一种基于IPsec的NAT表项保活方法和设备的制作方法

专利名称：一种基于IPsec的NAT表项保活方法和设备的制作方法
技术领域：
本发明涉及通信技术领域，尤其是一种基于IPsec (IP Security，IP安全)的NAT(Network Address Translation,网络地址转换)表项保活方法和设备。
背景技术：
IPsec是三层隧道加密协议，是实现三层VPN (Virtual Private Network,虚拟专用网络)的安全技术，并用于在IP层提供以下安全服务:(I)数据机密性=IPsec发起方在通过网络传输报文前对报文进行加密；(2)数据完整性=IPsec响应方对接收报文进行认证，以确保报文在传输过程中没有被篡改；(3)数据来源认证=IPsec响应方可以认证发送IPsec报文的IPsec发起方是否合法；(4)防重放:IPsec响应方可以检测并拒绝接收过时或者重复的报文。
为了实现上述安全服务，IPsec提供了认证和加密等两种安全机制；认证机制使IP通信的响应方能够确认报文发起方的真实身份以及报文在传输过程中是否遭篡改；力口密机制通过对报文进行加密运算来保证报文的机密性，防止报文在传输过程中被窃听。其中，IPsec协议中的AH (Authentication Header,验证头)协议定义了认证的应用方法,ESP(Encapsulating Security Payload,封装安全载荷)协议定义了加密和可选认证的应用方法；在实际进行IP通信时，可以根据实际安全需求同时使用AH和ESP，或者选择使用其中一种。
IPsec在两个端点之间提供安全通信，且两个端点被称为IPsec对等体，分别为IPsec发起方和IPsec响应方;此外，SA (Security Association,安全联盟)是IPsec对等体之间对某些要素的约定；例如，使用哪种协议(AH、ESP)、使用哪种协议封装模式(传输模式、隧道模式)、使用哪种加密算法等；进一步的，IPsec对等体之间可以通过IKE (InternetKey Exchange, Internet密钥交换)协商建立SA信息,如图1所示，为IPsec与IKE的关系示意图。
其中，IKE使用两个阶段为IPsec进行密钥协商并建立SA: (I) IPsec发起方和IPsec响应方彼此之间建立一个已通过身份认证和安全保护的通道，即建立一个IKE SA ；(2)通过第一阶段建立的IKE SA为IPsec协商安全服务，即为IPsec协商具体的SA，建立用于最终IP数据安全传输的IPsec SA。
如图2所示，NAT是将IP报文头中的IP地址转换为另一个IP地址的过程,并用于实现私有网络访问公共网络，有助于减缓可用IP地址空间的枯竭；进一步的，如图3所示，NAPT (Network Address Port Translation,网络地址端口转换)允许多个内部地址映射到同一公有地址上，且NAPT同时映射IP地址和端口号:即来自不同内部地址的IP报文的源地址可以映射到同一外部地址，但各IP报文的端口号被转换为该地址的不同端口号，因此能够共享同一地址，即私网IP地址+端口号与公网IP地址+端口号之间的转换。
在目前的组网应用中，IPsec以及NAT的使用都非常普遍，因此当前可以同时部署IPsec和NAT设备；如图4所示，RT2 (路由器)为NAT设备，PCl (主机)和RTl在NAT内侧，PC2和RT3在NAT外侧；当PCl和PC2之间需要通信时，需要在RTl和RT3之间建立一条IPsec链路；在RTl向RT3发送IKE协商报文后，NAT设备需要为该IKE协商报文维护NAT转换表项，以使RT3回应的IKE协商报文能够正确发送给RTl ;该NAT转换表项有一定的老化时间(该老化时间为NAT设备上进行配铬的)，在老化时间内如果没有IKE协商报文经过NAT设备，则NAT设备会删除该NAT转换表项。
现有技术中，为了使NAT设备上的NAT转换表项不被删除，RTl需要周期性发送NAT表项保活报文(发送周期缺省为20秒)；但是，RTl周期性发送NAT表项保活报文(NATKeepalive报文)的前提条件是IKE SA存在，假设IKE SA不存在，则RTl不会发送NAT表项保活报文给NAT设备。
由于IKE SA和IPsec SA不是必然同时存在，当IKE SA不存在，IPsec SA存在时，RTl不会发送NAT表项保活报文，NAT设备在老化时间之后会删除NAT转换表项；因此，在IPsec穿越NAT的情况下，由于没有NAT转换表项，会导致RT3发送给RTl的流量由于无法命中NAT转换表项，从而出现断流。发明内容
本发明实施例提供一种基于IPsec的NAT表项保活方法和设备，当不存在IKE SA,且存在IPsec SA时，能够发送NAT表项保活报文，避免IPsec响应方发送给IPsec发起方的流量在NAT设备上无法命中NAT转换表项。
为了达到上述目的，本发明实施例提供一种基于IPsec的NAT表项保活方法，应用于包括IPsec发起方、NAT设备和IPsec响应方的网络中，该方法包括以下步骤:
所述IPsec发起方建立本设备与所述IPsec响应方之间的IKE SA，并利用所述IKESA建立本设备与所述IPsec响应方之间的IPsec SA,并启动所述IKESA对应的NAT报文发送定时器；
所述IPsec发起方在所述IKE SA或者IPsec SA被删除时，判断所述IKESA或者IPsec SA是否为SA集合中的最后一个SA;其中，在初始状态下，所述SA集合中包括所述IKE SA以及利用所述IKE SA建立的所有IPsec SA ；
如果是，所述IPsec发起方删除所述NAT报文发送定时器；
如果否，所述IPsec发起方保留所述NAT报文发送定时器；
其中，在所述NAT报文发送定时器被删除之前，所述IPsec发起方周期性通过所述NAT设备向所述IPsec响应方发送NAT表项保活报文。
所述IPsec发起方建立本设备与所述IPsec响应方之间的IKE SA之后，所述IPsec发起方为所述IKE SA启动第一老化定时器，且在所述第一老化定时器超时之后，所述IPsec发起方删除所述IKE SA ；
所述IPsec发起方利用所述IKE SA建立本设备与所述IPsec响应方之间的IPsecSA之后，所述IPsec发起方为所述IPsec SA启动第二老化定时器，且在所述第二老化定时器超时之后，所述IPsec发起方删除所述IPsec SA。
所述IPsec发起方删除所述NAT报文发送定时器之后，所述方法还包括:
所述IPsec发起方停止向所述IPsec响应方发送NAT表项保活报文。
所述IPsec发起方建立本设备与所述IPsec响应方之间的IKE SA，具体包括:所述IPsec发起方通过所述NAT设备向所述IPsec响应方发送IKE协商报文，由所述NAT设备在收到所述IKE协商报文时，为所述IKE协商报文建立对应的NAT转换表项，并为所述NAT转换表项维护老化定时器；
所述IPsec发起方通过所述NAT设备收到来自所述IPsec响应方的IKE协商报文时，建立本设备与所述IPsec响应方之间的IKE SA。
所述NAT表项保活报文用于使收到所述NAT表项保活报文的所述NAT设备，更新所述NAT转换表项的老化定时器。
本发明实施例提供一种IPsec发起方设备,应用于包括所述IPsec发起方、NAT设备和IPsec响应方的网络中，所述IPsec发起方具体包括:
建立模块，用于建立本设备与所述IPsec响应方之间的IKE SA,并利用所述IKESA建立本设备与所述IPsec响应方之间的IPsec SA ；
判断模块，用于在所述IKE SA或者IPsec SA被删除时，判断所述IKE SA或者IPsec SA是否为SA集合中的最后一个SA ;其中，在初始状态下，所述SA集合中包括所述IKE SA以及利用所述IKE SA建立的所有IPsec SA ；
维护模块，用于在建立IKE SA时，启动所述IKE SA对应的NAT报文发送定时器；在判断结果为是时，删除所述NAT报文发送定时器；在判断结果为否时，保留所述NAT报文发送定时器；
发送模块，用于在所述NAT报文发送定时器被删除之前，周期性通过所述NAT设备向所述IPsec响应方发送NAT表项保活报文。
还包括:处理模块，用于在建立本设备与IPsec响应方之间的IKE SA时，为所述IKE SA启动第一老化定时器，在所述第一老化定时器超时之后，删除所述IKE SA;在建立本设备与IPsec响应方之间的IPsec SA时，为所述IPsecSA启动第二老化定时器，在第二老化定时器超时之后，删除所述IPsec SA。
所述发送模块，还用于在所述NAT报文发送定时器被删除之后，停止向所述IPsec响应方发送NAT表项保活报文。
所述建立模块，具体用于通过所述NAT设备向所述IPsec响应方发送IKE协商报文，由所述NAT设备在收到所述IKE协商报文时，为所述IKE协商报文建立对应的NAT转换表项，并为所述NAT转换表项维护老化定时器；
通过所述NAT设备收到来自所述IPsec响应方的IKE协商报文时，建立本设备与所述IPsec响应方之间的IKE SA。
所述NAT表项保活报文用于使收到所述NAT表项保活报文的所述NAT设备，更新所述NAT转换表项的老化定时器。
与现有技术相比，本发明实施例至少具有以下优点:本发明实施例中，在IPsec穿越NAT环境下，当不存在IKE SA,且存在IPsec SA时，能够继续发送NAT表项保活报文，从而避免IPsec响应方发送给IPsec发起方的流量在NAT设备上无法命中NAT转换表项，继而避免出现断流的现象。


图1是现有技术中IPsec与IKE的关系示意图2是现有技术中NAT的处理过程示意图3是现有技术中NAPT的处理过程示意图4是现有技术中同时部署IPsec和NAT设备的网络示意图5是本发明实施例提供的基于IPsec的NAT表项保活方法流程图6是本发明实施例提出的IPsec发起方的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
针对现有技术中存在的问题，本发明实施例提出一种基于IPsec的NAT表项保活方法，该方法应用于包括IPsec发起方(NAT内侧设备)、NAT设备和IPsec响应方(NAT外侧设备)的网络中，在IPsec穿越NAT设备的网络环境下，当不存在IKE SA，且存在IPsec SA时，IPsec发起方能够继续发送NAT表项保活报文，从而避免IPsec响应方发送给IPsec发起方的流量在NAT设备上无法命中NAT转换表项，继而避免出现断流的现象。
如图5所示,该基于IPsec的NAT表项保活方法包括以下步骤:
步骤501，IPsec发起方建立本设备与IPsec响应方之间的IKE SA,并启动IKE SA对应的NAT报文发送定时器。
本发明实施例中，IPsec发起方建立本设备与IPsec响应方之间的IKE SA，具体包括=IPsec发起方通过NAT设备向IPsec响应方发送IKE协商报文(用于协商SA的相关信息)；IPsec发起方通过NAT设备收到来自IPsec响应方的IKE协商报文时，建立本设备与IPsec响应方之间的IKE SA。
本发明实施例中，IPsec发起方通过NAT设备向IPsec响应方发送IKE协商报文之后，为了保证IPsec响应方发送的IKE协商报文能够正确传输给IPsec发起方，则:NAT设备在收到IKE协商报文时，需要为IKE协商报文建立对应的NAT转换表项，并为NAT转换表项维护老化定时器。
具体的，NAT设备在收到IKE协商报文后，如果NAT设备上没有IKE协商报文对应的NAT转换表项，则为IKE协商报文建立NAT转换表项，为NAT转换表项设铬老化时间(根据实际经验进行设铬)，并为NAT转换表项维护老化定时器；如果NAT设备上有IKE协商报文对应的NAT转换表项，则更新NAT转换表项对应的老化定时器(即对老化定时器重新计时)。
以图4为本发明实施例的应用场景示意图，假设RTl和RT3部署有IPsec，RTl和RT2相连的接口上配铬了 IPsec策略，RT3和RT2相连的接口上配铬了 IPsec策略，且RT2上开启NAT功能，PCl和PC2为主机，PCl在NAT内侧，PC2在NAT外侧；则:在PCl需要向PC2发送数据时，RTl为IPsec发起方，RT3为IPsec响应方，RT2为NAT设备。
RTl在接收到PCl需要向PC2发送的数据后，根据路由获知出接口为自身与RT2相连的接口，地址为17.17.17.12，且由于该接口上配铬了 IPsec策略，因此RTl触发IPsec的SA协商过程，以在RTl和RT3之间建立IPsec隧道。进一步的，在IPsec隧道的建立过程中，RTI需要通过NAT设备向RT3发送IKE协商报文，且RT3需要通过NAT设备向RTl返回IKE协商报文。
在上述过程中，在RTl通过RT2向RT3发送IKE协商报文之后，为了保证RT3能够通过RT2向RTl返回IKE协商报文，因此RT2上需要维护IKE协商报文对应的NAT转换表项；即:在RT2上没有IKE协商报文对应的NAT转换表项时，为IKE协商报文建立NAT转换表项，且NAT转换表项存在一定的老化时间(RT2上手工配铬的)，并从建立NAT转换表项开始，为该NAT转换表项维护老化定时器；如果RT2上有IKE协商报文对应的NAT转换表项，则只需要清除老化定时器当前的计时，并重新启动该老化定时器。
本发明实施例中，为了使NAT设备上的NAT转换表项不被删除，该IPsec发起方还需要启动IKE SA对应的NAT报文发送定时器；在启动NAT报文发送定时器之后，IPsec发起方周期性(基于NAT报文发送定时器的时间确定)通过NAT设备向IPsec响应方发送NAT表项保活报文(该报文格式明文形式)。
其中，该NAT表项保活报文用于使收到NAT表项保活报文的NAT设备，更新NAT转换表项的老化定时器。具体的，由于NAT表项保活报文的IP头中源地址与IKE协商报文的IP头中源地址相同，NAT表项保活报文的IP头中目的地址与IKE协商报文的IP头中目的地址相同，NAT表项保活报文的m)P头中源端口与IKE协商报文的m)P头中源端口相同，NAT表项保活报文的m)P头中目的端口与IKE协商报文的m)P头中目的端口相同；且nat转换表项是为IKE协商报文所建立的，其中会记录IKE协商报文的相关信息(IP头中源地址和目的地址，UDP头中源端口和目的端口)；因此NAT设备在收到NAT表项保活报文之后，可以利用NAT表项保活报文的IP头中源地址和目的地址、UDP头中源端口和目的端口匹配到NAT转换表项，并更新NAT转换表项的老化定时器，即刷新老化定时器为初始值。
本发明实施例中，IPsec发起方建立本设备与IPsec响应方之间的IKE SA之后，该IPsec发起方还需要为IKE SA启动第一老化定时器，且在第一老化定时器超时之后，IPsec发起方需要删除IKE SA ;此外，还可以手工删除IKESA。此外，IPsec响应方建立本设备与IPsec发起方之间的IKE SA之后，该IPsec响应方也需要为IKE SA启动第一老化定时器，且在第一老化定时器超时之后，IPsec响应方需要删除IKE SA0其中，上述第一老化定时器的老化时间为IPsec发起方和IPsec响应方协商出的生命周期。
步骤502，IPsec发起方利用IKE SA (即步骤501中所确定的IKE SA)建立本设备与IPsec响应方之间的IPsec SA。
本发明实施例中，IPsec发起方利用IKE SA建立本设备与IPsec响应方之间的IPsec SA之后，该IPsec发起方还需要为IPsec SA启动第二老化定时器，且在第二老化定时器超时之后，IPsec发起方需要删除IPsec SA ;此外，还可以手工删除IPsec SA ;此外，IPsec响应方建立本设备与IPsec发起方之间的IPsec SA之后，该IPsec响应方也需要为IPsec SA启动第二老化定时器，且在第二老化定时器超时之后，IPsec响应方需要删除IPsec SA。其中，上述第二老化定时器的老化时间为IPsec发起方和IPsec响应方协商出的生命周期。
步骤503，IPsec发起方在IKE SA或者IPsec SA被删除(老化删除或手工删除)时，判断IKE SA或者IPsec SA是否为SA集合中的最后一个SA ;其中，在初始状态下，SA集合中包括IKE SA以及利用该IKE SA建立的所有IPsec SA ;如果是，则执行步骤504 ;如果否，则执行步骤505。
基于NAT设备上为IKE协商报文建立的NAT转换表项，SA集合中的IKESA和IPsecSA均与NAT转换表项相对应；IKE SA和IPsec SA与NAT转换表项相对应是指其具备相同五元组信息(源地址、目的地址、源端口、目的端口、协议类型)；具体的，IPsec发起方通过NAT设备向IPsec响应方发送IKE协商报文以建立IKE SA时，NAT设备上会为IKE协商报文建立NAT转换表项，且IPsec发起方需要利用该IKE SA建立多个IPsec SA;在此过程中，建立的所有IKE SA和IPsec SA均与NAT转换表项相对应。
步骤504，IPsec发起方删除NAT报文发送定时器。
步骤505，IPsec发起方保留NAT报文发送定时器。
本发明实施例中，在NAT报文发送定时器被删除之前，IPsec发起方需要周期性通过NAT设备向IPsec响应方发送NAT表项保活报文；在NAT报文发送定时器被删除之后，IPsec发起方需要停止向IPsec响应方发送NAT表项保活报文；之后，NAT设备上由于没有收到NAT表项保活报文，因此会导致NAT转换表项的老化定时器超时，NAT转换表项被NAT设备删除。
综上所述，本发明实施例中，在IPsec穿越NAT环境下，当不存在IKE SA，且存在IPsec SA时，只要存在和NAT转换表项对应的IKE SA或者IPsec SA,则能够继续发送NAT表项保活报文；且只有当最后一个SA (IKE SA或者IPsec SA)被删除时，才会删除NAT报文发送定时器，并停止发送NAT表项保活报文；从而可以避免IPsec响应方发送给IPsec发起方的流量在NAT设备上无法命中NAT转换表项，继而可以避免出现断流的现象。
基于与上述方法同样的发明构思，本发明实施例中还提供了一种IPsec发起方设备，应用于包括所述IPsec发起方、NAT设备和IPsec响应方的网络中，如图6所示，所述IPsec发起方具体包括:
建立模块11，用于建立本设备与所述IPsec响应方之间的IKE SA，并利用所述IKESA建立本设备与所述IPsec响应方之间的IPsec SA ；
判断模块12，用于在所述IKE SA或者IPsec SA被删除时，判断所述IKE SA或者IPsec SA是否为SA集合中的最后一个SA ;其中，在初始状态下，所述SA集合中包括所述IKE SA以及利用所述IKE SA建立的所有IPsec SA ；
维护模块13，用于在建立IKE SA时，启动所述IKE SA对应的NAT报文发送定时器；在判断结果为是时，删除所述NAT报文发送定时器；在判断结果为否时，保留所述NAT报文发送定时器；
发送模块14，用于在所述NAT报文发送定时器被删除之前，周期性通过所述NAT设备向所述IPsec响应方发送NAT表项保活报文。
所述IPsec发起方还包括:处理模块15，用于在建立本设备与IPsec响应方之间的IKE SA时，为所述IKE SA启动第一老化定时器，在所述第一老化定时器超时之后，删除所述IKE SA ;在建立本设备与IPsec响应方之间的IPsec SA时，为所述IPsec SA启动第二老化定时器，在所述第二老化定时器超时之后，删除所述IPsec SA。
所述发送模块14，还用于在所述NAT报文发送定时器被删除之后，停止向所述IPsec响应方发送NAT表项保活报文。
所述建立模块11，具体用于通过所述NAT设备向所述IPsec响应方发送IKE协商报文，由所述NAT设备在收到所述IKE协商报文时，为所述IKE协商报文建立对应的NAT转换表项，并为所述NAT转换表项维护老化定时器；
通过所述NAT设备收到来自所述IPsec响应方的IKE协商报文时，建立本设备与所述IPsec响应方之间的IKE SA。
本发明实施例中，所述NAT表项保活报文用于使收到所述NAT表项保活报文的所述NAT设备，更新所述NAT转换表项的老化定时器。
其中，本发明装铬的各个模块可以集成于一体，也可以分离部署。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装铬中的模块可以按照实施例描述进行分布于实施例的装铬中，也可以进行相应变化位于不同于本实施例的一个或多个装铬中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1.一种基于IPsec的NAT表项保活方法，应用于包括IPsec发起方、NAT设备和IPsec响应方的网络中，其特征在于，该方法包括以下步骤: 所述IPsec发起方建立本设备与所述IPsec响应方之间的IKE SA,并利用所述IKE SA建立本设备与所述IPsec响应方之间的IPsec SA，并启动所述IKE SA对应的NAT报文发送定时器； 所述IPsec发起方在所述IKE SA或者IPsec SA被删除时，判断所述IKE SA或者IPsecSA是否为SA集合中的最后一个SA ;其中，在初始状态下，所述SA集合中包括所述IKE SA以及利用所述IKE SA建立的所有IPsec SA ； 如果是，所述IPsec发起方删除所述NAT报文发送定时器； 如果否，所述IPsec发起方保留所述NAT报文发送定时器； 其中，在所述NAT报文发送定时器被删除之前，所述IPsec发起方周期性通过所述NAT设备向所述IPsec响应方发送NAT表项保活报文。
2.如权利要求1所述的方法，其特征在于， 所述IPsec发起方建立本设备与所述IPsec响应方之间的IKE SA之后，所述IPsec发起方为所述IKE SA启动第一老化定时器，且在所述第一老化定时器超时之后，所述IPsec发起方删除所述IKE SA ； 所述IPsec发起方利用所述IKE SA建立本设备与所述IPsec响应方之间的IPsec SA之后，所述IPsec发起方为所述IPsec SA启动第二老化定时器，且在所述第二老化定时器超时之后，所述IPsec发起方删除所述IPsec SA。
3.如权利要求1所述的方法，其特征在于，所述IPsec发起方删除所述NAT报文发送定时器之后，所述方法还包括: 所述IPsec发起方停止向所述IPsec响应方发送NAT表项保活报文。
4.如权利要求1所述的方法，其特征在于，所述IPsec发起方建立本设备与所述IPsec响应方之间的IKE SA，具体包括: 所述IPsec发起方通过所述NAT设备向所述IPsec响应方发送IKE协商报文，由所述NAT设备在收到所述IKE协商报文时，为所述IKE协商报文建立对应的NAT转换表项，并为所述NAT转换表项维护老化定时器； 所述IPsec发起方通过所述NAT设备收到来自所述IPsec响应方的IKE协商报文时，建立本设备与所述IPsec响应方之间的IKE SA。
5.如权利要求4所述的方法，其特征在于， 所述NAT表项保活报文用于使收到所述NAT表项保活报文的所述NAT设备，更新所述NAT转换表项的老化定时器。
6.一种IPsec发起方设备，应用于包括所述IPsec发起方、NAT设备和IPsec响应方的网络中，其特征在于，所述IPsec发起方具体包括: 建立模块，用于建立本设备与所述IPsec响应方之间的IKE SA，并利用所述IKE SA建立本设备与所述IPsec响应方之间的IPsec SA ； 判断模块，用于在所述IKE SA或者IPsec SA被删除时，判断所述IKE SA或者IPsecSA是否为SA集合中的最后一个SA ;其中，在初始状态下，所述SA集合中包括所述IKE SA以及利用所述IKE SA建立的所有IPsec SA ；维护模块，用于在建立IKE SA时，启动所述IKE SA对应的NAT报文发送定时器；在判断结果为是时，删除所述NAT报文发送定时器；在判断结果为否时，保留所述NAT报文发送定时器； 发送模块，用于在所述NAT报文发送定时器被删除之前，周期性通过所述NAT设备向所述IPsec响应方发送NAT表项保活报文。
7.如权利要求6所述的设备，其特征在于，还包括: 处理模块，用于在建立本设备与IPsec响应方之间的IKE SA时，为所述IKE SA启动第一老化定时器，在所述第一老化定时器超时之后，删除所述IKESA ;在建立本设备与IPsec响应方之间的IPsec SA时，为所述IPsec SA启动第二老化定时器，在所述第二老化定时器超时之后，删除所述IPsec SA。
8.如权利要求6所述的设备，其特征在于， 所述发送模块，还用于在所述NAT报文发送定时器被删除之后，停止向所述IPsec响应方发送NAT表项保活报文。
9.如权利要求6所述的设备，其特征在于， 所述建立模块，具体用于通过所述NAT设备向所述IPsec响应方发送IKE协商报文，由所述NAT设备在收到所述IKE协商报文时，为所述IKE协商报文建立对应的NAT转换表项，并为所述NAT转换表项维护老化定时器； 通过所述NAT设备收到来自所述IPsec响应方的IKE协商报文时，建立本设备与所述IPsec响应方之间的IKE SA。
10.如权利要求9所述的设 备，其特征在于， 所述NAT表项保活报文用于使收到所述NAT表项保活报文的所述NAT设备，更新所述NAT转换表项的老化定时器。
全文摘要
本发明公开了一种基于IPsec的NAT表项保活方法和设备，该方法包括IPsec发起方建立本设备与IPsec响应方之间的IKE SA，并利用所述IKE SA建立本设备与所述IPsec响应方之间的IPsec SA，并启动所述IKE SA对应的NAT报文发送定时器；所述IPsec发起方在所述IKE SA或者IPsec SA被删除时，判断所述IKE SA或者IPsec SA是否为SA集合中的最后一个SA；如果是，所述IPsec发起方删除所述NAT报文发送定时器；如果否，所述IPsec发起方保留所述NAT报文发送定时器。本发明实施例中，可以避免出现断流。
文档编号H04L29/12GK103179225SQ20131008692
公开日2013年6月26日 申请日期2013年3月18日 优先权日2013年3月18日
发明者杨超 申请人:杭州华三通信技术有限公司