本發(fā)明涉及網(wǎng)絡(luò)通信與安全，具體為一種虛擬隧道結(jié)合網(wǎng)絡(luò)轉(zhuǎn)發(fā)的敏捷組網(wǎng)技術(shù)。

背景技術(shù)：

1、虛擬隧道作為一種成熟的技術(shù)，廣泛應(yīng)用于不同站點(diǎn)的組網(wǎng)互聯(lián)。其核心原理是利用已有的互聯(lián)網(wǎng)出口，虛擬出一條“專線”，將不通的站點(diǎn)連接起來，從而組成一個(gè)大的局域網(wǎng)。這種技術(shù)在構(gòu)建安全且私密的網(wǎng)絡(luò)通信中起著至關(guān)重要的作用，因而被廣泛應(yīng)用于企業(yè)、組織等需要跨地域組網(wǎng)的場景中。

2、在現(xiàn)有技術(shù)中，已經(jīng)有多種不同的虛擬隧道技術(shù)被開發(fā)和使用，其中最為廣泛應(yīng)用的是ipsec(i?nternet?protoco?l?secur?ity)。ipsec定義了一套完整的安全標(biāo)準(zhǔn)框架，通過使用加密的安全服務(wù)，確保在ip網(wǎng)絡(luò)上進(jìn)行保密且安全的通信。ipsec不僅提供了公用網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的端對端加密，還提供了通信雙方的驗(yàn)證服務(wù)，以保證數(shù)據(jù)在傳輸過程中不被篡改和竊取。因此，ipsec被認(rèn)為是一種非常強(qiáng)大的虛擬隧道技術(shù)，尤其在需要高安全性要求的網(wǎng)絡(luò)環(huán)境中被廣泛應(yīng)用。

3、然而，ipsec盡管功能強(qiáng)大，但其配置相對復(fù)雜。傳統(tǒng)的基于ipsec的虛擬隧道技術(shù)在不同站點(diǎn)之間組建“站點(diǎn)”到“站點(diǎn)”的連接時(shí)，通常需要在兩端分別配置對端的信息。這些配置信息通常包括對端的ip地址、隧道模式、用于i?ke(i?nternet?key?exchange)的非對稱加密算法、單向散列加密算法、網(wǎng)絡(luò)轉(zhuǎn)發(fā)時(shí)使用的對稱加密算法，以及共享密鑰等。特別是在多站點(diǎn)環(huán)境中，當(dāng)需要多個(gè)站點(diǎn)兩兩互聯(lián)時(shí)，配置的復(fù)雜度和工作量將會(huì)倍數(shù)增加。此外，ipsec基于“興趣流”或路由進(jìn)行網(wǎng)絡(luò)轉(zhuǎn)發(fā)，其機(jī)制要求預(yù)定義需要通過虛擬隧道轉(zhuǎn)發(fā)的目標(biāo)網(wǎng)絡(luò)范圍，但對于接收端的網(wǎng)絡(luò)狀況并無感知。這將導(dǎo)致不必要的網(wǎng)絡(luò)流量通過虛擬隧道，增加了網(wǎng)絡(luò)隧道的轉(zhuǎn)發(fā)壓力，甚至可能引發(fā)網(wǎng)絡(luò)擁塞問題。

4、相比之下，wi?reguard是一種新興的虛擬隧道技術(shù)，以安全性、簡便性和高性能著稱。wi?reguard的設(shè)計(jì)初衷是簡化虛擬隧道的配置和管理，因此其配置過程比ipsec更為簡易。然而，wi?reguard本身僅定義了數(shù)據(jù)面轉(zhuǎn)發(fā)技術(shù)，并未對如何管理和建立虛擬隧道提供具體的定義。因此，雖然wi?reguard在數(shù)據(jù)傳輸?shù)男屎桶踩陨媳憩F(xiàn)出色，但在復(fù)雜的多站點(diǎn)組網(wǎng)場景中，其管理和擴(kuò)展能力受到了一定的限制。

5、傳統(tǒng)的基于ipsec的虛擬隧道技術(shù)，由于需要預(yù)定義“興趣流”或通過路由配置需要經(jīng)過虛擬隧道轉(zhuǎn)發(fā)的目標(biāo)網(wǎng)絡(luò)范圍，使得配置過程不僅復(fù)雜，而且要求網(wǎng)絡(luò)管理人員對協(xié)議本身以及密碼學(xué)有較高的理解。此外，不同站點(diǎn)間對于對端網(wǎng)絡(luò)狀況沒有感知能力，導(dǎo)致不能基于目標(biāo)的可達(dá)性自動(dòng)過濾不必要的數(shù)據(jù)包，從而可能產(chǎn)生網(wǎng)絡(luò)擁塞的風(fēng)險(xiǎn)。

技術(shù)實(shí)現(xiàn)思路

1、針對現(xiàn)有技術(shù)的不足，本發(fā)明提供了一種虛擬隧道結(jié)合網(wǎng)絡(luò)轉(zhuǎn)發(fā)的敏捷組網(wǎng)技術(shù)，解決了現(xiàn)有技術(shù)中虛擬隧道配置復(fù)雜、缺乏對網(wǎng)絡(luò)狀況的實(shí)時(shí)感知以及網(wǎng)絡(luò)轉(zhuǎn)發(fā)效率低下的問題。

2、為實(shí)現(xiàn)以上目的，本發(fā)明通過以下技術(shù)方案予以實(shí)現(xiàn)：一種虛擬隧道結(jié)合網(wǎng)絡(luò)轉(zhuǎn)發(fā)的敏捷組網(wǎng)技術(shù)，包括：

3、在站點(diǎn)的安全網(wǎng)關(guān)設(shè)備上生成公私密鑰對，并將公鑰發(fā)送至控制器；

4、控制器接收多個(gè)站點(diǎn)的安全網(wǎng)關(guān)公鑰信息，生成虛擬隧道配置信息，所述配置信息包括對端安全網(wǎng)關(guān)的ip地址、對端公鑰以及隧道ip地址；

5、控制器將生成的虛擬隧道配置信息下發(fā)至各站點(diǎn)的安全網(wǎng)關(guān)，安全網(wǎng)關(guān)基于所述配置信息建立虛擬隧道；

6、安全網(wǎng)關(guān)內(nèi)置探針模塊，定期探測本地網(wǎng)絡(luò)的可達(dá)性，并將探測信息傳遞至控制器；

7、控制器根據(jù)探針信息更新網(wǎng)絡(luò)轉(zhuǎn)發(fā)表，并將更新后的轉(zhuǎn)發(fā)表下發(fā)至安全網(wǎng)關(guān)。

8、優(yōu)選的，所述探針模塊能夠探測網(wǎng)絡(luò)的子網(wǎng)、主機(jī)，并能探測基于應(yīng)用層協(xié)議的服務(wù)狀態(tài)信息，并將這些信息反饋至控制器。

9、優(yōu)選的，所述控制器根據(jù)接收到的探針信息，調(diào)整虛擬隧道的網(wǎng)絡(luò)轉(zhuǎn)發(fā)表，優(yōu)化隧道的網(wǎng)絡(luò)流量分配。

10、優(yōu)選的，所述虛擬隧道基于wi?reguard協(xié)議，采用wi?reguard協(xié)議的加解密機(jī)制。

11、優(yōu)選的，所述加解密算法可替換為國密算法，以適應(yīng)不同的加密需求。

12、優(yōu)選的，所述安全網(wǎng)關(guān)設(shè)備通過互聯(lián)網(wǎng)與控制器進(jìn)行通信，控制器和安全網(wǎng)關(guān)之間的通信采用加密隧道技術(shù)。

13、優(yōu)選的，所述控制器由多個(gè)控制器組成的集群管理模式實(shí)現(xiàn)，集群中的每個(gè)控制器均可生成并管理虛擬隧道配置信息，并在任一控制器失效時(shí)由其他控制器接管管理功能。

14、優(yōu)選的，所述控制器集群模式支持控制器之間的信息同步，包括隧道配置信息、探針探測結(jié)果以及網(wǎng)絡(luò)轉(zhuǎn)發(fā)表信息。

15、優(yōu)選的，所述控制器根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及實(shí)時(shí)探針信息，動(dòng)態(tài)分配探測任務(wù)給各個(gè)安全網(wǎng)關(guān)。

16、優(yōu)選的，所述探針探測任務(wù)包括使用i?cmp、arp、http協(xié)議對目標(biāo)子網(wǎng)和ip地址的可達(dá)性進(jìn)行檢測，檢測結(jié)果用于實(shí)時(shí)調(diào)整虛擬隧道的網(wǎng)絡(luò)轉(zhuǎn)發(fā)策略。

17、本發(fā)明提供了一種虛擬隧道結(jié)合網(wǎng)絡(luò)轉(zhuǎn)發(fā)的敏捷組網(wǎng)技術(shù)。具備以下有益效果：

18、1、本發(fā)明通過控制器集中管理虛擬隧道的配置信息，你的發(fā)明顯著簡化了隧道的配置過程。相較于傳統(tǒng)的ipsec隧道配置，本發(fā)明僅需配置少量的關(guān)鍵信息即可完成隧道的建立。這不僅減少了配置時(shí)間，也降低了出錯(cuò)的風(fēng)險(xiǎn)，尤其適用于多站點(diǎn)的大規(guī)模組網(wǎng)場景。

19、2、本發(fā)明通過探針模塊的實(shí)時(shí)網(wǎng)絡(luò)探測和控制器的動(dòng)態(tài)轉(zhuǎn)發(fā)表更新功能，你的發(fā)明能夠根據(jù)最新的網(wǎng)絡(luò)狀態(tài)實(shí)時(shí)優(yōu)化數(shù)據(jù)的傳輸路徑，確保數(shù)據(jù)包通過最佳路徑傳輸。這減少了不必要的網(wǎng)絡(luò)流量，避免了隧道內(nèi)的網(wǎng)絡(luò)擁塞，提高了網(wǎng)絡(luò)傳輸效率。

20、3、本發(fā)明隧道配置中的ip地址可以與多個(gè)對端安全網(wǎng)關(guān)建立連接，這使得你的發(fā)明在擴(kuò)展性方面不受ip地址數(shù)量的限制，能夠適應(yīng)更大規(guī)模的網(wǎng)絡(luò)互聯(lián)需求，適用于復(fù)雜和大規(guī)模的網(wǎng)絡(luò)環(huán)境。

21、4、本發(fā)明通過探針模塊的引入，你的發(fā)明使每個(gè)安全網(wǎng)關(guān)具備了實(shí)時(shí)的網(wǎng)絡(luò)感知能力?？刂破髂軌蚋鶕?jù)探針反饋的信息迅速調(diào)整網(wǎng)絡(luò)轉(zhuǎn)發(fā)策略，從而確保數(shù)據(jù)流量能夠及時(shí)適應(yīng)網(wǎng)絡(luò)狀態(tài)的變化，這不僅提高了網(wǎng)絡(luò)的響應(yīng)速度，也提升了網(wǎng)絡(luò)的可靠性。

技術(shù)特征：

1.一種虛擬隧道結(jié)合網(wǎng)絡(luò)轉(zhuǎn)發(fā)的敏捷組網(wǎng)技術(shù)，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的一種虛擬隧道結(jié)合網(wǎng)絡(luò)轉(zhuǎn)發(fā)的敏捷組網(wǎng)技術(shù)，其特征在于，所述探針模塊能夠探測網(wǎng)絡(luò)的子網(wǎng)、主機(jī)，并能探測基于應(yīng)用層協(xié)議的服務(wù)狀態(tài)信息，并將這些信息反饋至控制器。

3.根據(jù)權(quán)利要求1所述的一種虛擬隧道結(jié)合網(wǎng)絡(luò)轉(zhuǎn)發(fā)的敏捷組網(wǎng)技術(shù)，其特征在于，所述控制器根據(jù)接收到的探針信息，調(diào)整虛擬隧道的網(wǎng)絡(luò)轉(zhuǎn)發(fā)表，優(yōu)化隧道的網(wǎng)絡(luò)流量分配。

4.根據(jù)權(quán)利要求1所述的一種虛擬隧道結(jié)合網(wǎng)絡(luò)轉(zhuǎn)發(fā)的敏捷組網(wǎng)技術(shù)，其特征在于，所述虛擬隧道基于wireguard協(xié)議，采用wireguard協(xié)議的加解密機(jī)制。

5.根據(jù)權(quán)利要求4所述的一種虛擬隧道結(jié)合網(wǎng)絡(luò)轉(zhuǎn)發(fā)的敏捷組網(wǎng)技術(shù)，其特征在于，所述加解密算法可替換為國密算法，以適應(yīng)不同的加密需求。

6.根據(jù)權(quán)利要求1所述的一種虛擬隧道結(jié)合網(wǎng)絡(luò)轉(zhuǎn)發(fā)的敏捷組網(wǎng)技術(shù)，其特征在于，所述安全網(wǎng)關(guān)設(shè)備通過互聯(lián)網(wǎng)與控制器進(jìn)行通信，控制器和安全網(wǎng)關(guān)之間的通信采用加密隧道技術(shù)。

7.根據(jù)權(quán)利要求1所述的一種虛擬隧道結(jié)合網(wǎng)絡(luò)轉(zhuǎn)發(fā)的敏捷組網(wǎng)技術(shù)，其特征在于，所述控制器由多個(gè)控制器組成的集群管理模式實(shí)現(xiàn)，集群中的每個(gè)控制器均可生成并管理虛擬隧道配置信息，并在任一控制器失效時(shí)由其他控制器接管管理功能。

8.根據(jù)權(quán)利要求1所述的一種虛擬隧道結(jié)合網(wǎng)絡(luò)轉(zhuǎn)發(fā)的敏捷組網(wǎng)技術(shù)，其特征在于，所述控制器集群模式支持控制器之間的信息同步，包括隧道配置信息、探針探測結(jié)果以及網(wǎng)絡(luò)轉(zhuǎn)發(fā)表信息。

9.根據(jù)權(quán)利要求1所述的一種虛擬隧道結(jié)合網(wǎng)絡(luò)轉(zhuǎn)發(fā)的敏捷組網(wǎng)技術(shù)，其特征在于，所述控制器根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及實(shí)時(shí)探針信息，動(dòng)態(tài)分配探測任務(wù)給各個(gè)安全網(wǎng)關(guān)。

10.根據(jù)權(quán)利要求9所述的一種虛擬隧道結(jié)合網(wǎng)絡(luò)轉(zhuǎn)發(fā)的敏捷組網(wǎng)技術(shù)，其特征在于，所述探針探測任務(wù)包括使用icmp、arp、http協(xié)議對目標(biāo)子網(wǎng)和ip地址的可達(dá)性進(jìn)行檢測，檢測結(jié)果用于實(shí)時(shí)調(diào)整虛擬隧道的網(wǎng)絡(luò)轉(zhuǎn)發(fā)策略。

技術(shù)總結(jié)
本申請涉及網(wǎng)絡(luò)通信與安全技術(shù)領(lǐng)域，公開了一種虛擬隧道結(jié)合網(wǎng)絡(luò)轉(zhuǎn)發(fā)的敏捷組網(wǎng)技術(shù)，包括：在站點(diǎn)的安全網(wǎng)關(guān)設(shè)備上生成公私密鑰對，并將公鑰發(fā)送至控制器；控制器接收多個(gè)站點(diǎn)的安全網(wǎng)關(guān)公鑰信息，生成虛擬隧道配置信息，所述配置信息包括對端安全網(wǎng)關(guān)的I?P地址、對端公鑰以及隧道I?P地址；控制器將生成的虛擬隧道配置信息下發(fā)至各站點(diǎn)的安全網(wǎng)關(guān)，安全網(wǎng)關(guān)基于所述配置信息建立虛擬隧道；安全網(wǎng)關(guān)內(nèi)置探針模塊，定期探測本地網(wǎng)絡(luò)的可達(dá)性，并將探測信息傳遞至控制器。隧道I?P地址以及對端公共密鑰信息，即可完成隧道配置，隧道I?P地址可用于與不同對端安全網(wǎng)關(guān)建立的虛擬隧道，其擴(kuò)展性不受I?P地址數(shù)量限制，可支持全互聯(lián)虛擬隧道組網(wǎng)。

技術(shù)研發(fā)人員：鄭子棟
受保護(hù)的技術(shù)使用者：山西鹿原科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/2