专利名称::一种移动分组网络架构及其多个防火墙负载均衡接入方法
技术领域:
:本发明涉及移动分组网络
技术领域:
,尤其涉及一种多个防火墙负载均衡接入的移动分组网络架构。
背景技术:
:随着移动分组技术的不断发展和其业务的不断增强,移动分组网络的用户数量也越来越多,同时其数据流量也越来越大,因此,像GGSN(GatewayGPRSServingNode,简称GPRS网关服务节点)、ASN-GW(AccessServiceNetworkGateway,才妄入服务网络网关)或者PDSN(PacketDataServingNode,分组数据服务节点)等网关设备在与防火墙对接时,其必然会遇到与多个防火墙同时对接的问题。目前的移动分组网络,一般都是一个网关设备只与一个防火墙对接组成一个一对一的组网,但是当用户数量和数据流量都逐渐增大,也需要网关设备逐渐扩容,同时也需要与其对接的防火墙进行扩容。而通常的做法是通过对所述防火墙进行升级和扩容来实现防火墙扩容,但是这种做法对防火墙的要求较高,而且目前移动分组网络的用户数量增长较快,防火墙的扩容速度难以赶上移动分组网络的扩容速度,而且即使目前的高端防火墙可以具备较大容量和较高性能,但其价格也非常昂贵,成本较高。可见,现有技术还有待于改进和发展。
发明内容本发明的目的在于,提供一种移动分组网络架构及其多个防火墙负载均衡接入方法,解决目前一对一组网中防火墙的扩容能力无法满足日益增长的移动分组用户数量和分组数据流量要求的问题。为解决上述技术问题,本发明的技术方案如下一种移动分组网络架构,其包括一个网关设备;多个防火墙,其分别与所述网关设备通信连接以形成多个链路;多个路由器,其分别对应设置在所述多个链路上;所述网关设备按照一个策略路由以均衡分配使用所述多个链路转发上行报文。所述的移动分组网络架构,其中,所述策略路由为划分终端用户地址池为多个终端用户地址段,其分别与所述多个链路对应,每个终端用户地址段上行报文的主用路由为其对应链路。所述的移动分组网络架构,其中,所述策略路由中,每个终端用户地址段对应一个备用路由以用于在其主用路由出现故障时转发其上行报文或者下行报文。所述的移动分组网络架构,其中,每个路由器设定一个静态路由以分配使用所述多个链路转发下行报文以确保同一个五元组标识的上行报文和下行报文由同一个链路上的防火墙转发。所述的移动分组网络架构,其中,所述策略路由中,每个终端用户地址段的主用路由优先级高于其备用路由优先级。所述的移动分组网络架构,其中,所述策略路由中,每个终端用户地址段上行报文的下一跳地址为其主用路由上防火墙的对内端口。所述的移动分组网络架构,其中,所述策略路由中,每个终端用户地址段在其主用路由出现故障时,其上行报文的下一跳地址为备用路由上防火墙的对内端口。所述的移动分组网络架构,其中,所述多路由器之间通信连接以形成一个备用链路,以用于所述多路由器互相备用。一种移动分组网络中多个防火墙负载均衡接入方法,其包括以下步骤A、终端用户接入移动分组网络的网关设备,所述网关设备按照均衡分配多个防火墙的策略路由,分配对应的防火墙;B、所述分配的防火墙转发上行报文至网络站点;C、所述网络站点下发下行报文至路由器;D、所述路由器将所述下行报文路由至所述转发上行才艮文的防火墙;E、所述转发上4于净艮文的防火墙将下4于才艮文转发至所述网关设备。所述的移动分组网络中多个防火墙负载均衡接入方法,其中,所述步骤A中,所述网关i殳备将终端用户地址池划分成多个终端用户地址段,终端用户从所述网关设备中获取对应的终端用户地址段;所述网关设备按照所述策略路由,分配与所述终端用户地址段对应的防火墙。本发明提供的一种移动分组网络架构及其多个防火墙负载均衡接入方法,其采用多个防火墙,且在移动分组网关中设定一个基于源地址(终端用户地址)的策略路由,均衡分配所述多个防火墙进行报文处理传输,解决了一个网关设备与多个防火墙之间负载均衡的问题,满足了大流量的要求,相比现有技术中对防火墙进行升级扩容的方法而言,大大节约了成本,并具有4艮好的扩展性并适宜于移动分组网络,图l是本发明实施例提供的一种移动分组网络架构的示意图;图2是图1的移动分组网络架构的详细示意图;图3是采用图2的移动分组网络架构中终端用户访问因特网站点的示意图。具体实施例方式下面结合附图和具体实施方式对本发明进行详细说明。请参阅图1和图2,为本发明实施例提供的一种移动分组网络架构的示意图。所述移动分组网络架构包括一个网关设备、多个防火墙。优选地,所述网关设备包括一个GGSN网元设备、一个ASN-GW网元设备和一个PDSN网元设备。所述GGSN网元设备、一个ASN-GW网元设备和一个PDSN网元设备为现有技术,在此不作赘述。可以理解,所述网关设备为移动分组网关设备。所述多个防火墙分别、所述网关设备通信连接以形成多链路。每个链路还具有一个路由器,其分别对应通信连接其所在链路上的防火墙和因特网。具体地,在本实施例中,所述多个防火墙为两个防火墙。所述两个防火墙分别为防火墙1和防火墙2,其分别与所述网关设备的两个主用端口通信连接。两个防火墙的对内端口分别与所述网关设备的两个主用端口通信连接以形成两个链路。优选地,每个防火墙具有一个对内端口,所述网关设备具有两个主用端口,分别为主用端口Gl和主用端口G2。在本实施例中,所述多个路由器为两个路由器,其分别与本实施例的两个防火墙通信连接。可以理解,本实施例提供的移动分组网络构架中,移动分组网关、防火墙l和路由器l依次通信连接形成一个链路l。移动分组网关、防火墙2和路由器2依次通信连接形成一个链路2。优选地,所述两个路由器分别为路由器O和路由器1,所述两个路由器之间通信连接形成一个链路3,以用于所述两个路由器之间*链路。优选地,所述移动分组网络构架还具有一个交换设备1和一个交换设备2,所述多个防火墙通过交换设备l通信连接所述网关设备,每个路由器通过所述交换设备2通信连接与其对应的防火墙。所述网关设备设定一个策略路由,其均衡分配使用所述多防火墙,所述网关i殳备按照所述策略路由,确定发送所述上行报文的防火墙。所述策略路由为一种基于终端用户地址段的策略路由。具体地,将终端用户地址池均衡划分成多终端用户地址段,所述多终端用户地址段分别对应所述多个防火墙,每个终端地址段的上行报文的主用下一个路由为其对应的防火墙。所述策略路由采用MATCH和SET语句实现路径的选择。具体地,在本实施例中,将终端用户地址池划分成两个终端用户地址段,分别为终端用户地址段1和^端用户地址段2,定义地址段1为192.168.0.0/16,定义终端用户地址段2为193.168.0.0/16。表1基于终端用户地址段的策略路由<table>tableseeoriginaldocumentpage8</column></row><table>在此,有必要解释所述下一跳地址,所述下一跳地址为下一个路由(或网关)的入口地址。可以理解的是,在链路1没有故障的情况下,所述地址段1的下一跳地址为防火墙1的端口1,地址段2的下一跳地址为防火墙2的端口1。可以理解,对于地址段l的上行才艮文,兵主用下一个路由为防火墙1对应的链路1,也即在链路1没有故障的正常情况下,地址段1的上行报文通过所述链路1发送;对于地址段2的上行报文,其主用下一个路由为防火墙2对应的链路2,也即在链路2没有故障的正常情况下,通过链路2发送。优选地,所述基于终端用户地址段的策略路由中,每个终端用户地址段对应一个备用下一个路由(或者备用下一跳地址)。可以理解,所述对应的备用下一个路由(或者备用下一跳地址)的优先级低于其主用下一个路由。在实际中,对于上行报文,如果主用下一个路由对应的链路出现故障时,网关选择其对应的备用下一个路由以转发所述上行报文;对于下行报文,如果下一个路由对应的链路出现故障时,路由器选择其对应的备用下一个路由以转发所述下行报文。优选地,所述移动分组网络支持BFD(Bidirectionalforwardingdetection,双向链路检测)协议,可以建立BFD链路来实现。具体地,在本实施例中,当网关设备检测到链路1出现异常时,网关设备指定地址段1对应的备用下一个路由也即链路2传输其上行报文,此时上行报文会路由至防火墙2的端口1,进而再路由至链路2上的路由器2,由所述路由器2发送至因特网站点。路由器2的缺省路由是指向Intemet。可以理解的是,移动分组网络中,同一个五元组标识的报文流必须由同一个防火墙进行处理,因此,在本实施例中,对于目的地址为地址段1的下行报文和源地址为地址段1的上行报文由同一个防火墙转发。所述五元组标识才艮文流为具有一个五元组标识的才艮文流,所述五元组标识为具有源IP地址、目的IP地址、源端口号、目的端口号以及协议类型五个信息组成的一个标识。优选地,所述路由器1和路由器2分别配置一个静态路由以确保同一个五元组标识的报文流由同一个防火墙或者同一个链路转发,具体地,对于目的地址段为地址段1的下行报文,当路由器1发现其对应的链路有故障时,所述路由器1将所述下行报文转发给所述路由器2,所述路由器2发送所述下^fi^艮文至防火墙1。所述下行报文为一个IP报文,目的地址是终端用户的IP地址,源地址是Internet站点的IP地址。表2路由器l的静态路由<table>tableseeoriginaldocumentpage9</column></row><table><table>tableseeoriginaldocumentpage10</column></row><table>可以理解,所述目的地址段即为终端用户地址段。因特网站点发送下行报文至对应的路由器。4艮明显,结合表2和表3,在链路1和链路2无故障时,目的地址段为地址段1的下行报文由链路1上的防火墙1转发至网关设备进而发送至终端用户。地址段1的下行报文和地址段1的上行报文均由防火墙1转发。而在链路1出现故障时,目的地址段为地址段1的下行报文由路由器1转发至路由器2,进而由防火墙2转发至网关设备进而发送至终端用户,而链路1出现故障时,地址段1的上行报文也由其备用路由即链路2上的防火墙2转发,可以理解,链路1出现故障时,地址段1的上行报文和下行报文均由防火墙2转发。链路是否出现故障由一个BFD链路判断,BFD1的源地址和目的地址分别为网关端口Gl和路由器1的端口Al;BFD2的源地址和目的地址分别为网关端口G2和路由器2的端口Bl;BFD链路是用来检测链路1或者链路2是否有故障,当BFD链路检测到链路1出现异常或者故障时,网关设M选择地址段1对应的*路由来进行传输其上行报文。地址段2仍然选择其主用路由。下面结合图3,说明本发明实施例提供的一种移动分组网络中多个防火墙负载均衡接入方法,其包括以下步骤5301、终端用户接入移动分组网络的网关设备,所述网关设备按照均衡分配多个防火墙的策略路由,分配对应的防火墙;具体地,所述网关设备将终端用户地址池划分成多个终端用户地址段,终端用户从所述网关设备中获取对应的终端用户地址段;所述网关设备按照所述策略路由,分配与所述终端用户地址段对应的防火墙。5302、所述分配的防火墙转发上行^JL至网络站点;该网络站点可以为因特网站点或者其他数据业务站点。5303、所述网络站点下发下行报文至路由器;5304、所述路由器将所述下行报文路由至所述转发上行报文的防火墙;5305、所述转发上行报文的防火墙将下行报文转发至所述网关设备。可以理解,步骤S305之后,网关设备将下行报文送至终端用户,所述终端用户完成其对网络站点的访问,也即完成对因特网业务或者其他数据业务的访问。l明实施例提供的移动分组网绍方法,采用多个防火墙,分别与网关设备通信连接形成多个链路,所述网关配置一个基于终端用户地址策略路由,同时结合路由器的静态路由来使得上行报文和下行报文能够负载均衡到多个防火墙上,相比现有技术中根据目的地址选择路由转发报文的移动分组网络,本发明实施例提供的移动分组网络,实现多个防火墙负载均衡接入,且防火墙的数量可以根据需要扩展,实现扩容。以上说明书中的具体实施部分,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明,任何熟悉本专业的技术人员,在不脱离本发明技术方案范围内,当可利用上述揭示的方法及技术内容做出些许的更动或修饰为等同变化的等效实施例,'但是凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。权利要求1、一种移动分组网络架构,其包括一个网关设备;多个防火墙,其分别与所述网关设备通信连接以形成多个链路;多个路由器,其分别对应设置在所述多个链路上;所述网关设备按照策略路由以均衡分配所述多个用于转发上行报文的链路。2、如权利要求1所述的移动分组网络架构,其特征在于,所述策略路由为划分终端用户地址池为多个终端用户地址段,其分别与所述多个链路对应,每个终端用户地址段上行报文的主用路由为其对应链路。3、如权利要求2所述的移动分组网络架构,其特征在于,所述策略路由中,每个终端用户地址段对应一个备用路由,每个终端用户地址段的备用路由在其主用路由出现故障时转发其上行报文。4、如权利要求2所述的移动分组网络架构,其特征在于,每个路由器配置静态路由,用于均衡分配所述多个转发下行报文的链路,以确保同一个五元组标识的上行报文和下行报文由同一个链路上的防火墙转发。5、如权利要求3所述的移动分组网络架构,其特征在于,所述策略路由中,每个终端用户地址段的主用路由优先级高于其备用路由优先级。6、如权利要求2所述的移动分组网络架构,其特征在于,所述策略路由中,每个终端用户地址段上行报文的下一跳地址为其主用路由上防火墙的对内端口的地址。7、如权利要求3或6所述的移动分组网络架构,其特征在于,所述策略路由配置中,每个终端用户地址段在其主用路由出现故障时,其上行报文的下一跳地址为备用路由上防火墙的对内端口的地址。8、如权利要求2所述的移动分组网络架构,其特征在于,所述多路由器之间通信连接以形成一个备用链路,以用于所述多路由器互相备用。9、一种移动分组网络中多个防火墙负载均衡接入方法,其包括以下步骤A、终端用户接入移动分组网络的网关设备,所述网关设备按照均衡分配多个防火墙的策略路由,分配对应的防火墙;B、所述分配的防火墙转发上行"J艮文至网络站点;C、所述网络站点下发下行>^艮文至路由器;D、所述路由器将所述下行4艮文路由至所述转发上行才艮文的防火墙;E、所述转发上行报文的防火墙将下行报文转发至所述网关设备。10、如权利要求9所述的移动分组网络中多个防火墙负载均衡接入方法,其特征在于,所述步骤A中,所述网关设备将终端用户地址池划分成多个终端用户地址段,终端用户从所述网关设备中获取对应的终端用户地址段;所述网关设备按照所述策略路由,分配与所述终端用户地址段对应的防火墙。全文摘要本发明公开了一种移动分组网络架构及其多个防火墙负载均衡接入方法,该移动分组网络架构包括一个网关设备;多个防火墙,其分别与所述网关设备通信连接以形成多个链路;多个路由器,其分别对应设置在所述多个链路上;所述网关设备按照策略路由以均衡分配所述多个用于转发上行报文的链路。本发明提供的移动分组网络架构及其多个防火墙负载均衡接入方法,解决了一个网关设备与多个防火墙之间负载均衡的问题,满足了大流量的要求,相比现有技术,大大节约了成本,并具有很好的扩展性并适宜于移动分组网络。文档编号H04L12/56GK101350773SQ20081006797公开日2009年1月21日申请日期2008年6月20日优先权日2008年6月20日发明者帆张申请人:中兴通讯股份有限公司