VPN自动配置系统及配置方法
技术领域
本发明涉及网络配置技术,特别涉及VPN(虚拟专网)自动配置系统及配置方法。
背景技术
随着互联网和信息技术的发展和应用,VPN技术已经成为主要的网络互联方式之一。但是传统的VPN的配置非常复杂,包含配置VPN服务器的IP、用户名、密码等诸多安全策略信息。复杂拓扑结构下的多隧道VPN互联方案的配置对技术人员的要求更高并且配置周期很长,阻碍了VPN的普及以及加大了部署VPN环境的维护成本。
传统的配置方案之一:如由中国电信股份有限公司申请的《VPN管理平台、VPN业务的实现方法及系统》,申请号为:200910223563.6,其公开了以下内容:
VPN管理平台,用于接收来自VPN用户的VPN帐号信息,根据存储的所述VPN帐号和网关的对应信息获得对应的网关信息;生成所述对应的网关的VPN参数配置信息,并将所述VPN参数配置信息发送给ACS管理平台;
所述ACS管理平台,用于接收来自VPN管理平台发送的所述VPN参数配置信息,并将所述VPN参数配置信息发送给所述对应的网关;
所述对应的网关,用于接收所述ACS管理平台转发的所述VPN参数配置信息,并加载所述VPN参数配置信息。
该专利中的ACS管理平台用于管理所有网关,VPN管理平台管理VPN配置信息,VPN管理平台通过ACS管理平台间接管理网关,网关上需技术人员手动配置ACS管理平台服务器IP、认证信息等,增加了技术人员的工作量;并且在网关出现问题时需要重新配置,往往需要较长时间恢复,影响整个企业工作效率。
传统的配置方案之二:如由深圳深信服电子科技有限公司申请的《VPN客户端安全策略交换和存储方法》,申请号为:200410027216.3,其公开了以下内容:
一种存储和交换VPN客户端的安全策略配置的方法,其特征在于:使用USB存储设备保存和交换VPN客户端的安全策略和配置,包含以下步骤:
第一步,在VPN服务器(网关)或其控制设备上,将用户对应的安全策略和其他配置信息加密存储在USB存储设备上;
第二步,管理员将该USB存储设备通过安全的途径交到用户手中;
第三步,用户安装VPN客户端,并在VPN客户端运行的设备上插入由管理员分发的USB存储设备;
第四步,VPN客户端自动解密USB存储设备的配置,并读入配置;为保证这些配置的安全性,VPN客户端尽量不要把配置保存在其他存储介质上;
第五步,VPN客户端使用读入的安全策略和VPN服务器进行交互验证,存储在USB上的安全策略和配置,不包含用户密码,因此仍然需要用户输入自己的密码以完成验证;
第六步,当用户拔出USB存储设备,VPN客户端删除所有内存中或其他存储介质上的安全策略和配置,并退出。
所述的存储和交换VPN客户端的安全策略配置的方法,其特征在于:在VPN客户端的USB存储设备上加装只有使用预设的密码才能读取VPN客户端的USB存储设备内的信息加密芯片。
该专利在存在多个VPN服务器的网络拓扑结构下,需要花费技术人员大量的时间进行USB存储设备的制作;其只适用于一对一的VPN环境,在N对N的VPN交叉网络拓扑下,此时没有服务器与客户端之分,该专利将无法实现;由于USB存储设备是在VPN服务器上生成的,这限制了其使用便利性和操作周期,并且也没有对USB存储设备遗失的情况做安全性处理。
综上,传统技术中的VPN配置方案都存在一定缺陷,无法在复杂拓扑环境下轻松地进行配置,无法快速搭建网络环境。并且在网络拓扑新增或改变的情况下,将会花费较大人力及时间周期来完成。
发明内容
本发明所要解决的技术问题是:提出一种VPN自动配置系统及配置方法,实现自动VPN配置,解决传统技术中VPN配置复杂,无法快速搭建网络环境的问题。
本发明解决上述技术问题所采用的技术方案是:VPN自动配置系统,包括:统一管理模块及至少一个VPN节点;
所述统一管理模块用于:
根据输入参数自动生成统一管理配置参数、网络配置信息、VPN配置参数;
根据统一管理配置参数、网络配置信息、VPN配置参数生成配置文件并加密,将加密后的配置文件拷贝到移动存储设备中;
接收来自VPN节点的认证信息,对该认证信息进行认证并返回认证结果;
所述VPN节点用于:
读取移动存储设备中的加密后的配置文件,进行解密后根据统一管理配置参数、网络配置信息进行本地配置,在配置生效后向统一管理模块进行认证,如果认证成功,则利用VPN配置参数自动进行本地配置,如果认证失败,则自动破坏存储设备中的数据;
通过配置的VPN参数与其它VPN节点建立VPN隧道,组建VPN网络。
进一步,所述统一管理模块生成各VPN节点的统一管理配置参数;
根据输入的网络配置需求生成各VPN节点的网络配置信息,自动构建网络拓扑图;
接收各VPN节点的网络更新信息,自动更新各VPN节点的网络配置信息,自动构建网络拓扑图;
根据构建的网络拓扑图及输入的VPN参数自动生成各VPN节点的VPN配置参数。
进一步,所述VPN节点还用于:
当本地网络信息发生改变时,向统一管理模块发送网络更新信息;
接收统一管理模块发送过来的加密后的配置文件,并更新到移动存储设备中。
进一步,所述本地网络信息发生改变是指本地VPN节点的网络拓扑图或VPN参数改变。
进一步,所述统一管理模块将加密后的配置文件拷贝到移动存储设备中的方式为:直接在统一管理模块的控制设备中将加密后的配置文件拷贝到移动存储设备中;或者,将加密后的配置文件通过网络发送至指定VPN节点,同时发送对指定VPN节点的控制指令,在指定VPN节点处将加密后的配置文件拷贝到移动存储设备中。
本发明的另一目的,还在于提出一种VPN自动配置方法,其包括以下步骤:
a.统一管理模块生成与各VPN节点一一对应的配置文件并进行加密;
b.将加密后的配置文件拷贝到移动存储设备中,分发用户对应的移动存储设备;
c.用户将移动存储设备插入VPN节点的接口中;
d.VPN节点通过接口从移动存储设备中读取加密后的配置文件进行解密,并根据配置文件中的统一管理配置参数、网络配置信息进行本地配置,在配置生效后向统一管理模块进行认证;
e.如果认证成功,则利用配置文件中的VPN配置参数自动进行本地配置,进入步骤f;如果认证失败,则自动破坏存储设备中的数据;
f.在利用配置文件中的VPN配置参数进行本地配置后,本地VPN节点根据配置的VPN参数与其它VPN节点建立VPN隧道,组建VPN网络;
g.当某个VPN节点的本地网络信息发生改变时,向统一管理模块发送网络更新信息;
h.统一管理模块根据网络拓扑图自动查找相关需要更新的VPN节点,并生成该VPN节点及相关需要更新的VPN节点新的配置文件并进行加密,返回步骤b。
进一步,步骤b中将加密后的配置文件拷贝到移动存储设备中的方式为:
直接在统一管理模块的控制设备中将加密后的配置文件拷贝到移动存储设备中;或者,将加密后的配置文件通过网络发送至指定VPN节点,同时发送对指定VPN节点的控制指令,在指定VPN节点处将加密后的配置文件拷贝到移动存储设备中。
进一步,所述本地网络信息发生改变是指本地VPN节点的网络拓扑图或VPN参数改变。
本发明的有益效果是:简化VPN节点的配置难度,不需要专业的技术人员即进行配置;该方法可以在复杂网络拓扑结构下快速组建VPN环境;可以在改变网络拓扑的情况下,快速更新相关信息,组建VPN环境;可以降低VPN网络管理的难度,减少了管理人员的工作量及复杂度;在某个VPN节点出现故障后,直接换一台设备即可快速配置,节省配置时间周期及维护工作量。
附图说明
图1为管理员本地新增移动存储设备操作流程;
图2为管理员远程新增移动存储设备、远程更新移动存储设备操作流程;
图3为用户在VPN节点处操作流程;
图4为VPN节点网络更新的处理流程。
具体实施方式
为了解决传统技术中VPN配置复杂,无法快速搭建网络环境的问题,本发明提出了一种VPN自动配置系统及配置方法,实现自动VPN配置。
该系统由统一管理模块、多个VPN节点组成:
统一管理模块,根据管理员在统一管理模块中的相关输入,自动生成各VPN节点的统一管理配置参数。
统一管理模块,根据管理员在统一管理模块中输入的网络配置需求,自动生成各VPN节点的网络配置信息,自动构建网络拓扑图。
统一管理模块,接收VPN节点的网络更新信息,自动更新各VPN节点的网络配置信息,自动构建网络拓扑图。
统一管理模块,根据构建的网络拓扑图,以及输入的VPN参数,自动生成各VPN节点的VPN配置参数。
统一管理模块,根据生成的各VPN节点的VPN配置参数、统一管理配置参数、网络配置信息形成配置文件,在将配置文件加密后,可以在统一管理模块控制设备中,拷贝到移动存储设备中,再将移动存储设备通过安全的途径分发到用户手中;也可以将加密后的配置文件通过网络在各VPN节点,拷贝到移动存储设备中,再将移动存储设备通过安全的途径交分发到用户手中;还可以将加密后的配置文件通过网络在各VPN节点,拷贝到移动存储设备中,实时更新移动存储设备中的数据。
统一管理模块,接收来自VPN节点的认证信息,认证该认证信息,返回认证通过或者认证失败的信息。
VPN节点,通过接口读取移动存储设备中的网络配置信息、统一管理参数,参数配置生效后,通过网络向统一管理模块进行认证,认证通过后自动配置VPN参数;认证失败后自动破坏移动存储设备中的数据,使该移动存储设备无效。
VPN节点,接收统一管理模块通过网络传输过来的加密配置文件,并更新到移动存储设备中。
VPN节点,根据输入改变网络信息,通过网络向统一管理模块发送网络更新信息。
VPN节点,通过自动配置的VPN参数,与其它VPN节点建立VPN隧道,组建VPN网络。
在具体实施上,对于本发明中的VPN自动配置方法来说,可以分为统一管理模块的处理步骤和VPN节点的处理步骤;其中统一管理模块的处理步骤中又可分为管理员本地新增存储设备操作流程和管理员远程新增存储设备、远程更新存储设备的操作流程;VPN节点的处理步骤又分为用户在VPN节点处操作流程和VPN节点网络更新流程;下面结合附图进行具体说明:
参见图1,对于管理员本地新增移动存储设备操作流程来说,其包括以下步骤:
1、管理员对统一管理模块作相关输入或者收到VPN节点的网络更新信息后自动生成各VPN节点的配置文件(包括统一管理配置参数、网络配置参数、VPN配置参数);
2、对VPN节点的配置文件进行加密后直接在本地拷贝到移动存储设备中;
3、将新生成的移动存储设备通过安全途径分发到对应用户(即与相应VPN节点对应的用户)手中。
除上述方式中在统一管理模块本地生成新的移动存储设备外,还可以在各VPN节点处生成,即统一管理模块将生成的配置文件通过网络发送到指定VPN节点处,将移动存储设备插入到指定VPN节点的接口中拷贝配置文件;
另一种情况,当VPN节点的本地网络信息(网络拓扑或VPN参数)发生改变时,可以另外生成新的移动存储设备,还可以直接通过网络将新生成的配置文件发送到相应VPN节点,更新插在该VPN节点接口的移动存储设备中的原配置文件;
参见图2,对于管理员远程新增移动存储设备、远程更新移动存储设备的操作流程来说,包括以下步骤:
1、管理员对统一管理模块作相关输入或者收到VPN节点的网络更新信息后自动生成各VPN节点的配置文件(包括统一管理配置参数、网络配置参数、VPN配置参数);
2、对VPN节点的配置文件进行加密后通过网络发送到指定VPN节点,同时向指定VPN节点发送相关指令,将加密后的配置文件拷贝到移动存储设备中;
3、将生成的新的移动存储设备通过安全途径分发到对应用户(即与相应VPN节点对应的用户)手中;
4、当VPN节点的本地网络信息有更新时,直接在VPN节点处更新移动存储设备中的数据。
参见图3,对于VPN节点处的操作流程来说,其包括以下步骤:
1、用户将移动存储设备插入到对应VPN节点的接口中;
2、VPN节点启动时,自动从移动存储设备中读取配置文件,进行解密后利用配置文件中的统一管理配置参数、网络配置参数对VPN节点进行配置;
3、在配置生效后,VPN节点通过网络向统一管理模块进行认证;
4、如果认证通过,则VPN节点自动配置VPN参数,与其它VPN节点建议VPN隧道,组建VPN网络,如果认证失败,则VPN节点自动破坏移动存储设备中的数据。
如果某个VPN节点出现故障,直接更换与该VPN节点对应的硬件设备,并将移动存储设备读取配置插入对应接口即可立即恢复。
移动存储设备遗失后,通知管理员后,由管理员直接在统一管理模块上删除相应认证信息。在遗失移动存储设备连接到统一管理模块时,在认证阶段将认证失败,VPN节点自动破坏移动存储设备中的数据,使其不可用,以保证其可靠性及保密性。
参见图4,对于VPN节点网络更新的处理流程来说,其包括以下步骤:
1、用户在某个VPN节点的配置界面修改网络信息;
2、该VPN节点向统一管理模块发送网络更新信息;
3、统一管理模块接收该VPN节点的网络更新信息;
4、统一管理模块自动更新该VPN节点的网络配置信息;
5、统一管理模块自动构建网络拓扑图,自动生成该VPN节点的VPN配置参数,自动查找相关需要更新的VPN节点并自动生成对应的VPN配置参数;
6、统一管理模块将相关VPN节点(包括网络信息发生改变的VPN节点及在网络拓扑上与其相关的节点)配置文件加密后,通过网络发送到对应的VPN节点,发送指令由各VPN节点将配置文件拷贝到移动存储设备中,更新移动存储设备中的数据。
通过上述图4中的处理流程,可以实现在网络拓扑发生改变的情况下,快速更新相关信息,组建VPN网络。
根据上述描述可知,本发明中所述的统一管理模块和VPN节点均是既包括运行在PC端的软件,也包括硬件部分。