CN102868629B - 利用ipsec实现负载分担的方法及系统 - Google Patents
利用ipsec实现负载分担的方法及系统 Download PDFInfo
- Publication number
- CN102868629B CN102868629B CN201210315572.XA CN201210315572A CN102868629B CN 102868629 B CN102868629 B CN 102868629B CN 201210315572 A CN201210315572 A CN 201210315572A CN 102868629 B CN102868629 B CN 102868629B
- Authority
- CN
- China
- Prior art keywords
- load balancing
- message
- ipsec tunnel
- interface
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种利用IPSEC实现负载分担的方法,包括以下步骤:S1、网络设备为多个负载分担接口分别配置IPSEC隧道,各IPSEC隧道的保护流不同;S2、根据配置有IPSEC隧道的所述多个负载分担接口对报文进行转发。本发明还提供了一种与该方法对应的系统。本发明通过结合IPSEC和数据负载分担功能,配置不同的IPSEC绑定到不同的负载分担接口上,进行负载分担时,首先通过IPSEC隧道的ACL规则进行匹配,查找匹配上的IPSEC隧道所绑定的出接口,如果匹配不上再根据负载分担算法进行接口分配,以达到报文走指定出接口的目的,从而实现在不同的接口为对应的用户提供不同质量的服务。
Description
技术领域
本发明涉及网络通信技术领域,特别是涉及一种利用IPSEC实现负载分担的方法及系统。
背景技术
当前网络设备大多带IPSEC功能和流量负载分担功能。接口流量负载分担通常将目的地址相同的数据流以负载分担的方式尽可能平均的分配到负载分担接口(负载分担接口大于等于2),此时负载分担接口有到相同目的地址的路由,所以可以将数据通过两个不同的接口送到相同的目的地。而利用IPSEC功能对报文进行转发时,通常不能对接口进行选择,因此,不能实现在不同的接口为对应的用户提供不同质量的服务。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何实现在指定的接口对报文进行加密转发,从而实现在不同的接口为对应的用户提供不同质量的服务。
(二)技术方案
为了解决上述技术问题,本发明提供一种利用IPSEC实现负载分担的方法,包括以下步骤:
S1、网络设备为多个负载分担接口分别配置IPSEC隧道,各IPSEC隧道的访问控制列表ACL不同;
S2、根据配置有IPSEC隧道的所述多个负载分担接口对报文进行转发。
优选地,步骤S2具体为:对报文进行路由,若查找到报文的出接口为负载分担接口组,且所述负载分担接口组中具有配置了IPSEC隧道的负载分担接口,则将报文与所述IPSEC隧道进行匹配,若匹配成功,则从与报文匹配的IPSEC隧道的所绑定的负载分担接口对报文进行加密转发;若所述负载分担接口组中没有配置IPSEC隧道的负载分担接口或未匹配成功,则进行负载分担计算,从计算出的接口对报文进行转发。
优选地,步骤S2中,使用ACL作为报文与IPSEC隧道匹配的规则。
优选地,所述网络设备为防火墙、路由器和交换机中的一种。
本发明还提供了一种利用IPSEC实现负载分担的系统,所述系统包括:
隧道建立模块,用于为多个负载分担接口分别配置IPSEC隧道,各IPSEC隧道的访问控制列表ACL不同;
报文转发模块,用于根据配置有IPSEC隧道的所述多个负载分担接口对报文进行转发。
优选地,所述隧道建立模块为网络设备。
优选地,所述网络设备为防火墙、路由器和交换机中的一种。
(三)有益效果
上述技术方案具有如下优点:通过结合IPSEC和数据负载分担功能,配置不同的IPSEC绑定到不同的负载分担接口上,进行负载分担时,首先通过IPSEC隧道的ACL规则进行匹配,查找匹配上的IPSEC隧道所绑定的出接口,如果匹配不上再根据负载分担算法进行接口分配,以达到报文走指定出接口的目的,从而实现在不同的接口为对应的用户提供不同质量的服务。
附图说明
图1是本发明的方法流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
如图1所示,本发明提供一种利用IPSEC实现负载分担的方法,包括以下步骤:
S1、网络设备为2个负载分担接口分别配置IPSEC隧道,2个负载分担接口分别为a接口和b接口,各IPSEC隧道的访问控制列表ACL不同,目的地址可以相同也可以不同;
S2、根据配置有IPSEC隧道的所述多个负载分担接口对报文进行转发。
优选地,步骤S2中具体为:对报文进行路由,若查找到报文的出接口为负载分担接口组,且所述负载分担接口组中具有配置了IPSEC隧道的负载分担接口,则将报文与所述IPSEC隧道进行匹配,若匹配成功,则从与报文匹配的IPSEC隧道所绑定的负载分担接口对报文进行加密转发;若所述负载分担接口组中没有配置IPSEC隧道的负载分担接口或未匹配成功,则进行负载分担计算,从计算出的接口对报文进行转发。此过程中,一旦报文匹配上IPSEC隧道后就会自动触发IKE协商,由于ike协商是预先配置好的,所以此处不用关心协商流程。
优选地,步骤S2中,使用ACL作为报文与IPSEC隧道匹配的规则。
优选地,所述网络设备为防火墙、路由器和交换机中的一种。
上述步骤S2为网络设备从内网向外网发起报文的过程,对外网向内网发起报文的过程类似,过程为,首先会收到加密报文并对报文进行解密,然后将解密后的报文查找路由后直接转发。
本发明还提供了一种利用IPSEC实现负载分担的系统,所述系统包括:
隧道建立模块,用于为多个负载分担接口分别配置IPSEC隧道,各IPSEC隧道的访问控制列表ACL不同,目的地址可以相同也可以不同;
报文转发模块,用于根据配置有IPSEC隧道的所述多个负载分担接口对报文进行转发。
优选地,所述隧道建立模块为网络设备。
优选地,所述网络设备为防火墙、路由器和交换机中的一种。
由以上实施例可以看出,本发明通过结合IPSEC和数据负载分担功能,根据对端的IP地址不同,配置不同的IPSEC绑定到不同的负载分担接口上,进行负载分担时,首先通过IPSEC隧道查找出接口,如果配置不上再根据负载分担算法进行接口分配,以达到报文走指定出接口的目的,从而实现在不同的接口为对应的用户提供不同质量的服务。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本发明的保护范围。
Claims (3)
1.一种利用IPSEC实现负载分担的方法,其特征在于,包括以下步骤:
S1、网络设备为多个负载分担接口分别配置IPSEC隧道,各IPSEC隧道的访问控制列表ACL不同;
S2、根据配置有IPSEC隧道的所述多个负载分担接口对报文进行转发;
其中,步骤S2具体为:对报文进行路由,若查找到报文的出接口为负载分担接口组,且所述负载分担接口组中具有配置了IPSEC隧道的负载分担接口,则将报文与所述IPSEC隧道进行匹配,若匹配成功,则从与报文匹配的IPSEC隧道所绑定的负载分担接口对报文进行加密转发;若所述负载分担接口组中没有配置IPSEC隧道的负载分担接口或未匹配成功,则进行负载分担计算,从计算出的接口对报文进行转发;
其中,步骤S2中,使用ACL作为报文与IPSEC隧道匹配的规则。
2.如权利要求1所述的方法,其特征在于,所述网络设备为防火墙、路由器和交换机中的一种。
3.一种利用IPSEC实现负载分担的系统,其特征在于,所述系统包括:
隧道建立模块,用于为多个负载分担接口分别配置IPSEC隧道,各IPSEC隧道的访问控制列表ACL不同;
报文转发模块,用于根据配置有IPSEC隧道的所述多个负载分担接口对报文进行转发,具体用于:对报文进行路由,若查找到报文的出接口为负载分担接口组,且所述负载分担接口组中具有配置了IPSEC隧道的负载分担接口,则将报文与所述IPSEC隧道进行匹配,若匹配成功,则从与报文匹配的IPSEC隧道所绑定的负载分担接口对报文进行加密转发;若所述负载分担接口组中没有配置IPSEC隧道的负载分担接口或未匹配成功,则进行负载分担计算,从计算出的接口对报文进行转发;
其中,所述隧道建立模块为网络设备;
其中,所述网络设备为防火墙、路由器和交换机中的一种。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210315572.XA CN102868629B (zh) | 2012-08-30 | 2012-08-30 | 利用ipsec实现负载分担的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210315572.XA CN102868629B (zh) | 2012-08-30 | 2012-08-30 | 利用ipsec实现负载分担的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102868629A CN102868629A (zh) | 2013-01-09 |
CN102868629B true CN102868629B (zh) | 2016-01-06 |
Family
ID=47447230
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210315572.XA Expired - Fee Related CN102868629B (zh) | 2012-08-30 | 2012-08-30 | 利用ipsec实现负载分担的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102868629B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103236986B (zh) * | 2013-04-07 | 2016-06-08 | 杭州华三通信技术有限公司 | 负载分担方法及装置 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104935522B (zh) * | 2014-03-19 | 2019-08-27 | 南京中兴新软件有限责任公司 | 静态IPSec虚接口负载均衡的方法、装置及主处理器 |
CN105591926B (zh) * | 2015-12-11 | 2019-06-07 | 新华三技术有限公司 | 一种流量保护方法及装置 |
CN108337182B (zh) | 2017-01-20 | 2020-06-02 | 华为技术有限公司 | 一种报负载分担方法及网络设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
CN102611735A (zh) * | 2011-12-21 | 2012-07-25 | 奇智软件(北京)有限公司 | 一种应用服务的负载均衡方法及系统 |
CN102647345A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | 对ipsec数据报文进行负载分担的方法及系统 |
-
2012
- 2012-08-30 CN CN201210315572.XA patent/CN102868629B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
CN102611735A (zh) * | 2011-12-21 | 2012-07-25 | 奇智软件(北京)有限公司 | 一种应用服务的负载均衡方法及系统 |
CN102647345A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | 对ipsec数据报文进行负载分担的方法及系统 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103236986B (zh) * | 2013-04-07 | 2016-06-08 | 杭州华三通信技术有限公司 | 负载分担方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN102868629A (zh) | 2013-01-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3468117B1 (en) | Service function chaining (sfc)-based packet forwarding method, device and system | |
EP3313025B1 (en) | Data packet forwarding | |
US7912063B2 (en) | Secure communications for wireless mesh network access points | |
EP3091705B1 (en) | Tunnel processing method for packet, switching device and control device | |
EP2993836B1 (en) | Method and device for routing data message | |
EP3148149A1 (en) | Service flow processing method, apparatus and device | |
US20160014241A1 (en) | Packet rewriting apparatus, control apparatus, communication system, packet transmission method and program | |
CN103067290B (zh) | 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 | |
CN104283785A (zh) | 一种快速处理流表的方法和装置 | |
CN102868629B (zh) | 利用ipsec实现负载分担的方法及系统 | |
US20210083974A1 (en) | Packet Processing Method and System, and Device | |
CN104243270A (zh) | 一种建立隧道的方法和装置 | |
CN104092595A (zh) | 基于802.1br的虚拟化系统中的报文处理方法及装置 | |
CN103313308B (zh) | 一种数据传输方法和设备 | |
CN110324159B (zh) | 链路配置方法、控制器和存储介质 | |
CN102136989A (zh) | 报文传输的方法、系统和设备 | |
EP3240245B1 (en) | Method and device for multicasting and forwarding multiple protocol label switching intermediate node, and node | |
CN103200068B (zh) | 一种基于用户业务多隧道传输装置 | |
CN112104511B (zh) | 一种基于单臂部署的vpn网关无感知切换方法及装置 | |
GB2578415A (en) | Methods and systems for transmitting information packets through tunnel groups at a network node | |
CN107819685A (zh) | 一种数据处理的方法以及网络设备 | |
CN105471827A (zh) | 一种报文传输方法及装置 | |
US10951520B2 (en) | SDN, method for forwarding packet by SDN, and apparatus | |
EP3041277A1 (en) | Frame transfer method, related apparatus, and communications system | |
US20150003291A1 (en) | Control apparatus, communication system, communication method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
PP01 | Preservation of patent right | ||
PP01 | Preservation of patent right |
Effective date of registration: 20180823 Granted publication date: 20160106 |
|
PD01 | Discharge of preservation of patent | ||
PD01 | Discharge of preservation of patent |
Date of cancellation: 20210823 Granted publication date: 20160106 |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160106 Termination date: 20180830 |