技術領域

本發明涉及網絡通信技術領域，特別涉及一種用于網絡設備的IPsec隧道的控制方法和系統。

背景技術

多核網絡設備對報文進行處理時，首先處理轉發報文，其次處理主機報文，這樣可以保證設備的吞吐量，增加性能。但是對于其他功能來說，主機報文如果接收失敗可以重發，不會有嚴重影響，但對于IPsec(Internet?Protocol?Security，Internet協議安全性)隧道而言，協商報文即是主機報文，此時如果協商報文接收失敗就會導致IPsec隧道斷開。由于協商報文失敗的原因可能是由多方面造成，并且這種原因也是會隨著網絡狀態的改變而消失的。如果僅僅因為協商報文接收失敗就斷開IPsec隧道，從而會對用戶來說會出現隧道震蕩的情況，而且草率的斷開IPsec隧道，而沒有根據當前網絡狀態的變化適時的恢復IPsec隧道，會影響IPsec隧道的正常功能。

發明內容

本發明鑒于上述情況而作出，其目的是提供一種用于網絡設備的IPsec隧道的控制方法，該方法可以解決IPsec隧道的震蕩問題。

為實現上述目的，本發明提供一種用于網絡設備的IPsec隧道的控制方法，包括如下步驟：

建立網絡設備間的IPsec隧道，協商生成IPsec隧道的一級隧道IKE?SA和二級隧道IPsec?SA；

在檢測到所述一級隧道IKE?SA的超時時間或者二級隧道IPsec?SA的超時時間達到預設時間后，發送協商報文；

如果沒有收到回應報文，則判斷所述協商報文的出物理接口的報文處理速度是否等于或大于預設上限；

如果報文處理速度等于或大于預設上限，則進一步判斷所述IPsec隧道是否可以對報文正常加密和解密；

如果是，則判斷所述IPsec隧道可使用，等待預設時長后，重新發送所述協商報文。

根據本發明的一個方面，如果所述協商報文的出物理接口的報文處理速度小于預設上限，則斷開所述IPsec隧道。

根據本發明的另一個方面，在檢測到所述IPsec隧道設置有入加密報文時，判斷所述IPsec隧道可以對報文正常加密。

根據本發明的又一方面，如果判斷所述IPsec隧道不可以對報文正常加密或解密，則斷開所述IPsec隧道。

根據本發明的再一方面，所述預設時長由用戶根據網絡狀態進行配置。

本發明提供的用于網絡設備的IPsec隧道的控制方法，在發現協商失敗后，不立即進行IPsec隧道刪除，而是綜合考慮協商報文的出物理接口的速度和IPsec隧道是否可以對報文正常加密和解密，選擇斷開IPsec隧道或者延時一定時間，錯過流量高峰再進行重新協商，從而解決IPsec隧道的震蕩問題。

本發明的又一個目的是提供一種用于網絡設備的IPsec隧道的控制系統，該系統可以解決IPsec隧道的震蕩問題。

為實現上述目的，本發明提供一種用于網絡設備的IPsec隧道的控制系統，包括：IPsec隧道設置模塊，用于建立網絡設備間的IPsec隧道并協商生成IPsec隧道的一級隧道IKE?SA和二級隧道IPsec?SA；超時時間檢測模塊，用于檢測所述一級隧道IKE?SA的超時時間或者二級隧道IPsec?SA的超時時間是否達到預設時間；通信模塊，所述通信模塊連接至所述超時時間檢測模塊，用于在所述超時時間檢測模塊檢測到所述一級隧道IKE?SA的超時時間或者二級隧道IPsec?SA的超時時間達到預設時間后，發送協商報文；判斷模塊，所述判斷模塊連接至所述通信模塊和所述IPsec隧道設置模塊，用于在所述通信模塊沒有收到回應報文后，判斷所述協商報文的出物理接口的報文處理速度是否等于或大于預設上限，如果是則進一步判斷所述IPsec隧道是否可以對報文正常加密和解密，如果是則判斷所述IPsec隧道可使用，等待預設時長后，由所述通信模塊重新發送所述協商報文。

根據本發明的一個方面，如果所述判斷模塊判斷協商報文的出物理接口的報文處理速度小于預設上限，則所述IPsec隧道設置模塊斷開所述IPsec隧道。

根據本發明的又一方面，如果所述判斷模塊判斷協商報文的出物理接口的報文處理速度小于預設上限，則所述IPsec隧道設置模塊斷開所述IPsec隧道。

根據本發明的再一方面，如果所述判斷模塊判斷所述IPsec隧道不可以對報文正常加密或解密，則所述IPsec隧道設置模塊斷開所述IPsec隧道。

根據本發明的又一方面，所述預設時長由用戶根據網絡狀態進行配置。