异地组网[可选]
如何利用IPv6 的特性,实现异地组网
好处:
1、可以将不同地方的网络组成一个虚拟的局域网
2、带宽仅受限于运营商提供的带宽
3、数据不经过第三方中转
4、高度安全加密的数据
5、网络变化(运营商分配的地址改变)可自动适应网络结构变更,无需人工干预
6、组网成本极低
安全加密算法说明
SDLAN 组网使用最先进的加密技术(利用Curve25519进行密钥交换,ChaCha20和Poly1305用于数据认证),安全性毋庸置疑。
SDLAN 组网支持IP地址漫游,也就是网络断开再连,对SDLAN组网不会有影响密钥验证(curve25519)
Curve25519 是目前最高水平的 Diffie-Hellman函数,适用于广泛的场景,由Daniel J. Bernstein教授设计。在密码学中,Curve25519是一个椭圆曲线提供128位安全性,设计用于椭圆曲线Diffie-Hellman(ECDH)密钥协商方案。它是最快的ECC曲线之一,并未被任何已知专利所涵盖。
给定一个用户的32字节密钥,curve25519计算该用户的32字节公钥。给定该用户的32字节密钥和另一个用户的32字节公钥,curve25519计算一个32字节的共享密钥提供给这两个用户使用。然后可以使用这个秘密对两个用户进行身份验证和信息加密。
数据流加密 ChaCha20-Poly1305
ChaCha20-Poly1305
在TLS协议中中,密码库(OpenSSL、NSS)在进行数据加密的时候,涉及到两种算法,分别是对称加密算法和MAC算法,为保证机密性和完整性,这两种算法必须同时存在。
对于密码库(比如OpenSSL)来说,如果由它结合处理对称加密算法和MAC算法,有的时候会出现安全问题,CBC 迭代会遇到填充攻击,也就是说传统加密模式存在安全风险。
这时候就出现了 AEAD 加密模式,它在内部自行处理加密和MAC运算,无须密码库(比如OpenSSL)处理,安全性更高,而ChaCha20-Poly1305也采用AEAD加密模式。
ChaCha系列流密码,作为salsa密码的改良版,具有更强的抵抗密码分析攻击的特性,“20”表示该算法有20轮的加密计算。
Poly1305是由丹尼尔·J·伯恩斯坦(英语:Daniel J. Bernstein)设计的密码学消息认证码(MAC)。它可用于验证数据完整性和消息真伪。Poly1305(不需要AES)已在RFC 7539中标准化。
组网方式对比
| 对比项目 | 传统VPN网络 | SDLAN 智能组网(网状结构) | SDLAN 智能组网(星状结构) | SDLAN 智能组网(隧道模式) |
|---|---|---|---|---|
| 技术 | 需要专线建立通道 | 普通宽带线路即可建立组网 | 普通宽带线路即可建立组网 | 普通宽带线路即可建立组网 |
| 使用 | 专线使用,部署配置复杂 | 智能组网,一键部署 | 智能组网,一键部署 | 智能组网,一键部署 |
| 维护 | 排查繁琐,路由配置麻烦,服务器地址变化对使用影响大 | 云端集中管理,地址变化自动更新,可以认为无须干预 | 云端集中管理,地址变化自动更新,可以认为无需干预 | 云端集中管理,地址变化自动更新,可以认为无需干预 |
| 安全 | 传统加密方式 | 最新最安全非对称RSA/AES加密 | 最新最安全非对称RSA/AES加密 | 最新最安全非对称RSA/AES加密 |
| 环境 | 公网IPV4环境,固定IP | IPV6网络,支持动态IP | IPV4网络,支持动态IP | IPV4网络,无需公网IP |
| 扩展性 | 新增节点需要重新配置服务器,配置路由 | 随时增加/删除节点,一键完成配置 | 随时增加/删除节点,一键完成配置 | 随时增加/删除节点,一键完成配置 |
| 成本 | 线路租用费用高,中心设备费用高 | 租用普通线路成本低,设备性价比高 | 租用普通线路成本低,设备性价比高 | 租用普通线路成本低,设备性价比高 |
| 网络结构 | 星状结构,性能受限服务提供商 | 网状结构,任意两点间通讯,对服务器性能无要求 | 对服务器性能无要求 | 网状结构,任意两点间通讯,对服务器性能无要求 |
| 带宽 | 受限服务商套餐带宽 | 任意两台这设备之间仅受限于运营商带宽 | 仅受限中心节点设备带宽 | 任意两台这设备之间仅受限于运营商带宽 |
典型应用-分支机构服务共享
连锁型企业或门店,具有多个分支门店,既有集中管理数据,实时跟新数据的需求,也有网络管理比较灵活的要求
这类场景,一般各分支结构都是租用家用宽带,满足上网需求,但是又需要和总部建立数据上的联系
采用SDLAN 软件定义内网功能,可以灵活的将异地分支机构的网络透明连接到一起,各地分支机构可以共享总部数据和服务
1、共享财务数据
2、共享考勤数据
3、共享视频资源服务等
典型应用-零散节点集中监控
一些有视频监控需求的应用场景中,如
1、城市服务站点,供电、供热站等
2、连锁型无人销售场景等
本地没有安装适配录像存储设备等的条件,或有集中监控管控的先决要求,在这种情况下,租用普通宽带线路或4G/5G线路,使用SDLAN 组网功能,可以灵活的建立和维护所有节点的网络和监控数据
配置方法
绑定云平台
首先需要将网关设备绑定到云平台
直接在设备页面填入云平台用户的绑定码
如果还没有云平台账号,请先登录云平台注册账号;
绑定步骤:
1、登录设备找到设备绑定二维码
登陆云平台(网址http://user.combway.com/) 登陆你的云平台账户,如果还没有云平台账号,请先登陆云平台注册账号
2、登陆云平台账户,获取注册用户的绑定token
3、页面填入绑定码绑定
创建SDLAN 网络组
1、登录云平台,点击智能组网,选择创建
2、输入组网名称(比如场所名称,方便记忆),点击下一步
3、选择组网结构,如果使用星状网络,则需要选择中心节点;点击下一步
网状网络需要组内成员都具有IPv6地址
星状网络需要选择中心节点,中心节点需要有公网IPv4,不符合选择条件的设备不会在列表中列出
各个网络的组网条件如下:
| 编号 | 网络条件 | 星型网络 | 网状网络 | 星型网络(隧道) | 网状网络(隧道) |
|---|---|---|---|---|---|
| 1 | 所有设备有IPv6地址 | 参考2、3 | 是 | 参考3 | 参考3 |
| 2 | 至少一台有IPv4公网地址 | 是 | 否 | 是 | 是 |
| 3 | 所有设备都是IPv4私有地址 | 否 | 否 | 是 | 是 |
4、选择组内的其他设备,点击下一步
5、检查组内网络是否冲突,如有冲突则可以直接编辑解决;点击下一步完成组网
检查网络状态
网络配置完成后,可以在设备上看到当前设备到各对端设备的网络状态和网络延时
