一种策略配置的方法、管理服务器以及网络系统的制作方法

文档序号：7870866阅读：318来源：国知局

专利名称：一种策略配置的方法、管理服务器以及网络系统的制作方法
技术领域：
本发明属于通信领域，尤其涉及一种策略配置的方法、管理服务器以及网络系统。
背景技术：
在当前互联网极度发达的时代，随着各种类型的网络攻击、病毒等恶意应用的肆意传播，为了保护信息的安全性，几乎所有的大中型公司都会使用防火墙对公司的网络进行安全防范和加固，但随着公司自身规模的增长，对于公司内容部防火墙设备的管理和维护问题也日趋明显。目前在进行防火墙策略配置的过程中，几乎所有的管理员都是通过集中管理的方式来进行策略配置，而后批量下发给设备。然而目前能够进行批量下发的策略只能是多台网络设备，例如防火墙，同时具备的公共特性，当需要对网络设备配置特殊的策略时，就需要管理员对网络设备中的策略进行逐一修改或配置。目前对网络设备的策略配置都是通过这种批量下发、手动修改的形式来完成，没有一种自动完成策略配置的方法。

发明内容
本发明实施例的目的在于提供一种策略配置的方法、管理服务器以及网络系统，解决了管理员对网络设备逐一进行策略配置所带来的管理维护工作量大的问题，提高了管理维护效率，降低了管理维护成本。第一方面，提供一种策略配置的方法，所述方法包括在源设备与目的设备之间的所有链路信息中选择待配置链路；获取所述待配置链路中的网络设备的设备信息，其中，所述设备信息包括设备标识信息以及配置信息；根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版；根据所述配置信息以及所述策略配置模版生成策略；将生成的所述策略发送给所述待配置链路中的网络设备，以使所述网络设备根据所述策略进行策略配置。结合第一方面，在第一方面的第一种可能的实现方式中，所述在源设备与目的设备之间的所有链路信息中选择待配置链路包括从数据库中获取所述源设备与所述目的设备之间的所有链路信息，其中，所述数据库中存储有网络中所有网络设备的链路信息，所述数据库中的链路信息根据拓扑发现的所述网络中所有的网络设备的路由信息生成；从所述源设备与所述目的设备之间的所有链路信息中选择待配置的链路。结合第一方面或者第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，还包括检测生成的所述策略与所述待配置链路中的设备上已有的策略是否存在冲突；
所述将生成的所述策略发送给所述待配置链路中的设备包括如果生成的所述策略与所述待配置链路中的设备上已有的策略没有冲突，则将生成的所述策略发送给所述待配置链路中的设备。结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，还包括如果生成的所述策略与所述待配置链路中的设备上已有的策略有冲突，则对生成的所述策略进行审核，并将审核通过后的策略发送给所述待配置链路中的设备。结合第一方面，在第一方面的第四种可能的实现方式中，所述策略配置模版中包含有设备标识信息、策略类型信息以及策略命令。第二方面，提供一种管理服务器，包括
选择单元，用于在源设备与目的设备之间的所有链路信息中选择待配置链路；获取单元，用于获取所述待配置链路中的网络设备的设备信息，其中，所述设备信息包括设备标识信息以及配置信息，并根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版；策略生成单元，用于根据所述获取单元获取的所述配置信息以及所述策略配置模板生成策略；发送单元，用于将所述策略生成单元生成的所述策略发送给所述待配置链路中的网络设备，以使所述网络设备根据所述策略进行策略配置。结合第二方面，在第二方面的第一种可能的实现方式中所述选择单元，具体用于从数据库中获取所述源设备与所述目的设备之间的所有链路信息，并从所述源设备与所述目的设备之间的所有链路信息中选择待配置的链路，其中，所述数据库中存储有网络中所有网络设备的链路信息，所述数据库中的链路信息根据拓扑发现的所述网络中所有的网络设备的路由信息生成。结合第二方面或者第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述设备还包括检测单元，用于检测所述策略生成单元生成的所述策略与所述待配置链路中的设备上已有的策略是否存在冲突；所述发送单元，具体用于当生成的所述策略与所述待配置链路中的设备上已有的策略没有冲突时，则将所述策略生成单元生成的所述策略发送给所述待配置链路中的设备。结合第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，所述设备还包括审核单元，所述审核单元具体用于用于当生成的所述策略与所述待配置链路中的设备上已有的策略有冲突时，对生成的所述策略进行审核；所述发送单元，还用于将所述审核单元审核通过后的策略发送给所述待配置链路中的设备。结合第二方面，在第二方面的第四种可能的实现方式中，所述策略配置模版中包含有设备标识信息、策略类型信息以及策略命令。
第三方面，本发明实施例提供一种网络系统，包括源设备、目的设备、至少一个网络设备以及上述实现方式中的管理服务器，所述源设备与所述目的设备之间包括至少一条通信链路，其中所述源设备，用于通过所述至少一个网络设备与所述目的设备通信；所述网络设备，用于根据所述管理服务器下发的策略进行策略配置，并根据配置的策略建立所述源设备与所述目的设备之间的通信。与现有技术相比，本发明实施例提供了一种策略配置的方法，通过在源设备到目的设备之间的所有链路信息中选择待配置链路，获取所述待配置链路中的网络设备的设备信息，生成策略，并将生成的所述策略发送给所述待配置链路中的网络设备，以使得所述网络设备根据所述策略进行策略配置，从而解决了管理员对待配置链路中的网络设备逐一进行策略配置所带来的管理维护工作量大的问题，提高了管理维护的效率，降低了管理维护成本。

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1是本发明实施例提供的一种策略配置的应用场景图；图2-A是本发明实施例提供的一种策略配置的方法流程图；图2-B是本发明实施例提供的又一种策略配置的方法流程图；图3是本发明实施例提供的一种策略配置方法中使用的数据结构图；图4是本发明实施例提供的一种管理服务器的设备结构图；图5是本发明实施例提供的一种管理服务器的设备结构图；图6是本发明实施例提供的另一种管理服务器的结构图；图7为本发明实施例提供的一种网络系统的结构示意图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。参考图1，图1是本发明实施例提供的一种策略配置的应用场景图。如图1所示，在该网络系统中包括源设备100、管理服务器130、目的设备120以及多个网络设备，其中，网络设备包括交换机105、防火墙110及防火墙115，源设备100和目的设备120可以是网络服务器。源设备100与目的设备120之间包括两条链路，链路I为源设备100经过交换机105及防火墙110到达目的设备120 ;链路2为源设备100经过交换机105及防火墙115到达目的设备120。要使源设备100发送的数据包到达目的设备120，需要对各链路上的网络设备上配置转发控制策略，例如，如果选择源设备100通过链路I访问目的设备120，则需要在交换机105以及防火墙110上配置对数据包的转发控制策略，例如，针对某个用户(IP地址)的数据流进行转发，或只转发某个协议类型的数据包等等策略。管理服务器130负责对例如交换机105、防火墙110以及防火墙115等网络设备的策略配置，管理服务器130下发的策略可以通过交换机105到达防火墙110和防火墙115。参考图2-A，图2-A是本发明实施例提供的一种策略配置的方法流程图。该方法可以的执行主体可以为图1中的管理服务器130，如图2-A所示，所述方法包括以下步骤步骤201，在源设备与目的设备之间的所有链路信息中选择待配置链路，进入步骤202 ；可选地，所述在源设备与目的设备之间的所有链路信息中选择待配置链路包括从数据库中获取所述源设备与所述目的设备之间的所有链路信息，其中，所述数据库中存储有网络中所有网络设备的链路信息，所述数据库中的链路信息根据拓扑发现的所述网络中所有的网络设备的路由信息生成；从所述源设备与所述目的设备之间的所有链路信息中选择待配置的链路。具体的，在生成所述源设备与目的设备之间的所有链路信息时，先从数据库中读取所述源设备、目的设备及网络设备的链路信息，例如，这些设备的链路信息可以形成如图3所示的数据结构，其中节点I代表所述源设备，节点6代表所述目的设备，其中，从节点I到节点6，存在三条链路链路{1-2-3-4-6}、链路{1-2-5-4-6}以及链路{1-5-4-6}，如果节点I要访问节点6，则可以从上述三条链路中选择一条链路来配置访问策略，例如，可以比如选择链路{1-2-3-4-6}作为待配置链路。当然可以理解的是，在选择待配置链路时，也可以根据具体需要选择源设备与目的设备之间的最短路径进行配置。其中，在识别设备I到设备6之间的链路时，可以采用广度优先查找算法进行链路的识别，具体的可以首先访问初始节点1，并将其标记为已访问过，接着访问节点I的所有未被访问过的相邻节点，例如节点2和节点5，并在访问后将节点2和节点5标记为已访问，然后再访问节点2和节点5的所有未被访问的相邻节点，如访问节点2的相邻节点3，访问节点5的相邻节点4，并将节点3和节点4标记为已访问，依次类推，直到图中源设备I和目的设备6之间的所有链路中的所有网络设备都被访问过为止，通过这种方法识别设备I和设备6之间的所有链路。当然，可以理解的是，还可以采用其他链路查找算法，在此不做限定，只要能够识别出源设备与目的设备之间的链路即可。步骤202，获取所述待配置链路中的网络设备的设备信息，其中，所述设备信息包括设备标识信息以及配置信息，进入步骤203 ；其中，所述网络设备是指源设备到目的设备之间的设备，包括防火墙、路由器、网关、交换机等设备，不包括源设备与目的设备，其中，所述源设备和目的设备可以是网络服务器。所述设备标识信息包括厂商、设备类型等识别设备的标识，所述配置信息包括接口、协议类型、策略生效时间段、针对的用户等。步骤203，根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版，进入步骤204 ；其中，所述策略配置模版中包含有设备标识信息、策略类型信息以及策略命令。具体的，可以根据各个厂商在策略配置的命令行的差异性，定义一个适配格式的模板，所述模板中主要包含厂商的唯一标识、厂商名称、策略主类型、策略子类型、策略对应的命令行等信息。具体的，可以根据步骤202中获得的网络设备的标识信息，便可根据要配置的策略类型(例如转发策略、流量控制策略等策略类型)以及所述设备标识信息中包含的厂商信息(例如思科、爱立信等厂商)和设备类型信息(例如防火墙、路由器等具体类型的设备)查找预先设定的与待配置网络设备的设备类型相匹配的策略配置模板。例如，结合附图1中，假设防火墙105为思科公司的N1000型防火墙，需要在防火墙105上设置流量控制策略，则可以在针对思科的N1000型防火墙的策略配置模版中获取的流量控制类型的策略配置模版。步骤204，根据所述配置信息以及所述策略配置模版生成策略，进入步骤205 ；具体的，当获得与待配置设备相对应的策略配置模块后，可以根据步骤202中获得的设备的配置信息，例如接口信息、协议类型信息以及策略生效时间段信息等，和所述策略配置模版生成策略。例如，可以根据设备的接口信息逐一判断接口的状态和每个接口对应的IP地址，并与待配置链路中的所述源设备IP地址和所述目的设备IP地址进行匹配，如果匹配则记录下来将其设备的接口信息填入到策略配置模板的命令行模板中，从而生成相应的策略。步骤205，将生成的所述策略发送给所述待配置链路中的网络设备，以使所述网络设备根据所述策略进行策略配置。本发明实施例提供了一种策略配置的方法，通过在源设备到目的设备之间的所有链路信息中选择待配置链路，获取所述待配置链路中的网络设备的设备信息，生成策略，并将生成的所述策略发送给所述待配置链路中的网络设备，以使得所述网络设备根据所述策略进行策略配置，从而解决了管理员对待配置链路中的网络设备逐一进行策略配置所带来的管理维护工作量大的问题，提高了管理维护的效率，降低了管理维护成本。图2-B为本发明实施例提供的又一种策略配置方法的流程图，如图2-B所示，其中步骤201-203与图2-A所示实施例相同，具体可以参考上述实施例，在此不再赘述，步骤204，根据所述配置信息以及所述策略配置模版生成策略，进入步骤206 ；步骤206，用于检测生成的所述策略与所述待配置链路中的设备上已有的策略是否存在冲突，当不存在冲突时，进入步骤205，否则进入步骤207 ；具体的，由于在某些情形下，不同链路在同一个设备上配置的策略之间可能存在冲突，因此在具体配置时，需要检测一下当前要配置的策略是否与该设备已有的策略(例如该设备在其他链路中配置的策略)相冲突，因此在根据所述配置信息以及所述策略配置模版生成策略后，需要判断步骤204中生成的所述策略是否与该设备已有的策略存在冲突，如果不存在冲突，则进入步骤205，如果存在冲突，则进入步骤207。步骤205，将生成的所述策略发送给所述待配置链路中的网络设备，以使所述网络设备根据所述策略进行策略配置；具体的，如果生成的所述策略与所述待配置链路中的设备上已有的策略没有冲突，例如，预先设置网络设备B的策略是禁止访问防火墙C，当生成的所述策略中如果网络设备B也不需要访问防火墙C的策略时，就将生成的所述策略下发到所述待配置链路中的设备。步骤207，对生成的所述策略进行审核，并将审核通过后的策略发送给所述待配置链路中的设备。具体的，如果生成的所述策略与所述待配置链路中的设备上已有的策略有冲突，如，预先设置网络设备B的策略是禁止访问防火墙C，当生成的所述策略中网络设备B需
要访问防火墙C的策略时，就会存在策略冲突，此时，需要管理员对冲突进行审核，确定是否需要修改策略，并将审核通过后的策略发送给待配置设备(例如网络设备B)。需要说明的是，在本发明实施例所述的策略配置方法中，可以同时获取链路中所有设备的设备信息以及各设备对应的策略配置模板，并分别根据各设备的配置信息和对应的策略配置模板生成不同的策略，并将生成的策略对应下发给各个设备，相当于并行处理的方式；也可以分别逐个获取各设备的设备信息和策略配置模板，生成不同的策略，并逐个将生成的策略下发给各个设备，相当于串行处理的方式，在此不做限定。本发明实施例提供了一种策略配置的方法，在上述实施例的基础上增加了策略冲突检测的步骤，在实现自动配置网络设备的策略的同时，进一步提高了策略配置的准确性。参考图4，图4是本发明实施例提供的一种管理服务器的设备结构图，所述设备包括以下单元选择单元401，用于在源设备与目的设备之间的所有链路信息中选择待配置链路；可选的，所述选择单元401，具体用于从数据库中获取所述源设备与所述目的设备之间的所有链路信息，其中，所述数据库中存储有网络中所有网络设备的链路信息，所述数据库中的链路信息根据拓扑发现的所述网络中所有的网络设备的路由信息生成；从所述源设备与所述目的设备之间的所有链路信息中选择待配置的链路。具体的，在生成所述源设备与目的设备之间的所有链路信息时，先从数据库中读取所述源设备、目的设备及网络设备的链路信息，例如，这些设备的链路信息可以形成如图3的数据结构中，其中节点I代表所述源设备，节点6代表所述目的设备，当从节点I到节点6，存在三条链路分别是链路{1-2-3-4-6}、链路{1-2-5-4-6}以及链路{1-5-4-6}，如果节点I要访问节点6，则可以从上述三条链路中选择一条链路来配置访问策略，例如，可以比如选择链路{1-2-3-4-6}作为待配置链路。当然可以理解的是，在选择待配置链路时，也可以根据具体需要选择源设备与目的设备之间的最短路径进行配置。其中，在识别设备I到设备6之间的链路时，可以采用广度优先查找算法进行链路识别，具体的可以首先访问初始节点1，并将其标记为已访问过，接着访问节点I的所有未被访问过的邻节点2，节点5，并均标记节点2和节点5已访问过,然后再访问节点2和节点5的所有未被访问的邻节点，如访问节点2的邻节点3，访问节点5的邻节点4，并均标记节点3和节点4为已访问过，依次类推，直到图中源设备和目的设备之间的所有链路中的所有网络设备都被访问过为止，通过这种方法识别设备I和设备6之间的所有链路。当然，可以理解的是，还可以采用其他链路查找算法，在此不做限定，只要能够识别出源设备与目的设备之间的链路即可。获取单元402，用于获取所述待配置链路中的网络设备的设备信息，其中，所述设备信息包括设备标识信息以及配置信息，并根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版；
其中，所述网络设备是指源设备到目的设备之间的设备，包括防火墙、路由器、网关、交换机等设备，不包括源设备与目的设备，其中，所述源设备和目的设备可以是网络服务器。所述设备标识信息包括厂商、设备类型等识别设备的标识，所述配置信息包括接口、协议类型、策略生效时间段、针对的用户等。其中，所述策略配置模版中包含有设备标识信息、策略类型信息以及策略命令。具体的，可以根据各个厂商在策略配置的命令行的差异性，定义一个适配格式的模板，所述模板中主要包含厂商的唯一标识、厂商名称、策略主类型、策略子类型、策略对应的命令行等信息。在实际应用中，可以根据获取单元402中获得的网络设备的标识信息，便可根据要配置的策略类型(例如转发策略、流量控制策略等策略类型)以及所述设备标识信息中包含的厂商信息(例如思科、爱立信等厂商)和设备类型信息(例如防火墙、路由器等具体类型的设备)查找预先设定的与待配置网络设备的设备类型相匹配的策略配置模板。例如，结合附图1中，假设防火墙105为思科公司的N1000型防火墙，需要在防火墙105上设置流量控制策略，则可以在针对思科的N1000型防火墙的策略配置模版中获取的流量控制类型的策略配置模版。策略生成单元403，用于根据所述获取单元402获取的所述配置信息以及所述策略配置模板生成策略；当获取单元402获得与配置设备相对应的策略配置模块后，可以根据获取单元402中获取的设备的配置信息，例如接口信息、协议类型信息以及策略生效时间段信息等，和所述策略配置模板生成策略。例如，可以根据设备的接口信息逐一判断接口的状态和每个接口对应的IP地址，并与待配置链路中的所述源设备IP地址和所述目的设备IP地址进行匹配，如果匹配则记录下来将其设备的接口信息填入到命令行模板，从而生成相应的策略。发送单元404，用于将所述策略生成单元403生成的所述策略发送给所述待配置链路中的网络设备，以使所述网络设备根据所述策略进行策略配置。本发明实施例提供了一种管理服务器，通过在源设备到目的设备之间的所有链路信息中选择待配置链路，获取所述待配置链路中的网络设备的设备信息，生成策略，并将生成的所述策略发送给所述待配置链路中的网络设备，以使得所述网络设备根据所述策略进行策略配置，从而解决了管理员对待配置链路中的网络设备逐一进行策略配置所带来的管理维护工作量大的问题，提高了管理维护的效率，降低了管理维护成本。图5为本发明实施例提供的又一种管理服务器的设备结构图。如图5所示，其中选择单元401、获取单元402与图4所示实施例相同，具体可以参考上述实施例，在此不再赘述，策略生成单元403，用于根据所述配置信息以及所述策略配置模版生成策略；检测单元405，用于检测所述策略生成单元生成的所述策略与所述待配置链路中的设备上已有的策略是否存在冲突，当不存在冲突时，执行发送单元404，否则执行审核单元 406 ；具体的，由于在某些情形下，不同链路在同一个设备上配置的策略之间可能存在冲突，因此在具体配置时，需要检测一下当前要配置的策略是否与该设备已有的策略(例如该设备在其他链路中配置的策略)相冲突，因此在根据所述配置信息以及所述策略配置模版生成策略后，需要判断策略生成单元403中生成的所述策略是否与该设备已有的策略存在冲突，如果不存在冲突，则执行发送单元404，否则执行审核单元406。所述发送单元404，具体用于将生成的所述策略发送给所述待配置链路中的网络设备，以使所述网络设备根据所述策略进行策略配置。具体的，如果生成的所述策略与所述待配置链路中的设备上已有的策略没有冲突，例如，预先设置网络设备B的策略是禁止访问防火墙C，当生成的所述策略中如果网络设备B也不需要访问防火墙C的策略时，就将生成的所述策略下发到所述待配置链路中的设备。所述审核单元406具体用于
对生成的所述策略进行审核，并将审核通过后的策略发送给所述待配置链路中的设备。具体的，如果生成的所述策略与所述待配置链路中的设备上已有的策略有冲突，如，预先设置网络设备B的策略是禁止访问防火墙C，当生成的所述策略中网络设备B需
要访问防火墙C的策略时，就会存在策略冲突，此时，需要管理员对冲突进行审核，确定是否需要修改策略，并将审核通过后的策略发送给待配置设备(例如网络设备B)。需要说明的是，在本发明实施例所述的策略配置方法中，可以同时获取链路中所有设备的设备信息以及各设备对应的策略配置模板，并分别根据各设备的配置信息和对应的策略配置模板生成不同的策略，并将生成的策略对应下发给各个设备，相当于并行处理的方式；也可以分别逐个获取各设备的设备信息和策略配置模板，生成不同的策略，并逐个将生成的策略下发给各个设备，相当于串行处理的方式，在此不做限定。本发明实施例提供了一种管理服务器，在上述实施例的基础上增加了检测单元405，在实现自动配置网络设备的策略的同时，进一步提高了策略配置的准确性。本发明实施例提供的一种管理服务器，通过在源设备到目的设备之间的所有链路信息中选择待配置链路，获取所述待配置链路中的网络设备的设备信息，生成策略，并将生成的所述策略发送给所述待配置链路中的网络设备，以使得所述网络设备根据所述策略进行策略配置，从而解决了管理员对待配置链路中的网络设备逐一进行策略配置所带来的管理维护工作量大的问题，提高了管理维护的效率，降低了管理维护成本。参考图6，图6是本发明实施例提供的另一种管理服务器的设备结构图。参考图6，图6是本发明实施例提供的一种管理服务器600，本发明具体实施例并不对所述设备的具体实现做限定。所述管理服务器600包括处理器(processor)601,通信接口(CommunicationsInterface)602,存储器(memory) 603,总线 604。处理器601，通信接口 602，存储器603通过总线604完成相互间的通信。通信接口 602，用于与网络设备进行通信，其中，网络设备可以包括交换机、防火墙等;处理器601，用于执行程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。
处理器601可能是一个中央处理器CPU,或者是特定集成电路ASIC (ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。存储器603，用于存放程序6031。存储器603可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)。程序6031具体可以包括选择单元401，用于在源设备与目的设备之间的所有链路信息中选择待配置链路；获取单元402，用于获取所述待配置链路中的网络设备的设备信息，其中，所述设备信息包括设备标识信息以及配置信息，并根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版；策略生成单元403，用于根据所述获取单元402获取的所述配置信息以及所述策略配置模板生成策略；发送单元404，用于将所述策略生成单元403生成的所述策略发送给所述待配置链路中的网络设备，以使所述网络设备根据所述策略进行策略配置。程序6031中各功能模块的具体实现可以参见上述图4-图5所述实施例中的相应模块，在此不再赘述。图7为本发明实施例提供的一种网络系统的结构示意图，如图所示，该网络系统包括管理服务器700、源设备705、目的设备715以及至少一个网络设备710，所述源设备705用于通过所述至少一个网络设备710与所述目的设备715通信，所述源设备705与所述目的设备715之间包括至少一条通信链路，其中所述管理服务器700，用于在源设备与目的设备之间的所有链路信息中选择待配置链路，获取所述待配置链路中的网络设备的设备信息，其中，所述设备信息包括设备标识信息以及配置信息，并根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版，根据所述配置信息以及所述策略配置模板生成策略，并将所述策略生成单元生成的所述策略发送给所述待配置链路中的网络设备，以使所述网络设备根据所述策略进行策略配置；所述网络设备710，用于根据所述管理服务器700下发的策略进行策略配置，并根据配置的策略建立所述源设备与所述目的设备之间的通信。具体的，所述管理服务器的具体实现可以参见上述图4-图6所述实施例中的相应描述，在此不再赘述。本发明实施例提供的一种网络系统，通过管理服务器在源设备到目的设备之间的所有链路信息中选择待配置链路，获取所述待配置链路中的网络设备的设备信息，生成策略，并将生成的所述策略发送给所述待配置链路中的网络设备，以使得所述网络设备根据所述策略进行策略配置，从而解决了管理员对待配置链路中的网络设备逐一进行策略配置所带来的管理维护工作量大的问题，提高了管理维护的效率，降低了管理维护成本。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的设备和模块的具体工作过程，可以参考前述方法实施例中的对应过程描述，在此不再赘述。在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个设备中，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部，模块来实现本实施例方案的目的。另外，在本发明各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。最后应说明的是以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
权利要求
1.一种策略配置的方法，其特征在于，所述方法包括在源设备与目的设备之间的所有链路信息中选择待配置链路；获取所述待配置链路中的网络设备的设备信息，其中，所述设备信息包括设备标识信息以及配置信息；根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版；根据所述配置信息以及所述策略配置模版生成策略；将生成的所述策略发送给所述待配置链路中的网络设备，以使所述网络设备根据所述策略进行策略配置。
2.根据权利要求1所述的策略配置方法，其特征在于，所述在源设备与目的设备之间的所有链路信息中选择待配置链路包括从数据库中获取所述源设备与所述目的设备之间的所有链路信息，其中，所述数据库中存储有网络中所有网络设备的链路信息，所述数据库中的链路信息根据拓扑发现的所述网络中所有的网络设备的路由信息生成；从所述源设备与所述目的设备之间的所有链路信息中选择待配置的链路。
3.根据权利要求1或2所述的策略配置方法，其特征在于，还包括检测生成的所述策略与所述待配置链路中的设备上已有的策略是否存在冲突；所述将生成的所述策略发送给所述待配置链路中的设备包括如果生成的所述策略与所述待配置链路中的设备上已有的策略没有冲突，则将生成的所述策略发送给所述待配置链路中的设备。
4.根据权利要求3所述的策略配置方法，其特征在于，还包括如果生成的所述策略与所述待配置链路中的设备上已有的策略有冲突，则对生成的所述策略进行审核，并将审核通过后的策略发送给所述待配置链路中的设备。
5.根据权利要求1所述的策略配置方法，其特征在于，所述策略配置模版中包含有设备标识信息、策略类型信息以及策略命令。
6.一种管理服务器，其特征在于，包括选择单元，用于在源设备与目的设备之间的所有链路信息中选择待配置链路；获取单元，用于获取所述待配置链路中的网络设备的设备信息，其中，所述设备信息包括设备标识信息以及配置信息，并根据待配置的策略类型以及所述设备标识信息在预设的策略配置模版中获取对应的策略配置模版；策略生成单元，用于根据所述获取单元获取的所述配置信息以及所述策略配置模板生成策略；发送单元，用于将所述策略生成单元生成的所述策略发送给所述待配置链路中的网络设备，以使所述网络设备根据所述策略进行策略配置。
7.根据权利要求6所述的管理服务器，其特征在于，所述选择单元，具体用于从数据库中获取所述源设备与所述目的设备之间的所有链路信息，并从所述源设备与所述目的设备之间的所有链路信息中选择待配置的链路，其中，所述数据库中存储有网络中所有网络设备的链路信息，所述数据库中的链路信息根据拓扑发现的所述网络中所有的网络设备的路由信息生成。
8.根据权利要求6或7所述的管理服务器，其特征在于，所述管理服务器还包括检测单元，用于检测所述策略生成单元生成的所述策略与所述待配置链路中的设备上已有的策略是否存在冲突；所述发送单元，具体用于当生成的所述策略与所述待配置链路中的设备上已有的策略没有冲突时，将所述策略生成单元生成的所述策略发送给所述待配置链路中的设备。
9.根据权利要求8所述的管理服务器，其特征在于，还包括审核单元，用于当生成的所述策略与所述待配置链路中的设备上已有的策略有冲突时，对生成的所述策略进行审核；所述发送单元，还用于将所述审核单元审核通过后的策略发送给所述待配置链路中的设备。
10.根据权利要求6所述的管理服务器，其特征在于，所述策略配置模版中包含有设备标识信息、策略类型信息以及策略命令。
11.一种网络系统，其特征在于，包括源设备、目的设备、至少一个网络设备以及如权利要求6-10任意一项所述的管理服务器，所述源设备与所述目的设备之间包括至少一条通信链路，其中所述源设备，用于通过所述至少一个网络设备与所述目的设备通信；所述网络设备，用于根据所述管理服务器下发的策略进行策略配置，并根据配置的策略建立所述源设备与所述目的设备之间的通信。
全文摘要
本发明实施例公开了一种策略配置的方法及管理服务器，通过在源设备到目的设备之间的所有链路信息中选择待配置链路，获取所述待配置链路中的网络设备的设备信息，生成策略，并将生成的所述策略发送给所述待配置链路中的网络设备，以使得所述网络设备根据所述策略进行策略配置，从而解决了管理员对待配置链路中的网络设备逐一进行策略配置所带来的管理维护工作量大的问题，提高了管理维护的效率，降低了管理维护成本。
文档编号H04L12/24GK103023707SQ201210586179
公开日2013年4月3日申请日期2012年12月28日优先权日2012年12月28日
发明者陈安伟申请人:华为技术有限公司

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：陈安伟
技术所有人：华为技术有限公司
我是此专利的发明人

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。