[发明专利]路径切换方法、装置、系统和网络设备

说明书

技术领域

本发明涉及防火墙技术，尤其涉及一种路径切换方法、装置、系统和网络设备，属于计算机网络技术领域。

背景技术

目前的防火墙(Fire Wall；以下简称：FW)为了获得高可用性(High Availability；以下简称：HA)，通常使用热备份技术，即一般采用双防火墙，在运行时，一台防火墙将运行数据同步到另外一台防火墙。一旦主防火墙发生故障，则备用防火墙进行角色切换，使自己切换为主防火墙，并接管转发和安全工作。

透明模式的防火墙工作在网络二层，就像一台交换机一样，并可以在转发二层流量过程中进行安全过滤。

以图1所示的网络结构为例，图1为现有技术网络结构的示意图，支持虚拟局域网(Virtual Local Area Network；以下简称：VLAN)的交换机分别连接VLAN5和VLAN10的两组用户，交换机通过VLAN中继(VLAN Trunk)模式分别连接到防火墙FW1和FW2，FW1和FW2工作在透明模式，通过桥组转发不同VLAN的流量。图1中，FW1允许VLAN5的流量通过，FW2允许VLAN10的流量通过。

VLAN10中，个人计算机1(Personal Computer 1；以下简称：PC1)和PC2直接通过二层网络通信，PC1的媒体接入控制(Media Access Control；以下简称：MAC)地址为00:44:55:66:77:99，PC2的MAC地址为00:44:55:66:77:88。

PC1和PC2工作一段时间以后，防火墙连接的上下游交换机和防火墙都学习出自己的MAC地址表。同时FW1与FW2之间也会互发备份消息，使FW1和FW2具有相同的MAC地址表。

当FW2发生故障时，FW2连接的链路无法正常工作，FW2连接的上下游交换机中FW2对应接口的MAC表项被清空，这样，VLAN10的用户发送的以太网帧发送到交换机时，将无法查找到对应的MAC表项，这时交换机会通过广播发送上述以太网帧，广播出的以太网帧将由FW1进行转发，并在FW1中建立MAC表项。

在FW2恢复正常工作之后，FW2连接的链路也重新恢复正常工作，FW2恢复对VLAN10流量的转发，这时FW1将对VLAN10的流量进行阻断，但是此时FW1连接的链路仍可以正常工作，上下游交换机的MAC地址表并未发生更新，因此对于目前已经存在于MAC地址表中的VLAN10的流量还是都要从FW1经过，但这时FW1已阻断VLAN10的流量，即FW1已不会转发VLAN10的流量，这样就会产生通信中断，使VLAN10的用户无法正常通信。

发明内容

本发明提供一种路径切换方法、装置和网络设备，以实现平滑切换二层网络流量，提高网络设备的可用性。

本发明一方面提供一种路径切换方法，包括：

第一网络设备恢复正常工作之后，遍历自身的二层接口；

所述第一网络设备生成第一以太网帧，所述第一以太网帧的源地址为所述第一网络设备的媒体接入控制MAC地址表中与除当前遍历的二层接口之外的二层接口对应的MAC地址，所述第一以太网帧的目的地址为广播地址，所述第一以太网帧的以太网协议号为保留以太网协议号；

所述第一网络设备通过所述当前遍历的二层接口发送所述第一以太网帧，以更新所述第一网络设备连接的第三网络设备的MAC地址表，使所述第一网络设备发生故障期间切换到第二网络设备的与所述第一网络设备对应的虚拟局域网的流量切换回所述第一网络设备；所述第二网络设备分别与所述第一网络设备和所述第三网络设备连接。

本发明另一方面提供一种路径切换装置，所述路径切换装置设置在第一网络设备中，所述路径切换装置包括：

遍历模块，用于在所述第一网络设备恢复正常工作之后，遍历所述第一网络设备的二层接口；

生成模块，用于生成第一以太网帧，所述第一以太网帧的源地址为所述第一网络设备的媒体接入控制MAC地址表中与除所述当前遍历的二层接口之外的二层接口对应的MAC地址，所述第一以太网帧的目的地址为广播地址，所述第一以太网帧的以太网协议号为保留以太网协议号；

第一发送模块，用于通过所述遍历模块当前遍历的二层接口发送所述生成模块生成的第一以太网帧，以更新所述第一网络设备连接的第三网络设备的MAC地址表，使所述第一网络设备发生故障期间切换到第二网络设备的与所述第一网络设备对应的虚拟局域网的流量切换回所述第一网络设备；所述第二网络设备分别与所述第一网络设备和所述第三网络设备连接。