專利名稱：利用ipsec實(shí)現(xiàn)負(fù)載分擔(dān)的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，特別是涉及一種利用IPSEC實(shí)現(xiàn)負(fù)載分擔(dān)的方法及系統(tǒng)。
背景技術(shù)：
當(dāng)前網(wǎng)絡(luò)設(shè)備大多帶IPSEC功能和流量負(fù)載分擔(dān)功能。接口流量負(fù)載分擔(dān)通常將目的地址相同的數(shù)據(jù)流以負(fù)載分擔(dān)的方式盡可能平均的分配到負(fù)載分擔(dān)接口(負(fù)載分擔(dān)接 口大于等于2)，此時(shí)負(fù)載分擔(dān)接口有到相同目的地址的路由，所以可以將數(shù)據(jù)通過(guò)兩個(gè)不同的接口送到相同的目的地。而利用IPSEC功能對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)時(shí)，通常不能對(duì)接口進(jìn)行選擇，因此，不能實(shí)現(xiàn)在不同的接口為對(duì)應(yīng)的用戶提供不同質(zhì)量的服務(wù)。

發(fā)明內(nèi)容
(一)要解決的技術(shù)問(wèn)題本發(fā)明要解決的技術(shù)問(wèn)題是如何實(shí)現(xiàn)在指定的接口對(duì)報(bào)文進(jìn)行加密轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)在不同的接口為對(duì)應(yīng)的用戶提供不同質(zhì)量的服務(wù)。(二)技術(shù)方案為了解決上述技術(shù)問(wèn)題，本發(fā)明提供一種利用IPSEC實(shí)現(xiàn)負(fù)載分擔(dān)的方法，包括以下步驟SI、網(wǎng)絡(luò)設(shè)備為多個(gè)負(fù)載分擔(dān)接口分別配置IPSEC隧道，各IPSEC隧道的訪問(wèn)控制列表ACL不同；S2、根據(jù)配置有IPSEC隧道的所述多個(gè)負(fù)載分擔(dān)接口對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)。優(yōu)選地，步驟S2具體為對(duì)報(bào)文進(jìn)行路由，若查找到報(bào)文的出接口為負(fù)載分擔(dān)接口組，且所述負(fù)載分擔(dān)接口組中具有配置了 IPSEC隧道的負(fù)載分擔(dān)接口，則將報(bào)文與所述IPSEC隧道進(jìn)行匹配，若匹配成功，則從與報(bào)文匹配的IPSEC隧道的所綁定的負(fù)載分擔(dān)接口對(duì)報(bào)文進(jìn)行加密轉(zhuǎn)發(fā)；若所述負(fù)載分擔(dān)接口組中沒(méi)有配置IPSEC隧道的負(fù)載分擔(dān)接口或未匹配成功，則進(jìn)行負(fù)載分擔(dān)計(jì)算，從計(jì)算出的接口對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)。優(yōu)選地，步驟S2中，使用ACL作為報(bào)文與IPSEC隧道匹配的規(guī)則。優(yōu)選地，所述網(wǎng)絡(luò)設(shè)備為防火墻、路由器和交換機(jī)中的一種。本發(fā)明還提供了一種利用IPSEC實(shí)現(xiàn)負(fù)載分擔(dān)的系統(tǒng)，所述系統(tǒng)包括隧道建立模塊，用于為多個(gè)負(fù)載分擔(dān)接口分別配置IPSEC隧道，各IPSEC隧道的訪問(wèn)控制列表ACL不同；報(bào)文轉(zhuǎn)發(fā)模塊，用于根據(jù)配置有IPSEC隧道的所述多個(gè)負(fù)載分擔(dān)接口對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)。優(yōu)選地，所述隧道建立模塊為網(wǎng)絡(luò)設(shè)備。優(yōu)選地，所述網(wǎng)絡(luò)設(shè)備為防火墻、路由器和交換機(jī)中的一種。(三)有益效果
上述技術(shù)方案具有如下優(yōu)點(diǎn)通過(guò)結(jié)合IPSEC和數(shù)據(jù)負(fù)載分擔(dān)功能，配置不同的IPSEC綁定到不同的負(fù)載分擔(dān)接口上，進(jìn)行負(fù)載分擔(dān)時(shí)，首先通過(guò)IPSEC隧道的ACL規(guī)則進(jìn)行匹配，查找匹配上的IPSEC隧道所綁定的出接口，如果匹配不上再根據(jù)負(fù)載分擔(dān)算法進(jìn)行接口分配，以達(dá)到報(bào)文走指定出接口的目的，從而實(shí)現(xiàn)在不同的接口為對(duì)應(yīng)的用戶提供不同質(zhì)量的服務(wù)。


圖I是本發(fā)明的方法流程圖。
具體實(shí)施例方式下面結(jié)合附圖和實(shí)施例，對(duì)本發(fā)明的具體實(shí)施方式
作進(jìn)一步詳細(xì)描述。以下實(shí)施例用于說(shuō)明本發(fā)明，但不用來(lái)限制本發(fā)明的范圍。
如圖I所示，本發(fā)明提供一種利用IPSEC實(shí)現(xiàn)負(fù)載分擔(dān)的方法，包括以下步驟SI、網(wǎng)絡(luò)設(shè)備為2個(gè)負(fù)載分擔(dān)接口分別配置IPSEC隧道，2個(gè)負(fù)載分擔(dān)接口分別為a接口和b接口，各IPSEC隧道的訪問(wèn)控制列表ACL不同，目的地址可以相同也可以不同；S2、根據(jù)配置有IPSEC隧道的所述多個(gè)負(fù)載分擔(dān)接口對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)。優(yōu)選地，步驟S2中具體為對(duì)報(bào)文進(jìn)行路由，若查找到報(bào)文的出接口為負(fù)載分擔(dān)接口組，且所述負(fù)載分擔(dān)接口組中具有配置了 IPSEC隧道的負(fù)載分擔(dān)接口，則將報(bào)文與所述IPSEC隧道進(jìn)行匹配，若匹配成功，則從與報(bào)文匹配的IPSEC隧道所綁定的負(fù)載分擔(dān)接口對(duì)報(bào)文進(jìn)行加密轉(zhuǎn)發(fā)；若所述負(fù)載分擔(dān)接口組中沒(méi)有配置IPSEC隧道的負(fù)載分擔(dān)接口或未匹配成功，則進(jìn)行負(fù)載分擔(dān)計(jì)算，從計(jì)算出的接口對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)。此過(guò)程中，一旦報(bào)文匹配上IPSEC隧道后就會(huì)自動(dòng)觸發(fā)IKE協(xié)商，由于ike協(xié)商是預(yù)先配置好的，所以此處不用關(guān)心協(xié)商流程。優(yōu)選地，步驟S2中，使用ACL作為報(bào)文與IPSEC隧道匹配的規(guī)則。優(yōu)選地，所述網(wǎng)絡(luò)設(shè)備為防火墻、路由器和交換機(jī)中的一種。上述步驟S2為網(wǎng)絡(luò)設(shè)備從內(nèi)網(wǎng)向外網(wǎng)發(fā)起報(bào)文的過(guò)程，對(duì)外網(wǎng)向內(nèi)網(wǎng)發(fā)起報(bào)文的過(guò)程類似，過(guò)程為，首先會(huì)收到加密報(bào)文并對(duì)報(bào)文進(jìn)行解密，然后將解密后的報(bào)文查找路
由后直接轉(zhuǎn)發(fā)。本發(fā)明還提供了一種利用IPSEC實(shí)現(xiàn)負(fù)載分擔(dān)的系統(tǒng)，所述系統(tǒng)包括隧道建立模塊，用于為多個(gè)負(fù)載分擔(dān)接口分別配置IPSEC隧道，各IPSEC隧道的訪問(wèn)控制列表ACL不同，目的地址可以相同也可以不同；報(bào)文轉(zhuǎn)發(fā)模塊，用于根據(jù)配置有IPSEC隧道的所述多個(gè)負(fù)載分擔(dān)接口對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)。 優(yōu)選地，所述隧道建立模塊為網(wǎng)絡(luò)設(shè)備。優(yōu)選地，所述網(wǎng)絡(luò)設(shè)備為防火墻、路由器和交換機(jī)中的一種。由以上實(shí)施例可以看出，本發(fā)明通過(guò)結(jié)合IPSEC和數(shù)據(jù)負(fù)載分擔(dān)功能，根據(jù)對(duì)端的IP地址不同，配置不同的IPSEC綁定到不同的負(fù)載分擔(dān)接口上，進(jìn)行負(fù)載分擔(dān)時(shí)，首先通過(guò)IPSEC隧道查找出接口，如果配置不上再根據(jù)負(fù)載分擔(dān)算法進(jìn)行接口分配，以達(dá)到報(bào)文走指定出接口的目的，從而實(shí)現(xiàn)在不同的接口為對(duì)應(yīng)的用戶提供不同質(zhì)量的服務(wù)。
以上所述 僅是本發(fā)明的優(yōu)選實(shí)施方式，應(yīng)當(dāng)指出，對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)，在不脫離本發(fā)明技術(shù)原理的前提下，還可以做出若干改進(jìn)和替換，這些改進(jìn)和替換也應(yīng)視為本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種利用IPSEC實(shí)現(xiàn)負(fù)載分擔(dān)的方法，其特征在于，包括以下步驟 51、網(wǎng)絡(luò)設(shè)備為多個(gè)負(fù)載分擔(dān)接口分別配置IPSEC隧道，各IPSEC隧道的訪問(wèn)控制列表ACL不同； 52、根據(jù)配置有IPSEC隧道的所述多個(gè)負(fù)載分擔(dān)接口對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
2.如權(quán)利要求I所述的方法，其特征在于，步驟S2具體為對(duì)報(bào)文進(jìn)行路由，若查找到報(bào)文的出接口為負(fù)載分擔(dān)接口組，且所述負(fù)載分擔(dān)接口組中具有配置了 IPSEC隧道的負(fù)載分擔(dān)接口，則將報(bào)文與所述IPSEC隧道進(jìn)行匹配，若匹配成功，則從與報(bào)文匹配的IPSEC隧道所綁定的負(fù)載分擔(dān)接口對(duì)報(bào)文進(jìn)行加密轉(zhuǎn)發(fā)；若所述負(fù)載分擔(dān)接口組中沒(méi)有配置IPSEC隧道的負(fù)載分擔(dān)接口或未匹配成功，則進(jìn)行負(fù)載分擔(dān)計(jì)算，從計(jì)算出的接口對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
3.如權(quán)利要求2所述的方法，其特征在于，步驟S2中，使用ACL作為報(bào)文與IPSEC隧道 匹配的規(guī)則。
4.如權(quán)利要求Γ3中任一項(xiàng)所述的方法，其特征在于，所述網(wǎng)絡(luò)設(shè)備為防火墻、路由器和交換機(jī)中的一種。
5.一種利用IPSEC實(shí)現(xiàn)負(fù)載分擔(dān)的系統(tǒng)，其特征在于，所述系統(tǒng)包括 隧道建立模塊，用于為多個(gè)負(fù)載分擔(dān)接口分別配置IPSEC隧道，各IPSEC隧道的訪問(wèn)控制列表ACL不同； 報(bào)文轉(zhuǎn)發(fā)模塊，用于根據(jù)配置有IPSEC隧道的所述多個(gè)負(fù)載分擔(dān)接口對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)。
6.如權(quán)利要求5所述的方法，其特征在于，所述隧道建立模塊為網(wǎng)絡(luò)設(shè)備。
7.如權(quán)利要求6所述的方法，其特征在于，其特征在于，所述網(wǎng)絡(luò)設(shè)備為防火墻、路由器和交換機(jī)中的一種。
全文摘要
本發(fā)明公開(kāi)了一種利用IPSEC實(shí)現(xiàn)負(fù)載分擔(dān)的方法，包括以下步驟S1、網(wǎng)絡(luò)設(shè)備為多個(gè)負(fù)載分擔(dān)接口分別配置IPSEC隧道，各IPSEC隧道的保護(hù)流不同；S2、根據(jù)配置有IPSEC隧道的所述多個(gè)負(fù)載分擔(dān)接口對(duì)報(bào)文進(jìn)行轉(zhuǎn)發(fā)。本發(fā)明還提供了一種與該方法對(duì)應(yīng)的系統(tǒng)。本發(fā)明通過(guò)結(jié)合IPSEC和數(shù)據(jù)負(fù)載分擔(dān)功能，配置不同的IPSEC綁定到不同的負(fù)載分擔(dān)接口上，進(jìn)行負(fù)載分擔(dān)時(shí)，首先通過(guò)IPSEC隧道的ACL規(guī)則進(jìn)行匹配，查找匹配上的IPSEC隧道所綁定的出接口，如果匹配不上再根據(jù)負(fù)載分擔(dān)算法進(jìn)行接口分配，以達(dá)到報(bào)文走指定出接口的目的，從而實(shí)現(xiàn)在不同的接口為對(duì)應(yīng)的用戶提供不同質(zhì)量的服務(wù)。
文檔編號(hào)H04L12/803GK102868629SQ20121031557
公開(kāi)日2013年1月9日 申請(qǐng)日期2012年8月30日 優(yōu)先權(quán)日2012年8月30日
發(fā)明者陳海濱 申請(qǐng)人:漢柏科技有限公司