專利名稱:一種ipsec隧道加密報(bào)文的流程優(yōu)化裝置及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域,特別涉及一種ipsec隧道加密報(bào)文的流程優(yōu)化裝置及方法�����。
背景技術(shù):
Ipsec隧道用于對(duì)數(shù)據(jù)報(bào)文進(jìn)行加密���,使加密后的數(shù)據(jù)報(bào)文可以在公網(wǎng)上進(jìn)行轉(zhuǎn)發(fā)��,以防止第三方對(duì)所述數(shù)據(jù)報(bào)文內(nèi)容的竊取和篡改��,保證了數(shù)據(jù)報(bào)文的安全����。在現(xiàn)有技術(shù)中���,當(dāng)有數(shù)據(jù)報(bào)文需要轉(zhuǎn)發(fā)時(shí)�,先將其與ipsec隧道進(jìn)行匹配�����,對(duì)與所述ipsec隧道匹配上的報(bào)文進(jìn)行加密��,并根據(jù)所述報(bào)文查找的路由出接口將其進(jìn)行轉(zhuǎn)發(fā)���;當(dāng)ipsec隧道出現(xiàn)異常時(shí),使用dpd和keepalive等檢測(cè)手段斷開ipsec隧道連接�����。在判斷所述ipsec隧道是否斷開的過(guò)程中��,需要dpd的多次發(fā)送檢測(cè)����,這個(gè)過(guò)程需要一定的時(shí)間��,例如5秒鐘檢測(cè)��,檢測(cè)3次失敗后就斷開隧道���,那么就會(huì)出現(xiàn)ipsec對(duì)等體對(duì)所述報(bào)文加密15秒���,在此過(guò)程中,加密的報(bào)文查找路由出接口失敗�,則將該報(bào)文丟棄。但是ipsec對(duì)等體對(duì)所述報(bào)文進(jìn)行加密是一件非常耗費(fèi)cpu的事情��,對(duì)不必要的報(bào)文進(jìn)行加密將會(huì)影響整個(gè)設(shè)備的轉(zhuǎn)發(fā)性能�����。
發(fā)明內(nèi)容
針對(duì)現(xiàn)有技術(shù)的不足,本發(fā)明提供一種ipsec隧道加密報(bào)文的流程優(yōu)化裝置及方法�����,以減少ipsec對(duì)等體對(duì)報(bào)文進(jìn)行不必要的加密而導(dǎo)致cpu資源浪費(fèi)的問(wèn)題���。為實(shí)現(xiàn)以上目的�����,本發(fā)明通過(guò)以下技術(shù)方案予以實(shí)現(xiàn):本發(fā)明提供一種ipsec隧道加密報(bào)文的流程優(yōu)化方法�����,包括以下步驟:S1�、兩端ipsec對(duì)等體之間建立ipsec隧道,判斷報(bào)文是否與所述ipsec隧道匹配����,若是,則執(zhí)行步驟S2 ��;S2���、判斷所述ipsec隧道的出接口是否斷開�����,若是���,則執(zhí)行步驟S3 ;若不是,則執(zhí)行步驟S4 �����;S3����、所述ipsec對(duì)等體的路由模塊刪除該出接口的所有路由,并將所述報(bào)文丟棄����;S4、對(duì)所述報(bào)文進(jìn)行加密�����,并將加密后的所述報(bào)文按照查找到的出接口進(jìn)行轉(zhuǎn)發(fā)�。
優(yōu)選的����,所述步驟SI進(jìn)一步包括:若所述報(bào)文與所述ipsec隧道不匹配�,則將所述報(bào)文按照查找到的路由進(jìn)行轉(zhuǎn)發(fā)。優(yōu)選的����,所述步驟SI進(jìn)一步包括:所述ipsec隧道通過(guò)ipsec隧道匹配規(guī)則與所述報(bào)文進(jìn)行匹配。本發(fā)明還提供一種ipsec隧道加密報(bào)文的流程優(yōu)化裝置���,包括有:匹配單元����,用于使兩端ipsec對(duì)等體之間建立ipsec隧道�,并判斷報(bào)文是否與所述ipsec隧道匹配;判斷單元����,用于當(dāng)所述報(bào)文與所述ipsec隧道匹配時(shí),判斷所述ipsec隧道的出接口是否斷開;
路由刪除單元,用于當(dāng)所述ipsec隧道的出接口斷開時(shí),使所述ipsec對(duì)等體的路由模塊刪除該出接口的所有路由���,并將所述報(bào)文丟棄���;加密單元��,用于當(dāng)所述ipsec隧道的出接口沒(méi)有斷開時(shí)�����,對(duì)所述報(bào)文進(jìn)行加密,并將加密后的所述報(bào)文按照查找到的出接口進(jìn)行轉(zhuǎn)發(fā)����。優(yōu)選的,所述裝置進(jìn)一步包括:轉(zhuǎn)發(fā)單元�����,用于當(dāng)所述報(bào)文與所述ipsec隧道不匹配時(shí)�,將所述報(bào)文按照查找到的路由進(jìn)行轉(zhuǎn)發(fā)。優(yōu)選的����,所述匹配單元進(jìn)一步用于使所述ipsec隧道通過(guò)ipsec隧道匹配規(guī)則與所述報(bào)文進(jìn)行匹配。本發(fā)明提供一種ipsec隧道加密報(bào)文的流程優(yōu)化裝置及方法�����,通過(guò)先確認(rèn)ipsec隧道的路由出接口是否斷開��,再對(duì)所述報(bào)文進(jìn)行加密的方法,減少了 ipsec隧道的路由出接口異常的情況下�,對(duì)不必要的報(bào)文加密而浪費(fèi)cpu資源的問(wèn)題,提升了網(wǎng)絡(luò)設(shè)備的性能����。
圖1為本發(fā)明一實(shí)施例的流程圖;圖2為本發(fā)明一實(shí)施例的系統(tǒng)裝置圖��。
具體實(shí)施例方式下面對(duì)于本發(fā)明所提出的一種ipsec隧道加密報(bào)文的流程優(yōu)化裝置及方法���,結(jié)合附圖和實(shí)施例詳細(xì)說(shuō)明���。如圖1所示,本發(fā)明提 供一種ipsec隧道加密報(bào)文的流程優(yōu)化方法���,包括以下步驟:S1��、兩端ipsec對(duì)等體之間建立ipsec隧道,判斷報(bào)文是否與所述ipsec隧道匹配��,若是���,則執(zhí)行步驟S2 ;舉例場(chǎng)景如下:fw a---------------------------------------fwbS2、判斷所述ipsec隧道的出接口是否斷開�����,若是,則執(zhí)行步驟S3 ;若不是���,則執(zhí)行步驟S4 �;S3�����、所述ipsec對(duì)等體的路由模塊刪除該出接口的所有路由��,并將所述報(bào)文丟棄��;當(dāng)fw a接收到路由出接口斷開的通知時(shí)�����,其對(duì)應(yīng)的路由模塊就會(huì)刪除該出接口的所有路由�;導(dǎo)致所述報(bào)文查找路由失敗�����,此時(shí)需要加密的該報(bào)文就不在被加密而是直接被丟棄S4���、對(duì)所述報(bào)文進(jìn)行加密�����,并將加密后的所述報(bào)文按照查找到的出接口進(jìn)行轉(zhuǎn)發(fā)���。優(yōu)選的��,所述步驟SI進(jìn)一步包括:若所述報(bào)文與所述ipsec隧道不匹配�,則將所述報(bào)文按照查找到的路由進(jìn)行轉(zhuǎn)發(fā)���。優(yōu)選的����,所述步驟SI進(jìn)一步包括:所述ipsec隧道通過(guò)ipsec隧道匹配規(guī)則與所述報(bào)文進(jìn)行匹配�。如圖2所示,本發(fā)明還提供一種ipsec隧道加密報(bào)文的流程優(yōu)化裝置��,包括有:匹配單元���,用于使兩端ipsec對(duì)等體之間建立ipsec隧道�����,并判斷報(bào)文是否與所述ipsec隧道匹配�;判斷單元,用于當(dāng)所述報(bào)文與所述ipsec隧道匹配時(shí)����,判斷所述ipsec隧道的出接口是否斷開;
路由刪除單元,用于當(dāng)所述ipsec隧道的出接口斷開時(shí),使所述ipsec對(duì)等體的路由模塊刪除該出接口的所有路由����,并將所述報(bào)文丟棄;加密單元�,用于當(dāng)所述ipsec隧道的出接口沒(méi)有斷開時(shí)����,對(duì)所述報(bào)文進(jìn)行加密,并將加密后的所述報(bào)文按照查找到的出接口進(jìn)行轉(zhuǎn)發(fā)����。優(yōu)選的,如圖2所示���,所述裝置進(jìn)一步包括:轉(zhuǎn)發(fā)單元��,用于當(dāng)所述報(bào)文與所述ipsec隧道不匹配時(shí)�����,將所述報(bào)文按照查找到的路由進(jìn)行轉(zhuǎn)發(fā)�。優(yōu)選的,所述匹配單元進(jìn)一步用于使所述ipsec隧道通過(guò)ipsec隧道匹配規(guī)則與所述報(bào)文進(jìn)行匹配����。本發(fā)明提供一種ipsec隧道加密報(bào)文的流程優(yōu)化裝置及方法,通過(guò)先確認(rèn)ipsec隧道的路由出接口是否斷開�����,再對(duì)所述報(bào)文進(jìn)行加密的方法�,減少了 ipsec隧道的路由出接口異常的情況下,對(duì)不必要的報(bào)文加密而浪費(fèi)cpu資源的問(wèn)題�,提升了網(wǎng)絡(luò)設(shè)備的性能。以上實(shí)施方式僅用于說(shuō)明本發(fā)明�����,而并非對(duì)本發(fā)明的限制��,有關(guān)技術(shù)領(lǐng)域的普通技術(shù)人員�����,在不脫離本發(fā)明的精神和范圍的情況下,還可以做出各種變化和變型�����,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇����,本發(fā)明的專利保護(hù)范圍應(yīng)由權(quán)利要求限定。
權(quán)利要求
1.一種ipsec隧道加密報(bào)文的流程優(yōu)化方法����,其特征在于,包括以下步驟: 51��、兩端ipsec對(duì)等體之間建立ipsec隧道,判斷報(bào)文是否與所述ipsec隧道匹配,若是�,則執(zhí)行步驟S2 �����; 52���、判斷所述ipsec隧道的出接口是否斷開��,若是���,則執(zhí)行步驟S3;若不是�,則執(zhí)行步驟S4����; 53、所述ipsec對(duì)等體的路由模塊刪除該出接口的所有路由����,并將所述報(bào)文丟棄; 54�、對(duì)所述報(bào)文進(jìn)行加密,并將加密后的所述報(bào)文按照查找到的出接口進(jìn)行轉(zhuǎn)發(fā)�����。
2.如權(quán)利要求1所述的方法�����,其特征在于���,所述步驟SI進(jìn)一步包括:若所述報(bào)文與所述ipsec隧道不匹配���,則將所述報(bào)文按照查找到的路由進(jìn)行轉(zhuǎn)發(fā)�。
3.如權(quán)利要求1或2所述的方法,其特征在于���,所述步驟SI進(jìn)一步包括:所述ipsec隧道通過(guò)ipsec隧道匹配規(guī)則與所述報(bào)文進(jìn)行匹配��。
4.一種ipsec隧道加密報(bào)文的流程優(yōu)化裝置�����,其特征在于����,包括有: 匹配單元��,用于使兩端ipsec對(duì)等體之間建立ipsec隧道�����,并判斷報(bào)文是否與所述ipsec隧道匹配�; 判斷單元����,用于當(dāng)所述報(bào)文與所述ipsec隧道匹配時(shí)��,判斷所述ipsec隧道的出接口是否斷開����; 路由刪除單元�,用于當(dāng)所述ipsec隧道的出接口斷開時(shí),使所述ipsec對(duì)等體的路由模塊刪除該出接口的所有路由,并將所述報(bào)文丟棄�����; 加密單元���,用于當(dāng)所述ipsec隧道的出接口沒(méi)有斷開時(shí)����,對(duì)所述報(bào)文進(jìn)行加密�����,并將加密后的所述報(bào)文按照查找到的出接口進(jìn)行轉(zhuǎn)發(fā)����。
5.如權(quán)利要求4所述的裝置,其特征在于�����,所述裝置進(jìn)一步包括:轉(zhuǎn)發(fā)單元,用于當(dāng)所述報(bào)文與所述ipsec隧道不匹配時(shí)���,將所述報(bào)文按照查找到的路由進(jìn)行轉(zhuǎn)發(fā)���。
6.如權(quán)利要求4或5所述的裝置,其特征在于���,所述匹配單元進(jìn)一步用于使所述ipsec隧道通過(guò)ipsec隧道匹配規(guī)則與所述報(bào)文進(jìn)行匹配���。
全文摘要
本發(fā)明提供一種ipsec隧道加密報(bào)文的流程優(yōu)化方法,包括以下步驟S1�、兩端ipsec對(duì)等體之間建立ipsec隧道,判斷報(bào)文是否與所述ipsec隧道匹配���,若是��,則執(zhí)行步驟S2���;S2、判斷所述ipsec隧道的出接口是否斷開����,若是,則執(zhí)行步驟S3���;若不是����,則執(zhí)行步驟S4�;S3、所述ipsec對(duì)等體的路由模塊刪除該出接口的所有路由��,并將所述報(bào)文丟棄���;S4����、對(duì)所述報(bào)文進(jìn)行加密����,并將加密后的所述報(bào)文按照查找到的出接口進(jìn)行轉(zhuǎn)發(fā);本發(fā)明減少了ipsec對(duì)等體對(duì)報(bào)文進(jìn)行不必要的加密而導(dǎo)致cpu資源浪費(fèi)的問(wèn)題��。
文檔編號(hào)H04L29/06GK103200194SQ20131010522
公開日2013年7月10日 申請(qǐng)日期2013年3月28日 優(yōu)先權(quán)日2013年3月28日
發(fā)明者陳海濱 申請(qǐng)人:漢柏科技有限公司