高可用IPSec虛擬專用網(wǎng)研究.pdf

1、虛擬專用網(wǎng)（VPN）是綜合運(yùn)用密碼技術(shù)、身份鑒別技術(shù)、隧道技術(shù)和密鑰管理技術(shù)，在不安全的公用網(wǎng)絡(luò)上建立安全傳輸通道，使物理位置獨(dú)立分散的用戶從邏輯上連接起來的一種專用網(wǎng)絡(luò)。傳統(tǒng)IPSecVPN在實(shí)際使用中，常常受到單鏈路、核心網(wǎng)關(guān)單點(diǎn)故障、突發(fā)負(fù)載、及廣域網(wǎng)速度低下等因素的影響導(dǎo)致可用性下降。
　　 因此，研究如何提高IPSecVPN的可用性具有理論和實(shí)際的意義，其技術(shù)具有廣泛的應(yīng)用前景。
　　 研究了IPSecVPN的

2、可用性，并定義其為隧道有效通信時(shí)間與用戶請求隧道通信總時(shí)間之比。提出采用設(shè)備冗余、鏈路冗余、數(shù)據(jù)冗余等不同層面的高可用技術(shù)來提高IPSecVPN的可用性的研究思路。
　　 設(shè)計(jì)實(shí)現(xiàn)了高可用的雙機(jī)冗余備份HA-VPN系統(tǒng)。HA-VPN以2臺(tái)相同規(guī)格的IPSecVPN網(wǎng)關(guān)互為備份，二者通過RS232接口通信進(jìn)行推拉結(jié)合的狀態(tài)監(jiān)聽和數(shù)據(jù)同步，能夠在工作VPN故障時(shí)由備用VPN對等切換到激活態(tài)迅速接管隧道通信服務(wù)，通過提高修復(fù)率實(shí)現(xiàn)系統(tǒng)

3、可用性的提高。HA-VPN的單機(jī)監(jiān)控服務(wù)能夠快速發(fā)現(xiàn)并恢復(fù)工作VPN的軟故障，通過降低單機(jī)失效率從而提高系統(tǒng)可用性。HA-VPN設(shè)計(jì)實(shí)現(xiàn)了內(nèi)核黑盒，能夠記錄工作VPN內(nèi)核崩潰時(shí)的現(xiàn)場參數(shù)并快速重啟設(shè)備恢復(fù)運(yùn)行，為分析解決軟件錯(cuò)誤提供有力的幫助，也有助于提高系統(tǒng)可用性。對普通IPSec網(wǎng)關(guān)、HA-VPN單機(jī)模式和雙機(jī)模式分別構(gòu)建了齊次馬爾科夫過程模型進(jìn)行分析，結(jié)果表明HA-VPN雙機(jī)模式比普通IPSec網(wǎng)關(guān)可用性有大幅度提升。
　　

4、 設(shè)計(jì)實(shí)現(xiàn)了多路聚合和負(fù)載均衡的MA-VPN系統(tǒng)。MA-VPN改進(jìn)一般單鏈路IPSec模型，提出在IPSec通信模塊內(nèi)部實(shí)施負(fù)載均衡的新思想，采用鏈路冗余結(jié)合負(fù)載均衡的方法提高可用性。MA-VPN 由應(yīng)用層的M-IKE和內(nèi)核層的MA-IPSec協(xié)同工作。M-IKE為同一對保護(hù)子網(wǎng)在多條鏈路上并發(fā)協(xié)商出多組IPSecSA，MA-IPSec按照加權(quán)隨機(jī)負(fù)載均衡策略對IP數(shù)據(jù)報(bào)調(diào)度適當(dāng)?shù)腟A進(jìn)行IPSec處理，實(shí)現(xiàn)多條鏈路聚合提供IPSec

5、通信服務(wù)。MA-IPSec改進(jìn)了基于IP數(shù)據(jù)報(bào)的IPSec策略匹配機(jī)制，增加基于會(huì)話的策略緩存，既提高了匹配效率又保證了通信應(yīng)用IPSec策略的一致性。MA-VPN的隧道探測機(jī)制能夠快速發(fā)現(xiàn)隧道故障，并及時(shí)將IPSec通信遷移到健康隧道上，從而提高系統(tǒng)可用性。測試表明MA-VPN能充分利用多鏈路的帶寬資源，提升整體性能。對MA-VPN建立串并聯(lián)混合可用模型，重點(diǎn)分析了雙鏈路情況下鏈路可用性對系統(tǒng)可用性的影響，對比單鏈路的情況，MA-VP

6、N受鏈路故障的影響小，系統(tǒng)可用性有很大提升。
　　 設(shè)計(jì)實(shí)現(xiàn)了廣域網(wǎng)加速的WA-VPN系統(tǒng)。IPSec VPN基于Internet等廣域網(wǎng)通信，受到種種因素影響存在隧道通信速率低、時(shí)延高、丟包率大等現(xiàn)象，導(dǎo)致隧道可用性降低。WA-VPN 設(shè)計(jì)了TCP中繼方案，通過代理ACK確認(rèn)降低相對RTT，促使端主機(jī)快速發(fā)送TCP數(shù)據(jù)流，大大提高了TCP的帶寬利用率。WA-VPN對TCP數(shù)據(jù)流切割為數(shù)據(jù)片以發(fā)掘通信數(shù)據(jù)的冗余度，在兩端網(wǎng)關(guān)上進(jìn)

7、行數(shù)據(jù)片冗余緩存，并設(shè)計(jì)了IPSec縮略圖協(xié)議傳輸數(shù)據(jù)片的索引以壓縮冗余數(shù)據(jù)，降低對帶寬和加解密資源的消耗，相對提高了有效數(shù)據(jù)的傳輸效率。WA-VPN 設(shè)計(jì)了TCP傳輸保障協(xié)議，將IPSec 通信報(bào)文在TCP隧道中傳輸，利用TCP已有機(jī)制來保障IPSec報(bào)文的可靠傳輸，提高IPSec通信在惡劣網(wǎng)絡(luò)環(huán)境下的可靠性。它同時(shí)還是一種有效解決IPSecAH報(bào)文穿越NAT問題的新方法。重點(diǎn)分析了IPSec縮略圖協(xié)議中數(shù)據(jù)片大小和緩存命中率對加速比