基于隔离装置与隔离网关结合应用的流量分担方法

文档序号:7868425阅读:355来源:国知局
专利名称:基于隔离装置与隔离网关结合应用的流量分担方法
技术领域
本发明涉及负载均衡技术,特别是涉及一种基于隔离装置与隔离网关结合应用的流量分担方法。
背景技术
隔离装置:即电力专用网络专用安全隔离装置,包括正向和反向两种类型,是一种由带有多种控制功能专用硬件,位于调度数据网络与公用信息网络之间的一个安全防护装置,正向型的用于安全区I/II到安全区III的单向数据传递,反向型的用于安全区III到安全区IV的单向数据传递。隔离网关:基于包括但不限定于路由器、交换机或服务器等实现的单向转发并对其相连的两个网络进行隔离的网关。负载均衡:是按照事先配置的负载均衡算法,将访问同一个IP地址的用户流量分配到不同的服务器上。它通过虚拟服务技术、服务器健康性检查技术和逐流转发技术将用户的流量分摊到多台等价的服务器上。这些技术对于访问用户角度看似乎访问的是一台服务器,而实际上是能通过一定的负载均衡算法分摊到不同的服务器上,间接的提高了服务器的处理能力,也间接的提高了服务器的稳定性和可扩展性。现在大多数隔离网关都集成了负载均衡技术,但是其安全防护这块一般只能做到IP层和常见应用层协议的安全检查和控制,并不能做到对网络间的“物理隔离”,因此在某些特殊安全要求较高的行业中,例如,电力系统专用网络隔离装置,普遍都是增加部署了安全隔离装置以进行物理层隔离。由于隔离装置受限于其硬件环境和业务处理的特殊性,涉及到数据的倒换、隔离等功能,其对业务报文的转发能力普遍偏低,所以常常需要把多台隔离装置设备堆叠起来以提高整体处理性能,在集群前后放置两台高性能隔离网关做负载均衡器使用,这样可以提高业务报文的处理能力,而且隔离网关可以提供防攻击、防病毒、防入侵、内容过滤等等功能,提高了网络的安全性。如图1所示,图1为基于正向隔离装置与隔离网关结合的应用组网示意图,在正向隔离装置情况下:在网络A、网络B组网中,隔离网关A、隔离网关B之间的隔离装置进行了集群堆叠处理,以弥补其对业务报文的转发能力普遍偏低的不足,同时为了让各个堆叠的隔离装置分担业务流量,在隔离装置前后的两台隔离网关具备负载均衡功能,从而达到整体利用网络集隔离装置和隔离网关的优点,满足高安全性和高带宽业务需求。如图2所示,图2为基于反向隔离装置与隔离网关结合的应用组网示意图,在反向隔离装置情况下:客户端的文件传输到服务器上,通过隔离装置的文件服务器进行FTP代理,反向隔离装置和文件服务器作为一个整体,文件服务器上面开启FTP Server功能,所有的客户端会通过FTP Client方式将文件放入文件服务器,文件服务器调用相应的应用程序将文件传输到反向隔离装置后的区域,隔离网关部署在文件服务器前面并开启双机热备和负载均衡功能,将FTP业务进行流量按照一定的负载均衡算法分担到集群堆叠在一起的各个隔离装置上。然而,采用多个隔离装置堆砌成集群的方式,由于每个隔离装置的性能、运行状态并不完全相同,当网络流量经过隔离网关到各个隔离装置上进行流量分担时,并不能根据隔离装置的实际负载性能情况进行分流,导致一部分隔离装置负载过重,甚至流量不通,而另一部分隔离装置处于空闲状态,这就极大地浪费了隔离装置设备资源,隔离装置的带宽不能合理的利用,资源利用效率低。

发明内容
基于此,有必要针对基于上述隔离装置的带宽不能合理的利用,资源利用效率低的问题,提供一种基于隔离装置与隔离网关结合应用的流量分担方法。一种基于隔离装置与隔离网关结合应用的流量分担方法,包括如下步骤:S100,设置链路的权重值:在隔离网关将组网中各个隔离装置所在链路的负载资源进行排序,并依据该排序设定各个链路的权重值;S200,根据权重值分担数据报文:在数据报文经过隔离网关时,根据数据报文的基本信息在隔离网关上建立会话表项,选择当前权重值最大的链路,并根据所述会话表项在该链路上创建会话连接,然后转发数据报文;S300,根据链路状态调整链路权重值:当链路被选择用于转发数据报文时,将链路的权重值减1,返回步骤S200 ;当一个数据报文转发完成后,断开相应的会话连接并删除会话表项,然后将该链路的权重值加I,返回步骤S200。上述基于隔离装置与隔离网关结合应用的流量分担方法,在隔离装置集群并联的场景下,通过对各个隔离装置设备负载性能的综合评估,在隔离网关上设置各隔离装置所在链路的权重值,在隔离网关转发网络流量时,选择权重值最大的链路进行流量分发,并且各个链路的权重值根据该链路上转发的数据流情况和链路状态动态调整,保证并联隔离装置的带宽能够高效利用,使得网络流量更合理地分担到不同的隔离装置设备上。


图1为基于正向隔离装置与隔离网关结合的应用组网示意图;图2为基于反向隔离装置与隔离网关结合的应用组网示意图;图3为本发明基于隔离装置与隔离网关结合应用的流量分担方法的流程图;图4为一个实施例中探测报文的数据段格式结构示意图。
具体实施例方式本发明的基于隔离装置与隔离网关结合应用的流量分担方法,针对于多个隔离装置并联成集群的应用场景中,网络流量在经过隔离网关到各个隔离装置上时,对隔离装置设备资源利用效率低的问题,采用了根据权重值来选择链路进行数据流量分发的分担方法,根据数据流量变化情况和链路状态,动态调整链路权重值以进行网络流量分担,提高了流量分担的效率。下面结合附图对本发明的基于隔离装置与隔离网关结合应用的流量分担方法的具体实施方式
作详细描述。图3示出了本发明基于隔离装置与隔离网关结合应用的流量分担方法的流程图,包括如下步骤:S100,设置链路的权重值:具体地,在隔离网关将组网中各个隔离装置所在链路的负载资源进行排序,并依据该排序设定各个链路的权重值; S200,根据权重值分担数据报文:具体地,在数据报文经过隔离网关时,根据数据报文的基本信息在隔离网关上建立会话表项,选择当前权重值最大的链路,并根据所述会话表项在该链路上创建会话连接,然后转发数据报文;S300,根据链路状态调整链路权重值:具体地,当链路被选择用于转发数据报文时,将链路的权重值减1,返回步骤S200;当一个数据报文转发完成后,断开相应的会话连接并删除会话表项,然后将该链路的权重值加1,返回步骤S200。为了更清晰本发明的技术,以下结合附图阐述较佳实施例。在一个实施例中,首先,根据集群并联组网中各个隔离装置所在链路的负载资源情况,在隔离网关(负载分担设备)上设置各链路的初始权重值;具体地,通过用户接口的命令行,输入预先分配好的各链路的权重值。该权重值作为各个隔离装置所在链路权重值的初始值,并且每次权重值重置也会恢复到该权重值,权重值的设置范围为广100。在网络流量经过隔离网关时,选择权重值最大的链路来进行流量转发,同时将该链路的权重值减I ;具体地,当有数据报文进入隔离网关,隔离网关根据数据报文的源、目的IP,源、目的端口和协议号创建一条会话表项,然后在会话表项查找数据报文的转发路径时,比较各链路的负载分担权重值,选择权重值最大的链路进行报文转发,报文转发成功后,该链路的权重值会减I。对于会话表项,需要对其进行老化处理,设定各个会话表项的老化时间,其中,老化时间由设定的初始值开始持续递减;定时扫描各个会话表项的老化时间,当其老化时间减为O时,则删除该会话表项。对于任何一个链路,在后续还有数据报文命中该会话表项时,数据报文使用同一条链路进行报文转发;如果该会话表项在老化时间内没有后续数据报文进入隔离网关,则删除该会话表项,同时,将该条链路的权重值加I。另外,当存在相同权重值的链路时,选择该权重值的第一条链路进行流量转发。隔离网关上的会话表项老化后,则将转发该会话流量的链路权重值加I。进一步地,为了提高流量分担的可靠性,需要根据隔离装置所在链路的健康状况来对链路权重值进行调整。在一个实施例中,步骤S300在根据链路状态调整链路权重值中还包括:
判断当前各个链路的健康状况;当链路断开或拥塞时,将该链路的权重值设置为0,删除该链路上所有的会话表项,并暂停往该链路上分担数据报文,然后重建链路连接;当断开或拥塞的链路重新恢复连接时,将该链路的权重值设置为初始值,返回步骤S200。对于判断当前各个链路的健康状况,可以通过链路探测机制来实现,对于正向隔离装置并联组网的场景,由隔离网关向对端隔离网关发送探测报文,然后接收对端隔离网关响应的报文,以确定隔离装置链路的健康状况;具体过程包括如下:在探测端隔离网关通过各个正向隔离装置所在链路向响应端隔离网关发送基于TCP协议的探测报文,并在所述探测端隔离网关接收所述响应端隔离网关的响应报文;若所述探测端隔离网关接收到预设格式的第一响应报文,则判定该链路为健康状态;若所述探测端隔离网关接收到预设格式的第二响应报文,则判定该链路为拥塞状态;若所述探测端隔离网关在设定时间内未收到所述探测报文相应的响应报文,则判定该链路为中断状态。其中,所述第一响应报文的数据内容为全I(OxFF);所述第二响应报文的数据内容为全0(0x00)。对于反向隔离装置并联组网的场景,由隔离网关向文件服务器发送探测报文,以确定隔离装置链路的健康状况;具体过程包括如下:在隔离网关向各个反向隔离装置的文件服务器发送基于TCP协议的反向探测报文,并在所述隔离网关接收所述文件服务器的响应报文;在隔离网关向各个反向隔离装置的文件服务器发送基于TCP协议的反向探测报文,并在所述隔离网关接收所述文件服务器的响应报文;若所述隔离网关接收到预设格式的第三响应报文,则判定该链路为健康状态;若所述隔离网关接收到预设格式的第四响应报文,则判定该链路为拥塞状态;若所述隔离网关在设定时间内未收到所述反向探测报文相应的响应报文,则判定该链路为中断状态。其中,所述第三响应报文的数据内容为全I(OxFF);所述第四响应报文的数据内容为全0(0x00)。作为一个实施例,对于探测报文,其数据段格式如图4所示,整个报文包括IPHeader, TCP Header, DATA三部分,其中DATA (数据)部分包括: 魔术字(定义为“MagicNum”),用于安全性校验,长度可以为2个字节,可以固定为 OxDCBA ;版本号(定义为“Ver”),用于协议后续升级扩展,长度可以为I个字节,版本可以为 Oxl ;长度值(定义为“Len”),用于表示后续携带私有数据长度信息,长度可以为I个字节,可以为0x5;数据内容(定义为“Data”),用于承载探测报文内容,长度根据具体报文内容而定,可以为 0x53/0x43/0x4f/0x55/0x54,对应字符串 “SCOUT” ;校验和(定义为“Checksum”),用于记录所有数据的CRC校验值,长度可以为2个字节,即 CRC (MagicNum+Ver+Len+Data);在一个实施例中,可以在隔离网关原有的负载均衡算法模块中增加上述基于TCP链路健康探测方法,从而可以满足与隔离装置结合使用场景。对于链路出现拥塞/中断情况,需要会话表老化算法模块加速老化相关链路业务会话。再根据权重值选择链路来分配业务数据。本发明的基于隔离装置与隔离网关结合应用的流量分担方法,在隔离装置集群并联的场景下,通过对各个隔离装置设备负载性能的综合评估,在隔离网关上设置各个隔离装置所在链路的权重值,然后在隔离网关转发网络流量时,选择权重值最大的链路进行流量分发,并且各个链路的权重值根据该链路上转发的数据流情况和链路状态动态调整,保证并联隔离装置的带宽能够高效利用,网络流量更合理地分担到不同的隔离装置设备上。以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
权利要求
1.一种基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,包括如下步骤: S100,设置链路的权重值: 在隔离网关将组网中各个隔离装置所在链路的负载资源进行排序,并依据该排序设定各个链路的权重值; S200,根据权重值分担数据报文: 在数据报文经过隔离网关时,根据数据报文的基本信息在隔离网关上建立会话表项,选择当前权重值最大的链路,并根据所述会话表项在该链路上创建会话连接,然后转发数据报文; S300,根据链路状态调整链路权重值: 当链路被选择用于转发数据报文时,将链路的权重值减1,返回步骤S200 ; 当一个数据报文转发完成后,断开相应的会话连接并删除会话表项,然后将该链路的权重值加1,返回步骤S200。
2.根据权利要求1所述的基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,所述步骤S300还包括: 对所述会话表项进行老化处理,设定各个会话表项的老化时间,其中,所述老化时间由初始值开始持续递减; 定时扫描各个会话表项的老化时间,当老化时间减为O时,则删除该会话表项。
3.根据权利要求1或2所述的基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,所述步骤S300还包括: 判断当前各个链路的健康状况; 当链路断开或拥塞时,将该链路的权重值设置为O,删除该链路上所有的会话表项,并暂停往该链路上分担数据报文,然后重建链路连接; 当断开或拥塞的链路重新恢复连接时,将该链路的权重值设置为初始值,返回步骤S200。
4.根据权利要求3所述的基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,所述步骤S300中的判断当前各个链路的健康状况具体包括: 在探测端隔离网关通过各个正向隔离装置所在的链路向响应端隔离网关发送基于TCP协议的探测报文,并在所述探测端隔离网关接收所述响应端隔离网关的响应报文; 若所述探测端隔离网关接收到预设格式的第一响应报文,则判定该链路为健康状态;若所述探测端隔离网关接收到预设格式的第二响应报文,则判定该链路为拥塞状态;若所述探测端隔离网关在设定时间内未收到所述探测报文相应的响应报文,则判定该链路为中断状态。
5.根据权利要求4所述的基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,所述第一响应报文的数据内容为全I ;所述第二响应报文的数据内容为全O。
6.根据权利要求3所述的基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,所述步骤S300中的判断当前各个链路的健康状况具体包括: 在隔离网关向各个反向隔离装置的文件服务器发送基于TCP协议的反向探测报文,并在所述隔离网关接收所述文件服务器的响应报文;若所述隔离网关接收到预设格式的第三响应报文,则判定该链路为健康状态; 若所述隔离网关接收到预设格式的第四响应报文,则判定该链路为拥塞状态; 若所述隔离网关在设定时间内未收到所述反向探测报文相应的响应报文,则判定该链路为中断状态。
7.根据权利要求6所述的基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,所述第三响应报文的数据内容为全I ;所述第四响应报文的数据内容为全O。
8.根据权利要求4至7任一项所述的基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,所述探测报文的数据段包括: 魔术字,用于安全性校验; 版本号,用于协议后续升级扩展; 长度值,用于表示后续携带私有数据长度信息; 数据内容,用于承载探测报文内容; 校验和,用于记录所有数据的CRC校验值。
9.根据权利要求8所述的基于隔离装置与隔离网关结合应用的流量分担方法,其特征在于,所述魔术字的长度为2个字节,所述版本号长度为I个字节,所述长度值的长度为I个字节,所述校验和的长度为2 个字节。
全文摘要
本发明提供一种基于隔离装置与隔离网关结合应用的流量分担方法,包括步骤在隔离网关将组网中各个隔离装置所在链路的负载资源进行排序,并依据该排序设定各个链路的权重值;在数据报文经过隔离网关时,根据数据报文的基本信息在隔离网关上建立会话表项,选择当前权重值最大的链路,并根据所述会话表项在该链路上创建会话连接,然后转发数据报文;当链路被选择用于转发数据报文时,将链路的权重值减1;当一个数据报文转发完成后,断开相应的会话连接并删除会话表项,然后将该链路的权重值加1。本发明的技术,保证并联隔离装置的带宽能够高效利用,使得网络流量更合理地分担到不同的隔离装置设备上。
文档编号H04L12/803GK103117946SQ20121053507
公开日2013年5月22日 申请日期2012年12月11日 优先权日2012年12月11日
发明者周安, 苏扬, 邓大为, 徐展强, 曾坚永, 潜立标, 崔立喜, 孙刚, 王金慧 申请人:广东电网公司电力调度控制中心, 华为技术有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1