一種實現(xiàn)IPSecVPN主備鏈路動態(tài)切換的方法
【專利摘要】一種實現(xiàn)IPSecVPN主備鏈路動態(tài)切換的方法,涉及網(wǎng)絡(luò)安全領(lǐng)域,每個周期包括:1)通過DPD機制檢測主鏈路是否正常,如果正常,則執(zhí)行步驟3),如果不正常則執(zhí)行步驟2);2)虛擬專用網(wǎng)絡(luò)VPN的流量從備鏈路的網(wǎng)絡(luò)協(xié)議安全IPSec隧道轉(zhuǎn)發(fā);流程結(jié)束;3)虛擬專用網(wǎng)絡(luò)VPN的流量從主鏈路的網(wǎng)絡(luò)協(xié)議安全IPSec隧道轉(zhuǎn)發(fā);流程結(jié)束。本發(fā)明將IPSec的DPD檢測機制與wan接口路由進行巧妙關(guān)聯(lián),同時根據(jù)鏈路狀態(tài)對路由的優(yōu)先級做出靈活處理,使得在沒有GRE時,也能實現(xiàn)主備鏈路的切換,提高數(shù)據(jù)轉(zhuǎn)發(fā)性能。
【專利說明】—種實現(xiàn)IPSecVPN主備鏈路動態(tài)切換的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,具體涉及一種實現(xiàn)IPSec VPN主備鏈路動態(tài)切換的方法。
【背景技術(shù)】
[0002]IPSec (Internet協(xié)議安全)是一個工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議,為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù),保護TCP/IP通信免遭竊聽和篡改,可以有效抵御網(wǎng)絡(luò)攻擊,同時保持易用性。IPSec有兩個基本目標(biāo):1)保護IP數(shù)據(jù)包安全;2)為抵御網(wǎng)絡(luò)攻擊提供防護措施。
[0003]IPSec通常用來組建VPN (Virtual Private Network,虛擬專用網(wǎng)絡(luò)),它大體分為兩個階段:隧道協(xié)商階段和數(shù)據(jù)傳送階段。
[0004]隧道協(xié)商階段主要是通過IKE (Internet密鑰交換協(xié)議)來完成,隧道的建立需要經(jīng)過兩個階段的協(xié)商。第一階段建立一個驗證的安全聯(lián)盟和密鑰,稱為IKE SA (SecurityAssociation,安全聯(lián)盟)。它主要包括提案與密鑰的交換,在這一階段,有兩種交換模式:主模式、野蠻模式。不管哪一種模式,都是交換提案,并協(xié)商出一種雙方都可以接受的安全屬性。如預(yù)共享密鑰或證書的交換、加密認證算法、密鑰、DH組(Diffie-HeI Iman,密鑰交換協(xié)議/算法)、IKE SA生存期。隨后可用IKE SA為IPSec安全協(xié)議建立安全聯(lián)盟。這一階段主要包含認證方式、身份信息交換(預(yù)共享密鑰或證書)、算法、密鑰、SA生存期的協(xié)商。第二階段建立一個用于IPSec的安全聯(lián)盟,稱為IPSec SA。第二階段完成后,也就相當(dāng)于VPN隧道建立完成,可以開始加密通信。第二階段必須在第一階段建立的IKE SA保護下進行。
[0005]數(shù)據(jù)傳送階段主要是通過ESP (Encapsulating Security Payload,數(shù)據(jù)封裝加密)和AH (Authentication Header,認證表頭)兩個協(xié)議來完成。ESP可以提供加密和認證功能,AH只能提供認證功能。
[0006]IPSec VPN可以使兩個異地的私有網(wǎng)絡(luò)連接起來,或者使公網(wǎng)上的計算機可以訪問遠程的企業(yè)私有網(wǎng)絡(luò)。在總部與多個分支之間建立IPSec VPN時,會使用主備鏈路備份的方案,增強VPN業(yè)務(wù)的可靠性。如圖1所示,一路上行為電信網(wǎng)絡(luò),另一路上行為聯(lián)通網(wǎng)絡(luò),對于總部來說,兩路VPN隧道同時工作,優(yōu)先級相同,選擇哪一條隧道傳輸數(shù)據(jù)由分支決定;對于分支來說,兩路上行之間要實現(xiàn)備份的功能,需要滿足如下要求:主鏈路傳輸數(shù)據(jù)的時候,備鏈路不參與,當(dāng)主鏈路發(fā)生故障時,流量會切換到備鏈路,當(dāng)主鏈路故障恢復(fù)后,流量會切回到主鏈路。
[0007]通過將原始報文先經(jīng)過GRE(Generic Routing Encapsulation,通用路由封裝)隧道的封裝再進行IPSec隧道的封裝,稱為GRE over IPSec,上述方式可以做到主備鏈路的動態(tài)切換,它利用GRE的點到點的路由來實現(xiàn)。因為GRE鏈路上會定時發(fā)送ke印alive報文來確認對端是否可達,所以它能感知到鏈路上任意一個路由節(jié)點的故障。兩條鏈路都正常時,通過GRE的路由優(yōu)先級來選擇主鏈路,如圖1所示,以分支一為例,假設(shè)wanO對應(yīng)GRE0,wan I 對應(yīng) GRE I。
[0008]兩條鏈路都正常時,分支一上的路由信息如下:
【權(quán)利要求】
1.一種實現(xiàn)IPSec VPN主備鏈路動態(tài)切換的方法,其特征在于:所述方法每個周期包括: 1)通過Dro機制檢測主鏈路是否正常,如果正常,則執(zhí)行步驟3),如果不正常則執(zhí)行步驟2); 2)虛擬專用網(wǎng)絡(luò)VPN的流量從備鏈路的網(wǎng)絡(luò)協(xié)議安全IPSec隧道轉(zhuǎn)發(fā);流程結(jié)束; 3)虛擬專用網(wǎng)絡(luò)VPN的流量從主鏈路的網(wǎng)絡(luò)協(xié)議安全IPSec隧道轉(zhuǎn)發(fā);流程結(jié)束。
2.如權(quán)利要求1所述的方法,其特征在于:步驟2)后還包括: 2-1)檢測主鏈路是否恢復(fù)正常,如果恢復(fù)正常,則VPN流量切換到主鏈路的IPSec隧道,執(zhí)行步驟3);若如果主鏈路未恢復(fù)正常,則執(zhí)行步驟2)。
3.如權(quán)利要求1所述的方法,其特征在于:步驟2)包括: 刪除主鏈路的安全聯(lián)盟SA ; 將備鏈路的IPSec隧道的所有路由接口狀態(tài)變?yōu)橛行В? VPN流量切換到備鏈路的IPSec隧道。
4.如權(quán)利要求1所述的方法,其特征在于:步驟2)包括: 將主鏈路的IPSec隧道的所有 路由接口優(yōu)先級設(shè)為最低; 將備鏈路的IPSec隧道的所有路由接口狀態(tài)變?yōu)橛行В? VPN流量切換到備鏈路的IPSec隧道。
5.如權(quán)利要求2所述的方法,其特征在于:步驟2-1)中所述VPN流量切換到主鏈路的IPSec隧道的步驟包括: 添加主鏈路的安全聯(lián)盟SA ; 將備鏈路的IPSec隧道的所有路由接口狀態(tài)變?yōu)闊o效; VPN流量切換到主鏈路的IPSec隧道。
6.如權(quán)利要求2所述的方法,其特征在于:步驟2-1)中所述VPN流量切換到主鏈路的IPSec隧道的步驟包括: 將主鏈路的IPSec隧道的所有路由接口優(yōu)先級設(shè)為最高; 將備鏈路的IPSec隧道的所有路由接口狀態(tài)變?yōu)闊o效; VPN流量切換到主鏈路的IPSec隧道。
7.如權(quán)利要求2述的方法,其特征在于:步驟2-1)中檢測主鏈路是否恢復(fù)正常的步驟包括: 從主鏈路的IPSec隧道的起始路由接口向主鏈路的IPSec隧道的終止路由接口發(fā)送網(wǎng)絡(luò)控制報文協(xié)議ICMP時間戳請求; 如果所述起始路由接口收到所述終止路由接口返回的ICMP時間戳應(yīng)答,則主鏈路恢復(fù)正常;否則,主鏈路未恢復(fù)正常。
8.如權(quán)利要求7所述的方法,其特征在于:所述主鏈路的網(wǎng)絡(luò)安全協(xié)議隧道的起始路由接口向主鏈路的網(wǎng)絡(luò)安全協(xié)議隧道的終止路由接口發(fā)送網(wǎng)絡(luò)控制報文協(xié)議ICMP時間戳請求的方式為定期發(fā)送。
9.如權(quán)利要求2所述的方法,其特征在于:步驟2-1)中檢測主鏈路是否恢復(fù)正常的步驟包括: A)從主鏈路的IPSec隧道的起始路由接口向主鏈路的IPSec隧道的終止路由接口發(fā)送網(wǎng)絡(luò)控制報文協(xié)議ICMP時間戳請求; B)如果所述起始路由接口收到所述終止路由接口返回的ICMP時間戳應(yīng)答,則執(zhí)行步驟C);否則,主鏈路未恢復(fù)正常; C)計算所述起始路由接口發(fā)送ICMP時間戳請求與接收到ICMP時間戳應(yīng)答的時間差,如果所述時間差小于或者等于閾值,則主鏈路恢復(fù)正常;如果所述時間差大于閾值,則主鏈路未恢復(fù)正常。
10. 如權(quán)利要求9所述的方法,其特征在于:所述步驟A)的發(fā)送方式為定期發(fā)送。
【文檔編號】H04L29/06GK103475655SQ201310403908
【公開日】2013年12月25日 申請日期:2013年9月6日 優(yōu)先權(quán)日:2013年9月6日
【發(fā)明者】肖真 申請人:瑞斯康達科技發(fā)展股份有限公司