基于SD-WAN建立IPSec隧道的方法及装置与流程

本公开涉及网络安全，尤其涉及一种基于sd-wan建立ipsec隧道的方法及装置。

背景技术：

1、在传统的分散式网络中，局端设备量多且部署位置往往位于全国各地，这就使得中心设备、局端设备之间及局端设备互相之间的ipsec隧道组网的复杂度、运维人力成本、配置错误率极大的增高。并且随着时间推移，企业的购买和需部署的局端设备会不断增多，对于之前已部署完成的局端设备和需要部署的新局端设备之间的组网维护成本较高。

2、相关技术中，采用基于pki认证方式自动建立基站与安全网关之间的ipsec隧道，但是该方案存在以下缺陷：

3、(1)局端设备需要与配置服务器、网关设备、网络管理单元之间进行多次交互，需要各个设备之间保证的正常网络通信，网络维护成本较高；(2)在大批量局端设备同时部署上线的时候会出现网关设备的临时ipsec隧道的数量和永久ipsec隧道的数量达到极限，其他正在上线的局端设备可能会出现无法和网关设备建立通信或通信时间冗长的问题；(3)无法对已建立的ipsec隧道进行集中管理，网络运维成本较高；(4)局端设备自动化获取和建立ipsec隧道对于用户来说是黑盒进程，用户无法及时获取到ipsec隧道建立的结果和进度；(5)当局端设备自动化获取的配置信息有误导致建立ipsec隧道反复失败，且用户无法及时监测到隧道建立失败，则用户需要手动修改出问题的局端设备的配置信息，在大批量设备需要手动修改配置的情况下会增加维护成本和降低隧道建立效率。

技术实现思路

1、有鉴于此，本公开实施例提供了一种基于sd-wan建立ipsec隧道的方法及装置，局端设备可通过导入配置模板和输入预设配置信息，建立与sd-wan网络控制器之间的连接，完成预设配置信息的初始化、ipsec隧道建立并将局端设备上线到sd-wan网络控制器上，sd-wan网络控制器可对上线后局端设备的ipsec隧道进行集中管理和监控，从而提高ipsec隧道的建立效率，降低网络维护成本和运营成本。

2、第一方面，本公开实施例提供了一种基于sd-wan建立ipsec隧道的方法，采用如下技术方案：

3、在配置模板中输入预设配置信息，其中，所述预设配置信息包括局端设备的sd-wan网络配置信息和ipsec隧道的隧道配置信息；

4、将输入所述预设配置信息的配置模板导入sd-wan网络控制器，并根据导入信息生成配置记录表；

5、基于所述配置记录表生成url请求，并将所述url请求发送至所述局端设备；

6、接收所述局端设备根据所述url请求返回的响应消息，建立与所述局端设备之间的ipsec隧道并执行设备上线流程，将所述局端设备上线到所述sd-wan网络控制器；

7、实时检测所述局端设备发送的所述预设配置信息的更新信息，并将所述更新信息同步至所述配置记录表。

8、在一些实施例中，基于所述配置记录表生成url请求，并将所述url请求发送至所述局端设备，包括：

9、检测所述配置记录表中针对快速部署记录的复制操作；

10、根据检测到的所述复制操作生成所述url请求，其中，所述url请求用于访问所述配置记录表对应的所述预设配置信息；

11、将所述url请求复制到所述局端设备的web浏览器。

12、在一些实施例中，所述方法还包括：

13、所述局端设备对接收到的所述url请求进行解析，得到解析结果；

14、根据所述解析结果，加载所述预设配置信息；

15、在加载完成所述预设配置信息后，向所述sd-wan网络控制器发送携带有认证请求的响应消息。

16、在一些实施例中，所述方法还包括：

17、获取所述预设配置信息的加载进度；

18、在所述web浏览器的web界面中实时显示所述加载进度。

19、在一些实施例中，接收所述局端设备根据所述url请求返回的响应消息，建立与所述局端设备之间的ipsec隧道并执行设备上线流程，将所述局端设备上线到所述sd-wan网络控制器，包括：

20、根据接收到的所述响应消息中携带的所述认证请求，对所述局端设备进行设备认证；

21、当所述局端设备的设备认证通过时，建立与所述局端设备之间的ipsec隧道，并对所述局端设备执行设备上线流程。

22、在一些实施例中，所述方法还包括：

23、当所述局端设备在所述sd-wan网络控制器上线成功后，通过所述sd-wan网络控制器批量对所述局端设备的ipsec隧道的隧道配置信息执行相应管理操作；

24、将所述局端设备的所述ipsec隧道的隧道更新信息批量同步至所述配置记录表。

25、在一些实施例中，在配置模板中输入预设配置信息，包括：

26、将所述sd-wan网络控制器的配置模板下载至本地；

27、根据检测到的页签点击指令，从所述配置模板的若干个页签模板中确定目标页签；

28、基于所述目标页签的页签信息，将所述预设配置信息输入至所述目标页签；其中，所述页签信息包括设备名称、设备类型、网络配置和ipsec隧道配置。

29、第二方面，本公开实施例还提供了一种基于sd-wan建立ipsec隧道的装置，采用如下技术方案：

30、配置单元，被配置为在配置模板中输入预设配置信息，其中，所述预设配置信息包括局端设备的sd-wan网络配置信息和ipsec隧道的隧道配置信息；

31、导入单元，被配置为将输入所述预设配置信息的配置模板导入sd-wan网络控制器，并根据导入信息生成配置记录表；

32、发送单元，被配置为基于所述配置记录表生成url请求，并将所述url请求发送至所述局端设备；

33、接收单元，被配置为接收所述局端设备根据所述url请求返回的响应消息，建立与所述局端设备之间的ipsec隧道并执行设备上线流程，将所述局端设备上线到所述sd-wan网络控制器；

34、同步单元，被配置为实时检测所述局端设备发送的所述预设配置信息的更新信息，并将所述更新信息同步至所述配置记录表。

35、第三方面，本公开实施例还提供了一种电子设备，采用如下技术方案：

36、所述电子设备包括：

37、至少一个处理器；以及，

38、与所述至少一个处理器通信连接的存储器；其中，

39、所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行以上任一所述的基于sd-wan建立ipsec隧道的方法。

40、第四方面，本公开实施例还提供了一种计算机可读存储介质，该计算机可读存储介质存储计算机指令，该计算机指令用于使计算机执行以上任一所述的基于sd-wan建立ipsec隧道的方法。

41、本公开实施例提供的一种基于sd-wan建立ipsec隧道的方法，局端设备可通过导入配置模板和输入预设配置信息，建立与sd-wan网络控制器之间的连接，完成预设配置信息的初始化、ipsec隧道建立并将局端设备上线到sd-wan网络控制器上，sd-wan网络控制器可对上线后局端设备的ipsec隧道进行集中管理和监控，从而提高ipsec隧道的建立效率，降低网络维护成本和运营成本。

42、例如，sd-wan网络控制器可对上线后局端设备的ipsec隧道批量进行创建、修改、删除、禁用、启用等操作，还可以实时监控已下发的ipsec隧道的各种指标数据，如协商状态、流速、流量、质量等数据。

43、上述说明仅是本公开技术方案的概述，为了能更清楚了解本公开的技术手段，而可依照说明书的内容予以实施，并且为让本公开的上述和其他目的、特征和优点能够更明显易懂，以下特举较佳实施例，并配合附图，详细说明如下。