CN110380961B - 一种传统路由器拟态化改造的装置及方法 - Google Patents

Abstract

本发明涉及路由设备改造领域，特别涉及一种传统路由器拟态化改造的装置及方法，该装置包括：传统路由器，作为路由计算主执行体；多个异构路由计算执行体，作为路由计算副执行体；数据分合路单元，用于对输入数据进行操作后分流转发，并将来自不同单元的数据进行合路输出；输入/出分发代理单元，用于将各协议消息进行拟态分发，确保多个异构路由计算执行体并行进行路由计算；以及中央控制单元，用于管理其他单元。本发明通过对传统路由器进行拟态化改造后，大幅度提升路由器抵御未知漏洞后门攻击的能力。

Description

一种传统路由器拟态化改造的装置及方法

技术领域

本发明涉及路由设备改造领域，特别涉及一种传统路由器拟态化改造的装置及方法。

背景技术

路由器作为国际互联网的基础性核心设备，逐渐成为网络攻击的重点目标。路由器内部软硬件存在的漏洞和预置后门已经对网络安全产生了严重影响。攻击者可以基于路由器漏洞和预置后门进行路由计算攻击和注入虚假路由，导致路由器瘫痪或者实施中间人攻击。随着技术的发展，上述攻击方法也在不断翻新，仅仅通过修补路由协议漏洞、附加安全机制等手段已经很难彻底地解决路由器的安全问题。而移动目标防御、拟态防御等一系列新技术的出现，采用动态异构冗余架构抵御未知漏洞后门攻击成为一种增强网络设备可靠性和安全性的核心技术。

发明内容

本发明的目的是提供一种传统路由器拟态化改造的装置及方法，通过对传统路由器进行拟态化改造后，大幅度提升路由器抵御未知漏洞后门攻击的能力。

为解决上述技术问题，本发明采用以下的技术方案：

本发明提供了一种传统路由器拟态化改造的装置，包括：

传统路由器，作为路由计算主执行体，并将路由计算结果提交给中央控制单元；

多个异构路由计算执行体，作为路由计算副执行体，独立完成路由协议消息处理和路由计算，并将路由计算结果提交给中央控制单元；

数据分合路单元，用于对输入数据进行操作后分流转发，并将来自于不同单元的数据进行合路输出；

输入/出分发代理单元，用于将各协议消息进行拟态分发，确保多个异构路由计算执行体并行进行路由计算；以及

中央控制单元，用于管理其它单元，从传统路由器和多个异构路由计算执行体读取系统信息进行状态监控和获取路由信息并进行裁决；综合状态和裁决信息，动态管理和调度各个执行体，并对输入/输出分发策略进行调整。

进一步地，所述中央控制单元包括多模裁决单元和负反馈调度单元；

所述多模裁决单元，从传统路由器和多个异构路由计算执行体获取路由并进行比对裁决，按照择多裁决方法，对不一致的路由进行修正；

所述负反馈调度单元，按照裁决结果和策略，动态调度各个执行体。

进一步地，所述传统路由器、多个异构路由计算执行体、数据分合路单元、输入/出分发代理单元和中央控制单元均包含一个管理通道接口和若干个数据通道接口；

管理通道接口方面：各个单元的管理通道接口通过内部交换连接到中央控制单元；

数据通道接口方面：每个异构路由计算执行体配置一个数据接口，传统路由器配置N个数据接口，输入/出分发代理单元配置两个接口，分别定义为U接口和D接口；数据分合路单元配置2N+2+n个接口，其中N个外连接口用于外连其它路由器，N个内连接口用于内连传统路由器的N个接口，并建立一一映射，n个接口用于连接n个异构路由计算执行体，2个接口用于连接输入/出分发代理单元的两个接口。

本发明还提供了一种基于上述的传统路由器拟态化改造的装置的方法，包括以下步骤：

步骤A，中央控制单元通过管理通道接口启动传统路由器和异构路由计算执行体，并基于系统配置信息，对所有路由计算单元进行配置；

步骤B，数据分合路单元接收到外部数据以后，按照规则筛选与路由协议相关的报文，分发给输入/出分发代理单元的D接口，其它数据则直接分流给传统路由器；数据分合路单元接收到内部异构路由计算执行体和传统路由器发出的数据后，按照规则筛选与路由协议相关的报文，转发给输入/出分发代理单元的U接口，其它数据则直接发送到线路外连接口；

步骤C，输入/出分发代理单元将从D接口收到的路由协议相关报文进行复制，复制的多份协议报文通过U接口发送给数据分合路单元；从U接口收到的来自传统路由器和异构路由计算执行体的报文，按照策略选择一份报文后通过D接口发送给数据分合路单元；

步骤D，传统路由器和异构路由计算执行体并行进行路由计算，并将路由计算结果输出给中央控制单元；同时，传统路由器将路由计算结果下发给本地转发平面，用于支撑步骤B中到达传统路由器的数据处理；

步骤E，中央控制单元通过对路由进行裁决，检测和发现路由的异常，并依据裁决结果和各执行体的状态信息，调度各执行体的运行。

进一步地，所述步骤A中，中央控制单元会首先启动传统路由器，然后从异构路由计算执行体池中选择两个异构路由计算执行体进行工作；当三个工作执行体进入到就绪状态后，中央控制单元下发配置信息，对所有工作执行体进行配置同步。

进一步地，所述步骤B中，数据分合路单元负责五个方向的数据分合路处理，具体包括：

一、从线路外连接口上收到的数据中按照匹配规则筛选出路由协议相关报文，并在报文头部压入VLAN标签，转发给输入/出分发代理单元；对于未命中分组，按照内外接口映射关系，将分组从对应内连接口发送给传统路由器；

二、从输入/出分发代理单元的U接口收到的分组，基于分组中的VLAN标签，按照预定义规则直接转发给异构路由计算执行体，或者剥离掉VLAN标签后转发给传统路由器的对应内连接口；

三、从输入/出分发代理单元的D接口收到报文，基于VLAN标签和外连接口映射关系，将VLAN标签剥离后，从对应外连接口发送出去；

四、从异构路由计算执行体收到的分组，直接转发给输入/出分发代理单元的U接口；

五、从传统路由器收到的分组，按照预定匹配规则筛选出路由协议相关报文，并压入VLAN标签后发送给输入/出分发代理单元的U接口；对于未命中匹配规则的分组，按照内外连接口映射关系，将分组从对应外连接口发送出去。

进一步地，所述步骤C中，输入/出分发代理单元从D接口收到路由协议相关报文，基于报文中携带的VLAN标签，识别出该报文来自于哪个外连接口，然后，依据路由协议的类型进行不同复制分发处理；针对被复制的报文，将报文中的VLAN标签更新为目标接口的VLAN标签，数据分合路单元基于该目标接口的VLAN标签，确定将报文送至异构路由计算执行体的接口还是传统路由器的接口。

进一步地，所述步骤C中，输入/出分发代理单元从U接口收到路由协议相关报文，基于报文中携带的VLAN标签，识别出该报文来自于哪个执行体的哪个接口，然后，依据映射规则和输出代理维持的协议状态机，将从来自于三个工作执行体的协议报文中选择一个，其余丢弃，更新VLAN标签后从D接口发出，数据分合路单元基于该VLAN标签，确定将报文从哪个外连接口发出。

进一步地，所述步骤D中，所述传统路由器和异构路由计算执行体从对应内连接口收到路由协议报文，进行协议状态机跳转，并进入到路由计算状态；邻居路由器更新的一条路由信息，经过输入/出分发代理单元后，将这条路由信息通过三个不同的邻居会话通告给三个工作执行体同时进行路由计算，将路由计算结果通过管理通道接口提交给中央控制单元处理。

进一步地，所述步骤E中，所述中央控制单元通过管理通道接口从三个工作执行体收到路由计算信息，通过择多裁决方法，选出不一致的路由；如果传统路由器与另外两个执行体的路由计算结果不一致，则按择多裁决原则，通过管理通道利用静态路由方式主动修正传统路由器的路由；如果某个异构路由计算执行体路由与其它不一致，则通过管理通道，将该执行体下线清洗，并从执行体池中重新加载另一个执行体上线工作；如果三个工作执行体路由均不一致，则同时将两个异构路由计算执行体下线清洗，并从执行体池中重新加载两个执行体上线工作。

与现有技术相比，本发明具有以下优点：

本发明的一种传统路由器拟态化改造的装置，按照拟态防御理论的动态异构冗余构造机理，将传统路由器作为一个路由计算执行体，并引入多个与之异构的异构路由计算执行体，增加数据分合路单元、输入/出分发代理单元和中央控制单元；将传统路由器作为一个主执行体，其它异构路由计算执行体作为多个副执行体。通过对传统路由器进行拟态化改造后，产生内生安全效应，能够发现和抵御传统路由器未知漏洞和预置后门发起的攻击；通过多个异构路由计算执行体的并行运行和路由计算，解决针对路由软件的致瘫攻击，确保路由器可靠安全工作。

本发明提出的一种传统路由器拟态化改造的方法，其有益效果与一种传统路由器拟态化改造的装置的有益效果基本类似，此处不再赘述。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种传统路由器拟态化改造的装置的结构示意图；

图2是本发明实施例提供的一种传统路由器拟态化改造的方法的流程图；

图3是本发明实施例提供的输入/输出分发代理单元建立的VLAN映射规则示意图；

图4是异构路由计算执行体的内部结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

请参阅图1，其示出了本发明实施例提供的一种传统路由器拟态化改造的装置的结构示意图，该装置包括传统路由器、多个异构路由计算执行体、数据分合路单元、输入/出分发代理单元和中央控制单元。

传统路由器，作为一个路由计算主执行体，保持传统的路由计算、数据转发等功能不变，但需要增加一个通道，负责将路由计算结果提交给中央控制单元。

多个异构路由计算执行体，作为路由计算副执行体，独立完成路由协议消息处理和路由计算，并将路由计算结果提交给中央控制单元。

数据分合路单元，用于基于IP五元组、VLAN标签等关键数据特征，对输入数据进行操作后分流转发，并将来自于不同单元的数据进行合路输出。

输入/出分发代理单元，用于将各协议消息进行拟态分发，确保多个异构路由计算执行体并行进行路由计算。

中央控制单元，用于管理所有其它单元，主要包括从传统路由器和多个异构路由计算执行体读取系统信息进行状态监控和获取路由信息并进行裁决；综合状态和裁决信息，动态管理和调度各个执行体，并对输入/输出分发策略进行调整。

作为优选地，所述中央控制单元包括多模裁决单元和负反馈调度单元；所述多模裁决单元从传统路由器和多个异构路由计算执行体获取路由并进行比对裁决，发现不一致的路由，按照择多裁决方法，对不一致的路由进行修正；所述负反馈调度单元，按照裁决结果和策略，动态调度各个执行体。

作为优选地，传统路由器、多个异构路由计算执行体、数据分合路单元、输入/出分发代理单元和中央控制单元均包含一个管理通道接口和若干个数据通道接口；管理通道接口方面：所有单元的管理通道接口通过内部交换连接到中央控制单元，由中央控制单元对其它单元进行控制管理。数据通道接口方面：每个异构路由计算执行体配置一个数据接口，传统路由器配置N个数据接口，输入/出分发代理单元配置两个接口，分别定义为U接口和D接口；数据分合路单元配置2N+2+n个接口，其中N个外连接口用于外连其它路由器，N个内连接口用于内连传统路由器的N个接口，并建立一一映射，n个接口用于连接n个异构路由计算执行体，2个接口用于连接输入/出分发代理单元的两个接口。

优选地，数据分合路单元采用支持大容量高速交换芯片的商用交换卡，中央控制单元采用x86/飞腾CPU的服务刀片承载，异构路由计算执行体采用支持x86/飞腾/arm等不同指令集和操作系统的异构商用服务刀片承载，系统各个单元之间采用交换协议进行互联。

与上述装置实施例相对应，请参阅图2，其示出了本发明实施例提供的一种传统路由器拟态化改造的方法的流程图，该方法可以包括以下步骤：

步骤S101，中央控制单元通过管理通道接口启动传统路由器和异构路由计算执行体，并基于系统配置信息，对所有路由计算单元进行配置。

步骤S102，数据分合路单元接收到外部数据以后，按照规则筛选与路由协议相关的报文，分发给输入/出分发代理单元的D接口，其它数据则直接分流给传统路由器；数据分合路单元接收到内部异构路由计算执行体和传统路由器发出的数据后，按照规则筛选与路由协议相关的报文，转发给输入/出分发代理单元的U接口，其它数据则直接发送到线路外连接口。

步骤S103，输入/出分发代理单元将从D接口收到的路由协议相关报文进行复制，复制的多份协议报文通过U接口发送给数据分合路单元；从U接口收到的来自传统路由器和异构路由计算执行体的报文，按照策略选择一份报文后通过D接口发送给数据分合路单元。

步骤S104，传统路由器和异构路由计算执行体并行进行路由计算，并将路由计算结果输出给中央控制单元；同时，传统路由器将路由计算结果下发给本地转发平面，用于支撑步骤S102中到达传统路由器的数据处理，实现数据转发和业务处理。

步骤S105，中央控制单元通过对路由进行裁决，检测和发现路由的异常，并依据裁决结果和各执行体的状态信息，调度各执行体的运行。

具体地，步骤S101中，中央控制单元会首先启动传统路由器，然后从异构路由计算执行体池中选择两个异构路由计算执行体进行工作，也就是说拟态构造的路由器采用三冗余度设计，同时有三个异构执行体进行工作。当三个工作执行体进入到就绪状态后，中央控制单元下发配置信息，对所有工作执行体进行配置同步，确保所有异构执行体采用相同配置进行工作。其中，异构路由计算执行体池是一个逻辑概念，池中至少拥有5个异构路由计算执行体，执行体在CPU类型、操作系统以及路由协议软件版本三个层面相互异构，它们按照调度要求进行动态加载，不工作的执行体处于冷备份状态。这些执行体可以采用虚机化技术实现，也可以直接运行在物理实体服务器刀片上。

具体地，步骤S102中，数据分合路单元负责五个方向的数据分合路处理，具体包括：

一、从线路外连接口上收到的数据中按照匹配规则筛选出路由协议相关报文，并在报文头部压入VLAN标签，转发给输入/出分发代理单元；对于未命中分组，按照内外接口映射关系，将分组从对应内连接口发送给传统路由器。

二、从输入/出分发代理单元的U接口收到的分组，基于分组中的VLAN标签，按照预定义规则直接转发给异构路由计算执行体，或者剥离掉VLAN标签后转发给传统路由器的对应内连接口。

三、从输入/出分发代理单元的D接口收到报文，基于VLAN标签和外连接口映射关系，将VLAN标签剥离后，从对应外连接口发送出去。

四、从异构路由计算执行体收到的分组，直接转发给输入/出分发代理单元的U接口。

五、从传统路由器收到的分组，按照预定匹配规则筛选出路由协议相关报文，并压入VLAN标签后发送给输入/出分发代理单元的U接口；对于未命中匹配规则的分组，按照内外连接口映射关系，将分组从对应外连接口发送出去。

具体地，步骤S102中，数据分合路单元中的相关规则是由系统预先定义，并作为默认配置，在该单元启动时就默认加载的，在运行过程中不会发生变化。由于该单元是数据进出传统路由器的必经通道，其接口速率和交换能力应当大于传统路由器的交换转发能力。

作为优选地，步骤S103中，输入/出分发代理单元从D接口收到路由协议相关报文，基于报文中携带的VLAN标签，识别出该报文来自于哪个外连接口，然后，依据路由协议的类型进行不同复制分发处理：对于OSPF/IS-IS/RIP协议，着重依据协议状态机修改协议中某些域，确保能够驱动各个路由计算执行体的协议能够正常建立会话；对于BGP协议，着重处理TCP序列号信息，确保各个路由计算执行体能够与外部路由器建立正常的TCP会话。针对被复制的报文，将报文中的VLAN标签更新为目标接口的VLAN标签，数据分合路单元基于该目标接口的VLAN标签，确定将报文送至异构路由计算执行体的接口还是传统路由器的接口。

作为优选地，步骤S103中，输入/出分发代理单元从U接口收到路由协议相关报文，基于报文中携带的VLAN标签，识别出该报文来自于哪个执行体的哪个接口，然后，依据映射规则和输出代理维持的协议状态机，将从来自于三个工作执行体的协议报文中选择一个，其余丢弃，更新VLAN标签后从D接口发出，数据分合路单元基于该VLAN标签，确定将报文从哪个外连接口发出。

进一步地，请参阅图3，其示出了本发明实施例提供的输入/输出分发代理单元建立的VLAN映射规则示意图，从D接口收到的VLAN标签为m的报文，经过该单元处理后，如果认为需要发往执行体1的m接口，则将VLAN标签修改为100+m即可。同样，如果从U接口收到的VLAN标签为X的报文，则通过计算X/100可以得知该报文来自于哪个执行体，进而进行对应状态机操作；然后，通过计算X％(X/100*100)就可以得知该报文来自于该执行体的哪个接口，则将VLAN更新为X％(X/100*100)。

进一步地，步骤S104中，异构路由计算执行体只有一个接口与数据分合路单元相连，且从该接口上收到携带不同VLAN的协议报文。对于异构路由计算执行体而言，这个接口类似于交换中的Trunk接口，异构路由计算执行体内部结构如图4所示，执行体内部switch模块会依据VLAN信息，剥离掉报文中VLAN，并按照预定义规则，发送到路由计算协议栈的对应内连接口；同理，对于路由计算协议栈发出的报文，经过执行体内部switch模块后，自动压入对应VLAN标签后发送给数据分合路单元。

进一步地，步骤S104中，传统路由器和异构路由计算执行体从对应内连接口收到路由协议报文，进行协议状态机跳转，并进入到路由计算状态；邻居路由器更新的一条路由信息，经过输入/出分发代理单元后，将这条路由信息通过三个不同的邻居会话通告给路由协议计算模块，促使三个工作执行体由计算单元同时进行路由计算，路由计算结果以标准的路由格式封装后，通过管理通道接口提交给中央控制单元处理。

进一步地，步骤S104中，传统路由器的路由计算结果除了通过管理通道提交给中央控制单元外，还会下发到本地转发平面。对于传统路由器而言，除了进行路由协议消息处理外，还会从数据分合路单元收到数据分组和业务数据，传统路由器将按正常处理流程进行数据转发和业务处理。也就是说传统路由器对于整个拟态化改造无感。

进一步地，步骤S105中，中央控制单元通过管理通道接口从三个工作执行体收到路由计算信息，通过择多裁决方法，选出不一致的路由；如果传统路由器与另外两个执行体的路由计算结果不一致，则按择多裁决原则，通过管理通道利用静态路由方式主动修正传统路由器的路由；如果某个异构路由计算执行体路由与其它不一致，则通过管理通道，将该执行体下线清洗，并从执行体池中重新加载另一个执行体上线工作；如果三个工作执行体路由均不一致，则同时将两个异构路由计算执行体下线清洗，并从执行体池中重新加载两个执行体上线工作。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。

最后需要说明的是：以上所述仅为本发明的较佳实施例，仅用于说明本发明的技术方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims (3)

1.一种传统路由器拟态化改造的装置，其特征在于，包括：

传统路由器，作为路由计算主执行体，并将路由计算结果提交给中央控制单元；

多个异构路由计算执行体，作为路由计算副执行体，独立完成路由协议消息处理和路由计算，并将路由计算结果提交给中央控制单元；

数据分合路单元，用于对输入数据进行操作后分流转发，并将来自于不同单元的数据进行合路输出；

输入/出分发代理单元，用于将各协议消息进行拟态分发，确保多个异构路由计算执行体并行进行路由计算；以及

中央控制单元，用于管理其它单元，从传统路由器和多个异构路由计算执行体读取系统信息进行状态监控和获取路由信息并进行裁决；综合状态和裁决信息，动态管理和调度各个执行体，并对输入/输出分发策略进行调整；

所述传统路由器、多个异构路由计算执行体、数据分合路单元、输入/出分发代理单元和中央控制单元均包含一个管理通道接口和若干个数据通道接口；管理通道接口方面：各个单元的管理通道接口通过内部交换连接到中央控制单元；

数据通道接口方面：每个异构路由计算执行体配置一个数据接口，传统路由器配置N个数据接口，输入/出分发代理单元配置两个接口，分别定义为U接口和D接口；数据分合路单元配置2N+2+n个接口，其中N个外连接口用于外连其它路由器，N个内连接口用于内连传统路由器的N个接口，并建立一一映射，n个接口用于连接n个异构路由计算执行体，2个接口用于连接输入/出分发代理单元的两个接口；

所述中央控制单元会首先启动传统路由器，然后从异构路由计算执行体池中选择两个异构路由计算执行体进行工作；当三个工作执行体进入到就绪状态后，中央控制单元下发配置信息，对所有工作执行体进行配置同步；

所述数据分合路单元负责五个方向的数据分合路处理，具体包括：

一、从线路外连接口上收到的数据中按照匹配规则筛选出路由协议相关报文，并在报文头部压入VLAN标签，转发给输入/出分发代理单元；对于未命中分组，按照内外接口映射关系，将分组从对应内连接口发送给传统路由器；

二、从输入/出分发代理单元的U接口收到的分组，基于分组中的VLAN标签，按照预定义规则直接转发给异构路由计算执行体，或者剥离掉VLAN标签后转发给传统路由器的对应内连接口；

三、从输入/出分发代理单元的D接口收到报文，基于VLAN标签和外连接口映射关系，将VLAN标签剥离后，从对应外连接口发送出去；

四、从异构路由计算执行体收到的分组，直接转发给输入/出分发代理单元的U接口；

五、从传统路由器收到的分组，按照预定匹配规则筛选出路由协议相关报文，并压入VLAN标签后发送给输入/出分发代理单元的U接口；对于未命中匹配规则的分组，按照内外连接口映射关系，将分组从对应外连接口发送出去；所述输入/出分发代理单元从D接口收到路由协议相关报文，基于报文中携带的VLAN标签，识别出该报文来自于哪个外连接口，然后，依据路由协议的类型进行不同复制分发处理；针对被复制的报文，将报文中的VLAN标签更新为目标接口的VLAN标签，数据分合路单元基于该目标接口的VLAN标签，确定将报文送至异构路由计算执行体的接口还是传统路由器的接口；所述输入/出分发代理单元从U接口收到路由协议相关报文，基于报文中携带的VLAN标签，识别出该报文来自于哪个执行体的哪个接口，然后，依据映射规则和输出代理维持的协议状态机，将从来自于三个工作执行体的协议报文中选择一个，其余丢弃，更新VLAN标签后从D接口发出，数据分合路单元基于该VLAN标签，确定将报文从哪个外连接口发出；

所述传统路由器和异构路由计算执行体从对应内连接口收到路由协议报文，进行协议状态机跳转，并进入到路由计算状态；邻居路由器更新的一条路由信息，经过输入/出分发代理单元后，将这条路由信息通过三个不同的邻居会话通告给三个工作执行体同时进行路由计算，将路由计算结果通过管理通道接口提交给中央控制单元处理；

所述中央控制单元通过管理通道接口从三个工作执行体收到路由计算信息，通过择多裁决方法，选出不一致的路由；如果传统路由器与另外两个执行体的路由计算结果不一致，则按择多裁决原则，通过管理通道利用静态路由方式主动修正传统路由器的路由；如果某个异构路由计算执行体路由与其它不一致，则通过管理通道，将该执行体下线清洗，并从执行体池中重新加载另一个执行体上线工作；如果三个工作执行体路由均不一致，则同时将两个异构路由计算执行体下线清洗，并从执行体池中重新加载两个执行体上线工作。

2.根据权利要求1所述的传统路由器拟态化改造的装置，其特征在于，所述中央控制单元包括多模裁决单元和负反馈调度单元；

所述多模裁决单元，从传统路由器和多个异构路由计算执行体获取路由并进行比对裁决，按照择多裁决方法，对不一致的路由进行修正；

所述负反馈调度单元，按照裁决结果和策略，动态调度各个执行体。

3.一种基于权利要求1或者2所述的传统路由器拟态化改造的装置的方法，其特征在于，包括以下步骤：

步骤A，中央控制单元通过管理通道接口启动传统路由器和异构路由计算执行体，并基于系统配置信息，对所有路由计算单元进行配置，具体包括：

中央控制单元会首先启动传统路由器，然后从异构路由计算执行体池中选择两个异构路由计算执行体进行工作；当三个工作执行体进入到就绪状态后，中央控制单元下发配置信息，对所有工作执行体进行配置同步；

步骤B，数据分合路单元接收到外部数据以后，按照规则筛选与路由协议相关的报文，分发给输入/出分发代理单元的D接口，其它数据则直接分流给传统路由器；数据分合路单元接收到内部异构路由计算执行体和传统路由器发出的数据后，按照规则筛选与路由协议相关的报文，转发给输入/出分发代理单元的U接口，其它数据则直接发送到线路外连接口；数据分合路单元负责五个方向的数据分合路处理，具体包括：

一、从线路外连接口上收到的数据中按照匹配规则筛选出路由协议相关报文，并在报文头部压入VLAN标签，转发给输入/出分发代理单元；对于未命中分组，按照内外接口映射关系，将分组从对应内连接口发送给传统路由器；

二、从输入/出分发代理单元的U接口收到的分组，基于分组中的VLAN标签，按照预定义规则直接转发给异构路由计算执行体，或者剥离掉VLAN标签后转发给传统路由器的对应内连接口；

三、从输入/出分发代理单元的D接口收到报文，基于VLAN标签和外连接口映射关系，将VLAN标签剥离后，从对应外连接口发送出去；

四、从异构路由计算执行体收到的分组，直接转发给输入/出分发代理单元的U接口；

五、从传统路由器收到的分组，按照预定匹配规则筛选出路由协议相关报文，并压入VLAN标签后发送给输入/出分发代理单元的U接口；对于未命中匹配规则的分组，按照内外连接口映射关系，将分组从对应外连接口发送出去；步骤C，输入/出分发代理单元将从D接口收到的路由协议相关报文进行复制，复制的多份协议报文通过U接口发送给数据分合路单元；从U接口收到的来自传统路由器和异构路由计算执行体的报文，按照策略选择一份报文后通过D接口发送给数据分合路单元，具体包括：

输入/出分发代理单元从D接口收到路由协议相关报文，基于报文中携带的VLAN标签，识别出该报文来自于哪个外连接口，然后，依据路由协议的类型进行不同复制分发处理；针对被复制的报文，将报文中的VLAN标签更新为目标接口的VLAN标签，数据分合路单元基于该目标接口的VLAN标签，确定将报文送至异构路由计算执行体的接口还是传统路由器的接口；

输入/出分发代理单元从U接口收到路由协议相关报文，基于报文中携带的VLAN标签，识别出该报文来自于哪个执行体的哪个接口，然后，依据映射规则和输出代理维持的协议状态机，将从来自于三个工作执行体的协议报文中选择一个，其余丢弃，更新VLAN标签后从D接口发出，数据分合路单元基于该VLAN标签，确定将报文从哪个外连接口发出；

步骤D，传统路由器和异构路由计算执行体并行进行路由计算，并将路由计算结果输出给中央控制单元；同时，传统路由器将路由计算结果下发给本地转发平面，用于支撑步骤B中到达传统路由器的数据处理，具体包括：

所述传统路由器和异构路由计算执行体从对应内连接口收到路由协议报文，进行协议状态机跳转，并进入到路由计算状态；邻居路由器更新的一条路由信息，经过输入/出分发代理单元后，将这条路由信息通过三个不同的邻居会话通告给三个工作执行体同时进行路由计算，将路由计算结果通过管理通道接口提交给中央控制单元处理；

步骤E，中央控制单元通过对路由进行裁决，检测和发现路由的异常，并依据裁决结果和各执行体的状态信息，调度各执行体的运行，具体包括：

所述中央控制单元通过管理通道接口从三个工作执行体收到路由计算信息，通过择多裁决方法，选出不一致的路由；如果传统路由器与另外两个执行体的路由计算结果不一致，则按择多裁决原则，通过管理通道利用静态路由方式主动修正传统路由器的路由；如果某个异构路由计算执行体路由与其它不一致，则通过管理通道，将该执行体下线清洗，并从执行体池中重新加载另一个执行体上线工作；如果三个工作执行体路由均不一致，则同时将两个异构路由计算执行体下线清洗，并从执行体池中重新加载两个执行体上线工作。

Images