CN102938741B - 通过流量控制ipsec负载分担的方法及系统 - Google Patents
通过流量控制ipsec负载分担的方法及系统 Download PDFInfo
- Publication number
- CN102938741B CN102938741B CN201210424500.9A CN201210424500A CN102938741B CN 102938741 B CN102938741 B CN 102938741B CN 201210424500 A CN201210424500 A CN 201210424500A CN 102938741 B CN102938741 B CN 102938741B
- Authority
- CN
- China
- Prior art keywords
- load balancing
- interface
- tunnel
- message
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种通过流量控制IPSEC负载分担的方法,包括以下步骤:S1:网络设备配置负载分担接口组,每个负载分担接口组包括多个负载分担接口;S2:配置多个IPSEC隧道绑定到所述负载分担接口组上;S3:根据负载分担接口组组内各负载分担接口流量的不同,在新建连接时选择流量最小的负载分担接口进行协商,建立隧道。此外,本发明还公开了一种实现上述方法的通过流量控制IPSEC负载分担的系统。本发明将IPSEC和接口负载分担完美的结合起来,达到IPSEC接口负载分担的目的,出接口分配更加灵活、流量更均匀。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种通过流量控制IPSEC负载分担的方法及系统。
背景技术
当前网络设备大多带IPSEC功能和流量负载分担功能。接口流量负载分担通常将目的地址相同的数据流以负载分担的方式尽可能平均的分配到负载分担接口(负载分担接口大于等于2),此时负载分担接口有到相同目的地址的路由,所以可以将数据通过两个不同的接口送到相同的目的地。而利用IPSEC功能对报文进行转发时,通常不能对接口进行选择,因此,不能实现根据流量的不同选择流量较小的负载分担接口,使得出接口流量更加均匀。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:提供一种通过流量控制IPSEC负载分担的方法,以使得出接口流量更加均匀。
(二)技术方案
为解决上述问题,一方面,本发明提供了一种通过流量控制IPSEC负载分担的方法,包括以下步骤:
S1:网络设备配置负载分担接口组,每个负载分担接口组包括多个负载分担接口;
S2:配置多个IPSEC隧道绑定到所述负载分担接口组上;
S3:根据负载分担接口组组内各负载分担接口流量的不同,在新建连接时选择流量最小的负载分担接口进行协商,建立隧道。
优选地,所述步骤S3具体为:
S31:对报文进行路由查找,如果查找到所述报文的出接口为负载分担接口组,并且所述负载分担接口组配置了IPSEC隧道,则将所述报文对所述负载分担接口组的每个IPSEC隧道进行匹配:
如果匹配成功,则转到步骤S32;
如果所述报文对所述负载分担接口组的所有IPSEC隧道都没有匹配成功,则对报文进行流量负载分担计算,并通过计算出的出接口发出所述报文,方法结束;
S32:判断匹配的隧道是否已经建立在负载分担接口上:
如果建立了,则对报文进行隧道加密后发出所述报文;
如果没有建立,则对所述负载分担接口组中各负载分担接口的流量进行判断,找到流量最小的负载分担接口进行IKE隧道协商,建立隧道并对报文进行隧道加密后发出所述报文。
优选地,在所述步骤S31之前还包括以下步骤:对需要转发的报文进行对应快转表的查找:
如果找到对应快转表,则按照快转表记录上的处理方式处理报文后直接根据快转表上记录的出接口将报文进行转发,方法结束;
如果没有找到对应快转表,则创建快转表并转到步骤S31。
优选地,在所述步骤S31中通过计算出的出接口发出所述报文的步骤之后,还包括记录对应快转表的步骤。
优选地,在所述步骤S32中在对报文进行隧道加密后发出所述报文的步骤之后,还包括记录对应快转表的步骤。
优选地,所述找到流量最小的负载分担接口进行IKE隧道协商时,所述协商的原地址为所述流量最小的负载分担接口的ip地址。
另一方面,本发明还提供了一种通过流量控制IPSEC负载分担的系统,包括:
网络设备,用于配置负载分担接口组,每个负载分担接口组包括多个负载分担接口;
隧道配置模块,用于配置多个IPSEC隧道绑定到所述负载分担接口组上;
隧道建立模块,用于根据负载分担接口组组内各负载分担接口流量的不同,在新建连接时选择流量最小的负载分担接口进行协商,建立隧道。
优选地,所述网络设备为防火墙、路由器和交换机中的一种。
(三)有益效果
本发明将IPSEC隧道配置在负载分担组上,组内的接口根据流量不同,当新建连接时选择流量较少的负载分担接口进行协商建立隧道,使IPSEC和接口负载分担完美的结合起来,达到IPSEC接口负载分担的目的,出接口分配更加灵活、流量更均匀。
附图说明
图1为根据本发明通过流量控制IPSEC负载分担的方法的流程图;
图2为根据本发明通过流量控制IPSEC负载分担的系统的结构示意框图。
具体实施方式
下面结合附图及实施例对本发明进行详细说明如下。
实施例一:
如图1所示,本实施例记载了一种通过流量控制IPSEC负载分担的方法,包括以下步骤:
S1:网络设备配置负载分担接口组,每个负载分担接口组包括多个负载分担接口;
S2:配置多个IPSEC隧道绑定到所述负载分担接口组上;
S3:根据负载分担接口组组内各负载分担接口流量的不同,在新建连接时选择流量最小的负载分担接口进行协商,建立隧道。
其中,所述步骤S3具体为:
S31:对报文进行路由查找,如果查找到所述报文的出接口为负载分担接口组(其中,如果报文的出接口不是负载分担接口组,则只会有一个出接口可选,那么直接将报文从此接口转发就行),则判断所述负载分担接口组是否配置了IPSEC隧道:
如果配置了,则将所述报文对所述负载分担接口组的每个IPSEC隧道进行匹配(如果没有配置,则根据负载分担算策略进行出接口选择。现有技术中,所述负载分担策略包括比率算法、轮循算法、响应速度算法等):
如果匹配成功,则转到步骤S32;
如果所述报文对所述负载分担接口组的所有IPSEC隧道都没有匹配成功,则对报文进行流量负载分担计算,并通过计算出的出接口发出所述报文,方法结束;
S32:判断匹配的隧道是否已经建立在负载分担接口上:
如果建立了,则对报文进行隧道加密后发出所述报文;
如果没有建立,则对所述负载分担接口组中各负载分担接口的流量进行判断,找到流量最小的负载分担接口进行IKE隧道协商,建立隧道并对报文进行隧道加密后发出所述报文。
在本实施例中,在所述步骤S31之前还包括以下步骤:对需要转发的报文进行对应快转表的查找:
如果找到对应快转表,则按照快转表记录上的处理方式处理报文后直接根据快转表上记录的出接口将报文进行转发,方法结束;
如果没有找到对应快转表,则创建快转表并转到步骤S31。
通过对没有对应快转表的报文创建快转表并将处理方式记录在快转表上,使得ip五元组相同的下一个报文可以找到此快转表(进行路由查找时根据报文的ip五元组来匹配快转表,相同的ip五元组会匹配上同一个快转表),找到快转表后就直接根据之前记录的处理方式对报文进行处理和转发。
在所述步骤S31中通过计算出的出接口发出所述报文的步骤之后,还包括记录对应快转表的步骤。
在所述步骤S32中在对报文进行隧道加密后发出所述报文的步骤之后,还包括记录对应快转表的步骤。其中,对于新建立的IPSEC隧道来说,在哪个负载分担接口建立隧道以后,报文五元组相同的流量就会从哪个负载分担接口发出,此时会记录快转表,从而减轻其它负载分担接口流量负载。
在本实施例中,所述找到流量最小的负载分担接口进行IKE隧道协商时,所述协商的原地址为所述流量最小的负载分担接口的ip地址。
本实施例中,对端设备可以配置为动态模式(不指定对端地址),或者配置peer的ip地址为多个(指定所有的负载分担接口组内负载分担接口的ip地址)。
实施例二:
如图2所示,本实施例记载了一种通过流量控制IPSEC负载分担的系统,包括:
网络设备201,用于配置负载分担接口组,每个负载分担接口组包括多个负载分担接口;
隧道配置模块202,用于配置多个IPSEC隧道绑定到所述负载分担接口组上;
隧道建立模块203,用于根据负载分担接口组组内各负载分担接口流量的不同,在新建连接时选择流量最小的负载分担接口进行协商,建立隧道。
所述网络设备201为防火墙、路由器和交换机中的一种。
本发明将IPSEC隧道配置在负载分担组上,组内的接口根据流量不同,当新建连接时选择流量较少的负载分担接口进行协商建立隧道,使IPSEC和接口负载分担完美的结合起来,达到IPSEC接口负载分担的目的,出接口分配更加灵活、流量更均匀。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (7)
1.一种通过流量控制IPSEC负载分担的方法,其特征在于,包括以下步骤:
S1:网络设备配置负载分担接口组,每个负载分担接口组包括多个负载分担接口;
S2:配置多个IPSEC隧道绑定到所述负载分担接口组上;
S3:根据负载分担接口组组内各负载分担接口流量的不同,在新建连接时选择流量最小的负载分担接口进行协商,建立隧道;
其中,所述步骤S3具体为:
S31:对报文进行路由查找,如果查找到所述报文的出接口为负载分担接口组,并且所述负载分担接口组配置了IPSEC隧道,则将所述报文对所述负载分担接口组的每个IPSEC隧道进行匹配:
如果匹配成功,则转到步骤S32;
如果所述报文对所述负载分担接口组的所有IPSEC隧道都没有匹配成功,则对报文进行流量负载分担计算,并通过计算出的出接口发出所述报文,方法结束;
S32:判断匹配的隧道是否已经建立在负载分担接口上:
如果建立了,则对报文进行隧道加密后发出所述报文;
如果没有建立,则对所述负载分担接口组中各负载分担接口的流量进行判断,找到流量最小的负载分担接口进行IKE隧道协商,建立隧道并对报文进行隧道加密后发出所述报文。
2.如权利要求1所述的方法,其特征在于,在所述步骤S31之前还包括以下步骤:对需要转发的报文进行对应快转表的查找:
如果找到对应快转表,则按照快转表记录上的处理方式处理报文后直接根据快转表上记录的出接口将报文进行转发,方法结束;
如果没有找到对应快转表,则创建快转表并转到步骤S31。
3.如权利要求2所述的方法,其特征在于,在所述步骤S31中通过计算出的出接口发出所述报文的步骤之后,还包括记录对应快转表的步骤。
4.如权利要求2所述的方法,其特征在于,在所述步骤S32中在对报文进行隧道加密后发出所述报文的步骤之后,还包括记录对应快转表的步骤。
5.如权利要求1所述的方法,其特征在于,所述找到流量最小的负载分担接口进行IKE隧道协商时,所述协商的原地址为所述流量最小的负载分担接口的ip地址。
6.一种通过流量控制IPSEC负载分担的系统,其特征在于,包括:
网络设备,用于配置负载分担接口组,每个负载分担接口组包括多个负载分担接口;
隧道配置模块,用于配置多个IPSEC隧道绑定到所述负载分担接口组上;
隧道建立模块,用于根据负载分担接口组组内各负载分担接口流量的不同,在新建连接时选择流量最小的负载分担接口进行协商,建立隧道;
所述隧道建立模块通过以下步骤实现根据负载分担接口组组内各负载分担接口流量的不同,在新建连接时选择流量最小的负载分担接口进行协商,建立隧道:
S31:对报文进行路由查找,如果查找到所述报文的出接口为负载分担接口组,并且所述负载分担接口组配置了IPSEC隧道,则将所述报文对所述负载分担接口组的每个IPSEC隧道进行匹配:
如果匹配成功,则转到步骤S32;
如果所述报文对所述负载分担接口组的所有IPSEC隧道都没有匹配成功,则对报文进行流量负载分担计算,并通过计算出的出接口发出所述报文,方法结束;
S32:判断匹配的隧道是否已经建立在负载分担接口上:
如果建立了,则对报文进行隧道加密后发出所述报文;
如果没有建立,则对所述负载分担接口组中各负载分担接口的流量进行判断,找到流量最小的负载分担接口进行IKE隧道协商,建立隧道并对报文进行隧道加密后发出所述报文。
7.如权利要求6所述的系统,其特征在于,所述网络设备为防火墙、路由器和交换机中的一种。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210424500.9A CN102938741B (zh) | 2012-10-30 | 2012-10-30 | 通过流量控制ipsec负载分担的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210424500.9A CN102938741B (zh) | 2012-10-30 | 2012-10-30 | 通过流量控制ipsec负载分担的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102938741A CN102938741A (zh) | 2013-02-20 |
| CN102938741B true CN102938741B (zh) | 2015-08-19 |
Family
ID=47697611
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210424500.9A Expired - Fee Related CN102938741B (zh) | 2012-10-30 | 2012-10-30 | 通过流量控制ipsec负载分担的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102938741B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104092708A (zh) * | 2014-08-06 | 2014-10-08 | 汉柏科技有限公司 | 对转发报文加密的方法和设备、及报文转发的方法和设备 |
| CN112217655B (zh) * | 2019-07-11 | 2022-08-02 | 奇安信科技集团股份有限公司 | Sd-wan系统中网络设备配置方法、装置和计算机设备 |
| CN111654399B (zh) * | 2020-06-08 | 2022-10-18 | 奇安信科技集团股份有限公司 | 基于sd-wan的组网方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
| CN101459607A (zh) * | 2008-12-31 | 2009-06-17 | 华为技术有限公司 | 一种报文发送方法和路由器 |
| CN102647345A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | 对ipsec数据报文进行负载分担的方法及系统 |
| CN102647349A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | Ipsec实现负载分担的方法及系统 |
-
2012
- 2012-10-30 CN CN201210424500.9A patent/CN102938741B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
| CN101459607A (zh) * | 2008-12-31 | 2009-06-17 | 华为技术有限公司 | 一种报文发送方法和路由器 |
| CN102647345A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | 对ipsec数据报文进行负载分担的方法及系统 |
| CN102647349A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | Ipsec实现负载分担的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102938741A (zh) | 2013-02-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105379218B (zh) | 业务流的处理方法、装置及设备 | |
| CN103166874B (zh) | 一种报文转发方法及设备 | |
| CN102307136B (zh) | 报文处理方法及其装置 | |
| CN102970227B (zh) | 在asic中实现vxlan报文转发的方法和装置 | |
| CN103929368A (zh) | 多业务单元负载均衡方法及装置 | |
| GB2514323A (en) | Multiple virtual machines sharing a single IP address | |
| CN108259299B (zh) | 一种转发表项生成方法、装置及机器可读存储介质 | |
| CN103078798B (zh) | 一种建立路由表的方法和设备 | |
| CN106921579B (zh) | 基于业务功能链sfc的通信方法和装置 | |
| CN103095568B (zh) | 机架式交换设备实现堆叠的系统及方法 | |
| CN105099898B (zh) | 一种pppoe报文转发方法以及bras服务器 | |
| CN103501250A (zh) | 分布式链路聚合网络中的数据流处理方法和装置 | |
| CN102938741B (zh) | 通过流量控制ipsec负载分担的方法及系统 | |
| RU2013118214A (ru) | Устройство управления, система связи, способ связи и носитель записи, содержащий записанную на нем программу для связи | |
| CN102394889A (zh) | 一种接入网络服务器的方法及接入系统 | |
| CN108718278A (zh) | 一种报文传输方法和装置 | |
| CN104811382A (zh) | 数据包的处理方法与装置 | |
| CN103780496A (zh) | 应用于星形堆叠系统中的报文转发方法和设备 | |
| CN104301247A (zh) | 一种pppoe接入设备负载均衡的方法和装置 | |
| WO2012095386A4 (en) | Peer node and method for improved peer node selection | |
| CN104580359B (zh) | 带存储功能的路由器中文件分片加密存储备份及下载方法 | |
| CN104301229B (zh) | 数据包转发方法、路由表生成方法及装置 | |
| CN103441927A (zh) | 报文处理方法及装置 | |
| CN104954155A (zh) | 具有多个业务板的网络设备以及多业务板分担方法 | |
| CN102938740B (zh) | 通过用户数控制ipsec负载分担的方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20180823 Granted publication date: 20150819 |
|
| PD01 | Discharge of preservation of patent | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20210823 Granted publication date: 20150819 |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150819 Termination date: 20181030 |