一种多防火墙的负载均衡方法及装置

摘要

本发明是一种多防火墙的负载均衡方法及装置，其目的是提供了一种防火墙的负载均衡方法，该方法使多台防火墙组成一个高效稳定的路由链路，实现路由的高可靠和高可用性。本发明的另一个目的是提供一种适用于该方法的装置，该装置为每台防火墙虚拟一个网关地址，所有客户机指向不同的网关，从而流量分担到每个防火墙上，当其中的某个防火墙出现故障时，其他防火墙可以接管故障墙的地址，保证网络持续畅通。本发明技术方案与现有技术相比具有支持多台防火墙的负载均衡、切换时间短、不改变用户的网络拓朴结构等优点。

主权项

一种多防火墙的负载均衡方法，其特征在于：该方法的步骤为：(1)在每一台防火墙上建立用户定义的配置信息，配置信息中包括实例和关联两部分内容，实例是绑定在防火墙某一个网口上的虚拟IP地址的集合，一台防火墙上存在多个实例，关联是指关联在一起的实例的集合，一台防火墙上存在多个关联，其中，实例包括：-实例名称；-防火墙上的网口虚拟的IP地址；-虚拟路由ID及优先级；-绑定的端口名称；-选择主状态、从状态之一作为实例的默认状态；关联包括：-关联的名称；-关联中实例的名称；(2)在每一台防火墙上建立多个实例和关联，其中关联的数量与建立的防火墙的数量相等，每一台防火墙上的关联与其它防火墙上的关联一一对应，每一台防火墙上有且只有一个关联的默认状态为主状态，其余关联的默认状态为从状态，一个默认状态为主状态的关联只出现在一台防火墙上；(3)将默认状态为主状态的关联中的实例的网口虚拟IP地址生效，作为终端PC机的网关，将其余默认状态为从状态的关联中的实例的网口虚拟IP地址不生效；(4)将用户PC的网关指向不同的防火墙的虚拟网关，即生效的默认状态为主状态的关联中的实例的网口虚拟IP地址；(5)当某台防火墙失效时，即该防火墙的网口虚拟IP地址失效，与这台防火墙上默认状态为主状态的关联相对应的其他防火墙上的默认状态为从状态的关联相互进行选举，选举出一个优先级最高的关联接替失效防火墙上默认状态为主状态的关联，并且将其状态转变为主状态，并使其网口虚拟IP地址生效，以前通过失效防火墙的数据流就会转向通过新选举出来的关联所在的防火墙；(6)当上述步骤(5)中所述的防火墙恢复工作时，其默认状态为主状态的关联生效，在其他防火墙上选举产生的接替其工作的关联的状态转变为从状态，数据流又会重新转向到恢复工作的防火墙上。