[发明专利]支持网络安全业务的负载均衡方法和设备

说明书

技术领域

本发明涉及计算机负载均衡技术领域，更具体地，涉及支持网络安全业务的负载均衡方法和设备

背景技术

现有数据中心配置有大量的服务器，当大量用户通过网络访问数据中心的服务器时，为保证数据中心中所有服务器的使用效率最大化，在网络入口上，一般安装有一个负载均衡设备，该均衡设备中保存数据中心可用服务器的列表。每当一个用户发起访问数据中心的请求时，负载均衡设备按照一定的请求分配策略，把不同用户的访问请求分配到不同的服务器上。

现有的负载均衡设备中，负载均衡设备的输出网口连接到数据中心的交换设备上，交换设备同时还连接着数据中心所有的服务器，负载均衡设备的输出口与交换设备之间是双向连接，负载均衡设备把输入流量在向数据中心的目标服务器分配时，可以不指定流量的输出网口，只指定目标服务器的IP地址，负载均衡设备通过和交换设备、服务器的协议栈的交互，确定哪个IP地址的流量从负载均衡设备的哪个网口输出。

一般数据中心正向云计算数据中心发展。云计算数据中心与一般数据中心相比，需要支持更丰富的网络应用业务。网络应用业务包括网络服务类业务和网络安全类业务，例如，网络安全类业务的一种是对网络数据进行监听分析的业务。但是，在对网络数据监听分析的业务中，数据中心的服务器对外是单向输入的接口，并且服务器的输入端口直接和负载均衡设备的输出端口连接。所以，负载均衡设备无法通过和其他设备交互获得服务器的IP地址，只能给每个流量指定输出端口。

此外，网络安全类业务一般有同源同宿的要求，也就是要求一个网络会话中的通信双向数据，都要分配给同一台服务器处理，因此负载均衡设备需要支持同源同宿的负载均衡算法。然而，现有负载均衡设备都是面向网络服务类业务设计的，只能根据服务器节点列表中的服务器IP地址输出流量，且负载均衡算法都是基于服务器状态实现的，不支持同源同宿要求。

因此，现有针对数据中心设计的负载均衡设备不能满足网络安全类业务的需要，不能满足网络安全云计算的需求。

发明内容

为解决现有技术中存在的技术问题，本发明提出了一种支持网络安全类业务的负载均衡设备，系统和方法。

根据本发明的一个方面，提供了一种支持网络安全业务的负载均衡设备，包括：

一个或多个输出端口组，每个输出端口组包括一个或多个输出端口；

端口组负载均衡单元，用于将接收到的网络业务流量根据负载均衡算法分配到一个输出端口组或者所述多个输出端口组中的不同的输出端口组；

端口分配单元，用于根据配置的同源同宿的规则从与所分配的输出端口组对应的输出端口列表中为所述网络业务流量中的报文选择出目标输出端口；以及，

网络业务流量发送单元，用于将所述网络业务流量中的报文通过所述目标输出端口发送给与所述目标输出端口通信的服务器。

在可选实施例中，所述端口分配单元根据配置的同源同宿的规则从与所分配的输出端口组对应的输出端口列表中为所述网络业务流量中的报文选择出目标输出端口，包括：

所述端口分配单元，对于所述网络业务流量中的每个报文，对报文中的源IP地址和目的IP地址执行同源同宿的哈希算法并得到哈希值；以及，

将所述哈希值与所分配的输出端口组对应的输出端口列表的长度进行取模运算，从而得到报文的目标输出端口。

在可选实施例中，所述负载均衡设备还包括配置单元，用于配置与所述一个或多个输出端口组对应的一个或多个输出端口列表。

在可选实施例中，所述配置单元还用于将连接到具有第一功能的服务器的第一输出端口和连接到具有第二功能的服务器的第二输出端口分配在不同的输出端口组。

在可选实施例中，所述配置单元，还用于为端口组负载均衡模块指定每个输出端口组的负载均衡算法。

在可选实施例中，所述一个或多个输出端口组是逻辑输出端口组，所述配置单元还用于将所述负载均衡设备的同一个物理输出端口分配到不同的逻辑输出端口组中。

在可选实施例中，所述负载均衡设备的网络业务流量发送单元还包括MAC地址修改单元和交换单元，其中：

所述MAC地址修改单元，用于根据分配给所述网络业务流量的所述目标端口以及预配置的目标服务器MAC地址与输出端口的对应关系修改所述网络业务流量中的报文的目标服务器MAC地址，以及将目标服务器MAC地址修改后的报文发送给交换单元；