CN113965462A - 业务传输方法、装置、网络设备和存储介质 - Google Patents
业务传输方法、装置、网络设备和存储介质 Download PDFInfo
- Publication number
- CN113965462A CN113965462A CN202010610244.7A CN202010610244A CN113965462A CN 113965462 A CN113965462 A CN 113965462A CN 202010610244 A CN202010610244 A CN 202010610244A CN 113965462 A CN113965462 A CN 113965462A
- Authority
- CN
- China
- Prior art keywords
- current
- temporary
- link
- equipment
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 64
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000001514 detection method Methods 0.000 claims description 20
- 238000013519 translation Methods 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 12
- 238000006243 chemical reaction Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 5
- 238000007726 management method Methods 0.000 description 21
- 238000004891 communication Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 238000005538 encapsulation Methods 0.000 description 4
- 230000005641 tunneling Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0659—Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0659—Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
- H04L41/0661—Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities by reconfiguring faulty entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Abstract
本申请提供一种业务传输方法、装置、设备和存储介质,包括;检测到当前链路故障后,调整当前网络配置并修改当前安全规则;基于调整后的网络配置确定临时接口;对外部设备开放所述临时接口;其中,所述临时接口用于所述外部设备与当前设备建立临时链路;在所述临时链路上使用修改后的安全规则进行业务传输。
Description
技术领域
本申请涉及通信技术领域,具体涉及一种业务传输方法、装置、网络设备和存储介质。
背景技术
网络安全协议实现原理是,通过协议协商密钥,设定安全规则,将命中规则的用户数据报文加密和增加完整性校验等。对于某些集中接入点,还增加额外的报文头,将用户报文封装在隧道中,典型如IPsec的封装安全载荷(Encapsulating Security Payload,ESP)协议的隧道模式,MACsec协议也可以将用户的虚拟局域网(Virtual Local Area Network,VLAN)标签和内部以太网报文加密封装,从而使得外部设备对通信的报文完全不感知,保护通信链路的安全。
传统网络安全协议的安全策略,不论是IPsec还是MACsec等都是静态配置的,用户配置生效后规则不再改变,这样处理安全性好,可以完全按照用户规则来执行安全要求。
然而,一旦网络发生故障,不论是安全设备故障,还是对应的软件或者功能故障,都将引起通信双方链路的中断,无法进行业务传输。
发明内容
本申请提供的业务传输方法、装置、网络设备和存储介质,以在链路故障之后,实现业务传输。
第一方面,本申请实施例提供一种业务传输方法,包括:
检测到当前链路故障后,调整当前网络配置并修改当前安全规则;
基于调整后的网络配置确定临时接口;
对外部设备开放所述临时接口;其中,所述临时接口用于所述外部设备与当前设备建立临时链路;
在所述临时链路上使用修改后的安全规则进行业务传输。
第二方面,本申请实施例提供一种业务传输装置,包括:
检测模块,被配置为检测到当前链路故障后,调整当前网络配置并修改当前安全规则;
确定模块,被配置为基于调整后的网络配置确定临时接口;
接口模块,被配置为诶对外部设备开放所述临时接口;其中,所述临时接口用于所述外部设备与当前设备建立临时链路;
传输模块,被配置为在所述临时链路上使用修改后的安全规则进行业务传输。
第三方面,本申请实施例提供一种网络设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本申请实施例提供的任一项所述的方法。
第四方面,本申请实施例提供一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如本申请实施例提供的任一项所述的方法。
本申请实施例提供的业务传输方法、装置、设备和存储介质,在检测到当前链路故障后,调整当前网络配置并修改当前设备业务的当前安全规则,并对外部设备开放临时接口,使得外部设备重新接入当前设备,可以通过临时接口提供业务的再次接入能力,避免了网络发生故障引起的通信双方链路的中断,无法进行业务传输的情况,有效的提升系统的可用性。
关于本申请的以上实施例和其他方面以及其实现方式,在附图说明、具体实施方式和权利要求中提供更多说明。
附图说明
图1是安全协议应用场景图;
图2是本申请实施例提供的一种业务传输方法的流程图;
图3是本申请实施例提供的启用临时链路的业务数据流程图;
图4是本申请实施例提供的业务传输方案的流程图;
图5是本申请实施例提供的一种业务传输装置的结构示意图;
图6是本申请实施例提供的一种网络设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚明白,下文中将结合附图对本申请的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
网络安全发展至今,有比较成熟的框架和理论,涉及的场景和方法也非常多。如密码学,接入控制,鉴权管理,传输安全,敏感数据保护等。其中传输安全是解决非可信网络环境中数据传输的机密性和完整性的主要技术。传输安全技术主要有介质访问控制安全(Media Access Control Security,MACsec),互联网协议安全(Internet ProtocolSecurity,IPsec),安全套接字协议(Secure Socket Layer,SSL),安全传输层协议(Transport Layer Security,TLS)等。其中IPsec协议应用最为广泛,可以解决网络层安全问题,而被应用于基站到核心网之间的安全传输协议。
网络安全协议实现原理,通过协议协商密钥,设定安全规则,将命中规则的用户数据报文加密和增加完整性校验等。对于某些集中接入点,还增加额外的报文头,将用户报文封装在隧道中,如IPsec的ESP协议的隧道模式,MACsec协议也可以将用户VLAN标签和内部以太网报文加密封装,从而使得外部设备对通信的报文完全不感知,保护通信链路的安全。
传统网络安全协议的安全策略,不论是IPsec还是MACsec等都是静态配置的,用户配置生效后规则不再改变,虽然这样处理安全性比较好,可以完全按照用户规则来执行安全要求,但是一旦网络发生故障,不论是安全设备故障,还是对应的软件或者功能故障,都将引起通信双方链路的中断。由于安全协议的特性,比如根据安全规则对数据强制加密,发送方的加密报文除了已出现故障的对端设备外,其余设备不能解密,或者接收的数据不能被正确解密而被丢弃。
如IPsec通信双方配置安全策略,将数据的管理面报文通过ESP隧道模式加密封装,如果响应方安全网关(Security Gateway,SeGW)故障,则IPsec发起方对管理面报文继续按照加密方式处理发送,对端不能解析,或者由于链路检测密钥更新重新协商失败,将管理面报文丢弃,导致接收方网管或者管理工具都不能正常接入设备。对于一些分布部署的设备,比如基站,则需要维护人员到现场站点侧查明原因并现场解决,成本极高。
图1是安全协议应用场景图,如图1所示,无线接入网的典型组网,操作维护中心(Operation and Maintenance Center,OMC)、工具(Tools)、4G核心网(Evolved PackageCore,EPC)或者5G核心网(5G Core)、安全网关(SeGW)、基站、路由器或交换机构成。其中,OMC包括网元管理系统(Element Management System,EMS)。工具包括远程接入工具安全外壳协议(Secure Shell,SSH),超文本传输协议(Hyper Text Transfer Protocol overSecureSocket Layer,HTTPs)。
基站与OMC,Tools和EPC/5G Core之间的链路为应用链路。基站与安全网关之间的链路为安全链路。
在一个实施例中,提供一种业务传输方法,图2是本申请实施例提供的一种业务传输方法的流程图。如图2所示,本申请实施例提供的业务传输方法主要包括步骤S11、S12、S13和S14。
S11、检测到当前链路故障后,调整当前网络配置并修改当前安全规则。
S12、基于调整后的网络配置确定临时接口。
S13、对外部设备开放所述临时接口;其中,所述临时接口用于所述外部设备与当前设备建立临时链路。
S14、在所述临时链路上使用修改后的安全规则进行业务传输。
在本实施例中,所以业务传输方法由当前设备来执行。所述当前设备包括支持网络安全隧道协议的网络设备,例如:当前设备是基站或者机顶盒等。
当前链路是指当前设备通过安全网关进行加密解密之后与外部设备进行数据传输的链路或者通道。当前网络配置是指当前链路正常状态下网络的配置状态。当前安全规则是指当前链路正常状态下,采用的安全规则或者安全协议。
需要说明的是,基于当前链路安全协议的不同,可以采用不用的检测方式。本实施例中不对链路检测方式进行限定。
在本实施例中,外部设备是指远端管理设备或远端控制设备,如图1所示的OMC,EMS,SSH等。
在一个示例性的实施方式中,所述调整当前网络配置包括如下一个或多个:
将预设协议对应的环回网际互连协议IP地址切换为物理网口接口IP地址;
调整虚拟局域网VLAN配置,
调整集中接入设备的地址转换策略。
所述集中接入设备的地址转换策略包括如下一个或多个:
针对集中接入设备增加内部地址和外部地址的转换关系,临时链路的路由表,接入控制列表配置。
在一个示例性的实施方式中,在将预设协议对应的环回网际互连协议IP地址切换为物理网口接口IP地址的情况下,所述基于调整后的网络配置确定临时接口,包括:基于所述物理网口接口IP地址确定对应的临时接口。
在一个示例性的实施方式中,所述修改当前安全规则,包括如下一种或多种:将重要业务的安全规则设置为非加密通过;将当前接口从加密组移除;将当前报文不做加密处理;在当前报文配置VLAN标签的情况下,恢复常规VLAN配置。
在一个示例性的实施方式中,所述重要业务包括如下一个或多个:管理面业务,控制面业务,用户自定义业务。
在本实施例中,当前设备的业务可以是当前设备所有的业务。在本实施例中,当前设备的业务是当前设备的重要业务。重要业务是指管理面业务和/或控制面业务,也可以是用户自定义的业务。
对于设备而言,并非所有的数据都需要恢复,全部恢复成本很高,绕过安全协议也会降低服务的安全性,本实施例中主要针对重要的管理报文,或者控制面报文,在安全协议故障时,提供新的临时接入通道。
在一个示例性的实施方式中,所述当前链路故障包括安全链路故障和应用链路故障。
安全链路故障是指安全协议层之间的故障,应用链路故障是指应用层之间的链路故障。例如,网络7层架构,应用层在安全层(可能部署在传输层、网络成呢过、链路层上)之上。
检测到当前链路故障,包括检测到应用链路断链后,发起安全链路检测,检测到安全链路断链之后,确定当前链路出现故障。
在一个示例性的实施方式中,所述临时链路包括:中间转发设备或集中接入设备的地址转换协议,绕行的临时通道。
在一个示例性的实施方式中,所述在所述临时链路上使用修改后的安全规则进行业务传输,包括:
若所述外部设备通过内部网络接入所述当前设备,通过中间转发设备或集中接入设备的地址转换协议进行业务传输。
在本实施例中,中间转发设备可以是图1中所示的交换机或者路由器,集中接入设备可以是图1中的安全网关。
在本实施例中,如果当前链路故障之后,中间转发设备或集中接入设备是正常使用,并没有故障,则可以将业务报文通过中间转发设备或集中接入设备的地址转换协议进行传输。
通过地址转换协议进行传输可以理解为中间转发设备或集中接入设备仅根据地址转换协议将业务报文转换之后传输,而不在进行进行解密或加密等。
在一个示例性的实施方式中,所述在所述临时链路上使用修改后的安全规则进行业务传输,包括:若所述外部设备通过所述绕行的临时通道接入所述当前设备,则通过所述绕行的临时通道进行业务传输。
在本实施例中,如果当前链路故障之后,中间转发设备或集中接入设备不能正常使用,则外部设备采用绕行的临时通道直接接入当前设备,并通过绕行的临时通道进行业务传输。其中,绕行的临时通道是指外部设备绕过中间转发设备和集中接入设备,直接与使用传输可达链路接入所述当前设备,不需要中间转发设备或者集中接入设备做地址转换协议。
在一个示例性的实施方式中,所述对外部设备开放所述临时接口之后,还包括:将调整后的网络配置,修改后的安全规则以及服务清单保存;当下一次链路故障后,调用保存的所述修改后的网络配置,所述修改后的安全规则以及所述服务清单保存。
在本实施例中,临时链路建立之后,将这部分临时生成的网络配置和安全规则,以及服务相关清单存盘,以使下次故障时优先读取此配置,避免每次故障均进行修改网络配置和安全规则。
在一个示例性的实施方式中,所述对外部设备开放所述临时接口之后,还包括:按照设定周期切换至所述当前网络配置;在切换失败次数超过设定数量的情况下,进行复位操作。
如果切换为临时链路后,设置需要保护的重要业务还不能恢复,则定时切换到原有配置,如果业务持续不能恢复,切换次数超过一定门限后,再通过复位等其他方式努力自救。
在一个示例性的实施方式中,所述对外部设备开放临时接口之后,还包括:检测到所述当前链路恢复后,切换至所述当前网络配置和所述当前安全规则;使用所述当前网络配置和所述当前安全规则为所述外部设备提供服务。
网络启用上述业务传输方法后,在安全协议故障时,可以尽最大能力提供重要业务的再次接入能力,有效的提升系统的可用性。
在一个实施例中,针对网络安全协议故障的情况下,当前设备需要尽最大努力保障重要业务接入,比如管理面业务或控制面业务。检测到故障后需要根据组网情况,切换对应的IP等网络传输,同时自动切换传输配置和安全策略,将之前加密的报文修改为非加密或隧道封装态,并事先在中间转发设备或集中接入设备上配置对应的地址转换和路由转发规则,尽量保障重要业务的接入。
通信双方需要定时或主动检测当前链路。
其中,检测分为不同的层次,主要包括基于安全设备之间的安全协议链路检测和基于应用设备之间的应用链路检测。
进一步的,检测到应用链路断链后,进一步发起安全链路检测,检测到安全链路断链之后,确定当前链路出现故障。进一步的,如果安全设备和应用设备是同一设备,则检测方式合一。
用户根据当前网络配置,预先进行网络规划。
如果当前设备安全协议故障后,切换新的传输IP地址,需要在中间转发设备或集中接入设备(如防火墙或SeGW)上配置新的地址转换策略。上述地址转换策略包括NAT或者新传输链路的路由表,接入控制列表(ACL)配置等。
在检测到链路故障后,当前设备自动调整对应的网络配置,并修订重要业务的当前安全规则,同时对外部开放新的临时接口,使得外部设备能够临时被当前设备托管,以提供临时的服务。临时接口是控制接口或管理接口。
如图3所示,安全协议链路故障后,建立新的临时链路,采用NAT或者绕过集中接入设备的方式,当前设备直接与当前设备进行数据的传输。
其中,重要业务可以是管理面业务,也可以是控制面业务,或者是用户自定义的业务数据。
网络配置主要是重要业务关联的IP地址,以及对应的网口端口,VLAN等配置,同时还包含中间网络设备的地址转换策略(如NAT),接入控制列表(ACL)配置等。比如将业务之前关联到安全隧道内的环回IP地址,临时改配到指定物理网口的接口IP地址。以及针对网络集中接入设备(如SeGW或防火墙),增加内部地址到外部地址的转换关系,以及对应的路由转发表,将内部网络映射的公网IP放置于ACL允许通过清单中。
安全规则可以是满足当前特征的报文(典型如五元组,源IP、目的IP、协议、源端口、目的端口),执行加密、拒绝、直接通过等行为,也可以是用户针对某类型报文特定的处理规则。
对外部开放新的临时接口,可以是新开启的服务,也可以是将之前安全协议加密,或者封装在隧道内的,不能直接访问的服务,便于新的服务托管。
外部设备重新接入当前设备,通过中间转发设备或集中接入设备的网络地址转换,将报文发送给当前设备,当前设备回复的报文不再经过之前的安全协议或安全隧道封装,而直接使用新的接入协议。
如果临时链路建立,将这部分临时生成的网络配置和安全规则,以及服务相关清单存盘,下次故障时优先读取此配置。
如果当前设备检测到安全链路或者应用链路恢复,则设置切换规则,将临时生成的配置和规则删除,再切换到原有配置,重新将业务封装在原来的安全协议或安全隧道内。
如果切换为临时链路后,设置需要保护的重要业务还不能恢复,则定时切换到原有配置,如果业务持续不能恢复,切换次数超过一定门限后,再通过复位等其他方式努力自救。
重要业务数据流一般为管理数据,或者信令数据。
系统启用该功能后,在安全协议故障时,可以尽最大能力提供重要业务的再次接入能力,有效的提升系统的可用性。
在一个实施例中,以安全协议是IPsec协议为例进行说明。
当前设备采用的安全协议为IPsec协议(ESP隧道封装),重要的应用协议是管理面协议,采用netconf协议。安全协议采用BFD(Bidirectional Forwarding Detection,双向转发检测)或者DPD(Dead Peer Detection,对端死亡检测)协议作为链路检测,netconf协议采用定时握手方式来做链路检测。如果netconf断链,进一步检查是否由于IPsec链路故障引起。
用户根据当前网络配置,预先根据网络规划,如果设备安全协议故障后,切换新的传输IP地址等,在中间路由转发设备,或者集中接入设备(如防火墙或SeGW)上配置新的传输策略,如NAT(网管或工具内网地址到外网地址的转换)或者新传输链路的路由表(到网管或工具外网路由)等。
如果检测到IPsec链路中断,则当前设备将netconf对应的环回IP地址切换为物理网口接口IP地址,再将netconf的协议的安全规则设置为不加密。
如果存在其它管理服务,如SSH/HTTPs操作维护接口,类似上述netconf协议,将之前关联的环回IP切换为物理网口接口IP,将对应的安全规则设置为不加密。
网管或工具,可以绕过SeGW,直接使用公网IP访问设备当前的netconf管理接口,或者SSH/HTTPs服务,也可以通过SeGW(正常工作),SeGW或者前置防火墙,将网管或工具的内网地址翻译为公网IP,将此公网IP放置于ACL允许通过清单中。除了新协议netconf/SSH/HTTPs自身安全保护外,设备和SeGW都不再对此类报文做IPsec加密以及封装隧道处理。
如果临时链路建立,将这部分临时生成的配置和规则,以及服务相关清单存盘,下次故障时优先读取此配置。
如果当前设备检测到IPsec链路恢复,则设置切换规则,将临时生成的配置和规则删除,切换到原有配置,重新将业务(netconf/SSH/HTTPs)封装在原来的IPsec隧道内。
如果切换为临时通道后,netconf业务还不能恢复,则定时切换到原有配置,如果业务持续不能恢复,切换次数超过一定门限后,再通过复位等其他方式努力自救。
该设备可以是基站,机顶盒或者其他支持网络安全隧道协议的网络设备。
系统启用该功能后,在安全协议故障时,可以尽最大能力提供重要业务的再次接入能力,有效的提升系统的可用性。
在一个实施例中,如图4所示,链路检测模块用于对当前链路进行检测。配置模块用于修改网络配置、安全规则和开放接口配置。以实现在安全协议故障时,可以尽最大能力提供重要业务的再次接入能力,
在一个实施例中,以安全协议是MACsec协议为例进行说明。
当前设备采用的安全协议为MACsec协议(VLAN tag加密模式),重要的应用协议为管理面协议,采用netconf协议。netconf协议采用定时握手方式来做链路检测。如果netconf断链,进一步检查是否因为MACsec链路引起的。
用户根据当前网络配置,预先进行网络规划。如果设备安全协议故障后,对接的交换设备可以将当前设备做MACsec组中移除,即当前设备的报文不再做MACsec加密处理。
如果检测到netconf断链,则当前设备将netconf协议的安全规则设置为非加密通过,或者将当前端口从MACsec加密组中移除,或对当前报文不做MACsec加密处理,以及如果当前netconf报文配置了VLAN tag(被加密再MACsec协议中),则恢复之前的VLAN配置。
如果存在其它管理服务,如SSH/HTTPs操作维护接口,类似上述netconf协议,修改前关联的安全规则,将当前端口从MACsec加密组中移除,或对当前报文不做MACsec加密处理。
网管或工具,通过中间转发设备或集中接入设备直接接入当前设备。除了新协议netconf/SSH/HTTPs自身安全保护外,集中接入设备和交换机都不再对此类报文做MACsec加密以及VLAN tag加密封装处理。
如果临时链路建立,将这部分临时生成的配置和规则,以及服务相关清单存盘,下次故障时优先读取此配置。
如果当前设备检测到MACsec链路恢复,则设置切换规则,将临时生成的配置和规则删除,切换到原有配置,重新将业务(netconf/SSH/HTTPs)封装在原来的MACsec加密通道内。
如果切换为临时链路后,netconf业务还不能恢复,则定时切换到原有配置,如果业务持续不能恢复,切换次数超过一定门限后,再通过复位等其他方式努力自救。
该当前设备可以是支持网络安全隧道协议的网络设备,例如:基站,机顶盒等。
系统启用该功能后,在安全协议故障时,可以尽最大能力提供重要业务的再次接入能力,有效的提升系统的可用性。
在一个实施例中,提供一种业务传输装置,图5是本申请实施例提供的一种业务传输装置的结构示意图。如图5所示,本申请实施例提供的业务传输装置主要包括检测模块51、确定模块52、接口模块53和传输模块54。
检测模块51,被配置为检测到当前链路故障后,调整当前网络配置并修改当前安全规则;
确定模块52,被配置为基于调整后的网络配置确定临时接口;
接口模块53,被配置为诶对外部设备开放所述临时接口;其中,所述临时接口用于所述外部设备与当前设备建立临时链路;
传输模块54,被配置为在所述临时链路上使用修改后的安全规则进行业务传输。
在一个示例性的实施方式中,所述调整当前网络配置包括如下一个或多个:将预设协议对应的环回网际互连协议IP地址切换为物理网口接口IP地址;调整虚拟局域网VLAN配置,调整集中接入设备的地址转换策略。
在一个示例性的实施方式中,所述集中接入设备的地址转换策略包括如下一个或多个:针对集中接入设备增加内部地址和外部地址的转换关系,临时链路的路由表,接入控制列表配置。
在一个示例性的实施方式中,在将预设协议对应的环回网际互连协议IP地址切换为物理网口接口IP地址的情况下,所述基于调整后的网络配置确定临时接口,包括:基于所述物理网口接口IP地址确定对应的临时接口。
在一个示例性的实施方式中,所述修改当前安全规则,包括如下一种或多种:将重要业务的安全规则设置为非加密通过;将当前接口从加密组移除;将当前报文不做加密处理;在当前报文配置VLAN标签的情况下,恢复常规VLAN配置。
在一个示例性的实施方式中,所述重要业务包括如下一个或多个:管理面业务,控制面业务,用户自定义业务。
在一个示例性的实施方式中,所述当前链路故障包括安全链路故障和应用链路故障。
在一个示例性的实施方式中,所所述临时链路包括:中间转发设备或集中接入设备的地址转换协议,绕行的临时通道,所述在所述临时链路上使用修改后的安全规则进行业务传输,包括:
若所述外部设备通过内部网络接入所述当前设备,通过中间转发设备或集中接入设备的地址转换协议进行业务传输;
若所述外部设备通过所述绕行的临时通道接入所述当前设备,则通过所述绕行的临时通道进行业务传输。
在一个示例性的实施方式中,所述对外部设备开放所述临时接口之后,还包括:将调整后的网络配置,修改后的安全规则以及服务清单保存;当下一次链路故障后,调用保存的所述修改后的网络配置,所述修改后的安全规则以及所述服务清单保存。
在一个示例性的实施方式中,所述对外部设备开放所述临时接口之后,还包括:按照设定周期切换至所述当前网络配置;在切换失败次数超过设定数量的情况下,进行复位操作。
在一个示例性的实施方式中,所述对外部设备开放临时接口之后,还包括:检测到所述当前链路恢复后,切换至所述当前网络配置和所述当前安全规则;使用所述当前网络配置和所述当前安全规则为所述外部设备提供服务。
在一个示例性的实施方式中,所述当前设备包括:支持网络安全隧道协议的网络设备。
本实施例中提供的控制器可执行本发明任意实施例所提供的业务传输方法,具备执行该方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的业务传输方法。
值得注意的是,上述业务传输装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。
本申请实施例还提供一种网络设备,图6是本申请实施例提供的一种网络设备的结构示意图,如图6所示,该网络设备包括处理器61、存储器62、输入装置63、输出装置64和通信装置65;网络设备中处理器61的数量可以是一个或多个,图6中以一个处理器61为例;网络设备中的处理器61、存储器62、输入装置63和输出装置64可以通过总线或其他方式连接,图6中以通过总线连接为例。
存储器62作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本申请实施例中的业务传输方法对应的程序指令/模块(例如,业务传输装置中的检测模块51、确定模块52、接口模块53和传输模块54)。处理器61通过运行存储在存储器62中的软件程序、指令以及模块,从而执行网络设备的各种功能应用以及数据处理,即实现本申请实施例提供的任一方法。
存储器62可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据网络设备的使用所创建的数据等。此外,存储器62可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器62可进一步包括相对于处理器61远程设置的存储器,这些远程存储器可以通过网络连接至网络设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置63可用于接收输入的数字或字符信息,以及产生与网络设备的用户设置以及功能控制有关的键信号输入。输出装置64可包括显示屏等显示设备。
通信装置65可以包括接收器和发送器。通信装置65设置为根据处理器61的控制进行信息收发通信。
在一个示例性的实施方式中,本申请实施例还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种业务传输方法,包括;
检测到当前链路故障后,调整当前网络配置并修改当前安全规则;
基于调整后的网络配置确定临时接口;
对外部设备开放所述临时接口;其中,所述临时接口用于所述外部设备与当前设备建立临时链路;
在所述临时链路上使用修改后的安全规则进行业务传输。
当然,本申请实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本申请任意实施例所提供的业务传输方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本申请可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
以上所述,仅为本申请的示例性实施例而已,并非用于限定本申请的保护范围。
本领域内的技术人员应明白,术语用户终端涵盖任何适合类型的无线用户设备,例如移动电话、便携数据处理装置、便携网络浏览器或车载移动台。
一般来说,本申请的多种实施例可以在硬件或专用电路、软件、逻辑或其任何组合中实现。例如,一些方面可以被实现在硬件中,而其它方面可以被实现在可以被控制器、微处理器或其它计算装置执行的固件或软件中,尽管本申请不限于此。
本申请的实施例可以通过移动装置的数据处理器执行计算机程序指令来实现,例如在处理器实体中,或者通过硬件,或者通过软件和硬件的组合。计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码。
本申请附图中的任何逻辑流程的框图可以表示程序步骤,或者可以表示相互连接的逻辑电路、模块和功能,或者可以表示程序步骤与逻辑电路、模块和功能的组合。计算机程序可以存储在存储器上。存储器可以具有任何适合于本地技术环境的类型并且可以使用任何适合的数据存储技术实现,例如但不限于只读存储器(ROM)、随机访问存储器(RAM)、光存储器装置和系统(数码多功能光碟DVD或CD光盘)等。计算机可读介质可以包括非瞬时性存储介质。数据处理器可以是任何适合于本地技术环境的类型,例如但不限于通用计算机、专用计算机、微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、可编程逻辑器件(FGPA)以及基于多核处理器架构的处理器。
通过示范性和非限制性的示例,上文已提供了对本申请的示范实施例的详细描述。但结合附图和权利要求来考虑,对以上实施例的多种修改和调整对本领域技术人员来说是显而易见的,但不偏离本发明的范围。因此,本发明的恰当范围将根据权利要求确定。
Claims (13)
1.一种业务传输方法,其特征在于,包括:
检测到当前链路故障后,调整当前网络配置并修改当前安全规则;
基于调整后的网络配置确定临时接口;
对外部设备开放所述临时接口;其中,所述临时接口用于所述外部设备与当前设备建立临时链路;
在所述临时链路上使用修改后的安全规则进行业务传输。
2.根据权利要求1所述的方法,其特征在于,所述调整当前网络配置包括如下一个或多个:
将预设协议对应的环回网际互连协议IP地址切换为物理网口接口IP地址;
调整虚拟局域网VLAN配置,
调整集中接入设备的地址转换策略。
3.根据权利要求2所述的方法,其特征在于,所述集中接入设备的地址转换策略包括如下一个或多个:
针对集中接入设备增加内部地址和外部地址的转换关系,临时链路的路由表,接入控制列表配置。
4.根据权利要求1所述的方法,其特征在于,在将预设协议对应的环回网际互连协议IP地址切换为物理网口接口IP地址的情况下,所述基于调整后的网络配置确定临时接口,包括:
基于所述物理网口接口IP地址确定对应的临时接口。
5.根据权利要求1所述的方法,其特征在于,所述修改当前安全规则,包括如下一种或多种:
将重要业务的安全规则设置为非加密通过;
将当前接口从加密组移除;
将当前报文不做加密处理;
在当前报文配置VLAN标签的情况下,恢复常规VLAN配置。
6.根据权利要求5所述的方法,其特征在于,所述重要业务包括如下一个或多个:
管理面业务,控制面业务,用户自定义业务。
7.根据权利要求1所述的方法,其特征在于,所述临时链路包括:中间转发设备或集中接入设备的地址转换协议,绕行的临时通道,所述在所述临时链路上使用修改后的安全规则进行业务传输,包括:
若所述外部设备通过内部网络接入所述当前设备,通过中间转发设备或集中接入设备的地址转换协议进行业务传输;
若所述外部设备通过所述绕行的临时通道接入所述当前设备,则通过所述绕行的临时通道进行业务传输。
8.根据权利要求1所述的方法,其特征在于,所述对外部设备开放所述临时接口之后,还包括:
将调整后的网络配置,修改后的安全规则以及服务清单保存;
当下一次链路故障后,调用保存的所述修改后的网络配置,所述修改后的安全规则以及所述服务清单保存。
9.根据权利要求1所述的方法,其特征在于,所述对外部设备开放所述临时接口之后,还包括:
按照设定周期切换至所述当前网络配置;
在切换失败次数超过设定数量的情况下,进行复位操作。
10.根据权利要求1所述的方法,其特征在于,所述对外部设备开放临时接口之后,还包括:
检测到所述当前链路恢复后,切换至所述当前网络配置和所述当前安全规则;
使用所述当前网络配置和所述当前安全规则为所述外部设备提供服务。
11.一种业务传输装置,其特征在于,包括:
检测模块,被配置为检测到当前链路故障后,调整当前网络配置并修改当前安全规则;
确定模块,被配置为基于调整后的网络配置确定临时接口;
接口模块,被配置为诶对外部设备开放所述临时接口;其中,所述临时接口用于所述外部设备与当前设备建立临时链路;
传输模块,被配置为在所述临时链路上使用修改后的安全规则进行业务传输。
12.一种网络设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-10任一项所述的方法。
13.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-10任一项所述的方法。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010610244.7A CN113965462A (zh) | 2020-06-29 | 2020-06-29 | 业务传输方法、装置、网络设备和存储介质 |
EP21834354.9A EP4181431A1 (en) | 2020-06-29 | 2021-06-28 | Service transmission method and apparatus, network device, and storage medium |
PCT/CN2021/102693 WO2022001937A1 (zh) | 2020-06-29 | 2021-06-28 | 业务传输方法、装置、网络设备和存储介质 |
JP2022579805A JP2023531034A (ja) | 2020-06-29 | 2021-06-28 | サービス伝送方法、装置、ネットワーク機器及び記憶媒体 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010610244.7A CN113965462A (zh) | 2020-06-29 | 2020-06-29 | 业务传输方法、装置、网络设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113965462A true CN113965462A (zh) | 2022-01-21 |
Family
ID=79317463
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010610244.7A Pending CN113965462A (zh) | 2020-06-29 | 2020-06-29 | 业务传输方法、装置、网络设备和存储介质 |
Country Status (4)
Country | Link |
---|---|
EP (1) | EP4181431A1 (zh) |
JP (1) | JP2023531034A (zh) |
CN (1) | CN113965462A (zh) |
WO (1) | WO2022001937A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117560230A (zh) * | 2024-01-11 | 2024-02-13 | 北京中科网芯科技有限公司 | 一种网络数据传输加密型数据的传输方法 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8566460B1 (en) * | 2010-09-15 | 2013-10-22 | Tellabs Operations, Inc. | Method and apparatus for initiating temporary configuration allowing remote accessing via a network device |
US10200280B2 (en) * | 2015-06-25 | 2019-02-05 | Futurewei Technologies, Inc. | Software-defined network for temporal label switched path tunnels |
CN107659424B (zh) * | 2016-07-26 | 2022-07-05 | 中兴通讯股份有限公司 | 一种业务隧道抢通方法及网管平台 |
CN106230640B (zh) * | 2016-08-30 | 2019-12-13 | 浙江宇视科技有限公司 | 一种安全规则端口配置方法和设备 |
CN109526013B (zh) * | 2017-09-18 | 2022-05-13 | 中兴通讯股份有限公司 | 链路故障的处理方法、装置、基站及计算机可读存储介质 |
CN108848041B (zh) * | 2018-06-07 | 2022-01-04 | 烽火通信科技股份有限公司 | Mpls网络中lsp改变时的业务传输方法及系统 |
CN109525501B (zh) * | 2018-12-27 | 2022-05-24 | 新华三技术有限公司 | 一种调整转发路径的方法和装置 |
-
2020
- 2020-06-29 CN CN202010610244.7A patent/CN113965462A/zh active Pending
-
2021
- 2021-06-28 WO PCT/CN2021/102693 patent/WO2022001937A1/zh unknown
- 2021-06-28 EP EP21834354.9A patent/EP4181431A1/en active Pending
- 2021-06-28 JP JP2022579805A patent/JP2023531034A/ja active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117560230A (zh) * | 2024-01-11 | 2024-02-13 | 北京中科网芯科技有限公司 | 一种网络数据传输加密型数据的传输方法 |
CN117560230B (zh) * | 2024-01-11 | 2024-04-02 | 北京中科网芯科技有限公司 | 一种网络数据传输加密型数据的传输方法 |
Also Published As
Publication number | Publication date |
---|---|
EP4181431A1 (en) | 2023-05-17 |
WO2022001937A1 (zh) | 2022-01-06 |
JP2023531034A (ja) | 2023-07-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110996318B (zh) | 一种变电站智能巡检机器人安全通信接入系统 | |
US10897509B2 (en) | Dynamic detection of inactive virtual private network clients | |
US7596806B2 (en) | VPN and firewall integrated system | |
US9660963B2 (en) | Adaptive encryption optimization | |
Oniga et al. | Analysis, design and implementation of secure LoRaWAN sensor networks | |
CN104283701A (zh) | 配置信息的下发方法、系统及装置 | |
US20100138909A1 (en) | Vpn and firewall integrated system | |
CN111787025B (zh) | 加解密处理方法、装置、系统以及数据保护网关 | |
US20190124055A1 (en) | Ethernet security system and method | |
US9106618B2 (en) | Control plane encryption in IP/MPLS networks | |
US11006346B2 (en) | X2 service transmission method and network device | |
CN106161386B (zh) | 一种实现IPsec分流的方法和装置 | |
CN111698245A (zh) | 一种基于国密算法的VxLAN安全网关及二层安全网络组建方法 | |
WO2022001937A1 (zh) | 业务传输方法、装置、网络设备和存储介质 | |
CN111464550B (zh) | 一种用于报文处理设备的https透明防护方法 | |
CN111526018B (zh) | 一种基于电力配电的通信加密系统及通信加密方法 | |
CN103023741A (zh) | Vpn设备故障处理方法 | |
US20220210131A1 (en) | System and method for secure file and data transfers | |
KR101845776B1 (ko) | 레이어2 보안을 위한 MACsec 어댑터 장치 | |
US20180152376A1 (en) | Method to Recover Network Controller-to-Router Connectivity using A Low Bandwidth Long-Range Radio Backup Channel | |
CN114338116B (zh) | 加密传输方法、装置及sd-wan网络系统 | |
Abdin | Protecting Integrity and Confidentiality of Network Traffic with Media Access Control Security (MACsec) | |
Sun et al. | simulation and safety Analysis of 6to4 Tunnel Technology Based on eNsP | |
CN116319165A (zh) | 分布式设备的vpn流量转发方法及装置 | |
CN115277190A (zh) | 一种链路层透明加密系统在网络上实现邻居发现的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |