CN111669293B - Sd-wan系统及网络终端设备的远程管理方法和装置 - Google Patents
Sd-wan系统及网络终端设备的远程管理方法和装置 Download PDFInfo
- Publication number
- CN111669293B CN111669293B CN202010564337.0A CN202010564337A CN111669293B CN 111669293 B CN111669293 B CN 111669293B CN 202010564337 A CN202010564337 A CN 202010564337A CN 111669293 B CN111669293 B CN 111669293B
- Authority
- CN
- China
- Prior art keywords
- remote
- module
- network terminal
- debugging module
- virtual interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007726 management method Methods 0.000 title claims abstract description 95
- 230000004044 response Effects 0.000 claims abstract description 48
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 42
- 238000000034 method Methods 0.000 claims abstract description 20
- 238000004590 computer program Methods 0.000 claims description 11
- 238000012795 verification Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种SD‑WAN系统及网络终端设备的远程管理方法和装置。该方法包括:与第一远程调试模块建立双向SSL连接;发送网络终端设备的标识信息至第一远程调试模块;接收第一虚拟接口地址信息;创建第一虚拟接口,并根据第一虚拟接口地址信息为第一虚拟接口分配地址;接收第一远程调试模块发送的远程请求报文;将远程请求报文写入第一虚拟接口,以使网络终端设备的远程服务响应远程请求报文;从第一虚拟接口获取远程服务写入的远程响应报文;发送远程响应报文至第一远程调试模块。通过本发明,能够基于SSL连接实现控制器对网络终端设备的远程管理,无需采用SSH反向代理技术,避免出现超时中断。
Description
技术领域
本发明涉及SD-WAN远程管理技术领域,尤其涉及一种SD-WAN系统及网络终端设备的远程管理方法和装置。
背景技术
SD-WAN,即软件定义的广域网络,是将SDN技术应用到广域网场景中所形成的一种服务,这种服务用于连接广阔地理范围的企业网络、数据中心、互联网应用及云服务。在SD-WAN场景下,网络包括控制器和若干SD-WAN CPE设备(在SD-WAN产品中安装在客户侧的网络终端设备),如何有效的对在线的SD-WAN CPE设备进行远程管理,是对整体网络发现故障(TroubleShooting),进行快速排障的重要手段。
目前,控制器对SD-WAN CPE设备的远程管理,大多采用SSH反向代理技术,而在SSH反向代理技术中,基于SSH反向代理技术自身框架的特点,SSH拨号通常会设置超时中断机制,在该机制下,当发生超时就会出现中断,进而对远程管理产生影响。此外,基于SSH反向代理技术应用环境的特点,会在一些对安全要求高的场景下受限,限制控制器对SD-WANCPE设备进行远程管理。
发明内容
本发明的目的是提供一种SD-WAN系统及网络终端设备的远程管理方法、装置、计算机设备和可读存储介质,用于解决现有技术中的上述技术问题。
一方面,为实现上述目的,本发明提供了一种SD-WAN网络终端设备的远程管理方法。
该SD-WAN网络终端设备的远程管理方法包括:与第一远程调试模块建立双向SSL连接,其中,所述第一远程调试模块设置于控制器;发送网络终端设备的标识信息至所述第一远程调试模块,其中,所述第一远程调试模块用于根据所述标识信息向所述网络终端设备分配第一虚拟接口地址信息;接收所述第一虚拟接口地址信息;创建第一虚拟接口,并根据所述第一虚拟接口地址信息为所述第一虚拟接口分配地址;接收所述第一远程调试模块发送的远程请求报文;将所述远程请求报文写入所述第一虚拟接口,以使所述网络终端设备的远程服务响应所述远程请求报文;从所述第一虚拟接口获取所述远程服务写入的远程响应报文;发送所述远程响应报文至所述第一远程调试模块。
进一步地,与第一远程调试模块建立双向SSL连接的步骤包括:基于所述网络终端设备的配置代理模块的启动命令启动,其中,所述配置代理模块用于在接收到所述控制器的配置管理模块下发的启动远程代理模块命令时,生成所述启动命令,所述启动远程代理模块命令包括所述第一远程调试模块的公网连接信息;经由所述公网连接信息标识的连接入口,与所述第一远程调试模块建立双向SSL连接。
进一步地,与所述第一远程调试模块建立双向SSL连接的步骤包括:获取预置的所述网络终端设备的调试证书;以及使用所述调试证书与所述第一远程调试模块建立双向SSL连接。
进一步地,所述SD-WAN网络终端设备的远程管理方法还包括:基于所述配置代理模块的关闭命令关闭,其中,所述配置代理模块还用于在接收到所述配置管理模块下发的关闭远程代理模块命令时,生成所述关闭命令。
进一步地,所述SD-WAN网络终端设备的远程管理方法还包括:向所述第一远程调试模块发送保活报文。
另一方面,为实现上述目的,本发明提供了又一种SD-WAN网络终端设备的远程管理方法。
该SD-WAN网络终端设备的远程管理方法包括:与第二远程调试模块建立双向SSL连接,其中,所述第二远程调试模块设置于网络终端设备;接收所述第二远程调试模块发送的所述网络终端设备的标识信息;根据所述标识信息向所述网络终端设备分配第一虚拟接口地址信息;发送所述第一虚拟接口地址信息至所述第二远程调试模块,其中,所述第二远程调试模块还用于创建第一虚拟接口,并根据所述第一虚拟接口地址信息为所述第一虚拟接口分配地址;发送远程请求报文至所述第二远程调试模块,其中,所述第二远程调试模块还用于将所述远程请求报文写入所述第一虚拟接口,以使所述网络终端设备的远程服务响应所述远程请求报文,还用于从所述第一虚拟接口获取所述远程服务写入的远程响应报文;接收所述第二远程调试模块发送的所述远程响应报文。
进一步地,与第二远程调试模块建立双向SSL连接的步骤包括:接收所述第二远程调试模块发送的SSL连接请求,其中,所述SSL连接请求包括所述网络终端设备的调试证书;对所述调试证书进行验证,并在验证通过后,与所述第二远程调试模块建立双向SSL连接。
又一方面,为实现上述目的,本发明提供了一种SD-WAN系统。
该SD-WAN系统包括控制器和网络终端设备,其中,所述控制器包括第一远程调试模块和远程代理模块,所述网络终端设备包括第二远程调试模块和远程服务模块,所述第二远程调试模块用于与第一远程调试模块建立双向SSL连接,发送网络终端设备的标识信息至所述第一远程调试模块,所述第一远程调试模块用于根据所述标识信息向所述网络终端设备分配第一虚拟接口地址信息,并将所述第一虚拟接口地址信息发送至所述第二远程调试模块;所述第二远程调试模块还用于创建第一虚拟接口,并根据所述第一虚拟接口地址信息为所述第一虚拟接口分配地址;所述远程代理模块用于生成远程请求报文并写入第二虚拟接口;所述第一远程调试模块还用于从所述第二虚拟接口获取所述远程请求报文,并发送至所述第二远程调试模块;所述第二远程调试模块还用于将所述远程请求报文写入所述第一虚拟接口;所述远程服务模块用于从所述第一虚拟接口获取所述远程请求报文进行响应,并将远程响应报文写入所述第一虚拟接口;所述第二远程调试模块还用于从所述第一虚拟接口获取所述远程响应报文并发送至所述第一远程调试模块;所述第一远程调试模块用于将所述远程响应报文写入所述第二虚拟接口;所述远程代理模块还用于从所述第二虚拟接口获取所述远程响应报文。
又一方面,为实现上述目的,本发明还提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,该处理器执行计算机程序时实现上述方法的步骤。
又一方面,为实现上述目的,本发明还提供计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
本发明提供的SD-WAN系统及网络终端设备的远程管理方法和装置,通过在网络终端设备端和控制器端分别设置远程调试模块来建立双向SSL连接,然后网络终端设备一端基于该SSL连接,将网络终端设备的标识信息发送至控制器一端的远程调试模块,以根据标识信息向网络终端设备分配虚拟接口地址信息,并经基于该SSL连接,将分配的虚拟接口地址信息发送至网络终端设备端的远程调试模块,再由网络终端设备端的远程调试模块根据接收到的虚拟接口地址信息创建虚拟接口,并为其分配地址,在此基础上,当用户从控制器一端远程访问网络终端设备上的服务时,网络终端设备端的远程调试模块接收远程请求报文,将远程请求报文写入上述创建的虚拟接口,以使网络终端设备的远程服务响应远程请求报文,远程服务响应远程请求报文后将远程响应报文写入该虚拟接口,网络终端设备端的远程调试模块从虚拟接口中获取该远程响应报文,并经由SSL连接发送至控制器端的远程调试模块,使得控制器端获得服务响应。通过本发明,基于控制器与网络终端设备之间建立的双向SSL连接,实现控制器对网络终端设备的远程管理,无需采用SSH反向代理技术,从而也避免了基于SSH反向代理技术进行远程管理时出现的超时中断问题。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为本发明实施例一提供的SD-WAN网络终端设备的远程管理方法的流程图;
图2为本发明实施例二提供的SD-WAN网络终端设备的远程管理方法的流程图;
图3为本发明实施例三提供的SD-WAN系统的框图;
图4为本发明实施例三提供的SD-WAN系统的示意图;
图5为本发明实施例四提供的计算机设备的硬件结构图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决现有技术中控制器对SD-WAN网络终端设备的远程管理过程存在超时中断的问题,本发明提出了一种SD-WAN系统及网络终端设备的远程管理方法和装置,在本发明提供的SD-WAN网络终端设备的远程管理方法中,基于控制器与网络终端设备之间建立的双向SSL连接,实现控制器对网络终端设备的远程管理,具体地,控制器一侧的远程调试模块(也即第一远程调试模块)与网络终端设备一侧的远程调试模块(也即第二远程调试模块)之间建立双向SSL连接,基于该SSL连接通道,第二远程调试模块将网络终端设备的标识信息发送至第一远程调试模块,第一远程调试模块根据标识信息向网络终端设备分配第一虚拟接口地址信息,第二远程调试模块接收该接收第一虚拟接口地址信息,并创建第一虚拟接口,根据第一虚拟接口地址信息为第一虚拟接口分配地址;用户通过控制器对网络终端设备进行远程管理时,第一远程调试模块将控制器一端形成的远程请求报文经SSL连接发送至第二远程调试模块,第二远程调试模块将该远程请求报文写入第一虚拟接口,从而使得该远程请求报文能够到达网络终端设备的远程服务,进而远程服务响应该远程请求,将远程响应报文发送至第一虚拟接口,最终第二远程调试模块从第一虚拟接口获取远程响应报文,并发送至第一远程调试模块,完成控制器对网络终端设备的远程管理。
从中可以看出,本发明基于控制器与网络终端设备之间建立的双向SSL连接,实现控制器对网络终端设备的远程管理,无需采用SSH反向代理技术,从而也避免了基于SSH反向代理技术进行远程管理时出现的超时中断问题。此外,基于SSL协议的数据通道,由于SSL协议应用场景广泛,使得本发明提供的SD-WAN网络终端设备的远程管理方法的使用场景受限小。
关于本发明提供的SD-WAN系统及网络终端设备的远程管理方法、装置、计算机设备和可读存储介质的具体实施例,将在下文中详细描述。
实施例一
本发明实施例一提供了一种SD-WAN网络终端设备的远程管理方法,SD-WAN系统包括控制器和若干网络终端设备,网络终端设备上设置有若干服务,通过该方法,能够实现在控制器端基于SSL连接,直接远程访问网络终端设备上开放的上述服务,该实施例提供的SD-WAN网络终端设备的远程管理方法的执行主体为设置于网络终端设备一端的远程调试模块,为了与设置于控制器一端的远程调试模块进行区分,在本发明中,将设置于控制器一端的远程调试模块命名为第一远程调试模块,将设置于络终端设备一端的远程调试模块命名为第二远程调试模块,该处的“第一”和“第二”仅用于起标识作用,不具有次序上的限定。具体地,图1为本发明实施例一提供的SD-WAN网络终端设备的远程管理方法的流程图,如图1所示,该实施例提供的SD-WAN网络终端设备的远程管理方法包括如下的步骤S101至步骤S108。
步骤S101:与第一远程调试模块建立双向SSL连接。
首先,第二远程调试模块与第一远程调试模块建立双向SSL连接。
可选地,在网络终端设备上,预置调试证书,基于该调试证书,实现第二远程调试模块与第一远程调试模块之间的SSL连接。具体地,该步骤S101在与第一远程调试模块建立双向SSL连接时,具体执行的步骤包括:获取预置的网络终端设备的调试证书;以及使用调试证书与第一远程调试模块建立双向SSL连接。通过设置调试证书建立双向SSL连接,可提升远程管理的安全性,同时,不同的网络终端设备上设置不同的调试证书,便于控制器一端的第一远程调试模块对不同网络终端上的第二远程调试模块的远程管理。
其中,可选地,调试证书为预置在网络终端设备内的SSL客户端证书。在与第一远程调试模块建立双向SSL连接时使用,在SSL连接建立过程中,网络终端设备提供其调试证书至控制器,控制器一端的第一远程调试模块验证该调试证书是否为信任的机构颁发,数字签名是否有效,调试证书是否在有效期内,是否被吊销等。提供调试证书主要用来验证网络终端设备的身份,从而确保网络终端设备是可信的终端设备,而非恶意设备接入。
步骤S102:发送网络终端设备的标识信息至第一远程调试模块。
其中,第一远程调试模块用于根据标识信息向网络终端设备分配第一虚拟接口地址信息。
当第二远程调试块与第一远程调试模块之间建立SSL连接之后,基于该连接,第二远程调试模块将网络终端设备的标识信息发送至第一远程调试模块,具体地,该标识信息可以为网络终端设备的序列号、mac地址等唯一标识网络终端设备的信息。第一远程调试模块接收到网络终端设备的标识信息后,根据该标识信息向网络终端设备分配第一虚拟接口地址信息,该虚拟接口可以为tun接口,虚拟接口地址信息为tun接口的ip地址,本发明将为网络终端设备分配的虚拟接口地址信息命名为第一虚拟接口地址信息。
步骤S103:接收第一虚拟接口地址信息。
步骤S104:创建第一虚拟接口,并根据第一虚拟接口地址信息为第一虚拟接口分配地址。
第二远程调试模块接收第一虚拟接口地址信息后,创建虚拟接口,本发明将第二远程调试模块在网络终端设备上创建的虚拟接口命名为第一虚拟接口。创建虚拟接口后,将第一虚拟接口地址信息分配给第一虚拟接口。
步骤S105:接收第一远程调试模块发送的远程请求报文。
当用户通过控制器远程访问网络终端设备上开放的服务时,第一远程调试模块将对应的远程请求报文发送至第二远程调试模块,第二远程调试模块接收该远程请求报文。
步骤S106:将远程请求报文写入第一虚拟接口,以使网络终端设备的远程服务响应远程请求报文。
第二远程调试模块接收到上述远程请求报文后,将其写入第一虚拟接口,入协议栈,最终到达网络终端设备本地的远程服务,远程服务对给远程请求报文进行响应,并将远程响应报文发送至第一虚拟接口。
步骤S107:从第一虚拟接口获取远程服务写入的远程响应报文。
步骤S108:发送远程响应报文至第一远程调试模块。
第二远程调试模块从第一虚拟接口获取到远程响应报文后,经由SSL连接发送至第一远程调试模块,使得控制器一端得到远程请求的响应。
在该实施例提供的SD-WAN网络终端设备的远程管理方法中,通过在网络终端设备端和控制器端分别设置远程调试模块来建立双向SSL连接,然后网络终端设备一端基于该SSL连接,将网络终端设备的标识信息发送至控制器一端的远程调试模块,以根据标识信息向网络终端设备分配虚拟接口地址信息,并经基于该SSL连接,将分配的虚拟接口地址信息发送至网络终端设备端的远程调试模块,再由网络终端设备端的远程调试模块根据接收到的虚拟接口地址信息创建虚拟接口,并为其分配地址,在此基础上,当用户从控制器一端远程访问网络终端设备上的服务时,网络终端设备端的远程调试模块接收远程请求报文,将远程请求报文写入上述创建的虚拟接口,以使网络终端设备的远程服务响应远程请求报文,远程服务响应远程请求报文后将远程响应报文写入该虚拟接口,网络终端设备端的远程调试模块从虚拟接口中获取该远程响应报文,并经由SSL连接发送至控制器端的远程调试模块,使得控制器端获得服务响应。采用该实施例提供的SD-WAN网络终端设备的远程管理方法,由于SD-WAN场景下,网络终端设备与控制器有着天然的联系,因此能够利用网络终端设备到控制器的SSL连接进行反向连接管理,具体地,基于控制器与网络终端设备之间建立的双向SSL连接,实现控制器对网络终端设备的远程管理,无需采用SSH反向代理技术,从而也避免了基于SSH反向代理技术进行远程管理时出现的超时中断问题,以及限制控制器对网络终端设备进行远程管理的问题。
具体而言,发明人研究发现,在SD-WAN系统的实际应用中,网络终端设备与控制器在部署上是分开的,控制器一般部署于公网,网络终端设备部署于用户内网中,网络终端设备与控制器之间的数据和命令的传输涉及内网与公网之间的交互。基于SSH反向代理技术的数据传输,需要网络终端设备开放22端口,而针对该端口的访问通常涉及的是内网的管理需求,为了减小安全隐患,在一些应用场景下,从网络终端设备发起的SSH连接,如果在一段时间内不做数据传输,会被用户网络中的网关防火墙或其他设备认为是空闲连接而主动切断,因此,基于SSH反向代理技术进行远程管理时,会出现超时中断的问题;在另一些对网络安全要求更高的应用场景下,会禁止开放22端口,此时,基于SSH反向代理技术进行远程管理会受限。而本申请实现的是通过双向SSL连接实现控制器对网络终端设备的远程管理,基于SSL的数据传输依靠的是443端口,针对该端口的访问通常涉及的是web业务服务,用户网络通常不会对其进行切断,该端口通常也不会禁止,因而利用网络终端设备到控制器的SSL连接进行反向连接管理,比较灵活、开放,能够避免基于SSH反向代理技术进行远程管理时出现的超时中断问题和受限问题。
可选地,在一种实施例中,与第一远程调试模块建立双向SSL连接的步骤具体包括:基于网络终端设备的配置代理模块的启动命令启动,其中,配置代理模块用于在接收到控制器的配置管理模块下发的启动远程调试模块命令时,生成启动命令,启动远程调试模块命令包括第一远程调试模块的公网连接信息;经由公网连接信息标识的连接入口,与第一远程调试模块建立双向SSL连接。
具体而言,网络终端设备设置有配置代理模块。控制器一端设置有配置管理模块,基于配置代理模块和配置管理模块实现控制器与网络终端设备之间的控制通道。控制器的配置管理模块响应访问网络终端设备上服务的请求,向网络终端设备的配置代理模块下发的启动远程调试模块命令,该配置代理模块接收到启动远程调试模块命令后,生成启动第二远程调试模块的启动命令,第二远程调试模块基于该启动命令启动。其中,配置管理模块向配置代理模块下发的启动远程调试模块命令包括第一远程调试模块的公网连接信息,从而第二远程调试模块在启动后,能够经由公网连接信息所标识的连接入口,访问至第一远程调试模块,进而与第一远程调试模块建立双向SSL连接。
可选地,在一种实施例中,SD-WAN网络终端设备的远程管理方法还包括:基于配置代理模块的关闭命令关闭,其中,配置代理模块还用于在接收到配置管理模块下发的关闭远程调试模块命令时,生成关闭命令。
具体而言,控制器的配置管理模块响应断开与网络终端设备远程连接的请求,向网络终端设备的配置代理模块下发的关闭远程调试模块命令,该配置代理模块接收到关闭远程调试模块命令后,生成关闭第二远程调试模块的关闭命令,第二远程调试模块基于该关闭命令关闭。
可选地,在一种实施例中,SD-WAN网络终端设备的远程管理方法还包括:向第一远程调试模块发送保活报文。
具体而言,第二远程调试模块可以以预定时间间隔向第一远程调试模块发送保活报文,以保活第一远程调试模块与第二远程调试模块之间的SSL连接。
实施例二
本发明实施例二提供了一种SD-WAN网络终端设备的远程管理方法,SD-WAN系统包括控制器和若干网络终端设备,网络终端设备上设置有若干服务,通过该方法,能够实现在控制器端基于SSL连接,直接远程访问网络终端设备上开放的上述服务,该实施例提供的SD-WAN网络终端设备的远程管理方法的执行主体为设置于控制器一端的远程调试模块,也即第一远程调试模块,设置于网络终端设备一端的远程调试模块为第二远程调试模块。具体地,图2为本发明实施例二提供的SD-WAN网络终端设备的远程管理方法的流程图,如图2所示,该实施例提供的SD-WAN网络终端设备的远程管理方法包括如下的步骤S201至步骤S206。
步骤S201:与第二远程调试模块建立双向SSL连接。
其中,第二远程调试模块设置于网络终端设备。
可选地,在网络终端设备上,预置调试证书,基于该调试证书,实现第二远程调试模块与第一远程调试模块之间的SSL连接。具体地,该步骤S101在与第一远程调试模块建立双向SSL连接时,具体执行的步骤包括:接收第二远程调试模块发送的SSL连接请求,其中,SSL连接请求包括网络终端设备的调试证书;对调试证书进行验证,并在验证通过后,与第二远程调试模块建立双向SSL连接。通过设置调试证书建立双向SSL连接,可提升远程管理的安全性,同时,不同的网络终端上设置不同的调试证书,便于控制器一端的第一远程调试模块对不同网络终端上的第二远程调试模块的远程管理。
步骤S202:接收第二远程调试模块发送的网络终端设备的标识信息。
当第二远程调试模块与第一远程调试模块之间建立SSL连接之后,基于该连接,第二远程调试模块将网络终端设备的标识信息发送至第一远程调试模块,具体地,该标识信息可以为网络终端设备的序列号、mac地址等唯一标识网络终端设备的信息。
步骤S203:根据标识信息向网络终端设备分配第一虚拟接口地址信息。
第一远程调试模块接收到网络终端设备的标识信息后,根据该标识信息向网络终端设备分配第一虚拟接口地址信息,该虚拟接口可以为tun接口,虚拟接口地址信息为tun接口的ip地址。
步骤S204:发送第一虚拟接口地址信息至第二远程调试模块。
第二远程调试模块接收第一虚拟接口地址信息后,创建虚第一拟接口,并根据第一虚拟接口地址信息为第一虚拟接口分配地址。
步骤S205:发送远程请求报文至第二远程调试模块。
当用户通过控制器远程访问网络终端设备上开放的服务时,第一远程调试模块将对应的远程请求报文发送至第二远程调试模块,第二远程调试模块接收该远程请求报文。第二远程调试模块还用于将远程请求报文写入第一虚拟接口,以使网络终端设备的远程服务响应远程请求报文,还用于从第一虚拟接口获取远程服务写入的远程响应报文。
步骤S206:接收第二远程调试模块发送的远程响应报文。
第二远程调试模块获取到远程响应报文后,经由SSL连接发送至第一远程调试模块,使得控制器一端得到远程请求的响应。
在该实施例提供的SD-WAN网络终端设备的远程管理方法中,通过在网络终端设备端和控制器端分别设置远程调试模块来建立双向SSL连接,然后网络终端设备一端基于该SSL连接,将网络终端设备的标识信息发送至控制器一端的远程调试模块,以根据标识信息向网络终端设备分配虚拟接口地址信息,并经基于该SSL连接,将分配的虚拟接口地址信息发送至网络终端设备端的远程调试模块,再由网络终端设备端的远程调试模块根据接收到的虚拟接口地址信息创建虚拟接口,并为其分配地址,在此基础上,当用户从控制器一端远程访问网络终端设备上的服务时,网络终端设备端的远程调试模块接收远程请求报文,将远程请求报文写入上述创建的虚拟接口,以使网络终端设备的远程服务响应远程请求报文,远程服务响应远程请求报文后将远程响应报文写入该虚拟接口,网络终端设备端的远程调试模块从虚拟接口中获取该远程响应报文,并经由SSL连接发送至控制器端的远程调试模块,使得控制器端获得服务响应。采用该实施例提供的SD-WAN网络终端设备的远程管理方法,由于SD-WAN场景下,网络终端设备与控制器有着天然的联系,因此能够利用网络终端设备到控制器的SSL连接进行反向连接管理,具体地,基于控制器与网络终端设备之间建立的双向SSL连接,实现控制器对网络终端设备的远程管理,无需采用SSH反向代理技术,从而也避免了基于SSH反向代理技术进行远程管理时出现的超时中断问题。
可选地,在一种实施例中,SD-WAN网络终端设备的远程管理方法还包括:接收第二远程调试模块发送的保活报文。
具体而言,第二远程调试模块可以以预定时间间隔向第一远程调试模块发送保活报文,以保活第一远程调试模块与第二远程调试模块之间的SSL连接。
实施例三
对应于上述实施例一或实施例二,本发明实施例三提供了一种SD-WAN系统,相关技术特征和相应地技术效果可参照上述实施例一和实施例二。图3为本发明实施例三提供的SD-WAN系统的框图,如图3所示,SD-WAN系统包括控制器301和若干网络终端设备302,其中,控制器301包括第一远程调试模块3011和远程代理模块3012,网络终端设备302包括第二远程调试模块3021和远程服务模块3022。
具体地,第二远程调试模块3021用于与第一远程调试模块3011建立双向SSL连接,发送网络终端设备302的标识信息至第一远程调试模块3011;第一远程调试模块3011用于根据标识信息向网络终端设备302分配第一虚拟接口地址信息,并将第一虚拟接口地址信息发送至第二远程调试模块3021;第二远程调试模块3021还用于创建第一虚拟接口,并根据第一虚拟接口地址信息为第一虚拟接口分配地址;远程代理模块3012用于生成远程请求报文并写入第二虚拟接口;第一远程调试模块3011还用于从第二虚拟接口获取远程请求报文,并发送至第二远程调试模块3021;第二远程调试模块3021还用于将远程请求报文写入第一虚拟接口;远程服务模块3022用于从第一虚拟接口获取远程请求报文进行响应,并将远程响应报文写入第一虚拟接口;第二远程调试模块3021还用于从第一虚拟接口获取远程响应报文并发送至第一远程调试模块3011;第一远程调试模块3011用于将远程响应报文写入第二虚拟接口;远程代理模块3012还用于从第二虚拟接口获取远程响应报文。
图4为本发明实施例三提供的SD-WAN系统工作的示意图,如图4所示,控制器301还包括配置管理模块3013,网络终端设备302还包括配置代理模块3023。
具体地,配置管理模块3013(也即Config Manager模块)运行在控制器301侧,负责对网络终端设备302(也即CPE设备)进行认证注册管理、配置管理,以及网络数据状态收集,诸如配置CPE设备IP,启动第二远程调试模块3021(位于CPE设备一端的Debug Agent模块)等。
配置代理模块3023(也即Config agent模块)运行在CPE设备中,负责接受配置管理模块3013的控制,并执行最终的控制动作,诸如配置接口IP,启动第二远程调试模块3021等。
配置管理模块3013和配置代理模块3023一起组成了SD-WAN系统中的控制通道,从而实现控制器301对网络终端设备302的配置进行统一认证、配置管理、网络状态数据采集。
Ssh服务模块、telnet服务模块以及Icmp服务模块,均为在网络终端设备302上开放的若干远程服务模块3022,用户可以通过这些服务对网络终端设备302直接进行管理,通过本发明,实现通过控制器301直接访问网络终端设备302上的这些服务,从而到达远程管理的目的。
SD-WAN系统中的远程调试模块包括两部分,一部分为第一远程调试模块3011,运行在控制器301侧,一部分为第二远程调试模块3021,运行在远程终端设备302侧。
第二远程调试模块3021主要负责与第一远程调试模块3011建立SSL连接,同时接收第一远程调试模块3011的配置信息,配置tun接口IP,保活SSL连接,为控制器301能够远程访问网络终端设备302上诸如Ssh服务模块、telnet服务模块以及Icmp服务模块等远程服务模块3022提供了安全的数据连接通道。
第一远程调试模块3011建主要负责根据网络终端设备302的序列号,分配tun接口IP。
该实施例提供的SD-WAN系统的主要控制流程描述如下。
1.远程访问开启:
1)控制器301的配置管理模块3013对网络终端设备302下发启动第二远程调试模块3021控制命令,命令内容至少包含第一远程调试模块3011的公网服务ip和端口;
2)网络终端设备302的配置代理模块3023启动第二远程调试模块3021;
3)第二远程调试模块3021使用自己的调试证书与第一远程调试模块3011建立双向SSL连接,并发送网络终端设备302的序列号;
4)第一远程调试模块3011发送为该第二远程调试模块3021分配的tun接口ip(基于cpe序列号);
5)第二远程调试模块3021创建tun接口,并分配tun ip。
2.远程访问(以telnet服务为例)
1)通过控制器管理页面的telnet代理模块,发起向网络终端设备302tunip的telnet访问;
2)请求报文发送至tun0,并被第一远程调试模块3011接收,通过第二远程调试模块3021与第一远程调试模块3011之间的SSL连接发送给第二远程调试模块3021;
3)第二远程调试模块3021将报文写入tun接口(tun_cpe_dbg),入协议栈,最终达到本地的telnet服务模块。
4)telnet服务模块响应服务请求,响应报文被发送至tun_cpe_dbg接口。
5)响应报文通过SSL连接被发送至第一远程调试模块3011
6)第一远程调试模块3011将响应报文写入tun0,最终到达telnet代理模块。
3.远程访问关闭:
1)控制器301的配置管理模块3013对网络终端设备302下发关闭第二远程调试模块3021控制命令。
2)网络终端设备302的配置代理模块3023关闭第二远程调试模块3021。
实施例四
本实施例四还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图4所示,本实施例的计算机设备01至少包括但不限于:可通过系统总线相互通信连接的存储器011、处理器012,如图4所示。需要指出的是,图4仅示出了具有组件存储器011和处理器012的计算机设备01,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器011(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器011可以是计算机设备01的内部存储单元,例如该计算机设备01的硬盘或内存。在另一些实施例中,存储器011也可以是计算机设备01的外部存储设备,例如该计算机设备01上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器011还可以既包括计算机设备01的内部存储单元也包括其外部存储设备。本实施例中,存储器011通常用于存储安装于计算机设备01的操作系统和各类应用软件,例如实现网络终端设备的远程管理方法的程序代码等。此外,存储器011还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器012在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器012通常用于控制计算机设备01的总体操作。本实施例中,处理器012用于运行存储器011中存储的程序代码或者处理数据,例如SD-WAN网络终端设备的远程管理方法等。
实施例五
本实施例五还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储实现网络终端设备的远程管理方法的计算机程度,被处理器执行时实现实施例一或二的SD-WAN络终端设备的远程管理方法。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种SD-WAN网络终端设备的远程管理方法,其特征在于,包括:
与第一远程调试模块建立双向SSL连接,其中,所述第一远程调试模块设置于控制器;
发送网络终端设备的标识信息至所述第一远程调试模块,其中,所述第一远程调试模块用于根据所述标识信息向所述网络终端设备分配第一虚拟接口地址信息;
接收所述第一虚拟接口地址信息;
创建第一虚拟接口,并根据所述第一虚拟接口地址信息为所述第一虚拟接口分配地址;
接收所述第一远程调试模块发送的远程请求报文;
将所述远程请求报文写入所述第一虚拟接口,以使所述网络终端设备的远程服务响应所述远程请求报文;
从所述第一虚拟接口获取所述远程服务写入的远程响应报文;
发送所述远程响应报文至所述第一远程调试模块。
2.根据权利要求1所述的SD-WAN网络终端设备的远程管理方法,其特征在于,与第一远程调试模块建立双向SSL连接的步骤包括:
基于所述网络终端设备的配置代理模块的启动命令启动,其中,所述配置代理模块用于在接收到所述控制器的配置管理模块下发的启动远程代理模块命令时,生成所述启动命令,所述启动远程代理模块命令包括所述第一远程调试模块的公网连接信息;
经由所述公网连接信息标识的连接入口,与所述第一远程调试模块建立双向SSL连接。
3.根据权利要求1所述的SD-WAN网络终端设备的远程管理方法,与所述第一远程调试模块建立双向SSL连接的步骤包括:
获取预置的所述网络终端设备的调试证书;以及
使用所述调试证书与所述第一远程调试模块建立双向SSL连接。
4.根据权利要求2所述的SD-WAN网络终端设备的远程管理方法,其特征在于,所述SD-WAN网络终端设备的远程管理方法还包括:
基于所述配置代理模块的关闭命令关闭,其中,所述配置代理模块还用于在接收到所述配置管理模块下发的关闭远程代理模块命令时,生成所述关闭命令。
5.根据权利要求1所述的SD-WAN网络终端设备的远程管理方法,其特征在于,所述SD-WAN网络终端设备的远程管理方法还包括:
向所述第一远程调试模块发送保活报文。
6.一种SD-WAN网络终端设备的远程管理方法,其特征在于,包括:
与第二远程调试模块建立双向SSL连接,其中,所述第二远程调试模块设置于网络终端设备;
接收所述第二远程调试模块发送的所述网络终端设备的标识信息;
根据所述标识信息向所述网络终端设备分配第一虚拟接口地址信息;
发送所述第一虚拟接口地址信息至所述第二远程调试模块,其中,所述第二远程调试模块还用于创建第一虚拟接口,并根据所述第一虚拟接口地址信息为所述第一虚拟接口分配地址;
发送远程请求报文至所述第二远程调试模块,其中,所述第二远程调试模块还用于将所述远程请求报文写入所述第一虚拟接口,以使所述网络终端设备的远程服务响应所述远程请求报文,还用于从所述第一虚拟接口获取所述远程服务写入的远程响应报文;
接收所述第二远程调试模块发送的所述远程响应报文。
7.根据权利要求6所述的SD-WAN网络终端设备的远程管理方法,其特征在于,与第二远程调试模块建立双向SSL连接的步骤包括:
接收所述第二远程调试模块发送的SSL连接请求,其中,所述SSL连接请求包括所述网络终端设备的调试证书;
对所述调试证书进行验证,并在验证通过后,与所述第二远程调试模块建立双向SSL连接。
8.一种SD-WAN系统,其特征在于,包括控制器和网络终端设备,其中,所述控制器包括第一远程调试模块和远程代理模块,所述网络终端设备包括第二远程调试模块和远程服务模块,
所述第二远程调试模块用于与第一远程调试模块建立双向SSL连接,发送网络终端设备的标识信息至所述第一远程调试模块,
所述第一远程调试模块用于根据所述标识信息向所述网络终端设备分配第一虚拟接口地址信息,并将所述第一虚拟接口地址信息发送至所述第二远程调试模块;
所述第二远程调试模块还用于创建第一虚拟接口,并根据所述第一虚拟接口地址信息为所述第一虚拟接口分配地址;
所述远程代理模块用于生成远程请求报文并写入第二虚拟接口;
所述第一远程调试模块还用于从所述第二虚拟接口获取所述远程请求报文,并发送至所述第二远程调试模块;
所述第二远程调试模块还用于将所述远程请求报文写入所述第一虚拟接口;
所述远程服务模块用于从所述第一虚拟接口获取所述远程请求报文进行响应,并将远程响应报文写入所述第一虚拟接口;
所述第二远程调试模块还用于从所述第一虚拟接口获取所述远程响应报文并发送至所述第一远程调试模块;
所述第一远程调试模块用于将所述远程响应报文写入所述第二虚拟接口;
所述远程代理模块还用于从所述第二虚拟接口获取所述远程响应报文。
9.一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010564337.0A CN111669293B (zh) | 2020-06-19 | 2020-06-19 | Sd-wan系统及网络终端设备的远程管理方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010564337.0A CN111669293B (zh) | 2020-06-19 | 2020-06-19 | Sd-wan系统及网络终端设备的远程管理方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111669293A CN111669293A (zh) | 2020-09-15 |
CN111669293B true CN111669293B (zh) | 2022-10-28 |
Family
ID=72388860
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010564337.0A Active CN111669293B (zh) | 2020-06-19 | 2020-06-19 | Sd-wan系统及网络终端设备的远程管理方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111669293B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112671907B (zh) * | 2020-12-24 | 2023-07-11 | 深圳市潮流网络技术有限公司 | 终端设备调试方法及装置、终端设备、存储介质 |
CN115426238A (zh) * | 2022-06-02 | 2022-12-02 | 深圳市高德信通信股份有限公司 | 一种sd-wan系统及网络终端设备的远程管理方法和装置 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107995019A (zh) * | 2016-10-27 | 2018-05-04 | 南京南瑞继保电气有限公司 | 一种基于虚拟链接的远程调试维护网络设备方法及系统 |
CN108092869A (zh) * | 2017-12-26 | 2018-05-29 | 迈普通信技术股份有限公司 | 虚拟接口配置方法及通信设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7647430B2 (en) * | 2005-01-19 | 2010-01-12 | Microsoft Corporation | Remote command framework for devices |
-
2020
- 2020-06-19 CN CN202010564337.0A patent/CN111669293B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107995019A (zh) * | 2016-10-27 | 2018-05-04 | 南京南瑞继保电气有限公司 | 一种基于虚拟链接的远程调试维护网络设备方法及系统 |
CN108092869A (zh) * | 2017-12-26 | 2018-05-29 | 迈普通信技术股份有限公司 | 虚拟接口配置方法及通信设备 |
Also Published As
Publication number | Publication date |
---|---|
CN111669293A (zh) | 2020-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20240089241A1 (en) | Network connection automation | |
CN111934918B (zh) | 对同一容器集群内的容器实例的网络隔离方法和装置 | |
EP2156610A2 (en) | Managing network components using usb keys | |
CN111669293B (zh) | Sd-wan系统及网络终端设备的远程管理方法和装置 | |
US11570035B2 (en) | Techniques for accessing logical networks via a virtualized gateway | |
CN103428211A (zh) | 基于交换机的网络认证系统及其认证方法 | |
CN107733890B (zh) | 基于web协议的跨网通讯方法、电子设备、存储介质、系统 | |
CN109495431A (zh) | 接入控制方法、装置和系统、以及交换机 | |
US11558490B2 (en) | Per-application network content filtering | |
WO2016078291A1 (zh) | 共享文件服务器的访问方法、装置及系统 | |
CN112468549A (zh) | 一种服务器反向通信与管理的方法、设备及存储介质 | |
EP3836487A1 (en) | Internet access behavior management system, device and method | |
CN116566764A (zh) | 一种接入虚拟专用网络的配置方法和装置 | |
CN107070725B (zh) | 一种服务器两级管理模块间通信握手的方法 | |
CN109819027A (zh) | 一种服务器系统远程启动方法、装置、设备及存储介质 | |
TW202233007A (zh) | 用於私有通訊架構的連接方法與電腦可讀取媒體 | |
CN114172807A (zh) | 一种整机系统及其智能网卡的固件升级方法 | |
CN113709163A (zh) | 一种基于无线终端实现远程操作电脑的方法及系统 | |
AU2012319193B2 (en) | Techniques for accessing logical networks via a programmatic service call | |
CN109962831B (zh) | 虚拟客户终端设备、路由器、存储介质和通信方法 | |
Hari et al. | The swiss army smartphone: Cloud-based delivery of usb services | |
CN117596285A (zh) | 一种云服务连接方法、装置、设备及存储介质 | |
US20210168118A1 (en) | Communication system and communication method | |
CN117098014A (zh) | 一种光线路终端与管理设备的控制连接方法及装置 | |
CN117240555A (zh) | 活动目录域的远程操作方法、系统、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |