技術領域

本發明屬于數據通信領域，涉及一種負載均衡的IPSec VPN設備集群系統及其工作方法。

背景技術

IPSec：Internet Protocol Security的縮寫，表示Internet 協議安全性。是一種開放標準的框架結構，通過使用加密的安全服務以確保在 Internet 協議 (IP) 網絡上進行保密而安全的通訊；

VPN：虛擬專用網絡（Virtual Private Network ，簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM(異步傳輸模式〉、Frame Relay （幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。

安全策略(SP)：安全策略一般由五元組形式的選擇符唯一標志，該五元組包括源IP地址、目的IP地址、源傳輸層端口、目的傳輸層端口、傳輸層協議號，指示了明文數據報文的處理方式：丟棄、繞過IPSec或使用IPSec安全聯盟處理。

安全聯盟(SA)：安全聯盟由三元組唯一標識，該三元組包括安全參數索引（SPI）、目的IP地址（單播地址）和安全協議（AH或ESP）標識符，指示了IPSec處理數據包的算法、密鑰、抗重放窗口、封裝方式等具體的參數。

由于IPSec VPN采用了多種安全技術對數據進行處理，而且是部署在用戶網絡的出入口處，對設備處理性能和可靠性的要求是很高的，可以采用多臺IPSec VPN設備集群的技術來解決性能和可靠性的問題。

IPSec VPN自身的技術特點為多IPSec VPN設備集群的實現設置了兩大障礙，一是隧道封裝導致經過不同IPSec VPN設備處理的出站IP數據報文具有不同的源IP地址，而入站的IP數據報文由于目的地址不同又無法實現負載的自動分配；二是序列號和抗重放窗口隨著每一個數據報文更新，多臺不同設備間無法實現序列號和抗重放窗口的即時同步，故障時的熱切換存在問題。

發明內容

為解決上述問題，本發明提供了一種負載均衡的IPSec VPN設備集群系統，包括若干IPSec VPN設備，每臺IPSec VPN設備均運行有計算能力評估模塊、組內同步模塊、負載管理模塊、地址應答器、數據分類器；

計算能力評估模塊用于在同一個集群內的IPSec VPN設備起動時進行簽名運算，得到其所在IPSec VPN設備的計算能力評估結果；

組內同步模塊負責在同一個集群內的所有成員設備間進行安全策略、安全聯盟、在線狀態和計算能力信息的交互和同步并形成全局一致的安全策略、安全聯盟和在線狀態；

負載管理模塊通過組內同步信息得到全局一致的安全策略、安全聯盟和在線狀態，根據組內各IPSec VPN設備計算能力的不同進行數據負載的分配，并根據其所在IPSec VPN設備的負載分配設置實際生效的安全策略和安全聯盟；

地址應答器根據系統內所有IPSec VPN設備統一設置的虛擬地址信息，對從內網出站的IP數據報文和從外網入站的IP數據報文的鏈路層地址請求進行一致的回應；

數據分類器根據數據報文是否處在其所在IPSec VPN設備已生效的安全策略或安全聯盟之內，對進出站的IP數據報文提供不同的處理路徑。

進一步的，所述集群內的每臺IPSec VPN設備均設置一個可配置的IP多播地址，作為組內通訊地址，組內同步模塊定期將本臺設備的安全策略、安全聯盟、在線狀態和計算能力評估結果通過多播的方式傳遞到集群的其他成員設備，同時也接受其他成員設備通過多播傳遞過來的安全策略、安全聯盟、在線狀態和計算能力評估結果，形成該集群全局一致的安全策略和安全聯盟。

進一步的，所述設備集群各IPSec VPN設備具有共享的虛擬IP地址，作為該集群共享的IPSec VPN隧道源IP地址，所有通過該集群處理的出站IP數據報文都以該集群各成員設備共享的虛擬IP地址作為隧道封裝后的源IP地址，而所有以該虛擬IP地址為目的IP地址的入站IPSec報文將被集群內的所有在線成員設備接收。

進一步的，計算能力評估模塊以多線程的方式運行1萬次2048比特模長的RSA簽名運算，并計算出以次/秒為單位的簽名速度，作為其所在IPSec VPN設備的計算能力評估結果。