CN111988323B - IPSec隧道建立方法、装置、网络系统及电子设备 - Google Patents
IPSec隧道建立方法、装置、网络系统及电子设备 Download PDFInfo
- Publication number
- CN111988323B CN111988323B CN202010860338.XA CN202010860338A CN111988323B CN 111988323 B CN111988323 B CN 111988323B CN 202010860338 A CN202010860338 A CN 202010860338A CN 111988323 B CN111988323 B CN 111988323B
- Authority
- CN
- China
- Prior art keywords
- tunnel
- networking system
- target
- information
- template
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种IPSec隧道建立方法、装置、网络系统及电子设备。该方法包括:确定需构建IPSec隧道的目标组网系统;获取针对目标组网系统配置的隧道模板,隧道模板包括构建IPSec隧道所需的隧道参数信息;确定目标组网系统中的每个目标分支节点的设备信息;根据隧道模板、每个目标分支节点的设备信息以及目标组网系统的拓扑结构信息,生成多条隧道对应的隧道信息;将每条隧道对应的隧道信息发送给对应的目标分支节点,以使各个目标分支节点根据对应的隧道信息与对端分支节点建立IPSec隧道。相比于现有技术中每次都需要手动输入配置信息的方式,本方案可有效减少建立IPSec隧道的时间,提高建立IPSec隧道的效率。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种IPSec隧道建立方法、装置、网络系统及电子设备。
背景技术
互联网安全协议(Internet Protocol Security,IPSec)是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族。IPSec是三层隧道加密协议,其可以通过加密和验证等方式为IP数据包的传输提供端到端的安全服务。
现有技术中,一般通过手动创建网络设备之间的IPSec隧道,即手动输入建立IPSec隧道的相关配置信息,这样针对每条隧道,均需要输入相应的配置信息,而网络系统中涉及的网络设备数量庞大,通过用户手动创建IPSec隧道的方式需要耗费较长的时间,效率较低。
发明内容
本申请实施例的目的在于提供一种IPSec隧道建立方法、装置、网络系统及电子设备,用以改善现有技术中通过手动创建IPSec隧道的方式需要耗费较长的时间,效率较低的问题。
第一方面,本申请实施例提供了一种IPSec隧道建立方法,应用于网络系统中的控制中心节点,所述网络系统包括至少一个组网系统,每个组网系统包括多个分支节点,所述方法包括:
确定需构建IPSec隧道的目标组网系统;
获取针对所述目标组网系统配置的隧道模板,所述隧道模板包括构建IPSec隧道所需的隧道参数信息;
确定所述目标组网系统中的每个目标分支节点的设备信息;
根据所述隧道模板、所述每个目标分支节点的设备信息以及所述目标组网系统的拓扑结构信息,生成多条隧道对应的隧道信息;
将每条隧道对应的隧道信息发送给对应的目标分支节点,以使各个目标分支节点根据对应的隧道信息与对端分支节点建立IPSec隧道。
在上述实现过程中,通过获取针对组网系统配置的隧道模板,这样在构建IPSec隧道时,只需根据隧道模板生成多条隧道对应的隧道信息,相比于现有技术中每次都需要手动输入配置信息的方式,本方案可有效减少建立IPSec隧道的时间,提高建立IPSec隧道的效率。
可选地,所述隧道参数信息包括协议类型、IKE协商模式、认证方式、协商算法,通过针对组网系统将隧道参数信息配置在隧道模板中,从而可根据隧道模板快速生成对应的隧道信息。
可选地,所述将每条隧道对应的隧道信息发送给对应的目标分支节点,包括:
接收目标分支节点发送的请求报文,所述请求报文用于请求获取对应的隧道信息;
根据所述请求报文将对应的隧道信息发送给所述目标分支节点。
在上述实现过程中,通过分支节点主动发送请求报文以获取隧道信息,可以避免在网络故障时,控制中心节点不会再次下发隧道信息使得分支节点未收到隧道信息而无法建立IPSec隧道的问题。
可选地,所述至少一个组网系统包括至少一个组网类型的组网系统,所述确定需构建IPSec隧道的目标组网系统之前,还包括:
获取所述网络系统中各个分支节点的设备信息;
根据所述各个分支节点的设备信息构建所述至少一个组网类型的组网系统。
在上述实现过程中,控制中心节点可以根据分支节点的设备信息快速构建不同组网类型的组网系统。
可选地,所述获取所述网络系统中各个分支节点的设备信息,包括:
通过所述控制中心节点与各个分支节点之间建立的加密通道获取各个分支节点的设备信息,从而确保了数据传输的安全。
可选地,所述确定需构建IPSec隧道的目标组网系统之前,还包括:
分别为所述至少一个组网系统配置对应的隧道模板,从而可在构建IPSec隧道时,快速生成对应的隧道信息。
可选地,在所述至少一个组网系统包括至少两个组网系统时,所述分别为所述至少一个组网系统配置对应的隧道模板,包括:
获取每个组网系统对应的隧道参数信息;
为隧道参数信息相同的至少两个组网系统配置对应的共用隧道模板。
在上述实现过程中,针对隧道参数信息相同的组网系统配置一个共用隧道模板,可有效减少隧道模板的配置时间,提高隧道模板的配置效率。
第二方面,本申请实施例提供了一种IPSec隧道建立装置,运行于网络系统中的控制中心节点,所述网络系统包括至少一个组网系统,每个组网系统包括多个分支节点,所述装置包括:
目标组网系统确定模块,用于确定需构建IPSec隧道的目标组网系统;
隧道模板获取模块,用于获取针对所述目标组网系统配置的隧道模板,所述隧道模板包括构建IPSec隧道所需的隧道参数信息;
设备信息获取模块,用于确定所述目标组网系统中的每个目标分支节点的设备信息;
隧道信息生成模块,用于根据所述隧道模板、所述每个目标分支节点的设备信息以及所述目标组网系统的拓扑结构信息,生成多条隧道对应的隧道信息;
隧道信息下发模块,用于将每条隧道对应的隧道信息发送给对应的目标分支节点,以使各个目标分支节点根据对应的隧道信息与对端分支节点建立IPSec隧道。
可选地,所述隧道参数信息包括协议类型、IKE协商模式、认证方式、协商算法。
可选地,所述隧道信息下发模块,用于接收目标分支节点发送的请求报文,所述请求报文用于请求获取对应的隧道信息;根据所述请求报文将对应的隧道信息发送给所述目标分支节点。
可选地,所述至少一个组网系统包括至少一个组网类型的组网系统,所述装置还包括:
组网构建模块,用于获取所述网络系统中各个分支节点的设备信息;根据所述各个分支节点的设备信息构建所述至少一个组网类型的组网系统。
可选地,所述组网构建模块,用于通过所述控制中心节点与各个分支节点之间建立的加密通道获取各个分支节点的设备信息。
可选地,所述装置还包括:
隧道模板配置模块,用于分别为所述至少一个组网系统配置对应的隧道模板。
可选地,在所述至少一个组网系统包括至少两个组网系统时,所述隧道模板配置模块,用于获取每个组网系统对应的隧道参数信息;为隧道参数信息相同的至少两个组网系统配置对应的共用隧道模板。
第三方面,本申请实施例提供一种网络系统,所述网络系统包括控制中心节点以及至少一个组网系统,每个组网系统包括多个分支节点;
所述控制中心节点,用于确定需构建IPSec隧道的目标组网系统;
所述控制中心节点,用于获取针对所述目标组网系统配置的隧道模板,所述隧道模板包括构建IPSec隧道所需的隧道参数信息;
所述控制中心节点,用于确定所述目标组网系统中的每个目标分支节点的设备信息;
所述控制中心节点,用于根据所述隧道模板、所述每个目标分支节点的设备信息以及所述目标组网系统的拓扑结构信息,生成多条隧道对应的隧道信息;
所述控制中心节点,用于将每条隧道对应的隧道信息发送给对应的目标分支节点;
各个目标分支节点,用于根据对应的隧道信息与对端分支节点建立IPSec隧道。
第四方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第五方面,本申请实施例提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种用于执行IPSec隧道建立方法的电子设备的结构示意图;
图2为本申请实施例提供的一种网络系统的结构示意图;
图3为本申请实施例提供的一种IPSec隧道建立方法的流程图;
图4为本申请实施例提供的一种IPSec隧道建立装置的结构框图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述。
本申请实施例提供的一种IPSec隧道建立方法,通过获取针对组网系统配置的隧道模板,这样在构建IPSec隧道时,只需根据隧道模板生成多条隧道对应的隧道信息,相比于现有技术中每次都需要手动输入配置信息的方式,本方案可有效减少建立IPSec隧道的时间,提高建立IPSec隧道的效率。
请参照图1,图1为本申请实施例提供的一种用于执行IPSec隧道建立方法的电子设备的结构示意图,所述电子设备可以包括:至少一个处理器110,例如CPU,至少一个通信接口120,至少一个存储器130和至少一个通信总线140。其中,通信总线140用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口120用于与其他节点设备进行信令或数据的通信。存储器130可以是高速RAM存储器,也可以是非易失性的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器130可选的还可以是至少一个位于远离前述处理器的存储装置。存储器130中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器110执行时,电子设备执行下述图2所示方法过程,例如,存储器130可用于针对各个组网系统配置的隧道模板,以及生成的隧道信息等,处理器110可用于从存储器130中获取隧道模板,然后生成对应的隧道信息,并将对应的隧道信息下发给对应的分支节点。
需要说明的是,上述的电子设备即为本申请实施例所说的控制中心节点,其可以是服务器,或者软件定义网络(Software Defined Network,SDN)控制器、或者也可以具有显示界面的终端设备等设备,用于对网络系统中的各个分支节点进行管理。
可以理解,图1所示的结构仅为示意,所述电子设备还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
请参照图2,图2为本申请实施例提供的一种网络系统200的结构示意图,该网络系统200包括控制中心节点210以及多个分支节点220,控制中心节点210与每个分支节点220连接(图中仅示出控制中心节点210与每个组网系统连接),这些分支节点220可组成不同的组网系统,即该网络系统200包括至少一个组网系统,每个组网系统包括多个分支节点220(即至少两个分支节点220)。
图2中示出该网络系统200包括两个组网系统,如组网系统1和组网系统2,每个组网系统均包括有多个分支节220,控制中心节点210用于向各个分支节点220下发对应的隧道信息,使得分支节点220可根据隧道信息可建立相应的IPSec隧道。
下面结合图2对本申请实施例提供的IPSec隧道建立方法的过程进行详细说明。
请参照图3,图3为本申请实施例提供的一种IPSec隧道建立方法的流程图,该方法包括如下步骤:
步骤S110:确定需构建IPSec隧道的目标组网系统。
如图2中的网络系统包括两个组网系统,目标组网系统可以是指这两个组网系统中的任意一个当前需要构建IPSec隧道的组网系统。可以理解地,组网系统可以是预先构建好的,在控制中心节点中可存储有各个组网系统的标识以及各个组网系统中的每个分支节点的设备信息,以及还可以存储有各个组网系统的拓扑结构信息,即每个组网系统中各个分支节点的连接关系。
在需要针对目标组网系统构建IPSec隧道时,用户可以在控制中心节点中输入目标组网系统的标识,这样控制中心节点即可根据标识确定需构建IPSec隧道的组网系统。或者若需要针对网络系统中的所有组网系统均构建IPSec隧道时,控制中心节点可直接确定目标组网系统为所有网络系统中的任意一个组网系统。
步骤S120:获取针对所述目标组网系统配置的隧道模板,所述隧道模板包括构建IPSec隧道所需的隧道参数信息。
隧道模板中存储有构建IPSec隧道所需的隧道参数信息,如隧道参数信息包括协议类型、因特网密钥交换协议(Internet Key Exchange,IKE)协商模式、认证方式、协商算法等信息。
其中,协议类型可以包括国际协议类型和国密协议类型等,如IPSec协议中所使用的验证头(Authentication Header,AH)协议和封装的安全有效载荷(EncapsulatedSecurity Payload,ESP)协议等;IKE协商模式包括主模式和野蛮模式等;认证方式包括预共享密钥和数字证书等方式,协商算法包括有数字加密标准(Data Encryption Standard,DES)算法、3DES算法等加密算法。
可以理解地,若每个组网系统构建IPSec隧道所需的隧道参数信息不同,则可预先针对每个组网系统配置一个隧道模板,当然,若某两个或两个以上的组网系统构建IPSec隧道所需的隧道参数信息相同时,则可针对这些组网系统配置一个隧道模板即可,而无需针对每个组网系统都配置一个相同的隧道模板,可节省隧道模板配置的时间,提高配置的效率。
控制中心节点可以存储有各个组网系统的标识及隧道模板之间的对应关系。在隧道模板为多个时,可以为每个隧道模板分配一个标识,控制中心节点可将各个组网系统的标识与对应的隧道模板的标识建立对应关系进行存储,这样控制中心节点获得目标组网系统的标识后,可通过对应关系查找该目标组网系统的标识对应的隧道模板的标识,然后可根据隧道模板的标识查找对应的隧道模板,从而可获得隧道模板中的隧道参数信息。
步骤S130:确定所述目标组网系统中的每个目标分支节点的设备信息。
控制中心节点可预先存储有各个组网系统中的每个分支节点的设备信息,从而控制中心节点可查找目标组网系统中的各个分支节点,为了便于描述区分,目标组网系统中的各个分支节点称为目标分支节点,这样控制中心节点可获得每个目标分支节点的设备信息。
或者,控制中心节点预先存储的是各个组网系统中的每个分支节点的地址信息,这样控制中心节点在确定目标组网系统后,可获得目标组网系统中的每个目标分支节点的地址信息,然后可根据每个目标分支节点的地址信息向各个目标分支节点发送设备信息获取指令,各个目标分支节点接收到该指令后,即可将自身的设备信息上传给控制中心节点。或者,控制中心节点也可向该目标组网系统发送广播报文,该广播报文用于指示获取目标组网系统中的各个目标分支节点的设备信息,各个目标分支节点获得广播报文后即可将自身的设备信息发送给控制中心节点。
步骤S140:根据所述隧道模板、所述每个目标分支节点的设备信息以及所述目标组网系统的拓扑结构信息,生成多条隧道对应的隧道信息。
控制中心节点可预先获得各个组网系统的拓扑结构信息进行存储,在生成隧道信息时,可直接获取目标组网系统的拓扑结构信息即可。其中,控制中心节点可以在构建各个组网系统后,将各个组网系统的拓扑结构信息进行存储。该目标组网系统的拓扑结构信息包括目标组网系统中各个目标分支节点之间的连接关系。
控制中心节点根据各个目标分支节点之间的连接关系可确定需要建立多少条隧道,即每两个目标分支节点之间若存在连接关系,或者存在数据传输需求,则需要建立一条隧道。隧道信息包括该条隧道对应的两端目标分支节点的设备信息,如IP地址等信息,以及隧道模板中的隧道参数信息。所以,控制中心节点可针对需要建立隧道的目标分支节点生成多条隧道的隧道信息。
步骤S150:将每条隧道对应的隧道信息发送给对应的目标分支节点,以使各个目标分支节点根据对应的隧道信息与对端分支节点建立IPSec隧道。
控制中心节点生成多条隧道的隧道信息后,可确定每条隧道涉及的目标分支节点,获得该隧道对应的两个目标分支节点的信息,然后可将该隧道的隧道信息分别发送给对应的两个目标分支节点,这两个目标分支节点即可根据对应的隧道信息在这两个目标分支节点之间建立IPSec隧道,对于其他目标分支节点获得隧道信息的方式也如此。其中,建立IPSec隧道的过程可参照现有技术的相关实现过程,在此不过多描述。
可以理解地,两个目标分支节点建立的IPSec隧道不仅仅为一条隧道,也可以有两条IPSec隧道,这两条IPSec隧道可以分为主隧道和备隧道,备隧道用于在主隧道故障时,两个目标分支节点通过备隧道实现数据传输。
另外,上述建立IPSec隧道的方式是仅针对目标组网系统来构建的,在实际应用中,若组网系统包括多个时,可以针对每个组网系统均按照上述方式来建立IPSec隧道,在此不再重复描述。
在上述实现过程中,通过获取针对组网系统配置的隧道模板,这样在构建IPSec隧道时,只需根据隧道模板生成多条隧道对应的隧道信息,相比于现有技术中每次都需要手动输入配置信息的方式,本方案可有效减少建立IPSec隧道的时间,提高建立IPSec隧道的效率。
在一些实施方式中,至少一个组网系统可以包括至少一个组网类型的组网系统,在上述步骤执行之前,还可以先构建组网系统,其构建过程如下:获取网络系统中各个分支节点的设备信息,然后根据各个分支节点的设备信息构建至少一个组网类型的组网系统。
其中,组网类型包括星型网络和/或对等网络等,即组网系统可以包括星型网络和/或对等网络。
星型网络是以一台分支节点为中央节点,其他外围节点都单独连接在中央节点上,如图2中的组网系统1所示,星型拓扑结构的优点是控制简单、故障诊断容易、方便服务,很容易在网络中增加新的站点,数据的安全性和优先级容易控制。
对等网络是指对等计算机网络,是一种在对等者之间分配任务和工作负载的分布式应用架构,是对等计算模型在应用层形成的一种组网和网络形式。在对等网络中,彼此连接的多个节点之间都处于对等的地位,各个节点有相同的功能,无主从之分,如图2中的组网系统2。
各个分支节点在加入网络系统中时,可自动向控制中心节点发送注册信息,该注册信息中即携带有分支节点的设备信息,如设备型号、IP地址、端口等信息,控制中心可将各个分支节点发送的注册信息进行保存。这样控制中心节点可获取网络系统中各个分支节点的设备信息,然后根据各个分支节点的设备信息构建星型网络和对等网络。
在构建组网系统时,可以选择构建组网系统的组网类型,如星型网络和对等网络等,用户可选择哪些分支节点构建哪种组网类型的组网系统。如对于星型网络,控制中心节点可从用户选择的分支节点中任意选择一个分支节点作为星型网络的中心,然后选择其他分支节点作为星型网络中的外围分支节点。当然,若用户指定了哪个分支节点作为中心节点,则控制中心节点也可直接将用户指定的分支节点作为中心节点,其他节点作为外围分支节点,从而使得控制中心节点可快速建立所需的组网系统。
对于对等网络,控制中心节点可将用户选择的分支节点建立对等关系,从而构建对等网络。
可以理解地,控制中心节点还可以根据需求构建其他组网类型的组网系统,如环形网络等。
另外,一个分支节点可以同时处于至少两个组网系统中,如上述的星型网络包括分支节点1,对等网络也可以包括分支节点1,这样一个分支节点可参与多个组网系统,可以和其他的多个分支节点之间同时建立IPSec隧道。
在上述实现过程中,控制中心节点可以根据分支节点的设备信息快速构建不同组网类型的组网系统。
在一些实施方式中,为了确保数据传输的安全,各个分支节点与控制中心节点可建立相应的加密通道,这样可以通过控制中心节点与各个分支节点之间建立的加密通道获取各个分支节点的设备信息,以确保数据传输的安全。
加密通道也可以是指控制中心节点与各个分支节点之间的IPSec隧道,其数据通过IPSec隧道传输之前,需进行加密后再传输,如此可确保数据传输过程的安全。
在一些实施方式中,在构建对应的组网类型的组网系统后,还可以分别为至少一个组网系统配置对应的隧道模板,从而可在构建IPSec隧道时,快速生成对应的隧道信息。
例如,若组网系统包括一个星型网络和一个对等网络,组网类型为两个,则可分别根据需求为星型网络配置一个隧道模板,为对等网络配置一个隧道模板,此时两个组网系统配置的隧道模板中的隧道参数信息可以不同。
其中,配置隧道模板可以是指用户针对不同的组网系统,可根据需求输入相应的隧道参数信息,控制中心节点获取到用户输入的隧道参数信息后,可生成对应的隧道模板。
例如,若组网系统中包括两个星型网络,此时组网类型为1个,则可以为这两个星型网络分别配置一个隧道模板,尽管这两个星型网络的隧道参数信息相同,也可以配置两个隧道模板。当然,在隧道参数信息相同时,用户只需输入一次隧道参数信息,控制中心节点生成两个隧道模板即可。
在一些实施方式中,也可以针对组网类型来配置一个通用的隧道模板,因为在实际应用过程中,相同组网类型对应的组网系统的隧道参数信息可能是相同的。例如,上述若两个星型网络的隧道参数信息相同,可以只配置一个共用隧道模板即可。当然,若两个不同组网类型的组网系统的隧道参数信息相同时,也可针对这两个组网系统配置一个共用的隧道模板。
也就是说,在组网系统包括至少两个组网系统时,控制中心节点可以获取每个组网系统对应的隧道参数信息,然后判断这些隧道参数信息是否相同,为隧道参数信息相同的至少两个组网系统配置对应的共用隧道模板。
例如,组网类型包括星型网络和对等网络,网络系统中包括2个星型网络和1个对等网络,用户可分别录入这3个组网系统对应的隧道参数信息,控制中心节点获得3个隧道参数信息后,判断这3个隧道参数信息是否相同,若相同,则为这3个组网系统配置一个共用隧道模板。也即控制中心节点可以为隧道参数信息相同的至少两个组网系统配置一个共用隧道模板。
在上述实现过程中,针对隧道参数信息相同的组网系统配置一个共用隧道模板,可有效减少隧道模板的配置时间,提高隧道模板的配置效率。
在一些实施方式中,控制中心节点在生成多条隧道信息的过程中,可以根据组网系统的拓扑结构信息确定生成的隧道的数量。如对于星型网络,若包括有n个分支节点,可生成n条隧道信息,也即中心分支节点与每个外围分支节点分别建立一条隧道,共n条隧道,每条隧道对应一条隧道信息。对于对等网络,若包括有n个分支节点,则可生成n*(n-1)/2条隧道信息,即网络中每个分支节点均与其他分支节点建立一条隧道,共n*(n-1)/2条隧道。
控制中心节点在生成隧道信息后,控制中心节点可向各个分支节点发送对应的隧道信息。
当然,若由于网络故障或者等其他原因造成控制中心节点与分支节点之间的网络断开,使得控制中心节点下发的隧道信息无法达到分支节点,分支节点并不会获得隧道信息;而可能控制中心节点也不会感受到网络故障,这样控制中心节点也不会重新下发隧道信息。所以,各个分支节点可自动从控制中心节点中查询与本节点相关的隧道信息,并将隧道信息下载到本地。
在一些实施方式中,目标组网系统中的各个目标分支节点可向控制中心节点发送请求报文,该请求报文用于请求获取对应的隧道信息,这样控制中心节点可接收目标分支节点发送的请求报文,然后根据请求报文将对应的隧道信息发送给目标分支节点。
分支节点可主动向控制中心节点获取隧道信息,这样在网络故障后,分支节点若未接收到隧道信息,在网络恢复后,也可再次向控制中心节点发送请求报文,以再次获取隧道信息,从而使得各个分支节点可顺利获得隧道参数信息,并顺利建立IPSec隧道。
在上述实现过程中,通过分支节点主动发送请求报文以获取隧道信息,可以避免在网络故障时,控制中心节点不会再次下发隧道信息使得分支节点未收到隧道信息而无法建立IPSec隧道的问题。
另外,需要说明的是,本申请实施例中通过在各个分支节点进行数据交互之前建立各个分支节点之间的IPSec隧道,可避免在分支节点进行数据交互时才建立IPSec隧道而造成的隧道协商耗时较长引起业务超时的问题,本申请提供的方案可有效减少隧道协商耗时。
请参照图4,图4为本申请实施例提供的一种IPSec隧道建立装置300的结构框图,该装置300运行于网络系统中的控制中心节点,可以是电子设备(即控制中心节点)上的模块、程序段或代码。应理解,该装置300与上述图3方法实施例对应,能够执行图3方法实施例涉及的各个步骤,该装置300具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置300包括:
目标组网系统确定模块310,用于确定需构建IPSec隧道的目标组网系统;
隧道模板获取模块320,用于获取针对所述目标组网系统配置的隧道模板,所述隧道模板包括构建IPSec隧道所需的隧道参数信息;
设备信息获取模块330,用于确定所述目标组网系统中的每个目标分支节点的设备信息;
隧道信息生成模块340,用于根据所述隧道模板、所述每个目标分支节点的设备信息以及所述目标组网系统的拓扑结构信息,生成多条隧道对应的隧道信息;
隧道信息下发模块350,用于将每条隧道对应的隧道信息发送给对应的目标分支节点,以使各个目标分支节点根据对应的隧道信息与对端分支节点建立IPSec隧道。
可选地,所述隧道参数信息包括协议类型、IKE协商模式、认证方式、协商算法。
可选地,所述隧道信息下发模块350,用于接收目标分支节点发送的请求报文,所述请求报文用于请求获取对应的隧道信息;根据所述请求报文将对应的隧道信息发送给所述目标分支节点。
可选地,所述至少一个组网系统包括至少一个组网类型的组网系统,所述装置300还包括:
组网构建模块,用于获取所述网络系统中各个分支节点的设备信息;根据所述各个分支节点的设备信息构建所述至少一个组网类型的组网系统。
可选地,所述组网构建模块,用于通过所述控制中心节点与各个分支节点之间建立的加密通道获取各个分支节点的设备信息。
可选地,所述装置300还包括:
隧道模板配置模块,用于分别为所述至少一个组网系统配置对应的隧道模板。
可选地,在所述至少一个组网系统包括至少两个组网系统时,所述隧道模板配置模块,用于获取每个组网系统对应的隧道参数信息;为隧道参数信息相同的至少两个组网系统配置对应的共用隧道模板。
另外,本申请实施例还提供一种网络系统,所述网络系统包括控制中心节点以及至少一个组网系统,每个组网系统包括多个分支节点;
所述控制中心节点,用于确定需构建IPSec隧道的目标组网系统;
所述控制中心节点,用于获取针对所述目标组网系统配置的隧道模板,所述隧道模板包括构建IPSec隧道所需的隧道参数信息;
所述控制中心节点,用于确定所述目标组网系统中的每个目标分支节点的设备信息;
所述控制中心节点,用于根据所述隧道模板、所述每个目标分支节点的设备信息以及所述目标组网系统的拓扑结构信息,生成多条隧道对应的隧道信息;
所述控制中心节点,用于将每条隧道对应的隧道信息发送给对应的目标分支节点;
各个目标分支节点,用于根据对应的隧道信息与对端分支节点建立IPSec隧道。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
本申请实施例提供一种可读存储介质,所述计算机程序被处理器执行时,执行如图3所示方法实施例中电子设备所执行的方法过程。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:确定需构建IPSec隧道的目标组网系统;获取针对所述目标组网系统配置的隧道模板,所述隧道模板包括构建IPSec隧道所需的隧道参数信息;确定所述目标组网系统中的每个目标分支节点的设备信息;根据所述隧道模板、所述每个目标分支节点的设备信息以及所述目标组网系统的拓扑结构信息,生成多条隧道对应的隧道信息;将每条隧道对应的隧道信息发送给对应的目标分支节点,以使各个目标分支节点根据对应的隧道信息与对端分支节点建立IPSec隧道。
综上所述,本申请实施例提供一种IPSec隧道建立方法、装置、网络系统及电子设备,通过获取针对组网系统配置的隧道模板,这样在构建IPSec隧道时,只需根据隧道模板生成多条隧道对应的隧道信息,相比于现有技术中每次都需要手动输入配置信息的方式,本方案可有效减少建立IPSec隧道的时间,提高建立IPSec隧道的效率。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种IPSec隧道建立方法,其特征在于,应用于网络系统中的控制中心节点,所述网络系统包括至少一个组网系统,每个组网系统包括多个分支节点,所述方法包括:
确定需构建IPSec隧道的目标组网系统;
获取针对所述目标组网系统配置的隧道模板,所述隧道模板包括构建IPSec隧道所需的隧道参数信息;
确定所述目标组网系统中的每个目标分支节点的设备信息;
根据所述隧道模板、所述每个目标分支节点的设备信息以及所述目标组网系统的拓扑结构信息,生成多条隧道对应的隧道信息;
将每条隧道对应的隧道信息发送给对应的目标分支节点,以使各个目标分支节点根据对应的隧道信息与对端分支节点建立IPSec隧道;
其中,每个组网系统对应配置有一个隧道模板,每个隧道模板具有相应的标识,所述控制中心节点存储有各个组网系统的标识与对应的隧道模板的标识之间的对应关系,所述获取针对所述目标组网系统配置的隧道模板,包括:
获取所述目标组网系统的标识;
根据所述对应关系查找所述目标组网系统的标识对应的隧道模板的标识,并根据该隧道模板的标识查找对应的隧道模板。
2.根据权利要求1所述的方法,其特征在于,所述隧道参数信息包括协议类型、IKE协商模式、认证方式、协商算法。
3.根据权利要求1所述的方法,其特征在于,所述将每条隧道对应的隧道信息发送给对应的目标分支节点,包括:
接收目标分支节点发送的请求报文,所述请求报文用于请求获取对应的隧道信息;
根据所述请求报文将对应的隧道信息发送给所述目标分支节点。
4.根据权利要求1所述的方法,其特征在于,所述至少一个组网系统包括至少一个组网类型的组网系统,所述确定需构建IPSec隧道的目标组网系统之前,还包括:
获取所述网络系统中各个分支节点的设备信息;
根据所述各个分支节点的设备信息构建所述至少一个组网类型的组网系统。
5.根据权利要求4所述的方法,其特征在于,所述获取所述网络系统中各个分支节点的设备信息,包括:
通过所述控制中心节点与各个分支节点之间建立的加密通道获取各个分支节点的设备信息。
6.根据权利要求4所述的方法,其特征在于,所述确定需构建IPSec隧道的目标组网系统之前,还包括:
分别为所述至少一个组网系统配置对应的隧道模板。
7.根据权利要求6所述的方法,其特征在于,在所述至少一个组网系统包括至少两个组网系统时,所述分别为所述至少一个组网系统配置对应的隧道模板,包括:
获取每个组网系统对应的隧道参数信息;
为隧道参数信息相同的至少两个组网系统配置对应的共用隧道模板。
8.一种IPSec隧道建立装置,其特征在于,运行于网络系统中的控制中心节点,所述网络系统包括至少一个组网系统,每个组网系统包括多个分支节点,所述装置包括:
目标组网系统确定模块,用于确定需构建IPSec隧道的目标组网系统;
隧道模板获取模块,用于获取针对所述目标组网系统配置的隧道模板,所述隧道模板包括构建IPSec隧道所需的隧道参数信息;
设备信息获取模块,用于确定所述目标组网系统中的每个目标分支节点的设备信息;
隧道信息生成模块,用于根据所述隧道模板、所述每个目标分支节点的设备信息以及所述目标组网系统的拓扑结构信息,生成多条隧道对应的隧道信息;
隧道信息下发模块,用于将每条隧道对应的隧道信息发送给对应的目标分支节点,以使各个目标分支节点根据对应的隧道信息与对端分支节点建立IPSec隧道;
其中,每个组网系统对应配置有一个隧道模板,每个隧道模板具有相应的标识,所述控制中心节点存储有各个组网系统的标识与对应的隧道模板的标识之间的对应关系,所述隧道模板获取模块,具体用于:
获取所述目标组网系统的标识;
根据所述对应关系查找所述目标组网系统的标识对应的隧道模板的标识,并根据该隧道模板的标识查找对应的隧道模板。
9.一种网络系统,其特征在于,所述网络系统包括控制中心节点以及至少一个组网系统,每个组网系统包括多个分支节点;
所述控制中心节点,用于确定需构建IPSec隧道的目标组网系统;
所述控制中心节点,用于获取针对所述目标组网系统配置的隧道模板,所述隧道模板包括构建IPSec隧道所需的隧道参数信息;
所述控制中心节点,用于确定所述目标组网系统中的每个目标分支节点的设备信息;
所述控制中心节点,用于根据所述隧道模板、所述每个目标分支节点的设备信息以及所述目标组网系统的拓扑结构信息,生成多条隧道对应的隧道信息;
所述控制中心节点,用于将每条隧道对应的隧道信息发送给对应的目标分支节点;
各个目标分支节点,用于根据对应的隧道信息与对端分支节点建立IPSec隧道;
其中,每个组网系统对应配置有一个隧道模板,每个隧道模板具有相应的标识,所述控制中心节点存储有各个组网系统的标识与对应的隧道模板的标识之间的对应关系,所述控制中心节点,具体用于:
获取所述目标组网系统的标识;
根据所述对应关系查找所述目标组网系统的标识对应的隧道模板的标识,并根据该隧道模板的标识查找对应的隧道模板。
10.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-7任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010860338.XA CN111988323B (zh) | 2020-08-24 | 2020-08-24 | IPSec隧道建立方法、装置、网络系统及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010860338.XA CN111988323B (zh) | 2020-08-24 | 2020-08-24 | IPSec隧道建立方法、装置、网络系统及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111988323A CN111988323A (zh) | 2020-11-24 |
| CN111988323B true CN111988323B (zh) | 2022-09-23 |
Family
ID=73443082
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010860338.XA Active CN111988323B (zh) | 2020-08-24 | 2020-08-24 | IPSec隧道建立方法、装置、网络系统及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111988323B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113411245B (zh) * | 2021-06-30 | 2022-08-12 | 北京天融信网络安全技术有限公司 | 一种IPSec隧道网络配置方法、装置、电子设备和存储介质 |
| CN113660126B (zh) * | 2021-08-18 | 2024-04-12 | 奇安信科技集团股份有限公司 | 一种组网文件生成方法、组网方法以及装置 |
| CN116156492A (zh) * | 2021-11-22 | 2023-05-23 | 华为技术有限公司 | 一种安全隧道建立方法、装置及通信系统 |
| CN114866371B (zh) * | 2022-04-21 | 2023-11-28 | 北京天融信网络安全技术有限公司 | 建立IPSec隧道的方法、装置、存储介质及电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007096591A2 (en) * | 2006-02-20 | 2007-08-30 | Cramer Systems Limited | Configuring devices in a telecommunications network to provide a service |
| CN103220818A (zh) * | 2013-01-30 | 2013-07-24 | 中兴通讯股份有限公司 | 一种建立X2口IPSec隧道的方法和装置 |
| CN106302424A (zh) * | 2016-08-08 | 2017-01-04 | 杭州华三通信技术有限公司 | 一种安全隧道的建立方法及装置 |
| CN110324159A (zh) * | 2018-03-28 | 2019-10-11 | 华为技术有限公司 | 链路配置方法和控制器 |
-
2020
- 2020-08-24 CN CN202010860338.XA patent/CN111988323B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007096591A2 (en) * | 2006-02-20 | 2007-08-30 | Cramer Systems Limited | Configuring devices in a telecommunications network to provide a service |
| CN103220818A (zh) * | 2013-01-30 | 2013-07-24 | 中兴通讯股份有限公司 | 一种建立X2口IPSec隧道的方法和装置 |
| CN106302424A (zh) * | 2016-08-08 | 2017-01-04 | 杭州华三通信技术有限公司 | 一种安全隧道的建立方法及装置 |
| CN110324159A (zh) * | 2018-03-28 | 2019-10-11 | 华为技术有限公司 | 链路配置方法和控制器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111988323A (zh) | 2020-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111988323B (zh) | IPSec隧道建立方法、装置、网络系统及电子设备 | |
| US9998431B2 (en) | System, apparatus and method for secure network bridging using a rendezvous service and multiple key distribution servers | |
| CN110572460B (zh) | 基于区块链系统的数据传输方法、装置及计算机设备 | |
| US8418244B2 (en) | Instant communication with TLS VPN tunnel management | |
| US20060291387A1 (en) | Communication device and communication method therefor | |
| CN110059055B (zh) | 一种基于分布式私有云的文件存储及读取方法及装置 | |
| CN113056898B (zh) | 获取密钥的方法、装置及密钥管理系统 | |
| CN113726795A (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
| JP2022527289A (ja) | 異なるルーティングプロトコルを用いるネットワーク及び装置の間で通信リンクを確立するためのシステム及び方法 | |
| CN112437153A (zh) | 一种设备联动处理方法及装置 | |
| CN113992427B (zh) | 基于相邻节点的数据加密发送方法及装置 | |
| CN103858389A (zh) | 一种传输会话的方法、客户端及Push服务器 | |
| US20210264051A1 (en) | Blockchain system, blockchain management apparatus, network control apparatus, method and program | |
| CN116647425B (zh) | 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质 | |
| CN113518095A (zh) | Ssh集群的部署方法、装置、设备以及存储介质 | |
| WO2021189846A1 (zh) | 物联网的通信方法、中心服务器、设备及介质 | |
| JP2013247392A (ja) | セキュア通信システム及び通信装置 | |
| CN115622833B (zh) | 基于总线的跨端通信的设备管理方法、系统、装置及介质 | |
| CN110545320A (zh) | 一种内网数据交互方法及设备 | |
| CN116248268A (zh) | 国密握手请求的处理方法、设备及可读存储介质 | |
| CN113452514B (zh) | 密钥分发方法、装置和系统 | |
| CN115378578A (zh) | 一种基于国密sm4的sd-wan实现方法及系统 | |
| JP2018174550A (ja) | 通信システム | |
| CN112512022A (zh) | Tsn工业应用服务器、客户端、系统、服务方法及储存介质 | |
| CN108259292B (zh) | 建立隧道的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |