CN114615080B - 工业设备的远程通信方法、装置以及设备 - Google Patents
工业设备的远程通信方法、装置以及设备 Download PDFInfo
- Publication number
- CN114615080B CN114615080B CN202210334472.5A CN202210334472A CN114615080B CN 114615080 B CN114615080 B CN 114615080B CN 202210334472 A CN202210334472 A CN 202210334472A CN 114615080 B CN114615080 B CN 114615080B
- Authority
- CN
- China
- Prior art keywords
- data packet
- address
- local area
- area network
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 83
- 238000004891 communication Methods 0.000 title claims abstract description 71
- 238000012986 modification Methods 0.000 claims description 8
- 230000004048 modification Effects 0.000 claims description 8
- 238000013519 translation Methods 0.000 claims description 8
- 238000009434 installation Methods 0.000 claims description 6
- 238000012545 processing Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 12
- 238000004590 computer program Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 9
- 238000004519 manufacturing process Methods 0.000 description 8
- 230000003993 interaction Effects 0.000 description 7
- 238000003860 storage Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000013507 mapping Methods 0.000 description 4
- 241000196324 Embryophyta Species 0.000 description 3
- 238000009776 industrial production Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 239000002994 raw material Substances 0.000 description 3
- 239000000126 substance Substances 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 241000208125 Nicotiana Species 0.000 description 1
- 235000002637 Nicotiana tabacum Nutrition 0.000 description 1
- 238000003723 Smelting Methods 0.000 description 1
- 239000004568 cement Substances 0.000 description 1
- 239000002894 chemical waste Substances 0.000 description 1
- 238000000576 coating method Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 235000013305 food Nutrition 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000012209 synthetic fiber Substances 0.000 description 1
- 229920002994 synthetic fiber Polymers 0.000 description 1
- 239000004753 textile Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种工业设备的远程通信方法、装置以及设备。该方法包括:边缘设备通过VPN通道,获取来自于终端设备的第一数据包,该第一数据包包括目的地址,该第一数据包中的目的地址为目标工业设备在第一局域网内的IP地址,该目标工业设备为至少一个工业设备中的一个,并将第一数据包发送至目标工业设备。在不将工业设备暴露于公网的情况下,实现了终端设备与边缘设备之间的通信,提高了工业设备的远程通信的安全性。
Description
技术领域
本申请涉及云计算技术领域,尤其涉及一种工业设备的远程通信方法、装置以及设备。
背景技术
在一些工业制造场景中,需要通过终端设备远程控制各工业控制器件,以实现对工业设备的控制。目前,终端设备和工业设备之间的远程通信方案,需要通过路由器以端口映射的方式将工业设备暴露在公网中,以建立远程的终端设备与工业设备之间的通信链路。此种情况下,为工业生成、维护带来较大的安全隐患。因此,如何实现工业设备的远程通信,以确保工业设备远程通信的安全性,是当前亟待解决的问题。
发明内容
本申请实施例提供的一种工业设备的远程通信方法、装置以及设备,以期提高工业设备远程通信的安全性。
第一方面,本申请实施例提供一种工业设备的远程通信方法,应用于边缘设备,该边缘设备与至少一个工业设备在第一局域网内实现通信连接,包括:通过虚拟专用网络(Virtual Private Network,VPN)通道,获取来自于终端设备的第一数据包,该第一数据包包括目的地址,该第一数据包中的目的地址为目标工业设备在该第一局域网内的网际互联协议(Internet Protocol,IP)地址,该目标工业设备为该至少一个工业设备中的一个;将该第一数据包发送至该目标工业设备。
第二方面,本申请实施例提供一种工业设备的远程通信方法,应用于VPN服务器,包括:向边缘设备发送第一配置信息,该第一配置信息携带第二局域网的网段的信息,该第二局域网的网段为通过VPN通道进行通信时采用的局域网;向该边缘设备转发来自于终端设备的第一数据包,该第一数据包包括源地址和目的地址,该第一数据包中的源地址为该终端设备的在该第二局域网内的IP地址,该第一数据包中的目的地址为目标工业设备在第一局域网内的IP地址,该目标工业设备为在第一局域网内与该边缘设备实现通信连接的至少一个工业设备中的一个。
第三方面,本申请实施例提供一种工业设备的远程通信方法,应用于终端设备,包括:通过VPN通道,向边缘设备发送第一数据包,该第一数据包包括源地址和目的地址,该第一数据包中的源地址为该终端设备的在第二局域网内的IP地址,该第一数据包中的目的地址为目标工业设备在第一局域网内的IP地址,该目标工业设备为在第一局域网内与该边缘设备实现通信连接的至少一个工业设备中的一个;通过该VPN通道,接收该边缘设备发送的第二数据包。
第四方面,本申请实施例提供一种边缘设备,该边缘设备与至少一个工业设备在第一局域网内实现通信连接,该边缘设备包括:获取单元,用于通过虚拟专用网络VPN通道,获取来自于终端设备的第一数据包,该第一数据包包括目的地址,该第一数据包中的目的地址为目标工业设备在该第一局域网内的网际互联协议IP地址,该目标工业设备为该至少一个工业设备中的一个;收发单元,用于将该第一数据包发送至该目标工业设备。
第五方面,本申请实施例提供一种服务器,包括:收发单元,用于向边缘设备发送第一配置信息,该第一配置信息携带第二局域网的网段的信息,该第二局域网的网段为通过VPN通道进行通信时采用的局域网;该收发单元还用于向该边缘设备转发来自于终端设备的第一数据包,该第一数据包包括源地址和目的地址,该第一数据包中的源地址为该终端设备的在该第二局域网内的IP地址,该第一数据包中的目的地址为目标工业设备在第一局域网内的IP地址,该目标工业设备为在第一局域网内与该边缘设备实现通信连接的至少一个工业设备中的一个。
第六方面,本申请实施例提供一种终端设备,包括:收发单元,用于通过VPN通道,向边缘设备发送第一数据包,该第一数据包包括源地址和目的地址,该第一数据包中的源地址为该终端设备的在第二局域网内的IP地址,该第一数据包中的目的地址为目标工业设备在第一局域网内的IP地址,该目标工业设备为在第一局域网内与该边缘设备实现通信连接的至少一个工业设备中的一个;该收发单元还用于通过该VPN通道,接收该边缘设备发送的第二数据包。
第七方面,本申请实施例提供一种电子设备,包括:至少一个处理器和存储器;该存储器存储计算机执行指令;该至少一个处理器执行该存储器存储的计算机执行指令,使得该至少一个处理器执行如第一方面、第二方面或第三方面提供的方法。
第八方面,本申请实施例提供一种计算机可读存储介质,该计算机可读存储介质中存储有计算机执行指令,当处理器执行该计算机执行指令时,实现如第一方面、第二方面或第三方面提供的方法。
第九方面,本申请实施例提供一种计算机程序产品,包括计算机指令,该计算机指令被处理器执行时实现第一方面、第二方面或第三方面提供的方法。
在本申请实施例中,边缘设备与终端设备之间通过VPN通道进行加密通信,再由边缘设备在第一局域网中将终端设备发送的第一数据包发送至目标工业设备,在不将工业设备暴露于公网的情况下,实现了终端设备与边缘设备之间的通信,提高了工业设备的远程通信的安全性。
附图说明
图1为本申请是实施例提供的一种工业设备的远程通信场景100的示意图;
图2为本申请实施例提供的一种工业设备的远程通信方法200的交互流程示意图;
图3为本申请实施例提供的一种工业设备的远程通信方法300的交互流程示意图;
图4为本申请实施例提供的一种电子设备400的示意性框图;
图5为本申请实施例提供的一种电子设备500的示意性结构图;
图6为本申请示例性实施例提供的一种云服务器600的结构示意图。
具体实施方式
工业(industry)是对自然资源的开采、采集和对各种原材料进行加工的物质生成产业。通常可以包括但不限于轻工业、重工业和化工业。轻工业可以包括但不限于:以农产品为原料的轻工业,例如食品制造、烟草加工、纺织、造纸、印刷等;以非农产品为原料的轻工业,例如文教体育用品、化学药品制造、合成纤维制造、日用品制造、手工工具制造、医疗器械制造等。重工业可以包括但不限于能源开采、金属冶炼及加工、水泥加工、电力等。化工业可以包括但不限于塑料及橡胶制品、涂料、化学废料处理等。本申请实施例中的工业设备可应用于上述任一工业领域,以实现工业生产或维护。工业设备包括但不限于计算机数字控制机床(Computerised Numerical Control Machine,CNC)
在目前工业自动化的实现中,常通过工业控制器件对工业设备进行控制,以实现工业生产或维护。应理解,这里的工业控制器件可以独立于工业设备,或者可以集成于工业设备。当工业设备集成有工业控制器件时,该工业设备可称作工业控制设备(简称工控设备)。工业控制器件例如可以是可编程逻辑控制器(Programmable Logic Controller,PLC)。
为便于说明,下文将以工业控制器件集成于工业设备为例。
针对目前工业制造场景中,通过路由器将工业设备暴露在公网中以实现对工业设备的远程通信,导致工业设备的远程通信安全性差的问题,本申请实施例中,边缘设备与远程的终端设备之间通过VPN进行通信,再由边缘设备在第一局域网内与工控设备进行通信,工控设备的IP不需要暴露于公网中即可实现与远程的终端设备之间的通信。
同样由于借助路由器实现工业设备的远程通信,需要在路由器中进行配置,以实现工业设备与终端设备之间的路由关系,然而当工业设备数量较多时,配置过程较为复杂。而本申请实施例中,不同工业设备可以复用边缘设备与终端设备之间建立的VPN通道,不需要每个工业设备均与终端设备建立连接,降低了配置的复杂度,并且,基于VPN通道实现的边缘设备与终端设备之间的通信具有较高的网络穿透性。
图1为本申请是实施例提供的一种工业设备的远程通信场景100的示意图。结合图1所示,边缘设备110与至少一个工业设备120在第一局域网内实现通信连接。其中,边缘设备110可以实现为一种网关。工业设备120可以实现为上述工控设备,或者工业设备120可以替换为上述工业控制器件。
边缘设备110与终端设备130通过虚拟专用网络(Virtual Private Network,VPN)通道连接,VPN是在公用网络上建立的专用网络,VPN通道可以实现边缘设备110与终端设备130之间的加密通信。
一般来说,边缘设备110和终端设备130之间可以通过VPN服务器140建立VPN通道,并基于VPN服务器140的转发实现边缘设备110与终端设备130之间的通信,终端设备130和边缘设备110通过VPN通道进行通信时可以采用第二局域网。当然,VPN服务器140可以以功能模块的形式集成于终端设备130或边缘设备110中,本申请对此不做限定。
VPN服务器140可以实现为普通服务器、服务器集群,或者云端服务器、服务器集群。
终端设备130的数量可以是一个或者多个,本申请对此不做限定。在终端设备130的数量为多个时,多个终端设备130可以通过VPN服务器140与边缘设备110进行通信,具体而言,多个终端设备130可以在同一局域网(例如上文中的第二局域网)内与边缘设备110进行加密通信,多个终端设备130的IP地址均属于该第二局域网的网段内。
边缘设备110可以将接收到的来自于终端设备130的数据包转发给工业设备120中的至少一个,也可以将接收到的来自于工业设备120的数据包转发给终端设备130,以实现终端设备130和工业设备120之间的通信。
示例性的,边缘设备110和终端设备130中均部署有VPN的客户端;VPN服务器140中部署有VPN的服务端。
上述第一局域网和第二局域网中的“第一”、“第二”用于区分不同的局域网,不代表先后顺序,也不限定第一局域网和第二局域网的类型不同。
需要说明的是,图1所示场景仅作为一种示例给出了本申请实施例相关场景的组成部分,并不对本申请构成任何限定。
下面将结合附图对本申请实施例提供的工业设备的远程通信方法做详细说明。
应理解,下文仅为便于理解和说明,以终端设备、边缘设备和工业设备之间的交互为例详细说明本申请实施例所提供的方法。该终端设备例如可以是图1中的终端设备130,边缘设备例如可以是图1中的边缘设备110,工业设备例如可以是图1中的工业设备120。在一些实施例中,VPN服务器也参与交互以实现本申请实施例提供的方法,该VPN服务器例如可以是图1中的VPN服务器140。
但应理解,这不应对本申请提供的方法的执行主体构成任何限定。只要能够通过运行记录有本申请实施例的提供的方法的代码的程序,以实现本申请实施例提供的方法,便可以作为本申请实施例提供的方法的执行主体。例如,下文实施例所示的终端设备也可以替换为该终端设备中的部件,比如芯片、芯片***或其他能够调用程序并执行程序的功能模块,边缘设备也可以替换为该边缘设备中的部件,比如芯片、芯片***或其他能够调用程序并执行程序的功能模块,工业设备也可以替换为该工业设备中的部件,比如芯片、芯片***或其他能够调用程序并执行程序的功能模块,VPN服务器可以替换为该VPN服务器中的部件,比如芯片、芯片***或其他能够调用程序并执行程序的功能模块。
图2为本申请实施例提供的一种工业设备的远程通信方法200的交互流程示意图。如图2所示,该方法200包括以下部分或者全部过程:
S210,终端设备通过VPN通道向边缘设备发送第一数据包。
相应的,边缘设备通过VPN通道,获取来自于终端设备的第一数据包。
S220,边缘设备将第一数据包发送至目标工业设备。
本申请实施例中,该第一数据包至少包括目的地址,该第一数据包中的目的地址为目标工业设备在第一局域网内的IP地址。如前所述,工业设备与边缘设备在第一局域网内实现通信连接,而目标工业设备可以是在第一局域网内与边缘设备实现通信连接的至少一个工业设备中的任意一个,而终端设备通过第一数据包中的目标地址指示了该目标工业设备。
边缘设备将该第一数据包发送至该第一数据包中的目的地址所指示的目标工业设备。示例性的,边缘设备和目标工业设备之间可以基于二者在第一局域网的IP地址,通过第一局域网进行通信。
第一数据包中的数据可以用于控制或维护目标工业设备。目标工业设备的数量可以是一个或者多个,本申请对此不做限定。当目标工业设备的数量不止一个时,终端设备可以向边缘设备发送各目标工业设备对应的第一数据包,再由边缘设备分别将各第一数据包转发至对应的目标工业设备。
因此,在上述S210和S220中,边缘设备与终端设备之间通过VPN通道进行加密通信,再由边缘设备在第一局域网中将终端设备发送的第一数据包发送至目标工业设备,在不将工业设备暴露于公网的情况下,实现了终端设备与边缘设备之间的通信,提高了工业设备的远程通信的安全性。
可以理解的是,第一数据包中除目的地址和数据之外,还可以包括源地址,在目标工业设备接收到第一数据包后,可以将第一数据包中的源地址作为目的地址,并向该目的地址发送数据包(如下文中的第二数据包),以实现信息交互。而第一数据包中的源地址为终端设备在第二局域网内的IP地址,也即VPN下的虚拟IP地址,此种情况下,连接于第一局域网内的目标工业设备无法将第二数据包发送至该终端设备。因此,在一些实施例中,边缘设备为了确保在向目标工业设备发送第一数据包之后,能够将来自于目标工业设备的第二数据包转发至该终端设备,可以在转发第一数据包之前将第一数据包中的源地址修改为该边缘设备在第一局域网内的IP地址,再将修改后的一数据包发送至目标工业设备,以使目标工业设备将边缘设备在第一局域网内的IP地址作为目的地址发送第二数据包。
上述边缘设备对第一数据包中的源地址的修改可以包括以下可能的实现方式:边缘设备在接收到终端设备发送的第一数据包后,可以对第一数据包是否来自于VPN通道进行判断,例如边缘设备根据第一数据包中的源地址所属的网段确定是否属于第二局域网的网段,若第一数据包中的源地址所属的网段属于第二局域网的网段,则该第一数据包来自于VPN通道,或者说终端设备通过VPN客户端发送了该第一数据包,此种情况下,边缘设备可以对第一数据包中的源地址进行修改。例如,第二局域网的网段为192.168.40.x,第一数据包中的源地址为192.168.40.4,则边缘设备确定第一数据包中的源地址属于第二局域网的网段,进而修改该第一数据包中的源地址。
接续上述可能的实现方式,边缘设备可以根据预配置的源网络地址转换(SourceNetwork Address Translation,SNAT)条目,将第一数据包中的源地址修改为边缘设备在第二局域网内的IP地址。需要说明的是,该SNAT条目用于指示将属于第二局域网的网段的源地址修改为该边缘设备的IP地址,该SNAT条目可以理解为一种SNAT策略,其中可以包括边缘设备在第一局域网内的IP地址与第二局域网的网段的映射关系。
通过结合VPN通道和SNAT的方式建立终端设备与工业设备之间的网络隧道,使通信在传输控制协议(Transmission Control Protocol,TCP)/IP网络层进行,而不对三层网络以上的网络产生影响。
当然,上述可能的实现方式中,边缘设备修改第一数据包中的源地址,仅为一种示例而非限制性的说明。例如,边缘设备还可以将边缘设备在第一局域网内的IP地址作为附加源地址添加至第一数据包。基于SNAT的方式修改第一数据包中的源地址,同样仅为一种示例而非限制性的说明,例如边缘设备可以基于预设的第二局域网的网段,与,边缘设备在第一局域网的IP地址之间的映射关系,修改第一数据包中的源地址。
在一些实施例中,该方法200还包括如下步骤S230和S240。
S230,目标工业设备向边缘设备发送第二数据包。
相应的,边缘设备接收目标工业设备发送的第二数据包。
S240,边缘设备通过VPN通道,将第二数据包发送至终端设备。
相应的,终端设备通过VPN通道,接收第二数据包。
需要说明的是,上述传输第一数据包的过程和传输第二数据包的过程可以是时间重叠的,例如边缘设备将终端设备发送的第一数据包转发至目标工业设备的同时,还将目标工业设备发送的第二数据包转发至终端设备;或者上述传输第一数据包的过程和传输第二数据包的过程可以不是时间重叠的,例如第二数据包是基于第一数据包中的数据生成的,此种情况下,边缘设备可以向目标工业设备转发来自终端设备的第一数据包,再向终端设备转发来自于目标工业设备的第二数据包。本申请对此不做限定。
与第一数据包类似的,第二数据包可以包括目的地址、源地址和数据。第二数据包的目的地址可以是接收到的第一数据包的源地址,第二数据包的源地址可以是接收到的第一数据包的目的地址。具体而言,第二数据包的目的地址可以是边缘设备在第一局域网内的IP地址,第二数据包的源地址可以是目标工业设备在第一局域网内的IP地址。目标工业设备在第一局域网内传输该第二数据包。
边缘设备接收到目标工业设备发送的第二数据包后,可以将第二数据包中的目的地址修改为终端设备在第二局域网内的IP地址,进而通过VPN通道,将第二数据包转发至终端设备。示例性的,边缘设备在修改第一数据包的源地址时,可以保留第一数据包的源地址修改记录,该第一数据包的源地址修改记录至少可以包括第一数据包的原始源地址(即终端设备在第二局域网内的IP地址)和目的地址(即目标工业设备在第一局域网内的IP地址),进而,边缘设备可以根据第一数据包的源地址修改记录和第二数据包的源地址(即目标工业设备在第一局域网内的IP地址),将第二数据包的目的地址修改为终端设备在第二局域网内的IP地址,例如边缘设备可以在第二数据包的源地址与第一数据包的源地址修改记录中的目的地址一致时,将第二数据包的目的地址修改为终端设备在第而局域网内的IP地址。进而,边缘设备可以基于终端设备在第二局域网内的IP地址,通过VPN通道向终端设备发送第二数据包。
本实施例中,边缘设备通过第一局域网接收目标工业设备发送的第二数据包,并通过VPN通道将第二数据包发送至终端设备,在不将工业设备暴露于公网的情况下,实现了终端设备与边缘设备之间的通信,提高了工业设备的远程通信的安全性。
上述实施例中的VPN通道可以是基于VPN服务器建立并实现通信的网络通道。下面结合图3进行说明。
图3为本申请实施例提供的一种工业设备的远程通信方法300的交互流程示意图。该方法300可以包括以下部分或者全部过程:
首先对VPN服务器配置终端设备的VPN环境进行示例性的说明。
VPN服务器可以获取第二客户端配置请求,例如图3所示,VPN服务器获取用户输入的第二客户端配置请求。该第二客户端配置请求用于请求配置至少一个终端设备分别对应的VPN环境,例如第二客户配置请求可以携带有终端设备的数量和/或标识等。VPN服务器响应于第二客户端配置请求,可以确定第二局域网的网段以及各终端设备分别对应的VPN证书。进一步地,VPN服务器将第二局域网的网段的信息和至少一个VPN证书分别携带于至少一个第三配置信息,或者将属于第二局域网的网段的IP地址和一个VPN证书携带于一个第三配置信息,其中,第二种方式相比于第一种方式而言,终端设备从第三配置信息中可以之间确定自身的IP地址,而不需要终端设备从第二局域网的网段中确定自身的IP地址。
接续上述终端设备的VPN环境部署方式,VPN服务器可以将第三配置信息发送至终端设备,当VPN服务器连接有多个终端设备时,VPN服务器可以将多个第三配置信息分别发送至对应的终端设备。进而,终端设备可以根据第三配置信息确定自身在第二局域网内IP地址,以及进行证书安装,已完成VPN环境的配置。
VPN服务器中部署的服务端可以设置为桥接(TAP)模式,以使服务端实现为安全套接字协议(Secure Sockets Layer,SSL)服务端。相应的,终端设备中部署的客户端可以是SSL客户端。
针对VPN服务器配置边缘设备的VPN环境进行示例性的说明。
结合图3所示,VPN服务器接收边缘设备发送的第一客户端配置请求,该第一客户端配置请求用于请求VPN服务器发送第二配置信息。该第一客户端配置请求可以是边缘设备在初次上电时发送的,当然,这不应理解为对本申请的任何限定,例如,第一客户端配置请求也可以是边缘设备响应于用户输入的指令发送的请求。
需要说明的是,第二配置信息可以包括:VPN客户端安装包、VPN证书、VPN启动指令中的至少之一。示例性的,边缘设备可以通过运行第二配置信息中的VPN客户端安装包安装VPN客户端;边缘设备可以通过安装第二配置信息中的VPN证书;边缘设备还可以响应于第二配置信息中的VPN启动指令启动VPN客户端。
在一些实施例中,边缘设备需要配置SNAT条目。边缘设备可以根据第二局域网的网段进行SNAT条目的配置,以建立第二局域网的网段与边缘设备在第一局域网内的IP地址之间的映射关系。
第二局域网的网段可以是边缘设备中预设置的,或者是边缘设备接收VPN服务器发送的。例如VPN服务器响应于第二客户端配置请求确定第二局域网的网段,并将第二局域网的网段的信息携带于第一配置信息,发送至边缘设备。
上述结合图3所说明的VPN环境的部署仅为一种示例性的说明,并不对本申请构成任何限定,例如上述VPN环境的部署方式中的部分或者全部过程还可以是响应于用户输入的配置而完成的。
终端设备和边缘设备部署VPN的服务端后,终端设备和边缘设备之间可以通过VPN服务器实现VPN通道上的数据传输。例如,终端设备可以向VPN服务器发送第一数据包,VPN服务器将终端设备发送的第一数据包转发至边缘设备,以实现终端设备通过VPN通道向边缘设备发送第一数据;和/或,边缘设备向VPN服务器发送第二数据包,VPN服务器将接收到的第二数据包转发至终端设备,以实现边缘设备通过VPN通道向终端设备发送第二数据包。
在图3所示实施例中,边缘设备与目标工业设备之间仍通过第一局域网实现通信,其实现方式可以参见上述任一实施例中的边缘设备与目标工业设备之间的通信方式。例如,边缘设备将第一数据包中的源地址修改为边缘设备在第一局域网内的IP地址后,将第一数据包发送至目标工业设备,再例如,边缘设备接收目标工业设备发送的第二数据包后,将第二数据包中的目的地址修改为终端设备在第二局域网内的IP地址后通过VPN通道发送至终端设备。
本申请实施例中,在工业设备的数量不止一个时,可以将多个工业设备和边缘设备部署于同一局域网中,即可通过边缘设备与终端设备之间的VPN通道,实现远程通信。相比于现有技术中针对每个工业设备建立通信链路而言,提高了远程部署的便利性。
需要说明的是,本文中的“第一”、“第二”“第三”等描述,是用于区分不同的局域网、数据包、配置信息、请求等,不代表先后顺序,也不限定“第一”和“第二”是不同的类型。
在本申请的各个实施例中,如果没有特殊说明以及逻辑冲突,各个实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
图4为本申请实施例提供的一种电子设备400的示意性框图。如图4所示,该电子设备300可以实现为上述方法实施例中的执行主体,例如边缘设备、VPN服务器或终端设备。该电子设备400至少包括收发单元410,在一些实施例中,电子设备400还可以包括获取单元420和/或处理单元430。
可选的,该电子设备400可对应于上文方法实施例中的边缘设备,例如可以为边缘设备的一种实现,或者配置于边缘设备中的部件(如芯片或芯片***等)。
其中,获取单元420可以用于通过虚拟专用网络VPN通道,获取来自于终端设备的第一数据包,该第一数据包包括目的地址,该第一数据包中的目的地址为目标工业设备在该第一局域网内的网际互联协议IP地址,该目标工业设备为该至少一个工业设备中的一个;收发单元410,用于将该第一数据包发送至该目标工业设备。
在一些实施例中,该第一数据包还包括源地址,该第一数据包中的源地址为该终端设备在第二局域网内的IP地址,该第二局域网为通过VPN通道进行通信时采用的局域网;该收发单元410具体用于:将该第一数据包中的源地址修改为该边缘设备在该第一局域网内的IP地址;将该第一数据包发送至该目标工业设备。
在一些实施例中,该收发单元410具体用于:在该第一数据包中的源地址属于第二局域网的网段的情况下,根据预配置的源网络地址转换SNAT条目,将该第一数据包中的源地址修改为该边缘设备在该第二局域网内的IP地址,该SNAT条目用于指示将属于第二局域网的网段的源地址修改为该边缘设备的IP地址。
在一些实施例中,该收发单元420还用于:接收该VPN服务器发送的第一配置信息,该第一配置信息携带该第二局域网的网段的信息;处理单元430用于根据该第一配置信息,配置该SNAT条目。
在一些实施例中,该获取单元420具体用于:接收该VPN服务器转发的该第一数据包。
获取来自于终端设备的第一数据包,该收发单元410还用于接收该目标工业设备发送的第二数据包,该第二数据包包括源地址和目的地址,该第二数据包中的目的地址为该边缘设备在该第一局域网内的IP地址;处理单元430还用于根据该第一数据包的源地址修改记录和该第二数据包的源地址,将该第二数据包的目的地址修改为该终端设备在该第二局域网内的IP地址;收发单元410还用于通过该VPN通道,将该第二数据包发送至该终端设备。
在一些实施例中,该收发单元410还用于接收该VPN服务器发送的第二配置信息,该第二配置信息携带有VPN客户端安装包、VPN证书、VPN启动指令中的至少之一;处理单元430还用于根据该第二配置信息,配置VPN环境,以搭建该VPN通道。
在一些实施例中,在该接收该VPN服务器发送的第二配置信息之前,该收发单元410还用于:在初次上电时,向该VPN服务器发送第一客户端配置请求,该第一客户端配置请求用于请求该VPN服务器发送该第二配置信息。
可选的,该电子设备400可对应于上文方法实施例中的VPN服务器,例如可以为VPN服务器的一种实现,或者配置于VPN服务器中的部件(如芯片或芯片***等)。
其中,收发单元410可以用于:向边缘设备发送第一配置信息,该第一配置信息携带第二局域网的网段的信息,该第二局域网的网段为通过VPN通道进行通信时采用的局域网;向该边缘设备转发来自于终端设备的第一数据包,该第一数据包包括源地址和目的地址,该第一数据包中的源地址为该终端设备的在该第二局域网内的IP地址,该第一数据包中的目的地址为目标工业设备在第一局域网内的IP地址,该目标工业设备为在第一局域网内与该边缘设备实现通信连接的至少一个工业设备中的一个。
在一些实施例中,该收发单元410还用于:向该边缘设备发送第二配置信息,该第二配置信息携带有VPN客户端安装包、VPN证书、VPN启动指令中的至少之一。
在一些实施例中,收发单元410还用于:接收该边缘设备在初次上电时发送的第一客户端配置请求,该第一客户端配置请求用于请求该VPN服务器发送该第二配置信息。
在一些实施例中,该获取单元420用于获取第二客户端配置请求,该第二客户端请求用于请求配置至少一个终端设备分别对应的VPN环境;处理单元430用于根据该第二客户端配置请求,生成该第一配置信息和/或该至少一个终端设备分别对应的至少一个第三配置信息,该第三配置信息包括该第二局域网的网段和/或该终端设备对应的VPN证书;收发单元410还用于向该至少一个终端设备分别发送该第三配置信息。
在一些实施例中,该VPN服务器被配置为桥接模式。
可选的,该电子设备400可对应于上文方法实施例中的终端设备,例如可以为终端设备的一种实现,或者配置于终端设备中的部件(如芯片或芯片***等)。
其中,收发单元410可以用于:通过VPN通道,向边缘设备发送第一数据包,该第一数据包包括源地址和目的地址,该第一数据包中的源地址为该终端设备的在第二局域网内的IP地址,该第一数据包中的目的地址为目标工业设备在第一局域网内的IP地址,该目标工业设备为在第一局域网内与该边缘设备实现通信连接的至少一个工业设备中的一个;通过该VPN通道,接收该边缘设备发送的第二数据包。
应理解,各单元执行上述相应步骤的具体过程在上述方法实施例中已经详细说明,为了简洁,在此不再赘述。
图5为本申请实施例提供的一种电子设备500的示意性结构图。图5所示的电子设备500可以实现为终端设备、边缘设备或VPN服务器,用于实现上文方法实施例中终端设备、边缘设备或VPN服务器所执行的步骤。该电子设备500包括处理器520,处理器520可以从存储器中调用并运行计算机程序,以实现本申请实施例中的方法。
在一些实施例中,如图5所示,电子设备500还可以包括存储器530。其中,处理器520可以从存储器530中调用并运行计算机程序,以实现本申请实施例中的方法。
其中,存储器530可以是独立于处理器520的一个单独的器件,也可以集成在处理器520中。
在一些实施例中,如图5所示,电子设备500还可以包括收发器510,处理器520可以控制该收发器510与其他设备进行通信,具体地,可以向其他设备发送信息或数据,或接收其他设备发送的信息或数据。
其中,收发器510可以包括发射机和接收机。收发器510还可以进一步包括天线,天线的数量可以为一个或多个。
在一些实施例中,该电子设备500可以实现本申请实施例中终端设备、边缘设备或VPN服务器侧的各个方法的相应流程,为了简洁,在此不再赘述。
图6为本申请示例性实施例提供的一种云服务器600的结构示意图。该云服务器600可以为上文方法实施例中VPN服务器的一种实现。如图6所示,该VPN服务器600包括:存储器610和处理器620。
存储器610,用于存储计算机程序,并可被配置为存储其它各种数据以支持在VPN服务器上的操作。该存储器610可以是对象存储(Object Storage Service,OSS)。
处理器620,与存储器610耦合,用于执行存储器610中的计算机程序,以用于实现上文方法实施例中由VPN服务器实现的方法。
进一步,如图6所示,该VPN服务器还包括:防火墙630、负载均衡器640、通信组件650、电源组件660等其它组件。图6中仅示意性给出部分组件,并不意味着VPN服务器只包括图6所示组件。
应理解,图6所示的VPN服务器500能够实现上文方法实施例中涉及VPN服务器的各个过程。VPN服务器500中的各个模块的操作和/或功能,分别为了实现上述方法实施例中的相应流程。具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
本申请还提供了一种处理装置,包括至少一个处理器,所述至少一个处理器用于执行存储器中存储的计算机程序,以使得所述处理装置执行上述方法实施例中终端设备、边缘设备或VPN服务器执行的方法。
本申请实施例还提供了一种处理装置,包括处理器和输入输出接口。所述输入输出接口与所述处理器耦合。所述输入输出接口用于输入和/或输出信息。所述信息包括指令和数据中的至少一项。所述处理器用于执行计算机程序,以使得所述处理装置执行上述方法实施例中终端设备、边缘设备或VPN服务器执行的方法。
本申请实施例还提供了一种处理装置,包括处理器和存储器。所述存储器用于存储计算机程序,所述处理器用于从所述存储器调用并运行所述计算机程序,以使得所述处理装置执行上述方法实施例中终端设备、边缘设备或VPN服务器执行的方法。
应理解,上述处理装置可以是一个或多个芯片。例如,该处理装置可以是现场可编程门阵列(field programmable gate array,FPGA),可以是专用集成芯片(applicationspecific integrated circuit,ASIC),还可以是***芯片(system on chip,SoC),还可以是处理器(central processor unit,CPU),还可以是网络处理器(network processor,NP),还可以是数字信号处理电路(digital signal processor,DSP),还可以是微控制器(micro controller unit,MCU),还可以是可编程控制器(programmable logic device,PLD)或其他集成芯片。
在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。为避免重复,这里不再详细描述。
应注意,本申请实施例中的处理器可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
可以理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rateSDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM,SLDRAM)和直接内存总线随机存取存储器(directrambus RAM,DR RAM)。应注意,本文描述的***和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
根据本申请实施例提供的方法,本申请还提供一种计算机程序产品,该计算机程序产品包括:计算机程序代码,当该计算机程序代码在计算机上运行时,使得该计算机执行上述方法实施例中的终端设备、边缘设备或VPN服务器执行的方法。
根据本申请实施例提供的方法,本申请还提供一种计算机可读存储介质,该计算机可读存储介质存储有程序代码,当该程序代码在计算机上运行时,使得该计算机执行上述方法实施例中的终端设备、边缘设备或VPN服务器执行的方法。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (12)
1.一种工业设备的远程通信方法,其特征在于,应用于边缘设备,所述边缘设备与至少一个工业设备在第一局域网内实现通信连接,包括:
通过虚拟专用网络VPN通道,获取来自于终端设备的第一数据包,所述第一数据包包括目的地址,所述第一数据包中的目的地址为目标工业设备在所述第一局域网内的网际互联协议IP地址,所述目标工业设备为所述至少一个工业设备中的一个;
将所述第一数据包发送至所述目标工业设备;
所述第一数据包还包括源地址,所述第一数据包中的源地址为所述终端设备在第二局域网内的IP地址,所述第二局域网为通过VPN通道进行通信时采用的局域网;
所述将所述第一数据包发送至所述目标工业设备,包括:
在所述第一数据包中的源地址属于第二局域网的网段的情况下,根据预配置的源网络地址转换SNAT条目,将所述第一数据包中的源地址修改为所述边缘设备在所述第二局域网内的IP地址,所述SNAT条目用于指示将属于第二局域网的网段的源地址修改为所述边缘设备的IP地址;
将所述第一数据包发送至所述目标工业设备。
2.根据权利要求1所述的方法,其特征在于,所述通过VPN通道,获取来自于终端设备的第一数据包,包括:
接收VPN服务器转发的所述第一数据包。
3.根据权利要求1至2任一项所述的方法,其特征在于,所述方法还包括:
接收所述目标工业设备发送的第二数据包,所述第二数据包包括源地址和目的地址,所述第二数据包中的目的地址为所述边缘设备在所述第一局域网内的IP地址;
根据所述第一数据包的源地址修改记录和所述第二数据包的源地址,将所述第二数据包的目的地址修改为所述终端设备在所述第二局域网内的IP地址;
通过所述VPN通道,将所述第二数据包发送至所述终端设备。
4.一种工业设备的远程通信方法,其特征在于,应用于VPN服务器,包括:
向边缘设备发送第一配置信息,所述第一配置信息携带第二局域网的网段的信息,所述第二局域网的网段为通过VPN通道进行通信时采用的局域网;
向所述边缘设备转发来自于终端设备的第一数据包,所述第一数据包包括源地址和目的地址,所述第一数据包中的源地址为所述终端设备的在所述第二局域网内的IP地址,所述第一数据包中的目的地址为目标工业设备在第一局域网内的IP地址,所述目标工业设备为在第一局域网内与所述边缘设备实现通信连接的至少一个工业设备中的一个;所述第一数据包还包括源地址,所述第一数据包中的源地址为所述终端设备在第二局域网内的IP地址,所述第二局域网为通过VPN通道进行通信时采用的局域网;
边缘服务器在通过虚拟专用网络VPN通道,获取到来自于所述终端设备的第一数据包之后,在所述第一数据包中的源地址属于第二局域网的网段的情况下,根据预配置的源网络地址转换SNAT条目,将所述第一数据包中的源地址修改为所述边缘设备在所述第二局域网内的IP地址,所述SNAT条目用于指示将属于第二局域网的网段的源地址修改为所述边缘设备的IP地址;将所述第一数据包发送至所述目标工业设备。
5.根据权利要求4所述的方法,其特征在于,在所述向所述边缘设备转发来自于终端设备的第一数据包之前,所述方法还包括:
向所述边缘设备发送第二配置信息,所述第二配置信息携带有VPN客户端安装包、VPN证书、VPN启动指令中的至少之一。
6.根据权利要求5所述的方法,其特征在于,在所述向所述边缘设备发送第二配置信息之前,所述方法还包括:
接收所述边缘设备在初次上电时发送的第一客户端配置请求,所述第一客户端配置请求用于请求所述VPN服务器发送所述第二配置信息。
7.根据权利要求4至6任一项所述的方法,其特征在于,所述方法还包括:
获取第二客户端配置请求,所述第二客户端请求用于请求配置至少一个终端设备分别对应的VPN环境;
根据所述第二客户端配置请求,生成所述第一配置信息和/或所述至少一个终端设备分别对应的至少一个第三配置信息,所述第三配置信息包括所述第二局域网的网段和/或所述终端设备对应的VPN证书;
向所述至少一个终端设备分别发送所述第三配置信息。
8.一种工业设备的远程通信方法,其特征在于,应用于终端设备,包括:
通过VPN通道,向边缘设备发送第一数据包,所述第一数据包包括源地址和目的地址,所述第一数据包中的源地址为所述终端设备的在第二局域网内的IP地址,所述第一数据包中的目的地址为目标工业设备在第一局域网内的IP地址,所述目标工业设备为在第一局域网内与所述边缘设备实现通信连接的至少一个工业设备中的一个;
通过所述VPN通道,接收所述边缘设备发送的第二数据包;
所述第一数据包还包括源地址,所述第一数据包中的源地址为所述终端设备在第二局域网内的IP地址,所述第二局域网为通过VPN通道进行通信时采用的局域网;
边缘服务器在获取到所述第一数据包之后,在所述第一数据包中的源地址属于第二局域网的网段的情况下,根据预配置的源网络地址转换SNAT条目,将所述第一数据包中的源地址修改为所述边缘设备在所述第二局域网内的IP地址,所述SNAT条目用于指示将属于第二局域网的网段的源地址修改为所述边缘设备的IP地址;将所述第一数据包发送至所述目标工业设备。
9.一种边缘设备,其特征在于,所述边缘设备与至少一个工业设备在第一局域网内实现通信连接,所述边缘设备包括:
获取单元,用于通过虚拟专用网络VPN通道,获取来自于终端设备的第一数据包,所述第一数据包包括目的地址,所述第一数据包中的目的地址为目标工业设备在所述第一局域网内的网际互联协议IP地址,所述目标工业设备为所述至少一个工业设备中的一个;
收发单元,用于将所述第一数据包发送至所述目标工业设备;
所述第一数据包还包括源地址,所述第一数据包中的源地址为所述终端设备在第二局域网内的IP地址,所述第二局域网为通过VPN通道进行通信时采用的局域网;
所述收发单元,具体用于在所述第一数据包中的源地址属于第二局域网的网段的情况下,根据预配置的源网络地址转换SNAT条目,将所述第一数据包中的源地址修改为所述边缘设备在所述第二局域网内的IP地址,所述SNAT条目用于指示将属于第二局域网的网段的源地址修改为所述边缘设备的IP地址;
将所述第一数据包发送至所述目标工业设备。
10.一种服务器,其特征在于,包括:
收发单元,用于向边缘设备发送第一配置信息,所述第一配置信息携带第二局域网的网段的信息,所述第二局域网的网段为通过VPN通道进行通信时采用的局域网;
所述收发单元还用于向所述边缘设备转发来自于终端设备的第一数据包,所述第一数据包包括源地址和目的地址,所述第一数据包中的源地址为所述终端设备的在所述第二局域网内的IP地址,所述第一数据包中的目的地址为目标工业设备在第一局域网内的IP地址,所述目标工业设备为在第一局域网内与所述边缘设备实现通信连接的至少一个工业设备中的一个;所述第一数据包还包括源地址,所述第一数据包中的源地址为所述终端设备在第二局域网内的IP地址,所述第二局域网为通过VPN通道进行通信时采用的局域网;
边缘服务器在通过虚拟专用网络VPN通道,获取到来自于所述终端设备的第一数据包之后,在所述第一数据包中的源地址属于第二局域网的网段的情况下,根据预配置的源网络地址转换SNAT条目,将所述第一数据包中的源地址修改为所述边缘设备在所述第二局域网内的IP地址,所述SNAT条目用于指示将属于第二局域网的网段的源地址修改为所述边缘设备的IP地址;将所述第一数据包发送至所述目标工业设备。
11.一种终端设备,其特征在于,包括:
收发单元,用于通过VPN通道,向边缘设备发送第一数据包,所述第一数据包包括源地址和目的地址,所述第一数据包中的源地址为所述终端设备的在第二局域网内的IP地址,所述第一数据包中的目的地址为目标工业设备在第一局域网内的IP地址,所述目标工业设备为在第一局域网内与所述边缘设备实现通信连接的至少一个工业设备中的一个;
所述收发单元还用于通过所述VPN通道,接收所述边缘设备发送的第二数据包;
所述第一数据包还包括源地址,所述第一数据包中的源地址为所述终端设备在第二局域网内的IP地址,所述第二局域网为通过VPN通道进行通信时采用的局域网;
边缘服务器在获取到所述第一数据包之后,在所述第一数据包中的源地址属于第二局域网的网段的情况下,根据预配置的源网络地址转换SNAT条目,将所述第一数据包中的源地址修改为所述边缘设备在所述第二局域网内的IP地址,所述SNAT条目用于指示将属于第二局域网的网段的源地址修改为所述边缘设备的IP地址;将所述第一数据包发送至所述目标工业设备。
12.一种电子设备,其特征在于,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如权利要求1至8中任一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210334472.5A CN114615080B (zh) | 2022-03-30 | 2022-03-30 | 工业设备的远程通信方法、装置以及设备 |
| PCT/CN2023/084356 WO2023185823A1 (zh) | 2022-03-30 | 2023-03-28 | 工业设备的远程通信方法、装置以及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210334472.5A CN114615080B (zh) | 2022-03-30 | 2022-03-30 | 工业设备的远程通信方法、装置以及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114615080A CN114615080A (zh) | 2022-06-10 |
| CN114615080B true CN114615080B (zh) | 2023-12-05 |
Family
ID=81867176
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210334472.5A Active CN114615080B (zh) | 2022-03-30 | 2022-03-30 | 工业设备的远程通信方法、装置以及设备 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN114615080B (zh) |
| WO (1) | WO2023185823A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114615080B (zh) * | 2022-03-30 | 2023-12-05 | 阿里巴巴(中国)有限公司 | 工业设备的远程通信方法、装置以及设备 |
| CN116347437B (zh) * | 2023-05-22 | 2023-08-04 | 深圳市优博生活科技有限公司 | 基于工业客户端设备的消除暴露协议实现方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009129707A1 (zh) * | 2008-04-21 | 2009-10-29 | 成都市华为赛门铁克科技有限公司 | 局域网之间发送、接收信息的方法和装置以及通信的*** |
| CN104994331A (zh) * | 2015-05-13 | 2015-10-21 | 浙江宇视科技有限公司 | 一种适合低速链路的网络间流量发送方法和*** |
| CN106899474A (zh) * | 2016-12-07 | 2017-06-27 | 新华三技术有限公司 | 一种报文转发的方法和装置 |
| CN108390937A (zh) * | 2018-03-01 | 2018-08-10 | 深圳市腾讯计算机***有限公司 | 远程监控方法、装置及存储介质 |
| CN108769292A (zh) * | 2018-06-29 | 2018-11-06 | 北京百悟科技有限公司 | 报文数据处理方法及装置 |
| EP3605958A1 (en) * | 2018-08-02 | 2020-02-05 | Nokia Solutions and Networks Oy | Ip routed virtual private lan |
| CN112671938A (zh) * | 2019-10-15 | 2021-04-16 | 华为技术有限公司 | 业务服务提供方法及***、远端加速网关 |
| CN113992440A (zh) * | 2021-12-28 | 2022-01-28 | 北京安博通科技股份有限公司 | 一种网关设备和将本地数据传入IPsec隧道的方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4802263B2 (ja) * | 2009-07-17 | 2011-10-26 | 株式会社日立製作所 | 暗号化通信システム及びゲートウェイ装置 |
| US20160226815A1 (en) * | 2015-01-30 | 2016-08-04 | Huawei Technologies Co., Ltd. | System and method for communicating in an ssl vpn |
| US10135789B2 (en) * | 2015-04-13 | 2018-11-20 | Nicira, Inc. | Method and system of establishing a virtual private network in a cloud service for branch networking |
| CN110166450B (zh) * | 2019-05-17 | 2021-11-05 | 固高科技股份有限公司 | 基于工业以太网的数据传输方法、装置以及通信设备 |
| CN114244906B (zh) * | 2021-12-15 | 2024-03-19 | 中国电信股份有限公司 | 数据流量分流方法、装置、设备及介质 |
| CN114615080B (zh) * | 2022-03-30 | 2023-12-05 | 阿里巴巴(中国)有限公司 | 工业设备的远程通信方法、装置以及设备 |
-
2022
- 2022-03-30 CN CN202210334472.5A patent/CN114615080B/zh active Active
-
2023
- 2023-03-28 WO PCT/CN2023/084356 patent/WO2023185823A1/zh unknown
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009129707A1 (zh) * | 2008-04-21 | 2009-10-29 | 成都市华为赛门铁克科技有限公司 | 局域网之间发送、接收信息的方法和装置以及通信的*** |
| CN104994331A (zh) * | 2015-05-13 | 2015-10-21 | 浙江宇视科技有限公司 | 一种适合低速链路的网络间流量发送方法和*** |
| CN106899474A (zh) * | 2016-12-07 | 2017-06-27 | 新华三技术有限公司 | 一种报文转发的方法和装置 |
| CN108390937A (zh) * | 2018-03-01 | 2018-08-10 | 深圳市腾讯计算机***有限公司 | 远程监控方法、装置及存储介质 |
| CN108769292A (zh) * | 2018-06-29 | 2018-11-06 | 北京百悟科技有限公司 | 报文数据处理方法及装置 |
| EP3605958A1 (en) * | 2018-08-02 | 2020-02-05 | Nokia Solutions and Networks Oy | Ip routed virtual private lan |
| CN112671938A (zh) * | 2019-10-15 | 2021-04-16 | 华为技术有限公司 | 业务服务提供方法及***、远端加速网关 |
| CN113992440A (zh) * | 2021-12-28 | 2022-01-28 | 北京安博通科技股份有限公司 | 一种网关设备和将本地数据传入IPsec隧道的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114615080A (zh) | 2022-06-10 |
| WO2023185823A1 (zh) | 2023-10-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114615080B (zh) | 工业设备的远程通信方法、装置以及设备 | |
| CN105577548B (zh) | 一种软件定义网络中报文处理方法和装置 | |
| US9929993B2 (en) | Method for transmitting messages in an energy automation network, energy automation component and substation | |
| US9906948B2 (en) | Wireless communication system, wireless devices, and method for setting addresses of same | |
| US10333887B2 (en) | Internet protocol (IP) network virtualization of serial network endpoints | |
| KR101880346B1 (ko) | 중계 장치 및 통신 방식 선택 방법 및 프로그램을 기억한 기억 매체 | |
| US20170005930A1 (en) | Communication device and communication method | |
| EP3949292B1 (en) | Systems and methods for establishing communication links between networks and devices with different routing protocols | |
| US20170302587A1 (en) | Method for transmitting data, and associated network node and associated network | |
| CN109547350B (zh) | 一种路由学习方法及网关设备 | |
| CN109495314B (zh) | 云端机器人的通信方法、装置、介质及电子设备 | |
| CN108512755B (zh) | 一种路由信息的学习方法及装置 | |
| US10177973B2 (en) | Communication apparatus, communication method, and communication system | |
| US11165465B2 (en) | Method for transporting LoRa frames on a PLC network | |
| US20180343326A1 (en) | Can to ip internetworking | |
| US11218442B2 (en) | Communication device, control unit and method for determining device addresses within a communication network of an industrial automation system | |
| US9866524B2 (en) | Home gateway apparatus and packet transfer method | |
| CN112887187A (zh) | 一种设备间通信建立方法、***、装置、设备及介质 | |
| US20200267115A1 (en) | Switch and Method for Providing a Name Service within an Industrial Automation System by Distributing Supplemented Router Advertisement Messages | |
| CN115277349A (zh) | 一种配置分布式网关的方法、开放虚拟网络及存储介质 | |
| WO2016189884A1 (ja) | パケット中継装置およびパケット中継方法 | |
| CN116018785A (zh) | 用于运行网络的方法 | |
| JP2017108247A (ja) | 通信システム | |
| JP4996514B2 (ja) | ネットワークシステム及び電文の転送方法 | |
| CN108259292B (zh) | 建立隧道的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |