一種issu軟重啟預(yù)處理方法及設(shè)備的制作方法
【專利摘要】本發(fā)明公開(kāi)了一種ISSU軟重啟預(yù)處理方法�,應(yīng)用于接口使能了MKA協(xié)議的設(shè)備上�����,該設(shè)備為成對(duì)CA中的任一成員設(shè)備��,該方法包括:與成對(duì)CA的對(duì)端設(shè)備協(xié)商�,確認(rèn)兩端設(shè)備都開(kāi)啟密文和明文同時(shí)傳輸策略,且兩端設(shè)備所配置的加密策略相同����;將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)中的同時(shí)����,通知對(duì)端設(shè)備將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)中,以使得兩端設(shè)備分別根據(jù)各自下發(fā)的加密策略對(duì)具有加密特征的報(bào)文進(jìn)行MACsec加密處理���,所述加密策略包括有預(yù)設(shè)報(bào)文特征的加密特征����,用于對(duì)匹配加密特征的報(bào)文進(jìn)行加密處理。本發(fā)明還公開(kāi)了一種成對(duì)CA成員設(shè)備��。能夠緩解加密報(bào)文對(duì)PN值消耗增長(zhǎng)過(guò)快的問(wèn)題���。
【專利說(shuō)明】—種ISSU軟重啟預(yù)處理方法及設(shè)備
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信【技術(shù)領(lǐng)域】��,特別涉及一種ISSU軟重啟預(yù)處理方法及設(shè)備�。
【背景技術(shù)】
[0002]MACsec (Media Access Control Security, MAC 安全)定義了基于 IEEE802 局域網(wǎng)絡(luò)下安全數(shù)據(jù)通信的方法����。MACsec工作在鏈路層的MAC子層之上,可為用戶提供安全的無(wú)連接MAC層數(shù)據(jù)發(fā)送和接收服務(wù)�,包括用戶數(shù)據(jù)加密、數(shù)據(jù)幀完整性檢查及數(shù)據(jù)源真實(shí)性校驗(yàn)����。由于MACsec協(xié)議只提供了對(duì)數(shù)據(jù)進(jìn)行封裝和加密的框架,它還需要其他協(xié)議來(lái)提供密鑰管理�����、成員認(rèn)證和授權(quán)等功能,因此MACsec密鑰協(xié)商(MACsecKeyAgreement, MKA)協(xié)議被制定出來(lái)�,以滿足MACsec協(xié)議對(duì)密鑰的相關(guān)需求。通過(guò)MKA協(xié)議報(bào)文的交互來(lái)發(fā)現(xiàn)MACsec成員并協(xié)商MACsec密鑰����。
[0003]CA (Secure Connectivity Association,安全連通集)是兩個(gè)或兩個(gè)以上使用相同密鑰和密鑰算法套件的成員的集合。CA成員稱為CA的參與者���。CA參與者使用的密鑰稱為CAK��。CAK分為兩種類型�,一種是成對(duì)CAK (Pairwise CAK)�,另一種是成組CAK (Group CAK)。由兩個(gè)成員組成CA��,它們所擁有的CAK稱為成對(duì)CAK����。由三個(gè)或三個(gè)以上成員組成CA,它們所擁有的CAK稱為成組CAK���。目前����,MACsec主要應(yīng)用在點(diǎn)對(duì)點(diǎn)組網(wǎng)的環(huán)境中��,所以主要使用成對(duì)CAK��。成對(duì)CAK可以是802.1X認(rèn)證過(guò)程中生成的CAK�,也可以是用戶配置的預(yù)共享密鑰(PSK,Pre-Shared Key)���。如兩者同時(shí)存在����,優(yōu)先使用用戶配置的預(yù)共享密鑰�����。
[0004]SA (Secure Association,安全集)是CA參與者之間用于建立安全通道的安全參數(shù)集合����。一個(gè)安全通道中可包含多個(gè)SA,每一個(gè)SA擁有一個(gè)不同的密鑰����,這個(gè)密鑰稱為SAK。SAK由CAK根據(jù)算法推導(dǎo)產(chǎn)生��,用于加密安全通道間傳輸?shù)臄?shù)據(jù)。MKA對(duì)每一個(gè)SAK可加密的報(bào)文數(shù)有所限制�。當(dāng)使用某SAK加密的報(bào)文超過(guò)限定的數(shù)目后,該SAK會(huì)被刷新���,否則存在可能被破解的隱患��。在IOGbps的鏈路上����,SAK最快300秒(此為理論值)刷新一次���。
[0005]ISSU (In-Service Software Upgrade,不中斷業(yè)務(wù)升級(jí))是一種可靠性高的軟件升級(jí)的方式��。ISSU主要有三種升級(jí)策略:增量升級(jí)����、軟重啟升級(jí)和重啟升級(jí)��,設(shè)備會(huì)根據(jù)新舊軟件版本差異自動(dòng)選擇一種升級(jí)方式�。對(duì)于軟重啟升級(jí),為了最大限度的保證用戶流量不中斷�,當(dāng)前MACsec響應(yīng)ISSU軟重啟升級(jí)的方案,在響應(yīng)了軟重啟預(yù)處理時(shí)間后�,會(huì)刷新一次SAK����,保證從使用最新的SAK開(kāi)始軟重啟����,但是�����,從ISSU軟重啟升級(jí)方式開(kāi)始到結(jié)束的這段時(shí)間����,SAK是刷新不了的。
[0006]如果ISSU軟重啟過(guò)程中�,使用該刷新后的SAK加密的報(bào)文數(shù)目超過(guò)閾值,則業(yè)務(wù)就會(huì)中斷�����。所以�����,現(xiàn)有為保證業(yè)務(wù)流量正常��,需要用戶選擇在MACsec端口流量較小時(shí)進(jìn)行ISSU操作,這樣�����,可以延長(zhǎng)加密報(bào)文達(dá)到閾值的時(shí)間��,從而確保完成ISSU軟重啟時(shí)業(yè)務(wù)不中斷���。然而�����,流量的大小會(huì)有突發(fā)性的特點(diǎn)�,ISSU升級(jí)時(shí)間也不是能人為控制的����,所以,如何解決MACsec響應(yīng)ISSU軟重啟升級(jí)過(guò)程中�����,導(dǎo)致業(yè)務(wù)中斷的問(wèn)題�,成為業(yè)內(nèi)尤其關(guān)注的一個(gè)問(wèn)題。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的在于提供一種ISSU軟重啟預(yù)處理方法及設(shè)備,能夠緩解加密報(bào)文對(duì)PN值消耗增長(zhǎng)過(guò)快的問(wèn)題�����。
[0008]為實(shí)現(xiàn)上述發(fā)明目的��,本發(fā)明提供了一種不中斷業(yè)務(wù)升級(jí)ISSU軟重啟預(yù)處理方法��,應(yīng)用于接口使能了媒體接入控制安全密鑰協(xié)商MKA協(xié)議的設(shè)備上�,該設(shè)備為成對(duì)安全連通集CA中的任一成員設(shè)備��,該方法包括:
[0009]與成對(duì)CA的對(duì)端設(shè)備協(xié)商�,確認(rèn)兩端設(shè)備都開(kāi)啟密文和明文同時(shí)傳輸策略,且兩端設(shè)備所配置的加密策略相同��;
[0010]將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)中的同時(shí)��,通知對(duì)端設(shè)備將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)中�����,以使得兩端設(shè)備分別根據(jù)各自下發(fā)的加密策略對(duì)具有加密特征的報(bào)文進(jìn)行MACsec加密處理�����,所述加密策略包括有預(yù)設(shè)報(bào)文特征的加密特征,用于對(duì)匹配加密特征的報(bào)文進(jìn)行加密處理����。
[0011]為實(shí)現(xiàn)上述發(fā)明目的,本發(fā)明還提供了一種成對(duì)安全連通集CA成員設(shè)備�,該設(shè)備接口使能媒體接入控制安全密鑰協(xié)商MKA協(xié)議,該設(shè)備包括:
[0012]協(xié)商單元��,用于與成對(duì)CA的對(duì)端設(shè)備協(xié)商��,確認(rèn)兩端設(shè)備都開(kāi)啟密文和明文同時(shí)傳輸策略����,且兩端設(shè)備所配置的加密策略相同;
[0013]處理單元���,用于將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)中的同時(shí)�,通知對(duì)端設(shè)備將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)中����,以使得兩端設(shè)備分別根據(jù)各自下發(fā)的加密策略對(duì)具有加密特征的報(bào)文進(jìn)行MACsec加密處理,所述加密策略包括有預(yù)設(shè)報(bào)文特征的加密特征����,用于對(duì)匹配加密特征的報(bào)文進(jìn)行加密處理。
[0014]從上述方案可以看出,本發(fā)明的成對(duì)CA的成員設(shè)備在ISSU軟重啟前���,進(jìn)行ISSU軟重啟預(yù)處理�����,為兩端設(shè)備下發(fā)配置的加密策略��,所述加密策略為報(bào)文匹配加密特征�����,進(jìn)行MACsec加密轉(zhuǎn)發(fā)。這樣��,不匹配加密特征的報(bào)文就不會(huì)加密轉(zhuǎn)發(fā)�����,PN值就不會(huì)增長(zhǎng)�����,從而緩解加密報(bào)文PN編號(hào)的增長(zhǎng)�����,最大程度上保證ISSU軟重啟過(guò)程中業(yè)務(wù)不會(huì)因?yàn)镻N值達(dá)到閾值而中斷。
【專利附圖】
【附圖說(shuō)明】
[0015]圖1為本發(fā)明實(shí)施例提供的ISSU軟重啟預(yù)處理方法的流程示意圖���。
[0016]圖2為本發(fā)明實(shí)施例成對(duì)CA之間進(jìn)行通信的組網(wǎng)示意圖����。
[0017]圖3為本發(fā)明實(shí)施例提供的成對(duì)CA成員設(shè)備的結(jié)構(gòu)示意圖����。
【具體實(shí)施方式】
[0018]為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白��,以下參照附圖并舉實(shí)施例��,對(duì)本發(fā)明方案作進(jìn)一步地詳細(xì)說(shuō)明���。
[0019]本發(fā)明對(duì)于成對(duì)CA的某一成員設(shè)備��,通過(guò)對(duì)報(bào)文特征進(jìn)行分類設(shè)置�,分成需要加密的報(bào)文和非加密報(bào)文���,當(dāng)該成員設(shè)備ISSU軟重啟開(kāi)始后����,讓其MACsec端口只對(duì)符合特征的報(bào)文加密,不符合特征的報(bào)文不加密���,每發(fā)出一個(gè)加密報(bào)文�����,其PN(Packet Number����,報(bào)文編號(hào))值就加一��,當(dāng)PN值達(dá)到閾值時(shí)�����,就說(shuō)明使用某個(gè)SAK加密的報(bào)文超過(guò)限定的數(shù)目���,就會(huì)新生成一個(gè)SAK,但是ISSU軟重啟過(guò)程中�,SAK是無(wú)法刷新的,所以本發(fā)明通過(guò)將部分相對(duì)不重要的報(bào)文不加密轉(zhuǎn)發(fā)����,來(lái)緩解加密報(bào)文PN編號(hào)的增長(zhǎng)��,從而盡可能滿足ISSU期間無(wú)需刷新SAK的限制����,最大程度上保證期間業(yè)務(wù)不中斷�����。
[0020]本發(fā)明提出一種ISSU軟重啟預(yù)處理方法����,在ISSU軟重啟預(yù)處理之后刷新SAK,開(kāi)始ISSU軟重啟�。該方法應(yīng)用于接口使能了 MKA (MACsec Key Agreement,MACsec密鑰協(xié)商)協(xié)議的設(shè)備上,該設(shè)備為成對(duì)CA中的任一成員設(shè)備�,具體地,如圖1所示���,本發(fā)明實(shí)施例提供的ISSU軟重啟預(yù)處理方法的流程示意圖包括以下步驟:
[0021]步驟101��,與成對(duì)CA的對(duì)端設(shè)備協(xié)商���,確認(rèn)兩端設(shè)備都開(kāi)啟密文和明文同時(shí)傳輸策略���,且兩端設(shè)備所配置的加密策略相同;
[0022]步驟102��、將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)中的同時(shí)���,通知對(duì)端設(shè)備將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)中����,以使得兩端設(shè)備分別根據(jù)各自下發(fā)的加密策略對(duì)具有加密特征的報(bào)文進(jìn)行MACsec加密處理�。
[0023]其中,加密策略包括有預(yù)設(shè)報(bào)文特征的加密特征����,用于對(duì)匹配加密特征的報(bào)文進(jìn)行加密處理。具體地����,報(bào)文的特征可包括:單播、組播��、廣播�、源MAC�、目的MAC����、協(xié)議類型等�;將些特征中的一個(gè)或者幾個(gè)的組合作為加密特征;所述加密策略為報(bào)文匹配加密特征����,進(jìn)行MACsec加密轉(zhuǎn)發(fā)。
[0024]優(yōu)選地�����,如果在ISSU軟重啟預(yù)處理前�,用戶沒(méi)有自行設(shè)置校驗(yàn)?zāi)J剑瑑啥嗽O(shè)備的端口還未處于一致的關(guān)閉模式或者檢查模式�,則在ISSU軟重啟預(yù)處理過(guò)程中,將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)之前�����,與對(duì)端設(shè)備協(xié)商MACsec校驗(yàn)?zāi)J剑?br>
[0025]具體為:在自身端口關(guān)閉MACsec校驗(yàn)?zāi)J降耐瑫r(shí),通知對(duì)端設(shè)備端口關(guān)閉MACsec校驗(yàn)?zāi)J?�;或者�����,在自身端口開(kāi)啟MACsec檢查模式的同時(shí),通知對(duì)端設(shè)備端口開(kāi)啟MACsec檢查模式。
[0026]為清楚說(shuō)明本發(fā)明����,下面列舉具體場(chǎng)景進(jìn)行詳細(xì)說(shuō)明。圖2為本發(fā)明實(shí)施例成對(duì)CA之間進(jìn)行通信的組網(wǎng)示意圖���。交換機(jī)(Switch) A和交換機(jī)B為成對(duì)CA��,兩者之間通過(guò)端口 al和端口 bl之間進(jìn)行報(bào)文轉(zhuǎn)發(fā)���。
[0027]實(shí)施例一
[0028]第一步,成對(duì)CA設(shè)備上都使能了 MKA協(xié)議�,指的是al和bl端口上配置MACsec加密,說(shuō)明成對(duì)CA設(shè)備之間進(jìn)行通信時(shí)��,加密轉(zhuǎn)發(fā)的報(bào)文需要進(jìn)行MACsec加密��,即進(jìn)行MACsec封裝處理后轉(zhuǎn)發(fā)到對(duì)端����。MACsec使用的SAK通過(guò)MKA協(xié)議進(jìn)行協(xié)商生成。在MACsec封裝的安全標(biāo)識(shí)(SecTag)中含有PN值�����,每發(fā)出一個(gè)加密報(bào)文���,其PN值加一����,當(dāng)PN值等于或者大于設(shè)定的閾值時(shí)��,就會(huì)新生成一個(gè)SAK�����,但是ISSU軟重啟過(guò)程中�,需要保證SAK不刷新,避免造成業(yè)務(wù)中斷�,因此本發(fā)明的關(guān)鍵在于,抑制PN值消耗增長(zhǎng)過(guò)快�����,防止其達(dá)到閾值�。
[0029]第二步,在交換機(jī)A上根據(jù)用戶需求自行設(shè)置加密策略�。將該加密策略存儲(chǔ)在內(nèi)存中。例如加密策略為,網(wǎng)絡(luò)協(xié)議類的報(bào)文�,或者單播報(bào)文進(jìn)行加密轉(zhuǎn)發(fā);不是網(wǎng)絡(luò)協(xié)議類的報(bào)文�,或者不是單播報(bào)文進(jìn)行明文轉(zhuǎn)發(fā)。同時(shí)����,將交換機(jī)B上也設(shè)置有與交換機(jī)A相同的加密策略。
[0030]當(dāng)某個(gè)業(yè)務(wù)需要版本更新����,或者在不重啟設(shè)備的情況下快速修復(fù)缺陷,交換機(jī)需要進(jìn)行ISSU軟重啟�。當(dāng)交換機(jī)A需要ISSU軟重啟時(shí),開(kāi)始進(jìn)行第三步����,ISSU軟重啟預(yù)處理。
[0031]端口 al發(fā)送消息通知bl�����,兩端開(kāi)始協(xié)商���,若兩端都確認(rèn)開(kāi)啟密文和明文同時(shí)傳輸策略��,且加密策略相同���,則��,
[0032]al關(guān)閉MACsec校驗(yàn)?zāi)J剑瑫r(shí)通知bl關(guān)閉MACsec校驗(yàn)?zāi)J?����。目的是為了不?duì)接收的數(shù)據(jù)幀進(jìn)行校驗(yàn)���,保證明文和密文能同時(shí)接收�����。
[0033]這里�,簡(jiǎn)單介紹一下MACsec校驗(yàn)?zāi)J椒譃槿N方式:
[0034]檢查模式(check)���,表示只作校驗(yàn)�,但不丟棄非法數(shù)據(jù)幀����;
[0035]關(guān)閉模式(disabled),不對(duì)接收數(shù)據(jù)幀進(jìn)行校驗(yàn);
[0036]嚴(yán)格校驗(yàn)?zāi)J?strict)��,表示校驗(yàn)接收數(shù)據(jù)幀�,并丟棄非法數(shù)據(jù)幀。
[0037]本發(fā)明為緩解加密報(bào)文對(duì)PN值消耗增長(zhǎng)過(guò)快的問(wèn)題���,根據(jù)報(bào)文的特征設(shè)置加密策略���,部分報(bào)文進(jìn)行MACsec加密轉(zhuǎn)發(fā),部分報(bào)文進(jìn)行明文轉(zhuǎn)發(fā)���,所以為了保證明文和密文能同時(shí)正確接收�,需要在ISSU軟重啟前�,協(xié)商MACsec校驗(yàn)?zāi)J剑_保明文不會(huì)被丟棄��。根據(jù)描述�,關(guān)閉模式和檢查模式,都不會(huì)對(duì)明文進(jìn)行丟棄�,所以兩端設(shè)備可以選擇關(guān)閉模式或者檢查模式進(jìn)行協(xié)商,達(dá)到MACsec校驗(yàn)?zāi)J揭恢?��,且明文不?huì)被丟棄的目的��。由于關(guān)閉模式不會(huì)對(duì)報(bào)文進(jìn)行校驗(yàn)�����,全部接收���,所以本發(fā)明實(shí)施例優(yōu)選為協(xié)商MACsec校驗(yàn)?zāi)J綖殛P(guān)閉模式��。因此,自身關(guān)閉MACsec校驗(yàn)?zāi)J?�,同時(shí)通知對(duì)端關(guān)閉MACsec校驗(yàn)?zāi)J?��,S卩:不對(duì)接收的數(shù)據(jù)幀進(jìn)行校驗(yàn)�。如果鏈路之前配置的就是disabled模式則無(wú)需改變�����。因此���,需要ISSU軟重啟的設(shè)備�,需要在其預(yù)處理階段通知對(duì)端先關(guān)閉MACsec校驗(yàn)?zāi)J?����,同時(shí)本端也關(guān)閉。通知方法可以在MKA協(xié)議報(bào)文交互中攜帶一個(gè)專用通知的類型長(zhǎng)度值(TLV)或標(biāo)志位���?��?梢岳斫獾氖牵部梢允窃谏?jí)前��,由用戶自行設(shè)置校驗(yàn)?zāi)J?��,這樣在軟啟動(dòng)預(yù)處理過(guò)程中�����,可不需要在進(jìn)行校驗(yàn)?zāi)J降膮f(xié)商����。
[0038]緊接著�,端口 al通知對(duì)端bl下發(fā)之前預(yù)設(shè)的加密策略到硬件芯片驅(qū)動(dòng)中。同時(shí)端口 al也下發(fā)相同的加密策略到自身的芯片驅(qū)動(dòng)中�。下發(fā)在芯片驅(qū)動(dòng)中的加密策略可以通過(guò)ACL功能實(shí)現(xiàn)。這樣���,就完成了 ISSU軟重啟預(yù)處理����。
[0039]在完成ISSU軟重啟預(yù)處理,ISSU軟重啟正式開(kāi)始前����,刷新一次SAK,然后正式開(kāi)始ISSU軟重啟�。在ISSU軟重啟過(guò)程中,就可以根據(jù)協(xié)商的加密策略與對(duì)端進(jìn)行通信��。如果交換機(jī)A接收到一個(gè)單播報(bào)文���,則,根據(jù)加密策略判斷需要進(jìn)行MACsec加密���,則將該單播報(bào)文在端口 al進(jìn)行MACsec封裝�,其PN值加一�����,從端口 al轉(zhuǎn)發(fā)到對(duì)端端口 bl�。如果交換機(jī)A接收到一個(gè)組播報(bào)文���,則,根據(jù)加密策略判斷需要進(jìn)行明文轉(zhuǎn)發(fā)��,則將該組播報(bào)文直接從端口al轉(zhuǎn)發(fā)到對(duì)端端口 bl���。實(shí)際上��,在加密策略中���,攜帶有需要進(jìn)行加密的報(bào)文的特征,即具有加密特征的報(bào)文均需要進(jìn)行加密處理�,而除此之外的報(bào)文,則都可以默認(rèn)為明文處理����,即不需要進(jìn)行加密處理。
[0040]從上述方法可以看出���,通過(guò)下發(fā)加密策略�����,根據(jù)用戶需求對(duì)報(bào)文進(jìn)行選擇性加密����,加密報(bào)文的PN編號(hào)增長(zhǎng)會(huì)得到一定的抑制,從而保證軟重啟過(guò)程中�,PN編號(hào)不會(huì)達(dá)到SAK要刷新的閾值。
[0041]進(jìn)一步地���,在ISSU軟重啟結(jié)束后��,該方法進(jìn)一步包括:交換機(jī)A刪除自身下發(fā)的加密策略���,恢復(fù)自身端口 al的MACsec校驗(yàn)?zāi)J剑煌瑫r(shí)通過(guò)端口 al通知對(duì)端設(shè)備刪除自身下發(fā)的加密策略�����,恢復(fù)端口 bl的MACsec校驗(yàn)?zāi)J健?br>
[0042]實(shí)施例二
[0043]為進(jìn)一步避免加密特征報(bào)文流量太大會(huì)很快消耗PN的潛在風(fēng)險(xiǎn)�����,本發(fā)明的優(yōu)選實(shí)施例為�,對(duì)符合加密特征的報(bào)文設(shè)置流量限速策略���,具體實(shí)現(xiàn)方案為:[0044]第一步��,在成對(duì)CA設(shè)備交換機(jī)A和交換機(jī)B上使能MKA協(xié)議�����。
[0045]第二步���,在交換機(jī)A上設(shè)置加密策略和流量限速策略���。同時(shí)交換機(jī)B上也設(shè)置有與交換機(jī)A相同的加密策略和流量限速策略。
[0046]加密策略仍然沿用實(shí)施例一中的加密策略�����,例如加密策略為�,網(wǎng)絡(luò)協(xié)議類的報(bào)文,或者單播報(bào)文進(jìn)行加密轉(zhuǎn)發(fā)�;不是網(wǎng)絡(luò)協(xié)議類的報(bào)文,或者不是單播報(bào)文進(jìn)行明文轉(zhuǎn)發(fā)���。這里��,所設(shè)置的流量限速策略是針對(duì)加密特征報(bào)文的��,也就是說(shuō)本實(shí)施例中針對(duì)網(wǎng)絡(luò)協(xié)議類報(bào)文�����,或者單播報(bào)文���。具體策略為:根據(jù)加密報(bào)文的優(yōu)先級(jí)匹配隊(duì)列����,不同隊(duì)列對(duì)應(yīng)不同的流量限速��。例如�����,單播報(bào)文根據(jù)報(bào)文中所帶的VLAN tag確定報(bào)文優(yōu)先級(jí)為1����,匹配進(jìn)入O?7隊(duì)列中的隊(duì)列1,隊(duì)列I的流量限速為2000Kbps�。這樣就會(huì)控制整個(gè)ISSU期間MACsec端口流量發(fā)送限制在一定范圍內(nèi),超過(guò)設(shè)置的部分則丟棄���。
[0047]當(dāng)交換機(jī)A需要ISSU軟重啟時(shí),開(kāi)始進(jìn)行第三步,ISSU軟重啟預(yù)處理���。
[0048]端口 al發(fā)送消息通知bl����,兩端開(kāi)始協(xié)商�,若兩端都確認(rèn)開(kāi)啟密文和明文同時(shí)傳輸策略和流量限速策略,且加密策略和流量限速策略相同���,則��,
[0049]al關(guān)閉MACsec校驗(yàn)?zāi)J?����,同時(shí)通知bl關(guān)閉MACsec校驗(yàn)?zāi)J?。目的是為了不?duì)接收的數(shù)據(jù)幀進(jìn)行校驗(yàn)��,保證明文和密文能同時(shí)接收��。
[0050]緊接著����,端口 al通知對(duì)端bl下發(fā)之前預(yù)設(shè)的加密策略和流量限速策略到硬件芯片驅(qū)動(dòng)中�����。同時(shí)端口 al也下發(fā)相同的加密策略和流量限速策略到自身的芯片驅(qū)動(dòng)中�����。下發(fā)在芯片驅(qū)動(dòng)中的加密策略可以通過(guò)ACL功能實(shí)現(xiàn)��。下發(fā)在芯片驅(qū)動(dòng)中的流量限速策略可以通過(guò)QoS功能實(shí)現(xiàn)����。這樣��,就完成了 ISSU軟重啟預(yù)處理�����。
[0051 ] 在完成ISSU軟重啟預(yù)處理��,ISSU軟重啟正式開(kāi)始前���,刷新一次SAK��,然后正式開(kāi)始ISSU軟重啟���。在ISSU軟重啟過(guò)程中,就可以根據(jù)協(xié)商的加密策略和流量限速策略與對(duì)端進(jìn)行通信��。如果交換機(jī)A接收到一個(gè)單播報(bào)文����,則,根據(jù)加密策略判斷需要進(jìn)行MACsec加密�,則給該單播報(bào)文追加一個(gè)加密標(biāo)識(shí);再根據(jù)流量限速策略判斷該單播報(bào)文VLAN tag優(yōu)先級(jí)為I進(jìn)入隊(duì)列1���,隊(duì)列I對(duì)應(yīng)的流量限速為2000Kbps�����,則將該加密的單播報(bào)文以流量限速2000Kbps���,然后根據(jù)加密標(biāo)識(shí)將該單播報(bào)文在端口 al進(jìn)行MACsec封裝,其PN值加一����,從端口 al轉(zhuǎn)發(fā)到對(duì)端端口 bl。如果交換機(jī)A接收到一個(gè)組播報(bào)文����,則���,根據(jù)加密策略判斷需要進(jìn)行明文轉(zhuǎn)發(fā),則將該組播報(bào)文直接從端口 al轉(zhuǎn)發(fā)到對(duì)端端口 bl��。
[0052]從上述方法可以看出��,通過(guò)下發(fā)加密策略����,根據(jù)用戶需求對(duì)報(bào)文進(jìn)行選擇性加密,符合特征的報(bào)文按照密文通信���,否則按照明文通信���,這樣加密報(bào)文的PN編號(hào)增長(zhǎng)會(huì)得到一定的抑制,從而保證軟重啟過(guò)程中�,PN編號(hào)不會(huì)達(dá)到SAK要刷新的閾值。同理��,通過(guò)下發(fā)流量限速策略����,就會(huì)控制整個(gè)ISSU期間MACsec端口流量發(fā)送限制在一定范圍內(nèi)���,超過(guò)設(shè)置的部分則丟棄,進(jìn)一步抑制PN編號(hào)的增長(zhǎng)�����。
[0053]進(jìn)一步地�����,在ISSU軟重啟結(jié)束后��,該方法進(jìn)一步包括:交換機(jī)A刪除自身下發(fā)的加密策略和流量限速策略����,恢復(fù)自身端口 al的MACsec校驗(yàn)?zāi)J?;同時(shí)通過(guò)端口 al通知對(duì)端設(shè)備刪除自身下發(fā)的加密策略和流量限速策略,恢復(fù)端口 bl的MACsec校驗(yàn)?zāi)J健?br>
[0054]如圖3所示�����,本發(fā)明實(shí)施例提供的成對(duì)CA成員設(shè)備���,其接口使能了 MKA協(xié)議�,該設(shè)備包括:
[0055]協(xié)商單元301,用于與成對(duì)CA的對(duì)端設(shè)備協(xié)商��,確認(rèn)兩端設(shè)備都開(kāi)啟密文和明文同時(shí)傳輸策略���,且兩端設(shè)備所配置的加密策略相同�;[0056]處理單元302����,用于將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)中的同時(shí),通知對(duì)端設(shè)備將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)中��,以使得兩端設(shè)備分別根據(jù)各自下發(fā)的加密策略對(duì)具有加密特征的報(bào)文進(jìn)行MACsec加密處理�����,所述加密策略包括有預(yù)設(shè)報(bào)文特征的加密特征���,用于對(duì)匹配加密特征的報(bào)文進(jìn)行加密處理��。
[0057]本實(shí)施例提供的設(shè)備可執(zhí)行上述方法實(shí)施例中的各步驟��,來(lái)實(shí)現(xiàn)ISSU升級(jí)的預(yù)處理����,從而可在升級(jí)過(guò)程中,不會(huì)對(duì)業(yè)務(wù)造成中斷��,其具體實(shí)現(xiàn)過(guò)程可參見(jiàn)上述方法實(shí)施例的說(shuō)明�,在此不再贅述。
[0058]上述圖3所示實(shí)施例中�����,所述協(xié)商單元301�,還用于將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)之前����,與對(duì)端設(shè)備協(xié)商MACsec校驗(yàn)?zāi)J健?br>
[0059]所述協(xié)商單元301在與對(duì)端設(shè)備協(xié)商MACsec校驗(yàn)?zāi)J綍r(shí),具體用于���,
[0060]在自身端口關(guān)閉MACsec校驗(yàn)?zāi)J降耐瑫r(shí),通知對(duì)端設(shè)備端口關(guān)閉MACsec校驗(yàn)?zāi)J剑?br>
[0061]或者�,
[0062]在自身端口開(kāi)啟MACsec檢查模式的同時(shí),通知對(duì)端設(shè)備端口開(kāi)啟MACsec檢查模式����。
[0063]優(yōu)選地,該設(shè)備進(jìn)一步包括:策略配置單元303�,用于對(duì)符合加密特征的報(bào)文配置流量限速策略;
[0064]所述協(xié)商單元301還用于,確認(rèn)兩端設(shè)備都開(kāi)啟流量限速策略�����,且兩端設(shè)備所配置的流量限速策略相同�;
[0065]所述處理單元302還用于,下發(fā)加密策略時(shí)����,還將流量限速策略下發(fā)到自身的芯片驅(qū)動(dòng)中,用于根據(jù)流量限速策略對(duì)符合加密特征的報(bào)文進(jìn)行限速處理��。
[0066]在ISSU軟重啟結(jié)束后�,所述處理單元302還用于,刪除自身下發(fā)的加密策略和流量限速策略�,恢復(fù)自身端口的MACsec校驗(yàn)?zāi)J剑煌瑫r(shí)通知對(duì)端設(shè)備刪除自身下發(fā)的加密策略和流量限速策略���,恢復(fù)自身端口的MACsec校驗(yàn)?zāi)J健?br>
[0067]以上�����,僅為本發(fā)明的較佳實(shí)施例而已��,并非用于限定本發(fā)明的保護(hù)范圍���。凡在本發(fā)明的精神和原則之內(nèi)�,所作的任何修改��、等同替換��、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【權(quán)利要求】
1.一種不中斷業(yè)務(wù)升級(jí)ISSU軟重啟預(yù)處理方法����,應(yīng)用于接口使能了媒體接入控制安全密鑰協(xié)商MKA協(xié)議的設(shè)備上,該設(shè)備為成對(duì)安全連通集CA中的任一成員設(shè)備�����,其特征在于���,該方法包括: 與成對(duì)CA的對(duì)端設(shè)備協(xié)商,確認(rèn)兩端設(shè)備都開(kāi)啟密文和明文同時(shí)傳輸策略��,且兩端設(shè)備所配置的加密策略相同���; 將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)中的同時(shí)�����,通知對(duì)端設(shè)備將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)中�����,以使得兩端設(shè)備分別根據(jù)各自下發(fā)的加密策略對(duì)具有加密特征的報(bào)文進(jìn)行MACsec加密處理�,所述加密策略包括有預(yù)設(shè)報(bào)文特征的加密特征,用于對(duì)匹配加密特征的報(bào)文進(jìn)行加密處理�。
2.如權(quán)利要求1所述的方法,其特征在于���,將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)之前����,該方法進(jìn)一步包括:與對(duì)端設(shè)備協(xié)商MACsec校驗(yàn)?zāi)J健?br>
3.如權(quán)利要求2所述的方法��,其特征在于����,所述與對(duì)端設(shè)備協(xié)商MACsec校驗(yàn)?zāi)J降姆椒ň唧w為: 在自身端口關(guān)閉MACsec校驗(yàn)?zāi)J降耐瑫r(shí),通知對(duì)端設(shè)備端口關(guān)閉MACsec校驗(yàn)?zāi)J剑? 或者, 在自身端口開(kāi)啟MACsec檢查模式的同時(shí),通知對(duì)端設(shè)備端口開(kāi)啟MACsec檢查模式��。
4.如權(quán)利要求1���、2或3所述的方法��,其特征在于��,該方法進(jìn)一步包括:對(duì)符合加密特征的報(bào)文配置流量限速策略���; 所述與成對(duì)CA的對(duì)端設(shè)備協(xié)商還包括:確認(rèn)兩端設(shè)備都開(kāi)啟流量限速策略����,且兩端設(shè)備所配置的流量限速策略相同��; 下發(fā)加密策略時(shí)��,還將流量限速策略下發(fā)到自身的芯片驅(qū)動(dòng)中��,用于根據(jù)流量限速策略對(duì)符合加密特征的報(bào)文進(jìn)行限速處理�����。
5.如權(quán)利要求4所述的方法���,其特征在于,所配置的流量限速策略為:根據(jù)加密報(bào)文的優(yōu)先級(jí)匹配隊(duì)列�,不同隊(duì)列對(duì)應(yīng)不同的流量限速����。
6.如權(quán)利要求5所述的方法��,其特征在于���,在ISSU軟重啟結(jié)束后�,該方法進(jìn)一步包括:刪除自身下發(fā)的加密策略和流量限速策略����,恢復(fù)自身端口的MACsec校驗(yàn)?zāi)J剑煌瑫r(shí)通知對(duì)端設(shè)備刪除自身下發(fā)的加密策略和流量限速策略����,恢復(fù)自身端口的MACsec校驗(yàn)?zāi)J健?br>
7.一種成對(duì)安全連通集CA成員設(shè)備,該設(shè)備接口使能媒體接入控制安全密鑰協(xié)商MKA協(xié)議�,其特征在于,該設(shè)備包括: 協(xié)商單元�����,用于與成對(duì)CA的對(duì)端設(shè)備協(xié)商�,確認(rèn)兩端設(shè)備都開(kāi)啟密文和明文同時(shí)傳輸策略,且兩端設(shè)備所配置的加密策略相同�; 處理單元�����,用于將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)中的同時(shí)��,通知對(duì)端設(shè)備將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)中����,以使得兩端設(shè)備分別根據(jù)各自下發(fā)的加密策略對(duì)具有加密特征的報(bào)文進(jìn)行MACsec加密處理�,所述加密策略包括有預(yù)設(shè)報(bào)文特征的加密特征,用于對(duì)匹配加密特征的報(bào)文進(jìn)行加密處理���。
8.如權(quán)利要求7所述的設(shè)備���,其特征在于,所述協(xié)商單元���,還用于將配置的加密策略下發(fā)到自身的芯片驅(qū)動(dòng)之前�����,與對(duì)端設(shè)備協(xié)商MACsec校驗(yàn)?zāi)J健?br>
9.如權(quán)利要求8所述的設(shè)備����,其特征在于�����,所述協(xié)商單元在與對(duì)端設(shè)備協(xié)商MACsec校驗(yàn)?zāi)J綍r(shí)����,具體用于,在自身端口關(guān)閉MACsec校驗(yàn)?zāi)J降耐瑫r(shí),通知對(duì)端設(shè)備端口關(guān)閉MACsec校驗(yàn)?zāi)J剑? 或者��, 在自身端口開(kāi)啟MACsec檢查模式的同時(shí),通知對(duì)端設(shè)備端口開(kāi)啟MACsec檢查模式����。
10.如權(quán)利要求7、8或9所述的設(shè)備����,其特征在于,該設(shè)備進(jìn)一步包括:策略配置單元�,用于對(duì)符合加密特征的報(bào)文配置流量限速策略; 所述協(xié)商單元還用于�����,確認(rèn)兩端設(shè)備都開(kāi)啟流量限速策略����,且兩端設(shè)備所配置的流量限速策略相同�����; 所述處理單元還用于����,下發(fā)加密策略時(shí)���,還將流量限速策略下發(fā)到自身的芯片驅(qū)動(dòng)中���,用于根據(jù)流量限速策略對(duì)符合加密特征的報(bào)文進(jìn)行限速處理。
11.如權(quán)利要求10所述的設(shè)備�����,其特征在于�����,在ISSU軟重啟結(jié)束后���,所述處理單元還用于�����,刪除自身下發(fā)的加密策略和流量限速策略���,恢復(fù)自身端口的MACsec校驗(yàn)?zāi)J剑煌瑫r(shí)通知對(duì)端設(shè)備刪除自身下發(fā) 的加密策略和流量限速策略�,恢復(fù)自身端口的MACsec校驗(yàn)?zāi)J健?br>
【文檔編號(hào)】H04L9/06GK104022867SQ201410256449
【公開(kāi)日】2014年9月3日 申請(qǐng)日期:2014年6月10日 優(yōu)先權(quán)日:2014年6月10日
【發(fā)明者】王佳炳, 熊志鑫, 戎衍博 申請(qǐng)人:杭州華三通信技術(shù)有限公司