用于网络设备的IPSEC隧道的控制方法和系统.pdf

摘要
申请专利号：	CN201410382421.5	申请日：	2014.08.06
公开号：	CN104104573A	公开日：	2014.10.15
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04L 12/46申请日:20140806\|\|\|公开
IPC分类号：	H04L12/46	主分类号：	H04L12/46
申请人：	汉柏科技有限公司
发明人：	陈海滨; 于立洋; 章敏; 王禹; 王智民
地址：	300384 天津市西青区华苑产业区海泰西18号西3楼104室
优先权：
专利代理机构：	北京天奇智新知识产权代理有限公司 11340	代理人：	谢磊
PDF下载：	PDF下载

内容摘要

一种用于网络设备的IPsec隧道的控制方法和系统。方法包括如下步骤：建立网络设备间的IPsec隧道，协商生成IPsec隧道的一级隧道IKE SA和二级隧道IPsec SA；在检测到一级隧道IKE SA的超时时间或者二级隧道IPsec SA的超时时间达到预设时间后，发送协商报文；如果没有收到回应报文，则判断协商报文的出物理接口的报文处理速度是否等于或大于预设上限；如果报文处理速度等于或大于预设上限，则进一步判断IPsec隧道是否可以对报文正常加密和解密；如果是，则判断IPsec隧道可使用，等待预设时长后，重新发送协商报文。本发明可以解决IPsec隧道的震荡问题。

权利要求书

1.  一种用于网络设备的IPsec隧道的控制方法，包括如下步骤：
建立网络设备间的IPsec隧道，协商生成IPsec隧道的一级隧道IKE SA和二级隧道IPsec SA；
在检测到所述一级隧道IKE SA的超时时间或者二级隧道IPsec SA的超时时间达到预设时间后，发送协商报文；
如果没有收到回应报文，则判断所述协商报文的出物理接口的报文处理速度是否等于或大于预设上限；
如果报文处理速度等于或大于预设上限，则进一步判断所述IPsec隧道是否可以对报文正常加密和解密；
如果是，则判断所述IPsec隧道可使用，等待预设时长后，重新发送所述协商报文。

2.  根据权利要求1所述的用于网络设备的IPsec隧道的控制方法，其中，如果所述协商报文的出物理接口的报文处理速度小于预设上限，则断开所述IPsec隧道。

3.  根据权利要求1所述的用于网络设备的IPsec隧道的控制方法，其中，在检测到所述IPsec隧道设置有入加密报文时，判断所述IPsec隧道可以对报文正常加密。

4.  根据权利要求1所述的用于网络设备的IPsec隧道的控制方法，其中，如果判断所述IPsec隧道不可以对报文正常加密或解密，则断开所述IPsec隧道。

5.  根据权利要求1所述的用于网络设备的IPsec隧道的控制方法，其中，所述预设时长由用户根据网络状态进行配置。

6.  一种用于网络设备的IPsec隧道的控制系统，包括：
IPsec隧道设置模块，用于建立网络设备间的IPsec隧道并协商生成IPsec隧道的一级隧道IKE SA和二级隧道IPsec SA；
超时时间检测模块，用于检测所述一级隧道IKE SA的超时时间或者二级隧道IPsec SA的超时时间是否达到预设时间；
通信模块，所述通信模块连接至所述超时时间检测模块，用于在所述超时时间检测模块检测到所述一级隧道IKE SA的超时时间或者二级隧道IPsec SA的超时时间达到预设时间后，发送协商报文；以及
判断模块，所述判断模块连接至所述通信模块和所述IPsec隧道设置模块，用于在所述通信模块没有收到回应报文后，判断所述协商报文的出物理接口的报文处理速度是否等于或大于预设上限，如果是则进一步判断所述IPsec隧道是否可以对报文正常加密和解密，如果是则判断所述IPsec隧道可使用，等待预设时长后，由所述通信模块重新发送所述协商报文。

7.  根据权利要求6所述的设备的IPsec隧道的控制系统，其中，如果所述判断模块判断协商报文的出物理接口的报文处理速度小于预设上限，则所述IPsec隧道设置模块断开所述IPsec隧道。

8.  根据权利要求6所述的用于网络设备的IPsec隧道的控制系统，其中，所述判断模块在检测到所述IPsec隧道设置有入加密报文时，判断所述IPsec隧道可以对报文正常加密。

9.  根据权利要求6所述的用于网络设备的IPsec隧道的控制系统，其中，如果所述判断模块判断所述IPsec隧道不可以对报文正常加密或解密，则所述IPsec隧道设置模块断开所述IPsec隧道。

10.  根据权利要求6所述的用于网络设备的IPsec隧道的控制系统，其中，所述预设时长由用户根据网络状态进行配置。

说明书

用于网络设备的IPsec隧道的控制方法和系统
技术领域
本发明涉及网络通信技术领域，特别涉及一种用于网络设备的IPsec隧道的控制方法和系统。
背景技术
多核网络设备对报文进行处理时，首先处理转发报文，其次处理主机报文，这样可以保证设备的吞吐量，增加性能。但是对于其他功能来说，主机报文如果接收失败可以重发，不会有严重影响，但对于IPsec(Internet Protocol Security，Internet协议安全性)隧道而言，协商报文即是主机报文，此时如果协商报文接收失败就会导致IPsec隧道断开。由于协商报文失败的原因可能是由多方面造成，并且这种原因也是会随着网络状态的改变而消失的。如果仅仅因为协商报文接收失败就断开IPsec隧道，从而会对用户来说会出现隧道震荡的情况，而且草率的断开IPsec隧道，而没有根据当前网络状态的变化适时的恢复IPsec隧道，会影响IPsec隧道的正常功能。
发明内容
本发明鉴于上述情况而作出，其目的是提供一种用于网络设备的IPsec隧道的控制方法，该方法可以解决IPsec隧道的震荡问题。
为实现上述目的，本发明提供一种用于网络设备的IPsec隧道的控制方法，包括如下步骤：
建立网络设备间的IPsec隧道，协商生成IPsec隧道的一级隧道IKE SA和二级隧道IPsec SA；
在检测到所述一级隧道IKE SA的超时时间或者二级隧道IPsec SA的超时时间达到预设时间后，发送协商报文；
如果没有收到回应报文，则判断所述协商报文的出物理接口的报文处理速度是否等于或大于预设上限；
如果报文处理速度等于或大于预设上限，则进一步判断所述IPsec隧道是否可以对报文正常加密和解密；
如果是，则判断所述IPsec隧道可使用，等待预设时长后，重新发送所述协商报文。
根据本发明的一个方面，如果所述协商报文的出物理接口的报文处理速度小于预设上限，则断开所述IPsec隧道。
根据本发明的另一个方面，在检测到所述IPsec隧道设置有入加密报文时，判断所述IPsec隧道可以对报文正常加密。
根据本发明的又一方面，如果判断所述IPsec隧道不可以对报文正常加密或解密，则断开所述IPsec隧道。
根据本发明的再一方面，所述预设时长由用户根据网络状态进行配置。
本发明提供的用于网络设备的IPsec隧道的控制方法，在发现协商失败后，不立即进行IPsec隧道删除，而是综合考虑协商报文的出物理接口的速度和IPsec隧道是否可以对报文正常加密和解密，选择断开IPsec隧道或者延时一定时间，错过流量高峰再进行重新协商，从而解决IPsec隧道的震荡问题。
本发明的又一个目的是提供一种用于网络设备的IPsec隧道的控制系统，该系统可以解决IPsec隧道的震荡问题。
为实现上述目的，本发明提供一种用于网络设备的IPsec隧道的控制系统，包括：IPsec隧道设置模块，用于建立网络设备间的IPsec隧道并协商生成IPsec隧道的一级隧道IKE SA和二级隧道IPsec SA；超时时间检测模块，用于检测所述一级隧道IKE SA的超时时间或者二级隧道IPsec SA的超时时间是否达到预设时间；通信模块，所述通信模块连接至所述超时时间检测模块，用于在所述超时时间检测模块检测到所述一级隧道IKE SA的超时时间或者二级隧道IPsec SA的超时时间达到预设时间后，发送协商报文；判断模块，所述判断模块连接至所述通信模块和所述IPsec隧道设置模块，用于在所述通信模块没有收到回应报文后，判断所述协商报文的出物理接口的报文处理速度是否等于或大于预设上限，如果是则进一步判断所述IPsec隧道是否可以对报文正常加密和解密，如果是则判断所述IPsec隧道可使用，等待预设时长后，由所述通信模块重新发送所述协商报文。
根据本发明的一个方面，如果所述判断模块判断协商报文的出物理接口的报文处理速度小于预设上限，则所述IPsec隧道设置模块断开所述IPsec隧道。
根据本发明的又一方面，如果所述判断模块判断协商报文的出物理接口的报文处理速度小于预设上限，则所述IPsec隧道设置模块断开所述IPsec隧道。
根据本发明的再一方面，如果所述判断模块判断所述IPsec隧道不可以对报文正常加密或解密，则所述IPsec隧道设置模块断开所述IPsec隧道。
根据本发明的又一方面，所述预设时长由用户根据网络状态进行配置。
本发明提供的用于网络设备的IPsec隧道的控制系统，在发现协商失败后，不立即进行IPsec隧道删除，而是综合考虑协商报文的出物理接口的速度和IPsec隧道是否可以对报文正常加密和解密，选择断开IPsec隧道或者延时一定时间，错过流量高峰再进行重新协商，从而解决IPsec隧道的震荡问题。
附图说明
图1是根据本发明第一实施方式的用于网络设备的IPsec隧道的控制方法的流程图；
图2是根据本发明第二实施方式的用于网络设备的IPsec隧道的控制方法的流程图；
图3示意性地示出网络设备间的IPsec隧道的示意图；
图4是根据本发明实施方式的用于网络设备的IPsec隧道的控制系统的结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。
由于多核网络设备处理报文的优先级为，首先处理转发报文，其次处理主机报文，从而可以保证设备的吞吐，增加性能。但是对于IPsec隧道，协商报文即是主机报文，此时如果丢弃协商报文就会导致IPsec隧道断开，对用户来说就会出现隧道震荡的情况。因此，针对多核网络设备，本发明提供一种用于网络设备的IPsec隧道的控制方法和系统，可以防止由于优先处理转发报文引起的网卡忙，即不能及时处理主机报文或者协商报文，导致协商报文件丢失，进而导致的IPsec隧道重协商失败，删除了IPsec隧道，无法保证IPsec隧道的正常功能。
图1是根据本发明第一实施方式的用于网络设备的IPsec隧道的控制方法的流程图。
如图1所示，本发明第一实施方式的用于网络设备的IPsec隧道的控制方法，包括如下步骤：
步骤S1，建立网络设备间的IPsec隧道，协商生成IPsec隧道的一级隧道IKE SA和二级隧道IPsec SA。
具体来说，在网络设备之间建立IPsec隧道。参考图3，以防火墙设备Fw a和防火墙设备Fw b为例，防火墙设备Fw a和防火墙设备Fw b建立IPsec隧道。在IPsec隧道的建立过程中协商生成一级隧道IKE SA和二级隧道IPsec SA。其中，一级隧道IKE SA用于保护IKE协议报文。二级隧道IPsec SA用于数据报文加密。
步骤S2，在检测到一级隧道IKE SA的超时时间或者二级隧道IPsec SA的超时时间达到预设时间后，发送协商报文。
检测一级隧道IKE SA或二级隧道IPsec SA是否发生超时，且超时时间是否达到预设时间，如果是则进行协商报文发送，开始IKE SA和IPsec SA的更新协商，即协商生成新的IKE SA和IPsec SA。
步骤S3，如果没有收到回应报文，则判断协商报文的出物理接口的报文处理速度是否等于或大于预设上限。
在步骤S2中发送协商报文之后，如果收到回应报文，则判断协商成功，生成新的IKE SA和IPsec SA。如果没有收到回应报文，则判断协商失败，此时不立即进行IPsec隧道删除，而是查看该协商报文的出物理接口的报文处理速度。具体地，判断协商报文的出物理接口的报文处理速度是否等于或大于预设上限。由于一段时间的出物理接口的流量可以利用报文处理速度和单位时长计算获取，因此通过判断协商报文的出物理接口的报文处理速度是否等于或大于预设上限，可以达到判断单位时长内出物理接口的流量是否超过上限的目的。
步骤S4，如果报文处理速度等于或大于预设上限则进一步判断IPsec隧道是否可以对报文正常加密和解密。
如果协商报文的出物理接口的报文处理速度等于或大于预设上限，则查看IPsec隧道是否可以对报文正常加密。
在本发明的实施方式中，通过判断IPsec隧道是否有入加密报文，来判断报文是否可以被正常的加密。其中，如果IPsec隧道有入加密报文，则判断IPsec隧道可以对报文正常加密，反之判断IPsec隧道不能对报文正常加密。
并且，在IPsec隧道可以对报文进行正常加密的基础上，进一步判断报文是否可以被正常解密。具体地，本步骤中可以通过查找解密报文的三元组，其中，三元组包括SPI(Security Parameter Index，安全参数索引)、加解密类型和目的地址。如果通过SPI、加解密类型HE目的地址这三个元素可以找到对应的解密SA(Security Association，安全关联)，那么就可以认定为报文能够正常解密。
步骤S5，如果是，则判断IPsec隧道可使用，等待预设时长后，重新发送协商报文。
如果协商报文的出物理接口的报文处理速度等于或大于预设上限，并且IPsec隧道可以对报文进行正常加密和解密，则认为隧道是仍然可以继续使用的，只是由于多核设备自身的原因在报文转发过程中导致协商报文丢失，则使用当前IPsec隧道，等待预设时长后(如：等流量高峰期过了或等待10分钟)，再次发送协商报文，进行协商，可以正常协商IKE SA和IPsec SA时，再使用新的IPsec隧道，那么就将IKE SA和IPsec SA的更新推迟预设时长再进行更新，由此可以解决IPsec隧道的震荡问题。
在本发明的实施方式中，预设时长由用户根据网络状态进行配置。优选的，预设时长为一个周期，例如10分钟。
图2是根据本发明第二实施方式的用于网络设备的IPsec隧道的控制方法的流程图。
在本发明的一个实施方式中，在步骤S3之后，还包括如下步骤：如果协商报文的出物理接口的报文处理速度小于预设上限，则执行步骤S6，断开IPsec隧道。需要说明的是，在步骤中的断开IPsec隧道是在满足一定条件下的主动实施的断开，而并非现有技术中由于协商失败导致的被动断开。具体来说，由于此时报文的出物理接口的报文处理速度小于预设上限，表明此时网络发生拥堵。在该时机下断开IPsec隧道，不对IPsec隧道内的报文进行加密和解密，即对IPsec隧道的报文暂时断流。这种方式可以从根本上解决IPsec隧道震荡的问题，因为不建立IPsec隧道，切断了IPsec隧道震荡发生的源头。从另一个方面可以理解为，通过对IPsec隧道的暂时屏蔽达到避免IPsec隧道震荡，同时保证背景流有限通过。
并且，IPsec隧道只是在一定条件下的暂时断开，当报文的出物理接口的报文处理速度等于或大于预设上限，即网络拥堵状况解除，端口的流量带宽够用时，重新建立IPsec隧道，恢复IPsec隧道内的报文的加密和解密，从而尽量做到不影响IPsec隧道的正常功能。
在步骤S4之后，还包括如下步骤：如果判断IPsec隧道没有入加密报文或者解密失败，则执行步骤S6，断开IPsec隧道。
根据本发明实施方式的用于网络设备的IPsec隧道的控制方法，在发现协商失败后，不立即进行IPsec隧道删除，而是综合考虑协商报文的出物理接口的报文处理速度和IPsec隧道是否可以对报文正常加密和解密，选择断开IPsec隧道或者延时预设时长，错过流量高峰再进行重新协商，从而解决IPsec隧道的震荡问题。
图4是根据本发明实施方式的用于网络设备的IPsec隧道的控制系统的结构图。
如图4所示，本发明实施方式的用于网络设备的IPsec隧道的控制系统包括：IPsec隧道设置模块1、超时时间检测模块2、通信模块3和判断模块4。
具体地，IPsec隧道设置模块1用于建立网络设备间的IPsec隧道并协商生成IPsec隧道的一级隧道IKE SA和二级隧道IPsec SA。
具体来说，IPsec隧道设置模块1在网络设备之间建立IPsec隧道。在IPsec隧道的建立过程中协商生成一级隧道IKE SA和二级隧道IPsec SA。其中，一级隧道IKE SA用于保护IKE协议报文。二级隧道IPsec SA用于数据报文加密。
超时时间检测模块2用于检测一级隧道IKE SA的超时时间或者二级隧道IPsec SA的超时时间是否达到预设时间。
通信模块3连接至超时时间检测模块2，用于在超时时间检测模块2检测到一级隧道IKE SA的超时时间或者二级隧道IPsec SA的超时时间达到预设时间后，发送协商报文，开始IKE SA和IPsec SA的更新协商，即协商生成新的IKE SA和IPsec SA。
判断模块4连接至通信模块3，用于在通信模块3没有收到回应报文后，判断协商失败，此时不立即进行IPsec隧道删除。判断模块4进一步判断协商报文的出物理接口的报文处理速度是否等于或大于预设上限。由于一段时间的出物理接口的流量可以利用报文处理速度和单位时长计算获取，因此通过判断协商报文的出物理接口的报文处理速度是否等于或大于预设上限，可以达到判断单位时长内出物理接口的流量是否超过上限的目的。如果是则判断模块4进一步判断IPsec隧道是否可以对报文正常加密和解密，如果是则判断IPsec隧道可使用，等待预设时长后，由通信模块3重新发送协商报文。
需要说明的是，如果通信模块3收到回应报文，则可以认为协商成功，生成新的IKE SA和IPsec SA。
在本发明的实施方式中，判断模块4通过判断IPsec隧道是否有入加密报文，来判断是否报文可以被正常的加密。其中，如果IPsec隧道有入加密报文，则判断IPsec隧道可以对报文正常加密，反之判断IPsec隧道不能对报文正常加密。
并且，在IPsec隧道可以对报文进行正常加密的基础上，判断模块4进一步判断报文是否可以被正常解密。
如果协商报文的出物理接口的报文处理速度等于或大于预设上限，并且IPsec隧道可以对报文进行正常加密和解密，则判断模块4认为隧道是仍然可以继续使用的，只是由于多核设备自身的原因导致协议报文丢失，则使用当前IPsec隧道，等待预设时长后(如：等流量高峰期过了或等待10分钟)，再次发送协商报文，进行协商，可以正常协商IKE SA和IPsec SA时，再使用新的IPsec隧道，那么就将IKE SA和IPsec SA的更新推迟预设时长再进行更新，由此可以解决IPsec隧道的震荡问题。
在本发明的实施方式中，预设时长由用户根据网络状态进行配置。优选的，预设时长为一个周期，例如10分钟。
在本发明的一个实施方式中，如果判断模块4判断协商报文的出物理接口的报文处理速度小于预设上限，则IPsec隧道设置模块1断开IPsec隧道。需要说明的是，IPsec隧道设置模块1断开IPsec隧道是在满足一定条件下的主动实施的断开，而并非现有技术中由于协商失败导致的被动断开。具体来说，由于此时报文的出物理接口的报文处理速度小于预设上限，表明此时网络发生拥堵。在该时机下断开IPsec隧道，不对IPsec隧道内的报文进行加密和解密，即对IPsec隧道的报文暂时断流。这种对IPsec隧道的暂时屏蔽措施在避免隧道震荡的同时，保证背景流有限通过。
并且，IPsec隧道只是在一定条件下的暂时断开，当报文的出物理接口的报文处理速度等于或大于预设上限，即网络拥堵状况解除，端口的流量带宽够用时，重新建立IPsec隧道，恢复IPsec隧道内的报文的加密和解密，从而尽量做到不影响IPsec隧道的正常功能。
判断模块4在检测到IPsec隧道设置有入加密报文时，判断IPsec隧道可以对报文正常加密。如果判断模块4判断IPsec隧道没有入加密报文或者解密失败，则IPsec隧道设置模块1断开IPsec隧道。
根据本发明实施方式的用于网络设备的IPsec隧道的控制系统，在发现协商失败后，不立即进行IPsec隧道删除，而是综合考虑协商报文的出物理接口的报文处理速度和IPsec隧道是否可以对报文正常加密和解密，选择断开IPsec隧道或者延时预设时长，错过流量高峰再进行重新协商，从而解决IPsec隧道的震荡问题。
应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

资源描述

《用于网络设备的IPSEC隧道的控制方法和系统.pdf》由会员分享，可在线阅读，更多相关《用于网络设备的IPSEC隧道的控制方法和系统.pdf（11页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104104573A43申请公布日20141015CN104104573A21申请号201410382421522申请日20140806H04L12/4620060171申请人汉柏科技有限公司地址300384天津市西青区华苑产业区海泰西18号西3楼104室72发明人陈海滨于立洋章敏王禹王智民74专利代理机构北京天奇智新知识产权代理有限公司11340代理人谢磊54发明名称用于网络设备的IPSEC隧道的控制方法和系统57摘要一种用于网络设备的IPSEC隧道的控制方法和系统。方法包括如下步骤建立网络设备间的IPSEC隧道，协商生成IPSEC隧道的一级隧道IKESA和二级隧道IPSE。

2、CSA；在检测到一级隧道IKESA的超时时间或者二级隧道IPSECSA的超时时间达到预设时间后，发送协商报文；如果没有收到回应报文，则判断协商报文的出物理接口的报文处理速度是否等于或大于预设上限；如果报文处理速度等于或大于预设上限，则进一步判断IPSEC隧道是否可以对报文正常加密和解密；如果是，则判断IPSEC隧道可使用，等待预设时长后，重新发送协商报文。本发明可以解决IPSEC隧道的震荡问题。51INTCL权利要求书2页说明书6页附图2页19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书6页附图2页10申请公布号CN104104573ACN104104573A1/2页21一。

3、种用于网络设备的IPSEC隧道的控制方法，包括如下步骤建立网络设备间的IPSEC隧道，协商生成IPSEC隧道的一级隧道IKESA和二级隧道IPSECSA；在检测到所述一级隧道IKESA的超时时间或者二级隧道IPSECSA的超时时间达到预设时间后，发送协商报文；如果没有收到回应报文，则判断所述协商报文的出物理接口的报文处理速度是否等于或大于预设上限；如果报文处理速度等于或大于预设上限，则进一步判断所述IPSEC隧道是否可以对报文正常加密和解密；如果是，则判断所述IPSEC隧道可使用，等待预设时长后，重新发送所述协商报文。2根据权利要求1所述的用于网络设备的IPSEC隧道的控制方法，其中，如果所述。

4、协商报文的出物理接口的报文处理速度小于预设上限，则断开所述IPSEC隧道。3根据权利要求1所述的用于网络设备的IPSEC隧道的控制方法，其中，在检测到所述IPSEC隧道设置有入加密报文时，判断所述IPSEC隧道可以对报文正常加密。4根据权利要求1所述的用于网络设备的IPSEC隧道的控制方法，其中，如果判断所述IPSEC隧道不可以对报文正常加密或解密，则断开所述IPSEC隧道。5根据权利要求1所述的用于网络设备的IPSEC隧道的控制方法，其中，所述预设时长由用户根据网络状态进行配置。6一种用于网络设备的IPSEC隧道的控制系统，包括IPSEC隧道设置模块，用于建立网络设备间的IPSEC隧道并协商。

5、生成IPSEC隧道的一级隧道IKESA和二级隧道IPSECSA；超时时间检测模块，用于检测所述一级隧道IKESA的超时时间或者二级隧道IPSECSA的超时时间是否达到预设时间；通信模块，所述通信模块连接至所述超时时间检测模块，用于在所述超时时间检测模块检测到所述一级隧道IKESA的超时时间或者二级隧道IPSECSA的超时时间达到预设时间后，发送协商报文；以及判断模块，所述判断模块连接至所述通信模块和所述IPSEC隧道设置模块，用于在所述通信模块没有收到回应报文后，判断所述协商报文的出物理接口的报文处理速度是否等于或大于预设上限，如果是则进一步判断所述IPSEC隧道是否可以对报文正常加密和解密，。

6、如果是则判断所述IPSEC隧道可使用，等待预设时长后，由所述通信模块重新发送所述协商报文。7根据权利要求6所述的设备的IPSEC隧道的控制系统，其中，如果所述判断模块判断协商报文的出物理接口的报文处理速度小于预设上限，则所述IPSEC隧道设置模块断开所述IPSEC隧道。8根据权利要求6所述的用于网络设备的IPSEC隧道的控制系统，其中，所述判断模块在检测到所述IPSEC隧道设置有入加密报文时，判断所述IPSEC隧道可以对报文正常加密。9根据权利要求6所述的用于网络设备的IPSEC隧道的控制系统，其中，如果所述判断模块判断所述IPSEC隧道不可以对报文正常加密或解密，则所述IPSEC隧道设置模块。

7、断开所述IPSEC隧道。权利要求书CN104104573A2/2页310根据权利要求6所述的用于网络设备的IPSEC隧道的控制系统，其中，所述预设时长由用户根据网络状态进行配置。权利要求书CN104104573A1/6页4用于网络设备的IPSEC隧道的控制方法和系统技术领域0001本发明涉及网络通信技术领域，特别涉及一种用于网络设备的IPSEC隧道的控制方法和系统。背景技术0002多核网络设备对报文进行处理时，首先处理转发报文，其次处理主机报文，这样可以保证设备的吞吐量，增加性能。但是对于其他功能来说，主机报文如果接收失败可以重发，不会有严重影响，但对于IPSECINTERNETPROTOCO。

8、LSECURITY，INTERNET协议安全性隧道而言，协商报文即是主机报文，此时如果协商报文接收失败就会导致IPSEC隧道断开。由于协商报文失败的原因可能是由多方面造成，并且这种原因也是会随着网络状态的改变而消失的。如果仅仅因为协商报文接收失败就断开IPSEC隧道，从而会对用户来说会出现隧道震荡的情况，而且草率的断开IPSEC隧道，而没有根据当前网络状态的变化适时的恢复IPSEC隧道，会影响IPSEC隧道的正常功能。发明内容0003本发明鉴于上述情况而作出，其目的是提供一种用于网络设备的IPSEC隧道的控制方法，该方法可以解决IPSEC隧道的震荡问题。0004为实现上述目的，本发明提供一种用。

9、于网络设备的IPSEC隧道的控制方法，包括如下步骤0005建立网络设备间的IPSEC隧道，协商生成IPSEC隧道的一级隧道IKESA和二级隧道IPSECSA；0006在检测到所述一级隧道IKESA的超时时间或者二级隧道IPSECSA的超时时间达到预设时间后，发送协商报文；0007如果没有收到回应报文，则判断所述协商报文的出物理接口的报文处理速度是否等于或大于预设上限；0008如果报文处理速度等于或大于预设上限，则进一步判断所述IPSEC隧道是否可以对报文正常加密和解密；0009如果是，则判断所述IPSEC隧道可使用，等待预设时长后，重新发送所述协商报文。0010根据本发明的一个方面，如果所述协。

10、商报文的出物理接口的报文处理速度小于预设上限，则断开所述IPSEC隧道。0011根据本发明的另一个方面，在检测到所述IPSEC隧道设置有入加密报文时，判断所述IPSEC隧道可以对报文正常加密。0012根据本发明的又一方面，如果判断所述IPSEC隧道不可以对报文正常加密或解密，则断开所述IPSEC隧道。0013根据本发明的再一方面，所述预设时长由用户根据网络状态进行配置。说明书CN104104573A2/6页50014本发明提供的用于网络设备的IPSEC隧道的控制方法，在发现协商失败后，不立即进行IPSEC隧道删除，而是综合考虑协商报文的出物理接口的速度和IPSEC隧道是否可以对报文正常加密和解。

11、密，选择断开IPSEC隧道或者延时一定时间，错过流量高峰再进行重新协商，从而解决IPSEC隧道的震荡问题。0015本发明的又一个目的是提供一种用于网络设备的IPSEC隧道的控制系统，该系统可以解决IPSEC隧道的震荡问题。0016为实现上述目的，本发明提供一种用于网络设备的IPSEC隧道的控制系统，包括IPSEC隧道设置模块，用于建立网络设备间的IPSEC隧道并协商生成IPSEC隧道的一级隧道IKESA和二级隧道IPSECSA；超时时间检测模块，用于检测所述一级隧道IKESA的超时时间或者二级隧道IPSECSA的超时时间是否达到预设时间；通信模块，所述通信模块连接至所述超时时间检测模块，用于在。

12、所述超时时间检测模块检测到所述一级隧道IKESA的超时时间或者二级隧道IPSECSA的超时时间达到预设时间后，发送协商报文；判断模块，所述判断模块连接至所述通信模块和所述IPSEC隧道设置模块，用于在所述通信模块没有收到回应报文后，判断所述协商报文的出物理接口的报文处理速度是否等于或大于预设上限，如果是则进一步判断所述IPSEC隧道是否可以对报文正常加密和解密，如果是则判断所述IPSEC隧道可使用，等待预设时长后，由所述通信模块重新发送所述协商报文。0017根据本发明的一个方面，如果所述判断模块判断协商报文的出物理接口的报文处理速度小于预设上限，则所述IPSEC隧道设置模块断开所述IPSEC隧。

13、道。0018根据本发明的又一方面，如果所述判断模块判断协商报文的出物理接口的报文处理速度小于预设上限，则所述IPSEC隧道设置模块断开所述IPSEC隧道。0019根据本发明的再一方面，如果所述判断模块判断所述IPSEC隧道不可以对报文正常加密或解密，则所述IPSEC隧道设置模块断开所述IPSEC隧道。0020根据本发明的又一方面，所述预设时长由用户根据网络状态进行配置。0021本发明提供的用于网络设备的IPSEC隧道的控制系统，在发现协商失败后，不立即进行IPSEC隧道删除，而是综合考虑协商报文的出物理接口的速度和IPSEC隧道是否可以对报文正常加密和解密，选择断开IPSEC隧道或者延时一定时。

14、间，错过流量高峰再进行重新协商，从而解决IPSEC隧道的震荡问题。附图说明0022图1是根据本发明第一实施方式的用于网络设备的IPSEC隧道的控制方法的流程图；0023图2是根据本发明第二实施方式的用于网络设备的IPSEC隧道的控制方法的流程图；0024图3示意性地示出网络设备间的IPSEC隧道的示意图；0025图4是根据本发明实施方式的用于网络设备的IPSEC隧道的控制系统的结构图。具体实施方式0026为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发说明书CN104104573A3/6页6明。

15、的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。0027由于多核网络设备处理报文的优先级为，首先处理转发报文，其次处理主机报文，从而可以保证设备的吞吐，增加性能。但是对于IPSEC隧道，协商报文即是主机报文，此时如果丢弃协商报文就会导致IPSEC隧道断开，对用户来说就会出现隧道震荡的情况。因此，针对多核网络设备，本发明提供一种用于网络设备的IPSEC隧道的控制方法和系统，可以防止由于优先处理转发报文引起的网卡忙，即不能及时处理主机报文或者协商报文，导致协商报文件丢失，进而导致的IPSEC隧道重协商失败，删除了IPSEC隧道，无法保证IPSEC隧道的正常。

16、功能。0028图1是根据本发明第一实施方式的用于网络设备的IPSEC隧道的控制方法的流程图。0029如图1所示，本发明第一实施方式的用于网络设备的IPSEC隧道的控制方法，包括如下步骤0030步骤S1，建立网络设备间的IPSEC隧道，协商生成IPSEC隧道的一级隧道IKESA和二级隧道IPSECSA。0031具体来说，在网络设备之间建立IPSEC隧道。参考图3，以防火墙设备FWA和防火墙设备FWB为例，防火墙设备FWA和防火墙设备FWB建立IPSEC隧道。在IPSEC隧道的建立过程中协商生成一级隧道IKESA和二级隧道IPSECSA。其中，一级隧道IKESA用于保护IKE协议报文。二级隧道IP。

17、SECSA用于数据报文加密。0032步骤S2，在检测到一级隧道IKESA的超时时间或者二级隧道IPSECSA的超时时间达到预设时间后，发送协商报文。0033检测一级隧道IKESA或二级隧道IPSECSA是否发生超时，且超时时间是否达到预设时间，如果是则进行协商报文发送，开始IKESA和IPSECSA的更新协商，即协商生成新的IKESA和IPSECSA。0034步骤S3，如果没有收到回应报文，则判断协商报文的出物理接口的报文处理速度是否等于或大于预设上限。0035在步骤S2中发送协商报文之后，如果收到回应报文，则判断协商成功，生成新的IKESA和IPSECSA。如果没有收到回应报文，则判断协商失。

18、败，此时不立即进行IPSEC隧道删除，而是查看该协商报文的出物理接口的报文处理速度。具体地，判断协商报文的出物理接口的报文处理速度是否等于或大于预设上限。由于一段时间的出物理接口的流量可以利用报文处理速度和单位时长计算获取，因此通过判断协商报文的出物理接口的报文处理速度是否等于或大于预设上限，可以达到判断单位时长内出物理接口的流量是否超过上限的目的。0036步骤S4，如果报文处理速度等于或大于预设上限则进一步判断IPSEC隧道是否可以对报文正常加密和解密。0037如果协商报文的出物理接口的报文处理速度等于或大于预设上限，则查看IPSEC隧道是否可以对报文正常加密。0038在本发明的实施方式中，。

19、通过判断IPSEC隧道是否有入加密报文，来判断报文是否可以被正常的加密。其中，如果IPSEC隧道有入加密报文，则判断IPSEC隧道可以对报文说明书CN104104573A4/6页7正常加密，反之判断IPSEC隧道不能对报文正常加密。0039并且，在IPSEC隧道可以对报文进行正常加密的基础上，进一步判断报文是否可以被正常解密。具体地，本步骤中可以通过查找解密报文的三元组，其中，三元组包括SPISECURITYPARAMETERINDEX，安全参数索引、加解密类型和目的地址。如果通过SPI、加解密类型HE目的地址这三个元素可以找到对应的解密SASECURITYASSOCIATION，安全关联，那。

20、么就可以认定为报文能够正常解密。0040步骤S5，如果是，则判断IPSEC隧道可使用，等待预设时长后，重新发送协商报文。0041如果协商报文的出物理接口的报文处理速度等于或大于预设上限，并且IPSEC隧道可以对报文进行正常加密和解密，则认为隧道是仍然可以继续使用的，只是由于多核设备自身的原因在报文转发过程中导致协商报文丢失，则使用当前IPSEC隧道，等待预设时长后如等流量高峰期过了或等待10分钟，再次发送协商报文，进行协商，可以正常协商IKESA和IPSECSA时，再使用新的IPSEC隧道，那么就将IKESA和IPSECSA的更新推迟预设时长再进行更新，由此可以解决IPSEC隧道的震荡问题。0。

21、042在本发明的实施方式中，预设时长由用户根据网络状态进行配置。优选的，预设时长为一个周期，例如10分钟。0043图2是根据本发明第二实施方式的用于网络设备的IPSEC隧道的控制方法的流程图。0044在本发明的一个实施方式中，在步骤S3之后，还包括如下步骤如果协商报文的出物理接口的报文处理速度小于预设上限，则执行步骤S6，断开IPSEC隧道。需要说明的是，在步骤中的断开IPSEC隧道是在满足一定条件下的主动实施的断开，而并非现有技术中由于协商失败导致的被动断开。具体来说，由于此时报文的出物理接口的报文处理速度小于预设上限，表明此时网络发生拥堵。在该时机下断开IPSEC隧道，不对IPSEC隧道内。

22、的报文进行加密和解密，即对IPSEC隧道的报文暂时断流。这种方式可以从根本上解决IPSEC隧道震荡的问题，因为不建立IPSEC隧道，切断了IPSEC隧道震荡发生的源头。从另一个方面可以理解为，通过对IPSEC隧道的暂时屏蔽达到避免IPSEC隧道震荡，同时保证背景流有限通过。0045并且，IPSEC隧道只是在一定条件下的暂时断开，当报文的出物理接口的报文处理速度等于或大于预设上限，即网络拥堵状况解除，端口的流量带宽够用时，重新建立IPSEC隧道，恢复IPSEC隧道内的报文的加密和解密，从而尽量做到不影响IPSEC隧道的正常功能。0046在步骤S4之后，还包括如下步骤如果判断IPSEC隧道没有入加。

23、密报文或者解密失败，则执行步骤S6，断开IPSEC隧道。0047根据本发明实施方式的用于网络设备的IPSEC隧道的控制方法，在发现协商失败后，不立即进行IPSEC隧道删除，而是综合考虑协商报文的出物理接口的报文处理速度和IPSEC隧道是否可以对报文正常加密和解密，选择断开IPSEC隧道或者延时预设时长，错过流量高峰再进行重新协商，从而解决IPSEC隧道的震荡问题。0048图4是根据本发明实施方式的用于网络设备的IPSEC隧道的控制系统的结构图。0049如图4所示，本发明实施方式的用于网络设备的IPSEC隧道的控制系统包括IPSEC隧道设置模块1、超时时间检测模块2、通信模块3和判断模块4。说明。

24、书CN104104573A5/6页80050具体地，IPSEC隧道设置模块1用于建立网络设备间的IPSEC隧道并协商生成IPSEC隧道的一级隧道IKESA和二级隧道IPSECSA。0051具体来说，IPSEC隧道设置模块1在网络设备之间建立IPSEC隧道。在IPSEC隧道的建立过程中协商生成一级隧道IKESA和二级隧道IPSECSA。其中，一级隧道IKESA用于保护IKE协议报文。二级隧道IPSECSA用于数据报文加密。0052超时时间检测模块2用于检测一级隧道IKESA的超时时间或者二级隧道IPSECSA的超时时间是否达到预设时间。0053通信模块3连接至超时时间检测模块2，用于在超时时间检。

25、测模块2检测到一级隧道IKESA的超时时间或者二级隧道IPSECSA的超时时间达到预设时间后，发送协商报文，开始IKESA和IPSECSA的更新协商，即协商生成新的IKESA和IPSECSA。0054判断模块4连接至通信模块3，用于在通信模块3没有收到回应报文后，判断协商失败，此时不立即进行IPSEC隧道删除。判断模块4进一步判断协商报文的出物理接口的报文处理速度是否等于或大于预设上限。由于一段时间的出物理接口的流量可以利用报文处理速度和单位时长计算获取，因此通过判断协商报文的出物理接口的报文处理速度是否等于或大于预设上限，可以达到判断单位时长内出物理接口的流量是否超过上限的目的。如果是则判断。

26、模块4进一步判断IPSEC隧道是否可以对报文正常加密和解密，如果是则判断IPSEC隧道可使用，等待预设时长后，由通信模块3重新发送协商报文。0055需要说明的是，如果通信模块3收到回应报文，则可以认为协商成功，生成新的IKESA和IPSECSA。0056在本发明的实施方式中，判断模块4通过判断IPSEC隧道是否有入加密报文，来判断是否报文可以被正常的加密。其中，如果IPSEC隧道有入加密报文，则判断IPSEC隧道可以对报文正常加密，反之判断IPSEC隧道不能对报文正常加密。0057并且，在IPSEC隧道可以对报文进行正常加密的基础上，判断模块4进一步判断报文是否可以被正常解密。0058如果协商。

27、报文的出物理接口的报文处理速度等于或大于预设上限，并且IPSEC隧道可以对报文进行正常加密和解密，则判断模块4认为隧道是仍然可以继续使用的，只是由于多核设备自身的原因导致协议报文丢失，则使用当前IPSEC隧道，等待预设时长后如等流量高峰期过了或等待10分钟，再次发送协商报文，进行协商，可以正常协商IKESA和IPSECSA时，再使用新的IPSEC隧道，那么就将IKESA和IPSECSA的更新推迟预设时长再进行更新，由此可以解决IPSEC隧道的震荡问题。0059在本发明的实施方式中，预设时长由用户根据网络状态进行配置。优选的，预设时长为一个周期，例如10分钟。0060在本发明的一个实施方式中，如。

28、果判断模块4判断协商报文的出物理接口的报文处理速度小于预设上限，则IPSEC隧道设置模块1断开IPSEC隧道。需要说明的是，IPSEC隧道设置模块1断开IPSEC隧道是在满足一定条件下的主动实施的断开，而并非现有技术中由于协商失败导致的被动断开。具体来说，由于此时报文的出物理接口的报文处理速度小于预设上限，表明此时网络发生拥堵。在该时机下断开IPSEC隧道，不对IPSEC隧道内的报文进行加密和解密，即对IPSEC隧道的报文暂时断流。这种对IPSEC隧道的暂时屏蔽措施在避免隧道震荡的同时，保证背景流有限通过。说明书CN104104573A6/6页90061并且，IPSEC隧道只是在一定条件下的暂。

29、时断开，当报文的出物理接口的报文处理速度等于或大于预设上限，即网络拥堵状况解除，端口的流量带宽够用时，重新建立IPSEC隧道，恢复IPSEC隧道内的报文的加密和解密，从而尽量做到不影响IPSEC隧道的正常功能。0062判断模块4在检测到IPSEC隧道设置有入加密报文时，判断IPSEC隧道可以对报文正常加密。如果判断模块4判断IPSEC隧道没有入加密报文或者解密失败，则IPSEC隧道设置模块1断开IPSEC隧道。0063根据本发明实施方式的用于网络设备的IPSEC隧道的控制系统，在发现协商失败后，不立即进行IPSEC隧道删除，而是综合考虑协商报文的出物理接口的报文处理速度和IPSEC隧道是否可以对报文正常加密和解密，选择断开IPSEC隧道或者延时预设时长，错过流量高峰再进行重新协商，从而解决IPSEC隧道的震荡问题。0064应当理解的是，本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。说明书CN104104573A1/2页10图1说明书附图CN104104573A102/2页11图2图3图4说明书附图CN104104573A11。

展开阅读全文