专利名称:一种重建IPSec链路的方法及网络设备的利记博彩app
技术领域:
本发明属于网络通信技术领域,特别涉及一种重建IP安全(IPSec)链路 的方法及网络设备。
技术背景目前,Internet已成为社会的主流信息基础设施,传统专线网基于现有的 物理网络,例如数字电路、异步传输模式/帧中继(ATM/FR )、数字数据网(DDN) 等,这种方式安全性和可靠性较高,但对于客户来说,相应的建设成本和使用 费用昂贵,并且只能实现有限的专网访问,缺乏联网的灵活性。伴随互联网的 发展,通过互联网搭建企业虚拟专用网(VPN)的模式越来越引起客户的兴趣。 VPN技术中基于IP层的VPN协议——IPSec成为广域网建设的较佳解决方案, 它不仅大大节省了广域网的建设和运行维护费用,而且增强了网络的可靠性和 安全性。IPSec协议包括互联网密钥交换协议(Internet Key Exchange, IKE )、验 证报头(Authentication Header, AH)、封装安全负载(Encapsulation Security Payload, ESP )等,是由互耳关网工禾呈^f壬务纟且(Internet Engineering Task Force 、 IETF)定义的一组在网络层提供的IP安全性协议。图1为应用IPSec 4支术的一种组网示意图,如图1所示私网中的工作站 通过安全网关接入互联网,总部一方的安全网关具有固定公网IP地址,而分 支机构一方的安全网关动态获取公网IP地址。在这种组网方式下,总部和分 支机构的安全网关之间如果需要建立IPSec链路,则由分支机构一方的安全网 关后面的工作站发起感兴趣流来触发IPSec协商,通过所述IPSec协商来建立 IPSec链路。在IPSec链路成功建立后,分支机构一方的安全网关因网络不稳定等原因 造成掉线,频繁获取新的IP地址,引起IPSec链路断链,如果不能及时重新 发起IPSec协商、建立新的IPSec链接,则总部不能访问分支机构。由于分支机构动态获取IP地址的不确定性,总部一方无法基于协商的对端地址来重新
建立IPSec链接,需要由分支机构一方安全网关后面的工作站重新发起感兴趣 流来触发IPSec协商。但是,分支机构一方安全网关后面的工作站不知道安全 网关是否重新获取到了 IP地址,也不知道IPSec链路是否断开,因此,不能 主动触发IPSec协商,也就不能完成IPSec链路的重建,导致数据传输中断。
发明内容
本发明所要解决的技术问题是提供一种重建IPSec链路的方法及网络设 备,使得在具有固定公网IP地址的网络设备与动态获取公网IP地址的网络设 备之间的IPSec链路断开后,能够及时地完成IPSec链路的重建。
为解决上述技术问题,本发明提供技术方案如下
一种重建IPSec链路的方法,应用于包括第 一网络设备和第二网络设备的 网络中,所述第一网络设备具有固定公网IP地址,所述第二网络设备动态获 取公网IP地址,所述方法包括如下步骤
A、 所述第二网络设备检测其与所述第一网络设备之间的IPSec链路是否 可用,若是,继续执行本步骤,否则,进入步骤B;
B、 向所述第一网络设备发送感兴趣流来触发IPSec协商,以重新建立 IPSec链路。
上述的方法,其中,步骤B之后还包括步骤
C、 启动一定时器,在所述定时器到期后,;险测所述IPSec链路是否建立 成功,若所述IPSec链路未建立成功,则返回步骤B。
上述的方法,其中,所述第一、二网络设备为安全网关。 一种网络设备,所述网络设备动态获取公网IP地址,所述网络设备包括 第 一检测模块,用于检测本网络设备与具有固定公网IP地址的第 一 网络
设备之间的IPSec链路是否可用,若否,触发链路重建模块;
链路重建模块,用于向所述第 一网络设备发送感兴趣流来触发IPSec协商,
以重新建立IPSec《连路。
上述的网络设备,其中,还包括
定时器启动模块,用于在所述链路重建模块向所述第 一网络设备发送感兴 趣流后,启动一定时器;第二检测模块,用于在所述定时器到期后,检测所述IPSec链路是否建立 成功,若所述IPSec链路未建立成功,则触发所述链路重建模块。
并在所述IPSec链路不可用时,由所述动态获取IP地址的网络设备主动触发
IPSec协商,从而能够及时地完成IPSec链路的重建。
图1为应用IPSec 4支术的一种组网示意图; 图2为本发明实施例一的重建IPSec链路的方法流程图; 图3为本发明实施例二的重建IPSec链路的方法流程图; 图4为本发明实施例一的网络设备的结构示意图; 图5为本发明实施例二的网络设备的结构示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实 施例对本发明进行详细描述。
本发明实施例的关4建在于在IPSec链路断开后,由动态获取公网IP地 址的网络设备主动触发IPSec协商,以重建IPSec链路。
参照图2,本发明实施例一的重建IPSec链路的方法,应用于包括第一网 络设备和第二网络设备的网络中,所述第一网络设备具有固定公网IP地址, 所述第二网络设备动态获取公网IP地址,所述方法包括如下步骤
步骤201:所述第二网络设备检测其与所述第一网络设备之间的IPSec链 路是否可用,若是,继续执行本步骤,否则,进入步骤202;
IPSec链路不可用(IPSec链路断开)可能由以下原因引起网络不稳定 引起网络设备重新获取IP地址、接口 UP/down、 IPSec链路生命周期到期等。 在动态获取IP地址的第二网络设备重新接入网络时,需要重新建立其与具有 固定公网IP地址的第一网络设备之间的IPSec链^各。
步骤202:所述第二网络设备向所述第一网络设备发送感兴趣流来触发 IPSec协商,以重新建立IPSec链路。
IPSec协商过程为现有技术,这里不作赘述。其中,第一网络设备启用IPSec 业务,无需配置对端的IP地址,但需要配置对端的主机名(FQDN),用于在进行IKE密钥交换时识别对端的主机名。第二网络设备启用IPSec业务,需要 配置IKE标识以及对端IP地址,以便于与第一网络设备进行IPSec协商。
所述第一、二网络设备为安全网关,例如,第一网络设备为总部一方的安 全网关,第二网络设备为分支机构一方的安全网关。IPSec链路重建成功后, 第一、二网络设备之间便建立了安全联盟(SA),使得总部一方的安全网关在 不知道对端IP地址的情况下,由于对应的安全联盟已经建立,能通过建立的
参照图3,本发明实施例二的重建IPSec链路的方法,应用于包括第一网 络设备和第二网络设备的网络中,所述第一网络设备具有固定公网IP地址, 所述第二网络设备动态获取公网IP地址,所述方法包括如下步骤
步骤301:所述第二网络设备检测其与所述第一网络设备之间的IPSec链 路是否可用,若是,继续执行本步骤,否则,进入步骤302;
步骤302:所述第二网络设备向所述第一网络设备发送感兴趣流来触发 IPSec协商,以重新建立IPSec链路;
步骤303:所述第二网络设备启动一定时器,在所述定时器到期后,检测 所述IPSec链路是否建立成功,若所述IPSec链路未建立成功,则返回步骤302。
由于IPSec协商不一定能够一次成功,因此,本实施例中通过设置定时器, 来定期检测IPSec链路是否建立成功,不成功时,重新触发IPSec协商,直到 IPSec链路重建成功。其中,所述定时器的周期可以根据具体需求设定。
图4为本发明实施例一的网络设备的结构示意图。所述网络设备动态获取 公网IP地址,参照图4,所述网络设备包括第一检测模块和链路重建模块, 其中
第一检测模块,用于检测本网络设备与具有固定公网IP地址的第一网络 设备之间的IPSec链路是否可用,若否,触发链路重建模块。IPSec链路不可 用(IPSec链路断开)可能由以下原因引起网络不稳定引起网络设备重新获 取IP地址、接口 UP/down、 IPSec链路生命周期到期等。在动态获取IP地址 的网络设备重新接入网络时,需要重新建立其与具有固定公网IP地址的第一 网络设备之间的IPSec链路。
链路重建^f莫块,用于向所述第 一网络设备发送感兴趣流来触发IPSec协商,以重新建立IPSec链^各。
其中,所述网络设备和所述第一网络设备为安全网关。例如,所述第一网 络设备为总部一方的安全网关,所述网络设备为分支机构 一方的安全网关。 IPSec链路重建成功后,所述网络设备和所述第一网络设备之间便建立了安全 联盟(SA),使得总部一方的安全网关在不知道对端IP地址的情况下,由于 对应的安全联盟已经建立,能通过建立的IPsec链路安全地访问动态获取IP 地址的安全网关后面的设备。
图5为本发明实施例二的网络设备的结构示意图。所述网络设备动态获取 公网IP地址,参照图5,所述网络设备包括第一检测模块、链路重建模块、 定时器启动模块和第二检测模块,其中
第一检测模块,用于检测本网络设备与具有固定公网IP地址的第一网络 设备之间的IPSec^i路是否可用,若否,触发链路重建模块。
链路重建模块,用于向所述第 一 网络设备发送感兴趣流来触发IPSec协商, 以重新建立IPSec链路。
定时器启动模块,用于在所述链路重建模块向所述第 一网络设备发送感兴 趣流后,启动一定时器。
第二检测模块,用于在所述定时器到期后,检测所述IPSec链路是否建立 成功,若所述IPSec链路未建立成功,则触发所述链路重建模块。
由于IPSec协商不一定能够一次成功,因此,本实施例中通过设置定时器, 来定期检测IPSec链路是否建立成功,不成功时,重新触发IPSec协商,直到 IPSec链路重建成功。其中,所述定时器的周期可以根据具体需求设定。
综上所述,本发明实施例通过动态获取IP地址的网络设备检测IPSec链 路是否可用,并在所述IPSec链路不可用时,由所述动态获取IP地址的网络 设备主动触发IPSec协商,从而能够及时地完成IPSec链路的重建。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案而非限制, 本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同 替换,而不脱离本发明技术方案的精神范围,其均应涵盖在本发明的权利要求 范围当中。
权利要求
1.一种重建IPSec链路的方法,应用于包括第一网络设备和第二网络设备的网络中,所述第一网络设备具有固定公网IP地址,所述第二网络设备动态获取公网IP地址,其特征在于,所述方法包括如下步骤A、所述第二网络设备检测其与所述第一网络设备之间的IPSec链路是否可用,若是,继续执行本步骤,否则,进入步骤B;B、向所述第一网络设备发送感兴趣流来触发IPSec协商,以重新建立IPSec链路。
2. 如权利要求l所述的方法,其特征在于,步骤B之后还包括步骤C、 启动一定时器,在所述定时器到期后,检测所述IPSec链路是否建立 成功,若所述IPSec链路未建立成功,则返回步骤B。
3. 如权利要求1或2所述的方法,其特征在于 所述第一、二网络设备为安全网关。
4. 一种网络设备,所述网络设备动态获取公网IP地址,其特征在于,所 述网络设备包括第 一检测模块,用于检测本网络设备与具有固定公网IP地址的第 一 网络 设备之间的IPSec链路是否可用,若否,触发链路重建模块;链路重建模块,用于向所述第一 网络设备发送感兴趣流来触发IPSec协商, 以重新建立IPSec链路。
5. 如权利要求4所述的网络设备,其特征在于,还包括 定时器启动模块,用于在所述链路重建模块向所述第一网络设备发送感兴趣流后,启动一定时器;第二检测模块,用于在所述定时器到期后,检测所述IPSec链路是否建立 成功,若所述IPSec链路未建立成功,则触发所述链路重建模块。
6. 如权利要求4或5所述的网络设备,其特征在于 所述网络设备和所述第 一 网络设备为安全网关。
全文摘要
本发明提供一种重建IPSec链路的方法及网络设备。所述方法应用于包括第一网络设备和第二网络设备的网络中,所述第一网络设备具有固定公网IP地址,所述第二网络设备动态获取公网IP地址,所述方法包括如下步骤A.所述第二网络设备检测其与所述第一网络设备之间的IPSec链路是否可用,若是,继续执行本步骤,否则,进入步骤B;B.向所述第一网络设备发送感兴趣流来触发IPSec协商,以重新建立IPSec链路。依照本发明,使得在具有固定公网IP地址的网络设备与动态获取公网IP地址的网络设备之间的IPSec链路断开后,能够及时地完成IPSec链路的重建。
文档编号H04L29/06GK101645898SQ200910092950
公开日2010年2月10日 申请日期2009年9月11日 优先权日2009年9月11日
发明者勇 杜, 郭金辉, 陈向效 申请人:中兴通讯股份有限公司