[发明专利]一种网络接入方法和设备

说明书

本发明提供一种网络接入方法和设备，用于解决接入SD‑WAN网络的不同用户之间的安全问题，该方法包括步骤：代理服务端接收第一数据包；该第一数据包属于第一用户；代理服务端部署于第一接入点的服务器上；第一接入点与第二接入点之间具有与第一用户对应的第一虚拟网络通道；将第一数据包通过第一虚拟网络通道转发。上述方法具有安全隔离用户访问的效果。

技术领域

本发明涉及网络通信领域，特别是基于SD-WAN的网络接入技术。

背景技术

现有技术中，若用户需要访问企业内网，通常由以下几种方式：

方案1：可以使用socket（即代理的方式）使用户可以访问企业分支的内部网络；

方案2：可以使用vlan或vxlan的方式使用户可以访问企业分支的内部网路；

方案3：采用l2tp vpn的方式使用户端可以访问企业分支机构的内部网络。

对于方案1，主要是这种方式的数据包是通过公共网络，没有办法通过SD-WAN进行加速的；如果单纯应用方案1，用户端到企业分支之间的网络通信的质量是由公共互联网的通信质量决定的，本方案就是要加速这段网络通信的质量。

对于方案2，比如通过方案2将用户接入pop然后连接到sd-wan在用户分支机构的CPE是可以实现用户接入并且网络加速的目的，但是，很多移动产品（手机）无法配置设备使其作为L2TP的LAC端，导致SD-WAN控制器无法对其进行网络相关自动配置。

对于方案3，通过以方案3的方式连接到sd-wan的一个pop1，再由sd-wan连接到分支机构的cpe，从而实现移动产品中的流量通过sd-wan加速到分支机构的目标，然而由于android设备不支持l2tp vpn的开发（https://www.coder.work/article/648874），只能用户手动输入l2tp vpn相关的配置，导致无法自动化实现移动设备通过l2tp连接pop，再建立pop到企业分支机构的vlan或vxlan。

而如果不隔离不同用户之间的流量，可能会导致用户可以访问到其他用户的企业分支内部，进而导致网络安全问题。

发明内容

为了解决接入SD-WAN网络的不同用户之间的安全问题，本发明提供一方面提供一种网络接入方法，包括：

代理服务端接收第一数据包；该第一数据包属于第一用户；

代理服务端部署于第一接入点的服务器上；

第一接入点与第二接入点之间具有与第一用户对应的第一虚拟网络通道；

将第一数据包通过第一虚拟网络通道转发。

可选的，在转发第一数据包之前包括用于建立第一接入点与第二接入点之间的第一虚拟网络通道的步骤：

根据第一用户设置第一接入点与第二接入点，对应配置第一接入点和第二接入的vlan x隧道。

可选的，在转发第一数据包之前包括用于建立第一接入点与第二接入点之间的第一虚拟网络通道的步骤：

设置第一接入点与第二接入点的socket隧道或者vxlan隧道。

可选的，将第一数据包通过第一虚拟网络通道转发包括步骤：

将第一数据包转发至第一用户对应第一tun/tap设备；

所述第一tun/tap设备与第一vlan设备唯一对应连接；从而所述第一数据包通过第一虚拟网络通道转发；

所述第一虚拟网络通道即第一vlan设备所对应的虚拟网络通道。

可选的，代理服务端接收第二数据包，该第二数据包属于第二用户；