CN102647345A - 对ipsec数据报文进行负载分担的方法及系统 - Google Patents
对ipsec数据报文进行负载分担的方法及系统 Download PDFInfo
- Publication number
- CN102647345A CN102647345A CN2012100902961A CN201210090296A CN102647345A CN 102647345 A CN102647345 A CN 102647345A CN 2012100902961 A CN2012100902961 A CN 2012100902961A CN 201210090296 A CN201210090296 A CN 201210090296A CN 102647345 A CN102647345 A CN 102647345A
- Authority
- CN
- China
- Prior art keywords
- data message
- current
- sec data
- ipsec
- outlet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种对IPSEC数据报文进行负载分担的方法及系统,涉及网络通信技术领域,所述方法包括:S1:接收内网向外网发送的当前IPSEC数据报文;S2:查找路由表获得所述当前IPSEC数据报文对应的出口,判断所述出口是否具有路由负载分担功能,若有,则执行步骤S3;S3:将具有相同IP五元组、以及安全参数索引的IPSEC数据报文划分为同一条数据流,并将属于同一条数据流的报文通过相同的外网入口进行发送,以实现负载分担。本发明通过采用IP五元组和安全参数索引来进行IPSEC数据报文的分流,并根据分流的结果进行数据发送,提高了对IPSEC数据报文分流的精细度、以及整机性能。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种对IPSEC数据报文进行负载分担的方法及系统。
背景技术
目前人们的工作、娱乐等活动对网络的可靠性和稳定性要求越来越高,一般要求较高的场合的内网与不同运营商有两条链路(例如分别采用联通的外网和电信的外网)来实现路由负载分担,但在对网络设备的Internet协议安全性(IPSEC)数据报文进行路由负载分担时,通常采用按流负载分担和按包负载分担两种方式,但为了防止报文的乱序,在有些对数据传输要求较高的场合,通常会采用按流负载分担的方式,处理过程一般为:首先对报文进行分流(在对报文进行分流时,通常使用报文的IP五元组是否相同来判断是否为同一条流),再将此流分配给流量较小的链路,以此来平衡每条链路的转发报文速度。
但由于现有技术中对IPSEC数据报文仅通过IP五元组来进行分流,精细度不够,容易导致一条数据流的数据很大,从而造成传输该数据流的链路负荷太大,严重影响了整机性能。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何提高对IPSEC数据报文分流的精细度,从而提高整机性能。
(二)技术方案
为解决上述技术问题,本发明提供了一种对IPSEC数据报文进行负载分担的方法,所述方法包括以下步骤:
S1:接收内网向外网发送的当前IPSEC数据报文;
S2:根据所述当前IPSEC数据报文的IP目的地址查找路由表获得所述当前IPSEC数据报文对应的出口,判断所述出口是否具有路由负载分担功能,若有,则执行步骤S3,所述路由负载分担功能为所述出口与多个外网入口相对应,所述出口包括与所述外网入口数量相同、且一一对应的出接口,所述出接口和外网入口均为物理接口;
S3:将所述当前IPSEC数据报文和所述当前IPSEC数据报文之前的IPSEC数据报文中具有相同IP五元组、以及安全参数索引的IPSEC数据报文划分为同一条数据流,并将属于同一条数据流的报文通过相同的外网入口进行发送,以实现负载分担。
优选地,步骤S3具体包括以下步骤:
S31:根据所述当前IPSEC数据报文的IP五元组、以及安全参数索引查找快速转发表,若所述快速转发表中具有记录,则将查询获得的外网入口分配给所述当前IPSEC数据报文,否则将所述出口所对应的外网入口中流量较小的外网入口分配给所述当前IPSEC数据报文,并将所述流量较小的外网入口与所述当前IPSEC数据报文的IP五元组、以及安全参数索引的对应关系保存入所述快速转发表中;
S32:根据所述当前IPSEC数据报文的IP五元组、以及安全参数索引查找地址转换表,若所述地址转换表中具有记录,则将查询获得的外网IP源地址替换所述当前IPSEC数据报文中的内网IP源地址,否则从与所述出口对应的地址池中选择未使用的公网IP地址替换所述当前IPSEC数据报文中的内网IP源地址;
S33:将所述当前IPSEC数据报文通过分配的外网入口进行发送。
优选地,步骤S3之后还包括以下步骤:
S4:接收所述外网接收到所述内网所发送的所述当前IPSEC数据报文后的回应报文;
S5:通过查询所述快速转发表和地址转换表,将所述回应报文发送至所述内网。
本发明还公开了一种对IPSEC数据报文进行负载分担的系统,所述系统包括:
接收模块,用于接收内网向外网发送的当前IPSEC数据报文;
判断模块,用于根据所述当前IPSEC数据报文的IP目的地址查找路由表获得所述当前IPSEC数据报文对应的出口,判断所述出口是否具有路由负载分担功能,若有,则执行发送模块,所述路由负载分担功能为所述出口与多个外网入口相对应,所述出口包括与所述外网入口数量相同、且一一对应的出接口,所述出接口和外网入口均为物理接口;
发送模块,用于将所述当前IPSEC数据报文和所述当前IPSEC数据报文之前的IPSEC数据报文中具有相同IP五元组、以及安全参数索引的IPSEC数据报文划分为同一条数据流,并将属于同一条数据流的报文通过相同的外网入口进行发送,以实现负载分担。
(三)有益效果
本发明通过采用IP五元组和安全参数索引来进行IPSEC数据报文的分流,并根据分流的结果进行数据发送,提高了对IPSEC数据报文分流的精细度、以及整机性能。
附图说明
图1是按照本发明一种实施方式的对IPSEC数据报文进行负载分担的方法流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是按照本发明一种实施方式的对IPSEC数据报文进行负载分担的方法流程图,本实施方式的方法包括以下步骤:
S1:接收内网向外网发送的当前IPSEC数据报文;
S2:根据所述当前IPSEC数据报文的IP目的地址查找路由表获得所述当前IPSEC数据报文对应的出口,判断所述出口是否具有路由负载分担功能,若有,则执行步骤S3,所述路由负载分担功能为所述出口与多个外网入口相对应,所述出口包括与所述外网入口数量相同、且一一对应的出接口,所述出接口和外网入口均为物理接口;
S3:将所述当前IPSEC数据报文和所述当前IPSEC数据报文之前的IPSEC数据报文中具有相同IP五元组、以及安全参数索引(全称为:Security Parameter Index,简称:SPI,是IPSEC协议的基本概念之一,SPI值是一个32比特的数值,在每一个IPSEC数据报文中都携带该值)的IPSEC数据报文划分为同一条数据流,并将属于同一条数据流的报文通过相同的外网入口进行发送,以实现负载分担。
IPSEC数据报文分封装安全有效负载(Encapsulating SecurityPayload,ESP)报文和认证头(Authenticaton Header,AH)报文两种,本发明不仅通过IP五元组来区分不同的数据流,还通过ESP报文和AH报文中的SPI值是否相同来再次区分不同的数据流,通过本发明的方法可以更精细的对IPSEC数据流进行划分,以便于将报文更加平均的分发到外网入口,提高每个外网入口的使用率,以提升整机性能。
优选地,步骤S3具体包括以下步骤:
S31:根据所述当前IPSEC数据报文的IP五元组、以及安全参数索引查找快速转发表,若所述快速转发表中具有记录,则将查询获得的外网入口分配给所述当前IPSEC数据报文,否则将所述出口所对应的外网入口中流量较小的外网入口分配给所述当前IPSEC数据报文,并将所述流量较小的外网入口与所述当前IPSEC数据报文的IP五元组、以及安全参数索引的对应关系保存入所述快速转发表中;
S32:根据所述当前IPSEC数据报文的IP五元组、以及安全参数索引查找地址转换表,若所述地址转换表中具有记录,则将查询获得的外网IP源地址替换所述当前IPSEC数据报文中的内网IP源地址,否则从与所述出口对应的地址池中选择未使用的公网IP地址替换所述当前IPSEC数据报文中的内网IP源地址;
S33:将所述当前IPSEC数据报文通过分配的外网入口进行发送。
在需要接收外网的回应报文时,步骤S3之后还包括以下步骤:
S4:接收所述外网接收到所述内网所发送的所述当前IPSEC数据报文后的回应报文;
S5:通过查询所述快速转发表和地址转换表,将所述回应报文发送至所述内网。
本发明还公开了一种对IPSEC数据报文进行负载分担的系统,所述系统包括:
接收模块,用于接收内网向外网发送的当前IPSEC数据报文;
判断模块,用于根据所述当前IPSEC数据报文的IP目的地址查找路由表获得所述当前IPSEC数据报文对应的出口,判断所述出口是否具有路由负载分担功能,若有,则执行发送模块,所述路由负载分担功能为所述出口与多个外网入口相对应,所述出口包括与所述外网入口数量相同、且一一对应的出接口,所述出接口和外网入口均为物理接口;
发送模块,用于将所述当前IPSEC数据报文和所述当前IPSEC数据报文之前的IPSEC数据报文中具有相同IP五元组、以及安全参数索引的IPSEC数据报文划分为同一条数据流,并将属于同一条数据流的报文通过相同的外网入口进行发送,以实现负载分担。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (4)
1.一种对IPSEC数据报文进行负载分担的方法,其特征在于,所述方法包括以下步骤:
S1:接收内网向外网发送的当前IPSEC数据报文;
S2:根据所述当前IPSEC数据报文的IP目的地址查找路由表获得所述当前IPSEC数据报文对应的出口,判断所述出口是否具有路由负载分担功能,若有,则执行步骤S3,所述路由负载分担功能为所述出口与多个外网入口相对应,所述出口包括与所述外网入口数量相同、且一一对应的出接口,所述出接口和外网入口均为物理接口;
S3:将所述当前IPSEC数据报文和所述当前IPSEC数据报文之前的IPSEC数据报文中具有相同IP五元组、以及安全参数索引的IPSEC数据报文划分为同一条数据流,并将属于同一条数据流的报文通过相同的外网入口进行发送,以实现负载分担。
2.如权利要求1所述的方法,其特征在于,步骤S3具体包括以下步骤:
S31:根据所述当前IPSEC数据报文的IP五元组、以及安全参数索引查找快速转发表,若所述快速转发表中具有记录,则将查询获得的外网入口分配给所述当前IPSEC数据报文,否则将所述出口所对应的外网入口中流量较小的外网入口分配给所述当前IPSEC数据报文,并将所述流量较小的外网入口与所述当前IPSEC数据报文的IP五元组、以及安全参数索引的对应关系保存入所述快速转发表中;
S32:根据所述当前IPSEC数据报文的IP五元组、以及安全参数索引查找地址转换表,若所述地址转换表中具有记录,则将查询获得的外网IP源地址替换所述当前IPSEC数据报文中的内网IP源地址,否则从与所述出口对应的地址池中选择未使用的公网IP地址替换所述当前IPSEC数据报文中的内网IP源地址;
S33:将所述当前IPSEC数据报文通过分配的外网入口进行发送。
3.如权利要求1或2所述的方法,其特征在于,步骤S3之后还包括以下步骤:
S4:接收所述外网接收到所述内网所发送的所述当前IPSEC数据报文后的回应报文;
S5:通过查询所述快速转发表和地址转换表,将所述回应报文发送至所述内网。
4.一种对IPSEC数据报文进行负载分担的系统,其特征在于,所述系统包括:
接收模块,用于接收内网向外网发送的当前IPSEC数据报文;
判断模块,用于根据所述当前IPSEC数据报文的IP目的地址查找路由表获得所述当前IPSEC数据报文对应的出口,判断所述出口是否具有路由负载分担功能,若有,则执行发送模块,所述路由负载分担功能为所述出口与多个外网入口相对应,所述出口包括与所述外网入口数量相同、且一一对应的出接口,所述出接口和外网入口均为物理接口;
发送模块,用于将所述当前IPSEC数据报文和所述当前IPSEC数据报文之前的IPSEC数据报文中具有相同IP五元组、以及安全参数索引的IPSEC数据报文划分为同一条数据流,并将属于同一条数据流的报文通过相同的外网入口进行发送,以实现负载分担。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012100902961A CN102647345A (zh) | 2012-03-30 | 2012-03-30 | 对ipsec数据报文进行负载分担的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012100902961A CN102647345A (zh) | 2012-03-30 | 2012-03-30 | 对ipsec数据报文进行负载分担的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102647345A true CN102647345A (zh) | 2012-08-22 |
Family
ID=46659929
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012100902961A Pending CN102647345A (zh) | 2012-03-30 | 2012-03-30 | 对ipsec数据报文进行负载分担的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102647345A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102868629A (zh) * | 2012-08-30 | 2013-01-09 | 汉柏科技有限公司 | 利用ipsec实现负载分担的方法及系统 |
| CN102938741A (zh) * | 2012-10-30 | 2013-02-20 | 汉柏科技有限公司 | 通过流量控制ipsec负载分担的方法及系统 |
| CN102938740A (zh) * | 2012-10-30 | 2013-02-20 | 汉柏科技有限公司 | 通过用户数控制ipsec负载分担的方法及设备 |
| CN103763194A (zh) * | 2013-12-31 | 2014-04-30 | 杭州华三通信技术有限公司 | 一种报文转发方法及装置 |
| CN107210929A (zh) * | 2015-01-21 | 2017-09-26 | 华为技术有限公司 | 互联网协议安全隧道的负载均衡 |
| WO2019238025A1 (zh) * | 2018-06-15 | 2019-12-19 | 中兴通讯股份有限公司 | 数据传输方法及设备、发送设备、接收设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101022413A (zh) * | 2007-03-26 | 2007-08-22 | 杭州华为三康技术有限公司 | 负载均衡方法及路由服务器 |
| US7440405B2 (en) * | 2005-03-11 | 2008-10-21 | Reti Corporation | Apparatus and method for packet forwarding with quality of service and rate control |
| CN101605091A (zh) * | 2009-02-13 | 2009-12-16 | 华为技术有限公司 | 一种多端口负载分担方法、装置和网络系统 |
| CN101753426A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信网络安全技术有限公司 | 防火墙多出口智能选路方法 |
-
2012
- 2012-03-30 CN CN2012100902961A patent/CN102647345A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7440405B2 (en) * | 2005-03-11 | 2008-10-21 | Reti Corporation | Apparatus and method for packet forwarding with quality of service and rate control |
| CN101022413A (zh) * | 2007-03-26 | 2007-08-22 | 杭州华为三康技术有限公司 | 负载均衡方法及路由服务器 |
| CN101753426A (zh) * | 2008-12-03 | 2010-06-23 | 北京天融信网络安全技术有限公司 | 防火墙多出口智能选路方法 |
| CN101605091A (zh) * | 2009-02-13 | 2009-12-16 | 华为技术有限公司 | 一种多端口负载分担方法、装置和网络系统 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102868629A (zh) * | 2012-08-30 | 2013-01-09 | 汉柏科技有限公司 | 利用ipsec实现负载分担的方法及系统 |
| CN102868629B (zh) * | 2012-08-30 | 2016-01-06 | 汉柏科技有限公司 | 利用ipsec实现负载分担的方法及系统 |
| CN102938741A (zh) * | 2012-10-30 | 2013-02-20 | 汉柏科技有限公司 | 通过流量控制ipsec负载分担的方法及系统 |
| CN102938740A (zh) * | 2012-10-30 | 2013-02-20 | 汉柏科技有限公司 | 通过用户数控制ipsec负载分担的方法及设备 |
| CN102938740B (zh) * | 2012-10-30 | 2015-06-03 | 汉柏科技有限公司 | 通过用户数控制ipsec负载分担的方法及设备 |
| CN102938741B (zh) * | 2012-10-30 | 2015-08-19 | 汉柏科技有限公司 | 通过流量控制ipsec负载分担的方法及系统 |
| CN103763194A (zh) * | 2013-12-31 | 2014-04-30 | 杭州华三通信技术有限公司 | 一种报文转发方法及装置 |
| CN103763194B (zh) * | 2013-12-31 | 2017-08-22 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN107210929A (zh) * | 2015-01-21 | 2017-09-26 | 华为技术有限公司 | 互联网协议安全隧道的负载均衡 |
| WO2019238025A1 (zh) * | 2018-06-15 | 2019-12-19 | 中兴通讯股份有限公司 | 数据传输方法及设备、发送设备、接收设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10637773B2 (en) | Service chain header and metadata transport | |
| CN102647345A (zh) | 对ipsec数据报文进行负载分担的方法及系统 | |
| CN104519493B (zh) | 一种多个蓝牙设备组网的方法 | |
| CN103036750A (zh) | 用于融合的有线/无线企业网体系结构的方法和装置 | |
| CN110166414B (zh) | 一种通信方法、装置及系统 | |
| CN105141637A (zh) | 一种以流为粒度的传输加密方法 | |
| CN103095568A (zh) | 机架式交换设备实现堆叠的系统及方法 | |
| CN106797335A (zh) | 数据传输方法、数据传输装置、电子设备和计算机程序产品 | |
| EP3096563A1 (en) | Method, system and terminal for realizing network access via wifi | |
| CN106603550A (zh) | 一种网络隔离方法及装置 | |
| CN105872039A (zh) | 终端设备间传输文件的方法、终端设备及文件传输系统 | |
| CN107579925A (zh) | 报文转发方法及装置 | |
| CN104038505A (zh) | 一种IPSec防重放的方法和装置 | |
| CN102420772B (zh) | 隧道报文收发方法和装置 | |
| EP4250649A1 (en) | Packet forwarding method and apparatus, and network system | |
| CN102647349A (zh) | Ipsec实现负载分担的方法及系统 | |
| CN103078869A (zh) | 一种加速会话转发的系统及其方法 | |
| CN112105056B (zh) | 一种基于5gsa网络的码流传输方法和装置 | |
| CN104135448B (zh) | 包含多类型以太网传输接口的交换机 | |
| CN107645391A (zh) | 一种接口扩展设备的端口配置方法及装置 | |
| CN102647346A (zh) | 一种对报文分流的方法及系统 | |
| CN102868629A (zh) | 利用ipsec实现负载分担的方法及系统 | |
| CN104702505B (zh) | 一种报文传输方法和节点 | |
| CN107508756B (zh) | 在电信网络中使用不同数据传输路径进行动态负载平衡的方法、系统、路由器装置 | |
| CN102647343A (zh) | 安全网络设备的流量控制方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120822 |