[发明专利]报文转发方法及设备

说明书

本申请提供了报文转发方法及设备。本申请提供的报文转发方法中，双机热备组的任一防火墙设备接收IPv6报文，确定未查找到IPv6报文的会话表项，将IPv6报文封装为分段路由IPv6报文；其中，分段路由IPv6报文的外层源IP地址是本设备IPv6地址，分段路由IPv6报文的目的IP地址是到达对端防火墙的IPv6地址的下一跳；分段路由头的分段列表是逆序压栈的到达对端防火墙设备的各跳的IPv6地址；向下一跳发送分段路由IPv6报文，以使得双机热备组的对端防火墙设备收到分段路由IPv6后对内层的IPv6报文进行会话检查。

技术领域

本申请涉及通信技术，特别涉及报文转发方法及设备。

背景技术

防火墙双机热备组将互为备份的两台防火墙设备会通过备份链路定时向另一台设备发送状态协商报文，协商进入同步状态后开始备份对端设备上的会话、A表项、黑名单等重要信息。当其中一台防火墙设备发生故障时，在转发层面利用VRRP或动态路由(例如OSPF)机制将业务流量切换到另一台防火墙设备。理想情况下，不同的业务流通过两台防火墙设备，这样每个流的正向报文和反向设备都通过同一台防火墙转发，这样防火墙设备能够基于会话进行业务防护。

由于双机热备组的防火墙设备之间并不时实时备份，一旦某个业务流的正向报文通过其中一台防火墙设备转发，而反向报文被转发到另一台防火墙设备时，收到反向报文的防火墙设备会因为没有同步会话信息，只能丢弃收到的反向报文。网络中，防火墙有可能连接多台路由器，此时，也无法通过配置保持上一跳功能，无法保持统一业务流的正向报文和反向报文的路径一致。

发明内容

本申请的目的在于提供报文转发方法及设备，使得经由双机热备组的防火墙设备转发的同一业务流的正向报文和反向报文的路径一致。

未实现上述目的，本申请提供了一种报文转发方法，应用于双机热备组的任一防火墙设备，该方法包括：接收第一IPv6报文；确定未查找到第一IPv6报文的会话表项；将第一IPv6报文封装为第一分段路由IPv6报文；其中，第一分段路由IPv6报文的外层源IP地址是本设备IPv6地址，第一分段路由IPv6报文的目的IP地址是到达对端防火墙的IPv6地址的下一跳；分段路由头的分段列表是逆序压栈的到达对端防火墙设备的各跳的IPv6地址；向下一跳发送第一分段路由IPv6报文，以使得双机热备组的对端防火墙设备收到第一分段路由IPv6后对内层的第一IPv6报文进行会话检查。

为实现上述目的，本申请还提供了，一种报文转发设备，该设备作为双机备份组的防火墙设备包括处理器以及存储器；存储器用于存储处理器可执行指令；其中，处理器通过运行存储器中的处理器可执行指令用以执行以下操作：接收第一IPv6报文；确定未查找到第一IPv6报文的会话表项；将第一IPv6报文封装为第一分段路由IPv6报文；其中，第一分段路由IPv6报文的外层源IP地址是本设备IPv6地址，第一分段路由IPv6报文的目的IP地址是到达对端防火墙的IPv6地址的下一跳；分段路由头的分段列表是逆序压栈的到达对端防火墙设备的各跳的IPv6地址；向下一跳发送第一分段路由IPv6报文，以使得双机热备组的对端防火墙设备收到第一分段路由IPv6后对内层的第一IPv6报文进行会话检查。

为实现上述目的，本申请还提供了一种报文转发方法，该方法包括：接收第一分段路由IPv6报文；其中，第一分段路由IPv6报文的外层目的IP地址的源IP地址是双机热备组的第一防火墙设备的IPv6地址；分段路由头的分段列表的逆序压栈的第一个分段标识是双机热备组的第二防火墙设备的IPv6地址；确定第一分段路由IPv6报文的外层目的IP地址是本设备IPv6地址；根据本设备IPv6地址的指令部分读取分段列表中作为下一个分段标识，将第一分段路由IPv6报文的内层IPv6报文的内层目的IP地址在本地路由表的下一跳修改为作为下一个分段标识的IPv6地址；将第一分段路由IPv6报文的外层目的IP地址修改为作为下一个分段标识的IPv6地址；将第一IPv6报文发送到修改后的外层目的IP地址。