[发明专利]一种负载均衡的SSLVPN设备集群系统及其工作方法

权利要求书

1.一种负载均衡的SSL VPN设备集群系统，其特征在于，包括一台作为主控节点的SSL VPN设备、若干作为工作节点的SSL VPN设备;所有SSL VPN设备中设置有组内同步模块、在主控节点SSL VPN设备中还设置有负载管理模块、地址应答器、数据分流器；所述集群统一对外提供一个全局设置的虚拟IP地址，并将该IP 地址作为虚拟的单一SSL VPN设备的DNS解析地址；整个SSL VPN设备集群与网络节点及服务器连接；其中，

所述主控节点为所有SSL VPN设备中网络连接处理能力最强的一台，用于整个SSL VPN集群对外建立连接和对内负载均衡，为不同的数据流建立维护SSL 安全连接并为客户端代理内部服务器功能的作用；主控节点自身也作为工作节点之一参与具体的数据流处理；

组内同步模块用于在同一个集群内的所有成员设备间进行在线状态、实时负载情况和网络连接处理能力、SSL安全连接处理能力信息的交互，并选举出网络连接处理能力最强的设备作为主控节点；

负载管理模块通过组内同步信息得到同一个集群内的所有成员设备的在线状态、实时负载情况和网络连接处理能力、SSL安全连接处理能力信息，根据组内各SSL VPN设备安全连接处理能力和实时负载情况的不同进行数据负载的分配，形成实时的负载分配方案；

地址应答器用于主控节点对所有关于集群对外虚拟IP 地址的链路层地址请求一致回应为主控节点所在设备网络接口的链路层地址；

数据分流器用于根据负载管理模块确定的负载分配方案，采用优先级令牌轮转的方式对数据报文进行分流处理。

2.如权利要求1所述的负载均衡的SSL VPN设备集群系统，其特征在于，当前主控节点发生故障时，各设备通过组内同步模块重新选举新的主控节点。

3.如权利要求2所述的负载均衡的SSL VPN设备集群系统，其特征在于，当主控节点发生切换时，新的主控节点通过ARP报文主动刷新网络节点的MAC缓存。

4.如权利要求1所述的负载均衡的SSL VPN设备集群系统，其特征在于，主控节点以外的工作节点的负载情况主要指该节点设备已经或正在建立的SSL 安全连接数，主控节点的负载情况包括已经或正在建立的SSL 安全连接数、以及所述主控节点作为集群的统一入口所已经或正在建立的所有网络连接数。

5.如权利要求1所述的负载均衡的SSL VPN设备集群系统，其特征在于，所述主控节点为每个已分配的网络连接数据流根据源IP地址、目的IP地址、源传输层端口、目的传输层端口、传输层协议五元组建立哈希链表形式的连接状态表，指示该网络连接对应的数据流后续的数据所应该分配到的工作节点。

6.如权利要求1～5中任一项所述的负载均衡的SSL VPN设备集群系统的工作方法，其特征在于，包括如下步骤：

步骤1：所有SSL VPN设备集群设置各成员设备共享的虚拟IP地址；

步骤2：利用组内同步模块在所有SSL VPN设备中选出主控节点；

步骤3：每台SSL VPN设备的组内同步模块定期将本台设备的信息传递到主控节点和其他工作节点；

步骤4：负载管理模块根据组内各SSL VPN设备安全连接处理能力和实际负载情况的不同进行数据负载的分配；

步骤5：主控节点处理接收到的IP 数据报文。

7.如权利要求6所述的负载均衡的SSL VPN设备集群系统的工作方法，其特征在于，在步骤2中，采用网络测试仪测试出所有SSL VPN设备中网络连接能力和SSL安全连接处理能力最强的SSL VPN设备作为主控节点，网络连接能力和SSL安全连接处理能力都以每秒新建连接数和最大并发连接数作为评估指标。

8.如权利要求6所述的负载均衡的SSL VPN设备集群系统的工作方法，其特征在于，步骤3具体为：同一个集群内的每台SSL VPN设备均设置一个可配置的IP多播地址，作为组内通讯地址，组内同步模块定期将本台设备的信息通过多播的方式传递到主控节点和其他工作节点，所述信息包括在线状态、负载情况、网络连接能力和SSL安全连接处理能力。

9.如权利要求6所述的负载均衡的SSL VPN设备集群系统的工作方法，其特征在于，步骤4具体为：安全连接处理能力用各节点设备的每秒新建安全连接数作为比较标准，以该项指标最小的设备的值作为安全连接处理能力基准值1，其他设备的值与其求比值作为该设备的安全连接处理能力估值；负载情况取节点设备中已建立的安全连接数最小的作为负载基准值1，其他设备的值与其求比值作为该设备的负载估值；安全连接处理能力估值再与负载估值求比值，得到负载分配估值，将各节点设备的负载分配估值乘以分母的最小公倍数，即可得到各节点设备负载分配的令牌数；各节点设备已建立的安全连接数如果已经达到该设备的最大安全连接数，则该节点不参与本次流量分配；最后，按照令牌数的多少对各节点设备排出优先级顺序。