专利名称:IPSec VPN互联组网路由收敛的方法及路由设备的制作方法
技术领域:
本申请涉及路由收敛技术领域,尤其涉及IPSec VPN互联组网路由收敛的方法及路由设备。
背景技术:
IPsecC IP Security, IP安全)是Internet工程任务组IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层VPN (Virtual Private Network,虚拟专用网络)的安全技术。特定的通信方之间通过建立IPsec隧道来传输用户的私有数据。IPsec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改,加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃听。IPSec VPN由于其安全性和标准性的特点被越来越多的企业采用,作为VPN接入的常用方式,但是IPSec协议本身不支持传递路由信息,对于使用至少两台路由设备作为VPN接入设备的站点,比如总部与分支结构的IPSec VPN接入组网中,总部即为使用至少两台路由设备作为VPN接入设备的站点,如此组网时,常常需要借用其他技术传递路由信息,常用的一种技术为RRI (Reverse Route Injection,反向路由注入),即当IPSec VPN建立成功后,自动将协商成功的加密数据流的目的地址和掩码作为一条路由注入到路由表中。企业为了提高可靠性,一般会在总部放置两台或者两台以上网络设备作为VPN接入网关设备,此种组网下,分支网络的接入客户端首先与总部用于VPN接入的主设备建立VPN,当所述接入客户端由于网络故障而再次与总部用于VPN接入的备份设备建立VPN时,所述总部主设备和备份设备上此时各存在一条到分支网络的等价路由,虽然可以使用对等体存活检测DH)技术完成路由收敛,但是会由于存在部分延迟而影响用户业务。例如,常见的总部与分支结构的IPSec VPN互联组网如图1所示,分支路由器存在两条上行链路,分别连接不同的运营商,企业总部放置两台VPN接入设备与不同运营商连接。分支路由器正常情况下通过主链路与总部的主设备建立IPSec VPN隧道,主设备通过反向路由注入,将到分支网络的路由向总部网络发布;当分支主链路出现故障后,分支路由器进行链路切换,通过备份链路与总部的备份设备建立IPSec VPN隧道,同样备份设备通过反向路由注入将到分支网络的路由向总部网络发布,此时总部网络会存在两条到分支网络的等价路由,下一跳分别为主设备和备份设备。但是主设备的IPSec VPN隧道实际已经中断,从总部发往分支的流量如果经过主设备转发会造成丢包,影响实际业务。这种情况下可以在IPSec VPN中启用DH)技术,检测IPSec VPN的连通情况,当DTO检测超时时自动删除IPSec SA (Security Association,安全联盟)和反向注入的路由,完成路由收敛,达到路由更新的目的。上述方案通过Dro检测IPSec VPN的连通情况,当DTO检测超时时再删除IPSecSA和反向注入的路由,但是Dro检测报文的时间周期一般为秒级,并且需要发送多个报文才能确认IPSec VPN是否连通,整个检测过程周期较长,导致总部网络的路由收敛时间较长,且检测过程中实际业务会中断,从而会影响实际业务。因此,目前对于使用至少两台路由设备作为VPN接入设备的站点,存在如下问题:当发生VPN切换时,所述站点网络的路由收敛时间较长,影响了实际业务。
发明内容
有鉴于此,本申请提出一种IPSec VPN互联组网路由收敛的方法,当发生VPN切换时,可以加快站点路由信息的收敛速度。本申请还提出一种路由设备,当发生VPN切换时,可以加快站点路由信息的收敛速度。为达到上述目的,本申请实施例的技术方案是这样实现的:一种IPSec VPN互联组网路由收敛的方法,应用于使用至少两台路由设备作为虚拟专用网络VPN接入设备的站点,该方法包括:任一 VPN接入设备与对端VPN请求设备完成IPSec VPN协商建立时,通过反向路由注入向本地路由表中添加到对端VPN请求设备的路由信息,向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文;任一 VPN接入设备接收到邻居发送的同步报文时,读取所述同步报文中的路由信息,如果本地路由表中存在相同的路由且所述相同路由为IP安全IPSec反向路由注入生成,则删除本地路由表中该条反向路由注入生成的路由。一种路由设备,应用于使用至少两台所述路由设备作为虚拟专用网络VPN接入设备的站点,所述路由设备包括:路由添加模块、同步报文发送模块、同步报文读取模块和路由更新模块,其中:路由添加模块,用于本设备与对端VPN请求设备完成IPSec VPN协商建立时,通过反向路由注入向本地路由表中添加到对端VPN请求设备的路由信息;同步报文发送模块,用于向本地路由表中添加到对端VPN请求设备的路由信息的同时,向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文;同步报文读取模块,用于接收到邻居发送的同步报文时,读取所述同步报文中的
路由信息;路由更新模块,用于当本地路由表中存在与所述同步报文中的路由相同的路由且所述本地路由表中相同的路由为IP安全IPSec反向路由注入生成时,删除本地路由表中该条反向路由注入生成的路由。本申请的有益效果为,通过在站点使用的多个VPN接入设备之间同步IPSec SA反向注入生成的路由信息,使得当需要切换连接的站点VPN接入设备时,可以及时删除切换前对端VPN请求设备连接的VPN接入设备中IPSec反向路由注入生成的路由,以便于通知站点网络及时进行路由更新,此时站点网络中就只存在一条到对端VPN请求设备的路由,从而可以加快站点路由信息的收敛速度。
图1为现有常见的总部与分支结构的IPSec VPN互联组网结构示意图; 图2为本申请实施例的方法流程图;图3为本申请实施例的装置功能模块结构示意图。
具体实施例方式为了使本申请的目的、技术方案及优点更加清楚明白,以下通过具体实施例并参见附图,对本申请进行详细说明。本申请提出一种IPSec VPN互联组网路由收敛的方法,应用于使用至少两台路由设备作为虚拟专用网络VPN接入设备的站点,任一 VPN接入设备与对端VPN请求设备完成IPSec VPN协商建立时,通过反向路由注入向本地路由表中添加到对端VPN请求设备的路由信息,向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文;任一 VPN接入设备接收到邻居发送的同步报文时,读取所述同步报文中的路由信息,如果本地路由表中存在相同的路由且所述相同路由为IP安全IPSec反向路由注入生成,则删除本地路由表中该条反向路由注入生成的路由。本申请方案中,对于使用至少两台路由设备作为VPN接入设备的站点,该站点的一 VPN接入设备一般会接收到对端VPN设备的VPN请求,即对端VPN请求设备,该站点的VPN接入设备与对端VPN请求设备会完成IPSec VPN协商建立,如此组网的典型模式例如总部与分支结构的IPSec VPN接入组网,如图1所示,总部即为使用至少两台路由设备作为VPN接入设备的站点,分支路由器即为对端VPN请求设备,这里以总部使用两台VPN接入设备为例对本申请方案进行说明,分支路由器正常情况下通过主链路与总部VPN接入主设备建立IPSec VPN隧道,主设备通过反向路由注入向本地路由表中添加到分支网络的路由信息,将到分支网络的路由向总部网络发布;当分支主链路出现故障后,分支路由器进行链路切换,通过备份链路与总部VPN接入备份设备建立IPSec VPN隧道,同样备份设备通过反向路由注入将到分支网络的路由向总部网络发布,且向主设备发送同步报文,主设备收到同步报文后,通过对所述同步报文中的路由信息与本地路由表中的路由信息进行比较判断,删除本地路由表中与所述同步报文中的路由相同、且由IPSec反向路由注入生成的路由,并通知总部网络及时进行路由更新,此时总部网络中就只存在一条到分支网络的路由,下一跳为备份设备。从而可以加快总部路由信息的收敛速度,收敛时间可达到毫秒级别。本申请实施例的方法流程如图2所示,一种IPSec VPN互联组网路由收敛的方法,应用于使用至少两台路由设备作为虚拟专用网络VPN接入设备的站点,,该方法包括以下步骤:步骤201:任一 VPN接入设备与对端VPN请求设备完成IPSec VPN协商建立时,通过反向路由注入向本地路由表中添加到对端VPN请求设备的路由信息,向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文。这里仍以总部与分支结构的IPSec VPN互联组网为例进行说明,典型的总部与分支结构的IPSec VPN互联组网如图1所示,总部即为使用两台或两台以上的VPN接入设备的站点,其中任一 VPN接入设备与对端VPN请求设备(即分支路由器)完成IPSec VPN协商建立时,通过反向路由注入RRI向本地路由表中添加到对端VPN请求设备(即分支路由器)的路由信息,RRI属于现有技术,不多赘述。 为了在站点的各个VPN接入设备之间同步反向路由注入的路由,所述任一 VPN接入设备与对端VPN请求设备完成IPSec VPN协商建立之前,每一 VPN接入设备需要与同站点其它VPN接入设备建立邻居关系,并周期性检测各邻居的存活状态。所述每一 VPN接入设备与同站点其它VPN接入设备建立邻居关系,具体如下:总部的所有VPN接入设备形成一个备份组,在其中的每一个VPN接入设备上预先配置VPN接入设备备份组内其它设备的IP地址,每一 VPN接入设备读取预先在本设备上配置的其它VPN接入设备的IP地址,与所述其它VPN接入设备建立同步会话连接,当同步会话建立成功时,该VPN接入设备与其它VPN接入设备成功建立邻居关系。所述同步会话连接可以基于传输控制协议TCP、用户数据包协议UDP、或者已有的动态路由协议建立,本申请实施例不做具体定义。总部VPN接入设备之间相互建立邻居关系。所述周期性检测各邻居的存活状态,具体如下:周期性向各邻居发送保活keepalive报文,每次向任一邻居发送keepalive报文后,若超时时间内收到该邻居的响应报文,则确认该邻居处于存活状态;若超时时间内没有收到该邻居设备的响应报文,则重复发送keepalive报文,当发送keepalive报文的次数达到预定次数时,删除与所述设备的邻居关系,重新建立与所述设备的邻居关系。建立邻居关系以及检测邻居的存活状态均属于现有常用技术,此处不多赘述。向邻居发送同步报文,是为了通知邻居协商成功的分支网络的路由信息,所述同步报文的格式可以对现有的动态路由协议报文进行扩展定义,也可以新定义。新定义时,同步报文的格式如下表I所示:
Op Count Origin Prefix Prefix-Length表1表I中,同步报文的格式包括以下字段:Op为操作类型,长度为I个字节,值为0表示同步(即更新),值为I表示确认;即,发送同步报文时,Op值为0,对接收到的同步报文进行响应而发送确认报文时,Op值为I ;Count为同步报文中包含的路由数量,长度为I个字节;Origin为路由产生源,长度为I个字节,值为0表示IPSec反向注入;Prefix为路由信息的前缀,长度为4个字节;Prefix-Length为前缀长度,长度为I个字节。或者,对现有的动态路由协议报文进行扩展定义时,同步报文的格式为在现有的动态路由协议报文中添加如下字段:路由产生源Origin、路由信息的前缀Prefix、前缀长度Prefix-Length ;其中,路由产生源为IPSec反向注入。步骤202:任一 VPN接入设备接收到邻居发送的同步报文时,读取所述同步报文中的路由信息,如果本地路由表中存在相同的路由且所述相同路由为IP安全IPSec反向路由注入生成,则删除本地路由表中该条反向路由注入生成的路由。
所述任一 VPN接入设备接收到邻居发送的同步报文之后,向所述邻居回复确认报文,以向所述邻居确认该VPN接入设备处于存活状态且接收到了同步报文。步骤201中所述向预先同本设备建立了邻居关系且当前处于存活状态的各个VPN接入设备发送同步报文之后,正常情况下,各个邻居应当回复确认报文,但也有可能向某一VPN接入设备发送同步报文后,该VPN接入设备处于未存活状态,因此,为保证邻居之间可以正常同步信息,采取如下步骤:步骤201中所述向预先同本设备建立了邻居关系且当前处于存活状态的各个VPN接入设备发送同步报文之后,如果在设定时间内没有收到邻居设备回复的确认报文,则向该邻居设备重复发送同步报文,当没有收到确认报文的次数达到预设的次数时,删除同该设备的邻居关系,停止向该设备发送同步报文,重新与该设备建立邻居关系。所述读取所述同步报文中的路由信息,如果本地路由表中存在相同的路由(即目的地址与掩码相同的路由),且所述相同路由为IPSec反向路由注入生成,也就是说,本地路由表中存在相同IPSec反向路由注入生成的路由,此时,站点网络中会存在两条到对端VPN请求设备的等价路由,由于当前是接收到邻居发送的同步报文,说明当前是由所述邻居设备与对端VPN请求设备建立IPSec VPN隧道,因此,需要删除本地路由表中该条反向路由注入生成的路由,并通知站点网络进行路由更新。所述通知站点网络进行路由更新是通过通知本地路由管理模块进行路由更新处理实现的,本地路由管理模块会向站点网络发送路由更新报文。路由更新完成后,站点网络就会只存在一条到对端VPN请求设备的路由。现有技术中的路由收敛速度一般为秒级,会对实际业务造成影响,而采用上述本申请实施例方案,当发生VPN切换时,可以极大提高站点网络路由信息的收敛速度,可以达到毫秒级别,降低对实际业务的影响。所述读取所述同步报文中的路由信息之后,当本地路由表中不存在相同的路由时,结束处理。所述当本地路由表中存在相同的路由之后,如果所述相同路由不是由IPSec反向路由注入生成,则结束处理。为了节省系统资源,所述删除本地路由表中该条反向路由注入生成的路由之后,该条反向路由注入生成的路由已经被删除,此时,可以进一步将添加该条反向路由注入生成的路由的IPSec SA删除,向IPSec SA对端设备发送删除所述IPSec SA的消息,使所述对端设备也删除IPSec SA,以节约系统资源。为了便于理解,下面参考图1对本申请的另一实施例方案进行举例说明:如图1所示,总部即为使用至少两台路由设备作为VPN接入设备的站点,以总部使用两台VPN接入设备为例,总部VPN接入的主设备与备份设备之间预先建立邻居关系,并且彼此周期性检测对方的存活状态;分支路由器正常情况下通过主链路与主设备建立IPSec VPN隧道,主设备与分支路由器完成IPSec VPN协商建立时,主设备通过反向路由注入向本地路由表中添加到分支网络的路由信息,将到分支网络的路由向总部网络发布(属于网络规划的内容),并且向预先同本设备建立了邻居关系且处于存活状态的备份设备发送同步报文,以通知备份设备协商成功的分支网络的路由信息;备份设备收到主设备发送的同步报文时,向主设备回复确认报文,读取所述同步报文中的路由信息,如果主设备与备份设备之间没有使用动态路由协议,则主设备预先没有将其收集的路由信息使用动态路由协议通知备份设备,备份设备本地路由表中不存在与所述同步报文中的路由相同的路由,结束处理;或者,如果主设备与备份设备之间有使用动态路由协议,则备份设备预先会接收到主设备使用所述动态路由协议通知的路由信息,备份设备本地路由表中就会存在与所述同步报文中的路由相同的路由,但所述相同路由是通过路由协议学习到而不是由IPSec反向路由注入生成的,也结束处理。当分支主链路出现故障后,分支路由器进行链路切换,通过备份链路与总部VPN接入备份设备建立IPSec VPN隧道(如果总部使用的VPN接入设备多于两台,此时具体选择哪一台设备用于切换可以随机选择,也可以根据实际需要来规划),备份设备与分支路由器完成IPSec VPN协商建立时,同样通过反向路由注入向本地路由表中添加到分支网络的路由信息,将到分支网络的路由向总部网络发布,并且向预先同本设备建立了邻居关系且处于存活状态的主设备发送同步报文;此时,主设备接收到备份设备发送的同步报文时,向备份设备回复确认报文,读取所述同步报文中的路由信息,发现本地路由表中存在相同的路由,进一步判断可知所述相同路由是由反向路由注入生成,因此,删除主设备本地路由表中该条反向路由注入生成的路由,通知路由管理模块进行更新处理,以对总部网络进行路由更新,即删除总部网络中该条反向路由注入生成的路由,从而使得总部网络中只存在一条到分支网络的路由,下一跳为备份设备。进一步地,可将添加该条反向路由注入生成的路由的IPSec SA删除,向IPSec SA对端设备发送删除所述IPSec SA的消息,以节省系统资源。总部使用的VPN接入设备多于两台时,即存在至少两台备份设备时,进行链路切换后,选择哪一台备份设备进行切换,可以随机选择,也可以根据实际需要来进行规划,其余的步骤与上述处理流程是相同的。采用本申请方案,站点网络的路由信息收敛时间可达到毫秒级别,从而可以极大加快站点路由信息的收敛速度,减少对实际业务的影响。本申请实施例的装置功能模块结构示意图如图3所示,一种路由设备,应用于使用至少两台所述路由设备作为虚拟专用网络VPN接入设备的站点,所述路由设备包括:路由添加模块、同步报文发送模块、同步报文读取模块和路由更新模块,其中:路由添加模块,用于本设备与对端VPN请求设备完成IPSec VPN协商建立时,通过反向路由注入向本地路由表中添加到对端VPN请求设备的路由信息;同步报文发送模块,用于向本地路由表中添加到对端VPN请求设备的路由信息的同时,向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文;同步报文读取模块,用于接收到邻居发送的同步报文时,读取所述同步报文中的
路由信息;路由更新模块,用于当本地路由表中存在与所述同步报文中的路由相同的路由且所述本地路由表中相同的路由为IP安全IPSec反向路由注入生成时,删除本地路由表中该条反向路由注入生成的路由。较佳地,所述路由设备进一步包括:邻居关系建立模块,用于与同站点其它VPN接入设备建立邻居关系;
邻居存活检测模块,用于周期性检测各邻居的存活状态。进一步地,所述邻居关系建立模块,具体用于:读取预先在本设备上配置的同站点其它VPN接入设备的IP地址,与所述其它VPN接入设备建立同步会话连接,当同步会话建立成功时,本设备与所述其它VPN接入设备成功建立邻居关系。进一步地,所述邻居存活检测模块,具体用于:周期性向各邻居发送保活keepalive报文,每次向任一邻居发送keepalive报文后,若超时时间内收到该邻居的响应报文,则确认该邻居处于存活状态;若超时时间内没有收到该邻居设备的响应报文,则重复发送keepalive报文,当发送keepalive报文的次数达到预定次数时,删除与所述设备的邻居关系,重新建立与所述设备的邻居关系。较佳地,所述同步报文的格式包括以下字段:操作类型、同步报文中包含的路由数量、路由产生源、路由信息的前缀、前缀长度;或者,所述同步报文的格式为在现有的动态路由协议报文中添加如下字段:路由产生源、路由信息的前缀、前缀长度;其中,路由产生源为IPSec反向注入。较佳地,所述路由设备进一步包括:确认报文处理模块,用于在所述接收到邻居发送的同步报文之后,向所述邻居回复确认报文;所述同步报文发送模块,进一步用于:在所述向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文之后,如果设定时间内没有收到邻居设备回复的确认报文,则向该邻居设备重复发送同步报文,当没有收到确认报文的次数达到预设的次数时,删除同该设备的邻居关系,停止向该设备发送同步报文,重新与该设备建立邻居关系。较佳地,所述路由更新模块,还用于在所述读取所述同步报文中的路由信息之后,当本地路由表中不存在相同的路由时,结束处理;在所述当本地路由表中存在与所述同步报文中的路由相同的路由之后,如果所述本地路由表中相同的路由不是由IPSec反向路由注入生成,则结束处理。较佳地,所述路由更新模块,还用于在所述删除本地路由表中该条反向路由注入生成的路由之后,将添加该条反向路由注入生成的路由的IPSec SA删除,向IPSec SA对端设备发送删除所述IPSec SA的消息。对于使用至少两台路由设备作为VPN接入设备的站点,当发生VPN切换时,通过在所述站点使用的多个VPN接入设备之间同步IPSec SA反向注入的路由信息,可以达到加快站点路由信息收敛速度的目的。以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
权利要求
1.一种IPSec VPN互联组网路由收敛的方法,应用于使用至少两台路由设备作为虚拟专用网络VPN接入设备的站点,其特征在于,该方法包括: 任一 VPN接入设备与对端VPN请求设备完成IPSec VPN协商建立时,通过反向路由注入向本地路由表中添加到对端VPN请求设备的路由信息,向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文; 任一 VPN接入设备接收到邻居发送的同步报文时,读取所述同步报文中的路由信息,如果本地路由表中存在相同的路由且所述相同路由为IP安全IPSec反向路由注入生成,则删除本地路由表中该条反向路由注入生成的路由。
2.根据权利要求1所述的方法,其特征在于,所述任一VPN接入设备与对端VPN请求设备完成IPSec VPN协商建立之前,进一步包括: 每一 VPN接入设备与同站点其它VPN接入设备建立邻居关系,周期性检测各邻居的存活状态。
3.根据权利要求2所述的方法,其特征在于,所述每一VPN接入设备与同站点其它VPN接入设备建立邻居关系,包括: 每一 VPN接入设备读取预先在本设备上配置的同站点其它VPN接入设备的IP地址,与所述其它VPN接入设备建立同步会话连接,当同步会话建立成功时,该VPN接入设备与所述其它VPN接入设备成功建立邻居关系。
4.根据权 利要求1所述的方法,其特征在于,所述任一VPN接入设备接收到邻居发送的同步报文之后,进一步包括:向所述邻居回复确认报文; 所述向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文之后,进一步包括: 如果设定时间内没有收到邻居设备回复的确认报文,则向该邻居设备重复发送同步报文,当没有收到确认报文的次数达到预设的次数时,删除同该设备的邻居关系,停止向该设备发送同步报文,重新与该设备建立邻居关系。
5.根据权利要求1所述的方法,其特征在于,所述读取所述同步报文中的路由信息之后,进一步包括:当本地路由表中不存在相同的路由时,结束处理; 所述当本地路由表中存在相同的路由之后,进一步包括:如果所述相同路由不是由IPSec反向路由注入生成,则结束处理。
6.根据权利要求1所述的方法,其特征在于,所述删除本地路由表中该条反向路由注入生成的路由之后,进一步包括: 将添加该条反向路由注入生成的路由的IPSec SA删除,向IPSec SA对端设备发送删除所述IPSec SA的消息。
7.—种路由设备,应用于使用至少两台所述路由设备作为虚拟专用网络VPN接入设备的站点,其特征在于,所述路由设备包括:路由添加模块、同步报文发送模块、同步报文读取模块和路由更新模块,其中: 路由添加模块,用于本设备与对端VPN请求设备完成IPSec VPN协商建立时,通过反向路由注入向本地路由表中添加到对端VPN请求设备的路由信息; 同步报文发送模块,用于向本地路由表中添加到对端VPN请求设备的路由信息的同时,向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文;同步报文读取模块,用于接收到邻居发送的同步报文时,读取所述同步报文中的路由信息; 路由更新模块,用于当本地路由表中存在与所述同步报文中的路由相同的路由且所述本地路由表中相同的路由为IP安全IPSec反向路由注入生成时,删除本地路由表中该条反向路由注入生成的路由。
8.根据权利要求7所述的路由设备,其特征在于,所述路由设备进一步包括: 邻居关系建立模块,用于与同站点其它的VPN接入设备建立邻居关系; 邻居存活检测模块,用于周期性检测各邻居的存活状态。
9.根据权利要求8所述的路由设备,其特征在于,所述邻居关系建立模块,具体用于: 读取预先在本设备上配置的同站点其它VPN接入设备的IP地址,与所述其它VPN接入设备建立同步会话连接,当同步会话建立成功时,本设备与其它VPN接入设备成功建立邻居关系。
10.根据权利要求7所述的路由设备,其特征在于,所述路由设备进一步包括: 确认报文处理模块,用于在所述接收到邻居发送的同步报文之后,向所述邻居回复确认报文; 所述同步报文发送模块,进一步 用于: 在所述向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文之后,如果设定时间内没有收到邻居设备回复的确认报文,则向该邻居设备重复发送同步报文,当没有收到确认报文的次数达到预设的次数时,删除同该设备的邻居关系,停止向该设备发送同步报文,重新与该设备建立邻居关系。
11.根据权利要求7所述的路由设备,其特征在于, 所述路由更新模块,还用于在所述读取所述同步报文中的路由信息之后,当本地路由表中不存在相同的路由时,结束处理;在所述当本地路由表中存在与所述同步报文中的路由相同的路由之后,如果所述本地路由表中相同的路由不是由IPSec反向路由注入生成,则结束处理。
12.根据权利要求7所述的路由设备,其特征在于, 所述路由更新模块,还用于在所述删除本地路由表中该条反向路由注入生成的路由之后,将添加该条反向路由注入生成的路由的IPSec SA删除,向IPSec SA对端设备发送删除所述IPSec SA的消息。
全文摘要
本申请公开了IPSec VPN互联组网路由收敛的方法,用于使用至少两台路由设备作为VPN接入设备的站点,该方法包括任一VPN接入设备与对端VPN请求设备完成IPSec VPN协商建立时,通过反向路由注入向本地路由表添加到对端VPN请求设备的路由信息,向预先同本设备建立了邻居关系且处于存活状态的同站点各VPN接入设备发送携带了所述路由信息的同步报文;任一VPN接入设备收到邻居发送的同步报文时,读取同步报文中的路由信息,若本地路由表中存在相同路由且该相同路由为IPSec反向路由注入生成,则删除本地路由表中的该条路由。本申请还公开了路由设备。本申请在发生VPN切换时可加快站点的路由收敛速度。
文档编号H04L12/713GK103166849SQ20131007079
公开日2013年6月19日 申请日期2013年3月6日 优先权日2013年3月6日
发明者刘雄威 申请人:杭州华三通信技术有限公司