CN104184675A - 一种负载均衡的IPSec VPN设备集群***及其工作方法 - Google Patents
一种负载均衡的IPSec VPN设备集群***及其工作方法 Download PDFInfo
- Publication number
- CN104184675A CN104184675A CN201410460656.1A CN201410460656A CN104184675A CN 104184675 A CN104184675 A CN 104184675A CN 201410460656 A CN201410460656 A CN 201410460656A CN 104184675 A CN104184675 A CN 104184675A
- Authority
- CN
- China
- Prior art keywords
- address
- ipsec vpn
- equipment
- security
- load
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种负载均衡的IPSec VPN设备集群***及其工作方法。所述***包括若干IPSec VPN设备,每台IPSec VPN设备均运行有计算能力评估模块、组内同步模块、负载管理模块、地址应答器、数据分类器。本发明实现了由不同IPSec VPN设备所组成的IPSec VPN集群的工作IP地址唯一和有效的负载均衡及冗余备份,经过不同IPSec VPN设备处理的出站IP数据报文具有相同的源IP地址,而入站的IP数据报文能实现负载的自动分配;多台不同设备间实现序列号和抗重放窗口的即时同步,实现负载的零间隔无缝切换。
Description
技术领域
本发明属于数据通信领域,涉及一种负载均衡的IPSec VPN设备集群***及其工作方法。
背景技术
IPSec:Internet Protocol Security的缩写,表示Internet 协议安全性。是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯;
VPN:虚拟专用网络(Virtual Private Network ,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet、ATM(异步传输模式〉、Frame Relay (帧中继)等之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
安全策略(SP):安全策略一般由五元组形式的选择符唯一标志,该五元组包括源IP地址、目的IP地址、源传输层端口、目的传输层端口、传输层协议号,指示了明文数据报文的处理方式:丢弃、绕过IPSec或使用IPSec安全联盟处理。
安全联盟(SA):安全联盟由三元组唯一标识,该三元组包括安全参数索引(SPI)、目的IP地址(单播地址)和安全协议(AH或ESP)标识符,指示了IPSec处理数据包的算法、密钥、抗重放窗口、封装方式等具体的参数。
由于IPSec VPN采用了多种安全技术对数据进行处理,而且是部署在用户网络的出入口处,对设备处理性能和可靠性的要求是很高的,可以采用多台IPSec VPN设备集群的技术来解决性能和可靠性的问题。
IPSec VPN自身的技术特点为多IPSec VPN设备集群的实现设置了两大障碍,一是隧道封装导致经过不同IPSec VPN设备处理的出站IP数据报文具有不同的源IP地址,而入站的IP数据报文由于目的地址不同又无法实现负载的自动分配;二是序列号和抗重放窗口随着每一个数据报文更新,多台不同设备间无法实现序列号和抗重放窗口的即时同步,故障时的热切换存在问题。
发明内容
为解决上述问题,本发明提供了一种负载均衡的IPSec VPN设备集群***,包括若干IPSec VPN设备,每台IPSec VPN设备均运行有计算能力评估模块、组内同步模块、负载管理模块、地址应答器、数据分类器;
计算能力评估模块用于在同一个集群内的IPSec VPN设备起动时进行签名运算,得到其所在IPSec VPN设备的计算能力评估结果;
组内同步模块负责在同一个集群内的所有成员设备间进行安全策略、安全联盟、在线状态和计算能力信息的交互和同步并形成全局一致的安全策略、安全联盟和在线状态;
负载管理模块通过组内同步信息得到全局一致的安全策略、安全联盟和在线状态,根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配,并根据其所在IPSec VPN设备的负载分配设置实际生效的安全策略和安全联盟;
地址应答器根据***内所有IPSec VPN设备统一设置的虚拟地址信息,对从内网出站的IP数据报文和从外网入站的IP数据报文的链路层地址请求进行一致的回应;
数据分类器根据数据报文是否处在其所在IPSec VPN设备已生效的安全策略或安全联盟之内,对进出站的IP数据报文提供不同的处理路径。
进一步的,所述集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址,作为组内通讯地址,组内同步模块定期将本台设备的安全策略、安全联盟、在线状态和计算能力评估结果通过多播的方式传递到集群的其他成员设备,同时也接受其他成员设备通过多播传递过来的安全策略、安全联盟、在线状态和计算能力评估结果,形成该集群全局一致的安全策略和安全联盟。
进一步的,所述设备集群各IPSec VPN设备具有共享的虚拟IP地址,作为该集群共享的IPSec VPN隧道源IP地址,所有通过该集群处理的出站IP数据报文都以该集群各成员设备共享的虚拟IP地址作为隧道封装后的源IP地址,而所有以该虚拟IP地址为目的IP地址的入站IPSec报文将被集群内的所有在线成员设备接收。
进一步的,计算能力评估模块以多线程的方式运行1万次2048比特模长的RSA签名运算,并计算出以次/秒为单位的签名速度,作为其所在IPSec VPN设备的计算能力评估结果。
上述的负载均衡的IPSec VPN设备集群***的工作方法包括如下步骤:
步骤一:为同一个IPSec VPN设备集群设置各成员设备共享的虚拟IP地址,作为该集群共享的IPSec VPN隧道源IP地址;
步骤二:同一个集群内的IPSec VPN设备起动时,运行计算能力评估模块,得到每个IPSec VPN设备的计算能力评估结果;
步骤三:同一个集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址,作为组内通讯地址;
步骤四:负载管理模块根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配并根据本机的负载分配设置实际生效的安全策略和安全联盟;
步骤五:以太网环境下,对每一个进出站的数据报文,对IPSec VPN集群的虚拟IP地址或网关IP地址进行链路层地址解析,即请求虚拟IP地址或网关IP地址对应的48比特的MAC地址;
步骤六:数据分类器根据接收到的数据报文是否处在本机已生效的安全策略或安全联盟范围之内,对进出站的IP数据报文提供不同的处理路径。
进一步的,所述步骤四具体为:
首先,按照各成员设备实际IP地址从大到小的顺序将集群内的所有设备统一排序并编号;对于全局安全策略,按照源IP地址、目的IP地址、源传输层端口、目的传输层端口、传输层协议号的五元组依次从大到小排序;对于全局安全联盟,按照目的IP地址、安全参数索引、安全协议的三元组依次从大到小排序;
然后,将各成员设备的计算能力累加作为总计算能力,各成员设备计算能力与总计算能力的比值作为该设备分配到的负载比例,按照设备编号和负载比例分别依次从全局安全策略和全局安全联盟获取本设备实际生效的安全策略和安全联盟,对于每台设备,全局策略和全局联盟中除去该设备实际生效的安全策略和安全联盟,剩下的属于该设备仅更新的安全策略和安全联盟;
负载管理模块根据定期收到的组内同步信息定期更新本设备的实际生效的安全策略和安全联盟以及仅更新的安全策略和安全联盟,如果有设备失效,则该设备所分配到的负载,即该设备实际生效的安全策略和安全联盟将根据其他设备的计算能力重新分配给其他设备。
进一步的,步骤五中,将虚拟IP地址或网关IP地址对应的MAC地址设置为可配置的多播MAC地址,地址应答器对于对IPSec VPN集群的虚拟IP地址或网关IP地址进行的所有链路层地址解析请求,统一回应为设置的多播MAC地址,这样进出站的所有需要进行IPSec处理的进出站IP数据报文以及IKE协商报文会通过多播通道到达集群的每台设备。
进一步的,步骤六中,所述数据分流器对出站的IP数据报文提供不同的处理路径具体为:
对于处在本机已生效的安全策略或安全联盟范围之内的数据报文,进行正常的IPSec处理;
对于处在本机已生效的安全策略或安全联盟范围之外但在仅更新的安全策略和安全联盟范围之内的数据报文,仅进行序列号的更新或序列号的验证及抗重放窗口的更新以及安全策略和安全联盟生存期的更新,并将该报文丢弃;
当集群中设备故障不能工作,该设备的负载将通过组内同步模块和负载管理模块分担到其他设备,实现负载的零间隔无缝切换。
本发明的有益效果为:
本发明实现了由不同IPSEC VPN设备所组成的IPSEC VPN集群的工作IP地址唯一和有效的负载均衡及冗余备份,不需要增加专用的负载均衡设备机壳实现负载的分配,降低了成本。在主控节点有故障的情况下能够重新选举新的主控节点,避免了单点故障导致多机集群的集体失效,具有相当高的可靠性。
附图说明
图1为本发明所述IPSec VPN集群负载均衡功能模块结构示意图。
具体实施方式
本发明所述***包括若干IPSec VPN设备,每台IPSec VPN设备均运行有计算能力评估模块、组内同步模块、负载管理模块、地址应答器、数据分类器。
计算能力评估模块用于计算能力评估模块以多线程的方式运行1万次2048比特模长的RSA签名运算,并计算出以次/秒为单位的签名速度,作为其所在IPSec VPN设备的计算能力评估结果。
组内同步模块负责在同一个集群内的所有成员设备间进行安全策略SP、安全联盟SA、在线状态和计算能力信息的交互和同步并形成全局一致的安全策略、安全联盟和在线状态。
负载管理模块通过组内同步信息得到全局一致的安全策略、安全联盟和在线状态,根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配并根据本机的负载分配设置实际生效的安全策略和安全联盟。
地址应答器根据全局设置的虚拟地址信息,对从内网出站的IP数据报文和从外网入站的IP数据报文的链路层地址请求(以太网环境下为48比特的MAC地址)进行一致的回应。
数据分类器根据数据报文是否处在本机已生效的安全策略或安全联盟之内,对进出站的IP数据报文提供不同的处理路径。
所述集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址,作为组内通讯地址,组内同步模块定期将本台设备的安全策略、安全联盟、在线状态和计算能力评估结果通过多播的方式传递到集群的其他成员设备,同时也接受其他成员设备通过多播传递过来的安全策略、安全联盟、在线状态和计算能力评估结果,形成该集群全局一致的安全策略和安全联盟。
所述设备集群各IPSec VPN设备具有共享的虚拟IP地址,作为该集群共享的IPSec VPN隧道源IP地址,所有通过该集群处理的出站IP数据报文都以该集群各成员设备共享的虚拟IP地址作为隧道封装后的源IP地址,而所有以该虚拟IP地址为目的IP地址的入站IPSec报文将被集群内的所有在线成员设备接收。
下面结合图1对上述***的具体工作步骤进行说明。
步骤一:为同一个IPSec VPN设备集群设置各成员设备共享的虚拟IP地址,作为该集群共享的IPSec VPN隧道源IP地址。所有通过该集群处理的出站IP数据报文都以该虚拟IP地址作为隧道封装后的源IP地址,而所有以该虚拟IP地址为目的IP地址的入站IPSec报文将被集群内的所有在线成员设备接收。
步骤二:同一个集群内的IPSec VPN设备起动时,运行计算能力评估模块,该模块以多线程的方式运行1万次2048比特模长的RSA签名运算,并计算出以次/秒为单位的签名速度,作为该IPSec VPN设备的计算能力评估结果。
步骤三:同一个集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址,作为组内通讯地址。组内同步模块定期将本台设备的安全策略、安全联盟、在线状态和计算能力评估结果通过多播的方式传递到集群的其他成员设备,同时也接受其他成员设备通过多播传递过来的安全策略、安全联盟、在线状态和计算能力评估结果,形成该集群全局一致的安全策略和安全联盟。
步骤四:负载管理模块根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配并根据本机的负载分配设置实际生效的安全策略和安全联盟。首先,按照各成员设备实际IP地址从大到小的顺序将集群内的所有设备统一排序并编号;对于全局安全策略,按照源IP地址、目的IP地址、源传输层端口、目的传输层端口、传输层协议号的五元组依次从大到小排序;对于全局安全联盟,按照目的IP地址、安全参数索引、安全协议的三元组依次从大到小排序。然后,将各成员设备的计算能力累加作为总计算能力,各成员设备计算能力与总计算能力的比值作为该设备分配到的负载比例,按照设备编号和负载比例分别依次从全局安全策略和全局安全联盟获取本设备实际生效的安全策略和安全联盟,对于每台设备,全局策略和全局联盟中除去该设备实际生效的安全策略和安全联盟,剩下的属于该设备仅更新的安全策略和安全联盟。负载管理模块将根据定期收到的组内同步信息定期更新本设备的实际生效的安全策略和安全联盟以及仅更新的安全策略和安全联盟,如果有设备失效,则该设备所分配到的负载,即该设备实际生效的安全策略和安全联盟将根据其他设备的计算能力重新分配给其他设备。
步骤五:以太网环境下,对于每一个进出站的数据报文,都将对IPSec VPN集群的虚拟IP地址或网关IP地址进行链路层地址解析,即请求虚拟IP地址或网关IP地址对应的48比特的MAC地址。本发明将虚拟IP地址或网关IP地址对应的48比特的MAC地址设置为可配置的多播MAC地址,即01:00:5e为前缀的MAC地址。地址应答器对于对IPSec VPN集群的虚拟IP地址或网关IP地址进行的所有链路层地址解析请求,统一回应为设置的多播MAC地址。这样进出站的所有需要进行IPSec处理的进出站IP数据报文以及IKE协商报文会通过多播通道到达集群的每台设备。
步骤六:数据分类器根据接收到的数据报文是否处在本机已生效的安全策略或安全联盟范围之内,对进出站的IP数据报文提供不同的处理路径。对于处在本机已生效的安全策略或安全联盟范围之内的数据报文,进行正常的IPSec处理(触发IKE协商、加解密、完整性校验/验证、隧道封装/重构、序列号和抗重放窗口的更新、生存期更新等);对于处在本机已生效的安全策略或安全联盟范围之外但在仅更新的安全策略和安全联盟范围之内的数据报文,仅进行序列号(出站)的更新或序列号的验证及抗重放窗口(入站)的更新以及安全策略和安全联盟生存期的更新,并将该报文丢弃。集群中如果有设备故障不能工作,该设备的负载将通过组内同步模块和负载管理模块分担到其他设备,表现为各设备实际生效和仅更新的安全策略、安全联盟的变化,而由于各设备都能接收到所有的数据报文,序列号和抗重放窗口、生存期等实时更新信息一直随着数据报文进行更新,所以此时只需要调整数据报文的处理路径,对整个***的运行状况基本上没有任何影响,能够实现负载的零间隔无缝切换。
本发明的有益效果为:
本发明实现了由不同IPSec VPN设备所组成的IPSec VPN集群的工作IP地址唯一和有效的负载均衡及冗余备份,经过不同IPSec VPN设备处理的出站IP数据报文具有相同的源IP地址,而入站的IP数据报文能实现负载的自动分配;多台不同设备间实现序列号和抗重放窗口的即时同步,实现负载的零间隔无缝切换。
Claims (8)
1.一种负载均衡的IPSec VPN设备集群***,其特征在于,包括若干IPSec VPN设备,每台IPSec VPN设备均运行有计算能力评估模块、组内同步模块、负载管理模块、地址应答器、数据分类器;
计算能力评估模块用于在同一个集群内的IPSec VPN设备起动时进行签名运算,得到其所在IPSec VPN设备的计算能力评估结果;
组内同步模块负责在同一个集群内的所有成员设备间进行安全策略、安全联盟、在线状态和计算能力信息的交互和同步并形成全局一致的安全策略、安全联盟和在线状态;
负载管理模块通过组内同步信息得到全局一致的安全策略、安全联盟和在线状态,根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配,并根据其所在IPSec VPN设备的负载分配设置实际生效的安全策略和安全联盟;
地址应答器根据***内所有IPSec VPN设备统一设置的虚拟地址信息,对从内网出站的IP数据报文和从外网入站的IP数据报文的链路层地址请求进行一致的回应;
数据分类器根据数据报文是否处在其所在IPSec VPN设备已生效的安全策略或安全联盟之内,对进出站的IP数据报文提供不同的处理路径。
2.如权利要求1所述的负载均衡的IPSec VPN设备集群***,其特征在于,所述集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址,作为组内通讯地址,组内同步模块定期将本台设备的安全策略、安全联盟、在线状态和计算能力评估结果通过多播的方式传递到集群的其他成员设备,同时也接受其他成员设备通过多播传递过来的安全策略、安全联盟、在线状态和计算能力评估结果,形成该集群全局一致的安全策略和安全联盟。
3.如权利要求1或2所述的负载均衡的IPSec VPN设备集群***,其特征在于,所述设备集群各IPSec VPN设备具有共享的虚拟IP地址,作为该集群共享的IPSec VPN隧道源IP地址,所有通过该集群处理的出站IP数据报文都以该集群各成员设备共享的虚拟IP地址作为隧道封装后的源IP地址,而所有以该虚拟IP地址为目的IP地址的入站IPSec报文将被集群内的所有在线成员设备接收。
4.如权利要求1所述的负载均衡的IPSec VPN设备集群***,其特征在于,计算能力评估模块以多线程的方式运行1万次2048比特模长的RSA签名运算,并计算出以次/秒为单位的签名速度,作为其所在IPSec VPN设备的计算能力评估结果。
5.如权利要求1~4中任一项所述的负载均衡的IPSec VPN设备集群***的工作方法,其特征在于,包括如下步骤:
步骤一:为同一个IPSec VPN设备集群设置各成员设备共享的虚拟IP地址,作为该集群共享的IPSec VPN隧道源IP地址;
步骤二:同一个集群内的IPSec VPN设备起动时,运行计算能力评估模块,得到每个IPSec VPN设备的计算能力评估结果;
步骤三:同一个集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址,作为组内通讯地址;
步骤四:负载管理模块根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配并根据本机的负载分配设置实际生效的安全策略和安全联盟;
步骤五:以太网环境下,对每一个进出站的数据报文,对IPSec VPN集群的虚拟IP地址或网关IP地址进行链路层地址解析,即请求虚拟IP地址或网关IP地址对应的48比特的MAC地址;
步骤六:数据分类器根据接收到的数据报文是否处在本机已生效的安全策略或安全联盟范围之内,对进出站的IP数据报文提供不同的处理路径。
6.如权利要求5所述的负载均衡的IPSec VPN设备集群***的工作方法,其特征在于,所述步骤四具体为:
首先,按照各成员设备实际IP地址从大到小的顺序将集群内的所有设备统一排序并编号;对于全局安全策略,按照源IP地址、目的IP地址、源传输层端口、目的传输层端口、传输层协议号的五元组依次从大到小排序;对于全局安全联盟,按照目的IP地址、安全参数索引、安全协议的三元组依次从大到小排序;
然后,将各成员设备的计算能力累加作为总计算能力,各成员设备计算能力与总计算能力的比值作为该设备分配到的负载比例,按照设备编号和负载比例分别依次从全局安全策略和全局安全联盟获取本设备实际生效的安全策略和安全联盟,对于每台设备,全局策略和全局联盟中除去该设备实际生效的安全策略和安全联盟,剩下的属于该设备仅更新的安全策略和安全联盟;
负载管理模块根据定期收到的组内同步信息定期更新本设备的实际生效的安全策略和安全联盟以及仅更新的安全策略和安全联盟,如果有设备失效,则该设备所分配到的负载,即该设备实际生效的安全策略和安全联盟将根据其他设备的计算能力重新分配给其他设备。
7.如权利要求5所述的负载均衡的IPSec VPN设备集群***的工作方法,其特征在于,步骤五中,将虚拟IP地址或网关IP地址对应的MAC地址设置为可配置的多播MAC地址,地址应答器对于对IPSec VPN集群的虚拟IP地址或网关IP地址进行的所有链路层地址解析请求,统一回应为设置的多播MAC地址,这样进出站的所有需要进行IPSec处理的进出站IP数据报文以及IKE协商报文会通过多播通道到达集群的每台设备。
8.如权利要求5所述的负载均衡的IPSec VPN设备集群***的工作方法,其特征在于,步骤六中,所述数据分流器对出站的IP数据报文提供不同的处理路径具体为:
对于处在本机已生效的安全策略或安全联盟范围之内的数据报文,进行正常的IPSec处理;
对于处在本机已生效的安全策略或安全联盟范围之外但在仅更新的安全策略和安全联盟范围之内的数据报文,仅进行序列号的更新或序列号的验证及抗重放窗口的更新以及安全策略和安全联盟生存期的更新,并将该报文丢弃;
当集群中设备故障不能工作,该设备的负载将通过组内同步模块和负载管理模块分担到其他设备,实现负载的零间隔无缝切换。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410460656.1A CN104184675B (zh) | 2014-09-12 | 2014-09-12 | 一种负载均衡的IPSec VPN设备集群***及其工作方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410460656.1A CN104184675B (zh) | 2014-09-12 | 2014-09-12 | 一种负载均衡的IPSec VPN设备集群***及其工作方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104184675A true CN104184675A (zh) | 2014-12-03 |
| CN104184675B CN104184675B (zh) | 2017-05-31 |
Family
ID=51965433
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410460656.1A Active CN104184675B (zh) | 2014-09-12 | 2014-09-12 | 一种负载均衡的IPSec VPN设备集群***及其工作方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104184675B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104954222A (zh) * | 2015-05-22 | 2015-09-30 | 东南大学 | 基于ipsec协议的隧道模式esp硬件封装装置 |
| WO2017070973A1 (zh) * | 2015-10-31 | 2017-05-04 | 华为技术有限公司 | 因特网协议安全性隧道建立方法,用户设备及基站 |
| CN108322330A (zh) * | 2017-12-26 | 2018-07-24 | 成都卫士通信息产业股份有限公司 | 一种ipsec vpn序列号及抗重放窗口同步方法及设备 |
| CN112714069A (zh) * | 2021-01-06 | 2021-04-27 | 上海交通大学 | 一种IPSec安全网关环境中将分流模块下放至网卡硬件的方法 |
| CN113312151A (zh) * | 2021-06-23 | 2021-08-27 | 哈尔滨工程大学 | 一种IPSecVPN集群的负载均衡方法 |
| CN116016529A (zh) * | 2022-12-27 | 2023-04-25 | 南方电网数字电网研究院有限公司 | IPSec VPN设备负载均衡管理方法和装置 |
| CN116155477A (zh) * | 2023-04-18 | 2023-05-23 | 湖北省楚天云有限公司 | 一种基于动态滑动窗口的IPsec抗重放方法及*** |
| CN117240455A (zh) * | 2023-10-16 | 2023-12-15 | 北京环宇博亚科技有限公司 | 一种基于IPsec链路加密方法的加密*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8104081B2 (en) * | 2005-11-15 | 2012-01-24 | Avaya Inc. | IP security with seamless roaming and load balancing |
| US8364948B2 (en) * | 2004-07-02 | 2013-01-29 | Hewlett-Packard Development Company, L.P. | System and method for supporting secured communication by an aliased cluster |
| CN103107973A (zh) * | 2011-11-09 | 2013-05-15 | 中兴通讯股份有限公司 | 一种实现安全协议高可用性的方法及装置 |
| CN103200094A (zh) * | 2013-03-14 | 2013-07-10 | 成都卫士通信息产业股份有限公司 | 一种实现网关动态负载分配的方法 |
-
2014
- 2014-09-12 CN CN201410460656.1A patent/CN104184675B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8364948B2 (en) * | 2004-07-02 | 2013-01-29 | Hewlett-Packard Development Company, L.P. | System and method for supporting secured communication by an aliased cluster |
| US8104081B2 (en) * | 2005-11-15 | 2012-01-24 | Avaya Inc. | IP security with seamless roaming and load balancing |
| CN103107973A (zh) * | 2011-11-09 | 2013-05-15 | 中兴通讯股份有限公司 | 一种实现安全协议高可用性的方法及装置 |
| CN103200094A (zh) * | 2013-03-14 | 2013-07-10 | 成都卫士通信息产业股份有限公司 | 一种实现网关动态负载分配的方法 |
Non-Patent Citations (2)
| Title |
|---|
| 周振斌,唐剑琪: "《基于负载均衡的高吞吐量IPsec VPN***》", 《计算机工程与应用》 * |
| 尹建平: "《基于IPSec的分布式集群VPN应用研究》", 《中国优秀博硕士学位论文全文数据库(硕士) 信息科技辑》 * |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104954222A (zh) * | 2015-05-22 | 2015-09-30 | 东南大学 | 基于ipsec协议的隧道模式esp硬件封装装置 |
| WO2017070973A1 (zh) * | 2015-10-31 | 2017-05-04 | 华为技术有限公司 | 因特网协议安全性隧道建立方法,用户设备及基站 |
| CN107005410A (zh) * | 2015-10-31 | 2017-08-01 | 华为技术有限公司 | 因特网协议安全性隧道建立方法,用户设备及基站 |
| CN107005410B (zh) * | 2015-10-31 | 2020-06-26 | 大势至(北京)软件工程有限公司 | 因特网协议安全性隧道建立方法,用户设备及基站 |
| CN108322330A (zh) * | 2017-12-26 | 2018-07-24 | 成都卫士通信息产业股份有限公司 | 一种ipsec vpn序列号及抗重放窗口同步方法及设备 |
| CN108322330B (zh) * | 2017-12-26 | 2021-03-02 | 成都卫士通信息产业股份有限公司 | 一种ipsec vpn序列号及抗重放窗口同步方法及设备 |
| CN112714069A (zh) * | 2021-01-06 | 2021-04-27 | 上海交通大学 | 一种IPSec安全网关环境中将分流模块下放至网卡硬件的方法 |
| CN113312151A (zh) * | 2021-06-23 | 2021-08-27 | 哈尔滨工程大学 | 一种IPSecVPN集群的负载均衡方法 |
| CN116016529A (zh) * | 2022-12-27 | 2023-04-25 | 南方电网数字电网研究院有限公司 | IPSec VPN设备负载均衡管理方法和装置 |
| CN116155477A (zh) * | 2023-04-18 | 2023-05-23 | 湖北省楚天云有限公司 | 一种基于动态滑动窗口的IPsec抗重放方法及*** |
| CN116155477B (zh) * | 2023-04-18 | 2023-07-18 | 湖北省楚天云有限公司 | 一种基于动态滑动窗口的IPsec抗重放方法及*** |
| CN117240455A (zh) * | 2023-10-16 | 2023-12-15 | 北京环宇博亚科技有限公司 | 一种基于IPsec链路加密方法的加密*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104184675B (zh) | 2017-05-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104184675A (zh) | 一种负载均衡的IPSec VPN设备集群***及其工作方法 | |
| CN104270298B (zh) | 一种vxlan网络中的报文转发方法及装置 | |
| CN107852365B (zh) | 用于动态vpn策略模型的方法和装置 | |
| CN107294711B (zh) | 一种基于vxlan技术的电力信息内网报文加密发布方法 | |
| CN104335531B (zh) | 在大规模分布式虚拟交换机中实现pvlan | |
| CN103475655B (zh) | 一种实现IPSecVPN主备链路动态切换的方法 | |
| CN103067290B (zh) | 基于虚拟网卡适应负载均衡网络的vpn隧道实现方法 | |
| CN102025646B (zh) | 链路倒换方法及其装置 | |
| CN108574616A (zh) | 一种处理路由的方法、设备及*** | |
| CN104780069B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其*** | |
| CN104283701A (zh) | 配置信息的下发方法、***及装置 | |
| CN103763310A (zh) | 基于虚拟网络的防火墙服务***及方法 | |
| CN101917294B (zh) | 主备切换时更新防重放参数的方法和设备 | |
| EP2777217A1 (en) | Protocol for layer two multiple network links tunnelling | |
| CN104023022B (zh) | 一种IPSec SA的获取方法和装置 | |
| CN112822103B (zh) | 一种信息上报方法和信息处理方法及设备 | |
| CN101072157A (zh) | 虚拟专用网负载备份***及其建立方法与数据转发方法 | |
| CN107257300B (zh) | 一种无线备份的4g接入设备、***及其方法 | |
| CN106034052A (zh) | 一种对虚拟机间二层流量进行监控的***及方法 | |
| CN107735989A (zh) | 用于传输网络上站点互连的方法和*** | |
| CN108243114A (zh) | 一种转发报文的方法、设备及*** | |
| CN106027491A (zh) | 基于隔离ip地址的独立链路式通信处理方法和*** | |
| Shin et al. | Performance improvement for the HSR ring protocol with traffic control in smart grid | |
| CN103023741A (zh) | Vpn设备故障处理方法 | |
| CN102917081B (zh) | Vpn客户端ip地址的分配方法、报文传输方法及vpn服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041 Patentee after: China Electronics Technology Network Security Technology Co.,Ltd. Address before: No. 333, Yunhua Road, high tech Zone, Chengdu, Sichuan 610041 Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc. |