CN102891766B - 一种ipsec状态恢复方法 - Google Patents
一种ipsec状态恢复方法 Download PDFInfo
- Publication number
- CN102891766B CN102891766B CN201210361553.0A CN201210361553A CN102891766B CN 102891766 B CN102891766 B CN 102891766B CN 201210361553 A CN201210361553 A CN 201210361553A CN 102891766 B CN102891766 B CN 102891766B
- Authority
- CN
- China
- Prior art keywords
- firewall
- ipsec tunnel
- master firewall
- compartment wall
- fire compartment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种ipsec状态恢复方法,包括以下步骤:S1:主防火墙a与远端防火墙c建立ipsec隧道;S2:如果主防火墙a异常,主防火墙a和备防火墙b进行主备防火墙的变换,主防火墙a变换为备防火墙a,备防火墙b变换为主防火墙b;S3:主防火墙b接收加密报文,如果主防火墙b的ipsec隧道状态不同步,则执行步骤S4,如果主防火墙b的ipsec隧道状态同步,则结束;S4:主防火墙b发起反向ike协商,与远端防火墙c建立ipsec隧道;本发明解决了现有技术中单纯的靠keepalive或dpd来感知对端异常的问题,且无需像dpd或keepalive那样等待,能够减少断流的时间。
Description
技术领域
本发明涉及计算机网络技术领域,特别涉及一种ipsec状态恢复方法。
背景技术
防火墙是用来保护网络中计算机安全的重要设备,一旦防火墙发生故障,会给政府、企业造成不小的损失,为了解决防火墙单点故障引起的整个网络瘫痪问题,业内工作者提出了两台防火墙实时热备的功能,即防火墙e为主防火墙,防火墙f为备防火墙;如图2所示,在步骤A中,主防火墙e和远端防火墙g建立ipsec隧道,数据通过该ipsec隧道进行传输;在步骤B中,当主防火墙e异常后,主防火墙e和备防火墙f进行主备防火墙的切换,此时主防火墙e变成了备防火墙e,备防火墙f变成了主防火墙f,所有数据流都被切换到主防火墙f上;在步骤C中,远端防火墙g并不知道对端异常,仍然发送加密的esp或ah报文给主防火墙f,由于现有的设备大部分不支持ipsec隧道状态同步,则此时主防火墙f接收到加密的esp或ah报文后,发现没有对应的ipsec隧道进行报文解密,就会丢弃此报文;在步骤D中,远端防火墙g只有通过长时间的dpd探测或keepalive探测才能发现对端异常,删除本端ipsec隧道,与主防火墙f重新建立ipsec隧道;而等待dpd探测或keepalive探测需要较长的时间,整个防火墙系统在此期间处于瘫痪状态,导致网络数据断流的时间较长,因此,现有技术确有待于提高。
发明内容
针对现有技术存在的不足,本发明提出了一种主备防火墙切换后的ipsec状态快速恢复的方法,并通过以下的技术方案予以实现:
一种ipsec状态恢复方法,包括以下步骤:
S1:主防火墙a与远端防火墙c建立ipsec隧道;
S2:如果主防火墙a异常,主防火墙a和备防火墙b进行主备防火墙的变换,主防火墙a变换为备防火墙a,备防火墙b变换为主防火墙b;
S3:主防火墙b接收加密报文,如果主防火墙b的ipsec隧道状态不同步,则执行步骤S4,如果主防火墙b的ipsec隧道状态同步,则结束;
S4:主防火墙b发起反向ike协商,与远端防火墙c建立ipsec隧道。
所述步骤S4中,主防火墙b根据所述加密报文的目的地址找到相应的ipsec隧道属性配置,建立由主防火墙b到远端防火墙c的ipsec隧道。
所述步骤S4进一步包括设置ipsec隧道的生存时间。
所述步骤S4进一步包括在主防火墙b发起反向ike协商之前,判断已启动时间长度是否超出所述ipsec隧道的生存时间:若是,则主防火墙b发起反向ike协商;若不是,则主防火墙b将接收到的加密报文直接丢弃;其中,所述已启动时间长度是指从主备防火墙切换到主防火墙b接收到第一个加密报文的时间段。
所述步骤S4中,远端防火墙c与主防火墙b建立新的ipsec隧道后,直接将与主防火墙a建立的ipsec隧道丢弃。
在本发明中,当主防火墙a和备防火墙b切换后,新的主防火墙b接收到没有对应的ipsec隧道能够解密的esp或ah报文时,根据接收到的加密报文的目的地址发起反向ike协商来建立ipsec隧道,解决了现有技术中单纯的靠keepalive或dpd来感知对端异常的问题,且无需像dpd或keepalive那样等待,能够减少断流的时间。
附图说明
图1为本发明的流程图;
图2为现有技术的流程图。
具体实施方式
下面对于本发明所提出的一种ipsec状态恢复方法,结合附图和实施例详细说明。
实施例1:
本发明提供一种ipsec状态恢复方法,包括以下步骤:
S1:主防火墙a与远端防火墙c建立ipsec隧道;
S2:如果主防火墙a异常,主防火墙a和备防火墙b进行主备防火墙的变换,主防火墙a变换为备防火墙a,备防火墙b变换为主防火墙b;
S3:主防火墙b接收加密报文,如果主防火墙b的ipsec隧道状态不同步,则执行步骤S4,如果主防火墙b的ipsec隧道状态同步,则结束;
S4:主防火墙b发起反向ike协商,与远端防火墙c建立ipsec隧道。
所述步骤S4中,主防火墙b根据所述加密报文的目的地址找到相应的ipsec隧道属性配置,建立由主防火墙b到远端防火墙c的ipsec隧道。
所述步骤S4进一步包括设置ipsec隧道的生存时间。
所述步骤S4进一步包括在主防火墙b发起反向ike协商之前,判断已启动时间长度是否超出所述ipsec隧道的生存时间:若是,则主防火墙b发起反向ike协商;若不是,则主防火墙b将接收到的加密报文直接丢弃;其中,所述已启动时间长度是指从主备防火墙切换到主防火墙b接收到第一个加密报文的时间段。
所述步骤S4中,远端防火墙c与主防火墙b建立新的ipsec隧道后,直接将与主防火墙a建立的ipsec隧道丢弃。
实施例2:
本实施例提供一种ipsec状态恢复方法,更详细的说明ipsec状态是如何恢复的。
如图1所示,在初始情况下,主防火墙a与远端防火墙c建立ipsec隧道,数据通过主防火墙a和远端防火墙c建立的ipsec隧道进行传输;当主防火墙a异常后,主防火墙a和备防火墙b进行主备防火墙的切换,此时主防火墙a变成了备防火墙,备防火墙b变成了主防火墙,所有数据流都被切换到新的主防火墙b上。
远端防火墙c并不知道对端异常,仍然发送加密的esp或ah报文给主防火墙b,由于现有的设备大部分不支持ipsec隧道状态同步,例如cisco设备就不支持隧道状态同步,主防火墙b接收到加密的esp或ah报文后,发现没有对应的ipsec隧道进行报文解密,主防火墙b根据接收到的加密报文的目的地址找到相应的ipsec隧道属性配置,建立由主防火墙b到远端防火墙c的隧道,在该过程中,需设置ipsec隧道的生存时间;并且在主防火墙b发起反向ike协商之前,判断已启动时间长度是否超出所述ipsec隧道的生存时间:若是,则主防火墙b发起反向ike协商;若不是,则主防火墙b将接收到的加密报文直接丢弃;其中,所述已启动时间长度是指从主备防火墙切换到主防火墙b接收到第一个加密报文的时间段。
远端防火墙c接收到ike协商后,建立起新的ipsec隧道,并直接废弃之前主防火墙a与远端防火墙c建立的ipsec隧道,通过新的主防火墙b与远端防火墙c建立的隧道进行数据的传送。
在未发生主备防火墙切换的情况下,主防火墙a接收到的esp或ah报文,或当已启动时间长度超出所述ipsec隧道的生存时间,备防火墙a接收到的esp或ah报文,均因为无法找到相应的ipsec隧道进行解密,而被认为是异常无效报文直接丢弃。
由以上实施例可以看出,在本发明中,当主防火墙a和备防火墙b切换后,新的主防火墙b接收到没有对应的ipsec隧道能够解密的esp或ah报文时,根据接收到的加密报文的目的地址发起反向ike协商来建立ipsec隧道,解决了现有技术中单纯的靠keepalive或dpd来感知对端异常的问题,且无需像dpd或keepalive那样等待,能够减少断流的时间。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (5)
1.一种ipsec状态恢复方法,其特征在于,包括以下步骤:
S1:主防火墙a与远端防火墙c建立ipsec隧道;
S2:如果主防火墙a异常,主防火墙a和备防火墙b进行主备防火墙的变换,主防火墙a变换为备防火墙a,备防火墙b变换为主防火墙b;
S3:主防火墙b接收远端防火墙c发送的加密报文,如果主防火墙b的ipsec隧道状态与远端防火墙c的ipsec隧道状态不同步,则执行步骤S4,如果主防火墙b的ipsec隧道状态与远端防火墙c的ipsec隧道状态同步,则结束;
S4:主防火墙b发起反向ike协商,与远端防火墙c建立ipsec隧道。
2.如权利要求1所述的方法,其特征在于,所述步骤S4中,主防火墙b根据所述加密报文的目的地址发起反向ike协商,建立由主防火墙b到远端防火墙c的ipsec隧道。
3.如权利要求1所述的方法,其特征在于,所述步骤S4进一步包括设置ipsec隧道的生存时间。
4.如权利要求3所述的方法,其特征在于,所述步骤S4进一步包括在主防火墙b发起反向ike协商之前,判断已启动时间长度是否超出所述ipsec隧道的生存时间:若是,则主防火墙b发起反向ike协商;若不是,则主防火墙b将接收到的加密报文直接丢弃,并发起反向ike协商;
其中,所述已启动时间长度是指从主备防火墙切换到主防火墙b接收到第一个加密报文的时间段。
5.如权利要求1所述的方法,其特征在于,所述步骤S4中,远端防火墙c与主防火墙b建立新的ipsec隧道后,直接将与主防火墙a建立的ipsec隧道丢弃。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210361553.0A CN102891766B (zh) | 2012-09-25 | 2012-09-25 | 一种ipsec状态恢复方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210361553.0A CN102891766B (zh) | 2012-09-25 | 2012-09-25 | 一种ipsec状态恢复方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102891766A CN102891766A (zh) | 2013-01-23 |
| CN102891766B true CN102891766B (zh) | 2015-04-22 |
Family
ID=47535141
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210361553.0A Expired - Fee Related CN102891766B (zh) | 2012-09-25 | 2012-09-25 | 一种ipsec状态恢复方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102891766B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104639499B (zh) * | 2013-11-06 | 2018-05-22 | 中国移动通信集团广东有限公司 | 一种防火墙监控方法、装置和网管平台 |
| CN103957079A (zh) * | 2014-04-30 | 2014-07-30 | 杭州华三通信技术有限公司 | 一种hdlc网络中的协商方法和设备 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1750533A (zh) * | 2004-09-15 | 2006-03-22 | 华为技术有限公司 | 一种实现安全联盟备份和切换的方法 |
| CN1791098A (zh) * | 2004-12-13 | 2006-06-21 | 华为技术有限公司 | 一种实现安全联盟同步的方法 |
| CN1886936A (zh) * | 2003-10-24 | 2006-12-27 | Ut斯达康公司 | 用于点对点协议装置冗余的系统及方法 |
| CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
| CN101132406A (zh) * | 2007-09-25 | 2008-02-27 | 杭州华三通信技术有限公司 | 一种使用互联网协议安全多隧道的方法及三层设备 |
| CN101262409A (zh) * | 2008-04-23 | 2008-09-10 | 华为技术有限公司 | 虚拟私有网络vpn接入方法和装置 |
| CN101299665A (zh) * | 2008-05-19 | 2008-11-05 | 华为技术有限公司 | 报文处理方法、系统及装置 |
| CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
| CN101605060A (zh) * | 2009-07-14 | 2009-12-16 | 中兴通讯股份有限公司 | 一种单板级的IPSec主备方法及装置 |
| CN102571497A (zh) * | 2012-01-29 | 2012-07-11 | 华为技术有限公司 | 一种IPSec隧道故障检测的方法、装置及系统 |
| CN102594646A (zh) * | 2011-12-31 | 2012-07-18 | 成都市华为赛门铁克科技有限公司 | 一种因特网协议安全隧道切换方法、装置及传输系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080172582A1 (en) * | 2007-01-12 | 2008-07-17 | David Sinicrope | Method and system for providing peer liveness for high speed environments |
-
2012
- 2012-09-25 CN CN201210361553.0A patent/CN102891766B/zh not_active Expired - Fee Related
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1886936A (zh) * | 2003-10-24 | 2006-12-27 | Ut斯达康公司 | 用于点对点协议装置冗余的系统及方法 |
| CN1750533A (zh) * | 2004-09-15 | 2006-03-22 | 华为技术有限公司 | 一种实现安全联盟备份和切换的方法 |
| CN1791098A (zh) * | 2004-12-13 | 2006-06-21 | 华为技术有限公司 | 一种实现安全联盟同步的方法 |
| CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
| CN101132406A (zh) * | 2007-09-25 | 2008-02-27 | 杭州华三通信技术有限公司 | 一种使用互联网协议安全多隧道的方法及三层设备 |
| CN101262409A (zh) * | 2008-04-23 | 2008-09-10 | 华为技术有限公司 | 虚拟私有网络vpn接入方法和装置 |
| CN101299665A (zh) * | 2008-05-19 | 2008-11-05 | 华为技术有限公司 | 报文处理方法、系统及装置 |
| CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
| CN101605060A (zh) * | 2009-07-14 | 2009-12-16 | 中兴通讯股份有限公司 | 一种单板级的IPSec主备方法及装置 |
| CN102594646A (zh) * | 2011-12-31 | 2012-07-18 | 成都市华为赛门铁克科技有限公司 | 一种因特网协议安全隧道切换方法、装置及传输系统 |
| CN102571497A (zh) * | 2012-01-29 | 2012-07-11 | 华为技术有限公司 | 一种IPSec隧道故障检测的方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| IPsec VPN双机热备系统设计与实现;吴晓辉;《中国优秀硕士学位论文全文数据库信息科技辑》;20120715;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102891766A (zh) | 2013-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101917294B (zh) | 主备切换时更新防重放参数的方法和设备 | |
| CN103475655B (zh) | 一种实现IPSecVPN主备链路动态切换的方法 | |
| CN101753553B (zh) | 安全隔离与信息交换系统及方法 | |
| CN101577725B (zh) | 一种防重放机制中的信息同步方法、装置和系统 | |
| CN102571497B (zh) | 一种IPSec隧道故障检测的方法、装置及系统 | |
| CN102946333B (zh) | 一种基于IPsec的DPD探测方法和设备 | |
| CN101018233B (zh) | 会话的控制方法及控制装置 | |
| CN102420770B (zh) | Ike报文协商方法及设备 | |
| CN101197664A (zh) | 一种密钥管理协议协商的方法、系统和装置 | |
| CN103227777B (zh) | 一种防止dpd探测失败导致ipsec隧道震荡的方法 | |
| CN102891848B (zh) | 利用IPSec安全联盟进行加密解密的方法 | |
| WO2013097523A1 (zh) | 一种因特网协议安全隧道切换方法、装置及传输系统 | |
| JP2003204349A (ja) | ノード装置及び通信制御方法 | |
| CN102137100A (zh) | 构建ip层ssl vpn隧道的方法 | |
| CN102571488B (zh) | 一种加密卡故障处理方法、装置与系统 | |
| EP3599751B1 (en) | Maintaining internet protocol security tunnels | |
| CN102970293A (zh) | 一种设备间安全联盟同步方法及装置 | |
| CN106254231A (zh) | 一种基于状态的工业安全加密网关及其实现方法 | |
| JP2016063234A (ja) | 通信装置の通信制御方法,通信装置,通信制御システム | |
| CN103067216B (zh) | 跨安全区的反向通信方法、装置及系统 | |
| CN102891766B (zh) | 一种ipsec状态恢复方法 | |
| WO2014183672A1 (zh) | 一种接收端pdcp层hfn失步的恢复方法和设备 | |
| CN106161386B (zh) | 一种实现IPsec分流的方法和装置 | |
| CN104104573A (zh) | 用于网络设备的IPsec隧道的控制方法和系统 | |
| CN102868523A (zh) | 一种ike协商方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20180823 Granted publication date: 20150422 |
|
| PP01 | Preservation of patent right | ||
| PD01 | Discharge of preservation of patent |
Date of cancellation: 20210823 Granted publication date: 20150422 |
|
| PD01 | Discharge of preservation of patent | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150422 Termination date: 20180925 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |