CN103475655A - 一种实现IPSecVPN主备链路动态切换的方法 - Google Patents
一种实现IPSecVPN主备链路动态切换的方法 Download PDFInfo
- Publication number
- CN103475655A CN103475655A CN2013104039082A CN201310403908A CN103475655A CN 103475655 A CN103475655 A CN 103475655A CN 2013104039082 A CN2013104039082 A CN 2013104039082A CN 201310403908 A CN201310403908 A CN 201310403908A CN 103475655 A CN103475655 A CN 103475655A
- Authority
- CN
- China
- Prior art keywords
- link
- primary link
- ipsec tunnel
- vpn
- routing interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种实现IPSecVPN主备链路动态切换的方法,涉及网络安全领域,每个周期包括:1)通过DPD机制检测主链路是否正常,如果正常,则执行步骤3),如果不正常则执行步骤2);2)虚拟专用网络VPN的流量从备链路的网络协议安全IPSec隧道转发;流程结束;3)虚拟专用网络VPN的流量从主链路的网络协议安全IPSec隧道转发;流程结束。本发明将IPSec的DPD检测机制与wan接口路由进行巧妙关联,同时根据链路状态对路由的优先级做出灵活处理,使得在没有GRE时,也能实现主备链路的切换,提高数据转发性能。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种实现IPSec VPN主备链路动态切换的方法。
背景技术
IPSec(Internet协议安全)是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec有两个基本目标:1)保护IP数据包安全;2)为抵御网络攻击提供防护措施。
IPSec通常用来组建VPN(Virtual Private Network,虚拟专用网络),它大体分为两个阶段:隧道协商阶段和数据传送阶段。
隧道协商阶段主要是通过IKE(Internet密钥交换协议)来完成,隧道的建立需要经过两个阶段的协商。第一阶段建立一个验证的安全联盟和密钥,称为IKE SA(Security Association,安全联盟)。它主要包括提案与密钥的交换,在这一阶段,有两种交换模式:主模式、野蛮模式。不管哪一种模式,都是交换提案,并协商出一种双方都可以接受的安全属性。如预共享密钥或证书的交换、加密认证算法、密钥、DH组(Diffie-Hellman,密钥交换协议/算法)、IKE SA生存期。随后可用IKE SA为IPSec安全协议建立安全联盟。这一阶段主要包含认证方式、身份信息交换(预共享密钥或证书)、算法、密钥、SA生存期的协商。第二阶段建立一个用于IPSec的安全联盟,称为IPSecSA。第二阶段完成后,也就相当于VPN隧道建立完成,可以开始加密通信。第二阶段必须在第一阶段建立的IKE SA保护下进行。
数据传送阶段主要是通过ESP(Encapsulating Security Payload,数据封装加密)和AH(Authentication Header,认证表头)两个协议来完成。ESP可以提供加密和认证功能,AH只能提供认证功能。
IPSec VPN可以使两个异地的私有网络连接起来,或者使公网上的计算机可以访问远程的企业私有网络。在总部与多个分支之间建立IPSec VPN时,会使用主备链路备份的方案,增强VPN业务的可靠性。如图1所示,一路上行为电信网络,另一路上行为联通网络,对于总部来说,两路VPN隧道同时工作,优先级相同,选择哪一条隧道传输数据由分支决定;对于分支来说,两路上行之间要实现备份的功能,需要满足如下要求:主链路传输数据的时候,备链路不参与,当主链路发生故障时,流量会切换到备链路,当主链路故障恢复后,流量会切回到主链路。
通过将原始报文先经过GRE(Generic Routing Encapsulation,通用路由封装)隧道的封装再进行IPSec隧道的封装,称为GRE over IPSec,上述方式可以做到主备链路的动态切换,它利用GRE的点到点的路由来实现。因为GRE链路上会定时发送keepalive报文来确认对端是否可达,所以它能感知到链路上任意一个路由节点的故障。两条链路都正常时,通过GRE的路由优先级来选择主链路,如图1所示,以分支一为例,假设wan0对应GRE0,wan1对应GRE1。
两条链路都正常时,分支一上的路由信息如下:
目的地址/掩码 | 下一跳 | 出接口 | 优先级 | 状态 |
192.168.1.0/24 | 总部GRE0的IP | GRE0 | 10 | 有效 |
192.168.1.0/24 | 总部GRE1的IP | GRE1 | 20 | 无效 |
分支一对应的总部路由信息如下:
目的地址/掩码 | 下一跳 | 出接口 | 优先级 | 状态 |
192.168.10.0/24 | 分支一GRE0的IP | GRE0 | 10 | 有效 |
192.168.10.0/24 | 分支一GRE1的IP | GRE1 | 20 | 无效 |
此时wan0为主链路(即电信网络),分支一的数据报文先经过GRE0隧道的封装,再经过wan0上IPSec隧道的封装送到总部。
当电信网络发生故障时,GRE0的keepalive报文无法到达对端,GRE0口down,对应的GRE路由变为无效,GRE1口对应的路由变为有效,流量由从wan0转发切换到从wan1口转发,经过联通网络到达总部。
当电信网络故障恢复时,GRE0口对应的路由重新变为有效,流量重新回到wan0链路。
对于分别对应wan0和wan1的两条IPSec连接来说,它们的感兴趣流都一样,只是出接口不一样,所以IPSec连接本身并没有主备之分,只能通过路由来选择使用哪个接口对应的IPSec隧道。对分支来说,如果用wan0和wan1的下一跳来配置路由,那么只有当wan0和wan1本身或者直连端口down时才能改变路由状态,而当中间网络发生故障时,路由状态不会变化,流量也就不会切换链路。如果采用GRE over IPSec的方式,如上所述,能够满足链路备份的需求,但是配置较为复杂,更主要的是,每个数据包都增加了GRE的开销,降低了转发性能。
发明内容
为了满足链路备份的需求,在网络发生故障时,顺利切换链路,本发明提供一种实现IPSec VPN主备链路动态切换的方法,
为了解决上述技术问题,本发明的技术方案如下:
一种实现IPSec VPN主备链路动态切换的方法,每个周期包括:
1)通过DPD机制检测主链路是否正常,如果正常,则执行步骤3),如果不正常则执行步骤2);
2)虚拟专用网络VPN的流量从备链路的网络协议安全IPSec隧道转发;流程结束;
3)虚拟专用网络VPN的流量从主链路的网络协议安全IPSec隧道转发;流程结束。
进一步地,步骤2)后还包括:
2-1)检测主链路是否恢复正常,如果恢复正常,则VPN流量切换到主链路的IPSec隧道,执行步骤3);若如果主链路未恢复正常,则执行步骤2);
进一步地,步骤2)包括:
删除主链路的安全联盟SA;
将备链路的IPSec隧道的所有路由接口状态变为有效;
VPN流量切换到备链路的IPSec隧道。
或:
将主链路的IPSec隧道的所有路由接口优先级设为最低;
将备链路的IPSec隧道的所有路由接口状态变为有效;
VPN流量切换到备链路的IPSec隧道。
进一步地,步骤2-1)中所述VPN流量切换到主链路的IPSec隧道的步骤包括:
添加主链路的安全联盟SA;
将备链路的IPSec隧道的所有路由接口状态变为无效;
VPN流量切换到主链路的IPSec隧道。
或:
将主链路的IPSec隧道的所有路由接口优先级设为最高;
将备链路的IPSec隧道的所有路由接口状态变为无效;
VPN流量切换到主链路的IPSec隧道。
进一步地,步骤2-1)中检测主链路是否恢复正常的步骤包括:
从主链路的IPSec隧道的起始路由接口向主链路的IPSec隧道的终止路由接口发送网络控制报文协议ICMP时间戳请求;
如果所述起始路由接口收到所述终止路由接口返回的ICMP时间戳应答,则主链路恢复正常;否则,主链路未恢复正常。
进一步地,所述主链路的网络安全协议隧道的起始路由接口向主链路的网络安全协议隧道的终止路由接口发送网络控制报文协议ICMP时间戳请求的方式为定期发送。
进一步地,步骤2-1)中检测主链路是否恢复正常的步骤包括:
A)从主链路的IPSec隧道的起始路由接口向主链路的IPSec隧道的终止路由接口发送网络控制报文协议ICMP时间戳请求;
B)如果所述起始路由接口收到所述终止路由接口返回的ICMP时间戳应答,则执行步骤C);否则,主链路未恢复正常;
C)计算所述起始路由接口发送ICMP时间戳请求与接收到ICMP时间戳应答的时间差,如果所述时间差小于或者等于阈值,则主链路恢复正常;如果所述时间差大于阈值,则主链路未恢复正常。
进一步地,所述步骤A)的发送方式为定期发送。
与现有技术相比,本发明将IPSec的DPD(Dead peer detection,失效对端检测)检测机制与wan接口路由进行巧妙关联,同时根据链路状态对路由的优先级做出灵活处理,使得在没有GRE时,也能实现主备链路的切换,提高数据转发性能。
附图说明
图1为现有技术的主备链路动态切换的方法的流程图;
图2为本发明实施例的主备链路动态切换的方法的流程图;
图3为本发明实施例一的主备链路动态切换的方法的流程图;
图4为本发明实施例一的时间戳记录方式的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
如图2所示,本发明实施例提出了一种实现IPSec VPN主备链路动态切换的方法,用于VPN的流量在IPSec隧道的切换,所述方法每个周期包括:
1)通过DPD机制检测主链路是否正常,如果正常,则执行步骤3),如果不正常则执行步骤2);
2)虚拟专用网络VPN的流量从备链路的网络协议安全IPSec隧道转发;流程结束;
3)虚拟专用网络VPN的流量从主链路的网络协议安全IPSec隧道转发;流程结束。
DPD机制是通过与隧道对端交换特定格式的报文来确认对端是否在线的一种方式,它包括两种宣告消息类型:R-U-THERE和R-U-THERE-ACK,请求方发送R-U-THERE,如果能收到对端回应的R-U-THERE-ACK,说明链路可用,如果在规定时间收不到应答,则认为链路不可用,此时请求方会删除IPSec隧道,重新开始协商。
为了便于在主链路故障恢复后,流量会切回到主链路。本发明实施例中,可以包括检测主链路是否恢复正常的步骤,具体可以在步骤2)后包括:
2-1)检测主链路是否恢复正常,如果恢复正常,则VPN流量切换到主链路的IPSec隧道,执行步骤3);若如果主链路未恢复正常,则执行步骤2);
步骤2)可以通过下列方式之一实现:
删除主链路的安全联盟SA;将备链路的IPSec隧道的所有路由接口状态变为有效;VPN流量切换到备链路的IPSec隧道;
或者,将主链路的IPSec隧道的所有路由接口优先级设为最低;将备链路的IPSec隧道的所有路由接口状态变为有效;VPN流量切换到备链路的IPSec隧道。
在其他实施例中,可以将上述两种方式结合,删除主链路的安全联盟SA并将主链路的IPSec隧道的所有路由接口优先级设为最低;将备链路的IPSec隧道的所有路由接口状态变为有效;VPN流量切换到备链路的IPSec隧道。
步骤2-1)中所述VPN流量切换到主链路的IPSec隧道可以通过下列方式之一实现:
添加主链路的安全联盟SA;将备链路的IPSec隧道的所有路由接口状态变为无效;VPN流量切换到主链路的IPSec隧道;
或者,将主链路的IPSec隧道的所有路由接口优先级设为最高;将备链路的IPSec隧道的所有路由接口状态变为无效;VPN流量切换到主链路的IPSec隧道。
在其他实施例中,可以将上述两种方式结合,添加主链路的安全联盟SA;将主链路的IPSec隧道的所有路由接口优先级设为最高;将备链路的IPSec隧道的所有路由接口状态变为无效;VPN流量切换到主链路的IPSec隧道。
步骤2-1)中检测主链路是否恢复正常的步骤可以为:
从主链路的IPSec隧道的起始路由接口向主链路的IPSec隧道的终止路由接口发送网络控制报文协议ICMP时间戳请求;
如果所述起始路由接口收到所述终止路由接口返回的ICMP时间戳应答,则主链路恢复正常;否则,主链路未恢复正常。
上述ICMP时间戳请求可以为定期发送。
步骤2-1)中检测主链路是否恢复正常的步骤还可以为:
A)从主链路的IPSec隧道的起始路由接口向主链路的IPSec隧道的终止路由接口发送网络控制报文协议ICMP时间戳请求;
B)如果所述起始路由接口收到所述终止路由接口返回的ICMP时间戳应答,则执行步骤C);否则,主链路未恢复正常;
C)计算所述起始路由接口发送ICMP时间戳请求与接收到ICMP时间戳应答的时间差,如果所述时间差小于或者等于阈值,则主链路恢复正常;如果所述时间差大于阈值,则主链路未恢复正常。
上述ICMP时间戳请求也可以为定期发送。
上述两种检测主链路是否恢复正常的方式实现定期发送ICMP时间戳请求可以利用定时器,每个定时器的时长,发送一次。
其中阈值和定时器的长度,根据链路长短和网络带宽状况等因素,由技术人员根据实际经验设置,本发明实施例中不做限定;
可以在主链路正常时,计算并记录多组发送ICMP时间戳请求与接收到ICMP时间戳应答的时间差,即多组报文往返时间rtt,同时记录最大rtt值rtt(max),将rtt(max)设为阈值。
在其他实施例中,步骤C)中的时间差可以为多次起始路由接口发送ICMP时间戳请求与接收到ICMP时间戳应答的时间的平均值。
实施例一
按照图1所示的组网方式,以分支一为例,架设在故障发生前,wan0链路(与电信网络连接)为主链路,wan1链路(与联通网络连接)为备链路。
对于分支一来说,需要添加两条IPSec连接分别对应wan0口和wan1口;
添加两条静态路由,目的地址指向总部内网,出接口为wan0和wan1,wan0的路由优先级高于wan1,
两条链路都正常时,分支一上的路由信息如下:
目的地址/掩码 | 下一跳 | 出接口 | 优先级 | 状态 |
192.168.1.0/24 | wan0连接的接口IP | wan0 | 10 | 有效 |
192.168.1.0/24 | wan1连接的接口IP | wan1 | 20 | 无效 |
切换的过程如下:
S1)通过DPD机制定时检测主链路是否正常,并记录时间戳,如果正常,则执行步骤S2),如果不正常则执行步骤S3);
S2)VPN流量通过wan0口对应的主链路IPSec隧道转发;等待周期到达,执行步骤S1);
S3)删除wan0口对应的主链路的SA;和/或将wan0口对应的主链路的IPSec隧道的所有路由接口优先级设为最低;
S4)将wan1口对应的备链路IPSec隧道的所有路由接口状态变为有效;流量切换到wan1口;
S5)wan1口对应的备链路的IPSec隧道被触发;
S6)VPN流量通过wan1口对应的备链路IPSec隧道转发;
以下步骤S7)至S12)通过DPD机制定时检测主链路是否正常的步骤:
S7)等待定时器的时长,从分支一的wan1口向总部的wan1口发送网络控制报文协议ICMP时间戳请求;
S8)如果分支一的wan1口收到总部的wan1口返回的ICMP时间戳应答,则执行步骤S10);否则,主链路未恢复正常,执行步骤S6)。
S9)计算分支一的wan1口发送ICMP时间戳请求与接收到ICMP时间戳应答的时间差,如果所述时间差小于或者等于阈值,则主链路恢复正常;执行步骤S10);如果所述时间差大于阈值,则主链路未恢复正常;执行步骤S6);
S10)添加wan0口对应的主链路的SA;和/或将wan0口对应的主链路的IPSec隧道的所有路由接口优先级设为最高;
S11)将wan1口对应的备链路的IPSec隧道的所有路由接口状态变为无效;
S12)wan0口对应的主链路的IPSec隧道被触发,执行步骤S2)。
其中步骤S7)也可以在步骤S3)、S4)、S5)后面开始,无需等到VPN流量通过备链路IPSec隧道转发后开始计时。
主备链路都正常时,流量会选择从wan0口出,此时触发wan0对应的IPSEC隧道进行流量转发,在wan0隧道上启用DPD机制,用来检测总部wan0口是否可达,同时对DPD协议进行扩展,添加12字节的时间戳选项,并计算报文往返时间rtt,同时记录最大rtt值rtt(max)。报文结构如下:
如图4所示,分支一作为请求端,填写发送时间戳,然后发送DPD报文,总部作为应答方填写接收时间戳和传送时间戳,分支一收到DPD应答包后计算往返时间并记录下来。
当wan0链路发送故障时,通过DPD结束之前最后一个包通知路由模块,将wan0口的路由优先级改写为255(最低),此时wan1口的路由将变为有效。流量切换到wan1链路。
目的地址/掩码 | 下一跳 | 出接口 | 优先级 | 状态 |
192.168.1.0/24 | wan0连接的接口IP | wan0 | 255 | 无效 |
192.168.1.0/24 | wan1连接的接口IP | wan1 | 20 | 有效 |
wan0口路由降低优先级后启动一个定时器,从分支一的wan0口的IP地址向总部wan0口的IP地址定期发送ICMP时间戳请求,如果能收到总部的时间戳应答,计算连续3次的rtt值并取平均值,记为rtt(ave),当ICMP的rtt(ave)≤DPD的rtt(max),说明wan0链路已恢复并且延时不比故障发生前差。如果收不到总部的应答,或者ICMP的rtt(ave)>DPD的rtt(max),说明wan0链路仍处于故障中。因为运营商的网络并不是孤立的,电信网络和联通网络之间肯定是相通的,能否收到ICMP应答要看故障出现的位置,之所以用到时间戳,是为了判断报文是否走的最优路径。
如果能收到总部的时间戳应答,并且ICMP的rtt≤DPD的rtt(max),就恢复wan0口的路由优先级,同时停止ICMP报文的发送。此时wan0口的路由重新变为有效,流量切回到wan0链路。
本发明有如下优点:
可以缩短切换时间,因为DPD是IPSec本身的机制,它能及时检测到IPSec隧道的故障,所以把DPD检测和路由切换进行关联,切换的实时性会更高一些,传统的ICMP检测也能感知到链路的故障并触发主备切换,但实时性方面会差一些。
将IPSec VPN的可靠性组网方案变得更加容易部署,在减少配置的情况下,依然能实现完整的动态链路切换功能。
减少了GRE的开销,保证可靠性的同时不会降低VPN的性能。
使VPN网络的维护变得更加轻松。
以上实施例仅用以说明本发明的技术方案而非限制,仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种实现IPSec VPN主备链路动态切换的方法,其特征在于:所述方法每个周期包括:
1)通过DPD机制检测主链路是否正常,如果正常,则执行步骤3),如果不正常则执行步骤2);
2)虚拟专用网络VPN的流量从备链路的网络协议安全IPSec隧道转发;流程结束;
3)虚拟专用网络VPN的流量从主链路的网络协议安全IPSec隧道转发;流程结束。
2.如权利要求1所述的方法,其特征在于:步骤2)后还包括:
2-1)检测主链路是否恢复正常,如果恢复正常,则VPN流量切换到主链路的IPSec隧道,执行步骤3);若如果主链路未恢复正常,则执行步骤2)。
3.如权利要求1所述的方法,其特征在于:步骤2)包括:
删除主链路的安全联盟SA;
将备链路的IPSec隧道的所有路由接口状态变为有效;
VPN流量切换到备链路的IPSec隧道。
4.如权利要求1所述的方法,其特征在于:步骤2)包括:
将主链路的IPSec隧道的所有路由接口优先级设为最低;
将备链路的IPSec隧道的所有路由接口状态变为有效;
VPN流量切换到备链路的IPSec隧道。
5.如权利要求2所述的方法,其特征在于:步骤2-1)中所述VPN流量切换到主链路的IPSec隧道的步骤包括:
添加主链路的安全联盟SA;
将备链路的IPSec隧道的所有路由接口状态变为无效;
VPN流量切换到主链路的IPSec隧道。
6.如权利要求2所述的方法,其特征在于:步骤2-1)中所述VPN流量切换到主链路的IPSec隧道的步骤包括:
将主链路的IPSec隧道的所有路由接口优先级设为最高;
将备链路的IPSec隧道的所有路由接口状态变为无效;
VPN流量切换到主链路的IPSec隧道。
7.如权利要求2述的方法,其特征在于:步骤2-1)中检测主链路是否恢复正常的步骤包括:
从主链路的IPSec隧道的起始路由接口向主链路的IPSec隧道的终止路由接口发送网络控制报文协议ICMP时间戳请求;
如果所述起始路由接口收到所述终止路由接口返回的ICMP时间戳应答,则主链路恢复正常;否则,主链路未恢复正常。
8.如权利要求7所述的方法,其特征在于:所述主链路的网络安全协议隧道的起始路由接口向主链路的网络安全协议隧道的终止路由接口发送网络控制报文协议ICMP时间戳请求的方式为定期发送。
9.如权利要求2所述的方法,其特征在于:步骤2-1)中检测主链路是否恢复正常的步骤包括:
A)从主链路的IPSec隧道的起始路由接口向主链路的IPSec隧道的终止路由接口发送网络控制报文协议ICMP时间戳请求;
B)如果所述起始路由接口收到所述终止路由接口返回的ICMP时间戳应答,则执行步骤C);否则,主链路未恢复正常;
C)计算所述起始路由接口发送ICMP时间戳请求与接收到ICMP时间戳应答的时间差,如果所述时间差小于或者等于阈值,则主链路恢复正常;如果所述时间差大于阈值,则主链路未恢复正常。
10.如权利要求9所述的方法,其特征在于:所述步骤A)的发送方式为定期发送。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310403908.2A CN103475655B (zh) | 2013-09-06 | 2013-09-06 | 一种实现IPSecVPN主备链路动态切换的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310403908.2A CN103475655B (zh) | 2013-09-06 | 2013-09-06 | 一种实现IPSecVPN主备链路动态切换的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103475655A true CN103475655A (zh) | 2013-12-25 |
CN103475655B CN103475655B (zh) | 2016-09-07 |
Family
ID=49800351
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310403908.2A Active CN103475655B (zh) | 2013-09-06 | 2013-09-06 | 一种实现IPSecVPN主备链路动态切换的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103475655B (zh) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104580258A (zh) * | 2015-02-03 | 2015-04-29 | 迈普通信技术股份有限公司 | 一种快速检测IPSec对等体失效的方法及*** |
CN105721190A (zh) * | 2014-12-04 | 2016-06-29 | 华为技术有限公司 | 数据传输路径的故障检测方法、装置及服务器 |
WO2016177181A1 (zh) * | 2015-08-27 | 2016-11-10 | 中兴通讯股份有限公司 | 一种数据传输方法及装置 |
CN106533881A (zh) * | 2016-11-10 | 2017-03-22 | 锐捷网络股份有限公司 | Ipsec隧道恢复方法、分支出口设备和ipsec vpn*** |
CN109831328A (zh) * | 2019-01-30 | 2019-05-31 | 杭州迪普科技股份有限公司 | 智能选路的切换方法、装置、电子设备 |
CN110138636A (zh) * | 2019-04-30 | 2019-08-16 | 浙江亿邦通信科技有限公司 | 动态线性保护方法及装置 |
CN110493135A (zh) * | 2018-05-15 | 2019-11-22 | 佳能株式会社 | 通信装置、控制方法以及计算机可读存储介质 |
CN110943878A (zh) * | 2018-09-25 | 2020-03-31 | 海能达通信股份有限公司 | 心跳包传输方法、终端及具有存储功能的装置 |
CN111262665A (zh) * | 2018-11-30 | 2020-06-09 | 北京金山云网络技术有限公司 | 数据通信方法、装置、控制器及*** |
CN111884877A (zh) * | 2020-07-23 | 2020-11-03 | 厦门爱陆通通信科技有限公司 | 一种增强ipsec链路稳定性的有效网关检测机制的方法 |
CN113179278A (zh) * | 2021-05-20 | 2021-07-27 | 北京天融信网络安全技术有限公司 | 异常数据包的检测方法及电子设备 |
CN113630276A (zh) * | 2021-08-16 | 2021-11-09 | 迈普通信技术股份有限公司 | 一种主备切换控制方法、装置及dvpn网络*** |
CN113691394A (zh) * | 2021-07-29 | 2021-11-23 | 广州鲁邦通物联网科技有限公司 | 一种vpn通信的建立和切换的方法和*** |
CN115499297A (zh) * | 2022-09-07 | 2022-12-20 | 北京国领科技有限公司 | 一种ipsec加密隧道无延迟热备份的方法 |
WO2023070572A1 (en) * | 2021-10-29 | 2023-05-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Communication device and method therein for facilitating ipsec communications |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、***和节点设备、组网架构 |
CN101521602A (zh) * | 2008-02-29 | 2009-09-02 | 上海博达数据通信有限公司 | 利用IKE监测IPSec VPN中通信节点状态的实现方法 |
CN101931610A (zh) * | 2009-06-22 | 2010-12-29 | 华为技术有限公司 | 一种互联网协议安全链路保护方法和装置 |
CN102946333A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
CN103067956A (zh) * | 2013-01-22 | 2013-04-24 | 迈普通信技术股份有限公司 | 3G网络环境中IPSec隧道备份及切换方法和设备 |
-
2013
- 2013-09-06 CN CN201310403908.2A patent/CN103475655B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101521602A (zh) * | 2008-02-29 | 2009-09-02 | 上海博达数据通信有限公司 | 利用IKE监测IPSec VPN中通信节点状态的实现方法 |
CN101442471A (zh) * | 2008-12-31 | 2009-05-27 | 杭州华三通信技术有限公司 | 实现IPSec隧道备份和切换的方法、***和节点设备、组网架构 |
CN101931610A (zh) * | 2009-06-22 | 2010-12-29 | 华为技术有限公司 | 一种互联网协议安全链路保护方法和装置 |
CN102946333A (zh) * | 2012-10-31 | 2013-02-27 | 杭州华三通信技术有限公司 | 一种基于IPsec的DPD探测方法和设备 |
CN103067956A (zh) * | 2013-01-22 | 2013-04-24 | 迈普通信技术股份有限公司 | 3G网络环境中IPSec隧道备份及切换方法和设备 |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721190A (zh) * | 2014-12-04 | 2016-06-29 | 华为技术有限公司 | 数据传输路径的故障检测方法、装置及服务器 |
CN104580258B (zh) * | 2015-02-03 | 2018-08-24 | 迈普通信技术股份有限公司 | 一种快速检测IPSec对等体失效的方法及*** |
CN104580258A (zh) * | 2015-02-03 | 2015-04-29 | 迈普通信技术股份有限公司 | 一种快速检测IPSec对等体失效的方法及*** |
WO2016177181A1 (zh) * | 2015-08-27 | 2016-11-10 | 中兴通讯股份有限公司 | 一种数据传输方法及装置 |
CN106487678A (zh) * | 2015-08-27 | 2017-03-08 | 中兴通讯股份有限公司 | 数据传输方法及装置 |
CN106533881A (zh) * | 2016-11-10 | 2017-03-22 | 锐捷网络股份有限公司 | Ipsec隧道恢复方法、分支出口设备和ipsec vpn*** |
US11509625B2 (en) | 2018-05-15 | 2022-11-22 | Canon Kabushiki Kaisha | Communication apparatus, control method, and computer-readable storage medium |
CN110493135A (zh) * | 2018-05-15 | 2019-11-22 | 佳能株式会社 | 通信装置、控制方法以及计算机可读存储介质 |
CN110943878A (zh) * | 2018-09-25 | 2020-03-31 | 海能达通信股份有限公司 | 心跳包传输方法、终端及具有存储功能的装置 |
CN111262665A (zh) * | 2018-11-30 | 2020-06-09 | 北京金山云网络技术有限公司 | 数据通信方法、装置、控制器及*** |
CN111262665B (zh) * | 2018-11-30 | 2022-04-12 | 北京金山云网络技术有限公司 | 数据通信方法、装置、控制器及*** |
CN109831328A (zh) * | 2019-01-30 | 2019-05-31 | 杭州迪普科技股份有限公司 | 智能选路的切换方法、装置、电子设备 |
CN110138636A (zh) * | 2019-04-30 | 2019-08-16 | 浙江亿邦通信科技有限公司 | 动态线性保护方法及装置 |
CN111884877A (zh) * | 2020-07-23 | 2020-11-03 | 厦门爱陆通通信科技有限公司 | 一种增强ipsec链路稳定性的有效网关检测机制的方法 |
CN111884877B (zh) * | 2020-07-23 | 2022-02-15 | 厦门爱陆通通信科技有限公司 | 一种增强ipsec链路稳定性的有效网关检测机制的方法 |
CN113179278A (zh) * | 2021-05-20 | 2021-07-27 | 北京天融信网络安全技术有限公司 | 异常数据包的检测方法及电子设备 |
CN113179278B (zh) * | 2021-05-20 | 2023-04-18 | 北京天融信网络安全技术有限公司 | 异常数据包的检测方法及电子设备 |
CN113691394A (zh) * | 2021-07-29 | 2021-11-23 | 广州鲁邦通物联网科技有限公司 | 一种vpn通信的建立和切换的方法和*** |
CN113630276A (zh) * | 2021-08-16 | 2021-11-09 | 迈普通信技术股份有限公司 | 一种主备切换控制方法、装置及dvpn网络*** |
CN113630276B (zh) * | 2021-08-16 | 2024-04-09 | 迈普通信技术股份有限公司 | 一种主备切换控制方法、装置及dvpn网络*** |
WO2023070572A1 (en) * | 2021-10-29 | 2023-05-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Communication device and method therein for facilitating ipsec communications |
CN115499297A (zh) * | 2022-09-07 | 2022-12-20 | 北京国领科技有限公司 | 一种ipsec加密隧道无延迟热备份的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN103475655B (zh) | 2016-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103475655B (zh) | 一种实现IPSecVPN主备链路动态切换的方法 | |
CN107682284A (zh) | 发送报文的方法和网络设备 | |
CN103259768B (zh) | 一种消息认证方法、***和装置 | |
CN110753327B (zh) | 一种基于无线自组网和LoRa的终端物联接入*** | |
CN103166849B (zh) | IPSec VPN互联组网路由收敛的方法及路由设备 | |
EP1851893B1 (en) | Method and system for recovery of state information of a first tunnel endpoint in an layer two tunnelling protocol (l2tp) network | |
CN101917294B (zh) | 主备切换时更新防重放参数的方法和设备 | |
CN107547366A (zh) | 一种报文转发方法和装置 | |
CN108810023A (zh) | 安全加密方法、密钥共享方法以及安全加密隔离网关 | |
CN112822103B (zh) | 一种信息上报方法和信息处理方法及设备 | |
US20170054692A1 (en) | Mapping system assisted key refreshing | |
CN103716196A (zh) | 一种网络设备及探测方法 | |
CN106533881B (zh) | Ipsec隧道恢复方法、分支出口设备和ipsec vpn*** | |
CN107248913A (zh) | 一种基于动态组网故障检测的量子密钥同步***及方法 | |
CN105391690B (zh) | 一种基于pof的网络窃听防御方法和*** | |
CN108632044A (zh) | 一种基于自认证码的信息交互*** | |
CN103391226A (zh) | 一种ppp链路检测维护方法及*** | |
CN102891850A (zh) | IPSec隧道更新防重放参数的方法 | |
CN102970277B (zh) | 一种多源安全关联建立方法及*** | |
CN104580258B (zh) | 一种快速检测IPSec对等体失效的方法及*** | |
CN110024432B (zh) | 一种x2业务传输方法及网络设备 | |
CN105991352B (zh) | 一种安全联盟备份方法以及装置 | |
CN101106506A (zh) | 网络信息交换方法 | |
CN101043410B (zh) | 实现移动vpn业务的方法及*** | |
CN105703997B (zh) | 一种隧道控制方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |