[发明专利]一种网络设备及探测方法

权利要求书

1.一种网络设备，用于作为IPsec对等体时探测对端对等体是否正常，其特征在于，所述网络设备包括封装模块、发送模块和接收模块，

所述封装模块，用于将包括探测标志的报文封装成IPsec SA探测报文；所述探测标志为预先配置或者经双方对等体协商确定；所述探测报文的载荷内容为经IPsec SA加密认证操作的序列号；

所述发送模块，用于将包括探测标志的IPsec SA探测报文发送给对端IPsec对等体使其返回响应报文，所述探测标志用于标识所述报文为探测报文，使收到报文的对端对等体返回响应报文，所述探测标志为特定的协议号或者是反填的源IP地址和目的IP地址；

所述接收模块，用于接收并解析对端IPsec对等体返回的IPsec SA响应报文后，确认对端对等体IPsec SA正常。

2.如权利要求1所述的网络设备，其特征在于，进一步包括计数模块，所述计数模块用于在所述发送模块发送包括探测标志的IPsec SA探测报文时开始计时，如果计时到期后依然没有收到对端对等体的回复时，通知发送模块重新发送所述探测报文，并启动重传计数，如果重传超过预定次数，则认为对端对等体IPsec不存在。

3.如权利要求1所述的网络设备，其特征在于，还包括解析模块所述解析模块用于解封装从对端收到的IPsec SA报文，并在该报文包括探测标志时确认收到报文为探测报文，并在该报文不包括探测标志确认收到的报文为IPsec SA数据报文；所述封装模块用于将解析后的IPsec SA探测报文重新封装成响应发送给对端。

4.一种探测方法，用于检测对端IPsec对等体IPsec是否正常，其特征在于，所述方法包括如下步骤：

步骤A、IPsec对等体将包括探测标志报文封装成的IPsec SA探测报文；所述探测标志为预先配置或者经双方对等体协商确定，用于标识所述报文为探测报文；

步骤B、将包括探测标志的IPsec SA探测报文发送给对端IPsec对等体使其返回响应报文；所述探测标志用于标识所述报文为探测报文，使收到报文的对端对等体返回响应报文，所述探测标志为特定的协议号或者是反填的源IP地址和目的IP地址；

步骤C、接收并解析对端IPsec对等体返回的IPsec SA响应报文后，确认对端对等体IPsec SA正常。

5.如权利要求4所述的方法，其特征在于，所述方法进一步包括：

步骤D、在发送包括探测标志的IPsec SA探测报文时开始计时，如果计时到期后依然没有收到对端对等体的响应报文时，返回步骤C重新发送所述探测报文，并启动重传计数，如果重传超过预定次数，则认为对端对等体不存在。

6.如权利要求4所述的方法，其特征在于，所述方法还包括如下步骤：

步骤E、解封装收到的IPsec SA报文，判断如果所述报文包括探测标志，则确认收到报文为探测报文，执行步骤F；判断如果所述报文不包括探测标志，则确认收到的报文为IPsecSA数据报文，执行步骤G；

步骤F、将解析后的IPsec SA探测报文重新封装成响应消息发送给探测方；

步骤G、进行正常的解密处理。

7.如权利要求6所述的方法，其特征在于，所述响应报文的载荷内容是经过与探测报文对应的IPsec SA执行加密认证的序列号。