專利名稱:動態(tài)發(fā)現(xiàn)IPsec隧道PMTU的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)領(lǐng)域,尤其涉及計(jì)算機(jī)系統(tǒng)中的信息安全技術(shù)。
背景技術(shù):
隨著計(jì)算機(jī)系統(tǒng)在各個領(lǐng)域中得到日益廣泛的應(yīng)用,隨著互聯(lián)網(wǎng)日益深入到社會生活的各個層面,對于計(jì)算機(jī)系統(tǒng)和互聯(lián)網(wǎng)的安全問題,也日益成為一個受到廣泛關(guān)注的問題。一般情況下,在Internet上使用IPsec(IPSecurity,因特網(wǎng)安全協(xié)議)部署VPN(Virtual Private Network,虛擬專用網(wǎng))時,需要使用IPsec協(xié)議為VPN網(wǎng)關(guān)之間穿越公共網(wǎng)的IP隧道提供加密和認(rèn)證保護(hù),IPsec協(xié)議通過AH(Authentication Head,IP認(rèn)證頭協(xié)議)和ESP(Encapsulating Security Payload,IP封裝安全載荷協(xié)議)為IP(InternetProtocol,因特網(wǎng)協(xié)議)報文提供安全保護(hù)。當(dāng)主機(jī)發(fā)送的IP包到達(dá)IPsec網(wǎng)關(guān)時,網(wǎng)關(guān)在本地的SPD(Security Policy Database,安全策略數(shù)據(jù)庫)中查找對應(yīng)的SP(Security Policy,安全策略),SP主要包括三種安全策略直接通過(Bypass)、丟棄(Drop)和應(yīng)用IPsec。如果SP規(guī)定對某個IP包應(yīng)用IPsec保護(hù),就需要規(guī)定如何保護(hù)該IP包,并提供相應(yīng)的一個或多個SA(Security Association,安全聯(lián)盟)。SA規(guī)定了為IP包提供安全保護(hù)所使用的安全協(xié)議(AH或/和ESP)、加密和認(rèn)證算法、密鑰和密鑰長度等信息。具體內(nèi)容參見IETF(Internet Engineering Task Force,因特網(wǎng)工程任務(wù)組)的《RFC 2401IPsec協(xié)議體系結(jié)構(gòu)》。IPsec網(wǎng)關(guān)根據(jù)SA提供的參數(shù)在主機(jī)發(fā)送的IP包外層添加AH報頭和/或ESP報頭報尾,并添加外層IP報頭,其中源地址和目的地址是IPsec隧道兩端的網(wǎng)關(guān),這個過程稱為IPsec隧道封裝。如果原來IP報頭的DF(Don’t Fragment,不允許分片)標(biāo)志被設(shè)置時,IPsec隧道封裝時外層IP報頭的DF標(biāo)志也應(yīng)該同時設(shè)置。
IETF的《RFC 1191路徑MTU發(fā)現(xiàn)》提出了主機(jī)動態(tài)發(fā)現(xiàn)PMTU(PathMaximum Transmission Unit,路徑最大傳輸單元)的標(biāo)準(zhǔn)方法。主機(jī)發(fā)送IP包時在報頭設(shè)置DF標(biāo)志,如果傳輸路徑上某個路由器發(fā)現(xiàn)這個IP包的長度大于它的下一跳MTU(Maximum Transmission Unit,最大傳輸單元),就丟棄當(dāng)前IP包,并向源地址發(fā)送一個ICMP(Internet Control MessageProtocol,因特網(wǎng)控制消息協(xié)議)報文。這個ICMP報文的類型為3,錯誤代碼為4,表示“需要分片,但是設(shè)置了DF標(biāo)志”,此外,ICMP報頭中還帶有路由器下一跳的MTU,數(shù)據(jù)部分帶有被丟棄IP包的IP報頭和64比特的部分載荷。源主機(jī)收到這個ICMP報文后減小對PMTU的估計(jì),重復(fù)上述過程可以動態(tài)發(fā)現(xiàn)PMTU。
當(dāng)IP包的傳輸路徑中存在IPsec隧道時,如果隧道內(nèi)部某個路由器的下一跳MTU小于IPsec隧道封裝后的報文長度,并且外層IP報頭的DF標(biāo)志被設(shè)置,路由器就放棄轉(zhuǎn)發(fā)報文,同時向源地址(即進(jìn)行IPsec隧道封裝的網(wǎng)關(guān))發(fā)送一個類型為3,錯誤代碼為4的ICMP報文。由于路由器將這個ICMP報文發(fā)送給IPsec網(wǎng)關(guān)而不是源主機(jī),同時IPsec網(wǎng)關(guān)收到的ICMP報文的數(shù)據(jù)部分只攜帶了被丟棄報文的外層IP報頭和64比特的部分AH報頭或ESP報頭,這些有限的信息不足以確定被丟棄報文的源主機(jī),因此在實(shí)際系統(tǒng)中,標(biāo)準(zhǔn)的PMTU動態(tài)發(fā)現(xiàn)機(jī)制無法有效應(yīng)用在IPsec隧道環(huán)境中,目前也沒有解決這一問題的有效方法。
發(fā)明內(nèi)容
本發(fā)明的目的是克服現(xiàn)有技術(shù)存在的標(biāo)準(zhǔn)PMTU動態(tài)發(fā)現(xiàn)機(jī)制不能確定被丟棄報文的源主機(jī),無法有效應(yīng)用在IPsec隧道環(huán)境的缺點(diǎn),以期提出一種能夠準(zhǔn)確確定被丟棄報文的源主機(jī),以便更有效地保證數(shù)據(jù)安全傳輸?shù)膭討B(tài)發(fā)現(xiàn)IPsec隧道PMTU的方法。
為實(shí)現(xiàn)上述目的,本發(fā)明提出了一種動態(tài)發(fā)現(xiàn)IPsec隧道PMTU的方法,其特征在于,包括以下步驟步驟一計(jì)算和保存IPsec隧道PMTU信息;步驟二傳遞IPsec隧道PMTU信息;步驟三更新IPsec隧道PMTU信息。
上述步驟進(jìn)一步包括以下步驟第一步IPsec網(wǎng)關(guān)使用下一跳鏈路的MTU減去IPsec隧道封裝需要的開銷,計(jì)算結(jié)果MTU’作為對IPsec隧道PMTU的初始估計(jì),并記錄在相應(yīng)的SP中;第二步主機(jī)發(fā)送的帶有DF標(biāo)志的IP包到來后,IPsec網(wǎng)關(guān)首先查找相應(yīng)的SP,同時判斷出該IP包的長度大于SP中記錄的MTU’;
第三步IPsec網(wǎng)關(guān)丟棄該IP包,向源主機(jī)發(fā)送一個ICMP報文,通知下一跳MTU為MTU’;第四步源主機(jī)收到ICMP報文后,更新PMTU估計(jì),減小發(fā)送IP包的長度;IPsec網(wǎng)關(guān)對其進(jìn)行IPsec封裝后長度小于MTU,同時將內(nèi)層IP報頭的DF標(biāo)志復(fù)制到外層IP報頭中;第五步路由器發(fā)現(xiàn)經(jīng)過IPsec隧道封裝的IP報文長度大于下一跳鏈路MTU,放棄轉(zhuǎn)發(fā)并返回ICMP報文通知源地址其下一跳MTU是MTU2;第六步IPsec網(wǎng)關(guān)收到IPsec隧道內(nèi)部傳來的類型為3錯誤代碼為4的ICMP報文后,使用其中的MTU2減去IPsec隧道封裝開銷,用計(jì)算結(jié)果MTU2’去更新相應(yīng)SP中記錄的MTU’;第七步主機(jī)再次發(fā)送的帶有DF標(biāo)志的IP包到來時,IPsec網(wǎng)關(guān)使用第二步和第三步中的方法通知源主機(jī)使用MTU2’更新PMTU估計(jì);第八步IPsec網(wǎng)關(guān)每次在SP中記錄IPsec隧道PMTU信息時,同時設(shè)置一個計(jì)時器。計(jì)時到期后從第一步開始重復(fù)上述步驟。
對于存在多層IPsec隧道嵌套的情況,在第六步中,IPsec網(wǎng)關(guān)首先計(jì)算外層IPsec隧道的PMTU,記錄到對應(yīng)的SP中,然后進(jìn)一步減去內(nèi)層IPsec隧道封裝的開銷,得到內(nèi)層IPsec隧道PMTU并記錄到對應(yīng)的SP中。
本發(fā)明所述方法在不需要對主機(jī)和路由器進(jìn)行改動的情況下,實(shí)現(xiàn)主機(jī)動態(tài)發(fā)現(xiàn)通過IPsec隧道的PMTU,避免IP包在IPsec隧道傳輸路徑中發(fā)生分片和重組,更有效的利用網(wǎng)絡(luò)帶寬。
圖1是本發(fā)明所述方法的流程圖。
圖2是作為本發(fā)明具體實(shí)施方式
的過程圖。
圖3是IPsec隧道嵌套狀態(tài)圖。
圖4是IPsec隧道封裝嵌套時SP和SA的數(shù)據(jù)結(jié)構(gòu)圖。
具體實(shí)施例方式
本發(fā)明主要是提出了一種在IPsec隧道系統(tǒng)環(huán)境中動態(tài)發(fā)現(xiàn)PMTU的方法。
許多IPsec網(wǎng)關(guān)能夠針對不同的TCP或UDP端口配置不同的安全策略,這種IPsec網(wǎng)關(guān)往往需要對所有IP包分片進(jìn)行重組來得到傳輸層協(xié)議和端口,然后才能進(jìn)一步查找安全策略。這往往造成所有經(jīng)過IPsec網(wǎng)關(guān)的IP分片都先進(jìn)行重組,執(zhí)行IPsec處理后再次被分片轉(zhuǎn)發(fā),和普通路由器直接轉(zhuǎn)發(fā)IP包分片相比,IPsec網(wǎng)關(guān)的處理負(fù)擔(dān)很重,容易造成網(wǎng)絡(luò)阻塞。使用本發(fā)明提出的方法后,主機(jī)發(fā)送的IP包在IPsec隧道中傳送時很少發(fā)生分片,避免IPsec網(wǎng)關(guān)因?yàn)閳?zhí)行大量分片和重組而出現(xiàn)阻塞。
如圖1所示,本發(fā)明提出的動態(tài)發(fā)現(xiàn)IPsec隧道PMTU方法,要求IPsec網(wǎng)關(guān)在收到來自隧道內(nèi)部帶有PMTU信息的ICMP報文后,計(jì)算IPsec隧道PMTU并記錄在相應(yīng)的SP中,然后在下一次查詢SP時確定引發(fā)ICMP報文的源主機(jī),最后構(gòu)造新的ICMP報文將PMTU信息傳遞給源主機(jī)。這種方法不需要對Internet上的主機(jī)和路由器的標(biāo)準(zhǔn)PMTU動態(tài)發(fā)現(xiàn)機(jī)制進(jìn)行任何改動。
圖2是作為本發(fā)明具體實(shí)施方式
的過程圖。動態(tài)發(fā)現(xiàn)IPsec隧道PMTU的過程。圖中主機(jī)的下一跳鏈路的MTU為MTU1,IPsec網(wǎng)關(guān)下一跳鏈路的MTU為MTU2,路由器右端鏈路的MTU為MTU3,同時MTU1大于或等于MTU2,而MTU3小于MTU2。具體過程如下1.IPsec網(wǎng)關(guān)使用下一跳鏈路的MTU(圖中是MTU2)減去IPsec隧道封裝需要的開銷,計(jì)算結(jié)果(記為MTU2’)作為對IPsec隧道PMTU的初始估計(jì),并記錄在相應(yīng)的SP中。
2.主機(jī)發(fā)送的帶有DF標(biāo)志的IP包到來后,IPsec網(wǎng)關(guān)首先查找相應(yīng)的SP,同時判斷出IP包的長度大于SP中記錄的MTU2’。
3.IPsec網(wǎng)關(guān)丟棄這個IP包,向源主機(jī)發(fā)送一個ICMP報文,通知下一跳MTU為MTU2’。
4.源主機(jī)收到ICMP報文后,更新PMTU估計(jì)(參見IETF的《RFC 1191路徑MTU發(fā)現(xiàn)》),減小發(fā)送IP包的長度。IPsec網(wǎng)關(guān)對其進(jìn)行IPsec封裝后長度小于MTU2,同時將內(nèi)層IP報頭的DF標(biāo)志復(fù)制到外層IP報頭中。
5.路由器發(fā)現(xiàn)經(jīng)過IPsec隧道封裝的IP報文長度大于下一跳鏈路MTU,放棄轉(zhuǎn)發(fā)并返回ICMP報文通知源地址(注外層IP報頭的源地址是IPsec網(wǎng)關(guān))它的下一跳MTU是MTU3(參見IETF的《RFC1191路徑MTU發(fā)現(xiàn)》)。
6.IPsec網(wǎng)關(guān)收到IPsec隧道內(nèi)部傳來的ICMP報文后,使用其中的MTU3減去IPsec隧道封裝開銷,用計(jì)算結(jié)果MTU3’去更新相應(yīng)SP中記錄的MTU2’。
7.主機(jī)再次發(fā)送的帶有DF標(biāo)志的IP包到來時,IPsec網(wǎng)關(guān)使用步驟2、3中的方法通知源主機(jī)使用MTU3’更新PMTU估計(jì)。
8.IPsec網(wǎng)關(guān)每次在SP中記錄IPsec隧道PMTU信息時,同時設(shè)置一個計(jì)時器。計(jì)時到期后從步驟1開始重復(fù)上述步驟。
對于存在多層IPsec隧道嵌套的情況,本發(fā)明提出的方法和系統(tǒng)同樣有效,這時在步驟6中,IPsec網(wǎng)關(guān)首先計(jì)算外層IPsec隧道的PMTU,記錄到對應(yīng)的SP中,然后進(jìn)一步減去內(nèi)層IPsec隧道封裝的開銷,得到內(nèi)層IPsec隧道PMTU并記錄到對應(yīng)的SP中。
綜合以上步驟,結(jié)合附圖1到4,可以將本發(fā)明所述的動態(tài)發(fā)現(xiàn)IPsec隧道PMTU方法分為IPsec隧道PMTU的計(jì)算和保存、IPsec隧道PMTU信息的傳遞和IPsec隧道PMTU的更新三個大的方面,具體說明如下一、IPsec隧道PMTU的計(jì)算和保存IPsec網(wǎng)關(guān)用下一跳鏈路MTU減去IPsec隧道封裝的開銷,計(jì)算結(jié)果作為對IPsec隧道內(nèi)部實(shí)際PMTU的初始估計(jì),然后把它保存在相應(yīng)的SP中。
IPsec網(wǎng)關(guān)接收到來自隧道內(nèi)部路由器傳來的帶有PMTU信息的ICMP報文后,首先從ICMP報頭中取出路由器下一跳MTU,從ICMP數(shù)據(jù)部分取出IPsec隧道封裝的外層IP報頭和64比特部分AH報頭或ESP報頭。接著從外層IP報頭中提取出目的地址和IPsec協(xié)議,從64比特的部分AH報頭或ESP報頭中提取出SPI(Security Parameter Index,安全參數(shù)索引)。對于AH報頭,SPI字段范圍是第33到64比特,對于ESP報頭,SPI字段的范圍是1到32比特。然后根據(jù){目的地址,IPsec協(xié)議,SPI}三元組能在SAD(Security Association Database,安全聯(lián)盟數(shù)據(jù)庫)中唯一確定一個SA,每一個SA都有指向?qū)?yīng)SP的反向指針,進(jìn)一步找到被丟棄IP包對應(yīng)的SP;最后,IPsec網(wǎng)關(guān)用傳遞來的路由器下一跳MTU減去IPsec隧道封裝開銷,計(jì)算出來的結(jié)果作為新的IPsec隧道PMTU估計(jì),記錄在SP中。
二、IPsec隧道PMTU信息的傳遞主機(jī)發(fā)送的IP包到達(dá)IPsec安全網(wǎng)關(guān)時,首先查看SPD,找到相應(yīng)的SP。如果IP報頭的DF標(biāo)志被設(shè)置,同時IP包長度大于SP中記錄的隧道PMTU,IPsec網(wǎng)關(guān)就像普通路由器那樣放棄IPsec隧道封裝和轉(zhuǎn)發(fā),并構(gòu)造一個類型為3、錯誤代碼為4的ICMP報文發(fā)送給被丟棄IP包的源主機(jī)。ICMP報頭的下一跳MTU字段攜帶SP中記錄的IPsec隧道PMTU。源主機(jī)收到這個ICMP報文后得到PMTU信息。
在圖3所示的IPsec隧道嵌套的情況下,IPsec隧道PMTU信息是由外層IPsec隧道向內(nèi)層隧道逐級傳遞的,下面分兩個方向詳細(xì)描述PMTU信息的傳遞過程。
主機(jī)A到主機(jī)B方向圖3中主機(jī)A發(fā)往主機(jī)B的IP包分別經(jīng)過IPsec網(wǎng)關(guān)C和D進(jìn)行了兩次IPsec隧道封裝,如果這時的IP包長度大于路由器R的下一跳MTU,路由器R就會向IPsec網(wǎng)關(guān)D發(fā)送帶有PMTU信息的ICMP報文。IPsec網(wǎng)關(guān)D計(jì)算外層IPsec隧道PMTU并保存在SP中,IPsec網(wǎng)關(guān)C對主機(jī)A后續(xù)發(fā)送的IP包進(jìn)行IPsec隧道封裝后傳送到IPsec網(wǎng)關(guān)D,如果SP中記錄的外層IPsec隧道PMTU小于IP包長度,IPsec網(wǎng)關(guān)D就會向IPsec網(wǎng)關(guān)C發(fā)送ICMP報文,通告外層IPsec隧道的PMTU,IPsec網(wǎng)關(guān)C收到ICMP報文后計(jì)算內(nèi)層IPsec隧道PMTU并記錄到相應(yīng)SP中。當(dāng)主機(jī)A再次發(fā)送的帶DF標(biāo)志的IP包到達(dá)IPsec網(wǎng)關(guān)C時,如果IP包長度大于內(nèi)層IPsec隧道PMTU,IPsec網(wǎng)關(guān)C就會向主機(jī)A發(fā)送ICMP報文,將PMTU信息傳遞給主機(jī)A。
主機(jī)B到主機(jī)A方向圖3中的主機(jī)B發(fā)往A的IP包在IPsec網(wǎng)關(guān)E先后進(jìn)行了兩次IPsec隧道封裝,在SPD中對應(yīng)著嵌套的安全策略,SP和SA采用如圖4所示的數(shù)據(jù)結(jié)構(gòu)。對應(yīng)內(nèi)層IPsec隧道的SP1通過指針連接對應(yīng)外層IPsec隧道的SP2,同時SP2有一個反向指針指向SP1。經(jīng)過兩層IPsec隧道封裝的IP包傳送到路由器R時,如果IP包的長度大于路由器R的下一跳MTU,路由器R就會向IPsec網(wǎng)關(guān)E發(fā)送帶有PMTU信息的ICMP報文。IPsec網(wǎng)關(guān)E計(jì)算出外層IPsec隧道PMTU并保存在SP2中,接著通過反向指針找到SP1,并把進(jìn)一步計(jì)算出來的內(nèi)層IPsec隧道PMTU保存到SP1中。當(dāng)主機(jī)B再次發(fā)送的帶DF標(biāo)志的IP包到達(dá)IPsec網(wǎng)關(guān)E時,如果IP包長度大于SP1中保存的內(nèi)層IPsec隧道PMTU,IPsec網(wǎng)關(guān)E就會向主機(jī)B發(fā)送ICMP報文,將PMTU信息傳遞給主機(jī)B。
通過IPsec隧道PMTU信息的傳遞,主機(jī)能夠迅速發(fā)現(xiàn)IPsec隧道PMTU的減小。
三、IPsec隧道PMTU的更新IPsec網(wǎng)關(guān)在SP中記錄IPsec隧道PMTU信息的同時設(shè)置一個計(jì)時器,計(jì)時器到期后IPsec網(wǎng)關(guān)用下一跳鏈路MTU減去IPsec隧道開銷,并把計(jì)算結(jié)果更新到SP中。再經(jīng)過上述IPsec隧道PMTU信息的傳遞過程,可以重新動態(tài)發(fā)現(xiàn)當(dāng)前IPsec隧道PMTU。通過這種定期更新機(jī)制,能夠緩慢發(fā)現(xiàn)IPsec隧道PMTU的增大。
權(quán)利要求
1.一種動態(tài)發(fā)現(xiàn)IPsec隧道PMTU的方法,其特征在于,包括以下步驟步驟一計(jì)算和保存IPsec隧道PMTU信息;步驟二傳遞IPsec隧道PMTU信息;步驟三更新IPsec隧道PMTU信息。
2.根據(jù)權(quán)利要求1所述的動態(tài)發(fā)現(xiàn)IPsec隧道PMTU的方法,其特征在于,所述步驟一包括以下步驟IPsec網(wǎng)關(guān)使用下一跳鏈路的MTU減去IPsec隧道封裝需要的開銷,計(jì)算結(jié)果MTU’作為對IPsec隧道PMTU的初始估計(jì),并記錄在相應(yīng)的SP中。
3.根據(jù)權(quán)利要求2所述的動態(tài)發(fā)現(xiàn)IPsec隧道PMTU的方法,其特征在于,具體包括以下步驟(1)IPsec網(wǎng)關(guān)接收來自隧道內(nèi)部路由器傳來的帶有PMTU信息的ICMP報文;(2)從ICMP報頭中取出路由器下一跳MTU,從ICMP數(shù)據(jù)部分取出IPsec隧道封裝的外層IP報頭和64比特部分AH報頭或ESP報頭;(3)從外層IP報頭中提取出目的地址和IPsec協(xié)議,從64比特的部分AH報頭或ESP報頭中提取出SPI;(4)根據(jù){目的地址,IPsec協(xié)議,SPI}三元組在SAD中唯一確定一個SA,每一個SA都有指向?qū)?yīng)SP的反向指針,進(jìn)一步找到被丟棄IP包對應(yīng)的SP;(5)IPsec網(wǎng)關(guān)用傳遞來的路由器下一跳MTU減去IPsec隧道封裝開銷,計(jì)算出來的結(jié)果作為新的IPsec隧道PMTU估計(jì),記錄在SP中。
4.根據(jù)權(quán)利要求1所述的動態(tài)發(fā)現(xiàn)IPsec隧道PMTU的方法,其特征在于,所述步驟二包括以下步驟第一步主機(jī)發(fā)送的帶有DF標(biāo)志的IP包到來后,IPsec網(wǎng)關(guān)首先查找相應(yīng)的SP,同時判斷出該IP包的長度大于SP中記錄的MTU’;第二步IPsec網(wǎng)關(guān)丟棄該IP包,向源主機(jī)發(fā)送一個ICMP報文,通知下一跳MTU為MTU’;第三步源主機(jī)收到ICMP報文后,更新PMTU估計(jì),減小發(fā)送IP包的長度;IPsec網(wǎng)關(guān)對其進(jìn)行IPsec封裝后長度小于MTU,同時將內(nèi)層IP報頭的DF標(biāo)志復(fù)制到外層IP報頭中;第四步路由器發(fā)現(xiàn)經(jīng)過IPsec隧道封裝的IP報文長度大于下一跳鏈路MTU,放棄轉(zhuǎn)發(fā)并返回ICMP報文通知源地址其下一跳MTU是MTU2;第五步IPsec網(wǎng)關(guān)收到IPsec隧道內(nèi)部傳來的類型為3、錯誤代碼為4的ICMP報文后,使用其中的MTU2減去IPsec隧道封裝開銷,用計(jì)算結(jié)果MTU2’去更新相應(yīng)SP中記錄的MTU’;第六步主機(jī)再次發(fā)送的IP包到來時,IPsec網(wǎng)關(guān)使用第一步和第二步中的方法通知源主機(jī)使用MTU2’更新PMTU估計(jì)。
5.根據(jù)權(quán)利要求4所述的動態(tài)發(fā)現(xiàn)IPsec隧道PMTU的方法,其特征在于,在第五步中,對于存在多層IPsec隧道嵌套的情況,IPsec網(wǎng)關(guān)首先計(jì)算外層IPsec隧道的PMTU,記錄到對應(yīng)的SP中,然后進(jìn)一步減去內(nèi)層IPsec隧道封裝的開銷,得到內(nèi)層IPsec隧道PMTU并記錄到對應(yīng)的SP中。
6.根據(jù)權(quán)利要求1所述的動態(tài)發(fā)現(xiàn)IPsec隧道PMTU的方法,其特征在于,所述步驟三包括以下步驟IPsec網(wǎng)關(guān)每次在SP中記錄IPsec隧道PMTU信息時,同時設(shè)置一個計(jì)時器,計(jì)時到期后從步驟一開始重復(fù)上述步驟。
全文摘要
本發(fā)明提出了一種動態(tài)發(fā)現(xiàn)IPsec隧道PMTU的方法,包括以下步驟步驟一計(jì)算和保存IPsec隧道PMTU信息;步驟二傳遞IPsec隧道PMTU信息;步驟三更新IPsec隧道PMTU信息。本發(fā)明能夠克服現(xiàn)有技術(shù)存在的標(biāo)準(zhǔn)PMTU動態(tài)發(fā)現(xiàn)機(jī)制不能確定被丟棄報文的源主機(jī),無法有效應(yīng)用在IPsec隧道環(huán)境的缺點(diǎn),實(shí)現(xiàn)主機(jī)動態(tài)發(fā)現(xiàn)通過IPsec隧道的PMTU,避免IP包在IPsec隧道傳輸路徑中發(fā)生分片和重組,更有效的利用網(wǎng)絡(luò)帶寬。
文檔編號H04L12/66GK1545253SQ20031011351
公開日2004年11月10日 申請日期2003年11月13日 優(yōu)先權(quán)日2003年11月13日
發(fā)明者李卓明, 趙潔, 李亞暉, 陳海彬, 彭志威 申請人:中興通訊股份有限公司