[发明专利]基于网络双出口的报文传输方法和出口路由器

说明书

技术领域

本发明涉及网络通信技术，特别涉及一种基于网络双出口的报文传输方法和出口路由器。

背景技术

随着Internet应用服务的用户人数不断增加，随之增加的大量访问给数据中心网络带来了沉重的负担，尤其对于数据中心网络中的出口路由器，其转发性能和出口带宽都面临极大的挑战。另一方面，为了提高数据中心的可靠性，往往需要数据中心网络的设计具有极高的冗余性，使得数据中心网络中的一个节点或链路出现故障时，能够快速切换到冗余的节点或链路上，从而减少业务中断的时间，提高数据中心的可靠性。

网络双出口是目前最常用的一种提高数据中心网络带宽和可靠性的方案，如图1所示，网络双出口是在数据中心网络中设置两个出口路由器，即路由器A和路由器B，其分别对应的两条链路连接至同一个服务提供者(ISP)网络。为了实现数据中心网络双出口的负载均衡，通常会将数据中心内部的两个出口路由器配置不同的公网地址，在域名服务器(DNS)上保证两个公网地址的负载均衡分配。现有技术中基于网络双出口的报文传输方法是双向网络地址转换(NAT)方式，即在出口路由器上与ISP网络侧连接的接口上配置入方向地址转换(NAT Server)策略，与数据中心网络侧连接的接口上配置出方向地址转换(NAT Outband)策略。出口路由器在接收到来自ISP网络侧的请求报文，其中，该请求报文的源地址为外部客户端的地址，目的地址为该出口路由器的公网地址；然后，根据配置的NAT Server策略，将请求报文的目的地址替换为数据中心网络中的服务器私网地址；并在与数据中心网络侧连接的接口处，根据NAT Outband策略将请求报文的源地址替换为该出口路由器的私网地址；然后该请求报文在数据中心网络中被传输至对应的服务器。服务器返回的响应报文的源地址和目的地址分别是请求报文的目的地址和源地址，所以，响应报文必然会被传输回对应的出口路由器，从而保证响应报文能够传输至发送请求报文的出口路由器。该出口路由器接收到该响应报文后，根据NAT Outband策略先将响应报文的源地址替换为该出口路由器的公网地址，目的地址替换为外部客户端的地址。

通常，数据中心网络中的服务器具有很强的安全保护措施，其中很重要的一项就是记录访问该服务器的外部客户端的地址信息，通过外部客户端的地址信息可以监控客户的不法行为，对有不发行为的客户可以拒绝提供服务，严重的甚至可以通过法律手段起诉。由于现有技术的上述方法中，在出口路由器处将请求报文的源地址进行了替换，数据中心网络中的服务器无法获取到发送该请求报文的外部客户端的地址信息，这样就无法实现数据中心网络中的服务器的安全保护措施，会给数据中心网络带来安全隐患。

发明内容

有鉴于此，本发明提供了一种基于网络双出口的报文传输方法和出口路由器，有利于实现数据中心网络中服务器的安全保护措施，提高数据中心网络的安全性。

一种基于网络双出口的报文传输方法，该方法应用于包含两个出口路由器的数据中心网络，在两个出口路由器之间建立连接；该方法包括：

A、出口路由器接收到来自服务提供者ISP网络侧的请求报文后，将该请求报文的目的地址替换为数据中心网络中的服务器私网地址，并建立包含该请求报文的源地址和替换后目的地址的会话信息，发送该请求报文；

B、接收到来自数据中心网络侧的报文后，判断自身是否已经建立包含该报文的源地址和目的地址的会话信息，如果是，则将该报文的源地址替换为该出口路由器的公网地址后转发给下一跳的ISP网关；否则，将该报文转发给与其连接的另一个出口路由器，由所述另一个出口路由器执行所述步骤B。

一种出口路由器，应用于包含两个该出口路由器的数据中心网络，该出口路由器包括：第一报文收发单元、第一报文处理单元、会话信息存储单元、第二报文收发单元和第二报文处理单元；

所述第一报文收发单元，用于接收来自ISP网络侧的请求报文，将所述第二报文处理单元发送来的报文转发给下一跳的ISP网关；

所述第一报文处理单元，用于将所述第一报文收发单元接收到的请求报文的目的地址替换为数据中心网络的服务器私网地址，并建立包含该请求报文的源地址和替换后目的地址的会话信息；

所述会话信息存储单元，用于存储第一报文处理单元建立的会话信息；

所述第二报文收发单元，用于发送替换目的地址后的请求报文，接收来自数据中心网络侧的报文；将所述第二报文处理单元发送来的报文转发给与该出口路由器连接的另一个出口路由器；