CN115065398A - 一种基于卫星网络的智能边缘网关设备组网方法 - Google Patents

Abstract

本发明公开了一种基于卫星网络的智能边缘网关设备组网方法，该方法包括以下的步骤：S10、部署卫星天线子系统，实现天线成功入网；S20、部署智能边缘网关，建立智能边缘网关与卫星天线子系统的连接，配置智能边缘网关的网络，使其通过卫星网络访问互联网；S30、根据终端设备的数量安装网络设备，并建立智能边缘网关与网络设备的网络连接，通过智能边缘网关对终端设备的通断进行控制；S40、安装物联网设备，建立物联网设备与智能边缘网关的连接；本发明的有益效果是：可以对接入的终端设备、网络设备统一管理，保证终端设备的最佳体验效果。

Description

一种基于卫星网络的智能边缘网关设备组网方法

技术领域

本发明涉及卫星网络技术领域，更具体的说，本发明涉及一种基于卫星网络的智能边缘网关设备组网方法。

背景技术

卫星通信是地球站之间或航天器与地球站之间利用通信卫星转发器的无线电通信，主要包括卫星固定通信、卫星移动通信、卫星直接广播和卫星中继通信四大领域。前三者是地球站之间利用通信卫星转发器进行的无线电通信，后者是航天器与地球站之间利用通信卫星转发器进行的无线电通信。

卫星通信是现代通信技术的重要成果，也是航天技术应用的重要领域。它具有覆盖面大、频带宽、容量大、适用于多种业务、性能稳定可靠、机动灵活、不受地理条件限制、成本与通信距离无关等优点。

现有技术中，在卫星通信的小站侧，无法很好对接入卫星网络的终端设备进行统一管理，进而出现终端设备在接入天线子系统后，地面站难以管控边缘设备状态的情况。

发明内容

为了克服现有技术的不足，本发明提供一种基于卫星网络的智能边缘网关设备组网方法。

本发明解决其技术问题所采用的技术方案是：一种基于卫星网络的智能边缘网关设备组网方法，其改进之处在于，该方法包括以下的步骤：

S10、部署卫星天线子系统，实现天线成功入网；

S20、部署智能边缘网关，建立智能边缘网关与卫星天线子系统的连接，配置智能边缘网关的网络，使其通过卫星网络访问互联网；

S30、根据终端设备的数量安装网络设备，并建立智能边缘网关与网络设备的网络连接，通过智能边缘网关对终端设备的通断进行控制；

S40、安装物联网设备，建立物联网设备与智能边缘网关的连接。

进一步的，步骤S20中，通过对智能边缘网关的WAN口网络配置，实现智能边缘网关通过卫星网络访问互联网。

进一步的，步骤S20中，所述智能边缘网关还可以通过动态调整路由策略，通过移动蜂窝链路访问互联网。

进一步的，步骤S30中，所述的网络设备包括AP和交换机，网络设备通过RJ网络与智能边缘网关的LAN口相连。

进一步的，步骤S30中，建立智能边缘网关与网络设备的网络连接包括以下步骤：

S301、终端设备建立与网络设备的连接，网络设备将用户请求转发至智能边缘网关；

S302、终端设备首次接入网络设备，自动弹出portal，引导用户访问智能边缘网关和开通入网套餐；

S303、智能边缘网关对用户访问的权限进行判断，未开通入网用户在尝试访问互联网资源时，返回不可达消息，访问请求则不会传达至卫星天线子系统；

S304、终端设备开通入网后，智能边缘网关对用户的访问权限进行配置；

S305、终端设备开通入网后，终端设备请求到达智能边缘网关后，智能边缘网关根据访问策略规划判断请求是否在权限配置的白名单中，如不在，则丢弃请求包；

S306、当判断请求可以转发后，智能边缘网关的地址转换模块，根据地址映射规则，将用户的局域网IP地址转换为WAN口的IP地址；

S307、转发请求到卫星天线子系统，进而到达地面站网络。

进一步的，步骤S306中，映射地址范围通过小站配置得到。

进一步的，步骤S30中，通过智能边缘网关对终端设备的通断进行控制包括以下步骤：

S3011、智能边缘网关动态在防火墙中添加访问策略规则，控制终端设备的请求；

S3012、终端设备的请求包通过防火墙策略后，智能边缘网关根据请求的目标地址判断请求包的下一跳；

根据目标地址的不同，请求包会被转发到不同的网络中；

S3013、当用户开通上网后，智能边缘网关配置该用户设备的转发规则。

进一步的，步骤S40中，建立物联网设备与智能边缘网关的连接包括以下步骤：

S401、物联网设备接入到智能边缘网关；

S402、物联网设备在云端提前申请入网，提供物联网设备的类型和访问协议；

S403、智能边缘网关根据云端下发的配置，动态调整物联网设备的访问策略，同时预分配访问地面网络的WAN口IP地址；智能边缘网关将物联网设备的绑定状态，以及分配的WAN口IP地址上报至云端；

S404、当访问的请求与策略不匹配时，则直接丢弃请求包；

S405、当判断请求可以通过后，智能边缘网关的地址转换模块，将物联网设备的局域网IP地址转换为预分配的WAN口IP地址，转发到卫星天线子系统，进而到达地面站网络。

本发明的有益效果是：可以对接入的终端设备、网络设备统一管理，通过实时采集设备运行状态，动态调整设备的访问策略，保证终端设备的最佳体验效果，有效节省卫星空口流量浪费。

附图说明

图1为本发明的一种基于卫星网络的智能边缘网关设备组网方法的框架结构示意图。

图2为智能边缘网关10所实现的功能的示意图。

图3为数据包进行边缘网关的处理流程。

图4为对终端设备和网关服务的流量限制设计的示意图。

具体实施方式

下面结合附图和实施例对本发明进一步说明。

以下将结合实施例和附图对本发明的构思、具体结构及产生的技术效果进行清楚、完整地描述，以充分地理解本发明的目的、特征和效果。显然，所描述的实施例只是本发明的一部分实施例，而不是全部实施例，基于本发明的实施例，本领域的技术人员在不付出创造性劳动的前提下所获得的其他实施例，均属于本发明保护的范围。另外，专利中涉及到的所有联接/连接关系，并非单指构件直接相接，而是指可根据具体实施情况，通过添加或减少联接辅件，来组成更优的联接结构。本发明创造中的各个技术特征，在不互相矛盾冲突的前提下可以交互组合。

参照图1所示，本发明揭示了一种基于卫星网络的智能边缘网关设备组网方法，该方法依赖于智能边缘网关设备组网系统实现，智能边缘网关设备组网系统的结构如图1所述，包括智能边缘网关10、卫星天线子系统20、网络设备30、终端设备50、物联网设备40以及移动蜂窝链路60，图1描述整个卫星小站侧的组网拓扑；其中，智能边缘网关10是整个网络拓扑的控制核心，出口对接卫星小站天线子系统，所有终端设备和网络设备接入到边缘网关下，对终端设备进行访问策略控制、QoS限速、地址转换等。卫星天线子系统20，负责小站调制、解调，小站入网等操作，对接入设备请求进行转发。物联网设备40(即图1中的IOT设备)，比如VoIP电话、摄像头等，其本身无法直接入网，需要边缘智能网关10根据策略进行配置。移动蜂窝链路60，可选配，对智能边缘网关10服务，不对终端用户和IoT设备开放；作为冗余链路，网关也可以通过移动蜂窝链路与云端服务通信和同步资源等操作。网络设备30，为无线WIFI热点以及其他网络设备，比如交换机等。终端设备50，通过无线WIFI热点等接入智能边缘网关10，进行认证和入网操作。

本实施例中，所述的一种基于卫星网络的智能边缘网关设备组网方法包括以下的步骤：

S10、部署卫星天线子系统20，实现天线成功入网；卫星天线子系统20包括有ModMan、KRFU、KANDU、OAE等设备；

S20、部署智能边缘网关10，建立智能边缘网关10与卫星天线子系统20的连接，配置智能边缘网关10的网络，使其通过卫星网络访问互联网；

本实施例中，智能边缘网关10通过RJ45网线与卫星天线子系统20连接。步骤S20中，通过对智能边缘网关10的WAN口网络配置，实现智能边缘网关10通过卫星网络访问互联网；

另外，步骤S20中，所述智能边缘网关10还可以通过动态调整路由策略，通过移动蜂窝链路60访问互联网。

S30、根据终端设备50的数量安装网络设备30，并建立智能边缘网关10与网络设备30的网络连接，通过智能边缘网关10对终端设备50的通断进行控制；

在本实施例中，步骤S30中，所述的网络设备30包括AP和交换机，网络设备30通过RJ网络与智能边缘网关10的LAN口相连。

步骤S30中，建立智能边缘网关10与网络设备30的网络连接包括以下步骤：

S301、终端设备50建立与网络设备30的连接，网络设备30将用户请求转发至智能边缘网关10；本实施例中，终端设备50通过WIFI或RJ45网线接入到网络设备；

S302、终端设备50首次接入网络设备30，自动弹出portal，引导用户访问智能边缘网关10和开通入网套餐；

S303、智能边缘网关10对用户访问的权限进行判断，未开通入网用户在尝试访问互联网资源时，返回不可达消息，访问请求则不会传达至卫星天线子系统20；

S304、终端设备50开通入网后，智能边缘网关10对用户的访问权限进行配置；

S305、终端设备50开通入网后，终端设备50请求到达智能边缘网关10后，智能边缘网关10根据访问策略规划判断请求是否在权限配置的白名单中，如不在，则丢弃请求包；

S306、当判断请求可以转发后，智能边缘网关10的地址转换模块，根据地址映射规则，将用户的局域网IP地址转换为WAN口的IP地址；映射地址范围通过小站配置得到；

S307、转发请求到卫星天线子系统20，进而到达地面站网络。

更进一步的，在上述的实施例中，步骤S30中，通过智能边缘网关10对终端设备50的通断进行控制包括以下步骤：

S3011、智能边缘网关10动态在防火墙中添加访问策略规则，控制终端设备50的请求；

S3012、终端设备50的请求包通过防火墙策略后，智能边缘网关10根据请求的目标地址判断请求包的下一跳；

根据目标地址的不同，请求包会被转发到不同的网络中；

S3013、当用户开通上网后，智能边缘网关10配置该用户设备的转发规则。

S40、安装物联网设备40，建立物联网设备40与智能边缘网关10的连接。步骤S40中，建立物联网设备40与智能边缘网关10的连接包括以下步骤：

S401、物联网设备40接入到智能边缘网关10；

S402、物联网设备40在云端提前申请入网，提供物联网设备40的类型和访问协议；

S403、智能边缘网关10根据云端下发的配置，动态调整物联网设备40的访问策略，同时预分配访问地面网络的WAN口IP地址；智能边缘网关10将物联网设备40的绑定状态，以及分配的WAN口IP地址上报至云端；

S404、当访问的请求与策略不匹配时，则直接丢弃请求包；

S405、当判断请求可以通过后，智能边缘网关10的地址转换模块，将物联网设备40的局域网IP地址转换为预分配的WAN口IP地址，转发到卫星天线子系统20，进而到达地面站网络。

结合图2所示，在上述的实施例中，对于所述的智能边缘网关10所实现的功能作进一步的说明，智能边缘网关具有对终端设备进行访问链路控制、运行数据采集以及与云端通信等功能。

其中，访问链路控制包括对终端设备和网络设备的控制：

A、对物联网设备40和终端设备50进行访问控制，禁止非法设备进行访问；

B、根据网关状态，对智能边缘网关10、移动蜂窝链路60、网络设备30进行通断和路由切换等网络控制操作；

C、首次连接边缘网络中，自动弹出Portal页面，引导用户访问智能边缘网关资源与开通卫星网络等操作；

D、根据地址映射关系，将终端设备的IP地址转换成卫星网络的IP地址，隐藏了卫星侧的网络拓扑，提供了整体网络的安全性；

E、对采集到的数据进行边缘计算，动态调整用户状态，如果用户的流量或时长已经消耗完，停止用户的上网链路；

F、根据云端的控制指令，对终端设备50的状态进行调整，如果用户设备异常，切断用户的网络访问。

进一步的，运行数据采集包括对卫星天线子系统20、物联网设备40、移动蜂窝链路60、网络设备30以及终端设备50的运行状态进行数据采集：

A、采集网关自身的硬件和网络状态，例如CPU、内存、磁盘、硬件设备状态等；

B、采集已经入网设备(物联网设备40、终端设备50)的网络使用情况，例如流量、使用时长、速率；

C、采集小站状态数据，例如TX/RX状态、信噪比、小站硬件状态等。

另外，与云端通信的功能包括智能边缘网关10与云端服务保持通信，对边缘网关和终端设备进行状态调整：

A、实时接收云端的配置变化，对边缘侧设备进行访问策略调整；

B、实时上传采集到的数据运行数据；

C、接收云端的控制指令，对异常终端设备进行限制；

参照图3所示，为数据包进行边缘网关的处理流程，包括步骤S701-S907，用于实现对终端设备通断控制、地址映射转换、流量统计以及QoS流量控制；本实施例中，将逐一对其进行详细说明。

终端设备通断控制，是指数据包经过边缘网关协议栈的处理过程，主要的控制点为S702、S703、S705，基于内核的netfilter模块进行控制：

S702：智能边缘网关会动态在防火墙中添加访问策略规则，控制终端设备的请求；例如禁止终端设备访问网关服务或互联网服务，添加规则为：iptables-I INPUT-dX.X.X.X-p XXX-j DROP，X.X.X.X为目标服务地址，XXX为目标服务端口；

S703：请求包通过防火墙策略后，网关会根据请求的目标地址判断数据包的下一跳，也就是通过查询配置的路由规则进行转发；根据目的地址的不同的，请求会被转发到不同的网络中：

A、目的地址为网关：转发路径为S301->S303->S304，请求会被转发到网关服务处理；

B、目的地址不是网关：转发路径为S301->S303->S305，根据路由规则将请求转发到不同的目的网络。例如在vlan100的网络中，访问X.X.X.X，添加路由规则为：ip r aX.X.X.X dev vlan100；同理访问vlan200的网络，路由规则为：ip r a X.X.X.X devvlan200。

S705、当用户开通上网后，网关会配置该用户设备的转发规则，具体规则如下：

A、iptables-I FORWARD-s X.X.X.X-j ACCEPT&&iptables-I FORWARD-dX.X.X.X-j ACCEPT，其中X.X.X.X为用户终端设备局域网IP地址；

B、转发默认规则为：iptables-A FORWARD-j DROP，即默认未匹配到转发规则的请求会被网关丢弃，无法转发出去。

地址映射转换(S706)：当数据包经过S705转发后到达S706，如果数据包的源IP地址在地址映射的范围内，该请求的源IP地址会转换成卫星网络的IP地址，具体转换规则：

1)iptables-I POSTROUTING-s X.X.X.X/24-j NETMAP--to Y.Y.Y.Y/24

2)X.X.X.X/24为源IP地址池，终端设备的IP地址必须在这个范围内，否则映射失败，无法转发出去；Y.Y.Y.Y/24为映射后的WAN IP地址池。

流量统计：用户开通上网后，网关会定时统计用户的流量使用情况，采集点为S305，即用户请求被正常转发后，内核netfilter会记录转每个转发数据包的大小。采集逻辑基于S705添加的转发规则：

1)上行转发规则：iptables-I FORWARD-s X.X.X.X-j ACCEPT

2)下行转发规则：iptables-I FORWARD-d X.X.X.X-j ACCEPT

网关记录了所有已开通设备的地址，通过定期采集转发规则上的流量情况，就可以统计每个设备的流量使用情况，然后定期上报给云端进行分析和管控。

QoS流量控制：为了保证用户整体入网体验，使用QoS进行流量控制。当网络过载或拥塞时，QoS能够确保重要业务流量的正常传输。结合图4所示，为对终端设备和网关服务的流量限制设计。

A、因为要给数据分类，选用有分类qdisc htb队列。htb(Hierarchy TokenBucket)队列只允许以不超过事先设定的速率到来的数据包通过，但可能允许短暂突发流量超过设定值。通过在root节点上设置总带宽后，再通过分组方式保证不同的业务之间相互带宽隔离。

设置总带宽为10Mbps：tc class add dev XX parent 1:0 classid 1:1htb rate10000kbit，XX为网络出口名称，可以为不同的vlan接口，例如vlan100。

B、其他限制都是在root下，例如上图网关服务使用classid 10，所有从网关发出的请求都会进入到classid 1:10，假设网关服务的带宽限制为1Mbps，具体规则如下：

1)设置网关带宽为1Mbps：tc class add dev XX parent 1:1 classid 1:10 htbrate 1000kbit

2)根据IP地址匹配网关class：tc filter add dev XX parent 1:0match ip srcX.X.X.X flowid 1:10，X.X.X.X为网关IP地址

C、用户组为classid 100，假设用户带宽限制为2Mbps，具体规则如下：

1)总用户带宽为8Mbps：tc class add dev XX parent 1:1 classid 1:100 htbrate 8000kbit

2)用户限速规则：tc class add dev XX parent 100:1 classid 100:2 htbrate 2000kbit

3)根据IP地址匹配用户对应class：tc filter add dev XX parent 100:0 matchip src X.X.X.X flowid 100:X

D、最后提供一个用户默认组200，所有没有匹配上的用户会自动进入到默认限速队列中，具体规则如下：

设置默认带宽为1Mbps：tc class add dev XX parent 1:1 classid 1:200 htbrate 1000kbit。

本发明的一种基于卫星网络的智能边缘网关设备组网方法，可以对接入的终端设备、网络设备统一管理，通过实时采集设备运行状态，动态调整设备的访问策略，保证终端设备的最佳体验效果，有效节省卫星空口流量浪费。智能边缘网关与中心侧云端服务保持通信，动态决策边缘设备的行为。这样可以有效避免在终端设备直接接入天线子系统后，地面站难以管控边缘设备状态的情况。

以上是对本发明的较佳实施进行了具体说明，但本发明创造并不限于所述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替换，这些等同的变形或替换均包含在本申请权利要求所限定的范围内。

Claims (8)

1.一种基于卫星网络的智能边缘网关设备组网方法，其特征在于，该方法包括以下的步骤：

S10、部署卫星天线子系统，实现天线成功入网；

S20、部署智能边缘网关，建立智能边缘网关与卫星天线子系统的连接，配置智能边缘网关的网络，使其通过卫星网络访问互联网；

S30、根据终端设备的数量安装网络设备，并建立智能边缘网关与网络设备的网络连接，通过智能边缘网关对终端设备的通断进行控制；

S40、安装物联网设备，建立物联网设备与智能边缘网关的连接。

2.根据权利要求1所述的一种基于卫星网络的智能边缘网关设备组网方法，其特征在于，步骤S20中，通过对智能边缘网关的WAN口网络配置，实现智能边缘网关通过卫星网络访问互联网。

3.根据权利要求1所述的一种基于卫星网络的智能边缘网关设备组网方法，其特征在于，步骤S20中，所述智能边缘网关还可以通过动态调整路由策略，通过移动蜂窝链路访问互联网。

4.根据权利要求1所述的一种基于卫星网络的智能边缘网关设备组网方法，其特征在于，步骤S30中，所述的网络设备包括AP和交换机，网络设备通过RJ网络与智能边缘网关的LAN口相连。

5.根据权利要求1所述的一种基于卫星网络的智能边缘网关设备组网方法，其特征在于，步骤S30中，建立智能边缘网关与网络设备的网络连接包括以下步骤：

S301、终端设备建立与网络设备的连接，网络设备将用户请求转发至智能边缘网关；

S302、终端设备首次接入网络设备，自动弹出portal，引导用户访问智能边缘网关和开通入网套餐；

S303、智能边缘网关对用户访问的权限进行判断，未开通入网用户在尝试访问互联网资源时，返回不可达消息，访问请求则不会传达至卫星天线子系统；

S304、终端设备开通入网后，智能边缘网关对用户的访问权限进行配置；

S305、终端设备开通入网后，终端设备请求到达智能边缘网关后，智能边缘网关根据访问策略规划判断请求是否在权限配置的白名单中，如不在，则丢弃请求包；

S306、当判断请求可以转发后，智能边缘网关的地址转换模块，根据地址映射规则，将用户的局域网IP地址转换为WAN口的IP地址；

S307、转发请求到卫星天线子系统，进而到达地面站网络。

6.根据权利要求5所说的一种基于卫星网络的智能边缘网关设备组网方法，其特征在于，步骤S306中，映射地址范围通过小站配置得到。

7.根据权利要求1所说的一种基于卫星网络的智能边缘网关设备组网方法，其特征在于，步骤S30中，通过智能边缘网关对终端设备的通断进行控制包括以下步骤：

S3011、智能边缘网关动态在防火墙中添加访问策略规则，控制终端设备的请求；

S3012、终端设备的请求包通过防火墙策略后，智能边缘网关根据请求的目标地址判断请求包的下一跳；

根据目标地址的不同，请求包会被转发到不同的网络中；

S3013、当用户开通上网后，智能边缘网关配置该用户设备的转发规则。

8.根据权利要求1所说的一种基于卫星网络的智能边缘网关设备组网方法，其特征在于，步骤S40中，建立物联网设备与智能边缘网关的连接包括以下步骤：

S401、物联网设备接入到智能边缘网关；

S402、物联网设备在云端提前申请入网，提供物联网设备的类型和访问协议；

S403、智能边缘网关根据云端下发的配置，动态调整物联网设备的访问策略，同时预分配访问地面网络的WAN口IP地址；智能边缘网关将物联网设备的绑定状态，以及分配的WAN口IP地址上报至云端；

S404、当访问的请求与策略不匹配时，则直接丢弃请求包；

S405、当判断请求可以通过后，智能边缘网关的地址转换模块，将物联网设备的局域网IP地址转换为预分配的WAN口IP地址，转发到卫星天线子系统，进而到达地面站网络。

Images