专利名称:多路复用vpn隧道的连接方法
技术领域:
本发明涉及实现两个节点间的VPN的隧道线路复用和线路备份、使用多条物理线路在两点间建立VPN隧道的连接方法。
背景技术:
随着互联网和信息技术的发展和应用,VPN(虚拟专用网)技术已经成为主要的网络互联方式之一。
但是传统的VPN往往在两个节点间只建立一条物理线路到另一条物理线路间的VPN的隧道连接。如果需要备份,也只能使用两台VPN设备进行双机备份。这样做有很多局限性一方面双机带来成本的增加,VPN线路不稳定往往是物理线路不稳定造成的,因此只需要备份物理线路就可以,而不需要添加额外的设备;另一方面传统方案无法将备份的线路和主线路捆绑使用,达到扩充两点间VPN的隧道带宽的目的。
发明内容
本发明的目的是克服上述现有技术中的不足之处而提供一种能大大提高网络的带宽和稳定性,增强网络的可靠性和安全性,使用多条物理线路,在两点间建立可复用带宽和线路备份的VPN隧道的连接方法。
本发明的目的可以通过以下措施达到构建一种线路复用的VPN隧道的连接方法的特殊之处包含以下步骤第一步,在需要线路复用的节点通过多条物理线路连接公网(或非信任网络);第二步,在各节点自动或手动在每条线路上都建立到对端节点的VPN隧道;
第三步,将需要送到对端的数据包(一般为IP包),按照一定的调度算法,送入到对端节点对应的所有VPN隧道,从而实现线路复用。
第四步,在对端节点接收VPN的隧道数据,并依据采用的VPN协议进行数据包处理。
第五步,VPN隧道建立后,各节点检查连接的物理线路的状态,如果发生中断,数据全部切换到剩余的到对端的有效线路上。等待线路恢复后重新和对端节点在恢复的线路上建立VPN隧道,并将部分数据按照调度算法倒换回来。
本发明的目的还可以通过以下措施达到在多线路间的VPN隧道建立后,通过定时握手机制或其他的机制来实时监测线路中断情况并进行中断检查。
调度算法可以是对称线路的平均分配法,即将发送的包平均分配到每条到对端节点的VPN隧道内。
调度算法可以是按照源IP、目的IP、源端口、目的端口连接的平均分配法,即按将IP包分配到VPN隧道,以保证同一连接的包走相同的VPN隧道。
调度算法可以是非对称线路的宽带分配法,即则按线路带宽的比例,发送内网IP包到每条VPN隧道内。
调度算法可以是带宽优先分配法,即总是优先发送IP包到带宽大的线路对应的VPN隧道中,如果该的隧道没有剩余的缓冲区,就找下一条的隧道,依此类推。
调度算法可以是剩余比例分配法,即根据线路的带宽不同,设置对应VPN隧道发送缓冲区的大小;带宽小的线路发送缓冲区就小,避免发送数据时间过长;发送IP包时检查每条VPN隧道缓冲区剩余比例,大则优先。
调度算法可以是根据情况,使用对称线路的平均分配法、按连接的平均分配法、按非对称线路的带宽分配法、带宽优先分配法、剩余比例调度方法的混合调度方式复用两个节点间的VPN隧道。
本发明相比现有技术具有如下优点1.本发明的最大优点是实现两个节点间的VPN隧道线路复用和线路备份。
2.由于在同类型解决方案中要加入备份的设备,一般也没有线路复用方案,因此本发明具有成本更低,更稳定等优点。
3.当其中一个连接断线后,由于有其它连接存在,企业VPN不会断开,这个功能为企业VPN提供更稳定的连接。
图1是本发明的网络连接示意图;图2是本发明VPN的隧道连接示意图;图3是本发明VPN的隧道重建示意图。
具体实施例方式
本发明下面将结合附图作进一步详述图1、图2、图3体现了该多路复用VPN系统的隧道建立和恢复过程。
如图1所示,在A点VPN网关通过多条物理线路连接公网或非信任网络,在图中为线路1和线路2。B点VPN网关也通过1条或多条物理线路连接公网或非信任网络,在图中为线路3和线路4。物理线路可以是以太网、ATM、DDN、DSL等任意物理适配方式。A点VPN网关和B点VPN网关再分别连接各自的内部信任网络A网和B网,如图1所示。
通过手工方式或者自动方式在A、B两个网关,分别建立A点每条物理线路到B点每天物理线路两两间的VPN隧道。如图例2,就要建立4条VPN的隧道1-3,2-3,1-4,2-4。A和B点的所有数据在这4条的隧道中按一定的调度进行传输。
调度方法可以是如下几种,但也可以不限于以下方法
1.平均分配对称线路,将发送的包平均分配到每条到对端节点的VPN隧道内,按图2,则是平均分配到4条线路。
2.按连接的平均分配按照源IP、目的IP、源端口、目的端口,将IP包分配到VPN隧道,以保证同一连接的包走相同的VPN隧道。
3.按带宽分配非对称线路,则按线路带宽的比例,发送内网IP包到每条VPN隧道内。安装图2,假设A点连接的线路1和2的带宽比例为1∶3,则分配到线路1-3,1-4,2-3,2-4的IP包的比例为1∶1∶3∶3。
4.带宽优先总是优先发送IP包到带宽大的线路对应的VPN隧道中,如果该的隧道没有剩余的缓冲区,就找下一条的隧道,依此类推。
5.剩余比例根据线路的带宽不同,设置对应VPN隧道发送缓冲区的大小。带宽小的线路发送缓冲区就小,避免发送数据时间过长。发送IP包时检查每条VPN隧道缓冲区剩余比例,谁大就放进去。
可以根据情况使用以上调度方法的混合调度方式,也可以使用其他调度方式复用两个节点间的VPN隧道,从而达到扩充两点间VPN隧道带宽的目的。
在多线路间的VPN隧道建立后,通过一定的机制来实时监测线路中断情况。可以采用定时握手机制或其他的机制来进行中断检查。如果发现中断,立即将中断线路对应的VPN隧道数据切换到其他到相同目的节点的VPN隧道上,从而实现线路备份的功能。在图3中,如果线路1发生中断,则检测机制将检测出的隧道1-3和1-4发生了中断,则发送到B的包将被立即切换到的隧道2-4,2-3上。并定时发起中断的隧道重新连接过程,当线路恢复后,又在恢复的线路上重新建立VPN隧道,并重新安装调度算法分配去对端的IP包到所有可用的VPN隧道内。
权利要求
1.一种多路复用VPN的连接方法,其特征在于,包括以下步骤第一步,在需要线路复用的节点通过多条物理线路连接公网(或非信任网络);第二步,在各节点自动或手动在每条线路上都建立到对端节点的VPN隧道;第三步,将需要送到对端的数据包(一般为IP包),按照一定的调度算法,送入到对端节点对应的所有VPN隧道,从而实现线路复用;第四步,在对端节点接收VPN隧道的数据,并依据采用的VPN协议进行数据包处理;第五步,VPN隧道建立后,各节点检查连接的物理线路的状态,如果发生中断,数据全部切换到剩余的到对端的有效线路上;等待线路恢复后重新和对端节点在恢复的线路上建立VPN隧道,并将部分数据按照调度算法倒换回来。
2.根据权利要求1所述的多路复用VPN的连接方法,其特征在于在多线路间的VPN隧道建立后,通过定时握手机制或其他的机制来实时监测线路中断情况并进行中断检查。
3.根据权利要求1所述的多路复用VPN的连接方法,其特征在于调度算法是对称线路的平均分配法,即将发送的包平均分配到每条到对端节点的VPN隧道内。
4.根据权利要求1所述的多路复用VPN的连接方法,其特征在于调度算法是按照源IP、目的IP、源端口、目的端口连接的平均分配法,即按将IP包分配到VPN隧道,以保证同一连接的包走相同的VPN隧道。
5.根据权利要求1所述的多路复用VPN的连接方法,其特征在于调度算法是非对称线路的宽带分配法,即则按线路带宽的比例,发送内网IP包到每条VPN隧道内。
6.根据权利要求1所述的多路复用VPN的连接方法,其特征在于调度算法是带宽优先分配法,即总是优先发送IP包到带宽大的线路对应的VPN隧道中,如果该隧道没有剩余的缓冲区,就找下一条隧道,依此类推。
7.根据权利要求1所述的多路复用VPN的连接方法,其特征在于调度算法是剩余比例分配法,即根据线路的带宽不同,设置对应VPN隧道的发送缓冲区的大小;带宽小的线路发送缓冲区就小,避免发送数据时间过长;发送IP包时检查每条VPN隧道缓冲区剩余比例,大则优先。
8.根据权利要求1或3或4或5或6或7所述的多路复用VPN的连接方法,其特征在于调度算法是根据情况使用对称线路的平均分配法、按连接的平均分配法、按非对称线路的带宽分配法、带宽优先分配法、剩余比例调度方法的混合调度方式复用两个节点间的VPN隧道。
全文摘要
本发明涉及在两点间建立可复用带宽和线路备份的多路复用VPN隧道的连接方法在需要线路复用的节点通过多条物理线路连接公网→在各节点自动或手动在每条线路上都建立到对端节点的VPN隧道→将需要送到对端的数据包,按照一定的调度算法,送入到对端节点对应的所有VPN隧道,从而实现线路复用→依据VPN协议对对端节点接收VPN隧道的数据进行处理→VPN隧道建立后,各节点检查物理线路的连接状态,如发生中断,其数据全部切换到剩余的到对端的有效线路上;待线路恢复后重新和对端节点在恢复的线路上建立VPN隧道,并将部分数据按照调度算法倒换回来。本发明广泛适用于VPN系统、专线系统等点到点网络互联系统中。
文档编号H04L12/46GK1540940SQ20031011200
公开日2004年10月27日 申请日期2003年11月4日 优先权日2003年11月4日
发明者何朝曦 申请人:深圳市深信服电子科技有限公司