CN102868629A - 利用ipsec实现负载分担的方法及系统 - Google Patents
利用ipsec实现负载分担的方法及系统 Download PDFInfo
- Publication number
- CN102868629A CN102868629A CN201210315572XA CN201210315572A CN102868629A CN 102868629 A CN102868629 A CN 102868629A CN 201210315572X A CN201210315572X A CN 201210315572XA CN 201210315572 A CN201210315572 A CN 201210315572A CN 102868629 A CN102868629 A CN 102868629A
- Authority
- CN
- China
- Prior art keywords
- load balancing
- ipsec
- message
- interfaces
- ipsec tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种利用IPSEC实现负载分担的方法,包括以下步骤:S1、网络设备为多个负载分担接口分别配置IPSEC隧道,各IPSEC隧道的保护流不同;S2、根据配置有IPSEC隧道的所述多个负载分担接口对报文进行转发。本发明还提供了一种与该方法对应的系统。本发明通过结合IPSEC和数据负载分担功能,配置不同的IPSEC绑定到不同的负载分担接口上,进行负载分担时,首先通过IPSEC隧道的ACL规则进行匹配,查找匹配上的IPSEC隧道所绑定的出接口,如果匹配不上再根据负载分担算法进行接口分配,以达到报文走指定出接口的目的,从而实现在不同的接口为对应的用户提供不同质量的服务。
Description
技术领域
本发明涉及网络通信技术领域,特别是涉及一种利用IPSEC实现负载分担的方法及系统。
背景技术
当前网络设备大多带IPSEC功能和流量负载分担功能。接口流量负载分担通常将目的地址相同的数据流以负载分担的方式尽可能平均的分配到负载分担接口(负载分担接口大于等于2),此时负载分担接口有到相同目的地址的路由,所以可以将数据通过两个不同的接口送到相同的目的地。而利用IPSEC功能对报文进行转发时,通常不能对接口进行选择,因此,不能实现在不同的接口为对应的用户提供不同质量的服务。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何实现在指定的接口对报文进行加密转发,从而实现在不同的接口为对应的用户提供不同质量的服务。
(二)技术方案
为了解决上述技术问题,本发明提供一种利用IPSEC实现负载分担的方法,包括以下步骤:
S1、网络设备为多个负载分担接口分别配置IPSEC隧道,各IPSEC隧道的访问控制列表ACL不同;
S2、根据配置有IPSEC隧道的所述多个负载分担接口对报文进行转发。
优选地,步骤S2具体为:对报文进行路由,若查找到报文的出接口为负载分担接口组,且所述负载分担接口组中具有配置了IPSEC隧道的负载分担接口,则将报文与所述IPSEC隧道进行匹配,若匹配成功,则从与报文匹配的IPSEC隧道的所绑定的负载分担接口对报文进行加密转发;若所述负载分担接口组中没有配置IPSEC隧道的负载分担接口或未匹配成功,则进行负载分担计算,从计算出的接口对报文进行转发。
优选地,步骤S2中,使用ACL作为报文与IPSEC隧道匹配的规则。
优选地,所述网络设备为防火墙、路由器和交换机中的一种。
本发明还提供了一种利用IPSEC实现负载分担的系统,所述系统包括:
隧道建立模块,用于为多个负载分担接口分别配置IPSEC隧道,各IPSEC隧道的访问控制列表ACL不同;
报文转发模块,用于根据配置有IPSEC隧道的所述多个负载分担接口对报文进行转发。
优选地,所述隧道建立模块为网络设备。
优选地,所述网络设备为防火墙、路由器和交换机中的一种。
(三)有益效果
上述技术方案具有如下优点:通过结合IPSEC和数据负载分担功能,配置不同的IPSEC绑定到不同的负载分担接口上,进行负载分担时,首先通过IPSEC隧道的ACL规则进行匹配,查找匹配上的IPSEC隧道所绑定的出接口,如果匹配不上再根据负载分担算法进行接口分配,以达到报文走指定出接口的目的,从而实现在不同的接口为对应的用户提供不同质量的服务。
附图说明
图1是本发明的方法流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
如图1所示,本发明提供一种利用IPSEC实现负载分担的方法,包括以下步骤:
S1、网络设备为2个负载分担接口分别配置IPSEC隧道,2个负载分担接口分别为a接口和b接口,各IPSEC隧道的访问控制列表ACL不同,目的地址可以相同也可以不同;
S2、根据配置有IPSEC隧道的所述多个负载分担接口对报文进行转发。
优选地,步骤S2中具体为:对报文进行路由,若查找到报文的出接口为负载分担接口组,且所述负载分担接口组中具有配置了IPSEC隧道的负载分担接口,则将报文与所述IPSEC隧道进行匹配,若匹配成功,则从与报文匹配的IPSEC隧道所绑定的负载分担接口对报文进行加密转发;若所述负载分担接口组中没有配置IPSEC隧道的负载分担接口或未匹配成功,则进行负载分担计算,从计算出的接口对报文进行转发。此过程中,一旦报文匹配上IPSEC隧道后就会自动触发IKE协商,由于ike协商是预先配置好的,所以此处不用关心协商流程。
优选地,步骤S2中,使用ACL作为报文与IPSEC隧道匹配的规则。
优选地,所述网络设备为防火墙、路由器和交换机中的一种。
上述步骤S2为网络设备从内网向外网发起报文的过程,对外网向内网发起报文的过程类似,过程为,首先会收到加密报文并对报文进行解密,然后将解密后的报文查找路由后直接转发。
本发明还提供了一种利用IPSEC实现负载分担的系统,所述系统包括:
隧道建立模块,用于为多个负载分担接口分别配置IPSEC隧道,各IPSEC隧道的访问控制列表ACL不同,目的地址可以相同也可以不同;
报文转发模块,用于根据配置有IPSEC隧道的所述多个负载分担接口对报文进行转发。
优选地,所述隧道建立模块为网络设备。
优选地,所述网络设备为防火墙、路由器和交换机中的一种。
由以上实施例可以看出,本发明通过结合IPSEC和数据负载分担功能,根据对端的IP地址不同,配置不同的IPSEC绑定到不同的负载分担接口上,进行负载分担时,首先通过IPSEC隧道查找出接口,如果配置不上再根据负载分担算法进行接口分配,以达到报文走指定出接口的目的,从而实现在不同的接口为对应的用户提供不同质量的服务。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
Claims (7)
1.一种利用IPSEC实现负载分担的方法,其特征在于,包括以下步骤:
S1、网络设备为多个负载分担接口分别配置IPSEC隧道,各IPSEC隧道的访问控制列表ACL不同;
S2、根据配置有IPSEC隧道的所述多个负载分担接口对报文进行转发。
2.如权利要求1所述的方法,其特征在于,步骤S2具体为:对报文进行路由,若查找到报文的出接口为负载分担接口组,且所述负载分担接口组中具有配置了IPSEC隧道的负载分担接口,则将报文与所述IPSEC隧道进行匹配,若匹配成功,则从与报文匹配的IPSEC隧道所绑定的负载分担接口对报文进行加密转发;若所述负载分担接口组中没有配置IPSEC隧道的负载分担接口或未匹配成功,则进行负载分担计算,从计算出的接口对报文进行转发。
3.如权利要求2所述的方法,其特征在于,步骤S2中,使用ACL作为报文与IPSEC隧道匹配的规则。
4.如权利要求1~3中任一项所述的方法,其特征在于,所述网络设备为防火墙、路由器和交换机中的一种。
5.一种利用IPSEC实现负载分担的系统,其特征在于,所述系统包括:
隧道建立模块,用于为多个负载分担接口分别配置IPSEC隧道,各IPSEC隧道的访问控制列表ACL不同;
报文转发模块,用于根据配置有IPSEC隧道的所述多个负载分担接口对报文进行转发。
6.如权利要求5所述的方法,其特征在于,所述隧道建立模块为网络设备。
7.如权利要求6所述的方法,其特征在于,其特征在于,所述网络设备为防火墙、路由器和交换机中的一种。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210315572.XA CN102868629B (zh) | 2012-08-30 | 2012-08-30 | 利用ipsec实现负载分担的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210315572.XA CN102868629B (zh) | 2012-08-30 | 2012-08-30 | 利用ipsec实现负载分担的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102868629A true CN102868629A (zh) | 2013-01-09 |
CN102868629B CN102868629B (zh) | 2016-01-06 |
Family
ID=47447230
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210315572.XA Expired - Fee Related CN102868629B (zh) | 2012-08-30 | 2012-08-30 | 利用ipsec实现负载分担的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102868629B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103236986A (zh) * | 2013-04-07 | 2013-08-07 | 杭州华三通信技术有限公司 | 负载分担方法及装置 |
CN104935522A (zh) * | 2014-03-19 | 2015-09-23 | 中兴通讯股份有限公司 | 静态IPSec虚接口负载均衡的方法、装置及主处理器 |
CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
WO2018133496A1 (zh) * | 2017-01-20 | 2018-07-26 | 华为技术有限公司 | 一种报负载分担方法及网络设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
CN102611735A (zh) * | 2011-12-21 | 2012-07-25 | 奇智软件(北京)有限公司 | 一种应用服务的负载均衡方法及系统 |
CN102647345A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | 对ipsec数据报文进行负载分担的方法及系统 |
-
2012
- 2012-08-30 CN CN201210315572.XA patent/CN102868629B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
CN102611735A (zh) * | 2011-12-21 | 2012-07-25 | 奇智软件(北京)有限公司 | 一种应用服务的负载均衡方法及系统 |
CN102647345A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | 对ipsec数据报文进行负载分担的方法及系统 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103236986A (zh) * | 2013-04-07 | 2013-08-07 | 杭州华三通信技术有限公司 | 负载分担方法及装置 |
CN104935522A (zh) * | 2014-03-19 | 2015-09-23 | 中兴通讯股份有限公司 | 静态IPSec虚接口负载均衡的方法、装置及主处理器 |
CN104935522B (zh) * | 2014-03-19 | 2019-08-27 | 南京中兴新软件有限责任公司 | 静态IPSec虚接口负载均衡的方法、装置及主处理器 |
CN105591926A (zh) * | 2015-12-11 | 2016-05-18 | 杭州华三通信技术有限公司 | 一种流量保护方法及装置 |
CN105591926B (zh) * | 2015-12-11 | 2019-06-07 | 新华三技术有限公司 | 一种流量保护方法及装置 |
WO2018133496A1 (zh) * | 2017-01-20 | 2018-07-26 | 华为技术有限公司 | 一种报负载分担方法及网络设备 |
US10999210B2 (en) | 2017-01-20 | 2021-05-04 | Huawei Technologies Co., Ltd. | Load sharing method and network device |
Also Published As
Publication number | Publication date |
---|---|
CN102868629B (zh) | 2016-01-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101499972B (zh) | Ip安全报文转发方法及装置 | |
EP2916499B1 (en) | Ip packet processing method, apparatus and network system | |
CN102932377B (zh) | 一种ip报文过滤方法及装置 | |
US8582468B2 (en) | System and method for providing packet proxy services across virtual private networks | |
CN101515859B (zh) | 一种因特网协议安全隧道传输组播的方法及设备 | |
CN103067290A (zh) | 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 | |
CN101572644B (zh) | 一种数据封装方法和设备 | |
CN101515896B (zh) | 安全套接字层协议报文转发方法、装置、系统及交换机 | |
CN103313308B (zh) | 一种数据传输方法和设备 | |
CN103763207A (zh) | 软件定义网络中的带内控制连接建立方法及设备 | |
CN102136987B (zh) | 一种mpls vpn中的报文转发方法和pe设备 | |
CN112104511B (zh) | 一种基于单臂部署的vpn网关无感知切换方法及装置 | |
CN102868629A (zh) | 利用ipsec实现负载分担的方法及系统 | |
CN107819685A (zh) | 一种数据处理的方法以及网络设备 | |
CN104618899A (zh) | 一种内置安全模块的ZigBee路由器 | |
CN102984070A (zh) | 一种以太网无编号接口实现数据转发方法 | |
CN102045250B (zh) | Vpls中组播报文的转发方法和服务提供商边缘设备 | |
CN103888940B (zh) | 多级加密与认证的wia‑pa网络手持设备的通讯方法 | |
EP3041277A1 (en) | Frame transfer method, related apparatus, and communications system | |
CN106209401A (zh) | 一种传输方法及装置 | |
CN101283554A (zh) | 中继装置、通信终端和通信方法 | |
CN100539537C (zh) | 一种利用IPSec将网络路由扩展到远程网络的方法及装置 | |
CN102932229A (zh) | 一种对数据包进行加解密处理的方法 | |
CN102647349A (zh) | Ipsec实现负载分担的方法及系统 | |
CN102917081A (zh) | Vpn客户端ip地址的分配方法、报文传输方法及vpn服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
PP01 | Preservation of patent right |
Effective date of registration: 20180823 Granted publication date: 20160106 |
|
PP01 | Preservation of patent right | ||
PD01 | Discharge of preservation of patent |
Date of cancellation: 20210823 Granted publication date: 20160106 |
|
PD01 | Discharge of preservation of patent | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160106 Termination date: 20180830 |
|
CF01 | Termination of patent right due to non-payment of annual fee |