一種網(wǎng)絡(luò)設(shè)備及探測方法
【專利摘要】本申請?zhí)峁┮环N網(wǎng)絡(luò)設(shè)備�,用于作為IPsec對等體時探測對端對等體是否正常,所述網(wǎng)絡(luò)設(shè)備通過發(fā)送包括探測標(biāo)志的IPsec?SA探測報文發(fā)送給對端IPsec對等體���。接收并解析對端IPsec對等體返回的IPsec?SA響應(yīng)報文后���,確認對端對等體的IPsec?SA正常,本申請同時提供確認對方對等體的IPsec是否正常的探測方法。
【專利說明】一種網(wǎng)絡(luò)設(shè)備及探測方法
【技術(shù)領(lǐng)域】
[0001]本申請涉及三層隧道加密協(xié)議IPsec���,尤其是涉及IPsec SA探測的技術(shù)。
【背景技術(shù)】
[0002]IPsec (IP Security)是IETF制定的三層隧道加密協(xié)議�����,它為Internet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的��、可互操作的���、基于密碼學(xué)的安全保證�����,是一種傳統(tǒng)的實現(xiàn)三層VPN(Virtual Private Network,虛擬專用網(wǎng)絡(luò))的安全技術(shù)���。特定的通信方之間通過建立IPsec隧道來傳輸用戶的私有數(shù)據(jù),并在IP層提供了以下安全服務(wù):
[0003].數(shù)據(jù)機密性(Confidentiality):IPsec發(fā)送方在通過網(wǎng)絡(luò)傳輸包前對包進行加
[0004].數(shù)據(jù)完整性(Data Integrity):1Psec接收方對發(fā)送方發(fā)送來的包進行認證���,以確保數(shù)據(jù)在傳輸過程中沒有被篡改�����。
[0005].數(shù)據(jù)來源認證(Data Authentication):1Psec在接收端可以認證發(fā)送IPsec報文的發(fā)送端是否合法��。
[0006].防重放(Ant1-R印lay):IPsec接收方可檢測并拒絕接收過時或重復(fù)的報文����。
[0007]IPsec提供了兩種安全機制:認證和加密。認證機制使IP通信的數(shù)據(jù)接收方能夠確認數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭篡改���。加密機制通過對數(shù)據(jù)進行加密運算來保證數(shù)據(jù)的機密性�,以防數(shù)據(jù)在傳輸過程中被竊聽��。
[0008]IPsec在兩個端點之間提供安全通信���,端點被稱為IPsec對等體���。SA是通信對等體間對某些要素的約定,例如����,使用哪種協(xié)議(AH、ESP還是兩者結(jié)合使用)���、協(xié)議的封裝模式(傳輸模式和隧道模式)���、加密算法���、特定流中保護數(shù)據(jù)的共享密鑰以及密鑰的生存周期等。IPsec可通過IKE協(xié)商建立SA��。
[0009]IKE使用了兩個階段為IPsec進行密鑰協(xié)商并建立SA:
[0010](1)第一階段��,通信各方彼此間建立了一個已通過身份認證和安全保護的通道����,即建立一個ISAKMP SA,例如主模式(Main Mode)和野蠻模式(Aggressive Mode)兩種IKE交換方法����。
[0011](2)第二階段,用在第一階段建立的安全隧道為IPsec協(xié)商安全服務(wù)��,即為IPsec協(xié)商具體的SA,建立用于最終的IP數(shù)據(jù)安全傳輸?shù)腎Psec SA��。
[0012]IPsec是一種對等體到對等體的技術(shù),要在IPsec對等體之間建立IPsec會話,它們之間必須有IP連接性����,由于路由選擇問題、對等體重啟等原因�����,對等體之前可能失去了IP連接性,IKE和IPsec通常都無法感知這一點���,在生命周期到來之前����,對等體之間的IKE和IPsec SA將一直存在��,IPsec會話的中斷將引發(fā)“黑洞”����,導(dǎo)致數(shù)據(jù)流丟失,對等體需要盡快發(fā)現(xiàn)這個“黑洞”����,主要原因在于會話的一方繼續(xù)往不可達的對等體的數(shù)據(jù)流進行加密操作,這將大大浪費寶貴的CPU資源�,其次,由于無法檢測到對等體的故障�����,備用對等體也無法激活��。
[0013]DPD (Dead Peer Detection)通過檢測與 IPsec SA 對應(yīng)的 IKE SA 的狀態(tài),來確定IPsec SA的狀態(tài)���。主動探測方發(fā)送R-U-THERE消息���,被探測方收到該消息后,回應(yīng)R-U-THER-ACK消息�,主動探測方收到該報文后,認為對端在線����。這兩條消息都是ISAKMP的宣告負載�,都是使用IKE SA加密的。
[0014]DPD探測不一定精確��,由于DH)報文是使用IKE SA保護的���,如果對端IKE SA不存在�,但是IPsec SA存在��,DH)探測會失敗����。
【發(fā)明內(nèi)容】
[0015]有鑒于此�,本申請?zhí)峁┮环N網(wǎng)絡(luò)設(shè)備����,用于作為IPsec對等體時探測對端對等體是否正常,所述網(wǎng)絡(luò)設(shè)備包括封裝模塊�、發(fā)送模塊和接收模塊,所述封裝模塊用于將包括有探測標(biāo)志的報文封裝成IPsec SA探測報文����,所述發(fā)送模塊用于將包括探測標(biāo)志的IPsec SA探測報文發(fā)送給對端IPsec對等體使對端對等體返回響應(yīng)報文,所述接收模塊用于接收并解析對端IPsec對等體返回的IPsec SA響應(yīng)報文后�,確認對端對等體IPsec SA正常。所述計數(shù)模塊用于在所述發(fā)送模塊發(fā)送包括探測標(biāo)志的IPsec SA探測報文時開始計時��,如果計時到期后依然沒有收到對端對等體的回復(fù)時����,通知發(fā)送模塊重新發(fā)送所述探測報文,并啟動重傳計數(shù)�,如果重傳超過預(yù)定次數(shù),則認為對端對等體IPsec不存在��。
[0016]基于同樣的發(fā)明思想��,本申請?zhí)峁┯忠环N網(wǎng)絡(luò)設(shè)備�����,用于響應(yīng)對端對等體發(fā)送的包括探測標(biāo)志的IPsec SA探測報文,所述網(wǎng)絡(luò)設(shè)備包括解析模塊和封裝模塊���,所述解析模塊用于解封裝收到的IPsec SA報文��,判斷如果所述報文包括探測標(biāo)志�����,則確認收到報文為探測報文���,判斷如果所述報文不包括探測標(biāo)志,則確認收到的報文為IPsec SA數(shù)據(jù)報文��,封裝模塊用于將解析后的IPsec SA探測報文重新封裝成響應(yīng)消息發(fā)送給探測方���。
[0017]基于同樣的發(fā)明思想,本申請還提供一種探測方法�,用于檢測對端IPsec對等體IPsec是否正常,所述方法包括:
[0018]A IPsec對等體將包括探測標(biāo)志報文封裝成的IPsec SA探測報文;
[0019]B將包括探測標(biāo)志的IPsec SA探測報文發(fā)送給對端IPsec對等體使其返回響應(yīng)報文���;
[0020]C接收并解析對端IPsec對等體返回IPsec SA響應(yīng)報文��;
[0021]D在發(fā)送包括探測標(biāo)志的IPsec SA探測報文時開始計時�����,如果計時到期后依然沒有收到對端對等體的回復(fù)時��,返回步驟C重新發(fā)送所述探測報文����,并啟動重傳計數(shù),如果重傳超過預(yù)定次數(shù)����,則認為對端對等體不存在。
[0022]基于同樣的發(fā)明思想����,本申請還提供一種探測方法,用于響應(yīng)對端對等體發(fā)送的包括探測標(biāo)志的IPsec SA探測報文����,所述方法包括:
[0023]A解封裝收到的IPsec SA報文,判斷如果所述報文包括探測標(biāo)志���,則確認收到報文為探測報文�,執(zhí)行步驟B ;判斷如果所述報文不包括探測標(biāo)志,則確認收到的報文為IPsec SA數(shù)據(jù)報文���,執(zhí)行步驟C;
[0024]B將解析后的IPsec SA探測報文重新封裝成響應(yīng)消息發(fā)送給探測方�;
[0025]C進行正常的解密處理�。
[0026]通過本申請的設(shè)計,可以通過發(fā)送經(jīng)特殊處理的IPsec SA探測報文來檢測對端對等體的IPsec是否正常��,該技術(shù)方案對于報文的改動小����,設(shè)備兼容性好?����!緦@綀D】
【附圖說明】
[0027]圖1是本申請?zhí)峁┑囊环N網(wǎng)絡(luò)設(shè)備圖�。
[0028]圖2是本申請?zhí)峁┑牧硪环N網(wǎng)絡(luò)設(shè)備圖。
[0029]圖3是本申請?zhí)峁┑囊环N實施方法流程圖�。
[0030]圖4是本申請?zhí)峁┑挠忠环N實施方法流程圖�����。
[0031]圖5是本申請一種實施例在AH傳輸模式下的報文封裝示意圖����。
[0032]圖6是本申請?zhí)峁┮环N實施例時使用的報文格式圖��。
[0033]圖7是本申請一種實施例在AH隧道模式下的報文封裝示意圖�����。
[0034]圖8是本申請又一種實施例在AH傳輸模式下的報文封裝示意圖�����。
[0035]圖9是本申請又一種實施例在ESP隧道模式下的報文封裝示意圖����。
【具體實施方式】
[0036]本申請?zhí)峁┮环N網(wǎng)絡(luò)設(shè)備��,用于作為IPsec對等體時探測對端對等體IPsec是否正常�����,如圖1所示���,所述網(wǎng)絡(luò)設(shè)備包括封裝模塊�����、發(fā)送模塊����、接收模塊、計數(shù)模塊���,所述封裝模塊用于將包括有探測標(biāo)志的報文封裝成IPsec SA探測報文���,其中,所述探測報文的載荷內(nèi)容可以為經(jīng)IPsecSA加密認證操作的序列號����,該序列號的作用是可以進一步使對等體確認收到的IPsec SA報文為響 應(yīng)報文,提高確認對端對等體IPsec SA存活的可靠性�,在實際使用中,所述探測報文的載荷也可以為任意內(nèi)容��,只要本端對等體收到響應(yīng)報文后���,可以確認所述響應(yīng)報文的載荷內(nèi)容為經(jīng)過與本端IPsec SA對應(yīng)的IPsec SA加密且本端可以正常解密�����,即可以確定對端對等體的IPsec SA能夠正常工作����,這里的確認IPsec SA是否對應(yīng)是根據(jù)收到的響應(yīng)報文頭部中相關(guān)字段即可確認��,此為現(xiàn)有技術(shù)����,在此不多作贅述;所述探測標(biāo)志為預(yù)先配置或者經(jīng)雙方協(xié)商確定���;所述發(fā)送模塊用于將包括探測標(biāo)志的IPsec SA探測報文發(fā)送給對端IPsec對等體使其回復(fù)響應(yīng)報文��,所述接收模塊用于接收并解析對端IPsec對等體返回的IPsec SA響應(yīng)報文后�����,確認對端對等體IPsec SA正常��,其中�����,所述響應(yīng)報文的載荷可以為與發(fā)送報文相同的序列號����,這樣便于發(fā)送探測報文的對等體方便的判斷收到的IPsec SA報文為對端對等體響應(yīng)的報文,當(dāng)然也可以為對端對等體任意生成的序列號或者其他任意內(nèi)容�,只要為對應(yīng)的IPsec SA加密的IPsec SA報文,收到后本端可以正常解密即可證明對端對等體是IPsec SA正常存活的����;所述計數(shù)模塊用于在所述發(fā)送模塊發(fā)送包括探測標(biāo)志的IPsec SA探測報文時開始計時,如果計時到期后依然沒有收到對端對等體的回復(fù)時���,通知發(fā)送模塊重新發(fā)送所述探測報文����,并啟動重傳計數(shù)��,如果重傳超過預(yù)定次數(shù)�����,則認為對端對等體不存在�。
[0037]其中,上述IPsec SA探測報文是IPsec SA加密數(shù)據(jù)報文���,在IPsec/IKE的組網(wǎng)環(huán)境中���,正常情況下����,IKE SA用來維護控制通道�,例如發(fā)送通知消息等����,IPsec SA用來維護數(shù)據(jù)通道,例如加解密數(shù)據(jù)報文等����,而本申請使用IPsecSA報文來完成探測的目的,也就是使用數(shù)據(jù)通道來實現(xiàn)控制消息的功能�,這種做法可以更加精確的判斷IPsec SA是否存在。
[0038]在本申請?zhí)峁┑囊粋€實施例中��,所述探測報文的載荷內(nèi)容是隨機產(chǎn)生的序列號�����,該序列號使用IPsec SA執(zhí)行加密認證操作發(fā)送給對端���,對端解析該報文�����,可以選擇將報文中的序列號加密后回填到響應(yīng)報文的載荷中����,也可以選擇隨機生成新的序列號加密后填寫到響應(yīng)報文的載荷中,作為響應(yīng)消息發(fā)給主動探測方�����,便可以使探測方知曉��,所述報文為探測報文的響應(yīng)報文���,從而實現(xiàn)確認對端對等體認存活的目的���。
[0039]考慮到網(wǎng)絡(luò)實時狀況的因素,一段時間內(nèi)���,如果探測方在沒有收到被探測方的回應(yīng)時��,可以重傳探測報文��,當(dāng)重傳次數(shù)達到上限時(例如3次)���,認為對端IPsecSA不存在�����,本地可以刪除該IPsec SA���。
[0040]請參考圖2����,從探測響應(yīng)的角度來看,本發(fā)明的網(wǎng)絡(luò)設(shè)備還可用于響應(yīng)對端對等體發(fā)送的包括探測標(biāo)志的IPsec SA探測報文�����,所述網(wǎng)絡(luò)設(shè)備包括解析模塊和封裝模塊��,這里的封裝模塊與圖1中的封裝模塊可以設(shè)計在一起�����,從軟件角度來說可以是一個功能模塊在收發(fā)兩個方向上的不同處理����。所述解析模塊用于解封裝收到的IPsec SA報文�����,判斷如果所述報文包括探測標(biāo)志��,則確認收到報文為探測報文�,判斷如果所述報文不包括探測標(biāo)志�,則確認收到的報文為IPsec SA數(shù)據(jù)報文,封裝模塊用于將解析后的IPsec SA探測報文重新封裝成響應(yīng)消息發(fā)送給探測方�����,本申請還提供一種網(wǎng)絡(luò)設(shè)備��,用于接收對端對等體發(fā)送的包括探測標(biāo)志的IPsec SA探測報文�����,所述網(wǎng)絡(luò)設(shè)備包括解析模塊和封裝模塊���,所述解析模塊用于解封裝收到的IPsec SA報文��,根據(jù)其包括探測標(biāo)志確認收到報文為探測報文�����,封裝模塊用于將解析后的IPsec SA探測報文重新封裝成響應(yīng)消息發(fā)送給探測方����,其中,所述響應(yīng)報文的載荷內(nèi)容為經(jīng)與探測報文對應(yīng)的IPsecSA加密認證操作的序列號�����,所述序列號可以與探測報文的序列號一致�����,也可以為任意生成的新的序列號����,當(dāng)然����,所述載荷內(nèi)容也可以為任意的內(nèi)容。
[0041]本申請?zhí)峁┮环N方法��,利用包括有探測標(biāo)志的IPsecSA探測報文來檢測對端對等體IPsec是否正常����,如圖3所示�����,該方法包括:
[0042]步驟11�,IPsec對等體將包括探測標(biāo)志報文封裝成的IPsecSA探測報文�����,所述報文的載荷內(nèi)容是經(jīng)IPsec SA執(zhí)行加密認證操作序列號���。此步驟由封裝模塊執(zhí)行���。
[0043]步驟13,將包括探測標(biāo)志的IPsec SA探測報文發(fā)送給對端IPsec對等體����。此步驟由發(fā)送模塊執(zhí)行。
[0044]步驟15,接收并解析對端IPsec對等體返回的包括探測標(biāo)志的IPsec SA探測報文后�����,確認對端對等體IPsec SA正常���。此步驟由接收模塊執(zhí)行��。
[0045]步驟17���,在發(fā)送包括探測標(biāo)志的IPsec SA探測報文時開始計時�����,如果計時到期后依然沒有收到對端對等體的回復(fù)時�����,返回步驟15重新發(fā)送所述探測報文����,并啟動重傳計數(shù)���,如果重傳超過預(yù)定次數(shù),則認為對端對等體不存在���。此步驟由計時模塊執(zhí)行��。
[0046]以上描述的是探測報文的發(fā)送過程�����,請參考圖4從響應(yīng)對端對等體發(fā)送的包括探測標(biāo)志的IPsec SA探測報文來看��,所述方法則可以進一步包括:
[0047]步驟21解封裝收到的IPsec SA報文�����,判斷如果所述報文包括探測標(biāo)志����,則確認收到報文為探測報文,執(zhí)行步驟23 ;判斷如果所述報文不包括探測標(biāo)志���,則確認收到的報文為IPsec SA數(shù)據(jù)報文��,執(zhí)行步驟25 ;此步驟由解析模塊執(zhí)行��。
[0048]步驟23將解析后的IPsec SA探測報文重新封裝成響應(yīng)消息發(fā)送給探測方���;此步驟由封裝模塊執(zhí)行。
[0049]步驟25進行正常的解密處理����。
[0050]其中��,所述響應(yīng)報文的載荷內(nèi)容是經(jīng)過與探測報文對應(yīng)的IPsec SA執(zhí)行加密認證的序列號����,所述序列號可以與探測報文的序列號一致��,也可以為任意生成的新的序列號���,當(dāng)然��,所述載荷內(nèi)容也可以為任意的內(nèi)容���。[0051]在實際使用中,IPsec有兩種工作模式�,一種方式是傳輸(transport)模式,在該方式下��,只是傳輸層數(shù)據(jù)被用來計算AH或ESP頭���,AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP包頭后面��。通常,傳輸模式應(yīng)用在兩臺主機之間的通訊�����,或一臺主機和一個安全網(wǎng)關(guān)之間的通訊。另一種是隧道(tunnel)模式���,在該模式下����,用戶的整個IP數(shù)據(jù)包被用來計算AH或ESP頭�,AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中。通常���,隧道模式應(yīng)用在兩個安全網(wǎng)關(guān)之間的通訊�����。
[0052]本申請?zhí)峁┮环N實施方式���,在此實施例中,經(jīng)兩端對等體協(xié)商確定用于標(biāo)識探測報文的探測標(biāo)志為特定的協(xié)議號��,如圖5所示�����,封裝前報文格式為IPlHdr+Inner Data,其中該Inner Data的協(xié)議號為255�,這個協(xié)議號為特定的號碼,為預(yù)先配置或者經(jīng)過雙方對等體協(xié)商后確定�����,不會和已經(jīng)分配的協(xié)議號沖突����,實現(xiàn)過程中,可以采用任意一個特定的協(xié)議號來替代這里的協(xié)議號255���,使用協(xié)議號255僅為示例性說明�����。
[0053]以傳輸模式AH封裝為例��,經(jīng)過IPsec加封裝的處理后��,報文結(jié)構(gòu)如圖6所示:IPlHdr+AH頭+Inner Data����,其中��,IPlHdr的協(xié)議字段為51���,標(biāo)識下一個協(xié)議類型為AH�����,IP頭的源地址和目的地址就是協(xié)商出的IPsec SA的隧道起始點與終結(jié)點地址�����,AH中的下一個頭字段(Next Header)為特定協(xié)議號255��,標(biāo)識AH封裝的數(shù)據(jù)為IPsec SA探測數(shù)據(jù)�����,InnerData內(nèi)容為序列號�。IPsec對等體將包括特定的協(xié)議號的報文按照AH封裝模式封裝好后發(fā)送給對端對等體���。
[0054]對端IPsec對等體即被探測方收到該報文后���,在IPsec SA能夠正常工作的情況下,將進入IPsec解封裝流程�����,獲取原始報文IP lHdr+Inner Data后,獲取IP上層數(shù)據(jù)對應(yīng)的協(xié)議號255�,表明該數(shù)據(jù)為IPsec SA探測數(shù)據(jù),解析數(shù)據(jù)字段獲取序列號后����,重新封裝成IPsec SA響應(yīng)報文,將所述序列號回填�,構(gòu)造回應(yīng)的Inner Data,發(fā)往探測方。
[0055]如果協(xié)商的IPsec SA為隧道模式�����,處理方式和傳輸模式類似��,IPsec封裝后的報文格式如圖7所示:
[0056]IP2Hdr+AH 頭 +IPlHdr 頭 +Inner Data
[0057]其中���,IP2Hdr為外層IP頭�,源目的地址分別為隧道起始點以及終結(jié)點的地址���,IPlHdr為內(nèi)層IP頭���,其源地址和目的地址符合IPsec SA保護的流信息的范圍即可��,內(nèi)層IPlHdr的下一個協(xié)議號為255����。
[0058]在正常情況下���,發(fā)送報文從對等體的接口上發(fā)送報文,該接口上如果配置了 IPsec策略(策略中就包括ACL)�����,如果報文五元組信息和配置的ACL匹配����,就會做IPsec封裝,而本申請構(gòu)造的報文是一個特殊的IPsec SA探測報文�����,繞過上面匹配ACL的過程��,直接走物理層發(fā)送��。
[0059]接收方收到報文后,根據(jù)三元組查找SA�����,進行解封裝�,解封裝完畢后,檢查協(xié)議號為255時�����,確認為對端發(fā)送的探測報文���,不能再匹配接口下的IPsec策略�����,將序列號回填����,封裝成IPsec SA響應(yīng)報文,直接走物理層發(fā)送,返回給對端對等體����。
[0060]本申請?zhí)峁┯忠环N實施方式,此實施例中���,經(jīng)兩端對等體協(xié)商后確定用來標(biāo)識探測報文的探測標(biāo)志為反填的IP地址��,以AH傳輸模式為例���,如圖8所示�����,封裝前IP報文為IPin IP的報文�,IP2Hdr中源目的地址為協(xié)商出的IPsec SA的隧道起始點以及終結(jié)點地址���,IPlHdr中源目的地址為IP2Hdr中源目的地址的反填。所謂反填���,舉例來說����,如果IP2Hdr源地址為1.1.1.1��,目的地址為2.2.2.2����,那么IPlHdr中反填的結(jié)果為源地址為2.2.2.2,目的地址為1.1.1.1。
[0061]接收方收到該報文后���,進入解封裝流程��,查找到SA后����,由于是傳輸模式的SA����,只會去掉AH頭部,在去掉AH頭補之前�����,檢查AH頭下一個載荷類型是否為IP并且源目的地址為隧道兩網(wǎng)關(guān)地址的反填�,將獲取到的AH頭部后的兩個IP地址與IKE SA中對應(yīng)的網(wǎng)關(guān)地址做比較,如果正好相反��,就表明為地址反填����,則將IP2Hdr也去掉,恢復(fù)為內(nèi)層報文(IPlHdr+InnerData),由于地址反填了��,此時接收方判定該報文為探測報文,根據(jù)IPlHdr可以查找到回應(yīng)的路由是到發(fā)送方的����,所以,再將該數(shù)據(jù)(IPlHdr+InnerData)再次走加封裝轉(zhuǎn)發(fā)流程發(fā)送給發(fā)送方����,封裝后的報文中,兩個IP地址一致�,都是源目的地址為隧道兩網(wǎng)關(guān)的地址,發(fā)送方接收到IPlHdr+AHHdr+InnerData后��,執(zhí)行解封裝流程��,發(fā)現(xiàn)兩個IP地址都一樣����,可以確認為對端的響應(yīng)報文�,更新被探測SA的狀態(tài)為可用。
[0062]隧道模式下���,以ESP為例�����,如圖9所示�,其中,
[0063]IP2Hdr中源目的地址為協(xié)商出的IPsec SA的隧道起始點以及終結(jié)點地址����,IPlHdr中源目的地址為IP2Hdr中源目的地址的反填。
[0064]接收方收到該報文后����,進入解封裝流程,查找到SA后�,將IP2Hdr以及ESP Hdr砍掉,恢復(fù)為原始報文(IPlHdr+InnerData),由于地址反填了��,此時接收方判定該報文為探測報文��,根據(jù)IPlHdr可以查找到回應(yīng)的路由是到發(fā)送方的�����,所以���,再將該數(shù)據(jù)(IPlHdr+InnerData)再次走加封裝轉(zhuǎn)發(fā)流程發(fā)送給發(fā)送方���,其中�,IPlHdr和IP2Hdr的源地址都是被探測方網(wǎng)關(guān)地址��、目的地址為探測方網(wǎng)關(guān)地址��。
[0065]發(fā)送方接收到IP2Hdr+ESP Hdr+IPlHdr+InnerData+ESP Tail 后�,執(zhí)行解封裝流程,發(fā)現(xiàn)IPlHdr和IP2Hdr的源地址都是被探測方網(wǎng)關(guān)地址�、目的地址為探測方網(wǎng)關(guān)地址,可以確認該報文為對端的響應(yīng)報文�,更新被探測SA的狀態(tài)為可用。
[0066]通過本申請的設(shè)計�����,可以通過發(fā)送經(jīng)特殊處理的IPsec SA探測報文來檢測對端對等體的IPsec是否正常���,該技術(shù)方案對于報文的改動小��,設(shè)備兼容性好。
[0067]以上所述僅為本申請的較佳實施例而已�,并不用以限制本申請,凡在本申請的精神和原則之內(nèi)�����,所做的任何修改、等同替換���、改進等�����,均應(yīng)包括在本申請保護的范圍之內(nèi)����。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)設(shè)備�����,用于作為IPsec對等體時探測對端對等體是否正常����,其特征在于,所述網(wǎng)絡(luò)設(shè)備包括封裝模塊�、發(fā)送模塊和接收模塊,所述封裝模塊��,用于將包括探測標(biāo)志的報文封裝成IPsec SA探測報文����;所述發(fā)送模塊���,用于將包括探測標(biāo)志的IPsec SA探測報文發(fā)送給對端IPsec對等體使其返回響應(yīng)報文,所述接收模塊��,用于接收并解析對端IPsec對等體返回的IPsec SA響應(yīng)報文后���,確認對端對等體IPsec SA正常�。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備���,其特征在于�,進一步包括計數(shù)模塊�,所述計數(shù)模塊用于在所述發(fā)送模塊發(fā)送包括探測標(biāo)志的IPsec SA探測報文時開始計時,如果計時到期后依然沒有收到對端對等體的回復(fù)時�,通知發(fā)送模塊重新發(fā)送所述探測報文,并啟動重傳計數(shù)�����,如果重傳超過預(yù)定次數(shù)��,則認為對端對等體IPsec不存在�����。
3.如權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備�����,其特征在于�����,所述探測標(biāo)志為預(yù)先配置或者經(jīng)雙方對等體協(xié)商確定���。所述探測報文的載荷內(nèi)容為經(jīng)IPsec SA加密認證操作的序列號�����。
4.如權(quán)利要求1-3任一所述的網(wǎng)絡(luò)設(shè)備�����,其特征在于���,所述探測標(biāo)志用于標(biāo)識所述報文為探測報文,使收到報文的對端對等體返回響應(yīng)報文�,所述探測標(biāo)志為特定的協(xié)議號或者是反填的源IP地址和目的IP地址。
5.如權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備,其特征在于��,還包括解析模塊所述解析模塊用于解封裝從對端收到的IPsec SA報文�,并在該報文包括探測標(biāo)志時確認收到報文為探測報文,并在該報文不包括探測標(biāo)志確認收到的報文為IPsec SA數(shù)據(jù)報文�;所述封裝模塊用于將解析后的IPsec SA探測報文重新封裝成響應(yīng)發(fā)送給對端。
6.一種探測方法�,用于檢測對端IPsec對等體IPsec是否正常,其特征在于�,所述方法包括如下步驟:步驟A、IPsec對等體將包括探測標(biāo)志報文封裝成的IPsec SA探測報文��;步驟B����、將包括探測標(biāo)志的IPsec SA探測報文發(fā)送給對端IPsec對等體使其返回響應(yīng)報文;步驟C��、接收并解析對端IPsec對等體返回的IPsec SA響應(yīng)報文后�,確認對端對等體IPsec SA 正常。
7.如權(quán)利要求6所述的方法����,其特征在于,所述方法進一步包括:步驟D�����、在發(fā)送包括探測標(biāo)志的IPsec SA探測報文時開始計時,如果計時到期后依然沒有收到對端對等體的響應(yīng)報文時��,返回步驟C重新發(fā)送所述探測報文�����,并啟動重傳計數(shù)��,如果重傳超過預(yù)定次數(shù)��,則認為對端對等體不存在����。
8.如權(quán)利要求7所述的方法��,其特征在于�,所述探測標(biāo)志為預(yù)先配置或者經(jīng)雙方對等體協(xié)商確定,用于標(biāo)識所述報文為探測報文��;所述探測標(biāo)志為特定的協(xié)議號或者是反填的源IP地址和目的IP地址��。
9.如權(quán)利要求6所述的方法�,其特征在于��,所述方法還包括如下步驟:步驟E����、解封裝收到的IPsec SA報文���,判斷如果所述報文包括探測標(biāo)志���,則確認收到報文為探測報文,執(zhí)行步驟F ;判斷如果所述報文不包括探測標(biāo)志����,則確認收到的報文為IPsec SA數(shù)據(jù)報文,執(zhí)行步驟G;步驟F�����、將解析后的IPsec SA探測報文重新封裝成響應(yīng)消息發(fā)送給探測方�;步驟G、進行正常的解密處理��。
10.如權(quán)利要求9所述的方法��,其特征在于�����,所述響應(yīng)報文的載荷內(nèi)容是經(jīng)過與探測報文對應(yīng)的IPsec SA執(zhí) 行加密認證的序列號。
【文檔編號】H04L12/26GK103716196SQ201210372170
【公開日】2014年4月9日 申請日期:2012年9月28日 優(yōu)先權(quán)日:2012年9月28日
【發(fā)明者】楊超 申請人:杭州華三通信技術(shù)有限公司