[发明专利]一种数据包的转发方法和装置

说明书

技术领域

本发明涉及防火墙技术领域，特别是涉及一种数据包的转发方法和装置。

背景技术

目前的防火墙系统都是基于状态检测技术的。防火墙在收到包之后匹配访 问策略，如果策略允许通过，就建立session(连接)转发出去，并把当前的 policy_age(策略年龄)记录到这个session中，其中session由源地址、源端口、 目的地址、目的端口、协议号确定，policy_age是用来记录访问策略修改次数 的全局变量。防火墙在收到后续的属于这个session的包后，比较一下session 中记录的策略年龄和policy_age，如果相等就直接转发出去，不需要再匹配访 问策略等工作；如果不相等就重新匹配访问策略、查找路由和ARP(Address Resolve Protocol，地址解析协议)转发出去。目前的技术都是针对访问策略、 路由和ARP的修改来增加policy_age，这样当访问策略、路由和ARP有任一 修改后，都需要把所有的session重新走一遍匹配访问策略、查找路由和ARP 等工作。这在一般稳定的网络环境中是不会有问题的，因为用户不会经常修改 访问策略和路由，即使是在有动态路由协议的网络环境中，路由协商好后路由 也不会再变化。而且当访问策略和路由发生变化时，所有的session的确需要 重新匹配访问策略和查找路由。但是当ARP变化后，只有和这个ARP相关的 session才需要重新查找ARP；其他session的ARP没有变化，不需要重新匹配 访问策略和查找路由。

但是，当访问策略、路由和ARP变化时，转发系统会把session中记录的 策略年龄和全局的policy_age来比较，如果不相等，就重新匹配访问策略、查 找路由和ARP。这样在ARP变化频繁的网络环境中，防火墙转发系统就会频 繁震荡，造成系统的整体性能下降。

发明内容

本发明要解决的问题是提供一种数据包的转发方法和装置，以克服现有技 术中在ARP变化频繁的网络环境中，防火墙转发系统会频繁震荡的缺陷。

为达到上述目的，本发明的技术方案提供一种数据包的转发方法，所述方 法包括以下步骤：A、接收数据包；B、当与所述数据包对应的连接中记录的 策略年龄等于全局的策略年龄，且所述连接中记录的邻居年龄不等于全局的邻 居年龄时，判断所述连接中记录的邻居信息是否修改过，如果是，则转步骤C， 否则转步骤D；C、匹配所述数据包的访问策略、建立连接、查找路由和地址 解析协议并记录到所述连接中，将全局策略年龄和邻居年龄的值记录到所述连 接中；D、转发所述数据包。

进一步，在所述步骤B中，具体包括：B1、判断所述连接中记录的策略 年龄是否等于全局的策略年龄，如果是，则转步骤B2，否则转步骤C；B2、 判断所述连接中记录的邻居年龄是否等于全局的邻居年龄，如果是，则转步骤 D，否则转步骤B3；B3、判断所述连接中记录的邻居信息是否修改过，如果是， 则转步骤C，否则转步骤D。

进一步，在步骤A与步骤B之间，还包括：E、查找是否存在与所述数据 包对应的连接，如果是，则转步骤B，否则转步骤C。

本发明的技术方案还提供一种数据包的转发装置，所述装置包括：数据包 接收单元，用于接收数据包；连接检测单元，用于当与所述数据包对应的连接 中记录的策略年龄等于全局的策略年龄，且所述连接中记录的邻居年龄不等于 全局的邻居年龄时，判断所述连接中记录的邻居信息是否修改过；连接建立单 元，用于根据连接检测单元的检测结果，匹配所述数据包的访问策略、建立连 接、查找路由和地址解析协议并记录到所述连接中，将全局策略年龄和邻居年 龄的值记录到所述连接中；数据包转发单元，用于转发所述数据包。

进一步，所述连接检测单元包括：策略年龄检测子单元，用于判断所述连 接中记录的策略年龄是否等于全局的策略年龄；邻居年龄检测子单元，用于判 断所述连接中记录的邻居年龄是否等于全局的邻居年龄；邻居信息修改检测子 单元，用于判断所述连接中记录的邻居信息是否修改过。

进一步，所述装置还包括连接查找单元，用于根据所述数据包接收单元接 收到的数据包，查找与所述数据包对应的连接。

与现有技术相比，本发明有益效果如下：