CN115118550B - 用于油田工控通过5g专用网络进行加密透传数据的方法 - Google Patents
用于油田工控通过5g专用网络进行加密透传数据的方法 Download PDFInfo
- Publication number
- CN115118550B CN115118550B CN202211050566.6A CN202211050566A CN115118550B CN 115118550 B CN115118550 B CN 115118550B CN 202211050566 A CN202211050566 A CN 202211050566A CN 115118550 B CN115118550 B CN 115118550B
- Authority
- CN
- China
- Prior art keywords
- vpn
- setting
- network
- file
- vlan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于加密透传数据的技术领域,提供一种用于油田工控通过5G专用网络进行加密透传数据的方法,包括:步骤S1,在油田工控网的站点端搭建5G专用交换机,对5G专用交换机的每个网口做数据隔离以及进行VLAN划分处理;步骤S2,在油田工控网的运营商核心网的远端出口搭建VPN服务器;步骤S3,通过所述5G专用交换机的每个VLAN接口向所述VPN服务器搭建二层VPN隧道,通过5G专用网络在二层VPN隧道中进行加密透传数据。本发明组网方式灵活,且接入设备的IP地址不受限制,非常适合于油田工控网这种特殊的应用环境,既能够避免光纤组网方式的高成本问题,又能够穿透运营商的核心网,实现与原交换机之间的桥接和透传。
Description
技术领域
本发明涉及一种加密透传数据的方法,尤其涉及一种用于油田工控通过5G专用网络进行加密透传数据的方法。
背景技术
在油田工控行业中,数据是通过光纤进行传输的,但是光纤在使用中会存在意外情况,因此需要用到移动网络作为备份,由于传输的数据量大,所以需要使用5G专属网络作为备份手段。目前普遍使用的是光纤交换机的方式进行组网,这种光纤组网的网络拓扑结构比较简单,设备与服务器之间可以相互访问传输,可以做到任意通讯,但是由于油田工控网这一特殊使用环境,跨地域很广,油田的站点端与核心网之间的距离往往非常远,通过光纤来实现组网,成本极高且不利于后期维护。而在移动5G网络中,受到运营商核心网架构的影响,如果采用现有的常规5G网络来实现,其拓扑结构会非常复杂,并且无法满足像光纤交换机这样的随意组网的要求,不能很好地与原交换机实现桥接和透传的效果。
发明内容
本发明所要解决的技术问题是需要提供一种用于油田工控通过5G专用网络进行加密透传数据的方法,旨在达到既能够降低成本,又能够穿透运营商的核心网,进而实现与原交换机之间的桥接和透传的技术效果。
对此,本发明提供一种用于油田工控通过5G专用网络进行加密透传数据的方法,包括以下步骤:
步骤S1,在油田工控网的站点端搭建5G专用交换机,对5G专用交换机的每个网口做数据隔离以及进行VLAN划分处理;
步骤S2,在油田工控网的运营商核心网的远端出口搭建VPN服务器;
步骤S3,通过所述5G专用交换机的每个VLAN接口向所述VPN服务器搭建二层VPN隧道,实现通过5G专用网络在二层VPN隧道中进行加密透传数据;其中,所述步骤S3包括以下子步骤:
步骤S301,将5G接口中APN提供的拨号设置为调用;
步骤S302,上传SSL客户端加密文件,新增VPN客户端实例,并进行VPN实例与SSL相关的文件路径设置;
步骤S303,创建二层VPN隧道的二层桥,将所述VLAN接口和VPN接口分别加入至所述二层桥中,以实现所述VPN接口桥接至所述VLAN接口,完成二层VPN隧道的搭建和设置。
本发明的进一步改进在于,所述步骤S301中,先判断是否需要APN协助拨号,若否则直接启动5G拨号实例;若是则通过对调用指令进行设置,输入并保存对应的APN到配置文件,然后再启动5G拨号实例;在启动5G拨号实例之后,通过输入ifconfig指令查找5G网卡接口,通过输入ifconfig wwan0指令查找所述5G网卡接口已配置的IP地址,所述5G网卡接口通过Ping命令链接至OPENVPN服务器所在地址。
本发明的进一步改进在于,所述步骤302中,包括以下子步骤:
步骤S3021,上传SSL加密文件,在上传过程中,对每个VPN实例的SSL加密文件及其配置文件进行一一对应,建立与配置文件相关联的上传目录;
步骤S3022,新增VPN实例,在新建过程中,对每个VPN实例的名称进行对应设置;
步骤S3023,设置VPN实例的服务器地址和端口,在该设置过程中,对每个VPN实例的服务器地址和端口的组合进行对应设置;
步骤S3024,设置VPN实例与SSL相关的文件路径,在该设置过程中,根据步骤S3021所建立的上传目录进行填写和设置,并对每个VPN实例与SSL之间的文件路径进行对应设置;
步骤S3025,设置VPN实例接口和使用协议,对每个VPN实例的接口进行对应设置,且每个VPN实例的接口均选择UDP协议;
步骤S3026,保存VPN实例配置,并启用VPN实例。
本发明的进一步改进在于,所述步骤S3021实现SSL加密文件的上传过程中,通过远程文件拷贝命令将认证授权文件、本地证书以及本地私钥指令上传到设备指定的目录里面,或在VPN配置页面上点击上次的SSL加密文件。
本发明的进一步改进在于,所述步骤S3024设置VPN实例与SSL相关的文件路径中,设置顺序如下:先设置CA文件的路径,然后设 置 本 地 证 书 路 径,最后设置本地密钥路径;设置过程中,根据所述步骤S3021的实际上传目录填写对应的路径,并保证每个VPN实例与路径设置的一一对应性。
本发明的进一步改进在于,在所述步骤S302中,预先设置文件路径索引表,在所述文件路径索引表中记录一一对应的SSL加密文件、SSL配置文件、VPN实例、VPN实例名称、服务器地址和端口的组合、文件路径、VPN实例接口以及使用协议;并在设置过程中实时判断当前的设置是否与所述文件路径索引表中的数据存在冲突,若是,则返回冲突的数据,并等待直到最新的设置与所述文件路径索引表中的数据不存在冲突;接着保存最新的设置并更新所述文件路径索引表。
本发明的进一步改进在于,所述步骤S3024中,先获取所述步骤S3021的实际上传目录,并根据所述实际上传目录对应的SSL加密文件,在所述文件路径索引表中通过查表自动获取文件路径,然后根据查表结果按照设置顺序进行路径的设置;在设置完成之后进行设置校验,直到检验完成则返回设置成功提醒,若检验不通过则返回提示设置失败的位置及其原因。
本发明的进一步改进在于,所述步骤S303包括以下子步骤:
步骤S3031,通过brctl addbr br-lan指令创建二层桥,其中,br-lan为需要创建的桥接口名称,在创建二层桥的过程中,创建的二层桥与其桥接口名称一一对应;
步骤S3032,通过brctl addif br-vpn eth0.1指令将VLAN接口加入二层桥,其中,br-vpn为二层桥接口名称,eth0.1为VLAN接口名称;
步骤S3033,通过brctl addif br-vpn tap0指令将VPN接口加入二层桥,其中,tap0为VPN实例的接口。
本发明的进一步改进在于,所述步骤S1包括以下子步骤:
步骤S101,新建VLAN,并配置section;
步骤S102,设置VLAN的基础设备;
步骤S103,设置VLAN ID,所述VLAN ID的序号取自所述步骤S101配置section中的序号;
步骤S104,设置VLAN绑定的交换机网口,每个交换机网口划分至一个VLAN下面;
步骤S105,保存VLAN配置;
步骤S106,重启网络,使能VLAN配置。
本发明的进一步改进在于,所述步骤S2包括以下子步骤:
步骤S201,上传SSL加密文件,新增VPN实例,并进行VPN实例与SSL相关的文件路径设置;
步骤S202,上传SSL相关的认证授权文件、本地证书,dh.pem文件以及本地私钥文件;
步骤S203,配置应用于油田工控网中运营商核心网的网络参数。
与现有技术相比,本发明的有益效果在于:在油田工控网的站点端搭建5G专用交换机,对5G专用交换机的每个网口做数据隔离以及进行VLAN划分处理;并且在油田工控网的运营商核心网的远端出口搭建VPN服务器;最后,通过所述5G专用交换机的每个VLAN接口向所述VPN服务器搭建二层VPN隧道,以实现通过5G专用网络在二层VPN隧道中进行加密透传数据。本发明通过所述5G专用交换机的每个VLAN接口向所述VPN服务器搭建二层VPN隧道,与现有技术常规的5G三层网络结构相比,组网方式更加灵活,且接入设备的IP地址不受限制,非常适合于油田工控网这种特殊的应用环境,既能够避免光纤组网方式的高成本问题,能够大幅度地降低成本,又能够穿透运营商的核心网,实现与原交换机之间的桥接和透传的技术效果。
附图说明
图1是本发明一种实施例的工作流程示意图;
图2是本发明一种实施例的组网原理拓扑图。
具体实施方式
下面结合附图,对本发明的较优的实施例作进一步的详细说明。
如图1和图2所示,本实施例提供一种用于油田工控通过5G专用网络进行加密透传数据的方法,包括以下步骤:
步骤S1,在油田工控网的站点端搭建5G专用交换机,对5G专用交换机的每个网口做数据隔离以及进行VLAN划分处理;
步骤S2,在油田工控网的运营商核心网的远端出口搭建VPN服务器;
步骤S3,通过所述5G专用交换机的每个VLAN接口向所述VPN服务器搭建二层VPN隧道,实现通过5G专用网络在二层VPN隧道中进行加密透传数据;其中,所述步骤S3包括以下子步骤:
步骤S301,将5G接口中APN提供的拨号设置为调用;
步骤S302,上传客户端SSL加密文件,新增VPN客户端实例,并进行VPN实例与SSL相关的文件路径设置;
步骤S303,创建二层VPN隧道的二层桥,将所述VLAN接口和VPN接口分别加入至所述二层桥中,以实现所述VPN接口桥接至所述VLAN接口,完成二层VPN隧道的搭建和设置。
现有传统的5G组网方式中,VPN隧道是在三层网络上实现的,这种三层网络拓扑需要很多组IP地址,且无法随意变更,不能满足大量设备连接的应用。而在油田工控网这种特殊的应用场景下,每一个站点所需要采集的设备数量和种类都非常多,且站点的数量也很多,那么,就必然会造成组网拓扑结构非常复杂,IO地址分配受限,并且无法满足像光纤交换机这样的随意组网的要求,也不能很好地与原交换机实现桥接和透传的效果,因此,采用传统的5G三层网络拓扑并不适用于油田工控网。
如图2所示,本实施例在油田工控网的站点端搭建5G专用交换机,所述5G专用交换机优选为5G加密交换机,通过运营商5G专网(即核心网)之后,通过数据加密服务器连接至三层网关交换机中,以便实现与原交换机之间的桥接和透传。在5G专用交换机中,对5G专用交换机的每个网口做数据隔离以及进行VLAN划分处理;并且在油田工控网的运营商核心网的远端出口搭建VPN服务器;最后,通过所述5G专用交换机的每个VLAN接口向所述VPN服务器搭建二层VPN隧道,以实现通过5G专用网络在二层VPN隧道中进行加密透传数据。因此,在本实施例所提供的技术方案中,通过所述5G专用交换机的每个VLAN接口向所述VPN服务器搭建二层VPN隧道,与现有技术常规的5G三层网络结构相比,组网方式更加灵活,且接入设备的IP地址不受限制,非常适合于油田工控网这种特殊的应用环境,既能够避免光纤组网方式的高成本问题,能够大幅度地降低成本,又能够穿透运营商的核心网,实现与原交换机之间的桥接和透传的技术效果;与现有技术采用光纤组网的方式相比,明显能够大幅度降低成本,并且还能够有利于后期维护,为系统升级提供了更为有利的基础。
本实施例所述步骤S1包括以下子步骤:
步骤S101,新建VLAN,并配置section;section指的是文件节点,本步骤通过输入如下指令来实现:uci -q set network.@switch_vlan[x-1]="switch_valn";"x"表示文件节点的序号,可以是1、2、3、4、5其中之一;
步骤S102,设置VLAN的基础设备switch0,指令如下:uci -q set network.@switch_vlan[x-1]. device="switch0";"x"同样可以是1、2、3、4、5其中之一;
步骤S103,设置VLAN ID为x,所述VLAN ID的序号取自所述步骤S101配置section中的序号;指令如下:uci -q set network.@switch_vlan[x-1].vlan="x";
步骤S104,设置VLAN绑定的交换机网口,每个交换机网口划分至一个VLAN下面;指令如下:uci -q setnetwork.@switch_vlan[x-1].ports ="0 6t",绑定的交换机网口可以是0、1、2、3、4的任意组合;
步骤S105,保存VLAN配置;指令如下:uci commit network;根据实际的应用需要和设备情况,本实施例可以划分多个VLAN,如果需要划分多个VLAN,可在步骤S105之前重复步骤S101~步骤S104,并在每次返回重复的时候变更"x"的值;
步骤S106,重启网络,使能VLAN配置;指令如下:/etc/init.d/network restart。
本实施例在完成步骤S101之后,在系统里面使用指令ifconfig eth0.x即可快速查看到eth0.x的网卡;其中,"x",代表的是1、2、3、4、5其中之一,表示设备有5个网口,可以划分出5个VLAN。
本实施例所述步骤S2包括以下子步骤:
步骤S201,上传服务端SSL加密文件,新增VPN服务端实例,对VPN实例配置参数,并进行VPN实例与SSL相关的文件路径设置;
步骤S202,上传SSL相关的认证授权文件、本地证书、dh.pem文件以及本地私钥文件;
步骤S203,配置应用于油田工控网中运营商核心网的网络参数,包括且不限于配置网口参数,以接入所述核心网。
本实施例所述步骤S301中,先判断是否需要APN协助拨号,若否则直接启动5G拨号实例;若是则通过对调用指令进行设置,输入并保存对应的APN到配置文件,指令如下:uci-q set network.wwan.apn="xxx",其中,"xxx"为运营商提供的APN,本条指令设置5G接口APN提供拨号是调用;uci commit network,本指令为保存APN到配置文件。然后再启动5G拨号实例,指令为ifup wwan。在启动5G拨号实例之后,通过输入ifconfig指令查找5G网卡接口,如eth1,wwan0等;通过输入ifconfig wwan0指令查找所述5G网卡接口已配置的IP地址;所述5G网卡接口通过Ping命令链接至OPENVPN服务器所在地址,比如使用指令ping -Iwwan0 172.30.250.34。
本实施例所述步骤302中,包括以下子步骤:
步骤S3021,上传SSL加密文件,包括:ca.crt-认证授权文件、client.crt-本地证书以及client.key本地私钥;上传过程中优选通过scp指令上传到设备指定的目录里面,如指令:scp client.key username@xxx.xxx.xx.xx:/etc/openvpn/ssl,或者在VPN配置相关的页面上点击上次文件。scp指令指的是Linux scp命令,用于 Linux之间复制文件和目录。在上传过程中,对每个VPN实例的SSL加密文件及其配置文件进行一一对应,建立与配置文件相关联的上传目录;如果设备里面有多个VPN实例,每个实例相关SSL的配置文件需要区别开,配置文件不一样,则上传的目录也不一样;所述VPN实例指的是VPN配置实例/VPN应用实例;
步骤S3022,新增VPN实例,指令如下:uci -q set openvpn.daemon=openvpn, 其中"daemon"为VPN实例名称,所述VPN实例名称能够根据需要进行设置和变化;在新建过程中,对每个VPN实例的名称进行对应设置;如果设备需要设置多个VPN实例,则对每个VPN实例的名称进行区别设置;
步骤S3023,设置VPN实例的服务器地址和端口,指令如下: uci -q setopenvpn.daemon.remote="172.30.250.34", 其中"172.30.250.34"为VPN服务器地址,可根据实际的实例场景而变化;uci -q set openvpn.daemon.port="1430",其中"1430"为VPN服务器的端口,可根据实际的实例场景而变化;在该设置过程中,对每个VPN实例的服务器地址和端口的组合进行对应设置,如果设备需要设置多个VPN实例,每个VPN实例需要做到服务器地址和端口的组合与其他的VPN实例不一致;
步骤S3024,设置VPN实例与SSL相关的文件路径,指令如下:uci -q setopenvpn.daemon.cat="/etc/openvpn/ssl/ca.crt",用于设置ca文件的路径;uci -q setopenvpn.daemon.cert="/etc/openvpn/ssl/client.crt",用于设 置 本 地 证 书 路径;uci -q set openvpn.daemon.key="/etc/openvpn/ssl/client.key",用于设置本地密钥路径;在该设置过程中,根据步骤S3021所建立的上传目录进行填写和设置,并对每个VPN实例与SSL之间的文件路径进行对应设置,如果设备有多个VPN实例,每个VPN实例需要设置与其他实例不同的SSL相关文件的路径配置;
步骤S3025,设置VPN实例接口和使用协议,指令如下:uci -q setopenvpn.daemon.dev="tap0",用于设置VPN实例使用的接口名称为tap0;uci -q setopenvvpn.daemon.proto="udp",用于设置VPN实例使用的协议为UDP;进而对每个VPN实例的接口进行对应设置,如果设备里面有多个VPN实例,每个VPN实例使用的接口名称应该区别开,保证每个VPN实例的接口名称都不一样且每个VPN实例的接口均选择UDP协议;
步骤S3026,保存VPN实例配置,并启用VPN实例。指令如下: uci commit openvpn,用于保存VPN实例; /etc/init.d/openvpn,用于启用 VPN实例。如果需要建立多个VPN实例,可以重复步骤S3021至步骤S3025。
本实施例通过步骤S3021至步骤S3026能够实现完整的VPN链接。在实际应用中,使用ifconfig tap0 能快速查到系统有tap0网卡且获取了VPN服务器分配的地址,如果有多个VPN实例,可以看到有多个VPN接口tapx,其中"tapx"为配置VPN实例时填写的VPN接口名称,每个VPN实例的接口地址都不一样且不在同一个网段,如:接口tap0的地址是10.8.0.50,接口tap1的接口地址是10.7.0.50等。
更为具体的,本实施例所述步骤S3021实现SSL加密文件的上传过程中,通过远程文件拷贝命令将认证授权文件、本地证书以及本地私钥指令上传到设备指定的目录里面,并插入一一对应的ID便于后续验证和识别;或在VPN配置页面上点击上次的SSL加密文件。
本实施例所述步骤S3024设置VPN实例与SSL相关的文件路径中,设置顺序如下:先设置CA文件的路径,然后设 置 本 地 证 书 路 径,最后设置本地密钥路径;设置过程中,根据所述步骤S3021的实际上传目录填写对应的路径,并保证每个VPN实例与路径设置的一一对应性,以便为后续的验证、识别和可追溯性提供数据基础,同时也很好地避免了VPN链接出现错误或冲突。
值得一提的是,在所述步骤S302中,本实施例还优选预先设置文件路径索引表,所述文件路径索引表为预先设置的固定格式的VPN链接详细信息索引表;在所述文件路径索引表中记录一一对应的SSL加密文件、SSL配置文件、VPN实例、VPN实例名称、服务器地址和端口的组合、文件路径、VPN实例接口以及使用协议;并在设置过程中实时判断当前的设置是否与所述文件路径索引表中的数据存在冲突,若是,则返回冲突的数据,并等待直到最新的设置与所述文件路径索引表中的数据直到不存在冲突;接着保存最新的设置并更新所述文件路径索引表;若不冲突则直接保存最新的设置并更新所述文件路径索引表。对于冲突的判断在于所述文件路径索引表中的各个信息是否为一一对应且不重复的。这样的设置一方面能够很好地提前预判出VPN链接是否会出现错误或冲突,进而在设置阶段就能够快速实现验证并调整,以避免这种弊端;另一方面,还能够在实际使用过程中通过查表快速实现验证和识别,为油田工控网提供便捷的溯源功能,这一点,在现有技术中是无法实现的。
相对应的,本实施例所述步骤S3024中,先获取所述步骤S3021的实际上传目录,并根据所述实际上传目录对应的SSL加密文件,在所述文件路径索引表中通过查表自动获取文件路径,然后根据查表结果按照设置顺序进行路径的设置;在设置完成之后进行设置校验,直到检验完成则返回设置成功提醒,若检验不通过则返回提示设置失败的位置及其原因,以便利用所述文件路径索引表在设置阶段自动完整检验功能,能够很好地避免因为路径设置存在问题而导致VPN链接失败。本实施例这样设置的原因在于,由于油田工控网的实际应用环境非常复杂,采集数据的设备和设备种类繁多,包括且不限于油井压力数据、油井电量数据以及油井视频数据等等,且不同站点的实际需求也并不一致,那么,在进行设置的时候,就容易出现各种问题,且出现问题之后要排查出具体的问题和设备是很难实现的,给实际施工和应用带来了相当大的难度,维护难度高;本实施例通过所述文件路径索引表及其优选的校验设计,能够很好地解决这个问题,不仅仅能够避免这种设置问题难以排查的弊端,还为实际运行过程中提供便捷的溯源功能,大幅度地降低了系统的维护难度和成本。
本实施例所述步骤S303用于实现VPN桥接VLAN,包括以下子步骤:
步骤S3031,通过brctl addbr br-lan指令创建二层桥,其中,br-lan为需要创建的桥接口名称,在创建二层桥的过程中,创建的二层桥与其桥接口名称一一对应;即可根据不同的二层桥起不同的名称;
步骤S3032,通过brctl addif br-vpn eth0.1指令将VLAN接口加入二层桥,其中,br-vpn为二层桥接口名称,eth0.1为VLAN接口名称;同样的,也可以根据不同的业务需求修改VLAN的接口名称,以保证其一一对应性;
步骤S3033,通过brctl addif br-vpn tap0指令将VPN接口加入二层桥,其中,tap0为VPN实例的接口;可以根据不同的业务需求修改VPN的接口名称,以保证其一一对应性。
本实施例通过所述步骤S3031至步骤S3033实现了完整的VPN桥接VLAN的过程,完成全部的配置。在实际使用过程中,可以通过brctl show 可以看到新建立的二层桥,以及添加到在二层桥下的VLAN接口和VPN接口,链接到在二层桥下VLAN接口的设备可以将二层数据传输到VPN服务器上,进而实现在二层VPN隧道中进行加密透传数据。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (10)
1.一种用于油田工控通过5G专用网络进行加密透传数据的方法,其特征在于,包括以下步骤:
步骤S1,在油田工控网的站点端搭建5G专用交换机,对5G专用交换机的每个网口做数据隔离以及进行VLAN划分处理;
步骤S2,在油田工控网的运营商核心网的远端出口搭建VPN服务器;
步骤S3,通过所述5G专用交换机的每个VLAN接口向所述VPN服务器搭建二层VPN隧道,实现通过5G专用网络在二层VPN隧道中进行加密透传数据;其中,所述步骤S3包括以下子步骤:
步骤S301,将5G接口中APN提供的拨号设置为调用;
步骤S302,上传客户端SSL加密文件,新增VPN客户端实例,并进行VPN实例与SSL相关的文件路径设置;
步骤S303,创建二层VPN隧道的二层桥,将所述VLAN接口和VPN接口分别加入至所述二层桥中,以实现所述VPN接口桥接至所述VLAN接口,完成二层VPN隧道的搭建和设置。
2.根据权利要求1所述的用于油田工控通过5G专用网络进行加密透传数据的方法,其特征在于,所述步骤S301中,先判断是否需要APN协助拨号,若否则直接启动5G拨号实例;若是则通过对调用指令进行设置,输入并保存对应的APN到配置文件,然后再启动5G拨号实例;在启动5G拨号实例之后,通过输入ifconfig指令查找5G网卡接口,通过输入ifconfigwwan0指令查找所述5G网卡接口已配置的IP地址,所述5G网卡接口通过Ping命令链接至OPENVPN服务器所在地址。
3.根据权利要求1所述的用于油田工控通过5G专用网络进行加密透传数据的方法,其特征在于,所述步骤302中,包括以下子步骤:
步骤S3021,上传SSL加密文件,在上传过程中,对每个VPN实例的SSL加密文件及其配置文件进行一一对应,建立与配置文件相关联的上传目录;
步骤S3022,新增VPN实例,在新建过程中,对每个VPN实例的名称进行对应设置;
步骤S3023,设置VPN实例的服务器地址和端口,在该设置过程中,对每个VPN实例的服务器地址和端口的组合进行对应设置;
步骤S3024,设置VPN实例与SSL相关的文件路径,在该设置过程中,根据步骤S3021所建立的上传目录进行填写和设置,并对每个VPN实例与SSL之间的文件路径进行对应设置;
步骤S3025,设置VPN实例接口和使用协议,对每个VPN实例的接口进行对应设置,且每个VPN实例的接口均选择UDP协议;
步骤S3026,保存VPN实例配置,并启用VPN实例。
4.根据权利要求3所述的用于油田工控通过5G专用网络进行加密透传数据的方法,其特征在于,所述步骤S3021实现SSL加密文件的上传过程中,通过远程文件拷贝命令将认证授权文件、本地证书以及本地私钥指令上传到设备指定的目录里面,或在VPN配置页面上点击上次的SSL加密文件。
5.根据权利要求3所述的用于油田工控通过5G专用网络进行加密透传数据的方法,其特征在于,所述步骤S3024设置VPN实例与SSL相关的文件路径中,设置顺序如下:先设置CA文件的路径,然后设 置 本 地 证 书 路 径,最后设置本地密钥路径;设置过程中,根据所述步骤S3021的实际上传目录填写对应的路径,并保证每个VPN实例与路径设置的一一对应性。
6.根据权利要求5所述的用于油田工控通过5G专用网络进行加密透传数据的方法,其特征在于,在所述步骤S302中,预先设置文件路径索引表,在所述文件路径索引表中记录一一对应的SSL加密文件、SSL配置文件、VPN实例、VPN实例名称、服务器地址和端口的组合、文件路径、VPN实例接口以及使用协议;并在设置过程中实时判断当前的设置是否与所述文件路径索引表中的数据存在冲突,若是,则返回冲突的数据,并等待直到最新的设置与所述文件路径索引表中的数据不存在冲突;接着保存最新的设置并更新所述文件路径索引表。
7.根据权利要求6所述的用于油田工控通过5G专用网络进行加密透传数据的方法,其特征在于,所述步骤S3024中,先获取所述步骤S3021的实际上传目录,并根据所述实际上传目录对应的SSL加密文件,在所述文件路径索引表中通过查表自动获取文件路径,然后根据查表结果按照设置顺序进行路径的设置;在设置完成之后进行设置校验,直到检验完成则返回设置成功提醒,若检验不通过则返回提示设置失败的位置及其原因。
8.根据权利要求1至7任意一项所述的用于油田工控通过5G专用网络进行加密透传数据的方法,其特征在于,所述步骤S303包括以下子步骤:
步骤S3031,通过brctl addbr br-lan指令创建二层桥,其中,br-lan为需要创建的桥接口名称,在创建二层桥的过程中,创建的二层桥与其桥接口名称一一对应;
步骤S3032,通过brctl addif br-vpn eth0.1指令将VLAN接口加入二层桥,其中,br-vpn为二层桥接口名称,eth0.1为VLAN接口名称;
步骤S3033,通过brctl addif br-vpn tap0指令将VPN接口加入二层桥,其中,tap0为VPN实例的接口。
9.根据权利要求1至7任意一项所述的用于油田工控通过5G专用网络进行加密透传数据的方法,其特征在于,所述步骤S1包括以下子步骤:
步骤S101,新建VLAN,并配置section;
步骤S102,设置VLAN的基础设备;
步骤S103,设置VLAN ID,所述VLAN ID的序号取自所述步骤S101配置section中的序号;
步骤S104,设置VLAN绑定的交换机网口,每个交换机网口划分至一个VLAN下面;
步骤S105,保存VLAN配置;
步骤S106,重启网络,使能VLAN配置。
10.根据权利要求1至7任意一项所述的用于油田工控通过5G专用网络进行加密透传数据的方法,其特征在于,所述步骤S2包括以下子步骤:
步骤S201,上传服务端SSL加密文件,新增VPN服务端实例,并进行VPN实例与SSL相关的文件路径设置;
步骤S202,上传SSL相关的认证授权文件、本地证书,dh.pem文件以及本地私钥文件;
步骤S203,配置应用于油田工控网中运营商核心网的网络参数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211050566.6A CN115118550B (zh) | 2022-08-31 | 2022-08-31 | 用于油田工控通过5g专用网络进行加密透传数据的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211050566.6A CN115118550B (zh) | 2022-08-31 | 2022-08-31 | 用于油田工控通过5g专用网络进行加密透传数据的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115118550A CN115118550A (zh) | 2022-09-27 |
CN115118550B true CN115118550B (zh) | 2022-11-25 |
Family
ID=83335607
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211050566.6A Active CN115118550B (zh) | 2022-08-31 | 2022-08-31 | 用于油田工控通过5g专用网络进行加密透传数据的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115118550B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108023802A (zh) * | 2016-11-01 | 2018-05-11 | 中国移动通信集团广东有限公司 | 数据传输系统及方法 |
CN110601881A (zh) * | 2019-09-04 | 2019-12-20 | 厦门网宿有限公司 | 一种二层专线网络系统、配置方法及设备 |
CN111786873A (zh) * | 2020-07-13 | 2020-10-16 | 浙江捷创方舟数字技术有限公司 | 支持plc冗余的远程控制方法、系统及网关 |
CN113595847A (zh) * | 2021-07-21 | 2021-11-02 | 上海淇玥信息技术有限公司 | 远程接入方法、系统、设备和介质 |
CN114285697A (zh) * | 2021-12-23 | 2022-04-05 | 上海甄云信息科技有限公司 | 一种基于WireGuard和OpenVPN的多网络单入口VPN系统 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI271076B (en) * | 2004-07-02 | 2007-01-11 | Icp Electronics Inc | Security gateway with SSL protection and method for the same |
US20160142374A1 (en) * | 2014-11-13 | 2016-05-19 | D. Scott CLARK | Private and secure communication systems and methods |
-
2022
- 2022-08-31 CN CN202211050566.6A patent/CN115118550B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108023802A (zh) * | 2016-11-01 | 2018-05-11 | 中国移动通信集团广东有限公司 | 数据传输系统及方法 |
CN110601881A (zh) * | 2019-09-04 | 2019-12-20 | 厦门网宿有限公司 | 一种二层专线网络系统、配置方法及设备 |
CN111786873A (zh) * | 2020-07-13 | 2020-10-16 | 浙江捷创方舟数字技术有限公司 | 支持plc冗余的远程控制方法、系统及网关 |
CN113595847A (zh) * | 2021-07-21 | 2021-11-02 | 上海淇玥信息技术有限公司 | 远程接入方法、系统、设备和介质 |
CN114285697A (zh) * | 2021-12-23 | 2022-04-05 | 上海甄云信息科技有限公司 | 一种基于WireGuard和OpenVPN的多网络单入口VPN系统 |
Non-Patent Citations (1)
Title |
---|
4G网络接入油田企业网的链路安全设计;李春辉等;《电世界》;20190505(第05期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115118550A (zh) | 2022-09-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2533638C2 (ru) | Способ и устройство для конфигурирования данных | |
CN109474508B (zh) | 一种vpn组网方法、系统、vpn主节点设备及介质 | |
CN102075339B (zh) | Vpn管理平台、vpn业务的实现方法及系统 | |
CN105703938A (zh) | 设备配置方法、配置装置及管理设备 | |
KR20080055915A (ko) | 로컬 네트워크 장치를 원격으로 관리하기 위한 통신 장치,시스템, 및 방법 | |
CN110677383B (zh) | 防火墙开墙方法、装置、存储介质及计算机设备 | |
WO2018010555A1 (zh) | 一种北向接口lte业务自动配置方法、北向接口装置及存储介质 | |
CN106789527A (zh) | 一种专线网络接入的方法及系统 | |
CN112187532A (zh) | 一种节点管控方法及系统 | |
CN106130862A (zh) | 一种多个分布式路由器的虚拟专用网络的管理方法和系统 | |
US7660266B2 (en) | Automatic functionality generating mechanism for network connecting appliances | |
CN110768885A (zh) | 一种基于私有云的工业vpn装置及使用方法 | |
CN105162769A (zh) | 一种网关权限转移的方法及装置 | |
CN115118550B (zh) | 用于油田工控通过5g专用网络进行加密透传数据的方法 | |
CN107005603A (zh) | 用于ip地址分配的方法、装置、系统和计算机程序产品 | |
CN114070715A (zh) | 通信系统的备用通信通道搭建方法、装置及电子设备 | |
CN107733717A (zh) | 一种云平台移动式运维的网络配置方法 | |
CN102487331B (zh) | 设备管理的方法、装置及系统 | |
CN104378449A (zh) | 一种虚拟ip的实现方法 | |
CN116566830A (zh) | 一种网络配置方法、装置、系统、边缘设备及存储介质 | |
CN113472625B (zh) | 基于移动互联网的透明桥接方法、系统、设备及存储介质 | |
CN116170214A (zh) | Itms平台与子网关通信方法、装置、设备及存储介质 | |
CN114189485A (zh) | 一种交换机的网口管理方法、系统及计算机可读存储介质 | |
CN107920004B (zh) | 一种网关的网络连接方法、装置及系统 | |
WO2018028499A1 (zh) | Ospf区域号配置方法及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |