[发明专利]一种实现防火墙多活高可用性的方法及终端

说明书

本发明实施例公开了一种实现防火墙多活高可用性的方法及终端，其中方法包括：SDN控制器监控从防火墙设备集群发向信任区交换机的请求报文；SDN控制器根据请求报文获取请求报文的入端口号、防火墙设备ID和源IP地址，形成Auto Last Hop表项；若信任区交换机向防火墙设备集群发送应答报文，SDN控制器根据Auto Last Hop表项判断应答报文的目的IP地址是否与源IP地址相匹配；若目的IP地址与源IP地址相匹配，SDN控制器根据Auto Last Hop表项中相对应的入端口号和防火墙设备ID控制信任区交换机将应答报文发送给相对应的防火墙设备。本发明实现了防火墙设备多活高可用性的目的。

技术领域

本发明涉及领域通信技术领域，尤其涉及一种实现防火墙多活高可用性的方法及终端。

背景技术

目前防火墙设备主要使用了主-备方式的高可用性(High Available，HA)模式。在该模式下的报文转发过程中，由于一台主防火墙设备可能就配备有多台备用防火墙设备，当主防火墙设备在报文转发过程中出现异常时，将启动备用的防火墙设备来接替主防火墙设备原先的转发功能。当仅一台备用防火墙设备就可以满足原先的转发功能时，其他的备用防火墙设备便不会被启动而处于不工作的状态。因此，这种HA模式很大程度的消耗了防火墙设备的资源。

发明内容

有鉴于此，本发明实施例提供一种实现防火墙多活高可用性的方法及终端，可实现防火墙设备高可用性且可以减少防火墙设备的资源浪费。

一种实现防火墙多活高可用性的方法，所述方法包括：

SDN控制器监控从防火墙设备集群发向信任区交换机的请求报文；

所述SDN控制器根据所述请求报文获取请求报文的入端口号、防火墙设备ID和源IP地址，形成Auto Last Hop表项；

若所述信任区交换机向防火墙设备集群发送应答报文，所述SDN控制器根据所述Auto Last Hop表项判断所述应答报文的目的IP地址是否与源IP地址相匹配；

若目的IP地址与源IP地址相匹配，所述SDN控制器根据所述Auto Last Hop表项中相对应的入端口号和防火墙设备ID控制所述信任区交换机将所述应答报文发送给相对应的防火墙设备。

具体的，所述SDN控制器监控从防火墙设备集群发向信任区交换机的请求报文之前，还包括：非信任区交换机通过预设的负载均衡算法将请求报文发送给防火墙设备集群。

具体的，所述方法还包括：若从非信任区交换机发出的请求报文发送失败，根据预设协议自动切换另一防火墙设备以完成所述请求报文的发送；判断所述SDN控制器是否存在Auto Last Hop表项；若存在，所述SDN控制器根据所述请求报文的源IP地址删除所述Auto Last Hop表项。

具体的，所述方法还包括：若从防火墙集群发出的应答报文发送失败，所述SDN控制器根据所述应答报文的目的IP地址删除所述Auto Last Hop表项。

具体的，所述方法还包括：若所述信任区交换机向防火墙集群发出的应答报文发送失败要，所述SDN控制器根据所述应答报文的目的IP地址删除所述Auto Last Hop表项。

一种终端，所述终端包括：

监控模块，用于监控从防火墙设备集群发向信任区交换机的请求报文；

获取模块，用于根据所述请求报文获取请求报文的入端口号、防火墙设备ID和源IP地址，形成Auto Last Hop表项；

第一判断模块，用于若所述信任区交换机向防火墙设备集群发送应答报文，根据所述Auto Last Hop表项判断所述应答报文的目的IP地址是否与源IP地址相匹配；