WO2008092351A1

WO2008092351A1 - Procédé de liaison dynamique de réseau privé virtuel

Info

Publication number: WO2008092351A1
Application number: PCT/CN2007/071137
Authority: WO
Inventors: Lin Zou
Original assignee: Maipu Communication Technology Co., Ltd.
Priority date: 2007-01-26
Filing date: 2007-11-28
Publication date: 2008-08-07
Also published as: RU2009139311A; RU2438254C2; CN100440846C; CN101009629A

Description

说明书

虚拟专用网动态连接方法技术领域

本发明涉及网络技术，特别涉及动态 VPN (虚拟专用网）的实现方法。

背景技术

IPSec (IP Security, IP层协议安全结构）协议是一个端到端的协议。传统的 IPSec VPN—般使用静态配置的方式，通过指定保护的数据流和对端 VPN设备地址来建立加密隧道，实现不同地点分支机构间跨越因特网的访问。

根据应用需求，利用 IPSec 可以组建成星型或网状网络拓扑的 IPSec VPN网络。其中，最常用的 IPSec VPN网络拓扑是星型结构拓扑，这和早期用户企业机构的分层管理拓扑结构是紧密相连的。企业机构总部作为 IPSec VPN星型网络的中心节点，各个分支机构都和中心节点建立 IPSec隧道，分支机构通过 IPSec隧道访问企业机构总部局域网中的服务器。但是，随着企业机构管理拓扑的扁平化发展，越来越多的分支机构间需要相互访问，而且访问流量也越来越大。在传统 IPSec VPN网络中，常用的解决办法是让各个分支机构间互访的数据，通过中心节点的 IPSec VPN设备中转，来满足分支机构间的互访需求。这样，分支机构间互访的数据，就必须在中心节点的 IPSec VPN 设备经过解密，再加密然后才能到达被访问分支机构。这样的处理流程本身就加大了数据报文的时延，不能很好的满足现在企业常用的 VOIP (Voice over Internet Protocol, IP i吾音）之类低时延要求的服务应用。而且随着分支机构节点间互访数据流量的加大，对中心节点的 IPSec VPN设备性能和出口带宽的要求也越来越高。

传统 IPSec VPN还有一种解决分支机构间互访需求的方法，就是建立网状 IPSec VPN拓扑结构。这样分支机构间的相互访问，就无需经过中心节点的转发。要建立网状 IPSec VPN拓扑，每个分支机构都需要和其他分支机构及中心节点建立 IPSec 隧道，对于具有 n个分支机构的网络，就需要配置 n (n-1 )条隧道。这对部署大型 IPSec VPN 网络是个致命的问题。所以，网状 IPSec VPN拓扑结构只适合于分支机构非常少的网络。同时，要想所有的分支机构间都建立 IPSec隧道，也要求这些分支机构的接入必须有固定的公网地址（动态域名方法的出现，不强制要求有固定地址，但公网地址是必须的。）面对现在国内各个网络服务提供商提供的接入服务，似乎只有电信的 ADSL (非对称数字用户环线）接入方式能够满足为每个接入用户提供一个公网地址。采用 ADSL接入一般都是动态分配一个公网 IP地址，而且一般接入带宽有限，上下行带宽不对称，不适合作为服务端接入。如果需要固定的公网地址和较高的带宽，费用则会成倍增长。为了满足用户不断发展的应用需求，相对与传统的静态 IPSec VPN网络部署方案，众多的厂商纷纷推出了动态多点 IPSec VPN网络解决方案。

动态 IPSec VPN网络具有静态全网状 IPSec VPN网络的优势，同时又没有静态全网状 IPSec VPN配置管理复杂的缺点。简单说，一个动态 IPSec VPN网络必须具备以下特点：

具有静态 IPSec VPN网络保护数据安全的全部特性。

配置简单，不用在 VPN设备上为每个 IPSec 远端做专门的配置，不需要预先知道 IPSec VPN网络中所有远端设备公网的 IP地址，以及保护数据流。

分支机构间能够直接进行受 IPSec隧道保护的安全访问，而不必经过 IPSec VPN网络中心的 IPSec设备的转发。

部署简单，整个 IPSec VPN网络有较好的伸缩性，能够自动适应远端 IPSec设备的添加和删除。

能够按需动态建立分支机构间的 IPSec隧道，当空闲时间超时后自动删除隧道。

在各种动态多点 IPSec VPN网络解决方案中，最有代表性的就是利用多点通用路由封装协议、下一跳解析协议和动态路由协议配合 IPSec实现动态 IPSec VPN方案。该方案使用下一跳解析协议来实现对端设备公网 IP地址的获得，使用通用路由封装协议和动态路由协议来得到获保护数据流的信息。该方案具有上述动态 IPSec VPN所应具备的特点，能够较好的满足一部分客户需要。但该方案要求所有的 IPSec 设备接入都必须使用公网地址，不能够支持 NAT (网络地址转换）接入。同时不能象静态 IPSec VPN网络一样根据高层协议、端口号等信息精确地控制用户保护的网络资源，安全性有所降低。该方案需要配置、维护多种协议来实现 IPSec VPN网络的动态连接，这样就要求用户有较高的技术能力来维护管理该网络。

发明内容

本发明所要解决的技术问题，就是针对现有技术的上述缺点，提供一种的虚拟专用网动态连接方法，使用 IPSec和 BGP协议（边界网关协议）结合，实现动态 IPSec VPN网络。

本发明解决所述技术问题，采用的技术方案是，虚拟专用网动态连接方法，包括以下歩骤：

a.在中心节点的 IPSec设备和分支机构的 IPSec设备间配置静态 IPSec隧道；

b. 中心节点的 IPSec设备和分支机构的 IPSec设备通过所述静态 IPSec隧道，建立 BGP邻接关系；

c IPSec设备自动在已建立 BGP邻接关系的 BGP邻居上，添加路由映射策略，设置路由信息的扩展团体属性值；

d. IPSec VPN网络中的 IPSec设备通过 BGP路由协议，通告本地需要被保护的网络的 IP地址 /网段给其它 IPSec设备；

e. 中心节点的 IPSec设备通过 BGP的路由反射器功能，将分支机构需要保护的数据的 IP 地址 /网段信息分发到其他分支机构的 IPSec设备上；

f. 分支机构间的 IPSec 设备相互学习其他分支机构需要保护的数据的 IP地址 /网段信息后，从扩展团体属性中获得对端公网地址，然后协商建立 IPSec隧道。

本发明的有益效果是，占用网络资源少，成本低。具有配置简单，附图说明

图 1是实施例的网络拓扑图。

具体实施方式

下面结合附图及实施例，详细描述本发明的技术方案。

本发明使用 BGP动态路由协议，以 BGP路由更新的方式，将本端需要保护的资源信息，发送给远端 VPN设备。远端 VPN设备根据收到的 BGP路由更新中的下一跳地址，和 BGP路由的扩展团体属性来获得本端 VPN设备的合法地址。 IPSec则负责根据学习到的信息自动建立相关 IPSec隧道。

本发明的虚拟专用网连接方法，包括以下歩骤：

进一歩的，所述歩骤 b中，中心节点的 IPSec设备和分支机构的 IPSec设备通过所述静态 IPSec隧道，使用 IPSec设备的环回接口 IP 地址，建立 BGP邻接关系。

具体的，歩骤 c中，对于处在 NAT前面的分支机构，所述扩展团体属性值为各自的公网 IP地址；对于处在 NAT后面的分支机构，所述扩展团体属性值为中心节点设备的公网 IP地址。

进一歩的，所述歩骤 e中，中心节点的 IPSec设备通过 BGP的路由反射器功能，将分支机构需要保护的数据的 IP地址 /网段信息分发到其他分支机构的 IPSec设备上，并指定保护的协议和端口号。

本发明的技术方案，因为要尽量降低用户接入条件的限制，所以要考虑各种网络接入方式，这样就不可避免的存在 NAT穿越问题。而 BGP是无法穿越 NAT的，需要使用 IPSec隧道保护 BGP报文的传输。 BGP 协议支持指定报文发送的源接口，利用这个特性，直接使用各个分支机构和中心节点的 IPSec设备的环回接口，作为 BGP 报文的源接口。对环回接口的 IP地址分配可以完全由用户规划，这样对配置 BGP通信的静态保护数据流，也提供了非常大的方便。在分支机构的 IPSec设备和中心节点的 IPSec设备间，保护 BGP通信的 IPSec隧道建立后， BGP协议进行协商，建立分支机构的 IPSec设备和中心节点的 IPSec设备间的 BGP邻接关系。通过 BGP动态路由协议，中心节点的 IPSec设备以路由更新通告的方式，学习到各个分支机构要保护的 IP地址信息（对应现在的静态 IPSec的保护数据流来说，此处学习到的 IP地址信息为保护数据流的目的地址）。利用 BGP 协议支持 CIDR (无类域间路由）的特性，可以很精确的控制被保护数据流地址的学习。利用 BGP路由的团体属性，可以更加精确的指定需要保护的协议和端口号。配置中心节点的 IPSec设备为 BGP协议路由反射器，将从其它分支机构的 IPSec设备学习到的要 IPSec隧道保护的资源信息，以路由更新通告的方式分发给下面的分支机构的 IPSec设备。同时，利用 BGP自身的扩展团体属性，在将需要保护的 IP地址发送给分支机构的 IPSec设备的同时，分支机构的 IPSec设备的公网地址，由中心节点添加到扩展团体属性中。这样，同一 IPSEC VPN网络的 IPSec设备，就可以学习到其他分支机构需要 IPSec隧道保护的 IP地址 /网段和 IPSec设备的公网地址。然后由各个分支机构的 IPSec设备，按照访问数据的目的地址来和对应的 IPSec设备公网地址进行 IPSec协商，建立 IPSec隧道，保证用户服务的访问和安全性。在 IPSec隧道建立过程中，由 IPSec协议自动完成了 NAT的检测。对处在 NAT后面的分支机构的 IPSec设备，中心节点的 IPSec设备在向其它分支机构发送该节点的 BGP路由更新信息时，扩展团体属性中填入的公网 IP地址为中心节点的 IPSec设备的 IP地址。其他分支机构节点的 IPSec设备，发现对端处于 NAT后面，而自身又不是在 NAT后面时，就不会主动发起隧道协商，而是等待处于 NAT后面的分支机构发起隧道协商。如果两端都处于 NAT后面，分支机构的 IPSec 设备就会主动和中心节点的 IPSec设备协商到对端分支机构的隧道，另一端收到路由信息后，也会同样处理。这样就可以按照星型网络的方式，通过中心节点的转发来完成连接。使用这种方式增加了 IPSec 访问的灵活性，很大程度的降低了对用户部署动态 IPSec VPN的接入要求。

本发明中使用的 BGP路由信息属性作用：

NLRI (网络层可达信息）：在本发明中，该属性携带分支机构发布的保护数据的 IP地址 /网段。对于路由接收者，该信息即对应于静态 IPSec的目的地址 /网段。而对于发布者，该信息即对应于静态 IPSec 的源地址 /网段。

下一跳地址：因为在建立 BGP邻接时，使用的是每台 IPSec 设备的环回接口地址，所以每条路由信息的下一跳就是发布该路由信息的 IPSec设备的环回接口地址。环回接口地址是由用户自行规划的，在网络中它唯一代表了每台 IPSec设备（每个分支机构）。所以建议分配的环回接口地址为主机地址。

标准团体属性和扩展团体属性： BGP 路由协议支持两种团体属性，一种是标准团体属性，一种是扩展团体属性。标准团体属性中一些值专用于控制路由的传播。在本发明中，使用标准团体属性的格式可以为数字，利用该属性来定义需要保护的数据流的协议类型，如保护的是 TCP协议，则指定该值为 259。对需要保护的资源范围的精确控制，能够大大提高网络的安全性。扩展团体属性的路由目标属性和路由源属性支持两种格式的值。一种为 ASN:N ;—种为 IP地址: NN。在本发明中，利用路由目标属性的 IP地址: NN格式，来携带 IPSec 设备的公网地址信息。后面的 NN编码作为扩展定义，用来实现安全隔离功能。这样能够更加精确的控制 IPSec VPN网络中的访问权限，做到同一 IPSEC VPN网络中不同权限间的相互隔离。利用路由源属性中的 ASN:NN格式来定义协议端口号。

标准团体属性值对应协议类型如下：

<0-255> An IP protocol number

256 ICMP

257 IGMP

258 IP

259 TCP

260 UDP

扩展团体属性 RT属性值中公网 IP地址填入规则：

分支机构的 IPSec设备不处于 NAT后面，则中心节点的 IPSec 设备在分发由该分支机构的 IPSec设备发布的路由信息时，扩展团体属性中填入的 IP地址为分支机构的 IPSec设备自身的公网 IP地址。分支机构的 IPSec设备处于 NAT后面，则中心节点的 IPSec设备在分发由该分支机构的 IPSec设备发布的路由信息时，扩展团体属性中填入的 IP地址为中心节点的 IPSec设备的公网 IP地址。

对 BGP路由信息的判断规则：

检查 BGP 路由信息中的扩展团体属性值，如果和中心节点的 IPSec设备的 IP地址相同，而且该路由的下一跳为非中心节点的环回接口 IP地址，则判断发布该条路由信息的分支机构的 IPSec设备处于 NAT后。

检查 BGP 路由信息中的扩展团体属性值，如果和中心节点的 IPSec设备的 IP地址相同，而且该路由的下一跳为中心节点的环回接口地址。则判断该条路由信息由中心节点发布。

检查 BGP 路由信息中的扩展团体属性值，如果和中心节点的 IPSec设备的 IP地址不同，则认为发布该条路由的分支机构是直接连接到公网的。

检查 BGP路由信息中的扩展团体属性值，如果为空，而且该路由的下一跳为 0.0.0.0则是由本地发布的路由信息。

使用 BGP动态路由，配合 IPSec协议实现的动态 IPSec VPN网络，利用 BGP路由协议本身的灵活性，保证了网络拓扑伸缩的灵活性。支持现有多种接入方式，支持 NAT穿越，只需要有一个接入点的 IPSec设备有公网 IP地址，即可组建动态 IPSec VPN网络。其它的接入点可以使用任意的接入方式，只要能够访问公网，即可加入该动态 IPSec VPN网络。而且，本发明具有较高的网络访问控制能力和安全性。使用路由团体属性值，指定需要保护的通信协议、端口号，实现保护数据流的精确控制；使用路由团体扩展属性，实现安全隔离功能，即可以实现同一 IPSec VPN网络中，不同访问权限不能互访。

实施例

参见图 1，共有三个分支机构和一个中心节点，需要建立动态 IPSec VPN。分支机构间需要相互访问，其中分支机构 C的网络服务提供商提供的接入 IP地址为网络服务提供商自己的内网地址，是私有 IP地址，访问因特网（即公网）需要通过 NAT。其它两个分支机构 A、 B的接入方式都获得动态的公网 IP地址。

两点间要建立 IPSec隧道，除了协商参数，认证材料（预共享密钥 /证书）外，最重要的就是对端 IPSec设备的公网地址和保护数据流的学习。本发明主要是利用 BGP路由协议，使用单播、且邻居间不需要直接相连、不需要支持 IP地址: NN格式的扩展团体属性的特点，让各个分支机构及中心节点的 IPSec设备，动态地学习到要保护的数据流和对端的 IPSec设备的公网地址。与其它方案一样，在整个 IPSec VPN网络中至少需要有一个 IPSec设备具有固定的公网地址。

下面是本例的实施过程：

首先确定本地需要保护的 IP地址 /网段，然后学习到需要建立 IPSec隧道的对端 IPSec设备公网 IP地址和对端需要保护的 IP地址 / 网段，同时判断 NAT的存在，并做特殊处理。

按照整个网络的规划，给所有的 IPSec设备分配一个环回接口地址（建议使用主机地址）。在中心节点和各个分支机构的 IPSec设备上配置 BGP, 使用环回接口地址作为邻居地址和协商 /更新报文的地址（可以看做指定环回接口地址作为 BGP地址），并且配置向邻居发送 BGP 的扩展团体属性，用来在路由分发过程中携带对应的 IPSec 设备公网地址。分支机构的 IPSec设备上只需配置中心节点的 IPSec 设备为邻居，而中心节点的 IPSec设备需要接受每个分支机构的 IPSec 设备为邻居。在 BGP中，使用网络命令来发布本地受保护的 IP地址 /网段，对照静态 IPSec VPN,就是保护数据流的源地址 /网段。在 BGP 邻居建立起来后，通过网络命令发布的 IP地址 /网段，由 BGP进程按照普通路由一样发送到中心节点或分支机构的 IPSec设备，作为学习到该路由信息 IPSec设备的保护数据流目的地址。为了让中心节点的 IPSec设备将从分支机构学习到的路由信息，分发到其他分支机构的 IPSec设备，中心节点的 IPSec设备需要配置为路由反射器，需要配置每个分支机构的 IPSec设备为路由反射器客户端。这一过程，主要就是确定本地需要通过 IPSec 隧道转发的数据报文的源、目的 IP地址 /网段。

建立保护 BGP通信的 IPSec隧道。在中心节点的 IPSec设备上配置静态 IPSec隧道，保护数据流源地址为中心节点 IPSec设备的环回接口 IP地址： 1.1.1.1，目的地址为分支机构 A、 B、 C的 IPSec设备的环回接口 IP地址网段： 1丄 1.0/24。分支机构八、 B、 C的 IPSec设备配置对应保护数据流为：源地址为本地的 IPSec设备的环回接口地址，目的地址为中心节点的环回接口地址。根据 IPSec建立开始阶段的 NAT探测，中心节点的 IPSec设备会发现分支机构 C的 IPSec设备处于 NAT后面，其他分支机构的 IPSec设备都具有公网 IP地址。于是中心节点的 IPSec设备，主动根据保护 BGP通信隧道的对端环回接口地址，在 BGP配置中查找，在分支机构 A、 B、 C对应的 BGP 邻居配置上添加 m方向的路由映射，在路由映射中设置扩展团体属性。对于分支机构 A和分支机构 B，扩展团体属性值分别为各自的 IPSec设备公网 IP地址；对于分支机构 C, 扩展团体属性值为中心节点的 IPSec设备的公网 IP地址。因为是使用环回接口作为 BGP的邻居地址和协商更新报文地址，所以 BGP邻接关系只能在保护它通信的 IPSec 隧道建立后才能建立。这样的先后顺序就保证了中心节点 IPSec设置路由映射的及时性。 BGP邻接关系建立后，各个分支机构的 IPSec设备相互学习到其他分支机构需要保护 IP地址 /网段信息，分支机构 A或 B的 IPSec设备根据学习到的 BGP路由中对应的团体扩展属性中的 IP地址，可以设定规则由环回接口地址大的一方主动发起建立保护对应数据流的 IPSec隧道。对于处于 NAT后面的分支机构 C，分支机构 A或 B的 IPSec设备接收到关于分支机构 C的保护数据流信息后，检查到对端的公网地址和中心节点的 IPSec设备地址是一样的，而且对应的 BGP路由下一跳也不是中心节点的 IPSec 设备的环回接口地址，并且在协商保护 BGP的 IPSec隧道过程中，可以知道自己不是在 NAT后面的，则不会主动建立 IPSec隧道，而是等待分支机构 C的 IPSec设备来主动建立隧道。当分支机构 C的 IPSec设备通过 BGP接收到对应 A或 B分支机构的保护地址信息，而且发现对应的扩展团体属性中的 IP地址不是中心节点端的 IP地址，那么分支机构 C的 IPSec设备就主动将扩展属性中的 IP地址作为对端地址，建立 IPSec隧道。假设又存在一个在 NAT后的分支机构 D，此时，分支机构 C或 D的 IPSec设备都收到了对方的保护地址信息。检查扩展属性和 BGP路由下一跳地址，确定对方在 NAT后面时，因为通过 IPSec协议的 NAT检测功能，就可以获得自己是否在 NAT后面的信息，此时又知道对端在 NAT后面，那么就和中心节点的 IPSec设备建立对应数据流的 IPSec隧道。同样，中心节点的 IPSec 设备也需要对处于 NAT后面的分支机构做特殊处理，以保证 IPSec 隧道建立，通过中心节点的 IPSec设备转发来实现分支机构相互访问。至此， IPSec 隧道建立完毕。

Claims

权利要求书

1. 虚拟专用网动态连接方法，包括以下歩骤：

2. 根据权利要求 1所述的虚拟专用网动态连接方法，其特征在于，所述歩骤 b中，中心节点的 IPSec设备和分支机构的 IPSec设备通过所述静态 IPSec隧道，使用 IPSec设备的环回接口 IP地址，建立 BGP邻接关系。

3. 根据权利要求 1所述的虚拟专用网动态连接方法，其特征在于，歩骤 c中，对于处在 NAT前面的分支机构，所述扩展团体属性值为各自的公网 IP地址；对于处在 NAT后面的分支机构，所述扩展团体属性值为中心节点设备的公网 IP地址。

4. 根据权利要求 1所述的虚拟专用网动态连接方法，其特征在于，所述歩骤 e中，中心节点的 IPSec设备通过 BGP的路由反射器功能，将分支机构需要保护的数据的 IP地址 /网段信息分发到其他分支机构的 IPSec设备上，并指定保护的协议和端口号。

1