一种负载均衡的IPSec VPN设备集群系统及其工作方法技术方案

本发明专利技术提供了一种负载均衡的IPSec VPN设备集群系统及其工作方法。所述系统包括若干IPSec VPN设备，每台IPSec VPN设备均运行有计算能力评估模块、组内同步模块、负载管理模块、地址应答器、数据分类器。本发明专利技术实现了由不同IPSec VPN设备所组成的IPSec VPN集群的工作IP地址唯一和有效的负载均衡及冗余备份，经过不同IPSec VPN设备处理的出站IP数据报文具有相同的源IP地址，而入站的IP数据报文能实现负载的自动分配；多台不同设备间实现序列号和抗重放窗口的即时同步，实现负载的零间隔无缝切换。

【技术实现步骤摘要】

本专利技术属于数据通信领域，涉及一种负载均衡的IPSec VPN设备集群系统及其工作方法。
技术介绍
IPSec：Internet Protocol Security的缩写，表示Internet 协议安全性。是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯； VPN：虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。 安全策略(SP)：安全策略本文档来自技高网...

【技术保护点】
一种负载均衡的IPSec VPN设备集群系统，其特征在于，包括若干IPSec VPN设备，每台IPSec VPN设备均运行有计算能力评估模块、组内同步模块、负载管理模块、地址应答器、数据分类器；计算能力评估模块用于在同一个集群内的IPSec VPN设备起动时进行签名运算，得到其所在IPSec VPN设备的计算能力评估结果；组内同步模块负责在同一个集群内的所有成员设备间进行安全策略、安全联盟、在线状态和计算能力信息的交互和同步并形成全局一致的安全策略、安全联盟和在线状态；负载管理模块通过组内同步信息得到全局一致的安全策略、安全联盟和在线状态，根据组内各IPSec VPN设备计算能力的不同进行数据...

【技术特征摘要】
1.一种负载均衡的IPSec VPN设备集群系统，其特征在于，包括若干IPSec VPN设备，每台IPSec VPN设备均运行有计算能力评估模块、组内同步模块、负载管理模块、地址应答器、数据分类器；
计算能力评估模块用于在同一个集群内的IPSec VPN设备起动时进行签名运算，得到其所在IPSec VPN设备的计算能力评估结果；
组内同步模块负责在同一个集群内的所有成员设备间进行安全策略、安全联盟、在线状态和计算能力信息的交互和同步并形成全局一致的安全策略、安全联盟和在线状态；
负载管理模块通过组内同步信息得到全局一致的安全策略、安全联盟和在线状态，根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配，并根据其所在IPSec VPN设备的负载分配设置实际生效的安全策略和安全联盟；
地址应答器根据系统内所有IPSec VPN设备统一设置的虚拟地址信息，对从内网出站的IP数据报文和从外网入站的IP数据报文的链路层地址请求进行一致的回应；
数据分类器根据数据报文是否处在其所在IPSec VPN设备已生效的安全策略或安全联盟之内，对进出站的IP数据报文提供不同的处理路径。
2.如权利要求1所述的负载均衡的IPSec VPN设备集群系统，其特征在于，所述集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址，作为组内通讯地址，组内同步模块定期将本台设备的安全策略、安全联盟、在线状态和计算能力评估结果通过多播的方式传递到集群的其他成员设备，同时也接受其他成员设备通过多播传递过来的安全策略、安全联盟、在线状态和计算能力评估结果，形成该集群全局一致的安全策略和安全联盟。
3.如权利要求1或2所述的负载均衡的IPSec VPN设备集群系统，其特征在于，所述设备集群各IPSec VPN设备具有共享的虚拟IP地址，作为该集群共享的IPSec VPN隧道源IP地址，所有通过该集群处理的出站IP数据报文都以该集群各成员设备共享的虚拟IP地址作为隧道封装后的源IP地址，而所有以该虚拟IP地址为目的IP地址的入站IPSec报文将被集群内的所有在线成员设备接收。
4.如权利要求1所述的负载均衡的IPSec VPN设备集群系统，其特征在于，计算能力评估模块以多线程的方式运行1万次2048比特模长的RSA签名运算，并计算出以次/秒为单位的签名速度，作为其所在IPSec VPN设备的计算能力评估结果。
5.如权利要求1~4中任一项所述的负载均衡的IPSec VPN设备集群系统的工作方法，其特征在于，包括如下步骤：
步骤一：为同一个IPSec VPN设备集群设置各成员设备共享的虚拟IP地址，作为该集群共享的IPSec VPN隧道源IP地址；
步骤二：同一个集群内的IPSec VPN设备起动时，运行计算能力评估模块，得到每个IPSec VPN设备的计算能力评估结果；
步骤三：同一个集群内的每台IPS...

【专利技术属性】
技术研发人员：罗俊，
申请(专利权)人：成都卫士通信息产业股份有限公司，
类型：发明
国别省市：四川;51