一种实现IPSecVPN主备链路动态切换的方法
【专利摘要】一种实现IPSecVPN主备链路动态切换的方法,涉及网络安全领域,每个周期包括:1)通过DPD机制检测主链路是否正常,如果正常,则执行步骤3),如果不正常则执行步骤2);2)虚拟专用网络VPN的流量从备链路的网络协议安全IPSec隧道转发;流程结束;3)虚拟专用网络VPN的流量从主链路的网络协议安全IPSec隧道转发;流程结束。本发明将IPSec的DPD检测机制与wan接口路由进行巧妙关联,同时根据链路状态对路由的优先级做出灵活处理,使得在没有GRE时,也能实现主备链路的切换,提高数据转发性能。
【专利说明】—种实现IPSecVPN主备链路动态切换的方法
【技术领域】
[0001]本发明涉及网络安全领域,具体涉及一种实现IPSec VPN主备链路动态切换的方法。
【背景技术】
[0002]IPSec (Internet协议安全)是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec有两个基本目标:1)保护IP数据包安全;2)为抵御网络攻击提供防护措施。
[0003]IPSec通常用来组建VPN (Virtual Private Network,虚拟专用网络),它大体分为两个阶段:隧道协商阶段和数据传送阶段。
[0004]隧道协商阶段主要是通过IKE (Internet密钥交换协议)来完成,隧道的建立需要经过两个阶段的协商。第一阶段建立一个验证的安全联盟和密钥,称为IKE SA (SecurityAssociation,安全联盟)。它主要包括提案与密钥的交换,在这一阶段,有两种交换模式:主模式、野蛮模式。不管哪一种模式,都是交换提案,并协商出一种双方都可以接受的安全属性。如预共享密钥或证书的交换、加密认证算法、密钥、DH组(Diffie-HeI Iman,密钥交换协议/算法)、IKE SA生存期。随后可用IKE SA为IPSec安全协议建立安全联盟。这一阶段主要包含认证方式、身份信息交换(预共享密钥或证书)、算法、密钥、SA生存期的协商。第二阶段建立一个用于IPSec的安全联盟,称为IPSec SA。第二阶段完成后,也就相当于VPN隧道建立完成,可以开始加密通信。第二阶段必须在第一阶段建立的IKE SA保护下进行。
[0005]数据传送阶段主要是通过ESP (Encapsulating Security Payload,数据封装加密)和AH (Authentication Header,认证表头)两个协议来完成。ESP可以提供加密和认证功能,AH只能提供认证功能。
[0006]IPSec VPN可以使两个异地的私有网络连接起来,或者使公网上的计算机可以访问远程的企业私有网络。在总部与多个分支之间建立IPSec VPN时,会使用主备链路备份的方案,增强VPN业务的可靠性。如图1所示,一路上行为电信网络,另一路上行为联通网络,对于总部来说,两路VPN隧道同时工作,优先级相同,选择哪一条隧道传输数据由分支决定;对于分支来说,两路上行之间要实现备份的功能,需要满足如下要求:主链路传输数据的时候,备链路不参与,当主链路发生故障时,流量会切换到备链路,当主链路故障恢复后,流量会切回到主链路。
[0007]通过将原始报文先经过GRE(Generic Routing Encapsulation,通用路由封装)隧道的封装再进行IPSec隧道的封装,称为GRE over IPSec,上述方式可以做到主备链路的动态切换,它利用GRE的点到点的路由来实现。因为GRE链路上会定时发送ke印alive报文来确认对端是否可达,所以它能感知到链路上任意一个路由节点的故障。两条链路都正常时,通过GRE的路由优先级来选择主链路,如图1所示,以分支一为例,假设wanO对应GRE0,wan I 对应 GRE I。
[0008]两条链路都正常时,分支一上的路由信息如下:
【权利要求】
1.一种实现IPSec VPN主备链路动态切换的方法,其特征在于:所述方法每个周期包括: 1)通过Dro机制检测主链路是否正常,如果正常,则执行步骤3),如果不正常则执行步骤2); 2)虚拟专用网络VPN的流量从备链路的网络协议安全IPSec隧道转发;流程结束; 3)虚拟专用网络VPN的流量从主链路的网络协议安全IPSec隧道转发;流程结束。
2.如权利要求1所述的方法,其特征在于:步骤2)后还包括: 2-1)检测主链路是否恢复正常,如果恢复正常,则VPN流量切换到主链路的IPSec隧道,执行步骤3);若如果主链路未恢复正常,则执行步骤2)。
3.如权利要求1所述的方法,其特征在于:步骤2)包括: 删除主链路的安全联盟SA ; 将备链路的IPSec隧道的所有路由接口状态变为有效; VPN流量切换到备链路的IPSec隧道。
4.如权利要求1所述的方法,其特征在于:步骤2)包括: 将主链路的IPSec隧道的所有 路由接口优先级设为最低; 将备链路的IPSec隧道的所有路由接口状态变为有效; VPN流量切换到备链路的IPSec隧道。
5.如权利要求2所述的方法,其特征在于:步骤2-1)中所述VPN流量切换到主链路的IPSec隧道的步骤包括: 添加主链路的安全联盟SA ; 将备链路的IPSec隧道的所有路由接口状态变为无效; VPN流量切换到主链路的IPSec隧道。
6.如权利要求2所述的方法,其特征在于:步骤2-1)中所述VPN流量切换到主链路的IPSec隧道的步骤包括: 将主链路的IPSec隧道的所有路由接口优先级设为最高; 将备链路的IPSec隧道的所有路由接口状态变为无效; VPN流量切换到主链路的IPSec隧道。
7.如权利要求2述的方法,其特征在于:步骤2-1)中检测主链路是否恢复正常的步骤包括: 从主链路的IPSec隧道的起始路由接口向主链路的IPSec隧道的终止路由接口发送网络控制报文协议ICMP时间戳请求; 如果所述起始路由接口收到所述终止路由接口返回的ICMP时间戳应答,则主链路恢复正常;否则,主链路未恢复正常。
8.如权利要求7所述的方法,其特征在于:所述主链路的网络安全协议隧道的起始路由接口向主链路的网络安全协议隧道的终止路由接口发送网络控制报文协议ICMP时间戳请求的方式为定期发送。
9.如权利要求2所述的方法,其特征在于:步骤2-1)中检测主链路是否恢复正常的步骤包括: A)从主链路的IPSec隧道的起始路由接口向主链路的IPSec隧道的终止路由接口发送网络控制报文协议ICMP时间戳请求; B)如果所述起始路由接口收到所述终止路由接口返回的ICMP时间戳应答,则执行步骤C);否则,主链路未恢复正常; C)计算所述起始路由接口发送ICMP时间戳请求与接收到ICMP时间戳应答的时间差,如果所述时间差小于或者等于阈值,则主链路恢复正常;如果所述时间差大于阈值,则主链路未恢复正常。
10. 如权利要求9所述的方法,其特征在于:所述步骤A)的发送方式为定期发送。
【文档编号】H04L29/06GK103475655SQ201310403908
【公开日】2013年12月25日 申请日期:2013年9月6日 优先权日:2013年9月6日
【发明者】肖真 申请人:瑞斯康达科技发展股份有限公司