[发明专利]一种VPN控制装置，软件定义VPN实现系统及方法

权利要求书

1.一种VPN控制装置，其特征在于，包括：管理通道消息接口、管理消息解析器、控制脚本生成器、控制通道消息接口、文件读写接口、管理消息配置模块以及脚本模板模块；

管理通道消息接口用于提供VPN控制装置与应用平面之间的连接端口以及用于将连接端口接收的数据信息传送至管理消息解析器；

管理消息解析器与控制脚本生成器连接，还通过文件读写接口和管理消息配置模块连接；

控制脚本生成器还通过文件读写接口和脚本模板模块连接；

管理消息解析器将接收的数据信息按照预设的验证码进行数据信息校验，校验通过后，对数据进行解析，基于预设的关键信息进行信息提取，并将提取的信息与管理消息配置模块配置的预设信息进行拼接，拼接后传输至控制脚本生成器；

控制脚本生成器用于从脚本模板模块获取脚本模板，对脚本模板信息进行读取，并将管理消息解析器传输的拼接后信息进行匹配，将拼接后信息匹配至脚本模板内，形成脚本信息；控制脚本生成器与控制通道消息接口连接，控制脚本生成器通过控制通道消息接口将脚本信息传输至数据平面。

2.一种具有VPN控制装置的软件定义VPN实现系统，其特征在于，包括：应用平面、控制平面以及数据平面；控制平面配置有VPN控制装置；

应用平面通过VPN控制装置的管理通道消息接口与控制平面通信连接；

数据平面通过VPN控制装置的控制通道消息接口与控制平面通信连接；

应用平面用于给网络管理员提供操控及可视界面，提供VPN网络设备集中控制和远程管理的可视化界面和友好型操作，支持链路管理、协议管理、路由管理、转发管理、带宽管理、QoS管理；

控制平面用于作为系统的数据通信及数据处理的控制器，提供对链路、协议、路由、转发、带宽和QoS元数据的校验、解析、提取和拼接，生成可配置的网络规则，并输出可执行脚本；

控制器利用模板的可扩展性，保障上述网络规则在多元异构网络设备的兼容性；

控制通道提供控制平面与数据平面的脚本交互接口，脚本交互接口基于SSL协议保障执行脚本下发和执行结果回传的安全性、机密性和完整性；

VPN控制装置由管理通道消息接口、管理消息解析器、控制脚本生成器、控制通道消息接口、文件读写接口及若干配置、模板文件组成；

控制平面还用于利用脚本模板和管理消息配置模块配置的预设信息扩展系统网络规则，保障网络规则在多元异构网络设备的兼容性；

VPN控制装置的管理通道消息接口配置为管理通道；管理通道用于提供应用平面与控制平面的数据交互接口，数据交互接口支持基于消息中间件的实时通信，支持基于数据库的非实时性通信；

管理通道消息接口接收到应用平面发送的VPN控制命令消息，由管理消息解析器依次进行元数据的校验、解析、提取和拼接；

同时，控制脚本生成器根据VPN网络设备的设备型号及系统版本，匹配并读取对应的模板文件，并将拼接好的数据以参数传递形式进行内容替换，最后计算校验和之后，将脚本通过控制通道消息接口下发至VPN网络设备，并等待回传的执行结果；

数据平面用于作为VPN客户端与VPN服务端数据通信平面，根据从控制平面接收的脚本，选择VPNC与VPNS通信链路、通信协议、路由规则、转发规则、带宽规则以及QoS规则；通过控制通道传输的数据信息格式为VPN控制消息格式；

VPN控制消息格式为JSON格式，VPN控制消息格式包括：消息id，消息类型，消息内容，消息时间以及消息认证码。

3.根据权利要求2所述的具有VPN控制装置的软件定义VPN实现系统，其特征在于，

id是控制消息的唯一标识。

4.根据权利要求3所述的具有VPN控制装置的软件定义VPN实现系统，其特征在于，

通过控制通道传输的数据信息包括：启动VPNS指令，关闭VPNS指令，启动VPNC指令，关闭VPNC指令，新增路由规则指令，删除路由规则指令，新增转发规则指令，删除转发规则指令，新增带宽规则指令，删除带宽规则指令，新增QoS规则指令以及删除QoS规则指令。

5.一种软件定义VPN实现方法，该方法基于权利要求2所述的软件定义VPN实现系统实现，其特征在于，所述方法包括:

步骤一包括：选择VPN通信协议，检查网络设备型号及系统，选择VPN模板，选择VPNS和VPNC资源节点，并生成VPNS和VPNC配置和执行脚本；

步骤二包括：下发VPNS配置和启动脚本，启动VPNS，回传VPNS启动结果，下发VPNC配置和启动脚本，启动VPNC，回传VPNC启动结果；

步骤三包括：选择路由、转发、宽带以及QoS规则模板并生成配置脚本；

下发转发、带宽以及QoS规则配置脚本；

执行转发、带宽以及QoS规则脚本；

回传转发、带宽以及QoS规则脚本的执行结果；

下发路由规则配置脚本；

执行路由规则脚本；

回传路由规则脚本的执行结果。