网络冗余系统及其处理方法

专利名称：网络冗余系统及其处理方法
技术领域：
本发明涉及 一 种网络通讯系统，且特别是涉及 一 种虛拟私人网络
(Virtual Private Network,简称为VPN )的网络冗余(redundancy )系统 及其处理方法。
背景技术：
"虚拟私有网络(Virtual Private Network,简称为VPN)"是近年来 网络应用中最受瞩目的营运模式，因为它利用公用网络取代专线连接企业的 局域网络，不仅大幅降低建置成本，也提高了未来扩充的便利性。 一般VPN 可分为以客户端"i殳备为基础(Customer Premises Equipment (简称为CPE) -based)的VPN以及以网络为基础(Network-based )的VPN。前者主要由企 业客户端以自身的设备自行利用第二层通道通信协议(Layer Two Tunneling Protocol,简称为L2TP)或因特网通讯协议安全性(Internet Protocol Security,简称为IPSec )这类的技术，与远程的CPE-based VPN装置建置 跨越公用网络的虚拟私有信道，是现今最为常见的VPN解决方案。后者则是 由网络服务提供者(Service Providers,简称为SP )直接提供VPN的建置 服务，是日渐兴起的VPN方案。
目前CPE-based VPN所使用的技术可区分为Layer 2的PPTP或是L2TP 的通道(Tunneling)技术，以及Layer 3的IPsec技术。因为这些VPN技 术都是通过IP的封装格式传送，因此也被统称为IP-VPN的技术。
此外，由于因特网(Internet )的快速发展，以因特网通讯协议(Internet Protocol,简称为IP)网络为基础发展出来的应用日益增多，企业采用IP 网络来建置企业内部网络(Intranet)的需求也与日俱增。IP网络是以IP 地址为传送分组的依据。但在传统的IP分组传送过程中，每一个节点设备 必须重复被检查分组的表头并解析下一个路径，直到到达目的地为止，因此 网络越庞大，传输的效能将会越差，将不能满足未来Internet高速且大量 传输的需求。多重协议标签交换(Multi Protocol Label Switching,简称
为MPLS)技术正是满足了未来的需求，并且兼容于VPN的最佳选择。
图1显示利用拨接连线提供冗余服务的VPN冗余系统的架构示意图。图 2A - 2C显示利用拨接连线提供冗余服务的VPN冗余系统的工作流程示意图。 需注意的是，网络冗余系统中的传送端与接收端所有的计算机设备大致上相 同，但主要以传送端的计算机设备与所使用的网络媒体来说明实作流程，接 收端的计算机设备的运作流程则不另行说明。
拨接连线包括集成服务数字网络(Integrated Services Digital Network,简称为ISDN)与公用电话网络(Public Switched Telephone Network,简称为PSTN )。
ISDN是集成(Integrated )、服务(Service )、数字(Digital )和网络 (Network)的组合，其将各种信息及通讯管道纳入一个共同的网络里面， 使得用户利用一对电话线即可同时享有语音、数据、影像等多样化的数字通 讯服务，并且可免去在模拟式与数字式之间不断转换数据的不便，因而大量 地增进了电话线路数字数据传送速度的科技。
PSTN (即一般市话及移动电话)的原理是以调制解调器(MODEM)将计 算机的0、 1等数字数据转换为类似人类声频范围的模拟声音，再利用一般 的室内电话网络连接至另 一部计算机的调制解调器，再以相反的方式将声音 还原成数字数据。
参考图1，由传送端A (Tran-A)的主机110经由异步数字用户专线 (Asymmetric Digital Subscriber Line,简称为ADSL)调制解调器130 连接到远程接收端B (Rec—B)的联机路径为主线路，而由传送端A的主机 110经由拨接调制解调器140连接到远程接收端B的联机路径为冗余线路。
参考图1与图2A,首先，在传送端A中，与主机110连接的路由器 (Router ) 120检测连接ADSL调制解调器130的以太网络(Ethernet )的广 域网络(Wide Area Network,简称为WAN )接口为开启(Up,即联机为正常) 时，则经由PSTN 150与异步传输模式(Asynchronous Transfer Mode,简 称为ATM)网络160检测(Ping) MPLS网络(VPN) 170中利用宽频远程接取 服务器(Broadband Remote Access Server,简称为BRAS)所设置的供货商 边缘设备(Provider Edge Device,筒称为PE ) 171的IP地址。需注意的 是，ADSL调制解调器130必须使用桥接模式(Bridge Mode)才能检测整段 线路的状况。ATM是一种先进的分封交换技术，可同时应用在局域网络及广
域网络中，每秒的传输速度理论上可达到1. 2Gbps，但实际应用中只能达到 155Mbps。 ATM网络160与MPLS网络170间可通过异步传送模式第1位阶
(Asynchronous Transfer Mode-l, 简称为STM-1 )来连接。
路由器120命令其IP堆栈(Stack)送出一个因特网控制信息通讯协议
(Internet Control Message Protocol, 简称为ICMP)回响(Echo)请求 给BRAS PE 171,然后等待ICMP Echo响应。当路由器120的IP堆栈收到 ICMP Echo响应时，表示BRAS PE 171正常运作且可到达。路由器120确定 主线路的ADSL调制解调器130的线路正常后，将后端局域网络(Local Area Network,筒称为LAN)的网络流量(Traffic)导向ADSL调制解调器130。 BRAS PE 171查询传送端A的ADSL调制解调器130的虛拟路径辨识
(Virtual Channel Identification,简称为VPI )与虚拟通道辨识(Virtual Path IdentiHcation,简称为VCI )所属虚拟3各由表(Virtual Routing Forwarding/Table，简称为VFR )及其IP路由信息后，将分组打上VPN标签
(Label )及MPLS巻标并传送至MPLS网络170中。VRF是指在MPLS VPN中， 每个不同的VPN客户存放自己企业IP路由信息的地方。
MPLS属于第三代网络架构，是新一代的IP高速骨干网络交换标准，由 因特网工程项目小组(Internet Engineering Task Force,简称为IETF) 所提出，由Cisco、 3Com等网络设备大厂所主导。MPLS的运作原理是提供给 每个IP分组一个标签，由此决定分组的路径以及优先级，与MPLS兼容的路 由器，会将分组转送到其路径前，仅读取分组标签，无须读取每个分组的IP 地址以及标头，因此网络速度便会加快许多，同时通过服务品质(Quality of Service,简称为QoS )的机制对所传送的分组加以分级，进而大幅提升网络 服务品质并且提供更多样化的服务。MPLS VPN在MPLS网络中以VPN巻标来 区別不同企业网络的分组的技术。
接下来，分组在MPLS网络170中传送，且MPLS网络170的PE 175查 询此分组所属的VPN，去除分组中的VPN标签，然后将该分组传送至接收端 B的IP网络中。接着，PE 175查询传送端A的专线所属VRF及其IP路由信 息，在来自接收端B的分组打上VPN巻标及MPLS巻标，然后将该分组传送 到MPLS网络170中。BRAS PE 171查询该分组所属的VPN，去除分组中的VPN 标签，然后将该分组传送至传送端A的IP网络中，如此即完成传送端A与 接收端B间的分组传送。参考图1与图2B、 2C,当路由器120检测连接ADSL调制解调器130的 以太网络(Ethernet)的广域网络(WAN)联机为断线时，则驱动调制解调 器140拨号给PSTN 150，此时调制解调器140与PSTN 150间在交换 (Handshake )拨接速度。调制解调器140拨号操作完成后，即经由PSTN 150 将传送端A (即，客户端)的账号密码传送给MPLS网络170的利用远程接入 服务器(Remote Access Server,简称为RAS)所设置的PE 173进行认证。 PSTN 150与MPLS网络170间利用初级速率接口 (Primary Rate Interface, 简称为PRI )的Tl线路(PRI-T1 )相连接。认证成功后，RAS PE 173将账 号密码传送到其远程拨入用户认证服务(Remote Authentication Dial-In User Service,筒称为Radius )服务器(未显示)认证，然后由动态主机设 定协议(Dynamic Host Configuration Protocol,简称为DHCP)服务器(未 显示)指定IP地址给传送端A的路由器120。
指定IP地址后，路由器120将后端局域网络的网络流量导入调制解调 器140的拨号器(Dialer)(未显示)的点对点通讯协议(Point-to-Point Protocol,筒称为PPP)通道中，同时RASPE173将传送端A的路由信息转 入接收端B的VRF中。接着，RAS PE 173根据拨号器(未显示)的PPP通道 查询传送端A的VRF与路由表(Routing Table),将来自拨号器(未显示) 的分组打上VPN巻标与MPLS巻标，然后将该分组转送进入MPLS网络170。 该分组在MPLS网络170中传送，且PE 175查询该分组所属的VPN,去除分 组中的VPN标签，然后将该分组传送至接收端B的IP网络中。
接着，PE175查询传送该分组的网络专线所属的VRF与路由表，在来自 接收端B的分组打上VPN巻标及MPLS巻标，然后将该分组传送至MPLS网络 170中。RAS PE ( IPsec PE ) 173根据IPSec查询该分组所属的VPN,去除 该分组的VPN标签，然后将该分组传送至传送端A的拨号器(未显示)的PPP 通道中。
如前文所述，传统VPN冗余专线使用的规格为PSTN或ISDN,其检测主 线断线的方式如下。检测的主线必须以实体电路(例如，专线)直接连到CPE 设备，其只能判定物理信号是否断线，所以连接的ADSL必须是CPE设备内 建ADSL调制解调器的模块才行。因为外接式的ADSL调制解调器通常一个 RJ-ll的连接端口是连接电信公司的电话线，另一个连接端口是以太网络 (Ethernet )的接口 ，而以太网络(Ethernet )的线路接到CPE上，如果连
接到CPE的线路断线，但以太网络(Ethernet )的WAN接口并不会断线(Down), 故CPE设备无法检测到外接式ADSL调制解调器是否断线。此外，检测主线 断线并切换冗余的所需时间为90秒以上。
综上所述，目前的VPN冗余系统的缺点如下。采用ISDN或拨接(PSTN ) 网络冗余，故局端主线路频宽扩充弹性不佳，每次扩充频宽只能使用Tl或 El线路。可容许拨入的客户数有限，其中Tl最多同时允许23个频道拨入， 一个频道由一个客户端使用。无法实现异质网络冗余，即主线与冗余线必须 使用同一电信公司的实体电话线。客户端冗余频宽最多为128k,这会对未来 的使用造成瓶颈。冗余ISDN或拨接的计费方式不佳。
因此，本发明提供了一种VPN网络冗余系统及其处理方法。

发明内容
基于上述目的，本发明实施例披露了一种网络冗余系统的处理方法。一 传送端的 一路由器检测一主要线路为断线状态。通过一无线路由器与 一无线 网络卡拨号至一无线基站，并且传送该无线网络卡中的用户识别卡的接取点 名称给该无线网络。该接取点名称在认证后，将该传送端的IP路由导通至 一中介网络。该传送端建立与该中介网络间的一安全信道，其中该安全信道 表示为一冗余专线。该路由器将该传送端的网络流量导入该安全信道中。该 中介网络的一第一网络设备(IPsec PE)查询对应该安全通道的一路由表 (VRF)及IP路由信息，将经由该安全通道传送的一第一分组打上一第一网 络(VPN)巻标及一第一中介(MPLS)标签，并将该第一分组传送进入该中 介网络中。该中介网络的一第二网络设备查询该第一分组所属的网络，去除 该第一分组中的该网络巻标，并且将该第一分组传送至一接收端的IP网络 中。
本发明实施例还披露了一种网络冗余系统，包括 一接收端、 一无线网 络、 一中介网络与一传送端。该中介网络还包括一第一网络设备与一第二网 络设备。该传送端还包括一路由器、 一无线路由器与一无线网络卡。该路由 器检测一主要线路为断线状态。该无线路由器与无线网络卡在该一主要线路 为断线状态时拨号至一无线基站，并且传送该无线网络卡中的用户识别卡的 接取点名称给该无线网络。该无线网络在认证该接取点名称后将该传送端的 IP路由导通至一中介网络，以建立该传送端与该中介网络间的一安全信道，
其中该安全信道表示为 一冗余专线。该路由器将该传送端的网络流量导入该 安全信道中。该第一网络设备查询对应该安全通道的一路由表及IP路由信 息，将经由该安全通道传送的一第一分组打上一第一网络巻标及一第一中介 标签，并且将该第一分组传送进入该中介网络中。该第二网络设备查询该第 一分组所属的网络，去除该第一分组中的该网络巻标，并且将该第一分组传 送至一接收端的IP网络中。


图1显示利用拨接连线提供冗余服务的VPN冗余系统的架构示意图。
图2A-2C显示利用拨接连线提供冗余服务的VPN冗余系统的工作流程 示意图。
图3显示3G网络(WCDMA/UMTS)的架构示意图。
图4显示本发明实施例的利用3G提供冗余服务的网络冗余系统的架构 示意图。
图5A 5D显示利用3G提供冗余服务的网络冗余系统的工作流程示意图。
图6显示本发明实施例的网络冗余系统的处理方法的步骤流程。
附图符号说明
110-主机
120~路由器
130 ~ ADSL调制解调器
140-调制解调器
150-公用电话网络
160-异步传输模式网络
17 0 -多重协议巻标交换网络
171 ~宽频远程接取服务器的供货商边缘设备
173 ~远程接入服务器的供货商边缘设备
175-供货商边缘设备
410 ~主机
420 ~路由器
430 -ADSL调制解调器
441 ~ 3G路由器
443 ~ 3G网络卡
450 - 3G网络
460 -异步传输模式网络
470 -多重协议巻标交换网络
471 ~宽频远程接取服务器的供货商边缘设备 473 ~因特网通讯协安全性的供货商边缘设备 475 -供货商边缘设备
AUC 认证中心 BTS ~基站
EIR-设备识别寄存器
GGSN 网关集成分组无线电服务支持节点
GMSC 移动交换中心网关器
GSM BSS 全球移动通讯系统的基站系统
HLR 原始地点登录器
MSC 移动交换中心
Node B~节点B
PDN 公用数据网
PSTN 公用电话网络
RNC 无线电网络控制器
SGSN-服务集成分组无线电服务支持节点
TRAU ~传输编译码与速率转接器单元
VLR 访问位置寄存器
具体实施例方式
为了使本发明的目的、特征、及优点能更明显易懂，下文特举较佳实施 例，并结合图3至图6，做详细的说明。本发明说明书提供不同的实施例来 说明本发明不同实施方式的技术特征。其中，实施例中的各组件的配置为说 明之用，并非用以限制本发明。且实施例中附图标记的部分重复，为了简化 说明，并非指不同实施例之间的关联性。
本发明实施例披露了 一种网络冗余系统及其处理方法。
本发明实施例的VPN网络冗余系统使用第3代移动通讯系统(3rd Generation,简称为3G )来提供企业客户在固定线路(例如，ADSL)的冗余 应用及主线应用。
3G为多々某体通讯与Internet及无线网络(Wireless Network)结合的 新一代通讯技术。通过3G技术可以支持处理图像、音乐等多媒体形式，提 供网页浏览、电子商务(e-Commerce, EC )、多方在线会议(Voice Conference) 等多种类信息服务，以及提供2Mbps、 384kbps及144kbps的数据传输速率。
图3显示3G网络(宽带码分多址(Wideband Code Division Multiple Access ,简称为WCDMA ) /通用移动电信系统(Universal Mobile Telecommunications Systems, 简牙尔为UMTS))的架构示意图。
3G网络主要包括下列组成组件。
网关集成分组无线电服务支持节点(Gateway General Packet Radio Service (GPRS) Support Node,简称为GGSN),其负责3G网络与外界IP 网络的一个网关。
服务集成分组无线电服务支持节点(Serving GPRS Support Node,简 称为SGSN),其负责记录在服务区域内有哪些使用者。若是使用者传送的是 属于分组的数据，经由BSC的判断，会将分组的数据传给SGSN，由SGSN做 分组的交换与传输。
移动交换中心(Mobile Switching Center,简称为MSC)，其负责语音 越区切换(Hand-Off )和漫游(Roaming)的控制。
原始地点登录器(Home Location Register,简称为HLR)，其为储存使 用者数据的设备。每一个使用者都会归属于专属的HLR,手机的IP地址使用 静态配置时，使用的IP地址存放在HLR。
访问位置寄存器(Visitor Location Register,简称为VLR ),存放着 目前所有在这个MSC管理区域内的所有手机数据，而一个VLR也可以同时被 多个MSC使用。每当使用者进入一个新的位置区域(Location Area, LA) 就要对新区域MSC所拥有的VLR做一个注册的操作，并且要更新原本HLR中 的目前位置信息。以便于在有使用者的电话接入时，可以通过HLR找出使用 者目前所在的MSC位置，再把电话联机转到目前使用者所在的MSC,以进行 后续的操作。
认证中心(Authentication Center,简称为AUC )，其主要的工作在于 对移动通讯网路中的使用者进行身份认证。
无线电网络控制器(Radio Network Controller,简称为RNC),即为过 去所称的基站控制器(Base Station Controller,简称为BSC )。 一个RNC 同时连接多个基站(Base Transceiver Station,简称为BTS )， RNC与BTS 的所在区域即组成全球移动通讯系统(Global System for Mobile Communication,筒称为GSM )网络的一个服务区域，以进行无线频宽资源的 管理。
节点B(NodeB)，即为GSM架构下所称的BTS，其接受客户的使用者接 口 (User Equipment,简称为UE,即移动电话)进行联才几，就是所谓的移动 基站(Mobile Station,简称为MS)。
有关3G网络的运作流程为已知相关技术，本发明实施例的网络冗余系 统仅利用3G网络来达到异质冗余的目的，故在下文中并不单独对3G网络的 运作流程加以说明。
图4显示本发明实施例的利用3G提供冗余服务的网络冗余系统的架构 示意图。图5A 5D显示利用3G提供冗余服务的网络冗余系统的工作流程示 意图。需注意的是，本发明实施例的网络冗余系统中的传送端与接收端所有 的计算机设备大致上相同，但主要以传送端的计算机设备与所使用的网络媒 体来说明实作流程，接收端的计算机设备的运作流程则不另行说明。
参考图4，由传送端A (Tran_A)的主机410经由ADSL调制解调器430 连接到远程接收端B (Rec-B)的联机路径为主线路，而由传送端A的主机 410经由3G路由器441与3G网络450连接到远程接收端B的联机路径为冗 余线路。
参考图4与图5A，首先，在传送端A中，与主机410连接的路由器 (Router ) 420经由ATM网络460检测(Ping) MPLS网络(VPN) 470中的 BRAS PE 471的IP地址，以纟企测主线路的ADSL调制解调器430的线路是否 正常(开启(Up)或关闭(Down))。每3秒检测(Ping) —次，若在1秒内 收到回应则判定为正常。需注意的是，ADSL调制解调器130必须使用桥接模 式(Bridge Mode )才能检测整段线路的状况。ATM网络460与MPLS网络470 间可通过STM-1来连接。
路由器42(H全测(Ping) BRAS PE 471的IP地址，并且判断ADSL调制解调器430的线路为正常时，命令其IP堆栈(Stack)送出一个ICMP Echo 请求给BRAS PE 471,然后等待ICMP Echo响应。当路由器120的IP堆栈收 到ICMP Echo响应时，表示BRAS PE 471正常运作且可到达。路由器420确 定主线路的ADSL调制解调器430的线路正常后，将后端LAN的网络流量 (Traffic )导向ADSL调制解调器430。
BRAS PE471查询传送端A的ADSL调制解调器430的VPI与VCI所属VRF 及其IP路由信息后，将分组打上VPN巻标及MPLS巻标并传送至MPLS网络 470中。分组在MPLS网络470中传送，MPLS网络470的PE 475查询此分组 所属的VPN，去除分组中的VPN标签，然后将该分组传送至接收端B的IP 网络中。接着，PE 475查询传送端A的专线所属VRF及其IP路由信息，在 来自接收端B的分组打上VPN巻标及MPLS巻标，然后将该分组传送至MPLS 网络470中。BRAS PE 471查询该分组所属的VPN，去除分组中的VPN标签， 然后将该分组传送至传送端A的IP网络中，如此即完成传送端A与接收端B 间的分组传送。
参考图4与图5B~ 5D,当路由器420检测(Ping) BRAS 471的IP地址， 并且判断ADSL调制解调器430的线路为关闭(Down)时，则将主线的路由 信息删除，并选择使用冗余线的路由信息。此时，3G路由器441通过内含用 户识别卡(Subscriber Identity Module (SIM) Card)的3G网络卡443 进行PPP拨号以与3G基站445联机。3G路由器441送出用户识别卡的接取 点名称(Access Point Name,简称为APN )给3G网络450。
3G网络450通过AUC认证后，由HLR指定IP地址给传送端A (即，客 户端)，然后通过GGSN将IP路由导通至MPLS网络，使得路由器420开始准 备与IPsec PE 473建立IPsec通道(Tunnel),即建立冗余专线。3G网络 450与MPLS网络470间可通过光纤到大楼(Fiber To The Building,简称 为FTTB)或专线(Lease Line)来连接。首先，建立第一阶段(Phase 1) 的IPsec,即构建因特网密钥交换(Internet Key Exchange,简称为IKE) 的安全性关联(Security Association,简称为SA )的安全通道以提供给第 二阶段(Phase 2)的参数来交换使用。
需注意的是，IKE协议是IPsec SA在协商保护套件和交换签名或加密密 钥时所遵循的机制。IKE定义了双方交流策略信息的方式和构建并交换身份 验证消息的方式。IKE是由另外三种协议(ISAKMP ( Internet安全关联和密
钥管理协议)、OaUey和SKEME)混合而成的一种协议。IKE使用了两个阶段 的ISAKMP。第一阶段(Phase 1),协商创建一个通信信道(IKE SA),并对 该信道进行验证，为双方进一步的IKE通信提供机密性、消息完整性以及消 息源验证服务。在第二阶段(Phase2)中，使用已建立的IKE SA建立IPsec SA。有关IKE SA与IPsec的相关技术内容为已知技术，故不再予以赘述， 本发明实施例的网络冗余系统通过IKE SA与IPsec来达到所要达到的目的。
接着，路由器420经由3G路由器441将传送端A (即，客户端)的主机 名称(Host Name)与预先共享密钥(Preshared Key)传送至IPsec PE 473 啦文i人i正。由于j吏用IPsec的封装安全负载(Encapsulating Security Payload, 筒称为ESP)模式，故不会被3G路由器441的网络地址翻译(Network Address Translation,简称为NAT)功能所影响。
接着，IPsec PE 473传送Phasel SA的密钥给路由器420，路由器420 通过Phase 1的IKE SA安全通道，进行IPsec SA的参数交换，以建立IPsec Phase2。路由器420接着利用Phasel SA的密钥加密Phase2 SA的密钥与相 关参数(例如，ESP、 lt据加密标准(Data Encryption Standard,简称为 DES)、信息-摘要算法5 (Message-Digest algorithm 5，简称为MD5 )、 Diffie-Hellman (DH) Group2 ( 1024位)...等等),然后将Phase2 SA的密 钥及相关参数传送给IPsec PE 473。 IPsec PE 47 3验证参数，并在验证正 确后响应一确认信息给路由器420，并且根据所属的IPsec信道，将传道路 径转入对应客户端专用的VRF中。
接下来，IPsec通道建立完成后，路由器420将后端LAN的网络流量 (Traffic )导入该IPsec通道中。此时,IPsec PE 473根据传送端A的IPsec 通道查询所属专用的VRF及其IP路由信息，将来自IPsec信道的分组打上 VPN巻标及MPLS巻标并传送进入MPLS网络470中。分组在MPLS网络470 中传送，MPLS网络470的PE 475查询此分组所属的VPN,去除分组中的VPN 标签，然后将该分组传送至接收端B的IP网络中。接着，PE 475查询传送 端A的专线所属VRF及其IP路由信息，在来自接收端B的分组打上VPN巻 标及MPLS巻标，然后将该分组传送至MPLS网络470中。IPsec PE 473查询 该分组所属的VPN,去除分组中的VPN标签，然后将该分组传送至传送端A 的IPsec通道中，从而传送至传送端A的IP网络中，如此即达到在主线路 断线情况下，经由冗余线路在传送端A与接收端B间传送分組的目的。本发明实施例的网络冗余系统的冗余路径使用IP s e c技术的原因如下。 使用IPsec信道模式，可使客户端多网段路由信息，直接穿透3G网络架构 连接至MPLS VPN网络中，使3G网络合作厂商不需管理客户端路由信息的问 题，此外，可强化3G无线网络安全性。以下再简述IPSec联机的技术。 IPSec联机分成两个逻辑阶段，Phase 1与Phase 2。 在Phase l中， 一个IPSec节点会启动与远程节点的联机。远程节点会 检查该节点的可信度，然后双方会为本次联机决定认证的方式。认证模式 (Exchange Mode )包括积极模式(Aggress ive Mode )与主要模式(Main Mode ), 可以降低同时与多台主机间IPSec联机设定时的负荷。定义与节点进行认证 时所采用的辨识方法(my—identifier),是根据主机名称或IP地址，其中 使用主机名称管理较简易，不需为客户端网络规划IP网段的使用。初始联 机定义节点间所采行的认证方式(Authentication Method)包括利用 Preshared密钥或RSA公钥，其中使用Preshared密钥的方式安全且快速， 不需建立复杂的认证方式。认证过程中使用的加密方式(Encryption Algorithm)包括DES或3DES,其中使用DES加解密速度较快。节点间使用 的杂凑算法(Hash Algorithm)包括MD5或SHA1,其中使用謹5速度较快。 建立动态密钥的阶段所用的Diffie-Hellman密钥长度为DH Group 2 (1024 位)。
在Phase 2中，在节点间建立SA时，会利用一些设定信息(例如，加 密方法、秘密交换密钥的参数...等等)建立SA数据库。本阶段负责管理与 远程节点与网络的实际IPSec连接。认证过程所支持的杂凑算法包括 謹AC-MD5或HMAC-SHA1,其中使用MD5速度较快。加密方式包括DES或3DES, 其中使用DES加解密速度较快。建立动态密钥的阶^^所用的Diffie-Heilman 密钥长度为DH group 2( 1024位)。使用的安全协议包括ESP Mode或AH Mode, 其中使用ESP Mode可穿越客户端的MT设备，扩展性较好。分组格式包括 信道模式(Tunnel Mode)或传输模式(Transparent Mode )。使用IPsec信 道模式可使客户端多网段路由信息，直接穿透3G网络架构连接至我们的 MPLS VPN网络中，使3G网络合作厂商不需管理客户端路由信息的问题。 图6显示本发明实施例的网络冗余系统的处理方法的步骤流程。 首先， 一传送端检测一主要线路为断线状态(步骤S601),则通过一3G 路由器与一 3G网络卡拨号至一 3G基站(步骤S602 ),并且传送该3G网络卡
中的用户识别卡的接取点名称(APN)给该3G网络(步骤S603 )。 3G网络在 认证过该用户识别卡的接取点名称(APN)后，将该传送端的IP路由导通至 一MPLS网络(步骤S604 )。接着，该传送端建立与该MPLS网络间的一 IPSec 信道(步骤S606 )，然后将网络流量(Traffic )导入该IPsec通道中(步骤 S607 )。该IPSec信道表示为一冗余专线。
接下来，该MPLS网络的IPsec PE查询该IPsec通道专用的VRF及IP 路由信息(步骤S608 ),将经由IPsec通道传送的分组打上VPN巻标及MPLS 巻标，并将该分组传送进入该MPLS网络中(步骤S69 )。分组在该MPLS网络 中传送，该MPLS网络的PE查询该分组所属的VPN (步骤S610 ),去除分组 中的VPN标签(步骤S611 )，然后将该分组传送至一接收端的IP网络中(步 骤S612 )。接着，该MPLS网络的PE查询该传送端的专线所属VRF及其IP 路由信息(步骤S613)，在来自该接收端的分组打上VPN巻标及MPLS巻标， 然后将该分组传送至该MPLS网络中(步骤S614 )。该MPLS网络的IPsec PE 查询该分组所属的VPN (步骤S615 )，去除分组中的VPN标签(步骤S616 )， 然后将该分组传送至传送端A的IPsec通道中，从而传送至传送端A的IP 网络中(步骤S617),如此即在主线路断线的情况下，达到经由冗余线路在 传送端A与接收端B间传送分组的目的。
在本发明实施例中，VPN 3G冗余的CPE可接受的主线规格为ADSL (外 接式的ADSL调制解调器)或FTTB。冗余线的规格为3G或3. 5G。 CPE检测主 线断线的方式如下。
主线实体电路不需直接连到CPE设备，因此电信公司的电话线路可接在 外接式的ADSL调制解调器上的RJ-11的连接端口上，另一个RJ-45的连接 端口再以以太网络(Ethernet )的接线接到CPE设备的以太网络(Ethernet ) 接口。该Ethernet的WAN接口必须设定IP地址，ADSL局端的BRAS上也要 设定WAN IP地址并且与客户端的WAN IP地址必须同属一个网段。 一般ADSL (Bridge Mode)的连接方式并不会在BRAS上设WAN IP地址，而只会提供 一个初始网关(Default Gateway) IP地址，其连4妄方式如下 PC —ADSL调制解调器(Bridge Mode) — DSLAM —BRAS。( 本案所用在CPE与BRAS上有设定WAN IP地址，其连接方式如下 PC —CPE —ADSL调制解调器(Bridge Mode) —DSLAM —BRAS。 此外，检测主线是否断线或网络品质不佳是根据检测(Ping) BRAS WANIP地址的情况来判断，而检测主线断线并切换冗余的所需时间为30秒。
与传统VPN冗余系统相较，本发明的冗余系统采用3G无线网络冗余， 局端线路频宽扩充很弹性，可容许接入的客户数较多(IPsec信道可建立的 信道数为1024, —个客户使用用一个通道)，可实现异质网络冗余(使用不 同固网与不同接取媒体)，客户端冗余频宽有未来性(3G频宽为384/64k或 384/128k, 3. 5G频宽为3. 6M/128k)， 3G的计费方式为弹性，可以联机时间 或使用量来计费，以及切换3G冗余路由所需时间较短。
此外，在VPN 3G冗余应用上，包括检测主线断线切换路由功能、3G联 机功能、多网段路由穿透3G网络功能以及网络安全性设计。
在检测主线断线切换路由功能方面，使用Ping的功能检测主线网络状 况，发现主线网络不通时，即变换冗余路由，而发现主线网络恢复时，即变 换回主线路由。
在3G联机功能方面，具有3G拨号功能，可规划特定APN给VPN提供者， 以及请3G网络发放固定IP地址给客户。此外，如果遇到3G网络瞬断设备 会自动重新拨号(Auto-Reconnect ion )。
在多网段路由穿透3G网络功能方面，3G网络商不需管理客户端路由数据。
在网络安全性设计方面，将3G网络与因特网完全隔绝，建立IPsec信 道保护数据通过3G网络时的安全，以及当发生Inter-mobile延迟时，可防 止VPN客户在3G网络上有互通干扰情况。
本发明还提供一种记录媒体(例如光盘片、磁盘片与抽取式硬盘等等)， 其记录一计算机可读取的权限签核程序，以便执行上述的网络冗余系统的处 理方法。在此，储存在记录媒体上的权限签核程序，基本上是由多数个程序 代码片段所组成的(例如建立组织图程序代码片段、签核窗体程序代码片段、 设定程序代码片段、以及部署程序代码片段)，并且这些程序代码片段的功 能对应到上述方法的步骤与上述系统的功能方块图。
虽然本发明已以较佳实施例披露如上，然其并非用以限定本发明，本领 域技术人员，在不脱离本发明的精神和范围的前提下，当可作若干的更改与 修饰，因此本发明的保护范围应以本申请的权利要求为准。
权利要求
1.一种网络冗余系统的处理方法，包括下列步骤一传送端的一路由器检测一主要线路为断线状态；通过一无线路由器与一无线网络卡拨号至一无线基站；传送该无线网络卡中的用户识别卡的接取点名称给该无线网络；该接取点名称在认证后，将该传送端的IP路由导通至一中介网络；该传送端建立与该中介网络间的一安全信道，其中该安全信道表示为一冗余专线；该路由器将该传送端的网络流量导入该安全信道中；该中介网络的一第一网络设备(IPsec PE)查询对应该安全通道的一路由表(VRF)及IP路由信息；将经由该安全通道传送的一第一分组打上一第一网络(VPN)卷标及一第一中介(MPLS)标签，并将该第一分组传送进入该中介网络中；该中介网络的一第二网络设备查询该第一分组所属的网络；去除该第一分组中的该网络卷标；以及将该第一分组传送至一接收端的IP网络中。
2. 如权利要求1所述的网络冗余系统的处理方法，其还包括下列步骤 该中介网络的该第二网络设备查询该传送端的该冗余专线所属的路由表及IP路由信息；在来自该接收端的一第二分组打上第二网络巻标及一第二中介标签，然 后将该第二分组传送至该中介网络中；该中介网络的该第 一 网络设备查询该第二分组所属的网络； 去除该第二分组中的该第二网络巻标；以及将该第二分组传送至该传送端的该安全通道中，从而传送至该传送端的 该IP网络中。
3. 如权利要求1所述的网络冗余系统的处理方法，其中，该认证操作还 包括下列步骤该无线网络通过一认证中心UUC)对该接取点名称认证； 认证完成后，通过一原始地点登录器(HLR )指定一 IP地址给该传送端；以及 通过网关集成分组无线电服务支持节点(GGSN)将该传送端的IP路由 导通至该中介网络。
4. 如权利要求1所述的网络冗余系统的处理方法，其中，建立该安全通 道的操作还包括下列步骤建立第一阶段(Phase 1)的因特网通讯协安全性(IPsec),并且构建 一因特网密钥交换(IKE)的安全性关联(SA)的安全通道；经由该无线路由器将该传送端的主机名称与预先共享密钥传送至该第 一网络设备进行认证；该第一网络设备传送对应该第一阶段的安全性关联(Phasel SA)的一 第一密钥给该路由器；该路由器经由该IKE SA安全通道进行IPsec SA的参数交换，以建立一 第二阶段(Phase2);该路由器利用该第一阶段的安全性关联(Phasel SA)的该第一密钥加 密该第二阶段的安全性关联(Phase2 SA )的一第二密钥与加密参数；将该第二密钥与所述加密参数传送给该第 一 网络设备；该第 一网络设备验证所述参数，并在验证正确后响应一确认信息给该路 由器；以及该第一网络设备根据该传送端所属的该安全通道，将分組传道路径转入 对应该传送端专用的该路由表中。
5. 如权利要求1所述的网络冗余系统的处理方法，其中，该路由器通过 检测(Ping )该中介网络中的一宽频远程接取服务器的供货商边缘设备(BRAS PE)的IP地址，以判断该主要线路是否为断线状态。
6. —种网络冗余系统，包括 一接收端；一无线网络； 一中介网络，其还包括 一第一网络设备；以及 一第二网络设备；以及一传送端，其还包括一路由器，其用以检测一主要线路为断线状态；一无线路由器与一无线网络卡，耦接于该路由器，其用以在该一主要线路为断线状态时拨号至一无线基站，并且传送该无线网络卡中的用户识别卡的接取点名称给该无线网络；其中，该无线网络在认证该接取点名称后将该传送端的IP路由导通至 一中介网络，以建立该传送端与该中介网络间的一安全信道，其中该安全信 道表示为一冗余专线；该路由器将该传送端的网络流量导入该安全信道中；该第一网络设备查询对应该安全通道的一路由表及IP路由信息，将经 由该安全通道传送的一第一分组打上一第一网络巻标及一第 一中介标签，并 且将该第一分组传送进入该中介网络中；以及该第二网络设备查询该第 一分组所属的网络，去除该第 一分组中的该网 络巻标，并且将该第一分组传送至一接收端的IP网络中。
7. 如权利要求6所述的网络冗余系统，其中该第二网络设备查询该传送端的该冗余专线所属的路由表及IP路由信 息，在来自该接收端的一第二分组打上第二网络巻标及一第二中介标签，然 后将该第二分组传送至该中介网络中；以及该第 一 网络设备查询该第二分组所属的网络，去除该第二分组中的该第 二网络巻标，并且将该第二分组传送至该传送端的该安全通道中，从而传送 至该传送端的该IP网络中。
8. 如权利要求6所述的网络冗余系统，其中该无线网络通过一认证中心 对该接取点名称认证，认证完成后，通过一原始地点登录器指定一 IP地址 给该传送端，并且通过网关集成分组无线电服务支持节点(GGSN)将该传送 端的IP路由导通至该中介网络。
9. 如权利要求6所述的网络冗余系统，其中该路由器建立第一阶段(Phase 1)的因特网通讯协安全性(IPsec)， 并且构建一因特网密钥交换(IKE)的安全性关联(SA)的安全通道，经由 该无线路由器将该传送端的主机名称与预先共享密钥传送至该第一网络设 备进行认证；该第一网络设备传送对应该第一阶段的安全性关联(Phasel SA)的一 第一密钥给该路由器；该路由器经由该IKE SA安全通道进行IPsec SA的参数交换，以建立一 第二阶段(Phase2)，利用该第一阶段的安全性关联(Phasel SA )的该第一密钥加密该第二阶段的安全性关联(Phase2 SA )的一第二密钥与加密参数， 并且将该第二密钥与所述加密参数传送给该第 一 网络设备；以及该第一网络设备验证所述参数，并在验证正确后响应一确认信息给该路 由器，并且根据该传送端所属的该安全通道，将分组传道路径转入对应该传 送端专用的该路由表中。
10.如权利要求6所述的网络冗余系统，其中，该路由器通过检测(Ping ) 该中介网络中的一宽频远程接取服务器的供货商边缘设备(BRAS PE)的IP 地址，以判断该主要线路是否为断线状态。
全文摘要
一种网络冗余(redundancy)系统。传送端的路由器检测主要线路为断线状态时，传送用户识别卡的接取点名称给3G网络。3G网络在认证该接取点名称后将传送端的IP路由导通至一MPLS网络，以建立一IPsec通道，使路由器将传送端的网络流量导入该安全信道中。MPLS网络的第一网络设备查询对应该安全通道的一路由表及IP路由信息，将传送端的分组打上VPN卷标及MPLS卷标，并且将该分组传送进入该MPLS网络中。MPLS网络的第二网络设备查询该分组所属的网络，去除该分组中的该网络卷标，并且将该分组传送至一接收端的IP网络中。
文档编号H04L12/24GK101345649SQ20071012912
公开日2009年1月14日 申请日期2007年7月11日 优先权日2007年7月11日
发明者简永强, 陈远鸿 申请人:数位联合电信股份有限公司