本發明涉及互聯網領域ip安全協議，其公開了一種快速檢測IPSec對等體失效的系統和方法，解決傳統技術中檢測對等體失效的手段存在的檢測時間長、需要在鏈路上傳送報文或檢測范圍有限的問題。該方法包括以下步驟：A.兩端IPSec對等體之間建立IPSec隧道；B.每當路由表有更新時，進行一次路由匹配，判斷對端IPSec對等體是否路由可達，若存在匹配的路由條目，則進入步驟C，否則，進入步驟D；C.維持該IPSec隧道存活，正常收發報文，返回步驟B；D.拆除該IPSec隧道，刪除相關SA和注入路由。本發明適用于通信網絡中快速故障檢測。

技術領域

本發明涉及互聯網領域IP安全協議，具體涉及一種快速檢測IPSec(IP協議安全)對等體失效的系統及方法。

背景技術

目前IPSec作為一種安全的VPN(虛擬專用網絡)技術在企業中得到廣泛應用。通過靜態配置或者動態協商加密算法、秘鑰等安全參數建立一條具有安全性的VPN隧道。

若網絡中對于同一條流，存在兩條IPSec隧道，當主用隧道斷開，流量將切換到備用隧道，實現切換的前提是設備能快速檢測對等體失效。

在傳統技術中，檢測對等體失效主要依靠DPD(對等體存活檢測)方式，即向對等體發送檢測報文，如果在一定時間內沒有得到回應，則認為對等體失效。該技術解決了無法感知IPSec對等體狀態的問題，但需要在鏈路上增加報文的收發，而且當出現故障時仍然需要一定時間才能感知到對等體失效。

作為DPD的補充，人們還提出了其他的一些檢測方法，如通過構造特殊的檢測報文，從而使對等體不僅能感知對端IKE SA(因特網密鑰交換安全聯盟)狀態，還能感知IPSecSA狀態，其特點如DPD，也需要在鏈路上傳送報文；此外，還有通過出接口狀態來判斷對等體狀態的方法，此方法不需要在鏈路上增加報文收發，但檢測范圍非常有限，譬如直連鏈路沒有故障但整個傳輸路徑中有故障時，此方法就無法感知對等體已失效。

發明內容

本發明所要解決的技術問題是：提出一種快速檢測IPSec對等體失效的系統和方法，解決傳統技術中檢測對等體失效的手段存在的檢測時間長、需要在鏈路上傳送報文或檢測范圍有限的問題。

本發明解決其技術問題所采用的技術方案是：一種快速檢測IPSec對等體失效的方法，包括以下步驟：

A.兩端IPSec對等體之間建立IPSec隧道；

B.每當路由表有更新時，進行一次路由匹配，判斷對端IPSec對等體是否路由可達，若存在匹配的路由條目，則進入步驟C，否則，進入步驟D；

C.維持當前IPSec隧道存活，正常收發報文，返回步驟B；

D.拆除當前IPSec隧道，刪除與該IPSec隧道關聯的SA和注入路由。

進一步，步驟A中，所述兩端IPSec對等體之間建立IPSec隧道包括：

兩端IPSec對等體協商建立至少兩條IPSec隧道，并選擇其中一條為主IPSec隧道，另一條為備份IPSec隧道，將主IPSec隧道作為當前IPSec隧道。

進一步，步驟B中，所述每當路由表有更新時，進行一次路由匹配包括：

每當路由表有更新時，在全局路由表中，對最長匹配IPSec對等體端點的路由進行一次路由匹配。

進一步，該方法還包括步驟：

E.將備份隧道作為兩端IPSec對等體的當前IPSec隧道。

此外，本發明的另一目的還在于提供一種快速檢測IPSec對等體失效的系統，其包括：

IPSec隧道建立模塊，用于與對等體對端之間建立IPSec隧道；