CN117336020A - 一种基于软件定义网络的虚拟专用网络vpn的创建方法 - Google Patents
一种基于软件定义网络的虚拟专用网络vpn的创建方法 Download PDFInfo
- Publication number
- CN117336020A CN117336020A CN202311179304.4A CN202311179304A CN117336020A CN 117336020 A CN117336020 A CN 117336020A CN 202311179304 A CN202311179304 A CN 202311179304A CN 117336020 A CN117336020 A CN 117336020A
- Authority
- CN
- China
- Prior art keywords
- network
- vpn
- sdn controller
- plane
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 21
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000004891 communication Methods 0.000 claims description 5
- 238000012545 processing Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 3
- 230000011664 signaling Effects 0.000 claims description 2
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/76—Routing in software-defined topologies, e.g. routing between virtual machines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于软件定义网络的虚拟专用网络VPN的创建方法,提供了一种建立VPN的方法,涉及网络安全领域,用于建立虚拟专用网络VPN。该方法包括:软件定义网络SDN控制器获取公用服务网络中平面网络的链路信息;SDN控制器根据平面网络的链路信息以及VPN的业务需求确定建立VPN的目标平面网络以及在目标平面网络中的目标路径;SDN控制器在目标路径上建立VPN;通过软件定义网络SDN的技术手段,创建全新的VPN架构。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于软件定义网络的虚拟专用网络VPN的创建方法。
背景技术
软件定义网络(SDN):一种新型网络安全传输架构,是网络虚拟化的一种实现方式。通过软件编程的形式定义和控制网络,其控制平面和转发平面分离及开放性可编程的特点,为新型互联网体系结构研究提供了新的实验途径,其核心技术OpenF low通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供了良好的平台。
虚拟专用网络(VPN):利用I nternet等公共网络的基础设施,通过隧道技术,为用户提供的与专用网络具有相同通信功能的安全数据通道。用户无需建立各自专用的物理线路,而利用I nternet等公共网络资源和设备建立一条逻辑上的专用数据通道,并实现与专用数据通道相同的通信功能。虚拟出来的网络并非任何连接在公共网络上的用户都能使用,只有经过授权的用户才可使用。该通道内传输数据经过加密和认证,可保证传输内容的完整性和机密性。
发明内容
为此,本发明提供一种基于软件定义网络的虚拟专用网络VPN的创建方法,为创建全新的虚拟专用网络架构,本发明提供一种基于软件定义网络的虚拟专用网络创建方法,包括,
所述VPN包括公用服务网络和用户业务网络,所述公用服务网络包括至少一个平面网络,每个所述平面网络中包括多个节点和链路,所述公用服务网络中还包括软件定义网络SDN控制器;
步骤s1,所述SDN控制器获取公用服务网络中平面网络的链路信息以及VPN的业务需求,所述链路信息包括链路两端的节点的标识、链路的时延和负载,所述业务需求包括:源节点、目的节点以及所述VPN所需的优先级;
步骤s2,所述SDN控制器根据平面网络的链路信息以及VPN的业务需求确定建立所述VPN的目标平面网络;
步骤s3,所述SDN控制器从所述目标平面网络中确定目标路径,所述目标路径为在所述源节点和目的节点之间,且优先级与所述VPN所需的优先级相匹配的路径;
步骤s4,所述SDN控制器在所述目标路径上建立所述VPN;
步骤s5,所述SDN控制器将所述VPN的配置消息发送至所述目标路径的各个节点并在所述目标路径上建立所述VPN。
进一步地,所述平面网络需求包括:单平面连接需求、双平面连接需求以及单平面连接跨平面保护需求;
当所述VPN的平面网络需求为单平面连接需求时,所述目标平面网络中包括一个平面网络;
当所述VPN的平面网络需求为双平面连接需求时,所述目标平面网络中包括两个平面网络;
当所述VPN的平面网络需求为双平面连接跨平面保护需求时,所述目标平面网络中包括两个平面网络,其中一个平面网络中用于建立VPN并进行数据传输;另一个平面网络中用于建立数据接收中心,并在满足预设条件时进行数据传输。
进一步地,所述SDN控制器在所述目标平面网络中确定所述VPN的源节点和目的节点之间的至少一个路径;所述SDN控制器根据所述至少一条路径的链路信息分别确定每个所述路径的优先级;所述SDN控制器将所述至少一条所述路径中与所述VPN所需的优先级相匹配的路径确定为所述目标路径。
进一步地,所述SDN控制器包括:
获取模块,用于获取公用服务网络中平面网络的链路信息以及VPN的业务需求;其中,所述链路信息包括链路两端的节点的标识、链路的时延和负载;
处理模块,用于根据平面网络的链路信息以及VPN的业务需求确定建立所述VPN的目标平面网络以及在所述目标平面网络中的目标路径;
所述处理模块,还用于在所述目标路径上建立所述VPN。
进一步地,所述建立VPN的装置包括:处理器、通信接口和存储器;其中,存储器用于存储一个或多个程序,该一个或多个程序包括计算机执行指令,当该建立VPN的装置运行时,处理器执行该存储器存储的该计算机执行指令。
进一步地,所述SDN控制器中设有一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当所述指令在计算机上运行时,所述计算机执行建立VPN的指令;所述计算机通过所述SDN控制器提供的接口,向所述SDN控制器发送创建虚拟网络的业务请求;所述业务请求包括业务类型和业务参数,所述SDN控制器根据业务类型和业务参数对数据包进行筛查,添加或匹配相应的VPN标识。
进一步地,所述SDN控制器判断所述计算机的目的地址是本局域网终端还是外地局域网终端,发现目的地址为外地局域网,则所述SDN控制器向OpenF low交换机下发的流表为两地局域网络互通的流表,此后到达的该数据流的业务请求数据信息经由所述流表处理后,从所述OpenF low交换机发出,并含有正确的VLAN标签,并经过网络路由至外地局域网络。
进一步地,外地终端所述OpenF low交换机收到含有VPN标识的数据包,通过Packet I n信令将数据包交给其SDN控制器,所述SDN控制器使用用户配置好的应用程序来对数据包进行处理,该数据包的目的地址为该局域网络的内部网络地址,所述SDN控制器向所述OpenF low交换机发送控制指令来建立对应的流表项。
进一步地,所述SDN控制器判断计算机的目的地址是本地局域网终端,则所述SDN控制器向所述交换机下发的流表为本地局域网络内终端互通的流表,则按照该局域网的所述OpenF low交换机的流水线处理流程进行处理,到达的该数据流的数据包会由该流表项进行处理,直接转发至相应的本地终端;当所述外地局域网络的OpenF low交换机收到远端局域网的数据包之后与流表匹配失败时,所述外地局域网络的OpenF low交换机向所述SDN控制器发送消息,所述SDN控制器根据业务类型和业务参数对数据包进行筛查,向所述OpenF low交换机发送命令来建立对应的流表项,此后到达的该数据流的数据包经由该流表处理后弹出相应的VLAN标签,并被转发至局域网内合适的目的主机。
进一步地,所述VPN建立的网络拓扑包括,用户业务网络、公用服务网络、目标平面网络、本地局域网络、外地局域网络和远端局域网络;所述用户业务网络通过所述本地局域网络连接至所述公用服务网络,公用服务网络建立所述目标平面网络,所述目标平面网络设有多个链路,并通过各链路连接至外地局域网络或远端局域网络以搭建完整的VPN。
与现有技术相比,本发明的有益效果在于,提供一种通过SDN控制器建立全新的VPN框架及业务的方法,利用SDN控制器自动在包括多个网络平面公用服务网络选出中最佳路径建立VPN,能够从公用服务网络中确定与用户需求最匹配的路径,提高了建立VPN的效率,节约了成本。
进一步地,本发明通过利用SDN控制器,能够满足不同层次的平面网络需求,实现了平面网络的多级化与多样化。
进一步地,本发明通过利用SDN控制器,能够获取公用服务网络中平面网络的链路信息以及VPN的业务需求并确定建立所述VPN的目标平面网络以及在所述目标平面网络中的目标路径。
进一步地,本发明通过在SDN控制器中设置一种计算机可读存储介质,能够轻松对计算机传输的指令进行读取和解析,进一步地提高了建立VPN的效率;通过SDN控制器与OpenF low交换机的交互,实现了本地计算机与海外终端VPN的建立。
附图说明
图1为本发明所述通过SDN控制器建立VPN的流程图;
具体实施方式
为了使本发明的目的和优点更加清楚明白,下面结合实施例对本发明作进一步描述;应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅仅用于解释本发明的技术原理,并非在限制本发明的保护范围。
需要说明的是,在本发明的描述中,术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方向或位置关系的术语是基于附图所示的方向或位置关系,这仅仅是为了便于描述,而不是指示或暗示所述装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,还需要说明的是,在本发明的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可根据具体情况理解上述术语在本发明中的具体含义。
请参阅图1所示,
所述VPN包括公用服务网络和用户业务网络,所述公用服务网络包括至少一个平面网络,每个所述平面网络中包括多个节点和链路,所述公用服务网络中还包括软件定义网络SDN控制器;
步骤s1,所述SDN控制器获取公用服务网络中平面网络的链路信息以及VPN的业务需求,所述链路信息包括链路两端的节点的标识、链路的时延和负载,所述业务需求包括:源节点、目的节点以及所述VPN所需的优先级;
步骤s2,所述SDN控制器根据平面网络的链路信息以及VPN的业务需求确定建立所述VPN的目标平面网络;
步骤s3,所述SDN控制器从所述目标平面网络中确定目标路径,所述目标路径为在所述源节点和目的节点之间,且优先级与所述VPN所需的优先级相匹配的路径;
步骤s4,所述SDN控制器在所述目标路径上建立所述VPN;
步骤s5,所述SDN控制器将所述VPN的配置消息发送至所述目标路径的各个节点并在所述目标路径上建立所述VPN。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述仅为本发明的优选实施例,并不用于限制本发明;对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,
所述VPN包括公用服务网络和用户业务网络,所述公用服务网络包括至少一个平面网络,每个所述平面网络中包括多个节点和链路,所述公用服务网络中还包括软件定义网络SDN控制器;
步骤s1,所述SDN控制器获取公用服务网络中平面网络的链路信息以及VPN的业务需求,所述链路信息包括链路两端的节点的标识、链路的时延和负载,所述业务需求包括:源节点、目的节点以及所述VPN所需的优先级;
步骤s2,所述SDN控制器根据平面网络的链路信息以及VPN的业务需求确定建立所述VPN的目标平面网络;
步骤s3,所述SDN控制器从所述目标平面网络中确定目标路径,所述目标路径为在所述源节点和目的节点之间,且优先级与所述VPN所需的优先级相匹配的路径;
步骤s4,所述SDN控制器在所述目标路径上建立所述VPN;
步骤s5,所述SDN控制器将所述VPN的配置消息发送至所述目标路径的各个节点并在所述目标路径上建立所述VPN。
2.根据权利要求1所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述平面网络需求包括:单平面连接需求、双平面连接需求以及单平面连接跨平面保护需求;
当所述VPN的平面网络需求为单平面连接需求时,所述目标平面网络中包括一个平面网络;
当所述VPN的平面网络需求为双平面连接需求时,所述目标平面网络中包括两个平面网络;
当所述VPN的平面网络需求为双平面连接跨平面保护需求时,所述目标平面网络中包括两个平面网络,其中一个平面网络中用于建立VPN并进行数据传输;另一个平面网络中用于建立数据接收中心,并在满足预设条件时进行数据传输。
3.根据权利要求2所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述SDN控制器在所述目标平面网络中确定所述VPN的源节点和目的节点之间的至少一个路径;所述SDN控制器根据所述至少一条路径的链路信息分别确定每个所述路径的优先级;所述SDN控制器将所述至少一条所述路径中与所述VPN所需的优先级相匹配的路径确定为所述目标路径。
4.根据权利要求1所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述SDN控制器包括:
获取模块,用于获取公用服务网络中平面网络的链路信息以及VPN的业务需求;其中,所述链路信息包括链路两端的节点的标识、链路的时延和负载;
处理模块,用于根据平面网络的链路信息以及VPN的业务需求确定建立所述VPN的目标平面网络以及在所述目标平面网络中的目标路径;
所述处理模块,还用于在所述目标路径上建立所述VPN。
5.根据权利要求4所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述建立VPN的装置包括:处理器、通信接口和存储器;其中,存储器用于存储一个或多个程序,该一个或多个程序包括计算机执行指令,当该建立VPN的装置运行时,处理器执行该存储器存储的该计算机的执行指令。
6.根据权利要求5所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述SDN控制器中设有一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当所述指令在计算机上运行时,所述计算机执行建立VPN的指令;所述计算机通过所述SDN控制器提供的接口,向所述SDN控制器发送创建虚拟网络的业务请求;所述业务请求包括业务类型和业务参数,所述SDN控制器根据业务类型和业务参数对数据包进行筛查,添加或匹配相应的VPN标识。
7.根据权利要求6所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述建立VPN的装置还包括OpenFlow交换机,所述SDN控制器判断所述计算机的目的地址是本局域网终端还是外地局域网终端,发现目的地址为外地局域网,则所述SDN控制器向OpenFlow交换机下发的流表为两地局域网络互通的流表,此后到达的该数据流的业务请求数据信息经由所述流表处理后,从所述OpenFlow交换机发出,并含有正确的VLAN标签,并经过网络路由至外地局域网络。
8.根据权利要求7所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,外地终端所述OpenFlow交换机收到含有VPN标识的数据包,通过PacketIn信令将数据包交给其SDN控制器,所述SDN控制器使用用户配置好的应用程序来对数据包进行处理,该数据包的目的地址为该局域网络的内部网络地址,所述SDN控制器向所述OpenFlow交换机发送控制指令来建立对应的流表项。
9.根据权利要求8所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述SDN控制器判断计算机的目的地址是本地局域网终端,则所述SDN控制器向所述交换机下发的流表为本地局域网络内终端互通的流表,则按照该局域网的所述OpenFlow交换机的流水线处理流程进行处理,到达的该数据流的数据包会由该流表项进行处理,直接转发至相应的本地终端;当所述外地局域网络的OpenFlow交换机收到远端局域网的数据包之后与流表匹配失败时,所述外地局域网络的OpenFlow交换机向所述SDN控制器发送消息,所述SDN控制器根据业务类型和业务参数对数据包进行筛查,向所述OpenFlow交换机发送命令来建立对应的流表项,此后到达的该数据流的数据包经由该流表处理后弹出相应的VLAN标签,并被转发至局域网内合适的目的主机。
10.根据权利要求9所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述VPN建立的网络拓扑包括,用户业务网络、公用服务网络、目标平面网络、本地局域网络、外地局域网络和远端局域网络;所述用户业务网络通过所述本地局域网络连接至所述公用服务网络,公用服务网络建立所述目标平面网络,所述目标平面网络设有多个链路,并通过各链路连接至外地局域网络或远端局域网络以搭建完整的VPN。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311179304.4A CN117336020A (zh) | 2023-09-13 | 2023-09-13 | 一种基于软件定义网络的虚拟专用网络vpn的创建方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311179304.4A CN117336020A (zh) | 2023-09-13 | 2023-09-13 | 一种基于软件定义网络的虚拟专用网络vpn的创建方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117336020A true CN117336020A (zh) | 2024-01-02 |
Family
ID=89292321
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311179304.4A Pending CN117336020A (zh) | 2023-09-13 | 2023-09-13 | 一种基于软件定义网络的虚拟专用网络vpn的创建方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117336020A (zh) |
-
2023
- 2023-09-13 CN CN202311179304.4A patent/CN117336020A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111886833B (zh) | 重定向控制信道消息的方法和用于实现该方法的设备 | |
| US5940390A (en) | Mechanism for conveying data prioritization information among heterogeneous nodes of a computer network | |
| US7596101B2 (en) | Device, network, and system for forwarding frames between geographically dispersed user networks | |
| JP4938687B2 (ja) | ネットワークシステムおよび中継装置 | |
| Ochoa Aday et al. | Current trends of topology discovery in OpenFlow-based software defined networks | |
| CN104735001B (zh) | 软件定义网络中的链路发现方法、装置及系统 | |
| CN105376154A (zh) | 渐进式mac地址学习 | |
| CN108259635B (zh) | 一种arp表项学习方法和dr设备 | |
| JP2006295938A (ja) | ネットワーク型ルーティング機構 | |
| US10177973B2 (en) | Communication apparatus, communication method, and communication system | |
| CN113037883B (zh) | 一种mac地址表项的更新方法及装置 | |
| CN105637806A (zh) | 网络拓扑确定方法和装置、集中式网络状态信息存储设备 | |
| US7830869B2 (en) | Establishing connection across a connection-oriented first telecommunications network in response to a connection request from a second telecommunications network | |
| US6791979B1 (en) | Mechanism for conveying data prioritization information among heterogeneous nodes of a computer network | |
| CN116488958A (zh) | 网关处理方法、虚拟接入网关、虚拟业务网关及相关设备 | |
| CN117336020A (zh) | 一种基于软件定义网络的虚拟专用网络vpn的创建方法 | |
| WO2006098028A1 (ja) | ネットワークシステム及びネットワーク接続機器 | |
| CN112671811B (zh) | 一种网络接入方法和设备 | |
| JP2006502637A (ja) | 配電網の中の通信システム上に仮想ローカルエリアネットワークを実現するための方法 | |
| CN115002029A (zh) | 一种流量转发方法、装置、设备及存储介质 | |
| Cisco | Introduction to Cisco Router Configuration Cisco Internetwork Operating System Release 10.3 | |
| CN111447131B (zh) | 报文解封装方法及装置、报文封装方法及装置 | |
| CN112995035A (zh) | 业务链转发控制方法及装置、业务组网 | |
| CN108259292B (zh) | 建立隧道的方法及装置 | |
| CN112039854A (zh) | 一种数据传输方法、装置和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |