CN103166849B - IPSec VPN互联组网路由收敛的方法及路由设备 - Google Patents
IPSec VPN互联组网路由收敛的方法及路由设备 Download PDFInfo
- Publication number
- CN103166849B CN103166849B CN201310070796.3A CN201310070796A CN103166849B CN 103166849 B CN103166849 B CN 103166849B CN 201310070796 A CN201310070796 A CN 201310070796A CN 103166849 B CN103166849 B CN 103166849B
- Authority
- CN
- China
- Prior art keywords
- route
- access device
- vpn
- routing
- sync message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了IPSec?VPN互联组网路由收敛的方法,用于使用至少两台路由设备作为VPN接入设备的站点,该方法包括:任一VPN接入设备与对端VPN请求设备完成IPSec?VPN协商建立时,通过反向路由注入向本地路由表添加到对端VPN请求设备的路由信息,向预先同本设备建立了邻居关系且处于存活状态的同站点各VPN接入设备发送携带了所述路由信息的同步报文;任一VPN接入设备收到邻居发送的同步报文时,读取同步报文中的路由信息,若本地路由表中存在相同路由且该相同路由为IPSec反向路由注入生成,则删除本地路由表中的该条路由。本申请还公开了路由设备。本申请在发生VPN切换时可加快站点的路由收敛速度。
Description
技术领域
本申请涉及路由收敛技术领域,尤其涉及IPSecVPN互联组网路由收敛的方法及路由设备。
背景技术
IPsec(IPSecurity,IP安全)是Internet工程任务组IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层VPN(VirtualPrivateNetwork,虚拟专用网络)的安全技术。特定的通信方之间通过建立IPsec隧道来传输用户的私有数据。
IPsec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改,加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃听。
IPSecVPN由于其安全性和标准性的特点被越来越多的企业采用,作为VPN接入的常用方式,但是IPSec协议本身不支持传递路由信息,对于使用至少两台路由设备作为VPN接入设备的站点,比如总部与分支结构的IPSecVPN接入组网中,总部即为使用至少两台路由设备作为VPN接入设备的站点,如此组网时,常常需要借用其他技术传递路由信息,常用的一种技术为RRI(ReverseRouteInjection,反向路由注入),即当IPSecVPN建立成功后,自动将协商成功的加密数据流的目的地址和掩码作为一条路由注入到路由表中。企业为了提高可靠性,一般会在总部放置两台或者两台以上网络设备作为VPN接入网关设备,此种组网下,分支网络的接入客户端首先与总部用于VPN接入的主设备建立VPN,当所述接入客户端由于网络故障而再次与总部用于VPN接入的备份设备建立VPN时,所述总部主设备和备份设备上此时各存在一条到分支网络的等价路由,虽然可以使用对等体存活检测DPD技术完成路由收敛,但是会由于存在部分延迟而影响用户业务。
例如,常见的总部与分支结构的IPSecVPN互联组网如图1所示,分支路由器存在两条上行链路,分别连接不同的运营商,企业总部放置两台VPN接入设备与不同运营商连接。分支路由器正常情况下通过主链路与总部的主设备建立IPSecVPN隧道,主设备通过反向路由注入,将到分支网络的路由向总部网络发布;当分支主链路出现故障后,分支路由器进行链路切换,通过备份链路与总部的备份设备建立IPSecVPN隧道,同样备份设备通过反向路由注入将到分支网络的路由向总部网络发布,此时总部网络会存在两条到分支网络的等价路由,下一跳分别为主设备和备份设备。但是主设备的IPSecVPN隧道实际已经中断,从总部发往分支的流量如果经过主设备转发会造成丢包,影响实际业务。这种情况下可以在IPSecVPN中启用DPD技术,检测IPSecVPN的连通情况,当DPD检测超时时自动删除IPSecSA(SecurityAssociation,安全联盟)和反向注入的路由,完成路由收敛,达到路由更新的目的。
上述方案通过DPD检测IPSecVPN的连通情况,当DPD检测超时时再删除IPSecSA和反向注入的路由,但是DPD检测报文的时间周期一般为秒级,并且需要发送多个报文才能确认IPSecVPN是否连通,整个检测过程周期较长,导致总部网络的路由收敛时间较长,且检测过程中实际业务会中断,从而会影响实际业务。
因此,目前对于使用至少两台路由设备作为VPN接入设备的站点,存在如下问题:当发生VPN切换时,所述站点网络的路由收敛时间较长,影响了实际业务。
发明内容
有鉴于此,本申请提出一种IPSecVPN互联组网路由收敛的方法,当发生VPN切换时,可以加快站点路由信息的收敛速度。
本申请还提出一种路由设备,当发生VPN切换时,可以加快站点路由信息的收敛速度。
为达到上述目的,本申请实施例的技术方案是这样实现的:
一种IPSecVPN互联组网路由收敛的方法,应用于使用至少两台路由设备作为虚拟专用网络VPN接入设备的站点,该方法包括:
任一VPN接入设备与对端VPN请求设备完成IPSecVPN协商建立时,通过反向路由注入向本地路由表中添加到对端VPN请求设备的路由信息,向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文;
任一VPN接入设备接收到邻居发送的同步报文时,读取所述同步报文中的路由信息,如果本地路由表中存在相同的路由且所述相同路由为IP安全IPSec反向路由注入生成,则删除本地路由表中该条反向路由注入生成的路由。
一种路由设备,应用于使用至少两台所述路由设备作为虚拟专用网络VPN接入设备的站点,所述路由设备包括:路由添加模块、同步报文发送模块、同步报文读取模块和路由更新模块,其中:
路由添加模块,用于本设备与对端VPN请求设备完成IPSecVPN协商建立时,通过反向路由注入向本地路由表中添加到对端VPN请求设备的路由信息;
同步报文发送模块,用于向本地路由表中添加到对端VPN请求设备的路由信息的同时,向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文;
同步报文读取模块,用于接收到邻居发送的同步报文时,读取所述同步报文中的路由信息;
路由更新模块,用于当本地路由表中存在与所述同步报文中的路由相同的路由且所述本地路由表中相同的路由为IP安全IPSec反向路由注入生成时,删除本地路由表中该条反向路由注入生成的路由。
本申请的有益效果为,通过在站点使用的多个VPN接入设备之间同步IPSecSA反向注入生成的路由信息,使得当需要切换连接的站点VPN接入设备时,可以及时删除切换前对端VPN请求设备连接的VPN接入设备中IPSec反向路由注入生成的路由,以便于通知站点网络及时进行路由更新,此时站点网络中就只存在一条到对端VPN请求设备的路由,从而可以加快站点路由信息的收敛速度。
附图说明
图1为现有常见的总部与分支结构的IPSecVPN互联组网结构示意图;
图2为本申请实施例的方法流程图;
图3为本申请实施例的装置功能模块结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下通过具体实施例并参见附图,对本申请进行详细说明。
本申请提出一种IPSecVPN互联组网路由收敛的方法,应用于使用至少两台路由设备作为虚拟专用网络VPN接入设备的站点,任一VPN接入设备与对端VPN请求设备完成IPSecVPN协商建立时,通过反向路由注入向本地路由表中添加到对端VPN请求设备的路由信息,向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文;
任一VPN接入设备接收到邻居发送的同步报文时,读取所述同步报文中的路由信息,如果本地路由表中存在相同的路由且所述相同路由为IP安全IPSec反向路由注入生成,则删除本地路由表中该条反向路由注入生成的路由。
本申请方案中,对于使用至少两台路由设备作为VPN接入设备的站点,该站点的一VPN接入设备一般会接收到对端VPN设备的VPN请求,即对端VPN请求设备,该站点的VPN接入设备与对端VPN请求设备会完成IPSecVPN协商建立,如此组网的典型模式例如总部与分支结构的IPSecVPN接入组网,如图1所示,总部即为使用至少两台路由设备作为VPN接入设备的站点,分支路由器即为对端VPN请求设备,这里以总部使用两台VPN接入设备为例对本申请方案进行说明,分支路由器正常情况下通过主链路与总部VPN接入主设备建立IPSecVPN隧道,主设备通过反向路由注入向本地路由表中添加到分支网络的路由信息,将到分支网络的路由向总部网络发布;
当分支主链路出现故障后,分支路由器进行链路切换,通过备份链路与总部VPN接入备份设备建立IPSecVPN隧道,同样备份设备通过反向路由注入将到分支网络的路由向总部网络发布,且向主设备发送同步报文,主设备收到同步报文后,通过对所述同步报文中的路由信息与本地路由表中的路由信息进行比较判断,删除本地路由表中与所述同步报文中的路由相同、且由IPSec反向路由注入生成的路由,并通知总部网络及时进行路由更新,此时总部网络中就只存在一条到分支网络的路由,下一跳为备份设备。从而可以加快总部路由信息的收敛速度,收敛时间可达到毫秒级别。
本申请实施例的方法流程如图2所示,一种IPSecVPN互联组网路由收敛的方法,应用于使用至少两台路由设备作为虚拟专用网络VPN接入设备的站点,,该方法包括以下步骤:
步骤201:任一VPN接入设备与对端VPN请求设备完成IPSecVPN协商建立时,通过反向路由注入向本地路由表中添加到对端VPN请求设备的路由信息,向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文。
这里仍以总部与分支结构的IPSecVPN互联组网为例进行说明,典型的总部与分支结构的IPSecVPN互联组网如图1所示,总部即为使用两台或两台以上的VPN接入设备的站点,其中任一VPN接入设备与对端VPN请求设备(即分支路由器)完成IPSecVPN协商建立时,通过反向路由注入RRI向本地路由表中添加到对端VPN请求设备(即分支路由器)的路由信息,RRI属于现有技术,不多赘述。
为了在站点的各个VPN接入设备之间同步反向路由注入的路由,所述任一VPN接入设备与对端VPN请求设备完成IPSecVPN协商建立之前,每一VPN接入设备需要与同站点其它VPN接入设备建立邻居关系,并周期性检测各邻居的存活状态。
所述每一VPN接入设备与同站点其它VPN接入设备建立邻居关系,具体如下:
总部的所有VPN接入设备形成一个备份组,在其中的每一个VPN接入设备上预先配置VPN接入设备备份组内其它设备的IP地址,每一VPN接入设备读取预先在本设备上配置的其它VPN接入设备的IP地址,与所述其它VPN接入设备建立同步会话连接,当同步会话建立成功时,该VPN接入设备与其它VPN接入设备成功建立邻居关系。
所述同步会话连接可以基于传输控制协议TCP、用户数据包协议UDP、或者已有的动态路由协议建立,本申请实施例不做具体定义。总部VPN接入设备之间相互建立邻居关系。
所述周期性检测各邻居的存活状态,具体如下:
周期性向各邻居发送保活keepalive报文,每次向任一邻居发送keepalive报文后,若超时时间内收到该邻居的响应报文,则确认该邻居处于存活状态;若超时时间内没有收到该邻居设备的响应报文,则重复发送keepalive报文,当发送keepalive报文的次数达到预定次数时,删除与所述设备的邻居关系,重新建立与所述设备的邻居关系。
建立邻居关系以及检测邻居的存活状态均属于现有常用技术,此处不多赘述。
向邻居发送同步报文,是为了通知邻居协商成功的分支网络的路由信息,所述同步报文的格式可以对现有的动态路由协议报文进行扩展定义,也可以新定义。
新定义时,同步报文的格式如下表1所示:
| Op | Count | Origin | Prefix | Prefix-Length |
表1
表1中,同步报文的格式包括以下字段:
Op为操作类型,长度为1个字节,值为0表示同步(即更新),值为1表示确认;即,发送同步报文时,Op值为0,对接收到的同步报文进行响应而发送确认报文时,Op值为1;
Count为同步报文中包含的路由数量,长度为1个字节;
Origin为路由产生源,长度为1个字节,值为0表示IPSec反向注入;
Prefix为路由信息的前缀,长度为4个字节;
Prefix-Length为前缀长度,长度为1个字节。
或者,对现有的动态路由协议报文进行扩展定义时,同步报文的格式为在现有的动态路由协议报文中添加如下字段:路由产生源Origin、路由信息的前缀Prefix、前缀长度Prefix-Length;其中,路由产生源为IPSec反向注入。
步骤202:任一VPN接入设备接收到邻居发送的同步报文时,读取所述同步报文中的路由信息,如果本地路由表中存在相同的路由且所述相同路由为IP安全IPSec反向路由注入生成,则删除本地路由表中该条反向路由注入生成的路由。
所述任一VPN接入设备接收到邻居发送的同步报文之后,向所述邻居回复确认报文,以向所述邻居确认该VPN接入设备处于存活状态且接收到了同步报文。
步骤201中所述向预先同本设备建立了邻居关系且当前处于存活状态的各个VPN接入设备发送同步报文之后,正常情况下,各个邻居应当回复确认报文,但也有可能向某一VPN接入设备发送同步报文后,该VPN接入设备处于未存活状态,因此,为保证邻居之间可以正常同步信息,采取如下步骤:
步骤201中所述向预先同本设备建立了邻居关系且当前处于存活状态的各个VPN接入设备发送同步报文之后,如果在设定时间内没有收到邻居设备回复的确认报文,则向该邻居设备重复发送同步报文,当没有收到确认报文的次数达到预设的次数时,删除同该设备的邻居关系,停止向该设备发送同步报文,重新与该设备建立邻居关系。
所述读取所述同步报文中的路由信息,如果本地路由表中存在相同的路由(即目的地址与掩码相同的路由),且所述相同路由为IPSec反向路由注入生成,也就是说,本地路由表中存在相同IPSec反向路由注入生成的路由,此时,站点网络中会存在两条到对端VPN请求设备的等价路由,由于当前是接收到邻居发送的同步报文,说明当前是由所述邻居设备与对端VPN请求设备建立IPSecVPN隧道,因此,需要删除本地路由表中该条反向路由注入生成的路由,并通知站点网络进行路由更新。所述通知站点网络进行路由更新是通过通知本地路由管理模块进行路由更新处理实现的,本地路由管理模块会向站点网络发送路由更新报文。路由更新完成后,站点网络就会只存在一条到对端VPN请求设备的路由。
现有技术中的路由收敛速度一般为秒级,会对实际业务造成影响,而采用上述本申请实施例方案,当发生VPN切换时,可以极大提高站点网络路由信息的收敛速度,可以达到毫秒级别,降低对实际业务的影响。
所述读取所述同步报文中的路由信息之后,当本地路由表中不存在相同的路由时,结束处理。
所述当本地路由表中存在相同的路由之后,如果所述相同路由不是由IPSec反向路由注入生成,则结束处理。
为了节省系统资源,所述删除本地路由表中该条反向路由注入生成的路由之后,该条反向路由注入生成的路由已经被删除,此时,可以进一步将添加该条反向路由注入生成的路由的IPSecSA删除,向IPSecSA对端设备发送删除所述IPSecSA的消息,使所述对端设备也删除IPSecSA,以节约系统资源。
为了便于理解,下面参考图1对本申请的另一实施例方案进行举例说明:
如图1所示,总部即为使用至少两台路由设备作为VPN接入设备的站点,以总部使用两台VPN接入设备为例,总部VPN接入的主设备与备份设备之间预先建立邻居关系,并且彼此周期性检测对方的存活状态;
分支路由器正常情况下通过主链路与主设备建立IPSecVPN隧道,主设备与分支路由器完成IPSecVPN协商建立时,主设备通过反向路由注入向本地路由表中添加到分支网络的路由信息,将到分支网络的路由向总部网络发布(属于网络规划的内容),并且向预先同本设备建立了邻居关系且处于存活状态的备份设备发送同步报文,以通知备份设备协商成功的分支网络的路由信息;备份设备收到主设备发送的同步报文时,向主设备回复确认报文,读取所述同步报文中的路由信息,如果主设备与备份设备之间没有使用动态路由协议,则主设备预先没有将其收集的路由信息使用动态路由协议通知备份设备,备份设备本地路由表中不存在与所述同步报文中的路由相同的路由,结束处理;或者,如果主设备与备份设备之间有使用动态路由协议,则备份设备预先会接收到主设备使用所述动态路由协议通知的路由信息,备份设备本地路由表中就会存在与所述同步报文中的路由相同的路由,但所述相同路由是通过路由协议学习到而不是由IPSec反向路由注入生成的,也结束处理。
当分支主链路出现故障后,分支路由器进行链路切换,通过备份链路与总部VPN接入备份设备建立IPSecVPN隧道(如果总部使用的VPN接入设备多于两台,此时具体选择哪一台设备用于切换可以随机选择,也可以根据实际需要来规划),备份设备与分支路由器完成IPSecVPN协商建立时,同样通过反向路由注入向本地路由表中添加到分支网络的路由信息,将到分支网络的路由向总部网络发布,并且向预先同本设备建立了邻居关系且处于存活状态的主设备发送同步报文;
此时,主设备接收到备份设备发送的同步报文时,向备份设备回复确认报文,读取所述同步报文中的路由信息,发现本地路由表中存在相同的路由,进一步判断可知所述相同路由是由反向路由注入生成,因此,删除主设备本地路由表中该条反向路由注入生成的路由,通知路由管理模块进行更新处理,以对总部网络进行路由更新,即删除总部网络中该条反向路由注入生成的路由,从而使得总部网络中只存在一条到分支网络的路由,下一跳为备份设备。进一步地,可将添加该条反向路由注入生成的路由的IPSecSA删除,向IPSecSA对端设备发送删除所述IPSecSA的消息,以节省系统资源。
总部使用的VPN接入设备多于两台时,即存在至少两台备份设备时,进行链路切换后,选择哪一台备份设备进行切换,可以随机选择,也可以根据实际需要来进行规划,其余的步骤与上述处理流程是相同的。
采用本申请方案,站点网络的路由信息收敛时间可达到毫秒级别,从而可以极大加快站点路由信息的收敛速度,减少对实际业务的影响。
本申请实施例的装置功能模块结构示意图如图3所示,一种路由设备,应用于使用至少两台所述路由设备作为虚拟专用网络VPN接入设备的站点,所述路由设备包括:路由添加模块、同步报文发送模块、同步报文读取模块和路由更新模块,其中:
路由添加模块,用于本设备与对端VPN请求设备完成IPSecVPN协商建立时,通过反向路由注入向本地路由表中添加到对端VPN请求设备的路由信息;
同步报文发送模块,用于向本地路由表中添加到对端VPN请求设备的路由信息的同时,向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文;
同步报文读取模块,用于接收到邻居发送的同步报文时,读取所述同步报文中的路由信息;
路由更新模块,用于当本地路由表中存在与所述同步报文中的路由相同的路由且所述本地路由表中相同的路由为IP安全IPSec反向路由注入生成时,删除本地路由表中该条反向路由注入生成的路由。
较佳地,所述路由设备进一步包括:
邻居关系建立模块,用于与同站点其它VPN接入设备建立邻居关系;
邻居存活检测模块,用于周期性检测各邻居的存活状态。
进一步地,所述邻居关系建立模块,具体用于:
读取预先在本设备上配置的同站点其它VPN接入设备的IP地址,与所述其它VPN接入设备建立同步会话连接,当同步会话建立成功时,本设备与所述其它VPN接入设备成功建立邻居关系。
进一步地,所述邻居存活检测模块,具体用于:
周期性向各邻居发送保活keepalive报文,每次向任一邻居发送keepalive报文后,若超时时间内收到该邻居的响应报文,则确认该邻居处于存活状态;若超时时间内没有收到该邻居设备的响应报文,则重复发送keepalive报文,当发送keepalive报文的次数达到预定次数时,删除与所述设备的邻居关系,重新建立与所述设备的邻居关系。
较佳地,所述同步报文的格式包括以下字段:操作类型、同步报文中包含的路由数量、路由产生源、路由信息的前缀、前缀长度;
或者,
所述同步报文的格式为在现有的动态路由协议报文中添加如下字段:路由产生源、路由信息的前缀、前缀长度;
其中,路由产生源为IPSec反向注入。
较佳地,所述路由设备进一步包括:
确认报文处理模块,用于在所述接收到邻居发送的同步报文之后,向所述邻居回复确认报文;
所述同步报文发送模块,进一步用于:
在所述向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文之后,如果设定时间内没有收到邻居设备回复的确认报文,则向该邻居设备重复发送同步报文,当没有收到确认报文的次数达到预设的次数时,删除同该设备的邻居关系,停止向该设备发送同步报文,重新与该设备建立邻居关系。
较佳地,所述路由更新模块,还用于在所述读取所述同步报文中的路由信息之后,当本地路由表中不存在相同的路由时,结束处理;在所述当本地路由表中存在与所述同步报文中的路由相同的路由之后,如果所述本地路由表中相同的路由不是由IPSec反向路由注入生成,则结束处理。
较佳地,所述路由更新模块,还用于在所述删除本地路由表中该条反向路由注入生成的路由之后,将添加该条反向路由注入生成的路由的IPSecSA删除,向IPSecSA对端设备发送删除所述IPSecSA的消息。
对于使用至少两台路由设备作为VPN接入设备的站点,当发生VPN切换时,通过在所述站点使用的多个VPN接入设备之间同步IPSecSA反向注入的路由信息,可以达到加快站点路由信息收敛速度的目的。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种IPSecVPN互联组网路由收敛的方法,应用于使用至少两台路由设备作为虚拟专用网络VPN接入设备的站点,其特征在于,该方法包括:
任一VPN接入设备与对端VPN请求设备完成IPSecVPN协商建立时,通过反向路由注入向本地路由表中添加到对端VPN请求设备的路由信息,向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文;
任一VPN接入设备接收到邻居发送的同步报文时,读取所述同步报文中的路由信息,如果本地路由表中存在相同的路由且所述相同路由为IP安全IPSec反向路由注入生成,则删除本地路由表中该条反向路由注入生成的路由。
2.根据权利要求1所述的方法,其特征在于,所述任一VPN接入设备与对端VPN请求设备完成IPSecVPN协商建立之前,进一步包括:
每一VPN接入设备与同站点其它VPN接入设备建立邻居关系,周期性检测各邻居的存活状态。
3.根据权利要求2所述的方法,其特征在于,所述每一VPN接入设备与同站点其它VPN接入设备建立邻居关系,包括:
每一VPN接入设备读取预先在本设备上配置的同站点其它VPN接入设备的IP地址,与所述其它VPN接入设备建立同步会话连接,当同步会话建立成功时,该VPN接入设备与所述其它VPN接入设备成功建立邻居关系。
4.根据权利要求1所述的方法,其特征在于,所述任一VPN接入设备接收到邻居发送的同步报文之后,进一步包括:向所述邻居回复确认报文;
所述向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文之后,进一步包括:
如果设定时间内没有收到邻居设备回复的确认报文,则向该邻居设备重复发送同步报文,当没有收到确认报文的次数达到预设的次数时,删除同该接入设备的邻居关系,停止向该接入设备发送同步报文,重新与该接入设备建立邻居关系。
5.根据权利要求1所述的方法,其特征在于,所述读取所述同步报文中的路由信息之后,进一步包括:当本地路由表中不存在相同的路由时,结束处理;
所述当本地路由表中存在相同的路由之后,进一步包括:如果所述相同路由不是由IPSec反向路由注入生成,则结束处理。
6.根据权利要求1所述的方法,其特征在于,所述删除本地路由表中该条反向路由注入生成的路由之后,进一步包括:
将添加该条反向路由注入生成的路由的IPSecSA删除,向IPSecSA对端设备发送删除所述IPSecSA的消息。
7.一种路由设备,应用于使用至少两台所述路由设备作为虚拟专用网络VPN接入设备的站点,其特征在于,所述路由设备包括:路由添加模块、同步报文发送模块、同步报文读取模块和路由更新模块,其中:
路由添加模块,用于本设备与对端VPN请求设备完成IPSecVPN协商建立时,通过反向路由注入向本地路由表中添加到对端VPN请求设备的路由信息;
同步报文发送模块,用于向本地路由表中添加到对端VPN请求设备的路由信息的同时,向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文;
同步报文读取模块,用于接收到邻居发送的同步报文时,读取所述同步报文中的路由信息;
路由更新模块,用于当本地路由表中存在与所述同步报文中的路由相同的路由且所述本地路由表中相同的路由为IP安全IPSec反向路由注入生成时,删除本地路由表中该条反向路由注入生成的路由。
8.根据权利要求7所述的路由设备,其特征在于,所述路由设备进一步包括:
邻居关系建立模块,用于与同站点其它的VPN接入设备建立邻居关系;
邻居存活检测模块,用于周期性检测各邻居的存活状态。
9.根据权利要求8所述的路由设备,其特征在于,所述邻居关系建立模块,具体用于:
读取预先在本设备上配置的同站点其它VPN接入设备的IP地址,与所述其它VPN接入设备建立同步会话连接,当同步会话建立成功时,本设备与其它VPN接入设备成功建立邻居关系。
10.根据权利要求7所述的路由设备,其特征在于,所述路由设备进一步包括:
确认报文处理模块,用于在所述接收到邻居发送的同步报文之后,向所述邻居回复确认报文;
所述同步报文发送模块,进一步用于:
在所述向预先同本设备建立了邻居关系且处于存活状态的同站点各个VPN接入设备发送携带了所述路由信息的同步报文之后,如果设定时间内没有收到邻居设备回复的确认报文,则向该邻居设备重复发送同步报文,当没有收到确认报文的次数达到预设的次数时,删除同该接入设备的邻居关系,停止向该接入设备发送同步报文,重新与该接入设备建立邻居关系。
11.根据权利要求7所述的路由设备,其特征在于,
所述路由更新模块,还用于在所述读取所述同步报文中的路由信息之后,当本地路由表中不存在相同的路由时,结束处理;在所述当本地路由表中存在与所述同步报文中的路由相同的路由之后,如果所述本地路由表中相同的路由不是由IPSec反向路由注入生成,则结束处理。
12.根据权利要求7所述的路由设备,其特征在于,
所述路由更新模块,还用于在所述删除本地路由表中该条反向路由注入生成的路由之后,将添加该条反向路由注入生成的路由的IPSecSA删除,向IPSecSA对端设备发送删除所述IPSecSA的消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310070796.3A CN103166849B (zh) | 2013-03-06 | 2013-03-06 | IPSec VPN互联组网路由收敛的方法及路由设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310070796.3A CN103166849B (zh) | 2013-03-06 | 2013-03-06 | IPSec VPN互联组网路由收敛的方法及路由设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103166849A CN103166849A (zh) | 2013-06-19 |
| CN103166849B true CN103166849B (zh) | 2016-02-17 |
Family
ID=48589600
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310070796.3A Active CN103166849B (zh) | 2013-03-06 | 2013-03-06 | IPSec VPN互联组网路由收敛的方法及路由设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103166849B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104869066A (zh) * | 2014-02-21 | 2015-08-26 | 中兴通讯股份有限公司 | 一种动态更新连接的方法和装置 |
| CN104283720A (zh) * | 2014-10-29 | 2015-01-14 | 迈普通信技术股份有限公司 | 一种应用于移动互联网的拨号方法、系统及用户设备 |
| CN104580258B (zh) * | 2015-02-03 | 2018-08-24 | 迈普通信技术股份有限公司 | 一种快速检测IPSec对等体失效的方法及系统 |
| CN105635295B (zh) * | 2016-01-08 | 2019-04-09 | 成都卫士通信息产业股份有限公司 | 一种IPSec VPN高性能数据同步方法 |
| CN106059932B (zh) * | 2016-08-08 | 2020-12-11 | 新华三技术有限公司 | 一种路由表项生成方法及装置 |
| CN106878051B (zh) * | 2016-12-16 | 2020-10-09 | 新华三技术有限公司 | 一种多机备份实现方法及装置 |
| CN110611620B (zh) * | 2019-09-29 | 2021-11-05 | 新华三信息安全技术有限公司 | 一种链路更新方法及装置 |
| CN115190061A (zh) * | 2020-06-04 | 2022-10-14 | 华为技术有限公司 | 处理路由报文的方法、通信设备、存储介质及系统 |
| CN113794684B (zh) * | 2021-08-10 | 2023-07-18 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080084880A1 (en) * | 2006-10-10 | 2008-04-10 | Pranav Dharwadkar | Two-level load-balancing of network traffic over an MPLS network |
| US20080084881A1 (en) * | 2006-10-10 | 2008-04-10 | Pranav Dharwadkar | Techniques for virtual private network fast convergence |
| US7689722B1 (en) * | 2002-10-07 | 2010-03-30 | Cisco Technology, Inc. | Methods and apparatus for virtual private network fault tolerance |
| CN102075360A (zh) * | 2011-01-19 | 2011-05-25 | 中国人民解放军信息工程大学 | 基于聚合等价类的网络故障分布式处理方法 |
| CN102185712A (zh) * | 2011-04-29 | 2011-09-14 | 中兴通讯股份有限公司 | Vpls网络和以太环网的倒换方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8547874B2 (en) * | 2005-06-30 | 2013-10-01 | Cisco Technology, Inc. | Method and system for learning network information |
| CN1889579B (zh) * | 2006-08-03 | 2011-11-16 | 杭州华三通信技术有限公司 | 提高路由信息协议路由收敛速度的方法及装置 |
| US7944854B2 (en) * | 2008-01-04 | 2011-05-17 | Cisco Technology, Inc. | IP security within multi-topology routing |
-
2013
- 2013-03-06 CN CN201310070796.3A patent/CN103166849B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7689722B1 (en) * | 2002-10-07 | 2010-03-30 | Cisco Technology, Inc. | Methods and apparatus for virtual private network fault tolerance |
| US20080084880A1 (en) * | 2006-10-10 | 2008-04-10 | Pranav Dharwadkar | Two-level load-balancing of network traffic over an MPLS network |
| US20080084881A1 (en) * | 2006-10-10 | 2008-04-10 | Pranav Dharwadkar | Techniques for virtual private network fast convergence |
| CN102075360A (zh) * | 2011-01-19 | 2011-05-25 | 中国人民解放军信息工程大学 | 基于聚合等价类的网络故障分布式处理方法 |
| CN102185712A (zh) * | 2011-04-29 | 2011-09-14 | 中兴通讯股份有限公司 | Vpls网络和以太环网的倒换方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103166849A (zh) | 2013-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103166849B (zh) | IPSec VPN互联组网路由收敛的方法及路由设备 | |
| CN102812671B (zh) | 用于进行diameter消息处理器间路由的方法、系统和计算机可读介质 | |
| CN103475655B (zh) | 一种实现IPSecVPN主备链路动态切换的方法 | |
| CN103685467A (zh) | 一种物联网互联互通平台及其通信方法 | |
| CN101515859B (zh) | 一种因特网协议安全隧道传输组播的方法及设备 | |
| CN101599968B (zh) | 可靠匿名传输方法及系统 | |
| CN104023022B (zh) | 一种IPSec SA的获取方法和装置 | |
| CN102546428A (zh) | 基于DHCPv6侦听的IPv6报文交换系统及方法 | |
| US7539191B1 (en) | System and method for securing route processors against attack | |
| CN108141743B (zh) | 处置通信交换的方法、网络、装备、系统、介质和装置 | |
| CN113726795B (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
| CN109698791A (zh) | 一种基于动态路径的匿名接入方法 | |
| CN107360154A (zh) | 一种内网安全接入方法及系统 | |
| CN112822103B (zh) | 一种信息上报方法和信息处理方法及设备 | |
| CN102437966A (zh) | 基于二层dhcp snooping三层交换系统及方法 | |
| Zhou et al. | Dos vulnerability verification of ipsec vpn | |
| CN110024432B (zh) | 一种x2业务传输方法及网络设备 | |
| CN104580258B (zh) | 一种快速检测IPSec对等体失效的方法及系统 | |
| CN102917081A (zh) | Vpn客户端ip地址的分配方法、报文传输方法及vpn服务器 | |
| US9614720B2 (en) | Notification technique for network reconfiguration | |
| CN107135226B (zh) | 基于socks5的传输层代理通信方法 | |
| CN115733683A (zh) | 采用量子密钥分发的以太链路自组织加密隧道实现方法 | |
| EP3364624A1 (en) | A method of distributing a sub-flow associated with a session and a network apparatus | |
| CN101567886B (zh) | 表项安全管理方法及设备 | |
| CN111866865B (zh) | 一种数据传输方法、5g专网建立方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |