[发明专利]基于正向隔离装置与隔离网关结合应用的负载均衡方法

说明书

技术领域

本发明涉及负载均衡技术，特别是涉及一种基于正向隔离装置与隔离网关结合应用的负载均衡方法。

背景技术

正向隔离装置：即正向型的电力专用网络专用安全隔离装置，是一种由带有多种控制功能专用硬件，位于调度数据网络与公用信息网络之间的一个安全防护装置，用于安全区I/II到安全区III的单向数据传递。

隔离网关：基于包括但不限定于路由器、交换机或服务器等实现的单向转发并对其相连的两个网络进行隔离的网关。

负载均衡：是按照事先配置的负载均衡算法，将访问同一个IP地址的用户流量分配到不同的服务器上。它通过虚拟服务技术、服务器健康性检查技术和逐流转发技术将用户的流量分摊到多台等价的服务器上。这些技术对于访问用户角度看似乎访问的是一台服务器，而实际上是能通过一定的负载均衡算法分摊到不同的服务器上，间接的提高了服务器的处理能力，也间接的提高了服务器的稳定性和可扩展性。

现在大多数隔离网关都集成了负载均衡技术，但是其安全防护这块一般只能做到IP层和常见应用层协议的安全检查和控制，并不能做到对网络间的“物理隔离”，因此在某些特殊安全要求较高的行业中，例如，电力系统专用网络隔离装置，普遍都是增加部署了安全隔离装置以进行物理层隔离。

由于隔离装置受限于其硬件环境和业务处理的特殊性，涉及到数据的倒换、隔离等功能，其对业务报文的转发能力普遍偏低，所以常常需要把多台隔离装置设备堆叠起来以提高整体处理性能，通过隔离装置堆叠之后，与隔离网关的负载均衡功能进行技术上的结合以达到互补效果。

如图1所示，图1为基于正向隔离装置与隔离网关结合的应用组网示意图，在正向隔离装置情况下：

在网络A、网络B组网中，两台隔离网关A、隔离网关B之间的隔离装置进行了集群堆叠处理，以弥补其对业务报文的转发能力普遍偏低的不足，同时为了让各个堆叠的隔离装置分担业务流量，在隔离装置前后的两台隔离网关具备负载均衡功能，从而达到整体利用网络集隔离装置和隔离网关的优点，满足高安全性和高带宽业务需求。

目前，大部分的网络设备都支持ICMP协议，隔离网关的负载均衡功能通过使用基于ICMP协议的周期性的健康性探测报文，并接收相应的ICMP请求回应的报文，来判断真实服务器的健康状态，将流量按配置好的策略分配到健康的服务器上。

然而，由于隔离装置自身的安全性和实现的健壮性，当隔离装置的通信链路出现拥塞时，探测的隔离装置另一侧因不能接收到ICMP健康性探测报文而无法做出响应，这样隔离网关的负载均衡ICMP探测功能就无法启作用。而且一般隔离装置对ICMP协议的健康性探测报文具有拦截作用，例如，正向隔离装置不会让ICMP回应报文通过，所以也无法通过直接探测隔离装置另一侧设备接口来进行负载均衡设备的健康性检查。

综上所述，基于上述健康性探测机制的负载均衡技术，在基于隔离装置与隔离网关结合的应用组网中，难以达到负载均衡和安全性并存，导致正向业务数据无法合理进行负载均衡分配，业务数据处理效率低。

发明内容

基于此，有必要针对基于上述现有的负载均衡技术，导致正向业务数据无法合理进行负载均衡分配，业务数据处理效率低的问题，提供一种基于正向隔离装置与隔离网关结合应用的负载均衡方法。

一种基于正向隔离装置与隔离网关结合应用的负载均衡方法，包括如下步骤：

S100，配置正向隔离装置的业务处理规则，其中，在正向允许TCP业务报文通过，反向仅允许设定格式的响应报文通过；

S200，基于TCP协议的私有健康性探测机制检测各个链路的健康状况；

所述检测过程包括：

在探测端隔离网关通过各个正向隔离装置所在的链路向响应端隔离网关发送基于TCP协议的探测报文，并在所述探测端隔离网关接收所述响应端隔离网关的响应报文；

若所述探测端隔离网关接收到预设格式的第一响应报文，则判定该链路为健康状态；

若所述探测端隔离网关接收到预设格式的第二响应报文，则判定该链路为拥塞状态；

S300，根据所述各个链路的健康状况分配正向业务数据。

上述基于正向隔离装置与隔离网关结合应用的负载均衡方法，针对于正向隔离装置与隔离网关结合应用场景，配置正向隔离装置的业务处理规则，通过在隔离装置两侧的隔离网关上部署基于TCP协议的探测报文，以检测各个链路的健康状况，根据该健康状况来进行负载均衡，负载均衡效率高，实现带宽可扩容性、网络安全性场景的部署，满足了正向隔离装置与隔离网关结合的高安全性、高带宽和高可靠性的需求。

附图说明