CN101442471A - 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 - Google Patents
实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 Download PDFInfo
- Publication number
- CN101442471A CN101442471A CNA200810187981XA CN200810187981A CN101442471A CN 101442471 A CN101442471 A CN 101442471A CN A200810187981X A CNA200810187981X A CN A200810187981XA CN 200810187981 A CN200810187981 A CN 200810187981A CN 101442471 A CN101442471 A CN 101442471A
- Authority
- CN
- China
- Prior art keywords
- tunnel
- node
- master
- ipsec tunnel
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种实现IPSec隧道备份和切换的方法和系统。该方法包括为节点的一接口配置安全策略组,该安全策略组内存在至少两个仅对端节点不同的IKE协商策略;当该接口上发生流量时,执行以下步骤:提取该安全策略组,并基于组内IKE协商策略,分别与相应的对端节点协商建立SA,构成相应数量的IPSec隧道;根据对端节点的状态,切换至一IPSec隧道作为Master隧道执行报文传输。本发明还公开了一种节点设备和一种组网架构。通过本发明,能够支持与具有多个出口网关的核心节点的IPSec保护通信,有效降低了成本,同时缩短了业务中断的时间,提高了系统的可用性。
Description
技术领域
本发明涉及安全传输技术,尤其涉及一种实现IPSec隧道备份的方法和一种实现IPSec隧道备份的系统,还涉及一种节点设备和一种组网架构。
背景技术
一方面,为了提高网络的可靠性,核心节点(比如服务器)往往通过两个或者多个出口网关接入运营网络,以便进行负载分担或者在一个出口网关出现故障时避免业务流中断;这种情况下,多个出口网关互为主备或者负载分担。
另一方面,为了保证网络通信的可靠性,节点之间往往在通信中提供IPSec保护。所谓IPSec(IP Security),是由Internet工程任务组(IETF)开发的、在IP层保护节点间通信流量的通用机制,主要通过封装安全载荷(ESP)和/或验证头(AH)协议来保护流量,保证两个节点(可称为IPSec对等体)之间通信的私有性(Confidentiality)、完整性(Data Integrity)、真实性(DataAuthentiation)和防重放(Anti-replay),从而为IP层通信提供了高质量、可互操作的、基于密码学的安全性保证。其中,私有性是指节点数据进行加密保护,用密文的形式传送;完整性是指节点对接收的数据进行验证,以判定报文是否被篡改;真实性是指对数据源进行验证,以保证数据来自真实的发送者;防重放是指防止恶意节点通过重复发送捕获到的数据包所进行的攻击,即接收节点会拒绝旧的或者重复的数据包。
需要指出,IPSec工作的先决条件是:两个节点间存在安全联盟(SecurityAssociation,SA),由SA对通信要素进行约定,例如,使用哪种协议(AH、ESP还是两者结合使用)、协议的操作模式(传输模式或隧道模式)、加密算法(DES或3DES)、特定流中保护数据的共享密钥以及SA的生存周期等。可以看出,SA是IPSec的基础,也是IPSec的本质;通过节点上成对的SA,构成节点之间的IPSec隧道,为数据流提供不同级别的IPSec保护。在现有技术中,SA可以通过以下两种方式生成:一种是手工方式(manual);这种方式下生成SA所需的全部信息都必须手工配置,实现起来相当复杂,同时不能支持IPSec的一些高级特性例如定时密钥更新,因此主要用于通信对端节点数量较少的节点,或者用于小型静态网络环境中;另一种是IKE(因特网密钥交换)自动协商方式;这种方式通过IKE自动协商来创建和维护SA,由于只需要配置好IKE协商SA所需的信息,配置相对简单,因此是目前生成SA的主要手段,尤其适用于中、大型的动态网络环境。
可见,在核心节点提供有多个出口网关进行冗余备份并且要求通信IPSec保护的情况下,其它与核心节点通信的节点必须能够提供到每个出口网关的连接并且每个连接需要具有相同的SA,才能够支持出口网关的平滑切换;这在现有技术中是通过链路备份的方式实现的,请参考图1:
网关C通过两个业务接口分别构造到服务器的出口网关A和出口网关B的链路,并在这两个业务接口上和服务器的出口网关上都配置相同的SA生成策略;这样,网关C与服务器之间通过互为主备的两条链路通信连接,当选择网关C与出口网关A之间的链路时,或者当选择网关C与出口网关B之间的链路时,网关C上相应的业务接口和出口网关之间将分别基于配置的SA生成策略生成相同的SA(图中虚线所示),从而既保证了出口网关的切换,也保证了切换后的链路能够提供同样的IPSec保护。
上述的链路备份的方案虽然简单且容易控制,但是却存在以下缺陷:
第一、需要为每个节点配置双链路/多链路实现到核心节点的接入备份,这导致成本居高不下,有些用户甚至不得不牺牲网络可靠性和服务质量,仅采用单链路接入核心节点;
第二、主备链路的切换是在一条链路异常后才开始建立另一条链路,即连接备用链路的业务接口是从Down状态进入到Up状态,因此需要重新进行协商以生成SA从而创建新的、具有相同加密策略的IPSec隧道,这种情况下,即使采用IKE自动协商的方式也必然导致数据流的暂时中断,无疑降低了网络的可用性,给用户带来了极大的影响。
作为一个改进的方案,用户可以通过命令来指定源接口,并在主备业务接口应用源接口安全策略;这样,在主备链路切换时,如果源接口的状态没有变化,那么将不需要进行新的IKE协商,从而保证通信不致中断。但这种改进方案除了无法克服双链路或者多链路接入所存在的成本问题以外,由于||前其源接口只能采用Loopback接口,因此应用的局限性很高。
综上所述,现有技术中尚未提供这样一种技术方案,其能够支持与具有多个出口网关的核心节点的IPSec保护通信,同时成本低廉。
发明内容
本发明的实施例旨在克服上述现有技术中的缺陷,提供能够实现IPsec隧道备份和切换的方案,以降低成本和缩短隧道切换时间。
为实现上述目的,本发明的实施例提供了一种实现IPSec隧道备份和切换的方法,包括:为节点的一接口配置安全策略组,该安全策略组内存在至少两个仅对端节点不同的IKE协商策略;当该接口上发生流量时,执行以下步骤:
步骤S1:提取该安全策略组,并基于组内IKE协商策略,分别与相应的对端节点协商建立SA,构成相应数量的IPSec隧道;
步骤S2:根据对端节点的状态,切换至一IPSec隧道作为Master隧道执行报文传输。
其中,步骤S2可具体为:当从对端节点接收到报文时,识别对端节点发送报文的IPSec隧道是否为本端的当前Master隧道;是则,保持所述当前Master隧道状态执行报文传输;否则,将接收到报文的IPSec隧道状态设置为Master,将本端的当前Master隧道状态设置为Slave,从而切换到新的Master隧道执行报文传输。
和/或,步骤S2可具体为:监控Master隧道对端节点的状态,当发现其状态异常时,将所述Master隧道状态设置为Down,并按照预设的策略从安全策略组中其它IPSec隧道中选择一IPSec隧道作为新的Master隧道,从而切换到新的Master隧道执行报文传输。
较佳的,如果步骤S2之前需要通过所述接口输出报文,则还包括步骤SA:根据预设的策略,选择一IPSec隧道作为初始Master隧道执行报文传输。
较佳的,预设的策略包括:按照生存时间最长或者生存时间最短选择初始Master隧道;或者,按照静态路由优先级选择初始Master隧道。
本发明的实施例还提供了一种实现IPSec隧道备份和切换的系统,设置于节点设备中,包括:
安全策略组配置和保存单元,用于为节点的一接口配置安全策略组并保存,该安全策略组内存在至少两个仅对端节点不同的IKE协商策略;
SA建立和记录单元,与所述安全策略组配置和保存单元连接,用于在所述接口发生流量时,提取所述安全策略组,并基于组内IKE协商策略,使所述接口分别与相应的对端节点协商建立SA,构成相应数量的IPSec隧道;
IPSec隧道切换单元,与所述SA建立和记录单元连接,用于根据对端节点的状态,切换至一IPSec隧道作为Master隧道执行报文传输。
其中,IPSec隧道切换单元可以包括:对端报文识别模块,用于识别对端节点发送报文的IPSec隧道是否为本端的当前Master隧道,是则,保持所述当前Master隧道状态执行报文传输;否则,将接收到报文的IPSec隧道状态设置为Master,将本端的当前Master隧道状态设置为Slave,从而切换到新的Master隧道执行报文传输。
和/或,IPSec隧道切换单元包括:对端节点监控模块,用于监控Master隧道对端节点的状态,当发现其状态异常时,将所述Master隧道状态设置为Down,并按照预设的策略从其它IPSec隧道中选择一IPSec隧道作为新的Master隧道,从而切换到新的Master隧道执行报文传输。
较佳的,还可以包括初始Master隧道选择单元,与所述SA建立和记录单元连接,用于在所述接口先行作为出接口输出报文时,根据预设的策略选择一IPSec隧道作为初始Master隧道执行报文传输。
本发明的实施例还提供了一种节点设备,设有如上任一所述的实现IPSec隧道备份和切换的系统;所述节点设备通过单链路接入运营网络,并通过运营网络与至少两个对端节点建立IPSec隧道连接。
本发明的实施例还提供了一种组网架构,包括总部节点及分支节点,所述总部节点通过至少两个网关接入运营网络,所述分支节点设有如上任一所述的实现IPSec隧道备份和切换的系统;所述分支节点通过单链路接入运营网络,并通过运营网络与所述总部节点的网关建立IPSec隧道连接,从而实现与总部节点的通信。
由上述技术方案可知,本发明的实施例通过为同流同接口同时创建多个SA且多个SA并存互为主备的方案,具有以下有益效果:
1、在节点单链路接入的前提下实现了IPSec隧道的备份,支持与具有多个出口网关的核心节点的IPSec保护通信,同时有效降低了成本;
2、IPSec隧道异常进行切换时无需重新进行IKE协商,缩短了业务中断的时间,提高了系统的可用性。
通过以下参照附图对优选实施例的说明,本发明的上述以及其它目的、特征和优点将更加明显。
附图说明
图1为现有技术中通过节点双链路接入实现IPSec隧道备份的组网示意图;
图2为本发明实现IPSec隧道备份和切换的方法一实施例的流程图;
图3A、3B为图2所示方法中实现IPSec隧道切换的流程图;
图4A、4B为图2所示方法一具体实施例的实际组网示意图;
图5为本发明实现IPSec隧道备份和切换的系统一实施例的框图。
具体实施方式
下面将详细描述本发明的具体实施例。应当注意,这里描述的实施例只用于举例说明,并不用于限制本发明。
本发明的主要构思在于针对同一个接口、同一条流基于单链路实现多条IPSec隧道备份,来克服现有技术中不得不通过两条或多条链路分别接入某一目的节点的不同接入设备(比如网关、路由设备等)以实现IPSec隧道备份所存在的成本过高和切换中断问题。下面将详细介绍本发明所提供的实现IPSec隧道备份和切换的技术方案。
首先,请参考图2,显示了本发明实现IPSec隧道备份和切换的方法一实施例的流程图,包括:
步骤S0:为节点的一接口配置安全策略组,所述安全策略组内存在至少两个仅对端节点不同的IKE协商策略;
其中,对端节点是指接入同一核心节点以实现路由冗余备份的网关或者路由设备;该核心节点可以是服务器,也可以是企业的总部节点,或者其它对业务流的连续性和传输质量要求较高的节点;
可以看出,由于对端节点本身仅是接入设备,因此无论核心节点采用多少个接入设备进行冗余备份,对于本端节点来说,其仅需记录通过配置了安全策略组的接口与核心节点通信这样一条路由,即仅需建立一条接入运营网络的链路,即单链路接入;
进一步的,本发明需要支持作为接入设备的对端节点的备份和切换,这就要求切换前后SA不能发生改变,因此接口安全策略组内设有至少两个IKE协商策略,具体数目由对端节点的数量决定;
这些IKE协商策略除了对端节点地址(Peer Address)不同,其他配置都一样,即安全策略组内提供有同名同序号的IKE协商策略;这样当本端节点通过ACL匹配获知且访问对端节点的流量都要通过IPSec隧道时,就会触发组内的IKE协商策略,分别与不同的对端节点协商建立相同的SA;
与节点设备接口安全策略组相对应的,对端节点上也需要分别配置IKE协商策略;为了保证对端节点之间的切换,在对端节点上配置的IKE协商策略其配置属性也要相同;当然,由于是设置在不同的节点上,因此不必要求具有相同的名字和序号;
有必要指出,在本步骤S0中是以为节点的一个接口配置安全策略组为例来加以说明的,但并非局限;本领域普通技术人员可以了解,当一个节点设备存在多个接口分别接入不同的核心节点时,可以按照本发明提供的方法对每一个节点相应执行同样的操作,实现对节点设备多个接口的设置。
进行了上述配置之后,当配置有安全策略组的接口上发生流量时,执行以下步骤:
步骤S1:提取该安全策略组,并基于组内IKE协商策略,分别与相应的对端节点协商建立SA,构成相应数量的IPSec隧道;
在本步骤S1中,节点是通过单链路构建了多条IPSec隧道;
具体来说,当用户流量通过所配置的节点时,通过ACL匹配到至少两个同名、同序号的安全策略,因此同时建立至少两组SA;这两组SA的流量五元组相同,都是所配置的节点接口与核心节点之间的流量,由于该节点接口只有一个IP地址,而核心节点也只有一个IP地址,因此是相同流量;但是,这两组SA的对端节点(例如网关)不同,因此构成了不同的隧道;
可以看出,本步骤S1通过单链路实现了IPSec隧道的冗余备份;
步骤S2:根据对端节点的状态,切换至一IPSec隧道作为Master隧道执行报文传输,从而实现IPSec隧道的切换;
本步骤S2既适用于在节点通信之初来确定Master隧道,也适用于在节点通信过程中根据实际情况对隧道加以切换调整;
其中,如果在IPSec隧道建立后对端节点首先发送报文,那么可以直接执行步骤S2,即在节点通信之初根据对端节点的报文发送状态来确定Master隧道;
但是,实际情况一般是其他节点主动向核心节点发送报文,也就是说,往往在尚未接收到对端节点状态时,本端节点就需要先行选择一个Master隧道进行报文的发送;故而,初始Master隧道通常是基于本端的隧道优先级确定的,上述步骤S2多用于节点通信过程中的调整;
因此,较佳的实施方式为步骤S2之前还包括步骤SA:根据预设的策略,选择一IPSec隧道作为初始Master隧道执行报文传输;
其中,预设的策略可以包括:按照生存时间最长选择初始Master隧道,即认为生存时间最长的IPSec隧道稳定性最好,将其设置为Master状态,将其他隧道设置为Slave状态;需要指出,本发明所指的Master与Slave仅仅是本端流量选择隧道的依据,并不影响隧道本身收发报文的机制;
当然,上述预设的策略可以灵活定制;比如,也可以将生存时间最短的隧道定为Master;或者,按照预设的隧道优先级决定初始Master隧道。
进一步的,无论步骤S2是用于在节点通信之初确定Master隧道,还适用于在节点通信过程中根据实际情况对隧道加以切换调整,其都可以采用下述两个实施例所提供的方式实现:
(1)请结合图3A,根据对端节点的状态实现IPSec隧道的切换的步骤可以为根据对端节点的反馈状态实现IPSec隧道的切换,包括:
当从对端节点接收到报文时,识别对端节点发送报文的IPSec隧道是否为本端的当前Master隧道;
是则,保持该当前Master隧道状态执行报文传输;
否则,将接收到报文的IPSec隧道状态设置为Master,将本端的当前Master隧道状态设置为Slave,从而切换到新的Master隧道执行报文传输;
显然,如果本实施例用于在节点通信之初确定Master隧道,那么由于本端尚未存在Master隧道,因此只需要直接设置接收报文的IPSec隧道状态为Master,而不需要对本端不存在的当前Master隧道状态进行切换调整;然而在大多数情况下,本端往往已经具有状态为Master的IPSec隧道;当然,该当前Master隧道可能是本端根据预设的策略直接选定的,也可能是在之前的节点间通信中根据对端节点状态确定的。
(2)请结合图3B,根据对端节点的状态实现IPSec隧道的切换的步骤可以为根据对端节点的监控状态实现IPSec隧道的切换,包括:
监控Master隧道对端节点的状态;
当发现其状态异常时,将该Master隧道状态设置为Down;以及,按照预设的策略从安全策略组中其它IPSec隧道中选择一IPSec隧道作为新的Master隧道,从而切换到新的Master隧道执行报文传输;其中,预设的策略可以灵活定制,比如,剩余隧道中生存时间最长或者最短的IPSec隧道,或者,按照隧道的预设优先级进行选择;
如果未发现状态异常,则保持当前Master隧道状态不变;
可以看出,这种监控对端节点状态的方案只适用于在节点通信过程中根据实际情况对隧道加以切换调整;
作为方案的进一步优化,当检测到该对端节点的状态恢复时,可以将该隧道的状态由Down调整为Slave,重新作为备选隧道以供后续切换;或者,直接将该隧道的状态由Down调整为Master,执行报文传输;具体采用哪一种方案,可以由网络管理人员根据需要设定;
需要指出,本方案所关心的仅是Master隧道对端节点状态的变化情况,其可以依赖于现有技术中对于隧道的监测实现;比如,运用现有技术中的IPSec DPD或是Keep Alive等机制能够及时发现隧道异常:对于Slave隧道的异常,利用上述隧道监测机制直接删除相应的隧道或者发出警报即可,对于本端节点而言仅仅是作为备份的隧道少了一条,即使不及时处理也并不影响Master隧道的工作;但如果上述隧道监测机制发现Master隧道异常,那么会发生业务流的中断,因此本端节点必须时刻加以监控,一旦发现Master隧道消失或者上述隧道监测机制发出异常警报,那么就可以直接判定Master隧道对端节点状态异常,并即刻进行隧道切换。
上述图3A和图3B所示的IPSec隧道切换方案可以结合使用,也可以与初始隧道选择方案三者结合使用,以达到最佳的IPSec隧道切换效果;比如说,本端节点可以根据预设的策略选择初始Master隧道,然后根据对端节点的反馈隧道进行Master隧道的切换,并在后续的交互过程中,根据Master隧道对端节点的监控结果,进行相应的切换调整;再比如说,本端节点在与对端的交互过程中,可以随时根据Master隧道对端节点的监控结果和反馈隧道的情况,实时切换IPSec隧道:当发现对端节点Down时,进行隧道切换;发现对端节点重新通过Down掉的隧道反馈流量,说明该对端节点已恢复,则重新按照“对端决定”原则(即在某条隧道上收到对端报文后,如果该隧道已经是Master则不进行切换,否则切换当前隧道为Master)切换回原Master隧道并开始新一轮的节点监控;
同时需要指出的是,上述两种的IPSec隧道切换方案仅为举例而非限制,网络管理员也可以根据实际需要采用其他的具体隧道切换方案,在此不再赘述。
通过上述步骤S0~S2可以看出,本实施例所提供的实现IPSec隧道备份和切换的方法是针对现有单链路无法实现IPSec隧道冗余设计的问题,在单链路中针对同一流量创建多个SA,本端节点去往核心节点的流量可以灵活的根据切换规则选择不同的SA进行发送,各SA之间以主备关系并存;因此,该方法能够在节点单链路接入的前提下实现IPSec隧道的备份,同时有效降低了成本;以及,由于多个SA并存,因此IPSec隧道异常进行切换时无需重新进行IKE协商,从而缩短了业务中断的时间,提高了系统的可用性。
为了便于理解,下面将结合一个具体的组网环境对本发明提供的实现IPSec隧道备份和切换的方法加以示例性描述,请参见图4A:
作为核心节点的总部指定服务器通过两个出口网关A和B接入运营网络ISP;由于服务器的出口网关A和B互为备份,因此其IKE协商策略完全一致(名字可以不同)以保证平滑切换;
较佳的,可以采用静态路由设置出口网关A和B的优先级,比如通过出口网关B的优先级高于通过出口网关A的优先级,以明确总部服务器下发流量的路径;
同时,网关C通过一条单链路为分支用户提供运营网络的接入服务;该网关C连接单链路的接口上配置有一个安全策略组,安全策略组内有两个同名、同序号的IKE协商策略;这两个IKE协商策略除了Peer Address不同外,其他的配置都一样;
当完成上述配置后,就可以进入后续的IPSec隧道备份生成和按规则切换的处理,举例来说:
如果分支用户1流量进入出口网关C,那么网关C查找路由表确定连接单链路的接口是外联接口;
通过ACL匹配确定需要走IPSec隧道,进而查找安全策略组找到两个同名、同序号的IKE协商策略;.
通过IKE协商,同时建立两组不同的SA(图中虚线所示)构成IPSec隧道;两条IPSec隧道中流量的5元组相同(相同流量),但目的网关不同(不同隧道);
由于是分支用户1去访问总部服务器,因此此时网关C尚未获得对端接点(网关A和网关B)的状态信息,需要先行确定一个Master隧道来发送分支用户1的流量;
这里按照最稳定的策略进行选取,即选取生存时间最长的隧道,将该隧道置于Master状态,其他隧道是Slave;假定隧道AC创建时间较长,流量选择隧道AC作为Master隧道。隧道BC作为Slave;流量经过隧道AC上行到总部的服务器;
服务器响应请求,根据静态路由从网关B发往分支用户,即通过隧道BC到达网关C;这时网关C根据“对端决定”原则,将隧道BC置为Master,同时将隧道AC改为Slave;
流量回到用户1;用户1后续访问服务器的流量,在网关C处会选择隧道BC进行传输。
进一步的,请结合图4B,显示了上述实施例在一总部网关异常时的网络情况,其IPSec隧道的相应切换处理如下:
总部网关B异常报告或是IPSec隧道BC被直接删除;这可以通过IPSec DPD或是Keep Alive等机制实现;
网关C由此监控到网关B异常,因此将隧道BC的状态置Down,并需要从其他剩余的Slave隧道中,查找一条生存时间最长的隧道设置为Master;
由于只剩下隧道AC,因此将隧道AC置为Master;此时,上下行流量都会通过隧道AC传输;
再进一步的,如果网关B恢复且服务器通过网关B下发流量,则按照“对端决定”原则,流量路径会在总部服务器下一次返回流量后恢复为隧道BC置为Master,网络重新如图4A所示。
上面对本发明所提供的实现IPSec隧道备份和切换的方法进行了具体的描述,并结合了具体示例加以说明。同时,本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括如下步骤:
为节点的一接口配置安全策略组,所述安全策略组内存在至少两个仅对端节点不同的IKE协商策略;当所述接口上发生流量时,执行以下步骤:
步骤S1:提取所述安全策略组,并基于组内IKE协商策略,分别与相应的对端节点协商建立SA,构成相应数量的IPSec隧道;
步骤S2:根据对端节点的状态,切换至一IPSec隧道作为Master隧道执行报文传输;
所述的存储介质包括:ROM/RAM(Read Only Memory/Random-AccessMemory,只读存储器/随机访问内存)、磁碟或者光盘等。
继续。下面将对本发明提供的实现IPSec隧道备份和切换的系统加以描述。
如图5所示实施例,显示了实现IPSec隧道备份和切换的系统500的框图。该实现IPSec隧道备份和切换的系统500设置于节点设备中,尤其是接入具有多个出口网关的核心节点的节点设备;包括:
安全策略组配置和保存单元501,用于为节点的一接口配置安全策略组并保存,该安全策略组内存在至少两个仅对端节点不同的IKE协商策略;
需要注意的是,IKE协商策略的数目是基于对端节点的数目确定的,该对端节点可以是核心节点互为备份的出口网关或者路由设备,等等;
SA建立和记录单元502,与该安全策略组配置和保存单元501连接,用于在该接口发生流量时(可能是上行流量或者下行流量),提取相应的安全策略组,并基于组内IKE协商策略,使所述接口分别与相应的对端节点协商建立SA,构成相应数量的IPSec隧道;
可以看出,SA建立和记录单元502为同一单链路建立了并存的多条IPSec隧道;
IPSec隧道切换单元503,与该SA建立和记录单元502连接,用于根据对端节点的状态,切换至一IPSec隧道作为Master隧道执行报文传输;
具体的,该IPSec隧道切换单元503基于“对端决定”原则选择Master隧道,即IPSec隧道切换单元503可以包括对端报文识别模块,用于识别对端节点发送报文的IPSec隧道是否为本端的当前Master隧道,是则,保持所述当前Master隧道状态执行报文传输;否则,将接收到报文的IPSec隧道状态设置为Master,将本端的当前Master隧道状态设置为Slave,从而切换到新的Master隧道执行报文传输。
或者,IPSec隧道切换单元503基于对对端节点的监控选择Master隧道,即IPSec隧道切换单元503可以包括对端节点监控模块,用于监控Master隧道对端节点的状态,当发现其状态异常时,将所述Master隧道状态设置为Down,并按照预设的策略从其它IPSec隧道中选择一IPSec隧道作为新的Master隧道,从而切换到新的Master隧道执行报文传输;其中,预设的策略可以为按照生存时间最长或者生存时间最短选择初始Master隧道,或者,按照预设的隧道优先级选择初始Master隧道;
较佳的,由于最初的流量往往是从本端访问核心节点的,因此本端节点需要先行选择一个Master隧道,即实现IPSec隧道备份和切换的系统500还可以包括初始Master隧道选择单元504,与SA建立和记录单元502连接,用于在该接口先行作为出接口输出报文时,根据预设的策略选择一IPSec隧道作为初始Master隧道执行报文传输;其中,预设的策略可以为按照生存时间最长或者生存时间最短选择初始Master隧道,或者,按照预设的优先级选择初始Master隧道;
综上,本发明提供的实现IPSec隧道备份和切换的系统500能够在节点单链路接入的前提下实现IPSec隧道的备份,同时有效降低了成本;以及,由于多个SA并存,因此IPSec隧道异常进行切换时无需重新进行IKE协商,从而缩短了业务中断的时间,提高了系统的可用性。
继续。本发明还提供了一种节点设备,设有如上所述的实现IPSec隧道备份和切换的系统,从而使其一接口能够同时创建多个SA实现IPSec隧道的备份;这样,该节点设备可以通过所述接口建立单链路接入运营网络,并通过运营网络与至少两个对端节点建立IPSec隧道连接;其中,该对端节点是核心节点互为备份的接入设备,因此,节点设备能够通过单链路实现与核心节点之间的IPSec隧道备份和切换。
以及,本发明还提供了一种网络架构,包括总部节点及分支节点,该总部节点通过至少两个网关接入运营网络,其网关互为备份;该分支节点设有如上所述的实现IPSec隧道备份和切换的系统;
这样,分支节点通过单链路接入运营网络,并通过运营网络与总部节点的网关建立IPSec隧道连接,从而实现与总部节点的通信并为网关切换提供支持。
虽然已参照几个典型实施例描述了本发明,但应当理解,所用的术语是说明和示例性、而非限制性的术语。由于本发明能够以多种形式具体实施而不脱离发明的精神或实质,所以应当理解,上述实施例不限于任何前述的细节,而应在随附权利要求所限定的精神和范围内广泛地解释,因此落入权利要求或其等效范围内的全部变化和改型都应为随附权利要求所涵盖。
Claims (11)
1.一种实现IPSec隧道备份和切换的方法,其特征在于,包括:为节点的一接口配置安全策略组,所述安全策略组内存在至少两个仅对端节点不同的IKE协商策略;当所述接口上发生流量时,执行以下步骤:
步骤S1:提取所述安全策略组,并基于组内IKE协商策略,分别与相应的对端节点协商建立SA,构成相应数量的IPSec隧道;
步骤S2:根据对端节点的状态,切换至一IPSec隧道作为Master隧道执行报文传输。
2.根据权利要求1所述的实现IPSec隧道备份和切换的方法,其特征在于,所述步骤S2中具体为:
当从对端节点接收到报文时,识别对端节点发送报文的IPSec隧道是否为本端的当前Master隧道;
是则,保持所述当前Master隧道状态执行报文传输;
否则,将接收到报文的IPSec隧道状态设置为Master,将本端的当前Master隧道状态设置为Slave,从而切换到新的Master隧道执行报文传输。
3.根据权利要求1所述的实现IPSec隧道备份和切换的方法,其特征在于,所述步骤S2中具体为:
监控Master隧道对端节点的状态,当发现其状态异常时,将所述Master隧道状态设置为Down,并按照预设的策略从安全策略组中其它IPSec隧道中选择一IPSec隧道作为新的Master隧道,从而切换到新的Master隧道执行报文传输。
4.根据权利要求1-3任一所述的实现IPSec隧道备份和切换的方法,其特征在于,如果在所述步骤S2之前需要通过所述接口输出报文,则还包括步骤SA:根据预设的策略,选择一IPSec隧道作为初始Master隧道执行报文传输。
5.根据权利要求4所述的实现IPSec隧道备份和切换的方法,其特征在于,所述预设的策略包括:按照生存时间最长或者生存时间最短选择初始Master隧道;或者,按照预设隧道优先级选择初始Master隧道。
6.一种实现IPSec隧道备份和切换的系统,设置于节点设备中,其特征在于,包括:
安全策略组配置和保存单元,用于为节点的一接口配置安全策略组并保存,所述安全策略组内存在至少两个仅对端节点不同的IKE协商策略;
SA建立和记录单元,与所述安全策略组配置和保存单元连接,用于在所述接口发生流量时,提取所述安全策略组,并基于组内IKE协商策略,使所述接口分别与相应的对端节点协商建立SA,构成相应数量的IPSec隧道;
IPSec隧道切换单元,与所述SA建立和记录单元连接,用于根据对端节点的状态,切换至一IPSec隧道作为Master隧道执行报文传输。
7.根据权利要求6所述的实现IPSec隧道备份和切换的系统,其特征在于,所述IPSec隧道切换单元包括:
对端报文识别模块,用于识别对端节点发送报文的IPSec隧道是否为本端的当前Master隧道,是则,保持所述当前Master隧道状态执行报文传输;否则,将接收到报文的IPSec隧道状态设置为Master,将本端的当前Master隧道状态设置为Slave,从而切换到新的Master隧道执行报文传输。
8.根据权利要求6所述的实现IPSec隧道备份和切换的系统,其特征在于,所述IPSec隧道切换单元包括:
对端节点监控模块,用于监控Master隧道对端节点的状态,当发现其状态异常时,将所述Master隧道状态设置为Down,并按照预设的策略从其它IPSec隧道中选择一IPSec隧道作为新的Master隧道,从而切换到新的Master隧道执行报文传输。
9.根据权利要求6-8任一所述的实现IPSec隧道备份和切换的系统,其特征在于,还包括初始Master隧道选择单元,与所述SA建立和记录单元连接,用于在所述接口先行作为出接口输出报文时,根据预设的策略选择一IPSec隧道作为初始Master隧道执行报文传输。
10.一种节点设备,设有权利要求6-9任一所述的实现IPSec隧道备份和切换的系统;其特征在于,所述节点设备通过单链路接入运营网络,并通过运营网络与至少两个对端节点建立IPSec隧道连接。
11.一种组网架构,包括总部节点及分支节点,所述总部节点通过至少两个网关接入运营网络,所述分支节点设有权利要求6-9任一所述的实现IPSec隧道备份和切换的系统;其特征在于,所述分支节点通过单链路接入运营网络,并通过运营网络与所述总部节点的网关建立IPSec隧道连接,从而实现与总部节点的通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810187981XA CN101442471B (zh) | 2008-12-31 | 2008-12-31 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810187981XA CN101442471B (zh) | 2008-12-31 | 2008-12-31 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101442471A true CN101442471A (zh) | 2009-05-27 |
| CN101442471B CN101442471B (zh) | 2012-04-18 |
Family
ID=40726720
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810187981XA Expired - Fee Related CN101442471B (zh) | 2008-12-31 | 2008-12-31 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101442471B (zh) |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101917294A (zh) * | 2010-08-24 | 2010-12-15 | 杭州华三通信技术有限公司 | 主备切换时更新防重放参数的方法和设备 |
| CN101662786B (zh) * | 2009-10-10 | 2012-07-11 | 杭州华三通信技术有限公司 | 一种Fit AP的网络位置确定方法和设备 |
| CN102694808A (zh) * | 2012-05-31 | 2012-09-26 | 汉柏科技有限公司 | Ike远程接入的处理系统及方法 |
| CN102769526A (zh) * | 2012-07-27 | 2012-11-07 | 汉柏科技有限公司 | 新旧ipsec隧道切换的方法 |
| CN102769514A (zh) * | 2012-07-27 | 2012-11-07 | 汉柏科技有限公司 | 防止丢失数据的方法及系统 |
| CN102891766A (zh) * | 2012-09-25 | 2013-01-23 | 汉柏科技有限公司 | 一种ipsec状态恢复方法 |
| CN102946333A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
| CN103051636A (zh) * | 2012-12-31 | 2013-04-17 | 华为技术有限公司 | 一种数据报文的传输方法和设备 |
| CN103067956A (zh) * | 2013-01-22 | 2013-04-24 | 迈普通信技术股份有限公司 | 3G网络环境中IPSec隧道备份及切换方法和设备 |
| WO2013097523A1 (zh) * | 2011-12-31 | 2013-07-04 | 华为数字技术(成都)有限公司 | 一种因特网协议安全隧道切换方法、装置及传输系统 |
| CN103227777A (zh) * | 2013-03-26 | 2013-07-31 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
| CN101931610B (zh) * | 2009-06-22 | 2013-08-14 | 华为技术有限公司 | 一种互联网协议安全链路保护方法和装置 |
| CN103475655A (zh) * | 2013-09-06 | 2013-12-25 | 瑞斯康达科技发展股份有限公司 | 一种实现IPSecVPN主备链路动态切换的方法 |
| CN104333554A (zh) * | 2014-11-12 | 2015-02-04 | 杭州华三通信技术有限公司 | 一种因特网协议安全安全联盟协商方法和装置 |
| CN104601430A (zh) * | 2014-12-30 | 2015-05-06 | 北京华为数字技术有限公司 | 一种隧道选择方法、设备及系统 |
| CN105812322A (zh) * | 2014-12-30 | 2016-07-27 | 华为数字技术(苏州)有限公司 | 因特网安全协议安全联盟的建立方法及装置 |
| CN106911548A (zh) * | 2017-02-24 | 2017-06-30 | 新华三技术有限公司 | 一种隧道状态切换方法及装置 |
| CN107733807A (zh) * | 2017-09-20 | 2018-02-23 | 新华三信息安全技术有限公司 | 一种报文防重放方法及装置 |
| CN110912997A (zh) * | 2019-11-26 | 2020-03-24 | 杭州迪普科技股份有限公司 | 一种三角组网Loopback接口的检查方法及装置 |
| CN113709069A (zh) * | 2021-09-15 | 2021-11-26 | 锐捷网络股份有限公司 | 一种数据传输的无损切换方法及装置 |
| CN113965506A (zh) * | 2021-11-01 | 2022-01-21 | 南京熊猫汉达科技有限公司 | 一种网关备份方法和系统 |
| CN114978987A (zh) * | 2022-05-17 | 2022-08-30 | 北京交通大学 | 服务器冗余备份方法 |
| CN115499297A (zh) * | 2022-09-07 | 2022-12-20 | 北京国领科技有限公司 | 一种ipsec加密隧道无延迟热备份的方法 |
| CN115765939A (zh) * | 2022-12-12 | 2023-03-07 | 安徽皖通邮电股份有限公司 | 基于IPSec传输的冗余保护方法及存储介质 |
| WO2023070572A1 (en) * | 2021-10-29 | 2023-05-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Communication device and method therein for facilitating ipsec communications |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100499649C (zh) * | 2004-09-15 | 2009-06-10 | 华为技术有限公司 | 一种实现安全联盟备份和切换的方法 |
| CN100367715C (zh) * | 2004-09-30 | 2008-02-06 | 迈普(四川)通信技术有限公司 | 一种实现通信负载均衡的方法及网关、上端网关 |
-
2008
- 2008-12-31 CN CN200810187981XA patent/CN101442471B/zh not_active Expired - Fee Related
Cited By (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101931610B (zh) * | 2009-06-22 | 2013-08-14 | 华为技术有限公司 | 一种互联网协议安全链路保护方法和装置 |
| CN101662786B (zh) * | 2009-10-10 | 2012-07-11 | 杭州华三通信技术有限公司 | 一种Fit AP的网络位置确定方法和设备 |
| CN101917294B (zh) * | 2010-08-24 | 2012-03-14 | 杭州华三通信技术有限公司 | 主备切换时更新防重放参数的方法和设备 |
| CN101917294A (zh) * | 2010-08-24 | 2010-12-15 | 杭州华三通信技术有限公司 | 主备切换时更新防重放参数的方法和设备 |
| WO2013097523A1 (zh) * | 2011-12-31 | 2013-07-04 | 华为数字技术(成都)有限公司 | 一种因特网协议安全隧道切换方法、装置及传输系统 |
| CN102694808A (zh) * | 2012-05-31 | 2012-09-26 | 汉柏科技有限公司 | Ike远程接入的处理系统及方法 |
| CN102769526A (zh) * | 2012-07-27 | 2012-11-07 | 汉柏科技有限公司 | 新旧ipsec隧道切换的方法 |
| CN102769514A (zh) * | 2012-07-27 | 2012-11-07 | 汉柏科技有限公司 | 防止丢失数据的方法及系统 |
| CN102769514B (zh) * | 2012-07-27 | 2015-04-22 | 汉柏科技有限公司 | 防止丢失数据的方法及系统 |
| CN102891766A (zh) * | 2012-09-25 | 2013-01-23 | 汉柏科技有限公司 | 一种ipsec状态恢复方法 |
| CN102891766B (zh) * | 2012-09-25 | 2015-04-22 | 汉柏科技有限公司 | 一种ipsec状态恢复方法 |
| CN102946333B (zh) * | 2012-10-31 | 2015-12-02 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
| CN102946333A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
| CN103051636A (zh) * | 2012-12-31 | 2013-04-17 | 华为技术有限公司 | 一种数据报文的传输方法和设备 |
| CN103051636B (zh) * | 2012-12-31 | 2017-06-06 | 华为技术有限公司 | 一种数据报文的传输方法和设备 |
| CN103067956A (zh) * | 2013-01-22 | 2013-04-24 | 迈普通信技术股份有限公司 | 3G网络环境中IPSec隧道备份及切换方法和设备 |
| CN103067956B (zh) * | 2013-01-22 | 2015-07-29 | 迈普通信技术股份有限公司 | 3G网络环境中IPSec隧道备份及切换方法和设备 |
| CN103227777A (zh) * | 2013-03-26 | 2013-07-31 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
| CN103227777B (zh) * | 2013-03-26 | 2015-11-25 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
| CN103475655B (zh) * | 2013-09-06 | 2016-09-07 | 瑞斯康达科技发展股份有限公司 | 一种实现IPSecVPN主备链路动态切换的方法 |
| CN103475655A (zh) * | 2013-09-06 | 2013-12-25 | 瑞斯康达科技发展股份有限公司 | 一种实现IPSecVPN主备链路动态切换的方法 |
| CN104333554A (zh) * | 2014-11-12 | 2015-02-04 | 杭州华三通信技术有限公司 | 一种因特网协议安全安全联盟协商方法和装置 |
| CN104601430B (zh) * | 2014-12-30 | 2018-05-04 | 北京华为数字技术有限公司 | 一种隧道选择方法、设备及系统 |
| CN104601430A (zh) * | 2014-12-30 | 2015-05-06 | 北京华为数字技术有限公司 | 一种隧道选择方法、设备及系统 |
| CN105812322B (zh) * | 2014-12-30 | 2019-11-12 | 华为数字技术(苏州)有限公司 | 因特网安全协议安全联盟的建立方法及装置 |
| CN105812322A (zh) * | 2014-12-30 | 2016-07-27 | 华为数字技术(苏州)有限公司 | 因特网安全协议安全联盟的建立方法及装置 |
| CN106911548A (zh) * | 2017-02-24 | 2017-06-30 | 新华三技术有限公司 | 一种隧道状态切换方法及装置 |
| CN107733807A (zh) * | 2017-09-20 | 2018-02-23 | 新华三信息安全技术有限公司 | 一种报文防重放方法及装置 |
| CN107733807B (zh) * | 2017-09-20 | 2020-04-03 | 新华三信息安全技术有限公司 | 一种报文防重放方法及装置 |
| CN110912997A (zh) * | 2019-11-26 | 2020-03-24 | 杭州迪普科技股份有限公司 | 一种三角组网Loopback接口的检查方法及装置 |
| CN110912997B (zh) * | 2019-11-26 | 2022-07-29 | 杭州迪普科技股份有限公司 | 一种三角组网Loopback接口的检查方法及装置 |
| CN113709069A (zh) * | 2021-09-15 | 2021-11-26 | 锐捷网络股份有限公司 | 一种数据传输的无损切换方法及装置 |
| CN113709069B (zh) * | 2021-09-15 | 2024-04-19 | 锐捷网络股份有限公司 | 一种数据传输的无损切换方法及装置 |
| WO2023070572A1 (en) * | 2021-10-29 | 2023-05-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Communication device and method therein for facilitating ipsec communications |
| CN113965506A (zh) * | 2021-11-01 | 2022-01-21 | 南京熊猫汉达科技有限公司 | 一种网关备份方法和系统 |
| CN113965506B (zh) * | 2021-11-01 | 2023-02-28 | 南京熊猫汉达科技有限公司 | 一种网关备份方法和系统 |
| CN114978987B (zh) * | 2022-05-17 | 2023-08-29 | 北京交通大学 | 服务器冗余备份方法 |
| CN114978987A (zh) * | 2022-05-17 | 2022-08-30 | 北京交通大学 | 服务器冗余备份方法 |
| CN115499297A (zh) * | 2022-09-07 | 2022-12-20 | 北京国领科技有限公司 | 一种ipsec加密隧道无延迟热备份的方法 |
| CN115765939A (zh) * | 2022-12-12 | 2023-03-07 | 安徽皖通邮电股份有限公司 | 基于IPSec传输的冗余保护方法及存储介质 |
| CN115765939B (zh) * | 2022-12-12 | 2024-08-13 | 安徽皖通邮电股份有限公司 | 基于IPSec传输的冗余保护方法及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101442471B (zh) | 2012-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101442471B (zh) | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网系统 | |
| US11223514B2 (en) | Method and system of a dynamic high-availability mode based on current wide area network connectivity | |
| US11190491B1 (en) | Method and apparatus for maintaining a resilient VPN connection | |
| CN110800275B (zh) | Ipsec地理冗余的解耦控制和数据平面同步 | |
| CN101262409B (zh) | 虚拟私有网络vpn接入方法和装置 | |
| CN102546222B (zh) | 备份系统及故障检测处理方法 | |
| US7000121B2 (en) | Computer systems, in particular virtual private networks | |
| CN101465859B (zh) | 一种触发主备用接口板倒换的方法及装置 | |
| CN101917294B (zh) | 主备切换时更新防重放参数的方法和设备 | |
| CN102594646B (zh) | 一种因特网协议安全隧道切换方法、装置及传输系统 | |
| CN103236941A (zh) | 一种链路发现方法和装置 | |
| WO2008084389A2 (en) | Method and system for providing peer liveness for high speed environments | |
| CN108173911A (zh) | 一种微服务故障检测处理方法及装置 | |
| CN103200094A (zh) | 一种实现网关动态负载分配的方法 | |
| US20200236032A1 (en) | Blockchain Routing Protocols | |
| CN106487802B (zh) | 基于DPD协议的IPSec SA的异常探测方法及装置 | |
| CN101931610B (zh) | 一种互联网协议安全链路保护方法和装置 | |
| CN101753401A (zh) | 一种实现IPSec虚拟专用网隧道备份和负载的方法 | |
| CN100563263C (zh) | 在网络存储业务中实现系统高可用性的方法和系统 | |
| CN108366087A (zh) | 一种基于分布式文件系统的iscsi服务实现方法和装置 | |
| CN100499649C (zh) | 一种实现安全联盟备份和切换的方法 | |
| US20200236031A1 (en) | Blockchain Routing Protocols | |
| CN105207991A (zh) | 数据加密方法及系统 | |
| CN115333994A (zh) | 实现vpn路由快速收敛的方法、装置以及电子设备 | |
| CN107302600A (zh) | 一种分布式ftp服务的实现方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120418 Termination date: 20191231 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |