專利名稱:一種ipsec狀態(tài)恢復(fù)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域,特別涉及一種ipsec狀態(tài)恢復(fù)方法��。
背景技術(shù):
防火墻是用來保護(hù)網(wǎng)絡(luò) 中計(jì)算機(jī)安全的重要設(shè)備�����,一旦防火墻發(fā)生故障�,會(huì)給政府、企業(yè)造成不小的損失�,為了解決防火墻單點(diǎn)故障引起的整個(gè)網(wǎng)絡(luò)癱瘓問題,業(yè)內(nèi)工作者提出了兩臺防火墻實(shí)時(shí)熱備的功能�,即防火墻e為主防火墻,防火墻f為備防火墻���;如圖2所示����,在步驟A中����,主防火墻e和遠(yuǎn)端防火墻g建立ipsec隧道���,數(shù)據(jù)通過該ipsec隧道進(jìn)行傳輸;在步驟B中����,當(dāng)主防火墻e異常后,主防火墻e和備防火墻f進(jìn)行主備防火墻的切換�,此時(shí)主防火墻e變成了備防火墻e,備防火墻f變成了主防火墻f����,所有數(shù)據(jù)流都被切換到主防火墻f上;在步驟C中�,遠(yuǎn)端防火墻g并不知道對端異常,仍然發(fā)送加密的esp或ah報(bào)文給主防火墻f����,由于現(xiàn)有的設(shè)備大部分不支持ipsec隧道狀態(tài)同步���,則此時(shí)主防火墻f接收到加密的esp或ah報(bào)文后�����,發(fā)現(xiàn)沒有對應(yīng)的ipsec隧道進(jìn)行報(bào)文解密�����,就會(huì)丟棄此報(bào)文����;在步驟D中,遠(yuǎn)端防火墻g只有通過長時(shí)間的dpd探測或keepalive探測才能發(fā)現(xiàn)對端異常���,刪除本端ipsec隧道,與主防火墻f重新建立ipsec隧道��;而等待dpd探測或keepalive探測需要較長的時(shí)間�,整個(gè)防火墻系統(tǒng)在此期間處于癱瘓狀態(tài)�,導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)斷流的時(shí)間較長,因此��,現(xiàn)有技術(shù)確有待于提聞���。
發(fā)明內(nèi)容
針對現(xiàn)有技術(shù)存在的不足���,本發(fā)明提出了一種主備防火墻切換后的ipsec狀態(tài)快速恢復(fù)的方法,并通過以下的技術(shù)方案予以實(shí)現(xiàn)一種ipsec狀態(tài)恢復(fù)方法�����,包括以下步驟SI :主防火墻a與遠(yuǎn)端防火墻c建立ipsec隧道;S2 :如果主防火墻a異常���,主防火墻a和備防火墻b進(jìn)行主備防火墻的變換���,主防火墻a變換為備防火墻a,備防火墻b變換為主防火墻b �����;S3 :主防火墻b接收加密報(bào)文���,如果主防火墻b的ipsec隧道狀態(tài)不同步�,則執(zhí)行步驟S4����,如果主防火墻b的ipsec隧道狀態(tài)同步,則結(jié)束���;S4 :主防火墻b發(fā)起反向ike協(xié)商,與遠(yuǎn)端防火墻c建立ipsec隧道��。所述步驟S4中,主防火墻b根據(jù)所述加密報(bào)文的目的地址找到相應(yīng)的ipsec隧道屬性配置��,建立由主防火墻b到遠(yuǎn)端防火墻c的ipsec隧道�����。所述步驟S4進(jìn)一步包括設(shè)置ipsec隧道的生存時(shí)間�。所述步驟S4進(jìn)一步包括在主防火墻b發(fā)起反向ike協(xié)商之前,判斷已啟動(dòng)時(shí)間長度是否超出所述ipsec隧道的生存時(shí)間若是,則主防火墻b發(fā)起反向ike協(xié)商�����;若不是����,則主防火墻b將接收到的加密報(bào)文直接丟棄;其中����,所述已啟動(dòng)時(shí)間長度是指從主備防火墻切換到主防火墻b接收到第一個(gè)加密報(bào)文的時(shí)間段。所述步驟S4中�����,遠(yuǎn)端防火墻c與主防火墻b建立新的ipsec隧道后�,直接將與主防火墻a建立的ipsec隧道丟棄��。在本發(fā)明中����,當(dāng)主防火墻a和備防火墻b切換后����,新的主防火墻b接收到?jīng)]有對應(yīng)的ipsec隧道能夠解密的esp或ah報(bào)文時(shí),根據(jù)接收到的加密報(bào)文的目的地址發(fā)起反向ike協(xié)商來建立ipsec隧道,解決了現(xiàn)有技術(shù)中單純的靠keepalive或dpd來感知對端異常的問題��,且無需像dpd或keepalive那樣等待,能夠減少斷流的時(shí)間�。
圖I為本發(fā)明的流程圖;圖2為現(xiàn)有技術(shù)的流程圖��。
具體實(shí)施例方式下面對于本發(fā)明所提出的一種ipsec狀態(tài)恢復(fù)方法����,結(jié)合附圖和實(shí)施例詳細(xì)說 明�。實(shí)施例I :本發(fā)明提供一種ipsec狀態(tài)恢復(fù)方法,包括以下步驟SI :主防火墻a與遠(yuǎn)端防火墻c建立ipsec隧道�;S2 :如果主防火墻a異常,主防火墻a和備防火墻b進(jìn)行主備防火墻的變換,主防火墻a變換為備防火墻a,備防火墻b變換為主防火墻b �;S3 :主防火墻b接收加密報(bào)文�����,如果主防火墻b的ipsec隧道狀態(tài)不同步����,則執(zhí)行步驟S4�����,如果主防火墻b的ipsec隧道狀態(tài)同步��,則結(jié)束�����;S4 :主防火墻b發(fā)起反向ike協(xié)商����,與遠(yuǎn)端防火墻c建立ipsec隧道���。所述步驟S4中����,主防火墻b根據(jù)所述加密報(bào)文的目的地址找到相應(yīng)的ipsec隧道屬性配置����,建立由主防火墻b到遠(yuǎn)端防火墻c的ipsec隧道����。所述步驟S4進(jìn)一步包括設(shè)置ipsec隧道的生存時(shí)間。所述步驟S4進(jìn)一步包括在主防火墻b發(fā)起反向ike協(xié)商之前,判斷已啟動(dòng)時(shí)間長度是否超出所述ipsec隧道的生存時(shí)間若是��,則主防火墻b發(fā)起反向ike協(xié)商�;若不是����,則主防火墻b將接收到的加密報(bào)文直接丟棄��;其中���,所述已啟動(dòng)時(shí)間長度是指從主備防火墻切換到主防火墻b接收到第一個(gè)加密報(bào)文的時(shí)間段��。所述步驟S4中,遠(yuǎn)端防火墻c與主防火墻b建立新的ipsec隧道后,直接將與主防火墻a建立的ipsec隧道丟棄�����。實(shí)施例2 本實(shí)施例提供一種ipsec狀態(tài)恢復(fù)方法����,更詳細(xì)的說明ipsec狀態(tài)是如何恢復(fù)的。如圖I所示���,在初始情況下,主防火墻a與遠(yuǎn)端防火墻c建立ipsec隧道,數(shù)據(jù)通過主防火墻a和遠(yuǎn)端防火墻c建立的ipsec隧道進(jìn)行傳輸�;當(dāng)主防火墻a異常后,主防火墻a和備防火墻b進(jìn)行主備防火墻的切換,此時(shí)主防火墻a變成了備防火墻���,備防火墻b變成了主防火墻,所有數(shù)據(jù)流都被切換到新的主防火墻b上��。遠(yuǎn)端防火墻c并不知道對端異常,仍然發(fā)送加密的esp或ah報(bào)文給主防火墻b����,由于現(xiàn)有的設(shè)備大部分不支持ipsec隧道狀態(tài)同步��,例如cisco設(shè)備就不支持隧道狀態(tài)同步��,主防火墻b接收到加密的esp或ah報(bào)文后,發(fā)現(xiàn)沒有對應(yīng)的ipsec隧道進(jìn)行報(bào)文解密�,主防火墻b根據(jù)接收到的加密報(bào)文的目的地址找到相應(yīng)的ipsec隧道屬性配置,建立由主防火墻b到遠(yuǎn)端防火墻c的隧道����,在該過程中,需設(shè)置ipsec隧道的生存時(shí)間����;并且在主防火墻b發(fā)起反向ike協(xié)商之前,判斷已啟動(dòng)時(shí)間長度是否超出所述ipsec隧道的生存時(shí)間若是���,則主防火墻b發(fā)起反向ike協(xié)商���;若不是����,則主防火墻b將接收到的加密報(bào)文直接丟棄;其中,所述已啟動(dòng)時(shí)間長度是指從主備防火墻切換到主防火墻b接收到第一個(gè)加密報(bào)文的時(shí)間段��。遠(yuǎn)端防火墻c接收到ike協(xié)商后,建立起新的ipsec隧道,并直接廢棄之前主防火墻a與遠(yuǎn)端防火墻c建立的ipsec隧道,通過新的主防火墻b與遠(yuǎn)端防火墻c建立的隧道進(jìn)行數(shù)據(jù)的傳送。在未發(fā)生主備防火墻切換的情況下,主防火墻a接收到的esp或ah報(bào)文,或當(dāng)已啟動(dòng)時(shí)間長度超出所述ipsec隧道的生存時(shí)間���,備防火墻a接收到的esp或ah報(bào)文���,均因?yàn)闊o法找到相應(yīng)的ipsec隧道進(jìn)行解密����,而被認(rèn)為是異常無效報(bào)文直接丟棄����。由以上實(shí)施例可以看出,在本發(fā)明中�,當(dāng)主防火墻a和備防火墻b切換后,新的主 防火墻b接收到?jīng)]有對應(yīng)的ipsec隧道能夠解密的esp或ah報(bào)文時(shí)�,根據(jù)接收到的加密報(bào)文的目的地址發(fā)起反向ike協(xié)商來建立ipsec隧道,解決了現(xiàn)有技術(shù)中單純的靠keepalive或dpd來感知對端異常的問題,且無需像dpd或keepalive那樣等待,能夠減少斷流的時(shí)間�。以上實(shí)施方式僅用于說明本發(fā)明,而并非對本發(fā)明的限制���,有關(guān)技術(shù)領(lǐng)域的普通技術(shù)人員�����,在不脫離本發(fā)明的精神和范圍的情況下�����,還可以做出各種變化和變型�,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇�����,本發(fā)明的專利保護(hù)范圍應(yīng)由權(quán)利要求限定。
權(quán)利要求
1.一種ipsec狀態(tài)恢復(fù)方法����,其特征在于,包括以下步驟 51:主防火墻a與遠(yuǎn)端防火墻c建立ipsec隧道�; 52:如果主防火墻a異常,主防火墻a和備防火墻b進(jìn)行主備防火墻的變換�����,主防火墻a變換為備防火墻a�����,備防火墻b變換為主防火墻b ��; 53:主防火墻b接收加密報(bào)文��,如果主防火墻b的ipsec隧道狀態(tài)不同步�����,則執(zhí)行步驟S4��,如果主防火墻b的ipsec隧道狀態(tài)同步����,則結(jié)束; 54:主防火墻b發(fā)起反向ike協(xié)商���,與遠(yuǎn)端防火墻c建立ipsec隧道�����。
2.如權(quán)利要求I所述的方法����,其特征在于�����,所述步驟S4中����,主防火墻b根據(jù)所述加密報(bào)文的目的地址找到相應(yīng)的ipsec隧道屬性配置,建立由主防火墻b到遠(yuǎn)端防火墻c的ipsec隧道。
3.如權(quán)利要求I所述的方法��,其特征在于����,所述步驟S4進(jìn)一步包括設(shè)置ipsec隧道的生存時(shí)間�。
4.如權(quán)利要求3所述的方法��,其特征在于��,所述步驟S4進(jìn)一步包括在主防火墻b發(fā)起反向ike協(xié)商之前�����,判斷已啟動(dòng)時(shí)間長度是否超出所述ipsec隧道的生存時(shí)間若是�,則主防火墻b發(fā)起反向ike協(xié)商;若不是�����,則主防火墻b將接收到的加密報(bào)文直接丟棄����; 其中,所述已啟動(dòng)時(shí)間長度是指從主備防火墻切換到主防火墻b接收到第一個(gè)加密報(bào)文的時(shí)間段��。
5.如權(quán)利要求I所述的方法����,其特征在于��,所述步驟S4中,遠(yuǎn)端防火墻c與主防火墻b建立新的ipsec隧道后,直接將與主防火墻a建立的ipsec隧道丟棄���。
全文摘要
本發(fā)明提供一種ipsec狀態(tài)恢復(fù)方法����,包括以下步驟S1主防火墻a與遠(yuǎn)端防火墻c建立ipsec隧道����;S2如果主防火墻a異常,主防火墻a和備防火墻b進(jìn)行主備防火墻的變換�,主防火墻a變換為備防火墻a,備防火墻b變換為主防火墻b�;S3主防火墻b接收加密報(bào)文,如果主防火墻b的ipsec隧道狀態(tài)不同步�,則執(zhí)行步驟S4,如果主防火墻b的ipsec隧道狀態(tài)同步�����,則結(jié)束����;S4主防火墻b發(fā)起反向ike協(xié)商�����,與遠(yuǎn)端防火墻c建立ipsec隧道����;本發(fā)明解決了現(xiàn)有技術(shù)中單純的靠keepalive或dpd來感知對端異常的問題�,且無需像dpd或keepalive那樣等待,能夠減少斷流的時(shí)間�。
文檔編號H04L29/06GK102891766SQ20121036155
公開日2013年1月23日 申請日期2012年9月25日 優(yōu)先權(quán)日2012年9月25日
發(fā)明者陳海濱 申請人:漢柏科技有限公司