CN112104511B - 一种基于单臂部署的vpn网关无感知切换方法及装置 - Google Patents

一种基于单臂部署的vpn网关无感知切换方法及装置 Download PDF

Info

Publication number
CN112104511B
CN112104511B CN202011185446.8A CN202011185446A CN112104511B CN 112104511 B CN112104511 B CN 112104511B CN 202011185446 A CN202011185446 A CN 202011185446A CN 112104511 B CN112104511 B CN 112104511B
Authority
CN
China
Prior art keywords
vpn gateway
network
vpn
packet
intranet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011185446.8A
Other languages
English (en)
Other versions
CN112104511A (zh
Inventor
张胜
张云
李明柱
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xinlian Technology Nanjing Co ltd
Original Assignee
Xinlian Technology Nanjing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xinlian Technology Nanjing Co ltd filed Critical Xinlian Technology Nanjing Co ltd
Priority to CN202011185446.8A priority Critical patent/CN112104511B/zh
Publication of CN112104511A publication Critical patent/CN112104511A/zh
Application granted granted Critical
Publication of CN112104511B publication Critical patent/CN112104511B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于单臂部署的VPN网关无感知切换方法及装置,针对内外网之间单臂接入的VPN网关,设计采用欺骗包的方式,向内网各个终端进行广播、以及向路由器进行发送,使得内网各个终端的缺省路由、以及路由器向内网方向的路由均指向VPN网关,实现了内网与外网之间的VPN通讯,并且在VPN通讯出现故障情况下,结合欺骗包中内外网路由信息的生命时长,实现内网各终端缺省路由的恢复、以及路由器中向内网方向路由地址的恢复,获得VPN通讯向普通通讯的快速、自动切换,省去了大量人工操作,提高了数据传输的稳定性,能够有效提高VPN实际应用效率,保障通讯稳定性。

Description

一种基于单臂部署的VPN网关无感知切换方法及装置
技术领域
本发明涉及一种基于单臂部署的VPN网关无感知切换方法及装置,属于VPN应用技术领域。
背景技术
VPN网关通过特殊加密的通讯协议连接在Internet上,针对不同地理位置的两个或多个企业内部网,建立一条专用的通讯线路。VPN网关提供用户接入控制和数据传输的加/解密功能,保障用户数据的机密性和完整性,在企业网络中有广泛应用。
VPN满足了企业对网络的灵活性、安全性、经济性、扩展性等多方面要求,赢得了越来越多的的青睐,随着企业不同区域的划分、办公区域和移动办公人员迅速扩展,VPN网关的使用量越来越大。然而,当前VPN网关的部署方式大都是串接在网络链路上,这无形中给网络带来了一个单点故障隐患。同时,当VPN网关出现故障时,需要将对端VPN网关也同时Bypass,才能恢复网络的正常访问。这些工作需要维护人员进行干预,在可用性要求很高网络环境中(如电力调度网络、轨交信号网络),这会带来应用上的隐患。
现有技术中,VPN网关常见的部署方式有三种:网桥模式、网关模式和单臂模式;“网桥模式”又称为“透明模式”,是指VPN网关接入在防火墙(路由器)与内网之间,透明转发除VPN报文之外所有数据的一种连接方式。
“网关模式”又称为“路由模式”,是指VPN网关内外网接口路由不同,网关本身要作为路由器或NAT转换设备,实现路由转发以及对内提供上网和对外提供服务等工作。一般用于新建的网络中或者用户准备用VPN网关替代原有路由器/防火墙的地方。
“单臂模式”指的是VPN网关只接一个口到内网交换机中,另外一个口不接线,即把VPN网关当作一台服务器或主机,专门处理VPN报文的加解密。单臂模式只需要接LAN口,通常一根网线旁路接在交换机或者防火墙下,前置出口设备给VPN做端口映射,实现外网用户接入,这种部署模式对客户网络改动较小,应用场景比较广泛。
“网桥模式”和“网关模式”都是将VPN网关串接在网络链路上,这会给网络带来了一个单点故障隐患。同时,当VPN网关出现硬件故障时,需要维护人员手工进行Bypass处置,即把VPN网关从网络链路上下架,这会给可用性带来一定的影响。
“单臂模式”没有单点故障的问题,但进行单臂模式部署时,需要修改内外网的路由。即首先需要将内网所有设备的默认路由修改为VPN网关的地址,同时还需要将外网回包的路由指向为VPN网关。因此,当VPN网关出现故障时,虽然不需要手工把VPN网关从网络链路上下架,但需要修改内外网的默认路由。如内网设备较多,这会给维护人员带来较大的工作量,同时该操作耗时过长也会影响可用性。
发明内容
本发明所要解决的技术问题是提供一种基于单臂部署的VPN网关无感知切换方法,针对内外网之间单臂接入的VPN网关,设计全新内外网路由切换控制,能够有效提高VPN实际应用效率,保障通讯稳定性。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种基于单臂部署的VPN网关无感知切换方法,针对内网依次经交换机、路由器连接外网的场景,基于VPN网关连接于交换机上对接内网的端口,VPN网关无感知切换方法包括VPN网络连接控制方法,如下步骤A1至步骤A3:
步骤A1.VPN网关根据其网络地址,配置其所对应的内外网路由信息,然后进入步骤A2;
步骤A2.VPN网关根据内外网路由信息,构建欺骗包,并设定其中内外网路由信息的生命时长t1,然后进入步骤A3;
步骤A3.按预设时长间隔t2,周期执行如下步骤A3-1至步骤A3-3;
步骤A3-1.VPN网关向内网广播发送欺骗包,同时,VPN网关经交换机向路由器发送该欺骗包,然后进入步骤A3-2;
步骤A3-2.内网中各个终端分别根据所接收欺骗包中的内外网路由信息,更新其缺省路由为VPN网关的网络地址;
同时,路由器根据所接收欺骗包中的内外网路由信息,更新其向内网方向的路由地址为VPN网关的网络地址,然后进入步骤A3-3;
步骤A3-3.内网与外网之间经过VPN网关实现彼此之间的数据传输;
VPN网关无感知切换方法还包括VPN网关故障切换方法,当VPN网关出现故障、或者该VPN网关检测到其对端VPN网关出现故障时,执行如下步骤B1至步骤B3;
步骤B1.VPN网关停止向内网广播发送欺骗包,同时,VPN网关停止经交换机向路由器发送该欺骗包,然后进入步骤B2;
步骤B2.内网中各个终端的缺省路由分别在经过生命时长t1后,其缺省路由恢复为原有缺省路由;同时,路由器中向内网方向的路由地址在经过生命时长t1后,其向内网方向的路由地址恢复为原有路由地址;然后进入步骤B3;
步骤B3.内网与外网之间经过交换机、路由器实现彼此之间的数据传输。
作为本发明的一种优选技术方案:所述VPN网关故障切换方法中,当VPN网关通过心跳检测方法检测到其对端VPN网关出现故障时,执行所述步骤B1至步骤B3。
作为本发明的一种优选技术方案:所述t1、t2均小于内网中各终端缺省路由生命时长的最小值。
作为本发明的一种优选技术方案:所述t2≤t1
作为本发明的一种优选技术方案:所述步骤A3-3中,在内网与外网之间经过VPN网关实现彼此之间数据传输的过程中,VPN网关针对内网流向外网的数据进行加密处理、以及VPN网关针对外网流向内网的数据进行解密处理。
作为本发明的一种优选技术方案:基于TCP/IP协议的网络环境,实现内网依次经交换机、路由器连接外网,并且所述欺骗包为ARP欺骗包。
与上述相对应,本发明还要解决的技术问题是提供一种基于单臂部署的VPN网关无感知切换方法的装置,针对内外网之间单臂接入的VPN网关,进行模块化结构设计,用于实现所设计的VPN网关无感知切换方法,能够有效提高VPN实际应用效率,保障通讯稳定性。
本发明为了解决上述技术问题采用以下技术方案:本发明设计了一种基于单臂部署的VPN网关无感知切换方法的装置,包括设置于所述VPN网关中的单臂部署切换装置,单臂部署切换装置包括内外网路由配置模块、欺骗包构造模块、欺骗包发送间隔设置模块和欺骗包发送模块;
其中,内外网路由配置模块,用于根据VPN网关的网络地址,配置相应的内外网路由信息;
欺骗包构造模块,用于根据内外网路由信息,构建欺骗包,并设定其中内外网路由信息的生命时长t1
欺骗包发送间隔设置模块,用于针对依次所发送的欺骗包,设置相邻欺骗包之间的时长间隔t2
欺骗包发送模块,用于按相邻欺骗包之间的时长间隔t2,向内网广播发送欺骗包,同时,经交换机向路由器发送该欺骗包。
作为本发明的一种优选技术方案:还包括设置于所述单臂部署切换装置中的心跳检测时长间隔模块、心跳状态检测模块和欺骗功能启停设置模块;
其中,心跳检测时长间隔模块,用于针对彼此对应VPN网关之间的心跳检测操作,设置VPN网关向其对端VPN网关发送心跳检测包的相邻时长间隔;
心跳状态检测模块,用于针对彼此对应VPN网关之间的心跳检测操作,根据发送心跳检测包的相邻时长间隔,实现VPN网关VPN网关向其对端VPN网关发送心跳检测包;
欺骗功能启停设置模块,用于控制所述欺骗包的发送或停止发送。
作为本发明的一种优选技术方案:还包括设置于所述单臂部署切换装置中的操作日志模块,用于记录单臂部署切换装置中各模块的操作日志。
本发明所述一种基于单臂部署的VPN网关无感知切换方法及装置,采用以上技术方案与现有技术相比,具有以下技术效果:
本发明所设计基于单臂部署的VPN网关无感知切换方法,针对内外网之间单臂接入的VPN网关,设计采用欺骗包的方式,向内网各个终端进行广播、以及向路由器进行发送,使得内网各个终端的缺省路由、以及路由器向内网方向的路由均指向VPN网关,实现了内网与外网之间的VPN通讯,并且在VPN通讯出现故障情况下,结合欺骗包中内外网路由信息的生命时长,实现内网各终端缺省路由的恢复、以及路由器中向内网方向路由地址的恢复,获得VPN通讯向普通通讯的快速、自动切换,省去了大量人工操作,提高了数据传输的稳定性;同时本发明还设计了针对VPN网关无感知切换方法的装置,通过模块化结构设计,用于实现所设计的VPN网关无感知切换方法,能够有效提高VPN实际应用效率,保障通讯稳定性。
附图说明
图1是本发明所设计基于单臂部署的VPN网关无感知切换方法中VPN网络连接控制方法的应用示意图;
图2是本发明所设计基于单臂部署的VPN网关无感知切换方法中VPN网关故障切换方法的应用示意图;
图3是本发明所设计基于单臂部署的VPN网关无感知切换方法的装置结构示意图。
具体实施方式
下面结合说明书附图对本发明的具体实施方式作进一步详细的说明。
本发明提出一种设计基于单臂部署的VPN网关无感知切换方法及装置,来实现VPN网关的安全、快捷部署,以及故障时的无感知、无干预切换。首先VPN网关旁路到交换机网口上,通过ARP欺骗,来自动修改VPN网关内外网的缺省路由,使得内外网的网络数据流量都流经VPN网关,从而可以进行网络数据的加解密处理。当VPN网关出现故障时,就会停止发送ARP欺骗包,内外网的缺省路由将很快自动恢复成原来的路由信息。同时,一对VPN网关之间,通过心跳线来互相检测对方的存活状态,一旦检测到对端VPN网关出现故障,将停止自己的ARP欺骗。这一对VPN网关将在很短时间,自动将路由都恢复成原有路由。此时,所有网络通信数据将不再经过VPN网关,网络数据不再进行加解密处理,但网络的连通性得到了保障。当VPN网关故障排除后,ARP欺骗功能生效,通过发送ARP欺骗包,自动接入网络并使内外网网络数据流量都流经VPN网关,从而恢复正常的网络数据加解密处理功能。
实际应用当中,本发明所设计基于单臂部署的VPN网关无感知切换方法,具体针对内网依次经交换机、路由器连接外网的TCP/IP协议网络环境,基于VPN网关连接于交换机上对接内网的端口,执行所设计VPN网关无感知切换方法中的VPN网络连接控制方法,如图1所示,执行如下步骤A1至步骤A3。
步骤A1.VPN网关根据其网络地址,配置其所对应的内外网路由信息,然后进入步骤A2。
步骤A2.VPN网关根据内外网路由信息,构建ARP欺骗包,并设定其中内外网路由信息的生命时长t1,然后进入步骤A3,其中,t1小于内网中各终端缺省路由生命时长的最小值。
步骤A3.按预设时长间隔t2,周期执行如下步骤A3-1至步骤A3-3,其中,t2小于内网中各终端缺省路由生命时长的最小值,并且设计t2≤t1
步骤A3-1.VPN网关向内网广播发送ARP欺骗包,同时,VPN网关经交换机向路由器发送该ARP欺骗包,然后进入步骤A3-2。
步骤A3-2.内网中各个终端分别根据所接收ARP欺骗包中的内外网路由信息,更新其缺省路由为VPN网关的网络地址,使得内网中各个终端更新各自的缺省路由,均指向到VPN网关;同时,路由器根据所接收ARP欺骗包中的内外网路由信息,更新其向内网方向的路由地址为VPN网关的网络地址,使得路由器到内网中各个终端的路由,都指向到VPN网关;然后进入步骤A3-3。
由于内网中各个终端的缺省路由已经被更新为指向VPN网关,因此内网中各个终端向外发送的网络数据,首先会被发送到VPN网关上。
步骤A3-3.内网与外网之间经过VPN网关实现彼此之间的数据传输,此过程中,VPN网关根据设置的安全策略,针对内网流向外网的数据进行加密处理,将加密后的网络数据发送给网络边界的路由器,最后路由器将数据发到外网;并且对于路由器接收从外网返回的网络数据,由于路由器到内网中各个终端的路由,都被更新为指向到VPN网关,因此路由器将从外网返回的数据转发给VPN网关,VPN网关对其中的加密数据进行解密处理,然后VPN网关将接收到的所有数据返回给内网相应终端,至此,VPN网关单臂模式部署成功,可以实现对网络数据的加解密安全防护功能。
与上述VPN网络连接控制方法相对应,当VPN网关出现故障、或者该VPN网关通过心跳检测方法检测到其对端VPN网关出现故障时,执行所设计VPN网关无感知切换方法中的VPN网关故障切换方法,如图2所示,具体执行如下步骤B1至步骤B3。
步骤B1.VPN网关停止向内网广播发送ARP欺骗包,同时,VPN网关停止经交换机向路由器发送该ARP欺骗包,然后进入步骤B2。
步骤B2.基于ARP欺骗包中内外网路由信息的生命时长t1,内网中各个终端的缺省路由分别在经过生命时长t1后,其缺省路由恢复为原有缺省路由;同时,路由器中向内网方向的路由地址在经过生命时长t1后,其向内网方向的路由地址恢复为原有路由地址;然后进入步骤B3。
步骤B3.内网与外网之间经过交换机、路由器实现彼此之间的数据传输,此过程中,内网中各终端外发的网络数据直接转发到路由器,不再经过VPN网关,也不会进行加密处理,同时,路由器接收从外网返回的网络数据,将直接返回给内网相应终端,不再转发到VPN网关。至此,VPN网关故障后切换到不加密状态成功,此时所有进出的通信数据都不经过VPN网关,所有通信数据不再进行加解密处理,保持网络的联通;整个切换过程不需要维护人员进行干预,整个过程无感知。
实际应用当中,如VPN网关的故障经过解决,恢复正常的功能后。此时,单臂部署及无感知切换装置也恢复功能,VPN网关会重新发起ARP欺骗,重复步骤A1至步骤A3,VPN网关将无干预、无感知接入到网络,恢复加解密功能。
同时,对端的VPN网关也会通过心跳状态检测功能,检测到故障恢复后,也会将自己的单臂部署及无感知切换装置功能恢复,重新发起ARP欺骗,重复步骤A1至步骤A3,对端VPN网关将无干预、无感知接入到网络,也恢复加解密功能。
至此,本VPN网关和对端VPN网关都恢复加解密功能,整个过程无需运维人员进行干预。
因此,本发明提供的基于单臂部署的VPN网关无感知切换方法,针对内外网之间单臂接入的VPN网关,设计采用欺骗包的方式,向内网各个终端进行广播、以及向路由器进行发送,使得内网各个终端的缺省路由、以及路由器向内网方向的路由均指向VPN网关,实现了内网与外网之间的VPN通讯,并且在VPN通讯出现故障情况下,结合欺骗包中内外网路由信息的生命时长,实现内网各终端缺省路由的恢复、以及路由器中向内网方向路由地址的恢复,获得VPN通讯向普通通讯的快速、自动切换,省去了大量人工操作,提高了数据传输的稳定性。
实际应用中,可以很好的解决VPN网关当前部署时存在的不安全、部署不便捷、故障处置麻烦等诸多问题,可以安全、方便地实现VPN网关的单臂部署。同时,在VPN网关故障时,可以无感知、无干预地切换成网络链路通信数据非加密方式。而在VPN网关恢复功能后,也可以实现无感知、无干预地切换成网络链路通信数据加密方式。
与上述相对应,本发明还要解决的技术问题是提供一种基于单臂部署的VPN网关无感知切换方法的装置,实际应用当中你,包括设置于所述VPN网关中的单臂部署切换装置,如图3所示,单臂部署切换装置包括内外网路由配置模块、欺骗包构造模块、欺骗包发送间隔设置模块、欺骗包发送模块、心跳检测时长间隔模块、心跳状态检测模块、欺骗功能启停设置模块和操作日志模块。
对应于上述方法设计,内外网路由配置模块,用于根据VPN网关的网络地址,配置相应的内外网路由信息。
欺骗包构造模块,用于根据内外网路由信息,构建欺骗包,并设定其中内外网路由信息的生命时长t1
欺骗包发送间隔设置模块,用于针对依次所发送的欺骗包,设置相邻欺骗包之间的时长间隔t2
欺骗包发送模块,用于按相邻欺骗包之间的时长间隔t2,向内网广播发送欺骗包,同时,经交换机向路由器发送该欺骗包。
心跳检测时长间隔模块,用于针对彼此对应VPN网关之间的心跳检测操作,设置VPN网关向其对端VPN网关发送心跳检测包的相邻时长间隔。
心跳状态检测模块,用于针对彼此对应VPN网关之间的心跳检测操作,根据发送心跳检测包的相邻时长间隔,实现VPN网关VPN网关向其对端VPN网关发送心跳检测包。
欺骗功能启停设置模块,用于控制所述欺骗包的发送或停止发送。
操作日志模块,用于记录单臂部署切换装置中各模块的操作日志。
如此通过模块化的VPN网关设计,即可在实际应用中,实现VPN网络连接控制方法与VPN网关故障切换方法的执行。
本发明提出基于单臂部署的VPN网关无感知切换方法及装置,通过ARP欺骗自动修改路由的方式,可以快速实现VPN网关单臂模式的部署,部署过程无需维护人员去修改其他设备的路由及配置信息。
在VPN网关出现故障时,就会停止发送ARP欺骗包,基于ARP欺骗包中内外网路由信息的生命时长t1,内外网的缺省路由将很快自动恢复成原来的路由信息。同时,通过心跳线来互相检测对端VPN网关的存活状态,一旦检测到对端VPN网关出现故障,将同时停止ARP欺骗,从而可以自动恢复成原有路由。此时,所有网络通信数据将不再经过VPN网关,网络数据不再进行加解密处理,但网络的连通性得到了保障。
本发明提出基于单臂部署的VPN网关无感知切换方法及装置,在当VPN网关故障排除后,ARP欺骗功能恢复生效,通过发送ARP欺骗包,自动接入网络并使内外网网络数据流量都流经VPN网关,从而恢复正常的网络数据加解密处理功能。
因此,本发明提供的方法与装置,可以很好的解决VPN网关当前部署时存在的不安全、部署不便捷、故障处置麻烦等诸多问题,可以安全、方便地实现VPN网关的单臂部署。同时,在VPN网关故障时,可以无感知、无干预地切换成网络链路通信数据非加密方式。而在VPN网关恢复功能后,也可以实现无感知、无干预地切换成网络链路通信数据加密方式。
上面结合附图对本发明的实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。

Claims (9)

1.一种基于单臂部署的VPN网关无感知切换方法,其特征在于:针对内网依次经交换机、路由器连接外网的场景,基于VPN网关连接于交换机上对接内网的端口,VPN网关无感知切换方法包括VPN网络连接控制方法,如下步骤A1至步骤A3:
步骤A1.VPN网关根据其网络地址,配置其所对应的内外网路由信息,然后进入步骤A2;
步骤A2.VPN网关根据内外网路由信息,构建欺骗包,并设定其中内外网路由信息的生命时长t1,然后进入步骤A3;
步骤A3.按预设时长间隔t2,周期执行如下步骤A3-1至步骤A3-3;
步骤A3-1.VPN网关向内网广播发送欺骗包,同时,VPN网关经交换机向路由器发送该欺骗包,然后进入步骤A3-2;
步骤A3-2.内网中各个终端分别根据所接收欺骗包中的内外网路由信息,更新其缺省路由为VPN网关的网络地址;
同时,路由器根据所接收欺骗包中的内外网路由信息,更新其向内网方向的路由地址为VPN网关的网络地址,然后进入步骤A3-3;
步骤A3-3.内网与外网之间经过VPN网关实现彼此之间的数据传输;
VPN网关无感知切换方法还包括VPN网关故障切换方法,当VPN网关出现故障、或者该VPN网关检测到其对端VPN网关出现故障时,执行如下步骤B1至步骤B3;
步骤B1.VPN网关停止向内网广播发送欺骗包,同时,VPN网关停止经交换机向路由器发送该欺骗包,然后进入步骤B2;
步骤B2.内网中各个终端的缺省路由分别在经过生命时长t1后,其缺省路由恢复为原有缺省路由;同时,路由器中向内网方向的路由地址在经过生命时长t1后,其向内网方向的路由地址恢复为原有路由地址;然后进入步骤B3;
步骤B3.内网与外网之间经过交换机、路由器实现彼此之间的数据传输。
2.根据权利要求1所述一种基于单臂部署的VPN网关无感知切换方法,其特征在于:所述VPN网关故障切换方法中,当VPN网关通过心跳检测方法检测到其对端VPN网关出现故障时,执行所述步骤B1至步骤B3。
3.根据权利要求1至2中任意一项所述一种基于单臂部署的VPN网关无感知切换方法,其特征在于:所述t1、t2均小于内网中各终端缺省路由生命时长的最小值。
4.根据权利要求3所述一种基于单臂部署的VPN网关无感知切换方法,其特征在于:所述t2≤t1
5.根据权利要求4所述一种基于单臂部署的VPN网关无感知切换方法,其特征在于:所述步骤A3-3中,在内网与外网之间经过VPN网关实现彼此之间数据传输的过程中,VPN网关针对内网流向外网的数据进行加密处理、以及VPN网关针对外网流向内网的数据进行解密处理。
6.根据权利要求5所述一种基于单臂部署的VPN网关无感知切换方法,其特征在于:基于TCP/IP协议的网络环境,实现内网依次经交换机、路由器连接外网,并且所述欺骗包为ARP欺骗包。
7.一种针对权利要求6所述基于单臂部署的VPN网关无感知切换方法的装置,其特征在于:包括设置于所述VPN网关中的单臂部署切换装置,单臂部署切换装置包括内外网路由配置模块、欺骗包构造模块、欺骗包发送间隔设置模块和欺骗包发送模块;
其中,内外网路由配置模块,用于根据VPN网关的网络地址,配置相应的内外网路由信息;欺骗包构造模块,用于根据内外网路由信息,构建欺骗包,并设定其中内外网路由信息的生命时长t1
欺骗包发送间隔设置模块,用于针对依次所发送的欺骗包,设置相邻欺骗包之间的时长间隔t2
欺骗包发送模块,用于按相邻欺骗包之间的时长间隔t2,向内网广播发送欺骗包,同时,经交换机向路由器发送该欺骗包。
8.根据权利要求7所述一种针对基于单臂部署的VPN网关无感知切换方法的装置,其特征在于:还包括设置于所述单臂部署切换装置中的心跳检测时长间隔模块、心跳状态检测模块和欺骗功能启停设置模块;
其中,心跳检测时长间隔模块,用于针对彼此对应VPN网关之间的心跳检测操作,设置VPN网关向其对端VPN网关发送心跳检测包的相邻时长间隔;
心跳状态检测模块,用于针对彼此对应VPN网关之间的心跳检测操作,根据发送心跳检测包的相邻时长间隔,实现VPN网关VPN网关向其对端VPN网关发送心跳检测包;
欺骗功能启停设置模块,用于控制所述欺骗包的发送或停止发送。
9.根据权利要求8所述一种针对基于单臂部署的VPN网关无感知切换方法的装置,其特征在于:还包括设置于所述单臂部署切换装置中的操作日志模块,用于记录单臂部署切换装置中各模块的操作日志。
CN202011185446.8A 2020-10-30 2020-10-30 一种基于单臂部署的vpn网关无感知切换方法及装置 Active CN112104511B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011185446.8A CN112104511B (zh) 2020-10-30 2020-10-30 一种基于单臂部署的vpn网关无感知切换方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011185446.8A CN112104511B (zh) 2020-10-30 2020-10-30 一种基于单臂部署的vpn网关无感知切换方法及装置

Publications (2)

Publication Number Publication Date
CN112104511A CN112104511A (zh) 2020-12-18
CN112104511B true CN112104511B (zh) 2021-02-19

Family

ID=73785808

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011185446.8A Active CN112104511B (zh) 2020-10-30 2020-10-30 一种基于单臂部署的vpn网关无感知切换方法及装置

Country Status (1)

Country Link
CN (1) CN112104511B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114465848B (zh) * 2022-04-13 2022-09-13 北京全路通信信号研究设计院集团有限公司 一种基于密文的数据传输方法及其系统
CN114500177B (zh) * 2022-04-13 2022-08-12 北京全路通信信号研究设计院集团有限公司 一种传输通信方式确定方法及其系统
CN116032788B (zh) * 2022-12-22 2023-08-11 南凌科技股份有限公司 Sd-wan系统一种单臂部署的方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1674563A (zh) * 2004-03-26 2005-09-28 北京葳网通科技有限公司 即插即用代理网关及其方法
CN109769260A (zh) * 2019-03-06 2019-05-17 京信通信系统(中国)有限公司 Lte回传链路设备灾难恢复的方法、装置及系统
CN111371595A (zh) * 2020-02-25 2020-07-03 深信服科技股份有限公司 一种网络安全部署方法、装置、设备及可读存储介质

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070177550A1 (en) * 2005-07-12 2007-08-02 Hyeok Chan Kwon Method for providing virtual private network services to mobile node in IPv6 network and gateway using the same
CN105812274B (zh) * 2014-12-30 2020-04-21 华为技术有限公司 一种业务数据的处理方法和相关设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1674563A (zh) * 2004-03-26 2005-09-28 北京葳网通科技有限公司 即插即用代理网关及其方法
CN109769260A (zh) * 2019-03-06 2019-05-17 京信通信系统(中国)有限公司 Lte回传链路设备灾难恢复的方法、装置及系统
CN111371595A (zh) * 2020-02-25 2020-07-03 深信服科技股份有限公司 一种网络安全部署方法、装置、设备及可读存储介质

Also Published As

Publication number Publication date
CN112104511A (zh) 2020-12-18

Similar Documents

Publication Publication Date Title
CN112104511B (zh) 一种基于单臂部署的vpn网关无感知切换方法及装置
CN107431642B (zh) 用于控制交换机以捕获和监视网络流量的系统和方法
US7792046B2 (en) Ethernet switch-based network monitoring system and methods
US7054264B2 (en) Interconnect and gateway protection in bidirectional ring networks
JPH11234340A (ja) ネットワーク・リンクを自動的に構成する方法
CN113992582A (zh) 一种报文转发方法及设备
US20060165077A1 (en) Apparatus and method for architecturally redundant ethernet
CN114567522B (zh) 一种报文转发方法及设备
CN103490951A (zh) 基于bfd的多跳链路中双向转发检测方法
CN104079497A (zh) 透明网桥模式的高可用性负载均衡设备及方法
CN109743316A (zh) 数据传输方法、出口路由器、防火墙及双台防火墙系统
CN102868629A (zh) 利用ipsec实现负载分担的方法及系统
WO2014044088A1 (zh) L2tp网络的保护方法、装置及系统
CN101291290A (zh) 一种进行业务转发的方法及装置
WO2022001937A1 (zh) 业务传输方法、装置、网络设备和存储介质
JP5288505B2 (ja) 通信装置、通信システム、通信経路切り替え方法、及び通信経路切り替えプログラム
Cisco Configuring Interfaces
Cisco Troubleshooting Transparent Bridging Environments
Cisco Configuring Interfaces
Cisco Configuring Interfaces
Cisco Configuring Interfaces
Cisco Configuring Interfaces
Cisco Configuring Interfaces
Cisco Configuring Interfaces
Cisco Configuring Interfaces

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant