高可用IPSec虚拟专用网研究

摘要

虚拟专用网（VPN）是综合运用密码技术、身份鉴别技术、隧道技术和密钥管理技术，在不安全的公用网络上建立安全传输通道，使物理位置独立分散的用户从逻辑上连接起来的一种专用网络。传统IPSecVPN在实际使用中，常常受到单链路、核心网关单点故障、突发负载、及广域网速度低下等因素的影响导致可用性下降。
　　 因此，研究如何提高IPSecVPN的可用性具有理论和实际的意义，其技术具有广泛的应用前景。
　　 研究了IPSecVPN的可用性，并定义其为隧道有效通信时间与用户请求隧道通信总时间之比。提出采用设备冗余、链路冗余、数据冗余等不同层面的高可用技术来提高IPSecVPN的可用性的研究思路。
　　 设计实现了高可用的双机冗余备份HA-VPN系统。HA-VPN以2台相同规格的IPSecVPN网关互为备份，二者通过RS232接口通信进行推拉结合的状态监听和数据同步，能够在工作VPN故障时由备用VPN对等切换到激活态迅速接管隧道通信服务，通过提高修复率实现系统可用性的提高。HA-VPN的单机监控服务能够快速发现并恢复工作VPN的软故障，通过降低单机失效率从而提高系统可用性。HA-VPN设计实现了内核黑盒，能够记录工作VPN内核崩溃时的现场参数并快速重启设备恢复运行，为分析解决软件错误提供有力的帮助，也有助于提高系统可用性。对普通IPSec网关、HA-VPN单机模式和双机模式分别构建了齐次马尔科夫过程模型进行分析，结果表明HA-VPN双机模式比普通IPSec网关可用性有大幅度提升。
　　 设计实现了多路聚合和负载均衡的MA-VPN系统。MA-VPN改进一般单链路IPSec模型，提出在IPSec通信模块内部实施负载均衡的新思想，采用链路冗余结合负载均衡的方法提高可用性。MA-VPN 由应用层的M-IKE和内核层的MA-IPSec协同工作。M-IKE为同一对保护子网在多条链路上并发协商出多组IPSecSA，MA-IPSec按照加权随机负载均衡策略对IP数据报调度适当的SA进行IPSec处理，实现多条链路聚合提供IPSec通信服务。MA-IPSec改进了基于IP数据报的IPSec策略匹配机制，增加基于会话的策略缓存，既提高了匹配效率又保证了通信应用IPSec策略的一致性。MA-VPN的隧道探测机制能够快速发现隧道故障，并及时将IPSec通信迁移到健康隧道上，从而提高系统可用性。测试表明MA-VPN能充分利用多链路的带宽资源，提升整体性能。对MA-VPN建立串并联混合可用模型，重点分析了双链路情况下链路可用性对系统可用性的影响，对比单链路的情况，MA-VPN受链路故障的影响小，系统可用性有很大提升。
　　 设计实现了广域网加速的WA-VPN系统。IPSec VPN基于Internet等广域网通信，受到种种因素影响存在隧道通信速率低、时延高、丢包率大等现象，导致隧道可用性降低。WA-VPN 设计了TCP中继方案，通过代理ACK确认降低相对RTT，促使端主机快速发送TCP数据流，大大提高了TCP的带宽利用率。WA-VPN对TCP数据流切割为数据片以发掘通信数据的冗余度，在两端网关上进行数据片冗余缓存，并设计了IPSec缩略图协议传输数据片的索引以压缩冗余数据，降低对带宽和加解密资源的消耗，相对提高了有效数据的传输效率。WA-VPN 设计了TCP传输保障协议，将IPSec 通信报文在TCP隧道中传输，利用TCP已有机制来保障IPSec报文的可靠传输，提高IPSec通信在恶劣网络环境下的可靠性。它同时还是一种有效解决IPSecAH报文穿越NAT问题的新方法。重点分析了IPSec缩略图协议中数据片大小和缓存命中率对加速比的影响。测试结果表明，WA-VPN能有效提高IPSec通信的速率并降低延迟，大幅提高IPSec隧道通信的质量和可用性。