根据一种用于安全部署和配置网络设备的方法,在部署的网络设备与注册机之间建立安全引入连接。所述安全引入连接可以遵循诸如HTTPS之类的安全通信协议。所述注册机通过所述安全引入连接向所述网络设备提供引导配置数据。所述引导配置数据用于在所述网络设备与安全管理网关之间建立安全管理连接。所述安全管理连接可以遵循安全通信协议,例如IPsec或HTTPS。所述安全管理网关通过所述安全管理连接向所述网络设备提供用户特定的配置数据和安全策略数据。所述用户特定的配置数据和安全策略数据用于在所述网络设备与安全数据网关之间建立诸如动态多点虚拟网(DMVPN)连接之类的安全数据连接。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般地涉及网络互联,更具体地,本专利技术涉及一种安全地部 署网络设备的方法。
技术介绍
在本节中描述的方法可实现的方法,但并不一定是此前构思出的或 者实现过的方法。因此,除非另有说明,在本节中描述的方法对于本申请 中的权利要求而言可能并不是现有技术,而且,并不因为包含在本节中而 承认是现有技术。部署网络设备的一个问题是,尽管在物理上安装网络设备是相当直 接的,可是,所安装的网络设备必须经过配置,而这可能是困难的,而且 要求相当高程度的用户知识和参与。例如,配置带诸如虚拟专用网(VPN)之类的安全网络连接的路由器,这对缺乏此类任务经验的最终用 户而言,要进行排错可能是相当乏味和困难的。在公司环境下,对部署专 业人员而言,在将网络设备安装到其目的地前对其进行手动配置是常见 的。尽管这减少了最终用户的负担,但是并没有解决所有问题。在一些情 形中,需要尽可能快速并且低成本地布署大量的网络设备。因为手动配置 大量网络设备所需要的人力资源,所以使用传统方法进行配置是相当困难 的。在手动配置过程中会产生错误,而这需要重新配置某些网络设备。此 外,驱策网络设备配置的公司政策往往不是静态的,而且可能会难于期望 地变化。因此,公司政策最后一分钟的变化同样要求对已经按照先前公司 政策配置的网络设备进行重新配置,这增加了成本,而且导致部署延迟。 基于上述说明,需要一种部署网络设备的方法,其不会受到此前方 法的限制。附图说明在以下附图中,同样的附图标号指代类似元素。图1是显示根据本专利技术实施例而安全部署网络设备的设置的方框图。图2是显示根据本专利技术实施例而安全部署路由器的方法的方框图。图3是可以在其上实现本专利技术的实施例的计算机系统的方框图。具体实施例方式在以下说明中,出于说明解释的目的描述了各个特定细节,以便提 供对本专利技术的完整理解。然而,对本领域技术人员而言明显的是,没有这 些特定细节也可以实现本专利技术。在其他情况下,以框图形式示出了公知的 结构和设备,以免不必要地模糊了本专利技术。下面按照以下各节对本专利技术的各个方面进行描述I. 概述II. 体系结构III. 安全部署IV. 更新网络设备配置V. 实现机制I. 概述本专利技术提供了用于安全地部署和配置网络设备的方法。在被部署的 网络设备与注册机之间建立安全引入连接。所述安全引入连接遵循安全通信协议,例如HTTPS。所述注册机通过所述安全引入连接,为所述网络设 备提供引导配置数据。所述引导配置数据用于在所述网络设备与安全管理 网关之间建立安全管理连接。所述安全管理连接可以遵循安全通信协议, 例如IPsec或HTTPS。所述安全管理网关通过所述安全管理连接,为所述 网络设备提供用户特定的配置数据和安全策略数据。所述用户特定的配置 数据和安全策略数据用于在所述网络设备与安全数据网关之间建立安全数 据连接。所述安全数据连接可以是动态多点虚拟专用网(DMVPN)连8接,其允许在所述网络设备与安全数据网关之间安全地交换诸如语音数据 之类的数据。所述方法为诸如路由器之类的网络设备提供安全部署,用户 不必了解如何配置所述网络设备的任何细节。此外,安全管理连接的使用 允许以受控和安全的方式执行安全性策略。II. 体系结构图1是显示根据本专利技术实施例而安全部署网络设备的设置100的方框图。设置100包括路由器102、安全数据网关104、安全管理网关106 以及注册机108。路由器102通过通信链路110、 112、 114分别通信耦合 到安全数据网关104、安全管理网关106以及注册机108。通信链路110、 112、 114可以通过任何机制或介质来实现,其提供路由器102与安全数据 网关104、安全管理网关106及注册机108之间的数据交换。具体实例包 括但不限于各类网络,诸如局域网(LAN)、广域网(WAN)、以太网 或互联网,或者一个或多个陆地、卫星或无线链路。基于特定应用,在图 1中各元素之间可以提供其他通信链路和方法。出于解释的目的,此后, 对本专利技术的实施例的描述在部署单个路由器102的上下文中进行。但是, 本方法并不限于该上下文,而是可以部署任意类型和数量的网络设备。 路由器102配置有通用Web浏览器116和网络服务(NS)代理 118,诸如Cisco NS代理(CNS)。安全数据网关104可以实现为公司路 由器,其提供对诸如语音通信服务之类的各类数据服务的访问。安全管理 网关106可以由任何机制或处理实现,例如管理路由器,其控制对服务 120和安全性策略122的访问。服务120包括诸如Cisco NS (CNS)之类 的NS引擎,诸如Cisco IP解决方案中心(ISC)引擎之类的配置和策略引 擎,管理(MGMT)服务器,认证、授权和计费(AAA)服务,诸如 Cisco IOS之类的网际互联操作系统(IOS),以及诸如服务质量(QOS) 之类的IP服务,网络时间协议(NTP)服务和网络地址转换(NAT)服 务。安全性策略122包括DMVPN,安全层,公钥基础设施(PKI),防 火墙,以及诸如802.x之类的通信协议。图1所示的特定服务120和安全 性策略122只作为示例。本专利技术并不限于这些特定的服务和安全性策略,9而是基于特定的应用可以采用其他服务和安全性策略。注册机108是这样的机制或处理,其配置为建立与路由器102的安全引入连接,并为路由器 102提供引导配置,以便允许路由器102与安全管理网关106、安全数据 网关104这两者之间的通信。此外,注册机具有对服务120和安全性策略 122访问。以下对图l所示各元件的操作作详细描述。III. 安全部署参照图2,在部署路由器102的上下文下,对安全部署网络设备的方 法进行说明。假设在所述处理开始前,路由器102已经定购而且正确地安 装。在步骤202,路由器102配置有互联网服务供应商(ISP)连接。在步骤204,在路由器102与注册机108之间建立安全引入连接。基 于特定实现方式的需求,可以采用多种技术以便在路由器102与注册机 108之间建立所述安全引入连接。例如,可以使用利用所谓"带外(out of band)"方法的方法,来交换关键资料。也可以使用几乎不要求用户互动 的方法。使用受信中介的方法在于2003年4月10日提交的共同未决美国 专利申请No. 10/411,964 (代理巻号No.50325-0746)有具体说明,i亥申i青 标题为 "Method And Apparatus For Securely Exchanging Cryptographic Identities Through A Mutually Trusted Intermediary (通过互信中介安全地交 换密码实体的方法和装置)",其完整内容在此以参考的方式引入本申 请。根据本专利技术一个实施例,用户将注册机108的ULR输入Web浏览 器116, Web浏览器116发出简单证书注册协议(SCEP)请求到注册机 108。注册机108以用户认证请求作为答复。根据本专利技术一个实施例,注 册机108提供Web页面给路由器102,其要求用户输入用户名及密码。用 户输入用户名及密码,其通过Web浏览器116被发送到注册机108。在步骤206,路由器102的本文档来自技高网...
【技术保护点】
一种用于部署网络设备的计算机实现的方法,所述计算机实现的方法包括: 在所述网络设备与注册机之间建立安全引入连接; 所述注册机通过所述安全引入连接,向所述网络设备提供引导配置数据,其中,所述引导配置数据用于在所述网络设备与安全管理网关之间建立安全管理连接;以及 所述安全管理网关通过所述安全管理连接,向所述网络设备提供用户特定的配置数据和安全策略数据;其中,所述用户特定的配置数据和安全策略数据用于在所述网络设备与安全数据网关之间建立安全数据连接。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:普拉门内德尔切威,马克斯普林蒂肯,高塔姆阿加尔沃,佩德罗J莱昂纳多,大卫亚科巴奇,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。