CN115865652A - 一种ipsec网络的配置方法和装置 - Google Patents
一种ipsec网络的配置方法和装置 Download PDFInfo
- Publication number
- CN115865652A CN115865652A CN202211435491.3A CN202211435491A CN115865652A CN 115865652 A CN115865652 A CN 115865652A CN 202211435491 A CN202211435491 A CN 202211435491A CN 115865652 A CN115865652 A CN 115865652A
- Authority
- CN
- China
- Prior art keywords
- ipsec
- update message
- value
- bgp
- spi
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 239000000284 extract Substances 0.000 claims abstract description 6
- 238000005538 encapsulation Methods 0.000 claims description 14
- 230000001960 triggered effect Effects 0.000 claims description 5
- 230000000977 initiatory effect Effects 0.000 claims 1
- 230000032683 aging Effects 0.000 abstract description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000003111 delayed effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种IPSEC网络的配置方法和装置,涉及通信网络技术领域。该IPSEC网络的配置方法,利用BGP的扩展团体属性填充IPSEC值的方法,由于BGP协议基于TCP连接建立,TCP连接可靠且能保证数据顺序,故采用BGP的自定义扩展团体属性,IPSEC Client端根据Update报文的前6字节的填充值,提取IPSEC参数信息,通知IPSEC模块自动下发对应的IPSEC配置参数,以及下发接口的IPSEC策略使能,触发IPSEC隧道的建立,来实现CPE端IPSEC配置自动下发,并且通过Update报文的后4字节的填充值,可以避免SA老化过程中丢包的问题。
Description
技术领域
本发明涉及通信网络技术领域,具体为一种IPSEC网络的配置方法和装置。
背景技术
在SDWAN网络中,为保证数据传输的安全性,常采用IPSEC,即Internet协议安全性对数据报文进行加密,其中IPSEC隧道的建立,仍需手工对CPE下发IPSEC参数配置,IPSEC隧道的建立又涉及两个IKE协商阶段,建立IPSEC隧道的两端,即VCPE和CPE,有任一参数不一致,就会在IPSEC的IKE第一阶段交换过程或IKE第二阶段的交换过程协商失败,为了防止交换过程协商失败需要层层删除IPSEC参数配置、重新下发各项嵌套的参数。
但是当组网中IPSEC隧道较多时,会导致配置工作量巨大,过程繁琐,耗时耗力,并且当IPSEC隧道建起来后,由于到达一定的流量阈值或时间阈值后,IPSEC的SA会进行重协商,在这个过程中,可能会出现一方已更新SA,使用新的SA加密,但另一端由于重协商的IPSEC SA报文在网络中延迟,还使用老的SA,导致双方SA不一致,报文无法解密而丢弃的问题。
发明内容
解决的技术问题
针对现有技术的不足,本发明提供了一种IPSEC网络的配置方法和装置,解决了CPE端IPSEC配置不能自动下发且SA老化过程中会丢包的问题。
技术方案
为实现以上目的,本发明通过以下技术方案予以实现:一种IPSEC网络的配置方法,包括以下步骤:
第一步、Server端将IPSEC配置参数信息,并发送BGP的Update报文到IPSECClient端;
第二步、判断是否开启BGP自定义扩展功能,若否,则不触发BGP模块发送Update报文,手工下发IPSEC参数;
若是,则根据BGP的Update报文自定义扩展团体属性VALUE值的前六字节下发IPSEC参数并建立IPSEC隧道;
第三步、依据Update报文中自定义扩展团体属性VALUE值的后四字节,判断新SPI和旧SPI值是否一致,若一致,则Server端和Client端使用新的SPI加密数据报文。
进一步地,所述第二步中依据VALUE值的前六字节下发IPSEC参数并建立IPSEC隧道具体包括以下步骤:
S1、Server端按照两个阶段的IKE算法参数组合,将对应的标记值填写至BGP的Update报文自定义团体属性中的VALUE字段前六字节;
S2、Client端收到Update报文,根据BGP扩展团体属性中的标记值,提取IPSEC参数信息,通知IPSEC模块下发对应的IPSEC配置参数以及IPSEC策略使能;
S3、触发IPSEC模块进行两个阶段的协商,即建立IPSEC隧道。
进一步地,所述S1中的两个阶段包括第一阶段IKE安全协议和第二阶段IKE安全协议,所述第一阶段IKE安全协议和第二阶段IKE安全协议均具有不同的协商参数;
所述第一阶段IKE安全协议中的协商参数包括认证算法类型、DH组、加密算法类型、完整性算法类型、随机函数算法类型、SA生存周期,IKE版本;
所述第二阶段IKE安全协议中的协商参数包括封装模式,安全协议,认证算法和加密算法。
进一步地,所述S1中预设的参数组合不多于64种,所述预设的参数组合统一用对应的二进制数值标记。
进一步地,其中一种所述预设的参数组合为IKE第一阶段协商参数中认证算法类型为md5,DH Group组为group12,加密算法类型为3des,完整性算法类型为aes-xcbc-96,随机函数算法为aes-xcbc-128,SA生存周期为36000s,IKE版本为V1;
IKE第二阶段协商参数中封装模式为tunnel,安全协议为ESP封装,ESP认证算法sha1,esp加密算法3des;
标记上述组合为000000。
进一步地,所述第三步中解决IPsec SA老化时丢包具体包括以下步骤:
S1、判断Client端的IPSEC SA是否达到流量阈值的2/3或时间阈值的2/3时;
若是,主动发起IPSEC重协商,协商出新的SA,但仍然使用旧的SA加密报文;
S2、Client端将协商出SPI值填充至Update报文中VALUE值的后4字节,并发送Update报文传递给Server端;
S3、Server端收到Update报文后,判断报文中携带的SPI是否和本端新建的IPSECSA中对端的SPI一致;
若是,Server端将本端的SPI值填写至Update报文中自定义团体属性VALUE值的后四字节,发送给Client端,同时Server设备使用新的SPI加密数据报文;
S4、Client端收到Server端发来的Update报文后,使用新的SPI加密数据报文。
进一步地,所述自定义扩展团体属性存放于长度可变的Path Attributes,所述Path Attributes由Attr.TYPE,Attr.Length和Attr.Value三部分组成;
所述Attr.TYPE包括由Attr.Flags,Attr.Type Code两部分组成。
进一步地,所述Attr.Flags高四位由O、T、P和E组成,高四位均设置为1,低四位发送时均设置为0,接收时忽略。
进一步地,所述Attr.Length值填充为10。
一种IPSEC网络的配置装置,包括参数配置模块,第一执行模块和第二执行模块,其中:
参数配置模块,用于将IPSEC配置参数信息,并发送BGP的Update报文到IPSECClient端;
第一执行模块,用于确定是否开启BGP自定义扩展功能,若否,则不触发BGP模块发送Update报文;
若是,根据BGP的Update报文自定义扩展团体属性VALUE值的前六字节下发IPSEC参数并建立IPSEC隧道;
第二执行模块,用于依据Update报文中自定义扩展团体属性VALUE值的后四字节,判断新SPI和旧SPI值是否一致,若一致,则Server端和Client端使用新的SPI加密数据报文。
有益效果
本发明具有以下有益效果:
利用BGP的扩展团体属性填充IPSEC值的方法,由于BGP协议基于TCP连接建立,TCP连接可靠且能保证数据顺序,故采用BGP的自定义扩展团体属性,IPSEC Client端根据Update报文的前6字节的填充值,提取IPSEC参数信息,通知IPSEC模块自动下发对应的IPSEC配置参数,以及下发接口的IPSEC策略使能,触发IPSEC隧道的建立,来实现CPE端IPSEC配置自动下发,并且通过Update报文的后4字节的填充值,可以避免SA老化过程中丢包的问题。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
图1为本发明Client端IPSEC配置自动下发的流程图;
图2为本发明避免IPSEC SA老化丢包的流程图;
图3为本发明BGP Update报文格式图;
图4为本发明BGP Update中自定义团体属性格式图;
图5为本发明自定义团体属性Attr.Flags字段的设置示意图;
图6为本发明自定义团体属性Attr.values字段的填充示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要理解的是,术语“开孔”、“上”、“下”、“厚度”、“顶”、“中”、“长度”、“内”、“四周”等指示方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的组件或元件必须具有特定的方位,以特定的方位构造和操作,因此不能理解为对本发明的限制。
请参阅图1-图6,本发明实施例提供一种技术方案:一种IPSEC网络的配置方法,包括以下步骤:
第一步、Server端将IPSEC配置参数信息,并发送BGP的Update报文到IPSECClient端;
第二步、判断是否开启BGP自定义扩展功能,若否,不触发BGP模块发送Update报文;
若是,则根据BGP的Update报文自定义扩展团体属性VALUE值的前六字节下发IPSEC参数并建立IPSEC隧道;
第三步、依据Update报文中自定义扩展团体属性VALUE值的后四字节,判断新SPI和旧SPI值是否一致,若一致,则Server端和Client端使用新的SPI加密数据报文。
具体地,所述第二步中依据VALUE值的前六字节下发IPSEC参数并建立IPSEC隧道具体包括以下步骤:
S1、Server端按照两个阶段的IKE算法参数组合,将对应的标记值填写至BGP的Update报文自定义团体属性中的VALUE字段前六字节;
S2、Client端收到Update报文,根据BGP扩展团体属性中的标记值,提取IPSEC参数信息,通知IPSEC模块下发对应的IPSEC配置参数以及IPSEC策略使能;
S3、触发IPSEC模块进行两个阶段的协商,即建立IPSEC隧道。
本实施方案中,Server端将IPSEC配置参数信息,在开启BGP自定义扩展功能的情况下,Server端发送BGP Update报文到IPSEC Client端。IPSEC Client端根据Update报文的前6字节的填充值,提取IPSEC参数信息,通知IPSEC模块自动下发对应的IPSEC配置参数,以及下发接口的IPSEC策略使能,触发IPSEC隧道的建立,通过这种方式,无需手动填写IPSEC两个协商阶段的IPSEC参数,从而使IPSEC隧道的建立更加高效、便捷,从而可以解决配置工作量巨大,过程繁琐,耗时耗力的问题。
具体地,所述S1中的两个阶段包括第一阶段IKE安全协议和第二阶段IKE安全协议,所述第一阶段IKE安全协议和第二阶段IKE安全协议均具有不同的协商参数;
所述第一阶段IKE安全协议中的协商参数包括认证算法类型、DH组、加密算法类型、完整性算法类型、随机函数算法类型、SA生存周期,IKE版本;
所述第二阶段IKE安全协议中的协商参数包括封装模式,安全协议,认证算法和加密算法。
本实施方案中,建立IPSEC隧道的两端(即VCPE和CPE),有任一参数不一致,就会在IPSEC的IKE第一阶段交换过程或IKE第二阶段的交换过程协商失败,其中第一阶段IKE安全协议(IKE proposal)中:有认证算法类型、DH组、加密算法类型、完整性算法类型、随机函数算法类型、SA生存周期,IKE版本;第二阶段IKE安全协议(IPsec proposal)有封装模式(隧道模式或ACL提取),安全协议(ESP或AH),认证算法和加密算法,这些参数会在Server端进行配置参数信息。
具体地,所述S1中预设的参数组合不多于64种,所述预设的参数组合统一用对应的二进制数值标记;
其中一种所述预设的参数组合为IKE第一阶段协商参数中认证算法类型为md5,DHGroup组为group12,加密算法类型为3des,完整性算法类型为aes-xcbc-96,随机函数算法为aes-xcbc-128,SA生存周期为36000s,IKE版本为V1;
IKE第二阶段协商参数中封装模式为tunnel,安全协议为ESP封装,ESP认证算法sha1,esp加密算法3des;
标记上述组合为000000。
本实施方案中,Server端和Client端预先协商出常用的几种IPSEC配置参数组合,最多可达2^6=64种,并统一用对应的二进制数值标记,也即范围000000-111111,例如IKE第一阶段协商参数中认证算法(authentication-algorithm)类型为md5,DH Group组为group12,加密算法(encryption-algorithm)类型为3des,完整性算法(integrity-algorithm)类型为aes-xcbc-96,随机函数算法(prf)为aes-xcbc-128,SA生存周期(duration)为36000s,IKE版本为V1;IKE第二阶段协商参数(IPsec proposal)中封装模式为tunnel,安全协议为ESP封装,ESP认证算法sha1,esp加密算法3des;标记上述组合为000000。
具体地,所述第三步中解决IPsec SA老化时丢包具体包括以下步骤:
S1、判断Client端的IPSEC SA是否达到流量阈值的2/3或时间阈值的2/3时;
若是,主动发起IPSEC重协商,协商出新的SA,但仍然使用旧的SA加密报文;
S2、Client端将协商出SPI值填充至Update报文中VALUE值的后4字节,并发送Update报文传递给Server端;
S3、Server端收到Update报文后,判断报文中携带的SPI是否和本端新建的IPSECSA中对端的SPI一致;
若是,Server端将本端的SPI值填写至Update报文中自定义团体属性VALUE值的后四字节,发送给Client端,同时Server设备使用新的SPI加密数据报文;
S4、Client端收到Server端发来的Update报文后,使用新的SPI加密数据报文;
本实施方案中,当IPSEC隧道建起来后,由于到达一定的流量阈值或时间阈值后,IPSEC的SA会进行重协商,在这个过程中,可能会出现一方已更新SA,使用新的SA加密,但另一端由于重协商的IPSEC SA报文在网络中延迟,还使用老的SA,导致双方SA不一致,报文无法解密而丢弃的问题,通过上述的步骤,Client端填充将协商出SPI值填写至Update报文中VALUE值的后4字节,并发送Update报文传递给Server端,在报文中携带的SPI和本端新建的IPSEC SA中对端的SPI一致的情况下,Server端将本端的SPI值填写至Update报文中自定义团体属性VALUE值的后四字节,发送给Client端,同时Server设备使用新的SPI加密数据报文,Client端收到Server端发来的Update报文后,使用新的SPI加密数据报文,从而可以避免SA老化过程中丢包的问题。
具体地,所述自定义扩展团体属性存放于长度可变的Path Attributes,所述PathAttributes由Attr.TYPE,Attr.Length和Attr.Value三部分组成;
所述Attr.TYPE包括由Attr.Flags,Attr.Type Code两部分组成;
所述Attr.Flags高四位由O、T、P和E组成,高四位均设置为1,低四位发送时均设置为0,接收时忽略;
所述Attr.Length值填充为10。
本实施方案中,BGP的update报文字段如图3所示,其中octets表示一个8位阻,自定义扩展团体属性存放于长度可变的Path Attributes之中;
如图4所示,Path Attributes由3部分组成:Attr.TYPE、Attr.Length和Attr.Value,其中Attr.TYPE包括Attr.Flags和Attr.Type Code;
如图5所示,Attr.Flags的高4位由O,T,P,E位组成:
O:Optional bit,属性的可选性,决定属性是否为必携带属性,自定义扩展属性设为1。
T:Transitive bit属性的可传递性。当启动自动配置下发属性时,设为1,
P:Partial bit属性的局部性,设为1,
E:Extended Length bit决定该属性的长度的字段(即Attr.Length)是否需要扩展,由于标记值为6字节,SPI值为4字节,本发明需要的VALUE值为10字节,故设为1,
U:Unused bits低4位没有使用,发送时全设为0,接收时忽略;
低4位未使用,发送时全设为0,接收时忽略。
如图6,其中Attr.Value的前6字节用来传递IPSEC参数信息。后4字节作为本端设备协商的IPSEC SA的SPI值,SPI即Security Parameter Index,安全参数索引,是32位的安全参数索引,用于标识具有相同IP地址和相同安全协议的SA,每一对IPSEC隧道都会有一对SPI,本端的本地SPI和对端的远端SPI相同,对端的本地SPI和本端的远端SPI相同。
一种IPSEC网络的配置装置,包括参数配置模块,第一执行模块和第二执行模块,其中:
参数配置模块,用于将IPSEC配置参数信息,并发送BGP的Update报文到IPSECClient端;
第一执行模块,用于确定是否开启BGP自定义扩展功能,若否,则不触发BGP模块发送Update报文;
若是,则根据BGP的Update报文自定义扩展团体属性VALUE值的前六字节下发IPSEC参数并建立IPSEC隧道;
第二执行模块,用于依据Update报文中自定义扩展团体属性VALUE值的后四字节,判断新SPI和旧SPI值是否一致,若一致,则Server端和Client端使用新的SPI加密数据报文。
本实施方案中,参数配置模块在Server端将IPSEC配置参数信息,之后第一执行模块先确定是否开启BGP自定义扩展功能,若否,不触发BGP模块发送Update报文,手工下发IPSEC参数;若是,根据BGP的Update报文自定义扩展团体属性VALUE值的前六字节下发IPSEC参数并建立IPSEC隧道,从而解决手工配置工作量巨大,过程繁琐,耗时耗力;
最后第二执行模块依据Update报文中自定义扩展团体属性VALUE值的后四字节解决IPsec SA老化时丢包。
在SDWAN网络中,为保证数据传输的安全性,常采用IPSEC(Internet协议安全性)对数据报文进行加密。而IPSEC隧道的建立,仍需手工对CPE(传统的用户侧设备)下发IPSEC参数配置,配置工作量巨大,过程繁琐,耗时耗力,利用BGP的扩展团体属性填充IPSEC值的方法,可以解决配置工作量巨大,过程繁琐,耗时耗力的问题。
Server端和Client端预先协商出常用的几种IPSEC配置参数组合,最多可达2^6=64种,并统一用对应的二进制数值(范围000000-111111)标记,例如:IKE第一阶段协商参数中认证算法(authentication-algorithm)类型为md5,DH Group组为group12,加密算法(encryption-algorithm)类型为3des,完整性算法(integrity-algorithm)类型为aes-xcbc-96,随机函数算法(prf)为aes-xcbc-128,SA生存周期(duration)为36000s,IKE版本为V1;IKE第二阶段协商参数(IPsec proposal)中封装模式为tunnel,安全协议为ESP封装,ESP认证算法sha1,esp加密算法3des;标记上述组合为000000;
如图1所示,先确认是否启用BGP自定义扩展属性IPSEC值的开关,如果不启用,就不会触发BGP模块发送Update报文,手工下发IPSEC参数;如果启用BGP自定义扩展属性IPSEC值的开关,Server端将本端下发的IPSEC配置参数组合对应的标记值填写至BGP的Update报文的自定义扩展团体属性1中VALUE值的前6字节,此时未进行IPSEC协商,故后4字节不填写。Server端发送BGP Update报文到IPSEC Client端。IPSEC Client端根据Update报文的标记值,提取IPSEC参数信息,通知IPSEC模块下发对应的IPSEC配置参数,以及下发接口的IPSEC策略使能,触发IPSEC隧道的建立。在这种系统方法装置中无需手动填写IPSEC两个协商阶段的IPSEC参数,从而使IPSEC隧道的建立更加高效、便捷;
如图2所示,当Client端的IPSEC SA达到流量阈值的2/3或时间阈值的2/3时,会主动发起IPSEC重协商,协商出新的SA,此阶段仍然使用旧的SA加密报文;之后Client端填充将协商出SPI值填写至Update报文中VALUE值的后4字节,并发送Update报文传递给Server端,在Server端收到Update报文后,判断报文中携带的SPI是否和本端新建的IPSEC SA中对端的SPI一致;
如果一致,Server端将本端的SPI值填写至Update报文中自定义团体属性VALUE值的后四字节,发送给Client端,同时Server设备使用新的SPI加密数据报文,最后Client端收到Server端发来的Update报文后,使用新的SPI加密数据报文,从而可以解决IPsec SA老化时丢包的问题。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
Claims (10)
1.一种IPSEC网络的配置方法,其特征在于:包括以下步骤:
第一步、Server端将IPSEC配置参数信息,并发送BGP的Update报文到IPSEC Client端;
第二步、判断是否开启BGP自定义扩展功能,若否,则不触发BGP模块发送Update报文;
若是,则根据BGP的Update报文自定义扩展团体属性VALUE值的前六字节下发IPSEC参数并建立IPSEC隧道;
第三步、依据Update报文中自定义扩展团体属性VALUE值的后四字节,判断新SPI和旧SPI值是否一致,若一致,则Server端和Client端使用新的SPI加密数据报文。
2.根据权利要求1所述的一种IPSEC网络的配置方法,其特征在于:所述第二步中依据VALUE值的前六字节下发IPSEC参数并建立IPSEC隧道具体包括以下步骤:
S1、Server端按照的两个阶段的IKE算法参数组合,将对应的标记值填写至BGP的Update报文自定义团体属性中的VALUE字段前六字节;
S2、Client端收到Update报文,根据BGP扩展团体属性中的标记值,提取IPSEC参数信息,通知IPSEC模块下发对应的IPSEC配置参数以及IPSEC策略使能;
S3、触发IPSEC模块进行两个阶段的协商,即建立IPSEC隧道。
3.根据权利要求2所述的一种IPSEC网络的配置方法,其特征在于:所述S1中的两个阶段包括第一阶段IKE安全协议和第二阶段IKE安全协议,所述第一阶段IKE安全协议和第二阶段IKE安全协议均具有不同的协商参数;
所述第一阶段IKE安全协议中的协商参数包括认证算法类型、DH组、加密算法类型、完整性算法类型、随机函数算法类型、SA生存周期,IKE版本;
所述第二阶段IKE安全协议中的协商参数包括封装模式,安全协议,认证算法和加密算法。
4.根据权利要求2所述的一种IPSEC网络的配置方法,其特征在于:所述S1中预设的参数组合不多于64种,所述预设的参数组合统一用对应的二进制数值标记。
5.根据权利要求4所述的一种IPSEC网络的配置方法,其特征在于:其中一种所述预设的参数组合为IKE第一阶段协商参数中认证算法类型为md5,DH Group组为group12,加密算法类型为3des,完整性算法类型为aes-xcbc-96,随机函数算法为aes-xcbc-128,SA生存周期为36000s,IKE版本为V1;
IKE第二阶段协商参数中封装模式为tunnel,安全协议为ESP封装,ESP认证算法sha1,esp加密算法3des;
标记上述组合为000000。
6.根据权利要求1所述的一种IPSEC网络的配置方法,其特征在于:所述第三步中使用新的SPI加密数据报文的具体步骤包括:
S1、判断Client端的IPSEC SA是否达到流量阈值的2/3或时间阈值的2/3时;
若是,主动发起IPSEC重协商,协商出新的SA,但仍然使用旧的SA加密报文;
S2、Client端将协商出SPI值填充至Update报文中VALUE值的后4字节,并发送Update报文传递给Server端;
S3、Server端收到Update报文后,判断报文中携带的SPI是否和本端新建的IPSEC SA中对端的SPI一致;
若是,Server端将本端的SPI值填写至Update报文中自定义团体属性VALUE值的后四字节,发送给Client端,同时Server设备使用新的SPI加密数据报文;
S4、Client端收到Server端发来的Update报文后,使用新的SPI加密数据报文。
7.根据权利要求1所述的一种IPSEC网络的配置方法,其特征在于:所述自定义扩展团体属性存放于长度可变的Path Attributes,所述Path Attributes由Attr.TYPE,Attr.Length和Attr.Value三部分组成;
所述Attr.TYPE包括由Attr.Flags,Attr.Type Code两部分组成。
8.根据权利要求7所述的一种IPSEC网络的配置方法,其特征在于:所述Attr.Flags高四位由O、T、P和E组成,高四位均设置为1,低四位发送时均设置为0,接收时忽略。
9.根据权利要求7所述的一种IPSEC网络的配置方法,其特征在于:所述Attr.Length值填充为10。
10.一种IPSEC网络的配置装置,其特征在于:包括参数配置模块,第一执行模块和第二执行模块,其中:
参数配置模块,用于将IPSEC配置参数信息,并发送BGP的Update报文到IPSEC Client端;
第一执行模块,用于判断是否开启BGP自定义扩展功能,若否,则不触发BGP模块发送Update报文;
若是,则根据BGP的Update报文自定义扩展团体属性VALUE值的前六字节下发IPSEC参数并建立IPSEC隧道;
第二执行模块,用于依据Update报文中自定义扩展团体属性VALUE值的后四字节,判断SPI值是否一致,若一致,则使用新的SPI加密数据报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211435491.3A CN115865652A (zh) | 2022-11-16 | 2022-11-16 | 一种ipsec网络的配置方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211435491.3A CN115865652A (zh) | 2022-11-16 | 2022-11-16 | 一种ipsec网络的配置方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115865652A true CN115865652A (zh) | 2023-03-28 |
Family
ID=85663728
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211435491.3A Pending CN115865652A (zh) | 2022-11-16 | 2022-11-16 | 一种ipsec网络的配置方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115865652A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7751405B1 (en) * | 2007-09-26 | 2010-07-06 | Juniper Networks, Inc. | Automatic configuration of label switched path tunnels using BGP attributes |
| US20130031271A1 (en) * | 2011-07-28 | 2013-01-31 | Juniper Networks, Inc. | Virtual private networking with mobile communication continuity |
| WO2014082656A1 (en) * | 2012-11-27 | 2014-06-05 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and routers for connectivity setup between provider edge routers |
| WO2021155389A2 (en) * | 2020-05-15 | 2021-08-05 | Futurewei Technologies, Inc. | Internet protocol security (ipsec) simplification in border gateway protocol (bgp)-controlled software-defined wide area networks (sd-wans) |
| CN113261248A (zh) * | 2018-10-19 | 2021-08-13 | 华为技术有限公司 | 安全sd-wan端口信息分发 |
-
2022
- 2022-11-16 CN CN202211435491.3A patent/CN115865652A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7751405B1 (en) * | 2007-09-26 | 2010-07-06 | Juniper Networks, Inc. | Automatic configuration of label switched path tunnels using BGP attributes |
| US20130031271A1 (en) * | 2011-07-28 | 2013-01-31 | Juniper Networks, Inc. | Virtual private networking with mobile communication continuity |
| WO2014082656A1 (en) * | 2012-11-27 | 2014-06-05 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and routers for connectivity setup between provider edge routers |
| CN113261248A (zh) * | 2018-10-19 | 2021-08-13 | 华为技术有限公司 | 安全sd-wan端口信息分发 |
| WO2021155389A2 (en) * | 2020-05-15 | 2021-08-05 | Futurewei Technologies, Inc. | Internet protocol security (ipsec) simplification in border gateway protocol (bgp)-controlled software-defined wide area networks (sd-wans) |
Non-Patent Citations (1)
| Title |
|---|
| 侯海燕: "IPSEC隧道技术在BGP/MPLS VPN中的研究与应用", 《通信技术》, vol. 49, no. 12, 31 December 2016 (2016-12-31), pages 1654 - 1658 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2728893C1 (ru) | Способ реализации безопасности, устройство и система | |
| US11006316B2 (en) | Header compression for ethernet frame | |
| CN102447690B (zh) | 一种密钥管理方法与网络设备 | |
| US20040081151A1 (en) | Method and system for early header compression | |
| WO2013170376A1 (en) | Tls abbreviated session identifier protocol | |
| CN107370751B (zh) | 一种在智能设备通信中会话密钥更新方法 | |
| CN111614463B (zh) | 一种基于IPsec封装功能的密钥更新方法及装置 | |
| US11388145B2 (en) | Tunneling data traffic and signaling over secure etls over wireless local area networks | |
| WO2010083671A1 (zh) | 一种网络安全的http协商的方法及其相关装置 | |
| CN104022867B (zh) | 一种issu软重启预处理方法及设备 | |
| CN108964985B (zh) | 一种使用协议报文的虚拟客户终端设备的管理方法 | |
| CN111614796B (zh) | 使用手工密钥配置IPsec隧道穿越NAT的方法及装置 | |
| CN107683615B (zh) | 保护twag和ue之间的wlcp消息交换的方法、装置和存储介质 | |
| CN102480429A (zh) | 报文处理方法、装置和系统 | |
| CN115865652A (zh) | 一种ipsec网络的配置方法和装置 | |
| CN102868522B (zh) | 一种ike协商异常的处理方法 | |
| CN101540983B (zh) | 一种移动网络中计费的方法 | |
| US20030237003A1 (en) | Method and apparatus for recovering from the failure or reset of an IKE node | |
| CN115225313B (zh) | 一种高可靠的云网络虚拟专用网络通信方法和装置 | |
| CN105516970B (zh) | 一种wifi认证方法及智能路由器、上网系统 | |
| US12133113B2 (en) | Base station header compression and decompression | |
| CN106792654A (zh) | 一种用户终端信息的获取方法及系统 | |
| JP4805185B2 (ja) | ゲートウェイ装置およびセッション管理方法 | |
| CN112910893A (zh) | 一种防止IPsec SA老化后丢包的方法、装置、设备及存储介质 | |
| CN112733175A (zh) | 一种基于esp协议的数据加密方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |