Ipsec實現負載分擔的方法及系統的製作方法
2023-12-07 03:23:56 2
專利名稱:Ipsec實現負載分擔的方法及系統的製作方法
技術領域:
本發明涉及網絡通信技術領域,特別涉及一種IPSEC實現負載分擔的方法及系統。
背景技術:
傳統Internet協議安全性(IPSEC)只能對確定的一條數據流實現點到點的加密保護和傳輸,如果兩臺帶IPSEC功能的防火牆A和防火牆B進行連接,防火牆A的單接入帶寬比防火牆B的單接入帶寬大,那麼兩臺網絡設備最大傳輸數據帶寬只能以少的一端為準,嚴重影響了傳輸數據的速度,但現有技術中卻未具有較好的方法來解決這種問題。
發明內容
(一 )要解決的技術問題 本發明要解決的技術問題是如何在兩臺網絡設備傳輸數據帶寬存在差異時,不影響傳輸數據的速度。( 二)技術方案為解決上述技術問題,本發明提供了一種IPSEC實現負載分擔的方法,所述方法包括以下步驟SI :將傳輸數據帶寬較大的網絡設備A的一個埠與傳輸數據帶寬較小的網絡設備B的至少兩個埠之間分別建立IPSEC隧道;S2 :通過所述網絡設備A、IPSEC隧道、以及網絡設備B來完成內網A和內網B之間的數據交互,所述內網A與所述網絡設備A對應,所述內網B與所述網絡設備B對應。優選地,步驟S2包括以下步驟S201 :所述內網B向所述內網A發送數據時,發送與IPSEC隧道數量相同、且一一對應的數據流,所述數據流分別經過所述網絡設備B、以及對應的IPSEC隧道至所述網絡設備A ;S202 :所述網絡設備A將接收到的數據流轉發至內網A。優選地,步驟S201和S202之間還包括以下步驟S2011 :所述網絡設備A接收到所述數據流後,對所述數據流進行解析,根據所述數據流的IP五元組判斷所述數據流從哪條IPSEC隧道發送而來,並將判斷獲得的IPSEC隧道序號保存至所述網絡設備A上的快速轉發表中。優選地,步驟S202之後還包括以下步驟S203 :所述內網A接收到所述數據流後,向所述內網B返回回應報文,所述內網A先將所述回應報文發送至所述網絡設備A ;S204 :所述網絡設備A根據所述回應報文的IP五元組查詢所述網絡設備A上的快速轉發表,根據查詢獲得的IPSEC隧道序號將所述回應報文通過對應的IPSEC隧道發送至所述網絡設備B ;
S205 :所述網絡設備B接收到所述回應報文後,根據所述回應報文的IP五元組將所述回應報文轉發至所述內網B。優選地,步驟S2包括以下步驟S211 :所述內網A向內網B發送數據時,發送一個數據流至所述網絡設備A ;S212 :所述網絡設備A選擇所述IPSEC隧道中流量最小的IPSEC隧道傳輸所述數據流;
S213 :所述網絡設備B接收到所述數據流後,轉發至所述內網B。優選地,步驟S212中所述網絡設備B接收到所述數據流後,根據所述數據流的IP五元組判斷所述數據流從哪條IPSEC隧道發送而來,並將判斷獲得的IPSEC隧道序號保存至所述網絡設備B上的快速轉發表中。優選地,步驟S213之後還包括以下步驟S214 :所述內網B接收到所述數據流後,向所述內網A返回回應報文,所述內網B先將所述回應報文發送至所述網絡設備B ;S215 :所述網絡設備B根據所述回應報文的IP五元組查詢所述網絡設備B上的快速轉發表,根據查詢獲得的IPSEC隧道序號將所述回應報文通過對應的IPSEC隧道發送至所述網絡設備A ;S216 :所述網絡設備A接收到所述回應報文後,根據所述回應報文的IP五元組將所述回應報文轉發至所述內網A。優選地,所述網絡設備A和網絡設備B均為防火牆、路由器和交換機中的一種。本發明還公開了一種IPSEC實現負載分擔的系統,所述系統包括隧道建立模塊,用於將傳輸數據帶寬較大的網絡設備A的一個埠與傳輸數據帶寬較小的網絡設備B的至少兩個埠之間分別建立IPSEC隧道;數據交互模塊,用於通過所述網絡設備A、IPSEC隧道、以及網絡設備B來完成內網A和內網B之間的數據交互,所述內網A與所述網絡設備A對應,所述內網B與所述網絡設備B對應。(三)有益效果本發明通過將傳輸數據帶寬較大的網絡設備A的一個埠與傳輸數據帶寬較小的網絡設備B的至少兩個埠之間分別建立IPSEC隧道來增加帶寬,提高了兩臺網絡設備之間的數據傳輸速度。
圖I是按照本發明一種實施方式的IPSEC實現負載分擔的方法的流程圖;圖2是按照本發明一種實施例的IPSEC實現負載分擔的方法的拓撲關係圖。
具體實施例方式下面結合附圖和實施例,對本發明的具體實施方式
作進一步詳細描述。以下實施例用於說明本發明,但不用來限制本發明的範圍。圖I是按照本發明一種實施方式的IPSEC實現負載分擔的方法的流程圖;參照圖1,所述方法包括以下步驟
SI :將傳輸數據帶寬較大的網絡設備A的一個埠與傳輸數據帶寬較小的網絡設備B的至少兩個埠之間分別建立IPSEC隧道;S2 :通過所述網絡設備A、IPSEC隧道、以及網絡設備B來完成內網A和內網B之間的數據交互,所述內網A與所述網絡設備A對應,所述內網B與所述網絡設備B對應。優選地,步驟S2包括以下步驟S201 :所述內網B向所述內網A發送數據時,發送與IPSEC隧道數量相同、且一一對應的數據流,所述數據流分別經過所述網絡設備B、以及對應的IPSEC隧道至所述網絡設備A ;
S202 :所述網絡設備A將接收到的數據流轉發至與所述網絡設備對應的內網A。優選地,步驟S201和S202之間還包括以下步驟S2011 :所述網絡設備A接收到所述數據流後,對所述數據流進行解析,根據所述數據流的IP五元組判斷所述數據流從哪條IPSEC隧道發送而來,並將判斷獲得的IPSEC隧道序號保存至所述網絡設備A上的快速轉發表中。優選地,步驟S202之後還包括以下步驟S203 :所述內網A接收到所述數據流後,向所述內網B返回回應報文,所述內網A先將所述回應報文發送至所述網絡設備A ;S204 :所述網絡設備A根據所述回應報文的IP五元組查詢所述網絡設備A上的快速轉發表,根據查詢獲得的IPSEC隧道序號將所述回應報文通過對應的IPSEC隧道發送至所述網絡設備B ;S205 :所述網絡設備B接收到所述回應報文後,根據所述回應報文的IP五元組將所述回應報文轉發至所述內網B。優選地,步驟S2還包括以下步驟S211 :所述內網A向內網B發送數據時,發送一個數據流至所述網絡設備A ;S212 :所述網絡設備A選擇所述IPSEC隧道中流量最小的IPSEC隧道傳輸所述數據流;S213 :所述網絡設備B接收到所述數據流後,轉發至所述內網B。優選地,步驟S212中所述網絡設備B接收到所述數據流後,根據所述數據流的IP五元組判斷所述數據流從哪條IPSEC隧道發送而來,並將判斷獲得的IPSEC隧道序號保存至所述網絡設備B上的快速轉發表中。優選地,步驟S213之後還包括以下步驟S214 :所述內網B接收到所述數據流後,向所述內網A返回回應報文,所述回應報文先將所述回應報文發送至所述網絡設備B ;S215 :所述網絡設備B根據所述回應報文的IP五元組查詢所述網絡設備B上的快速轉發表,根據查詢獲得的IPSEC隧道序號將所述回應報文通過對應的IPSEC隧道發送至所述網絡設備A ;S216 :所述網絡設備A接收到所述回應報文後,根據所述回應報文的IP五元組將所述回應報文轉發至所述內網A。優選地,所述網絡設備A和網絡設備B均為防火牆、路由器和交換機中的一種。實施例I
下面以建立了兩條IPSEC隧道、並且網絡設備為防火牆為例來說明本發明,但不限定本發明的保護範圍。圖2是按照本發明一種實施例的IPSEC實現負載分擔的方法的拓撲關係圖;參照圖2,防火牆A的埠 0/0與防火牆B的埠 0/0和埠 0/1分別建立兩條IPSEC隧道、且分別稱為IPSEC隧道A和IPSEC隧道B,這兩條IPSEC隧道使用相同的訪問控制列表(AccessControl List, ACL)作為IPSEC匹配數據流的規則。當內網B向內網A發送數據時,包括以下步驟I、內網B向內網A發起兩條 流(此處及以下文中,「數據流」均簡稱為「流」),分別為流A和流B,這兩條流通過防火牆B的路由負載分擔分別從防火牆B的埠 0/0和埠0/1發出,流A從埠 0/0發出並通過IPSEC隧道A進行加密發往防火牆A,流B從埠 0/1發出並通過IPSEC隧道B進行加密發往防火牆A。2、防火牆A收到流A後,對所述流A進行解密,根據所述流A中的IP五元組進行判斷,可以確定解密的IPSEC是IPSEC隧道A,並將判斷獲得的IPSEC隧道A與所述IP五元組的對應關係保存至所述防火牆A上的快速轉發表中。3、所述防火牆A將接收到的流A轉發至內網A。4、內網A發起接收到流A後,向所述內網B返回回應報文,所述內網A先將所述回應報文發送至所述防火牆A。5、所述防火牆A根據所述回應報文的IP五元組查詢所述防火牆A上的快速轉發表,獲得所述回應報文對應IPSEC隧道A,將所述回應報文進行IPSEC隧道加密,通過IPSEC隧道發送至所述防火牆B ;6、所述防火牆B接收到所述回應報文後,對所述回應報文進行解密,根據所述回應報文的IP五元組將所述回應報文轉發至所述內網B。當內網A向內網B發送數據時,包括以下步驟I、內網A向內網B發起流C,防火牆A上判斷單位時間內IPSEC隧道A和IPSEC隧道B上哪個流量小,如果IPSEC隧道A流量相對較小,則通過IPSEC隧道A對流進行加密並發送給防火牆B的埠 0/0。2、防火牆B接收到流C後,根據所述流C的IP五元組判斷流C是從IPSEC隧道A發送而來,並將判斷獲得的IPSEC隧道A與IP五元組的對應關係保存至所述防火牆B上的快速轉發表中。3、防火牆B接收到流C後轉發至內網B。4、內網B接收到流C後,向所述內網A返回回應報文,所述內網B先將所述回應報文發送至防火牆B ;5、防火牆B根據所述回應報文的IP五元組查詢所述防火牆B上的快速轉發表,獲得所述回應報文對應IPSEC隧道A,將所述回應報文進行IPSEC隧道加密,通過IPSEC隧道發送至所述防火牆A ;6、防火牆A接收到所述回應報文後,對所述回應報文進行解密,根據所述回應報文的IP五元組將所述回應報文轉發至所述內網A。本發明還公開了一種IPSEC實現負載分擔的系統,所述系統包括隧道建立模塊,用於將傳輸數據帶寬較大的網絡設備A的一個埠與傳輸數據帶寬較小的網絡設備B的至少兩個埠之間分別建立IPSEC隧道;數據交互模塊,用於通過所述網絡設備A、IPSEC隧道、以及網絡設備B來完成內網A和內網B之間的數據交互,所述內網A與所述網絡設備A對應,所述內網B與所述網絡設備B對應。
以上實施方式僅用於說明本發明,而並非對本發明的限制,有關技術領域的普通技術人員,在不脫離本發明的精神和範圍的情況下,還可以做出各種變化和變型,因此所有等同的技術方案也屬於本發明的範疇,本發明的專利保護範圍應由權利要求限定。
權利要求
1.一種IPSEC實現負載分擔的方法,其特徵在於,所述方法包括以下步驟 51:將傳輸數據帶寬較大的網絡設備A的一個埠與傳輸數據帶寬較小的網絡設備B的至少兩個埠之間分別建立IPSEC隧道; 52:通過所述網絡設備A、IPSEC隧道、以及網絡設備B來完成內網A和內網B之間的數據交互,所述內網A與所述網絡設備A對應,所述內網B與所述網絡設備B對應。
2.如權利要求I所述的方法,其特徵在於,步驟S2包括以下步驟 5201:所述內網B向所述內網A發送數據時,發送與IPSEC隧道數量相同、且一一對應的數據流,所述數據流分別經過所述網絡設備B、以及對應的IPSEC隧道至所述網絡設備A ; 5202:所述網絡設備A將接收到的數據流轉發至內網A。
3.如權利要求2所述的方法,其特徵在於,步驟S201和S202之間還包括以下步驟 S2011 :所述網絡設備A接收到所述數據流後,對所述數據流進行解析,根據所述數據流的IP五元組判斷所述數據流從哪條IPSEC隧道發送而來,並將判斷獲得的IPSEC隧道序號保存至所述網絡設備A上的快速轉發表中。
4.如權利要求3所述的方法,其特徵在於,步驟S202之後還包括以下步驟 5203:所述內網A接收到所述數據流後,向所述內網B返回回應報文,所述內網A先將所述回應報文發送至所述網絡設備A ; 5204:所述網絡設備A根據所述回應報文的IP五元組查詢所述網絡設備A上的快速轉發表,根據查詢獲得的IPSEC隧道序號將所述回應報文通過對應的IPSEC隧道發送至所述網絡設備B ; 5205:所述網絡設備B接收到所述回應報文後,根據所述回應報文的IP五元組將所述回應報文轉發至所述內網B。
5.如權利要求I所述的方法,其特徵在於,步驟S2包括以下步驟 5211:所述內網A向內網B發送數據時,發送一個數據流至所述網絡設備A ; 5212:所述網絡設備A選擇所述IPSEC隧道中流量最小的IPSEC隧道傳輸所述數據流; 5213:所述網絡設備B接收到所述數據流後,轉發至所述內網B。
6.如權利要求5所述的方法,其特徵在於,步驟S212中所述網絡設備B接收到所述數據流後,根據所述數據流的IP五元組判斷所述數據流從哪條IPSEC隧道發送而來,並將判斷獲得的IPSEC隧道序號保存至所述網絡設備B上的快速轉發表中。
7.如權利要求6所述的方法,其特徵在於,步驟S213之後還包括以下步驟 5214:所述內網B接收到所述數據流後,向所述內網A返回回應報文,所述內網B先將所述回應報文發送至所述網絡設備B ; 5215:所述網絡設備B根據所述回應報文的IP五元組查詢所述網絡設備B上的快速轉發表,根據查詢獲得的IPSEC隧道序號將所述回應報文通過對應的IPSEC隧道發送至所述網絡設備A ; 5216:所述網絡設備A接收到所述回應報文後,根據所述回應報文的IP五元組將所述回應報文轉發至所述內網A。
8.如權利要求I 7中任一項所述的方法,其特徵在於,所述網絡設備A和網絡設備B均為防火牆、路由器和交換機中的一種。
9.一種IPSEC實現負載分擔的系統,其特徵在於,所述系統包括 隧道建立模塊,用於將傳輸數據帶寬較大的網絡設備A的一個埠與傳輸數據帶寬較小的網絡設備B的至少兩個埠之間分別建立IPSEC隧道; 數據交互模塊,用於通過所述網絡設備A、IPSEC隧道、以及網絡設備B來完成內網A和內網B之間的數據交互,所述內網A與所述網絡設備A對應,所述內網B與所述網絡設備B對應。
全文摘要
本發明公開了一種IPSEC實現負載分擔的方法及系統,涉及網絡通信技術領域,所述方法包括S1將傳輸數據帶寬較大的網絡設備A的一個埠與傳輸數據帶寬較小的網絡設備B的至少兩個埠之間分別建立IPSEC隧道;S2通過所述網絡設備A、IPSEC隧道、以及網絡設備B來完成內網A和內網B之間的數據交互,所述內網A與所述網絡設備A對應,所述內網B與所述網絡設備B對應。本發明通過將傳輸數據帶寬較大的網絡設備A的一個埠與傳輸數據帶寬較小的網絡設備B的至少兩個埠之間分別建立IPSEC隧道來增加帶寬,提高了兩臺網絡設備之間的數據傳輸速度。
文檔編號H04L12/56GK102647349SQ201210090300
公開日2012年8月22日 申請日期2012年3月30日 優先權日2012年3月30日
發明者陳海濱 申請人:漢柏科技有限公司