[发明专利]基于虚拟网卡适应负载均衡网络的VPN隧道实现方法

说明书

技术领域

本发明涉及数据通信领域，尤其是一种基于虚拟网卡适应负载均衡网络的VPN隧道实现方法。

背景技术

IPSec是互联网工程任务组制定的一个开放的IP层安全框架协议，为三层隧道协议。IPSec协议在网络层工作，VPN虚拟专用网络（Virtual Private Network ，简称VPN)设备之间利用IPsec协议建立安全隧道，对VPN设备间传输的数据提供机密性、完整性、数据源认证和抗重放服务。

虚拟网卡是运行在操作系统内核中的虚拟网络设备，不同于普通硬件网卡，虚拟网卡全部用软件实现，向运行于操作系统上的软件提供与硬件网卡完全相同的功能。硬件网卡收到目的地址为虚拟网卡地址的网络数据包，操作系统将把此数据包直接路由到本地IP协议栈。

负载均衡网络是实现负载分担和网络高冗余性的良好方式，最为常见实现负载均衡网络是基于路由协议，OSPF(Open Shortest Path First开放式最短路径优先）等值路径。基于IPSec隧道的两台及以上VPN设备部署在负载均衡网络中，对经过VPN设备并匹配IPSec SP（安全策略）的IP报文将进行IPSec加解密处理，并封装或者解封装，导致原网络数据包源和目的地址发生改变，原有路由针对新数据包无法生效，导致网络负载均衡失效。

当前VPN设备适应负载均衡网络的方法很多，一般情况下采用VPN设备借用后面保护网络的一台主机IP与远端VPN建立安全隧道。如果VPN设备借用的保护网络中的那台主机出现故障而下线，将导致出口路由器无法学习到该主机的MAC地址，从而导致出口路由器收到目的地址为该主机地址的加密数据包，不能转发给出口路由器后面的VPN设备。此外，因为VPN设备收到的数据包的目的地址并非VPN设备自身，但需要处理目的地址为后端主机的加密数据包，需要VPN设备调整IP协议栈才能满足上述方法应用的要求。

 

发明内容

本发明的目的是提供一种基于虚拟网卡适应负载均衡网络的VPN隧道实现方法，解决上述VPN设备部署在负载均衡网络中导致网络负载均衡功能失效。

为解决上述问题，本发明采用的技术方案为，一种基于虚拟网卡适应负载均衡网络的VPN隧道实现方法，包括以下步骤：

（1）对负载均衡网络中的两台及以上VPN设备的内置虚拟网卡配置相同主机地址；

（2）本端主VPN设备采用虚拟网卡地址与对端VPN设备进行密钥协商并建立IPSec SA，并把IPSec SA信息同步到本端的其它VPN设备；

（3）当对端VPN设备保护的业务主机与本端VPN设备保护的业务主机进行网络通信时，对端VPN设备根据到本端VPN设备的IPSec SA信息对数据包进行加密封装后发送到本端网络；

（4）将加密封装后的数据包发送到本端IP协议栈的传输层，由IP协议栈查找对应路由并解密、解封装后转发到出口路由器或者出口交换机。

优选步骤：所述的步骤（3）中VPN设备处理VPN数据具体流程如下：当本端VPN设备保护的业务主机与对端VPN设备保护的业务主机进行网络通信时，本端VPN设备的交换机或者路由器根据其路由或者MAC地址转发表选择对应的链路上传数据到该链路上部署的VPN设备，VPN设备根据数据包的目的地址、端口及传输协议查找安全策略库，确认此数据包命中的IPSec SP，再通过该IPSec SP在安全关联库中查找对应的IPSec SA，随后根据IPSec SA的工作模式和密钥进行加密封装处理。

    优选步骤：所述的步骤（4）中具体流程如下：本端IP协议栈根据目的IP地址、端口及传输层协议查找匹配的IPSec SA，得到正确的IPSec SP后，根据其IPSec SA的密钥、处理模式对该加密封装后的数据包进行解密、解封装，还原出原有数据包后发送到出口交换机或者出口路由器。 

优选步骤：步骤（1）中所述的相同主机地址是掩码为32位的主机地址。

优选步骤：步骤（1）在负载均衡网络环境中部署4台VPN设备，进行虚拟网卡创建及配置虚拟网卡地址。

优选步骤：所述的虚拟网卡地址配置为VPN设备保护业务网段的一台设备主机地址。