[发明专利]基于IPSec协议的多通道智能选路方法及系统

权利要求书

1.一种基于IPSec协议的多通道智能选路系统，其特征在于，该系统包括链路状态检查模块、数据通道模块、IPSec隧道维护模块和IPSec数据转发模块，所述链路状态检查模块、IPSec隧道维护模块和IPSec数据转发模块分别与数据通道模块连接，各模块之间进行协调配合用于实现IPSec VPN网关由多个出口地址互联时的选路和负载均衡；

所述IPSec隧道维护模块用于维护IPSec隧道的生命周期，在某一通道单点故障时，IPSec隧道信息仍可以保持着，这是由于 IPSec业务数据不会依赖具体的通道信息，IPSec业务数据能无障碍的在不同通道上进行切换；

所述IPSec数据转发模块用于IPSec业务数据的封装、解封装和数据加解密；

所述数据通道模块用于通道的建立、维护和通道上数据的收发；所述数据通道模块还用于基于负载信息对IPSec业务数据进行调度；

所述链路状态检查模块用于：

在用户配置完成本地出口地址和远端目的地址信息后，由链路状态检查模块根据配置周期性地对出口链路状态进行监测，计算时延、抖动和丢包率信息，根据这些信息将可用的IP地址提供给数据通道模块；

所述链路状态检查模块具体用于：

创建空的正常及故障链路列表，遍历本地出口和配置的远端地址，按配置顺序保存local+remote组合到正常链路列表，判断故障列表是否遍历完全；

若故障列表未遍历完全则遍历下一个成员，构造CMP回显请求包并发送多次，计算RTT时延平均值和方差、计算丢包率并保存，判断丢包率是否小于50%，若是则将节点从故障列表移除，在正常列表中添加，若否则重新判断故障列表是否遍历完全；

若故障列表遍历完全则进一步判断正常列表遍历是否完全，若正常列表遍历完全则根据RTT时延平均值、方差、丢包率对列表进行排序，通知数据通道模块，当检测周期结束时重新判断故障列表是否遍历完全；若正常列表未遍历完全则遍历下一个成员，构造CMP回显请求包并发送多次，计算RTT均值和方差、计算丢包率并保存，判断丢包率是否小于50%，若否则将节点从正常列表移除，在故障列表中添加，若是则重新判断正常列表遍历是否完全。

2.根据权利要求1所述的基于IPSec协议的多通道智能选路系统，其特征在于，所述数据通道模块具体用于：

在所有接口上监听500和4500端口，判断是否有被动通道建立；

若有被动通道建立则保存被动通道，然后获取可用地址列表；若无被动通道建立，则直接获取可用地址列表；

然后判断是否需要新建通道，若需要新建通道则使用可用地址向远端500和4500端口创建通道，然后判断是否需要删除通道，若不需要新建通道则直接判断是否需要删除通道，若需要删除通道，则进一步判断通道是否正在被使用，若通道正在被使用，则缓存数据，关闭并删除通道，选择新通道发送数据，若通道没有正在被使用，则关闭通道并将该通道进行删除；

然后判断是否获得更新通知，若是则继续判断否有被动通道建立。

3.根据权利要求1所述的基于IPSec协议的多通道智能选路系统，其特征在于，所述数据通道模块还用于：

数据通道建立后监听数据的达到，当到达的数据存在Non-ESP Marker标志时，通知IPSec隧道维护模块处理数据，IPSec隧道维护模块根据数据处理情况对IPSec隧道进行新建、保持、更新和销毁操作；当到达的数据不存在Non-ESP Marker标志时，通知IPSec数据转发模块处理数据，IPSec数据转发模块决定对数据的丢弃、转发和加解密行为。