IPSecVPN的安全联盟的更新方法、装置、电子设备及存储介质与流程

本技术涉及网络安全，具体而言，涉及一种ipsec vpn的安全联盟的更新方法、装置、电子设备及计算机存储介质。

背景技术：

1、通过对ip协议的分组进行加密和认证来保护ip协议的网络传输协议簇(internetprotocol security，ipsec)是一种基于互联网安全协议的虚拟专用网络技术，在公用网络上建立专用网络的技术(virtual private network，vpn)通信的任意两个节点之间没有专用的物理链路，而是在运营商提供的公用网络上构建的逻辑专网，包括pptp、l2tp、l2f、gre、ipsec和ssl等。

2、随着互联网的高速发展，学校、企业和政务机构对网络安全和网络带宽的需求日益提高，传统的ipsec vpn部署模式需要进行扩容，把ipsec vpn的网络节点由单台设备变成多台设备组成负载均衡模式，来提升吞吐量和稳定性，然而，在这个过程中会存在很多弊端，例如效率低，两台设备的冗余组网，主要工作的只有一台设备；用户体验差，主从切换的瞬间会丢包，切换后瞬时流量过大也会丢包，影响网络使用体验；兼容性差，ike协议中增加了4个通知消息，对端ipsecvpn可能不会响应，对端的设备也需要更新。

技术实现思路

1、本技术实施例的目的在于提供一种ipsec vpn的安全联盟的更新方法、装置、电子设备及存储介质，可以提高安全联盟的更新效率，提高vpn设备的兼容性，当报文传输时不会出现丢包现象，使用户体验更好。

2、第一方面，本技术实施例提供了一种ipsec vpn的安全联盟的更新方法，所述方法包括：

3、获取ipsec vpn的分发数据；

4、将所述分发数据与预先构建的ipsec vpn设备集群中的成员设备进行安全联盟的匹配，得到匹配结果；

5、根据所述匹配结果对安全联盟进行更新。

6、在上述实现过程中，将分发数据分别与成员设备进行安全联盟的匹配，再根据匹配情况进行安全联盟的更新，可以提高安全联盟的更新效率，提高vpn设备的兼容性，当报文传输时不会出现丢包现象，使用户体验更好。

7、进一步地，所述将所述分发数据与预先构建的ipsec vpn设备集群中的成员设备进行安全联盟的匹配，得到匹配结果的步骤，包括：

8、获取所述分发数据的类别；

9、根据所述分发数据的类别与所述预先构建的ipsec vpn设备集群中的成员设备进行安全联盟的匹配，得到匹配结果。

10、在上述实现过程中，根据分发数据的类别对设备成员进行不同的安全联盟的匹配，可以保证不同类型的分发数据在成员设备可以以不同的方式被传输，提高成员设备的兼容性。

11、进一步地，所述根据所述分发数据的类别与预先构建的ipsec vpn设备集群中的成员设备进行安全联盟的匹配，得到匹配结果的步骤，包括：

12、若所述分发数据的类别为出站报文；

13、将所述出站报文与所述预先构建的ipsec vpn设备集群中的成员设备进行安全联盟的匹配，得到匹配结果；

14、若所述分发数据的类别为进站报文；

15、将所述进站报文与所述预先构建的ipsec vpn设备集群中的成员设备进行安全联盟的匹配，得到匹配结果。

16、在上述实现过程中，根据出站报文和进站报文进行不同方式的安全联盟的匹配，使得到的匹配结果更加准确，便于后续根据匹配结果将出站报文和进站报文进行不同的处理。

17、进一步地，所述根据所述匹配结果对安全联盟进行更新的步骤，包括：

18、若所述匹配结果为所述出站报文匹配到所述成员设备的安全联盟，将所述成员设备对应的序列号增加至所述出站报文，将所述出站报文进行封装后发送至所述预先构建的ipsec vpn设备集群的对端；

19、若所述匹配结果为所述出站报文匹配不到所述成员设备的安全联盟，将所述出站报文丢弃；

20、若所述匹配结果为所述进站报文匹配到所述成员设备的安全联盟，根据所述进站报文对安全联盟进行更新；

21、若所述匹配结果为所述进站报文匹配不到所述成员设备的安全联盟，将所述进站报文丢弃。

22、在上述实现过程中，根据不同的匹配结果将出站报文和进站报文进行丢弃、封装等处理，保证不符合安全联盟的出站报文或者进站报文可以快速地、有效地被处理，避免占用过多的成员设备资源，导致报文传输过程中出现卡顿。

23、进一步地，所述根据所述进站报文对安全联盟进行更新的步骤，包括：

24、获取所述进站报文的序列号；

25、根据所述成员设备的序列号对所述进站报文的序列号进行验证；

26、若验证成功，对所述成员设备的安全联盟中的抗重放窗口进行更新。

27、在上述实现过程中，根据成员设备的序列号对进站报文的序列号进行验证，再对安全联盟中的抗重放窗口进行更新，使得进站报文可以实现无缝切换，提高用户使用感。

28、进一步地，所述预先构建的ipsec vpn设备集群的步骤，包括：

29、获取多个初始成员设备；

30、设置所述多个初始成员设备的共享虚拟ip地址、网口信息和以太帧类型，得到多个所述成员设备；

31、根据多个所述成员设备构建所述ipsec vpn设备集群。

32、在上述实现过程中，对初始成员设备的共享虚拟ip地址、网口信息和以太帧类型进行设置，便于成员设备通过多种传播方式传递安全联盟，形成ipsec vpn设备集群一致的安全联盟。

33、第二方面，本技术实施例还提供了一种ipsec vpn的安全联盟的更新装置，所述装置包括：

34、获取模块，用于获取ipsec vpn的分发数据；

35、匹配模块，用于将所述分发数据与预先构建的ipsec vpn设备集群中的成员设备进行安全联盟的匹配，得到匹配结果；

36、更新模块，用于根据所述匹配结果对安全联盟进行更新。

37、在上述实现过程中，将分发数据分别与成员设备进行安全联盟的匹配，再根据匹配情况进行安全联盟的更新，可以提高安全联盟的更新效率，提高vpn设备的兼容性，当报文传输时不会出现丢包现象，使用户体验更好。

38、进一步地，所述匹配模块还用于：

39、获取所述分发数据的类别；

40、根据所述分发数据的类别与所述预先构建的ipsec vpn设备集群中的成员设备进行安全联盟的匹配，得到匹配结果。

41、在上述实现过程中，根据分发数据的类别对设备成员进行不同的安全联盟的匹配，可以保证不同类型的分发数据在成员设备可以以不同的方式被传输，提高成员设备的兼容性。

42、第三方面，本技术实施例提供的一种电子设备，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。

43、第四方面，本技术实施例提供的一种计算机可读存储介质，所述存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行如第一方面任一项所述的方法。

44、第五方面，本技术实施例提供的一种计算机程序产品，所述计算机程序产品在计算机上运行时，使得计算机执行如第一方面任一项所述的方法。

45、本公开的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本公开的上述技术即可得知。

46、并可依照说明书的内容予以实施，以下以本技术的较佳实施例并配合附图详细说明如后。