CN110113202B - 一种IPsec诊断方法、装置及本端设备 - Google Patents
一种IPsec诊断方法、装置及本端设备 Download PDFInfo
- Publication number
- CN110113202B CN110113202B CN201910363882.0A CN201910363882A CN110113202B CN 110113202 B CN110113202 B CN 110113202B CN 201910363882 A CN201910363882 A CN 201910363882A CN 110113202 B CN110113202 B CN 110113202B
- Authority
- CN
- China
- Prior art keywords
- address
- ipsec
- peer
- negotiation
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0811—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种IPsec诊断方法、装置及本端设备。其中,方法应用于本端设备,可以包括:在接收到IPsec诊断指令时,确定所述IPsec诊断指令携带的第一对端地址所对应的出接口;判断所述出接口所应用的IPsec策略中配置的第二对端地址与所述第一对端地址是否相同;如果所述第二对端地址与所述第一对端地址不同,则输出用于表示所述IPsec策略配置错误的诊断结果。可以通过比较诊断条件中的第一对端地址和IPsec策略中的第二对端地址,以检查IPsec策略中的对端地址是否设置正确,并且在IPsec策略中的对端地址设置不正确的情况下,输出用于表示IPsec策略配置错误的诊断结果,即避免了因IPsec策略配置错误,导致IPsec诊断无法输出诊断结果。
Description
技术领域
本发明涉及网络诊断技术领域,特别是涉及一种IPsec诊断方法、装置及本端设备。
背景技术
为了提高通信的安全性,多个网络设备之间可以通过IPsec(Internet ProtocolSecurity,互联网协议安全性)连接进行通信。当IPsec连接出现故障时,可以通过IPsec诊断以确定导致故障的原因。
以诊断网络设备A和网络设备B之间的IPsec连接为例,相关技术中,网络设备A可以是在本地查找与网络设备B的地址对应的路由,如果不存在与网络设备B的地址对应的路由,则输出用于表示路由不可达的诊断结果。如果存在与网络设备B的地址对应的路由,则查找与该路由对应的出接口,并确定该出接口是否应用有IPsec策略,如果该出接口没有应用IPsec策略,输出用于表示未应用或应用IPsec策略不存在的诊断结果。
如果该出接口应用有IPsec策略,则查找是否存在与该IPsec策略中所配置的对端地址(remote-address)和本端地址(local-address)匹配的IPsec隧道,如果该IPsec隧道存在,则输出用于表示IPsec隧道存在的诊断结果。如果该IPsec隧道不存在,则进入等待状态,并对每个接收到的协商报文,确定该协商报文是否满足条件:所携带的本端地址和对端地址,分别与IPsec策略中所配置的对端地址和本端地址相匹配。直至接收到满足该条件的协商报文,终止等待状态,并基于该协商报文进行IPsec协商及诊断,以得到并输出诊断结果。
但是,出于一些特殊原因(如配置时的疏忽、没有及时更新),IPsec策略中所配置的对端地址可能存在错误,进而无法接收到满足上述条件的协商报文,导致网络设备A一直处于等待状态,无法输出诊断结果。
发明内容
本发明实施例的目的在于提供一种IPsec诊断方法、装置及本端设备,以实现降低因IPsec策略配置错误,导致IPsec诊断无法输出诊断结果的可能性。
具体技术方案如下:
在本发明实施例的第一方面,提供了一种IPsec诊断方法,所述方法包括:
在接收到IPsec诊断指令时,确定所述IPsec诊断指令携带的第一对端地址所对应的出接口;
判断所述出接口所应用的IPsec策略中配置的第二对端地址与所述第一对端地址是否相同;
如果所述第二对端地址与所述第一对端地址不同,则输出用于表示所述IPsec策略配置错误的诊断结果。
在一种实施例中,所述方法还包括:
如果所述第二对端地址与所述第一对端地址相同,则判断所述IPsec策略中配置的本端地址与所述出接口的地址是否相同;
如果所述IPsec策略中配置的本端地址与所述出接口的地址不同,则输出用于表示所述IPsec策略配置错误的诊断结果。
在一种实施例中,所述方法还包括:
如果所述IPsec策略中配置的本端地址与所述出接口的地址相同,则根据所述第二对端地址和所述IPsec策略中配置的本端地址,判断与地址为所述第二对端地址的对端设备之间是否存在IPsec隧道;
如果判定与所述对端设备之间存在IPsec隧道,则输出用于表示存在IPsec隧道的诊断结果。
在一种实施例中,所述根据所述第二对端地址和所述IPsec策略中配置的本端地址,判断与地址为所述第二对端地址的对端设备之间是否存在IPsec隧道,包括:
将所述出接口的地址和所述第二对端地址,与各个IPsec隧道配置的地址进行匹配;
如果存在配置的地址与所述出接口的地址和所述第二对端地址匹配的IPsec隧道,则确定与地址为所述第二对端地址的对端设备之间存在IPsec隧道;
否则,确定与地址为所述第二对端地址的对端设备之间不存在IPsec隧道。
在一种实施例中,所述方法还包括:
如果与所述对端设备之间不存在IPsec隧道,则进入等待状态,直至接收到满足预设条件的协商报文,或者,在预设时长内接收到的协商报文中,相同的协商报文的数目大于预设数目阈值,所述预设条件为:所携带的本端地址与所述第二对端地址相同,并且所携带的对端地址与所述出接口的地址相同;
如果接收到满足所述预设条件的协商报文,则与发送该协商报文的对端设备进行IPsec协商,得到协商结果;
基于所述协商结果,输出诊断结果;
如果在预设时长内接收到的协商报文中,相同的协商报文的数目大于预设数目阈值,则输出用于表示所述IPsec策略配置错误的诊断结果。
在本发明实施例的第二方面,提供了一种IPsec诊断装置,所述装置包括:
出接口匹配模块,用于在接收到IPsec诊断指令时,确定所述IPsec诊断指令携带的第一对端地址所对应的出接口;
对等体匹配模块,用于判断所述出接口所应用的IPsec策略中配置的第二对端地址与所述第一对端地址是否相同;
诊断结果输出模块,用于如果所述第二对端地址与所述第一对端地址不同,则输出用于表示所述IPsec策略配置错误的诊断结果。
在一种实施例中,所述对等体匹配模块,还用于如果所述第二对端地址与所述第一对端地址相同,则判断所述IPsec策略中配置的本端地址与所述出接口的地址是否相同;
所述诊断结果输出模块,还用于如果所述IPsec策略中配置的本端地址与所述出接口的地址不同,则输出用于表示所述IPsec策略配置错误的诊断结果。
在一种实施例中,所述装置还包括隧道检查模块,用于如果所述IPsec策略中配置的本端地址与所述出接口的地址相同,则根据所述第二对端地址和所述IPsec策略中配置的本端地址,判断与地址为所述第二对端地址的对端设备之间是否存在IPsec隧道;
所述诊断结果输出模块,还用于如果判定与所述对端设备之间存在IPsec隧道,则输出用于表示存在IPsec隧道的诊断结果。
在一种实施例中,所述隧道检查模块具体用于,将所述出接口的地址和所述第二对端地址,与各个IPsec隧道配置的地址进行匹配;
如果存在配置的地址与所述出接口的地址和所述第二对端地址匹配的IPsec隧道,则确定与地址为所述第二对端地址的对端设备之间存在IPsec隧道;
否则,确定与地址为所述第二对端地址的对端设备之间不存在IPsec隧道。
在一种实施例中,所述诊断结果输出模块还用于,如果与所述对端设备之间不存在IPsec隧道,则进入等待状态,直至接收到,满足预设条件的协商报文,或者,在预设时长内接收到的协商报文中,相同的协商报文的数目大于预设数目阈值,所述预设条件为:所携带的本端地址与所述第二对端地址相同,并且所携带的对端地址与所述出接口的地址相同;
如果接收到满足所述预设条件的协商报文,则与发送该协商报文的对端设备进行IPsec协商,得到协商结果;
基于所述协商结果,输出诊断结果;
如果在预设时长内接收到的协商报文中,相同的协商报文的数目大于预设数目阈值,输出用于表示所述IPsec策略配置错误的诊断结果。
在本发明实施例的第三方面,提供了一种本端设备,包括:
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述第一方面任一所述的IPsec诊断方法。
在本发明实施例的第四方面,提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面任一所述的IPsec诊断方法。
本发明实施例提供的IPsec诊断方法,可以通过比较诊断条件中的第一对端地址和IPsec策略中的第二对端地址,以检查IPsec策略中的对端地址是否设置正确,并且在IPsec策略中的对端地址设置不正确的情况下,输出用于表示IPsec策略配置错误的诊断结果,即避免了因IPsec策略配置错误,导致IPsec诊断无法输出诊断结果。当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的IPsec诊断方法的一种流程示意图;
图2为本发明实施例提供的针对非模板方式的IPsec策略的IPsec诊断方法的一种流程示意图;
图3为本发明实施例提供的针对模板方式的IPsec策略的IPsec诊断方法的一种流程示意图;
图4为本发明实施例提供的协商报文匹配方法的一种流程示意图;
图5为本发明实施例提供的IPsec诊断装置的一种结构示意图;
图6为本发明实施例提供的本端设备的一种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,图1所示的为本发明实施例提供的IPsec诊断方法的一种流程示意图,可以包括:
S101,在接收到IPsec诊断指令时,确定IPsec诊断指令携带的第一对端地址所对应的出接口。
其中,IPsec诊断指令可以是用户通过预设的输入设备输入的。示例性的,假设用户希望网络设备A对网络设备A和网络设备B之间的IPsec连接进行诊断,则可以输入携带有网络设备B的地址的IPsec诊断指令至网络设备A。
网络设备A在接收到携带有第一对端地址的IPsec诊断指令时,可以是在本地查找第一对端地址所对应的路由,进而根据查找与该路由对应的出接口,该出接口即为与第一对端地址对应的出接口。
S102,判断出接口所应用的IPsec策略中配置的第二对端地址与第一对端地址是否相同。
可以理解的是,IPsec诊断指令可以是用户根据实际需求输入的操作指令,因此可以认IPsec诊断指令所携带的第一对端地址是相对准确的。而第二对端地址是出接口所应用的IPsec策略中的对端地址,而IPsec策略可能存在由于更新不及时、配置时的疏忽(在一些应用场景中,IPsec诊断指令所携带的第一对端地址也可能因输入时的疏忽导致错误,但是当第一对端地址错误时往往无法查找到与第一对端地址对应的出接口,因此在此不对该应用场景进行过多讨论)等原因造成的策略配置不准确,即第二对端地址是相对不准确的。
因此,如果第二对端地址与第一对端地址相同,则可以认为第二对端地址是正确的。如果第二对端地址与第一对端地址不同,则可以认为第二对端地址是错误的。
S103,如果第二对端地址与第一对端地址不同,则输出用于表示IPsec策略配置错误的诊断结果。
如前述分析,如果第二对端地址与第一对端地址不同,则可以认为第二对端地址错误(即该出接口所应用的IPsec策略配置错误)。如果第二对端地址错误,则根据错误的第二对端地址可能无法匹配到对应的协商报文(或匹配到错误的协商报文),进而处于持续等待协商报文的状态,无法输出诊断结果。
因此,在该应用场景中,可以输出用于表示IPsec策略配置错误的诊断结果以解决上述技术问题。
下面将以通过网络设备A,对网络设备A和网络设备B之间的IPsec连接进行诊断为例,对本发明实施例提供的IPsec诊断方法进行说明,可以参见图2,包括:
S201,接收用户输入的诊断条件,诊断条件包括第一对端地址。
在不考虑该步骤由于用户疏忽造成的输入错误的情况下,第一对端地址理论上为网络设备B的地址。
S202,网络设备A查找是否存在与第一对端地址对应的路由,如果查找到与第一对端地址对应的路由,则执行S203,如果没有查找到与对端地址对应的路由,则执行S211。
一个路由表项中,可以包括一个IP地址和出接口之间的对应关系,该出接口即该路由表项所表示的路由所对应的出接口。在接收到目的IP地址为该一个IP地址的报文时,网络设备通过与该一个IP地址对应的出接口转发该报文。
S203,网络设备A确定该路由所对应的出接口是否应用IPsec策略,如果该出接口已应用IPsec策略,则执行S204,如果该出接口未应用IPsec策略,则执行S210
S204,网络设备A判断该出接口所应用的IPsec策略中配置的第二对端地址与第一对端地址是否相同,如果第二对端地址与第一对端地址相同,则执行S205,如果第二对端地址与第一对端地址不同,则执行S209
S205,网络设备A确定该出接口所应用的IPsec策略中配置的本端地址与出接口的本端地址是否相同,如果IPsec策略中配置的本端地址与出接口的本端地址相同,则执行S206,如果IPsec策略中配置的本端地址与出接口的本端地址不同,则执行S209。
在一些应用场景中,IPsec策略中可能没有配置本端地址,在这些应用场景中,在后续匹配协商报文的过程中(如果需要匹配协商报文),可以是将出接口的地址作本端地址,由于该应用场景中,IPsec策略中没有配置本端地址,因此不存在IPsec策略中配置的本端地址错误的问题,在此不做过多讨论。
在另一些应用场景中,IPsec策略中配置有本端地址,作为后续匹配协商报文的过程中(如果需要匹配协商报文)的本端地址。在这些应用场景中,如果IPsec策略中配置的本端地址错误,也可能造成网络设备A无法匹配到网络设备B发送的协商报文,进而导致网络设备A持续处于等待状态而无法输出诊断结果。
由于出接口的地址可以认为是相对准确的。而IPsec策略中配置的本端地址,则可能由于更新不及时、配置时疏忽等原因造成错误,因此是相对不准确的。如果IPsec策略中配置的本端地址与出接口的地址相同,则可以认为IPsec策略中配置的本端地址是正确的,如果IPsec策略中配置的本端地址与出接口的地址不同,则可以认为IPsec策略中配置的本端地址是错误的。
S206,网络设备A确定是否存在与出接口的地址和第二对端地址匹配的IPsec隧道,如果不存在与出接口的地址和第二对端地址匹配的IPsec隧道,则执行S207,如果存在与出接口的地址和第二对端地址匹配的IPsec隧道,则执行S208。
可以理解的是,一个IPsec隧道可以用该隧道所连接的两端的地址唯一标识,因此出接口的地址和第二对端地址可以唯一标识网络设备A与网络设备B之间的IPsec隧道(如果存在)。
由于出接口的地址与IPsec策略中配置的本端地址相同,第二对端地址与第一对端地址相同,因此也可以是利用IPsec策略中配置的本端地址和第一对端地址进行匹配,本实施例对此不做限制。
S207,网络设备A进入等待状态,直至匹配到协商报文,并且该协商报文所携带的本端地址与第二对端地址相同,并且所携带的对端地址与IPsec策略中配置的本端地址相同。
由于第二对端地址与第一对端地址相同,IPsec策略中配置的本端地址与出接口的地址相同,如上述分析,可以认为该出接口应用的IPsec策略配置正确,因此网络设备A能够基于第二对端地址和IPsec策略中配置的本端地址正确匹配到网络设备B发送的协商报文,进而与网络设备B进行IPsec协商并诊断,以得到并输出诊断结果,其中,该诊断可以包括确定网络设备A与网络设备B所使用的密钥是否一致、加密算法是否一致等。
S208,网络设备A输出用于表示已存在IPsec隧道的诊断结果。
S209,网络设备A输出用于表示策略不存在或对等体配置错误的诊断结果。
其中,IPsec策略中的对等体指IPsec策略中配置的本端地址和第二对端地址,对等体配置错误可以是指IPsec策略中配置的的本端地址和/或第二对端地址配置错误。
S210,网络设备A输出用于表示未应用或策略不存在的诊断结果。
如果该出接口未应用IPsec策略,则说明IPsec连接出现问题的原因可能是由于该出接口不存在或未应用IPsec策略,因此可以输出该诊断结果。
S211,网络设备A输出用于表示路由不可达的诊断结果。
如果不存在与第一对端地址对应的路由,则可以认为由于缺少向网络设备B发送信息的路由,因此网络设备A无法与网络设备B建立IPsec连接。因而可以输出该诊断结果。
在一些应用场景中,IPsec策略的配置方式可能是模板方式,在这些应用场景中,IPsec策略中没有配置第二对端地址,因此也无法根据IPsec策略中配置的第二对端地址,查找是否存在对应的IPsec隧道以及匹配对应的协商报文(如果需要匹配协商报文),有鉴于此,可以参见图3,图3所示为本发明实施例提供的,出接口应用模板方式的IPsec策略的情况下的IPsec诊断方法,包括:
S301,接收用户输入的诊断条件,诊断条件包括第一对端地址。
该步骤与S201相同,可以参见前述关于S201的相关描述,在此不再赘述。
S302,网络设备A查找是否存在与第一对端地址对应的路由,如果查找到与第一对端地址对应的路由,则执行S303,如果没有查找到与对端地址对应的路由,则执行S311。
S303,网络设备A查看该路由对应的出接口是否应用的IPsec策略,如果该出接口已应用IPsec策略,则执行S304,如果该出接口未应用IPsec策略,则执行S309。
S304,网络设备A确定该出接口所应用的IPsec策略中配置的本端地址与出接口的地址是否相同,如果IPsec策略中配置的本端地址与出接口的地址相同,则执行S306,如果IPsec策略中配置的本端地址与出接口的地址不同,则执行S309。
该步骤与S205相同,可以参见前述关于S205的相关描述,在此不再赘述。
S305,网络设备A确定是否存在与出接口的地址和第一对端地址匹配的IPsec隧道,如果不存在与出接口的地址和第二对端地址匹配的IPsec隧道,则执行S306,如果存在与出接口的地址和第二对端地址匹配的IPsec隧道,则执行S307。
在该应用场景中,由于模板方式的IPsec策略中没有配置第二对端地址,因此不可能存在第二对端地址配置错误的可能性。如前述分析,可以认为第一对端地址理论上为网络设备B的地址,因此可以用IPsec策略中配置的本端地址和第一对端地址唯一标识网络设备A与网络设备B之间的IPsec隧道(如果存在),即如果存在与IPsec策略中配置的本端地址和第一对端地址对应的IPsec隧道,可以认为网络设备A与网络设备B之间存在IPsec隧道,如果不存在与IPsec策略中配置的本端地址和第一对端地址对应的IPsec隧道,可以认为网络设备A与网络设备B之间不存在IPsec隧道。
S306,网络设备A进入等待状态,直至匹配到协商报文,并且该协商报文所携带的本端地址与第一对端地址相同,并且所携带的对端地址与IPsec策略中配置的本端地址相同。
在匹配协商报文过程中,由于模板方式的IPsec策略中没有配置第二对端地址,可以将第一对端地址作为匹配协商报文的对端地址。即网络设备A可以对每个接收到的协商报文进行匹配,以确定该协商报文所携带的对端地址是否与IPsec策略中配置的本端地址相同,并且所携带的本端地址与第一对端地址相同,如果该协商报文所携带的对端地址与IPsec策略中配置的本端地址相同,并且所携带的本端地址与第一对端地址相同,则终止等待状态,并根据该协商报文进行IPsec协商,如果该协商报文所携带的对端地址与IPsec策略中配置的本端地址不同,或者所携带的本端地址与第一对端地址不同,则继续保持等待状态。
S307,网络设备A输出用于表示已存在IPsec隧道的诊断结果。
S308,网络设备A输出用于表示策略不存在或对等体配置错误的诊断结果。
该步骤与S209相同,可以参见前述关于S209的相关描述,在此不再赘述。
S309,网络设备A输出用于表示未应用或策略不存在的诊断结果。
该步骤与S210相同,可以参见前述关于S210的相关描述,在此不再赘述。
S310,网络设备A输出用于表示路由不可达的诊断结果。
该步骤与S211相同,可以参见前述关于S211的相关描述,在此不再赘述。
选用该实施例,可以通过将利用第一对端地址代替模板方式的IPsec策略中未配置的第二对端地址,进而使得在出接口应用模板方式的IPsec策略的情况下,能够检测IPsec是否存在,以及能够匹配协商报文。
可以理解的是,在一些应用场景中,即使第一对端地址和第二对端地址相同,本端设备的出接口所应用的IPsec策略仍然存在配置错误的可能,可能导致本端设备一直处于等待状态,无法输出诊断结果。在一种实施例中,在本端设备进入等待状时,如果接收到协商报文,并且该协商报文所携带的本端地址与第二对端地址相同,并且所携带的对端地址与出接口的地址相同,则可以终止等待状态,并与发送该协商报文的对端设备进行IPsec协商,得到协商结果,并基于协商结果输出诊断结果。
如果在预设时长内接收到的协商报文中,相同的协商报文的数目大于预设数目阈值,则可以终止等待状态,并输出用于表示IPsec策略配置错误或不存在的的诊断结果。
其中,预设时长和预设数目阈值可以根据实际需求或者用户经验进行设置。相同的协商报文,是指携带有相同的本端地址,并且携带有相同的对端地址的协商报文,示例性的,假设协商报文A所携带的本端地址为地址1,所携带的对端地址为地址2,协商报文B所携带的本端地址为地址1,所携带的对端地址为地址2,则协商报文A与协商报文B是相同的协商报文。
可以理解的是,如果在一定时长内多次接收到相同的协商报文,则可以认为该协商报文为IPsec诊断指令所针对的对端设备发送的协商报文。而根据IPsec策略(或者在IPsec策略不存在的情况下),无法匹配该协商报文,则可以认为IPsec策略配置错误或者IPsec策略不存在。进而输出用于表示IPsec策略配置错误或不存在的诊断结果。
为更清楚的进行描述,可以参见4,图4所示为本发明实施例提供的协商报文匹配方法的一种流程示意图,可以包括:
S401,如果确定不存在IPsec隧道,进入等待状态并针对每个接收到的协商报文进行匹配。
关于如何确定IPsec隧道是否存在,可以参见前述实施例中的相关描述,在此不再赘述。协商报文匹配条件根据应用场景的不同可以不同,例如对于非模板方式的IPsec策略,可以是根据第二对端地址和IPsec策略中配置的本端地址对协商报文进行匹配,对于模板方式的IPsec策略,可以是根据第一对端地址和IPsec策略中配置的本端地址对协商报文进行匹配。
如果匹配成功,则可以根据该协商报文进行IPsec协商。并且如果匹配成功,可以认为IPsec策略中的对等体配置正确,不存在本发明实施例所需要解决的技术问题,因此对于该情况不做过多讨论。
S402,如果匹配失败,记录该协商报文所携带的对等体。
该协商报文所携带的对等体包括该协商报文所携带的本端地址和对端地址。
S403,如果在预设时长内,接收到大于预设次数阈值的携带有相同对等体的协商报文,输出用于表示IPsec策略不存在或对等体配置错误的诊断结果。
预设时长根据应用场景的不同可以不同。示例性的,如果在20分钟内,根据记录的协商报文所携带的对等体,确定多于3次协商报文所携带的对等体相同,则输出用于表示IPsec策略不存在或对等体配置错误的诊断结果。
参见图5,图5所示为本发明实施例提供的IPsec诊断装置的一种结构示意图,可以包括:
出接口匹配模块501,用于在接收到IPsec诊断指令时,确定IPsec诊断指令携带的第一对端地址所对应的出接口;
对等体匹配模块502,用于判断出接口所应用的IPsec策略中配置的第二对端地址与第一对端地址是否相同;
诊断结果输出模块503,用于如果第二对端地址与第一对端地址不同,则输出用于表示IPsec策略配置错误的诊断结果。
在一种实施例中,对等体匹配模块502,还用于如果第二对端地址与第一对端地址相同,则判断IPsec策略中配置的本端地址与出接口的地址是否相同;
诊断结果输出模块,还用于如果IPsec策略中配置的本端地址与出接口的地址不同,则输出用于表示IPsec策略配置错误的诊断结果。
在一种实施例中,装置还包括隧道检查模块,用于如果IPsec策略中配置的本端地址与出接口的地址相同,则根据第二对端地址和IPsec策略中配置的本端地址,判断与地址为第二对端地址的对端设备之间是否存在IPsec隧道;
诊断结果输出模块503,还用于如果判定与对端设备之间存在IPsec隧道,则输出用于表示存在IPsec隧道的诊断结果。
在一种实施例中,隧道检查模块具体用于,将出接口的地址和第二对端地址,与各个IPsec隧道配置的地址进行匹配;
如果存在配置的地址与所述出接口的地址和所述第二对端地址匹配的IPsec隧道,则确定与地址为所述第二对端地址的对端设备之间存在IPsec隧道;
否则,确定与地址为所述第二对端地址的对端设备之间不存在IPsec隧道。
在一种实施例中,诊断结果输出模块503还用于,如果与所述对端设备之间不存在IPsec隧道,则进入等待状态,直至接收到,满足预设条件的协商报文,或者,在预设时长内接收到的协商报文中,相同的协商报文的数目大于预设数目阈值,所述预设条件为:所携带的本端地址与所述第二对端地址相同,并且所携带的对端地址与所述出接口的地址相同;
如果接收到满足所述预设条件的协商报文,则与发送该协商报文的对端设备进行IPsec协商,得到协商结果;
基于所述协商结果,输出诊断结果;
如果在预设时长内接收到的协商报文中,相同的协商报文的数目大于预设数目阈值,输出用于表示所述IPsec策略配置错误的诊断结果。
本发明实施例还提供了一种本端设备,如图6所示,包括:
存储器601,用于存放计算机程序;
处理器602,用于执行存储器602上所存放的程序时,实现如下步骤:
在接收到IPsec诊断指令时,确定IPsec诊断指令携带的第一对端地址所对应的出接口;
判断出接口所应用的IPsec策略中配置的第二对端地址与第一对端地址是否相同;
如果第二对端地址与第一对端地址不同,则输出用于表示IPsec策略配置错误的诊断结果。
在一种实施例中,方法还包括:
如果第二对端地址与第一对端地址相同,则判断IPsec策略中配置的本端地址与出接口的地址是否相同;
如果IPsec策略中配置的本端地址与出接口的地址不同,则输出用于表示IPsec策略配置错误的诊断结果。
在一种实施例中,方法还包括:
如果IPsec策略中配置的本端地址与出接口的地址相同,则根据第二对端地址和IPsec策略中配置的本端地址,判断与地址为第二对端地址的对端设备之间是否存在IPsec隧道;
如果判定与对端设备之间存在IPsec隧道,则输出用于表示存在IPsec隧道的诊断结果。
在一种实施例中,根据第二对端地址和IPsec策略中配置的本端地址,判断与地址为第二对端地址的对端设备之间是否存在IPsec隧道,包括:
将所述出接口的地址和所述第二对端地址,与各个IPsec隧道配置的地址进行匹配;
如果存在配置的地址与所述出接口的地址和所述第二对端地址匹配的IPsec隧道,则确定与地址为所述第二对端地址的对端设备之间存在IPsec隧道;
否则,确定与地址为所述第二对端地址的对端设备之间不存在IPsec隧道。
在一种实施例中,方法还包括:
如果与所述对端设备之间不存在IPsec隧道,则进入等待状态,直至接收到满足预设条件的协商报文,或者,在预设时长内接收到的协商报文中,相同的协商报文的数目大于预设数目阈值,所述预设条件为:所携带的本端地址与所述第二对端地址相同,并且所携带的对端地址与所述出接口的地址相同;
如果接收到满足所述预设条件的协商报文,则与发送该协商报文的对端设备进行IPsec协商,得到协商结果;
基于所述协商结果,输出诊断结果;
如果在预设时长内接收到的协商报文中,相同的协商报文的数目大于预设数目阈值,则输出用于表示所述IPsec策略配置错误的诊断结果。
上述本端设备提到的存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一IPsec诊断方法。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一IPsec诊断方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、本端设备、计算机可读存储介质及计算机程序产品的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种IPsec诊断方法,其特征在于,应用于本端设备,所述方法包括:
在接收到IPsec诊断指令时,确定所述IPsec诊断指令携带的第一对端地址所对应的出接口;
判断所述出接口所应用的IPsec策略中配置的第二对端地址与所述第一对端地址是否相同;
如果所述第二对端地址与所述第一对端地址不同,则输出用于表示所述IPsec策略配置错误的诊断结果。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述第二对端地址与所述第一对端地址相同,则判断所述IPsec策略中配置的本端地址与所述出接口的地址是否相同;
如果所述IPsec策略中配置的本端地址与所述出接口的地址不同,则输出用于表示所述IPsec策略配置错误的诊断结果。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
如果所述IPsec策略中配置的本端地址与所述出接口的地址相同,则根据所述第二对端地址和所述IPsec策略中配置的本端地址,判断与地址为所述第二对端地址的对端设备之间是否存在IPsec隧道;
如果判定与所述对端设备之间存在IPsec隧道,则输出用于表示存在IPsec隧道的诊断结果。
4.根据权利要求3所述的方法,其特征在于,所述根据所述第二对端地址和所述IPsec策略中配置的本端地址,判断与地址为所述第二对端地址的对端设备之间是否存在IPsec隧道,包括:
将所述出接口的地址和所述第二对端地址,与各个IPsec隧道配置的地址进行匹配;
如果存在配置的地址与所述出接口的地址和所述第二对端地址匹配的IPsec隧道,则确定与地址为所述第二对端地址的对端设备之间存在IPsec隧道;
否则,确定与地址为所述第二对端地址的对端设备之间不存在IPsec隧道。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
如果与所述对端设备之间不存在IPsec隧道,则进入等待状态,直至接收到满足预设条件的协商报文,或者,在预设时长内接收到的协商报文中,相同的协商报文的数目大于预设数目阈值,所述预设条件为:所携带的本端地址与所述第二对端地址相同,并且所携带的对端地址与所述出接口的地址相同;
如果接收到满足所述预设条件的协商报文,则与发送该协商报文的对端设备进行IPsec协商,得到协商结果;
基于所述协商结果,输出诊断结果;
如果在预设时长内接收到的协商报文中,相同的协商报文的数目大于预设数目阈值,则输出用于表示所述IPsec策略配置错误的诊断结果。
6.一种IPsec诊断装置,其特征在于,应用于本端设备,所述装置包括:
出接口匹配模块,用于在接收到IPsec诊断指令时,确定所述IPsec诊断指令携带的第一对端地址所对应的出接口;
对等体匹配模块,用于判断所述出接口所应用的IPsec策略中配置的第二对端地址与所述第一对端地址是否相同;
诊断结果输出模块,用于如果所述第二对端地址与所述第一对端地址不同,则输出用于表示所述IPsec策略配置错误的诊断结果。
7.根据权利要求6所述的装置,其特征在于,所述对等体匹配模块,还用于如果所述第二对端地址与所述第一对端地址相同,则判断所述IPsec策略中配置的本端地址与所述出接口的地址是否相同;
所述诊断结果输出模块,还用于如果所述IPsec策略中配置的本端地址与所述出接口的地址不同,则输出用于表示所述IPsec策略配置错误的诊断结果。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括隧道检查模块,用于如果所述IPsec策略中配置的本端地址与所述出接口的地址相同,则根据所述第二对端地址和所述IPsec策略中配置的本端地址,判断与地址为所述第二对端地址的对端设备之间是否存在IPsec隧道;
所述诊断结果输出模块,还用于如果判定与所述对端设备之间存在IPsec隧道,则输出用于表示存在IPsec隧道的诊断结果。
9.根据权利要求8所述的装置,其特征在于,所述隧道检查模块具体用于,将所述出接口的地址和所述第二对端地址,与各个IPsec隧道配置的地址进行匹配;
如果存在配置的地址与所述出接口的地址和所述第二对端地址匹配的IPsec隧道,则确定与地址为所述第二对端地址的对端设备之间存在IPsec隧道;
否则,确定与地址为所述第二对端地址的对端设备之间不存在IPsec隧道。
10.根据权利要求8所述的装置,其特征在于,所述诊断结果输出模块还用于,如果与所述对端设备之间不存在IPsec隧道,则进入等待状态,直至接收到,满足预设条件的协商报文,或者,在预设时长内接收到的协商报文中,相同的协商报文的数目大于预设数目阈值,所述预设条件为:所携带的本端地址与所述第二对端地址相同,并且所携带的对端地址与所述出接口的地址相同;
如果接收到满足所述预设条件的协商报文,则与发送该协商报文的对端设备进行IPsec协商,得到协商结果;
基于所述协商结果,输出诊断结果;
如果在预设时长内接收到的协商报文中,相同的协商报文的数目大于预设数目阈值,输出用于表示所述IPsec策略配置错误的诊断结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910363882.0A CN110113202B (zh) | 2019-04-30 | 2019-04-30 | 一种IPsec诊断方法、装置及本端设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910363882.0A CN110113202B (zh) | 2019-04-30 | 2019-04-30 | 一种IPsec诊断方法、装置及本端设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110113202A CN110113202A (zh) | 2019-08-09 |
| CN110113202B true CN110113202B (zh) | 2022-02-25 |
Family
ID=67488052
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910363882.0A Active CN110113202B (zh) | 2019-04-30 | 2019-04-30 | 一种IPsec诊断方法、装置及本端设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110113202B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114500242B (zh) * | 2022-03-31 | 2022-07-15 | 天津华宁电子有限公司 | 一种双线传输网络控制方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101499972A (zh) * | 2009-03-16 | 2009-08-05 | 杭州华三通信技术有限公司 | Ip安全报文转发方法及装置 |
| CN101515859A (zh) * | 2009-04-02 | 2009-08-26 | 杭州华三通信技术有限公司 | 一种因特网协议安全隧道传输组播的方法及设备 |
| CN102938711A (zh) * | 2012-11-16 | 2013-02-20 | 华为技术有限公司 | 网口信息配置方法及网络设备 |
| CN103117930A (zh) * | 2013-02-07 | 2013-05-22 | 华为技术有限公司 | 静态路由配置的检测方法和装置 |
| CN103929423A (zh) * | 2014-04-15 | 2014-07-16 | 广东电网公司电力科学研究院 | 处理电力规约的IPSec VPN安全转发方法与系统 |
| CN103973555A (zh) * | 2013-01-29 | 2014-08-06 | 华为技术有限公司 | 通用路由封装协议隧道建立方法、通信设备及通信系统 |
| CN104852846A (zh) * | 2014-02-14 | 2015-08-19 | 华为技术有限公司 | 一种数据转发控制方法及系统 |
| CN105959129A (zh) * | 2016-02-15 | 2016-09-21 | 杭州迪普科技有限公司 | 监测网络故障的方法及装置 |
| CN107783817A (zh) * | 2016-08-31 | 2018-03-09 | 杭州华为数字技术有限公司 | 处理器的模拟方法、功能模拟器、性能模拟器和模拟系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7461140B2 (en) * | 2003-12-19 | 2008-12-02 | Lsi Corporation | Method and apparatus for identifying IPsec security policy in iSCSI |
| US9667538B2 (en) * | 2015-01-30 | 2017-05-30 | Telefonaktiebolget L M Ericsson (Publ) | Method and apparatus for connecting a gateway router to a set of scalable virtual IP network appliances in overlay networks |
| US20170374025A1 (en) * | 2016-06-28 | 2017-12-28 | Fortinet, Inc. | Internet protocol security (ipsec) interface configuration and management |
-
2019
- 2019-04-30 CN CN201910363882.0A patent/CN110113202B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101499972A (zh) * | 2009-03-16 | 2009-08-05 | 杭州华三通信技术有限公司 | Ip安全报文转发方法及装置 |
| CN101515859A (zh) * | 2009-04-02 | 2009-08-26 | 杭州华三通信技术有限公司 | 一种因特网协议安全隧道传输组播的方法及设备 |
| CN102938711A (zh) * | 2012-11-16 | 2013-02-20 | 华为技术有限公司 | 网口信息配置方法及网络设备 |
| CN103973555A (zh) * | 2013-01-29 | 2014-08-06 | 华为技术有限公司 | 通用路由封装协议隧道建立方法、通信设备及通信系统 |
| CN103117930A (zh) * | 2013-02-07 | 2013-05-22 | 华为技术有限公司 | 静态路由配置的检测方法和装置 |
| CN104852846A (zh) * | 2014-02-14 | 2015-08-19 | 华为技术有限公司 | 一种数据转发控制方法及系统 |
| CN103929423A (zh) * | 2014-04-15 | 2014-07-16 | 广东电网公司电力科学研究院 | 处理电力规约的IPSec VPN安全转发方法与系统 |
| CN105959129A (zh) * | 2016-02-15 | 2016-09-21 | 杭州迪普科技有限公司 | 监测网络故障的方法及装置 |
| CN107783817A (zh) * | 2016-08-31 | 2018-03-09 | 杭州华为数字技术有限公司 | 处理器的模拟方法、功能模拟器、性能模拟器和模拟系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110113202A (zh) | 2019-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
| US10798220B2 (en) | Method, device and system for invoking local service assembly by browser | |
| US20200244676A1 (en) | Detecting outlier pairs of scanned ports | |
| KR102104610B1 (ko) | 네트워크 프로토콜의 취약점을 탐지하는 퍼징 방법 및 장치 | |
| CN113472607B (zh) | 应用程序网络环境检测方法、装置、设备及存储介质 | |
| JP7434504B2 (ja) | ルート処理方法およびネットワークデバイス | |
| CN109327544B (zh) | 一种领导节点的确定方法和装置 | |
| US11184376B2 (en) | Port scan detection using destination profiles | |
| CN112929241A (zh) | 一种网络测试方法及装置 | |
| CN110113202B (zh) | 一种IPsec诊断方法、装置及本端设备 | |
| CN109600254B (zh) | 全链路日志的生成方法及相关系统 | |
| CN109150587B (zh) | 一种维护方法和装置 | |
| CN113014640B (zh) | 请求处理方法、装置、电子设备及存储介质 | |
| WO2019119269A1 (zh) | 一种网络故障探测方法及控制中心设备 | |
| CN110569987A (zh) | 自动化运维方法、运维设备、存储介质及装置 | |
| US11070615B2 (en) | Method, device and computer program product for transaction negotiation | |
| CN115357513B (zh) | 程序模糊测试方法、装置、设备及存储介质 | |
| CN108965108B (zh) | 一种消息推送方法及相关设备 | |
| CN111404827B (zh) | 一种数据包处理方法、装置及电子设备和存储介质 | |
| CN109067666B (zh) | 一种报文传输的方法及装置 | |
| US10795848B2 (en) | Dual way communication method, system, and master device thereof | |
| CN114338669B (zh) | 基于区块链的数据传输方法、装置、设备以及存储介质 | |
| KR102387010B1 (ko) | 감시 장치 및 감시 방법 | |
| CN111131528B (zh) | 一种设备网域确定方法、服务器及终端 | |
| JP2010049541A (ja) | 機密情報管理システム、機密情報管理方法、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |