实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构的制作方法

文档序号:7923436阅读:379来源:国知局
专利名称:实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构的制作方法
技术领域
本发明涉及安全传输技术,尤其涉及一种实现IPSec隧道备份的方法和 -种实现IPSec隧道备份的系统,还涉及一种节点设备和一种组网架构。
背景技术
一方面,为了提高网络的可靠性,核心节点(比如服务器)往往通过两 个或者多个出口网关接入运营网络,以便进行负载分担或者在一个出口网关 出现故障时避免业务流中断;这种情况下,多个出口网关互为主备或者负载分担。
另一方面,为了保证网络通信的可靠性,节点之间往往在通信中提供 IPSec保护。所谓IPSec (IP Security),是由Internet工程任务组(IETF)开 发的、在IP层保护节点间通信流量的通用机制,主要通过封装安全载荷(ESP) 和/或验证头(AH)协议来保护流量,保证两个节点(可称为IPSec对等体) 之间通信的私有性(Confidentiality)、完整性(Data Integrity)、真实性(Data Authentiation)和防重放(Anti-replay),从而为IP层通信提供了高质量、 可互操作的、基于密码学的安全性保证。其中,私有性是指节点数据进行加 密保护,用密文的形式传送;完整性是指节点对接收的数据进行验证,以判 定报文是否被篡改;真实性是指对数据源进行验证,以保证数据来自真实的 发送者;防重放是指防止恶意节点通过重复发送捕获到的数据包所进行的攻 击,即接收节点会拒绝旧的或者重复的数据包。
需要指出,IPSec工作的先决条件是两个节点间存在安全联盟(Security Association, SA),由SA对通信要素进行约定,例如,使用哪种协议(AH、 ESP还是两者结合使用)、协议的操作模式(传输模式或隧道模式)、加密 算法(DES或3DES)、特定流中保护数据的共享密钥以及SA的生存周期 等。可以看出,SA是IPSec的基础,也是IPSec的本质;通过节点上成对的 SA,构成节点之间的IPSec隧道,为数据流提供不同级别的IPSec保护。在现有技术中,SA可以通过以下两种方式生成 一种是手工方式(manual); 这种方式下生成SA所需的全部信息都必须手工配置,实现起来相当复杂, 同时不能支持IPSec的一些高级特性例如定时密钥更新,因此主要用于通信 对端节点数量较少的节点,或者用于小型静态网络环境中;另一种是IKE(因 特网密钥交换)自动协商方式;这种方式通过IKE自动协商来创建和维护 SA,由于只需要配置好IKE协商SA所需的信息,配置相对简单,因此是目 前生成SA的主要手段,尤其适用于中、大型的动态网络环境。
可见,在核心节点提供有多个出口网关进行冗余备份并且要求通信 IPSec保护的情况下,其它与核心节点通信的节点必须能够提供到每个出口 网关的连接并且每个连接需要具有相同的SA,才能够支持出口网关的平滑 切换;这在现有技术中是通过链路备份的方式实现的,请参考图l:
网关C通过两个业务接口分别构造到服务器的出口网关A和出口网 关B的链路,并在这两个业务接口上和服务器的出口网关上都配置相同 的SA生成策略;这样,网关C与服务器之间通过互为主备的两条链路 通信连接,当选择网关C与出口网关A之间的链路时,或者当选择网关 C与出口网关B之间的链路时,网关C上相应的业务接口和出口网关之 间将分别基于配置的SA生成策略生成相同的SA (图中虚线所示),从 而既保证了出口网关的切换,也保证了切换后的链路能够提供同样的 IPSec保护。
上述的链路备份的方案虽然简单且容易控制,但是却存在以下缺陷
第一、需要为每个节点配置双链路/多链路实现到核心节点的接入备份, 这导致成本居高不下,有些用户甚至不得不牺牲网络可靠性和服务质量,仅 采用单链路接入核心节点;
第二、主备链路的切换是在一条链路异常后才开始建立另一条链路, 即连接备用链路的业务接口是从Down状态进入到Up状态,因此需要重 新进行协商以生成SA从而创建新的、具有相同加密策略的IPSec隧道, 这种情况下,即使采用IKE自动协商的方式也必然导致数据流的暂时中 断,无疑降低了网络的可用性,给用户带来了极大的影响。
作为一个改进的方案,用户可以通过命令来指定源接口,并在主备业务接口应用源接口安全策略;这样,在主备链路切换时,如果源接口的状态没
有变化,那么将不需要进行新的IKE协商,从而保证通信不致中断。但这种
改进方案除了无法克服双链路或者多链路接入所存在的成本问题以外,由于
I l前其源接口只能采用Loopback接口,因此应用的局限性很高。
综上所述,现有技术中尚未提供这样一种技术方案,其能够支持与具有 多个出口网关的核心节点的IPSec保护通信,同时成本低廉。

发明内容
本发明的实施例旨在克服上述现有技术中的缺陷,提供能够实现IPsec 隧道备份和切换的方案,以降低成本和縮短隧道切换时间。
为实现上述目的,本发明的实施例提供了一种实现IPSec隧道备份和切 换的方法,包括为节点的一接口配置安全策略组,该安全策略组内存在至 少两个仅对端节点不同的IKE协商策略;当该接口上发生流量时,执行以下
步骤
歩骤S1:提取该安全策略组,并基于组内IKE协商策略,分别与相 应的对端节点协商建立SA,构成相应数量的IPSec隧道;
歩骤S2:根据对端节点的状态,切换至一 IPSec隧道作为Master隧道执 行报文传输。
其中,步骤S2可具体为当从对端节点接收到报文时,识别对端节 点发送报文的IPSec隧道是否为本端的当前Master隧道;是则,保持所 述当前Master隧道状态执行报文传输;否则,将接收到报文的IPSec隧 道状态设置为Master,将本端的当前Master隧道状态设置为Slave,从 而切换到新的Master隧道执行报文传输。
和/或,步骤S2可具体为监控Master隧道对端节点的状态,当发 现其状态异常时,将所述Master隧道状态设置为Down,并按照预设的 策略从安全策略组中其它IPSec隧道中选择一 IPSec隧道作为新的Master 隧道,从而切换到新的Master隧道执行报文传输。
较佳的,如果步骤S2之前需要通过所述接口输出报文,则还包括歩 骤SA:根据预设的策略,选择一 IPSec隧道作为初始Master隧道执行报文传输。
较佳的,预设的策略包括按照生存时间最长或者生存时间最短选
择初始Master隧道;或者,按照静态路由优先级选择初始Master隧道。
本发明的实施例还提供了 一种实现IPSec隧道备份和切换的系统,设 置于节点设备中,包括
安全策略组配置和保存单元,用于为节点的一接口配置安全策略组并 保存,该安全策略组内存在至少两个仅对端节点不同的IKE协商策略;
SA建立和记录单元,与所述安全策略组配置和保存单元连接,用于 在所述接口发生流量时,提取所述安全策略组,并基于组内IKE协商策 略,使所述接口分别与相应的对端节点协商建立SA,构成相应数量的 IPSec隧道;
IPSec隧道切换单元,与所述SA建立和记录单元连接,用于根据对 端节点的状态,切换至一 IPSec隧道作为Master隧道执行报文传输。
其中,IPSec隧道切换单元可以包括对端报文识别模块,用于识别 对端节点发送报文的IPSec隧道是否为本端的当前Master隧道,是则, 保持所述当前Master隧道状态执行报文传输;否则,将接收到报文的 IPSec隧道状态设置为Master,将本端的当前Master隧道状态设置为 Slave,从而切换到新的Master隧道执行报文传输。
禾口/或,IPSec隧道切换单元包括对端节点监控模块,用于监控Master 隧道对端节点的状态,当发现其状态异常时,将所述Master隧道状态设 置为Down,并按照预设的策略从其它IPSec隧道中选择一 IPSec隧道作 为新的Master隧道,从而切换到新的Master隧道执行报文传输。
较佳的,还可以包括初始Master隧道选择单元,与所述SA建立和 记录单元连接,用于在所述接口先行作为出接口输出报文时,根据预设 的策略选择一 IPSec隧道作为初始Master隧道执行报文传输。
本发明的实施例还提供了一种节点设备,设有如上任一所述的实现 IPSec隧道备份和切换的系统;所述节点设备通过单链路接入运营网络,并通过运营网络与至少两个对端节点建立IPSec隧道连接。
本发明的实施例还提供了一种组网架构,包括总部节点及分支节点, 所述总部节点通过至少两个网关接入运营网络,所述分支节点设有如上 任所述的实现IPSec隧道备份和切换的系统;所述分支节点通过单链 路接入运营网络,并通过运营网络与所述总部节点的网关建立IPSec隧 道连接,从而实现与总部节点的通信。
由上述技术方案可知,本发明的实施例通过为同流同接口同时创建多个 SA且多个SA并存互为主备的方案,具有以下有益效果
1、 在节点单链路接入的前提下实现了 IPSec隧道的备份,支持与具有多 个出口网关的核心节点的IPSec保护通信,同时有效降低了成本;
2、 IPSec隧道异常进行切换时无需重新进行IKE协商,縮短了业务中断 的时间,提高了系统的可用性。
通过以下参照附图对优选实施例的说明,本发明的上述以及其它目的、 特征和优点将更加明显。


图1为现有技术中通过节点双链路接入实现IPSec隧道备份的组网示意
图2为本发明实现IPSec隧道备份和切换的方法一实施例的流程图3A、 3B为图2所示方法中实现IPSec隧道切换的流程图4A、 4B为图2所示方法一具体实施例的实际组网示意图5为本发明实现IPSec隧道备份和切换的系统一实施例的框图。
具体实施例方式
下面将详细描述本发明的具体实施例。应当注意,这里描述的实施例只 用于举例说明,并不用于限制本发明。
本发明的主要构思在于针对同一个接口、同一条流基于单链路实现 多条IPSec隧道备份,来克服现有技术中不得不通过两条或多条链路分 别接入某一目的节点的不同接入设备(比如网关、路由设备等)以实现IPSec隧道备份所存在的成本过高和切换中断问题。下面将详细介绍本发 明所提供的实现IPSec隧道备份和切换的技术方案。
首先,请参考图2,显示了本发明实现IPSec隧道备份和切换的方法一
实施例的流程图,包括
歩骤S0:为节点的一接口配置安全策略组,所述安全策略组内存在至少 两个仅对端节点不同的IKE协商策略;
其中,对端节点是指接入同一核心节点以实现路由冗余备份的网关或者
路由设备;该核心节点可以是服务器,也可以是企业的总部节点,或者其它 对业务流的连续性和传输质量要求较高的节点;
可以看出,由于对端节点本身仅是接入设备,因此无论核心节点采用多 少个接入设备进行冗余备份,对于本端节点来说,其仅需记录通过配置了安 全策略组的接口与核心节点通信这样一条路由,即仅需建立一条接入运营网 络的链路,即单链路接入;
进一歩的,本发明需要支持作为接入设备的对端节点的备份和切换,这 就要求切换前后SA不能发生改变,因此接口安全策略组内设有至少两个IKE 协商策略,具体数目由对端节点的数量决定-,
这些IKE协商策略除了对端节点地址(Peer Address)不同,其他配置 都一样,即安全策略组内提供有同名同序号的IKE协商策略;这样当本端节 点通过ACL匹配获知且访问对端节点的流量都要通过IPSec隧道时,就会触 发组内的IKE协商策略,分别与不同的对端节点协商建立相同的SA;
与节点设备接口安全策略组相对应的,对端节点上也需要分别配置IKE 协商策略;为了保证对端节点之间的切换,在对端节点上配置的IKE协商策 略其配置属性也要相同;当然,由于是设置在不同的节点上,因此不必要求 具有相同的名字和序号;
有必要指出,在本步骤S0中是以为节点的一个接口配置安全策略组 为例来加以说明的,但并非局限;本领域普通技术人员可以了解,当一 个节点设备存在多个接口分别接入不同的核心节点时,可以按照本发明 提供的方法对每一个节点相应执行同样的操作,实现对节点设备多个接口的设置。
进行了上述配置之后,当配置有安全策略组的接口上发生流量时,执行 以下步骤
步骤S1:提取该安全策略组,并基于组内IKE协商策略,分别与相
应的对端节点协商建立SA,构成相应数量的IPSec隧道;
在本步骤S1中,节点是通过单链路构建了多条IPSec隧道; 具体来说,当用户流量通过所配置的节点时,通过ACL匹配到至少 两个同名、同序号的安全策略,因此同时建立至少两组SA;这两组SA 的流量五元组相同,都是所配置的节点接口与核心节点之间的流量,由 于该节点接口只有一个IP地址,而核心节点也只有一个IP地址,因此是 相同流量;但是,这两组SA的对端节点(例如网关)不同,因此构成了 不同的隧道;
可以看出,本步骤Sl通过单链路实现了 IPSec隧道的冗余备份;
步骤S2:根据对端节点的状态,切换至一IPSec隧道作为Master隧 道执行报文传输,从而实现IPSec隧道的切换;
本步骤S2既适用于在节点通信之初来确定Master隧道,也适用于在 节点通信过程中根据实际情况对隧道加以切换调整;
其中,如果在IPSec隧道建立后对端节点首先发送报文,那么可以直 接执行步骤S2,即在节点通信之初根据对端节点的报文发送状态来确定 Master隧道;
但是,实际情况一般是其他节点主动向核心节点发送报文,也就是 说,往往在尚未接收到对端节点状态时,本端节点就需要先行选择一个 Master隧道进行报文的发送;故而,初始Master隧道通常是基于本端的 隧道优先级确定的,上述步骤S2多用于节点通信过程中的调整;
因此,较佳的实施方式为步骤S2之前还包括步骤SA:根据预设的 策略,选择一 IPSec隧道作为初始Master隧道执行报文传输;
其中,预设的策略可以包括按照生存时间最长选择初始Master隧 道,即认为生存时间最长的IPSec隧道稳定性最好,将其设置为Master 状态,将其他隧道设置为Slave状态;需要指出,本发明所指的Master与Slave仅仅是本端流量选择隧道的依据,并不影响隧道本身收发报文的 机制;
当然,上述预设的策略可以灵活定制;比如,也可以将生存时间最 短的隧道定为Master;或者,按照预设的隧道优先级决定初始Master隧
进一步的,无论步骤S2是用于在节点通信之初确定Master隧道,还 适用于在节点通信过程中根据实际情况对隧道加以切换调整,其都可以 采用下述两个实施例所提供的方式实现
(1) 请结合图3A,根据对端节点的状态实现IPSec隧道的切换的步 骤可以为根据对端节点的反馈状态实现IPSec隧道的切换,包括
当从对端节点接收到报文时,识别对端节点发送报文的IPSec隧道是
否为本端的当前Master隧道;
是则,保持该当前Master隧道状态执行报文传输;
否则,将接收到报文的IPSec隧道状态设置为Master,将本端的当
前Master隧道状态设置为Slave,从而切换到新的Master隧道执行报文
传输;
显然,如果本实施例用于在节点通信之初确定Master隧道,那么由 于本端尚未存在Master隧道,因此只需要直接设置接收报文的IPSec隧 道状态为Master,而不需要对本端不存在的当前Master隧道状态进行切 换调整;然而在大多数情况下,本端往往已经具有状态为Master的IPSec 隧道;当然,该当前Master隧道可能是本端根据预设的策略直接选定的, 也可能是在之前的节点间通信中根据对端节点状态确定的。
(2) 请结合图3B,根据对端节点的状态实现IPSec隧道的切换的步 骤可以为根据对端节点的监控状态实现IPSec隧道的切换,包括
监控Master隧道对端节点的状态;
当发现其状态异常时,将该Master隧道状态设置为Down;以及, 按照预设的策略从安全策略组中其它IPSec隧道中选择一 IPSec隧道作为 新的Master隧道,从而切换到新的Master隧道执行报文传输;其中,预 设的策略可以灵活定制,比如,剩余隧道中生存时间最长或者最短的IPSec隧道,或者,按照隧道的预设优先级进行选择;
如果未发现状态异常,则保持当前Master隧道状态不变; 可以看出,这种监控对端节点状态的方案只适用于在节点通信过程 屮根据实际情况对隧道加以切换调整;
作为方案的进一步优化,当检测到该对端节点的状态恢复时,可以 将该隧道的状态由Down调整为Slave,重新作为备选隧道以供后续切换; 或者,直接将该隧道的状态由Down调整为Master,执行报文传输;具 体采用哪一种方案,可以由网络管理人员根据需要设定;
需要指出,本方案所关心的仅是Master隧道对端节点状态的变化情 况,其可以依赖于现有技术中对于隧道的监测实现;比如,运用现有技 术中的IPSec DPD或是Keep Alive等机制能够及时发现隧道异常对于 Slave隧道的异常,利用上述隧道监测机制直接删除相应的隧道或者发出 警报即可,对于本端节点而言仅仅是作为备份的隧道少了一条,即使不 及时处理也并不影响Master隧道的工作;但如果上述隧道监测机制发现 Master隧道异常,那么会发生业务流的中断,因此本端节点必须时刻加 以监控, 一 旦发现Master隧道消失或者上述隧道监测机制发出异常警报, 那么就可以直接判定Master隧道对端节点状态异常,并即刻进行隧道切 换。
上述图3A和图3B所示的IPSec隧道切换方案可以结合使用,也可 以与初始隧道选择方案三者结合使用,以达到最佳的IPSec隧道切换效 果;比如说,本端节点可以根据预设的策略选择初始Master隧道,然后 根据对端节点的反馈隧道进行Master隧道的切换,并在后续的交互过程 中,根据Master隧道对端节点的监控结果,进行相应的切换调整;再比 如说,本端节点在与对端的交互过程中,可以随时根据Master隧道对端 节点的监控结果和反馈隧道的情况,实时切换IPSec隧道当发现对端 节点Down时,进行隧道切换;发现对端节点重新通过Down掉的隧道 反馈流量,说明该对端节点已恢复,则重新按照"对端决定"原则(即 在某条隧道上收到对端报文后,如果该隧道已经是Master则不进行切换, 否则切换当前隧道为Master)切换回原Master隧道并开始新一轮的节点监控;
同时需要指出的是,上述两种的IPSec隧道切换方案仅为举例而非限 制,网络管理员也可以根据实际需要采用其他的具体隧道切换方案,在 此不再赘述。
通过上述步骤S0 S2可以看出,本实施例所提供的实现IPSec隧道备份 和切换的方法是针对现有单链路无法实现IPSec隧道冗余设计的问题,在单 链路中针对同一流量创建多个SA,本端节点去往核心节点的流量可以灵活 的根据切换规则选择不同的SA进行发送,各SA之间以主备关系并存;因 此,该方法能够在节点单链路接入的前提下实现IPSec隧道的备份,同时有 效降低了成本;以及,由于多个SA并存,因此IPSec隧道异常进行切换时 无需重新进行IKE协商,从而縮短了业务中断的时间,提高了系统的可用性。
为了便于理解,下面将结合一个具体的组网环境对本发明提供的实现 IPSec隧道备份和切换的方法加以示例性描述,请参见图4A:
作为核心节点的总部指定服务器通过两个出口网关A和B接入运营网络 ISP;山于服务器的出口网关A和B互为备份,因此其IKE协商策略完全-致(名字可以不同)以保证平滑切换;
较佳的,可以采用静态路由设置出口网关A和B的优先级,比如通过出 口网关B的优先级高于通过出口网关A的优先级,以明确总部服务器下发流 量的路径;
同时,网关C通过一条单链路为分支用户提供运营网络的接入服务;该 网关C连接单链路的接口上配置有一个安全策略组,安全策略组内有两个同 名、同序号的IKE协商策略;这两个IKE协商策略除了 Peer Address不同外, 其他的配置都一样;
当完成上述配置后,就可以进入后续的IPSec隧道备份生成和按规则 切换的处理,举例来说
如果分支用户1流量进入出口网关C,那么网关C査找路由表确定
连接单链路的接口是外联接口 ;
通过ACL匹配确定需要走IPSec隧道,进而查找安全策略组找到两 个同名、同序号的IKE协商策略;.通过IKE协商,同时建立两组不同的SA(图中虚线所示)构成IPSec 隧道;两条IPSec隧道中流量的5元组相同(相同流量),但目的网关 不同(不同隧道);
由于是分支用户1去访问总部服务器,因此此时网关C尚未获得对 端接点(网关A和网关B)的状态信息,需要先行确定一个Master隧道 来发送分支用户1的流量;
这里按照最稳定的策略进行选取,即选取生存时间最长的隧道,将 该隧道置于Master状态,其他隧道是Slave;假定隧道AC创建时间较长, 流量选择隧道AC作为Master隧道。隧道BC作为Slave;流量经过隧道 AC上行到总部的服务器;
服务器响应请求,根据静态路由从网关B发往分支用户,即通过隧 道BC到达网关C;这时网关C根据"对端决定"原则,将隧道BC置为 Master,同时将隧道AC改为Slave;
流量回到用户1;用户1后续访问服务器的流量,在网关C处会选 择隧道BC进行传输。
进一步的,请结合图4B,显示了上述实施例在一总部网关异常吋的 网络情况,其IPSec隧道的相应切换处理如下
总部网关B异常报告或是IPSec隧道BC被直接删除;这可以通过 IPSec DPD或是Keep Alive等机制实现;
网关C由此监控到网关B异常,因此将隧道BC的状态置Down,并 需要从其他剩余的Slave隧道中,査找一条生存时间最长的隧道设置为 Master;
由于只剩下隧道AC,因此将隧道AC置为Master;此时,上下行流 量都会通过隧道AC传输;
再进一步的,如果网关B恢复且服务器通过网关B下发流量,则按 照"对端决定"原则,流量路径会在总部服务器下一次返回流量后恢复 为隧道BC置为Master,网络重新如图4A所示。
上面对本发明所提供的实现IPSec隧道备份和切换的方法进行了具体的 描述,并结合了具体示例加以说明。同时,本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完 成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时, 包括如下步骤
为节点的一接口配置安全策略组,所述安全策略组内存在至少两个仅对 端节点不同的IKE协商策略;当所述接口上发生流量时,执行以下步骤
步骤S1:提取所述安全策略组,并基于组内IKE协商策略,分别与 相应的对端节点协商建立SA,构成相应数量的IPSec隧道;
步骤S2:根据对端节点的状态,切换至一 IPSec隧道作为Master隧道执 行报文传输;
所述的存储介质包括ROM/RAM (Readonly Memory/Random-Access Memory,只读存储器/随机访问内存)、磁碟或者光盘等。
继续。下面将对本发明提供的实现IPSec隧道备份和切换的系统加以描述。
如图5所示实施例,显示了实现IPSec隧道备份和切换的系统500 的框图。该实现IPSec隧道备份和切换的系统500设置于节点设备中, 尤其是接入具有多个出口网关的核心节点的节点设备;包括
安全策略组配置和保存单元501,用于为节点的一接口配置安全策略 组并保存,该安全策略组内存在至少两个仅对端节点不同的IKE协商策略;
需要注意的是,IKE协商策略的数目是基于对端节点的数目确定的, 该对端节点可以是核心节点互为备份的出口网关或者路由设备,等等;
SA建立和记录单元502,与该安全策略组配置和保存单元501连接, 用于在该接口发生流量时(可能是上行流量或者下行流量),提取相应 的安全策略组,并基于组内IKE协商策略,使所述接口分别与相应的对 端节点协商建立SA,构成相应数量的IPSec隧道;
可以看出,SA建立和记录单元502为同一单链路建立了并存的多条 IPSec隧道;
IPSec隧道切换单元503,与该SA建立和记录单元502连接,用于 根据对端节点的状态,切换至一 IPSec隧道作为Master隧道执行报文传具体的,该IPSec隧道切换单元503基于"对端决定"原则选择Master 隧道,即IPSec隧道切换单元503可以包括对端报文识别模块,用于识 别对端节点发送报文的IPSec隧道是否为本端的当前Master隧道,是则, 保持所述当前Master隧道状态执行报文传输;否则,将接收到报文的 IPSec隧道状态设置为Master,将本端的当前Master隧道状态设置为 Slave,从而切换到新的Master隧道执行报文传输。
或者,IPSec隧道切换单元503基于对对端节点的监控选择Master 隧道,即IPSec隧道切换单元503可以包括对端节点监控模块,用于监 控Master隧道对端节点的状态,当发现其状态异常时,将所述Master隧 道状态设置为Down,并按照预设的策略从其它IPSec隧道中选择一 IPSec 隧道作为新的Master隧道,从而切换到新的Master隧道执行报文传输; 其中,预设的策略可以为按照生存时间最长或者生存时间最短选择初始 Master隧道,或者,按照预设的隧道优先级选择初始Master隧道;
较佳的,由于最初的流量往往是从本端访问核心节点的,因此本端 节点需要先行选择一个Master隧道,即实现IPSec隧道备份和切换的系 统500还可以包括初始Master隧道选择单元504,与SA建立和记录单元 502连接,用于在该接口先行作为出接口输出报文时,根据预设的策略选 择一 IPSec隧道作为初始Master隧道执行报文传输;其中,预设的策略 可以为按照生存时间最长或者生存时间最短选择初始Master隧道,或者, 按照预设的优先级选择初始Master隧道;
综上,本发明提供的实现IPSec隧道备份和切换的系统500能够在节 点单链路接入的前提下实现IPSec隧道的备份,同时有效降低了成本; 以及,由于多个SA并存,因此IPSec隧道异常进行切换时无需重新进行 IKE协商,从而縮短了业务中断的时间,提高了系统的可用性。
继续。本发明还提供了一种节点设备,设有如上所述的实现IPSec 隧道备份和切换的系统,从而使其一接口能够同时创建多个SA实现 IPSec隧道的备份;这样,该节点设备可以通过所述接口建立单链路接入运营网络,并通过运营网络与至少两个对端节点建立IPSec隧道连接;
其屮,该对端节点是核心节点互为备份的接入设备,因此,节点设备能
够通过单链路实现与核心节点之间的IPSec隧道备份和切换。
以及,本发明还提供了一种网络架构,包括总部节点及分支节点,
该总部节点通过至少两个网关接入运营网络,其网关互为备份;该分支
节点设有如上所述的实现IPSec隧道备份和切换的系统;
这样,分支节点通过单链路接入运营网络,并通过运营网络与总部
节点的网关建立IPSec隧道连接,从而实现与总部节点的通信并为网关
切换提供支持。
虽然已参照几个典型实施例描述了本发明,但应当理解,所用的术语是 说明和示例性、而非限制性的术语。由于本发明能够以多种形式具体实施而 不脱离发明的精神或实质,所以应当理解,上述实施例不限于任何前述的细 节,而应在随附权利要求所限定的精神和范围内广泛地解释,因此落入权利 要求或其等效范围内的全部变化和改型都应为随附权利要求所涵盖。
权利要求
1. 一种实现IPSec隧道备份和切换的方法,其特征在于,包括为节点的一接口配置安全策略组,所述安全策略组内存在至少两个仅对端节点不同的IKE协商策略;当所述接口上发生流量时,执行以下步骤步骤S1提取所述安全策略组,并基于组内IKE协商策略,分别与相应的对端节点协商建立SA,构成相应数量的IPSec隧道;步骤S2根据对端节点的状态,切换至一IPSec隧道作为Master隧道执行报文传输。
2. 根据权利要求1所述的实现IPSec隧道备份和切换的方法,其特征 在于,所述步骤S2中具体为当从对端节点接收到报文时,识别对端节点发送报文的IPSec隧道是否为本端的当前Master隧道;是则,保持所述当前Master隧道状态执行报文传输;否则,将接收到报文的IPSec隧道状态设置为Master,将本端的当前Master隧道状态设置为Slave,从而切换到新的Master隧道执行报文传输。
3. 根据权利要求1所述的实现IPSec隧道备份和切换的方法,其特征 在于,所述步骤S2中具体为监控Master隧道对端节点的状态,当发现其状态异常时,将所述 Master隧道状态设置为Down,并按照预设的策略从安全策略组中其它 IPSec隧道中选择一 IPSec隧道作为新的Master隧道,从而切换到新的 Master隧道执行报文传输。
4. 根据权利要求1-3任一所述的实现IPSec隧道备份和切换的方法, 其特征在于,如果在所述步骤S2之前需要通过所述接口输出报文,则还 包括步骤SA:根据预设的策略,选择一 IPSec隧道作为初始Master隧道 执行报文传输。
5. 根据权利要求4所述的实现IPSec隧道备份和切换的方法,其特征 在于,所述预设的策略包括按照生存时间最长或者生存时间最短选择初始Master隧道;或者,按照预设隧道优先级选择初始Master隧道。
6. —种实现IPSec隧道备份和切换的系统,设置于节点设备中,其特 征在于,包括安全策略组配置和保存单元,用于为节点的一接口配置安全策略组并保存,所述安全策略组内存在至少两个仅对端节点不同的IKE协商策略;SA建立和记录单元,与所述安全策略组配置和保存单元连接,用于 在所述接口发生流量时,提取所述安全策略组,并基于组内IKE协商策 略,使所述接口分别与相应的对端节点协商建立SA,构成相应数量的 IPSec隧道;IPSec隧道切换单元,与所述SA建立和记录单元连接,用于根据对 端节点的状态,切换至一 IPSec隧道作为Master隧道执行报文传输。
7. 根据权利要求6所述的实现IPSec隧道备份和切换的系统,其特征 在于,所述IPSec隧道切换单元包括对端报文识别模块,用于识别对端节点发送报文的IPSec隧道是否 为本端的当前Master隧道,是则,保持所述当前Master隧道状态执行报 文传输;否则,将接收到报文的IPSec隧道状态设置为Master,将本端 的当前Master隧道状态设置为Slave,从而切换到新的Master隧道执行 报文传输。
8. 根据权利要求6所述的实现IPSec隧道备份和切换的系统,其特征 在于,所述IPSec隧道切换单元包括对端节点监控模块,用于监控Master隧道对端节点的状态,当发现 其状态异常时,将所述Master隧道状态设置为Down,并按照预设的策 略从其它IPSec隧道中选择一 IPSec隧道作为新的Master隧道,从而切 换到新的Master隧道执行报文传输。
9. 根据权利要求6-8任一所述的实现IPSec隧道备份和切换的系统, 其特征在于,还包括初始Master隧道选择单元,与所述SA建立和记录 单元连接,用于在所述接口先行作为出接口输出报文时,根据预设的策 略选择一 IPSec隧道作为初始Master隧道执行报文传输。
10. —种节点设备,设有权利要求6-9任一所述的实现IPSec隧道备份和切换的系统;其特征在于,所述节点设备通过单链路接入运营网络,并通过运营网络与至少两个对端节点建立IPSec隧道连接。
11.一种组网架构,包括总部节点及分支节点,所述总部节点通过至 少两个网关接入运营网络,所述分支节点设有权利要求6-9任一所述的 实现IPSec隧道备份和切换的系统;其特征在于,所述分支节点通过单 链路接入运营网络,并通过运营网络与所述总部节点的网关建立IPSec 隧道连接,从而实现与总部节点的通信。
全文摘要
本发明公开了一种实现IPSec隧道备份和切换的方法和系统。该方法包括为节点的一接口配置安全策略组,该安全策略组内存在至少两个仅对端节点不同的IKE协商策略;当该接口上发生流量时,执行以下步骤提取该安全策略组,并基于组内IKE协商策略,分别与相应的对端节点协商建立SA,构成相应数量的IPSec隧道;根据对端节点的状态,切换至一IPSec隧道作为Master隧道执行报文传输。本发明还公开了一种节点设备和一种组网架构。通过本发明,能够支持与具有多个出口网关的核心节点的IPSec保护通信,有效降低了成本,同时缩短了业务中断的时间,提高了系统的可用性。
文档编号H04L29/06GK101442471SQ20081018798
公开日2009年5月27日 申请日期2008年12月31日 优先权日2008年12月31日
发明者蔚 李 申请人:杭州华三通信技术有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1