[发明专利]报文转发方法、系统、网络设备和防火墙线卡

说明书

技术领域

本发明涉及通信技术，尤其涉及一种报文转发方法、系统、网络设备和防火墙线卡。

背景技术

随着传输控制协议(Transmission Control Protocol；以下简称：TCP)/IP网络的广泛应用，对网络可靠性方面的要求越来越高。在传统的路由器和交换机等基础网络设备中嵌入融合防火墙线卡，具有即插即用、扩展性强的特点，不仅可以有效降低用户管理难度、减少维护成本，而且还突破了物理单品防火墙自有的端口数量限制，使得组网应用更加灵活方便。在这种路由交换网络设备中集成嵌入防火墙线卡，实现了网络和安全保护的高度一体化，已逐渐成为网络发展的一种趋势。其中，集成嵌入防火墙线卡可以提供桥组跨虚拟局域网(Virtual Local Area Network；以下简称：VLAN)二层转发和三层路由转发的功能，桥组跨VLAN二层转发是指由数据链路层来完成不同VLAN间的通信。

图1为现有技术中不同VLAN中服务器间安全隔离的组网示意图，如图1所示，在交换机上集成嵌入的防火墙线卡通过桥组转发来隔离不同VLAN中各服务器间的互访流量。图中三台服务器A、B、C被划分到不同的VLAN中，具体地，交换机将从服务器A发出的二层访问流量报文加上VLAN2标识后发送到防火墙线卡，防火墙线卡经过桥组跨VLAN二层转发后，将该二层访问流量报文的VLAN2标识修改为VLAN3标识，然后再转发给交换机，交换机最终将接收到的携带VLAN3标识的流量报文转发给VLAN3中的服务器B，防火墙线卡通过跨VLAN二层转发功能，对各服务器间的二层互访流量进行安全控制，来保证各服务器间的二层安全隔离。

然而，现有技术中的方案需要为每台服务器单独分配一个VLAN，从而占用大量的VLAN资源。

发明内容

本发明的第一个方面是提供一种报文转发方法，在网络设备上配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN，所述方法包括：

接收所述源服务器通过所述隔离VLAN中所述源服务器对应的源下行端口发送的交互报文；

在所述交互报文中添加隔离VLAN标识后，通过所述隔离VLAN的上行端口将所述交互报文泛洪转发给防火墙线卡，以由所述防火墙线卡对所述交互报文进行安全控制处理；

通过所述隔离VLAN的上行端口接收所述防火墙线卡转发的交互报文；

通过所述隔离VLAN中所述目的服务器对应的目的下行端口，将所述交互报文转发到所述目的服务器。

本发明的一个方面是提供另一种报文转发方法，在网络设备上配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN，所述方法包括：

通过隔离VLAN标识对应的端口接收网络设备转发的交互报文，所述交互报文为所述网络设备通过所述隔离VLAN中所述源服务器对应的源下行端口从所述源服务器接收的，并由所述网络设备在所述交互报文中添加有所述隔离VLAN标识；

对所述交互报文进行安全控制处理，并通过所述隔离VLAN标识对应的端口向所述网络设备转发所述交互报文，以由所述网络设备通过所述隔离VLAN中所述目的服务器的对应的目的下行端口将所述交互报文转发到所述目的服务器。

本发明的另一个方面是提供一种网络设备，包括：

配置模块，用于配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN；

第一接收模块，用于接收所述源服务器通过所述隔离VLAN中所述源服务器对应的源下行端口发送的交互报文；

第一转发模块，用于在所述交互报文中添加隔离VLAN标识后，通过所述隔离VLAN的上行端口将所述交互报文泛洪转发给防火墙线卡，以由所述防火墙线卡对所述交互报文进行安全控制处理；

第二接收模块，用于通过所述隔离VLAN的上行端口接收所述防火墙线卡转发的交互报文；

第二转发模块，用于通过所述隔离VLAN中所述目的服务器对应的目的下行端口，将所述交互报文转发到所述目的服务器。

本发明的另一个方面是提供另一种防火墙线卡，在网络设备上配置源服务器和目的服务器所在的虚拟局域网VLAN为隔离VLAN，所述防火墙线卡包括：

第三接收模块，用于通过隔离VLAN标识对应的端口接收网络设备转发的交互报文，所述交互报文为所述网络设备通过所述隔离VLAN中所述源服务器对应的源下行端口从所述源服务器接收的，并由所述网络设备在所述交互报文中添加有所述隔离VLAN标识；