一種IPSec VPN高性能數(shù)據(jù)同步方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及一種IPSec VPN高性能數(shù)據(jù)同步方法，特別是涉及一種適用于IPSecVPN在雙機(jī)熱備或者負(fù)載均衡環(huán)境下，在主設(shè)備和備用設(shè)備之間，對數(shù)據(jù)進(jìn)行同步的方法。
【背景技術(shù)】
[0002]IPSec VPN設(shè)備需要支持雙機(jī)熱備功能、適應(yīng)負(fù)載均衡網(wǎng)絡(luò)，以實(shí)現(xiàn)IPSec VPN設(shè)備自身的可靠性，以及所在的網(wǎng)絡(luò)、用戶業(yè)務(wù)的可靠運(yùn)行。設(shè)備在運(yùn)行前需要進(jìn)行配置參數(shù)信息設(shè)置，在運(yùn)行過程中將產(chǎn)生大量的工作數(shù)據(jù)。為了保證一臺設(shè)備出現(xiàn)故障后，另外一臺設(shè)備能夠快速參與工作，需要保證同組的兩臺設(shè)備所有信息能夠?qū)崟r(shí)一致。
[0003]設(shè)備運(yùn)行所需的配置信息一般由用戶設(shè)置，其特點(diǎn)是本地保存、同步頻率較低。設(shè)備的工作信息主要指設(shè)備在工作過程中，根據(jù)其自身業(yè)務(wù)的特點(diǎn)動態(tài)生成、維護(hù)業(yè)務(wù)處理的內(nèi)存臨時(shí)信息，重啟時(shí)這些信息一般不會本地保存而丟失。其更新頻率主要根據(jù)自身業(yè)務(wù)的特點(diǎn)以及受用戶業(yè)務(wù)處理速率的影響。比如IKE密鑰協(xié)商過程中，ISAKMP SA的更新頻率主要是根據(jù)用戶輸入的配置參數(shù)決定，IPSec SA的更新頻率則受用戶輸入的配置參數(shù)和用戶業(yè)務(wù)處理速率決定。從更新頻繁程度分析，IPSec SA的更新頻率高于ISAKMP SA，其中IPSec SA的抗重放序列號和抗重放滑動窗口更新最為頻繁。
[0004]設(shè)備工作信息的更新頻度主要取決于設(shè)備協(xié)商IPSecSA的能力，更新頻度一般不會低于毫秒級。
[0005]IPSec協(xié)議處理過程中，部分工作信息的變化頻度非常高，主要包括IPSec SA的字節(jié)生命周期、抗重放序列號和抗重放滑動窗口。更新頻度主要起決于設(shè)備的VPN處理能力。假如設(shè)備VPN處理能夠達(dá)到100Mbps線速，其更新頻度達(dá)到微妙級。
[0006]如果針對更新頻度為微妙級進(jìn)行實(shí)時(shí)同步，對VPN設(shè)備的性能影響非常大，影響設(shè)備正常運(yùn)行。
[0007]傳統(tǒng)的IPSecVPN數(shù)據(jù)同步一般采用定時(shí)查詢獲取同步數(shù)據(jù)，這對系統(tǒng)性能影響嚴(yán)重影響。

【發(fā)明內(nèi)容】

[0008]傳統(tǒng)的定時(shí)查詢方法無法獲取到同步數(shù)據(jù)是否發(fā)生改變，只是定時(shí)查詢獲取同步數(shù)據(jù)，這樣進(jìn)行所有項(xiàng)查詢會帶來無謂的浪費(fèi)。
[0009]本發(fā)明要解決的技術(shù)問題是:提供一種提高工作效率，減少系統(tǒng)負(fù)載的IPSecVPN高性能數(shù)據(jù)同步方法。
[0010]本發(fā)明采用的技術(shù)方案如下:一種IPSecVPN高性能數(shù)據(jù)同步方法，其特征在于，設(shè)置待同步隊(duì)列和同步隊(duì)列，采用基于定時(shí)器的批量同步，數(shù)據(jù)信息項(xiàng)數(shù)據(jù)發(fā)生改變時(shí)，主動鏈接到待同步隊(duì)列中，實(shí)現(xiàn)定時(shí)同步;所述待同步隊(duì)列用于鏈接所有發(fā)生了改變但沒有開始同步的數(shù)據(jù)信息項(xiàng);所述同步隊(duì)列用于維護(hù)所有發(fā)生了改變正在進(jìn)行同步的數(shù)據(jù)信息項(xiàng);所述定時(shí)器根據(jù)設(shè)置的定時(shí)時(shí)間閾值，負(fù)責(zé)發(fā)起數(shù)據(jù)同步功能。
[0011]待同步隊(duì)列為一個(gè)鏈表頭，負(fù)責(zé)鏈接所有發(fā)生了改變但沒有開始同步的數(shù)據(jù)信息項(xiàng)；同步隊(duì)列同樣為一個(gè)鏈表頭，負(fù)責(zé)維護(hù)所有發(fā)生了改變、正在進(jìn)行同步的數(shù)據(jù)信息項(xiàng)。
[0012]傳統(tǒng)的IPSecVPN數(shù)據(jù)同步一般采用定時(shí)查詢獲取同步數(shù)據(jù)，這對系統(tǒng)性能影響嚴(yán)重影響。本發(fā)明采用基于定時(shí)器的批量同步，數(shù)據(jù)信息項(xiàng)因同步數(shù)據(jù)發(fā)生改變，主動鏈接到待同步隊(duì)列中。省去了傳統(tǒng)定時(shí)查詢方法因無法獲取到同步數(shù)據(jù)是否發(fā)生改變，而進(jìn)行所有項(xiàng)查詢而帶來無謂的浪費(fèi)，同時(shí)也減少了定時(shí)查詢所帶來的數(shù)據(jù)拷貝。
[0013]進(jìn)一步的，數(shù)據(jù)信息項(xiàng)數(shù)據(jù)發(fā)生改變時(shí)，主動鏈接到待同步隊(duì)列中的具體方法為:在數(shù)據(jù)信息項(xiàng)中設(shè)置指向待同步隊(duì)列的鏈表，當(dāng)某一數(shù)據(jù)信息項(xiàng)中同步信息發(fā)生改變，則把該數(shù)據(jù)信息項(xiàng)鏈接到待同步隊(duì)列中。
[0014]在每一天數(shù)據(jù)信息項(xiàng)中設(shè)置一個(gè)指向待同步隊(duì)列的鏈表，當(dāng)某一數(shù)據(jù)信息項(xiàng)中數(shù)據(jù)信息發(fā)生改變時(shí)，該鏈表會把該數(shù)據(jù)信息項(xiàng)鏈接到待同步隊(duì)列，以等到定時(shí)時(shí)間閾值達(dá)到后進(jìn)行同步。
[0015]進(jìn)一步的，所述方法還包括，在IKE SA中設(shè)置一個(gè)list entry，當(dāng)IKE SA發(fā)起了或者收到了DPD探測及相應(yīng)報(bào)文后，list entry掛接到待同步隊(duì)列中。
[0016]進(jìn)一步的，所述方法還包括，在IPSec SA中設(shè)置一個(gè)list entry，判斷當(dāng)前IPSecSA是否進(jìn)行了一次VPN處理，是，則說明抗重放序列號或者抗重放窗口發(fā)生了改變，則把當(dāng)前IPSec SA的list entry掛接到待同步隊(duì)列中。
[0017]進(jìn)一步的，設(shè)置定時(shí)器定時(shí)時(shí)間閾值，當(dāng)時(shí)間值大于等于所設(shè)定的定時(shí)時(shí)間閾值時(shí)，判定為達(dá)到定時(shí)時(shí)間閾值，定時(shí)器重新進(jìn)入計(jì)時(shí)，進(jìn)入下一個(gè)定時(shí)判斷流程。
[0018]進(jìn)一步的，實(shí)現(xiàn)定時(shí)同步的具體方法步驟為:
步驟一、判斷定時(shí)器是否達(dá)到定時(shí)時(shí)間閾值，是則進(jìn)入下一步，否則繼續(xù)等待；
步驟二、待同步隊(duì)列鏈接到同步隊(duì)列鏈表尾，置待同步隊(duì)列為空；
步驟三、同步隊(duì)列確定本次要進(jìn)行同步的數(shù)據(jù)信息項(xiàng)，并逐一收集同步隊(duì)列中每個(gè)數(shù)據(jù)信息項(xiàng)的同步信息，發(fā)送給要同步信息的另一臺設(shè)備進(jìn)行同步。
[0019]同步進(jìn)程或模塊對同步隊(duì)列中所有SA以設(shè)定固定數(shù)量的SA確定要同步的數(shù)據(jù)信息項(xiàng)，收集其中的相關(guān)信息(IKE SA包括雙方cookie值、DH)探測序列號和ACK序列號，IPSecSA包括SP1、SA目的地址、協(xié)議、抗重放序列號和抗重放滑動窗口)，收集一個(gè)SA信息后則把該SA的list entry置為空。如果該SA發(fā)生改變，則把該SA掛接到待同步隊(duì)列中。收集完同步隊(duì)列的所有SA信息后，則把這些信息存放在報(bào)文發(fā)送緩存區(qū)，由同步進(jìn)程或者模塊發(fā)送出去。當(dāng)處理完同步隊(duì)列里所有的SA信息后，同步隊(duì)列為空鏈表頭，等待下次定時(shí)時(shí)間閾值的到達(dá)。
[0020]當(dāng)處理完同步隊(duì)列里所有的SA信息后，同步隊(duì)列為空鏈表頭，等待下次達(dá)到定時(shí)時(shí)間閾值。如果同步隊(duì)列的數(shù)據(jù)信息項(xiàng)數(shù)量超過了本次要進(jìn)行同步的數(shù)據(jù)信息項(xiàng)數(shù)量，剩余的數(shù)據(jù)信息項(xiàng)則下一次達(dá)到定時(shí)時(shí)間閾值后再發(fā)送。
[0021]進(jìn)一步的，所述步驟一和步驟二之間還包括:判斷待同步隊(duì)列中是否有需要進(jìn)行同步的數(shù)據(jù)信息項(xiàng)，是則進(jìn)入步驟二，否則返回步驟一繼續(xù)等待達(dá)到下一個(gè)定時(shí)時(shí)間閾值。
[0022]進(jìn)一步的，所述步驟三中，設(shè)定每次同步所處理的數(shù)據(jù)信息項(xiàng)的數(shù)量，按照該數(shù)量和待同步數(shù)據(jù)信息項(xiàng)的前后位置，確定本次要進(jìn)行同步的數(shù)據(jù)信息項(xiàng)。
[0023]進(jìn)一步的，進(jìn)行大量SA信息定時(shí)批量同步時(shí)，降低第一次SA信息批量同步的數(shù)量，針對第一個(gè)同步報(bào)文，備設(shè)備完成同步后返回其處理的時(shí)間戳，主設(shè)備根據(jù)所述返回的時(shí)間戳調(diào)整后續(xù)發(fā)送的需要同步的SA信息數(shù)量。
[0024]針對前面提到可靠性機(jī)制，在實(shí)際使用過程中，當(dāng)進(jìn)行大量SA信息定時(shí)批量同步時(shí)，此時(shí)主設(shè)備無法知道備用設(shè)備當(dāng)前的運(yùn)行負(fù)載?？梢越档偷谝淮蜸A要進(jìn)行批量同步的數(shù)量，具體數(shù)量要根據(jù)工程實(shí)踐來確認(rèn)。
[0025]進(jìn)一步的，所述定時(shí)時(shí)間閾值的設(shè)定方法包括:根據(jù)當(dāng)前IPSecSA或者IKE SA的數(shù)量動態(tài)調(diào)整設(shè)置，設(shè)主設(shè)備和備設(shè)備之間希望T秒鐘完成一次數(shù)據(jù)同步，一次最多處理P個(gè)IPSec SA，當(dāng)前系統(tǒng)中有S個(gè)IPSec SA的值發(fā)生了改變，則定時(shí)時(shí)間閾值=T/( S/P)。
[0026]定時(shí)器定時(shí)時(shí)間閾值進(jìn)行自定義配置或根據(jù)當(dāng)前IPSecSA或者IKE SA的數(shù)量動態(tài)調(diào)整設(shè)置。當(dāng)定時(shí)時(shí)間閾值到達(dá)，待同步隊(duì)列鏈表的所有內(nèi)容移動到同步隊(duì)列中。待同步隊(duì)列則以空鏈表頭的形式繼續(xù)接受IKE SAD和IPSec SAD中之前沒有發(fā)生改變的SA信息。
[0027]與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是:省去了傳統(tǒng)定時(shí)查詢方法因無法獲取到同步數(shù)據(jù)是否發(fā)生改變，而進(jìn)行所有項(xiàng)查詢而帶來無謂的浪費(fèi)，同時(shí)也減少了定時(shí)查詢所帶來的數(shù)據(jù)拷貝。
【附圖說明】
[0028]圖1為本發(fā)明其中一實(shí)施例的原理不意圖。
【具體實(shí)施方式】
[0029]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下結(jié)合附圖及實(shí)施例，對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅用以解釋本發(fā)明，并不用于限定本發(fā)明。
[0030]本說明書(包括摘要和附圖)中公開的任一特征，除非特別敘述，均可被其他等效或者具有類似目的的替代特征加以替換。即，除非特別敘述，每個(gè)特征只是一系列等效或類似特征中的一個(gè)例子而已。
[0031 ] 具體實(shí)施例一
一種IPSec VPN高性能數(shù)據(jù)同