[发明专利]一种安全地部署网络设备的方法

说明书

技术领域

本发明一般地涉及网络互联，更具体地，本发明涉及一种安全地部署网络设备的方法。

背景技术

在本节中描述的方法可实现的方法，但并不一定是此前构思出的或者实现过的方法。因此，除非另有说明，在本节中描述的方法对于本申请中的权利要求而言可能并不是现有技术，而且，并不因为包含在本节中而承认是现有技术。

部署网络设备的一个问题是，尽管在物理上安装网络设备是相当直接的，可是，所安装的网络设备必须经过配置，而这可能是困难的，而且要求相当高程度的用户知识和参与。例如，配置带诸如虚拟专用网(VPN)之类的安全网络连接的路由器，这对缺乏此类任务经验的最终用户而言，要进行排错可能是相当乏味和困难的。在公司环境下，对部署专业人员而言，在将网络设备安装到其目的地前对其进行手动配置是常见的。尽管这减少了最终用户的负担，但是并没有解决所有问题。在一些情形中，需要尽可能快速并且低成本地布署大量的网络设备。因为手动配置大量网络设备所需要的人力资源，所以使用传统方法进行配置是相当困难的。在手动配置过程中会产生错误，而这需要重新配置某些网络设备。此外，驱策网络设备配置的公司政策往往不是静态的，而且可能会难于期望地变化。因此，公司政策最后一分钟的变化同样要求对已经按照先前公司政策配置的网络设备进行重新配置，这增加了成本，而且导致部署延迟。

基于上述说明，需要一种部署网络设备的方法，其不会受到此前方法的限制。

附图说明

在以下附图中，同样的附图标号指代类似元素。

图1是显示根据本发明实施例而安全部署网络设备的设置的方框图。

图2是显示根据本发明实施例而安全部署路由器的方法的方框图。

图3是可以在其上实现本发明的实施例的计算机系统的方框图。

具体实施方式

在以下说明中，出于说明解释的目的描述了各个特定细节，以便提供对本发明的完整理解。然而，对本领域技术人员而言明显的是，没有这些特定细节也可以实现本发明。在其他情况下，以框图形式示出了公知的结构和设备，以免不必要地模糊了本发明。下面按照以下各节对本发明的各个方面进行描述：

I.概述

II.体系结构

III.安全部署

IV.更新网络设备配置

V.实现机制

I.概述

本发明提供了用于安全地部署和配置网络设备的方法。在被部署的网络设备与注册机之间建立安全引入连接。所述安全引入连接遵循安全通信协议，例如HTTPS。所述注册机通过所述安全引入连接，为所述网络设备提供引导配置数据。所述引导配置数据用于在所述网络设备与安全管理网关之间建立安全管理连接。所述安全管理连接可以遵循安全通信协议，例如IPsec或HTTPS。所述安全管理网关通过所述安全管理连接，为所述网络设备提供用户特定的配置数据和安全策略数据。所述用户特定的配置数据和安全策略数据用于在所述网络设备与安全数据网关之间建立安全数据连接。所述安全数据连接可以是动态多点虚拟专用网(DMVPN)连接，其允许在所述网络设备与安全数据网关之间安全地交换诸如语音数据之类的数据。所述方法为诸如路由器之类的网络设备提供安全部署，用户不必了解如何配置所述网络设备的任何细节。此外，安全管理连接的使用允许以受控和安全的方式执行安全性策略。

II.体系结构

图1是显示根据本发明实施例而安全部署网络设备的设置100的方框图。设置100包括路由器102、安全数据网关104、安全管理网关106以及注册机108。路由器102通过通信链路110、112、114分别通信耦合到安全数据网关104、安全管理网关106以及注册机108。通信链路110、112、114可以通过任何机制或介质来实现，其提供路由器102与安全数据网关104、安全管理网关106及注册机108之间的数据交换。具体实例包括但不限于各类网络，诸如局域网(LAN)、广域网(WAN)、以太网或互联网，或者一个或多个陆地、卫星或无线链路。基于特定应用，在图1中各元素之间可以提供其他通信链路和方法。出于解释的目的，此后，对本发明的实施例的描述在部署单个路由器102的上下文中进行。但是，本方法并不限于该上下文，而是可以部署任意类型和数量的网络设备。