[发明专利]一种实现IPSec虚拟专用网隧道备份和负载的方法

说明书

技术领域

本发明涉及互联网安全协议虚拟专用网(Internet Protocol Security VirtualPrivate Network，IPSec VPN)技术，特别涉及一种实现IPSec VPN隧道备份和负载的方法。

背景技术

虚拟专用网(Virtual Private Network)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展，可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。

互联网安全协议(Internet Protocol Security，IPSec)是互联网工程任务组(Internet Engineer Task Force，IETF)正在完善的安全标准，其把几种安全技术结合在一起形成一个较为完整的体系，受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头(Authentication Header，AH)、IP安全载荷封载(EncapsulatedSecurity Payload，ESP)和密钥管理协议组成。

IPSec协议是一个范围广泛、开放的虚拟专用网(VPN)安全协议。它提供所有在网络层上的数据保护，提供透明的安全通信。IPSec用密码技术从三个方面来保证数据的安全。即：认证，用于对主机和端点进行身份鉴别；完整性检查，用于保证数据在通过网络传输时没有被修改；加密，加密IP地址和数据以保证私有性。

IPSec协议可以设置成在两种模式下运行：一种是隧道模式，一种是传输模式。在隧道模式下，IPSec把IP v4数据包封装在安全的IP帧中，这样保护从一个防火墙到另一个防火墙时的安全性。在隧道模式下，信息封装是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。隧道模式是最安全的，但会带来较大的系统开销。IPSec现在还不完全成熟，但其得到了一些路由器厂商和硬件厂商的大力支持，预计在今后将成为虚拟专用网的主要标准。IPSec有扩展能力以适应未来商业的需要。在1997年底，IETF安全工作组完成了IPSec的扩展，在IPSec协议中加上ISAKMP(Internet Security Association andKey Management Protocol)协议，其中还包括一个密钥分配协议Oakley。ISAKMP/Oakley支持自动建立加密信道，密钥的自动安全分发和更新。

随着越来越多的企业开始建立数据中心，实行数据集中管理，为了保证分支机构和数据中心之间的通信安全，一般都要通过VPN技术对通信进行加密。对于大型企业来说，有如下特点：1、分级机构可能遍布全国甚至全球；2、各个分支机构采用不同的运营商线路接入数据中心；3、为了保证通信的速度和稳定，数据中心一般会租用多个运营商的线路，以便适应不同的分支机构，同时采用多台VPN设备处理分支机构的接入，甚至有的分支机构也会租用多个运营商线路接入数据中心。

上述这些特点会导致如下问题的产生：1、在分支机构多、分布广的情况下如何安全高效的配置同一的VPN策略；分支机构如何使用最优线路接入数据中心；在最优线路发生故障时候，隧道如何自动切换至次优线路；当分支机构使用多个运营商线路接入时，如何将这多条线路充分利用；在数据中心，如果某台设备发生问题，如何使该设备和所有分支机构建立的隧道快速切换到其他设备上。

发明内容

本发明的目的在于，提供一种实现IPSec虚拟专用网隧道备份和负载的方法。

本发明的实现互联网安全协议虚拟专用网隧道备份和负载的方法，包括下列步骤：

步骤A：将数据中心的多台不同运营商线路的设备D1～Dk虚拟为一台逻辑上的设备D，分支机构的设备与所述虚拟设备D建立虚拟专用网VPN策略；分支机构的设备和所述虚拟设备D向集中管理器注册，在集中管理器上添加策略，所述策略包括指定建立隧道的设备、线路、线路的优先级，其中，k＞1；