CN101917414B - Bgp分类网关设备及利用该设备实现网关功能的方法 - Google Patents
Bgp分类网关设备及利用该设备实现网关功能的方法 Download PDFInfo
- Publication number
- CN101917414B CN101917414B CN201010239954XA CN201010239954A CN101917414B CN 101917414 B CN101917414 B CN 101917414B CN 201010239954X A CN201010239954X A CN 201010239954XA CN 201010239954 A CN201010239954 A CN 201010239954A CN 101917414 B CN101917414 B CN 101917414B
- Authority
- CN
- China
- Prior art keywords
- bgp
- address
- gateway device
- classification
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 8
- 238000004891 communication Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000011217 control strategy Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 241000283070 Equus zebra Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种BGP分类网关设备及利用该设备实现网关功能的方法,包括:BGP控制器;认证服务器,与BGP控制器建立消息连接关系;n个边界路由器,一个R0用于对外网接入流量做策略路由,另一个R1用于汇总内网流量,其余n-2个均与R0和R1连接,且与BGP控制器建立BGP连接关系。本发明在BGP控制器与边界路由器间建立BGP连接关系,通过增加和删除BGP控制器中的路由表项间接控制边界路由器中的路由表状态,达到调控边界路由器中网络流量的目的,实现了专用网关设备功能。避免了部署和升级昂贵的专用网关设备及串联专用网关设备的单点故障导致的局域网无法访问外网的问题;出口链路的带宽升级不会影响BGP控制器,也不会要求BGP控制器升级相应的物理链路和处理能力。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种BGP分类网关设备及利用该设备实现网关功能的方法。
背景技术
对于局域网(例如园区网)来说,出于计费和安全的需要,一般都需要在出口处部署认证服务器和网关设备,用于控制网内用户对外网的访问。这种专用网关模式的特点是,网关设备一般都串联在出口链路上,按照认证服务器指令,放行或拦截某个IP地址出入局域网。但是这种模式的缺点非常明显:一、网关设备一般都是专用设备,价格相对比较昂贵;二、网关设备一般都是串联在出口链路上,属于单一故障点,一旦网关设备出现故障,整个局域网出口将中断,对用户影响很大;三、由于网关设备是串联在链路上部署,所以当该链路升级时(如由千兆链路升级到万兆链路),网关设备的接口和处理能力必须相应升级,否则将无法正常工作。
同时,对于需要按照目标地址来控制用户访问外网的情景(例如,缴费用户可以不受限制的访问全球任何网址,而免费用户只能访问某些国内网址),传统专用网关设备上必须部署复杂的控制策略,并且在每个用户访问每个外网目标地址的时候应用这些控制策略。这种实现方式不仅对网关设备性能提出了更高要求,而且增加了网关设备的实现复杂性。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:其一,以低成本实现专用网关设备的功能;其二,避免串联专用网关设备时单点故障导致的整个内网无法访问外网的问题;其三,避免专用网关设备必须跟随出口链路带宽进行升级的问题。
(二)技术方案
为解决上述技术问题,本发明提供了一种BGP分类网关设备,包括:
BGP控制器,是运行有BGP路由协议软件的设备;
认证服务器,与所述BGP控制器建立有消息连接关系;
n个边界路由器,其中一个边界路由器R0用于对外网接入流量做策略路由,另一个边界路由器R1用于汇总内网流量,其余n-2个边界路由器均分别与R0和R1连接,且与所述BGP控制器建立有BGP连接关系,其中,n≥4。
其中,所述BGP连接关系为IBGP连接关系或EBGP连接关系。
其中,所述认证服务器为具有验证用户身份功能的服务器。
其中,n的取值与外网地址的类别个数正相关。
其中,所述边界路由器为具有BGP路由功能的边界路由器。
其中,所述边界路由器为实体路由器、虚拟路由器、同一实体或虚拟路由器中的不同BGP实例,以及运行有BGP路由协议软件的服务器中的一种或多种。
本发明还提供了一种利用上述BGP分类网关设备来实现网关功能的方法,通过增加和删除所述BGP控制器中的路由表项,来间接控制所述边界路由器中的路由表状态,进而实现对所述边界路由器中的网络流量的调控。
其中,在实现网关功能时,将所述外网地址分为以下几种类别中的一种:免费地址和全部地址、国内地址和全部地址、国际地址和全部地址、国内地址和国际地址、商业地址和全部地址,以及商业地址和非商业地址,或者上述类别的任意组合。
(三)有益效果
本发明在运行有BGP路由协议软件的BGP控制器与边界路由器之间建立BGP连接关系,通过增加和删除BGP控制器中的路由表项,来间接调控边界路由器中的网络流量,从而从整体上实现目前专用网关设备的功能。该技术方案由于通过BGP路由方式进行控制,而BGP控制器的处理能力和硬件配置可以相对较低,因此避免了部署和升级价格昂贵的专用网关设备;由于BGP控制器作为一个分支与出口路由器连接,避免了串联专用网关设备的单点故障导致的整个局域网无法访问外网的问题;由于BGP控制器并没有串接在出口链路上,因此出口链路的带宽升级不会影响BGP控制器,也不会要求BGP控制器升级相应的物理链路和处理能力。
附图说明
图1是依据本发明一种实施方式的设备结构示意图及其使用示意。
具体实施方式
为使本发明的目的、内容、和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例设备的实施方式如图1所示,其中的BGP控制器是一台运行了BGP路由协议软件(如Zebra)的服务器,它可以与路由器进行BGP通信,并通过增加或删除自身的BGP路由表项,从而间接控制BGP路由器上的路由表状态,达到控制和调度BGP路由器上的网络流量的目的。假设园区网(可以为其它任何类型的局域网)地址范围为192.0.0.0/8,将外网地址分为两类:“免费地址mIP”和“所有地址sIP”,用户在访问任何外网地址之前需要进行登录认证。具体包括以下步骤:
默认配置:
1、BGP(Border Gateway Protocol,边界网关协议)控制器与边界路由器R01和R02通过BGP协议建立IBGP(Internal Border GatewayProtocol,内部边界网关协议)关系;
2、BGP控制器通过IBGP协议向R01和R02发布一条拦截整个园区网地址块不可与外网通信的路由:ip route 192.0.0.0/8null0;
3、边界路由器R0对Internet入流量做策略路由(Policy-basedRouting),若入流量源地址属于mIP,则下一跳为R02;否则(源地址属于sIP),下一跳为R01。
放行和拦截客户机去往外网所有地址sIP(参见图1中的标号①-⑤):
1、客户机向AAA服务器发出希望访问外网的请求,该请求包含客户机的IP地址(192.0.0.10),以及访问外网地址的类别(sIP)。
2、)AAA服务器根据相关信息(如该IP是否被禁止出园区网、拥有该IP的用户是否欠费等政策信息)确认该IP地址是否可以出园区网。若不能出园区网,则将认证失败消息反馈给客户机,并结束;若可以出园区网,则AAA服务器通过消息机制告知BGP控制器“放行”客户机IP地址(192.0.0.10),并告知BGP控制器该IP地址所要访问的外网地址类别(sIP)。
3、BGP控制器收到消息后,通过IBGP协议,向R01和R02发布一条放行客户机IP地址的路由(ip route 192.0.0.10/32next-hop R1),使得去往客户机IP地址的路由下一跳为R1(R1用于汇总园区网流量)。
4、此时,客户机即可与外网任何地址进行通信。
5、当客户机结束通信时,向AAA服务器发出退出请求;或者AAA服务器希望强制拦截客户机与外网的通信时,AAA服务器通过消息机制告知BGP控制器“拦截”客户机IP地址(192.0.0.10)。
6、BGP控制器收到消息后,通过IBGP协议,撤销R01和R02中与客户机IP地址对应的路由:no ip route 192.0.0.10/32next-hop R1。
7、此时,客户机将无法再与外网进行通信。
放行和拦截客户机去往外网免费地址mIP:
1、客户机向AAA服务器发出希望访问外网的请求,该请求包含客户机的IP地址(192.0.0.10),以及访问外网地址的类别(mIP)。
2、AAA服务器根据相关信息确认该IP地址是否可以出园区网。若不能出园区网,则将认证失败消息反馈给客户机,并结束;若可以出园区网,则AAA服务器通过消息机制告知BGP控制器“放行”客户机IP地址(192.0.0.10),并告知BGP控制器该IP地址所要访问的外网地址类别(mIP)。
3、BGP控制器收到消息后,通过IBGP协议,向R02发布一条放行客户机IP地址的路由(ip route 192.0.0.10/32next-hop R1),使得从R02去往客户机IP地址的路由下一跳为R1。
4、此时,客户机即可与外网属于mIP的免费地址进行通信。
5、当客户机结束通信时,向AAA服务器发出退出请求;或者AAA服务器希望强制拦截客户机与外网的通信时,AAA服务器通过消息机制告知BGP控制器“拦截”客户机IP地址(192.0.0.10)。
6、BGP控制器收到消息后,通过IBGP协议,撤销R02中与客户机IP地址对应的路由(no ip route 192.0.0.10/32next-hop R1)。
7、此时,客户机将无法再与外网任何地址进行通信。
BGP控制器死机的情况:
这种情况下,由于R01和R02长时间无法与BGP控制器建立IBGP关系,因此会自动从各自的路由表中删除BGP控制器发布给它的拦截整个园区网地址块的路由,即从路由表中删除“ip route 192.0.0.0/8null0”。此时,整个园区网所有IP地址都可与外网任何地址进行正常通信。因此,BGP控制器的死机不会导致整个园区网无法访问外网。
对于以上实施方式说明如下:其只采用了最基本的路由广播方式,通过其他方式(如community)也可实现类似效果;其采用了IBGP方式作为路由器与BGP控制器间的路由交换协议,通过EBGP(External Border Gateway Protocol,外部边界网关协议)也可实现类似效果;除了以上分类方式,也可以将外网地址分为多个类别,如“国内”和“全部”、“国际”和“全部”、“国内”和“国际”、“商业”和“全部”、“商业”和“非商业”,以及以上分类的各种组合;其采用了IPv4地址,通过IPv6地址也可实现类似效果;采用了IPv4保留地址,该地址仅作为示例使用,不涉及路由系统中的NAT及保留地址所具有的特别含义;其中使用的路由命令只是示意性命令,实际命令格式与具体路由器设备型号有关;另外,认证服务器和BGP控制器这两部分的功能可以合并到一台或分散到多台设备上实现。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
Claims (8)
1.一种BGP分类网关设备,其特征在于,包括:
BGP控制器,是运行有BGP路由协议软件的设备;
认证服务器,与所述BGP控制器建立有消息连接关系;
n个边界路由器,其中一个边界路由器R0用于对外网接入流量做策略路由,另一个边界路由器R1用于汇总内网流量,其余n-2个边界路由器均分别与R0和R1连接,且与所述BGP控制器建立有BGP连接关系,其中,n≥4。
2.如权利要求1所述的BGP分类网关设备,其特征在于,所述BGP连接关系为IBGP连接关系或EBGP连接关系。
3.如权利要求1所述的BGP分类网关设备,其特征在于,所述认证服务器为具有验证用户身份功能的服务器。
4.如权利要求1所述的BGP分类网关设备,其特征在于,n的取值与外网地址的类别个数正相关。
5.如权利要求1~4任一项所述的BGP分类网关设备,其特征在于,所述边界路由器为具有BGP路由功能的边界路由器。
6.如权利要求5所述的BGP分类网关设备,其特征在于,所述边界路由器为实体路由器、虚拟路由器、同一实体或虚拟路由器中的不同BGP实例,以及运行有BGP路由协议软件的服务器中的一种或多种。
7.一种利用权利要求5所述的BGP分类网关设备来实现网关功能的方法,其特征在于,通过增加和删除所述BGP控制器中的路由表项,来间接控制所述边界路由器中的路由表状态,进而实现对所述边界路由器中的网络流量的调控。
8.如权利要求7所述的方法,其特征在于,在实现网关功能时,将所述外网地址分为以下几种类别中的一种:免费地址和全部地址、国内地址和全部地址、国际地址和全部地址、国内地址和国际地址、商业地址和全部地址,以及商业地址和非商业地址,或者上述类别的任意组合。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010239954XA CN101917414B (zh) | 2010-07-28 | 2010-07-28 | Bgp分类网关设备及利用该设备实现网关功能的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010239954XA CN101917414B (zh) | 2010-07-28 | 2010-07-28 | Bgp分类网关设备及利用该设备实现网关功能的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101917414A CN101917414A (zh) | 2010-12-15 |
| CN101917414B true CN101917414B (zh) | 2013-06-05 |
Family
ID=43324800
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010239954XA Active CN101917414B (zh) | 2010-07-28 | 2010-07-28 | Bgp分类网关设备及利用该设备实现网关功能的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101917414B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546443B (zh) * | 2012-03-23 | 2015-02-11 | 徐州中矿大华洋通信设备有限公司 | 一种分布式策略路由的方法 |
| EP4283949A3 (en) | 2015-07-06 | 2024-01-10 | Huawei Technologies Co., Ltd. | Routing control method, device, and system |
| CN104994028B (zh) * | 2015-07-15 | 2019-04-26 | 上海地面通信息网络股份有限公司 | 基于nat地址转换器的带宽节约控制装置 |
| CN108924049B (zh) * | 2018-06-27 | 2020-12-25 | 新华三技术有限公司合肥分公司 | 流规格路由调度方法及装置 |
| CN115037509A (zh) * | 2022-04-25 | 2022-09-09 | 浙江清捷智能科技有限公司 | 一种工业网络安全防护系统及安全防护方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1783842A (zh) * | 2004-11-01 | 2006-06-07 | 朗迅科技公司 | 软路由器特征服务器 |
| CN1783841A (zh) * | 2004-11-01 | 2006-06-07 | 朗迅科技公司 | 软路由器协议分散 |
-
2010
- 2010-07-28 CN CN201010239954XA patent/CN101917414B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1783842A (zh) * | 2004-11-01 | 2006-06-07 | 朗迅科技公司 | 软路由器特征服务器 |
| CN1783841A (zh) * | 2004-11-01 | 2006-06-07 | 朗迅科技公司 | 软路由器协议分散 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101917414A (zh) | 2010-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11343168B2 (en) | Interconnected region controller, interconnected region control method, and computer storage medium | |
| CN107409089B (zh) | 一种在网络引擎中实施的方法及虚拟网络功能控制器 | |
| US9979694B2 (en) | Managing communications between virtual computing nodes in a substrate network | |
| US8380819B2 (en) | Method to allow seamless connectivity for wireless devices in DHCP snooping/dynamic ARP inspection/IP source guard enabled unified network | |
| CA2660744C (en) | Routing and quality decision in mobile ip networks | |
| US8320388B2 (en) | Autonomic network node system | |
| EP3449600B1 (en) | A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences | |
| CN106487556B (zh) | 业务功能sf的部署方法及装置 | |
| US10445124B2 (en) | Managing virtual computing nodes using isolation and migration techniques | |
| CN107819742B (zh) | 一种动态部署网络安全服务的系统架构及其方法 | |
| NO335151B1 (no) | Mekanismer for regelbasert styring av UMTS QoS og IP QoS i mobile IP-nettverk | |
| CN107786613A (zh) | 宽带远程接入服务器bras转发实现方法和装置 | |
| CN103685026A (zh) | 一种虚拟网络的接入方法和系统 | |
| CN101917414B (zh) | Bgp分类网关设备及利用该设备实现网关功能的方法 | |
| CN109831752A (zh) | 一种通信流量控制方法和系统 | |
| US20200322181A1 (en) | Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud | |
| CN111049721B (zh) | 一种OpenVPN集群及其构建方法、通信方法、系统 | |
| CN105187380A (zh) | 一种安全访问方法及系统 | |
| KR20180104377A (ko) | 패킷 광 전송 네트워크를 통한 클라우드 간 가상 네트워킹 제공 방법 | |
| CN114205815A (zh) | 一种5g专网认证控制的方法和系统 | |
| CN101909021A (zh) | Bgp网关设备及利用该设备实现通断网关功能的方法 | |
| US10944665B1 (en) | Auto-discovery and provisioning of IP fabric underlay networks for data centers | |
| Griffioen et al. | VIP Lanes: High-speed custom communication paths for authorized flows | |
| CN112953772B (zh) | 一种管理区单向访问租户区的方法 | |
| CN116545665A (zh) | 一种安全引流方法、系统、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |