一种IPSEC网络的配置方法和装置制造方法及图纸

本发明专利技术公开了一种IPSEC网络的配置方法和装置，涉及通信网络技术领域。该IPSEC网络的配置方法，利用BGP的扩展团体属性填充IPSEC值的方法，由于BGP协议基于TCP连接建立，TCP连接可靠且能保证数据顺序，故采用BGP的自定义扩展团体属性，IPSEC Client端根据Update报文的前6字节的填充值，提取IPSEC参数信息，通知IPSEC模块自动下发对应的IPSEC配置参数，以及下发接口的IPSEC策略使能，触发IPSEC隧道的建立，来实现CPE端IPSEC配置自动下发，并且通过Update报文的后4字节的填充值，可以避免SA老化过程中丢包的问题。化过程中丢包的问题。化过程中丢包的问题。

【技术实现步骤摘要】
一种IPSEC网络的配置方法和装置


[0001]本专利技术涉及通信网络
，具体为一种IPSEC网络的配置方法和装置。

技术介绍

[0002]在SDWAN网络中，为保证数据传输的安全性，常采用IPSEC，即Internet协议安全性对数据报文进行加密，其中IPSEC隧道的建立，仍需手工对CPE下发IPSEC参数配置，IPSEC隧道的建立又涉及两个IKE协商阶段，建立IPSEC隧道的两端，即VCPE和CPE，有任一参数不一致，就会在IPSEC的IKE第一阶段交换过程或IKE第二阶段的交换过程协商失败，为了防止交换过程协商失败需要层层删除IPSEC参数配置、重新下发各项嵌套的参数。
[0003]但是当组网中IPSEC隧道较多时，会导致配置工作量巨大，过程繁琐，耗时耗力，并且当IPSEC隧道建起来后，由于到达一定的流量阈值或时间阈值后，IPSEC的SA会进行重协商，在这个过程中，可能会出现一方已更新SA，使用新的SA加密，但另一端由于重协商的IPSEC SA报文在网络中延迟，还使用老的SA，导致双方SA不一致，报文无法解密而丢弃的问题。

技术实现思路

[0004]解决的技术问题
[0005]针对现有技术的不足，本专利技术提供了一种IPSEC网络的配置方法和装置，解决了CPE端IPSEC配置不能自动下发且SA老化过程中会丢包的问题。
[0006]技术方案
[0007]为实现以上目的，本专利技术通过以下技术方案予以实现：一种IPSEC网络的配置方法，包括以下步骤：
[0008]第一步、Server端将IPSEC配置参数信息，并发送BGP的Update报文到IPSEC Client端；
[0009]第二步、判断是否开启BGP自定义扩展功能，若否，则不触发BGP模块发送Update报文，手工下发IPSEC参数；
[0010]若是，则根据BGP的Update报文自定义扩展团体属性VALUE值的前六字节下发IPSEC参数并建立IPSEC隧道；
[0011]第三步、依据Update报文中自定义扩展团体属性VALUE值的后四字节，判断新SPI和旧SPI值是否一致，若一致，则Server端和Client端使用新的SPI加密数据报文。
[0012]进一步地，所述第二步中依据VALUE值的前六字节下发IPSEC参数并建立IPSEC隧道具体包括以下步骤：
[0013]S1、Server端按照两个阶段的IKE算法参数组合，将对应的标记值填写至BGP的Update报文自定义团体属性中的VALUE字段前六字节；
[0014]S2、Client端收到Update报文，根据BGP扩展团体属性中的标记值，提取IPSEC参数信息，通知IPSEC模块下发对应的IPSEC配置参数以及IPSEC策略使能；
[0015]S3、触发IPSEC模块进行两个阶段的协商，即建立IPSEC隧道。
[0016]进一步地，所述S1中的两个阶段包括第一阶段IKE安全协议和第二阶段IKE安全协议，所述第一阶段IKE安全协议和第二阶段IKE安全协议均具有不同的协商参数；
[0017]所述第一阶段IKE安全协议中的协商参数包括认证算法类型、DH组、加密算法类型、完整性算法类型、随机函数算法类型、SA生存周期，IKE版本；
[0018]所述第二阶段IKE安全协议中的协商参数包括封装模式，安全协议，认证算法和加密算法。
[0019]进一步地，所述S1中预设的参数组合不多于64种，所述预设的参数组合统一用对应的二进制数值标记。
[0020]进一步地，其中一种所述预设的参数组合为IKE第一阶段协商参数中认证算法类型为md5，DH Group组为group12，加密算法类型为3des，完整性算法类型为aes
‑
xcbc
‑
96，随机函数算法为aes
‑
xcbc
‑
128，SA生存周期为36000s，IKE版本为V1；
[0021]IKE第二阶段协商参数中封装模式为tunnel，安全协议为ESP封装，ESP认证算法sha1，esp加密算法3des；
[0022]标记上述组合为000000。
[0023]进一步地，所述第三步中解决IPsec SA老化时丢包具体包括以下步骤：
[0024]S1、判断Client端的IPSEC SA是否达到流量阈值的2/3或时间阈值的2/3时；
[0025]若是，主动发起IPSEC重协商，协商出新的SA，但仍然使用旧的SA加密报文；
[0026]S2、Client端将协商出SPI值填充至Update报文中VALUE值的后4字节，并发送Update报文传递给Server端；
[0027]S3、Server端收到Update报文后，判断报文中携带的SPI是否和本端新建的IPSEC SA中对端的SPI一致；
[0028]若是，Server端将本端的SPI值填写至Update报文中自定义团体属性VALUE值的后四字节，发送给Client端，同时Server设备使用新的SPI加密数据报文；
[0029]S4、Client端收到Server端发来的Update报文后，使用新的SPI加密数据报文。
[0030]进一步地，所述自定义扩展团体属性存放于长度可变的Path Attributes，所述Path Attributes由Attr.TYPE，Attr.Length和Attr.Value三部分组成；
[0031]所述Attr.TYPE包括由Attr.Flags，Attr.Type Code两部分组成。
[0032]进一步地，所述Attr.Flags高四位由O、T、P和E组成，高四位均设置为1，低四位发送时均设置为0，接收时忽略。
[0033]进一步地，所述Attr.Length值填充为10。
[0034]一种IPSEC网络的配置装置，包括参数配置模块，第一执行模块和第二执行模块，其中：
[0035]参数配置模块，用于将IPSEC配置参数信息，并发送BGP的Update报文到IPSEC Client端；
[0036]第一执行模块，用于确定是否开启BGP自定义扩展功能，若否，则不触发BGP模块发送Update报文；
[0037]若是，根据BGP的Update报文自定义扩展团体属性VALUE值的前六字节下发IPSEC参数并建立IPSEC隧道；
[0038]第二执行模块，用于依据Update报文中自定义扩展团体属性VALUE值的后四字节，判断新SPI和旧SPI值是否一致，若一致，则Server端和Client端使用新的SPI加密数据报文。
[0039]有益效果
[0040]本专利技术具有以下有益效果：
[0041]利用BGP的扩展团体属性填充IPSEC值的方法，由于BGP协议基于TCP连接建立，TCP连接可靠且能保证数据顺序，故采用BGP的自定义扩展团体本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种IPSEC网络的配置方法，其特征在于：包括以下步骤：第一步、Server端将IPSEC配置参数信息，并发送BGP的Update报文到IPSEC Client端；第二步、判断是否开启BGP自定义扩展功能，若否，则不触发BGP模块发送Update报文；若是，则根据BGP的Update报文自定义扩展团体属性VALUE值的前六字节下发IPSEC参数并建立IPSEC隧道；第三步、依据Update报文中自定义扩展团体属性VALUE值的后四字节，判断新SPI和旧SPI值是否一致，若一致，则Server端和Client端使用新的SPI加密数据报文。2.根据权利要求1所述的一种IPSEC网络的配置方法，其特征在于：所述第二步中依据VALUE值的前六字节下发IPSEC参数并建立IPSEC隧道具体包括以下步骤：S1、Server端按照的两个阶段的IKE算法参数组合，将对应的标记值填写至BGP的Update报文自定义团体属性中的VALUE字段前六字节；S2、Client端收到Update报文，根据BGP扩展团体属性中的标记值，提取IPSEC参数信息，通知IPSEC模块下发对应的IPSEC配置参数以及IPSEC策略使能；S3、触发IPSEC模块进行两个阶段的协商，即建立IPSEC隧道。3.根据权利要求2所述的一种IPSEC网络的配置方法，其特征在于：所述S1中的两个阶段包括第一阶段IKE安全协议和第二阶段IKE安全协议，所述第一阶段IKE安全协议和第二阶段IKE安全协议均具有不同的协商参数；所述第一阶段IKE安全协议中的协商参数包括认证算法类型、DH组、加密算法类型、完整性算法类型、随机函数算法类型、SA生存周期，IKE版本；所述第二阶段IKE安全协议中的协商参数包括封装模式，安全协议，认证算法和加密算法。4.根据权利要求2所述的一种IPSEC网络的配置方法，其特征在于：所述S1中预设的参数组合不多于64种，所述预设的参数组合统一用对应的二进制数值标记。5.根据权利要求4所述的一种IPSEC网络的配置方法，其特征在于：其中一种所述预设的参数组合为IKE第一阶段协商参数中认证算法类型为md5，DH Group组为group12，加密算法类型为3des，完整性算法类型为aes
‑
xcbc
‑
96，随机函数算法为aes
‑
xcbc
‑
128，SA生存周期为36000s，IKE版本为V1；IKE第二阶段协商...

【专利技术属性】
技术研发人员：庞雅，王丽梅，王振民，朱学欢，郝珊，王艺博，
申请(专利权)人：天翼云科技有限公司，
类型：发明
国别省市：