[发明专利]虚拟专用网负载备份系统及其建立方法与数据转发方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种采用虚拟路由器冗余协议(VRRP)建立IP层安全虚拟专用网(IPSEC VPN)的技术。

背景技术

IP层安全协议(IPSEC)，是被采用得最广泛的虚拟专用网(VPN)技术，是由Internet工程任务组(IETF)开发的一组身份验证和加密的协议，可用于IP网络中的数据保密、完整性检查、身份验证和密钥管理等诸多方面。一般说来，IP层安全协议(IPSEC)主要用于安全阈的一个部分，它通过对整个数据包进行了加密封装，这种经过加密封装的信息流在没有其它安全措施的IP网络中形成了一个安全的信息隧道，即IPSEC隧道。对数据进行的加密处理称为IPSEC封装。

通常，网络内设置两台网关互为备份，其中一个作为主用网关，另一个作为备用网关。VRRP是一种常用的网关备份方案。网络内主机预先设置一条缺省路由，这样，主机发出的数据一般通过主用网关发出，从而实现了主机与外部网络的通信；当主用网关发生故障时，备用网关替代主用网关发送数据。

对企业总部局域网而言，通常需要一个默认网关和外部网络连接。目前采用VRRP部署IPSEC VPN的典型方案是：在企业总部局域网部署两台三层交换机作为互为备份的网关，并在这两台三层交换机之间运行VRRP协议实现对内部局域网的网关备份，在两台三层交换机和两台中心VPN设备之间采用动态路由实现到中心VPN设备和分支之间IPSEC隧道的线路备份，如图1所示。即实现中心VPN设备所连接的总部局域网通过多条线路和外部网络互连，在设备或者线路故障时都能保证中心VPN设备和分支VPN设备间IPSEC隧道的畅通。

各个分支VPN设备仅仅和其主接入线路(往往是基于同一运营商的线路)连接的中心VPN设备建立IPSEC主用隧道，三层交换机从建立的IPSEC主用隧道中提取出到分支VPN设备所连接的内部网络，建立起到分支VPN设备所连接的内部网络的静态路由，下一跳为分支VPN设备公网地址，并通过动态路由协议重分发此静态路由；同时设定当IPSEC主用隧道正常工作时，分支VPN设备的IPSEC备份隧道不建立，以免IPSEC备份隧道也被提取出同样的静态路由被动态路由协议重分发，导致一部分数据从传输效率不高的备份隧道发送。这样主用三层交换机回送交互数据到分支VPN设备时，根据路由信息将数据分别发送到相应的中心VPN设备后，中心VPN设备根据建立的IPSEC主用隧道将数据送到相应的分支VPN设备，从而实现总部和分支的数据交互通过同一个隧道进行。

现有技术部署两台三层交换机构建中心网络，增加了IPSEC VPN负载备份系统的建设、及维护成本与维护难度。对于一个企业总部局域网相对较简单的应用环境，这个问题更为突出，因此可以寻求一种更为简单的解决方案。

发明内容

本发明所要解决的技术问题是，提供一种虚拟专用网负载备份系统与虚拟专用网负载备份系统的建立方法与数据转发方法，在不增加多余设备的情况下，保证中心VPN设备和分支VPN设备高效率传输数据。

本发明为解决上述技术问题所采用的技术方案是，虚拟专用网负载备份系统，包括两台中心VPN设备、多台分支VPN设备，其特征在于，所述两台中心VPN设备互为备份，其中一台中心VPN设备为主用网关，另一台中心VPN设备为备用网关，两台中心VPN设备与总部局域网相连，两台中心VPN设备之间相连；各分支VPN设备分别通过IPSEC隧道与中心VPN设备相连。

具体的，所述IPSEC隧道包括IPSEC主用隧道、IPSEC备用隧道；IPSEC主用隧道为分支VPN设备对应最优线路的中心VPN设备建立的IPSEC隧道；该分支VPN设备与另一台中心VPN设备建立的IPSEC隧道为IPSEC备用隧道；当所述IPSEC主用隧道断开时，所述IPSEC备用隧道才生效；当所述主用隧道重新恢复时，所述备用隧道则不再生效。

具体的，所述两台中心VPN设备为运行虚拟路由器冗余协议的VPN设备。

可选的，两台中心VPN设备之间有一条或多条用于建立相互指向的静态路由的物理线路连接。

可选的，两台中心VPN设备之间有一条在其接口上建立的用于建立相互指向的静态路由的子接口逻辑连接。

本发明还提供了虚拟专用网负载备份系统的建立方法，其特征在于，包括以下步骤：

(1)在两台中心VPN设备上运行虚拟路由器冗余协议，实现网关备份；