公开(公告)号：CN103491016B

公开(公告)日：2017-11-17

申请号：CN201210189879.X

申请日：2012-06-08

Applicant: 百度在线网络技术(北京)有限公司

Inventor： 裴超 ,  刘涛 ,  刘宁 ,  张诚

IPC: H04L12/803 ,  H04L29/12

Abstract: 本发明提出一种UDP负载均衡系统中源地址传递方法、系统及装置。负载均衡系统中源地址传递方法包括以下步骤：负载均衡设备接收客户端发送的用户数据包协议UDP数据包；所述负载均衡设备对所述UDP数据包进行源地址转换，并将包含所述客户端的地址和/或端口号的隧穿模型TTM选项插入到所述UDP数据包中并发送至后端服务器；所述后端服务器解析所述UDP数据包的TTM选项并获得所述客户端的地址和/或端口号；以及所述后端服务器根据所述客户端的地址和/或端口号生成相应的响应数据包。本发明可以在使用源地址转换技术的情况下将客户端真实地址和端口号传递给后端服务器，同时可满足跨网段部署的需求。

公开(公告)号：CN103023797B

公开(公告)日：2016-06-15

申请号：CN201110286977.0

申请日：2011-09-23

Applicant: 百度在线网络技术(北京)有限公司

Inventor： 吴教仁 ,  刘涛 ,  刘宁 ,  张诚 ,  傅江

IPC: H04L12/803 ,  H04L29/08 ,  H04L29/12

CPC classification number: H04L47/125 ,  H04L29/06 ,  H04L61/1511 ,  H04L61/251 ,  H04L61/2528 ,  H04L61/6086 ,  H04L67/1002 ,  H04L67/1023

Abstract: 本发明公开了一种数据中心系统，包括多个第一负载均衡设备用于接收来自客户端通过外网核心发送的第一类网络请求并进行源地址和目的地址转换；多个第二负载均衡设备用于接收第一类网络请求并将其转换为第二类网络请求，对第二类网络请求进行源地址和目的地址的转换；多个服务器用于接收来自第二负载均衡设备的第二类网络请求，并生成第二类网络响应，将第二类网络响应返回给相应的第二负载均衡设备。本发明可以在不改变现有的IDC网络结构、大规模系统和应用程序升级的前提下，简单透明地实现不同类网络之间提供服务。本发明还公开了一种数据中心提供服务的方法、基于上述数据中心系统的演进部署方法、四层负载均衡设备以及七层负载均衡设备。

公开(公告)号：CN103368858B

公开(公告)日：2016-01-20

申请号：CN201210096528.4

申请日：2012-04-01

Applicant: 百度在线网络技术(北京)有限公司

Inventor： 刘涛 ,  刘宁 ,  张诚

IPC: H04L12/801 ,  H04L29/06

Abstract: 本发明提出一种多策略组合加载的流量清洗方法，包括如下步骤：用户态代理客户端建立策略组合，其中，策略组合包括至少一个虚策略，虚策略包括一个或多个实体策略，且每个实体策略包括一个或多个数据特征；用户态代理客户端将策略组合传递至内核态；将策略组合中至少一个虚策略注册至数据包处理框架；数据包处理框架对虚策略中的每个实体策略进行函数回调，并将通信数据包与至少一个虚策略进行比对，当通信数据包符合至少一个虚策略中的全部实体策略时，丢弃通信数据包。本发明还提出一种多策略组合加载的流量清洗装置。本发明利用该策略组合对流量进行清洗，从而满足多个策略复杂组合对流量进行清洗的应用场景，应用范围更广。

公开(公告)号：CN103139077B

公开(公告)日：2016-01-20

申请号：CN201110385471.5

申请日：2011-11-28

Applicant: 百度在线网络技术(北京)有限公司

Inventor： 吴教仁 ,  刘涛 ,  刘宁 ,  张诚 ,  傅江

IPC: H04L12/749 ,  H04L12/781

Abstract: 本发明公开了一种基于VRRP协议扩展IPv6虚拟路由器的方法，包括：第一网络实体设备上的第一虚拟路由器构建VRRP通告报文并将IPv6地址转换为伪IPv4地址加入至通告报文中；第一网络实体设备将通告报文发送至交换机，交换机以组播形式向第二网络实体设备中的第二虚拟路由器发送通告报文；第二网络实体设备根据VRRP通告报文的虚拟路由号VRID和伪IPv4地址判断查找对应的第二虚拟路由器；第二虚拟路由器接收VRRP通告报文并进行相应处理。本发明还公开了一种基于VRRP协议扩展IPv6虚拟路由器的系统及装置。本发明实现对VRRP协议的扩展，使得VRRP协议也可以支持IPv6虚拟路由器。

公开(公告)号：CN103139247B

公开(公告)日：2015-11-25

申请号：CN201110385443.3

申请日：2011-11-28

Applicant: 百度在线网络技术(北京)有限公司

Inventor： 吴教仁 ,  李利峰 ,  刘涛 ,  刘宁 ,  张诚 ,  傅江

IPC: H04L29/08 ,  H04L1/16

Abstract: 本发明提出一种负载均衡系统中后端服务器的保活方法、系统及装置。负载均衡系统中后端服务器的保活方法包括以下步骤：负载均衡设备向后端服务器发送同步SYN包；所述负载均衡设备接收所述后端服务器反馈的确认ACK包；所述负载均衡设备根据所述ACK包判断所述ACK包对应的套接字Socket是否为保活Socket；以及如果判断为保活Socket，则所述负载均衡设备向所述后端服务器发送重置RST包，并确认所述后端服务器为保活状态。本发明在不与后端服务器的TCP服务建立连接的情况下完成对后端服务器的健康检查，避免后端服务器产生大量的链接日志，减小系统资源的消耗。而且，整个健康检查过程只在内核层完成，对上层TCP服务完全透明，不会对原有业务造成影响。

公开(公告)号：CN103139067B

公开(公告)日：2015-08-05

申请号：CN201110385718.3

申请日：2011-11-28

Applicant: 百度在线网络技术(北京)有限公司

Inventor： 吴教仁 ,  刘涛 ,  刘宁 ,  张诚 ,  傅江

IPC: H04L12/713 ,  H04L29/06

Abstract: 本发明公开了一种基于VRRP协议扩展虚拟路由器数量的方法，包括以下步骤：第一网络实体设备中的第一虚拟路由器创建VRRP通告报文；第一虚拟路由器根据VRRP通告报文中的第一虚拟地址生成虚拟路由号VRID，并将VRID添加至VRRP通告报文；第一网络实体设备将VRRP通告报文发送至交换机，交换机向与交换机相连的第二网络实体设备发送VRRP通告报文；第二网络实体设备根据VRRP通告报文中的VRID和VIP地址查找第一虚拟路由器对应的虚拟路由器。本发明还公开了一种基于虚拟路由器冗余VRRP协议扩展虚拟路由器数量的系统和装置。本发明可以通过虚拟地址生成虚拟路由号VRID，从而扩展虚拟路由器的数量。

公开(公告)号：CN103368858A

公开(公告)日：2013-10-23

申请号：CN201210096528.4

申请日：2012-04-01

Applicant: 百度在线网络技术(北京)有限公司

Inventor： 刘涛 ,  刘宁 ,  张诚

IPC: H04L12/801 ,  H04L29/06

Abstract: 本发明提出一种多策略组合加载的流量清洗方法，包括如下步骤：用户态代理客户端建立策略组合，其中，策略组合包括至少一个虚策略，虚策略包括一个或多个实体策略，且每个实体策略包括一个或多个数据特征；用户态代理客户端将策略组合传递至内核态；将策略组合中至少一个虚策略注册至数据包处理框架；数据包处理框架对虚策略中的每个实体策略进行函数回调，并将通信数据包与至少一个虚策略进行比对，当通信数据包符合至少一个虚策略中的全部实体策略时，丢弃通信数据包。本发明还提出一种多策略组合加载的流量清洗装置。本发明利用该策略组合对流量进行清洗，从而满足多个策略复杂组合对流量进行清洗的应用场景，应用范围更广。

公开(公告)号：CN103139067A

公开(公告)日：2013-06-05

申请号：CN201110385718.3

申请日：2011-11-28

Applicant: 百度在线网络技术(北京)有限公司

Inventor： 吴教仁 ,  刘涛 ,  刘宁 ,  张诚 ,  傅江

IPC: H04L12/713 ,  H04L29/06

Abstract: 本发明公开了一种基于VRRP协议扩展虚拟路由器数量的方法，包括以下步骤：第一网络实体设备中的第一虚拟路由器创建VRRP通告报文；第一虚拟路由器根据VRRP通告报文中的第一虚拟地址生成虚拟路由号VRID，并将VRID添加至VRRP通告报文；第一网络实体设备将VRRP通告报文发送至交换机，交换机向与交换机相连的第二网络实体设备发送VRRP通告报文；第二网络实体设备根据VRRP通告报文中的VRID和VIP地址查找第一虚拟路由器对应的虚拟路由器。本发明还公开了一种基于虚拟路由器冗余VRRP协议扩展虚拟路由器数量的系统和装置。本发明可以通过虚拟地址生成虚拟路由号VRID，从而扩展虚拟路由器的数量。

公开(公告)号：CN102263788A

公开(公告)日：2011-11-30

申请号：CN201110197639.X

申请日：2011-07-14

Applicant: 百度在线网络技术(北京)有限公司

Inventor： 吴教仁 ,  刘宁 ,  刘涛 ,  蒋浩 ,  张诚 ,  傅江

IPC: H04L29/06

Abstract: 本发明旨在提供一种防御指向多业务系统的DDoS攻击的方法与设备。其中，网络安全设备根据预置的DDoS攻击触发条件，检测与多业务系统相对应的网络访问流量中是否存在DDoS攻击；当存在所述DDoS攻击时，根据所述DDoS攻击所对应的所述DDoS攻击触发条件，确定所述DDoS攻击所指向的目标业务；根据所述目标业务的业务相关信息，对与所述多业务系统相对应的网络访问流量中与所述目标业务相对应的网络访问流量进行防御处理。与现有技术相比，本发明通过检测DDoS攻击所针对的目标业务，并根据该目标业务的业务相关信息进行相应的防御处理，不仅限制了该DDoS对整个多业务系统的不良影响，也有效支持了面向该多业务系统中的其他业务的访问请求，从而有效提高了整个多业务系统抵御DDoS的信息安全能力。

公开(公告)号：CN101908967A

公开(公告)日：2010-12-08

申请号：CN200910086114.1

申请日：2009-06-02

Applicant: 百度在线网络技术(北京)有限公司

Inventor： 周文旭 ,  张诚

IPC: H04L12/24 ,  H04L9/32

Abstract: 本发明涉及一种Linux虚拟服务器配置方法和系统，其中，Linux虚拟服务器配置系统包括：LVS、用户接口模块、AAA客户端和指令翻译模块；用户接口模块用于将接收的配置指令信息发送给AAA客户端，在接收到AAA客户端返回的授权结果表示所述配置指令信息授权成功时，向指令翻译模块发送成功授权的配置指令信息；AAA客户端用于将配置指令信息发送给AAA服务器，将AAA服务器返回的授权结果发送给用户接口模块；指令翻译模块用于将成功授权的配置指令翻译成LVS支持的操作指令，并执行或通知LVS执行与操作指令相应的配置操作。本发明提高了用户维护包括有LVS的网络系统的方便性。