面向多链路动态路由的IPSec隧道模式通信方法及装置制造方法及图纸

本发明专利技术提供一种面向多链路动态路由的IPSec隧道模式通信方法及装置，包括：在中心端设置N条网络链路且每条链路部署一个IPSec节点，每个远端部署一个IPSec节点；所有第一IPSec节点与第二IPSec节点都有互通关系；将中心端的多个业务子网划分到N个第一IPSec节点，每个业务选择N个第一IPSec节点中网络路径最短的节点为主第一IPSec节点，其他N

【技术实现步骤摘要】
面向多链路动态路由的IPSec隧道模式通信方法及装置


[0001]本专利技术属于通信领域，更具体地，涉及一种面向多链路动态路由的IPSec隧道模式通信方法及装置。

技术介绍

[0002]现有隧道模式可以隐藏IP数据的真实源、目的地址和通信协议，在一个安全策略(Security Policy，SP)里设置多个互联网安全协议(Internet Protocol Security，IPSec)对端节点，通过对端检测和切换的方式实现均衡。但这种方案只能对加密方向的路径进行选择，无法控制解密方向的路径，如果解密方向与加密方向数据包路径不一致，防火墙设备会阻拦不成对的TCP等数据包，在这种动态路由环境下会概率性的出现非对称路由，即来回路径不一致，无法实现链路备份，造成数据中断；同时，对端检测只检测对端节点的保活状态，不检测对端节点到其保护子网的链路，极端情况下会出现对端节点内网口未连接，但仍判断对端存活不进行切换造成业务中断，因此应用的局限性很高。
[0003]综上所述，现有技术中尚未提供一种技术方案，对动态路由网络环境，既能隐藏IP数据的真实源、目的地址和通信协议，提高通信安全性；又能保证对称路由，实现链路备份，避免防火墙丢包。

技术实现思路

[0004]针对现有技术的缺陷，本专利技术的目的在于提供一种面向多链路动态路由的IPSec隧道模式通信方法及装置，旨在解决现有技术中尚未提供一种技术方案，对动态路由网络环境，既能隐藏IP数据的真实源、目的地址和通信协议，提高通信安全性；又能保证对称路由，实现链路备份，避免防火墙丢包的问题。
[0005]为实现上述目的，第一方面，本专利技术提供了一种面向多链路动态路由的IPSec隧道模式通信方法，该方法适用于通信网络，所述通信网络包括中心端和远端，且通信网络采用动态路由协议；该方法包括如下步骤：
[0006]在中心端设置N条网络链路且每条链路部署一个IPSec节点，称为第一IPSec节点；每个远端部署一个IPSec节点，称为第二IPSec节点；所有第一IPSec节点与第二IPSec节点都有互通关系；
[0007]将中心端的多个业务子网划分到N个第一IPSec节点，每个业务子网选择N个第一IPSec节点中网络路径最短的节点为主第一IPSec节点，其他N
‑
1个节点为备用第一IPSec节点；
[0008]对每个业务子网单独配置业务安全策略SP，并根据各个业务SP生成对应的探测SP；所述SP采用隧道模式，所述探测SP的优先级高于业务SP；
[0009]控制N个第一IPSec节点和第二IPSec节点针对所有业务SP和探测SP建立IPSec链路；所述业务SP优先使用主第一IPSec节点进行通信，所述探测SP用于指示第二IPSec节点对N个第一IPSec节点进行路径探测；
[0010]当第二IPSec节点探测到业务SP当前采用的第一IPSec节点与第二IPSec节点之间的来回路径不一致或不可用时，则将业务SP切换到第二IPSec节点探测的来回路径一致并可用的其他第一IPSec节点上。
[0011]在一个可选的示例中，所述探测SP用于指示第二IPSec节点对N个第一IPSec节点进行路径探测，具体为：
[0012]第二IPSec节点使用TCP协议和/或UDP协议向第一IPSec节点发起探测；所述探测包括请求包和响应包；所述请求包由第二IPSec节点发出，响应包由第一IPSec节点回应；
[0013]第一IPSec节点检查自己到保护子网的路径状态和自身的状态，如果出现故障，则回复一个包含错误码的响应包，当第二IPSec节点收到错误的响应包或者指定时间内没有收到响应包则认为当次探测请求产生一次错包，继续向第一IPSec节点发送探测请求包；
[0014]当第二IPSec节点累积收到预设次数的错包，则判定对应的第一IPSec节点失效，认为第二IPSec节点与对应的第一IPSec节点之间的来回路径不一致或不可用；
[0015]当第二IPSec节点判定对应的第一IPSec节点失效时，检查对应的第一IPSec节点是否在某业务SP正在使用的网络链路上，若是，则将对应的业务SP切换到其他第一IPSec节点上。
[0016]在一个可选的示例中，该方法还包括如下步骤：
[0017]在每个第一IPSec节点后的路由最末端设置一个信标装置，每个信标装置都有与其有相同子网位置的保护子网，该保护子网对应的业务SP与该信标装置相关联；所述信标装置运行的网络协议为TCP协议和/或UDP协议；
[0018]所述探测SP用于指示第二IPSec节点对N个第一IPSec节点进行路径探测，具体为：
[0019]第二IPSec节点使用TCP协议和/或UDP协议向信标装置发起探测；所述探测包括请求包和响应包；所述请求包由第二IPSec节点发出，响应包由信标装置回应；
[0020]信标装置检查自己的网络状态，如果出现故障，则回复一个包含错误码的响应包，当第二IPSec节点收到错误的响应包或者指定时间内没有收到响应包则认为当次探测请求产生一次错包，继续向信标装置发送探测请求；
[0021]当第二IPSec节点累积收到预设次数的错包，则判定信标装置对应的第一IPSec节点失效，认为第二IPSec节点与对应的第一IPSec节点之间的来回路径不一致或不可用；
[0022]当第二IPSec节点判定对应的第一IPSec节点失效时，检查对应的第一IPSec节点是否在某业务SP正在使用的网络链路上，若是，则将对应的业务SP切换到其他第一IPSec节点上。
[0023]在一个可选的示例中，所述将业务SP切换到第二IPSec节点探测的来回路径一致并可用的其他第一IPSec节点上，具体为：
[0024]第二IPSec节点对接收的待切换路径业务SP的解密流量进行记录；
[0025]第二IPSec节点根据隧道模式的数据格式从所述解密数据中确定其所属业务SP的发送方路由，并将所述业务SP切换到所述发送方路由对应的第一IPSec节点上；
[0026]后续第二IPSec节点一旦确定所述业务SP的主第一IPSec节点有效，则将所述业务SP的链路恢复到主第一IPSec节点。
[0027]在一个可选的示例中，所述将业务SP切换到第二IPSec节点探测的来回路径一致并可用的其他第一IPSec节点上，具体为：
[0028]找到与该业务SP相关联的信标装置，修改到该信标装置的探测SP，随机选用除失效第一IPSec节点之外的其他第一IPSec节点设为所述探测SP的对端，然后对该信标装置进行探测，直到探测回复有效，将所述业务SP的链路切换到探测有效的第一IPSec节点；
[0029]后续第二IPSec节点一旦探测到所述业务SP的主第一IPSec节点有效，则将所述业务SP的链路恢复到主第一IPSec节点。
[0030]在一个可选的示例中，如果没有设置信标装置，所述探测SP用于保护：第二IPSec节点本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向多链路动态路由的IPSec隧道模式通信方法，所述方法适用于通信网络，所述通信网络包括中心端和远端，且通信网络采用动态路由协议；其特征在于，包括如下步骤：在中心端设置N条网络链路且每条链路部署一个互联网安全协议IPSec节点，称为第一IPSec节点；每个远端部署一个IPSec节点，称为第二IPSec节点；所有第一IPSec节点与第二IPSec节点都有互通关系；将中心端的多个业务子网划分到N个第一IPSec节点，每个业务子网选择N个第一IPSec节点中网络路径最短的节点为主第一IPSec节点，其他N
‑
1个节点为备用第一IPSec节点；对每个业务子网单独配置业务安全策略SP，并根据各个业务SP生成对应的探测SP；所述SP采用隧道模式，所述探测SP的优先级高于业务SP；控制N个第一IPSec节点和第二IPSec节点针对所有业务SP和探测SP建立IPSec链路；所述业务SP优先使用主第一IPSec节点进行通信，所述探测SP用于指示第二IPSec节点对N个第一IPSec节点进行路径探测；当第二IPSec节点探测到业务SP当前采用的第一IPSec节点与第二IPSec节点之间的来回路径不一致或不可用时，则将业务SP切换到第二IPSec节点探测的来回路径一致并可用的其他第一IPSec节点上。2.根据权利要求1所述的方法，其特征在于，所述探测SP用于指示第二IPSec节点对N个第一IPSec节点进行路径探测，具体为：第二IPSec节点使用TCP协议和/或UDP协议向第一IPSec节点发起探测；所述探测包括请求包和响应包；所述请求包由第二IPSec节点发出，响应包由第一IPSec节点回应；第一IPSec节点检查自己到保护子网的路径状态和自身的状态，如果出现故障，则回复一个包含错误码的响应包，当第二IPSec节点收到错误的响应包或者指定时间内没有收到响应包则认为当次探测请求产生一次错包，继续向第一IPSec节点发送探测请求包；当第二IPSec节点累积收到预设次数的错包，则判定对应的第一IPSec节点失效，认为第二IPSec节点与对应的第一IPSec节点之间的来回路径不一致或不可用；当第二IPSec节点判定对应的第一IPSec节点失效时，检查对应的第一IPSec节点是否在某业务SP正在使用的网络链路上，若是，则将对应的业务SP切换到其他第一IPSec节点上。3.根据权利要求1所述的方法，其特征在于，还包括如下步骤：在每个第一IPSec节点后的路由最末端设置一个信标装置，每个信标装置都有与其有相同子网位置的保护子网，该保护子网对应的业务SP与该信标装置相关联；所述信标装置运行的网络协议为TCP协议和/或UDP协议；所述探测SP用于指示第二IPSec节点对N个第一IPSec节点进行路径探测，具体为：第二IPSec节点使用TCP协议和/或UDP协议向信标装置发起探测；所述探测包括请求包和响应包；所述请求包由第二IPSec节点发出，响应包由信标装置回应；信标装置检查自己的网络状态，如果出现故障，则回复一个包...

【专利技术属性】
技术研发人员：刘慧，伍力伟，黄钟，李杨，刘雄，江国兵，刘四超，吴志兵，张伟，李朝阳，张乐，裴佩，张龙，
申请(专利权)人：武汉船舶通信研究所中国船舶重工集团公司第七二二研究所，
类型：发明
国别省市：