[发明专利]通过流量控制IPSEC负载分担的方法及系统

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种通过流量控制IPSEC负载分担的方法及系统。

背景技术

当前网络设备大多带IPSEC功能和流量负载分担功能。接口流量负载分担通常将目的地址相同的数据流以负载分担的方式尽可能平均的分配到负载分担接口（负载分担接口大于等于2），此时负载分担接口有到相同目的地址的路由，所以可以将数据通过两个不同的接口送到相同的目的地。而利用IPSEC功能对报文进行转发时，通常不能对接口进行选择，因此，不能实现根据流量的不同选择流量较小的负载分担接口，使得出接口流量更加均匀。

发明内容

（一）要解决的技术问题

本发明要解决的技术问题是：提供一种通过流量控制IPSEC负载分担的方法，以使得出接口流量更加均匀。

（二）技术方案

为解决上述问题，一方面，本发明提供了一种通过流量控制IPSEC负载分担的方法，包括以下步骤：

S1：网络设备配置负载分担接口组，每个负载分担接口组包括多个负载分担接口；

S2：配置多个IPSEC隧道绑定到所述负载分担接口组上；

S3：根据负载分担接口组组内各负载分担接口流量的不同，在新建连接时选择流量最小的负载分担接口进行协商，建立隧道。

优选地，所述步骤S3具体为：

S31：对报文进行路由查找，如果查找到所述报文的出接口为负载分担接口组，并且所述负载分担接口组配置了IPSEC隧道，则将所述报文对所述负载分担接口组的每个IPSEC隧道进行匹配：

如果匹配成功，则转到步骤S32；

如果所述报文对所述负载分担接口组的所有IPSEC隧道都没有匹配成功，则对报文进行流量负载分担计算，并通过计算出的出接口发出所述报文，方法结束；

S32：判断匹配的隧道是否已经建立在负载分担接口上：

如果建立了，则对报文进行隧道加密后发出所述报文；

如果没有建立，则对所述负载分担接口组中各负载分担接口的流量进行判断，找到流量最小的负载分担接口进行IKE隧道协商，建立隧道并对报文进行隧道加密后发出所述报文。

优选地，在所述步骤S31之前还包括以下步骤：对需要转发的报文进行对应快转表的查找：

如果找到对应快转表，则按照快转表记录上的处理方式处理报文后直接根据快转表上记录的出接口将报文进行转发，方法结束；

如果没有找到对应快转表，则创建快转表并转到步骤S31。

优选地，在所述步骤S31中通过计算出的出接口发出所述报文的步骤之后，还包括记录对应快转表的步骤。

优选地，在所述步骤S32中在对报文进行隧道加密后发出所述报文的步骤之后，还包括记录对应快转表的步骤。

优选地，所述找到流量最小的负载分担接口进行IKE隧道协商时，所述协商的原地址为所述流量最小的负载分担接口的ip地址。

另一方面，本发明还提供了一种通过流量控制IPSEC负载分担的系统，包括：

网络设备，用于配置负载分担接口组，每个负载分担接口组包括多个负载分担接口；

隧道配置模块，用于配置多个IPSEC隧道绑定到所述负载分担接口组上；

隧道建立模块，用于根据负载分担接口组组内各负载分担接口流量的不同，在新建连接时选择流量最小的负载分担接口进行协商，建立隧道。

优选地，所述网络设备为防火墙、路由器和交换机中的一种。

（三）有益效果

本发明将IPSEC隧道配置在负载分担组上，组内的接口根据流量不同，当新建连接时选择流量较少的负载分担接口进行协商建立隧道，使IPSEC和接口负载分担完美的结合起来，达到IPSEC接口负载分担的目的，出接口分配更加灵活、流量更均匀。

附图说明

图1为根据本发明通过流量控制IPSEC负载分担的方法的流程图；

图2为根据本发明通过流量控制IPSEC负载分担的系统的结构示意框图。

具体实施方式

下面结合附图及实施例对本发明进行详细说明如下。

实施例一：

如图1所示，本实施例记载了一种通过流量控制IPSEC负载分担的方法，包括以下步骤：

S1：网络设备配置负载分担接口组，每个负载分担接口组包括多个负载分担接口；

S2：配置多个IPSEC隧道绑定到所述负载分担接口组上；