CN103067290B - 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 - Google Patents
基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 Download PDFInfo
- Publication number
- CN103067290B CN103067290B CN201210502765.6A CN201210502765A CN103067290B CN 103067290 B CN103067290 B CN 103067290B CN 201210502765 A CN201210502765 A CN 201210502765A CN 103067290 B CN103067290 B CN 103067290B
- Authority
- CN
- China
- Prior art keywords
- vpn device
- vpn
- interface card
- load balancing
- virtual network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于虚拟网卡适应负载均衡网络的VPN隧道实现方法,涉及数据通信领域,包括以下步骤:(1)对负载均衡网络中的两台及以上VPN设备的内置虚拟网卡配置相同主机地址;(2)本端主VPN设备采用虚拟网卡地址与对端VPN设备进行密钥协商并建立IPSec?SA,并把IPSec?SA信息同步到本端的其它VPN设备;(3)对端VPN设备根据到本端VPN设备的IPSec?SA信息对数据包进行加密封装后发送到本端网络。本发明通过使用虚拟网卡和路由技术适应负载均衡网络,大大降低了VPN产品适应负载均衡网络的开发难度,同时提高了VPN设备的易用性,增强了VPN设备的网络适应能力。
Description
技术领域
本发明涉及数据通信领域,尤其是一种基于虚拟网卡适应负载均衡网络的VPN隧道实现方法。
背景技术
IPSec是互联网工程任务组制定的一个开放的IP层安全框架协议,为三层隧道协议。IPSec协议在网络层工作,VPN虚拟专用网络(VirtualPrivateNetwork,简称VPN)设备之间利用IPsec协议建立安全隧道,对VPN设备间传输的数据提供机密性、完整性、数据源认证和抗重放服务。
虚拟网卡是运行在操作***内核中的虚拟网络设备,不同于普通硬件网卡,虚拟网卡全部用软件实现,向运行于操作***上的软件提供与硬件网卡完全相同的功能。硬件网卡收到目的地址为虚拟网卡地址的网络数据包,操作***将把此数据包直接路由到本地IP协议栈。
负载均衡网络是实现负载分担和网络高冗余性的良好方式,最为常见实现负载均衡网络是基于路由协议,OSPF(OpenShortestPathFirst开放式最短路径优先)等值路径。基于IPSec隧道的两台及以上VPN设备部署在负载均衡网络中,对经过VPN设备并匹配IPSecSP(安全策略)的IP报文将进行IPSec加解密处理,并封装或者解封装,导致原网络数据包源和目的地址发生改变,原有路由针对新数据包无法生效,导致网络负载均衡失效。
当前VPN设备适应负载均衡网络的方法很多,一般情况下采用VPN设备借用后面保护网络的一台主机IP与远端VPN建立安全隧道。如果VPN设备借用的保护网络中的那台主机出现故障而下线,将导致出口路由器无法学习到该主机的MAC地址,从而导致出口路由器收到目的地址为该主机地址的加密数据包,不能转发给出口路由器后面的VPN设备。此外,因为VPN设备收到的数据包的目的地址并非VPN设备自身,但需要处理目的地址为后端主机的加密数据包,需要VPN设备调整IP协议栈才能满足上述方法应用的要求。
发明内容
本发明的目的是提供一种基于虚拟网卡适应负载均衡网络的VPN隧道实现方法,解决上述VPN设备部署在负载均衡网络中导致网络负载均衡功能失效。
为解决上述问题,本发明采用的技术方案为,一种基于虚拟网卡适应负载均衡网络的VPN隧道实现方法,包括以下步骤:
(1)对负载均衡网络中的两台及以上VPN设备的内置虚拟网卡配置相同主机地址;
(2)本端主VPN设备采用虚拟网卡地址与对端VPN设备进行密钥协商并建立IPSecSA,并把IPSecSA信息同步到本端的其它VPN设备;
(3)当对端VPN设备保护的业务主机与本端VPN设备保护的业务主机进行网络通信时,对端VPN设备根据到本端VPN设备的IPSecSA信息对数据包进行加密封装后发送到本端网络;
(4)将加密封装后的数据包发送到本端IP协议栈的传输层,由IP协议栈查找对应路由并解密、解封装后转发到出口路由器或者出***换机。
优选步骤:所述的步骤(3)中VPN设备处理VPN数据具体流程如下:当对端VPN设备保护的业务主机与本端VPN设备保护的业务主机进行网络通信时,对端VPN设备的交换机或者路由器根据其路由或者MAC地址转发表选择对应的链路上传数据到该链路上部署的VPN设备,VPN设备根据数据包的目的地址、端口及传输协议查找安全策略库,确认此数据包命中的IPSecSP,再通过该IPSecSP在安全关联库中查找对应的IPSecSA,随后根据IPSecSA的工作模式和密钥进行加密封装处理。
优选步骤:所述的步骤(4)中具体流程如下:本端IP协议栈根据目的IP地址、端口及传输层协议查找匹配的IPSecSA,得到正确的IPSecSP后,根据其IPSecSA的密钥、处理模式对该加密封装后的数据包进行解密、解封装,还原出原有数据包后发送到出***换机或者出口路由器。
优选步骤:步骤(1)中所述的相同主机地址是掩码为32位的主机地址。
优选步骤:步骤(1)在负载均衡网络环境中部署4台VPN设备,进行虚拟网卡创建及配置虚拟网卡地址。
优选步骤:所述的虚拟网卡地址配置为VPN设备保护业务网段的一台设备主机地址。
综上所述,由于采用了上述技术方案,本发明的有益效果是:本发明通过使用虚拟网卡和路由技术适应负载均衡网络,不会存在因为VPN设备借用后面保护网络的主机因故障掉线导致网络中断现象,同时通过虚拟网卡的应用,无需调整VPN设备的协议栈,大大降低了VPN产品适应负载均衡网络的开发难度,同时提高了VPN设备的易用性,增强了VPN设备的网络适应能力。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是本发明的原理框图;
图2是本发明的部署结构示意图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
如图1所示,表示VPN设备在收到加密数据包后的处理流程图,数据包进行路由查表后认为数据包的目的地址为虚拟网卡,协议栈把该数据包提交到本地IP协议栈进行VPN解密及解封装处理,处理完成后通过路由查表把新数据包通过真实网卡转发出去。
如图2所示,本发明实施例提供的在负载均衡网络环境下对部署的4台VPN设备进行虚拟网卡创建及配置虚拟网卡地址为业务网段VRRP协议虚拟地址,配置地址掩码为32位。本端主VPN设备使用虚拟网卡地址与对端VPN设备建立IPSecSA(安全关联),并把IPSecSP(安全策略)和安全关联同步到本端网络中的其它VPN设备。
将业务服务器的外出数据包发送给交换机,交换机根据其本身的路由信息和链路情况选择对应链路进行发送;
出口路由器收到对端VPN设备发送过来的数据包,因对端VPN设备与虚拟网卡地址(业务网段的VRRP协议虚拟地址)建立的安全关联,此数据包的目的为业务网段地址。出口路由器上存到此网段的路由,因此出口路由器将根据其路由表信息和到目的地址所有链路的负载情况动态选择链路进行数据转发。
VPN设备的接入不损坏原有业务网络的路由信息表,不会改变原有数据包在网络中传输的路径,原有网络的负载均衡功能没有遭受破坏,大大提供VPN设备的易用性和网络适应能力。
在负载均衡网络中的多台VPN设备内置虚拟网卡配置相同的32位掩码的主机地址,此地址配置为VPN设备保护业务网段的一台设备主机地址。本端的主VPN设备采用虚拟网卡地址与对端VPN设备进行密钥协商成功建立安全关联(SecurityAssociation,SA),并把IPSecSA信息同步到本端的其它VPN设备,保证本端所有部署在负载均衡网络中VPN设备的IPSecSA信息一致。
当本端VPN设备保护的业务主机与对端VPN设备保护的业务主机进行网络通信时,本端VPN设备后端的交换机或者路由器根据其路由或者MAC地址转发表选择对应的链路上传数据到该链路上部署的VPN设备,VPN设备根据数据包的目的地址、端口及传输协议查找安全策略库(SecurityPolicyDatabase,SPD),确认此数据包命中安全策略后(SecurityPolicy,SP),再通过该IPSecSP(安全策略)在安全关联库(SecurityAssociationDatabase,SAD)中查找对应的IPSecSA,随后根据IPSecSA的工作模式、密钥等进行加密封装处理,最后将处理后的新数据包发送到IP协议栈的传输层,由IP协议栈查找对应路由并转发到出口路由器或者出***换机。
当对端VPN设备保护的业务主机与本端VPN设备保护的业务主机进行网络通信时,对端VPN设备根据到本端VPN设备的IPSecSA信息对数据包进行加密封装后发送到本端网络。由于数据包的目的地址为VPN设备所保护网段的主机地址,对于本端网络的出口路由器来讲,达到此主机地址的路由权值相同,出口路由器只需要根据可达目的地址的所有链路中结合链路的负载情况,选择其中的一条链路把数据包转发出去,达到对应链路的VPN设备上。接入链路中的所有VPN设备的虚拟网卡地址掩码为32位,操作***不存在此虚拟网卡的外出路由,VPN设备则不会对其所在网络发送ARP广播,不会对所在网络产生任何影响。
VPN设备处理VPN数据流程如下:
1、由于此以太网数据包的目的地址并不是VPN设备的物理网卡的网络地址,因此数据包在从VPN设备的物理网卡收到IP层协议栈中将进行路由查表;
2、在IP协议栈路由表中,存在该数据包的目的地址为虚拟网卡的路由。于是该数据包将自动路由到VPN设备本地协议栈;
3、VPN设备本地协议栈根据该数据包的协议号,调用IPSec协议栈对报文进行处理;
4、VPN设备将根据该数据包的协议号、端口号等在SAD中查找对应的SA信息;
5、VPN设备根据SA信息对该数据包进行解封装、认证、解密服务;
6、新数据包提交到IP协议栈,IP协议栈进行路由查找后进行转发到交换机或者路由器,最终达到本端VPN设备所保护的业务主机。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (6)
1.一种基于虚拟网卡适应负载均衡网络的VPN隧道实现方法,其特征在于:包括以下步骤:
(1)对负载均衡网络中的两台及以上VPN设备的内置虚拟网卡配置相同主机地址;
(2)本端主VPN设备采用虚拟网卡地址与对端VPN设备进行密钥协商并建立IPSecSA,并把IPSecSA信息同步到本端的其它VPN设备;
(3)当对端VPN设备保护的业务主机与本端VPN设备保护的业务主机进行网络通信时,对端VPN设备根据到本端VPN设备的IPSecSA信息对数据包进行加密封装后发送到本端网络;
(4)将加密封装后的数据包发送到本端IP协议栈的传输层,由IP协议栈查找对应路由并解密、解封装后转发到出口路由器或者出***换机。
2.根据权利要求1所述的一种基于虚拟网卡适应负载均衡网络的VPN隧道实现方法,其特征在于:
所述的步骤(3)中VPN设备处理VPN数据具体流程如下:当对端VPN设备保护的业务主机与本端VPN设备保护的业务主机进行网络通信时,对端VPN设备的交换机或者路由器根据其路由或者MAC地址转发表选择对应的链路上传数据到该链路上部署的VPN设备,VPN设备根据数据包的目的地址、端口及传输协议查找安全策略库,确认此数据包命中的IPSecSP,再通过该IPSecSP在安全关联库中查找对应的IPSecSA,随后根据IPSecSA的工作模式和密钥进行加密封装处理。
3.根据权利要求1所述的一种基于虚拟网卡适应负载均衡网络的VPN隧道实现方法,其特征在于:
所述的步骤(4)中具体流程如下:本端IP协议栈根据目的IP地址、端口及传输层协议查找匹配的IPSecSA,得到正确的IPSecSP后,根据其IPSecSA的密钥、处理模式对该加密封装后的数据包进行解密、解封装,还原出原有数据包后发送到出***换机或者出口路由器。
4.根据权利要求1或2或3所述的一种基于虚拟网卡适应负载均衡网络的VPN隧道实现方法,其特征在于:步骤(1)中所述的相同主机地址是掩码为32位的主机地址。
5.根据权利要求4所述的一种基于虚拟网卡适应负载均衡网络的VPN隧道实现方法,其特征在于:步骤(1)在负载均衡网络环境中部署4台VPN设备,进行虚拟网卡创建及配置虚拟网卡地址。
6.根据权利要求5所述的一种基于虚拟网卡适应负载均衡网络的VPN隧道实现方法,其特征在于:所述的虚拟网卡地址配置为VPN设备保护业务网段的一台设备主机地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210502765.6A CN103067290B (zh) | 2012-11-30 | 2012-11-30 | 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210502765.6A CN103067290B (zh) | 2012-11-30 | 2012-11-30 | 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103067290A CN103067290A (zh) | 2013-04-24 |
| CN103067290B true CN103067290B (zh) | 2016-06-01 |
Family
ID=48109758
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210502765.6A Active CN103067290B (zh) | 2012-11-30 | 2012-11-30 | 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103067290B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9565167B2 (en) * | 2015-01-21 | 2017-02-07 | Huawei Technologies Co., Ltd. | Load balancing internet protocol security tunnels |
| WO2016126313A1 (en) * | 2015-02-05 | 2016-08-11 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
| CN106412883B (zh) * | 2016-11-10 | 2021-11-05 | 新华三技术有限公司 | 一种接入无线网络的方法及装置 |
| WO2018098633A1 (zh) * | 2016-11-29 | 2018-06-07 | 深圳前海达闼云端智能科技有限公司 | 数据传输方法、数据传输装置、电子设备和计算机程序产品 |
| CN108574573B (zh) * | 2017-12-14 | 2021-07-23 | 成都卫士通信息产业股份有限公司 | 为虚拟vpn提供密码服务的方法、密码设备及虚拟vpn服务*** |
| CN108173769B (zh) * | 2017-12-28 | 2021-01-05 | 盛科网络(苏州)有限公司 | 一种报文传输方法、装置及计算机可读存储介质 |
| CN110875913A (zh) | 2018-09-03 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 数据传输方法和*** |
| CN109450852B (zh) * | 2018-10-09 | 2020-09-29 | 中国科学院信息工程研究所 | 网络通信加密解密方法及电子设备 |
| CN111083091B (zh) * | 2018-10-19 | 2022-08-02 | 中兴通讯股份有限公司 | 一种隧道的创建方法、装置及存储介质 |
| CN111614683B (zh) * | 2020-05-25 | 2023-01-06 | 成都卫士通信息产业股份有限公司 | 一种数据处理方法、装置、***及一种网卡 |
| US11082255B1 (en) * | 2020-09-15 | 2021-08-03 | Hong Kong Applied Science and Technology Research Institute Company Limited | Method and an apparatus for establishing secure, low latency, optimized paths in a wide area network |
| CN115622891A (zh) * | 2021-06-29 | 2023-01-17 | 华为技术有限公司 | 通信方法、装置及*** |
| CN115514735B (zh) * | 2022-11-22 | 2023-03-14 | 广州市保伦电子有限公司 | 一种服务器真实ip地址的获取方法、装置和存储介质 |
| CN117254976B (zh) * | 2023-11-15 | 2024-03-19 | 杭州海康威视数字技术股份有限公司 | 基于VPP的国标IPsec VPN实现方法、装置、***及电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642109A (zh) * | 2004-09-30 | 2005-07-20 | 迈普(四川)通信技术有限公司 | 一种实现通信负载均衡的方法及网关、中心网关 |
| CN102088438A (zh) * | 2009-12-03 | 2011-06-08 | 中兴通讯股份有限公司 | 一种解决IPSec Client地址冲突的方法及IPSec Client |
| CN102281161A (zh) * | 2011-09-15 | 2011-12-14 | 浙江大学 | 多代理vpn隧道并发测试***及多代理负载均衡方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100459568C (zh) * | 2005-09-22 | 2009-02-04 | 武汉思为同飞网络技术有限公司 | 在应用层实现vpn协议的***及其方法 |
| CN102474499B (zh) * | 2009-07-10 | 2016-01-20 | 瑞典爱立信有限公司 | 用于选择IPsec策略的方法 |
-
2012
- 2012-11-30 CN CN201210502765.6A patent/CN103067290B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1642109A (zh) * | 2004-09-30 | 2005-07-20 | 迈普(四川)通信技术有限公司 | 一种实现通信负载均衡的方法及网关、中心网关 |
| CN102088438A (zh) * | 2009-12-03 | 2011-06-08 | 中兴通讯股份有限公司 | 一种解决IPSec Client地址冲突的方法及IPSec Client |
| CN102281161A (zh) * | 2011-09-15 | 2011-12-14 | 浙江大学 | 多代理vpn隧道并发测试***及多代理负载均衡方法 |
Non-Patent Citations (1)
| Title |
|---|
| 支持IPSEC VPN的负载均衡器设计;唐黎等;《计算机与信息技术》;20090220;第53-54、57页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103067290A (zh) | 2013-04-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103067290B (zh) | 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 | |
| US11190491B1 (en) | Method and apparatus for maintaining a resilient VPN connection | |
| US8335918B2 (en) | MAC frame provision method and apparatus capable of establishing security in IEEE 802.15.4 network | |
| US20160112325A1 (en) | Load balancing among a cluster of firewall security devices | |
| US20150326533A1 (en) | Load balancing among a cluster of firewall security devices | |
| WO2017181894A1 (zh) | 终端连接虚拟专用网的方法、***及相关设备 | |
| CN107294711A (zh) | 一种基于vxlan技术的电力信息内网报文加密发布方法 | |
| JP5785346B1 (ja) | リンク層セキュリティー伝送をサポートする交換設備およびデータ処理方法 | |
| CN101820383B (zh) | 限制交换机远程访问的方法及装置 | |
| CN102130768A (zh) | 一种具有链路层加解密能力的终端设备及其数据处理方法 | |
| CN106209883A (zh) | 基于链路选择和破碎重组的多链路传输方法及*** | |
| CN102811165A (zh) | 网络***、网关装置以及路径决定方法 | |
| CN102546661B (zh) | 一种防止IPv6网关邻居欺骗攻击的方法及*** | |
| CN111787025B (zh) | 加解密处理方法、装置、***以及数据保护网关 | |
| US11418434B2 (en) | Securing MPLS network traffic | |
| CN101499972A (zh) | Ip安全报文转发方法及装置 | |
| CN104244305A (zh) | 基于atca硬件的多板卡lte网关处理方法及*** | |
| US11606390B1 (en) | Rerouting network traffic based on detecting offline connection | |
| CN106027491B (zh) | 基于隔离ip地址的独立链路式通信处理方法和*** | |
| EP3041277A1 (en) | Frame transfer method, related apparatus, and communications system | |
| CN112383944A (zh) | 内置区块链的无人机蜂群自适应组网方法 | |
| US20200028777A1 (en) | Sdn, method for forwarding packet by sdn, and apparatus | |
| WO2018205636A1 (zh) | 一种网关装置 | |
| CN102932229A (zh) | 一种对数据包进行加解密处理的方法 | |
| EP4181431A1 (en) | Service transmission method and apparatus, network device, and storage medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: No. 333, Yunhua Road, Chengdu hi tech Zone, China (Sichuan) pilot Free Trade Zone, Chengdu, Sichuan 610041 Patentee after: China Electronics Technology Network Security Technology Co.,Ltd. Address before: 610041, No. 8, pioneering Road, hi tech Zone, Sichuan, Chengdu Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc. |