一種實現IPSec虛擬專用網隧道備份和負載的方法
2023-06-18 11:26:21 2
專利名稱:一種實現IPSec虛擬專用網隧道備份和負載的方法
技術領域:
本發明涉及網際網路安全協議虛擬專用網(Internet Protocol Security VirtualPrivate Network, IPSec VPN)技術,特別涉及一種實現IPSec VPN隧道備份和負 載的方法。
背景技術:
虛擬專用網(Virtual Private Network)被定義為通過一個公用網絡(通常是因 特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。虛 擬專用網是對企業內部網的擴展,可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同 公司的內部網建立可信的安全連接,並保證數據的安全傳輸。 網際網路安全協議(Internet Protocol Security, IPSec)是網際網路工程任務組 (Internet Engineer Task Force, IETF)正在完善的安全標準,其把幾種安全技術結合在 一起形成一個較為完整的體系,受到了眾多廠商的關注和支持。通過對數據加密、認證、完 整性檢查來保證數據傳輸的可靠性、私有性和保密性。IPSec由IP認證頭(Authentication Header, AH) 、 IP安全載荷封載(Enc即sulatedSecurity Payload, ESP)和密鑰管理協議組 成。 IPSec協議是一個範圍廣泛、開放的虛擬專用網(VPN)安全協議。它提供所有在網 絡層上的數據保護,提供透明的安全通信。IPSec用密碼技術從三個方面來保證數據的安 全。即認證,用於對主機和端點進行身份鑑別;完整性檢查,用於保證數據在通過網絡傳 輸時沒有被修改;加密,加密IP位址和數據以保證私有性。 IPSec協議可以設置成在兩種模式下運行一種是隧道模式, 一種是傳輸模式。在 隧道模式下,IPSec把IP v4數據包封裝在安全的IP幀中,這樣保護從一個防火牆到另一個 防火牆時的安全性。在隧道模式下,信息封裝是為了保護端到端的安全性,即在這種模式下 不會隱藏路由信息。隧道模式是最安全的,但會帶來較大的系統開銷。IPSec現在還不完全 成熟,但其得到了一些路由器廠商和硬體廠商的大力支持,預計在今後將成為虛擬專用網 的主要標準。IPSec有擴展能力以適應未來商業的需要。在1997年底,IETF安全工作組完 成了 IPSec的擴展,在IPSec協議中力口上ISAKMP (Internet Security Association andKey Management Protocol)協議,其中還包括一個密鑰分配協議0akley。 ISAKMP/0akley支持 自動建立加密信道,密鑰的自動安全分發和更新。 隨著越來越多的企業開始建立數據中心,實行數據集中管理,為了保證分支機構 和數據中心之間的通信安全, 一般都要通過VPN技術對通信進行加密。對於大型企業來說, 有如下特點1、分級機構可能遍布全國甚至全球;2、各個分支機構採用不同的運營商線路 接入數據中心;3、為了保證通信的速度和穩定,數據中心一般會租用多個運營商的線路,以 便適應不同的分支機構,同時採用多臺VPN設備處理分支機構的接入,甚至有的分支機構 也會租用多個運營商線路接入數據中心。 上述這些特點會導致如下問題的產生1、在分支機構多、分布廣的情況下如何安
3全高效的配置同一的VPN策略;分支機構如何使用最優線路接入數據中心;在最優線路發生故障時候,隧道如何自動切換至次優線路;當分支機構使用多個運營商線路接入時,如何將這多條線路充分利用;在數據中心,如果某臺設備發生問題,如何使該設備和所有分支機構建立的隧道快速切換到其他設備上。
發明內容
本發明的目的在於,提供一種實現IPSec虛擬專用網隧道備份和負載的方法。
本發明的實現網際網路安全協議虛擬專用網隧道備份和負載的方法,包括下列步驟 步驟A:將數據中心的多臺不同運營商線路的設備D1 Dk虛擬為一臺邏輯上的設備D,分支機構的設備與所述虛擬設備D建立虛擬專用網VPN策略;分支機構的設備和所述虛擬設備D向集中管理器註冊,在集中管理器上添加策略,所述策略包括指定建立隧道
的設備、線路、線路的優先級,其中,k > 1 ; 步驟B:當某一設備Dm的某條高優先級線路發生故障導致該線路上的隧道不通時,分支結構的設備自動和虛擬設備D中次優先級線路所在的設備建立新的隧道代替原來的隧道;當原高優先級線路恢復時,所述分支機構的設備重新和設備Dm通過原高優先級線路建立原隧道,其中,1 < m < k ;或者,當高優先級線路所在設備Dm發生故障導致分支機構與所述虛擬設備D之間所有隧道都不通時,分支結構的設備自動和虛擬設備D中次優先級線路所在的設備建立新的隧道代替原來的隧道;當設備Dm恢復正常時,所述分支機構的設備重新和設備Dm建立所有隧道,其中,l <m<k。其中,該次優先級線路可能在Dm上,也可能在Dn上,要依據線路優先級確定。 其中,所述設備Dl Dk通過使用同一個數字證書向集中管理器註冊,所述集中管理器在邏輯上將所述多臺設備Dl Dk看作一臺虛擬設備。 其中,所述步驟A包括下列步驟在集中管理器上添加設備時,集中管理器給設備發放數字證書,然後建立VPN策略;在設備上導入集中管理器發放的數字證書,設備使用該證書向集中管理器註冊;註冊成功後從集中管理器下載VPN策略,設備解析下載的策略,然後自動和指定的設備的線路建立隧道。 其中,所述虛擬設備與集中管理器之間註冊、下載時使用的隧道管理協議TopVPN。
另外,在所述步驟B中,依照線路的優先級進行隧道替換,如果原線路與新線路的優先級相同,則兩線路的相應的隧道同時活躍,且隧道中都有加密數據流,以實現隧道負載功能;如果原線路與新線路的優先級不同,則正常情況下只有優先級高的線路的隧道是活躍的,以實現隧道備份功能。 本發明的有益效果是依照本發明的實現IPSec虛擬專用網隧道備份和負載的方法,通過採用集中管理器大大簡化了各個設備的配置過程,提高了配置的統一性和安全性;同時結合多設備技多線路術通過在最優線路和次優線路之間動態的切換隧道,解決了不同線路、不同物理設備之間隧道的動態切換,實現了隧道備份和負載功能,大大提高了隧道的穩定性和設備的智能性;並且將數據中心的多臺不同運營商線路的設備虛擬為一臺邏輯上的設備,分支機構可以和這臺虛擬設備建立VPN策略,這樣當其中一臺設備發生故障導致隧道中斷,那麼分支機構的設備會自動和該虛擬設備關聯的另外一臺物理建立相應的隧道,保證隧道的通暢。
圖l為策略集中管理的多設備多線路技術實現IPSec VPN隧道的備份和負載的示意圖。
具體實施例方式
以下,參考附圖l詳細描述本發明的實現IPSec虛擬專用網隧道備份和負載的方法。 本發明僅以數據中心的2臺不同運用商線路的設備為例進行說明,但是本發明並
不局限於此,可以是多臺不同運營商線路的設備D1 Dk,其中,k〉 1。 首先安裝一臺集中管理器TopPolicy,數據中心的多臺不同運營商線路的設備
Dl Dk上分別包括隧道管理模塊、隧道同步模塊、事件處理模塊。其中,隧道管理模塊,用
於維護提供對核心數據結構(例如下載隧道列表、下載設備列表)的維護,提供諸如添加/
刪除設備、線路、隧道等功能;隧道同步模塊,用於定時檢測各條線路和隧道的狀態,例如線
路是否正常、隧道是否正常,並且根據實際檢測情況作相應的處理,不同優先級線路的切換
就是由這個模塊負責;事件處理模塊,負責周期性和非周期性事件的處理。周期性的事件包
括VPN策略下載、設備和集中管理器之間的保活、隧道同步,當某個事件到時後,調用相應
模塊提供的接口函數處理;非周期性事件包括集中管理器和設備之間的控制信息,例如在
集中管理器上刪除或者更新一條VPN策略、設備保活超時,這時集中管理器要向設備發送
控制信息,設備上的事件處理模塊根據這些控制信息,調用相應模塊的接口函數完成相應
的處理。 上述各模塊相互關係如下 設備啟動後,事件處理模塊首先向集中管理器註冊,註冊成功後下載策略,然後調
用隧道管理模塊將解析後的策略加入到核心數據結構;隧道管理模塊完成對核心數據結構
的具體操作;事件處理模塊會調用隧道同步模塊的接口 ;隧道同步模塊首先檢測各條線路
的情況,對核心數據結構的數據進行同步;然後根據核心數據結構的數據將其同步展開為
一條一條的實際隧道,在同步過程中激活所有高優先級隧道,將所有低優先隧道全部停掉。 如果隧道對端設備某條線路出現故障或者設備下線時候,事件處理模塊會接收集
中管理器發來的消息,調用隧道管理模塊更新核心數據結構。 結合附圖1的例子,使用多設備多線路技術進行隧道切換流程如下 1、整體配置 數據中心的設備A和設備B使用同一個數字證書向集中管理器註冊,這樣A和B邏輯上被當作一個設備AB,然後在集中管理器上添加一條策略,指定分支機構設備C和設備AB建立隧道,tunnel-C-A的優先級為pl, tunnel-C-B的優先級為p2, pl > p2,如果運營商a的線路正常,那麼在設備C上,tu皿el-C-A是活躍狀態,而tu皿el-C-B是停止狀態。
2、如果設備A的線路或者整臺設備發生故障 設備A的線路發生故障(如果設備發生故障可以看過所有線路發生故障)時,集中管理器就會無法收到設備A各條線路的保活通告包,超過一定時間,集中管理器會認為設備A的線路發生問題,然後集中管理器通知設備C,設備C收到這個通知後,調用隧道管理 模塊,將邏輯設備AB關聯的物理設備A的線路置為離線狀態;隧道同步模塊會對設備C中 每一條隧道都進行同步,因為設備A對應的線路已經離線,所以隧道t皿nel-C-A會被刪除; 這時,t皿nel-C-B成為優先級最高的隧道,設備C就會和設備B協商建立隧道,協商成功後 tunnel-C-B就處於活躍狀態。
3、如果設備A的線路恢復 設備A的線路恢復時,集中管理器就會重新收到設備A各條線路的保活通告包,這 時集中管理器通知設備C,設備C收到這個通知後,調用隧道管理模塊,將邏輯設備AB關聯 的物理設備A的線路置為在線狀態;隧道同步模塊會對設備C中每一條隧道都進行同步,因 為設備A對應的線路已經上線,所以隧道tu皿el-C-A會被重新建立,因為tu皿el-C-A的優 先級最高,設備C就會和設備A協商建立隧道,協商成功後t皿nel-C-A就處於活躍狀態。由 於同步過程不會等待協商的結果,所以為了保持VPN通信的暢通,這個時候t皿nel-C-B仍 然處於活躍狀態。等到下一個同步周期到達,如果t皿nel-C-A也出於活躍狀態,隧道同步 模塊就會發現tunnel-C-A和tunnel-C-B都處於活躍狀態,但是tunnel-C-B的優先級低, 這時就會把tunnel-C-B停掉,使tunnel-C-B處於停止狀態。 綜上所述,依照本發明的實現IPSec虛擬專用網隧道備份和負載的方法,通過採 用集中管理器大大簡化了各個設備的配置過程,提高了配置的統一性和安全性;同時結合 多設備技多線路術通過在最優線路和次優線路之間動態的切換隧道,解決了不同線路、不 同物理設備之間隧道的動態切換,實現了隧道備份和負載功能,大大提高了隧道的穩定性 和設備的智能性;並且將數據中心的多臺不同運營商線路的設備虛擬為一臺邏輯上的設 備,分支機構可以和這臺虛擬設備建立VPN策略,這樣當其中一臺設備發生故障導致隧道 中斷,那麼分支機構的設備會自動和該虛擬設備關聯的另外一臺物理建立相應的隧道,保 證隧道的通暢。 以上是為了使本領域普通技術人員理解本發明,而對本發明所進行的詳細描述, 但可以想到,在不脫離本發明的權利要求所涵蓋的範圍內還可以做出其它的變化和修改, 這些變化和修改均在本發明的保護範圍內。
權利要求
一種實現網際網路安全協議虛擬專用網隧道備份和負載的方法,其特徵在於,包括下列步驟步驟A將數據中心的多臺不同運營商線路的設備D1~Dk虛擬為一臺邏輯上的設備D,分支機構的設備與所述虛擬設備D建立虛擬專用網VPN策略;分支機構的設備和所述虛擬設備D向集中管理器註冊,在集中管理器上添加策略,所述策略包括指定建立隧道的設備、線路、線路的優先級,其中,k>1;步驟B當某一設備Dm的某條高優先級線路發生故障導致該線路上的隧道不通時,分支結構的設備自動和虛擬設備D中次優先級線路所在的設備建立新的隧道代替原來的隧道;當原高優先級線路恢復時,所述分支機構的設備重新和設備Dm通過原高優先級線路建立原隧道,其中,1<m<k;或者,當高優先級線路所在設備Dm發生故障導致分支機構與所述虛擬設備D之間所有隧道都不通時,分支結構的設備自動和虛擬設備D中次優先級線路所在的設備建立新的隧道代替原來的隧道;當設備Dm恢復正常時,所述分支機構的設備重新和設備Dm建立所有隧道,其中,1<m<k。
2. 如權利要求1所述的實現網際網路安全協議虛擬專用網隧道備份和負載的方法,其特 徵在於,所述設備Dl Dk通過使用同一個數字證書向集中管理器註冊,所述集中管理器在 邏輯上將所述多臺設備Dl Dk看作一臺虛擬設備。
3. 如權利要求2所述的實現網際網路安全協議虛擬專用網隧道備份和負載的方法,其特 徵在於,所述步驟A包括下列步驟在集中管理器上添加設備時,集中管理器給設備發放數字證書,然後建立VPN策略;在 設備上導入集中管理器發放的數字證書,設備使用該證書向集中管理器註冊;註冊成功後從集中管理器下載VPN策略,設備解析下載的策略,然後自動和指定的設 備的線路建立隧道。
4. 如權利要求1至3中任一項所述的實現網際網路安全協議虛擬專用網隧道備份和負 載的方法,其特徵在於,所述虛擬設備與集中管理器之間註冊、下載時使用的隧道管理協議 TopVPN。
5. 如權利要求4所述的實現網際網路安全協議虛擬專用網隧道備份和負載的方法,其特 徵在於,在所述步驟B中,依照線路的優先級進行隧道替換,如果原線路與新線路的優先級 相同,則兩線路的相應的隧道同時活躍,且隧道中都有加密數據流,以實現隧道負載功能; 如果原線路與新線路的優先級不同,則正常情況下只有優先級高的線路的隧道是活躍的, 以實現隧道備份功能。
全文摘要
本發明提供一種實現網際網路安全協議虛擬專用網隧道備份和負載的方法,包括下列步驟步驟A將數據中心的多臺不同運營商線路的設備D1~Dk虛擬為一臺邏輯上的設備D,分支機構的設備與虛擬設備D建立虛擬專用網VPN策略;分支機構的設備和虛擬設備D向集中管理器註冊,在集中管理器上添加策略,其中k>1;步驟B當某一設備Dm的某條高優先級線路發生故障導致該線路上的隧道不通時或者高優先級線路所在設備Dm發生故障導致分支機構與虛擬設備D之間所有隧道都不通時,分支結構的設備自動和虛擬設備D中次優先級線路所在的設備建立新的隧道代替原來的隧道,其中l<m<k。本發明能提高隧道的穩定性和設備的智能性。
文檔編號H04L29/06GK101753401SQ20081022797
公開日2010年6月23日 申請日期2008年12月3日 優先權日2008年12月3日
發明者孫國輝 申請人:北京天融信科技有限公司