專利名稱:虛擬專用網(wǎng)負(fù)載備份系統(tǒng)及其建立方法與數(shù)據(jù)轉(zhuǎn)發(fā)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種采用虛擬路由器冗余協(xié)議(VRRP)建立IP層安全虛擬專用網(wǎng)(IPSEC VPN)的技術(shù)�。
背景技術(shù):
IP層安全協(xié)議(IPSEC),是被采用得最廣泛的虛擬專用網(wǎng)(VPN)技術(shù),是由Internet工程任務(wù)組(IETF)開發(fā)的一組身份驗(yàn)證和加密的協(xié)議�,可用于IP網(wǎng)絡(luò)中的數(shù)據(jù)保密、完整性檢查���、身份驗(yàn)證和密鑰管理等諸多方面�。一般說來����,IP層安全協(xié)議(IPSEC)主要用于安全閾的一個部分����,它通過對整個數(shù)據(jù)包進(jìn)行了加密封裝,這種經(jīng)過加密封裝的信息流在沒有其它安全措施的IP網(wǎng)絡(luò)中形成了一個安全的信息隧道�,即IPSEC隧道。對數(shù)據(jù)進(jìn)行的加密處理稱為IPSEC封裝�����。
通常����,網(wǎng)絡(luò)內(nèi)設(shè)置兩臺網(wǎng)關(guān)互為備份,其中一個作為主用網(wǎng)關(guān)��,另一個作為備用網(wǎng)關(guān)���。VRRP是一種常用的網(wǎng)關(guān)備份方案�����。網(wǎng)絡(luò)內(nèi)主機(jī)預(yù)先設(shè)置一條缺省路由��,這樣��,主機(jī)發(fā)出的數(shù)據(jù)一般通過主用網(wǎng)關(guān)發(fā)出����,從而實(shí)現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的通信;當(dāng)主用網(wǎng)關(guān)發(fā)生故障時�����,備用網(wǎng)關(guān)替代主用網(wǎng)關(guān)發(fā)送數(shù)據(jù)��。
對企業(yè)總部局域網(wǎng)而言����,通常需要一個默認(rèn)網(wǎng)關(guān)和外部網(wǎng)絡(luò)連接。目前采用VRRP部署IPSEC VPN的典型方案是在企業(yè)總部局域網(wǎng)部署兩臺三層交換機(jī)作為互為備份的網(wǎng)關(guān)����,并在這兩臺三層交換機(jī)之間運(yùn)行VRRP協(xié)議實(shí)現(xiàn)對內(nèi)部局域網(wǎng)的網(wǎng)關(guān)備份�,在兩臺三層交換機(jī)和兩臺中心VPN設(shè)備之間采用動態(tài)路由實(shí)現(xiàn)到中心VPN設(shè)備和分支之間IPSEC隧道的線路備份�,如圖1所示。即實(shí)現(xiàn)中心VPN設(shè)備所連接的總部局域網(wǎng)通過多條線路和外部網(wǎng)絡(luò)互連��,在設(shè)備或者線路故障時都能保證中心VPN設(shè)備和分支VPN設(shè)備間IPSEC隧道的暢通��。
各個分支VPN設(shè)備僅僅和其主接入線路(往往是基于同一運(yùn)營商的線路)連接的中心VPN設(shè)備建立IPSEC主用隧道����,三層交換機(jī)從建立的IPSEC主用隧道中提取出到分支VPN設(shè)備所連接的內(nèi)部網(wǎng)絡(luò),建立起到分支VPN設(shè)備所連接的內(nèi)部網(wǎng)絡(luò)的靜態(tài)路由����,下一跳為分支VPN設(shè)備公網(wǎng)地址�����,并通過動態(tài)路由協(xié)議重分發(fā)此靜態(tài)路由�����;同時設(shè)定當(dāng)IPSEC主用隧道正常工作時�,分支VPN設(shè)備的IPSEC備份隧道不建立,以免IPSEC備份隧道也被提取出同樣的靜態(tài)路由被動態(tài)路由協(xié)議重分發(fā),導(dǎo)致一部分?jǐn)?shù)據(jù)從傳輸效率不高的備份隧道發(fā)送���。這樣主用三層交換機(jī)回送交互數(shù)據(jù)到分支VPN設(shè)備時��,根據(jù)路由信息將數(shù)據(jù)分別發(fā)送到相應(yīng)的中心VPN設(shè)備后����,中心VPN設(shè)備根據(jù)建立的IPSEC主用隧道將數(shù)據(jù)送到相應(yīng)的分支VPN設(shè)備�,從而實(shí)現(xiàn)總部和分支的數(shù)據(jù)交互通過同一個隧道進(jìn)行。
現(xiàn)有技術(shù)部署兩臺三層交換機(jī)構(gòu)建中心網(wǎng)絡(luò)�,增加了IPSEC VPN負(fù)載備份系統(tǒng)的建設(shè)、及維護(hù)成本與維護(hù)難度����。對于一個企業(yè)總部局域網(wǎng)相對較簡單的應(yīng)用環(huán)境,這個問題更為突出�,因此可以尋求一種更為簡單的解決方案。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是����,提供一種虛擬專用網(wǎng)負(fù)載備份系統(tǒng)與虛擬專用網(wǎng)負(fù)載備份系統(tǒng)的建立方法與數(shù)據(jù)轉(zhuǎn)發(fā)方法,在不增加多余設(shè)備的情況下�,保證中心VPN設(shè)備和分支VPN設(shè)備高效率傳輸數(shù)據(jù)。
本發(fā)明為解決上述技術(shù)問題所采用的技術(shù)方案是����,虛擬專用網(wǎng)負(fù)載備份系統(tǒng)�,包括兩臺中心VPN設(shè)備�、多臺分支VPN設(shè)備,其特征在于��,所述兩臺中心VPN設(shè)備互為備份�����,其中一臺中心VPN設(shè)備為主用網(wǎng)關(guān)��,另一臺中心VPN設(shè)備為備用網(wǎng)關(guān)����,兩臺中心VPN設(shè)備與總部局域網(wǎng)相連,兩臺中心VPN設(shè)備之間相連�����;各分支VPN設(shè)備分別通過IPSEC隧道與中心VPN設(shè)備相連�。
具體的���,所述IPSEC隧道包括IPSEC主用隧道��、IPSEC備用隧道���;IPSEC主用隧道為分支VPN設(shè)備對應(yīng)最優(yōu)線路的中心VPN設(shè)備建立的IPSEC隧道���;該分支VPN設(shè)備與另一臺中心VPN設(shè)備建立的IPSEC隧道為IPSEC備用隧道;當(dāng)所述IPSEC主用隧道斷開時�����,所述IPSEC備用隧道才生效��;當(dāng)所述主用隧道重新恢復(fù)時����,所述備用隧道則不再生效。
具體的��,所述兩臺中心VPN設(shè)備為運(yùn)行虛擬路由器冗余協(xié)議的VPN設(shè)備��。
可選的�����,兩臺中心VPN設(shè)備之間有一條或多條用于建立相互指向的靜態(tài)路由的物理線路連接���。
可選的�,兩臺中心VPN設(shè)備之間有一條在其接口上建立的用于建立相互指向的靜態(tài)路由的子接口邏輯連接。
本發(fā)明還提供了虛擬專用網(wǎng)負(fù)載備份系統(tǒng)的建立方法�,其特征在于,包括以下步驟(1)在兩臺中心VPN設(shè)備上運(yùn)行虛擬路由器冗余協(xié)議���,實(shí)現(xiàn)網(wǎng)關(guān)備份�;(2)分支VPN設(shè)備分別與對應(yīng)最優(yōu)線路的中心VPN設(shè)備建立IPSEC主用隧道���,和另外一臺中心VPN設(shè)備建立備用隧道����;(3)在兩臺中心VPN設(shè)備上分別配置其到所有分支內(nèi)部網(wǎng)絡(luò)的靜態(tài)路由����,并設(shè)定下一跳地址為另外一臺中心VPN設(shè)備。
可選的���,所述網(wǎng)關(guān)備份設(shè)備之間通過一條或多條物理線路相連���。
可選的�,所述兩臺中心VPN設(shè)備通過在其接口上配置子接口建立邏輯連接���。
本發(fā)明還提供了實(shí)現(xiàn)上述虛擬專用網(wǎng)負(fù)載備份系統(tǒng)的數(shù)據(jù)轉(zhuǎn)發(fā)方法,其特正在于中心VPN設(shè)備在轉(zhuǎn)發(fā)到分支內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)時����,在有對應(yīng)的IPSEC隧道時,首先對數(shù)據(jù)進(jìn)行IPSEC封裝���,然后將數(shù)據(jù)通過因特網(wǎng)傳輸?shù)綄?yīng)的分支VPN設(shè)備����;如無對應(yīng)的IPSEC隧道時�����,則將數(shù)據(jù)根據(jù)靜態(tài)路由轉(zhuǎn)發(fā)至另一臺中心VPN設(shè)備�����。
優(yōu)選的���,設(shè)置循環(huán)報(bào)文的檢測機(jī)制�,即一旦中心VPN設(shè)備接收到另一臺中心VPN設(shè)備發(fā)送來的從經(jīng)IPSEC封裝的數(shù)據(jù)�����,而本地又沒有這個IPSEC主用隧道,此數(shù)據(jù)根據(jù)靜態(tài)路由又將送回另一臺中心VPN���,這時丟棄此數(shù)據(jù)����。
本發(fā)明的有益效果是相比現(xiàn)有技術(shù)本發(fā)明少投入兩臺三層交換機(jī)��,達(dá)到了與現(xiàn)有技術(shù)相比同樣的效果����,大大減少了網(wǎng)絡(luò)建設(shè)以及維護(hù)成本,并且中心網(wǎng)絡(luò)更簡單易維護(hù)�,尤其適合企業(yè)總部局域網(wǎng)相對較簡單的應(yīng)用環(huán)境。
圖1是背景技術(shù)中的IPSEC VPN負(fù)載備份系統(tǒng)網(wǎng)絡(luò)連接圖�����;圖2是本發(fā)明的IPSEC VPN負(fù)載備份系統(tǒng)網(wǎng)絡(luò)連接圖���。
具體實(shí)施例方式
如圖2所示�����,本發(fā)明的IPSEC VPN負(fù)載備份系統(tǒng)包括兩臺中心VPN設(shè)備�����、多臺分支VPN設(shè)備�����,兩臺中心VPN設(shè)備與總部局域網(wǎng)相連��,兩臺中心VPN設(shè)備之間相連�����;各分支VPN設(shè)備分別通過IPSEC隧道與中心VPN設(shè)備相連����。兩臺中心VPN設(shè)備對于總部局域網(wǎng)內(nèi)部運(yùn)行VRRP進(jìn)行網(wǎng)關(guān)備份��,正常工作時�,只有一臺中心VPN設(shè)備作為內(nèi)部局域網(wǎng)的默認(rèn)的主用網(wǎng)關(guān)接收總部局域網(wǎng)發(fā)往分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)(即分支VPN設(shè)備)的數(shù)據(jù);另外一臺中心VPN設(shè)備作為備份網(wǎng)關(guān)����,在默認(rèn)的主用網(wǎng)關(guān)故障或者線路出現(xiàn)問題時切換為主用網(wǎng)關(guān)��。
各分支VPN設(shè)備根據(jù)接入線路的實(shí)際情況���,選擇與之對應(yīng)的最優(yōu)線路(一般為相同運(yùn)營商的接入線路)的中心VPN設(shè)備建立IPSEC主用隧道,與另外一臺中心VPN設(shè)備建立IPSEC備用隧道��,此時分支VPN設(shè)備視接入線路的不同可能是和主用網(wǎng)關(guān)建立主用隧道��,也可能是和備用網(wǎng)關(guān)建立主用隧道���;當(dāng)主用隧道斷開時����,IPSEC備用隧道才生效���;當(dāng)主用隧道重新恢復(fù)時�����,備用隧道則不再生效���。從而兩臺中心VPN設(shè)備負(fù)載備份了分支VPN的IPSEC隧道接入。
在兩臺中心VPN設(shè)備上分別配置連接因特網(wǎng)的靜態(tài)路由,下一跳為運(yùn)營商網(wǎng)關(guān)��;用于在有對應(yīng)的IPSEC隧道時���,到目的分支內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)在進(jìn)行IPSEC封裝后將通過因特網(wǎng)傳輸?shù)皆摲种PN設(shè)備�。
在兩臺中心VPN設(shè)備上分別配置到所有分支內(nèi)部網(wǎng)絡(luò)的靜態(tài)路由���,下一跳地址為另一臺中心VPN設(shè)備,即在兩臺路由器上分別配置相互指向的靜態(tài)路由�����。這樣保證了當(dāng)主用網(wǎng)關(guān)(根據(jù)網(wǎng)絡(luò)狀況會在兩臺中心VPN之間切換)接收到目的地址為某一分支VPN內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)時�����,而該分支VPN有效的IPSEC隧道是通過另一臺中心VPN設(shè)備建立的���,這些數(shù)據(jù)根據(jù)以上所述的靜態(tài)路由傳輸?shù)搅硗庖慌_中心VPN設(shè)備上�,并通過該分支VPN的IPSEC隧道達(dá)到該分支內(nèi)部網(wǎng)絡(luò)�。
由于要在兩臺中心VPN設(shè)備分別配置以上所述的下一跳地址為另一臺中心VPN設(shè)備到所有分支內(nèi)部網(wǎng)絡(luò)的靜態(tài)路由,這就需要在兩臺中心VPN之間添加互聯(lián)線路�����,兩臺中心VPN設(shè)備之間的互連線路可以是物理連接,也可以通過這兩個中心VPN設(shè)備連接內(nèi)部局域網(wǎng)的接口上配置子接口作為互聯(lián)線路�。在高可靠性的要求下,兩臺中心VPN設(shè)備之間通過多條物理線路的連接形成備份���,也可以是在兩臺中心VPN設(shè)備連接內(nèi)部局域網(wǎng)的接口上配置子接口建立邏輯上的連接����,同時也有物理線路連接形成備份�����。
中心VPN設(shè)備對所接收到目的地址為某一分支內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)時�,首先判斷是否存在到達(dá)該分支內(nèi)部網(wǎng)絡(luò)的IPSEC隧道,分以下兩種情況進(jìn)行處理
a)有IPSEC隧道中心VPN設(shè)備首先對數(shù)據(jù)進(jìn)行IPSEC封裝�,然后再根據(jù)查找到的連接因特網(wǎng)的靜態(tài)路由條目進(jìn)行轉(zhuǎn)發(fā),從而數(shù)據(jù)通過IPSEC隧道到達(dá)目的分支VPN�;b)沒有IPSEC隧道該中心VPN設(shè)備直接根據(jù)配置的下一跳為另一臺中心VPN設(shè)備的靜態(tài)路由條目轉(zhuǎn)發(fā),此時收到轉(zhuǎn)發(fā)數(shù)據(jù)的另外一臺中心VPN設(shè)備��,同樣進(jìn)行是否到有達(dá)該目的分支內(nèi)部網(wǎng)絡(luò)的IPSEC隧道的判斷和處理�,分以下兩種情況1)有IPSEC隧道中心VPN設(shè)備首先對數(shù)據(jù)進(jìn)行IPSEC封裝,然后再根據(jù)查找到的連接因特網(wǎng)的靜態(tài)路由條目進(jìn)行轉(zhuǎn)發(fā)����,從而數(shù)據(jù)通過IPSEC隧道到達(dá)目的分支VPN����;2)沒有IPSEC隧道(因?yàn)榇嬖诜种PN設(shè)備故障或者分支VPN連接因特網(wǎng)的線路故障的情況����,所以存在兩臺中心VPN設(shè)備上都沒有到達(dá)該分支VPN內(nèi)部網(wǎng)絡(luò)的IPSEC隧道)為了避免這臺中心VPN設(shè)備根據(jù)配置靜態(tài)路由將數(shù)據(jù)重新發(fā)回到另一臺中心VPN設(shè)備、兩臺中心VPN設(shè)備一直循環(huán)發(fā)送的情況���,中心VPN網(wǎng)關(guān)設(shè)備接收到從另一臺中心VPN設(shè)備發(fā)送來到達(dá)分支內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù),而本地又沒有到到目的分支內(nèi)部網(wǎng)絡(luò)的IPSEC隧道時��,中心VPN設(shè)備丟棄這個數(shù)據(jù)�,從而避免可能引起的資源浪費(fèi)問題。
實(shí)施例根據(jù)本發(fā)明構(gòu)建企業(yè)IPSEC VPN負(fù)載備份網(wǎng)絡(luò)��。企業(yè)總部局域網(wǎng)為10.1.1.0/24���,分支VPN設(shè)備A連接的內(nèi)部網(wǎng)絡(luò)地址為192.168.1.0/24���,分支VPN設(shè)備B連接的內(nèi)部網(wǎng)絡(luò)地址為192.168.2.0/24,兩臺中心VPN設(shè)備直連的互聯(lián)線路在中心VPN設(shè)備A上的接口地址為1.1.1.1�����,在中心VPN設(shè)備B上的接口地址為1.1.1.2,并且采用了兩臺中心VPN設(shè)備在連接內(nèi)部局域網(wǎng)的接口上配置子接口的方式建立備份的互聯(lián)線路��,中心VPN設(shè)備A上的子接口地址為2.1.1.1�����,中心VPN設(shè)備B的子接口地址為2.1.1.2���。
該系統(tǒng)正常工作時�����,中心VPN設(shè)備A分擔(dān)的接入運(yùn)營商和分支VPN設(shè)備A的接入運(yùn)營商為同一個運(yùn)營商�����,因此分支VPN設(shè)備A的IPSEC主用隧道與中心VPN設(shè)備A建立��,IPSEC主用隧道正常工作時分支VPN設(shè)備A和中心VPN設(shè)備B的IPSEC備份隧道不生效�����;中心VPN設(shè)備B分擔(dān)的接入運(yùn)營商和分支VPN設(shè)備B的接入運(yùn)營商為同一個運(yùn)營商����,因此分支VPN設(shè)備B的IPSEC主用隧道和中心VPN設(shè)備B建立,IPSEC主用隧道正常工作時分支VPN設(shè)備B和中心VPN設(shè)備A的IPSEC備用隧道不生效�����。默認(rèn)情況下����,主用網(wǎng)關(guān)位于中心VPN設(shè)備A上,總部局域網(wǎng)到分支的數(shù)據(jù)都會首先被中心VPN設(shè)備A接收�����。還有更多的分支分別和這兩臺中心VPN采用相同的連接方式建立IPSEC隧道���,不再一一描述,為了方便配置�����,規(guī)劃這些分支的內(nèi)部網(wǎng)絡(luò)時��,將其內(nèi)部網(wǎng)絡(luò)地址都設(shè)置為互不重復(fù)的192.168.X.0/24��。互不重復(fù)是為了防止IPSEC封裝數(shù)據(jù)流沖突導(dǎo)致隧道無法正常建立�。
還需要在中心VPN設(shè)備上分別進(jìn)行如下配置(1)設(shè)定到各個分支VPN設(shè)備內(nèi)部網(wǎng)絡(luò)的靜態(tài)路由,下一跳為另一個中心VPN設(shè)備的接口地址����;(2)為實(shí)現(xiàn)在兩臺中心VPN設(shè)備都正常工作時,分支VPN設(shè)備都能來回同路通過主隧道傳輸數(shù)據(jù)����,并且考慮到發(fā)往分支的數(shù)據(jù)沒有IPSEC隧道可以進(jìn)行傳輸,在中心VPN設(shè)備上需要先經(jīng)過IPSEC封裝數(shù)的明文數(shù)據(jù)的檢查以防止路由環(huán)路時產(chǎn)生的循環(huán)數(shù)據(jù)流�����。
這樣��,這一結(jié)合VRRP的IPSEC VPN負(fù)載備份系統(tǒng)即可構(gòu)建起來��,在該系統(tǒng)雙中心VPN設(shè)備都正常工作時����,可以將隧道連接和業(yè)務(wù)流量分擔(dān)到兩臺中心VPN設(shè)備上,并且保證數(shù)據(jù)來回同路的進(jìn)行高效率傳輸�����。
權(quán)利要求
1.虛擬專用網(wǎng)負(fù)載備份系統(tǒng),包括兩臺中心VPN設(shè)備�����、多臺分支VPN設(shè)備��,其特征在于����,所述兩臺中心VPN設(shè)備互為備份,其中一臺中心VPN設(shè)備為主用網(wǎng)關(guān)�����,另一臺中心VPN設(shè)備為備用網(wǎng)關(guān)����,兩臺中心VPN設(shè)備與總部局域網(wǎng)相連,兩臺中心VPN設(shè)備之間相連����;各分支VPN設(shè)備分別通過IPSEC隧道與中心VPN設(shè)備相連���。
2.如權(quán)利要求1所述虛擬專用網(wǎng)負(fù)載備份系統(tǒng)���,其特征在于�����,所述IPSEC隧道包括IPSEC主用隧道���、IPSEC備用隧道;IPSEC主用隧道為分支VPN設(shè)備對應(yīng)最優(yōu)線路的中心VPN設(shè)備建立的IPSEC隧道�����;該分支VPN設(shè)備與另一臺中心VPN設(shè)備建立的IPSEC隧道為IPSEC備用隧道�;當(dāng)所述IPSEC主用隧道斷開時,所述IPSEC備用隧道才生效�����;當(dāng)所述主用隧道重新恢復(fù)時���,所述備用隧道則不再生效���。
3.如權(quán)利要求1或2所述虛擬專用網(wǎng)負(fù)載備份系統(tǒng),其特征在于,所述兩臺中心VPN設(shè)備為運(yùn)行虛擬路由器冗余協(xié)議的VPN設(shè)備�。
4.如權(quán)利要求3所述虛擬專用網(wǎng)負(fù)載備份系統(tǒng),其特征在于���,兩臺中心VPN設(shè)備之間有一條或多條用于建立相互指向的靜態(tài)路由的物理線路連接��。
5.如權(quán)利要求3所述虛擬專用網(wǎng)負(fù)載備份系統(tǒng)�,其特征在于��,兩臺中心VPN設(shè)備有一條在其接口上建立的用于建立相互指向的靜態(tài)路由的子接口邏輯連接�。
6.虛擬專用網(wǎng)負(fù)載備份系統(tǒng)的建立方法,其特征在于����,包括以下步驟(1)在兩臺中心VPN設(shè)備上運(yùn)行虛擬路由器冗余協(xié)議,實(shí)現(xiàn)網(wǎng)關(guān)備份���;(2)分支VPN設(shè)備分別與對應(yīng)最優(yōu)線路的中心VPN設(shè)備建立IPSEC主用隧道�����,和另外一臺中心VPN設(shè)備建立備用隧道����;(3)在兩臺中心VPN設(shè)備上分別配置其到所有分支內(nèi)部網(wǎng)絡(luò)的靜態(tài)路由����,并設(shè)定下一跳地址為另外一臺中心VPN設(shè)備。
7.如權(quán)利要求6所述虛擬專用網(wǎng)負(fù)載備份系統(tǒng)的建立方法�,其特征在于,所述兩臺中心VPN設(shè)備之間通過一條或多條物理線路相連��。
8.如權(quán)利要求6所述虛擬專用網(wǎng)負(fù)載備份系統(tǒng)的建立方法�,其特征在于,所述兩臺中心VPN設(shè)備通過在其接口上配置子接口建立邏輯連接�����。
9.虛擬專用網(wǎng)負(fù)載備份系統(tǒng)的數(shù)據(jù)轉(zhuǎn)發(fā)方法�����,其特征在于�����,中心VPN設(shè)備在轉(zhuǎn)發(fā)到分支內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)時����,在有對應(yīng)的IPSEC隧道時,首先對數(shù)據(jù)進(jìn)行IPSEC封裝,然后將數(shù)據(jù)通過因特網(wǎng)傳輸?shù)綄?yīng)的分支VPN設(shè)備�����;如無對應(yīng)的IPSEC隧道時��,則將數(shù)據(jù)根靜態(tài)路由轉(zhuǎn)發(fā)至另一臺中心VPN設(shè)備�。
10.如權(quán)利要求9所述虛擬專用網(wǎng)負(fù)載備份系統(tǒng)的數(shù)據(jù)轉(zhuǎn)發(fā)方法,其特征在于��,中心VPN設(shè)備接收到另一臺中心VPN設(shè)備發(fā)送來到分支內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)�,而本地又沒有到分支內(nèi)部網(wǎng)絡(luò)的IPSEC隧道時,丟棄此數(shù)據(jù)����。
全文摘要
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。本發(fā)明所要解決的技術(shù)問題是�����,提供一種虛擬專用網(wǎng)負(fù)載備份系統(tǒng)以及虛擬專用網(wǎng)負(fù)載備份系統(tǒng)的建立方法與數(shù)據(jù)轉(zhuǎn)發(fā)方法����,在不增加多余設(shè)備的情況下,保證中心VPN設(shè)備和分支VPN設(shè)備高效率傳輸數(shù)據(jù)�����。采用兩臺中心VPN設(shè)備互為備份,其中一臺中心VPN設(shè)備為主用網(wǎng)關(guān)�����,另一臺中心VPN設(shè)備為備用網(wǎng)關(guān)�����,兩臺中心VPN設(shè)備與總部局域網(wǎng)相連��,兩臺中心VPN設(shè)備之間相連����;各分支VPN設(shè)備分別通過IPSEC隧道與中心VPN設(shè)備相連��。本發(fā)明的有益效果是相比現(xiàn)有技術(shù)本發(fā)明少投入兩臺三層交換機(jī)�����,達(dá)到了與現(xiàn)有技術(shù)相比同樣的效果���。
文檔編號H04L1/22GK101072157SQ20071004926
公開日2007年11月14日 申請日期2007年6月8日 優(yōu)先權(quán)日2007年6月8日
發(fā)明者鄧霄博, 范恒英 申請人:邁普(四川)通信技術(shù)有限公司