[发明专利]基于VXLAN的远程局域网加密认证装置以及使用方法

说明书

本发明公开了一种基于VXLAN的远程局域网加密认证装置，包括设置于的厂站端电网调度设备、县级电网调度设备和省级电网调度设备，本发明还包括VXLAN网关、核心交换机和纵向加密设备，厂站端电网调度设备依次经第一VXLAN网关、边界路由器、纵向加密设备、中间节点路由器、中间节点路由器、纵向加密设备、第三VXLAN网关、核心交换机、第三VXLAN网关、纵向加密设备、中间节点路由器、中间节点路由器、纵向加密设备、第二VXLAN网关和边界路由器与县级电网调度设备相通讯。本发明采用上述结构的基于VXLAN的远程局域网加密认证装置以及使用方法，通过在现有的调度数据网中部署二层VPN技术，将广播与组播封装在二层隧道中，并通过纵向加密设备对二层VPN隧道加密，即可实现地调系统和厂站端调度系统之间的数据安全传输。

技术领域

本发明涉及一种组网技术，尤其涉及一种基于VXLAN的远程局域网加密认证装置以及使用方法。

背景技术

目前在D5000系统广域网延伸方案中由于厂站端D5000前置机与地调D5000系统采用单播、组播、广播通信，故需要二层组网才能进行正常的通信工作，所以目前D5000系统广域网延伸方案都采用二层专线模式组网，即厂站端D5000前置机与地调D5000系统通过二层专线实现大二层互通。由于电网系统二次安全明确要求广域网链路之间必须要部署纵向加密系统，从而实现数据加密传输保证网络安全，但是在二层组网模式下，纵向加密系统只对单播数据起到安全加密，对广播与组播数据不做加密处理，导致现有D5000系统广域网延伸方案中纵向加密设备对广播与组播数据直接放行，不符合电力系统二次安全要求，使D5000系统存在较的安全隐患。

发明内容

本发明的目的是提供一种基于VXLAN的远程局域网加密认证装置以及使用方法，通过在现有的调度数据网中部署二层VPN技术，从而实现了跨越路由器的二层组网技术，将广播与组播封装在二层隧道中，并通过纵向加密设备对二层VPN隧道加密，即可实现地调系统和厂站端调度系统之间的数据安全传输。

为实现上述目的，本发明提供了一种基于VXLAN的远程局域网加密认证装置，包括设置于的厂站端电网调度设备、县级电网调度设备和省级电网调度设备，本发明还包括VXLAN网关、核心交换机和纵向加密设备，所述VXLAN网关包括设置于所述厂站端电网调度设备侧的第一VXLAN网关、设置于所述县级电网调度设备侧的第二VXLAN网关以及设置于所述省级电网调度设备侧的第三VXLAN网关，所述厂站端电网调度设备依次经所述第一VXLAN网关、边界路由器、纵向加密设备、中间节点路由器、中间节点路由器、纵向加密设备、所述第三VXLAN网关、所述核心交换机、所述第三VXLAN网关、纵向加密设备、中间节点路由器、中间节点路由器、纵向加密设备、所述第二VXLAN网关和边界路由器与所述县级电网调度设备相通讯，所述核心交换机与所述省级电网调度设备相通讯。

优选的，本发明还包括SND控制器，所述SND控制器分别与所述核心交换机、所述第一VXLAN网关、所述第二VXLAN网关和所述VXLAN网关相通讯。

优选的，所述第一VXLAN网关、所述第二VXLAN网关和所述第三VXLAN网关均为路由器或者交换机。

一种大二层使用方法，包括以下步骤：

S1、采用VXLAN网关在现有三层网络中搭建二层VPN隧道；

S2、由边界路由器构成底层物理网络，通过二层VPN隧道的方式在底层物理网络上形成覆盖网络；

S3、通过VXLAN网关网络标示将业务封装在VXLAN层面中；

S4、通过VXLAN网关VTEP将封装数据解封。

优选的，上述步骤S3中封装具体封装步骤包括：将厂站端的数据中心或者县调数据中心封装到VPN隧道，得到MAC-in-UDP封装格式数据包。