(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111625850.7 (22)申请日 2021.12.28 (71)申请人 杭州迪普科技股份有限公司 地址 310051 浙江省杭州市滨江区通和路 68号中财大厦6楼 (72)发明人 刘芝鹏　董俊文　赵旭东　 (74)专利代理 机构 北京博思佳知识产权代理有 限公司 1 1415 代理人 李威 (51)Int.Cl. H04L 9/40(2022.01) H04L 12/46(2006.01) (54)发明名称 一种IPSec的协商方法及装置 (57)摘要 本申请提供一种IPSec的协商方法及装置， 应用于第一防火墙 设备， 所述第一防火墙设备上 部署有第一虚拟 防火墙和至少一个其他的虚拟 防火墙， 每一虚拟防火墙分配有不同的虚拟防火 墙ID， 所述方法包括： 响应于在所述第一虚拟防 火墙与区别于所述第一虚拟防火墙的第二虚拟 防火墙之间建立IPSec 隧道的需求， 根据认证信 息以及与所述第二虚拟防火墙对应的对端虚拟 防火墙ID查找对应的第一协商状态； 根据对所述 认证信息进行校验认证得到的校验认证结果生 成第二协商状态， 所述第二协商状态中包含所述 第一虚拟防火墙对应的本端虚拟防火墙ID； 将携 带所述第二协商状态的协商报文发送至所述第 二虚拟防火墙 。 权利要求书2页 说明书10页 附图3页 CN 114338153 A 2022.04.12 CN 114338153 A 1.一种IPSec的协商方法， 其特征在于， 应用于第一防火墙设备， 所述第一防火墙设备 上部署有第一虚拟防火墙和至少一个其他的虚拟防火墙， 每一虚拟防火墙分配有不同的虚 拟防火墙ID， 所述方法包括： 响应于在所述第一虚拟防火墙与区别于所述第一虚拟防火墙的第二虚拟防火墙之间 建立IPsec  VPN隧道的需求， 根据认证信息以及与所述第二虚拟防火墙对应的对端虚拟防 火墙ID查找对应的第一协商状态； 根据对所述认证信 息进行校验认证得到的校验认证结果生成第 二协商状态， 所述第 二 协商状态中包 含所述第一虚拟防火墙对应的本端虚拟防火墙ID； 将携带所述第二协商状态的协商报文发送至所述第二虚拟防火墙。 2.如权利要求1所述的方法， 其特 征在于， 还 包括： 当未查找到所述第 一协商状态时， 根据所述第 一虚拟防火墙处预定义的静态配置策略 生成默认 协商状态， 且所述默认 协商状态中包 含所述本端虚拟防火墙ID； 将携带所述默认 协商状态的协商报文发送至所述第二虚拟防火墙。 3.如权利要求2所述的方法， 其特征在于， 所述第 一防火墙设备上维护有本地部署的各 个虚拟防火墙分别对应的静态配置策略， 且每一静态配置策略中分别包含相应虚拟防火墙 对应的虚拟防火墙ID； 所述根据所述第一虚拟防火墙处预定义的静态配置策略生成默认协 商状态， 包括： 根据所述本端虚拟防火墙ID查找所述第一虚拟防火墙对应的静态配置策略； 根据查找到的静态配置策略生成所述默认 协商状态。 4.如权利要求1所述的方法， 其特 征在于， 还 包括： 接收所述第 二虚拟防火墙发送的携带所述第 一协商状态的报文， 该报文中包含所述认 证信息以及所述对端虚拟防火墙ID。 5.如权利要求1所述的方法， 其特 征在于， 还 包括： 根据接收到携带所述第一协商状态的报文的接口以及预定义的接口与虚拟防火墙之 间的对应 关系， 确定发出该报文的虚拟防火墙的对端虚拟防火墙ID； 其中， 所述携带所述第 一协商状态的报文包 含所述认证信息 。 6.如权利要求1所述的方法， 其特征在于， 所述第 二虚拟防火墙部署于所述第 一防火墙 设备， 或者部署在区别于所述第一防火墙设备的第二防火墙设备 上。 7.如权利要求1所述的方法， 其特 征在于， 还 包括： 响应于租户针对目标虚拟防火墙发起的开关控制 指令， 对所述目标虚拟防火墙的管理 控制开关进行状态切换控制， 其中， 所述目标虚拟防火墙部署在所述第一防火墙设备 上； 当所述第一防火墙设备的IPSec服务开关处于开启状态时， 若所述管理控制开关切换 至开启状态， 则赋予所述目标虚拟防火墙 建立IPSec  VPN隧道的权限， 若所述管理控制开关 切换至关闭状态， 则收回所述目标虚拟防火墙 建立IPSec  VPN隧道的权限； 其中， 所述IPSec 服务开关受控于所述第一防火墙设备的管理员； 当所述第一防火墙设备的IPSec服务开关处于关闭状态时， 收回所述目标虚拟防火墙 建立IPSec VPN隧道的权限。 8.一种IPSec的协商装置， 其特征在于， 应用于第一防火墙设备， 所述第一防火墙设备 上部署有第一虚拟防火墙和至少一个其他的虚拟防火墙， 每一虚拟防火墙分配有不同的虚权　利　要　求　书 1/2 页 2 CN 114338153 A 2拟防火墙ID， 所述装置包括： 查找单元， 用于响应于在所述第 一虚拟防火墙与区别于所述第 一虚拟防火墙的第 二虚 拟防火墙之间建立IPsec  VPN隧道的需求， 根据认证信息以及与所述第二虚拟防火墙对应 的对端虚拟防火墙ID查找对应的第一协商状态； 生成单元， 用于根据对所述认证信 息进行校验认证得到的校验认证结果生成第 二协商 状态， 所述第二协商状态中包 含所述第一虚拟防火墙对应的本端虚拟防火墙ID； 发送单元， 用于将携带 所述第二协商状态的协商报文发送至所述第二虚拟防火墙。 9.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述程序被处理器 执行时实现权利要求1 ‑7中任意一项所述方法的步骤。 10.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求 1‑7中任意一项 所述方 法的步骤。权　利　要　求　书 2/2 页 3 CN 114338153 A 3