[发明专利]一种实现IPSecVPN主备链路动态切换的方法

说明书

技术领域

本发明涉及网络安全领域，具体涉及一种实现IPSec VPN主备链路动态切换的方法。

背景技术

IPSec(Internet协议安全)是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec有两个基本目标：1）保护IP数据包安全；2）为抵御网络攻击提供防护措施。

IPSec通常用来组建VPN（Virtual Private Network，虚拟专用网络），它大体分为两个阶段：隧道协商阶段和数据传送阶段。

隧道协商阶段主要是通过IKE（Internet密钥交换协议）来完成，隧道的建立需要经过两个阶段的协商。第一阶段建立一个验证的安全联盟和密钥，称为IKE SA（Security Association，安全联盟）。它主要包括提案与密钥的交换，在这一阶段，有两种交换模式：主模式、野蛮模式。不管哪一种模式，都是交换提案，并协商出一种双方都可以接受的安全属性。如预共享密钥或证书的交换、加密认证算法、密钥、DH组（Diffie-Hellman，密钥交换协议/算法）、IKE SA生存期。随后可用IKE SA为IPSec安全协议建立安全联盟。这一阶段主要包含认证方式、身份信息交换（预共享密钥或证书）、算法、密钥、SA生存期的协商。第二阶段建立一个用于IPSec的安全联盟，称为IPSec SA。第二阶段完成后，也就相当于VPN隧道建立完成，可以开始加密通信。第二阶段必须在第一阶段建立的IKE SA保护下进行。

数据传送阶段主要是通过ESP（Encapsulating Security Payload，数据封装加密）和AH（Authentication Header，认证表头）两个协议来完成。ESP可以提供加密和认证功能，AH只能提供认证功能。

IPSec VPN可以使两个异地的私有网络连接起来，或者使公网上的计算机可以访问远程的企业私有网络。在总部与多个分支之间建立IPSec VPN时，会使用主备链路备份的方案，增强VPN业务的可靠性。如图1所示，一路上行为电信网络，另一路上行为联通网络，对于总部来说，两路VPN隧道同时工作，优先级相同，选择哪一条隧道传输数据由分支决定；对于分支来说，两路上行之间要实现备份的功能，需要满足如下要求：主链路传输数据的时候，备链路不参与，当主链路发生故障时，流量会切换到备链路，当主链路故障恢复后，流量会切回到主链路。

通过将原始报文先经过GRE（Generic Routing Encapsulation，通用路由封装）隧道的封装再进行IPSec隧道的封装，称为GRE over IPSec，上述方式可以做到主备链路的动态切换，它利用GRE的点到点的路由来实现。因为GRE链路上会定时发送keepalive报文来确认对端是否可达，所以它能感知到链路上任意一个路由节点的故障。两条链路都正常时，通过GRE的路由优先级来选择主链路，如图1所示，以分支一为例，假设wan0对应GRE0，wan1对应GRE1。

两条链路都正常时，分支一上的路由信息如下：