在广域网中建立安全、低延迟、优化路径的方法和装置制造方法及图纸

提供了一种在通信网络中的广域网(WAN)上传输数据包的方法和装置，其中WAN包括多个互连节点，其至少包括第一通信节点、第二通信节点和WAN控制器节点。该方法包括：在构成WAN的部分或全部通信节点之间的通信链路上建立虚拟专用网(VPN)隧道连接；使用非面向流的传输层协议为每个VPN隧道建立非面向流的关联；在所述第一通信节点接收到来自源设备的分组连接时，将来自所述分组连接的数据包封装到第一通信节点和第二通信节点之间的一个或多个非面向流的关联中，从而将所述数据包从源设备传输到第二通信节点。WAN控制器节点向第一通信节点传达向第二通信节点传输数据包的链路或路由的选择。第一通信节点从多个非面向流的关联中选择一个或多个非面向流的关联，以用于数据包封装，所述多个非面向流的关联在WAN控制器节点向所述第一节点通信传达的链路或路由上建立。

【技术实现步骤摘要】
【国外来华专利技术】在广域网中建立安全、低延迟、优化路径的方法和装置
本专利技术涉及一种用于在广域网(WAN)中建立安全、低延迟、优化路径的方法和装置，特别涉及但不限于例如通过减少WAN中高延迟通信链路上的传输控制协议(TCP)连接建立时间来减少WAN中的连接建立时间。
技术介绍
在通信网络中，延迟(latency)是对时延(delay)的度量。延迟可以包括跨通信网络或在所述网络中特定节点之间建立连接的延迟的度量。延迟还可以包括将数据传输到网络中其目的地的延迟的度量。延迟通常以往返延迟来度量，尽管不一定总是这样。延迟也可以视为衡量网络响应能力的标准，它反映了网络有效建立连接和/或有效传输数据的能力。在全球组织或跨国公司的典型WAN部署中，组织站点通常位于全球各地，而且它们之间可能有很长的地理距离。在这种情况下，组织站点可能需要长距离的通信链路，这可能会表现出高延迟。通常，组织站点之间有多个通信链路相互连接。例如，这种通信链路可以包括但不限于租用线路、多协议标签交换(MPLS)网络链路、专用网络链路、公共网络链路、卫星系统链路和互联网链路。长距离链路或连接可能会遇到大量的握手信号延迟。例如，在TCP的情况下，长距离链路或连接可能会导致用于TCP连接建立的高延迟三向握手(three-wayhandshake)，并因此导致在通过此连接发送或传递第一个数据之前存在高延迟。此外，由于缺乏对不同类型网络流量的链路选择的动态管理，链路带宽利用率通常较低。因此，由于高延迟和低链路带宽利用率，可能会大大降低WAN网络中站点之间的数据包吞吐量。r>US9722815公开了一种边缘网关多路径方法，包括提供局域网中的边缘设备与云计算网络中的云计算服务通信连接。自动检测到连接到边缘设备的一组WAN链路。不需要外部路由器即可自动检测WAN链路。边缘设备与云计算网络中的中央配置点通信连接。该方法还包括以下步骤：从中央配置点将企业特定的配置数据下载到边缘设备中。企业特定的配置数据包括网关信息。边缘设备与云计算网络中的网关通信连接。边缘设备与网关的通信练级包括多路径(MP)协议。实际上，云服务器中的集中式配置点会根据每个路径上的可用带宽来选择路径。EP1333642公开了一种用于支持通信网络安全的方法。网络设备包括安全对等方，该安全对等方在数据网络(如卫星网络)上建立安全隧道以传输加密业务。该设备还包括一个性能对等方，用于建立安全隧道支持的连接。US10122829公开了一种用于提高网络通信性能的网络系统。该系统包括至少在第一客户站点实施的至少一个客户站点网络组件。客户站点网络组件绑定或聚合一个或多个不同的网络连接，以便配置具有增加吞吐量的绑定连接。该系统包括至少一个网络服务器组件，网络服务器组件被配置成使用绑定连接来连接到客户站点网络组件。网络服务器组件自动终止绑定连接并将数据业务传递到至少一个网络。该系统包括在至少一个网络服务器组件处的虚拟控制平面接口和被配置成管理数据业务的云网络控制器。云网络控制器可用于配置虚拟控制平面接口，以便为来自或去往多个客户站点网络组件的数据业务提供优先级队列。US7680051公开了一种系统，用于预配置流控制传输协议(SCTP)关联，接收网络设备中的TCP数据包，其中TCP数据包用于目标节点，并将TCP数据包封装到SCTP有效载荷中，以便在WAN上传输SCTP有效载荷。但是，当延迟最小化时，最好避免由于不当注入过多流量超出WAN链路容量或超过服务质量(QoS)策略而造成数据丢失。US9450817公开了一种可扩展软件定义网络(SDN)控制器，该控制器提供了一个应用程序感知框架，使各种不同的用户应用程序能够与控制器进行通信，并允许控制器根据应用程序的需求自动配置网络中的设备。因此，SDN控制器可以根据应用程序的需求自动配置网络中的设备。US10021594公开了一种卫星通信系统，其被配置成根据协议在第一卫星调制解调器和第二卫星调制解调器之间建立多个不同的隧道。第一卫星调制解调器可以经由根据不同协议建立的隧道来接收数据包。然后，它可以基于包含在数据包中的一个或多个报头(header)的信息来确定对应于隧道的端点标识符，识别对应于隧道的多个不同隧道中的一个，生成一个相应的数据包，该数据包省略了来自一个或多个报头的至少一部分信息，并包括所述数据包有效载荷中包含的至少一部分数据，以及包括与多个不同隧道中的所识别的那一个隧道的隧道索引相对应的信息块，并经由多个不同隧道中的识别的那个隧道将相应的数据包传输到第二卫星调制解调器。但是，TCP建立时间没有减少，发送第一数据有效载荷的延迟也没有减少。因此，仍然需要至少一种能够在WAN中的通信链路上，特别是在WAN中的长距离通信链路上提高连接建立效率的方法和设备。专利技术目的本专利技术的一个目的是在一定程度上减轻或消除与WAN中使用高延迟网络连接的已知方法相关的一个或多个问题。上述目的通过主权利要求的特征组合来实现；从属权利要求公开了本专利技术的其他有利实施例。本专利技术的另一个目的是在一定程度上减轻或消除与在WAN中的通信链路上，特别是在WAN中的长距离通信链路上的连接建立效率相关的一个或多个问题。本专利技术的另一个目的是减少WAN中TCP连接建立的延迟。本专利技术的另一个目的是改善WAN中的路径优化。本专利技术的另一个目的是提高WAN中的数据包传输吞吐量。本专利技术的另一个目的是提高WAN中的网络安全性。本领域技术人员将从以下描述中得出本专利技术的其他目的。因此，上述目的的陈述不是穷举性的，仅用于说明本专利技术的许多目的中的一些。
技术实现思路
本专利技术涉及一种用于在WAN中建立安全、低延迟和/或优化路径的方法和装置。在第一主要方面，本专利技术提供了一种用于在通信网络中的广域网(WAN)上传输数据包的方法和装置，其中该WAN包括多个互连的节点，该互连的节点至少包括第一通信节点、第二通信节点和WAN控制器节点。该方法包括：在部分或全部通信节点之间的通信链路上建立虚拟专用网(VPN)隧道连接，使用非面向流的传输层协议为每个VPN隧道连接建立非面向流的关联，在接收到来自所述第一通信节点的源设备的分组连接时，将来自所述分组连接的数据包封装到第一通信节点与第二通信节点之间的一个或多个非面向流的关联中，从而将所述数据包从源设备传输到第二通信节点。WAN控制器节点向第一通信节点传送链路或路由的选择，以用于将数据包传输到第二通信节点。第一通信节点从多个非面向流的关联中选择一个或多个非面向流的关联，用于数据包封装，所述多个非面向流的关联在所述WAN控制器节点向所述第一节点通信传达的链路或路由上建立。优选地，所述第一通信节点接收到的来自源设备的分组连接包括面向流的分组连接和可选的TCP分组连接。同样优选地，非面向流的传输层协议包括面向消息的传输层协议。优选地，面向消息的传输层协议包括流控制传输协议(SCTP)。可选地，每个SCTP关联是在互联网协议安全(IPSec)VPN隧道中加密的。在第二主要方面，本专利技术提供了一种用于通信网络中的本文档来自技高网...

【技术保护点】
1.一种在通信网络中的广域网(WAN)上传输数据包的方法，所述WAN包括多个互连的通信节点，包括至少第一通信节点、第二通信节点和WAN控制器节点，该方法包括以下步骤：/n在构成所述WAN的部分或全部通信节点之间的通信链路上建立虚拟专用网(VPN)隧道连接；/n使用非面向流的传输层协议，为每个VPN隧道连接建立非面向流的关联；/n在所述第一通信节点处接收来自源设备的分组连接时，将来自所述分组连接的数据包封装到所述第一通信节点与所述第二通信节点之间的一个或多个非面向流的关联中，从而将所述数据包从所述源设备传输到所述第二通信节点；/n其中，所述WAN控制器节点向所述第一通信节点传达选择的链路或路由，用于将数据包传输到所述第二通信节点；/n其中，所述第一通信节点从多个非面向流的关联中选择一个或多个非面向流的关联，用于数据包封装，所述多个非面向流的关联在所述WAN控制器节点向所述第一节点通信传达的链路或路由上建立。/n

【技术特征摘要】
【国外来华专利技术】20200915 US 17/020,9321.一种在通信网络中的广域网(WAN)上传输数据包的方法，所述WAN包括多个互连的通信节点，包括至少第一通信节点、第二通信节点和WAN控制器节点，该方法包括以下步骤：
在构成所述WAN的部分或全部通信节点之间的通信链路上建立虚拟专用网(VPN)隧道连接；
使用非面向流的传输层协议，为每个VPN隧道连接建立非面向流的关联；
在所述第一通信节点处接收来自源设备的分组连接时，将来自所述分组连接的数据包封装到所述第一通信节点与所述第二通信节点之间的一个或多个非面向流的关联中，从而将所述数据包从所述源设备传输到所述第二通信节点；
其中，所述WAN控制器节点向所述第一通信节点传达选择的链路或路由，用于将数据包传输到所述第二通信节点；
其中，所述第一通信节点从多个非面向流的关联中选择一个或多个非面向流的关联，用于数据包封装，所述多个非面向流的关联在所述WAN控制器节点向所述第一节点通信传达的链路或路由上建立。


2.根据权利要求1所述的方法，其中在所述第一通信节点处接收到的来自所述源设备的分组连接包括面向流的分组连接以及可选的传输连接协议(TCP)分组连接。


3.根据权利要求1所述的方法，其中所述非面向流的传输层协议包括面向消息的传输层协议。


4.根据权利要求3所述的方法，其中所述面向消息的传输层协议包括流控制传输协议(SCTP)，并且可选地，其中，每个非面向流的SCTP关联在互联网协议安全(IPSec)VPN隧道中加密。


5.根据权利要求1所述的方法，其中所述WAN控制器节点根据所述WAN的一个或多个拓扑和/或一个或多个运行参数来选择所述链路或路由。


6.根据权利要求5所述的方法，其中所述WAN的一个或多个拓扑和/或一个或多个运行参数包括WAN通信节点配置数据、WAN通信节点状态数据、WAN链路配置数据、WAN链路状态数据、和WAN链路质量数据中的任意一个或任意组合。


7.根据权利要求5所述的方法，其中所述WAN控制器节点从每个WAN通信节点接收拓扑和/或运行参数数据，并且处理所述数据以向每个通信节点提供各自的用于数据包传输的链路或路由的动态选择。


8.根据权利要求7所述的方法，其中当所述WAN控制器节点从所述WAN通信节点检测到所接收的拓扑和/或运行参数数据有变化时，所述WAN控制器节点就会确定新的各自的动态选择的链路或路由，用于所述通信节点的数据包传输。


9.根据权利要求1所述的方法，其中，在所述第一通信节点从所述源设备接收所述分组连接之前，所述WAN控制器节点选择所述第一通信节点通信的链路或路由。


10.根据权利要求2所述的方法，其中，当所述第一通信节点从所述源设备接收所述面向流的分组连接时，所述第一通信节点使用所述一个或多个选定的非面向流的关联中的一个，向所述第二通信节点发信号，所述第二通信节点在收到信号时，与目标节点或目标设备建立一个本地面向流的连接，从而形成从所述源设备到所述目标节点或目标设备的跨WAN的一个虚拟面向流的连接，同时避免了所述源设备与所述目标节点或目标设备之间跨WAN的三向面向流的握手。


11.根据权利要求10所述的方法，其中所述第二通信节点对来自所述一个或多个选定的非面向流的关联中的所述封装的面向流的数据包进行解封装，并且通过所述第二通信节点和所述目标节点或目标设备之间的所述本地面向流的连接上传输所述解封装的面向流的数据包。


12.根据权利要求1所述的方法，其中所述WAN控制器节点协助所述通信节点使用基于预定义配置文件的自动VPN流程来...

【专利技术属性】
技术研发人员：苗家豪，陈炜，罗枝城，董亮，
申请(专利权)人：香港应用科技研究院有限公司，
类型：发明
国别省市：中国香港;81