CN109831328A - 智能选路的切换方法、装置、电子设备 - Google Patents
智能选路的切换方法、装置、电子设备 Download PDFInfo
- Publication number
- CN109831328A CN109831328A CN201910089224.7A CN201910089224A CN109831328A CN 109831328 A CN109831328 A CN 109831328A CN 201910089224 A CN201910089224 A CN 201910089224A CN 109831328 A CN109831328 A CN 109831328A
- Authority
- CN
- China
- Prior art keywords
- link
- delay
- link connection
- connection
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供智能选路的切换方法、装置、电子设备及机器可读存储介质。在本申请中,创建所述本端设备到所述对端设备的智能选路配置,其中,所述智能选路配置至少包括最优链路、第一链路、第二链路,所述最优链路默认为第一链路;基于所述智能选路配置,创建所述本端设备到所述对端设备的第一链路连接及第二链路连接;若第二链路连接的链路连接质量优于第一链路的链路连接质量,则将所述最优链路切换为第二链路,其中,所述链路连接质量的检测基于预设的链路检测报文,实现了基于链路检测报文获取链路延迟,根据多次所述链路延迟进行统计及链路排序选优,将当前性能不佳的链路切换至经排序选优后的最优链路,并大幅提升了链路检测及切换的有效性。
Description
技术领域
本申请涉及通信技术领域,尤其涉及智能选路的切换方法、装置、电子设备及机器可读存储介质。
背景技术
由于经济和社会的快速发展,企业信息化程度的提高,一个常见的需求就是各地分公司或办事处同企业总部的需要跨越互联网进行信息交互以及传递,而VPN(VirtualPrivate Network,虚拟专用网络)就是应对上述需求的一种远程访问技术。VPN按隧道协议划分包括多种类型,其中,隧道协议IPSec(Internet Protocol Security,互联网安全协议)作为上述隧道协议中的一种,基于IPSec VPN对数据的加密是以数据包为单位的,而不是以整个数据流为单位,这不仅灵活而且有助于进一步提高IP数据包的安全性,可以有效防范网络攻击。
以IPSec作为VPN隧道协议的VPN为互联网上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。基于IPSec VPN的多个通信方之间在IP层通过加密与数据源认证等方式,提供了数据机密性、数据完整性、数据来源认证等安全服务。
发明内容
本申请提供一种智能选路的切换方法,所述方法应用于VPN系统的成员设备上,所述VPN系统运行时,所述成员设备可被配置为本端设备或者对端设备,其中,所述本端设备是指所述VPN系统中一个IPSec隧道连接的一侧网络设备,所述对端设备是指与所述本端设备相对应的所述IPSec隧道连接的另一侧网络设备,当所述成员设备为本端设备时,所述方法包括:
创建所述本端设备到所述对端设备的智能选路配置,其中,所述智能选路配置至少包括最优链路、第一链路、第二链路,所述最优链路默认为第一链路;
基于所述智能选路配置,创建所述本端设备到所述对端设备的第一链路连接及第二链路连接;
若第二链路连接的链路连接质量优于第一链路的链路连接质量,则将所述最优链路切换为第二链路,其中,所述链路连接质量的检测基于预设的链路检测报文。
可选的,所述链路检测报文的类型至少包括探测报文、探测响应报文;所述链路检测报文基于ISAKMP,其中,所述链路检测报文至少包括ISAKMP头、通用载荷头、序列号、时间戳,所述通用载荷头用于指示所述链路检测报文的报文类型,所述序列号用于指示所述链路检测报文的生成顺序,所述时间戳用于记录所述链路检测报文请求的时间。
可选的,所述创建所述本端设备到所述对端设备的第一链路连接及第二链路连接,包括:
创建第一链路连接的IKE阶段及IPSec阶段,其中,所述IKE阶段为所述IPSec隧道连接建立的第一个阶段,用于保护所述IPSec阶段的协商,所述IPSec阶段为所述IPSec隧道连接建立的第二个阶段,用于保护所述IPSec隧道内承载用户数据;
创建第二链路连接的IKE阶段。
可选的,还包括:
基于第一及第二链路连接对应的IKE阶段,从第一及第二链路向所述对端设备发送所述探测报文,获取所述对端设备返回的与所述探测报文对应的探测响应报文;
获得第一及第二链路连接的链路检测的延时,其中,所述延时用于指示所述链路连接质量,所述延时为接收到所述探测响应报文的时间与其对应的探测报文的时间戳的差值。
可选的,所述若第二链路的链路连接质量优于第一链路的链路连接质量,包括:
获取第一链路连接及第二链路连接分别对应的M个延时,其中,M为自然数,第一链路连接对应的M个延时与第二链路连接对应的M个延时所对应的探测报文的序列号对应相同;
若所述第一链路连接对应的M个延时中的每个延时都大于所述第二链路连接对应的M个延时中的每个延时,并且所述第一链路连接对应的M个延时的平均延时大于所述第二链路连接对应的M个延时的平均延时乘以预设阈值,则指示所述第二链路的链路连接质量优于第一链路的链路连接质量。
本申请还提供一种智能选路的切换装置,所述装置应用于VPN系统的成员设备上,所述VPN系统运行时,所述成员设备可被配置为本端设备或者对端设备,其中,所述本端设备是指所述VPN系统中一个IPSec隧道连接的一侧网络设备,所述对端设备是指与所述本端设备相对应的所述IPSec隧道连接的另一侧网络设备,当所述成员设备为本端设备时,所述装置包括:
创建模块,用于创建所述本端设备到所述对端设备的智能选路配置,其中,所述智能选路配置至少包括最优链路、第一链路、第二链路,所述最优链路默认为第一链路;
所述创建模块进一步,基于所述智能选路配置,创建所述本端设备到所述对端设备的第一链路连接及第二链路连接;
切换模块,用于若第二链路连接的链路连接质量优于第一链路的链路连接质量,则将所述最优链路切换为第二链路,其中,所述链路连接质量的检测基于预设的链路检测报文。
可选的,所述链路检测报文的类型至少包括探测报文、探测响应报文;所述链路检测报文基于ISAKMP,其中,所述链路检测报文至少包括ISAKMP头、通用载荷头、序列号、时间戳,所述通用载荷头用于指示所述链路检测报文的报文类型,所述序列号用于指示所述链路检测报文的生成顺序,所述时间戳用于记录所述链路检测报文请求的时间。
可选的,所述创建所述本端设备到所述对端设备的第一链路连接及第二链路连接,所述创建模块进一步,包括:
创建第一链路连接的IKE阶段及IPSec阶段,其中,所述IKE阶段为所述IPSec隧道连接建立的第一个阶段,用于保护所述IPSec阶段的协商,所述IPSec阶段为所述IPSec隧道连接建立的第二个阶段,用于保护所述IPSec隧道内承载用户数据;
创建第二链路连接的IKE阶段。
可选的,所述切换模块进一步,还包括:
基于第一及第二链路连接对应的IKE阶段,从第一及第二链路向所述对端设备发送所述探测报文,获取所述对端设备返回的与所述探测报文对应的探测响应报文;
获得第一及第二链路连接的链路检测的延时,其中,所述延时用于指示所述链路连接质量,所述延时为接收到所述探测响应报文的时间与其对应的探测报文的时间戳的差值。
可选的,所述若第二链路的链路连接质量优于第一链路的链路连接质量,所述切换模块进一步,包括:
获取第一链路连接及第二链路连接分别对应的M个延时,其中,M为自然数,第一链路连接对应的M个延时与第二链路连接对应的M个延时所对应的探测报文的序列号对应相同;
若所述第一链路连接对应的M个延时中的每个延时都大于所述第二链路连接对应的M个延时中的每个延时,并且所述第一链路连接对应的M个延时的平均延时大于所述第二链路连接对应的M个延时的平均延时乘以预设阈值,则指示所述第二链路的链路连接质量优于第一链路的链路连接质量。
本申请还提供一种电子设备,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行上述的方法。
本申请还提供一种机器可读存储介质,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,实现上述方法。
通过以上实施例,创建所述本端设备到所述对端设备的智能选路配置,其中,所述智能选路配置至少包括最优链路、第一链路、第二链路,所述最优链路默认为第一链路;基于所述智能选路配置,创建所述本端设备到所述对端设备的第一链路连接及第二链路连接;若第二链路连接的链路连接质量优于第一链路的链路连接质量,则将所述最优链路切换为第二链路,其中,所述链路连接质量的检测基于预设的链路检测报文,实现了基于ISAKMP的链路检测报文获取链路延迟,根据多次所述链路延迟进行统计及链路排序选优,将当前性能不佳的链路切换至经排序选优后的最优链路,并大幅提升了链路检测及切换的有效性。
附图说明
图1是一示例性实施例提供的一种智能选路的切换方法的流程图。
图2是一示例性实施例提供的一次智能选路的切换过程的流程图。
图3是一示例性实施例提供的一种智能选路的切换装置的框图。
图4是一示例性实施例提供的一种电子设备的硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了使本技术领域的人员更好地理解本申请实施例中的技术方案,下面先对本申请实施例涉及的智能选路的切换的相关技术,进行简要说明。
在一些场景下,一个VPN系统的通常包括:本端设备、对端设备,具体地,比如:在分支机构的网络设备A上配置一条到总部的网络设备B的IPSec链路,即上述网络设备A为VPN系统的本端设备、上述网络设备B为VPN系统的对端设备,VPN系统基于上述链路配置建立一个IPSec链路连接。由于上述IPSec链路连接为单条,若该链路出现故障时,则上述IPSec隧道会中断,从而导致网络设备A与网络设备B通信失败。为解决上述问题,在现有技术方案中,通常的实现方法是:基于运营商提供的IPSec智能选路特性实现进行链路切换,具体地,比如:在分支机构的网络设备A与总部的网络设备B建立多条完整阶段的IPSec链路连接后,在上述每条完整阶段的IPSec链路上,通过A发送及接收到B的ICMP报文并计算上述报文的延时和丢包率,从中选取延时和丢包率最小的一个链路。基于上述情况可见,现有IPSec智能选路实现,一方面,需要频繁创建及切换链路链接,造成网络瞬断或者反复切换,从而影响用户业务;另一方面,由于ICMP协议基于UDP实现,而UDP协议为不可靠协议,故基于ICMP协议进行链路检测,所获取的链路检测结果则也不可靠。
基于此,本申请提出一种智能选路的切换方案,该方案应用于VPN系统的成员设备上,所述VPN系统运行时,所述成员设备可被配置为本端设备或者对端设备,其中,所述本端设备是指所述VPN系统中一个IPSec隧道连接的一侧网络设备,所述对端设备是指与所述本端设备相对应的所述IPSec隧道连接的另一侧网络设备,其特征在于,当所述成员设备为本端设备时,创建所述本端设备到所述对端设备的智能选路配置,其中,所述智能选路配置至少包括最优链路、第一链路、第二链路,所述最优链路默认为第一链路;基于所述智能选路配置,创建所述本端设备到所述对端设备的第一链路连接及第二链路连接;若第二链路连接的链路连接质量优于第一链路的链路连接质量,则将所述最优链路切换为第二链路,其中,所述链路连接质量的检测基于预设的链路检测报文。
下面通过具体实施例并结合具体的应用场景对本申请进行描述。
请参考图1,图1是本申请一实施例提供的一种智能选路的切换方法,所述方法应用于VPN系统的成员设备上,所述VPN系统运行时,所述成员设备可被配置为本端设备或者对端设备,其中,所述本端设备是指所述VPN系统中一个IPSec隧道连接的一侧网络设备,所述对端设备是指与所述本端设备相对应的所述IPSec隧道连接的另一侧网络设备,其特征在于,当所述成员设备为本端设备时,上述方法执行以下步骤:
步骤102、创建所述本端设备到所述对端设备的智能选路配置,其中,所述智能选路配置至少包括最优链路、第一链路、第二链路,所述最优链路默认为第一链路。
这里的本端设备是指所述VPN系统中一个IPSec隧道连接的一侧网络设备,这里的对端设备是指与上述本端设备相对应的上述IPSec隧道连接的另一侧网络设备。具体地,比如:上述本端设备的智能选路配置为在上述本端设备到上述对端设备之间可以配置至少两条IPSec隧道,所述IPSec隧道也即简称为链路,上述智能选路配置至少包括最优链路、第一链路、第二链路,其中,所述最优链路默认为第一链路,上述本端设备基于预设的周期,比如:每隔5秒,监测上述第一链路及第二链路。上述过程仅为示例的一种可能,实际可能存在多种可能,比如:上述智能选路配置可以包括三条或以上的多条链路。
步骤104、基于所述智能选路配置,创建所述本端设备到所述对端设备的第一链路连接及第二链路连接。
这里的IKE(Internet Key Exchange,因特网密钥交换)阶段及IPSec阶段是指以一个IPSec链路连接建立过程中存在的两个阶段,其中,上述IKE阶段为上述IPSec隧道连接建立的第一个阶段,用于保护上述IPSec阶段的协商,上述IPSec阶段为上述IPSec隧道连接建立的第二个阶段,用于保护上述IPSec隧道内承载用户数据,上述IKE及IPSec阶段的建立过程为现有技术,不做具体赘述。具体地,以上述步骤102所示例的过程继续举例,上述本端设备创建第一链路连接的IKE阶段及IPSec阶段;上述本端设备创建第二链路连接的IKE阶段。
步骤106、若第二链路连接的链路连接质量优于第一链路的链路连接质量,则将所述最优链路切换为第二链路,其中,所述链路连接质量的检测基于预设的链路检测报文。
这里的链路连接质量的检测基于预设的链路检测报文,上述预设的链路检测报文的类型至少包括探测报文、探测响应报文;上述链路检测报文基于ISAKMP(InternetSecurity Association Key Management Protocol,因特网安全联盟密钥管理协议)进行构造,具体地,比如:一个报文类型为探测报文的链路检测报文的报文格式,请参考表1所示例:
表1
请参见上述表1所示例的第一条,上述链路检测报文的报文格式至少包括ISAKMP头、通用载荷头、序列号、时间戳字段,其中,上述通用载荷头至少包括用于指示上述链路检测报文的报文类型,比如:0x8003用于指示上述链路检测报文为探测报文,也即所述探测报文为所述链路检测报文的请求,上述序列号用于指示上述链路检测报文的生成顺序,上述时间戳用于记录上述链路检测报文的请求时间。再比如:一个报文类型为探测响应报文的链路检测报文的报文格式同上述表1所示例的第二条,仅仅上述通用载荷头所包括的用于指示上述链路检测报文的报文类型不同,比如:上述探测响应报文的通用载荷头的报文类型为0x8004,上述探测响应报文的时间戳用于记录上述链路检测报文的请求时间。通常一个链路检测报文的检测过程包括探测报文的发送、与所述探测报文对应的探测响应报文的接收,上述探测报文与上述探测响应报文的报文序列号、时间戳都是相同的。
上述本端设备基于第一及第二链路连接对应的IKE阶段,从第一及第二链路向所述对端设备发送所述探测报文,获取所述对端设备返回的与所述探测报文对应的探测响应报文;获得第一及第二链路连接的链路检测的延时,其中,所述延时用于指示所述链路连接质量,所述延时为上述本端设备接收到所述探测响应报文的时间点T2与其对应的探测报文的时间戳T1的差值,具体地,继续以上述示例举例,这里的延时为T2与T1差值的绝对值。
上述本端设备针对到上述对端设备的第一链路连接对应的IKE阶段及第二链路连接对应的IKE阶段,进行一次智能选路的切换过程,如图2所示例,执行如下步骤:
步骤202、获取多个链路链接的多个延时。
上述本端设备获取第一链路连接及第二链路连接分别对应的M个延时,其中,M为自然数,第一链路连接对应的M个延时与第二链路连接对应的M个延时所对应的探测报文的序列号对应相同。
具体地,继续以上述示例举例,比如:上述本端设备针对上述对端设备的第一链路连接及第二链路连接,同时发送10个探测报文,即在第一链路连接里发送10个探测报文,同时在第二链路连接里发送10个探测报文,上述同时也即上述本端设备触发上述第一链路连接对应的10个探测报文与第二链路连接对应的10个探测报文的序列号相同,用于保证在同一时间范围的网络状况下,进行第一链路、第二链路的延时比较。上述本端设备在第一链路、第二链路获取10个延时数据,请参考表2所示例:
表2
请参见上述表2所示例,上述本端设备获取第一链路、第二链路延时,的10次延时。
步骤204、基于所述多个延时进行统计,基于所述统计执行链路切换。
具体地,继续以上述示例举例,比如:上述本端设备基于所获取的第一链路、第二链路的多个延时,进行统计;如上述表2所示,第3次延时统计中,第一链路优于第二链路,第6次、第8次延时统计中,第二链路优于第一链路,故可以获得第二链路优于第一链路,而上述10次链路延时统计简称为一组统计。由于网络的不确定性,可能存在变化、延时和抖动,如果此时立即将最优链路从第一链路切换到第二链路,则可能出现当下一组链路延时统计第一链路优于第二链路,又要将最优链路从第二链路切换回第一链路,从而影响用户业务。
上述本端设备基于如此过程,才会将最优链路从第一链路切换到第二链路,即若所述第一链路连接对应的M个延时中的每个延时都大于所述第二链路连接对应的M个延时中的每个延时,并且所述第一链路连接对应的M个延时的平均延时大于所述第二链路连接对应的M个延时的平均延时乘以预设阈值,则指示所述第二链路的链路连接质量优于第一链路的链路连接质量。具体地,继续以上述示例举例,比如:10次链路延时统计中每次延时,第二链路都优于第一链路,并且上述第一链路连接对应的10个延时的平均延时大于上述第二链路连接对应的10个延时的平均延时乘以1.1(预设阈值),则上述本端设备将最优链路从第一链路切换到第二链路。
至此,完成图1所示的流程,通过图1所示的流程可以看出,上述方法应用于VPN系统的成员设备上,所述VPN系统运行时,所述成员设备可被配置为本端设备或者对端设备,其中,所述本端设备是指所述VPN系统中一个IPSec隧道连接的一侧网络设备,所述对端设备是指与所述本端设备相对应的所述IPSec隧道连接的另一侧网络设备,其特征在于,当所述成员设备为本端设备时,创建所述本端设备到所述对端设备的智能选路配置,其中,所述智能选路配置至少包括最优链路、第一链路、第二链路,所述最优链路默认为第一链路;基于所述智能选路配置,创建所述本端设备到所述对端设备的第一链路连接及第二链路连接;若第二链路连接的链路连接质量优于第一链路的链路连接质量,则将所述最优链路切换为第二链路,其中,所述链路连接质量的检测基于预设的链路检测报文。
应用本申请实施例,实现了基于自定义ISAKMP的链路检测报文获取链路延迟,根据多次所述链路延迟进行统计及链路排序选优,将当前性能不佳的链路切换至经排序选优后的最优链路,并大幅提升了链路检测及切换的有效性。
图3是本申请一示例性实施例提供的一种智能选路的切换装置的框图。与上述方法实施例相对应,本申请还提供了一种智能选路的切换装置的实施例,所述装置应用于VPN系统的成员设备上,所述VPN系统运行时,所述成员设备可被配置为本端设备或者对端设备,其中,所述本端设备是指所述VPN系统中一个IPSec隧道连接的一侧网络设备,所述对端设备是指与所述本端设备相对应的所述IPSec隧道连接的另一侧网络设备,当所述成员设备为本端设备时,请参考图3所示例的一种智能选路的切换装置30,所述装置包括:
创建模块301,用于创建所述本端设备到所述对端设备的智能选路配置,其中,所述智能选路配置至少包括最优链路、第一链路、第二链路,所述最优链路默认为第一链路;
所述创建模块301进一步,基于所述智能选路配置,创建所述本端设备到所述对端设备的第一链路连接及第二链路连接;
切换模块302,用于若第二链路连接的链路连接质量优于第一链路的链路连接质量,则将所述最优链路切换为第二链路,其中,所述链路连接质量的检测基于预设的链路检测报文。
可选的,所述链路检测报文的类型至少包括探测报文、探测响应报文;所述链路检测报文基于ISAKMP,其中,所述链路检测报文至少包括ISAKMP头、通用载荷头、序列号、时间戳,所述通用载荷头用于指示所述链路检测报文的报文类型,所述序列号用于指示所述链路检测报文的生成顺序,所述时间戳用于记录所述链路检测报文请求的时间。
可选的,所述创建所述本端设备到所述对端设备的第一链路连接及第二链路连接,所述创建模块301进一步,包括:
创建第一链路连接的IKE阶段及IPSec阶段,其中,所述IKE阶段为所述IPSec隧道连接建立的第一个阶段,用于保护所述IPSec阶段的协商,所述IPSec阶段为所述IPSec隧道连接建立的第二个阶段,用于保护所述IPSec隧道内承载用户数据;
创建第二链路连接的IKE阶段。
可选的,所述切换模块进一步302,还包括:
基于第一及第二链路连接对应的IKE阶段,从第一及第二链路向所述对端设备发送所述探测报文,获取所述对端设备返回的与所述探测报文对应的探测响应报文;
获得第一及第二链路连接的链路检测的延时,其中,所述延时用于指示所述链路连接质量,所述延时为接收到所述探测响应报文的时间与其对应的探测报文的时间戳的差值。
可选的,所述若第二链路的链路连接质量优于第一链路的链路连接质量,所述切换模块302进一步,包括:
获取第一链路连接及第二链路连接分别对应的M个延时,其中,M为自然数,第一链路连接对应的M个延时与第二链路连接对应的M个延时所对应的探测报文的序列号对应相同;
若所述第一链路连接对应的M个延时中的每个延时都大于所述第二链路连接对应的M个延时中的每个延时,并且所述第一链路连接对应的M个延时的平均延时大于所述第二链路连接对应的M个延时的平均延时乘以预设阈值,则指示所述第二链路的链路连接质量优于第一链路的链路连接质量。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述实施例阐明的系统、装置、模块或模块,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
本申请的智能选路的切换装置的实施例可以应用在图4所示的电子设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在电子设备的处理器将机器可读存储介质中对应的计算机程序指令读取后运行形成的机器可执行指令。从硬件层面而言,如图4所示,为本申请的智能选路的切换装置所在电子设备的一种硬件结构图,除了图4所示的处理器、通信接口、总线以及机器可读存储介质之外,实施例中装置所在的电子设备通常根据该电子设备的实际功能,还可以包括其他硬件,对此不再赘述。
对应地,本申请实施例还提供了图3所示装置的一种电子设备的硬件结构,请参见图4,图4为本申请实施例提供的一种电子设备的硬件结构示意图。该设备包含:通信接口401、处理器402、机器可读存储介质403和总线404;其中,通信接口401、处理器402、机器可读存储介质403通过总线404完成相互间的通信。其中,通信接口401,用于进行网络通信。处理器402可以是一个中央处理器(CPU),处理器402可以执行机器可读存储介质403中存储的机器可读指令,以实现以上描述的方法。
本文中提到的机器可读存储介质403可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,机器可读存储介质403可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
至此,完成图4所示的硬件结构描述。
此外,本申请实施例还提供了一种包括机器可执行指令的机器可读存储介质,例如图4中的机器可读机器可读存储介质403,所述机器可执行指令可由数据处理装置中的处理器402执行以实现以上描述的数据处理方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (12)
1.一种智能选路的切换方法,所述方法应用于VPN系统的成员设备上,所述VPN系统运行时,所述成员设备可被配置为本端设备或者对端设备,其中,所述本端设备是指所述VPN系统中一个IPSec隧道连接的一侧网络设备,所述对端设备是指与所述本端设备相对应的所述IPSec隧道连接的另一侧网络设备,其特征在于,当所述成员设备为本端设备时,所述方法包括:
创建所述本端设备到所述对端设备的智能选路配置,其中,所述智能选路配置至少包括最优链路、第一链路、第二链路,所述最优链路默认为第一链路;
基于所述智能选路配置,创建所述本端设备到所述对端设备的第一链路连接及第二链路连接;
若第二链路连接的链路连接质量优于第一链路的链路连接质量,则将所述最优链路切换为第二链路,其中,所述链路连接质量的检测基于预设的链路检测报文。
2.根据权利要求1所述的方法,其特征在于,所述链路检测报文的类型至少包括探测报文、探测响应报文;所述链路检测报文基于ISAKMP,其中,所述链路检测报文至少包括ISAKMP头、通用载荷头、序列号、时间戳,所述通用载荷头用于指示所述链路检测报文的报文类型,所述序列号用于指示所述链路检测报文的生成顺序,所述时间戳用于记录所述链路检测报文请求的时间。
3.根据权利要求2所述的方法,其特征在于,所述创建所述本端设备到所述对端设备的第一链路连接及第二链路连接,包括:
创建第一链路连接的IKE阶段及IPSec阶段,其中,所述IKE阶段为所述IPSec隧道连接建立的第一个阶段,用于保护所述IPSec阶段的协商,所述IPSec阶段为所述IPSec隧道连接建立的第二个阶段,用于保护所述IPSec隧道内承载用户数据;
创建第二链路连接的IKE阶段。
4.根据权利要求3所述的方法,其特征在于,还包括:
基于第一及第二链路连接对应的IKE阶段,从第一及第二链路向所述对端设备发送所述探测报文,获取所述对端设备返回的与所述探测报文对应的探测响应报文;
获得第一及第二链路连接的链路检测的延时,其中,所述延时用于指示所述链路连接质量,所述延时为接收到所述探测响应报文的时间与其对应的探测报文的时间戳的差值。
5.根据权利要求4所述的方法,其特征在于,所述若第二链路的链路连接质量优于第一链路的链路连接质量,包括:
获取第一链路连接及第二链路连接分别对应的M个延时,其中,M为自然数,第一链路连接对应的M个延时与第二链路连接对应的M个延时所对应的探测报文的序列号对应相同;
若所述第一链路连接对应的M个延时中的每个延时都大于所述第二链路连接对应的M个延时中的每个延时,并且所述第一链路连接对应的M个延时的平均延时大于所述第二链路连接对应的M个延时的平均延时乘以预设阈值,则指示所述第二链路的链路连接质量优于第一链路的链路连接质量。
6.一种智能选路的切换装置,所述装置应用于VPN系统的成员设备上,所述VPN系统运行时,所述成员设备可被配置为本端设备或者对端设备,其中,所述本端设备是指所述VPN系统中一个IPSec隧道连接的一侧网络设备,所述对端设备是指与所述本端设备相对应的所述IPSec隧道连接的另一侧网络设备,其特征在于,当所述成员设备为本端设备时,所述装置包括:
创建模块,用于创建所述本端设备到所述对端设备的智能选路配置,其中,所述智能选路配置至少包括最优链路、第一链路、第二链路,所述最优链路默认为第一链路;
所述创建模块进一步,基于所述智能选路配置,创建所述本端设备到所述对端设备的第一链路连接及第二链路连接;
切换模块,用于若第二链路连接的链路连接质量优于第一链路的链路连接质量,则将所述最优链路切换为第二链路,其中,所述链路连接质量的检测基于预设的链路检测报文。
7.根据权利要求6所述的装置,其特征在于,所述链路检测报文的类型至少包括探测报文、探测响应报文;所述链路检测报文基于ISAKMP,其中,所述链路检测报文至少包括ISAKMP头、通用载荷头、序列号、时间戳,所述通用载荷头用于指示所述链路检测报文的报文类型,所述序列号用于指示所述链路检测报文的生成顺序,所述时间戳用于记录所述链路检测报文请求的时间。
8.根据权利要求7所述的装置,其特征在于,所述创建所述本端设备到所述对端设备的第一链路连接及第二链路连接,所述创建模块进一步,包括:
创建第一链路连接的IKE阶段及IPSec阶段,其中,所述IKE阶段为所述IPSec隧道连接建立的第一个阶段,用于保护所述IPSec阶段的协商,所述IPSec阶段为所述IPSec隧道连接建立的第二个阶段,用于保护所述IPSec隧道内承载用户数据;
创建第二链路连接的IKE阶段。
9.根据权利要求8所述的装置,其特征在于,所述切换模块进一步,还包括:
基于第一及第二链路连接对应的IKE阶段,从第一及第二链路向所述对端设备发送所述探测报文,获取所述对端设备返回的与所述探测报文对应的探测响应报文;
获得第一及第二链路连接的链路检测的延时,其中,所述延时用于指示所述链路连接质量,所述延时为接收到所述探测响应报文的时间与其对应的探测报文的时间戳的差值。
10.根据权利要求9所述的装置,其特征在于,所述若第二链路的链路连接质量优于第一链路的链路连接质量,所述切换模块进一步,包括:
获取第一链路连接及第二链路连接分别对应的M个延时,其中,M为自然数,第一链路连接对应的M个延时与第二链路连接对应的M个延时所对应的探测报文的序列号对应相同;
若所述第一链路连接对应的M个延时中的每个延时都大于所述第二链路连接对应的M个延时中的每个延时,并且所述第一链路连接对应的M个延时的平均延时大于所述第二链路连接对应的M个延时的平均延时乘以预设阈值,则指示所述第二链路的链路连接质量优于第一链路的链路连接质量。
11.一种电子设备,其特征在于,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行如权利要求1至5任一项所述的方法。
12.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,实现权利要求1至5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910089224.7A CN109831328A (zh) | 2019-01-30 | 2019-01-30 | 智能选路的切换方法、装置、电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910089224.7A CN109831328A (zh) | 2019-01-30 | 2019-01-30 | 智能选路的切换方法、装置、电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109831328A true CN109831328A (zh) | 2019-05-31 |
Family
ID=66862880
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910089224.7A Pending CN109831328A (zh) | 2019-01-30 | 2019-01-30 | 智能选路的切换方法、装置、电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109831328A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110545566A (zh) * | 2019-09-11 | 2019-12-06 | 腾讯科技(深圳)有限公司 | 一种链路切换的方法、装置、设备以及存储介质 |
| CN112073271A (zh) * | 2020-09-24 | 2020-12-11 | 杭州迪普科技股份有限公司 | 一种网络延时的测量方法、装置、设备及介质 |
| CN112217685A (zh) * | 2019-07-11 | 2021-01-12 | 奇安信科技集团股份有限公司 | 隧道探测方法、终端设备、系统、计算机设备和存储介质 |
| CN112422425A (zh) * | 2020-10-10 | 2021-02-26 | 锐捷网络股份有限公司 | 一种线路确定方法、装置、网关设备和存储介质 |
| CN112822102A (zh) * | 2020-12-30 | 2021-05-18 | 瑞斯康达科技发展股份有限公司 | 链路切换方法、装置、设备、系统及存储介质 |
| CN115484648A (zh) * | 2021-06-16 | 2022-12-16 | 荣耀终端有限公司 | 通道切换方法、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103475655A (zh) * | 2013-09-06 | 2013-12-25 | 瑞斯康达科技发展股份有限公司 | 一种实现IPSecVPN主备链路动态切换的方法 |
| CN106685760A (zh) * | 2016-12-29 | 2017-05-17 | 杭州迪普科技股份有限公司 | 链路状态的探测方法及装置 |
| US20170272255A1 (en) * | 2001-01-18 | 2017-09-21 | Virnetx, Inc. | Systems and methods for certifying devices to communicate securely |
| CN108600228A (zh) * | 2018-04-26 | 2018-09-28 | 杭州迪普科技股份有限公司 | 一种IPSec链路选择方法及装置 |
| CN109194561A (zh) * | 2018-08-29 | 2019-01-11 | 杭州迪普科技股份有限公司 | 选择链路的方法、装置及存储介质 |
-
2019
- 2019-01-30 CN CN201910089224.7A patent/CN109831328A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170272255A1 (en) * | 2001-01-18 | 2017-09-21 | Virnetx, Inc. | Systems and methods for certifying devices to communicate securely |
| CN103475655A (zh) * | 2013-09-06 | 2013-12-25 | 瑞斯康达科技发展股份有限公司 | 一种实现IPSecVPN主备链路动态切换的方法 |
| CN106685760A (zh) * | 2016-12-29 | 2017-05-17 | 杭州迪普科技股份有限公司 | 链路状态的探测方法及装置 |
| CN108600228A (zh) * | 2018-04-26 | 2018-09-28 | 杭州迪普科技股份有限公司 | 一种IPSec链路选择方法及装置 |
| CN109194561A (zh) * | 2018-08-29 | 2019-01-11 | 杭州迪普科技股份有限公司 | 选择链路的方法、装置及存储介质 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112217685A (zh) * | 2019-07-11 | 2021-01-12 | 奇安信科技集团股份有限公司 | 隧道探测方法、终端设备、系统、计算机设备和存储介质 |
| CN112217685B (zh) * | 2019-07-11 | 2022-03-25 | 奇安信科技集团股份有限公司 | 隧道探测方法、终端设备、系统、计算机设备和存储介质 |
| CN110545566A (zh) * | 2019-09-11 | 2019-12-06 | 腾讯科技(深圳)有限公司 | 一种链路切换的方法、装置、设备以及存储介质 |
| CN110545566B (zh) * | 2019-09-11 | 2021-04-27 | 腾讯科技(深圳)有限公司 | 一种链路切换的方法、装置、设备以及存储介质 |
| CN112073271A (zh) * | 2020-09-24 | 2020-12-11 | 杭州迪普科技股份有限公司 | 一种网络延时的测量方法、装置、设备及介质 |
| CN112422425A (zh) * | 2020-10-10 | 2021-02-26 | 锐捷网络股份有限公司 | 一种线路确定方法、装置、网关设备和存储介质 |
| CN112422425B (zh) * | 2020-10-10 | 2023-01-10 | 锐捷网络股份有限公司 | 一种线路确定方法、装置、网关设备和存储介质 |
| CN112822102A (zh) * | 2020-12-30 | 2021-05-18 | 瑞斯康达科技发展股份有限公司 | 链路切换方法、装置、设备、系统及存储介质 |
| CN112822102B (zh) * | 2020-12-30 | 2023-01-24 | 瑞斯康达科技发展股份有限公司 | 链路切换方法、装置、设备、系统及存储介质 |
| CN115484648A (zh) * | 2021-06-16 | 2022-12-16 | 荣耀终端有限公司 | 通道切换方法、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109831328A (zh) | 智能选路的切换方法、装置、电子设备 | |
| US11792046B2 (en) | Method for generating forwarding information, controller, and service forwarding entity | |
| CN110771118B (zh) | 一种具有tcp移动性选项的无缝移动性和会话连续性 | |
| JP6223884B2 (ja) | 通信装置、通信方法およびプログラム | |
| US9306734B2 (en) | Communication device, key generating device, and computer readable medium | |
| CN104935593A (zh) | 数据报文的传输方法及装置 | |
| JP2013201537A (ja) | 鍵生成装置および鍵生成方法 | |
| CN106487802B (zh) | 基于DPD协议的IPSec SA的异常探测方法及装置 | |
| CN104935594A (zh) | 基于虚拟可扩展局域网隧道的报文处理方法及装置 | |
| Jansen et al. | KISt: Kernel-informed socket transport for ToR | |
| Guttman | Key compromise, strand spaces, and the authentication tests | |
| Schönwälder et al. | On the Impact of Security Protocols on the Performance of SNMP | |
| CN115174061A (zh) | 基于区块链中继通信网络系统的消息传输方法及装置 | |
| CN109905310B (zh) | 数据传输方法、装置、电子设备 | |
| Tennekoon et al. | Prototype implementation of fast and secure traceability service over public networks | |
| Alston et al. | Neutralizing interest flooding attacks in named data networks using cryptographic route tokens | |
| Cheng et al. | A compatible openflow platform for enabling security enhancement in SDN | |
| CN108512833A (zh) | 一种防范攻击方法及装置 | |
| US20180227271A1 (en) | Method for transmitting information between two domains with distinct security levels | |
| US11626981B2 (en) | Facilitating hitless security key rollover using data plane feedback | |
| CN109547318A (zh) | Vpn数据报文的处理方法、装置、电子设备 | |
| WO2018028359A1 (zh) | 业务处理方法、装置、存储介质及电子装置 | |
| Parra-Espín et al. | Sdn-based automated rekey of ipsec security associations: design and practical validations | |
| Bascio et al. | On srv6 security | |
| Demaria | Security Evaluation of Multipath TCP: Analyzing and fixing Multipath TCP vulnerabilities, contributing to the Linus Kernel implementation of the new version of the protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190531 |