CN102752171B - Ipsec协商测试方法 - Google Patents
Ipsec协商测试方法 Download PDFInfo
- Publication number
- CN102752171B CN102752171B CN201210231121.8A CN201210231121A CN102752171B CN 102752171 B CN102752171 B CN 102752171B CN 201210231121 A CN201210231121 A CN 201210231121A CN 102752171 B CN102752171 B CN 102752171B
- Authority
- CN
- China
- Prior art keywords
- ike
- network equipment
- negotiation
- predetermined number
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种IPSEC协商测试方法,涉及网络通信技术领域,在通过网络性能测试仪对网络设备进行IPSEC协商测试时,所述方法包括以下步骤:所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道后,所述网络设备将所述预设个数的IKE隧道进行协商结果的统一处理;所述网络性能测试仪根据所述统一处理的结果获得所述网络设备的IPSEC协商性能参数。本发明通过在协商预设个数的IKE隧道后,对协商结果进行统一处理,极大地减小了在IKE隧道的数量增加时,对网络设备IPSEC性能测试的影响,实现了测试网络设备的真实IPSEC性能。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种IPSEC协商测试方法。
背景技术
网络设备为提高处理速度,常采用多核多线程结构,多核CPU分别对应一个线程,线程可分为管理层cp(control point)任务线程和数据层dp(data point)任务线程,即cp任务线程为处理协商报文并生成协商状态节点,dp任务线程为处理数据报文进行加解密。在协商一个IKE隧道后,cp任务线程协商IKE隧道,协商IKE隧道完成后将协商结果同步给dp任务线程,dp任务线程对该协商结果进行处理,现有技术中都是cp任务线程协商一个IKE隧道,dp任务线程处理一个协商结果,这样大大影响了协商速度,特别是IKE使用动态协商时,会动态生成流量保护规则,此时会更新整个dp任务线程的流量保护规则表,协商IKE的数目越多,更新的越慢。
在用网络性能测试仪(例如ixia测试仪)等装置对网络设备进行IPSEC性能指标测试时,随着IKE隧道协商数的增加,协商速度越来越慢,最后慢到2秒处理一个报文(网络性能测试仪最大只能支持1秒一个报文的最慢速度),此协商速度的衰减,导致无法通过网络性能测试仪测试网络设备的真实IPSEC性能。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何测试网络设备的真实IPSEC性能。
(二)技术方案
为解决上述技术方案,本发明提供了一种IPSEC协商测试方法,在通过网络性能测试仪对网络设备进行IPSEC协商测试时,所述方法包括以下步骤:
所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道后,所述网络设备将所述预设个数的IKE隧道进行协商结果的统一处理;
所述网络性能测试仪根据所述统一处理的结果获得所述网络设备的IPSEC协商性能参数。
其中,所述网络设备为多核多线程结构,所述网络设备上通过cp任务线程来协商所述预设个数的IKE隧道,所述网络设备上通过dp任务线程来对所述预设个数的IKE隧道进行协商结果的统一处理。
其中,所述网络设备将所述预设个数的IKE隧道进行协商结果的统一处理时,将所述预设个数的IKE隧道对应的协商结果发送至所述网络性能测试仪,所述协商结果包括:加解密密钥。
其中,所述协商结果还包括:流量保护规则。
其中,所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道时,对新建IKE隧道的第一阶段,不进行安全匹配,直接创建IKE协商的第一阶段节点。
其中,所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道时,对新建IKE隧道的第二阶段,不进行流量保护规则匹配,直接创建IKE协商的第二阶段节点。
其中,所述网络设备为防火墙、路由器或交换机。
(三)有益效果
本发明通过在协商预设个数的IKE隧道后,对协商结果进行统一处理,极大地减小了在IKE隧道的数量增加时,对网络设备IPSEC性能测试的影响,实现了测试网络设备的真实IPSEC性能,经测试结果表明,本发明能够支持最大3w的协商IKE隧道数。
附图说明
图1是按照本发明一种实施方式的IPSEC协商测试方法的流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是按照本发明一种实施方式的IPSEC协商测试方法的流程图;参照图1,在通过网络性能测试仪对网络设备进行IPSEC协商测试时,所述方法包括以下步骤:
S100:所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道后,所述网络设备将所述预设个数的IKE隧道进行协商结果的统一处理;
S200:所述网络性能测试仪根据所述统一处理的结果获得所述网络设备的IPSEC协商性能参数。
优选地,所述网络设备为多核多线程结构,所述网络设备上通过cp任务来协商所述预设个数的IKE隧道,所述网络设备上通过dp任务来对所述预设个数的IKE隧道进行协商结果的统一处理。
优选地,步骤S100中,所述网络设备将所述预设个数的IKE隧道进行协商结果的统一处理时,将所述预设个数的IKE隧道对应的协商结果发送至所述网络性能测试仪,所述协商结果包括:加解密密钥。
优选地,所述协商结果还包括:流量保护规则。
由于在通过网络性能测试仪进行IPSEC协商测试时,并不存在网络攻击,为防止安全匹配所导致的性能衰减,优选地,步骤S100中,所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道时,对新建IKE隧道的第一阶段,不进行安全匹配,直接创建IKE协商的第一阶段节点。
为防止流量保护规则匹配时,所导致的性能衰减,优选地,步骤S100中,所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道时,对新建IKE隧道的第二阶段,不进行流量保护规则匹配,直接创建IKE协商的第二阶段节点。
优选地,所述网络设备为防火墙、路由器或交换机等设备。
下面以ixia测试仪为例对本发明进行说明,但不限定本发明的保护范围。
ixia测试仪的工作原理是先进行IKE隧道的协商,都协商完后再对每个隧道进行打流(所述打流为数据流测试,数据流在隧道的保护下进行加密处理,经过加密处理后的数据流变成加密流),再分别加载了协商隧道配置,之后再加载隧道打流配置,以打2w条隧道为例:
1、ixia测试仪进行隧道协商配置加载并开始协商,防火墙与测试仪建立连接。
2、测试仪开始进行流量的加载,此时会有约30秒以上的加载时间,此时防火墙在建立完2w条隧道后cp任务线程开始向dp任务线程下发协商后的数据,包括加解密密钥和流量保护规则,此时测试仪加载流量配置的时间一定远大于cp任务线程向dp任务线程下发数据时间。
3、当测试仪流量配置加载好以后,此时防火墙也完成了cp任务线程向dp任务线程下发数据的工作,则打流测试也可以通过。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (4)
1.一种IPSEC协商测试方法,在通过网络性能测试仪对网络设备进行IPSEC协商测试时,其特征在于,所述方法包括以下步骤:
所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道后,所述网络设备将所述预设个数的IKE隧道进行协商结果的统一处理;
所述网络性能测试仪根据所述统一处理的结果获得所述网络设备的IPSEC协商性能参数;
其中,所述网络设备为多核多线程结构,所述网络设备上通过cp任务线程来协商所述预设个数的IKE隧道,所述网络设备上通过dp任务线程来对所述预设个数的IKE隧道进行协商结果的统一处理;
其中,所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道时,对新建IKE隧道的第一阶段,不进行安全匹配,直接创建IKE协商的第一阶段节点;
其中,所述网络设备和网络性能测试仪之间协商预设个数的IKE隧道时,对新建IKE隧道的第二阶段,不进行流量保护规则匹配,直接创建IKE协商的第二阶段节点。
2.如权利要求1所述的方法,其特征在于,所述网络设备将所述预设个数的IKE隧道进行协商结果的统一处理时,将所述预设个数的IKE隧道对应的协商结果发送至所述网络性能测试仪,所述协商结果包括:加解密密钥。
3.如权利要求2所述的方法,其特征在于,所述协商结果还包括:流量保护规则。
4.如权利要求1~3中任一项所述的方法,其特征在于,所述网络设备为防火墙、路由器或交换机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210231121.8A CN102752171B (zh) | 2012-07-04 | 2012-07-04 | Ipsec协商测试方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210231121.8A CN102752171B (zh) | 2012-07-04 | 2012-07-04 | Ipsec协商测试方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102752171A CN102752171A (zh) | 2012-10-24 |
| CN102752171B true CN102752171B (zh) | 2015-03-25 |
Family
ID=47032077
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210231121.8A Expired - Fee Related CN102752171B (zh) | 2012-07-04 | 2012-07-04 | Ipsec协商测试方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102752171B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104935594B (zh) * | 2015-06-16 | 2018-05-08 | 新华三技术有限公司 | 基于虚拟可扩展局域网隧道的报文处理方法及装置 |
| CN105610577B (zh) * | 2016-01-07 | 2018-09-14 | 成都卫士通信息产业股份有限公司 | 一种防止IPSec VPN设备多隧道IKE协商失败的系统及方法 |
| CN113037690A (zh) * | 2019-12-24 | 2021-06-25 | 华为技术有限公司 | 一种基于IKE协议的IPsec SA协商方法及设备 |
| CN112839355B (zh) * | 2021-01-13 | 2022-06-14 | 深圳震有科技股份有限公司 | 一种5g网络的网络中ipsec测试系统和方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006021156A1 (fr) * | 2004-08-25 | 2006-03-02 | Huawei Technologies Co., Ltd. | Procede destine a assurer la mobilite d'un hote reseau et une fonction multi-localite |
| CN101030935A (zh) * | 2007-04-05 | 2007-09-05 | 中山大学 | 一种IPSec穿越NAT-PT的方法 |
| CN101051891A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种安全网关中进行安全策略统一处理的方法及装置 |
| CN101106454A (zh) * | 2007-08-17 | 2008-01-16 | 杭州华三通信技术有限公司 | 发起互联网密钥交换协商的方法和设备 |
| CN101471839A (zh) * | 2007-12-29 | 2009-07-01 | 北京天融信网络安全技术有限公司 | 多核异步实现IPSec vpn的方法 |
-
2012
- 2012-07-04 CN CN201210231121.8A patent/CN102752171B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006021156A1 (fr) * | 2004-08-25 | 2006-03-02 | Huawei Technologies Co., Ltd. | Procede destine a assurer la mobilite d'un hote reseau et une fonction multi-localite |
| CN101030935A (zh) * | 2007-04-05 | 2007-09-05 | 中山大学 | 一种IPSec穿越NAT-PT的方法 |
| CN101051891A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种安全网关中进行安全策略统一处理的方法及装置 |
| CN101106454A (zh) * | 2007-08-17 | 2008-01-16 | 杭州华三通信技术有限公司 | 发起互联网密钥交换协商的方法和设备 |
| CN101471839A (zh) * | 2007-12-29 | 2009-07-01 | 北京天融信网络安全技术有限公司 | 多核异步实现IPSec vpn的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 一种新的支持组播隧道的VPN系统模型;李之棠;《小型微型计算机系统》;20070531(第5期);第4节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102752171A (zh) | 2012-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102752171B (zh) | Ipsec协商测试方法 | |
| Guo et al. | Modeling distributed denial of service attack in advanced metering infrastructure | |
| CN102255920A (zh) | 一种vpn配置信息的发送方法和设备 | |
| CN108476138A (zh) | 监控计算机网络中的通信 | |
| CN103491084A (zh) | 一种客户端的认证处理方法及装置 | |
| Bye et al. | Application-level simulation for network security | |
| Sjoholmsierchio et al. | Strengthening SDN security: Protocol dialecting and downgrade attacks | |
| KR20160145373A (ko) | 소프트웨어 정의 네트워크에서 취약점을 분석하는 방법, 장치 및 컴퓨터 프로그램 | |
| Koganti et al. | A virtual testbed for security management of industrial control systems | |
| CN111049897A (zh) | 小程序包的加密上传和解密部署方法、装置、设备和介质 | |
| CN103780389A (zh) | 基于端口认证的方法及网络设备 | |
| Sharad et al. | Evaluation and implementation of cluster head selection in WSN using Contiki/Cooja simulator | |
| JP2013118500A (ja) | 認証装置、認証方法および認証プログラム | |
| CN106161363A (zh) | 一种ssl连接建立的方法及系统 | |
| CN117478428A (zh) | 一种隐身通信系统和配置方法 | |
| CN113518095A (zh) | Ssh集群的部署方法、装置、设备以及存储介质 | |
| Zhang et al. | Towards verifiable performance measurement over in-the-cloud middleboxes | |
| Wang et al. | A novel model for the internet worm propagation | |
| JP2017147516A (ja) | DDoS攻撃情報共有装置、動作方法及びプログラム | |
| Gamer et al. | Simulative evaluation of distributed attack detection in large-scale realistic environments | |
| Ohara et al. | On the impact of mobile network delays on connection establishment performance of a carrier grade NAT device | |
| Du et al. | DTC: A Dynamic Trusted Collaboration Architecture for Mobile Edge Computing | |
| Surantha | Secure Portable Virtual Private Network with Rabbit Stream Cipher Algorithm | |
| CN108021407B (zh) | 基于网络设备的业务处理方法及装置 | |
| Zhou et al. | A scheme for lightweight SCADA packet authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150325 Termination date: 20180704 |