一种基于P2P技术的二级网络架构VPN组网方法与流程

本发明涉及计算机网络技术领域，特别涉及一种基于p2p技术的二级网络架构vpn组网方法。

背景技术：

vpn：虚拟专用网络，是在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。vpn网关通过对数据包的加密和数据包目标地址的转换实现远程访问。vpn有多种分类方式，主要是按协议进行分类。vpn可通过服务器、硬件、软件等多种方式实现。

p2p：对等网络，即对等计算机网络，是一种在对等者之间分配任务和工作负载的分布式应用架构，是对等计算机模型在应用层形成的一种组网或网络形式。网络的参与者共享他们拥有的一部分硬件资源(处理能力、存储能力、网络连接能力、打印机等)，这些共享资源通过网络提供服务和内容，能被其他对等者直接访问而无需经过中间实体。

传统vpn需要至少一端有公网ip地址才能组网，一些小的宽带运营商的网络是没有公网ip地址的，这种情况是无法使用vpn的，有些情况是需要进入上一级的路由器做端口映射，但是没有权限或找不到路由器的帐号和密码而没有办法设置。

技术实现要素：

为了克服上述问题，本发明提出一种可有效解决上述问题的基于p2p技术的二级网络架构vpn组网方法。

本发明解决上述技术问题提供的一种技术方案是：提供一种基于p2p技术的二级网络架构vpn组网方法，包括至少一台epn透穿服务器和多台epn硬件网关，所述多台epn硬件网关通过互联网与epn透穿服务器通讯连接，所述epn硬件网关通过网线连接宽带光猫或交换机，并且可通过网线连接多台电脑主机、oa服务器、erp服务器等，epn硬件网关之间通过epn透穿服务器协助打洞透穿双方进行认证协商，认证协商正确无误则建立vpn隧道，否则拒绝对方的vpn连接请求，两台建立vpn隧道的epn硬件网关连接的电脑主机可像局域网一样访问对方内网的电脑主机、oa服务器、erp服务器，所述epn透穿服务器必须是有公网ip地址的云服务器主机或idc机房托管的服务器主机，所述epn硬件网关有一个唯一的epn序列号，用于建立vpn隧道时的身份标识，所述epn硬件网关之间建立vpn隧道后与epn透穿服务器断开连接。

优选地，所述epn透穿服务器包括epn序列号管理模块，epn序列号管理模块用于添加、删除、修改epn序列号信息，可以设置每个epn序列号的有效期和允许组网数量。

优选地，所述epn透穿服务器包括p2p打洞透穿模块，p2p打洞透穿模块用于协助两台需要建立vpn隧道的epn硬件网关进行p2p打洞透穿，让这两台epn硬件网关可以建立会话，进行认证协商。

优选地，所述epn硬件网关包括组网管理模块，组网管理模块用于设置不同epn硬件网关之间vpn组网。

优选地，所述epn硬件网关包括组网状态显示模块，组网状态显示模块用于显示当前epn硬件网关与其它epn硬件网关的vpn连接情况。

优选地，所述一种基于p2p技术的二级网络架构vpn组网方法，其特征在于，包括如下步骤：

步骤s1，epn硬件网关联网，并将自身的网络情况报告给epn透穿服务器；

步骤s2，其中一台epn硬件网关通过互联网向epn透穿服务器发起vpn连接请求，要求和指定epn序列号的另外一台epn硬件网关进行组网；

步骤s3，epn透穿服务器对需要建立连接的两台epn硬件网关进行p2p打洞透穿，让这两台epn硬件网关得以握手验证对方发过来的认证信息是否正确，如果验证通过则在两台epn硬件网关之间建立vpn隧道，否则拒绝建立vpn隧道，会话终止；

步骤s4，两台成功建立vpn隧道的epn硬件网关，epn硬件网关连接的电脑主机可以像局域网一样访问对方内网的电脑主机、oa服务器、erp服务器。

优选地，所述步骤s2中，用户需要通过epn硬件网关中的组网管理功能，输入对端设备的唯一epn序列号、对端设备的epn组网密码进行组网连接，epn硬件网关会保存输入的组网信息，下次可以实现自动连接。

优选地，所述步骤s3中，验证通过，两台epn硬件网关之间建立vpn隧道，并且epn硬件网关与epn透穿服务器断开连接；验证失败，发起验证请求的epn硬件网关会收到失败原因，用户根据收到的错误提示，进行修改确认再进行连接，直至连接成功。

优选地，所述p2p打洞透穿时采用udp透穿技术。

与现有技术相比，本发明的基于p2p技术的二级网络架构vpn组网方法大大降低了用户安装部署的难度，无需公网ip也可在任意两台epn硬件网关之间建立vpn隧道，安装方便，成功率高，epn透穿服务器不参与数据的转发，避免了epn透穿服务器对epn硬件网关之间的不良通信影响，epn硬件网关之间直连数据传输速度快，用户体验好；同时因为epn透穿服务器不负责数据中转，对epn透穿服务器的带宽压力非常低，2m的宽带就可以同时管理上万台epn硬件网关。

【附图说明】

图1为本发明一种基于p2p技术的二级网络架构的结构示意图；

图2为本发明一种基于p2p技术的二级网络架构vpn组网方法的流程图。

【具体实施方式】

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施实例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用于解释本发明，并不用于限定本发明。

需要说明，本发明实施例中所有方向性指示(诸如上、下、左、右、前、后……)仅限于指定视图上的相对位置，而非绝对位置。

另外，在本发明中如涉及“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

请参阅图1和图2，本发明的一种基于p2p技术的二级网络架构，包括至少一台epn透穿服务器和多台epn硬件网关，所述epn透穿服务器必须是有公网ip地址的云服务器主机或idc机房托管的服务器主机。所述多台epn硬件网关通过互联网与epn透穿服务器通讯连接。所述epn硬件网关通过网线连接宽带光猫或交换机，并且可通过网线连接多台电脑主机、oa服务器、erp服务器等，任意两台epn硬件网关之间可通过epn透穿服务器协助打洞透穿双方进行认证协商，认证协商正确无误则在两台epn硬件网关之间建立vpn隧道，认证协商失败则拒绝对方的vpn连接请求。两台建立vpn隧道的epn硬件网关连接的电脑主机可像局域网一样访问对方内网的电脑主机、oa服务器、erp服务器。所述epn硬件网关之间建立vpn隧道后与epn透穿服务器断开连接，这样一来epn透穿服务器不参与数据的转发，避免了epn透穿服务器对epn硬件网关之间的不良通信影响，vpn隧道传输速度快，用户体验好。所述epn硬件网关有一个唯一的epn序列号，用于建立vpn隧道时的身份验证。

所述epn透穿服务器包括在线设备模块、epn序列号管理模块、p2p打洞透穿模块、epn服务器状态监视模块、数据库管理模块、系统日志模块。

所述在线设备模块用于查看当前所有连接到互联网的epn硬件网关的在线信息，信息包括上线时间、epn序列号、软件版本、ip地址、地址位置等。

所述epn序列号管理模块用于添加、删除、修改epn序列号信息，可以设置每个epn序列号的有效期和允许组网数量。epn序列号就是epn硬件网关的唯一识别码，所有epn硬件网关的epn序列号需要先在epn透穿服务器上添加注册后才可以用，否则无法使用epn透穿服务器。epn序列号管理模块相当于每一台epn硬件网关的epn序列号的出生证和身份验证所。

所述p2p打洞透穿模块用于协助两台需要建立vpn隧道的epn硬件网关进行p2p打洞透穿，让这两台epn硬件网关可以建立会话，进行认证协商。

所述epn服务器状态监视模块用于epn透穿服务器的运行状态的监视，让epn透穿服务器时刻处于正常工作状态。

所述数据库管理模块用于存储epn透穿服务器所有的配置信息、epn序列号信息、系统用户管理等，可以对整个epn透穿服务器数据库进行导入和导出管理，便于epn透穿服务器更换主机或故障恢复。

所述系统日志模块用于记录系统管理用户登陆epn透穿服务器的日志，添加/删除系统用户的日志，添加/删除epn序列号的日志。

所述epn硬件网关包括宽带设置模块、路由功能模块、基本设置模块、组网管理模块、组网状态显示模块。

所述宽带设置模块用于配置epn硬件网关的上网类型，上网类型分为静态ip方式、dhcp自动获取、pppoe拨号方式等。

所述路由功能模块用于处理不同epn硬件网关之间vpn组网后，不同网段之间的隧道路由功能，以及特殊需要的静态路由表维护。

所述基本设置模块用于设置epn硬件网关的epn序列号、本机名称、本机组网密码等信息。epn硬件网关连接互联网后可显示epn序列号、当前状态、最大接入数(组网数)、序列号的有效期等。

所述组网管理模块用于设置不同epn硬件网关之间vpn组网，两台epn硬件网关组网，只需要在其中一台epn硬件网关的组网管理模块里添加对端的epn序列号和对端的epn组网密码即可，不需要双方互相添加组网信息，大大简便了vpn的配置过程。如果没有epn序列号和epn组网密码，是无法进行vpn组网的，所以安全性是有保障的。对于用户来说，只需要在epn硬件网关上操作，组网管理模块里添加另一台epn硬件网关的epn序列号和epn组网密码即可与另一台epn硬件网关建立vpn隧道，完全不需要登陆或访问epn透穿服务器，可以当epn透穿服务器不存在，使用非常方便，维护简单。

所述组网状态显示模块用于显示当前epn硬件网关与其它epn硬件网关的vpn连接情况，如果有则在这里显示，否则为空。同时会显示对端epn硬件网关的网络情况及当前发送和接收文件的速率、连接的时长、vpn隧道状态等。

一种基于p2p技术的二级网络架构vpn组网方法，包括如下步骤：

步骤s1，epn硬件网关联网，并将自身的网络情况报告给epn透穿服务器；

步骤s2，其中一台epn硬件网关通过互联网向epn透穿服务器发起vpn连接请求，要求和指定epn序列号的另外一台epn硬件网关进行组网；

所述步骤s2中，用户需要通过epn硬件网关中的组网管理功能，输入对端设备的唯一epn序列号、对端设备的epn组网密码进行组网连接，epn硬件网关会保存输入的组网信息，下次可以实现自动连接。

步骤s3，epn透穿服务器对需要建立连接的两台epn硬件网关进行p2p打洞透穿，让这两台epn硬件网关得以握手验证对方发过来的认证信息是否正确，如果验证通过则在两台epn硬件网关之间建立vpn隧道，否则拒绝建立vpn隧道，会话终止；

所述步骤s3中，验证通过，两台epn硬件网关之间建立vpn隧道，并且epn硬件网关与epn透穿服务器断开连接；验证失败，发起验证请求的epn硬件网关会收到失败原因，用户根据收到的错误提示，进行修改确认再进行连接，直至连接成功。所述p2p打洞透穿时采用udp透穿技术，成功率高，在99％以上。

步骤s4，两台成功建立vpn隧道的epn硬件网关，epn硬件网关连接的电脑主机可以像局域网一样访问对方内网的电脑主机、oa服务器、erp服务器。

与现有技术相比，本发明的基于p2p技术的二级网络架构vpn组网方法大大降低了用户安装部署的难度，无需公网ip也可在任意两台epn硬件网关之间建立vpn隧道，成功率高，epn透穿服务器不参与数据的转发，避免了epn透穿服务器对epn硬件网关之间的不良通信影响，vpn隧道传输速度快，用户体验好；同时因为epn透穿服务器不负责数据中转，对epn透穿服务器的带宽压力非常低，2m的宽带就可以同时管理上万台epn硬件网关。

以上所述仅为本发明的较佳实施例，并非因此限制本发明的专利范围，凡是在本发明的构思之内所作的任何修改，等同替换和改进等均应包含在本发明的专利保护范围内。