专利名称::一种环路检测方法及防火墙设备的制作方法
技术领域:
:本发明涉及网络环路检测领域�����,具体涉及一种环路检测方法及防火墙设备�����。技术背景在互联网中���,环路检测技术通常应用于基于虚拟局域网(VirtualLocalAreaNetwork,VLAN)的二层网络中����,用于及时发现环路����,从而有效防止广播风暴的产生���。而对于基于路由转发的三层网络��,当形成环路时��,检测技术较少��,无法有效阻止环路引起的流量拥塞�,导致网络带宽被白白消耗��,正常业务访问受到影响���。现有技术在进行环路检测时�����,针对任一VLAN的环路检测报文����,每一台环路检测设备均需要对该报文进行重构�,即每一个环路检测设备均需要将该设备的唯一标识添加到该报文中���;当网络中任意一台环路检测设备收到上述环路检测报文时�,通过判断接收到的环路检测报文中是否携带有本设备的唯一标识来判断VLAN中是否存在环路�。上述的环路检测方法只能应用于基于VLAN的二层网络����,无法应用于基于路由转发的三层网络����,而且上述的环路检测方法需要另行构建带有特征的环路检测报文����,并且需要所有的环路检测设备都能够识别出自己发出的环路检测报文����,如果某一个环路检测设备无法识别出自己发出的环路检测报文��,则上述的环路检测方法就无法实现环路的有效检测����。
发明内容本发明实施例所要解决的技术问题是提供一种环路检测方法及防火墙设备����,能够在部署了防火墙的基于VLAN的二层网络或者基于路由转发的三层网络中实现环路的有效检测���。本发明实施例提供一种环路检测方法�����,包括防火墙设备接收网络节点发送的网际协议IP数据报文����;若接收到的所述IP数据报文的身份标识与预先存储的IP数据报文的身份标识相同�����,则获取接收到的IP数据报文的内容特征信息�;若接收到的IP数据报文的内容特征信息与所述预先存储的IP数据报文的内容特征信息相同�,则确认网络中形成环路��。相应的���,本发明实施例提供一种防火墙设备��,包括接收单元��,用于接收网络节点发送的网际协议IP数据报文���;第一比较单元���,用于比较所述接收单元接收到的IP数据报文的身份标识与存储单元预先存储的IP数据报文的身份标识是否相同���;获取单元����,用于在所述第一比较单元的比较结果为是时���,获取所述接收单元接收到的IP数据报文的内容特征信息��;第二比较单元����,用于比较所述获取单元获取的IP数据报文的内容特征信息与所述存储单元预先存储的IP数据报文的内容特征信息是否相同����,若是�����,则确认网络中形成环路���;所述存储单元�����,用于预先存储IP数据报文的身份标识以及内容特征信息�����。本发明实施例中���,防火墙设备接收网络节点发送的IP数据报文之后�����,先将该IP数据报文的身份标识与预先存储的IP数据报文的身份标识进行比较�����,如果比较结果相同����,则获取接收到的IP数据报文的内容特征���,并将该IP数据报文的内容特征信息与上述预先存储的IP数据报文的内容特征信息进行比较�����,如果比较结果也相同���,则可以确认是同一个IP数据报文多次经过防火墙设备���,从而确认网络中形成环路�。本发明实施例中的环路检测方法����,不需要另行构建检测报文�����,直接利用业务报文即可实现网络中的环路检测��,并且不仅可以在部署了防火墙设备的基于VLAN的二层网络中使用���,也可以在部署了防火墙设备的基于路由转发的三层网络中进行环路的有效检测�。为了更清楚地说明本发明实施例中的技术方案��,下面将对实施例中所需要使用的附图作简单地介绍����,显而易见地�,下面描述中的附图仅仅是本发明的一些实施例�,对于本领域普通技术人员来讲�,在不付出创造性劳动性的前提下�,还可以根据这些附图获得其他的附图���。图1为本发明实施例提供的一种环路检测方法的流程示意图2为本发明实施例提供的另一种环路检测方法的流程示意图3为本发明实施例提供的一种防火墙设备的结构示意图4为本发明实施例提供的另一种防火墙设备的结构示意图5为本发明实施例提供的又一种防火墙设备的结构示意图6为本发明实施例提供的一种环路检测的场景示意图7为本发明实施例提供的另一种环路检测的场景示意图8为本发明实施例提供的另一种环路检测的场景示意图�。具体实施方式下面将结合本发明实施例中的附图����,对本发明实施例中的技术方案进行清楚���、完整地描述����,显然����,所描述的实施例仅仅是本发明一部分实施例����,而不是全部的实施例�����?�;诒痉⒚髦械氖凳├?���,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例�����,都属于本发明?���;さ姆段?��。在互联网中���,防火墙设备仅仅作为一种网络安全设备�,然而随着用户对防火墙设备性能的要求越来越高���,防火墙设备被寄予了这样的一种期望����,即防火墙设备应当具备一种检测能力�����,当网络形成环路时�����,能够及时地检测出环路的存在����,并且同时有效地阻断环路流量����,?��;ね缱试吹恼J褂?����。下面结合部署了防火墙设备的网络��,详细描述本发明实施例提供的一种环路检测方法����;相应地����,还详细地描述本发明实施例提供的一种防火墙设备���。其中���,本发明实施例中部署了防火墙设备的网络可以是基于VLAN的二层网络���,也可以是基于路由转发的三层网络�,或者其他网络���,本发明实施例不作限定����。实施例一请参阅图1��,图1为本发明实施例提供的一种环路检测方法的流程示意图�。如图1所示���,本发明实施例提供的环路检测方法可以包括以下步骤101����、防火墙设备接收网络节点发送的网际协议(InternetProtocol,IP)数据报文�����;本实施例以及后续的实施例中����,网络节点可以是位于二层网络中的交换机(Switch)����,也可以是位于三层网络中的路由器(Router)���,本发明实施例不作限定���。其中�,上述的IP数据报文可以由业务主机发起�。举例来说��,业务主机可以向服务器(Server)发起业务连接请求消息�����,其中��,该业务连接请求消息可以由若干个IP数据报文组成�����,这些IP数据报文可以通过交换机交换至防火墙设备���,或者通过路由器转发至防火墙设备��;防火墙设备接收到这些IP数据报文之后进行安全检测后再输出给另一侧的交换机或路由器���,由另一侧的交换机或路由器上报给服务器���,以实现业务主机与服务器之间的业务连接����。102���、若接收到的IP数据报文的身份标识与预先存储的IP数据报文的身份标识相同����,则获取接收到的IP数据报文的内容特征信息�����;其中��,上述的IP数据报文的身份标识可以取IP数据报文的身份标识(Identification)字段值���。在基于VLAN的二层网络�、基于路由转发的三层网络以及其他网络中�����,每一个IP数据报文中均携带一个用于区别其他IP数据报文的Identification字段值��。对于同一条数据流中的IP数据报文���,短时间内(一般指毫秒)出现具有相同Identification字段值的概率非常小����,几乎可以忽略不计����;换句话说���,在短时间内可以认为同一条数据流中是不会出现具有相同Identification字段值的IP数据报文���。但是����,对于同一条数据流中的IP数据报文来说���,在长时间内(一般指秒或分)还是有可能会出现具有相同Identification字段值的IP数据报文的�����;对于不是同一数据流中的IP数据报文来说��,在长时间内出现具有相同Identification字段值的IP数据报文的概率更大���。一般地�,同一条数据流中的IP数据报文的Identification字段值通常使用递增数或随机数进行填充�����,例如Identification=Oxff42(65346)���。作为一个可选的实施方式�,本发明实施例也可以扩展每一个IP数据报文的有效字段��,使每一个IP数据报文可以携带区别于其他IP数据报文的参数或属性����,同样可以达到本发明实施例的目的����,本发明实施例不作限定�����。作为一个可选的实施方式�����,步骤102中的获取接收到的IP数据报文的内容特征信息可以通过以下方式来实现防火墙设备对接收到的IP数据报文进行指纹采样��,获得其内容特征信息���;其中�,上述的内容特征信息至少包括接收到的IP数据报文的长度参数��、循环冗余校验(CyclicRedundancyCheck,CRC)校验和参数以及数据载荷��。在基于VLAN的二层网络��、基于路由转发的三层网络以及其他网络中���,无论是同一条数据流中的IP数据报文���,还是不同数据流中的IP数据报文�����,出现具有相同内容特征信息的概率非常小��,可以忽略不计���。其中���,为了尽可能地降低出现具有相同内容特征信息的概率����,每一个IP数据报文内的数据载荷应该多于10个字节����。103���、若接收到的IP数据报文的内容特征信息与上述预先存储的IP数据报文的内容特征信息相同��,则确认网络中形成环路����。本实施例中����,上述步骤102中即使接收到的IP数据报文的身份标识与预先存储的IP数据报文的身份标识相同����,仍然无法确认是同一个IP数据报文多次通过防火墙设备�。因为�,接收到的IP数据报文和预先存储的IP数据报文有可能分别属于不同的数据流����,也可能是同一条数据流在长时间内的两个IP数据报文��。在这两种场景下�����,都有可能会出现接收到的IP数据报文的身份标识与预先存储的IP数据报文的身份标识相同的情况���。因此��,防火墙设备需要进一步获取接收到的IP数据报文的内容特征信息�����,并将接收到的IP数据报文的内容特征信息与上述预先存储的IP数据报文的内容特征信息进行比较�����,如果比较结果相同���,则可以确认网络中形成环路����;反之���,即使接收到的IP数据报文的身份标识与预先存储的IP数据报文的身份标识相同��,而比较发现接收到的IP数据报文的内容特征信息与上述预先存储的IP数据报文的内容特征信息不相同���,则可以确认网络中未形成环路��。当然�����,如果上述步骤102中比较发现接收到的IP数据报文的身份标识与预先存储的IP数据报文的身份标识不相同���,则可以确认网络中未形成环路�,可以结束本发明实施例流程��,不再执行后续的步骤103����。相应地��,防火墙设备执行上述步骤101之前����,还可以执行以下步骤A�、防火墙设备从接收到的网络节点发送的每一条数据流中抽取任一个IP数据报文�����;其中�����,防火墙设备可以从接收到的网络节点发送的每一条数据流中随机地抽取任一个IP数据报文��。其中�,对于防火墙设备而言��,可以根据接收到的每一个IP数据报文所携带的五元素来识别该IP数据报文所在的数据流���,因为一条数据流中的每一个IP数据报文所携带的五元素均是相同的���,而不同数据流之间的IP数据报文所携带的五元素是不相同的����,所以防火墙设备可以根据接收到的每一个IP数据报文所携带的五元素即可识别该IP数据报文所在的数据流���。其中��,上述的IP数据报文所携带的五元素包括IP数据报文的源IP地址����、目的IP地址���、源端口����、目的端口以及协议类型特征�。B��、识别上述抽取的任一个IP数据报文的身份标识并存储����;C����、获取上述抽取的任一个IP数据报文的内容特征信息并存储���。其中�,防火墙设备执行上述步骤C的具体过程可以如下所示防火墙设备对上述抽取的任一个IP数据报文进行指纹采样��,获得其内容特征信息并存储���;其中����,该内容特征信息至少包括上述抽取的任一个IP数据报文的长度参数�、CRC校验和参数以及数据载荷����。相应地����,防火墙设备在接收到网络节点发送的每一条数据流的第一个IP数据报文时��,还可以执行以下步骤防火墙设备创建用于转发接收到的该数据流中的IP数据报文的会话表(Sessiontable)�;其中��,上述的会话表至少包括接收到的该数据流中的IP数据报文的源IP地址�����、目的IP地址�����、源端口�、目的端口以及协议类型特征����。其中���,协议类型可以是传输控制协议CTransmissionControlftx)tocol����,TCP)����,也可以是用户数据包协议(UserDatagramProtocol��,UDP)����,本发明实施例不作限定���。其中�,防火墙设备基于创建的会话表可以进行IP数据报文的二层转发或三层转发�,会话表包括的信息可以标志着一条数据流���,即一次业务连接����。作为一个可选的实施方式����,防火墙设备在确认网络中形成环路之后���,还可以执行以下步骤防火墙设备丢弃形成环路的IP数据报文(即丢弃形成环路的数据流)��,并上报告警日志至网管����;其中����,上述告警日志至少包括形成环路的IP数据报文的源IP地址����、目的IP地址����、源端口�����、目的端口����、协议类型特征�、防火墙设备的入端口(即形成环路的IP数据报文进入防火墙设备的端口)以及防火墙设备的出端口(即形成环路的IP数据报文从防火墙设备输出的端口)��。其中��,防火墙设备将形成环路的IP数据报文进行丢弃处理可以有效阻断环路流量���,减小环路流量带来的影响�����,保证正常网络资源的正常使用�����;同时上报告警日志至网管�����,使得网络维护人员可以清楚地了解哪一条数据流形成了网络环路�,并根据告警日志提供的环路特征�,如源IP地址����、目的IP地址���、源端口�、目的端口����、协议类似特征��、防火墙设备的入端口和防火墙设备的出端口信息等来进行网络检查��,以彻底地解决网络环路的问题�����。当然�,防火墙设备在确认网络中未形成环路之后���,也可以上报提示信息(如“0K”)至网管��,使得提醒网络维护人员可以了解网络环境��。以上对本发明实施例一提供的环路检测方法进行介绍�����,其中防火墙设备接收网络节点发送的IP数据报文之后���,先将该IP数据报文的身份标识与预先存储的IP数据报文的身份标识进行比较����,如果比较结果相同����,则获取接收到的IP数据报文的内容特征信息���,并将该IP数据报文的内容特征信息与预先存储的IP数据报文的内容特征信息进行比较���,如果比较结果也相同���,则可以确认是同一个IP数据报文(即同一条数据流)多次经过防火墙设备�,从而确认网络中形成环路����。本发明实施例可以在部署了防火墙设备的基于VLAN的二层网络或者基于路由转发的三层网络中进行环路的有效检测�����。另外����,本发明实施例一提供的环路检测方法可以将形成环路的IP数据报文进行丢弃处理可以有效阻断环路流量���,减小环路流量带来的影响��,保证正常网络资源的正常使用�;同时����,本发明实施例一提供的环路检测方法上报告警日志至网管��,可以提醒网络维护人员网络环境���,使得网络维护人员可以根据告警日志彻底地解决网络环路的问题���。另外�,本发明实施例一提供的环路检测方法中��,不需要另行构建带有特征的检测报文����,直接利用业务报文即可实现网络中的环路检测��,检测方法简便有效���,应用范围广�����。实施例二请参阅图2����,图2为本发明实施例提供的另一种环路检测方法的流程示意图�。与图1所示的方法相比较�����,图2所示的方法中设置了预设时间T���,超过了预设时间T就跳出本发明实施例提供的环路检测方法的流程���,使得防火墙设备不用长期不间断地执行本发明实施例提供的环路检测方法���,可以降低防火墙设备的工作负担�。如图2所示�����,该方法可以包括以下步骤201���、防火墙设备通过交换机或路由器接收业务主机发送给服务器的业务连接请求消息����,其中���,该消息由若干个IP数据报文组成�����;其中����,如果防火墙设备部署在基于VLAN的二层网络中��,则防火墙设备可以通过交换机接收业务主机发送给服务器的业务连接请求消息�����;如果防火墙设备部署在基于路由器的三层网络中��,则防火墙设备可以通过路由器接收业务主机发送给服务器的业务连接请求消息����。202��、防火墙设备创建用于转发接收到的数据流中的IP数据报文的会话表����;其中���,上述的会话表至少包括接收到的数据流中的IP数据报文的源IP地址�����、目的IP地址���、源端口�����、目的端口以及协议类型特征����。其中��,协议类型可以是TCP协议�,也可以是UDP协议����,本发明实施例不作限定���。203�����、防火墙设备从接收到的数据流中����,随机抽取任一个IP数据报文����,识别该IP数据报文的Identification字段值并存储�����,以及获取该IP数据报文的内容特征信息并存储����;其中��,上述的内容特征信息至少包括抽取的IP数据报文的长度参数����、CRC校验和参数以及数据载荷��。本实施例二中��,防火墙设备对抽取的IP数据报文的内容特征信息进行获取的方式和实施例一相同���,本实施例此处不作复述��。204��、防火墙设备在预设时间T内比较接收到的每一个IP数据报文的Identification字段值与预先存储的IP数据报文的Identification字段值是否相同��,如果否���,则确认网络未形成环路�����,并结束本流程��;如果是����,则执行步骤205���;205�、防火墙设备获取与预先存储的IP数据报文的Identification字段值相同的IP数据报文的内容特征信息��;206�����、防火墙设备比较获取的IP数据报文的内容特征信息与预先存储的IP数据报文的内容特征信息是否相同��,如果否��,则确认网络未形成环路�,并结束本流程�;如果是����,则执行步骤207�����;207�、防火墙设备确认网络形成环路���,丢弃形成环路的IP数据报文并上报告警日志至网管并上报告警日志给网管����;其中����,防火墙设备将形成环路的IP数据报文进行丢弃处理可以有效阻断环路流量�����,减小环路流量带来的影响���,保证正常网络资源的正常使用����;同时�,防火墙设备上报告警日志至网管��,可以提醒网络维护人员网络环境��,使得网络维护人员可以根据告警日志彻底地解决网络环路的问题��。208�����、防火墙设备判断上述的预设时间T是否达到����,如果是���,则并结束本流程�����;如果否��,则返回步骤204�,继续执行本流程����。本实施例二中����,可以在防火墙上预设时间T��,当执行上述环路检测的流程的时间超过了预设时间T时就跳出上述流程��,使得防火墙设备不用长期不间断地执行上述环路检测的流程����,可以降低防火墙设备的工作负担���。以上对本发明实施例二提供的环路检测方法进行介绍�����,本发明实施例可以在部署了防火墙设备的基于VLAN的二层网络或者基于路由转发的三层网络中进行环路的有效检测�����。另外�����,本发明实施例二提供的基于防火墙的环路检测方法可以通过将形成环路的IP数据报文进行丢弃处理以有效阻断环路流量��,减小环路流量带来的影响��,保证正常网络资源的正常使用�;同时���,本发明实施例二提供的环路检测方法可以通过上报告警日志至网管����,提醒网络维护人员网络环境�,使得网络维护人员可以根据告警日志彻底地解决网络环路的问题���。另外�����,本发明实施例二提供的环路检测方法中���,不需要另行构建带有特征的检测报文�����,直接利用业务报文即可实现网络中的环路检测��,检测方法简便有效���,应用范围广�����。实施例三请参阅图3�,图3为本发明实施例提供的一种防火墙设备的结构示意图�。其中�,该防火墙设备�,可以包括接收单元301���,用于接收网络节点发送的IP数据报文���;第一比较单元302�����,用于比较接收单元接301收到的IP数据报文的身份标识与存储单元305预先存储的IP数据报文的身份标识是否相同�����;获取单元303����,用于在第一比较单元302的比较结果为是时��,获取接收单元301接收到的IP数据报文的内容特征信息�����;第二比较单元304���,用于比较获取单元303获取的IP数据报文的内容特征信息与存储单元305预先存储的IP数据报文的内容特征信息是否相同���,若是����,则确认网络中形成环路�����;存储单元305�,用于预先存储IP数据报文的身份标识以及内容特征信息��。其中����,存储单元305预先存储的IP数据报文的身份标识可以是IP数据报文的Identification字段值�����。其中����,存储单元305预先存储的IP数据报文的内容特征信息至少包括IP数据报文的长度参数�、CRC校验和参数以及数据载荷�����。作为一个可选的实施方式���,获取单元303可以用于在第一比较单元302的比较结果为是时�����,对接收单元301接收到的IP数据报文进行指纹采样�,获得其内容特征信息��;其中���,该内容特征信息至少包括接收单元301接收到的IP数据报文的长度参数��、CRC校验和参数以及数据载荷��。请一并参阅图4����,图4为本发明实施例提供的另一种防火墙设备的结构示意图����。其中���,图4所示的防火墙设备是对图3所示的防火墙设备进行优化得到的��,对图3所示的防火墙设备相比�����,还包括抽取单元306����,用于从接收单元301接收到的网络节点发送的每一条数据流中抽取任一个IP数据报文�;识别单元307�����,用于识别抽取单元306抽取的任一个IP数据报文的身份标识并保存进存储单元305��;第二获取单元308�����,用于获取抽取单元306抽取的任一个IP数据报文的内容特征信息并保存进存储单元305����。作为一个可选的实施方式���,第二获取单元308可以用于对抽取单元306抽取的任一个IP数据报文进行指纹采样��,获得其内容特征信息并存储�����;其中���,该内容特征信息至少包括抽取的任一个IP数据报文的长度参数���、CRC校验和参数以及数据载荷�。请一并参阅图5�����,图5为本发明实施例提供的又一种防火墙设备的结构示意图�。其中���,图5所示的防火墙设备是对图4所示的防火墙设备进行优化得到的�����,对图4所示的防火墙设备相比�����,还包括创建单元309��,用于在接收单元301接收到网络节点发送的每一条数据流的第一个IP数据报文之后��,创建用于转发接收单元301接收到的数据流中的IP数据报文的会话表�;其中��,上述会话表至少包括接收单元301接收到的数据流中的IP数据报文的源IP地址����、目的IP地址�����、源端口�、目的端口以及协议类型特征�����?����?刂频ピ?10����,用于在第二比较单元304确认网络中形成环路之后�,丢弃形成环路的IP数据报文����,并上报告警日志至网管�����;其中����,上述告警日志至少包括形成环路的IP数据报文的源IP地址�、目的IP地址����、源端口���、目的端口�、协议类型特征�����、防火墙设备的入端口以及防火墙设备的出端口�����。其中���,控制单元310将形成环路的IP数据报文进行丢弃处理可以有效阻断环路流量��,减小环路流量带来的影响����,保证正常网络资源的正常使用����;同时����,控制单元310上报告警日志至网管�����,可以提醒网络维护人员网络环境���,使得网络维护人员可以根据告警日志彻底地解决网络环路的问题����。作为一个可选的实施方式��,第一比较单元302还用于在比较接收单元301接收到的IP数据报文的身份标识与存储单元305预先存储的IP数据报文的身份标识不相同时��,确认网络中未形成环路�����。作为一个可选的实施方式����,第二比较单元304还用于在比较获取单元302获取的IP数据报文的内容特征信息与存储单元305预先存储的IP数据报文的内容特征信息不相同时����,则确认网络中未形成环路�����。作为一个可选的实施方式��,控制单元310还用于在第一比较单元302或第二比较单元304确认网络中未形成环路时����,上报提示信息(如“0K”)至网管�,使得提醒网络维护人员可以了解网络环境�。以上对本发明实施例三提供的防火墙设备进行介绍�����,其中��,接收单元301接收网络节点发送的IP数据报文之后��,第一比较单元302先将该IP数据报文的身份标识与存储单元305预先存储的IP数据报文的身份标识进行比较���,如果比较结果相同��,则获取单元303获取接收单元301接收到的IP数据报文的内容特征信息�,第二比较单元304将获取单元303获取的IP数据报文的内容特征信息与存储单元305预先存储的IP数据报文的内容特征信息进行比较�����,如果比较结果也相同�,则可以确认是同一个IP数据报文(即同一条数据流)多次经过防火墙设备�,从而确认网络中形成环路����。本发明实施例三提供的防火墙设备可以部署在基于VLAN的二层网络或者基于路由转发的三层网络中���,不仅可以有效地检测基于VLAN的二层网络中的环路��,也可以有效地检测基于路由转发的三层网络中的环路���,并且����,不需要另行构建带有特征的检测报文���,直接利用业务报文即可实现网络中的环路检测�����,检测方法简便有效�����,应用范围广����。另外�����,本发明实施例三提供的防火墙设备中��,在第二比较单元304比较出了网络形成环路之后�����,控制单元310可以将形成环路的IP数据报文进行丢弃处理可以有效阻断环路流量�����,减小环路流量带来的影响����,保证正常网络资源的正常使用��;同时�����,控制单元310上报告警日志至网管���,提醒网络维护人员网络环境�����,使得网络维护人员可以根据告警日志彻底地解决网络环路的问题�����。实施例四请参阅图6���,图6为本发明实施例提供的一种环路检测场景示意图�。如图6所示�,本发明实施例提供的防火墙设备1和2可以部署在基于VLAN的二层网络中��,用于对基于VLAN的二层网络进行环路检测�����。如图6所示��,从交换机Switch3上行的IP数据报文经过图6中的虚线�,形成了环路�����,此时防火墙设备1可以基于本发明实施例提供的环路检测方法��,检测出该环路����,并上报告警日志给网管���,以及将形成环路的IP数据报文进行阻断���,避免因为环路带来的流量拥塞����。请参阅图7��,图7为本发明实施例提供的另一种环路检测场景示意图�����。如图7所示���,本发明实施例提供的防火墙设备1和2可以部署在基于路由转发的三层网络中��,用于对基于路由转发的三层网络进行环路检测����。如图7所示���,从路由器Routerf上行的IP数据报文经过图7中的虚线���,形成了环路����,此时防火墙设备1可以基于本发明实施例提供的环路检测方法�,检测出该环路�����,并上报告警日志给网管�,以及将形成环路的IP数据报文进行阻断�,避免因为环路带来的流量拥塞�����。请参阅图8�,图8为本发明实施例提供的又一种环路检测场景示意图��。如下图8所示�,防火墙设备上配置的路由将IP数据报文引向路由器Routerl��,而Routerl因为路由配置问题��,又将IP数据报文重新引向防火墙设备���,导致IP数据报文在防火墙设备与Routerl之间形成了环路����,此时防火墙设备同样可以基于本发明实施例提供的环路检测方法�����,检测出该环路�����,并上报告警日志给网管���,以及将形成环路的IP数据报文进行阻断��,避免因为环路带来的流量拥塞��。本发明实施例中��,应用防火墙设备实现环路检测的方法与上述实施例一����、实施二的方法相同���,本发明实施例此处不作复述�。本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成�����,该程序可以存储于一计算机可读存储介质中�,存储介质可以包括闪存盘����、只读存储器(Read-OnlyMemory�,ROM)�����、随机存取器(RandomAccessMemory,RAM)��、磁盘或光盘等���。以上对本发明实施例所提供的环路检测方法及防火墙设备进行了详细介绍���,本文中应用了具体个例对本发明的原理及实施方式进行了阐述�,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想����;同时���,对于本领域的一般技术人员�,依据本发明的思想�����,在具体实施方式及应用范围上均会有改变之处����,综上所述�����,本说明书内容不应理解为对本发明的限制��。权利要求1.一种环路检测方法����,其特征在于��,包括防火墙设备接收网络节点发送的网际协议IP数据报文��;若接收到的所述IP数据报文的身份标识与预先存储的IP数据报文的身份标识相同��,则获取接收到的IP数据报文的内容特征信息����;若接收到的IP数据报文的内容特征信息与所述预先存储的IP数据报文的内容特征信息相同��,则确认网络中形成环路���。2.根据权利要求1所述的方法��,其特征在于����,所述防火墙设备接收网络节点发送的网际协议IP数据报文之前�����,还包括防火墙设备从接收到的网络节点发送的每一条数据流中抽取任一个IP数据报文���;识别所述任一个IP数据报文的身份标识并存储�;获取所述任一个IP数据报文的内容特征信息并存储�����。3.根据权利要求1所述的方法����,其特征在于��,所述IP数据报文的身份标识为IP数据报文的身份标识Identification字段值���。4.根据权利要求1所述的方法���,其特征在于���,所述获取接收到的IP数据报文的内容特征信息包括对接收到的IP数据报文进行指纹采样����,获得其内容特征信息����;其中�,所述内容特征信息至少包括接收到的IP数据报文的长度参数��、循环冗余校验CRC校验和参数以及数据载荷��。5.根据权利要求1所述的方法���,其特征在于�����,所述确认网络中形成环路之后��,还包括丢弃形成环路的IP数据报文���,并上报告警日志至网管��;其中�����,所述告警日志至少包括形成环路的IP数据报文的源IP地址�����,目的IP地址���,源端口���,目的端口��,协议类型特征���,防火墙设备的入端口以及防火墙设备的出端口��。6.根据权利要求15任意一项所述的方法���,其特征在于�,还包括若接收到的IP数据报文的身份标识与所述预先存储的IP数据报文的身份标识不相同���,则确认网络中未形成环路�;或者�����,若接收到的IP数据报文的内容特征信息与所述预先存储的IP数据报文的内容特征信息不相同����,则确认网络中未形成环路���。7.一种防火墙设备��,其特征在于�,包括接收单元�,用于接收网络节点发送的网际协议IP数据报文��;第一比较单元����,用于比较所述接收单元接收到的IP数据报文的身份标识与存储单元预先存储的IP数据报文的身份标识是否相同����;获取单元���,用于在所述第一比较单元的比较结果为是时����,获取所述接收单元接收到的IP数据报文的内容特征信息���;第二比较单元�,用于比较所述获取单元获取的IP数据报文的内容特征信息与所述存储单元预先存储的IP数据报文的内容特征信息是否相同�,若是�����,则确认网络中形成环路�;所述存储单元����,用于预先存储IP数据报文的身份标识以及内容特征信息���。8.根据权利要求7所述的防火墙设备���,其特征在于����,还包括抽取单元���,用于从接收到的网络节点发送的每一条数据流中抽取任一个IP数据报文���;识别单元��,用于识别所述抽取单元抽取的所述任一个IP数据报文的身份标识并保存进所述存储单元��;第二获取单元�����,用于获取所述抽取单元抽取的所述任一个IP数据报文的内容特征信息并保存进所述存储单元��。9.根据权利要求7所述的防火墙设备�,其特征在于�����,所述IP数据报文的身份标识为IP数据报文的身份标识Identification字段值�。10.根据权利要求7所述的防火墙设备�����,其特征在于���,所述获取单元��,用于在所述第一比较单元的比较结果为是时����,对所述接收单元接收到的IP数据报文进行指纹采样�,获得其内容特征信息��;其中�,所述内容特征信息至少包括接收到的IP数据报文的长度参数�����、循环冗余校验CRC校验和参数以及数据载荷���。11.根据权利要求7所述的防火墙设备����,其特征在于����,还包括控制单元���,用于在所述第二比较单元确认网络中形成环路之后����,丢弃形成环路的IP数据报文�,并上报告警日志至网管��;其中����,所述告警日志至少包括形成环路的IP数据报文的源IP地址���,目的IP地址���,源端口����,目的端口�,协议类型特征�����,防火墙设备的入端口以及防火墙设备的出端口�。12.根据权利要求711任意一项所述的防火墙设备�,其特征在于����,所述第一比较单元�,还用于在比较所述接收单元接收到的IP数据报文的身份标识与所述存储单元预先存储的IP数据报文的身份标识不相同时�,确认网络中未形成环路�;所述第二比较单元����,还用于在比较所述获取单元获取的IP数据报文的内容特征信息与所述存储单元预先存储的IP数据报文的内容特征信息不相同时���,则确认网络中未形成环路���。全文摘要本发明实施例涉及网络环路检测领域�����,公开了一种环路检测方法及防火墙设备����。其中�,该方法包括防火墙设备接收网络节点发送的网际协议IP数据报文��;若接收到的IP数据报文的身份标识与预先存储的IP数据报文的身份标识相同����,则获取接收到的IP数据报文的内容特征信息��;若接收到的IP数据报文的内容特征信息与上述预先存储的IP数据报文的内容特征信息相同�,则确认网络中形成环路���。实施本发明实施例���,能够在部署了防火墙的基于VLAN的二层网络或者基于路由转发的三层网络中实现环路的有效检测�。文档编号H04L29/06GK102045218SQ20101057723公开日2011年5月4日申请日期2010年12月7日优先权日2010年12月7日发明者王小勇申请人:成都市华为赛门铁克科技有限公司