[发明专利]一种虚拟网络连接方法及虚拟网络系统

说明书

本发明公开了一种虚拟网络连接方法及虚拟网络系统，涉及网络技术领域。虚拟网络连接方法包括：配置至少一个全局协调器，以及在连接互联网的主机中配置转发器，转发器向可达的全局协调器注册并保持长连接；在全局协调器的协调下，转发器之间建立穿透连接；穿透连接一端的转发器为本机的应用客户端提供代理转发服务，且另一端的转发器与本机的应用服务连接，在应用客户端与跨主机的应用服务之间建立虚拟网络连接。本发明提供自动穿透NAT和防火墙的虚拟网络连接。

技术领域

本发明涉及网络技术领域，具体是涉及一种虚拟网络连接方法及虚拟网络系统。

背景技术

软件虚拟网络被广泛应用在分布式网络环境中，随着网络规模不断扩大，网络环境的复杂性与日俱增。当应用软件分布在多个独立的网络地址转换(Network AddressTranslation，NAT)子网中时，需要用户配置端口映射以开放服务端口，才能建立软件虚拟网络，因此难以实现软件虚拟网络的自动部署。另外，大部分软件虚拟网络都采用虚拟网卡，需要根(root)权限和操作系统的支持，网络中存在不同的操作系统类型和版本时，部署难度大。

发明内容

针对现有技术中存在的缺陷，本发明的目的在于提供一种虚拟网络连接方法及虚拟网络系统，提供自动穿透NAT和防火墙的虚拟网络连接。

本发明提供一种虚拟网络连接方法，其包括：

配置至少一个全局协调器，以及在连接互联网的主机中配置转发器，转发器向可达的全局协调器注册并保持长连接；

在全局协调器的协调下，转发器之间建立穿透连接；

穿透连接一端的转发器为本机的应用客户端提供代理转发服务，且另一端的转发器与本机的应用服务连接，在应用客户端与跨主机的应用服务之间建立虚拟网络连接。

在上述技术方案的基础上，所述穿透连接的任一端主机为非NAT且无防火墙；

所述穿透连接的两端主机均为非对称NAT或有防火墙；

所述穿透连接的两端主机均为对称型NAT；或者，

所述穿透连接的一端主机为对称NAT，另一端主机为非对称NAT。

在上述技术方案的基础上，所述配置至少一个全局协调器，并在每个连接互联网的主机中均配置转发器，转发器向可达的全局协调器注册并保持长连接包括：

所述全局协调器将两个TCP端口绑定为服务端口，并进行监听；

所述转发器通过本机端口向两个服务端口发送注册信息，并与一个服务端口建立并保持长连接，其中，注册信息包括本机IP、本机端口、本机应用IP和本机应用端口；

所述全局协调器根据注册信息确定所述转发器的网络信息；当所述全局协调器的数量为多个时，所述全局协调器向其他所述全局协调器广播所述转发器的网络信息。

在上述技术方案的基础上，所述配置至少一个全局协调器，以及在连接互联网的主机中配置转发器还包括：

为所有所述全局协调器和主机分别分配唯一的虚拟网络ID，根据虚拟网络ID、特征信息和应用服务信息生成并发放数字证书，其中，每个主机的虚拟网络ID是作为所述本机应用IP的本机环回IP；

所述转发器之间以及所述转发器与所述全局协调器之间均基于数字证书进行身份验证。

在上述技术方案的基础上，所述转发器之间以及所述转发器与所述全局协调器之间均基于所述数字证书进行加密通信；

当所述应用客户端启用自定义的安全加密协议时，所述转发器关闭基于所述数字证书的加密通信。

在上述技术方案的基础上，所述穿透连接一端的转发器为本机的应用客户端提供代理转发服务包括：