[发明专利]基于SSL VPN网关集群的用户接入方法及其装置

权利要求书

1.一种基于安全套接层虚拟专用网络SSL VPN网关集群的用户接入方法，其特征在于，所述SSL VPN网关集群中的各网关启用了虚拟路由冗余协议VRRP，并配置有集群邻居表项，所述集群邻居表项中包含有各邻居网关的当前状态和当前用户连接数，该方法包括：

SSL VPN网关集群中的网关通过周期执行的集群邻居探测过程，维护各自集群邻居表项中各邻居网关的当前状态和当前用户连接数；

当SSL VPN网关集群中的主网关接收到用户终端发往SSL VPN网关集群VRRP备份组虚地址的SSL接入请求，并判断当前还没有网关处理源IP地址为该SSL接入请求的源IP地址的接入请求的情况下，根据集群邻居表项中各网关的当前状态和当前用户连接数，以及主网关自己的当前用户连接数，选择出负载最小且可达的网关；

如果选择出的网关为主网关自己，则主网关处理所述SSL接入请求；如果选择出的网关为邻居网关，则主网关将发起所述SSL接入请求的用户终端重定向到该邻居网关进行接入处理。

2.如权利要求1所述的方法，其特征在于，若SSL VPN网关集群中的主网关接收到用户终端发往SSL VPN网关集群VRRP备份组虚地址的SSL接入请求，并在判断当前已经有网关处理源IP地址为该SSL接入请求的源IP地址的接入请求且该网关不是主网关自己的情况下，将发起所述SSL接入请求的用户终端重定向到该SSL接入请求的源IP地址对应的网关进行处理；若当前处理该源IP地址的接入请求的网关是主网关自己，则主网关处理所述SSL接入请求。

3.如权利要求1所述的方法，其特征在于，所述集群邻居表项中还配置有各邻居网关的最大用户连接数；

主网关根据其集群邻居表项中各网关当前的状态和用户连接数，以及主网关自己当前的用户连接数，选择出负载最小且可达的网关，包括：

主网关根据其集群邻居表项中各邻居网关的最大用户连接数和当前的用户连接数，以及自身的最大用户连接数和当前的用户连接数，分别计算各网关的负载，并选择其中负载最小且状态为可达的网关。

4.如权利要求1所述的方法，其特征在于，SSL VPN网关集群中的各网关分别有各自的集群优先级，所述集群邻居表项中还包含有各邻居网关的集群优先级；

SSL VPN网关集群中的网关通过周期执行的集群邻居探测过程，维护各自集群邻居表项中各邻居网关的当前状态和当前用户连接数，包括：

SSL VPN网关集群中的网关按照自己的探测周期，根据集群邻居表项向优先级低于自己且当前状态为可达的邻居网关发送探测报文，其中携带有自己当前的用户连接数，并在接收到优先级低于自己的邻居网关返回的响应报文后，根据该响应报文中携带的该邻居网关当前的用户连接数，更新集群邻居表项中该邻居网关的当前用户连接数，并保持该邻居网关的状态为可达；

SSL VPN网关集群中的网关在接收到优先级比自己高的邻居网关发送的探测报文之后，根据该探测报文中携带的该邻居网关的当前用户连接数，更新集群邻居表项中该邻居网关的当前用户连接数，并保持该邻居网关的状态为可达。

5.如权利要求4所述的方法，其特征在于，还包括：

若SSL VPN网关集群中的网关在向优先级低于自己的邻居网关发送探测报文后，未在设定时长内接收到该邻居网关返回的响应报文，则将集群邻居表项中该邻居网关的状态设置为不可达，且清除该邻居网关当前的用户连接数；其中，设定时长为探测报文发送方网关的探测周期时长与重试次数的乘积；

若SSL VPN网关集群中的网关未在设定时长内接收到优先级高于自己的邻居网关发送的探测报文，则将集群邻居表项中该邻居网关的状态设置为不可达，且清除该邻居网关当前的用户连接数；其中，设定时长为该邻居网关的探测周期时长与重试次数的乘积。

6.如权利要求1所述的方法，其特征在于，还包括：

若有新网关加入SSL VPN网关集群，则该新加入的网关向SSL VPN网关集群内的所有邻居网关发送声明加入SSL VPN网关集群的组播报文，并在接收到邻居网关返回的响应报文后，根据响应报文中携带的邻居网关的当前用户连接数更新该新加入的网关的集群邻居表项中该邻居网关的当前用户连接数，并将该邻居网关的状态设置为可达；

接收到所述组播报文的网关将集群邻居表项中该组播报文发送方网关的状态设置为可达。