便于认证与一个或多个网络设备相关联的路由模块以允许零接触配设

摘要

网络设备可以接收与冗余路由模块相关联的冗余标识符证书，以及可以向引导设备提供关联于与网络设备相关联的主路由模块的主标识符证书。网络设备可以基于引导设备经由主标识符证书验证主路由模块的真实性，来建立与引导设备的安全连接。网络设备可以经由安全连接向引导设备提供与冗余路由模块相关联的冗余路由模块标识符，以及可以经由安全连接从引导设备接收与冗余路由模块相关联的经签名的证书链。网络设备可以验证经签名的证书链，以及可以基于验证经签名的证书链，来验证与冗余路由模块相关联的冗余标识符证书。

说明书

技术领域

本发明涉及计算机领域，特别地，涉及支持对与一个或多个网络设备相关联的路由模块的认证以允许零接触配设。

本申请要求于2020年6月30日提交的印度临时申请号202041027789的优先权，其标题为“便于认证与一个或多个网络设备相关联的路由模块以允许零接触配设”。其中全部内容通过引用被清楚地并入本文。

背景技术

零接触配设(provisioning)(ZTP)是当网络设备以出厂默认状态引导时配设网络设备的技术。配设可以包括更新引导图像，建立初始配置，以及执行任意脚本以处理辅助需要。在配设之后，网络设备能够与其它网络设备建立连接。

虚拟机箱是被连接在一起以形成单个逻辑网络设备的网络设备的集合。网络设备的集合可以经由相应的虚拟机箱接口连接，这些虚拟机箱接口被配置为在网络设备的集合中的网络设备之间传送虚拟机箱特定的控制流量。

发明内容

在一些实现中，一种方法包括：由主路由模块接收与冗余路由模块相关联的冗余标识符证书；由主路由模块建立与引导设备的安全连接；由主路由模块并且经由安全连接向引导设备提供与冗余路由模块相关联的冗余路由模块标识符；以及有选择地：由主路由模块并且经由安全连接从引导设备接收指示冗余路由模块未被授权的错误消息；或者由主路由模块并且经由安全连接从引导设备接收与包括冗余路由模块的网络设备相关联的经签名的证书链，由主路由模块验证经签名的证书链，以及基于验证经签名的证书链，由主路由模块验证与冗余路由模块相关联的冗余标识符证书。

在一些实现中，一种网络设备包括一个或多个存储器；以及一个或多个处理器，用于：接收与冗余路由模块相关联的冗余标识符证书；建立与引导设备的安全连接；经由安全连接向引导设备提供与冗余路由模块相关联的冗余路由模块标识符；以及有选择地：经由安全连接从引导设备接收指示冗余路由模块未被授权的错误消息；或者经由安全连接从引导设备接收与冗余路由模块相关联的经签名的证书链，验证经签名的证书链，以及基于验证经签名的证书链，来验证与冗余路由模块相关联的冗余标识符证书。

在一些实现中，一种存储指令的非暂态计算机可读介质包括一个或多个指令，当由形成虚拟机箱的第一网络设备和第二网络设备的一个或多个处理器执行时，使一个或多个处理器：接收与第二网络设备相关联的冗余标识符证书；建立与引导设备的安全连接；经由安全连接向引导设备提供与第二网络设备相关联的冗余路由模块标识符；以及有选择地：从引导设备经由安全连接接收指示第二网络设备未被授权的错误消息；或者经由安全连接从引导设备接收与第二网络设备相关联的经签名的证书链，验证经签名的证书链，以及基于验证经签名的证书链，来验证与第二网络设备相关联的冗余标识符证书。

附图说明

图1A-图1G是本文中所描述的示例实现的图。

图2是本文中所描述的系统和/或方法可以在其中被实施的示例环境的图。

图3-图4是图2的一个或多个设备的示例部件的图。

图5-图7是示例过程的流程图，示例过程涉及支持对与一个或多个网络设备相关联的路由模块的认证，以允许零触摸配设。

具体实施方式

以下对示例实现的详细描述参照附图。在不同的图中相同的附图标号可以标识相同或类似的元素。

零接触配设(ZTP)在从出厂默认状态部署时，对配设网络设备可能有用。部署针对ZTP被配置的网络设备的网络运营商可以通过允许配设过程自动化来减少安装过程中的错误，并且可以减少由现场运营商手动配设网络设备的费用。当网络设备耦合到电源时，该网络设备可以与引导设备连通，以获取用于配设网络设备的引导信息(也称为“配设信息”)。

在一些情况下，网络设备和/或虚拟机箱(例如，被连接在一起以形成单个逻辑网络设备的网络设备的集合)可以包括主路由模块以及一个或多个冗余路由模块。ZTP允许包括主路由模块的网络设备来与引导设备连通以利用引导信息配设主路由模块。作为ZTP过程的一部分，在向主路由模块提供引导信息之前，引导设备可以与包括主路由模块的网络设备连通来验证主路由模块(例如，将主路由模块认证为已验证的引导信息接受者)的真实性。

然而，在许多情况下，引导设备不能直接与包括一个或多个冗余路由模块的(多个)网络设备连通，以验证一个或多个冗余路由模块的真实性。在这种情况下，即使引导设备不能验证一个或多个冗余路由模块的真实性，主路由模块也将引导信息转发到一个或多个冗余路由模块，以利用引导信息配设一个或多个冗余路由模块。在一些情况下，这允许恶意参与者欺骗或模仿冗余路由模块，其允许恶意参与者从主路由模块获得引导信息。因此，恶意参与者可能利用恶意攻击来将(多个)网络设备作为目标(例如，改变或调整(多个)网络设备的一个或多个安全设置以破坏(多个)网络设备，诸如通过窃取与(多个)网络设备相关联的虚拟专用网(VPN)密钥)。这可以影响(多个)网络设备的性能，其可以使(多个)网络设备浪费计算资源(例如，处理器资源、存储器资源、联网的资源等)来标识和/或调查恶意攻击和/或纠正可能由恶意攻击造成的任何损害。

本文中所描述的一些实现提供了主路由模块，该主路由模块在允许冗余路由模块利用引导信息被配设之前，能够验证一个或多个冗余路由模块的真实性。在一些实现中，主路由模块可以获得与冗余路由模块相关联的冗余标识符证书以及将冗余路由模块标识符发送到引导设备。引导设备可以基于冗余路由模块标识符来标识冗余路由模块，以及确定冗余路由模块被授权来接收引导信息。引导设备可以将与包括冗余路由模块的网络设备相关联的经签名的证书链(例如，经签名的信任锚证书)发送到主路由模块。主路由模块可以验证经签名的证书链以及可以使用经签名的证书链来验证冗余路由模块的真实性。因此，在验证冗余路由模块的真实性之后，主路由模块可以将引导信息发送到冗余路由模块来允许冗余路由模块利用引导信息被配设。

以这种方法，主路由模块和/或引导设备支持对一个或多个冗余路由模块的认证，并且从而改进与利用引导信息配设一个或多个冗余路由模块相关联的安全性。这可以减少与主路由模块相关联的任何网络设备和/或一个或多个冗余路由模块将受到恶意参与者的恶意攻击(例如，试图欺骗和/或模仿冗余路由模块)的可能性。这节省了网络设备的计算资源(例如，处理器资源、存储器资源、联网的资源等)，否则这些资源将被消耗来标识和/或调查恶意攻击和/或纠正可能由恶意攻击造成的任何损害。

图1A-图1G是本文中所描述的一个或多个示例实现100的示图。如图1A所示，与(多个)示例实现100相关联的环境可以包括网络设备和/或引导设备。网络设备可以包括主路由模块以及一个或多个冗余的路由模块。在一些实现中，冗余的路由模块可以与线卡或者网络设备的另一部件相关联。网络设备和/或引导设备可以被包括在网络中，诸如蜂窝网络、局域网(LAN)、核心网、接入网、诸如互联网的广域网(WAN)、云网络等。

如图1B所示，与(多个)示例实现100相关联的环境可以包括虚拟机箱(例如，多个网络设备作为单个逻辑网络设备的表示)和/或引导设备。虚拟机箱可以包括主路由模块以及一个或多个冗余路由模块(例如，跨包括虚拟机箱的多个网络设备分布)。在一些实现中，多个网络设备可以经由一个或多个连接(例如，经由直接连接、经由间接连接等)被相互连接。附加地，或者备选地，特别的网络设备(例如，包括主路由模块的网络设备)可以(例如，经由直接连接和/或间接连接)被连接到引导设备。在一些实现中，多个网络设备和/或引导设备可以被包括在网络中。

如本文中进一步所描述的，引导设备可以支持验证主路由模块以及一个或多个冗余路由模块的真实性，不管主路由模块以及一个或多个冗余路由模块是否被包括在单个网络设备中或跨多个网络设备分布，诸如在虚拟机箱中。因此，本文中所提供的与图1C-图1G有关的描述适用于与图1A有关的环境描述以及与图1B有关的环境描述。

如图1C所示，以及参考标号105，冗余路由模块可以将冗余标识符证书发送到主路由模块。例如，冗余路由模块和/或主路由模块可以在冗余路由模块和主路由模块之间建立连接(例如，通信会话)，以允许冗余路由模块来将冗余标识符证书发送到主路由模块。在一些实现中，连接可能是在冗余路由模块和主路由模块之间的安全连接，诸如安全套接字层(SSL)连接。在以下情况冗余路由模块可以将冗余标识符证书发送到主路由模块：当包括冗余路由模块的网络设备接通电源时，当包括冗余路由模块的网络设备被添加到网络时,当包括冗余路由模块的网络设备被连接到包括主要路由模块的网络设备时等。

冗余标识符证书可以包括安全设备标识符(DevID)和/或标识冗余路由模块的另一类型的标识符。在一些实现中，冗余标识符证书可以由证书认证机构(CA)和/或另一类型的安全凭证生成设备发出。

如图1C进一步所示，以及参考标号110，主路由模块和/或引导设备可以在主路由模块和引导设备之间建立安全连接。在一些实现中，安全连接可以是主路由模块和引导设备之间的SSL连接。

在一些实现中，(例如，作为在主路由模块和引导设备之间建立安全连接的一部分)引导设备可以基于主路由模块的主标识符证书来验证主路由模块的真实性。主标识符证书可以包括DevID或者标识主路由模块的另一类型的标识符。在一些实现中，主标识符证书可以由CA和/或另一类型的安全凭证生成设备发出。例如，主路由模块可以将主标识符证书发送到引导设备，并且引导设备可以处理主标识符证书(例如，使用与CA相关联的证书链，诸如信任锚证书链)来验证与主路由模块相关联的主标识符证书(例如，主标识符证书标识主路由模块)。

如图1D所示，以及参考标号115，主路由模块可以向引导设备提供冗余路由模块标识符。冗余路由模块标识符可以是冗余标识符证书和/或标识冗余路由模块的另一类型的标识符(例如，与冗余路由模块相关联的序列号、文本字符串等)。例如，主路由模块可以经由主路由模块和引导设备之间的安全连接将冗余路由模块标识符发送到引导设备。

如图1D进一步所示，以及参考标号120，引导设备可以确定冗余路由模块是否被授权(例如，接收引导信息)。在一些实现中，引导设备可以基于冗余路由模块标识符来确定冗余路由模块是否与证书链(例如，信任锚证书链)相关联。例如，引导设备可以基于冗余路由模块标识符来搜索数据结构(例如，被包括在引导设备中或者对引导设备是可访问的)，该数据结构包括多个证书链以标识与冗余路由模块相关联的证书链。

在一些实现中，当证书链与包括冗余路由模块的网络设备相关联时，冗余路由模块可以与证书链相关联。在一些实现中，当证书链是由网络设备签名的经签名的证书链(例如，经签名的信任锚证书链)时，证书链可以与网络设备相关联。网络设备可以使用与网络设备相关联的私钥、使用与网络设备相关联的所有者证书等对证书链进行签名。

当引导设备成功标识与冗余路由模块相关联的证书链时(例如，标识由包括冗余路由模块的网络设备签名的经签名的证书链)，引导设备可以确定冗余路由模块被授权。引导设备和/或主路由模块可以因此执行本文中所描述的与图1E-图1F有关的一个或多个功能。备选地，当引导设备不能标识与冗余路由模块相关联的证书链时，引导设备可以确定冗余路由模块未被授权。引导设备和/或主路由模块可以因此执行本文中所描述的与图1G有关的一个或多个功能。

如图1E所示，以及参考标号125，引导设备可以将与冗余路由模块相关联的证书链发送到主路由模块。例如，引导设备可以将由网络设备(其包括冗余路由模块)签名的经签名的证书链经由主路由模块与引导设备之间的安全连接发送到主路由模块。

如图1E所示，以及参考标号130，主路由模块可以验证经签名的证书链(例如，确定经签名的证书链起源于网络设备)。例如，主路由模块可以通过使用与网络设备相关联的公钥来验证包括在经签名的证书链中的网络设备的签名(例如，验证经签名的证书链使用与网络设备关联的私钥进行签名)，通过使用与网络设备相关联的所有权凭证(例如，验证经签名的证书链使用与网络设备关联的所有者证书进行签名)等。

如图1E进一步所示，以及参考标号135，主路由模块(例如，在验证经签名的证书链之后)可以验证冗余路由模块的真实性。例如，主路由模块可以使用经签名的证书链来处理冗余标识符证书，以验证冗余标识符证书与冗余路由模块相关联(例如，冗余标识符证书标识冗余路由模块)。在一些实现中，主路由模块可以与冗余路由模块建立新的连接(例如，安全连接，诸如SSL连接)，以向所有主路由模块来重新获取冗余标识符证书以验证冗余标识符证书与冗余路由模块相关联。

如图1F所示，以及参考标号140，引导设备可以将与网络相关联的引导信息发送到主路由模块(例如，在引导设备验证主路由模块的真实性之后)。例如，引导设备可以经由主路由模块和引导设备之间的安全连接，将引导设备发送到主路由模块。通过这种方式，主路由模块可以利用引导信息被配设。

如图1F进一步所示，以及参考标号145，主路由模块可以将引导信息发送到冗余路由模块(例如，在主路由模块验证冗余路由模块的真实性之后)。例如，主路由模块可以经由主路由模块和冗余路由模块之间的连接，将引导信息发送到冗余路由模块。通过这种方式，冗余路由模块可以利用引导信息被配设。

主路由模块和冗余路由模块利用引导信息被配设之后，主路由模块可以基于引导信息执行一个或多个功能(例如，一个或多个路由功能)。在一些实现中，主路由模块和/或冗余路由模块可以确定主路由模块是或将要变成非可操作的。例如，包括主路由模块的网络设备可能需要执行重新启动过程以解决操作错误，该操作错误可能使主路由模块在一段时间内脱机。因此，主路由模块和/或冗余路由模块可能使冗余路由模块执行一个或多个功能，直到主路由模块再次变成可操作的(例如，直到包括主路由模块的网络设备再次变为在线)。

备选地，如图1G所示，以及参考标号150，引导设备可以发送(例如，如本文中关于图1D以及参考标号120所描述的，在确定冗余路由模块未被授权之后)指示冗余路由模块未被授权的错误消息。例如，引导设备可以经由主路由模块和引导设备之间的安全连接将错误消息发送到主路由模块。因此，如图1G进一步所示，以及参考标号155，主路由模块(例如，基于接收错误消息)可以基于错误消息来防止验证冗余路由模块的真实性(例如，可以防止对冗余标识符证书的验证)和/或可以防止利用引导信息配设冗余路由模块。

如上文所指示的，图1A-图1G被提供以作为示例。其它示例可以不同于参考图1A-图1G所描述的。如图1A-图1G所示的设备的数目和布置被提供以作为示例。在实践中，相比图1A-图1G所示的那些，可能有附加的设备、更少的设备、不同的设备或者被不同地布置的设备。此外，在图1A-图1G中所示的两个或更多设备可以在单个的设备内被实施，或者在图1A-图1G中所示的单个设备可以被实施为多个、分布式设备。附加地，或者备选地，在图1A-图1G中所示的设备的集合(例如，一个或多个设备)可以执行被描述为由图1A-图1G所示的设备的另一集合所执行的一个或多个功能。

图2是示例环境200的示图，本文中所描述的系统和/或方法可以在其中被实施。如图2所示，环境200可以包括多个网络设备210(例如，网络设备210-1至网络设备210-N，被统称为“网络设备210”，以及被单独称为“网络设备210”)，引导设备220以及网络230。环境200的设备可以经由有线连接、无线连接或者有线和无线连接的组合来相互连接。

网络设备210包括能够以本文中所描述的方式接收、存储、产生、处理、转发和/或传递信息的一个或多个设备。例如，网络设备210可能包括防火墙、路由器、网关、交换机、集线器、网桥、反向代理、服务器(例如，代理服务器)、安全设备、入侵检测设备、负载均衡器或类似类型的设备。在一些实现中，网络设备210可以是被实施在壳体(诸如机箱)内的物理设备。在一些实现中，网络设备210可以是由云计算环境或数据中心的一个或多个计算机设备实施的虚拟设备。在一些实现中，网络设备210可以包括主路由模块和/或一个或多个冗余路由模块。

引导设备220包括一个或多个能够存储、处理和/或路由信息(诸如本文中所描述的信息)的设备。在一些实现中，引导设备220可以包括通信接口，其允许引导设备220从网络设备210接收信息和/或向网络设备210传送信息。在一些实现中，引导设备220可以是服务器设备、DHCP服务器设备、数据存储设备或者类似的设备。在一些实现中，引导设备220可以包括和/或维持包括多个证书链的数据结构。

网络230包括一个或多个有线和/或无线网络。例如，网络230可以包括蜂窝网络(例如，长期演进(LTE)网络、2G网络、5G网络、新空口(NR)网络、码分多址(CDMA)网络等)、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如，公共交换电话网络(PSTN))，以太网、VPN(例如，VPLS、EVPN、VPWS、L2VPN、L4VPN等)、私有网络、自组织网络、内联网、互联网、基于光纤的网络、云计算网络等，和/或这些或者其它类型的网络组合。

图2所示的设备和网络的数目和布置被提供以作为一个或多个示例。在实践中，相比图2所示的那些，可能有附加的设备、更少的设备和/或网络、不同的设备和/或网络、或者被不同地布置的设备和/或网络。此外，在图2中所示的两个或更多设备可以被实施在单个的设备内，或者在图2中所示的单个设备可以被实施为多个、分布式设备。附加地，或者备选地，环境200的设备的集合(例如，一个或多个设备)可以执行被描述为由环境200的设备的另一集合所执行的一个或多个功能。

图3是设备300的示例部件的示图。设备300可以与网络设备210、引导设备220等相对应。在一些实现中，网络设备210、引导设备220等可以包括一个或多个设备300和/或设备300的一个或多个部件。如图3所示，设备300可以包括一个或多个输入部件310-1至310-A(A≥1)(在下文中被统称为输入部件310，以及被单独称为输入部件310)、交换部件320、一个或多个输出部件330-1至330-B(B≥1)(在下文中被统称为输出部件330，以及被单独称为输出部件330)以及控制器340。

输入部件310可以是针对物理链路的一个或多个附件点，以及可以是针对传入流量(诸如分组)的一个或多个录入点。输入部件310可以处理传入流量，诸如通过执行数据链路层封装或解封装。在一些实现中，输入部件310可以传送和/或接收分组。在一些实现中，输入部件310可以包括输入线卡，该输入线卡包括一个或多个分组处理部件(例如，以集成电路的形式)，诸如一个或多个接口卡(IFC)、分组转发部件、线卡控制部件、输入端口、处理器、存储器和/或输入队列。在一些实现中，设备300可以包括一个或多个输入部件310。

交换部件320可以将输入部件310与输出部件330相互连接。在一些实现中，交换部件320可以经由一个或多个交叉开关(crossbar)、经由总线和/或利用共用的存储器被实现。在来自输入部件310的分组最终被计划用于递送到输出部件330之前，共用的存储器可以作为暂时的缓冲区来存储该分组。在一些实现中，交换部件320可以使输入部件310、输出部件330和/或控制器340能够相互连通。

输出部件330可以储存分组并且可以针对在输出物理链路上的传输来计划分组。输出部件330可以支持数据链路层封装或解封装，和/或各种更高级别的协议。在一些实现中，输出部件330可以传送和/或接收分组。在一些实现中，输出部件330可以包括输出线卡，该输出线卡包括一个或多个分组处理部件(例如，以集成电路的形式)，诸如一个或多个接口卡(IFC)、分组转发部件、线卡控制部件、输出端口、处理器、存储器和/或输出队列。在一些实现中，设备300可以包括一个或多个输出部件330。在一些实现中，输入部件310以及输出部件330可以由相同的部件的集合(例如，并且输入/输出部件可以是输入部件310和输出部件330的组合)被实施。

控制器340包括处理器，其形式例如，CPU、GPU、APU、微处理器、微控制器、DSP、FPGA、ASIC和/或另一类型的处理器。处理器以硬件、固件、或硬件和软件的组合被实施。在一些实现中，控制器340可以包括可以被编程以执行功能的一个或多个处理器。

在一些实现中，控制器340可以包括RAM、ROM和/或另一类型的动态或静态存储设备(例如，闪存、磁存储器，光学存储器等)，其存储信息和/或指令以供控制器340使用。

在一些实现中，控制器340可以与其它设备、网络和/或连接到设备300的系统连通，以交换关于网络拓扑结构的信息。控制器340可以基于网络拓扑结构信息创建路由表，可以基于路由表创建转发表，并且可以将转发表转发到输入部件310和/或输出部件330。输入部件310和/或输出部件330可以使用转发表对传入和/或传出分组执行路由查找。

控制器340可以执行本文中所描述的一个或多个过程。控制器340可以响应于执行由非暂态计算机可读介质存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非暂态存储器设备。存储器设备包括在单个物理存储设备内的存储器空间或者跨多个物理存储设备扩展的存储器空间。

软件指令可以经由通信接口从另一计算机可读介质或者从另一设备被读入到存储器和/或与控制器340相关联的存储部件中。当被执行时,存储在存储器和/或与控制器340相关联的存储部件中的软件指令可以使控制器340执行本文中所描述的一个或多个过程。附加地，或备选地，硬连线电路可以代替软件指令或者与软件指令组合使用，以执行本文中所描述的一个或多个过程。因此，本文中所描述的实现不限于任何特殊的硬件电路和软件的组合。

图3中示出的设备的数目和布置被提供以作为示例。在实践中，相比图3所示的那些，设备300可能包括附加的部件、更少的部件、不同的部件、或者被不同地布置的部件。附加地，或者备选地，设备300的部件的集合(例如，一个或多个部件)可以执行被描述为由设备300的部件的另一集合所执行的一个或多个功能。

图4是设备400的示例部件的示图，它可以对应于网络设备210、引导设备220等。在一些实现中，网络设备210、引导设备220等可以包括一个或多个设备400和/或设备400的一个或多个部件。如图4所示，设备400可以包括总线410、处理器420、存储器430、存储部件440、输入部件450、输出部件460以及通信接口470。

总线410包括使能在设备400的部件之间的有线和/或无线通信的部件。处理器420包括中央处理单元、图形处理单元、微处理器，控制器，微控制器，数字信号处理器，现场可编程门阵列，专用集成电路，和/或其它类型的处理部件。处理器420以硬件、固件、或者硬件和软件的组合被实施。在一些实现中，处理器420包括能够被编程来执行功能的一个或多个处理器。存储器430包括随机存取存储器、只读存储器和/或另一类型的存储器(例如闪存、磁存储器和/或光学存储器)。

存储部件440存储与设备的操作有关的信息和/或软件。例如，存储部件440可以包括硬盘驱动器、磁盘驱动器、光盘驱动器、固态磁盘驱动器、激光磁盘、数字通用磁盘、和/或另一类型的非暂态计算机可读介质。输入部件450使设备400能够接收输入，例如用户输入和/或经感知的输入。例如，输入部件450可以包括触摸屏、键盘、按键、鼠标、按钮、麦克风、开关、传感器、全球定位系统部件、加速计、陀螺仪、致动器等。输出部件460使设备400能够提供输出，诸如经由显示器、扬声器和/或一个或多个发光二极管。通信接口470使设备400能够连通其它设备，诸如经由有线连接和/或无线连接。例如，通信接口470可以包括接收器、发射器、收发器、调制解调器、网络接口卡、天线等。

设备400可以执行本文中所描述的一个或多个过程。例如，非暂态计算机可读介质(例如，存储器430和/或存储部件440)可以存储指令的集合(例如，一个或多个指令、代码、软件代码、程序代码等)以供处理器420执行。处理器420可以执行指令的集合来执行本文中所描述的一个或多个过程。在一些实现中，由一个或多个处理器420对指令的集合的执行，使一个或多个处理器420和/或设备400以执行本文中所描述的一个或多个过程。在一些实现中，硬连线电路可以代替指令或者与指令组合使用以执行本文中所描述的一个或多个过程。因此，本文中所描述的实现不限于硬件电路和软件的任何特殊的组合。

图4中所示的部件的数目和布置被提供以作为示例。相比图4中所示的那些，设备400可能包括附加的部件、更少的部件、不同的部件、或者被不同地布置的部件。附加地，或者备选地，设备400的部件的集合(例如，一个或多个部件)可以执行被描述为由设备400的部件的另一集合所执行的一个或多个功能。

图5是关联于支持对与一个或多个网络设备相关联的路由模块的认证以允许零触摸配设的示例过程500的流程图。在一些实现中，图5的一个或多个过程框可以由网络设备(例如，网络设备210-1)执行。在一些实现中，图5的一个或多个过程框可以由另一设备或者与网络设备分开的或包括网络设备的设备的集合来执行，诸如另一网络设备(例如,网络设备210-2、网络设备210-N等)，引导设备(例如,引导设备220)等。附加地，或者备选地，图5的一个或多个过程框可以由以下项来执行：设备300的一个或多个部件(诸如输入部件310、交换部件320、输出部件330、控制器340等)、设备400的一个或多个部件(诸如处理器420、存储器430、存储部件440、输入部件450、输出部件460、通信接口470等)等。

如图5所示，过程500可以包括接收与冗余路由模块相关联的冗余标识符证书(框510)。例如，如上文所描述的，网络设备可以接收与冗余路由模块相关联的冗余标识符证书。

如图5进一步所示，过程500可以包括建立与引导设备的安全连接(框520)。例如，如上文所描述的，网络设备可以建立与引导设备的安全连接。

如图5进一步所示，过程500包括经由安全连接向引导设备提供与冗余路由模块相关联的冗余路由模块标识符(框530)。例如，如上文所描述的，网络设备可以经由安全连接向引导设备提供与冗余路由模块相关联的冗余路由模块标识符。

如图5进一步所示，过程500可以包括经由安全连接从引导设备有选择地接收指示冗余路由模块未被授权的错误消息(框540)。例如，网络设备可以经由安全连接从引导设备有选择地接收指示冗余路由模块未被授权的错误消息。

备选地，如图5进一步所示，过程500可以包括：经由安全连接从引导设备中有选择地接收与包括冗余路由模块的网络设备相关联的经签名的证书链，验证经签名的证书链，以及基于验证经签名的证书链，验证与冗余路由模块相关联的冗余标识符证书(框550)。例如，如上文所描述的，网络设备可以经由安全连接从引导设备中有选择地接收与包括冗余路由模块的网络设备相关联的经签名的证书链，验证经签名的证书链，以及基于验证经签名的证书链，验证与冗余路由模块相关联的冗余标识符证书。

过程500可以包括附加的实现，诸如下文所描述的任何单个的实现或者实现的任何组合，和/或结合本文在其他地方所描述的一个或多个其他过程。

在第一实现中，过程500包括当错误消息从引导设备被接收时，冗余路由模块利用引导信息被配设。

在第二实现中，单独或与第一实现组合，过程500包括在验证冗余标识符证书之后，将引导信息发送到冗余路由模块。

在第三实现中，单独或与第一和第二实现中的一个或多个实现组合，主路由模块和冗余路由模块被包括在单个网络设备中。

在第四实现中，单独或与第一至第三实现中的一个或多个实现组合，主路由模块与第一网络设备相关联，并且冗余路由模块与不同于第一网络设备的第二网络设备相关联。

在第五实现中，单独或与第一至第四实现中的一个或多个实现组合，经签名的证书链包括经签名的信任锚证书链。

在第六实现中，单独或与第一至第五实现中的一个或多个实现组合，验证经签名的证书链包括验证包括在经签名的证书链中的网络设备的签名。

尽管图5示出了过程500的示例框，在一些实现中，相比图5中所描绘的那些，过程500可以包括附加的框、更少的框、不同的框、或者被不同地布置的框。附加地，或者备选地，过程500的框中的两个或更多个框可以被并行执行。

图6是关联于支持对与一个或多个网络设备相关联的路由模块的认证以允许零触摸配设的示例过程600的流程图。在一些实现中，图6的一个或多个过程框可以由网络设备(例如，网络设备210-1)执行。在一些实现中，图6的一个或多个过程框可以由另一设备或者与网络设备分开的或包括网络设备的设备的集合来执行，诸如另一网络设备(例如，网络设备210-2、网络设备210-N等)、引导设备(例如，引导设备220)等。附加地，或者备选地，图6的一个或多个过程框可以由以下项来执行：设备300的一个或多个部件(诸如输入部件310、交换部件320、输出部件330、控制器340等)、设备400的一个或多个部件(诸如处理器420、存储器430、存储部件440、输入部件450、输出部件460、通信接口470等)等。

如图6所示，过程600可以包括接收与冗余路由模块相关联的冗余标识符证书(框610)。例如，如上文所描述的，网络设备可以接收与冗余路由模块相关联的冗余标识符证书。

如图6进一步所示，过程600可以包括建立与引导设备的安全连接(框620)。例如，如上文所描述的，网络设备可以建立与引导设备的安全连接。

如图6进一步所示，过程600可以包括经由安全连接向引导设备提供与冗余路由模块相关联的冗余路由模块标识符(框630)。例如，如上文所描述的，网络设备可以经由安全连接向引导设备提供与冗余路由模块相关联的冗余路由模块标识符。

如图6进一步所示，过程600可以包括经由安全连接从引导设备有选择地接收指示冗余路由模块未被授权的错误消息(框640)。例如，如上文所描述的，网络设备可以经由安全连接从引导设备有选择地接收指示冗余路由模块未被授权的错误消息。

备选地，如图6进一步所示，过程600可以包括经由安全连接从引导设备有选择地接收与冗余路由模块相关联的经签名的证书链，验证经签名的证书链，以及基于验证经签名的证书链，来验证与冗余路由模块相关联的冗余标识符证书(框650)。例如，如上文所描述的，网络设备可以经由安全连接从引导设备有选择地接收与冗余路由模块相关联的经签名的证书链，验证经签名的证书链，以及基于验证经签名的证书链，来验证与冗余路由模块相关联的冗余标识符证书。

过程600可以包括附加的实现，诸如下文所描述的任何单个的实现或者任何实现的组合，和/或结合与本文在其他地方所描述的一个或多个其他过程。

在第一实现中，安全连接是安全套接字层连接。

在第二实现中，单独或与第一实现组合，网络设备和冗余路由模块被包括在包括网络设备以及另一网络设备的虚拟机箱中，其中其它网络设备执行冗余路由模块的功能。

在第三实现中，单独或与第一和第二实现中的一个或多个实现组合，过程600包括在验证冗余标识符证书之后，确定网络设备是非可操作的；以及使冗余路由模块来执行网络设备的功能，直到网络设备变成可操作的。

在第四实现中，单独或与第一到第三实现中的一个或多个实现组合，冗余路由模块与网络设备的线卡相关联。

在第五实现中，单独或与第一到第四实现中的一个或多个实现组合，冗余标识符证书由多个证书认证机构中的一个证书认证机构发出。

在第六实现中，单独或与第一到第五实现中的一个或多个实现组合，过程600包括经由所有者证书和所有权凭证机制来验证经签名的证书链。

尽管图6示出了过程600的示例框，在一些实现中，相比图6所描绘的那些，过程600可以包括附加的框、更少的框、不同的框、或者被不同地布置的框。附加地，或者备选地，过程600的两个或更多个的框可以被并行执行。

图7是关联于支持对与一个或多个网络设备相关联的路由模块的认证以允许零触摸配设的示例过程700的流程图。在一些实现中，图7的一个或多个过程框可以由形成虚拟机箱的第一网络设备(例如，网络设备210-1)和/或第二网络设备(例如，网络设备210-2)来执行。在一些实现中，图7的一个或多个过程框可以由另一设备或者与网络设备分开的或包括网络设备的设备的集合来执行，诸如另一网络设备(例如，网络设备210-3、网络设备210-N等)、引导设备(例如，引导设备220)等。附加地，或者备选地，图7的一个或多个过程框可以由以下项来执行：设备300的一个或多个部件(诸如输入部件310、交换部件320、输出部件330、控制器340等)、设备400的一个或多个部件(诸如处理器420、存储器430、存储部件440、输入部件450、输出部件460、通信接口470等)等。

如图7所示，过程700可以包括接收与第二网络设备相关联的冗余标识符证书(框710)。例如，如上文所描述的，第一网络设备和/或第二网络设备可以接收与第二网络设备相关联的冗余标识符证书。

如图7进一步所示，过程700可以包括建立与引导设备的安全连接(框720)。例如，如上文所描述的，第一网络设备和/或第二网络设备可以建立与引导设备的安全连接。

如图7进一步所示，过程700可以包括经由安全连接向引导设备提供与第二网络相关联的冗余路由模块标识符(框730)。例如，如上文所描述的，第一网络设备和/或第二网络设备可以经由安全连接向引导设备提供与第二网络相关联的冗余路由模块标识符。

如图7进一步所示，过程700可以包括经由安全连接从引导设备有选择地接收指示第二网络设备未被授权的错误消息(框740)。例如，如上文所描述的，第一网络设备和/或第二网络设备可以经由安全连接从引导设备有选择地接收指示第二网络设备未被授权的错误消息。

备选地，如图7进一步所示，过程700可以包括经由安全连接从引导设备有选择地接收与第二网络设备相关联的经签名的证书链，验证经签名的证书链，以及基于验证经签名的证书链，来验证与第二网络设备相关联的冗余标识符证书(框750)。例如，如上文所描述的，第一网络设备和/或第二网络设备可以经由安全连接从引导设备有选择地接收与第二网络设备相关联的经签名的证书链，验证经签名的证书链，以及基于验证经签名的证书链，来验证与第二网络设备相关联的冗余标识符证书。

过程700可以包括附加的实现，例如下文所描述的任何单个的实现或者任何实现的组合，和/或结合与本文在其他地方所描述的一个或多个其他过程。

在第一实现中，过程700包括当错误消息从引导设备被接收时，防止对冗余路由模块的验证。

在第二实现中，单独或与第一实现组合，过程700包括当经签名的证书链被接收时，由第一网络设备和从引导设备接收引导信息。

在第三实现中，单独或与第一和第二实现中的一个或多个实现组合，经签名的证书链包括经签名的信任锚证书链。

在第四实现中，单独或与第一到第三实现中的一个或多个实现组合，验证经签名的证书链包括验证包括在经签名的证书链中的第二网络设备的签名。

在第五实现中，单独或与第一到第四实现中的一个或多个实现组合，过程700包括在验证冗余标识符证书之后，确定第一网络设备是非可操作的；以及使第二网络设备来执行第一网络设备的功能，直到第一网络设备变成可操作的。

尽管图7示出了过程700的示例框，在一些实现中，相比图7所描绘的那些，过程700可以包括附加的框、更少的框、不同的框、或者被不同地布置的框。附加地，或者备选地，过程700的两个或多个的框可以被并行执行。

例1.一种方法，包括：

由主路由模块接收与冗余路由模块相关联的冗余标识符证书；

由所述主路由模块建立与引导设备的安全连接；

由所述主路由模块并且经由所述安全连接向所述引导设备提供与所述冗余路由模块相关联的冗余路由模块标识符；以及

有选择地：

由所述主路由模块并且经由所述安全连接从所述引导设备接收指示所述冗余路由模块未被授权的错误消息；或者

由所述主路由模块并且经由所述安全连接从所述引导设备接收与包括所述冗余路由模块的网络设备相关联的经签名的证书链，由所述主路由模块验证所述经签名的证书链，以及基于验证所述经签名的证书链，来由所述主路由模块验证与所述冗余路由模块相关联的所述冗余标识符证书。

例2.根据例1所述的方法，还包括：

当所述错误消息从所述引导设备被接收时，防止所述冗余路由模块利用引导信息被配设。

例3.根据例1所述的方法，还包括：

在验证所述冗余标识符证书之后，将引导信息发送到所述冗余路由模块。

例4.根据例1所述的方法，其中所述主路由模块和所述冗余路由模块被包括在单个网络设备中。

例5.根据例1所述的方法，其中所述主路由模块与第一网络设备相关联，并且所述冗余路由模块与不同于所述第一网络设备的第二网络设备相关联。

例6.根据例1所述的方法，其中所述经签名的证书链包括经签名的信任锚证书链。

例7.根据例1所述的方法，其中验证所述经签名的证书链包括：

验证包括在所述经签名的证书链中的所述网络设备的签名。

例8.一种网络设备，包括：

一个或多个存储器；以及

一个或多个处理器，用于：

接收与冗余路由模块相关联的冗余标识符证书；

建立与引导设备的安全连接；

经由所述安全连接向所述引导设备提供与所述冗余路由模块相关联的冗余路由模块标识符；以及

有选择地：

经由所述安全连接从所述引导设备接收指示所述冗余路由模块未被授权的错误消息；或者

经由所述安全连接从所述引导设备接收与所述冗余路由模块相关联的经签名的证书链，验证所述经签名的证书链，以及基于验证所述经签名的证书链，来验证与所述冗余路由模块相关联的所述冗余标识符证书。

例9.根据例8所述的网络设备，其中所述安全连接是安全套接字层连接。

例10.根据例8所述的网络设备，其中所述网络设备和所述冗余路由模块被包括在包括所述网络设备以及另一网络设备的虚拟机箱中，

其中所述另一网络设备执行所述冗余路由模块的功能。

例11.根据例8所述的网络设备，其中所述一个或多个处理器还用于：

在验证所述冗余标识符证书之后，确定所述网络设备是非可操作的；以及

使所述冗余路由模块执行所述网络设备的功能，直到所述网络设备变成可操作的。

例12.根据例8所述的网络设备，其中所述冗余路由模块与所述网络设备的线卡相关联。

例13.根据例8所述的网络设备，其中所述冗余标识符证书由多个证书认证机构中的一个证书认证机构发出。

例14.根据例8所述的网络设备，其中当验证所述经签名的证书链时，所述一个或多个处理器用于：

经由所有者证书和所有权凭证机制来验证所述经签名的证书链。

例15.一种存储指令的非暂态计算机可读介质，所述指令包括：

一个或多个指令，所述一个或多个指令当由形成虚拟机箱的第一网络设备和第二网络设备的一个或多个处理器来执行时，使所述一个或多个处理器：

接收与所述第二网络设备相关联的冗余标识符证书；

建立与引导设备的安全连接；

经由所述安全连接向所述引导设备提供与所述第二网络设备相关联的冗余路由模块标识符；以及

有选择地：

经由所述安全连接从所述引导设备接收指示所述第二网络设备未被授权的错误消息；或者

经由所述安全连接从所述引导设备接收与所述第二网络设备相关联的经签名的证书链，验证所述经签名的证书链，以及基于验证所述经签名的证书链，来验证与所述第二网络设备相关联的所述冗余标识符证书。

例16.根据例15所述的非暂态计算机可读介质，其中所述一个或多个指令当由所述一个或多个处理器执行时，还使所述一个或多个处理器：

当所述错误消息从所述引导设备被接收时，防止所述第二网络设备利用引导信息被配设。

例17.根据例15所述的非暂态计算机可读介质，其中所述一个或多个指令当由所述一个或多个处理器执行时，还使所述一个或多个处理器：

当所述经签名的证书链被接收时，由所述第一网络设备并且从所述引导设备接收引导信息。

例18.根据例15所述的非暂态计算机可读介质，其中所述经签名的证书链包括经签名的信任锚证书链。

例19.根据例15所述的非暂态计算机可读介质，其中使所述一个或多个处理器验证所述经签名的证书链的所述一个或多个指令，使所述一个或多个处理器：

验证包括在所述经签名的证书链中的所述第二网络设备的签名。

例20.根据例15所述的非暂态计算机可读介质，其中所述一个或多个指令当由所述一个或多个处理器执行时，还使所述一个或多个处理器：

在验证所述冗余标识符证书之后，确定所述第一网络设备是非可操作的；以及

使所述第二网络设备执行所述第一网络设备的功能，直到所述第一网络设备变成可操作的。前述公开提供了说明和描述，但是并不旨在是详尽的或者将实现限制为所公开的精准的形式。可以根据上文公开进行修改和变型，或者可从实现的实践中获得修改和变型。

如本文中所使用的，术语“部件”旨在广泛被解释为硬件、固件、或者硬件和软件的组合。

很明显本文中所描述的系统和/或方法可以以硬件、固件、或者硬件和软件的组合的不同的形式被实现。被用于实施这些系统和/或方法的实际专用的控制硬件或者软件代码不限制实现。因此，本文中系统和/或方法的操作和行为在不参考特殊的软件代码的情况下来描述——应理解，基于本文中的描述，软件和硬件可以被使用来实施系统和/或方法。

即使在权利要求书中叙述了和/或在说明书中公开了特征的特别的组合，这些组合并不旨在限制各种实现的公开。实际上，这些特征中的许多特征可以以权利要求书中未具体记载和/或说明书中未公开的方式来组合。虽然下面列出的每项从属权利要求可能只直接依赖于一项权利要求，但是各种实现的公开包括与权利要求集合中的每个其他权利要求结合的每个从属权利要求。

除非明确地如此描述，否则本文中所使用的元素、行为或指令都不应当被解释为关键的或必要的。同样，如本文中所使用的，冠词“一”和“一个”旨在包括一个或多个项，并且可以与“一个或多个”互换使用。进一步的，如本文中所使用的，冠词“该”旨在包括与冠词“该”结合引用的一个或多个项，并且可以与“一个或多个”互换使用。此外，如本文中所使用的，术语“集合”旨在包括一个或多个项(例如，相关项、不相关项、相关项和不相关项的组合等)，并且可以与“一个或多个”互换使用。当仅旨在一个项时，短语“仅一个”或类似的用语被使用。另外，如本文中所使用的，术语“有”、“具有”、“拥有”等旨在开放式的项。进一步的，除非另有明确陈述，否则短语“基于”旨在意味着“至少部分地基于”。另外，如本文中所使用的，除非另有明确陈述(例如，如果与“任一个”或“仅以下各项中的一个”结合使用)，否则术语“或”当在一连串中被使用时旨在是包括性的，并且可以与“和/或”互换使用。