(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211209601.4 (22)申请日 2022.09.30 (71)申请人 上海地面通信息网络股份有限公司 地址 200072 上海市 静安区永和路318弄 10 号 (72)发明人 胡益明　 (74)专利代理 机构 上海科盛知识产权代理有限 公司 312 25 专利代理师 赵志远 (51)Int.Cl. H04L 12/46(2006.01) H04L 9/40(2022.01) H04L 67/10(2022.01) (54)发明名称 基于拨号云VPN的远程及移动办公协同控制 系统及接入方法 (57)摘要 本发明涉及一种基于拨号云VPN的远程及移 动办公协同控制系统及接入 方法， 所述系统包括 部署在数据中心的VPN云服务器， 其上虚拟出安 装有开源VPN软件且与用户一对一对应的VPN虚 拟机； 所述VPN 云服务器 前端布置有VPN  CPE终端 设备， 用户办公场所布置有CPE终端设备； 所述 VPN CPE终端设备和CPE终端设备之间建立有SD ‑ WAN连接或GRE  over IPSEC连接； 所述CPE终端设 备与办公内网服务器连接； 其中， 数据访问链路 环路为： 远程拨号IP地址至云VPN服务器的IP分 配池， 返回路由定义与用户IP  VPN实例绑定， 并 路由到用户端的CPE终端的IPSEC或SDWAN接口 上， 到达用户内网， 形成一条数据访问闭环链路。 与现有技术相比， 本发明具有成本低、 网络安全 性高、 交付流程简便， 无需对客户现有网络架构 作出变更的优点。 权利要求书1页 说明书4页 附图1页 CN 115529206 A 2022.12.27 CN 115529206 A 1.一种基于拨号云VPN的远程及移动办公协同控制系统， 其特征在于， 所述控制系统包 括部署在数据中心的VPN云服务器， 其上虚拟出安装有开源VPN软件且与用户一对一对应的 VPN虚拟机； 所述VPN云服务器前端布置有VPN  CPE终端设备， 用户办公场所布置有CPE终端设备； 所 述VPN CPE终端设备和CPE终端设备之间建立有SD ‑WAN连接或GRE  over IPSEC连接； 所述 CPE终端设备与办公内网服 务器连接 。 2.根据权利要求1所述的一种基于拨号云VPN的远程及移动办公协同控制系统， 其特征 在于， 所述CPE终端设备包括防火墙和Router。 3.根据权利要求1所述的一种基于拨号云VPN的远程及移动办公协同控制系统， 其特征 在于， 所述VPN  CPE终端设备 上设有通过VRF实例绑定的用户接入端口。 4.根据权利要求1所述的一种基于拨号云VPN的远程及移动办公协同控制系统， 其特征 在于， 所述VPN  CPE终端设备和CPE终端设备之间的SD ‑WAN连接或GRE  over IPSEC连接均为 采用IPSec协议加密认证技 术的通信连接 。 5.根据权利要求1所述的一种基于拨号云VPN的远程及移动办公协同控制系统， 其特征 在于， 所述VPN  CPE终端设备、 CPE终端设备分别通过 数据中心网络、 宽带网络 接入公网。 6.根据权利要求1所述的一种基于拨号云VPN的远程及移动办公协同控制系统， 其特征 在于， 所述办公内网服 务器包括CRM、 OA、 NAS文件服 务器以及网盘服 务器。 7.根据权利要求1所述的一种基于拨号云VPN的远程及移动办公协同控制系统， 其特征 在于， 所述控制系统对应的数据访问链路具体为： 将远程拨号IP地址路由定义到VPN云服务器的IP 分配池， 在VPN云服务器上绑定到动态 分配给远程用户的拨号地址池中， 返回路 由定义与用户IP  VPN实例绑定， 并路 由到用户办 公场所布置的CPE终端设备的IPS EC或SDWAN接口上， 到达办公内网服务器， 形成一条数据访 问闭环链路。 8.一种基于拨号云VPN的远程及移动办公协同控制接入方法， 其特征在于， 应用权利要 求1～7任一项所述的控制系统， 所述方法具体为： 移动办公或居家办公用户， PC端上建立PPTP协议或L2TP/IPSec协议到VPN云服务器的 拨号连接， PC端上输入VPN连接账号， 拨号建立成功后， PC端获取IP地址， 网关到VPN云服务 器， 随后通过缺省路由， 数据包经过VPN  CPE终端设备， 再通过SDWAN或GRE隧道到达用户办 公网络的CP E终端设备上， 所述CPE终端设备与用户内网交换机互联， 查找到网络路由， 建立 PC端的IP地址和用户办公内网服务器的连接通信关系； 访问外网时， 再通过用户办公网络 防火墙或代理服 务器到外网。 9.根据权利要求8所述的方法， 其特征在于， 所述PPTP协议对应的连接为采用MPPE128 位加密的连接 。 10.根据权利要求8所述的方法， 其特征在于， 所述L2TP协议对应的连接为采用IPSec   AES256加密算法、 SHA 2‑256哈希认证算法和Pre ‑Share‑Key预共享秘钥的连接 。权　利　要　求　书 1/1 页 2 CN 115529206 A 2基于拨号云VPN的远 程及移动办公 协同控制系统及接入方 法 技术领域 [0001]本发明涉及网络通信技术领域， 尤其是涉及一种基于拨号云VPN的远程及移动办 公协同控制系统及接入方法。 背景技术 [0002]现有的企业自建拨号VPN远程或移动协同办公存在以下问题： [0003]1)成本高： 企业自建VPN需要采购昂贵的SSL  VPN防火墙 或IPSEC VPN硬件设备， 且 上述硬件设备还需购买vpn  license， 成本高， 每年的硬件续保及维护费高； 同时企业还要 向运营商租用互联网专线， 但是很多 出差或疫情期间居家办公人员的宽带来自各个不同运 营商， 这就要求企业具 备多条专线， 同时要分配多个ip来建立VPN连接， 带来诸多不便； [0004]2)管理不便： 客户需要维护VP N硬件设备， 认证服务器， 企业专线等多个子系统， 对 客户的技能也 提出了更高的要求。 [0005]针对上述问题， 亟需要设计一种更加便捷且 成本低廉的远程及移动办公协同控制 系统及方法。 发明内容 [0006]本发明的目的就是为了克服上述现有技术存在的缺陷而提供了一种成本低、 网络 安全性高、 交付 流程简便的基于拨号云VPN的远程办公协同控制系统及接入方法。 [0007]本发明的目的可以通过以下技 术方案来实现： [0008]根据本发明的第一方面， 提供了一种基于拨号云VPN的远程及移动办公协同控制 系统， 所述控制系统包括部署在数据中心的VPN云服务器， 其上虚拟出安装有开源VPN软件 且与用户一对一对应的VPN虚拟机； [0009]所述VPN云服务器前端布置有VPN  CPE终端设备， 用户办公场所布置有CPE终端设 备； 所述VPN  CPE终端设备和CPE终端设备之间建立有SD ‑WAN连接或GRE  over IPSEC连接； 所述CPE终端设备与办公内网服 务器连接 。 [0010]优选地， 所述CPE终端设备包括防火墙和Router。 [0011]优选地， 所述VPN  CPE终端设备 上设有通过IP  VPN实例绑定的用户接入端口。 [0012]优选地， 所述VPN  CPE终端设备和CPE终端设备之间的SD ‑WAN连接或GRE  over  IPSEC连接均为采用IP Sec协议加密认证技 术的通信连接 。 [0013]优选地， 所述VP N CPE终端设备、 CPE 终端设备分别通过数据中心网络、 宽带网络接 入公网。 [0014]优选地， 所述办公内网服 务器包括CRM、 OA、 NAS文件服 务器以及网盘服 务器。 [0015]优选地， 所述控制系统对应的数据访问链路具体为： [0016]将远程拨号IP地址路由定义到VPN云服务器的IP分配池， 在VP N云服务器上绑定到 动态分配给远程用户的拨号地址池中， 返回路 由定义与用户IP  VPN实例绑定， 并路 由到用 户办公场所布置的CP E终端设备的IPSEC或SDWAN接口上， 到达办公内网服务器， 形成一条数说　明　书 1/4 页 3 CN 115529206 A 3