多BGP路由实例并行执行的装置制造方法及图纸

本发明专利技术涉及网络空间安全防护技术领域，尤其涉及一种多BGP路由实例并行执行的装置，包括管理调度器、异常判决器、多个输入输出代理、多个端口和多个路由实例，端口连接至邻居路由器，所述每个端口上均设置一个输入输出代理，每个输入输出代理都与所有路由实例连接，输入输出代理用于对所有路由实例的输出和输入报文按照一定的策略进行过滤或者分发，所述路由实例为支持运行BGP协议的路由器或虚拟机，管理调度器与每个输入输出代理和每个路由实例连接，用于设定路由实例的角色，同时生成报文过滤和分发策略、并下发给各个输入输出代理，所述异常判决器与每个路由实例连接，用于读取每个路由实例的路由表，从而判决路由实例的路由表是否存在异常。

Device for concurrent execution of multiple BGP routing instances

The present invention relates to the field of Internet security protection technology, especially relates to a multi BGP routing instance parallel execution device, including management scheduler, abnormal decision device, a plurality of input and output agent, multiple ports and multiple routing examples, port connected to the neighbor router, wherein each port is arranged on an input and output agent each agent, input and output are connected with all routing examples, the input and output of all agents used to distribute routing examples of input and output messages according to some strategy to filter or the routing instance for support for running BGP router or virtual machine management, scheduler connection with each input and output of each agent and routing examples for setting routing instance role, and generate the packet filtering and distribution strategy, and sent to each input and output of the agent. An exception arbiter is connected to each routing instance to read a routing table for each routing instance, thereby determining whether an exception exists in the routing table of the routing instance.

【技术实现步骤摘要】
多BGP路由实例并行执行的装置
本专利技术涉及网络空间安全防护
，尤其涉及一种多BGP路由实例并行执行的装置。
技术介绍
BGP是一种路径矢量路由协议，用于传输自治系统间的路由信息。BGP在确定路径时考虑的不是速度，而是让自治域能够根据多种BGP属性来控制数据流的传输。BGP是面向连接的,一个BGP对等体之间是通过TCP来建立会话的。BGP在启动的时候传播整张路由表，以后只传播网络变化的部分，触发更新采用TCP连接传送信息，端口号为179。在Internet上，BGP需要通告的路由数目极大，由于TCP提供了可靠的传送机制，同时TCP使用滑动窗口机制，使得BGP可以不断地发送分组，而无需像OSPF或EIGRP那样停止发送并等待确认。BGP具有4种消息类型：Open、Keepalive、Update、Notification。其中Open报文用于TCP对话建立以后，邻居路由器相互标示自己，并通告自己的BGP运行参数。Keepalive报文主要用于邻居间的保活。Update消息用来公布可用的路由或撤销的路由。Notification报文主要用于通告差错，通常会导致BGP连接终止。实现多个路由实例的并行执行和单一呈现对于构建异构冗余的网络主动防御体系具有重要意义。所谓并行执行就是多个运行BGP协议的路由实例能够在装置中同时独立地运行，都能够接受邻居的路由更新报文，并各自维护各自的路由表。单一呈现就是多个并行执行的路由实例对外呈现为一个单一的路由节点，对于它们的邻居路由器来说，只能看到一个路由实例，而无法看到所有的路由实例及其它们之间的连接关系。通过并行执行和单一呈现，可以实现单个路由节点的特征动态变化，从而提高自身的抗攻击能力。
技术实现思路
鉴于此，本专利技术提供了一种在单一路由节点内同时运行多个BGP路由实例的方案，其中每个路由实例都能从邻居路由器学习路由表，但邻居路由器只能发现一个路由实例并与其建立连接，从而隐藏了本专利技术的多路由实例的特性。为了达到上述目的，本专利技术是通过以下技术方案实现的：一种多BGP路由实例并行执行的装置，其特征在于，所述装置包括多个可运行BGP协议的路由实例、输入输出代理、管理调度器、异常判决器，其中：所述路由实例可以是一个通用路由器，也可是一个能运行路由协议的虚拟机，所有路由实例必须支持运行BGP协议；所述输入输出代理，部署在本装置的每一个对外接口上，每个代理都与所有的路由实例相连，其功能是对所有路由实例的输出和输入报文按照一定的策略进行过滤或者分发；所述管理调度器是根据一定的调度策略，设定各个路由实例的角色，并生成报文过滤和分发策略，将其下发给各个输入输出代理；异常判决器可读取各个路由实例的路由表，并利用特定的比较算法对路由实例的路由表进行比对，从而判决某个特定的路由实例的路由表是否存在异常。在本装置中，多个路由实例的并行执行和单一呈现特性是通过输入输出代理的报文过滤和分发机制实现的。路由实例的并行执行特性要求每个路由实例都必须从邻居路由器学习路由；而单一呈现机制要求本装置对外呈现为一个单一的路由节点，因此只能与一个邻居建立一个连接，而不是多个连接。因此在本装置中，所有路由实例都不与邻居路由器直接建立连接，而是由输入输出代理与邻居路由器建立连接，各个路由实例分别与输入输出代理建立连接，对于路由实例和邻居路由器而言，输入输出代理是透明的。路由实例的角色分为两种，一种是呈现实例，一种是对照实例。呈现实例主要负责和邻居路由器进行路由信息交互，并负责转发策略的生成。在本装置内只能同时存在一个呈现实例。呈现实例对外发布的BGP路由信息将会被输入输出代理转发给邻居路由器。如果本装置中设置了单独的数据转发器，那呈现实例中的路由表将会以转发策略的形式下发给数据转发器；如果本装置中没有设置单独的数据转发器，那呈现实例的数据转发器将负责对流经装置的数据进行路由转发。对照实例用于对呈现实例的路由表进行异常判决，在本装置内可以同时存在多个对照实例。对照实例向外发出的任何报文都会被输入输出代理拦截，输入输出代理会把发送给呈现实例的BGP路由更新报文进行复制并转发给对照实例，使对照实例也能从邻居路由器学习路由信息。异常判决器将会读取各个对照实例的路由表，用于检查呈现实例的路由表是否存在异常。对照实例的路由表不会下发给数据转发器。在本装置中，输入输出代理的转发策略为：呈现实例向邻居路由器发送Open报文用于建立连接时，该报文将会被输入输出代理转发给邻居路由器，而对照实例发送的Open报文将全部被丢弃。邻居路由器回送的Open报文将被输入输出代理转发给所有的向外发送过Open报文的路由执行体。对于Keepalive、Update和Notification这3种类型的BGP报文，输入输出代理将会转发所有呈现实例发出报文，而所有对照实例发送的报文将全部被丢弃。邻居路由器发送的这3类报文将被输入输出代理复制并转发给所有路由实例。如果某个路由实例进行了重启或刚刚添加到本装置中，为了使该路由实例能够及时学习到路由，输入输出代理在检测到该路由实例进入established状态后，模拟路由实例的慢重启操作，向邻居路由器请求flush重发所有BGP路由信息，邻居路由器在收到flush请求后，将所有BGP路由打包为BGPUPDATA报文发送，该报文将会被输入输出代理转发给新启动的路由实例。如果装置的转发功能由呈现实例的转发器承担，那流经本装置的数据都将由发送给呈现实例，由呈现实例进行数据的路由转发，这些数据不会发送给对照实例。如果本装置加入的独立的转发器，那这些数据将发送给该转发器。管理调度器将按照随机的周期对各个路由实例的角色进行切换。角色切换时，某个对照实例将被选为呈现实例，原有的呈现实例将被设为对照实例。一旦通过异常判决器发现呈现实例的路由表存在异常，则立即触发角色切换。每次切换时都要由管理调度器生成新的报文过滤和分发策略，并下发给输入输出代理。本专利技术的有益效果是：本专利技术提供了一种在单一路由节点内同时运行多个BGP路由实例的方案，其中每个路由实例都能从邻居路由器学习路由表，但邻居路由器只能发现一个路由实例并与其建立连接，从而隐藏了本装置的多路由实例的特性。通过本装置的角色调度和异常判决功能，将异构冗余特性和对外呈现的不确定性引入到路由节点中，极大地降低针对路由节点未知漏洞、缺陷、陷门或后门侦察或攻击的有效性，提高了路由节点的主动防御能力。附图说明：图1为本专利技术实施例提供的一种多BGP路由实例并行执行的装置；图2为本专利技术实施例提供的一种具有独立转发器的多BGP路由实例并行执行的装置；图3为本专利技术实施例提供的一种多BGP路由实例并行执行的装置的IP设置示意图；具体实施方式：依照以下的附图详细说明关于本专利技术的示例性实施例。本专利技术实施例提供一种多BGP路由实例并行执行的装置，解决了如何在单一路由节点内并行运行多个BGP路由实例并实现单一呈现特性的问题。为了使本
的人员更好地理解本专利技术中的技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述。实施例一：如图1所示，本实施例提供了一种多BGP路由实例并行执行的装置。该装置可包含多个路由实例和端口，在本实例中共包括了3个路由实例和3个端口本文档来自技高网...

【技术保护点】
一种多BGP路由实例并行执行的装置，包括管理调度器、异常判决器、多个输入输出代理、多个端口和多个路由实例，端口连接至邻居路由器，其特征在于，所述每个端口上均设置一个输入输出代理，每个输入输出代理都与所有路由实例连接，输入输出代理用于对所有路由实例的输出和输入报文按照一定的策略进行过滤或者分发，所述路由实例为支持运行BGP协议的路由器或虚拟机，管理调度器与每个输入输出代理和每个路由实例连接，用于设定路由实例的角色，同时生成报文过滤和分发策略、并下发给各个输入输出代理，所述异常判决器与每个路由实例连接，用于读取每个路由实例的路由表，从而判决路由实例的路由表是否存在异常。

【技术特征摘要】
1.一种多BGP路由实例并行执行的装置，包括管理调度器、异常判决器、多个输入输出代理、多个端口和多个路由实例，端口连接至邻居路由器，其特征在于，所述每个端口上均设置一个输入输出代理，每个输入输出代理都与所有路由实例连接，输入输出代理用于对所有路由实例的输出和输入报文按照一定的策略进行过滤或者分发，所述路由实例为支持运行BGP协议的路由器或虚拟机，管理调度器与每个输入输出代理和每个路由实例连接，用于设定路由实例的角色，同时生成报文过滤和分发策略、并下发给各个输入输出代理，所述异常判决器与每个路由实例连接，用于读取每个路由实例的路由表，从而判决路由实例的路由表是否存在异常。2.根据权利要求1所述的多BGP路由实例并行执行的装置，其特征在于，所述路由实例的角色分为两种，分别为呈...

【专利技术属性】
技术研发人员：江逸茗，于婧，马海龙，张风雨，李晨晖，李艳捷，
申请(专利权)人：上海红阵信息科技有限公司，国家数字交换系统工程技术研究中心，
类型：发明
国别省市：上海,31