[发明专利]一种负载均衡的SSLVPN设备集群系统及其工作方法

说明书

技术领域

本发明属于数据通信领域，涉及一种负载均衡的SSL VPN设备集群系统及其工作方法。

背景技术

SSL VPN：采用SSL-Security Socket Layer（安全套接层）协议和TLS-Transport Layer Security（传输层安全）协议在公用网络上建立专用网络，为网络通信提供安全及数据完整性保护的技术，是在传输层对网络连接进行加密保护的一种技术。SSL VPN被广泛的用于Web浏览器与服务器之间的身份认证和数据加密传输。

SSL VPN的典型应用模式就是作为中心端的安全接入服务器，在保护中心端Web服务器的同时为成千上万的浏览器用户提供身份认证和安全接入服务。因此，SSL VPN设备对处理性能要求是非常之高的，大型的Web站点一般都采用多台SSL VPN设备进行负载分担的方法来提高系统的容量，负载的分配采用专用的负载均衡设备来实现。这种方式一来成本较高，二来负载均衡设备本身又可能成为单点故障而导致多机集群的集体失效。

发明内容

为解决上述问题，本发明提供了一种负载均衡的SSL VPN设备集群系统，包括一台作为主控节点的SSL VPN设备、若干作为工作节点的SSL VPN设备;所有SSL VPN设备中设置有组内同步模块、在主控节点SSL VPN设备中还设置有负载管理模块、地址应答器、数据分流器；所述集群统一对外提供一个全局设置的虚拟IP地址，并将该IP 地址作为虚拟的单一SSL VPN设备的DNS解析地址；整个SSL VPN设备集群与网络节点及服务器连接；其中，

所述主控节点为所有SSL VPN设备中网络连接处理能力最强的一台，用于整个SSL VPN集群对外建立连接和对内负载均衡，为不同的数据流建立维护SSL 安全连接并为客户端代理内部服务器功能的作用；主控节点自身也作为工作节点之一参与具体的数据流处理；

组内同步模块用于在同一个集群内的所有成员设备间进行在线状态、实时负载情况和网络连接处理能力、SSL安全连接处理能力信息的交互，并选举出网络连接处理能力最强的设备作为主控节点；

负载管理模块通过组内同步信息得到同一个集群内的所有成员设备的在线状态、实时负载情况和网络连接处理能力、SSL安全连接处理能力信息，根据组内各SSL VPN设备安全连接处理能力和实时负载情况的不同进行数据负载的分配，形成实时的负载分配方案；

地址应答器用于主控节点对所有关于集群对外虚拟IP 地址的链路层地址请求一致回应为主控节点所在设备网络接口的链路层地址；

数据分流器用于根据负载管理模块确定的负载分配方案，采用优先级令牌轮转的方式对数据报文进行分流处理。

进一步的，当前主控节点发生故障时，各设备通过组内同步模块重新选举新的主控节点。

进一步的，当主控节点发生切换时，新的主控节点通过ARP报文主动刷新网络节点的MAC缓存。

进一步的，主控节点以外的工作节点的负载情况主要指该节点设备已经或正在建立的SSL 安全连接数，主控节点的负载情况包括已经或正在建立的SSL 安全连接数、以及所述主控节点作为集群的统一入口所已经或正在建立的所有网络连接数。

进一步的，数据分流器采用的采用优先级令牌轮转方式具体为：为每个工作节点分配一定的令牌，处理能力越强、负载情况越轻的节点分配的令牌数越多，令牌数的多少直接对应优先级的高低；优先级高的节点优先分配数据流，每个节点一次只分配一个数据流并占用一个令牌，采用轮转的方式依次分配数据流到各工作节点直到所有节点的令牌都占用完毕。此时释放所有令牌并按上述方法从头开始进行数据流的分配。

进一步的，所述主控节点为每个已分配的网络连接数据流根据源IP地址、目的IP地址、源传输层端口、目的传输层端口、传输层协议五元组建立哈希链表形式的连接状态表，指示该网络连接对应的数据流后续的数据所应该分配到的工作节点。

上述负载均衡的SSL VPN设备集群系统的工作方法，包括如下步骤：

步骤1：所有SSL VPN设备集群设置各成员设备共享的虚拟IP地址；

步骤2：利用组内同步模块在所有SSL VPN设备中选出主控节点；

步骤3：每台SSL VPN设备的组内同步模块定期将本台设备的信息传递到主控节点和其他工作节点；

步骤4：负载管理模块根据组内各SSL VPN设备安全连接处理能力和实际负载情况的不同进行数据负载的分配；

步骤5：主控节点处理接收到的IP 数据报文。