技術(shù)特征:1.一種因特網(wǎng)協(xié)議安全I(xiàn)PSEC隧道恢復(fù)方法����,其特征在于,包括:
分支出口設(shè)備隨機(jī)創(chuàng)建IPSEC備用端口�;
所述分支出口設(shè)備使用IPSEC默認(rèn)端口作為源端口與總部出口設(shè)備進(jìn)行因特網(wǎng)密鑰交換協(xié)議IKE協(xié)商以建立第一IPSEC隧道;
IKE協(xié)商成功后�����,所述分支出口設(shè)備與所述總部設(shè)備通過所述第一IPSEC隧道進(jìn)行第一內(nèi)網(wǎng)報(bào)文的通信����;
當(dāng)所述第一內(nèi)網(wǎng)報(bào)文的時(shí)間戳無更新時(shí)���,所述分支出口設(shè)備觸發(fā)第一失效對(duì)等體檢測DPD探測;
如果所述第一DPD探測失敗���,則所述分支出口設(shè)備斷開所述第一IPSEC隧道�����,并分別使用所述IPSEC默認(rèn)端口和所述IPSEC備用端口作為源端口與所述總部出口設(shè)備進(jìn)行IKE協(xié)商以建立第二IPSEC隧道���。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于����,所述分別使用所述IPSEC默認(rèn)端口和所述IPSEC備用端口作為源端口與所述總部出口設(shè)備進(jìn)行IKE協(xié)商以建立第二IPSEC隧道,包括:
所述分支出口設(shè)備使用所述IPSEC默認(rèn)端口作為源端口向所述總部出口設(shè)備發(fā)送協(xié)商報(bào)文以重新進(jìn)行IKE協(xié)商����;
如果所述協(xié)商報(bào)文協(xié)商失敗�����,則所述分支出口設(shè)備使用所述IPSEC備用端口作為源端口向所述總部出口設(shè)備重新發(fā)送所述協(xié)商報(bào)文,并且使用所述IPSEC備用端口作為源端口向所述總部出口設(shè)備發(fā)送后續(xù)的協(xié)商報(bào)文�,以建立第二IPSEC隧道。
3.根據(jù)權(quán)利要求1所述的方法�����,其特征在于�,在所述分別使用所述IPSEC默認(rèn)端口和所述IPSEC備用端口作為源端口與所述總部出口設(shè)備進(jìn)行IKE協(xié)商以建立第二IPSEC隧道之后,所述方法還包括:
所述分支出口設(shè)備與所述總部設(shè)備通過所述第二IPSEC隧道進(jìn)行第二內(nèi)網(wǎng)報(bào)文的通信�;
當(dāng)所述第二內(nèi)網(wǎng)報(bào)文的時(shí)間戳無更新時(shí),所述分支出口設(shè)備觸發(fā)第二DPD探測��;
如果所述第二DPD探測失敗����,則所述分支出口設(shè)備斷開所述第二IPSEC隧道,并且所述分支出口設(shè)備分別使用所述IPSEC備用端口和所述IPSEC默認(rèn)端口作為源端口與所述總部出口設(shè)備進(jìn)行IKE協(xié)商以重建所述第一IPSEC隧道����。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于��,所述分支出口設(shè)備分別使用所述IPSEC備用端口和所述IPSEC默認(rèn)端口作為源端口與所述總部出口設(shè)備進(jìn)行IKE協(xié)商以重建所述第一IPSEC隧道���,包括:
所述分支出口設(shè)備使用所述IPSEC備用端口作為源端口向所述總部出口設(shè)備發(fā)送協(xié)商報(bào)文以重新進(jìn)行IKE協(xié)商����;
如果所述協(xié)商報(bào)文協(xié)商失敗,則所述分支出口設(shè)備使用所述IPSEC默認(rèn)端口作為源端口向所述總部出口設(shè)備重新發(fā)送所述協(xié)商報(bào)文��,并且使用所述IPSEC默認(rèn)端口作為源端口向所述總部出口設(shè)備發(fā)送后續(xù)的協(xié)商報(bào)文�����,以重建所述第一IPSEC隧道�����。
5.一種分支出口設(shè)備���,其特征在于���,包括:
創(chuàng)建單元,用于隨機(jī)創(chuàng)建因特網(wǎng)協(xié)議安全I(xiàn)PSEC備用端口���;
協(xié)商單元�,用于使用IPSEC默認(rèn)端口作為源端口與總部出口設(shè)備進(jìn)行因特網(wǎng)密鑰交換協(xié)議IKE協(xié)商以建立第一IPSEC隧道����;
通信單元,用于IKE協(xié)商成功后��,與所述總部設(shè)備通過所述第一IPSEC隧道進(jìn)行第一內(nèi)網(wǎng)報(bào)文的通信����;
探測單元,用于當(dāng)所述第一內(nèi)網(wǎng)報(bào)文的時(shí)間戳無更新時(shí)��,觸發(fā)第一失效對(duì)等體檢測DPD探測�����;
所述協(xié)商單元����,還用于如果所述第一DPD探測失敗,則斷開所述第一IPSEC隧道��,并分別使用所述IPSEC默認(rèn)端口和所述IPSEC備用端口作為源端口與所述總部出口設(shè)備進(jìn)行IKE協(xié)商以建立第二IPSEC隧道���。
6.根據(jù)權(quán)利要求5所述的設(shè)備�,其特征在于���,所述協(xié)商單元���,具體用于:
使用所述IPSEC默認(rèn)端口作為源端口向所述總部出口設(shè)備發(fā)送協(xié)商報(bào)文以重新進(jìn)行IKE協(xié)商�;
如果所述協(xié)商報(bào)文協(xié)商失敗��,則使用所述IPSEC備用端口作為源端口向所述總部出口設(shè)備重新發(fā)送所述協(xié)商報(bào)文��,并且使用所述IPSEC備用端口作為源端口向所述總部出口設(shè)備發(fā)送后續(xù)的協(xié)商報(bào)文����,以建立第二IPSEC隧道。
7.根據(jù)權(quán)利要求5所述的設(shè)備���,其特征在于:
所述通信單元�,還用于在所述協(xié)商單元分別使用所述IPSEC默認(rèn)端口和所述IPSEC備用端口作為源端口與所述總部出口設(shè)備進(jìn)行IKE協(xié)商以建立第二IPSEC隧道之后�����,與所述總部設(shè)備通過所述第二IPSEC隧道進(jìn)行第二內(nèi)網(wǎng)報(bào)文的通信����;
所述探測單元,還用于當(dāng)所述第二內(nèi)網(wǎng)報(bào)文的時(shí)間戳無更新時(shí)�����,觸發(fā)第二DPD探測;
所述協(xié)商單元�����,還用于如果所述第二DPD探測失敗�����,則斷開所述第二IPSEC隧道��,并且分別使用所述IPSEC備用端口和所述IPSEC默認(rèn)端口作為源端口與所述總部出口設(shè)備進(jìn)行IKE協(xié)商以重建所述第一IPSEC隧道��。
8.根據(jù)權(quán)利要求7所述的設(shè)備�����,其特征在于���,所述協(xié)商單元,具體用于:
使用所述IPSEC備用端口作為源端口向所述總部出口設(shè)備發(fā)送協(xié)商報(bào)文以重新進(jìn)行IKE協(xié)商���;
如果所述協(xié)商報(bào)文協(xié)商失敗����,則使用所述IPSEC默認(rèn)端口作為源端口向所述總部出口設(shè)備重新發(fā)送所述協(xié)商報(bào)文,并且使用所述IPSEC默認(rèn)端口作為源端口向所述總部出口設(shè)備發(fā)送后續(xù)的協(xié)商報(bào)文�,以重建所述第一IPSEC隧道。
9.一種因特網(wǎng)協(xié)議安全虛擬專用網(wǎng)IPSEC VPN系統(tǒng)���,其特征在于�����,包括如權(quán)利要求5-8中任一項(xiàng)所述的分支出口設(shè)備�����。