專利名稱:Bgp分類網(wǎng)關(guān)設(shè)備及利用該設(shè)備實現(xiàn)網(wǎng)關(guān)功能的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域��,特別涉及一種BGP分類網(wǎng)關(guān)設(shè)備及利用該設(shè)備實 現(xiàn)網(wǎng)關(guān)功能的方法��。
背景技術(shù):
對于局域網(wǎng)(例如園區(qū)網(wǎng))來說��,出于計費和安全的需要����,一般都需要在出口處部 署認證服務(wù)器和網(wǎng)關(guān)設(shè)備,用于控制網(wǎng)內(nèi)用戶對外網(wǎng)的訪問��。這種專用網(wǎng)關(guān)模式的特點是�����, 網(wǎng)關(guān)設(shè)備一般都串聯(lián)在出口鏈路上��,按照認證服務(wù)器指令���,放行或攔截某個IP地址出入局 域網(wǎng)�����。但是這種模式的缺點非常明顯一�、網(wǎng)關(guān)設(shè)備一般都是專用設(shè)備,價格相對比較昂貴�; 二、網(wǎng)關(guān)設(shè)備一般都是串聯(lián)在出口鏈路上����,屬于單一故障點,一旦網(wǎng)關(guān)設(shè)備出現(xiàn)故障���,整個 局域網(wǎng)出口將中斷����,對用戶影響很大�����;三����、由于網(wǎng)關(guān)設(shè)備是串聯(lián)在鏈路上部署��,所以當(dāng)該鏈 路升級時(如由千兆鏈路升級到萬兆鏈路)�����,網(wǎng)關(guān)設(shè)備的接口和處理能力必須相應(yīng)升級,否 則將無法正常工作���。同時��,對于需要按照目標(biāo)地址來控制用戶訪問外網(wǎng)的情景(例如�����,繳費用戶可以 不受限制的訪問全球任何網(wǎng)址�,而免費用戶只能訪問某些國內(nèi)網(wǎng)址)����,傳統(tǒng)專用網(wǎng)關(guān)設(shè)備上 必須部署復(fù)雜的控制策略,并且在每個用戶訪問每個外網(wǎng)目標(biāo)地址的時候應(yīng)用這些控制策 略����。這種實現(xiàn)方式不僅對網(wǎng)關(guān)設(shè)備性能提出了更高要求,而且增加了網(wǎng)關(guān)設(shè)備的實現(xiàn)復(fù)雜 性����。
發(fā)明內(nèi)容
(一 )要解決的技術(shù)問題本發(fā)明要解決的技術(shù)問題是其一,以低成本實現(xiàn)專用網(wǎng)關(guān)設(shè)備的功能;其二��,避 免串聯(lián)專用網(wǎng)關(guān)設(shè)備時單點故障導(dǎo)致的整個內(nèi)網(wǎng)無法訪問外網(wǎng)的問題���;其三��,避免專用網(wǎng) 關(guān)設(shè)備必須跟隨出口鏈路帶寬進行升級的問題���。( 二 )技術(shù)方案為解決上述技術(shù)問題,本發(fā)明提供了一種BGP分類網(wǎng)關(guān)設(shè)備���,包括BGP控制器���,是運行有BGP路由協(xié)議軟件的設(shè)備;認證服務(wù)器��,與所述BGP控制器建立有消息連接關(guān)系��;η個邊界路由器��,其中一個邊界路由器RO用于對外網(wǎng)接入流量做策略路由����,另一 個邊界路由器Rl用于匯總內(nèi)網(wǎng)流量,其余η-2個邊界路由器均分別與RO和Rl連接���,且與 所述BGP控制器建立有BGP連接關(guān)系����,其中�����,η > 4���。其中���,所述BGP連接關(guān)系為IBGP連接關(guān)系或EBGP連接關(guān)系。其中�����,所述認證服務(wù)器為具有驗證用戶身份功能的服務(wù)器����。其中,η的取值與外網(wǎng)地址的類別個數(shù)正相關(guān)����。其中����,所述邊界路由器為具有BGP路由功能的邊界路由器�����。其中�����,所述邊界路由器為實體路由器�、虛擬路由器、同一實體或虛擬路由器中的不
3同BGP實例�,以及運行有BGP路由協(xié)議軟件的服務(wù)器中的一種或多種。本發(fā)明還提供了一種利用上述BGP分類網(wǎng)關(guān)設(shè)備來實現(xiàn)網(wǎng)關(guān)功能的方法�,通過增 加和刪除所述BGP控制器中的路由表項,來間接控制所述邊界路由器中的路由表狀態(tài)����,進 而實現(xiàn)對所述邊界路由器中的網(wǎng)絡(luò)流量的調(diào)控。其中�����,在實現(xiàn)網(wǎng)關(guān)功能時,將所述外網(wǎng)地址分為以下幾種類別中的一種免費地址 和全部地址���、國內(nèi)地址和全部地址、國際地址和全部地址����、國內(nèi)地址和國際地址、商業(yè)地址 和全部地址��,以及商業(yè)地址和非商業(yè)地址�����,或者上述類別的任意組合���。(三)有益效果本發(fā)明在運行有BGP路由協(xié)議軟件的BGP控制器與邊界路由器之間建立BGP連接 關(guān)系�����,通過增加和刪除BGP控制器中的路由表項�,來間接調(diào)控邊界路由器中的網(wǎng)絡(luò)流量�,從 而從整體上實現(xiàn)目前專用網(wǎng)關(guān)設(shè)備的功能。該技術(shù)方案由于通過BGP路由方式進行控制�����, 而BGP控制器的處理能力和硬件配置可以相對較低,因此避免了部署和升級價格昂貴的專 用網(wǎng)關(guān)設(shè)備���;由于BGP控制器作為一個分支與出口路由器連接�����,避免了串聯(lián)專用網(wǎng)關(guān)設(shè)備 的單點故障導(dǎo)致的整個局域網(wǎng)無法訪問外網(wǎng)的問題����;由于BGP控制器并沒有串接在出口鏈 路上��,因此出口鏈路的帶寬升級不會影響B(tài)GP控制器����,也不會要求BGP控制器升級相應(yīng)的物 理鏈路和處理能力。
圖1是依據(jù)本發(fā)明一種實施方式的設(shè)備結(jié)構(gòu)示意圖及其使用示意���。
具體實施例方式為使本發(fā)明的目的����、內(nèi)容����、和優(yōu)點更加清楚���,下面將結(jié)合附圖對本發(fā)明實施方式作 進一步地詳細描述。本發(fā)明實施例設(shè)備的實施方式如圖1所示�����,其中的BGP控制器是一臺運行了 BGP 路由協(xié)議軟件(如Zebra)的服務(wù)器���,它可以與路由器進行BGP通信,并通過增加或刪除 自身的BGP路由表項�����,從而間接控制BGP路由器上的路由表狀態(tài)�,達到控制和調(diào)度BGP路 由器上的網(wǎng)絡(luò)流量的目的。假設(shè)園區(qū)網(wǎng)(可以為其它任何類型的局域網(wǎng))地址范圍為 192. 0. 0. 0/8��,將外網(wǎng)地址分為兩類“免費地址mlP”和“所有地址sIP”����,用戶在訪問任何外 網(wǎng)地址之前需要進行登錄認證。具體包括以下步驟默認配置U BGP (Border Gateway Protocol�����,邊界網(wǎng)關(guān)協(xié)議)控制器與邊界路由器ROl和 R02通過BGP協(xié)議建立IBGP(Internal Border Gateway Protocol,內(nèi)部邊界網(wǎng)關(guān)協(xié)議)關(guān) 系�;2、BGP控制器通過IBGP協(xié)議向ROl和R02發(fā)布一條攔截整個園區(qū)網(wǎng)地址塊不可 與外網(wǎng)通信的路由:ip route 192. 0. 0. 0/8null0 �;3、邊界路由器RO對Internet入流量做策略路由(Policy-based Routing)��,若入 流量源地址屬于mlP�����,則下一跳為R02 �;否則(源地址屬于sIP),下一跳為ROl�。放行和攔截客戶機去往外網(wǎng)所有地址sIP(參見圖1中的標(biāo)號①-⑤)1、客戶機向AAA服務(wù)器發(fā)出希望訪問外網(wǎng)的請求�,該請求包含客戶機的IP地址
4(192. 0. 0. 10),以及訪問外網(wǎng)地址的類別(sIP)�。2、) AAA服務(wù)器根據(jù)相關(guān)信息(如該IP是否被禁止出園區(qū)網(wǎng)����、擁有該IP的用戶是 否欠費等政策信息)確認該IP地址是否可以出園區(qū)網(wǎng)。若不能出園區(qū)網(wǎng)����,則將認證失敗消 息反饋給客戶機����,并結(jié)束��;若可以出園區(qū)網(wǎng)���,則AAA服務(wù)器通過消息機制告知BGP控制器“放 行”客戶機IP地址(192. 0. 0. 10)���,并告知BGP控制器該IP地址所要訪問的外網(wǎng)地址類別 (sIP)�����。3��、BGP控制器收到消息后��,通過IBGP協(xié)議�,向ROl和R02發(fā)布一條放行客戶機IP 地址的路由(ip route 192. 0. 0. 10/32next-hop Rl),使得去往客戶機IP地址的路由下一 跳為RKRl用于匯總園區(qū)網(wǎng)流量)�����。 4、此時�����,客戶機即可與外網(wǎng)任何地址進行通信�����。5��、當(dāng)客戶機結(jié)束通信時��,向AAA服務(wù)器發(fā)出退出請求��;或者AAA服務(wù)器希望強制攔 截客戶機與外網(wǎng)的通信時����,AAA服務(wù)器通過消息機制告知BGP控制器“攔截”客戶機IP地址 (192. 0. 0. 10)。6,BGP控制器收到消息后���,通過IBGP協(xié)議�,撤銷ROl和R02中與客戶機IP地址對 應(yīng)的路由no ip route 192. 0· 0. 10/32next_hop Rl���。7���、此時��,客戶機將無法再與外網(wǎng)進行通信��。放行和攔截客戶機去往外網(wǎng)免費地址mIP 1���、客戶機向AAA服務(wù)器發(fā)出希望訪問外網(wǎng)的請求,該請求包含客戶機的IP地址 (192. 0. 0. 10)��,以及訪問外網(wǎng)地址的類別(mIP)��。2�、AAA服務(wù)器根據(jù)相關(guān)信息確認該IP地址是否可以出園區(qū)網(wǎng)。若不能出園區(qū)網(wǎng)�����, 則將認證失敗消息反饋給客戶機��,并結(jié)束�;若可以出園區(qū)網(wǎng)�����,則AAA服務(wù)器通過消息機制告 知BGP控制器“放行”客戶機IP地址(192. 0. 0. 10),并告知BGP控制器該IP地址所要訪問 的外網(wǎng)地址類別(mIP)�。3、BGP控制器收到消息后��,通過IBGP協(xié)議���,向R02發(fā)布一條放行客戶機IP地址的 路由(ip route 192. 0. 0. 10/32next-hop Rl)����,使得從R02去往客戶機IP地址的路由下一 跳為Rl04����、此時,客戶機即可與外網(wǎng)屬于mIP的免費地址進行通信���。5��、當(dāng)客戶機結(jié)束通信時����,向AAA服務(wù)器發(fā)出退出請求���;或者AAA服務(wù)器希望強制攔 截客戶機與外網(wǎng)的通信時��,AAA服務(wù)器通過消息機制告知BGP控制器“攔截”客戶機IP地址 (192. 0. 0. 10)�����。6,BGP控制器收到消息后�,通過IBGP協(xié)議,撤銷R02中與客戶機IP地址對應(yīng)的路 由(no ip route 192.0.0.10/32next_hop Rl)�����。7����、此時,客戶機將無法再與外網(wǎng)任何地址進行通信����。BGP控制器死機的情況這種情況下,由于ROl和R02長時間無法與BGP控制器建立IBGP關(guān)系����,因此會自 動從各自的路由表中刪除BGP控制器發(fā)布給它的攔截整個園區(qū)網(wǎng)地址塊的路由���,即從路由 表中刪除“ip route 192. 0. 0. 0/8null0”���。此時���,整個園區(qū)網(wǎng)所有IP地址都可與外網(wǎng)任何 地址進行正常通信。因此��,BGP控制器的死機不會導(dǎo)致整個園區(qū)網(wǎng)無法訪問外網(wǎng)�。對于以上實施方式說明如下其只采用了最基本的路由廣播方式,通過其他方式(如community)也可實現(xiàn)類似效果�;其采用了 IBGP方式作為路由器與BGP控制器間的路 由交換協(xié)議,通過EBGP(External Border Gateway Protocol�,外部邊界網(wǎng)關(guān)協(xié)議)也可實 現(xiàn)類似效果;除了以上分類方式�,也可以將外網(wǎng)地址分為多個類別,如“國內(nèi)”和“全部”�����、“國 際”和“全部”���、“國內(nèi)”和“國際”�����、“商業(yè)”和“全部”��、“商業(yè)”和“非商業(yè)”��,以及以上分類的各 種組合�;其采用了 IPv4地址,通過IPv6地址也可實現(xiàn)類似效果���;采用了 IPv4保留地址���,該 地址僅作為示例使用,不涉及路由系統(tǒng)中的NAT及保留地址所具有的特別含義����;其中使用 的路由命令只是示意性命令,實際命令格式與具體路由器設(shè)備型號有關(guān)�;另外,認證服務(wù)器 和BGP控制器這兩部分的功能可以合并到一臺或分散到多臺設(shè)備上實現(xiàn)��。
以上實施方式僅用于說明本發(fā)明����,而并非對本發(fā)明的限制,有關(guān)技術(shù)領(lǐng)域的普通 技術(shù)人員����,在不脫離本發(fā)明的精神和范圍的情況下,還可以做出各種變化和變型�����,因此所有 等同的技術(shù)方案也屬于本發(fā)明的范疇�,本發(fā)明的專利保護范圍應(yīng)由權(quán)利要求限定。
權(quán)利要求
一種BGP分類網(wǎng)關(guān)設(shè)備���,其特征在于�,包括BGP控制器�����,是運行有BGP路由協(xié)議軟件的設(shè)備�����;認證服務(wù)器��,與所述BGP控制器建立有消息連接關(guān)系�����;n個邊界路由器,其中一個邊界路由器R0用于對外網(wǎng)接入流量做策略路由�����,另一個邊界路由器R1用于匯總內(nèi)網(wǎng)流量���,其余n 2個邊界路由器均分別與R0和R1連接�,且與所述BGP控制器建立有BGP連接關(guān)系����,其中,n≥4�����。
2.如權(quán)利要求1所述的BGP分類網(wǎng)關(guān)設(shè)備�����,其特征在于���,所述BGP連接關(guān)系為IBGP連 接關(guān)系或EBGP連接關(guān)系���。
3.如權(quán)利要求1所述的BGP分類網(wǎng)關(guān)設(shè)備�,其特征在于���,所述認證服務(wù)器為具有驗證用 戶身份功能的服務(wù)器�����。
4.如權(quán)利要求1所述的BGP分類網(wǎng)關(guān)設(shè)備,其特征在于���,η的取值與外網(wǎng)地址的類別個 數(shù)正相關(guān)��。
5.如權(quán)利要求1 4任一項所述的BGP分類網(wǎng)關(guān)設(shè)備�,其特征在于����,所述邊界路由器為 具有BGP路由功能的邊界路由器。
6.如權(quán)利要求5所述的BGP分類網(wǎng)關(guān)設(shè)備��,其特征在于�����,所述邊界路由器為實體路由 器��、虛擬路由器、同一實體或虛擬路由器中的不同BGP實例�,以及運行有BGP路由協(xié)議軟件 的服務(wù)器中的一種或多種。
7. 一種利用權(quán)利要求5所述的BGP分類網(wǎng)關(guān)設(shè)備來實現(xiàn)網(wǎng)關(guān)功能的方法��,其特征在于�, 通過增加和刪除所述BGP控制器中的路由表項,來間接控制所述邊界路由器中的路由表狀 態(tài)��,進而實現(xiàn)對所述邊界路由器中的網(wǎng)絡(luò)流量的調(diào)控����。
8.如權(quán)利要求7所述的方法,其特征在于�,在實現(xiàn)網(wǎng)關(guān)功能時,將所述外網(wǎng)地址分為以 下幾種類別中的一種免費地址和全部地址���、國內(nèi)地址和全部地址�、國際地址和全部地址����、 國內(nèi)地址和國際地址、商業(yè)地址和全部地址���,以及商業(yè)地址和非商業(yè)地址�����,或者上述類別的 任意組合��。
全文摘要
本發(fā)明公開了一種BGP分類網(wǎng)關(guān)設(shè)備及利用該設(shè)備實現(xiàn)網(wǎng)關(guān)功能的方法���,包括BGP控制器����;認證服務(wù)器���,與BGP控制器建立消息連接關(guān)系;n個邊界路由器���,一個R0用于對外網(wǎng)接入流量做策略路由�,另一個R1用于匯總內(nèi)網(wǎng)流量��,其余n-2個均與R0和R1連接���,且與BGP控制器建立BGP連接關(guān)系�����。本發(fā)明在BGP控制器與邊界路由器間建立BGP連接關(guān)系����,通過增加和刪除BGP控制器中的路由表項間接控制邊界路由器中的路由表狀態(tài),達到調(diào)控邊界路由器中網(wǎng)絡(luò)流量的目的�����,實現(xiàn)了專用網(wǎng)關(guān)設(shè)備功能��。避免了部署和升級昂貴的專用網(wǎng)關(guān)設(shè)備及串聯(lián)專用網(wǎng)關(guān)設(shè)備的單點故障導(dǎo)致的局域網(wǎng)無法訪問外網(wǎng)的問題�;出口鏈路的帶寬升級不會影響B(tài)GP控制器,也不會要求BGP控制器升級相應(yīng)的物理鏈路和處理能力��。
文檔編號H04L12/66GK101917414SQ20101023995
公開日2010年12月15日 申請日期2010年7月28日 優(yōu)先權(quán)日2010年7月28日
發(fā)明者李子木, 王繼龍 申請人:清華大學(xué)