一种同步方法、第一设备、第二设备和同步系统技术方案

本发明专利技术公开了一种同步方法，应用于第一设备，该方法包括根据与远端设备的IKE协商结果获取IPSec隧道信息；当在本设备保存所述IPSec隧道信息时，通过第一扩展的IKE报文将所述IPSec隧道信息发送给第二设备。本发明专利技术公开了一种同步方法，应用于第二设备，包括当接收到第一设备发送的第一扩展的IKE报文且满足预设条件时，从所述第一扩展的IKE报文中解析出IPSec隧道信息；并保存所述IPSec隧道信息。本发明专利技术还公开了一种同步系统、一种第一设备，和一种第二设备。一种第二设备。一种第二设备。

【技术实现步骤摘要】
一种同步方法、第一设备、第二设备和同步系统


[0001]本文涉及计算机网络技术，尤指一种同步方法、第一设备、第二设备和同步系统。

技术介绍

[0002]由于IPSec（IP Security）大部分情况下保护的都是比较重要的流量，所以对IPSec的可靠性、稳定性有很高的要求。因此在部署IPSec时，需要以高可用性方式部署。高可用性部署方案分为主
‑
备部署模式和主
‑
主部署模式。
[0003]对于主
‑
备部署，当主设备发生异常时，备设备的状态由“备”状态切换为“主”状态，并与远端设备协商新的IPSec隧道，备设备接管主设备的一切工作；对于主
‑
主部署，主
‑
主部署中的其中一个设备发生异常时，另一个设备与远端设备协商新的IPSec隧道，并立即接管异常设备的一切工作。但是由于旧的IPSec隧道并未超时，所以可能远端仍使用旧的IPSec隧道，但是本端并没有这些IPSec隧道的信息，本端因为缺少必要的隧道信息而无法正常加解密，导致IPSec流量中断。

技术实现思路

[0004]本申请提供了一种同步方法、第一设备、第二设备和同步系统，可以使主设备的IPSec隧道信息同步到备设备或者主
‑
主部署模式下的设备中的IPSec隧道信息同步，从而降低业务中断时间。
[0005]本申请提供了一种同步方法，应用于第一设备，包括，根据与远端设备的IKE协商结果获取IPSec隧道信息；当在本设备保存所述IPSec隧道信息时，通过第一扩展的IKE报文将所述IPSec隧道信息发送给第二设备。
[0006]一种示例性的实施例中，所述通过第一扩展的IKE报文将所述IPSec隧道信息发送给第二设备，包括：通过扩展IKE报文头的Exchange Type字段，定义交换类型ISAKMP_XCHG_HA，为所述ISAKMP_XCHG_HA设置第一协议保留值，将所述IPSec隧道信息封装在扩展的IKE报文中发送给第二设备。
[0007]一种示例性的实施例中，当第一设备重新上线时，通过第二扩展的IKE报文向第二设备发送IPSec隧道信息请求，以从第二设备获取全部的IPSec隧道信息。
[0008]一种示例性的实施例中，所述通过第二扩展的IKE报文向第二设备发送IPSec隧道信息请求，包括：通过扩展IKE报文头的Exchange Type字段，定义交换类型ISAKMP_XCHG_HA，为所述ISAKMP_XCHG_HA设置第二协议保留值，将IPSec隧道信息请求封装在扩展的IKE报文中发送给第二设备。
[0009]一种示例性的实施例中，在与第二设备通信之前，包括：构建用户数据包协议UDP套接字，所述UDP套接字的源端口和目的端口与远端设备
的IKE协商时的通信端口一致；根据所述套接字进行监听。
[0010]本申请还提供了一种同步方法，应用于第二设备，包括，当接收到第一设备发送的第一扩展的IKE报文且满足预设条件时，从所述第一扩展的IKE报文中解析出IPSec隧道信息；并保存所述IPSec隧道信息。
[0011]一种示例性的实施例中，当在本设备保存从第一设备接收的IPSec隧道信息时，注册超时删除定时器；当超时删除定时器超时时，如果本设备的当前状态为备状态或者所述IPSec隧道信息中的单元ID与本设备的单元ID不一致且第一设备为“主”状态，则不删除本设备从第一设备接收的IPSec隧道信息。
[0012]一种示例性的实施例中，当接收到第一设备发送的同步删除消息时，删除本设备保存的从第一设备接收的IPSec隧道信息。
[0013]一种示例性的实施例中，当接收到第一设备发出的IPSec隧道信息请求时，将本设备全部的IPSec隧道信息通过第一扩展的IKE报文发送给第一设备。
[0014]本申请提供了一种同步系统，包括：第一设备、第二设备和远端设备；第一设备设置为根据与远端设备的IKE协商结果获取IPSec隧道信息；当在本设备保存IPSec隧道信息时，通过第一扩展的IKE报文将所述IPSec隧道信息发送给第二设备；第二设备接收到第一设备发送的第一扩展的IKE报文且满足预设条件时，从第一扩展的IKE报文中解析出IPSec隧道信息；并保存所述IPSec隧道信息。
[0015]本申请提供了一种第一设备，包括：第一转发模块、第一IPSec进程模块；所述第一IPSec进程模块，设置为根据与远端设备的IKE协商结果获取IPSec隧道信息；当向第一转发模块发送IPSec隧道信息时，通过第一扩展的IKE报文将所述IPSec隧道信息发送给第二设备；所述第一转发模块，设置为接收所述IPSec隧道信息。
[0016]本申请提供了一种第二设备，包括：第二转发模块、第二IPSec进程模块；所述第二IPSec进程模块当接收到第一设备通过第一扩展的IKE报文形式发送的报文且满足预设条件时，从通过第一扩展的IKE报文发送的报文中解析出IPSec隧道信息；保存所述IPSec隧道信息，并向第二转发模块发送所述IPSec隧道信息；所述第二转发模块，设置为接收所述IPSec隧道信息。
[0017]与相关技术相比，本申请的第一设备根据与远端设备的IKE协商结果获取IPSec隧道信息；当在本设备保存IPSec隧道信息时，通过第一扩展的IKE报文将所述IPSec隧道信息发送给第二设备，从而使第二设备获取到第一设备的IPSec隧道信息，减少因为高可用性状态切换导致丢包，降低业务中断时间。
[0018]本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的其他优点可通过在说明书以及附图中所描述的方案来实现和获得。
附图说明
[0019]附图用来提供对本申请技术方案的理解，并且构成说明书的一部分，与本申请的
实施例一起用于解释本申请的技术方案，并不构成对本申请技术方案的限制。
[0020]图1为本申请实施例的同步方法的示意图；图2为本申请实施例的主
‑
备部署模式的架构；图3为本申请实施例的主
‑
主部署模式的架构；图4为本申请实施例的建立套接字的流程图；图5为本申请实施例的同步方法的示意图；图6为本申请实施例的同步系统示意图；图7为本申请实施例的IKE协商流程；图8为本申请实施例的设备异常时的切换流程；图9为本申请实施例的异常设备重新上线的流程图；图10为本申请实施例的第一设备的示例；图11为本申请实施例的第二设备的示例。
具体实施方式
[0021]图1为本申请实施例的同步方法的示意图，如图1所示，本实施例的同步方法，应用于第一设备，包括S11
‑ꢀ
S12步骤：S11、根据与远端设备的IKE协商结果获取IPSec隧道信息。
[0022]S12、当在本设备保存所述IPSec隧道信息时，通过第一扩展的IKE报文将所述IPSec隧道信息发送给第二设备。<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种同步方法，应用于第一设备，其特征在于，根据与远端设备的IKE协商结果获取IPSec隧道信息；当在本设备保存所述IPSec隧道信息时，通过第一扩展的IKE报文将所述IPSec隧道信息发送给第二设备。2.根据权利要求1所述的同步方法，所述通过第一扩展的IKE报文将所述IPSec隧道信息发送给第二设备，包括：通过扩展IKE报文头的Exchange Type字段，定义交换类型ISAKMP_XCHG_HA，为所述ISAKMP_XCHG_HA设置第一协议保留值，将所述IPSec隧道信息封装在扩展的IKE报文中发送给第二设备。3.根据权利要求1所述的同步方法，其特征在于，当第一设备重新上线时，通过第二扩展的IKE报文向第二设备发送IPSec隧道信息请求，以从第二设备获取全部的IPSec隧道信息。4.根据权利要求1所述的同步方法，所述通过第二扩展的IKE报文向第二设备发送IPSec隧道信息请求，包括：通过扩展IKE报文头的Exchange Type字段，定义交换类型ISAKMP_XCHG_HA，为所述ISAKMP_XCHG_HA设置第二协议保留值，将IPSec隧道信息请求封装在扩展的IKE报文中发送给第二设备。5.根据权利要求1所述的同步方法，在与第二设备通信之前，包括：构建用户数据包协议UDP套接字，所述UDP套接字的源端口和目的端口与远端设备的IKE协商时的通信端口一致；根据所述套接字进行监听。6.一种同步方法，应用于第二设备，其特征在于，当接收到第一设备发送的第一扩展的IKE报文且满足预设条件时，从所述第一扩展的IKE报文中解析出IPSec隧道信息；并保存所述IPSec隧道信息。7.根据权利要求6所述的同步方法，其特征在于，还包括：当在本设备保存从第一设备接收的IPSec隧道信息时，注册超时删除定时器；当超时删除定时器超时时，如果...

【专利技术属性】
技术研发人员：印朝晖，
申请(专利权)人：北京太一星晨信息技术有限公司，
类型：发明
国别省市：