>[0038]S1.两端建立IPSec隧道:
[0039]在本步骤中,通过IPSec对等体两端的IPSec隧道建立模块建立与对方之间的IPSec隧道,为了保障对等体之间通信的可靠性,可以建立多条IPSec隧道,其中至少包括一条主IPSec隧道和一备份IPSec隧道,在隧道建立完成后可以选择主IPSec隧道作为当前IPSec隧道进行报文收发;
[0040]S2.判断对等体是否路由可达:
[0041]在本步骤中,由路由匹配模块,在每当路由表有更新时,进行一次路由匹配,判断对端IPSec对等体是否路由可达,若存在匹配的路由条目,则进入步骤S5 ;若不存在匹配的路由条目,则进入步骤S3;
[0042]S3.拆除当前IPSec隧道,删除与该隧道关联的SA和注入路由:
[0043]在本步骤中,IPSec隧道切换模块在收到路由匹配模块的发出的拆除隧道通知后,拆除当前IPSec隧道,并删除与该IPSec隧道关联的相关SA和注入路由,此时可以切换至备份IPSec隧道进行通信,进入步骤S4 ;
[0044]S4.切换当前IPSec隧道:
[0045]在本步骤中,IPSec隧道切换模块将当前IPSec隧道由主IPSec隧道切换至备份IPSec隧道;
[0046]S5.保持隧道相关信息:
[0047]在本步骤中,若IPSec对等体路由可达,则维持当前IPSec隧道存活,正常收发报文。
[0048]上述方案中的路由匹配机制可以以命令形式来体现,本申请中将其命名为peer-route trigger (对等体等同路由触发),在路由器配置中默认开启,设备操作者也可以根据对组网需求选择关闭。
[0049]下面结合该方案在组网环境中的具体应用来进一步的描述:
[0050]如图3所示,假设一个远端站点通过路由器A与企业总部内网通信,路由器A通过电信和移动的无线网络与路由器B和C建立IPSec隧道,AB之间的隧道为主用隧道,AC之间的隧道为备份隧道。
[0051]当AB出现中断(可能为无线空口中断、电信路由中断或LNSl到路由器B中断等),此时虽然路由器AB之间已无法通信,但由于IPSec端点接口仍开启,所以IPSec模块无法直接感知,路由器B仍会将流量进行IPSec封装后从去往LNSl的接口发出,直到DTO超时,网络将出现短暂的流量黑洞。
[0052]若使能了 peer-route trigger功能,路由器B发现LNSl重分发过来的虚接口直连路由已经消失,路由器A的对等体路由不可达,因此立即拆除当前IPSec隧道,删除该IPSec隧道SA和注入路由,流量切换到移动网络,从而缩短切换时间,避免流量丢失。
【主权项】
1.一种快速检测IPSec对等体失效的方法,其特征在于,包括以下步骤: A.两端IPSec对等体之间建立IPSec隧道; B.每当路由表有更新时,进行一次路由匹配,判断对端IPSec对等体是否路由可达,若存在匹配的路由条目,则进入步骤C,否则,进入步骤D ; C.维持当前IPSec隧道存活,正常收发报文,返回步骤B; D.拆除当前IPSec隧道,删除与该IPSec隧道关联的SA和注入路由。
2.如权利要求1所述的快速检测IPSec对等体失效的方法,其特征在于,步骤B中,所述每当路由表有更新时,进行一次路由匹配具体包括: 每当路由表有更新时,在全局路由表中,对最长匹配IPSec对等体端点的路由进行一次路由匹配。
3.如权利要求1或2所述的快速检测IPSec对等体失效的方法,其特征在于,步骤A中,所述两端IPSec对等体之间建立IPSec隧道包括: 两端IPSec对等体协商建立至少两条IPSec隧道,并选择其中一条为主IPSec隧道,另一条为备份IPSec隧道,将主IPSec隧道作为当前IPSec隧道。
4.如权利要求3所述的快速检测IPSec对等体失效的方法,其特征在于,该方法还包括步骤: E.将备份隧道作为两端IPSec对等体的当前IPSec隧道。
5.一种快速检测IPSec对等体失效的系统,其特征在于,包括: IPSec隧道建立模块,用于与对等体对端之间建立IPSec隧道; 路由匹配模块,用于每当路由表有更新时,进行一次路由匹配,判断对端IPSec对等体是否路由可达,若存在匹配的路由条目,则维持当前IPSec隧道存活,正常收发报文;若不存在匹配的路由条目,则通知IPSec隧道拆除模块; IPSec隧道切换模块,用于在收到路由匹配模块通知信息后,拆除当前IPSec隧道,删除相关SA和注入路由。
6.如权利要求5所述的快速检测IPSec对等体失效的系统,其特征在于,所述每当路由表有更新时,进行一次路由匹配包括: 每当路由表有更新时,在全局路由表中,对最长匹配IPSec对等体端点的路由进行一次路由匹配。
7.如权利要求5或6所述的快速检测IPSec对等体失效的系统,其特征在于,所述IPSec隧道建立模块用于与对等体对端之间协商建立至少两条IPSec隧道,其中一条为主IPSec隧道,另一条为备份IPSec隧道,将主IPSec隧道作为当前IPSec隧道。
8.如权利要求7所述的快速检测IPSec对等体失效的系统,其特征在于,所述IPSec隧道切换模块还用于将备份隧道作为两端IPSec对等体的当前IPSec隧道。
【专利摘要】本发明涉及互联网领域ip安全协议,其公开了一种快速检测IPSec对等体失效的系统和方法,解决传统技术中检测对等体失效的手段存在的检测时间长、需要在链路上传送报文或检测范围有限的问题。该方法包括以下步骤:A.两端IPSec对等体之间建立IPSec隧道;B.每当路由表有更新时,进行一次路由匹配,判断对端IPSec对等体是否路由可达,若存在匹配的路由条目,则进入步骤C,否则,进入步骤D;C.维持该IPSec隧道存活,正常收发报文,返回步骤B;D.拆除该IPSec隧道,删除相关SA和注入路由。发明适用于通信网络中快速故障检测。
【IPC分类】H04L29-06
【公开号】CN104580258
【申请号】CN201510055955
【发明人】朱华洲, 范恒英, 朱桂山
【申请人】迈普通信技术股份有限公司
【公开日】2015年4月29日
【申请日】2015年2月3日