CN102752171B - Ipsec协商测试方法 - Google Patents

Ipsec协商测试方法 Download PDF

Info

Publication number
CN102752171B
CN102752171B CN201210231121.8A CN201210231121A CN102752171B CN 102752171 B CN102752171 B CN 102752171B CN 201210231121 A CN201210231121 A CN 201210231121A CN 102752171 B CN102752171 B CN 102752171B
Authority
CN
China
Prior art keywords
ike
network equipment
negotiation
predetermined number
ipsec
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201210231121.8A
Other languages
English (en)
Other versions
CN102752171A (zh
Inventor
陈海滨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Opzoon Technology Co Ltd
Original Assignee
Opzoon Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Opzoon Technology Co Ltd filed Critical Opzoon Technology Co Ltd
Priority to CN201210231121.8A priority Critical patent/CN102752171B/zh
Publication of CN102752171A publication Critical patent/CN102752171A/zh
Application granted granted Critical
Publication of CN102752171B publication Critical patent/CN102752171B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种IPSEC协商测试方法,涉及网络通信技术领域,在通过网络性能测试仪对网络设备进行IPSEC协商测试时,所述方法包括以下步骤:所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道后,所述网络设备将所述预设个数的IKE隧道进行协商结果的统一处理;所述网络性能测试仪根据所述统一处理的结果获得所述网络设备的IPSEC协商性能参数。本发明通过在协商预设个数的IKE隧道后,对协商结果进行统一处理,极大地减小了在IKE隧道的数量增加时,对网络设备IPSEC性能测试的影响,实现了测试网络设备的真实IPSEC性能。

Description

IPSEC协商测试方法
技术领域
本发明涉及网络通信技术领域,特别涉及一种IPSEC协商测试方法。
背景技术
网络设备为提高处理速度,常采用多核多线程结构,多核CPU分别对应一个线程,线程可分为管理层cp(control point)任务线程和数据层dp(data point)任务线程,即cp任务线程为处理协商报文并生成协商状态节点,dp任务线程为处理数据报文进行加解密。在协商一个IKE隧道后,cp任务线程协商IKE隧道,协商IKE隧道完成后将协商结果同步给dp任务线程,dp任务线程对该协商结果进行处理,现有技术中都是cp任务线程协商一个IKE隧道,dp任务线程处理一个协商结果,这样大大影响了协商速度,特别是IKE使用动态协商时,会动态生成流量保护规则,此时会更新整个dp任务线程的流量保护规则表,协商IKE的数目越多,更新的越慢。
在用网络性能测试仪(例如ixia测试仪)等装置对网络设备进行IPSEC性能指标测试时,随着IKE隧道协商数的增加,协商速度越来越慢,最后慢到2秒处理一个报文(网络性能测试仪最大只能支持1秒一个报文的最慢速度),此协商速度的衰减,导致无法通过网络性能测试仪测试网络设备的真实IPSEC性能。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何测试网络设备的真实IPSEC性能。
(二)技术方案
为解决上述技术方案,本发明提供了一种IPSEC协商测试方法,在通过网络性能测试仪对网络设备进行IPSEC协商测试时,所述方法包括以下步骤:
所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道后,所述网络设备将所述预设个数的IKE隧道进行协商结果的统一处理;
所述网络性能测试仪根据所述统一处理的结果获得所述网络设备的IPSEC协商性能参数。
其中,所述网络设备为多核多线程结构,所述网络设备上通过cp任务线程来协商所述预设个数的IKE隧道,所述网络设备上通过dp任务线程来对所述预设个数的IKE隧道进行协商结果的统一处理。
其中,所述网络设备将所述预设个数的IKE隧道进行协商结果的统一处理时,将所述预设个数的IKE隧道对应的协商结果发送至所述网络性能测试仪,所述协商结果包括:加解密密钥。
其中,所述协商结果还包括:流量保护规则。
其中,所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道时,对新建IKE隧道的第一阶段,不进行安全匹配,直接创建IKE协商的第一阶段节点。
其中,所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道时,对新建IKE隧道的第二阶段,不进行流量保护规则匹配,直接创建IKE协商的第二阶段节点。
其中,所述网络设备为防火墙、路由器或交换机。
(三)有益效果
本发明通过在协商预设个数的IKE隧道后,对协商结果进行统一处理,极大地减小了在IKE隧道的数量增加时,对网络设备IPSEC性能测试的影响,实现了测试网络设备的真实IPSEC性能,经测试结果表明,本发明能够支持最大3w的协商IKE隧道数。
附图说明
图1是按照本发明一种实施方式的IPSEC协商测试方法的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是按照本发明一种实施方式的IPSEC协商测试方法的流程图;参照图1,在通过网络性能测试仪对网络设备进行IPSEC协商测试时,所述方法包括以下步骤:
S100:所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道后,所述网络设备将所述预设个数的IKE隧道进行协商结果的统一处理;
S200:所述网络性能测试仪根据所述统一处理的结果获得所述网络设备的IPSEC协商性能参数。
优选地,所述网络设备为多核多线程结构,所述网络设备上通过cp任务来协商所述预设个数的IKE隧道,所述网络设备上通过dp任务来对所述预设个数的IKE隧道进行协商结果的统一处理。
优选地,步骤S100中,所述网络设备将所述预设个数的IKE隧道进行协商结果的统一处理时,将所述预设个数的IKE隧道对应的协商结果发送至所述网络性能测试仪,所述协商结果包括:加解密密钥。
优选地,所述协商结果还包括:流量保护规则。
由于在通过网络性能测试仪进行IPSEC协商测试时,并不存在网络攻击,为防止安全匹配所导致的性能衰减,优选地,步骤S100中,所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道时,对新建IKE隧道的第一阶段,不进行安全匹配,直接创建IKE协商的第一阶段节点。
为防止流量保护规则匹配时,所导致的性能衰减,优选地,步骤S100中,所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道时,对新建IKE隧道的第二阶段,不进行流量保护规则匹配,直接创建IKE协商的第二阶段节点。
优选地,所述网络设备为防火墙、路由器或交换机等设备。
下面以ixia测试仪为例对本发明进行说明,但不限定本发明的保护范围。
ixia测试仪的工作原理是先进行IKE隧道的协商,都协商完后再对每个隧道进行打流(所述打流为数据流测试,数据流在隧道的保护下进行加密处理,经过加密处理后的数据流变成加密流),再分别加载了协商隧道配置,之后再加载隧道打流配置,以打2w条隧道为例:
1、ixia测试仪进行隧道协商配置加载并开始协商,防火墙与测试仪建立连接。
2、测试仪开始进行流量的加载,此时会有约30秒以上的加载时间,此时防火墙在建立完2w条隧道后cp任务线程开始向dp任务线程下发协商后的数据,包括加解密密钥和流量保护规则,此时测试仪加载流量配置的时间一定远大于cp任务线程向dp任务线程下发数据时间。
3、当测试仪流量配置加载好以后,此时防火墙也完成了cp任务线程向dp任务线程下发数据的工作,则打流测试也可以通过。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。

Claims (4)

1.一种IPSEC协商测试方法,在通过网络性能测试仪对网络设备进行IPSEC协商测试时,其特征在于,所述方法包括以下步骤:
所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道后,所述网络设备将所述预设个数的IKE隧道进行协商结果的统一处理;
所述网络性能测试仪根据所述统一处理的结果获得所述网络设备的IPSEC协商性能参数;
其中,所述网络设备为多核多线程结构,所述网络设备上通过cp任务线程来协商所述预设个数的IKE隧道,所述网络设备上通过dp任务线程来对所述预设个数的IKE隧道进行协商结果的统一处理;
其中,所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道时,对新建IKE隧道的第一阶段,不进行安全匹配,直接创建IKE协商的第一阶段节点;
其中,所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道时,对新建IKE隧道的第二阶段,不进行流量保护规则匹配,直接创建IKE协商的第二阶段节点。
2.如权利要求1所述的方法,其特征在于,所述网络设备将所述预设个数的IKE隧道进行协商结果的统一处理时,将所述预设个数的IKE隧道对应的协商结果发送至所述网络性能测试仪,所述协商结果包括:加解密密钥。
3.如权利要求2所述的方法,其特征在于,所述协商结果还包括:流量保护规则。
4.如权利要求1~3中任一项所述的方法,其特征在于,所述网络设备为防火墙、路由器或交换机。
CN201210231121.8A 2012-07-04 2012-07-04 Ipsec协商测试方法 Expired - Fee Related CN102752171B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210231121.8A CN102752171B (zh) 2012-07-04 2012-07-04 Ipsec协商测试方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210231121.8A CN102752171B (zh) 2012-07-04 2012-07-04 Ipsec协商测试方法

Publications (2)

Publication Number Publication Date
CN102752171A CN102752171A (zh) 2012-10-24
CN102752171B true CN102752171B (zh) 2015-03-25

Family

ID=47032077

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210231121.8A Expired - Fee Related CN102752171B (zh) 2012-07-04 2012-07-04 Ipsec协商测试方法

Country Status (1)

Country Link
CN (1) CN102752171B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104935594B (zh) * 2015-06-16 2018-05-08 新华三技术有限公司 基于虚拟可扩展局域网隧道的报文处理方法及装置
CN105610577B (zh) * 2016-01-07 2018-09-14 成都卫士通信息产业股份有限公司 一种防止IPSec VPN设备多隧道IKE协商失败的系统及方法
CN113037690A (zh) * 2019-12-24 2021-06-25 华为技术有限公司 一种基于IKE协议的IPsec SA协商方法及设备
CN112839355B (zh) * 2021-01-13 2022-06-14 深圳震有科技股份有限公司 一种5g网络的网络中ipsec测试系统和方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006021156A1 (fr) * 2004-08-25 2006-03-02 Huawei Technologies Co., Ltd. Procede destine a assurer la mobilite d'un hote reseau et une fonction multi-localite
CN101030935A (zh) * 2007-04-05 2007-09-05 中山大学 一种IPSec穿越NAT-PT的方法
CN101051891A (zh) * 2007-05-22 2007-10-10 网御神州科技(北京)有限公司 一种安全网关中进行安全策略统一处理的方法及装置
CN101106454A (zh) * 2007-08-17 2008-01-16 杭州华三通信技术有限公司 发起互联网密钥交换协商的方法和设备
CN101471839A (zh) * 2007-12-29 2009-07-01 北京天融信网络安全技术有限公司 多核异步实现IPSec vpn的方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006021156A1 (fr) * 2004-08-25 2006-03-02 Huawei Technologies Co., Ltd. Procede destine a assurer la mobilite d'un hote reseau et une fonction multi-localite
CN101030935A (zh) * 2007-04-05 2007-09-05 中山大学 一种IPSec穿越NAT-PT的方法
CN101051891A (zh) * 2007-05-22 2007-10-10 网御神州科技(北京)有限公司 一种安全网关中进行安全策略统一处理的方法及装置
CN101106454A (zh) * 2007-08-17 2008-01-16 杭州华三通信技术有限公司 发起互联网密钥交换协商的方法和设备
CN101471839A (zh) * 2007-12-29 2009-07-01 北京天融信网络安全技术有限公司 多核异步实现IPSec vpn的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种新的支持组播隧道的VPN系统模型;李之棠;《小型微型计算机系统》;20070531(第5期);第4节 *

Also Published As

Publication number Publication date
CN102752171A (zh) 2012-10-24

Similar Documents

Publication Publication Date Title
CN102752171B (zh) Ipsec协商测试方法
Guo et al. Modeling distributed denial of service attack in advanced metering infrastructure
CN102255920A (zh) 一种vpn配置信息的发送方法和设备
CN108476138A (zh) 监控计算机网络中的通信
KR101692155B1 (ko) 소프트웨어 정의 네트워크에서 취약점을 분석하는 방법, 장치 및 컴퓨터 프로그램
Sjoholmsierchio et al. Strengthening SDN security: Protocol dialecting and downgrade attacks
Koganti et al. A virtual testbed for security management of industrial control systems
CN108605264A (zh) 网络管理
CN106797378A (zh) 用于控制通信网络的装置和方法
CN111049897A (zh) 小程序包的加密上传和解密部署方法、装置、设备和介质
Sharad et al. Evaluation and implementation of cluster head selection in WSN using Contiki/Cooja simulator
JP2013118500A (ja) 認証装置、認証方法および認証プログラム
US20160323266A1 (en) Method, management apparatus and device for certificate-based authentication of communication partners in a device
CN106161363A (zh) 一种ssl连接建立的方法及系统
CN113518095A (zh) Ssh集群的部署方法、装置、设备以及存储介质
Zhang et al. Towards verifiable performance measurement over in-the-cloud middleboxes
US10887218B2 (en) Enhanced dynamic encryption packet segmentation
Wang et al. A novel model for the internet worm propagation
JP2017147516A (ja) DDoS攻撃情報共有装置、動作方法及びプログラム
Gamer et al. Simulative evaluation of distributed attack detection in large-scale realistic environments
Ohara et al. On the impact of mobile network delays on connection establishment performance of a carrier grade NAT device
Du et al. DTC: A Dynamic Trusted Collaboration Architecture for Mobile Edge Computing
Surantha Secure Portable Virtual Private Network with Rabbit Stream Cipher Algorithm
CN108021407B (zh) 基于网络设备的业务处理方法及装置
Zhou et al. A scheme for lightweight SCADA packet authentication

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20150325

Termination date: 20180704