一种通道建立方法、基站及通道建立系统
技术领域
本发明涉及网络技术领域,尤其涉及一种通道建立方法、基站及通道建立系统。
背景技术
在安全组网中,网元要通过网关的防护才可以访问完全域内的网元。例如在无线组网中,基站要接入到控制器和操作维护中心(OperationandMaintenanceCenter,简称OMC)中,必须首先与安全网关建立网际协议安全(InternetProtocolSecurity,简称IPsec)通道,然后基站与控制器和OMC的所有通信都受IPsec通道的保护。
由于安全网关是传输网络中层次较高的节点,因此在常见安全组网架构下,汇聚层部署安全网关,分别和基站建立IPsec通道,统一接入安全域中。但是,在安全网关出现故障或参数配置错误时,会导致整个网络传输瘫痪,进而造成大批网元断链。为了避免这种情况发生,当出现批量配置错误或者安全网关的软硬件故障,安全网关短期内无法恢复正常功能时,大批基站需要通过远端控制的方式控制基站切换到其他传输链路或者近端访问对基站进行维护。一个网关可能连接上千个站点,逐站的访问排故会浪费大量的金钱和时间。
发明内容
本发明的实施例提供一种通道建立方法、基站及通道建立系统,实现在安全网关出现故障或参数配置错误时,减少故障后业务中间时间,降低对基站的维护成本。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,提供一种通道建立方法,包括:
当操作维护OM通道不通时,基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道;其中,所述OM通道用于所述基站与操作维护中心之间通信;
当所述重建立具有Ipsec模式的OM通道失败时,发送动态主机配置协议DHCP请求信息至动态主机配置协议服务器DHCP-Server;
接收所述DHCP-Server发送的对所述DHCP请求信息的回复报文;其中,所述回复报文中携带配置密钥;
将所述配置密钥与预先存储的IPsec通道倒换口令进行匹配;
当所述配置密钥与所述预先存储的IPsec通道倒换口令匹配成功时,取消对IPsec端口的绑定,将传输链路切换到非Ipsec模式的传输链路。
在第一种可能的实现方式中,结合第一方面,所述方法还包括:
当所述配置密钥与所述预先存储的IPsec通道倒换口令匹配失败时,执行所述基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道。
在第二种可能的实现方式中,结合第一种可能的实现方式,所述当操作维护OM通道不通时,基站发送网际协议安全IPsec重协商命令至安全网关之前,所述方法还包括:
当所述OM通道正常时,接收操作维护中心OMC发送的所述IPsec通道倒换口令并存储所述IPsec通道倒换口令。
在第三种可能的实现方式中,结合第一种可能的实现方式或第二种可能的实现方式,所述取消对IPsec端口的绑定,将传输链路切换到非Ipsec模式的传输链路之后,所述方法还包括:
当所述OM通道恢复正常后,接收所述OMC发送的配置命令;
发送IPsec再次协商命令至所述安全网关;
如果再次协商成功,则建立具有Ipsec模式的OM通道。
第二方面,提供一种基站,包括:
处理单元,用于当操作维护OM通道不通时,基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道;其中,所述OM通道用于所述基站与操作维护中心之间通信;
发送单元,用于当所述重建立具有Ipsec模式的OM通道失败时,发送动态主机配置协议DHCP请求信息至动态主机配置协议公共服务器DHCP-Server;
接收单元,用于接收所述DHCP-Server发送的对所述DHCP请求信息的回复报文;其中,所述回复报文中携带配置密钥;
配置单元,还用于将所述配置密钥与预先存储的IPsec通道倒换口令进行匹配;
所述处理单元,还用于当所述配置密钥与所述预先存储的IPsec通道倒换口令匹配成功时,取消对IPsec端口的绑定,将传输链路切换到非Ipsec模式的传输链路。
在第一种可能的实现方式中,结合第二方面,
所述处理单元,还用于如果所述配置密钥与所述预先存储的IPsec通道倒换口令匹配失败,则执行所述基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道。
在第二种可能的实现方式中,结合第一种可能的实现方式,
所述接收单元,还用于当所述OM通道正常时,接收操作维护中心OMC发送的所述IPsec通道倒换口令并存储所述IPsec通道倒换口令。
在第三种可能的实现方式中,结合第一种可能的实现方式或第二种可能的实现方式,所述设备还包括:
所述接收单元,还用于当所述OM通道恢复正常后,接收所述OMC发送的配置命令;
所述发送单元,还用于发送Ipsec再次协商命令至所述安全网关;
建立单元,用于如果Ipsec再次协商成功,则建立具有Ipsec模式的OM通道。
第三方面,提供一种基站,包括:至少一个处理器、存储器、通信接口和总线,所述至少一个处理器、存储器和通信接口通过总线连接并完成相互间的通信,所述存储器用于存储程序代码,其中:
所述处理器,用于调用存储器中的程序代码,用以执行以下操作:
当操作维护OM通道不通时,基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道;其中,所述OM通道用于所述基站与操作维护中心之间通信;
当所述重建立具有Ipsec模式的OM通道失败时,发送动态主机配置协议DHCP请求信息至动态主机配置协议公共服务器DHCP-Server;
接收所述DHCP-Server发送的对所述DHCP请求信息的回复报文;其中,所述回复报文中携带配置密钥;
将所述配置密钥与预先存储的IPsec通道倒换口令进行匹配;
当所述配置密钥与所述预先存储的IPsec通道倒换口令匹配成功时,取消对IPsec端口的绑定,将传输链路切换到非Ipsec模式的传输链路。
在第一种可能的实现方式中,结合第三方面,
所述处理器,还用于当所述配置密钥与所述预先存储的IPsec通道倒换口令匹配失败时,执行所述基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道。
在第二种可能的实现方式中,结合第一种可能的实现方式,所述处理器还用于:
当所述OM通道正常时,接收操作维护中心OMC发送的所述IPsec通道倒换口令并存储所述IPsec通道倒换口令。
在第三种可能的实现方式中,结合第一种可能的实现方式或第二种可能的实现方式,所述处理器还用于:
当所述OM通道恢复正常后,接收所述OMC发送的配置命令;
发送Ipsec再次协商命令至所述安全网关;
如果Ipsec再次协商成功,则建立具有Ipsec模式的OM通道。
第四方面,提供一种通道建立系统,包括基站、安全网关、动态主机配置协议服务器和操作维护中心,其中:
所述基站,用于当操作维护OM通道不通时,基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道;当所述重建立具有Ipsec模式的OM通道失败时,发送动态主机配置协议DHCP请求信息至动态主机配置协议服务器DHCP-Server;接收所述DHCP-Server发送的对所述DHCP请求信息的回复报文;其中,所述回复报文中携带配置密钥;将所述配置密钥与预先存储的IPsec通道倒换口令进行匹配;当所述配置密钥与所述预先存储的IPsec通道倒换口令匹配成功时,取消对IPsec端口的绑定,将传输链路切换到非Ipsec模式的传输链路;
所述安全网关,用于接收所述基站发送的网际协议安全IPsec重协商命令;
动态主机配置协议服务器,用于接收所述基站发送的动态主机配置协议DHCP请求信息;发送对所述DHCP请求信息的回复报文;其中,所述回复报文中携带配置密钥。
在第一种可能的实现方式中,结合第四方面,
所述基站,还用于当所述配置密钥与所述预先存储的IPsec通道倒换口令匹配失败时,执行所述基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道。
在第二种可能的实现方式中,结合第一种可能的实现方式,
操作维护中心OMC,用于当所述OM通道正常时,发送所述IPsec通道倒换口令;
所述基站,还用于接收所述OMC发送的所述IPsec通道倒换口令并存储所述IPsec通道倒换口令。
在第三种可能的实现方式中,结合第一种可能的实现方式或第二种可能的实现方式,
所述操作维护中心,还用于当所述OM通道恢复正常后发送配置命令;
所述基站,还用于接收所述OMC发送的配置命令;发送IPsec再次协商命令至所述安全网关;如果Ipsec再次协商成功,则建立具有Ipsec模式的OM通道;
所述安全网关,还用于接收所述基站发送的Ipsec再次协商命令。
本发明的实施例提供的通道建立方法、基站及通道建立系统,通过在安全网关出现故障或参数配置错误时,将通信通道由IPsec通道切换到非Ipsec通道,减少了业务中断时间,降低了对基站的维护成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的实施例提供的一种通道建立方法的流程示意图;
图2为本发明的实施例提供的另一种通道建立方法的流程示意图;
图3为本发明的实施例提供的一种基站的结构示意图;
图4为本发明的实施例提供的另一种基站的结构示意图;
图5为本发明的另一实施例提供的一种基站的结构示意图;
图6为本发明的实施例提供的一种通道建立系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在安全组网架构中,网元要通过安全网关的防护才可以访问位于安全域内的网元,当出现安全网关故障或安全参数配置错误等情况时。本发明的实施例提供一种通道建立方法,参照图1所示,包括:
101、当操作维护OM通道不通时,基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道。
其中,该OM通道用于基站与操作维护中心之间通信。
102、当重建立具有Ipsec模式的OM通道失败时,基站发送动态主机配置协议(Dynamichostconfigurationprotocol,简称DHCP)请求信息至动态主机配置协议服务器DHCP-Server。
103、基站接收DHCP-Server发送的对DHCP请求信息的回复报文;其中,回复报文中携带配置密钥。
104、基站将配置密钥与预先存储的IPsec通道倒换口令进行匹配。
105、判断配置密钥与预先存储的IPsec通道倒换口令是否匹配成功。
106、当配置密钥与预先存储的IPsec通道倒换口令匹配成功时,基站取消对IPsec端口的绑定,将传输链路切换到非Ipsec模式的传输链路。
具体的,具有Ipsec模式的操作维护通道即该操作维护通道受IPsec隧道保护,将传输业务数据加密。非Ipsec模式的操作维护通道即该操作维护通道不受IPsec保护,不加密传输业务数据。
本发明的实施例提供的通道建立方法,通过在安全网关出现故障或参数配置错误时,将数据流从IPsec通道切换到非Ipsec通道,减少了业务中断时间,降低了对基站的维护成本。
本发明的实施例提供一种通道建立方法,参照图2所示,包括:
201、当操作维护OM通道正常时,基站接收操作维护中心OMC发送的IPsec通道倒换口令并存储该IPsec通道倒换口令。
其中,该IPsec通道倒换口令是在操作维护中心侧由人工设置的。且,该IPsec通道倒换口令的格式可以是字符串,当OM通道出现故障时,通过该IPsec通道倒换口令可以实现OM通道从具有Ipsec模式的传输链路切换到非Ipsec模式的传输链路。
202、当OM通道不通时,基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道。
其中,OM通道用于基站与操作维护中心之间通信。
OM通道的通信状况通过失效对端检测(DeadPeerDetection,简称DPD)来获得。如果DPD检测成功,则说明OM重建成功,如果DPD检测失败则说明OM重建失败。
OM通道正常时,基站与操作维护中心的传输链路为具有IPsec模式的OM通道。当OM通道故障后,基站会首先尝试与安全网关重协商IPsec,如果重协商成功则继续使用具有IPsec模式的OM通道,如果重协商失败则切换到非IPsec模式的OM通道。
203、当重建立具有Ipsec模式的OM通道失败时,基站发送动态主机配置协议DHCP请求信息至动态主机配置协议服务器DHCP-Server。
204、基站接收DHCP-Server发送的对DHCP请求信息的回复报文;其中,回复报文中携带配置密钥。
具体的,该配置密钥是网络故障后用户手工更改设置的密钥。且,该配置密钥是保护向基站发送非法切换命令的主要方式,因此配置密钥在用过一次之后端对端修改,或者周期自动更新。
205、基站将配置密钥与预先存储的IPsec通道倒换口令进行匹配。
具体的,配置密钥和IPsec通道倒换口令的格式可以是字符串,当配置密钥和IPsec通道倒换口令相同是,即表示匹配成功。
206、当配置密钥与预先存储的IPsec通道倒换口令匹配成功时,基站取消对IPsec端口的绑定,将传输链路切换到非Ipsec模式的传输链路。
此时的传输链路是非IPsec模式的传输链路,因此不加密传输业务数据。
207、当配置密钥与预先存储的IPsec通道倒换口令匹配失败时,重复执行步骤202~205。
208、当OM通道恢复正常后,基站接收OMC发送的配置命令。
具体的,OMC给基站发送配置命令,是为了通知基站切换到非IPsec模式传输链路。
209、基站发送Ipsec再次协商命令至安全网关。
210、如果基站再次协商Ipsec成功,则建立具体有Ipsec模式的OM通道。
IPsec模式的OM通道即受IPsec隧道保护的OM通道将传输业务数据加密,而非IPsec模式的OM通道即不受IPsec隧道保护的OM通道不加密传输业务数据。因此基站与操作维护中心的传输链路是IPsec模式还是非IPsec模式跟安全网关有较大的关系。对数据的加密主要是由安全网关来进行的,因此,将传输链路切换到IPsec模式的OM通道之前,需要与安全网关进行IPsec协商,只有协商成功才可以切换到IPsec模式的OM通道。
本发明的实施例提供的通道建立方法,通过在安全网关出现故障或参数配置错误时,将数据流从IPsec通道切换到非Ipsec通道,减少了业务中断时间,降低了对基站的维护成本。进而,可以提升整个网络的可靠性。
本发明的实施例提供一种基站3,参照图3所示,包括:处理单元31、发送单元32、接收单元33和配置单元34,其中:
处理单元31,用于当操作维护OM通道不通时,基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道。其中,OM通道用于基站与操作维护中心之间通信。
发送单元32,用于如果重建立具有Ipsec模式的OM通道失败,则发送动态主机配置协议DHCP请求信息至动态主机配置协议公共服务器DHCP-Server。
接收单元33,用于接收DHCP-Server发送的对DHCP请求信息的回复报文;其中,该回复报文中携带配置密钥。
配置单元34,还用于将配置密钥与预先存储的IPsec通道倒换口令进行匹配。
处理单元31,还用于当配置密钥与预先存储的IPsec通道倒换口令匹配成功时,取消对IPsec端口的绑定,将传输链路切换到非Ipsec模式的传输链路。
本发明的实施例提供的基站,通过在安全网关出现故障或参数配置错误时,将数据流从IPsec通道切换到非Ipsec通道,减少了业务中断时间,降低了对基站的维护成本。
进一步,参照图4所示,本发明的实施例提供一种基站3,还包括建立单元35,其中:
处理单元31,还用于当配置密钥与预先存储的IPsec通道倒换口令匹配失败时,执行基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道的步骤。
接收单元33,还用于当OM通道正常时,接收操作维护中心OMC发送的IPsec通道倒换口令并存储IPsec通道倒换口令。
接收单元33,还用于当OM通道恢复正常后,接收OMC发送的配置命令。
发送单元32,还用于发送Ipsec再次协商命令至安全网关。
建立单元35,用于如果Ipsec再次协商成功,则建立具有Ipsec模式的OM通道。
本发明的实施例提供的基站,通过在安全网关出现故障或参数配置错误时,将数据流从IPsec通道切换到非Ipsec通道,减少了业务中断时间,降低了对基站的维护成本。进而,可以提升整个网络的可靠性。
本发明的实施例提供一种基站4,参照图5所示,包括:至少一个处理器41、存储器42、通信接口43和总线44,至少一个处理器41、存储器42和通信接口43通过总线44连接并完成相互间的通信,存储器42用于存储程序代码,其中:
该总线44可以是工业标准体系结构(IndustryStandardArchitecture,简称为ISA)总线、外部设备互连(PeripheralComponent,简称为PCI)总线或扩展工业标准体系结构(ExtendedIndustryStandardArchitecture,简称为EISA)总线等。该总线44可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。其中:
存储器42用于存储可执行程序代码,该程序代码包括计算机操作指令。存储器42可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。
处理器41可能是一个中央处理器(CentralProcessingUnit,简称为CPU),或者是特定集成电路(ApplicationSpecificIntegratedCircuit,简称为ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。
通信接口43,主要用于实现本实施例中的基站、安全网关、动态主机配置协议服务器和操作维护中心之间的通信。
处理器41,还用于调用存储器42中的程序代码,用以执行以下操作:
当操作维护OM通道不通时,基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道。
如果重建立具有Ipsec模式的OM通道失败,则发送动态主机配置协议DHCP请求信息至动态主机配置协议公共服务器DHCP-Server。
接收DHCP-Server发送的对DHCP请求信息的回复报文;其中,回复报文中携带配置密钥。
将配置密钥与预先存储的IPsec通道倒换口令进行匹配。
当配置密钥与预先存储的IPsec通道倒换口令匹配成功时,取消对IPsec端口的绑定,将传输链路切换到非Ipsec模式的传输链路。
进一步,处理器41,还用于当配置密钥与预先存储的IPsec通道倒换口令匹配失败时,执行基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道的步骤。
处理器41,还用于当OM通道正常时,接收操作维护中心OMC发送的IPsec通道倒换口令并存储IPsec通道倒换口令。
处理器41,还用于当OM通道恢复正常后,接收OMC发送的配置命令。
处理器41,还用于发送Ipsec再次协商命令至所述安全网关;
处理器41,还用于如果IPsec再次协商成功,则建立具有Ipsec模式的OM通道。
本发明的实施例提供的基站,通过在安全网关出现故障或参数配置错误时,将数据流从IPsec通道切换到非Ipsec通道,减少了业务中断时间,降低了对基站的维护成本。进而,可以提升整个网络的可靠性。
本发明的实施例提供一种通道建立系统,参照图6所示,包括:基站1、安全网关2、动态主机配置协议服务器3和操作维护中心4,其中:
基站1,用于当操作维护OM通道不通时,基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道;如果重建立具有Ipsec模式的OM通道失败,则发送动态主机配置协议DHCP请求信息至动态主机配置协议服务器DHCP-Server;接收DHCP-Server发送的对DHCP请求信息的回复报文;其中,回复报文中携带配置密钥;将配置密钥与预先存储的IPsec通道倒换口令进行匹配;当配置密钥与预先存储的IPsec通道倒换口令匹配成功时,取消对IPsec端口的绑定,将传输链路切换到非Ipsec模式的传输链路。
安全网关2,用于接收基站1发送的网际协议安全IPsec重协商命令。
动态主机配置协议服务器3,用于接收基站1发送的动态主机配置协议DHCP请求信息;发送对DHCP请求信息的回复报文;其中,该回复报文中携带配置密钥。
可选的,基站1,还用于当配置密钥与预先存储的IPsec通道倒换口令匹配失败时,执行基站发送网际协议安全IPsec重协商命令至安全网关,且重建立具有Ipsec模式的OM通道。
操作维护中心OMC4,用于当OM通道正常时,发送IPsec通道倒换口令。
基站1,还用于接收OMC发送的IPsec通道倒换口令并存储IPsec通道倒换口令。
进一步的,操作维护中心4,还用于当OM通道恢复正常后发送配置命令。
基站1,还用于接收OMC发送的配置命令;发送Ipsec再次协商命令至安全网关2;如果Ipsec再次协商成功,则建立具有Ipsec模式的OM通道。
安全网关2,还用于接收基站1发送的Ipsec再次协商命令。
本发明的实施例提供的通道建立系统,通过在安全网关出现故障或参数配置错误时,将数据流从IPsec通道切换到非Ipsec通道,减少了业务中断时间,降低了对基站的维护成本。进而,可以提升整个网络的可靠性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
