[发明专利]发送报文的方法和网络设备

说明书

本申请提供一种发送报文的方法和网络设备，应用于第一网络设备和第二网络设备之间进行互联网安全IPsec通信，且第一网络设备上没有IPsec安全联盟SA，第二网络设备上拥有IPsec SA的网络场景中，所述方法包括：第一网络设备接收来自第二网络设备的加密报文；在第一网络设备无法对所述加密报文进行解密的情况下，第一网络设备获得特征信息；在第一网络设备依据所述特征信息获得与所述特征信息相对应的互联网密钥交换IKE SA的情况下，第一网络设备生成信息交换报文，信息交换报文指示第二网络设备删除第二网络设备上的IPsec SA；第一网络设备向第二网络设备发送所述信息交换报文。有助于缩短业务中断时间。

技术领域

本发明涉及通信技术领域，具体涉及一种用于发送报文的方法和网络设备。

背景技术

互联网协议安全(英文：Internet Protocol Security，IPsec)使用中，会协商生成两个安全联盟(英文：Security Association，SA)：一个是互联网密钥交换(英文：Internet Key Exchange，IKE)SA，它的作用是建立两个端点间信令协商的SA，所有信令(包括后续IPsec SA的协商)都在IKE SA保护下，加解密后收发；另一个是IPsec SA，它的作用是加解密网络上的用户数据流。

在IKE自动协商IPsec隧道的场景下，可能出现一种故障场景，IKE SA正常工作，但IPsec隧道一端存在IPsec SA，一端不存在IPsec SA的情况下，隧道转发流量会由于在缺失IPsec SA的设备上无法做正常的报文加密和报文解密导致流量中断。当IPsec SA的生存周期快到期时，IPsec隧道的两端通过IKE协商重新建立新的IPsec SA，此时数据流的转发恢复，继续进行通信。但考虑到性能等因素，生存周期通常设置的比较长，造成业务中断时间过长,降低了业务处理效率、进而也降低了用户的业务体验。

发明内容

本发明实施例提供的用于发送报文的方法和网络设备，解决了第一网络设备和第二网络设备之间进行互联网安全IPsec通信，当所述第一网络设备上没有IPsec安全联盟SA，所述第二网络设备上拥有IPsec SA时业务中断时间过长的问题，提高了网络的可靠性和用户的业务体验。

为了解决上述问题，本发明实施例第一方面提供一种用于发送报文的方法，应用于第一网络设备和第二网络设备之间进行互联网安全IPsec通信，且所述第一网络设备上没有IPsec安全联盟SA，所述第二网络设备上拥有IPsec SA的网络场景中，所述方法包括：所述第一网络设备接收来自第二网络设备的加密报文；在所述第一网络设备无法对所述加密报文进行解密的情况下，所述第一网络设备获得特征信息；在所述第一网络设备依据所述特征信息获得与所述特征信息相对应的互联网密钥交换IKE SA的情况下，所述第一网络设备生成信息交换报文，所述信息交换报文指示所述第二网络设备删除所述第二网络设备上的IPsec SA；所述第一网络设备向所述第二网络设备发送所述信息交换报文。

在一种可能的设计中，所述第一网络设备接收来自所述第二网络设备在删除所述IPsec SA之后发送的协商报文，并根据所述协商报文，生成新的IPsec SA对后续收到的加密报文进行解密。

通过所述第一网络设备在无法对所述加密报文进行解密的情况下获得特征信息，并且在依据所述特征信息获得对应的IKE SA的情况下向所述第二网络设备发送所述信息交换报文，触发所述第二网络设备重新发起与所述第一网络设备的新的IPsec SA的协商，而不用等到IPsec SA的生存周期快到期时进行新的IPsec SA协商，从而缩短了业务中断的时间、提高了业务处理效率、提升了用户的体验。

在一种可能的设计中，在所述第一网络设备依据所述特征信息无法获得与所述特征信息相对应的所述IKE SA的情况下，丢弃所述加密报文。

通过丢弃，避免了无用报文在设备里的堆积，节约了设备的存储空间。