[发明专利]一种实现IPSec网关动态组网的方法

说明书

本发明公开了一种实现IPSec网关动态组网的方法，包括：IPSec网关接入网络后，在用户侧采用本地路由发现协议自动获取内网路由表，通过解析内网路由表，提取有效网络地址作为本端IPSec网关保护的子网地址；当目标IPsec网关需要部署入网时，并从其预设地址前缀对应的网络地址中选取一个配置为主机路由；当目标IPsec网关参与网络侧路由行为时，已经部署在网络中的IPsec网关通过路由协议交互获知目标IPsec网关的主机路由，再通过与所述预设地址前缀比对实现对IPsec实体和通用路由交换设备的区分和甄别，并自动建立SA和IPSec隧道，从而实现动态组建VPN网络。

技术领域

本发明涉及VPN组网技术领域，尤其涉及一种实现IPSec网关动态组网的方法。

背景技术

IPSec在网络层数据传输加密的应用日益广泛，但在大规模网络的实际工程实施中，IPSec网关部署涉及的配置信息工作量会随着网关数量的增加而急剧上升，后期出现网络拓扑发生变化的情况时，还将涉及大量的设备配置变更工作，使得网络维护工作变得非常困难，因此急需一种实现IPSec网关动态组网的方法，解决IPSec网关在大规模组网应用中遇到的问题。

当前IPSec网关动态组网的技术方案主要有基于组播、基于客户机/服务器、基于TED（隧道端点发现）三种解决方案。

基于组播方案的主要实现思路为，新的IPSec网关接入网络后，根据自身基本信息构造和发送“Hello”组播报文，网络中的其他网关据此与新网关发起IKE协商，建立SA和IPSec隧道，所有建立安全隧道的IPSec网关之间定期发送“ALIVE”报文以保持IPSec隧道。该方案的缺点在于，需要定时发送“ALIVE”报文，而由该报文带来的负载流量与IPSec网关数量呈指数级增长，另外，当网络出现变动后聚敛的时间较慢，该方案不适用于网络规模较大或网络拓扑变化较快的网络中。

基于客户端/服务器方案的主要实现思路为，新的IPSec网关接入网络后，将自己管理的子网信息发送给注册服务器进行注册，当接收到的数据包未建立SA且无安全策略匹配，则向注册服务器发起查询，并根据反馈信息与对端IPSec网关建立SA和IPSec隧道。该方案的缺点在于，网络中的IPSec网关信息都存储在一个注册服务器中，因此该服务器存在性能瓶颈和单点故障风险，其如受到DDos等方式的网络攻击，将影响整个网络的IPSec网关正常工作。

基于TED方案的主要实现思路为，新的IPSec网关接入网络后，需要根据每个进入网关确需保护但仍未建立SA且无安全策略匹配的原始数据包，构建特殊的IKE探测数据包，发往原始数据包的目的地址，当该探测数据包在转发过程中被对端IPSec网关收到时，对端IPSec网关设备将对发端IPSec网关做出响应，从而发端IPSec可以据此与对端IPSec建立SA和IPSec隧道。该方案的缺点在于，IPSec网关所需构造和发送的探测数据包与其所保护的内网对外通信的访问的目的地址数量成正比，在探测过程中未对内网地址进行保护，另外，发现网络中所有网关的周期取决于其所保护的内网对外业务访问的范围和周期，收敛时间较长。

发明内容

针对大规模网络中IPSec动态组网方案中存在的额外网络开销流量大、网络收敛时间长、单点故障及性能风险高、内网地址暴露等问题，本发明提出一种实现IPSec网关动态组网的方法，IPsec实体通过参与路由行为实现内网侧子网以及外网侧通联对端的发现，结合预设地址前缀实现IPSec设备与通用路由设备的甄别，达到自动建立IPsec隧道，动态组建VPN网络的目的。

本发明采用的技术方案如下：

一种实现IPSec网关动态组网的方法，包括：

IPSec网关接入网络后，在用户侧采用本地路由发现协议自动获取内网路由表，通过解析内网路由表，提取有效网络地址作为本端IPSec网关保护的子网地址；