CN113660126B - 一种组网文件生成方法、组网方法以及装置 - Google Patents
一种组网文件生成方法、组网方法以及装置 Download PDFInfo
- Publication number
- CN113660126B CN113660126B CN202110951435.4A CN202110951435A CN113660126B CN 113660126 B CN113660126 B CN 113660126B CN 202110951435 A CN202110951435 A CN 202110951435A CN 113660126 B CN113660126 B CN 113660126B
- Authority
- CN
- China
- Prior art keywords
- networking
- configuration
- tunnel
- file
- configuration file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006855 networking Effects 0.000 title claims abstract description 227
- 238000000034 method Methods 0.000 title claims abstract description 102
- 230000008569 process Effects 0.000 claims description 28
- 230000004044 response Effects 0.000 claims description 28
- 238000012795 verification Methods 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 7
- 238000004891 communication Methods 0.000 claims description 6
- 230000004083 survival effect Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 9
- 230000006835 compression Effects 0.000 description 5
- 238000007906 compression Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种组网文件生成方法、组网方法以及装置,所述组网文件生成方法包括:响应于目标对象的组网请求展示组网配置页面,其中,所述组网配置页面包括:组网列表、网关设备设置项、网关设备节点类型设置项以及隧道模板配置文件设置项,所述隧道模板配置文件设置项提供各类隧道模板配置文件的名称;响应于所述目标对象针对所述组网配置页面设置的组网配置信息,得到选中的网关设备的组网配置文件,其中,所述组网配置文件中包括为所述网关设备选取的目标隧道模板配置文件,所述目标隧道模板配置文件包括:IKE阶段和IPsec阶段的目标算法以及目标参数;根据所述组网配置文件生成所述网关设备的设备组网配置文件。
Description
技术领域
本申请涉及网络设备组网领域,具体而言本申请实施例涉及一种组网文件生成方法、组网方法以及装置。
背景技术
SDWAN(Software Defined Wide Area Network,即软件定义广域网)被认为是一种节省成本的技术,用于连接需要超低可靠连接的远程站点,以实现低延迟和关键业务应用。SDWAN需要两个或多个位置之间的连接方法,这种连接通常包括MPLS或者互联网宽带。目标是扩展低成本连接的使用,同时满足相同的延迟和吞吐量要求。
IPsec隧道用于支配远程站点连接。由于网络管理员可以在低成本的宽带互联网链路上构建隧道,因此与MPLS等私有WAN连接选项相比,IPsec隧道非常便宜。它们也很容易设置,几乎每个人都可以获得构建IPsec隧道的能力,甚至是低成本的防火墙和路由器。
SDWAN等技术正在接管远程站点连接,因为它们可以提供更高效的路径和更低的位置延迟,只要控制WAN的两侧。但是,如果需要将网络连接到不受信任或临时的位置,IPsec隧道仍然是可行的方法。然而目前的针对IPsec隧道的组网过程较繁琐,其中原因之一是由于配置文件内容繁多,因此如何提升IPsec隧道的建立过程成了亟待解决的技术问题。
发明内容
本申请实施例的目的在于提供一种组网文件生成方法、组网方法以及装置,通过本申请提供的实施例至少能够通过增加隧道模板来把国际算法和国密算法进行封装,使自动组网功能可以按照客户需求进行部分定制。
第一方面,本申请的一些实施例提供一种组网文件生成方法,应用于控制端,所述组网文件生成方法包括:响应于组网配置请求展示组网配置页面,其中,所述组网配置页面包括:组网列表、网关设备设置项、网关设备节点类型设置项以及隧道模板配置文件设置项,所述隧道模板配置文件设置项提供各类隧道模板配置文件的名称;响应于针对所述组网配置页面的配置操作,得到目标网关设备的组网配置文件,其中,所述目标网关设备包括本端网关设备和与所述本端网关设备对应设置的对端网关设备,所述本端网关设备是从所述组网列表选择得到的,所述对端网关设备是响应于针对所述网关设备设置项的配置操作得到的,所述组网配置文件中包括为所述本端网关设备和所述对端网关设备选取的目标隧道模板配置文件的名称;根据所述组网配置文件生成所述目标网关设备的设备组网配置文件。
本申请的一些实施例通过设置隧道模板的方式简化组网配置页面的设置项,一方面简化了隧道组网配置,另一方面方便隧道模板的定制化操作。
在一些实施例中,所述组网配置页面还包括:与国密算法相关的证书设置项,其中,所述证书设置项用于确定本端网关设备引用的加密证书和签名证书,以及对端网关设备引用的加密证书和签名证书;其中,所述组网配置文件还包括为所述本端网关设备选择的加密证书和签名证书,以及为所述对端网关设备选择的加密证书和签名证书。
本申请的一些实施例通过生成国密证书并封装的方式可以丰富现有的SDWAN支持的加密模式,增加了方案的应用场景。
在一些实施例中,在所述响应于组网配置请求展示组网配置页面之前,所述组网文件生成方法还包括:获取所述加密证书和所述签名证书。
本申请的一些实施例还通过获取双证书来支持国密算法。
在一些实施例中,通过第三方设备或者本地CA设备获取所述加密证书和所述签名证书。
本申请的一些实施例通过第三方设备或者本地CA设备来获取加密证书和签名证书。
在一些实施例中,在所述响应于组网配置请求显示组网配置页面之前,所述方法还包括:获取与多个隧道模板类型分别对应的隧道模板配置文件,其中,所述隧道模板配置文件设置项用于提供所述多个隧道模板配置文件的名称。
本申请的一些实施例还提供了一种根据隧道模板类型配置隧道模板配置页面,得到隧道模板配置文件的技术方案,方便后续组网配置文件中直接配置隧道模板配置文件的文件名称来达到引用该文件的目的。
在一些实施例中,所述获取与多个隧道模板类型分别对应的隧道模板配置文件,包括:响应于所述目标对象的隧道模板配置请求显示目标类型隧道模板配置页面,其中,所述目标类型隧道模板配置页面包括:隧道模板配置文件的名称设置项、协商模式设置项以及隧道协商过程中涉及的算法参数设置项;响应于针对所述目标隧道模板配置页面包括的设置项的操作,得到目标类型隧道模板配置文件。
本申请的一些实施例提供的隧道模板配置页面包含较少的配置项,进而提升了组网配置的时间。
在一些实施例中,所述目标类型隧道模板配置页面还包括:端口池设置项,其中,所述端口池设置项至少能够提供标准端口项和至少一种端口组项,所述每种端口组项包括多个端口。
本申请的一些实施例还提供了标准端口和端口组,这样在标准端口被封堵时可以采用端口组中的端口进行数据传输,保证了数据传输任务的执行效率。
在一些实施例中,所述多个隧道模板类型包括:标准模板、国密模板或者穿越模板。
在一些实施例中,与所述国密模板对应的国密隧道模板配置文件包括的端口池设置项被配置为引用所述标准端口。
在一些实施例中,与所述穿越模板对应的穿越隧道模板配置文件包括的端口池设置项被配置为引用任一端口组。
在一些实施例中,所述多个隧道模板类型还包括:自定义隧道模板类型,其中,所述自定义隧道模板类型是在需要更改加密算法或者签名算法时生成的。
本申请的一些实施例在需要更改加密算法或者签名算法时还包括自定义隧道模板的技术方案,实现了隧道模板根据用户的差异化需求进行定制。
在一些实施例中,所述设备组网配置文件包括:提议配置子文件、网关配置子文件以及隧道保护数据流子文件;其中,所述根据所述组网配置文件生成所述网关设备的设备组网配置文件,包括:根据所述组网配置文件包括的目标隧道模板配置文件的名称查找所述目标隧道模板配置文件,并从所述目标隧道模板配置文件中获取并存储在隧道协商和生存期间使用的验证和/或加密算法,得到所述提议配置子文件;响应于针对网关配置页面配置的配置操作得到所述网关配置子文件,其中,所述网关配置页面包括:本端地址设置项、对端地址设置项、本端ID类型设置项、本端ID值设置项、对端ID类型设置项以及对端ID值设置项;响应于针对隧道编辑页面配置的隧道保护的数据流信息得到所述隧道保护数据流子文件,其中,所述隧道编辑页面至少包括:保护数据流设置项。
在一些实施例中,所述提议配置子文件包括IKE提议配置子文件以及IPsec配置子文件,其中,所述IKE提议配置子文件至少包括IKE阶段使用的验证和/或加密算法,所述IPsec配置子文件至少包括IPsec阶段使用的验证和/或加密算法。
在一些实施例中,在所述目标隧道模板配置文件采用国密算法时,则设置的本端ID值为所述本端的签名证书且设置的对端ID值为所述对端的签名证书。
第二方面,本申请的一些实施例提供一种组网文件生成装置,应用于控制端,所述组网文件生成装置包括:组网配置页面展示模块,被配置为响应于组网请求显示组网配置页面,其中,所述组网配置页面包括:组网列表、网关设备设置项、网关设备节点类型设置项以及隧道模板配置文件设置项,所述隧道模板配置文件设置项提供各类隧道模板配置文件的名称;组网配置文件获取模板,被配置为响应于针对所述组网配置页面的配置操作,得到目标网关设备的组网配置文件,其中,所述目标网关设备包括本端网关设备和与所述本端网关设备对应设置的对端网关设备,所述本端网关设备是从所述组网列表选择得到的,所述对端网关设备是响应于针对所述网关设备设置项的配置操作得到的,所述组网配置文件中包括为所述本端网关设备和所述对端网关设备选取的目标隧道模板配置文件的名称;设备组网配置文件生成模块,被配置为被配置为根据所述组网配置文件生成所述目标网关设备的设备组网配置文件。
第三方面,本申请的一些实施例提供一种组网方法,应用于网络设备,所述组网方法包括:获取如第一方面的控制端得到的设备组网配置文件;根据所述设备组网配置文件协商建立通信隧道。
第四方面,本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现上述第一方面和第三方面任意实施例所述的方法。
第五方面,本申请的一些实施例提供一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现所述程序被处理器执行时可实现上述第一方面和第三方面任意实施例所述的方法所述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的应用本申请的设备组网配置文件组网的场景示意图;
图2为相关技术提供的路由设备第一阶段协商过程示意图;
图3为本申请实施例提供的组网文件生成方法的流程图;
图4为本申请实施例提供的隧道模板配置文件示例一;
图5为本申请实施例提供的隧道模板配置文件示例二;
图6为本申请实施例提供的端口池配置页面的示意图;
图7为本申请实施例提供的组网配置文件内容展示图;
图8为本申请实施例提供的证书获取页面图;
图9为本申请实施例提供的网关配置子文件示意图;
图10为本申请实施例提供的隧道保护数据流子文件示意图之一;
图11为本申请实施例提供的隧道保护数据流子文件示意图之二;
图12为本申请实施例提供的采用野蛮模式获取提议提议配置子文件的流程图;
图13为本申请实施例提供的采用国密模式获取提议配置子文件的流程图;
图14为本申请实施例提供的修改模板的流程图;
图15为本申请实施例提供的组网文件生成装置的组成框图;
图16为本申请实施例提供的电子设备的组成框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
SDWAN***实现了基于SDN的网络设备组网。根据网络设备的分支/中心角色来自动设定隧道的发起/接收方,从而简化隧道(即ipsec vpn隧道)组网的配置。在相关技术方案中,仅仅基于预共享密钥实现了组网。本申请的一些实施例在自动化组网的基础上,通过增加隧道模板来把国际算法和国密算法进行封装,使自动组网功能可以按照客户需求进行部分定制,满足实际业务要求。
请参看图1,图1为本申请的一些实施例提供的应用本申请的设备组网配置文件组网的场景示意图。图1的***包括:管控端100、本端网关设备300、对端网关设备400以及连接本端网关设备300和对端网关设备400的网络200。
图1的管控端100被配置为通过执行本申请一些实施例提供的组网配置文件生成方法生成设备组网配置文件。例如,在本申请的一些实施例中,管控端100将本端网关设备和对端网关设备分别定义为中心节点或者分支节点(例如,分支节点是建立隧道的发起方,中心节点是接收方),然后分别为分支节点和中心节点对应的网关设备选择对应的目标隧道模板配置文件,最后根据隧道模板配置文件生成设备组网配置文件。需要说明的是,在本申请的一些实施例中生成设备组网配置文件,也就是通过对客户设置的模板和实际两端设备的网络配置进行内部编排转化为网关设备实际的IKE/IPSec配置。
图1的网络200包括MPLS链路或者采用internet网络的链路,也就是说,在本端网关设备和对端网关设备之间通过MPLS链路或者采用internet网络的链路互连。本申请不限于此。
可以理解的是,当图1的控制端100生成了设备组网配置文件后,本端网关设备300会读取对应的设备组网配置文件,之后通过IKE协议对应的第一阶段协商过程和第二阶段的协商过程,完成本端网关设备300的隧道配置,其中,第一阶段协商过程具体过程如图2所示(图2的过程属于现有技术)。在图2中本端网关设备为路由器A(即图2中的RouterA)对端的网关设备为路由器B(即图2中的RouterB),图2的网关设备从控制端读取设备组网配置文件,根据这个文件和目标隧道模板配置文件完成协商建立IKE安全通道所使用的参数、交换DH密钥数据、双方身份认证以及建立IKE安全通道。第一阶段协商过程的作用在于:对等体(即图1的本端网关设备和对端网关设备)之间彼此验证对方,并协商处IKE SA,以包括第二阶段中的IPSec SA的协商过程;第二阶段的作用在于,协商IPSec单向SA,为保护IP数据流而创建。本申请的一些实施例的本端网关设备和对端网关设备在第一阶段可以采用野蛮模式协商方式或者主模式协商方式,在第二阶段中可以采用快速模型进行协商,本申请的实施例并不限定第一阶段和第二阶段具体的协商方式。
需要说明的是,在本端网关设备300上完成的隧道配置过程属于现有技术为避免重复在此不做过多赘述。图1的本端网关设备也可以替换为本端路由设备,也就是本申请的实施例不限定配置隧道的网络设备的具体类型。
下面结合图3示例性阐述由图1的控制端100生成设备组网配置文件700的过程。
如图3所示,本申请的一些实施例提供一种组网文件生成方法,应用于控制端,该组网文件生成方法包括:S101,响应于组网配置请求显示组网配置页面,其中,所述组网配置页面包括:组网列表、网关设备设置项、网关设备节点类型设置项以及隧道模板配置文件设置项,所述隧道模板配置文件设置项提供各类隧道模板配置文件的名称。S102,响应于针对所述组网配置页面配置操作,得到目标网关设备的组网配置文件,其中,所述目标网关设备包括本端网关设备和与所述本端网关设备对应设置的对端网关设备,所述本端网关设备是从所述组网列表选择得到的,所述对端网关设备是响应于针对所述网关设备设置项的配置操作得到的,所述组网配置文件中包括为所述本端网关设备和所述对端网关设备选取的目标隧道模板配置文件的名称。以及S103,根据所述组网配置文件生成所述目标网关设备的设备组网配置文件。
需要说明的是,在本申请的一些实施例中,执行S101之前还需要生成针对各类隧道的隧道模板配置文件。在本申请的另一些实施例中,当隧道模板类型为国密模板类型时,在执行S101之前还需要生成证书文件。S101涉及的响应于组网配置请求即响应与用户主动点击配置程序的请求而展示组网配置页面。S102涉及的配置操作包括选中操作或者点击等操作,例如,S102响应于针对组网配置页面包括的设置项的配置操作或针对组网列表的选中操作得到本端网关设备和对端网关设备的配置文件。具体地,用户点击组网列表里面的某一个设备即配置了本端网关设备,然后再基于这个本端网关设备从对端网关设备设置项中选择对端网关设备(对端的网关设备可以包括一个也可以包括多个)。组网列表用于展示控制端可以配置的所有本端网关设备的列表。
下面示例性阐述上述各步骤,在阐述上述各步骤之前首先结合以下表格示例性列举本申请一些实施例的预置的隧道模板类型。
表1隧道模板类型
如表1所示,本申请一些实施例的隧道模板类型包括:标准模板(即表1中的AES标准模板,该端口可以为端口500或者端口600)、国密模板(即表1中的SM4国密模板)或者穿越模板(表1的AES穿越模板和SM4穿越模板)。表1中的“ike_portpool_1”是本申请一些实施例预置数据的名字,代表用的端口池,及通信可选端口是多个,而不是标准端口对应的端口500或者端口600等。
表1中列举的4个预置的隧道模板类型能满足大部分用户的使用需求,当用户需要调整参数的时候,可以新增自定义模板。自定义模板主要能够更改加密算法和签名算法,也就是说,在本申请的一些实施例中隧道模板除了如表1预置的四个之外还可以由用户自己添加,这是由于很多用户对加密/签名的算法是有要求的。预置模板只是针对大多数用户的默认配置,如果用户有差异化需求则可以自己添加一个隧道模板,来进行组网。例如,表2为自定义模板的示例。
表2自定义隧道模板示例
在本申请的一些实施例中,在所述展示组网配置页面之前,组网配置文件生成方法还包括:获取与多个隧道模板类型分别对应的隧道模板配置文件,其中,所述隧道模板配置文件设置项用于提供所述多个隧道模板配置文件的名称。例如,所述获取与多个隧道模板类型分别对应的隧道模板配置文件,包括:响应于隧道模板配置请求显示目标类型隧道模板配置页面,其中,所述目标类型隧道模板配置页面包括:隧道模板配置文件的名称设置项、协商模式设置项以及隧道协商过程中涉及的算法参数设置项;响应于针对所述目标隧道模板配置页面包括的设置项的操作,得到目标类型隧道模板配置文件。
例如,在本申请的一些实施例中会根据上述表1的内容对相关类型的隧道模板配置页面中的设置项进行配置进而生成相应类型隧道模板配置文件。作为一个示例,标准模板(即表1的AES标准模板所在的列)类型的隧道模板配置页面如图4和图5所示。需要说明的是,图4和图5是已经接受了配置人员的向该页面输入的配置信息后得到的隧道模板配置文件。
结合图4的隧道配置文件不难发现,该图的隧道模板配置页面包括隧道模板配置文件的名称设置项(图4配置人员设置的名称为标准模板,该名称也可以是表1第一列的名称)、协商模式设置项(结合表1中AES标准模板所在的列的第2行内容可知,图4设置的协商模式应该为野蛮模式)以及隧道协商过程(具体的IKE协商过程中)中涉及的算法参数设置项(结合表1AES标准模板所在的列可知,图4设置的IKE提议的加密算法为AES-256、验证算法为SHA-1以及生命周期为86400秒)。图4的IKE提议阶段的设置项包括:认证类型设置项、加密算法设置项、验证算法设置项、DH组设置项以及生存周期设置项。需要说明的是,在本申请的一些实施例中隧道协商过程中涉及的算法参数包括ike阶段的加密算法、验证算法,或者ipsec阶段的加密算法、验证算法、压缩算法等。
与图4不同的是,图5用于示例性说明根据表1中AES标准模板所在的列的内容为IPSec提议阶段配置相关算法和参数结果。例如,图5的隧道模板配置页面的配置项包括:协议配置项、加密算法配置项、验证算法配置项、压缩算法配置项、PFS组配置项以及生存周期配置项。图5展示了配置人员根据表1中AES标准模板所在的列的内容对隧道模板配置页面进行配置后得到标准模板类型的隧道模板配置文件。
也就是说,在本申请的一些实施例中,在执行S101之前,组网文件生成方法还包括:隧道模板配置文件生成步骤(例如,根据表1或者表2等预先定义的隧道模板类型的内容配置隧道模板配置页面中的设置项得到隧道模板配置文件),具体地,该隧道模板配置文件生成步骤包括获取与多个隧道模板类型(例如,表1列出的多个隧道模板类型)分别对应的隧道模板配置文件(例如,图4和图5对应的是标准模板类型的隧道模板配置文件),其中,图4和图5的隧道模板配置文件设置项用于提供多个隧道模板配置文件的名称以供配置人员选择得到目标隧道模板配置文件。例如,上述隧道模板配置文件生成步骤包括:响应于目标对象(或称为配置人员)的隧道模板配置请求展示相关类型的隧道模板配置页面(即显示图4和图5中未填入设置内容的页面),其中,相关类型隧道模板配置页面包括:隧道模板配置文件的名称设置项、协商模式设置项以及隧道协商过程中涉及的算法参数设置项。之后再接收目标对象(或称为配置人员)针对打开的相关类型的隧道模板配置页面的配置操作,得到该类型的隧道的隧道模板配置文件(即得到图4和图5的两个配置文件)。在本申请的一些实施例中,针对隧道模板配置页面的配置操作可以是选择操作或者信息输入操作,例如,对于目标加密/签名算法通过选择得到,生存周期(86400秒)可以是输入操作得到的。
需要说明的是,一些隧道模板类型的隧道模板配置页面还包括:端口池配置项,其中,端口池配置项至少能够提供标准端口项和至少一种端口组项,每种端口组项包括多个端口。作为一个示例,如图6所示的端口池配置页面中展示的本申请一些实施例创建了两个端口组项,即图6的ike_portpool_1(或称为第一端口组)以及ike_portpool_2(或称为第二端口组)。结合表1可知,AES标准模板对应的端口池可以被配置为采用标准端口,SM4国密模板对应的端口池可以被配置为采用标准端口,AES穿越模板对应的端口池可以被配置为采用ike_portpool_1(或称为第一端口组),SM4穿越模板对应的端口池可以被配置为采用ike_portpool_1(或称为第一端口组)。在本申请的另一些实施例中,SM4穿越模板对应的端口池可以被配置为ike_portpool_2(或称为第二端口组)。
如图7所示,该图为S102得到的组网配置文件。结合图7可以看出,组网配置页面包括用于设置设备类型的项和用于设置组网策略的项。
图7的用于设置设备类型的项具体包括:网关设备设置项以及网关设备节点类型设置项。具体地,图7的网关设备设置项具体对应已选设备设置项,从图7的配置结果可知该设置项指明了本端网关设备为V2000_214.62(即从组网列表中选中了本端网关设备的名称,该设备即S102涉及的目标设备),图7的本节点类型设置项的设置结果为分支节点,即将本端网关设备设置为分支节点,在后续该分支节点可以向对应的中心节点发起具体的组网请求而在两者之间建立隧道。图7的组网模式设置项被具体设置为自动模式。
图7的组网策略项具体包括:中心节点(即对端网关设备)名称设置项、对端网关设置采用的隧道模板类型的名称(例如,可以直接采用表1中的第一行的各名称)、且如果采用国密隧道模板类型时,图7的该组网策略项还用于设置本端网关设备具体引用的加密证书、签名证书,以及对端网关设备具体引用的加密证书、签名证书。也就是说,在本申请的一些实施例中,S101涉及的组网配置页面还包括:与国密算法相关的证书设置项(即图7本端加密证书、本端签名证书、对端加密证书以及对端签名证书设四个设置项),其中,证书设置项用于确定网关设备引用的加密证书和签名证书,以及对端网关设备引用的加密证书和签名证书。相应的,S103得到的组网配置文件还包括本端网关设备引用的加密证书和签名证书,以及对端网关设备引用的加密证书和签名证书。需要说明的是,隧道两端包括的本端网关设备和对端网关设备使用同一种隧道模板类型,因此为两端配置的隧道模板类型的名称是相同的。
可以理解的是,为了在图7的组网配置页面中选择引用的证书,在本申请的一些实施例中需要预先获取国密算法相关的加密证书和签名证书。例如,通过第三方设备或者本地CA设备获取所述加密证书和所述签名证书。如图8所示的证书配置页面中包括两个择一的设置项,其中,一个设置项为触发生成自签发CA,另一个设置项为触发导入第三方面的CA。CA(Certificate Authority)即证书颁发机构,该机构负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。本申请一些实施例的本地CA设备是基于内置的CA生成的,按照国密算法创建。
需要说明的是,本申请的一些实施例通过执行S101和S102得到如图7所示的组网配置文件,该组网配置文件中包括配置人员为分支节点对应的网关设备选择的组网模式(即图7选中了自动组网模式),且该配置文件中还包括组网策略配置项,在该组网策略配置项中可以接收配置人员的组网配置信息(这些组网配置信息包括中心节点名称、模板(即用表1第一行的隧道模板名称表征的隧道模板)、本端加密证书、本端签名证书、对端加密证书以及对端签名证书)。
在通过本申请一些实施例的S101和S102得到如图7所示的组网配置文件后,在本申请的一些实施例中控制端100会利用后端程序基于组网配置文件生成网关设备的设备组网配置文件。也就是说,在本申请的一些实施例中S103属于后端运行程序,通过执行S103对应的后端程序实现了从组网配置文件向设备组网配置文件的转换。例如,管控端100执行S103获取设备组网配置文件的过程包括如下四个过程:IKE提议配置阶段、IKE网关配置阶段、IPSec提议配置阶段,IPSec隧道配置阶段,且这四类配置阶段之间的引用关系为:IKE提议配置阶段->IKE网关配置阶段–>IPSec隧道配置阶段<-IPSec提议配置阶段,其中,“->”标记中的箭头指向的是引用者,例如:IKE网关配置引用了IKE提议;IPSec隧道配置引用了IKE网关配置。需要说明的是,IKE提议配置阶段和IPSec提议配置阶段与选择的目标隧道模板配置文件中的配置内容一致,通过这两配置阶段至少可以为由网关设备执行的隧道协商和生存期间使用的验证/加密算法;IKE网关配置阶段用于配置隧道对端的网络设备信息,以用于隧道协商;IPSec隧道配置阶段用于配置隧道保护的数据流信息,通过该配置可以识别哪些流量可以进入隧道。IKE网关配置阶段对应的设备配置页面如图9所示,IPSec隧道配置阶段对应的设备配置页面如图10和图11所示。
下面结合图9-图11示例性展示S103获取的设备组网配置文件。
在本申请的一些实施例中,S103涉及的设备组网配置文件包括:提议配置子文件(即通过IKE提议配置阶段和IPSec提议配置阶段对页面配置后得到的子文件)、网关配置子文件(即通过IKE网关配置阶段对页面配置后得到的子文件)以及隧道保护数据流子文件(即通过IPSec隧道配置阶段对页面配置后得到的子文件)。相应的S103包括:首先,根据组网配置文件指明的目标隧道模板配置文件获取并存储网关设备在隧道协商和生存期间使用的验证算法和加密算法中的至少一个,得到提议配置子文件;接收目标对象基于网关配置页面配置的隧道对端网关设备信息得到网关配置子文件(例如,网关配置子文件如图9所示),其中的网关配置页面包括:本端地址设置项、对端地址设置项、本端ID类型设置项、本端ID值设置项、对端ID类型设置项以及对端ID值设置项(参考图9的网关配置子文件)。其次,接收目标对象(即相关配置人员)基于隧道编辑页面(如图10所示)配置的隧道保护的数据流信息得到所述隧道保护数据流子文件(例如,隧道保护数据流子文件如图11所示),其中,图10的隧道编辑页面包括:保护数据流设置项。
如图9所示,网关配置子文件中包括被配置的网关设备的名称、地址类型、接口、IP地址、对端IP地址(即对端地址设置项填充的内容)等。图10为隧道保护数据流子文件的部分内容,该文件中包括被配置的网关设备的名称、ipsec提议(即通过图10配置的目标隧道模板文件的名称可以确定ipsec阶段采用的加密算法或者验证算法等)、本端IP地址以及保护数据流的配置项。图11与图10的差别在于,图11是响应于用户触发的保护数据流配置项的数据流保护标识后显示的编辑IPv4保护数据流的配置页面,且在图11中示例性描述了配置人员针对保护数据流的配置页面的配置信息。这些配置信息包括:数据流标识、源地址/掩码、目的地址/掩码以及协议等,配置人员通过点积该页面底端设置的确定按钮完成配置,生成对应的隧道保护数据流子文件。
需要说明的是,在本申请的一些实施例中,提议配置子文件包括IKE提议配置子文件以及IPsec配置子文件,其中,所述IKE提议配置子文件至少包括IKE阶段使用的验证和/或加密算法,所述IPsec配置子文件至少包括IPsec阶段使用的验证和/或加密算法。在本申请的一些实施例中,在目标隧道模板配置文件采用国密算法时,则设置的本端ID值为本端的签名证书且设置的对端ID值为所述对端的签名证书。
下面结合图12示例性展示采用野蛮模式生成设备组网配置文件的过程。
如图12所示,在本申请的一些实施例中,S103包括如下步骤。
S201,根据模板名称查找相关IKE提议、IPSec提议以及端口池信息。
具体地,根据如图7所示的组网配置文件中配置的模板项中的模板名称(即目标隧道模板配置文件的名称)查找相关的IKE提议(即从如图4所示的隧道模板配置文件中获取对应于目标隧道模板的认证方式(或称为IKE提议认证方式)、加密算法(或称为IKE提议加密算法)、验证算法(或称为IKE提议验证算法)、DH组(或称为IKE提议DH组)、生存周期(或称为IKE提议生存周期))。需要说明的是,根据图7的模板名称查找如图4所示的隧道模板配置文件得到的IKE提议具体包括:认证方式为预共享密钥、加密算法为AES-256、验证算法为SHA-1、DH组为Group1、生存周期为86400秒。
根据如图7所示的组网配置文件中配置的模板项中的模板名称(即目标隧道模板配置文件的名称)查找相关的IPSec提议(即从如图5所示的隧道模板配置文件中获取对应于目标隧道模板的:协议、加密算法(或称为IPSec提议加密算法)、验证算法(或称为IPSec提议验证算法)、压缩算法(或称为IPSec压缩算法)、完全前向保密PFS组(perfect forwardsecrecy,或称为IPSec提议PFS组)、生存周期(或称为IPSec提议生存周期))。需要说明的是,根据图7的模板名称查找如图5所示的隧道模板配置文件得到的IPSec提议具体包括:协议为ESP、加密算法为AES-256、验证算法为SHA-256、压缩算法为不压缩、PFS组为Group2、生存周期为86400秒。
根据如图7所示的组网配置文件中配置的模板项中的模板名称(即目标隧道模板配置文件的名称)查找相关的端口池信息(即从如图4或图5所示的隧道模板配置文件中获取对应于目标隧道模板的端口池配置信息。需要说明的是,根据图7的模板名称查找如图5所示的隧道模板配置文件得到的端口池配置信息为采用标准端口(即隧道协商的标准端口是500)。
S202,添加IKE网关、提议关联目标隧道模板配置文件(即组网配置文件中配置的模板名称对应的文件)中的ike提议、ID隧道名称、端口池关联目标隧道模板配置文件中配置的端口池。
例如,添加IKE网关即配置人员配置如图9所示的网关配置页面,得到如图9所示的网关配置子文件。
提议关联目标隧道模板配置文件(即组网配置文件中配置的模板名称对应的文件)中的ike提议。提议关联目标隧道模板配置文件(即组网配置文件中配置的模板名称对应的文件)中ID隧道名称。
需要说明的是,提议对应的英文单词是proposal,通常是IPSec proposal和IKEproposal,就是包含安全相关的属性,即加密/签名算法,DH组,生存周期。隧道配置通常包括安全和网络两部分,安全的部分在对应IPSec提议和IKE提议里面配置,网络部分再在具体的IKE网关和IPSec隧道里面配置。
端口池关联(即使用)目标隧道模板配置文件中配置的端口池。
S203,添加IPSec隧道配置,二阶段提议集关联的为目标隧道模板配置文件中IPSec提议。
例如,添加IPSec隧道配置即配置人员配置如图10所示的隧道编辑页面,得到如图11所示的隧道保护数据流子文件。
二阶段提议集关联的为目标隧道模板配置文件中IPSec提议,该阶段对应IPSecVPN的二阶段通信,涉及的安全参数都在IPSec提议中,输出的就是IPSec提议的配置。
S204,添加隧道接口绑定隧道。也就是说,IPSec VPN的二阶段通信,涉及的安全参数都在IPSec提议中,输出的就是IPSec提议的配置。
S205,添加隧道链路探测。
S206,保存生成的隧道信息,得到设置组网配置文件。
需要说明的是,ike网关(或称为IKE网关)、ipsec网关以及本端的网关设备属于同一个物理设备,本申请的一些实施例中采用IKE网关的描述方式仅用于区别网关上进行隧道协商的功能。所有的配置都是下发给本端网关设备和对端网关设备的,一个隧道至少要有两台具体的网关设备(即本端网关设备和对端网关设备)关联,才能建立隧道。本申请的一些实施例采用本端和对端来区分两台网关设备,这是由于组网是从本端网关设备发起,对端网关设备接收,双方协商成功后建立隧道。
下面结合图13示例性展示采用国密模式生成设备组网配置文件的过程。
如图13所示,在本申请的一些实施例中,S103包括如下步骤。
S301,根据模板名称查找相关IKE提议、IPSec提议以及端口池信息。具体过程可以参考上述S201,为避免重复在此不做过多赘述。
S302,根据证书提取获取两端签名证书主题信息。需要说明的是,签名证书包括的内容很多,本申请的一些实施例是根据主题来引用。例如,在后续隧道协商的时候会读取证书的内容,但是配置的时候,仅需要配置证书的主题即可,这样协商的时候根据主题找到具体的证书。
S303,添加IKE网关、存入本端加密及签名证书,对端ID为对端签名证书主题,填充对端验证CA引用的IKE提议集为目标隧道模板配置文件所配置的IKE,ike端口关联目标隧道模板配置文件中端口池配置。
例如,添加IKE网关即配置人员配置如图9所示的网关配置页面,得到如图9所示的网关配置子文件。
填充对端验证CA引用的IKE提议集为目标隧道模板配置文件所配置的IKE。也就是说,为本端网关设备和对端网关设备这两端的设备的IKE网关配置上签名证书,证书配置完成后还需要检查是否合法,即需要根据CA进行验证。
端口池关联目标隧道模板配置文件中配置的端口池。也就是说,使用配置的端口池。
S304,添加IPSec隧道配置,二阶段提议集关联的为目标隧道模板配置文件中IPSec提议。具体可参考S203。
S305,添加隧道接口绑定隧道。具体请参考S205。
S306,添加隧道链路探测。具体请参考S206。
S307,保存生成的隧道信息,得到设置组网配置文件。
对于业务需求变化,需要调整隧道加密/签名算法的情况,可以通过调整隧道模板来解决。例如,当隧道模板调整后,所有使用这个隧道模板的隧道都要改变,重新组网,重新下发配置给两端的网关设备,然后两端的网关设备会重新协商IPSec VPN隧道。用户可以通过web编辑设备选用的隧道模板生成新的自定义的目标隧道模板配置文件。隧道模板变更后,SDWAN***后端自动调整所有引用该隧道模板的IPSec VPN隧道,修改相关配置并下发到网关设备上。
下面结合图14示例性描述自定义隧道模板的过程。
S401,判断切换后隧道模板类型,如果为国密模式则执行S402,如果是野蛮模式则执行S404的删除IKE网关配置中的证书及CA、ID类型修改FQDN,ID值填充为隧道名称。
S402,更新IKE提议集为国密模板配置的提议集,配置IKE中的证书信息,以及对端ID和CA信息。在本申请的实施例中关于组网(即建立隧道)安全的部分,都在隧道模板指定。
具体的,将原有隧道模板中的提议集(即IKE提议修改为国密模板中对应的提议,国密模板中对应的提议即表1中SM4国密模板包括的IKE提议认证方式、IKE提议加密算法、IKE提议验证算法、IKE提议DH组以及IKE提议生存周期)。
S403,判断端口池是否修改,如果是则执行S405,否则执行S406。
S405,更新IKE中的端口池信息。
S406,更新IPSec隧道配置的提议集信息。
S407,更新orch_relation表信息。
请参考图15,图15示出了本申请实施例提供的组网文件生成装置110,应理解,该装置110与上述图3方法实施例对应,能够执行上述方法实施例涉及的各个步骤,该装置110的具体功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。装置110包括至少一个能以软件或固件的形式存储于存储器中或固化在装置110的操作***中的软件功能模块,该装置110,包括:组网配置页面展示模块111,被配置为响应于目标对象的组网请求展示组网配置页面,其中,所述组网配置页面包括:网关设备设置项、网关设备节点类型设置项以及隧道模板配置文件设置项,所述隧道模板配置文件设置项提供各类隧道模板配置文件的名称;组网配置文件获取模板112,被配置为响应于所述目标对象针对所述组网配置页面设置的组网配置信息,得到选中的网关设备的组网配置文件,其中,所述组网配置文件中包括为所述网关设备选取的目标隧道模板配置文件,所述目标隧道模板配置文件包括:IKE阶段和IPsec阶段的目标算法以及目标参数;设备组网配置文件生成模块113,被配置为根据所述组网配置文件生成所述网关设备的设备组网配置文件。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置110的具体工作过程,可以参考前述方法中的对应过程,在此不再过多赘述。
本申请的一些实施例提供一种组网方法,应用于网络设备,所述组网方法包括:获取采用图3的方法得到的设备组网配置文件;根据该设备组网配置文件建立通信隧道。
本申请的一些实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时可实现上述图3和组网方法中任意实施例所述的方法。
如图16所示,本申请的一些实施例提供一种电子设备500,包括存储器510、处理器520以及存储在存储器510上并可在处理器520上运行的计算机程序,其中,处理器520通过总线530从存储器510读取程序并执行该程序时可实现上述图3和组网方法任意实施例所述的方法所述的方法。
处理器520可以处理数字信号,可以包括各种计算结构。例如复杂指令集计算机结构、结构精简指令集计算机结构或者一种实行多种指令集组合的结构。在一些示例中,处理器520可以是微处理器。
存储器510可以用于存储由处理器520执行的指令或指令执行过程中相关的数据。这些指令和/或数据可以包括代码,用于实现本申请实施例描述的一个或多个模块的一些功能或者全部功能。本公开实施例的处理器520可以用于执行存储器510中的指令以实现图3中所示的方法。存储器510包括动态随机存取存储器、静态随机存取存储器、闪存、光存储器或其它本领域技术人员所熟知的存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (17)
1.一种组网文件生成方法,应用于控制端,其特征在于,所述组网文件生成方法包括:
获取与多个隧道模板类型分别对应的隧道模板配置文件,其中,所述隧道模板配置文件设置项用于提供所述多个隧道模板配置文件的名称;
响应于组网配置请求显示组网配置页面,其中,所述组网配置页面包括:组网列表、网关设备设置项、网关设备节点类型设置项以及隧道模板配置文件设置项;
响应于针对所述组网配置页面的配置操作,得到目标网关设备的组网配置文件,其中,所述目标网关设备包括本端网关设备和与所述本端网关设备对应设置的对端网关设备,所述本端网关设备是从所述组网列表选择得到的,所述对端网关设备是响应于针对所述网关设备设置项的配置操作得到的,所述组网配置文件中包括为所述本端网关设备和所述对端网关设备选取的目标隧道模板配置文件的名称;
根据所述组网配置文件生成所述目标网关设备的设备组网配置文件。
2.如权利要求1所述的组网文件生成方法,其特征在于,
所述组网配置页面还包括:与国密算法相关的证书设置项,其中,所述证书设置项用于确定本端网关设备引用的加密证书和签名证书,以及所述对端网关设备引用的加密证书和签名证书;
其中,
所述组网配置文件还包括为所述本端网关设备选择的加密证书和签名证书,以及为所述对端网关设备选择的加密证书和签名证书。
3.如权利要求2所述的组网文件生成方法,其特征在于,在所述响应于组网配置请求展示组网配置页面之前,所述组网文件生成方法还包括:获取所述加密证书和所述签名证书。
4.如权利要求3所述的组网文件生成方法,其特征在于,通过第三方设备或者本地CA设备获取所述加密证书和所述签名证书。
5.如权利要求1所述的组网文件生成方法,其特征在于,
所述获取与多个隧道模板类型分别对应的隧道模板配置文件,包括:
响应于隧道模板配置请求显示目标类型隧道模板配置页面,其中,所述目标类型隧道模板配置页面包括:隧道模板配置文件的名称设置项、协商模式设置项以及隧道协商过程中涉及的算法参数设置项;
响应于针对所述目标类型隧道模板配置页面包括的设置项的操作,得到目标类型隧道模板配置文件。
6.如权利要求5所述的组网文件生成方法,其特征在于,所述目标类型隧道模板配置页面还包括:端口池设置项,其中,所述端口池设置项至少能够提供标准端口项和至少一种端口组项,所述每种端口组项包括多个端口。
7.如权利要求1所述的组网文件生成方法,其特征在于,所述多个隧道模板类型包括:标准模板、国密模板或者穿越模板。
8.如权利要求7所述的组网文件生成方法,其特征在于,与所述国密模板对应的国密隧道模板配置文件包括的端口池设置项被配置为引用标准端口。
9.如权利要求7所述的组网文件生成方法,其特征在于,与所述穿越模板对应的穿越隧道模板配置文件包括的端口池设置项被配置为引用任一端口组。
10.如权利要求7所述的组网文件生成方法,其特征在于,所述多个隧道模板类型还包括:自定义隧道模板类型,其中,所述自定义隧道模板类型是在需要更改加密算法或者签名算法时生成的。
11.如权利要求1所述的组网文件生成方法,其特征在于,所述设备组网配置文件包括:提议配置子文件、网关配置子文件以及隧道保护数据流子文件;
其中,
所述根据所述组网配置文件生成所述网关设备的设备组网配置文件,包括:
根据所述组网配置文件包括的目标隧道模板配置文件的名称查找所述目标隧道模板配置文件,并从所述目标隧道模板配置文件中获取并存储在隧道协商和生存期间使用的验证和/或加密算法,得到所述提议配置子文件;
响应于针对网关配置页面配置的配置操作得到所述网关配置子文件,其中,所述网关配置页面包括:本端地址设置项、对端地址设置项、本端ID类型设置项、本端ID值设置项、对端ID类型设置项以及对端ID值设置项;
响应于针对隧道编辑页面配置的隧道保护的数据流信息得到所述隧道保护数据流子文件,其中,所述隧道编辑页面至少包括:保护数据流设置项。
12.如权利要求11所述的组网文件生成方法,其特征在于,所述提议配置子文件包括IKE提议配置子文件以及IPsec配置子文件,其中,所述IKE提议配置子文件至少包括IKE阶段使用的验证和/或加密算法,所述IPsec配置子文件至少包括IPsec阶段使用的验证和/或加密算法。
13.如权利要求11所述的组网文件生成方法,其特征在于,在所述目标隧道模板配置文件采用国密算法时,则设置的本端ID值为所述本端的签名证书且设置的对端ID值为所述对端的签名证书。
14.一种组网文件生成装置,应用于控制端,其特征在于,所述组网文件生成装置包括:
配置模块,被配置为获取与多个隧道模板类型分别对应的隧道模板配置文件,其中,所述隧道模板配置文件设置项用于提供所述多个隧道模板配置文件的名称;
组网配置页面展示模块,被配置为响应于组网请求显示组网配置页面,其中,所述组网配置页面包括:组网列表、网关设备设置项、网关设备节点类型设置项以及隧道模板配置文件设置项;
组网配置文件获取模板,被配置为响应于针对所述组网配置页面的配置操作,得到目标网关设备的组网配置文件,其中,所述目标网关设备包括本端网关设备和与所述本端网关设备对应设置的对端网关设备,所述本端网关设备是从所述组网列表选择得到的,所述对端网关设备是响应于针对所述网关设备设置项的配置操作得到的,所述组网配置文件中包括为所述本端网关设备和所述对端网关设备选取的目标隧道模板配置文件的名称;
设备组网配置文件生成模块,被配置为根据所述组网配置文件生成所述目标网关设备的设备组网配置文件。
15.一种组网方法,应用于网络设备,其特征在于,所述组网方法包括:
获取如权利要求1-13任一项所述的方法应用于控制端得到的设备组网配置文件;
根据所述设备组网配置文件协商建立通信隧道。
16.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时可实现如权利要求1-13和权利要求15中任意一项权利要求所述的方法。
17.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其中,所述处理器执行所述程序时可实现如权利要求1-13和权利要求15中任意一项权利要求所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110951435.4A CN113660126B (zh) | 2021-08-18 | 2021-08-18 | 一种组网文件生成方法、组网方法以及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110951435.4A CN113660126B (zh) | 2021-08-18 | 2021-08-18 | 一种组网文件生成方法、组网方法以及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113660126A CN113660126A (zh) | 2021-11-16 |
CN113660126B true CN113660126B (zh) | 2024-04-12 |
Family
ID=78481144
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110951435.4A Active CN113660126B (zh) | 2021-08-18 | 2021-08-18 | 一种组网文件生成方法、组网方法以及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113660126B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114553691B (zh) * | 2022-04-28 | 2022-07-29 | 广东电网有限责任公司东莞供电局 | 创建网络配置模板及网络配置的方法、装置和设备 |
CN115525918B (zh) * | 2022-11-04 | 2023-04-28 | 山东双仁信息技术有限公司 | 一种无纸化办公用文件的加密方法和*** |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103098432A (zh) * | 2010-03-16 | 2013-05-08 | 阿尔卡特朗讯公司 | 提供安全基础设施的方法、***和设备 |
CN111988323A (zh) * | 2020-08-24 | 2020-11-24 | 北京天融信网络安全技术有限公司 | IPSec隧道建立方法、装置、网络***及电子设备 |
CN112866077A (zh) * | 2021-02-26 | 2021-05-28 | 哈尔滨工业大学(威海) | 一种模态融合的大规模自动化组网方法、管理***、设备及存储介质 |
CN112911001A (zh) * | 2021-02-01 | 2021-06-04 | 紫光云技术有限公司 | 一种云vpn与企业网自动化组网方案 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2965995B1 (fr) * | 2010-10-12 | 2012-12-14 | Thales Sa | Procede et systeme pour etablir dynamiquement des tunnels chiffres sur des reseaux a bande contrainte |
-
2021
- 2021-08-18 CN CN202110951435.4A patent/CN113660126B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103098432A (zh) * | 2010-03-16 | 2013-05-08 | 阿尔卡特朗讯公司 | 提供安全基础设施的方法、***和设备 |
CN111988323A (zh) * | 2020-08-24 | 2020-11-24 | 北京天融信网络安全技术有限公司 | IPSec隧道建立方法、装置、网络***及电子设备 |
CN112911001A (zh) * | 2021-02-01 | 2021-06-04 | 紫光云技术有限公司 | 一种云vpn与企业网自动化组网方案 |
CN112866077A (zh) * | 2021-02-26 | 2021-05-28 | 哈尔滨工业大学(威海) | 一种模态融合的大规模自动化组网方法、管理***、设备及存储介质 |
Non-Patent Citations (2)
Title |
---|
基于L2TP/IPSec的企业远程移动办公网的构建;*** 等;《宁波职业技术学院学报》;全文 * |
管华 等.《网络互联网技术与实训教程》.武汉:华中科技大学出版社,2019,第253-262页. * |
Also Published As
Publication number | Publication date |
---|---|
CN113660126A (zh) | 2021-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11038682B2 (en) | Communication method, apparatus and system, electronic device, and computer readable storage medium | |
JP5047291B2 (ja) | インターネットユーザに対して認証サービスを提供するための方法およびシステム | |
US8086842B2 (en) | Peer-to-peer contact exchange | |
CN103067158B (zh) | 加密解密方法、加密解密装置及密钥管理*** | |
CN113660126B (zh) | 一种组网文件生成方法、组网方法以及装置 | |
US9485090B2 (en) | Managed authentication on a distributed network | |
KR20160122992A (ko) | 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치 | |
CN111340485B (zh) | 一种用于联盟区块链的数字证书的配置方法、终端和根证书服务器 | |
CN111541552A (zh) | 区块链一体机及其节点自动加入方法、装置 | |
CA3192541A1 (en) | Certificate based security using post quantum cryptography | |
US20030005328A1 (en) | Dynamic configuration of IPSec tunnels | |
CN103716280B (zh) | 数据传输方法、服务器及*** | |
CN110519259B (zh) | 云平台对象间通讯加密配置方法、装置及可读存储介质 | |
CN116204914A (zh) | 一种可信隐私计算方法、装置、设备及存储介质 | |
US20210281608A1 (en) | Separation of handshake and record protocol | |
WO2022206203A1 (en) | Connection resilient multi-factor authentication | |
ElFgee et al. | Technical requirements of new framework for GPRS security protocol mobile banking application | |
CN109450849A (zh) | 一种基于区块链的云服务器组网方法 | |
US11146594B2 (en) | Security incident blockchain | |
JP4891035B2 (ja) | 暗号プロトコル生成装置、暗号プロトコル生成方法およびプログラム | |
Antovski et al. | E-Banking–Developing Future with Advanced Technologies | |
JP5183237B2 (ja) | 暗号プロトコル生成装置、暗号プロトコル生成方法およびプログラム | |
US11171988B2 (en) | Secure communication system and method for transmission of messages | |
de Bruin et al. | Analyzing the Tahoe-LAFS filesystem for privacy friendly replication and file sharing | |
Koppl et al. | Wireless Optical Data Transmission via LiFiMAX Technology with Security Using Elliptical Curves |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |