用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法和系統(tǒng)的制作方法
【專利摘要】一種用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法和系統(tǒng)����。方法包括如下步驟:建立網(wǎng)絡(luò)設(shè)備間的IPsec隧道,協(xié)商生成IPsec隧道的一級(jí)隧道IKE?SA和二級(jí)隧道IPsec?SA��;在檢測(cè)到一級(jí)隧道IKE?SA的超時(shí)時(shí)間或者二級(jí)隧道IPsec?SA的超時(shí)時(shí)間達(dá)到預(yù)設(shè)時(shí)間后�,發(fā)送協(xié)商報(bào)文;如果沒(méi)有收到回應(yīng)報(bào)文�����,則判斷協(xié)商報(bào)文的出物理接口的報(bào)文處理速度是否等于或大于預(yù)設(shè)上限;如果報(bào)文處理速度等于或大于預(yù)設(shè)上限��,則進(jìn)一步判斷IPsec隧道是否可以對(duì)報(bào)文正常加密和解密�����;如果是��,則判斷IPsec隧道可使用����,等待預(yù)設(shè)時(shí)長(zhǎng)后,重新發(fā)送協(xié)商報(bào)文�����。本發(fā)明可以解決IPsec隧道的震蕩問(wèn)題�。
【專利說(shuō)明】用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)通信【技術(shù)領(lǐng)域】,特別涉及一種用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制 方法和系統(tǒng)���。
【背景技術(shù)】
[0002] 多核網(wǎng)絡(luò)設(shè)備對(duì)報(bào)文進(jìn)行處理時(shí)���,首先處理轉(zhuǎn)發(fā)報(bào)文,其次處理主機(jī)報(bào)文,這樣可 以保證設(shè)備的吞吐量�,增加性能。但是對(duì)于其他功能來(lái)說(shuō)�,主機(jī)報(bào)文如果接收失敗可以重 發(fā),不會(huì)有嚴(yán)重影響����,但對(duì)于IPsec (Internet Protocol Security���,Internet協(xié)議安全性) 隧道而言��,協(xié)商報(bào)文即是主機(jī)報(bào)文�,此時(shí)如果協(xié)商報(bào)文接收失敗就會(huì)導(dǎo)致IPsec隧道斷開��。 由于協(xié)商報(bào)文失敗的原因可能是由多方面造成��,并且這種原因也是會(huì)隨著網(wǎng)絡(luò)狀態(tài)的改變 而消失的�����。如果僅僅因?yàn)閰f(xié)商報(bào)文接收失敗就斷開IPsec隧道����,從而會(huì)對(duì)用戶來(lái)說(shuō)會(huì)出現(xiàn) 隧道震蕩的情況,而且草率的斷開IPsec隧道,而沒(méi)有根據(jù)當(dāng)前網(wǎng)絡(luò)狀態(tài)的變化適時(shí)的恢 復(fù)IPsec隧道���,會(huì)影響IPsec隧道的正常功能�����。
【發(fā)明內(nèi)容】
[0003] 本發(fā)明鑒于上述情況而作出���,其目的是提供一種用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控 制方法,該方法可以解決IPsec隧道的震蕩問(wèn)題���。
[0004] 為實(shí)現(xiàn)上述目的�,本發(fā)明提供一種用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法���,包括 如下步驟:
[0005] 建立網(wǎng)絡(luò)設(shè)備間的IPsec隧道���,協(xié)商生成IPsec隧道的一級(jí)隧道IKE SA和二級(jí)隧 道 IPsec SA ;
[0006] 在檢測(cè)到所述一級(jí)隧道IKE SA的超時(shí)時(shí)間或者二級(jí)隧道IPsec SA的超時(shí)時(shí)間達(dá) 到預(yù)設(shè)時(shí)間后,發(fā)送協(xié)商報(bào)文���;
[0007] 如果沒(méi)有收到回應(yīng)報(bào)文����,則判斷所述協(xié)商報(bào)文的出物理接口的報(bào)文處理速度是否 等于或大于預(yù)設(shè)上限;
[0008] 如果報(bào)文處理速度等于或大于預(yù)設(shè)上限�,則進(jìn)一步判斷所述IPsec隧道是否可以 對(duì)報(bào)文正常加密和解密;
[0009] 如果是��,則判斷所述IPsec隧道可使用��,等待預(yù)設(shè)時(shí)長(zhǎng)后��,重新發(fā)送所述協(xié)商報(bào) 文����。
[0010] 根據(jù)本發(fā)明的一個(gè)方面�����,如果所述協(xié)商報(bào)文的出物理接口的報(bào)文處理速度小于預(yù) 設(shè)上限���,則斷開所述IPsec隧道���。
[0011] 根據(jù)本發(fā)明的另一個(gè)方面,在檢測(cè)到所述IPsec隧道設(shè)置有入加密報(bào)文時(shí)����,判斷 所述IPsec隧道可以對(duì)報(bào)文正常加密�����。
[0012] 根據(jù)本發(fā)明的又一方面��,如果判斷所述IPsec隧道不可以對(duì)報(bào)文正常加密或解 密����,則斷開所述IPsec隧道��。
[0013] 根據(jù)本發(fā)明的再一方面��,所述預(yù)設(shè)時(shí)長(zhǎng)由用戶根據(jù)網(wǎng)絡(luò)狀態(tài)進(jìn)行配置�。
[0014] 本發(fā)明提供的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法,在發(fā)現(xiàn)協(xié)商失敗后�����,不立 即進(jìn)行IPsec隧道刪除�,而是綜合考慮協(xié)商報(bào)文的出物理接口的速度和IPsec隧道是否可 以對(duì)報(bào)文正常加密和解密,選擇斷開IPsec隧道或者延時(shí)一定時(shí)間���,錯(cuò)過(guò)流量高峰再進(jìn)行 重新協(xié)商�,從而解決IPsec隧道的震蕩問(wèn)題���。
[0015] 本發(fā)明的又一個(gè)目的是提供一種用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制系統(tǒng)����,該系統(tǒng) 可以解決IPsec隧道的震蕩問(wèn)題。
[0016] 為實(shí)現(xiàn)上述目的���,本發(fā)明提供一種用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制系統(tǒng)��,包括: IPsec隧道設(shè)置模塊����,用于建立網(wǎng)絡(luò)設(shè)備間的IPsec隧道并協(xié)商生成IPsec隧道的一級(jí)隧道 IKE SA和二級(jí)隧道IPsec SA;超時(shí)時(shí)間檢測(cè)模塊����,用于檢測(cè)所述一級(jí)隧道IKE SA的超時(shí)時(shí) 間或者二級(jí)隧道IPsec SA的超時(shí)時(shí)間是否達(dá)到預(yù)設(shè)時(shí)間����;通信模塊,所述通信模塊連接至 所述超時(shí)時(shí)間檢測(cè)模塊����,用于在所述超時(shí)時(shí)間檢測(cè)模塊檢測(cè)到所述一級(jí)隧道IKE SA的超時(shí) 時(shí)間或者二級(jí)隧道IPsec SA的超時(shí)時(shí)間達(dá)到預(yù)設(shè)時(shí)間后,發(fā)送協(xié)商報(bào)文�;判斷模塊�����,所述 判斷模塊連接至所述通信模塊和所述IPsec隧道設(shè)置模塊�,用于在所述通信模塊沒(méi)有收到 回應(yīng)報(bào)文后����,判斷所述協(xié)商報(bào)文的出物理接口的報(bào)文處理速度是否等于或大于預(yù)設(shè)上限, 如果是則進(jìn)一步判斷所述IPsec隧道是否可以對(duì)報(bào)文正常加密和解密��,如果是則判斷所述 IPsec隧道可使用���,等待預(yù)設(shè)時(shí)長(zhǎng)后�,由所述通信模塊重新發(fā)送所述協(xié)商報(bào)文���。
[0017] 根據(jù)本發(fā)明的一個(gè)方面����,如果所述判斷模塊判斷協(xié)商報(bào)文的出物理接口的報(bào)文處 理速度小于預(yù)設(shè)上限���,則所述IPsec隧道設(shè)置模塊斷開所述IPsec隧道�。
[0018] 根據(jù)本發(fā)明的又一方面��,如果所述判斷模塊判斷協(xié)商報(bào)文的出物理接口的報(bào)文處 理速度小于預(yù)設(shè)上限,則所述IPsec隧道設(shè)置模塊斷開所述IPsec隧道����。
[0019] 根據(jù)本發(fā)明的再一方面,如果所述判斷模塊判斷所述IPsec隧道不可以對(duì)報(bào)文正 常加密或解密���,則所述IPsec隧道設(shè)置模塊斷開所述IPsec隧道���。
[0020] 根據(jù)本發(fā)明的又一方面,所述預(yù)設(shè)時(shí)長(zhǎng)由用戶根據(jù)網(wǎng)絡(luò)狀態(tài)進(jìn)行配置����。
[0021] 本發(fā)明提供的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制系統(tǒng),在發(fā)現(xiàn)協(xié)商失敗后���,不立 即進(jìn)行IPsec隧道刪除��,而是綜合考慮協(xié)商報(bào)文的出物理接口的速度和IPsec隧道是否可 以對(duì)報(bào)文正常加密和解密,選擇斷開IPsec隧道或者延時(shí)一定時(shí)間�����,錯(cuò)過(guò)流量高峰再進(jìn)行 重新協(xié)商�,從而解決IPsec隧道的震蕩問(wèn)題����。
【專利附圖】
【附圖說(shuō)明】
[0022] 圖1是根據(jù)本發(fā)明第一實(shí)施方式的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法的流程 圖�;
[0023] 圖2是根據(jù)本發(fā)明第二實(shí)施方式的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法的流程 圖;
[0024] 圖3示意性地示出網(wǎng)絡(luò)設(shè)備間的IPsec隧道的示意圖��;
[0025] 圖4是根據(jù)本發(fā)明實(shí)施方式的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制系統(tǒng)的結(jié)構(gòu)圖�����。
【具體實(shí)施方式】
[0026] 為使本發(fā)明的目的��、技術(shù)方案和優(yōu)點(diǎn)更加清楚明了����,下面結(jié)合【具體實(shí)施方式】并參 照附圖,對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明���。應(yīng)該理解���,這些描述只是示例性的,而并非要限制本發(fā) 明的范圍��。此外,在以下說(shuō)明中��,省略了對(duì)公知結(jié)構(gòu)和技術(shù)的描述�����,以避免不必要地混淆本 發(fā)明的概念�。
[0027] 由于多核網(wǎng)絡(luò)設(shè)備處理報(bào)文的優(yōu)先級(jí)為,首先處理轉(zhuǎn)發(fā)報(bào)文�,其次處理主機(jī)報(bào)文, 從而可以保證設(shè)備的吞吐�����,增加性能���。但是對(duì)于IPsec隧道���,協(xié)商報(bào)文即是主機(jī)報(bào)文,此時(shí) 如果丟棄協(xié)商報(bào)文就會(huì)導(dǎo)致IPsec隧道斷開�����,對(duì)用戶來(lái)說(shuō)就會(huì)出現(xiàn)隧道震蕩的情況��。因此��, 針對(duì)多核網(wǎng)絡(luò)設(shè)備��,本發(fā)明提供一種用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法和系統(tǒng)���,可以 防止由于優(yōu)先處理轉(zhuǎn)發(fā)報(bào)文引起的網(wǎng)卡忙����,即不能及時(shí)處理主機(jī)報(bào)文或者協(xié)商報(bào)文�,導(dǎo)致 協(xié)商報(bào)文件丟失,進(jìn)而導(dǎo)致的IPsec隧道重協(xié)商失敗�,刪除了 IPsec隧道,無(wú)法保證IPsec 隧道的正常功能�����。
[0028] 圖1是根據(jù)本發(fā)明第一實(shí)施方式的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法的流程 圖��。
[0029] 如圖1所示�,本發(fā)明第一實(shí)施方式的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法,包括 如下步驟:
[0030] 步驟S1�,建立網(wǎng)絡(luò)設(shè)備間的IPsec隧道,協(xié)商生成IPsec隧道的一級(jí)隧道IKE SA 和二級(jí)隧道IPsec SA��。
[0031] 具體來(lái)說(shuō),在網(wǎng)絡(luò)設(shè)備之間建立IPsec隧道�����。參考圖3,以防火墻設(shè)備Fw a和防火 墻設(shè)備Fw b為例���,防火墻設(shè)備Fw a和防火墻設(shè)備Fw b建立IPsec隧道����。在IPsec隧道的 建立過(guò)程中協(xié)商生成一級(jí)隧道IKE SA和二級(jí)隧道IPsec SA��。其中�����,一級(jí)隧道IKE SA用于 保護(hù)IKE協(xié)議報(bào)文����。二級(jí)隧道IPsec SA用于數(shù)據(jù)報(bào)文加密。
[0032] 步驟S2,在檢測(cè)到一級(jí)隧道IKE SA的超時(shí)時(shí)間或者二級(jí)隧道IPsec SA的超時(shí)時(shí) 間達(dá)到預(yù)設(shè)時(shí)間后��,發(fā)送協(xié)商報(bào)文��。
[0033] 檢測(cè)一級(jí)隧道IKE SA或二級(jí)隧道IPsec SA是否發(fā)生超時(shí)����,且超時(shí)時(shí)間是否達(dá)到 預(yù)設(shè)時(shí)間�,如果是則進(jìn)行協(xié)商報(bào)文發(fā)送���,開始IKE SA和IPsec SA的更新協(xié)商,即協(xié)商生成 新的 IKE SA 和 IPsec SA�。
[0034] 步驟S3,如果沒(méi)有收到回應(yīng)報(bào)文,則判斷協(xié)商報(bào)文的出物理接口的報(bào)文處理速度 是否等于或大于預(yù)設(shè)上限���。
[0035] 在步驟S2中發(fā)送協(xié)商報(bào)文之后�,如果收到回應(yīng)報(bào)文�,則判斷協(xié)商成功,生成新的 IKE SA和IPsec SA�。如果沒(méi)有收到回應(yīng)報(bào)文,則判斷協(xié)商失敗�,此時(shí)不立即進(jìn)行IPsec隧 道刪除,而是查看該協(xié)商報(bào)文的出物理接口的報(bào)文處理速度��。具體地�,判斷協(xié)商報(bào)文的出物 理接口的報(bào)文處理速度是否等于或大于預(yù)設(shè)上限。由于一段時(shí)間的出物理接口的流量可以 利用報(bào)文處理速度和單位時(shí)長(zhǎng)計(jì)算獲取���,因此通過(guò)判斷協(xié)商報(bào)文的出物理接口的報(bào)文處理 速度是否等于或大于預(yù)設(shè)上限����,可以達(dá)到判斷單位時(shí)長(zhǎng)內(nèi)出物理接口的流量是否超過(guò)上限 的目的。
[0036] 步驟S4,如果報(bào)文處理速度等于或大于預(yù)設(shè)上限則進(jìn)一步判斷IPsec隧道是否可 以對(duì)報(bào)文正常加密和解密���。
[0037] 如果協(xié)商報(bào)文的出物理接口的報(bào)文處理速度等于或大于預(yù)設(shè)上限�����,則查看IPsec 隧道是否可以對(duì)報(bào)文正常加密���。
[0038] 在本發(fā)明的實(shí)施方式中,通過(guò)判斷IPsec隧道是否有入加密報(bào)文�,來(lái)判斷報(bào)文是 否可以被正常的加密。其中�����,如果IPsec隧道有入加密報(bào)文�,則判斷IPsec隧道可以對(duì)報(bào)文 正常加密,反之判斷IPsec隧道不能對(duì)報(bào)文正常加密�����。
[0039] 并且���,在IPsec隧道可以對(duì)報(bào)文進(jìn)行正常加密的基礎(chǔ)上���,進(jìn)一步判斷報(bào)文是否 可以被正常解密�����。具體地,本步驟中可以通過(guò)查找解密報(bào)文的三元組����,其中,三元組包括 SPI (Security Parameter Index,安全參數(shù)索引)�����、加解密類型和目的地址���。如果通過(guò)SPI���、 加解密類型HE目的地址這三個(gè)元素可以找到對(duì)應(yīng)的解密SA(Security Association,安全 關(guān)聯(lián)),那么就可以認(rèn)定為報(bào)文能夠正常解密�。
[0040] 步驟S5,如果是,則判斷IPsec隧道可使用���,等待預(yù)設(shè)時(shí)長(zhǎng)后����,重新發(fā)送協(xié)商報(bào)文。
[0041] 如果協(xié)商報(bào)文的出物理接口的報(bào)文處理速度等于或大于預(yù)設(shè)上限�����,并且IPsec隧 道可以對(duì)報(bào)文進(jìn)行正常加密和解密��,則認(rèn)為隧道是仍然可以繼續(xù)使用的�,只是由于多核設(shè) 備自身的原因在報(bào)文轉(zhuǎn)發(fā)過(guò)程中導(dǎo)致協(xié)商報(bào)文丟失,則使用當(dāng)前IPsec隧道���,等待預(yù)設(shè)時(shí) 長(zhǎng)后(如:等流量高峰期過(guò)了或等待10分鐘)�,再次發(fā)送協(xié)商報(bào)文�����,進(jìn)行協(xié)商����,可以正常協(xié) 商IKE SA和IPsec SA時(shí),再使用新的IPsec隧道�,那么就將IKE SA和IPsec SA的更新推 遲預(yù)設(shè)時(shí)長(zhǎng)再進(jìn)行更新���,由此可以解決IPsec隧道的震蕩問(wèn)題。
[0042] 在本發(fā)明的實(shí)施方式中��,預(yù)設(shè)時(shí)長(zhǎng)由用戶根據(jù)網(wǎng)絡(luò)狀態(tài)進(jìn)行配置���。優(yōu)選的����,預(yù)設(shè)時(shí) 長(zhǎng)為一個(gè)周期�,例如10分鐘����。
[0043] 圖2是根據(jù)本發(fā)明第二實(shí)施方式的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法的流程 圖。
[0044] 在本發(fā)明的一個(gè)實(shí)施方式中�����,在步驟S3之后�����,還包括如下步驟:如果協(xié)商報(bào)文的 出物理接口的報(bào)文處理速度小于預(yù)設(shè)上限����,則執(zhí)行步驟S6,斷開IPsec隧道����。需要說(shuō)明的 是�,在步驟中的斷開IPsec隧道是在滿足一定條件下的主動(dòng)實(shí)施的斷開,而并非現(xiàn)有技術(shù) 中由于協(xié)商失敗導(dǎo)致的被動(dòng)斷開��。具體來(lái)說(shuō)�,由于此時(shí)報(bào)文的出物理接口的報(bào)文處理速度 小于預(yù)設(shè)上限,表明此時(shí)網(wǎng)絡(luò)發(fā)生擁堵��。在該時(shí)機(jī)下斷開IPsec隧道���,不對(duì)IPsec隧道內(nèi)的 報(bào)文進(jìn)行加密和解密���,即對(duì)IPsec隧道的報(bào)文暫時(shí)斷流。這種方式可以從根本上解決IPsec 隧道震蕩的問(wèn)題�����,因?yàn)椴唤Psec隧道��,切斷了 IPsec隧道震蕩發(fā)生的源頭。從另一個(gè)方 面可以理解為�,通過(guò)對(duì)IPsec隧道的暫時(shí)屏蔽達(dá)到避免IPsec隧道震蕩,同時(shí)保證背景流有 限通過(guò)����。
[0045] 并且,IPsec隧道只是在一定條件下的暫時(shí)斷開�,當(dāng)報(bào)文的出物理接口的報(bào)文處理 速度等于或大于預(yù)設(shè)上限,即網(wǎng)絡(luò)擁堵狀況解除��,端口的流量帶寬夠用時(shí)��,重新建立IPsec 隧道�����,恢復(fù)IPsec隧道內(nèi)的報(bào)文的加密和解密�����,從而盡量做到不影響IPsec隧道的正常功 能�。
[0046] 在步驟S4之后�,還包括如下步驟:如果判斷IPsec隧道沒(méi)有入加密報(bào)文或者解密 失敗,則執(zhí)行步驟S6,斷開IPsec隧道��。
[0047] 根據(jù)本發(fā)明實(shí)施方式的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法,在發(fā)現(xiàn)協(xié)商失敗 后��,不立即進(jìn)行IPsec隧道刪除��,而是綜合考慮協(xié)商報(bào)文的出物理接口的報(bào)文處理速度和 IPsec隧道是否可以對(duì)報(bào)文正常加密和解密�����,選擇斷開IPsec隧道或者延時(shí)預(yù)設(shè)時(shí)長(zhǎng)�����,錯(cuò)過(guò) 流量高峰再進(jìn)行重新協(xié)商���,從而解決IPsec隧道的震蕩問(wèn)題��。
[0048] 圖4是根據(jù)本發(fā)明實(shí)施方式的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制系統(tǒng)的結(jié)構(gòu)圖�。
[0049] 如圖4所示����,本發(fā)明實(shí)施方式的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制系統(tǒng)包括: IPsec隧道設(shè)置模塊1、超時(shí)時(shí)間檢測(cè)模塊2���、通信模塊3和判斷模塊4����。
[0050] 具體地,IPsec隧道設(shè)置模塊1用于建立網(wǎng)絡(luò)設(shè)備間的IPsec隧道并協(xié)商生成 IPsec隧道的一級(jí)隧道IKE SA和二級(jí)隧道IPsec SA��。
[0051] 具體來(lái)說(shuō)����,IPsec隧道設(shè)置模塊1在網(wǎng)絡(luò)設(shè)備之間建立IPsec隧道。在IPsec隧 道的建立過(guò)程中協(xié)商生成一級(jí)隧道IKE SA和二級(jí)隧道IPsec SA����。其中,一級(jí)隧道IKE SA 用于保護(hù)IKE協(xié)議報(bào)文��。二級(jí)隧道IPsec SA用于數(shù)據(jù)報(bào)文加密�����。
[0052] 超時(shí)時(shí)間檢測(cè)模塊2用于檢測(cè)一級(jí)隧道IKE SA的超時(shí)時(shí)間或者二級(jí)隧道IPsec SA的超時(shí)時(shí)間是否達(dá)到預(yù)設(shè)時(shí)間�。
[0053] 通信模塊3連接至超時(shí)時(shí)間檢測(cè)模塊2,用于在超時(shí)時(shí)間檢測(cè)模塊2檢測(cè)到一級(jí)隧 道IKE SA的超時(shí)時(shí)間或者二級(jí)隧道IPsec SA的超時(shí)時(shí)間達(dá)到預(yù)設(shè)時(shí)間后,發(fā)送協(xié)商報(bào)文�����, 開始IKE SA和IPsec SA的更新協(xié)商���,即協(xié)商生成新的IKE SA和IPsec SA����。
[0054] 判斷模塊4連接至通信模塊3,用于在通信模塊3沒(méi)有收到回應(yīng)報(bào)文后����,判斷協(xié)商 失敗,此時(shí)不立即進(jìn)行IPsec隧道刪除���。判斷模塊4進(jìn)一步判斷協(xié)商報(bào)文的出物理接口的報(bào) 文處理速度是否等于或大于預(yù)設(shè)上限�����。由于一段時(shí)間的出物理接口的流量可以利用報(bào)文處 理速度和單位時(shí)長(zhǎng)計(jì)算獲取���,因此通過(guò)判斷協(xié)商報(bào)文的出物理接口的報(bào)文處理速度是否等 于或大于預(yù)設(shè)上限,可以達(dá)到判斷單位時(shí)長(zhǎng)內(nèi)出物理接口的流量是否超過(guò)上限的目的��。如 果是則判斷模塊4進(jìn)一步判斷IPsec隧道是否可以對(duì)報(bào)文正常加密和解密�����,如果是則判斷 IPsec隧道可使用�����,等待預(yù)設(shè)時(shí)長(zhǎng)后,由通信模塊3重新發(fā)送協(xié)商報(bào)文�����。
[0055] 需要說(shuō)明的是����,如果通信模塊3收到回應(yīng)報(bào)文,則可以認(rèn)為協(xié)商成功��,生成新的 IKE SA 和 IPsec SA��。
[0056] 在本發(fā)明的實(shí)施方式中�,判斷模塊4通過(guò)判斷IPsec隧道是否有入加密報(bào)文,來(lái)判 斷是否報(bào)文可以被正常的加密�����。其中����,如果IPsec隧道有入加密報(bào)文,則判斷IPsec隧道可 以對(duì)報(bào)文正常加密��,反之判斷IPsec隧道不能對(duì)報(bào)文正常加密���。
[0057] 并且���,在IPsec隧道可以對(duì)報(bào)文進(jìn)行正常加密的基礎(chǔ)上,判斷模塊4進(jìn)一步判斷報(bào) 文是否可以被正常解密����。
[0058] 如果協(xié)商報(bào)文的出物理接口的報(bào)文處理速度等于或大于預(yù)設(shè)上限,并且IPsec 隧道可以對(duì)報(bào)文進(jìn)行正常加密和解密���,則判斷模塊4認(rèn)為隧道是仍然可以繼續(xù)使用的�����,只 是由于多核設(shè)備自身的原因?qū)е聟f(xié)議報(bào)文丟失��,則使用當(dāng)前IPsec隧道����,等待預(yù)設(shè)時(shí)長(zhǎng)后 (如:等流量高峰期過(guò)了或等待10分鐘)�����,再次發(fā)送協(xié)商報(bào)文,進(jìn)行協(xié)商�,可以正常協(xié)商IKE SA和IPsec SA時(shí),再使用新的IPsec隧道��,那么就將IKE SA和IPsec SA的更新推遲預(yù)設(shè) 時(shí)長(zhǎng)再進(jìn)行更新��,由此可以解決IPsec隧道的震蕩問(wèn)題�����。
[0059] 在本發(fā)明的實(shí)施方式中�,預(yù)設(shè)時(shí)長(zhǎng)由用戶根據(jù)網(wǎng)絡(luò)狀態(tài)進(jìn)行配置。優(yōu)選的����,預(yù)設(shè)時(shí) 長(zhǎng)為一個(gè)周期,例如10分鐘�����。
[0060] 在本發(fā)明的一個(gè)實(shí)施方式中���,如果判斷模塊4判斷協(xié)商報(bào)文的出物理接口的報(bào)文 處理速度小于預(yù)設(shè)上限����,則IPsec隧道設(shè)置模塊1斷開IPsec隧道。需要說(shuō)明的是�,IPsec 隧道設(shè)置模塊1斷開IPsec隧道是在滿足一定條件下的主動(dòng)實(shí)施的斷開,而并非現(xiàn)有技術(shù) 中由于協(xié)商失敗導(dǎo)致的被動(dòng)斷開�。具體來(lái)說(shuō)����,由于此時(shí)報(bào)文的出物理接口的報(bào)文處理速度 小于預(yù)設(shè)上限,表明此時(shí)網(wǎng)絡(luò)發(fā)生擁堵���。在該時(shí)機(jī)下斷開IPsec隧道��,不對(duì)IPsec隧道內(nèi)的 報(bào)文進(jìn)行加密和解密����,即對(duì)IPsec隧道的報(bào)文暫時(shí)斷流�。這種對(duì)IPsec隧道的暫時(shí)屏蔽措 施在避免隧道震蕩的同時(shí),保證背景流有限通過(guò)�����。
[0061] 并且����,IPsec隧道只是在一定條件下的暫時(shí)斷開�,當(dāng)報(bào)文的出物理接口的報(bào)文處理 速度等于或大于預(yù)設(shè)上限����,即網(wǎng)絡(luò)擁堵狀況解除,端口的流量帶寬夠用時(shí)�����,重新建立IPsec 隧道��,恢復(fù)IPsec隧道內(nèi)的報(bào)文的加密和解密�,從而盡量做到不影響IPsec隧道的正常功 能。
[0062] 判斷模塊4在檢測(cè)到IPsec隧道設(shè)置有入加密報(bào)文時(shí)���,判斷IPsec隧道可以對(duì)報(bào) 文正常加密���。如果判斷模塊4判斷IPsec隧道沒(méi)有入加密報(bào)文或者解密失敗,則IPsec隧 道設(shè)置模塊1斷開IPsec隧道���。
[0063] 根據(jù)本發(fā)明實(shí)施方式的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制系統(tǒng)�,在發(fā)現(xiàn)協(xié)商失敗 后�����,不立即進(jìn)行IPsec隧道刪除,而是綜合考慮協(xié)商報(bào)文的出物理接口的報(bào)文處理速度和 IPsec隧道是否可以對(duì)報(bào)文正常加密和解密�,選擇斷開IPsec隧道或者延時(shí)預(yù)設(shè)時(shí)長(zhǎng),錯(cuò)過(guò) 流量高峰再進(jìn)行重新協(xié)商���,從而解決IPsec隧道的震蕩問(wèn)題�。
[〇〇64] 應(yīng)當(dāng)理解的是����,本發(fā)明的上述【具體實(shí)施方式】?jī)H僅用于示例性說(shuō)明或解釋本發(fā)明的 原理��,而不構(gòu)成對(duì)本發(fā)明的限制��。因此�����,在不偏離本發(fā)明的精神和范圍的情況下所做的任何 修改����、等同替換、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。此外,本發(fā)明所附權(quán)利要求旨 在涵蓋落入所附權(quán)利要求范圍和邊界����、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修 改例。
【權(quán)利要求】
1. 一種用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法����,包括如下步驟: 建立網(wǎng)絡(luò)設(shè)備間的IPsec隧道,協(xié)商生成IPsec隧道的一級(jí)隧道IKE SA和二級(jí)隧道 IPsec SA �����; 在檢測(cè)到所述一級(jí)隧道IKE SA的超時(shí)時(shí)間或者二級(jí)隧道IPsec SA的超時(shí)時(shí)間達(dá)到預(yù) 設(shè)時(shí)間后����,發(fā)送協(xié)商報(bào)文; 如果沒(méi)有收到回應(yīng)報(bào)文���,則判斷所述協(xié)商報(bào)文的出物理接口的報(bào)文處理速度是否等于 或大于預(yù)設(shè)上限��; 如果報(bào)文處理速度等于或大于預(yù)設(shè)上限���,則進(jìn)一步判斷所述IPsec隧道是否可以對(duì)報(bào) 文正常加密和解密; 如果是����,則判斷所述IPsec隧道可使用�����,等待預(yù)設(shè)時(shí)長(zhǎng)后���,重新發(fā)送所述協(xié)商報(bào)文。
2. 根據(jù)權(quán)利要求1所述的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法��,其中����,如果所述協(xié)商 報(bào)文的出物理接口的報(bào)文處理速度小于預(yù)設(shè)上限���,則斷開所述IPsec隧道����。
3. 根據(jù)權(quán)利要求1所述的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法��,其中��,在檢測(cè)到所述 IPsec隧道設(shè)置有入加密報(bào)文時(shí)����,判斷所述IPsec隧道可以對(duì)報(bào)文正常加密���。
4. 根據(jù)權(quán)利要求1所述的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法,其中�,如果判斷所述 IPsec隧道不可以對(duì)報(bào)文正常加密或解密,則斷開所述IPsec隧道���。
5. 根據(jù)權(quán)利要求1所述的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制方法���,其中,所述預(yù)設(shè)時(shí)長(zhǎng) 由用戶根據(jù)網(wǎng)絡(luò)狀態(tài)進(jìn)行配置�����。
6. -種用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制系統(tǒng)�����,包括: IPsec隧道設(shè)置模塊���,用于建立網(wǎng)絡(luò)設(shè)備間的IPsec隧道并協(xié)商生成IPsec隧道的一級(jí) 隧道IKE SA和二級(jí)隧道IPsec SA ; 超時(shí)時(shí)間檢測(cè)模塊���,用于檢測(cè)所述一級(jí)隧道IKE SA的超時(shí)時(shí)間或者二級(jí)隧道IPsec SA 的超時(shí)時(shí)間是否達(dá)到預(yù)設(shè)時(shí)間�����; 通信模塊�����,所述通信模塊連接至所述超時(shí)時(shí)間檢測(cè)模塊����,用于在所述超時(shí)時(shí)間檢測(cè)模 塊檢測(cè)到所述一級(jí)隧道IKE SA的超時(shí)時(shí)間或者二級(jí)隧道IPsec SA的超時(shí)時(shí)間達(dá)到預(yù)設(shè)時(shí) 間后����,發(fā)送協(xié)商報(bào)文;以及 判斷模塊�,所述判斷模塊連接至所述通信模塊和所述IPsec隧道設(shè)置模塊,用于在所 述通信模塊沒(méi)有收到回應(yīng)報(bào)文后�����,判斷所述協(xié)商報(bào)文的出物理接口的報(bào)文處理速度是否等 于或大于預(yù)設(shè)上限�����,如果是則進(jìn)一步判斷所述IPsec隧道是否可以對(duì)報(bào)文正常加密和解 密�,如果是則判斷所述IPsec隧道可使用,等待預(yù)設(shè)時(shí)長(zhǎng)后�,由所述通信模塊重新發(fā)送所述 協(xié)商報(bào)文。
7. 根據(jù)權(quán)利要求6所述的設(shè)備的IPsec隧道的控制系統(tǒng)����,其中,如果所述判斷模塊判斷 協(xié)商報(bào)文的出物理接口的報(bào)文處理速度小于預(yù)設(shè)上限����,則所述IPsec隧道設(shè)置模塊斷開所 述IPsec隧道。
8. 根據(jù)權(quán)利要求6所述的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制系統(tǒng)��,其中��,所述判斷模塊 在檢測(cè)到所述IPsec隧道設(shè)置有入加密報(bào)文時(shí)�,判斷所述IPsec隧道可以對(duì)報(bào)文正常加密。
9. 根據(jù)權(quán)利要求6所述的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制系統(tǒng)�,其中,如果所述判斷 模塊判斷所述IPsec隧道不可以對(duì)報(bào)文正常加密或解密�����,則所述IPsec隧道設(shè)置模塊斷開 所述IPsec隧道����。
10.根據(jù)權(quán)利要求6所述的用于網(wǎng)絡(luò)設(shè)備的IPsec隧道的控制系統(tǒng)�,其中��,所述預(yù)設(shè)時(shí) 長(zhǎng)由用戶根據(jù)網(wǎng)絡(luò)狀態(tài)進(jìn)行配置��。
【文檔編號(hào)】H04L12/46GK104104573SQ201410382421
【公開日】2014年10月15日 申請(qǐng)日期:2014年8月6日 優(yōu)先權(quán)日:2014年8月6日
【發(fā)明者】陳海濱, 于立洋, 章敏, 王禹, 王智民 申請(qǐng)人:漢柏科技有限公司