一种基于数据链路层的点对点vpn路由方法及系统的制作方法
【技术领域】
[0001]本发明涉及路由器的技术领域,特别是涉及一种基于数据链路层的点对点(Pointto Point,P2P)虚拟专用网络(Virtual Private Network, VPN)路由方法及系统。
【背景技术】
[0002]目前,由于IPv4地址枯竭,很多运营商已经没有公网IP地址分配。现有技术所采用的网络地址转换(Network Address Translat1n,NAT)方法虽然可以满足大部分的上网需求,但一些路由器应用,例如动态域名服务(Dynamic Domain Name Server,DDNS)却无法正常使用。另一方面,现在越来越多的应用希望进行远端控制,这将带来了很多安全问题。
[0003]VPN可以理解为虚拟出来的企业内部专线,其可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。换言之,VPN就像是架设的一条专线一样,但是并不需要真正的去铺设光缆之类的物理线路。目前,在交换机、防火墙设备或WIND0WS2000等软件里也都支持VPN功能。VPN技术已经成为路由器的核心技术之一。VPN路由器则是利用路由器来实现VPN的基本配置。
[0004]现有技术中,主流路由器集成的VPN主要为点对点隧道协议(Point to PointTunneling Protocol, PPTP)和第二次隧道协议(Layer 2Tunneling Protocol, L2TP);少量路由器搭载IPSec VPNo
[0005]然而,上述VPN均具有以下缺陷,导致用户使用上有很大局限性:
[0006](I)需要公网IP发起VPN连接;
[0007](2)很难穿透 NAT ;
[0008](3)数据流需要服务器转发,单点故障风险高;
[0009](4)数据流加解密需要服务器参与,用户安全得不到保证。
【发明内容】
[0010]鉴于以上所述现有技术的缺点,本发明的目的在于提供一种基于数据链路层的点对点VPN路由方法及系统,利用基于数据链路层的P2P协议,能够直接通过VPN获取地址,实现个人网络随处的无缝切换。
[0011]为实现上述目的及其他相关目的,本发明提供一种基于数据链路层的点对点VPN路由方法,包括以下步骤:步骤S1、路由器作为边缘节点到拥有公网IP的超级节点处进行注册;步骤S2、超级节点提供点对点路由信息,将两个或多个作为边缘节点的路由器组建为点对点VPN ;步骤S3、位于点对点VPN中的两个或多个路由器进行数据交互。
[0012]根据上述的基于数据链路层的点对点VPN路由方法,其中:所述步骤SI中,位于防火墙或NAT后的路由器作为边缘节点主动发送注册信息到拥有公网IP的超级节点进行注
ΠΠ.Ws O
[0013]进一步地,根据上述的基于数据链路层的点对点VPN路由方法,其中:所述注册信息包括组织名、密钥、虚拟IP地址和子网掩码。
[0014]根据上述的基于数据链路层的点对点VPN路由方法,其中:所述超级节点仅作平台来实现两个边缘节点间的通信;通信的数据流仅发生在两个边缘节点之间。
[0015]根据上述的基于数据链路层的点对点VPN路由方法,其中:所述边缘节点间进行数据流交互时的加密和解密操作均由所述边缘节点执行,所述超级节点无法得知所述边缘节点间的共享密钥。
[0016]根据上述的基于数据链路层的点对点VPN路由方法,其中:所述步骤S3中,如果两个边缘节点中有一方的NAT属于对称型MT,则由所述超级节点进行数据转发,所述边缘节点只负责数据流的加密和解密。
[0017]根据上述的基于数据链路层的点对点VPN路由方法,其中:路由器作为边缘节点能够与作为边缘节点的云端服务器进行数据交互。
[0018]根据上述的基于数据链路层的点对点VPN路由方法,其中:作为边缘节点的一个路由器能够分属多个不同的VPN网络。
[0019]根据上述的基于数据链路层的点对点VPN路由方法,其中:所述步骤S3中,只有相同组织名和密钥的边缘节点才能进行相互间的通讯。
[0020]同时,本发明还提供一种基于数据链路层的点对点VPN路由系统,包括若干个作为边缘节点的路由器和若干个拥有公网IP的超级节点;
[0021]所述路由器和所述超级节点根据上述任一的基于数据链路层的点对点VPN路由方法实现路由器间的数据交互。
[0022]如上所述,本发明的基于数据链路层的点对点VPN路由方法及系统,具有以下有益效果:
[0023](I)无需公网IP,能够穿透多层NAT,配置简单
[0024]各个边缘节点(Edge node)通过向超级节点(Super node)注册后,即可利用二层隧道进行点对点(P2P)的数据传输,无需上游路由器做相应设置。
[0025](2)组网灵活,无需三方认证
[0026]各个边缘节点(Edge node)可以通过相同的组织名(community name)和密钥(key)互通,同一个节点可以分属不同的VPN网络。
[0027](3)点对点连接,无单点故障风险
[0028]与传统的服务器/客户端(Client/Server)架构不同,采用点对点(P2P)架构,没有单点故障风险。
[0029](4)数据流加解密在本地,无需服务器参与
[0030]数据流的加解密都在本地完成,不需要服务器端参与,极大地降低了安全风险。
[0031](5)适用于所有SOHO OpenffRT平台路由器。
【附图说明】
[0032]图1显示为本发明的基于数据链路层的点对点VPN路由方法的流程图;
[0033]图2显示为本发明的基于数据链路层的点对点VPN路由系统的框架结构示意图。
【具体实施方式】
[0034]以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的【具体实施方式】加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。
[0035]需要说明的是,本实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
[0036]参照图1,本发明的基于数据链路层的点对点VPN路由方法包括以下步骤:
[0037]步骤S1、路由器作为边缘节点(Edge node)到拥有公网IP的超级节点(Supernode)处进行注册。
[0038]具体地,防火墙或NAT后的路由器作为边缘节点(Edge node),主动发送注册信息到拥有公网IP的超级节点(Super node)进行注册。其中,注册信息包括但不限于组织名(community name)、密钥(key)、虚拟 IP 地址(ip address)及子网掩码(netmask)等信息。
[0039]例如,注册信息可以为:edge-a10.1.1.100_c phicomm-k test-1 www.phi comm,com.cn:8888
[0040]其中,10.1.1.100为VPN内的虚拟IP地址,用于和VPN内其他边缘节点通讯;phicomm为组织名,test为密钥;www.phicomm.com.cn为超级节点域名;8888为超级节点的监听端口。其中,超级节点可以用超级节点域名或者IP来表示。
[0041]步骤S2、超级节点(Super node)提供点对点路由信息,将两个或多个作为边缘节点(Edgenode)的路由器组建为点对点VPN。
[0042]其中,超级节点设置在云端服务器上。云端服务器用于运行超级节点进程并监听对应端口。
[0043]步骤S3、位于点对点VPN中的两个或多个路由器进行数据交互。
[0044]需要说明的是,只有相同组织名和密钥的边缘节点(Edge node)才能进行相互间的通讯。路由器作为边缘节点(Edge node)与超级节点(Super node)建立二层VPN网络,其中超级节点(Super node)仅作平台,实现两个在防火墙或NAT后的边缘节点(Edge node)间的通信。其中,通信的数据流仅发生在两个边缘节点(Edge