[发明专利]一种IPSec隧道故障检测的方法、装置及系统

权利要求书

1.一种在IPSec隧道中建立双向转发检测BFD的方法，其特征在于，所述方法包括：

向对端发送密钥交换协议IKE隧道的创建请求报文，所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息；

接收对端发送的IKE隧道的创建确认报文，所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息；

向对端发送IPSec隧道的创建请求报文，所述IPSec隧道的创建请求报文中携带IKE通知载荷，所述IKE通知载荷包含BFD会话的配置信息；

接收对端发送的IPSec隧道的创建确认报文，所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。

2.根据权利要去1所述的方法，其特征在于，所述BFD会话的配置信息包括探测周期、探测模式、会话标识、加密模式；所述加密模式包括加密和非加密模式，所述探测模式包括普通模式和查询模式。

3.根据权利要去1所述的方法，其特征在于，所述建立BFD会话的请求消息为IKE协议定义的VENDOR_ID类型的载荷。

4.一种在IPSec隧道中建立双向转发检测BFD的方法，其特征在于，所述方法包括：

接收本端发送的IKE遂道的创建请求报文，所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息；

向本端发送IKE隧道的创建确认报文，所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息；

接收本端发送的IPSec隧道的创建请求报文，所述IPSec隧道的创建请求报文中携带IKE通知载荷，所述IKE通知载荷包含BFD会话的配置信息；

向本端发送IPSec隧道的创建确认报文，所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。

5.根据权利要求4所述的方法，其特征在于，所述BFD会话的配置信息包括探测周期、探测模式、会话标识、加密模式；所述加密模式包括加密和非加密模式，所述探测模式包括普通模式和查询模式。

6.根据权利要去4所述的方法，其特征在于，所述建立BFD会话的请求消息为IKE协议定义的VENDOR_ID类型的载荷。

7.一种利用BFD检测IPSec隧道故障的方法，其特征在于，所述方法包括：

使用IPSec隧道的安全参数索引SPI作为BFD会话的会话标识；

向对端传输非加密的BFD会话，或者加密的BFD会话，或者两者都传输，所述BFD会话包括所述BFD会话的会话标识；

若第一时间阈值内未收到对端的BFD会话，或者未收到对端针对所述BFD会话的响应报文，则与对端重新协商建立IPSec隧道或切换到备用IPSec隧道。

8.一种在IPSec隧道中建立双向转发检测BFD的装置，其特征在于，所述装置包括：

第一消息发送模块，用于向对端发送密钥交换协议IKE隧道的创建请求报文，所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息；

第一消息接收模块，用于接收对端发送的IKE隧道的创建确认报文，所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息；

第二消息发送模块，用于向对端发送IPSec隧道的创建请求报文，所述IPSec隧道的创建请求报文中携带IKE通知载荷，所述IKE通知载荷包含BFD会话的配置信息；

第二消息接收模块，用于接收对端发送的IPSec隧道的创建确认报文，所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。

9.一种在IPSec隧道中建立双向转发检测BFD的装置，其特征在于，所述装置包括：

第一消息接收模块，用于接收本端发送的IKE遂道的创建请求报文，所述IKE隧道的创建请求报文中携带建立BFD会话的请求消息；

第一消息发送模块，用于向本端发送IKE隧道的创建确认报文，所述IKE隧道的创建确认报文中包含建立BFD会话的确认消息；

第二消息接收模块，用于接收本端发送的IPSec隧道的创建请求报文，所述IPSec隧道的创建请求报文中携带IKE通知载荷，所述IKE通知载荷包含BFD会话的配置信息；

第二消息发送模块，用于向本端发送IPSec隧道的创建确认报文，所述IPSec隧道的创建确认报文中包含所述IKE通知载荷的确认消息。