基于网络双出口的报文传输方法和出口路由器技术

本发明专利技术提供了一种基于网络双出口的报文传输方法和出口路由器，应用于包含两个出口路由器的数据中心网络，在两个出口路由器之间建立连接；出口路由器在接收到来自服务提供者（ＩＳＰ）网络侧的请求报文后，仅进行目的地址的替换，并建立包含该请求报文源地址和替换后目的地址的会话信息后发送该请求报文；接收到来自数据中心网络侧的报文后，通过判断自身是否已经建立包含该报文的源地址和目的地址的会话信息，如果是，则将该报文的源地址替换为该出口路由器的公网地址后转发给下一跳的ＩＳＰ网关；否则，将该报文转发给与其连接的另一个出口路由器。有利于实现数据中心网络中服务器的安全保护措施，提高数据中心网络的安全性。

【技术实现步骤摘要】

本专利技术涉及网络通信技术，特别涉及一种基于网络双出口的报文传输方法和出口路由器。
技术介绍
随着Internet应用服务的用户人数不断增加，随之增加的大量访问给数据中心网络带来了沉重的负担，尤其对于数据中心网络中的出口路由器，其转发性能和出口带宽都面临极大的挑战。另一方面，为了提高数据中心的可靠性，往往需要数据中心网络的设计具有极高的冗余性，使得数据中心网络中的一个节点或链路出现故障时，能够快速切换到冗余的节点或链路上，从而减少业务中断的时间，提高数据中心的可靠性。网络双出口是目前最常用的一种提高数据中心网络带宽和可靠性的方案，如图1所示，网络双出口是在数据中心网络中设置两个出口路由器，即路由器A和路由器B，其分别对应的两条链路连接至同一个服务提供者(ISP)网络。为了实现数据中心网络双出口的负载均衡，通常会将数据中心内部的两个出口路由器配置不同的公网地址，在域名服务器(DNS)上保证两个公网地址的负载均衡分配。现有技术中基于网络双出口的报文传输方法是双向网络地址转换(NAT)方式，即在出口路由器上与ISP网络侧连接的接口上配置入方向地址转换(NAT Server)策略，与数据中心网络侧连接的接口上配置出方向地址转换(NAT Outband)策略。出口路由器在接收到来自ISP网络侧的请求报文，其中，该请求报文的源地址为外部客户端的地址，目的地址为该出口路由器的公网地址；然后，根据配置的NAT Server策略，将请求报文的目的地址替换为数据中心网络中的服务器私网地址；并在与数据-->中心网络侧连接的接口处，根据NAT Outband策略将请求报文的源地址替换为该出口路由器的私网地址；然后该请求报文在数据中心网络中被传输至对应的服务器。服务器返回的响应报文的源地址和目的地址分别是请求报文的目的地址和源地址，所以，响应报文必然会被传输回对应的出口路由器，从而保证响应报文能够传输至发送请求报文的出口路由器。该出口路由器接收到该响应报文后，根据NAT Outband策略先将响应报文的源地址替换为该出口路由器的公网地址，目的地址替换为外部客户端的地址。通常，数据中心网络中的服务器具有很强的安全保护措施，其中很重要的一项就是记录访问该服务器的外部客户端的地址信息，通过外部客户端的地址信息可以监控客户的不法行为，对有不发行为的客户可以拒绝提供服务，严重的甚至可以通过法律手段起诉。由于现有技术的上述方法中，在出口路由器处将请求报文的源地址进行了替换，数据中心网络中的服务器无法获取到发送该请求报文的外部客户端的地址信息，这样就无法实现数据中心网络中的服务器的安全保护措施，会给数据中心网络带来安全隐患。
技术实现思路
有鉴于此，本专利技术提供了一种基于网络双出口的报文传输方法和出口路由器，有利于实现数据中心网络中服务器的安全保护措施，提高数据中心网络的安全性。一种基于网络双出口的报文传输方法，该方法应用于包含两个出口路由器的数据中心网络，在两个出口路由器之间建立连接；该方法包括：A、出口路由器接收到来自服务提供者ISP网络侧的请求报文后，将该请求报文的目的地址替换为数据中心网络中的服务器私网地址，并建立包含该请求报文的源地址和替换后目的地址的会话信息，发送该请求报文；B、接收到来自数据中心网络侧的报文后，判断自身是否已经建立包含该报文的源地址和目的地址的会话信息，如果是，则将该报文的源地址替换为该出口路由器的公网地址后转发给下一跳的ISP网关；否则，将该报文转-->发给与其连接的另一个出口路由器，由所述另一个出口路由器执行所述步骤B。一种出口路由器，应用于包含两个该出口路由器的数据中心网络，该出口路由器包括：第一报文收发单元、第一报文处理单元、会话信息存储单元、第二报文收发单元和第二报文处理单元；所述第一报文收发单元，用于接收来自ISP网络侧的请求报文，将所述第二报文处理单元发送来的报文转发给下一跳的ISP网关；所述第一报文处理单元，用于将所述第一报文收发单元接收到的请求报文的目的地址替换为数据中心网络的服务器私网地址，并建立包含该请求报文的源地址和替换后目的地址的会话信息；所述会话信息存储单元，用于存储第一报文处理单元建立的会话信息；所述第二报文收发单元，用于发送替换目的地址后的请求报文，接收来自数据中心网络侧的报文；将所述第二报文处理单元发送来的报文转发给与该出口路由器连接的另一个出口路由器；所述第二报文处理单元，用于判断所述会话信息存储单元中是否已经存在包含所述第二报文收发单元接收到报文的源地址和目的地址的会话信息，如果是，则将该报文的源地址替换为该出口路由器的公网地址后发送给所述第一报文收发单元；否则，将该报文发送给第二报文收发单元。由以上技术方案可以看出，在本专利技术提供的方法和出口路由器中，出口路由器在接收到来自ISP网络侧的请求报文后，仅进行目的地址的替换，并建立该请求报文源地址和替换后目的地址的会话信息后发送该请求报文；接收到来自数据中心网络侧的报文后，通过判断自身是否已经建立包含该报文的源地址和目的地址的会话信息来确定该报文对应的请求报文是否是自身发送的，如果是，则将该报文的源地址替换为该出口路由器的公网地址后转发给下一跳的ISP网关；否则，将该报文转发给与其连接的另一个出口路由器。从而使得响应报文仍能够回到发送对应请求报文的出口路由器上，保证数据中心网络中报文流量的均衡性，同时保留了客户端的源地址，使得在服-->务器端能够通过记录外部客户端的地址信息来监控客户的不发行为，有利于实现数据中心网络中服务器的安全保护措施，提高数据中心网络的安全性。附图说明图1为现有技术中的数据中心网络组网结构图；图2为本专利技术实施例提供的主要方法流程图；图3为本专利技术实施例提供的详细方法流程图；图4为本专利技术实施例提供的数据中心网络的组网结构图；图5为本专利技术实施例提供的报文传输路径示意图；图6为本专利技术实施例提供的出口路由器的结构图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本专利技术进行详细描述。本专利技术提供的方法应用于包含两个出口路由器的数据中心网络，在两个出口路由器之间建立连接；如图2所示，该方法主要包括以下步骤：步骤201：出口路由器接收到来自ISP网络侧的请求报文后，将该请求报文的目的地址替换为数据中心网络中的服务器私网地址，并建立包含该请求报文的源地址和替换后目的地址的会话信息，发送该请求报文。步骤202：接收到来自数据中心网络侧的报文后，判断自身是否已经建立包含该报文的源地址和目的地址的会话信息，如果是，则执行步骤203，否则，执行步骤204。步骤203：将该报文的源地址替换为该出口路由器的公网地址后转发给下一跳的ISP网关，结束流程。步骤204：将该报文转发给与其连接的另一个出口路由器，由下一个出口路由器转至执行步骤202。下面结合具体实施例对本专利技术所提供的上述方法进行详细描述。图3为-->本专利技术实施例提供的详细方法流程图，该实施例可以基于图4所示的组网结构图，图4为本专利技术实施例提供的数据中心网络的组网结构图，该数据中心网络中包含两个出口路由器，即路由器A和路由器B，在路由器A和路由器B之间建立连接，并且在路由器A和路由器B上都配置两条等价的缺省路由，其中一条缺省路由指向下一跳I本文档来自技高网...

【技术保护点】
一种基于网络双出口的报文传输方法，其特征在于，该方法应用于包含两个出口路由器的数据中心网络，在两个出口路由器之间建立连接；该方法包括：　Ａ、出口路由器接收到来自服务提供者ＩＳＰ网络侧的请求报文后，将该请求报文的目的地址替换为数据中心网络中的服务器私网地址，并建立包含该请求报文的源地址和替换后目的地址的会话信息，发送该请求报文；　Ｂ、接收到来自数据中心网络侧的报文后，判断自身是否已经建立包含该报文的源地址和目的地址的会话信息，如果是，则将该报文的源地址替换为该出口路由器的公网地址后转发给下一跳的ＩＳＰ网关；否则，将该报文转发给与其连接的另一个出口路由器，由所述另一个出口路由器执行所述步骤Ｂ。

【技术特征摘要】
1、一种基于网络双出口的报文传输方法，其特征在于，该方法应用于包含两个出口路由器的数据中心网络，在两个出口路由器之间建立连接；该方法包括:A、出口路由器接收到来自服务提供者ISP网络侧的请求报文后，将该请求报文的目的地址替换为数据中心网络中的服务器私网地址，并建立包含该请求报文的源地址和替换后目的地址的会话信息，发送该请求报文；B、接收到来自数据中心网络侧的报文后，判断自身是否已经建立包含该报文的源地址和目的地址的会话信息，如果是，则将该报文的源地址替换为该出口路由器的公网地址后转发给下一跳的ISP网关；否则，将该报文转发给与其连接的另一个出口路由器，由所述另一个出口路由器执行所述步骤B。2、根据权利要求1所述的方法，其特征在于，在步骤B中所述判断之前还包括:接收到来自数据中心网络侧的报文的出口路由器根据该报文的目的地址查找路由表，判断是否查找到对应的路由，如果否，丢弃该报文；如果是，则判断查找到的路由是否存在两条等价的路由，且该两条等价的路由中的一条指向另一个出口路由器，另一条指向下一跳的ISP网关，如果是，则继续执行所述判断的步骤，否则，按照现有技术的处理方式处理所述报文。3、根据权利要求2所述的方法，其特征在于，如果确定存在两条等价的路由，则进一步判断指向下一跳的ISP网关的路由所对应的端口是否使能了负载均衡特性，如果是，继续执行所述判断自身是否已经建立包含该报文的源地址和目的地址的会话信息，否则，按照现有技术的处理方式处理所述报文。4、根据权利要求1所述的方法，其特征在于，步骤B中在所述将该报文转发给与其连接的另一个出口路由器之前还包括:判断该报文的源地址是否属于预设的数据中心网络内部客户端地址段，如果是，则确定该报文为数据中心网络内部客户端发送的请求报文，将该报文的源地址转换为接收到该报文的出口路由器的公网地址后，转发给下一跳ISP网关，结束流程；否则，确定该报文为响应报文，继续执行所述将该报文转发给与其连接的另一个出口路由器。5、根据权利要求4所述的方法，其特征在于，在所述将该报文转发给与其连接的另一个出口路由器之前还包括:判断该报文中是否包含已处理标识，如果是，则丢弃该报文，结束流程；否则，在该报文中携带已处理标识后，执行所述将该报文转发给与其连接的另一个出口路由器。6、一种出口路由器，其特征在于，应用于包含两个该出口路由器的数据中心网络，该出口路由器包括:第一报文收发单元、第一报文处理单元、会话信息存储单元、第二报文收发单元和第二报文处理单元；所述第一报文收发单元，用于接收来自ISP网络侧的请求报文，将所述第二报文处理单元发送来的报文转发给下一跳的ISP网关；所述第一报文处理单元，用于将所述第一报文收发单元接收到的请求报文的目的地址替换为数据中心网络的服务器私网地址，并建立包含该请求报文的源地址和替换后目的地址的会话信息；所述会话信息存储单元，用于存储第一报文处理单元建立的...

【专利技术属性】
技术研发人员：李蔚，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：86[中国|杭州]