CN103227777B - 一种防止dpd探测失败导致ipsec隧道震荡的方法 - Google Patents
一种防止dpd探测失败导致ipsec隧道震荡的方法 Download PDFInfo
- Publication number
- CN103227777B CN103227777B CN201310099380.4A CN201310099380A CN103227777B CN 103227777 B CN103227777 B CN 103227777B CN 201310099380 A CN201310099380 A CN 201310099380A CN 103227777 B CN103227777 B CN 103227777B
- Authority
- CN
- China
- Prior art keywords
- peer
- ipsec
- dpd
- ikesa
- ike
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,当所述ipsec对等体连续发送多个dpd探测报文后仍没有收到对端ipsec对等体的dpd响应探测报文时,继续判断是否有与该ipsec对等体的ikesa原地址和目的地址相同的ike?sa,若没有,则删除该ipsec对等体的ike?sa,若有,则不删除与该ipsec对等体的ike?sa原地址和目的地址相同的ike?sa其对应的ipsec?sa;本发明使得在ipsec对等体同时触发ike协商时,通过优化dpd的探测方式来减少因ipsec隧道的错误删除而导致的ipsec隧道震荡的问题。
Description
技术领域
本发明涉及计算机网络领域,特别涉及一种防止dpd探测失败导致ipsec隧道震荡的方法。
背景技术
Ipsec隧道包括协议报文和数据报文两种,其中,协议报文是由主机报文处理的ike报文;sa是Ipsec对等体间对某些要素的约定,Ipsec可以通过ike协商建立sa。所述ike协商在建立sa时分为两个阶段:第一协商阶段和第二协商阶段;所述第一协商阶段用于生成对所述协议报文进行加密的密钥,即ikesa;所述第二协商阶段用于生成对所述数据报文加密的密钥,即ipsecsa,且在第二协商阶段协商成功后发送数据报文。
但是,网络上由于报文重传等原因会导致ipsec对等体同时触发ike协商,如防火墙a和防火墙b在所述第一协商阶段同时发送请求协商报文,从而生成了原地址和目的地址完全相同的两对ikesa,举例说明场景:
fwa---------------------------fwb
Ikesaa1--------------------------------ikesab1
Ikesaa2--------------------------------ikesab2
如上所述,这两条ikesa如果都是完整的状态,则没有任何问题,如果协商过程中只有一对儿ikesa协商成功,则协商成功的ikesa继续进行所述第二协商阶段,以生成ipsecsa;而另一对儿ikesa协商失败,且协商失败的所述ikesa的一端已经协商完毕,具体场景如下:
Ikesaa1--------------------------------ikesab1
Ikesaa2
协商失败的ikesa一端已经协商完毕(即ikesaa2存在),另一端由于协议报文丢包导致没有协商成功而没有此ikesa时(即相应的ikesab2不存在),此时ikesaa2发送dpd报文,而对端没有对应的ikesab2来回应所述dpd报文,则fwa就会删除本端dpd报文所对应的ikesa,同时删除原地址和目的地址与该ikesa相同的ipsecsa,从而出现ipsec隧道震荡。
基于此,现有技术确实有待于改善。
发明内容
针对现有技术的不足,本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,使得在ipsec对等体同时触发ike协商时,减少因ipsec隧道的错误删除而导致的ipsec隧道震荡的问题。
为实现以上目的,本发明通过以下技术方案予以实现:
本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,包括以下步骤:
S1、两端ipsec对等体同时触发ike协商,并完成ikesa的协商;
S2、所述ipsec对等体连续发送多个dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文,若是,则继续完成ipsecsa的协商;若不是,则执行步骤S3;
S3、判断是否有与该ipsec对等体的ikesa原地址和目的地址相同的ikesa,若没有,则删除该ipsec对等体的ikesa,若有,则不删除与该ipsec对等体的ikesa原地址和目的地址相同的ikesa其对应的ipsecsa。
优选的,所述步骤S2进一步包括:
所述ipsec对等体连续发送多个带有cookie的dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文。
优选的,所述步骤S2进一步包括:所述ipsec对等体连续发送5个带有cookie的dpd探测报文。
优选的,所述步骤S1进一步包括:
两端ipsec对等体同时触发ike协商,并通过野蛮模式完成ikesa的协商。
本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,使得在ipsec对等体同时触发ike协商时,通过优化dpd的探测方式来减少因ipsec隧道的错误删除而导致的ipsec隧道震荡的问题。
附图说明
图1为本发明一实施例的流程图。
具体实施方式
下面对于本发明所提出的一种防止dpd探测失败导致ipsec隧道震荡的方法,结合附图和实施例详细说明。
在现有技术中,当所述ipsec对等体发送给所述对端ipsec对等体dpd报文时,所述对端ipsec对等体如果找不到dpd报文中相同cookie的ikesa,则说明此dpd报文不能处理,则直接丢弃,当所述ipsec对等体连续发送5个dpd报文仍然没有回应dpd报文时,说明此链路已经异常就会删除本端dpd对应的ikesa,同时也删除原地址和目的地址与此ikesa相同的ipsecsa,这将导致ipsec隧道震荡。
如图1所示,本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,包括以下步骤:
S1、两端ipsec对等体同时触发ike协商,并完成ikesa的协商;
S2、所述ipsec对等体连续发送多个dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文,若是,则继续完成ipsecsa的协商;若不是,则执行步骤S3;
S3、判断是否有与该ipsec对等体的ikesa原地址和目的地址相同的ikesa,若没有,则删除该ipsec对等体的ikesa,若有,则说明有备用隧道,那么不删除与该ipsec对等体的ikesa原地址和目的地址相同的ikesa其对应的ipsecsa。
优选的,所述步骤S2进一步包括:
所述ipsec对等体连续发送多个带有cookie的dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文;即每个dpd报文带着对应于ikesa唯一的一对cookie,也就是每对儿ikesa的cookie都不一样。
优选的,所述步骤S2进一步包括:所述ipsec对等体连续发送5个带有cookie的dpd探测报文。
优选的,所述步骤S1进一步包括:两端ipsec对等体同时触发ike协商,并通过野蛮模式完成ikesa的协商。
本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法,使得在ipsec对等体同时触发ike协商时,通过优化dpd的探测方式来减少因ipsec隧道的错误删除而导致的ipsec隧道震荡的问题。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (4)
1.一种防止dpd探测失败导致ipsec隧道震荡的方法,其特征在于,包括以下步骤:
S1、两端ipsec对等体同时触发ike协商,并完成ikesa的协商;
S2、所述一端ipsec对等体连续发送多个dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文,若是,则继续完成ipsecsa的协商;若不是,则执行步骤S3;
S3、判断是否有与该ipsec对等体的ikesa原地址和目的地址相同的ikesa,若没有,则删除该ipsec对等体的ikesa,若有,则不删除与该ipsec对等体的ikesa原地址和目的地址相同的ikesa其对应的ipsecsa。
2.如权利要求1所述的方法,其特征在于,所述步骤S2进一步包括:
所述ipsec对等体连续发送多个带有cookie的dpd探测报文,并在预设周期内,判断该ipsec对等体是否收到对端ipsec对等体的dpd响应探测报文。
3.如权利要求2所述的方法,其特征在于,所述步骤S2进一步包括:所述ipsec对等体连续发送5个带有cookie的dpd探测报文。
4.如权利要求1-3任一项所述的方法,其特征在于,所述步骤S1进一步包括:
两端ipsec对等体同时触发ike协商,并通过野蛮模式完成ikesa的协商。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310099380.4A CN103227777B (zh) | 2013-03-26 | 2013-03-26 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
PCT/CN2013/089245 WO2014153989A1 (zh) | 2013-03-26 | 2013-12-12 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310099380.4A CN103227777B (zh) | 2013-03-26 | 2013-03-26 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103227777A CN103227777A (zh) | 2013-07-31 |
CN103227777B true CN103227777B (zh) | 2015-11-25 |
Family
ID=48838038
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310099380.4A Expired - Fee Related CN103227777B (zh) | 2013-03-26 | 2013-03-26 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN103227777B (zh) |
WO (1) | WO2014153989A1 (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103227777B (zh) * | 2013-03-26 | 2015-11-25 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
CN103475647A (zh) * | 2013-08-23 | 2013-12-25 | 天津汉柏汉安信息技术有限公司 | 一种防止ipsec隧道重协商失败的方法 |
CN106170949B (zh) * | 2014-12-30 | 2019-10-15 | 华为技术有限公司 | 失效对等体检测方法、IPsec对等体和网络设备 |
CN106302248B (zh) * | 2016-08-31 | 2021-10-12 | 新华三技术有限公司 | 一种邻居建立方法及装置 |
US10432675B2 (en) * | 2017-04-17 | 2019-10-01 | Microsoft Technology Licensing, Llc | Collision prevention in secure connection establishment |
CN111327394B (zh) * | 2018-12-17 | 2022-10-11 | 北京华为数字技术有限公司 | 一种报文发送方法及装置 |
CN111641545B (zh) * | 2020-05-15 | 2022-06-21 | 深信服科技股份有限公司 | 一种隧道探测方法及装置、设备、存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1652502A (zh) * | 2004-02-06 | 2005-08-10 | 松下电器产业株式会社 | 通信装置和通信程序 |
CN101227485A (zh) * | 2008-02-04 | 2008-07-23 | 杭州华三通信技术有限公司 | 协商因特网密钥交换安全联盟生存周期的方法及设备 |
CN101309273A (zh) * | 2008-07-16 | 2008-11-19 | 杭州华三通信技术有限公司 | 一种生成安全联盟的方法和装置 |
CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
CN102420770A (zh) * | 2011-12-27 | 2012-04-18 | 汉柏科技有限公司 | Ike报文协商方法及设备 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1917516A (zh) * | 2006-07-31 | 2007-02-21 | 杭州华为三康技术有限公司 | 一种协商安全联盟的方法 |
JP2011077931A (ja) * | 2009-09-30 | 2011-04-14 | Canon Inc | IPsec通信方法および装置 |
CN102946333B (zh) * | 2012-10-31 | 2015-12-02 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
CN102970293B (zh) * | 2012-11-20 | 2016-05-04 | 杭州华三通信技术有限公司 | 一种设备间安全联盟同步方法及装置 |
CN103227777B (zh) * | 2013-03-26 | 2015-11-25 | 汉柏科技有限公司 | 一种防止dpd探测失败导致ipsec隧道震荡的方法 |
-
2013
- 2013-03-26 CN CN201310099380.4A patent/CN103227777B/zh not_active Expired - Fee Related
- 2013-12-12 WO PCT/CN2013/089245 patent/WO2014153989A1/zh active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1652502A (zh) * | 2004-02-06 | 2005-08-10 | 松下电器产业株式会社 | 通信装置和通信程序 |
CN101227485A (zh) * | 2008-02-04 | 2008-07-23 | 杭州华三通信技术有限公司 | 协商因特网密钥交换安全联盟生存周期的方法及设备 |
CN101309273A (zh) * | 2008-07-16 | 2008-11-19 | 杭州华三通信技术有限公司 | 一种生成安全联盟的方法和装置 |
CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、系统和节点设备、组网架构 |
CN102420770A (zh) * | 2011-12-27 | 2012-04-18 | 汉柏科技有限公司 | Ike报文协商方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN103227777A (zh) | 2013-07-31 |
WO2014153989A1 (zh) | 2014-10-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103227777B (zh) | 一种防止dpd探测失败导致ipsec隧道震荡的方法 | |
US9100382B2 (en) | Network security configuration using short-range wireless communication | |
US11864263B2 (en) | Wireless connection establishing methods and wireless connection establishing apparatuses | |
US10044585B2 (en) | Virtual private network dead peer detection | |
WO2015085848A1 (zh) | 一种安全认证方法和双向转发检测bfd设备 | |
CN112165447B (zh) | 基于waf设备的网络安全监测方法、系统和电子装置 | |
WO2017045433A1 (zh) | 站点间通信状态检测方法及装置、存储介质 | |
WO2019041371A1 (zh) | 物联网基于连接数量的路由器切换方法及装置 | |
CN107846715A (zh) | 物联网基于传输速率的接入点切换方法及装置 | |
WO2016008212A1 (zh) | 一种终端及检测终端数据交互的安全性的方法、存储介质 | |
CN105847056B (zh) | 双向转发检测控制报文的传输方法及系统 | |
CN111416767A (zh) | 一种边缘智能网关的日志输出方法、设备及存储介质 | |
WO2018053895A1 (zh) | 物联网接入点基于类型的上行数据加密控制方法及装置 | |
WO2019019282A1 (zh) | 物联网终端数据的按顺序加密方法及装置 | |
WO2019019280A1 (zh) | 物联网终端数据的分时段加密方法及装置 | |
CN102271061A (zh) | 一种确定ip安全虚拟专用网隧道数量的方法和装置 | |
CN106537962B (zh) | 无线网络配置、接入和访问方法、装置及设备 | |
CN115333782A (zh) | 数据发送方法、数据接收方法、存储介质及计算机设备 | |
WO2014180286A1 (zh) | 一种m2m应用请求的发送方法、cse和系统 | |
WO2019015038A1 (zh) | 物联网中继器基于类型的上行数据加密控制方法及装置 | |
CN105591998A (zh) | 抑制周期性注册通信端点标识eid的方法和设备 | |
WO2019010793A1 (zh) | 物联网接入点接收数据的分时段加密方法及装置 | |
WO2019015041A1 (zh) | 一种物联网中继器数据的分时段加密方法及装置 | |
CN102891766B (zh) | 一种ipsec状态恢复方法 | |
CN104410610A (zh) | 一种基于IKEv2的初始协商方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151125 Termination date: 20180326 |