CN113645117B - 基于IPSec协议的多通道智能选路方法及系统 - Google Patents
基于IPSec协议的多通道智能选路方法及系统 Download PDFInfo
- Publication number
- CN113645117B CN113645117B CN202110773033.XA CN202110773033A CN113645117B CN 113645117 B CN113645117 B CN 113645117B CN 202110773033 A CN202110773033 A CN 202110773033A CN 113645117 B CN113645117 B CN 113645117B
- Authority
- CN
- China
- Prior art keywords
- channel
- ipsec
- data
- module
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/28—Routing or path finding of packets in data switching networks using route fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/164—Adaptation or special uses of UDP protocol
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于互联网通信技术领域,具体涉及一种基于IPSec协议的多通道智能选路方法及系统,该方法包括IPSec隧道的生命周期由IPSec隧道维护模块来维护,在某一通道单点故障时,IPSec隧道信息仍可以保持着,这是由于IPSec业务数据不会依赖具体的通道信息,IPSec业务数据能无障碍的在不同通道上进行切换;同时,数据通道模块基于负载信息对IPSec业务数据进行调度,从而达到IPSec业务负载均衡的目的。本发明当链路单点故障时,IPSec隧道不需要重新建立,IPSec业务也可正常进行;当多条链路正常时,数据通道模块能够实现基于负载信息对IPSec业务数据进行调度,从而IPSec隧道可以达到负载均衡的目的。
Description
技术领域
本发明属于互联网通信技术领域,具体涉及一种基于IPSec协议的多通道智能选路方法及系统。
背景技术
为了增强网络的可靠性和稳定性,企业通常会在局域网出口配置多条互联网链路。现有智能选路的方案中存在以下几点的问题:
由于一个接口只能配置一个响应方,现有系统只能支持图1中多点与单点建立通道的网络结构;
链路单点故障时,IPSec隧道需要重新建立,会存在一定时间内业务丢包的问题;
多条链路质量差异不大时,不能很好的兼顾负载均衡的问题。
发明内容
为了解决现有技术中存在的问题,本发明提出了一种基于IPSec协议的多通道智能选路方法及系统,解决了链路单点故障,IPSec隧道需要重新建立以及多条链路正常时不能兼顾负载均衡的问题。
为解决上述技术问题,本发明采用以下的技术方案:
本发明提供了一种基于IPSec协议的多通道智能选路方法,该方法包括:
IPSec隧道的生命周期由IPSec隧道维护模块来维护,在某一通道单点故障时,IPSec隧道信息仍可以保持着,这是由于 IPSec业务数据不会依赖具体的通道信息,IPSec业务数据能无障碍的在不同通道上进行切换;
同时,数据通道模块基于负载信息对IPSec业务数据进行调度。
进一步地,所述通道是由通信两端基于IP地址和UDP端口建立的UDP连接。
进一步地,所述隧道是由IPSec协议协商出来基于安全参数索引来标识的一条数据连接。
进一步地,该方法还包括:
在用户配置完成本地出口地址和远端目的地址信息后,由链路状态检查模块根据配置周期性地对出口链路状态进行监测,计算时延、抖动和丢包率信息,根据这些信息将可用的IP地址提供给数据通道模块。
本发明还提供了一种基于IPSec协议的多通道智能选路系统,该系统包括链路状态检查模块、数据通道模块、IPSec隧道维护模块和IPSec数据转发模块,所述链路状态检查模块、IPSec隧道维护模块和IPSec数据转发模块分别与数据通道模块连接,各模块之间进行协调配合用于实现IPSec VPN网关由多个出口地址互联时的选路和负载均衡。
进一步地,所述IPSec隧道维护模块用于维护IPSec隧道的生命周期,在某一通道单点故障时,IPSec隧道信息仍可以保持着,这是由于 IPSec业务数据不会依赖具体的通道信息,IPSec业务数据能无障碍的在不同通道上进行切换。
进一步地,所述IPSec数据转发模块用于IPSec业务数据的封装、解封装和数据加解密。
进一步地,所述数据通道模块用于通道的建立、维护和通道上数据的收发。
进一步地,所述数据通道模块还用于基于负载信息对IPSec业务数据进行调度。
进一步地,所述链路状态检查模块用于:
在用户配置完成本地出口地址和远端目的地址信息后,由链路状态检查模块根据配置周期性地对出口链路状态进行监测,计算时延、抖动和丢包率信息,根据这些信息将可用的IP地址提供给数据通道模块。
与现有技术相比,本发明具有以下优点:
1、当链路单点故障时,IPSec隧道不需要重新建立,IPSec业务也可正常进行;本发明依靠IPSec隧道维护模块来维护IPSec隧道的生命周期,在某一通道单点故障时,IPSec隧道信息仍可保持着,主要是因为IPSec业务数据不会依赖具体的通道信息,IPSec业务数据可以从故障通道无障碍的切换到正常通道。
2、当多条链路正常时,数据通道模块能够实现基于负载信息对IPSec业务数据进行调度,从而IPSec隧道可以达到负载均衡的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有技术多点与单点互联的结构图;
图2是本发明实施例的多点与多点互联的结构图;
图3是本发明实施例的基于IPSec协议的多通道智能选路系统的结构框图,图中301代表链路状态检查模块,302代表数据通道模块,303代表IPSec隧道维护模块,304代表IPSec数据转发模块;
图4是本发明实施例的链路状态检查模块的流程图;
图5是本发明实施例的数据通道模块通道建立和关闭的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例的一种基于IPSec协议的多通道智能选路方法,该方法包括:
IPSec隧道的生命周期由IPSec隧道维护模块来维护,在某一通道单点故障时,IPSec隧道信息仍可以保持着;这是由于IPSec业务数据不会依赖具体的通道信息,将通道在数据通道模块中独立出来后,IPSec业务数据能无障碍的在不同通道上进行切换;其中,IPSec业务数据承载在通道之上。
同时,数据通道模块基于负载信息对IPSec业务数据进行调度,从而达到IPSec业务负载均衡的目的。
可以理解的是,所述通道是由通信两端基于IP地址和UDP端口建立的UDP连接;所述隧道是由IPSec协议协商出来基于安全参数索引来标识的一条数据连接。
进一步的,该方法还包括:
在用户配置完成本地出口地址和远端目的地址信息后,由链路状态检查模块根据配置周期性地对出口链路状态进行监测,计算时延、抖动和丢包率信息,根据这些信息将可用的IP地址提供给数据通道模块。
如图2和图3所示,本实施例还提出一种基于IPSec协议的多通道智能选路系统,该系统包括链路状态检查模块301、数据通道模块302、IPSec隧道维护模块303和IPSec数据转发模块304,所述链路状态检查模块301、IPSec隧道维护模块303和IPSec数据转发模块304分别与数据通道模块302连接,各模块之间进行协调配合用于处理IPSec VPN网关由多个出口地址互联时的选路和负载均衡问题。
具体的,IPSec隧道维护模块303用于维护IPSec隧道的生命周期,在某一通道单点故障时,IPSec隧道信息仍可以保持着;这是由于IPSec业务数据不会依赖具体的通道信息,将通道在数据通道模块中独立出来后,IPSec业务数据能无障碍的在不同通道上进行切换,从而实现IPSec业务数据从故障通道切换到正常通道,无需重建IPSec隧道,IPSec业务可正常进行。
具体的,IPSec数据转发模块304用于IPSec业务数据的封装、解封装和数据加解密,其产生的内容不依赖具体的通道信息,可由不同的通道进行转发。
进一步的,数据通道模块302用于通道的建立、维护、通道上数据的收发和基于负载信息对IPSec业务数据进行调度,从而达到IPSec业务负载均衡的目的。数据通道模块302通道建立和关闭流程如图5所示。
1、数据通道的建立
对于IPSec发起方,会使用链路状态检查模块通知的地址进行通道的创建;对于IPSec响应方,会被动创建数据通道。
2、数据通道上数据的发送
NAT Keepalive保活数据由数据通道周期性在所有通道上主动发送;
其他数据的发送由IPSec数据转发模块调用接口来触发,由数据通道模块根据轮询或最小连接等负载算法进行转发。
3、数据通道上数据的接收
数据通道建立后监听数据的达到,当到达的数据存在Non-ESP Marker标志时,通知IPSec隧道维护模块处理数据,IPSec隧道维护模块根据数据处理情况对IPSec隧道进行新建、保持、更新和销毁操作;当到达的数据不存在Non-ESP Marker标志时,通知IPSec数据转发模块处理数据,IPSec数据转发模块决定对数据的丢弃、转发和加解密行为。
进一步的,链路状态检查模块301用于:
在用户配置完成本地出口地址和远端目的地址信息后,由链路状态检查模块根据配置周期性地对出口链路状态进行监测,计算时延、抖动和丢包率信息,根据这些信息将可用的IP地址提供给数据通道模块,如图4所示的链路状态检查模块的流程图,图中计算丢包率,当丢包率大于等于50%时,可将该节点从正常列表移除,在故障列表中添加。
本发明当链路单点故障时,IPSec隧道不需要重新建立,IPSec业务可正常进行;原理是依靠IPSec隧道维护模块来维护IPSec隧道的生命周期,在某一通道单点故障时,IPSec隧道信息仍可保持着。
当多条链路正常时,数据通道模块能够实现基于负载信息对IPSec业务数据进行调度,从而达到IPSec隧道负载均衡的目的。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (6)
1.一种基于IPSec协议的多通道智能选路系统,其特征在于,该系统包括链路状态检查模块、数据通道模块、IPSec隧道维护模块和IPSec数据转发模块,所述链路状态检查模块、IPSec隧道维护模块和IPSec数据转发模块分别与数据通道模块连接,各模块之间进行协调配合用于实现IPSec VPN网关由多个出口地址互联时的选路和负载均衡;
所述IPSec隧道维护模块用于维护IPSec隧道的生命周期,在某一通道单点故障时,IPSec隧道信息仍可以保持着,这是由于 IPSec业务数据不会依赖具体的通道信息,IPSec业务数据能无障碍的在不同通道上进行切换;
所述IPSec数据转发模块用于IPSec业务数据的封装、解封装和数据加解密;
所述数据通道模块用于通道的建立、维护和通道上数据的收发;所述数据通道模块还用于基于负载信息对IPSec业务数据进行调度;
所述链路状态检查模块用于:
在用户配置完成本地出口地址和远端目的地址信息后,由链路状态检查模块根据配置周期性地对出口链路状态进行监测,计算时延、抖动和丢包率信息,根据这些信息将可用的IP地址提供给数据通道模块;
所述链路状态检查模块具体用于:
创建空的正常及故障链路列表,遍历本地出口和配置的远端地址,按配置顺序保存local+remote组合到正常链路列表,判断故障列表是否遍历完全;
若故障列表未遍历完全则遍历下一个成员,构造CMP回显请求包并发送多次,计算RTT时延平均值和方差、计算丢包率并保存,判断丢包率是否小于50%,若是则将节点从故障列表移除,在正常列表中添加,若否则重新判断故障列表是否遍历完全;
若故障列表遍历完全则进一步判断正常列表遍历是否完全,若正常列表遍历完全则根据RTT时延平均值、方差、丢包率对列表进行排序,通知数据通道模块,当检测周期结束时重新判断故障列表是否遍历完全;若正常列表未遍历完全则遍历下一个成员,构造CMP回显请求包并发送多次,计算RTT均值和方差、计算丢包率并保存,判断丢包率是否小于50%,若否则将节点从正常列表移除,在故障列表中添加,若是则重新判断正常列表遍历是否完全。
2.根据权利要求1所述的基于IPSec协议的多通道智能选路系统,其特征在于,所述数据通道模块具体用于:
在所有接口上监听500和4500端口,判断是否有被动通道建立;
若有被动通道建立则保存被动通道,然后获取可用地址列表;若无被动通道建立,则直接获取可用地址列表;
然后判断是否需要新建通道,若需要新建通道则使用可用地址向远端500和4500端口创建通道,然后判断是否需要删除通道,若不需要新建通道则直接判断是否需要删除通道,若需要删除通道,则进一步判断通道是否正在被使用,若通道正在被使用,则缓存数据,关闭并删除通道,选择新通道发送数据,若通道没有正在被使用,则关闭通道并将该通道进行删除;
然后判断是否获得更新通知,若是则继续判断否有被动通道建立。
3.根据权利要求1所述的基于IPSec协议的多通道智能选路系统,其特征在于,所述数据通道模块还用于:
数据通道建立后监听数据的达到,当到达的数据存在Non-ESP Marker标志时,通知IPSec隧道维护模块处理数据,IPSec隧道维护模块根据数据处理情况对IPSec隧道进行新建、保持、更新和销毁操作;当到达的数据不存在Non-ESP Marker标志时,通知IPSec数据转发模块处理数据,IPSec数据转发模块决定对数据的丢弃、转发和加解密行为。
4.基于权利要求1所述一种基于IPSec协议的多通道智能选路系统的一种基于IPSec协议的多通道智能选路方法,其特征在于,该方法包括:
IPSec隧道的生命周期由IPSec隧道维护模块来维护,在某一通道单点故障时,IPSec隧道信息仍可以保持着,这是由于 IPSec业务数据不会依赖具体的通道信息,IPSec业务数据能无障碍的在不同通道上进行切换;
同时,数据通道模块基于负载信息对IPSec业务数据进行调度;
在用户配置完成本地出口地址和远端目的地址信息后,由链路状态检查模块根据配置周期性地对出口链路状态进行监测,计算时延、抖动和丢包率信息,根据这些信息将可用的IP地址提供给数据通道模块;具体包括:
创建空的正常及故障链路列表,遍历本地出口和配置的远端地址,按配置顺序保存local+remote组合到正常链路列表,判断故障列表是否遍历完全;
若故障列表未遍历完全则遍历下一个成员,构造CMP回显请求包并发送多次,计算RTT时延平均值和方差、计算丢包率并保存,判断丢包率是否小于50%,若是则将节点从故障列表移除,在正常列表中添加,若否则重新判断故障列表是否遍历完全;
若故障列表遍历完全则进一步判断正常列表遍历是否完全,若正常列表遍历完全则根据RTT时延平均值、方差、丢包率对列表进行排序,通知数据通道模块,当检测周期结束时重新判断故障列表是否遍历完全;若正常列表未遍历完全则遍历下一个成员,构造CMP回显请求包并发送多次,计算RTT均值和方差、计算丢包率并保存,判断丢包率是否小于50%,若否则将节点从正常列表移除,在故障列表中添加,若是则重新判断正常列表遍历是否完全。
5.根据权利要求4所述的基于IPSec协议的多通道智能选路方法,其特征在于,所述通道是由通信两端基于IP地址和UDP端口建立的UDP连接。
6.根据权利要求4所述的基于IPSec协议的多通道智能选路方法,其特征在于,所述隧道是由IPSec协议协商出来基于安全参数索引来标识的一条数据连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110773033.XA CN113645117B (zh) | 2021-07-08 | 2021-07-08 | 基于IPSec协议的多通道智能选路方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110773033.XA CN113645117B (zh) | 2021-07-08 | 2021-07-08 | 基于IPSec协议的多通道智能选路方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113645117A CN113645117A (zh) | 2021-11-12 |
| CN113645117B true CN113645117B (zh) | 2023-04-07 |
Family
ID=78416894
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110773033.XA Active CN113645117B (zh) | 2021-07-08 | 2021-07-08 | 基于IPSec协议的多通道智能选路方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113645117B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580258A (zh) * | 2015-02-03 | 2015-04-29 | 迈普通信技术股份有限公司 | 一种快速检测IPSec对等体失效的方法及系统 |
| CN112468357A (zh) * | 2020-10-26 | 2021-03-09 | 网络通信与安全紫金山实验室 | IPsec隧道连通性快速检测方法、检测系统及存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105704747A (zh) * | 2014-11-25 | 2016-06-22 | 中兴通讯股份有限公司 | 一种基站实现控制/业务数据可靠传输的方法及装置 |
| CN109743316B (zh) * | 2018-12-29 | 2021-06-29 | 中国联合网络通信集团有限公司 | 数据传输方法、出口路由器、防火墙及双台防火墙系统 |
| CN111835639B (zh) * | 2020-07-06 | 2021-03-19 | 杭州网银互联科技股份有限公司 | 一种基于云计算的sd-wan网络智能链路选择方法 |
-
2021
- 2021-07-08 CN CN202110773033.XA patent/CN113645117B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580258A (zh) * | 2015-02-03 | 2015-04-29 | 迈普通信技术股份有限公司 | 一种快速检测IPSec对等体失效的方法及系统 |
| CN112468357A (zh) * | 2020-10-26 | 2021-03-09 | 网络通信与安全紫金山实验室 | IPsec隧道连通性快速检测方法、检测系统及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 20120615."IPv6高速IPsec安全网关研究".《中国优秀硕士学位论文全文数据库 (信息科技辑)》.全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113645117A (zh) | 2021-11-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10666563B2 (en) | Buffer-less virtual routing | |
| US7969874B2 (en) | Multiple packet routing system (MPRS) | |
| US6456632B1 (en) | Protocol separation in packet communication | |
| US8238325B2 (en) | Packet communication network and packet communication method | |
| CN104270309B (zh) | 一种ip ran设备下实现多跳bfd的方法 | |
| CN100452746C (zh) | 一种确定出接口的方法及多接入宽带路由器 | |
| US20070165603A1 (en) | Access network system, subscriber station device, and network terminal device | |
| CN101425942A (zh) | 一种实现双向转发检测的方法、装置及系统 | |
| US7974188B2 (en) | Repeater and communication method | |
| KR20150142719A (ko) | 단방향 데이터 송수신 시스템 및 방법 | |
| US8649258B2 (en) | Relay apparatus, data relay method, and communication system | |
| KR20150033681A (ko) | 연결 실패 시에 홈 네트워크에 대한 재라우팅을 인에이블시키는 방법 및 시스템 | |
| CN111800336A (zh) | 基于多通道网络链路聚合的路由传输实现方法 | |
| CN102231712B (zh) | 在编码器上进行负载分担的方法及编码器 | |
| US7000248B2 (en) | Virtual network and virtual network connection system | |
| CN113645117B (zh) | 基于IPSec协议的多通道智能选路方法及系统 | |
| EP2482516A1 (en) | Method for customer edge device auto management and provider edge device | |
| CN113438182A (zh) | 一种基于信用的流量控制系统和流量控制方法 | |
| JP3596609B2 (ja) | パケット中継方式 | |
| JP5672385B2 (ja) | 伝送システム、ルーティング制御装置および通信装置、並びにルーティング制御方法および通信方法 | |
| Cisco | Configuring X.25 and LAPB | |
| CN106549798B (zh) | 一种在ip通信网络中构建网络管控总线的方法 | |
| CN113037622A (zh) | 一种防止bfd震荡的系统及方法 | |
| JP3802915B2 (ja) | 通信ネットワークシステム | |
| US10727978B2 (en) | Method and apparatus for transmitting control messages in an optical transmission network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |