CN103200194A - 一种ipsec隧道加密报文的流程优化装置及方法 - Google Patents
一种ipsec隧道加密报文的流程优化装置及方法 Download PDFInfo
- Publication number
- CN103200194A CN103200194A CN2013101052278A CN201310105227A CN103200194A CN 103200194 A CN103200194 A CN 103200194A CN 2013101052278 A CN2013101052278 A CN 2013101052278A CN 201310105227 A CN201310105227 A CN 201310105227A CN 103200194 A CN103200194 A CN 103200194A
- Authority
- CN
- China
- Prior art keywords
- ipsec tunnel
- message
- ipsec
- peer
- outgoing interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种ipsec隧道加密报文的流程优化方法,包括以下步骤:S1、两端ipsec对等体之间建立ipsec隧道,判断报文是否与所述ipsec隧道匹配,若是,则执行步骤S2;S2、判断所述ipsec隧道的出接口是否断开,若是,则执行步骤S3;若不是,则执行步骤S4;S3、所述ipsec对等体的路由模块删除该出接口的所有路由,并将所述报文丢弃;S4、对所述报文进行加密,并将加密后的所述报文按照查找到的出接口进行转发;本发明减少了ipsec对等体对报文进行不必要的加密而导致cpu资源浪费的问题。
Description
技术领域
本发明涉及计算机网络领域,特别涉及一种ipsec隧道加密报文的流程优化装置及方法。
背景技术
Ipsec隧道用于对数据报文进行加密,使加密后的数据报文可以在公网上进行转发,以防止第三方对所述数据报文内容的窃取和篡改,保证了数据报文的安全。
在现有技术中,当有数据报文需要转发时,先将其与ipsec隧道进行匹配,对与所述ipsec隧道匹配上的报文进行加密,并根据所述报文查找的路由出接口将其进行转发;当ipsec隧道出现异常时,使用dpd和keepalive等检测手段断开ipsec隧道连接。在判断所述ipsec隧道是否断开的过程中,需要dpd的多次发送检测,这个过程需要一定的时间,例如5秒钟检测,检测3次失败后就断开隧道,那么就会出现ipsec对等体对所述报文加密15秒,在此过程中,加密的报文查找路由出接口失败,则将该报文丢弃。但是ipsec对等体对所述报文进行加密是一件非常耗费cpu的事情,对不必要的报文进行加密将会影响整个设备的转发性能。
发明内容
针对现有技术的不足,本发明提供一种ipsec隧道加密报文的流程优化装置及方法,以减少ipsec对等体对报文进行不必要的加密而导致cpu资源浪费的问题。
为实现以上目的,本发明通过以下技术方案予以实现:
本发明提供一种ipsec隧道加密报文的流程优化方法,包括以下步骤:
S1、两端ipsec对等体之间建立ipsec隧道,判断报文是否与所述ipsec隧道匹配,若是,则执行步骤S2;
S2、判断所述ipsec隧道的出接口是否断开,若是,则执行步骤S3;若不是,则执行步骤S4;
S3、所述ipsec对等体的路由模块删除该出接口的所有路由,并将所述报文丢弃;
S4、对所述报文进行加密,并将加密后的所述报文按照查找到的出接口进行转发。
优选的,所述步骤S1进一步包括:若所述报文与所述ipsec隧道不匹配,则将所述报文按照查找到的路由进行转发。
优选的,所述步骤S1进一步包括:所述ipsec隧道通过ipsec隧道匹配规则与所述报文进行匹配。
本发明还提供一种ipsec隧道加密报文的流程优化装置,包括有:
匹配单元,用于使两端ipsec对等体之间建立ipsec隧道,并判断报文是否与所述ipsec隧道匹配;
判断单元,用于当所述报文与所述ipsec隧道匹配时,判断所述ipsec隧道的出接口是否断开;
路由删除单元,用于当所述ipsec隧道的出接口断开时,使所述ipsec对等体的路由模块删除该出接口的所有路由,并将所述报文丢弃;
加密单元,用于当所述ipsec隧道的出接口没有断开时,对所述报文进行加密,并将加密后的所述报文按照查找到的出接口进行转发。
优选的,所述装置进一步包括:转发单元,用于当所述报文与所述ipsec隧道不匹配时,将所述报文按照查找到的路由进行转发。
优选的,所述匹配单元进一步用于使所述ipsec隧道通过ipsec隧道匹配规则与所述报文进行匹配。
本发明提供一种ipsec隧道加密报文的流程优化装置及方法,通过先确认ipsec隧道的路由出接口是否断开,再对所述报文进行加密的方法,减少了ipsec隧道的路由出接口异常的情况下,对不必要的报文加密而浪费cpu资源的问题,提升了网络设备的性能。
附图说明
图1为本发明一实施例的流程图;
图2为本发明一实施例的系统装置图。
具体实施方式
下面对于本发明所提出的一种ipsec隧道加密报文的流程优化装置及方法,结合附图和实施例详细说明。
如图1所示,本发明提供一种ipsec隧道加密报文的流程优化方法,包括以下步骤:
S1、两端ipsec对等体之间建立ipsec隧道,判断报文是否与所述ipsec隧道匹配,若是,则执行步骤S2;举例场景如下:
fw a---------------------------------------fwb
S2、判断所述ipsec隧道的出接口是否断开,若是,则执行步骤S3;若不是,则执行步骤S4;
S3、所述ipsec对等体的路由模块删除该出接口的所有路由,并将所述报文丢弃;当fw a接收到路由出接口断开的通知时,其对应的路由模块就会删除该出接口的所有路由;导致所述报文查找路由失败,此时需要加密的该报文就不在被加密而是直接被丢弃
S4、对所述报文进行加密,并将加密后的所述报文按照查找到的出接口进行转发。
优选的,所述步骤S1进一步包括:若所述报文与所述ipsec隧道不匹配,则将所述报文按照查找到的路由进行转发。
优选的,所述步骤S1进一步包括:所述ipsec隧道通过ipsec隧道匹配规则与所述报文进行匹配。
如图2所示,本发明还提供一种ipsec隧道加密报文的流程优化装置,包括有:
匹配单元,用于使两端ipsec对等体之间建立ipsec隧道,并判断报文是否与所述ipsec隧道匹配;
判断单元,用于当所述报文与所述ipsec隧道匹配时,判断所述ipsec隧道的出接口是否断开;
路由删除单元,用于当所述ipsec隧道的出接口断开时,使所述ipsec对等体的路由模块删除该出接口的所有路由,并将所述报文丢弃;
加密单元,用于当所述ipsec隧道的出接口没有断开时,对所述报文进行加密,并将加密后的所述报文按照查找到的出接口进行转发。
优选的,如图2所示,所述装置进一步包括:转发单元,用于当所述报文与所述ipsec隧道不匹配时,将所述报文按照查找到的路由进行转发。
优选的,所述匹配单元进一步用于使所述ipsec隧道通过ipsec隧道匹配规则与所述报文进行匹配。
本发明提供一种ipsec隧道加密报文的流程优化装置及方法,通过先确认ipsec隧道的路由出接口是否断开,再对所述报文进行加密的方法,减少了ipsec隧道的路由出接口异常的情况下,对不必要的报文加密而浪费cpu资源的问题,提升了网络设备的性能。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (6)
1.一种ipsec隧道加密报文的流程优化方法,其特征在于,包括以下步骤:
S1、两端ipsec对等体之间建立ipsec隧道,判断报文是否与所述ipsec隧道匹配,若是,则执行步骤S2;
S2、判断所述ipsec隧道的出接口是否断开,若是,则执行步骤S3;若不是,则执行步骤S4;
S3、所述ipsec对等体的路由模块删除该出接口的所有路由,并将所述报文丢弃;
S4、对所述报文进行加密,并将加密后的所述报文按照查找到的出接口进行转发。
2.如权利要求1所述的方法,其特征在于,所述步骤S1进一步包括:若所述报文与所述ipsec隧道不匹配,则将所述报文按照查找到的路由进行转发。
3.如权利要求1或2所述的方法,其特征在于,所述步骤S1进一步包括:所述ipsec隧道通过ipsec隧道匹配规则与所述报文进行匹配。
4.一种ipsec隧道加密报文的流程优化装置,其特征在于,包括有:
匹配单元,用于使两端ipsec对等体之间建立ipsec隧道,并判断报文是否与所述ipsec隧道匹配;
判断单元,用于当所述报文与所述ipsec隧道匹配时,判断所述ipsec隧道的出接口是否断开;
路由删除单元,用于当所述ipsec隧道的出接口断开时,使所述ipsec对等体的路由模块删除该出接口的所有路由,并将所述报文丢弃;
加密单元,用于当所述ipsec隧道的出接口没有断开时,对所述报文进行加密,并将加密后的所述报文按照查找到的出接口进行转发。
5.如权利要求4所述的装置,其特征在于,所述装置进一步包括:转发单元,用于当所述报文与所述ipsec隧道不匹配时,将所述报文按照查找到的路由进行转发。
6.如权利要求4或5所述的装置,其特征在于,所述匹配单元进一步用于使所述ipsec隧道通过ipsec隧道匹配规则与所述报文进行匹配。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013101052278A CN103200194A (zh) | 2013-03-28 | 2013-03-28 | 一种ipsec隧道加密报文的流程优化装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013101052278A CN103200194A (zh) | 2013-03-28 | 2013-03-28 | 一种ipsec隧道加密报文的流程优化装置及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103200194A true CN103200194A (zh) | 2013-07-10 |
Family
ID=48722551
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013101052278A Pending CN103200194A (zh) | 2013-03-28 | 2013-03-28 | 一种ipsec隧道加密报文的流程优化装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103200194A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104092708A (zh) * | 2014-08-06 | 2014-10-08 | 汉柏科技有限公司 | 对转发报文加密的方法和设备、及报文转发的方法和设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102253A (zh) * | 2007-08-13 | 2008-01-09 | 杭州华三通信技术有限公司 | 在IPsec隧道中传输组播的方法、分支节点和中心节点 |
| CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
| CN102938740A (zh) * | 2012-10-30 | 2013-02-20 | 汉柏科技有限公司 | 通过用户数控制ipsec负载分担的方法及设备 |
-
2013
- 2013-03-28 CN CN2013101052278A patent/CN103200194A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102253A (zh) * | 2007-08-13 | 2008-01-09 | 杭州华三通信技术有限公司 | 在IPsec隧道中传输组播的方法、分支节点和中心节点 |
| CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
| CN102938740A (zh) * | 2012-10-30 | 2013-02-20 | 汉柏科技有限公司 | 通过用户数控制ipsec负载分担的方法及设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104092708A (zh) * | 2014-08-06 | 2014-10-08 | 汉柏科技有限公司 | 对转发报文加密的方法和设备、及报文转发的方法和设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11864263B2 (en) | Wireless connection establishing methods and wireless connection establishing apparatuses | |
| JP6901850B2 (ja) | コンピュータテストツールとクラウドベースのサーバとの間の安全な通信のためのシステム及び方法 | |
| CN107046495B (zh) | 用于构建虚拟专用网络的方法、装置和系统 | |
| CN101753553B (zh) | 安全隔离与信息交换系统及方法 | |
| US20200403878A1 (en) | Dynamically identifying criticality of services and data sources | |
| CN103227777B (zh) | 一种防止dpd探测失败导致ipsec隧道震荡的方法 | |
| CN103475655A (zh) | 一种实现IPSecVPN主备链路动态切换的方法 | |
| TW201423430A (zh) | 一種資料共用方法、伺服器及系統 | |
| CN101917294A (zh) | 主备切换时更新防重放参数的方法和设备 | |
| WO2018068419A1 (zh) | 一种通知信息的推送方法及系统 | |
| CN106254392B (zh) | 基于动态可自定义的exTLV报文传输协议的通信方法 | |
| CN102891850A (zh) | IPSec隧道更新防重放参数的方法 | |
| CN105703967B (zh) | 一种检测标签交换路径连通性的方法及装置 | |
| CN105162794B (zh) | 一种使用约定方式的ipsec密钥更新方法及设备 | |
| CN103200194A (zh) | 一种ipsec隧道加密报文的流程优化装置及方法 | |
| CN115361455B (zh) | 一种数据传输存储方法、装置以及计算机设备 | |
| WO2016141653A1 (zh) | 一种sctp连接重建立方法和装置、存储介质 | |
| JP5647197B2 (ja) | ネットワーク接続装置、ネットワーク制御方法、ネットワーク制御プログラム、およびネットワークシステム | |
| CN105187247A (zh) | 基于tcp和udp混合协议的远程控制软件的实现方法 | |
| CN107623571B (zh) | 一种握手处理方法、客户端及服务器 | |
| CN102891766B (zh) | 一种ipsec状态恢复方法 | |
| CN106161376B (zh) | 一种端到端加密通信的协商方法及装置 | |
| WO2019015038A1 (zh) | 物联网中继器基于类型的上行数据加密控制方法及装置 | |
| JP6229504B2 (ja) | ネットワーク監視装置、監視方法及びプログラム | |
| CN103220203B (zh) | 一种实现网络设备间多IPsec隧道建立的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130710 |