RU2438254C2 - Способ динамического соединения для виртуальных сетей частного пользования - Google Patents

Способ динамического соединения для виртуальных сетей частного пользования Download PDF

Info

Publication number
RU2438254C2
RU2438254C2 RU2009139311/07A RU2009139311A RU2438254C2 RU 2438254 C2 RU2438254 C2 RU 2438254C2 RU 2009139311/07 A RU2009139311/07 A RU 2009139311/07A RU 2009139311 A RU2009139311 A RU 2009139311A RU 2438254 C2 RU2438254 C2 RU 2438254C2
Authority
RU
Russia
Prior art keywords
ipsec
equipment
address
network
branches
Prior art date
Application number
RU2009139311/07A
Other languages
English (en)
Other versions
RU2009139311A (ru
Inventor
Лин ЗОУ (CN)
Лин ЗОУ
Original Assignee
Маипу Коммуникатион Течнологы Ко., Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Маипу Коммуникатион Течнологы Ко., Лтд. filed Critical Маипу Коммуникатион Течнологы Ко., Лтд.
Publication of RU2009139311A publication Critical patent/RU2009139311A/ru
Application granted granted Critical
Publication of RU2438254C2 publication Critical patent/RU2438254C2/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к сетям передачи данных. Технический результат заключается в упрощении конфигурации сети и повышении степени защиты от несанкционированного доступа. Сущность изобретения заключается в том, что в предлагаемом изобретении используется протокол динамического маршрута BGP и способ обновления маршрута BGP, чтобы послать информацию местного ресурса, которую необходимо защитить на удаленное оборудование VPN. Тогда удаленное оборудование VPN может использовать адрес следующей пересылки, полученный в новой версии маршрута BGP и расширенном групповом признаке маршрута BGP, для получения действительного адреса оборудования VPN на своем конце. IPSec отвечает за создание соответствующего туннеля IPSec в соответствии с полученной информацией. 3 з.п. ф-лы, 1 ил.

Description

Данное изобретение относится к технологии сетей, в частности к способу реализации динамической VPN (виртуальной сети частного пользователя).
Предпосылки создания изобретения
Протокол IPSec (Защитная информация IP, Архитектура защиты информации для сети IP) представляет собой сквозной протокол. В общем случае в традиционной VPN с IPSec принят способ со статической конфигурацией, в котором определен поток защищенных данных и адрес оборудования VPN равноправного пользователя сети, чтобы создать шифрованный туннель и осуществить доступ через Интернет между ветвями в различных местах.
В соответствии с требованиями использования, IPSec можно использовать для построения сети VPN с IPSec с топологией сети типа "звезда" или типа "сетка". Среди прочих, технология типа "звезда" представляет собой наиболее часто используемую топологию сети VPN с IPSec, которая очень близка топологической структуре с иерархическим управлением, которая была принята пользователями на предприятиях на ранней стадии. Центральный офис предприятия служит центральным узлом в сети VPN с IPSec, имеющей звездообразную топологию, а каждая ветвь создает туннель IPSec с центральным узлом и использует этот туннель IPSec, чтобы получить доступ к серверам в локальной сети в центральном офисе предприятия. Однако вместе с простым развитием топологии управления предприятием все большее количество ветвей требует получение доступа друг к другу, и, более того, поток обращений постоянно возрастает. В традиционной сети VPN с IPSec широко используемым решением является передача данных, полученных при обращении ветвей друг к другу, посредством оборудования VPN с IPSec в центральном узле, с тем, чтобы соответствовать требованию взаимного доступа между различными ветвями. Таким образом, данные, к которым получает доступ каждая ветвь, должны быть дешифрованы в оборудовании VPN с IPSec в центральном узле, а затем после шифрования достигают доступной ветви назначения. Такой маршрут обработки увеличивает задержку пакета данных, что не может удовлетворить при их использовании в прикладных системах, требующих малой задержки, например VOIP (Голосовые сообщения через протокол Интернета, голос через IP), которое обычно используется на современных предприятиях. Более того, поскольку возрастает поток обращений между узлами ветвей, постоянно возрастают высокие требования к работе и выходной ширине пропускания оборудования VPN с IPSec в центральном узле.
В традиционных VPN с IPSec имеется другой способ решения задачи обеспечения взаимного доступа между ветвями, состоящий в построении VPN с IPSec, имеющую топологическую структуру типа сетки. Взаимное обращение между ветвями в такой структуре не требуют ретрансляции через центральный узел. Для того чтобы построить VPN с IPSec с топологией типа сетки, каждая ветвь должна создать туннели IPSec с другими ветвями и центральным узлом. Для сети, имеющей n ветвей, требуется создать конфигурацию, имеющую n*(n-1) туннелей. Это является фатальной проблемой для развертывания крупногабаритных сетей VPN с IPSec. Следовательно, VPN с IPSec, имеющая топологическую структуру типа сетки, подходит только для сети с несколькими ветвями. В то же самое время, если туннели IPSec требуется создать между всеми ветвями, то для обращения ко всем ветвям требуются фиксированные адреса в сети общего пользования (способ использования динамического имени домена не обязательно требует фиксированных адресов, но адреса общего пользования в сети являются абсолютно необходимыми). Среди всех существующих услуг доступа, которыми обеспечивают провайдеры услуг внутренних сетей, только способ доступа китайский ADSL (Асимметричная цифровая петля абонентов) может удовлетворить требованию обеспечить каждого пользователя доступом общедоступным адресом в сети. В общем случае доступ ADSL динамически присваивает адрес IP общего пользования, ширина пропускания по обращениям ограничена, а ширина пропускания нисходящего/восходящего канала связи является асимметричной, что неудобно для доступа со служебного конца. Если требуется фиксированным общедоступный адрес в сети и значительная ширина пропускания, то связанные с этим затраты многократно возрастут. Для того чтобы удовлетворить постоянно изменяющимся требованиям по применению со стороны пользователей, многие производители успешно предложили решения с использованием динамической сети VPN с IPSec с большим количеством узлов в отличие от традиционного решения развернуть статическую сеть VPN с IPSec.
Динамическая сеть VPN с IPSec имеет все преимущества статической сети VPN с IPSec, имеющей конфигурацию типа сетки, и в то же время свободна от недостатка, заключающегося в сложности управления конфигурацией статической VPN с IPSec типа сетки. В общих чертах динамическая сеть VPN с IPSec характеризуется следующим:
Имеет все характеристики статической сети VPN с IPSec в отношении обеспечения защиты данных от несанкционированного доступа.
Простая конфигурация: не требует ни специальной конфигурации для каждого удаленного узла IPSec в оборудовании VPN, ни предварительного знания адресов IP общего пользования и потока защитных данных от всего удаленного в сети VPN с IPSec.
Ветви могут напрямую достигать друг друга через туннель IPSec без необходимости ретранслировать данные посредством оборудования IPSec, находящегося в центре сети VPN с IPSec.
Простота развертывания: вся сеть VPN с IPSec обладает высокой способностью к расширению и может автоматически адаптироваться к добавлению или изъятию удаленного оборудования IPSec.
Способность динамически создавать туннели IPSec между ветвями и автоматически удалять эти туннели в случае окончания времени простоя.
Из всех видов решений динамических сетей VPN с IPSec с большим количеством узлов наиболее представительным является использование мноузлового группового протокола инкапсуляции маршрута, протокола разрешения следующей ретрансляции и протокола динамического маршрута в сочетании с IPSec целью реализовать схему динамической VPN с IPSec. В схеме используется протокол разрешения следующей ретрансляции, чтобы получить адрес IP общего пользования для оборудования одноранговой сети, и групповой протокол инкапсуляции маршрута, и протокол динамического маршрута, чтобы получить информацию о потоке защищенных данных. Более того, данная схема обладает всеми отличительными чертами, которые должна иметь упомянутая выше динамическая VPN с IPSec, и может в большей степени удовлетворить требованиям некоторых клиентов. Однако данная схема требует использования общедоступного адреса в сети для обращения к нему всего оборудования IPSec и не поддерживает доступа NAT (трансляция адресов в сети). Данная схема отличается от статической сети VPN с IPSec, в которой используется протокол высокого уровня, номер порта и другая информация для точного управления защищенными от пользователя ресурсами сети, и, следовательно, снижается степень защиты от несанкционированного доступа. В данной схеме требуется конфигурировать и поддерживать различные протоколы, чтобы осуществить динамическое соединение сети VPN с IPSec. Таким образом, необходимо, чтобы пользователи имели высокую технологическую возможность поддерживать сеть и управлять ею.
Содержание изобретения
Целью данного изобретения является преодоление указанных выше недостатков известных технических решений путем создания способа динамического соединения для виртуальной сети частного пользования, в котором используются протоколы IPSec и BGP (протокол пограничного межсетевого сопряжения) с целью получения динамической сети VPN с IPSec.
Техническая схема, используемая в данном изобретении для решения указанной технической проблемы, представляет собой способ динамических соединений для виртуальной сети частного пользования, включающий следующие шаги:
a. создание статического туннеля IPSec между оборудованием IPSec в центральном узле и оборудованием IPSec в ветвях;
b. построение отношений смежности BGP между оборудованием IPSec в центральном узле и оборудованием IPSec в ветвях через указанный статический туннель IPSec;
c. оборудование IPSec автоматически добавляет карту маршрутов к соседям BGP в указанных отношениях смежности BGP и устанавливает значение расширенного группового признака информации о маршруте;
d. посредством протокола о маршруте BGP оборудование IPSec в сети VPN с IPSec оповещает другое оборудование IPSec о локальном адресе/сети IP, которым требуется обеспечить защиту;
e. оборудование IPSec в центральном узле распределяет указанный адрес/сеть IP, которым требуется обеспечить защиту в узле ветви, на оборудование IPSec в других ветвях, используя функцию отражателя маршрута BGP;
f. после того, как оборудование IPSec, находящееся между узлами ветвей, получит информацию об адресе/сети IP данных, которым требуется обеспечить защиту от других ветвей, они получают общедоступный адрес в сети равноправного пользователя сети из расширенного группового признака и затем согласуют образование туннелей IPSec.
Преимуществами данного изобретения являются уменьшение занимаемых ресурсов сети и низкая стоимость. Также данное изобретение отличается простотой конфигурации, гибкостью при развертывании, удобством управления и высокой степенью защиты от несанкционированного доступа.
Описание чертежей
Фиг.1 - топология сети варианта выполнения.
Подробное описание предпочтительных вариантов выполнения
Техническая схема данного изобретения описывается подробнее в сочетании с прилагаемыми чертежами и вариантом выполнения.
В изобретении принят протокол динамического маршрута BGP и способ модернизации маршрута BGP для того, чтобы посылать информацию о локальном ресурсе, которую необходимо защитить, на удаленное оборудование VPN. Тогда удаленное оборудование VPN может использовать адрес следующей пересылки, полученный при модернизации маршрута BGP и в расширенном групповом признаке маршрута BGP, чтобы получить действительный адрес оборудования VPN на своем конце. IPSec отвечает за образование соответствующего туннеля IPSec в соответствии с полученной информацией.
Способ динамического соединения виртуальной сети частного пользования включает следующие шаги:
a. создание статического туннеля IPSec между оборудованием IPSec в центральном узле и оборудованием IPSec в ветвях;
b. построение отношений смежности BGP между оборудованием IPSec в центральном узле и оборудованием IPSec в ветвях через указанный статический туннель IPSec;
c. оборудование IPSec автоматически добавляет карту маршрутов к соседям BGP в указанных отношениях смежности BGP и устанавливает значение расширенного группового признака информации о маршруте;
d. посредством протокола о маршруте BGP оборудование IPSec в сети VPN с IPSec оповещает другое оборудование IPSec о локальном адресе/сети IP, которым требуется обеспечить защиту;
e. оборудование IPSec в центральном узле распределяет указанный адрес/сеть IP, которым требуется обеспечить защиту в узле ветви, на оборудование IPSec в других ветвях, используя функцию отражателя маршрута BGP;
f. после того, как оборудование IPSec, находящееся между узлами ветвей, получит информацию об адресе/сети IP данных, которым требуется обеспечить защиту от других ветвей, они получают общедоступный адрес в сети равноправного пользователя сети из расширенного группового признака и затем согласуют образование туннелей IPSec.
Более того, на упомянутом выше шаге b оборудование IPSec центрального узла оборудование IPSec ветвей использует адрес IP интерфейса обратной связи оборудования IPSec, чтобы построить отношения смежности BGP через статический туннель IPSec.
В качестве уточнения на шаге с для ветвей, получающих доступ в Интернет через адрес общего пользования в Интернете, указанное значение расширенного группового признака представляет собой, соответственно, их адреса общего пользования в IP. Для ветвей, получающих доступ в Интернет через NAT, указанное значение расширенного группового признака представляет собой адрес общего пользования в IP оборудования центрального узла.
В качестве уточнения, на выше упомянутом шаге е оборудование IPSec центрального узла распределяет информацию об адресе/сети IP, которую требуется защитить в узле ветви, на оборудование IPSec в других ветвях, используя функцию отражателя маршрута BGP, и указывает протокол и номер порта, которые требуется защитить.
Для того чтобы максимально сохранить ограничения на условия получения доступа пользователями, в технической схеме данного изобретения необходимо учесть все виды способов доступа в сеть. В результате этого неминуемо возникает проблема прохождения NAT. Однако BGP не может пройти NAT и нуждается в использовании туннеля IPSec, чтобы защитить передачу пакета данных согласно BGP. Протокол BGP поддерживает указание на интерфейс источника, чтобы послать пакет. Используя данную характеристику, интерфейс обратной связи оборудования IPSec в каждой ветви и в центральном узле может использоваться непосредственно в качестве интерфейса источника для сообщения BGP. Распределение адресов IP для интерфейса обратной связи может быть полностью спланировано пользователем, что создает большое удобство для определения конфигурации статического потока защищенных данных в системе связи BGP. После того, как будет образован туннель IPSec для защиты системы связи BGP между оборудованием IPSec ветвей и оборудованием IPSec центрального узла, протокол BGP начинает согласовывать и строить отношения смежности BGP между оборудованием IPSec ветвей и оборудованием IPSec центрального узла. Посредством протокола динамических маршрутов BGP оборудование IPSec центрального узла использует способ оповещения о новой версии маршрута, чтобы узнать информацию об адресе IP, которую необходимо защитить в каждой ветви (в соответствии с текущим статическим потоком защищенных данных IPSec, полученная информация об адресе IP представляет собой адрес назначения потока защищенных данных). Используя ту особенность, что протокол BGP поддерживает CIDR (бесклассовый междоменный маршрутизатор) можно точно управлять получением адреса потока защищенных данных. Используя групповой признак маршрута BGP, можно точно указать протокол и номер порта, которые требуется защитить. Оборудование IPSec центрального узла, когда будет установлен отражатель маршрута по протоколу BGP и информация о ресурсе, которую требуется защитить при помощи туннеля IPSec и получить от оборудования IPSec в других ветвях, посылается в оборудование IPSec в ветвях способом оповещения о новой версии маршрута. В то же самое время, когда расширенный групповой признак BGP используется для посылки адреса IP, который требуется защитить, в оборудование IPSec ветвей, центральный узел будет добавлять общедоступные адреса в сети оборудования IPSec ветвей к расширенному групповому признаку. Таким образом, оборудование IPSec в одной и той же сети VPN с IPSec может узнать адрес/сеть IP, которые требуется защитить при помощи туннелей IPSec в ветвях, и общедоступные адреса в сети оборудования IPSec. Далее, оборудование IPSec каждой ветви проводит согласование IPSec в соответствии с адресом назначения данных об обращениях и соответствующими общедоступными адресами IPSec оборудования в сети, а затем создает туннель IPSec, чтобы обеспечить доступ и защиту служб пользования. Во время процесса создания туннелей IPSec протокол IPSec автоматически добивается обнаружения NAT. Для оборудования IPSec ветвей, получающего доступ в Интернет через NAT, когда оборудование IPSec центрального узла посылает информацию о новой версии маршрута согласно BGP в этом узле в другие ветви, общедоступный адрес IP, добавленный к расширенному групповому признаку, представляет собой адрес IP оборудования IPSec центрального узла. Оборудование IPSec в других ветвях обнаруживает, что равноправный пользователь сети получает доступ в Интернет через NAT и само получает доступ в Интернет через общедоступный адрес в Интернете, оно не будет само инициировать согласование туннеля, а будет ждать, пока ветвь, прослеживающая NAT, не начнет инициировать согласование туннеля. Если оба равноправных участника сети получают доступ в Интернет через NAT, оборудование IPSec ветвей возьмет на себя инициативу по согласованию с оборудованием IPSec центрального узла создания туннеля к ветви равноправного участника сети. Другой конец будет делать то же самое после того, как он получит информацию о маршруте. Таким образом, благодаря способу создания сети с топологией типа звезды, соединение может быть выполнено за счет ретрансляции в центральном узле. Данный способ может увеличить гибкость доступа к IPSec и значительно уменьшает требование для доступа с тем, чтобы пользователь мог развернуть динамическую VPN с IPSec.
У признака информации о маршруте BGP, используемого в данном изобретении, имеются следующие функции:
NLRI (доступная информация об уровне сети): в данном изобретении признак содержит в себе адрес/сеть IP защищенных данных, передаваемых посредством узлов ветвей. Для получателя маршрута данная информация соответствует адресу/сети назначения статической IPSec. Для отправителя данная информация соответствует адресу/сети источника статической IPSec.
Адрес следующей пересылки: поскольку адрес интерфейса обратной связи каждого устройства IPSec используется для построения отношений смежности BGP, следующая пересылка информации о каждом маршруте представляет собой адрес интерфейса обратной связи оборудования IPSec, которое передало информацию о маршруте. Адрес интерфейса обратной связи планируется самим пользователем и только отображает каждое устройство IPSec (каждую ветвь) в сети. Следовательно, рекомендуется, чтобы присвоенный адрес интерфейса обратной связи определялся как адрес главного компьютера.
Стандартный групповой признак и расширенный групповой признак: протокол маршрутов BGP поддерживает два вида групповых признаков, а именно: стандартный групповой признак и расширенный групповой признак. Некоторые значения стандартного группового признака используются исключительно для управления передачей маршрута. В данном изобретении формат стандартного группового признака может быть цифровым. Признак используется, чтобы определить тип протокола потока данных, которые требуется защитить, например, если протокол потока данных, которые требуется защитить, представляет собой TCP, указывается значение признака, равное 259. Точный интервал управления ресурсом, который требуется защитить, может значительно улучшить защиту сети от несанкционированного доступа. Признак адресата маршрута и признак источника маршрута расширенного группового признака поддерживают значение в двух форматах. Один из них представляет собой ASN: NN, а другой - адрес IP: NN. В данном изобретении адрес IP (NN-формат) признака адресата маршрута используется, чтобы служить носителем информации об общедоступном адресе в сети оборудования IPSec. Обратный код NN служит в качестве расширенного определения, используемого для выполнения функции изоляции с целью обеспечения защиты от несанкционированного доступа. Таким образом, правом доступа в сети VPN с IPSec можно управлять более точно, и можно добиться взаимной изоляции между различными видами права доступа в одной и той же сети VPN с IPSec.
ASN: формат NN признака источника маршрута может использоваться для определения номера порта протокола.
Значения стандартного группового признака соответствуют следующим типам протокола:
<0 - 255> номер протокола IP
256 ICMP
257 IGMP
258 IP
259 TCP
260 UDP
Правила добавления адреса IP общего пользования к значению признака RT в расширенном групповом признаке заключаются в следующем.
Для оборудования IPSec в ветвях, которое не получает доступ в Интернет через NAT, когда оборудование центрального узла распределяет информацию о маршруте, переданную оборудованием IPSec ветвей, адрес IP, добавленный к расширенному групповому признаку, представляет собой адрес IP общего пользования оборудования IPSec ветвей. Для оборудования IPSec ветвей, которое получает доступ в Интернет через NAT, когда оборудование IPSec центрального узла распределяет информацию о маршруте, передаваемую оборудованием IPSec ветвей, адрес IP, добавленный к расширенному групповому признаку, представляет собой адрес IP общего пользования оборудования IPSec центрального узла.
Правила оценки информации о маршруте BGP заключаются в следующем:
Проверить значение расширенного группового признака в информации о маршруте BGP. Если это значение совпадает с адресом IP оборудования IPSec центрального узла и следующая пересылка маршрута представляет собой адрес IP интерфейса обратной связи узла, отличного от центрального узла, оценка будет заключаться в том, что оборудование IPSec ветви, передающей информацию о маршруте, получает доступ в интернет через NAT.
Проверить значение расширенного группового признака в информации о маршруте BGP. Если это значение совпадает с адресом IP оборудования IPSec центрального узла и следующая пересылка маршрута представляет собой адрес IP интерфейса обратной связи узла, оценка будет заключаться в том, что информация о маршруте передается центральным узлом.
Проверить значение расширенного группового признака в информации о маршруте BGP. Если это значение отличается от адреса IP оборудования IPSec центрального узла, оценка будет заключаться в том, что маршрут передается ветвью, непосредственно соединенной с сетью общего пользования.
Проверить значение расширенного группового признака в информации о маршруте BGP. Если оно пусто и адрес следующей предпосылки маршрута равен 0.0.0.0, информация о маршруте передается местно.
Динамическая сеть VPN с IPSec, реализуемая путем использования динамического маршрута BGP в сочетании с протоколом IPSec, использует гибкость протокола маршрута BGP, чтобы обеспечить гибкость топологии сети. Поддерживаются различные существующие способы доступа, и также поддерживается прохождение NAT, и только для одного устройства IPSec в точке доступа требуется адрес IP сети общего пользования, и при этом можно создать динамическую сеть VPN с IPSec. Другие точки доступа могут использовать произвольные способы доступа. Если только они могут получить доступ в сеть общего пользования, они могут объединиться с сетью VPN с IPSec. При этом данное изобретение имеет высокую управляемость и защиту доступа в сеть. Используя значение группового признака маршрута для обозначения протокола передачи данных и номера порта, которые требуется защитить, можно осуществить точное управление потоком защищенных данных. При этом групповой признак маршрута можно использовать для выполнения функции изоляции и защиты от несанкционированного доступа с тем, чтобы исключить возможность взаимного доступа между различными пользователями, имеющими право доступа в одной сети VPN с IPSec.
Вариант выполнения
На чертеже показано, что при помощи трех ветвей и одного узла требуется построить динамическую VPN с IPSec. Ветви должны иметь возможность получать доступ друг к другу. Адрес доступа IP ветви С, который обеспечивается провайдером услуг сети, представляет собой собственный внутренний адрес сети провайдера, т.е. его личный адрес IP, а доступ в Интернет (т.е. сеть общего пользования) должен быть осуществлен через NAT. Способы доступа двух других ветвей, а именно ветви А и ветви В, получают динамический адрес общего пользования IP.
Для того чтобы создать туннель IPSec между двумя узлами, за исключением согласования параметров и информации для аутентификации (режим pre-shared для ключа/сертификата), наиболее важным является узнать адрес в сети общего пользования и поток защищенных данных оборудования IPSec равноправного пользователя сети. В данном изобретении используется, главным образом, протокол маршрута BGP и характеристики одноадресной передачи без необходимости для соседей быть непосредственно соединенными или необходимости поддерживать адрес IP: формат NN расширенного группового признака реализует оборудование IPSec в каждой ветви, а центральный узел может динамически узнать поток защищенных данных и адрес в сети общего оборудования IPSec равноправного пользователя сети. Аналогично с другими схемами, по крайней мере одного устройства IPSec во всей сети VPN с IPSec должно иметь фиксированный адрес в сети общего пользования.
Далее следует способ реализации данного варианта выполнения
Сперва подтверждается локальный адрес/сеть IP, которые требуется защитить. Затем узнается адрес IP общего пользования оборудования IPSec равноправного пользователя сети, которое должно создать туннель IPSec и адрес/сеть IP, которые требуется защитить у равноправного пользователя сети. В это время принимается решение относительно существования NAT и выполняются специальные процедуры.
В соответствии с планированием всей сети всему оборудованию IPSec присваивается один адрес интерфейса обратной связи (рекомендуется адрес главного компьютера). BGP конфигурируется на оборудовании IPSec центрального узла и каждой ветви, а адрес интерфейса обратной связи используется в качестве соседнего адреса и адреса сообщения о согласовании/модернизации (что можно рассматривать как указание адреса интерфейса обратной связи в качестве адреса BGP). Расширенный групповой признак конструируется для посылки BGP соседу, и данный признак можно использовать для переноса соответствующего адреса в сети общего пользования оборудования IPSec во время распределения маршрута. Оборудование IPSec в ветвях необходимо только для определения оборудования IPSec центрального узла в качестве соседа, и оборудование IPSec центрального узла должно признать оборудование IPSec каждой ветви в качестве соседа. В BGP команда сети используется для распределения локальных защищенных адреса/сети IP, т.е. адреса/сети источника данных потока защищенных данных в отличие от статической VPN с IPSec. После того, как будут установлены соседи BGP, процедура BGP посылает адрес/сеть IP, распределенные по команде сети, на оборудование IPSec центрального узла или ветвей в соответствии с общим маршрутом, что можно использовать, чтобы узнать адрес назначения потока защищенных данных оборудования IPSec из информации о маршруте. Для того чтобы оборудование IPSec центрального узла распределяло информацию о маршруте, полученную от одной ветви, на оборудование IPSec других ветвей, оборудование IPSec центрального узла должно быть установлено как отражатель маршрута, а оборудование IPSec каждой ветви - как клиент отражателя маршрута. Эта процедура определяет, главным образом, источник данных и адреса/сеть IP назначения местной передачи данных, которые должны передаваться через туннель IPSec.
Создаются тоннели IPSec для защиты передачи данных BGP. Создаются статические IPSec туннели в оборудовании IPSec центрального узла, адрес источника данных потока защищенных данных представляет собой адрес интерфейса обратной связи IP оборудования IPSec центрального узла: 1.1.1.1, а адреса назначения представляют собой адрес IP в сети интерфейса обратной связи IP оборудования IPSec в ветвях А, В и С: 1.1.1.0/24. Устанавливается соответствующий поток защищенных данных в оборудовании IPSec в ветвях А, В, С: адрес источника данных представляет собой адрес интерфейса обратной связи локального оборудования IPSec, а адрес назначения представляет собой адрес интерфейса обратной связи в центральном узле. В соответствии с обнаружением NAT на начальной стадии создания IPSec, оборудование IPSec центрального узла обнаружит, что оборудование IPSec ветви С получает доступ в Интернет через NAT, а оборудование IPSec в других ветвях имеет общедоступные адреса IP. Следовательно, оборудование IPSec центрального узла ведет активный поиск в конфигурации BGP в соответствии с адресом интерфейса обратной связи равноправного пользователя сети, чтобы защитить туннель передачи данных BGP. Карта маршрута в направлении добавляется к конфигурации соседей BGP, соответствующих ветвям А, В и С, а расширенный групповой признак устанавливается в карте маршрута. Для ветвей А и В значения расширенного группового признака представляют собой адреса IP в сети общего пользования соответствующего им оборудования IPSec. Для ветвей С значение расширенного группового признака представляет собой общедоступный адрес IP оборудования IPSec центрального узла. Поскольку интерфейс обратной связи используется в качестве адреса соседа BGP и адреса сообщения о согласовании/модернизации, отношения смежности BGP могут быть установлены только после того, как будет создан туннель IPSec, используемый для защиты его системы передачи данных. Такая последовательность операций обеспечивает актуальность карты маршрута оборудования IPSec центрального узла. После того, как будет установлено отношение смежности BGP, оборудование IPSec каждой ветви взаимно получает информацию об адресе/сети IP, которые требуется защитить в других ветвях. Следовательно, оборудование IPSec в ветви А или В устанавливает правило, согласно которому часть с большим адресом обратной связи может инициировать создание туннеля IPSec для защиты соответствующего потока данных в соответствии с адресом IP, полученным из соответствующего расширенного группового признака в маршруте BGP. Для ветви С, которая получает доступ в Интернет через NAT, после того, как оборудование IPSec в ветви А или В получит информацию в виде потока защищенных данных о ветви С, они определят, что в сети общего пользования у равноправного пользователя сети совпадает с адресом IP оборудования IPSec центрального узла, и соответствующая следующая пересылка маршрута BGP не является адресом интерфейса обратной связи оборудования IPSec центрального узла. Также, во время согласования создания туннеля IPSec для защиты BGP оборудования IPSec в ветвях А или В может узнать, получает ли оно доступ в Интернет через NAT, и не будет инициировать создание туннеля IPSec, но будет ждать, пока оборудование в ветви С не будет активно образовывать этот туннель. Когда оборудование IPSec в ветви С примет защищенную информацию с адресом, соответствующую ветвям А и В, через BGP и обнаружит, что адрес IP в соответствующем расширенном групповом признаке не является адресом IP в центральном узле, оборудование IPSec в ветви С возьмет адрес IP в расширенном признаке в качестве адреса равноправного пользователя сети и образует туннель IPSec. Если предположить, что имеется ветвь D, имеющая доступ в Интернет через NAT, оборудование IPSec в ветви С или D принимает защищенную информацию с адресом равноправного пользователя сети, затем проверяет расширенный признак и адрес следующей пересылки маршрута BGP и подтверждает, что равноправный пользователь сети имеет доступ в Интернет через NAT. Оборудование IPSec может получить информацию о том, прослеживают ли они NAT через функцию обнаружения NAT в протоколе IPSec, а также узнает, что равноправный пользователь сети имеет доступ в Интернет через NAT, с тем, чтобы создать туннель IPSec для соответствующего потока данных с оборудованием IPSec в центральном узле. Аналогично, оборудование IPSec в центральном узле также должно выполнять особую процедуру на ветвях, которые имеют доступ в Интернет через NAT, с тем, чтобы обеспечить образование туннеля IPSec и реализовать взаимный доступ между ветвями через ретрансляцию в оборудовании IPSec в центральном узле. Безусловно, туннель IPSec был образован успешно.

Claims (4)

1. Способ динамического соединения для виртуальной сети частного пользования, включающий следующие шаги:
a. создание статического туннеля IPSec между оборудованием IPSec в центральном узле и оборудованием IPSec в ветвях;
b. построение отношений смежности BGP между оборудованием IPSec в центральном узле и оборудованием IPSec в ветвях через указанный статический туннель IPSec;
c. оборудование IPSec автоматически добавляет карту маршрутов к соседям BGP в указанных отношениях смежности BGP и устанавливает значение расширенного группового признака информации о маршруте;
d. посредством протокола о маршруте BGP оборудование IPSec в сети VPN с IPSec оповещает другое оборудование IPSec о локальном адресе/сети IP, которым требуется обеспечить защиту;
e. оборудование IPSec в центральном узле распределяет указанный адрес/сеть IP, которым требуется обеспечить защиту в узле ветви, на оборудование IPSec в других ветвях, используя функцию отражателя маршрута BGP;
f. после того как оборудование IPSec, находящееся между узлами ветвей, получит информацию об адресе/сети IP данных, которым требуется обеспечить защиту от других ветвей, они получают общедоступный адрес в сети равноправного пользователя сети из расширенного группового признака и затем согласуют образование туннелей IPSec.
2. Способ динамического соединения по п.1, в котором на шаге b оборудование IPSec в центральном узле и оборудование IPSec в ветвях использует IP-адрес интерфейса обратной связи оборудования IPSec для построения отношений смежности BGP через статический туннель IPSec.
3. Способ динамического соединения по п.1, в котором на шаге с для ветвей, получающих доступ в Интернет через общедоступный адрес в Интернете, значение указанного расширенного группового признака представляет собой, соответственно, их общедоступные IP-адреса, для ветвей, получающих доступ в Интернет через NAT, значение указанного расширенного группового признака представляет собой общедоступный IP-адрес оборудования в центральном узле.
4. Способ динамического соединения по п.1, в котором на упомянутом выше шаге е оборудование IPSec в центральном узле распределяет информацию об адресе/сети IP, которые необходимо защитить в узле ветви, на оборудование IPSec в других ветвях благодаря использованию функции отражателя маршрута BGP и указывает протокол и номер порта, которые необходимо защитить.
RU2009139311/07A 2007-01-26 2007-11-28 Способ динамического соединения для виртуальных сетей частного пользования RU2438254C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN200710048341.6 2007-01-26
CNB2007100483416A CN100440846C (zh) 2007-01-26 2007-01-26 虚拟专用网动态连接方法

Publications (2)

Publication Number Publication Date
RU2009139311A RU2009139311A (ru) 2011-04-27
RU2438254C2 true RU2438254C2 (ru) 2011-12-27

Family

ID=38697778

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2009139311/07A RU2438254C2 (ru) 2007-01-26 2007-11-28 Способ динамического соединения для виртуальных сетей частного пользования

Country Status (3)

Country Link
CN (1) CN100440846C (ru)
RU (1) RU2438254C2 (ru)
WO (1) WO2008092351A1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2611020C2 (ru) * 2012-05-21 2017-02-17 Зте Корпарейшен Способ и система для установления туннеля по протоколам для обеспечения защиты данных

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100440846C (zh) * 2007-01-26 2008-12-03 成都迈普产业集团有限公司 虚拟专用网动态连接方法
CN101626366B (zh) * 2008-07-10 2012-11-07 华为技术有限公司 保护代理邻居发现的方法、系统和相关装置
CN103259726B (zh) 2012-02-21 2017-04-12 华为技术有限公司 存储和发送mac地址表项的方法、设备及系统
CN103259725B (zh) * 2012-02-21 2017-04-12 华为技术有限公司 报文发送方法和网络设备
JP5941703B2 (ja) * 2012-02-27 2016-06-29 株式会社日立製作所 管理サーバ及び管理方法
CN102739530B (zh) * 2012-06-19 2018-08-07 南京中兴软件有限责任公司 一种避免网络可达性检测失效的方法及系统
CN104253733B (zh) * 2013-06-26 2017-12-19 北京思普崚技术有限公司 一种基于IPSec的VPN多方连接方法
CN104348923B (zh) * 2013-07-29 2017-10-03 中国电信股份有限公司 基于IPSec VPN的通信方法、装置与系统
CN103491088B (zh) * 2013-09-22 2016-03-02 成都卫士通信息产业股份有限公司 一种IPSec VPN网关数据处理方法
WO2015047143A1 (en) * 2013-09-30 2015-04-02 Telefonaktiebolaget L M Ericsson (Publ) A method performed at an ip network node for ipsec establishment
CN104883287B (zh) * 2014-02-28 2018-06-12 杭州迪普科技股份有限公司 IPSec VPN系统控制方法
CN105471725B (zh) * 2014-08-05 2019-01-22 新华三技术有限公司 穿越自治系统的路由方法和装置
CN104486292B (zh) * 2014-11-24 2018-01-23 东软集团股份有限公司 一种企业资源安全访问的控制方法、装置及系统
CN104954260A (zh) * 2015-05-22 2015-09-30 上海斐讯数据通信技术有限公司 一种基于数据链路层的点对点vpn路由方法及系统
CN107222449B (zh) * 2016-03-21 2020-06-16 华为技术有限公司 基于流规则协议的通信方法、设备和系统
CN106100960B (zh) * 2016-07-06 2020-03-24 新华三技术有限公司 跨存储区域网络Fabric互通的方法、装置及系统
CN106302424B (zh) * 2016-08-08 2020-10-13 新华三技术有限公司 一种安全隧道的建立方法及装置
US10469595B2 (en) * 2017-02-17 2019-11-05 Arista Networks, Inc. System and method of dynamic establishment of virtual private networks using border gateway protocol ethernet virtual private networks technology
CN108512755B (zh) * 2017-02-24 2021-03-30 华为技术有限公司 一种路由信息的学习方法及装置
CN107800569B (zh) * 2017-10-16 2020-09-04 中国联合网络通信有限公司广东省分公司 一种基于ont的vpn快速接入系统和方法
CN109639848A (zh) * 2018-12-20 2019-04-16 全链通有限公司 在区块链中发布域名的方法、设备、系统及存储介质
CN109495362B (zh) * 2018-12-25 2020-12-11 新华三技术有限公司 一种接入认证方法及装置
US11563600B2 (en) 2019-07-31 2023-01-24 Palo Alto Networks, Inc. Dynamic establishment and termination of VPN tunnels between spokes
CN112887968B (zh) * 2019-11-29 2023-11-17 中兴通讯股份有限公司 一种网络设备管理方法、装置、网络管理设备及介质
CN111064670B (zh) * 2019-12-30 2021-05-11 联想(北京)有限公司 一种获取下一跳路由信息的方法和装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020184388A1 (en) * 2001-06-01 2002-12-05 Nimer Yaseen Layered approach to virtual private routing
CN1150718C (zh) * 2001-06-29 2004-05-19 华为技术有限公司 在虚拟私有网的隧道虚接口上保证互联网协议安全的方法
US20060083215A1 (en) * 2004-10-19 2006-04-20 James Uttaro Method and apparatus for providing a scalable route reflector topology for networks
US8547874B2 (en) * 2005-06-30 2013-10-01 Cisco Technology, Inc. Method and system for learning network information
CN1761253A (zh) * 2005-11-03 2006-04-19 上海交通大学 支持大规模多用户并发访问的mplsvpn在线实验方法
CN100440846C (zh) * 2007-01-26 2008-12-03 成都迈普产业集团有限公司 虚拟专用网动态连接方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2611020C2 (ru) * 2012-05-21 2017-02-17 Зте Корпарейшен Способ и система для установления туннеля по протоколам для обеспечения защиты данных

Also Published As

Publication number Publication date
RU2009139311A (ru) 2011-04-27
CN100440846C (zh) 2008-12-03
WO2008092351A1 (fr) 2008-08-07
CN101009629A (zh) 2007-08-01

Similar Documents

Publication Publication Date Title
RU2438254C2 (ru) Способ динамического соединения для виртуальных сетей частного пользования
US10841341B2 (en) Policy-based configuration of internet protocol security for a virtual private network
CN113261248B (zh) 安全sd-wan端口信息分发
Gleeson et al. A framework for IP based virtual private networks
US7873993B2 (en) Propagating black hole shunts to remote routers with split tunnel and IPSec direct encapsulation
JP4308027B2 (ja) パケットホッピング無線バックボーンを有する無線ローカルエリアネットワークを有するデータ網
US6751729B1 (en) Automated operation and security system for virtual private networks
US7373660B1 (en) Methods and apparatus to distribute policy information
CN106878253B (zh) Mac(l2)层认证、安全性和策略控制
US7917948B2 (en) Method and apparatus for dynamically securing voice and other delay-sensitive network traffic
EP1413094B1 (en) Distributed server functionality for emulated lan
KR20080107268A (ko) 통신 장치 및 방법
CN101515859B (zh) 一种因特网协议安全隧道传输组播的方法及设备
JP2002507295A (ja) 多層型ファイアウオールシステム
CN106027491B (zh) 基于隔离ip地址的独立链路式通信处理方法和系统
Lin et al. WEBridge: west–east bridge for distributed heterogeneous SDN NOSes peering
US10944665B1 (en) Auto-discovery and provisioning of IP fabric underlay networks for data centers
Gleeson et al. RFC2764: A framework for IP based virtual private networks
WO2003003664A1 (en) System and method for address and key distribution in virtual networks
CN112787940A (zh) 一种多级vpn加密传输方法、系统、设备及存储介质
US20150109924A1 (en) Selective service based virtual local area network flooding
CN108259292B (zh) 建立隧道的方法及装置
US11799690B2 (en) Systems and methods for automatic network virtualization between heterogeneous networks
Edgeworth et al. Cisco Intelligent WAN (IWAN)
CN115296988B (zh) 一种实现IPSec网关动态组网的方法