CN110784436B - 用于维持互联网协议安全隧道的方法和设备 - Google Patents
用于维持互联网协议安全隧道的方法和设备 Download PDFInfo
- Publication number
- CN110784436B CN110784436B CN201910500695.2A CN201910500695A CN110784436B CN 110784436 B CN110784436 B CN 110784436B CN 201910500695 A CN201910500695 A CN 201910500695A CN 110784436 B CN110784436 B CN 110784436B
- Authority
- CN
- China
- Prior art keywords
- network device
- ipsec tunnel
- dpd
- determining
- workload
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/28—Flow control; Congestion control in relation to timing considerations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1074—Peer-to-peer [P2P] networks for supporting data block transmission mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
Abstract
网络设备标识将网络设备连接至远程设备的互联网协议安全(IPsec)隧道,并且确定失效对端检测(DPD)在网络设备处被启用。网络设备经由IPsec隧道从远程设备接收第一DPD请求消息,并且经由IPsec隧道向远程设备发送第一DPD响应消息。网络设备确定网络设备的工作负载满足阈值量,并且经由IPsec隧道向远程设备发送包括业务流机密(TFC)净荷数据的一个或多个封装安全净荷(ESP)分组。网络设备确定网络设备的工作负载不满足阈值量。网络设备从远程设备接收第二DPD请求消息,并且经由IPsec隧道向远程设备发送第二DPD响应消息。
Description
背景技术
失效对端检测(DPD)可以由互联网密钥交换(IKE)网络设备用来检测失效的IKE对端。假如失效的IKE对端被找到,DPD也可以用来回收IKE网络设备的资源。
发明内容
根据一些实施方式,一种方法可以包括:由设备标识将设备连接至远程设备的互联网协议安全(IPsec)隧道,并且由设备确定失效对端检测(DPD)在设备处被启用。该方法可以包括:由设备经由IPsec隧道从远程设备接收第一DPD请求消息,并且由设备经由IPsec隧道向远程设备发送第一DPD响应消息。该方法可以包括:由设备确定设备的工作负载满足阈值量,以及由设备并且基于确定设备的工作负载满足阈值量,经由IPsec隧道向远程设备发送包括业务流机密(TFC)净荷数据的一个或多个封装安全净荷(ESP)分组。该方法可以包括:由设备并且在发送一个或多个ESP分组之后,确定设备的工作负载不满足阈值量。该方法可以包括:由设备经由IPsec隧道从远程设备接收第二DPD请求消息,并且由设备经由IPsec隧道向远程设备发送第二DPD响应消息。
根据一些实施方式,一种设备可以包括一个或多个存储器、以及一个或多个处理器,用于标识将设备连接至远程设备的互联网协议安全(IPsec)隧道,并且确定失效对端检测(DPD)过程在设备处被启用。一个或多个处理器可以标识与DPD过程相关联的重复间隔,并且维持IPsec隧道,其中,当维持IPsec隧道时,一个或多个处理器将在重复间隔期间侦听IPsec隧道上的业务,确定在重复间隔期间在IPsec隧道上没有业务,并且基于确定在重复间隔期间在IPsec隧道上没有业务,经由IPsec隧道向远程设备发送包括业务流机密(TFC)净荷数据的一个或多个封装安全净荷(ESP)分组。
根据一些实施方式,一种非瞬态计算机可读介质可以存储有指令,这些指令包括一个或多个指令,一个或多个指令在由设备的一个或多个处理器执行时,使得一个或多个处理器识别将设备连接至远程设备的互联网协议安全(IPsec)隧道,并且确定设备使用失效对端检测(DPD)。一个或多个指令可以使得一个或多个处理器确定与设备处的DPD相关联的触发间隔,确定设备的工作负载满足第一阈值量,并且基于确定设备的工作负载满足第一阈值量,增大触发间隔。一个或多个指令可以使得一个或多个处理器在增大触发间隔之后,基于触发间隔,经由IPsec隧道向远程设备发送第一DPD请求消息,并且基于发送第一DPD请求消息,经由IPsec隧道从远程设备接收第一DPD响应消息。一个或多个指令可以使得一个或多个处理器确定设备的工作负载满足第二阈值量,并且基于确定设备的工作负载满足第二阈值量,减小触发间隔。一个或多个指令可以使得一个或多个处理器在减小触发间隔之后,基于触发间隔,经由IPsec隧道向远程设备发送第二DPD请求消息,并且基于发送第二DPD请求消息,经由IPsec隧道从远程设备接收第二DPD响应消息。
附图说明
图1A-图1F为本文所描述的示例实施方式的示图。
图2为本文所描述的系统和/或方法可以实施在其中的示例环境的示图。
图3为图2的一个或多个设备的示例组件的示图。
图4为用于维持互联网协议安全隧道的示例过程的流程图。
图5为用于维持互联网协议安全隧道的示例过程的流程图。
图6为用于维持互联网协议安全隧道的示例过程的流程图。
具体实施方式
示例实施方式的以下详细描述参考附图。不同附图中的相同参考标号可以标识相同或类似的元件。
失效对端检测(DPD)可以由互联网密钥交换(IKE)网络设备用来检测IKE网络设备与IKE对端之间的连接出故障的情形,诸如当IKE对端变为离线(例如,IKE对端失效)时。IKE网络设备可以使用DPD来生成加密的IKE消息(例如,DPD请求消息)并发送至IKE对端,并且基于IKE网络设备是否从IKE对端接收到确收IKE网络设备的消息的加密的IKE消息(例如,DPD响应消息),来确定IKE对端的状态(例如,IKE对端是在运转还是出故障、存活还是失效,等等)。如果IKE网络设备确定IKE对端失效,则IKE网络设备可以回收IKE网络设备的专用于将IKE网络设备连接至失效IKE对端的资源。以此方式,DPD可以确保IKE网络设备的资源专用于仅与活着的IKE对端的连接。
然而,在一些情况中,IKE网络设备和/或IKE对端可能过载,这可能引起在发送和/或接收DPD消息时的延迟。这可能导致IKE网络设备错误地确定IKE对端失效,并且然后回收应当维持的资源,诸如拆除将IKE网络设备连接至IKE对端的互联网协议安全(IPsec)隧道。进而,这可能使IKE网络设备和IKE对端甚至更多地过载,因为资源将不得不专用于将IKE网络设备再次连接至IKE对端,诸如构建新的IPsec隧道。这可能创建对资源进行回收和专用的循环,其可能阻塞IKE网络设备和IKE对端的处理功能。类似地,这可能引起IPsec隧道摆动(例如,IPsec隧道连续地被创建和破坏),或者可能导致IPsec隧道的延迟建立。
本文所描述的一些实施方式提供一种网络设备,其能够在网络设备处修改DPD以维持与对端网络设备的IPsec隧道,同时减小与网络设备相关联的处理资源的工作负载。在一些实施方式中,网络设备可以确定网络设备的工作负载满足阈值量,生成一个或多个封装安全净荷(ESP)分组(例如,具有业务流机密(TFC)净荷数据的一个或多个ESP分组),并且经由IPsec隧道向网络设备发送一个或多个ESP分组。以此方式,网络设备和对端网络设备可能不需要交换DPD消息,因为网络设备在IPsec隧道上创建业务。在一些实施方式中,网络设备可以确定网络设备的工作负载满足阈值量,并且修改与网络设备处的DPD相关联的间隔,以根据间隔与网络设备交换DPD消息。以此方式,网络设备可能不需要发送和/或接收与网络设备的工作负载高时一样多的DPD消息,这可以帮助减小网络设备的工作负载。在一些实施方式中,网络设备可以在网络设备处禁用DPD,生成一个或多个ESP分组(例如,具有TFC净荷数据的一个或多个ESP分组),并且经由IPsec隧道向网络设备发送一个或多个ESP分组以维持IPsec隧道上的业务,并防止对端网络设备向网络设备发送DPD请求消息。以此方式,当网络设备通过生成和发送一个或多个ESP分组来维持IPsec隧道时,网络设备可能不需要将处理资源专用于DPD。
以此方式,本文所描述的实施方式使得网络设备和网络设备能够经由IPsec隧道而停留在被连接,即使是当网络设备或网络设备过载时。以此方式,时间未被浪费在重新发起网络设备与网络设备之间的IKE和IPsec协商。此外,以此方式,网络设备的工作负载可以被减小,因为相对于传统的DPD,网络设备的更少的处理器资源和/或存储器资源将被使用。
以此方式,用于维持IPsec隧道的过程被自动化,并且网络设备可以同时维持许多(例如,数百,数千,数百万,等等)IPsec隧道。这可以改进过程的速度和效率,并且节省网络设备的计算资源(例如,处理器资源、存储器资源,等等)。此外,对用于维持IPsec隧道的过程进行自动化节省了使用传统的DPD过程否则将被浪费的计算资源(例如,处理器资源、存储器资源,等等)。
图1A-图1F是本文所描述的示例实施方式100的示图。如图1A中示出的,实施方式100可以包括第一网络设备(示出为网络设备A)和第二网络设备(示出为网络设备B)。
第一网络设备和/或第二网络设备可以包括各种类型的网络设备,诸如路由器、网关、交换机、网桥、无线接入点、基站、防火墙,等等。第一网络设备和第二网络设备可以被包括在网络中,诸如蜂窝网络、局域网(LNA)、核心网络、接入网络、诸如互联网的广域网(WAN)、云网络,等等。在一些实施方式中,邻居设备(未示出)可以通过另一邻居设备与第一网络设备和/或第二网络设备通信地连接。在一些实施方式中,邻居设备可以直接与第一网络设备和/或第二网络设备通信地连接(即,其中在邻居设备与第一网络设备和/或第二网络设备之间的通信路径中没有其他邻居设备)。
第一网络设备和/或第二网络设备可以包括各种通信平面,诸如数据平面、控制平面,等等。网络设备的数据平面可以生成、接收、处理、和/或传输数据平面分组。数据平面分组可以是起始于网络设备的控制平面中(即,由网络设备生成)或终止于网络设备的控制平面中(即,网络设备是分组的目的地)的分组。数据平面分组可以是行进通过网络设备的分组。数据平面可以接收数据平面分组,在网络设备上的转发信息库(FIB)中执行查找,以标识与数据平面分组相关联的转发信息(例如,标识数据分组的目的地的信息,标识至目的地的路由中的下一跳的信息,等等),并且基于转发信息向下一跳传输数据平面分组。网络设备可以具有专用于执行数据平面的功能的处理资源和/或存储器资源。
网络设备的控制平面可以生成、接收、处理、和/或传输控制平面分组。控制平面分组可以是起始于网络设备的控制平面中(即,由网络设备生成)或终止于网络设备的控制平面中(即,网络设备是分组的目的地)的分组。在一些实施方式中,控制平面分组可以在邻居设备处生成,并且网络设备可以向另一邻居设备转发控制平面分组。控制平面可以包括控制平面、FIB、与FIB相关联的FIB缓存、和/或其他元件。
控制平面可以执行各种功能,诸如利用转发信息来填充FIB,维持FIB中存储的转发信息(例如,更新FIB中存储的转发信息,从FIB中移除转发信息,等等),建立和/或终止在控制平面与网络设备中的另一组件之间、和/或在控制平面与网络设备外部的设备之间的控制平面会话,管理数据平面,填充和维持用于控制平面会话的FIB缓存,对去往和来自控制平面的业务加密和解密,建立和/或拆除与网络设备外部的设备的隧道(例如,互联网协议安全(IPsec)隧道),等等。网络设备可以具有专用于执行控制平面的功能的处理资源和/或存储器资源。
在一些实施方式中,第一网络设备和第二网络设备可以是互联网密钥交换(IKE)网络设备。在一些实施方式中,第一网络设备和第二网络设备的控制平面分别运行IKE服务器,IKE服务器处置IKE交换(例如,在IPsec隧道上通信的信息)。在一些实施方式中,第一网络设备和第二网络设备是对端IKE网络设备。在一些实施方式中,第一网络设备可以连接到第二网络设备。在一些实施方式中,第一网络设备可以经由IPsec隧道连接到第二网络。
如由参考标号102示出的,第一网络设备可以标识和/或识别将第一网络设备连接至第二网络设备的IPsec隧道。在一些实施方式中,第一网络设备可以经由IPsec隧道与第二网络设备通信。例如,第一网络设备可以经由IPsec隧道向第二网络发送分组,诸如用户数据报协议(UDP)分组。
如在图1B中并通过参考标号104示出的,第一网络设备可以确定失效对端检测(DPD)和/或DPD过程在第一网络设备处被启用。在一些实施方式中,当IPsec隧道空闲(例如,第一网络设备未正在从第二网络设备接收分组、信息、消息等,和/或第一网络设备未正在向第二网络设备传输分组、信息、消息等)时,第一网络设备可以使用DPD。IPsec隧道可能是空闲的,因为IPsec隧道可能正经历路由问题,第一网络设备和/或第二网络设备可能繁忙,第一网络设备和/或第二网络设备可能离线,等等。
在一些实施方式中,DPD允许第一网络设备和第二网络设备交换DPD消息,以向第一网络设备证明第二网络设备的活力,并且反之亦然。例如,如通过参考标号106示出的,经由IPsec隧道,第一网络设备可以生成DPD请求消息并发送给第二网络设备,并且从第二网络设备接收DPD响应消息。基于该交换,第一网络设备可以确定第二网络设备是存活的并且IPsec隧道应当被维持。作为进一步的示例,如通过参考标号108示出的,经由IPsec隧道,第一网络设备可以从第二网络设备接收DPD请求消息,并且生成DPD响应消息并发送至第二网络设备。基于该交换,第一网络设备可以向第二网络设备证明第一网络设备是存活的。类似地,因为第一网络设备从第二网络设备接收到DPD请求消息,所以第一网络设备可以确定第二网络设备是存活的并且IPsec隧道应当被维持。
在一些实施方式中,第一网络设备和第二网络设备分别经由第一网络设备的控制平面和第二网络设备的控制平面来传送DPD消息。例如,第一网络设备经由第一网络设备的控制平面生成DPD请求消息并发送给第二网络设备,并且经由第一网络设备的控制平面从第二网络设备接收DPD响应消息。作为另外的示例,第一网络设备经由第一网络设备的控制平面从第二网络设备接收DPD请求消息,并且经由第一网络设备的控制平面生成DPD响应消息并发送给第二网络设备。
在一些实施方式中,间隔(例如,重复间隔、触发间隔、周期性间隔,等等)可以与第一网络设备处的DPD和/或DPD过程相关联。该间隔可以指定在检测到IPsec隧道的空闲之后第一网络设备等待以生成和发送DPD请求消息的时间量(例如,1秒、5秒、50秒、5分钟,等等)、和/或第一网络设备等待以对DPD请求消息进行响应的时间量(例如,1秒、5秒、50秒、5分钟,等等)。
在一些实施方式中,第一网络设备可以使用不同的选项来维持IPsec隧道,并且最小化第一网络设备的控制平面资源的使用。在第一选项中,如图1C(其中第一网络设备受压(例如,第一网络设备的控制平面具有高利用率比率、高工作负载,等等))中示出的,第一网络设备可以生成一个或多个封装安全净荷(ESP)分组(例如,具有业务流机密(TFC)净荷数据的一个或多个ESP分组),并且从第一网络设备的数据平面经由IPsec隧道向第二网络设备发送一个或多个ESP分组。以此方式,当第一网络设备受压时,第一网络设备不是必须投入控制平面处理资源来交换DPD消息,这可以减小第一网络设备上的压力。
在一些实施方式中,第一网络设备可以经由IPsec隧道来交换DPD消息,直至第一网络设备的工作负载满足阈值量。如通过参考标号110示出的,第一网络设备可以确定第一网络设备的工作负载满足阈值量。例如,第一网络设备可以确定第一网络设备的处理资源正在满足阈值量(例如,必须超过的利用率的比率,诸如50%)的水平(例如,利用率的比率,诸如70%)处被使用。在一些实施方式中,第一网络设备的工作负载指示与第一网络设备的控制平面相关联的处理资源的利用率。例如,通过确定与第一网络设备的控制平面相关联的处理资源的利用率满足阈值量,第一网络设备可以确定第一网络设备的工作负载满足阈值量。在一些实施方式中,在第一网络设备确定第一网络设备的工作负载满足阈值量之后,第一网络设备可以在第一网络设备处禁用DPD(例如,第一网络设备停止交换DPD消息)。在一些实施方式中,第一网络设备可以在第一网络设备处禁用DPD,直至第一网络设备确定第一网络设备的工作负载不再满足阈值量。
如通过参考标号112示出的,第一网络设备可以侦听IPsec隧道上的业务。在一些实施方式中,第一网络设备可以监测IPsec隧道,以确定分组是否经由IPsec隧道被发送或接收。在一些实施方式中,第一网络设备可以监测IPsec隧道,以确定分组是否在间隔期间经由IPsec隧道被发送或接收。在一些实施方式中,第一网络设备可以确定第一网络设备是否在间隔期间经由IPsec隧道发送或接收信息。在一些实施方式中,第一网络设备可以确定第一网络设备是否在间隔期间经由IPsec隧道向第二网络设备发送一个或多个传出消息,和/或第一网络设备是否在间隔期间经由IPsec隧道从第二网络设备接收一个或多个传入消息。
在一些实施方式中,基于侦听IPsec隧道上的业务,第一网络设备可以确定IPsec隧道是空闲的。在一些实施方式中,第一网络设备可以确定在IPsec隧道上没有业务。在一些实施方式中,第一网络设备可以确定对于间隔在IPsec隧道上没有业务。
如通过参考标号114示出的,作为生成DPD请求消息并从第一网络设备的控制平面经由IPsec隧道向第二网络设备发送的替换,第一网络设备可以生成一个或多个ESP分组(例如,具有TFC净荷数据的一个或多个ESP分组),并且从第一网络设备的数据平面经由IPsec隧道向第二网络设备发送一个或多个ESP分组。以此方式,通过使用控制平面处理资源来代替控制平面处理资源,第一网络设备维持IPsec隧道上的业务。例如,基于确定第一网络设备的工作负载满足阈值量,第一网络设备可以生成一个或多个ESP分组并且经由IPsec隧道发送给第二网络设备。在一些实施方式中,经由第一网络设备的数据平面,第一网络设备可以生成一个或多个ESP分组并发送给第二网络设备。以此方式,当第一网络设备生成一个或多个ESP分组并经由IPsec隧道发送给第二网络设备时,因为第一网络设备IPsec隧道不再空闲,所以IPsec隧道被维持。
在一些实施方式中,第一网络设备可以确定用于生成和发送一个或多个ESP分组的速率。在一些实施方式中,该速率可以确保一个或多个ESP分组中的至少一个ESP分组被生成并在间隔期间被发送。在一些实施方式中,第一网络设备可以按该速率生成一个或多个ESP分组并经由IPsec隧道发送给第二网络设备。以此方式,第一网络设备按调度来生成一个或多个ESP分组并经由IPsec隧道发送给第二网络设备,该调度确保第二网络设备可以确定第一网络设备是存活的并且因此维持IPsec隧道。
如通过参考标号116示出的,第一网络设备可以确定第一网络设备的工作负载不再满足阈值量。在一些实施方式中,在生成和发送一个或多个ESP分组之后,第一网络设备可以确定设备的工作负载不满足阈值量(例如,第一网络设备的资源的利用率比率未超过必须超过的利用率的比率)。作为结果,第一网络设备可以停止生成和发送一个或多个ESP分组。在一些实施方式中,在第一网络设备确定第一网络设备的工作负载不满足阈值量之后,第一网络设备在第一网络设备处启用DPD(例如,第一网络设备再次开始交换DPD消息)。
在第二选项中,如在图1D中并通过参考标号118示出的,以与本文关于图1C所描述的类似方式,第一网络设备可以确定第一网络设备的工作负载满足第一阈值量。在一些实施方式中,基于确定第一网络设备的工作负载满足第一阈值量,第一网络设备可以增大间隔(例如,第一网络设备可以增大与间隔相关联的时间量,诸如从5秒到10秒,从20秒到1分钟,从2分钟到5分钟,等等)。通过增大间隔,网络设备可能不需要发送和/或接收与当网络设备的工作负载为高时一样多的DPD消息,这可以帮助减小网络设备的工作负载。
如通过参考标号120示出的,第一网络设备可以根据间隔来发送和/或接收DPD消息(例如,第一网络设备可以基于新增大的间隔来交换DPD消息)。例如,在增大间隔之后,第一网络设备可以基于间隔来生成第一DPD请求消息并经由IPsec隧道发送给第二网络设备。第一网络设备然后可以基于发送第一DPD请求消息,经由IPsec隧道从第二网络设备接收第一DPD响应消息。
在一些实施方式中,在确定设备的工作负载满足第一阈值量之后,第一网络设备可以生成一个或多个ESP分组(例如,具有TFC净荷数据的一个或多个ESP分组)并经由IPsec隧道发送给第二网络设备。在一些实施方式中,在接收时解密之后,第二网络设备能够标识并丢弃一个或多个这样的ESP分组。在一些实施方式中,第一网络设备可以使用第一网络设备的数据平面,来生成一个或多个ESP分组并经由IPsec隧道发送给第二网络设备。以此方式,通过确保业务在IPsec隧道上被发送,第一网络设备可以最小化第一网络设备从第二网络设备接收的DPD请求消息的量,这最小化第一网络设备必须专用于DPD的处理资源的量。
如通过参考标号122示出的,第一网络设备可以确定设备的工作负载满足第二阈值量(例如,第一网络设备的资源的利用率比率降低至满足第二阈值量,诸如从70%降低至50%)。在一些实施方式中,基于确定第一网络设备的工作负载满足第二阈值量,第一网络设备可以减小间隔(例如,第一网络设备可以减小与间隔相关联的时间量,诸如从10秒至5秒,从50秒至20秒,从6分钟至3分钟,等等)。通过减小间隔,因为网络设备的工作负载为低,所以网络设备可以能够发送和/或接收更多的DPD消息。
如通过参考标号124示出的,第一网络设备可以根据间隔来发送和/或接收DPD消息(例如,第一网络设备可以基于新减小的间隔来交换DPD消息)。例如,在减小间隔之后,第一网络设备可以基于间隔来生成第二DPD请求消息并经由IPsec隧道发送给第二网络设备。第一网络设备然后可以基于发送第二DPD请求消息,经由IPsec隧道从第二网络设备接收第二DPD响应消息。
在一些实施方式中,第一网络设备可以确定第一网络设备的工作负载满足第三阈值量(例如,第一网络设备的资源的利用率比率增大至满足第三阈值量,诸如从70%增大至90%)。在一些实施方式中,因为第一网络设备的工作负载为高,所以按与本文关于图1C所描述的类似方式,在第一网络设备确定第一网络设备的工作负载满足第三阈值量之后,第一网络设备可以在第一网络设备处禁用DPD(例如,以将专用于DPD的处理资源用于其他任务)。在一些实施方式中,在第一网络设备确定第一网络设备的工作负载满足第三阈值量之后,以与本文关于图1C所描述的类似方式,第一网络设备可以侦听IPsec隧道上的业务,并且生成一个或多个ESP分组(例如,具有TFC净荷数据的一个或多个ESP分组)并经由IPsec隧道发送给第二网络设备。
在第三选项中,如图1E中示出的,不论第一网络设备的工作负载如何,第一网络设备在第一网络设备处禁用DPD,并且通过生成一个或多个ESP消息(例如,具有TFC净荷数据的一个或多个ESP分组)并经由IPsec隧道发送给第二网络设备来维持IPsec隧道,只要第一网络设备没有在IPsec隧道上检测到业务。如通过参考标号126示出的,第一网络设备以本文关于图1C所描述的类似方式来侦听IPsec隧道上的业务。例如,第一网络设备可以在间隔期间侦听IPsec隧道上的业务。在一些实施方式中,第一网络设备可以确定在间隔期间在IPsec隧道上没有业务。例如,第一网络设备可以确定第一网络设备在间隔期间没有经由IPsec隧道发送或接收信息。
如通过参考标号128示出的,当在IPsec隧道上没有业务时,第一网络设备可以生成一个或多个ESP分组(例如,具有TFC净荷数据的一个或多个ESP分组)并经由IPsec隧道发送给第二网络设备,以维持IPsec隧道。在一些实施方式中,基于确定在间隔期间在IPsec隧道上没有业务,第一网络设备可以生成一个或多个ESP分组(例如,具有TFC净荷数据的一个或多个ESP分组)并经由IPsec隧道发送给第二网络设备。在一些实施方式中,第一网络设备可以生成一个或多个ESP分组,并且从第一网络设备的数据平面经由IPsec隧道发送给第二网络设备。
如在图1F中并通过参考标号130示出的,一个或多个ESP分组可以包括协议值,该协议值指示一个或多个ESP分组是虚设分组。例如,一个或多个ESP分组中的分组可以包括协议值59,例如具有值59的“下一头部”字段,以指明分组为虚设分组。一经接收到一个或多个ESP分组,第二网络可以将一个或多个ESP分组标识为虚设分组,这使得网络设备使用最少的处理资源来丢弃一个或多个ESP分组。在一些实施方式中,分组可以包括“净荷数据”字段,“净荷数据”字段包括TFC净荷数据。在一些实施方式中,分组可以包括另外的字段(例如,安全参数索引(SPI)、序列号、填充、填充长度、或完整性校验值(ICV))。在一些实施方式中,一个或多个ESP分组被格式化,以使得第二网络设备一经接收到一个或多个ESP分组时丢弃一个或多个ESP分组。例如,一个或多个ESP分组可以包括协议值59和净荷数据,净荷数据包括未良好形成(well-formed)的明文(例如,净荷数据包括随机字节)。在一些实施方式中,一个或多个ESP分组是不受第二网络设备偏见而被丢弃的一个或多个虚设分组。
以此方式,本文所描述的实施方式使得网络设备和对端网络设备能够经由IPsec隧道停留在被连接,即使是在网络设备和/或对端网络设备过载时。以此方式,时间未被浪费在重新发起网络设备和对端网络设备之间的IKE和IPsec协商。此外,以此方式,网络设备的工作负载可以被减小,因为相对于传统的DPD过程,网络设备的更少的处理器资源和/或存储器资源被用来保持IPsec隧道活动。再者,用于维持IPsec隧道的过程被自动化,并且网络设备可以同时维持许多(例如,数百、数千、数百万,等等)IPsec隧道。这可以改进过程的速率和效率,并且节省网络设备的计算资源(例如,处理器资源、存储器资源,等等)。再者,对用于维持IPsec隧道的过程进行自动化节省了使用传统的DPD过程否则将被浪费的计算资源(例如,处理器资源、存储器资源,等等)。
如上文指出的,图1A-图1F仅作为示例被提供。其他示例是可能的,并且可以与关于图1A-图1F所描述的不同。
图2是本文所描述的系统和/或方法可以被实施在其中的示例环境200的示图。如图2中示出的,环境200可以包括网络设备210、网络设备220和网络230。环境200的设备可以经由有线连接、无线连接、或有线连接和无线连接的组合来互连。
网络设备210包括能够接收、存储、生成、处理、转发、和/或传送信息的一个或多个设备。例如,网络设备210可以包括路由器、交换机、网关、防火墙设备、调制解调器、集线器、网桥、网络接口控制器(NIC)、反向代理、服务器(例如,代理服务器)、复用器、安全设备、入侵探测设备、负载均衡器、或类似设备。在一些实施方式中,网络设备210可以是在外壳(诸如机箱)内实施的物理设备。在一些实施方式中,网络设备210可以是由云计算环境或数据中心的一个或多个计算机设备实施的虚拟设备。在一些实施方式中,网络设备210可以是互联网密钥交换(IKE)网络设备。
在一些实施方式中,网络设备210可以包括各种组件,诸如数据平面、控制平面,等等。在一些实施方式中,网络设备210的控制平面运行IKE服务器,IKE服务器处置IKE交换(例如,在IPsec隧道上传送的信息,诸如DPD请求消息、DPD响应消息,等等)。在一些实施方式中,网络设备210可以标识将网络设备210连接至网络设备220的IPsec隧道。在一些实施方式中,网络设备210可以生成DPD请求消息并经由IPsec隧道发送给网络设备220,并且可以经由IPsec隧道从网络设备220接收DPD响应消息。在一些实施方式中,网络设备210可以经由IPsec隧道从网络设备220接收DPD请求消息,并且可以生成DPD响应消息并经由IPsec隧道发送给网络设备220。在一些实施方式中,网络设备210可以侦听IPsec隧道上的业务。在一些实施方式中,网络设备210可以根据间隔来发送和/或接收DPD消息。在一些实施方式中,网络设备210可以生成一个或多个封装安全净荷(ESP)分组(例如,具有TFC净荷数据的一个或多个ESP分组),并且经由IPsec隧道发送(例如,经由网络设备210的数据平面)给网络设备220。
网络设备220包括能够接收、存储、生成、处理、转发、和/或传送信息的一个或多个设备。例如,网络设备220可以包括路由器、交换机、网关、防火墙设备、调制解调器、集线器、网桥、网络接口控制器(NIC)、反向代理、服务器(例如,代理服务器)、复用器、安全设备、入侵探测设备、负载均衡器、或类似设备。在一些实施方式中,网络设备220可以是在外壳(诸如机箱)内实施的物理设备。在一些实施方式中,网络设备220可以是由云计算环境或数据中心的一个或多个计算机设备实施的虚拟设备。在一些实施方式中,网络设备220可以是互联网密钥交换(IKE)网络设备。
在一些实施方式中,网络设备220可以包括各种组件,诸如数据平面、控制平面,等等。在一些实施方式中,网络设备220的控制平面运行IKE服务器,IKE服务器处置IKE交换(例如,在IPsec隧道上传送的信息,诸如DPD请求消息、DPD响应消息,等等)。在一些实施方式中,网络设备220可以标识将网络设备210连接至网络设备220的IPsec隧道。在一些实施方式中,网络设备220可以生成DPD请求消息并经由IPsec隧道发送给网络设备210,并且可以经由IPsec隧道从网络设备210接收DPD响应消息。在一些实施方式中,网络设备220可以经由IPsec隧道从网络设备210接收DPD请求消息,并且可以生成DPD响应消息并经由IPsec隧道发送给网络设备210。在一些实施方式中,网络设备210可以根据间隔来生成并发送和/或接收DPD消息。在一些实施方式中,网络设备220可以经由IPsec隧道从网络设备210接收(例如,经由网络设备220的数据平面)一个或多个封装安全净荷(ESP)分组(例如,具有TFC净荷数据的一个或多个ESP分组)。
网络230包括一个或多个有线网络和/或无线网络。例如,网络230可以包括蜂窝网络(例如,长期演进(LTE)网络、码分多址(CDMA)网络、3G网络、4G网络、5G网络、另一类型的下一代网络等)、公共陆地移动网络(PLMN)、局域网(LNA)、广域网(WAN)、城域网(MAN)、电话网(例如,公共交换电话网络(PSTN))、通信网络、电信网络、私人网络、自组织网络、内联网、互联网、基于光纤的网络、云计算网络、或类似网络、和/或这些或其他类型的网络的组合。
图2中示出的设备和网络的数目和布置作为示例被提供。在实践中,可以有附加的设备和/或网络,更少的设备和/或网络、不同的设备和/或网络、或者与图2中示出的那些不同地布置的设备和/或网络。此外,图2中示出的两个或更多设备可以实施在单个设备内,或者图2中示出的单个设备可以实施为多个分布式设备。附加地或替换地,环境200的设备集合(例如,一个或多个设备)可以执行被描述为由环境200的另一设备集合执行的一个或多个功能。
图3为设备300的示例组件的示图。设备300可以对应于网络设备210和/或网络设备220。在一些实施方式中,网络设备210和/或网络设备220可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3中示出的,设备300可以包括输入组件305的集合、交换组件310、输出组件315的集合、和/或控制器320。在一些实施方式中,设备300的组件可以经由有线连接、无线连接、或者有线连接和无线连接的组合来互连。
输入组件305可以是用于连接至设备300的物理链路的附接点,并且可以是用于由设备300接收的传入业务(例如,分组)的进入点。输入组件305可以处理传入业务,诸如通过执行数据链路层封装或解封装。在一些实施方式中,输入组件305可以发送和/或接收分组。在一些实施方式中,输入组件305可以包括输入线卡,输入线卡包括一个或多个分组处理组件(例如,以集成电路的形式),诸如一个或多个接口卡(IFC)、分组转发组件、线卡控制器组件、输入端口、处理器、存储器、和/或输入队列。
交换组件310可以将输入组件305和输出组件315互连。在一些实施方式中,交换组件310可以经由一个或多个交叉开关、经由一个或多个总线、和/或使用共享的存储器来实施。在分组被最终调度用于递送至输出组件315之前,共享的存储器可以用作临时缓冲器,以存储来自输入组件305的分组。在一些实施方式中,交换组件310可以使得输入组件305、输出组件315、和/或控制器320能够进行通信。
输出组件315可以是用于连接至设备300的物理链路的附接点,并且可以是用于由设备300传输的传出业务(例如,分组)的出口点。输出组件315可以存储分组和/或可以调度分组用于在输出物理链路上的传输。输出组件315可以支持数据链路层封装或解封装,和/或各种高层级协议。在一些实施方式中,输出组件315可以发送分组和/或接收分组。在一些实施方式中,输出组件315可以包括输出线卡,输出线卡包括一个或多个分组处理组件(例如,以集成电路的形式),诸如一个或多个IFC、分组转发组件、线卡控制器组件、输出端口、处理器、存储器、和/或输出队列。在一些实施方式中,输入组件305和输出组件315可以由相同的组件集合来实施(例如,输入/输出组件可以是输入组件305和输出组件315的组合)。
控制器320包括以如下的形式的处理器:例如,中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)、微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、和/或可以解译和/或执行指令的另一类型的处理器。处理器被实施在硬件、固件、或硬件和软件的组合中。在一些实施方式中,控制器320可以包括一个或多个处理器,该一个或多个处理器可以被编程以执行功能。
在一些实施方式中,控制器320可以包括存储用于由控制器320使用的信息和/或指令的随机访问存储器(RAM)、只读存储器(ROM)、和/或另一类型的动态或静态存储设备(例如,闪存存储器、磁性存储器、光学存储器等)。
在一些实施方式中,控制器320可以与连接到设备300的其他设备、网络、和/或系统进行通信,以交换关于网络拓扑的信息。控制器320可以基于网络拓扑信息来创建路由表,可以基于路由表来创建转发表,并且可以将转发表转发给输入组件305和/或输出组件315。输入组件305和/或输出组件315可以使用转发表来执行针对传入分组和/或传出分组的路由查找。
控制器320可以执行本文所描述的一个或多个过程。控制器320可以响应于执行由非瞬态计算机可读介质所存储的软件指令,来执行这些过程。计算机可读介质在本文中被定义为非瞬态存储器设备。存储器设备包括在单个物理存储设备内的存储器空间、或跨多个物理存储设备分散的存储器空间。
软件指令可以经由通信接口从另一计算机可读介质或从另一设备被读取到与控制器320相关联的存储器和/或存储组件中。当被执行时,与控制器320相关联的存储器和/或存储组件中存储的软件指令可以使得控制器320执行本文所描述的一个或多个过程。附加地或替换地,硬连线电路可以被使用以代替软件指令或者与软件指令相组合,来执行本文所描述的一个或多个过程。因此,本文所描述的实施方式不限于硬件电路与软件的任何特定组合。
图3中示出的组件的数目和布置作为示例被提供。在实践中,设备300可以包括附加的组件、更少的组件、不同的组件、或者与图3中示出的那些不同地布置的组件。附加地或替换地,设备300的组件集合(例如,一个或多个组件)可以执行被描述为由设备300的另一组件集合执行的一个或多个功能。
图4是用于维持互联网协议安全隧道的示例过程400的流程图。在一些实施方式中,图4的一个或多个过程框可以由网络设备(例如,网络设备210)来执行。在一些实施方式中,图4的一个或多个过程框可以由与网络设备分离或包括网络设备的另一设备或设备组来执行,诸如另一网络设备(例如,网络设备220)。
如图4中示出的,过程400可以包括:标识将设备连接至远程设备的互联网协议安全(IPsec)隧道(框410)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用输入组件305、交换组件310、输出组件315、控制器320,等等)可以标识将设备连接至远程设备的IPsec隧道。
如图4中进一步示出的,过程400可以包括:确定失效对端检测(DPD)在设备处被启用(框420)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用输入组件305、交换组件310、输出组件315、控制器320,等等)可以确定DPD在设备处被启用。
如图4中进一步示出的,过程400可以包括:经由IPsec隧道从远程设备接收第一DPD请求消息(框430)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用输入组件305、交换组件310、控制器320,等等)可以经由IPsec隧道从远程设备接收第一DPD请求消息。
如图4中进一步示出的,过程400可以包括:经由IPsec隧道向远程设备发送第一DPD响应消息(框440)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用交换组件310、输出组件315、控制器320,等等)可以经由IPsec隧道向远程设备发送第一DPD响应消息。
如图4中进一步示出的,过程400可以包括:确定设备的工作负载满足阈值量(框450)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用控制器320,等等)可以确定设备的工作负载满足阈值量。
如图4中进一步示出的,过程400可以包括:基于确定设备的工作负载满足阈值量,经由IPsec隧道,向远程设备发送包括业务流机密(TFC)净荷数据的一个或多个封装安全净荷(ESP)分组(框460)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用交换组件310、输出组件315、控制器320,等等)可以基于确定设备的工作负载满足阈值量,经由IPsec隧道,向远程设备发送包括业务流机密(TFC)净荷数据的一个或多个ESP分组。
如图4中进一步示出的,过程400可以包括:在发送一个或多个ESP分组之后,确定设备的工作负载不满足阈值量(框470)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用控制器320,等等)可以在发送一个或多个ESP分组之后,确定设备的工作负载不满足阈值量。
如图4中进一步示出的,过程400可以包括:经由IPsec隧道从远程设备接收第二DPD请求消息(框480)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用输入组件305、交换组件310、控制器320,等等)可以经由IPsec隧道从远程设备接收第二DPD请求消息。
如图4中进一步示出的,过程400可以包括:经由IPsec隧道向远程设备发送第二DPD响应消息(框490)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用交换组件310、输出组件315、控制器320,等等)可以经由IPsec隧道向远程设备发送第二DPD响应消息。
过程400可以包括另外的实施方式,诸如下文所描述的和/或关于本文在别处描述的一个或多个其他过程所描述的任何单个实施方式或实施方式的任何组合。
在一些实施方式中,网络设备可以具有控制平面,网络设备可以经由控制平面来接收第一DPD请求消息和第二DPD请求消息,并且网络设备可以经由控制平面来发送第一DPD响应消息和第二DPD响应消息。在一些实施方式中,网络设备可以具有数据平面,并且网络设备可以经由数据平面来发送一个或多个ESP分组。
在一些实施方式中,当基于确定网络设备的工作负载满足阈值量,经由IPsec隧道向远程设备发送一个或多个ESP分组时,网络设备可以标识与DPD相关联的重复间隔,可以确定用于发送一个或多个ESP分组的速率,其中该速率可以确保一个或多个ESP分组中的至少一个ESP分组在重复间隔期间被发送,并且可以按该速率经由IPsec隧道向远程设备发送一个或多个ESP分组。
在一些实施方式中,当网络设备经由IPsec隧道向远程设备发送一个或多个ESP分组时,IPsec隧道可以被维持。在一些实施方式中,网络设备的工作负载可以指示与网络设备的控制平面相关联的处理资源的利用率。在一些实施方式中,当确定设备的工作负载满足阈值量时,网络设备可以确定与设备的控制平面相关联的处理资源的利用率满足阈值量。
尽管图4示出了过程400的示例框,但是在一些实施方式中,过程400可以包括附加的框、更少的框、不同的框、或者与图4中所描绘的那些框不同地布置的框。附加地或替换地,过程400的框中的两个或更多框可以并行执行。
图5是用于维持互联网协议安全隧道的示例过程500的流程图。在一些实施方式中,图5的一个或多个过程框可以由网络设备(例如,网络设备210)来执行。在一些实施方式中,图5的一个或多个过程框可以由与网络设备分离或者包括网络设备的另一设备或设备组来执行,诸如另一网络设备(例如,网络设备220)。
如图5中示出的,过程500可以包括:标识将设备连接至远程设备的互联网协议安全(IPsec)隧道(框510)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用交换组件310、输出组件315、控制器320,等等)可以标识将设备连接至远程设备的IPsec隧道。
如图5中进一步示出的,过程500可以包括:确定失效对端检测(DPD)过程在设备处被启用(框520)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用交换组件310、输出组件315、控制器320,等等)可以确定DPD过程在设备处被启用。
如图5中进一步示出的,过程500可以包括:标识与DPD过程相关联的重复间隔(框530)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用交换组件310、输出组件315、控制器320,等等)可以标识与DPD过程相关联的重复间隔。
如图5中进一步示出的,过程500可以包括:维持IPsec隧道,其中,当维持IPsec隧道时,过程500可以包括:在重复间隔期间侦听IPsec隧道上的业务,确定在重复间隔期间在IPsec隧道上没有业务,并且基于确定在重复间隔期间在IPsec隧道上没有业务,经由IPsec隧道向远程设备发送包括业务流机密(TFC)净荷数据的一个或多个封装安全净荷(ESP分组)(框540)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用交换组件310、输出组件315、控制器320,等等)可以维持IPsec隧道。在一些实施方式中,网络设备可以在重复间隔期间侦听IPsec隧道上的业务,确定在重复间隔期间在IPsec隧道上没有业务,并且基于确定在重复间隔期间在IPsec隧道上没有业务,经由IPsec隧道向远程设备发送包括业务流机密(TFC)净荷数据的一个或多个ESP分组。
过程500可以包括另外的实施方式,诸如下文所描述的和/或关于本文在别处描述的一个或多个其他过程所描述的任何单个实施方式或实施方式的任何组合。
在一些实施方式中,当基于确定在重复间隔期间在IPsec隧道上没有业务,经由IPsec隧道向远程设备发送一个或多个ESP分组时,网络设备可以从设备的数据平面经由IPsec隧道向远程设备发送一个或多个ESP分组。
在一些实施方式中,当在重复间隔期间侦听IPsec隧道上的业务时,网络设备可以确定设备是否在重复间隔期间经由IPsec隧道向远程设备发送一个或多个传出消息,并且可以确定设备是否在重复间隔期间经由IPsec隧道从远程设备接收一个或多个传入消息。在一些实施方式中,当确定在重复间隔期间在IPsec隧道上没有业务时,网络设备可以确定设备未在重复间隔期间经由IPsec隧道发送或接收信息。
在一些实施方式中,一个或多个ESP分组可以包括协议值,该协议值指示一个或多个ESP分组为虚设分组。在一些实施方式中,一个或多个ESP分组可以被格式化,以使得远程设备在接收到一个或多个ESP分组时,丢弃一个或多个ESP分组。在一些实施方式中,一个或多个ESP分组可以包括净荷数据,其中净荷数据包括未良好形成的明文。
尽管图5示出了过程500的示例框,但是在一些实施方式中,过程500可以包括附加的框、更少的框、不同的框、或者与图5中所描绘的那些框不同地布置的框。附加地或替换地,过程500的框中的两个或更多框可以并行执行。
图6是用于维持互联网协议安全隧道的示例过程600的流程图。在一些实施方式中,图6的一个或多个过程框可以由网络设备(例如,网络设备210)来执行。在一些实施方式中,图6的一个或多个过程框可以由与网络设备分离或者包括网络设备的另一设备或设备组来执行,诸如另一网络设备(例如,网络设备220)。
如图6中示出的,过程600可以包括:识别将设备连接至远程设备的互联网协议安全(IPsec)隧道(框605)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用输入组件305、交换组件310、输出组件315、控制器320,等等)可以识别将设备连接至远程设备的IPsec隧道。
如图6中进一步示出的,过程600可以包括:确定设备使用失效对端检测(DPD)(框610)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用输入组件305、交换组件310、输出组件315、控制器320,等等)可以确定设备使用DPD。
如图6中进一步示出的,过程600可以包括:确定与设备处的DPD相关联的触发间隔(框615)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用输入组件305、交换组件310、输出组件315、控制器320,等等)可以确定与设备处的DPD相关联的触发间隔。
如图6中进一步示出的,过程600可以包括:确定设备的工作负载满足第一阈值量(框620)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用控制器320,等等)可以确定设备的工作负载满足第一阈值量。
如图6中进一步示出的,过程600可以包括:基于确定设备的工作负载满足第一阈值量,增大触发间隔(框625)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用输入组件305、交换组件310、输出组件315、控制器320,等等)可以基于确定设备的工作负载满足第一阈值量,来增大触发间隔。
如图6中进一步示出的,过程600可以包括:在增大触发间隔之后,基于触发间隔,经由IPsec隧道向远程设备发送第一DPD请求消息(框630)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用交换组件310、输出组件315、控制器320,等等)可以在增大触发间隔之后,基于触发间隔经由IPsec隧道向远程设备发送第一DPD请求消息。
如图6中进一步示出的,过程600可以包括:基于发送第一DPD请求消息,经由IPsec隧道从远程设备接收第一DPD响应消息(框635)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用输入组件305、交换组件310、控制器320,等等)可以基于发送第一DPD请求消息,经由IPsec隧道从远程设备接收第一DPD响应消息。
如图6中进一步示出的,过程600可以包括:确定设备的工作负载满足第二阈值量(框640)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用控制器320,等等)可以确定设备的工作负载满足第二阈值量。
如图6中进一步示出的,过程600可以包括:基于确定设备的工作负载满足第二阈值量,减小触发间隔(框645)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用输入组件305、交换组件310、输出组件315、控制器320,等等)可以基于确定设备的工作负载满足第二阈值量,来减小触发间隔。
如图6中进一步示出的,过程600可以包括:在减小触发间隔之后,基于触发间隔,经由IPsec隧道向远程设备发送第二DPD请求消息(框650)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用交换组件310、输出组件315、控制器320,等等)可以在减小触发间隔之后,基于触发间隔,经由IPsec隧道向远程设备发送第二DPD请求消息。
如图6中进一步示出的,过程600可以包括:基于发送第二DPD请求消息,经由IPsec隧道从远程设备接收第二DPD响应消息(框655)。例如,如上文关于图1A-图1F所描述的,网络设备(例如,使用输入组件305、交换组件310、输出组件315、控制器320,等等)可以基于发送第二DPD请求消息,经由IPsec隧道从远程设备接收第二DPD响应消息。
过程600可以包括另外的实施方式,诸如下文所描述的和/或关于本文在别处描述的一个或多个其他过程所描述的任何单个实施方式或实施方式的任何组合。
在一些实施方式中,在确定设备的工作负载满足第一阈值量之后,网络设备可以经由IPsec隧道向远程设备发送一个或多个封装安全净荷(ESP)分组。在一些实施方式中,一个或多个ESP分组可以是一个或多个虚设分组。在一些实施方式中,在确定设备的工作负载满足第一阈值量之后,当经由IPsec隧道向远程设备发送一个或多个ESP分组时,网络设备可以使用设备的数据平面经由IPsec隧道向远程设备发送一个或多个ESP分组。
在一些实施方式中,设备的工作负载可以指示设备的控制平面的利用率比率。在一些实施方式中,当确定设备的工作负载满足第一阈值量时,网络设备可以确定设备的控制平面的利用率比率满足第一阈值量。
尽管图6示出了过程600的示例框,但是在一些实施方式中,过程600可以包括附加的框、更少的框、不同的框、或者与图6中所描绘的那些框不同地布置的框。附加地或替换地,过程600的框中的两个或更多框可以并行执行。
本文所描述的一些实施方式提供网络设备210,其能够在网络设备210处修改DPD以维持与网络设备220的IPsec隧道,同时减小与网络设备210相关联的处理资源的工作负载。在一些实施方式中,网络设备210可以确定网络设备的工作负载满足阈值量,并且经由IPsec隧道向网络设备220发送一个或多个封装安全净荷(ESP)分组。在一些实施方式中,网络设备210可以确定设备的工作负载满足阈值量,并且修改与网络设备210处的DPD相关联的间隔,以根据间隔与网络设备220交换DPD消息。在一些实施方式中,网络设备210可以禁用DPD,并且经由IPsec隧道向网络设备220发送一个或多个ESP分组。
以此方式,本文所描述的实施方式使得网络设备210和网络设备220能够经由IPsec隧道停留在被连接,即使是当网络设备或网络设备220过载时。以此方式,时间未被浪费在重新发起网络设备和网络设备220之间的IKE和IPsec协商。此外,以此方式,网络设备210的工作负载可以被减小,因为一些实施方式要求对网络设备210的处理器资源和/或存储器资源的更少使用。再者,用于维持IPsec隧道的过程被自动化,并且网络设备210可以同时维持许多(例如,数百、数千、数百万,等等)IPsec隧道。这可以改进过程的速度和效率,并且节省网络设备210和/或网络设备220的计算资源(例如,处理器资源、存储器资源,等等)。再者,对用于维持IPsec隧道的过程进行自动化节省了使用传统的DPD过程否则将被浪费的网络设备210和/或网络设备220的计算资源(例如,处理器资源、存储器资源,等等)。
如本文所使用的,术语业务或内容可以包括分组集合。分组可以指代用于传送信息的通信结构,诸如能够经由网络被传输的协议数据单元(PDU)、网络分组、数据报、分段、消息、块、单元、帧、子帧、时隙、符号、上述中的任何项的一部分、和/或另一类型的格式化的或未格式化的数据单元。
前述公开提供了说明和描述,但是并非旨在为穷举性的或将实施方式限制为所公开的精确形式。修改和变化鉴于上述公开是可能的,或者可以从实施方式的实践中来获取。
如本文所使用的,术语组件旨在被宽泛解释为硬件、固件、和/或硬件和软件的组合。
一些实施方式在本文中关于阈值被描述。如本文所使用的,满足阈值可以是指值大于阈值、多于阈值、高于阈值、大于或等于阈值、小于阈值、少于阈值、低于阈值、小于或等于阈值、等于阈值,等等。
将明显的是,本文所描述的系统和/或方法可以按不同形式的硬件、固件、或硬件和软件的组合来实施。用于实施这些系统和/或方法的实际的专门控制硬件或软件代码不限于实施方式。因此,系统和/或方法的操作和行为在本文中未参考具体软件代码来描述—所理解的是,软件和硬件可以被设计为实施基于本文的描述的系统和/或方法。
即使特征的特定组合被记载在权利要求中和/或被公开在说明书中,但是这些组合并非旨在限制可能的实施方式的公开。事实上,这些特征中的许多特征可以按未具体记载在权利要求中和/或公开在说明书中的方式进行组合。尽管下面列出的每个从属权利要求可能直接从属于仅一个权利要求,但是可能的实施方式的公开包括每个从属权利要求与权利要求组中的每个其他权利要求相组合。
本文使用的元件、动作、或指令不应当被解释为关键的或必要的,除非明确地如此描述。此外,如本文所使用的,冠词“一种”和“一个”旨在包括一个或多个项目,并且可以与“一个或多个”互换使用。再者,如本文所使用的,术语“集合”旨在包括一个或多个项目(例如,有关的项目、无关的项目、有关的项目和无关的项目的组合,等等),并且可以与“一个或多个”互换使用。在仅一个项目被意图的场合,术语“一个”或类似语言被使用。此外,如本文所使用的,术语“有”、“具有”、“带有”等旨在为开放式术语。进一步地,短语“基于”旨在意味着“至少部分地基于”,除非明确地另有陈述。
Claims (20)
1.一种用于维持互联网协议安全IPsec隧道的方法,包括:
由设备标识IPsec隧道,所述IPsec隧道将所述设备连接至远程设备;
由所述设备确定失效对端检测DPD在所述设备处被启用;
由所述设备,经由所述IPsec隧道从所述远程设备接收第一DPD请求消息;
由所述设备,经由所述IPsec隧道向所述远程设备发送第一DPD响应消息;
由所述设备确定所述设备的工作负载满足阈值量;
由所述设备标识与所述DPD相关联的间隔,
所述间隔是:在检测到所述IPsec隧道的空闲之后,所述远程设备等待生成并发送DPD请求消息的时间的量;
由所述设备确定发送一个或多个封装安全净荷ESP分组的速率,确保至少一个ESP分组在所述间隔期间被生成并发送,以在最小化所述设备的网络资源的同时维持所述IPsec隧道;
由所述设备,并且基于确定所述设备的所述工作负载满足所述阈值量,经由所述IPsec隧道以基于所述速率向所述远程设备发送包括业务流机密TFC净荷数据的所述一个或多个ESP分组;
由所述设备,并且在发送所述一个或多个ESP分组之后,确定所述设备的所述工作负载不满足所述阈值量;
由所述设备,经由所述IPsec隧道从所述远程设备接收第二DPD请求消息;以及
由所述设备,经由所述IPsec隧道向所述远程设备发送第二DPD响应消息。
2.根据权利要求1所述的方法,其中所述设备具有控制平面,
其中所述设备将经由所述控制平面来接收所述第一DPD请求消息和所述第二DPD请求消息,并且
所述设备将经由所述控制平面来发送所述第一DPD响应消息和所述第二DPD响应消息。
3.根据权利要求2所述的方法,其中所述设备具有数据平面,
其中所述设备将经由所述数据平面来发送所述一个或多个ESP分组。
4.根据权利要求1所述的方法,其中当所述设备经由所述IPsec隧道向所述远程设备发送所述一个或多个ESP分组时,所述IPsec隧道被维持。
5.根据权利要求1所述的方法,其中所述设备的所述工作负载指示与所述设备的控制平面相关联的处理资源的利用率。
6.根据权利要求5所述的方法,其中确定所述设备的所述工作负载满足所述阈值量包括:
确定与所述设备的所述控制平面相关联的处理资源的所述利用率满足所述阈值量。
7.一种用于维持互联网协议安全IPsec隧道的设备,包括:
一个或多个存储器;以及
一个或多个处理器,用于:
标识将所述设备连接至远程设备的IPsec隧道;
确定失效对端检测DPD过程在所述设备处被启用;
经由所述IPsec隧道从所述远程设备接收第一DPD请求消息;
经由所述IPsec隧道向所述远程设备发送第一DPD响应消息;
确定所述设备的工作负载满足阈值量;
标识与接收一个或多个DPD请求消息相关联的间隔,
所述间隔是:在检测到所述IPsec隧道的空闲之后,所述远程设备等待生成并发送DPD请求消息的时间的量;
确定发送一个或多个封装安全净荷ESP分组的速率,确保至少一个ESP分组在所述间隔期间被生成并发送,以在最小化所述设备的网络资源的同时维持所述IPsec隧道;
基于确定所述设备的所述工作负载满足所述阈值量,经由所述IPsec隧道以基于所述速率向所述远程设备发送包括业务流机密TFC净荷数据的所述一个或多个ESP分组;
在发送所述一个或多个ESP分组之后,确定所述设备的所述工作负载不满足所述阈值量;
经由所述IPsec隧道从所述远程设备接收第二DPD请求消息;以及
经由所述IPsec隧道向所述远程设备发送第二DPD响应消息。
8.根据权利要求7所述的设备,其中所述间隔期间为重复间隔期间并且所述一个或多个处理器将:
基于确定在所述重复间隔期间在所述IPsec隧道上没有业务,经由所述IPsec隧道从所述设备的数据平面向所述远程设备发送所述一个或多个ESP分组。
9.根据权利要求7所述的设备,其中所述间隔期间为重复间隔期间并且所述一个或多个处理器将:
在所述重复间隔期间侦听所述IPsec隧道上的业务;
确定所述设备是否在所述重复间隔期间经由所述IPsec隧道向所述远程设备发送一个或多个传出消息;以及
确定所述设备是否在所述重复间隔期间经由所述IPsec隧道从所述远程设备接收一个或多个传入消息。
10.根据权利要求7所述的设备,其中所述间隔期间为重复间隔期间并且所述一个或多个处理器将:
基于确定在所述重复间隔期间在所述IPsec隧道上没有业务,确定所述设备在所述重复间隔期间未经由所述IPsec隧道发送或接收信息。
11.根据权利要求7所述的设备,其中所述一个或多个ESP分组包括协议值,所述协议值指示所述一个或多个ESP分组为虚设分组。
12.根据权利要求7所述的设备,其中所述一个或多个ESP分组被格式化,以使得所述远程设备在接收到所述一个或多个ESP分组时丢弃所述一个或多个ESP分组。
13.根据权利要求12所述的设备,其中所述一个或多个ESP分组包括净荷数据,
其中所述净荷数据包括未良好形成的明文。
14.根据权利要求7所述的设备,其中所述设备发送所述一个或多个ESP分组,以最小化所述设备从所述远程设备接收的DPD请求消息的量。
15.一种非瞬态计算机可读介质,存储有指令,所述指令包括:
一个或多个指令,所述一个或多个指令在由设备的一个或多个处理器执行时,使得所述一个或多个处理器:
识别将所述设备连接至远程设备的互联网协议安全IPsec隧道;
确定所述设备使用失效对端检测DPD;
确定与所述设备处的DPD相关联的触发间隔,所述触发间隔是:在检测到所述IPsec隧道的空闲之后,所述远程设备等待生成并发送DPD请求消息的时间的量;
确定发送DPD消息的速率,确保至少一个DPD消息在所述触发间隔期间被生成,并且确保所述IPsec隧道被维持;
确定所述设备的工作负载满足第一阈值量;
在确定所述设备的所述工作负载满足所述第一阈值量后,经由所述IPsec隧道向所述远程设备发送包括业务流机密TFC净荷数据的一个或多个封装安全净荷ESP分组;
基于确定所述设备的所述工作负载满足所述第一阈值量,增大所述触发间隔以减小所述设备的所述工作负载;
在增大所述触发间隔之后,基于所述触发间隔,经由所述IPsec隧道向所述远程设备发送第一DPD请求消息;
基于发送所述第一DPD请求消息,经由所述IPsec隧道从所述远程设备接收第一DPD响应消息;
确定所述设备的所述工作负载满足第二阈值量;
基于确定所述设备的所述工作负载满足所述第二阈值量,减小所述触发间隔;
在减小所述触发间隔之后,基于所述触发间隔,经由所述IPsec隧道向所述远程设备发送第二DPD请求消息;以及
基于发送所述第二DPD请求消息,经由所述IPsec隧道从所述远程设备接收第二DPD响应消息。
16.根据权利要求15所述的非瞬态计算机可读介质,其中所述一个或多个ESP分组为一个或多个虚设分组。
17.根据权利要求15所述的非瞬态计算机可读介质,其中在确定所述设备的所述工作负载满足所述第一阈值量之后,使得所述一个或多个处理器经由所述IPsec隧道向所述远程设备发送所述一个或多个ESP分组的所述一个或多个指令,使得所述一个或多个处理器:
使用所述设备的数据平面,经由所述IPsec隧道向所述远程设备发送所述一个或多个ESP分组。
18.根据权利要求15所述的非瞬态计算机可读介质,其中所述设备的所述工作负载指示所述设备的控制平面的利用率比率。
19.根据权利要求18所述的非瞬态计算机可读介质,其中使得所述一个或多个处理器确定所述设备的所述工作负载满足所述第一阈值量的所述一个或多个指令,使得所述一个或多个处理器:
确定所述设备的所述控制平面的所述利用率比率满足所述第一阈值量。
20.根据权利要求15所述的非瞬态计算机可读介质,其中所述设备发送所述一个或多个ESP分组,以最小化所述设备从所述远程设备接收的DPD请求消息的量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211088079.9A CN115348108A (zh) | 2018-07-26 | 2019-06-11 | 用于维持互联网协议安全隧道的方法和设备 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/046,381 US10999253B2 (en) | 2018-07-26 | 2018-07-26 | Maintaining internet protocol security tunnels |
| US16/046,381 | 2018-07-26 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211088079.9A Division CN115348108A (zh) | 2018-07-26 | 2019-06-11 | 用于维持互联网协议安全隧道的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110784436A CN110784436A (zh) | 2020-02-11 |
| CN110784436B true CN110784436B (zh) | 2022-09-30 |
Family
ID=66041152
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910500695.2A Active CN110784436B (zh) | 2018-07-26 | 2019-06-11 | 用于维持互联网协议安全隧道的方法和设备 |
| CN202211088079.9A Pending CN115348108A (zh) | 2018-07-26 | 2019-06-11 | 用于维持互联网协议安全隧道的方法和设备 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211088079.9A Pending CN115348108A (zh) | 2018-07-26 | 2019-06-11 | 用于维持互联网协议安全隧道的方法和设备 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US10999253B2 (zh) |
| EP (1) | EP3599751A1 (zh) |
| CN (2) | CN110784436B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4145282A1 (en) * | 2018-12-21 | 2023-03-08 | Huawei Cloud Computing Technologies Co., Ltd. | Mechanism to reduce serverless function startup latency |
| US11463277B2 (en) * | 2020-04-07 | 2022-10-04 | Cisco Technology, Inc. | Dead peer detection across split control plane nodes and data plane nodes of a tunneled communication session |
| US11477829B2 (en) * | 2020-12-08 | 2022-10-18 | Verizon Patent And Licensing Inc. | Systems and methods for paging over WiFi for mobile terminating calls |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152343A (zh) * | 2013-03-04 | 2013-06-12 | 北京神州绿盟信息安全科技股份有限公司 | 建立互联网安全协议虚拟专用网隧道的方法和网络设备 |
| CN104823412A (zh) * | 2012-10-10 | 2015-08-05 | 诺基亚通信公司 | 对等体复活检测 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7418494B2 (en) * | 2002-07-25 | 2008-08-26 | Intellectual Ventures Holding 40 Llc | Method and system for background replication of data objects |
| US20050268331A1 (en) * | 2004-05-25 | 2005-12-01 | Franck Le | Extension to the firewall configuration protocols and features |
| US20090328192A1 (en) * | 2006-08-02 | 2009-12-31 | Alan Yang | Policy based VPN configuration for firewall/VPN security gateway appliance |
| JP4980151B2 (ja) | 2007-06-18 | 2012-07-18 | 株式会社日立製作所 | 移動体通信システム、pdif及び移動端末の死活監視方法 |
| US8656481B2 (en) * | 2009-09-15 | 2014-02-18 | General Instrument Corporation | System and method for IPSec link configuration |
| US8458248B2 (en) | 2010-09-24 | 2013-06-04 | Research In Motion Limited | System and method for enabling VPN tunnel status checking |
| US8873398B2 (en) * | 2011-05-23 | 2014-10-28 | Telefonaktiebolaget L M Ericsson (Publ) | Implementing EPC in a cloud computer with openflow data plane |
| US9167501B2 (en) * | 2011-08-29 | 2015-10-20 | Telefonaktiebolaget L M Ericsson (Publ) | Implementing a 3G packet core in a cloud computer with openflow data and control planes |
| CN105308906B9 (zh) * | 2013-05-03 | 2019-04-12 | 马维尔国际贸易有限公司 | 一种用于在网络设备中对事件进行计数的方法及计数器设备 |
| US9294461B2 (en) * | 2014-01-08 | 2016-03-22 | Dell Software, Inc. | Virtual private network dead peer detection |
| US10187478B2 (en) * | 2014-07-18 | 2019-01-22 | Hewlett Packard Enterprise Development Lp | Dynamic detection of inactive virtual private network clients |
| WO2017034642A2 (en) * | 2015-06-05 | 2017-03-02 | Nutanix, Inc. | Optimizable full-path encryption in a virtualization environment |
| JP2017098666A (ja) * | 2015-11-19 | 2017-06-01 | 富士通株式会社 | 通信装置,及び暗号化通信の異常検出方法 |
| US10868803B2 (en) * | 2017-01-13 | 2020-12-15 | Parallel Wireless, Inc. | Multi-stage secure network element certificate provisioning in a distributed mobile access network |
| US10666626B2 (en) * | 2017-01-18 | 2020-05-26 | Cisco Technology, Inc. | Graceful handling of dynamic update in peer address of secure communication session |
-
2018
- 2018-07-26 US US16/046,381 patent/US10999253B2/en active Active
-
2019
- 2019-03-28 EP EP19165919.2A patent/EP3599751A1/en active Pending
- 2019-06-11 CN CN201910500695.2A patent/CN110784436B/zh active Active
- 2019-06-11 CN CN202211088079.9A patent/CN115348108A/zh active Pending
-
2021
- 2021-04-19 US US17/301,909 patent/US20210243157A1/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104823412A (zh) * | 2012-10-10 | 2015-08-05 | 诺基亚通信公司 | 对等体复活检测 |
| CN103152343A (zh) * | 2013-03-04 | 2013-06-12 | 北京神州绿盟信息安全科技股份有限公司 | 建立互联网安全协议虚拟专用网隧道的方法和网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3599751A1 (en) | 2020-01-29 |
| CN110784436A (zh) | 2020-02-11 |
| US10999253B2 (en) | 2021-05-04 |
| US20210243157A1 (en) | 2021-08-05 |
| US20200036679A1 (en) | 2020-01-30 |
| CN115348108A (zh) | 2022-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11316858B2 (en) | Fast heartbeat liveness between packet processing engines using media access control security (MACsec) communication | |
| CN112152985B (zh) | 在中间路由器处具有减少的分组加密的gre隧穿 | |
| US10469461B1 (en) | Securing end-to-end virtual machine traffic | |
| US20210243157A1 (en) | Maintaining internet protocol security tunnels | |
| CN112887259B (zh) | 基于应用的网络安全 | |
| CN112333143A (zh) | 经代理安全会话的粒度卸载 | |
| CN112087457B (zh) | 用于处理消息的方法、网络节点和介质 | |
| CN108289044B (zh) | 数据转发方法、确定静态路由的链路状态方法及网络设备 | |
| US11757747B2 (en) | Preventing traffic outages during address resolution protocol (ARP) storms | |
| US10567262B1 (en) | Dynamic server device monitoring | |
| CN116094978A (zh) | 一种信息上报方法和信息处理方法及设备 | |
| US11032196B2 (en) | Per path and per link traffic accounting | |
| US11895228B2 (en) | Pausing a media access control security (MACsec) key agreement (MKA) protocol of an MKA session using a fast heartbeat session | |
| US10972442B1 (en) | Distributed predictive packet quantity threshold reporting | |
| US10382340B1 (en) | Dynamic filtering of network traffic | |
| US10547549B2 (en) | Processing data flows based on information provided via beacons | |
| US20230164149A1 (en) | Causing or preventing an update to a network address translation table | |
| US11032203B2 (en) | Providing predictable quality of service traffic steering | |
| US10742542B2 (en) | Configuring targeted distribution of traffic | |
| CN108011820B (zh) | 基于监测网络流量条件的旁路标签交换路径的动态修改 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |