專利名稱:一種使用互聯(lián)網(wǎng)協(xié)議安全多隧道的方法及三層設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)協(xié)議安全(IPSEC, IP Security)技術(shù),尤指一種使 用互聯(lián)網(wǎng)協(xié)議安全多隧道的方法及三層設(shè)備�。
背景技術(shù):
隨著網(wǎng)絡(luò)的大量普及���,網(wǎng)絡(luò)已經(jīng)成為人們的生產(chǎn)、生活不可或缺的一部 分�����。但是隨著網(wǎng)絡(luò)應(yīng)用的不斷擴(kuò)大�,網(wǎng)絡(luò)安全的重要性就顯得越來(lái)越高。 IPSec是互聯(lián)網(wǎng)工程任務(wù)組(IETF)制定的三層隧道加密協(xié)議��,它為互聯(lián)網(wǎng) 上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量��、可互操作�、基于密碼學(xué)的安全保證。參見(jiàn)圖1���,圖1為現(xiàn)有技術(shù)中存在IPSEC多隧道的網(wǎng)絡(luò)結(jié)構(gòu)示意圖�。 IPSEC多隧道是指連接相同源網(wǎng)段和目的網(wǎng)段的多條IPSEC隧道�。如圖1 所示,路由器1上配置的IPSEC多隧道包括路由器1和路由器2之間的 IPSEC隧道1,路由器1和路由器3之間的IPSEC隧道2�。 IPSEC隧道1和 IPSEC隧道2連接了兩個(gè)相同的網(wǎng)段,192.168.1.0/24和192.168.0.0/24。其 中����,站點(diǎn)主要用來(lái)表示IP網(wǎng)段定義的一組用戶��。如圖1所示��,雖然在路由器1上配置了兩條連接站點(diǎn)1網(wǎng)段和站點(diǎn)2網(wǎng) 段的IPSEC隧道,但由于現(xiàn)有技術(shù)的技術(shù)局限性�,路由器1僅會(huì)固定使用 其中一條IPSEC隧道用來(lái)傳輸站點(diǎn)1網(wǎng)段和站點(diǎn)2網(wǎng)段之間的報(bào)文。由于 路由器1固定使用一條IPSEC隧道��,因此即使在該IPSEC隧道無(wú)效�、導(dǎo)致 站點(diǎn)1和站點(diǎn)2之間無(wú)法進(jìn)行通信,路由器1也不會(huì)使用另外一條有效的 IPSEC隧道���。從而����,在現(xiàn)有技術(shù)中����,路由器不能有效地使用自身配置的IPSEC 多隧道,浪費(fèi)了系統(tǒng)資源�,使配置的IPSEC多隧道沒(méi)有得到有效的利用
發(fā)明內(nèi)容
有鑒于此,�,本發(fā)明提供了一種使用互聯(lián)網(wǎng)協(xié)議安全多隧道的方法,應(yīng)用本發(fā)明所提供的方法����,能夠有效地使用IPSEC多隧道�。 為達(dá)到上述目的���,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的 一種使用互聯(lián)網(wǎng)協(xié)議安全多隧道的方法�,該方法包括以下步驟 在為三層設(shè)備配置的具有相同源��、目的網(wǎng)段的互聯(lián)網(wǎng)協(xié)議安全I(xiàn)PSEC多隧道中�,確定一條有效的IPSEC隧道為主IPSEC隧道;在所述三層設(shè)備上����,將所確定的主IPSEC隧道設(shè)置為所述源網(wǎng)段與所述目的網(wǎng)段之間所使用的IPSEC隧道;斷開(kāi)所述IPSEC多隧道中其他IPSEC隧道�����;通過(guò)所述主IPSEC隧道傳輸所述源網(wǎng)段與所述目的網(wǎng)段之間的報(bào)文�����。較佳地�����,所述在為三層設(shè)備配置的具有相同源、目的網(wǎng)段的IPSEC多 隧道中���,確定一條有效的IPSEC隧道為主IPSEC隧道包4舌查找所述IPSEC多隧道�����,得到其中安全耳關(guān)盟SA協(xié)商成功的IPSEC隧 道;選"^奪其中一條SA協(xié)商成功的IPSEC隧道作為主IPSEC隧道�����。較佳地����,該方法進(jìn)一步包括查找所述IPSEC多隧道,得到其中互聯(lián) 網(wǎng)密鑰交換協(xié)議IKE協(xié)商成功的IPSEC隧道�;在所述IKE協(xié)商成功的IPSEC隧道中執(zhí)行所述查找SA協(xié)商成功的 IPSEC隧道的操作。較佳地�����,所述將所確定的主IPSEC隧道設(shè)置為所述源網(wǎng)段與所述目的 網(wǎng),殳之間所4吏用的IPSEC隧道包括建立所述主IPSEC隧道的SA與所述源網(wǎng)段和目的網(wǎng)段之間的關(guān)聯(lián)關(guān)系�。較佳地,所述通過(guò)所述主IPSEC隧道傳輸所述源網(wǎng)段與所述目的網(wǎng)段 之間的報(bào)文包括當(dāng)從所述源網(wǎng)段收到發(fā)送至所述目的網(wǎng)段的報(bào)文時(shí)�����,用與該源網(wǎng)段和目的網(wǎng)段關(guān)聯(lián)的SA加密收到報(bào)文,發(fā)送至目的網(wǎng)段��;當(dāng)從所述目的網(wǎng)段收到發(fā)送至所述源網(wǎng)段的報(bào)文時(shí)���,用與該源網(wǎng)段和目的網(wǎng)段關(guān)聯(lián)的SA解密收到報(bào)文����,發(fā)送至源網(wǎng)段���。較佳地���,確定當(dāng)前所使用的主IPSEC隧道發(fā)生故障時(shí),啟動(dòng)所述IPSEC 多隧道中其它IPSEC隧道的SA協(xié)商����,重新確定其中一條有效的IPSEC隧道 為主IPSEC隧道。較佳地��,該方法進(jìn)一步包括設(shè)置生存時(shí)間�����;所述三層設(shè)備周期性向所 述主IPSEC隧道的對(duì)等體發(fā)送探測(cè)報(bào)文;所述確定當(dāng)前所使用的主IPSEC隧道發(fā)生故障為在生存時(shí)間內(nèi)未收 到該對(duì)等體返回的回應(yīng)l艮文時(shí)�����,確定當(dāng)前所使用的主IPSEC隧道發(fā)生故障��。有鑒于此�,本發(fā)明提供了一種使用互聯(lián)網(wǎng)協(xié)議安全多隧道的三層設(shè)備, 應(yīng)用本發(fā)明所提供的三層設(shè)備�����,能夠有效地使用IPSEC多隧道��。一種使用IPSEC多隧道的三層設(shè)備�,該設(shè)備包括處理單元和收發(fā)單元���;所述處理單元在配置的具有相同源���、目的網(wǎng)段的IPSEC多隧道中確定 一條有效的IPSEC隧道為主IPSEC隧道;并向所述收發(fā)單元指示所確定的 主IPSEC隧道����;所述收發(fā)單元將指示的主IPSEC隧道設(shè)置為所述源網(wǎng)段與所述目的網(wǎng) 段之間所使用的IPSEC隧道���;斷開(kāi)所述IPSEC多隧道中其他IPSEC隧道; 通過(guò)所述主IPSEC隧道傳輸所述源網(wǎng)段與所述目的網(wǎng)段之間的報(bào)文�。較佳地,所述處理單元查找所述IPSEC多隧道��,得到其中安全聯(lián)盟SA 協(xié)商成功的IPSEC隧道���;選擇其中一條SA協(xié)商成功的IPSEC隧道作為主 IPSEC隧道����。較佳地���,所述收發(fā)單元設(shè)置生存時(shí)間�����,并周期性向所述主IPSEC隧道 的對(duì)等體發(fā)送探測(cè)報(bào)文��;在生'存時(shí)間內(nèi)未收到該對(duì)等體返回的回應(yīng)報(bào)文時(shí)����, 向所述處理單元指示當(dāng)前主IPSEC隧道發(fā)生故障;所述處理單元收到所述指示后��,啟動(dòng)所述IPSEC多隧道中其它IPSEC 隧道的SA協(xié)商��,重新確定其中 一條有效的IPSEC隧道為主IPSEC隧道�����。
本發(fā)明所提供的一種使用互聯(lián)網(wǎng)協(xié)議安全多隧道的技術(shù)方案�,在具有相同源、目的網(wǎng)段的IPSEC多隧道中��,確定一條有效的IPSEC隧道為主IPSEC 隧道���,通過(guò)該有效的主IPSEC隧道發(fā)送從源網(wǎng)^a收到的����、需發(fā)送至目的網(wǎng) 段的報(bào)文�����,實(shí)現(xiàn)了有效利用三層設(shè)備上配置的IPSEC多隧道的目的�����。另外�����,本發(fā)明的技術(shù)方案在當(dāng)前使用的IPSEC隧道發(fā)生故障之后�,重 新在IPSEC多隧道中確定一個(gè)主IPSEC隧道,因此同時(shí)也實(shí)現(xiàn)了 IPSec多 隧道之間可以備份��。同時(shí)����,通過(guò)借助定期向?qū)Φ润w發(fā)送的探測(cè)報(bào)文,用來(lái)探 測(cè)對(duì)等體遠(yuǎn)端地址路由可達(dá)性�����,因此����,進(jìn)一步減少了在發(fā)生故障時(shí)候,IPSEC 隧道之間的切換時(shí)間�。
圖1為現(xiàn)有技術(shù)中的網(wǎng)絡(luò)結(jié)構(gòu)圖;圖2為本發(fā)明方法的示例性流程圖�;圖3為本發(fā)明實(shí)施例中方法的流程圖;圖4為本發(fā)明實(shí)施f'J中三層設(shè)備的結(jié)構(gòu)圖�����。
具體實(shí)施方式
在本發(fā)明的技術(shù)方案中,為了能夠有效地利用三層設(shè)備上配置的IPSEC 多隧道��,可以在該具有相同源��、目的網(wǎng)段的IPSEC多隧道中���,確定一條有 效的IPSEC隧道為主IPSEC隧道�,然后通過(guò)該有效的主IPSEC隧道傳輸源 網(wǎng)段與目的網(wǎng)段之間的報(bào)文��。由于本發(fā)明的技術(shù)方案先在IPSEC多隧道中 確定了 一個(gè)有效的IPSEC隧道為主IPSEC隧道����,然后通過(guò)該有效的主IPSEC 隧道發(fā)送報(bào)文,保證了當(dāng)前使用的IPSEC隧道的有效性���。因此相對(duì)于現(xiàn)有 技術(shù)中固定使用IPSEC多隧道中的一個(gè)隧道的技術(shù)方案�����,本發(fā)明更能有效 地使用IPSEC多隧道。在本發(fā)明技術(shù)方案中所介紹的三層設(shè)備可以是路由 器�、防火墻以及三層交換機(jī)����。參見(jiàn)圖2���,圖2為本發(fā)明方法的示例性流程圖�。具體包括在步驟201 中���,在為三層設(shè)備配置的具有相同源�、目的網(wǎng)段的互聯(lián)網(wǎng)協(xié)議安全I(xiàn)PSEC多隧道中�,確定一條有效的IPSEC隧道為主IPSEC隧道;在步驟202中��, 在三層設(shè)備上����,將所確定的主IPSEC隧道設(shè)置為源網(wǎng)段與目的網(wǎng)段之間所 使用的IPSEC隧道;斷開(kāi)IPSEC多隧道中其他IPSEC隧道��;在步驟203中����, 通過(guò)主IPSEC隧道傳輸源網(wǎng)段與目的網(wǎng)段之間的報(bào)文。本發(fā)明的技術(shù)方案�,在IPSEC多隧道中確定一條有效的IPSEC隧道為 主IPSEC隧道的操作可以是查找IPSEC多隧道����,得到其中安全聯(lián)盟(SA, Security Association)協(xié)商成功的IPSEC隧道��;將其中一條SA協(xié)商成功的 IPSEC隧道作為主IPSEC隧道����。另外,將所確定的主IPSEC隧道設(shè)置為源網(wǎng)段與目的網(wǎng)段之間所使用 的IPSEC隧道可以是建立主IPSEC隧道的SA與源網(wǎng)段和目的網(wǎng)段之間的 關(guān)聯(lián)關(guān)系����。進(jìn)而,在從源網(wǎng)段收到發(fā)送至目的網(wǎng)段的報(bào)文時(shí)�����,用與該源網(wǎng)段 和目的網(wǎng)段關(guān)聯(lián)的SA加密收到報(bào)文�����,發(fā)送至目的網(wǎng)段�����;在從目的網(wǎng)段收到 發(fā)送至源網(wǎng)段的報(bào)文時(shí)�����,用與該源網(wǎng)段和目的網(wǎng)段關(guān)聯(lián)的SA解密收到報(bào)文�, 發(fā)送至源網(wǎng)段。將主IPSEC隧道設(shè)置為源網(wǎng)段與目的網(wǎng)段之間所使用的IPSEC隧道�, 就意味著三層設(shè)備上IPSEC多隧道中的其他IPSEC隧道就會(huì)被斷開(kāi)。其中���, 使IPSEC隧道斷開(kāi)的方法可以是��,對(duì)于IPSEC多隧道中不為主IPSEC隧道 的IPSEC隧道�,當(dāng)前三層設(shè)備停止與該IPSEC隧道對(duì)應(yīng)的對(duì)等體進(jìn)行IKE 協(xié)商�����。這里對(duì)等體是指協(xié)商IPSEC隧道SA的實(shí)體��。在圖l所示的網(wǎng)絡(luò)結(jié)構(gòu) 中��,路由器1和路由器2是IPSEC隧道1的對(duì)等體���;路由器1和路由器3 是IPSEC隧道2的對(duì)等體��?;诎踩目紤],IPSEC隧道的對(duì)等體之間會(huì)周 期性進(jìn)行IKE協(xié)商��,如果對(duì)等體之間不進(jìn)行IKE協(xié)商���,相應(yīng)的SA協(xié)商就不 會(huì)成功��,沒(méi)有SA就沒(méi)有IPSEC隧道���。因此,停止對(duì)等體之間的IKE協(xié)商就 相當(dāng)于對(duì)應(yīng)的IPSEC隧道失效�。這里,不排除現(xiàn)有技術(shù)中還存在其他的具 體實(shí)現(xiàn)方式��。以下以上述介紹的較佳技術(shù)手段為例�����,列舉實(shí)施例對(duì)本發(fā)明的技術(shù)方案
進(jìn)行詳細(xì)介紹���。參見(jiàn)圖3���,圖3為本發(fā)明實(shí)施例方法的流程圖。具體流程如下 在步驟301中,查找三層設(shè)備配置的IPSEC多隧道�����,得到其中SA協(xié)商成功的IPSEC隧道����;將其中一條SA協(xié)商成功的IPSEC隧道作為主IPSEC隧道�����。這里����,在查找得到多條SA協(xié)商成功的IPSEC隧道時(shí),可以任意選擇其 中一條IPSEC隧道作為主IPSEC隧道��。另外�����,還可以按對(duì)等體遠(yuǎn)端地址的 大小進(jìn)行選擇�����,即可以將對(duì)等體遠(yuǎn)端地址小的IPSEC隧道作為主IPSEC隧 道,也可以將對(duì)等體遠(yuǎn)端地址大的IPSEC隧道作為主IPSEC隧道�����。在僅存 在的一條SA協(xié)商成功的IPSEC隧道�����,則將該SA協(xié)商成功的IPSEC隧道作 為主IPSEC隧道�。在本步驟中,為了提高查找SA協(xié)商成功的IPSEC隧道的效率���,可以進(jìn) 一步查找得到該IPSEC多隧道中IKE協(xié)商成功的IPSEC隧道�����,然后在IKE 協(xié)商成功的IPSEC隧道中查找SA協(xié)商成功的IPSEC隧道��。由于SA協(xié)商中 包含IKE協(xié)商���,并且IKE協(xié)商是整個(gè)SA協(xié)商的基礎(chǔ),如果IKE協(xié)商成功���, 則對(duì)應(yīng)的SA協(xié)商才有可能協(xié)商成功�;如果IKE協(xié)商不成功,則對(duì)應(yīng)的SA 不能協(xié)商成功�����。因此����,在IKE協(xié)商成功的IPSEC隧道中查找SA協(xié)商成功的 IPSEC隧道,由于縮小了查找的范圍����,進(jìn)而能夠提高查找SA協(xié)商成功的 IPSEC隧道的效率���。其中����,具體查找IKE協(xié)商成功的IPSEC隧道��、以及SA協(xié)商成功的IPSEC 隧道的方法可以是利用現(xiàn)有技術(shù)中配置IPSEC隧道的方式��。在現(xiàn)有技術(shù)中�, 當(dāng)在三層設(shè)備上配置了 IPSEC隧道時(shí),三層設(shè)備就會(huì)與該IPSEC隧道的對(duì) 等體進(jìn)行SA協(xié)商�。這里����,IKE協(xié)商是在SA協(xié)商過(guò)程中首先進(jìn)行的�。在IKE 協(xié)商成功、以及最終的SA協(xié)商成功后��,將會(huì)生成對(duì)應(yīng)的索引�。本發(fā)明的技 術(shù)方案可以通過(guò)查找對(duì)應(yīng)的IKE索引以及SA索引,判斷對(duì)應(yīng)的索引是否有 效���,進(jìn)而確定IPSEC隧道IKE的協(xié)商以及SA的協(xié)商是否成功��。在索引有效 時(shí)�,確定對(duì)應(yīng)的協(xié)商成功���;在索引無(wú)效時(shí)���,確定對(duì)應(yīng)的協(xié)商不成功。
在本步驟的具體實(shí)現(xiàn)過(guò)程中��,可以建立如表一所示的IPSEC多隧道表'源網(wǎng)段目的網(wǎng)段對(duì)等體遠(yuǎn)端地址SA協(xié)商狀態(tài)192.168.1.0/24192.168.0.0/24Routed portl IP地址成功192.168.1.0/24192.168.0.0/24Router2 portl IP地址失敗表一該表中包括源網(wǎng)段�、目的網(wǎng)段、對(duì)等體遠(yuǎn)端地址以及SA協(xié)商狀態(tài)�。由 于其中的源網(wǎng)段�����、目的網(wǎng)段����、對(duì)等體遠(yuǎn)端地址能夠唯一標(biāo)識(shí)三層設(shè)備上的一 個(gè)IPSEC隧道��,因此該表可以用來(lái)記錄IPSEC隧道SA協(xié)商的狀態(tài)��,是成功 還是失敗�。在本發(fā)明的技術(shù)方案中,可以將IPSEC隧道的SA協(xié)商狀態(tài)記錄 在表一���;然后,再根據(jù)表一中記錄的狀態(tài)�,確定其中一條SA協(xié)商成功的 IPSEC隧道作為主IPSEC隧道。在步驟302中����,建立主IPSEC隧道的SA與當(dāng)前源網(wǎng)萃殳和目的網(wǎng)段之間 的關(guān)聯(lián)關(guān)系;停止與IPSEC多隧道中其它IPSEC隧道的對(duì)等體IKE協(xié)商��。 具體的實(shí)現(xiàn)方法可以如表二所示�。源網(wǎng)段目的網(wǎng)段SA項(xiàng)目表二其中�����,SA項(xiàng)目部分可以是指向主IPSEC隧道的SA的指針��,也可以是 將主IPSEC隧道協(xié)商出的SA相關(guān)參數(shù)�,保存在該項(xiàng)目中�����,以備收到報(bào)文時(shí) 直接讀取���。在步驟303中����,通過(guò)主IPSEC隧道傳輸源網(wǎng)段與目的網(wǎng)段之間的報(bào)文��。 具體包括當(dāng)從源網(wǎng)段收到發(fā)送至目的網(wǎng)段的報(bào)文時(shí)����,用與該源網(wǎng)段和 目的網(wǎng)段關(guān)聯(lián)的SA加密收到報(bào)文,發(fā)送至目的網(wǎng)段�����;當(dāng)從目的網(wǎng)段收到發(fā) 送至源網(wǎng)段的報(bào)文時(shí),用與該源網(wǎng)段和目的網(wǎng)段關(guān)聯(lián)的SA解密收到報(bào)文��, 發(fā)送至源網(wǎng)段�����。在本發(fā)明的技術(shù)方案中���,在確定當(dāng)前所使用的主IPSEC隧道發(fā)生故障 時(shí)���,可以對(duì)IPSEC多隧道中的其它IPSEC隧道啟動(dòng)SA協(xié)商,然后重新確定其中一條有效的IPSEC隧道為主IPSEC隧道�����。其中���,確定當(dāng)前所使用的主 IPSEC隧道發(fā)生故障的其中一個(gè)方法可以是,設(shè)置生存時(shí)間��,三層設(shè)備周期 性向主IPSEC隧道的對(duì)等體發(fā)送探測(cè)報(bào)文���,如果在生存時(shí)間內(nèi)未收到該對(duì) 等體返回的回應(yīng)報(bào)文時(shí)���,則確定當(dāng)前所使用的主IPSEC隧道發(fā)生故障����。這 里�����,周期的具體大小可以根據(jù)網(wǎng)絡(luò)環(huán)境的具體情況確定����。另外,這里所描述 的探測(cè)報(bào)文可以是ICMP請(qǐng)求報(bào)文��,也可以是其他類型的報(bào)文��,只要能夠測(cè) 試對(duì)等體遠(yuǎn)端地址路由的可達(dá)性即可��。為了標(biāo)識(shí)各IPSEC隧道的生存時(shí)間��, 可以在IPSEC多鏈3各表中增加生存時(shí)間項(xiàng)目�,用來(lái)記錄各IPSEC隧道對(duì)應(yīng) 的生存時(shí)間。另外�,參見(jiàn)圖4,圖4為本發(fā)明實(shí)施例中所提供的一種使用IPSEC多隧 道的三層設(shè)備,該設(shè)備包括處理單元和收發(fā)單元。其中����,處理單元在配置的具有相同源、目的網(wǎng)段的IPSEC多隧道中確 定一條有效的IPSEC隧道為主IPSEC隧道���;并向收發(fā)單元指示所確定的主 IPSEC隧道�����。收發(fā)單元將指示的主IPSEC隧道設(shè)置為源網(wǎng)段與目的網(wǎng)段之間 所使用的IPSEC隧道���;斷開(kāi)IPSEC多隧道中其他IPSEC隧道;通過(guò)主IPSEC 隧道傳輸源網(wǎng)段與目的網(wǎng)段之間的報(bào)文��。這里�����,處理單元向收發(fā)單元指示所 確定的主IPSEC隧道的方法可以是向收發(fā)單元發(fā)送該主IPSEC隧道的源 網(wǎng)段�����、目的網(wǎng)段以及對(duì)等體遠(yuǎn)端地址�。具體的,處理單元查找IPSEC多隧道�,得到其中安全聯(lián)盟SA協(xié)商成功 的IPSEC隧道;選擇其中一條SA協(xié)商成功的IPSEC隧道作為主IPSEC隧 道��。另外�,收發(fā)單元設(shè)置生存時(shí)間,并周期性向主IPSEC隧道的對(duì)等體發(fā) 送探測(cè)"l艮文����;在生存時(shí)間內(nèi)未收到該對(duì)等體返回的回應(yīng)報(bào)文時(shí),向處理單元 指示當(dāng)前主IPSEC隧道發(fā)生故障�。相應(yīng)的,處理單元收到指示后�,對(duì)IPSEC 多隧道中的其它IPSEC隧道進(jìn)行SA協(xié)商,重新確定其中一條有效的IPSEC 隧道為主IPSEC隧道���。在本發(fā)明的技術(shù)方案在具有相同源��、目的網(wǎng)段的IPSEC多隧道中�����,確 定一條有效的IPSEC隧道為主IPSEC隧道����,然后通過(guò)該有效的主IPSEC隧 道傳輸源網(wǎng)段與目的網(wǎng)段之間的報(bào)文,實(shí)現(xiàn)了有效利用三層設(shè)備上配置的IPSEC多隧道的目的�。另外,本發(fā)明的技術(shù)方案在當(dāng)前使用的IPSEC隧道發(fā)生故障之后���,重 新在IPSEC多隧道中確定一個(gè)主IPSEC隧道����,因此同時(shí)也實(shí)現(xiàn)了 IPSec多 隧道之間可以備份����。并且,通過(guò)借助定期向?qū)Φ润w發(fā)送的探測(cè)報(bào)文��,用來(lái)探 測(cè)對(duì)等體遠(yuǎn)端地址路由可達(dá)性�����,因此���,進(jìn)一步減少了在發(fā)生故障時(shí)候���,IPSEC 隧道之間的切換時(shí)間。以上所述僅為本發(fā)明的較佳實(shí)施例而已�����,并不用以限制本發(fā)明��,凡在本 發(fā)明的精神和原則之內(nèi)�����,所做的任何修改�����、等同替換��、改進(jìn)等�����,均應(yīng)包含在 本發(fā)明的保護(hù)范圍之內(nèi)�。
權(quán)利要求
1、一種使用互聯(lián)網(wǎng)協(xié)議安全多隧道的方法���,其特征在于�����,該方法包括以下步驟在為三層設(shè)備配置的具有相同源�����、目的網(wǎng)段的互聯(lián)網(wǎng)協(xié)議安全I(xiàn)PSEC多隧道中�����,確定一條有效的IPSEC隧道為主IPSEC隧道�;在所述三層設(shè)備上,將所確定的主IPSEC隧道設(shè)置為所述源網(wǎng)段與所述目的網(wǎng)段之間所使用的IPSEC隧道��;斷開(kāi)所述IPSEC多隧道中其他IPSEC隧道���;通過(guò)所述主IPSEC隧道傳輸所述源網(wǎng)段與所述目的網(wǎng)段之間的報(bào)文�����。
2����、 根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述在為三層設(shè)備配置的具 有相同源���、目的網(wǎng)段的IPSEC多隧道中�����,確定一條有效的IPSEC隧道為主IPSEC 隧道包括查找所述IPSEC多隧道���,得到其中安全聯(lián)盟SA協(xié)商成功的IPSEC隧道; 選捧其中一條SA協(xié)商成功的IPSEC隧道作為主IPSEC隧道�����。
3��、 根據(jù)權(quán)利要求2所述的方法�,其特征在于,該方法進(jìn)一步包括查找所述IPSEC多隧道�����,得到其中互聯(lián)網(wǎng)密鑰交換協(xié) 議IKE協(xié)商成功的IPSEC隧道�����;在所述IKE協(xié)商成功的IPSEC隧道中執(zhí)行所述查找SA協(xié)商成功的IPSEC 隧道的操作�����。
4、 根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述將所確定的主IPSEC 隧道設(shè)置為所述源網(wǎng)段與所述目的網(wǎng)段之間所使用的IPSEC隧道包括建立所述主IPSEC隧道的SA與所述源網(wǎng)段和目的網(wǎng)段之間的關(guān)聯(lián)關(guān)系��。
5����、 根據(jù)權(quán)利要求4所述的方法,其特征在于���,所述通過(guò)所述主IPSEC隧 道傳輸所述源網(wǎng)段與所述目的網(wǎng)段之間的報(bào)文包括當(dāng)從所述源網(wǎng)段收到發(fā)送至所述目的網(wǎng)段的報(bào)文時(shí)��,用與該源網(wǎng)段和目的 網(wǎng)段關(guān)聯(lián)的SA加密收到報(bào)文���,發(fā)送至目的網(wǎng)段;當(dāng)從所述目的網(wǎng)段收到發(fā)送至所述源網(wǎng)段的報(bào)文時(shí)�,用與該源網(wǎng)段和目的 網(wǎng)段關(guān)聯(lián)的SA解密收到報(bào)文,發(fā)送至源網(wǎng)段�����。
6�����、 根據(jù)權(quán)利要求1至5中任一權(quán)利要求所述的方法,其特征在于��,確定當(dāng) 前所使用的主IPSEC隧道發(fā)生故障時(shí)�����,啟動(dòng)所述IPSEC多隧道中其它IPSEC 隧道的SA協(xié)商�����,重新確定其中 一條有,文的IPSEC隧道為主IPSEC隧道�����。
7��、 根據(jù)權(quán)利要求6所述的方法���,其特征在于,該方法進(jìn)一步包括設(shè)置生 存時(shí)間�����;所述三層設(shè)備周期性向所述主IPSEC隧道的對(duì)等體發(fā)送探測(cè)報(bào)文;所述確定當(dāng)前所使用的主IPSEC隧道發(fā)生故障為在生存時(shí)間內(nèi)未收到該 對(duì)等體返回的回應(yīng)報(bào)文時(shí)�,確定當(dāng)前所^吏用的主IPSEC隧道發(fā)生故障。
8�����、 一種使用IPSEC多隧道的三層設(shè)備���,其特征在于���,該設(shè)備包括處理單 元和收發(fā)單元;所述處理單元在配置的具有相同源����、目的網(wǎng)l殳的IPSEC多隧道中確定一條 有效的IPSEC隧道為主IPSEC隧道;并向所述收發(fā)單元指示所確定的主IPSEC 隧道�����;所述收發(fā)單元將指示的主IPSEC隧道設(shè)置為所述源網(wǎng)^a與所述目的網(wǎng)段之 間所使用的IPSEC隧道�����;斷開(kāi)所述IPSEC多隧道中其他IPSEC隧道;通過(guò)所
9�����、 根據(jù)權(quán)利要求8所述的設(shè)備��,其特征在于��,所述處理單元查找所述IPSEC多隧道�,得到其中安全聯(lián)盟SA協(xié)商成功的 IPSEC隧道;選擇其中一條SA協(xié)商成功的IPSEC隧道作為主IPSEC隧道�����。
10��、 根據(jù)權(quán)利要求8或9所述的設(shè)備�����,其特征在于����,所述收發(fā)單元設(shè)置生存時(shí)間�����,并周期性向所述主IPSEC隧道的對(duì)等體發(fā)送 探測(cè)報(bào)文;在生存時(shí)間內(nèi)未收到該對(duì)等體返回的回應(yīng)報(bào)文時(shí)�����,向所述處理單元 指示當(dāng)前主IPSEC隧道發(fā)生故障����;所述處理單元收到所述指示后,啟動(dòng)所述IPSEC多隧道中其它IPSEC隧道 的SA協(xié)商����,重新確定其中一條有效的IPSEC隧道為主IPSEC隧道。
全文摘要
本發(fā)明公開(kāi)了一種使用互聯(lián)網(wǎng)協(xié)議安全多隧道的技術(shù)方案�����,在具有相同源�����、目的網(wǎng)段的IPSEC多隧道中�����,確定一條有效的IPSEC隧道為主IPSEC隧道,通過(guò)所述主IPSEC隧道傳輸所述源網(wǎng)段與所述目的網(wǎng)段之間的報(bào)文�����,實(shí)現(xiàn)了有效利用三層設(shè)備上配置的IPSEC多隧道的目的�����。另外��,本發(fā)明的技術(shù)方案在當(dāng)前使用的IPSEC隧道發(fā)生故障之后����,重新在IPSEC多隧道中確定一個(gè)主IPSEC隧道,因此同時(shí)也實(shí)現(xiàn)了IPSec多隧道之間可以備份��。
文檔編號(hào)H04L12/56GK101132406SQ20071012241
公開(kāi)日2008年2月27日 申請(qǐng)日期2007年9月25日 優(yōu)先權(quán)日2007年9月25日
發(fā)明者迪 周, 沈志祥 申請(qǐng)人:杭州華三通信技術(shù)有限公司