本发明专利技术公开了一种IPSEC隧道恢复方法、分支出口设备和IPSEC VPN系统,涉及通信领域,用于解决长UDP流被中间网络设备丢弃或抑制导致IPSEC隧道断开需要人工介入恢复的问题。IPSEC隧道恢复方法包括:分支出口设备随机创建IPSEC备用端口;分支出口设备使用IPSEC默认端口作为源端口与总部出口设备进行IKE协商以建立第一IPSEC隧道;IKE协商成功后,分支出口设备与总部设备通过第一IPSEC隧道进行第一内网报文的通信;当第一内网报文的时间戳无更新时,分支出口设备触发第一DPD探测;如果第一DPD探测失败,则分支出口设备断开第一IPSEC隧道,并分别使用IPSEC默认端口和IPSEC备用端口作为源端口与总部出口设备进行IKE协商以建立第二IPSEC隧道。本发明专利技术实施例应用于IPSEC VPN。
【技术实现步骤摘要】
本专利技术涉及通信领域,尤其涉及一种IPSEC隧道恢复方法、分支出口设备和IPSECVPN系统。
技术介绍
IPSEC(英文全称:IPsecurity,因特网协议安全)VPN(英文全称:VirtualPrivateNetwork,中文全称:虚拟专用网)隧道不一定一直都有流量,此时会触发发送DPD(英文全称:deadpeerdetection,中文全称:失效对等体检测)探测报文,DPD探测报文是一种UDP报文。由于UDP流是无连接的,中间网络设备经常会对五元组(源IP地址、目的IP地址、源端口、目的端口、协议号)固定不变的长UDP流进行丢弃或抑制。一旦IPSEC的DPD探测报文被丢弃或抑制,那么IPSECVPN隧道就会断开,从而导致内网资源访问异常。而这时如果重新协商,中间网络设备的流表的五元组可能还未老化,重新协商还是使用原来的五元组,导致协商报文还是被中间网络设备丢弃或抑制,导致隧道无法正常建立。现有技术通常采用人工介入关闭IPSEC功能,等待十几分钟之后,然后重新配置IPSEC使能,此时由于中间网络设备的流表已经老化了,从而能建立新的IPSEC隧道,正常进行数据转发;或者通过人工清除中间网络设备的流表,然后重新配置IPSEC使能。但是该方案仍然需要人工操作不便于快速重新建立IPSECVPN隧道。
技术实现思路
本专利技术的实施例提供一种IPSEC隧道恢复方法、分支出口设备和IPSECVPN系统,用于解决长UDP流被中间网络设备丢弃或抑制导致IPSEC隧道断开需要人工介入恢复的问题。为达到上述目的,本专利技术的实施例采用如下技术方案:第一方面,提供了一种IPSEC隧道恢复方法,包括:分支出口设备随机创建IPSEC备用端口;所述分支出口设备使用IPSEC默认端口作为源端口与总部出口设备进行因特网密钥交换协议IKE协商以建立第一IPSEC隧道;IKE协商成功后,所述分支出口设备与所述总部设备通过所述第一IPSEC隧道进行第一内网报文的通信;当所述第一内网报文的时间戳无更新时,所述分支出口设备触发第一失效对等体检测DPD探测;如果所述第一DPD探测失败,则所述分支出口设备断开所述第一IPSEC隧道,并分别使用所述IPSEC默认端口和所述IPSEC备用端口作为源端口与所述总部出口设备进行IKE协商以建立第二IPSEC隧道。第二方面,提供了一种分支出口设备,包括:创建单元,用于随机创建因特网协议安全IPSEC备用端口;协商单元,用于使用IPSEC默认端口作为源端口与总部出口设备进行因特网密钥交换协议IKE协商以建立第一IPSEC隧道;通信单元,用于IKE协商成功后,与所述总部设备通过所述第一IPSEC隧道进行第一内网报文的通信;探测单元,用于当所述第一内网报文的时间戳无更新时,触发第一失效对等体检测DPD探测;所述协商单元,还用于如果所述第一DPD探测失败,则断开所述第一IPSEC隧道,并分别使用所述IPSEC默认端口和所述IPSEC备用端口作为源端口与所述总部出口设备进行IKE协商以建立第二IPSEC隧道。第三方面,提供了一种因特网协议安全虚拟专用网IPSECVPN系统,包括如第二方面所述的分支出口设备。本专利技术的实施例提供的IPSEC隧道恢复方法、分支出口设备和IPSECVPN系统,通过分支出口设备使用IPSEC默认端口作为源端口与总部出口设备进行IKE协商以建立第一IPSEC隧道,并使用第一IPSEC隧道进行内网报文的通信,当内网报文的时间戳无更新时触发DPD探测,如果DPD探测失败,说明五元组固定不变的长UDP报文有可能被中间网络设备丢弃或抑制导致通信失败,此时分支出口设备断开第一IPSEC隧道,并分别使用IPSEC默认端口和IPSEC备用端口作为源端口与总部出口设备进行IKE协商以建立第二IPSEC隧道,此时,由于是新的IPSEC备用端口作为源端口,改变了五元组,因此通信过程中的长UDP报文不会被中间网络设备丢弃或抑制,解决了长UDP流被中间网络设备丢弃或抑制导致IPSEC隧道断开需要人工介入恢复的问题。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术的实施例提供的IPSECVPN系统的结构示意图;图2为本专利技术的实施例提供的一种IPSEC隧道恢复方法的流程示意图;图3为本专利技术的实施例提供的IKE协商的第一阶段的主模式的报文交互示意图;图4为本专利技术的实施例提供的IKE协商的第一阶段的野蛮模式的报文交互示意图;图5为本专利技术的实施例提供的IKE协商的第二阶段的报文交互示意图;图6为本专利技术的实施例提供的进行IKE协商以建立第二IPSEC隧道的流程示意图;图7为本专利技术的实施例提供的另一种IPSEC隧道恢复方法的流程示意图;图8为本专利技术的实施例提供的进行IKE协商以重建第一IPSEC隧道的流程示意图;图9为本专利技术的实施例提供的分支出口设备的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。随着网络的不断发展和扩张,网络的安全性受到越来越多的关注。虽然在过去的很多年中,很多方法被提出来满足网络的安全需求,但是人们真正需要的是在IP(英文全称:internetprotocol,中文全称:因特网协议)层提供安全性的方法,这样可以使TCP(英文全称:transmissioncontrolprotocol,中文全称:传输控制协议)/IP高层的所有协议受益。于是就产生了为IP通信带来安全性的协议IPSEC。IPSEC并非一个单独的协议,而是一系列为IP网络提供完成安全性的协议和服务的集合。这些服务和协议结合起来提供不同类型的保护。为上次协议和应用提供透明的安全服务。IPSEC中的一些基本概念:SA(英文全称:securityassociation,中文全称:安全联盟):为安全目的创建的一个单向的逻辑连接,所有经过同一SA的数据会得到相同的服务、AH(英文全称:authenticationheader,中文全称:认证头部)或者ESP(英文全称:encapsulatingsecuritypayload,中文全称:封装安全负载),如果同一个数据流需要同时使用AH和ESP的话,那么需要两个嵌套的SA,双向通信维护一对SA。SADATABASE(英文全称:securityassociationdatabase,中文全称:安全联盟数据库):用于存放和SA关联的所有状态数据的存储结构。安全参数索引(英文全称:securityparametersindex):AH或者ESP报头中的32位数值,用于在接收端识别数据流到SA的绑定关系。SPD(英文全称:securitypolicydatabase,中文全称:安全策略数据库):指明所有IP数据报文应使用何种安全服务,以及如何获得这些服务的数本文档来自技高网...
【技术保护点】
一种因特网协议安全IPSEC隧道恢复方法,其特征在于,包括:分支出口设备随机创建IPSEC备用端口;所述分支出口设备使用IPSEC默认端口作为源端口与总部出口设备进行因特网密钥交换协议IKE协商以建立第一IPSEC隧道;IKE协商成功后,所述分支出口设备与所述总部设备通过所述第一IPSEC隧道进行第一内网报文的通信;当所述第一内网报文的时间戳无更新时,所述分支出口设备触发第一失效对等体检测DPD探测;如果所述第一DPD探测失败,则所述分支出口设备断开所述第一IPSEC隧道,并分别使用所述IPSEC默认端口和所述IPSEC备用端口作为源端口与所述总部出口设备进行IKE协商以建立第二IPSEC隧道。
【技术特征摘要】
1.一种因特网协议安全IPSEC隧道恢复方法,其特征在于,包括:分支出口设备随机创建IPSEC备用端口;所述分支出口设备使用IPSEC默认端口作为源端口与总部出口设备进行因特网密钥交换协议IKE协商以建立第一IPSEC隧道;IKE协商成功后,所述分支出口设备与所述总部设备通过所述第一IPSEC隧道进行第一内网报文的通信;当所述第一内网报文的时间戳无更新时,所述分支出口设备触发第一失效对等体检测DPD探测;如果所述第一DPD探测失败,则所述分支出口设备断开所述第一IPSEC隧道,并分别使用所述IPSEC默认端口和所述IPSEC备用端口作为源端口与所述总部出口设备进行IKE协商以建立第二IPSEC隧道。2.根据权利要求1所述的方法,其特征在于,所述分别使用所述IPSEC默认端口和所述IPSEC备用端口作为源端口与所述总部出口设备进行IKE协商以建立第二IPSEC隧道,包括:所述分支出口设备使用所述IPSEC默认端口作为源端口向所述总部出口设备发送协商报文以重新进行IKE协商;如果所述协商报文协商失败,则所述分支出口设备使用所述IPSEC备用端口作为源端口向所述总部出口设备重新发送所述协商报文,并且使用所述IPSEC备用端口作为源端口向所述总部出口设备发送后续的协商报文,以建立第二IPSEC隧道。3.根据权利要求1所述的方法,其特征在于,在所述分别使用所述IPSEC默认端口和所述IPSEC备用端口作为源端口与所述总部出口设备进行IKE协商以建立第二IPSEC隧道之后,所述方法还包括:所述分支出口设备与所述总部设备通过所述第二IPSEC隧道进行第二内网报文的通信;当所述第二内网报文的时间戳无更新时,所述分支出口设备触发第二DPD探测;如果所述第二DPD探测失败,则所述分支出口设备断开所述第二IPSEC隧道,并且所述分支出口设备分别使用所述IPSEC备用端口和所述IPSEC默认端口作为源端口与所述总部出口设备进行IKE协商以重建所述第一IPSEC隧道。4.根据权利要求3所述的方法,其特征在于,所述分支出口设备分别使用所述IPSEC备用端口和所述IPSEC默认端口作为源端口与所述总部出口设备进行IKE协商以重建所述第一IPSEC隧道,包括:所述分支出口设备使用所述IPSEC备用端口作为源端口向所述总部出口设备发送协商报文以重新进行IKE协商;如果所述协商报文协商失败,则所述分支出口设备使用所述IPSEC默认端口作为源端口向所述总部出口设备重新发送所述协商报文,并且使...
【专利技术属性】
技术研发人员:董圆,
申请(专利权)人:锐捷网络股份有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。