专利名称:动态ip网络vpn管理与监控的方法
技术领域:
本发明涉及一种网络管理方法,尤其涉及一种动态IP网络VPN管理与监控(Management System of Dynamic IP Virtual Private Network)的方法。
背景技术:
作为一项成熟的异地联网技术,用宽带线路组建VPN已经为越来越多企业和政府机关单位所认可并应用,由于宽带线路组建VPN简单方便,成本低廉,安全性高,相对于其他专网组建技术来说,有很大的优势。但现有的宽带线路基本都使用动态IP,那么对于大量没有条件申请专线和静态IP地址的用户,各地的VPN设备如何快速寻址并进行管理呢?目前,行业内VPN解决方案中的动态IP管理技术大都是基于动态域名解析系统(DDNS)。
所谓动态域名解析系统主要是为了解决域名和动态IP地址之间的绑定问题。当用户使用不同的IP登录时,动态域名解析系统将用户IP地址的变化动态地映射到相应的DDNS服务器中,进行及时的自动更新。动态域名解析系统一般由两部分构成第一部分是服务器端程序,位于服务商的主机上;另一部分是客户端程序,就运行在广大用户的主机上。在每次连接网络的时候,客户端程序通过信息传递,把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务器程序负责提供DNS服务并实现动态域名解析服务,在收到客户端通知后服务器端程序立即更新数据,将新的IP地址和原有的固定域名绑定,这样就完成了动态域名解析的服务。服务器端只负责接收和更新,不负责反馈是否收到并命令客户端重发,是一个纯单向传输的系统。
动态域名解析是基于这样的工作原理动态域名服务的功能,就是实现固定域名到动态IP地址之间的解析。用户每次上网得到新的IP地址之后,都要向DNS申请更新该域名解析数据库;Internet上的其他人要访问这个域名的时候,动态域名解析服务器就会返回正确的IP地址。
但是这样的方法也存在如下的缺陷第一,可靠性差DDNS方式中,用户新的IP地址在自动提交失败后,不能自动补充提交,必须人工干预。
这是因为,动态DNS是单向发送的动态IP提交机制,缺少确认机制,也就是服务器方只负责接收用户上线或下线的信息,并不进行双方信息反馈。这样,提交方将新的IP发送后,得不到循检确认。当出现网络阻塞或者线路受到干扰等情况时,动态IP提交失败,由于提交方缺乏确认机制,所以无法补充提交,导致提交失败,信息延迟。网络延时大的时候,会按照超时处理,也无法得到确认。一旦网络发生故障,VPN断线,则要人工干预,稳定性较差。恢复时间较长,尤其是在无值守人员或者值守人员不在岗的时候,这对稳定性和可靠性要求较高的企业来说,是相当不利的。
第二,IP更新速度慢动态DNS的检测与提交周期,一般是在5~30分钟,实时性差。因为DNS的主体协议,本是为静态IP而设计,域名对应IP的修改,是人工修改配置文件。动态DNS,是半路出家的技术,在原有的DNS协议上做了扩展,保持了与传统DNS系统良好的兼容性,但是也同时造成了动态IP更新时负载过大的问题。由于更新IP时需要占用DNS服务器大量的系统资源,所以通常的动态DNS服务器都将更新频率设置的很低,以避免服务器超载,同时,对恶意攻击的抵抗能力也很差,系统非常脆弱。
虽然DDNS方式能够解决动态IP寻址的问题,但是如果网络出现故障,则导致一台VPN设备所在的整个局域网内的多台机器长时间陷于中断。即使公网线路在几秒内重新恢复,DDNS重新找到新的IP已在几十分钟之后了,此时VPN才能重新愈合。在系统自动更新失败,在管理人员无法到位的情况下,甚至会中断几天。这对于那些实时性要求较高的客户来讲,是很难接受的。
发明内容
本发明需要解决的技术问题是提供了一种动态IP网络VPN管理与监控的方法,旨在解决上述的缺陷。
为了解决上述技术问题,本发明是通过以下步骤实现的将VPN客户端和目录服务器建立数据双向传输;目录服务器由管理人员负责管理和监控,并通过数据库记录和查询数据;其中客户端包括通过本地状态检测模块,负责检测本地的IP是否变化;如果本地IP发生变化,增加上传队列任务,记录变化时间;通过与服务器通讯上传模块,负责将本地的IP变化时间与服务器上记录的IP变化时间比对,如果不一致,则上传本地IP,如果一致,则表明上传成功,删除本地上传任务;通过与服务器通讯下载模块,检测服务器端是否有下载任务,对比服务器上下载任务产生时间和本地最后一次下载成功的任务的产生时间,如果不一致,则需要下载信息,如果一致,则表明上次下载成功;通过VPN控制模块,根据服务器上下载下来的最新的VPN网络信息,调整本地的VPN配置,对于那些对端IP变化的隧道进行重建和修复;目录服务器包括通过路由器节点的通讯部分将各节点上传状态记录模块,用于负责记录每一个节点IP的最后变动时间,并以路由器节点的时间为准;通过下载任务状态记录模块,负责产生每个节点需要下载信息的任务,并产生时间戳;通过身份验证模块,负责检测每一个节点的身份是否符合数据库通讯模块中的数据,负责和数据库记录系统通讯,记录操作历史,获取身份验证信息;通过实事管理模块,负责接受管理和维护系统的命令,产生相应的任务提交给下载任务模块;管理人员负责管理和监控通过WEB界面,负责和管理与目录服务器进行交互通过数据库通讯模块,负责和数据库记录系统通讯,记录操作历史,获取身份验证信息;通过任务管理模块,负责将管理员下达的任务提交给通讯模块;与现有技术相比,本发明的有益效果是由于客户端和目录服务器之间建立了数据的双向传输和确认,极大的提高了系统的可靠性,可用性以及稳定性,使之基本达到DDN专线的效果,又可以集中监控管理分散的VPN路由器群,使VPN系统具有良好的可管理性。
图1是本发明的流程图;具体实施方式
下面结合附图与具体实施方式
对本发明作进一步详细描述由图1可见本发明是通过以下步骤实现的
将VPN客户端和目录服务器建立数据双向传输;目录服务器由管理人员负责管理和监控,并通过数据库记录和查询数据;其中客户端包括通过本地状态检测模块,负责检测本地的IP是否变化;如果本地IP发生变化,增加上传队列任务,记录变化时间;通过与服务器通讯上传模块,负责将本地的IP变化时间与服务器上记录的IP变化时间比对,如果不一致,则上传本地IP,如果一致,则表明上传成功,删除本地上传任务;通过与服务器通讯下载模块,检测服务器端是否有下载任务,对比服务器上下载任务产生时间和本地最后一次下载成功的任务的产生时间,如果不一致,则需要下载信息,如果一致,则表明上次下载成功;通过VPN控制模块,根据服务器上下载下来的最新的VPN网络信息,调整本地的VPN配置,对于那些对端IP变化的隧道进行重建和修复;目录服务器包括通过路由器节点的通讯部分将各节点上传状态记录模块,用于负责记录每一个节点IP的最后变动时间,并以路由器节点的时间为准;通过下载任务状态记录模块,负责产生每个节点需要下载信息的任务,并产生时间戳;通过身份验证模块,负责检测每一个节点的身份是否符合数据库通讯模块中的数据,负责和数据库记录系统通讯,记录操作历史,获取身份验证信息;通过实事管理模块,负责接受管理和维护系统的命令,产生相应的任务提交给下载任务模块;管理人员负责管理和监控通过WEB界面,负责和管理与目录服务器进行交互通过数据库通讯模块,负责和数据库记录系统通讯,记录操作历史,获取身份验证信息;通过任务管理模块,负责将管理员下达的任务提交给通讯模块;所述的VPN客户端和目录服务器设定在5-10秒之间通讯一次。
实际环境中用户的VPN设备上运行动态IP VPN管理客户端程序,以将该机信息注册到管理服务器。
客户端VPN设备和服务器端均建立状态记录器,每一次发送信息后,都按照内容的类型修改记录器的相应部分。管理服务器收到信息后,用相同的算法也修改服务器上对应的记录器。
客户端每5秒和管理服务器做一次通讯,汇报自己的状态是否正常,同时也查询管理服务器上的状态记录器。正常通讯的情况下,双方的状态记录器是一致的,如果不一致,就是发生了信息丢失,客户端重新提交更新信息。
管理服务器每5秒钟统计一下客户段的状态,了解各客户端工作是否正常,IP是否有变化,把所有信息录入数据库,管理人员可以在管理服务器的WEB页面上来监控和管理VPN群。
采用本发明可保证全动态IP可靠交换本发明通过集中的VPN策略管理方式成功解决了全动态IP之间自动建立VPN隧道的问题。VPN产品接入因特网之后首先向管理服务器进行注册和身份认证,然后下载自己的VPN策略;同时当策略参数发生改变时,实时通知在线的产品更新策略,从而确保所有的产品都能够获得最新的策略。通过本发明,可实时查看各节点资料信息。VPN管理中心不断监视各节点的工作状态,收集各种VPN性能参数,并根据收集到的信息对VPN网络进行故障排除、性能优化工作。
可自动拨号,断线秒级自动恢复10s的愈合速度。自动拨号,断线自动恢复。通过目录服务协议快速寻址。
多数大型企业的业务数据具有比较强的实时性要求,一旦某个分公司或者营业网点的VPN网络发生故障,业务数据不能及时上传,就可能对企业用户造成时间或经济上的损失,从而直接影响公司的声誉形象和经济利益,所以需要对整个VPN网络的运行情况进行集中监控和远程管理,及时发现网络故障并排除,保证业务系统的顺利运行。
本发明解决方案的核心是利用目录服务VPN平台,为客户建立VPN服务。用户不用关心VPN繁琐复杂的细节,不用关心路由、密钥、IKE协商等等问题,通过目录服务、License下发管理的方式,把这些复杂的设置变得很简单。所有的管理工作由相关VPN管理人员来完成,可避免企业技术人员的投资。客户可以依托于本发明的目录服务平台,在几秒钟时间内,建立安全、快捷、稳定的VPN隧道。客户的通讯过程、内容与目录服务提供商完全没有关系。
能够在不同类别的公网线路间实现互联互通;集中监控管理分散的VPN路由器群管理员可以从任何地方通过管理中心监控管理所有纳入到该平台的整网VPN产品,还可以分发相关安全策略,通过可视化的策略编辑器,一个管理员就可以同时部署和维护上百个网络节点,节省大量人力成本。也节省了绝大多数现场支持开销,为企业管理大中型网络节约了成本。网络规模越大,使用该管理中心带来的管理成本的降低越明显。
本发明基于对象模式的全中文WWW管理界面,简单友好、方便快捷,易于管理;对安全域中所有VPN设备进行集中式网络化管理。同时,VPN目录服务管理中心还可负责完成对各种VPN网络事件进行日志记录、追踪审计、故障报告等常用的网络管理功能,从而找出设备故障原因。随着需要监控的VPN设备数量增多,还能够将需要监控的设备分组管理,平时只监控重要节点的运行状况。采用智能触发技术,保证只有处于实时监控状态的VPN设备才能上报状态,就节省了管理平台的带宽占用。
可混同连用动态调整星形网络和网状网络在公司不断增长的情况下,能够保持网络框架的完整性是非常重要的。当新增一个VPN节点(办事处或合作伙伴)时,一个设计良好的解决方案将简化更新整个网络IP地址和名字空间的过程,自动向每个网络节点声明新的IP地址和网络服务。由于公司不同点业务性质的区别,整个内网访问权限也有所差别,通过本发明,可以自由组合成星型、网状或混合网络。
事实上,目录服务也将成为网络发展的方向,它将为网络管理方式带来巨大的变化。在支持目录服务的网络中,所有网络设备的配置信息都被存储在一个数据库当中,每个网络设备都有一个虚拟的位置,目录服务模块将数据传输给这一虚拟位置。这样,在理论上可以对网络信息管理实现标准化。
实现VPN的自动备份和负载均衡管理者通过发放Licenses为VPN客户提供了一种全新的安全的远程互联的方法。建立目录服务VPN平台,为了保险起见,也可使用不同地理位置的多个IP作为冗余备份,设置主从目录服务器进而形成多机备份。
当客户改变了VPN节点信息设置后,客户不需要重新启动VPN服务器,只需要进行简单操作,新的设置就立刻生效,并且有蓝、黄、黑灯显示运行状态。
纵上所述,从商业运营的角度,本发明的出现,既迎合了目前巨大的市场需求,又体现出VPN方案及产品提供商的服务质量优势。在操作性方面,目录服务VPN提供了简单管理功能;在实施过程中,无须改变原有网络结构,即插即用,一分钟就可以完成操作;在策略管理上,提供针对客户的个性化服务,另一方面能够为运行关键网络提供高服务质量的网络,并支持VPN内部多级别网络,VPN间的优先级,灵活的服务级别选定;在运营机制管理方面,目录服务VPN提供了基于发放Licenses的授权管理功能,符合运营商原有管理方式。
权利要求
1.一种动态IP网络VPN管理与监控的方法,是通过以下步骤实现的将VPN客户端和目录服务器建立数据双向传输;目录服务器由管理人员负责管理和监控,并通过数据库记录和查询数据;其中客户端包括通过本地状态检测模块,负责检测本地的IP是否变化;如果本地IP发生变化,增加上传队列任务,记录变化时间;通过与服务器通讯上传模块,负责将本地的IP变化时间与服务器上记录的IP变化时间比对,如果不一致,则上传本地IP,如果一致,则表明上传成功,删除本地上传任务;通过与服务器通讯下载模块,检测服务器端是否有下载任务,对比服务器上下载任务产生时间和本地最后一次下载成功的任务的产生时间,如果不一致,则需要下载信息,如果一致,则表明上次下载成功;通过VPN控制模块,根据服务器上下载下来的最新的VPN网络信息,调整本地的VPN配置,对于那些对端IP变化的隧道进行重建和修复;目录服务器包括通过路由器节点的通讯部分将各节点上传状态记录模块,用于负责记录每一个节点IP的最后变动时间,并以路由器节点的时间为准;通过下载任务状态记录模块,负责产生每个节点需要下载信息的任务,并产生时间戳;通过身份验证模块,负责检测每一个节点的身份是否符合数据库通讯模块中的数据,负责和数据库记录系统通讯,记录操作历史,获取身份验证信息;通过实事管理模块,负责接受管理和维护系统的命令,产生相应的任务提交给下载任务模块;管理人员负责管理和监控通过WEB界面,负责和管理与目录服务器进行交互通过数据库通讯模块,负责和数据库记录系统通讯,记录操作历史,获取身份验证信息;通过任务管理模块,负责将管理员下达的任务提交给通讯模块。
2.根据权利要求1所述的动态IP网络VPN管理与监控的方法,其中所述的VPN客户端和目录服务器设定在5-10秒之间通讯一次。
全文摘要
本发明涉及一种动态IP网络VPN管理与监控的方法,是通过以下步骤实现的将VPN客户端和目录服务器建立数据双向传输;目录服务器由管理人员负责管理和监控,并通过数据库记录和查询数据;本发明的有益效果是由于客户端和目录服务器之间建立了数据的双向传输和确认,极大的提高了系统的可靠性,可用性以及稳定性,使之基本达到DDN专线的效果,又可以集中监控管理分散的VPN路由器群,使VPN系统具有良好的可管理性。
文档编号H04L12/46GK1988465SQ20051011197
公开日2007年6月27日 申请日期2005年12月23日 优先权日2005年12月23日
发明者周沛 申请人:上海冰峰计算机网络技术有限公司