专利名称:一种ipsec状态恢复方法
技术领域:
本发明涉及计算机网络技术领域,特别涉及一种ipsec状态恢复方法。
背景技术:
防火墙是用来保护网络 中计算机安全的重要设备,一旦防火墙发生故障,会给政府、企业造成不小的损失,为了解决防火墙单点故障引起的整个网络瘫痪问题,业内工作者提出了两台防火墙实时热备的功能,即防火墙e为主防火墙,防火墙f为备防火墙;如图2所示,在步骤A中,主防火墙e和远端防火墙g建立ipsec隧道,数据通过该ipsec隧道进行传输;在步骤B中,当主防火墙e异常后,主防火墙e和备防火墙f进行主备防火墙的切换,此时主防火墙e变成了备防火墙e,备防火墙f变成了主防火墙f,所有数据流都被切换到主防火墙f上;在步骤C中,远端防火墙g并不知道对端异常,仍然发送加密的esp或ah报文给主防火墙f,由于现有的设备大部分不支持ipsec隧道状态同步,则此时主防火墙f接收到加密的esp或ah报文后,发现没有对应的ipsec隧道进行报文解密,就会丢弃此报文;在步骤D中,远端防火墙g只有通过长时间的dpd探测或keepalive探测才能发现对端异常,删除本端ipsec隧道,与主防火墙f重新建立ipsec隧道;而等待dpd探测或keepalive探测需要较长的时间,整个防火墙系统在此期间处于瘫痪状态,导致网络数据断流的时间较长,因此,现有技术确有待于提闻。
发明内容
针对现有技术存在的不足,本发明提出了一种主备防火墙切换后的ipsec状态快速恢复的方法,并通过以下的技术方案予以实现一种ipsec状态恢复方法,包括以下步骤SI :主防火墙a与远端防火墙c建立ipsec隧道;S2 :如果主防火墙a异常,主防火墙a和备防火墙b进行主备防火墙的变换,主防火墙a变换为备防火墙a,备防火墙b变换为主防火墙b ;S3 :主防火墙b接收加密报文,如果主防火墙b的ipsec隧道状态不同步,则执行步骤S4,如果主防火墙b的ipsec隧道状态同步,则结束;S4 :主防火墙b发起反向ike协商,与远端防火墙c建立ipsec隧道。所述步骤S4中,主防火墙b根据所述加密报文的目的地址找到相应的ipsec隧道属性配置,建立由主防火墙b到远端防火墙c的ipsec隧道。所述步骤S4进一步包括设置ipsec隧道的生存时间。所述步骤S4进一步包括在主防火墙b发起反向ike协商之前,判断已启动时间长度是否超出所述ipsec隧道的生存时间若是,则主防火墙b发起反向ike协商;若不是,则主防火墙b将接收到的加密报文直接丢弃;其中,所述已启动时间长度是指从主备防火墙切换到主防火墙b接收到第一个加密报文的时间段。所述步骤S4中,远端防火墙c与主防火墙b建立新的ipsec隧道后,直接将与主防火墙a建立的ipsec隧道丢弃。在本发明中,当主防火墙a和备防火墙b切换后,新的主防火墙b接收到没有对应的ipsec隧道能够解密的esp或ah报文时,根据接收到的加密报文的目的地址发起反向ike协商来建立ipsec隧道,解决了现有技术中单纯的靠keepalive或dpd来感知对端异常的问题,且无需像dpd或keepalive那样等待,能够减少断流的时间。
图I为本发明的流程图;图2为现有技术的流程图。
具体实施例方式下面对于本发明所提出的一种ipsec状态恢复方法,结合附图和实施例详细说 明。实施例I :本发明提供一种ipsec状态恢复方法,包括以下步骤SI :主防火墙a与远端防火墙c建立ipsec隧道;S2 :如果主防火墙a异常,主防火墙a和备防火墙b进行主备防火墙的变换,主防火墙a变换为备防火墙a,备防火墙b变换为主防火墙b ;S3 :主防火墙b接收加密报文,如果主防火墙b的ipsec隧道状态不同步,则执行步骤S4,如果主防火墙b的ipsec隧道状态同步,则结束;S4 :主防火墙b发起反向ike协商,与远端防火墙c建立ipsec隧道。所述步骤S4中,主防火墙b根据所述加密报文的目的地址找到相应的ipsec隧道属性配置,建立由主防火墙b到远端防火墙c的ipsec隧道。所述步骤S4进一步包括设置ipsec隧道的生存时间。所述步骤S4进一步包括在主防火墙b发起反向ike协商之前,判断已启动时间长度是否超出所述ipsec隧道的生存时间若是,则主防火墙b发起反向ike协商;若不是,则主防火墙b将接收到的加密报文直接丢弃;其中,所述已启动时间长度是指从主备防火墙切换到主防火墙b接收到第一个加密报文的时间段。所述步骤S4中,远端防火墙c与主防火墙b建立新的ipsec隧道后,直接将与主防火墙a建立的ipsec隧道丢弃。实施例2 本实施例提供一种ipsec状态恢复方法,更详细的说明ipsec状态是如何恢复的。如图I所示,在初始情况下,主防火墙a与远端防火墙c建立ipsec隧道,数据通过主防火墙a和远端防火墙c建立的ipsec隧道进行传输;当主防火墙a异常后,主防火墙a和备防火墙b进行主备防火墙的切换,此时主防火墙a变成了备防火墙,备防火墙b变成了主防火墙,所有数据流都被切换到新的主防火墙b上。远端防火墙c并不知道对端异常,仍然发送加密的esp或ah报文给主防火墙b,由于现有的设备大部分不支持ipsec隧道状态同步,例如cisco设备就不支持隧道状态同步,主防火墙b接收到加密的esp或ah报文后,发现没有对应的ipsec隧道进行报文解密,主防火墙b根据接收到的加密报文的目的地址找到相应的ipsec隧道属性配置,建立由主防火墙b到远端防火墙c的隧道,在该过程中,需设置ipsec隧道的生存时间;并且在主防火墙b发起反向ike协商之前,判断已启动时间长度是否超出所述ipsec隧道的生存时间若是,则主防火墙b发起反向ike协商;若不是,则主防火墙b将接收到的加密报文直接丢弃;其中,所述已启动时间长度是指从主备防火墙切换到主防火墙b接收到第一个加密报文的时间段。远端防火墙c接收到ike协商后,建立起新的ipsec隧道,并直接废弃之前主防火墙a与远端防火墙c建立的ipsec隧道,通过新的主防火墙b与远端防火墙c建立的隧道进行数据的传送。在未发生主备防火墙切换的情况下,主防火墙a接收到的esp或ah报文,或当已启动时间长度超出所述ipsec隧道的生存时间,备防火墙a接收到的esp或ah报文,均因为无法找到相应的ipsec隧道进行解密,而被认为是异常无效报文直接丢弃。由以上实施例可以看出,在本发明中,当主防火墙a和备防火墙b切换后,新的主 防火墙b接收到没有对应的ipsec隧道能够解密的esp或ah报文时,根据接收到的加密报文的目的地址发起反向ike协商来建立ipsec隧道,解决了现有技术中单纯的靠keepalive或dpd来感知对端异常的问题,且无需像dpd或keepalive那样等待,能够减少断流的时间。以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
权利要求
1.一种ipsec状态恢复方法,其特征在于,包括以下步骤 51:主防火墙a与远端防火墙c建立ipsec隧道; 52:如果主防火墙a异常,主防火墙a和备防火墙b进行主备防火墙的变换,主防火墙a变换为备防火墙a,备防火墙b变换为主防火墙b ; 53:主防火墙b接收加密报文,如果主防火墙b的ipsec隧道状态不同步,则执行步骤S4,如果主防火墙b的ipsec隧道状态同步,则结束; 54:主防火墙b发起反向ike协商,与远端防火墙c建立ipsec隧道。
2.如权利要求I所述的方法,其特征在于,所述步骤S4中,主防火墙b根据所述加密报文的目的地址找到相应的ipsec隧道属性配置,建立由主防火墙b到远端防火墙c的ipsec隧道。
3.如权利要求I所述的方法,其特征在于,所述步骤S4进一步包括设置ipsec隧道的生存时间。
4.如权利要求3所述的方法,其特征在于,所述步骤S4进一步包括在主防火墙b发起反向ike协商之前,判断已启动时间长度是否超出所述ipsec隧道的生存时间若是,则主防火墙b发起反向ike协商;若不是,则主防火墙b将接收到的加密报文直接丢弃; 其中,所述已启动时间长度是指从主备防火墙切换到主防火墙b接收到第一个加密报文的时间段。
5.如权利要求I所述的方法,其特征在于,所述步骤S4中,远端防火墙c与主防火墙b建立新的ipsec隧道后,直接将与主防火墙a建立的ipsec隧道丢弃。
全文摘要
本发明提供一种ipsec状态恢复方法,包括以下步骤S1主防火墙a与远端防火墙c建立ipsec隧道;S2如果主防火墙a异常,主防火墙a和备防火墙b进行主备防火墙的变换,主防火墙a变换为备防火墙a,备防火墙b变换为主防火墙b;S3主防火墙b接收加密报文,如果主防火墙b的ipsec隧道状态不同步,则执行步骤S4,如果主防火墙b的ipsec隧道状态同步,则结束;S4主防火墙b发起反向ike协商,与远端防火墙c建立ipsec隧道;本发明解决了现有技术中单纯的靠keepalive或dpd来感知对端异常的问题,且无需像dpd或keepalive那样等待,能够减少断流的时间。
文档编号H04L29/06GK102891766SQ20121036155
公开日2013年1月23日 申请日期2012年9月25日 优先权日2012年9月25日
发明者陈海滨 申请人:汉柏科技有限公司