CN111884877A - 一种增强ipsec链路稳定性的有效网关检测机制的方法 - Google Patents
一种增强ipsec链路稳定性的有效网关检测机制的方法 Download PDFInfo
- Publication number
- CN111884877A CN111884877A CN202010715586.5A CN202010715586A CN111884877A CN 111884877 A CN111884877 A CN 111884877A CN 202010715586 A CN202010715586 A CN 202010715586A CN 111884877 A CN111884877 A CN 111884877A
- Authority
- CN
- China
- Prior art keywords
- gateway
- ipsec
- detection
- effective
- failure count
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种增强IPSEC链路稳定性的有效网关检测机制的方法,属于网络安全技术领域,一种增强IPSEC链路稳定性的有效网关检测机制的方法,对IPSEC客户端和IPSEC服务端均进行检测,检测的周期包括:(1)设置有效网关,(2)对有效网关进行定时检测,若有效网关检测失败,检测失败计数加1,若有效网关检测成功,则将检测失败计数清零,判断检测失败计数是否达到预设阈值,若检测失败计数未达到预设阈值,则返回继续对有效网关进行检测,若检测失败计数达到预设阈值,则删除SA,重启IPSEC链路,并初始化参数。本发明的增强IPSEC链路稳定性的有效网关检测机制的方法,保证子网通道持续可用,能够极大的增强IPSEC链路的稳定性。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种增强IPSEC链路稳定性的有效网关检测机制的方法。
背景技术
传统的IPSEC通道保持方案是通过IPSEC提供的DPD检测机制,能够定时检测通道是否正常,异常的情况下恢复通道,从而保证通道持续可用。这种方法只能保证IPSEC通道持续可用,却无法检测IPSEC下子设备的通道情况。
发明内容
本发明的目的在于提出一种增强IPSEC链路稳定性的有效网关检测机制的方法,增加有效网关检测,保证子网通道持续可用,能够极大的增强IPSEC链路的稳定性。
为达此目的,本发明采用以下技术方案:
本发明提供的一种增强IPSEC链路稳定性的有效网关检测机制的方法,IPSEC通道建立后通过DPD检测机制检测IPSEC通道是否正常,对IPSEC客户端和IPSEC服务端均进行检测,检测的周期包括:(1)设置有效网关,(2)对有效网关进行定时检测,若有效网关检测失败,检测失败计数加1,若有效网关检测成功,则将检测失败计数清零,判断检测失败计数是否达到预设阈值,若检测失败计数未达到预设阈值,则返回继续对有效网关进行检测,若检测失败计数达到预设阈值,则删除SA,重启IPSEC链路,并初始化参数。
优选地,若已经设置了有效网关,则该有效网关被认定为对端IPSEC通道下的子设备网关,直接进入步骤(2),若没有设置有效网关,那么默认采用本端IPSEC设置的对端IPSEC子网下的主机作为网关。
优选地,采用默认网关的情况下,则对该默认网关进行定时检测,若该默认网关检测成功,说明该默认网关有效,该默认网关作为有效网关进入步骤(2),定时检测该有效网关的通道情况,若该默认网关检测失败,检测失败计数加1,判断检测失败计数是否达到预设阈值,若检测失败计数未达到预设阈值,则返回继续对该默认网关进行检测;,若检测失败计数达到预设阈值,说明该默认网关为无效网关,停止检测。
优选地,对有效网关和默认网关的定时检测均为通过ICMP绑定本端源LAN口的方式定时检测本端IPSEC到对端网关之间的通道情况。
优选地,若DPD检测成功,则返回继续进行DPD检测,若DPD检测失败,则删除SA,重启IPSEC链路,并初始化参数。
优选地,作为网关的对端IPSEC子网下的主机的主机号为1。
优选地,IPSEC经过两个阶段协商后成功建立IPSEC通道。
本发明的有益效果为:
在IPSEC通道建立以后,在DPD检测基础上增加有效网关检测,DPD检测能够保证IPSEC通道持续可用;本发明的有效网关检测能够保证子网通道持续可用,通过判断对端网关ICMP包的异常情况来决定是否重启IPSEC链路,从而增强IPSEC链路的稳定性。
附图说明
图1是本发明的系统框图。
图2是本发明的检测流程示意图。
具体实施方式
现结合附图和具体实施方式对本发明进一步说明。
如图1至图2所示,本实施例中提供的一种增强IPSEC链路稳定性的有效网关检测机制的方法,IPSEC经过两个阶段协商后成功建立IPSEC通道,IPSEC通道建立后通过DPD检测机制检测IPSEC通道是否正常,对IPSEC客户端和IPSEC服务端均进行检测,检测的周期包括:
(1)设置有效网关,具体的,若已经设置了有效网关,则该有效网关被认定为对端IPSEC通道下的子设备网关,直接进入步骤(2),若没有设置有效网关,那么默认采用本端IPSEC设置的对端IPSEC子网下的主机号1作为网关,正常网关都是主机号为1。采用默认网关的情况下,则对该默认网关进行定时检测,若该默认网关检测成功,说明该默认网关有效,该默认网关作为有效网关进入步骤(2),定时检测该有效网关的通道情况,若该默认网关检测失败,检测失败计数加1,判断检测失败计数是否达到预设阈值,若检测失败计数未达到预设阈值,则返回继续对该默认网关进行检测;,若检测失败计数达到预设阈值,说明该默认网关为无效网关,停止检测。本实施例中,IPSEC客户端设置检测IPSEC服务端下的PC2作为IPSEC服务端的有效网关,IPSEC服务端设置检测IPSEC客户端下的PC1作为IPSEC客户端的有效网关。
(2)对有效网关进行定时检测,若有效网关检测失败,检测失败计数加1,若有效网关检测成功,则将检测失败计数清零,判断检测失败计数是否达到预设阈值,若检测失败计数未达到预设阈值,则返回继续对有效网关进行检测,若检测失败计数达到预设阈值,则删除SA,重启IPSEC链路,并初始化参数。
进一步的,对有效网关和默认网关的定时检测均为通过ICMP绑定本端源LAN口的方式定时检测本端IPSEC到对端网关之间的通道情况。ICMP,ICMP(Internet ControlMessage Protocol)Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。具体的,IPSEC客户端通过ICMP绑定源LAN口的方式定时将ICMP包发送到PC2,PC2回复ICMP包结果,如果回复的ICMP包异常次数达到,那么重启IPSEC链路或者整机。IPSEC服务端通过ICMP绑定源LAN口的方式定时将ICMP包发送到PC1,PC1回复ICMP包结果,如果回复的ICMP包异常次数达到,那么重启IPSEC链路或者整机。
进一步的,若DPD检测成功,则返回继续进行DPD检测,若DPD检测失败,说明IPSEC通道异常。这种情况下有效网关检测也是失败,取决于二者的配置。最终采取的行为都是删除SA,重启IPSEC链路,并初始化参数。
本发明在IPSEC通道建立以后,在DPD检测基础上增加有效网关检测。DPD检测能够保证IPSEC通道持续可用。本发明的有效网关检测能够保证子网通道持续可用,通过判断对端网关ICMP包的异常情况来决定是否重启IPSEC链路,从而增强IPSEC链路的稳定性。
本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解;其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种增强IPSEC链路稳定性的有效网关检测机制的方法,IPSEC通道建立后通过DPD检测机制检测IPSEC通道是否正常,其特征在于,对IPSEC客户端和IPSEC服务端均进行检测,所述检测的周期包括:
(1)设置有效网关;
(2)对有效网关进行定时检测;
若有效网关检测失败,检测失败计数增加,若有效网关检测成功,则将检测失败计数清零;
判断检测失败计数是否达到预设阈值,若检测失败计数未达到预设阈值,则返回继续对有效网关进行检测,若检测失败计数达到预设阈值,则删除SA,重启IPSEC链路,并初始化参数。
2.根据权利要求1所述的增强IPSEC链路稳定性的有效网关检测机制的方法,其特征在于,
若已经设置了有效网关,则该有效网关被认定为对端IPSEC通道下的子设备网关,直接进入步骤(2);
若没有设置有效网关,那么默认采用本端IPSEC设置的对端IPSEC子网下的主机作为网关。
3.根据权利要求2所述的增强IPSEC链路稳定性的有效网关检测机制的方法,其特征在于,
采用默认网关的情况下,则对该默认网关进行定时检测;
若该默认网关检测成功,说明该默认网关有效,该默认网关作为有效网关进入步骤(2),定时检测该有效网关的通道情况;
若该默认网关检测失败,检测失败计数增加,判断检测失败计数是否达到预设阈值;
若检测失败计数未达到预设阈值,则返回继续对该默认网关进行检测;
若检测失败计数达到预设阈值,说明该默认网关为无效网关,停止检测。
4.根据权利要求3所述的增强IPSEC链路稳定性的有效网关检测机制的方法,其特征在于,
对有效网关和默认网关的定时检测均为通过ICMP绑定本端源LAN口的方式定时检测本端IPSEC到对端网关之间的通道情况。
5.根据权利要求1所述的增强IPSEC链路稳定性的有效网关检测机制的方法,其特征在于,
若DPD检测成功,则返回继续进行DPD检测;
若DPD检测失败,则删除SA,重启IPSEC链路,并初始化参数。
6.根据权利要求2所述的增强IPSEC链路稳定性的有效网关检测机制的方法,其特征在于,
作为网关的对端IPSEC子网下的主机的主机号为1。
7.根据权利要求1所述的增强IPSEC链路稳定性的有效网关检测机制的方法,其特征在于,
IPSEC经过两个阶段协商后成功建立IPSEC通道。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010715586.5A CN111884877B (zh) | 2020-07-23 | 2020-07-23 | 一种增强ipsec链路稳定性的有效网关检测机制的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010715586.5A CN111884877B (zh) | 2020-07-23 | 2020-07-23 | 一种增强ipsec链路稳定性的有效网关检测机制的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111884877A true CN111884877A (zh) | 2020-11-03 |
CN111884877B CN111884877B (zh) | 2022-02-15 |
Family
ID=73155352
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010715586.5A Active CN111884877B (zh) | 2020-07-23 | 2020-07-23 | 一种增强ipsec链路稳定性的有效网关检测机制的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111884877B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115378838A (zh) * | 2022-08-24 | 2022-11-22 | 深圳市共进电子股份有限公司 | 测试路由器IPsec的方法、装置、介质及系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1716943A (zh) * | 2004-06-28 | 2006-01-04 | 杭州华为三康技术有限公司 | 获取隧道网关环境中路径最大传输长度的方法及系统 |
CN1719813A (zh) * | 2004-07-09 | 2006-01-11 | 威达电股份有限公司 | 具ssl保护功能的安全网关及方法 |
CN102946333A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
CN103475655A (zh) * | 2013-09-06 | 2013-12-25 | 瑞斯康达科技发展股份有限公司 | 一种实现IPSecVPN主备链路动态切换的方法 |
CN103716196A (zh) * | 2012-09-28 | 2014-04-09 | 杭州华三通信技术有限公司 | 一种网络设备及探测方法 |
WO2018183943A1 (en) * | 2017-03-30 | 2018-10-04 | Ncore Communications, Inc. | Methods and apparatus for initializing a secure network connection |
CN109600277A (zh) * | 2018-12-05 | 2019-04-09 | 杭州迪普科技股份有限公司 | 基于NAT设备的IPSec隧道保活方法和装置 |
-
2020
- 2020-07-23 CN CN202010715586.5A patent/CN111884877B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1716943A (zh) * | 2004-06-28 | 2006-01-04 | 杭州华为三康技术有限公司 | 获取隧道网关环境中路径最大传输长度的方法及系统 |
CN1719813A (zh) * | 2004-07-09 | 2006-01-11 | 威达电股份有限公司 | 具ssl保护功能的安全网关及方法 |
CN103716196A (zh) * | 2012-09-28 | 2014-04-09 | 杭州华三通信技术有限公司 | 一种网络设备及探测方法 |
CN102946333A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
CN103475655A (zh) * | 2013-09-06 | 2013-12-25 | 瑞斯康达科技发展股份有限公司 | 一种实现IPSecVPN主备链路动态切换的方法 |
WO2018183943A1 (en) * | 2017-03-30 | 2018-10-04 | Ncore Communications, Inc. | Methods and apparatus for initializing a secure network connection |
CN109600277A (zh) * | 2018-12-05 | 2019-04-09 | 杭州迪普科技股份有限公司 | 基于NAT设备的IPSec隧道保活方法和装置 |
Non-Patent Citations (1)
Title |
---|
林丹生: "《工业控制系统VPN网关的双机热备功能设计》", 《计算机技术与自动化》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115378838A (zh) * | 2022-08-24 | 2022-11-22 | 深圳市共进电子股份有限公司 | 测试路由器IPsec的方法、装置、介质及系统 |
CN115378838B (zh) * | 2022-08-24 | 2024-02-09 | 深圳市共进电子股份有限公司 | 测试路由器IPsec的方法、装置、介质及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN111884877B (zh) | 2022-02-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9923984B2 (en) | Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) message loop detection and mitigation | |
CN108551446B (zh) | 防攻击的syn报文处理方法、装置、防火墙及存储介质 | |
Wing et al. | Port control protocol (PCP) | |
US7472416B2 (en) | Preventing network reset denial of service attacks using embedded authentication information | |
US6961336B2 (en) | Contacting a computing device outside a local network | |
US8086732B1 (en) | Method and apparatus for rate limiting client requests | |
CN111212096B (zh) | 一种降低idc防御成本的方法、装置、存储介质和计算机 | |
CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
US10917289B2 (en) | Handling network failures in networks with redundant servers | |
KR101430032B1 (ko) | 물리적 전송 매체의 인터럽션 경우에 있어서 tcp 데이터 전송 프로세스를 향상시키는 방법 | |
US20210344687A1 (en) | Detecting covertly stored payloads of data within a network | |
CN112468518A (zh) | 访问数据处理方法、装置、存储介质及计算机设备 | |
US11689543B2 (en) | System and method for detecting transmission of a covert payload of data | |
CN110784464A (zh) | 泛洪攻击的客户端验证方法、装置、系统及电子设备 | |
CN111884877B (zh) | 一种增强ipsec链路稳定性的有效网关检测机制的方法 | |
CN108769016B (zh) | 一种业务报文的处理方法及装置 | |
US7203961B1 (en) | Preventing network reset denial of service attacks | |
US9300642B2 (en) | Restarting network reachability protocol sessions based on transport layer authentication | |
US7565694B2 (en) | Method and apparatus for preventing network reset attacks | |
US11055166B2 (en) | Covertly storing a payload of data within a network | |
Syed et al. | Analysis of Dynamic Host Control Protocol Implementation to Assess DoS Attacks | |
CN111654451A (zh) | 报文防重放方法及电子设备 | |
JP5925287B1 (ja) | 情報処理装置、方法およびプログラム | |
JP2008141398A (ja) | 中継装置および中継装置の制御方法 | |
JP2004120498A (ja) | 違法トラヒック防止システムおよびサーバおよびエッジルータ |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |