一种多个分布式路由器的虚拟专用网络的管理方法和系统与流程

本发明涉及通信技术领域，具体地说是一种多个分布式路由器的虚拟专用网络的管理方法和系统。

背景技术：

VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。

在传统的企业网络配置中，要进行远程访问，传统的方法是租用DDN(数字数据网)专线或帧中继，这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言，一般会通过拨号线路(Internet)进入企业的局域网，但这样必然带来安全上的隐患。

让外地员工访问到内网资源，利用VPN的解决方法就是在内网中架设一台VPN服务器。外地员工在当地连上互联网后，通过互联网连接VPN服务器，然后通过VPN服务器进入企业内网。为了保证数据安全，VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样，但实际上VPN使用的是互联网上的公用链路，因此VPN称为虚拟专用网络，其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用VPN访问内网资源，这就是VPN在企业中应用得如此广泛的原因。

现有的VPN专用网络技术存在的缺陷在于：VPN服务器的配置基本采用配置文件的方式，不利于普通用户部署安装以及后期的运维；在组网以及管理上要求很高，需要技术人员进行部署和管理，不利于大型网络的部署和维护。

技术实现要素：

本发明的目的在于提供一种多个分布式路由器的虚拟专用网络的管理方法，该方法能够对VPN虚拟网络进行直观的显示和组网，并且利用用户对其进行专业维护。

本发明的具体的技术方案为：一种多个分布式路由器的虚拟专用网络的管理方法，所述的方法涉及VPN服务器、客户端、多个分布式路由器；所述的VPN服务器包括VPN核心处理模块、业务处理模块、HTTP服务模块、数据库，所述的方法具体为：

S1：业务处理模块收集VPN节点数据，所述的节点数据为分布式路由器与VPN核心处理模块建立连接的VPN节点的数据；

S2：业务处理模块将VPN节点数据存储到数据库中；

S3：VPN节点数据通过HTTP服务模块进行可视化显示；

S4：业务处理模块根据客户端的请求对VPN节点数据修改。

在上述的多个分布式路由器的虚拟专用网络的管理方法中，所述的分布式路由器与VPN核心处理模块建立连接的方法具体为：

S11：VPN核心处理模块接收分布式路由器的连接请求；

S12：VPN核心处理模块根据分布式路由器的ID自动生成证书、秘钥，同时自动生成路由器参数数据、自动分配分布式路由器的IP地址，并将证书、秘钥、路由器参数数据、IP地址发送给分布式路由器；

S13：分布式路由器根据证书和秘钥建立和VPN核心处理模块的VPN连接，根据路由器参数数据建立和终端设备的连接。

在上述的多个分布式路由器的虚拟专用网络的管理方法中，所述的VPN节点数据主要包括：VPN连接状态信息、VPN节点的IP地址和网段、VPN节点下端网络的地址和网段、VPN节点和服务器的IP路由信息、VPN各个节点的配置参数。

在上述的多个分布式路由器的虚拟专用网络的管理方法中，所述的路由器参数数据包括路由器的网络IP地址、掩码，IP路由、VPN连接参数、VPN验证证书。

需要说明的是，VPN连接参数具体主要是，服务器的IP地址(或域名)，服务器使用的端口，断线的重连参数控制(比如：断开1分钟后，需要重新连接等)

VPN节点数据：主要是VPN使用的参数数据，用于建立稳定的VPN隧道，保持VPN能够稳定的连接(如：加密算法匹配、证书自动生成、是否对数据进行压缩、端口是否改变，各种网络地址段配置等)。

在上述的多个分布式路由器的虚拟专用网络的管理方法中，所述的S4具体为：

S41：VPN核心处理模块接收客户端的连接请求；

S42：VPN核心处理模块通过私有协议认证建立和客户端的VPN连接；

S43：业务处理模块通过VPN核心处理模块接收客户端的请求；

S44：业务处理模块根据客户端的请求对VPN节点数据修改。

在上述的多个分布式路由器的虚拟专用网络的管理方法中，所述的VPN服务器还包括持久化连接模块；

所述的S13后还包括：S14：通过持久化连接模块维持VPN核心处理模块和分布式路由器的持久化连接。

在上述的多个分布式路由器的虚拟专用网络的管理方法中，所述的S13后还包括：S15：建立具有公网IP地址的分布式路由器之间的点对点连接。

在上述的多个分布式路由器的虚拟专用网络的管理方法中，所述的S13后还包括：S16：通过VPN核心处理模块手动建立或断开分布式路由器与VPN核心处理模块的连接。

同时，本发明还提供一种用于实现上述的多个分布式路由器的虚拟专用网络的管理方法的系统，所述的系统为VPN服务器，所述的VPN服务器包括：

业务处理模块：用于收集VPN节点数据、将VPN节点数据存储到数据库中、根据客户端的请求对VPN节点数据修改、将VPN节点数据输送给HTTP服务模块；

HTTP服务模块：对VPN节点数据进行显示；

数据库：用于存储VPN节点数据；

VPN核心处理模块：用于建立和分布式路由器、客户端的连接。

在上述的多个分布式路由器的虚拟专用网络的管理系统中，所述的VPN核心处理模块包括以下子模块：

连接请求接收子模块，用于接收分布式路由器、客户端的连接请求；

证书、秘钥生成子模块，用于根据分布式路由器的ID自动生成证书、秘钥；

路由器参数生成子模块，用于自动生成路由器参数数据；

IP地址生成子模块，用于自动分配分布式路由器的IP地址；

数据传输子模块，用于将证书、秘钥、路由器参数数据、IP地址发送给分布式路由器，用于将客户端的请求发送至业务处理模块；

连接子模块，用于根据分布式路由器发送的证书、秘钥建立和分布式路由器的连接，用于根据私有协议建立和客户端的连接；

点对点连接子模块，用于建立具有公网IP地址的分布式路由器之间的点对点连接；

手动建立或断开VPN连接子模块，用于手动建立或断开分布式路由器与VPN核心处理模块的连接；

所述的VPN服务器还包括持久化连接模块，所述的持久化连接模块用于维持VPN核心处理模块和分布式路由器的持久化连接。

与现有技术相比，本发明的有益效果在于：

本发明的多个分布式路由器的虚拟专用网络的管理方法，能够对VPN虚拟网络进行直观的显示和组网，并且利用用户对其进行专业维护。

本发明实现了VPN服务的自动化、智能化网络部署和连接，提高VPN服务的可用性，高并发、数据分析、维护管理等。

在VPN的网络图谱中，通过自定义VPN的认证部分，针对性的进行证书验证，保证只有可靠的终端设备可以在VPN服务中进行注册并连接，提高服务的安全性；

提高WEB可视化页面，进行VPN服务的参数配置、状态查看、历史数据分析、远程控制、权限角色管理、自定义私有协议、自动分配终端网络地址、分布式数据通道等；通过改造网络拓扑由点对多点连接为多点到多点的连接，提高VPN服务器的并发能力，减少网络带宽和硬件基础设施的要求；提供按需连接的需求，有效降低服务器的压力，降低带宽流量，并提高系统的可用性。

附图说明

图1为本发明实施例1的流程图；

图2是本发明实施例1的VPN节点建立的流程图；

图3是本发明实施例1的S4的流程图

图4为本发明实施例2的结构方框图。

具体实施方式

下面结合具体实施方式，对本发明的技术方案作进一步的详细说明，但不构成对本发明的任何限制。

实施例1

如图1所示，一种多个分布式路由器的虚拟专用网络的管理方法，所述的方法涉及VPN服务器、客户端、多个分布式路由器；所述的VPN服务器包括VPN核心处理模块、业务处理模块、HTTP服务模块、数据库、持久化连接模块，所述的方法具体为：

S1：业务处理模块收集VPN节点数据，所述的节点数据为分布式路由器与VPN核心处理模块建立连接的VPN节点的数据；

其中，如图2所示，所述的分布式路由器与VPN核心处理模块建立连接的方法具体为：

S11：VPN核心处理模块接收分布式路由器的连接请求；

S12：VPN核心处理模块根据分布式路由器的ID自动生成证书、秘钥，同时自动生成路由器参数数据、自动分配分布式路由器的IP地址，并将证书、秘钥、路由器参数数据、IP地址发送给分布式路由器；所述的路由器参数数据包括路由器的网络IP地址、掩码，IP路由、VPN连接参数、VPN验证证书；

本步骤的意义在于：通过自动生成证书、秘钥，自动生成路由器参数数据，自动分配分布式路由器的IP地址实现了VPN服务的自动化、智能化网络部署和连接。

S13：分布式路由器根据证书和秘钥建立和VPN核心处理模块的VPN连接，根据路由器参数数据建立和终端设备的连接。

本实施例中，一个分布式路由器上可以连接多个终端设备，因此需要VPN核心处理模块自动生成路由器参数数据，以利用终端设备的连接以及VPN服务器对终端设备的管理。

具体来说，分布式路由器根据收到的路由器参数数据进行如下操作：

首先，开启DHCP服务、PPPoE服务或静态IP地址，保证路由器下端的终端设备能后自动获取IP地址、掩码或进行手动配置网络参数；

其次，配置路由器的IP路由，保证终端设备能够通过VPN通道联网；

然后，VPN连接参数，保证路由器可以连接到正确的VPN平台，保证VPN通道和路由可用。路由器的终端设备接入路由器的局域网，并由路由器通过DHCP、PPPoP或静态IP地址的方式，给终端设备分配地址，使终端设备能够通过VPN通道进行联网，已达到整个VPN网络互联互通。这样，所有接入到VPN服务器的路由器或用户客户端均可以访问VPN网络中的任意节点。

S14：通过持久化连接模块以MQTT协议维持VPN核心处理模块和分布式路由器的持久化连接；

S15：建立具有公网IP地址的分布式路由器之间的点对点连接；

在实际应用中，建立具有公网IP地址的分布式路由器之间的点对点连接具体为：由VPN服务对所有接入的VPN路由器进行验证合法性，并记录VPN路由器的地址是否为公网IP地址

如果存在公网IP地址，则VPN路由经过VPN服务器认证后，建立路由器之间的点对点VPN通道，以减少VPN服务器的负担，提供更好的VPN网络传输质量

如果不是公网IP地址，多个路由器分别与VPN服务器建立VPN通道连接，所有的路由器之间的数据传输都由服务器进行中转处理。

S16：通过VPN核心处理模块手动建立或断开分布式路由器与VPN核心处理模块的连接；

S2：业务处理模块将VPN节点数据存储到数据库中；

所述的VPN节点数据主要包括：VPN连接状态信息、VPN节点的IP地址和网段、VPN节点下端网络的地址和网段、VPN节点和服务器的IP路由信息、VPN各个节点的配置参数。VPN的连接状态包括历史的状态、日志、参数等各种信息。这样在有些VPN节点可能由于断网或其他原因导致断线的情况下，通过及时更新VPN的状态信息，表示哪些VPN节点已经断开或连接，以此用户可以很直观的查看这些信息并发现哪些VPN节点是正常或异常的。

S3：VPN节点数据通过HTTP服务模块进行可视化显示；

在本实施例中，还可以对数据库中保持的VPN节点数据进行数据分析，为客户提供改进方案和建议，提高整个系统的人性化管理；保证客户不需要了解网络部署的技术细节，只需要通过可视化的配置页面进行简单的操作即可。

S4：业务处理模块根据客户端的请求对VPN节点数据修改。

具体来说，如图3所示，所述的S4具体为：

S41：VPN核心处理模块接收客户端的连接请求；

S42：VPN核心处理模块通过私有协议认证建立和客户端的VPN连接；VPN连接的私有协议认证包括但不限于IPSec、OpenVPN、L2TP、PPTP、GRE；

S43：业务处理模块通过VPN核心处理模块接收客户端的请求；

S44：业务处理模块根据客户端的请求对VPN节点数据修改。

VPN节点数据的修改主要包括路由器节点之间的权限控制，是否允许路由器VPN节点接入，以及手动断开连接或重新触发连接等操作。此外，在数据的加密方式发生变化时，需要所有的VPN节点统一修改，VPN节点统一修改主要是连接参数的修改或证书的变更，防止VPN服务器修改了参数或认证证书，导致没有办法重新进行VPN连接；如：修改了加密算法后，VPN连接会断开，需要修改路由器的加密方式和服务器匹配后才能重新连接并正常通讯)，否则将导致数据无法正常通讯。

通过本实施例的方法，能够对VPN虚拟网络进行直观的显示和组网，并且利用用户对其进行专业维护。

本发明实现了VPN服务的自动化、智能化网络部署和连接，提高VPN服务的可用性，高并发、数据分析、维护管理等，在VPN的网络图谱中，通过自定义VPN的认证部分，针对性的进行证书验证，保证只有可靠的终端设备可以在VPN服务中进行注册并连接，提高服务的安全性；提高WEB可视化页面，进行VPN服务的参数配置、状态查看、历史数据分析、远程控制、权限角色管理、自定义私有协议、自动分配终端网络地址、分布式数据通道等；通过改造网络拓扑由点对多点连接为多点到多点的连接，提高VPN服务器的并发能力，减少网络带宽和硬件基础设施的要求；提供按需连接的需求，有效降低服务器的压力，降低带宽流量，并提高系统的可用性。

实施例2

如图4所示，一种用多个分布式路由器6的虚拟专用网络的管理系统，所述的系统为VPN服务器1，所述的VPN服务器1包括：

业务处理模块2：用于收集VPN节点数据、将VPN节点数据存储到数据库4中、根据客户端7的请求对VPN节点数据修改、将VPN节点数据输送给HTTP服务模块3；

HTTP服务模块3：对VPN节点数据进行显示；

数据库4：用于存储VPN节点数据；

VPN核心处理模块5：用于建立和分布式路由器6、客户端7的连接。

所述的VPN核心处理模块5包括以下子模块：

连接请求接收子模块，用于接收分布式路由器6、客户端7的连接请求；

证书、秘钥生成子模块，用于根据分布式路由器6的ID自动生成证书、秘钥；

路由器参数生成子模块，用于自动生成路由器参数数据；所述的路由器参数数据包括路由器的网络IP地址、掩码，IP路由、VPN连接参数、VPN验证证书；

本实施例中，一个分布式路由器6上可以连接多个终端设备8，因此需要VPN核心处理模块自动生成路由器参数数据，以利用终端设备8的连接以及VPN服务器对终端设备8的管理。

具体来说，分布式路由器根据收到的路由器参数数据进行如下操作：

首先，开启DHCP服务、PPPoE服务或静态IP地址，保证路由器下端的终端设备8能后自动获取IP地址、掩码或进行手动配置网络参数；

其次，配置路由器的IP路由，保证终端设备8能够通过VPN通道联网；

然后，VPN连接参数，保证路由器可以连接到正确的VPN平台，保证VPN通道和路由可用。路由器的终端设备8接入路由器的局域网，并由路由器通过DHCP、PPPoP或静态IP地址的方式，给终端设备8分配地址，使终端设备8能够通过VPN通道进行联网，已达到整个VPN网络互联互通。这样，所有接入到VPN服务器的路由器或用户客户端均可以访问VPN网络中的任意节点。

IP地址生成子模块，用于自动分配分布式路由器6的IP地址；

数据传输子模块，用于将证书、秘钥、路由器参数数据、IP地址发送给分布式路由器6，用于将客户端7的请求发送至业务处理模块2；

连接子模块，用于根据分布式路由器6发送的证书、秘钥建立和分布式路由器6的连接，用于根据私有协议建立和客户端7的连接；

点对点连接子模块，用于建立具有公网IP地址的分布式路由器6之间的点对点连接；

手动建立或断开VPN连接子模块，用于手动建立或断开分布式路由器6与VPN核心处理模块5的连接；

所述的VPN服务器1还包括持久化连接模块9，所述的持久化连接模块9用于维持VPN核心处理模块5和分布式路由器6的持久化连接。

本系统能够能够对VPN虚拟网络进行直观的显示和组网，并且利用用户对其进行专业维护；实现了VPN服务的自动化、智能化网络部署和连接，提高VPN服务的可用性，高并发、数据分析、维护管理等；在VPN的网络图谱中，通过自定义VPN的认证部分，针对性的进行证书验证，保证只有可靠的终端设备8可以在VPN服务中进行注册并连接，提高服务的安全性；提高WEB可视化页面，进行VPN服务的参数配置、状态查看、历史数据分析、远程控制、权限角色管理、自定义私有协议、自动分配终端网络地址、分布式数据通道等；通过改造网络拓扑由点对多点连接为多点到多点的连接，提高VPN服务器1的并发能力，减少网络带宽和硬件基础设施的要求；提供按需连接的需求，有效降低服务器的压力，降低带宽流量，并提高系统的可用性。

以上所述的仅为本发明的较佳实施例，凡在本发明的精神和原则范围内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。