亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種網(wǎng)絡(luò)安全部署方法和一種網(wǎng)絡(luò)安全設(shè)備的制作方法

文檔序號(hào):7702821閱讀:242來源:國(guó)知局
專利名稱:一種網(wǎng)絡(luò)安全部署方法和一種網(wǎng)絡(luò)安全設(shè)備的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤指一種網(wǎng)絡(luò)安全部署方法和一種網(wǎng)絡(luò) 安全設(shè)備。
背景技術(shù)
隨著網(wǎng)絡(luò)應(yīng)用的深化,網(wǎng)絡(luò)安全變得越來越重要。將網(wǎng)絡(luò)安全融入到網(wǎng) 絡(luò)應(yīng)用和網(wǎng)絡(luò)設(shè)備中,是目前和未來網(wǎng)絡(luò)發(fā)展的必然趨勢(shì)。目前各個(gè)設(shè)備廠 家都推出了在交換機(jī)上部署的防火墻插卡。
通過防火墻插卡,用戶可靈活、迅速地在以太網(wǎng)交換機(jī)當(dāng)中整合防火墻、
虛擬專用網(wǎng)(VPN)等安全功能,實(shí)現(xiàn)網(wǎng)絡(luò)和安全防護(hù)的高度一體化。
目前的防火墻插卡已經(jīng)完全實(shí)現(xiàn)了三層交換機(jī)的轉(zhuǎn)發(fā)機(jī)制,這使得防火 墻可以極靈活地應(yīng)用在現(xiàn)在越來越流行的多層交換網(wǎng)絡(luò)中,同時(shí)又提供了豐 富的安全特性,為用戶網(wǎng)絡(luò)提供安全保護(hù)。其特點(diǎn)如下
a、 將交換機(jī)的轉(zhuǎn)發(fā)和業(yè)務(wù)處理有機(jī)融合在一起,在實(shí)現(xiàn)交換機(jī)的高性 能數(shù)據(jù)轉(zhuǎn)發(fā)的同時(shí),能夠根據(jù)組網(wǎng)的特點(diǎn)處理安全業(yè)務(wù),實(shí)現(xiàn)安全防護(hù)和監(jiān) 控;
b、 防火墻插卡可以提供多個(gè)業(yè)務(wù)口,充分滿足用戶的業(yè)務(wù)擴(kuò)展;通過 內(nèi)部的高速10G以太網(wǎng)接口與交換機(jī)或其他網(wǎng)絡(luò)設(shè)備相連,同時(shí)具有線速 轉(zhuǎn)發(fā)能力,更保證了與業(yè)務(wù)插卡間通暢的數(shù)據(jù)轉(zhuǎn)發(fā);
c、 防火墻插卡都采用了專用多核高性能處理器和高速存儲(chǔ)器,在高速 處理安全業(yè)務(wù)的同時(shí),交換機(jī)的原有業(yè)務(wù)處理不會(huì)受到任何影響;
d、 防火墻插卡定位在內(nèi)網(wǎng)和外網(wǎng)之間,實(shí)現(xiàn)企業(yè)內(nèi)容和intranet, extranet 的安全接入互聯(lián);實(shí)現(xiàn)為基于用戶的業(yè)務(wù)和接入控制,對(duì)各種網(wǎng)絡(luò)攻擊的防范;
e、防火墻插卡可以插在交換機(jī)的任何槽位,并且在一臺(tái)設(shè)備上可以插
入多塊防火墻插卡進(jìn)行性能擴(kuò)展,輕松適應(yīng)不斷升級(jí)的網(wǎng)絡(luò)需求。
在現(xiàn)有的組網(wǎng)中,通過在網(wǎng)絡(luò)設(shè)備上部署兩塊防火墻插卡,并啟用雙機(jī)
熱備功能和虛擬路由器冗余協(xié)議(VRRP)功能,可以提供組網(wǎng)應(yīng)用的高可 靠性。但在此種部署方式中,防火墻插卡多作為主備模式部署,未實(shí)現(xiàn)負(fù)載 分擔(dān),硬件利用率不高。要實(shí)現(xiàn)業(yè)務(wù)的負(fù)載分擔(dān),防火墻插卡需作為服務(wù)器 網(wǎng)關(guān)設(shè)備,并配置多組VRRP虛地址作為服務(wù)器網(wǎng)關(guān)地址,服務(wù)器基于不同 的網(wǎng)管將流量分擔(dān)到不同的防火墻插卡上。如果防火墻插卡不作為服務(wù)器的 網(wǎng)關(guān)設(shè)備,則只能通過路由設(shè)計(jì)來滿足負(fù)載分擔(dān)的需求,即為了每個(gè)防火墻 插卡分別配置IP地址,將不同的業(yè)務(wù)流分擔(dān)到不同IP地址的防火墻插卡。
現(xiàn)有的方法只能通過配置多網(wǎng)關(guān)的方式或通過路由設(shè)計(jì)的方式簡(jiǎn)單地 實(shí)現(xiàn)流量的負(fù)載分擔(dān),該負(fù)載分擔(dān)需要人為設(shè)計(jì)且只能基于IP地址段,嚴(yán) 格來說不是真正意義上的負(fù)載分擔(dān),由此帶來的問題就是業(yè)務(wù)區(qū)分方式不靈 活,組網(wǎng)限制大,分擔(dān)流量不均勻,配置復(fù)雜等。現(xiàn)有的方法只能實(shí)現(xiàn)雙防 火墻插卡的熱備份功能,缺乏可擴(kuò)展性,即當(dāng)三個(gè)或三個(gè)以上的防火墻插卡 之間實(shí)現(xiàn)負(fù)載分擔(dān)時(shí),不能實(shí)現(xiàn)熱備份功能。此外,將防火墻插卡部署為服 務(wù)器網(wǎng)關(guān)的方式缺乏靈活性,而通過路由設(shè)計(jì)實(shí)現(xiàn)負(fù)載分擔(dān)的方式在實(shí)際部 署中配置復(fù)雜。

發(fā)明內(nèi)容
本發(fā)明提供了一種網(wǎng)絡(luò)安全部署方法,該方法能夠在多個(gè)防火墻插卡之 間實(shí)現(xiàn)均勻的負(fù)載分擔(dān)和熱備份功能,且組網(wǎng)靈活、配置筒單。
本發(fā)明還提供了 一種網(wǎng)絡(luò)安全設(shè)備,該設(shè)備能夠在多個(gè)防火墻插卡之間 實(shí)現(xiàn)均勻的負(fù)載分擔(dān)和熱備份功能,且組網(wǎng)靈活、配置簡(jiǎn)單。
為達(dá)到上述目的,本發(fā)明的技術(shù)方案具體是這樣實(shí)現(xiàn)的
本發(fā)明公開了一種網(wǎng)絡(luò)安全部署方法,該方法包括將交換設(shè)備中的多個(gè)防火墻插卡組成一個(gè)集群,在集群中選舉一個(gè)防火
墻插卡作為主防火墻插卡,則其他防火墻插卡為從防火墻插卡;
主防火墻插卡對(duì)集群中的所有防火墻插卡實(shí)現(xiàn)配置信息的同步以及業(yè) 務(wù)狀態(tài)信息的同步;
將集群中的各個(gè)防火墻插卡的各業(yè)務(wù)端口,聚合成一個(gè)聚合端口組,并 在聚合端口組上配置負(fù)載分擔(dān)算法,使得進(jìn)入集群的業(yè)務(wù)流量在集群的各防 火墻插卡之間實(shí)現(xiàn)負(fù)載分擔(dān);
其中,所述交換設(shè)備為交換機(jī)或堆疊交換機(jī)。
本發(fā)明還公開了一種網(wǎng)絡(luò)安全設(shè)備,該設(shè)備包括多個(gè)防火墻插卡,且該 多個(gè)防火墻插卡組成一個(gè)集群;
集群中的各防火墻插卡,用于選舉一個(gè)防火墻插卡作為主防火墻插卡, 則其他防火墻插卡為從防火墻插卡;
集群中的主防火墻插卡,用于對(duì)集群中的所有防火墻插卡實(shí)現(xiàn)配置信息 的同步以及業(yè)務(wù)狀態(tài)信息的同步;
集群中的各個(gè)防火墻插卡的各業(yè)務(wù)端口,被聚合成一個(gè)聚合端口組;并 在聚合端口組上配置有負(fù)載分擔(dān)算法,使得進(jìn)入集群的業(yè)務(wù)流量在集群的各 防火墻插卡之間實(shí)現(xiàn)負(fù)載分擔(dān)。
由上述技術(shù)方案可見,本發(fā)明這種將多個(gè)防火墻插卡組成一個(gè)集群,在 集群中選舉一個(gè)防火墻插卡作為主防火墻插卡,則其他防火墻插卡為從防火 墻插卡;主防火墻插卡對(duì)集群中的所有防火墻插卡實(shí)現(xiàn)配置信息的同步以及 業(yè)務(wù)狀態(tài)信息的同步;將集群中的各個(gè)防火墻插卡的各業(yè)務(wù)端口,聚合成一 個(gè)聚合端口組,并在聚合端口組上配置負(fù)載分擔(dān)算法,使得進(jìn)入集群的業(yè)務(wù) 流量在集群的各防火墻插卡之間實(shí)現(xiàn)負(fù)載分擔(dān)是技術(shù)方案,能夠在多個(gè)防火 墻插卡之間實(shí)現(xiàn)均勻的負(fù)載分擔(dān)和熱備份功能,且組網(wǎng)靈活、配置簡(jiǎn)單。


圖1是本發(fā)明實(shí)施例中的多個(gè)防火墻插卡形成集群的示意圖;圖2是本發(fā)明實(shí)施例中master選舉完成后的集群系統(tǒng)示意圖; 圖3是本發(fā)明實(shí)施例中在防火墻集群上實(shí)現(xiàn)負(fù)載分擔(dān)的示意圖; 圖4是本發(fā)明實(shí)施例中防火墻插卡集群實(shí)現(xiàn)業(yè)務(wù)處理的示意圖; 圖5是本發(fā)明實(shí)施例中的故障處理機(jī)制的示意圖; 圖6是本發(fā)明實(shí)施例中在堆疊交換機(jī)上部署防火墻插卡集群的示意圖; 圖7是本發(fā)明實(shí)施例中在堆疊交換機(jī)上部署多組防火墻插卡集群的示 意圖。
具體實(shí)施例方式
本發(fā)明的核心思想是多個(gè)防火墻插卡通過配置集群形成一個(gè)虛擬的防 火墻設(shè)備,實(shí)現(xiàn)統(tǒng)一管理;并且各防火墻插卡的各業(yè)務(wù)端口通過聚合,實(shí)現(xiàn) 負(fù)載分擔(dān)。
總體來說本發(fā)明的技術(shù)方案包括以下技術(shù)關(guān)鍵點(diǎn) (1)將交換設(shè)備中的多個(gè)防火墻插卡組成一個(gè)集群,在集群中選舉一 個(gè)防火墻插卡作為主防火墻插卡,則其他防火墻插卡為從防火墻插卡;所述 交換設(shè)備可以是獨(dú)立的 一 臺(tái)交換機(jī),也可以是包括多臺(tái)交換的堆疊交換機(jī); (2 )主防火墻插卡對(duì)集群中的所有防火墻插卡實(shí)現(xiàn)配置信息的同步以 及業(yè)務(wù)狀態(tài)信息的同步;
(3)將集群中的各個(gè)防火墻插卡的各業(yè)務(wù)端口,聚合成一個(gè)聚合端口 組,并在聚合端口組上配置負(fù)載分擔(dān)算法,使得進(jìn)入集群的業(yè)務(wù)流量在集群 的各防火墻插卡之間實(shí)現(xiàn)負(fù)載分擔(dān)。
為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下參照附圖并舉 實(shí)施例,對(duì)本發(fā)明進(jìn)一步詳細(xì)說明。 一、配置集群 1、采用心跳線連接-
在本發(fā)明實(shí)施例中用心跳線連接各防火墻插卡的管理口 ,將多個(gè)防火墻 插卡串聯(lián)成一個(gè)環(huán),形成集群。圖l是本發(fā)明實(shí)施例中的多個(gè)防火墻插卡形成集群的示意圖。如圖l所 示,以三個(gè)防火墻插卡組成集群為例進(jìn)行了說明。其中,用黑色的正方形框 表示防火墻插卡的管理口 ,用灰色的長(zhǎng)方形框表示防火墻插卡的業(yè)務(wù)端口。 可見,本實(shí)施例中在每個(gè)防火墻插卡上都選擇兩個(gè)管理口 ,用心跳線進(jìn)行串 聯(lián),形成一個(gè)環(huán)。
2、主防火墻插卡(master)的選舉
在集群環(huán)境中,每個(gè)防火墻插卡都可以通過與自己直接連接的其他成員 防火墻插卡之間交互HOLLE報(bào)文來收集整個(gè)集群的基本信息。HOLLE報(bào) 文是集群協(xié)議中報(bào)文,是現(xiàn)有技術(shù),這里不再介紹。
初始化狀態(tài)下,集群中的每一防火墻插卡只記錄了自己的基本信息,包 括集群端口的連接關(guān)系(即連接心跳線的管理口之間的連接關(guān)系)、管理 口 IP地址、系統(tǒng)橋MAC地址、優(yōu)先級(jí)信息和系統(tǒng)標(biāo)識(shí)等。每個(gè)防火墻插卡 都將自身的基本信息攜帶在HELLO報(bào)文中,并通過心線發(fā)送給集群中的其 他防火墻插卡,這樣每個(gè)防火墻插卡都能收集到集群中的所有防火墻插卡的 基本信息。
具體來說,當(dāng)防火墻插卡配置了集群且集群端口終端為"up"時(shí),集群 中個(gè)每個(gè)防火墻插卡都將自身的基本信息攜帶在HELLO報(bào)文中,并周期性 地從"up"狀態(tài)的集群端口發(fā)送出去。集群中防火墻插卡收到鄰居的HOLLE 報(bào)文后,更新本地記錄相關(guān)基本信息。經(jīng)過一段時(shí)間的收集,所有的防火墻 插卡上都會(huì)收集到完整的集群基本信息。
然后,每個(gè)防火墻插卡根據(jù)集群中的所有防火墻插卡的基本信息,確定 自身是主防火墻插卡還是從防火墻插卡。其中,每個(gè)防火墻插卡判斷,自身 的管理口 IP地址/系統(tǒng)橋MAC地址/優(yōu)先級(jí)信息/系統(tǒng)標(biāo)識(shí),在集群中是否是 最大/小值;是則,確定自身是主防火墻插卡;否則,確定自身是從防火墻 插卡。 例如,每個(gè)防火墻插卡都判斷在所有防火墻插卡的管理口 IP地址中, 自身的管理口 IP地址是否是最大的,是則確定自身是主防火墻插卡,在集群中是master角色,否則確定自身是從防火墻插卡,在集群中是slave角色。 再或者,每個(gè)防火墻插卡都判斷在所有防火墻插卡的優(yōu)先級(jí)中,自身的優(yōu)先 級(jí)是否是最高的,是則確定自身是主防火墻插卡,否則確定自身是從防火墻 插卡。以此類推。
圖2是本發(fā)明實(shí)施例中master選舉完成后的集群系統(tǒng)示意圖。
二、配置信息以及業(yè)務(wù)狀態(tài)信息的同步
在本發(fā)明實(shí)施例中,由master管理和控制整個(gè)集群系統(tǒng),并且maste 和各slave保持配置信息和業(yè)務(wù)狀態(tài)信息的同步。當(dāng)maste故障時(shí),集群系 統(tǒng)將選擇一個(gè)salve作為新的master,從而提供了高可靠性。
在本發(fā)明實(shí)施例中,由作為master的主防火墻插卡對(duì)集群中的所有防 火墻插卡實(shí)現(xiàn)配置信息的同步以及業(yè)務(wù)狀態(tài)信息的同步。
1、配置信息的同步
通過集群連接形成的這臺(tái)虛擬防火墻設(shè)備在管理上可以看作是單一實(shí) 體,用戶可以使用Console 口、 Telnet方式或者WEB頁(yè)面登錄到集群中的 任意一個(gè)防火墻插卡,都可以對(duì)整個(gè)集群系統(tǒng)進(jìn)行管理和配置。
主防火墻插卡作為集群系統(tǒng)的管理核心,負(fù)責(zé)響應(yīng)用戶的登錄請(qǐng)求,即 用戶無論使用什么方式,通過哪個(gè)成員登錄,最終都是對(duì)主防火墻插卡進(jìn)行 配置,再有主防火墻插卡負(fù)責(zé)將用戶的配置信息下發(fā)給各個(gè)從防火墻插卡。 這種方式可以使集群內(nèi)的各個(gè)成員的配置保持高度統(tǒng)一。
當(dāng)主防火墻插卡的配置信息變化時(shí),通過心跳線,將變化的配置信息同 步給集群中的其他成員防火墻插卡。配置信息的同步通過主防火墻插卡的設(shè) 備增量觸發(fā),這樣可以避免在配置信息沒有變化的情況下進(jìn)行同步處理,進(jìn)
而浪費(fèi)集群系統(tǒng)資源。 配置信息主要包括
A、 命令行接口 (CLI, Command Line Interface )方式下的配置信息; 上述的Console 口和Telnet方式都屬于命令行接口方式;
B、 WEB方式下的配置信息。2、業(yè)務(wù)狀態(tài)信息的同步
在本發(fā)明實(shí)施例中,每個(gè)從防火墻插卡將自身的業(yè)務(wù)狀態(tài)信息周期性地 上報(bào)給主防火墻插卡,由主防火墻插卡將從防火墻插卡上報(bào)的業(yè)務(wù)狀態(tài)信息 通過心跳線發(fā)送給集群中的所有防火墻插卡;此外,主防火墻插卡周期性地 將自身的業(yè)務(wù)狀態(tài)信息通過心跳線發(fā)送給集群中的所有防火墻插卡。
上述周期應(yīng)該保持在一個(gè)較短的時(shí)間內(nèi),以保證業(yè)務(wù)狀態(tài)信息的實(shí)時(shí)性。
需要同步的業(yè)務(wù)狀態(tài)信息包括但不限于如下幾種網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT) 業(yè)務(wù)狀態(tài)信息、應(yīng)用層的包過濾(ASPF)業(yè)務(wù)狀態(tài)信息、攻擊防范業(yè)務(wù)狀 態(tài)信息、防火墻包過濾業(yè)務(wù)狀態(tài)信息、安全流量統(tǒng)計(jì)業(yè)務(wù)狀態(tài)信息、面向?qū)?象業(yè)務(wù)狀態(tài)信息以及路由轉(zhuǎn)發(fā)表項(xiàng)業(yè)務(wù)狀態(tài)信息等。
上述配置信息和業(yè)務(wù)狀態(tài)信息的同步,可以保證集群中的某個(gè)防火墻插 卡故障時(shí),由集群中其他的防火墻插卡順利接管該故障防火墻插卡的業(yè)務(wù)。
三、 配置聚合端口組
在本發(fā)明實(shí)施例中,將集群中的各個(gè)防火墻插卡的各業(yè)務(wù)端口,聚合成 一個(gè)聚合端口組,并在聚合端口組上配置負(fù)載分擔(dān)算法,使得進(jìn)入集群的業(yè) 務(wù)流量在集群的各防火墻插卡之間實(shí)現(xiàn)負(fù)載分擔(dān)。
圖3是本發(fā)明實(shí)施例中在防火墻集群上實(shí)現(xiàn)負(fù)栽分擔(dān)的示意圖。如圖3 所示,用橢圓形表示聚合端口組,不同的用戶業(yè)務(wù)流量通過交換機(jī)后被分擔(dān) 到不同的防火墻插卡,分擔(dān)的實(shí)現(xiàn)基于聚合端口的HASH算法完成。即業(yè)務(wù) 流的負(fù)載分擔(dān)是基于標(biāo)準(zhǔn)的動(dòng)態(tài)鏈路聚合方式實(shí)現(xiàn)的,業(yè)務(wù)流的分類可以基 于數(shù)據(jù)包的IP地址和端口號(hào)等五元組進(jìn)行HASH計(jì)算,保證流量分擔(dān)的一 致性。
四、 集群中的防火墻插卡獨(dú)立完成各自的防御功能
圖4是本發(fā)明實(shí)施例中防火墻插卡集群實(shí)現(xiàn)業(yè)務(wù)處理的示意圖。如圖4 所示,集群中的各防火墻插卡獨(dú)立完成各種防御工作,即每個(gè)防火墻插卡將 處理后的數(shù)據(jù)流仍通過本插卡的接口返回給交換機(jī)。各防火墻插卡獨(dú)立完成的防御工作包括代理(虛假源分析)、非法包 判斷、攻擊檢測(cè)等。但檢測(cè)和過濾的相關(guān)信息需要通過主防火墻插卡利用集 群鏈路(即心跳線)在各成員防火墻插卡之間進(jìn)行實(shí)時(shí)同步。
可見,在本發(fā)明實(shí)施例中,防火墻插卡之間的集群鏈路僅用于傳遞集群 相關(guān)的控制報(bào)文和需要同步的各種信息,而不承載用戶業(yè)務(wù)流量。
五、 故障處理機(jī)制
(1) 當(dāng)集群中的主防火墻插卡發(fā)生故障時(shí),從集群中的非故障防火墻 插卡中重新選舉一個(gè)防火墻插卡作為主防火墻插卡,且發(fā)生故障的防火墻插 卡上業(yè)務(wù)切換到集群中的非故障防火墻插卡上;
(2) 當(dāng)集群中的從防火墻插卡發(fā)生故障時(shí),該發(fā)生故障的從防火墻插 卡上業(yè)務(wù)切換到集群中的非故障防火墻插卡上。
由于,集群中的個(gè)防火墻插卡之間實(shí)現(xiàn)了配置信息和業(yè)務(wù)狀態(tài)信息的同 步,因此故障防火墻插卡到非故障防火墻插卡的業(yè)務(wù)切換可以順利執(zhí)行。
可見,在本發(fā)明的方案中,集群中的各防火墻插卡之間都可以實(shí)現(xiàn)熱備 份的功能。
圖5是本發(fā)明實(shí)施例中的故障處理機(jī)制的示意圖。參見圖5,當(dāng)集群中 的主防火墻插卡發(fā)生故障時(shí),原來的一個(gè)從防火墻被選舉為新的主防火期插 卡,并且發(fā)生故障的原主防火墻插卡上業(yè)務(wù)切換到了新的主防火墻插卡上。 由于新的主防火墻插卡同步了原主防火墻插卡上的業(yè)務(wù)狀態(tài)信息,因此業(yè)務(wù) 的切換可以保證業(yè)務(wù)不中斷,大大提高了設(shè)備的可靠性。
六、 防火墻插卡集群在堆疊交換機(jī)上的應(yīng)用
目前交換機(jī)堆疊技術(shù)在組網(wǎng)中的應(yīng)用越來越廣泛,核心或匯聚交換機(jī)經(jīng) 過堆疊后虛擬為 一 臺(tái)獨(dú)立的交換機(jī),但在現(xiàn)有技術(shù)中堆疊中的各交換機(jī)上的 部署的防火墻插卡仍然工作在獨(dú)立運(yùn)行模式或者雙機(jī)熱備模式,因此防火墻 插卡的整合性和擴(kuò)展性都不高,且不能滿足對(duì)組網(wǎng)靈活部署的要求。 在本發(fā)明中的防火墻插卡集群可以直接應(yīng)用于堆疊交換機(jī)上。 圖6是本發(fā)明實(shí)施例中在堆疊交換機(jī)上部署防火墻插卡集群的示意圖。如圖6所示,在配置了堆疊的交換機(jī)上,多臺(tái)物理交換機(jī)被虛擬為一臺(tái)堆疊 交換機(jī),堆疊交換機(jī)提供統(tǒng)一的管理和數(shù)據(jù)業(yè)務(wù)。在本實(shí)施例中,將不同堆 疊成員交換機(jī)上的防火墻插卡部署為集群模式,并且該集群以本發(fā)明的上述 實(shí)施例中所述的模式工作。即堆疊中的多臺(tái)交換機(jī)對(duì)外表現(xiàn)為 一 臺(tái)虛擬交換 機(jī),而集群中的防火墻插卡其實(shí)表現(xiàn)為部署在該虛擬交換機(jī)上,因此這種部 署方式可以實(shí)現(xiàn)防火墻插卡的跨設(shè)備集群,從而實(shí)現(xiàn)與交換機(jī)堆疊的無縫融 合。
圖7是本發(fā)明實(shí)施例中在堆疊交換機(jī)上部署多組防火墻插卡集群的示 意圖。如圖7所示,在同一堆疊交換機(jī)上部署了 A、 B兩組防火墻插卡集群, 兩組防火墻插卡集群分別按照本發(fā)明上述實(shí)施例中所述的模式工作。這種方 式提供了更大的組網(wǎng)靈活性。
在圖7中,可以釆用任意一種策略將進(jìn)入堆疊交換機(jī)的業(yè)務(wù)流分配到A、 B兩組。例如,將某一類型的業(yè)務(wù)流分配給A組,而將其他的所有業(yè)務(wù)流分 配給B組等。
通過上述實(shí)施例可以看出,本發(fā)明實(shí)施例中部署防火墻集群的技術(shù)方 案,能夠在多防火墻插卡之間實(shí)現(xiàn)負(fù)載分擔(dān),保證了業(yè)務(wù)流量的均勻分擔(dān), 有效提高了防火墻插卡的效率。集群中由主防火墻插卡實(shí)現(xiàn)統(tǒng)一集中式管理 的方案,簡(jiǎn)化了集群中的各防火墻插卡的配置和部署的復(fù)雜度,提高了多防 火墻插卡的管理效率。集群中各防火墻插卡通過同步配置信息和業(yè)務(wù)狀態(tài)信 息,進(jìn)而使得各防火墻插卡之間互為備份,提高了可靠性。
此外,現(xiàn)有的防火墻插卡負(fù)載分擔(dān)方式只能局限于三層路由模式,即需 要為獨(dú)立的各防火墻插卡分別配置IP地址,將不同的業(yè)務(wù)流路由到不同IP 地址的防火墻插卡,實(shí)現(xiàn)負(fù)載分擔(dān)。現(xiàn)有的防火墻插卡負(fù)載分擔(dān)方式不能應(yīng) 用于二層轉(zhuǎn)發(fā)模式,否則會(huì)出現(xiàn)環(huán)路,這是因?yàn)樵诙愚D(zhuǎn)發(fā)模式下,每個(gè) 防火墻插卡上的業(yè)務(wù)出入端口都沒有配置IP地址,不同的業(yè)務(wù)流被分發(fā)到 不同MAC地址的防火墻插卡,而各防火墻插卡的對(duì)應(yīng)業(yè)務(wù)端口是屬于相同 VLAN的, 一旦出現(xiàn)廣播流(沒有查找到湘應(yīng)的下一跳MAC時(shí)會(huì)廣播數(shù)據(jù)),則廣播流會(huì)在各防火墻插卡之間形成環(huán)路。
而本發(fā)明的方法則不受此限制,由于在本發(fā)明中,集群中的各個(gè)業(yè)務(wù)端 口聚合成一個(gè)聚合端口組,對(duì)外表現(xiàn)為一個(gè)邏輯端口,因此即可以為該邏輯 端口分配IP地址,將業(yè)務(wù)流基于三層路由模式轉(zhuǎn)發(fā)到該邏輯端口 ,也可以 不為該邏輯端口分配IP地址,將業(yè)務(wù)流基于二層透明模式轉(zhuǎn)發(fā)到該邏輯端 口 。轉(zhuǎn)發(fā)該邏輯端口的業(yè)務(wù)流再根據(jù)聚合端口固有的負(fù)載分擔(dān)算法在各個(gè)物 理端口之間實(shí)現(xiàn)負(fù)載分擔(dān)。因此本發(fā)明中的防火墻集群即支持三層路由模 式,也支持二層透明模式。
基于上述實(shí)施例給出本發(fā)明中的一種網(wǎng)絡(luò)安全設(shè)備的組成結(jié)構(gòu)框圖。關(guān)
于下面的描述可以參考圖3或圖4。
本發(fā)發(fā)明實(shí)施例中的一種網(wǎng)絡(luò)安全設(shè)備包括多個(gè)防火墻插卡,且該多 個(gè)防火墻插卡組成一個(gè)集群;
集群中的各防火墻插卡,用于選舉一個(gè)防火墻插卡作為主防火墻插卡, 則其他防火墻插卡為從防火墻插卡;
集群中的主防火墻插卡,用于對(duì)集群中的所有防火墻插卡實(shí)現(xiàn)配置信息 的同步以及業(yè)務(wù)狀態(tài)信息的同步;
集群中的各個(gè)防火墻插卡的各業(yè)務(wù)端口,被聚合成一個(gè)聚合端口組;并 在聚合端口組上配置有負(fù)載分擔(dān)算法,使得進(jìn)入集群的業(yè)務(wù)流量在集群的各 防火墻插卡之間實(shí)現(xiàn)負(fù)載分擔(dān)。
在所述網(wǎng)絡(luò)安全設(shè)備中,所述多個(gè)防火墻插卡的管理口通過心跳連接, 使得多個(gè)防火墻串聯(lián)成一個(gè)環(huán),形成集群。
在所述網(wǎng)絡(luò)安全設(shè)備中,集群中的每個(gè)防火墻插卡,用于將自身的基本 信息攜帶在HELLO報(bào)文中,并通過心線發(fā)送給集群中的其他防火墻插卡; 用于根據(jù)集群中的所有防火墻插卡的基本信息,確定自身是主防火墻插卡或 從防火墻插卡。
在所述網(wǎng)絡(luò)安全設(shè)備中,所述基本信息包括集群端口的連接關(guān)系、管 理口 IP地址、系統(tǒng)橋MAC地址、優(yōu)先級(jí)信息和系統(tǒng)標(biāo)識(shí);集群中每個(gè)防火墻插卡,用于判斷自身的管理口 IP地址/系統(tǒng)橋MAC 地址/優(yōu)先級(jí)信息/系統(tǒng)標(biāo)識(shí),在集群中是否是最大/小值,是則,確定自身是 主防火墻插卡,否則,確定自身是從防火墻插卡。
在所述網(wǎng)絡(luò)安全設(shè)備中,主防火墻插卡,用于將配置信息通過心跳線發(fā) 送給集群中的所有防火墻插卡;其中,配置信息包括命令行接口 CLI配置 信息和環(huán)^^網(wǎng)WEB配置信息。
在所述網(wǎng)絡(luò)安全設(shè)備中,每個(gè)從防火墻插卡,用于將自身的業(yè)務(wù)狀態(tài)信 息周期性地上報(bào)給主防火墻插卡;主防火墻插卡,用于將從防火墻插卡上報(bào) 的業(yè)務(wù)狀態(tài)信息通過心跳線發(fā)送給集群中的所有防火墻插卡;并用于周期性 地將自身的業(yè)務(wù)狀態(tài)信息通過心跳線發(fā)送給集群中的所有防火墻插卡。
在所述網(wǎng)絡(luò)安全設(shè)備中,當(dāng)主防火墻插卡發(fā)生故障時(shí),集群中各非故障 防火墻插卡重新選舉一個(gè)防火墻插卡作為主防火墻插卡,且發(fā)生故障的防火 墻插卡上業(yè)務(wù)切換到集群中的非故障防火墻插卡上;當(dāng)從防火墻插卡發(fā)生故 障時(shí),該發(fā)生故障的從防火墻插卡上業(yè)務(wù)切換到集群中的非故障防火墻插卡 上。
綜上所述,本發(fā)明實(shí)施例中的這種將多個(gè)防火墻插卡組成一個(gè)集群,在 集群中選舉一個(gè)防火墻插卡作為主防火墻插卡,則其他防火墻插卡為從防火 墻插卡;主防火墻插卡對(duì)集群中的所有防火墻插卡實(shí)現(xiàn)配置信息的同步以及 業(yè)務(wù)狀態(tài)信息的同步;將集群中的各個(gè)防火墻插卡的各業(yè)務(wù)端口,聚合成一 個(gè)聚合端口組,并在聚合端口組上配置負(fù)載分擔(dān)算法,使得進(jìn)入集群的業(yè)務(wù)
流量在集群的各防火墻插卡之間實(shí)現(xiàn)負(fù)載分擔(dān)是技術(shù)方案,能夠在多個(gè)防火 墻插卡之間實(shí)現(xiàn)均勻的負(fù)載分擔(dān),且組網(wǎng)靈活、配置簡(jiǎn)單。
以上所述,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù) 范圍,凡在本發(fā)明的精神和原則之內(nèi)所做的任何修改、等同替換、改進(jìn)等, 均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1、一種網(wǎng)絡(luò)安全部署方法,其特征在于,該方法包括將交換設(shè)備中的多個(gè)防火墻插卡組成一個(gè)集群,在集群中選舉一個(gè)防火墻插卡作為主防火墻插卡,則其他防火墻插卡為從防火墻插卡;主防火墻插卡對(duì)集群中的所有防火墻插卡實(shí)現(xiàn)配置信息的同步以及業(yè)務(wù)狀態(tài)信息的同步;將集群中的各個(gè)防火墻插卡的各業(yè)務(wù)端口,聚合成一個(gè)聚合端口組,并在聚合端口組上配置負(fù)載分擔(dān)算法,使得進(jìn)入集群的業(yè)務(wù)流量在集群的各防火墻插卡之間實(shí)現(xiàn)負(fù)載分擔(dān);其中,所述交換設(shè)備為交換機(jī)或堆疊交換機(jī)。
2、 如權(quán)利要求l所述的方法,其特征在于,所述將多個(gè)防火墻插卡組成一個(gè)集群包括用心跳線連接各防火墻插卡 的管理口,將多個(gè)防火墻插卡串聯(lián)成一個(gè)環(huán),形成集群;所述在集群中選舉一個(gè)防火墻插卡作為主防火墻插卡包括每個(gè)防火墻 插卡都將自身的基本信息攜帶在HELLO報(bào)文中,并通過心線發(fā)送給集群中 的其他防火墻插卡;每個(gè)防火墻插卡根據(jù)集群中的所有防火墻插卡的基本信 息,確定自身是主防火墻插卡或從防火墻插卡。
3、 如權(quán)利要求2所述的方法,其特征在于,所述基本信息包括集群端口的連接關(guān)系、管理口 IP地址、系統(tǒng)橋MAC 地址、優(yōu)先級(jí)信息和系統(tǒng)標(biāo)識(shí);所述每個(gè)防火墻插卡根據(jù)集群中的所有防火墻插卡的基本信息,確定自 身是主防火墻插卡或從防火墻插卡包括每個(gè)防火墻插卡判斷,自身的管理 口 IP地址/系統(tǒng)橋MAC地址/優(yōu)先級(jí)信息/系統(tǒng)標(biāo)識(shí),在集群中是否是最大/ 小值;是則,確定自身是主防火墻插卡;否則,確定自身是從防火墻插卡。
4、 如權(quán)利要求2所述的方法,其特征在于,所述主防火墻插卡對(duì)集群 中的所有防火墻插卡實(shí)現(xiàn)業(yè)務(wù)狀態(tài)信息的同步包括每個(gè)從防火墻插卡將自身的業(yè)務(wù)狀態(tài)信息周期性地上報(bào)給主防火墻插卡;主防火墻插卡將從防火墻插卡上報(bào)的業(yè)務(wù)狀態(tài)信息通過心跳線發(fā)送給集群中的所有防火墻插卡;主防火墻插卡周期性地將自身的業(yè)務(wù)狀態(tài)信息通過心跳線發(fā)送給集群中的所有防火墻插卡。
5、 如權(quán)利要求1至4中任一項(xiàng)所述的方法,其特征在于,該方法進(jìn)一步包括當(dāng)主防火墻插卡發(fā)生故障時(shí),從集群中的非故障防火墻插卡中重新選舉一個(gè)防火墻插卡作為主防火墻插卡,且發(fā)生故障的防火墻插卡上業(yè)務(wù)切換到集群中的非故障防火墻插卡上;當(dāng)從防火墻插卡發(fā)生故障時(shí),該發(fā)生故障的從防火墻插卡上業(yè)務(wù)切換到集群中的非故障防火墻插卡上。
6、 一種網(wǎng)絡(luò)安全設(shè)備,其特征在于,該設(shè)備包括多個(gè)防火墻插卡,且該多個(gè)防火墻插卡組成一個(gè)集群;集群中的各防火墻插卡,用于選舉一個(gè)防火墻插卡作為主防火墻插卡,則其他防火墻插卡為從防火墻插卡;集群中的主防火墻插卡,用于對(duì)集群中的所有防火墻插卡實(shí)現(xiàn)配置信息的同步以及業(yè)務(wù)狀態(tài)信息的同步;集群中的各個(gè)防火墻插卡的各業(yè)務(wù)端口,被聚合成一個(gè)聚合端口組;并在聚合端口組上配置有負(fù)載分擔(dān)算法,使得進(jìn)入集群的業(yè)務(wù)流量在集群的各防火墻插卡之間實(shí)現(xiàn)負(fù)載分擔(dān)。
7、 如權(quán)利要求6所述的設(shè)備,其特征在于,所述多個(gè)防火墻插卡的管理口通過心跳連接,使得多個(gè)防火墻串聯(lián)成一個(gè)環(huán),形成集群;集群中的每個(gè)防火墻插卡,用于將自身的基本信息攜帶在HELLO報(bào)文中,并通過心線發(fā)送給集群中的其他防火墻插卡;用于根據(jù)集群中的所有防火墻插卡的基本信息,確定自身是主防火墻插卡或從防火墻插卡。
8、 如權(quán)利要求7所述的設(shè)備,其特征在于,所述基本信息包括集群端口的連接關(guān)系、管理口 IP地址、系統(tǒng)橋MAC地址、優(yōu)先級(jí)信息和系統(tǒng)標(biāo)識(shí);集群中每個(gè)防火墻插卡,用于判斷自身的管理口 IP地址/系統(tǒng)橋MAC地址/優(yōu)先級(jí)信息/系統(tǒng)標(biāo)識(shí),在集群中是否是最大/小值,是則,確定自身是主防火墻插卡,否則,確定自身是從防火墻插卡。
9、 如權(quán)利要求7所述的設(shè)備,其特征在于,每個(gè)從防火墻插卡,用于將自身的業(yè)務(wù)狀態(tài)信息周期性地上報(bào)給主防火墻插卡;主防火墻插卡,用于將從防火墻插卡上報(bào)的業(yè)務(wù)狀態(tài)信息通過心跳線發(fā)送給集群中的所有防火墻插卡;并用于周期性地將自身的業(yè)務(wù)狀態(tài)信息通過心跳線發(fā)送給集群中的所有防火墻插卡。
10、 如權(quán)利要求6至9中任一項(xiàng)所述的設(shè)備,其特征在于,當(dāng)主防火墻插卡發(fā)生故障時(shí),集群中各非故障防火墻插卡重新選舉一個(gè)防火墻插卡作為主防火墻插卡,且發(fā)生故障的防火墻插卡上業(yè)務(wù)切換到集群中的非故障防火墻插卡上;當(dāng)從防火墻插卡發(fā)生故障時(shí),該發(fā)生故障的從防火墻插卡上業(yè)務(wù)切換到集群中的非故障防火墻插卡上。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)安全部署方法,包括將多個(gè)防火墻插卡組成一個(gè)集群,在集群中選舉一個(gè)防火墻插卡作為主防火墻插卡,則其他防火墻插卡為從防火墻插卡;主防火墻插卡對(duì)集群中的所有防火墻插卡實(shí)現(xiàn)配置信息的同步以及業(yè)務(wù)狀態(tài)信息的同步;將集群中的各個(gè)防火墻插卡的各業(yè)務(wù)端口,聚合成一個(gè)聚合端口組,并在聚合端口組上配置負(fù)載分擔(dān)算法,使得進(jìn)入集群的業(yè)務(wù)流量在集群的各防火墻插卡之間實(shí)現(xiàn)負(fù)載分擔(dān)。本發(fā)明還公開了一種網(wǎng)絡(luò)安全設(shè)備。本發(fā)明的技術(shù)方案能夠在多個(gè)防火墻插卡之間實(shí)現(xiàn)均勻的負(fù)載分擔(dān),且組網(wǎng)靈活、配置簡(jiǎn)單。
文檔編號(hào)H04L29/06GK101651680SQ20091009264
公開日2010年2月17日 申請(qǐng)日期2009年9月14日 優(yōu)先權(quán)日2009年9月14日
發(fā)明者馬永華 申請(qǐng)人:杭州華三通信技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1