本發明公開一種IPsec隧道連通性快速檢測方法、檢測系統及存儲介質，檢測方法包括以下步驟：步驟一，連通性檢測參數協商，IPsec隧道兩端發送檢測參數控制報文，進行檢測參數協商，所述連通性檢測控制報文用于隧道兩側對檢測參數的通告，以及參數協商結果應答；步驟二，IPsec隧道連通性檢測，參數協商成功后，按協商參數定時發送連通性檢測報文進行隧道的連通性檢測。本發明通過使用基于IPsec封裝的擴展協議，使手工配置密鑰的IPsec端點間隧道連通性能夠快速檢測。

技術領域

本申請涉及通信技術領域，尤其是涉及一種IPsec隧道連通性快速檢測方法、檢測系統及存儲介質。

背景技術

在IPsec中，密鑰配置方式由兩種：一是通過手工配置（可以通過SDN控制器下發或自動化配置）；另一種是通過IKE協商。其中IKE協商通過DPD(dead peer detection)檢測隧道的連通性，但其檢測時間周期較長，并且在手工配置應用中沒有對應的方法。

在當前的SD-WAN組網中，密鑰可以通過SDN控制器通過安全通道下發到設備節點，相當于是一種手工配置，無需部署IKE協議。在跨管理集群部署隧道進行通信時，一般會在集群邊界進行隧道的雙歸部署，提高跨集群通信鏈路可靠性，但如果沒有快速檢測機制，會造成跨集群業務在一定時間內出現流量空洞。

發明內容

針對于上述現有技術的不足，本發明通過使用基于IPsec封裝的擴展協議，使手工配置密鑰的IPsec端點間隧道連通性能夠快速檢測。

本發明為一種IPsec隧道連通性快速檢測方法，所述檢測方法包括以下步驟：

步驟一，連通性檢測參數協商，IPsec隧道兩端發送檢測參數控制報文，進行檢測參數協商，所述連通性檢測控制報文用于隧道兩側對檢測參數的通告，以及參數協商結果應答；

步驟二，IPsec隧道連通性檢測，參數協商成功后，按協商參數定時發送連通性檢測報文進行隧道的連通性檢測。

進一步的，所述連通性檢測控制報文定義如下：

Next Header：值為0xFF，表明是隧道控制協議頭，內部不需要包含用戶負載數據；

Type = 3：指明是快速檢測隧道連通性報文；

Len = 4：連通性檢測數據長度；

P：1bit，值為0，標識該檢測報文是控制報文，用于隧道兩端連通性檢測參數協商；

O：1bit，0：request；1：reply，檢測控制報文的類型；

R：2bit，保留；

Code：4bit，0x0：協商成功；其他：協商失敗，具體錯誤碼定義如下：

0x1：CV type不支持；

0x2：檢測周期協商失敗；

0x3：檢測報文應答未收到最大次數協商失?。?/p>

其他值保留；

VC Type：連通性檢測類型，0x01：ICMP ping；0x02：用戶自定義；0x04, 0x08, 0x10,0x20, 0x40,0x80 保留擴展；

Period：檢測周期；

Max Time：檢測應答未收到最大次數，當達到最大次數時，認為隧道連通故障。

更進一步的，所述連通性檢測報文定義如下：

Next Header：值為0xFF，表明是隧道控制協議頭，內部不需要包含用戶負載數據；

Type = 3：指明是快速檢測隧道連通性報文；

Len = 4：連通性檢測數據長度；

P：1bit，值為1，標識是連通性檢測報文；

O：1bit，0：request；1：reply；檢測控制報文的類型；

Reserved1：6bit，保留；