基于网络双出口的报文传输方法和出口路由器

1.一种基于网络双出口的报文传输方法，其特征在于，该方法应用于包含两个出口路由器的数据中心网络，在两个出口路由器之间建立连接；该方法包括：
A、出口路由器接收到来自服务提供者ISP网络侧的请求报文后，将该请求报文的目的地址替换为数据中心网络中的服务器私网地址，并建立包含该请求报文的源地址和替换后目的地址的会话信息，发送该请求报文；
B、所述出口路由器接收到来自数据中心网络侧的报文后，判断自身是否已经建立包含该报文的源地址和目的地址的会话信息，如果是，则将该报文的源地址替换为该出口路由器的公网地址后转发给下一跳的ISP网关；否则，将该报文转发给与其连接的另一个出口路由器，由所述另一个出口路由器执行所述步骤B。
2.根据权利要求1所述的方法，其特征在于，在步骤B中所述判断之前还包括：接收到来自数据中心网络侧的报文的出口路由器根据该报文的目的地址查找路由表，判断是否查找到对应的路由，如果否，丢弃该报文；如果是，则判断查找到的路由是否存在两条等价的路由，且该两条等价的路由中的一条指向另一个出口路由器，另一条指向下一跳的ISP网关，如果是，则继续执行所述判断自身是否已经建立包含该报文的源地址和目的地址的会话信息的步骤，否则，按照出口路由器的现有处理方式处理所述报文。
3.根据权利要求2所述的方法，其特征在于，如果确定存在两条等价的路由，则进一步判断指向下一跳的ISP网关的路由所对应的端口是否使能了负载均衡特性，如果是，继续执行所述判断自身是否已经建立包含该报文的源地址和目的地址的会话信息，如果否，按照出口路由器的现有处理方式处理所述报文。
4.根据权利要求1所述的方法，其特征在于，步骤B中在所述将该报文转发给与其连接的另一个出口路由器之前还包括：判断该报文的源地址是否属于预设的数据中心网络内部客户端地址段，如果是，则确定该报文为数据中心网络内部客户端发送的请求报文，将该报文的源地址转换为接收到该报文的出口路由器的公网地址后，转发给下一跳ISP网关，结束流程；否则，确定该报文为响应报文，继续执行所述将该报文转发给与其连接的另一个出口路由器。
5.根据权利要求4所述的方法，其特征在于，在所述将该报文转发给与其连接的另一个出口路由器之前还包括：判断该报文中是否包含已处理标识，如果是，则丢弃该报文，结束流程；否则，在该报文中携带已处理标识后，执行所述将该报文转发给与其连接的另一个出口路由器。
6.一种出口路由器，其特征在于，应用于包含两个该出口路由器的数据中心网络，该出口路由器包括：第一报文收发单元、第一报文处理单元、会话信息存储单元、第二报文收发单元和第二报文处理单元；
所述第一报文收发单元，用于接收来自ISP网络侧的请求报文，将所述第二报文处理单元发送来的报文转发给下一跳的ISP网关；
所述第一报文处理单元，用于将所述第一报文收发单元接收到的请求报文的目的地址替换为数据中心网络的服务器私网地址，并建立包含该请求报文的源地址和替换后目的地址的会话信息；
所述会话信息存储单元，用于存储第一报文处理单元建立的会话信息；
所述第二报文收发单元，用于发送替换目的地址后的请求报文，接收来自数据中心网络侧的报文；将所述第二报文处理单元发送来的报文转发给与该出口路由器连接的另一个出口路由器；
所述第二报文处理单元，用于判断所述会话信息存储单元中是否已经存在包含所述第二报文收发单元接收到报文的源地址和目的地址的会话信息，如果是，则将该报文的源地址替换为该出口路由器的公网地址后发送给所述第一报文收发单元；否则，将该报文发送给第二报文收发单元。
7.根据权利要求6所述的出口路由器，其特征在于，所述第二报文处理单元包括：
第一判断子单元、报文丢弃子单元、第二判断子单元和报文处理子单元；
所述第一判断子单元，用于根据所述第二报文收发单元接收到的报文的目的地址查找路由表，判断是否查找到对应的路由，如果否，则将该报文发送给报文丢弃子单元；
如果是，则判断查找到的路由是否存在两条等价的路由，且该两条等价的路由中的一条指向另一个出口路由器，另一条指向下一跳的ISP网关，如果是，则将该报文发送给所述第二判断子单元；
所述报文丢弃子单元，用于丢弃接收到的报文；
所述第二判断子单元，用于接收到报文后，判断所述会话信息存储单元中是否已经存在包含该报文的源地址和目的地址的会话信息，如果是，则将该报文发送给报文处理子单元，否则，将该报文发送给第二报文收发单元；
所述报文处理子单元，用于接收到报文后，将该报文的源地址替换为该出口路由器的公网地址后发送给所述第一报文收发单元。
8.根据权利要求7所述的出口路由器，其特征在于，所述第二报文处理单元还包括：
第三判断子单元，设置在所述第一判断子单元和第二判断子单元之间，用于接收所述第一判断子单元发送给所述第二判断子单元的报文，判断所述两条等价的路由中指向下一跳的ISP网关的路由所对应的端口是否使能了负载均衡特性，如果是，则将该报文发送给所述第二判断子单元。
9.根据权利要求6所述的出口路由器，其特征在于，该出口路由器还包括：第三报文处理单元，设置在所述第二报文处理单元和第二报文收发单元之间，用于接收所述第二报文处理单元发送给所述第二报文收发单元的报文，判断该报文的源地址是否属于预设的数据中心网络内部客户端地址段，如果是，则确定该报文为数据中心网络内部客户端发送的请求报文，将该报文的源地址转换为接收到该报文的出口路由器的公网地址后，发送给所述第一报文收发单元；否则，确定该报文为响应报文，将该报文发送给所述第二报文收发单元；
所述第一报文收发单元，还用于将所述第三报文处理单元发送来的报文转发给下一跳的ISP网关。
10.根据权利要求9所述的出口路由器，其特征在于，该出口路由器还包括：第四报文处理单元，设置在所述第三报文处理单元和第二报文收发单元之间，用于接收所述第三报文处理单元发送给第二报文收发单元的报文，判断该报文中是否包含已处理标识，如果是，则丢弃该报文；否则，在该报文中携带已处理标识后发送给所述第二报文收发单元。

基于网络双出口的报文传输方法和出口路由器\n技术领域\n[0001] 本发明涉及网络通信技术，特别涉及一种基于网络双出口的报文传输方法和出口路由器。\n背景技术\n[0002] 随着Internet应用服务的用户人数不断增加，随之增加的大量访问给数据中心网络带来了沉重的负担，尤其对于数据中心网络中的出口路由器，其转发性能和出口带宽都面临极大的挑战。 另一方面，为了提高数据中心的可靠性，往往需要数据中心网络的设计具有极高的冗余性，使得数据中心网络中的一个节点或链路出现故障时，能够快速切换到冗余的节点或链路上，从而减少业务中断的时间，提高数据中心的可靠性。\n[0003] 网络双出口是目前最常用的一种提高数据中心网络带宽和可靠性的方案，如图1所示，网络双出口是在数据中心网络中设置两个出口路由器，即路由器A和路由器B，其分别对应的两条链路连接至同一个服务提供者(ISP)网络。 为了实现数据中心网络双出口的负载均衡，通常会将数据中心内部的两个出口路由器配置不同的公网地址，在域名服务器(DNS)上保证两个公网地址的负载均衡分配。现有技术中基于网络双出口的报文传输方法是双向网络地址转换(NAT)方式，即在出口路由器上与ISP网络侧连接的接口上配置入方向地址转换(NAT Server)策略，与数据中心网络侧连接的接口上配置出方向地址转换(NAT Outband)策略。 出口路由器在接收到来自ISP网络侧的请求报文，其中，该请求报文的源地址为外部客户端的地址，目的地址为该出口路由器的公网地址；\n然后，根据配置的NAT Server策略，将请求报文的目的地址替换为数据中心网络中的服务器私网地址；并在与数据中心网络侧连接的接口处，根据NAT Outband策略将请求报文的源地址替换为该出口路由器的私网地址；然后该请求报文在数据中心网络中被传输至对应的服务器。 服务器返回的响应报文的源地址和目的地址分别是请求报文的目的地址和源地址，所以，响应报文必然会被传输回对应的出口路由器，从而保证响应报文能够传输至发送请求报文的出口路由器。 该出口路由器接收到该响应报文后，根据NAT Outband策略先将响应报文的源地址替换为该出口路由器的公网地址，目的地址替换为外部客户端的地址。\n[0004] 通常，数据中心网络中的服务器具有很强的安全保护措施，其中很重要的一项就是记录访问该服务器的外部客户端的地址信息，通过外部客户端的地址信息可以监控客户的不法行为，对有不发行为的客户可以拒绝提供服务，严重的甚至可以通过法律手段起诉。 由于现有技术的上述方法中，在出口路由器处将请求报文的源地址进行了替换，数据中心网络中的服务器无法获取到发送该请求报文的外部客户端的地址信息，这样就无法实现数据中心网络中的服务器的安全保护措施，会给数据中心网络带来安全隐患。\n发明内容\n[0005] 有鉴于此，本发明提供了一种基于网络双出口的报文传输方法和出口路由器，有利于实现数据中心网络中服务器的安全保护措施，提高数据中心网络的安全性。\n[0006] 一种基于网络双出口的报文传输方法，该方法应用于包含两个出口路由器的数据中心网络，在两个出口路由器之间建立连接；该方法包括：\n[0007] A、出口路由器接收到来自服务提供者ISP网络侧的请求报文后，将该请求报文的目的地址替换为数据中心网络中的服务器私网地址，并建立包含该请求报文的源地址和替换后目的地址的会话信息，发送该请求报文；\n[0008] B、接收到来自数据中心网络侧的报文后，判断自身是否已经建立包含该报文的源地址和目的地址的会话信息，如果是，则将该报文的源地址替换为该出口路由器的公网地址后转发给下一跳的ISP网关；否则，将该报文转发给与其连接的另一个出口路由器，由所述另一个出口路由器执行所述步骤B。\n[0009] 一种出口路由器，应用于包含两个该出口路由器的数据中心网络，该出口路由器包括：第一报文收发单元、第一报文处理单元、会话信息存储单元、第二报文收发单元和第二报文处理单元；\n[0010] 所述第一报文收发单元，用于接收来自ISP网络侧的请求报文，将所述第二报文处理单元发送来的报文转发给下一跳的ISP网关；\n[0011] 所述第一报文处理单元，用于将所述第一报文收发单元接收到的请求报文的目的地址替换为数据中心网络的服务器私网地址，并建立包含该请求报文的源地址和替换后目的地址的会话信息；\n[0012] 所述会话信息存储单元，用于存储第一报文处理单元建立的会话信息；\n[0013] 所述第二报文收发单元，用于发送替换目的地址后的请求报文，接收来自数据中心网络侧的报文；将所述第二报文处理单元发送来的报文转发给与该出口路由器连接的另一个出口路由器；\n[0014] 所述第二报文处理单元，用于判断所述会话信息存储单元中是否已经存在包含所述第二报文收发单元接收到报文的源地址和目的地址的会话信息，如果是，则将该报文的源地址替换为该出口路由器的公网地址后发送给所述第一报文收发单元；否则，将该报文发送给第二报文收发单元。\n[0015] 由以上技术方案可以看出，在本发明提供的方法和出口路由器中，出口路由器在接收到来自ISP网络侧的请求报文后，仅进行目的地址的替换，并建立该请求报文源地址和替换后目的地址的会话信息后发送该请求报文；接收到来自数据中心网络侧的报文后，通过判断自身是否已经建立包含该报文的源地址和目的地址的会话信息来确定该报文对应的请求报文是否是自身发送的，如果是，则将该报文的源地址替换为该出口路由器的公网地址后转发给下一跳的ISP网关；否则，将该报文转发给与其连接的另一个出口路由器。 从而使得响应报文仍能够回到发送对应请求报文的出口路由器上，保证数据中心网络中报文流量的均衡性，同时保留了客户端的源地址，使得在服务器端能够通过记录外部客户端的地址信息来监控客户的不发行为，有利于实现数据中心网络中服务器的安全保护措施，提高数据中心网络的安全性。\n附图说明\n[0016] 图1为现有技术中的数据中心网络组网结构图；\n[0017] 图2为本发明实施例提供的主要方法流程图；\n[0018] 图3为本发明实施例提供的详细方法流程图；\n[0019] 图4为本发明实施例提供的数据中心网络的组网结构图；\n[0020] 图5为本发明实施例提供的报文传输路径示意图；\n[0021] 图6为本发明实施例提供的出口路由器的结构图。\n具体实施方式\n[0022] 为了使本发明的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本发明进行详细描述。\n[0023] 本发明提供的方法应用于包含两个出口路由器的数据中心网络，在两个出口路由器之间建立连接；如图2所示，该方法主要包括以下步骤：\n[0024] 步骤201：出口路由器接收到来自ISP网络侧的请求报文后，将该请求报文的目的地址替换为数据中心网络中的服务器私网地址，并建立包含该请求报文的源地址和替换后目的地址的会话信息，发送该请求报文。\n[0025] 步骤202：接收到来自数据中心网络侧的报文后，判断自身是否已经建立包含该报文的源地址和目的地址的会话信息，如果是，则执行步骤203，否则，执行步骤204。\n[0026] 步骤203：将该报文的源地址替换为该出口路由器的公网地址后转发给下一跳的ISP网关，结束流程。\n[0027] 步骤204：将该报文转发给与其连接的另一个出口路由器，由下一个出口路由器转至执行步骤202。\n[0028] 下面结合具体实施例对本发明所提供的上述方法进行详细描述。 图3为本发明实施例提供的详细方法流程图，该实施例可以基于图4所示的组网结构图，图4为本发明实施例提供的数据中心网络的组网结构图，该数据中心网络中包含两个出口路由器，即路由器A和路由器B，在路由器A和路由器B之间建立连接，并且在路由器A和路由器B上都配置两条等价的缺省路由，其中一条缺省路由指向下一跳ISP网关，另一条缺省路由指向另一个出口路由器。 在路由器A和路由器B上与ISP网络侧连接的接口上配置NATServer策略，为来自外部客户端的请求报文提供目的地址转换，另外，还可以在该接口上配置一条命令，使能该接口的负载均衡特性，只有存在使能了负载均衡特性的接口的路由器才能够执行本发明的方法，由于该接口对应下一跳的ISP网关，通常将指向下一跳ISP网关的路由作为优选路由，对端口使能负载均衡特性是为了与现有路由器进行区分，当然，也可以不另外在端口上使能负载均衡特性，默认所有路由器都执行本发明所提供的方法；更优地，还可以在该接口上配置NAT Outband策略，用于为来自数据中心网络内部客户端的请求报文提供源地址转换。 如图3所示，基于上述组网的方法可以包括以下步骤：\n[0029] 步骤301：路由器A接收到来自DNS服务器的请求报文后，将该请求报文的目的地址替换为数据中心网络中服务器的私网地址，并建立包含该请求报文的源地址和替换后目的地址的会话信息。\n[0030] 外部客户端要访问数据中心时，发送源地址为外部客户端地址的请求报文，DNS服务器接收到该请求报文后，采用负载均衡策略将该请求报文的目的地址替换为其中一个出口路由器的公网地址，并发送给该出口路由器，本实施例中假设发送给路由器A。 路由器A在与ISP网络侧连接的接口处，根据NAT Server策略将该请求报文的目的地址替换为数据中心网络中服务器的私网地址，以便于该请求报文能够在数据中心网络中传输最终到达对应的服务器。\n[0031] 建立的会话信息可以是五元组信息，即该请求报文的协议号、源地址、目的地址、源端口号和目的端口号。\n[0032] 本发明中没有在出口路由器上与数据中心网络侧连接的接口处进行源地址的转换，使得在数据中心网络传输的请求报文保持源地址仍为外部客户端的地址。\n[0033] 另外，NAT Server策略的配置和利用与现有技术中相同，在此不再赘述。\n[0034] 该请求报文在数据中心网络中传输最终到达对应的服务器，其传输路径如图5中的路径1，该服务器接收到请求报文后，返回响应报文，该响应报文的源地址和目的地址分别为请求报文的目的地址和源地址，即该响应报文的源地址为该服务器的私网地址，目的地址为外部客户端的地址。\n[0035] 在数据中心网络的防火墙A和防火墙B上可以任选一个出口路由器作为默认下一跳，接收到响应报文后，如果默认下一跳工作正常，则将响应报文传输给默认下一跳，如果默认下一跳出现异常，则可以将响应报文传输给另一个出口路由器。 最好将防火墙A和防火墙B的默认下一跳设置为不同的出口路由器。\n[0036] 假设响应报文的传输路径如图5中的路径2。服务器将响应报文经由交换机B传输给防火墙B，防火墙B将该响应报文传输给其默认下一跳出口路由器B。 对于来自数据中心网络侧的报文，各出口路由器执行以下步骤：\n[0037] 步骤302：出口路由器B接收到来自数据中心网络侧的报文后，根据该报文的目的地址查找路由表，并判断是否查找到相应的路由，如果是，执行步骤303，否则，丢弃该报文。\n[0038] 步骤303：判断路由器B中是否存在两条等价的路由，如果是，则执行步骤\n304，否则，按照现有技术中路由器的处理方式处理该报文。\n[0039] 本步骤中，判断路由器B中是否预先配置了两条等价的缺省路由，也就是判断路由器B是否与路由器A建立连接，如果不存在两条等价的路由，则说明路由器B和路由器A之间没有建立连接，路由器按照现有技术中的处理方式处理该报文，具体不再赘述。 由于本实施例中路由器B中配置了两条等价路由，所以继续执行步骤304。\n[0040] 步骤304：判断两条等价的路由中是否其中一条路由对应的接口使能了负载均衡特性，如果是，执行步骤305，否则，按照现有技术中路由器的处理方式处理该报文。\n[0041] 如果其中一条路由对应的接口使能了负载均衡特性，则说明该出口路由器能够按照本发明提供的方法来处理该报文，将该路由作为主用路由，另一路由作为备用路由。 本实施例中路由器B与下一跳ISP网关连接的接口使能了负载均衡特性，因此，继续执行步骤305。\n[0042] 如果不在路由器B的端口上使能负载均衡特性，则可以不执行步骤304的操作，直接执行步骤305。\n[0043] 步骤305：判断路由器B是否已经建立包含该报文的源地址和目的地址的会话信息，如果是，执行步骤307；否则，执行步骤306。\n[0044] 如果路由器B已经建立包含该报文的源地址和目的地址的会话信息，则说明该报文是响应报文且对应的请求报文是路由器B发送的，因此，应该由路由器B将该报文发送至ISP网络。由于本实施例中请求报文是由路由器A发送的，因此，路由器B中没有建立包含该报文的源地址和目的地址的会话信息，所以，路由器B会继续执行步骤306。\n[0045] 步骤306：路由器B根据NAT Outband策略对该报文进行匹配，如果匹配，则执行步骤307；否则，执行步骤308。\n[0046] NAT Outband策略可以是能够访问外网的内部客户端地址段，如果路由器接收到来自数据中心侧的报文其源地址在该地址段中，则说明接收到的报文是数据中心网络内部客户端主动访问外网时发送的请求报文而不是响应报文，这种情况对应图5中的路径3；否则，说明接收到的报文是响应报文，本实施例中假设路由器B接收到的是响应报文，所以，该报文不能够与NATOutband策略匹配，因此，执行步骤308。\n[0047] 步骤307：路由器B将接收到的报文的源地址转换为自身的公网地址后，转发给下一跳ISP网关，结束流程。\n[0048] 步骤308：路由器B判断该报文中是否包含已处理标识，如果是，丢弃该报文，否则，执行步骤309。\n[0049] 步骤309：在该报文中携带已处理标识，并将该报文发送给路由器A。\n[0050] 步骤308和步骤309中涉及的已处理标识是为了防止出口路由器中的会话信息出现故障时，两个出口路由器都查找不到相应的会话信息而导致报文往复地在两个出口路由器之间传输。 因此，在报文中添加已处理标识，可以使得在出口路由器接收到报文且查找不到会话信息时，如果包含已处理标识则说明另一个出口路由器已经处理过该报文，因此，可以能够及时丢弃该报文，防止环路。\n[0051] 该已处理标识可以采用TTL来标识，即将TTL设置为1后发送给路由器A。 出口路由器确定报文中携带的TTL为1时，确定另一个出口路由器已经处理过该报文。 当然，也可以采用其它的方式来标识，在此不一一列举。\n[0052] 由于本实施例中以路由器B先于路由器A接收到该响应报文，因此该响应报文中不会存在已处理标识，因此，执行步骤308后继续执行步骤309。\n[0053] 步骤310：路由器A接收到报文后，从步骤302开始执行路由器B执行的操作。\n[0054] 由于路由器A根据该报文的目的地址查找路由表，能够查找到相应的路由，且存在两条等价的路由并且其中一条路由对应的接口使能了负载均衡特性，并且，路由器A已经建立了包含报文的源地址和目的地址的会话信息，因此，路由器A在执行到步骤\n305时可以确定该报文对应的请求报文是自身发送的，因此，路由器A执行步骤307，将接收到的源地址转换为自身的公网地址后，转发给下一跳ISP网关，结束流程。\n[0055] 上述实施例是以路由器B先接收到响应报文为例进行的描述，如果路由器A先接收到响应报文，则在步骤305时，路由器就确定该响应报文对应的请求报文是自身发送的，则会将该响应报文的源地址替换为路由器A的公网地址后发送给下一跳ISP网关，而不会转发给路由器B。\n[0056] 以上是对本发明所提供的方法进行的详细描述，下面对本发明所提供的出口路由器进行详细描述。 图6为本发明实施例提供的出口路由器的结构图，如图6所示，该出口路由器包括：第一报文收发单元600、第一报文处理单元610、会话信息存储单元\n620、第二报文收发单元630和第二报文处理单元640。\n[0057] 第一报文收发单元600，用于接收来自ISP网络侧的请求报文，将第二报文处理单元640发送来的报文转发给下一跳的ISP网关。\n[0058] 第一报文处理单元610，用于将第一报文收发单元600接收到的请求报文的目的地址替换为数据中心网络的服务器私网地址，并建立包含该请求报文的源地址和替换后目的地址的会话信息。\n[0059] 可以在出口路由器与ISP网络侧连接的接口处配置NAT Server策略，接收到来自ISP网络侧的报文后，第一报文处理单元610根据NAT Server策略将请求报文的目的地址替换为数据中心网络中服务器的私网地址。 建立的会话信息可以是五元组信息，即该请求报文的协议号、源地址、目的地址、源端口号和目的端口号。\n[0060] 会话信息存储单元620，用于存储第一报文处理单元610建立的会话信息。\n[0061] 第二报文收发单元630，用于发送替换目的地址后的请求报文，接收来自数据中心网络侧的报文；将第二报文处理单元640发送来的报文转发给与该出口路由器连接的另一个出口路由器。\n[0062] 第二报文处理单元640，用于判断会话信息存储单元620中是否已经存在包含第二报文收发单元630接收到报文的源地址和目的地址的会话信息，如果是，则将该报文的源地址替换为该出口路由器的公网地址后发送给第一报文收发单元600；否则，将该报文发送给第二报文收发单元630。\n[0063] 如果已经存在包含第二报文收发单元630接收到报文的源地址和目的地址的会话信息，在说明该出口路由器就是发送该报文对应请求报文的出口路由器，因此，将该报文进行源地址替换后发送给下一个ISP网关，否则说明该出口路由器不是发送该报文对应请求报文的出口路由器。\n[0064] 其中，第二报文处理单元640可以包括：第一判断子单元641、报文丢弃子单元\n642、第二判断子单元643和报文处理子单元644。\n[0065] 第一判断子单元641，用于根据第二报文收发单元630接收到的报文的目的地址查找路由表，判断是否查找到对应的路由，如果否，则将该报文发送给报文丢弃子单元\n642；如果是，则判断查找到的路由是否存在两条等价的路由，且该两条等价的路由中的一条指向另一个出口路由器，另一条指向下一跳的ISP网关，如果是，则将该报文发送给第二判断子单元643。\n[0066] 如果存在上述两条等价的路由，则说明两个出口路由器之间建立连接。\n[0067] 报文丢弃子单元642，用于丢弃接收到的报文。\n[0068] 第二判断子单元643，用于接收到报文后，判断会话信息存储单元620中是否已经存在包含该报文的源地址和目的地址的会话信息，如果是，则将该报文发送给报文处理子单元644，否则，将该报文发送给第二报文收发单元630；\n[0069] 报文处理子单元644，用于接收到报文后，将该报文的源地址替换为该出口路由器的公网地址后发送给第一报文收发单元600。\n[0070] 更进一步地，第二报文处理子单元644还可以包括：第三判断子单元645，设置在第一判断子单元641和第二判断子单元643之间，用于接收第一判断子单元641发送给第二判断子单元643的报文，判断两条等价的路由中指向下一跳的ISP网关的路由所对应的端口是否使能了负载均衡特性，如果是，则将该报文发送给第二判断子单元643，否则，该出口路由器按照现有技术的处理方式处理该报文。\n[0071] 另外，该出口路由器可以进一步包括：第三报文处理单元650，设置在第二报文处理单元640和第二报文收发单元630之间，用于接收第二报文处理单元640发送给第二报文收发单元630的报文，判断该报文的源地址是否属于预设的数据中心网络内部客户端地址段，如果是，则确定该报文为数据中心网络内部客户端发送的请求报文，将该报文的源地址转换为接收到该报文的出口路由器的公网地址后，发送给第一报文收发单元600；否则，确定该报文为响应报文，将该报文发送给第二报文收发单元630。\n[0072] 第一报文收发单元600，还可以用于将第三报文处理单元650发送来的报文转发给下一跳的ISP网关。\n[0073] 更优地，该出口路由器可以进一步包括：第四报文处理单元660，设置在第三报文处理单元650和第二报文收发单元630之间，用于接收第三报文处理单元650发送给第二报文收发单元630的报文，判断该报文中是否包含已处理标识，如果是，则丢弃该报文；否则，在该报文中携带已处理标识后发送给第二报文收发单元630。\n[0074] 该已处理标识可以采用TTL来标识，即将TTL设置为1后发送给路由器A。 出口路由器确定报文中携带的TTL为1时，确定另一个出口路由器已经处理过该报文。\n[0075] 由以上描述可以看出，本发明提供的方法和路由器具有以下优点：\n[0076] 1)出口路由器在接收到来自ISP网络侧的请求报文后，仅进行目的地址的替换，并建立该请求报文源地址和替换后目的地址的会话信息后发送该请求报文；接收到来自数据中心网络侧的报文后，通过判断自身是否已经建立包含该报文的源地址和目的地址的会话信息来确定该报文对应的请求报文是否是自身发送的，如果是，则将该报文的源地址替换为该出口路由器的公网地址后转发给下一跳的ISP网关；否则，将该报文转发给与其连接的另一个出口路由器。 从而使得响应报文仍能够回到发送对应请求报文的出口路由器上，保证数据中心网络中报文流量的均衡性，同时保留了客户端的源地址，使得在服务器端能够通过记录外部客户端的地址信息来监控客户的不发行为，有利于实现数据中心网络中服务器的安全保护措施，提高数据中心网络的安全性。\n[0077] 2)本发明还进一步在出口路由器上对来自数据中心网络的报文的源地址进行匹配的方法，能够确定来自数据中心网络的报文是服务器回复的响应报文还是内部客户端主动访问时发送的请求报文，并根据具体确定的情况执行相应地处理，使得对报文的处理更加合理。\n[0078] 3)本发明中在出口路由器确定来自数据中心网络的响应报文的源地址和目的地址不在自身建立的会话信息中时，在发送给另一个出口路由器的报文中增加已处理标识，使得另一个出口路由器即便也确定该报文的源地址和目的地址也不在自身建立的会话信息中时，能够不再将该报文在两个出口路由器之间转发，从而防止环路。\n[0079] 以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。