本發明實施例提供了一種IPsec診斷方法、裝置及本端設備。其中，方法應用于本端設備，可以包括：在接收到IPsec診斷指令時，確定所述IPsec診斷指令攜帶的第一對端地址所對應的出接口；判斷所述出接口所應用的IPsec策略中配置的第二對端地址與所述第一對端地址是否相同；如果所述第二對端地址與所述第一對端地址不同，則輸出用于表示所述IPsec策略配置錯誤的診斷結果。可以通過比較診斷條件中的第一對端地址和IPsec策略中的第二對端地址，以檢查IPsec策略中的對端地址是否設置正確，并且在IPsec策略中的對端地址設置不正確的情況下，輸出用于表示IPsec策略配置錯誤的診斷結果，即避免了因IPsec策略配置錯誤，導致IPsec診斷無法輸出診斷結果。

技術領域

本發明涉及網絡診斷技術領域，特別是涉及一種IPsec診斷方法、裝置及本端設備。

背景技術

為了提高通信的安全性，多個網絡設備之間可以通過IPsec(Internet ProtocolSecurity，互聯網協議安全性)連接進行通信。當IPsec連接出現故障時，可以通過IPsec診斷以確定導致故障的原因。

以診斷網絡設備A和網絡設備B之間的IPsec連接為例，相關技術中，網絡設備A可以是在本地查找與網絡設備B的地址對應的路由，如果不存在與網絡設備B的地址對應的路由，則輸出用于表示路由不可達的診斷結果。如果存在與網絡設備B的地址對應的路由，則查找與該路由對應的出接口，并確定該出接口是否應用有IPsec策略，如果該出接口沒有應用IPsec策略，輸出用于表示未應用或應用IPsec策略不存在的診斷結果。

如果該出接口應用有IPsec策略，則查找是否存在與該IPsec策略中所配置的對端地址(remote-address)和本端地址(local-address)匹配的IPsec隧道，如果該IPsec隧道存在，則輸出用于表示IPsec隧道存在的診斷結果。如果該IPsec隧道不存在，則進入等待狀態，并對每個接收到的協商報文，確定該協商報文是否滿足條件：所攜帶的本端地址和對端地址，分別與IPsec策略中所配置的對端地址和本端地址相匹配。直至接收到滿足該條件的協商報文，終止等待狀態，并基于該協商報文進行IPsec協商及診斷，以得到并輸出診斷結果。

但是，出于一些特殊原因(如配置時的疏忽、沒有及時更新)，IPsec策略中所配置的對端地址可能存在錯誤，進而無法接收到滿足上述條件的協商報文，導致網絡設備A一直處于等待狀態，無法輸出診斷結果。

發明內容

本發明實施例的目的在于提供一種IPsec診斷方法、裝置及本端設備，以實現降低因IPsec策略配置錯誤，導致IPsec診斷無法輸出診斷結果的可能性。

具體技術方案如下：

在本發明實施例的第一方面，提供了一種IPsec診斷方法，所述方法包括：

在接收到IPsec診斷指令時，確定所述IPsec診斷指令攜帶的第一對端地址所對應的出接口；

判斷所述出接口所應用的IPsec策略中配置的第二對端地址與所述第一對端地址是否相同；

如果所述第二對端地址與所述第一對端地址不同，則輸出用于表示所述IPsec策略配置錯誤的診斷結果。

在一種實施例中，所述方法還包括：

如果所述第二對端地址與所述第一對端地址相同，則判斷所述IPsec策略中配置的本端地址與所述出接口的地址是否相同；

如果所述IPsec策略中配置的本端地址與所述出接口的地址不同，則輸出用于表示所述IPsec策略配置錯誤的診斷結果。

在一種實施例中，所述方法還包括：