一种策略部署方法及装置制造方法及图纸

本申请涉及网络通信技术领域，特别涉及一种策略部署方法及装置。该方法包括：确定待部署策略的目标链路对应的链路上层设备和链路下层设备；基于预设规则向所述链路上层设备和链路下层设备下发策略配置，以使得所述链路下层设备在接收到策略配置之后，基于接收到的策略配置向所述链路上层设备发起策略会话协商。略配置向所述链路上层设备发起策略会话协商。略配置向所述链路上层设备发起策略会话协商。

【技术实现步骤摘要】
一种策略部署方法及装置


[0001]本申请涉及网络通信
，特别涉及一种策略部署方法及装置。

技术介绍

[0002]在园区SDN(Software Defined Network，软件定义网络)网络，组网采用层级、带内管理。分别是：Spine层、Leaf层、Access层，其中，Spine核心层，负责策略路由、数据转发，Leaf设备作为汇聚层，负责有线用户认证和有线/无线用户认证、策略控制、业务网络网关，Access设备层为直连有线用户和无线AP做接入、位置标注。
[0003]随着园区数据量增长，用户对网络安全提出高要求，要求在网络中实施MACsec(Media Access Control security，媒体访问控制安全)协议以实现链路数据加密与校验。
[0004]园区SDN网络管理网元采用带内管理，对上下层间(如，Spine层和Leaf层间，Leaf层和Access层间)链路部署MACsec时，会遇到协议协商期间链路断开的问题，配置下发与MACsec建立时接口状态切换，部署MACsec过程中断流导致配置下发失败。这样，就无法对单链路进行MACsec部署。

技术实现思路

[0005]本申请提供了一种策略部署方法及装置。
[0006]第一方面，本申请提供了一种策略部署方法，所述方法包括：
[0007]确定待部署策略的目标链路对应的链路上层设备和链路下层设备；
[0008]基于预设规则向所述链路上层设备和链路下层设备下发策略配置，以使得所述链路下层设备在接收到策略配置之后，基于接收到的策略配置向所述链路上层设备发起策略会话协商。
[0009]可选地，基于预设规则向所述链路上层设备和链路下层设备下发策略配置的步骤包括：
[0010]获取所述目标链路的时延；
[0011]向所述链路下层设备下发策略配置，间隔预设时长后，向所述链路上层设备下发所述策略配置，其中，所述预设时长大于所述目标链路的时延。
[0012]可选地，基于预设规则向所述链路上层设备和链路下层设备下发策略配置的步骤包括：
[0013]定义所述目标链路对应的链路上层设备和链路下层设备的优先级，其中，所述链路下层设备的优先级高于所述链路上层设备的优先级，高优先级的设备为会话协商发起方；
[0014]向所述目标链路对应的链路上层设备发送携带低优先级信息的第一策略配置，并向所述链路下层设备发送携带高优先级信息的第二策略配置。
[0015]可选地，基于预设规则向所述链路上层设备和链路下层设备下发策略配置的步骤包括：
[0016]将所述目标链路对应的链路上层设备接口和链路下层设备接口设置为维护模式，其中，接口在维护模式下均处于unblock状态；
[0017]向所述链路上层设备接口和链路下层设备接口发送策略配置，以使得任一设备在接收到策略配置之后，基于接收到的策略配置向对端设备发起策略会话协商。
[0018]可选地，所述待部署策略为媒体访问控制安全MACsec策略。
[0019]第二方面，本申请提供了一种策略部署装置，所述装置包括：
[0020]确定单元，用于确定待部署策略的目标链路对应的链路上层设备和链路下层设备；
[0021]下发单元，用于基于预设规则向所述链路上层设备和链路下层设备下发策略配置，以使得所述链路下层设备在接收到策略配置之后，基于接收到的策略配置向所述链路上层设备发起策略会话协商。
[0022]可选地，基于预设规则向所述链路上层设备和链路下层设备下发策略配置时，所述下发单元具体用于：
[0023]获取所述目标链路的时延；
[0024]向所述链路下层设备下发策略配置，间隔预设时长后，向所述链路上层设备下发所述策略配置，其中，所述预设时长大于所述目标链路的时延。
[0025]可选地，基于预设规则向所述链路上层设备和链路下层设备下发策略配置时，所述下发单元具体用于：
[0026]定义所述目标链路对应的链路上层设备和链路下层设备的优先级，其中，所述链路下层设备的优先级高于所述链路上层设备的优先级，高优先级的设备为会话协商发起方；
[0027]向所述目标链路对应的链路上层设备发送携带低优先级信息的第一策略配置，并向所述链路下层设备发送携带高优先级信息的第二策略配置。
[0028]可选地，基于预设规则向所述链路上层设备和链路下层设备下发策略配置时，所述下发单元具体用于：
[0029]将所述目标链路对应的链路上层设备接口和链路下层设备接口设置为维护模式，其中，接口在维护模式下均处于unblock状态；
[0030]向所述链路上层设备接口和链路下层设备接口发送策略配置，以使得任一设备在接收到策略配置之后，基于接收到的策略配置向对端设备发起策略会话协商。
[0031]可选地，所述待部署策略为媒体访问控制安全MACsec策略。
[0032]第三方面，本申请实施例提供一种策略部署装置，该策略部署装置包括：
[0033]存储器，用于存储程序指令；
[0034]处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行如上述第一方面中任一项所述的方法的步骤。
[0035]第四方面，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行如上述第一方面中任一项所述方法的步骤。
[0036]综上可知，本申请实施例提供的策略部署方法，确定待部署策略的目标链路对应的链路上层设备和链路下层设备；基于预设规则向所述链路上层设备和链路下层设备下发
策略配置，以使得所述链路下层设备在接收到策略配置之后，基于接收到的策略配置向所述链路上层设备发起策略会话协商。
[0037]采用本申请实施例提供的策略部署方法，解决园区SDN网层间链路的MACsec时由于断流导致的配置下发失败的问题，支持单链路部署MACsec协议。
附图说明
[0038]为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本申请实施例的这些附图获得其他的附图。
[0039]图1为一种园区SDN网络三层组网示意图；
[0040]图2为本申请实施例提供的一种策略部署方法的详细流程图；
[0041]图3为本申请实施例提供的一种MKA策略部署过程示意图；
[0042]图4为本申请实施例提供的一种策略部署装置的结构示意图；
[0043]图5为本申请实施例提供的一种策略部署装置的硬件架构示意图。
具体实施方式
[0044]在本申请实施例使用的术语仅仅是出于描述特定实施例的目的，而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种策略部署方法，其特征在于，所述方法包括：确定待部署策略的目标链路对应的链路上层设备和链路下层设备；基于预设规则向所述链路上层设备和链路下层设备下发策略配置，以使得所述链路下层设备在接收到策略配置之后，基于接收到的策略配置向所述链路上层设备发起策略会话协商。2.如权利要求1所述的方法，其特征在于，基于预设规则向所述链路上层设备和链路下层设备下发策略配置的步骤包括：获取所述目标链路的时延；向所述链路下层设备下发策略配置，间隔预设时长后，向所述链路上层设备下发所述策略配置，其中，所述预设时长大于所述目标链路的时延。3.如权利要求1所述的方法，其特征在于，基于预设规则向所述链路上层设备和链路下层设备下发策略配置的步骤包括：定义所述目标链路对应的链路上层设备和链路下层设备的优先级，其中，所述链路下层设备的优先级高于所述链路上层设备的优先级，高优先级的设备为会话协商发起方；向所述目标链路对应的链路上层设备发送携带低优先级信息的第一策略配置，并向所述链路下层设备发送携带高优先级信息的第二策略配置。4.如权利要求1所述的方法，其特征在于，基于预设规则向所述链路上层设备和链路下层设备下发策略配置的步骤包括：将所述目标链路对应的链路上层设备接口和链路下层设备接口设置为维护模式，其中，接口在维护模式下均处于unblock状态；向所述链路上层设备接口和链路下层设备接口发送策略配置，以使得任一设备在接收到策略配置之后，基于接收到的策略配置向对端设备发起策略会话协商。5.如权利要求1
‑
4任一项所述的方法，其特征在于，所述待部署策略为媒体访问控制安全MACsec策略。6.一种策略部署装置，其特征在于，所述装置包括：确定单元，用于确定待部署策略的目标链路对应的链路上层设备和链路下层设备；下发单元，用于基于预设规则向所述链路上层设备和链路下层设备下发策略配置，...

【专利技术属性】
技术研发人员：蔡田杰，
申请(专利权)人：新华三技术有限公司，
类型：发明
国别省市：