一种防火墙的调度方法、系统以及ggsn的制作方法
【技术领域】
[0001] 本发明涉及通信领域,特别是指一种防火墙的调度方法、系统以及GGSN。
【背景技术】
[0002] 现有的移动分组域网络架构如图1所示:
[0003] SGSN (Serving GPRS Support Node)是GPRS (通用分组无线服务技术)服务支持 节点,SGSN作为分组域核心网的分组域设备的重要组成部分,主要完成分组数据包的路由 转发、移动性管理、会话管理、逻辑链路管理、鉴权和加密、话单产生和输出等功能。
[0004] GGSN(Gateway GPRS Support Node)为网关GPRS支持节点,主要起网关作用。GGSN 负责对终端发起的F1DP (Packet Data Protocol,分组数据协议)激活请求进行响应,为终 端分配运营商私有网络IP地址,建立PDP会话,在PDP会话中进行流量计费和终端数据包 转发,直到用户发起PDP去激活请求。
[0005] Gi防火墙负责对终端会话进行NAT地址转换,将GGSN分配给终端的私有IP地址 映射为互联网的公网IP地址和公网端口号。所以Gi防火墙主要是起到了公私网地址转 换的功能,这种NAT功能对用户终端有一定的安全保护作用。此NAT映射关系具有一定的 生命周期,这样可以避免同一个数据流的传送时间内不必多次建立,以提高数据传送效率。 NAT转换条目的终结一般是由Gi防火墙内根据不同的协议配置的定时器来进行控制,当用 户数据流在这个规定的时间内没有任何上下行数据传送的时候,将由Gi防火墙清除该NAT 转换条目,即关闭当前会话,释放相应防火墙NAT资源。
[0006] 目前的移动分组域核心网中Gi防火墙采用主备方式组网,即所有的业务从主用 防火墙经过NAT转换后出口到互联网,当主用防火墙出现故障后备用防火墙承担业务。若 干个GGSN设备与一对主备的Gi防火墙组成一个LAN,同一个LAN中的GGSN所承担的业务 量必须从本LAN的Gi主用防火墙进行NAT转换后出口到公网。
[0007] 随着移动数据业务的高速发展以及智能终端的日趋普及,单用户的PDP对应的防 火墙NAT会话数目成倍增长,目前的Gi防火墙分LAN主备组网的方式存在以下缺点:Gi防 火墙存在容量瓶颈。具体为:
[0008] 由于同一个LAN中所有用户的上网会话都只能从本LAN中主用的一台Gi防火墙 进行NAT地址转换而出口到公网,因此,防火墙的NAT容量已经很难满足业务量的迅猛增 长,Gi防火墙存在容量瓶颈问题。
【发明内容】
[0009] 本发明要解决的技术问题是,提供一种防火墙的调度方法、系统以及网关支持节 点GGSN,解决了现有技术中Gi防火墙存在容量瓶颈的问题。
[0010] -方面,提供一种防火墙的调度方法,包括:
[0011] 网关支持节点GGSN为激活分组数据协议PDP会话的当前用户分配IP地址;
[0012] 所述GGSN根据轮询机制、至少两个防火墙的用户分配历史,从所述至少两个防火 墙中选择一防火墙;
[0013] 建立所述IP地址和选择的所述防火墙之间的对应关系。
[0014] 所述方法还包括:
[0015] 所述GGSN接收所述当前用户的上网数据;
[0016] 所述GGSN根据所述对应关系,将所述上网数据发送到选择的所述防火墙。
[0017] 所述方法还包括:
[0018] 所述GGSN每隔一时长,给所述至少两个防火墙分别发送心跳信息,以检测所述至 少两个防火墙的状态是否正常。
[0019] 所述GGSN根据轮询机制、至少两个防火墙的用户分配历史,从所述至少两个防火 墙中选择一防火墙的步骤包括:
[0020] 获取所述至少两个防火墙中的各个防火墙的容量;
[0021] 根据所述各个防火墙的容量,确定所述各个防火墙的负荷比例;
[0022] 所述GGSN根据轮询机制、至少两个防火墙的用户分配历史以及所述负荷比例,为 所述当前用户选择一防火墙。
[0023] 另一方面,提供一种网关支持节点,其特征在于,包括:
[0024] 分配单元,为激活分组数据协议PDP会话的当前用户分配IP地址;
[0025] 选择单元,根据轮询机制、至少两个防火墙的用户分配历史,从所述至少两个防火 墙中选择一防火墙;
[0026] 建立单元,建立所述IP地址和选择的所述防火墙之间的对应关系。
[0027] 所述的网关支持节点,其特征在于,还包括:
[0028] 接收单元,接收所述当前用户的上网数据;
[0029] 发送单元,根据所述对应关系,将所述上网数据发送到选择的所述防火墙。
[0030] 所述的网关支持节点,还包括:
[0031] 心跳检测单元,每隔一时长,给所述至少两个防火墙分别发送心跳信息,以检测所 述至少两个防火墙的状态是否正常。
[0032] 所述的网关支持节点,其特征在于,所述选择单元包括:
[0033] 获取子单元,获取所述至少两个防火墙中的各个防火墙的容量;
[0034] 确定子单元,根据所述各个防火墙的容量,确定所述各个防火墙的负荷比例;
[0035] 选择子单元,根据轮询机制、至少两个防火墙的用户分配历史以及所述负荷比例, 为所述当前用户选择一防火墙。
[0036] 另一方面,提供一种防火墙的调度系统,其特征在于,包括:网关支持节点GGSN和 至少两个防火墙;
[0037] 所述网关支持节点,为激活分组数据协议PDP会话的当前用户分配IP地址;根据 轮询机制、所述至少两个防火墙的用户分配历史,从所述至少两个防火墙中选择一防火墙; 建立所述IP地址和选择的所述防火墙之间的对应关系。
[0038] 所述GGSN还用于,收到所述当前用户的上网数据;根据所述对应关系,将所述上 网数据发送到选择的所述防火墙。
[0039] 本发明的上述技术方案的有益效果如下:
[0040] 本发明中,网关支持节点GGSN为激活分组数据协议PDP会话的当前用户分配IP 地址;所述GGSN根据轮询机制、至少两个防火墙的用户分配历史,从所述至少两个防火墙 中选择一防火墙;建立所述IP地址和选择的所述防火墙之间的对应关系。也就是说,针对 同一个局域网LAN中所有用户,可以提供至少两个防火墙,并且,根据轮询机制为用户分配 防火墙,因此,解决了现有技术的组网方式存在的Gi防火墙的容量瓶颈问题。
【附图说明】
[0041] 图1为现有技术的防火墙组网方式架构图;
[0042] 图2为本发明所述的一种防火墙的调度方法的流程示意图;
[0043] 图3为Gi防火墙忙时会话的平均利用率的示意图;
[0044] 图4为手机上网用户的单用户激活会话比的示意图;
[0045] 图5为本发明所述的一种防火墙的调度方法的应用场景的组网架构示意图;
[0046] 图6为本发明应用场景的PDP激活和激活之后的处理流程示意图;
[0047] 图7为本发明应用场景的业务流程示意图;
[0048] 图8为本发明应用场景的心跳交互的流程示意图;
[0049] 图9为本发明所述的一种网关支持节点的连接示意图;
[0050] 图10为本发明所述的一种防火墙的调度系统的连接示意图。
【具体实施方式】
[0051] 为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具 体实施例进行详细描述。
[0052] 如图2所示,为本发明所述的一种防火墙的调度方法,包括:
[0053] 步骤11,网关支持节点GGSN为激活分组数据协议PDP会话的当前用户分配IP地 址;该步骤具体为:当用户完成PDP激活后,GGSN给用户分配一个IP地址。
[0054] 步骤12,所述GGSN根据轮询机制、至少两个防火墙的用户分配历史,从所述至少 两个防火墙中选择一防火墙;所述至少两个防火墙组成防火墙池组。至少两个防火墙的用 户分配历史为;假设有两个防火墙,为当前用户的前一用户分配防火墙A,则根据轮询机 制,为当前用户分配分配防火墙B.
[0055] 步骤13,建立所述IP地址和选择的所述防火墙之间的对应关系。
[0056] 可选的,所述方法还包括:
[0057] 步骤14,所述GGSN接收所述当前用户的上网数据;
[0058] 步骤15,所述GGSN根据所述对应关系,将所述上网数据发送到选择的所述防火 墙。
[0059] 可选的,所述方法还包括:
[0060] 步骤16,所述GGSN每隔一时长,给所述至少两个防火墙分别发送心跳信息,以检 测所述至少两个防火墙的状态是否正常。
[0061] 步骤12包括:
[0062] 步骤121,获取所述至少两个防火墙中的各个防火墙的容量;
[0063] 步骤123,根据所述各个防火墙的容量,确定所述各个防火墙的负荷比例;
[0064] 步骤123,所述GGSN根据轮询机制、至少两个防火墙的用户分配历史以及所述负 荷比例,为所述当前用户选择一防火墙。
[0065] 假设有两个防火墙,防火墙1的容量为100万NAT会话,防火墙2的容量为50万 会话,为了实现业务均衡,防火墙1和防火墙2之间的负荷比例为2比1,则采用轮询机制 时,为防火墙1每分配两次用户,则为防火墙2分配1次用户。例如,为当前用户的前两个 用户分配防火墙1,则为当前用户的前一个用户分配防火墙1,为当前用户分配防火墙。 [0066] 以下描述本发明的应用场景。
[0067] 首先描述现有技术中移动数据业务对现网Gi防火墙会话数的影响。
[0068] (1)、Gi防火墙忙时利用率不断攀升。图3为从2010年到2013年广东某地市Gi 防火墙忙时会话的平均利用率的示意图,从统计可以看出,Gi防火墙的会话容量瓶颈凸显。
[0069] (2)单用户平均激活会话比成倍增长。图4为从2010年到2013年广东某地市手 机上网用户的单用户激活会话比的示意图,其计算公式=Gi防火墙忙时NAT会话总数/忙 时PDP激活用户总数(防火墙相关参数保持不变)。从以上统计可以看出,单用户对应的 Gi防火墙NAT会话数2013年是2010年的3倍多。
[0070] 本应用场景描述一种基于GGSN本地解析的Gi防火墙池组组网的方法,包括以下 两个方面:
[0071] I)、Gi防火墙组成一个池组(Gi Fire Wall In POOL即FIP),池组内的防火墙共 同承担来自用户上网的NAT转换业务。
[0072] 2)、GGSN通过升级可以实现本地解析,可按照相应的比例(可根据防火墙的容量 等)将业务分发到相应的Gi防火墙进行NAT转换。
[0073] 以下描述GGSN的用户分配机制。
[0074] I)、GGSN本地解析列表
[0075] GGSN接入防火墙池组,防火墙池组包括至少两个防火墙,GGSN本地可以配置到防 火墙的解析列表,如下:
[0076]
[0077] GGSN上可以配置多条如上表格所示的防火墙的loopback(本地环回接口)地址。 这里需要说明的是:可以根据防火墙的容量大小合理配置GGSN本地解析列表,举例如下:
[0078] 如防火墙I (FWl)的容量为1