CN101909021A - Bgp网关设备及利用该设备实现通断网关功能的方法 - Google Patents
Bgp网关设备及利用该设备实现通断网关功能的方法 Download PDFInfo
- Publication number
- CN101909021A CN101909021A CN2010102389340A CN201010238934A CN101909021A CN 101909021 A CN101909021 A CN 101909021A CN 2010102389340 A CN2010102389340 A CN 2010102389340A CN 201010238934 A CN201010238934 A CN 201010238934A CN 101909021 A CN101909021 A CN 101909021A
- Authority
- CN
- China
- Prior art keywords
- bgp
- gateway
- controller
- border
- border router
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 7
- 238000004891 communication Methods 0.000 abstract description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 241000283070 Equus zebra Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种BGP网关设备及利用该设备实现通断网关功能的方法,包括:BGP控制器;认证服务器,与所述BGP控制器建立有消息连接关系;两个相互连接的边界路由器,一个用于接入外网,且与所述BGP控制器建立有BGP连接关系,另一个用于汇总内网流量。本发明在BGP控制器与边界路由器间建立BGP连接关系,通过增加和删除BGP控制器中的路由表项间接控制边界路由器中的路由表状态,从而达到控制内网是否可以与外网进行通信的目的,实现了专用通断网关设备功能。避免了部署和升级昂贵的专用网关设备及串联专用网关设备的单点故障导致的局域网无法访问外网的问题;出口链路的带宽升级不会影响BGP控制器,也不会要求BGP控制器升级相应的物理链路和处理能力。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种BGP网关设备及利用该设备实现通断网关功能的方法。
背景技术
对于局域网(例如园区网)来说,出于计费和安全的需要,一般都需要在出口处部署认证服务器和网关设备,用于控制网内用户对外网的访问。这种专用网关模式的特点是,网关设备一般都串联在出口链路上,按照认证服务器指令,放行或拦截某个IP地址出入局域网。但是这种模式的缺点非常明显:一、网关设备一般都是专用设备,价格相对比较昂贵;二、网关设备一般都是串联在出口链路上,属于单一故障点,一旦网关设备出现故障,整个园区网出口将中断,对用户影响很大;三、由于网关设备是串联在链路上部署,所以当该链路升级后(如由千兆链路升级到万兆链路),网关设备的接口和处理能力必须相应升级,否则将无法正常工作。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:其一,以低成本实现专用通断网关设备的功能;其二,避免串联专用网关设备时单点故障导致的整个内网无法访问外网的问题;其三,避免专用网关设备必须跟随出口链路带宽进行升级的问题。
(二)技术方案
为解决上述技术问题,本发明提供了一种BGP网关设备,包括:
BGP控制器,是运行有BGP路由协议软件的设备;
认证服务器,与所述BGP控制器建立有消息连接关系;
两个相互连接的边界路由器,其中一个用于接入外网,且与所述BGP控制器建立有消息连接关系,另一个用于汇总内网流量。
其中,所述BGP连接关系为IBGP连接关系或EBGP连接关系。
其中,所述认证服务器为具有验证用户身份功能的服务器。
其中,所述边界路由器为具有BGP路由功能的边界路由器。
其中,所述边界路由器为实体路由器、虚拟路由器、同一实体或虚拟路由器中的不同BGP实例,以及运行有BGP路由协议软件的服务器中的一种或多种。
本发明还提供了一种利用上述BGP网关设备来实现通断网关功能的方法,通过增加和删除所述BGP控制器中的路由表项,来间接控制所述边界路由器中的路由表状态,进而实现对所述边界路由器中的网络流量通断的控制。
(三)有益效果
本发明在运行有BGP路由协议软件的BGP控制器与边界路由器之间建立BGP连接关系,通过增加和删除BGP控制器中的路由表项,来间接控制边界路由器中的网络流量通断,从而从整体上实现目前专用通断网关设备的功能。该技术方案由于通过BGP路由方式进行控制,而BGP控制器的处理能力和硬件配置可以相对较低,因此避免了部署和升级价格昂贵的专用网关设备;由于BGP控制器作为一个分支与出口路由器连接,避免了串联专用网关设备的单点故障导致的整个局域网无法访问外网的问题;由于BGP控制器并没有串接在出口链路上,因此出口链路的带宽升级不会影响BGP控制器,也不会要求BGP控制器升级相应的物理链路和处理能力。
附图说明
图1是依据本发明一种实施方式的设备结构示意图及其使用示意。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例设备的实施方式如图1所示,其中的BGP控制器是一台运行了BGP路由协议软件(如Zebra)的服务器,它可以与路由器进行BGP通信,并通过增加或删除自身的BGP路由表项,从而间接控制BGP路由器上的路由表状态,达到控制BGP路由器上的网络流量通断的目的。假设园区网(可以为其它任何类型的局域网)地址范围为192.0.0.0/8,用户在访问任何外网地址之前需要进行登录认证。具体包括以下步骤:
默认配置:
1、BGP(Border Gateway Protocol,边界网关协议)控制器与边界路由器R0通过BGP协议建立IBGP(Internal Border Gateway Protocol,内部边界网关协议)连接关系;
2、BGP控制器通过IBGP协议向R0发布一条拦截整个园区网地址块不可与外网通信的路由:ip route 192.0.0.0/8null0。
放行和拦截客户机去往外网(参见图1中的标号①-④):
1、客户机向AAA服务器发出希望访问外网的请求,该请求包含客户机的IP地址(192.0.0.10)。
2、AAA服务器根据相关信息(如该IP是否被禁止出园区网、拥有该IP的用户是否欠费等政策信息)确认该IP地址是否可以出园区网。若不能出园区网,则将认证失败消息反馈给客户机,并结束;若可以出园区网,则AAA服务器通过消息机制告知BGP控制器“放行”客户机IP地址(192.0.0.10)。
3、BGP控制器收到消息后,通过IBGP协议,向R0发布一条放行客户机IP地址的路由(ip route 192.0.0.10/32next-hop R1),使得去往客户机IP地址的路由下一跳为R1(R1用于汇总园区网流量)。
4、此时,客户机即可与外网进行通信。
5、当客户机结束通信时,向AAA服务器发出退出请求;或者AAA服务器希望强制拦截客户机与外网的通信时,AAA服务器通过消息机制告知BGP控制器“拦截”客户机IP地址(192.0.0.10)。
6、BGP控制器收到消息后,通过IBGP协议,撤销R0中与客户机IP地址对应的路由:no ip route 192.0.0.10/32next-hop R1。
7、此时,客户机将无法再与外网进行通信。
BGP控制器死机的情况:
这种情况下,由于R0长时间无法与BGP控制器建立IBGP关系,因此会自动从自己的路由表中删除BGP控制器发布给它的拦截整个园区网地址块的路由,即从路由表中删除“ip route 192.0.0.0/8null0”。此时,整个园区网所有IP地址都可与外网任何地址进行正常通信。因此,BGP控制器的死机不会导致整个园区网无法访问外网。
对于以上实施方式说明如下:其只采用了最基本的路由广播方式,通过其他方式(如community)也可实现类似效果;其采用了IBGP方式作为路由器与BGP控制器间的路由交换协议,通过EBGP(External Border Gateway Protocol,外部边界网关协议)也可实现类似效果;其采用了IPv4地址,通过IPv6地址也可实现类似效果;采用了IPv4保留地址,该地址仅作为示例使用,不涉及路由系统中的NAT及保留地址所具有的特别含义;其中使用的路由命令只是示意性命令,实际命令格式与具体路由器设备型号有关;另外,认证服务器和BGP控制器这两部分的功能可以合并到一台或分散到多台设备上实现。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (7)
1.一种BGP网关设备,其特征在于,包括:
BGP控制器,是运行有BGP路由协议软件的设备;
认证服务器,与所述BGP控制器建立有消息连接关系;
两个相互连接的边界路由器,其中一个用于接入外网,且与所述BGP控制器建立有消息连接关系,另一个用于汇总内网流量。
2.如权利要求1所述的BGP网关设备,其特征在于,所述BGP连接关系为IBGP连接关系或EBGP连接关系。
3.如权利要求1所述的BGP网关设备,其特征在于,所述认证服务器为具有验证用户身份功能的服务器。
4.如权利要求1~3任一项所述的BGP网关设备,其特征在于,所述边界路由器为具有BGP路由功能的边界路由器。
5.如权利要求4所述的BGP网关设备,其特征在于,所述边界路由器为实体路由器、虚拟路由器、同一实体或虚拟路由器中的不同BGP实例,以及运行有BGP路由协议软件的服务器中的一种或多种。
6.一种利用权利要求4所述的BGP网关设备来实现通断网关功能的方法,其特征在于,通过增加和删除所述BGP控制器中的路由表项,来间接控制所述边界路由器中的路由表状态,进而实现对所述边界路由器中的网络流量通断的控制。
7.一种利用权利要求5所述的BGP网关设备来实现通断网关功能的方法,其特征在于,通过增加和删除所述BGP控制器中的路由表项,来间接控制所述边界路由器中的路由表状态,进而实现对所述边界路由器中的网络流量通断的控制。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102389340A CN101909021A (zh) | 2010-07-27 | 2010-07-27 | Bgp网关设备及利用该设备实现通断网关功能的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010102389340A CN101909021A (zh) | 2010-07-27 | 2010-07-27 | Bgp网关设备及利用该设备实现通断网关功能的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101909021A true CN101909021A (zh) | 2010-12-08 |
Family
ID=43264344
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010102389340A Pending CN101909021A (zh) | 2010-07-27 | 2010-07-27 | Bgp网关设备及利用该设备实现通断网关功能的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101909021A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104994028A (zh) * | 2015-07-15 | 2015-10-21 | 上海地面通信息网络有限公司 | 基于nat地址转换器的带宽节约控制装置 |
CN107566440A (zh) * | 2016-06-30 | 2018-01-09 | 丛林网络公司 | 软件定义的网络环境中服务的自动发现和自动扩缩 |
CN112565005A (zh) * | 2020-11-26 | 2021-03-26 | 北京北信源软件股份有限公司 | 网络串线检测方法及装置、设备及介质 |
CN113660146A (zh) * | 2021-10-20 | 2021-11-16 | 成都数默科技有限公司 | 一种网络边界流量采集方法、装置及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1714545A (zh) * | 2002-01-24 | 2005-12-28 | 艾维西系统公司 | 容错的数据通信的方法和系统 |
CN1783841A (zh) * | 2004-11-01 | 2006-06-07 | 朗迅科技公司 | 软路由器协议分散 |
CN1783842A (zh) * | 2004-11-01 | 2006-06-07 | 朗迅科技公司 | 软路由器特征服务器 |
CN1918856A (zh) * | 2003-11-03 | 2007-02-21 | 英特尔公司 | 分布式外部网关协议 |
-
2010
- 2010-07-27 CN CN2010102389340A patent/CN101909021A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1714545A (zh) * | 2002-01-24 | 2005-12-28 | 艾维西系统公司 | 容错的数据通信的方法和系统 |
CN1918856A (zh) * | 2003-11-03 | 2007-02-21 | 英特尔公司 | 分布式外部网关协议 |
CN1783841A (zh) * | 2004-11-01 | 2006-06-07 | 朗迅科技公司 | 软路由器协议分散 |
CN1783842A (zh) * | 2004-11-01 | 2006-06-07 | 朗迅科技公司 | 软路由器特征服务器 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104994028A (zh) * | 2015-07-15 | 2015-10-21 | 上海地面通信息网络有限公司 | 基于nat地址转换器的带宽节约控制装置 |
CN104994028B (zh) * | 2015-07-15 | 2019-04-26 | 上海地面通信息网络股份有限公司 | 基于nat地址转换器的带宽节约控制装置 |
CN107566440A (zh) * | 2016-06-30 | 2018-01-09 | 丛林网络公司 | 软件定义的网络环境中服务的自动发现和自动扩缩 |
CN107566440B (zh) * | 2016-06-30 | 2020-08-28 | 丛林网络公司 | 软件定义的网络环境中服务的自动发现和自动扩缩 |
US10992577B2 (en) | 2016-06-30 | 2021-04-27 | Juniper Networks, Inc. | Auto discovery and auto scaling of services in software-defined network environment |
CN112565005A (zh) * | 2020-11-26 | 2021-03-26 | 北京北信源软件股份有限公司 | 网络串线检测方法及装置、设备及介质 |
CN113660146A (zh) * | 2021-10-20 | 2021-11-16 | 成都数默科技有限公司 | 一种网络边界流量采集方法、装置及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11343168B2 (en) | Interconnected region controller, interconnected region control method, and computer storage medium | |
CN106487556B (zh) | 业务功能sf的部署方法及装置 | |
US8380819B2 (en) | Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network | |
US10263839B2 (en) | Remote management system for configuring and/or controlling a computer network switch | |
CN101313534B (zh) | 一种实现vpn配置服务的方法、装置和系统 | |
US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
CN103685026A (zh) | 一种虚拟网络的接入方法和系统 | |
CN102035676A (zh) | 基于arp协议交互的链路故障检测与恢复的方法和设备 | |
CN104205751A (zh) | 网络系统、控制器和分组认证方法 | |
US20150288651A1 (en) | Ip packet processing method and apparatus, and network system | |
CN109391533B (zh) | 支持多样性端对端隔离的虚拟私人网络服务供装系统 | |
CN113114509B (zh) | 一种在sdn网络环境中进行报文转发仿真的方法及设备 | |
CN104158767A (zh) | 一种网络准入装置及方法 | |
CN105227541A (zh) | 一种安全策略动态迁移方法及装置 | |
CN104184708A (zh) | Evi网络中抑制mac地址攻击的方法及边缘设备ed | |
CN105915383A (zh) | 远程路由器配置方法 | |
CN105721487B (zh) | 信息处理方法及电子设备 | |
CN101917414B (zh) | Bgp分类网关设备及利用该设备实现网关功能的方法 | |
JP5367764B2 (ja) | 仮想ネットワークシステム、構成変更方法、トンネル接続装置、及びプログラム | |
CN101909021A (zh) | Bgp网关设备及利用该设备实现通断网关功能的方法 | |
CN106713131A (zh) | 多bgp路由实例并行执行的装置 | |
CN101692654A (zh) | 一种HUB-Spoken组网的方法、系统及设备 | |
CN105915384A (zh) | 路由器主动配置方法 | |
CN108011825B (zh) | 一种基于软件定义网络的多网络设备互联现实方法及系统 | |
JP5437518B2 (ja) | 仮想ネットワークシステム、構成変更方法、トンネル終端装置、トンネル接続装置、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20101208 |