CN116155649A - 基于二层隧道协议的工业互联网络的构建方法 - Google Patents
基于二层隧道协议的工业互联网络的构建方法 Download PDFInfo
- Publication number
- CN116155649A CN116155649A CN202111411706.3A CN202111411706A CN116155649A CN 116155649 A CN116155649 A CN 116155649A CN 202111411706 A CN202111411706 A CN 202111411706A CN 116155649 A CN116155649 A CN 116155649A
- Authority
- CN
- China
- Prior art keywords
- gateway
- interface
- protocol
- remote server
- physical lan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/26—Special purpose or proprietary protocols or architectures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于二层隧道协议的工业互联网络的构建方法,所述方法包括:在远程服务器、第一网关和第二网关中部署WireGuard协议;并根据WireGuard协议在远程服务器、第一网关和第二网关中均生成wg0接口;在第一网关中利用Briding桥接协议构建第一网关中的wg0接口与第一网关的第一物理LAN接口的桥接,同时在第二网关中利用Briding桥接协议构建第二网关中的wg0接口与第二网关的第二物理LAN接口的桥接;令PLC控制器连接于第一网关的第一物理LAN接口,客户端连接于第二网关的第二物理LAN接口;同时将PLC控制器和客户端设置为具有同一网段的局域网IP地址。
Description
技术领域
本发明涉及VPN网络技术领域,尤其涉及一种基于二层隧道协议的工业互联网络的构建方法。
背景技术
面对网络中的各种威胁以及恶意的攻击,数据使用明文在公共网络上进行传输就非常容易遭到攻击者的窃听甚至是恶意的篡改。为了保障通信数据能够在公共网络上安全的传递性,产生了虚拟专用网(Virtual Private Network,VPN)技术。VPN技术通过使用加密、认证等安全相关技术,能够为用户在逻辑上提供像专用网络一样的通信安全保障。其中远程访问VPN用于对远端用户(例如出差在外的员工)通过公网连接到企业网络提供安全保护,应用最为广泛的远程访问 VPN技术即为L2TP(Layer 2 Tunneling Protocol,二层隧道协议)VPN技术。二层隧道协议(Layer 2 Tunneling Protocol,L2TP)由IETF起草,结合了CISCO公司的二层转发(Layer 2 Forwarding,L2F)协议和 Microsoft 公司的点到点隧道协议(Point-to-Point Tunneling Protocol,PPTP)的优点,为所传输的数据提供二层的隧道封装。二层隧道协议通过为远程用户分配企业内部网络的IP地址从而实现远程人员提供经由公共网络安全的访问专有局域网内部网络的虚拟专用网。
OpenVPN技术是现有技术中一种常用的构建二层隧道网络的技术,其自诞生来便具备了许多的安全特性,它可直接运行在用户空间中,并且不需要对它的内核部分和网络协议找部分做任何的修改。OpenVPN技术使用mlockall技术来防止敏感数据信息被交换到机器的磁盘中,从而降低敏感信息的安全风险。除此之外,OpenVPN技术可运用PKC#11来实现对智能卡等硬件加密标识的支持,在信息加密部分大量运用了OpenSSL加密库及SSLv3等安全协议,允许用户创建VPN单点预设密钥,申请第三方化密证书及使用用户名和密码来进行信息加密身份验证。OpenVPN技术是一个开源的虚拟专用网信息传输系统的搭建软件,能直接运行在Linux、Mac和Windows等系统平台之上。在OpenVPN安全通信系统中,如果某用户访问一个通过虚拟网卡配置的虚拟网络地址,操作系统通过路由机制将采用TUN或者TAP模式的数据侦发送到虚拟网卡上,服务程序一旦接收到虚拟网卡上的数据立即进行相应的处理,接着通过SOCKET端口将OpenVPN私网中加密数据发送到外部网络上去,然后远程访问程序将通过OpenVPN客户端从SOCKET端口上接收外部网的数据,进行相应的处理后,发送给本地虚拟网卡,则本地的应用软件便可接收到该数据。由此,OpenVPN安全通信系统完成了一个单向的信息传输过程。但是上述OpenVPN网络中,特别在转发报文的过程中,涉及到报文在用户空间和内核空间的多次拷贝,其转发效率相对较低。另外,OpenVPN支持非常多的配置选项,在配置隧道的过程中,需要配置多个参数,导致配置的复杂度较高,使用OpenVPN技术时因为配置错误而导致功能异常的可能性更大,且由于OpenVPN的复杂性,当发生问题时,故障定位问题也是一种挑战。
由此可见现有技术中心需要一种能够实现报文高效转发且易于配置的二层隧道网络构建方法。
发明内容
本发明所要解决的技术问题之一是提供一种基于二层隧道协议的工业互联网络的构建方法,所述工业互联网络包括远程服务器、第一网关、第二网关、PCL控制和客户端,所述方法包括:
在远程服务器、第一网关和第二网关中部署WireGuard协议;并根据WireGuard协议在远程服务器、第一网关和第二网关中均生成wg0接口;
在第一网关中利用Briding桥接协议构建第一网关中的wg0接口与第一网关的第一物理LAN接口的桥接,同时在第二网关中利用Briding桥接协议构建第二网关中的wg0接口与第二网关的第二物理LAN接口的桥接;
令PLC控制器连接于第一网关的第一物理LAN接口,客户端连接于第二网关的第二物理LAN接口;同时将PLC控制器和客户端设置为具有同一网段的局域网IP地址。
在一个实施例中,在远程服务器、第一网关和第二网关中部署WireGuard协议后,还包括在远程服务器、第一网关和第二网关中生成公钥和私钥,且第一网关和第二网关与远程服务器将公钥进行互相交换。
在一个实施例中,客户端产生的数据帧发送至第二网关的第二物理LAN接口时,直接传输至第二网关的虚拟网络wg0接口,并从第二网关的虚拟网络wg0接口转发出去,通过Wireguard隧道转发给第一网关的虚拟网络wg0接口;第一网关的虚拟网络wg0接口收到该数据帧后,直接通过第一网关的第一物理LAN接口转发给PLC控制器。
WireGuard技术是一种新的VPN协议。其代码库只有大概4000行代码,只有OpenVPN的5%都不到。鉴于WireGuard技术的精简性,开发者更容易修复其产生的错误,从而减少断线的频率,并且能以更快的速度修复问题,提升VPN网络的稳定性。WireGuard协议能支持大部分最新的密码技术,包括Noise协议框架、Curve25519、Chacha20、Poly1305、BLAKE2、SipHash24和HKD。另一方面,它的密码性也被从学术角度证明是安全的。在Linux环境下,WireGuard被设计为从物联网设备到超级电脑的通用VPN技术。它同样能够跨平台支持BSDUnixes、MacOS、Windows、安卓和iOS系统。
与现有技术相比,本发明的一个或多个实施例可以具有如下优点:
1.本发明中利用WireGuard协议生成工业互联网络,从而提高了PLC控制器与控制客户端之间的报文转发效率。
2.本发明中利用WireGuard协议生成工业互联网络,大大简化了网络构建的配置工作,并提高了网络在出现故障后的检修效率。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例共同用于解释本发明,并不构成对本发明的限制。在附图中:
图1是根据本发明工业互联网络结构示意图;
图2是根据本发明构建基于二层隧道协议的工业互联网络流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,以下结合附图1-2对本发明作进一步地详细说明。
如图1所示,本发明的基于二层隧道协议的工业互联网络包括远程服务器、第一网关、第二网关以及连接于第一网关的PCL控制和连接第二网关的客户端。
如图2所示,本实施例的构建基于二层隧道协议的工业互联网络的方法包括,首先在远程服务器、第一网关和第二网关中部署WireGuard协议,并进行配置。所述配置过程包括:
1.生成密钥对
首先根据WireGuard协议,在远程服务器、第一网关和第二网关中生成公钥和私钥,且第一网关和第二网关与远程服务器将公钥进行互相交换,便于下步生成配置文件。生成密钥对使用命令“wg genkey > private.key”,查看公钥使用命令“wg pubkey <private.key”。以Linux系统为例,需要打开 Linux 系统的IPV4 路由转发功能。
2.配置远程服务器中的WireGuard,并生成远程服务器的wg0接口
首先在/etc/WireGuard/下创建 wg0.conf 文件,内容如下:
[Interface]
PrivateKey = ###远程服务器的私钥###
Address = 10.6.0.1/24
ListenPort = 50888
[Peer]
PublicKey = ###第一网关的公钥###
AllowedIPs = 10.6.0.2/32,10.33.0.0/24
[Peer]
PublicKey = ###第二网关的公钥###
AllowedIPs = 10.6.0.2/32,10.33.0.0/24
其中每一个[Peer]都代表一个客户端的信息,可配置多个客户端信息。服务端配置完成后使用“wg-quick up wg0”命令激活虚拟专用网络服务端,并设置为开机自启动服务即可。
3.配置第一网关和第二网关中的WireGuard,并生成第一网关和第二网关中的wg0接口
以配置第一网关WireGuard为例,首先在/etc/WireGuard/下创建 wg0.conf 文件,内容如下:
[Interface]
PrivateKey = ###第一网关的私钥###
Address = 10.6.0.2/24
DNS = 223.5.5.5, 223.6.6.6
[Peer]
PublicKey = ###远程服务器的公钥###
AllowedIPs = 0.0.0.0/0, ::/0
Endpoint = wg.xxxx.com:50888 ###远程服务器公网地址###
对第二网关的WireGuard进行类似配置,第一网关与第二网关配置完成后使用“wg-quick up wg0”命令激活虚拟专用网络。
在完成了远程服务器、第一网关和第二网关中的WireGuard配置后,在第一网关中利用Briding桥接协议构建第一网关中wg0接口与第一网关的第一物理LAN接口的桥接,同时在第二网关中利用Briding桥接协议构建第二网关中wg0接口与第二网关的第二物理LAN接口的桥接。
令PLC控制器连接于第一网关的第一物理LAN接口,客户端连接于第二网关的第二物理LAN接口;同时将PLC控制器和客户端设置为具有同一网段的局域网IP地址。至此完成基于二层隧道协议的工业互联网络的架设。
在该基于二层隧道协议的工业互联网络中,当客户端产生的数据帧发送至第二网关的第二物理LAN接口时,由于第二网关的第二物理LAN接口已经和第二网关的虚拟网络接口wg0桥接起来了,该数据帧会从第二网关的虚拟网络接口wg0转发出去,通过Wireguard隧道转发给第一网关的虚拟网络wg0接口。第一网关的虚拟网络wg0接口收到该数据帧后,直接通过第一网关的第一物理LAN接口转发给PLC控制器。PLC控制器最终收到该报文,其数据传输效果与PLC控制器和客户端在同一个局域网相同。
以上所述,仅为本发明的具体实施案例,本发明的保护范围并不局限于此,任何熟悉本技术的技术人员在本发明所述的技术规范内,对本发明的修改或替换,都应在本发明的保护范围之内。
Claims (3)
1.一种基于二层隧道协议的工业互联网络的构建方法,所述工业互联网络包括远程服务器、第一网关、第二网关、PCL控制和客户端,其特征在于,所述方法包括:
在远程服务器、第一网关和第二网关中部署WireGuard协议;并根据WireGuard协议在远程服务器、第一网关和第二网关中均生成wg0接口;
在第一网关中利用Briding桥接协议构建第一网关中的wg0接口与第一网关的第一物理LAN接口的桥接,同时在第二网关中利用Briding桥接协议构建第二网关中的wg0接口与第二网关的第二物理LAN接口的桥接;
令PLC控制器连接于第一网关的第一物理LAN接口,客户端连接于第二网关的第二物理LAN接口;同时将PLC控制器和客户端设置为具有同一网段的局域网IP地址。
2.根据权利要求1所述的工业互联网络的构建方法,其特征在于,在远程服务器、第一网关和第二网关中部署WireGuard协议后,还包括在远程服务器、第一网关和第二网关中生成公钥和私钥,且第一网关和第二网关与远程服务器将公钥进行互相交换。
3.根据权利要求2所述的工业互联网络的构建方法,其特征在于,在一个实施例中,客户端产生的数据帧发送至第二网关的第二物理LAN接口时,直接传输至第二网关的虚拟网络wg0接口,并从第二网关的虚拟网络wg0接口转发出去,通过Wireguard隧道转发给第一网关的虚拟网络wg0接口;第一网关的虚拟网络wg0接口收到该数据帧后,直接通过第一网关的第一物理LAN接口转发给PLC控制器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111411706.3A CN116155649A (zh) | 2021-11-23 | 2021-11-23 | 基于二层隧道协议的工业互联网络的构建方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111411706.3A CN116155649A (zh) | 2021-11-23 | 2021-11-23 | 基于二层隧道协议的工业互联网络的构建方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116155649A true CN116155649A (zh) | 2023-05-23 |
Family
ID=86372462
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111411706.3A Pending CN116155649A (zh) | 2021-11-23 | 2021-11-23 | 基于二层隧道协议的工业互联网络的构建方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116155649A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116436731A (zh) * | 2023-06-15 | 2023-07-14 | 众信方智(苏州)智能技术有限公司 | 一种多内网二层数据流通信方法 |
CN117614774A (zh) * | 2023-12-22 | 2024-02-27 | 长扬科技(北京)股份有限公司 | 一种用于保护移动端vpn的通信方法和系统 |
-
2021
- 2021-11-23 CN CN202111411706.3A patent/CN116155649A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116436731A (zh) * | 2023-06-15 | 2023-07-14 | 众信方智(苏州)智能技术有限公司 | 一种多内网二层数据流通信方法 |
CN116436731B (zh) * | 2023-06-15 | 2023-09-05 | 众信方智(苏州)智能技术有限公司 | 一种多内网二层数据流通信方法 |
CN117614774A (zh) * | 2023-12-22 | 2024-02-27 | 长扬科技(北京)股份有限公司 | 一种用于保护移动端vpn的通信方法和系统 |
CN117614774B (zh) * | 2023-12-22 | 2024-05-24 | 长扬科技(北京)股份有限公司 | 一种用于保护移动端vpn的通信方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8886934B2 (en) | Authorizing physical access-links for secure network connections | |
EP3432523B1 (en) | Method and system for connecting a terminal to a virtual private network | |
US7444415B1 (en) | Method and apparatus providing virtual private network access | |
JP3492865B2 (ja) | 移動計算機装置及びパケット暗号化認証方法 | |
US7395341B2 (en) | System, method, apparatus and computer program product for facilitating digital communications | |
JP4777729B2 (ja) | 設定情報配布装置、方法、プログラム及び媒体 | |
US9015855B2 (en) | Secure tunneling platform system and method | |
CN106209838B (zh) | Ssl vpn的ip接入方法及装置 | |
US20090125997A1 (en) | Network node with one-time-password generator functionality | |
US20080222696A1 (en) | System, Method, Apparatus, and Computer Program Product for Facilitating Digital Communications | |
JP2009508403A (ja) | 準拠性に基づくダイナミックネットワーク接続 | |
US10587582B2 (en) | Certificate pinning by a tunnel endpoint | |
CN1949705B (zh) | 一种用于安全访问专用局域网的动态隧道构建方法及用于该方法的装置 | |
CN116155649A (zh) | 基于二层隧道协议的工业互联网络的构建方法 | |
JP2006086907A (ja) | 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム | |
US20040168049A1 (en) | Method for encrypting data of an access virtual private network (VPN) | |
JP2008263445A (ja) | 接続設定システム、認証装置、無線端末、及び接続設定方法 | |
JP4775154B2 (ja) | 通信システム、端末装置、プログラム、及び、通信方法 | |
US11677743B2 (en) | Ethernet key | |
CN112887261B (zh) | 通信设备与远程终端之间的数据流的防护方法、实施该方法的设备 | |
US20220361261A1 (en) | Method for connecting a communication node and communication node | |
JP4420057B2 (ja) | 通信方法、情報処理システム及び情報処理装置 | |
Lee et al. | Man-in-the-middle Attacks Detection Scheme on Smartphone using 3G network | |
JP6762735B2 (ja) | 端末間通信システム及び端末間通信方法及びコンピュータプログラム | |
TWI706281B (zh) | 裝置驗證方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |