一種分布式防火墻IPSec業(yè)務(wù)負(fù)載分擔(dān)的方法及裝置制造方法

文檔序號(hào)：7980765閱讀：219來源：國知局

導(dǎo)航： X技術(shù)> 最新專利>電子通信裝置的制造及其應(yīng)用技術(shù)

一種分布式防火墻IPSec業(yè)務(wù)負(fù)載分擔(dān)的方法及裝置制造方法
【專利摘要】一種分布式防火墻IPsec業(yè)務(wù)的負(fù)載分擔(dān)的方法及裝置，通過主控板及時(shí)下發(fā)ACL策略信息給所有接口板，以保證來自特定網(wǎng)絡(luò)設(shè)備的報(bào)文均發(fā)送給對(duì)應(yīng)的接口板；并通過將SA流信息同步到所有業(yè)務(wù)板，當(dāng)業(yè)務(wù)板根據(jù)SA流信息，發(fā)現(xiàn)其接收的報(bào)文不屬于其自身處理時(shí)，進(jìn)一步將該報(bào)文重定向至與該SA流信息匹配的業(yè)務(wù)板，通過前述手段，可以保證同一條流的報(bào)文都發(fā)送到同一個(gè)業(yè)務(wù)板處理，因而，實(shí)現(xiàn)了分布式式防火墻上的IPSec業(yè)務(wù)的負(fù)載分擔(dān)。
【專利說明】一種分布式防火墻I PSec業(yè)務(wù)負(fù)載分擔(dān)的方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及數(shù)據(jù)通信【技術(shù)領(lǐng)域】，尤其涉及一種分布式防火墻IPSec業(yè)務(wù)負(fù)載分擔(dān)的方法和裝置。
【背景技術(shù)】
[0002]分布式防火墻通過分布式多業(yè)務(wù)板并行處理業(yè)務(wù)，以提升整機(jī)的處理性能，進(jìn)而滿足用戶高并發(fā)、高新建以及高吞吐量的需求。
[0003]具體地，分布式防火墻設(shè)備一般由接口板、業(yè)務(wù)板以及主控板組成。其中接口板，用于接收和發(fā)送報(bào)文，并把報(bào)文通過交換網(wǎng)絡(luò)發(fā)送到各業(yè)務(wù)板去處理對(duì)應(yīng)業(yè)務(wù)；業(yè)務(wù)板，用于獨(dú)立地進(jìn)行會(huì)話的建立、報(bào)文的轉(zhuǎn)發(fā)、Qos的處理、以及IPSec (IP Security,指IP安全)加密等大部分的業(yè)務(wù)，通過各個(gè)獨(dú)立的業(yè)務(wù)板能提高防火墻設(shè)備整機(jī)的業(yè)務(wù)處理能力；主控板，則用于防火墻設(shè)備上的業(yè)務(wù)板配置和路由等，但不參與具體的業(yè)務(wù)轉(zhuǎn)發(fā)。
[0004]為了充分發(fā)揮防火墻設(shè)備的整體性能，一般需要將從接口板接收到的數(shù)據(jù)均衡地發(fā)送給各個(gè)業(yè)務(wù)板處理。然而，由于防火墻處理的所有業(yè)務(wù)均需要基于流的處理，這就要求從接口板收到的同一條流的所有正反向報(bào)文必須都送到同一個(gè)業(yè)務(wù)板上處理，同時(shí)由于ALG (Application Level Gateway,應(yīng)用層網(wǎng)關(guān))的需要，與之關(guān)聯(lián)的數(shù)據(jù)流的報(bào)文也必須都送到同一個(gè)業(yè)務(wù)板上處理，例如:假如在某應(yīng)用場(chǎng)景下，ftp業(yè)務(wù)的控制流分配給業(yè)務(wù)板I處理，那么對(duì)應(yīng)地，它的數(shù)據(jù)流也必須保證分配到業(yè)務(wù)板I上。
[0005]為了解決上述問題，現(xiàn)有技術(shù)通過中心節(jié)點(diǎn)(中心網(wǎng)絡(luò)設(shè)備)來負(fù)責(zé)各業(yè)務(wù)板上處理的業(yè)務(wù)的負(fù)載均衡調(diào)度，具體地，中心節(jié)點(diǎn)保持所有業(yè)務(wù)板上處理的業(yè)務(wù)會(huì)話信息并對(duì)所有的IPSec業(yè)務(wù)進(jìn)行加解密處理。采用該種方案，能較好地實(shí)現(xiàn)前述所有基于流的IPSec業(yè)務(wù)的負(fù)載均衡，且適用各種組網(wǎng)，通用性較好。
[0006]然而，在該方案下，對(duì)中心節(jié)點(diǎn)的要求較高，由于中心節(jié)點(diǎn)需要保留所有業(yè)務(wù)板上的業(yè)務(wù)會(huì)話信息，并進(jìn)行所有的IPSec業(yè)務(wù)的加/解密處理，因而該中心節(jié)點(diǎn)很有可能成為性能瓶頸，并不能有效提升防火墻設(shè)備的整機(jī)性能。

【發(fā)明內(nèi)容】

[0007]有鑒于此，本發(fā)明提供一種分布式防火墻IPSec業(yè)務(wù)負(fù)載分擔(dān)的方法和裝置。通過本發(fā)明，較好地實(shí)現(xiàn)分布式防火墻上的IPSec業(yè)務(wù)在各個(gè)業(yè)務(wù)板的負(fù)載均衡，并能保證IPSec的各項(xiàng)性能能夠隨業(yè)務(wù)板數(shù)量的上升而成倍上升。
[0008]為實(shí)現(xiàn)本發(fā)明目的，本發(fā)明實(shí)現(xiàn)方案具體如下:
[0009]一種分布式防火墻IPsec業(yè)務(wù)負(fù)載分擔(dān)的方法，應(yīng)用于需要通過公網(wǎng)進(jìn)行IPSec數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)系統(tǒng)中，其中該網(wǎng)絡(luò)系統(tǒng)至少包括若干個(gè)外網(wǎng)設(shè)備和內(nèi)網(wǎng)設(shè)備，所述防火墻設(shè)置于所述外網(wǎng)設(shè)備和內(nèi)網(wǎng)設(shè)備之間，且至少包括一個(gè)主控板和兩個(gè)以上的接口板和業(yè)務(wù)板，其中所述方法包括如下步驟:所述業(yè)務(wù)板通知主控板及時(shí)下發(fā)ACL策略信息給所有接口板，以保證來自特定網(wǎng)絡(luò)設(shè)備的報(bào)文均發(fā)送給對(duì)應(yīng)的接口板；所述業(yè)務(wù)板進(jìn)一步將將SA流信息同步到其他所有業(yè)務(wù)板，當(dāng)業(yè)務(wù)板根據(jù)SA流信息，發(fā)現(xiàn)其接收的報(bào)文不屬于其自身處理時(shí)，進(jìn)一步將該報(bào)文重定向至與該SA流信息匹配的業(yè)務(wù)板。
[0010]本發(fā)明同時(shí)提供了一種分布式防火墻IPsec業(yè)務(wù)負(fù)載分擔(dān)的裝置，所述裝置應(yīng)用于需要通過公網(wǎng)進(jìn)行IPSec數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)系統(tǒng)中，其中該網(wǎng)絡(luò)系統(tǒng)至少包括若干個(gè)外網(wǎng)設(shè)備和內(nèi)網(wǎng)設(shè)備，所述裝置設(shè)置于所述外網(wǎng)設(shè)備和內(nèi)網(wǎng)設(shè)備之間，且至少包括一個(gè)主控板和兩個(gè)以上的接口板和業(yè)務(wù)板，其中所述接口板，用于接收來自網(wǎng)絡(luò)設(shè)備的報(bào)文，并按照預(yù)定策略規(guī)則轉(zhuǎn)發(fā)給對(duì)應(yīng)的業(yè)務(wù)板，其中所述業(yè)務(wù)板，用于對(duì)接收來自接口板的報(bào)文進(jìn)行相應(yīng)的處理并轉(zhuǎn)發(fā)給目標(biāo)網(wǎng)絡(luò)設(shè)備，并通過主控板及時(shí)下發(fā)ACL策略信息給所有接口板，以保證來自特定網(wǎng)絡(luò)設(shè)備的報(bào)文均發(fā)送給對(duì)應(yīng)的接口板；并通過將SA流信息同步到所有業(yè)務(wù)板，當(dāng)業(yè)務(wù)板根據(jù)SA流信息，發(fā)現(xiàn)其接收的報(bào)文不屬于其自身處理時(shí)，進(jìn)一步將該報(bào)文重定向至與該SA流信息匹配的業(yè)務(wù)板。
[0011]與現(xiàn)有的技術(shù)方案相比，本發(fā)明通過主控板及時(shí)下發(fā)ACL策略信息給所有接口板，以保證來自特定網(wǎng)絡(luò)設(shè)備的報(bào)文均發(fā)送給對(duì)應(yīng)的接口板；并通過將SA流信息同步到所有業(yè)務(wù)板，當(dāng)業(yè)務(wù)板根據(jù)SA流信息，發(fā)現(xiàn)其接收的報(bào)文不屬于其自身處理時(shí)，進(jìn)一步將該報(bào)文重定向至與該SA流信息匹配的業(yè)務(wù)板，通過前述手段，可以保證同一條流的報(bào)文都發(fā)送到同一個(gè)業(yè)務(wù)板處理，因而，實(shí)現(xiàn)了分布式式防火墻上的IPSec業(yè)務(wù)的負(fù)載分擔(dān)。
【專利附圖】

【附圖說明】
[0012]圖1是本發(fā)明分布式防火墻IPSec業(yè)務(wù)負(fù)載分擔(dān)的裝置示意圖。
[0013]圖2是本發(fā)明分布式防火墻IPSec業(yè)務(wù)負(fù)載分擔(dān)的方法流程圖。
[0014]圖3是本發(fā)明分布式防火墻IPSec業(yè)務(wù)負(fù)載分擔(dān)的應(yīng)用場(chǎng)景圖。
[0015]圖4是圖3所示應(yīng)用場(chǎng)景下采用本發(fā)明方法，分支內(nèi)網(wǎng)設(shè)備Blcl向中心內(nèi)網(wǎng)設(shè)備SI發(fā)起訪問時(shí)，本發(fā)明分布式防火墻IPSec業(yè)務(wù)負(fù)載分擔(dān)的流程圖。
[0016]圖5是圖3所示應(yīng)用場(chǎng)景下采用本發(fā)明方法，中心內(nèi)網(wǎng)設(shè)備SI向分支內(nèi)網(wǎng)設(shè)備Blcl發(fā)起訪問時(shí)，本發(fā)明分布式防火墻IPSec業(yè)務(wù)負(fù)載分擔(dān)的流程圖。
【具體實(shí)施方式】
[0017]為了實(shí)現(xiàn)本發(fā)明目的，本發(fā)明采用的核心思想為:本發(fā)明分布式防火墻通過主控板及時(shí)下發(fā)ACL (Access Control List,訪問控制列表)策略信息給所有接口板，以保證來自特定網(wǎng)絡(luò)設(shè)備的報(bào)文均發(fā)送給對(duì)應(yīng)的接口板；并通過將SA (Security Association,安全聯(lián)盟)流信息同步到所有業(yè)務(wù)板，當(dāng)業(yè)務(wù)板根據(jù)SA流信息，發(fā)現(xiàn)其接收的報(bào)文不屬于其自身處理時(shí)，進(jìn)一步將該報(bào)文重定向至與該SA流信息匹配的業(yè)務(wù)板，通過前述手段，可以保證同一條流的報(bào)文都發(fā)送到同一個(gè)業(yè)務(wù)板處理，因而，實(shí)現(xiàn)了分布式式防火墻上的IPSec業(yè)務(wù)的負(fù)載分擔(dān)。
[0018]為使本發(fā)明更加清楚和明白，以下結(jié)合本發(fā)明具體實(shí)施例加以說明。具體地，如圖1所示，為本發(fā)明分布式防火墻IPSec報(bào)文業(yè)務(wù)負(fù)載分擔(dān)的裝置，所述裝置應(yīng)用于需要通過公網(wǎng)進(jìn)行IPSec數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)系統(tǒng)中，該網(wǎng)絡(luò)系統(tǒng)至少包括若干個(gè)外網(wǎng)設(shè)備和內(nèi)網(wǎng)設(shè)備。所述裝置設(shè)置于所述外網(wǎng)設(shè)備和內(nèi)網(wǎng)設(shè)備之間，且至少包括一個(gè)主控板和兩個(gè)以上的接口板和業(yè)務(wù)板,其中:[0019]所述接口板，用于接收來自網(wǎng)絡(luò)設(shè)備的報(bào)文，并按照預(yù)定策略規(guī)則轉(zhuǎn)發(fā)給對(duì)應(yīng)的業(yè)務(wù)板。
[0020]具體地，當(dāng)分支內(nèi)網(wǎng)設(shè)備向中心內(nèi)網(wǎng)設(shè)備發(fā)起訪問時(shí)，所述網(wǎng)絡(luò)設(shè)備具體為外網(wǎng)(公網(wǎng))分支設(shè)備；當(dāng)中心內(nèi)網(wǎng)設(shè)備向分支內(nèi)網(wǎng)設(shè)備發(fā)起訪問時(shí)，所述網(wǎng)絡(luò)設(shè)備具體為中心內(nèi)網(wǎng)設(shè)備。另外，在本發(fā)明實(shí)施例中，所述預(yù)定的策略規(guī)則，具體為通過Hash算法隨機(jī)均衡分配業(yè)務(wù)給對(duì)應(yīng)的業(yè)務(wù)板。
[0021]所述業(yè)務(wù)板，用于對(duì)接收來自接口板的報(bào)文進(jìn)行相應(yīng)的處理并轉(zhuǎn)發(fā)給目標(biāo)網(wǎng)絡(luò)設(shè)備，通過主控板及時(shí)下發(fā)ACL策略信息給所有接口板，以保證來自特定網(wǎng)絡(luò)設(shè)備的報(bào)文均發(fā)送給對(duì)應(yīng)的接口板；并通過將SA流信息同步到所有業(yè)務(wù)板，當(dāng)業(yè)務(wù)板根據(jù)SA流信息，發(fā)現(xiàn)其接收的報(bào)文不屬于其自身處理時(shí)，進(jìn)一步將該報(bào)文重定向至與該SA流信息匹配的業(yè)務(wù)板。
[0022]具體地，當(dāng)所述業(yè)務(wù)板接收到來自接口板的報(bào)文時(shí)，需要確認(rèn)是否對(duì)所述報(bào)文進(jìn)行IPSec加密或解密處理，進(jìn)一步地，當(dāng)分支內(nèi)網(wǎng)設(shè)備向中心內(nèi)網(wǎng)設(shè)備發(fā)起訪問時(shí)，所述業(yè)務(wù)板確認(rèn)是否需要對(duì)所述報(bào)文進(jìn)行IPSec解密處理；當(dāng)中心內(nèi)網(wǎng)設(shè)備向分支內(nèi)網(wǎng)設(shè)備發(fā)起訪問時(shí)，所述業(yè)務(wù)板確認(rèn)是否需要對(duì)所述報(bào)文進(jìn)行IPSec加密處理。當(dāng)業(yè)務(wù)板確認(rèn)需要對(duì)所述報(bào)文進(jìn)行IPSec加密處理時(shí)，還需要通知主控板下發(fā)ACL信息給所有接口板，告知后續(xù)源或目的IP地址為傳輸所述報(bào)文的外網(wǎng)設(shè)備的IP地址的所有報(bào)文均發(fā)送至該業(yè)務(wù)板。反之，如果經(jīng)確認(rèn)不需要對(duì)所述報(bào)文進(jìn)行IPSec加密或解密處理，則直接對(duì)所述報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理。
[0023]進(jìn)一步地，當(dāng)所述業(yè)務(wù)板確認(rèn)需要對(duì)所述報(bào)文進(jìn)行IPSec加解密處理時(shí)，所述業(yè)務(wù)板查詢本地是否保存有對(duì)所述報(bào)文進(jìn)行IPSec處理的對(duì)應(yīng)SA流信息，如果查詢到本地保存有對(duì)所述報(bào)文進(jìn)行IPSec處理的對(duì)應(yīng)SA流信息，則表明所述報(bào)文之前已建立起相應(yīng)的IPSec加密或解密處理策略；反之，如果沒有查詢到本地保存有對(duì)所述報(bào)文進(jìn)行IPSec處理的對(duì)應(yīng)SA流信息，則表明所述報(bào)文為新報(bào)文，需要進(jìn)一步與外網(wǎng)分支設(shè)備進(jìn)行IPSec加密處理的IKE協(xié)商，以便協(xié)商到對(duì)應(yīng)的SA流信息。
[0024]進(jìn)一步地，當(dāng)所述業(yè)務(wù)板查詢到本板上保存有對(duì)所述報(bào)文進(jìn)行IPSec處理的對(duì)應(yīng)SA流信息，需要進(jìn)一步根據(jù)查詢到的SA流程判斷所述報(bào)文是否由本板進(jìn)行IPSec加密或解密處理，如果是則直接根據(jù)該SA流信息進(jìn)行相應(yīng)的IPSec加密或解密處理，否則，業(yè)務(wù)板根據(jù)查詢到的SA流信息進(jìn)行匹配，并將該報(bào)文重定向發(fā)送給匹配到的對(duì)應(yīng)業(yè)務(wù)板進(jìn)行IPSec加密或解密處理。具體地，當(dāng)業(yè)務(wù)板接收到來自外網(wǎng)分支設(shè)備的IPSec報(bào)文時(shí)，則根據(jù)查詢到的SA流信息，對(duì)所述IPSec報(bào)文進(jìn)行解密處理，并將解密后的報(bào)文發(fā)送給中心內(nèi)網(wǎng)設(shè)備；反之，如果業(yè)務(wù)板接收到來自中心內(nèi)網(wǎng)設(shè)備的報(bào)文，則根據(jù)查詢到的SA流信息，對(duì)所述中心內(nèi)網(wǎng)設(shè)備發(fā)送的報(bào)文進(jìn)行IPSec加密處理，并將加密后的報(bào)文發(fā)送給外網(wǎng)分支設(shè)備。
[0025]進(jìn)一步地，當(dāng)業(yè)務(wù)板對(duì)來自外網(wǎng)分支設(shè)備的IPSec報(bào)文進(jìn)行解密后，還需要通知主控板下發(fā)ACL信息給所有接口板，告知后續(xù)目的IP為所述該報(bào)文源IP地址的報(bào)文均發(fā)送至該業(yè)務(wù)板。
[0026]進(jìn)一步地，當(dāng)業(yè)務(wù)板根據(jù)查詢到的SA流信息判斷不是由本板進(jìn)行IPSec加密或解密處理，則根據(jù)該查詢到的SA流信息進(jìn)行匹配對(duì)應(yīng)的業(yè)務(wù)板，并將所述報(bào)文重定向至匹配到的業(yè)務(wù)板進(jìn)行前述IPSec加密或解密處理。[0027]進(jìn)一步地，當(dāng)所述業(yè)務(wù)板沒有查詢到本地保存有對(duì)所述報(bào)文進(jìn)行IPSec處理的對(duì)應(yīng)SA流信息，則表明所述報(bào)文為網(wǎng)絡(luò)設(shè)備新發(fā)送的報(bào)文，此時(shí)所述業(yè)務(wù)板需要啟動(dòng)與外網(wǎng)分支設(shè)備進(jìn)行IPSec加密/解密處理的IKE協(xié)商，以便協(xié)商到對(duì)應(yīng)的SA流信息。另外，在協(xié)商到對(duì)應(yīng)的SA流信息后，進(jìn)一步將協(xié)商到的SA流信息同步到所有其他業(yè)務(wù)板，并標(biāo)識(shí)后續(xù)具有該SA流信息的報(bào)文均由該業(yè)務(wù)板處理。
[0028]如圖2所示，為本發(fā)明分布式防火墻IPSec業(yè)務(wù)負(fù)載分擔(dān)的方法流程圖，應(yīng)用于需要通過公網(wǎng)進(jìn)行IPSec數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)系統(tǒng)中，該網(wǎng)絡(luò)系統(tǒng)至少包括若干個(gè)外網(wǎng)設(shè)備和內(nèi)網(wǎng)設(shè)備。所述防火墻設(shè)置于所述外網(wǎng)設(shè)備和內(nèi)網(wǎng)設(shè)備之間，且至少包括一個(gè)主控板和兩個(gè)以上的接口板和業(yè)務(wù)板，其中所述方法包括如下步驟:
[0029]步驟1、接口板接收來自網(wǎng)絡(luò)設(shè)備的報(bào)文，按照預(yù)定策略規(guī)則轉(zhuǎn)發(fā)給對(duì)應(yīng)的業(yè)務(wù)板。
[0030]具體地，當(dāng)分支內(nèi)網(wǎng)設(shè)備向中心內(nèi)網(wǎng)設(shè)備發(fā)起訪問時(shí)，所述網(wǎng)絡(luò)設(shè)備具體為外網(wǎng)(公網(wǎng))分支設(shè)備；當(dāng)中心內(nèi)網(wǎng)設(shè)備向分支內(nèi)網(wǎng)設(shè)備發(fā)起訪問時(shí)，所述網(wǎng)絡(luò)設(shè)備具體為中心內(nèi)網(wǎng)設(shè)備。另外，在本發(fā)明實(shí)施例中，所述預(yù)定的策略規(guī)則，具體為通過Hash算法隨機(jī)均衡分配業(yè)務(wù)給對(duì)應(yīng)的業(yè)務(wù)板。
[0031]步驟2、業(yè)務(wù)板確認(rèn)是否需要對(duì)所述報(bào)文進(jìn)行IPSec加密或解密處理，如果是，則進(jìn)行步驟3，否則，進(jìn)行步驟8。
[0032]具體地，當(dāng)分支內(nèi)網(wǎng)設(shè)備向中心內(nèi)網(wǎng)設(shè)備發(fā)起訪問時(shí)，所述業(yè)務(wù)板確認(rèn)是否需要對(duì)所述報(bào)文進(jìn)行IPSec解密處理；當(dāng)中心內(nèi)網(wǎng)設(shè)備向分支內(nèi)網(wǎng)設(shè)備發(fā)起訪問時(shí)，所述業(yè)務(wù)板確認(rèn)是否需要對(duì)所述報(bào)文進(jìn)行IPSec加密處理。
[0033]另外，當(dāng)業(yè)務(wù)板確認(rèn)需要對(duì)所述報(bào)文進(jìn)行IPSec加密處理時(shí)，還需要通知主控板下發(fā)ACL信息給所有接口板，告知后續(xù)源或目的IP地址為傳輸所述報(bào)文的外網(wǎng)設(shè)備的IP地址的所有報(bào)文均發(fā)送至該業(yè)務(wù)板。
[0034]步驟3、業(yè)務(wù)板查詢本地是否保存有對(duì)所述報(bào)文進(jìn)行IPSec處理的對(duì)應(yīng)SA流信息，如果有，則進(jìn)行步驟4，否則進(jìn)行步驟7。
[0035]具體地，當(dāng)查詢到本地保存有對(duì)所述報(bào)文進(jìn)行IPSec處理的對(duì)應(yīng)SA流信息，則表明所述報(bào)文之前已建立起相應(yīng)的IPSec加密或解密處理策略；反之，如果沒有查詢到本地保存有對(duì)所述報(bào)文進(jìn)行IPSec處理的對(duì)應(yīng)SA流信息，則表明所述報(bào)文為新報(bào)文，需要進(jìn)一步與外網(wǎng)分支設(shè)備進(jìn)行IPSec加密處理的IKE協(xié)商，以便協(xié)商到對(duì)應(yīng)的SA流信息。
[0036]步驟4、業(yè)務(wù)板根據(jù)查詢到的SA流信息判斷是否由本板進(jìn)行IPSec加密或解密處理，如果是，則進(jìn)行步驟5，否則，進(jìn)行步驟6。
[0037]具體地，當(dāng)業(yè)務(wù)板查詢到本板上保存有對(duì)所述報(bào)文進(jìn)行IPSec處理的對(duì)應(yīng)SA流信息，需要進(jìn)一步根據(jù)查詢到的SA流程判斷所述報(bào)文是否由本板進(jìn)行IPSec加密或解密處理，如果是則直接根據(jù)該SA流信息進(jìn)行相應(yīng)的IPSec加密或解密處理，否則，業(yè)務(wù)板根據(jù)查詢到的SA流信息進(jìn)行匹配，并將該報(bào)文重定向發(fā)送給匹配到的對(duì)應(yīng)業(yè)務(wù)板進(jìn)行IPSec加密或解密處理。
[0038]步驟5、業(yè)務(wù)板對(duì)所述報(bào)文進(jìn)行IPSec加密或解密處理，并將加密或解密后的報(bào)文發(fā)送給目標(biāo)網(wǎng)絡(luò)設(shè)備。
[0039]具體地，當(dāng)業(yè)務(wù)板接收到來自外網(wǎng)分支設(shè)備的IPSec報(bào)文時(shí)，則根據(jù)查詢到的SA流信息，對(duì)所述IPSec報(bào)文進(jìn)行解密處理，并將解密后的報(bào)文發(fā)送給中心內(nèi)網(wǎng)設(shè)備；反之，如果業(yè)務(wù)板接收到來自中心內(nèi)網(wǎng)設(shè)備的報(bào)文，則根據(jù)查詢到的SA流信息，對(duì)所述中心內(nèi)網(wǎng)設(shè)備發(fā)送的報(bào)文進(jìn)行IPSec加密處理，并將加密后的報(bào)文發(fā)送給外網(wǎng)分支設(shè)備。
[0040]進(jìn)一步地，當(dāng)業(yè)務(wù)板對(duì)來自外網(wǎng)分支設(shè)備的IPSec報(bào)文進(jìn)行解密后，還需要通知主控板下發(fā)ACL信息給所有接口板，告知后續(xù)目的IP為所述該報(bào)文源IP地址的報(bào)文均發(fā)送至該業(yè)務(wù)板。
[0041]步驟6、業(yè)務(wù)板根據(jù)查詢到的SA流信息進(jìn)行匹配，并將該報(bào)文重定向發(fā)送給匹配到的對(duì)應(yīng)業(yè)務(wù)板進(jìn)行IPSec加密或解密處理，并將加密或解密后的報(bào)文發(fā)送給目標(biāo)網(wǎng)絡(luò)設(shè)備。
[0042]具體地，當(dāng)業(yè)務(wù)板根據(jù)查詢到的SA流信息判斷不是由本板進(jìn)行IPSec加密或解密處理，則根據(jù)該查詢到的SA流信息進(jìn)行匹配對(duì)應(yīng)的業(yè)務(wù)板，并將所述報(bào)文重定向至匹配到的業(yè)務(wù)板進(jìn)行前述步驟6所述的IPSec加密或解密處理。
[0043]步驟7、業(yè)務(wù)板啟動(dòng)所述報(bào)文IPSec加密處理的IKE協(xié)商，并將協(xié)商到的SA流信息同步到所有其他業(yè)務(wù)板，并標(biāo)識(shí)后續(xù)具有該SA流信息的報(bào)文均由該業(yè)務(wù)板處理。
[0044]具體地，如果業(yè)務(wù)板沒有查詢到本地保存有對(duì)所述報(bào)文進(jìn)行IPSec處理的對(duì)應(yīng)SA流信息，則表明所述報(bào)文為網(wǎng)絡(luò)設(shè)備新發(fā)送的報(bào)文，此時(shí)所述業(yè)務(wù)板需要啟動(dòng)與外網(wǎng)分支設(shè)備進(jìn)行IPSec加密/解密處理的IKE協(xié)商，以便協(xié)商到對(duì)應(yīng)的SA流信息。另外，在協(xié)商到對(duì)應(yīng)的SA流信息后，進(jìn)一步將協(xié)商到的SA流信息同步到所有其他業(yè)務(wù)板，并標(biāo)識(shí)后續(xù)具有該SA流信息的報(bào)文均由該業(yè)務(wù)板處理。
[0045]步驟8、直接對(duì)所述報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理。
[0046]如圖3所示，為本發(fā)明分布式防火墻IPSec業(yè)務(wù)負(fù)載分擔(dān)的應(yīng)用場(chǎng)景圖，圖4則為圖3所示應(yīng)用場(chǎng)景下采用本發(fā)明方法分支內(nèi)網(wǎng)設(shè)備Blcl向中心內(nèi)網(wǎng)設(shè)備SI發(fā)起訪問的流程圖。
[0047]在該應(yīng)用場(chǎng)景下，本發(fā)明分支內(nèi)網(wǎng)設(shè)備Blcl向中心內(nèi)網(wǎng)設(shè)備SI發(fā)起的訪問，首先觸發(fā)外網(wǎng)分支設(shè)備BI主動(dòng)發(fā)起對(duì)中心設(shè)備分布式防火墻的IKE協(xié)商。
[0048]具體地，外網(wǎng)分支設(shè)備BI發(fā)送IKE協(xié)商報(bào)文到中心設(shè)備分布式防火墻的接口卡，防火墻接口板通過所述報(bào)文源IP地址、目的IP地址、源端口，目的端口以及協(xié)議號(hào)做HASH處理，假定經(jīng)HASH處理后發(fā)送到業(yè)務(wù)板Cl。
[0049]業(yè)務(wù)板Cl在進(jìn)行轉(zhuǎn)發(fā)處理前，先確認(rèn)是否需要對(duì)該報(bào)文進(jìn)行IPSEC加密處理，如果需要進(jìn)行IPSec加密處理，則進(jìn)一步查詢其上是否保存有對(duì)應(yīng)的SA流信息，如果沒有發(fā)現(xiàn)其上沒有保存符合的SA流信息，則啟動(dòng)IKE協(xié)商，同時(shí)業(yè)務(wù)板Cl通知主控卡下發(fā)ACL信息給所有接口板，通告后續(xù)源IP為BI公網(wǎng)地址的報(bào)文均發(fā)送往業(yè)務(wù)板Cl。
[0050]當(dāng)業(yè)務(wù)板Cl協(xié)商到SA流信息后，業(yè)務(wù)板Cl需要進(jìn)一步把該SA流信息同步到所有的其他業(yè)務(wù)板上，同時(shí)標(biāo)識(shí)該SA流信息的IPSec處理的業(yè)務(wù)板為Cl。
[0051]當(dāng)接口板接收到外網(wǎng)分支設(shè)備BI發(fā)送的IPSEC加密報(bào)文，根據(jù)之前下發(fā)的ACL信息發(fā)送到業(yè)務(wù)板Cl，業(yè)務(wù)板Cl解密后發(fā)送到中心內(nèi)網(wǎng)設(shè)備SI，并通知主控板下發(fā)ACL給所有接口板，告知后續(xù)目的地址為Blcl的報(bào)文均發(fā)送到業(yè)務(wù)板Cl，同時(shí)建立防火墻會(huì)話信肩、O
[0052]接口板后續(xù)接受到由SI發(fā)往BlCl的原始報(bào)文，根據(jù)ACL匹配發(fā)送到Cl，由業(yè)務(wù)卡Cl加密后發(fā)送給BI。
[0053]當(dāng)接口卡接收到來自中心內(nèi)網(wǎng)設(shè)備Sn發(fā)送給Blcn的報(bào)文，假如根據(jù)隨機(jī)HASH運(yùn)算最終發(fā)送到業(yè)務(wù)板Cn，業(yè)務(wù)板Cn確認(rèn)需要進(jìn)行IPSEC加密處理，根據(jù)SA流信息確認(rèn)該SA已經(jīng)建立，同時(shí)進(jìn)行該IPSec業(yè)務(wù)處理的仍是業(yè)務(wù)卡Cl,則業(yè)務(wù)板Cn將中心內(nèi)網(wǎng)設(shè)備Sn發(fā)送給Blcn的報(bào)文轉(zhuǎn)發(fā)給業(yè)務(wù)板Cl，由業(yè)務(wù)板Cl對(duì)該報(bào)文進(jìn)行IPSec加密后發(fā)送給外網(wǎng)設(shè)備BI。如果業(yè)務(wù)板Cn確認(rèn)之前沒有建立SA信息，則由該業(yè)務(wù)板Cn發(fā)起建立SA的IKE協(xié)商，同時(shí)標(biāo)注業(yè)務(wù)卡Cn為該SA的處理業(yè)務(wù)板卡。
[0054]進(jìn)一步地，如圖5所示，為圖3所示應(yīng)用場(chǎng)景下采用本發(fā)明方法，中心內(nèi)網(wǎng)設(shè)備SI向分支內(nèi)網(wǎng)設(shè)備Blcl發(fā)起訪問的流程圖。
[0055]在該應(yīng)用場(chǎng)景下，中心內(nèi)網(wǎng)設(shè)備SI發(fā)起對(duì)分支內(nèi)網(wǎng)設(shè)備BI Cl的訪問，首先會(huì)觸發(fā)中心設(shè)備分布式防火墻主動(dòng)發(fā)起對(duì)分支設(shè)備的IPSEC連接。
[0056]當(dāng)中心設(shè)備分布式防火墻的接口板接收到中心內(nèi)網(wǎng)設(shè)備SI發(fā)送給分支內(nèi)網(wǎng)設(shè)備Blcl的報(bào)文，防火墻接口板通過源IP地址、目的IP地址、源端口、目的端口、協(xié)議號(hào)做HASH處理，假如經(jīng)HASH處理后將該報(bào)文發(fā)送到業(yè)務(wù)板Cl。
[0057]業(yè)務(wù)板Cl在進(jìn)行轉(zhuǎn)發(fā)處理之前，確認(rèn)是否需要進(jìn)行IPSEC加密處理，如果判斷需要進(jìn)行IPSEC加密處理，則進(jìn)一步查詢其上是否保存有與該報(bào)文相符合的SA流信息，如果沒有，則需要啟動(dòng)與外網(wǎng)分支設(shè)備BI的IKE協(xié)商，同時(shí)，業(yè)務(wù)板Cl通知主控板下發(fā)ACL信息給所有的接口卡保證后續(xù)源IP為BI公網(wǎng)地址的報(bào)文送往業(yè)務(wù)板Cl。
[0058]當(dāng)業(yè)務(wù)板Cl協(xié)商到SA后，需要進(jìn)一步把SA流信息同步到所有的業(yè)務(wù)卡，同時(shí)標(biāo)識(shí)該SA的處理業(yè)務(wù)板為Cl。
[0059]當(dāng)接口卡接受到外網(wǎng)分支設(shè)備BI發(fā)送的IPSEC加密報(bào)文，根據(jù)之前下發(fā)的ACL信息發(fā)送到業(yè)務(wù)板Cl，經(jīng)業(yè)務(wù)板Cl解密后發(fā)送到中心內(nèi)網(wǎng)設(shè)備SI，同時(shí)，通知主控板下發(fā)ACL給所有接口卡，告知后續(xù)所有目的地址為Blcl的報(bào)文均發(fā)送到業(yè)務(wù)板Cl，同時(shí)建立防火墻
會(huì)話信息。
[0060]當(dāng)接口板后續(xù)接受到由中心內(nèi)網(wǎng)設(shè)備SI發(fā)往內(nèi)網(wǎng)分支設(shè)備Blcl的原始報(bào)文，首先根據(jù)ACL匹配發(fā)送到業(yè)務(wù)板Cl加密后發(fā)送給外網(wǎng)分支設(shè)備BI。
[0061]當(dāng)接口板接受到中心內(nèi)網(wǎng)設(shè)備Sn發(fā)送BnCn的報(bào)文，假定根據(jù)隨機(jī)HASH最終發(fā)送到業(yè)務(wù)板Cn，業(yè)務(wù)板Cn確認(rèn)需要進(jìn)行IPSEC加密處理，根據(jù)SA流信息確認(rèn)該SA沒有建立，由該業(yè)務(wù)板Cn發(fā)起對(duì)外網(wǎng)分支設(shè)備Bn的IKE協(xié)商，發(fā)送IKE協(xié)商報(bào)文到Bn。同時(shí)通知主控板下發(fā)ACL給所有的接口卡，告知后續(xù)目的IP為BnCn的報(bào)文或則源IP為Bn的報(bào)文發(fā)送到Cn。
[0062]當(dāng)接口板接受到外網(wǎng)分支設(shè)備Bn發(fā)送的IKE協(xié)商報(bào)文，根據(jù)ACL匹配發(fā)送到業(yè)務(wù)板Cn，在完成SA協(xié)商后，下發(fā)該SA流信息給所有的業(yè)務(wù)板，同時(shí)標(biāo)識(shí)該SA的處理板卡為Cn,保證后續(xù)來自Bn的IPSEC保溫由Cn處理。
[0063]與現(xiàn)有的技術(shù)方案相比，本發(fā)明通過SA保護(hù)流信息同步，動(dòng)態(tài)ACL下發(fā)和根據(jù)SA流信息的報(bào)文重定向?qū)崿F(xiàn)分布式防火墻IPSEC業(yè)務(wù)的負(fù)載分擔(dān)，同時(shí)保證IPSEC加密的同一條流的正反向報(bào)文都送往同一個(gè)業(yè)務(wù)卡處理，保證IPSEC信息隨業(yè)務(wù)插卡數(shù)量增加而線形增加。
[0064]以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)。
【權(quán)利要求】
1.一種分布式防火墻IPSec業(yè)務(wù)分擔(dān)的方法，應(yīng)用于需要通過公網(wǎng)進(jìn)行IPSec數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)系統(tǒng)中，其中該網(wǎng)絡(luò)系統(tǒng)至少包括若干個(gè)外網(wǎng)設(shè)備和內(nèi)網(wǎng)設(shè)備，所述防火墻設(shè)置于所述外網(wǎng)設(shè)備和內(nèi)網(wǎng)設(shè)備之間，且至少包括一個(gè)主控板和兩個(gè)以上的接口板和業(yè)務(wù)板，其特征在于，所述方法包括如下步驟: 所述業(yè)務(wù)板通知主控板下發(fā)ACL策略信息給所有接口板，以保證來自特定網(wǎng)絡(luò)設(shè)備的報(bào)文均發(fā)送給對(duì)應(yīng)的接口板；所述業(yè)務(wù)板進(jìn)一步將SA流信息同步到其他所有業(yè)務(wù)板，當(dāng)業(yè)務(wù)板根據(jù)SA流信息，發(fā)現(xiàn)其接收的報(bào)文不屬于其自身處理時(shí)，進(jìn)一步將該報(bào)文重定向至與該SA流信息匹配的業(yè)務(wù)板。
2.如權(quán)利要求1所述的方法，其特征在于，所述業(yè)務(wù)板通知主控板下發(fā)ACL策略信息給所有接口板具體包括: 當(dāng)業(yè)務(wù)板確認(rèn)需要對(duì)所述報(bào)文首次進(jìn)行IPSec加密處理時(shí)，通知主控板下發(fā)ACL信息給所有接口板，告知后續(xù)源或目的IP地址為傳輸所述報(bào)文的外網(wǎng)設(shè)備的IP地址的所有報(bào)文均發(fā)送至該業(yè)務(wù)板；并且當(dāng)業(yè)務(wù)板對(duì)來自外網(wǎng)分支設(shè)備的IPSec報(bào)文首次進(jìn)行解密后，還需要通知主控板下發(fā)ACL信息給所有接口板，告知后續(xù)目的IP為所述該報(bào)文源IP地址的報(bào)文均發(fā)送至該業(yè)務(wù)板。
3.如權(quán)利要求2所述的方法，其特征在于，當(dāng)所述業(yè)務(wù)板確認(rèn)需要對(duì)所述報(bào)文進(jìn)行IPSec加密或解密處理時(shí)，該業(yè)務(wù)板查詢本地是否保存有對(duì)所述報(bào)文進(jìn)行IPSec處理的對(duì)應(yīng)SA流信息，如果沒有，則表明所述報(bào)文為網(wǎng)絡(luò)設(shè)備新發(fā)送的報(bào)文，所述業(yè)務(wù)板需要啟動(dòng)與外網(wǎng)分支設(shè)備進(jìn)行IPSec加密/解密處理的IKE協(xié)商，以便協(xié)商到對(duì)應(yīng)的SA流信息。
4.如權(quán)利要求3所述的方法，其特征在于，所述業(yè)務(wù)板在協(xié)商到對(duì)應(yīng)的SA流信息后，進(jìn)一步將協(xié)商到的SA流信息同步到所有其他業(yè)務(wù)板，并標(biāo)識(shí)后續(xù)具有該SA流信息的報(bào)文均由該業(yè)務(wù)板處理。
5.如權(quán)利要求3所述的方法，其特征在于，如果業(yè)務(wù)板本地保存有對(duì)所述報(bào)文進(jìn)行IPSec處理的對(duì)應(yīng)SA流信息，則所述業(yè)務(wù)板根據(jù)查詢到的SA流信息判斷是否由本板進(jìn)行IPSec加密或解密處理，如果判斷結(jié)果為由本板進(jìn)行處理，則所述業(yè)務(wù)板對(duì)所述報(bào)文進(jìn)行IPSec加密或解密處理，并將加密或解密后的報(bào)文發(fā)送給目標(biāo)網(wǎng)絡(luò)設(shè)備，否則，業(yè)務(wù)板根據(jù)查詢到的SA流信息進(jìn)行匹配，并將該報(bào)文重定向發(fā)送給匹配到的對(duì)應(yīng)業(yè)務(wù)板進(jìn)行IPSec加密或解密處理，并將加密或解密后的報(bào)文發(fā)送給目標(biāo)網(wǎng)絡(luò)設(shè)備。
6.一種分布式防火墻IPSec報(bào)文業(yè)務(wù)負(fù)載分擔(dān)的裝置，所述裝置應(yīng)用于需要通過公網(wǎng)進(jìn)行IPSec數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)系統(tǒng)中，其中該網(wǎng)絡(luò)系統(tǒng)至少包括若干個(gè)外網(wǎng)設(shè)備和內(nèi)網(wǎng)設(shè)備，所述裝置設(shè)置于所述外網(wǎng)設(shè)備和內(nèi)網(wǎng)設(shè)備之間，且至少包括一個(gè)主控板和兩個(gè)以上的接口板和業(yè)務(wù)板，其中所述接口板，用于接收來自網(wǎng)絡(luò)設(shè)備的報(bào)文，并按照預(yù)定策略規(guī)則轉(zhuǎn)發(fā)給對(duì)應(yīng)的業(yè)務(wù)板，其特征于: 所述業(yè)務(wù)板，用于對(duì)接收來自接口板的報(bào)文進(jìn)行相應(yīng)的處理并轉(zhuǎn)發(fā)給目標(biāo)網(wǎng)絡(luò)設(shè)備，并通過主控板及時(shí)下發(fā)ACL策略信息給所有接口板，以保證來自特定網(wǎng)絡(luò)設(shè)備的報(bào)文均發(fā)送給對(duì)應(yīng)的接口板；并通過將SA流信息同步到所有業(yè)務(wù)板，當(dāng)業(yè)務(wù)板根據(jù)SA流信息，發(fā)現(xiàn)其接收的報(bào)文不屬于其自身處理時(shí)，進(jìn)一步將該報(bào)文重定向至與該SA流信息匹配的業(yè)務(wù)板。
7.如權(quán)利要求6所述的裝置，其特征在于，所述業(yè)務(wù)板通知主控板下發(fā)ACL策略信息給所有接口板具體包括: 當(dāng)業(yè)務(wù)板確認(rèn)需要對(duì)所述報(bào)文首次進(jìn)行IPSec加密處理時(shí)，通知主控板下發(fā)ACL信息給所有接口板，告知后續(xù)源或目的IP地址為傳輸所述報(bào)文的外網(wǎng)設(shè)備的IP地址的所有報(bào)文均發(fā)送至該業(yè)務(wù)板；并且當(dāng)業(yè)務(wù)板對(duì)來自外網(wǎng)分支設(shè)備的IPSec報(bào)文首次進(jìn)行解密后，還需要通知主控板下發(fā)ACL信息給所有接口板，告知后續(xù)目的IP為所述該報(bào)文源IP地址的報(bào)文均發(fā)送至該業(yè)務(wù)板。
8.如權(quán)利要求7所述的裝置，其特征在于，當(dāng)所述業(yè)務(wù)板確認(rèn)需要對(duì)所述報(bào)文進(jìn)行IPSec加密或解密處理時(shí)，該業(yè)務(wù)板查詢本地是否保存有對(duì)所述報(bào)文進(jìn)行IPSec處理的對(duì)應(yīng)SA流信息，如果沒有，則表明所述報(bào)文為網(wǎng)絡(luò)設(shè)備新發(fā)送的報(bào)文，所述業(yè)務(wù)板需要啟動(dòng)與外網(wǎng)分支設(shè)備進(jìn)行IPSec加密/解密處理的IKE協(xié)商，以便協(xié)商到對(duì)應(yīng)的SA流信息。
9.如權(quán)利要求8所述的裝置，其特征在于，所述業(yè)務(wù)板在協(xié)商到對(duì)應(yīng)的SA流信息后，進(jìn)一步將協(xié)商到的SA流信息同步到所有其他業(yè)務(wù)板，并標(biāo)識(shí)后續(xù)具有該SA流信息的報(bào)文均由該業(yè)務(wù)板處理。
10.如權(quán)利要求8所述的裝置，其特征在于，如果業(yè)務(wù)板本地保存有對(duì)所述報(bào)文進(jìn)行IPSec處理的對(duì)應(yīng)SA流信息，則所述業(yè)務(wù)板根據(jù)查詢到的SA流信息判斷是否由本板進(jìn)行IPSec加密或解密處理，如果判斷結(jié)果為由本板進(jìn)行處理，則所述業(yè)務(wù)板對(duì)所述報(bào)文進(jìn)行IPSec加密或解密處理，并將加密或解密后的報(bào)文發(fā)送給目標(biāo)網(wǎng)絡(luò)設(shè)備，否則，業(yè)務(wù)板根據(jù)查詢到的SA流信息進(jìn)行匹配，并將該報(bào)文重定向發(fā)送給匹配到的對(duì)應(yīng)業(yè)務(wù)板進(jìn)行IPSec加密或解密處理，并將加密或解密后的報(bào)文發(fā)送給目標(biāo)網(wǎng)絡(luò)設(shè)備。
【文檔編號(hào)】H04L29/08GK103546497SQ201210235999
【公開日】2014年1月29日申請(qǐng)日期:2012年7月9日優(yōu)先權(quán)日:2012年7月9日
【發(fā)明者】王其勇申請(qǐng)人:杭州華三通信技術(shù)有限公司

完整全部詳細(xì)技術(shù)資料下載

該技術(shù)已申請(qǐng)專利。僅供學(xué)習(xí)研究，如用于商業(yè)用途，請(qǐng)聯(lián)系技術(shù)所有人。
技術(shù)研發(fā)人員：王其勇
技術(shù)所有人：杭州華三通信技術(shù)有限公司
我是此專利的發(fā)明人

該領(lǐng)域下的技術(shù)專家
如您需求助技術(shù)專家，請(qǐng)點(diǎn)此查看客服電話進(jìn)行咨詢。
1、王老師：1.數(shù)字信號(hào)處理 2.傳感器技術(shù)及應(yīng)用 3.機(jī)電一體化產(chǎn)品開發(fā) 4.機(jī)械工程測(cè)試技術(shù) 5.逆向工程技術(shù)研究
2、王老師：1.機(jī)器人 2.嵌入式控制系統(tǒng)開發(fā)
3、孫老師：1.振動(dòng)信號(hào)時(shí)頻分析理論與測(cè)試系統(tǒng)設(shè)計(jì) 2.汽車檢測(cè)系統(tǒng)設(shè)計(jì) 3.汽車電子控制系統(tǒng)設(shè)計(jì)
4、畢老師：機(jī)構(gòu)動(dòng)力學(xué)與控制
5、袁老師：1.計(jì)算機(jī)視覺 2.無線網(wǎng)絡(luò)及物聯(lián)網(wǎng)
如您是高校老師，可以點(diǎn)此聯(lián)系我們加入專家?guī)臁?/a>

相關(guān)技術(shù)

網(wǎng)友詢問留言已有0條留言

還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊！

精彩留言，會(huì)給你點(diǎn)贊！

麻豆精品无码国产在线播放,国产亚洲精品成人AA片新蒲金,国模无码大尺度一区二区三区,神马免费午夜福利剧场

一種分布式防火墻IPSec業(yè)務(wù)負(fù)載分擔(dān)的方法及裝置制造方法