專利名稱:利用ipsec實現(xiàn)負(fù)載分擔(dān)的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域�,特別是涉及一種利用IPSEC實現(xiàn)負(fù)載分擔(dān)的方法及系統(tǒng)。
背景技術(shù):
當(dāng)前網(wǎng)絡(luò)設(shè)備大多帶IPSEC功能和流量負(fù)載分擔(dān)功能�����。接口流量負(fù)載分擔(dān)通常將目的地址相同的數(shù)據(jù)流以負(fù)載分擔(dān)的方式盡可能平均的分配到負(fù)載分擔(dān)接口(負(fù)載分擔(dān)接 口大于等于2)��,此時負(fù)載分擔(dān)接口有到相同目的地址的路由�,所以可以將數(shù)據(jù)通過兩個不同的接口送到相同的目的地。而利用IPSEC功能對報文進(jìn)行轉(zhuǎn)發(fā)時�����,通常不能對接口進(jìn)行選擇�,因此��,不能實現(xiàn)在不同的接口為對應(yīng)的用戶提供不同質(zhì)量的服務(wù)�。
發(fā)明內(nèi)容
(一)要解決的技術(shù)問題本發(fā)明要解決的技術(shù)問題是如何實現(xiàn)在指定的接口對報文進(jìn)行加密轉(zhuǎn)發(fā)���,從而實現(xiàn)在不同的接口為對應(yīng)的用戶提供不同質(zhì)量的服務(wù)����。(二)技術(shù)方案為了解決上述技術(shù)問題�����,本發(fā)明提供一種利用IPSEC實現(xiàn)負(fù)載分擔(dān)的方法���,包括以下步驟SI��、網(wǎng)絡(luò)設(shè)備為多個負(fù)載分擔(dān)接口分別配置IPSEC隧道��,各IPSEC隧道的訪問控制列表ACL不同��;S2�、根據(jù)配置有IPSEC隧道的所述多個負(fù)載分擔(dān)接口對報文進(jìn)行轉(zhuǎn)發(fā)�。優(yōu)選地,步驟S2具體為對報文進(jìn)行路由���,若查找到報文的出接口為負(fù)載分擔(dān)接口組�,且所述負(fù)載分擔(dān)接口組中具有配置了 IPSEC隧道的負(fù)載分擔(dān)接口,則將報文與所述IPSEC隧道進(jìn)行匹配���,若匹配成功,則從與報文匹配的IPSEC隧道的所綁定的負(fù)載分擔(dān)接口對報文進(jìn)行加密轉(zhuǎn)發(fā)���;若所述負(fù)載分擔(dān)接口組中沒有配置IPSEC隧道的負(fù)載分擔(dān)接口或未匹配成功����,則進(jìn)行負(fù)載分擔(dān)計算����,從計算出的接口對報文進(jìn)行轉(zhuǎn)發(fā)。優(yōu)選地�����,步驟S2中����,使用ACL作為報文與IPSEC隧道匹配的規(guī)則。優(yōu)選地����,所述網(wǎng)絡(luò)設(shè)備為防火墻��、路由器和交換機(jī)中的一種����。本發(fā)明還提供了一種利用IPSEC實現(xiàn)負(fù)載分擔(dān)的系統(tǒng)����,所述系統(tǒng)包括隧道建立模塊,用于為多個負(fù)載分擔(dān)接口分別配置IPSEC隧道�,各IPSEC隧道的訪問控制列表ACL不同;報文轉(zhuǎn)發(fā)模塊�,用于根據(jù)配置有IPSEC隧道的所述多個負(fù)載分擔(dān)接口對報文進(jìn)行轉(zhuǎn)發(fā)。優(yōu)選地��,所述隧道建立模塊為網(wǎng)絡(luò)設(shè)備�。優(yōu)選地,所述網(wǎng)絡(luò)設(shè)備為防火墻��、路由器和交換機(jī)中的一種�����。(三)有益效果
上述技術(shù)方案具有如下優(yōu)點通過結(jié)合IPSEC和數(shù)據(jù)負(fù)載分擔(dān)功能��,配置不同的IPSEC綁定到不同的負(fù)載分擔(dān)接口上,進(jìn)行負(fù)載分擔(dān)時�,首先通過IPSEC隧道的ACL規(guī)則進(jìn)行匹配,查找匹配上的IPSEC隧道所綁定的出接口�����,如果匹配不上再根據(jù)負(fù)載分擔(dān)算法進(jìn)行接口分配��,以達(dá)到報文走指定出接口的目的����,從而實現(xiàn)在不同的接口為對應(yīng)的用戶提供不同質(zhì)量的服務(wù)�。
圖I是本發(fā)明的方法流程圖。
具體實施例方式下面結(jié)合附圖和實施例�����,對本發(fā)明的具體實施方式
作進(jìn)一步詳細(xì)描述��。以下實施例用于說明本發(fā)明��,但不用來限制本發(fā)明的范圍�����。
如圖I所示,本發(fā)明提供一種利用IPSEC實現(xiàn)負(fù)載分擔(dān)的方法��,包括以下步驟SI�、網(wǎng)絡(luò)設(shè)備為2個負(fù)載分擔(dān)接口分別配置IPSEC隧道,2個負(fù)載分擔(dān)接口分別為a接口和b接口��,各IPSEC隧道的訪問控制列表ACL不同����,目的地址可以相同也可以不同;S2�、根據(jù)配置有IPSEC隧道的所述多個負(fù)載分擔(dān)接口對報文進(jìn)行轉(zhuǎn)發(fā)。優(yōu)選地�,步驟S2中具體為對報文進(jìn)行路由,若查找到報文的出接口為負(fù)載分擔(dān)接口組�����,且所述負(fù)載分擔(dān)接口組中具有配置了 IPSEC隧道的負(fù)載分擔(dān)接口����,則將報文與所述IPSEC隧道進(jìn)行匹配,若匹配成功����,則從與報文匹配的IPSEC隧道所綁定的負(fù)載分擔(dān)接口對報文進(jìn)行加密轉(zhuǎn)發(fā)��;若所述負(fù)載分擔(dān)接口組中沒有配置IPSEC隧道的負(fù)載分擔(dān)接口或未匹配成功��,則進(jìn)行負(fù)載分擔(dān)計算����,從計算出的接口對報文進(jìn)行轉(zhuǎn)發(fā)�。此過程中,一旦報文匹配上IPSEC隧道后就會自動觸發(fā)IKE協(xié)商��,由于ike協(xié)商是預(yù)先配置好的��,所以此處不用關(guān)心協(xié)商流程�����。優(yōu)選地�,步驟S2中����,使用ACL作為報文與IPSEC隧道匹配的規(guī)則。優(yōu)選地�����,所述網(wǎng)絡(luò)設(shè)備為防火墻、路由器和交換機(jī)中的一種�����。上述步驟S2為網(wǎng)絡(luò)設(shè)備從內(nèi)網(wǎng)向外網(wǎng)發(fā)起報文的過程����,對外網(wǎng)向內(nèi)網(wǎng)發(fā)起報文的過程類似,過程為�����,首先會收到加密報文并對報文進(jìn)行解密�,然后將解密后的報文查找路
由后直接轉(zhuǎn)發(fā)。本發(fā)明還提供了一種利用IPSEC實現(xiàn)負(fù)載分擔(dān)的系統(tǒng)����,所述系統(tǒng)包括隧道建立模塊,用于為多個負(fù)載分擔(dān)接口分別配置IPSEC隧道�,各IPSEC隧道的訪問控制列表ACL不同,目的地址可以相同也可以不同�����;報文轉(zhuǎn)發(fā)模塊,用于根據(jù)配置有IPSEC隧道的所述多個負(fù)載分擔(dān)接口對報文進(jìn)行轉(zhuǎn)發(fā)���。 優(yōu)選地�,所述隧道建立模塊為網(wǎng)絡(luò)設(shè)備���。優(yōu)選地�����,所述網(wǎng)絡(luò)設(shè)備為防火墻�、路由器和交換機(jī)中的一種�。由以上實施例可以看出,本發(fā)明通過結(jié)合IPSEC和數(shù)據(jù)負(fù)載分擔(dān)功能�,根據(jù)對端的IP地址不同,配置不同的IPSEC綁定到不同的負(fù)載分擔(dān)接口上����,進(jìn)行負(fù)載分擔(dān)時�����,首先通過IPSEC隧道查找出接口��,如果配置不上再根據(jù)負(fù)載分擔(dān)算法進(jìn)行接口分配,以達(dá)到報文走指定出接口的目的����,從而實現(xiàn)在不同的接口為對應(yīng)的用戶提供不同質(zhì)量的服務(wù)。
以上所述 僅是本發(fā)明的優(yōu)選實施方式����,應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說�����,在不脫離本發(fā)明技術(shù)原理的前提下�����,還可以做出若干改進(jìn)和替換��,這些改進(jìn)和替換也應(yīng)視為本發(fā)明的保護(hù)范圍�����。
權(quán)利要求
1.一種利用IPSEC實現(xiàn)負(fù)載分擔(dān)的方法����,其特征在于��,包括以下步驟 51�、網(wǎng)絡(luò)設(shè)備為多個負(fù)載分擔(dān)接口分別配置IPSEC隧道����,各IPSEC隧道的訪問控制列表ACL不同; 52�、根據(jù)配置有IPSEC隧道的所述多個負(fù)載分擔(dān)接口對報文進(jìn)行轉(zhuǎn)發(fā)。
2.如權(quán)利要求I所述的方法����,其特征在于,步驟S2具體為對報文進(jìn)行路由����,若查找到報文的出接口為負(fù)載分擔(dān)接口組,且所述負(fù)載分擔(dān)接口組中具有配置了 IPSEC隧道的負(fù)載分擔(dān)接口��,則將報文與所述IPSEC隧道進(jìn)行匹配��,若匹配成功���,則從與報文匹配的IPSEC隧道所綁定的負(fù)載分擔(dān)接口對報文進(jìn)行加密轉(zhuǎn)發(fā);若所述負(fù)載分擔(dān)接口組中沒有配置IPSEC隧道的負(fù)載分擔(dān)接口或未匹配成功���,則進(jìn)行負(fù)載分擔(dān)計算�����,從計算出的接口對報文進(jìn)行轉(zhuǎn)發(fā)�����。
3.如權(quán)利要求2所述的方法��,其特征在于�,步驟S2中,使用ACL作為報文與IPSEC隧道 匹配的規(guī)則��。
4.如權(quán)利要求Γ3中任一項所述的方法���,其特征在于�,所述網(wǎng)絡(luò)設(shè)備為防火墻�����、路由器和交換機(jī)中的一種��。
5.一種利用IPSEC實現(xiàn)負(fù)載分擔(dān)的系統(tǒng)�,其特征在于�,所述系統(tǒng)包括 隧道建立模塊����,用于為多個負(fù)載分擔(dān)接口分別配置IPSEC隧道,各IPSEC隧道的訪問控制列表ACL不同���; 報文轉(zhuǎn)發(fā)模塊����,用于根據(jù)配置有IPSEC隧道的所述多個負(fù)載分擔(dān)接口對報文進(jìn)行轉(zhuǎn)發(fā)�����。
6.如權(quán)利要求5所述的方法����,其特征在于,所述隧道建立模塊為網(wǎng)絡(luò)設(shè)備�。
7.如權(quán)利要求6所述的方法,其特征在于���,其特征在于�,所述網(wǎng)絡(luò)設(shè)備為防火墻、路由器和交換機(jī)中的一種�。
全文摘要
本發(fā)明公開了一種利用IPSEC實現(xiàn)負(fù)載分擔(dān)的方法,包括以下步驟S1����、網(wǎng)絡(luò)設(shè)備為多個負(fù)載分擔(dān)接口分別配置IPSEC隧道���,各IPSEC隧道的保護(hù)流不同���;S2、根據(jù)配置有IPSEC隧道的所述多個負(fù)載分擔(dān)接口對報文進(jìn)行轉(zhuǎn)發(fā)�����。本發(fā)明還提供了一種與該方法對應(yīng)的系統(tǒng)�����。本發(fā)明通過結(jié)合IPSEC和數(shù)據(jù)負(fù)載分擔(dān)功能�����,配置不同的IPSEC綁定到不同的負(fù)載分擔(dān)接口上���,進(jìn)行負(fù)載分擔(dān)時�,首先通過IPSEC隧道的ACL規(guī)則進(jìn)行匹配,查找匹配上的IPSEC隧道所綁定的出接口����,如果匹配不上再根據(jù)負(fù)載分擔(dān)算法進(jìn)行接口分配,以達(dá)到報文走指定出接口的目的�����,從而實現(xiàn)在不同的接口為對應(yīng)的用戶提供不同質(zhì)量的服務(wù)��。
文檔編號H04L12/803GK102868629SQ20121031557
公開日2013年1月9日 申請日期2012年8月30日 優(yōu)先權(quán)日2012年8月30日
發(fā)明者陳海濱 申請人:漢柏科技有限公司