[发明专利]防火墙网络地址转换动态负载均衡方法及装置

说明书

技术领域

本发明涉及计算机领域，特别是涉及一种防火墙网络地址转换动态负载均衡方法及装置。 

背景技术

目前，很多大型企业集团和小型互联网接入提供商都是同时租用多条电信和网通的链路来提供互联网接入服务的，运营商同时分配给接入商互联网协议(Internet Protocol，简称为IP)的第四版即IPv4地址供他们使用。由于IPv4地址资源有限，从内网到互联网的通信需要进行网络地址转换(NetworkAddress Translation，简称为NAT)，因此NAT是当前防火墙的最重要的功能之一。为了充分利用有限的IP地址资源，经过NAT转换后的地址需要均匀的分布在地址池内，并有效的实现负载均衡。由于防火墙与互联网相连的链路会出现异常，当链路状态变化时，如何动态的把数据流量分配到连通的链路上是防火墙中网络地址转换的一个重要功能。 

防火墙NAT地址池根据NAT策略生成。NAT策略可以引用主机对象、子网对象、地址组对象生成NAT地址池。生成NAT地址池的具体方法是从地址组等对象中取出每个对象代表的单个IP地址放在地址池中。在进行NAT转换之前，防火墙已经进行了路由查找，确定出了从哪个链路发送数据包。需要说明的是，路由表中配置了策略路由，查找策略路由在查找其他路由之前。由于已经查找了路由表，防火墙NAT之后不再查找路由表确定链路。防火墙NAT时会均匀的选择地址池内的每个地址，地址池内各个IP地址均衡地作为源地址向互联网发送数据包。当数据包NAT之后，不能根据NAT后的源地址选择出链路。 

在上述情况下，当所有的链路都连通的情况下不会发生任何问题，但是一旦其中一条链路异常，而NAT地址池没有改变，NAT后的地址也不会改变，则向链路不通的网关发送数据包时会产生通信失败。 

发明内容

本发明提供一种防火墙网络地址转换动态负载均衡方法及装置，以解决现有技术中NAT地址池不能够动态更新从而使得链路异常时发送数据包通信失败的问题。 

本发明提供一种防火墙网络地址转换动态负载均衡方法，包括： 

在防火墙启动时产生链路监控进程，链路监控进程分别为每个链路生成相应的线程，通过线程确定各个链路的连通状态； 

配置防火墙的网络地址转换策略，生成网络地址转换地址池，并根据网络地址转换地址池配置策略路由，其中，策略路由用于根据源地址选择相应的链路； 

根据连通状态更新网络地址转换地址池以及策略路由； 

根据网络地址转换策略将数据包进行网络地址转换，并根据更新的策略路由选择合适的链路，将网络地址转换后的数据包发送到链路对应的网关。 

本发明还提供了一种防火墙网络地址转换动态负载均衡装置，包括： 

监控模块，用于在防火墙启动时产生链路监控进程，通过链路监控进程分别为每个链路生成相应的线程，并通过线程确定各个链路的连通状态； 

配置模块，用于配置防火墙的网络地址转换策略，生成网络地址转换地址池，并根据网络地址转换地址池配置策略路由，其中，策略路由用于根据源地址选择相应的链路； 

更新模块，用于根据连通状态更新网络地址转换地址池以及策略路由； 

处理模块，用于根据网络地址转换策略将数据包进行网络地址转换，并根据更新的策略路由选择合适的链路，将网络地址转换后的数据包发送到链路对 应的网关。 

本发明有益效果如下： 

通过对NAT地址池进行动态的更新，解决了现有技术中链路异常时发送数据包通信失败的问题，在进行网络地址转换时，均衡的从地址池中选择地址，达到了负载均衡的目的，此外，当链路状态发生改变时，可以动态的调节NAT地址池，数据包能够从链路状态为通的链路发送出去，防止了链路状态不通时通信失败的状况。 

附图说明

图1是本发明实施例的防火墙网络地址转换动态负载均衡方法的流程图； 

图2是本发明实施例的防火墙网络地址转换动态负载均衡方法的详细处理示意图； 

图3是本发明实施例的防火墙网络地址转换动态负载均衡装置的结构示意图。 

具体实施方式