一种实现IPSec网关动态组网的方法技术

本发明专利技术公开了一种实现IPSec网关动态组网的方法，包括：IPSec网关接入网络后，在用户侧采用本地路由发现协议自动获取内网路由表，通过解析内网路由表，提取有效网络地址作为本端IPSec网关保护的子网地址；当目标IPsec网关需要部署入网时，并从其预设地址前缀对应的网络地址中选取一个配置为主机路由；当目标IPsec网关参与网络侧路由行为时，已经部署在网络中的IPsec网关通过路由协议交互获知目标IPsec网关的主机路由，再通过与所述预设地址前缀比对实现对IPsec实体和通用路由交换设备的区分和甄别，并自动建立SA和IPSec隧道，从而实现动态组建VPN网络。态组建VPN网络。态组建VPN网络。

【技术实现步骤摘要】
一种实现IPSec网关动态组网的方法


[0001]本专利技术涉及VPN组网
，尤其涉及一种实现IPSec网关动态组网的方法。

技术介绍

[0002]IPSec在网络层数据传输加密的应用日益广泛，但在大规模网络的实际工程实施中，IPSec网关部署涉及的配置信息工作量会随着网关数量的增加而急剧上升，后期出现网络拓扑发生变化的情况时，还将涉及大量的设备配置变更工作，使得网络维护工作变得非常困难，因此急需一种实现IPSec网关动态组网的方法，解决IPSec网关在大规模组网应用中遇到的问题。
[0003]当前IPSec网关动态组网的技术方案主要有基于组播、基于客户机/服务器、基于TED（隧道端点发现）三种解决方案。
[0004]基于组播方案的主要实现思路为，新的IPSec网关接入网络后，根据自身基本信息构造和发送“Hello”组播报文，网络中的其他网关据此与新网关发起IKE协商，建立SA和IPSec隧道，所有建立安全隧道的IPSec网关之间定期发送“ALIVE”报文以保持IPSec隧道。该方案的缺点在于，需要定时发送“ALIVE”报文，而由该报文带来的负载流量与IPSec网关数量呈指数级增长，另外，当网络出现变动后聚敛的时间较慢，该方案不适用于网络规模较大或网络拓扑变化较快的网络中。
[0005]基于客户端/服务器方案的主要实现思路为，新的IPSec网关接入网络后，将自己管理的子网信息发送给注册服务器进行注册，当接收到的数据包未建立SA且无安全策略匹配，则向注册服务器发起查询，并根据反馈信息与对端IPSec网关建立SA和IPSec隧道。该方案的缺点在于，网络中的IPSec网关信息都存储在一个注册服务器中，因此该服务器存在性能瓶颈和单点故障风险，其如受到DDos等方式的网络攻击，将影响整个网络的IPSec网关正常工作。
[0006]基于TED方案的主要实现思路为，新的IPSec网关接入网络后，需要根据每个进入网关确需保护但仍未建立SA且无安全策略匹配的原始数据包，构建特殊的IKE探测数据包，发往原始数据包的目的地址，当该探测数据包在转发过程中被对端IPSec网关收到时，对端IPSec网关设备将对发端IPSec网关做出响应，从而发端IPSec可以据此与对端IPSec建立SA和IPSec隧道。该方案的缺点在于，IPSec网关所需构造和发送的探测数据包与其所保护的内网对外通信的访问的目的地址数量成正比，在探测过程中未对内网地址进行保护，另外，发现网络中所有网关的周期取决于其所保护的内网对外业务访问的范围和周期，收敛时间较长。

技术实现思路

[0007]针对大规模网络中IPSec动态组网方案中存在的额外网络开销流量大、网络收敛时间长、单点故障及性能风险高、内网地址暴露等问题，本专利技术提出一种实现IPSec网关动态组网的方法，IPsec实体通过参与路由行为实现内网侧子网以及外网侧通联对端的发现，
结合预设地址前缀实现IPSec设备与通用路由设备的甄别，达到自动建立IPsec隧道，动态组建VPN网络的目的。
[0008]本专利技术采用的技术方案如下：一种实现IPSec网关动态组网的方法，包括：IPSec网关接入网络后，在用户侧采用本地路由发现协议自动获取内网路由表，通过解析内网路由表，提取有效网络地址作为本端IPSec网关保护的子网地址；当目标IPsec网关需要部署入网时，并从其预设地址前缀对应的网络地址中选取一个配置为主机路由；当目标IPsec网关参与网络侧路由行为时，已经部署在网络中的IPsec网关通过路由协议交互获知目标IPsec网关的主机路由，再通过与所述预设地址前缀比对实现对IPsec实体和通用路由交换设备的区分和甄别，并自动建立SA和IPSec隧道，从而实现动态组建VPN网络。
[0009]进一步地，参与组网的IPSec网关被预分配有单播网络的预设地址前缀。
[0010]进一步地，目标IPsec网关与远端IPsec网关相互发现后，目标IPSec网关向远端IPSec网关发起自动协商，从而建立SA和IPSec隧道。
[0011]进一步地，目标IPsec网关与远端IPsec网关在全密态保护下，完成密钥协商，同时交换各自本地子网信息，并据此自动生成两个子网之间的通联关系。
[0012]进一步地，目标IPSec网关将根据主机路由地址列表逐一完成与所有远端IPSec网关的密钥协商和本地子网信息互换。
[0013]进一步地，目标IPSec网关完成与所有远端IPSec网关的密钥协商和本地子网信息互换后，自动补充子网之间的通联关系，建立加密通道，从而完成IPSec网关动态组网。
[0014]进一步地，所有IPSec网关持续监测自身子网信息、主机路由地址信息以及响应其他远端IPSec网关的协商请求。
[0015]进一步地，当某一IPSec网关自身的子网信息发生变化时，将根据路由地址列表与各个远端IPSec网关进行信息同步，远端IPSec网关据此调整通联关系。
[0016]进一步地，当IPSec网关发现主机路由地址信息中出现新的IPSec网关时，将重复IPSec网关动态组网过程，从而实现新IPSec网关的动态接入。
[0017]本专利技术的有益效果在于：在IP网络中，传统的IPsec实体通常通过手动配置策略的方式建立通联关系，从而实现VPN组网；当前已有的IPSec动态组网方案，存在的额外网络开销流量大、网络收敛时间长、单点故障及性能风险高、内网地址暴露等问题。本专利技术具有额外网络开销小、网络收敛时间短、无单点故障、内网地址信息全密态保护等优点。本专利技术实现了IPSec网关的动态组网，较好解决了大规模网络中部署IPSec网关时，存在的前期人工配置繁琐、后期扩容维护工作量大的问题，适合在专用网络中应用。
附图说明
[0018]图1是本专利技术实施例的一种实现IPSec网关动态组网的方法流程图之一。
[0019]图2是本专利技术实施例的一种实现IPSec网关动态组网的方法流程图之二。
具体实施方式
[0020]为了对本专利技术的技术特征、目的和效果有更加清楚的理解，现说明本专利技术的具体实施方式。应当理解，此处所描述的具体实施例仅用以解释本专利技术，并不用于限定本专利技术，即所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0021]如图1所示，本实施例提供了一种实现IPSec网关动态组网的方法，IPsec实体通过参与路由行为实现内网侧子网以及外网侧通联对端的发现，结合特殊前缀地址实现IPSec设备与通用路由设备的甄别，达到自动建立IPsec隧道，动态组建VPN网络的目的。具体地，该方法包括以下步骤：S1.为参与组网的IPSec网关预分配单播网络的预设地址前缀；S2.IPSec网关在接入网络后，在用户侧采用本地路由发现协议自动获取内网路由表，通过解析内网路由表，提取有效的网络地址作为本端IPSec网关保护的子网地址；S本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种实现IPSec网关动态组网的方法，其特征在于，包括：IPSec网关接入网络后，在用户侧采用本地路由发现协议自动获取内网路由表，通过解析内网路由表，提取有效网络地址作为本端IPSec网关保护的子网地址；当目标IPsec网关需要部署入网时，并从其预设地址前缀对应的网络地址中选取一个配置为主机路由；当目标IPsec网关参与网络侧路由行为时，已经部署在网络中的IPsec网关通过路由协议交互获知目标IPsec网关的主机路由，再通过与所述预设地址前缀比对实现对IPsec实体和通用路由交换设备的区分和甄别，并自动建立SA和IPSec隧道，从而实现动态组建VPN网络。2.根据权利要求1所述的实现IPSec网关动态组网的方法，其特征在于，参与组网的IPSec网关被预分配有单播网络的预设地址前缀。3.根据权利要求1所述的实现IPSec网关动态组网的方法，其特征在于，目标IPsec网关与远端IPsec网关相互发现后，目标IPSec网关向远端IPSec网关发起自动协商，从而建立SA和IPSec隧道。4.根据权利要求3所述的实现IPSec网关动态组网的方法，其特征在于，目标IPsec网关与远端IPsec网关在全密态保护下，完成密钥协商，同时交换各自本地子网信息，并据此自动生成两个子网之间的通联关系。5...

【专利技术属性】
技术研发人员：罗晋，郭栋，梁嬿良，姜鹏博，高洋洋，谭觅，陈世康，朱建明，陈敏，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：