多BGP路由实例并行执行的装置的制作方法

本发明涉及网络空间安全防护技术领域，尤其涉及一种多BGP路由实例并行执行的装置。

背景技术：

BGP 是一种路径矢量路由协议，用于传输自治系统间的路由信息。BGP 在确定路径时考虑的不是速度，而是让自治域能够根据多种BGP属性来控制数据流的传输。BGP 是面向连接的, 一个BGP对等体之间是通过TCP来建立会话的。BGP 在启动的时候传播整张路由表，以后只传播网络变化的部分，触发更新采用 TCP 连接传送信息，端口号为 179。在 Internet 上，BGP 需要通告的路由数目极大，由于 TCP 提供了可靠的传送机制，同时 TCP 使用滑动窗口机制，使得 BGP 可以不断地发送分组，而无需像 OSPF 或 EIGRP 那样停止发送并等待确认。

BGP 具有 4 种消息类型：Open、Keepalive、Update、Notification。其中Open报文用于TCP 对话建立以后，邻居路由器相互标示自己，并通告自己的 BGP 运行参数。Keepalive报文主要用于邻居间的保活。Update消息用来公布可用的路由或撤销的路由。Notification报文主要用于通告差错，通常会导致BGP连接终止。

实现多个路由实例的并行执行和单一呈现对于构建异构冗余的网络主动防御体系具有重要意义。所谓并行执行就是多个运行BGP协议的路由实例能够在装置中同时独立地运行，都能够接受邻居的路由更新报文，并各自维护各自的路由表。单一呈现就是多个并行执行的路由实例对外呈现为一个单一的路由节点，对于它们的邻居路由器来说，只能看到一个路由实例，而无法看到所有的路由实例及其它们之间的连接关系。通过并行执行和单一呈现，可以实现单个路由节点的特征动态变化，从而提高自身的抗攻击能力。

技术实现要素：

鉴于此，本发明提供了一种在单一路由节点内同时运行多个BGP路由实例的方案，其中每个路由实例都能从邻居路由器学习路由表，但邻居路由器只能发现一个路由实例并与其建立连接，从而隐藏了本发明的多路由实例的特性。

为了达到上述目的，本发明是通过以下技术方案实现的：

一种多BGP路由实例并行执行的装置，其特征在于，所述装置包括多个可运行BGP协议的路由实例、输入输出代理、管理调度器、异常判决器，其中：

所述路由实例可以是一个通用路由器，也可是一个能运行路由协议的虚拟机，所有路由实例必须支持运行BGP协议；

所述输入输出代理，部署在本装置的每一个对外接口上，每个代理都与所有的路由实例相连，其功能是对所有路由实例的输出和输入报文按照一定的策略进行过滤或者分发；

所述管理调度器是根据一定的调度策略，设定各个路由实例的角色，并生成报文过滤和分发策略，将其下发给各个输入输出代理；

异常判决器可读取各个路由实例的路由表，并利用特定的比较算法对路由实例的路由表进行比对，从而判决某个特定的路由实例的路由表是否存在异常。

在本装置中，多个路由实例的并行执行和单一呈现特性是通过输入输出代理的报文过滤和分发机制实现的。路由实例的并行执行特性要求每个路由实例都必须从邻居路由器学习路由；而单一呈现机制要求本装置对外呈现为一个单一的路由节点，因此只能与一个邻居建立一个连接，而不是多个连接。因此在本装置中，所有路由实例都不与邻居路由器直接建立连接，而是由输入输出代理与邻居路由器建立连接，各个路由实例分别与输入输出代理建立连接，对于路由实例和邻居路由器而言，输入输出代理是透明的。

路由实例的角色分为两种，一种是呈现实例，一种是对照实例。

呈现实例主要负责和邻居路由器进行路由信息交互，并负责转发策略的生成。在本装置内只能同时存在一个呈现实例。呈现实例对外发布的BGP路由信息将会被输入输出代理转发给邻居路由器。如果本装置中设置了单独的数据转发器，那呈现实例中的路由表将会以转发策略的形式下发给数据转发器；如果本装置中没有设置单独的数据转发器，那呈现实例的数据转发器将负责对流经装置的数据进行路由转发。

对照实例用于对呈现实例的路由表进行异常判决，在本装置内可以同时存在多个对照实例。对照实例向外发出的任何报文都会被输入输出代理拦截，输入输出代理会把发送给呈现实例的BGP路由更新报文进行复制并转发给对照实例，使对照实例也能从邻居路由器学习路由信息。异常判决器将会读取各个对照实例的路由表，用于检查呈现实例的路由表是否存在异常。对照实例的路由表不会下发给数据转发器。

在本装置中，输入输出代理的转发策略为：

呈现实例向邻居路由器发送Open报文用于建立连接时，该报文将会被输入输出代理转发给邻居路由器，而对照实例发送的Open报文将全部被丢弃。邻居路由器回送的Open报文将被输入输出代理转发给所有的向外发送过Open报文的路由执行体。

对于Keepalive、Update和Notification这3种类型的BGP报文，输入输出代理将会转发所有呈现实例发出报文，而所有对照实例发送的报文将全部被丢弃。邻居路由器发送的这3类报文将被输入输出代理复制并转发给所有路由实例。

如果某个路由实例进行了重启或刚刚添加到本装置中，为了使该路由实例能够及时学习到路由，输入输出代理在检测到该路由实例进入established状态后，模拟路由实例的慢重启操作，向邻居路由器请求flush重发所有BGP路由信息，邻居路由器在收到flush请求后，将所有BGP路由打包为BGP UPDATA报文发送，该报文将会被输入输出代理转发给新启动的路由实例。

如果装置的转发功能由呈现实例的转发器承担，那流经本装置的数据都将由发送给呈现实例，由呈现实例进行数据的路由转发，这些数据不会发送给对照实例。如果本装置加入的独立的转发器，那这些数据将发送给该转发器。

管理调度器将按照随机的周期对各个路由实例的角色进行切换。角色切换时，某个对照实例将被选为呈现实例，原有的呈现实例将被设为对照实例。一旦通过异常判决器发现呈现实例的路由表存在异常，则立即触发角色切换。每次切换时都要由管理调度器生成新的报文过滤和分发策略，并下发给输入输出代理。

本发明的有益效果是：

本发明提供了一种在单一路由节点内同时运行多个BGP路由实例的方案，其中每个路由实例都能从邻居路由器学习路由表，但邻居路由器只能发现一个路由实例并与其建立连接，从而隐藏了本装置的多路由实例的特性。通过本装置的角色调度和异常判决功能，将异构冗余特性和对外呈现的不确定性引入到路由节点中，极大地降低针对路由节点未知漏洞、缺陷、陷门或后门侦察或攻击的有效性，提高了路由节点的主动防御能力。

附图说明：

图1为本发明实施例提供的一种多BGP路由实例并行执行的装置；

图2为本发明实施例提供的一种具有独立转发器的多BGP路由实例并行执行的装置；

图3为本发明实施例提供的一种多BGP路由实例并行执行的装置的IP设置示意图；

具体实施方式：

依照以下的附图详细说明关于本发明的示例性实施例。

本发明实施例提供一种多BGP路由实例并行执行的装置，解决了如何在单一路由节点内并行运行多个BGP路由实例并实现单一呈现特性的问题。

为了使本技术领域的人员更好地理解本发明中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

实施例一：如图1所示，本实施例提供了一种多BGP路由实例并行执行的装置。该装置可包含多个路由实例和端口，在本实例中共包括了3个路由实例和3个端口，每个端口上设置1个输入输出代理，此外还包括1个管理调度器和1个异常判决器，没有设置独立的数据转发器。

装置的端口与BGP路由实例的端口数量一致且一一对应，输入输出代理将收到的BGP报文与其他报文分开处理，BGP报文分发给各个路由实例，其他数据交由呈现实例进行路由转发。对于输出数据，如果是对照实例发送的BGP报文，则输入输出代理将其丢弃，如果是呈现实例发送的BGP报文，则输入输出代理将BGP负载进行复制，然后用其与邻居路由器之间建立的TCP套接字发送出去。对于呈现实例输出的非BGP报文，则直接转发给邻居路由器。

本发明IP设置方法如图3所示，本发明所述装置中的输入输出代理与各个BGP路由实例之间需要对各端口的IP进行特别设置。输入输出代理作为邻居路由器和BGP路由实例之间的TCP代理，配置有两种地址：IP-router和IP-broker。IP-router是输入输出代理面向邻居路由器的地址，也是整个装置对外呈现给邻居路由器的IP地址，输入输出代理基于该地址维护与邻居路由器的BGP链接。IP-broker是输入输出代理面向各个BGP路由实例的地址，输入输出代理基于该地址与各个路由实例建立BGP链接，IP-broker是本装置的内部地址，不对外呈现。

对邻居路由器发送给路由实例的BGP报文，输入输出代理需要替换该报文中的IP地址，将源IP由IP-neighbor替换为IP-broker，目的IP由IP-router替换为各个路由实例的IP，也就是IP-instance；重新配置IP头部与原有BGP负载组成新报文，并发往各个BGP路由实例；对呈现实例发给邻居路由器的BGP报文，输入输出代理将该报文的源IP改为IP-router，目的IP不变。

实施例二，如图2所示，本实施例与实施例一基本相同，不同之处在于，所述多BGP路由实例并行执行的装置中还包括转发器，转发器分别与每个输入输出代理和每个路由实例相连。根据“转发与控制分离”的思想，提供了一种具有独立转发器的多BGP路由实例并行执行装置。独立的转发器只负责非路由报文的转发，不负责生成路由表项。呈现实例的路由表将会被转化为转发策略，并下发给转发器。输入输出代理会对输入的报文进行分类，BGP报文将被分发给各个路由实例，而其他报文将会发送给转发器，由转发器进行路由转发。

以上所述仅为本发明示意性的具体实施方式，并非用以限定本发明的范围，任何本领域的技术人员在不脱离本发明构思和原则的前提下所做出的等同变化与修改，均应属于本发明保护的范围。