互联网协议安全IPSec服务检测方法及装置与流程

本公开涉及计算机网络，尤其涉及一种ipsec服务检测方法及装置。

背景技术：

1、ipsec vpn是采用互联网协议安全(internetprotocol security，ipsec)实现远程接入的一种虚拟专用网络(virtual private network，vpn)技术，在公网上为两个私有网络提供安全通信通道，通过加密通道保证用户数据传输的安全性和稳定性。

2、负载均衡设备建立在现有的ipsec网络结构上，用于扩展网络设备、服务器带宽、增加吞吐量和加强网络数据处理能力，以及提高网络的灵活性和可用性。

3、相关技术中负载均衡设备在探测ipsec网关设备的状态是否异常时，通常根据ping命令探测或者根据某个端口的tcp探测来判断ipsec网关设备的状态，不能准备的探测ipsec网关设备的ipsec服务是否正常，会导致负载均衡设备无法准确判断ipsec网关设备的状态，误将ipsec协商报文发送到ipsec服务异常的网关设备上去，影响ipsec隧道数据传输的稳定性。

技术实现思路

1、有鉴于此，本公开实施例提供了一种互联网协议安全ipsec服务检测方法及装置，能够更准确的探测ipsec隧道进程是否正常，并且在ipsec隧道异常的情况下ipsec服务恢复后，负载均衡设备可以及时探测到并及时改变ipsec网关设备的数据转发规则，更智能的对ipsec隧道的报文进行转发，提高ipsec隧道的数据传输稳定性和传输效率。

2、第一方面，本公开实施例提供了一种互联网协议安全ipsec服务检测方法，采用如下技术方案：

3、检测是否在预设周期内接收到第一子网内第一设备发送的协商报文，所述协商报文表示所述第一设备在ipsec隧道协商进程启动后通过预先配置的ipsec服务探测开关发送的报文；

4、在预设周期内接收到所述协商报文的情况下，确认所述第一设备的ipsec服务正常，并将接收到的第二子网内第二设备的响应报文转发给所述第一设备；

5、在预设周期内未接收到所述协商报文的情况下，确定所述第一设备的ipsec服务异常，停止将接收到的所述第二设备的响应报文转发给所述第一设备。

6、在一些实施例中，所述方法还包括：

7、在所述第一设备的ipsec服务异常时，根据预设检测规则继续检测所述第一设备发送的协商报文；

8、当根据所述预设检测规则检测到所述第一设备发送的协商报文时，恢复将接收到的所述第二设备的响应报文转发给所述第一设备。

9、第二方面，本公开实施例还提供了一种互联网协议安全ipsec服务检测方法，采用如下技术方案：

10、接收并记录用户输入的配置信息；

11、当检测到用户针对应用按钮的触发操作时，第一设备根据所述配置信息向第二设备发起ipsec隧道协商；

12、通过预先配置的ipsec服务探测开关按照预设周期向负载均衡设备发送协商报文；

13、所述负载均衡设备根据是否在预设周期内接收到所述协商报文来确定ipsec服务是否异常。

14、在一些实施例中，所述方法还包括：

15、在所述ipsec服务正常的情况下，通过所述负载均衡设备接收所述第二设备的响应报文；

16、在所述ipsec服务异常的情况下，在间隔预设时间段后，通过所述ipsec服务探测开关继续向所述负载均衡设备发送所述协商报文。

17、在一些实施例中，通过预先配置的ipsec服务探测开关按照预设周期主动向所述负载均衡设备发送协商报文，包括：

18、根据所述配置信息确定所述第二设备，所述配置信息包括所述第一设备的第一ip地址、所述第二设备的第二ip地址和出接口信息；

19、采用第一阶段加密算法向所述第二设备发送第一阶段协商报文；

20、根据收到所述第二设备返回的第一阶段响应报文，确认所述ipsec隧道第一阶段协商成功，并采用第二阶段加密算法向所述第二设备发送第二阶段协商报文；

21、根据收到所述第二设备返回的第二阶段响应报文，确定所述ipsec隧道第二阶段协商成功，得到协商成功的所述ipsec隧道。

22、在一些实施例中，接收并记录用户输入的配置信息，包括：

23、接收并记录用户输入的针对所述ipsec服务探测开关的开关配置信息；其中，所述开关配置信息包括ipsec隧道名称、报文交互的协商参数、预共享密钥、第一阶段加密算法、第二阶段加密算法、本地子网的ip地址、对端子网的ip地址、isakmp sa和ipsec sa中的一项或者多项；

24、根据第一更新周期对所述isakmp sa进行更新，以及根据第二更新周期对所述ipsec sa进行更新；其中，所述第一更新周期和第二更新周期不相同。

25、第三方面，本公开实施例还提供了一种互联网协议安全ipsec服务检测装置，包括：

26、报文检测单元，被配置为检测是否在预设周期内接收到第一子网内第一设备发送的协商报文，所述协商报文表示所述第一设备在ipsec隧道协商进程启动后通过预先配置的ipsec服务探测开关发送的报文；

27、报文转发单元，被配置为在预设周期内接收到所述协商报文的情况下，确认所述第一设备的ipsec服务正常，并将接收到的第二子网内第二设备的响应报文转发给所述第一设备；

28、确定单元，被配置为在预设周期内未接收到所述协商报文的情况下，确定所述第一设备的ipsec服务异常，停止将接收到的所述第二设备的响应报文转发给所述第一设备。

29、第四方面，本公开实施例还提供了一种互联网协议安全ipsec服务检测装置，包括：

30、接收单元，被配置为接收并记录用户输入的配置信息；

31、协商单元，被配置为当检测到用户针对应用按钮的触发操作时，所述第一设备根据所述配置信息主动向第二设备发起ipsec隧道协商；

32、发送单元，被配置为通过预先配置的ipsec服务探测开关按照预设周期主动向负载均衡设备发送协商报文，以使所述负载均衡设备根据是否在预设周期内接收到所述协商报文来确定ipsec服务是否异常。

33、第五方面，本公开实施例还提供了一种电子设备，采用如下技术方案：

34、所述电子设备包括：

35、至少一个处理器；以及，

36、与所述至少一个处理器通信连接的存储器；其中，

37、所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行以上任一所述的互联网协议安全ipsec服务检测方法。

38、第六方面，本公开实施例还提供了一种计算机可读存储介质，该计算机可读存储介质存储计算机指令，该计算机指令用于使计算机执行以上任一所述的互联网协议安全ipsec服务检测方法。

39、本公开实施例提供的一种互联网协议安全ipsec服务检测方法及装置，通过在ipsec网络的第一设备中配置ipsec服务探测开关，第一设备在ipsec隧道协商进程启动后通过开启ipsec服务探测开关定期发送协商报文，负载均衡设备通过检测是否接收到协商报文来判断第一设备的ipsec服务是否异常，在ipsec服务正常的情况下负载均衡设备正常转发第一设备和第二设备之间的报文，在ipsec服务异常的情况下负载均衡设备停止转发第一设备和第二设备之间的报文。

40、本公开实施例通过ipsec服务探测开关可以在ipsec隧道进程异常的情况下，也可以准确的判断第一设备的ipsec服务是否异常，并且在ipsec服务恢复后，负载均衡设备可以及时探测到并及时改变ipsec网关设备的数据转发规则，更智能的对ipsec隧道的报文进行转发，提高ipsec隧道的数据传输稳定性和传输效率。

41、上述说明仅是本公开技术方案的概述，为了能更清楚了解本公开的技术手段，而可依照说明书的内容予以实施，并且为让本公开的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图，详细说明如下。