一种实现防火墙多活高可用性的方法及终端

摘要

本发明实施例公开了一种实现防火墙多活高可用性的方法及终端，其中方法包括：SDN控制器监控从防火墙设备集群发向信任区交换机的请求报文；SDN控制器根据请求报文获取请求报文的入端口号、防火墙设备ID和源IP地址，形成Auto Last Hop表项；若信任区交换机向防火墙设备集群发送应答报文，SDN控制器根据Auto Last Hop表项判断应答报文的目的IP地址是否与源IP地址相匹配；若目的IP地址与源IP地址相匹配，SDN控制器根据Auto Last Hop表项中相对应的入端口号和防火墙设备ID控制信任区交换机将应答报文发送给相对应的防火墙设备。本发明实现了防火墙设备多活高可用性的目的。

说明书

技术领域

本发明涉及领域通信技术领域，尤其涉及一种实现防火墙多活高可用性的方法及终端。

背景技术

目前防火墙设备主要使用了主-备方式的高可用性(High Available，HA)模式。在该模式下的报文转发过程中，由于一台主防火墙设备可能就配备有多台备用防火墙设备，当主防火墙设备在报文转发过程中出现异常时，将启动备用的防火墙设备来接替主防火墙设备原先的转发功能。当仅一台备用防火墙设备就可以满足原先的转发功能时，其他的备用防火墙设备便不会被启动而处于不工作的状态。因此，这种HA模式很大程度的消耗了防火墙设备的资源。

发明内容

有鉴于此，本发明实施例提供一种实现防火墙多活高可用性的方法及终端，可实现防火墙设备高可用性且可以减少防火墙设备的资源浪费。

一种实现防火墙多活高可用性的方法，所述方法包括：

SDN控制器监控从防火墙设备集群发向信任区交换机的请求报文；

所述SDN控制器根据所述请求报文获取请求报文的入端口号、防火墙设备ID和源IP地址，形成Auto Last Hop表项；

若所述信任区交换机向防火墙设备集群发送应答报文，所述SDN控制器根据所述Auto Last Hop表项判断所述应答报文的目的IP地址是否与源IP地址相匹配；

若目的IP地址与源IP地址相匹配，所述SDN控制器根据所述Auto Last Hop表项中相对应的入端口号和防火墙设备ID控制所述信任区交换机将所述应答报文发送给相对应的防火墙设备。

具体的，所述SDN控制器监控从防火墙设备集群发向信任区交换机的请求报文之前，还包括：非信任区交换机通过预设的负载均衡算法将请求报文发送给防火墙设备集群。

具体的，所述方法还包括：若从非信任区交换机发出的请求报文发送失败，根据预设协议自动切换另一防火墙设备以完成所述请求报文的发送；判断所述SDN控制器是否存在Auto Last Hop表项；若存在，所述SDN控制器根据所述请求报文的源IP地址删除所述Auto Last Hop表项。

具体的，所述方法还包括：若从防火墙集群发出的应答报文发送失败，所述SDN控制器根据所述应答报文的目的IP地址删除所述Auto Last Hop表项。

具体的，所述方法还包括：若所述信任区交换机向防火墙集群发出的应答报文发送失败要，所述SDN控制器根据所述应答报文的目的IP地址删除所述Auto Last Hop表项。

一种终端，所述终端包括：

监控模块，用于监控从防火墙设备集群发向信任区交换机的请求报文；

获取模块，用于根据所述请求报文获取请求报文的入端口号、防火墙设备ID和源IP地址，形成Auto Last Hop表项；

第一判断模块，用于若所述信任区交换机向防火墙设备集群发送应答报文，根据所述Auto Last Hop表项判断所述应答报文的目的IP地址是否与源IP地址相匹配；

控制模块，用于若目的IP地址与源IP地址相匹配，根据所述Auto Last Hop表项中相对应的入端口号和防火墙设备ID控制所述信任区交换机将所述应答报文发送给相对应的防火墙设备。

具体的，所述终端还包括：发送模块，用于非信任区交换机通过预设的负载均衡算法将请求报文发送给防火墙设备集群。

具体的，所述终端还包括：自动切换模块，用于若从非信任区交换机发出的请求报文发送失败，根据预设协议自动切换另一防火墙设备以完成所述请求报文的发送；第二判断模块，用于判断所述SDN控制器是否存在Auto Last Hop表项；第一删除模块，用于若存在，根据所述应答报文的目的IP地址删除所述Auto Last Hop表项。

具体的，所述终端还包括：第二删除模块，用于若从防火墙集群发出的应答报文发送失败，根据所述应答报文的目的IP地址删除所述Auto Last Hop表项。具体的，所述终端还包括：第三删除模块，用于若所述信任区交换机向防火墙集群发出的应答报文发送失败，根据所述应答报文的目的IP地址删除所述Auto Last Hop表项。

综上所述，本发明具有以下有益效果：本发明通过SDN控制器监控请求报文，并获取请求报文的入端口号、防火墙设备ID和源IP地址，从而形成Auto Last Hop表项，利用在SDN控制器中所形成的Auto Last Hop表项保证报文的转发路径一致，并实现防火墙设备多活高可用性的目的。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的一种实现防火墙多活高可用性的方法的流程示意图。

图2为本发明实施例二提供的一种实现防火墙多活高可用性的方法的流程示意图。

图3为本发明实施例三提供的一种实现防火墙多活高可用性的方法的流程示意图。

图4为本发明实施例四提供的一种实现防火墙多活高可用性的方法的流程示意图。

图5为本发明实施例提供的一种终端的示意性框图。

图6为本发明实施例提供的一种终端的另一示意性框图。

图7为本发明实施例提供的一种终端的另一示意性框图。

图8为本发明实施例提供的一种终端的另一示意性框图。

图9为本发明实施例提供的一种终端的另一示意性框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例提供了一种实现防火墙多活高可用性的方法，该方法包括以下步骤：

步骤S101，非信任区交换机通过预设的负载均衡算法将请求报文发送给防火墙设备集群。

具体的，在本步骤中，请求报文主要携带有源IP地址；当请求报文从非信任区交换机发送给防火墙设备集群时，非信任区交换机会使用交换机本身的负载均衡算法，例如轮询调度算法、目标地址散列调度算法，进行请求报文的转发；在实际应用中，若此时非信任区交换机有源IP地址为IP1、IP2、IP3的请求报文进入防火墙集群中，非信任区交换机根据自身的负载均衡算法，将这三个源IP地址不同的请求报文分配至相应的防火墙设备，而不需要SDN(Software Defined Network，软件定义网络)控制器进行监控调配。

步骤S102，SDN控制器监控从防火墙设备集群发向信任区交换机的请求报文。

具体的，在本步骤中，从防火墙发向信任区交换机的请求报文主要携带有请求报文的入端口号、防火墙设备ID和源IP地址。

步骤S103，SDN控制器根据请求报文获取请求报文的入端口号、防火墙设备ID和源IP地址，形成Auto Last Hop表项。

具体的，在本步骤中，Auto Last Hop表项指的是自动上一跳转发表项，形成该表项，可以实现SDN控制器控制信任区交换机的应答报文按照该转发表项准确地转发应答报文。

步骤S104，若信任区交换机向防火墙设备集群发送应答报文，SDN控制器根据AutoLast Hop表项判断应答报文的目的IP地址是否与源IP地址相匹配。

具体的，在本步骤中，当信任区交换机收到防火墙设备集群的请求报文后，信任区交换机会发出应答报文，而每个应答报文中都携带有目的IP地址，且该目的IP地址与请求报文的源IP地址相同；若SDN控制器判断信任区交换机所作出的应答报文的目的IP地址与Auto Last Hop表项中的源IP地址相同，则该应答报文是对应请求报文作出的。

步骤S105，若目的IP地址与源IP地址相匹配，SDN控制器根据Auto Last Hop表项中相对应的入端口号和防火墙设备ID控制信任区交换机将应答报文发送给相对应的防火墙设备。

具体的，在本步骤中，SDN控制器根据Auto Last Hop表项控制信任区交换机转发所述应答报文，实现请求报文和应答报文的转发路径一致。

由以上可见，本发明实施例一通过SDN控制器监控请求报文，并获取请求报文的入端口号、防火墙设备ID和源IP地址，从而形成Auto Last Hop表项，利用在SDN控制器中所形成的Auto Last Hop表项保证报文的转发路径一致，并实现防火墙设备多活高可用性的目的。

在本发明一种实现防火墙多活高可用性的方法的另一个实施例中，如图2所示，为本发明另一实施例中提供的实现防火墙多活高可用性的方法的流程示意图，其包括步骤S101’～S108’(其中步骤S101’、步骤S105’～S108’与实施例一中的步骤S102～S105相同，因此不再详述)。

步骤S101’，非信任区交换机通过预设的负载均衡算法将请求报文发送给防火墙设备集群。

步骤S102’，若从非信任区交换机发出的请求报文发送失败，根据预设协议自动切换另一防火墙设备以完成请求报文的发送。

具体的，在本步骤中，在转发链路中，会出现链路故障的情况，比如某台防火墙设备出现故障，表示这台防火墙设备无法接收请求报文或转发应答报文，受信任区交换机根据防火墙设备的链路状态，会根据预设协议自动切换另一台防火墙设备发送请求报文；需要说明的是，在防火墙设备中，若自身出现了链路故障，防火墙设备的链路状态会显示停机状态，表示该台防火墙设备出现异常。

步骤S103’，判断SDN控制器是否存在Auto Last Hop表项。

具体的，在本步骤中，若非信任交换机发出的请求报文并非初次请求的，SDN控制器会存在关于该请求报文相关的Auto Last Hop表项。

步骤S104’，若存在，SDN控制器根据请求报文的源IP地址删除Auto Last Hop表项。

步骤S105’，SDN控制器监控从防火墙设备集群发向信任区交换机的请求报文。

步骤S106’，SDN控制器根据请求报文获取请求报文的入端口号、防火墙设备ID和源IP地址，形成Auto Last Hop表项。

步骤S107’，若信任区交换机向防火墙设备集群发送应答报文，SDN控制器根据Auto Last Hop表项判断应答报文的目的IP地址是否与源IP地址相匹配。

步骤S108’，若目的IP地址与源IP地址相匹配，SDN控制器根据Auto Last Hop表项中相对应的入端口号和防火墙设备ID控制信任区交换机将应答报文发送给相对应的防火墙设备。

由以上可见，本发明实施例二通过交换机的预设协议，实现了当请求报文从非信任区交换机发送失败后，交换机自动切换其它防火墙设备以完成请求报文的发送，保证防火墙设备的链路出现故障时能够及时处理请求报文的转发问题。

在本发明一种实现防火墙多活高可用性的方法的第三个实施例中，如图3所示，为本发明第三个实施例中提供的实现防火墙多活高可用性的方法的流程示意图，其包括步骤S101”～S105”(其中步骤S101”～S104”与实施例一中的步骤S102～S105相同，因此不再详述)。

步骤S101”，SDN控制器监控从防火墙设备集群发向信任区交换机的请求报文。

步骤S102”，SDN控制器根据请求报文获取请求报文的入端口号、防火墙设备ID和源IP地址，形成Auto Last Hop表项。

步骤S103”，若信任区交换机向防火墙设备集群发送应答报文，SDN控制器根据Auto Last Hop表项判断应答报文的目的IP地址是否与源IP地址相匹配。

步骤S104”，若目的IP地址与源IP地址相匹配，SDN控制器根据Auto Last Hop表项中相对应的入端口号和防火墙设备ID控制信任区交换机将应答报文发送给相对应的防火墙设备。

步骤S105”，若从防火墙集群发出的应答报文发送失败，SDN控制器根据应答报文的目的IP地址删除Auto Last Hop表项。

具体的，在本步骤中，在转发链路中，非信任区交换机会出现链路故障的情况，且非信任区交换机出现链路异常时，其链路状态显示停机状态，表示该非信任区交换机出现异常；SDN控制器监控得知该报文转发链路异常，SDN控制器没必要继续维持与该应答报文相关的Auto Last Hop表项，便根据该应答报文的目的IP地址删除Auto Last Hop表项，减少SDN控制器的存储压力。

由以上可见，本发明实施例三通过SDN控制器监控应答报文的转发链路异常情况，保证当非信任区交换机出现链路故障时，SDN控制器根据该应答报文的目的IP地址删除Auto Last Hop表项，减少SDN控制器的存储压力。

在本发明一种实现防火墙多活高可用性的方法的第四个实施例中，如图4所示，为本发明第四个实施例中提供的实现防火墙多活高可用性的方法的流程示意图，其包括步骤S101”’～S105”’(其中步骤S101”’～S104”’与实施例一中的步骤S102～S105相同，因此不再详述。)：

步骤S101”’，SDN控制器监控从防火墙设备集群发向信任区交换机的请求报文。

步骤S102”’，SDN控制器根据请求报文获取请求报文的入端口号、防火墙设备ID和源IP地址，形成Auto Last Hop表项。

步骤S103”’，若信任区交换机向防火墙设备集群发送应答报文，SDN控制器根据Auto Last Hop表项判断应答报文的目的IP地址是否与源IP地址相匹配。

步骤S104”’，若目的IP地址与源IP地址相匹配，SDN控制器根据Auto Last Hop表项中相对应的入端口号和防火墙设备ID控制信任区交换机将应答报文发送给相对应的防火墙设备。

步骤S105”’，若信任区交换机向防火墙集群发出的应答报文发送失败，SDN控制器根据应答报文的目的IP地址删除Auto Last Hop表项。

具体的，在本步骤中，在应答报文的转发链路中，防火墙设备会出现链路故障的情况，且防火墙设备出现链路异常时，其链路状态显示停机状态，表示该防火墙设备出现异常；SDN控制器监控得知该报文转发链路异常，SDN控制器没必要继续维持与该应答报文相关的Auto Last Hop表项，便根据该应答报文的目的IP地址删除Auto Last Hop表项，减少SDN控制器的存储压力。

由以上可见，本发明实施例四通过SDN控制器监控应答报文的转发链路异常情况，保证当防火墙设备链路故障时，SDN控制器根据该应答报文的目的IP地址删除Auto LastHop表项，减少SDN控制器的存储压力。

如图5所示，对应上述一种实现防火墙多活高可用性的方法，本发明还提出一种终端100，该终端100包括：监控模块01、获取模块02、第一判断模块03、以及控制模块04。

其中监控模块01，用于监控从防火墙设备集群发向信任区交换机的请求报文。

获取模块02，用于根据请求报文获取请求报文的入端口号、防火墙设备ID和源IP地址，形成Auto Last Hop表项。

第一判断模块03，用于若信任区交换机向防火墙设备集群发送应答报文，根据Auto Last Hop表项判断应答报文的目的IP地址是否与源IP地址相匹配。

控制模块04，用于若目的IP地址与源IP地址相匹配，根据Auto Last Hop表项中相对应的入端口号和防火墙设备ID控制信任区交换机将应答报文发送给相对应的防火墙设备。

进一步的，如图6所示，终端100还包括：发送模块05，用于非信任区交换机通过预设的负载均衡算法将请求报文发送给防火墙设备集群。

进一步的，如图7所示，终端100还包括：自动切换模块06，用于若从非信任区交换机发出的请求报文发送失败，根据预设协议自动切换另一防火墙设备以完成请求报文的发送。

第二判断模块07，用于判断所SDN控制器是否存在Auto Last Hop表项。

第一删除模块08，用于若存在，根据应答报文的目的IP地址删除Auto Last Hop表项。

进一步的，如图8所示，终端100还包括：第二删除模块09，用于若从防火墙集群发出的应答报文发送失败，根据应答报文的目的IP地址删除Auto Last Hop表项。

进一步的，如图9所示，终端100还包括：第三删除模块10，用于若信任区交换机向防火墙集群发出的应答报文发送失败，根据应答报文的目的IP地址删除Auto Last Hop表项。

以上所述，为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。