[发明专利]一种防止IPSEC隧道重协商失败的方法

说明书

技术领域

本发明涉及网络通信技术领域，特别涉及一种防止IPSEC隧道重协商失败的方法。

背景技术

现有技术中，当多核网络设备对网络报文进行处理时，首先处理的是转发报文，然后处理的是主机报文，这样既可以保证设备的吞吐，又能提高设备的性能。对于其他功能来说，主机报文如果接收失败会重发，不会有严重影响，但对于IPSEC隧道而言，协商报文即是主机报文，此时如果丢弃协商报文就会导致IPSEC隧道断开，而丢弃协商报文实际上是由于出物理接口忙造成的，并不需要断开IPSEC隧道，因此会出现不必要的隧道震荡的现象。因此，需要一种方法来防止这种不必要的隧道震荡现象的发生。

发明内容

(一)要解决的技术问题

本发明要解决的是现有技术中，多核网络设备对报文进行处理时由于对出物理接口的状态的误判而造成的隧道震荡问题。

(二)技术方案

为解决上述技术问题，本发明提供了一种一种防止IPSEC隧道重协商失败的方法，其特征在于，

包括以下步骤：

S1：第一多核网络设备和第二多核网络设备之间建立IPSEC隧道，在IPSEC隧道建立过程中协商生成IKE sa和IPSEC sa，分别用来对IKE协商报文和数据报文进行加密；

S2：若所述第一多核网络设备发送的协商报文没有接收到回应报文，则查看出物理接口的报文处理速度，若所述出物理接口的报文处理速度没有达到上限，则将所述IPSEC隧道断开；否则，执行步骤S3；

S3：查看所述IPSEC隧道中是否有入加密报文，以及所述入加密报文是否被正常解密，若没有所述入加密报文或者不能被正常解密，则将IPSEC隧道断开，否则，执行步骤S4；

S4：将所述IKE sa和IPSEC sa的协商时间延长至N分钟，仍然使用所述IPSEC隧道进行数据报文的加解密转发，N分钟之后再次发送IKE sa和IPSEC sa报文进行协商。

所述N为10。

(三)有益效果

本发明的方法可以减少由于对出物理接口的误判而造成的错误断开IPSEC隧道，从而减少隧道震荡，增强了系统的稳定性，提高了用户的体验感。

具体实施方式

下面对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

本实施方式的方法包括以下步骤：

S1：第一多核网络设备和第二多核网络设备之间建立IPSEC隧道，在IPSEC隧道建立过程中协商生成IKE sa和IPSEC sa，分别用来对IKE协商报文和数据报文进行加密；

S2：若第一多核网络设备发送的协商报文没有接收到回应报文，则查看出物理接口的报文处理速度，若此时出物理接口的报文处理速度没有达到上限，则将IPSEC隧道断开；否则，执行步骤S3；

S3：查看IPSEC隧道中是否有入加密报文，以及所述入加密报文是否被正常解密，若没有入加密报文或者不能被正常解密，则将IPSEC隧道断开，否则，执行步骤S4；

S4：将IKE sa和IPSEC sa的协商时间延长至N分钟，仍然使用当前IPSEC隧道进行数据报文的加解密转发，N分钟之后再次发送IKE sa和IPSEC sa报文进行协商。

进一步地，所述步骤S4中，N为10，本发明对N的取值不作限定，具体数值可以根据用户的需要进行配置。

本发明利用多核网络设备对出物理接口的流量进行判断，当协商报文未收到回应报文时，若网卡流量达到了上限，并且IPSEC隧道可以对报文进行正常加解密处理，则认为隧道是可以继续使用的，只是由于多核网络设备自身的原因导致协商报文丢失，那么就将IKE sa和IPSEC sa报文的更新推迟一段时间，若网卡流量未达到上限，则将IPSEC隧道断开。

本发明的方法可以减少由于对出物理接口的误判而造成的错误断开IPSEC隧道，从而减少隧道震荡，增强了系统的稳定性，提高了用户的体验感。

以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。