一种实现隧道配置的方法及装置与流程
本发明涉及虚拟专用网络技术,尤指一种实现隧道配置的方法及装置。
背景技术:
在互联网协议安全性(ipsec)虚拟专用网络(vpn)网关到网关的应用场景中,往往使用一条隧道进行业务通信。使用ipsecvpn安全网关的企业用户包括金融、税务以及政府机关等,对这些企业用于而言,vpn网络支撑着企业的重要业务需要进行实时性要求极高的数据传输,高效、稳定和可靠的网络性能是企业用户业务平台畅通运行的保障。当进行业务通信的常规隧道因为硬件故障或软件原因断开时,数据传输终止,业务通信无法正常进行,造成企业用户重大的业务损失。
在现有的ipsecvpn中,无法针对相同通信规则建立多条常规隧道,当配置有相同规则的多条常规隧道时,各常规隧道会根据常规隧道的规则生成相同的策略;当生成的策略相同时,内核下发最新配置的常规隧道的最新策略时,在前配置的常规隧道的旧策略将会被从策略链表中删除。也就是说,现有的ipsecvpn对同一通信规则只支持建立一条常规隧道。
为了避免隧道断开对业务通信造成影响,双机热备技术对vpn网络进行了调整。双机热备技术需要在vpn网络的原有设备基础上添加备用设备,通过备用设备配置备用隧道,当原有设备出现硬件或者软件故障时,备用设备在系统的调度下自动重新配置生成进行业务通信所需的备用隧道,完成对原有常规隧道上业务通信的接管。
双机热备技术每增加一条备用隧道就需要增加与原有设备相同的备用设备,大大增加了vpn网络的运营成本;如果只有原有设备和一套备用设备,一旦原有设备和备用设备均出现故障时,业务通信仍然会出现问题,隧道配置缺乏灵活性;双机热备技术需要在原有设备和备用设备之间进行切换,网络部署复杂。综上,双机热备技术无法高效灵活的保障业务通信所需隧道。
技术实现要素:
为了解决上述技术问题,本发明提供一种实现隧道配置的方法及装置,能够降低备用隧道配置成本,简化备用隧道的部署和切换至备用隧道的流程。
为了达到本发明目的,本发明提供了一种实现隧道配置的方法,包括:
通过预设的优先级标号分别配置各通信规则相应的主隧道和备用隧道;
当主隧道断开时,切换业务通信至与主隧道通信规则相同的备用隧道。
可选的,配置各通信规则相应的主隧道和备用隧道包括:
对各通信规则,
预先设定优先级标号的优先级等级;以最高等级的优先级标号配置该通信规则对应的所述主隧道;以低于最高等级的优先级标号配置该通信规则相应的预设个数的所述备用隧道。
可选的,该方法还包括:
将配置的主隧道和备用隧道按照通信规则的不同分别添加到与通信规则成一一对应关系的预先构建的各隧道组中;
各所述隧道组包含的主隧道和备用隧道的总条数为小于或等于8的正整数。
可选的,切换业务通信至与主隧道通信规则相同的备用隧道之前,该方法还包括:
通过失效对等体检测dpd确定所述主隧道是否断开。
可选的,该方法还包括:预先设定常规隧道相应的优先级标号,以区分常规隧道和隧道组内所述主隧道和备用隧道。
可选的,切换业务通信至与主隧道通信规则相同的备用隧道之前,该方法还包括:
根据所述优先级标号设置所述常规隧道、主隧道和备用隧道的策略参数;
配置所述常规隧道、和/或主隧道、和/或备用隧道后,根据设置的策略参数对配置的所述常规隧道、和/或主隧道、和/或备用隧道产生的新策略进行策略链表的遍历插入处理。
可选的,对配置的所述常规隧道、和/或主隧道、和/或备用隧道产生的新策略进行策略链表的遍历插入处理包括:
根据所述策略参数确定所述新策略为常规隧道的策略时,对所述新策略按照常规隧道对新策略的插入处理方式将所述新策略插入到策略链表中;
根据所述策略参数确定所述新策略为隧道组的策略时,如果策略链表包含有与新策略相同优先级标号的策略,则删除策略链表中与所述新策略相同的策略,将新策略添加到策略链表中;如果策略链表不包含有与新策略相同优先级标号的策略,则将所述新策略添加到策略链表中。
另一方面,本申请还提供了一种实现隧道配置的装置,包括:配置单元和切换单元;其中,
配置单元用于,通过预设的优先级标号分别配置各通信规则相应的主隧道和备用隧道;
切换单元,用于主隧道断开时,切换业务通信至与主隧道通信规则相同的备用隧道。
可选的,配置单元具体用于,
对各通信规则,
预先设定优先级标号的优先级等级;以最高等级的优先级标号配置该通信规则对应的所述主隧道;以低于最高等级的优先级标号配置该通信规则相应的预设个数的所述备用隧道。
可选的,该装置还包括添加分组单元,用于将配置的主隧道和备用隧道按照通信规则的不同分别添加到与通信规则成一一对应关系的预先构建的各隧道组中;
各所述隧道组包含的主隧道和备用隧道的总条数为小于或等于8的正整数。
可选的,该装置还包括确定单元,用于切换业务通信至与主隧道通信规则相同的备用隧道之前,通过dpd确定所述主隧道是否断开。
可选的,分配单元还用于,预先设定常规隧道相应的优先级标号,以区分常规隧道和隧道组内所述主隧道和备用隧道。
可选的,该装置还包括遍历处理单元,用于切换业务通信至与主隧道通信规则相同的备用隧道之前,
根据所述优先级标号设置所述常规隧道、主隧道和备用隧道的策略参数;
配置所述常规隧道、和/或主隧道、和/或备用隧道后,根据设置的策略参数对配置的所述常规隧道、和/或主隧道、和/或备用隧道产生的新策略进行策略链表的遍历插入处理。
可选的,遍历处理单元具体用于,切换业务通信至与主隧道通信规则相同的备用隧道之前,
根据所述优先级标号设置所述常规隧道、主隧道和备用隧道的策略参数;
配置所述常规隧道、和/或主隧道、和/或备用隧道后,
根据所述策略参数确定所述新策略为常规隧道的策略时,对所述新策略按照常规隧道对新策略的插入处理方式将所述新策略插入到策略链表中;
根据所述策略参数确定所述新策略为隧道组的策略时,如果策略链表包含有与新策略相同优先级标号的策略,则删除策略链表中与所述新策略相同的策略,将新策略添加到策略链表中;如果策略链表不包含有与新策略相同优先级标号的策略,则将所述新策略添加到策略链表中。
与现有技术相比,本申请技术方案包括:通过预设的优先级标号分别配置各通信规则相应的主隧道和备用隧道;当主隧道断开时,切换业务通信至与主隧道通信规则相同的备用隧道。本发明方法通过预设的优先级标号配置各通信规则相应的主隧道和备用隧道,降低了配置备用隧道的成本,主隧道和备用隧道无需在不同设备之间切换,简化了部署和切换;进一步地,备用隧道的条数不受成本影响,可以建立多条备用隧道,提高了vpn网络的稳定性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例实现隧道配置的方法的流程图;
图2为本发明实施例实现隧道配置的装置的结构框图;
图3为本发明应用示例策略链表处理的方法流程图;
图4为本发明应用示例中主隧道和备用隧道示意图;
图5为本发明应用示例业务通信的方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
图1为本发明实施例实现隧道配置的方法的流程图,如图1所示,包括:
步骤100、通过预设的优先级标号分别配置各通信规则相应的主隧道和备用隧道;
需要说明的是,预设的优先级标号是根据优先级等级设定的优先级标号,同一通信规则中,主隧道和各备用隧道采用的优先级标号各不相同。
可选的,配置各通信规则相应的主隧道和备用隧道包括:
对各通信规则,
预先设定优先级标号的优先级等级;以最高等级的优先级标号配置该通信规则对应的主隧道;以低于最高等级的优先级标号配置该通信规则相应的预设个数的备用隧道。
需要说明的是,备用隧道的条数根据业务通信对实时性的要求进行配置;实时性要求高时,可以配置较多的备用隧道以保证稳定性能;实时性要求低时,可以配置较少的备用隧道即可;可选的,对于一般的企业用户,设置3条备用隧道即可。
步骤102、当主隧道断开时,切换业务通信至与主隧道通信规则相同的备用隧道。
需要说明的是,本步骤中,从主隧道切换到备用隧道的方法可以采用与双机热备技术使用的切换方法相同;当包含多个备用隧道时,如果用于业务 通信的备用隧道断开时,则按照相同的原理切换到其他可用的备用隧道。
本发明方法还包括:
将配置的主隧道和备用隧道按照通信规则的不同分别添加到与通信规则成一一对应关系的预先构建的各隧道组中;
各隧道组包含的主隧道和备用隧道的总条数为小于或等于8的正整数。
需要说明的是,通过构建的隧道组可以区分各通信规则的主隧道和备用隧道,便于业务通信在隧道间的切换。
切换业务通信至与主隧道通信规则相同的备用隧道之前,本发明实施例还包括:
通过失效对等体检测(dpd)确定主隧道是否断开。
本发明实施例还包括:预先设定常规隧道相应的优先级标号,以区分常规隧道和隧道组内主隧道和备用隧道。
需要说明的是,隧道组内的隧道包括主隧道和备用隧道。
切换业务通信至与主隧道通信规则相同的备用隧道之前,本发明方法还包括:
根据优先级标号设置常规隧道、主隧道和备用隧道的策略参数;
配置常规隧道、和/或主隧道、和/或备用隧道后,根据设置的策略参数对配置的常规隧道、和/或主隧道、和/或备用隧道产生的新策略进行策略链表的遍历插入处理。
可选的,对配置的常规隧道、和/或主隧道、和/或备用隧道产生的新策略进行策略链表的遍历插入处理包括:
根据策略参数确定新策略为常规隧道的策略时,对新策略按照常规隧道对新策略的插入处理方式将新策略插入到策略链表中;
根据策略参数确定新策略为隧道组的策略时,如果策略链表包含有与新策略相同优先级标号的策略,则删除策略链表中与新策略相同的策略,将新策略添加到策略链表中;如果策略链表不包含有与新策略相同优先级标号的策略,则将新策略添加到策略链表中。
需要说明的是,常规隧道对新策略的插入处理于现有的处理方式相同,具体的,如果新策略与策略链表中保存的策略相同,则删除策略链表中与新策略相同的策略,将新策略添加到策略链表中;如果常规隧道的新策略与策略链表中保存的策略均不相同,则将新策略添加到策略链表中;
图2为本发明实施例实现隧道配置的装置的结构框图,如图2所示,包括:配置单元和切换单元;其中,
配置单元用于,通过预设的优先级标号分别配置各通信规则相应的主隧道和备用隧道;
配置单元具体用于,
对各通信规则,
预先设定优先级标号的优先级等级;以最高等级的优先级标号配置该通信规则对应的主隧道;以低于最高等级的优先级标号配置该通信规则相应的预设个数的备用隧道。
切换单元,用于主隧道断开时,切换业务通信至与主隧道通信规则相同的备用隧道。
本发明装置还包括添加分组单元,用于将配置的主隧道和备用隧道按照通信规则的不同分别添加到与通信规则成一一对应关系的预先构建的各隧道组中;
各隧道组包含的主隧道和备用隧道的总条数为小于或等于8的正整数。
本发明装置还包括确定单元,用于切换业务通信至与主隧道通信规则相同的备用隧道之前,通过dpd确定主隧道是否断开。
分配单元还用于,预先设定常规隧道相应的优先级标号,以区分常规隧道和隧道组内主隧道和备用隧道。
本发明装置还包括遍历处理单元,用于切换业务通信至与主隧道通信规则相同的备用隧道之前,
根据优先级标号设置常规隧道、主隧道和备用隧道的策略参数;
配置常规隧道、和/或主隧道、和/或备用隧道后,根据设置的策略参数 对配置的常规隧道、和/或主隧道、和/或备用隧道产生的新策略进行策略链表的遍历插入处理。
可选的,遍历处理单元具体用于,切换业务通信至与主隧道通信规则相同的备用隧道之前,
根据优先级标号设置常规隧道、主隧道和备用隧道的策略参数;
配置常规隧道、和/或主隧道、和/或备用隧道后,
根据策略参数确定新策略为常规隧道的策略时,对新策略按照常规隧道对新策略的插入处理方式将新策略插入到策略链表中;
根据策略参数确定新策略为隧道组的策略时,如果策略链表包含有与新策略相同优先级标号的策略,则删除策略链表中与新策略相同的策略,将新策略添加到策略链表中;如果策略链表不包含有与新策略相同优先级标号的策略,则将新策略添加到策略链表中。
以下通过应用示例对本发明方法进行清楚详细的说明,应用示例仅用于陈述本发明,并不用于限定本发明方法的保护范围。
应用示例
图3为本发明应用示例策略链表处理的方法流程图,如图3所示,包括:
步骤300、vpn系统在应用层为常规隧道和隧道组中的主隧道和备用隧道分别设置相应的优先级标号;本应用示例设定常规隧道的优先级标号为0,隧道组内的主隧道和备用隧道为相异的非零的优先级标号;应用层根据优先级标号设置好策略参数后,通过netlink将设置好的策略参数发往内核;
步骤301、内核通过netlink接收并解析获得的策略参数,遍历策略链表;
需要说明的是,在进行策略插入之前,本应用示例判断策略链表是否为空;策略链表为空,将新链表插入到策略链表中;
步骤302、判断新策略是否是隧道组的策略;是隧道组的策略,执行步骤3030;不是隧道组的策略,执行步骤3040;
步骤3030、判断策略链表包含有与新策略相同优先级标号的策略;策略链表包含有与新策略相同优先级标号的策略时,执行步骤3031;策略链表不 包含有与新策略相同优先级标号的策略时,执行步骤3032;
步骤3031、删除策略链表中与该新策略优先级标号相同的策略,将新策略添加到策略链表中;
步骤3032、将新策略添加到策略链表中。
步骤3040、判断策略链表包含有与新策略相同的策略;策略链表包含有与新策略相同的策略时,执行步骤3041;策略链表不包含有与新策略相同的策略时,执行步骤3032;
步骤3041、删除策略链表中与该新策略相同的策略,将新策略添加到策略链表中;
步骤3042、将新策略添加到策略链表中。
图4为本发明应用示例中主隧道和备用隧道示意图,如图4所示,vpn网络中包含一条主隧道和一条备用隧道。
图5为本发明应用示例业务通信的方法流程图,如图5所示,包括:
步骤500、数据输入时,判断业务通信使用的是常规隧道或隧道组内的隧道;
使用隧道组内隧道时,执行步骤5010;使用的是常规隧道时,执行步骤5020;
步骤5010、判断主隧道是否断开;未断开时,执行步骤5011;主隧道断开时,执行步骤5012;
步骤5011、采用主隧道进行业务通信,输出业务数据;
步骤5012、切换到与主隧道相同通信规则的备用隧道进行业务通信,输出业务数据;本应用示例,通信规则是否相同可以通过是否处于同一隧道组进行确认;隧道组为用于建立同一通信规则的主隧道和备用隧道关联信息的逻辑组。
需要说明的是,当包含多个备用隧道时,具体如何选择备用隧道可以根据本领域技术人员根据经验设定的规则进行确定;可选的,可以根据备用隧道优先级标号的优先级高低先后选择可用的备用隧道。
步骤5020、通过常规隧道进行业务通信,输出业务数据。
虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
- 还没有人留言评论。精彩留言会获得点赞!