CN111277481A - 一种建立vpn隧道的方法、装置、设备及存储介质 - Google Patents
一种建立vpn隧道的方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111277481A CN111277481A CN202010022644.6A CN202010022644A CN111277481A CN 111277481 A CN111277481 A CN 111277481A CN 202010022644 A CN202010022644 A CN 202010022644A CN 111277481 A CN111277481 A CN 111277481A
- Authority
- CN
- China
- Prior art keywords
- cpe
- address information
- external network
- vcpe
- nat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 230000006855 networking Effects 0.000 claims abstract description 16
- 238000001514 detection method Methods 0.000 claims description 14
- 239000000523 sample Substances 0.000 claims description 10
- 230000003993 interaction Effects 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种建立VPN隧道的方法、装置、设备及存储介质,所述方法包括:接收由CPE发送的建连请求消息;其中,所述CPE位于SD‑WAN的分支节点中,所述建连请求消息包括:所述CPE的身份识别信息;进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息;其中,所述建连对象是位于SD‑WAN的云端服务节点中的vCPE,且在所述云端服务节点中还包括第一NAT设备,所述vCPE通过所述第一NAT设备连接所述控制平台;将与所述建连对象的身份识别信息对应的第一外网IP地址信息发送至所述CPE,以供所述CPE利用所述第一外网IP地址信息并通过所述第一NAT设备建立与所述vCPE之间的虚拟专用网络VPN隧道。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种建立VPN隧道的方法、装置、设备及存储介质。
背景技术
SD-WAN(Software-Defined WAN,软件定义广域网)是将SDN(Software DefinedNetwork,软件定义网络)技术应用到广域网场景中所形成的一种服务;SD-WAN能够取代传统广域网线路(MPLS-VPN,IPSec-VPN等),连接广阔地理范围内的企业网络、数据中心、互联网应用及云服务,能够帮助用户降低广域网的开支和提高网络连接灵活性;目前可以将SD-WAN分成四种技术架构:叠加架构、云端架构、整合架构和原生架构,其中,云端架构是云商和服务商最喜欢的架构方式,也是SD-WAN大规模分支部署的推荐架构。在云端架构中,vCPE(virtual Customer Premise Equipment,虚拟客户终端设备)被部署在SD-WAN的云端服务节点中,且vCPE需要通过NAT(Network Address Translation,网络地址转换)方式接入互联网。由于vCPE位于云端服务节点的NAT设备之后,导致SD-WAN的分支节点中的CPE(Customer Premise Equipment,客户终端设备)无法直接与vCPE通信,CPE发送给vCPE的消息会被NAT设备丢弃;因此,如何解决在CPE与vCPE之间直接建立VPN(Virtual PrivateNetwork,虚拟专用网络)隧道成为本领域技术人员亟需解决的技术问题。
发明内容
本发明的目的在于提供一种建立VPN隧道的方法、装置、设备及存储介质,能够实现在CPE与vCPE之间直接建立VPN隧道。
根据本发明的一个方面,提供了一种建立VPN隧道的方法,应用于SD-WAN的控制平台,所述方法包括:
接收由客户终端设备CPE发送的建连请求消息;其中,所述CPE位于SD-WAN的分支节点中,所述建连请求消息包括:所述CPE的身份识别信息;
进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息;其中,所述建连对象是位于SD-WAN的云端服务节点中的虚拟客户端设备vCPE,且在所述云端服务节点中还包括第一网络地址交互NAT设备,所述vCPE通过所述第一NAT设备连接所述控制平台;
将与所述建连对象的身份识别信息对应的第一外网IP地址信息发送至所述CPE,以供所述CPE利用所述第一外网IP地址信息并通过所述第一NAT设备建立与所述vCPE之间的虚拟专用网络VPN隧道。
可选的,在所述接收由客户终端设备CPE发送的建连请求消息的步骤之前,所述方法还包括:
接收由所述第一NAT设备转发的配置参数消息;其中,所述配置参数消息是由所述vCPE发送至所述第一NAT设备的;
从所述配置参数消息中解析出所述vCPE的身份识别信息和外网IP地址信息;
建立所述身份识别信息和外网IP地址信息的对应关系。
可选的,在所述CPE与所述vCPE之间建立了VPN隧道时,所述方法还包括:
接收由所述第一NAT设备转发的探测消息;其中,所述探测消息是由所述vCPE发送至所述第一NAT设备的消息;
从所述探测消息中解析出第二外网IP地址信息;
判断所述第一外网IP地址信息与所述第二外网IP地址信息是否一致;
若不一致,则将所述第二外网IP地址信息发送至所述CPE,以供所述CPE利用所述第二外网IP地址信息并通过所述第一NAT设备重新建立与所述vCPE之间的VPN隧道。
可选的,所述方法还包括:
从所述建连请求消息中解析出所述CPE的第三外网IP地址信息;
将所述第三外网IP地址信息通过所述第一NAT设备发送至所述vCPE,以供所述vCPE利用所述第三外网IP地址信息并通过所述第一NAT设备建立与所述CPE之间的VPN隧道。
可选的,所述接收由客户终端设备CPE发送的建连请求消息的步骤,具体包括:
接收由第二NAT设备转发的建连请求消息;其中,所述建连请求消息是由所述CPE发送至所述第二NAT设备的消息,且所述第二NAT设备位于所述分支节点中。
可选的,所述将所述第一外网IP地址信息发送至所述CPE的步骤,具体包括:
将所述第一外网IP地址信息通过所述第二NAT设备发送至所述CPE。
为了实现上述目的,本发明还提供一种建立VPN隧道的装置,应用于SD-WAN的控制平台,所述装置包括:
接收模块,用于接收由客户终端设备CPE发送的建连请求消息;其中,所述CPE位于SD-WAN的分支节点中,所述建连请求消息包括:所述CPE的身份识别信息;
配置模块,用于进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息;其中,所述建连对象是位于SD-WAN的云端服务节点中的虚拟客户端设备vCPE,且在所述云端服务节点中还包括第一网络地址交互NAT设备,所述vCPE通过所述第一NAT设备连接所述控制平台;
发送模块,用于将与所述建连对象的身份识别信息对应的第一外网IP地址信息发送至所述CPE,以供所述CPE利用所述第一外网IP地址信息并通过所述第一NAT设备建立与所述vCPE之间的虚拟专用网络VPN隧道。
可选的,所述接收模块,还用于:
接收由所述第一NAT设备转发的配置参数消息;其中,所述配置参数消息是由所述vCPE发送至所述第一NAT设备的消息;
所述配置模块,还用于:
从所述配置参数消息中解析出所述vCPE的身份识别信息和外网IP地址信息;
所述发送模块,还用于建立所述身份识别信息和外网IP地址信息的对应关系。
为了实现上述目的,本发明还提供一种计算机设备,该计算机设备具体包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述介绍的建立VPN隧道的方法的步骤。
为了实现上述目的,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述介绍的建立VPN隧道的方法的步骤。
本发明提供的建立VPN隧道的方法、装置、设备及存储介质,通过控制平台作为中转服务器,CPE和vCPE均向控制平台发起连接,以便控制平台获取CPE和vCPE的外网IP地址信息,从而在控制平台进行组网配置,并将包含对端的外网IP地址信息的隧道配置文件发送至CPE和vCPE,这样CPE和vCPE就有了对端的外网IP地址信息,就可以发送隧道协商报文,从而在CPE和vCPE之间建立VPN隧道。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1为实施例一提供的SD-WAN框架的组成结构示意图;
图2为实施例一提供的建立VPN隧道的方法的一种可选的流程示意图;
图3为实施例二提供的建立VPN隧道的方法的一种可选的流程示意图;
图4为实施例三提供的建立VPN隧道的装置的一种可选的组成结构示意图;
图5为实施例四提供的计算机设备的一种可选的硬件架构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合附图对本发明提供的建立VPN隧道的方法、装置、设备及存储介质。
实施例一
本发明实施例提供了一种建立VPN隧道的方法,所述方法具体的应用于如图1所示的SD-WAN框架中的控制平台,其中,在SD-WAN框架中包括:控制平台、多个云端服务节点和多个分支节点,在每个云端服务节点中均设置有NAT设备和vCPE,在每个分支节点中均设置有CPE;图2为本发明实施例一提供的建立VPN隧道的方法的一种可选的流程示意图,如图2所示,该方法具体包括以下步骤:
步骤S201:接收由客户终端设备CPE发送的建连请求消息;其中,所述CPE位于SD-WAN的分支节点中,所述建连请求消息包括:所述CPE的身份识别信息。
具体的,若在所述分支节点中未设置第二NAT设备,即所述CPE处于外网环境中,则所述CPE直接向所述控制平台发送建连请求消息;
若在所述分支节点中设置有第二NAT设备,即所述CPE处于内网环境,所述CPE需要通过第二NAT设备连接互联网,则步骤S201,具体包括:
接收由第二NAT设备转发的建连请求消息;其中,所述建连请求消息是由所述CPE发送至所述第二NAT设备的消息,且所述第二NAT设备位于所述分支节点中,所述CPE通过所述第二NAT设备连接所述控制平台。
其中,所述建连请求消息用于请求建立与vCPE之间的VPN隧道。
在本实施例中,无论CPE出于内网环境还是外网环境均可以通过管控平台与云端服务节点中的位于NAT设备后的vCPE建立VPN隧道。
步骤S202:进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息;其中,所述建连对象是位于SD-WAN的云端服务节点中的虚拟客户端设备vCPE,且在所述云端服务节点中还包括第一网络地址交互NAT设备,所述vCPE通过所述第一NAT设备连接所述控制平台。
具体的,在步骤S202之前,所述方法还包括:
步骤A1:接收由所述第一NAT设备转发的配置参数消息;其中,所述配置参数消息是由所述vCPE发送至所述第一NAT设备的消息;
在本实施例中,由于在所述云端服务节点中设置有第一NAT设备,所以所述vCPE处于内网环境,当所述vCPE需要连接互联网时,需要通过所述第一NAT设备以根据设置在所述第一NAT设备中的会话表项将所述vCPE的内网IP地址信息和内网端口信息转换为外网IP地址信息和外网端口信息。
步骤A2:从所述配置参数消息中解析出所述vCPE的身份识别信息和外网IP地址信息;
进一步的,步骤A2,包括:
获取包含在所述述配置参数消息中的所述vCPE的身份识别信息,并通过获取所述配置参数消息的源IP地址信息以得到所述vCPE的外网IP地址信息。
步骤A3:建立所述身份识别信息和外网IP地址信息的对应关系。
在本实施例中,可以通过管控平台事先获取SD-WAN框架中的各个云端服务节点中的vCPE的身份识别信息和外网IP地址信息,并分别存储各个vCPE的身份识别信息和外网IP地址信息,以便于后期当CPE需要与任一vCPE建连时,管控平台将对应的vCPE的外网IP地址信息反馈给CPE。还需要说明的是,在实现所述进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息的步骤时,可以通过预先设置的配置表确定出与CPE的身份识别信息对应的建连对象的身份识别信息,或者,在所述建连请求消息中添加建连对象的身份识别信息,又或者通过管理员在所述控制平台手动进行组网配置。
还需要说明的是,本实施例应用于非对称NAT(也称ConeNAT)场景中;其中,ConeNAT又细分为3类,分别是Full Cone型、Restricted Cone型和Restricted Port Cone。优选的,本实施例中的NAT具体为FullConeNAT(全锥形NAT)。
步骤S203:将与所述建连对象的身份识别信息对应的第一外网IP地址信息发送至所述CPE,以供所述CPE利用所述第一外网IP地址信息并通过所述第一NAT设备建立与所述vCPE之间的虚拟专用网络VPN隧道。
由于在SD-WAN框架中存在多个云端服务节点,每个云端服务节点中的vCPE均会向控制平台发送配置参数消息,所以在控制平台中存储有多个vCPE的身份识别信息与对应的外网IP地址信息的对应关系;所以在步骤S203中需要确定出与所述建连对象的身份识别信息对应的第一外网IP地址信息,并将所述第一外网IP地址信息发送至所述CPE。
具体的,若在所述分支节点中未设置第二NAT设备,即所述CPE处于外网环境中,则所述控制平台直接向所述CPE发送所述第一外网IP地址信息;
若在所述分支节点中设置有第二NAT设备,即所述CPE处于内网环境,所述CPE需要通过第二NAT设备连接互联网,则步骤S203,具体包括:
将所述第一外网IP地址信息通过所述第二NAT设备发送至所述CPE。
还需要说明的是,所述控制平台在向所述CPE发送所述第一外网IP地址信息的同时还向所述CPE发送用于建立VPN隧道的其他隧道配置信息。
在本实施例中,由于在云端服务节点中设置有NAT设备,vCPE需要通过NAT设备连接互联网,所以vCPE处于内网环境中,且vCPE的外网IP地址和外网端口信息均是由NAT设备动态配置的;因此,处于分支节点中的CPE无法获取到vCPE的实时外网IP地址,即CPE无法直接与vCPE通信。为了解决CPE无法直接与vCPE通信的问题,在本实施例中,通过控制平台作为中转服务器,CPE和vCPE均向控制平台发起连接,以便控制平台获取CPE和vCPE的外网IP地址信息和外网端口信息,从而在控制平台进行组网配置,并将包含vCPE的外网IP地址信息的隧道配置文件发送至CPE,这样CPE就有了vCPE的外网IP地址信息,就可以发送隧道协商报文,从而在CPE和vCPE之间建立VPN隧道
进一步的,在所述CPE与所述vCPE之间建立了VPN隧道时,所述方法还包括:
步骤B1:接收由所述第一NAT设备转发的探测消息;其中,所述探测消息是由所述vCPE发送至所述第一NAT设备的消息;
在本实施例中,当在所述CPE与所述vCPE之间建立了VPN隧道时,所述vCPE按照设定时间间隔定期向所述控制平台发送探测消息;其中,所述探测消息包括所述vCPE的身份识别信息。
步骤B2:从所述探测消息中解析出第二外网IP地址信息;
具体的,步骤B2,包括:
获取包含在所述探测消息中的身份识别信息,并根据所述探测消息中的身份识别信息,查找对应的第一外网IP地址信息;
根据所述探测消息的源外网IP地址信息确定出所述第二外网IP地址信息;其中,所述第二外网IP地址信息是所述第一NAT设备当前为所述vCPE分配的外网IP地址。
由于在实际应用中,因为第一NAT设备的地址池会发生变化,所以第一NAT设备为vCPE分配的外网地址和外网端口会改变,从而导致VPN隧道中断;因此在本实施例中,vCPE定期通过第一NAT设备向控制平台发送探测报文,以向控制平台上报实时的vCPE的外网IP地址信息。
步骤B3:判断所述第一外网IP地址信息与所述第二外网IP地址信息是否一致;
步骤B4:若不一致,则将所述第二外网IP地址信息发送至所述CPE,以供所述CPE利用所述第二外网IP地址信息并通过所述第一NAT设备重新建立与所述vCPE之间的VPN隧道。
在本实施例中,在CPE与vCPE建立了VPN隧道之后,还会通过探测消息定期获取vCPE的实时外网IP地址信息,当发现vCPE的外网IP地址信息发生改变时,将改变后的vCPE的外网IP地址信息发送至CPE,以供CPE根据改变后的vCPE的外网IP地址信息重新与vCPE建立VPN隧道。在现有技术中,在CPE与vCPE建立了VPN隧道之后,第一NAT设备会重新为vCPE分配外网IP地址信息,从而导致VPN隧道的断开,而在本实施例中,可以借助探测报文实时向管控平台上报vCPE的当前外网IP地址信息,当管控平台发现vCPE的外网IP地址信息发生改变时,将改变后的vCPE的外网IP地址信息发送至CPE,以供CPE重新与vCPE建立隧道连接,防止VPN隧道的断开。
更进一步的,所述方法还包括:
步骤C1:从所述建连请求消息中解析出所述CPE的第三外网IP地址信息;
步骤C2:将所述第三外网IP地址信息通过所述第一NAT设备发送至所述vCPE,以供所述vCPE利用所述第三外网IP地址信息并通过所述第一NAT设备建立与所述CPE之间的VPN隧道。
在本实施例中,通过控制平台作为中转服务器,CPE和vCPE均向控制平台发起连接,以便控制平台获取CPE和vCPE的外网IP地址信息,从而在控制平台进行组网配置,并将包含对端的外网IP地址信息的隧道配置文件发送至CPE和vCPE,这样CPE和vCPE就有了对端的外网IP地址信息,就可以发送隧道协商报文,从而在CPE和vCPE之间能够建立VPN隧道。
实施例二
本发明实施例提供了一种建立VPN隧道的方法,所述方法具体的应用于如图1所示的SD-WAN框架中,其中,在SD-WAN框架中包括:控制平台、多个云端服务节点和多个分支节点,在每个云端服务节点中均设置有NAT设备和vCPE,在每个分支节点中均设置有CPE;图3为本发明实施例一提供的建立VPN隧道的方法的一种可选的流程示意图,如图3所示,该方法具体包括以下步骤:
步骤S301:vCPE通过NAT设备向控制平台发送配置参数消息;其中,所述配置参数消息包括:所述vCPE的身份识别信息,所述vCPE与所述NAT设备位于SD-WAN的同一个云端服务节点中,所述vCPE通过所述NAT设备连接互联网。
具体的,步骤S301,包括:
所述vCPE获取自身的内网IP地址信息和内网端口信息,并通过所述NAT设备中的会话表项将所述内网IP地址信息和内网端口信息转换为第一外网IP地址信息和第一外网端口信息,以基于所述第一外网IP地址信息和第一外网端口信息向所述控制平台发送所述配置参数消息。
步骤S302:所述控制平台根据所述配置参数消息解析出所述vCPE的身份识别信息和第一外网IP地址信息,并在本地建立所述vCPE的身份识别信息与所述第一外网IP地址信息的对应关系。
具体的,所述控制平台根据所述配置参数消息解析出所述vCPE的身份识别信息和第一外网IP地址信息,包括:
获取包含在所述配置参数消息中的身份识别信息;
根据所述配置参数消息的源地址信息确定出所述第一外网IP地址信息。
步骤S303:CPE向所述控制平台发送建连请求消息;其中,所述建连请求消息包括:所述CPE的身份识别信息。
步骤S304:所述控制器根据所述建连请求消息解析出所述CPE的第二外网IP地址信息。
具体的,步骤S304,包括:
根据所述建连请求消息的源地址信息,确定出所述第二外网IP地址信息。
步骤S305:所述控制平台,进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息。
其中,所述建连对象是位于SD-WAN的云端服务节点中的vCPE。
步骤S306:所述控制器平台根据所述建连对象的身份识别信息从本地查找到对应的第一外网IP地址信息。
步骤S307:所述控制平台将所述第一外网IP地址信息发送至所述CPE,并将所述第二外网IP地址信息通过所述NAT设备发送至所述vCPE。
具体的,步骤S307,包括:
所述控制平台在获取到CPE和vCPE的外网IP地址信息之后进行组网配置,以得到隧道配置文件;其中,所述隧道配置文件包括:CPE的外网IP地址信息、vCPE的外网IP地址信息、以及隧道配置信息;
所述控制平台将所述隧道配置文件分别发送至所述CPE和vCPE。
步骤S308:所述CPE根据所述第一外网IP地址信息,通过所述NAT设备建立与所述vCPE之间的VPN隧道。
具体的,步骤S308,包括:
所述CPE在获取到所述隧道配置文件之后,获取所述隧道配置文件中的第一外网IP地址信息,并将包含所述第一外网IP地址信息的隧道协商报文发送至所述NAT设备;
所述NAT设备接收所述隧道协商报文,通过会话表项将所述第一外网IP地址信息转化为对应的内网IP地址信息,并基于所述内网IP地址信息向所述vCPE转发所述隧道协商报文。
进一步的,所述方法还包括:
步骤S309:在所述CPE与所述vCPE建立了VPN隧道之后,所述vCPE按照设定时间间隔定期通过所述NAT设备向所述控制平台发送探测报文;其中,所述探测报文包括:所述vCPE的身份识别信息;
步骤S310:所述控制平台根据所述探测报文解析出所述vCPE的第三外网IP地址信息;
其中,所述第三外网IP地址信息为所述NAT设备当前为所述vCPE分配的。
步骤S311:所述控制平台根据所述探测报文中的身份识别信息从本地查找到对应的第一外网IP地址,并将所述第一外网IP地址信息与所述第三外网IP地址信息进行比对;
步骤S312:若不一致,则所述控制平台将所述第三外网IP地址信息发送至所述CPE;
具体的,步骤S312,包括:
若不一致,所述管控平台在本地更新与所述vCPE的身份识别信息对应的外网IP地址信息,并更新对应的隧道协商报文,并将更新后的隧道协商报文分别下发至所述CPE和vCPE。
步骤S313:所述CPE根据所述第三外网IP地址信息,通过所述NAT设备重新建立与所述vCPE之间的VPN隧道。
实施例三
本发明实施例提供了一种建立VPN隧道的装置,所述装置具体的应用于如图1所示的SD-WAN框架中的控制平台;图4为本发明实施例三提供的建立VPN隧道的装置的一种可选的组成结构示意图,如图4所示,该装置具体包括以下组成部分:
接收模块401,用于接收由客户终端设备CPE发送的建连请求消息;其中,所述CPE位于SD-WAN的分支节点中,所述建连请求消息包括:所述CPE的身份识别信息;
配置模块402,用于进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息;其中,所述建连对象是位于SD-WAN的云端服务节点中的虚拟客户端设备vCPE,且在所述云端服务节点中还包括第一网络地址交互NAT设备,所述vCPE通过所述第一NAT设备连接所述控制平台;
发送模块403,用于将与所述建连对象的身份识别信息对应的第一外网IP地址信息发送至所述CPE,以供所述CPE利用所述第一外网IP地址信息并通过所述第一NAT设备建立与所述vCPE之间的虚拟专用网络VPN隧道。
具体的,接收模块401,还用于:
在所述接收由客户终端设备CPE发送的建连请求消息的步骤之前,接收由所述第一NAT设备转发的配置参数消息;其中,所述配置参数消息是由所述vCPE发送至所述第一NAT设备的消息;
配置模块402,还用于:
从所述配置参数消息中解析出所述vCPE的身份识别信息和外网IP地址信息;
发送模块403,还用于建立所述身份识别信息和外网IP地址信息的对应关。
进一步的,接收模块401,还用于:
在所述CPE与所述vCPE之间建立了VPN隧道时,接收由所述第一NAT设备转发的探测消息;其中,所述探测消息是由所述vCPE发送至所述第一NAT设备的消息。
配置模块402,还用于:
从所述探测消息中解析出第二外网IP地址信息。
所述装置还包括:
判断模块,用于判判断所述第一外网IP地址信息与所述第二外网IP地址信息是否一致;若不一致,则将所述第二外网IP地址信息发送至所述CPE,以供所述CPE利用所述第二外网IP地址信息并通过所述第一NAT设备重新建立与所述vCPE之间的VPN隧道。
进一步的,配置模块402,还用于:
从所述建连请求消息中解析出所述CPE的第三外网IP地址信息。
发送模块403,还用于:
将所述第三外网IP地址信息通过所述第一NAT设备发送至所述vCPE,以供所述vCPE利用所述第三外网IP地址信息并通过所述第一NAT设备建立与所述CPE之间的VPN隧道。
更进一步的,接收模块401在实现所述接收由客户终端设备CPE发送的建连请求消息的步骤时,具有用于:
接收由第二NAT设备转发的建连请求消息;其中,所述建连请求消息是由所述CPE发送至所述第二NAT设备的消息,且所述第二NAT设备位于所述分支节点中。
发送模块403在实现将所述第一外网IP地址信息和第一外网端口信息发送至所述CPE的步骤时,具体用于:
将所述第一外网IP地址信息通过所述第二NAT设备发送至所述CPE。
实施例四
本实施例还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图5所示,本实施例的计算机设备50至少包括但不限于:可通过***总线相互通信连接的存储器501、处理器502。需要指出的是,图5仅示出了具有组件501-502的计算机设备50,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器501(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器501可以是计算机设备50的内部存储单元,例如该计算机设备50的硬盘或内存。在另一些实施例中,存储器501也可以是计算机设备50的外部存储设备,例如该计算机设备50上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器501还可以既包括计算机设备50的内部存储单元也包括其外部存储设备。在本实施例中,存储器501通常用于存储安装于计算机设备50的操作***和各类应用软件。此外,存储器501还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器502在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器502通常用于控制计算机设备50的总体操作。
具体的,在本实施例中,处理器502用于执行处理器502中存储的建立VPN隧道的方法的程序,所述建立VPN隧道的方法的程序被执行时可以实现如下步骤:
接收由客户终端设备CPE发送的建连请求消息;其中,所述CPE位于SD-WAN的分支节点中,所述建连请求消息包括:所述CPE的身份识别信息;
进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息;其中,所述建连对象是位于SD-WAN的云端服务节点中的虚拟客户端设备vCPE,且在所述云端服务节点中还包括第一网络地址交互NAT设备,所述vCPE通过所述第一NAT设备连接所述控制平台;
将与所述建连对象的身份识别信息对应的第一外网IP地址信息发送至所述CPE,以供所述CPE利用所述第一外网IP地址信息并通过所述第一NAT设备建立与所述vCPE之间的虚拟专用网络VPN隧道。
上述方法步骤的具体实施例过程可参见第一实施例,本实施例在此不再重复赘述。
实施例五
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,所述计算机程序被处理器执行时可以实现如下方法步骤:
接收由客户终端设备CPE发送的建连请求消息;其中,所述CPE位于SD-WAN的分支节点中,所述建连请求消息包括:所述CPE的身份识别信息;
进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息;其中,所述建连对象是位于SD-WAN的云端服务节点中的虚拟客户端设备vCPE,且在所述云端服务节点中还包括第一网络地址交互NAT设备,所述vCPE通过所述第一NAT设备连接所述控制平台;
将与所述建连对象的身份识别信息对应的第一外网IP地址信息发送至所述CPE,以供所述CPE利用所述第一外网IP地址信息并通过所述第一NAT设备建立与所述vCPE之间的虚拟专用网络VPN隧道。
上述方法步骤的具体实施例过程可参见第一实施例,本实施例在此不再重复赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种建立VPN隧道的方法,其特征在于,应用于SD-WAN的控制平台,所述方法包括:
接收由客户终端设备CPE发送的建连请求消息;其中,所述CPE位于SD-WAN的分支节点中,所述建连请求消息包括:所述CPE的身份识别信息;
进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息;其中,所述建连对象是位于SD-WAN的云端服务节点中的虚拟客户端设备vCPE,且在所述云端服务节点中还包括第一网络地址交互NAT设备,所述vCPE通过所述第一NAT设备连接所述控制平台;
将与所述建连对象的身份识别信息对应的第一外网IP地址信息发送至所述CPE,以供所述CPE利用所述第一外网IP地址信息并通过所述第一NAT设备建立与所述vCPE之间的虚拟专用网络VPN隧道。
2.根据权利要求1所述的建立VPN隧道的方法,其特征在于,在所述接收由客户终端设备CPE发送的建连请求消息的步骤之前,所述方法还包括:
接收由所述第一NAT设备转发的配置参数消息;其中,所述配置参数消息是由所述vCPE发送至所述第一NAT设备的消息;
从所述配置参数消息中解析出所述vCPE的身份识别信息和外网IP地址信息;
建立所述身份识别信息和外网IP地址信息的对应关系。
3.根据权利要求1所述的建立VPN隧道的方法,其特征在于,在所述CPE与所述vCPE之间建立了VPN隧道时,所述方法还包括:
接收由所述第一NAT设备转发的探测消息;其中,所述探测消息是由所述vCPE发送至所述第一NAT设备的消息;
从所述探测消息中解析出第二外网IP地址信息;
判断所述第一外网IP地址信息与所述第二外网IP地址信息是否一致;
若不一致,则将所述第二外网IP地址信息发送至所述CPE,以供所述CPE利用所述第二外网IP地址信息并通过所述第一NAT设备重新建立与所述vCPE之间的VPN隧道。
4.根据权利要求1所述的建立VPN隧道的方法,其特征在于,所述方法还包括:
从所述建连请求消息中解析出所述CPE的第三外网IP地址信息;
将所述第三外网IP地址信息通过所述第一NAT设备发送至所述vCPE,以供所述vCPE利用所述第三外网IP地址信息并通过所述第一NAT设备建立与所述CPE之间的VPN隧道。
5.根据权利要求1所述的建立VPN隧道的方法,其特征在于,所述接收由客户终端设备CPE发送的建连请求消息的步骤,具体包括:
接收由第二NAT设备转发的建连请求消息;其中,所述建连请求消息是由所述CPE发送至所述第二NAT设备的消息,且所述第二NAT设备位于所述分支节点中。
6.根据权利要求5所述的建立VPN隧道的方法,其特征在于,所述将所述第一外网IP地址信息发送至所述CPE的步骤,具体包括:
将所述第一外网IP地址信息通过所述第二NAT设备发送至所述CPE。
7.一种建立VPN隧道的装置,其特征在于,应用于SD-WAN的控制平台,所述装置包括:
接收模块,用于接收由客户终端设备CPE发送的建连请求消息;其中,所述CPE位于SD-WAN的分支节点中,所述建连请求消息包括:所述CPE的身份识别信息;
配置模块,用于进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息;其中,所述建连对象是位于SD-WAN的云端服务节点中的虚拟客户端设备vCPE,且在所述云端服务节点中还包括第一网络地址交互NAT设备,所述vCPE通过所述第一NAT设备连接所述控制平台;
发送模块,用于将与所述建连对象的身份识别信息对应的第一外网IP地址信息发送至所述CPE,以供所述CPE利用所述第一外网IP地址信息并通过所述第一NAT设备建立与所述vCPE之间的虚拟专用网络VPN隧道。
8.根据权利要求7所述的建立VPN隧道的装置,其特征在于,所述接收模块,还用于:
接收由所述第一NAT设备转发的配置参数消息;其中,所述配置参数消息是由所述vCPE发送至所述第一NAT设备的消息;
所述配置模块,还用于:
从所述配置参数消息中解析出所述vCPE的身份识别信息和外网IP地址信息;
所述发送模块,还用于建立所述身份识别信息和外网IP地址信息的对应关系。
9.一种计算机设备,所述计算机设备包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至6任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010022644.6A CN111277481B (zh) | 2020-01-09 | 2020-01-09 | 一种建立vpn隧道的方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010022644.6A CN111277481B (zh) | 2020-01-09 | 2020-01-09 | 一种建立vpn隧道的方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111277481A true CN111277481A (zh) | 2020-06-12 |
| CN111277481B CN111277481B (zh) | 2021-09-24 |
Family
ID=71001571
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010022644.6A Active CN111277481B (zh) | 2020-01-09 | 2020-01-09 | 一种建立vpn隧道的方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111277481B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112532505A (zh) * | 2020-12-01 | 2021-03-19 | 长沙市同迅计算机科技有限公司 | 基于sd-wan的局域网间通信方法、装置、可读存储介质及控制设备 |
| CN113472913A (zh) * | 2021-06-25 | 2021-10-01 | 新华三信息安全技术有限公司 | 通信方法及装置 |
| WO2023061069A1 (zh) * | 2021-10-15 | 2023-04-20 | 中兴通讯股份有限公司 | 路由报文处理方法、装置、存储介质及电子装置 |
| WO2023116912A1 (zh) * | 2021-12-24 | 2023-06-29 | 贵州白山云科技股份有限公司 | 设备组网方法、装置、介质及设备 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040218611A1 (en) * | 2003-01-21 | 2004-11-04 | Samsung Electronics Co., Ltd. | Gateway for supporting communications between network devices of different private networks |
| US20110040968A1 (en) * | 2008-04-30 | 2011-02-17 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method and system for forwarding data between private networks |
| CN105978708A (zh) * | 2016-04-27 | 2016-09-28 | 赛特斯信息科技股份有限公司 | 基于NFV实现vCPE虚拟化企业网络的***及方法 |
| CN106130850A (zh) * | 2016-08-22 | 2016-11-16 | 福建富士通信息软件有限公司 | 专线用户智能化接入方法 |
| CN106533883A (zh) * | 2016-11-16 | 2017-03-22 | 中国联合网络通信集团有限公司 | 一种网络专线的建立方法、装置及*** |
| CN106685817A (zh) * | 2016-12-27 | 2017-05-17 | ***通信集团江苏有限公司 | 一种用于盒端设备流量切换的方法和装置 |
| CN106792821A (zh) * | 2016-12-27 | 2017-05-31 | ***通信集团江苏有限公司 | 基于虚拟网关的接入控制方法和装置 |
| CN107147580A (zh) * | 2017-06-23 | 2017-09-08 | 北京佰才邦技术有限公司 | 一种隧道建立的方法及通信*** |
| CN107666419A (zh) * | 2016-07-28 | 2018-02-06 | 中兴通讯股份有限公司 | 一种虚拟宽带接入方法、控制器和*** |
| CN108234318A (zh) * | 2018-03-20 | 2018-06-29 | 新华三技术有限公司 | 报文转发隧道的选取方法及装置 |
| CN108259299A (zh) * | 2017-06-23 | 2018-07-06 | 新华三技术有限公司 | 一种转发表项生成方法、装置及机器可读存储介质 |
| CN109617906A (zh) * | 2019-01-03 | 2019-04-12 | 中国联合网络通信集团有限公司 | 一种混合云的接入方法及装置 |
-
2020
- 2020-01-09 CN CN202010022644.6A patent/CN111277481B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040218611A1 (en) * | 2003-01-21 | 2004-11-04 | Samsung Electronics Co., Ltd. | Gateway for supporting communications between network devices of different private networks |
| US20110040968A1 (en) * | 2008-04-30 | 2011-02-17 | Chengdu Huawei Symantec Technologies Co., Ltd. | Method and system for forwarding data between private networks |
| CN105978708A (zh) * | 2016-04-27 | 2016-09-28 | 赛特斯信息科技股份有限公司 | 基于NFV实现vCPE虚拟化企业网络的***及方法 |
| CN107666419A (zh) * | 2016-07-28 | 2018-02-06 | 中兴通讯股份有限公司 | 一种虚拟宽带接入方法、控制器和*** |
| CN106130850A (zh) * | 2016-08-22 | 2016-11-16 | 福建富士通信息软件有限公司 | 专线用户智能化接入方法 |
| CN106533883A (zh) * | 2016-11-16 | 2017-03-22 | 中国联合网络通信集团有限公司 | 一种网络专线的建立方法、装置及*** |
| CN106685817A (zh) * | 2016-12-27 | 2017-05-17 | ***通信集团江苏有限公司 | 一种用于盒端设备流量切换的方法和装置 |
| CN106792821A (zh) * | 2016-12-27 | 2017-05-31 | ***通信集团江苏有限公司 | 基于虚拟网关的接入控制方法和装置 |
| CN107147580A (zh) * | 2017-06-23 | 2017-09-08 | 北京佰才邦技术有限公司 | 一种隧道建立的方法及通信*** |
| CN108259299A (zh) * | 2017-06-23 | 2018-07-06 | 新华三技术有限公司 | 一种转发表项生成方法、装置及机器可读存储介质 |
| CN108234318A (zh) * | 2018-03-20 | 2018-06-29 | 新华三技术有限公司 | 报文转发隧道的选取方法及装置 |
| CN109617906A (zh) * | 2019-01-03 | 2019-04-12 | 中国联合网络通信集团有限公司 | 一种混合云的接入方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 李建等: ""VPN的NAT穿透研究及***设计"", 《计算机工程与应用》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112532505A (zh) * | 2020-12-01 | 2021-03-19 | 长沙市同迅计算机科技有限公司 | 基于sd-wan的局域网间通信方法、装置、可读存储介质及控制设备 |
| CN113472913A (zh) * | 2021-06-25 | 2021-10-01 | 新华三信息安全技术有限公司 | 通信方法及装置 |
| WO2023061069A1 (zh) * | 2021-10-15 | 2023-04-20 | 中兴通讯股份有限公司 | 路由报文处理方法、装置、存储介质及电子装置 |
| WO2023116912A1 (zh) * | 2021-12-24 | 2023-06-29 | 贵州白山云科技股份有限公司 | 设备组网方法、装置、介质及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111277481B (zh) | 2021-09-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111277481B (zh) | 一种建立vpn隧道的方法、装置、设备及存储介质 | |
| EP3605323B1 (en) | Method for generating network slice template and for applying network slice template, and apparatus | |
| CN109547570B (zh) | 服务注册方法、装置、注册中心管理设备及存储介质 | |
| CN107948135B (zh) | 一种支持多种api协议的数据处理方法及装置 | |
| CN111970315A (zh) | 推送消息的方法、装置及*** | |
| CN113572689A (zh) | 微服务网关管理方法、***、设备、可读存储介质及产品 | |
| CN104363507A (zh) | 一种基于ott机顶盒的视音频录制及分享方法及*** | |
| CN113037761B (zh) | 登录请求的验证方法及装置、存储介质、电子设备 | |
| CN112202744B (zh) | 一种多***数据通信方法和装置 | |
| CN111726400A (zh) | 反向连接的方法、装置和服务端*** | |
| CN103581353B (zh) | 网关设备的自动配置方法及*** | |
| US10225358B2 (en) | Page push method, device, server and system | |
| CN111885190B (zh) | 服务请求处理方法及*** | |
| EP3018883B1 (en) | Login method and system for client unit | |
| CN113206879A (zh) | 一种终端ip地址自动同步方法、电子设备和存储介质 | |
| CN109962834B (zh) | 信息处理方法、***、终端和计算机存储介质 | |
| CN113612811B (zh) | 一种在多通道中客户端挂载的方法、***、设备及介质 | |
| CN110635994B (zh) | 一种基于自适应探测的异构互联***及方法 | |
| CN112217659A (zh) | Sd-wan***添加客户终端设备的方法及*** | |
| CN110677417A (zh) | 反爬虫***及方法 | |
| CN112468600B (zh) | 一种基于网络矩阵的应用消息通知方法、***及存储介质 | |
| US20190312929A1 (en) | Information synchronization method and device | |
| CN115766687B (zh) | 一种家庭网关ipv6文件***及其交互方法 | |
| CN113839792B (zh) | 一种入网配置方法、装置、计算机设备及可读存储介质 | |
| CN114827197B (zh) | 基于物联网的服务通信方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee after: QAX Technology Group Inc. Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee before: QAX Technology Group Inc. Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| CP01 | Change in the name or title of a patent holder |