本公开涉及IPSec隧道网络配置方法、装置、电子设备和存储介质,IPSec隧道网络配置方法应用于IPSec VPN组网,IPSec VPN组网在运行时,IPSec对等体可被配置为本端设备或对端设备,包括:建立本端设备和对端设备与安全管控设备之间的通信通道;将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备;在本端设备允许接入目标网络时,控制安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至对端设备,由此,本端设备能够与对端设备建立IPSec隧道,降低了组网配置的复杂度,保证IPSec隧道网络配置的安全性。保证IPSec隧道网络配置的安全性。保证IPSec隧道网络配置的安全性。
【技术实现步骤摘要】
一种IPSec隧道网络配置方法、装置、电子设备和存储介质
[0001]本公开涉及通信
,尤其涉及一种IPSec隧道网络配置方法、装置、电子设备和存储介质。
技术介绍
[0002]随着计算机和网络技术的发展,企业以及个人业务的加密传输需求日益增多,各类加密传输技术以及产品应运而生,但是加密技术本身的部署和运维难度比较大,对用户以及网络运维人员也提出了更高的要求。
[0003]其中,伴随着软件定义广域网SDWAN产品的推出,IPSec(Internet Protocol Security,互联网安全协议)隧道技术在互联网上被大规模使用。但是就支持IPSec协议的网络设备的部署难度来说,依然很高。在SDWAN产品中存在类似“安全管控设备”(或安全管控)这样的网络产品来处理整体SDWAN网络的IPSec隧道配置。但是当前大多数厂商的产品能够实现SDWAN网络的IPSec隧道初始部署时,以“上帝视角”的方式自上而下进行下发,这样就对安全管控设备的运维人员提出了更高的要求,运维人员不仅需要知道IPSec协议自身的配置方式,也需要知晓全网拓扑的网络部署结构,然后再针对两个对等体之间进行配置下发。
[0004]现有技术中IPSec隧道的配置方式:
[0005](1)分别在两台IPSec对等体设备上进行配置;
[0006](2)通过安全管控设备对两台IPSec对等体设备进行配置下发;
[0007](3)在IPSec对等体的一端配置类似自动隧道的配置项,等待另一端配置好之后进行接入协商。r/>[0008]现有技术中IPSec隧道的配置方式存在的缺陷:
[0009](1)配置操作复杂度较高,通常两台IPSec设备不在同一地理位置,运维人员需要在两地分别进行配置;
[0010](2)通过安全管控设备进行配置,无法处理网元动态扩增的情况,新增一台网元之后,依然需要在安全管控设备上进行人工参与调试下发;
[0011](3)动态IPSec一端作为服务器端的方式,并无法评估另一端的可信任程度,存在安全风险。
技术实现思路
[0012]为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种IPSec隧道网络配置方法、装置、电子设备和存储介质,降低了组网配置的复杂度。
[0013]第一方面,本公开实施例提供了一种IPSec隧道网络配置方法,所述方法应用于IPSec VPN组网中的IPSec对等体,所述IPSec VPN组网在运行时,所述IPSec对等体可被配置为本端设备或对端设备,包括:
[0014]建立所述本端设备和所述对端设备与安全管控设备之间的通信通道;
[0015]将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备;
[0016]在所述本端设备允许接入目标网络时,控制所述安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至所述对端设备;
[0017]建立所述本端设备与所述对端设备之间的IPSec隧道。
[0018]可选的,还包括:
[0019]在所述本端设备禁止接入目标网络时,控制安全管控设备发送拒绝信息至所述本端设备。
[0020]可选的,所述建立所述本端设备和所述对端设备之间的通信通道之后,还包括:
[0021]获取所述本端设备的应用场景,所述应用场景包括网络地址转换场景和非网络地址转换场景。
[0022]可选的,所述应用场景为非网络地址转换场景时,所述将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备,包括:
[0023]将本端设备在IPSec隧道链路中的本端标识、本端地址、第一阶段和第二阶段协商哈希算法以及加密算法提交至安全管控设备。
[0024]可选的,所述应用场景为网络地址转换场景时,所述将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备,包括:
[0025]将本端设备在IPSec隧道链路中的本端地址转换为目标地址后提交至安全管控设备。
[0026]可选的,所述建立所述本端设备和所述对端设备与安全管控设备之间的通信通道之前,包括:
[0027]获取IPSec VPN组网中的匹配策略,所述匹配策略包括双向匹配和非双向匹配。
[0028]可选的,所述在所述本端设备允许接入目标网络时,控制所述安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至所述对端设备之前,还包括:
[0029]根据匹配条件判断所述本端设备是否允许接入目标网络,所述匹配条件包括本端设备接入的网络信息和对端设备接入的网络信息。
[0030]第二方面,本公开实施例还提供一种IPSec隧道网络配置装置,包括:
[0031]通信通道建立模块,用于建立本端设备和对端设备与安全管控设备之间的通信通道;
[0032]第一信息提交模块,用于将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备;
[0033]第二信息发送模块,用于在所述本端设备允许接入目标网络时,控制所述安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至所述对端设备;
[0034]IPSec隧道建立模块,用于建立本端设备与所述对端设备之间的IPSec隧道。
[0035]第三方面,本公开实施例还提供一种电子设备,包括:
[0036]一个或多个处理器;
[0037]存储装置,用于存储一个或多个程序,
[0038]当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面中任一所述的IPSec隧道网络配置方法。
[0039]第四方面,本公开实施例还提供一种计算机可读存储介质,其上存储有计算机程
序,该程序被处理器执行时实现如第一方面中任一所述的IPSec隧道网络配置方法。
[0040]本公开实施例提供的技术方案与现有技术相比具有如下优点:
[0041]本公开实施例提供的IPSec隧道网络配置方法、装置、电子设备和存储介质,通过将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备,在确定允许对端设备接入目标网络时,控制安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至对端设备,进而实现将本端设备的目标隧道报文发送到对端设备,实现本端设备和对端设备之间的IPSec隧道网络配置。由于控制安全控制设备对本端设备中的第一配置信息翻译成对端设备的第二配置信息后,通过控制安全控制设备将翻译后的第二配置信息发送至对端设备,实现对对端设备在IPSec隧道链路中的IPSec配置,因此,运维人员无需再对对端设备进行IPSec配置,降低了组网的配置复杂度。此外,在确定本端设备和对端设备均接入目标网络时,控制安全管控设备发送第二配置信息至对端设备,进而在本端设备和对端设备之间建立IPSec隧道之后,保证IPSec隧道网络配置的安全性。
附图说明
[0042]此处的附图被并入说明书中并构本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种IPSec隧道网络配置方法,所述方法应用于IPSec VPN组网中的IPSec对等体,所述IPSec VPN组网在运行时,所述IPSec对等体可被配置为本端设备或对端设备,其特征在于,包括:建立所述本端设备和所述对端设备与安全管控设备之间的通信通道;将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备;在所述本端设备允许接入目标网络时,控制所述安全管控设备将第一配置信息翻译为第二配置信息并发送第二配置信息至所述对端设备;建立所述本端设备与所述对端设备之间的IPSec隧道。2.根据权利要求1所述的方法,其特征在于,还包括:在所述本端设备禁止接入目标网络时,控制安全管控设备发送拒绝信息至所述本端设备。3.根据权利要求1所述的方法,其特征在于,所述建立所述本端设备和所述对端设备之间的通信通道之后,还包括:获取所述本端设备的应用场景,所述应用场景包括网络地址转换场景和非网络地址转换场景。4.根据权利要求3所述的方法,其特征在于,所述应用场景为非网络地址转换场景时,所述将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备,包括:将本端设备在IPSec隧道链路中的本端标识、本端地址、第一阶段和第二阶段协商哈希算法以及加密算法提交至安全管控设备。5.根据权利要求3所述的方法,其特征在于,所述应用场景为网络地址转换场景时,所述将本端设备在IPSec隧道链路中的第一配置信息提交至安全管控设备,包括:将本端设备在IPSec隧道链路中的本端地址转换为目标地址后提交至安全管控设备。...
【专利技术属性】
技术研发人员:李瑞一,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。