技術領域

本發明涉及負載均衡技術，特別是涉及一種正向隔離裝置與隔離網關結合應用的鏈路狀態探測方法。

背景技術

正向隔離裝置：即正向型的電力專用網絡專用安全隔離裝置，是一種由帶有多種控制功能專用硬件，位于調度數據網絡與公用信息網絡之間的一個安全防護裝置，用于安全區I/II到安全區III的單向數據傳遞。

隔離網關：基于包括但不限定于路由器、交換機或服務器等實現的單向轉發并對其相連的兩個網絡進行隔離的網關。

負載均衡：是按照事先配置的負載均衡算法，將訪問同一個IP地址的用戶流量分配到不同的服務器上。它通過虛擬服務技術、服務器健康性檢查技術和逐流轉發技術將用戶的流量分攤到多臺等價的服務器上。這些技術對于訪問用戶角度看似乎訪問的是一臺服務器，而實際上是能通過一定的負載均衡算法分攤到不同的服務器上，間接的提高了服務器的處理能力，也間接的提高了服務器的穩定性和可擴展性。

現在大多數隔離網關都集成了負載均衡技術，但是其安全防護這塊一般只能做到IP層和常見應用層協議的安全檢查和控制，并不能做到對網絡間的“物理隔離”，因此在某些特殊安全要求較高的行業中，例如，電力系統專用網絡隔離裝置，普遍都是增加部署了安全正向隔離裝置以進行物理層隔離。

由于正向隔離裝置受限于其硬件環境和業務處理的特殊性，涉及到數據的倒換、隔離等功能，其對業務報文的轉發能力普遍偏低，所以需要把多臺正向隔離裝置設備堆疊起來以提高整體處理性能，通過正向隔離裝置堆疊之后，與隔離網關的負載均衡功能進行技術上的結合以達到互補效果。

如圖1所示，圖1為基于正向隔離裝置與隔離網關結合的應用組網示意圖，在正向隔離裝置情況下：

在網絡A、網絡B組網中，兩臺隔離網關A、隔離網關B之間的正向隔離裝置進行了集群堆疊處理，以彌補其對業務報文的轉發能力普遍偏低的不足，同時為了讓各個堆疊的正向隔離裝置分擔業務流量，在正向隔離裝置前后的兩臺隔離網關具備負載均衡功能，從而達到整體利用網絡集正向隔離裝置和隔離網關的優點，滿足高安全性和高帶寬業務需求。

目前，大部分的網絡設備都支持ICMP協議，隔離網關的負載均衡功能通過使用基于ICMP協議的周期性的健康性探測報文，并接收相應的ICMP請求回應的報文，來判斷真實服務器的健康狀態，將流量按配置好的策略分配到健康的服務器上。

然而，由于正向隔離裝置自身的安全性和實現的健壯性，當正向隔離裝置的通信鏈路出現擁塞時，探測的正向隔離裝置另一側因不能接收到ICMP健康性探測報文而無法做出響應，這樣隔離網關的負載均衡ICMP探測功能就無法啟作用。而且一般正向隔離裝置對ICMP協議的健康性探測報文具有攔截作用，例如，正向隔離裝置不會讓ICMP回應報文通過，所以也無法通過直接探測正向隔離裝置另一側設備接口來進行負載均衡設備的健康性檢查。

綜上所述，基于上述健康性探測機制的鏈路狀態探測技術，無法準確感知正向隔離裝置與對端服務器之間的鏈路狀態，一旦集群中的正向隔離裝置設備宕機，隔離網關無法獲知正向隔離裝置的存活狀態，仍然將業務報文轉發到宕機狀態的正向隔離裝置，從而導致業務中斷。

發明內容

基于此，有必要針對基于上述隔離網關無法獲知正向隔離裝置的存活狀態，仍然將業務報文轉發到宕機狀態的正向隔離裝置，導致業務中斷的問題，提供一種正向隔離裝置與隔離網關結合應用的鏈路狀態探測方法。

一種正向隔離裝置與隔離網關結合應用的鏈路狀態探測方法，包括如下步驟：

S100，在探測端隔離網關上配置服務器負載均衡組；其中，每一個所述服務器負載均衡組的虛IP對應于響應端隔離網關上的一個服務器；

S200，在各個正向隔離裝置上配置探測端隔離網關與響應端隔離網關之間的地址轉換關系；

S300，在響應端隔離網關上分別配置對應于每個服務器訪問的地址轉換策略，并配置訪問控制列表匹配一個設定格式的探測報文；

S400，基于TCP協議的私有健康性探測機制檢測各個鏈路的健康狀況；

具體檢測過程包括如下：

由探測端隔離網關根據所述虛IP發送基于TCP協議的探測報文，在正向隔離裝置上根據所述地址轉換關系對所述探測報文進行地址轉換，然后發送至所述響應端隔離網關；

在響應端隔離網關根據所述地址轉換策略將由各個正向隔離裝置輸入的探測報文的訪問地址進行匯聚，并轉換為響應端隔離網關上一服務器的源地址，并根據該源地址訪問所述虛IP對應的服務器；