CN103475645A - 一种解决ike重复协商的方法 - Google Patents
一种解决ike重复协商的方法 Download PDFInfo
- Publication number
- CN103475645A CN103475645A CN2013103712910A CN201310371291A CN103475645A CN 103475645 A CN103475645 A CN 103475645A CN 2013103712910 A CN2013103712910 A CN 2013103712910A CN 201310371291 A CN201310371291 A CN 201310371291A CN 103475645 A CN103475645 A CN 103475645A
- Authority
- CN
- China
- Prior art keywords
- firewall box
- firewall equipment
- firewall
- ike
- address value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种解决IKE重复协商的方法,包括以下步骤:S1:第一防火墙设备和第二防火墙设备同时互相向对端发送主动协商报文,第一防火墙设备和第二防火墙设备均被配置为使用IP地址值较大的作为协商IKE角色冲突时的主动放弃主动角色端,若第一防火墙设备的IP地址值较大,则执行步骤S2,否则执行步骤S3;S2:若第一防火墙设备一端的IP地址值较大,则保留作为主动发起协商端,第二防火墙设备一端作为响应端,放弃第一防火墙设备作为响应端,放弃第二防火墙设备作为主动发起协商端;S3:若第二防火墙设备的IP地址值较大,则保留第二防火墙设备作为主动发起协商端,第一防火墙设备作为响应端,放弃第二防火墙设备作为响应端,放弃第一防火墙设备作为主动发起协商端。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种解决IKE重复协商的方法。
背景技术
正常建立ipsec隧道的流程是,一端防火墙设备作为主动发起端,发送第一个IKE协商报文,另一端防火墙设备接收到此报文后进行回复,此时另一端防火墙设备自然就作为被动协商端的角色,此时经过几次协商之后就建立起了ipsec隧道,但当两端都作为主动协商端进行第一个报文发送时,就会出现两台防火墙设备既作为主动发起端,又作为了了被动协商端,建立了两条IKE sa隧道,这种现象在网络震荡中由于中间网络设备异常断开,此时两台ipsec设备都不断地发送主动协商报文,然后中间网络设备又恢复了,此时两端防火墙设备就都会得到对端发送的主动协商IKE报文,当前设备往往无法处理此种情况从而创建两条重复的IKE sa隧道,浪费整机最大IKE sa数,并且增加整机的IKE sa状态维护负担。
发明内容
(一)要解决的技术问题
本发明要解决的是解决网络通信中由于两端防火墙设备同时发送主动协商报文从而建立两条IKE sa隧道,造成的浪费整机IKE sa数量,增加整机的IKE sa状态维护负担的问题。
(二)技术方案
为解决上述技术问题,本发明提供了一种的方法,其特征在于包括以下步骤:
S1:第一防火墙设备和第二防火墙设备同时向对端发送主动协商报文,第一防火墙设备和第二防火墙设备均被配置为使用IP地址值较大的作为协商IKE角色冲突时的主动放弃主动角色端,若第一防火墙设备一端的IP地址值较大,则执行步骤S2,否则执行步骤S3;
S2:若所述第一防火墙设备一端的IP地址值较大,则保留作为主动发起协商端,第二防火墙设备一端作为响应端,放弃第一防火墙设备作为响应端,放弃第二防火墙设备作为主动发起协商端;
S3:若所述第二防火墙设备一端的IP地址值较大,则保留第二防火墙设备一端作为主动发起协商端,第一防火墙设备一端作为响应端,此时放弃第二防火墙设备作为响应端,放弃第一防火墙设备作为主动发起协商端。(三)有益效果
本发明通过设置一个参数作为优先级,在两台设备中选出一台作为冲突放弃端,另一端作为冲突接收端,从而解决IKE重复协商的问题。本方法简单易行。
具体实施方式
下面对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
本实施方式的方法包括以下步骤:
S1:第一防火墙设备和第二防火墙设备同时向对端发送主动协商报文,第一防火墙设备和第二防火墙设备均被配置为使用IP地址值较大的作为协商IKE角色冲突时的主动放弃主动角色端,若第一防火墙设备一端的IP地址值较大,则执行步骤S2,否则执行步骤S3;
S2:若所述第一防火墙设备一端的IP地址值较大,则保留作为主动发起协商端,第二防火墙设备一端作为响应端,放弃第一防火墙设备作为响应端,放弃第二防火墙设备作为主动发起协商端;
S3:若所述第二防火墙设备一端的IP地址值较大,则保留第二防火墙设备一端作为主动发起协商端,第一防火墙设备一端作为响应端,此时放弃第二防火墙设备作为响应端,放弃第一防火墙设备作为主动发起协商端。
除了通过比较IP值的大小来设定优先级之外,还可以根据需要人为指定一台设备作为冲突的放弃端,另一端设置为冲突接收端,或者根据动态生成的cookie的大小来判断两端哪一台设备放弃主动协商角色。
本发明通过设置一个参数作为优先级,在两台设备中选出一台作为冲突放弃端,另一端作为冲突接收端,从而解决IKE重复协商的问题。本方法具有灵活、简单易行的特点。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (1)
1.一种解决IKE重复协商的方法,其特征在于,包括以下步骤:
S1:第一防火墙设备和第二防火墙设备同时互相向对端发送主动协商报文,所述第一防火墙设备和所述第二防火墙设备均被配置为使用IP地址值较大的作为协商IKE角色冲突时的主动放弃主动角色端,若所述第一防火墙设备一端的IP地址值较大,则执行步骤S2,否则执行步骤S3;
S2:若所述第一防火墙设备一端的IP地址值较大,则保留作为主动发起协商端,所述第二防火墙设备一端作为响应端,放弃所述第一防火墙设备作为响应端,放弃所述第二防火墙设备作为主动发起协商端;
S3:若所述第二防火墙设备一端的IP地址值较大,则保留所述第二防火墙设备作为主动发起协商端,第一防火墙设备作为响应端,此时放弃所述第二防火墙设备作为响应端,放弃所述第一防火墙设备作为主动发起协商端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013103712910A CN103475645A (zh) | 2013-08-23 | 2013-08-23 | 一种解决ike重复协商的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013103712910A CN103475645A (zh) | 2013-08-23 | 2013-08-23 | 一种解决ike重复协商的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103475645A true CN103475645A (zh) | 2013-12-25 |
Family
ID=49800341
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013103712910A Pending CN103475645A (zh) | 2013-08-23 | 2013-08-23 | 一种解决ike重复协商的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103475645A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104410610A (zh) * | 2014-11-13 | 2015-03-11 | 杭州华三通信技术有限公司 | 一种基于IKEv2的初始协商方法及装置 |
| CN106130819A (zh) * | 2016-07-04 | 2016-11-16 | 锐捷网络股份有限公司 | Vtep异常的检测方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1917516A (zh) * | 2006-07-31 | 2007-02-21 | 杭州华为三康技术有限公司 | 一种协商安全联盟的方法 |
| CN101527729A (zh) * | 2009-05-05 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种ike可靠报文协商的方法、设备及系统 |
| CN102868522A (zh) * | 2012-09-12 | 2013-01-09 | 汉柏科技有限公司 | 一种ike协商异常的处理方法 |
-
2013
- 2013-08-23 CN CN2013103712910A patent/CN103475645A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1917516A (zh) * | 2006-07-31 | 2007-02-21 | 杭州华为三康技术有限公司 | 一种协商安全联盟的方法 |
| CN101527729A (zh) * | 2009-05-05 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种ike可靠报文协商的方法、设备及系统 |
| CN102868522A (zh) * | 2012-09-12 | 2013-01-09 | 汉柏科技有限公司 | 一种ike协商异常的处理方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104410610A (zh) * | 2014-11-13 | 2015-03-11 | 杭州华三通信技术有限公司 | 一种基于IKEv2的初始协商方法及装置 |
| CN104410610B (zh) * | 2014-11-13 | 2018-01-09 | 新华三技术有限公司 | 一种基于IKEv2的初始协商方法及装置 |
| CN106130819A (zh) * | 2016-07-04 | 2016-11-16 | 锐捷网络股份有限公司 | Vtep异常的检测方法及装置 |
| CN106130819B (zh) * | 2016-07-04 | 2019-10-25 | 锐捷网络股份有限公司 | Vtep异常的检测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103152343B (zh) | 建立互联网安全协议虚拟专用网隧道的方法和网络设备 | |
| WO2016049853A1 (zh) | 一种生成业务路径的方法和装置 | |
| JP2016532347A5 (ja) | 通信システム、通信方法、端末、コアネットワークノード、及び移動管理方法 | |
| EP4280808A3 (en) | Network allocation vector management | |
| WO2014209901A3 (en) | Efficient communication for devices of a home network | |
| CN112583705B (zh) | 混合网络的通信方法、设备和系统 | |
| MX2019011295A (es) | Un primer nodo de red de radio (rnn), un segundo rnn y metodos en los mismos para establecer una interfaz de comunicaciones entre el primer rnn y el segundo rnn. | |
| MX349074B (es) | Reuso del grupo multidifusión en el transporte de multidifusión de la red celular. | |
| MX2018000705A (es) | Comunicacion de los datos no-ip sobre redes de datos por paquetes. | |
| CN110730143B (zh) | 一种分片数据包处理方法及装置 | |
| CN104601541B (zh) | 数据传输的方法、服务器和用户设备 | |
| MX2017014535A (es) | Dispositivo de terminal, dispositivo de red, y metodo de transmision de datos. | |
| CN105898892B (zh) | 利用wifi probe请求以及响应包实现快速通信的方法 | |
| JP7050094B2 (ja) | パケット送信方法、プロキシサーバ、およびコンピュータ読取り可能記憶媒体 | |
| WO2020088601A1 (zh) | 控制终端与网络连接的方法及装置 | |
| WO2017008701A1 (zh) | 数据传输方法、装置及用户设备 | |
| CN111193756B (zh) | 一种vxlan隧道负载均衡方法及相关设备 | |
| HRP20151303T1 (hr) | Metoda za poboljšanje visoke dostupnosti u sigurnoj telekomunikacijskoj mreži, i telekomunikacijska mreža koja sadrži više udaljenih äśvorova | |
| JP6480452B2 (ja) | パケット処理方法および装置 | |
| CN107079354B (zh) | 用于设置不活动性计时器的方法与设备 | |
| CN104301449A (zh) | 一种修改ip地址的方法和装置 | |
| CN103475645A (zh) | 一种解决ike重复协商的方法 | |
| CN104796887A (zh) | 一种安全信息交互的方法和装置 | |
| JP2017533643A (ja) | コンピュータ・プログラム、装置及び記憶媒体 | |
| CN105429901A (zh) | 上行数据包转发方法及装置、下行数据包转发方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination |