CN104753950A - 一种基于ipsec隧道双链路的报文转发方法及系统 - Google Patents
一种基于ipsec隧道双链路的报文转发方法及系统 Download PDFInfo
- Publication number
- CN104753950A CN104753950A CN201510164177.XA CN201510164177A CN104753950A CN 104753950 A CN104753950 A CN 104753950A CN 201510164177 A CN201510164177 A CN 201510164177A CN 104753950 A CN104753950 A CN 104753950A
- Authority
- CN
- China
- Prior art keywords
- link
- protocol layer
- message
- ike protocol
- dpd
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/686—Types of network addresses using dual-stack hosts, e.g. in Internet protocol version 4 [IPv4]/Internet protocol version 6 [IPv6] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于IPSEC隧道双链路的报文转发方法及系统,所述方法包括:建立两条IPSEC隧道,形成对应第一IPSEC隧道的第一IKE协议层和第一链路,以及对应第二IPSEC遂道的第二IKE协议层和第二链路;同时向第一IKE协议层和第二IKE协议层发送DPD请求报文;根据第一IKE协议层的DPD请求报文的回应报文的接收情况和第二IKE协议层DPD请求报文的回应报文的接收情况,在第一链路和第二链路上转发数据报文。本发明能够更灵活地利用网络带宽,并有效避免了网络拥堵高峰期的网络带宽动态变化而引起的报文异常丢失等问题,提高了报文的转发效果和性能。
Description
技术领域
本发明涉及计算机网络技术领域,具体涉及一种基于IPSEC隧道双链路的报文转发方法及系统。
背景技术
因特网协议安全性(Internet Protocol Security,IPSEC)是基于Internet工程任务组的一种开放标准的安全框架,通过数据包筛选及受信任通讯的实施来防御网络攻击。当前,在通过IPSEC隧道转发报文的过程中,通常采用IPSEC遂道双链路进行数据报文的转发,且对双链路采用平均分配的方式进行数据流量的分配。
如图1所示,针对IPSEC隧道双链路的场景,防火墙A通常将数据报文分别通过第一链路和第二链路平均分配流量发送至防火墙B,即每条链路转发1/2的数据报文,这样当有链路阻塞时,就会出现一个链路数据丢失的现象,即带宽不够,另一个链路又有带宽剩余,致使未能高效利用网络带宽,无法避免网络拥堵高峰期的网络带宽动态变化而引起的报文异常丢失等问题,而且报文的转发效果和性能较差。
发明内容
本发明的目的提供一种基于IPSEC隧道双链路的报文转发方法及系统,能够更灵活地利用网络带宽和避免网络拥堵高峰期的网络带宽动态变化而引起的报文异常丢失等问题。
根据本发明的一个方面,提供一种基于IPSEC隧道双链路的报文转发方法,所述方法包括:步骤S1,建立两条IPSEC隧道,形成对应第一IPSEC隧道的第一IKE协议层和第一链路,以及对应第二IPSEC遂道的第二IKE协议层和第二链路;步骤S2,同时向第一IKE协议层和第二IKE协议层发送DPD请求报文;步骤S3,根据第一IKE协议层的DPD请求报文的回应报文的接收情况和第二IKE协议层DPD请求报文的回应报文的接收情况,在第一链路和第二链路上转发数据报文。
其中,在本发明中,所述步骤S3进一步包括:步骤S31,当第一IKE协议层和第二IKE协议层接收到所述回应报文时,记录第一IKE协议层接收到回应DPD请求报文的回应报文的第一回应时长m,同时记录第二IKE协议层接收到回应DPD请求报文的回应报文的第二回应时长n;步骤S32,在第一链路和第二链路上按照n和m的比例转发报文。
其中,在本发明中,所述步骤S32进一步包括:当m-n大于q/2时,第一链路和第二链路上转发报文的流量比例为n:(m+x);当n-m大于q/2时,第一链路和第二链路上转发报文的流量比例为(n+x):m;q为预设的DPD回应报文的等待时长,x为等待时长q的正比例影响因子。
其中,在本发明中,所述步骤S3进一步包括:步骤S33,当第一IKE协议层未接收到所述回应报文时,将所对应的第一链路设置为关闭状态,将所有待转发的报文通过第二链路转发;步骤S34,当第二IKE协议层未接收到所述回应报文时,将所对应的第二链路设置为关闭状态,将所有待转发的报文通过第一链路转发;步骤S35,当第一IKE协议层和第二IKE协议层均未接收到所述回应报文时,将所对应的第一链路和第二链路设置为转发关闭状态,并停止所有报文的转发。
其中,在本发明中,所述步骤S3进一步包括:步骤S36,当第一IKE协议层和/或第二IKE协议层重新接收到所述回应报文时,将所对应的第一链路和/或第二链路设置为转发开启状态。
根据本发明的另一方面,提供一种基于IPSEC隧道双链路的报文转发系统,所述系统包括:链路建立单元,用于建立两条IPSEC隧道,形成对应第一IPSEC隧道的第一IKE协议层和第一链路,以及对应第二IPSEC遂道的第二IKE协议层和第二链路;DPD报文发送和接收单元,与所述链路建立单元相连,用于同时向所述链路建立单元建立的第一IKE协议层和第二IKE协议层发送DPD请求报文,并接收所述请求报文的回应报文;报文转发单元,与所述DPD报文发送和接收单元相连,用于根据第一IKE协议层的DPD请求报文的回应报文的接收情况和第二IKE协议层DPD请求报文的回应报文的接收情况,在第一链路和第二链路上转发数据报文。
其中,在本发明中,所述报文转发单元包括:时长记录子单元,用于当第一IKE协议层和第二IKE协议层接收到所述回应报文时,记录第一IKE协议层接收到回应DPD请求报文的回应报文的第一回应时长m,同时记录第二IKE协议层接收到回应DPD请求报文的回应报文的第二回应时长n;报文转发子单元,用于在第一链路和第二链路上按照n和m的比例转发报文。
其中,在本发明中,所述报文转发子单元进一步用于,当m-n大于q/2时,在第一链路和第二链路上转发报文的流量比例为n:(m+x);当n-m大于q/2时,第一链路和第二链路上转发报文的流量比例为(n+x):m;q为预设的DPD回应报文的等待时长,x为等待时长q的正比例影响因子。
其中,在本发明中,所述报文转发单元包括:链路关闭和转换子单元,所述链路关闭和转换子单元用于,当第一IKE协议层未接收到所述回应报文时,将所对应的第一链路设置为关闭状态,将所有待转发的报文通过第二链路转发;当第二IKE协议层未接收到所述回应报文时,将所对应的第二链路设置为关闭状态,将所有待转发的报文通过第一链路转发;当第一IKE协议层和第二IKE协议层均未接收到所述回应报文时,将所对应的第一链路和第二链路设置为转发关闭状态,并停止所有报文的转发。
其中,在本发明中,所述报文转发单元还包括:链路开启子单元,所述链路开启子单元用于当第一IKE协议层和/或第二IKE协议层重新接收到所述回应报文时,将所对应的第一链路和/或第二链路设置为转发开启状态。
根据本发明的一种基于IPSEC隧道双链路的报文转发方法及系统,通过两链路中DPD报文回应延时的比值来确定两链路转发报文的数量比值,能够更灵活地利用网络带宽和避免网络拥堵高峰期的网络带宽动态变化而引起的报文异常丢失等问题,提高了报文的转发效果和性能。
附图说明
图1显示了现有技术的基于IPSEC隧道双链路的报文转发的原理图;
图2显示了本发明的基于IPSEC隧道双链路的报文转发的原理图;
图3显示了本发明优选实施例的基于IPSEC隧道双链路的报文转发方法的流程图;
图4显示了图3中步骤S3的流程图;
图5显示了本发明优选实施例的基于IPSEC隧道双链路的报文转发系统的结构示意图;
图6显示了图5中报文转发单元的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
图2显示了本发明的基于IPSEC隧道双链路的报文转发的原理图。
如图2所示,与现有技术不同的是,本发明的每条链路按照可调的比例转发数据报文,以充分发挥每条链路的报文转发效率。具体来说,本发明在防火墙A上和防火墙B上分别建立两条IPSEC隧道,每条隧道分别生成一条对应的链路,形成第一链路和第二链路,并使用独立的DPD报文对第一链路和第二链路进行状态监测。这样可通过两链路中DPD报文回应延时的比值来确定两链路转发报文的数量比值,而不是一成不变地将报文平均到每一链路上转发,进而能够更灵活地利用网络带宽和避免网络拥堵高峰期的网络带宽动态变化而引起的报文异常丢失等问题,提高了报文的转发效果和性能。
图3显示了本发明优选实施例的基于IPSEC隧道双链路的报文转发方法的流程图。
如图3所示,本发明优选实施例的基于IPSEC隧道双链路的报文转发方法包括:
步骤S1,建立两条IPSEC隧道,形成对应第一IPSEC隧道的第一IKE协议层和第一链路,以及对应第二IPSEC遂道的第二IKE协议层和第二链路。
每建立一个IPSEC隧道,就会生成一个IKE协议层和一个IPSEC链路层,其中IKE协议层主要用于接收和发送控制报文,不同的IPSEC隧道对应不同的IKE协议层,每个控制报文通过IKE协议层唯一标识cookie号来确定唯一的IPSEC隧道,IPSEC链路层主要用于发送、接收和处理报文,即加解密报文。
步骤S2,同时向第一IKE协议层和第二IKE协议层发送DPD请求报文。
利用DPD请求报文可对IPSEC隧道的链路进行动态监控,根据每个IKE协议层针对DPD请求报文的回应时长,可以判断对应链路的网络状况,进而能够合理调整链路转发报文的数量,以提高链路转发报文的性能。
步骤S3,根据第一IKE协议层的DPD请求报文的回应报文的接收情况和第二IKE协议层DPD请求报文的回应报文的接收情况,在第一链路和第二链路上转发数据报文。
其中,步骤S3的流程如图4所示,包括:
步骤S31,当第一IKE协议层和第二IKE协议层接收到所述回应报文时,记录第一IKE协议层接收到回应DPD请求报文的回应报文的第一回应时长m,同时记录第二IKE协议层接收到回应DPD请求报文的回应报文的第二回应时长n。根据第一IKE协议层针对DPD请求报文的回应时长m,可以判断第一链路的状态是处于网络拥堵还是网络空闲,根据第二IKE协议层针对DPD请求报文的回应时长n,可以判断第二链路的状态是处于网络拥堵还是网络空闲。
步骤S32,在第一链路和第二链路上按照n和m的比例转发报文。具体来说,由于第一IKE协议层针对DPD请求报文的回应时长为m,第二IKE协议层针对DPD请求报文的回应时长n,通常地,m不等于n,表明第一链路和第二链路处于不同的网络状况,为了提高报文的转发效率,充分发挥链路转发报文的能力,则不能使第一链路和第二链路同时转发数量相等的报文,因此第一链路和第二链路按照n和m的比例转发报文。一般地,第一链路和第二链路上转发报文的流量比例为n:m。例如,在向第一IKE协议层发送DPD请求报文后等待接收到回应报文的时间为1.5ns,在向第一IKE协议层发送DPD请求报文后等待接收到回应报文时间为3ns,那么报文转发路径选择上,就是使用第一链路发送2个报文后,再使用第二链路发送1个报文,然后再使用第一链路发送2个报文,如此类推,使第一链路和第二链路转发报文的个数比为DPD回应报文的等待时间(延时值)的反比,即n:m的比值。优选地,第一链路和第二链路上转发报文的流量比例分配过程也考虑引入DPD回应报文的等待时长的影响。当m-n大于q/2时,第一链路和第二链路上转发报文的流量比例为n:(m+x);当n-m大于q/2时,第一链路和第二链路上转发报文的流量比例为(n+x):m;以最合理地调整第一链路和第二链路转发报文的数量,提高双链路转发报文的效率和性能。可选地,可以对比值进行取整,方便转发。这里,q为预设的DPD回应报文的等待时长,x为等待时长q的正比例影响因子,x值可自行设定,x大于零且其大小随m与n之间的差值增加而变大,当m与n的差值越接近q时,x取值越大。
当然,如果未收到第一IKE协议层或第二IKE协议层的DPD回应报文,则说明对应的链路出现网络拥堵,此时,关闭对应链路的报文转发状态,将所有待转发的报文通过另一链路转发。甚至在均未收到第一IKE协议层或第二IKE协议层的DPD回应报文时,停止所有报文的转发,并在重新收到第一IKE协议层或/和第二IKE协议层的DPD回应报文时,开启对应链路的报文转发状态,以达到报文转发的最优化性能,具体步骤如下:
步骤S33,当第一IKE协议层未接收到所述回应报文时,将所对应的第一链路设置为关闭状态,将所有待转发的报文通过第二链路转发。
步骤S34,当第二IKE协议层未接收到所述回应报文时,将所对应的第二链路设置为关闭状态,将所有待转发的报文通过第一链路转发。
步骤S35,当第一IKE协议层和第二IKE协议层均未接收到所述回应报文时,将所对应的第一链路和第二链路设置为转发关闭状态,并停止所有报文的转发。
步骤S36,当第一IKE协议层和/或第二IKE协议层重新接收到所述回应报文时,将所对应的第一链路和/或第二链路设置为转发开启状态。
通过上述流程,本发明利用DPD感知回应报文接收时间和无回应报文情况来判断链路状况,以更好的调整链路隧道的流量控制,达到数据报文发送的最优化处理方案。
图5显示了本发明优选实施例的基于IPSEC隧道双链路的报文转发系统的结构示意图。
如图5所示,本发明优选实施例的基于IPSEC隧道双链路的报文转发系统包括:链路建立单元1、DPD报文发送和接收单元2和报文转发单元3。
链路建立单元1用于建立两条IPSEC隧道,形成对应第一IPSEC隧道的第一IKE协议层和第一链路,以及对应第二IPSEC遂道的第二IKE协议层和第二链路。链路建立单元1每建立一个IPSEC隧道,就会生成一个IKE协议层和一个IPSEC链路层,其中IKE协议层主要用于接收和发送控制报文,不同的IPSEC隧道对应不同的IKE协议层,每个控制报文通过IKE协议层唯一标识cookie号来确定唯一的IPSEC隧道,IPSEC链路层主要用于发送、接收和处理报文,即加解密报文。
DPD报文发送和接收单元2与链路建立单元1相连,DPD报文发送和接收单元2用于同时向链路建立单元1建立的第一IKE协议层和第二IKE协议层发送DPD请求报文,并接收所述请求报文的回应报文。利用DPD请求报文可对IPSEC隧道的链路进行动态监控,根据每个IKE协议层针对DPD请求报文的回应时长,可以判断对应链路的网络状况,进而能够合理调整链路转发报文的数量,以提高链路转发报文的性能。
报文转发单元3与DPD报文发送和接收单元2相连,报文转发单元3用于根据第一IKE协议层的DPD请求报文的回应报文的接收情况和第二IKE协议层DPD请求报文的回应报文的接收情况,在第一链路和第二链路上转发数据报文。
其中,报文转发单元3的结构如图6所示,包括时长记录子单元31、报文转发子单元32、链路关闭和转换子单元33和链路开启子单元34。
时长记录子单元31用于当第一IKE协议层和第二IKE协议层接收到所述回应报文时,记录第一IKE协议层接收到回应DPD请求报文的回应报文的第一回应时长m,同时记录第二IKE协议层接收到回应DPD请求报文的回应报文的第二回应时长n。根据第一IKE协议层针对DPD请求报文的回应时长m,可以判断第一链路的状态是处于网络拥堵还是网络空闲,根据第二IKE协议层针对DPD请求报文的回应时长n,可以判断第二链路的状态是处于网络拥堵还是网络空闲。
报文转发子单元32用于在第一链路和第二链路上按照n和m的比例转发报文。具体来说,由于第一IKE协议层针对DPD请求报文的回应时长为m,第二IKE协议层针对DPD请求报文的回应时长n,通常地,m不等于n,表明第一链路和第二链路处于不同的网络状况,为了提高报文的转发效率,充分发挥链路转发报文的能力,则不能使第一链路和第二链路同时转发数量相等的报文,因此报文转发子单元32在第一链路和第二链路上按照n和m的比例转发报文。一般地,第一链路和第二链路上转发报文的流量比例为n:m。例如,在向第一IKE协议层发送DPD请求报文后等待接收到回应报文的时间为1.5ns,在向第一IKE协议层发送DPD请求报文后等待接收到回应报文时间为3ns,那么报文转发路径选择上,就是使用第一链路发送2个报文后,再使用第二链路发送1个报文,然后再使用第一链路发送2个报文,如此类推,使第一链路和第二链路转发报文的个数比为DPD回应报文的等待时间(延时值)的反比,即n:m的比值。但是当m-n大于q/2时,报文转发子单元32在第一链路和第二链路上转发报文的流量比例为n:(m+x);当n-m大于q/2时,报文转发子单元32在第一链路和第二链路上转发报文的流量比例为(n+x):m;以最合理地调整第一链路和第二链路转发报文的数量,提高双链路转发报文的效率和性能。可选地,可以对比值进行取整,方便转发。这里,q为预设的DPD回应报文的等待时长,x为等待时长q的正比例影响因子,x值可自行设定,x大于零且其大小随m与n之间的差值增加而变大,当m与n的差值越接近q时,x取值越大。
当然,如果未收到第一IKE协议层或第二IKE协议层的DPD回应报文,则说明对应的链路出现网络拥堵,此时,链路关闭和转换子单元33将关闭对应链路的报文转发状态,将所有待转发的报文通过另一链路转发。甚至在均未收到第一IKE协议层或第二IKE协议层的DPD回应报文时,停止所有报文的转发,并在重新收到第一IKE协议层或/和第二IKE协议层的DPD回应报文时,链路开启子单元34将开启对应链路的报文转发状态,以达到报文转发的最优化性能。
这里,链路关闭和转换子单元33具体用于当第一IKE协议层未接收到所述回应报文时,将所对应的第一链路设置为关闭状态,将所有待转发的报文通过第二链路转发;当第二IKE协议层未接收到所述回应报文时,将所对应的第二链路设置为关闭状态,将所有待转发的报文通过第一链路转发;当第一IKE协议层和第二IKE协议层均未接收到所述回应报文时,将所对应的第一链路和第二链路设置为转发关闭状态,并停止所有报文的转发。链路开启子单元34具体用于当第一IKE协议层和/或第二IKE协议层重新接收到所述回应报文时,将所对应的第一链路和/或第二链路设置为转发开启状态。
如上所述,根据本发明的一种基于IPSEC隧道双链路的报文转发方法及系统,通过两链路中DPD报文回应延时的比值来确定两链路转发报文的流量分配,能够更灵活地利用网络带宽,并有效避免了网络拥堵高峰期的网络带宽动态变化而引起的报文异常丢失等问题,提高了报文的转发效果和性能。
本领域普通技术人员可以理解实现上述实施例的全部或部分方法的步骤和系统的单元可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括存储器、磁盘或光盘等。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (10)
1.一种基于IPSEC隧道双链路的报文转发方法,其特征在于,所述方法包括:
步骤S1,建立两条IPSEC隧道,形成对应第一IPSEC隧道的第一IKE协议层和第一链路,以及对应第二IPSEC遂道的第二IKE协议层和第二链路;
步骤S2,同时向第一IKE协议层和第二IKE协议层发送DPD请求报文;
步骤S3,根据第一IKE协议层的DPD请求报文的回应报文的接收情况和第二IKE协议层DPD请求报文的回应报文的接收情况,在第一链路和第二链路上转发数据报文。
2.根据权利要求1所述的方法,其特征在于,所述步骤S3进一步包括:
步骤S31,当第一IKE协议层和第二IKE协议层接收到所述回应报文时,记录第一IKE协议层接收到回应DPD请求报文的回应报文的第一回应时长m,同时记录第二IKE协议层接收到回应DPD请求报文的回应报文的第二回应时长n;
步骤S32,在第一链路和第二链路上按照n和m的比例转发报文。
3.根据权利要求2所述的方法,其特征在于,所述步骤S32进一步包括:
当m-n大于q/2时,第一链路和第二链路上转发报文的流量比例为n:(m+x);当n-m大于q/2时,第一链路和第二链路上转发报文的流量比例为(n+x):m;
其中,q为预设的DPD回应报文的等待时长,x为等待时长q的正比例影响因子。
4.根据权利要求1所述的方法,其特征在于,所述步骤S3进一步包括:
步骤S33,当第一IKE协议层未接收到所述回应报文时,将所对应的第一链路设置为关闭状态,将所有待转发的报文通过第二链路转发;
步骤S34,当第二IKE协议层未接收到所述回应报文时,将所对应的第二链路设置为关闭状态,将所有待转发的报文通过第一链路转发;
步骤S35,当第一IKE协议层和第二IKE协议层均未接收到所述回应报文时,将所对应的第一链路和第二链路设置为转发关闭状态,并停止所有报文的转发。
5.根据权利要求4所述的方法,其特征在于,所述步骤S3进一步包括:
步骤S36,当第一IKE协议层和/或第二IKE协议层重新接收到所述回应报文时,将所对应的第一链路和/或第二链路设置为转发开启状态。
6.一种基于IPSEC隧道双链路的报文转发系统,其特征在于,所述系统包括:
链路建立单元(1),用于建立两条IPSEC隧道,形成对应第一IPSEC隧道的第一IKE协议层和第一链路,以及对应第二IPSEC遂道的第二IKE协议层和第二链路;
DPD报文发送和接收单元(2),与所述链路建立单元(1)相连,用于同时向所述链路建立单元(1)建立的第一IKE协议层和第二IKE协议层发送DPD请求报文,并接收所述请求报文的回应报文;
报文转发单元(3),与所述DPD报文发送和接收单元(2)相连,用于根据第一IKE协议层的DPD请求报文的回应报文的接收情况和第二IKE协议层DPD请求报文的回应报文的接收情况,在第一链路和第二链路上转发数据报文。
7.根据权利要求6所述的系统,其特征在于,所述报文转发单元(3)包括:
时长记录子单元(31),用于当第一IKE协议层和第二IKE协议层接收到所述回应报文时,记录第一IKE协议层接收到回应DPD请求报文的回应报文的第一回应时长m,同时记录第二IKE协议层接收到回应DPD请求报文的回应报文的第二回应时长n;
报文转发子单元(32),用于在第一链路和第二链路上按照n和m的比例转发报文。
8.根据权利要求7所述的系统,其特征在于,所述报文转发子单元(32)进一步用于,
当m-n大于q/2时,在第一链路和第二链路上转发报文的流量比例为n:(m+x);当n-m大于q/2时,第一链路和第二链路上转发报文的流量比例为(n+x):m;
其中,q为预设的DPD回应报文的等待时长,x为等待时长q的正比例影响因子。
9.根据权利要求6所述的系统,其特征在于,所述报文转发单元(3)包括:
链路关闭和转换子单元(33),所述链路关闭和转换子单元(33)用于,
当第一IKE协议层未接收到所述回应报文时,将所对应的第一链路设置为关闭状态,将所有待转发的报文通过第二链路转发;
当第二IKE协议层未接收到所述回应报文时,将所对应的第二链路设置为关闭状态,将所有待转发的报文通过第一链路转发;
当第一IKE协议层和第二IKE协议层均未接收到所述回应报文时,将所对应的第一链路和第二链路设置为转发关闭状态,并停止所有报文的转发。
10.根据权利要求9所述的系统,其特征在于,所述报文转发单元(3)还包括:
链路开启子单元(34),所述链路开启子单元(34)用于当第一IKE协议层和/或第二IKE协议层重新接收到所述回应报文时,将所对应的第一链路和/或第二链路设置为转发开启状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510164177.XA CN104753950B (zh) | 2015-04-08 | 2015-04-08 | 一种基于ipsec隧道双链路的报文转发方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510164177.XA CN104753950B (zh) | 2015-04-08 | 2015-04-08 | 一种基于ipsec隧道双链路的报文转发方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104753950A true CN104753950A (zh) | 2015-07-01 |
| CN104753950B CN104753950B (zh) | 2018-04-13 |
Family
ID=53593054
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510164177.XA Expired - Fee Related CN104753950B (zh) | 2015-04-08 | 2015-04-08 | 一种基于ipsec隧道双链路的报文转发方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104753950B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105162794A (zh) * | 2015-09-23 | 2015-12-16 | 北京汉柏科技有限公司 | 一种使用约定方式的ipsec密钥更新方法及设备 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002003613A3 (en) * | 2000-06-30 | 2002-05-02 | Sun Microsystems Inc | Load-balanced anycasting and routing in a network |
| WO2005018165A3 (en) * | 2003-07-22 | 2005-09-29 | Toshiba Kk | Secure and seamless roaming between internal and external networks, switching between double and triple tunnel, and protecting communication between home agent and mobile node |
| CN101719875A (zh) * | 2009-12-15 | 2010-06-02 | 杭州华三通信技术有限公司 | 一种mpls te隧道的带宽调整方法、系统及装置 |
| CN102238630A (zh) * | 2011-08-04 | 2011-11-09 | 迈普通信技术股份有限公司 | 3g网络中自适应负载均衡方法和系统 |
| CN102647349A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | Ipsec实现负载分担的方法及系统 |
| CN103490972A (zh) * | 2013-09-27 | 2014-01-01 | 迈普通信技术股份有限公司 | 多链路隧道报文传输方法及系统 |
-
2015
- 2015-04-08 CN CN201510164177.XA patent/CN104753950B/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002003613A3 (en) * | 2000-06-30 | 2002-05-02 | Sun Microsystems Inc | Load-balanced anycasting and routing in a network |
| WO2005018165A3 (en) * | 2003-07-22 | 2005-09-29 | Toshiba Kk | Secure and seamless roaming between internal and external networks, switching between double and triple tunnel, and protecting communication between home agent and mobile node |
| CN101719875A (zh) * | 2009-12-15 | 2010-06-02 | 杭州华三通信技术有限公司 | 一种mpls te隧道的带宽调整方法、系统及装置 |
| CN102238630A (zh) * | 2011-08-04 | 2011-11-09 | 迈普通信技术股份有限公司 | 3g网络中自适应负载均衡方法和系统 |
| CN102647349A (zh) * | 2012-03-30 | 2012-08-22 | 汉柏科技有限公司 | Ipsec实现负载分担的方法及系统 |
| CN103490972A (zh) * | 2013-09-27 | 2014-01-01 | 迈普通信技术股份有限公司 | 多链路隧道报文传输方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105162794A (zh) * | 2015-09-23 | 2015-12-16 | 北京汉柏科技有限公司 | 一种使用约定方式的ipsec密钥更新方法及设备 |
| CN105162794B (zh) * | 2015-09-23 | 2018-04-27 | 北京汉柏科技有限公司 | 一种使用约定方式的ipsec密钥更新方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104753950B (zh) | 2018-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3934183B1 (en) | Service function chain sfc-based communication methods, and apparatuses | |
| US20140115189A1 (en) | Method and system for implementing elastic network interface and interconnection | |
| US10404584B2 (en) | Load sharing method and router device | |
| CN103491076B (zh) | 一种网络攻击的防范方法和系统 | |
| EP3599751B1 (en) | Maintaining internet protocol security tunnels | |
| CN101917298B (zh) | 一种基于vlan的环路监测方法和设备 | |
| KR20180025944A (ko) | Sdn 기반의 arp 구현 방법 및 장치 | |
| KR101710385B1 (ko) | Arp 패킷을 관리하는 방법, 장치 및 컴퓨터 프로그램 | |
| US9374236B2 (en) | Network device with tunnel establishment control based on site-type attribute received from other network device | |
| WO2018219103A1 (zh) | 一种链路状态确定方法及设备 | |
| KR100624686B1 (ko) | 패킷 투 빅 메시지를 이용하여 아이피브이식스 천이터널에서 패킷 최대전송단위를 설정하는 시스템 및 그 방법 | |
| US7966661B2 (en) | Network amplification attack mitigation | |
| JP2020511873A (ja) | Macアドレス同期 | |
| US9525646B2 (en) | Method, device and computer program for selecting a router node in an LLN network | |
| CN104753950A (zh) | 一种基于ipsec隧道双链路的报文转发方法及系统 | |
| US20160157000A1 (en) | Method and apparatus for establishing trail network | |
| US20140007231A1 (en) | Switch route exploring method, system and device | |
| US20200076718A1 (en) | High bandwidth using multiple physical ports | |
| CN100450068C (zh) | 一种组播组的维护方法 | |
| CN101567886B (zh) | 表项安全管理方法及设备 | |
| CN105429844A (zh) | 网络系统、内网设备及内网设备的访问方法 | |
| CN105765903A (zh) | 一种拓扑发现方法及设备 | |
| Chen | Broadcast authentication protocol scheme based on DBP-MSP and safe routing in WSN against DDoS attacks | |
| EP3687131A1 (en) | Method, apparatus and system for rapidly restoring service during path switching | |
| KR101538667B1 (ko) | 네트워크 시스템 및 네트워크 제어 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180413 Termination date: 20190408 |