基于单个上网行为管理设备的上网行为管控系统及方法与流程

1.本发明涉及上网行为管控技术领域，具体涉及一种基于单个上网行为管理设备的上网行为管控系统及方法。


背景技术：

2.上网行为设备ha高可用性分为“主备模式”和“主主模式”。在实践部署中，需要结合网络架构认真评估应用：
3.主备模式，指主机处理所有业务，并将产生的配置及会话信息传输到备机进行备份；备机不处理业务，只用做备份。当主机故障，备机接替主机处理业务，厂商推荐在路由模式下使用，可实现上网行为设备的所有的功能。
4.主主模式，指多台设备都处理业务流量，主控将配置同步到所有节点，主控与各节点之间相互同步会话信息。当主控故障，将无法更改设备配置，厂商推荐在网桥模式下使用，可实现上网行为设备的大部分功能。
5.基于上网行为设备ha高可用性的两种模式，厂商指导组网构图如图1所示，厂商指导图和实践应用发现以下问题：
6.1)、厂商侧重于上网行为设备数量的推广应用，忽略了网络核心的负载冗余能力，整体网络数据交换能力偏低；
7.2)、上网行为设备主备模式产出比低，投入的多台设备成本高，可管控的用户数量却与单台设备一致不变；
8.3)、主主模式可实现可管控的用户数量成倍叠加，但在同等用户数量的情况下，多台中端或低端上网行为设备ha高可用性部署，较单台高端或中端上网行为设备性价比偏低，内存资源占用高，网络响应能力慢；
9.4)、上网行为设备ha部署模式灵活性差，设备无法自动在“主主模式”和“主备模式”间切换。当其中一台设备上行链路down或up，原模式将保持不变，这可能会造成网络不可达或资源闲置浪费现象，如图2-3所示；
10.5)、链路聚合功能应用于上网行为设备，可能无法实现上网行为管控功能，甚至是无法组网；
11.6)、上网行为设备基于端口的健康监测，无法监测链路和协议运行状态。当物理端口up，直连设备接口ip协议down，此时上网行为设备不会将接口自动调整为down状态，这会产生网络不可达现象的发生。逻辑组网如图4所示。


技术实现要素：

12.本发明的目的是提供一种上网行为管控系统及管控方法。
13.为此，本发明技术方案如下：
14.第一方面，提供了一种上网行为管控系统，包括上网行为设备和基于上网行为设备端口形成的虚拟网桥；所述上网行为设备设置在防火墙与虚拟网桥之间，且通过虚拟网
桥连接至n个核心设备，实现网络数据在防火墙与核心设备之间的流通，n为正整数。
15.结合第一方面，在第一方面的第一种可能的实现方式中，虚拟网桥的组建方法如下：
16.对上网行为设备端口进行虚拟分组，每个端口组内的两个端口直连防火墙和三层核心设备，选取两个端口组形成主备通信线路并为每个端口组分别配置不同网段ip。
17.结合第一方面，在第一方面的第二种可能的实现方式中，该上网行为管控系统通过防火墙和三层核心设备实现对虚拟通信链路健康的自动监测和自动调整。
18.结合第一方面，在第一方面的第三种可能的实现方式中，上网管控系统的自动调整方式包括以下三种方式中的一种、两种或三种的结合：调整防火墙ha主备；调整核心设备端口优先级和端口cost值；降低次优链路默认路由优先级。
19.结合第一方面，在第一方面的第四种可能的实现方式中，三层核心设备由三层交换机组成并形成虚拟网关，该虚拟网关采用ospf作为内部路由协议，通过三层网关的动态学习，实现对路由优先级的管控。
20.第二方面，提供了一种上网行为管控方法，应用于第一方面的上网行为管控系统，包括：
21.实时监控虚拟链路的健康状况；
22.根据链路的健康状态，自动完成负载均衡和冗余备份的切换。
23.结合第二方面，在第二方面的第一种可能的实现方式中，所述虚拟网桥的组建方法如下：
24.对上网行为设备端口进行虚拟分组，每个端口组内的两个端口直连防火墙和三层核心设备，选取两个端口组形成主备通信线路并为每个端口组分别配置不同网段ip。
25.结合第二方面，在第二方面的第二种可能的实现方式中，通过防火墙和三层核心设备实现对虚拟通信链路健康的自动监测和自动调整。
26.结合第二方面，在第二方面的第三种可能的实现方式中，该上网行为管控系统对所述虚拟通信链路调整方式包括以下三种方式中的一种、两种或三种的结合：调整防火墙ha主备；调整核心设备端口优先级和端口cost值；降低次优链路默认路由优先级。
27.结合第二方面，在第二方面的第四种可能的实现方式中，三层核心设备由三层交换机组成并形成虚拟网关，该虚拟网关采用ospf作为内部路由协议，通过三层网关的动态学习，实现对路由优先级的管控。
28.与现有技术相比，本发明提供的上网行为管控系统及管控方法具有如下优势：
29.1)、实现单个上网行为管理设备，与多个防火墙和多个核心设备多接口无环互联，满足负载均衡和冗余备份网络使用环境和业务管理要求，使得单个上网行为管理设备用于负载冗余网络动态切换链路变成可能。
30.2)、上网行为设备单机部署的连接方式和应用方案，有了全新的改变，可完全支持、支撑链路复用、负载均衡、冗余备份等复杂网络业务要求。
31.3)、单设备可实现2-4台物理设备ha高可用性的网络功能和上网行为管控功能，可优化上网行为设备1-3台，降低采购成本，节能、设备资源高效利用。
32.4)、设备数量更倾向于网络核心数量的部署，网络的负载冗余能力有了质的提升，整体数据交换能力大大提高。
33.5)、上网行为可管理用户数量保持不变，设备资源占用较ha高可用性“主备模式”有效降低，内存占用保持在60％以下。
34.6)、对链路健康的监测更加精准、灵活和可调整，链路健康监测不占用、不消耗上网行为设备任何cpu和内存资源。
35.7)、解决厂商注重数量和用户要求质量的供需矛盾问题。
附图说明
36.图1为传统厂商指导性的上网行为监控系统组网图。
37.图2为上行链路故障时的网络不可达逻辑图。
38.图3为下行链路故障时的备机资源闲置浪费逻辑图。
39.图4为上网行为设备端口自动调整失败逻辑组网图。
40.图5为本发明提供的上网行为管控系统的逻辑组网简图。
41.图6为本发明提供的上网行为管控系统的逻辑游泳图。
42.图7为本发明提供的上网行为管控系统的逻辑框架结构图。
具体实施方式
43.以下描述充分地示出本发明的具体实施方案，以使本领域的技术人员能够实践和再现。下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。
44.应注意，本发明提供的上网行为管控系统，如图5-7所示，包括上网行为设备和基于上网行为设备端口形成的虚拟网桥；所述上网行为设备设置在防火墙与虚拟网桥之间，且通过虚拟网桥连接至n个核心设备，实现网络数据在防火墙与核心设备之间的流通，n为正整数；与传统的上网行为监控系统组网图相比，本上网行为管控系统减少了上网行为监控设备的数量，整个系统中仅采用一台上网行为监控设备，设备数量向网络核心设备层进行转移，网络的负载冗余能力有了质的提升，整体数据交换能力大大提高；该上网行为管控系统可实现上网行为可管理用户数量保持不变，设备资源占用较ha高可用性“主备模式”有效降低，内存占用保持在60％以下。
45.需要注意的是，所述虚拟网桥为多条虚拟通信链路，数据通过虚拟通信链路在防火墙与三层核心设备之间流通。虚拟网桥的具体的搭建方法为：对上网行为设备端口进行虚拟分组，每个端口组内的两个端口直连防火墙和三层核心设备，选取两个端口组形成主备通信线路并为每个端口组分别配置不同网段ip；上述主备通信线路的设置主要确保网络核心设备或链路故障时，至少有一条链路可保障网络服务可持续的稳定、安全运行。需要特别注意的是，两个端口组应为同类型的端口，均为光口或均为网口。
46.尤其注意的是，为了保证网络服务的稳定性，单个上网行为管理设备可同时接入2条通信网络中，实现链路复用。
47.需要特别注意的，该上网行为管控系统通过防火墙和三层核心设备实现对虚拟通信链路健康的自动监测和自动调整。上网行为设备多个端口组配置ip地址与三层核心设备直连，但是不足以实现上网行为设备和全网的互联互通，ospf作为内部路由协议，通过三层网关的动态学习，可完全解决这个问题，还可实现路由优先级的管控，便于链路健康动态监
测和设备最优路径的自动选择。该链路健康监测模式，更加精准、灵活和可调整，不占用、不消耗上网行为设备任何cpu和内存资源。
48.在局域网中，依靠虚拟路由冗余协议vrrp构建的冗余网关，能在某台设备出现故障时，仍然可提供高可靠的缺省链路，有效避免单一链路发生故障后网络中断的问题；可做到全网负载均衡、冗余备份切换，对硬件设备软件版本一致性的要求低，部署高效。
49.应注意，本发明提供的一种用于上述上网行为管控系统的上网行为管控方法，包括：
50.实时监控虚拟链路的健康状况；
51.具体的是通过防火墙和三层核心设备实现对虚拟通信链路健康的自动监测。上网行为设备多个端口组配置ip地址与三层核心设备直连，但是不足以实现上网行为设备和全网的互联互通，ospf作为内部路由协议，通过三层网关的动态学习，可完全解决这个问题，还可实现路由优先级的管控，便于链路健康动态监测和设备最优路径的自动选择。该链路健康监测模式，更加精准、灵活和可调整，不占用、不消耗上网行为设备任何cpu和内存资源。
52.根据链路的健康状态，自动完成负载均衡和冗余备份的切换；
53.所述调整方式包括以下三种方式中的一种、两种或三种的结合：调整防火墙ha主备；调整核心设备端口优先级和端口cost值；降低次优链路默认路由优先级；其中，链路优先级的管控方法为：利用三层核心设备由三层交换机组成并形成虚拟网关，该虚拟网关采用ospf作为内部路由协议，通过三层网关的动态学习，实现对路由优先级的管控。
54.本发明所用的术语是说明和示例性、而非限制性的术语。由于本发明能够以多种形式具体实施而不脱离技术方案的精神或实质，所以应当理解，上述实施例不限于任何前述的细节，而应在随附权利要求所限定的精神和范围内广泛地解释，因此落入权利要求或其等效范围内的全部变化和改型都应为随附权利要求所涵盖。