[发明专利]一种同步方法、第一设备、第二设备和同步系统

说明书

本发明公开了一种同步方法，应用于第一设备，该方法包括根据与远端设备的IKE协商结果获取IPSec隧道信息；当在本设备保存所述IPSec隧道信息时，通过第一扩展的IKE报文将所述IPSec隧道信息发送给第二设备。本发明公开了一种同步方法，应用于第二设备，包括当接收到第一设备发送的第一扩展的IKE报文且满足预设条件时，从所述第一扩展的IKE报文中解析出IPSec隧道信息；并保存所述IPSec隧道信息。本发明还公开了一种同步系统、一种第一设备，和一种第二设备。

技术领域

本文涉及计算机网络技术，尤指一种同步方法、第一设备、第二设备和同步系统。

背景技术

由于IPSec（IP Security）大部分情况下保护的都是比较重要的流量，所以对IPSec的可靠性、稳定性有很高的要求。因此在部署IPSec时，需要以高可用性方式部署。高可用性部署方案分为主-备部署模式和主-主部署模式。

对于主-备部署，当主设备发生异常时，备设备的状态由“备”状态切换为“主”状态，并与远端设备协商新的IPSec隧道，备设备接管主设备的一切工作；对于主-主部署，主-主部署中的其中一个设备发生异常时，另一个设备与远端设备协商新的IPSec隧道，并立即接管异常设备的一切工作。但是由于旧的IPSec隧道并未超时，所以可能远端仍使用旧的IPSec隧道，但是本端并没有这些IPSec隧道的信息，本端因为缺少必要的隧道信息而无法正常加解密，导致IPSec流量中断。

发明内容

本申请提供了一种同步方法、第一设备、第二设备和同步系统，可以使主设备的IPSec隧道信息同步到备设备或者主-主部署模式下的设备中的IPSec隧道信息同步，从而降低业务中断时间。

本申请提供了一种同步方法，应用于第一设备，包括，

根据与远端设备的IKE协商结果获取IPSec隧道信息；

当在本设备保存所述IPSec隧道信息时，通过第一扩展的IKE报文将所述IPSec隧道信息发送给第二设备。

一种示例性的实施例中，所述通过第一扩展的IKE报文将所述IPSec隧道信息发送给第二设备，包括：

通过扩展IKE报文头的Exchange Type字段，定义交换类型ISAKMP_XCHG_HA，为所述ISAKMP_XCHG_HA设置第一协议保留值，将所述IPSec隧道信息封装在扩展的IKE报文中发送给第二设备。

一种示例性的实施例中，当第一设备重新上线时，通过第二扩展的IKE报文向第二设备发送IPSec隧道信息请求，以从第二设备获取全部的IPSec隧道信息。

一种示例性的实施例中，所述通过第二扩展的IKE报文向第二设备发送IPSec隧道信息请求，包括：

通过扩展IKE报文头的Exchange Type字段，定义交换类型ISAKMP_XCHG_HA，为所述ISAKMP_XCHG_HA设置第二协议保留值，将IPSec隧道信息请求封装在扩展的IKE报文中发送给第二设备。

一种示例性的实施例中，在与第二设备通信之前，包括：

构建用户数据包协议UDP套接字，所述UDP套接字的源端口和目的端口与远端设备的IKE协商时的通信端口一致；

根据所述套接字进行监听。

本申请还提供了一种同步方法，应用于第二设备，包括，

当接收到第一设备发送的第一扩展的IKE报文且满足预设条件时，从所述第一扩展的IKE报文中解析出IPSec隧道信息；并保存所述IPSec隧道信息。

一种示例性的实施例中，当在本设备保存从第一设备接收的IPSec隧道信息时，注册超时删除定时器；

当超时删除定时器超时时，如果本设备的当前状态为备状态或者所述IPSec隧道信息中的单元ID与本设备的单元ID不一致且第一设备为“主”状态，则不删除本设备从第一设备接收的IPSec隧道信息。