6报文的目的IP地址的下一跳地址是所述作为下一个分段标识的IPv6地址；

将所述第二IPv6报文发往所述作为下一个分段标识的IPv6地址。