專利名稱:數(shù)據(jù)包的處理方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,尤其涉及一種數(shù)據(jù)包的處理方法及裝置。
背景技術(shù):
路由器是具有多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)系統(tǒng),從網(wǎng)絡(luò)中接收到數(shù)據(jù)包,根據(jù)數(shù)據(jù)包源、目的地址進(jìn)行路由表查找,并對(duì)查找成功的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。一般的路由器都支持策略路由,除了根據(jù)源和目的地址進(jìn)行路由查找外,還可以通過(guò)服務(wù)或協(xié)議等進(jìn)行高級(jí)路由查找,路由器也有規(guī)則訪問(wèn)控制表(Access Control List,簡(jiǎn)稱為ACL)控制模塊,但是,該規(guī)則ACL控制模塊與路由模塊是獨(dú)立的,無(wú)法實(shí)現(xiàn)指定的規(guī)則和路由表項(xiàng)關(guān)聯(lián)起來(lái)。
現(xiàn)在企業(yè)和政府都有多個(gè)網(wǎng)絡(luò)出口,并且不同出口連接不同的網(wǎng)絡(luò)運(yùn)營(yíng)商,例如, 同一個(gè)企業(yè)有三個(gè)電信出口和三個(gè)網(wǎng)通出口,并且要求去往網(wǎng)通的線路優(yōu)先走網(wǎng)通,去往電信的線路優(yōu)先走電信,多條電信(或網(wǎng)通)線路間可以實(shí)現(xiàn)負(fù)載。
但是,在相關(guān)技術(shù)中,如果某些敏感服務(wù)流量(比如,HTTP和ICMP服務(wù))必須走網(wǎng)通或電信指定線路,當(dāng)某邊的鏈路出現(xiàn)問(wèn)題時(shí),服務(wù)流量的數(shù)據(jù)包就此截止,網(wǎng)絡(luò)傳輸出現(xiàn)異常。
可見,在相關(guān)技術(shù)中,普通路由器或其它安全設(shè)備在傳輸數(shù)據(jù)包的指定鏈路不通時(shí),會(huì)出現(xiàn)網(wǎng)絡(luò)出口異常的情況。而針對(duì)上述問(wèn)題,目前尚未提出有效解決方案。
發(fā)明內(nèi)容
本發(fā)明的主要目的是提供一種數(shù)據(jù)包的處理方案,以解決相關(guān)技術(shù)中普通路由器或其它安全設(shè)備在傳輸數(shù)據(jù)包的指定鏈路不通時(shí)會(huì)出現(xiàn)網(wǎng)絡(luò)出口異常的問(wèn)題。
根據(jù)本發(fā)明的一方面,提供了一種數(shù)據(jù)包的處理方法,包括收到外出的數(shù)據(jù)包后,確定與所述數(shù)據(jù)包匹配的安全規(guī)則中配置了預(yù)定路由標(biāo)識(shí);查找與所述預(yù)定路由標(biāo)識(shí)對(duì)應(yīng)的路由表項(xiàng),并根據(jù)查找到的所述路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理。
優(yōu)選地,根據(jù)查找到的所述路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理包括確定查找到的所述路由表項(xiàng)中有能夠連通的鏈路,則根據(jù)所述能夠連通的鏈路對(duì)應(yīng)的權(quán)重值選擇所述預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理;或者,在通過(guò)鏈路探測(cè)機(jī)制匹配到的路由表項(xiàng)中未找到能夠連通的鏈路的下一跳地址的情況下,選擇與查找到的所述路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理。
優(yōu)選地,收到外出的所述數(shù)據(jù)包之前,所述方法還包括配置不同網(wǎng)絡(luò)出口地址資源中的IP地址,并按照預(yù)定安全策略規(guī)則設(shè)置路由負(fù)載表項(xiàng),其中,所述預(yù)定安全策略規(guī)則包括所述預(yù)定路由標(biāo)識(shí)、所述不同網(wǎng)絡(luò)出口地址資源以及路由表中路由表項(xiàng)的對(duì)應(yīng)關(guān)系;在匹配了所述預(yù)定安全策略規(guī)則的數(shù)據(jù)包上設(shè)置所述預(yù)定路由標(biāo)識(shí)。
優(yōu)選地,所述不同網(wǎng)絡(luò)出口地址資源包括以下至少之一網(wǎng)通出口地址資源、電信出口地址資源。
優(yōu)選地,查找與所述預(yù)定路由標(biāo)識(shí)對(duì)應(yīng)的路由表項(xiàng)包括將所述數(shù)據(jù)包的套接字緩存的標(biāo)識(shí)字段設(shè)置為所述路由標(biāo)識(shí)的值,并查找與所述路由標(biāo)識(shí)的值相對(duì)應(yīng)的路由表項(xiàng)。
優(yōu)選地,根據(jù)查找到的所述路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理之后,所述方法還包括將所述數(shù)據(jù)包的源地址轉(zhuǎn)換為發(fā)送接口上的一個(gè)隨機(jī)地址,并按照轉(zhuǎn)換后的所述數(shù)據(jù)包的源地址建立狀態(tài)表。
根據(jù)本發(fā)明的另一方面,提供了一種數(shù)據(jù)包的處理裝置,位于安全網(wǎng)關(guān)設(shè)備中,包括確定模塊,用于收到外出的數(shù)據(jù)包后,確定與所述數(shù)據(jù)包匹配的安全規(guī)則中配置了預(yù)定路由標(biāo)識(shí);查找模塊,用于查找與所述預(yù)定路由標(biāo)識(shí)對(duì)應(yīng)的路由表項(xiàng);以及負(fù)載均衡模塊, 用于根據(jù)所述查找模塊查找到的所述路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理。
優(yōu)選地,所述負(fù)載均衡模塊包括路由負(fù)載模塊,用于確定查找到的所述路由表項(xiàng)中有能夠連通的鏈路的情況下,根據(jù)所述能夠連通的鏈路對(duì)應(yīng)的權(quán)重值選擇所述預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理;或者,鏈路探測(cè)模塊,用于在通過(guò)鏈路探測(cè)機(jī)制匹配到的路由表項(xiàng)中未找到能夠連通的鏈路的下一跳地址的情況下,選擇與查找到的所述路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理。
優(yōu)選地,所述裝置還包括配置模塊,用于配置不同網(wǎng)絡(luò)出口地址資源中的IP地址,并按照預(yù)定安全策略規(guī)則設(shè)置路由負(fù)載表項(xiàng),其中,所述預(yù)定安全策略規(guī)則包括所述預(yù)定路由標(biāo)識(shí)、所述不同網(wǎng)絡(luò)出口地址資源以及路由表中路由表項(xiàng)的對(duì)應(yīng)關(guān)系;標(biāo)識(shí)模塊,用于在匹配了所述預(yù)定安全策略規(guī)則的數(shù)據(jù)包上設(shè)置所述預(yù)定路由標(biāo)識(shí)。
優(yōu)選地,所述裝置還包括 轉(zhuǎn)換模塊,用于將所述數(shù)據(jù)包的源地址轉(zhuǎn)換為發(fā)送接口上的一個(gè)隨機(jī)地址,并按照轉(zhuǎn)換后的所述數(shù)據(jù)包的源地址建立狀態(tài)表。
通過(guò)本發(fā)明,采用收到外出的數(shù)據(jù)包后,確定與該數(shù)據(jù)包匹配的安全規(guī)則中配置了預(yù)定路由標(biāo)識(shí);查找與該預(yù)定路由標(biāo)識(shí)對(duì)應(yīng)的路由表項(xiàng),并根據(jù)查找到的該路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)該數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理的方式,解決了相關(guān)技術(shù)中普通路由器或其它安全設(shè)備在傳輸數(shù)據(jù)包的指定鏈路不通時(shí)會(huì)出現(xiàn)網(wǎng)絡(luò)出口異常的問(wèn)題, 滿足用戶在多網(wǎng)絡(luò)出口環(huán)境下的各種業(yè)務(wù)需求,提高了路由的靈活性。
說(shuō)明書附圖用來(lái)提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說(shuō)明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中
圖1是根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)包的處理方法的流程圖2是根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)包的處理裝置的結(jié)構(gòu)框圖3是根據(jù)本發(fā)明優(yōu)選實(shí)施例的數(shù)據(jù)包的處理裝置的結(jié)構(gòu)框圖4是根據(jù)本發(fā)明實(shí)施例一的某企業(yè)通過(guò)路由器將內(nèi)網(wǎng)與外部網(wǎng)絡(luò)相連通的示意圖5是根據(jù)本發(fā)明實(shí)施例一的在多出口環(huán)境下靈活配置路由及路由負(fù)載的方法的流程圖6是根據(jù)本發(fā)明實(shí)施例三的安全規(guī)則查找方法的流程圖7是根據(jù)本發(fā)明實(shí)施例三的鏈路探測(cè)方法的流程圖8是根據(jù)本發(fā)明實(shí)施例三的路由查找方法的流程圖9是根據(jù)本發(fā)明實(shí)施例四的系統(tǒng)組成示意圖。
具體實(shí)施方式
需要說(shuō)明的是,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。下面將參考附圖并結(jié)合實(shí)施例來(lái)詳細(xì)說(shuō)明本發(fā)明。
根據(jù)本發(fā)明實(shí)施例,提供了一種數(shù)據(jù)包的處理方法。圖1是根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)包的處理方法的流程圖,如圖1所示,該方法包括以下步驟
步驟S102,收到外出的數(shù)據(jù)包后,確定與該數(shù)據(jù)包匹配的安全規(guī)則中配置了預(yù)定路由標(biāo)識(shí);
步驟S104,查找與該預(yù)定路由標(biāo)識(shí)對(duì)應(yīng)的路由表項(xiàng);
步驟S106,根據(jù)查找到的路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)該數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理。
通過(guò)上述步驟,采用收到外出的數(shù)據(jù)包后,確定與該數(shù)據(jù)包匹配的安全規(guī)則中配置了預(yù)定路由標(biāo)識(shí);查找與該預(yù)定路由標(biāo)識(shí)對(duì)應(yīng)的路由表項(xiàng),并根據(jù)查找到的該路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)該數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理的方式,解決了相關(guān)技術(shù)中普通路由器或其它安全設(shè)備在傳輸數(shù)據(jù)包的指定鏈路不通時(shí)會(huì)出現(xiàn)網(wǎng)絡(luò)出口異常的問(wèn)題,滿足用戶在多網(wǎng)絡(luò)出口環(huán)境下的各種業(yè)務(wù)需求,提高了路由的靈活性。
優(yōu)選地,步驟S106中,根據(jù)查找到的路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)該數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理可以包括如下兩種方式
方式一、確定查找到的路由表項(xiàng)中有能夠連通的鏈路,則根據(jù)能夠連通的鏈路對(duì)應(yīng)的權(quán)重值選擇預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)該數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理;
方式二、在通過(guò)鏈路探測(cè)機(jī)制匹配到的路由表項(xiàng)中未找到能夠連通的鏈路的下一跳地址的情況下,選擇與查找到的路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)該數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理。
優(yōu)選地,在步驟S102之前,可以配置不同網(wǎng)絡(luò)出口地址資源中的IP地址,并按照預(yù)定安全策略規(guī)則設(shè)置路由負(fù)載表項(xiàng),其中,預(yù)定安全策略規(guī)則包括預(yù)定路由標(biāo)識(shí)、不同網(wǎng)絡(luò)出口地址資源以及路由表中路由表項(xiàng)的對(duì)應(yīng)關(guān)系;在匹配了預(yù)定安全策略規(guī)則的數(shù)據(jù)包上設(shè)置預(yù)定路由標(biāo)識(shí)。其中,不同網(wǎng)絡(luò)出口地址資源包括以下至少之一網(wǎng)通出口地址資源、電信出口地址資源。例如,設(shè)定哪些IP地址屬于網(wǎng)通出口地址資源,哪些IP地址屬于電信出口資源,并在安全策略規(guī)則中利用路由標(biāo)識(shí)將路由表中的路由表項(xiàng)與不同的網(wǎng)絡(luò)出口地址資源對(duì)應(yīng)起來(lái),比如,電信出口地址資源為路由標(biāo)識(shí)1,網(wǎng)通出口地址資源為路由標(biāo)識(shí)2,在安全策略規(guī)則中針對(duì)路由表中的路由表項(xiàng)添加相應(yīng)的路由標(biāo)識(shí)。
優(yōu)選地,在步驟S104中,可以將上述數(shù)據(jù)包的套接字緩存(SKB)的標(biāo)識(shí)字段 (MARK)設(shè)置為路由標(biāo)識(shí)的值(例如,1),并查找與該路由標(biāo)識(shí)的值相對(duì)應(yīng)的路由表項(xiàng)。
優(yōu)選地,在步驟S106之后,將該數(shù)據(jù)包的源地址轉(zhuǎn)換為發(fā)送接口(即選擇的網(wǎng)絡(luò)出口)上的一個(gè)隨機(jī)地址,并按照轉(zhuǎn)換后的數(shù)據(jù)包的源地址建立狀態(tài)表。例如,該狀態(tài)表可以包括網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation,簡(jiǎn)稱為NAT)、路由、網(wǎng)絡(luò)出口(即接口)等相關(guān) 目息。該方法可以提聞系統(tǒng)的安全性。
對(duì)應(yīng)于上述方法,本發(fā)明實(shí)施例還提供了一種數(shù)據(jù)包的處理裝置。圖2是根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)包的處理裝置的結(jié)構(gòu)框圖,如圖2所示,該裝置位于安全網(wǎng)關(guān)設(shè)備中,包括確定模塊22,用于收到外出的數(shù)據(jù)包后,確定與該數(shù)據(jù)包匹配的安全規(guī)則中配置了預(yù)定路由標(biāo)識(shí);查找模塊24,耦合至確定模塊22,用于查找與該預(yù)定路由標(biāo)識(shí)對(duì)應(yīng)的路由表項(xiàng);以及負(fù)載均衡模塊26,耦合至查找模塊24,用于根據(jù)查找模塊24查找到的路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)該數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理。
通過(guò)上述裝置,確定模塊22收到外出的數(shù)據(jù)包后,確定與該數(shù)據(jù)包匹配的安全規(guī)則中配置了預(yù)定路由標(biāo)識(shí);查找模塊24查找與該預(yù)定路由標(biāo)識(shí)對(duì)應(yīng)的路由表項(xiàng),負(fù)載均衡模塊26根據(jù)查找到的該路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)該數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理,解決了相關(guān)技術(shù)中普通路由器或其它安全設(shè)備在傳輸數(shù)據(jù)包的指定鏈路不通時(shí)會(huì)出現(xiàn)網(wǎng)絡(luò)出口異常的問(wèn)題,滿足用戶在多網(wǎng)絡(luò)出口環(huán)境下的各種業(yè)務(wù)需求,提高了路由的靈活性。
圖3是根據(jù)本發(fā)明優(yōu)選實(shí)施例的數(shù)據(jù)包的處理裝置的結(jié)構(gòu)框圖,如圖3所示,負(fù)載均衡模塊26包括路由負(fù)載單元262,用于確定查找到的路由表項(xiàng)中有能夠連通的鏈路的情況下,根據(jù)能夠連通的鏈路對(duì)應(yīng)的權(quán)重值選擇預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理;或者,鏈路探測(cè)單元264,用于在通過(guò)鏈路探測(cè)機(jī)制匹配到的路由表項(xiàng)中未找到能夠連通的鏈路的下一跳地址的情況下,選擇與查找到的路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理。
優(yōu)選地,該裝置還包括配置模塊32,用于配置不同網(wǎng)絡(luò)出口地址資源中的IP地址,并按照預(yù)定安全策略規(guī)則設(shè)置路由負(fù)載表項(xiàng),其中,預(yù)定安全策略規(guī)則包括預(yù)定路由標(biāo)識(shí)、不同網(wǎng)絡(luò)出口地址資源以及路由表中路由表項(xiàng)的對(duì)應(yīng)關(guān)系;標(biāo)識(shí)模塊34,耦合至配置模塊32和確定模塊22,用于在匹配了預(yù)定安全策略規(guī)則的數(shù)據(jù)包上設(shè)置預(yù)定路由標(biāo)識(shí)。
優(yōu)選地,該裝置還包括轉(zhuǎn)換模塊36,耦合至負(fù)載均衡模塊26,用于將該數(shù)據(jù)包的源地址轉(zhuǎn)換為發(fā)送接口上的一個(gè)隨機(jī)地址,并按照轉(zhuǎn)換后的該數(shù)據(jù)包的源地址建立狀態(tài)表。
可見,上述優(yōu)選實(shí)施例針對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備中對(duì)于路由技術(shù)中存在的不足而提出了一種利用在安全規(guī)則中通過(guò)標(biāo)簽方式實(shí)現(xiàn)靈活的策略路由負(fù)載的方法及裝置,可以實(shí)現(xiàn)以下功能
( I)提供一種利用基于標(biāo)簽的方式實(shí)現(xiàn)到達(dá)指定目的地址時(shí)能夠選擇指定的路由的方法,不僅可以實(shí)現(xiàn)基于規(guī)則的策略路由功能,還能使企業(yè)在多出口環(huán)境下可以實(shí)現(xiàn)到達(dá)網(wǎng)通的地址走網(wǎng)通線路,到達(dá)電信的地址走電信線路的目的;
(2)提供一種適用于上述利用基于標(biāo)簽的路由負(fù)載功能的裝置,該裝置可以實(shí)現(xiàn)在同一個(gè)運(yùn)營(yíng)商線路之間進(jìn)行鏈路負(fù)載,當(dāng)某條鏈路出現(xiàn)故障后可以立刻重置路由,還可以實(shí)現(xiàn)當(dāng)同一個(gè)運(yùn)營(yíng)商的所有線路都出現(xiàn)故障時(shí)切換到其它運(yùn)營(yíng)商線路上。
下面結(jié)合優(yōu)選實(shí)施例和附圖對(duì)上述實(shí)施例的實(shí)現(xiàn)過(guò)程進(jìn)行詳細(xì)說(shuō)明。
實(shí)施例一
圖4是根據(jù)本發(fā)明實(shí)施 例一的某企業(yè)通過(guò)路由器將內(nèi)網(wǎng)與外部網(wǎng)絡(luò)相連通的示意圖,如圖4所示,某企業(yè)鏈路為多出口多路由負(fù)載場(chǎng)景,出口分為電信和網(wǎng)通兩類線路, 圖4中分別使用電信服務(wù)器和網(wǎng)通服務(wù)器模擬兩種服務(wù)器地址,用戶要求去網(wǎng)通的線路優(yōu)先走網(wǎng)通,去往電信的線路優(yōu)先走電信,但對(duì)于某些敏感服務(wù)流量(比如HTTP或ICMP服務(wù)) 必須走網(wǎng)通線路;當(dāng)某邊的鏈路出現(xiàn)問(wèn)題,可以自動(dòng)切換到其他線路,以同類線路為優(yōu)先; 比如網(wǎng)通某線路中斷,優(yōu)先切換網(wǎng)通其他網(wǎng)通線路;如果網(wǎng)通線路中斷時(shí)發(fā)現(xiàn)沒(méi)有其他可用網(wǎng)通線路,則選擇一條其它電信線路。圖4中安全網(wǎng)關(guān)設(shè)備為包括多個(gè)網(wǎng)卡的計(jì)算機(jī)設(shè)備、其中運(yùn)行了支持規(guī)則控制、路由負(fù)載轉(zhuǎn)發(fā)、狀態(tài)檢測(cè)處理的操作系統(tǒng)。并在操作系統(tǒng)中安裝實(shí)現(xiàn)了本實(shí)施例的技術(shù)方案所需要的計(jì)算機(jī)程序文件。
本實(shí)施例提供了一種在多出口環(huán)境下靈活配置路由及路由負(fù)載的方法,用來(lái)滿足各種多出口環(huán)境下的特殊路由配置需求。該方法包括用戶手動(dòng)配置帶標(biāo)簽的路由表項(xiàng)以及安全規(guī)則選項(xiàng)進(jìn)行路由查找和數(shù)據(jù)轉(zhuǎn)發(fā)兩個(gè)部分,也即,分為網(wǎng)絡(luò)管理員配置防火墻設(shè)備和防火墻安全規(guī)則(如下步驟S502所示),以及安全規(guī)則和路由負(fù)載模塊中數(shù)據(jù)包處理流程(如下步驟S504 S526所示)。圖5是根據(jù)本發(fā)明實(shí)施例一的在多出口環(huán)境下靈活配置路由及路由負(fù)載的方法的流程圖,如圖5所示,該方法包括以下步驟
步驟S502,定義帶標(biāo)簽的策略路由選項(xiàng),配置安全規(guī)則。安全規(guī)則配置方法和原來(lái)一樣,可以設(shè)置各種高級(jí)選項(xiàng),在此基礎(chǔ)上需要增加路由標(biāo)識(shí)的配置即可,以實(shí)現(xiàn)指定不同的數(shù)據(jù)流走不同的鏈路,當(dāng)安全規(guī)則中的路由標(biāo)識(shí)為空時(shí),表示按照常規(guī)路由方式查找;
步驟S504,防火墻接收到數(shù)據(jù)包;
步驟S506,查找狀態(tài)表,命中狀態(tài)表,直接轉(zhuǎn)步驟S524,否則轉(zhuǎn)步驟S508 ;
步驟S508,查找安全規(guī)則,未命中規(guī)則直接丟棄,命中規(guī)則后判斷規(guī)則中是否配置了路由標(biāo)識(shí),如果配置了,則轉(zhuǎn)步驟S510,否則轉(zhuǎn)步驟S518 ;
步驟S510,對(duì)數(shù)據(jù)包SKB — MARK字段賦值,所賦值為規(guī)則中配置的正整數(shù);
步驟S512,根據(jù)數(shù)據(jù)包中的SKB — MARK值找對(duì)應(yīng)的路由表項(xiàng),如果未找到匹配的條目,則轉(zhuǎn)步驟S518 ;否則在該條目中進(jìn)行路由查找和路由負(fù)載;
步驟S514,根據(jù)鏈路探測(cè)結(jié)果,當(dāng)在步驟S512中匹配到的路由表項(xiàng)中條目中至少有一個(gè)下一跳可用時(shí),則進(jìn)入步驟S520 ;
步驟S516,如果對(duì)應(yīng)的路由表項(xiàng)中無(wú)可用鏈路,則在當(dāng)前路由表項(xiàng)序號(hào)η的第n+1 條路由表項(xiàng)中進(jìn)行路由探測(cè)操作,重復(fù)該步驟,直到找到可用鏈路或者遍歷完所有帶標(biāo)簽的路由表項(xiàng),其中η為自然數(shù);
步驟S518,按照常規(guī) 路由查找方式查找路由;
步驟S520,根據(jù)查找的路由,進(jìn)行源地址轉(zhuǎn)換;
步驟S522,建立狀態(tài)表,將路由及NAT信息記錄到狀態(tài)表;
步驟S524,轉(zhuǎn)發(fā)數(shù)據(jù)包;
步驟S526,防火墻接收數(shù)據(jù)包,重復(fù)步驟S504 步驟S524步驟。
需要說(shuō)明的是,本實(shí)施例在數(shù)據(jù)包處理過(guò)程中,需要對(duì)數(shù)據(jù)包基于(源IP地址、目的IP地址、協(xié)議類型、源端口、目的端口)五元組的匹配,對(duì)于外出的數(shù)據(jù)包,如果該數(shù)據(jù)包匹配的安全規(guī)則中配置了路由標(biāo)識(shí),則防火墻對(duì)數(shù)據(jù)包的SKB — MARK字段進(jìn)行賦值,然后轉(zhuǎn)到路由查找模塊,并且在標(biāo)簽為SKB — MARK的路由表項(xiàng)中進(jìn)行路由查找。
可見,本實(shí)施例采用在原有路由查找原理基礎(chǔ)上,在防火墻系統(tǒng)中增加帶標(biāo)簽的路由表項(xiàng),同時(shí)擴(kuò)展了原來(lái)的安全規(guī)則表項(xiàng),增加了路由標(biāo)識(shí)的配置選項(xiàng),實(shí)現(xiàn)了當(dāng)防火墻接收到數(shù)據(jù)包時(shí),首先查找安全規(guī)則,命中安全規(guī)則后,通過(guò)安全規(guī)則中配置的路由標(biāo)識(shí), 然后到對(duì)應(yīng)的路由表項(xiàng)中進(jìn)行路由查找和路由負(fù)載均衡的功能,并配合鏈路探測(cè)機(jī)制實(shí)現(xiàn)了當(dāng)鏈路出現(xiàn)故障時(shí)自動(dòng)重置路由負(fù)載和路由備份機(jī)制,該方法使得防火墻可以滿足在多出口環(huán)境下根據(jù)安全策略來(lái)指定具體鏈路出口 ;又由于安全策略可以設(shè)置各種高級(jí)選項(xiàng), 所以,極大地提高了路由的靈活性,可以滿足用戶在多出口環(huán)境下的各種需求。同時(shí),該方法也使得網(wǎng)絡(luò)管理員配置路由方法更加簡(jiǎn)單靈活,能滿足各種不同的需求。
此外,本實(shí)施例還提供了一種使用上述方法的防火墻設(shè)備,使用該防火墻設(shè)備時(shí), 管理員只需要配置安全規(guī)則時(shí),為安全規(guī)則表項(xiàng)指定具體的路由標(biāo)識(shí)號(hào),同時(shí)在添加策略路由時(shí),為策略路由表項(xiàng)指定路由標(biāo)簽,其他的配置與標(biāo)準(zhǔn)防火墻的配置一致。當(dāng)用戶配置的一個(gè)路由表項(xiàng)中的任何一條鏈路出現(xiàn)問(wèn)題都會(huì)自動(dòng)觸發(fā)重置路由負(fù)載均衡功能,當(dāng)該表項(xiàng)中所有鏈路都出現(xiàn)問(wèn)題時(shí),可以自動(dòng)切換到其它路由表項(xiàng)中做負(fù)載均衡處理。
實(shí)施例二
本實(shí)施例中,提供了一種在安全規(guī)則中使用標(biāo)簽方式實(shí)現(xiàn)靈活的策略路由負(fù)載方法,通過(guò)擴(kuò)展安全網(wǎng)關(guān)的安全規(guī)則表和路由表,在網(wǎng)絡(luò)系統(tǒng)中增加了帶表識(shí)的路由表,安全規(guī)則高級(jí)選項(xiàng)中可以配置路由標(biāo)識(shí)索引(ID)。當(dāng)數(shù)據(jù)包在查詢規(guī)則時(shí),匹配到具體規(guī)則后需要查詢?cè)摋l規(guī)則的標(biāo)識(shí)索引(ID),如果規(guī)則中未配置標(biāo)識(shí)索引(ID),則按照常規(guī)路由查找方式進(jìn)行路由查找,如果規(guī)則中配置了具體的標(biāo)識(shí)索引(ID),則將該數(shù)據(jù)包的SKB (Socket Buffer) — MARK字段賦值為對(duì)應(yīng)的標(biāo)識(shí)索引(ID),安全規(guī)則模塊處理完成后,進(jìn)入路由模塊,路由模塊根據(jù)數(shù)據(jù)包中的MARK值到對(duì)應(yīng)的路由表項(xiàng)中查詢路由及路由負(fù)載處理。
實(shí)施過(guò)程中,本實(shí)施例提供的在安全策略中基于標(biāo)簽的高級(jí)智能策略路由負(fù)載的實(shí)現(xiàn)方法可以法分為配置和數(shù)據(jù)包處理兩個(gè)過(guò)程,其中,配置過(guò)程的步驟包括
(I)在網(wǎng)絡(luò)系統(tǒng)中預(yù)定義好目的地址資源,比如,到網(wǎng)通的地址資源定義為一個(gè)地址組,到電信的地址資源定義為一個(gè)組,也可以根據(jù)具體需要定義不同的地址組;
(2)在網(wǎng)絡(luò)系統(tǒng)中定義帶標(biāo)簽的路由負(fù)載表項(xiàng)。在該表項(xiàng)中,除了常規(guī)的源地址、 目的地址、目的端口、協(xié)議及接口外,還需要配置該表項(xiàng)的序號(hào)和標(biāo)識(shí)值,序號(hào)越小優(yōu)先級(jí)越高,標(biāo)識(shí)值用于在安全規(guī)則中引用,取值范圍為1-255,每個(gè)表項(xiàng)中下一跳地址最大可以支持16個(gè);
( 3)在網(wǎng)絡(luò)系統(tǒng)的安全策略表中添加安全規(guī)則,規(guī)則的目的地址是配置步驟(I)中定義的地址組,其它配置選項(xiàng)根據(jù)具體需要做配置,并在規(guī)則表項(xiàng)中增加路由標(biāo)識(shí)相關(guān)配置。該配置可以讓匹配到該條策略的數(shù)據(jù)包查詢標(biāo)識(shí)指定的路由范圍,達(dá)到靈活配置路由及路由負(fù)載的目的;
( 4 )配置鏈路探測(cè),針對(duì)每條下一跳地址配置一條相依的鏈路探測(cè)規(guī)則。
需要說(shuō)明的是,在安全策略配置中增加的路由標(biāo)識(shí)是一個(gè)在系統(tǒng)中不重復(fù)的正整數(shù)。
其中,數(shù)據(jù)包處理兩個(gè)過(guò)程包括
(1)網(wǎng)絡(luò)訪問(wèn)數(shù)據(jù)包到達(dá)安全網(wǎng)關(guān)時(shí),首先查找安全規(guī)則,未命中規(guī)則直接丟棄, 命中規(guī)則后,檢查規(guī)則中是否配置路由標(biāo)識(shí)。如果未配置路由標(biāo)識(shí),則按照常規(guī)路由查找方法處理,如果配置了路由標(biāo)識(shí),則數(shù)據(jù)包的處理分如下兩種情況
(i)對(duì)數(shù)據(jù)包SKB — MARK字段進(jìn)行賦值,值為規(guī)則中配置的標(biāo)識(shí)值;
(ii)進(jìn)入路由查找模塊,此時(shí)需要根據(jù)數(shù)據(jù)包中MARK的值到對(duì)應(yīng)的路由表項(xiàng)進(jìn)行路由查找,如果為零,表示按照常規(guī)方法查找,如果不為零,此時(shí)就進(jìn)入對(duì)應(yīng)表項(xiàng)的路由負(fù)載模塊進(jìn)行路由負(fù)載均衡處理,該路由負(fù)載處理方式又可以分為以下兩種
方式一、每個(gè)路由表項(xiàng)可以支持16個(gè)負(fù)載均衡下一跳地址,在當(dāng)前配置的下一跳地址中,只要至少有一條鏈路能連通,就在當(dāng)前的路由表項(xiàng)中根據(jù)具體權(quán)重做路由負(fù)載;
方式二、通過(guò)鏈路探測(cè)機(jī)制,如果匹配到的路由表項(xiàng)的所有下一跳地址都不可達(dá), 此時(shí)根據(jù)配置的各路由表項(xiàng)的序號(hào),選擇下一條路由表項(xiàng)進(jìn)行路由負(fù)載,以此類推;
(2)在數(shù)據(jù)包選擇了正確的下一跳地址后,安全網(wǎng)關(guān)根據(jù)所選的下一跳地址計(jì)算需要從那個(gè)接口進(jìn)行數(shù)據(jù)發(fā)送;
(3)安全網(wǎng)關(guān)確定了發(fā)送接口后,開始對(duì)數(shù)據(jù)包做源地址轉(zhuǎn)換,通過(guò)一定的HASH 算法,將源地址轉(zhuǎn)換為發(fā)送接口上的一個(gè)隨機(jī)地址;
(4)地址轉(zhuǎn)換成功后安全網(wǎng)關(guān)建立狀態(tài)表,記錄一些NAT、路由、接口等相關(guān)信息;
(5)返回的數(shù)據(jù)包到達(dá)完全網(wǎng)關(guān)后首先查找狀態(tài)表,命中狀態(tài)表后根據(jù)NAT信息對(duì)數(shù)據(jù)包做相關(guān)處理后直接轉(zhuǎn)發(fā),到此整個(gè)處理過(guò)程結(jié)束。
實(shí)施例三
本實(shí)施例·提供了一種利用安全規(guī)則中使用標(biāo)簽方式實(shí)現(xiàn)靈活的策略路由負(fù)載方法。在實(shí)施過(guò)程中,分為網(wǎng)絡(luò)管理員配置防火墻設(shè)備和防火墻安全規(guī)則,以及路由負(fù)載模塊數(shù)據(jù)處理流程兩個(gè)階段。
第一階段網(wǎng)絡(luò)管理員配置防火墻。具體地,基于標(biāo)簽的高級(jí)智能策略路由負(fù)載的配置方法可以包括
步驟1,在網(wǎng)絡(luò)系統(tǒng)中預(yù)定義目的地址資源,定義一個(gè)電信的地址資源addr_wt, IP 地址有 124. 127. 118. 26,124. 127. 118. 26,124. 127. 118. 26 ;定義一個(gè)網(wǎng)通地址資源 addr_dx, IP 地址有;220. 161. 5. 100,220. 161. 5. 101,220. 161. 5. 102 ;
步驟2,在網(wǎng)絡(luò)系統(tǒng)中定義帶標(biāo)簽的路由負(fù)載表項(xiàng),分別添加兩個(gè)策略路由表項(xiàng), 序號(hào)分別為I和2,標(biāo)識(shí)值分別為I和2,序號(hào)I的路由表項(xiàng)為電信出口,分別制定gel、ge2、 ge3接口上的地址為三個(gè)出口地址(如圖4),序號(hào)2的路由表項(xiàng)為網(wǎng)通出口,分別制定ge4、 ge5、ge6接口上的地址為三個(gè)出口地址;
步驟3,在網(wǎng)絡(luò)系統(tǒng)的安全策略表中添加兩條安全規(guī)則,規(guī)則的目的地址分別是配置步驟I中定義的地址資源,其它配置選項(xiàng)根據(jù)具體需要做配置,在規(guī)則一的表項(xiàng)中配置路由標(biāo)識(shí)為1,在規(guī)則二表項(xiàng)中配置路由標(biāo)識(shí)為2 ;匹配到該條策略的數(shù)據(jù)包會(huì)自動(dòng)打上所配置的標(biāo)識(shí)I或2 ;
步驟4,配置鏈路探測(cè),針對(duì)每條下一跳地址配置一條相依的鏈路探測(cè)規(guī)則。
第二階段安全規(guī)則及路由負(fù)載模塊數(shù)據(jù)包處理過(guò)程。
圖6是根據(jù)本發(fā)明實(shí)施例三的安全規(guī)則查找方法的流程圖,如圖6所示,該方法可以包括以下步驟
步驟S602,接收數(shù)據(jù)包;
步驟S604,查找接收到的數(shù)據(jù)包是否命中安全規(guī)則,如果命中,則進(jìn)入步驟S606,否則進(jìn)入步驟S608 ;
步驟S606,檢查命中的安全規(guī)則中是否配置了路由標(biāo)識(shí),如果未配置路由標(biāo)識(shí),則進(jìn)入步驟S610,否則,進(jìn)入步驟S612 ;0098]步驟S608,將數(shù)據(jù)包直接丟棄;0099]步驟S610,進(jìn)入常規(guī)路由查找模塊進(jìn)行路由查找,在找到正確的下一跳地址后,進(jìn)入步驟S616 ;0100]步驟S612,修改數(shù)據(jù)包中SKB —MARK字段中的值,即將MARK賦值為路由標(biāo)識(shí)的值;0101]步驟S614,進(jìn)入基于標(biāo)簽的路由負(fù)載模塊進(jìn)行路由選擇和路由負(fù)載均衡處理,找到正確的下一跳地址;0102]0103]下步驟:0104]0105]0106]0107]的轉(zhuǎn)發(fā)。0108]下步驟:0109]0110] 0111] 0112]0113]0114]0115]0116] 0117]步驟S616,轉(zhuǎn)發(fā)數(shù)據(jù)包。圖7是根據(jù)本發(fā)明實(shí)施例三的鏈路探測(cè)方法的流程圖,如圖7所示,該方法包括如步驟S702,管理員通過(guò)用戶配置模塊通過(guò)配置庫(kù)對(duì)安全策略規(guī)則進(jìn)行配置;步驟S704,構(gòu)造探測(cè)包;步驟S706,對(duì)接收到的數(shù)據(jù)包進(jìn)行解析步驟S708,根據(jù)探測(cè)結(jié)果判定是否進(jìn)行重置路由負(fù)載,由路由負(fù)載模塊進(jìn)行最后圖8是根據(jù)本發(fā)明實(shí)施例三的路由查找方法的流程圖,如圖8所示,該方法包括如步驟S802,根據(jù)數(shù)據(jù)包中MARK值查找對(duì)應(yīng)的路由負(fù)載表項(xiàng);步驟S804,通過(guò)鏈路探測(cè)模塊對(duì)路由表項(xiàng)中所有下一跳做探測(cè);步驟S806,判斷是否有可用鏈路;如果有,進(jìn)入步驟S810,否則,進(jìn)入步驟S808 ; 步驟S808,到下一跳路由表項(xiàng)進(jìn)行探測(cè);步驟S810,進(jìn)行路由負(fù)載計(jì)算;步驟S812,根據(jù)計(jì)算結(jié)果做源地址轉(zhuǎn)換;步驟S814,發(fā)包。優(yōu)選地,上述步驟S802-S810可以是圖6中步驟S614的一種實(shí)現(xiàn)方式??梢?,本實(shí)施例屬于網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域,涉及防火墻設(shè)備的管理配置和數(shù)據(jù)處理,提供了一種利用基于策略的高級(jí)路由負(fù)載以實(shí)現(xiàn)對(duì)于多出口環(huán)境下對(duì)鏈路選擇有特殊要求的路由負(fù)載方法及裝置。其中,針對(duì)企業(yè)在多出口環(huán)境下,對(duì)特定數(shù)據(jù)流指定走特定的鏈路,提供了方便的配置方法,并且可以實(shí)現(xiàn)同類線路間的路由負(fù)載,不同類線路間的路由備份等方法,是對(duì)普通路由及策略路由實(shí)現(xiàn)方法的一種很好的改進(jìn)。
實(shí)施例四
本實(shí)施例提供了一種適用于上述利用基于安全策略的高級(jí)路由負(fù)載以實(shí)現(xiàn)對(duì)于多出口環(huán)境下對(duì)鏈路選擇的特殊要求的路由負(fù)載裝置。圖9是根據(jù)本發(fā)明實(shí)施例四的系統(tǒng)組成示意圖,如圖9所示,該裝置包括數(shù)據(jù)包接收模塊91,用于從網(wǎng)卡接收網(wǎng)絡(luò)數(shù)據(jù)包;安全規(guī)則控制模塊92,用于對(duì)數(shù)據(jù)包做規(guī)則控制,并對(duì)匹配到的數(shù)據(jù)包做標(biāo)簽處理;路由負(fù)載模塊93,用于根據(jù)權(quán)重值對(duì)所有下一跳地址做負(fù)載均衡處理,當(dāng)某條鏈路出現(xiàn)問(wèn)題時(shí)路由快速切換;鏈路探測(cè)模塊94,用于對(duì)所有下一跳地址做探測(cè),當(dāng)探測(cè)發(fā)現(xiàn)鏈路故障時(shí)自動(dòng)啟動(dòng)重置路由負(fù)載功能;狀態(tài)檢測(cè)模塊95,用于將數(shù)據(jù)包接收模塊91、安全規(guī)則控制模塊92和路由負(fù)載模塊93的相關(guān)處理計(jì)入狀態(tài)表,并用于安全的狀態(tài)檢測(cè)和控制;數(shù)據(jù)包轉(zhuǎn)發(fā)模塊96,用于完成狀態(tài)檢測(cè)模塊95的處理后,直接進(jìn)入數(shù)據(jù)包轉(zhuǎn)發(fā)模塊對(duì)數(shù)據(jù)做轉(zhuǎn)發(fā)。
通過(guò)本實(shí)施例,解決了在多出口環(huán)境下可以通過(guò)規(guī)則配置來(lái)指定特定的數(shù)據(jù)流走特定的鏈路,并且實(shí)現(xiàn)了在指定的下一跳中實(shí)現(xiàn)負(fù)載均衡和鏈路備份,在路由靈活性方面有了很大的突破,滿足了企業(yè)對(duì)于在多出口環(huán)境下的各種特殊需求。綜上所述,本發(fā)明實(shí)施例提供了一種在安全策略中基于標(biāo)簽的高級(jí)智能策略路由負(fù)載的實(shí)現(xiàn)方法及裝置,在收到外出的數(shù)據(jù)包后,確定與該數(shù)據(jù)包匹配的安全規(guī)則中配置了預(yù)定路由標(biāo)識(shí);查找與該預(yù)定路由標(biāo)識(shí)對(duì)應(yīng)的路由表項(xiàng),并根據(jù)查找到的路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)該數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理的,解決了相關(guān)技術(shù)中無(wú)法根據(jù)具體需求靈活配置和選擇具有多個(gè)網(wǎng)絡(luò)出口路由器的網(wǎng)絡(luò)出口的問(wèn)題,提升了裝置的實(shí)用性和滿足更多功能需求的能力。
顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來(lái)實(shí)現(xiàn),它們可以集中在單個(gè)的計(jì)算裝置上,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上,可選地,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來(lái)實(shí)現(xiàn),從而,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來(lái)執(zhí)行,或者將它們分別制作成各個(gè)集成電路模塊,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來(lái)實(shí)現(xiàn)。這樣,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。
以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已,并不用于限制本發(fā)明,對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō),本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種數(shù)據(jù)包的處理方法,其特征在于包括收到外出的數(shù)據(jù)包后,確定與所述數(shù)據(jù)包匹配的安全規(guī)則中配置了預(yù)定路由標(biāo)識(shí);查找與所述預(yù)定路由標(biāo)識(shí)對(duì)應(yīng)的路由表項(xiàng),并根據(jù)查找到的所述路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,根據(jù)查找到的所述路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理包括確定查找到的所述路由表項(xiàng)中有能夠連通的鏈路,則根據(jù)所述能夠連通的鏈路對(duì)應(yīng)的權(quán)重值選擇所述預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理;或者,在通過(guò)鏈路探測(cè)機(jī)制匹配到的路由表項(xiàng)中未找到能夠連通的鏈路的下一跳地址的情況下,選擇與查找到的所述路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,收到外出的所述數(shù)據(jù)包之前,還包括配置不同網(wǎng)絡(luò)出口地址資源中的IP地址,并按照預(yù)定安全策略規(guī)則設(shè)置路由負(fù)載表項(xiàng),其中,所述預(yù)定安全策略規(guī)則包括所述預(yù)定路由標(biāo)識(shí)、所述不同網(wǎng)絡(luò)出口地址資源以及路由表中路由表項(xiàng)的對(duì)應(yīng)關(guān)系;在匹配了所述預(yù)定安全策略規(guī)則的數(shù)據(jù)包上設(shè)置所述預(yù)定路由標(biāo)識(shí)。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述不同網(wǎng)絡(luò)出口地址資源包括以下至少之一網(wǎng)通出口地址資源、電信出口地址資源。
5 根據(jù)權(quán)利要求1所述的方法,其特征在于,查找與所述預(yù)定路由標(biāo)識(shí)對(duì)應(yīng)的路由表項(xiàng)包括將所述數(shù)據(jù)包的套接字緩存的標(biāo)識(shí)字段設(shè)置為所述路由標(biāo)識(shí)的值,并查找與所述路由標(biāo)識(shí)的值相對(duì)應(yīng)的路由表項(xiàng)。
6.根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的方法,其特征在于,根據(jù)查找到的所述路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理之后,還包括將所述數(shù)據(jù)包的源地址轉(zhuǎn)換為發(fā)送接口上的一個(gè)隨機(jī)地址,并按照轉(zhuǎn)換后的所述數(shù)據(jù)包的源地址建立狀態(tài)表。
7.一種數(shù)據(jù)包的處理裝置,位于安全網(wǎng)關(guān)設(shè)備中,其特征在于包括確定模塊,用于收到外出的數(shù)據(jù)包后,確定與所述數(shù)據(jù)包匹配的安全規(guī)則中配置了預(yù)定路由標(biāo)識(shí);查找模塊,用于查找與所述預(yù)定路由標(biāo)識(shí)對(duì)應(yīng)的路由表項(xiàng);以及負(fù)載均衡模塊,用于根據(jù)所述查找模塊查找到的所述路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理。
8.根據(jù)權(quán)利要求7所述的處理裝置,其特征在于,所述負(fù)載均衡模塊包括路由負(fù)載模塊,用于確定查找到的所述路由表項(xiàng)中有能夠連通的鏈路的情況下,根據(jù)所述能夠連通的鏈路對(duì)應(yīng)的權(quán)重值選擇所述預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理;或者,鏈路探測(cè)模塊,用于在通過(guò)鏈路探測(cè)機(jī)制匹配到的路由表項(xiàng)中未找到能夠連通的鏈路的下一跳地址的情況下,選擇與查找到的所述路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)所述數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理。
9.根據(jù)權(quán)利要求7所述的處理裝置,其特征在于,還包括配置模塊,用于配置不同網(wǎng)絡(luò)出口地址資源中的IP地址,并按照預(yù)定安全策略規(guī)則設(shè)置路由負(fù)載表項(xiàng),其中,所述預(yù)定安全策略規(guī)則包括所述預(yù)定路由標(biāo)識(shí)、所述不同網(wǎng)絡(luò)出口地址資源以及路由表中路由表項(xiàng)的對(duì)應(yīng)關(guān)系;標(biāo)識(shí)模塊,用于在匹配了所述預(yù)定安全策略規(guī)則的數(shù)據(jù)包上設(shè)置所述預(yù)定路由標(biāo)識(shí)。
10.根據(jù)權(quán)利要求7至9中任一項(xiàng)所述的處理裝置,其特征在于,還包括轉(zhuǎn)換模塊,用于將所述數(shù)據(jù)包的源地址轉(zhuǎn)換為發(fā)送接口上的一個(gè)隨機(jī)地址,并按照轉(zhuǎn)換后的所述數(shù)據(jù)包的源地址建立狀態(tài)表。
全文摘要
本發(fā)明公開了一種數(shù)據(jù)包的處理方法及裝置,其中,該方法包括收到外出的數(shù)據(jù)包后,確定與該數(shù)據(jù)包匹配的安全規(guī)則中配置了預(yù)定路由標(biāo)識(shí);查找與該預(yù)定路由標(biāo)識(shí)對(duì)應(yīng)的路由表項(xiàng),并根據(jù)查找到的該路由表項(xiàng)對(duì)應(yīng)的預(yù)設(shè)網(wǎng)絡(luò)出口地址資源對(duì)該數(shù)據(jù)包進(jìn)行路由負(fù)載均衡處理。通過(guò)本發(fā)明,解決了相關(guān)技術(shù)中普通路由器或其它安全設(shè)備在傳輸數(shù)據(jù)包的指定鏈路不通時(shí)會(huì)出現(xiàn)網(wǎng)絡(luò)出口異常的問(wèn)題,滿足用戶在多網(wǎng)絡(luò)出口環(huán)境下的各種業(yè)務(wù)需求,提高了路由的靈活性。
文檔編號(hào)H04L12/803GK103036801SQ20121055177
公開日2013年4月10日 申請(qǐng)日期2012年12月18日 優(yōu)先權(quán)日2012年12月18日
發(fā)明者任獻(xiàn)永, 高偉, 王斌 申請(qǐng)人:網(wǎng)神信息技術(shù)(北京)股份有限公司, 網(wǎng)神科技(北京)有限公司