专利名称:用于管理外网访问的方法和系统的利记博彩app
技术领域:
本发明涉及网络应用领域,具体涉及一种用于管理外网访问的方法及一种用于管理外网访问的系统。
背景技术:
NAT (Network Address Translation,网络地址转换)服务器作为网络接出设备,负责为私有网段机器提供访问因特网(Internet)的功能,必须要具有高可用性。目前高可用性是通过VRRP (Virtual Router Redundancy Protocol,虚拟路由冗余协议)心跳协议来实现的。VRRP协议设计的目的,是为了解决静态路由引发的单点故障 问题。VRRP的核心是一个选择协议,可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。控制虚拟路由器IP(Internet Protocol,因特网协议)地址的VRRP路由器称为主路由器,它负责转发数据包到这些虚拟IP地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。使用VRRP的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。通过NAT设备访问外网的服务器,需要和NAT设备在同一个网段,同时把该服务器的默认网关设置为NAT设备提供的VIP (Virtual IP,虚拟服务IP)。为了使用VRRP心跳协议,NAT设备在运行时,会在用户态运行实现了 VRRP协议的连续运行的Daemon程序。该Daemon程序会在VRRP心跳发生变化时,负责VIP的管理。图I示出了根据现有技术的NAT设备的配置示意图。参见图1,目前NAT设备的一般配置为两台NAT设备。其中,两台NAT设备之间采用VRRP协议,选取出来的主NAT设备上绑定VIP,并提供NAT访问外网的服务。主NAT设备会定期发出VRRP心跳,以便备NAT设备知道主NAT设备仍然活着。其中,主NAT设备是通过VRRP协议中的权值(Priority)字段来决定的,Priority最大的NAT设备成为主NAT设备。图2示出了根据现有技术的主备NAT切换后的配置示意图。在主NAT设备的服务程序关闭或崩溃或其他方式DOWN掉或者主NAT设备自身发生故障等无法提供服务的时候,备NAT设备持续监听VRRP心跳,没有收到主NAT设备的心跳报文,则两台NAT设备的状态会迁移到如图2的状态备NAT设备自动成为主NAT设备,接管VIP,提供服务。然后,备NAT设备定期发送VRRP心跳报文,以让其他设备获知其存活状态。后续,若主NAT设备服务恢复后,会主动抢占备NAT设备上的VIP,再次成为主NAT设备,相应的,流量就会重新回到主NAT设备上。通过上述的过程,当一台NAT设备服务出现问题的时候,另外一台NAT设备可以很快的接管服务器,实现了高可用性。VRRP协议是一种路由选择协议,在进行路由选择时,只能有一个主路由器进行路由转发。对应到NAT设备使用的场景,即一个VIP在同一时间内只能绑定在一台NAT设备上,这会导致如下问题
I)首先,单个NAT设备会成为性能瓶颈。具体的,因为在一定时间内,特定VIP的流量只能被转发到一台NAT设备上,单台NAT设备的流量处理能力是一定的,如果该VIP对应的流量很大,该NAT设备的流量处理能力就会成为性能瓶颈。2)其次,NAT设备集群的扩展较为复杂。一般情况下,考虑一台NAT设备的安全性较差,现有技术都会使用2台NAT设备组成一个集群提供服务。但随着访问外网服务器数目和流量的增加,集群性能会遇到瓶颈,此时需要扩展NAT设备集群,有两种手段来扩展第一,新建一个2台NA T设备的集群。该手段带来的问题是需要人为地在多个集群间划分业务,以进行流量均衡,如果某个业务流量变大,还需要随时进行调整。第二,增加NAT设备服务器到原有集群。该手段带来的问题是,需要人为地为每个业务划分各台NAT设备的权值,以便实现各NAT设备的流量均衡,以及各个业务的高可用发生。以三台NAT设备(分别NAT设备A、NAT设备B、NAT设备C)的集群为例,该集群承担3台业务(业务I、业务2、业务3),总流量为270,则理想配置为业务I设置的权值为NAT设备A->110,NAT设备B_>90,NAT设备C_>70;业务2设置的权值为NAT设备B-〉110,NAT设备A_>90,NAT设备C_>70;业务3设置的权值为NAT设备C-〉110,NAT设备B_>90,NAT设备A_>70。这样在正常工作的情况下,三个业务的流量分别落到三台NAT设备上。但是如果再增加一台NAT设备D的话,那该NAT设备D上各业务的权值设置就很复杂和繁琐了。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的用于管理外网访问的系统和相应的用于管理外网访问的方法。依据本发明的一个方面,提供了一种用于管理外网访问的系统,包括耦接内网的第一网络设备层、多个网络地址转换NAT设备以及与耦接外网的第二网络设备层,各网络设备层中包括至少一层网络设备,其中,第一网络设备层,一端分别耦接到多个NAT设备,另一端耦接到内网服务器,以统计内网服务器发出的访问请求的流量,利用开放式最短路径优先OSPF协议将流量按预定分配条件分配到各NAT设备;多个NAT设备中的每个NAT设备,一端耦接到第一网络设备层,另一端耦接到第二网络设备层,配置为根据OSPF协议接收流量;以及,将流量转发至第二网络设备层;第二网络设备层,配置为接收流量,利用其中携带的访问请求访问外网;其中,第一网络设备层包括至少两层网络设备时,存在流量传输的、不同层的网络设备间运行OSPF协议。可选地,各NAT设备的网卡配置在不同的网段。可选地,第一次网络设备层中的网络设备与各NAT设备运行的OSPF协议处于不同的网段。可选地,第一网络设备层与各NAT设备间设置相同的区域和验证类型。可选地,第一网络设备层中的网络设备包括交换机。可选地,预定分配条件包括下列任意之一按照NAT设备的数量平均分配;
按照各NAT设备的承载能力进行分配;按照预设权值进行分配。可选地,在系统中增加Iv新的NAT设备时,该NAT设备一端稱接到弟一网络设备层,一端耦接到第二网络设备层;第一网络设备层还配置为利用OSPF协议为新增的NAT设备分配流量。可选地,内网包括局域网,外网包括因特网Internet。依据本发明的另一个方面,提供了一种用于管理外网访问的方法,包括内网通过与自身耦接的第一网络设备层发出访问请求;
第一网络设备层统计内网发出的访问请求的流量,利用开放式最短路径优先OSPF协议将流量按预定分配条件分配到与自身耦合的各NAT设备;各NAT设备接收流量并转发至与外网耦接的第二网络设备层,由第二网络设备层利用流量中携带的访问请求访问外网;其中,各网络设备层中包括至少一层网络设备;其中,第一网络设备层包括至少两层网络设备时,存在流量传输的、不同层的网络设备间运行OSPF协议。可选地,各NAT设备的网卡配置在不同的网段。可选地,第一次网络设备层中的网络设备与各NAT设备运行的OSPF协议处于不同的网段。可选地,预定分配条件包括下列任意之一按照NAT设备的数量平均分配;按照各NAT设备的承载能力进行分配;按照预设权值进行分配。可选地,增加一个新的NAT设备时,该NAT设备一端耦接到第一网络设备层,一端耦接到第二网络设备层;第一网络设备层利用OSPF协议为新增的NAT设备分配流量。在本发明实施例中,NAT设备并没有组成集群,而是由单个的NAT设备分别进行外网的访问。在本发明实施例的用于管理外网访问的系统中,NAT设备的数量为多个,且多个NAT设备同时与内网、外网连接,每个NAT设备都具备访问外网的能力,因此,流量会分流到各NAT设备上,而不是一台NAT设备上。这就保证了即使流量很大的情况下,也能够提供外网服务,不会因一台NAT设备的流量处理能力造成性能瓶颈。另外,由于NAT设备间的独立性,在增加NAT设备时,只需要增加单独的NAT设备即可,不需要增加由2台或者更多的NAT设备组成的集群,节省成本。并且,本发明实施例中NAT设备和第一网络设备层间使用OSPF协议,流量可以自动进行均衡划分,不需要人为地进行流量划分或者为每个业务划分每个NAT设备的权值。若某个业务流量变大,则OSPF协议还能够对流量进行调整,达到流量均衡的目的。进一步,现有技术提供的NAT技术限制了内网服务器和NAT设备的网络拓扑。为了进行通信,内网服务器必须设置NAT设备(通常为主NAT设备)提供的VIP为默认网关,因此两者必须在同一网段。如果想支持多个内网服务器的出口需求,就需要在NAT设备上设置多个Vlan (Virtual Local Area Network,虚拟局域网),这样就会增加NAT设备的运维成本。而本发明实施例中,不再采用VRRP协议,而采用了 OSPF协议,内网服务器无须将VIP设为默认网关,也无须与NAT设备必须在同一网段。相应的,NAT设备上就无须设置多个Vlan,减少了 NTA设备的运维成本。上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式
。
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中图I示出了根据现有技术的NAT设备的配置示意图;图2示出了根据现有技术的主备NAT切换后的配置示意图;图3示出了根据本发明一个实施例的用于管理外网访问的系统的结构示意图;以及图4示出了根据本发明一个实施例的用于管理外网访问的方法的处理流程图。
具体实施例方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。为解决上述技术问题的同时,尽量选择已有的设备,不增加额外的负担,本发明实施例对外网访问的网络系统的架构进行了改进。图3示出了根据本发明的一个实施例的用 于管理外网访问的系统的结构示意图。参见图1,该用于管理外网访问的系统包括三部分,一部分是耦接内网的第一网络设备层310,一部分就连接内网和外网的多个NAT设备320,另外一部分是耦接外网的第二网络设备层330。实际应用中,各网络设备层中都包括至少一层网络设备。图3中的NAT设备的数量以及各网络设备层中的层数均是示意,并不是确切数目,其具体数量根据实际情况而定。现对改进的用于管理外网访问的系统的各部分进行具体说明。首先,对第一网络设备层310进行介绍。前文提及,该网络设备层是NAT设备与内网的中介,一端分别与各NAT设备320耦合,另一端与内网服务器耦合。当NAT设备为多个时,第一网络设备层310能够分别耦接到多个NAT设备。第一网络设备层310会统计内网服务器发出的访问请求的流量,利用OSPF (Open Shortest Path First开放式最短路径优先)协议将流量按预定分配条件分配到各NAT设备320。然后,参见图3,多个NAT设备320中的每个NAT设备320,为实现网络访问的目的,其一端耦接到第一网络设备层310,另一端耦接到第二网络设备层320。每个NAT设备320会根据OSPF协议接收相应的流量,进而将接收的流量转发至第二网络设备层320上。最后,第二网络设备层320会接收NAT设备320转发的流量,利用其中携带的访问请求访问外网。在本发明实施例中,NAT设备并没有组成集群,而是由单个的NAT设备分别进行外网的访问。在本发明实施例的用于管理外网访问的系统中,NAT设备的数量为多个,且多个NAT设备同时与内网、外网连接,每个NAT设备都具备访问外网的能力,因此,流量会分流到各NAT设备上,而不是一台NAT设备上。这就保证了即使流量很大的情况下,也能够提供外网服务,不会因一台NAT设备的流量处理能力造成性能瓶颈。另外,由于NAT设备间的独立性,在增加NAT设备时,只需要增加单独的NAT设备即可,不需要增加由2台或者更多的NAT设备组成的集群,节省成本。并且,本发明实施例中NAT设备和第一网络设备层间使用OSPF协议,流量可以自动进行均衡划分,不需要人为 地进行流量划分或者为每个业务划分每个NAT设备的权值。若某个业务流量变大,则OSPF协议还能够对流量进行调整,保证访问外网的流量会根据等价路由均匀分配到多台NAT设备上,达到流量均衡的目的。进一步,现有技术提供的NAT技术限制了内网服务器和NAT设备的网络拓扑。为了进行通信,内网服务器必须设置NAT设备(通常为主NAT设备)提供的VI P为默认网关,因此两者必须在同一网段。如果想支持多个内网服务器的出口需求,就需要在NAT设备上设置多个Vlan (Virtual Local Area Network,虚拟局域网),这样就会增加NAT设备的运维成本。而本发明实施例中,不再采用VRRP协议,而采用了 OSPF协议,内网服务器无须将VI P设为默认网关,也无须与NAT设备必须在同一网段。相应的,NAT设备上就无须设置多个Vlan,减少了 NTA设备的运维成本。实施时,当第一网络设备层310包括至少两层网络设备时,由于内网服务器需要经这至少两层网络设备将流量传输到NAT设备,因此,至少两层网络设备间是存在流量传输的。为了节省成本,并能够让流量自主进行均衡分配,在存在流量传输的、不同层的网络设备间运行OSPF协议。正如上文所说,改变了外网访问的系统架构并采用了 OSPF协议之后,即使连接同一内网服务器,各NAT设备320的网卡也可以配置在不同的网段。而本发明实施例中,不再采用VRRP协议,而采用了 OSPF协议,即,本发明实施例提供的是一种新的基于OSPF的NAT统一出口方案。本例中,内网服务器为了访问外网服务,内网服务器只须设置对应的交换机IP为默认网关,无须将NAT设备提供的VIP设为默认网关,也无须与NAT设备必须在同一网段。那么,第一次网络设备层310中的网络设备与各NAT设备320可以处于不同的网段。实施时,为了使NAT设备320和第一网络设备层310中的网络设备能够正常地学到邻居关系并进行通讯,两者需要设置相同的区域和验证类型。本发明实施例中,由于NAT设备320不需要再设置虚拟VIP和虚拟路由,因此,在NAT设备320上配置默认路由即可,并将配置好的默认路由发送至交换机。第一网络设备层310中的网络设备可以是任意能够传输流量的设备,例如交换机、服务器等等。上文提及,第一网络设备层310和多个NAT设备320间的流量的分配可以采用预定的分配条件,那么预定的分配条件可以是按照NAT设备的数量平均分配,也可以是按照各NAT设备的承载能力进行分配,还可以是按照预设权值进行分配。此处仅仅是提供了几个具体的实例,并不对预定分配条件进行限定。当需要在用于管理外网访问的系统中增加一个新的NAT设备320时,由于各NAT设备320的独立性,无须考虑其他NAT设备,可以直接将该NAT设备320 —端耦接到第一网络设备层,一端耦接到第二网络设备层。硬件架构建立后,第一网络设备层310可以利用OSPF协议为新增的NAT设备320分配流量,那么,流量会再次分配在增加了一个NAT设备的多个NAT设备上,能够降低运维成本。本例中,内网包括局域网,外网包括因特网(Internet)。内外网的概念是一个相对概念,可以根据实际情况选择。本发明可以适用于任意利用NAT设备访问外网的系统。基于上述的用于管理外网访问的系统,本发明实施 例还提供了一种用于管理外网访问的方法。图4示出了根据本发明的一个实施例的用于管理外网访问的方法的处理流程图。该流程图包括步骤S402至步骤S406。步骤S402、内网通过与自身耦接的第一网络设备层发出访问请求。步骤S404、第一网络设备层统计内网发出的访问请求的流量,利用OSPF协议将流量按预定分配条件分配到与自身耦合的各NAT设备。步骤S406、各NAT设备接收流量并转发至与外网耦接的第二网络设备层,由第二网络设备层利用流量中携带的访问请求访问外网。其中,图4中提及的各网络设备层中均包括至少一层网络设备。在本发明实施例中,NAT设备并没有组成集群,而是由单个的NAT设备分别进行外网的访问。在本发明实施例的用于管理外网访问的系统中,NAT设备的数量为多个,且多个NAT设备同时与内网、外网连接,每个NAT设备都具备访问外网的能力,因此,流量会分流到各NAT设备上,而不是一台NAT设备上。这就保证了即使流量很大的情况下,也能够提供外网服务,不会因一台NAT设备的流量处理能力造成性能瓶颈。另外,由于NAT设备间的独立性,在增加NAT设备时,只需要增加单独的NAT设备即可,不需要增加由2台或者更多的NAT设备组成的集群,节省成本。并且,本发明实施例中NAT设备和第一网络设备层间使用OSPF协议,流量可以自动进行均衡划分,不需要人为地进行流量划分或者为每个业务划分每个NAT设备的权值。若某个业务流量变大,则OSPF协议还能够对流量进行调整,保证访问外网的流量会根据等价路由均匀分配到多台NAT设备上,达到流量均衡的目的。进一步,现有技术提供的NAT技术限制了内网服务器和NAT设备的网络拓扑。为了进行通信,内网服务器必须设置NAT设备(通常为主NAT设备)提供的VIP为默认网关,因此两者必须在同一网段。如果想支持多个内网服务器的出口需求,就需要在NAT设备上设置多个Vlan (Virtual Local Area Network,虚拟局域网),这样就会增加NAT设备的运维成本。而本发明实施例中,不再采用VRRP协议,而采用了 OSPF协议,内网服务器无须将VIP设为默认网关,也无须与NAT设备必须在同一网段。相应的,NAT设备上就无须设置多个Vlan,减少了 NTA设备的运维成本。步骤S402中提及的第一网络设备层由多层网络设备组成,当其包括至少两层网络设备时,为保证流量分配的均衡性和自动性,在存在流量传输的、不同层的网络设备间运行OSPF协议。当内网服务器发送访问请求时,第一网络设备层中直接与内网服务器耦合的网络设备会接收相应的流量,并通过OSPF协议将流量分配到第二层的网络设备中,若存在第三层、第四层或者更多,则依次以OSPF协议进行流量分配,直到将流量发送至多个NAT设备。正如上文所说,改变了用于管理外网访问的的系统架构并采用了 OSPF协议之后,即使连接同一内网服务器,各NAT设备不再设置VIP,不再与相同的内网服务器保持一致,进而各NAT设备的网卡也可以配置在不同的网段。而本发明实施例中,不再采用VRRP协议,而采用了 OSPF协议,即,本发明实施例提供的是一种新的基于OSPF的NAT统一出口方案。本例中,内网服务器为了访问外网服务,内网服务器只须设置对应的交换机IP为默认网关,无须将NAT设备提供的VIP设为默认网关,也无须与NAT设备必须在同一网段。那么,步骤S402及步骤S404中提及第一次网络设备层中的网络设备与各NAT设备可以处于不同的网段。步骤S402中提及,第一网络设备层和多个NAT设备间的流量的分配可以采用预定的分配条件,那么预定的分配条件可以是按照NAT设备的数量平均分配,也可以是按照各 NAT设备的承载能力进行分配,还可以是按照预设权值进行分配。此处仅仅是提供了几个具体的实例,并不对预定分配条件进行限定。采用本发明实施例提供的用于管理外网访问的方法,当需要增加一个新的NAT设备时,考虑各NAT设备之间的独立性,则只需要在内网和外网间增加一个NAT设备即可,不需要考虑该NAT设备对其他NAT设备的影响。增加时,新增的NAT设备一端耦接到第一网络设备层,一端耦接到第二网络设备层。当架构建立后,第一网络设备层利用OSPF协议为新增的NAT设备分配流量,由内网传向外网的流量会根据新增了一个NAT设备的多个NAT设备间重新进行分配,能够降低运维成本。实施例一为了实现本发明实施例提供的用于管理外网访问的功能,本例具体提供了一种具体的处理方式。本例中,重点在于OSPF协议的运用,这是本发明实施例的基础。参见图3,OSPF协议的运用包括两个部分第一部分是在与内网耦合的网络设备上运行OSPF协议,第二部分是在NAT设备上运行OSPF协议。现对在NAT设备上运行OSPF协议的实现手段进行具体描述。一种可选的实现手段为使用开源工具quagga中的zebra和ospfd组件来实现对OSPF协议的支持,其中zebra负责本地路由表的更新,而ospfd负责ospf协议的实现,并与其他运行ospfd的设备进行通讯。另外,在配置ospfd时,需要把默认路由放到ospfd的区域设置中。此处的实现手段仅仅是一个具体实施例,并不对OSPF协议的运用造成限定,在实施时可以选择不同的开源工具,并不仅限于开源工具quagga。而在网络设备上运彳丁 OSPF和等价路由,考虑到不同网络设备有不同的OSPF和等价路由配置方法,但是网络设备上的路由设置和OSPF协议的设置均是现有技术,可参考具体相应的设备配置手册即可,在此不做赘述。需要注意的是,本例中,各台NAT设备的网卡配置在不同的网段,另外,网络设备与各台NAT设备运行的OSPF不可处于相同的区域。进一步,为了使NAT设备和网络设备能够正常地学到邻居关系并通讯,两者需要设置相同的区域和验证类型。当前面的配置都结束后,在各NAT设备上配置默认路由,并将默认路由发送至交换机。默认路由的设置也是现有技术,在此不做赘述。实施例二现以三台NAT设备(分别NAT设备A、NAT设备B、NAT设备C)为例进行外网访问服务,利用该三台NAT设备承担3台业务(业务I、业务2、业务3),当前总流量为360,假设预定义的流量分配方法为平均分配。则在本例中,业务I设置的权值为NAT设备A->120,NAT设备B_>120,NAT设备C-〉120;业务2设置的权值为NAT设备B-〉120,NAT设备A_>120,NAT设备C-〉120;业务3设置的权值为NAT设备C-〉120,NAT设备B_>120,NAT设备A_>120。 这样在正常工作的情况下,三个业务的流量分别平均落到三台NAT设备上。但是如果再增加一台NAT设备D的话,那该NAT设备D上各业务的权值设置就变成业务I设置的权值为NAT设备A->90,NAT设备B_>90,NAT设备C_>90,NAT设备D->90;业务2设置的权值为NAT设备B->90,NAT设备A_>90,NAT设备C_>90,NAT设备D->90;业务3设置的权值为NAT设备C->90,NAT设备B_>90,NAT设备A_>90,NAT设备D->90。需要说明的是,本例中NAT设备是各自独立的,因此设备序号并不构成排名或排序,仅用于能够更方便地与现有技术中的实施例进行对比。采用本发明实施例提供的用于管理外网访问的系统及方法,可以达到如下有益效果在本发明实施例中,NAT设备并没有组成集群,而是由单个的NAT设备分别进行外网的访问。在本发明实施例的用于管理外网访问的系统中,NAT设备的数量为多个,且多个NAT设备同时与内网、外网连接,每个NAT设备都具备访问外网的能力,因此,流量会分流到各NAT设备上,而不是一台NAT设备上。这就保证了即使流量很大的情况下,也能够提供外网服务,不会因一台NAT设备的流量处理能力造成性能瓶颈。另外,由于NAT设备间的独立性,在增加NAT设备时,只需要增加单独的NAT设备即可,不需要增加由2台或者更多的NAT设备组成的集群,节省成本。并且,本发明实施例中NAT设备和第一网络设备层间使用OSPF协议,流量可以自动进行均衡划分,不需要人为地进行流量划分或者为每个业务划分每个NAT设备的权值。若某个业务流量变大,则OSPF协议还能够对流量进行调整,达到流量均衡的目的。进一步,现有技术提供的NAT技术限制了内网服务器和NAT设备的网络拓扑。为了进行通信,内网服务器必须设置NAT设备(通常为主NAT设备)提供的VIP为默认网关,因此两者必须在同一网段。如果想支持多个内网服务器的出口需求,就需要在NAT设备上设置多个Vlan (Virtual Local Area Network,虚拟局域网),这样就会增加NAT设备的运维成本。而本发明实施例中,不再采用VRRP协议,而采用了 OSPF协议,内网服务器无须将VIP设为默认网关,也无须与NAT设备必须在同一网段。相应的,NAT设备上就无须设置多个Vlan,减少了 NTA设备的运维成本。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图即所要求保 护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式
的权利要求书由此明确地并入该具体实施方式
,其中每个权利要求本身都作为本发明的单独实施例。本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的用于管理外网访问的系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干 装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
权利要求
1.一种用于管理外网访问的系统,包括耦接内网的第一网络设备层、多个网络地址转换NAT设备以及与耦接外网的第二网络设备层,各网络设备层中包括至少一层网络设备,其中, 所述第一网络设备层,一端分别耦接到所述多个NAT设备,另一端耦接到内网服务器,以统计所述内网服务器发出的访问请求的流量,利用开放式最短路径优先OSPF协议将所述流量按预定分配条件分配到各NAT设备; 所述多个NAT设备中的每个NAT设备,一端耦接到所述第一网络设备层,另一端耦接到所述第二网络设备层,配置为根据所述OSPF协议接收所述流量;以及,将所述流量转发至所述第二网络设备层; 所述第二网络设备层,配置为接收所述流量,利用其中携带的所述访问请求访问外网; 其中,所述第一网络设备层包括至少两层网络设备时,存在流量传输的、不同层的网络设备间运行所述OSPF协议。
2.根据权利要求I所述的系统,其特征在于,所述各NAT设备的网卡配置在不同的网段。
3.根据权利要求I至2任一项所述的系统,其特征在于,所述第一次网络设备层中的网络设备与所述各NAT设备运行的OSPF协议处于不同的网段。
4.根据权利要求I至3任一项所述的系统,其特征在于,所述第一网络设备层与所述各NAT设备间设置相同的区域和验证类型。
5.根据权利要求I至4任一项所述的系统,其特征在于,所述第一网络设备层中的网络设备包括交换机。
6.根据权利要求I至5任一项所述的系统,其特征在于,所述预定分配条件包括下列任意之一 按照所述NAT设备的数量平均分配; 按照所述各NAT设备的承载能力进行分配; 按照预设权值进行分配。
7.根据权利要求I至6任一项所述的系统,其特征在于,在所述系统中增加一个新的NAT设备时,该NAT设备一端耦接到所述第一网络设备层,一端耦接到所述第二网络设备层; 所述第一网络设备层还配置为利用所述OSPF协议为新增的NAT设备分配流量。
8.根据权利要求I至7任一项所述的系统,其特征在于,所述内网包括局域网,所述外网包括因特网Internet。
9.一种用于管理外网访问的方法,包括 内网通过与自身耦接的第一网络设备层发出访问请求; 所述第一网络设备层统计内网发出的访问请求的流量,利用开放式最短路径优先OSPF协议将所述流量按预定分配条件分配到与自身耦合的各NAT设备; 所述各NAT设备接收所述流量并转发至与外网耦接的第二网络设备层,由所述第二网络设备层利用所述流量中携带的所述访问请求访问外网; 其中,各网络设备层中包括至少一层网络设备;其中,所述第一网络设备层包括至少两层网络设备时,存在流量传输的、不同层的网络设备间运行所述OSPF协议。
10.根据权利要求9所述的方法,其特征在于,所述各NAT设备的网卡配置在不同的网段。
11.根据权利要求9至10任一项所述的方法,其特征在于,所述第一次网络设备层中的网络设备与所述各NAT设备运行的OSPF协议处于不同的网段。
12.根据权利要求9至11任一项所述的方法,其特征在于,所述预定分配条件包括下列任意之一 按照所述NAT设备的数量平均分配; 按照所述各NAT设备的承载能力进行分配; 按照预设权值进行分配。
13.根据权利要求9至12任一项所述的方法,其特征在于,增加一个新的NAT设备时,该NAT设备一端耦接到所述第一网络设备层,一端耦接到所述第二网络设备层; 所述第一网络设备层利用所述OSPF协议为新增的NAT设备分配流量。
全文摘要
本发明公开了一种用于管理外网访问的方法,包括内网通过与自身耦接的第一网络设备层发出访问请求;所述第一网络设备层统计内网发出的访问请求的流量,利用开放式最短路径优先OSPF协议将所述流量按预定分配条件分配到与自身耦合的各NAT设备;所述各NAT设备接收所述流量并转发至与外网耦接的第二网络设备层,由所述第二网络设备层利用所述流量中携带的所述访问请求访问外网;其中,各网络设备层中包括至少一层网络设备;其中,所述第一网络设备层包括至少两层网络设备时,存在流量传输的、不同层的网络设备间运行所述OSPF协议。采用本发明能够降低运维成本。本发明还公开了相应的系统。
文档编号H04L12/803GK102970388SQ20121046708
公开日2013年3月13日 申请日期2012年11月19日 优先权日2012年11月19日
发明者陈建, 唐会军 申请人:北京奇虎科技有限公司, 奇智软件(北京)有限公司