【技术实现步骤摘要】
本专利技术涉及网络安全,尤其涉及一种基于软件定义网络的虚拟专用网络vpn的创建方法。
技术介绍
1、软件定义网络(sdn):一种新型网络安全传输架构,是网络虚拟化的一种实现方式。通过软件编程的形式定义和控制网络,其控制平面和转发平面分离及开放性可编程的特点,为新型互联网体系结构研究提供了新的实验途径,其核心技术openf low通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供了良好的平台。
2、虚拟专用网络(vpn):利用i nternet等公共网络的基础设施,通过隧道技术,为用户提供的与专用网络具有相同通信功能的安全数据通道。用户无需建立各自专用的物理线路,而利用i nternet等公共网络资源和设备建立一条逻辑上的专用数据通道,并实现与专用数据通道相同的通信功能。虚拟出来的网络并非任何连接在公共网络上的用户都能使用,只有经过授权的用户才可使用。该通道内传输数据经过加密和认证,可保证传输内容的完整性和机密性。
技术实现思路
1、为此,本专利技术提供一种基于软件定义网络的虚拟专用网络vpn的创建方法,为创建全新的虚拟专用网络架构,本专利技术提供一种基于软件定义网络的虚拟专用网络创建方法,包括,
2、所述vpn包括公用服务网络和用户业务网络,所述公用服务网络包括至少一个平面网络,每个所述平面网络中包括多个节点和链路,所述公用服务网络中还包括软件定义网络sdn控制器;
3、步
4、步骤s2,所述sdn控制器根据平面网络的链路信息以及vpn的业务需求确定建立所述vpn的目标平面网络;
5、步骤s3,所述sdn控制器从所述目标平面网络中确定目标路径,所述目标路径为在所述源节点和目的节点之间,且优先级与所述vpn所需的优先级相匹配的路径;
6、步骤s4,所述sdn控制器在所述目标路径上建立所述vpn;
7、步骤s5,所述sdn控制器将所述vpn的配置消息发送至所述目标路径的各个节点并在所述目标路径上建立所述vpn。
8、进一步地,所述平面网络需求包括:单平面连接需求、双平面连接需求以及单平面连接跨平面保护需求;
9、当所述vpn的平面网络需求为单平面连接需求时,所述目标平面网络中包括一个平面网络;
10、当所述vpn的平面网络需求为双平面连接需求时,所述目标平面网络中包括两个平面网络;
11、当所述vpn的平面网络需求为双平面连接跨平面保护需求时,所述目标平面网络中包括两个平面网络,其中一个平面网络中用于建立vpn并进行数据传输;另一个平面网络中用于建立数据接收中心,并在满足预设条件时进行数据传输。
12、进一步地,所述sdn控制器在所述目标平面网络中确定所述vpn的源节点和目的节点之间的至少一个路径;所述sdn控制器根据所述至少一条路径的链路信息分别确定每个所述路径的优先级;所述sdn控制器将所述至少一条所述路径中与所述vpn所需的优先级相匹配的路径确定为所述目标路径。
13、进一步地,所述sdn控制器包括:
14、获取模块,用于获取公用服务网络中平面网络的链路信息以及vpn的业务需求;其中,所述链路信息包括链路两端的节点的标识、链路的时延和负载;
15、处理模块,用于根据平面网络的链路信息以及vpn的业务需求确定建立所述vpn的目标平面网络以及在所述目标平面网络中的目标路径;
16、所述处理模块,还用于在所述目标路径上建立所述vpn。
17、进一步地,所述建立vpn的装置包括:处理器、通信接口和存储器;其中,存储器用于存储一个或多个程序,该一个或多个程序包括计算机执行指令,当该建立vpn的装置运行时,处理器执行该存储器存储的该计算机执行指令。
18、进一步地,所述sdn控制器中设有一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当所述指令在计算机上运行时,所述计算机执行建立vpn的指令;所述计算机通过所述sdn控制器提供的接口,向所述sdn控制器发送创建虚拟网络的业务请求;所述业务请求包括业务类型和业务参数,所述sdn控制器根据业务类型和业务参数对数据包进行筛查,添加或匹配相应的vpn标识。
19、进一步地,所述sdn控制器判断所述计算机的目的地址是本局域网终端还是外地局域网终端,发现目的地址为外地局域网,则所述sdn控制器向openf low交换机下发的流表为两地局域网络互通的流表,此后到达的该数据流的业务请求数据信息经由所述流表处理后,从所述openf low交换机发出,并含有正确的vlan标签,并经过网络路由至外地局域网络。
20、进一步地,外地终端所述openf low交换机收到含有vpn标识的数据包,通过packet i n信令将数据包交给其sdn控制器,所述sdn控制器使用用户配置好的应用程序来对数据包进行处理,该数据包的目的地址为该局域网络的内部网络地址,所述sdn控制器向所述openf low交换机发送控制指令来建立对应的流表项。
21、进一步地,所述sdn控制器判断计算机的目的地址是本地局域网终端,则所述sdn控制器向所述交换机下发的流表为本地局域网络内终端互通的流表,则按照该局域网的所述openf low交换机的流水线处理流程进行处理,到达的该数据流的数据包会由该流表项进行处理,直接转发至相应的本地终端;当所述外地局域网络的openf low交换机收到远端局域网的数据包之后与流表匹配失败时,所述外地局域网络的openf low交换机向所述sdn控制器发送消息,所述sdn控制器根据业务类型和业务参数对数据包进行筛查,向所述openf low交换机发送命令来建立对应的流表项,此后到达的该数据流的数据包经由该流表处理后弹出相应的vlan标签,并被转发至局域网内合适的目的主机。
22、进一步地,所述vpn建立的网络拓扑包括,用户业务网络、公用服务网络、目标平面网络、本地局域网络、外地局域网络和远端局域网络;所述用户业务网络通过所述本地局域网络连接至所述公用服务网络,公用服务网络建立所述目标平面网络,所述目标平面网络设有多个链路,并通过各链路连接至外地局域网络或远端局域网络以搭建完整的vpn。
23、与现有技术相比,本专利技术的有益效果在于,提供一种通过sdn控制器建立全新的vpn框架及业务的方法,利用sdn控制器自动在包括多个网络平面公用服务网络选出中最佳路径建立vpn,能够从公用服务网络中确定与用户需求最匹配的路径,提高了建立vpn的效率,节约了成本。
24、进一步地,本专利技术通过利用sdn控制器,能够满足不同层次的平面网络需求,实现了平面网本文档来自技高网...
【技术保护点】
1.一种基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,
2.根据权利要求1所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述平面网络需求包括:单平面连接需求、双平面连接需求以及单平面连接跨平面保护需求;
3.根据权利要求2所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述SDN控制器在所述目标平面网络中确定所述VPN的源节点和目的节点之间的至少一个路径;所述SDN控制器根据所述至少一条路径的链路信息分别确定每个所述路径的优先级;所述SDN控制器将所述至少一条所述路径中与所述VPN所需的优先级相匹配的路径确定为所述目标路径。
4.根据权利要求1所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述SDN控制器包括:
5.根据权利要求4所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述建立VPN的装置包括:处理器、通信接口和存储器;其中,存储器用于存储一个或多个程序,该一个或多个程序包括计算机执行指令,当该建立VPN的装置运行时,处理器执行该存储器
6.根据权利要求5所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述SDN控制器中设有一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当所述指令在计算机上运行时,所述计算机执行建立VPN的指令;所述计算机通过所述SDN控制器提供的接口,向所述SDN控制器发送创建虚拟网络的业务请求;所述业务请求包括业务类型和业务参数,所述SDN控制器根据业务类型和业务参数对数据包进行筛查,添加或匹配相应的VPN标识。
7.根据权利要求6所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述建立VPN的装置还包括OpenFlow交换机,所述SDN控制器判断所述计算机的目的地址是本局域网终端还是外地局域网终端,发现目的地址为外地局域网,则所述SDN控制器向OpenFlow交换机下发的流表为两地局域网络互通的流表,此后到达的该数据流的业务请求数据信息经由所述流表处理后,从所述OpenFlow交换机发出,并含有正确的VLAN标签,并经过网络路由至外地局域网络。
8.根据权利要求7所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,外地终端所述OpenFlow交换机收到含有VPN标识的数据包,通过PacketIn信令将数据包交给其SDN控制器,所述SDN控制器使用用户配置好的应用程序来对数据包进行处理,该数据包的目的地址为该局域网络的内部网络地址,所述SDN控制器向所述OpenFlow交换机发送控制指令来建立对应的流表项。
9.根据权利要求8所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述SDN控制器判断计算机的目的地址是本地局域网终端,则所述SDN控制器向所述交换机下发的流表为本地局域网络内终端互通的流表,则按照该局域网的所述OpenFlow交换机的流水线处理流程进行处理,到达的该数据流的数据包会由该流表项进行处理,直接转发至相应的本地终端;当所述外地局域网络的OpenFlow交换机收到远端局域网的数据包之后与流表匹配失败时,所述外地局域网络的OpenFlow交换机向所述SDN控制器发送消息,所述SDN控制器根据业务类型和业务参数对数据包进行筛查,向所述OpenFlow交换机发送命令来建立对应的流表项,此后到达的该数据流的数据包经由该流表处理后弹出相应的VLAN标签,并被转发至局域网内合适的目的主机。
10.根据权利要求9所述的基于软件定义网络的虚拟专用网络VPN的创建方法,其特征在于,所述VPN建立的网络拓扑包括,用户业务网络、公用服务网络、目标平面网络、本地局域网络、外地局域网络和远端局域网络;所述用户业务网络通过所述本地局域网络连接至所述公用服务网络,公用服务网络建立所述目标平面网络,所述目标平面网络设有多个链路,并通过各链路连接至外地局域网络或远端局域网络以搭建完整的VPN。
...【技术特征摘要】
1.一种基于软件定义网络的虚拟专用网络vpn的创建方法,其特征在于,
2.根据权利要求1所述的基于软件定义网络的虚拟专用网络vpn的创建方法,其特征在于,所述平面网络需求包括:单平面连接需求、双平面连接需求以及单平面连接跨平面保护需求;
3.根据权利要求2所述的基于软件定义网络的虚拟专用网络vpn的创建方法,其特征在于,所述sdn控制器在所述目标平面网络中确定所述vpn的源节点和目的节点之间的至少一个路径;所述sdn控制器根据所述至少一条路径的链路信息分别确定每个所述路径的优先级;所述sdn控制器将所述至少一条所述路径中与所述vpn所需的优先级相匹配的路径确定为所述目标路径。
4.根据权利要求1所述的基于软件定义网络的虚拟专用网络vpn的创建方法,其特征在于,所述sdn控制器包括:
5.根据权利要求4所述的基于软件定义网络的虚拟专用网络vpn的创建方法,其特征在于,所述建立vpn的装置包括:处理器、通信接口和存储器;其中,存储器用于存储一个或多个程序,该一个或多个程序包括计算机执行指令,当该建立vpn的装置运行时,处理器执行该存储器存储的该计算机的执行指令。
6.根据权利要求5所述的基于软件定义网络的虚拟专用网络vpn的创建方法,其特征在于,所述sdn控制器中设有一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当所述指令在计算机上运行时,所述计算机执行建立vpn的指令;所述计算机通过所述sdn控制器提供的接口,向所述sdn控制器发送创建虚拟网络的业务请求;所述业务请求包括业务类型和业务参数,所述sdn控制器根据业务类型和业务参数对数据包进行筛查,添加或匹配相应的vpn标识。
7.根据权利要求6所述的基于软件定义网络的虚拟专用网络vpn的创建方法,其特征在于,所述建立vpn的装置还包括openflow交换机,所述sdn控制器判断所述计算机的目的地址是本局域网终端还是外地局域网终端,发现目的地址为外地局域网,则所述sd...
【专利技术属性】
技术研发人员:霍玲玲,徐旸,陈庆荣,马祥杰,王凌燕,杨浩民,吴成波,游晓康,何忠慧,
申请(专利权)人:中国人民解放军九三一一四部队,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。