一种基于隧道技术的智能反向控制系统的制作方法

本实用新型涉及业务分流设备技术领域，属于通讯领域，具体地涉及一种基于隧道技术的智能反向控制系统。

背景技术：

现有技术在在4g/5g无线网络中只能实现工业设备到服务器的上行数据传送，受限于无线终端设备(customerpremiseequipment，cpe)的ip地址不固定及nat技术的限制，不能实现反向控制命令或数据的下传。也有部分现有技术通过在互联网设立vpn服务器的方式实现反向控制功能，但是需要对工业设备及现有控制服务器网络进行互联网接入改造。这些改造成本往往较高,同时需要接入公众互联网会导致安全系数变差。

比如，国家专利公开文献cn106210174a，公开了“一种解决网络设备ip地址冲突的方法和vpn服务器”，该方法包括：vpn服务器与vpn客户端建立vpn连接；其中，vpn服务器属于一个专网,vpn客户端属于专网之外的局域网；vpn服务器为vpn客户端所在的局域网分配一个虚拟网段；虚拟网段，用于供vpn客户端将局域网内的局域网设备的实际ip与虚拟网段所包括的ip进行nat转换；vpn服务器与虚拟网段对应的vpn客户端建立通信通道；vpn服务器通过通信通道将访问请求发送至vpn客户端，以通过vpn客户端访问局域网内的局域网设备；访问请求包括：vpn服务器的访问请求，和与vpn服务器相连的专网设备的访问请求。该发明需要公网服务器才能进行设备的下行访问与控制，数据需要上传到公网，安全系数较差。

技术实现要素：

本实用新型提供一种基于隧道技术的智能反向控制系统，从而解决现有技术的上述问题。

本实用新型提供了一种基于隧道技术的智能反向控制系统，包括位于一个第一局域网中的工业控制设备、若干个工业无线终端cpe设备以及位于一个第二局域网中的若干个与若干个工业无线终端cpe设备分别相连的工业生产终端；若干个工业生产终端依次通过若干个工业无线终端cpe设备、4g/5g基站、运营商无线接入网关、移动边缘计算(mobileedgecomputing,mec)设备、企业接入防火墙设备与工业控制设备相连；企业接入防火墙设备与工业控制设备之间连接有内网路由器；内网路由器连接有反向控制服务器。

进一步的，反向控制服务器与若干个工业无线终端cpe设备之间建立有l2tp隧道；l2tp隧道，用于将第一局域网和第二局域网组成一个大的局域网络；反向控制服务器包括反向控制模块，反向控制模块包括隧道控制模块和隧道服务模块；隧道控制模块，用于实现隧道请求连接时进行隧道信息的控制以及路由信息的自适应更改；隧道服务模块，用于实现纯内网环境下的隧道请求的监听与连接。

进一步的，工业无线终端cpe设备为l2tp访问集中控制器lac(l2tpaccessconcentrator)设备。

进一步的，反向控制服务器为l2tp网络服务器lns(l2tpnetworkserver)设备。

进一步的，移动边缘计算设备和若干个工业无线终端cpe设备分别设有nat节点。

利用本实用新型进行智能反向控制方法，包括以下步骤：

s1)判断工业生产设备终端是否有工业数据需要上发，若是，则进入步骤s2)；若否，则判断工业控制设备是否需要对工业生产设备终端进行控制，若是，则进行步骤s3)，若否，则重复本步骤；

s2)工业生产设备终端采集工业数据，并依次通过与工业生产设备终端相连的工业无线终端cpe设备、4g/5g基站、若干个网络设备将工业数据上传至工业控制设备，返回步骤s1)；若干个网络设备包括运营商无线接入网关、移动边缘计算设备、企业接入防火墙设备和内网路由器；

s3)建立反向控制服务器，每台工业无线终端cpe设备对应有一个特定的用户名，反向控制服务器根据每台工业无线终端cpe设备的特定的用户名对每台工业无线终端cpe设备分配固定的隧道端ip地址；

s4)根据l2tp协议在反向控制服务器与若干个工业无线终端cpe设备之间分别建立若干个l2tp隧道；

s5)内网路由器添加通向待控制的工业生产设备终端的反向路由，工业控制设备经过反向控制服务器与待控制的工业生产设备终端相连的工业无线终端cpe设备之间的l2tp隧道、直接寻址到待控制的工业生产设备终端并下发控制指令；

s6)完成从工业控制设备到待控制的工业生产设备终端之间的下行数据传输。

进一步的，步骤s4)中，还包括利用反向控制服务器监控所有工业无线终端cpe设备发起的隧道状态，自适应地修改从反向控制服务器的路由信息。

进一步的，步骤s4)中，利用反向控制服务器的隧道服务模块实时监听隧道连接请求信息；通过反向控制服务器的隧道控制模块控制反向控制服务器与所有工业无线终端cpe设备之间连接的隧道状态、并自适应修改反向控制服务器的路由信息。

本实用新型的有益效果是：本实用新型在4g/5g无线网络且配合mec(移动边缘计算)技术的纯内网环境下实现了nat穿越，完成了对nat后的工业生产设备终端的访问与控制。解决了传统隧道技术穿越内网必须要公网服务器、无线终端设备每次拨号后ip地址不固定造成控制服务器无法寻址工业设备的问题以及4g/5g无线网络及无线终端设备(cpe)本身存在的nat节点导致的控制服务器无法反向寻址工业设备ip的问题。本实用新型创新地实现了上下行流量分开的方法，即上行流量通过既有方式疏通，仅反向控制流量经过隧道，最大程度减少了对现有系统的改造需求。

附图说明

为了更清楚地说明本实用新型实施例的技术方案，下面将对实施例所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本实用新型的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本实施例一提供的基于隧道技术的智能反向控制系统的结构示意图。

图2是本实施例一提供的反向控制模块结构示意图。

图3是本实施例一提供的基于隧道技术的智能反向控制系统的方法流程示意图。

图4是本实施例一提供的建立l2tp隧道的数据传输示意图。

1、工业生产终端，2、工业无线终端cpe设备，3、4g/5g基站，4、运营商无线接入网关，5、移动边缘计算设备，6、企业接入防火墙设备，7、内网路由器，8、工业控制设备，9、反向控制服务器。

具体实施方式

为了使本实用新型的目的、技术方案及优点更加清楚明白，以下结合附图，对本实用新型进行进一步详细说明。应当理解，此处所描述的具体实施方式仅仅用以解释本实用新型，并不用于限定本实用新型。需要说明的是，本实用新型的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用来区别类似的对象，而不必用于描述特定的顺序或先后次序，应该理解这样使用的术语在适当情况下可以互换，这仅仅是描述本实用新型的实施例中对相同属性的对象在描述时所采用的区分方式。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，以便一系列单元的过程、方法、系统、产品或设备不必限于那些单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其他单元。

实施例一，一种基于隧道技术的智能反向控制系统，如图1所示，包括n个工业无线终端cpe设备2、位于第一局域网中的工业控制设备8、以及位于第二局域网中的n个工业生产终端1；n个工业生产终端1与n个工业无线终端cpe设备2分别相连。n个工业生产终端1依次通过n个工业无线终端cpe设备2、4g/5g基站3、运营商无线接入网关4、移动边缘计算(mobileedgecomputing,mec)设备5、企业接入防火墙设备6与工业控制设备8相连；企业接入防火墙设备6与工业控制设备8之间连接有内网路由器7；内网路由器7连接有反向控制服务器9。

反向控制服务器9与n个工业无线终端cpe设备2之间建立有l2tp隧道；l2tp隧道，用于将第一局域网和第二局域网组成一个大的局域网络。反向控制服务器9包括反向控制模块。如图2所示，反向控制模块具有隧道控制模块和隧道服务模块；隧道控制模块，用于实现隧道请求连接时进行隧道信息的控制以及路由信息的自适应更改；隧道服务模块，用于实现纯内网环境下的隧道请求的监听与连接。

工业无线终端cpe设备为l2tp访问集中控制器lac设备。反向控制服务器为l2tp网络服务器lns设备。

移动边缘计算设备5和n个工业无线终端cpe设备2分别设有nat节点。

第二方面，本实施例提供了一种基于隧道技术的智能反向控制方法，如图3所示，包括以下步骤：

s1)判断工业生产设备终端是否有工业数据需要上发，若是，则进入步骤s2)；若否，则判断工业控制设备是否需要对工业生产设备终端进行控制，若是，则进行步骤s3)，若否，则重复本步骤；

s2)工业生产设备终端采集工业数据，并依次通过与工业生产设备终端相连的工业无线终端cpe设备、4g/5g基站、若干个网络设备将工业数据上传至工业控制设备，返回步骤s1)；若干个网络设备包括运营商无线接入网关、移动边缘计算设备、企业接入防火墙设备和内网路由器；

s3)建立反向控制服务器，每台工业无线终端cpe设备对应有一个特定的用户名，反向控制服务器根据每台工业无线终端cpe设备的特定的用户名对每台工业无线终端cpe设备分配固定的隧道端ip地址；

s4)根据l2tp协议在反向控制服务器与若干个工业无线终端cpe设备之间分别建立若干个l2tp隧道；

s5)内网路由器添加通向待控制的工业生产设备终端的反向路由，工业控制设备经过反向控制服务器与待控制的工业生产设备终端相连的工业无线终端cpe设备之间的l2tp隧道、直接寻址到待控制的工业生产设备终端并下发控制指令；

s6)完成从工业控制设备到待控制的工业生产设备终端之间的下行数据传输。

步骤s4)中，还包括利用反向控制服务器监控所有工业无线终端cpe设备发起的隧道状态，自适应地修改从反向控制服务器的路由信息。

步骤s4)中，利用反向控制服务器的隧道服务模块实时监听隧道连接请求信息；通过反向控制服务器的隧道控制模块控制反向控制服务器与所有工业无线终端cpe设备之间连接的隧道状态、并自适应修改反向控制服务器的路由信息。

本实施例提供了l2tp访问集中控制器lac设备(即工业无线终端cpe设备)与l2tp网络服务器lns设备(即反向控制服务器)之间建立l2tp隧道的方法，如图4所示，包括以下步骤：

a1)l2tp访问集中控制器lac设备发送隧道建立请求sccrq(startcontrolconnectionrequest)消息；

a2)l2tp网络服务器lns设备接收隧道建立请求sccrq、并向l2tp访问集中控制器lac设备发送应答sccrp(startcontrolconnectionreply)消息；

a3)l2tp访问集中控制器lac设备接收应答sccrp(startcontrolconnectionreply)消息、并向l2tp网络服务器lns设备返回确认sccrn消息，完成l2tp隧道的建立。

在l2tp隧道建立过程中，lac侧(即本实施例中的工业无线终端cpe设备)会向lns侧(即本实施例中的反向控制服务器)上报与工业无线终端cpe设备相对应的特定的用户名，该用户名作为必要参数在工业无线终端cpe设备和反向控制服务器中以配置文件的形式进行约定，即每台工业无线终端cpe设备对应一个特定的用户名，反向控制服务器对特定的用户名分配固定的隧道端ip地址。按照l2tp协议，隧道成功完成之后，隧道两端(lns侧和lac侧)的网络(第一局域网和第二局域网)将形成一个虚拟隧道子网，两侧(lns侧和lac侧)都具备了预先配置好的固定的隧道端ip地址。随后，仅需要内网路由器添加通向工业无线终端cpe设备的反向路由，这些反向路由的网关设置为反向控制服务器地址即可。至此，所有反向控制的流量(即工业控制设备下发到工业生产设备终端的数据)都可以经由这个新建立的虚拟隧道子网进行转发。

同时，利用反向服务器监控所有工业无线终端cpe设备发起的隧道状态，一旦隧道建立，自适应地动态修改反向服务器的路由信息，使工业控制设备指向与特定工业无线终端cpe设备连接的工业生产设备终端的数据经由特定的l2tp隧道。本实施例可扩充到ipsel2tp/pptp等多种隧道监听方式，对工业生产设备终端具有更高的兼容性。

通过采用本实用新型公开的上述技术方案，得到了如下有益的效果：

本实用新型在4g/5g无线网络且配合mec(移动边缘计算)技术的纯内网环境下实现了nat穿越，完成了对nat后的工业生产设备终端的访问与控制。解决了传统隧道技术穿越内网必须要公网服务器、无线终端设备每次拨号后ip地址不固定造成控制服务器无法寻址工业设备的问题、以及4g/5g无线网络及无线终端设备(cpe)本身存在的nat节点导致的控制服务器无法反向寻址工业设备ip的问题。本实用新型创新地实现了上下行流量分开的方法，即上行流量通过既有方式疏通，仅反向控制流量经过隧道，最大程度减少了对现有系统的改造需求。本实用新型只需要内网环境，无需公网设备，可以极大地降低数据泄露的风险。实现了上下行业务的分流，当l2tp隧道故障时，不干扰原上行业务(即工业数据的上发)。实现了对nat后的工业生产设备终端的数据交互与控制，完成远程网络访问。适合在4g/5g内网环境(边缘计算mec技术)下运行，实现无线的稳定连接，减少了传统布线的困难。本实用新型容量高，可以实现数千台设备的同时连接。

以上仅是本实用新型的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本实用新型原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视本实用新型的保护范围。