技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域，特別涉及一種防止dpd探測失敗導(dǎo)致ipsec隧道震蕩的方法。

背景技術(shù)

Ipsec隧道包括協(xié)議報(bào)文和數(shù)據(jù)報(bào)文兩種，其中，協(xié)議報(bào)文是由主機(jī)報(bào)文處理的ike報(bào)文；sa是Ipsec對(duì)等體間對(duì)某些要素的約定，Ipsec可以通過ike協(xié)商建立sa。所述ike協(xié)商在建立sa時(shí)分為兩個(gè)階段：第一協(xié)商階段和第二協(xié)商階段；所述第一協(xié)商階段用于生成對(duì)所述協(xié)議報(bào)文進(jìn)行加密的密鑰，即ike?sa；所述第二協(xié)商階段用于生成對(duì)所述數(shù)據(jù)報(bào)文加密的密鑰，即ipsec?sa，且在第二協(xié)商階段協(xié)商成功后發(fā)送數(shù)據(jù)報(bào)文。

但是，網(wǎng)絡(luò)上由于報(bào)文重傳等原因會(huì)導(dǎo)致ipsec對(duì)等體同時(shí)觸發(fā)ike協(xié)商，如防火墻a和防火墻b在所述第一協(xié)商階段同時(shí)發(fā)送請(qǐng)求協(xié)商報(bào)文，從而生成了原地址和目的地址完全相同的兩對(duì)ike?sa，舉例說明場景：

fwa---------------------------fwb

Ike?sa?a1--------------------------------ike?sa?b1

Ike?sa?a2--------------------------------ike?sa?b2

如上所述，這兩條ike?sa如果都是完整的狀態(tài)，則沒有任何問題，如果協(xié)商過程中只有一對(duì)兒ike?sa協(xié)商成功，則協(xié)商成功的ike?sa繼續(xù)進(jìn)行所述第二協(xié)商階段，以生成ipsec?sa；而另一對(duì)兒ike?sa協(xié)商失敗，且協(xié)商失敗的所述ike?sa的一端已經(jīng)協(xié)商完畢，具體場景如下：

Ike?sa?a1--------------------------------ike?sa?b1

Ike?sa?a2

協(xié)商失敗的ike?sa一端已經(jīng)協(xié)商完畢（即ike?sa?a2存在），另一端由于協(xié)議報(bào)文丟包導(dǎo)致沒有協(xié)商成功而沒有此ike?sa時(shí)（即相應(yīng)的ike?sa?b2不存在），此時(shí)ike?sa?a2發(fā)送dpd報(bào)文，而對(duì)端沒有對(duì)應(yīng)的ike?sa?b2來回應(yīng)所述dpd報(bào)文，則fw?a就會(huì)刪除本端dpd報(bào)文所對(duì)應(yīng)的ike?sa，同時(shí)刪除原地址和目的地址與該ike?sa相同的ipsec?sa，從而出現(xiàn)ipsec隧道震蕩。

基于此，現(xiàn)有技術(shù)確實(shí)有待于改善。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)的不足，本發(fā)明提供一種防止dpd探測失敗導(dǎo)致ipsec隧道震蕩的方法，使得在ipsec對(duì)等體同時(shí)觸發(fā)ike協(xié)商時(shí)，減少因ipsec隧道的錯(cuò)誤刪除而導(dǎo)致的ipsec隧道震蕩的問題。

為實(shí)現(xiàn)以上目的，本發(fā)明通過以下技術(shù)方案予以實(shí)現(xiàn)：

本發(fā)明提供一種防止dpd探測失敗導(dǎo)致ipsec隧道震蕩的方法，包括以下步驟：

S1、兩端ipsec對(duì)等體同時(shí)觸發(fā)ike協(xié)商，并完成ike?sa的協(xié)商；

S2、所述ipsec對(duì)等體連續(xù)發(fā)送多個(gè)dpd探測報(bào)文，并在預(yù)設(shè)周期內(nèi)，判斷該ipsec對(duì)等體是否收到對(duì)端ipsec對(duì)等體的dpd響應(yīng)探測報(bào)文，若是，則繼續(xù)完成ipsec?sa的協(xié)商；若不是，則執(zhí)行步驟S3；

S3、判斷是否有與該ipsec對(duì)等體的ike?sa原地址和目的地址相同的ike?sa，若沒有，則刪除該ipsec對(duì)等體的ike?sa，若有，則不刪除與該ipsec對(duì)等體的ike?sa原地址和目的地址相同的ike?sa其對(duì)應(yīng)的ipsec?sa。

優(yōu)選的，所述步驟S2進(jìn)一步包括：

所述ipsec對(duì)等體連續(xù)發(fā)送多個(gè)帶有cookie的dpd探測報(bào)文，并在預(yù)設(shè)周期內(nèi)，判斷該ipsec對(duì)等體是否收到對(duì)端ipsec對(duì)等體的dpd響應(yīng)探測報(bào)文。

優(yōu)選的，所述步驟S2進(jìn)一步包括：所述ipsec對(duì)等體連續(xù)發(fā)送5個(gè)帶有cookie的dpd探測報(bào)文。

優(yōu)選的，所述步驟S1進(jìn)一步包括：

兩端ipsec對(duì)等體同時(shí)觸發(fā)ike協(xié)商，并通過野蠻模式完成ike?sa的協(xié)商。

本發(fā)明提供一種防止dpd探測失敗導(dǎo)致ipsec隧道震蕩的方法，使得在ipsec對(duì)等體同時(shí)觸發(fā)ike協(xié)商時(shí)，通過優(yōu)化dpd的探測方式來減少因ipsec隧道的錯(cuò)誤刪除而導(dǎo)致的ipsec隧道震蕩的問題。

附圖說明

圖1為本發(fā)明一實(shí)施例的流程圖。

具體實(shí)施方式

下面對(duì)于本發(fā)明所提出的一種防止dpd探測失敗導(dǎo)致ipsec隧道震蕩的方法，結(jié)合附圖和實(shí)施例詳細(xì)說明。