[发明专利]一种实现防火墙多活高可用性的方法及终端

权利要求书

1.一种实现防火墙多活高可用性的方法，其特征在于，所述方法包括：

非信任区交换机通过预设的负载均衡算法将请求报文发送给防火墙设备集群；

SDN控制器监控从防火墙设备集群发向信任区交换机的请求报文；

所述SDN控制器根据所述请求报文获取请求报文的入端口号、防火墙设备ID和源IP地址，形成自动上一跳转发Auto Last Hop表项；

若所述信任区交换机向防火墙设备集群发送应答报文，所述SDN控制器根据所述AutoLast Hop表项判断所述应答报文的目的IP地址是否与源IP地址相匹配；

若目的IP地址与源IP地址相匹配，所述SDN控制器根据所述Auto Last Hop表项中相对应的入端口号和防火墙设备ID控制所述信任区交换机将所述应答报文发送给相对应的防火墙设备。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：

若从非信任区交换机发出的请求报文发送失败，根据预设协议自动切换另一防火墙设备以完成所述请求报文的发送；

判断所述SDN控制器是否存在Auto Last Hop表项；

若存在，所述SDN控制器根据所述请求报文的源IP地址删除所述Auto Last Hop表项。

3.如权利要求1所述的方法，其特征在于，所述方法还包括：若从防火墙集群发出的应答报文发送失败，所述SDN控制器根据所述应答报文的目的IP地址删除所述Auto Last Hop表项。

4.如权利要求1所述的方法，其特征在于，所述方法还包括，若所述信任区交换机向防火墙集群发出的应答报文发送失败，所述SDN控制器根据所述应答报文的目的IP地址删除所述Auto Last Hop表项。

5.一种终端，其特征在于，所述终端包括：

发送模块，用于非信任区交换机通过预设的负载均衡算法将请求报文发送给防火墙设备集群；

监控模块，用于监控从防火墙设备集群发向信任区交换机的请求报文；

获取模块，用于根据所述请求报文获取请求报文的入端口号、防火墙设备ID和源IP地址，形成自动上一跳转发Auto Last Hop表项；

第一判断模块，用于若所述信任区交换机向防火墙设备集群发送应答报文，根据所述Auto Last Hop表项判断所述应答报文的目的IP地址是否与源IP地址相匹配；

控制模块，用于若目的IP地址与源IP地址相匹配，根据所述Auto Last Hop表项中相对应的入端口号和防火墙设备ID控制所述信任区交换机将所述应答报文发送给相对应的防火墙设备。

6.如权利要求5所述的终端，其特征在于，所述终端还包括：第二删除模块，用于若从防火墙集群发出的应答报文发送失败，根据所述应答报文的目的IP地址删除所述Auto LastHop表项。

7.如权利要求5所述的终端，其特征在于，所述终端还包括：第三删除模块，用于若所述信任区交换机向防火墙集群发出的应答报文发送失败，根据所述应答报文的目的IP地址删除所述Auto Last Hop表项。