[发明专利]一种用于状态防火墙的报文转发方法和装置

权利要求书

1.一种用于状态防火墙的报文转发方法，其特征在于，包括：

获取首包报文；

将所述首包报文和所述状态防火墙中的连接表进行第二次匹配，获得与所述首包报文对应的连接表项，其中，所述连接表包括所述连接表项，所述连接表项与所述首包报文对应的转发必要信息相关联，所述连接表项是在所述首包报文第一次匹配失败时建立的，所述转发必要信息包括出接口和下一跳介质访问控制MAC地址，或者所述转发必要信息包括出接口、虚拟局域网VLAN号和下一跳介质访问控制MAC地址；

根据所述连接表项，查找所述转发必要信息；

根据所述转发必要信息，对所述首包报文进行转发。

2.根据权利要求1所述的报文转发方法，其特征在于，在所述将所述首包报文和所述状态防火墙中的连接表进行第二次匹配之前，所述报文转发方法还包括：

将所述首包报文和所述连接表进行第一次匹配；

在所述首包报文和所述连接表第一次匹配失败的情况下，在所述连接表中建立所述连接表项；

将所述连接表项和所述转发必要信息进行关联。

3.根据权利要求2所述的报文转发方法，其特征在于，所述将所述连接表项和所述转发必要信息进行关联，包括：

获取所述状态防火墙中的路由表；

查询所述路由表，获取所述首包报文的下一跳IP地址和所述出接口；

在通过查询地址解析协议ARP表获取与所述下一跳IP地址对应的下一跳MAC地址失败的情况下，对所述ARP表进行更新，获得更新后的ARP表；

根据所述更新后的ARP表和所述下一跳IP地址，确定所述下一跳MAC地址；

在所述出接口的工作模式不是交换模式的情况下，根据所述出接口和所述下一跳MAC地址，建立所述转发必要信息，并将所述连接表项与所述转发必要信息进行关联。

4.根据权利要求3所述的报文转发方法，其特征在于，在通过所述ARP表获取到所述下一跳MAC地址，或者所述出接口的工作模式是交换模式的情况下，所述报文转发方法还包括：

根据所述状态防火墙中的用于存储所述转发必要信息的预设表，确定所述转发必要信息；

将所述连接表项与所述转发必要信息进行关联；

根据所述转发必要信息，对所述首包报文进行转发。

5.根据权利要求4所述的报文转发方法，其特征在于，所述根据所述状态防火墙中的用于存储所述转发必要信息的预设表，确定所述转发必要信息，包括：

在通过所述预设表查找到所述转发必要信息的情况下，获得所述转发必要信息；或者，

在通过所述预设表查找到所述转发必要信息失败的情况下，根据所述出接口和所述下一跳MAC地址，建立所述转发必要信息。

6.一种用于状态防火墙的报文转发装置，其特征在于，包括：

获取模块，用于获取首包报文；

匹配模块，用于将所述首包报文和所述状态防火墙中的连接表进行第二次匹配，获得与所述首包报文对应的连接表项，其中，所述连接表包括所述连接表项，所述连接表项与所述首包报文对应的转发必要信息相关联，所述连接表项是在所述首包报文第一次匹配失败时建立的，所述转发必要信息包括出接口和下一跳介质访问控制MAC地址，或者所述转发必要信息包括出接口、虚拟局域网VLAN号和下一跳介质访问控制MAC地址；

查找模块，用于根据所述连接表项，查找所述转发必要信息；

转发模块，用于根据所述转发必要信息，对所述首包报文进行转发。

7.根据权利要求6所述的报文转发装置，其特征在于，所述匹配模块，还用于将所述首包报文和所述连接表进行第一次匹配；

所述报文转发装置还包括：

建立模块，用于在所述首包报文和所述连接表第一次匹配失败的情况下，在所述连接表中建立所述连接表项；

关联模块，用于将所述连接表项和所述转发必要信息进行关联。