[发明专利]转发路径切换方法、装置及网络设备

说明书

技术领域

本发明涉及网络通信技术，尤其涉及一种转发路径切换方法、装置及网 络设备。

背景技术

由于互联网(Internet)协议基于开放的传输控制协议/因特网互联协议 (Transmission Control Protocol/Internet Protocol，简称为：TCP/IP)协议，因 此，各种企业网、校园网的安全问题日益突出。交换机或路由器结合防火墙 的安全方案不仅可以解决一些网络安全问题，在一些场合通过在核心交换机 嵌入防火墙卡还可以给用户带来更大的方便，具体表现在：防火墙卡处理性 能非常强劲可达到万兆处理级别、防火墙卡可以利用交换机的端口作为防火 墙的端口因此它的端口密度非常大、由于防火墙卡内嵌在交换机内部使得用 户在布线上很方便同时节约了空间、防火墙卡支持虚拟防火墙工作方式可逻 辑上划分为多个防火墙使用。基于此，在交换机或路由器中嵌入防火墙卡的 应用模式越来越受欢迎。

防火墙卡在进行数据转发时的工作模式分为透明模式和路由模式。路由 模式是指防火墙卡在数据转发中充当一台路由器的角色进行三层转发的模 式。在路由模式下，防火墙卡有自己的网络层接口，并根据报文的目的IP地 址进行路由选路转发，只不过在三层转发过程中，防火墙卡会根据自己的安 全策略对报文进行过滤。防火墙卡工作在路由模式下时，用户数据转发流程 包括：用户的数据通过接入交换机到达箱式交换机上。由于用户报文的目的 介质访问控制(Media Access Control，简称为：MAC)地址为嵌在箱式交换 机上的防火墙卡的MAC地址，故箱式交换机则直接通过二层转发将数据转 给嵌在箱式交换机中的防火墙卡。由于箱式交换机与防火墙卡之间的链路为 trunk链路，故到达防火墙卡的用户数据会被交换机加上相应的虚拟局域网 (Virtual Local Area Network，简称为：VLAN)标识(TAG)。防火墙卡根 据自己的过滤策略对用户数据进行过滤处理后，查找路由表，将用户数据的 VLAN TAG改为外网VLAN ID并替换相应的二三层头部信息后，将用户数 据送回箱式交换机。箱式交换机再通过二层转发将用户数据转发到互联网 (Internet)中。从Internet返回的数据将沿上述路径逆向转发。

在防火墙卡的实际应用中，不仅要求较高的安全性，对可靠性的要求也 越来越高。当防火墙卡出现故障时，如果得不到处理就会导致数据流中断。 为了防止数据流中断，一般会使用两块防火墙卡进行防火墙卡的热备份，但 当主、备防火墙卡都出现故障时，还是会出现数据流中断的问题。为了解决 因防火墙卡故障引起数据流中断的问题，现有技术通过实现旁路(BYPASS) 功能来解决该问题。BYPASS功能会检测防火墙卡的工作状态，当发现防火 墙卡出现故障时，BYPASS功能会将数据流直接转发，不再送给防火墙卡， 这样防火墙卡故障就不会导致数据流中断了。但是，目前现有技术中的 BYPASS功能仅支持为工作在透明模式下的防火墙卡提供旁路，无法为工作 在路由模式下的防火墙卡提供旁路。因此，当防火墙卡工作在路由模式时， 如果出现故障就会导致数据流中断。

发明内容

本发明提供一种转发路径切换方法、装置及网络设备，用于解决防火墙 卡工作在路由模式下，发生故障导致数据流中断的问题。

本发明提供一种转发路径切换方法，包括：

交换机对嵌入所述交换机的防火墙卡的工作状态进行检测；

如果所述交换机检测到所述防火墙卡发生故障，所述交换机使预先备份 的所述防火墙卡上的三层路由配置信息生效，以在所述交换机上重新启动所 述防火墙卡上的与所述三层路由配置信息对应的路由协议。

本发明提供一种转发路径切换装置，包括：

检测模块，用于对嵌入所述转发路径切换装置的防火墙卡的工作状态进 行检测；

协议重启模块，用于在所述检测模块检测到所述防火墙卡发生故障时， 使预先备份的所述防火墙卡上的三层路由配置信息生效，以在所述转发路径 切换装置上重新启动所述防火墙卡上的与所述三层路由配置信息对应的路由 协议。

本发明提供一种网络设备，包括本发明提供的任一转发路径切换装置。