一種解決ike重復(fù)協(xié)商的方法
【專利摘要】本發(fā)明公開了一種解決IKE重復(fù)協(xié)商的方法��,包括以下步驟:S1:第一防火墻設(shè)備和第二防火墻設(shè)備同時(shí)互相向?qū)Χ税l(fā)送主動(dòng)協(xié)商報(bào)文�,第一防火墻設(shè)備和第二防火墻設(shè)備均被配置為使用IP地址值較大的作為協(xié)商IKE角色沖突時(shí)的主動(dòng)放棄主動(dòng)角色端,若第一防火墻設(shè)備的IP地址值較大���,則執(zhí)行步驟S2����,否則執(zhí)行步驟S3�;S2:若第一防火墻設(shè)備一端的IP地址值較大,則保留作為主動(dòng)發(fā)起協(xié)商端�����,第二防火墻設(shè)備一端作為響應(yīng)端���,放棄第一防火墻設(shè)備作為響應(yīng)端�����,放棄第二防火墻設(shè)備作為主動(dòng)發(fā)起協(xié)商端��;S3:若第二防火墻設(shè)備的IP地址值較大�����,則保留第二防火墻設(shè)備作為主動(dòng)發(fā)起協(xié)商端��,第一防火墻設(shè)備作為響應(yīng)端�,放棄第二防火墻設(shè)備作為響應(yīng)端,放棄第一防火墻設(shè)備作為主動(dòng)發(fā)起協(xié)商端�。
【專利說(shuō)明】 —種解決IKE重復(fù)協(xié)商的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信【技術(shù)領(lǐng)域】,特別涉及一種解決IKE重復(fù)協(xié)商的方法�����。
【背景技術(shù)】
[0002]正常建立ipsec隧道的流程是���,一端防火墻設(shè)備作為主動(dòng)發(fā)起端�,發(fā)送第一個(gè)IKE協(xié)商報(bào)文����,另一端防火墻設(shè)備接收到此報(bào)文后進(jìn)行回復(fù)�����,此時(shí)另一端防火墻設(shè)備自然就作為被動(dòng)協(xié)商端的角色��,此時(shí)經(jīng)過(guò)幾次協(xié)商之后就建立起了 ipsec隧道��,但當(dāng)兩端都作為主動(dòng)協(xié)商端進(jìn)行第一個(gè)報(bào)文發(fā)送時(shí),就會(huì)出現(xiàn)兩臺(tái)防火墻設(shè)備既作為主動(dòng)發(fā)起端�����,又作為了了被動(dòng)協(xié)商端����,建立了兩條IKE sa隧道,這種現(xiàn)象在網(wǎng)絡(luò)震蕩中由于中間網(wǎng)絡(luò)設(shè)備異常斷開����,此時(shí)兩臺(tái)ipsec設(shè)備都不斷地發(fā)送主動(dòng)協(xié)商報(bào)文,然后中間網(wǎng)絡(luò)設(shè)備又恢復(fù)了��,此時(shí)兩端防火墻設(shè)備就都會(huì)得到對(duì)端發(fā)送的主動(dòng)協(xié)商IKE報(bào)文���,當(dāng)前設(shè)備往往無(wú)法處理此種情況從而創(chuàng)建兩條重復(fù)的IKE sa隧道���,浪費(fèi)整機(jī)最大IKE sa數(shù),并且增加整機(jī)的IKE sa狀態(tài)維護(hù)負(fù)擔(dān)���。
【發(fā)明內(nèi)容】
[0003](一 )要解決的技術(shù)問題
[0004]本發(fā)明要解決的是解決網(wǎng)絡(luò)通信中由于兩端防火墻設(shè)備同時(shí)發(fā)送主動(dòng)協(xié)商報(bào)文從而建立兩條IKE sa隧道��,造成的浪費(fèi)整機(jī)IKE sa數(shù)量����,增加整機(jī)的IKE sa狀態(tài)維護(hù)負(fù)擔(dān)的問題。
[0005]( 二 )技術(shù)方案
[0006]為解決上述技術(shù)問題���,本發(fā)明提供了一種的方法����,其特征在于包括以下步驟:
[0007]S1:第一防火墻設(shè)備和第二防火墻設(shè)備同時(shí)向?qū)Χ税l(fā)送主動(dòng)協(xié)商報(bào)文,第一防火墻設(shè)備和第二防火墻設(shè)備均被配置為使用IP地址值較大的作為協(xié)商IKE角色沖突時(shí)的主動(dòng)放棄主動(dòng)角色端���,若第一防火墻設(shè)備一端的IP地址值較大�,則執(zhí)行步驟S2�����,否則執(zhí)行步驟S3 ��;
[0008]S2:若所述第一防火墻設(shè)備一端的IP地址值較大�,則保留作為主動(dòng)發(fā)起協(xié)商端�,第二防火墻設(shè)備一端作為響應(yīng)端,放棄第一防火墻設(shè)備作為響應(yīng)端��,放棄第二防火墻設(shè)備作為主動(dòng)發(fā)起協(xié)商端�;
[0009]S3:若所述第二防火墻設(shè)備一端的IP地址值較大�����,則保留第二防火墻設(shè)備一端作為主動(dòng)發(fā)起協(xié)商端��,第一防火墻設(shè)備一端作為響應(yīng)端�,此時(shí)放棄第二防火墻設(shè)備作為響應(yīng)端��,放棄第一防火墻設(shè)備作為主動(dòng)發(fā)起協(xié)商端���。(三)有益效果
[0010]本發(fā)明通過(guò)設(shè)置一個(gè)參數(shù)作為優(yōu)先級(jí)����,在兩臺(tái)設(shè)備中選出一臺(tái)作為沖突放棄端�,另一端作為沖突接收端,從而解決IKE重復(fù)協(xié)商的問題�����。本方法簡(jiǎn)單易行����。
【具體實(shí)施方式】
[0011]下面對(duì)本發(fā)明的【具體實(shí)施方式】作進(jìn)一步詳細(xì)描述。以下實(shí)施例用于說(shuō)明本發(fā)明�����,但不用來(lái)限制本發(fā)明的范圍。
[0012]本實(shí)施方式的方法包括以下步驟:
[0013]S1:第一防火墻設(shè)備和第二防火墻設(shè)備同時(shí)向?qū)Χ税l(fā)送主動(dòng)協(xié)商報(bào)文,第一防火墻設(shè)備和第二防火墻設(shè)備均被配置為使用IP地址值較大的作為協(xié)商IKE角色沖突時(shí)的主動(dòng)放棄主動(dòng)角色端�����,若第一防火墻設(shè)備一端的IP地址值較大���,則執(zhí)行步驟S2��,否則執(zhí)行步驟S3 �����;
[0014]S2:若所述第一防火墻設(shè)備一端的IP地址值較大����,則保留作為主動(dòng)發(fā)起協(xié)商端��,第二防火墻設(shè)備一端作為響應(yīng)端���,放棄第一防火墻設(shè)備作為響應(yīng)端,放棄第二防火墻設(shè)備作為主動(dòng)發(fā)起協(xié)商端����;
[0015]S3:若所述第二防火墻設(shè)備一端的IP地址值較大��,則保留第二防火墻設(shè)備一端作為主動(dòng)發(fā)起協(xié)商端��,第一防火墻設(shè)備一端作為響應(yīng)端���,此時(shí)放棄第二防火墻設(shè)備作為響應(yīng)端,放棄第一防火墻設(shè)備作為主動(dòng)發(fā)起協(xié)商端��。
[0016]除了通過(guò)比較IP值的大小來(lái)設(shè)定優(yōu)先級(jí)之外���,還可以根據(jù)需要人為指定一臺(tái)設(shè)備作為沖突的放棄端�����,另一端設(shè)置為沖突接收端����,或者根據(jù)動(dòng)態(tài)生成的cookie的大小來(lái)判斷兩端哪一臺(tái)設(shè)備放棄主動(dòng)協(xié)商角色�����。
[0017]本發(fā)明通過(guò)設(shè)置一個(gè)參數(shù)作為優(yōu)先級(jí)����,在兩臺(tái)設(shè)備中選出一臺(tái)作為沖突放棄端���,另一端作為沖突接收端,從而解決IKE重復(fù)協(xié)商的問題�。本方法具有靈活、簡(jiǎn)單易行的特點(diǎn)�����。
[0018]以上實(shí)施方式僅用于說(shuō)明本發(fā)明���,而并非對(duì)本發(fā)明的限制����,有關(guān)【技術(shù)領(lǐng)域】的普通技術(shù)人員�,在不脫離本發(fā)明的精神和范圍的情況下,還可以做出各種變化和變型����,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇,本發(fā)明的專利保護(hù)范圍應(yīng)由權(quán)利要求限定���。
【權(quán)利要求】
1.一種解決IKE重復(fù)協(xié)商的方法��,其特征在于�����,包括以下步驟: 51:第一防火墻設(shè)備和第二防火墻設(shè)備同時(shí)互相向?qū)Χ税l(fā)送主動(dòng)協(xié)商報(bào)文�,所述第一防火墻設(shè)備和所述第二防火墻設(shè)備均被配置為使用IP地址值較大的作為協(xié)商IKE角色沖突時(shí)的主動(dòng)放棄主動(dòng)角色端����,若所述第一防火墻設(shè)備一端的IP地址值較大,則執(zhí)行步驟S2��,否則執(zhí)行步驟S3 ����; 52:若所述第一防火墻設(shè)備一端的IP地址值較大,則保留作為主動(dòng)發(fā)起協(xié)商端�,所述第二防火墻設(shè)備一端作為響應(yīng)端,放棄所述第一防火墻設(shè)備作為響應(yīng)端����,放棄所述第二防火墻設(shè)備作為主動(dòng)發(fā)起協(xié)商端; 53:若所述第二防火墻設(shè)備一端的IP地址值較大���,則保留所述第二防火墻設(shè)備作為主動(dòng)發(fā)起協(xié)商端�����,第一防火墻設(shè)備作為響應(yīng)端�����,此時(shí)放棄所述第二防火墻設(shè)備作為響應(yīng)端�����,放棄所述第一防火墻設(shè)備作為主動(dòng)發(fā)起協(xié)商端���。
【文檔編號(hào)】H04L29/06GK103475645SQ201310371291
【公開日】2013年12月25日 申請(qǐng)日期:2013年8月23日 優(yōu)先權(quán)日:2013年8月23日
【發(fā)明者】陳海濱 申請(qǐng)人:天津漢柏漢安信息技術(shù)有限公司