CN113411245B - 一种IPSec隧道网络配置方法、装置、电子设备和存储介质 - Google Patents
一种IPSec隧道网络配置方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN113411245B CN113411245B CN202110734540.2A CN202110734540A CN113411245B CN 113411245 B CN113411245 B CN 113411245B CN 202110734540 A CN202110734540 A CN 202110734540A CN 113411245 B CN113411245 B CN 113411245B
- Authority
- CN
- China
- Prior art keywords
- ipsec tunnel
- network
- ipsec
- configuration information
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及IPSec隧道网络配置方法、装置、电子设备和存储介质,IPSec隧道网络配置方法应用于IPSec VPN组网,IPSec VPN组网在运行时,IPSec对等体可被配置为本端设备或对端设备,包括:建立本端设备和对端设备与安全管控设备之间的通信通道;将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备;在本端设备允许接入目标网络时,控制安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至对端设备,由此,本端设备能够与对端设备建立IPSec隧道,降低了组网配置的复杂度,保证IPSec隧道网络配置的安全性。
Description
技术领域
本公开涉及通信技术领域,尤其涉及一种IPSec隧道网络配置方法、装置、电子设备和存储介质。
背景技术
随着计算机和网络技术的发展,企业以及个人业务的加密传输需求日益增多,各类加密传输技术以及产品应运而生,但是加密技术本身的部署和运维难度比较大,对用户以及网络运维人员也提出了更高的要求。
其中,伴随着软件定义广域网SDWAN产品的推出,IPSec(Internet ProtocolSecurity,互联网安全协议)隧道技术在互联网上被大规模使用。但是就支持IPSec协议的网络设备的部署难度来说,依然很高。在SDWAN产品中存在类似“安全管控设备”(或安全管控)这样的网络产品来处理整体SDWAN网络的IPSec隧道配置。但是当前大多数厂商的产品能够实现SDWAN网络的IPSec隧道初始部署时,自上而下进行下发,这样就对安全管控设备的运维人员提出了更高的要求,运维人员不仅需要知道IPSec协议自身的配置方式,也需要知晓全网拓扑的网络部署结构,然后再针对两个对等体之间进行配置下发。
现有技术中IPSec隧道的配置方式:
(1)分别在两台IPSec对等体设备上进行配置;
(2)通过安全管控设备对两台IPSec对等体设备进行配置下发;
(3)在IPSec对等体的一端配置类似自动隧道的配置项,等待另一端配置好之后进行接入协商。
现有技术中IPSec隧道的配置方式存在的缺陷:
(1)配置操作复杂度较高,通常两台IPSec设备不在同一地理位置,运维人员需要在两地分别进行配置;
(2)通过安全管控设备进行配置,无法处理网元动态扩增的情况,新增一台网元之后,依然需要在安全管控设备上进行人工参与调试下发;
(3)动态IPSec一端作为服务器端的方式,并无法评估另一端的可信任程度,存在安全风险。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种IPSec隧道网络配置方法、装置、电子设备和存储介质,降低了组网配置的复杂度。
第一方面,本公开实施例提供了一种IPSec隧道网络配置方法,所述方法应用于IPSec VPN组网中的IPSec对等体,所述IPSec VPN组网在运行时,所述IPSec对等体可被配置为本端设备或对端设备,包括:
建立所述本端设备和所述对端设备与安全管控设备之间的通信通道;
将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备;
在所述本端设备允许接入目标网络时,控制所述安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至所述对端设备;
建立所述本端设备与所述对端设备之间的IPSec隧道。
可选的,还包括:
在所述本端设备禁止接入目标网络时,控制安全管控设备发送拒绝信息至所述本端设备。
可选的,所述建立所述本端设备和所述对端设备之间的通信通道之后,还包括:
获取所述本端设备的应用场景,所述应用场景包括网络地址转换场景和非网络地址转换场景。
可选的,所述应用场景为非网络地址转换场景时,所述将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备,包括:
将本端设备在IPSec隧道链路中的本端标识、本端地址、第一阶段和第二阶段协商哈希算法以及加密算法提交至安全管控设备。
可选的,所述应用场景为网络地址转换场景时,所述将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备,包括:
将本端设备在IPSec隧道链路中的本端地址转换为目标地址后提交至安全管控设备。
可选的,所述建立所述本端设备和所述对端设备与安全管控设备之间的通信通道之前,包括:
获取IPSec VPN组网中的匹配策略,所述匹配策略包括双向匹配和非双向匹配。
可选的,所述在所述本端设备允许接入目标网络时,控制所述安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至所述对端设备之前,还包括:
根据匹配条件判断所述本端设备是否允许接入目标网络,所述匹配条件包括本端设备接入的网络信息和对端设备接入的网络信息。
第二方面,本公开实施例还提供一种IPSec隧道网络配置装置,包括:
通信通道建立模块,用于建立本端设备和对端设备与安全管控设备之间的通信通道;
第一信息提交模块,用于将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备;
第二信息发送模块,用于在所述本端设备允许接入目标网络时,控制所述安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至所述对端设备;
IPSec隧道建立模块,用于建立本端设备与所述对端设备之间的IPSec隧道。
第三方面,本公开实施例还提供一种电子设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面中任一所述的IPSec隧道网络配置方法。
第四方面,本公开实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面中任一所述的IPSec隧道网络配置方法。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开实施例提供的IPSec隧道网络配置方法、装置、电子设备和存储介质,通过将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备,在确定允许对端设备接入目标网络时,控制安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至对端设备,进而实现将本端设备的目标隧道报文发送到对端设备,实现本端设备和对端设备之间的IPSec隧道网络配置。由于控制安全控制设备对本端设备中的第一配置信息翻译成对端设备的第二配置信息后,通过控制安全控制设备将翻译后的第二配置信息发送至对端设备,实现对对端设备在IPSec隧道链路中的IPSec配置,因此,运维人员无需再对对端设备进行IPSec配置,降低了组网的配置复杂度。此外,在确定本端设备和对端设备均接入目标网络时,控制安全管控设备发送第二配置信息至对端设备,进而在本端设备和对端设备之间建立IPSec隧道之后,保证IPSec隧道网络配置的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本公开实施例提供的一种IPSec隧道网络配置方法的流程示意图;
图2是本公开实施例提供的一种IPSec隧道网络配置方法的示例图;
图3是本公开实施例提供的另一种IPSec隧道网络配置方法的流程示意图;
图4是本公开实施例提供的另一种IPSec隧道网络配置方法的示例图;
图5是本公开实施例提供的又一种IPSec隧道网络配置方法的流程示意图;
图6是本公开实施例提供的又一种IPSec隧道网络配置方法的流程示意图;
图7是本公开实施例提供的一种IPSec隧道网络配置装置的示意图;
图8是本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
图1是本公开实施例提供的一种IPSec隧道网络配置方法的流程示意图。本实施例可适用于在IPSec VPN组网中的IPSec对等体之间进行IPSec隧道网络配置的情况。本实施例方法可由IPSec隧道网络配置装置来执行,该装置可采用硬件/或应用程序的方式来实现,并可配置于电子设备中。可实现本申请任意实施例所述的IPSec隧道网络配置方法。
现有技术中,当两台IPSec设备不在同一地理位置,运维人员需要在两地分别进行配置,配置操作复杂度较高,且动态IPSec一端作为服务器端的方式时,并无法评估另一端的可信任程度,存在安全风险,因此,本公开实施例提供一种IPSec隧道网络配置方法。
如图1所示,该方法具体包括如下:
S110、建立本端设备和对端设备与安全管控设备之间的通信通道。
示例性的,参见图2,建立本端设备与安全管控设备之间的通信通道和对端设备与安全管控设备之间的通信通道,其中,本端设备和对端设备是IPSec VPN组网中的IPSec对等体。具体的,可通过将本端设备对应的序列号在安全管控设备上进行注册以及将对端设备对应的序列号在安全管控设备上进行注册,实现两个IPSEC对等体网元与安全管控设备正常通信。
S120、将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备。
当IPSec VPN组网中的IPSec对等体不在同一地理位置时,为实现IPSec对等体即本端设备和对端设备的通信,一般需要运维人员在本端设备和对端设备对应的位置处对本端设备和对端设备进行配置,配置操作复杂度高。为降低组网配置的复杂度,在运维人员在本端设备对应的位置处对本端设备配置好IPSec配置后,将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备。
S130、在本端设备允许接入目标网络时,控制安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至对端设备。
安全管控设备接收到本端设备在IPSec隧道链路中的第一配置信息后,根据自身的匹配条件判断本端设备是否允许接入目标网络,匹配条件包括本端设备接入的网络信息和对端设备接入的网络信息。具体的,安全管控设备可通过匹配条件判断本端设备是否允许接入目标网络。例如,匹配条件包括本端设备接入的网络信息和对端设备接入的网络信息,当本端设备接入的网络信息为内网,而对端设备接入的网络信息为外网时,此时安全管控设备会根据本端设备接入的网络信息和对端设备接入的网络信息判断是否允许对端设备接入目标网络。此外,控制安全管控设备执行操作需包含但不限于放行(即将翻译的第二配置信息放行)、拒绝、触发告警、触发审批、接入并发限制等。
S140、建立本端设备与对端设备之间的IPSec隧道。
当控制安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至对端设备后,本端设备与对端设备的默认链路对应的接口建立IPsec隧道,实现本端设备与对端设备之间的IPSec隧道网络配置。
本公开实施例提供的IPSec隧道网络配置方法,通过将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备,在确定允许本端设备接入目标网络时,控制安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至对端设备,进而实现将本端设备的目标隧道报文发送到对端设备,实现本端设备和对端设备之间的IPSec隧道网络配置。由于控制安全控制设备对本端设备中的第一配置信息翻译成对端设备的第二配置信息后,通过控制安全控制设备将翻译后的第二配置信息发送至对端设备,实现对对端设备在IPSec隧道链路中的IPSec配置,因此,运维人员无需再对对端设备进行IPSec配置,降低了组网的配置复杂度。此外,在确定本端设备和对端设备均接入目标网络时,控制安全管控设备发送第二配置信息至对端设备,进而在本端设备和对端设备之间建立IPSec隧道之后,保证IPSec隧道网络配置的安全性。
图2是本公开实施例提供的另一种IPSec隧道网络配置方法的流程示意图,本实施例是在上述实施例的基础上,还包括:
S131、在本端设备禁止接入目标网络时,控制安全管控设备发送拒绝信息至本端设备。
具体的,根据安全管控设备中的匹配策略,当本端设备禁止接入的策略与安全管控设备中的匹配策略匹配后,控制安全管控设备发送拒绝信息至本端设备,进而无法建立本端设备与对端设备的IPSec隧道。
本公开实施例提供的IPSec隧道网络配置方法,在确定本端设备禁止接入目标网络时,通过控制安全管控设备发送拒绝信息至本端设备,实现告知本端设备未找到匹配的对端设备建立IPSec隧道,避免本端设备发送目标隧道报文至对端设备而无对端设备接收报文的情况,提高IPSec隧道网络配置的安全性。
图3是本公开实施例提供的又一种IPSec隧道网络配置方法的流程示意图,本实施例是在上述实施例的基础上,其中S110之后,还包括:
S111、获取本端设备的应用场景,应用场景包括网络地址转换场景和非网络地址转换场景。
可选的,当本端设备对应的应用场景为非网络地址转换场景时,将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备,包括:
将本端设备在IPSec隧道链路中的本端标识、本端地址、第一阶段和第二阶段协商哈希算法以及加密算法提交至安全管控设备。
示例性的,在非网络地址转换场景下,当IPSec VPN组网中的IPSec对等体中的本端设备配置IPSec隧道时,因为IPSec隧道配置存在一定的对称性,如图2中步骤S120,本端设备在自身配置好在IPSec隧道链路中的第一配置信息后,基于步骤S110,本端设备和安全管控设备已经建立好的通信通道,将本端设备在IPSec隧道链路中的第一配置信息提交到安全管控设备。安全管控设备基于已配置的控制策略,可实现判定本端设备是否被允许接入目标网络,判定IPSec对等体的彼此保护子网是否被允许接入网络,如果以上信息均被放行,那么按照对称原则,控制安全管控设备将第一配置信息翻译为第二配置信息形成对端配置并下发到对端设备。
可选的,当本端设备对应的应用场景为网络地址转换场景时,将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备,包括:
将本端设备在IPSec隧道链路中的本端地址转换为目标地址后提交至安全管控设备。
示例性的,在网络转换场景下时,在IPSec VPN组网中的IPSec对等体中的本端设备配置IPSec隧道之后,在网络转换场景下需提交本端设备对应的本端地址转换后的目标地址。此外,当安全管控设备接收到本端设备提交的IPSec隧道配置之后,评估配置的可靠性,翻译为对端设备的相关配置进行下发。
本公开实施例提供的IPSec隧道网络配置方法,分别对应网络地址转换场景和非网络地址转换场景,将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备中的第一配置信息不同。当应用场景为非网络地址转换场景时,第一配置信息包括本端标识、本端地址等信息,当应用场景为网络转换场景时,第一配置信息为本端地址转换后的目标地址,提高IPSec隧道网络配置方法的场景适用性。
图4是本公开实施例提供的又一种IPSec隧道网络配置方法的流程示意图,本实施例是在上述实施例的基础上,其中S110之前,还包括:
S101、获取IPSec VPN组网中的匹配策略,匹配策略包括双向匹配和非双向匹配。
具体的,获取IPSec VPN组网中的匹配策略,例如当获取的IPSec VPN组网中的匹配策略为双向匹配时,那么IPSec VPN组网中的网元提交的IPSec隧道链路中的第一配置信息能够匹配上整个组网,则可实现本端设备向对端设备方向申请建立IPSec隧道或对端设备向本端设备申请建立IPSec隧道,此时网元可以是本端设备也可以是对端设备。
当获取的IPSec VPN组网中的匹配策略为非双向匹配时,则默认IPSec VPN组网中匹配规则为从本端设备到对端设备方向申请建立IPSec隧道,从对端设备向本端设备方向申请建立IPSec隧道则无法匹配。
本公开实施例提供的IPSec隧道网络配置方法,在建立本端设备和对端设备与安全管控设备之间的通信通道之前,获取IPSec VPN组网中的匹配策略,根据获取的IPSecVPN组网中的匹配策略,实现本端设备和对端设备之间建立IPSec隧道的状态,即单向建立或双向建立。
可选的,在本端设备允许接入目标网络时,控制安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至对端设备之前,还包括:
根据匹配条件判断本端设备是否允许接入目标网络,匹配条件包括本端设备接入的网络信息和对端设备接入的网络信息。
具体的,安全管控设备可通过匹配条件判断对端设备是否允许接入目标网络。例如,匹配条件包括本端设备接入的网络信息和对端设备接入的网络信息。此外,控制安全管控设备执行操作需包含但不限于放行(即将翻译的第二配置信息放行)、拒绝、触发告警、触发审批、接入并发限制等。
图5是本公开实施例提供的一种IPSec隧道网络配置装置的结构示意图,如图5所述,IPSec隧道网络配置装置包括:
通信通道建立模块510,用于建立本端设备和对端设备与安全管控设备之间的通信通道;
第一信息提交模块520,用于将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备;
第二信息发送模块530,用于在本端设备允许接入目标网络时,控制安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至所述对端设备;
IPSec隧道建立模块540,用于建立本端设备与所述对端设备之间的IPSec隧道。。
本公开实施例提供的IPSec隧道网络配置装置,第一信息提交模块通过将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备,第二信息发送模块在确定允许本端设备接入目标网络时,控制安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至对端设备,IPSec隧道建立模块建立本端设备与所述对端设备之间的IPSec隧道。由于控制安全控制设备对本端设备中的第一配置信息翻译成对端设备的第二配置信息后,通过控制安全控制设备将翻译后的第二配置信息发送至对端设备,实现对对端设备在IPSec隧道链路中的IPSec配置,因此,运维人员无需再对对端设备进行IPSec配置,降低了组网的配置复杂度。此外,在确定本端设备和对端设备均接入目标网络时,控制安全管控设备发送第二配置信息至对端设备,保证IPSec隧道网络配置的安全性。
图6是本公开实施例提供的一种电子设备的结构示意图。如图6所示,该电子设备包括处理器610、存储器620、输入装置630和输出装置640;电子设备中处理器610的数量可以是一个或多个,图6中以一个处理器610为例;电子设备中的处理器610、存储器620、输入装置630和输出装置640可以通过总线或其他方式连接,图6中以通过总线连接为例。
存储器620作为一种计算机可读存储介质,可用于存储应用程序程序、计算机可执行程序以及模块,如本发明实施例中的IPSec隧道网络配置方法对应的程序指令/模块。处理器610通过运行存储在存储器620中的应用程序程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现本发明实施例所提供的IPSec隧道网络配置方法。
存储器620可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器620可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器620可进一步包括相对于处理器610远程设置的存储器,这些远程存储器可以通过网络连接至计算机设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置630可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入,可以包括键盘、鼠标等。输出装置640可包括显示屏等显示设备。
本公开实施例还提供了一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于实现本发明实施例所提供的IPSec隧道网络配置方法。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的IPSec隧道网络配置方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助应用程序及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以应用程序产品的形式体现出来,该计算机应用程序产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述IPSec隧道网络配置装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (7)
1.一种IPSec隧道网络配置方法,所述方法应用于IPSec VPN组网中的IPSec对等体,所述IPSec VPN组网在运行时,所述IPSec对等体可被配置为本端设备或对端设备,其特征在于,包括:
建立所述本端设备和所述对端设备与安全管控设备之间的通信通道;
将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备;
在所述本端设备允许接入目标网络时,控制所述安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至所述对端设备;
建立所述本端设备与所述对端设备之间的IPSec隧道;
所述将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备之前,还包括:
获取所述本端设备的应用场景,所述应用场景包括网络地址转换场景和非网络地址转换场景;
所述将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备,包括:
当所述应用场景为非网络地址转换场景时,将本端设备在IPSec隧道链路中的本端标识、本端地址、第一阶段和第二阶段协商哈希算法以及加密算法提交至安全管控设备;
当所述应用场景为网络地址转换场景时,将本端设备在IPSec隧道链路中的本端地址转换为目标地址后提交至安全管控设备。
2.根据权利要求1所述的方法,其特征在于,还包括:
在所述本端设备禁止接入目标网络时,控制安全管控设备发送拒绝信息至所述本端设备。
3.根据权利要求1所述的方法,其特征在于,所述建立所述本端设备和所述对端设备与安全管控设备之间的通信通道之前,包括:
获取IPSec VPN组网中的匹配策略,所述匹配策略包括双向匹配和非双向匹配。
4.根据权利要求1所述的方法,其特征在于,所述在所述本端设备允许接入目标网络时,控制所述安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至所述对端设备之前,还包括:
根据匹配条件判断所述本端设备是否允许接入目标网络,所述匹配条件包括本端设备接入的网络信息和对端设备接入的网络信息。
5.一种IPSec隧道网络配置装置,其特征在于,包括:
通信通道建立模块,用于建立本端设备和对端设备与安全管控设备之间的通信通道;
第一信息提交模块,用于将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备;
第二信息发送模块,用于在所述本端设备允许接入目标网络时,控制所述安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至所述对端设备;
IPSec隧道建立模块,用于建立本端设备与所述对端设备之间的IPSec隧道;
还包括:
应用场景获取模块,用于获取所述本端设备的应用场景,所述应用场景包括网络地址转换场景和非网络地址转换场景;
所述第一信息提交模块包括:
当所述应用场景为非网络地址转换场景时,将本端设备在IPSec隧道链路中的本端标识、本端地址、第一阶段和第二阶段协商哈希算法以及加密算法提交至安全管控设备;
当所述应用场景为网络地址转换场景时,将本端设备在IPSec隧道链路中的本端地址转换为目标地址后提交至安全管控设备。
6.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1~4中任一所述的IPSec隧道网络配置方法。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~4中任一所述的IPSec隧道网络配置方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110734540.2A CN113411245B (zh) | 2021-06-30 | 2021-06-30 | 一种IPSec隧道网络配置方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110734540.2A CN113411245B (zh) | 2021-06-30 | 2021-06-30 | 一种IPSec隧道网络配置方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113411245A CN113411245A (zh) | 2021-09-17 |
| CN113411245B true CN113411245B (zh) | 2022-08-12 |
Family
ID=77680406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110734540.2A Active CN113411245B (zh) | 2021-06-30 | 2021-06-30 | 一种IPSec隧道网络配置方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113411245B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109905310A (zh) * | 2019-03-26 | 2019-06-18 | 杭州迪普科技股份有限公司 | 数据传输方法、装置、电子设备 |
| CN112217655A (zh) * | 2019-07-11 | 2021-01-12 | 奇安信科技集团股份有限公司 | Sd-wan系统中网络设备配置方法、装置和计算机设备 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9065802B2 (en) * | 2012-05-01 | 2015-06-23 | Fortinet, Inc. | Policy-based configuration of internet protocol security for a virtual private network |
| US10506082B2 (en) * | 2017-03-09 | 2019-12-10 | Fortinet, Inc. | High availability (HA) internet protocol security (IPSEC) virtual private network (VPN) client |
| CN110290093A (zh) * | 2018-03-19 | 2019-09-27 | 杭州达乎科技有限公司 | Sd-wan网络架构及组网方法、报文转发方法 |
| CN112019418B (zh) * | 2019-05-31 | 2022-04-19 | 中国电信股份有限公司 | 基于野蛮模式的IPSec隧道建立方法及其装置 |
| CN112583690B (zh) * | 2019-09-27 | 2022-08-19 | 华为技术有限公司 | 隧道配置方法、装置、系统、设备及存储介质 |
| US11546302B2 (en) * | 2019-12-17 | 2023-01-03 | Fortinet, Inc. | Automatic establishment of network tunnels by an SDWAN controller based on group and role assignments of network devices |
| CN111988323B (zh) * | 2020-08-24 | 2022-09-23 | 北京天融信网络安全技术有限公司 | IPSec隧道建立方法、装置、网络系统及电子设备 |
-
2021
- 2021-06-30 CN CN202110734540.2A patent/CN113411245B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109905310A (zh) * | 2019-03-26 | 2019-06-18 | 杭州迪普科技股份有限公司 | 数据传输方法、装置、电子设备 |
| CN112217655A (zh) * | 2019-07-11 | 2021-01-12 | 奇安信科技集团股份有限公司 | Sd-wan系统中网络设备配置方法、装置和计算机设备 |
Non-Patent Citations (1)
| Title |
|---|
| 基于IPSec的VPN在校园网中的研究与设计;梁泽海;《信息与电脑(理论版)》;20180225(第04期);参见全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113411245A (zh) | 2021-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11750589B2 (en) | System and method for secure application communication between networked processors | |
| US9401901B2 (en) | Self-configuring wireless network | |
| US11096051B2 (en) | Connection establishment method, device, and system | |
| EP3396928B1 (en) | Method for managing network access rights and related device | |
| US7940744B2 (en) | System, apparatus and method for automated wireless device configuration | |
| US20140247941A1 (en) | Self-configuring wireless network | |
| CN110740460B (zh) | 一种设备的入网方法、装置、网络设备及存储介质 | |
| US20140204727A1 (en) | Redundant control of self-configuring wireless network | |
| CN104717225B (zh) | 一种物联网网关接入认证方法及系统 | |
| US20170048700A1 (en) | Self-configuring wireless network | |
| US8204478B2 (en) | System for setting security in wireless network system using cluster function and method of controlling the same | |
| CN104301449A (zh) | 一种修改ip地址的方法和装置 | |
| CN112468448A (zh) | 通信网络的处理方法、装置、电子设备和可读存储介质 | |
| CN113411245B (zh) | 一种IPSec隧道网络配置方法、装置、电子设备和存储介质 | |
| CN111147269B (zh) | 接入点配置方法、组网系统、接入点和存储介质 | |
| EP4184894A1 (en) | Fire system interoperability protocol | |
| CN108834141A (zh) | 一种新型物联网网关接入认证方法及系统 | |
| US11979377B2 (en) | Internet connection management system for information communication device, method therefor, and internet connection management program installed in information communication device | |
| US12041049B1 (en) | Internet of things (IoT) systems and methods | |
| KR102571612B1 (ko) | Ssh 터널링을 통한 프록시 방식의 보안 방법과 보안 시스템 | |
| KR20190111532A (ko) | 다중 홉 기반의 통신 네트워크에서 접속 제어를 위한 통신 노드의 동작 방법 | |
| CN113992732B (zh) | 终端管理控制方法、装置、服务器及存储介质 | |
| CN110839034B (zh) | 一种通信连接的控制方法及相关设备 | |
| CN111918286B (zh) | 通信连接检测方法、装置、设备 | |
| CN118381815A (zh) | Plc路由服务器级联方法、系统及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |