专利名称:虚拟专用网负载备份系统及其建立方法与数据转发方法
技术领域:
本发明涉及网络安全技术领域,尤其涉及一种采用虚拟路由器冗余协议(VRRP)建立IP层安全虚拟专用网(IPSEC VPN)的技术。
背景技术:
IP层安全协议(IPSEC),是被采用得最广泛的虚拟专用网(VPN)技术,是由Internet工程任务组(IETF)开发的一组身份验证和加密的协议,可用于IP网络中的数据保密、完整性检查、身份验证和密钥管理等诸多方面。一般说来,IP层安全协议(IPSEC)主要用于安全阈的一个部分,它通过对整个数据包进行了加密封装,这种经过加密封装的信息流在没有其它安全措施的IP网络中形成了一个安全的信息隧道,即IPSEC隧道。对数据进行的加密处理称为IPSEC封装。
通常,网络内设置两台网关互为备份,其中一个作为主用网关,另一个作为备用网关。VRRP是一种常用的网关备份方案。网络内主机预先设置一条缺省路由,这样,主机发出的数据一般通过主用网关发出,从而实现了主机与外部网络的通信;当主用网关发生故障时,备用网关替代主用网关发送数据。
对企业总部局域网而言,通常需要一个默认网关和外部网络连接。目前采用VRRP部署IPSEC VPN的典型方案是在企业总部局域网部署两台三层交换机作为互为备份的网关,并在这两台三层交换机之间运行VRRP协议实现对内部局域网的网关备份,在两台三层交换机和两台中心VPN设备之间采用动态路由实现到中心VPN设备和分支之间IPSEC隧道的线路备份,如图1所示。即实现中心VPN设备所连接的总部局域网通过多条线路和外部网络互连,在设备或者线路故障时都能保证中心VPN设备和分支VPN设备间IPSEC隧道的畅通。
各个分支VPN设备仅仅和其主接入线路(往往是基于同一运营商的线路)连接的中心VPN设备建立IPSEC主用隧道,三层交换机从建立的IPSEC主用隧道中提取出到分支VPN设备所连接的内部网络,建立起到分支VPN设备所连接的内部网络的静态路由,下一跳为分支VPN设备公网地址,并通过动态路由协议重分发此静态路由;同时设定当IPSEC主用隧道正常工作时,分支VPN设备的IPSEC备份隧道不建立,以免IPSEC备份隧道也被提取出同样的静态路由被动态路由协议重分发,导致一部分数据从传输效率不高的备份隧道发送。这样主用三层交换机回送交互数据到分支VPN设备时,根据路由信息将数据分别发送到相应的中心VPN设备后,中心VPN设备根据建立的IPSEC主用隧道将数据送到相应的分支VPN设备,从而实现总部和分支的数据交互通过同一个隧道进行。
现有技术部署两台三层交换机构建中心网络,增加了IPSEC VPN负载备份系统的建设、及维护成本与维护难度。对于一个企业总部局域网相对较简单的应用环境,这个问题更为突出,因此可以寻求一种更为简单的解决方案。
发明内容
本发明所要解决的技术问题是,提供一种虚拟专用网负载备份系统与虚拟专用网负载备份系统的建立方法与数据转发方法,在不增加多余设备的情况下,保证中心VPN设备和分支VPN设备高效率传输数据。
本发明为解决上述技术问题所采用的技术方案是,虚拟专用网负载备份系统,包括两台中心VPN设备、多台分支VPN设备,其特征在于,所述两台中心VPN设备互为备份,其中一台中心VPN设备为主用网关,另一台中心VPN设备为备用网关,两台中心VPN设备与总部局域网相连,两台中心VPN设备之间相连;各分支VPN设备分别通过IPSEC隧道与中心VPN设备相连。
具体的,所述IPSEC隧道包括IPSEC主用隧道、IPSEC备用隧道;IPSEC主用隧道为分支VPN设备对应最优线路的中心VPN设备建立的IPSEC隧道;该分支VPN设备与另一台中心VPN设备建立的IPSEC隧道为IPSEC备用隧道;当所述IPSEC主用隧道断开时,所述IPSEC备用隧道才生效;当所述主用隧道重新恢复时,所述备用隧道则不再生效。
具体的,所述两台中心VPN设备为运行虚拟路由器冗余协议的VPN设备。
可选的,两台中心VPN设备之间有一条或多条用于建立相互指向的静态路由的物理线路连接。
可选的,两台中心VPN设备之间有一条在其接口上建立的用于建立相互指向的静态路由的子接口逻辑连接。
本发明还提供了虚拟专用网负载备份系统的建立方法,其特征在于,包括以下步骤(1)在两台中心VPN设备上运行虚拟路由器冗余协议,实现网关备份;(2)分支VPN设备分别与对应最优线路的中心VPN设备建立IPSEC主用隧道,和另外一台中心VPN设备建立备用隧道;(3)在两台中心VPN设备上分别配置其到所有分支内部网络的静态路由,并设定下一跳地址为另外一台中心VPN设备。
可选的,所述网关备份设备之间通过一条或多条物理线路相连。
可选的,所述两台中心VPN设备通过在其接口上配置子接口建立逻辑连接。
本发明还提供了实现上述虚拟专用网负载备份系统的数据转发方法,其特正在于中心VPN设备在转发到分支内部网络的数据时,在有对应的IPSEC隧道时,首先对数据进行IPSEC封装,然后将数据通过因特网传输到对应的分支VPN设备;如无对应的IPSEC隧道时,则将数据根据静态路由转发至另一台中心VPN设备。
优选的,设置循环报文的检测机制,即一旦中心VPN设备接收到另一台中心VPN设备发送来的从经IPSEC封装的数据,而本地又没有这个IPSEC主用隧道,此数据根据静态路由又将送回另一台中心VPN,这时丢弃此数据。
本发明的有益效果是相比现有技术本发明少投入两台三层交换机,达到了与现有技术相比同样的效果,大大减少了网络建设以及维护成本,并且中心网络更简单易维护,尤其适合企业总部局域网相对较简单的应用环境。
图1是背景技术中的IPSEC VPN负载备份系统网络连接图;图2是本发明的IPSEC VPN负载备份系统网络连接图。
具体实施例方式
如图2所示,本发明的IPSEC VPN负载备份系统包括两台中心VPN设备、多台分支VPN设备,两台中心VPN设备与总部局域网相连,两台中心VPN设备之间相连;各分支VPN设备分别通过IPSEC隧道与中心VPN设备相连。两台中心VPN设备对于总部局域网内部运行VRRP进行网关备份,正常工作时,只有一台中心VPN设备作为内部局域网的默认的主用网关接收总部局域网发往分支机构内部网络(即分支VPN设备)的数据;另外一台中心VPN设备作为备份网关,在默认的主用网关故障或者线路出现问题时切换为主用网关。
各分支VPN设备根据接入线路的实际情况,选择与之对应的最优线路(一般为相同运营商的接入线路)的中心VPN设备建立IPSEC主用隧道,与另外一台中心VPN设备建立IPSEC备用隧道,此时分支VPN设备视接入线路的不同可能是和主用网关建立主用隧道,也可能是和备用网关建立主用隧道;当主用隧道断开时,IPSEC备用隧道才生效;当主用隧道重新恢复时,备用隧道则不再生效。从而两台中心VPN设备负载备份了分支VPN的IPSEC隧道接入。
在两台中心VPN设备上分别配置连接因特网的静态路由,下一跳为运营商网关;用于在有对应的IPSEC隧道时,到目的分支内部网络的数据在进行IPSEC封装后将通过因特网传输到该分支VPN设备。
在两台中心VPN设备上分别配置到所有分支内部网络的静态路由,下一跳地址为另一台中心VPN设备,即在两台路由器上分别配置相互指向的静态路由。这样保证了当主用网关(根据网络状况会在两台中心VPN之间切换)接收到目的地址为某一分支VPN内部网络的数据时,而该分支VPN有效的IPSEC隧道是通过另一台中心VPN设备建立的,这些数据根据以上所述的静态路由传输到另外一台中心VPN设备上,并通过该分支VPN的IPSEC隧道达到该分支内部网络。
由于要在两台中心VPN设备分别配置以上所述的下一跳地址为另一台中心VPN设备到所有分支内部网络的静态路由,这就需要在两台中心VPN之间添加互联线路,两台中心VPN设备之间的互连线路可以是物理连接,也可以通过这两个中心VPN设备连接内部局域网的接口上配置子接口作为互联线路。在高可靠性的要求下,两台中心VPN设备之间通过多条物理线路的连接形成备份,也可以是在两台中心VPN设备连接内部局域网的接口上配置子接口建立逻辑上的连接,同时也有物理线路连接形成备份。
中心VPN设备对所接收到目的地址为某一分支内部网络的数据时,首先判断是否存在到达该分支内部网络的IPSEC隧道,分以下两种情况进行处理
a)有IPSEC隧道中心VPN设备首先对数据进行IPSEC封装,然后再根据查找到的连接因特网的静态路由条目进行转发,从而数据通过IPSEC隧道到达目的分支VPN;b)没有IPSEC隧道该中心VPN设备直接根据配置的下一跳为另一台中心VPN设备的静态路由条目转发,此时收到转发数据的另外一台中心VPN设备,同样进行是否到有达该目的分支内部网络的IPSEC隧道的判断和处理,分以下两种情况1)有IPSEC隧道中心VPN设备首先对数据进行IPSEC封装,然后再根据查找到的连接因特网的静态路由条目进行转发,从而数据通过IPSEC隧道到达目的分支VPN;2)没有IPSEC隧道(因为存在分支VPN设备故障或者分支VPN连接因特网的线路故障的情况,所以存在两台中心VPN设备上都没有到达该分支VPN内部网络的IPSEC隧道)为了避免这台中心VPN设备根据配置静态路由将数据重新发回到另一台中心VPN设备、两台中心VPN设备一直循环发送的情况,中心VPN网关设备接收到从另一台中心VPN设备发送来到达分支内部网络的数据,而本地又没有到到目的分支内部网络的IPSEC隧道时,中心VPN设备丢弃这个数据,从而避免可能引起的资源浪费问题。
实施例根据本发明构建企业IPSEC VPN负载备份网络。企业总部局域网为10.1.1.0/24,分支VPN设备A连接的内部网络地址为192.168.1.0/24,分支VPN设备B连接的内部网络地址为192.168.2.0/24,两台中心VPN设备直连的互联线路在中心VPN设备A上的接口地址为1.1.1.1,在中心VPN设备B上的接口地址为1.1.1.2,并且采用了两台中心VPN设备在连接内部局域网的接口上配置子接口的方式建立备份的互联线路,中心VPN设备A上的子接口地址为2.1.1.1,中心VPN设备B的子接口地址为2.1.1.2。
该系统正常工作时,中心VPN设备A分担的接入运营商和分支VPN设备A的接入运营商为同一个运营商,因此分支VPN设备A的IPSEC主用隧道与中心VPN设备A建立,IPSEC主用隧道正常工作时分支VPN设备A和中心VPN设备B的IPSEC备份隧道不生效;中心VPN设备B分担的接入运营商和分支VPN设备B的接入运营商为同一个运营商,因此分支VPN设备B的IPSEC主用隧道和中心VPN设备B建立,IPSEC主用隧道正常工作时分支VPN设备B和中心VPN设备A的IPSEC备用隧道不生效。默认情况下,主用网关位于中心VPN设备A上,总部局域网到分支的数据都会首先被中心VPN设备A接收。还有更多的分支分别和这两台中心VPN采用相同的连接方式建立IPSEC隧道,不再一一描述,为了方便配置,规划这些分支的内部网络时,将其内部网络地址都设置为互不重复的192.168.X.0/24。互不重复是为了防止IPSEC封装数据流冲突导致隧道无法正常建立。
还需要在中心VPN设备上分别进行如下配置(1)设定到各个分支VPN设备内部网络的静态路由,下一跳为另一个中心VPN设备的接口地址;(2)为实现在两台中心VPN设备都正常工作时,分支VPN设备都能来回同路通过主隧道传输数据,并且考虑到发往分支的数据没有IPSEC隧道可以进行传输,在中心VPN设备上需要先经过IPSEC封装数的明文数据的检查以防止路由环路时产生的循环数据流。
这样,这一结合VRRP的IPSEC VPN负载备份系统即可构建起来,在该系统双中心VPN设备都正常工作时,可以将隧道连接和业务流量分担到两台中心VPN设备上,并且保证数据来回同路的进行高效率传输。
权利要求
1.虚拟专用网负载备份系统,包括两台中心VPN设备、多台分支VPN设备,其特征在于,所述两台中心VPN设备互为备份,其中一台中心VPN设备为主用网关,另一台中心VPN设备为备用网关,两台中心VPN设备与总部局域网相连,两台中心VPN设备之间相连;各分支VPN设备分别通过IPSEC隧道与中心VPN设备相连。
2.如权利要求1所述虚拟专用网负载备份系统,其特征在于,所述IPSEC隧道包括IPSEC主用隧道、IPSEC备用隧道;IPSEC主用隧道为分支VPN设备对应最优线路的中心VPN设备建立的IPSEC隧道;该分支VPN设备与另一台中心VPN设备建立的IPSEC隧道为IPSEC备用隧道;当所述IPSEC主用隧道断开时,所述IPSEC备用隧道才生效;当所述主用隧道重新恢复时,所述备用隧道则不再生效。
3.如权利要求1或2所述虚拟专用网负载备份系统,其特征在于,所述两台中心VPN设备为运行虚拟路由器冗余协议的VPN设备。
4.如权利要求3所述虚拟专用网负载备份系统,其特征在于,两台中心VPN设备之间有一条或多条用于建立相互指向的静态路由的物理线路连接。
5.如权利要求3所述虚拟专用网负载备份系统,其特征在于,两台中心VPN设备有一条在其接口上建立的用于建立相互指向的静态路由的子接口逻辑连接。
6.虚拟专用网负载备份系统的建立方法,其特征在于,包括以下步骤(1)在两台中心VPN设备上运行虚拟路由器冗余协议,实现网关备份;(2)分支VPN设备分别与对应最优线路的中心VPN设备建立IPSEC主用隧道,和另外一台中心VPN设备建立备用隧道;(3)在两台中心VPN设备上分别配置其到所有分支内部网络的静态路由,并设定下一跳地址为另外一台中心VPN设备。
7.如权利要求6所述虚拟专用网负载备份系统的建立方法,其特征在于,所述两台中心VPN设备之间通过一条或多条物理线路相连。
8.如权利要求6所述虚拟专用网负载备份系统的建立方法,其特征在于,所述两台中心VPN设备通过在其接口上配置子接口建立逻辑连接。
9.虚拟专用网负载备份系统的数据转发方法,其特征在于,中心VPN设备在转发到分支内部网络的数据时,在有对应的IPSEC隧道时,首先对数据进行IPSEC封装,然后将数据通过因特网传输到对应的分支VPN设备;如无对应的IPSEC隧道时,则将数据根静态路由转发至另一台中心VPN设备。
10.如权利要求9所述虚拟专用网负载备份系统的数据转发方法,其特征在于,中心VPN设备接收到另一台中心VPN设备发送来到分支内部网络的数据,而本地又没有到分支内部网络的IPSEC隧道时,丢弃此数据。
全文摘要
本发明涉及网络安全技术领域。本发明所要解决的技术问题是,提供一种虚拟专用网负载备份系统以及虚拟专用网负载备份系统的建立方法与数据转发方法,在不增加多余设备的情况下,保证中心VPN设备和分支VPN设备高效率传输数据。采用两台中心VPN设备互为备份,其中一台中心VPN设备为主用网关,另一台中心VPN设备为备用网关,两台中心VPN设备与总部局域网相连,两台中心VPN设备之间相连;各分支VPN设备分别通过IPSEC隧道与中心VPN设备相连。本发明的有益效果是相比现有技术本发明少投入两台三层交换机,达到了与现有技术相比同样的效果。
文档编号H04L1/22GK101072157SQ20071004926
公开日2007年11月14日 申请日期2007年6月8日 优先权日2007年6月8日
发明者邓霄博, 范恒英 申请人:迈普(四川)通信技术有限公司