[發明專利]用于網絡設備的IPsec隧道的控制方法和系統在審
| 申請號: | 201410382421.5 | 申請日: | 2014-08-06 |
| 公開(公告)號: | CN104104573A | 公開(公告)日: | 2014-10-15 |
| 發明(設計)人: | 陳海濱;于立洋;章敏;王禹;王智民 | 申請(專利權)人: | 漢柏科技有限公司 |
| 主分類號: | H04L12/46 | 分類號: | H04L12/46 |
| 代理公司: | 北京天奇智新知識產權代理有限公司 11340 | 代理人: | 謝磊 |
| 地址: | 300384 天津市西青*** | 國省代碼: | 天津;12 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 用于 網絡設備 ipsec 隧道 控制 方法 系統 | ||
技術領域
本發明涉及網絡通信技術領域,特別涉及一種用于網絡設備的IPsec隧道的控制方法和系統。
背景技術
多核網絡設備對報文進行處理時,首先處理轉發報文,其次處理主機報文,這樣可以保證設備的吞吐量,增加性能。但是對于其他功能來說,主機報文如果接收失敗可以重發,不會有嚴重影響,但對于IPsec(Internet?Protocol?Security,Internet協議安全性)隧道而言,協商報文即是主機報文,此時如果協商報文接收失敗就會導致IPsec隧道斷開。由于協商報文失敗的原因可能是由多方面造成,并且這種原因也是會隨著網絡狀態的改變而消失的。如果僅僅因為協商報文接收失敗就斷開IPsec隧道,從而會對用戶來說會出現隧道震蕩的情況,而且草率的斷開IPsec隧道,而沒有根據當前網絡狀態的變化適時的恢復IPsec隧道,會影響IPsec隧道的正常功能。
發明內容
本發明鑒于上述情況而作出,其目的是提供一種用于網絡設備的IPsec隧道的控制方法,該方法可以解決IPsec隧道的震蕩問題。
為實現上述目的,本發明提供一種用于網絡設備的IPsec隧道的控制方法,包括如下步驟:
建立網絡設備間的IPsec隧道,協商生成IPsec隧道的一級隧道IKE?SA和二級隧道IPsec?SA;
在檢測到所述一級隧道IKE?SA的超時時間或者二級隧道IPsec?SA的超時時間達到預設時間后,發送協商報文;
如果沒有收到回應報文,則判斷所述協商報文的出物理接口的報文處理速度是否等于或大于預設上限;
如果報文處理速度等于或大于預設上限,則進一步判斷所述IPsec隧道是否可以對報文正常加密和解密;
如果是,則判斷所述IPsec隧道可使用,等待預設時長后,重新發送所述協商報文。
根據本發明的一個方面,如果所述協商報文的出物理接口的報文處理速度小于預設上限,則斷開所述IPsec隧道。
根據本發明的另一個方面,在檢測到所述IPsec隧道設置有入加密報文時,判斷所述IPsec隧道可以對報文正常加密。
根據本發明的又一方面,如果判斷所述IPsec隧道不可以對報文正常加密或解密,則斷開所述IPsec隧道。
根據本發明的再一方面,所述預設時長由用戶根據網絡狀態進行配置。
本發明提供的用于網絡設備的IPsec隧道的控制方法,在發現協商失敗后,不立即進行IPsec隧道刪除,而是綜合考慮協商報文的出物理接口的速度和IPsec隧道是否可以對報文正常加密和解密,選擇斷開IPsec隧道或者延時一定時間,錯過流量高峰再進行重新協商,從而解決IPsec隧道的震蕩問題。
本發明的又一個目的是提供一種用于網絡設備的IPsec隧道的控制系統,該系統可以解決IPsec隧道的震蕩問題。
為實現上述目的,本發明提供一種用于網絡設備的IPsec隧道的控制系統,包括:IPsec隧道設置模塊,用于建立網絡設備間的IPsec隧道并協商生成IPsec隧道的一級隧道IKE?SA和二級隧道IPsec?SA;超時時間檢測模塊,用于檢測所述一級隧道IKE?SA的超時時間或者二級隧道IPsec?SA的超時時間是否達到預設時間;通信模塊,所述通信模塊連接至所述超時時間檢測模塊,用于在所述超時時間檢測模塊檢測到所述一級隧道IKE?SA的超時時間或者二級隧道IPsec?SA的超時時間達到預設時間后,發送協商報文;判斷模塊,所述判斷模塊連接至所述通信模塊和所述IPsec隧道設置模塊,用于在所述通信模塊沒有收到回應報文后,判斷所述協商報文的出物理接口的報文處理速度是否等于或大于預設上限,如果是則進一步判斷所述IPsec隧道是否可以對報文正常加密和解密,如果是則判斷所述IPsec隧道可使用,等待預設時長后,由所述通信模塊重新發送所述協商報文。
根據本發明的一個方面,如果所述判斷模塊判斷協商報文的出物理接口的報文處理速度小于預設上限,則所述IPsec隧道設置模塊斷開所述IPsec隧道。
根據本發明的又一方面,如果所述判斷模塊判斷協商報文的出物理接口的報文處理速度小于預設上限,則所述IPsec隧道設置模塊斷開所述IPsec隧道。
根據本發明的再一方面,如果所述判斷模塊判斷所述IPsec隧道不可以對報文正常加密或解密,則所述IPsec隧道設置模塊斷開所述IPsec隧道。
根據本發明的又一方面,所述預設時長由用戶根據網絡狀態進行配置。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于漢柏科技有限公司,未經漢柏科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201410382421.5/2.html,轉載請聲明來源鉆瓜專利網。





