CN112866077B - 一种模态融合的大规模自动化组网方法、管理系统、设备及存储介质 - Google Patents
一种模态融合的大规模自动化组网方法、管理系统、设备及存储介质 Download PDFInfo
- Publication number
- CN112866077B CN112866077B CN202110216724.XA CN202110216724A CN112866077B CN 112866077 B CN112866077 B CN 112866077B CN 202110216724 A CN202110216724 A CN 202110216724A CN 112866077 B CN112866077 B CN 112866077B
- Authority
- CN
- China
- Prior art keywords
- networking
- gateway
- network
- mode
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
- H04L41/0886—Fully automatic configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明涉及一种模态融合的大规模自动化组网方法、管理系统、设备及存储介质,该组网方法包括:(1)创建项目,在项目内添加网关;(2)判断组网的网关之间属于内部模式还是跨域模式;(3)判断内部模式下网关的LAN网段是否相同,当LAN网段不相同,则达到组网条件,进行步骤(5);(4)判断跨域模式下网关的WAN网段是否相同,当WAN网段不相同,则达到组网条件,进行步骤(5),进行组网;(5)网关再执行组网指令,进行组网。本发明提供的组网方法能够实现不同厂商不同场景下的大规模VPC互联,通过统一管理平台和自行研发的软硬件,实现远程自动化管理VPC互联行为,提高VPC互联的便捷程度,降低配置和管理难度。
Description
技术领域
本发明涉及一种模态融合的大规模自动化组网方法、管理系统、设备及存储介质,属于云技术领域。
背景技术
随着公有云的快速发展,企业依托公有云创建了很多虚拟私有云(VirtualPrivate Cloud,以下简称VPC),为云服务器、云容器、云数据库等资源构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云上资源的安全性,简化用户的网络部署。VPC是存在于共享或公有云中的私有云,亦即一种网际云。它是一种公有云环境下的产品,允许企业在共享的公有云基础设施上建立自己的私有云计算环境。VPC使企业能够定义和控制与所有其他公有云租户逻辑隔离的虚拟网络,从而在公共云上创建一个私有的、安全的位置。
对于一个拥有多家分支机构的企业来说,VPC之间的互联是企业必不可少的保障。VPC建立之初由于对扩展性和资源规模预估不足,资源规模较小,无法满足业务快速发展的需要,还有可能存在网络和存储资源在VPC之间的配置不合理的现象,但是却无法重新规划,这些情况都需要将多个VPC进行连接。公有云服务商提供VPC之间的互联,但是也仅限于本厂商内部的VPC互联,并且配置复杂繁琐,应用场景单一。
面对当前多元化的访问需求,IPsec并不能满足用户对VPC之间复杂的互访要求,因为IPsec本身并不具备传递路由的能力,IPsec VPN只能实现端到端的加密通信,无法实现网关下挂设备互联互通。现在,已经有人用网络地址转换(NAT)技术来实现GREoverIPsecVPN互联的方案,在满足内网之间安全互联的需要的同时,满足内网用户接入Internet的需要。
作为一个开放的IP层安全框架协议,IPsec协议本身强大的加密与验证功能保障了在互联网传递时私网数据的安全。采用IPSec协议来实现远程接入的VPN技术称为IPsecVPN。GRE是一种最传统的隧道协议,其根本功能就是要实现隧道功能。它可以将上层应用协议数据封装于IP网络协议中。支持多种上层协议、支持组播。通过GREoverIPsec技术可以实现多个VPC互联,但是VPC里的虚拟机互联互通还需要配置路由规则,人工配置路由容易出错。在不同的组网模式下,无法做到网络发生变化时自动修改路由,也无法适应大规模互联组网以及自定义组网的需要。
发明内容
针对现有技术的不足,本发明提供了一种模态融合的大规模自动化组网方法及一种模态融合的大规模自动化组网管理系统;
本发明还提供了一种计算机设备和存储介质;
本发明能够实现不同厂商不同场景下的大规模VPC互联,以解决不同厂商和企业自行搭建VPC互联的问题,以及通过统一管理平台和自行研发的软硬件,实现远程自动化管理VPC互联行为,配置网络安全规则等,提高VPC互联的便捷程度,降低配置和管理难度,应用前景十分广泛。
术语解释:
1.VPN:虚拟专用网络,在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。
2.IPsec VPN:指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force(IETF)定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。
3.动态路由技术:是与静态路由相对的一个概念,指路由器可根据路由器之间的交换的特定路由信息自动地建立自己的路由表,并且能够根据链路和节点的变化适时地进行自动调整。当网络中节点或节点间的链路发生故障,或存在其它可用路由时,动态路由可以自行选择最佳的可用路由并继续转发报文。
4.模态融合技术:是指在同一网络隔离域的组网网关管理中,针对提取到的多模态网络特征,网关进行自主驱动地互联组网模式诊断,并根据用户网络环境的多样性,进行组网模式实现方法的融合。
5.GRE:General Routing Encapsulation,通用路由封装,GRE是一种隧道技术,它规定了如何将一种网络协议封装在另外一种网络协议中,比如局域网使用OSPF,广域网使用EGP,使用GRE可以将OSPF封装在EGP中,使OSPF可以跨广域网传播。
6.OSPF:Open Shortest Path First,开放短路径优先,是一种链路状态路由协议,即使用链路状态进行路由决策,使用最短路径优先(SPF)算法进行路由计算,在自治系统内部生效。每个运行OSPF的路由器都会在整个AS或区域发送链路状态广告,这些广告包含关于该路由器的附加接口和路由指标的信息。每个路由器使用这些链路状态公告中的信息来计算到每个网络的最小开销路径,并为协议创建一个路由表。
7.Quagga:是免费的软件路由套件,包含多种由协议的支持。为基于Unix的平台提供BGP-4、RIPv1/v2、OSPFv2/v3和RIPng等协议的支持,对FreeBSD、Linux、Solaris和NetBSD等系统有更好的支持。
本发明的技术方案为:
一种模态融合的大规模自动化组网方法,包括步骤:
(1)创建项目,即执行同一网络隔离域下的组网操作;在项目内添加网关,并配置链路信息和路由信息;
(2)判断组网的网关之间属于内部模式还是跨域模式,
当组网的网关属于内部模式时,进行步骤(4);
当组网的网关属于跨域模式时,进行步骤(5);
进行模式诊断一方面判断是否可以组网,另一方面判断组网模式;基于模态融合的私有云互联可进行内部模式以及跨域模式的自动诊断,解决企业多个私有云之间的数据和通信安全互通问题。内部模式实现的是内部网关下设备互联互通,跨域模式是旁路网关为其他网关提供数据转发的同时,下挂设备也可以访问其他网关下的设备;
(3)判断内部模式下网关的LAN网段是否相同,
当LAN网段相同,则不能进行组网,结束;
当LAN网段不相同,则达到组网条件,进行步骤(5),进行组网;
(4)判断跨域模式下网关的WAN网段是否相同,
当WAN网段相同,则不能进行组网,结束;
当WAN网段不相同,则达到组网条件,进行步骤(5),进行组网;
(5)将网关的网络配置信息上传至数据库,网关再执行组网指令,进行组网。
根据本发明优选的,步骤(1)中,链路信息包括IP地址、端口号、类型、工作模式、协议版本和资源备注;路由信息包括OSPF权限开关。
根据本发明优选的,步骤(2)中,判断组网的网关之间属于内部模式还是跨域模式,具体过程为:
系统控制器基于多模态网络特征自主驱动进行合法性与目的性校验,并动态下发指令与网关受控器进行安全通信,多模态网络特征包括数据库内链路、权限开关、用户输入的字段。
根据本发明优选的,步骤(5)中,网关执行组网指令,进行组网,具体过程为:
网关启动组网进程后,向云服务器上配置的控制器查询网关的配置信息,云服务器上配置的控制器从数据库查询出网关的配置信息并加密后,将密文信息发送给网关,网关解密后得到所需的明文组网信息,最后执行组网操作;
网络配置信息包括路由规则、GRE隧道规则、NAT转发规则;
组网信息包括VPN虚拟网卡地址和LAN口网络地址。
根据本发明优选的,步骤(5)中,当用户只提供内部局域网环境时,基于模态融合技术执行组网操作,具体过程为:
针对内部模式,在公有云上部署Ipsec VPN服务端作为数据转发服务器,在网关上部署Ipsec VPN客户端作为VPN数据通道;
针对跨域模式,在公有云上部署Ipsec VPN服务端作为数据转发服务器;在网关上部署IPsec VPN客户端作为VPN数据通道;为了实现跨域互联,在网关的VPN数据通道上配置GRE隧道,进行内网穿透;为了设备互通,通过网关配置程序配置静态路由,将内网数据转发到GRE隧道,最终实现跨域访问;
网关通过云服务器上配置的控制器的安全通信通道获取对方的网络配置信息后,进行路由配置、NAT配置、GRE隧道配置,配置成功后网关完成组网。
根据本发明优选的,步骤(5)中,当用户提供公网IP和端口映射时,基于模态融合技术执行组网操作,具体过程为:
针对跨域模式,在跨域访问的私有云核心交换机上部署安全接入网关,安全接入网关上部署IPsecVPN服务端,IPsecVPN服务端作为访问私有云网络的数据转发服务器;
针对内部模式,在公有云上部署IPsecVPN服务端,IPsecVPN服务端作为访问私有云网络的数据转发服务器,在安全接入网关上部署IPsecVPN客户端,配置网关内网NAT规则,将访问流量引入IPsec VPN数据通道进行转发;
网关通过云服务器上配置的控制器的安全通信通道获取对方的网络配置信息后,进行路由配置、NAT配置、GRE隧道配置,配置成功后网关完成组网。
内部模式实现,基于IPsec VPN、GRE隧道、路由规则以及NAT技术实现私有云下的企业内部下挂设备互联,采用Shell语言实现。
跨域模式同样基于IPsec VPN、GRE隧道和路由规则实现私有云下的跨域互联,并且该模式支持不改变旁路侧的用户网络结构,通过旁路网关实现对目标服务的数据转发,具有更高的灵活性。
根据本发明优选的,步骤(5)中,当出现异常情况或定制性的要求,内部模式和跨域模式均加入自定义组网规则,执行组网操作,具体为:
A、当出现网络通信进程退出、网络异常时,则恢复网络配置,保证受控器、控制器、IPsecVPN客户端和IPsecVPN服务端的正常启动;可以实现大规模组网路由自动管理需求,能够适应复杂的组网场景;
B、部署在网关上的受控器与控制器进行安全通信,受控器从控制器获取VPN配置信息和网络配置信息,控制OSPF互联接入、DHCP接入和Internet接入,并生成VPN配置文件和网络配置文件;
C、根据受控器获取VPN配置信息,Ipsec VPN客户端和Ipsec VPN服务端建立安全通信隧道,并将该组网网关的组网网段数据通过安全通信隧道转发到其他组网网关上,其他组网网关将该组网网关的组网网段数据加入路由表内;同时,通过安全通信隧道将注册的用户名和密码发送到IPsecVPN服务端,实现网关认证;VPN配置信息包括名称、类型、服务器地址、注册的用户名和密码;
D、根据受控器获取到的网络配置信息,配置GRE隧道、路由表、NAT转发和防火墙,实现组网功能。防火墙控制网关端口转发、端口开放、SNAT转发、ACL规则管理和自定义防火墙规则,控制网关的网络访问行为。
基于模态融合的大规模自动化组网管理系统,用于实现上述模态融合的大规模自动化组网方法,包括:
用户管理模块,用于可视化用户信息,并针对用户所创建的项目进行统一化管理;
网关管理模块,用于在用户管理模块创建的项目中添加网关,针对网关进行组网合理性和目的性进行校验,并对网关进行细粒度配置;
资源管理模块,用于对网关管理模块添加的网关配置链路信息,并针对上线项目进行链路资源监控;上线的项目为已经测试完毕,投入生产使用的项目;
组网项目管理模块,用于对已上线的组网项目进行管理。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现模态融合的大规模自动化组网方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现模态融合的大规模自动化组网方法的步骤。
本发明的有益效果为:
1.本发明提供的基于模态融合的大规模自动化组网方法能够实现不同厂商不同场景下的大规模VPC互联,以解决不同厂商和企业自行搭建VPC互联的问题,以及通过统一管理平台和自行研发的软硬件,实现远程自动化管理VPC互联行为,配置网络安全规则等,提高VPC互联的便捷程度,降低配置和管理难度,应用前景十分广泛。
2.本发明提出的模态融合的大规模自动化组网方法可以实现大规模复杂网络环境下跨域、跨公有云的私有云互联,通过结合自定义规则的自动模式诊断,实现灵活的组网行为。可以高效地实现企业大规模组网自动化管理,提高组网速度。一方面,结合实际应用场景,在传统内网互联模式基础上提出了基于模态融合的新型组网模式;另一方面,针对传统组网技术路由管理困难的问题,提出互联结合动态路由技术,通过Quagga路由管理软件和OSPF协议的应用,解决了大规模互联组网情况下路由的自动管理。
3.本发明提出的基于模态融合的大规模自动化组网管理系统,实现了大规模组网的远程管理和自动配置。
附图说明
图1为本发明提供的一种模态融合的大规模自动化组网方法的组网流程示意图;
图2为本发明实施例3提供的模态融合跨域互联网络拓扑结构示意图。
具体实施方式
下面结合实施例和说明书附图对本发明做进一步说明,但不限于此。
实施例1
一种模态融合的大规模自动化组网方法,如图1所示,包括步骤:
(1)创建项目,即执行同一网络隔离域下的组网操作;在项目内添加网关,并配置链路信息和路由信息;
(2)判断组网的网关之间属于内部模式还是跨域模式,
当组网的网关属于内部模式时,进行步骤(4);
当组网的网关属于跨域模式时,进行步骤(5);
进行模式诊断一方面判断是否可以组网,另一方面判断组网模式;基于模态融合的私有云互联可进行内部模式以及跨域模式的自动诊断,解决企业多个私有云之间的数据和通信安全互通问题。内部模式实现的是内部网关下设备互联互通,跨域模式是旁路网关为其他网关提供数据转发的同时,下挂设备也可以访问其他网关下的设备;
(3)判断内部模式下网关的LAN网段是否相同,
当LAN网段相同,则不能进行组网,结束;
当LAN网段不相同,则达到组网条件,进行步骤(5),进行组网;
(4)判断跨域模式下网关的WAN网段是否相同,
当WAN网段相同,则不能进行组网,结束;
当WAN网段不相同,则达到组网条件,进行步骤(5),进行组网;
(5)将网关的网络配置信息上传至数据库,网关再执行组网指令,进行组网。
实施例2
根据实施例1提供的一种模态融合的大规模自动化组网方法,区别之处在于:
步骤(1)中,链路信息包括IP地址、端口号、类型、工作模式、协议版本和资源备注;路由信息包括OSPF权限开关。
步骤(2)中,判断组网的网关之间属于内部模式还是跨域模式,具体过程为:
系统控制器基于多模态网络特征自主驱动进行合法性与目的性校验,并动态下发指令与网关受控器进行安全通信,多模态网络特征包括数据库内链路、权限开关、用户输入的字段。
步骤(5)中,网关执行组网指令,进行组网,具体过程为:
网关启动组网进程后,向云服务器上配置的控制器查询网关的配置信息,云服务器上配置的控制器从数据库查询出网关的配置信息并加密后,将密文信息发送给网关,网关解密后得到所需的明文组网信息,最后执行组网操作;
网络配置信息包括路由规则、GRE隧道规则、NAT转发规则;
组网信息包括VPN虚拟网卡地址和LAN口网络地址。
实施例3
根据实施例2提供的一种模态融合的大规模自动化组网方法,区别之处在于:
步骤(5)中,当用户只提供内部局域网环境时,基于模态融合技术执行组网操作,具体过程为:
针对内部模式,在公有云上部署Ipsec VPN服务端作为数据转发服务器,在网关上部署Ipsec VPN客户端作为VPN数据通道;
针对跨域模式,在公有云上部署Ipsec VPN服务端作为数据转发服务器;在网关上部署IPsec VPN客户端作为VPN数据通道;为了实现跨域互联,在网关的VPN数据通道上配置GRE隧道,进行内网穿透;为了设备互通,通过网关配置程序配置静态路由,将内网数据转发到GRE隧道,最终实现跨域访问;
网关通过云服务器上配置的控制器的安全通信通道获取对方的网络配置信息后,进行路由配置、NAT配置、GRE隧道配置,配置成功后网关完成组网。
以跨域模式为例,如图2所示,网关组网具体流程如下:
(1)在公有云上部署IPsec VPN服务器,为网关1和网关2提供VPN隧道,其虚拟网络地址是10.10.0.1/24。Vpnc1为部署在网关1上的IPSec VPN客户端;Vpnc2为部署在网关2上的IPSec VPN客户端
(2)网关1启动IPsec VPN客户端,获取到的虚拟网络地址是10.10.0.2/24,内网IP地址设置为192.168.10.1/24。
(3)网关2启动IPsec VPN客户端,获取到的虚拟网络地址是10.10.0.3/24,外网IP地址设置为192.168.1.1/24。
(4)网关1建立和网关2的GRE IP隧道,该隧道的起点是网关1的虚拟网络地址,终点是网关2的虚拟网络地址,操作命令如下:ip tunnel add gre1 mode gre local10.10.0.2remote10.10.0.3。ip link set gre1 up;ip addr add 88.88.0.2dev gre1;iproute add 88.88.0.0/24dev gre1。
(5)网关2建立和网关1的GRE IP隧道,该隧道的起点是网关2的虚拟网络地址,终点是网关1的虚拟网络地址,操作命令如下:ip tunnel add gre1 mode gre local10.10.0.3remote10.10.0.2。ip link set gre1 up;ip addr add 88.88.0.3dev gre1;iproute add 88.88.0.0/24dev gre1。
(6)网关1上添加静态路由,将目标地址是网关2外网地址的数据包通过GRE网卡转发出去,操作命令如下:ip route add 192.168.1.1/24dev gre1。
(7)网关2上添加静态路由,将目标地址网关1内网地址的数据通过GRE网卡转发出去,操作命令如下:ip route add 192.168.10.1/24dev gre1。
实施例4
根据实施例2提供的一种模态融合的大规模自动化组网方法,区别之处在于:
步骤(5)中,当用户提供公网IP和端口映射时,基于模态融合技术执行组网操作,具体过程为:
针对跨域模式,在跨域访问的私有云核心交换机上部署安全接入网关,安全接入网关上部署IPsecVPN服务端,IPsecVPN服务端作为访问私有云网络的数据转发服务器;
针对内部模式,在公有云上部署IPsecVPN服务端,IPsecVPN服务端作为访问私有云网络的数据转发服务器,在安全接入网关上部署IPsecVPN客户端,配置网关内网NAT规则,将访问流量引入IPsec VPN数据通道进行转发;
网关通过云服务器上配置的控制器的安全通信通道获取对方的网络配置信息后,进行路由配置、NAT配置、GRE隧道配置,配置成功后网关完成组网。
内部模式实现,基于IPsec VPN、GRE隧道、路由规则以及NAT技术实现私有云下的企业内部下挂设备互联,采用Shell语言实现。
跨域模式同样基于IPsec VPN、GRE隧道和路由规则实现私有云下的跨域互联,并且该模式支持不改变旁路侧的用户网络结构,通过旁路网关实现对目标服务的数据转发,具有更高的灵活性。
实施例5
根据实施例2提供的一种模态融合的大规模自动化组网方法,区别之处在于:
步骤(5)中,当出现异常情况或定制性的要求,内部模式和跨域模式均加入自定义组网规则,执行组网操作,具体为:
A、当出现网络通信进程退出、网络异常时,则恢复网络配置,保证受控器、控制器、IPsecVPN客户端和IPsecVPN服务端的正常启动;可以实现大规模组网路由自动管理需求,能够适应复杂的组网场景;
B、部署在网关上的受控器与控制器进行安全通信,受控器从控制器获取VPN配置信息和网络配置信息,控制OSPF互联接入、DHCP接入和Internet接入,并生成VPN配置文件和网络配置文件;
C、根据受控器获取VPN配置信息,Ipsec VPN客户端和Ipsec VPN服务端建立安全通信隧道,并将该组网网关的组网网段数据通过安全通信隧道转发到其他组网网关上,其他组网网关将该组网网关的组网网段数据加入路由表内;同时,通过安全通信隧道将注册的用户名和密码发送到IPsecVPN服务端,实现网关认证;VPN配置信息包括名称、类型、服务器地址、注册的用户名和密码;
D、根据受控器获取到的网络配置信息,配置GRE隧道、路由表、NAT转发和防火墙,实现组网功能。防火墙控制网关端口转发、端口开放、SNAT转发、ACL规则管理和自定义防火墙规则,控制网关的网络访问行为。
实施例6
基于模态融合的大规模自动化组网管理系统,用于实现实施例1-5任一个实施例提供的模态融合的大规模自动化组网方法,包括:
用户管理模块,用于可视化用户信息,并针对用户所创建的项目进行统一化管理;
具体的,用户管理模块包括对用户的增加、删除、重置密码和拥有项目权限管理。用户的添加包括账号名、密码、邮箱、手机号、状态和操作开关等字段,其中操作开关可进行管理该用户拥有的项目,支持新增和删除项目以及密码重置操作。
网关管理模块,用于在用户管理模块创建的项目中添加网关,针对网关进行组网合理性和目的性进行校验,并对网关进行细粒度配置;
具体的,网关管理模块包括网关列表子模块和网关详情子模块,
网关列表子模块用于重启网关程序、修改网关信息、重连网关设备和删除网关;
用于统一展示组网信息,查看网关的认证状态以及是否异常,可实现自定义组网规则监控。
在网关列表界面可以可视化网关概要信息、WAN/LAN口信息、虚拟IP、到期时间、受控器概要信息、VPNC概要信息、所连接的控制器信息、模式信息、动态路由状态。
重连网关设备是重新启动组网流程,包括重启IPsec VPN、重新配置GRE隧道规则、重启Quagga、重新添加防火墙规则等;
重启网关程序是让网关重新启动操作系统;
删除网关是将网关从系统中删除,并下发强制消息,被删除的网关则无法进行组网。
网关详情子模块用于管理多模态网络特征,实现多用户场景下的组网模式融合监控,可视化网关配置信息;例如可以添加网关,包括网关名称、网关型号选择、MAC地址、链路选择、网关模式选择、内网网段、到期时间、权限开关、OSPF开关、DHCP开关、Internet开关等字段。可在线搜索符合条件的网关。
资源管理模块,用于对网关管理模块添加的网关配置链路信息,并针对上线项目进行链路资源监控;上线的项目为已经测试完毕,投入生产使用的项目;
资源管理模块主要是对链路资源的管理,包括链路的添加、修改和删除。可以修改链路的IP地址、端口号、类型、工作模式、协议版本和资源备注等信息,且覆盖上线开关、地区、国家、城市和备注等字段,修改功能是对这些信息及字段的修改,删除功能是删除该资源。
组网项目管理模块,用于对已上线组网项目进行管理。
具体的,组网项目管理模块包括组网项目列表展示子模块、私有路由子模块、公有路由子模块和防火墙规则管理子模块;
组网项目列表展示子模块用于查看项目包含的网关列表、修改项目、删除项目和新增项目;
新增项目用于添加项目类型、名称、负责人、对口公司、对口人、联系方式和描述字段;
修改项目是对项目类型、名称、负责人、对口公司、对口人、联系方式和描述字段进行修改;
删除项目是对项目的删除操作,同时会删除该项目下的网关、公有路由和私有路由等信息。
私有路由子模块用于实现网关的私有路由;私有路由添加功能目的是为网关添加路由,指定路由网段、网卡、默认网关等字段。
公有路由子模块用于查看、修改和删除项目的公有路由;公有路由添加功能目的是为该项目下的所有网关配置路由规则,支持文件上传功能,根据网关工作模式的不同,将路由添加到不同的网卡上。
防火墙规则管理子模块用于查看、修改和删除网关的防火墙规则;防火墙规则包括端口转发、SNAT规则、开启端口、ACL规则和自定义规则,支持的协议包括TCP和UDP,支持根据规则类型和输入的字段内容生成规则预览。
实施例7
一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现实施例1-5任一个实施例提供的模态融合的大规模自动化组网方法的步骤。
实施例8
一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现实施例1-5任一个实施例提供的模态融合的大规模自动化组网方法的步骤。
Claims (10)
1.一种模态融合的大规模自动化组网方法,其特征在于,包括步骤:
(1)创建项目,即执行同一网络隔离域下的组网操作;在项目内添加网关,并配置链路信息和路由信息;
(2)判断组网的网关之间属于内部模式还是跨域模式,
当组网的网关属于内部模式时,进行步骤(3);
当组网的网关属于跨域模式时,进行步骤(4);
(3)判断内部模式下网关的LAN网段是否相同,
当LAN网段相同,则不能进行组网,结束;
当LAN网段不相同,则达到组网条件,进行步骤(5),进行组网;
(4)判断跨域模式下网关的WAN网段是否相同,
当WAN网段相同,则不能进行组网,结束;
当WAN网段不相同,则达到组网条件,进行步骤(5),进行组网;
(5)将网关的网络配置信息上传至数据库,网关再执行组网指令,进行组网;
所述网关为VPC中的网关;
内部模式实现的是内部网关下设备互联互通,跨域模式是旁路网关为其他网关提供数据转发的同时,下挂设备能够访问其他网关下的设备。
2.根据权利要求1所述的一种模态融合的大规模自动化组网方法,其特征在于,步骤(1)中,链路信息包括IP地址、端口号、类型、工作模式、协议版本和资源备注;路由信息包括OSPF权限开关。
3.根据权利要求1所述的一种模态融合的大规模自动化组网方法,其特征在于,步骤(2)中,判断组网的网关之间属于内部模式还是跨域模式,具体过程为:
系统控制器基于多模态网络特征自主驱动进行合法性与目的性校验,并动态下发指令与网关受控器进行安全通信,多模态网络特征包括数据库内链路、权限开关、用户输入的字段。
4.根据权利要求1所述的一种模态融合的大规模自动化组网方法,其特征在于,步骤(5)中,网关执行组网指令,进行组网,具体过程为:
网关启动组网进程后,向云服务器上配置的控制器查询网关的配置信息,云服务器上配置的控制器从数据库查询出网关的配置信息并加密后,将密文信息发送给网关,网关解密后得到所需的明文组网信息,最后执行组网操作;
网络配置信息包括路由规则、GRE隧道规则、NAT转发规则;
组网信息包括VPN虚拟网卡地址和LAN口网络地址。
5.根据权利要求4所述的一种模态融合的大规模自动化组网方法,其特征在于,步骤(5)中,当用户只提供内部局域网环境时,基于模态融合技术执行组网操作,具体过程为:
针对内部模式,在公有云上部署Ipsec VPN服务端作为数据转发服务器,在网关上部署Ipsec VPN客户端作为VPN数据通道;
针对跨域模式,在公有云上部署Ipsec VPN服务端作为数据转发服务器;在网关上部署IPsec VPN客户端作为VPN数据通道;在网关的VPN数据通道上配置GRE隧道,进行内网穿透;通过网关配置程序配置静态路由,将内网数据转发到GRE隧道,最终实现跨域访问;
网关通过云服务器上配置的控制器的安全通信通道获取对方的网络配置信息后,进行路由配置、NAT配置、GRE隧道配置,配置成功后网关完成组网。
6.根据权利要求4所述的一种模态融合的大规模自动化组网方法,其特征在于,步骤(5)中,当用户提供公网IP和端口映射时,基于模态融合技术执行组网操作,具体过程为:
针对跨域模式,在跨域访问的私有云核心交换机上部署安全接入网关,安全接入网关上部署IPsecVPN服务端,IPsecVPN服务端作为访问私有云网络的数据转发服务器;
针对内部模式,在公有云上部署IPsecVPN服务端,IPsecVPN服务端作为访问私有云网络的数据转发服务器,在安全接入网关上部署IPsecVPN客户端,配置网关内网NAT规则,将访问流量引入IPsec VPN数据通道进行转发;
网关通过云服务器上配置的控制器的安全通信通道获取对方的网络配置信息后,进行路由配置、NAT配置、GRE隧道配置,配置成功后网关完成组网。
7.根据权利要求4所述的一种模态融合的大规模自动化组网方法,其特征在于,步骤(5)中,当出现异常情况或定制性的要求,内部模式和跨域模式均加入自定义组网规则,执行组网操作,具体为:
A、当出现网络通信进程退出、网络异常时,则恢复网络配置,保证受控器、控制器、IPsecVPN客户端和IPsecVPN服务端的正常启动;
B、部署在网关上的受控器与控制器进行安全通信,受控器从控制器获取VPN配置信息和网络配置信息,控制OSPF互联接入、DHCP接入和Internet接入,并生成VPN配置文件和网络配置文件;
C、根据受控器获取VPN配置信息,Ipsec VPN客户端和Ipsec VPN服务端建立安全通信隧道,并将该组网网关的组网网段数据通过安全通信隧道转发到其他组网网关上,其他组网网关将该组网网关的组网网段数据加入路由表内;同时,通过安全通信隧道将注册的用户名和密码发送到IPsecVPN服务端,实现网关认证;VPN配置信息包括名称、类型、服务器地址、注册的用户名和密码;
D、根据受控器获取到的网络配置信息,配置GRE隧道、路由表、NAT转发和防火墙,实现组网功能。
8.基于模态融合的大规模自动化组网管理系统,用于实现权利要求1-7任一项所述的一种模态融合的大规模自动化组网方法,其特征在于,包括:
用户管理模块,用于可视化用户信息,并针对用户所创建的项目进行统一化管理;
网关管理模块,用于在用户管理模块创建的项目中添加网关,针对网关进行组网合理性和目的性进行校验,并对网关进行细粒度配置;
资源管理模块,用于对网关管理模块添加的网关配置链路信息,并针对上线项目进行链路资源监控;
组网项目管理模块,用于对已上线的组网项目进行管理。
9.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现权利要求1-7任一项所述的模态融合的大规模自动化组网方法的步骤。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7任一项所述的模态融合的大规模自动化组网方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110216724.XA CN112866077B (zh) | 2021-02-26 | 2021-02-26 | 一种模态融合的大规模自动化组网方法、管理系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110216724.XA CN112866077B (zh) | 2021-02-26 | 2021-02-26 | 一种模态融合的大规模自动化组网方法、管理系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112866077A CN112866077A (zh) | 2021-05-28 |
| CN112866077B true CN112866077B (zh) | 2022-06-14 |
Family
ID=75990164
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110216724.XA Active CN112866077B (zh) | 2021-02-26 | 2021-02-26 | 一种模态融合的大规模自动化组网方法、管理系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112866077B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113489695B (zh) * | 2021-06-24 | 2023-08-01 | 深圳Tcl新技术有限公司 | 私有云组网方法、装置、系统、计算机设备及存储介质 |
| CN113660126B (zh) * | 2021-08-18 | 2024-04-12 | 奇安信科技集团股份有限公司 | 一种组网文件生成方法、组网方法以及装置 |
| CN114430391A (zh) * | 2021-12-23 | 2022-05-03 | 东莞市李群自动化技术有限公司 | 网络域创建的方法、网络系统、设备及存储介质 |
| CN116545875A (zh) * | 2023-04-17 | 2023-08-04 | 上海米斯里通讯科技有限公司 | 基于物联网的安全通信控制系统 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882758B (zh) * | 2011-07-12 | 2018-12-07 | 华为技术有限公司 | 虚拟私云接入网络的方法、网络侧设备和数据中心设备 |
| US20190097940A1 (en) * | 2016-06-15 | 2019-03-28 | Alibaba Group Holding Limited | Network system and method for cross region virtual private network peering |
| CN108429680B (zh) * | 2018-03-07 | 2020-09-15 | 北京青云科技股份有限公司 | 一种基于虚拟私有云的路由配置方法、系统、介质及设备 |
| CN109150685B (zh) * | 2018-08-10 | 2020-11-03 | 哈尔滨工业大学(威海) | 一种面向异构网络的智能互联方法及系统 |
| US11196591B2 (en) * | 2018-08-24 | 2021-12-07 | Vmware, Inc. | Centralized overlay gateway in public cloud |
| CN111030912B (zh) * | 2018-10-09 | 2021-02-12 | 华为技术有限公司 | 虚拟私有云vpc之间互通的方法 |
| CN111130975B (zh) * | 2018-11-01 | 2022-01-18 | 深信服科技股份有限公司 | 一种混合云网络互通系统及方法 |
| CN109936629B (zh) * | 2019-02-27 | 2021-09-03 | 浪潮云信息技术股份公司 | 一种混合云网络互连方法及系统 |
| CN111917649B (zh) * | 2019-05-10 | 2022-06-28 | 华为云计算技术有限公司 | 虚拟私有云通信及配置方法以及相关装置 |
| CN111585800B (zh) * | 2020-04-29 | 2022-06-28 | 平安科技(深圳)有限公司 | 基于虚拟私有云的网关节点的配置方法、装置和介质 |
| CN111800399B (zh) * | 2020-06-24 | 2022-05-20 | 北京青云科技股份有限公司 | 一种信息传输方法、装置、设备及存储介质 |
-
2021
- 2021-02-26 CN CN202110216724.XA patent/CN112866077B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112866077A (zh) | 2021-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112866077B (zh) | 一种模态融合的大规模自动化组网方法、管理系统、设备及存储介质 | |
| EP3750283B1 (en) | Stitching enterprise virtual private networks (vpns) with cloud virtual private clouds (vpcs) | |
| US10015046B2 (en) | Methods and apparatus for a self-organized layer-2 enterprise network architecture | |
| US6751729B1 (en) | Automated operation and security system for virtual private networks | |
| US9647988B2 (en) | Policy-based configuration of internet protocol security for a virtual private network | |
| CN108551464A (zh) | 一种混合云的连接建立、数据传输方法、装置和系统 | |
| JP4657294B2 (ja) | 地理的に分布したバーチャルルーティングのためのシステム | |
| US20130239198A1 (en) | Managing remote network addresses in communications | |
| JP2003069609A (ja) | 仮想私設網サービスを提供するシステム | |
| KR20120052981A (ko) | 적어도 하나의 가상 네트워크를 온더플라이 및 온디맨드 방식으로 배치하는 방법 및 시스템 | |
| CN109274570B (zh) | Vpn的构建方法、装置和计算机可读存储介质 | |
| EP3782334B1 (en) | System and method for creating group networks between network devices | |
| US20150288651A1 (en) | Ip packet processing method and apparatus, and network system | |
| CN109005179A (zh) | 基于端口控制的网络安全隧道建立方法 | |
| CN111371798A (zh) | 数据安全传输方法、系统、装置及存储介质 | |
| JP2019519146A (ja) | ルーティング確立、パケット送信 | |
| KR20140122335A (ko) | 가상사설망 구성 방법, 패킷 포워딩 방법 및 이를 이용하는 게이트웨이 장치 | |
| CN112911001A (zh) | 一种云vpn与企业网自动化组网方案 | |
| JP2016531464A (ja) | 通信ネットワークにおけるセキュアサービス管理 | |
| JP2009135805A (ja) | 仮想網構築プログラム、仮想網構築装置、および仮想網構築方法 | |
| JP2016012909A (ja) | 通信装置、通信方法および通信システム | |
| JP2003188906A (ja) | Vpnポリシー管理装置 | |
| Li | Policy-based IPsec management | |
| Forbacha et al. | Design and Implementation of a Secure Virtual Private Network Over an Open Network (Internet) | |
| KR102386386B1 (ko) | 단말기의 선택적 vpn 연결 기능을 갖는 공유기 및 이를 이용한 단말기의 vpn 연결 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Wei Yuliang Inventor after: Wang Wei Inventor after: Wei Xueguang Inventor after: Huang Junheng Inventor after: Wang Bailing Inventor before: Wei Xueguang Inventor before: Wang Wei Inventor before: Wei Yuliang Inventor before: Huang Junheng Inventor before: Wang Bailing |
|
| CB03 | Change of inventor or designer information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |