CN115865788A - 面向多链路动态路由的IPSec隧道模式通信方法及装置 - Google Patents
面向多链路动态路由的IPSec隧道模式通信方法及装置 Download PDFInfo
- Publication number
- CN115865788A CN115865788A CN202211481493.6A CN202211481493A CN115865788A CN 115865788 A CN115865788 A CN 115865788A CN 202211481493 A CN202211481493 A CN 202211481493A CN 115865788 A CN115865788 A CN 115865788A
- Authority
- CN
- China
- Prior art keywords
- ipsec
- node
- service
- nodes
- ipsec node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种面向多链路动态路由的IPSec隧道模式通信方法及装置,包括:在中心端设置N条网络链路且每条链路部署一个IPSec节点,每个远端部署一个IPSec节点;所有第一IPSec节点与第二IPSec节点都有互通关系;将中心端的多个业务子网划分到N个第一IPSec节点,每个业务选择N个第一IPSec节点中网络路径最短的节点为主第一IPSec节点,其他N‑1个节点为备用第一IPSec节点;对每个业务子网单独配置业务安全策略SP,当探测到业务SP当前采用的第一IPSec节点与第二IPSec节点之间的来回路径不一致或不可用时,则将业务SP切换到第二IPSec节点探测的来回路径一致并可用的其他第一IPSec节点上。本发明保证对称路由,实现链路备份和动态路由适配。
Description
技术领域
本发明属于通信领域,更具体地,涉及一种面向多链路动态路由的IPSec隧道模式通信方法及装置。
背景技术
现有隧道模式可以隐藏IP数据的真实源、目的地址和通信协议,在一个安全策略(Security Policy,SP)里设置多个互联网安全协议(Internet Protocol Security,IPSec)对端节点,通过对端检测和切换的方式实现均衡。但这种方案只能对加密方向的路径进行选择,无法控制解密方向的路径,如果解密方向与加密方向数据包路径不一致,防火墙设备会阻拦不成对的TCP等数据包,在这种动态路由环境下会概率性的出现非对称路由,即来回路径不一致,无法实现链路备份,造成数据中断;同时,对端检测只检测对端节点的保活状态,不检测对端节点到其保护子网的链路,极端情况下会出现对端节点内网口未连接,但仍判断对端存活不进行切换造成业务中断,因此应用的局限性很高。
综上所述,现有技术中尚未提供一种技术方案,对动态路由网络环境,既能隐藏IP数据的真实源、目的地址和通信协议,提高通信安全性;又能保证对称路由,实现链路备份,避免防火墙丢包。
发明内容
针对现有技术的缺陷,本发明的目的在于提供一种面向多链路动态路由的IPSec隧道模式通信方法及装置,旨在解决现有技术中尚未提供一种技术方案,对动态路由网络环境,既能隐藏IP数据的真实源、目的地址和通信协议,提高通信安全性;又能保证对称路由,实现链路备份,避免防火墙丢包的问题。
为实现上述目的,第一方面,本发明提供了一种面向多链路动态路由的IPSec隧道模式通信方法,该方法适用于通信网络,所述通信网络包括中心端和远端,且通信网络采用动态路由协议;该方法包括如下步骤:
在中心端设置N条网络链路且每条链路部署一个IPSec节点,称为第一IPSec节点;每个远端部署一个IPSec节点,称为第二IPSec节点;所有第一IPSec节点与第二IPSec节点都有互通关系;
将中心端的多个业务子网划分到N个第一IPSec节点,每个业务子网选择N个第一IPSec节点中网络路径最短的节点为主第一IPSec节点,其他N-1个节点为备用第一IPSec节点;
对每个业务子网单独配置业务安全策略SP,并根据各个业务SP生成对应的探测SP;所述SP采用隧道模式,所述探测SP的优先级高于业务SP;
控制N个第一IPSec节点和第二IPSec节点针对所有业务SP和探测SP建立IPSec链路;所述业务SP优先使用主第一IPSec节点进行通信,所述探测SP用于指示第二IPSec节点对N个第一IPSec节点进行路径探测;
当第二IPSec节点探测到业务SP当前采用的第一IPSec节点与第二IPSec节点之间的来回路径不一致或不可用时,则将业务SP切换到第二IPSec节点探测的来回路径一致并可用的其他第一IPSec节点上。
在一个可选的示例中,所述探测SP用于指示第二IPSec节点对N个第一IPSec节点进行路径探测,具体为:
第二IPSec节点使用TCP协议和/或UDP协议向第一IPSec节点发起探测;所述探测包括请求包和响应包;所述请求包由第二IPSec节点发出,响应包由第一IPSec节点回应;
第一IPSec节点检查自己到保护子网的路径状态和自身的状态,如果出现故障,则回复一个包含错误码的响应包,当第二IPSec节点收到错误的响应包或者指定时间内没有收到响应包则认为当次探测请求产生一次错包,继续向第一IPSec节点发送探测请求包;
当第二IPSec节点累积收到预设次数的错包,则判定对应的第一IPSec节点失效,认为第二IPSec节点与对应的第一IPSec节点之间的来回路径不一致或不可用;
当第二IPSec节点判定对应的第一IPSec节点失效时,检查对应的第一IPSec节点是否在某业务SP正在使用的网络链路上,若是,则将对应的业务SP切换到其他第一IPSec节点上。
在一个可选的示例中,该方法还包括如下步骤:
在每个第一IPSec节点后的路由最末端设置一个信标装置,每个信标装置都有与其有相同子网位置的保护子网,该保护子网对应的业务SP与该信标装置相关联;所述信标装置运行的网络协议为TCP协议和/或UDP协议;
所述探测SP用于指示第二IPSec节点对N个第一IPSec节点进行路径探测,具体为:
第二IPSec节点使用TCP协议和/或UDP协议向信标装置发起探测;所述探测包括请求包和响应包;所述请求包由第二IPSec节点发出,响应包由信标装置回应;
信标装置检查自己的网络状态,如果出现故障,则回复一个包含错误码的响应包,当第二IPSec节点收到错误的响应包或者指定时间内没有收到响应包则认为当次探测请求产生一次错包,继续向信标装置发送探测请求;
当第二IPSec节点累积收到预设次数的错包,则判定信标装置对应的第一IPSec节点失效,认为第二IPSec节点与对应的第一IPSec节点之间的来回路径不一致或不可用;
当第二IPSec节点判定对应的第一IPSec节点失效时,检查对应的第一IPSec节点是否在某业务SP正在使用的网络链路上,若是,则将对应的业务SP切换到其他第一IPSec节点上。
在一个可选的示例中,所述将业务SP切换到第二IPSec节点探测的来回路径一致并可用的其他第一IPSec节点上,具体为:
第二IPSec节点对接收的待切换路径业务SP的解密流量进行记录;
第二IPSec节点根据隧道模式的数据格式从所述解密数据中确定其所属业务SP的发送方路由,并将所述业务SP切换到所述发送方路由对应的第一IPSec节点上;
后续第二IPSec节点一旦确定所述业务SP的主第一IPSec节点有效,则将所述业务SP的链路恢复到主第一IPSec节点。
在一个可选的示例中,所述将业务SP切换到第二IPSec节点探测的来回路径一致并可用的其他第一IPSec节点上,具体为:
找到与该业务SP相关联的信标装置,修改到该信标装置的探测SP,随机选用除失效第一IPSec节点之外的其他第一IPSec节点设为所述探测SP的对端,然后对该信标装置进行探测,直到探测回复有效,将所述业务SP的链路切换到探测有效的第一IPSec节点;
后续第二IPSec节点一旦探测到所述业务SP的主第一IPSec节点有效,则将所述业务SP的链路恢复到主第一IPSec节点。
在一个可选的示例中,如果没有设置信标装置,所述探测SP用于保护:第二IPSec节点地址和第一IPSec节点地址;
如果设置了信标装置,所述探测SP用于保护:第二IPSec节点地址和信标装置地址。
在一个可选的示例中,所述探测请求包的发送时间间隔和和错包的预设次数可调,以控制路由动态变化的敏感度。
在一个可选的示例中,所述每个业务子网选择N个第一IPSec节点中的1个节点为主第一IPSec节点,具体为:
每个业务子网将N个第一IPSec节点中处理其业务所需网络路径最短的节点作为主第一IPSec节点,N个第一IPSec节点互为备用第一IPSec节点,相互分担网络负载;
主第一IPSec节点的优先级高于备用第一IPSec节点的优先级。
在一个可选的示例中,该方法还包括如下步骤:
若有多个业务SP的主第一IPSec节点相同,则将所述多个业务SP合并为一个业务SP。
第二方面,本发明提供了一种面向多链路动态路由的IPSec隧道模式通信装置,包括:存储器和处理器;
所述存储器,用于存储计算机程序;
所述处理器,用于当执行所述计算机程序时,实现如上述第一方面提供的方法。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,具有以下有益效果:
本发明提供一种面向多链路动态路由的IPSec隧道模式通信方法及装置,针对动态路由网络环境,选用隧道模式,隐藏IP数据的真实源、目的地址和通信协议,提高通信安全性。提出业务子网的规划方法,使之与中心端IPSec节点对应,并且能够进行业务SP合并,能够进行整体切换,适配动态路由的变化,达到互相备份的目的。
本发明提供一种面向多链路动态路由的IPSec隧道模式通信方法及装置,设计了探测专用的SP,优先级最高,在该专用链路上对链路进行探测,反馈路径变化和非对称路由,据此进行业务链路的切换,保证了来回路径一致。
本发明提供一种面向多链路动态路由的IPSec隧道模式通信方法及装置,设计了一种响应探测的信标装置,布置在中心端IPSec节点后的路由最末端,该装置是运行TCP协议或UDP协议的任何设备或客户端,其作用是接收探测请求包,使用请求包的序号构造响应包进行回复,通过信标装置探测动态路由的实际路径,根据信标探测结果对多链路进行选择。
本发明提供一种面向多链路动态路由的IPSec隧道模式通信方法及装置,可配置的探测参数,如请求包发包间隔和错包次数,灵活调节敏感度,做到快速切换和避免网络震荡的平衡。
附图说明
图1为本发明实施例提供的面向多链路动态路由的IPSec隧道模式通信方法的简化流程图;
图2为本发明实施例提供的面向多链路动态路由的IPSec隧道模式通信方法的详细流程图;
图3为本发明实施例提供的隧道模式和传输模式的区别示意图;
图4为本发明实施例提供的动态路由环境下部署多链路中心端IPSec节点示意图;
图5为本发明实施例提供的有信标情况下部署多链路中心端IPSec节点示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本发明的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。同时,应当清楚,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员己知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中,任项具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
在本发明的描述中,若干的含义是一个以上,多个的含义是两个以上,大于、小于、超过等理解为不包括本数,以上、以下、以内等理解为包括本数。如果有描述到第一、第二只是用于区分技术特征为目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。
本发明的描述中,参考术语“一个实施例”、“一些实施例”、“示意性实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
鉴于上述现有技术的不足之处,本发明提供了面向多链路动态路由的IPSec隧道模式通信方法,能够隐藏IP数据的真实源、目的地址和通信协议,提高通信安全性;根据多对端安全策略自动生成用于路由检测用的探测SP,自动生成探测SP关联的SA(SecurityAssociation,安全联盟),在该专用IPSec链路上对路径进行可达性和对称检测,当路由不对称或不可用时,将路由切换到对称且可用的链路上,保证对称路由,实现链路备份和动态路由适配。
图1为本发明实施例提供的面向多链路动态路由的IPSec隧道模式通信方法的简化流程图;如图1所示,包括如下步骤:
S11,在中心端设置N条网络链路且每条链路部署一个互联网安全协议IPSec节点,称为第一IPSec节点;每个远端部署一个IPSec节点,称为第二IPSec节点;所有第一IPSec节点与第二IPSec节点都有互通关系;
S12,将中心端的多个业务子网划分到N个第一IPSec节点,每个业务子网选择N个第一IPSec节点中网络路径最短的节点为主第一IPSec节点,其他N-1个节点为备用第一IPSec节点;
S13,对每个业务子网单独配置业务安全策略SP,并根据各个业务SP生成对应的探测SP;所述SP采用隧道模式,所述探测SP的优先级高于业务SP;
S14,控制N个第一IPSec节点和第二IPSec节点针对所有业务SP和探测SP建立IPSec链路;所述业务SP优先使用主第一IPSec节点进行通信,所述探测SP用于指示第二IPSec节点对N个第一IPSec节点进行路径探测;
S15,当第二IPSec节点探测到业务SP当前采用的第一IPSec节点与第二IPSec节点之间的来回路径不一致或不可用时,则将业务SP切换到第二IPSec节点探测的来回路径一致并可用的其他第一IPSec节点上。
具体地,本发明实施例提供的面向多链路动态路由的IPSec隧道模式通信方法的详细流程,如图2所示,包括以下步骤:
(1)步骤S101,预先设置网络选用动态路由协议,在中心端设置N条网络链路,并且中心端的每条网络链路都部署一个IPSec节点,也就是有N个中心端IPSec节点(N≥2)。
(2)步骤S102,可选的,在步骤S11中每个中心端IPSec节点后的路由最末端可以设置用于探测的信标装置,该装置是运行TCP协议或UDP协议的任何设备或客户端,其作用是接收探测请求包,使用请求包的序号构造响应包进行回复。
(3)步骤S103,将中心端的多个业务子网划分到N个中心端IPSec节点上,划分规则是:将到某特定业务子网网络路径最短的中心端IPSec节点设为该子网的主中心节点,剩余中心端IPSec节点为该子网的备用中心节点。针对不同的中心端业务子网,每个业务子网都有1个主中心IPSec节点,N-1个备用中心节点,所有中心端IPSec节点互为备份,且分担负载。
(4)步骤S104,在远端IPSec节点上对每个中心业务子网单独配置SP,对端节点为中心端的N个IPSec节点,将该中心业务子网的主中心节点设为最高优先级,其它N-1个IPsec节点设为相同的较低优先级,所有SP都采用隧道模式。
(5)步骤S105,可选的,步骤S104中的业务SP可以合并,如果业务SP中的对端主中心节点相同,则可以把这个多个业务SP合并为一个业务SP,该业务SP保护多个子网。
(6)步骤S106,远端IPSec节点根据SP自动生成用于探测的探测SP,探测SP的优先级比保护业务子网的SP高。
(7)步骤S107,可选的,如果没有设置步骤S102的信标,则步骤S106中的远端IPSec节点的探测SP保护:远端IPSec节点地址和中心端IPSec节点地址。
(8)步骤S108,可选的,如果设置了步骤S102的信标,则步骤S106中的远端IPSec节点的探测SP保护:远端IPSec节点地址和中心端IPSec节点后的信标地址。
(9)步骤S109,所有IPSec节点对业务SP和探测SP建立IPSec链路,且无论链路是否有效,都不拆除链路,以保证快速切换。
(10)步骤S110,所有业务SP优先使用最高优先级的中心端IPSec节点进行通信。每个远端IPSec节点使用探测SP分别对中心端所有IPSec节点进行路径探测,由于探测SP比业务SP优先级高,探测不受其它链路的影响。探测使用TCP和/或UDP协议,有请求包和响应包,且请求包和响应包的序号要对应,探测包的响应方需要检查当前网络或自身的状态,如果出现故障,则回复一个错误码。由于使用TCP和/或UDP协议,能够反馈非对称路由。收到错误的响应包或者指定时间内没有收到响应包则认为当次探测产生一次错包,累积到一定次数的错包判定到该中心端IPSec节点失效,则认为该链路未建立、断开或者来回路径不一致。当判定失效检查该中心端IPSec节点是否是某个业务SP的中心端IPSec节点:如果是,则业务SP切换到剩余的中心端IPSec节点上。
(11)步骤S111,步骤S110中的探测依据两个参数:发包间隔和错包判定个数,发包间隔是指每个探测包之间的时间间隔;错包判定个数是指当发生指定个数的错包或无回应包时判定链路失效,缩短发包间隔或减少错包判定个数可以提高IPSec节点对网络动态变化的敏感度,提升切换速率;拉长发包间隔或增加错包判定个数可以降低IPSec节点对网络动态变化的敏感度,避免因网络频繁变化造成的频繁来回切换。
(12)步骤S112,如果网络中没有部署信标装置,步骤S110中可选的切换方案是:远端IPSec节点对进入的解密流量进行记录,通过隧道模式新IP头和SA索引号可以知道其从哪个中心端IPSec节点过来,对应的切换到该中心端IPSec节点上。后续根据进入解密流量的对端可以再进行链路切换。如果对主中心节点的探测路由恢复有效,则将业务SP的链路恢复到主中心节点。
需要说明的是,每个业务SP的主中心端IPSec节点相互不同,以对网络不同业务进行分配,不同的网络链路之间实现明确分工。本发明给出的路由切换方法在某个或者某些链路偶尔故障(路由不对称或不可用)时,对其路由进行切换,实现路由备份,避免数据丢失。当其主中心端IPSec节点恢复可用时,立即将业务SP切换回去,避免网络分工频繁变动,保证网络业务的稳定运行。
如图3所示,隧道模式在原IP头之前增加一个新的IP头,新IP头的源和目的IP地址分别为对等两个IPSec节点。隧道模式可以对原IP头进行加密,使其对不可信网络不可见,使用外部IP头进行路由,由于其隐藏了IP数据的真实源、目的地址和通信协议,其安全性要高于传输模式。
(13)步骤S113,如果网络中部署了信标装置,步骤S110中可选的切换方案是:远端IPSec节点不对进入的解密流量进行记录,修改到该主中心IPSec节点对应信标装置的探测SP,随机使用备用中心端IPSec节点设为对端然后进行探测,直到探测回报有效,由于信标装置部署在路由网络的最末端,如果回报有效说明双向路径一致,将业务链路切换到判定有效的备用中心端IPSec节点。后续根据对信标装置的探测结果可以再进行链路切换。
如图4所示,实施例一中心端网络部署了N条互为备份且负载均衡的链路,每条中心端链路后面部署了数量不均的子网,每条中心端链路都部署一台IPSec节点和防火墙,其中防火墙不是必须的。中心端网络的路由设备开启例如OSPF、RIP等动态路由协议,整个网络也都可以使用动态路由协议进行选路。中心端网络可以通过不可信网络连接多个远端IPSec节点,图4中只绘制了一路远端。需要对远端IPSec节点到中心端IPSec节点间的链路进行保护,实施例一中选取封装安全载荷(ESP)和隧道模式。
结合图4,本发明实施例一中面向多链路动态路由的IPSec隧道模式通信方法具体实施流程和步骤如下:
步骤S201,将中心端网络保护的的多个业务子网划分到N个中心端IPSec节点上,图4中的子网A到中心端IPSec节点1网络路径最短,将IPSec节点1设为子网A的主中心节点,其余IPSec节点为子网A的备用节点。依此类推,子网B和子网C的主中心节点是IPSec节点2,子网D的主中心节点是IPSec节点N。
步骤S202,在划分了主中心节点之后,需要在所有IPSec节点上配置SP,以图4为例,远端IPSec节点自己保护子网E,到中心网络配置N条SP,每条SP都有N个对端,其中到子网A的SP将中心端IPSec1作为优先级最高,其它中心端IPSec节点设为相同的较低优先级;子网B和子网C的主中心节点相同,因此可以合并。依此类推完成所有节点的SP配置,具体配置参照表1所示:
表1
步骤S203,远端IPSec节点根据自己的SP自动生成用于探测的探测SP,两端IPSec节点最多一条探测SP,探测SP的优先级比保护业务子网的SP高。探测SP保护远端IPSec节点地址和中心端IPSec节点地址。
步骤S204,所有IPSec节点对业务SP和探测SP建立IPSec链路,且无论链路是否有效,都不拆除链路,以保证快速切换。
步骤S205,所有业务SP优先使用最高优先级的中心端IPSec节点进行通信。远端IPSec节点使用探测SP对所有中心端IPSec节点进行路径探测,由于探测SP比业务SP优先级高,探测不受其它链路的影响。本实施例中的探测包使用TCP协议,请求包包含序号,经过专用链路加密保护,中心端IPSec节点收到请求包后,使用请求包中的序号构造响应包,同时中心端IPSec节点还要在响应包中填入状态值,如果自己到所有下一条的路由可达并且自身设备工作正常,状态值为0;否则填入非0,并且填入具体错误对应的错误码。由于使用TCP协议,能够反馈非对称路由。远端IPSec节点收到错误的响应包或者指定时间内没有收到响应包则认为当次探测产生一次错包,累积到一定次数的错包判定到该中心端IPSec节点失效,则认为该链路未建立、断开或者来回路径不一致。当判定失效检查该中心端IPSec节点是否是某个业务SP正在使用链路上的中心端IPSec节点:如果是,则将对应的业务SP切换到其他中心端IPSec节点。
步骤S206,实施例一中探测的发包间隔可以设为1秒,错包判定个数可以设为3个,经验证该设定可以保证做到秒级切换,同时避免网络震荡。当判定某个主节点失效需要切换时,由于之前建立的业务链路都没有拆除,动态路由协议会自动选择另一条路径发送数据,远端IPSec节点对进入的解密流量进行解析,如果是需要切换的业务SP,则根据进入解密流量后的隧道模式新IP头和SA索引号得到实际路径的中心端IPSec节点,于是将业务SP的链路切换到该中心端IPSec节点上。后续根据进入解密流量的对端可以再进行链路切换。
步骤S207,如果对主中心节点的探测由恢复有效,则将业务SP的链路恢复到主中心节点。
如图5所示,本发明实施例二在每个中心端IPSec节点后的路由最末端设置了用于探测的信标装置,该装置是运行TCP协议的独立设备,接收探测请求包,使用请求包的序号构造响应包进行回复。这里只描述与实例一有区别的流程和步骤:
步骤S301,本实施例与实施例一步骤S203中有区别的是:远端IPSec节点自动生成的探测SP保护远端IPSec节点地址和信标装置的地址。
步骤S302,本实施例与实施例一步骤S205中有区别的是:中心端IPSec节点不再监听和接收请求包,改为信标装置接收。信标装置使用请求包中的序号构造响应包,同时信标装置还要在响应包中填入状态值,如果自己到所有下一条的路由可达,状态值为0;否则填入非0,并且填入具体错误对应的错误码。由于信标装置处在动态路由网络的最末端,且使用TCP协议,能够反馈路由路径情况。
步骤S303,远端IPSec节点不再需要对进入的解密流量进行解析。当判定某个中心端IPSec节点失效需要切换时,远端IPSec节点修改到该中心端IPSec节点对应信标装置的探测SP,随机使用其他中心端IPSec节点设为对端,并建立专用连接,然后进行探测,直到探测回报有效,由于信标装置部署在路由网络的最末端,由于有防火墙的存在,只有当两个方向的路由路径一致时防火墙才会放行,所以只会有一个可用的中心端IPSec,将业务链路切换到判定有效的中心端IPSec节点后。后续根据对信标装置的探测结果可以再进行链路切换。
另外,本发明实施例提供了一种通信装置,其包括:存储器和处理器;
所述存储器,用于存储计算机程序;
所述处理器,用于当执行所述计算机程序时,实现上述实施例中的方法。
此外,本发明还提供了一种计算机可读存储介质,所述存储介质上存储有计算机程序,当所述计算机程序被处理器执行时,实现上述实施例中的方法。
基于上述实施例中的方法,本发明实施例提供了一种计算机程序产品,当计算机程序产品在处理器上运行时,使得处理器执行上述实施例中的方法。
基于上述实施例中的方法,本发明实施例还提供了一种芯片,包括一个或多个处理器以及接口电路。可选的,芯片还可以包含总线。其中:处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字通信器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤。通用处理器可以是微处理器或者该理器也可以是任何常规的处理器等。
接口电路可以用于数据、指令或者信息的发送或者接收,处理器可以利用接口电路接收的数据、指令或者其它信息,进行加工,可以将加工完成信息通过接口电路发送出去。
可选的,芯片还包括存储器,存储器可以包括只读存储器和随机存取存储器,并向处理器提供操作指令和数据。存储器的一部分还可以包括非易失性随机存取存储器(NVRAM)。
可选的,存储器存储了可执行软件模块或者数据结构,处理器可以通过调用存储器存储的操作指令(该操作指令可存储在操作***中),执行相应的操作。
可选的,接口电路可用于输出处理器的执行结果。
需要说明的,处理器、接口电路各自对应的功能既可以通过硬件设计实现,也可以通过软件设计来实现,还可以通过软硬件结合的方式来实现,这里不作限制。
应理解,上述方法实施例的各步骤可以通过处理器中的硬件形式的逻辑电路或者软件形式的指令完成。可以理解的是,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。此外,在一些可能的实现方式中,上述实施例中的各步骤可以根据实际情况选择性执行,可以部分执行,也可以全部执行,此处不做限定。
可以理解的是,本申请的实施例中的处理器可以是中央处理单元(cen tralprocessing unit,CPU),还可以是其他通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。通用处理器可以是微处理器,也可以是任何常规的处理器。
本申请的实施例中的方法步骤可以通过硬件的方式来实现,也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(random access memory,RAM)、闪存、只读存储器(read-only memory,ROM)、可编程只读存储器(programmable rom,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(solid state disk,SSD))等。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种面向多链路动态路由的IPSec隧道模式通信方法,所述方法适用于通信网络,所述通信网络包括中心端和远端,且通信网络采用动态路由协议;其特征在于,包括如下步骤:
在中心端设置N条网络链路且每条链路部署一个互联网安全协议IPSec节点,称为第一IPSec节点;每个远端部署一个IPSec节点,称为第二IPSec节点;所有第一IPSec节点与第二IPSec节点都有互通关系;
将中心端的多个业务子网划分到N个第一IPSec节点,每个业务子网选择N个第一IPSec节点中网络路径最短的节点为主第一IPSec节点,其他N-1个节点为备用第一IPSec节点;
对每个业务子网单独配置业务安全策略SP,并根据各个业务SP生成对应的探测SP;所述SP采用隧道模式,所述探测SP的优先级高于业务SP;
控制N个第一IPSec节点和第二IPSec节点针对所有业务SP和探测SP建立IPSec链路;所述业务SP优先使用主第一IPSec节点进行通信,所述探测SP用于指示第二IPSec节点对N个第一IPSec节点进行路径探测;
当第二IPSec节点探测到业务SP当前采用的第一IPSec节点与第二IPSec节点之间的来回路径不一致或不可用时,则将业务SP切换到第二IPSec节点探测的来回路径一致并可用的其他第一IPSec节点上。
2.根据权利要求1所述的方法,其特征在于,所述探测SP用于指示第二IPSec节点对N个第一IPSec节点进行路径探测,具体为:
第二IPSec节点使用TCP协议和/或UDP协议向第一IPSec节点发起探测;所述探测包括请求包和响应包;所述请求包由第二IPSec节点发出,响应包由第一IPSec节点回应;
第一IPSec节点检查自己到保护子网的路径状态和自身的状态,如果出现故障,则回复一个包含错误码的响应包,当第二IPSec节点收到错误的响应包或者指定时间内没有收到响应包则认为当次探测请求产生一次错包,继续向第一IPSec节点发送探测请求包;
当第二IPSec节点累积收到预设次数的错包,则判定对应的第一IPSec节点失效,认为第二IPSec节点与对应的第一IPSec节点之间的来回路径不一致或不可用;
当第二IPSec节点判定对应的第一IPSec节点失效时,检查对应的第一IPSec节点是否在某业务SP正在使用的网络链路上,若是,则将对应的业务SP切换到其他第一IPSec节点上。
3.根据权利要求1所述的方法,其特征在于,还包括如下步骤:
在每个第一IPSec节点后的路由最末端设置一个信标装置,每个信标装置都有与其有相同子网位置的保护子网,该保护子网对应的业务SP与该信标装置相关联;所述信标装置运行的网络协议为TCP协议和/或UDP协议;
所述探测SP用于指示第二IPSec节点对N个第一IPSec节点进行路径探测,具体为:
第二IPSec节点使用TCP协议和/或UDP协议向信标装置发起探测;所述探测包括请求包和响应包;所述请求包由第二IPSec节点发出,响应包由信标装置回应;
信标装置检查自己的网络状态,如果出现故障,则回复一个包含错误码的响应包,当第二IPSec节点收到错误的响应包或者指定时间内没有收到响应包则认为当次探测请求产生一次错包,继续向信标装置发送探测请求;
当第二IPSec节点累积收到预设次数的错包,则判定信标装置对应的第一IPSec节点失效,认为第二IPSec节点与对应的第一IPSec节点之间的来回路径不一致或不可用;
当第二IPSec节点判定对应的第一IPSec节点失效时,检查对应的第一IPSec节点是否在某业务SP正在使用的网络链路上,若是,则将对应的业务SP切换到其他第一IPSec节点上。
4.根据权利要求2所述的方法,所述将业务SP切换到第二IPSec节点探测的来回路径一致并可用的其他第一IPSec节点上,具体为:
第二IPSec节点对接收的待切换路径业务SP的解密流量进行记录;
第二IPSec节点根据隧道模式的数据格式从所述解密数据中确定其所属业务SP的发送方路由,并将所述业务SP切换到所述发送方路由对应的第一IPSec节点上;
后续第二IPSec节点一旦确定所述业务SP的主第一IPSec节点有效,则将所述业务SP的链路恢复到主第一IPSec节点。
5.根据权利要求3所述的方法,其特征在于,所述将业务SP切换到第二IPSec节点探测的来回路径一致并可用的其他第一IPSec节点上,具体为:
找到与该业务SP相关联的信标装置,修改到该信标装置的探测SP,随机选用除失效第一IPSec节点之外的其他第一IPSec节点设为所述探测SP的对端,然后对该信标装置进行探测,直到探测回复有效,将所述业务SP的链路切换到探测有效的第一IPSec节点;
后续第二IPSec节点一旦探测到所述业务SP的主第一IPSec节点有效,则将所述业务SP的链路恢复到主第一IPSec节点。
6.根据权利要求2或3所述的方法,其特征在于,如果没有设置信标装置,所述探测SP用于保护:第二IPSec节点地址和第一IPSec节点地址;
如果设置了信标装置,所述探测SP用于保护:第二IPSec节点地址和信标装置地址。
7.根据权利要求2或3所述的方法,其特征在于,所述探测请求包的发送时间间隔和和错包的预设次数可调,以控制路由动态变化的敏感度。
8.根据权利要求1所述的方法,其特征在于,所述每个业务子网选择N个第一IPSec节点中的1个节点为主第一IPSec节点,具体为:
每个业务子网将N个第一IPSec节点中处理其业务所需网络路径最短的节点作为主第一IPSec节点,N个第一IPSec节点互为备用第一IPSec节点,相互分担网络负载;
主第一IPSec节点的优先级高于备用第一IPSec节点的优先级。
9.根据权利要求1所述的方法,其特征在于,还包括如下步骤:
若有多个业务SP的主第一IPSec节点相同,则将所述多个业务SP合并为一个业务SP。
10.一种面向多链路动态路由的IPSec隧道模式通信装置,其特征在于,包括:存储器和处理器;
所述存储器,用于存储计算机程序;
所述处理器,用于当执行所述计算机程序时,实现如权利要求1-9任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211481493.6A CN115865788A (zh) | 2022-11-24 | 2022-11-24 | 面向多链路动态路由的IPSec隧道模式通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211481493.6A CN115865788A (zh) | 2022-11-24 | 2022-11-24 | 面向多链路动态路由的IPSec隧道模式通信方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115865788A true CN115865788A (zh) | 2023-03-28 |
Family
ID=85665789
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211481493.6A Pending CN115865788A (zh) | 2022-11-24 | 2022-11-24 | 面向多链路动态路由的IPSec隧道模式通信方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115865788A (zh) |
-
2022
- 2022-11-24 CN CN202211481493.6A patent/CN115865788A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111886833B (zh) | 重定向控制信道消息的方法和用于实现该方法的设备 | |
| EP3582449B1 (en) | Route processing in a vxlan | |
| CN107846342B (zh) | 一种vxlan报文的转发方法、设备及*** | |
| CN105657748B (zh) | 基于隧道绑定的通信方法和网络设备 | |
| US7583667B2 (en) | Automatic determination of connectivity problem locations or other network-characterizing information in a network utilizing an encapsulation protocol | |
| CN107534605B (zh) | 用于选择网络连接集中器的方法 | |
| US10439880B2 (en) | Loop-free convergence in communication networks | |
| US10560550B1 (en) | Automatic configuration of a replacement network device in a high-availability cluster | |
| US7864666B2 (en) | Communication control apparatus, method and program thereof | |
| US9258213B2 (en) | Detecting and mitigating forwarding loops in stateful network devices | |
| WO2019080592A1 (zh) | 一种发送报文的方法和设备 | |
| CN108173757B (zh) | 端口状态设置方法及装置 | |
| JP7124206B2 (ja) | パケット処理方法およびゲートウェイ・デバイス | |
| WO2021139304A1 (zh) | 一种多云互联的方法及设备 | |
| CN108289044B (zh) | 数据转发方法、确定静态路由的链路状态方法及网络设备 | |
| US11115319B2 (en) | Using BFD packets in a network tunnel environment | |
| EP3291486B1 (en) | Selective transmission of bidirectional forwarding detection (bfd) messages for verifying multicast connectivity | |
| US9560174B2 (en) | Network routing overlay | |
| CN113472601A (zh) | 连接状态检测方法以及相关设备 | |
| JP2005057514A (ja) | マルチホーミング負荷分散方法およびその装置 | |
| US20230336467A1 (en) | Standby access gateway function signaling for a dynamic host configuration protocol | |
| CN115865788A (zh) | 面向多链路动态路由的IPSec隧道模式通信方法及装置 | |
| US9647924B2 (en) | Propagating LDP MAC flush as TCN | |
| CN113872843A (zh) | 一种路由生成方法、路由处理方法及装置 | |
| KR101308089B1 (ko) | 고가용성을 지원하기 위한 IPSec VPN 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |