一种网络连接设备、网络系统和组网方法与流程

本发明涉及网络通信领域，尤其涉及一种网络连接设备、网络系统和组网方法。

背景技术：

随着网络通信技术的迅速发展、所承载信息的日益丰富，互联网已成为人类社会重要的基础设施。软件定义网络(softwaredefinednetworking，sdn)是一种新型的网络技术，其核心思想是将网络设备的控制平面与数据平面分离，并由控制平面开放软件可编程的接口供网络用户对网络设备的控制能力进行灵活调用。

通常地，实现sdn网络要依赖于支持openflow协议的专用网络设备，传统网络设备无法实现sdn功能。而当前的互联网主要是基于ip协议的传统网络，因此为了推动sdn网络在互联网上的部署使用，需要对现有的基于ip协议的传统网络设备进行更改，甚至需要新建网络基础设施，成本很高。此外，由于各个网络设施的提供商在openflow协议的基础自主开发私有协议，使得来自各个提供商的支持sdn网络的设备存在通用性问题，也影响了sdn网络的部署。

针对现有sdn技术中存在的成本及通用性问题，亟需提供一种新的在不更换传统网络基础设施的条件下实现sdn网络的组网方案。

技术实现要素：

为此，本发明提供一种实现sdn网络的组网方案，以力图解决或者至少缓解上面存在的至少一个问题。

根据本发明的一个方面，提供了一种网络连接设备，驻留在基于软件定义网络的网络系统中，网络系统包括网络控制设备、多个网络连接设备以及分别与每个网络连接设备连接的多个计算设备，该网络连接设备包括：第一网络接口控制器，适于经由第一网络接口与连接到网络连接设备的计算设备进行通信；第二网络接口控制器，适于经由第二网络接口与网络控制设备进行通信；处理器；存储器；以及存储在存储器中的程序，该程序被配置为由所述处理器执行，该程序包括提供虚拟专用网络服务的客户端和服务端、以及指令，该指令适于由处理器加载并执行：通过虚拟专用网络与网络控制设备建立连接；在与网络控制设备建立的连接上接收该网络控制设备发送的第一配置参数，第一配置参数包括要与网络连接设备通过虚拟专用网络建立连接的另一网络连接设备的第二网络接口的ip地址；以及根据所接收的第一配置参数，与另一网络连接设备通过虚拟专用网络建立连接。

根据本发明的另一方面，提供了一种存储程序的可读存储介质，该程序包括根据本发明的网络连接设备存储并执行的指令。

根据本发明的另一方面，提供了一种网络控制设备，驻留在基于软件定义网络的网络系统中，该网络系统还包括多个网络连接设备、以及分别与每个网络连接设备连接的多个计算设备，该网络控制设备包括：网络接口控制器，适于经由网络接口与网络连接设备进行通信；处理器；存储器；以及存储在存储器中的程序，程序被配置为由处理器执行，程序包括提供虚拟专用网络服务的客户端和服务端、以及指令，指令适于由处理器加载并执行：存储多个网络连接设备的设备信息，设备信息包括网络连接设备的设备标识、第一网络接口和第二网络接口的ip地址；还适于对于每个网络连接设备，与该网络连接设备通过虚拟专用网络建立连接；生成网络连接设备的第一配置参数，第一配置参数包括要与该网络连接设备通过虚拟专用网络建立连接的另一网络连接设备的第二网络接口的ip地址；以及在与网络连接设备建立的连接上向该网络连接设备发送所生成的第一配置参数，以便该网络连接设备根据该第一配置参数，与另一网络连接设备通过虚拟专用网络建立连接。

根据本发明的另一方面，提供了一种存储程序的可读存储介质，所述程序包括根据本发明的网络控制设备存储并执行的指令。

根据本发明的另一方面，提供了一种基于软件定义网络的网络系统，包括多个根据本发明的网络连接设备、根据本发明的网络控制设备、以及分别与每个网络连接设备连接的多个计算设备。

根据本发明的还有一个方面，提供了一种组网方法，适于在基于软件定义网络的网络系统中执行，网络系统包括网络控制设备、多个网络连接设备和多个计算设备，其中每个网络连接设备经由第一网络接口与对应的一个计算设备连接并进行通信，经由第二网络接口与网络控制设备进行通信，多个网络连接设备能够通过虚拟专用网络互相连接，使得其连接的多个计算设备互相连接，该方法包括步骤：对于每个网络连接设备，在该网络连接设备处通过虚拟专用网络与网络控制设备建立连接；在网络控制设备处生成该网络连接设备的第一配置参数，第一配置参数包括要与网络连接设备通过虚拟专用网络建立连接的另一网络连接设备的第二网络接口的ip地址；在网络控制设备处向所述网络连接设备发送所生成的第一配置参数；在网络连接设备处接收网络控制设备发送的第一配置参数，并根据该第一配置参数与另一网络连接设备通过虚拟专用网络建立连接。

根据本发明的实现sdn网络的组网方案，提供了一种基于软件定义网络的网络系统，其中网络连接设备串联在计算设备与传统网络设备之间直接的物理线路上，并可以在网络系统中网络控制设备的控制下，与其他网络连接设备通过虚拟专用网络建立或断开连接，使得其连接的计算设备建立或断开连接。网络控制设备则可以根据需要控制和管理各个网络连接设备之间通过虚拟专用网络建立的连接，并通过改变通过虚拟专用网络建立的连接的拓扑来改变计算设备之间的网络拓扑。这样，在不更换传统网络基础设施的条件下，实现了sdn功能，而且通用性好，不依赖特定的网络协议及特定设备，不必更换或升级现有的网络基础设施，可与传统网络并行运转，实现传统网络到sdn网络的平滑过度。同时，还极大地节约了用户总投入成本。

附图说明

为了实现上述以及相关目的，本文结合下面的描述和附图来描述某些说明性方面，这些方面指示了可以实践本文所公开的原理的各种方式，并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述，本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开，相同的附图标记通常指代相同的部件或元素。

图1示出了根据本发明的一个示例性实施方式的基于软件定义网络的网络系统100的结构框图；

图2示出了根据本发明的一个示例性实施方式的网络控制设备200的结构框图；

图3示出了根据本发明的一个示例性实施方式的网络连接设备300的结构框图；

图4示出了根据本发明的一个示例性实施方式的组网方法400的流程图；以及

图5示出了根据本发明的一个示例性实施方式的组网过程的示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

图1示出了根据本发明一个示例性实施方式的基于软件定义网络的网络系统100的结构框图。如图1所示，该网络系统100包括网络控制设备200、多个网络连接设备300以及分别与每个网络连接设备300连接的多个计算设备120。其中，网络控制设备200通常部署于外部网络(例如互联网)，计算设备120通常部署于内部网络，并经由与其相连接的网络连接设备300与外部网络进行通信。

各个网络连接设备300之间、以及网络控制设备200与网络连接设备300之间均可以通过虚拟专用网络进行通信。这样多个网络连接设备能够通过虚拟专用网络互相连接，使得其连接的多个计算设备互相连接，因此网络控制设备200能够根据需要控制和管理各个网络连接设备之间通过虚拟专用网络建立的连接，并可以通过改变各个网络连接设备之间通过虚拟专用网络建立的连接来改变这些网络连接设备连接的计算设备之间的网络拓扑，从而实现了sdn网络下的组网。

图2示出了根据本发明一个示例性实施方式的网络控制设备200的结构框图。网络控制设备200典型地包括存储器206和一个或者多个处理器204。存储器总线208可以用于在处理器204和存储器206之间的通信。

取决于期望的配置，处理器204可以是任何类型的处理器，包括但不限于：微处理器((μp)、微控制器(μc)、数字信息处理器(dsp)或者它们的任何组合。处理器204可以包括诸如一级高速缓存210和二级高速缓存212之类的一个或者多个级别的高速缓存、处理器核心214和寄存器216。示例的处理器核心214可以包括运算逻辑单元(alu)、浮点数单元(fpu)、数字信号处理核心(dsp核心)或者它们的任何组合。示例的存储器控制器218可以与处理器204一起使用，或者在一些实现中，存储器控制器218可以是处理器204的一个内部部分。

取决于期望的配置，存储器206可以是任意类型的存储器，包括但不限于：易失性存储器(诸如ram)、非易失性存储器(诸如rom、闪存等)或者它们的任何组合。存储器206可以包括操作系统220、一个或者多个程序222以及程序数据224。在一些实施方式中，程序222可以被配置为在操作系统上由处理器利用程序数据224执行指令。

网络控制设备200还可以包括有助于从各种接口设备(例如，输出设备242、外围接口244和通信设备246)到基本配置202经由总线/接口控制器230的通信的接口总线240。示例的输出设备242包括图形处理单元248和音频处理单元250。它们可以被配置为有助于经由一个或者多个a/v端口252与诸如显示器或者扬声器之类的各种外部设备进行通信。示例外设接口244可以包括串行接口控制器254和并行接口控制器256，它们可以被配置为有助于经由一个或者多个i/o端口258和诸如输入设备(例如，键盘、鼠标、笔、语音输入设备、触摸输入设备)或者其他外设(例如打印机、扫描仪等)之类的外部设备进行通信。示例的通信设备246可以包括网络接口控制器260，其可以被布置为便于经由一个或者多个网络接口264与一个或者多个其他诸如网络连接设备300这样的设备通过网络通信链路的通信。

网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块，并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号，它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例，通信介质可以包括诸如有线网络或者专线网络之类的有线介质，以及诸如声音、射频(rf)、微波、红外(ir)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。

具体地，网络控制设备200可以实现为服务器，例如文件服务器、数据库服务器、应用程序服务器和网络服务器等，也可以实现为包括桌面计算机和笔记本计算机配置的个人计算机。网络控制设备200还可以实现为小尺寸便携(或者移动)电子设备的一部分，这些电子设备可以是诸如蜂窝电话、个人数字助理(pda)、个人媒体播放器设备、无线网络浏览设备、个人头戴设备、应用专用设备、或者可以包括上面任何功能的混合设备。

图3示出了根据本发明一个示例性实施方式的网络连接设备300的结构框图。通常地，网络连接设备300可以实现为小尺寸便携(或者移动)电子设备，有线地串联在计算设备与传统网络设备之间直接的物理线路上。

网络连接设备300典型地包括存储器306和一个或者多个处理器304。存储器总线308可以用于在处理器304和存储器306之间的通信。

取决于期望的配置，处理器304可以是任何类型的处理器，包括但不限于：微处理器((μp)、微控制器(μc)、数字信息处理器(dsp)或者它们的任何组合。处理器304可以包括诸如一级高速缓存310和二级高速缓存312之类的一个或者多个级别的高速缓存、处理器核心314和寄存器316。示例的处理器核心314可以包括运算逻辑单元(alu)、浮点数单元(fpu)、数字信号处理核心(dsp核心)或者它们的任何组合。示例的存储器控制器318可以与处理器304一起使用，或者在一些实现中，存储器控制器318可以是处理器304的一个内部部分。

取决于期望的配置，存储器306可以是任意类型的存储器，包括但不限于：易失性存储器(诸如ram)、非易失性存储器(诸如rom、闪存等)或者它们的任何组合。存储器306可以包括操作系统320、一个或者多个程序322以及程序数据324。在一些实施方式中，程序322可以被配置为在操作系统上由处理器利用程序数据324执行指令。

网络连接设备300还可以包括有助于从通信设备346到基本配置302经由总线/接口控制器330的通信的接口总线340。示例的通信设备346可以包括第一网络接口控制器360和第二网络接口控制器370，第一网络接口控制器360可以被布置为便于经由第一网络接口364与通过该第一网络接口364与网络连接设备300连接的计算设备120通过网络通信链路的通信，第二网络接口控制器370可以被布置为便于经由第二网络接口374与诸如网络控制设备200这样的设备通过网络通信链路的通信。

网络通信链路可以是通信介质的一个示例。通信介质通常可以体现为在诸如载波或者其他传输机制之类的调制数据信号中的计算机可读指令、数据结构、程序模块，并且可以包括任何信息递送介质。“调制数据信号”可以这样的信号，它的数据集中的一个或者多个或者它的改变可以在信号中编码信息的方式进行。作为非限制性的示例，通信介质可以包括诸如有线网络或者专线网络之类的有线介质，以及诸如声音、射频(rf)、微波、红外(ir)或者其它无线介质在内的各种无线介质。这里使用的术语计算机可读介质可以包括存储介质和通信介质二者。

网络控制设备200和网络连接设备300存储的程序均包括提供虚拟专用网络(vpn)服务的客户端和服务端，各个网络连接设备之间、以及网络控制设备200与网络连接设备300之间均可以经由其上的客户端和服务端来通过虚拟专用网络进行通信。网络控制设备200和网络连接设备300存储的程序还包括相应的指令，这些指令可以被加载来执行根据本发明的组网方法中的任意方法。

图4示出了根据本发明一个示例性实施方式的组网方法400的流程图，该组网方法适于在基于软件定义网络的网络系统100中执行，其中，可以理解地，在网络控制设备200处执行的动作均由该网络控制设备200存储的指令在被处理器加载时执行，在网络连接设备300处执行的动作均由该网络连接设备300存储的指令在被处理器加载时执行。

首先，网络控制设备200可以存储该网络系统100中多个网络连接设备300的设备信息。这些设备信息可以通过人工输入，也可以通过预先将网络连接设备300在网络控制设备200上注册获取。一个网络连接设备的设备信息通常可以包括该网络连接设备的设备标识(例如数字证书、设备id等)、第一网络接口和第二网络接口的ip地址。

而后，将每个网络连接设备300通过其第一网络接口与对应的一个计算设备120连接，并令第一网络接口的ip地址为该计算设备120的网关。此后，网络连接设备300经由第一网络接口与其连接的计算设备120进行通信。还将每个网络连接设备300通过其第二网络接口接入外部网络，此后，网络连接设备300经由第二网络接口与网络控制设备200进行通信。

如图4所示，组网方法400始于步骤s410。对于每个网络连接设备300，在步骤s410中，在该网络连接设备300处通过虚拟专用网络与网络控制设备200建立连接，从而可以在该连接上与网络控制设备200进行通信。例如，网络连接设备300可以在通电启动后即与网络控制设备200建立连接。

对于每个网络连接设备300，网络控制设备200会与该网络连接设备300通过虚拟专用网络建立连接。其中，根据本发明的一个实施方式，在与网络连接设备300建立连接之前，还可以在网络控制设备200处根据设备标识对网络连接设备300进行认证，若认证通过，则与网络连接设备建立连接。具体地，可以通过查找网络控制设备200是否存储有该设备标识来进行认证，若查找到存储有该设备标识，则认证通过，否则认证不通过，可以拒绝与该网络连接设备300建立连接。

在与网络连接设备300通过虚拟专用网络建立连接之后，在步骤s420中，在网络控制设备200处会根据业务的需要，生成该网络连接设备300的第一配置参数，该第一配置参数规定了该网络连接设备300应与另一网络连接设备300通过虚拟专用网络建立连接。具体地，第一配置参数可以包括要与该网络连接设备通过虚拟专用网络建立连接的另一网络连接设备的第二网络接口的ip地址，还可以包括该另一网络连接设备的设备标识、针对两个网络连接设备建立连接而生成的对称密钥、以及两个网络连接设备建立连接后运行的动态路由协议(例如bgp、ospf和rip等路由协议)。

随后，在步骤s430中，在网络控制设备200处，在与该网络连接设备300建立的连接上，向该网络连接设备300发送所生成的第一配置参数，以便该网络连接设备300根据该第一配置参数，与另一网络连接设备通过虚拟专用网络建立连接。

相应地，在步骤s440中，网络连接设备300在通过虚拟专用网络与网络控制设备200建立连接之后，在该网络连接设备330处，在与网络控制设备200建立的连接上，接收该网络控制设备发送的第一配置参数。

最后在步骤s450中，在网络连接设备300处，根据所接收的第一配置参数，与第一配置参数指示的另一网络连接设备通过虚拟专用网络建立连接。

根据本发明的一个实施方式，在与另一网络连接设备建立连接之前，网络连接设备300可以根据第一配置参数包含的设备标识对另一网络连接设备进行认证，若认证通过，则与另一网络连接设备建立连接。具体地，可以通过比对另一网络连接设备的设备标识与第一配置参数包含的设备标识是否一致来进行认证，若二者一致，则认证通过，否则认证不通过，可以拒绝与该另一网络连接设备建立连接。

根据本发明的一个实施方式，与另一网络连接设备建立连接时，可以在两个网络连接设备处通过第一配置参数包括的对称密钥对传输的数据进行校验。

在与另一网络连接设备建立连接之后，根据本发明的一个实施方式，可以在两个网络连接设备处运行第一配置参数指定的动态路由协议，使得与二者连接的计算设备120在网络系统100内均路由可达。

根据本发明的另一个实施方式，在网络连接设备300处可以向网络控制设备200发送网络日志，便于网络控制设备200的管理和维护。该网络日志包括网络连接设备的软硬件运行健康状态、连接状态、连接时长、带宽利用率和可用率、以及路由表。

此外，根据本发明的一个实施方式，若根据业务需要，要断开多个网络连接设备300之间的连接，则对于其中每个网络连接设备300，在该网络连接设备处通过虚拟专用网络与网络控制设备建立连接之后，在网络控制设备200处可以生成该网络连接设备300的第二配置参数，此时，第二配置参数可以包括要与网络连接设备断开通过虚拟专用网络建立的连接的另一网络连接设备的第二网络接口的ip地址、设备标识、以及针对两个网络连接设备断开连接而生成的对称密钥。接着在网络控制设备200处向网络连接设备300发送所生成的第二配置参数，最后在网络连接设备300处接收网络控制设备200发送的第二配置参数，并根据该第二配置参数断开与第二配置参数指示的另一网络连接设备通过虚拟专用网络建立的连接。

这里，根据不同的业务需要，网络控制设备200处生成的网络连接设备300的配置参数还可以同时包含上述第一配置参数和第二配置参数的内容，使得网络连接设备先与某个网络连接设备断开连接，再与另个网络连接设备建立连接。

根据本发明的还有一个实施方式，网络连接设备300还可以实现地址转换(nat)功能，例如在网络连接设备300，可以根据预先配置的nat策略，对在第二网络接口处接收的、源ip地址为第一网络接口的ip地址的请求，将其源ip地址转换为第二网络接口的ip地址。

下面举例来说明基于软件定义网络的网络系统100的组网过程。

如图5所示，假设网络系统100中包含有6个网络连接设备300，编号分别为#1～#6，并分别对应连接有6个服务器120，编号为121～126。

6个服务器的ip地址为10.1.1.2～10.6.6.2，6个网络连接设备的第二网络端口的ip地址分别为100.1.1.1～100.6.6.6,第一网络端口的ip地址为10.1.1.1～10.6.6.1，网络控制设备200的网络端口的ip地址为200.1.1.1。

网络连接设备300分别通过其第二网络端口接入传统网络设备，并令其第一网络端口作为其连接的服务器120的网关。每个网络连接设备300均与网络控制设备200通过虚拟专用网络建立连接。

根据业务需要，这6台服务器120需要组网为双星型拓扑，即服务器125和126与服务器121连接，服务器121与服务器122连接，服务器122和123与服务器124连接。

网络控制设备200可以根据上述想要组成的网络拓扑，分别为6个网络连接设备300生成其配置参数，并在与该网络连接设备300建立的连接上向其发送所生成的配置参数。

以服务器125连接的网络连接设备#5为例，其配置参数为：

100.1.1.1；

#1的数字证书；

针对两个网络连接设备#5和#1建立连接而生成的对称密钥；

bgp、ospf、rip路由协议。

6个网络连接设备300在接收到网络控制设备200发送的配置参数后，会根据配置参数，相应地与指示的其他网络连接设备通过虚拟专用网络建立连接，使得其连接的多个服务器120互相连接，从而组成了双星型拓扑。

综上，根据本发明的实现sdn网络的组网方案，提供了一种基于软件定义网络的网络系统，其中网络连接设备串联在计算设备与传统网络设备之间直接的物理线路上，并可以在网络系统中网络控制设备的控制下，与其他网络连接设备通过虚拟专用网络建立或断开连接，使得其连接的计算设备建立或断开连接。网络控制设备则可以根据需要控制和管理各个网络连接设备之间通过虚拟专用网络建立的连接，并通过改变通过虚拟专用网络建立的连接的拓扑来改变计算设备之间的网络拓扑。这样，在不更换传统网络基础设施的条件下，实现了sdn功能，而且通用性好，不依赖特定的网络协议及特定设备，不必更换或升级现有的网络基础设施，可与传统网络并行运转，实现传统网络到sdn网络的平滑过度。同时，还极大地节约了用户总投入成本。

应当理解，这里描述的各种技术可结合硬件或软件，或者它们的组合一起实现。从而，本发明的方法和设备，或者本发明的方法和设备的某些方面或部分可采取嵌入有形媒介，例如软盘、cd-rom、硬盘驱动器或者其它任意机器可读的存储介质中的程序代码(即指令)的形式，其中当程序被载入诸如计算机之类的机器，并被该机器执行时，该机器变成实践本发明的设备。

在程序代码在可编程计算机上执行的情况下，计算设备一般包括处理器、处理器可读的存储介质(包括易失性和非易失性存储器和/或存储元件)，至少一个输入装置，和至少一个输出装置。其中，存储器被配置用于存储程序代码；处理器被配置用于根据该存储器中存储的该程序代码中的指令，执行本发明的各种方法。

以示例而非限制的方式，计算机可读介质包括计算机存储介质和通信介质。计算机可读介质包括计算机存储介质和通信介质。计算机存储介质存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。通信介质一般以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据，并且包括任何信息传递介质。以上的任一种的组合也包括在计算机可读介质的范围之内。

应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施例中所描述的设备中，或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

本发明还可以包括：a6、如a1-5中任一个所述的设备，其中，所述指令适于由所述处理器加载并执行：在与所述网络控制设备建立的连接上接收该网络控制设备发送的第二配置参数，所述第二配置参数包括要与所述网络连接设备断开通过虚拟专用网络建立的连接的另一网络连接设备的第二网络接口的ip地址、设备标识、以及针对两个网络连接设备断开连接而生成的对称密钥；根据所接收的第二配置参数，断开与所述另一网络连接设备通过虚拟专用网络建立的连接。a7、如a1-6中任一个所述的设备，其中，所述指令还适于由所述处理器加载并执行：根据预先配置的nat策略，对在第二网络接口处接收的、源ip地址为第一网络接口的ip地址的请求，将其源ip地址转换为第二网络接口的ip地址。

b10、如b9所述的设备，其中，所述指令适于由所述处理器加载并执行：在与网络连接设备建立连接之前，根据设备标识对网络连接设备进行认证，若认证通过，则与网络连接设备建立连接。b11、如b9或10所述的设备，其中，所述第一配置参数还包括所述另一网络连接设备的设备标识、针对两个网络连接设备建立连接而生成的对称密钥、以及两个网络连接设备建立连接后运行的动态路由协议。b12、如b9-11中任一个所述的设备，其中，所述指令适于由所述处理器加载并执行：接收来自网络连接设备的网络日志，所述网络日志包括网络连接设备的软硬件运行健康状态、连接状态、连接时长、带宽利用率和可用率、以及路由表。b13、如b9-12中任一个所述的设备，其中，所述指令适于由所述处理器加载并执行：在与网络连接设备通过虚拟专用网络建立连接之后，生成所述网络连接设备的第二配置参数，所述第二配置参数包括要与所述网络连接设备断开通过虚拟专用网络建立的连接的另一网络连接设备的第二网络接口的ip地址、设备标识、以及针对两个网络连接设备断开连接而生成的对称密钥；在与所述网络连接设备建立的连接上向该网络连接设备发送所生成的第二配置参数，以便该网络连接设备根据该第二配置参数，断开与所述另一网络连接设备通过虚拟专用网络建立的连接。

c17、如c16所述的方法，其中，所述方法还包括步骤：在网络控制设备处注册获取每个网络连接设备的设备信息，所述设备信息包括网络连接设备的第一网络接口和第二网络接口的ip地址。c18、如c17所述的方法，其中，所述设备信息包括网络连接设备的设备标识，所述方法还包括步骤：在网络连接设备与网络控制设备建立连接之前，在网络控制设备处根据设备标识对网络连接设备进行认证，若认证通过，则与网络连接设备建立连接。c19、如c16所述的方法，其中，所述第一配置参数包括所述另一网络连接设备的设备标识，所述方法还包括步骤：在网络连接设备与另一网络连接设备建立连接之前，在网络连接设备处根据设备标识对另一网络连接设备进行认证，若认证通过，则与另一网络连接设备建立连接。c20、如c16-19中任一个所述的方法，其中，所述第一配置参数包括针对两个网络连接设备建立连接而生成的对称密钥，所述方法还包括步骤：在网络连接设备与另一网络连接设备建连接时，在两个网络连接设备处通过该对称密钥对传输的数据进行校验。c21、如c16-20中任一个所述的方法，其中，所述第一配置参数包括两个网络连接设备建立连接后运行的动态路由协议，所述方法包括步骤：在网络连接设备与另一网络连接设备建立连接之后，在两个网络连接设备处运行所述动态路由协议，使得与二者连接的计算设备在所述网络系统内路由可达。c22、如c16-21中任一个所述的方法，其中，所述方法还包括步骤：在网络连接设备处向网络控制设备发送网络日志，所述网络日志包括网络连接设备的软硬件运行健康状态、连接状态、连接时长、带宽利用率和可用率、以及路由表。c23、如c16-22中任一个所述的方法，其中，所述方法还包括步骤：若要断开多个网络连接设备之间的连接，对于其中每个网络连接设备，在该网络连接设备处通过虚拟专用网络与网络控制设备建立连接之后，在网络控制设备处生成所述网络连接设备的第二配置参数，所述第二配置参数包括要与所述网络连接设备断开通过虚拟专用网络建立的连接的另一网络连接设备的第二网络接口的ip地址、设备标识、以及针对两个网络连接设备断开连接而生成的对称密钥；在网络控制设备处向所述网络连接设备发送所生成的第二配置参数；在所述网络连接设备处接收网络控制设备发送的第二配置参数，根据该第二配置参数断开与所述另一网络连接设备通过虚拟专用网络建立的连接。c24、如c16-23中任一个所述的方法，其中，还包括步骤：在网络连接设备处根据预先配置的nat策略，对在第二网络接口处接收的、源ip地址为第一网络接口的ip地址的请求，将其源ip地址转换为第二网络接口的ip地址。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

此外，所述实施例中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此，具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。此外，装置实施例的在此所述的元素是如下装置的例子：该装置用于实施由为了实施该发明的目的的元素所执行的功能。

如在此所使用的那样，除非另行规定，使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例，并且并不意图暗示这样被描述的对象必须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。

尽管根据有限数量的实施例描述了本发明，但是受益于上面的描述，本技术领域内的技术人员明白，在由此描述的本发明的范围内，可以设想其它实施例。此外，应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本发明的范围由所附权利要求书限定。