專利名稱:防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)領(lǐng)域���,特別是涉及一種防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡方法 及裝置����。
背景技術(shù):
目前��,很多大型企業(yè)集團(tuán)和小型互聯(lián)網(wǎng)接入提供商都是同時(shí)租用多條電信和 網(wǎng)通的鏈路來(lái)提供互聯(lián)網(wǎng)接入服務(wù)的��,運(yùn)營(yíng)商同時(shí)分配給接入商互聯(lián)網(wǎng)協(xié)議(Internet Protocol�,簡(jiǎn)稱為IP)的第四版即IPv4地址供他們使用。由于IPv4地址資源有限��,從內(nèi)網(wǎng) 到互聯(lián)網(wǎng)的通信需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddress Translation�,簡(jiǎn)稱為NAT),因此 NAT是當(dāng)前防火墻的最重要的功能之一����。為了充分利用有限的IP地址資源,經(jīng)過(guò)NAT轉(zhuǎn)換 后的地址需要均勻的分布在地址池內(nèi)��,并有效的實(shí)現(xiàn)負(fù)載均衡。由于防火墻與互聯(lián)網(wǎng)相連 的鏈路會(huì)出現(xiàn)異常����,當(dāng)鏈路狀態(tài)變化時(shí)��,如何動(dòng)態(tài)的把數(shù)據(jù)流量分配到連通的鏈路上是防 火墻中網(wǎng)絡(luò)地址轉(zhuǎn)換的一個(gè)重要功能���。防火墻NAT地址池根據(jù)NAT策略生成���。NAT策略可以引用主機(jī)對(duì)象、子網(wǎng)對(duì)象�����、地 址組對(duì)象生成NAT地址池���。生成NAT地址池的具體方法是從地址組等對(duì)象中取出每個(gè)對(duì)象 代表的單個(gè)IP地址放在地址池中�。在進(jìn)行NAT轉(zhuǎn)換之前���,防火墻已經(jīng)進(jìn)行了路由查找��,確定 出了從哪個(gè)鏈路發(fā)送數(shù)據(jù)包���。需要說(shuō)明的是����,路由表中配置了策略路由����,查找策略路由在查 找其他路由之前。由于已經(jīng)查找了路由表�,防火墻NAT之后不再查找路由表確定鏈路。防 火墻NAT時(shí)會(huì)均勻的選擇地址池內(nèi)的每個(gè)地址�����,地址池內(nèi)各個(gè)IP地址均衡地作為源地址向 互聯(lián)網(wǎng)發(fā)送數(shù)據(jù)包����。當(dāng)數(shù)據(jù)包NAT之后,不能根據(jù)NAT后的源地址選擇出鏈路�。在上述情況下,當(dāng)所有的鏈路都連通的情況下不會(huì)發(fā)生任何問(wèn)題���,但是一旦其中 一條鏈路異常�,而NAT地址池沒(méi)有改變�,NAT后的地址也不會(huì)改變����,則向鏈路不通的網(wǎng)關(guān)發(fā) 送數(shù)據(jù)包時(shí)會(huì)產(chǎn)生通信失敗���。
發(fā)明內(nèi)容
本發(fā)明提供一種防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡方法及裝置,以解決現(xiàn)有技術(shù) 中NAT地址池不能夠動(dòng)態(tài)更新從而使得鏈路異常時(shí)發(fā)送數(shù)據(jù)包通信失敗的問(wèn)題��。本發(fā)明提供一種防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡方法�,包括在防火墻啟動(dòng)時(shí)產(chǎn)生鏈路監(jiān)控進(jìn)程,鏈路監(jiān)控進(jìn)程分別為每個(gè)鏈路生成相應(yīng)的線 程�����,通過(guò)線程確定各個(gè)鏈路的連通狀態(tài)�����;配置防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換策略�,生成網(wǎng)絡(luò)地址轉(zhuǎn)換地址池,并根據(jù)網(wǎng)絡(luò)地址轉(zhuǎn) 換地址池配置策略路由����,其中,策略路由用于根據(jù)源地址選擇相應(yīng)的鏈路�;根據(jù)連通狀態(tài)更新網(wǎng)絡(luò)地址轉(zhuǎn)換地址池以及策略路由���;根據(jù)網(wǎng)絡(luò)地址轉(zhuǎn)換策略將數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換,并根據(jù)更新的策略路由選擇 合適的鏈路��,將網(wǎng)絡(luò)地址轉(zhuǎn)換后的數(shù)據(jù)包發(fā)送到鏈路對(duì)應(yīng)的網(wǎng)關(guān)���。本發(fā)明還提供了一種防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡裝置�,包括
監(jiān)控模塊���,用于在防火墻啟動(dòng)時(shí)產(chǎn)生鏈路監(jiān)控進(jìn)程����,通過(guò)鏈路監(jiān)控進(jìn)程分別為每 個(gè)鏈路生成相應(yīng)的線程��,并通過(guò)線程確定各個(gè)鏈路的連通狀態(tài)�����;配置模塊��,用于配置防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換策略����,生成網(wǎng)絡(luò)地址轉(zhuǎn)換地址池�,并根 據(jù)網(wǎng)絡(luò)地址轉(zhuǎn)換地址池配置策略路由���,其中��,策略路由用于根據(jù)源地址選擇相應(yīng)的鏈路����;更新模塊���,用于根據(jù)連通狀態(tài)更新網(wǎng)絡(luò)地址轉(zhuǎn)換地址池以及策略路由;處理模塊�,用于根據(jù)網(wǎng)絡(luò)地址轉(zhuǎn)換策略將數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換,并根據(jù)更新 的策略路由選擇合適的鏈路��,將網(wǎng)絡(luò)地址轉(zhuǎn)換后的數(shù)據(jù)包發(fā)送到鏈路對(duì)應(yīng)的網(wǎng)關(guān)�����。本發(fā)明有益效果如下通過(guò)對(duì)NAT地址池進(jìn)行動(dòng)態(tài)的更新����,解決了現(xiàn)有技術(shù)中鏈路異常時(shí)發(fā)送數(shù)據(jù)包通 信失敗的問(wèn)題,在進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)�,均衡的從地址池中選擇地址�,達(dá)到了負(fù)載均衡的目 的�,此外,當(dāng)鏈路狀態(tài)發(fā)生改變時(shí)��,可以動(dòng)態(tài)的調(diào)節(jié)NAT地址池�����,數(shù)據(jù)包能夠從鏈路狀態(tài)為 通的鏈路發(fā)送出去�,防止了鏈路狀態(tài)不通時(shí)通信失敗的狀況。
圖1是本發(fā)明實(shí)施例的防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡方法的流程圖���;圖2是本發(fā)明實(shí)施例的防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡方法的詳細(xì)處理示意 圖�����;圖3是本發(fā)明實(shí)施例的防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡裝置的結(jié)構(gòu)示意圖���。
具體實(shí)施例方式為了解決現(xiàn)有技術(shù)中NAT地址池不能夠動(dòng)態(tài)更新從而使得鏈路異常時(shí)發(fā)送數(shù)據(jù) 包通信失敗的問(wèn)題,本發(fā)明提供了一種防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡方法及裝置首 先���,配置防火墻的NAT策略�����,NAT策略引用地址組對(duì)象并且使用地址組里包含的IP地址產(chǎn) 生NAT地址池��。數(shù)據(jù)包在防火墻上NAT后重新查找路由選擇鏈路�,其中,防火墻上根據(jù)地址 池已經(jīng)配置了策略路由����,策略路由可根據(jù)源地址選擇鏈路。防火墻在啟動(dòng)時(shí)產(chǎn)生一個(gè)監(jiān)控 鏈路狀態(tài)的守護(hù)進(jìn)程�,這個(gè)進(jìn)程可以為每個(gè)鏈路產(chǎn)生一個(gè)線程,這些線程不間斷地向鏈路 網(wǎng)關(guān)發(fā)送Ping包檢測(cè)鏈路的狀態(tài)�����。當(dāng)在規(guī)定時(shí)間內(nèi)收到鏈路網(wǎng)關(guān)的響應(yīng)報(bào)文表示鏈路通���, 否則表示不通。當(dāng)一個(gè)鏈路從通變?yōu)椴煌〞r(shí)����,在地址組中刪除這個(gè)鏈路對(duì)應(yīng)的主機(jī)對(duì)象,重 新生成NAT地址池并更新策略路由�;同理,當(dāng)一個(gè)鏈路從不通變?yōu)橥〞r(shí)����,在地址組中添加 這個(gè)鏈路對(duì)應(yīng)的主機(jī)對(duì)象��,重新生成NAT地址池并更新策略路由���。從而實(shí)現(xiàn)了根據(jù)鏈路狀 態(tài),動(dòng)態(tài)改變NAT地址池���,并且根據(jù)NAT后的源地址選擇鏈路的方法�。以下結(jié)合附圖以及實(shí)施例�,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解�,此處所描述 的具體實(shí)施例僅僅用以解釋本發(fā)明,并不限定本發(fā)明���。方法實(shí)施例根據(jù)本發(fā)明的實(shí)施例����,提供了一種防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡方法��,圖1 是本發(fā)明實(shí)施例的防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡方法的流程圖�����,如圖1所示,根據(jù)本 發(fā)明實(shí)施例的防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡方法包括如下處理步驟101��,在防火墻啟動(dòng)時(shí)產(chǎn)生鏈路監(jiān)控進(jìn)程���,鏈路監(jiān)控進(jìn)程分別為每個(gè)鏈路生成 相應(yīng)的線程���,通過(guò)線程確定各個(gè)鏈路的連通狀態(tài);
在步驟101中��,生成相應(yīng)線程的處理包括根據(jù)運(yùn)營(yíng)商分配的鏈路和地址配置主 機(jī)對(duì)象����,并根據(jù)主機(jī)對(duì)象確定地址組對(duì)象;隨后��,根據(jù)主機(jī)對(duì)象和地址組對(duì)象配置網(wǎng)絡(luò)地址 IP探測(cè)策略���,鏈路監(jiān)控進(jìn)程根據(jù)IP探測(cè)策略自動(dòng)生成相應(yīng)的線程。在步驟101中��,通過(guò)線程確定各個(gè)鏈路的連通狀態(tài)包括首先�,線程每隔第一預(yù)定 時(shí)間向相應(yīng)鏈路的網(wǎng)關(guān)發(fā)送因特網(wǎng)包探索器((Packet Internet Grope,簡(jiǎn)稱為PING)包; 如果在第二預(yù)定時(shí)間內(nèi)接收到相應(yīng)鏈路的網(wǎng)關(guān)反饋的響應(yīng)報(bào)文����,則確定相應(yīng)鏈路的連通狀 態(tài)為連通;如果在第二預(yù)定時(shí)間內(nèi)沒(méi)有接收到相應(yīng)鏈路的網(wǎng)關(guān)反饋的響應(yīng)報(bào)文���,則確定相 應(yīng)鏈路的連通狀態(tài)為不連通���。步驟102,配置防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換策略�����,生成網(wǎng)絡(luò)地址轉(zhuǎn)換地址池���,并根據(jù)網(wǎng) 絡(luò)地址轉(zhuǎn)換地址池配置策略路由�����,其中�����,策略路由用于根據(jù)源地址選擇相應(yīng)的鏈路���;在步驟102中�,配置防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換策略�,生成網(wǎng)絡(luò)地址轉(zhuǎn)換地址池具體 包括如下處理首先,配置防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換策略����,其中,在配置地址轉(zhuǎn)換策略時(shí)���,地 址轉(zhuǎn)換策略需要引用地址組����;隨后����,根據(jù)地址組中包含的IP地址產(chǎn)生網(wǎng)絡(luò)地址轉(zhuǎn)換地址 池。步驟103����,根據(jù)連通狀態(tài)更新網(wǎng)絡(luò)地址轉(zhuǎn)換地址池以及策略路由;具體地�����,在步驟103中��,如果連通狀態(tài)為不連通�����,則線程刪除地址組中鏈路對(duì)應(yīng)的 主機(jī)對(duì)象����,根據(jù)新的地址組重新生成網(wǎng)絡(luò)地址轉(zhuǎn)換地址池;根據(jù)重新生成的網(wǎng)絡(luò)地址轉(zhuǎn)換 地址池更新策略路由���。步驟104�。根據(jù)網(wǎng)絡(luò)地址轉(zhuǎn)換策略將數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�,并根據(jù)更新的策略 路由選擇合適的鏈路,將網(wǎng)絡(luò)地址轉(zhuǎn)換后的數(shù)據(jù)包發(fā)送到鏈路對(duì)應(yīng)的網(wǎng)關(guān)�����。也就是說(shuō)��,NAT策略引用地址組對(duì)象生成地址池�����,地址組對(duì)象包含的主機(jī)對(duì)象根 據(jù)鏈路探測(cè)結(jié)果動(dòng)態(tài)更新,為地址組的每個(gè)主機(jī)對(duì)象都產(chǎn)生一個(gè)線程向鏈路網(wǎng)關(guān)發(fā)送Ping 請(qǐng)求�����,當(dāng)一條鏈路的狀態(tài)發(fā)生改變時(shí)��,根據(jù)改變的情況添加或者刪除NAT策略引用的地址 組對(duì)象的成員�,根據(jù)新的地址組對(duì)象重新生成NAT地址池,查完路由之后進(jìn)行NAT���,進(jìn)行了 NAT之后查找策略路由選擇鏈路��。因?yàn)樵诜阑饓ι显L問(wèn)控制在NAT之前����,在訪問(wèn)控制之前必 須要先查路由��,所以在NAT之前已經(jīng)查找了路由����。NAT之后再查找路由,不通的鏈路對(duì)應(yīng)的 公網(wǎng)IP地址在地址池中已經(jīng)刪除�����,因此根據(jù)策略路由不通的鏈路就不會(huì)有新的數(shù)據(jù)訪問(wèn)。需要說(shuō)明的是����,在實(shí)際應(yīng)用中�,也可以不使用發(fā)送ping請(qǐng)求探測(cè)鏈路是否為通, 例如�,可以發(fā)送arp請(qǐng)求,如果收到響應(yīng)的arp報(bào)文則判斷鏈路為通�����,否則判斷鏈路為不通����。 此外,NAT策略可以不使用地址組對(duì)象����,可以配置多個(gè)策略,每個(gè)策略都使用不同的主機(jī)或 者子網(wǎng)對(duì)象����。以下結(jié)合附圖,對(duì)本發(fā)明實(shí)施例的上述技術(shù)方案進(jìn)行詳細(xì)的說(shuō)明����。圖2是本發(fā)明實(shí)施例的防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡方法的詳細(xì)處理示意 圖����,包括TOPSEC操作系統(tǒng)(topsec operating system�����,簡(jiǎn)稱為T(mén)0S)控制系統(tǒng)和TOS轉(zhuǎn)發(fā)系 統(tǒng)��,其中�,TOS控制系統(tǒng)是主要處理對(duì)防火墻本身業(yè)務(wù)的TOS操作系統(tǒng),例如處理防火墻的 配置管理業(yè)務(wù)�,TOS轉(zhuǎn)發(fā)系統(tǒng)是負(fù)責(zé)數(shù)據(jù)包接收和轉(zhuǎn)發(fā)的部分,如圖2所示��,在TOS轉(zhuǎn)發(fā)系 統(tǒng)上���,CPU接收數(shù)據(jù)包����,在地址池中均衡的選擇一個(gè)地址作為源地址轉(zhuǎn)換�,根據(jù)轉(zhuǎn)換后的源 地址查找策略路由得到下一跳,根據(jù)下一跳選擇鏈路發(fā)送數(shù)據(jù)包。在TOS控制系統(tǒng)上�����,和主 機(jī)對(duì)象綁定在一起的鏈路探測(cè)線程每隔一秒探測(cè)一次鏈路上的地址�,如果探測(cè)到鏈路變化就更新地址池。具體包括如下處理TOS控制系統(tǒng)的操作步驟1���,防火墻啟動(dòng)并且產(chǎn)生鏈路監(jiān)控進(jìn)程。步驟2���,根據(jù)運(yùn)營(yíng)商分配的鏈路和地址配置主機(jī)對(duì)象主機(jī)對(duì)象1����、主機(jī)對(duì)象2�����、主 機(jī)對(duì)象3�����,主機(jī)對(duì)象1對(duì)應(yīng)移動(dòng)網(wǎng)關(guān)�����,主機(jī)對(duì)象2對(duì)應(yīng)聯(lián)通網(wǎng)關(guān),主機(jī)對(duì)象3對(duì)應(yīng)電信網(wǎng)關(guān)��。步驟3�,配置地址組對(duì)象,地址組的成員就是步驟2中定義的3個(gè)主機(jī)對(duì)象����。步驟4,根據(jù)上面配置的主機(jī)對(duì)象配置IP探測(cè)策略IP探測(cè)策略1 主機(jī)對(duì)象1探 測(cè)移動(dòng)網(wǎng)關(guān)�;IP探測(cè)策略2 主機(jī)對(duì)象2探測(cè)聯(lián)通網(wǎng)關(guān);IP探測(cè)策略3 主機(jī)對(duì)象3探測(cè)電 信網(wǎng)關(guān)�����。步驟5���,鏈路監(jiān)控進(jìn)程為IP探測(cè)策略1產(chǎn)生線程1����,為IP探測(cè)策略2產(chǎn)生線程2�, 為IP探測(cè)策略3產(chǎn)生線程3 ;其中���,線程1循環(huán)向移動(dòng)網(wǎng)關(guān)發(fā)送ping包����,如果在規(guī)定的時(shí) 間內(nèi)收到移動(dòng)網(wǎng)關(guān)的響應(yīng)報(bào)文,則判斷鏈路為通并且記錄鏈路狀態(tài)�;否則判斷鏈路為不通 并且記錄鏈路狀態(tài)。步驟6�,根據(jù)步驟3定義的地址組對(duì)象配置NAT策略并生成NAT地址池,其中��,上述 NAT地址池包含所有運(yùn)營(yíng)商分配的地址��。步驟7��,根據(jù)步驟2定義的主機(jī)和子網(wǎng)對(duì)象配置策略路由����,策略路由的源地址是步 驟2定義的主機(jī)對(duì)象中的地址���,策略路由的目的地址是0. 0. 0. 0/0��,可以和任何目的地址相 匹配����,NAT轉(zhuǎn)換后的數(shù)據(jù)包就可以查找策略路由選擇對(duì)應(yīng)的鏈路網(wǎng)關(guān)發(fā)送數(shù)據(jù)包。步驟8����,當(dāng)移動(dòng)鏈路狀態(tài)發(fā)生了改變,如果從連通變?yōu)椴贿B通��,則線程1刪除地址 組對(duì)象中的主機(jī)對(duì)象1�,重新生成NAT地址池;如果從不通變?yōu)橥?,則線程1向地址組對(duì)象 中添加主機(jī)對(duì)象1,重新生成NAT地址池����。TOS轉(zhuǎn)發(fā)系統(tǒng)的操作步驟9,接收數(shù)據(jù)包���,使用最新的地址池進(jìn)行NAT轉(zhuǎn)換����。步驟10�,根據(jù)轉(zhuǎn)換后的源地址查找策略路由得到下一跳。步驟11�����,根據(jù)下一跳選擇鏈路,發(fā)送數(shù)據(jù)包�。從上述處理可以看出,本發(fā)明實(shí)施例解決了現(xiàn)有技術(shù)中鏈路異常時(shí)發(fā)送數(shù)據(jù)包通 信失敗的問(wèn)題�����,在進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)�,均衡的從地址池中選擇地址,達(dá)到了負(fù)載均衡的目 的�����,此外���,當(dāng)鏈路狀態(tài)發(fā)生改變時(shí)����,可以動(dòng)態(tài)的調(diào)節(jié)NAT地址池�,數(shù)據(jù)包能夠從鏈路狀態(tài)為 通的鏈路發(fā)送出去��,防止了鏈路狀態(tài)不通時(shí)通信失敗的狀況��。裝置實(shí)施例根據(jù)本發(fā)明的實(shí)施例�����,提供了一種防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡裝置,圖3 是本發(fā)明實(shí)施例的防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡裝置的結(jié)構(gòu)示意圖�,如圖3所示,根 據(jù)本發(fā)明實(shí)施例的防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡裝置包括監(jiān)控模塊30��、配置模塊 32���、更新模塊34����、以及處理模塊36�����,以下對(duì)本發(fā)明實(shí)施例的各個(gè)模塊進(jìn)行詳細(xì)的說(shuō)明���。監(jiān)控模塊30用于在防火墻啟動(dòng)時(shí)產(chǎn)生鏈路監(jiān)控進(jìn)程����,通過(guò)鏈路監(jiān)控進(jìn)程分別為 每個(gè)鏈路生成相應(yīng)的線程�����,并通過(guò)線程確定各個(gè)鏈路的連通狀態(tài);具體地�����,監(jiān)控模塊30生成相應(yīng)線程的處理包括根據(jù)運(yùn)營(yíng)商分配的鏈路和地址配 置主機(jī)對(duì)象���,并根據(jù)主機(jī)對(duì)象確定地址組對(duì)象��;隨后��,根據(jù)主機(jī)對(duì)象和地址組對(duì)象配置網(wǎng)絡(luò) 地址IP探測(cè)策略���,鏈路監(jiān)控進(jìn)程根據(jù)IP探測(cè)策略自動(dòng)生成相應(yīng)的線程。
監(jiān)控模塊30通過(guò)線程確定各個(gè)鏈路的連通狀態(tài)包括首先����,線程每隔第一預(yù)定時(shí) 間向相應(yīng)鏈路的網(wǎng)關(guān)發(fā)送因特網(wǎng)包探索器((Packet Internet Grope,簡(jiǎn)稱為PING)包����; 如果在第二預(yù)定時(shí)間內(nèi)接收到相應(yīng)鏈路的網(wǎng)關(guān)反饋的響應(yīng)報(bào)文����,則確定相應(yīng)鏈路的連通狀 態(tài)為連通��;如果在第二預(yù)定時(shí)間內(nèi)沒(méi)有接收到相應(yīng)鏈路的網(wǎng)關(guān)反饋的響應(yīng)報(bào)文��,則確定相 應(yīng)鏈路的連通狀態(tài)為不連通���。配置模塊32用于配置防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換策略,生成網(wǎng)絡(luò)地址轉(zhuǎn)換地址池�, 并根據(jù)網(wǎng)絡(luò)地址轉(zhuǎn)換地址池配置策略路由,其中�,策略路由用于根據(jù)源地址選擇相應(yīng)的鏈 路;具體地�,配置模塊32配置防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換策略,生成網(wǎng)絡(luò)地址轉(zhuǎn)換地址池 具體包括如下處理首先����,配置防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換策略,其中�,在配置地址轉(zhuǎn)換策略時(shí), 地址轉(zhuǎn)換策略需要引用地址組����;隨后,根據(jù)地址組中包含的IP地址產(chǎn)生網(wǎng)絡(luò)地址轉(zhuǎn)換地址 池��。更新模塊34用于根據(jù)連通狀態(tài)更新網(wǎng)絡(luò)地址轉(zhuǎn)換地址池以及策略路由�;具體地����,更新模塊34如果判斷連通狀態(tài)為不連通�,則線程刪除地址組中鏈路對(duì)應(yīng) 的主機(jī)對(duì)象,并重新生成網(wǎng)絡(luò)地址轉(zhuǎn)換地址池���;隨后���,更新模塊34根據(jù)重新生成的網(wǎng)絡(luò)地 址轉(zhuǎn)換地址池更新策略路由。處理模塊36用于根據(jù)網(wǎng)絡(luò)地址轉(zhuǎn)換策略將數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換��,并根據(jù)更 新的所述策略路由選擇合適的鏈路���,將網(wǎng)絡(luò)地址轉(zhuǎn)換后的所述數(shù)據(jù)包發(fā)送到所述鏈路對(duì)應(yīng) 的網(wǎng)關(guān)����。需要說(shuō)明的是��,在實(shí)際應(yīng)用中�,也可以不使用發(fā)送ping請(qǐng)求探測(cè)鏈路是否為通, 例如��,可以發(fā)送arp請(qǐng)求��,如果收到響應(yīng)的arp報(bào)文則判斷鏈路為通����,否則判斷鏈路為不通。 此外�,NAT策略可以不使用地址組對(duì)象,可以配置多個(gè)策略�,每個(gè)策略都使用不同的主機(jī)或 者子網(wǎng)對(duì)象。綜上所述��,本發(fā)明實(shí)施例解決了現(xiàn)有技術(shù)中鏈路異常時(shí)發(fā)送數(shù)據(jù)包通信失敗的問(wèn) 題�,在進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí),均衡的從地址池中選擇地址�����,達(dá)到了負(fù)載均衡的目的����,此外,當(dāng) 鏈路狀態(tài)發(fā)生改變時(shí)�����,可以動(dòng)態(tài)的調(diào)節(jié)NAT地址池,數(shù)據(jù)包能夠從鏈路狀態(tài)為通的鏈路發(fā) 送出去�����,防止了鏈路狀態(tài)不通時(shí)通信失敗的狀況����。盡管為示例目的,已經(jīng)公開(kāi)了本發(fā)明的優(yōu)選實(shí)施例�����,本領(lǐng)域的技術(shù)人員將意識(shí)到 各種改進(jìn)���、增加和取代也是可能的���,因此,本發(fā)明的范圍應(yīng)當(dāng)不限于上述實(shí)施例��。
權(quán)利要求
一種防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡方法����,其特征在于,包括在防火墻啟動(dòng)時(shí)產(chǎn)生鏈路監(jiān)控進(jìn)程���,所述鏈路監(jiān)控進(jìn)程分別為每個(gè)鏈路生成相應(yīng)的線程�����,通過(guò)所述線程確定各個(gè)鏈路的連通狀態(tài)���;配置防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換策略,生成網(wǎng)絡(luò)地址轉(zhuǎn)換地址池�,并根據(jù)所述網(wǎng)絡(luò)地址轉(zhuǎn)換地址池配置策略路由,其中���,所述策略路由用于根據(jù)源地址選擇相應(yīng)的鏈路�����;根據(jù)所述連通狀態(tài)更新所述網(wǎng)絡(luò)地址轉(zhuǎn)換地址池以及所述策略路由�����;根據(jù)網(wǎng)絡(luò)地址轉(zhuǎn)換策略將數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換�,并根據(jù)更新的所述策略路由選擇合適的鏈路�,將網(wǎng)絡(luò)地址轉(zhuǎn)換后的所述數(shù)據(jù)包發(fā)送到所述鏈路對(duì)應(yīng)的網(wǎng)關(guān)。
2.如權(quán)利要求1所述的方法��,其特征在于,所述鏈路監(jiān)控進(jìn)程分別為每個(gè)鏈路生成相 應(yīng)的線程包括根據(jù)運(yùn)營(yíng)商分配的鏈路和地址配置主機(jī)對(duì)象�,并根據(jù)所述主機(jī)對(duì)象確定地址組對(duì)象; 根據(jù)所述主機(jī)對(duì)象和所述地址組對(duì)象配置網(wǎng)絡(luò)地址IP探測(cè)策略��,所述鏈路監(jiān)控進(jìn)程 根據(jù)所述IP探測(cè)策略自動(dòng)生成所述相應(yīng)的線程����。
3.如權(quán)利要求1或2所述的方法,其特征在于��,所述通過(guò)所述線程確定各個(gè)鏈路的連通 狀態(tài)包括所述線程每隔第一預(yù)定時(shí)間向相應(yīng)鏈路的網(wǎng)關(guān)發(fā)送因特網(wǎng)包探索器PING包���; 如果在第二預(yù)定時(shí)間內(nèi)接收到所述相應(yīng)鏈路的網(wǎng)關(guān)反饋的響應(yīng)報(bào)文�����,則確定所述相應(yīng) 鏈路的連通狀態(tài)為連通�;如果在所述第二預(yù)定時(shí)間內(nèi)沒(méi)有接收到所述相應(yīng)鏈路的網(wǎng)關(guān)反饋的響應(yīng)報(bào)文�����,則確定 所述相應(yīng)鏈路的連通狀態(tài)為不連通���。
4.如權(quán)利要求2所述的方法��,其特征在于���,所述配置防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換策略��,生成 網(wǎng)絡(luò)地址轉(zhuǎn)換地址池包括配置所述防火墻的所述網(wǎng)絡(luò)地址轉(zhuǎn)換策略�,其中�,在配置所述地址轉(zhuǎn)換策略時(shí),所述地 址轉(zhuǎn)換策略引用所述地址組����;根據(jù)所述地址組中包含的IP地址產(chǎn)生網(wǎng)絡(luò)地址轉(zhuǎn)換地址池�����。
5.如權(quán)利要求4所述的方法����,其特征在于,根據(jù)所述連通狀態(tài)更新所述網(wǎng)絡(luò)地址轉(zhuǎn)換 地址池以及所述策略路由包括如果所述連通狀態(tài)為不連通����,則所述線程刪除所述地址組中所述鏈路對(duì)應(yīng)的主機(jī)對(duì) 象,并重新生成所述網(wǎng)絡(luò)地址轉(zhuǎn)換地址池�;根據(jù)重新生成的所述網(wǎng)絡(luò)地址轉(zhuǎn)換地址池更新所述策略路由����。
6.一種防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡裝置�����,其特征在于���,包括監(jiān)控模塊�,用于在防火墻啟動(dòng)時(shí)產(chǎn)生鏈路監(jiān)控進(jìn)程����,通過(guò)所述鏈路監(jiān)控進(jìn)程分別為每 個(gè)鏈路生成相應(yīng)的線程,并通過(guò)所述線程確定各個(gè)鏈路的連通狀態(tài)����;配置模塊,用于配置防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換策略�,生成網(wǎng)絡(luò)地址轉(zhuǎn)換地址池,并根據(jù)所 述網(wǎng)絡(luò)地址轉(zhuǎn)換地址池配置策略路由���,其中�����,所述策略路由用于根據(jù)源地址選擇相應(yīng)的鏈 路�;更新模塊,用于根據(jù)所述連通狀態(tài)更新所述網(wǎng)絡(luò)地址轉(zhuǎn)換地址池以及所述策略路由�; 處理模塊,用于根據(jù)網(wǎng)絡(luò)地址轉(zhuǎn)換策略將數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換���,并根據(jù)更新的所 述策略路由選擇合適的鏈路����,將網(wǎng)絡(luò)地址轉(zhuǎn)換后的所述數(shù)據(jù)包發(fā)送到所述鏈路對(duì)應(yīng)的網(wǎng)關(guān)����。
7.如權(quán)利要求6所述的裝置�,其特征在于,所述監(jiān)控模塊具體用于根據(jù)運(yùn)營(yíng)商分配的鏈路和地址配置主機(jī)對(duì)象�����,并根據(jù)所述主機(jī)對(duì)象確定地址組對(duì)象����; 根據(jù)所述主機(jī)對(duì)象和所述地址組對(duì)象配置網(wǎng)絡(luò)地址IP探測(cè)策略,所述鏈路監(jiān)控進(jìn)程 根據(jù)所述IP探測(cè)策略自動(dòng)生成所述相應(yīng)的線程����;通過(guò)所述線程每隔第一預(yù)定時(shí)間向相應(yīng)鏈路的網(wǎng)關(guān)發(fā)送因特網(wǎng)包探索器PING包�; 如果在第二預(yù)定時(shí)間內(nèi)接收到所述相應(yīng)鏈路的網(wǎng)關(guān)反饋的響應(yīng)報(bào)文���,則確定所述相應(yīng) 鏈路的連通狀態(tài)為連通���;如果在所述第二預(yù)定時(shí)間內(nèi)沒(méi)有接收到所述相應(yīng)鏈路的網(wǎng)關(guān)反饋的響應(yīng)報(bào)文,則確定 所述相應(yīng)鏈路的連通狀態(tài)為不連通�。
8.如權(quán)利要求7所述的裝置,其特征在于���,所述配置模塊具體用于配置所述防火墻的所述網(wǎng)絡(luò)地址轉(zhuǎn)換策略�,其中����,在配置所述地址轉(zhuǎn)換策略時(shí),所述地 址轉(zhuǎn)換策略引用所述地址組���;根據(jù)所述地址組中包含的IP地址產(chǎn)生網(wǎng)絡(luò)地址轉(zhuǎn)換地址池����。
9.如權(quán)利要求8所述的裝置�����,其特征在于,所述更新模塊具體用于如果確認(rèn)所述連通狀態(tài)為不連通�,則刪除所述地址組中所述鏈路對(duì)應(yīng)的主機(jī)對(duì)象,并 重新生成所述網(wǎng)絡(luò)地址轉(zhuǎn)換地址池����;根據(jù)重新生成的所述網(wǎng)絡(luò)地址轉(zhuǎn)換地址池更新所述策略路由。
全文摘要
本發(fā)明公開(kāi)了一種防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換動(dòng)態(tài)負(fù)載均衡方法及裝置�。該方法包括在防火墻啟動(dòng)時(shí)產(chǎn)生鏈路監(jiān)控進(jìn)程,鏈路監(jiān)控進(jìn)程分別為每個(gè)鏈路生成相應(yīng)的線程�,通過(guò)線程確定各個(gè)鏈路的連通狀態(tài);配置防火墻的網(wǎng)絡(luò)地址轉(zhuǎn)換策略��,生成網(wǎng)絡(luò)地址轉(zhuǎn)換地址池���,并根據(jù)網(wǎng)絡(luò)地址轉(zhuǎn)換地址池配置策略路由,其中��,策略路由用于根據(jù)源地址選擇相應(yīng)的鏈路����;根據(jù)連通狀態(tài)更新網(wǎng)絡(luò)地址轉(zhuǎn)換地址池以及策略路由;根據(jù)網(wǎng)絡(luò)地址轉(zhuǎn)換策略將數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換����,并根據(jù)更新的策略路由選擇合適的鏈路���,將網(wǎng)絡(luò)地址轉(zhuǎn)換后的數(shù)據(jù)包發(fā)送到鏈路對(duì)應(yīng)的網(wǎng)關(guān)。借助于本發(fā)明的技術(shù)方案����,解決了鏈路狀態(tài)不通時(shí)通信失敗的問(wèn)題。
文檔編號(hào)H04L29/12GK101984623SQ201010528028
公開(kāi)日2011年3月9日 申請(qǐng)日期2010年11月2日 優(yōu)先權(quán)日2010年11月2日
發(fā)明者王寶剛, 王震 申請(qǐng)人:北京天融信科技有限公司