一种多设备自助协同处理报文的系统及方法.pdf

摘要
申请专利号：	CN201410382785.3	申请日：	2014.08.06
公开号：	CN104135481A	公开日：	2014.11.05
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04L 29/06申请日:20140806\|\|\|公开
IPC分类号：	H04L29/06; H04L12/803(2013.01)I	主分类号：	H04L29/06
申请人：	汉柏科技有限公司
发明人：	杨蒙
地址：	300384 天津市西青区华苑产业区海泰西18号西3楼104室
优先权：
专利代理机构：	北京天奇智新知识产权代理有限公司 11340	代理人：	谢磊
PDF下载：	PDF下载

内容摘要

本发明公开了一种多设备自助协同处理报文的系统及方法，该系统包括：分流单元，用于将报文分发至处理单元；处理单元，包括多个用于处理报文的子处理单元；分流单元将报文分发至多个子处理单元中的一个。接收到报文的第一子处理单元对报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并判断所述哈希值是否在所述第一子处理单元的处理范围内，如果是，则所述第一子处理单元为所述报文创建连接表并对所述报文进行处理；如果不是，则所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元，能够在不增加负载均衡器的前提下，实现负载的自动均衡，从而解决了系统处理报文的性能瓶颈和系统扩展性差的问题。

权利要求书

1.  一种多设备自助协同处理报文的系统，其特征在于，包括：
分流单元，用于将报文分发至处理单元；
处理单元，包括多个用于处理报文的子处理单元；
分流单元将报文分发至多个子处理单元中的一个；
接收到报文的第一子处理单元在本地查找与所述报文对应的寻回连接，如果查找到对应的寻回连接，将所述报文转发至寻回连接对应的子处理单元；
如果没有查找到寻回连接，对所述报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并判断所述哈希值是否在所述第一子处理单元的处理范围内，如果是，则所述第一子处理单元为所述报文创建连接表并对所述报文进行处理；如果不是，则所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元。

2.  根据权利要求1所述的系统，其特征在于，所述五元组信息包括：所述报文的源IP地址，源端口号，目的IP地址，目的端口号和协议类型。

3.  根据权利要求2所述的系统，其特征在于，所述处理范围是子处理单元的实际处理连接的哈希桶的大小。

4.  根据权利要求3所述的系统，其特征在于，所述子处理单元包括与处理单元中所有子处理单元的处理范围对应的逻辑哈希桶，逻辑哈希桶的大小为所有子处理单元的所述实际处理连接的哈希桶的大小的总和。

5.  根据权利要求4所述的系统，其特征在于，所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元包括：
所述第一子处理单元根据所述五元组信息对应的哈希值在逻辑哈希桶中的位置，确定与所述报文对应的第二子处理单元；
第一子处理单元转发所述报文至所述第二子处理单元。

6.  根据权利要求5所述的系统，其特征在于，当所述第二子处理单元接收到所述第一子处理单元转发的所述报文时，所述第二子处理单元对所述报文进行处理。

7.  根据权利要求6所述的系统，其特征在于，当所述报文是由所述第一子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第一子处理单元的处理范围内时，所述第一子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元；
当所述报文是由所述第二子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第二子处理单元的处理范围内时，所述第二子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元。

8.  根据权利要求7所述的系统，其特征在于，所述寻回连接包括所述报文的五元组信息和对所述报文进行处理的子处理单元的设备ID。

9.  根据权利要求8所述的系统，其特征在于，当所述分流单元接收到所述报文的响应报文时，分流单元将响应报文分发至多个子处理单元中的一个；
如果接收到响应报文的是第一子处理单元并且与响应报文对应的所述报文是由所述第一子处理单元进行处理的，则由所述第一子处理单元对所述响应报文进行处理；
如果接收到响应报文的是第二子处理单元并且与响应报文对应的所述报文是由所述第二子处理单元进行处理的，则由所述第二子处理单元对所述响应报文进行处理；
如果接收到响应报文的是第三子处理单元，则所述第三子处理单元在本地查找与所述响应报文对应的寻回连接，如果查找到对应的寻回连接，将所述响应报文转发至寻回连接对应的子处理单元；
如果没有查找到寻回连接，对所述响应报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并根据所述哈希值将所述响应报文转发至处理范围包含所述哈希值的子处理单元，该子处理单元如果是对与所述响应报文对应的报文进行处理的子处理单元，则该子处理单元对所述响应报文进行处理，否则，该子处理单元查找与所述响应报文对应的寻回连接，并根据寻回连接将所述响应报文发送至对应的子处理单元。

10.  一种根据权利要求1至9任意一项所述系统的多设备自助系统处理报文的方法，其特征在于，包括步骤：
步骤S1，将报文分发至多个子处理单元中的一个；
步骤S2，接收到报文的第一子处理单元在本地查找与所述报文对应的寻回连接，如果查找到对应的寻回连接，将所述报文转发至寻回连接对应的子处理单元；如果没有查找到寻回连接，对报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并判断所述哈希值是否在所述第一子处理单元的处理范围内，如果是，则所述第一子处理单元为所述报文创建连接表并对所述报文进行处理；如果不是，则所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元；
步骤S3，当所述报文是由所述第一子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第一子处理单元的处理范围内时，所述第一子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元；当所述报文是由所述第二子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第二子处理单元的处理范围内时，所述第二子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元；
步骤S4，将响应报文分发至多个子处理单元中的一个；
步骤S5，接收到响应报文的子处理单元判断是否对所述响应报文进行处理，如果是则对所述响应报文进行处理；如果不是则转发所述响应报文至处理所述响应报文的子处理单元。

说明书

一种多设备自助协同处理报文的系统及方法
技术领域
本发明涉及负载均衡领域，尤其涉及一种多设备自助协同处理报文的系统及方法。
背景技术
现有技术中通常采用专用的负载均衡设备来将报文均衡地分发到多台防火墙上，使多台防火墙能够同时工作，以提高整个系统的性能。但是因为加入了额外的负载均衡器，增加了额外的设备管理负担，同时一旦负载均衡器发生故障，将导致整个系统无法正常工作，而且随着防火墙性能的提升，负载均衡器就成为了性能瓶颈，无法起到性能扩展的作用。
发明内容
本发明鉴于上述情况而作出，其目的是提供一种多设备自助协同处理报文的系统及方法，能够在不增加负载均衡器的前提下，实现负载的自动均衡，从根本上解决了系统处理报文的性能瓶颈和系统扩展性差的问题。
根据本发明的一个方面，提供一种多设备自助协同处理报文的系统，包括：
分流单元，用于将报文分发至处理单元；
处理单元，包括多个用于处理报文的子处理单元；
分流单元将报文分发至多个子处理单元中的一个。
接收到报文的第一子处理单元在本地查找与所述报文对应的寻回连接，如果查找到对应的寻回连接，将所述报文转发至寻回连接对应的子处理单元；
如果没有查找到寻回连接，对报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并判断所述哈希值是否在所述第一子处理单元的处理范围内，如果是，则所述第一子处理单元为所述报文创建连接表并对所述报文进行处理；如果不是，则所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元。
其中，所述五元组信息包括：所述报文的源IP地址，源端口号，目的IP地址，目的端口号和协议类型。
所述处理范围是子处理单元的实际处理连接的哈希桶的大小。
所述子处理单元包括与处理单元中所有子处理单元的处理范围对应的逻辑哈希桶，逻辑哈希桶的大小为所有子处理单元的所述实际处理连接的哈希桶的大小的总和。
进一步地，所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元包括：
所述第一子处理单元根据所述五元组信息对应的哈希值在逻辑哈希桶中的位置，确定与所述报文对应的第二子处理单元。
第一子处理单元转发所述报文至所述第二子处理单元。
当所述第二子处理单元接收到所述第一子处理单元转发的所述报文时，所述第二子处理单元对所述报文进行处理。
进一步地，当所述报文是由所述第一子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第一子处理单元的处理范围内时，所述第一子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元。
当所述报文是由所述第二子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第二子处理单元的处理范围内时，所述第二子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元。
其中，所述寻回连接包括所述报文的五元组信息和对所述报文进行处理的子处理单元的设备ID。
进一步地，当所述分流单元接收到所述报文的响应报文时，分流单元将响应报文分发至多个子处理单元中的一个。
如果接收到响应报文的是第一子处理单元并且与响应报文对应的所述报文是由所述第一子处理单元进行处理的，则由所述第一子处理单元对所述响应报文进行处理。
如果接收到响应报文的是第二子处理单元并且与响应报文对应的所述报文是由所述第二子处理单元进行处理的，则由所述第二子处理单元对所述响应报文进行处理。
如果接收到响应报文的是第三子处理单元，则所述第三子处理单元在本地查找与所述响应报文对应的寻回连接，如果查找到对应的寻回连接，将所述响应报文转发至寻回连接对应的子处理单元；
如果没有查找到寻回连接，对所述响应报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并根据所述哈希值将所述响应报文转发至处理范围包含所述哈希值的子处理单元，所述子处理单元如果也是对与所述响应报文对应的报文进行处理的子处理单元，则所述子处理单元对所述响应报文进行处理，否则，所述子处理单元查找与所述响应报文对应的寻回连接，并根据寻回连接将所述响应报文发送至对应的子处理单元。
作为优选，所述系统包括两个分流单元，分别用来对所述报文和所述响应报文进行分流，所述分流单元是分流设备，防火墙，交换机，路由器中的至少一种；所述子处理单元是防火墙，所述子处理设备之间通过交换机进行内部数据交换。
每个子处理单元分别与两个分流单元和所述交换机通过接口进行连接。
根据本发明的另一方面，提供一种多设备自助协同处理报文的方法，包括步骤：
步骤S1，将报文分发至多个子处理单元中的一个。
步骤S2，接收到报文的第一子处理单元在本地查找与所述报文对应的寻回连接，如果查找到对应的寻回连接，将所述报文转发至寻回连接对应的子处理单元；如果没有查找到寻回连接，对报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并判断所述哈希值是否在所述第一子处理单元的处理范围内，如果是，则所述第一子处理单元为所述报文创建连接表并对所述报文进行处理；如果不是，则所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元。
其中，所述五元组信息包括：所述报文的源IP地址，源端口号，目的IP地址，目的端口号和协议类型。
所述处理范围是子处理单元的实际处理连接的哈希桶的大小。
所述子处理单元包括与处理单元中所有子处理单元的处理范围对应的逻辑哈希桶，逻辑哈希桶的大小为所有子处理单元的所述实际处理连接的哈希桶的大小的总和。
进一步地，步骤S2中，所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元包括：
步骤S201，所述第一子处理单元根据所述五元组信息对应的哈希值在逻辑哈希桶中的位置，确定与所述报文对应的第二子处理单元。
步骤S202，第一子处理单元转发所述报文至所述第二子处理单元。
步骤S203，第二子处理单元对所述报文进行处理。
进一步地，步骤S2之后还包括：
步骤S3，当所述报文是由所述第一子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第一子处理单元的处理范围内时，所述第一子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元；当所述报文是由所述第二子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第二子处理单元的处理范围内时，所述第二子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元。
其中，所述寻回连接包括所述报文的五元组信息和对所述报文进行处理的子处理单元的设备ID。
进一步地，步骤S3之后，还包括：
步骤S4，将响应报文分发至多个子处理单元中的一个。
步骤S5，接收到响应报文的子处理单元判断是否对所述响应报文进行处理，如果是则对所述响应报文进行处理；如果不是则转发所述响应报文至该处理所述响应报文的子处理单元。
进一步地，步骤S5中，子处理单元判断是否对所述响应报文进行处理，如果是则对所述响应报文进行处理；如果不是则转发所述响应报文至该处理所述响应报文的子处理单元包括：
步骤S501，如果接收到响应报文的是第一子处理单元并且与响应报文对应的所述报文是由所述第一子处理单元进行处理的，则由所述第一子处理单元对所述响应报文进行处理。
步骤S502，如果接收到响应报文的是第二子处理单元并且与响应报文对应的所述报文是由所述第二子处理单元进行处理的，则由所述第二子处理单元对所述响应报文进行处理。
步骤S503，如果接收到响应报文的是第三子处理单元，则所述第三子处理单元在本地查找与所述响应报文对应的寻回连接，如果查找到对应的寻回连接，将所述响应报文转发至寻回连接对应的子处理单元；如果没有查找到寻回连接，对所述响应报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并根据所述哈希值将所述响应报文转发至处理范围包含所述哈希值的子处理单元。
步骤S504，所述子处理单元如果也是对与所述响应报文对应的报文进行处理的子处理单元，则所述子处理单元对所述响应报文进行处理，否则，所述子处理单元查找与所述响应报文对应的寻回连接，并根据寻回连接将所述响应报文发送至对应的子处理单元。
本发明通过建立逻辑哈希桶模型，采用五元组哈希能够实现流量的二次均衡分发，通过逻辑哈希桶与实际防火墙的关系来决定报文由哪台设备处理，通过自寻回技术保证一条连接只在一台防火墙上，这样保证了业务的正常处理，增加了整个系统的并发处理能力和业务的快速处理。在根本上解决了单台防火墙的性能问题，对防火墙的吞吐、新建会话、并发连接、NAT连接进行性能扩展，增强整个系统的扩展性。
附图说明
图1是本发明的一种多设备自助协同处理报文系统的结构示意图；
图2是本发明的逻辑哈希桶的示意图；
图3是本发明的一种多设备自助协同处理报文方法的流程示意图；
图4是本发明的一种多设备自助协同处理报文方法的第一子流程示意图；
图5是本发明的一种多设备自助协同处理报文方法的第二子流程示意图；
图6是本发明的实施例的处理流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。
本发明提供一种多设备自助协同处理报文的系统及方法，能够在不增加负载均衡器的前提下，实现负载的自动均衡，从根本上解决了系统处理报文的性能瓶颈和系统扩展性差的问题。
如图1，图2所示，一种多设备自助协同处理报文的系统，包括：
分流单元4，用于将报文分发至处理单元；
处理单元，包括多个用于处理报文的子处理单元；
分流单元4将报文分发至多个子处理单元中的一个。
接收到报文的第一子处理单元1在本地查找与所述报文对应的寻回连接，如果查找到对应的寻回连接，将所述报文转发至寻回连接对应的子处理单元；如果没有查找到寻回连接，对报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并判断所述哈希值是否在所述第一子处理单元1的处理范围内，如果是，则所述第一子处理单元1为所述报文创建连接表并对所述报文进行处理；如果不是，则所述第一子处理单元1将所述报文转发至处理范围包含所述哈希值的第二子处理单元2。
其中，所述五元组信息包括：所述报文的源IP地址，源端口号，目的IP地址，目的端口号和协议类型。
所述处理范围是子处理单元的实际处理连接(即五元组连接表)的哈希桶的大小。
所述子处理单元包括与处理单元中所有子处理单元的处理范围对应的逻辑哈希桶，逻辑哈希桶的大小为所有子处理单元的所述实际处理连接的哈希桶的大小的总和。
第一子处理单元1对应的实际处理连接的哈希桶的大小为1’。
第二子处理单元2对应的实际处理连接的哈希桶的大小为2’。
第三子处理单元3对应的实际处理连接的哈希桶的大小为3’。
则逻辑哈希桶的大小为所有子处理单元的实际处理连接的哈希桶的大小的总和，即1’+2’+3’。
进一步地，所述第一子处理单元1将所述报文转发至处理范围包含所述哈希值的第二子处理单元2包括：
所述第一子处理单元1根据所述五元组信息对应的哈希值在逻辑哈希桶中的位置，确定与所述报文对应的第二子处理单元2。
如果所述哈希值在逻辑哈希桶中2’的范围内，则确定与所述报文对应的是第二子处理单元2。
第一子处理单元1转发所述报文至所述第二子处理单元2。
当所述第二子处理单元2接收到所述第一子处理单元1转发的所述报文时，所述第二子处理单元2对所述报文进行处理。
进一步地，当所述报文是由所述第一子处理单元1进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第一子处理单元1的处理范围内时，所述第一子处理单元1将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元。
当所述报文是由所述第二子处理单元2进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第二子处理单元2的处理范围内时，所述第二子处理单元2将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元。
其中，所述寻回连接包括所述报文的五元组信息和对所述报文进行处理的子处理单元的设备ID。
因为网络地址转换(NAT，Network Address Translation)等原因，所述报文的五元组信息(即正向五元组)的哈希值和所述响应报文的五元组信息(即反向五元组)的哈希值可能不在同一个子处理单元的处理范围内。因此需要通过寻回连接来将所述响应报文转发至与处理所述报文相同的子处理单元上。
进一步地，当所述分流单元接收到所述报文的响应报文时，分流单元将响应报文分发至多个子处理单元中的一个。
如果接收到响应报文的是第一子处理单元1并且与响应报文对应的所述报文是由所述第一子处理单元1进行处理的，则由所述第一子处理单元1对所述响应报文进行处理。
如果接收到响应报文的是第二子处理单元2并且与响应报文对应的所述报文是由所述第二子处理单元2进行处理的，则由所述第二子处理单元2对所述响应报文进行处理。
如果接收到响应报文的是第三子处理单元3，则所述第三子处理单元3在本地查找与所述响应报文对应的寻回连接，如果查找到对应的寻回连接，将所述响应报文转发至寻回连接对应的子处理单元；
如果没有查找到寻回连接，对所述响应报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并根据所述哈希值将所述响应报文转发至处理范围包含所述哈希值的子处理单元，该子处理单元如果是对与所述响应报文对应的报文进行处理的子处理单元，则该子处理单元对所述响应报文进行处理，否则，该子处理单元查找与所述响应报文对应的寻回连接，并根据寻回连接将所述响应报文发送至对应的子处理单元。
在一个实施例中，所述系统包括两个分流单元4，分别用来对所述报文和所述响应报文进行分流，所述分流单元4是分流设备，例如：防火墙设备，交换机，路由器等一种或多种(至少一种)；所述子处理单元例如：防火墙设备；所述子处理设备之间可以进行内部数据交换，例如：处理设备之间通过交换机5进行内部数据交换。
另外，还本发明还提供了一种对应系统的方法。如图3至图5所示，一种多设备自助协同处理报文的方法，包括：
步骤S1，将报文分发至多个子处理单元中的一个。
步骤S2，接收到报文的第一子处理单元在本地查找与所述报文对应的寻回连接，如果查找到对应的寻回连接，将所述报文转发至寻回连接对应的子处理单元；如果没有查找到寻回连接，对报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并判断所述哈希值是否在所述第一子处理单元的处理范围内，如果是，则所述第一子处理单元为所述报文创建连接表并对所述报文进行处理；如果不是，则所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元。
步骤S3，当所述报文是由所述第一子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第一子处理单元的处理范围内时，所述第一子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元；当所述报文是由所述第二子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第二子处理单元的处理范围内时，所述第二子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元。
步骤S4，将响应报文分发至多个子处理单元中的一个。
步骤S5，接收到响应报文的子处理单元判断是否对所述响应报文进行处理，如果是则对所述响应报文进行处理；如果不是则转发所述响应报文至处理所述响应报文的子处理单元。
其中，所述五元组信息包括：所述报文的源IP地址，源端口号，目的IP地址，目的端口号和协议类型。
所述处理范围是子处理单元的实际处理连接的哈希桶的大小。
所述子处理单元包括与处理单元中所有子处理单元的处理范围对应的逻辑哈希桶，逻辑哈希桶的大小为所有子处理单元的所述实际处理连接的哈希桶的大小的总和。
所述寻回连接包括所述报文的五元组信息和对所述报文进行处理的子处理单元的设备ID。
因为NAT等原因，所述报文的五元组信息的哈希值和所述响应报文的五元组信息(即反向五元组)的哈希值可能不在同一个子处理单元的处理范围内。因此需要通过寻回连接来将所述响应报文转发至与处理所述报文相同的子处理单元上。
进一步地，步骤S2中，所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元包括：
步骤S201，所述第一子处理单元根据所述五元组信息对应的哈希值在逻辑哈希桶中的位置，确定与所述报文对应的第二子处理单元。
步骤S202，第一子处理单元转发所述报文至所述第二子处理单元。
步骤S203，第二子处理单元对所述报文进行处理。
进一步地，步骤S5中，子处理单元判断是否对所述响应报文进行处理，如果是则对所述响应报文进行处理；如果不是则转发所述响应报文至处理所述响应报文的子处理单元包括：
步骤S501，如果接收到响应报文的是第一子处理单元并且与响应报文对应的所述报文是由所述第一子处理单元进行处理的，则由所述第一子处理单元对所述响应报文进行处理。
步骤S502，如果接收到响应报文的是第二子处理单元并且与响应报文对应的所述报文是由所述第二子处理单元进行处理的，则由所述第二子处理单元对所述响应报文进行处理。
步骤S503，如果接收到响应报文的是第三子处理单元，则所述第三子处理单元在本地查找与所述响应报文对应的寻回连接，如果查找到对应的寻回连接，将所述响应报文转发至寻回连接对应的子处理单元；如果没有查找到寻回连接，对所述响应报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并根据所述哈希值将所述响应报文转发至处理范围包含所述哈希值的子处理单元。
步骤S504，所述子处理单元如果也是对与所述响应报文对应的报文进行处理的子处理单元，则所述子处理单元对所述响应报文进行处理，否则，所述子处理单元查找与所述响应报文对应的寻回连接，并根据寻回连接将所述响应报文发送至对应的子处理单元。
其中，步骤S501、步骤S502,步骤S503与步骤S504并无必然的先后顺序，其是由不同条件触发。
在一个实施例中，如图6，是本发明的实施例的处理流程示意图。其表现的P1(个人电脑1)与P2(个人电脑2)之间的报文交互流程如下：
601，P1向P2发送request报文。
602，经过分流设备E，将报文分发到防火墙A上。
603，防火墙A对request报文的五元组信息进行哈希，获得哈希值，并判断哈希值是否在防火墙A的处理范围内，如果是，在防火墙A上新建连接表，处理完后，将该报文转发至分流设备F。
604，如果不是，防火墙A确定该哈希值是在防火墙C的处理范围内，防火墙A将此报文直接转发给防火墙C，让防火墙C进行处理。
605，防火墙C对request报文处理完后转发至分流设备F。
606，分流设备F将request报文发送至P2。
607，P2回复response报文至分流设备F。
608，分流设备F将response报文分发到防火墙A上，防火墙A查找有没有对应的request报文连接。
609，如果有对应的request报文连接，防火墙A对response报文进行处理，处理完后转发至分流设备E。
610，如果没有对应的request报文连接，防火墙A对response报文的五元组信息进行哈希，获得哈希值，并确定该哈希值是在防火墙C的处理范围内，防火墙A将此报文直接转发给防火墙C，让C进行处理。
611，防火墙C收到response报文并在防火墙C上查找到对应的request报文连接，防火墙C对response报文进行处理，处理完后转发至分流设备E。
612，分流设备F将response报文分发到防火墙B上，防火墙B没有查找到对应的request报文连接，防火墙B对response报文的五元组信息进行哈希，获得哈希值，并确定该哈希值是在防火墙A还是防火墙C的处理范围内。
613，如果是防火墙A，则防火墙B将此报文直接转发给防火墙A，让防火墙A进行处理。
614，如果是防火墙C，则防火墙B将此报文直接转发给防火墙C，让防火墙C进行处理。
615，分流设备E将response报文发送给P1。
其中，步骤608与步骤612并无必然的先后顺序。
本发明通过建立逻辑哈希桶模型，采用五元组哈希能够实现流量的二次均衡分发，通过逻辑哈希桶与实际防火墙的关系来决定报文由哪台设备处理，通过自寻回技术保证一条连接只在一台防火墙上，这样保证了业务的正常处理，增加了整个系统的并发处理能力和业务的快速处理。在根本上解决了单台防火墙的性能问题，对防火墙的吞吐、新建会话、并发连接、 NAT连接进行性能扩展，增强整个系统的扩展性。
应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

资源描述

《一种多设备自助协同处理报文的系统及方法.pdf》由会员分享，可在线阅读，更多相关《一种多设备自助协同处理报文的系统及方法.pdf（16页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104135481A43申请公布日20141105CN104135481A21申请号201410382785322申请日20140806H04L29/06200601H04L12/80320130171申请人汉柏科技有限公司地址300384天津市西青区华苑产业区海泰西18号西3楼104室72发明人杨蒙74专利代理机构北京天奇智新知识产权代理有限公司11340代理人谢磊54发明名称一种多设备自助协同处理报文的系统及方法57摘要本发明公开了一种多设备自助协同处理报文的系统及方法，该系统包括分流单元，用于将报文分发至处理单元；处理单元，包括多个用于处理报文的子处理单元；分流单元将报。

2、文分发至多个子处理单元中的一个。接收到报文的第一子处理单元对报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并判断所述哈希值是否在所述第一子处理单元的处理范围内，如果是，则所述第一子处理单元为所述报文创建连接表并对所述报文进行处理；如果不是，则所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元，能够在不增加负载均衡器的前提下，实现负载的自动均衡，从而解决了系统处理报文的性能瓶颈和系统扩展性差的问题。51INTCL权利要求书2页说明书8页附图5页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书8页附图5页10申请公布号CN104135481AC。

3、N104135481A1/2页21一种多设备自助协同处理报文的系统，其特征在于，包括分流单元，用于将报文分发至处理单元；处理单元，包括多个用于处理报文的子处理单元；分流单元将报文分发至多个子处理单元中的一个；接收到报文的第一子处理单元在本地查找与所述报文对应的寻回连接，如果查找到对应的寻回连接，将所述报文转发至寻回连接对应的子处理单元；如果没有查找到寻回连接，对所述报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并判断所述哈希值是否在所述第一子处理单元的处理范围内，如果是，则所述第一子处理单元为所述报文创建连接表并对所述报文进行处理；如果不是，则所述第一子处理单元将所述报文转发至处理。

4、范围包含所述哈希值的第二子处理单元。2根据权利要求1所述的系统，其特征在于，所述五元组信息包括所述报文的源IP地址，源端口号，目的IP地址，目的端口号和协议类型。3根据权利要求2所述的系统，其特征在于，所述处理范围是子处理单元的实际处理连接的哈希桶的大小。4根据权利要求3所述的系统，其特征在于，所述子处理单元包括与处理单元中所有子处理单元的处理范围对应的逻辑哈希桶，逻辑哈希桶的大小为所有子处理单元的所述实际处理连接的哈希桶的大小的总和。5根据权利要求4所述的系统，其特征在于，所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元包括所述第一子处理单元根据所述五元组信息对应的哈。

5、希值在逻辑哈希桶中的位置，确定与所述报文对应的第二子处理单元；第一子处理单元转发所述报文至所述第二子处理单元。6根据权利要求5所述的系统，其特征在于，当所述第二子处理单元接收到所述第一子处理单元转发的所述报文时，所述第二子处理单元对所述报文进行处理。7根据权利要求6所述的系统，其特征在于，当所述报文是由所述第一子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第一子处理单元的处理范围内时，所述第一子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元；当所述报文是由所述第二子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值。

6、不在所述第二子处理单元的处理范围内时，所述第二子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元。8根据权利要求7所述的系统，其特征在于，所述寻回连接包括所述报文的五元组信息和对所述报文进行处理的子处理单元的设备ID。9根据权利要求8所述的系统，其特征在于，当所述分流单元接收到所述报文的响应报文时，分流单元将响应报文分发至多个子处理单元中的一个；如果接收到响应报文的是第一子处理单元并且与响应报文对应的所述报文是由所述第一子处理单元进行处理的，则由所述第一子处理单元对所述响应报文进行处理；如果接收到响应报文的是第二子处理单元并且与响应报文对应的所述报文是由所述第二。

7、子处理单元进行处理的，则由所述第二子处理单元对所述响应报文进行处理；权利要求书CN104135481A2/2页3如果接收到响应报文的是第三子处理单元，则所述第三子处理单元在本地查找与所述响应报文对应的寻回连接，如果查找到对应的寻回连接，将所述响应报文转发至寻回连接对应的子处理单元；如果没有查找到寻回连接，对所述响应报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并根据所述哈希值将所述响应报文转发至处理范围包含所述哈希值的子处理单元，该子处理单元如果是对与所述响应报文对应的报文进行处理的子处理单元，则该子处理单元对所述响应报文进行处理，否则，该子处理单元查找与所述响应报文对应的寻回连接。

8、，并根据寻回连接将所述响应报文发送至对应的子处理单元。10一种根据权利要求1至9任意一项所述系统的多设备自助系统处理报文的方法，其特征在于，包括步骤步骤S1，将报文分发至多个子处理单元中的一个；步骤S2，接收到报文的第一子处理单元在本地查找与所述报文对应的寻回连接，如果查找到对应的寻回连接，将所述报文转发至寻回连接对应的子处理单元；如果没有查找到寻回连接，对报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并判断所述哈希值是否在所述第一子处理单元的处理范围内，如果是，则所述第一子处理单元为所述报文创建连接表并对所述报文进行处理；如果不是，则所述第一子处理单元将所述报文转发至处理范围包含。

9、所述哈希值的第二子处理单元；步骤S3，当所述报文是由所述第一子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第一子处理单元的处理范围内时，所述第一子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元；当所述报文是由所述第二子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第二子处理单元的处理范围内时，所述第二子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元；步骤S4，将响应报文分发至多个子处理单元中的一个；步骤S5，接收到响应报文的子处理单元判断是否对所述响应报文进行处理，如果。

10、是则对所述响应报文进行处理；如果不是则转发所述响应报文至处理所述响应报文的子处理单元。权利要求书CN104135481A1/8页4一种多设备自助协同处理报文的系统及方法技术领域0001本发明涉及负载均衡领域，尤其涉及一种多设备自助协同处理报文的系统及方法。背景技术0002现有技术中通常采用专用的负载均衡设备来将报文均衡地分发到多台防火墙上，使多台防火墙能够同时工作，以提高整个系统的性能。但是因为加入了额外的负载均衡器，增加了额外的设备管理负担，同时一旦负载均衡器发生故障，将导致整个系统无法正常工作，而且随着防火墙性能的提升，负载均衡器就成为了性能瓶颈，无法起到性能扩展的作用。发明内容0003本。

11、发明鉴于上述情况而作出，其目的是提供一种多设备自助协同处理报文的系统及方法，能够在不增加负载均衡器的前提下，实现负载的自动均衡，从根本上解决了系统处理报文的性能瓶颈和系统扩展性差的问题。0004根据本发明的一个方面，提供一种多设备自助协同处理报文的系统，包括0005分流单元，用于将报文分发至处理单元；0006处理单元，包括多个用于处理报文的子处理单元；0007分流单元将报文分发至多个子处理单元中的一个。0008接收到报文的第一子处理单元在本地查找与所述报文对应的寻回连接，如果查找到对应的寻回连接，将所述报文转发至寻回连接对应的子处理单元；0009如果没有查找到寻回连接，对报文的五元组信息进行哈。

12、希，得到所述五元组信息对应的哈希值，并判断所述哈希值是否在所述第一子处理单元的处理范围内，如果是，则所述第一子处理单元为所述报文创建连接表并对所述报文进行处理；如果不是，则所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元。0010其中，所述五元组信息包括所述报文的源IP地址，源端口号，目的IP地址，目的端口号和协议类型。0011所述处理范围是子处理单元的实际处理连接的哈希桶的大小。0012所述子处理单元包括与处理单元中所有子处理单元的处理范围对应的逻辑哈希桶，逻辑哈希桶的大小为所有子处理单元的所述实际处理连接的哈希桶的大小的总和。0013进一步地，所述第一子处理单元将所。

13、述报文转发至处理范围包含所述哈希值的第二子处理单元包括0014所述第一子处理单元根据所述五元组信息对应的哈希值在逻辑哈希桶中的位置，确定与所述报文对应的第二子处理单元。0015第一子处理单元转发所述报文至所述第二子处理单元。0016当所述第二子处理单元接收到所述第一子处理单元转发的所述报文时，所述第二说明书CN104135481A2/8页5子处理单元对所述报文进行处理。0017进一步地，当所述报文是由所述第一子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第一子处理单元的处理范围内时，所述第一子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子。

14、处理单元。0018当所述报文是由所述第二子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第二子处理单元的处理范围内时，所述第二子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元。0019其中，所述寻回连接包括所述报文的五元组信息和对所述报文进行处理的子处理单元的设备ID。0020进一步地，当所述分流单元接收到所述报文的响应报文时，分流单元将响应报文分发至多个子处理单元中的一个。0021如果接收到响应报文的是第一子处理单元并且与响应报文对应的所述报文是由所述第一子处理单元进行处理的，则由所述第一子处理单元对所述响应报文进行处理。0022。

15、如果接收到响应报文的是第二子处理单元并且与响应报文对应的所述报文是由所述第二子处理单元进行处理的，则由所述第二子处理单元对所述响应报文进行处理。0023如果接收到响应报文的是第三子处理单元，则所述第三子处理单元在本地查找与所述响应报文对应的寻回连接，如果查找到对应的寻回连接，将所述响应报文转发至寻回连接对应的子处理单元；0024如果没有查找到寻回连接，对所述响应报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并根据所述哈希值将所述响应报文转发至处理范围包含所述哈希值的子处理单元，所述子处理单元如果也是对与所述响应报文对应的报文进行处理的子处理单元，则所述子处理单元对所述响应报文进行处。

16、理，否则，所述子处理单元查找与所述响应报文对应的寻回连接，并根据寻回连接将所述响应报文发送至对应的子处理单元。0025作为优选，所述系统包括两个分流单元，分别用来对所述报文和所述响应报文进行分流，所述分流单元是分流设备，防火墙，交换机，路由器中的至少一种；所述子处理单元是防火墙，所述子处理设备之间通过交换机进行内部数据交换。0026每个子处理单元分别与两个分流单元和所述交换机通过接口进行连接。0027根据本发明的另一方面，提供一种多设备自助协同处理报文的方法，包括步骤0028步骤S1，将报文分发至多个子处理单元中的一个。0029步骤S2，接收到报文的第一子处理单元在本地查找与所述报文对应的寻回。

17、连接，如果查找到对应的寻回连接，将所述报文转发至寻回连接对应的子处理单元；如果没有查找到寻回连接，对报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并判断所述哈希值是否在所述第一子处理单元的处理范围内，如果是，则所述第一子处理单元为所述报文创建连接表并对所述报文进行处理；如果不是，则所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元。0030其中，所述五元组信息包括所述报文的源IP地址，源端口号，目的IP地址，目的端口号和协议类型。0031所述处理范围是子处理单元的实际处理连接的哈希桶的大小。说明书CN104135481A3/8页60032所述子处理单元包括与处。

18、理单元中所有子处理单元的处理范围对应的逻辑哈希桶，逻辑哈希桶的大小为所有子处理单元的所述实际处理连接的哈希桶的大小的总和。0033进一步地，步骤S2中，所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元包括0034步骤S201，所述第一子处理单元根据所述五元组信息对应的哈希值在逻辑哈希桶中的位置，确定与所述报文对应的第二子处理单元。0035步骤S202，第一子处理单元转发所述报文至所述第二子处理单元。0036步骤S203，第二子处理单元对所述报文进行处理。0037进一步地，步骤S2之后还包括0038步骤S3，当所述报文是由所述第一子处理单元进行处理的，并且所述报文对应的响。

19、应报文的五元组信息的哈希值不在所述第一子处理单元的处理范围内时，所述第一子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元；当所述报文是由所述第二子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第二子处理单元的处理范围内时，所述第二子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元。0039其中，所述寻回连接包括所述报文的五元组信息和对所述报文进行处理的子处理单元的设备ID。0040进一步地，步骤S3之后，还包括0041步骤S4，将响应报文分发至多个子处理单元中的一个。0042步骤S5，接收到响应报文的。

20、子处理单元判断是否对所述响应报文进行处理，如果是则对所述响应报文进行处理；如果不是则转发所述响应报文至该处理所述响应报文的子处理单元。0043进一步地，步骤S5中，子处理单元判断是否对所述响应报文进行处理，如果是则对所述响应报文进行处理；如果不是则转发所述响应报文至该处理所述响应报文的子处理单元包括0044步骤S501，如果接收到响应报文的是第一子处理单元并且与响应报文对应的所述报文是由所述第一子处理单元进行处理的，则由所述第一子处理单元对所述响应报文进行处理。0045步骤S502，如果接收到响应报文的是第二子处理单元并且与响应报文对应的所述报文是由所述第二子处理单元进行处理的，则由所述第二子。

21、处理单元对所述响应报文进行处理。0046步骤S503，如果接收到响应报文的是第三子处理单元，则所述第三子处理单元在本地查找与所述响应报文对应的寻回连接，如果查找到对应的寻回连接，将所述响应报文转发至寻回连接对应的子处理单元；如果没有查找到寻回连接，对所述响应报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并根据所述哈希值将所述响应报文转发至处理范围包含所述哈希值的子处理单元。0047步骤S504，所述子处理单元如果也是对与所述响应报文对应的报文进行处理的子处理单元，则所述子处理单元对所述响应报文进行处理，否则，所述子处理单元查找与所述响应报文对应的寻回连接，并根据寻回连接将所述响应报。

22、文发送至对应的子处理单元。说明书CN104135481A4/8页70048本发明通过建立逻辑哈希桶模型，采用五元组哈希能够实现流量的二次均衡分发，通过逻辑哈希桶与实际防火墙的关系来决定报文由哪台设备处理，通过自寻回技术保证一条连接只在一台防火墙上，这样保证了业务的正常处理，增加了整个系统的并发处理能力和业务的快速处理。在根本上解决了单台防火墙的性能问题，对防火墙的吞吐、新建会话、并发连接、NAT连接进行性能扩展，增强整个系统的扩展性。附图说明0049图1是本发明的一种多设备自助协同处理报文系统的结构示意图；0050图2是本发明的逻辑哈希桶的示意图；0051图3是本发明的一种多设备自助协同处理报。

23、文方法的流程示意图；0052图4是本发明的一种多设备自助协同处理报文方法的第一子流程示意图；0053图5是本发明的一种多设备自助协同处理报文方法的第二子流程示意图；0054图6是本发明的实施例的处理流程示意图。具体实施方式0055为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。0056本发明提供一种多设备自助协同处理报文的系统及方法，能够在不增加负载均衡器的前提下，实现负载的自动均衡，从根本上解决了系统。

24、处理报文的性能瓶颈和系统扩展性差的问题。0057如图1，图2所示，一种多设备自助协同处理报文的系统，包括0058分流单元4，用于将报文分发至处理单元；0059处理单元，包括多个用于处理报文的子处理单元；0060分流单元4将报文分发至多个子处理单元中的一个。0061接收到报文的第一子处理单元1在本地查找与所述报文对应的寻回连接，如果查找到对应的寻回连接，将所述报文转发至寻回连接对应的子处理单元；如果没有查找到寻回连接，对报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并判断所述哈希值是否在所述第一子处理单元1的处理范围内，如果是，则所述第一子处理单元1为所述报文创建连接表并对所述报文进。

25、行处理；如果不是，则所述第一子处理单元1将所述报文转发至处理范围包含所述哈希值的第二子处理单元2。0062其中，所述五元组信息包括所述报文的源IP地址，源端口号，目的IP地址，目的端口号和协议类型。0063所述处理范围是子处理单元的实际处理连接即五元组连接表的哈希桶的大小。0064所述子处理单元包括与处理单元中所有子处理单元的处理范围对应的逻辑哈希桶，逻辑哈希桶的大小为所有子处理单元的所述实际处理连接的哈希桶的大小的总和。0065第一子处理单元1对应的实际处理连接的哈希桶的大小为1。说明书CN104135481A5/8页80066第二子处理单元2对应的实际处理连接的哈希桶的大小为2。0067第。

26、三子处理单元3对应的实际处理连接的哈希桶的大小为3。0068则逻辑哈希桶的大小为所有子处理单元的实际处理连接的哈希桶的大小的总和，即123。0069进一步地，所述第一子处理单元1将所述报文转发至处理范围包含所述哈希值的第二子处理单元2包括0070所述第一子处理单元1根据所述五元组信息对应的哈希值在逻辑哈希桶中的位置，确定与所述报文对应的第二子处理单元2。0071如果所述哈希值在逻辑哈希桶中2的范围内，则确定与所述报文对应的是第二子处理单元2。0072第一子处理单元1转发所述报文至所述第二子处理单元2。0073当所述第二子处理单元2接收到所述第一子处理单元1转发的所述报文时，所述第二子处理单元2。

27、对所述报文进行处理。0074进一步地，当所述报文是由所述第一子处理单元1进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第一子处理单元1的处理范围内时，所述第一子处理单元1将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元。0075当所述报文是由所述第二子处理单元2进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第二子处理单元2的处理范围内时，所述第二子处理单元2将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元。0076其中，所述寻回连接包括所述报文的五元组信息和对所述报文进行处理的子处理单元的设备ID。0077。

28、因为网络地址转换NAT，NETWORKADDRESSTRANSLATION等原因，所述报文的五元组信息即正向五元组的哈希值和所述响应报文的五元组信息即反向五元组的哈希值可能不在同一个子处理单元的处理范围内。因此需要通过寻回连接来将所述响应报文转发至与处理所述报文相同的子处理单元上。0078进一步地，当所述分流单元接收到所述报文的响应报文时，分流单元将响应报文分发至多个子处理单元中的一个。0079如果接收到响应报文的是第一子处理单元1并且与响应报文对应的所述报文是由所述第一子处理单元1进行处理的，则由所述第一子处理单元1对所述响应报文进行处理。0080如果接收到响应报文的是第二子处理单元2并且与。

29、响应报文对应的所述报文是由所述第二子处理单元2进行处理的，则由所述第二子处理单元2对所述响应报文进行处理。0081如果接收到响应报文的是第三子处理单元3，则所述第三子处理单元3在本地查找与所述响应报文对应的寻回连接，如果查找到对应的寻回连接，将所述响应报文转发至寻回连接对应的子处理单元；0082如果没有查找到寻回连接，对所述响应报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并根据所述哈希值将所述响应报文转发至处理范围包含所述哈希说明书CN104135481A6/8页9值的子处理单元，该子处理单元如果是对与所述响应报文对应的报文进行处理的子处理单元，则该子处理单元对所述响应报文进行处。

30、理，否则，该子处理单元查找与所述响应报文对应的寻回连接，并根据寻回连接将所述响应报文发送至对应的子处理单元。0083在一个实施例中，所述系统包括两个分流单元4，分别用来对所述报文和所述响应报文进行分流，所述分流单元4是分流设备，例如防火墙设备，交换机，路由器等一种或多种至少一种；所述子处理单元例如防火墙设备；所述子处理设备之间可以进行内部数据交换，例如处理设备之间通过交换机5进行内部数据交换。0084另外，还本发明还提供了一种对应系统的方法。如图3至图5所示，一种多设备自助协同处理报文的方法，包括0085步骤S1，将报文分发至多个子处理单元中的一个。0086步骤S2，接收到报文的第一子处理单元。

31、在本地查找与所述报文对应的寻回连接，如果查找到对应的寻回连接，将所述报文转发至寻回连接对应的子处理单元；如果没有查找到寻回连接，对报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并判断所述哈希值是否在所述第一子处理单元的处理范围内，如果是，则所述第一子处理单元为所述报文创建连接表并对所述报文进行处理；如果不是，则所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元。0087步骤S3，当所述报文是由所述第一子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第一子处理单元的处理范围内时，所述第一子处理单元将寻回连接同步至处理范围包含所述响应报。

32、文的五元组信息的哈希值的子处理单元；当所述报文是由所述第二子处理单元进行处理的，并且所述报文对应的响应报文的五元组信息的哈希值不在所述第二子处理单元的处理范围内时，所述第二子处理单元将寻回连接同步至处理范围包含所述响应报文的五元组信息的哈希值的子处理单元。0088步骤S4，将响应报文分发至多个子处理单元中的一个。0089步骤S5，接收到响应报文的子处理单元判断是否对所述响应报文进行处理，如果是则对所述响应报文进行处理；如果不是则转发所述响应报文至处理所述响应报文的子处理单元。0090其中，所述五元组信息包括所述报文的源IP地址，源端口号，目的IP地址，目的端口号和协议类型。0091所述处理范围。

33、是子处理单元的实际处理连接的哈希桶的大小。0092所述子处理单元包括与处理单元中所有子处理单元的处理范围对应的逻辑哈希桶，逻辑哈希桶的大小为所有子处理单元的所述实际处理连接的哈希桶的大小的总和。0093所述寻回连接包括所述报文的五元组信息和对所述报文进行处理的子处理单元的设备ID。0094因为NAT等原因，所述报文的五元组信息的哈希值和所述响应报文的五元组信息即反向五元组的哈希值可能不在同一个子处理单元的处理范围内。因此需要通过寻回连接来将所述响应报文转发至与处理所述报文相同的子处理单元上。0095进一步地，步骤S2中，所述第一子处理单元将所述报文转发至处理范围包含所述哈希值的第二子处理单元包。

34、括0096步骤S201，所述第一子处理单元根据所述五元组信息对应的哈希值在逻辑哈希桶说明书CN104135481A7/8页10中的位置，确定与所述报文对应的第二子处理单元。0097步骤S202，第一子处理单元转发所述报文至所述第二子处理单元。0098步骤S203，第二子处理单元对所述报文进行处理。0099进一步地，步骤S5中，子处理单元判断是否对所述响应报文进行处理，如果是则对所述响应报文进行处理；如果不是则转发所述响应报文至处理所述响应报文的子处理单元包括0100步骤S501，如果接收到响应报文的是第一子处理单元并且与响应报文对应的所述报文是由所述第一子处理单元进行处理的，则由所述第一子处理。

35、单元对所述响应报文进行处理。0101步骤S502，如果接收到响应报文的是第二子处理单元并且与响应报文对应的所述报文是由所述第二子处理单元进行处理的，则由所述第二子处理单元对所述响应报文进行处理。0102步骤S503，如果接收到响应报文的是第三子处理单元，则所述第三子处理单元在本地查找与所述响应报文对应的寻回连接，如果查找到对应的寻回连接，将所述响应报文转发至寻回连接对应的子处理单元；如果没有查找到寻回连接，对所述响应报文的五元组信息进行哈希，得到所述五元组信息对应的哈希值，并根据所述哈希值将所述响应报文转发至处理范围包含所述哈希值的子处理单元。0103步骤S504，所述子处理单元如果也是对与所。

36、述响应报文对应的报文进行处理的子处理单元，则所述子处理单元对所述响应报文进行处理，否则，所述子处理单元查找与所述响应报文对应的寻回连接，并根据寻回连接将所述响应报文发送至对应的子处理单元。0104其中，步骤S501、步骤S502,步骤S503与步骤S504并无必然的先后顺序，其是由不同条件触发。0105在一个实施例中，如图6，是本发明的实施例的处理流程示意图。其表现的P1个人电脑1与P2个人电脑2之间的报文交互流程如下0106601，P1向P2发送REQUEST报文。0107602，经过分流设备E，将报文分发到防火墙A上。0108603，防火墙A对REQUEST报文的五元组信息进行哈希，获得哈。

37、希值，并判断哈希值是否在防火墙A的处理范围内，如果是，在防火墙A上新建连接表，处理完后，将该报文转发至分流设备F。0109604，如果不是，防火墙A确定该哈希值是在防火墙C的处理范围内，防火墙A将此报文直接转发给防火墙C，让防火墙C进行处理。0110605，防火墙C对REQUEST报文处理完后转发至分流设备F。0111606，分流设备F将REQUEST报文发送至P2。0112607，P2回复RESPONSE报文至分流设备F。0113608，分流设备F将RESPONSE报文分发到防火墙A上，防火墙A查找有没有对应的REQUEST报文连接。0114609，如果有对应的REQUEST报文连接，防火墙。

38、A对RESPONSE报文进行处理，处理完后转发至分流设备E。0115610，如果没有对应的REQUEST报文连接，防火墙A对RESPONSE报文的五元组信息说明书CN104135481A108/8页11进行哈希，获得哈希值，并确定该哈希值是在防火墙C的处理范围内，防火墙A将此报文直接转发给防火墙C，让C进行处理。0116611，防火墙C收到RESPONSE报文并在防火墙C上查找到对应的REQUEST报文连接，防火墙C对RESPONSE报文进行处理，处理完后转发至分流设备E。0117612，分流设备F将RESPONSE报文分发到防火墙B上，防火墙B没有查找到对应的REQUEST报文连接，防火墙B。

39、对RESPONSE报文的五元组信息进行哈希，获得哈希值，并确定该哈希值是在防火墙A还是防火墙C的处理范围内。0118613，如果是防火墙A，则防火墙B将此报文直接转发给防火墙A，让防火墙A进行处理。0119614，如果是防火墙C，则防火墙B将此报文直接转发给防火墙C，让防火墙C进行处理。0120615，分流设备E将RESPONSE报文发送给P1。0121其中，步骤608与步骤612并无必然的先后顺序。0122本发明通过建立逻辑哈希桶模型，采用五元组哈希能够实现流量的二次均衡分发，通过逻辑哈希桶与实际防火墙的关系来决定报文由哪台设备处理，通过自寻回技术保证一条连接只在一台防火墙上，这样保证了业务。

40、的正常处理，增加了整个系统的并发处理能力和业务的快速处理。在根本上解决了单台防火墙的性能问题，对防火墙的吞吐、新建会话、并发连接、NAT连接进行性能扩展，增强整个系统的扩展性。0123应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。说明书CN104135481A111/5页12图1说明书附图CN104135481A122/5页13图2说明书附图CN104135481A133/5页14图3说明书附图CN104135481A144/5页15图4图5说明书附图CN104135481A155/5页16图6说明书附图CN104135481A16。

展开阅读全文