数据包的处理方法及装置的制作方法

专利名称：数据包的处理方法及装置的制作方法
技术领域：
本发明涉及通信领域，尤其涉及一种数据包的处理方法及装置。
背景技术：
路由器是具有多个网络接口的计算机系统，从网络中接收到数据包，根据数据包源、目的地址进行路由表查找，并对查找成功的数据包进行转发。一般的路由器都支持策略路由，除了根据源和目的地址进行路由查找外，还可以通过服务或协议等进行高级路由查找，路由器也有规则访问控制表(Access Control List,简称为ACL)控制模块,但是,该规则ACL控制模块与路由模块是独立的，无法实现指定的规则和路由表项关联起来。
现在企业和政府都有多个网络出口，并且不同出口连接不同的网络运营商，例如， 同一个企业有三个电信出口和三个网通出口，并且要求去往网通的线路优先走网通，去往电信的线路优先走电信，多条电信(或网通)线路间可以实现负载。
但是，在相关技术中，如果某些敏感服务流量(比如，HTTP和ICMP服务)必须走网通或电信指定线路，当某边的链路出现问题时，服务流量的数据包就此截止，网络传输出现异常。
可见，在相关技术中，普通路由器或其它安全设备在传输数据包的指定链路不通时，会出现网络出口异常的情况。而针对上述问题，目前尚未提出有效解决方案。
发明内容
本发明的主要目的是提供一种数据包的处理方案，以解决相关技术中普通路由器或其它安全设备在传输数据包的指定链路不通时会出现网络出口异常的问题。
根据本发明的一方面，提供了一种数据包的处理方法，包括收到外出的数据包后，确定与所述数据包匹配的安全规则中配置了预定路由标识；查找与所述预定路由标识对应的路由表项，并根据查找到的所述路由表项对应的预设网络出口地址资源对所述数据包进行路由负载均衡处理。
优选地，根据查找到的所述路由表项对应的预设网络出口地址资源对所述数据包进行路由负载均衡处理包括确定查找到的所述路由表项中有能够连通的链路，则根据所述能够连通的链路对应的权重值选择所述预设网络出口地址资源对所述数据包进行路由负载均衡处理；或者，在通过链路探测机制匹配到的路由表项中未找到能够连通的链路的下一跳地址的情况下，选择与查找到的所述路由表项对应的预设网络出口地址资源对所述数据包进行路由负载均衡处理。
优选地，收到外出的所述数据包之前，所述方法还包括配置不同网络出口地址资源中的IP地址，并按照预定安全策略规则设置路由负载表项，其中，所述预定安全策略规则包括所述预定路由标识、所述不同网络出口地址资源以及路由表中路由表项的对应关系；在匹配了所述预定安全策略规则的数据包上设置所述预定路由标识。
优选地，所述不同网络出口地址资源包括以下至少之一网通出口地址资源、电信出口地址资源。
优选地，查找与所述预定路由标识对应的路由表项包括将所述数据包的套接字缓存的标识字段设置为所述路由标识的值，并查找与所述路由标识的值相对应的路由表项。
优选地，根据查找到的所述路由表项对应的预设网络出口地址资源对所述数据包进行路由负载均衡处理之后，所述方法还包括将所述数据包的源地址转换为发送接口上的一个随机地址，并按照转换后的所述数据包的源地址建立状态表。
根据本发明的另一方面，提供了一种数据包的处理装置，位于安全网关设备中，包括确定模块，用于收到外出的数据包后，确定与所述数据包匹配的安全规则中配置了预定路由标识；查找模块，用于查找与所述预定路由标识对应的路由表项；以及负载均衡模块， 用于根据所述查找模块查找到的所述路由表项对应的预设网络出口地址资源对所述数据包进行路由负载均衡处理。
优选地，所述负载均衡模块包括路由负载模块，用于确定查找到的所述路由表项中有能够连通的链路的情况下，根据所述能够连通的链路对应的权重值选择所述预设网络出口地址资源对所述数据包进行路由负载均衡处理；或者，链路探测模块，用于在通过链路探测机制匹配到的路由表项中未找到能够连通的链路的下一跳地址的情况下，选择与查找到的所述路由表项对应的预设网络出口地址资源对所述数据包进行路由负载均衡处理。
优选地，所述装置还包括配置模块，用于配置不同网络出口地址资源中的IP地址，并按照预定安全策略规则设置路由负载表项，其中，所述预定安全策略规则包括所述预定路由标识、所述不同网络出口地址资源以及路由表中路由表项的对应关系；标识模块，用于在匹配了所述预定安全策略规则的数据包上设置所述预定路由标识。
优选地，所述装置还包括 转换模块，用于将所述数据包的源地址转换为发送接口上的一个随机地址，并按照转换后的所述数据包的源地址建立状态表。
通过本发明，采用收到外出的数据包后，确定与该数据包匹配的安全规则中配置了预定路由标识；查找与该预定路由标识对应的路由表项，并根据查找到的该路由表项对应的预设网络出口地址资源对该数据包进行路由负载均衡处理的方式，解决了相关技术中普通路由器或其它安全设备在传输数据包的指定链路不通时会出现网络出口异常的问题， 满足用户在多网络出口环境下的各种业务需求，提高了路由的灵活性。


说明书附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中
图1是根据本发明实施例的数据包的处理方法的流程图2是根据本发明实施例的数据包的处理装置的结构框图3是根据本发明优选实施例的数据包的处理装置的结构框图4是根据本发明实施例一的某企业通过路由器将内网与外部网络相连通的示意图5是根据本发明实施例一的在多出口环境下灵活配置路由及路由负载的方法的流程图6是根据本发明实施例三的安全规则查找方法的流程图7是根据本发明实施例三的链路探测方法的流程图8是根据本发明实施例三的路由查找方法的流程图9是根据本发明实施例四的系统组成示意图。
具体实施方式
需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
根据本发明实施例，提供了一种数据包的处理方法。图1是根据本发明实施例的数据包的处理方法的流程图，如图1所示，该方法包括以下步骤
步骤S102，收到外出的数据包后，确定与该数据包匹配的安全规则中配置了预定路由标识；
步骤S104，查找与该预定路由标识对应的路由表项；
步骤S106，根据查找到的路由表项对应的预设网络出口地址资源对该数据包进行路由负载均衡处理。
通过上述步骤，采用收到外出的数据包后，确定与该数据包匹配的安全规则中配置了预定路由标识；查找与该预定路由标识对应的路由表项，并根据查找到的该路由表项对应的预设网络出口地址资源对该数据包进行路由负载均衡处理的方式，解决了相关技术中普通路由器或其它安全设备在传输数据包的指定链路不通时会出现网络出口异常的问题，满足用户在多网络出口环境下的各种业务需求，提高了路由的灵活性。
优选地，步骤S106中，根据查找到的路由表项对应的预设网络出口地址资源对该数据包进行路由负载均衡处理可以包括如下两种方式
方式一、确定查找到的路由表项中有能够连通的链路，则根据能够连通的链路对应的权重值选择预设网络出口地址资源对该数据包进行路由负载均衡处理；
方式二、在通过链路探测机制匹配到的路由表项中未找到能够连通的链路的下一跳地址的情况下，选择与查找到的路由表项对应的预设网络出口地址资源对该数据包进行路由负载均衡处理。
优选地，在步骤S102之前，可以配置不同网络出口地址资源中的IP地址，并按照预定安全策略规则设置路由负载表项，其中，预定安全策略规则包括预定路由标识、不同网络出口地址资源以及路由表中路由表项的对应关系；在匹配了预定安全策略规则的数据包上设置预定路由标识。其中，不同网络出口地址资源包括以下至少之一网通出口地址资源、电信出口地址资源。例如，设定哪些IP地址属于网通出口地址资源，哪些IP地址属于电信出口资源，并在安全策略规则中利用路由标识将路由表中的路由表项与不同的网络出口地址资源对应起来，比如，电信出口地址资源为路由标识1，网通出口地址资源为路由标识2，在安全策略规则中针对路由表中的路由表项添加相应的路由标识。
优选地，在步骤S104中，可以将上述数据包的套接字缓存(SKB)的标识字段 (MARK)设置为路由标识的值(例如，1)，并查找与该路由标识的值相对应的路由表项。
优选地，在步骤S106之后，将该数据包的源地址转换为发送接口(即选择的网络出口)上的一个随机地址，并按照转换后的数据包的源地址建立状态表。例如，该状态表可以包括网络地址转换(Network Address Translation,简称为NAT)、路由、网络出口(即接口)等相关 目息。该方法可以提闻系统的安全性。
对应于上述方法，本发明实施例还提供了一种数据包的处理装置。图2是根据本发明实施例的数据包的处理装置的结构框图，如图2所示，该装置位于安全网关设备中，包括确定模块22，用于收到外出的数据包后，确定与该数据包匹配的安全规则中配置了预定路由标识；查找模块24，耦合至确定模块22，用于查找与该预定路由标识对应的路由表项；以及负载均衡模块26，耦合至查找模块24，用于根据查找模块24查找到的路由表项对应的预设网络出口地址资源对该数据包进行路由负载均衡处理。
通过上述装置，确定模块22收到外出的数据包后，确定与该数据包匹配的安全规则中配置了预定路由标识；查找模块24查找与该预定路由标识对应的路由表项，负载均衡模块26根据查找到的该路由表项对应的预设网络出口地址资源对该数据包进行路由负载均衡处理，解决了相关技术中普通路由器或其它安全设备在传输数据包的指定链路不通时会出现网络出口异常的问题，满足用户在多网络出口环境下的各种业务需求，提高了路由的灵活性。
图3是根据本发明优选实施例的数据包的处理装置的结构框图，如图3所示，负载均衡模块26包括路由负载单元262，用于确定查找到的路由表项中有能够连通的链路的情况下，根据能够连通的链路对应的权重值选择预设网络出口地址资源对数据包进行路由负载均衡处理；或者，链路探测单元264，用于在通过链路探测机制匹配到的路由表项中未找到能够连通的链路的下一跳地址的情况下，选择与查找到的路由表项对应的预设网络出口地址资源对数据包进行路由负载均衡处理。
优选地，该装置还包括配置模块32，用于配置不同网络出口地址资源中的IP地址，并按照预定安全策略规则设置路由负载表项，其中，预定安全策略规则包括预定路由标识、不同网络出口地址资源以及路由表中路由表项的对应关系；标识模块34，耦合至配置模块32和确定模块22，用于在匹配了预定安全策略规则的数据包上设置预定路由标识。
优选地，该装置还包括转换模块36，耦合至负载均衡模块26，用于将该数据包的源地址转换为发送接口上的一个随机地址，并按照转换后的该数据包的源地址建立状态表。
可见，上述优选实施例针对现有网络设备中对于路由技术中存在的不足而提出了一种利用在安全规则中通过标签方式实现灵活的策略路由负载的方法及装置，可以实现以下功能
( I)提供一种利用基于标签的方式实现到达指定目的地址时能够选择指定的路由的方法，不仅可以实现基于规则的策略路由功能，还能使企业在多出口环境下可以实现到达网通的地址走网通线路，到达电信的地址走电信线路的目的；
(2)提供一种适用于上述利用基于标签的路由负载功能的装置，该装置可以实现在同一个运营商线路之间进行链路负载，当某条链路出现故障后可以立刻重置路由，还可以实现当同一个运营商的所有线路都出现故障时切换到其它运营商线路上。
下面结合优选实施例和附图对上述实施例的实现过程进行详细说明。
实施例一
图4是根据本发明实施 例一的某企业通过路由器将内网与外部网络相连通的示意图，如图4所示，某企业链路为多出口多路由负载场景，出口分为电信和网通两类线路， 图4中分别使用电信服务器和网通服务器模拟两种服务器地址，用户要求去网通的线路优先走网通，去往电信的线路优先走电信，但对于某些敏感服务流量(比如HTTP或ICMP服务) 必须走网通线路；当某边的链路出现问题，可以自动切换到其他线路，以同类线路为优先； 比如网通某线路中断，优先切换网通其他网通线路；如果网通线路中断时发现没有其他可用网通线路，则选择一条其它电信线路。图4中安全网关设备为包括多个网卡的计算机设备、其中运行了支持规则控制、路由负载转发、状态检测处理的操作系统。并在操作系统中安装实现了本实施例的技术方案所需要的计算机程序文件。
本实施例提供了一种在多出口环境下灵活配置路由及路由负载的方法，用来满足各种多出口环境下的特殊路由配置需求。该方法包括用户手动配置带标签的路由表项以及安全规则选项进行路由查找和数据转发两个部分，也即，分为网络管理员配置防火墙设备和防火墙安全规则(如下步骤S502所示)，以及安全规则和路由负载模块中数据包处理流程(如下步骤S504 S526所示)。图5是根据本发明实施例一的在多出口环境下灵活配置路由及路由负载的方法的流程图，如图5所示，该方法包括以下步骤
步骤S502，定义带标签的策略路由选项，配置安全规则。安全规则配置方法和原来一样，可以设置各种高级选项，在此基础上需要增加路由标识的配置即可，以实现指定不同的数据流走不同的链路，当安全规则中的路由标识为空时，表示按照常规路由方式查找；
步骤S504，防火墙接收到数据包；
步骤S506，查找状态表，命中状态表，直接转步骤S524，否则转步骤S508 ；
步骤S508，查找安全规则，未命中规则直接丢弃，命中规则后判断规则中是否配置了路由标识，如果配置了，则转步骤S510，否则转步骤S518 ；
步骤S510，对数据包SKB — MARK字段赋值，所赋值为规则中配置的正整数；
步骤S512，根据数据包中的SKB — MARK值找对应的路由表项，如果未找到匹配的条目，则转步骤S518 ;否则在该条目中进行路由查找和路由负载；
步骤S514，根据链路探测结果，当在步骤S512中匹配到的路由表项中条目中至少有一个下一跳可用时，则进入步骤S520 ；
步骤S516，如果对应的路由表项中无可用链路，则在当前路由表项序号η的第n+1 条路由表项中进行路由探测操作，重复该步骤，直到找到可用链路或者遍历完所有带标签的路由表项，其中η为自然数；
步骤S518，按照常规 路由查找方式查找路由；
步骤S520，根据查找的路由，进行源地址转换；
步骤S522，建立状态表，将路由及NAT信息记录到状态表；
步骤S524，转发数据包；
步骤S526，防火墙接收数据包，重复步骤S504 步骤S524步骤。
需要说明的是，本实施例在数据包处理过程中，需要对数据包基于(源IP地址、目的IP地址、协议类型、源端口、目的端口)五元组的匹配，对于外出的数据包，如果该数据包匹配的安全规则中配置了路由标识，则防火墙对数据包的SKB — MARK字段进行赋值，然后转到路由查找模块，并且在标签为SKB — MARK的路由表项中进行路由查找。
可见，本实施例采用在原有路由查找原理基础上，在防火墙系统中增加带标签的路由表项，同时扩展了原来的安全规则表项，增加了路由标识的配置选项，实现了当防火墙接收到数据包时，首先查找安全规则，命中安全规则后，通过安全规则中配置的路由标识， 然后到对应的路由表项中进行路由查找和路由负载均衡的功能，并配合链路探测机制实现了当链路出现故障时自动重置路由负载和路由备份机制，该方法使得防火墙可以满足在多出口环境下根据安全策略来指定具体链路出口 ；又由于安全策略可以设置各种高级选项， 所以，极大地提高了路由的灵活性，可以满足用户在多出口环境下的各种需求。同时，该方法也使得网络管理员配置路由方法更加简单灵活，能满足各种不同的需求。
此外，本实施例还提供了一种使用上述方法的防火墙设备，使用该防火墙设备时， 管理员只需要配置安全规则时，为安全规则表项指定具体的路由标识号，同时在添加策略路由时，为策略路由表项指定路由标签，其他的配置与标准防火墙的配置一致。当用户配置的一个路由表项中的任何一条链路出现问题都会自动触发重置路由负载均衡功能，当该表项中所有链路都出现问题时，可以自动切换到其它路由表项中做负载均衡处理。
实施例二
本实施例中，提供了一种在安全规则中使用标签方式实现灵活的策略路由负载方法，通过扩展安全网关的安全规则表和路由表，在网络系统中增加了带表识的路由表，安全规则高级选项中可以配置路由标识索引(ID)。当数据包在查询规则时，匹配到具体规则后需要查询该条规则的标识索引(ID)，如果规则中未配置标识索引(ID)，则按照常规路由查找方式进行路由查找，如果规则中配置了具体的标识索引(ID)，则将该数据包的SKB (Socket Buffer) — MARK字段赋值为对应的标识索引(ID)，安全规则模块处理完成后，进入路由模块，路由模块根据数据包中的MARK值到对应的路由表项中查询路由及路由负载处理。
实施过程中，本实施例提供的在安全策略中基于标签的高级智能策略路由负载的实现方法可以法分为配置和数据包处理两个过程，其中，配置过程的步骤包括
(I)在网络系统中预定义好目的地址资源，比如，到网通的地址资源定义为一个地址组，到电信的地址资源定义为一个组，也可以根据具体需要定义不同的地址组；
(2)在网络系统中定义带标签的路由负载表项。在该表项中，除了常规的源地址、 目的地址、目的端口、协议及接口外，还需要配置该表项的序号和标识值，序号越小优先级越高，标识值用于在安全规则中引用，取值范围为1-255，每个表项中下一跳地址最大可以支持16个；
( 3)在网络系统的安全策略表中添加安全规则，规则的目的地址是配置步骤(I)中定义的地址组，其它配置选项根据具体需要做配置，并在规则表项中增加路由标识相关配置。该配置可以让匹配到该条策略的数据包查询标识指定的路由范围，达到灵活配置路由及路由负载的目的；
( 4 )配置链路探测，针对每条下一跳地址配置一条相依的链路探测规则。
需要说明的是，在安全策略配置中增加的路由标识是一个在系统中不重复的正整数。
其中，数据包处理两个过程包括
(1)网络访问数据包到达安全网关时，首先查找安全规则，未命中规则直接丢弃， 命中规则后，检查规则中是否配置路由标识。如果未配置路由标识，则按照常规路由查找方法处理，如果配置了路由标识，则数据包的处理分如下两种情况
(i)对数据包SKB — MARK字段进行赋值，值为规则中配置的标识值；
(ii)进入路由查找模块，此时需要根据数据包中MARK的值到对应的路由表项进行路由查找，如果为零，表示按照常规方法查找，如果不为零，此时就进入对应表项的路由负载模块进行路由负载均衡处理，该路由负载处理方式又可以分为以下两种
方式一、每个路由表项可以支持16个负载均衡下一跳地址，在当前配置的下一跳地址中，只要至少有一条链路能连通，就在当前的路由表项中根据具体权重做路由负载；
方式二、通过链路探测机制，如果匹配到的路由表项的所有下一跳地址都不可达， 此时根据配置的各路由表项的序号，选择下一条路由表项进行路由负载，以此类推；
(2)在数据包选择了正确的下一跳地址后，安全网关根据所选的下一跳地址计算需要从那个接口进行数据发送；
(3)安全网关确定了发送接口后，开始对数据包做源地址转换，通过一定的HASH 算法，将源地址转换为发送接口上的一个随机地址；
(4)地址转换成功后安全网关建立状态表，记录一些NAT、路由、接口等相关信息；
(5)返回的数据包到达完全网关后首先查找状态表，命中状态表后根据NAT信息对数据包做相关处理后直接转发，到此整个处理过程结束。
实施例三
本实施例·提供了一种利用安全规则中使用标签方式实现灵活的策略路由负载方法。在实施过程中，分为网络管理员配置防火墙设备和防火墙安全规则，以及路由负载模块数据处理流程两个阶段。
第一阶段网络管理员配置防火墙。具体地，基于标签的高级智能策略路由负载的配置方法可以包括
步骤1，在网络系统中预定义目的地址资源，定义一个电信的地址资源addr_wt， IP 地址有 124. 127. 118. 26,124. 127. 118. 26,124. 127. 118. 26 ;定义一个网通地址资源 addr_dx, IP 地址有；220. 161. 5. 100,220. 161. 5. 101,220. 161. 5. 102 ；
步骤2，在网络系统中定义带标签的路由负载表项，分别添加两个策略路由表项， 序号分别为I和2，标识值分别为I和2，序号I的路由表项为电信出口，分别制定gel、ge2、 ge3接口上的地址为三个出口地址(如图4)，序号2的路由表项为网通出口，分别制定ge4、 ge5、ge6接口上的地址为三个出口地址；
步骤3，在网络系统的安全策略表中添加两条安全规则，规则的目的地址分别是配置步骤I中定义的地址资源，其它配置选项根据具体需要做配置，在规则一的表项中配置路由标识为1，在规则二表项中配置路由标识为2 ;匹配到该条策略的数据包会自动打上所配置的标识I或2 ;
步骤4，配置链路探测，针对每条下一跳地址配置一条相依的链路探测规则。
第二阶段安全规则及路由负载模块数据包处理过程。
图6是根据本发明实施例三的安全规则查找方法的流程图，如图6所示，该方法可以包括以下步骤
步骤S602，接收数据包；
步骤S604，查找接收到的数据包是否命中安全规则，如果命中，则进入步骤S606，否则进入步骤S608 ；
步骤S606，检查命中的安全规则中是否配置了路由标识，如果未配置路由标识，则进入步骤S610，否则，进入步骤S612 ；0098]步骤S608，将数据包直接丢弃；0099]步骤S610，进入常规路由查找模块进行路由查找，在找到正确的下一跳地址后，进入步骤S616 ；0100]步骤S612，修改数据包中SKB —MARK字段中的值，即将MARK赋值为路由标识的值；0101]步骤S614，进入基于标签的路由负载模块进行路由选择和路由负载均衡处理，找到正确的下一跳地址；0102]0103]下步骤:0104]0105]0106]0107]的转发。0108]下步骤:0109]0110] 0111] 0112]0113]0114]0115]0116] 0117]步骤S616，转发数据包。图7是根据本发明实施例三的链路探测方法的流程图，如图7所示，该方法包括如步骤S702，管理员通过用户配置模块通过配置库对安全策略规则进行配置；步骤S704，构造探测包；步骤S706，对接收到的数据包进行解析步骤S708，根据探测结果判定是否进行重置路由负载，由路由负载模块进行最后图8是根据本发明实施例三的路由查找方法的流程图，如图8所示，该方法包括如步骤S802，根据数据包中MARK值查找对应的路由负载表项；步骤S804，通过链路探测模块对路由表项中所有下一跳做探测；步骤S806，判断是否有可用链路；如果有，进入步骤S810，否则，进入步骤S808 ； 步骤S808，到下一跳路由表项进行探测；步骤S810，进行路由负载计算；步骤S812，根据计算结果做源地址转换；步骤S814，发包。优选地，上述步骤S802-S810可以是图6中步骤S614的一种实现方式。可见，本实施例属于网络信息安全技术领域，涉及防火墙设备的管理配置和数据处理，提供了一种利用基于策略的高级路由负载以实现对于多出口环境下对链路选择有特殊要求的路由负载方法及装置。其中，针对企业在多出口环境下，对特定数据流指定走特定的链路，提供了方便的配置方法，并且可以实现同类线路间的路由负载，不同类线路间的路由备份等方法，是对普通路由及策略路由实现方法的一种很好的改进。
实施例四
本实施例提供了一种适用于上述利用基于安全策略的高级路由负载以实现对于多出口环境下对链路选择的特殊要求的路由负载装置。图9是根据本发明实施例四的系统组成示意图，如图9所示，该装置包括数据包接收模块91，用于从网卡接收网络数据包；安全规则控制模块92，用于对数据包做规则控制，并对匹配到的数据包做标签处理；路由负载模块93，用于根据权重值对所有下一跳地址做负载均衡处理，当某条链路出现问题时路由快速切换；链路探测模块94，用于对所有下一跳地址做探测，当探测发现链路故障时自动启动重置路由负载功能；状态检测模块95，用于将数据包接收模块91、安全规则控制模块92和路由负载模块93的相关处理计入状态表，并用于安全的状态检测和控制；数据包转发模块96，用于完成状态检测模块95的处理后，直接进入数据包转发模块对数据做转发。
通过本实施例，解决了在多出口环境下可以通过规则配置来指定特定的数据流走特定的链路，并且实现了在指定的下一跳中实现负载均衡和链路备份，在路由灵活性方面有了很大的突破，满足了企业对于在多出口环境下的各种特殊需求。综上所述，本发明实施例提供了一种在安全策略中基于标签的高级智能策略路由负载的实现方法及装置，在收到外出的数据包后，确定与该数据包匹配的安全规则中配置了预定路由标识；查找与该预定路由标识对应的路由表项，并根据查找到的路由表项对应的预设网络出口地址资源对该数据包进行路由负载均衡处理的，解决了相关技术中无法根据具体需求灵活配置和选择具有多个网络出口路由器的网络出口的问题，提升了装置的实用性和满足更多功能需求的能力。
显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
权利要求
1.一种数据包的处理方法，其特征在于包括收到外出的数据包后，确定与所述数据包匹配的安全规则中配置了预定路由标识；查找与所述预定路由标识对应的路由表项，并根据查找到的所述路由表项对应的预设网络出口地址资源对所述数据包进行路由负载均衡处理。
2.根据权利要求1所述的方法，其特征在于，根据查找到的所述路由表项对应的预设网络出口地址资源对所述数据包进行路由负载均衡处理包括确定查找到的所述路由表项中有能够连通的链路，则根据所述能够连通的链路对应的权重值选择所述预设网络出口地址资源对所述数据包进行路由负载均衡处理；或者，在通过链路探测机制匹配到的路由表项中未找到能够连通的链路的下一跳地址的情况下，选择与查找到的所述路由表项对应的预设网络出口地址资源对所述数据包进行路由负载均衡处理。
3.根据权利要求1所述的方法，其特征在于，收到外出的所述数据包之前，还包括配置不同网络出口地址资源中的IP地址，并按照预定安全策略规则设置路由负载表项，其中，所述预定安全策略规则包括所述预定路由标识、所述不同网络出口地址资源以及路由表中路由表项的对应关系；在匹配了所述预定安全策略规则的数据包上设置所述预定路由标识。
4.根据权利要求3所述的方法，其特征在于，所述不同网络出口地址资源包括以下至少之一网通出口地址资源、电信出口地址资源。
5 根据权利要求1所述的方法，其特征在于，查找与所述预定路由标识对应的路由表项包括将所述数据包的套接字缓存的标识字段设置为所述路由标识的值，并查找与所述路由标识的值相对应的路由表项。
6.根据权利要求1至5中任一项所述的方法，其特征在于，根据查找到的所述路由表项对应的预设网络出口地址资源对所述数据包进行路由负载均衡处理之后，还包括将所述数据包的源地址转换为发送接口上的一个随机地址，并按照转换后的所述数据包的源地址建立状态表。
7.一种数据包的处理装置，位于安全网关设备中，其特征在于包括确定模块，用于收到外出的数据包后，确定与所述数据包匹配的安全规则中配置了预定路由标识；查找模块，用于查找与所述预定路由标识对应的路由表项；以及负载均衡模块，用于根据所述查找模块查找到的所述路由表项对应的预设网络出口地址资源对所述数据包进行路由负载均衡处理。
8.根据权利要求7所述的处理装置，其特征在于，所述负载均衡模块包括路由负载模块，用于确定查找到的所述路由表项中有能够连通的链路的情况下，根据所述能够连通的链路对应的权重值选择所述预设网络出口地址资源对所述数据包进行路由负载均衡处理；或者，链路探测模块，用于在通过链路探测机制匹配到的路由表项中未找到能够连通的链路的下一跳地址的情况下，选择与查找到的所述路由表项对应的预设网络出口地址资源对所述数据包进行路由负载均衡处理。
9.根据权利要求7所述的处理装置，其特征在于，还包括配置模块，用于配置不同网络出口地址资源中的IP地址，并按照预定安全策略规则设置路由负载表项，其中，所述预定安全策略规则包括所述预定路由标识、所述不同网络出口地址资源以及路由表中路由表项的对应关系；标识模块，用于在匹配了所述预定安全策略规则的数据包上设置所述预定路由标识。
10.根据权利要求7至9中任一项所述的处理装置，其特征在于，还包括转换模块，用于将所述数据包的源地址转换为发送接口上的一个随机地址，并按照转换后的所述数据包的源地址建立状态表。
全文摘要
本发明公开了一种数据包的处理方法及装置，其中，该方法包括收到外出的数据包后，确定与该数据包匹配的安全规则中配置了预定路由标识；查找与该预定路由标识对应的路由表项，并根据查找到的该路由表项对应的预设网络出口地址资源对该数据包进行路由负载均衡处理。通过本发明，解决了相关技术中普通路由器或其它安全设备在传输数据包的指定链路不通时会出现网络出口异常的问题，满足用户在多网络出口环境下的各种业务需求，提高了路由的灵活性。
文档编号H04L12/803GK103036801SQ20121055177
公开日2013年4月10日 申请日期2012年12月18日 优先权日2012年12月18日
发明者任献永, 高伟, 王斌 申请人:网神信息技术(北京)股份有限公司, 网神科技(北京)有限公司