支持多链路备份的VPN网关

资源类型:pdf 资源大小:34.00KB 文档分类:工业技术 上传者:石军伟

相关文档

批量下载下列文档

文档信息

【作者】 单蓉胜 

【出版日期】2005-05-30

【刊名】信息安全与通信保密

全文阅读

随着电子政务的快速发展,一些政府的重要系统要保证提供不间断的信息服务。然而,单一的网络链路可能会受到各种各样的攻击(包括物理上的直接攻击),导致信息传播的中断。根据用户的需求,上海安达通信息安全技术有限公司设计了支持链路备份的SJW74系列的安全网关系统,为支持连续不间断的网络服务提供了有力武器。通常,链路备份是指除了一条工作链路之外,允许设立多条备份链路,当工作链路出现异常时能够自动切换到备份链路,从而保证系统继续正常处理。我们将支持拥有多条链路的系统称为“多链路系统”;将这种能够检测链路异常并切换到可用链路的机制称为“链路备份”。SJW74安全网关的链路备份功能主要有链路检测、链路保存、链路约束、链路抢占等。1.链路检测链路检测就是指对一个链路的网络状况进行健康评估,从而判断该链路是否正常,或者是否能够胜任当前的要求。目前比较常见的几种链路检测方法,主要有以下几种:—利用ARP/PING等方式判断链路网关是否能够到达。—通过向一个第三方信任的站点发送一个连接请求,从而判断链路是否正常。由于第一种方案只能检测到网关是否可达,并不一定能够检测到网关所连接的线路是否能够顺利抵达其它目的地,而且目前很多设备都禁止PING通信,因此这种方案一般只对简单的局域网环境有效。更常见和更普遍的做法是第二种方式,通过设定一个可信网络设备,从而通过模拟到该站点的链接来判断链路是否健康。SJW74同时支持以上两种做法完成链路检测,并且允许用户选择。对于第一种方式,只要设置一个站点或者域名即可。对于第二种方式来说即通过设置一个可信任站点,网关在当前链路发起到该站点的连接,如果TCP连接成功建立则认为链路成功;反之,如果规定时间内没有成功建立或者建立失败,则认为链路不健康。2.链路保存对于一个网关系统来说,没有启用链路备份机制的时候可能已经存在一个能够正常访问的链路,那么当启用链路备份机制后,已设置的链路和备份链路池中的链路是不同的,也就是说链路备份会选用链路池中的最佳链路来替换并切换成为当前工作链路。这样用户在第一次启用链路备份的时候,可能会出现瞬间网络中断,为了避免这种情况,可以通过复制当前设置链路的方式来保证,即通过让链路池的最佳链路与当前设置链路一致从而保证透明的功能启用,避免网络瞬间中断的出现。SJW74支持的链路主要有以下几种:以太网固定IP链路、以太网动态IP链路、PPPoE链路。对于以太网固定IP链路,所需要记录的信息是以太网接口、IP、掩码和默认网关;对于以太网动态IP链路,只需要记录以太网接口信息;而对于PPPoE链路需要记录以太网接口、用户名、密码。3.链路约束为了保证系统的正常运转,同时确保制定的功能能够顺利完成,SJW74对于备份的多条链路设立如下约束条件:—不允许相同接口的备份。不允许WAN和WAN的备份,只允许类似W A N和D M Z或者E X T的备份。—PPPoE接口等同于不同的接口。PPPoE可以看作一个特殊的接口,并且允许PPPoE和WAN进行备份,这样就保证了对于两个接口的设备(如SJW74A/B)也能够使用链路备份功能。各备份接口子网必须唯一,对于静态设置(DHCP/PPPoE除外)的备份链路,不允许有两个子网相同的接口。4.链路抢占当发生链路切换后,如果主链路恢复正常,则允许抢占备份链路。由于链路检测的一些限制,链路抢占的实现遵循以下原则:—链路检测能够同时对链路池中的所有静态链路以及当前工作链路进行检测。由于DHCP和PPPoE链路可能会导致一些断点,因此实时的链路检测只对静态地址进行,当前正在使用的链路不受影响,始终可以检测。—只允许高优先级的静态链路进行抢占。当曾经故障的静态链路又被检测到恢复正常时(一般要求连续多次检测均正常才能代表其恢复正常),可以发生抢占,即切换到该链路上。支持多链路备份的VPN网关@单蓉胜

1

问答

我要提问