[发明专利]支持多样性端对端隔离的虚拟私人网络服务供装系统

说明书

本发明提出了一种支持多样性端对端网络隔离的虚拟私人网络服务供装系统，是利用网络功能虚拟化与使用软件定义网络的弹性供装，有效提高企业间虚拟私人网络端对端的安全性并降低虚拟私人网络的建置成本。本发明的设计着重在基于单一服务器中弹性部署多个虚拟路由器以隔离企业网络不同类型的话务或不同局域网络的设备，避免单一设备或系统被入侵造成企业内其他系统被骇风险，通过软件定义网络简化网络管理与网络访问时间控管机制，达到网络异动的灵活性与安全性。

技术领域

本发明涉及虚拟私人网络，且特别是关于一种可以支持多样性架构的虚拟私人网络服务供装系统。

背景技术

虚拟私人网络(Virtual Private Network，VPN)主要是在公众因特网(Internet)上使用穿隧(Tunneling)技术与加解密等安全技术，以建立一个私人且安全的网络。相较于传统私有网络，虚拟私人网络不需使用专属线路，利用通信协议技术即可以Internet的便宜价格，享有专线的安全性。虚拟私人网络也较传统私有网络具备较佳的扩充弹性与灵活应用，扩点便利且容易依需求增加连线带宽，不需调整既有架构，即可使用既有连线技术，因此虚拟私人网络具有设备投资成本较低且管理维护更简便的好处。

虽然现行的虚拟私人网络已可通过因特网安全协议(IP Security，IPSec)、多重协议标签交换技术(Multiprotocol Label Switching，MPLS)、通用路由封装技术(GenericRouting Encapsulation，GRE)与动态多点虚拟私人网络(Dynamic Multipoint VPN，DMVPN)等多种技术来达到点对点或点对多点的虚拟私人网络连线建立，但目前虚拟私人网络仅着重于Internet上架构企业专用私人网络来达到企业内部网络(Intranet)、上下游厂商或关系企业连网(Extranet)、不分国界远程访问(Remote Access)的解决方案。

2017年2月15日公开的中国专利第CN106411735号“一种路由配置方法及装置”，此专利所提供的路由配置方法及装置应用在软件定义网络(Software-Defined Networking，SDN)中的控制器，所提出的方法通过控制器配置租户VPN实例的路由目标(Router Target，RT)属性和外网VPN实例的路由策略，以使网关设备根据路由策略对来自不同外网设备的路由设置RT属性，并将路由的RT属性与租户VPN实例的RT属性进行匹配，匹配成功后将路由添加到租户的VPN实例中，指引租户流量向外网转发，通过其发明可实现网关设备上路由的动态更新。

然而，现行虚拟私人网络尚未深入以下问题进行探讨：第一、虚拟私人网络已被广泛地应用在广域网(Wide Area Network, WAN)，如何将虚拟私人网络自WAN端延伸至企业内局域网络(Local Area Network，LAN)与数据中心(Datacenter)，以达到多点对多点的端对端网络隔离。第二、所有用户的话务混合在同一电路，如何将不同类型的话务彼此隔离。第三、以时间管理为基础的动态弹性供装存取管控机制。由此可知，现有技术在实际运用上仍有上述问题亟待解决。

发明内容

有鉴于此，本发明的目的在于提出一种支持多样性端对端网络隔离的虚拟私人网络(VPN)服务供装系统，运用网络功能虚拟化与软件定义网络弹性调度网络配置，将现行虚拟私人网络自广域网延伸至企业内局域网络与数据中心。

本发明提供端对端高安全性网络隔离服务供装，根据不同话务类型进行话务导流，解决现行企业局域网络内所有话务混合在同一条电路传输以及共享路由表的安全性问题，避免企业单一系统被骇，影响企业内其他系统的风险。本发明提出基于时间管理政策与非法使用阻挡的网络存取管控机制，进一步提升企业虚拟私人网络方案的安全性并减少虚拟私人网络的建置与维运成本。