[发明专利]报文转发方法及装置、存储介质、电子设备

说明书

本公开涉及一种报文转发方法及装置、存储介质、电子设备。预设虚拟防火墙的默认身份标识，且在会话表中保存本地发出的报文对应的虚拟防火墙的真实身份标识，会话表采用共享内存设计，该方法包括：如果本地发出的报文中未携带虚拟防火墙的真实身份标识，则从本地发出的报文中提取五元组，利用五元组以及虚拟防火墙的默认身份标识，在哈希表中查找本地发出的报文对应的会话表；若在哈希表中查找到会话表，则访问会话表获得本地发出的报文对应的虚拟防火墙的真实身份标识；将本地发出的报文发送至用户态，以通过具有真实身份标识的虚拟防火墙对应的网卡，按照会话表中的转发策略发送本地发出的报文。有助于提高基于虚拟防火墙实现的报文转发的性能。

技术领域

本公开涉及通信技术领域，具体地，涉及一种报文转发方法及装置、计算机可读存储介质、电子设备。

背景技术

为了使物理计算机的资源利用最大化，减少用户成本，虚拟防火墙技术已成为各网络安全厂商的研究重点。虚拟防火墙技术能够将一台物理防火墙在逻辑上划分成多个虚拟防火墙vsys(英文：virtual system)，从用户角度来说，每个虚拟防火墙都可以被看成是一台完全独立的防火墙设备。

基于虚拟防火墙技术进行报文转发时，可以先由内核态获取虚拟防火墙的真实身份标识，然后将本地发出的报文发送至用户态，使用户态通过具有真实身份标识的虚拟防火墙对应的网卡，按照会话表中的转发策略进行报文转发。

通常，如果首包是本地到达的报文，由现有的协议栈实现可知，报文经协议栈再从本地发出时，无法携带虚拟防火墙的真实身份标识。针对于此，可以通过遍历的方式获得虚拟防火墙的真实身份标识。

具体地，如果虚拟防火墙系统包括255个虚拟防火墙，各虚拟防火墙的真实身份标识为1～255，则从本地发出的报文中提取出五元组后，五元组可以逐个与各虚拟防火墙的真实身份标识组合，尝试查找对应的会话表。如果查找到对应的会话表，则说明当前组合中的身份标识即为本地发出的报文对应的虚拟防火墙的真实身份标识。

如此遍历方案，会影响基于虚拟防火墙实现的报文转发的性能，如上述示例中，最差情况可能需要查询255次才能确定出虚拟防火墙的真实身份标识。

发明内容

本公开的目的是提供一种报文转发方法及装置、计算机可读存储介质、电子设备，有助于提高基于虚拟防火墙实现的报文转发的性能。

为了实现上述目的，第一方面，本公开提供一种报文转发方法，预设虚拟防火墙的默认身份标识，且在会话表中保存本地发出的报文对应的虚拟防火墙的真实身份标识，所述会话表采用共享内存设计，所述方法包括：

如果所述本地发出的报文中未携带虚拟防火墙的真实身份标识，则从所述本地发出的报文中提取五元组后，利用所述五元组以及所述虚拟防火墙的默认身份标识，在哈希表中查找所述本地发出的报文对应的会话表；

如果在所述哈希表中查找到所述会话表，则访问所述会话表，获得所述本地发出的报文对应的虚拟防火墙的真实身份标识；

将所述本地发出的报文发送至用户态，以通过具有所述真实身份标识的虚拟防火墙对应的网卡，按照所述会话表中的转发策略发送所述本地发出的报文。

可选地，所述将所述本地发出的报文发送至用户态，包括：

通过内核态的指定CPU将所述本地发出的报文发送至用户态的指定CPU，所述用户态的指定CPU用于将所述本地发出的报文转发至所述虚拟防火墙对应的网卡，使所述虚拟防火墙对应的网卡按照所述会话表中的转发策略发送所述本地发出的报文。

可选地，所述内核态的CPU与所述用户态的CPU为一对一关系，则确定所述内核态的指定CPU的方式为：

从本地到达的报文中提取五元组，所述本地到达的报文与所述本地发出的报文属于同一个会话；