CN109391533A - 支持多样性端对端隔离的虚拟私人网络服务供装系统 - Google Patents
支持多样性端对端隔离的虚拟私人网络服务供装系统 Download PDFInfo
- Publication number
- CN109391533A CN109391533A CN201810201204.XA CN201810201204A CN109391533A CN 109391533 A CN109391533 A CN 109391533A CN 201810201204 A CN201810201204 A CN 201810201204A CN 109391533 A CN109391533 A CN 109391533A
- Authority
- CN
- China
- Prior art keywords
- virtual
- network
- traffic
- virtual private
- router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000002955 isolation Methods 0.000 title claims abstract description 39
- 239000004744 fabric Substances 0.000 claims description 12
- 238000000034 method Methods 0.000 claims description 12
- 238000005516 engineering process Methods 0.000 claims description 9
- 239000011800 void material Substances 0.000 claims description 5
- 230000008859 change Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 claims description 3
- 238000012360 testing method Methods 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 abstract description 7
- 238000013461 design Methods 0.000 abstract description 4
- 238000010276 construction Methods 0.000 abstract 1
- 238000007726 management method Methods 0.000 description 15
- 238000010586 diagram Methods 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- MWRWFPQBGSZWNV-UHFFFAOYSA-N Dinitrosopentamethylenetetramine Chemical compound C1N2CN(N=O)CN1CN(N=O)C2 MWRWFPQBGSZWNV-UHFFFAOYSA-N 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 101100059544 Arabidopsis thaliana CDC5 gene Proteins 0.000 description 1
- 101150115300 MAC1 gene Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/25—Routing or path finding in a switch fabric
- H04L49/252—Store and forward routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/35—Switches specially adapted for specific applications
- H04L49/354—Switches specially adapted for specific applications for supporting virtual local area networks [VLAN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种支持多样性端对端网络隔离的虚拟私人网络服务供装系统,是利用网络功能虚拟化与使用软件定义网络的弹性供装,有效提高企业间虚拟私人网络端对端的安全性并降低虚拟私人网络的建置成本。本发明的设计着重在基于单一服务器中弹性部署多个虚拟路由器以隔离企业网络不同类型的话务或不同局域网络的设备,避免单一设备或系统被入侵造成企业内其他系统被骇风险,通过软件定义网络简化网络管理与网络访问时间控管机制,达到网络异动的灵活性与安全性。
Description
技术领域
本发明涉及虚拟私人网络,且特别是关于一种可以支持多样性架构的虚拟私人网络服务供装系统。
背景技术
虚拟私人网络(Virtual Private Network,VPN)主要是在公众因特网(Internet)上使用穿隧(Tunneling)技术与加解密等安全技术,以建立一个私人且安全的网络。相较于传统私有网络,虚拟私人网络不需使用专属线路,利用通信协议技术即可以Internet的便宜价格,享有专线的安全性。虚拟私人网络也较传统私有网络具备较佳的扩充弹性与灵活应用,扩点便利且容易依需求增加连线带宽,不需调整既有架构,即可使用既有连线技术,因此虚拟私人网络具有设备投资成本较低且管理维护更简便的好处。
虽然现行的虚拟私人网络已可通过因特网安全协议(IP Security,IPSec)、多重协议标签交换技术(Multiprotocol Label Switching,MPLS)、通用路由封装技术(GenericRouting Encapsulation,GRE)与动态多点虚拟私人网络(Dynamic Multipoint VPN,DMVPN)等多种技术来达到点对点或点对多点的虚拟私人网络连线建立,但目前虚拟私人网络仅着重于Internet上架构企业专用私人网络来达到企业内部网络(Intranet)、上下游厂商或关系企业连网(Extranet)、不分国界远程访问(Remote Access)的解决方案。
2017年2月15日公开的中国专利第CN106411735号“一种路由配置方法及装置”,此专利所提供的路由配置方法及装置应用在软件定义网络(Software-Defined Networking,SDN)中的控制器,所提出的方法通过控制器配置租户VPN实例的路由目标(Router Target,RT)属性和外网VPN实例的路由策略,以使网关设备根据路由策略对来自不同外网设备的路由设置RT属性,并将路由的RT属性与租户VPN实例的RT属性进行匹配,匹配成功后将路由添加到租户的VPN实例中,指引租户流量向外网转发,通过其发明可实现网关设备上路由的动态更新。
然而,现行虚拟私人网络尚未深入以下问题进行探讨:第一、虚拟私人网络已被广泛地应用在广域网(Wide Area Network, WAN),如何将虚拟私人网络自WAN端延伸至企业内局域网络(Local Area Network,LAN)与数据中心(Datacenter),以达到多点对多点的端对端网络隔离。第二、所有用户的话务混合在同一电路,如何将不同类型的话务彼此隔离。第三、以时间管理为基础的动态弹性供装存取管控机制。由此可知,现有技术在实际运用上仍有上述问题亟待解决。
发明内容
有鉴于此,本发明的目的在于提出一种支持多样性端对端网络隔离的虚拟私人网络(VPN)服务供装系统,运用网络功能虚拟化与软件定义网络弹性调度网络配置,将现行虚拟私人网络自广域网延伸至企业内局域网络与数据中心。
本发明提供端对端高安全性网络隔离服务供装,根据不同话务类型进行话务导流,解决现行企业局域网络内所有话务混合在同一条电路传输以及共享路由表的安全性问题,避免企业单一系统被骇,影响企业内其他系统的风险。本发明提出基于时间管理政策与非法使用阻挡的网络存取管控机制,进一步提升企业虚拟私人网络方案的安全性并减少虚拟私人网络的建置与维运成本。
达成上述发明目的的一种支持多样性端对端网络架构隔离的VPN服务供装系统,是由以下架构构成:包括在服务器的虚拟化管理平台、虚拟网络控制模块、虚拟路由器及网络控制器、以及实体交换器或虚拟交换器。虚拟路由器基于网络功能虚拟化技术代理话务处理。网络控制器基于软件定义网络技术动态调配虚拟路由器的运作,并建立虚拟私人网络及局域网络与虚拟局域网络(virtual local access network,Vlan)标签(Tag)的对应关系。虚拟化管理平台配置虚拟路由器的硬件及网络资源。实体交换器或虚拟交换器接收来自网络控制器的指令,注入实体交换器或该虚拟交换器的流程条目信息(Flow Entries)以进行话务转发决策。虚拟路由器依据此对应关系,将来自不同局域网络的不同话务经由实体交换器或虚拟交换器导流至对应虚拟私人网络。
藉此,通过虚拟化管理平台可依照不同类型话务布建多台虚拟路由器,建立端对端的虚拟网络隔离,进而达到不同类型话务隔离的功效。另外,网络控制器管控实体或虚拟交换器与决定话务转发政策,也提供以时间为基础的动态弹性供装调度机制,提供更有效与安全的网络存取管控。最后,实体或虚拟交换器进行话务封包转发,并针对话务目的因特网协议(Internet Protocol,IP)地址与虚拟局域网络标签决定话务转发路由,以达成端对端虚拟网络安全隔离的设计,也同时精简虚拟私人网络的建置与维运成本。
附图说明
图1为传统虚拟私人网络架构图;
图2为依据本发明一实施例说明支持多样性端对端隔离的虚拟私人网络服务供装系统架构图;
图3为依据本发明一实施例说明应用在混合式端对端隔离虚拟私人网络的实施架构图;
图4为依据本发明一实施例说明应用在统一式端对端隔离虚拟私人网络的实施架构图;
图5为依据本发明一实施例说明支持整合式端对端隔离虚拟私人网络的实施架构图;
图6为依据本发明一实施例说明端对端虚拟私有网络隔离示意图。
符号说明:
11实体路由器;
12 网关Z;
13第二层交换器;
14用户设备A;
15用户设备B;
16用户设备C;
17用户设备D;
18局域网络;
19虚拟私人网络;
21虚拟路由器;
22网络控制器;
23时间管理模组;
24虚拟网络控制模组;
25虚拟化管理平台;
26实体或虚拟交换器;
27服务器;
28用户设备;
31网关X;
32网关Y;
33虚拟路由器X;
34虚拟路由器Y;
35局域网络A;
36局域网络B;
37局域网络C;
41虚拟路由器Z。
具体实施方式
本发明为一种支持多样性端对端网络隔离的VPN服务供装系统,本发明提出一种符合成本效益,且基于网络功能虚拟化与软件定义网络的弹性供装话务导引,支持多架构的端对端网络安全隔离,提高企业局域网络、广域网与数据中心间虚拟私人网络端对端安全性,同时降低虚拟私人网络的建置维运成本。
传统虚拟私人网络架构如图1所示,局域网络18包含用户设备A 14、用户设备B15、用户设备C 16与用户设备D 17,不同用户设备分别产生不同类型话务,这些用户设备彼此间通过第二层交换器13相互连线,且局域网络18内的用户设备通过网关Z 12所属的实体路由器11,经由虚拟私人网络19连线到企业其他分支站点的用户设备,即这些用户设备皆通过虚拟私人网络连线至企业远程站点。在此架构下,不同类型话务的系统在同一局域网络内彼此可互通、所有话务混合在同一电路传输并共享同一路由器的路由表,势必会存在安全性议题。如果其中一类型的主机或系统被骇,可能发生因企业网络未作端对端安全隔离而造成其他系统被骇,进而攻击企业重要信息系统。
图2为依据本发明一实施例所提出的支持多样性端对端隔离的虚拟私人网络服务供装系统架构图。此虚拟私人网络服务供装系统包括服务器27、实体或虚拟交换器26、第二层交换器13与用户设备28(例如,手机、桌面计算机、笔记本电脑等)。
此实体的服务器27包括虚拟路由器21、网络控制器22、时间管理模块23、虚拟网络控制模块24、虚拟化管理平台25,服务器27可通过诸如中央处理单元(CPU)、微处理器(Microprocessor)、数字信号处理器(DSP)、可程序化控制器等类似者执行该些虚拟组件、平台及软件模块。
虚拟路由器21为开源的网络操作系统,且被安装在实体服务器(即,服务器27)或虚拟机。在本发明实施例中可在单一服务器27供装多台虚拟机,在各虚拟机配置虚拟路由器21。虚拟路由器21的功能主要可在一般x86平台上基于网络功能虚拟化技术代理话务处理,以提供路由功能、网络地址转换、防火墙和虚拟私人网络功能等实体路由器的网络功能。
网络控制器22是支持多种开源或商用控制器的网络控制器,在本发明实施例中,网络控制器22能被安装在实体服务器(即,服务器27)或虚拟机。网络控制器22的功能主要是通过多种通讯协议管理网络实体或虚拟交换器26,同时具备终端设备(例如,用户设备28)与群组管理、网络拓朴管理、网络存取策略管理、话务内容管控、话务量统计与日志管理等功能,基于软件定义网络技术动态调配虚拟路由器21的运作,并建立多个虚拟私人网络及多个局域网络与多个虚拟局域网络(virtual local access network,Vlan)标签(Tag)的对应关系。此对应关系是每一虚拟私人网络及每一局域网络具有对应虚拟局域网络标签。
虚拟网络控制模块24可被广泛地应用在多种虚拟化管理平台25,其功能主要负责虚拟机连接实体网络与虚拟机彼此间连线的建立。时间管理模块23是接收虚拟网络控制模块24的时间管理设定,负责管控各个用户设备的合法连网时间,在非法连网时间阻挡用户设备28往来的话务。虚拟化管理平台25的功能主要提供在一般x86服务器上针对计算资源、网络资源与储存资源虚拟化与资源分配管理,以配置虚拟路由器22的硬件及网络资源。
实体交换器或虚拟交换器26(虚拟交换器26可布建在服务器27或其他服务器中、或由虚拟机运作)则是负责接收来自网络控制器22的指令,注入实体或虚拟交换器26的流程条目信息(Flow Entries)以进行话务转发决策。而关于话务转发的运作待后续实施例说明。
为了方便理解本发明实施例的操作流程,以下将举诸多实施例详细说明本发明实施例的话务路由架构。下文中,将结合图2中各项组件及模块说明。本发明实施例的各个流程可依照实施情形而调整,且并不仅限于此。
图3为依据本发明一实施例应用在混合式端对端隔离虚拟私人网络的实施架构图,旨在保留既有实体路由器11,结合企业内部虚拟网络设计与不同类型话务隔离需求弹性供装不同虚拟路由器(例如,虚拟路由器X 33与虚拟路由器Y 34)。虚拟路由器X 33与虚拟路由器Y 34可被安装在虚拟机,其功能主要是依据用户设备(用户设备A, B, C, D 14,15, 16, 17)送来的不同话务Vlan Tag,将不同类型的话务隔离并导向虚拟私人网络19,以达到端对端的虚拟网络隔离。以上提及的虚拟路由器X 33、虚拟路由器Y 34、网络控制器22、时间管理模块23、虚拟网络控制模块24与虚拟化管理平台25是布建在单一台服务器27。
为响应不同系统应用与话务类别将企业内部网络切割成多个虚拟局域网络(即,局域网络A, B, C 35, 36, 37),使不同类型话务间彼此隔离。例如,用户设备A 14属局域网络A 35,用户设备B 15与用户设备C 16属局域网络B 36,用户设备D 17属局域网络C 37。用户设备的虚拟私人网络连线可弹性配置使用既有实体路由器11或虚拟路由器X, Y 33,34。第二层交换器13依据用户设备的话务内容所属的局域网络,结合上不同Vlan Tag(例如,用户设备A 14的话务结合Vlan A,其余依此类推)并送往实体或虚拟交换器26。实体或虚拟交换器26依据时间管理模块23的设定检验话务信息(例如,来源IP地址(IP1~IP4)和来源媒体访问控制(Media Access Control,MAC)地址(MAC1~MAC4)),以判断对应用户设备在特定时间范围内可否存取网络。如果可存取网络,则实体或虚拟交换器26依据话务的VlanTag将其送往相对应的网关Z 12、网关X 31与网关Y 32。其路由表所记录的路由机制可由下述范例说明。
例如,用户设备A 14送出的Vlan A话务会经由第二层交换器13与实体或虚拟交换器26被导向网关Z 12所在的实体路由器11,实体路由器11将话务路由回实体或虚拟交换器26后,实体或虚拟交换器26则根据收到话务的Vlan Tag判断Vlan A的话务由Vlan D送往虚拟私人网络19。用户设备B 15与用户设备C 16送出的Vlan B话务经由第二层交换器13与实体或虚拟交换器26被导向网关X 31所在的虚拟路由器X 33,虚拟路由器X 33将话务路由回实体或虚拟交换器26后,实体或虚拟交换器26根据收到话务的Vlan Tag判断,将Vlan B的话务借由Vlan E送往虚拟私人网络19。用户设备D 17送出的Vlan C话务一样经由第二层交换器13与实体或虚拟交换器26被导向网关Y 32所在的虚拟路由器Y 34,虚拟路由器Y 34将话务路由回实体或虚拟交换器26后,也根据收到话务的Vlan Tag判断,将Vlan C的话务经由Vlan F送往虚拟私人网络19。
同样地,从虚拟私人网络19欲送往用户设备A 14的话务,会经由实体或虚拟交换器26将话务送往实体路由器11,实体路由器11将话务路由回实体或虚拟交换器26后,则根据话务目的IP地址,将话务经由第二层交换器13送往用户设备A 14。由虚拟私人网络19欲送往用户设备B 15或用户设备C 16的话务,则是经由实体或虚拟交换器26将话务导向虚拟路由器X 33,虚拟路由器X 33将话务路由回实体或虚拟交换器26后,也根据话务的目的IP地址,将话务经由第二层交换器13送往用户设备B 15或用户设备C 16。由虚拟私人网络19欲送往用户设备D 17的话务则是由虚拟路由器Y 34负责做话务的路由。以上,通过不同Vlan的话务使用不同的实体或虚拟路由器与不同路由表的机制,达到路由表实体隔离与端对端虚拟网络隔离。
图4为依据本发明一实施例应用在统一式端对端隔离虚拟私人网络的实施架构图。与图3不同处在,由虚拟路由器Z 41取代图3的实体路由器11,虚拟路由器Z 41设置相同的网关Z 12为用户设备A 14的网关,用户设备A 14不需更动网关IP地址,提供弹性无缝实体转虚拟路由器的架构,有效减少实体路由器采购维护成本。此架构以虚拟路由器Z 41取代实体路由器11,通过实体或虚拟交换器26检视话务封包的虚拟局域网络标签决定话务路由路径。例如,Vlan A的话务导向虚拟路由器Z 41,Vlan B的话务导向虚拟路由器X 33,Vlan C的话务导向虚拟路由器Y 34。需说明的是,不同虚拟路由器可布建在一台或多台服务器27中的不同虚拟机上,确保不同话务各自有独立路由表,达到端对端隔离的虚拟私人网络服务。
本发明也可支持整合式端对端隔离虚拟私人网络的实施架构如图5所示,以精简化布建模式。与图4不同处在,本实施例是将实体或虚拟交换器26收容至服务器27中。将本发明实施例应用在中小型软件定义网络的场域,以提供端对端隔离的虚拟私人网络管理方案。传统的架构上需要额外布建一台至多台实体或虚拟交换器,这意味着需要花费大量硬件资源与耗费封包传输延迟时间。而本发明实施例简化网络架构,将实体或虚拟交换器26、网络控制器22与虚拟路由器33、34、41布建在一台服务器27内,不但保有内部网络不同网段隔离的设计,大幅降低网络组件布建成本,同时减少原本实体或虚拟交换器26与服务器27间的带宽耗用量与网络等待时间时间,更增加服务供装弹性与可移植性。与传统架构相比,本发明实施例的系统显着地减少硬件资源的使用也同时降低采购资本支出(CAPEX)和维运营业费用(OPEX)。当网络组态发生改变时,本发明能通过网络控制器动态弹性调度与供装,更具供装灵活性。
本发明提出的三种可弹性布建的端对端网络隔离虚拟私人网络架构,通过图6的端对端虚拟私有网络隔离示意图更可以了解企业不同站点间(例如,办公室1站点连线至办公室2站点或数据中心的整体端对端虚拟私有网络)隔离实际运作情形。在两站点间,企业可借由安全高质量的MPLS VPN实现企业外网互连,也可借由平价的Internet宽带接取电路实现。结合本发明实施例所提出的单一实体服务器上运行多重虚拟路由器来实现不同虚拟私人网络有各自独立路由表,同时运用网络控制器22的快速弹性异动供装特性,将原本仅着重在广域网VPN隔离方法延伸至企业内局域网络与数据中心之间,达成完整的端对端隔离的虚拟私人网络服务供装系统。
特点及功效
本发明实施例所提出一种支持多样性端对端网络隔离的VPN服务供装系统与传统习用技术相互比较时,更具备下列优点:
本发明实施例的一种支持多样性端对端网络隔离的VPN服务供装系统,提出一种符合成本效益,且基于端对端虚拟私人网络隔离的弹性供装服务系统,提供企业内部网络、外部网络与数据中心不同话务类型达到端对端隔离的功效。采用网络使用管理机制,提供企业网络访问时间管理与非法使用阻挡,本发明实施例可弹性响应不同需求而具备多样性架构,动态调度与弹性供装,能够大幅地减少CAPEX和OPEX。
与传统架构相比,本发明实施例的系统可将虚拟私人网络自传统的WAN端延伸至企业内LAN端与数据中心,更具端对端隔离的虚拟私人网络安全性。
本发明实施例的系统可以支持于单一服务器中弹性部署多个虚拟路由器,并响应不同类型的话务提供独立路由表,达成话务彼此安全隔离的功效。
当网络组态发生改变时,本发明实施例能通过网络控制器动态弹性调度与供装,本发明的系统比传统架构更具有可移植性与供装灵活性。
本发明所提出的多样性端对端网络隔离的VPN服务供装系统可依照企业网络应用需求,弹性减少实体网络组件的布建与资源使用,同时也降低了CAPEX与OPEX。
虽然本发明已以实施例揭露如上,然其并非用以限定本发明,任何所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作些许的更动与润饰,故本发明的保护范围当视后附的申请专利范围所界定者为准。
Claims (9)
1.一种支持多样性端对端隔离的虚拟私人网络服务供装系统,其特征在于,包括:
服务器,包括:
至少一虚拟路由器,基于网络功能虚拟化技术代理话务处理;
网络控制器,基于软件定义网络技术动态调配所述虚拟路由器的运作,并建立多个虚拟私人网络及多个局域网络与多个虚拟局域网络标签的对应关系;以及
虚拟化管理平台,配置所述虚拟路由器的硬件及网络资源;以及
实体交换器或虚拟交换器,接收来自所述网络控制器的指令,注入所述实体交换器或所述虚拟交换器的流程条目信息以进行话务转发决策;
其中,所述虚拟路由器依据所述对应关系,将来自不同所述局域网络的不同话务经由所述实体交换器或所述虚拟交换器导流至对应所述虚拟私人网络。
2.根据权利要求1所述的支持多样性端对端隔离的虚拟私人网络服务供装系统,其特征在于,所述对应关系是每一所述虚拟私人网络及每一所述局域网络具有对应所述虚拟局域网络标签。
3.根据权利要求1所述的支持多样性端对端隔离的虚拟私人网络服务供装系统,其特征在于,所述虚拟路由器依据不同话务的目的因特网协议地址所对应的所述虚拟局域网络标签,将所述话务送往对应所述局域网络中的用户设备。
4.根据权利要求1所述的支持多样性端对端隔离的虚拟私人网络服务供装系统,其特征在于,所述实体交换器或所述虚拟交换器检视所述话务的虚拟局域网络标签并将所述话务导向对应所述虚拟路由器。
5.根据权利要求1所述的支持多样性端对端隔离的虚拟私人网络服务供装系统,其特征在于,所述实体交换器或所述虚拟交换器布建在所述服务器。
6.根据权利要求4所述的支持多样性端对端隔离的虚拟私人网络服务供装系统,其特征在于,所述服务器供装多台虚拟机,在各虚拟机配置所述虚拟路由器。
7.根据权利要求1所述的支持多样性端对端隔离的虚拟私人网络服务供装系统,其特征在于,所述虚拟路由依据多个用户设备送来的不同话务的虚拟局域网络标签,将不同类型的话务隔离并导向对应所述虚拟私人网络,以达到端对端的虚拟网络隔离。
8.根据权利要求4所述的支持多样性端对端隔离的虚拟私人网络服务供装系统,其特征在于,实体路由器由所述虚拟路由器取代,由所述虚拟路由器设置相同的网关,多个用户设备不需更动所述网关的因特网协议地址,且不同所述虚拟路由器布建在所述服务器中的不同虚拟机上,确保不同话务各自有独立路由表,以达到端对端隔离的虚拟私人网络服务。
9.根据权利要求1所述的支持多样性端对端隔离的虚拟私人网络服务供装系统,其特征在于,所述服务器更包括:
虚拟网络控制模块,负责多个虚拟机连接实体网络与所述虚拟机彼此间连线的建立,其中在每一所述虚拟机配置所述虚拟路由器;以及
时间管理模块,接收所述虚拟网络控制模块的时间管理设定,负责管控多个用户设备的合法连网时间,并在非法连网时间阻挡所述用户设备往来的话务,而所述实体交换器或所述虚拟交换器依据所述时间管理模块的设定检验话务信息判断依时间范围内所述用户设备可否存取网络,其中所述设定检验话务信息是基于所述时间管理设定。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106126451 | 2017-08-04 | ||
| TW106126451A TWI630488B (zh) | 2017-08-04 | 2017-08-04 | 支援多樣性端對端網路隔離的虛擬私人網路服務供裝系統 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109391533A true CN109391533A (zh) | 2019-02-26 |
| CN109391533B CN109391533B (zh) | 2021-04-13 |
Family
ID=63640423
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810201204.XA Active CN109391533B (zh) | 2017-08-04 | 2018-03-12 | 支持多样性端对端隔离的虚拟私人网络服务供装系统 |
Country Status (3)
| Country | Link |
|---|---|
| JP (1) | JP6591621B2 (zh) |
| CN (1) | CN109391533B (zh) |
| TW (1) | TWI630488B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110336758A (zh) * | 2019-05-28 | 2019-10-15 | 厦门网宿有限公司 | 一种虚拟路由器中的数据分发方法及虚拟路由器 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI692956B (zh) * | 2019-03-04 | 2020-05-01 | 中華電信股份有限公司 | 立基於軟體定義網路之IPv6存取管理系統及其方法 |
| CN112822149B (zh) * | 2020-08-17 | 2022-07-12 | 北京辰信领创信息技术有限公司 | 一种基于智能路由器物理口和mac及ip的终端准入管控设计 |
| CN113395318A (zh) * | 2021-03-17 | 2021-09-14 | 河海大学 | 一种基于sdn的电网数据中心网络架构及配置方法 |
| CN114070622B (zh) * | 2021-11-16 | 2024-02-09 | 北京宏达隆和科技有限公司 | 一种基于网络端口安全的微隔离系统 |
| CN114143795B (zh) * | 2021-12-14 | 2024-01-30 | 天翼物联科技有限公司 | 基于5g网络的局域网组网方法和系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105247826A (zh) * | 2013-01-11 | 2016-01-13 | 华为技术有限公司 | 网络设备的网络功能虚拟化 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8893009B2 (en) * | 2009-01-28 | 2014-11-18 | Headwater Partners I Llc | End user device that secures an association of application to service policy with an application certificate check |
| US8239572B1 (en) * | 2010-06-30 | 2012-08-07 | Amazon Technologies, Inc. | Custom routing decisions |
| US8935786B2 (en) * | 2012-05-01 | 2015-01-13 | Harris Corporation | Systems and methods for dynamically changing network states |
| CN105683943B (zh) * | 2013-11-04 | 2019-08-23 | 伊尔拉米公司 | 使用基于逻辑多维标签的策略模型的分布式网络安全 |
| US9548896B2 (en) * | 2013-12-27 | 2017-01-17 | Big Switch Networks, Inc. | Systems and methods for performing network service insertion |
| US9560078B2 (en) * | 2015-02-04 | 2017-01-31 | Intel Corporation | Technologies for scalable security architecture of virtualized networks |
| JP2016163180A (ja) * | 2015-03-02 | 2016-09-05 | 日本電気株式会社 | 通信システム、通信方法、及びプログラム |
| US9756015B2 (en) * | 2015-03-27 | 2017-09-05 | International Business Machines Corporation | Creating network isolation between virtual machines |
-
2017
- 2017-08-04 TW TW106126451A patent/TWI630488B/zh active
-
2018
- 2018-03-12 CN CN201810201204.XA patent/CN109391533B/zh active Active
- 2018-06-13 JP JP2018112571A patent/JP6591621B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105247826A (zh) * | 2013-01-11 | 2016-01-13 | 华为技术有限公司 | 网络设备的网络功能虚拟化 |
| JP2016509412A (ja) * | 2013-01-11 | 2016-03-24 | 華為技術有限公司Huawei Technologies Co.,Ltd. | ネットワークデバイスのためのネットワーク機能仮想化 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110336758A (zh) * | 2019-05-28 | 2019-10-15 | 厦门网宿有限公司 | 一种虚拟路由器中的数据分发方法及虚拟路由器 |
| CN110336758B (zh) * | 2019-05-28 | 2022-10-28 | 厦门网宿有限公司 | 一种虚拟路由器中的数据分发方法及虚拟路由器 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019033475A (ja) | 2019-02-28 |
| TWI630488B (zh) | 2018-07-21 |
| TW201911068A (zh) | 2019-03-16 |
| JP6591621B2 (ja) | 2019-10-16 |
| CN109391533B (zh) | 2021-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7483074B2 (ja) | 仮想スイッチを実現し且つ管理する方法及び装置 | |
| US11671450B2 (en) | Dynamic honeypots | |
| US11870755B2 (en) | Dynamic intent-based firewall | |
| CN109391533A (zh) | 支持多样性端对端隔离的虚拟私人网络服务供装系统 | |
| US11025647B2 (en) | Providing a virtual security appliance architecture to a virtual cloud infrastructure | |
| US10237230B2 (en) | Method and system for inspecting network traffic between end points of a zone | |
| US8380819B2 (en) | Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network | |
| CN105247826B (zh) | 网络设备的网络功能虚拟化 | |
| CN105227463B (zh) | 一种分布式设备中业务板间的通信方法 | |
| CN109716717A (zh) | 从软件定义的网络控制器管理虚拟端口信道交换机对等体 | |
| CN107211038A (zh) | 用于nfvi的enf选择 | |
| Matias et al. | An OpenFlow based network virtualization framework for the cloud | |
| US20100322253A1 (en) | Method and Apparatus for Simulating IP Multinetting | |
| US11252192B1 (en) | Dynamic security scaling | |
| CN109691026A (zh) | 用于更新多个多协议标签切换(mpls)双向转发检测(bfd)会话的方法和装置 | |
| Papadimitriou et al. | Implementing network virtualization for a future internet | |
| KR20180104377A (ko) | 패킷 광 전송 네트워크를 통한 클라우드 간 가상 네트워킹 제공 방법 | |
| Ranjbar et al. | Domain isolation in a multi-tenant software-defined network | |
| Abdelaziz et al. | Survey on network virtualization using OpenFlow: Taxonomy, opportunities, and open issues | |
| CN110300073A (zh) | 级联端口的目标选择方法、聚合装置及存储介质 | |
| Nakamura et al. | Flowfall: A service chaining architecture with commodity technologies | |
| Toy | Future Directions in Cable Networks, Services and Management | |
| Kakadia et al. | Network virtualization platform for hybrid cloud | |
| Ramdhania et al. | Network infrastructure design in connectivity using Inter-VLan concept in bandung district government | |
| Vadivelu et al. | Design and performance analysis of complex switching networks through VLAN, HSRP and link aggregation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |