CN103117946B - 基于隔离装置与隔离网关结合应用的流量分担方法 - Google Patents
基于隔离装置与隔离网关结合应用的流量分担方法 Download PDFInfo
- Publication number
- CN103117946B CN103117946B CN201210535074.6A CN201210535074A CN103117946B CN 103117946 B CN103117946 B CN 103117946B CN 201210535074 A CN201210535074 A CN 201210535074A CN 103117946 B CN103117946 B CN 103117946B
- Authority
- CN
- China
- Prior art keywords
- link
- isolation gateway
- isolating device
- isolation
- response message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明提供一种基于隔离装置与隔离网关结合应用的流量分担方法,包括步骤:在隔离网关将组网中各个隔离装置所在链路的负载资源进行排序,并依据该排序设定各个链路的权重值;在数据报文经过隔离网关时,根据数据报文的基本信息在隔离网关上建立会话表项,选择当前权重值最大的链路,并根据所述会话表项在该链路上创建会话连接,然后转发数据报文;当链路被选择用于转发数据报文时,将链路的权重值减1;当一个数据报文转发完成后,断开相应的会话连接并删除会话表项,然后将该链路的权重值加1。本发明的技术,保证并联隔离装置的带宽能够高效利用,使得网络流量更合理地分担到不同的隔离装置设备上。
Description
技术领域
本发明涉及负载均衡技术,特别是涉及一种基于隔离装置与隔离网关结合应用的流量分担方法。
背景技术
隔离装置:即电力专用网络专用安全隔离装置,包括正向和反向两种类型,是一种由带有多种控制功能专用硬件,位于调度数据网络与公用信息网络之间的一个安全防护装置,正向型的用于安全区I/II到安全区III的单向数据传递,反向型的用于安全区III到安全区IV的单向数据传递。
隔离网关:基于包括但不限定于路由器、交换机或服务器等实现的单向转发并对其相连的两个网络进行隔离的网关。
负载均衡:是按照事先配置的负载均衡算法,将访问同一个IP地址的用户流量分配到不同的服务器上。它通过虚拟服务技术、服务器健康性检查技术和逐流转发技术将用户的流量分摊到多台等价的服务器上。这些技术对于访问用户角度看似乎访问的是一台服务器,而实际上是能通过一定的负载均衡算法分摊到不同的服务器上,间接的提高了服务器的处理能力,也间接的提高了服务器的稳定性和可扩展性。
现在大多数隔离网关都集成了负载均衡技术,但是其安全防护这块一般只能做到IP层和常见应用层协议的安全检查和控制,并不能做到对网络间的“物理隔离”,因此在某些特殊安全要求较高的行业中,例如,电力系统专用网络隔离装置,普遍都是增加部署了安全隔离装置以进行物理层隔离。
由于隔离装置受限于其硬件环境和业务处理的特殊性,涉及到数据的倒换、隔离等功能,其对业务报文的转发能力普遍偏低,所以常常需要把多台隔离装置设备堆叠起来以提高整体处理性能,在集群前后放置两台高性能隔离网关做负载均衡器使用,这样可以提高业务报文的处理能力,而且隔离网关可以提供防攻击、防病毒、防入侵、内容过滤等等功能,提高了网络的安全性。
如图1所示,图1为基于正向隔离装置与隔离网关结合的应用组网示意图,在正向隔离装置情况下:
在网络A、网络B组网中,隔离网关A、隔离网关B之间的隔离装置进行了集群堆叠处理,以弥补其对业务报文的转发能力普遍偏低的不足,同时为了让各个堆叠的隔离装置分担业务流量,在隔离装置前后的两台隔离网关具备负载均衡功能,从而达到整体利用网络集隔离装置和隔离网关的优点,满足高安全性和高带宽业务需求。
如图2所示,图2为基于反向隔离装置与隔离网关结合的应用组网示意图,在反向隔离装置情况下:
客户端的文件传输到服务器上,通过隔离装置的文件服务器进行FTP代理,反向隔离装置和文件服务器作为一个整体,文件服务器上面开启FTPServer功能,所有的客户端会通过FTPClient方式将文件放入文件服务器,文件服务器调用相应的应用程序将文件传输到反向隔离装置后的区域,隔离网关部署在文件服务器前面并开启双机热备和负载均衡功能,将FTP业务进行流量按照一定的负载均衡算法分担到集群堆叠在一起的各个隔离装置上。
然而,采用多个隔离装置堆砌成集群的方式,由于每个隔离装置的性能、运行状态并不完全相同,当网络流量经过隔离网关到各个隔离装置上进行流量分担时,并不能根据隔离装置的实际负载性能情况进行分流,导致一部分隔离装置负载过重,甚至流量不通,而另一部分隔离装置处于空闲状态,这就极大地浪费了隔离装置设备资源,隔离装置的带宽不能合理的利用,资源利用效率低。
发明内容
基于此,有必要针对基于上述隔离装置的带宽不能合理的利用,资源利用效率低的问题,提供一种基于隔离装置与隔离网关结合应用的流量分担方法。
一种基于隔离装置与隔离网关结合应用的流量分担方法,包括如下步骤:
S100,设置链路的权重值:
在隔离网关将组网中各个隔离装置所在链路的负载资源进行排序,并依据该排序设定各个链路的权重值;
S200,根据权重值分担数据报文:
在数据报文经过隔离网关时,根据数据报文的基本信息在隔离网关上建立会话表项,选择当前权重值最大的链路,并根据所述会话表项在该链路上创建会话连接,然后转发数据报文;
S300,根据链路状态调整链路权重值:
当链路被选择用于转发数据报文时,将链路的权重值减1,返回步骤S200;
当一个数据报文转发完成后,断开相应的会话连接并删除会话表项,然后将该链路的权重值加1,返回步骤S200。
上述基于隔离装置与隔离网关结合应用的流量分担方法,在隔离装置集群并联的场景下,通过对各个隔离装置设备负载性能的综合评估,在隔离网关上设置各隔离装置所在链路的权重值,在隔离网关转发网络流量时,选择权重值最大的链路进行流量分发,并且各个链路的权重值根据该链路上转发的数据流情况和链路状态动态调整,保证并联隔离装置的带宽能够高效利用,使得网络流量更合理地分担到不同的隔离装置设备上。
附图说明
图1为基于正向隔离装置与隔离网关结合的应用组网示意图;
图2为基于反向隔离装置与隔离网关结合的应用组网示意图;
图3为本发明基于隔离装置与隔离网关结合应用的流量分担方法的流程图;
图4为一个实施例中探测报文的数据段格式结构示意图。
具体实施方式
本发明的基于隔离装置与隔离网关结合应用的流量分担方法,针对于多个隔离装置并联成集群的应用场景中,网络流量在经过隔离网关到各个隔离装置上时,对隔离装置设备资源利用效率低的问题,采用了根据权重值来选择链路进行数据流量分发的分担方法,根据数据流量变化情况和链路状态,动态调整链路权重值以进行网络流量分担,提高了流量分担的效率。
下面结合附图对本发明的基于隔离装置与隔离网关结合应用的流量分担方法的具体实施方式作详细描述。
图3示出了本发明基于隔离装置与隔离网关结合应用的流量分担方法的流程图,包括如下步骤:
S100,设置链路的权重值:
具体地,在隔离网关将组网中各个隔离装置所在链路的负载资源进行排序,并依据该排序设定各个链路的权重值;
S200,根据权重值分担数据报文:
具体地,在数据报文经过隔离网关时,根据数据报文的基本信息在隔离网关上建立会话表项,选择当前权重值最大的链路,并根据所述会话表项在该链路上创建会话连接,然后转发数据报文;
S300,根据链路状态调整链路权重值:
具体地,当链路被选择用于转发数据报文时,将链路的权重值减1,返回步骤S200;当一个数据报文转发完成后,断开相应的会话连接并删除会话表项,然后将该链路的权重值加1,返回步骤S200。
为了更清晰本发明的技术,以下结合附图阐述较佳实施例。
在一个实施例中,首先,根据集群并联组网中各个隔离装置所在链路的负载资源情况,在隔离网关(负载分担设备)上设置各链路的初始权重值;具体地,通过用户接口的命令行,输入预先分配好的各链路的权重值。该权重值作为各个隔离装置所在链路权重值的初始值,并且每次权重值重置也会恢复到该权重值,权重值的设置范围为1~100。
在网络流量经过隔离网关时,选择权重值最大的链路来进行流量转发,同时将该链路的权重值减1;具体地,当有数据报文进入隔离网关,隔离网关根据数据报文的源、目的IP,源、目的端口和协议号创建一条会话表项,然后在会话表项查找数据报文的转发路径时,比较各链路的负载分担权重值,选择权重值最大的链路进行报文转发,报文转发成功后,该链路的权重值会减1。
对于会话表项,需要对其进行老化处理,设定各个会话表项的老化时间,其中,老化时间由设定的初始值开始持续递减;定时扫描各个会话表项的老化时间,当其老化时间减为0时,则删除该会话表项。
对于任何一个链路,在后续还有数据报文命中该会话表项时,数据报文使用同一条链路进行报文转发;如果该会话表项在老化时间内没有后续数据报文进入隔离网关,则删除该会话表项,同时,将该条链路的权重值加1。
另外,当存在相同权重值的链路时,选择该权重值的第一条链路进行流量转发。隔离网关上的会话表项老化后,则将转发该会话流量的链路权重值加1。
进一步地,为了提高流量分担的可靠性,需要根据隔离装置所在链路的健康状况来对链路权重值进行调整。
在一个实施例中,步骤S300在根据链路状态调整链路权重值中还包括:
判断当前各个链路的健康状况;当链路断开或拥塞时,将该链路的权重值设置为0,删除该链路上所有的会话表项,并暂停往该链路上分担数据报文,然后重建链路连接;当断开或拥塞的链路重新恢复连接时,将该链路的权重值设置为初始值,返回步骤S200。
对于判断当前各个链路的健康状况,可以通过链路探测机制来实现,
对于正向隔离装置并联组网的场景,由隔离网关向对端隔离网关发送探测报文,然后接收对端隔离网关响应的报文,以确定隔离装置链路的健康状况;
具体过程包括如下:
在探测端隔离网关通过各个正向隔离装置所在链路向响应端隔离网关发送基于TCP协议的探测报文,并在所述探测端隔离网关接收所述响应端隔离网关的响应报文;
若所述探测端隔离网关接收到预设格式的第一响应报文,则判定该链路为健康状态;
若所述探测端隔离网关接收到预设格式的第二响应报文,则判定该链路为拥塞状态;
若所述探测端隔离网关在设定时间内未收到所述探测报文相应的响应报文,则判定该链路为中断状态。
其中,所述第一响应报文的数据内容为全1(0xFF);所述第二响应报文的数据内容为全0(0x00)。
对于反向隔离装置并联组网的场景,由隔离网关向文件服务器发送探测报文,以确定隔离装置链路的健康状况;
具体过程包括如下:
在隔离网关向各个反向隔离装置的文件服务器发送基于TCP协议的反向探测报文,并在所述隔离网关接收所述文件服务器的响应报文;
若所述隔离网关接收到预设格式的第三响应报文,则判定该链路为健康状态;
若所述隔离网关接收到预设格式的第四响应报文,则判定该链路为拥塞状态;
若所述隔离网关在设定时间内未收到所述反向探测报文相应的响应报文,则判定该链路为中断状态。
其中,所述第三响应报文的数据内容为全1(0xFF);所述第四响应报文的数据内容为全0(0x00)。
作为一个实施例,对于探测报文,其数据段格式如图4所示,整个报文包括IPHeader,TCPHeader,DATA三部分,其中DATA(数据)部分包括:
魔术字(定义为“MagicNum”),用于安全性校验,长度可以为2个字节,可以固定为0xDCBA;
版本号(定义为“Ver”),用于协议后续升级扩展,长度可以为1个字节,版本可以为0x1;
长度值(定义为“Len”),用于表示后续携带私有数据长度信息,长度可以为1个字节,可以为0x5;
数据内容(定义为“Data”),用于承载探测报文内容,长度根据具体报文内容而定,可以为0x53/0x43/0x4f/0x55/0x54,对应字符串“SCOUT”;
校验和(定义为“CheckSum”),用于记录所有数据的CRC校验值,长度可以为2个字节,即CRC(MagicNum+Ver+Len+Data);
在一个实施例中,可以在隔离网关原有的负载均衡算法模块中增加上述基于TCP链路健康探测方法,从而可以满足与隔离装置结合使用场景。
对于链路出现拥塞/中断情况,需要会话表老化算法模块加速老化相关链路业务会话。再根据权重值选择链路来分配业务数据。
本发明的基于隔离装置与隔离网关结合应用的流量分担方法,在隔离装置集群并联的场景下,通过对各个隔离装置设备负载性能的综合评估,在隔离网关上设置各个隔离装置所在链路的权重值,然后在隔离网关转发网络流量时,选择权重值最大的链路进行流量分发,并且各个链路的权重值根据该链路上转发的数据流情况和链路状态动态调整,保证并联隔离装置的带宽能够高效利用,网络流量更合理地分担到不同的隔离装置设备上。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (8)
1.一种基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,包括如下步骤:
S100,设置链路的权重值:
在隔离网关将组网中各个隔离装置所在链路的负载资源进行排序,并依据该排序设定各个链路的权重值;
S200,根据权重值分担数据报文:
在数据报文经过隔离网关时,根据数据报文的基本信息在隔离网关上建立会话表项,选择当前权重值最大的链路,并根据所述会话表项在该链路上创建会话连接,然后转发数据报文;
S300,根据链路状态调整链路权重值:
当链路被选择用于转发数据报文时,将链路的权重值减1,返回步骤S200;
当一个数据报文转发完成后,断开相应的会话连接并删除会话表项,然后将该链路的权重值加1,返回步骤S200;
所述步骤S300还包括:判断当前各个链路的健康状况;
所述步骤S300中的判断当前各个链路的健康状况具体包括:
在探测端隔离网关通过各个正向隔离装置所在的链路向响应端隔离网关发送基于TCP协议的探测报文,并在所述探测端隔离网关接收所述响应端隔离网关的响应报文;
若所述探测端隔离网关接收到预设格式的第一响应报文,则判定该链路为健康状态;
若所述探测端隔离网关接收到预设格式的第二响应报文,则判定该链路为拥塞状态;
若所述探测端隔离网关在设定时间内未收到所述探测报文相应的响应报文,则判定该链路为中断状态。
2.根据权利要求1所述的基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,所述步骤S300还包括:
对所述会话表项进行老化处理,设定各个会话表项的老化时间,其中,所述老化时间由初始值开始持续递减;
定时扫描各个会话表项的老化时间,当老化时间减为0时,则删除该会话表项。
3.根据权利要求1所述的基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于:
当链路断开或拥塞时,将该链路的权重值设置为0,删除该链路上所有的会话表项,并暂停往该链路上分担数据报文,然后重建链路连接;
当断开或拥塞的链路重新恢复连接时,将该链路的权重值设置为初始值,返回步骤S200。
4.根据权利要求1所述的基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,所述第一响应报文的数据内容为全1;所述第二响应报文的数据内容为全0。
5.根据权利要求1所述的基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,所述步骤S300中的判断当前各个链路的健康状况具体包括:
在隔离网关向各个反向隔离装置的文件服务器发送基于TCP协议的反向探测报文,并在所述隔离网关接收所述文件服务器的响应报文;
若所述隔离网关接收到预设格式的第三响应报文,则判定该链路为健康状态;
若所述隔离网关接收到预设格式的第四响应报文,则判定该链路为拥塞状态;
若所述隔离网关在设定时间内未收到所述反向探测报文相应的响应报文,则判定该链路为中断状态。
6.根据权利要求5所述的基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,所述第三响应报文的数据内容为全1;所述第四响应报文的数据内容为全0。
7.根据权利要求1至6任一项所述的基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,所述探测报文的数据段包括:
魔术字,用于安全性校验;
版本号,用于协议后续升级扩展;
长度值,用于表示后续携带私有数据长度信息;
数据内容,用于承载探测报文内容;
校验和,用于记录所有数据的CRC校验值。
8.根据权利要求7所述的基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,所述魔术字的长度为2个字节,所述版本号长度为1个字节,所述长度值的长度为1个字节,所述校验和的长度为2个字节。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210535074.6A CN103117946B (zh) | 2012-12-11 | 2012-12-11 | 基于隔离装置与隔离网关结合应用的流量分担方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210535074.6A CN103117946B (zh) | 2012-12-11 | 2012-12-11 | 基于隔离装置与隔离网关结合应用的流量分担方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103117946A CN103117946A (zh) | 2013-05-22 |
| CN103117946B true CN103117946B (zh) | 2016-06-08 |
Family
ID=48416224
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210535074.6A Active CN103117946B (zh) | 2012-12-11 | 2012-12-11 | 基于隔离装置与隔离网关结合应用的流量分担方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103117946B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685055B (zh) * | 2013-12-25 | 2017-06-16 | 深圳供电局有限公司 | 电力系统跨区隔离数据均衡传输方法及跨区隔离器 |
| CN106375459B (zh) * | 2016-09-12 | 2021-07-16 | 国网江苏省电力公司南京供电公司 | 一种隔离网络内海量数据分析装置及方法 |
| CN108111431B (zh) * | 2016-11-24 | 2021-09-24 | 腾讯科技(北京)有限公司 | 业务数据发送方法、装置、计算设备及计算机可读存储介质 |
| CN106686137B (zh) * | 2017-02-27 | 2019-12-03 | 国家电网公司 | 基于l2数据转发的网络隔离装置负载均衡方法 |
| CN108243107B (zh) * | 2018-01-30 | 2020-11-20 | 盛科网络(苏州)有限公司 | 一种动态调整硬件表项老化周期的方法及装置 |
| CN109450807B (zh) * | 2018-11-28 | 2022-02-22 | 迈普通信技术股份有限公司 | 一种接口选择方法及通信设备 |
| CN109714648B (zh) * | 2018-12-03 | 2021-09-03 | 南方电网科学研究院有限责任公司 | 一种视频流负载均衡方法和装置 |
| CN110417654A (zh) * | 2019-07-30 | 2019-11-05 | 杭州迪普科技股份有限公司 | 最小流量链路调度算法的优化方法和装置 |
| CN110995607A (zh) * | 2019-12-19 | 2020-04-10 | 锐捷网络股份有限公司 | 一种传输流量的方法、装置、网络设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459931A (zh) * | 2008-03-25 | 2009-06-17 | 中兴通讯股份有限公司 | 一种核心网节点之间实现负荷分担的方法 |
| CN101997750A (zh) * | 2009-08-13 | 2011-03-30 | 中兴通讯股份有限公司 | 一种以太网隧道分段保护方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8873399B2 (en) * | 2008-09-03 | 2014-10-28 | Nokia Siemens Networks Oy | Gateway network element, a method, and a group of load balanced access points configured for load balancing in a communications network |
-
2012
- 2012-12-11 CN CN201210535074.6A patent/CN103117946B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459931A (zh) * | 2008-03-25 | 2009-06-17 | 中兴通讯股份有限公司 | 一种核心网节点之间实现负荷分担的方法 |
| CN101997750A (zh) * | 2009-08-13 | 2011-03-30 | 中兴通讯股份有限公司 | 一种以太网隧道分段保护方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 一种面向多安全区的新型调度服务总线互联技术;黄河清等;《电网技术》;20111130;第35卷(第11期);1-4 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103117946A (zh) | 2013-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103117946B (zh) | 基于隔离装置与隔离网关结合应用的流量分担方法 | |
| CN106953788B (zh) | 一种虚拟网络控制器及控制方法 | |
| CN103124290B (zh) | 基于反向隔离装置与隔离网关结合应用的负载均衡方法 | |
| CN100566294C (zh) | 单播反向路径转发方法 | |
| CN105706393B (zh) | 在链路聚合组中支持操作者命令的方法和系统 | |
| WO2011093228A1 (ja) | フロントエンドシステム、フロントエンド処理方法 | |
| CN101106518B (zh) | 为中央处理器提供负载保护的拒绝服务方法 | |
| CN101247353B (zh) | 流老化方法及网络设备 | |
| US9596179B2 (en) | Optimizing private virtual local area networks (VLANS) | |
| CN102394925B (zh) | 远程监测诊断中心与地区调度中心的通讯方法及装置 | |
| WO2013183649A1 (ja) | 通信装置、通信システム、通信方法及びプログラム | |
| CN102882894A (zh) | 一种识别攻击的方法及装置 | |
| CN105471907A (zh) | 一种基于Openflow的虚拟防火墙传输控制方法及系统 | |
| CN103916319A (zh) | Lacp堆叠组网中的链路选择方法和堆叠设备 | |
| CN103124239B (zh) | 基于正向隔离装置与隔离网关结合应用的负载均衡方法 | |
| CN108200199A (zh) | IPV4 over IPV6隧道场景中的负载均衡系统及方法 | |
| CN1152517C (zh) | 防范网络攻击的方法 | |
| CN103124227B (zh) | 正向隔离装置与隔离网关结合应用的链路状态探测方法 | |
| CN102546364A (zh) | 网络数据分流方法及其装置 | |
| US8707100B2 (en) | Testing a network using randomly distributed commands | |
| CN101051961A (zh) | 环回控制方法及装置 | |
| CN101043460B (zh) | 实现多网络处理单元单流转发的设备及方法 | |
| CN1426169A (zh) | 提高接入服务器路由转发可靠性的方法 | |
| WO2010127524A1 (zh) | 基于深度报文检测设备的业务识别网络的管理方法与系统 | |
| Shuaib et al. | Communications in smart grid: A review with performance, reliability and security consideration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |