一種實(shí)現(xiàn)IPSecVPN主備鏈路動(dòng)態(tài)切換的方法
【專利摘要】一種實(shí)現(xiàn)IPSecVPN主備鏈路動(dòng)態(tài)切換的方法���,涉及網(wǎng)絡(luò)安全領(lǐng)域����,每個(gè)周期包括:1)通過(guò)DPD機(jī)制檢測(cè)主鏈路是否正常����,如果正常,則執(zhí)行步驟3)�����,如果不正常則執(zhí)行步驟2)�;2)虛擬專用網(wǎng)絡(luò)VPN的流量從備鏈路的網(wǎng)絡(luò)協(xié)議安全I(xiàn)PSec隧道轉(zhuǎn)發(fā);流程結(jié)束�;3)虛擬專用網(wǎng)絡(luò)VPN的流量從主鏈路的網(wǎng)絡(luò)協(xié)議安全I(xiàn)PSec隧道轉(zhuǎn)發(fā);流程結(jié)束��。本發(fā)明將IPSec的DPD檢測(cè)機(jī)制與wan接口路由進(jìn)行巧妙關(guān)聯(lián)�,同時(shí)根據(jù)鏈路狀態(tài)對(duì)路由的優(yōu)先級(jí)做出靈活處理,使得在沒(méi)有GRE時(shí)���,也能實(shí)現(xiàn)主備鏈路的切換����,提高數(shù)據(jù)轉(zhuǎn)發(fā)性能。
【專利說(shuō)明】—種實(shí)現(xiàn)IPSecVPN主備鏈路動(dòng)態(tài)切換的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域���,具體涉及一種實(shí)現(xiàn)IPSec VPN主備鏈路動(dòng)態(tài)切換的方法�。
【背景技術(shù)】
[0002]IPSec (Internet協(xié)議安全)是一個(gè)工業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議��,為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)����,保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改,可以有效抵御網(wǎng)絡(luò)攻擊����,同時(shí)保持易用性。IPSec有兩個(gè)基本目標(biāo):1)保護(hù)IP數(shù)據(jù)包安全���;2)為抵御網(wǎng)絡(luò)攻擊提供防護(hù)措施��。
[0003]IPSec通常用來(lái)組建VPN (Virtual Private Network,虛擬專用網(wǎng)絡(luò))�����,它大體分為兩個(gè)階段:隧道協(xié)商階段和數(shù)據(jù)傳送階段�。
[0004]隧道協(xié)商階段主要是通過(guò)IKE (Internet密鑰交換協(xié)議)來(lái)完成,隧道的建立需要經(jīng)過(guò)兩個(gè)階段的協(xié)商�。第一階段建立一個(gè)驗(yàn)證的安全聯(lián)盟和密鑰,稱為IKE SA (SecurityAssociation���,安全聯(lián)盟)���。它主要包括提案與密鑰的交換�����,在這一階段��,有兩種交換模式:主模式���、野蠻模式����。不管哪一種模式����,都是交換提案,并協(xié)商出一種雙方都可以接受的安全屬性�����。如預(yù)共享密鑰或證書的交換、加密認(rèn)證算法����、密鑰、DH組(Diffie-HeI Iman����,密鑰交換協(xié)議/算法)、IKE SA生存期�����。隨后可用IKE SA為IPSec安全協(xié)議建立安全聯(lián)盟����。這一階段主要包含認(rèn)證方式、身份信息交換(預(yù)共享密鑰或證書)����、算法、密鑰��、SA生存期的協(xié)商��。第二階段建立一個(gè)用于IPSec的安全聯(lián)盟,稱為IPSec SA����。第二階段完成后,也就相當(dāng)于VPN隧道建立完成�,可以開(kāi)始加密通信。第二階段必須在第一階段建立的IKE SA保護(hù)下進(jìn)行�����。
[0005]數(shù)據(jù)傳送階段主要是通過(guò)ESP (Encapsulating Security Payload,數(shù)據(jù)封裝加密)和AH (Authentication Header,認(rèn)證表頭)兩個(gè)協(xié)議來(lái)完成����。ESP可以提供加密和認(rèn)證功能�,AH只能提供認(rèn)證功能。
[0006]IPSec VPN可以使兩個(gè)異地的私有網(wǎng)絡(luò)連接起來(lái)�����,或者使公網(wǎng)上的計(jì)算機(jī)可以訪問(wèn)遠(yuǎn)程的企業(yè)私有網(wǎng)絡(luò)���。在總部與多個(gè)分支之間建立IPSec VPN時(shí)��,會(huì)使用主備鏈路備份的方案���,增強(qiáng)VPN業(yè)務(wù)的可靠性���。如圖1所示,一路上行為電信網(wǎng)絡(luò)�,另一路上行為聯(lián)通網(wǎng)絡(luò),對(duì)于總部來(lái)說(shuō)���,兩路VPN隧道同時(shí)工作����,優(yōu)先級(jí)相同���,選擇哪一條隧道傳輸數(shù)據(jù)由分支決定�;對(duì)于分支來(lái)說(shuō)�,兩路上行之間要實(shí)現(xiàn)備份的功能,需要滿足如下要求:主鏈路傳輸數(shù)據(jù)的時(shí)候��,備鏈路不參與�����,當(dāng)主鏈路發(fā)生故障時(shí)����,流量會(huì)切換到備鏈路���,當(dāng)主鏈路故障恢復(fù)后,流量會(huì)切回到主鏈路�����。
[0007]通過(guò)將原始報(bào)文先經(jīng)過(guò)GRE(Generic Routing Encapsulation,通用路由封裝)隧道的封裝再進(jìn)行IPSec隧道的封裝���,稱為GRE over IPSec�����,上述方式可以做到主備鏈路的動(dòng)態(tài)切換���,它利用GRE的點(diǎn)到點(diǎn)的路由來(lái)實(shí)現(xiàn)��。因?yàn)镚RE鏈路上會(huì)定時(shí)發(fā)送ke印alive報(bào)文來(lái)確認(rèn)對(duì)端是否可達(dá)�,所以它能感知到鏈路上任意一個(gè)路由節(jié)點(diǎn)的故障。兩條鏈路都正常時(shí)�����,通過(guò)GRE的路由優(yōu)先級(jí)來(lái)選擇主鏈路,如圖1所示�,以分支一為例,假設(shè)wanO對(duì)應(yīng)GRE0����,wan I 對(duì)應(yīng) GRE I。
[0008]兩條鏈路都正常時(shí)���,分支一上的路由信息如下:
【權(quán)利要求】
1.一種實(shí)現(xiàn)IPSec VPN主備鏈路動(dòng)態(tài)切換的方法�,其特征在于:所述方法每個(gè)周期包括: 1)通過(guò)Dro機(jī)制檢測(cè)主鏈路是否正常��,如果正常����,則執(zhí)行步驟3),如果不正常則執(zhí)行步驟2)�����; 2)虛擬專用網(wǎng)絡(luò)VPN的流量從備鏈路的網(wǎng)絡(luò)協(xié)議安全I(xiàn)PSec隧道轉(zhuǎn)發(fā)�;流程結(jié)束; 3)虛擬專用網(wǎng)絡(luò)VPN的流量從主鏈路的網(wǎng)絡(luò)協(xié)議安全I(xiàn)PSec隧道轉(zhuǎn)發(fā)���;流程結(jié)束�。
2.如權(quán)利要求1所述的方法,其特征在于:步驟2)后還包括: 2-1)檢測(cè)主鏈路是否恢復(fù)正常���,如果恢復(fù)正常����,則VPN流量切換到主鏈路的IPSec隧道��,執(zhí)行步驟3);若如果主鏈路未恢復(fù)正常�����,則執(zhí)行步驟2)��。
3.如權(quán)利要求1所述的方法����,其特征在于:步驟2)包括: 刪除主鏈路的安全聯(lián)盟SA ; 將備鏈路的IPSec隧道的所有路由接口狀態(tài)變?yōu)橛行В? VPN流量切換到備鏈路的IPSec隧道����。
4.如權(quán)利要求1所述的方法�,其特征在于:步驟2)包括: 將主鏈路的IPSec隧道的所有 路由接口優(yōu)先級(jí)設(shè)為最低; 將備鏈路的IPSec隧道的所有路由接口狀態(tài)變?yōu)橛行В? VPN流量切換到備鏈路的IPSec隧道����。
5.如權(quán)利要求2所述的方法�,其特征在于:步驟2-1)中所述VPN流量切換到主鏈路的IPSec隧道的步驟包括: 添加主鏈路的安全聯(lián)盟SA �; 將備鏈路的IPSec隧道的所有路由接口狀態(tài)變?yōu)闊o(wú)效; VPN流量切換到主鏈路的IPSec隧道�。
6.如權(quán)利要求2所述的方法,其特征在于:步驟2-1)中所述VPN流量切換到主鏈路的IPSec隧道的步驟包括: 將主鏈路的IPSec隧道的所有路由接口優(yōu)先級(jí)設(shè)為最高�����; 將備鏈路的IPSec隧道的所有路由接口狀態(tài)變?yōu)闊o(wú)效���; VPN流量切換到主鏈路的IPSec隧道��。
7.如權(quán)利要求2述的方法�����,其特征在于:步驟2-1)中檢測(cè)主鏈路是否恢復(fù)正常的步驟包括: 從主鏈路的IPSec隧道的起始路由接口向主鏈路的IPSec隧道的終止路由接口發(fā)送網(wǎng)絡(luò)控制報(bào)文協(xié)議ICMP時(shí)間戳請(qǐng)求���; 如果所述起始路由接口收到所述終止路由接口返回的ICMP時(shí)間戳應(yīng)答,則主鏈路恢復(fù)正常����;否則��,主鏈路未恢復(fù)正常��。
8.如權(quán)利要求7所述的方法��,其特征在于:所述主鏈路的網(wǎng)絡(luò)安全協(xié)議隧道的起始路由接口向主鏈路的網(wǎng)絡(luò)安全協(xié)議隧道的終止路由接口發(fā)送網(wǎng)絡(luò)控制報(bào)文協(xié)議ICMP時(shí)間戳請(qǐng)求的方式為定期發(fā)送�����。
9.如權(quán)利要求2所述的方法�����,其特征在于:步驟2-1)中檢測(cè)主鏈路是否恢復(fù)正常的步驟包括: A)從主鏈路的IPSec隧道的起始路由接口向主鏈路的IPSec隧道的終止路由接口發(fā)送網(wǎng)絡(luò)控制報(bào)文協(xié)議ICMP時(shí)間戳請(qǐng)求���; B)如果所述起始路由接口收到所述終止路由接口返回的ICMP時(shí)間戳應(yīng)答,則執(zhí)行步驟C);否則�����,主鏈路未恢復(fù)正常���; C)計(jì)算所述起始路由接口發(fā)送ICMP時(shí)間戳請(qǐng)求與接收到ICMP時(shí)間戳應(yīng)答的時(shí)間差��,如果所述時(shí)間差小于或者等于閾值�����,則主鏈路恢復(fù)正常��;如果所述時(shí)間差大于閾值��,則主鏈路未恢復(fù)正常����。
10. 如權(quán)利要求9所述的方法�����,其特征在于:所述步驟A)的發(fā)送方式為定期發(fā)送�����。
【文檔編號(hào)】H04L29/06GK103475655SQ201310403908
【公開(kāi)日】2013年12月25日 申請(qǐng)日期:2013年9月6日 優(yōu)先權(quán)日:2013年9月6日
【發(fā)明者】肖真 申請(qǐng)人:瑞斯康達(dá)科技發(fā)展股份有限公司