多上行链路路径质量感知制造技术

一些实施例提供了一种收集用于实现第一安全性关联

【技术实现步骤摘要】
【国外来华专利技术】多上行链路路径质量感知IPSEC

技术介绍

[0001]互联网协议安全
(IPsec)
是一组一起使用以在设备之间设置加密连接的协议，使得私有数据可以通过公共网络安全地发送
。IPsec
常常用于通过加密
IP
分组并认证分组的来源来设置虚拟专用网络
(VPN)。IPsec VPN
被企业广泛使用，以通过广域网
(WAN)
或互联网互连其地理上分散的分支机构位置，尤其是在软件定义的
WAN(SD
‑
WAN)
时代
。
云提供商还使用
IPsec
来加密穿越数据中心互连
WAN
的
IP
流量，以满足安全性和合规性要求，尤其是在金融云和政府云环境中
。
[0002]互联网密钥交换
(IKE)
是用于在两方之间建立安全且经过认证的通信通道的协议
。IKE
通常使用公钥基础设施证书进行认证，并使用密钥交换协议来设置共享会话密钥
。IKE
是
IPsec
的一部分，负责协商安全性关联
(SA)
，这是双方同意的密钥和算法的集合，供尝试建立
VPN
连接
/
隧道的双方使用
。
[0003]现代数据中心网络或
WAN
网络包括端点之间的冗余路径
。
充分利用多个链路或路径来获得更好的性能
、/>更好的可靠性
、
更快地适应路由中断或错误配置等对于现代云工作负载是重要的
。
[0004]等成本多路径路由
(ECMP)
是一种路由策略，其中到单个目的地的分组转发可以发生在具有相同路由优先级的多条最佳路径上
。ECMP
是在每个路由器上独立做出的每跳决策
。
它可以通过对多条路径上的流量进行负载平衡来显著增加带宽
。

技术实现思路

[0005]本公开的一些实施例提供了一种使用多个不同安全性关联
(SA)
中的多条路径来传输
IPsec
数据的方法
。
网关收集第一隧道的一个或多条路径以及第二隧道的一个或多条路径的度量
。
网关接收要从第一网络端点传输到第二网络端点的数据
。
当选择的路径属于第一隧道时，网关将接收到的数据加密为第一
SA
的加密的有效负载，并通过附加
(i)
识别第一隧道的第一源地址和
(ii)
识别所选择的路径的第一源端口来封装加密的有效载荷
。
然后网关在第一隧道中传输封装的加密的有效载荷
。
当所选择的路径属于第二隧道时，网关将接收到的数据加密为第二
SA
的加密的有效载荷，并通过附加
(i)
识别第二隧道的第二源地址和
(ii)
识别所选择的路径的第二源端口来封装加密的有效载荷
。
网关在第二隧道中传输封装的加密的有效载荷
。
[0006]在一些实施例中，数据中心的网关协商实现第一
SA
的第一虚拟专用网络
(VPN)
隧道和实现第二
SA
的第二
VPN
隧道
。
第一和第二
SA
和隧道作为
VPN
会话的一部分而建立的，其中网关是
VPN
客户端，而远程网关是
VPN
服务器
。
一个隧道可以包括通过互联网的路径，而另一个隧道不包括通过互联网的路径或者仅包括数据中心内或两个数据中心之间的直接连接
。
[0007]在一些实施例中，网关发送探测消息并接收对探测消息的响应
。
基于接收到的对探测消息的响应来确定针对第一和第二隧道的一条或多条路径收集的度量
。
在一些实施例中，路径的度量包括路径的连接性
、
时延
、
丢包率
、
抖动中的至少一项
。
[0008]在一些实施例中，第一网络端点由第一数据中心托管，并且第二网络端点由第二数据中心托管
。
在一些实施例中，在单个路由层接口
(
或
VTI)
处接收数据以用于使用第一
SA
在第一隧道中以及使用第二
SA
在第二隧道中加密和传输
。
在一些实施例中，在应用层处绑定的接口处从应用接收数据，并且该绑定的接口在逻辑上组合用于加密和封装接收到的数据以使用第一
SA
在第一隧道中传输的第一路由层接口和用于加密和封装接收到的数据以使用第二
SA
在第二隧道中传输的第二路由层接口
。
网关基于收集的第一和第二隧道的路径的度量来选择路径
。
[0009]前面的
技术实现思路
旨在用作针对本专利技术的一些实施例的简要介绍
。
它并不意味着是本文档中所公开的所有专利技术性主题的介绍或概述
。
以下的具体实施方式和参考具体实施方式的附图说明将进一步描述在
技术实现思路
以及其它实施例中所描述的实施例
。
因此，为了理解本文档所描述的所有实施例，需要对
技术实现思路

、
具体实施方式
、
附图说明和权利要求书进行全面地审阅
。
而且，所要求保护的主题不受在
技术实现思路

、
具体实施方式和附图说明中的说明性细节的限制
。
附图说明
[0010]本专利技术的新颖特征在所附权利要求中阐述
。
但是，为了解释的目的，本专利技术的几个实施例在以下图中阐述
。
[0011]图1概念性地图示了其中网络端点之间存在多条路径的网络
。
[0012]图2概念性地图示了通过多条路径将
IPsec
数据从一个端点发送到另一个端点
。
[0013]图3概念性地图示了被建立以将数据从第一数据中心安全地运输或迁移到第二数据中心的
VPN
会话
。
[0014]图4概念性地图示了网关收集路径质量信息以便执行用于发送
IPsec
数据的路径选择
。
[0015]图5概念性地图示了用于安全性关联
SA1
的多条活动路径上的负载平衡
。
[0016]图6概念性地图示了
VPN
客户端使用多个上行链路或隧道中的多条路径来跨网络向
VPN
服务器发送
IPsec
数据
。
[0017]图7概念性地图示了与用于
IPse本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.
一种方法，包括：收集用于实现第一安全性关联
(SA)
的第一隧道的一条或多条路径以及用于实现第二
SA
的第二隧道的一条或多条路径的度量；基于收集的第一隧道和第二隧道的路径的度量来选择路径；当选择的路径属于第一隧道时，对要作为第一
SA
的加密的有效载荷传输的数据进行加密并在第一隧道中传输加密的有效载荷；以及当选择的路径属于第二隧道时，对要作为第二
SA
的加密的有效载荷传输的数据进行加密并在第二隧道中传输加密的有效载荷
。2.
如权利要求1所述的方法，其中，在单路由层接口处接收要传输的数据，以便在使用第一
SA
的第一隧道中和使用第二
SA
的第二隧道中加密和传输
。3.
如权利要求1所述的方法，其中要传输的数据在应用层处绑定的接口处接收，其中该绑定的接口包括第一路由层接口，用于使用第一
SA
对接收到的数据进行加密以便在第一隧道中传输，以及第二路由层接口，用于使用第二
SA
对接收到的数据进行加密以便在第二隧道中传输
。4.
如权利要求1所述的方法，还包括发送探测消息并接收对该探测消息的响应，其中所收集的针对第一隧道和第二隧道的所述一条或多条路径的度量是基于接收到的对探测消息的响应来确定的
。5.
如权利要求4所述的方法，其中路径的度量包括路径的连接性
、
时延
、
丢包率和抖动中的至少一项
。6.
如权利要求1所述的方法，其中封装的加密的有效载荷包括存储第一源端口的用户数据报协议
(UDP)
报头
。7.
如权利要求1所述的方法，其中：要传输的数据是从第一网络端点到第二网络端点；第一网络端点由第一数据中心托管并且第二网络端点由第二数据中心托管；以及网关是第一数据中心的边缘装置
。8.
如权利要求1所述的方法，其中第一隧道包括通过互联网的路径并且第二隧道不包括通过互联网的路径
。9.
如权利要求1所述的方法，其中：当选择的路径属于第一隧道时，通过附加
(i)
识别第一隧道的第一源地址和
(ii)
识别所选择的路径的第一源端口来封装加密的有效载荷；以及当选择的路径属于第二隧道时，通过附加
(i)
识别第二隧道的第二源地址和
(ii)
识别所选择的路径的第二源端口来封装加密的有效载荷
。10.
如权利要求1所述的方法，其中所收集的度量被用于识别最佳执行路径的池，并且从最佳执行路径的池中选择路径用于负载平衡
。11.
一种方法，包括：使用用于接入第一路径集合的第一上行链路接口和用于接入第二路径集合的第二上行链路接口来建立用于与虚拟专用网络
...

【专利技术属性】
技术研发人员：王勇，A，
申请(专利权)人：VM，
类型：发明
国别省市：