[发明专利]多BGP路由实例并行执行的装置

说明书

技术领域

本发明涉及网络空间安全防护技术领域，尤其涉及一种多BGP路由实例并行执行的装置。

背景技术

BGP 是一种路径矢量路由协议，用于传输自治系统间的路由信息。BGP 在确定路径时考虑的不是速度，而是让自治域能够根据多种BGP属性来控制数据流的传输。BGP 是面向连接的, 一个BGP对等体之间是通过TCP来建立会话的。BGP 在启动的时候传播整张路由表，以后只传播网络变化的部分，触发更新采用 TCP 连接传送信息，端口号为 179。在 Internet 上，BGP 需要通告的路由数目极大，由于 TCP 提供了可靠的传送机制，同时 TCP 使用滑动窗口机制，使得 BGP 可以不断地发送分组，而无需像 OSPF 或 EIGRP 那样停止发送并等待确认。

BGP 具有 4 种消息类型：Open、Keepalive、Update、Notification。其中Open报文用于TCP 对话建立以后，邻居路由器相互标示自己，并通告自己的 BGP 运行参数。Keepalive报文主要用于邻居间的保活。Update消息用来公布可用的路由或撤销的路由。Notification报文主要用于通告差错，通常会导致BGP连接终止。

实现多个路由实例的并行执行和单一呈现对于构建异构冗余的网络主动防御体系具有重要意义。所谓并行执行就是多个运行BGP协议的路由实例能够在装置中同时独立地运行，都能够接受邻居的路由更新报文，并各自维护各自的路由表。单一呈现就是多个并行执行的路由实例对外呈现为一个单一的路由节点，对于它们的邻居路由器来说，只能看到一个路由实例，而无法看到所有的路由实例及其它们之间的连接关系。通过并行执行和单一呈现，可以实现单个路由节点的特征动态变化，从而提高自身的抗攻击能力。

发明内容

鉴于此，本发明提供了一种在单一路由节点内同时运行多个BGP路由实例的方案，其中每个路由实例都能从邻居路由器学习路由表，但邻居路由器只能发现一个路由实例并与其建立连接，从而隐藏了本发明的多路由实例的特性。

为了达到上述目的，本发明是通过以下技术方案实现的：

一种多BGP路由实例并行执行的装置，其特征在于，所述装置包括多个可运行BGP协议的路由实例、输入输出代理、管理调度器、异常判决器，其中：

所述路由实例可以是一个通用路由器，也可是一个能运行路由协议的虚拟机，所有路由实例必须支持运行BGP协议；

所述输入输出代理，部署在本装置的每一个对外接口上，每个代理都与所有的路由实例相连，其功能是对所有路由实例的输出和输入报文按照一定的策略进行过滤或者分发；

所述管理调度器是根据一定的调度策略，设定各个路由实例的角色，并生成报文过滤和分发策略，将其下发给各个输入输出代理；

异常判决器可读取各个路由实例的路由表，并利用特定的比较算法对路由实例的路由表进行比对，从而判决某个特定的路由实例的路由表是否存在异常。

在本装置中，多个路由实例的并行执行和单一呈现特性是通过输入输出代理的报文过滤和分发机制实现的。路由实例的并行执行特性要求每个路由实例都必须从邻居路由器学习路由；而单一呈现机制要求本装置对外呈现为一个单一的路由节点，因此只能与一个邻居建立一个连接，而不是多个连接。因此在本装置中，所有路由实例都不与邻居路由器直接建立连接，而是由输入输出代理与邻居路由器建立连接，各个路由实例分别与输入输出代理建立连接，对于路由实例和邻居路由器而言，输入输出代理是透明的。

路由实例的角色分为两种，一种是呈现实例，一种是对照实例。

呈现实例主要负责和邻居路由器进行路由信息交互，并负责转发策略的生成。在本装置内只能同时存在一个呈现实例。呈现实例对外发布的BGP路由信息将会被输入输出代理转发给邻居路由器。如果本装置中设置了单独的数据转发器，那呈现实例中的路由表将会以转发策略的形式下发给数据转发器；如果本装置中没有设置单独的数据转发器，那呈现实例的数据转发器将负责对流经装置的数据进行路由转发。

对照实例用于对呈现实例的路由表进行异常判决，在本装置内可以同时存在多个对照实例。对照实例向外发出的任何报文都会被输入输出代理拦截，输入输出代理会把发送给呈现实例的BGP路由更新报文进行复制并转发给对照实例，使对照实例也能从邻居路由器学习路由信息。异常判决器将会读取各个对照实例的路由表，用于检查呈现实例的路由表是否存在异常。对照实例的路由表不会下发给数据转发器。

在本装置中，输入输出代理的转发策略为：