一种IPSec连接的建立方法、装置、设备及存储介质与流程

本申请一个或多个实施例涉及通信领域，尤其涉及一种ipsec连接的建立方法、装置、设备及存储介质。

背景技术：

1、ipsec(ip security，ip安全)是一种工作在osi(open system interconnectionreference model，开放式系统互联通信参考模型)三层的加密协议，为互联网上传输的数据提供高质量的基于密码学的安全保证，是一种实现三层vpn(virtual private network，虚拟专用网络)的安全技术。ipsec通过在通信双方之间建立一个安全互通的ipsec隧道，然后对流经ipsec隧道的数据通过安全协议进行加密和验证，进而实现在internet上安全传输指定的数据。

2、一般的，在不同局域网之间通信需要建立ipsec连接，从而保证业务流量在外网上的机密性。由于外网地址资源稀缺，因此需要在出口防火墙上配置nat(network addresstranslation，网络地址转换)策略。

3、目前，为了保证业务正常访问，防火墙需要同时配置源nat策略和目的nat策略。源nat策略用于对内网访问外网的流量进行地址转换，使得内网源地址转换为外网地址。目的nat策略用于将外网地址映射为内网某一地址。当网络震荡等原因导致ipsec连接断开后，会导致外网网关主动访问内网网关与内网网关主动访问外网网关的会话发生冲突，使得其中一方发起的ipsec连接无法建立或双方发起的ipsec连接都无法建立的情况。

技术实现思路

1、本申请提供一种ipsec连接的建立方法、装置、设备及存储介质，以解决相关技术中的不足。

2、根据本申请一个或多个实施例的第一方面，提供一种ipsec连接的建立方法，所述方法应用于内网网关和外网网关中的任一网关，以用于在所述任一网关与所述内网网关和所述外网网关中的另一网关之间建立所述ipsec连接，且所述内网网关和所述外网网关之间设有防火墙，该方法包括：

3、在向所述另一网关发起ipsec连接请求的过程中，检测所述防火墙上是否存在第一nat映射，其中所述第一nat映射的匹配条件为：所述防火墙所收到消息的源地址信息匹配于所述内网网关的地址信息且目的地址信息匹配于所述外网网关的地址信息；

4、在检测结果表明所述防火墙上存在所述第一nat映射的情况下，将所述ipsec连接请求中的源地址信息配置为区别于所述任一网关在所述第一nat映射的匹配条件中对应的地址信息；

5、通过所述ipsec连接请求与所述另一网关建立ipsec连接，以使所述防火墙根据所述ipsec连接请求建立第二nat映射。

6、根据本申请一个或多个实施例的第二方面，提供一种ipsec连接的建立装置，所述装置应用于内网网关和外网网关中的任一网关，以用于在所述任一网关与所述内网网关和所述外网网关中的另一网关之间建立所述ipsec连接，且所述内网网关和所述外网网关之间设有防火墙，该装置包括：

7、检测模块，用于在向所述另一网关发起ipsec连接请求的过程中，检测所述防火墙上是否存在第一nat映射，其中所述第一nat映射的匹配条件为：所述防火墙所收到消息的源地址信息匹配于所述内网网关的地址信息且目的地址信息匹配于所述外网网关的地址信息；

8、配置模块，用于在检测结果表明所述防火墙上存在所述第一nat映射的情况下，将所述ipsec连接请求中的源地址信息配置为区别于所述任一网关在所述第一nat映射的匹配条件中对应的地址信息；

9、连接建立模块，用于通过所述ipsec连接请求与所述另一网关建立ipsec连接，以使所述防火墙根据所述ipsec连接请求建立第二nat映射。

10、根据本申请一个或多个实施例的第三方面，提供一种电子设备，包括：

11、处理器；

12、用于存储处理器可执行指令的存储器；

13、其中，所述处理器通过运行所述可执行指令以实现上述第一方面的实施例中所述的方法。

14、根据本申请一个或多个实施例的第四方面，提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述第一方面的实施例中所述方法的步骤。

15、由以上技术方案可见，本申请一个或多个实施例中，当任一网关向另一网关发起ipsec连接请求时，在检测到防火墙上存在第一nat映射的情况下，通过将ipsec连接请求中的源地址信息配置为区别于该任一网关在第一nat映射的匹配条件中对应的地址信息，从而避免会话发生冲突，使得任一网关与另一网关之间成功建立起ipsec连接。

16、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

技术特征：

1.一种ipsec连接的建立方法，其特征在于，所述方法应用于内网网关和外网网关中的任一网关，以用于在所述任一网关与所述内网网关和所述外网网关中的另一网关之间建立所述ipsec连接，且所述内网网关和所述外网网关之间设有防火墙，该方法包括：

2.根据权利要求1所述的方法，其特征在于，所述将所述ipsec连接请求中的源地址信息配置为区别于所述任一网关在所述第一nat映射的匹配条件中对应的地址信息，包括：

3.根据权利要求2所述的方法，其特征在于，所述将所述ipsec连接请求中的源端口信息配置为区别于所述任一网关在所述第一nat映射的匹配条件中的对应的端口信息，包括：

4.根据权利要求3所述的方法，其特征在于，在所述预设的网关ip地址与端口信息的对应关系中，各个网关ip地址与端口信息之间一一对应，或，所有网关ip地址均对应同一个端口信息。

5.根据权利要求2所述的方法，其特征在于，所述将所述ipsec连接请求中的源端口信息配置为区别于所述任一网关在所述第一nat映射的匹配条件中的对应的端口信息，包括：

6.根据权利要求5所述的方法，其特征在于，所述预设端口资源池中各端口以链表形式存储，该链表中包含所述预设端口资源池中各端口的端口信息，以及所述各端口的上一次使用时刻；

7.根据权利要求6所述的方法，其特征在于，所述链表包括已使用端口链表和未使用端口链表，所述方法还包括：

8.一种ipsec连接的建立装置，其特征在于，所述装置应用于内网网关和外网网关中的任一网关，以用于在所述任一网关与所述内网网关和所述外网网关中的另一网关之间建立所述ipsec连接，且所述内网网关和所述外网网关之间设有防火墙，该装置包括：

9.一种电子设备，其特征在于，包括：

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-7中任一项所述方法的步骤。

技术总结
本申请提出了一种IPSec连接的建立方法、装置、设备及存储介质，该方法应用于内网网关和外网网关中的任一网关，以用于在任一网关与内网网关和外网网关中的另一网关之间建立IPSec连接，且内网网关和外网网关之间设有防火墙，该方法包括：在向所述另一网关发起IPSec连接请求的过程中，检测防火墙上是否存在第一NAT映射；在检测结果表明防火墙上存在第一NAT映射的情况下，将IPSec连接请求中的源地址信息配置为区别于任一网关在第一NAT映射的匹配条件中对应的地址信息；通过IPSec连接请求与另一网关建立IPSec连接，以使防火墙根据IPSec连接请求建立第二NAT映射。

技术研发人员：张瑞冬,董俊文,黄东东
受保护的技术使用者：杭州迪普科技股份有限公司
技术研发日：
技术公布日：2024/1/11