專利名稱：一種ipsec狀態恢復方法
技術領域：
本發明涉及計算機網絡技術領域，特別涉及一種ipsec狀態恢復方法。
背景技術：
防火墻是用來保護網絡 中計算機安全的重要設備，一旦防火墻發生故障，會給政府、企業造成不小的損失，為了解決防火墻單點故障引起的整個網絡癱瘓問題，業內工作者提出了兩臺防火墻實時熱備的功能，即防火墻e為主防火墻，防火墻f為備防火墻；如圖2所示，在步驟A中，主防火墻e和遠端防火墻g建立ipsec隧道，數據通過該ipsec隧道進行傳輸；在步驟B中，當主防火墻e異常后，主防火墻e和備防火墻f進行主備防火墻的切換，此時主防火墻e變成了備防火墻e，備防火墻f變成了主防火墻f，所有數據流都被切換到主防火墻f上；在步驟C中，遠端防火墻g并不知道對端異常，仍然發送加密的esp或ah報文給主防火墻f，由于現有的設備大部分不支持ipsec隧道狀態同步，則此時主防火墻f接收到加密的esp或ah報文后，發現沒有對應的ipsec隧道進行報文解密，就會丟棄此報文；在步驟D中，遠端防火墻g只有通過長時間的dpd探測或keepalive探測才能發現對端異常，刪除本端ipsec隧道,與主防火墻f重新建立ipsec隧道；而等待dpd探測或keepalive探測需要較長的時間，整個防火墻系統在此期間處于癱瘓狀態，導致網絡數據斷流的時間較長，因此，現有技術確有待于提聞。

發明內容
針對現有技術存在的不足，本發明提出了一種主備防火墻切換后的ipsec狀態快速恢復的方法，并通過以下的技術方案予以實現一種ipsec狀態恢復方法，包括以下步驟SI :主防火墻a與遠端防火墻c建立ipsec隧道；S2 :如果主防火墻a異常，主防火墻a和備防火墻b進行主備防火墻的變換，主防火墻a變換為備防火墻a，備防火墻b變換為主防火墻b ；S3 :主防火墻b接收加密報文，如果主防火墻b的ipsec隧道狀態不同步，則執行步驟S4，如果主防火墻b的ipsec隧道狀態同步，則結束；S4 :主防火墻b發起反向ike協商，與遠端防火墻c建立ipsec隧道。所述步驟S4中，主防火墻b根據所述加密報文的目的地址找到相應的ipsec隧道屬性配置，建立由主防火墻b到遠端防火墻c的ipsec隧道。所述步驟S4進一步包括設置ipsec隧道的生存時間。所述步驟S4進一步包括在主防火墻b發起反向ike協商之前,判斷已啟動時間長度是否超出所述ipsec隧道的生存時間若是，則主防火墻b發起反向ike協商；若不是，則主防火墻b將接收到的加密報文直接丟棄；其中，所述已啟動時間長度是指從主備防火墻切換到主防火墻b接收到第一個加密報文的時間段。所述步驟S4中，遠端防火墻c與主防火墻b建立新的ipsec隧道后，直接將與主防火墻a建立的ipsec隧道丟棄。在本發明中，當主防火墻a和備防火墻b切換后，新的主防火墻b接收到沒有對應的ipsec隧道能夠解密的esp或ah報文時，根據接收到的加密報文的目的地址發起反向ike協商來建立ipsec隧道,解決了現有技術中單純的靠keepalive或dpd來感知對端異常的問題，且無需像dpd或keepalive那樣等待,能夠減少斷流的時間。


圖I為本發明的流程圖；圖2為現有技術的流程圖。
具體實施例方式下面對于本發明所提出的一種ipsec狀態恢復方法，結合附圖和實施例詳細說 明。實施例I :本發明提供一種ipsec狀態恢復方法，包括以下步驟SI :主防火墻a與遠端防火墻c建立ipsec隧道；S2 :如果主防火墻a異常，主防火墻a和備防火墻b進行主備防火墻的變換，主防火墻a變換為備防火墻a，備防火墻b變換為主防火墻b ；S3 :主防火墻b接收加密報文，如果主防火墻b的ipsec隧道狀態不同步，則執行步驟S4，如果主防火墻b的ipsec隧道狀態同步，則結束；S4 :主防火墻b發起反向ike協商，與遠端防火墻c建立ipsec隧道。所述步驟S4中，主防火墻b根據所述加密報文的目的地址找到相應的ipsec隧道屬性配置，建立由主防火墻b到遠端防火墻c的ipsec隧道。所述步驟S4進一步包括設置ipsec隧道的生存時間。所述步驟S4進一步包括在主防火墻b發起反向ike協商之前,判斷已啟動時間長度是否超出所述ipsec隧道的生存時間若是，則主防火墻b發起反向ike協商；若不是，則主防火墻b將接收到的加密報文直接丟棄；其中，所述已啟動時間長度是指從主備防火墻切換到主防火墻b接收到第一個加密報文的時間段。所述步驟S4中，遠端防火墻c與主防火墻b建立新的ipsec隧道后，直接將與主防火墻a建立的ipsec隧道丟棄。實施例2 本實施例提供一種ipsec狀態恢復方法，更詳細的說明ipsec狀態是如何恢復的。如圖I所示，在初始情況下，主防火墻a與遠端防火墻c建立ipsec隧道，數據通過主防火墻a和遠端防火墻c建立的ipsec隧道進行傳輸；當主防火墻a異常后,主防火墻a和備防火墻b進行主備防火墻的切換，此時主防火墻a變成了備防火墻，備防火墻b變成了主防火墻，所有數據流都被切換到新的主防火墻b上。遠端防火墻c并不知道對端異常，仍然發送加密的esp或ah報文給主防火墻b，由于現有的設備大部分不支持ipsec隧道狀態同步，例如cisco設備就不支持隧道狀態同步，主防火墻b接收到加密的esp或ah報文后，發現沒有對應的ipsec隧道進行報文解密，主防火墻b根據接收到的加密報文的目的地址找到相應的ipsec隧道屬性配置，建立由主防火墻b到遠端防火墻c的隧道，在該過程中，需設置ipsec隧道的生存時間；并且在主防火墻b發起反向ike協商之前，判斷已啟動時間長度是否超出所述ipsec隧道的生存時間若是，則主防火墻b發起反向ike協商；若不是，則主防火墻b將接收到的加密報文直接丟棄；其中，所述已啟動時間長度是指從主備防火墻切換到主防火墻b接收到第一個加密報文的時間段。遠端防火墻c接收到ike協商后,建立起新的ipsec隧道,并直接廢棄之前主防火墻a與遠端防火墻c建立的ipsec隧道,通過新的主防火墻b與遠端防火墻c建立的隧道進行數據的傳送。在未發生主備防火墻切換的情況下，主防火墻a接收到的esp或ah報文，或當已啟動時間長度超出所述ipsec隧道的生存時間，備防火墻a接收到的esp或ah報文，均因為無法找到相應的ipsec隧道進行解密，而被認為是異常無效報文直接丟棄。由以上實施例可以看出，在本發明中，當主防火墻a和備防火墻b切換后，新的主 防火墻b接收到沒有對應的ipsec隧道能夠解密的esp或ah報文時，根據接收到的加密報文的目的地址發起反向ike協商來建立ipsec隧道,解決了現有技術中單純的靠keepalive或dpd來感知對端異常的問題,且無需像dpd或keepalive那樣等待，能夠減少斷流的時間。以上實施方式僅用于說明本發明，而并非對本發明的限制，有關技術領域的普通技術人員，在不脫離本發明的精神和范圍的情況下，還可以做出各種變化和變型，因此所有等同的技術方案也屬于本發明的范疇，本發明的專利保護范圍應由權利要求限定。
權利要求
1.一種ipsec狀態恢復方法，其特征在于，包括以下步驟 51:主防火墻a與遠端防火墻c建立ipsec隧道； 52:如果主防火墻a異常，主防火墻a和備防火墻b進行主備防火墻的變換，主防火墻a變換為備防火墻a，備防火墻b變換為主防火墻b ； 53:主防火墻b接收加密報文，如果主防火墻b的ipsec隧道狀態不同步，則執行步驟S4，如果主防火墻b的ipsec隧道狀態同步，則結束； 54:主防火墻b發起反向ike協商，與遠端防火墻c建立ipsec隧道。
2.如權利要求I所述的方法，其特征在于，所述步驟S4中，主防火墻b根據所述加密報文的目的地址找到相應的ipsec隧道屬性配置,建立由主防火墻b到遠端防火墻c的ipsec隧道。
3.如權利要求I所述的方法，其特征在于，所述步驟S4進一步包括設置ipsec隧道的生存時間。
4.如權利要求3所述的方法，其特征在于，所述步驟S4進一步包括在主防火墻b發起反向ike協商之前，判斷已啟動時間長度是否超出所述ipsec隧道的生存時間若是，則主防火墻b發起反向ike協商；若不是，則主防火墻b將接收到的加密報文直接丟棄； 其中，所述已啟動時間長度是指從主備防火墻切換到主防火墻b接收到第一個加密報文的時間段。
5.如權利要求I所述的方法，其特征在于，所述步驟S4中，遠端防火墻c與主防火墻b建立新的ipsec隧道后,直接將與主防火墻a建立的ipsec隧道丟棄。
全文摘要
本發明提供一種ipsec狀態恢復方法，包括以下步驟S1主防火墻a與遠端防火墻c建立ipsec隧道；S2如果主防火墻a異常，主防火墻a和備防火墻b進行主備防火墻的變換，主防火墻a變換為備防火墻a，備防火墻b變換為主防火墻b；S3主防火墻b接收加密報文，如果主防火墻b的ipsec隧道狀態不同步，則執行步驟S4，如果主防火墻b的ipsec隧道狀態同步，則結束；S4主防火墻b發起反向ike協商，與遠端防火墻c建立ipsec隧道；本發明解決了現有技術中單純的靠keepalive或dpd來感知對端異常的問題，且無需像dpd或keepalive那樣等待，能夠減少斷流的時間。
文檔編號H04L29/06GK102891766SQ20121036155
公開日2013年1月23日 申請日期2012年9月25日 優先權日2012年9月25日
發明者陳海濱 申請人:漢柏科技有限公司