[发明专利]基于SSL VPN网关集群的用户接入方法及其装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种基于SSL VPN网关集群的用户接入方法及其装置。

背景技术

VPN(Virtual Private Network，虚拟专用网络)被定义为通过公用网络(通常是因特网)建立临时的、安全的连接，是一条穿过公用网络的安全、稳定隧道。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

SSL(Secure Sockets Layer，安全套接层)是一套Internet数据安全协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，通过加密方式保护在Internet上传输的数据安全性。

SSL VPN是一种采用SSL加密连接实现远程访问的VPN技术。SSL VPN的功能如图1所示。其中，远程主机与SSL VPN网关之间建立SSL连接，以加密方式在Internet上传送报文(SSL数据)；而SSL VPN网关终结了SSL连接，SSL VPN网关通过与内网的服务器(Server1，Server2)建立TCP(Transmission Control Protocol，传输控制协议)连接(TCP/WEB接入方式)或者通过直接IP转发(IP接入方式)，以明文方式传送远程主机发来的请求，并将服务器(Server1，Server2)的应答通过SSL连接发给远程主机。

SSL VPN网关通常采用集群技术。SSL VPN网关集群也即同时有多个SSLVPN网关提供接入服务，这多个SSL VPN网关以某种负载分担方式各承担部分SSL VPN用户的接入处理，并且当任何一个SSL VPN出现故障被去掉或者新加入一个SSL VPN网关时，使终端用户使用SSL VPN不受影响。

实现SSL VPN网关集群的方案，一般是通过负载均衡器(LB)来配合实现，典型的实现方案如图2所示，其中，所有的SSL数据通过负载均衡器(图中的LB_1)根据某种负载均衡算法分发给相应SSL VPN网关，反之，服务器(Server1或Server2)返回的响应数据则通过LB_2分发给请求数据所经过的SSL VPN网关。其中，LB_1主要负责请求报文的分发，LB_2则实现响应报文的分发。对于只有2个SSL VPN网关的组网，还可以通过双机热备的A/A模式实现集群功能。

发明人在实现本发明的过程中，发现现有SSL VPN网关集群技术至少存在以下问题：

SSL VPN网关集群方案需要增加负载均衡器(LB)，这样带来的主要问题有：

(1)成本提高：SSL VPN网关负载均衡的组网方案需要使用三明治组网，也即最少需要部署2套负载均衡器来实现。

(2)性能会有瓶颈：实现SSL VPN集群的目的除了增强网络可靠性，还有一个重要目的就是提高SSL VPN网关的处理能力。而通过增加负载均衡器的方案来实现，则该组网中可能出现因负载均衡器性能不足而出现新的性能瓶颈，导致整个SSL VPN集群性能不能充分发挥出来。

另外，对于只有2个SSL VPN网关的组网，如果通过双机热备的A/A模式实现集群功能，则2个SSL VPN网关需要互相备份会话信息，这样也加重了SSL VPN网关处理性能，导致最大并发连接等关键性能指标很低。

由此可见，现有SSL VPN网关集群技术需要额外使用负载均衡器，并且系统性能有待提高。

发明内容

本发明提供了一种基于SSL VPN网关集群的用户接入方法及其装置，用以解决现有技术中因在SSL VPN网关集群中使用负载均衡器导致的系统性能低的问题。

本发明提供的基于SSL VPN网关集群的用户接入方法，其中，所述SSLVPN网关集群中的各网关启用了VRRP，并配置有集群邻居表项，所述集群邻居表项中包含有各邻居网关的集群优先级、当前状态和当前用户连接数，该方法包括：

SSL VPN网关集群中的网关通过周期执行的基于集群优先级的集群邻居探测过程，维护各自集群邻居表项中各邻居网关的当前状态和当前用户连接数；