本发明涉及通信技术领域,特别涉及一种基于高通量卫星的专线网络构建方法。
背景技术:
随着我国“中星16号”高轨道高通量通信卫星发射成功并投入使用,我国开始具备基于高通量卫星的宽带公共通信网络。近期计划发射升空的“中星18号”高轨道高通量通信卫星将进一步加强这张通信网络的用户容量、通信稳定性和通信带宽。而现阶段已经可以实现单业务用户最大150mbps下载和40mbps上传通信带宽。
现代信息社会中,各行各业的工作都越来越依赖网络。大量专用或通用工具需要通过网络获得核心服务器提供的大数据、人工智能、云计算、数据库等支持服务。虽然我国的民用通信技术,如4g无线通信技术、光纤宽带通信技术等,近几年得到了快速发展,但随着城镇化进程的加深,人口聚集程度越来越高,民用通信建设的聚集程度也越来越高,而在户外无人区环境中却形成了范围越来越大的通信盲区。高通量卫星的宽带通信网络即能够弥补户外通信盲点,并且可以预见,未来社会中涉及户外,尤其是无人区的工作,将越来越多依赖高通量卫星解决通信问题。
在通过高通量卫星进行通信方面,现阶段很多专用设备无法使用互联网,而需要通过专线网络才能实现终端与核心服务器的互通。也就是说,诸如视频会议通信的终端设备和核心会议控制器mcu,以及警用调度指挥系统等,这些在户外工作现场使用的终端设备,以及在数据中心或指挥中心的核心服务器设备,两者必须在一张专网下通过私网地址实现互通。
而这就要求户外工作单位的终端设备必须在高通量卫星与核心服务器设备之间建立通信专线网络。不过在专线网络的建设中,现阶段我国的高通量卫星提供的网络访问服务还存在以下问题:
1、高通量卫星系统提供的是互联网宽带访问服务,无法直接提供专线服务。
2、地面卫星天线获得的ip地址为高通量卫星系统分配的私网地址,这个私网地址通过高通量卫星系统的核心网关进行一次与互联网地址的转换,转换关系由高通量卫星系统定义,无法获取转换后的公网地址、无法了解转换规则、不能固定转换规则、也不能修改转换规则。
3、高通量卫星系统所有设备均不能由用户设置或操作。
4、建立专线网络的过程不能对高通量卫星系统造成任何修改或影响。
5、建立专线网络必须尽可能减少用户的操作,而由通信系统自动完成,除了“卫星天线与卫星对接”和“用户合法性确认”这两项通信系统不能自动完成的工作外,其余工作都需要由通信系统自动完成。
6、高通量卫星系统采用web认证的方式确认用户的合法性,而web认证是高通量卫星系统内网实现的,建立专线网络的方法在满足互联网访问和专线网络建设之外,还必须保证与高通量卫星系统内网认证服务器的通信。
7、高通量卫星天线系统内置一个web页面,以帮助用户完成天线与卫星之间的对接,建立专线网络时,除了满足互联网访问、专线网络建设、高通量卫星系统内网认证服务器通信之外,还需要能与高通量卫星天线系统的内部私网实现对接,以访问内置的web页面。
鉴于以上情况,基于高通量卫星通信建立专线网络,涉及“互联网、专线网络、高通量卫星系统内网、高通量卫星天线”四个完全不同的网络,且必须在专线建立后实现四张网络的共同通信访问,其专线网络建设难度较大,且复杂度较高,使用不便,而难以实施。
技术实现要素:
有鉴于此,本发明旨在提出一种基于高通量卫星的专线网络构建方法,以可用于建立基于高通量卫星的专线网络。
为达到上述目的,本发明的技术方案是这样实现的:
一种基于高通量卫星的专线网络构建方法,且该方法包括:
s1、核心服务器设备通过固定公网ip的有线链路接入互联网,构成核心网络节点,并采用具有vpn功能的三层以太网设备经由所述固定公网ip地址建立vpn专网核心的步骤;
以及,
s2、终端设备的卫星接入点通过高通量卫星链路接入互联网,构成卫星通信节点,且所述卫星通信节点采用具有vpn功能的三层以太网设备与所述vpn专网核心建立vpn隧道连接的步骤。
进一步的,所述步骤s1中包括如下的步骤:
s11、确定连接互联网接入链路的具有vpn功能的三层以太网设备的接口号、具有vpn功能的三层以太网设备下联通信接口数量及相应的接口号;
s12、确定所述核心网络节点与所述卫星通信节点中的具有vpn功能的三层以太网设备的ip地址、掩码、回环口地址及路由关系;
s13、将核心网络节点中的具有vpn功能的三层以太网设备用于上联互联网的wan接口设置为固定ip地址模式,并使该具有vpn功能的三层以太网设备及该具有vpn功能的三层以太网设备的下联网络设备可通过所述wan接口连接互联网;
s14、为具有vpn功能的三层以太网设备的下联通信接口配置私网固定ip地址及掩码;
s15、为核心网络节点中的具有vpn功能的三层以太网设备设置回环口的ip地址;
s16、为核心网络节点中的具有vpn功能的三层以太网设备配置vpn隧道,并为卫星通信节点中的具有vpn功能的三层以太网设备设置加密算法及密钥,以建立vpn专网核心。
进一步的,所述步骤s2中包括如下的步骤:
s21、确定连接卫星调制解调器的具有vpn功能的三层以太网设备的接口号、具有vpn功能的三层以太网设备下联通信接口数量及相应的接口号;
s22、确定所述卫星通信节点中的具有vpn功能的三层以太网设备下联各接口的网络访问权限、ip地址、掩码、回环口地址及路由关系;
s23、将卫星通信节点中的具有vpn功能的三层以太网设备用于上联卫星调制解调器的wan接口设置为自动获取ip地址模式;
s24、将卫星通信节点中的具有vpn功能的三层以太网设备的上联接口设置为nat外部转换接口;
s25、为卫星通信节点中的具有vpn功能的三层以太网设备设置回环口的ip地址;
s26、为卫星通信节点中的具有vpn功能的三层以太网设备输入所述核心网络节点所设置的所述加密密钥与加密算法、以配置vpn隧道,并由卫星通信节点中的具有vpn功能的三层以太网设备主动访问所述vpn专网核心建立vpn隧道连接。
进一步的,所述步骤s1中还包括如下的步骤:
s17、为核心网络节点中的具有vpn功能的三层以太网设备配置默认路由协议、静态路由协议及动态路由协议,以确定该具有vpn功能的三层以太网设备各地址段的路由表规则;
所述步骤s2中还包括如下的步骤:
s27、为卫星通信节点中的具有vpn功能的三层以太网设备配置默认路由协议、静态路由协议及动态路由协议,以确定该具有vpn功能的三层以太网设备各地址段的路由表规则。
进一步的,在步骤s16及步骤s26中,将核心网络节点中的具有vpn功能的三层以太网设备及卫星通信节点中的具有vpn功能的三层以太网设备的回环口作为配置隧道的源地址和目的地址。
进一步的,在步骤s16中,隧道配置过程包括如下的步骤:
s161、创建gre隧道,配置隧道接口地址;
s162、创建ipsec隧道,配置ipsec通道地址;
s163、设置感兴趣流;
s164、将ipsec第二阶段profile协议设置为对端ip地址未知状态,采用动态模拟方式建立隧道。
s165、建立gretunnel,指定tunnel模式为ip模式,并指定通道源地址和目的地址。
进一步的,步骤s26中隧道配置过程包括如下的步骤:
s261、输入所述核心网络节点所设置的所述加密算法和加密密钥;
s262、创建ipsec提议,指定转换集名称;
s263、创建ipsec策略,调用ipsec提议并指定所述核心网络节点ip地址,同时建立感兴趣流;
s264、按照所述核心网络节点的gretunnel设置规则,指定tunnel模式为ip模式,并指定通道源地址和目的地址。
进一步的,所述核心网络节点中的具有vpn功能的三层以太网设备及所述卫星通信节点中的具有vpn功能的三层以太网设备均可为路由器或防火墙或vpn设备。
相对于现有技术,本发明具有以下优势:
本发明的基于高通量卫星的专线网络构建方法,通过核心服务器设备和终端设备构成网络通信节点,且经由具有vpn功能的三层以太网设备,于核心网络节点和卫星通信节点之间建立vpn隧道连接,从而可实现核心服务器与终端设备之间的专线网络的建立。
此外,本发明的构建方法中,专线网络建设可由设备自动完成,无需人员干预,卫星通信节点vpn连接建立后,其下联的通信设备(如:手机、pc、专用通信设备)可按需访问互联网、专线网络、高通量卫星系统内网及高通量卫星天线,访问限制由网络设置决定,通信设备不需手动调整ip地址或硬件线路,而可提高使用便利性。
另外,本发明中卫星通信节点下联的不同设备可分别设置网络访问权限,且不同权限之间可以做到通信隔离,由此可降低下联通信设备之间的互相干扰,提高网络通信的安全性,提高网络通信的保密性,降低网络通信事故发生几率,而具有很好的实用性。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
本发明涉及一种基于高通量卫星的专线网络构建方法,该方法所构建的专线网络具体为进行星型组网,且其整体构建思路包括位于数据中心或指挥中心处的核心服务器设备通过固定公网ip的有线链路接入互联网,构成核心网络节点,并采用具有vpn功能的三层以太网设备(以下简称“以太网设备”)经由所述固定公网ip地址建立vpn专网核心的步骤s1,以及在诸如户外工作现场等位置所使用的终端设备的卫星接入点通过高通量卫星链路接入互联网,以构成卫星通信节点,且该卫星通信节点采用以太网设备与所述vpn专网核心建立vpn隧道连接的步骤s2。
基于如上整体思路,首先,对于核心网络节点与卫星通信节点中的以太网设备,其均可采用路由器或防火墙或vpn设备中的一种,而本实施例下文对前述步骤s1及s2的具体阐述中,均为以采用路由器为例进行说明,且该路由器例如可为中兴通讯的zxr10系列路由器,当采用防火墙或vpn设备时,其所涉及的构建步骤与采用路由器时大致相同,在此将不再赘述。
其次,本实施例中对于由核心服务器处的路由器构建核心网络节点、并建立vpn专网核心的步骤s1具体包括如下的步骤:
步骤s11:确定连接互联网接入链路的路由器的接口号、路由器下联通信接口数量及相应的接口号;
步骤s12:确定核心网络节点与卫星通信节点中的路由器的ip地址、掩码、回环口地址及路由关系;
步骤s13:将核心网络节点中的路由器用于上联互联网的wan接口设置为固定ip地址模式,并使该路由器及该路由器的下联网络设备可通过所述wan接口连接互联网;
步骤s14:为路由器的下联通信接口配置私网固定ip地址及掩码。
这个固定ip地址决定本接口下联所有设备的可分配地址资源,本路由器接口下联所有设备均以此接口ip地址为网关,按照路由器设置的路由规则访问其他网络段。本路由器接口下联设备均需设置为固定私网地址。
此外,可根据实际需要,将更多接口按照本步骤方式进行设置,以提供更多的专线网络接入能力。
步骤s15:为核心网络节点中的路由器设置回环口1的ip地址;
步骤s16:为核心网络节点中的路由器配置vpn隧道,并为卫星通信节点中的路由器设置加密算法及密钥,以建立vpn专网核心。
而本实施例中,对于由终端设备处的路由器构建卫星通信节点、并与前述vpn专网核心建立vpn隧道连接的步骤s2具体包括如下的步骤:
步骤s21:确定连接卫星调制解调器的路由器的接口号、路由器下联通信接口数量及相应的接口号;
步骤s22:确定卫星通信节点中的路由器下联各接口的网络访问权限、ip地址、掩码、回环口地址及路由关系;
步骤s23:将卫星通信节点中的路由器用于上联卫星调制解调器的wan接口设置为自动获取ip地址模式;
此接口可以获取到卫星调制解调器dhcp下发的私网ip地址,路由器通过这个ip地址访问卫星天线调制解调器,并通过天线连接高通量卫星系统获得互联网访问能力。此时卫星通信节点路由器获得的是高通量卫星系统内部私网地址,这个私网地址通过高通量卫星系统网关转换为一个不可知的公网地址访问互联网。
步骤s24:将卫星通信节点中的路由器的上联接口设置为nat外部转换接口;
步骤s25:为卫星通信节点中的路由器设置回环口的ip地址;
步骤s26:为卫星通信节点中的路由器输入核心网络节点所设置的加密密钥与加密算法、以配置vpn隧道,并由卫星通信节点中的路由器主动访问所述vpn专网核心以建立vpn隧道连接。
其中,需要注意的是,在上述配置隧道的过程中,将核心网络节点路由器和卫星通信节点路由器的回环口作为建立隧道的源地址和目的地址,并以核心网络节点路由器的互联网接入链路的固定公网ip地址在互联网中路由可达,作为vpn网络的建立条件。
在vpn隧道配置过程中的加密步骤,其例如可通过isakmp协议进行加密。
而在步骤s16中,其vpn隧道的配置过程具体包括如下的步骤:
步骤s161:创建gre隧道,配置隧道接口地址;
步骤s162:创建ipsec隧道,配置ipsec通道地址;
步骤s163:设置感兴趣流;
步骤s164:将ipsec第二阶段profile协议设置为对端ip地址未知状态,采用动态模拟方式建立隧道;
步骤s165:建立gretunnel,指定tunnel模式为ip模式,并指定通道源地址和目的地址。
在步骤s26中,其vpn隧道的配置过程则具体包括如下的步骤:
步骤s261:输入核心网络节点所设置的加密算法和加密密钥;
步骤s262:创建ipsec提议,指定转换集名称;
步骤s263:创建ipsec策略,调用ipsec提议并指定所述核心网络节点ip地址,同时建立感兴趣流;
步骤s264:按照所述核心网络节点的gretunnel设置规则,指定tunnel模式为ip模式,并指定通道源地址和目的地址。
此外,本实施例中在步骤s1及步骤s2中,还可分别进一步的为路由器配置默认路由协议、静态路由协议及动态路由协议,以确定路由器各地址段的路由表规则,由此实现网络访问权限控制。同时,通过上述设计,一方面可满足下联设备对各个网络段地址的通信,另一方面也能够实现必要的网络隔离,而满足通信的安全性和保密性需要。
另外,本实施例中在卫星通信节点完成与核心网络节点的vpn连接时,对于卫星通信节点的下行数据网络接口,通过网络命令,可以赋予每个下行网络接口以不同的网络连接权限。网络连接权限决定着这个接口能连接到“vpn专线网络、互联网、高通量卫星系统管理内网和高通量卫星天线私网”这四张网络的任意一个或多个。此时,终端设备用户根据设备的网络连接需求,可将设备接入到不同权限的网络接口,从而不仅可满足网络访问需要,亦可保证数据安全性、保密性和可靠性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。