WO2014153989A1

WO2014153989A1 - 一种防止dpd探测失败导致ipsec隧道震荡的方法

Info

Publication number: WO2014153989A1
Application number: PCT/CN2013/089245
Authority: WO
Inventors: 陈海滨
Original assignee: 汉柏科技有限公司
Priority date: 2013-03-26
Filing date: 2013-12-12
Publication date: 2014-10-02
Also published as: CN103227777B; CN103227777A

Abstract

本发明提供一种防止dpd探测失败导致ipsec隧道震荡的方法，当所述 ipsec对等体连续发送多个dpd探测报文后仍没有收到对端ipsec对等体的dpd 响应探测报文时，继续判断是否有与该ipsec对等体的ike sa原地址和目的地址相同的ike sa，若没有，则删除该ipsec对等体的ike sa，若有，则不删除与该ipsec对等体的ike sa原地址和目的地址相同的ike sa其对应的ipsec sa；本发明使得在ipsec对等体同时触发ike协商时，通过优化dpd的探测方式来减少因ipsec隧道的错误删除而导致的ipsec隧道震荡的问题。

Description

一种防止 dpd探测失败导致 i p_{S ec}隧道震荡的方法技术领域

本发明涉及计算机网络领域，特别涉及一种防止 dpd探测失败导致 ipsec

背景技术

Ipsec隧道包括协议报文和数据报文两种，其中，协议报文是由主机报文处理的 ike报文； sa是 Ipsec对等体间对某些要素的约定， Ipsec可以通过 ike协商建立 sa。所述 ike协商在建立 sa时分为两个阶段：第一协商阶段和第二协商阶段；所述第一协商阶段用于生成对所述协议报文进行加密的密钥，即 ike sa; 所述第二协商阶段用于生成对所述数据报文加密的密钥，即 ipsec sa, 且在第二协商阶段协商成功后发送数据报文。

但是，网络上由于报文重传等原因会导致 ipsec对等体同时触发 ike协商，如防火墙 a和防火墙 b在所述第一协商阶段同时发送请求协商报文，从而生成了原地址和目的地址完全相同的两对 ike sa, 举例说明场景：

fw a fw b

Ike sa al ike sa bl

Ike sa a2 ike sa b2

如上所述，这两条 ike sa如果都是完整的状态，则没有任何问题，如果协商过程中只有一对儿 ike sa协商成功，则协商成功的 ike sa继续进行所述第二协商阶段，以生成 ipsec sa; 而另一对儿 ike sa协商失败，且协商失败的所述 ike sa 的一端已经协商完毕，具体场景如下：

Ike sa al ike sa bl

Ike sa a2

协商失败的 ike sa—端已经协商完毕（即 ike sa a2存在），另一端由于协议报文丟包导致没有协商成功而没有此 ike sa时（即相应的 ike sa b2不存在），此时 ike sa a2发送 dpd报文，而对端没有对应的 ike sa b2来回应所述 dpd报文，则 fw a就会删除本端 dpd报文所对应的 ike sa, 同时删除原地址和目的地址与该 ike sa相同的 ipsec sa, 从而出现 ipsec随道震荡。

基于此，现有技术确实有待于改善。发明内容

针对现有技术的不足，本发明提供一种防止 dpd探测失败导致 ipsec隧道震荡的方法，使得在 ipsec对等体同时触发 ike协商时，减少因 ipsec隧道的错误删除而导致的 ipsec隧道震荡的问题。

为实现以上目的，本发明通过以下技术方案予以实现：

本发明提供一种防止 dpd探测失败导致 ipsec隧道震荡的方法，包括以下步骤：

51、两端 ipsec对等体同时触发 ike协商，并完成 ike sa的协商；

52、所述 ipsec对等体连续发送多个 dpd探测报文，并在预设周期内，判断该 ipsec对等体是否收到对端 ipsec对等体的 dpd响应探测报文，若是，则继续完成 ipsec sa的协商；若不是，则执行步骤 S3;

53、判断是否有与该 ipsec对等体的 ike sa原地址和目的地址相同的 ike sa, 若没有，则删除该 ipsec对等体的 ike sa, 若有，则不删除与该 ipsec对等体的 ike sa原地址和目的地址相同的 ike sa其对应的 ipsec sa。

优选的，所述步骤 S2进一步包括：

所述 ipsec对等体连续发送多个带有 cookie的 dpd探测报文，并在预设周期内，判断该 ipsec对等体是否收到对端 ipsec对等体的 dpd响应探测报文。

优选的，所述步骤 S2进一步包括：所述 ipsec对等体连续发送 5个带有 cookie的 dpd探测报文。

优选的，所述步骤 S1进一步包括：

两端 ipsec对等体同时触发 ike协商，并通过野蛮模式完成 ike sa的协商。本发明提供一种防止 dpd探测失败导致 ipsec隧道震荡的方法，使得在 ipsec 对等体同时触发 ike协商时，通过优化 dpd的探测方式来减少因 ipsec隧道的错误删除而导致的 ipsec隧道震荡的问题。附图说明图 1 为本发明一实施例的流程图。具体实施方式

下面对于本发明所提出的一种防止 dpd探测失败导致 ipsec隧道震荡的方法，结合附图和实施例详细说明。

在现有技术中，当所述 ipsec对等体发送给所述对端 ipsec对等体 dpd报文时，所述对端 ipsec对等体如果找不到 dpd报文中相同 cookie的 ike sa, 则说明此 dpd报文不能处理，则直接丟弃，当所述 ipsec对等体连续发送 5个 dpd报文仍然没有回应 dpd报文时，说明此链路已经异常就会删除本端 dpd对应的 ike sa, 同时也删除原地址和目的地址与此 ike sa相同的 ipsec sa, 这将导致 ipsec隧道震荡。

如图 1所示，本发明提供一种防止 dpd探测失败导致 ipsec隧道震荡的方法，包括以下步骤：

51、两端 ipsec对等体同时触发 ike协商，并完成 ike sa的协商；

53、判断是否有与该 ipsec对等体的 ike sa原地址和目的地址相同的 ike sa, 若没有，则删除该 ipsec对等体的 ike sa, 若有，则说明有备用隧道，那么不删除与该 ipsec对等体的 ike sa原地址和目的地址相同的 ike sa其对应的 ipsec sa。

优选的，所述步骤 S2进一步包括：

所述 ipsec对等体连续发送多个带有 cookie的 dpd探测报文，并在预设周期内，判断该 ipsec对等体是否收到对端 ipsec对等体的 dpd响应探测报文；即每个 dpd报文带着对应于 ike sa唯一的一对 cookie,也就是每对儿 ike sa的 cookie都不一样。

优选的，所述步骤 S1进一步包括：两端 ipsec对等体同时触发 ike协商，并通过野蛮模式完成 ike sa的协商。本发明提供一种防止 dpd探测失败导致 ipsec隧道震荡的方法，使得在 ipsec 对等体同时触发 ike协商时，通过优化 dpd的探测方式来减少因 ipsec隧道的错误删除而导致的 ipsec隧道震荡的问题。

以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。工业实用性

本发明提供一种防止 dpd探测失败导致 ipsec隧道震荡的方法，使得在 ipsec对等体同时触发 ike协商时，通过优化 dpd的探测方式来减少因 ipsec 隧道的错误删除而导致的 ipsec隧道震荡的问题。

Claims

权利要求书

1、一种防止 dpd探测失败导致 ipsec隧道震荡的方法，其特征在于，包括以下步骤：

51、两端 ipsec对等体同时触发 ike协商，并完成 ike sa的协商；

2、如权利要求 1所述的方法，其特征在于，所述步骤 S2进一步包括：所述 ipsec对等体连续发送多个带有 cookie的 dpd探测报文，并在预设周期内，判断该 ipsec对等体是否收到对端 ipsec对等体的 dpd响应探测报文。

3、如权利要求 2所述的方法，其特征在于，所述步骤 S2进一步包括：所述 ipsec对等体连续发送 5个带有 cookie的 dpd探测报文。

4、如权利要求 1-3任一项所述的方法，其特征在于，所述步骤 S1进一步包括：

两端 ipsec对等体同时触发 ike协商，并通过野蛮模式完成 ike sa的协商。