CN102938740B - 通过用户数控制ipsec负载分担的方法及设备 - Google Patents
通过用户数控制ipsec负载分担的方法及设备 Download PDFInfo
- Publication number
- CN102938740B CN102938740B CN201210424150.6A CN201210424150A CN102938740B CN 102938740 B CN102938740 B CN 102938740B CN 201210424150 A CN201210424150 A CN 201210424150A CN 102938740 B CN102938740 B CN 102938740B
- Authority
- CN
- China
- Prior art keywords
- load balancing
- tunnel
- interface
- message
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本发明公开了一种通过用户数控制IPSEC负载分担的方法,包括以下步骤:S1:网络设备配置负载分担接口组,每个负载分担接口组包括多个负载分担接口;S2:配置多个IPSEC隧道绑定到所述负载分担接口组上;S3:根据负载分担接口组组内各负载分担接口已经建立的隧道数目的不同,在新建连接时选择已经建立的隧道数目最少的负载分担接口进行协商,建立隧道。此外,本发明还公开了一种实现上述方法的通过用户数控制IPSEC负载分担的设备。本发明使IPSEC和接口负载分担完美的结合起来,达到IPSEC接口负载分担的目的,出接口分配更加灵活、接口资源分配更均匀。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种通过用户数控制IPSEC负载分担的方法及设备。
背景技术
当前网络设备大多带IPSEC功能和流量负载分担功能。接口流量负载分担通常将目的地址相同的数据流以负载分担的方式尽可能平均的分配到负载分担接口(负载分担接口大于等于2),此时负载分担接口有到相同目的地址的路由,所以可以将数据通过两个不同的接口送到相同的目的地。其中在接口上建立的每个IPSEC隧道是需要占用接口资源的,而利用IPSEC功能对报文进行转发时,通常不能对接口进行选择,因此,不能实现根据接口已经协商建立的IPSEC隧道数目的不同选择IPSEC隧道数目较少的负载分担接口,使得出接口资源分配更加均匀。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:提供一种通过用户数控制IPSEC负载分担的方法,以使得出接口资源分配更加均匀。
(二)技术方案
为解决上述问题,一方面,本发明提供了一种通过用户数控制IPSEC负载分担的方法,包括以下步骤:
S1:网络设备配置负载分担接口组,每个负载分担接口组包括多个负载分担接口;
S2:配置多个IPSEC隧道绑定到所述负载分担接口组上;
S3:根据负载分担接口组组内各负载分担接口已经建立的隧道数目的不同,在新建连接时选择已经建立的隧道数目最少的负载分担接口进行协商,建立隧道。
优选地,所述步骤S3具体为:
S31:对报文进行路由查找,如果查找到所述报文的出接口为负载分担接口组,并且所述负载分担接口组配置了IPSEC隧道,则将所述报文对所述负载分担接口组的每个IPSEC隧道进行匹配:
如果匹配成功,则转到步骤S32;
如果所述报文对所述负载分担接口组的所有IPSEC隧道都没有匹配成功,则对报文进行流量负载分担计算,并通过计算出的出接口发出所述报文,方法结束;
S32:判断匹配的隧道是否已经建立在负载分担接口上:
如果建立了,则对报文进行隧道加密后发出所述报文;
如果没有建立,则对所述负载分担接口组中各负载分担接口的已经建立的隧道数目进行计算,找到已经建立的隧道数目最少的负载分担接口进行IKE隧道协商,建立隧道,并对报文进行隧道加密后发出所述报文。
优选地,在所述步骤S31之前还包括以下步骤:对需要转发的报文进行对应快转表的查找:
如果找到对应快转表,则按照快转表记录上的处理方式处理报文后直接根据快转表上记录的出接口将报文进行转发,方法结束;
如果没有找到对应快转表,则创建快转表并转到步骤S31。
优选地,在所述步骤S31中通过计算出的出接口发出所述报文的步骤之后,还包括记录对应快转表的步骤。
优选地,在所述步骤S32中在对报文进行隧道加密后发出所述报文的步骤之后,还包括记录对应快转表的步骤。
优选地,所述找到已经建立的隧道数目最少的负载分担接口进行IKE隧道协商时,所述协商的原地址为所述已经建立的隧道数目最少的负载分担接口的ip地址。
另一方面,本发明还提供了一种通过用户数控制IPSEC负载分担的设备,包括:
网络设备,用于配置负载分担接口组,每个负载分担接口组包括多个负载分担接口;
隧道配置模块,用于配置多个IPSEC隧道绑定到所述负载分担接口组上;
隧道建立模块,用于根据负载分担接口组组内各负载分担接口已经建立的隧道数目的不同,在新建连接时选择已经建立的隧道数目最少的负载分担接口进行协商,建立隧道。
优选地,所述网络设备为防火墙、路由器和交换机中的一种。
(三)有益效果
本发明将IPSEC隧道配置在负载分担接口组上,组内的接口根据负载分担接口上已经建立的隧道数目的不同,当新建连接时选择已经建立的隧道数目较少的负载分担接口进行协商建立隧道,使IPSEC和接口负载分担完美的结合起来,达到IPSEC接口负载分担的目的,出接口分配更加灵活、接口资源分配更均匀。
附图说明
图1为根据本发明通过用户数控制IPSEC负载分担的方法的流程图;
图2为根据本发明通过用户数控制IPSEC负载分担的设备的结构示意框图。
具体实施方式
下面结合附图及实施例对本发明进行详细说明如下。
实施例一:
如图1所示,本实施例记载了一种通过用户数控制IPSEC负载分担的方法,包括以下步骤:
S1:网络设备配置负载分担接口组,每个负载分担接口组包括多个负载分担接口;
S2:配置多个IPSEC隧道绑定到所述负载分担接口组上;
S3:根据负载分担接口组组内各负载分担接口已经建立的隧道数目的不同,在新建连接时选择已经建立的隧道数目最少的负载分担接口进行协商,建立隧道。
其中,所述步骤S3具体为:
S31:对报文进行路由查找,如果查找到所述报文的出接口为负载分担接口组(其中,如果报文的出接口不是负载分担接口组,则只会有一个出接口可选,那么直接将报文从此接口转发就行),则判断所述负载分担接口组是否配置了IPSEC隧道:
如果配置了,则将所述报文对所述负载分担接口组的每个IPSEC隧道进行匹配(如果没有配置,则根据负载分担算策略进行出接口选择。现有技术中,所述负载分担策略包括比率算法、轮循算法、响应速度算法等):
如果匹配成功,则转到步骤S32;
如果所述报文对所述负载分担接口组的所有IPSEC隧道都没有匹配成功,则对报文进行流量负载分担计算,并通过计算出的出接口发出所述报文,方法结束;
S32:判断匹配的隧道是否已经建立在负载分担接口上:
如果建立了,则对报文进行隧道加密后发出所述报文;
如果没有建立,则对所述负载分担接口组中各负载分担接口的已经建立的隧道数目进行计算,找到已经建立的隧道数目最少的负载分担接口进行IKE隧道协商,建立隧道,并对报文进行隧道加密后发出所述报文。
在本实施例中,在所述步骤S31之前还包括以下步骤:对需要转发的报文进行对应快转表的查找:
如果找到对应快转表,则按照快转表记录上的处理方式处理报文后直接根据快转表上记录的出接口将报文进行转发,方法结束;
如果没有找到对应快转表,则创建快转表并转到步骤S31。
通过对没有对应快转表的报文创建快转表并将处理方式记录在快转表上,使得ip五元组相同的下一个报文可以找到此快转表(进行路由查找时根据报文的ip五元组来匹配快转表,相同的ip五元组会匹配上同一个快转表),找到快转表后就直接根据之前记录的处理方式对报文进行处理和转发。
在所述步骤S31中通过计算出的出接口发出所述报文的步骤之后,还包括记录对应快转表的步骤。
在所述步骤S32中在对报文进行隧道加密后发出所述报文的步骤之后,还包括记录对应快转表的步骤。其中,对于新建立的IPSEC隧道来说,在哪个负载分担接口建立隧道以后,报文五元组相同的流量就会从哪个负载分担接口发出,此时会记录快转表,从而减轻其它负载分担接口流量负载。
在本实施例中,所述找到已经建立的隧道数目最少的负载分担接口进行IKE隧道协商时,所述协商的原地址为所述已经建立的隧道数目最少的负载分担接口的ip地址。
本实施例中,对端设备可以配置为动态模式(不指定对端地址),或者配置peer的ip地址为多个(指定所有的负载分担接口组内负载分担接口的ip地址)。
本发明尤其适合用于IPSEC隧道较多的情况,因为流量可能是突发的,所以不准确,而且每个IPSEC隧道是需要占用接口资源的,因此,当IPSEC隧道数较多时使用IPSEC隧道数来选择隧道协商的出接口,会使得负载分担更加准确些。
实施例二:
如图2所示,本实施例记载了一种通过用户数控制IPSEC负载分担的设备,包括:
网络设备201,用于配置负载分担接口组,每个负载分担接口组包括多个负载分担接口;
隧道配置模块202,用于配置多个IPSEC隧道绑定到所述负载分担接口组上;
隧道建立模块203,用于根据负载分担接口组组内各负载分担接口已经建立的隧道数目的不同,在新建连接时选择已经建立的隧道数目最少的负载分担接口进行协商,建立隧道。
所述网络设备201为防火墙、路由器和交换机中的一种。
本发明将IPSEC隧道配置在负载分担接口组上,组内的接口根据负载分担接口上已经建立的隧道数目的不同,当新建连接时选择已经建立的隧道数目较少的负载分担接口进行协商建立隧道,使IPSEC和接口负载分担完美的结合起来,达到IPSEC接口负载分担的目的,出接口分配更加灵活、接口资源分配更均匀。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (7)
1.一种通过用户数控制IPSEC负载分担的方法,其特征在于,包括以下步骤:
S1:网络设备配置负载分担接口组,每个负载分担接口组包括多个负载分担接口;
S2:配置多个IPSEC隧道绑定到所述负载分担接口组上;
S3:根据负载分担接口组组内各负载分担接口已经建立的隧道数目的不同,在新建连接时选择已经建立的隧道数目最少的负载分担接口进行协商,建立隧道;
所述步骤S3具体为:
S31:对报文进行路由查找,如果查找到所述报文的出接口为负载分担接口组,并且所述负载分担接口组配置了IPSEC隧道,则将所述报文对所述负载分担接口组的每个IPSEC隧道进行匹配:
如果匹配成功,则转到步骤S32;
如果所述报文对所述负载分担接口组的所有IPSEC隧道都没有匹配成功,则对报文进行流量负载分担计算,并通过计算出的出接口发出所述报文,方法结束;
S32:判断匹配的隧道是否已经建立在负载分担接口上:
如果建立了,则对报文进行隧道加密后发出所述报文;
如果没有建立,则对所述负载分担接口组中各负载分担接口的已经建立的隧道数目进行计算,找到已经建立的隧道数目最少的负载分担接口进行IKE隧道协商,建立隧道,并对报文进行隧道加密后发出所述报文。
2.如权利要求1所述的方法,其特征在于,在所述步骤S31之前还包括以下步骤:对需要转发的报文进行对应快转表的查找:
如果找到对应快转表,则按照快转表记录上的处理方式处理报文后直接根据快转表上记录的出接口将报文进行转发,方法结束;
如果没有找到对应快转表,则创建快转表并转到步骤S31。
3.如权利要求2所述的方法,其特征在于,在所述步骤S31中通过计算出的出接口发出所述报文的步骤之后,还包括记录对应快转表的步骤。
4.如权利要求2所述的方法,其特征在于,在所述步骤S32中在对报文进行隧道加密后发出所述报文的步骤之后,还包括记录对应快转表的步骤。
5.如权利要求1所述的方法,其特征在于,所述找到已经建立的隧道数目最少的负载分担接口进行IKE隧道协商时,所述协商的原地址为所述已经建立的隧道数目最少的负载分担接口的ip地址。
6.一种通过用户数控制IPSEC负载分担的设备,其特征在于,包括:
网络设备,用于配置负载分担接口组,每个负载分担接口组包括多个负载分担接口;
隧道配置模块,用于配置多个IPSEC隧道绑定到所述负载分担接口组上;
隧道建立模块,用于根据负载分担接口组组内各负载分担接口已经建立的隧道数目的不同,在新建连接时选择已经建立的隧道数目最少的负载分担接口进行协商,建立隧道;
所述隧道建立模块具体通过以下步骤实现“根据负载分担接口组组内各负载分担接口已经建立的隧道数目的不同,在新建连接时选择已经建立的隧道数目最少的负载分担接口进行协商,建立隧道”:
对报文进行路由查找,如果查找到所述报文的出接口为负载分担接口组,并且所述负载分担接口组配置了IPSEC隧道,则将所述报文对所述负载分担接口组的每个IPSEC隧道进行匹配:
如果所述报文对所述负载分担接口组的所有IPSEC隧道都没有匹配成功,则对报文进行流量负载分担计算,并通过计算出的出接口发出所述报文,方法结束;
如果匹配成功,则判断匹配的隧道是否已经建立在负载分担接口上:
如果建立了,则对报文进行隧道加密后发出所述报文;
如果没有建立,则对所述负载分担接口组中各负载分担接口的已经建立的隧道数目进行计算,找到已经建立的隧道数目最少的负载分担接口进行IKE隧道协商,建立隧道,并对报文进行隧道加密后发出所述报文。
7.如权利要求6所述的设备,其特征在于,所述网络设备为防火墙、路由器和交换机中的一种。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210424150.6A CN102938740B (zh) | 2012-10-30 | 2012-10-30 | 通过用户数控制ipsec负载分担的方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210424150.6A CN102938740B (zh) | 2012-10-30 | 2012-10-30 | 通过用户数控制ipsec负载分担的方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102938740A CN102938740A (zh) | 2013-02-20 |
| CN102938740B true CN102938740B (zh) | 2015-06-03 |
Family
ID=47697610
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210424150.6A Expired - Fee Related CN102938740B (zh) | 2012-10-30 | 2012-10-30 | 通过用户数控制ipsec负载分担的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102938740B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103200194A (zh) * | 2013-03-28 | 2013-07-10 | 汉柏科技有限公司 | 一种ipsec隧道加密报文的流程优化装置及方法 |
| CN110149279A (zh) * | 2019-05-28 | 2019-08-20 | 浪潮思科网络科技有限公司 | 一种通信接口流量负载分担的方法及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642109A (zh) * | 2004-09-30 | 2005-07-20 | 迈普(四川)通信技术有限公司 | 一种实现通信负载均衡的方法及网关、中心网关 |
| CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
| CN102611735A (zh) * | 2011-12-21 | 2012-07-25 | 奇智软件(北京)有限公司 | 一种应用服务的负载均衡方法及系统 |
| CN102647345A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | 对ipsec数据报文进行负载分担的方法及系统 |
| CN102647349A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | Ipsec实现负载分担的方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100268935A1 (en) * | 2009-04-21 | 2010-10-21 | Richard Rodgers | Methods, systems, and computer readable media for maintaining flow affinity to internet protocol security (ipsec) sessions in a load-sharing security gateway |
-
2012
- 2012-10-30 CN CN201210424150.6A patent/CN102938740B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642109A (zh) * | 2004-09-30 | 2005-07-20 | 迈普(四川)通信技术有限公司 | 一种实现通信负载均衡的方法及网关、中心网关 |
| CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
| CN102611735A (zh) * | 2011-12-21 | 2012-07-25 | 奇智软件(北京)有限公司 | 一种应用服务的负载均衡方法及系统 |
| CN102647345A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | 对ipsec数据报文进行负载分担的方法及系统 |
| CN102647349A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | Ipsec实现负载分担的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102938740A (zh) | 2013-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8274980B2 (en) | Ethernet link aggregation | |
| CN102307136B (zh) | 报文处理方法及其装置 | |
| CN103929368A (zh) | 多业务单元负载均衡方法及装置 | |
| CN105099898B (zh) | 一种pppoe报文转发方法以及bras服务器 | |
| CN102821036A (zh) | 一种实现报文转发的方法及设备 | |
| CN103078798B (zh) | 一种建立路由表的方法和设备 | |
| GB2514323A (en) | Multiple virtual machines sharing a single IP address | |
| CN104113879A (zh) | 部署有云AC的WiFi通信系统和通信方法 | |
| CN104980368A (zh) | 软件定义网络中的带宽保障方法及装置 | |
| CN109379297B (zh) | 一种实现流量负载均衡的方法和装置 | |
| CN102136989A (zh) | 报文传输的方法、系统和设备 | |
| CN105282191A (zh) | 负载均衡系统、控制器和方法 | |
| WO2016049926A1 (zh) | 一种数据包处理装置及方法 | |
| CN102938741B (zh) | 通过流量控制ipsec负载分担的方法及系统 | |
| CN102938740B (zh) | 通过用户数控制ipsec负载分担的方法及设备 | |
| JP6064989B2 (ja) | 制御装置、通信システム、ノード制御方法及びプログラム | |
| CN103200068A (zh) | 一种基于用户业务多隧道传输装置 | |
| US9923733B2 (en) | Network system and communication apparatus for performing communication among networks having different VLAN settings | |
| WO2016101510A1 (zh) | 获取nat信息的方法及bras设备 | |
| CN102868629B (zh) | 利用ipsec实现负载分担的方法及系统 | |
| CN103368806A (zh) | 数据流的处理方法和系统以及设备 | |
| CN102970236B (zh) | 一种组播分发树切换方法和装置 | |
| CN105188052B (zh) | 一种接入网络的方法、系统及无线接入点 | |
| CN102316039A (zh) | 基于聚合体优先级策略的聚合体逻辑选择的方法及系统 | |
| CN103944831A (zh) | 负载均衡方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20180823 Granted publication date: 20150603 |
|
| PD01 | Discharge of preservation of patent | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20210823 Granted publication date: 20150603 |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150603 Termination date: 20181030 |