[发明专利]一种负载均衡的IPSecVPN设备集群系统及其工作方法

说明书

技术领域

本发明属于数据通信领域，涉及一种负载均衡的IPSec VPN设备集群系统及其工作方法。

背景技术

IPSec：Internet Protocol Security的缩写，表示Internet 协议安全性。是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯；

VPN：虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

安全策略(SP)：安全策略一般由五元组形式的选择符唯一标志，该五元组包括源IP地址、目的IP地址、源传输层端口、目的传输层端口、传输层协议号，指示了明文数据报文的处理方式：丢弃、绕过IPSec或使用IPSec安全联盟处理。

安全联盟(SA)：安全联盟由三元组唯一标识，该三元组包括安全参数索引（SPI）、目的IP地址（单播地址）和安全协议（AH或ESP）标识符，指示了IPSec处理数据包的算法、密钥、抗重放窗口、封装方式等具体的参数。

由于IPSec VPN采用了多种安全技术对数据进行处理，而且是部署在用户网络的出入口处，对设备处理性能和可靠性的要求是很高的，可以采用多台IPSec VPN设备集群的技术来解决性能和可靠性的问题。

IPSec VPN自身的技术特点为多IPSec VPN设备集群的实现设置了两大障碍，一是隧道封装导致经过不同IPSec VPN设备处理的出站IP数据报文具有不同的源IP地址，而入站的IP数据报文由于目的地址不同又无法实现负载的自动分配；二是序列号和抗重放窗口随着每一个数据报文更新，多台不同设备间无法实现序列号和抗重放窗口的即时同步，故障时的热切换存在问题。

发明内容

为解决上述问题，本发明提供了一种负载均衡的IPSec VPN设备集群系统，包括若干IPSec VPN设备，每台IPSec VPN设备均运行有计算能力评估模块、组内同步模块、负载管理模块、地址应答器、数据分类器；

计算能力评估模块用于在同一个集群内的IPSec VPN设备起动时进行签名运算，得到其所在IPSec VPN设备的计算能力评估结果；

组内同步模块负责在同一个集群内的所有成员设备间进行安全策略、安全联盟、在线状态和计算能力信息的交互和同步并形成全局一致的安全策略、安全联盟和在线状态；

负载管理模块通过组内同步信息得到全局一致的安全策略、安全联盟和在线状态，根据组内各IPSec VPN设备计算能力的不同进行数据负载的分配，并根据其所在IPSec VPN设备的负载分配设置实际生效的安全策略和安全联盟；

地址应答器根据系统内所有IPSec VPN设备统一设置的虚拟地址信息，对从内网出站的IP数据报文和从外网入站的IP数据报文的链路层地址请求进行一致的回应；

数据分类器根据数据报文是否处在其所在IPSec VPN设备已生效的安全策略或安全联盟之内，对进出站的IP数据报文提供不同的处理路径。

进一步的，所述集群内的每台IPSec VPN设备均设置一个可配置的IP多播地址，作为组内通讯地址，组内同步模块定期将本台设备的安全策略、安全联盟、在线状态和计算能力评估结果通过多播的方式传递到集群的其他成员设备，同时也接受其他成员设备通过多播传递过来的安全策略、安全联盟、在线状态和计算能力评估结果，形成该集群全局一致的安全策略和安全联盟。

进一步的，所述设备集群各IPSec VPN设备具有共享的虚拟IP地址，作为该集群共享的IPSec VPN隧道源IP地址，所有通过该集群处理的出站IP数据报文都以该集群各成员设备共享的虚拟IP地址作为隧道封装后的源IP地址，而所有以该虚拟IP地址为目的IP地址的入站IPSec报文将被集群内的所有在线成员设备接收。

进一步的，计算能力评估模块以多线程的方式运行1万次2048比特模长的RSA签名运算，并计算出以次/秒为单位的签名速度，作为其所在IPSec VPN设备的计算能力评估结果。