一种负载均衡的IPSecVPN设备集群系统及其工作方法

一种负载均衡的IPSec VPN设备集群系统及其工作方法
【专利摘要】本发明提供了一种负载均衡的IPSec?VPN设备集群系统及其工作方法。所述系统包括若干IPSec?VPN设备，每台IPSec?VPN设备均运行有计算能力评估模块、组内同步模块、负载管理模块、地址应答器、数据分类器。本发明实现了由不同IPSec?VPN设备所组成的IPSec?VPN集群的工作IP地址唯一和有效的负载均衡及冗余备份，经过不同IPSec?VPN设备处理的出站IP数据报文具有相同的源IP地址，而入站的IP数据报文能实现负载的自动分配；多台不同设备间实现序列号和抗重放窗口的即时同步，实现负载的零间隔无缝切换。
【专利说明】—种负载均衡的IPSec VPN设备集群系统及其工作方法

【技术领域】
[0001]本发明属于数据通信领域，涉及一种负载均衡的IPSec VPN设备集群系统及其工作方法。

【背景技术】
[0002]IPSec:Internet Protocol Security 的缩写，表不 Internet 协议安全性。是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯；
VPN:虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay (巾贞中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
[0003]安全策略(SP):安全策略一般由五元组形式的选择符唯一标志，该五元组包括源IP地址、目的IP地址、源传输层端口、目的传输层端口、传输层协议号，指示了明文数据报文的处理方式:丢弃、绕过IPSec或使用IPSec安全联盟处理。
[0004]安全联盟(SA):安全联盟由三元组唯一标识，该三元组包括安全参数索引(SPI)、目的IP地址(单播地址)和安全协议(AH或ESP)标识符，指示了 IPSec处理数据包的算法、密钥、抗重放窗口、封装方式等具体的参数。
[0005]由于IPSec VPN采用了多种安全技术对数据进行处理，而且是部署在用户网络的出入口处，对设备处理性能和可靠性的要求是很高的，可以采用多台IPSec VPN设备集群的技术来解决性能和可靠性的问题。
[0006]IPSec VPN自身的技术特点为多IPSec VPN设备集群的实现设置了两大障碍，一是隧道封装导致经过不同IPSec VPN设备处理的出站IP数据报文具有不同的源IP地址，而入站的IP数据报文由于目的地址不同又无法实现负载的自动分配；二是序列号和抗重放窗口随着每一个数据报文更新，多台不同设备间无法实现序列号和抗重放窗口的即时同步，故障时的热切换存在问题。


【发明内容】

[0007]为解决上述问题，本发明提供了一种负载均衡的IPSec VPN设备集群系统，包括若干IPSec VPN设备，每台IPSec VPN设备均运行有计算能力评估模块、组内同步模块、负载管理模块、地址应答器、数据分类器；
计算能力评估模块用于在同一个集群内的IPSec VPN设备起动时进行签名运算，得到其所在IPSec VPN设备的计算能力评估结果； 组内同步模块负责在同一个集群内的所有成员设备间进行安全策略、安全联盟、在线状态和计算能力信息的交互和同步并形成全局一致的安全策略、安全联盟和在线状态；负载管理模块通过组内同步信息得到全局一致的安全策略、安全联盟和在线状态，根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配，并根据其所在IPSec VPN设备的负载分配设置实际生效的安全策略和安全联盟；
地址应答器根据系统内所有IPSec VPN设备统一设置的虚拟地址信息，对从内网出站的IP数据报文和从外网入站的IP数据报文的链路层地址请求进行一致的回应；
数据分类器根据数据报文是否处在其所在IPSec VPN设备已生效的安全策略或安全联盟之内，对进出站的IP数据报文提供不同的处理路径。
[0008]进一步的，所述集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址，作为组内通讯地址，组内同步模块定期将本台设备的安全策略、安全联盟、在线状态和计算能力评估结果通过多播的方式传递到集群的其他成员设备，同时也接受其他成员设备通过多播传递过来的安全策略、安全联盟、在线状态和计算能力评估结果，形成该集群全局一致的安全策略和安全联盟。
[0009]进一步的，所述设备集群各IPSec VPN设备具有共享的虚拟IP地址，作为该集群共享的IPSec VPN隧道源IP地址，所有通过该集群处理的出站IP数据报文都以该集群各成员设备共享的虚拟IP地址作为隧道封装后的源IP地址，而所有以该虚拟IP地址为目的IP地址的入站IPSec报文将被集群内的所有在线成员设备接收。
[0010]进一步的，计算能力评估模块以多线程的方式运行I万次2048比特模长的RSA签名运算，并计算出以次/秒为单位的签名速度，作为其所在IPSec VPN设备的计算能力评估结果。
[0011]上述的负载均衡的IPSec VPN设备集群系统的工作方法包括如下步骤:
步骤一:为同一个IPSec VPN设备集群设置各成员设备共享的虚拟IP地址，作为该集群共享的IPSec VPN隧道源IP地址；
步骤二:同一个集群内的IPSec VPN设备起动时，运行计算能力评估模块，得到每个IPSec VPN设备的计算能力评估结果；
步骤三:同一个集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址，作为组内通讯地址；
步骤四:负载管理模块根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配并根据本机的负载分配设置实际生效的安全策略和安全联盟；
步骤五:以太网环境下，对每一个进出站的数据报文，对IPSec VPN集群的虚拟IP地址或网关IP地址进行链路层地址解析，即请求虚拟IP地址或网关IP地址对应的48比特的MAC地址；
步骤六:数据分类器根据接收到的数据报文是否处在本机已生效的安全策略或安全联盟范围之内，对进出站的IP数据报文提供不同的处理路径。
[0012]进一步的，所述步骤四具体为:
首先，按照各成员设备实际IP地址从大到小的顺序将集群内的所有设备统一排序并编号；对于全局安全策略，按照源IP地址、目的IP地址、源传输层端口、目的传输层端口、传输层协议号的五元组依次从大到小排序；对于全局安全联盟，按照目的IP地址、安全参数索引、安全协议的三元组依次从大到小排序；
然后，将各成员设备的计算能力累加作为总计算能力，各成员设备计算能力与总计算能力的比值作为该设备分配到的负载比例，按照设备编号和负载比例分别依次从全局安全策略和全局安全联盟获取本设备实际生效的安全策略和安全联盟，对于每台设备，全局策略和全局联盟中除去该设备实际生效的安全策略和安全联盟，剩下的属于该设备仅更新的安全策略和安全联盟；
负载管理模块根据定期收到的组内同步信息定期更新本设备的实际生效的安全策略和安全联盟以及仅更新的安全策略和安全联盟，如果有设备失效，则该设备所分配到的负载，即该设备实际生效的安全策略和安全联盟将根据其他设备的计算能力重新分配给其他设备。
[0013]进一步的，步骤五中，将虚拟IP地址或网关IP地址对应的MAC地址设置为可配置的多播MAC地址，地址应答器对于对IPSec VPN集群的虚拟IP地址或网关IP地址进行的所有链路层地址解析请求，统一回应为设置的多播MAC地址，这样进出站的所有需要进行IPSec处理的进出站IP数据报文以及IKE协商报文会通过多播通道到达集群的每台设备。
[0014]进一步的，步骤六中，所述数据分流器对出站的IP数据报文提供不同的处理路径具体为:
对于处在本机已生效的安全策略或安全联盟范围之内的数据报文，进行正常的IPSec处理；
对于处在本机已生效的安全策略或安全联盟范围之外但在仅更新的安全策略和安全联盟范围之内的数据报文，仅进行序列号的更新或序列号的验证及抗重放窗口的更新以及安全策略和安全联盟生存期的更新，并将该报文丢弃；
当集群中设备故障不能工作，该设备的负载将通过组内同步模块和负载管理模块分担到其他设备，实现负载的零间隔无缝切换。
[0015]本发明的有益效果为:
本发明实现了由不同IPSEC VPN设备所组成的IPSEC VPN集群的工作IP地址唯一和有效的负载均衡及冗余备份，不需要增加专用的负载均衡设备机壳实现负载的分配，降低了成本。在主控节点有故障的情况下能够重新选举新的主控节点，避免了单点故障导致多机集群的集体失效，具有相当高的可靠性。

【专利附图】

【附图说明】
[0016]图1为本发明所述IPSec VPN集群负载均衡功能模块结构示意图。

【具体实施方式】
[0017]本发明所述系统包括若干IPSec VPN设备，每台IPSec VPN设备均运行有计算能力评估模块、组内同步模块、负载管理模块、地址应答器、数据分类器。
[0018]计算能力评估模块用于计算能力评估模块以多线程的方式运行I万次2048比特模长的RSA签名运算，并计算出以次/秒为单位的签名速度，作为其所在IPSec VPN设备的计算能力评估结果。
[0019]组内同步模块负责在同一个集群内的所有成员设备间进行安全策略SP、安全联盟SA、在线状态和计算能力信息的交互和同步并形成全局一致的安全策略、安全联盟和在线状态。
[0020]负载管理模块通过组内同步信息得到全局一致的安全策略、安全联盟和在线状态，根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配并根据本机的负载分配设置实际生效的安全策略和安全联盟。
[0021]地址应答器根据全局设置的虚拟地址信息，对从内网出站的IP数据报文和从外网入站的IP数据报文的链路层地址请求(以太网环境下为48比特的MAC地址)进行一致的回应。
[0022]数据分类器根据数据报文是否处在本机已生效的安全策略或安全联盟之内，对进出站的IP数据报文提供不同的处理路径。
[0023]所述集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址，作为组内通讯地址，组内同步模块定期将本台设备的安全策略、安全联盟、在线状态和计算能力评估结果通过多播的方式传递到集群的其他成员设备，同时也接受其他成员设备通过多播传递过来的安全策略、安全联盟、在线状态和计算能力评估结果，形成该集群全局一致的安全策略和安全联盟。
[0024]所述设备集群各IPSec VPN设备具有共享的虚拟IP地址，作为该集群共享的IPSec VPN隧道源IP地址，所有通过该集群处理的出站IP数据报文都以该集群各成员设备共享的虚拟IP地址作为隧道封装后的源IP地址，而所有以该虚拟IP地址为目的IP地址的入站IPSec报文将被集群内的所有在线成员设备接收。
[0025]下面结合图1对上述系统的具体工作步骤进行说明。
[0026]步骤一:为同一个IPSec VPN设备集群设置各成员设备共享的虚拟IP地址，作为该集群共享的IPSec VPN隧道源IP地址。所有通过该集群处理的出站IP数据报文都以该虚拟IP地址作为隧道封装后的源IP地址，而所有以该虚拟IP地址为目的IP地址的入站IPSec报文将被集群内的所有在线成员设备接收。
[0027]步骤二:同一个集群内的IPSec VPN设备起动时，运行计算能力评估模块，该模块以多线程的方式运行I万次2048比特模长的RSA签名运算，并计算出以次/秒为单位的签名速度，作为该IPSec VPN设备的计算能力评估结果。
[0028]步骤三:同一个集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址，作为组内通讯地址。组内同步模块定期将本台设备的安全策略、安全联盟、在线状态和计算能力评估结果通过多播的方式传递到集群的其他成员设备，同时也接受其他成员设备通过多播传递过来的安全策略、安全联盟、在线状态和计算能力评估结果，形成该集群全局一致的安全策略和安全联盟。
[0029]步骤四:负载管理模块根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配并根据本机的负载分配设置实际生效的安全策略和安全联盟。首先，按照各成员设备实际IP地址从大到小的顺序将集群内的所有设备统一排序并编号；对于全局安全策略，按照源IP地址、目的IP地址、源传输层端口、目的传输层端口、传输层协议号的五元组依次从大到小排序；对于全局安全联盟，按照目的IP地址、安全参数索引、安全协议的三元组依次从大到小排序。然后，将各成员设备的计算能力累加作为总计算能力，各成员设备计算能力与总计算能力的比值作为该设备分配到的负载比例，按照设备编号和负载比例分别依次从全局安全策略和全局安全联盟获取本设备实际生效的安全策略和安全联盟，对于每台设备，全局策略和全局联盟中除去该设备实际生效的安全策略和安全联盟，剩下的属于该设备仅更新的安全策略和安全联盟。负载管理模块将根据定期收到的组内同步信息定期更新本设备的实际生效的安全策略和安全联盟以及仅更新的安全策略和安全联盟，如果有设备失效，则该设备所分配到的负载，即该设备实际生效的安全策略和安全联盟将根据其他设备的计算能力重新分配给其他设备。
[0030]步骤五:以太网环境下，对于每一个进出站的数据报文，都将对IPSec VPN集群的虚拟IP地址或网关IP地址进行链路层地址解析，即请求虚拟IP地址或网关IP地址对应的48比特的MAC地址。本发明将虚拟IP地址或网关IP地址对应的48比特的MAC地址设置为可配置的多播MAC地址，即01:00:5e为前缀的MAC地址。地址应答器对于对IPSec VPN集群的虚拟IP地址或网关IP地址进行的所有链路层地址解析请求，统一回应为设置的多播MAC地址。这样进出站的所有需要进行IPSec处理的进出站IP数据报文以及IKE协商报文会通过多播通道到达集群的每台设备。
[0031]步骤六:数据分类器根据接收到的数据报文是否处在本机已生效的安全策略或安全联盟范围之内，对进出站的IP数据报文提供不同的处理路径。对于处在本机已生效的安全策略或安全联盟范围之内的数据报文，进行正常的IPSec处理(触发IKE协商、加解密、完整性校验/验证、隧道封装/重构、序列号和抗重放窗口的更新、生存期更新等)；对于处在本机已生效的安全策略或安全联盟范围之外但在仅更新的安全策略和安全联盟范围之内的数据报文，仅进行序列号(出站)的更新或序列号的验证及抗重放窗口(入站)的更新以及安全策略和安全联盟生存期的更新，并将该报文丢弃。集群中如果有设备故障不能工作，该设备的负载将通过组内同步模块和负载管理模块分担到其他设备，表现为各设备实际生效和仅更新的安全策略、安全联盟的变化，而由于各设备都能接收到所有的数据报文，序列号和抗重放窗口、生存期等实时更新信息一直随着数据报文进行更新，所以此时只需要调整数据报文的处理路径，对整个系统的运行状况基本上没有任何影响，能够实现负载的零间隔无缝切换。
[0032]本发明的有益效果为:
本发明实现了由不同IPSec VPN设备所组成的IPSec VPN集群的工作IP地址唯一和有效的负载均衡及冗余备份，经过不同IPSec VPN设备处理的出站IP数据报文具有相同的源IP地址，而入站的IP数据报文能实现负载的自动分配；多台不同设备间实现序列号和抗重放窗口的即时同步，实现负载的零间隔无缝切换。
【权利要求】
1.一种负载均衡的IPSec VPN设备集群系统，其特征在于，包括若干IPSec VPN设备，每台IPSec VPN设备均运行有计算能力评估模块、组内同步模块、负载管理模块、地址应答器、数据分类器； 计算能力评估模块用于在同一个集群内的IPSec VPN设备起动时进行签名运算，得到其所在IPSec VPN设备的计算能力评估结果； 组内同步模块负责在同一个集群内的所有成员设备间进行安全策略、安全联盟、在线状态和计算能力信息的交互和同步并形成全局一致的安全策略、安全联盟和在线状态；负载管理模块通过组内同步信息得到全局一致的安全策略、安全联盟和在线状态，根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配，并根据其所在IPSec VPN设备的负载分配设置实际生效的安全策略和安全联盟； 地址应答器根据系统内所有IPSec VPN设备统一设置的虚拟地址信息，对从内网出站的IP数据报文和从外网入站的IP数据报文的链路层地址请求进行一致的回应； 数据分类器根据数据报文是否处在其所在IPSec VPN设备已生效的安全策略或安全联盟之内，对进出站的IP数据报文提供不同的处理路径。
2.如权利要求1所述的负载均衡的IPSecVPN设备集群系统，其特征在于，所述集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址，作为组内通讯地址，组内同步模块定期将本台设备的安全策略、安全联盟、在线状态和计算能力评估结果通过多播的方式传递到集群的其他成员设备，同时也接受其他成员设备通过多播传递过来的安全策略、安全联盟、在线状态和计算能力评估结果，形成该集群全局一致的安全策略和安全联盟。
3.如权利要求1或2所述的负载均衡的IPSecVPN设备集群系统，其特征在于，所述设备集群各IPSec VPN设备具有共享的虚拟IP地址，作为该集群共享的IPSec VPN隧道源IP地址，所有通过该集群处理的出站IP数据报文都以该集群各成员设备共享的虚拟IP地址作为隧道封装后的源IP地址，而所有以该虚拟IP地址为目的IP地址的入站IPSec报文将被集群内的所有在线成员设备接收。
4.如权利要求1所述的负载均衡的IPSecVPN设备集群系统，其特征在于，计算能力评估模块以多线程的方式运行I万次2048比特模长的RSA签名运算，并计算出以次/秒为单位的签名速度，作为其所在IPSec VPN设备的计算能力评估结果。
5.如权利要求1?4中任一项所述的负载均衡的IPSecVPN设备集群系统的工作方法，其特征在于，包括如下步骤: 步骤一:为同一个IPSec VPN设备集群设置各成员设备共享的虚拟IP地址，作为该集群共享的IPSec VPN隧道源IP地址； 步骤二:同一个集群内的IPSec VPN设备起动时，运行计算能力评估模块，得到每个IPSec VPN设备的计算能力评估结果； 步骤三:同一个集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址，作为组内通讯地址； 步骤四:负载管理模块根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配并根据本机的负载分配设置实际生效的安全策略和安全联盟； 步骤五:以太网环境下，对每一个进出站的数据报文，对IPSec VPN集群的虚拟IP地址或网关IP地址进行链路层地址解析，即请求虚拟IP地址或网关IP地址对应的48比特的MAC地址； 步骤六:数据分类器根据接收到的数据报文是否处在本机已生效的安全策略或安全联盟范围之内，对进出站的IP数据报文提供不同的处理路径。
6.如权利要求5所述的负载均衡的IPSecVPN设备集群系统的工作方法，其特征在于，所述步骤四具体为: 首先，按照各成员设备实际IP地址从大到小的顺序将集群内的所有设备统一排序并编号；对于全局安全策略，按照源IP地址、目的IP地址、源传输层端口、目的传输层端口、传输层协议号的五元组依次从大到小排序；对于全局安全联盟，按照目的IP地址、安全参数索引、安全协议的三元组依次从大到小排序； 然后，将各成员设备的计算能力累加作为总计算能力，各成员设备计算能力与总计算能力的比值作为该设备分配到的负载比例，按照设备编号和负载比例分别依次从全局安全策略和全局安全联盟获取本设备实际生效的安全策略和安全联盟，对于每台设备，全局策略和全局联盟中除去该设备实际生效的安全策略和安全联盟，剩下的属于该设备仅更新的安全策略和安全联盟； 负载管理模块根据定期收到的组内同步信息定期更新本设备的实际生效的安全策略和安全联盟以及仅更新的安全策略和安全联盟，如果有设备失效，则该设备所分配到的负载，即该设备实际生效的安全策略和安全联盟将根据其他设备的计算能力重新分配给其他设备。
7.如权利要求5所述的负载均衡的IPSecVPN设备集群系统的工作方法，其特征在于，步骤五中，将虚拟IP地址或网关IP地址对应的MAC地址设置为可配置的多播MAC地址，地址应答器对于对IPSec VPN集群的虚拟IP地址或网关IP地址进行的所有链路层地址解析请求，统一回应为设置的多播MAC地址，这样进出站的所有需要进行IPSec处理的进出站IP数据报文以及IKE协商报文会通过多播通道到达集群的每台设备。
8.如权利要求5所述的负载均衡的IPSecVPN设备集群系统的工作方法，其特征在于，步骤六中，所述数据分流器对出站的IP数据报文提供不同的处理路径具体为: 对于处在本机已生效的安全策略或安全联盟范围之内的数据报文，进行正常的IPSec处理； 对于处在本机已生效的安全策略或安全联盟范围之外但在仅更新的安全策略和安全联盟范围之内的数据报文，仅进行序列号的更新或序列号的验证及抗重放窗口的更新以及安全策略和安全联盟生存期的更新，并将该报文丢弃； 当集群中设备故障不能工作，该设备的负载将通过组内同步模块和负载管理模块分担到其他设备，实现负载的零间隔无缝切换。
【文档编号】H04L12/46GK104184675SQ201410460656
【公开日】2014年12月3日 申请日期:2014年9月12日 优先权日:2014年9月12日
【发明者】罗俊 申请人:成都卫士通信息产业股份有限公司