CN109728993A - 基于vxlan的远程局域网加密认证装置以及使用方法 - Google Patents
基于vxlan的远程局域网加密认证装置以及使用方法 Download PDFInfo
- Publication number
- CN109728993A CN109728993A CN201910081782.9A CN201910081782A CN109728993A CN 109728993 A CN109728993 A CN 109728993A CN 201910081782 A CN201910081782 A CN 201910081782A CN 109728993 A CN109728993 A CN 109728993A
- Authority
- CN
- China
- Prior art keywords
- vxlan
- equipment
- vxlan gateway
- gateway
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于VXLAN的远程局域网加密认证装置,包括设置于的厂站端电网调度设备、县级电网调度设备和省级电网调度设备,本发明还包括VXLAN网关、核心交换机和纵向加密设备,厂站端电网调度设备依次经第一VXLAN网关、边界路由器、纵向加密设备、中间节点路由器、中间节点路由器、纵向加密设备、第三VXLAN网关、核心交换机、第三VXLAN网关、纵向加密设备、中间节点路由器、中间节点路由器、纵向加密设备、第二VXLAN网关和边界路由器与县级电网调度设备相通讯。本发明采用上述结构的基于VXLAN的远程局域网加密认证装置以及使用方法,通过在现有的调度数据网中部署二层VPN技术,将广播与组播封装在二层隧道中,并通过纵向加密设备对二层VPN隧道加密,即可实现地调系统和厂站端调度系统之间的数据安全传输。
Description
技术领域
本发明涉及一种组网技术,尤其涉及一种基于VXLAN的远程局域网加密认证装置以及使用方法。
背景技术
目前在D5000系统广域网延伸方案中由于厂站端D5000前置机与地调D5000系统采用单播、组播、广播通信,故需要二层组网才能进行正常的通信工作,所以目前D5000系统广域网延伸方案都采用二层专线模式组网,即厂站端D5000前置机与地调D5000系统通过二层专线实现大二层互通。由于电网系统二次安全明确要求广域网链路之间必须要部署纵向加密系统,从而实现数据加密传输保证网络安全,但是在二层组网模式下,纵向加密系统只对单播数据起到安全加密,对广播与组播数据不做加密处理,导致现有D5000系统广域网延伸方案中纵向加密设备对广播与组播数据直接放行,不符合电力系统二次安全要求,使D5000系统存在较的安全隐患。
发明内容
本发明的目的是提供一种基于VXLAN的远程局域网加密认证装置以及使用方法,通过在现有的调度数据网中部署二层VPN技术,从而实现了跨越路由器的二层组网技术,将广播与组播封装在二层隧道中,并通过纵向加密设备对二层VPN隧道加密,即可实现地调系统和厂站端调度系统之间的数据安全传输。
为实现上述目的,本发明提供了一种基于VXLAN的远程局域网加密认证装置,包括设置于的厂站端电网调度设备、县级电网调度设备和省级电网调度设备,本发明还包括VXLAN网关、核心交换机和纵向加密设备,所述VXLAN网关包括设置于所述厂站端电网调度设备侧的第一VXLAN网关、设置于所述县级电网调度设备侧的第二VXLAN网关以及设置于所述省级电网调度设备侧的第三VXLAN网关,所述厂站端电网调度设备依次经所述第一VXLAN网关、边界路由器、纵向加密设备、中间节点路由器、中间节点路由器、纵向加密设备、所述第三VXLAN网关、所述核心交换机、所述第三VXLAN网关、纵向加密设备、中间节点路由器、中间节点路由器、纵向加密设备、所述第二VXLAN网关和边界路由器与所述县级电网调度设备相通讯,所述核心交换机与所述省级电网调度设备相通讯。
优选的,本发明还包括SND控制器,所述SND控制器分别与所述核心交换机、所述第一VXLAN网关、所述第二VXLAN网关和所述VXLAN网关相通讯。
优选的,所述第一VXLAN网关、所述第二VXLAN网关和所述第三VXLAN网关均为路由器或者交换机。
一种大二层使用方法,包括以下步骤:
S1、采用VXLAN网关在现有三层网络中搭建二层VPN隧道;
S2、由边界路由器构成底层物理网络,通过二层VPN隧道的方式在底层物理网络上形成覆盖网络;
S3、通过VXLAN网关网络标示将业务封装在VXLAN层面中;
S4、通过VXLAN网关VTEP将封装数据解封。
优选的,上述步骤S3中封装具体封装步骤包括:将厂站端的数据中心或者县调数据中心封装到VPN隧道,得到MAC-in-UDP封装格式数据包。
因此,本发明采用上述结构的基于VXLAN的远程局域网加密认证装置以及使用方法,通过在现有的调度数据网中部署二层VPN技术,从而实现了跨越路由器的二层组网技术,将广播与组播封装在二层隧道中,并通过纵向加密设备对二层VPN隧道加密,即可实现地调系统和厂站端调度系统之间的数据安全传输。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
图1为本发明的实施例一种基于VXLAN的远程局域网加密认证装置的布置图;
图2为本发明的实施例一种基于VXLAN的远程局域网加密认证装置的SND控制器布置图。
具体实施方式
以下将结合附图对本发明作进一步的描述,需要说明的是,本实施例以本技术方案为前提,给出了详细的实施方式和具体的操作过程,但本发明的保护范围并不限于本实施例。
图1为本发明的实施例一种基于VXLAN的远程局域网加密认证装置的布置图,如图1所示,本发明的结构,包括设置于的厂站端电网调度设备、县级电网调度设备和省级电网调度设备,上述电网调度设备均选用D5000监控调度系统,本发明还包括VXLAN网关、核心交换机和纵向加密设备,所述VXLAN网关包括设置于所述厂站端电网调度设备侧的第一VXLAN网关、设置于所述县级电网调度设备侧的第二VXLAN网关以及设置于所述省级电网调度设备侧的第三VXLAN网关,所述厂站端电网调度设备依次经所述第一VXLAN网关、边界路由器S1、纵向加密设备、中间节点路由器R2、中间节点路由器R1、纵向加密设备、所述第三VXLAN网关、所述核心交换机、所述第三VXLAN网关、纵向加密设备、中间节点路由器R3、中间节点路由器R4、纵向加密设备、所述第二VXLAN网关和边界路由器S1与所述县级电网调度设备相通讯,所述核心交换机与所述省级电网调度设备相通讯;
图2为本发明的实施例一种基于VXLAN的远程局域网加密认证装置的SND控制器布置图,如图2所示,本发明还包括SND控制器,所述SND控制器分别与所述核心交换机、所述第一VXLAN网关、所述第二VXLAN网关和所述VXLAN网关相通讯,通过在VXLAN网络中部署SDN控制器可实现功能如下:
1、实现第一VXLAN网关、第二VXLAN网关和VXLAN网关的统管理,只需要维护SDN个节点就能维护全网新增的VXLAN网关,并且在SDN控制器上可以统一配置所有节点VXLAN网关,实现快速开局上线;
2、维护覆盖网络VXLAN平面信息,包括VXLAN隧道建立信息、VXLAN平面流量信息;
3、合理调度VXLAN平面流量,通过SDN软件定义网络的理念,VXLAN网络中所有流量调度都由SDN控制器实现,简化了VXLAN网络的流量调度策略;
4、与云平台对接的SDN控制器具备与云平台对接的能力,在未来云计算技术应用的背景下,通过SDN控制器可以灵活调度云平台上的虚拟化资源、网络资源、安全资源、存储资源等;
5、可基于SDN控制器开发与用户网络业务相应的APP,从而可以打造完全针对业务环境的底层网络支撑平台,进一步加强了网络与业务的融合能力,实现电网网络业务功能自主化,摆脱了厂商的技术束缚。
优选的,所述第一VXLAN网关、所述第二VXLAN网关和所述第三VXLAN网关均为路由器或者交换机。
一种大二层使用方法,包括以下步骤:
S1、采用VXLAN网关在现有三层网络中搭建二层VPN隧道;
S2、由边界路由器构成底层物理网络,通过二层VPN隧道的方式在底层物理网络上形成覆盖网络(Overlay网络);
S3、通过VXLAN网关网络标示将业务封装在VXLAN层面中;
S4、通过VXLAN网关VTEP将封装数据解封。
优选的,上述步骤S3中封装具体封装步骤包括:将厂站端的数据中心或者县调数据中心封装到VPN隧道,得到MAC-in-UDP封装格式数据包。
需要说明的是,目前业内主流的二层VPN技术主要有三种,第一种是基于MPLS的二层MPLSVPN技术VPLS;第二种是应用在多数据中心之间大二层互联技术,如EVI;第三种是基于Overlay网络的VXLAN二层技术,表1为三种二层VPN技术的对比表,
表1:
以上三种技术都能在三层网络中实现二层互通,但是每种技术实现方式都有很大差别,通过技术对比发现VXLAN与SDN技术结合实现简单,且投资少、对网络结构架影响、运维方便,最适合D5000系统广域网延伸方案,具体创新优势如下:
1、在三层网络模型中传输二层业务,实现了电力业务新的承载模型
传统网络中一旦三层网络模型建设完成,由于三层网络隔离组播报文与广播报文,所以不能很好的传输二层业务,这一直是业界很难解决的问题,通过采VXLAN技术在现有三层网络中实现二层VPN隧道,进而把二层业务封装在隧道中实现由端到端透传,即解决了在三层网络模型中实现二层业务的传输的问题,从而实现了电力业务新的承载模型,解决了D5000系统广域网延伸组网问题。
2、大幅度降低综合建设成本,提升电力建设经济效益
传统建设二层专线模式组网不但投资大且建设时间长(需搭设专线)、新增设备多,使得综合成本巨大,通过在现有调度数据中地调与厂站两端节点处增加VXLAN网关的方式,运用VXLAN技术在调度数据网上打通D5000系统的二层连接,使地调D5000系统与场站端D5000前置机在同一个二层环境下实现数据的二层传输,从而方便、灵活、快速的实现D5000系统广域网延伸,极大的节约了综合建设成本,摆脱了传统专线建设模式的大投资,提升电力建设经济效益。
3、组网简单对现有网络架构无影响,有利于电力业务快速开通
技术实现的难易程度是衡量该技术易用性、可用性与实用性的重要标准,是建设网络的重要参考依据,通过在现有调度数据网中部署VXLAN技术组网,只需要在地调与场站网络边缘增加VXLAN网关设备,即可实现二层VXLAN隧道的部署,VXLAN网关设备可以采用胖挂式部署,从而不用改变现有网络架构,部署容易;并且场站端VXLAN设备只需要低端设备即可,部署方便、快速、灵活,有利于业务快速开通。
4、实现电力数据传输安全,满足电力安全生产需求
在网络数据传输安全方面,VXLAN技术可以与电力系统纵向加密系统融合,实现D5000系统所有的数据包(单播报文、组播报文、广播报文)经过VXLAN二层隧道封装后都能够被纵向加密系统封装加密,规避了在传统组网技术模式下纵向加密设备只加密封装单播报文、直通组播报文与广播报文的弊端,实现了D5000数据的安全传输,满足电力二次设备安全需求,从而更好的保证电力系统安全性,满足电力安全生产需求。
5、通过SDN技术实现软件定义网络功能,提升电力设备运维效率
在管理与运维方面,通过部署SDN控制器来统一管理新增加的VXLAN网关设备,并通过软件定义网络功能很好的实现了VXLAN设备自助上线、流量灵活调度、设备统一配置等运维管理功能,管理人员只需要维护SDN控制器一个节点就能维护全部新增的VXLAN设备,从而降低运维成本与管理人员维护的压力,提升电力设备运维效率。
因此,本发明采用上述结构的基于VXLAN的远程局域网加密认证装置以及使用方法,通过在现有的调度数据网中部署二层VPN技术,从而实现了跨越路由器的二层组网技术,将广播与组播封装在二层隧道中,并通过纵向加密设备对二层VPN隧道加密,即可实现地调系统和厂站端调度系统之间的数据安全传输。
最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。
Claims (5)
1.一种基于VXLAN的远程局域网加密认证装置,包括设置于的厂站端电网调度设备、县级电网调度设备和省级电网调度设备,其特征在于:还包括VXLAN网关、核心交换机和纵向加密设备,所述VXLAN网关包括设置于所述厂站端电网调度设备侧的第一VXLAN网关、设置于所述县级电网调度设备侧的第二VXLAN网关以及设置于所述省级电网调度设备侧的第三VXLAN网关,所述厂站端电网调度设备依次经所述第一VXLAN网关、边界路由器、纵向加密设备、中间节点路由器、中间节点路由器、纵向加密设备、所述第三VXLAN网关、所述核心交换机、所述第三VXLAN网关、纵向加密设备、中间节点路由器、中间节点路由器、纵向加密设备、所述第二VXLAN网关和边界路由器与所述县级电网调度设备相通讯,所述核心交换机与所述省级电网调度设备相通讯。
2.根据权利要求1所述的一种基于VXLAN的远程局域网加密认证装置,其特征在于:还包括SND控制器,所述SND控制器分别与所述核心交换机、所述第一VXLAN网关、所述第二VXLAN网关和所述VXLAN网关相通讯。
3.根据权利要求1所述的一种基于VXLAN的远程局域网加密认证装置,其特征在于:所述第一VXLAN网关、所述第二VXLAN网关和所述第三VXLAN网关均为路由器或者交换机。
4.一种基于上述权利要求1-3任一项所述的基于VXLAN的远程局域网加密认证装置的使用方法,其特征在于:包括以下步骤:
S1、采用VXLAN网关在现有三层网络中搭建二层VPN隧道;
S2、由边界路由器构成底层物理网络,通过二层VPN隧道的方式在底层物理网络上形成覆盖网络;
S3、通过VXLAN网关网络标示将业务封装在VXLAN层面中;
S4、通过VXLAN网关VTEP将封装数据解封。
5.根据权利要求4所述的一种大二层使用方法,其特征在于:上述步骤S3中封装具体封装步骤包括:将厂站端的数据中心或者县调数据中心封装到VPN隧道,得到MAC-in-UDP封装格式数据包。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910081782.9A CN109728993A (zh) | 2019-01-28 | 2019-01-28 | 基于vxlan的远程局域网加密认证装置以及使用方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910081782.9A CN109728993A (zh) | 2019-01-28 | 2019-01-28 | 基于vxlan的远程局域网加密认证装置以及使用方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109728993A true CN109728993A (zh) | 2019-05-07 |
Family
ID=66300289
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910081782.9A Pending CN109728993A (zh) | 2019-01-28 | 2019-01-28 | 基于vxlan的远程局域网加密认证装置以及使用方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109728993A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102254241A (zh) * | 2011-06-07 | 2011-11-23 | 天津市电力公司 | 基于全网拓扑的电力需求平衡能力在线评估方法 |
| CN103715770A (zh) * | 2013-12-20 | 2014-04-09 | 国电南瑞科技股份有限公司 | 一种广域分布地、县调控一体化系统分区解并列运行方法 |
| CN105225168A (zh) * | 2015-11-04 | 2016-01-06 | 国网河北省电力公司衡水供电分公司 | 电力调度管理系统 |
| CN107294711A (zh) * | 2017-07-11 | 2017-10-24 | 国网辽宁省电力有限公司 | 一种基于vxlan技术的电力信息内网报文加密发布方法 |
-
2019
- 2019-01-28 CN CN201910081782.9A patent/CN109728993A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102254241A (zh) * | 2011-06-07 | 2011-11-23 | 天津市电力公司 | 基于全网拓扑的电力需求平衡能力在线评估方法 |
| CN103715770A (zh) * | 2013-12-20 | 2014-04-09 | 国电南瑞科技股份有限公司 | 一种广域分布地、县调控一体化系统分区解并列运行方法 |
| CN105225168A (zh) * | 2015-11-04 | 2016-01-06 | 国网河北省电力公司衡水供电分公司 | 电力调度管理系统 |
| CN107294711A (zh) * | 2017-07-11 | 2017-10-24 | 国网辽宁省电力有限公司 | 一种基于vxlan技术的电力信息内网报文加密发布方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107147509B (zh) | 虚拟专用网业务实现方法、装置及通信系统 | |
| CN102711234B (zh) | 主备vrrp设备间同步arp表的方法及vrrp设备 | |
| CN105162704B (zh) | Overlay网络中组播复制的方法及装置 | |
| CN105308915A (zh) | 用于分布式中继控制协议(drcp)中的网络和门户内链路(ipl)共享的方法和系统 | |
| CN106982149A (zh) | 基于sdn的报文镜像方法及网络流量监控管理系统 | |
| CN104811393B (zh) | 组播报文复制处理方法、装置及开放流控制器 | |
| CN107666442B (zh) | 一种基于软件定义网络sdn的虚拟网络控制方法和装置 | |
| CN104092684B (zh) | 一种OpenFlow协议支持VPN的方法及设备 | |
| CN105306365B (zh) | 一种电力通信网络及其扩容与抗毁路由路径确定方法 | |
| CN109743211A (zh) | 基于sdn的ip网络与光网络协同路径开通系统与方法 | |
| CN106899478B (zh) | 电力测试业务通过云平台实现资源弹性扩展的方法 | |
| CN105791074A (zh) | 一种建立pw链路的方法及装置 | |
| CN104144143B (zh) | 网络建立的方法及控制设备 | |
| WO2020093994A1 (zh) | 承载侧网络系统、移固共存融合系统及其部署方法 | |
| CN107104819A (zh) | 基于sdn的自适应自协调统一通信系统及通信方法 | |
| CN103532742B (zh) | 一种ipran复杂场景下全二层业务的配置方法 | |
| Zhang et al. | SDN-based resilience solutions for smart grids | |
| CN103812959B (zh) | 集中管理ip地址的方法与系统 | |
| CN107770027A (zh) | 一种基于OpenStack架构提供GRE隧道服务的实现方法 | |
| CN109728993A (zh) | 基于vxlan的远程局域网加密认证装置以及使用方法 | |
| CN208939985U (zh) | 中海油云虚拟网络系统 | |
| WO2017017971A1 (ja) | データセンタ連携システム、および、その方法 | |
| CN109687985B (zh) | 一种变电站过程层网络自动配置方法及系统 | |
| WO2019072291A2 (zh) | 能源路由器 | |
| CN104734874B (zh) | 一种确定网络故障的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190507 |