专利名称:虚拟私有网络vpn接入方法和装置的制作方法
技术领域:
本发明涉及网络通信技术领域,尤其是一种虚拟私有网络VPN接入方法 和装置。
背景技术:
传统的通过广域网专线、远程拨号等接入异地机构的互通互联方式,加 大了企业的异地机构管理成本。随着网络技术的方展及为了降低成本,目前, 企业普遍采用虛拟私有网络(Virtual Private Network,以下简称VPN)连 接远地办事机构、出差工作人员及业务合作伙伴。VPN是利用公共网络来构 建的私人专用网络,用户可以通过VPN方便地将异地机构及人员连接在一起, 可以依靠公共网络的资源方便地管理异地机构及人员,节省企业的私有专用 网络建设成本,同时可以通过VPN隧道像企业的私有专用网络一样安全、可 靠和可管理地传输数据。实际应用中,为了保证VPN隧道的可靠性, 一般会 在企业出口部署两台VPN网关,用作负载分担和备份,采用双VPN网关虛拟 路由器冗余协-汉(Virtual Router Redundancy Protocol,以下简称VRRP) 接入模式或双VPN网关路由接入模式。双VPN网关VRRP接入模式采用IP安全(IP Security,以下简称IPSec) 协议建立VPN隧道。IPSec协议通过加密和数据源验证的方式保证数据包 在网络上传输时的私有性、完整性和真实性。IPSec包括两个主要协议 认证头(Authentication Header,以下筒称AH)和封装安全净荷 (Encapsulating Security Payload,以下简称ESP)。 AH用以保证数据 包的完整性和真实性,防止黑客截断数据包或向插入伪造的数据包,AH 没有对用户数据进行加密。ESP将用户数据加密后再封装到IP包中,以保 证数据的完整性、真实性和私有性。IPSec安全联盟(SecurityAssociation,以下简称SA )用来表征VPN隧道采用的安全保护策略,例 如ESP加密算法、AH验证协议等。国际互联网密钥交换协议(Internet Key Exchange,以下简称IKE)用于通信双方(VPN客户端和VPN服务端)协 商和建立安全联盟,交换密钥。IKE定义了通信双方进行身份认证、协商 加密算法以及生成共享的会话密钥的方法。为了保证密钥的安全性,采用 IPSec SA老化机制重新生成密钥,进而重新协商IPSec隧道。双VPN网关VRRP接入模式采用的网关备份及切换技术是两个位于 VPN服务端的VPN网关(一个为主用VPN网关、 一个为备用VPN网关)对 外公布一个虚拟的公网国际互联网地址(IP地址),VPN客户端(VPN CI ient) 向此IP地址发起VPN连接请求,VRRP协议根据VPN网关的优先级确定实 际的主用VPN网关,主用VPN网关响应VPN客户端的请求从而建立VPN隧 道。在主用VPN网关存活期间,主用VPN网关会每间隔一段时间向备用VPN 网关发送VRRP报文,如果备用VPN网关在设定的时间内没有收到主用VPN 网关的VRRP报文,并会将自身转换为主用VPN网关,实现主备倒换,需 要重新建立VPN隧道。如果主用VPN网关因为接口链路故障、电源中断等 原因,发生主备倒换,VPN隧道会因此中断,直到IPSec SA老化机制重新 协商IPSec隧道。发明人在实现本发明的过程中发现该方案至少存在如下 问题由于该方案依赖IPSec SA老化机制,而IPSec SA老化时间较长, 因此,VPN隧道切换慢。双VPN网关路由接入模式可以采用二层隧道协议(Layer Two Tunneling Protocol,以下简称L2TP) 。 L2TP是为用户和企业的服务器之间透明传 输点到点协议(Point to Point Pratocol,以下简称PPP)报文而设置的 隧道协i义,主要包括L2TP访问集中器(L2TP Access Concentrator,以下 简称LAC)和L2TP网络服务器(L2TP Network Server,以下简称LNS)。 LAC —般是网络接入服务器,为用户提供网络接入服务,LNS用于处理"TP 服务端业务。双VPN网关路由接入模式可以采用的网关备份及切换技术是VPN客户端设备用作LAC设备,VPN服务端(VPN Service)设备(主备VPN网关)用 作LNSi殳备。在VPN客户端设备上配置主备VPN网关IP地址,正常情况下 VPN客户端和VPN主用VPN网关建立VPN隧道,如果主用VPN网关不可用, VPN隧道会中断,直到L2TP模块检测到故障,自动将L2TP隧道建立到备用 VPN网关上。通过在不同的VPN客户端上配置不同顺序的主备VPN网关IP地 址,可以做到VPN网关负载分担。发明人在实现本发明的过程中发现该方 案至少存在如下问题由于该方案的L2TP主备切换速度很慢,需要大约2 分钟,会导致VPN客户端和VPN服务端之间的业务中断。双VPN网关路由接入模式也可以采用IPSec协议和L2TP结合的方式(L2TP over IPSec)以提供更安全的服务。此时,由VPN客户端设备向两 个VPN网关分别建立L2TP over IPSec隧道,并在VPN客户端所在的网络(Networkl)和VPN服务端所在的网络(Network2)上运行开放最短路径优 先(Open Shortest Path First,以下简称OSPF),正常情况下Networkl 和Network2之间的通信使用OSPF确定的主用路由通道,如果主用路由通道 对应的VPN网关不可用,OSPF会发现并调整路由,使用另外一个备用的VPN 隧道。发明人在实现本发明的过程中发现该方案至少存在如下问题该方 案的OSPF收敛速度慢,路由切换会导致业务中断。题现有技术虽然实现了双VPN网关的切换,但是双VPN网关的切换速度慢造 成业务通信终端时间长;另外,如果VPN客户端采用动态IP地址接入网络,或 者4吏用L2TP建立VPN隧道,VPN隧道是单向的,即VPN隧道只能/人一端发起,例 如从VPN客户端发起,并且,如果VPN客户端长时间没有发起数据通信,VPN 隧道将自动拆除,因此在长时间后如果VPN服务端所在网络中的用户需要主 动访问VPN客户端所在网络中的资源,因为VPN隧道已拆除,VPN服务端不能 主动建立VPN隧道到VPN客户端,导致VPN可靠性受到;f艮大的制约。发明内容本发明实施例是提供一种虚拟私有网络VPN接入方法和装置,解决VPN隧 道切换过慢及单向发起的VPN隧道的保活问题。本发明通过实施例提供了一种虚拟私有网络VPN接入方法,包括监控VPN隧道中的通信情况;根据所述通信情况发送保活报文;根据所述保活报文的回应情况确定所述VPN隧道是否可用,若不可用, 则重新建立VPN隧道。本发明通过实施例提供了 一种虛拟私有网络VPN接入装置,包括 监控模块,用于监控VPN隧道中的通信情况; 保活模块,用于根据所述通信情况发送保活报文;重建斗莫块,用于根据所述保活报文的回应情况确定所述VPN隧道是否可 用,若不可用,则重新建立VPN隧道。由上述技术方案可知,本发明通过监控VPN隧道的通信情况,当VPN隧 道中无数据交换时发送保活报文,并在没有接收到保活报文的情况下重新建 立VPN隧道,具有以下有益效果1、 通过减小保活报文的发送时间可以快速检测出出现故障的VPN隧道, 进而加快VPN隧道的切换速度。2、 通过不断发送保活报文,保证单向发起的VPN隧道的存活性,进而实 现VPN隧道的双向可访性。
图1为本发明VPN接入方法实施例一流程图;图2为本发明VPN接入方法实施例二流程图;图3为本发明实施例双VPN网关VRRP接入模式的网络示意图;图4为本发明实施例双VPN网关路由接入^^莫式的网络示意图;图5为本发明VPN接入装置实施例一结构示意图;图6为本发明VPN接入装置实施例二结构示意图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。图1为本发明VPN接入方法实施例一流程图,该实施例包括步骤11: VPN客户端监控VPN隧道中的通信情况。VPN隧道由VPN客户 端向VPN服务端发起的。步骤12: VPN客户端根据上述通信情况向VPN服务端发送保活报文。其 中,VPN双网关位于VPN服务端。步骤13: VPN客户端根据VPN服务端发送的上述保活报文的回应情况确 定VPN隧道是否可用,若不可用,则重新建立VPN隧道。保活报文的回应情 况包括若VPN隧道正常,则VPN客户端会接收到保活报文的回应报文,否 则,VPN客户端不会接收到保活报文的回应报文。图2为本发明VPN接入方法实施例二流程图,相比于图1所示的实施例 一,该实施例的步骤12具体包括步骤121:根据监控情况判断VPN隧道中是否有数据交互,若是,重复 执行步骤ll及后续步骤,否则,执行步骤122。步骤122:判断无数据交互的时间是否超过预设时间阈值,若是,执 行步骤123,否则重复执行步骤11及后续步骤。其中,预设时间阚值可以 根据实际需要进行配置。步骤123: VPN客户端向VPN服务端发送保活报文。保活报文保证了 VPN隧道的存活性,因此,由于VPN隧道的存在,可以使VPN服务端访问 VPN客户端;并且,若VPN隧道出现故障,通过保活报文也可以尽快发现 VPN隧道已出现故障,以便尽快进行切换。该实施例中的步骤13具体包括步骤131: VPN客户端判断是否接收到保活报文的回应报文,若是,则 停止发送保活报文,并重复执行步骤ll及后续步骤,否则,执行步骤132。 步骤132:判断没有接收到所述保活报文的回应报文的次数是否超过预设次数阈值,预设次数阈值可以根据实际需要进行配置,若是,执行步骤133,否则,VPN客户端向VPN服务端发送保活报文。步骤133:重新建立VPN隧道。即确定出VPN隧道出现了故障造成不可 用,VPN隧道已中断,需要重新建立新的VPN隧道。该实施例通过发送保活报文,可以达到如下技术效果1、 通过在预设时间阈值内检测是否有数据交互,若无数据交互很可能 VPN隧道已中断,此时,再通过发送保活报文,若在预设次数阈值内没有回 应,则确定出VPN隧道已中断,进而重新建立VPN隧道。通过预设时间阈值 后发送保活报文的方式,由于预设时间阈值可以设置的比较小,可以避免现 有技术等待老化时间等方式造成的VPN隧道切换慢的问题,实现快速检测出 出现故障的VPN隧道,加快VPN隧道的切换速度。2、 通过不断发送保活报文,可以避免现有技术中由于长时间无隧道通信 造成的隧道被拆除的问题,保证单向发起的VPN隧道的存活性,进而实现VPN 随道的^又向可i方性。对于双VPN网关VRRP接入模式,参见图3所示的网络示意图,VPN客户 端31向VPN网关组(位于VPN服务端33,包括主用VPN网关331和备用VPN 网关332,由交换机32提供接口支持)对外公布的虚拟IP地址发起建立VPN 隧道的请求,VRRP协议根据VPN网关的优先级确定实际的主用VPN网关(当 主用VPN网关出现故障后,会出现主备切换),实际的主用VPN网关响应VPN 客户端的请求直到成功重建VPN隧道。对于双VPN网关路由接入模式,参见图4所示的网络示意图,VPN客户 端41向主备网关IP地址轮流发起建立VPN隧道的请求,直到成功重建VPN 隧道。双VPN网关位于VPN服务端43,通过路由器42与VPN客户端41通信, 包括主用VPN网关431和备用VPN网关432。原数据报文通过VPN客户端41 和主用VPN网关431之间的VPN隧道传输,由于原VPN隧道中断,将重建一 条VPN客户端41到备用VPN网关432之间的VPN隧道以传输数据。若向备用 VPN网关不能建立VPN隧道,则再向主用VPN网关建立VPN隧道,如此轮流建立,直到VPN隧道重新建立。由于上述发送保活才艮文的方式位于VPN隧道内部,因此独立于VPN隧道 的建立,即VPN隧道可以采用IPSec协议、L2TP协议、L2TP over IPSec协 议等。快VPN隧道的切换速度;并且,通过不断的发送保活报文,保证VPN隧道的 存活性,进而保证VPN隧道的双向可访问性;同时,可以独立于VPN隧道建 立协议。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤 可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读 取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述 的存储介质包括R0M、 RAM、磁碟或者光盘等各种可以存储程序代码的介质。图5为本发明VPN接入装置实施例一结构示意图,该实施例包括监控 模块51、保活模块52和重建模块53;监控模块51用于监控VPN隧道中的 通信情况;保活模块52用于根据上述通信情况发送保活报文;重建模块53 用于根据上述保活报文的回应情况确定VPN隧道是否可用,若不可用,则重 新建立VPN隧道。图6为本发明VPN接入装置实施例二结构示意图,相比于图5所示的实 施例一,该实施例的保活模块52具体包括通信判断子模块521、时间判断 子模块522和发送子模块523;通信判断子模块521用于根据监控模块51 监控得到的通信情况判断VPN隧道中是否有数据交互,当判断出VPN隧道 中有数据交互时,指示监控模块51继续监控VPN隧道中的通信情况;时间 判断子模块522用于当通信判断子模块521判断出VPN隧道中无数据交互 时,判断无数据交互的时间是否超过预设时间阈值,当判断出无数据交互 的时间没有超过预设时间阈值时,指示监控模块51继续监控VPN隧道中的 通信情况;发送子模块523用于当时间判断子模块522判断出无数据交互 的时间超过预设时间阈值时,发送保活报文。重建模块53具体包括回应判断子模块531、次数判断子模块532和隧 道建立子模块533;回应判断子模块531用于判断是否接收到保活报文的回 应报文,当判断出接收到所述保活报文的回应报文时,指示发送子模块523 停止发送保活报文,并指示监控模块51继续监控VPN隧道的通信情况;次 数判断子模块532用于当回应判断子模块531判断出没有接收到保活报文的 回应报文时,判断没有接收到保活报文的回应报文的次数是否超过预设次数 阈值,当判断出没有接收到保活报文的回应报文的次数没有超过预设次数阈 值时,指示发送子模块523继续发送保活报文;隧道建立子模块533用于当 次数判断子模块532判断出接收到保活报文的回应报文的次数超过预设次数 阈值时,重新建立VPN隧道。其中,对于双VPN网关VRRP接入模式,隧道子 ^t块向双网关共用的虚拟IP地址建立VPN隧道,直到成功重建VPN隧道;对 于双VPN网关路由接入模式,隧道子模块轮流向主备网关建立VPN隧道,直 到成功重建VPN隧道。同时,由于上述发送保活报文的方式位于VPN隧道内 部,因此独立于VPN隧道的建立,即VPN隧道可以采用IPSec协议、UTP协 议、L2TP over IPSec协议等。快VPN隧道的切换速度;并且,通过不断的发送保活报文,保证VPN隧道的 存活性,进而保证VPN隧道的双向可访问性;同时,可以独立于VPN隧道建 立协议。最后应说明的是以上实施例仅用以说明本发明的技术方案而非对其进 行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技 术人员应当理解其依然可以对本发明的技术方案进行修改或者等同替换, 而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的 精神和范围。
权利要求
1、一种虚拟私有网络VPN接入方法,其特征在于,包括监控VPN隧道中的通信情况;根据所述通信情况发送保活报文;根据所述保活报文的回应情况确定所述VPN隧道是否可用,若不可用,则重新建立VPN隧道。
2、 根据权利要求1所述的VPN接入方法,其特征在于,所述根据所述 通信情况发送保活报文包括:根据所述通信情况判断所述VPN隧道中是否有 数据交互,若否,则判断无数据交互的时间是否超过预设时间阈值,若无 数据交互的时间超过了预设时间阈值,则发送保活报文。
3、 根据权利要求2所述的VPN接入方法,其特征在于若所述VPN隧 道中有数据交互,则继续监控所述VPN隧道中的通信情况。
4、 根据权利要求2所述的VPN接入方法,其特征在于若无数据交 互的时间没有超过预设时间阈值,则继续监控所述VPN隧道中的通信情况。
5、 根据权利要求1所述的VPN接入方法,其特征在于,所述根据所述 保活报文的回应情况确定所述VPN隧道是否可用包括判断是否接收到所述保活报文的回应报文,若没有接收到所述保活报文 的回应报文,则判断没有接收到所述保活报文的回应报文的次数是否超过预 设次数阈值,若超过预设次数阈值,则所述VPN隧道不可用。
6、 根据权利要求5所述的VPN接入方法,其特征在于若接收到所述保 活报文的回应报文,则停止发送保活报文,继续监控所述VPN隧道的通信情 况。
7、 根据权利要求5所述的VPN接入方法,其特征在于若没有接收到所 述保活报文的回应报文的次数没有超过预设次数阚值,则继续发送保活报文。
8、 根据权利要求1所述的VPN接入方法,其特征在于,所述重新建立 VPN隧道包括向虚拟国际互联网IP地址发起重新建立VPN隧道请求。
9、 根据权利要求1所述的VPN接入方法,其特征在于,所述重新建立 VPN隧道包括向主备网关地址轮流发起重新建立VPN隧道请求。
10、 根据权利要求1所述的VPN接入方法,其特征在于,建立所述VPN 隧道的协议为国际互联网安全协议IPsec或者二层隧道协议L2TP或者 IPSec和L2TP的结合L2TP over IPSec。
11、 一种虚拟私有网络VPN接入装置,其特征在于,包括 监控模块,用于监控VPN隧道中的通信情况;保活模块,用于根据所述通信情况发送保活报文;重建模块,用于根据所述保活报文的回应情况确定所述VPN隧道是否可 用,若不可用,则重新建立VPN隧道。
12、 根据权利要求11所述的VPN接入装置,其特征在于,所述保活模块 包括通信判断子模块,用于根据所述通信情况判断所述VPN隧道中是否有数 据交互,若所述VPN隧道中有数据交互时,指示所述监控模块继续监控所 述VPN隧道中的通信情况;时间判断子模块,用于当所述VPN隧道中无数据交互时,判断无数据 交互的时间是否超过预设时间阈值,若无数据交互的时间没有超过预设时 间阈值时,指示所述监控模块继续监控所述VPN隧道中的通信情况;发送子模块,用于当无数据交互的时间超过预设时间阈值时,发送保 活报文。
13、 根据权利要求11所述的VPN接入装置,其特征在于,所述重建模块 包括回应判断子模块,用于判断是否接收到所述保活报文的回应报文,若接 收到所述保活报文的回应报文时,指示所述保活模块停止发送保活报文,并 指示所述监控模块继续监控所述VPN隧道的通信情况;次数判断子模块,用于当没有接收到所述保活报文的回应报文时,判断保活模块继续发送保活报文;隧道建立子模块,用于当接收到所述保活报文的回应报文的次数超过预设次数阈值时,重新建立VPN隧道。
全文摘要
本发明公开了一种虚拟私有网络VPN接入方法和装置。该VPN接入方法包括监控VPN隧道中的通信情况;根据所述通信情况发送保活报文;根据所述保活报文的回应情况确定所述VPN隧道是否可用,若不可用,则重新建立VPN隧道。该VPN接入装置包括监控模块,用于监控VPN隧道中的通信情况;保活模块,用于根据所述通信情况发送保活报文;重建模块,用于根据所述保活报文的回应情况确定所述VPN隧道是否可用,若不可用,则重新建立VPN隧道。通过本发明实施例,可以实现快速VPN隧道切换和双向可访问性。
文档编号H04L1/22GK101262409SQ20081009503
公开日2008年9月10日 申请日期2008年4月23日 优先权日2008年4月23日
发明者胡守文 申请人:华为技术有限公司