CN103200194A - 一种ipsec隧道加密报文的流程优化装置及方法 - Google Patents
一种ipsec隧道加密报文的流程优化装置及方法 Download PDFInfo
- Publication number
- CN103200194A CN103200194A CN2013101052278A CN201310105227A CN103200194A CN 103200194 A CN103200194 A CN 103200194A CN 2013101052278 A CN2013101052278 A CN 2013101052278A CN 201310105227 A CN201310105227 A CN 201310105227A CN 103200194 A CN103200194 A CN 103200194A
- Authority
- CN
- China
- Prior art keywords
- ipsec tunnel
- message
- ipsec
- peer
- outgoing interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 238000005457 optimization Methods 0.000 title claims abstract description 16
- 230000008878 coupling Effects 0.000 claims description 6
- 238000010168 coupling process Methods 0.000 claims description 6
- 238000005859 coupling reaction Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 abstract description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007812 deficiency Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种ipsec隧道加密报文的流程优化方法,包括以下步骤:S1、两端ipsec对等体之间建立ipsec隧道,判断报文是否与所述ipsec隧道匹配,若是,则执行步骤S2;S2、判断所述ipsec隧道的出接口是否断开,若是,则执行步骤S3;若不是,则执行步骤S4;S3、所述ipsec对等体的路由模块删除该出接口的所有路由,并将所述报文丢弃;S4、对所述报文进行加密,并将加密后的所述报文按照查找到的出接口进行转发;本发明减少了ipsec对等体对报文进行不必要的加密而导致cpu资源浪费的问题。
Description
技术领域
本发明涉及计算机网络领域,特别涉及一种ipsec隧道加密报文的流程优化装置及方法。
背景技术
Ipsec隧道用于对数据报文进行加密,使加密后的数据报文可以在公网上进行转发,以防止第三方对所述数据报文内容的窃取和篡改,保证了数据报文的安全。
在现有技术中,当有数据报文需要转发时,先将其与ipsec隧道进行匹配,对与所述ipsec隧道匹配上的报文进行加密,并根据所述报文查找的路由出接口将其进行转发;当ipsec隧道出现异常时,使用dpd和keepalive等检测手段断开ipsec隧道连接。在判断所述ipsec隧道是否断开的过程中,需要dpd的多次发送检测,这个过程需要一定的时间,例如5秒钟检测,检测3次失败后就断开隧道,那么就会出现ipsec对等体对所述报文加密15秒,在此过程中,加密的报文查找路由出接口失败,则将该报文丢弃。但是ipsec对等体对所述报文进行加密是一件非常耗费cpu的事情,对不必要的报文进行加密将会影响整个设备的转发性能。
发明内容
针对现有技术的不足,本发明提供一种ipsec隧道加密报文的流程优化装置及方法,以减少ipsec对等体对报文进行不必要的加密而导致cpu资源浪费的问题。
为实现以上目的,本发明通过以下技术方案予以实现:
本发明提供一种ipsec隧道加密报文的流程优化方法,包括以下步骤:
S1、两端ipsec对等体之间建立ipsec隧道,判断报文是否与所述ipsec隧道匹配,若是,则执行步骤S2;
S2、判断所述ipsec隧道的出接口是否断开,若是,则执行步骤S3;若不是,则执行步骤S4;
S3、所述ipsec对等体的路由模块删除该出接口的所有路由,并将所述报文丢弃;
S4、对所述报文进行加密,并将加密后的所述报文按照查找到的出接口进行转发。
优选的,所述步骤S1进一步包括:若所述报文与所述ipsec隧道不匹配,则将所述报文按照查找到的路由进行转发。
优选的,所述步骤S1进一步包括:所述ipsec隧道通过ipsec隧道匹配规则与所述报文进行匹配。
本发明还提供一种ipsec隧道加密报文的流程优化装置,包括有:
匹配单元,用于使两端ipsec对等体之间建立ipsec隧道,并判断报文是否与所述ipsec隧道匹配;
判断单元,用于当所述报文与所述ipsec隧道匹配时,判断所述ipsec隧道的出接口是否断开;
路由删除单元,用于当所述ipsec隧道的出接口断开时,使所述ipsec对等体的路由模块删除该出接口的所有路由,并将所述报文丢弃;
加密单元,用于当所述ipsec隧道的出接口没有断开时,对所述报文进行加密,并将加密后的所述报文按照查找到的出接口进行转发。
优选的,所述装置进一步包括:转发单元,用于当所述报文与所述ipsec隧道不匹配时,将所述报文按照查找到的路由进行转发。
优选的,所述匹配单元进一步用于使所述ipsec隧道通过ipsec隧道匹配规则与所述报文进行匹配。
本发明提供一种ipsec隧道加密报文的流程优化装置及方法,通过先确认ipsec隧道的路由出接口是否断开,再对所述报文进行加密的方法,减少了ipsec隧道的路由出接口异常的情况下,对不必要的报文加密而浪费cpu资源的问题,提升了网络设备的性能。
附图说明
图1为本发明一实施例的流程图;
图2为本发明一实施例的系统装置图。
具体实施方式
下面对于本发明所提出的一种ipsec隧道加密报文的流程优化装置及方法,结合附图和实施例详细说明。
如图1所示,本发明提供一种ipsec隧道加密报文的流程优化方法,包括以下步骤:
S1、两端ipsec对等体之间建立ipsec隧道,判断报文是否与所述ipsec隧道匹配,若是,则执行步骤S2;举例场景如下:
fw a---------------------------------------fwb
S2、判断所述ipsec隧道的出接口是否断开,若是,则执行步骤S3;若不是,则执行步骤S4;
S3、所述ipsec对等体的路由模块删除该出接口的所有路由,并将所述报文丢弃;当fw a接收到路由出接口断开的通知时,其对应的路由模块就会删除该出接口的所有路由;导致所述报文查找路由失败,此时需要加密的该报文就不在被加密而是直接被丢弃
S4、对所述报文进行加密,并将加密后的所述报文按照查找到的出接口进行转发。
优选的,所述步骤S1进一步包括:若所述报文与所述ipsec隧道不匹配,则将所述报文按照查找到的路由进行转发。
优选的,所述步骤S1进一步包括:所述ipsec隧道通过ipsec隧道匹配规则与所述报文进行匹配。
如图2所示,本发明还提供一种ipsec隧道加密报文的流程优化装置,包括有:
匹配单元,用于使两端ipsec对等体之间建立ipsec隧道,并判断报文是否与所述ipsec隧道匹配;
判断单元,用于当所述报文与所述ipsec隧道匹配时,判断所述ipsec隧道的出接口是否断开;
路由删除单元,用于当所述ipsec隧道的出接口断开时,使所述ipsec对等体的路由模块删除该出接口的所有路由,并将所述报文丢弃;
加密单元,用于当所述ipsec隧道的出接口没有断开时,对所述报文进行加密,并将加密后的所述报文按照查找到的出接口进行转发。
优选的,如图2所示,所述装置进一步包括:转发单元,用于当所述报文与所述ipsec隧道不匹配时,将所述报文按照查找到的路由进行转发。
优选的,所述匹配单元进一步用于使所述ipsec隧道通过ipsec隧道匹配规则与所述报文进行匹配。
本发明提供一种ipsec隧道加密报文的流程优化装置及方法,通过先确认ipsec隧道的路由出接口是否断开,再对所述报文进行加密的方法,减少了ipsec隧道的路由出接口异常的情况下,对不必要的报文加密而浪费cpu资源的问题,提升了网络设备的性能。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (6)
1.一种ipsec隧道加密报文的流程优化方法,其特征在于,包括以下步骤:
S1、两端ipsec对等体之间建立ipsec隧道,判断报文是否与所述ipsec隧道匹配,若是,则执行步骤S2;
S2、判断所述ipsec隧道的出接口是否断开,若是,则执行步骤S3;若不是,则执行步骤S4;
S3、所述ipsec对等体的路由模块删除该出接口的所有路由,并将所述报文丢弃;
S4、对所述报文进行加密,并将加密后的所述报文按照查找到的出接口进行转发。
2.如权利要求1所述的方法,其特征在于,所述步骤S1进一步包括:若所述报文与所述ipsec隧道不匹配,则将所述报文按照查找到的路由进行转发。
3.如权利要求1或2所述的方法,其特征在于,所述步骤S1进一步包括:所述ipsec隧道通过ipsec隧道匹配规则与所述报文进行匹配。
4.一种ipsec隧道加密报文的流程优化装置,其特征在于,包括有:
匹配单元,用于使两端ipsec对等体之间建立ipsec隧道,并判断报文是否与所述ipsec隧道匹配;
判断单元,用于当所述报文与所述ipsec隧道匹配时,判断所述ipsec隧道的出接口是否断开;
路由删除单元,用于当所述ipsec隧道的出接口断开时,使所述ipsec对等体的路由模块删除该出接口的所有路由,并将所述报文丢弃;
加密单元,用于当所述ipsec隧道的出接口没有断开时,对所述报文进行加密,并将加密后的所述报文按照查找到的出接口进行转发。
5.如权利要求4所述的装置,其特征在于,所述装置进一步包括:转发单元,用于当所述报文与所述ipsec隧道不匹配时,将所述报文按照查找到的路由进行转发。
6.如权利要求4或5所述的装置,其特征在于,所述匹配单元进一步用于使所述ipsec隧道通过ipsec隧道匹配规则与所述报文进行匹配。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013101052278A CN103200194A (zh) | 2013-03-28 | 2013-03-28 | 一种ipsec隧道加密报文的流程优化装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013101052278A CN103200194A (zh) | 2013-03-28 | 2013-03-28 | 一种ipsec隧道加密报文的流程优化装置及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103200194A true CN103200194A (zh) | 2013-07-10 |
Family
ID=48722551
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013101052278A Pending CN103200194A (zh) | 2013-03-28 | 2013-03-28 | 一种ipsec隧道加密报文的流程优化装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103200194A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104092708A (zh) * | 2014-08-06 | 2014-10-08 | 汉柏科技有限公司 | 对转发报文加密的方法和设备、及报文转发的方法和设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102253A (zh) * | 2007-08-13 | 2008-01-09 | 杭州华三通信技术有限公司 | 在IPsec隧道中传输组播的方法、分支节点和中心节点 |
| CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
| CN102938740A (zh) * | 2012-10-30 | 2013-02-20 | 汉柏科技有限公司 | 通过用户数控制ipsec负载分担的方法及设备 |
-
2013
- 2013-03-28 CN CN2013101052278A patent/CN103200194A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101102253A (zh) * | 2007-08-13 | 2008-01-09 | 杭州华三通信技术有限公司 | 在IPsec隧道中传输组播的方法、分支节点和中心节点 |
| CN101106450A (zh) * | 2007-08-16 | 2008-01-16 | 杭州华三通信技术有限公司 | 分布式报文传输安全保护装置和方法 |
| CN102938740A (zh) * | 2012-10-30 | 2013-02-20 | 汉柏科技有限公司 | 通过用户数控制ipsec负载分担的方法及设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104092708A (zh) * | 2014-08-06 | 2014-10-08 | 汉柏科技有限公司 | 对转发报文加密的方法和设备、及报文转发的方法和设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210007176A1 (en) | Wireless connection establishing methods and wireless connection establishing apparatuses | |
| CN108419237B (zh) | 一种无线接入点的连接方法及无线接入点设备、存储介质 | |
| JP6901850B2 (ja) | コンピュータテストツールとクラウドベースのサーバとの間の安全な通信のためのシステム及び方法 | |
| CN107046495B (zh) | 用于构建虚拟专用网络的方法、装置和系统 | |
| CN103227777B (zh) | 一种防止dpd探测失败导致ipsec隧道震荡的方法 | |
| CN106778229B (zh) | 一种基于vpn的恶意应用下载拦截方法及系统 | |
| CN107425970A (zh) | 一种p2p网络的文件传输方法、发送端、接收端及介质 | |
| CN116094978A (zh) | 一种信息上报方法和信息处理方法及设备 | |
| CN105162794B (zh) | 一种使用约定方式的ipsec密钥更新方法及设备 | |
| CN106170949B (zh) | 失效对等体检测方法、IPsec对等体和网络设备 | |
| CN105703967B (zh) | 一种检测标签交换路径连通性的方法及装置 | |
| CN103200194A (zh) | 一种ipsec隧道加密报文的流程优化装置及方法 | |
| CN107148014A (zh) | 一种安卓第三方推送增强方法、相关设备及系统 | |
| CN115361455B (zh) | 一种数据传输存储方法、装置以及计算机设备 | |
| JP5647197B2 (ja) | ネットワーク接続装置、ネットワーク制御方法、ネットワーク制御プログラム、およびネットワークシステム | |
| WO2016141653A1 (zh) | 一种sctp连接重建立方法和装置、存储介质 | |
| CN101795186A (zh) | 链路断开方法、系统和设备 | |
| CN102891766B (zh) | 一种ipsec状态恢复方法 | |
| CN115767456A (zh) | 一种电力数据的传输方法、装置、设备及存储介质 | |
| CN111245601B (zh) | 一种通讯协商方法及装置 | |
| JP6229504B2 (ja) | ネットワーク監視装置、監視方法及びプログラム | |
| CN108174385B (zh) | 一种通信链路的检测方法和装置 | |
| CN114745176A (zh) | 数据传输控制方法、装置、计算机设备和存储介质 | |
| WO2019015038A1 (zh) | 物联网中继器基于类型的上行数据加密控制方法及装置 | |
| CN104243426A (zh) | 一种协议隔离的内外网数据通讯方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130710 |