一种网关装置的制作方法
本发明实施例涉及通信领域,尤其涉及一种网关装置。
背景技术:
nfv(networkfunctionvirtualization,网络功能虚拟化)的目标是通过改进行业标准的服务器、存储和网络设备,来取代私有专用的网元设备。nfv架构有两个优点,其一是标准设备成本低廉,能够节省巨大的投资成本;其二是开放api接口,能够获得更灵活的网络能力。nfv是电信级设备发展的趋势,因此,为了适用nfv技术带来的挑战,传统的电信级设备需要进行nfv功能改造。
smallcell小基站系统作为新兴的电信级设备形态,包含smallcell和smallcell网关,smallcell通过smallcell网关再接入到核心网。而目前,对于smallcell网关的组网实现仍是通过设置专用硬件,还尚不存在一种nfv架构下的多制式smallcell网关。
技术实现要素:
本发明实施例提供了一种网关装置,用以解决现有技术中尚不存在的一种nfv架构下的多制式smallcell网关的技术问题。
本发明实施例提供一种网关装置,包括:
主交换机;
主计算节点,与所述主交换机连接及基站连接;
主控制节点,与所述主交换机连接,用于控制所述主计算节点;
其中,所述主计算节点上运行至少一个第一虚拟机,所述基站能够通过所述至少一个第一虚拟机包括的具有安全网关功能的第一模块和具有信令网关功能的第二模块,接入至与所述主计算节点连接的核心网。
可选的,所述第一模块包括:
鉴权模块,用于对所述基站发送的接入请求消息进行鉴权;
加解密模块,与所述鉴权模块连接,用于在所述鉴权模块对所述接入请求消息进行鉴权后,对上行数据进行解密,获得解密数据;及对下行数据进行加密,获得加密数据;
转发模块,与所述加解密模块连接,用于将所述解密数据发送给所述第二模块;及将所述加密数据发送给所述基站。
可选的,所述第一模块用于:
汇聚并解析上行数据中的上行业务数据;及将所述上行业务数据发送给所述核心网;或
汇聚并解析下行数据中的下行业务数据;及将所述下行业务数据发送给所述基站。
可选的,所述第二模块用于:
汇聚并解析上行数据中的用户信令数据;及将所述用户信令数据发送给所述核心网;或
汇聚并解析与所述用户信令数据对应的响应信令数据;及将所述响应信令数据发送给所述基站。
可选的,所述第一模块和所述第二模块之间通过虚拟网络连接。
可选的,所述第一模块为具有多制式安全网关功能的模块和/或所述第二模块为具有多制式信令网关功能的模块。
可选的,所述装置还包括:
至少一套备用装置,所述至少一套备用装置中的每套备用装置包括:
备交换机;
备计算节点,与所述备交换机连接及所述基站连接;
备控制节点,与所述备交换机连接,用于控制所述备计算节点;
其中,所述备计算节点上运行至少一个第二虚拟机,所述基站能够通过所述至少一个第二虚拟机包括的具有安全网关功能的第三模块和具有信令网关功能的第四模块,接入至所述核心网。
可选的,所述备交换机和所述主交换机之间通过绑定连接模式连接。
可选的,所述至少一个第一虚拟机还包括:
配置链路检测模块,用于检测所述第一模块和所述第二模块之间的连接是否存在异常。
可选的,所述第一模块还用于:
在所述配置链路检测模块检测所述第一模块和所述第二模块之间的连接存在异常时,向所述至少一个第二虚拟机发送状态切换消息,以使所述至少一个第二虚拟机由备用状态切换为主用状态;
其中,所述主用状态为所述至少一个第二虚拟机处于运行的状态,所述备用状态为所述至少一个第二虚拟机处于非运行的状态。
本发明实施例中提供了一种网关装置,包括:主交换机;主计算节点,与所述主交换机及基站连接;主控制节点,与所述主交换机连接,用于控制所述主计算节点;其中,所述主计算节点上运行至少一个第一虚拟机,所述基站能够通过所述至少一个第一虚拟机包括的具有安全网关功能的第一模块和具有信令网关功能的第二模块,接入至与所述主计算节点连接的核心网。本发明实施例中,通过主计算节点上运行的具有信令网关功能和安全网关功能的虚拟机,实现smallcell的接入,无需像现有技术中需要布置专用硬件,进而实现网关功能的软件处理,以降低网络昂贵的设备成本。所以,通过本发明提供的技术方案,不仅实现了nfv架构下的多制式smallcell网关,而且能够达到降低网络昂贵的设备成本的技术效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍。
图1为现有技术中小基站网关的结构示意图;
图2为本发明实施例提供了一种网关装置的结构示意图;
图3为本发明实施例提供了一种网关装置实现汇聚的示意图;
图4为本发明实施例提供的1+1备份网关装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
为了更好的理解本方案,首先介绍现有技术中小基站网关的组网方案,请参考图1,小基站以基于lte(longtermevolution,长期演进)为例,小基站网关是一个位于核心网边界的网元,从epc(evolvedpacketcore,演进的分组核心网络)来看,网关相当于一个enodeb。从小基站角度看,网关相当于一个epc网络。小基站既可以向宏基站一样接入到核心网,也可以经小基站网关再接入到核心网。
图2示例性示出了本发明实施例提供的一种网关装置,包括:
主交换机201;
主计算节点202,与所述主交换机及基站连接;
主控制节点203,与所述主交换机连接,用于控制所述主计算节点;
其中,所述主计算节点202上运行至少一个第一虚拟机,所述基站能够通过所述至少一个第一虚拟机包括的具有安全网关功能的第一模块和具有信令网关功能的第二模块,接入至与所述主计算节点连接的核心网。
在本发明实施例中,基站具体为nano-cell、femtocell、smallcell架构的微型基站,且该基站可以为不同制式的基站,如:2g(the2ndgeneration,第二代通信系统)、3g(the3rdgeneration,第三代通信系统)或4g(the4thgeneration,第四代通信系统),或者为其它制式的基站。在本发明实施例中,基站的个数可以为1个、2个或3个,或者为其它数量,本领域普通技术人员可以根据实际需要进行设置,在本发明实施例中不作具体限定。
在本发明实施例中,基站可以通过主交换机与主计算节点连接;也可以直接与主计算节点连接;或者通过外部交换机与主计算节点连接,本领域普通技术人员可以根据实际需要进行设置,在本发明实施例中不作具体限定。
在本发明实施例中,若主交换机为三层交换机,主控制节点、主计算节点、则能通过三层交换机通信,主控制节点和主计算节点上均安装了openstack服务,且在主计算节点上启动有至少一个第一虚拟机,包括:具有安全网关功能的第一模块和具有信令网关功能的第二模块。
在本发明实施例中,主计算节点可以为1个、2个或3个,本领域普通技术人员可以根据实际需要进行设置,在本发明实施例中不作具体限定。
相应的,在一个主计算节点上的第一虚拟机数量为1个时,具有安全网关功能的第一模块和具有信令网关功能的第二模块都位于该第一虚拟机上;当第一虚拟机数量为2个,即包括第一第一虚拟机和第二第一虚拟机时,具有安全网关功能的第一模块在第一第一虚拟机上,具有信令网关功能的第二模块则在第二第一虚拟机上,当第一虚拟机数量为多个时,本领域普通技术人员可以根据实际需要进行设置,在本发明实施例中不作限定。
在本发明实施例中,基站通过虚拟机上具有安全网关功能的第一模块和具有信令网关功能的第二模块接入至核心网,无需像现有技术需要布置专用硬件,进而实现功能的软件处理,以降低网络昂贵的设备成本。
在本发明实施例中,核心网可以通过主交换机与主计算节点连接;也可以直接与主计算节点连接;或者通过外部交换机与主计算节点连接,本领域普通技术人员可以根据实际需要进行设置,在本发明实施例中不作具体限定。
进一步,在本发明实施例中,所述第一模块包括:
鉴权模块,用于对所述基站发送的接入请求消息进行鉴权;
加解密模块,与所述鉴权模块连接,用于在所述鉴权模块对所述接入请求消息进行鉴权后,对上行数据进行解密,获得解密数据;及对下行数据进行加密,获得加密数据;
转发模块,与所述加解密模块连接,用于将所述解密数据发送给所述第二模块;及将所述加密数据发送给所述基站。
在具体实现过程中,第一模块包括鉴权模块,用于对基站进行鉴权和认证,控制连接合法的基站。在本发明实施例中,可以通过设定特定ip、udp端口号、接入id、密钥以及鉴权算法等对基站完成鉴权和合法性检测。
在本发明实施例中,在完成对基站的鉴权之后,则表明该基站为合法接入,在该情况下,在接收到由基站发送的上行数据时,则根据鉴权约定加解密方法进行解密,然后按照约定的方法通过转发模块发送给第二模块;在接收到由核心网发送的下行数据时,则按照虚拟机与基站约定的加解密算法进行加密,然后按照约定的方法将加密数据发送给基站。其中,转发模块,一定是在保护网段内的数据包才会被转发,必须是满足指定规则的数据包才会被转发给上行或是下行网元。
相应的,在本发明实施例中,在第一模块完成对基站的鉴权之后,则会给基站分配内部ip,基站将小区建立消息封装一层esp(encapsulatingsecuritypayload,封装安全负载)加密消息,通过主交换机转发给第一模块。在第一模块接收到合法的esp包之后,解密出明文的小区建立消息再转发给具有信令网关功能的第二模块,第二模块根据参数配置决定是否允许该制式基站接入到后续的核心网。
在本发明实施例中,上面是从微观角度对第一模块和第二模块的功能进行描述,下面则从宏观角度第一模块和第二模块的功能进行描述,具体的,所述第一模块用于:
汇聚并解析上行数据中的上行业务数据;及将所述上行业务数据发送给所述核心网;或
汇聚并解析下行数据中的下行业务数据;及将所述下行业务数据发送给所述基站。
在本发明实施例中,对于上行方向,第一模块用于对基站发送的上行业务数据按照约定的方法进行汇聚,并转发给对应的核心网;对于下行方向,用于对核心网发送的下行业务数据按照约定方法转发到正确的基站。
用户面汇聚能够对基站及所服务的用户进行标识,用于正确转发上下行业务数据。
相应的,所述第二模块用于:
汇聚并解析上行数据中的用户信令数据;及将所述用户信令数据发送给所述核心网;或
汇聚并解析与所述用户信令数据对应的响应信令数据;及将所述响应信令数据发送给所述基站。
在本发明实施例中,对于上行方向,第二模块用于对基站发送的用户信令数据按照约定的方法进行汇聚,并转发给对应的核心网;对于下行方向,对核心网发送的响应信令数据,按照约定的方法转发到正确的基站。
信令面汇聚能够对基站及所服务的用户进行标识,用于正确转发上下行信令数据。
具体的,请参考图3,主交换机左侧的实线双向箭头标明了基站侧的信令汇聚,先从基站发起信令请求消息,然后通过主交换机达到具有安全网关功能的第一模块进行鉴权解密,第一模块解密后根据其通道类型和目的ip地址,发送给具有信令网关功能的第二模块处理,第二模块根据协议类型及端口号,区分不同制式的基站,并根据对应的信令协议进行处理;主交换机右侧的实线双向箭头标明了经过具有信令网关功能的第二模块汇聚后的用户信令数据转发给核心网。
在本发明实施例中,具有信令网关功能的第二模块汇聚用户信令数据,对用户信令数据进行解析,将用户信令数据的源ip修改为网关装置的ip地址,将目标ip修改为核心网设备mme(mobilitymanagemententity,移动性管理实体)网元的ip地址,并将用户信令数据发送至核心网。这样,网关装置连接的各个基站与核心网之间只需建立一条信令链路,核心网无需分别与各个基站都建立信令链路,这就极大地较少了信令链路数量。
相应的,继续参考图3,主交换机左侧的虚线双向箭头标明了基站侧的数据汇聚,先从基站发起数据转发请求,然后通过主交换机达到具有安全信令网关功能的第一模块进行鉴权解密;主交换机右侧的虚线双向箭头标明了经过第一模块汇聚后的上行业务数据转发给核心网。
在本发明实施例中,对于下行业务数据及下行用户信令数据的汇聚过程与上行业务数据及下行用户信令数据类似,在此就不再一一赘述。
进一步,在本发明实施例中,所述第一模块和所述第二模块之间通过虚拟网络连接。
在本发明实施例中,第一模块和第二模块之间通过虚拟网络连接,不需要物理连线也不需要人工配置网络隔离,即可利用虚拟架构自带的虚拟网络转发用户信令数据,能够达到更加安全可靠的技术效果。
进一步,在本发明实施例中,所述第一模块为具有多制式安全网关功能的模块和/或所述第二模块为具有多制式信令网关功能的模块。
在本发明实施例中,第一模块为具有多制式安全网关功能的模块,第二模块为具有多制式信令网关功能的模块,如:2g、3g、4g或者为其它制式。
具有多制式安全网关功能的第一模块,能够支持不同制式的基站接入,满足不同制式的安全需求。能够支持不同qos服务质量级别的数据转发,能够根据制定的过滤规则转发需要的数据包,丢弃不需要的数据包。
具有多制式信令网关功能的第二模块,能够分析处理不同制式基站发送的信令请求消息,并且做出对应的响应给基站;能够主动发起信令请求消息并转发上层用户的信令消息给核心网。
进一步,在本发明实施例中,第一模块和第二模块之间可以为一一对应的关系,也可以为一对二、一对多、多对一或多对多等,或者为其它对应的数量关系,本领域普通技术人员可以根据实际需要进行设置,在本发明实施例中不作具体设置。
在本发明实施例中,为了保证在主控制节点、主计算节点出现异常时,基站仍能够正常接入到核心网,请参考图4,所述装置还包括:
至少一套备用装置,所述至少一套备用装置中的每套备用装置包括:
备交换机;
备计算节点,与所述备交换机及所述基站连接;
备控制节点,与所述备交换机连接,用于控制所述备计算节点;
其中,所述备计算节点上运行至少一个第二虚拟机,所述基站能够通过所述至少一个第二虚拟机包括的具有安全网关功能的第三模块和具有信令网关功能的第四模块,接入至所述核心网。
在本发明实施例中,基站可以通过备交换机与备计算节点连接;也可以直接与备计算节点连接;或者通过外部交换机与主计算节点连接,本领域普通技术人员可以根据实际需要进行设置,在本发明实施例中不作具体限定。
相应的,核心网可以通过备交换机与备计算节点连接,也可以直接与备计算节点连接,或者通过外部交换机与备计算节点连接,本领域普通技术人员可以根据实际需要进行设置,在本发明实施例中不作具体限定。
进一步,所述备交换机和所述主交换机之间通过绑定连接模式连接。
在本发明实施例中,还包括备用装置,备用装置可以为一套、两套或者为三套,本领域普通技术人员可以根据实际需要进行设置,在本发明实施例中不作具体限定。
在本发明实施例,备用装置以一套为例,其包括:备交换机,备交换机与主交换机之间通过绑定连接模式连接。即在主交换机宕机之后还能用备交换机工作,所有数据会直接备份切换到正常工作的备交换机上。备交换机上面的管理网络、数据网络和外部网络都用vlan隔开,并且预留一部分trunk口给虚拟机走数据网络。
进一步,备用装置还包括:备控制节点,备控制节点连接到备交换机上,备控制节点上的管理网络、数据网络的端口均连接到备交换机上;在备计算节点上运行有至少一个第二虚拟机,至少一个第二虚拟机包括具有安全网关功能的第三模块和具有信令网关功能的第四模块。
在本发明实施例中,备用装置中备计算节点上启动的第二虚拟机数量为1个时,具有安全网关功能的第三模块和具有信令网关功能的第四模块都位于该第二虚拟机上;当第二虚拟机数量为2个,即第一第二虚拟机和第二第二虚拟机时,具有安全网关功能的第三模块在第一第二虚拟机上,具有信令网关功能的第四模块则在第二第二虚拟机上,当第二虚拟机数量为多个时,本领域普通技术人员可以根据实际需要进行设置,在本发明实施例中不作限定。
在本发明实施例中,在何时进行切换,即切换至备用装置,在本发明实施例中,所述至少一个第一虚拟机还包括:
配置链路检测模块,用于检测所述第一模块和所述第二模块之间的连接是否存在异常。
在本发明实施例中,当主计算节点仅包含一个第一虚拟机时,配置链路检测模块、第一模块、第二模块则位于该第一虚拟机上;当主计算节点包含两个,如:包括:第一第一虚拟机、第二第一虚拟机两个第一虚拟机时,第一模块在第一第一虚拟机上,第二模块在第二第一虚拟机上,并分别配置链路检测模块于第一第一虚拟机及第二第一虚拟机上,本领域普通技术人员可以根据实际需要进行设置,在本发明实施例中不作具体限定。
在具体实现过程中,第一模块通过配置链路检测模块检测第一模块和第二模块之间的虚拟网络连接是否正常,以实现业务无缝切换,而不影响原有的业务进行。
进一步,在本发明实施例中,当配置链路检测模块确定第一模块和第二模块之间的连接存在异常时,所述第一模块还用于:
在所述配置链路检测模块检测所述第一模块和所述第二模块之间的连接存在异常时,向所述至少一个第二虚拟机发送状态切换消息,以使所述至少一个第二虚拟机由备用状态切换为主用状态;
其中,所述主用状态为所述至少一个第二虚拟机处于运行的状态,所述备用状态为所述至少一个第二虚拟机处于非运行的状态。
在具体实现过程中,当第一模块和第二模块之间的虚拟网络连接存在异常时,第一模块则向至少一个第二虚拟机发送状态切换消息,以控制至少一个第二虚拟机由备用状态切换至主用状态,从而主计算节点的至少一个第一虚拟机都切换至至少一个第二虚拟机中。
从上述内容可看出:本发明实施例中提供了一种网关装置,包括:主交换机;主计算节点,与所述主交换机及基站连接;主控制节点,与所述主交换机连接,用于控制所述主计算节点;其中,所述主计算节点上运行至少一个第一虚拟机,所述基站能够通过所述至少一个第一虚拟机包括的具有安全网关功能的第一模块和具有信令网关功能的第二模块,接入至与所述主计算节点连接的核心网。本发明实施例中,通过主计算节点上运行的具有信令网关功能和安全网关功能的虚拟机,实现smallcell的接入,无需像现有技术中需要布置专用硬件,进而实现网关功能的软件处理,以降低网络昂贵的设备成本。所以,通过本发明提供的技术方案,不仅实现了nfv架构下的多制式smallcell网关,而且能够达到降低网络昂贵的设备成本的技术效果。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
- 还没有人留言评论。精彩留言会获得点赞!