CN115987719A - 边缘云网关系统 - Google Patents
边缘云网关系统 Download PDFInfo
- Publication number
- CN115987719A CN115987719A CN202211717394.3A CN202211717394A CN115987719A CN 115987719 A CN115987719 A CN 115987719A CN 202211717394 A CN202211717394 A CN 202211717394A CN 115987719 A CN115987719 A CN 115987719A
- Authority
- CN
- China
- Prior art keywords
- user
- traffic
- vswitch
- virtual
- area network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开实施例提供了一种边缘云网关系统,涉及通信技术领域。该方法包括虚拟化交换机vSwitch,用于通过局域网LAN侧和广域网WAN侧接收和转发用户的流量;虚拟客户终端设备VCPE,与所述vSwitch连接,用于处理所述用户的业务要求;其中,所述用户流量携带标识信息,所述vSwitch根据所述标识信息在LAN侧和WAN侧识别所述用户的流量。本公开实施例提供的系统,能够将用户流量全部拉入边缘云,并通过云网关方案实现虚机家庭网关。
Description
技术领域
本公开涉及通信技术领域,尤其涉及一种边缘云网关系统。
背景技术
目前,在线学习、远程会议、网络购物、视频直播等生产生活新方式加速推广,互联网平台日益壮大,个人和家庭用户已经逐步将自身的数据和服务上移到云端。但是面对互联网平台的公有云服务模式,对算力、时延、存储安全等要素有较高要求的服务还缺乏安全可靠的解决方案。家庭用户与互联网的连接主要是通过传统的光猫等设备实现,还缺乏将网关功能上云的方法和系统。
发明内容
本公开实施例提供了一种边缘云网关系统,涉及通信技术领域,将用户流量全部拉入边缘云,并通过云网关方案实现虚机家庭网关。
本公开实施例提供了一种边缘云网关系统,包括:虚拟化交换机vSwitch,用于通过局域网LAN侧和广域网WAN侧接收和转发用户的流量;虚拟客户终端设备VCPE,与所述vSwitch连接,用于处理所述用户的业务要求;其中,所述用户流量携带标识信息,所述vSwitch根据所述标识信息在LAN侧和WAN侧识别所述用户的流量。
在一个实施例中,所述VCPE与所述vSwitch之间通过高速共享内存虚拟接口连接。
在一个实施例中,系统还包括:光网络单元ONU,位于所述用户侧,用于与所述用户的终端设备连接;光缆终端设备OLT,用于与所述ONU连接,并用于将所述用户的流量转发至所述vSwitch。
在一个实施例中,系统还包括:数据中心交换机DCSW,用于与所述OLT连接,还用于将所述用户的流量转发至所述vSwitch;其中,所述OLT处理后的所述用户的流量包括堆叠虚拟局域网QINQ信息,所述OLT处理后的流量进入所述DCSW后封装虚拟扩展局域网VXLAN头,所述VXLAN头包括虚拟局域网身份VNI,所述QINQ和所述VNI构成所述用户流量的标识信息。
在一个实施例中,所述DCSW通过虚拟扩展局域网VXLAN与所述vSwitch连接。
在一个实施例中,系统还包括:接入叶子结点A-LEAF,用于与所述OLT连接,还用于将所述用户的流量转发至所述vSwitch;业务叶子节点S-LEAF,用于与所述A-LEAF连接,还用于将所述用户的流量转发至所述vSwitch;其中,所述OLT处理后的所述用户的流量包括堆叠虚拟局域网QINQ信息,所述OLT处理后的流量进入所述A-LEAF后封装段路由互联网协议6SRv6头,所述SRv6头包括信令标识符SID,所述QINQ和所述SID构成所述用户流量的标识信息。
在一个实施例中,所述A-LEAF通过所述SRv6与所述S-LEAF连接,所述S-LEAF通过所述SRv6与所述vSwitch连接。
在一个实施例中,所述用户的流量在传递时,根据所述标识信息彼此隔离。
在一个实施例中,所述vSwitch具有在LAN侧、WAN侧、VCPE侧和边缘应用侧进行流量识别和流量调度的能力,并具有边缘应用侧的域名系统DNS的代理能力。
在一个实施例中,所述VCPE具有动态主机设定协定DHCP、地址解析协议ARP、以太网点到点连接协议PPPOE和网络地址转换NAT的业务能力。
在一个实施例中,系统还包括:安全能力池,用于上网流量防护、上网行为管理和用户内网扫描。
本申请的边缘云网关系统,包括虚拟化交换机vSwitch,用于通过局域网LAN侧和广域网WAN侧接收和转发用户的流量;虚拟客户终端设备VCPE,与所述vSwitch连接,用于处理所述用户的业务要求;其中,所述用户流量携带标识信息,所述vSwitch根据所述标识信息在LAN侧和WAN侧识别所述用户的流量,可以实现将用户流量全部拉入边缘云,并通过云网关方案实现虚机家庭网关。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本公开一个实施例的边缘云网关系统的结构示意图;
图2示出了本公开一个实施例的边缘云流量转发流程图;
图3示出了本公开一个实施例的边缘云网关结构图;
图4示出了本公开一个实施例的vSwitch流量调度图;
图5示出了本公开一个实施例的VCPE的用户隔离图;
图6示出了本公开一个实施例的用户上网流量防护流程图;
图7示出了本公开一个实施例的用户内网扫描流程图;
图8示出了本公开一个实施例的安全防护策略流程图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
在本公开实施例中,提供一种边缘云网关系统,包括:虚拟化交换机vSwitch,用于通过局域网LAN侧和广域网WAN侧接收和转发用户的流量;虚拟客户终端设备VCPE,与所述vSwitch连接,用于处理所述用户的业务要求;其中,所述用户流量携带标识信息,所述vSwitch根据所述标识信息在LAN侧和WAN侧识别所述用户的流量,将用户流量全部拉入边缘云,并通过云网关方案实现虚机家庭网关。
下面首先对本公开的一些术语进行说明:
互联网(公网),是传统意义上的互联网,大家的流量都在公网上,没有做任何的隔离,比如浏览网页和看视频。
内网,是相对于公网而言,类似于家庭内部、公司内部,出口路由器下面的私有网络,可对比家庭手机、电视、电脑都通过家里的路由器连接在一起,这个网络是内网,从路由器出去访问各种网站,就是公网。
边缘云网络,在本申请将上面的物理上的内网,通过VXLAN(Virtual ExtensibleLocal Area Network,虚拟扩展局域网)和SRv6(Segment Routing IPv6,基于IPv6转发平面的段路由)等技术,分配一条专用的隧道,同时将路由器通过虚拟化的方式,放到边缘云上。这样就将原来的手机先连接到路由器/光猫,再从路由器/光猫的wan口连接到互联网,变成了用户的手机通过VXLAN或SRv6,经过城域网上面的专用隧道直接连接到边缘云上的虚拟化的路由器(即VCPE),用户的所有设备都是通过边缘云的VCPE做内网的管理,并且边缘云上的各类虚拟化的App也是链接到VCPE。
切片,是一种按需组网的方式,可以让运营商在统一的基础设施上分离出多个虚拟的端到端网络,把业务用不同的优先级的SRv6 Policy隧道来承载,一个链路上可以承载多个切片。
链路,无源的点到点的物理连接。有线通信时,链路指两个节点之间的物理线路,如电缆或光纤。无线电通信时,链路指基站和终端之间传播电磁波的路径空间。一个切片可以通过多条链路。
隧道,本申请的隧道是指承载不同切片的通道。一条链路中可以有承载不同切片的多条隧道。
图1示出了本公开一个实施例的边缘云网关系统的结构示意图。
参考图1,本申请的边缘云网关系统至少包括虚拟化交换机vSwitch(VirtualisedSwitch,虚拟化的交换机),用于通过局域网LAN(local area network)侧和广域网WAN(Wide Area Network)侧接收和转发用户的流量;虚拟客户终端设备VCPE(virtualCustomer Premise Equipment,虚拟客户终端设备),与所述vSwitch连接,用于处理所述用户的业务要求;其中,所述用户流量携带标识信息,所述vSwitch根据所述标识信息在LAN侧和WAN侧识别所述用户的流量。
图1中与vSwitch连接均属于LAN侧,WAN侧属于与互联网连接,图1中未示出。图1中的接入云网关可以包括1个或多个vSwitch和1个或多个VCPE,每一个家庭用户对应一个接入云网关,由控制器统一控制与匹配。
老城域网的连接方式:
图1中与vSwitch通过VXLAN连接的家庭(用户)属于老城域网的连接方式。在老城域网的连接方式中,边缘云网关系统还包括光网络单元ONU(Optical Network Unit,光网络单元),位于所述用户侧,用于与所述用户的终端设备连接;光缆终端设备OLT(opticalline terminal,光缆终端设备),用于与所述ONU连接,并用于将所述用户的流量转发至所述vSwitch。在老城域网中,边缘云网关系统还包括:数据中心交换机DCSW(Data CenterSwitches,数据中心交换机),用于与所述OLT连接,还用于将所述用户的流量转发至所述vSwitch;其中,所述OLT处理后的所述用户的流量包括堆叠虚拟局域网QINQ(Stacked VLAN或Double VLAN,是指将用户私网VLAN Tag封装在公网VLAN Tag中,使报文带着两层vlantag穿越运营商的骨干网络(公网))信息,所述OLT处理后的流量进入所述DCSW后封装虚拟扩展局域网VXLAN头,所述VXLAN头包括虚拟局域网身份VNI(VXLAN区分用户的ID),所述QINQ和所述VNI构成所述用户流量的标识信息。参考图1,所述DCSW通过虚拟扩展局域网VXLAN与所述vSwitch连接。
老城域网中家庭网关(例如ONU)以VXLAN组网方式接入网络。家庭网关可以以桥接的方式接入到OLT设备,OLT设备处理后家庭报文(流量)携带了QINQ信息,此时不同家庭报文将会携带不同的QINQ信息;然后家庭报文进入DCSW设备封装VXLAN头后发出,此时不同家庭的报文可能封装在不同的VXLAN头内,即不同家庭的报文可能拥有不同的VNI;报文经LAN侧VXLAN网络发送至虚拟边缘云网关的vSwitch,到达边缘云网关vSwitch的不同家庭报文携带的VNI+QINQ信息不同,且VNI+QINQ信息与家庭一一对应,可以称VNI+QINQ为LAN侧报文识别标识信息,老城域网中将VNI+QINQ信息作为家庭的LAN侧唯一标识。
互联网侧发送给家庭内网的报文,可以称为WAN侧报文,相同的WAN侧报文也是可以经过VXLAN网络发送至虚拟边缘云网关的vSwitch,此时不同家庭的报文可能拥有不同的WAN侧VNI,老城域网中同样将WAN侧的VNI+QINQ信息作为家庭的WAN侧唯一标识。
老城域网的实施例可以部署云NAS(Network Attached Storage,网络附属存储))服务、云桌面,用户在家里使用手机、电脑等终端可直接发现并通过内网IP(InternetProtocol,互联网协议)访问部署在边缘云端的云NAS服务,下载上传速度可以达到100MB。边缘云桌面服务延迟在3ms以下,可以在云桌面中流畅办公、上网和浏览视频等。
下面对老城域网的vSwitch和VCPE进行说明:
vSwitch
vSwitch网元转发表项
1、目的IP转发表
以内层报文的目的IP为key(钥匙),判断内层报文是否为家庭边缘应用流量。
2、VNI_business(业务)转发表
1)以LAN侧VNI、pvlan_id(private vlan,私有虚拟局域网)和cvlan_id(customervlan,用户虚拟局域网)为key;
2)value(值)为转发表项索引,转发表中的核心内容包括但不限于如下内容:
A.为边缘应用系统提供隧道转发的VXLAN隧道接口索引;
B.边缘业务开关。
3、VNI_forward(方向)转发表
1)每个家庭LAN、WAN两个方向桥接转发表;
2)VNI(LAN/WAN)、pvlan_id和cvlan_id为key;
3)value为转发表项索引,转发表中的核心内容包括但不限于如下内容:为家庭提供网络服务的VCPE地址,使用虚接口索引代替VCPE地址;为边缘应用系统提供隧道转发的VXLAN隧道接口索引。
4、VNI_bridge(桥)转发表
1)每个家庭LAN、WAN两个方向桥接转发表;
2)VNI(LAN/WAN)、pvlan_id和cvlan_id为key;
3)value为转发表项索引,转发表中的核心内容包括但不限于如下内容:为边缘应用系统提供隧道转发的VXLAN隧道接口索引;边缘业务开关。
vSwitch网元流量调度
1、LAN侧流量调度
1)获取内层报文目的IP,根据目的IP转发表判断是否为家庭边缘应用流量;
2)识别内层报文协议类型或端口号,判断是否为边缘应用流量;
3)根据VNI_business转发表,判断家庭该流量承载的边缘应用是否开通;
2、WAN侧流量调度
根据VNI_forward转发表将流量调度到相应VCPE处理。
边缘应用流量调度
根据VNI_forward转发表将流量调度到相应VXLAN封装节点处理,并转发。
3、VCPE流量调度
根据VNI_forward转发表将流量调度到相应VXLAN封装节点处理,并转发。
DNS代理
支持家庭通过域名访问边缘业务。
VCPE
家庭配置隔离
依托存储单元,家庭配置根据账户唯一性和家庭报文特征标识上VNI、pvlan_id和cvlan_id唯一性被保存在两种hash(哈希)表项中:
1)一种以家庭账号为key的hash表项;
2)一种以VNI、pvlan_id和cvlan_id为key的bihash(Bounded-index extensiblehash,有界索引可扩展哈希)表项。
两种表项存储方式均提供快速查找接口。
VCPE网元流量调度
根据报文的类型不同,数据报文被调度节点到不同业务处理模块进行处理、终端识别、宽带流量统计和上网控制等。
业务功能单元
包括终端ARP(Address Resolution Protocol,地址解析协议),IPv6 ND(Neighbor Discovery,邻居发现),DHCPv4/v6 server(Dynamic Host ConfigurationProtocol,DHCP,动态主机设定协定),DHCPv6-pd(Prefix Delegation,前缀分配),PPPOE(point to point protocal over Ethernet,以太网点到点连接协议)和NAT(NetworkAddress Traslation,网络地址转换)等功能单元,各业务功能单元根据所述家庭隔离hash表项完成不同家庭的业务报文的交互处理。
新城域网的连接方式:
图1中与vSwitch通过SRv6连接的家庭属于新城域网的连接方式。在新城域网的连接方式中,边缘云网关系统还包括接入叶子结点A-LEAF(access leaf,接入叶子结点),用于与所述OLT连接,还用于将所述用户的流量转发至所述vSwitch;业务叶子节点S-LEAF(service-Leaf,业务叶子节点),用于与所述A-LEAF连接,还用于将所述用户的流量转发至所述vSwitch;其中,所述OLT处理后的所述用户的流量包括堆叠虚拟局域网QINQ信息,所述OLT处理后的流量进入所述A-LEAF后封装段路由互联网协议6SRv6头,所述SRv6头包括信令标识符SID,所述QINQ和所述SID构成所述用户流量的标识信息。参考图1,所述A-LEAF通过所述SRv6与所述S-LEAF连接,所述S-LEAF通过所述SRv6与所述vSwitch连接。
新型城域网中家庭网关(例如ONU)以SRv6组网方式接入网络。家庭网关以桥接的方式接入到OLT设备,OLT设备处理后家庭报文携带了QINQ信息,此时不同家庭报文将会携带不同的QINQ信息;然后家庭报文进入A-LEAF设备封装SRv6头后发出,此时不同家庭的报文可能封装在不同的SRv6头内,即拥有不同的SRH(Segment Routing Header,段路由头)头;报文经LAN侧SRv6网络发送至虚拟边缘云网关,到达边缘云网关的不同家庭报文携带的SID(Signaling Identifier,信令标识符)+QINQ信息不同(在到达边缘云网关倒数第二段时弹出SRH,此时到达边缘云网关的报文为普通IPv6报文,SID从IPv6头的目的IP中获取),且SID+QINQ信息与家庭一一对应,可以称SID+QINQ为家庭报文识别信息,实施例中将SID+QINQ信息作为家庭的唯一标识。
互联网侧发送给家庭内网的报文,称为WAN侧报文,相同的WAN侧报文也是经过SRv6网络发送至虚拟边缘云网关,此时不同家庭的报文可能拥有不同的WAN侧SID,实施例中同样将WAN侧SID+QINQ信息作为家庭的WAN侧唯一标识。
本实例部署了云NAS服务、云桌面,用户在家里使用手机、电脑等终端可直接发现并通过内网IP访问部署在边缘云端的云NAS服务,下载上传速度可以达到100MB。边缘云桌面服务延迟在3ms以下,可以在云桌面中流畅办公、上网和浏览视频等。
下面对新城域网的vSwitch和VCPE进行说明:
vSwitch
vSwitch网元转发表项
1、目的IP转发表
以内层报文的目的IP为key,判断内层报文是否为家庭边缘应用流量。
2、SID_business业务转发表
1)以LAN侧SID、pvlan_id和cvlan_id为key;
2)value为转发表项索引,转发表中的核心内容包括但不限于如下内容:
A.为边缘应用系统提供隧道转发的VXLAN隧道接口索引;
B.边缘业务开关。
3、SID_forward转发表
1)每个家庭LAN、WAN两个方向桥接转发表;
2)SID(LAN/WAN)、pvlan_id和cvlan_id为key;
3)value为转发表项索引,转发表中的核心内容包括但不限于如下内容:为家庭提供网络服务的VCPE地址,本实施例使用虚接口索引代替VCPE地址;为边缘应用系统提供隧道转发的VXLAN隧道接口索引。
vSwitch网元流量调度
1、LAN侧流量调度
1)获取内层报文目的IP,根据目的IP转发表判断是否为家庭边缘应用流量;
2)识别内层报文协议类型或端口号,判断是否为边缘应用流量;
3)根据SID_business转发表,判断家庭该流量承载的边缘应用是否开通;
2、WAN侧流量调度
根据SID_forward转发表将流量调度到相应VCPE处理。
3、边缘应用流量调度
根据SID_forward转发表将流量调度到相应SRv6封装节点处理,并转发。
4、VCPE流量调度
根据SID_forward转发表将流量调度到相应SRv6封装节点处理,并转发。
DNS代理
支持家庭通过域名访问边缘业务。
VCPE
家庭配置隔离
依托存储单元,家庭配置根据账户唯一性和家庭报文特征标识上SID、pvlan_id和cvlan_id唯一性被保存在两种hash表项中。
1)一种以家庭账号为key的hash表项;
2)一种以SID、pvlan_id和cvlan_id为key的bihash表项。
两种表项存储方式均提供快速查找接口。
VCPE网元流量调度
根据报文的类型不同,数据报文被调度节点到不同业务处理模块进行处理、终端识别、宽带流量统计和上网控制等。
业务功能单元
业务功能单元包括终端arp,IPv6 ND,DHCPv4/v6 server,DHCPv6-pd,PPPOE和NAT等功能单元,各业务功能单元根据所述家庭隔离hash表项完成不同家庭的业务报文的交互处理。
本申请的边缘云网关系统,用户所有流量全部到边缘云侧,在边缘云利用虚拟化的网关服务实现对流量的分流和管理,不需要在家庭中购置专用设备用于网络接入。通过城域网的大带宽和低延时优势,可以将云桌面、云NAS云化后的用户体验做到与使用物理设备一致,同时通过云化的弹性扩缩容和资源共享,存储、算力等资源可在应用间灵活编排。
下面从总体上对本申请的方案进行说明:
本申请的技术方案可以概括为包含三部分,用户网络接入流程、网络虚拟交换系统、边缘内网安全防护策略,具体为:
(一)用户网络接入流程
本申请的二层网络接入边缘流程是从用户终端侧将流量全部引入边缘DC(DATACENTER,数据中心),无需按照原有宽带上网流程携带用户名、密码发起拨号,而是通过VLAN或SRv6为每个用户分配单独的切片或隧道,用户数据包直接发送到边缘云,由边缘云网关对流量完成识别和分流。内部流量(包括用户家庭内部和边缘应用内部)挂载在LAN口,通过VCPE分配的地址实现二层或三层网络通讯。外部流量经WAN口在边缘完成PPPOE拨号后分流制至互联网,完成互联网的访问。
流程可以通过直连方式、家庭网关桥接方式对接,内网的拉通在不同的城域网结构下,可以使用VLAN、VxLAN或SRv6等技术按需组合配置完成二层网路的打通。
流程一般情况下通过二层方式对接,也可以根据网络设备或架构使用三层方式对接,主要满足通过同一套内网地址访问用户家庭内部终端、应用,以及边缘侧应用的需求。
流程可对同一用户的不同流量做分隔,按照业务需求(如IPTV,网络电视)建立多个隧道打通到边缘云的网络。
(二)网络虚拟交换系统,
本申请的网络虚拟交换系统提供一种云化承载局域网网关的方法。家庭网关(例如ONU)以桥接的方式接入到OLT设备,此时不同用户报文携带不同的QINQ信息,然后经LAN侧网络发送至虚拟边缘云网关,根据内网延伸到边缘云网关的组网方式的不同,不同用户报文会携带不同的VXLAN信息或SRv6信息;网络虚拟交换系统包括:接入vSwitch网元和VCPE网元。接入vSwitch网元和VCPE网元之间通过共享内存实现的高速虚拟接口进行连接。接入vSwitch网元是流量接入点,提供VXLAN和SRv6接入边缘云网关的能力,提供基于隧道内层报文的目的IP、报文协议和端口号转发能力,提供基于VNI+QINQ或SID+QINQ的用户流量调度能力;所述VCPE网元提供家庭内网用户隔离的软网关服务,包括终端arp,IPv6ND,DHCPv4/v6 server,DHCPv6-pd,PPPOE和NAT等功能。
接入vSwitch网元和VCPE网元均包括数据I/O(Input/Output-输入输出)单元、数据转发单元、数据存储单元以及信令单元,其中VCPE网元还包括业务处理单元;所述数据I/O单元负责接收和发送数据;所述数据转发单元与数据I/O单元连接;所述业务处理单元与数据转发单元连接;所述数据存储单元与信令单元连接;所述业务处理单元和数据转发单元可访问或写入数据存储单元。
所述信令单元,提供对外接口和可视化命令行,用于根据所述控制信令管理所述数据存储单元;
所述数据存储单元,接入网元中用于保存通过信令单元下发的网元配置信息以及数据转发单元使用的转发表项;VCPE网元中除保存网元配置信息外,还用于隔离保存所述多用户账户表项的数据集,并提供所述业务处理单元区分多用户时的快速查询接口;
所述数据转发单元,接入网元中用于多用户数据流的调度处理,根据不同报文协议类型或用户报文识别信息将报文调度到不同VCPE网元处理;VCPE网元中用于多用户数据流的调度处理,根据不同报文协议类型将报文调度到相应业务处理单元;
所述业务处理单元,包括终端arp,IPv6 ND,DHCPv4/v6 server,DHCPv6-pdclient,PPPOE client和NAT等业务单元;
所述终端arp业务处理单元,用于用户终端接入云网关时的arp业务处理;
所述IPv6 ND业务处理单元,用于VCPE网元与LAN/WAN侧的NS/NA(NetworkService-网络服务,Network Address-网络地址)和RS/RA(Router Solicitation-路由器请求,Route Analysis-路由分析)业务处理;
所述DHCPv4 server业务处理单元,用于用户终端的IP地址分配和用户终端管理等业务处理;
所述DHCPv6 server业务处理单元,仅用于用户终端的IPv6 DNS(Domain NameSystem,域名系统)业务处理;
所述DHCPv6-pd client业务处理单元,用于为用户申请IPv6前缀业务处理;
所述PPPOE client业务处理单元,用于用户的上网的拨号业务处理;
所述NAT业务处理单元,用于用户宽带流量的ip地址转换业务处理。
所述数据I/O单元,用于多用户数据流的发送和接收处理。
本申请还提供了一种方案,所述数据I/O单元,在所述接入网元中,采用DPDK(DPDK,Data Plane Development Kit,数据平面开发套件)来管理物理接口,采用共享内存高速转发虚拟端口与VCPE网元连接;在所述VCPE网元中,采用共享内存高速转发虚拟端口与接入网元连接。
本申请还提供了一种方案,接入网元与VCPE网元之间的所述数据I/O单元可以灵活扩展报文私有空间,便于用户报文识别信息传递。
本申请还提供了一种方案,所述数据存储单元,用于隔离保存用户账户规则管理和为数据处理单元或业务处理单元提供快速查询接口,同时提供采集到用户下挂终端上下线状态和报文统计信息隔离保存。
本申请还提供了一种方案,所述数据转发单元,用于通过矢量化报文处理技术进行报文处理,以进行虚拟网元内部的流量转发处理。
本申请还提供了一种方案,所述业务处理单元包括终端arp,IPv6 ND,DHCPv4/v6server,DHCPv6-pd,PPPOE和NAT等功能单元。
本申请还提供了一种方案,所述arp业务模块通过唯一标识用户宽带业务开通的pppoe接口进行用户终端arp学习。
其中,所述流量调度节点,用于用户数据报文识别、报文调度、终端识别、上网控制和基于用户终端的报文统计;
所述arp业务模块,通过pppoe接口进行用户终端arp学习,并使用lan侧网关mac地址向用户发送arp响应报文。
所述IPv6 ND、DHCPv6-pd(Prefix Delegation,前缀分配)、PPPOE业务模块,通过使用wan侧网关mac(Media Access Control,媒体访问控制)地址与BRAS进行交互。
本申请还提供了一种方案,所述接入网元,提供DNS代理功能;
本申请还提供了一种方案,所述接入网元,基于目的IP、报文协议、端口号和VNI+QINQ或SID+QINQ转发表的流量调度能力,包括隧道桥接、虚拟口和隧道转发能力;
本申请还提供了一种方案,所述接入网元,根据所述转发调度能力与边缘应用系统打通。
图2示出了本公开一个实施例的边缘云流量转发流程图。
参考图2,ONU流量携带cvlan标签;OLT添加pvlan标签;A-LEAF根据接口规则pVLAN查询vpn(virtual private network)实例,封装SRv6后转发;vSwitch:提取报文中Qinq+IPv6-SA(Source Address,源地址)字段,查表获取VCPE,转发给VCPE;2)VCPE:OLT方向加PPPOE头,BRAS(Broadband Remote Access Server,宽带远程接入服务器)方向去PPPOE头,写入vSwitch转发;3)vSwitch:根据QINQ+方向查询SRv6封装信息,封装后转发;VCPE具有1)DHCP协议处理;2)ARP协议处理;3)PPPOE协议处理;4)OLT->BRAS流程转发5)BRAS->OLT流量转发;S-LEAF(BRAS)转发至互联网。
图3示出了本公开一个实施例的边缘云网关结构图。
参考图3,所述vSwitch具有在LAN侧、WAN侧、VCPE侧和边缘应用侧进行流量识别和流量调度的能力,并具有边缘应用侧的域名系统DNS的代理能力。其中,VXLAN-3对应WAN侧,其余对应LAN侧。其中,VMBA是代理服务的功能模块。
图4示出了本公开一个实施例的vSwitch流量调度图。
图5示出了本公开一个实施例的VCPE的用户隔离图。其中,图5中的租户可以是以家庭为单位,并具体描述了VCPE提供的服务。
(三)边缘内网安全防护策略
本申请的边缘云网关系统,还包括:安全能力池,用于上网流量防护、上网行为管理和用户内网扫描。
本申请所述边缘内网安全防护策略主要针对边缘内网拉通的场景下,从用户安全上网、家庭内网防护、家庭上网管理、安全分析报告等角度提出了三个场景下的安全防护方案,即上网流量防护、上网行为管理和家庭内网扫描方案。
所述上网流量防护方案中当用户通过产品门户下发流量检测策略后,安全管控中心协同云宽管理平台向安全业务网关下发带有用户宽带账号的流量镜像策略。安全业务网关负责将指定宽带上网流量镜像至边缘云安全能力池,安全能力池中的上网流量检测组件进行流量检测、分析,上报结果至安全管控中心,并通过产品门户呈现给用户。安全管控中心根据检测结果以及用户配置生成封堵策略,并通过云宽平台下发到安全业务网关。安全业务网关收到封堵策略后,进行流量匹配,将相应流量进行封堵,其他流量返回给接入网关,接续转发至互联网侧,封堵日志上报到安全管控中心,并通过产品门户呈现给用户。整个防护方案可为用户提供恶意网址访问识别、诈骗网站识别、病毒检测等功能,保护用户上网安全。图6示出了本公开一个实施例的用户上网流量防护流程图。图6中,SPINE是脊网络。
所述上网行为管理方案流程与所述上网流量防护方案类似,不同之处在于边缘云安全能力池的安全原子能力,本方案流程中安全能力池为用户提供按需对访问的网站、APP等进行管理和过滤,对上网时长管控(分时断网,一键断网)、上网行为分析(上网时长分析、APP使用偏好分析)等能力。
所述家庭内网扫描方案中用户通过APP、门户等订购并下发扫描任务,安全管控中心收到任务后从云宽带管理平台获取用户资产信息,形成扫描策略下发至安全能力池。边缘安全能力池漏洞扫描模块与家庭内网建立隧道,发送扫描报文到内网目标设备,根据终端的响应报文进行脆弱性分析。家庭内网扫描模块将漏扫描结果上报安全管控中心,通过产品门户进行呈现或提醒。
图7示出了本公开一个实施例的用户内网扫描流程图。
图8示出了本公开一个实施例的安全防护策略流程图。
本公开实施例的说明书和权利要求书及附图中的术语“包括”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、装置、产品或设备没有限定于已列出的步骤或模块,而是可选地还包括没有列出的步骤或模块,或可选地还包括对于这些过程、方法、装置、产品或设备固有的其他步骤单元。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在该说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本公开的范围。
本公开实施例提供的方法及相关装置是参照本公开实施例提供的方法流程图和/或结构示意图来描述的,具体可由计算机程序指令实现方法流程图和/或结构示意图的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。这些计算机程序指令可提供到通用计算机、专用计算机、嵌入式处理机或其他可编程传输设备的处理器以产生一个机器,使得通过计算机或其他可编程传输设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或结构示意图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程传输设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或结构示意图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程传输设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或结构示意一个方框或多个方框中指定的功能的步骤。
以上所揭露的仅为本公开较佳实施例而已,当然不能以此来限定本公开之权利范围,因此依本公开权利要求所作的等同变化,仍属本公开所涵盖的范围。
Claims (10)
1.一种边缘云网关系统,其特征在于,包括:
虚拟化交换机vSwitch,用于通过局域网LAN侧和广域网WAN侧接收和转发用户的流量;
虚拟客户终端设备VCPE,与所述vSwitch连接,用于处理所述用户的业务要求;
其中,所述用户流量携带标识信息,所述vSwitch根据所述标识信息在LAN侧和WAN侧识别所述用户的流量。
2.根据权利要求1所述的系统,其特征在于,所述VCPE与所述vSwitch之间通过高速共享内存虚拟接口连接。
3.根据权利要求1所述的系统,其特征在于,还包括:
光网络单元ONU,位于所述用户侧,用于与所述用户的终端设备连接;
光缆终端设备OLT,用于与所述ONU连接,并用于将所述用户的流量转发至所述vSwitch。
4.根据权利要求3所述的系统,其特征在于,还包括:
数据中心交换机DCSW,用于与所述OLT连接,还用于将所述用户的流量转发至所述vSwitch;
其中,所述OLT处理后的所述用户的流量包括堆叠虚拟局域网QINQ信息,所述OLT处理后的流量进入所述DCSW后封装虚拟扩展局域网VXLAN头,所述VXLAN头包括虚拟局域网身份VNI,所述QINQ和所述VNI构成所述用户流量的标识信息。
5.根据权利要求4所述的系统,其特征在于,所述DCSW通过虚拟扩展局域网VXLAN与所述vSwitch连接。
6.根据权利要求3所述的系统,其特征在于,还包括:
接入叶子结点A-LEAF,用于与所述OLT连接,还用于将所述用户的流量转发至所述vSwitch;
业务叶子节点S-LEAF,用于与所述A-LEAF连接,还用于将所述用户的流量转发至所述vSwitch;
其中,所述OLT处理后的所述用户的流量包括堆叠虚拟局域网QINQ信息,所述OLT处理后的流量进入所述A-LEAF后封装段路由互联网协议6SRv6头,所述SRv6头包括信令标识符SID,所述QINQ和所述SID构成所述用户流量的标识信息。
7.根据权利要求6所述的系统,其特征在于,所述A-LEAF通过所述SRv6与所述S-LEAF连接,所述S-LEAF通过所述SRv6与所述vSwitch连接。
8.根据权利要求1所述的系统,其特征在于,所述用户的流量在传递时,根据所述标识信息彼此隔离。
9.根据权利要求1所述的系统,其特征在于,所述vSwitch具有在LAN侧、WAN侧、VCPE侧和边缘应用侧进行流量识别和流量调度的能力,并具有边缘应用侧的域名系统DNS的代理能力。
10.根据权利要求1所述的系统,其特征在于,所述VCPE具有动态主机设定协定DHCP、地址解析协议ARP、以太网点到点连接协议PPPOE和网络地址转换NAT的业务能力。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211717394.3A CN115987719A (zh) | 2022-12-29 | 2022-12-29 | 边缘云网关系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211717394.3A CN115987719A (zh) | 2022-12-29 | 2022-12-29 | 边缘云网关系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115987719A true CN115987719A (zh) | 2023-04-18 |
Family
ID=85975656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211717394.3A Pending CN115987719A (zh) | 2022-12-29 | 2022-12-29 | 边缘云网关系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115987719A (zh) |
-
2022
- 2022-12-29 CN CN202211717394.3A patent/CN115987719A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109660443B (zh) | 基于sdn的物理设备与虚拟网络通信方法和系统 | |
| CN109194660B (zh) | 移动终端的入网方法和装置 | |
| CN109561108B (zh) | 一种基于策略的容器网络资源隔离控制方法 | |
| EP3499799B1 (en) | Forwarding policy configuration | |
| EP3493508B1 (en) | Separation of control plane function and forwarding plane function of broadband remote access server | |
| CN106559292B (zh) | 一种宽带接入方法和装置 | |
| US9083656B2 (en) | Service communication method and system for access network apparatus | |
| EP2224645B1 (en) | A method and equipment for transmitting a message based on the layer-2 tunnel protocol | |
| CN106059994B (zh) | 一种数据传输方法及网络设备 | |
| US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
| CN108810581B (zh) | 一种软件菜单的更新方法和装置 | |
| CN103685026A (zh) | 一种虚拟网络的接入方法和系统 | |
| CN107094110B (zh) | 一种dhcp报文转发方法及装置 | |
| CN110035005B (zh) | 数据处理方法和装置 | |
| CN102098278B (zh) | 用户接入方法、系统及接入服务器、接入设备 | |
| CN108418907A (zh) | Ip地址分配方法及装置 | |
| KR101508124B1 (ko) | 액세스 노드에서 전송 테이블의 자가 구성 | |
| CN110120885B (zh) | 一种设备状态信息的处理方法和装置 | |
| CN110191042B (zh) | 一种报文转发方法及装置 | |
| CN108200199A (zh) | IPV4 over IPV6隧道场景中的负载均衡系统及方法 | |
| CN110086771B (zh) | 一种协议转换设备的管理方法和装置 | |
| US20060050681A1 (en) | Method for the automatic configuration of a ip telephony device and/or data, system and device implementing same | |
| CN107547467B (zh) | 一种电路认证处理方法、系统及控制器 | |
| CN109951668B (zh) | 一种视联网终端与互联网终端通话的方法和装置 | |
| CN116488958A (zh) | 网关处理方法、虚拟接入网关、虚拟业务网关及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |