[发明专利]VPN设备故障处理方法

说明书

技术领域

本发明涉及虚拟专用网络（VPN）技术，特别涉及一种VPN设备故障处理方法。

背景技术

VPN（Virtual Private Network，虚拟专用网络）指的是在公用网络上建立专用网络的技术。VPN实质上就是利用加密技术在公用网络上封装出一个数据通信隧道。

IPSec是工作在OSI模型网络层的隧道协议，也是VPN中最常用的隧道协议。AH（Authentication Header，认证头）与ESP（EncapsulationSecurity Payload，封装安全报体）是两种最基本的IPSec安全协议。其中，AH协议用于提供访问控制、无连接完整性、数据源验证以及防重播服务；ESP协议在AH协议的基础上，增加了保密性和有限通信流保密性两种安全服务。

IKE（Internet Key Exchange Protocol，因特网密钥交换协议）是完成身份验证与密钥协商的标准IPSec组件。IKE协商完成后，IPSec对端将分别建立并维护安全联盟（SA），从而为特定方向上的通信量提供可选的安全服务集。IPSec体系包括两种数据库，即SADB（SecurityAssociation Database，安全联盟数据库）与SPDB（Security PolicyDatabase，安全策略数据库）。SADB负责组织并管理SA，每个SA将对应SADB中的一项；SPDB实质上是关于全局策略项的有序列表，用于划分进/出站通信量并进行相应处理。

VPN中的网络设备出现故障时，通常需要通过keepalive或DPD（Dead Peer Detection，失效对端检测）等手段发现链路异常，然后重新协商建立IPSec隧道。这一过程需要耗费一段时间，从而导致这段时间内出现网络断流的问题。

发明内容

（一）所要解决的技术问题

本发明的目的在于提供一种能够快速处理VPN设备故障的方法，以解决现有技术中当VPN设备发生故障时，重新协商建立隧道需要耗费一定时间，进而导致这段时间内出现网络断流的问题。

（二）技术方案

为了解决上述技术问题，本发明提出了一种VPN设备故障处理方法，所述方法包括以下步骤：

S1、将VPN中的某一网络设备设置为VPN主用设备，并为所述VPN主用设备配置一个VPN备用设备；

S2、VPN服务器与VPN对端设备进行协商并建立隧道，同时将协商数据传送给所述VPN主用设备，进而使所述VPN主用设备与所述VPN对端设备进行加密报文传输；

S3、当检测到所述VPN主用设备发生故障时，所述VPN备用设备向所述VPN服务器发送设备倒换请求报文，所述VPN服务器将所述协商数据以及当前报文的序列号传输给所述VPN备用设备，进而使所述VPN备用设备与所述VPN对端设备进行加密报文传输。

可选的，步骤S2中，所述协商为IKE协商，所述隧道为IPSec隧道，所述协商数据为SADB和SPDB数据。

可选的，步骤S3中，所述当前报文为AH报文或ESP报文。

可选的，步骤S1进一步包括：

所述VPN主用设备与所述VPN备用设备通过交换机和/或路由器与所述VPN服务器相连。

（三）有益效果

本发明提出的VPN设备故障处理方法，能够在VPN主用设备发生故障时，快速进行隧道切换，从而减少了因网络设备故障而导致的时间损耗和流量损失。

附图说明

图1是本发明提出的VPN设备故障处理方法的流程图。

图2是本发明提出的VPN设备故障处理方法的应用情景示意图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

本发明提出了一种VPN设备故障处理方法，如图1所示，所述方法包括以下步骤：

S1、将VPN中的某一网络设备设置为VPN主用设备，并为所述VPN主用设备配置一个VPN备用设备；

S2、VPN服务器与VPN对端设备进行协商并建立隧道，同时将协商数据传送给所述VPN主用设备，进而使所述VPN主用设备与所述VPN对端设备进行加密报文传输；

S3、当检测到所述VPN主用设备发生故障时，所述VPN备用设备向所述VPN服务器发送设备倒换请求报文，所述VPN服务器将所述协商数据以及当前报文的序列号传输给所述VPN备用设备，进而使所述VPN备用设备与所述VPN对端设备进行加密报文传输。