Способ динамического соединения для виртуальных сетей частного пользования
Изобретение относится к сетям передачи данных. Технический результат заключается в упрощении конфигурации сети и повышении степени защиты от несанкционированного доступа. Сущность изобретения заключается в том, что в предлагаемом изобретении используется протокол динамического маршрута BGP и способ обновления маршрута BGP, чтобы послать информацию местного ресурса, которую необходимо защитить на удаленное оборудование VPN. Тогда удаленное оборудование VPN может использовать адрес следующей пересылки, полученный в новой версии маршрута BGP и расширенном групповом признаке маршрута BGP, для получения действительного адреса оборудования VPN на своем конце. IPSec отвечает за создание соответствующего туннеля IPSec в соответствии с полученной информацией. 3 з.п. ф-лы, 1 ил.
Данное изобретение относится к технологии сетей, в частности к способу реализации динамической VPN (виртуальной сети частного пользователя).
Предпосылки создания изобретения
Протокол IPSec (Защитная информация IP, Архитектура защиты информации для сети IP) представляет собой сквозной протокол. В общем случае в традиционной VPN с IPSec принят способ со статической конфигурацией, в котором определен поток защищенных данных и адрес оборудования VPN равноправного пользователя сети, чтобы создать шифрованный туннель и осуществить доступ через Интернет между ветвями в различных местах.
В соответствии с требованиями использования, IPSec можно использовать для построения сети VPN с IPSec с топологией сети типа "звезда" или типа "сетка". Среди прочих, технология типа "звезда" представляет собой наиболее часто используемую топологию сети VPN с IPSec, которая очень близка топологической структуре с иерархическим управлением, которая была принята пользователями на предприятиях на ранней стадии. Центральный офис предприятия служит центральным узлом в сети VPN с IPSec, имеющей звездообразную топологию, а каждая ветвь создает туннель IPSec с центральным узлом и использует этот туннель IPSec, чтобы получить доступ к серверам в локальной сети в центральном офисе предприятия. Однако вместе с простым развитием топологии управления предприятием все большее количество ветвей требует получение доступа друг к другу, и, более того, поток обращений постоянно возрастает. В традиционной сети VPN с IPSec широко используемым решением является передача данных, полученных при обращении ветвей друг к другу, посредством оборудования VPN с IPSec в центральном узле, с тем, чтобы соответствовать требованию взаимного доступа между различными ветвями. Таким образом, данные, к которым получает доступ каждая ветвь, должны быть дешифрованы в оборудовании VPN с IPSec в центральном узле, а затем после шифрования достигают доступной ветви назначения. Такой маршрут обработки увеличивает задержку пакета данных, что не может удовлетворить при их использовании в прикладных системах, требующих малой задержки, например VOIP (Голосовые сообщения через протокол Интернета, голос через IP), которое обычно используется на современных предприятиях. Более того, поскольку возрастает поток обращений между узлами ветвей, постоянно возрастают высокие требования к работе и выходной ширине пропускания оборудования VPN с IPSec в центральном узле.
В традиционных VPN с IPSec имеется другой способ решения задачи обеспечения взаимного доступа между ветвями, состоящий в построении VPN с IPSec, имеющую топологическую структуру типа сетки. Взаимное обращение между ветвями в такой структуре не требуют ретрансляции через центральный узел. Для того чтобы построить VPN с IPSec с топологией типа сетки, каждая ветвь должна создать туннели IPSec с другими ветвями и центральным узлом. Для сети, имеющей n ветвей, требуется создать конфигурацию, имеющую n*(n-1) туннелей. Это является фатальной проблемой для развертывания крупногабаритных сетей VPN с IPSec. Следовательно, VPN с IPSec, имеющая топологическую структуру типа сетки, подходит только для сети с несколькими ветвями. В то же самое время, если туннели IPSec требуется создать между всеми ветвями, то для обращения ко всем ветвям требуются фиксированные адреса в сети общего пользования (способ использования динамического имени домена не обязательно требует фиксированных адресов, но адреса общего пользования в сети являются абсолютно необходимыми). Среди всех существующих услуг доступа, которыми обеспечивают провайдеры услуг внутренних сетей, только способ доступа китайский ADSL (Асимметричная цифровая петля абонентов) может удовлетворить требованию обеспечить каждого пользователя доступом общедоступным адресом в сети. В общем случае доступ ADSL динамически присваивает адрес IP общего пользования, ширина пропускания по обращениям ограничена, а ширина пропускания нисходящего/восходящего канала связи является асимметричной, что неудобно для доступа со служебного конца. Если требуется фиксированным общедоступный адрес в сети и значительная ширина пропускания, то связанные с этим затраты многократно возрастут. Для того чтобы удовлетворить постоянно изменяющимся требованиям по применению со стороны пользователей, многие производители успешно предложили решения с использованием динамической сети VPN с IPSec с большим количеством узлов в отличие от традиционного решения развернуть статическую сеть VPN с IPSec.
Динамическая сеть VPN с IPSec имеет все преимущества статической сети VPN с IPSec, имеющей конфигурацию типа сетки, и в то же время свободна от недостатка, заключающегося в сложности управления конфигурацией статической VPN с IPSec типа сетки. В общих чертах динамическая сеть VPN с IPSec характеризуется следующим:
Имеет все характеристики статической сети VPN с IPSec в отношении обеспечения защиты данных от несанкционированного доступа.
Простая конфигурация: не требует ни специальной конфигурации для каждого удаленного узла IPSec в оборудовании VPN, ни предварительного знания адресов IP общего пользования и потока защитных данных от всего удаленного в сети VPN с IPSec.
Ветви могут напрямую достигать друг друга через туннель IPSec без необходимости ретранслировать данные посредством оборудования IPSec, находящегося в центре сети VPN с IPSec.
Простота развертывания: вся сеть VPN с IPSec обладает высокой способностью к расширению и может автоматически адаптироваться к добавлению или изъятию удаленного оборудования IPSec.
Способность динамически создавать туннели IPSec между ветвями и автоматически удалять эти туннели в случае окончания времени простоя.
Из всех видов решений динамических сетей VPN с IPSec с большим количеством узлов наиболее представительным является использование мноузлового группового протокола инкапсуляции маршрута, протокола разрешения следующей ретрансляции и протокола динамического маршрута в сочетании с IPSec целью реализовать схему динамической VPN с IPSec. В схеме используется протокол разрешения следующей ретрансляции, чтобы получить адрес IP общего пользования для оборудования одноранговой сети, и групповой протокол инкапсуляции маршрута, и протокол динамического маршрута, чтобы получить информацию о потоке защищенных данных. Более того, данная схема обладает всеми отличительными чертами, которые должна иметь упомянутая выше динамическая VPN с IPSec, и может в большей степени удовлетворить требованиям некоторых клиентов. Однако данная схема требует использования общедоступного адреса в сети для обращения к нему всего оборудования IPSec и не поддерживает доступа NAT (трансляция адресов в сети). Данная схема отличается от статической сети VPN с IPSec, в которой используется протокол высокого уровня, номер порта и другая информация для точного управления защищенными от пользователя ресурсами сети, и, следовательно, снижается степень защиты от несанкционированного доступа. В данной схеме требуется конфигурировать и поддерживать различные протоколы, чтобы осуществить динамическое соединение сети VPN с IPSec. Таким образом, необходимо, чтобы пользователи имели высокую технологическую возможность поддерживать сеть и управлять ею.
Содержание изобретения
Целью данного изобретения является преодоление указанных выше недостатков известных технических решений путем создания способа динамического соединения для виртуальной сети частного пользования, в котором используются протоколы IPSec и BGP (протокол пограничного межсетевого сопряжения) с целью получения динамической сети VPN с IPSec.
Техническая схема, используемая в данном изобретении для решения указанной технической проблемы, представляет собой способ динамических соединений для виртуальной сети частного пользования, включающий следующие шаги:
a. создание статического туннеля IPSec между оборудованием IPSec в центральном узле и оборудованием IPSec в ветвях;
b. построение отношений смежности BGP между оборудованием IPSec в центральном узле и оборудованием IPSec в ветвях через указанный статический туннель IPSec;
c. оборудование IPSec автоматически добавляет карту маршрутов к соседям BGP в указанных отношениях смежности BGP и устанавливает значение расширенного группового признака информации о маршруте;
d. посредством протокола о маршруте BGP оборудование IPSec в сети VPN с IPSec оповещает другое оборудование IPSec о локальном адресе/сети IP, которым требуется обеспечить защиту;
e. оборудование IPSec в центральном узле распределяет указанный адрес/сеть IP, которым требуется обеспечить защиту в узле ветви, на оборудование IPSec в других ветвях, используя функцию отражателя маршрута BGP;
f. после того, как оборудование IPSec, находящееся между узлами ветвей, получит информацию об адресе/сети IP данных, которым требуется обеспечить защиту от других ветвей, они получают общедоступный адрес в сети равноправного пользователя сети из расширенного группового признака и затем согласуют образование туннелей IPSec.
Преимуществами данного изобретения являются уменьшение занимаемых ресурсов сети и низкая стоимость. Также данное изобретение отличается простотой конфигурации, гибкостью при развертывании, удобством управления и высокой степенью защиты от несанкционированного доступа.
Описание чертежей
Фиг.1 - топология сети варианта выполнения.
Подробное описание предпочтительных вариантов выполнения
Техническая схема данного изобретения описывается подробнее в сочетании с прилагаемыми чертежами и вариантом выполнения.
В изобретении принят протокол динамического маршрута BGP и способ модернизации маршрута BGP для того, чтобы посылать информацию о локальном ресурсе, которую необходимо защитить, на удаленное оборудование VPN. Тогда удаленное оборудование VPN может использовать адрес следующей пересылки, полученный при модернизации маршрута BGP и в расширенном групповом признаке маршрута BGP, чтобы получить действительный адрес оборудования VPN на своем конце. IPSec отвечает за образование соответствующего туннеля IPSec в соответствии с полученной информацией.
Способ динамического соединения виртуальной сети частного пользования включает следующие шаги:
a. создание статического туннеля IPSec между оборудованием IPSec в центральном узле и оборудованием IPSec в ветвях;
b. построение отношений смежности BGP между оборудованием IPSec в центральном узле и оборудованием IPSec в ветвях через указанный статический туннель IPSec;
c. оборудование IPSec автоматически добавляет карту маршрутов к соседям BGP в указанных отношениях смежности BGP и устанавливает значение расширенного группового признака информации о маршруте;
d. посредством протокола о маршруте BGP оборудование IPSec в сети VPN с IPSec оповещает другое оборудование IPSec о локальном адресе/сети IP, которым требуется обеспечить защиту;
e. оборудование IPSec в центральном узле распределяет указанный адрес/сеть IP, которым требуется обеспечить защиту в узле ветви, на оборудование IPSec в других ветвях, используя функцию отражателя маршрута BGP;
f. после того, как оборудование IPSec, находящееся между узлами ветвей, получит информацию об адресе/сети IP данных, которым требуется обеспечить защиту от других ветвей, они получают общедоступный адрес в сети равноправного пользователя сети из расширенного группового признака и затем согласуют образование туннелей IPSec.
Более того, на упомянутом выше шаге b оборудование IPSec центрального узла оборудование IPSec ветвей использует адрес IP интерфейса обратной связи оборудования IPSec, чтобы построить отношения смежности BGP через статический туннель IPSec.
В качестве уточнения на шаге с для ветвей, получающих доступ в Интернет через адрес общего пользования в Интернете, указанное значение расширенного группового признака представляет собой, соответственно, их адреса общего пользования в IP. Для ветвей, получающих доступ в Интернет через NAT, указанное значение расширенного группового признака представляет собой адрес общего пользования в IP оборудования центрального узла.
В качестве уточнения, на выше упомянутом шаге е оборудование IPSec центрального узла распределяет информацию об адресе/сети IP, которую требуется защитить в узле ветви, на оборудование IPSec в других ветвях, используя функцию отражателя маршрута BGP, и указывает протокол и номер порта, которые требуется защитить.
Для того чтобы максимально сохранить ограничения на условия получения доступа пользователями, в технической схеме данного изобретения необходимо учесть все виды способов доступа в сеть. В результате этого неминуемо возникает проблема прохождения NAT. Однако BGP не может пройти NAT и нуждается в использовании туннеля IPSec, чтобы защитить передачу пакета данных согласно BGP. Протокол BGP поддерживает указание на интерфейс источника, чтобы послать пакет. Используя данную характеристику, интерфейс обратной связи оборудования IPSec в каждой ветви и в центральном узле может использоваться непосредственно в качестве интерфейса источника для сообщения BGP. Распределение адресов IP для интерфейса обратной связи может быть полностью спланировано пользователем, что создает большое удобство для определения конфигурации статического потока защищенных данных в системе связи BGP. После того, как будет образован туннель IPSec для защиты системы связи BGP между оборудованием IPSec ветвей и оборудованием IPSec центрального узла, протокол BGP начинает согласовывать и строить отношения смежности BGP между оборудованием IPSec ветвей и оборудованием IPSec центрального узла. Посредством протокола динамических маршрутов BGP оборудование IPSec центрального узла использует способ оповещения о новой версии маршрута, чтобы узнать информацию об адресе IP, которую необходимо защитить в каждой ветви (в соответствии с текущим статическим потоком защищенных данных IPSec, полученная информация об адресе IP представляет собой адрес назначения потока защищенных данных). Используя ту особенность, что протокол BGP поддерживает CIDR (бесклассовый междоменный маршрутизатор) можно точно управлять получением адреса потока защищенных данных. Используя групповой признак маршрута BGP, можно точно указать протокол и номер порта, которые требуется защитить. Оборудование IPSec центрального узла, когда будет установлен отражатель маршрута по протоколу BGP и информация о ресурсе, которую требуется защитить при помощи туннеля IPSec и получить от оборудования IPSec в других ветвях, посылается в оборудование IPSec в ветвях способом оповещения о новой версии маршрута. В то же самое время, когда расширенный групповой признак BGP используется для посылки адреса IP, который требуется защитить, в оборудование IPSec ветвей, центральный узел будет добавлять общедоступные адреса в сети оборудования IPSec ветвей к расширенному групповому признаку. Таким образом, оборудование IPSec в одной и той же сети VPN с IPSec может узнать адрес/сеть IP, которые требуется защитить при помощи туннелей IPSec в ветвях, и общедоступные адреса в сети оборудования IPSec. Далее, оборудование IPSec каждой ветви проводит согласование IPSec в соответствии с адресом назначения данных об обращениях и соответствующими общедоступными адресами IPSec оборудования в сети, а затем создает туннель IPSec, чтобы обеспечить доступ и защиту служб пользования. Во время процесса создания туннелей IPSec протокол IPSec автоматически добивается обнаружения NAT. Для оборудования IPSec ветвей, получающего доступ в Интернет через NAT, когда оборудование IPSec центрального узла посылает информацию о новой версии маршрута согласно BGP в этом узле в другие ветви, общедоступный адрес IP, добавленный к расширенному групповому признаку, представляет собой адрес IP оборудования IPSec центрального узла. Оборудование IPSec в других ветвях обнаруживает, что равноправный пользователь сети получает доступ в Интернет через NAT и само получает доступ в Интернет через общедоступный адрес в Интернете, оно не будет само инициировать согласование туннеля, а будет ждать, пока ветвь, прослеживающая NAT, не начнет инициировать согласование туннеля. Если оба равноправных участника сети получают доступ в Интернет через NAT, оборудование IPSec ветвей возьмет на себя инициативу по согласованию с оборудованием IPSec центрального узла создания туннеля к ветви равноправного участника сети. Другой конец будет делать то же самое после того, как он получит информацию о маршруте. Таким образом, благодаря способу создания сети с топологией типа звезды, соединение может быть выполнено за счет ретрансляции в центральном узле. Данный способ может увеличить гибкость доступа к IPSec и значительно уменьшает требование для доступа с тем, чтобы пользователь мог развернуть динамическую VPN с IPSec.
У признака информации о маршруте BGP, используемого в данном изобретении, имеются следующие функции:
NLRI (доступная информация об уровне сети): в данном изобретении признак содержит в себе адрес/сеть IP защищенных данных, передаваемых посредством узлов ветвей. Для получателя маршрута данная информация соответствует адресу/сети назначения статической IPSec. Для отправителя данная информация соответствует адресу/сети источника статической IPSec.
Адрес следующей пересылки: поскольку адрес интерфейса обратной связи каждого устройства IPSec используется для построения отношений смежности BGP, следующая пересылка информации о каждом маршруте представляет собой адрес интерфейса обратной связи оборудования IPSec, которое передало информацию о маршруте. Адрес интерфейса обратной связи планируется самим пользователем и только отображает каждое устройство IPSec (каждую ветвь) в сети. Следовательно, рекомендуется, чтобы присвоенный адрес интерфейса обратной связи определялся как адрес главного компьютера.
Стандартный групповой признак и расширенный групповой признак: протокол маршрутов BGP поддерживает два вида групповых признаков, а именно: стандартный групповой признак и расширенный групповой признак. Некоторые значения стандартного группового признака используются исключительно для управления передачей маршрута. В данном изобретении формат стандартного группового признака может быть цифровым. Признак используется, чтобы определить тип протокола потока данных, которые требуется защитить, например, если протокол потока данных, которые требуется защитить, представляет собой TCP, указывается значение признака, равное 259. Точный интервал управления ресурсом, который требуется защитить, может значительно улучшить защиту сети от несанкционированного доступа. Признак адресата маршрута и признак источника маршрута расширенного группового признака поддерживают значение в двух форматах. Один из них представляет собой ASN: NN, а другой - адрес IP: NN. В данном изобретении адрес IP (NN-формат) признака адресата маршрута используется, чтобы служить носителем информации об общедоступном адресе в сети оборудования IPSec. Обратный код NN служит в качестве расширенного определения, используемого для выполнения функции изоляции с целью обеспечения защиты от несанкционированного доступа. Таким образом, правом доступа в сети VPN с IPSec можно управлять более точно, и можно добиться взаимной изоляции между различными видами права доступа в одной и той же сети VPN с IPSec.
ASN: формат NN признака источника маршрута может использоваться для определения номера порта протокола.
Значения стандартного группового признака соответствуют следующим типам протокола:
| <0 - 255> | номер протокола IP |
| 256 | ICMP |
| 257 | IGMP |
| 258 | IP |
| 259 | TCP |
| 260 | UDP |
Правила добавления адреса IP общего пользования к значению признака RT в расширенном групповом признаке заключаются в следующем.
Для оборудования IPSec в ветвях, которое не получает доступ в Интернет через NAT, когда оборудование центрального узла распределяет информацию о маршруте, переданную оборудованием IPSec ветвей, адрес IP, добавленный к расширенному групповому признаку, представляет собой адрес IP общего пользования оборудования IPSec ветвей. Для оборудования IPSec ветвей, которое получает доступ в Интернет через NAT, когда оборудование IPSec центрального узла распределяет информацию о маршруте, передаваемую оборудованием IPSec ветвей, адрес IP, добавленный к расширенному групповому признаку, представляет собой адрес IP общего пользования оборудования IPSec центрального узла.
Правила оценки информации о маршруте BGP заключаются в следующем:
Проверить значение расширенного группового признака в информации о маршруте BGP. Если это значение совпадает с адресом IP оборудования IPSec центрального узла и следующая пересылка маршрута представляет собой адрес IP интерфейса обратной связи узла, отличного от центрального узла, оценка будет заключаться в том, что оборудование IPSec ветви, передающей информацию о маршруте, получает доступ в интернет через NAT.
Проверить значение расширенного группового признака в информации о маршруте BGP. Если это значение совпадает с адресом IP оборудования IPSec центрального узла и следующая пересылка маршрута представляет собой адрес IP интерфейса обратной связи узла, оценка будет заключаться в том, что информация о маршруте передается центральным узлом.
Проверить значение расширенного группового признака в информации о маршруте BGP. Если это значение отличается от адреса IP оборудования IPSec центрального узла, оценка будет заключаться в том, что маршрут передается ветвью, непосредственно соединенной с сетью общего пользования.
Проверить значение расширенного группового признака в информации о маршруте BGP. Если оно пусто и адрес следующей предпосылки маршрута равен 0.0.0.0, информация о маршруте передается местно.
Динамическая сеть VPN с IPSec, реализуемая путем использования динамического маршрута BGP в сочетании с протоколом IPSec, использует гибкость протокола маршрута BGP, чтобы обеспечить гибкость топологии сети. Поддерживаются различные существующие способы доступа, и также поддерживается прохождение NAT, и только для одного устройства IPSec в точке доступа требуется адрес IP сети общего пользования, и при этом можно создать динамическую сеть VPN с IPSec. Другие точки доступа могут использовать произвольные способы доступа. Если только они могут получить доступ в сеть общего пользования, они могут объединиться с сетью VPN с IPSec. При этом данное изобретение имеет высокую управляемость и защиту доступа в сеть. Используя значение группового признака маршрута для обозначения протокола передачи данных и номера порта, которые требуется защитить, можно осуществить точное управление потоком защищенных данных. При этом групповой признак маршрута можно использовать для выполнения функции изоляции и защиты от несанкционированного доступа с тем, чтобы исключить возможность взаимного доступа между различными пользователями, имеющими право доступа в одной сети VPN с IPSec.
Вариант выполнения
На чертеже показано, что при помощи трех ветвей и одного узла требуется построить динамическую VPN с IPSec. Ветви должны иметь возможность получать доступ друг к другу. Адрес доступа IP ветви С, который обеспечивается провайдером услуг сети, представляет собой собственный внутренний адрес сети провайдера, т.е. его личный адрес IP, а доступ в Интернет (т.е. сеть общего пользования) должен быть осуществлен через NAT. Способы доступа двух других ветвей, а именно ветви А и ветви В, получают динамический адрес общего пользования IP.
Для того чтобы создать туннель IPSec между двумя узлами, за исключением согласования параметров и информации для аутентификации (режим pre-shared для ключа/сертификата), наиболее важным является узнать адрес в сети общего пользования и поток защищенных данных оборудования IPSec равноправного пользователя сети. В данном изобретении используется, главным образом, протокол маршрута BGP и характеристики одноадресной передачи без необходимости для соседей быть непосредственно соединенными или необходимости поддерживать адрес IP: формат NN расширенного группового признака реализует оборудование IPSec в каждой ветви, а центральный узел может динамически узнать поток защищенных данных и адрес в сети общего оборудования IPSec равноправного пользователя сети. Аналогично с другими схемами, по крайней мере одного устройства IPSec во всей сети VPN с IPSec должно иметь фиксированный адрес в сети общего пользования.
Далее следует способ реализации данного варианта выполнения
Сперва подтверждается локальный адрес/сеть IP, которые требуется защитить. Затем узнается адрес IP общего пользования оборудования IPSec равноправного пользователя сети, которое должно создать туннель IPSec и адрес/сеть IP, которые требуется защитить у равноправного пользователя сети. В это время принимается решение относительно существования NAT и выполняются специальные процедуры.
В соответствии с планированием всей сети всему оборудованию IPSec присваивается один адрес интерфейса обратной связи (рекомендуется адрес главного компьютера). BGP конфигурируется на оборудовании IPSec центрального узла и каждой ветви, а адрес интерфейса обратной связи используется в качестве соседнего адреса и адреса сообщения о согласовании/модернизации (что можно рассматривать как указание адреса интерфейса обратной связи в качестве адреса BGP). Расширенный групповой признак конструируется для посылки BGP соседу, и данный признак можно использовать для переноса соответствующего адреса в сети общего пользования оборудования IPSec во время распределения маршрута. Оборудование IPSec в ветвях необходимо только для определения оборудования IPSec центрального узла в качестве соседа, и оборудование IPSec центрального узла должно признать оборудование IPSec каждой ветви в качестве соседа. В BGP команда сети используется для распределения локальных защищенных адреса/сети IP, т.е. адреса/сети источника данных потока защищенных данных в отличие от статической VPN с IPSec. После того, как будут установлены соседи BGP, процедура BGP посылает адрес/сеть IP, распределенные по команде сети, на оборудование IPSec центрального узла или ветвей в соответствии с общим маршрутом, что можно использовать, чтобы узнать адрес назначения потока защищенных данных оборудования IPSec из информации о маршруте. Для того чтобы оборудование IPSec центрального узла распределяло информацию о маршруте, полученную от одной ветви, на оборудование IPSec других ветвей, оборудование IPSec центрального узла должно быть установлено как отражатель маршрута, а оборудование IPSec каждой ветви - как клиент отражателя маршрута. Эта процедура определяет, главным образом, источник данных и адреса/сеть IP назначения местной передачи данных, которые должны передаваться через туннель IPSec.
Создаются тоннели IPSec для защиты передачи данных BGP. Создаются статические IPSec туннели в оборудовании IPSec центрального узла, адрес источника данных потока защищенных данных представляет собой адрес интерфейса обратной связи IP оборудования IPSec центрального узла: 1.1.1.1, а адреса назначения представляют собой адрес IP в сети интерфейса обратной связи IP оборудования IPSec в ветвях А, В и С: 1.1.1.0/24. Устанавливается соответствующий поток защищенных данных в оборудовании IPSec в ветвях А, В, С: адрес источника данных представляет собой адрес интерфейса обратной связи локального оборудования IPSec, а адрес назначения представляет собой адрес интерфейса обратной связи в центральном узле. В соответствии с обнаружением NAT на начальной стадии создания IPSec, оборудование IPSec центрального узла обнаружит, что оборудование IPSec ветви С получает доступ в Интернет через NAT, а оборудование IPSec в других ветвях имеет общедоступные адреса IP. Следовательно, оборудование IPSec центрального узла ведет активный поиск в конфигурации BGP в соответствии с адресом интерфейса обратной связи равноправного пользователя сети, чтобы защитить туннель передачи данных BGP. Карта маршрута в направлении добавляется к конфигурации соседей BGP, соответствующих ветвям А, В и С, а расширенный групповой признак устанавливается в карте маршрута. Для ветвей А и В значения расширенного группового признака представляют собой адреса IP в сети общего пользования соответствующего им оборудования IPSec. Для ветвей С значение расширенного группового признака представляет собой общедоступный адрес IP оборудования IPSec центрального узла. Поскольку интерфейс обратной связи используется в качестве адреса соседа BGP и адреса сообщения о согласовании/модернизации, отношения смежности BGP могут быть установлены только после того, как будет создан туннель IPSec, используемый для защиты его системы передачи данных. Такая последовательность операций обеспечивает актуальность карты маршрута оборудования IPSec центрального узла. После того, как будет установлено отношение смежности BGP, оборудование IPSec каждой ветви взаимно получает информацию об адресе/сети IP, которые требуется защитить в других ветвях. Следовательно, оборудование IPSec в ветви А или В устанавливает правило, согласно которому часть с большим адресом обратной связи может инициировать создание туннеля IPSec для защиты соответствующего потока данных в соответствии с адресом IP, полученным из соответствующего расширенного группового признака в маршруте BGP. Для ветви С, которая получает доступ в Интернет через NAT, после того, как оборудование IPSec в ветви А или В получит информацию в виде потока защищенных данных о ветви С, они определят, что в сети общего пользования у равноправного пользователя сети совпадает с адресом IP оборудования IPSec центрального узла, и соответствующая следующая пересылка маршрута BGP не является адресом интерфейса обратной связи оборудования IPSec центрального узла. Также, во время согласования создания туннеля IPSec для защиты BGP оборудования IPSec в ветвях А или В может узнать, получает ли оно доступ в Интернет через NAT, и не будет инициировать создание туннеля IPSec, но будет ждать, пока оборудование в ветви С не будет активно образовывать этот туннель. Когда оборудование IPSec в ветви С примет защищенную информацию с адресом, соответствующую ветвям А и В, через BGP и обнаружит, что адрес IP в соответствующем расширенном групповом признаке не является адресом IP в центральном узле, оборудование IPSec в ветви С возьмет адрес IP в расширенном признаке в качестве адреса равноправного пользователя сети и образует туннель IPSec. Если предположить, что имеется ветвь D, имеющая доступ в Интернет через NAT, оборудование IPSec в ветви С или D принимает защищенную информацию с адресом равноправного пользователя сети, затем проверяет расширенный признак и адрес следующей пересылки маршрута BGP и подтверждает, что равноправный пользователь сети имеет доступ в Интернет через NAT. Оборудование IPSec может получить информацию о том, прослеживают ли они NAT через функцию обнаружения NAT в протоколе IPSec, а также узнает, что равноправный пользователь сети имеет доступ в Интернет через NAT, с тем, чтобы создать туннель IPSec для соответствующего потока данных с оборудованием IPSec в центральном узле. Аналогично, оборудование IPSec в центральном узле также должно выполнять особую процедуру на ветвях, которые имеют доступ в Интернет через NAT, с тем, чтобы обеспечить образование туннеля IPSec и реализовать взаимный доступ между ветвями через ретрансляцию в оборудовании IPSec в центральном узле. Безусловно, туннель IPSec был образован успешно.
1. Способ динамического соединения для виртуальной сети частного пользования, включающий следующие шаги:
a. создание статического туннеля IPSec между оборудованием IPSec в центральном узле и оборудованием IPSec в ветвях;
b. построение отношений смежности BGP между оборудованием IPSec в центральном узле и оборудованием IPSec в ветвях через указанный статический туннель IPSec;
c. оборудование IPSec автоматически добавляет карту маршрутов к соседям BGP в указанных отношениях смежности BGP и устанавливает значение расширенного группового признака информации о маршруте;
d. посредством протокола о маршруте BGP оборудование IPSec в сети VPN с IPSec оповещает другое оборудование IPSec о локальном адресе/сети IP, которым требуется обеспечить защиту;
e. оборудование IPSec в центральном узле распределяет указанный адрес/сеть IP, которым требуется обеспечить защиту в узле ветви, на оборудование IPSec в других ветвях, используя функцию отражателя маршрута BGP;
f. после того как оборудование IPSec, находящееся между узлами ветвей, получит информацию об адресе/сети IP данных, которым требуется обеспечить защиту от других ветвей, они получают общедоступный адрес в сети равноправного пользователя сети из расширенного группового признака и затем согласуют образование туннелей IPSec.
2. Способ динамического соединения по п.1, в котором на шаге b оборудование IPSec в центральном узле и оборудование IPSec в ветвях использует IP-адрес интерфейса обратной связи оборудования IPSec для построения отношений смежности BGP через статический туннель IPSec.
3. Способ динамического соединения по п.1, в котором на шаге с для ветвей, получающих доступ в Интернет через общедоступный адрес в Интернете, значение указанного расширенного группового признака представляет собой, соответственно, их общедоступные IP-адреса, для ветвей, получающих доступ в Интернет через NAT, значение указанного расширенного группового признака представляет собой общедоступный IP-адрес оборудования в центральном узле.
4. Способ динамического соединения по п.1, в котором на упомянутом выше шаге е оборудование IPSec в центральном узле распределяет информацию об адресе/сети IP, которые необходимо защитить в узле ветви, на оборудование IPSec в других ветвях благодаря использованию функции отражателя маршрута BGP и указывает протокол и номер порта, которые необходимо защитить.
