CN103227777A - 一种防止dpd探测失败导致ipsec隧道震荡的方法 - Google Patents
一种防止dpd探测失败导致ipsec隧道震荡的方法 Download PDFInfo
- Publication number
- CN103227777A CN103227777A CN2013100993804A CN201310099380A CN103227777A CN 103227777 A CN103227777 A CN 103227777A CN 2013100993804 A CN2013100993804 A CN 2013100993804A CN 201310099380 A CN201310099380 A CN 201310099380A CN 103227777 A CN103227777 A CN 103227777A
- Authority
- CN
- China
- Prior art keywords
- peer
- ipsec
- ike
- dpd
- tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,当所述ipsec对等体连续发送多个dpd探测报文后仍没有收到对端ipsec对等体的dpd响应探测报文时,继续判断是否有与该ipsec对等体的ikesa原地址和目的地址相同的ike sa,若没有,则删除该ipsec对等体的ike sa,若有,则不删除与该ipsec对等体的ike sa原地址和目的地址相同的ike sa其对应的ipsec sa;本发明使得在ipsec对等体同时触发ike协商时,通过优化dpd的探测方式来减少因ipsec隧道的错误删除而导致的ipsec隧道震荡的问题。
Description
技术领域
本发明涉及计算机网络领域,特别涉及一种防止dpd探测失败导致ipsec隧道震荡的方法。
背景技术
Ipsec隧道包括协议报文和数据报文两种,其中,协议报文是由主机报文处理的ike报文;sa是Ipsec对等体间对某些要素的约定,Ipsec可以通过ike协商建立sa。所述ike协商在建立sa时分为两个阶段:第一协商阶段和第二协商阶段;所述第一协商阶段用于生成对所述协议报文进行加密的密钥,即ike sa;所述第二协商阶段用于生成对所述数据报文加密的密钥,即ipsec sa,且在第二协商阶段协商成功后发送数据报文。
但是,网络上由于报文重传等原因会导致ipsec对等体同时触发ike协商,如防火墙a和防火墙b在所述第一协商阶段同时发送请求协商报文,从而生成了原地址和目的地址完全相同的两对ike sa,举例说明场景:
fwa---------------------------fwb
Ike sa a1--------------------------------ike sa b1
Ike sa a2--------------------------------ike sa b2
如上所述,这两条ike sa如果都是完整的状态,则没有任何问题,如果协商过程中只有一对儿ike sa协商成功,则协商成功的ike sa继续进行所述第二协商阶段,以生成ipsec sa;而另一对儿ike sa协商失败,且协商失败的所述ike sa的一端已经协商完毕,具体场景如下:
Ike sa a1--------------------------------ike sa b1
Ike sa a2
协商失败的ike sa一端已经协商完毕(即ike sa a2存在),另一端由于协议报文丢包导致没有协商成功而没有此ike sa时(即相应的ike sa b2不存在),此时ike sa a2发送dpd报文,而对端没有对应的ike sa b2来回应所述dpd报文,则fw a就会删除本端dpd报文所对应的ike sa,同时删除原地址和目的地址与该ike sa相同的ipsec sa,从而出现ipsec隧道震荡。
基于此,现有技术确实有待于改善。
发明内容
针对现有技术的不足,本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,使得在ipsec对等体同时触发ike协商时,减少因ipsec隧道的错误删除而导致的ipsec隧道震荡的问题。
为实现以上目的,本发明通过以下技术方案予以实现:
本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,包括以下步骤:
S1、两端ipsec对等体同时触发ike协商,并完成ike sa的协商;
S2、所述ipsec对等体连续发送多个dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文,若是,则继续完成ipsec sa的协商;若不是,则执行步骤S3;
S3、判断是否有与该ipsec对等体的ike sa原地址和目的地址相同的ike sa,若没有,则删除该ipsec对等体的ike sa,若有,则不删除与该ipsec对等体的ike sa原地址和目的地址相同的ike sa其对应的ipsec sa。
优选的,所述步骤S2进一步包括:
所述ipsec对等体连续发送多个带有cookie的dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文。
优选的,所述步骤S2进一步包括:所述ipsec对等体连续发送5个带有cookie的dpd探测报文。
优选的,所述步骤S1进一步包括:
两端ipsec对等体同时触发ike协商,并通过野蛮模式完成ike sa的协商。
本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,使得在ipsec对等体同时触发ike协商时,通过优化dpd的探测方式来减少因ipsec隧道的错误删除而导致的ipsec隧道震荡的问题。
附图说明
图1为本发明一实施例的流程图。
具体实施方式
下面对于本发明所提出的一种防止dpd探测失败导致ipsec隧道震荡的方法,结合附图和实施例详细说明。
在现有技术中,当所述ipsec对等体发送给所述对端ipsec对等体dpd报文时,所述对端ipsec对等体如果找不到dpd报文中相同cookie的ikesa,则说明此dpd报文不能处理,则直接丢弃,当所述ipsec对等体连续发送5个dpd报文仍然没有回应dpd报文时,说明此链路已经异常就会删除本端dpd对应的ike sa,同时也删除原地址和目的地址与此ike sa相同的ipsec sa,这将导致ipsec隧道震荡。
如图1所示,本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,包括以下步骤:
S1、两端ipsec对等体同时触发ike协商,并完成ike sa的协商;
S2、所述ipsec对等体连续发送多个dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文,若是,则继续完成ipsec sa的协商;若不是,则执行步骤S3;
S3、判断是否有与该ipsec对等体的ike sa原地址和目的地址相同的ike sa,若没有,则删除该ipsec对等体的ike sa,若有,则说明有备用隧道,那么不删除与该ipsec对等体的ike sa原地址和目的地址相同的ike sa其对应的ipsec sa。
优选的,所述步骤S2进一步包括:
所述ipsec对等体连续发送多个带有cookie的dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文;即每个dpd报文带着对应于ike sa唯一的一对cookie,也就是每对儿ike sa的cookie都不一样。
优选的,所述步骤S2进一步包括:所述ipsec对等体连续发送5个带有cookie的dpd探测报文。
优选的,所述步骤S1进一步包括:两端ipsec对等体同时触发ike协商,并通过野蛮模式完成ike sa的协商。
本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,使得在ipsec对等体同时触发ike协商时,通过优化dpd的探测方式来减少因ipsec隧道的错误删除而导致的ipsec隧道震荡的问题。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (4)
1.一种防止dpd探测失败导致ipsec隧道震荡的方法,其特征在于,包括以下步骤:
S1、两端ipsec对等体同时触发ike协商,并完成ike sa的协商;
S2、所述ipsec对等体连续发送多个dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文,若是,则继续完成ipsec sa的协商;若不是,则执行步骤S3;
S3、判断是否有与该ipsec对等体的ike sa原地址和目的地址相同的ike sa,若没有,则删除该ipsec对等体的ike sa,若有,则不删除与该ipsec对等体的ike sa原地址和目的地址相同的ike sa其对应的ipsec sa。
2.如权利要求1所述的方法,其特征在于,所述步骤S2进一步包括:
所述ipsec对等体连续发送多个带有cookie的dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文。
3.如权利要求2所述的方法,其特征在于,所述步骤S2进一步包括:所述ipsec对等体连续发送5个带有cookie的dpd探测报文。
4.如权利要求1-3任一项所述的方法,其特征在于,所述步骤S1进一步包括:
两端ipsec对等体同时触发ike协商,并通过野蛮模式完成ike sa的协商。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310099380.4A CN103227777B (zh) | 2013-03-26 | 2013-03-26 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
PCT/CN2013/089245 WO2014153989A1 (zh) | 2013-03-26 | 2013-12-12 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310099380.4A CN103227777B (zh) | 2013-03-26 | 2013-03-26 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103227777A true CN103227777A (zh) | 2013-07-31 |
CN103227777B CN103227777B (zh) | 2015-11-25 |
Family
ID=48838038
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310099380.4A Expired - Fee Related CN103227777B (zh) | 2013-03-26 | 2013-03-26 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN103227777B (zh) |
WO (1) | WO2014153989A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103475647A (zh) * | 2013-08-23 | 2013-12-25 | 天津汉柏汉安信息技术有限公司 | 一种防止ipsec隧道重协商失败的方法 |
WO2014153989A1 (zh) * | 2013-03-26 | 2014-10-02 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
WO2016106589A1 (zh) * | 2014-12-30 | 2016-07-07 | 华为技术有限公司 | 失效对等体检测方法、IPsec对等体和网络设备 |
CN106302248A (zh) * | 2016-08-31 | 2017-01-04 | 杭州华三通信技术有限公司 | 一种邻居建立方法及装置 |
CN111327394A (zh) * | 2018-12-17 | 2020-06-23 | 北京华为数字技术有限公司 | 一种报文发送方法及装置 |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10432675B2 (en) | 2017-04-17 | 2019-10-01 | Microsoft Technology Licensing, Llc | Collision prevention in secure connection establishment |
CN111641545B (zh) * | 2020-05-15 | 2022-06-21 | 深信服科技股份有限公司 | 一种隧道探测方法及装置、设备、存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1652502A (zh) * | 2004-02-06 | 2005-08-10 | 松下电器产业株式会社 | 通信装置和通信程序 |
CN101227485A (zh) * | 2008-02-04 | 2008-07-23 | 杭州华三通信技术有限公司 | 协商因特网密钥交换安全联盟生存周期的方法及设备 |
CN101309273A (zh) * | 2008-07-16 | 2008-11-19 | 杭州华三通信技术有限公司 | 一种生成安全联盟的方法和装置 |
CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
CN102420770A (zh) * | 2011-12-27 | 2012-04-18 | 汉柏科技有限公司 | Ike报文协商方法及设备 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1917516A (zh) * | 2006-07-31 | 2007-02-21 | 杭州华为三康技术有限公司 | 一种协商安全联盟的方法 |
JP2011077931A (ja) * | 2009-09-30 | 2011-04-14 | Canon Inc | IPsec通信方法および装置 |
CN102946333B (zh) * | 2012-10-31 | 2015-12-02 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
CN102970293B (zh) * | 2012-11-20 | 2016-05-04 | 杭州华三通信技术有限公司 | 一种设备间安全联盟同步方法及装置 |
CN103227777B (zh) * | 2013-03-26 | 2015-11-25 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
-
2013
- 2013-03-26 CN CN201310099380.4A patent/CN103227777B/zh not_active Expired - Fee Related
- 2013-12-12 WO PCT/CN2013/089245 patent/WO2014153989A1/zh active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1652502A (zh) * | 2004-02-06 | 2005-08-10 | 松下电器产业株式会社 | 通信装置和通信程序 |
CN101227485A (zh) * | 2008-02-04 | 2008-07-23 | 杭州华三通信技术有限公司 | 协商因特网密钥交换安全联盟生存周期的方法及设备 |
CN101309273A (zh) * | 2008-07-16 | 2008-11-19 | 杭州华三通信技术有限公司 | 一种生成安全联盟的方法和装置 |
CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
CN102420770A (zh) * | 2011-12-27 | 2012-04-18 | 汉柏科技有限公司 | Ike报文协商方法及设备 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014153989A1 (zh) * | 2013-03-26 | 2014-10-02 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
CN103475647A (zh) * | 2013-08-23 | 2013-12-25 | 天津汉柏汉安信息技术有限公司 | 一种防止ipsec隧道重协商失败的方法 |
WO2016106589A1 (zh) * | 2014-12-30 | 2016-07-07 | 华为技术有限公司 | 失效对等体检测方法、IPsec对等体和网络设备 |
CN106170949A (zh) * | 2014-12-30 | 2016-11-30 | 华为技术有限公司 | 失效对等体检测方法、IPsec对等体和网络设备 |
CN106302248A (zh) * | 2016-08-31 | 2017-01-04 | 杭州华三通信技术有限公司 | 一种邻居建立方法及装置 |
CN106302248B (zh) * | 2016-08-31 | 2021-10-12 | 新华三技术有限公司 | 一种邻居建立方法及装置 |
CN111327394A (zh) * | 2018-12-17 | 2020-06-23 | 北京华为数字技术有限公司 | 一种报文发送方法及装置 |
CN111327394B (zh) * | 2018-12-17 | 2022-10-11 | 北京华为数字技术有限公司 | 一种报文发送方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2014153989A1 (zh) | 2014-10-02 |
CN103227777B (zh) | 2015-11-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103227777A (zh) | 一种防止dpd探测失败导致ipsec隧道震荡的方法 | |
JP6406681B2 (ja) | プレアソシエーションサービスディスカバリのためのシステムおよび方法 | |
US10044585B2 (en) | Virtual private network dead peer detection | |
US20140298037A1 (en) | Method, apparatus, and system for securely transmitting data | |
CN101582856B (zh) | 一种门户服务器与宽带接入设备的会话建立方法及其系统 | |
KR20140023991A (ko) | 머신-대-머신 노드 소거 절차 | |
US10193907B2 (en) | Intrusion detection to prevent impersonation attacks in computer networks | |
US20170208630A1 (en) | Wireless connection establishing methods and wireless connection establishing apparatuses | |
JP5415563B2 (ja) | アドレス生成、通信および、または正当性検査に関連する方法および装置 | |
CN104954386A (zh) | 一种网络反劫持方法及装置 | |
CN104967590A (zh) | 一种传输通信消息的方法、装置和系统 | |
WO2014116152A1 (en) | Communication apparatus, control method thereof, computer program thereof, relaying apparatus, control method thereof, computer program thereof | |
CN101599968A (zh) | 可靠匿名传输方法及系统 | |
CN101521602B (zh) | 利用IKE监测IPSec VPN中通信节点状态的实现方法 | |
WO2016008212A1 (zh) | 一种终端及检测终端数据交互的安全性的方法、存储介质 | |
JP2016134861A (ja) | ノード装置、ネットワークシステム及びノード装置の接続方法 | |
CN104580346A (zh) | 数据传输方法及装置 | |
US20180183584A1 (en) | IKE Negotiation Control Method, Device and System | |
WO2018053895A1 (zh) | 物联网接入点基于类型的上行数据加密控制方法及装置 | |
Han et al. | Security offloading network system for expanded security coverage in IPv6-based resource constrained data service networks | |
CN102668504B (zh) | 具有改善转换的速度和质量的密钥分配功能的方法和设备 | |
CN115333782A (zh) | 数据发送方法、数据接收方法、存储介质及计算机设备 | |
GB2414907A (en) | Deleting Security Associations according to traffic levels | |
CN113810427B (zh) | 一种渗透测试方法、终端设备及存储介质 | |
Burgstaller et al. | Anonymous communication in the browser via onion-routing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151125 Termination date: 20180326 |