本发明专利技术公开了一种建立VPN隧道的方法、装置、设备及存储介质,所述方法包括:接收由CPE发送的建连请求消息;其中,所述CPE位于SD‑WAN的分支节点中,所述建连请求消息包括:所述CPE的身份识别信息;进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息;其中,所述建连对象是位于SD‑WAN的云端服务节点中的vCPE,且在所述云端服务节点中还包括第一NAT设备,所述vCPE通过所述第一NAT设备连接所述控制平台;将与所述建连对象的身份识别信息对应的第一外网IP地址信息发送至所述CPE,以供所述CPE利用所述第一外网IP地址信息并通过所述第一NAT设备建立与所述vCPE之间的虚拟专用网络VPN隧道。
A method, device, device and storage medium for building VPN tunnel
【技术实现步骤摘要】
一种建立VPN隧道的方法、装置、设备及存储介质
本专利技术涉及互联网
,特别涉及一种建立VPN隧道的方法、装置、设备及存储介质。
技术介绍
SD-WAN(Software-DefinedWAN,软件定义广域网)是将SDN(SoftwareDefinedNetwork,软件定义网络)技术应用到广域网场景中所形成的一种服务;SD-WAN能够取代传统广域网线路(MPLS-VPN,IPSec-VPN等),连接广阔地理范围内的企业网络、数据中心、互联网应用及云服务,能够帮助用户降低广域网的开支和提高网络连接灵活性;目前可以将SD-WAN分成四种技术架构:叠加架构、云端架构、整合架构和原生架构,其中,云端架构是云商和服务商最喜欢的架构方式,也是SD-WAN大规模分支部署的推荐架构。在云端架构中,vCPE(virtualCustomerPremiseEquipment,虚拟客户终端设备)被部署在SD-WAN的云端服务节点中,且vCPE需要通过NAT(NetworkAddressTranslation,网络地址转换)方式接入互联网。由于vCPE位于云端服务节点的NAT设备之后,导致SD-WAN的分支节点中的CPE(CustomerPremiseEquipment,客户终端设备)无法直接与vCPE通信,CPE发送给vCPE的消息会被NAT设备丢弃;因此,如何解决在CPE与vCPE之间直接建立VPN(VirtualPrivateNetwork,虚拟专用网络)隧道成为本领域技术人员亟需解决的技术问题。
技术实现思路
r>本专利技术的目的在于提供一种建立VPN隧道的方法、装置、设备及存储介质,能够实现在CPE与vCPE之间直接建立VPN隧道。根据本专利技术的一个方面,提供了一种建立VPN隧道的方法,应用于SD-WAN的控制平台,所述方法包括:接收由客户终端设备CPE发送的建连请求消息;其中,所述CPE位于SD-WAN的分支节点中,所述建连请求消息包括:所述CPE的身份识别信息;进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息;其中,所述建连对象是位于SD-WAN的云端服务节点中的虚拟客户端设备vCPE,且在所述云端服务节点中还包括第一网络地址交互NAT设备,所述vCPE通过所述第一NAT设备连接所述控制平台;将与所述建连对象的身份识别信息对应的第一外网IP地址信息发送至所述CPE,以供所述CPE利用所述第一外网IP地址信息并通过所述第一NAT设备建立与所述vCPE之间的虚拟专用网络VPN隧道。可选的,在所述接收由客户终端设备CPE发送的建连请求消息的步骤之前,所述方法还包括:接收由所述第一NAT设备转发的配置参数消息;其中,所述配置参数消息是由所述vCPE发送至所述第一NAT设备的;从所述配置参数消息中解析出所述vCPE的身份识别信息和外网IP地址信息;建立所述身份识别信息和外网IP地址信息的对应关系。可选的,在所述CPE与所述vCPE之间建立了VPN隧道时,所述方法还包括:接收由所述第一NAT设备转发的探测消息;其中,所述探测消息是由所述vCPE发送至所述第一NAT设备的消息;从所述探测消息中解析出第二外网IP地址信息;判断所述第一外网IP地址信息与所述第二外网IP地址信息是否一致;若不一致,则将所述第二外网IP地址信息发送至所述CPE,以供所述CPE利用所述第二外网IP地址信息并通过所述第一NAT设备重新建立与所述vCPE之间的VPN隧道。可选的,所述方法还包括:从所述建连请求消息中解析出所述CPE的第三外网IP地址信息;将所述第三外网IP地址信息通过所述第一NAT设备发送至所述vCPE,以供所述vCPE利用所述第三外网IP地址信息并通过所述第一NAT设备建立与所述CPE之间的VPN隧道。可选的,所述接收由客户终端设备CPE发送的建连请求消息的步骤,具体包括:接收由第二NAT设备转发的建连请求消息;其中,所述建连请求消息是由所述CPE发送至所述第二NAT设备的消息,且所述第二NAT设备位于所述分支节点中。可选的,所述将所述第一外网IP地址信息发送至所述CPE的步骤,具体包括:将所述第一外网IP地址信息通过所述第二NAT设备发送至所述CPE。为了实现上述目的,本专利技术还提供一种建立VPN隧道的装置,应用于SD-WAN的控制平台,所述装置包括:接收模块,用于接收由客户终端设备CPE发送的建连请求消息;其中,所述CPE位于SD-WAN的分支节点中,所述建连请求消息包括:所述CPE的身份识别信息;配置模块,用于进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息;其中,所述建连对象是位于SD-WAN的云端服务节点中的虚拟客户端设备vCPE,且在所述云端服务节点中还包括第一网络地址交互NAT设备,所述vCPE通过所述第一NAT设备连接所述控制平台;发送模块,用于将与所述建连对象的身份识别信息对应的第一外网IP地址信息发送至所述CPE,以供所述CPE利用所述第一外网IP地址信息并通过所述第一NAT设备建立与所述vCPE之间的虚拟专用网络VPN隧道。可选的,所述接收模块,还用于:接收由所述第一NAT设备转发的配置参数消息;其中,所述配置参数消息是由所述vCPE发送至所述第一NAT设备的消息;所述配置模块,还用于:从所述配置参数消息中解析出所述vCPE的身份识别信息和外网IP地址信息;所述发送模块,还用于建立所述身份识别信息和外网IP地址信息的对应关系。为了实现上述目的,本专利技术还提供一种计算机设备,该计算机设备具体包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述介绍的建立VPN隧道的方法的步骤。为了实现上述目的,本专利技术还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述介绍的建立VPN隧道的方法的步骤。本专利技术提供的建立VPN隧道的方法、装置、设备及存储介质,通过控制平台作为中转服务器,CPE和vCPE均向控制平台发起连接,以便控制平台获取CPE和vCPE的外网IP地址信息,从而在控制平台进行组网配置,并将包含对端的外网IP地址信息的隧道配置文件发送至CPE和vCPE,这样CPE和vCPE就有了对端的外网IP地址信息,就可以发送隧道协商报文,从而在CPE和vCPE之间建立VPN隧道。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1为实施例一提供的SD-WAN框架的组成结构示意图;图2为实施例一提供的建立VPN隧道的方法的一种可选的流程示意图;图3为实本文档来自技高网...
【技术保护点】
1.一种建立VPN隧道的方法,其特征在于,应用于SD-WAN的控制平台,所述方法包括:/n接收由客户终端设备CPE发送的建连请求消息;其中,所述CPE位于SD-WAN的分支节点中,所述建连请求消息包括:所述CPE的身份识别信息;/n进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息;其中,所述建连对象是位于SD-WAN的云端服务节点中的虚拟客户端设备vCPE,且在所述云端服务节点中还包括第一网络地址交互NAT设备,所述vCPE通过所述第一NAT设备连接所述控制平台;/n将与所述建连对象的身份识别信息对应的第一外网IP地址信息发送至所述CPE,以供所述CPE利用所述第一外网IP地址信息并通过所述第一NAT设备建立与所述vCPE之间的虚拟专用网络VPN隧道。/n
【技术特征摘要】
1.一种建立VPN隧道的方法,其特征在于,应用于SD-WAN的控制平台,所述方法包括:
接收由客户终端设备CPE发送的建连请求消息;其中,所述CPE位于SD-WAN的分支节点中,所述建连请求消息包括:所述CPE的身份识别信息;
进行组网配置,以确定出与所述CPE的身份识别信息对应的建连对象的身份识别信息;其中,所述建连对象是位于SD-WAN的云端服务节点中的虚拟客户端设备vCPE,且在所述云端服务节点中还包括第一网络地址交互NAT设备,所述vCPE通过所述第一NAT设备连接所述控制平台;
将与所述建连对象的身份识别信息对应的第一外网IP地址信息发送至所述CPE,以供所述CPE利用所述第一外网IP地址信息并通过所述第一NAT设备建立与所述vCPE之间的虚拟专用网络VPN隧道。
2.根据权利要求1所述的建立VPN隧道的方法,其特征在于,在所述接收由客户终端设备CPE发送的建连请求消息的步骤之前,所述方法还包括:
接收由所述第一NAT设备转发的配置参数消息;其中,所述配置参数消息是由所述vCPE发送至所述第一NAT设备的消息;
从所述配置参数消息中解析出所述vCPE的身份识别信息和外网IP地址信息;
建立所述身份识别信息和外网IP地址信息的对应关系。
3.根据权利要求1所述的建立VPN隧道的方法,其特征在于,在所述CPE与所述vCPE之间建立了VPN隧道时,所述方法还包括:
接收由所述第一NAT设备转发的探测消息;其中,所述探测消息是由所述vCPE发送至所述第一NAT设备的消息;
从所述探测消息中解析出第二外网IP地址信息;
判断所述第一外网IP地址信息与所述第二外网IP地址信息是否一致;
若不一致,则将所述第二外网IP地址信息发送至所述CPE,以供所述CPE利用所述第二外网IP地址信息并通过所述第一NAT设备重新建立与所述vCPE之间的VPN隧道。
4.根据权利要求1所述的建立VPN隧道的方法,其特征在于,所述方法还包括:
从所述建连请求消息中解析出所述CPE的第三外网IP地址信息;
将所述第三外网IP地址信息通过所述第一NAT设备发送至所述vCPE,以供所述vCPE利用所述第三外网IP地址信息并通过所述第一NAT设备建立与所述CPE之间的VPN隧道。
5....
【专利技术属性】
技术研发人员:张力园,樊俊诚,
申请(专利权)人:奇安信科技集团股份有限公司,网神信息技术北京股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。