[发明专利]一种ipsec隧道加密报文的流程优化装置及方法

说明书

技术领域

本发明涉及计算机网络领域，特别涉及一种ipsec隧道加密报文的流程优化装置及方法。

背景技术

Ipsec隧道用于对数据报文进行加密，使加密后的数据报文可以在公网上进行转发，以防止第三方对所述数据报文内容的窃取和篡改，保证了数据报文的安全。

在现有技术中，当有数据报文需要转发时，先将其与ipsec隧道进行匹配，对与所述ipsec隧道匹配上的报文进行加密，并根据所述报文查找的路由出接口将其进行转发；当ipsec隧道出现异常时，使用dpd和keepalive等检测手段断开ipsec隧道连接。在判断所述ipsec隧道是否断开的过程中，需要dpd的多次发送检测，这个过程需要一定的时间，例如5秒钟检测，检测3次失败后就断开隧道，那么就会出现ipsec对等体对所述报文加密15秒，在此过程中，加密的报文查找路由出接口失败，则将该报文丢弃。但是ipsec对等体对所述报文进行加密是一件非常耗费cpu的事情，对不必要的报文进行加密将会影响整个设备的转发性能。

发明内容

针对现有技术的不足，本发明提供一种ipsec隧道加密报文的流程优化装置及方法，以减少ipsec对等体对报文进行不必要的加密而导致cpu资源浪费的问题。

为实现以上目的，本发明通过以下技术方案予以实现：

本发明提供一种ipsec隧道加密报文的流程优化方法，包括以下步骤：

S1、两端ipsec对等体之间建立ipsec隧道，判断报文是否与所述ipsec隧道匹配，若是，则执行步骤S2；

S2、判断所述ipsec隧道的出接口是否断开，若是，则执行步骤S3；若不是，则执行步骤S4；

S3、所述ipsec对等体的路由模块删除该出接口的所有路由，并将所述报文丢弃；

S4、对所述报文进行加密，并将加密后的所述报文按照查找到的出接口进行转发。

优选的，所述步骤S1进一步包括：若所述报文与所述ipsec隧道不匹配，则将所述报文按照查找到的路由进行转发。

优选的，所述步骤S1进一步包括：所述ipsec隧道通过ipsec隧道匹配规则与所述报文进行匹配。

本发明还提供一种ipsec隧道加密报文的流程优化装置，包括有：

匹配单元，用于使两端ipsec对等体之间建立ipsec隧道，并判断报文是否与所述ipsec隧道匹配；

判断单元，用于当所述报文与所述ipsec隧道匹配时，判断所述ipsec隧道的出接口是否断开；

路由删除单元，用于当所述ipsec隧道的出接口断开时，使所述ipsec对等体的路由模块删除该出接口的所有路由，并将所述报文丢弃；

加密单元，用于当所述ipsec隧道的出接口没有断开时，对所述报文进行加密，并将加密后的所述报文按照查找到的出接口进行转发。

优选的，所述装置进一步包括：转发单元，用于当所述报文与所述ipsec隧道不匹配时，将所述报文按照查找到的路由进行转发。

优选的，所述匹配单元进一步用于使所述ipsec隧道通过ipsec隧道匹配规则与所述报文进行匹配。

本发明提供一种ipsec隧道加密报文的流程优化装置及方法，通过先确认ipsec隧道的路由出接口是否断开，再对所述报文进行加密的方法，减少了ipsec隧道的路由出接口异常的情况下，对不必要的报文加密而浪费cpu资源的问题，提升了网络设备的性能。

附图说明

图1为本发明一实施例的流程图；

图2为本发明一实施例的系统装置图。

具体实施方式

下面对于本发明所提出的一种ipsec隧道加密报文的流程优化装置及方法，结合附图和实施例详细说明。

如图1所示，本发明提供一种ipsec隧道加密报文的流程优化方法，包括以下步骤：

S1、两端ipsec对等体之间建立ipsec隧道，判断报文是否与所述ipsec隧道匹配，若是，则执行步骤S2；举例场景如下：

fw a---------------------------------------fwb

S2、判断所述ipsec隧道的出接口是否断开，若是，则执行步骤S3；若不是，则执行步骤S4；

S3、所述ipsec对等体的路由模块删除该出接口的所有路由，并将所述报文丢弃；当fw a接收到路由出接口断开的通知时，其对应的路由模块就会删除该出接口的所有路由；导致所述报文查找路由失败，此时需要加密的该报文就不在被加密而是直接被丢弃