技術領域

本發明涉及計算機網絡技術領域，特別涉及一種ipsec狀態恢復方法。

背景技術

防火墻是用來保護網絡中計算機安全的重要設備，一旦防火墻發生故障，會給政府、企業造成不小的損失，為了解決防火墻單點故障引起的整個網絡癱瘓問題，業內工作者提出了兩臺防火墻實時熱備的功能，即防火墻e為主防火墻，防火墻f為備防火墻；如圖2所示，在步驟A中，主防火墻e和遠端防火墻g建立ipsec隧道，數據通過該ipsec隧道進行傳輸；在步驟B中，當主防火墻e異常后，主防火墻e和備防火墻f進行主備防火墻的切換，此時主防火墻e變成了備防火墻e，備防火墻f變成了主防火墻f，所有數據流都被切換到主防火墻f上；在步驟C中，遠端防火墻g并不知道對端異常，仍然發送加密的esp或ah報文給主防火墻f，由于現有的設備大部分不支持ipsec隧道狀態同步，則此時主防火墻f接收到加密的esp或ah報文后，發現沒有對應的ipsec隧道進行報文解密，就會丟棄此報文；在步驟D中，遠端防火墻g只有通過長時間的dpd探測或keepalive探測才能發現對端異常，刪除本端ipsec隧道，與主防火墻f重新建立ipsec隧道；而等待dpd探測或keepalive探測需要較長的時間，整個防火墻系統在此期間處于癱瘓狀態，導致網絡數據斷流的時間較長，因此，現有技術確有待于提高。

發明內容

針對現有技術存在的不足，本發明提出了一種主備防火墻切換后的ipsec狀態快速恢復的方法，并通過以下的技術方案予以實現：

一種ipsec狀態恢復方法，包括以下步驟：

S1：主防火墻a與遠端防火墻c建立ipsec隧道；

S2：如果主防火墻a異常，主防火墻a和備防火墻b進行主備防火墻的變換，主防火墻a變換為備防火墻a，備防火墻b變換為主防火墻b；

S3：主防火墻b接收加密報文，如果主防火墻b的ipsec隧道狀態不同步，則執行步驟S4，如果主防火墻b的ipsec隧道狀態同步，則結束；

S4：主防火墻b發起反向ike協商，與遠端防火墻c建立ipsec隧道。

所述步驟S4中，主防火墻b根據所述加密報文的目的地址找到相應的ipsec隧道屬性配置，建立由主防火墻b到遠端防火墻c的ipsec隧道。

所述步驟S4進一步包括設置ipsec隧道的生存時間。

所述步驟S4進一步包括在主防火墻b發起反向ike協商之前，判斷已啟動時間長度是否超出所述ipsec隧道的生存時間：若是，則主防火墻b發起反向ike協商；若不是，則主防火墻b將接收到的加密報文直接丟棄；其中，所述已啟動時間長度是指從主備防火墻切換到主防火墻b接收到第一個加密報文的時間段。

所述步驟S4中，遠端防火墻c與主防火墻b建立新的ipsec隧道后，直接將與主防火墻a建立的ipsec隧道丟棄。

在本發明中，當主防火墻a和備防火墻b切換后，新的主防火墻b接收到沒有對應的ipsec隧道能夠解密的esp或ah報文時，根據接收到的加密報文的目的地址發起反向ike協商來建立ipsec隧道，解決了現有技術中單純的靠keepalive或dpd來感知對端異常的問題，且無需像dpd或keepalive那樣等待，能夠減少斷流的時間。

附圖說明

圖1為本發明的流程圖；

圖2為現有技術的流程圖。

具體實施方式

下面對于本發明所提出的一種ipsec狀態恢復方法，結合附圖和實施例詳細說明。

實施例1：

本發明提供一種ipsec狀態恢復方法，包括以下步驟：

S1：主防火墻a與遠端防火墻c建立ipsec隧道；

S2：如果主防火墻a異常，主防火墻a和備防火墻b進行主備防火墻的變換，主防火墻a變換為備防火墻a，備防火墻b變換為主防火墻b；

S3：主防火墻b接收加密報文，如果主防火墻b的ipsec隧道狀態不同步，則執行步驟S4，如果主防火墻b的ipsec隧道狀態同步，則結束；

S4：主防火墻b發起反向ike協商，與遠端防火墻c建立ipsec隧道。

所述步驟S4中，主防火墻b根據所述加密報文的目的地址找到相應的ipsec隧道屬性配置，建立由主防火墻b到遠端防火墻c的ipsec隧道。

所述步驟S4進一步包括設置ipsec隧道的生存時間。