CN103023707B - 一种策略配置的方法、管理服务器以及网络系统 - Google Patents
一种策略配置的方法、管理服务器以及网络系统 Download PDFInfo
- Publication number
- CN103023707B CN103023707B CN201210586179.4A CN201210586179A CN103023707B CN 103023707 B CN103023707 B CN 103023707B CN 201210586179 A CN201210586179 A CN 201210586179A CN 103023707 B CN103023707 B CN 103023707B
- Authority
- CN
- China
- Prior art keywords
- strategy
- equipment
- link
- configuration
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种策略配置的方法及管理服务器,通过在源设备到目的设备之间的所有链路信息中选择待配置链路,获取所述待配置链路中的网络设备的设备信息,生成策略,并将生成的所述策略发送给所述待配置链路中的网络设备,以使得所述网络设备根据所述策略进行策略配置,从而解决了管理员对待配置链路中的网络设备逐一进行策略配置所带来的管理维护工作量大的问题,提高了管理维护的效率,降低了管理维护成本。
Description
技术领域
本发明属于通信领域,尤其涉及一种策略配置的方法、管理服务器以及网络系统。
背景技术
在当前互联网极度发达的时代,随着各种类型的网络攻击、病毒等恶意应用的肆意传播,为了保护信息的安全性,几乎所有的大中型公司都会使用防火墙对公司的网络进行安全防范和加固,但随着公司自身规模的增长,对于公司内容部防火墙设备的管理和维护问题也日趋明显。
目前在进行防火墙策略配置的过程中,几乎所有的管理员都是通过集中管理的方式来进行策略配置,而后批量下发给设备。然而目前能够进行批量下发的策略只能是多台网络设备,例如防火墙,同时具备的公共特性,当需要对网络设备配置特殊的策略时,就需要管理员对网络设备中的策略进行逐一修改或配置。目前对网络设备的策略配置都是通过这种批量下发、手动修改的形式来完成,没有一种自动完成策略配置的方法。
发明内容
本发明实施例的目的在于提供一种策略配置的方法、管理服务器以及网络系统,解决了管理员对网络设备逐一进行策略配置所带来的管理维护工作量大的问题,提高了管理维护效率,降低了管理维护成本。
第一方面,提供一种策略配置的方法,所述方法包括:
在源设备与目的设备之间的所有链路信息中选择待配置链路;
获取所述待配置链路中的网络设备的设备信息,其中,所述设备信息包括设备标识信息以及配置信息;
根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版;
根据所述配置信息以及所述策略配置模版生成策略;
将生成的所述策略发送给所述待配置链路中的网络设备,以使所述网络设备根据所述策略进行策略配置。
结合第一方面,在第一方面的第一种可能的实现方式中,所述在源设备与目的设备之间的所有链路信息中选择待配置链路包括:
从数据库中获取所述源设备与所述目的设备之间的所有链路信息,其中,所述数据库中存储有网络中所有网络设备的链路信息,所述数据库中的链路信息根据拓扑发现的所述网络中所有的网络设备的路由信息生成;
从所述源设备与所述目的设备之间的所有链路信息中选择待配置的链路。
结合第一方面或者第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,还包括:
检测生成的所述策略与所述待配置链路中的设备上已有的策略是否存在冲突;
所述将生成的所述策略发送给所述待配置链路中的设备包括:
如果生成的所述策略与所述待配置链路中的设备上已有的策略没有冲突,则将生成的所述策略发送给所述待配置链路中的设备。
结合第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,还包括:
如果生成的所述策略与所述待配置链路中的设备上已有的策略有冲突,则对生成的所述策略进行审核,并将审核通过后的策略发送给所述待配置链路中的设备。
结合第一方面,在第一方面的第四种可能的实现方式中,所述策略配置模版中包含有设备标识信息、策略类型信息以及策略命令。
第二方面,提供一种管理服务器,包括:
选择单元,用于在源设备与目的设备之间的所有链路信息中选择待配置链路;
获取单元,用于获取所述待配置链路中的网络设备的设备信息,其中,所述设备信息包括设备标识信息以及配置信息,并根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版;
策略生成单元,用于根据所述获取单元获取的所述配置信息以及所述策略配置模板生成策略;
发送单元,用于将所述策略生成单元生成的所述策略发送给所述待配置链路中的网络设备,以使所述网络设备根据所述策略进行策略配置。
结合第二方面,在第二方面的第一种可能的实现方式中所述选择单元,具体用于:
从数据库中获取所述源设备与所述目的设备之间的所有链路信息,并从所述源设备与所述目的设备之间的所有链路信息中选择待配置的链路,其中,所述数据库中存储有网络中所有网络设备的链路信息,所述数据库中的链路信息根据拓扑发现的所述网络中所有的网络设备的路由信息生成。
结合第二方面或者第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述设备还包括:
检测单元,用于检测所述策略生成单元生成的所述策略与所述待配置链路中的设备上已有的策略是否存在冲突;
所述发送单元,具体用于:
当生成的所述策略与所述待配置链路中的设备上已有的策略没有冲突时,则将所述策略生成单元生成的所述策略发送给所述待配置链路中的设备。
结合第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,所述设备还包括审核单元,所述审核单元具体用于:
用于当生成的所述策略与所述待配置链路中的设备上已有的策略有冲突时,对生成的所述策略进行审核;
所述发送单元,还用于将所述审核单元审核通过后的策略发送给所述待配置链路中的设备。
结合第二方面,在第二方面的第四种可能的实现方式中,所述策略配置模版中包含有设备标识信息、策略类型信息以及策略命令。
第三方面,本发明实施例提供一种网络系统,包括源设备、目的设备、至少一个网络设备以及上述实现方式中的管理服务器,所述源设备与所述目的设备之间包括至少一条通信链路,其中:所述源设备,用于通过所述至少一个网络设备与所述目的设备通信;所述网络设备,用于根据所述管理服务器下发的策略进行策略配置,并根据配置的策略建立所述源设备与所述目的设备之间的通信。
与现有技术相比,本发明实施例提供了一种策略配置的方法,通过在源设备到目的设备之间的所有链路信息中选择待配置链路,获取所述待配置链路中的网络设备的设备信息,生成策略,并将生成的所述策略发送给所述待配置链路中的网络设备,以使得所述网络设备根据所述策略进行策略配置,从而解决了管理员对待配置链路中的网络设备逐一进行策略配置所带来的管理维护工作量大的问题,提高了管理维护的效率,降低了管理维护成本。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种策略配置的应用场景图;
图2-A是本发明实施例提供的一种策略配置的方法流程图;
图2-B是本发明实施例提供的又一种策略配置的方法流程图;
图3是本发明实施例提供的一种策略配置方法中使用的数据结构图;
图4是本发明实施例提供的一种管理服务器的设备结构图;
图5是本发明实施例提供的一种管理服务器的设备结构图;
图6是本发明实施例提供的另一种管理服务器的结构图;
图7为本发明实施例提供的一种网络系统的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
参考图1,图1是本发明实施例提供的一种策略配置的应用场景图。如图1所示,在该网络系统中包括源设备100、管理服务器130、目的设备120以及多个网络设备,其中,网络设备包括:交换机105、防火墙110及防火墙115,源设备100和目的设备120可以是网络服务器。源设备100与目的设备120之间包括两条链路,链路1为:源设备100经过交换机105及防火墙110到达目的设备120;链路2为:源设备100经过交换机105及防火墙115到达目的设备120。要使源设备100发送的数据包到达目的设备120,需要对各链路上的网络设备上配置转发控制策略,例如,如果选择源设备100通过链路1访问目的设备120,则需要在交换机105以及防火墙110上配置对数据包的转发控制策略,例如,针对某个用户(IP地址)的数据流进行转发,或只转发某个协议类型的数据包等等策略。管理服务器130负责对例如交换机105、防火墙110以及防火墙115等网络设备的策略配置,管理服务器130下发的策略可以通过交换机105到达防火墙110和防火墙115。参考图2-A,图2-A是本发明实施例提供的一种策略配置的方法流程图。该方法可以的执行主体可以为图1中的管理服务器130,如图2-A所示,所述方法包括以下步骤:
步骤201,在源设备与目的设备之间的所有链路信息中选择待配置链路,进入步骤202;
可选地,所述在源设备与目的设备之间的所有链路信息中选择待配置链路包括:
从数据库中获取所述源设备与所述目的设备之间的所有链路信息,其中,所述数据库中存储有网络中所有网络设备的链路信息,所述数据库中的链路信息根据拓扑发现的所述网络中所有的网络设备的路由信息生成;
从所述源设备与所述目的设备之间的所有链路信息中选择待配置的链路。
具体的,在生成所述源设备与目的设备之间的所有链路信息时,先从数据库中读取所述源设备、目的设备及网络设备的链路信息,例如,这些设备的链路信息可以形成如图3所示的数据结构,其中节点1代表所述源设备,节点6代表所述目的设备,其中,从节点1到节点6,存在三条链路:链路{1-2-3-4-6}、链路{1-2-5-4-6}以及链路{1-5-4-6},如果节点1要访问节点6,则可以从上述三条链路中选择一条链路来配置访问策略,例如,可以比如选择链路{1-2-3-4-6}作为待配置链路。当然可以理解的是,在选择待配置链路时,也可以根据具体需要选择源设备与目的设备之间的最短路径进行配置。
其中,在识别设备1到设备6之间的链路时,可以采用广度优先查找算法进行链路的识别,具体的:可以首先访问初始节点1,并将其标记为已访问过,接着访问节点1的所有未被访问过的相邻节点,例如节点2和节点5,并在访问后将节点2和节点5标记为已访问,然后再访问节点2和节点5的所有未被访问的相邻节点,如访问节点2的相邻节点3,访问节点5的相邻节点4,并将节点3和节点4标记为已访问,依次类推,直到图中源设备1和目的设备6之间的所有链路中的所有网络设备都被访问过为止,通过这种方法识别设备1和设备6之间的所有链路。当然,可以理解的是,还可以采用其他链路查找算法,在此不做限定,只要能够识别出源设备与目的设备之间的链路即可。
步骤202,获取所述待配置链路中的网络设备的设备信息,其中,所述设备信息包括设备标识信息以及配置信息,进入步骤203;
其中,所述网络设备是指源设备到目的设备之间的设备,包括防火墙、路由器、网关、交换机等设备,不包括源设备与目的设备,其中,所述源设备和目的设备可以是网络服务器。所述设备标识信息包括:厂商、设备类型等识别设备的标识,所述配置信息包括:接口、协议类型、策略生效时间段、针对的用户等。
步骤203,根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版,进入步骤204;
其中,所述策略配置模版中包含有设备标识信息、策略类型信息以及策略命令。
具体的,可以根据各个厂商在策略配置的命令行的差异性,定义一个适配格式的模板,所述模板中主要包含:厂商的唯一标识、厂商名称、策略主类型、策略子类型、策略对应的命令行等信息。
具体的,可以根据步骤202中获得的网络设备的标识信息,便可根据要配置的策略类型(例如:转发策略、流量控制策略等策略类型)以及所述设备标识信息中包含的厂商信息(例如思科、爱立信等厂商)和设备类型信息(例如:防火墙、路由器等具体类型的设备)查找预先设定的与待配置网络设备的设备类型相匹配的策略配置模板。例如,结合附图1中,假设防火墙105为思科公司的N1000型防火墙,需要在防火墙105上设置流量控制策略,则可以在针对思科的N1000型防火墙的策略配置模版中获取的流量控制类型的策略配置模版。
步骤204,根据所述配置信息以及所述策略配置模版生成策略,进入步骤205;
具体的,当获得与待配置设备相对应的策略配置模块后,可以根据步骤202中获得的设备的配置信息,例如:接口信息、协议类型信息以及策略生效时间段信息等,和所述策略配置模版生成策略。例如,可以根据设备的接口信息逐一判断接口的状态和每个接口对应的IP地址,并与待配置链路中的所述源设备IP地址和所述目的设备IP地址进行匹配,如果匹配则记录下来将其设备的接口信息填入到策略配置模板的命令行模板中,从而生成相应的策略。
步骤205,将生成的所述策略发送给所述待配置链路中的网络设备,以使所述网络设备根据所述策略进行策略配置。
本发明实施例提供了一种策略配置的方法,通过在源设备到目的设备之间的所有链路信息中选择待配置链路,获取所述待配置链路中的网络设备的设备信息,生成策略,并将生成的所述策略发送给所述待配置链路中的网络设备,以使得所述网络设备根据所述策略进行策略配置,从而解决了管理员对待配置链路中的网络设备逐一进行策略配置所带来的管理维护工作量大的问题,提高了管理维护的效率,降低了管理维护成本。
图2-B为本发明实施例提供的又一种策略配置方法的流程图,如图2-B所示,其中步骤201-203与图2-A所示实施例相同,具体可以参考上述实施例,在此不再赘述,
步骤204,根据所述配置信息以及所述策略配置模版生成策略,进入步骤206;
步骤206,用于检测生成的所述策略与所述待配置链路中的设备上已有的策略是否存在冲突,当不存在冲突时,进入步骤205,否则进入步骤207;
具体的,由于在某些情形下,不同链路在同一个设备上配置的策略之间可能存在冲突,因此在具体配置时,需要检测一下当前要配置的策略是否与该设备已有的策略(例如该设备在其他链路中配置的策略)相冲突,因此在根据所述配置信息以及所述策略配置模版生成策略后,需要判断步骤204中生成的所述策略是否与该设备已有的策略存在冲突,如果不存在冲突,则进入步骤205,如果存在冲突,则进入步骤207。
步骤205,将生成的所述策略发送给所述待配置链路中的网络设备,以使所述网络设备根据所述策略进行策略配置;
具体的,如果生成的所述策略与所述待配置链路中的设备上已有的策略没有冲突,例如,预先设置网络设备B的策略是禁止访问防火墙C,当生成的所述策略中如果网络设备B也不需要访问防火墙C的策略时,就将生成的所述策略下发到所述待配置链路中的设备。
步骤207,对生成的所述策略进行审核,并将审核通过后的策略发送给所述待配置链路中的设备。
具体的,如果生成的所述策略与所述待配置链路中的设备上已有的策略有冲突,比如,预先设置网络设备B的策略是禁止访问防火墙C,当生成的所述策略中网络设备B需要访问防火墙C的策略时,就会存在策略冲突,此时,需要管理员对冲突进行审核,确定是否需要修改策略,并将审核通过后的策略发送给待配置设备(例如网络设备B)。
需要说明的是,在本发明实施例所述的策略配置方法中,可以同时获取链路中所有设备的设备信息以及各设备对应的策略配置模板,并分别根据各设备的配置信息和对应的策略配置模板生成不同的策略,并将生成的策略对应下发给各个设备,相当于并行处理的方式;也可以分别逐个获取各设备的设备信息和策略配置模板,生成不同的策略,并逐个将生成的策略下发给各个设备,相当于串行处理的方式,在此不做限定。
本发明实施例提供了一种策略配置的方法,在上述实施例的基础上增加了策略冲突检测的步骤,在实现自动配置网络设备的策略的同时,进一步提高了策略配置的准确性。
参考图4,图4是本发明实施例提供的一种管理服务器的设备结构图,所述设备包括以下单元:
选择单元401,用于在源设备与目的设备之间的所有链路信息中选择待配置链路;
可选的,所述选择单元401,具体用于:
从数据库中获取所述源设备与所述目的设备之间的所有链路信息,其中,所述数据库中存储有网络中所有网络设备的链路信息,所述数据库中的链路信息根据拓扑发现的所述网络中所有的网络设备的路由信息生成;
从所述源设备与所述目的设备之间的所有链路信息中选择待配置的链路。
具体的,在生成所述源设备与目的设备之间的所有链路信息时,先从数据库中读取所述源设备、目的设备及网络设备的链路信息,例如,这些设备的链路信息可以形成如图3的数据结构中,其中节点1代表所述源设备,节点6代表所述目的设备,当从节点1到节点6,存在三条链路分别是:链路{1-2-3-4-6}、链路{1-2-5-4-6}以及链路{1-5-4-6},如果节点1要访问节点6,则可以从上述三条链路中选择一条链路来配置访问策略,例如,可以比如选择链路{1-2-3-4-6}作为待配置链路。当然可以理解的是,在选择待配置链路时,也可以根据具体需要选择源设备与目的设备之间的最短路径进行配置。
其中,在识别设备1到设备6之间的链路时,可以采用广度优先查找算法进行链路识别,具体的:可以首先访问初始节点1,并将其标记为已访问过,接着访问节点1的所有未被访问过的邻节点2,节点5,并均标记节点2和节点5已访问过,然后再访问节点2和节点5的所有未被访问的邻节点,如访问节点2的邻节点3,访问节点5的邻节点4,并均标记节点3和节点4为已访问过,依次类推,直到图中源设备和目的设备之间的所有链路中的所有网络设备都被访问过为止,通过这种方法识别设备1和设备6之间的所有链路。当然,可以理解的是,还可以采用其他链路查找算法,在此不做限定,只要能够识别出源设备与目的设备之间的链路即可。
获取单元402,用于获取所述待配置链路中的网络设备的设备信息,其中,所述设备信息包括设备标识信息以及配置信息,并根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版;
其中,所述网络设备是指源设备到目的设备之间的设备,包括防火墙、路由器、网关、交换机等设备,不包括源设备与目的设备,其中,所述源设备和目的设备可以是网络服务器。所述设备标识信息包括:厂商、设备类型等识别设备的标识,所述配置信息包括:接口、协议类型、策略生效时间段、针对的用户等。
其中,所述策略配置模版中包含有设备标识信息、策略类型信息以及策略命令。
具体的,可以根据各个厂商在策略配置的命令行的差异性,定义一个适配格式的模板,所述模板中主要包含:厂商的唯一标识、厂商名称、策略主类型、策略子类型、策略对应的命令行等信息。
在实际应用中,可以根据获取单元402中获得的网络设备的标识信息,便可根据要配置的策略类型(例如:转发策略、流量控制策略等策略类型)以及所述设备标识信息中包含的厂商信息(例如思科、爱立信等厂商)和设备类型信息(例如:防火墙、路由器等具体类型的设备)查找预先设定的与待配置网络设备的设备类型相匹配的策略配置模板。例如,结合附图1中,假设防火墙105为思科公司的N1000型防火墙,需要在防火墙105上设置流量控制策略,则可以在针对思科的N1000型防火墙的策略配置模版中获取的流量控制类型的策略配置模版。
策略生成单元403,用于根据所述获取单元402获取的所述配置信息以及所述策略配置模板生成策略;
当获取单元402获得与配置设备相对应的策略配置模块后,可以根据获取单元402中获取的设备的配置信息,例如:接口信息、协议类型信息以及策略生效时间段信息等,和所述策略配置模板生成策略。例如,可以根据设备的接口信息逐一判断接口的状态和每个接口对应的IP地址,并与待配置链路中的所述源设备IP地址和所述目的设备IP地址进行匹配,如果匹配则记录下来将其设备的接口信息填入到命令行模板,从而生成相应的策略。
发送单元404,用于将所述策略生成单元403生成的所述策略发送给所述待配置链路中的网络设备,以使所述网络设备根据所述策略进行策略配置。
本发明实施例提供了一种管理服务器,通过在源设备到目的设备之间的所有链路信息中选择待配置链路,获取所述待配置链路中的网络设备的设备信息,生成策略,并将生成的所述策略发送给所述待配置链路中的网络设备,以使得所述网络设备根据所述策略进行策略配置,从而解决了管理员对待配置链路中的网络设备逐一进行策略配置所带来的管理维护工作量大的问题,提高了管理维护的效率,降低了管理维护成本。
图5为本发明实施例提供的又一种管理服务器的设备结构图。如图5所示,其中选择单元401、获取单元402与图4所示实施例相同,具体可以参考上述实施例,在此不再赘述,
策略生成单元403,用于根据所述配置信息以及所述策略配置模版生成策略;
检测单元405,用于检测所述策略生成单元生成的所述策略与所述待配置链路中的设备上已有的策略是否存在冲突,当不存在冲突时,执行发送单元404,否则执行审核单元406;
具体的,由于在某些情形下,不同链路在同一个设备上配置的策略之间可能存在冲突,因此在具体配置时,需要检测一下当前要配置的策略是否与该设备已有的策略(例如该设备在其他链路中配置的策略)相冲突,因此在根据所述配置信息以及所述策略配置模版生成策略后,需要判断策略生成单元403中生成的所述策略是否与该设备已有的策略存在冲突,如果不存在冲突,则执行发送单元404,否则执行审核单元406。
所述发送单元404,具体用于:
将生成的所述策略发送给所述待配置链路中的网络设备,以使所述网络设备根据所述策略进行策略配置。
具体的,如果生成的所述策略与所述待配置链路中的设备上已有的策略没有冲突,例如,预先设置网络设备B的策略是禁止访问防火墙C,当生成的所述策略中如果网络设备B也不需要访问防火墙C的策略时,就将生成的所述策略下发到所述待配置链路中的设备。
所述审核单元406具体用于:
对生成的所述策略进行审核,并将审核通过后的策略发送给所述待配置链路中的设备。
具体的,如果生成的所述策略与所述待配置链路中的设备上已有的策略有冲突,比如,预先设置网络设备B的策略是禁止访问防火墙C,当生成的所述策略中网络设备B需要访问防火墙C的策略时,就会存在策略冲突,此时,需要管理员对冲突进行审核,确定是否需要修改策略,并将审核通过后的策略发送给待配置设备(例如网络设备B)。
需要说明的是,在本发明实施例所述的策略配置方法中,可以同时获取链路中所有设备的设备信息以及各设备对应的策略配置模板,并分别根据各设备的配置信息和对应的策略配置模板生成不同的策略,并将生成的策略对应下发给各个设备,相当于并行处理的方式;也可以分别逐个获取各设备的设备信息和策略配置模板,生成不同的策略,并逐个将生成的策略下发给各个设备,相当于串行处理的方式,在此不做限定。
本发明实施例提供了一种管理服务器,在上述实施例的基础上增加了检测单元405,在实现自动配置网络设备的策略的同时,进一步提高了策略配置的准确性。
本发明实施例提供的一种管理服务器,通过在源设备到目的设备之间的所有链路信息中选择待配置链路,获取所述待配置链路中的网络设备的设备信息,生成策略,并将生成的所述策略发送给所述待配置链路中的网络设备,以使得所述网络设备根据所述策略进行策略配置,从而解决了管理员对待配置链路中的网络设备逐一进行策略配置所带来的管理维护工作量大的问题,提高了管理维护的效率,降低了管理维护成本。
参考图6,图6是本发明实施例提供的另一种管理服务器的设备结构图。参考图6,图6是本发明实施例提供的一种管理服务器600,本发明具体实施例并不对所述设备的具体实现做限定。所述管理服务器600包括:
处理器(processor)601,通信接口(CommunicationsInterface)602,存储器(memory)603,总线604。
处理器601,通信接口602,存储器603通过总线604完成相互间的通信。
通信接口602,用于与网络设备进行通信,其中,网络设备可以包括交换机、防火墙等;
处理器601,用于执行程序。
具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。
处理器601可能是一个中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecificIntegratedCircuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器603,用于存放程序6031。存储器603可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatilememory)。程序6031具体可以包括:
选择单元401,用于在源设备与目的设备之间的所有链路信息中选择待配置链路;
获取单元402,用于获取所述待配置链路中的网络设备的设备信息,其中,所述设备信息包括设备标识信息以及配置信息,并根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版;
策略生成单元403,用于根据所述获取单元402获取的所述配置信息以及所述策略配置模板生成策略;
发送单元404,用于将所述策略生成单元403生成的所述策略发送给所述待配置链路中的网络设备,以使所述网络设备根据所述策略进行策略配置。
程序6031中各功能模块的具体实现可以参见上述图4-图5所述实施例中的相应模块,在此不再赘述。
图7为本发明实施例提供的一种网络系统的结构示意图,如图所示,该网络系统包括管理服务器700、源设备705、目的设备715以及至少一个网络设备710,所述源设备705用于通过所述至少一个网络设备710与所述目的设备715通信,所述源设备705与所述目的设备715之间包括至少一条通信链路,其中:
所述管理服务器700,用于在源设备与目的设备之间的所有链路信息中选择待配置链路,获取所述待配置链路中的网络设备的设备信息,其中,所述设备信息包括设备标识信息以及配置信息,并根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版,根据所述配置信息以及所述策略配置模板生成策略,并将所述策略生成单元生成的所述策略发送给所述待配置链路中的网络设备,以使所述网络设备根据所述策略进行策略配置;
所述网络设备710,用于根据所述管理服务器700下发的策略进行策略配置,并根据配置的策略建立所述源设备与所述目的设备之间的通信。
具体的,所述管理服务器的具体实现可以参见上述图4-图6所述实施例中的相应描述,在此不再赘述。
本发明实施例提供的一种网络系统,通过管理服务器在源设备到目的设备之间的所有链路信息中选择待配置链路,获取所述待配置链路中的网络设备的设备信息,生成策略,并将生成的所述策略发送给所述待配置链路中的网络设备,以使得所述网络设备根据所述策略进行策略配置,从而解决了管理员对待配置链路中的网络设备逐一进行策略配置所带来的管理维护工作量大的问题,提高了管理维护的效率,降低了管理维护成本。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备和模块的具体工作过程,可以参考前述方法实施例中的对应过程描述,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个设备中,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部,模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (11)
1.一种策略配置的方法,其特征在于,所述方法包括:
在源设备与目的设备之间的所有链路信息中选择待配置链路;
获取所述待配置链路中的网络设备的设备信息,其中,所述设备信息包括设备标识信息以及配置信息;所述设备标识信息包括:厂商、设备类型;
根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版;根据所述配置信息以及所述策略配置模版生成策略;
将生成的所述策略发送给所述待配置链路中的网络设备,以使所述网络设备根据所述策略进行策略配置。
2.根据权利要求1所述的策略配置的方法,其特征在于,所述在源设备与目的设备之间的所有链路信息中选择待配置链路包括:
从数据库中获取所述源设备与所述目的设备之间的所有链路信息,其中,所述数据库中存储有网络中所有网络设备的链路信息,所述数据库中的链路信息根据拓扑发现的所述网络中所有的网络设备的路由信息生成;
从所述源设备与所述目的设备之间的所有链路信息中选择待配置的链路。
3.根据权利要求1或2所述的策略配置的方法,其特征在于,还包括:
检测生成的所述策略与所述待配置链路中的设备上已有的策略是否存在冲突;
所述将生成的所述策略发送给所述待配置链路中的设备包括:
如果生成的所述策略与所述待配置链路中的设备上已有的策略没有冲突,则将生成的所述策略发送给所述待配置链路中的设备。
4.根据权利要求3所述的策略配置的方法,其特征在于,还包括:
如果生成的所述策略与所述待配置链路中的设备上已有的策略有冲突,则对生成的所述策略进行审核,并将审核通过后的策略发送给所述待配置链路中的设备。
5.根据权利要求1所述的策略配置的方法,其特征在于,所述策略配置模版中包含有设备标识信息、策略类型信息以及策略命令。
6.一种管理服务器,其特征在于,包括:
选择单元,用于在源设备与目的设备之间的所有链路信息中选择待配置链路;
获取单元,用于获取所述待配置链路中的网络设备的设备信息,其中,所述设备信息包括设备标识信息以及配置信息,并根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版;所述设备标识信息包括:厂商、设备类型;
策略生成单元,用于根据所述获取单元获取的所述配置信息以及所述策略配置模版生成策略;
发送单元,用于将所述策略生成单元生成的所述策略发送给所述待配置链路中的网络设备,以使所述网络设备根据所述策略进行策略配置。
7.根据权利要求6所述的管理服务器,其特征在于,所述选择单元,具体用于:
从数据库中获取所述源设备与所述目的设备之间的所有链路信息,并从所述源设备与所述目的设备之间的所有链路信息中选择待配置的链路,其中,所述数据库中存储有网络中所有网络设备的链路信息,所述数据库中的链路信息根据拓扑发现的所述网络中所有的网络设备的路由信息生成。
8.根据权利要求6或7所述的管理服务器,其特征在于,所述管理服务器还包括:
检测单元,用于检测所述策略生成单元生成的所述策略与所述待配置链路中的设备上已有的策略是否存在冲突;
所述发送单元,具体用于:
当生成的所述策略与所述待配置链路中的设备上已有的策略没有冲突时,将所述策略生成单元生成的所述策略发送给所述待配置链路中的设备。
9.根据权利要求8所述的管理服务器,其特征在于,还包括:
审核单元,用于当生成的所述策略与所述待配置链路中的设备上已有的策略有冲突时,对生成的所述策略进行审核;
所述发送单元,还用于将所述审核单元审核通过后的策略发送给所述待配置链路中的设备。
10.根据权利要求6所述的管理服务器,其特征在于,所述策略配置模版中包含有设备标识信息、策略类型信息以及策略命令。
11.一种网络系统,其特征在于,包括源设备、目的设备、至少一个网络设备以及如权利要求6-10任意一项所述的管理服务器,所述源设备与所述目的设备之间包括至少一条通信链路,其中:
所述源设备,用于通过所述至少一个网络设备与所述目的设备通信;
所述网络设备,用于根据所述管理服务器下发的策略进行策略配置,并根据配置的策略建立所述源设备与所述目的设备之间的通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210586179.4A CN103023707B (zh) | 2012-12-28 | 2012-12-28 | 一种策略配置的方法、管理服务器以及网络系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210586179.4A CN103023707B (zh) | 2012-12-28 | 2012-12-28 | 一种策略配置的方法、管理服务器以及网络系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103023707A CN103023707A (zh) | 2013-04-03 |
| CN103023707B true CN103023707B (zh) | 2016-03-09 |
Family
ID=47971861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210586179.4A Active CN103023707B (zh) | 2012-12-28 | 2012-12-28 | 一种策略配置的方法、管理服务器以及网络系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103023707B (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580078B (zh) * | 2013-10-15 | 2018-04-17 | 北京神州泰岳软件股份有限公司 | 一种网络访问控制方法和系统 |
| CN105122747B (zh) * | 2013-11-07 | 2018-06-26 | 华为技术有限公司 | Sdn网络中的控制设备和控制方法 |
| CN105141571A (zh) * | 2014-06-09 | 2015-12-09 | 中兴通讯股份有限公司 | 分布式虚拟防火墙装置及方法 |
| US10880168B2 (en) | 2016-04-01 | 2020-12-29 | Hewlett Packard Enterprise Development Lp | Switch configuration |
| CN105827649A (zh) * | 2016-05-19 | 2016-08-03 | 上海携程商务有限公司 | 防火墙策略的自动生成方法及系统 |
| CN106100871A (zh) * | 2016-05-31 | 2016-11-09 | 深圳市双赢伟业科技股份有限公司 | 一种交换机防火墙更新方法及装置 |
| CN106790000B (zh) * | 2016-12-12 | 2019-11-12 | 杭州迪普科技股份有限公司 | 一种安全策略的配置方法及装置 |
| CN109104399A (zh) * | 2017-11-23 | 2018-12-28 | 新华三信息安全技术有限公司 | 一种安全策略规则配置方法及装置 |
| CN110324159B (zh) | 2018-03-28 | 2020-11-03 | 华为技术有限公司 | 链路配置方法、控制器和存储介质 |
| CN109274532B (zh) * | 2018-09-19 | 2022-03-01 | 杭州迪普科技股份有限公司 | 策略下发的方法、装置、系统、集控设备及可读存储介质 |
| CN111131027A (zh) * | 2018-10-31 | 2020-05-08 | 中兴通讯股份有限公司 | 映射服务器处理方法、装置以及存储介质 |
| CN110620773B (zh) * | 2019-09-20 | 2023-02-10 | 深圳市信锐网科技术有限公司 | 一种tcp流量隔离方法、装置及相关组件 |
| CN112910824A (zh) * | 2019-11-19 | 2021-06-04 | 苏州至赛信息科技有限公司 | 网络安全策略配置方法、装置、计算机设备和存储介质 |
| CN112910666B (zh) * | 2019-11-19 | 2023-04-07 | 苏州至赛信息科技有限公司 | 设备处理数据包的仿真方法、装置和计算机设备 |
| CN113079128B (zh) * | 2020-01-06 | 2022-10-18 | 中国移动通信集团安徽有限公司 | 信息封堵方法、装置、计算设备及计算机存储介质 |
| CN111711635B (zh) * | 2020-06-23 | 2024-03-26 | 平安银行股份有限公司 | 防火墙开墙方法、装置、计算机设备及存储介质 |
| CN111935117B (zh) * | 2020-07-30 | 2023-01-31 | 平安科技(深圳)有限公司 | 防火墙策略的下发方法、装置、电子设备及存储介质 |
| CN111835794B (zh) * | 2020-09-17 | 2021-01-05 | 腾讯科技(深圳)有限公司 | 防火墙策略控制方法、装置、电子设备及存储介质 |
| CN112636953A (zh) * | 2020-12-07 | 2021-04-09 | 杭州迪普科技股份有限公司 | 一种策略命令下发方法、装置及电子设备 |
| CN116094929B (zh) * | 2023-03-06 | 2023-06-27 | 天津金城银行股份有限公司 | 配置下发方法、装置、电子设备及计算机可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1620020A (zh) * | 2003-11-20 | 2005-05-25 | 国际商业机器公司 | 通过连接到特定交换器端口而自动配置网络设备 |
| CN101068161A (zh) * | 2007-06-26 | 2007-11-07 | 中兴通讯股份有限公司 | 一种动态生成网络设备配置策略组的方法 |
| CN101582900A (zh) * | 2009-06-24 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 防火墙安全策略配置方法及管理装置 |
| CN102055735A (zh) * | 2009-11-04 | 2011-05-11 | 中国移动通信集团山东有限公司 | 防火墙访问控制策略的配置方法及装置 |
-
2012
- 2012-12-28 CN CN201210586179.4A patent/CN103023707B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1620020A (zh) * | 2003-11-20 | 2005-05-25 | 国际商业机器公司 | 通过连接到特定交换器端口而自动配置网络设备 |
| CN101068161A (zh) * | 2007-06-26 | 2007-11-07 | 中兴通讯股份有限公司 | 一种动态生成网络设备配置策略组的方法 |
| CN101582900A (zh) * | 2009-06-24 | 2009-11-18 | 成都市华为赛门铁克科技有限公司 | 防火墙安全策略配置方法及管理装置 |
| CN102055735A (zh) * | 2009-11-04 | 2011-05-11 | 中国移动通信集团山东有限公司 | 防火墙访问控制策略的配置方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103023707A (zh) | 2013-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103023707B (zh) | 一种策略配置的方法、管理服务器以及网络系统 | |
| US20170180456A1 (en) | Method, device, and system for controlling network device auto-provisioning | |
| US10104014B2 (en) | Data transferring system, data transferring method, controller, controlling method, and non-transitory computer readable storage medium | |
| CN107733795B (zh) | 以太网虚拟私有网络evpn与公网互通方法及其装置 | |
| CN111010329B (zh) | 一种报文传输方法及装置 | |
| CN105162704A (zh) | Overlay网络中组播复制的方法及装置 | |
| CN112953774B (zh) | 一种网络拓扑生成方法、系统、设备及计算机存储介质 | |
| CN110798403A (zh) | 通信方法、通信设备和通信系统 | |
| CN107645402A (zh) | 一种路由管理方法和装置 | |
| CN102647328B (zh) | 一种标签分配方法、设备与系统 | |
| CN107733727B (zh) | 一种零配置方法、装置及设备 | |
| US20200336385A1 (en) | BGP Logical Topology Generation Method, and Device | |
| CN110311828B (zh) | 一种网络验证的方法、装置、计算机存储介质及电子设备 | |
| CN111800338A (zh) | 跨as的evpn路由交互方法及装置 | |
| CN105338127A (zh) | 媒体接入控制mac地址表更新方法、交换机及系统 | |
| CN105991428B (zh) | 交换机路由冲突的处理方法及装置 | |
| WO2020146679A1 (en) | Software defined access fabric without subnet restriction to a virtual network | |
| CN116319296A (zh) | 一种跨sd-wan融合部署数据中心的方法及装置 | |
| CN114844855A (zh) | 一种网络互通访问策略的生成方法和装置 | |
| CN110233799A (zh) | 一种端口配置的方法和通信设备 | |
| CN104158742A (zh) | 一种转发表项的生成方法和设备 | |
| CN103138987A (zh) | 一种路由管理的方法及装置 | |
| CN110896377B (zh) | 一种ospf路由控制方法及装置 | |
| CN114124780B (zh) | 路由发布方法、装置、电子设备及存储介质 | |
| CN110351193B (zh) | 一种路由更新方法及装置、计算机装置及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |