一種網關裝置的製作方法

2023-11-12 03:13:12 3

本發明實施例涉及通信領域，尤其涉及一種網關裝置。

背景技術：

nfv(networkfunctionvirtualization，網絡功能虛擬化)的目標是通過改進行業標準的伺服器、存儲和網絡設備，來取代私有專用的網元設備。nfv架構有兩個優點，其一是標準設備成本低廉，能夠節省巨大的投資成本；其二是開放api接口，能夠獲得更靈活的網絡能力。nfv是電信級設備發展的趨勢，因此，為了適用nfv技術帶來的挑戰，傳統的電信級設備需要進行nfv功能改造。

smallcell小基站系統作為新興的電信級設備形態，包含smallcell和smallcell網關，smallcell通過smallcell網關再接入到核心網。而目前，對於smallcell網關的組網實現仍是通過設置專用硬體，還尚不存在一種nfv架構下的多制式smallcell網關。

技術實現要素：

本發明實施例提供了一種網關裝置，用以解決現有技術中尚不存在的一種nfv架構下的多制式smallcell網關的技術問題。

本發明實施例提供一種網關裝置，包括：

主交換機；

主計算節點，與所述主交換機連接及基站連接；

主控制節點，與所述主交換機連接，用於控制所述主計算節點；

其中，所述主計算節點上運行至少一個第一虛擬機，所述基站能夠通過所述至少一個第一虛擬機包括的具有安全網關功能的第一模塊和具有信令網關功能的第二模塊，接入至與所述主計算節點連接的核心網。

可選的，所述第一模塊包括：

鑑權模塊，用於對所述基站發送的接入請求消息進行鑑權；

加解密模塊，與所述鑑權模塊連接，用於在所述鑑權模塊對所述接入請求消息進行鑑權後，對上行數據進行解密，獲得解密數據；及對下行數據進行加密，獲得加密數據；

轉發模塊，與所述加解密模塊連接，用於將所述解密數據發送給所述第二模塊；及將所述加密數據發送給所述基站。

可選的，所述第一模塊用於：

匯聚並解析上行數據中的上行業務數據；及將所述上行業務數據發送給所述核心網；或

匯聚並解析下行數據中的下行業務數據；及將所述下行業務數據發送給所述基站。

可選的，所述第二模塊用於：

匯聚並解析上行數據中的用戶信令數據；及將所述用戶信令數據發送給所述核心網；或

匯聚並解析與所述用戶信令數據對應的響應信令數據；及將所述響應信令數據發送給所述基站。

可選的，所述第一模塊和所述第二模塊之間通過虛擬網絡連接。

可選的，所述第一模塊為具有多制式安全網關功能的模塊和/或所述第二模塊為具有多制式信令網關功能的模塊。

可選的，所述裝置還包括：

至少一套備用裝置，所述至少一套備用裝置中的每套備用裝置包括：

備交換機；

備計算節點，與所述備交換機連接及所述基站連接；

備控制節點，與所述備交換機連接，用於控制所述備計算節點；

其中，所述備計算節點上運行至少一個第二虛擬機，所述基站能夠通過所述至少一個第二虛擬機包括的具有安全網關功能的第三模塊和具有信令網關功能的第四模塊，接入至所述核心網。

可選的，所述備交換機和所述主交換機之間通過綁定連接模式連接。

可選的，所述至少一個第一虛擬機還包括：

配置鏈路檢測模塊，用於檢測所述第一模塊和所述第二模塊之間的連接是否存在異常。

可選的，所述第一模塊還用於：

在所述配置鏈路檢測模塊檢測所述第一模塊和所述第二模塊之間的連接存在異常時，向所述至少一個第二虛擬機發送狀態切換消息，以使所述至少一個第二虛擬機由備用狀態切換為主用狀態；

其中，所述主用狀態為所述至少一個第二虛擬機處於運行的狀態，所述備用狀態為所述至少一個第二虛擬機處於非運行的狀態。

本發明實施例中提供了一種網關裝置，包括：主交換機；主計算節點，與所述主交換機及基站連接；主控制節點，與所述主交換機連接，用於控制所述主計算節點；其中，所述主計算節點上運行至少一個第一虛擬機，所述基站能夠通過所述至少一個第一虛擬機包括的具有安全網關功能的第一模塊和具有信令網關功能的第二模塊，接入至與所述主計算節點連接的核心網。本發明實施例中，通過主計算節點上運行的具有信令網關功能和安全網關功能的虛擬機，實現smallcell的接入，無需像現有技術中需要布置專用硬體，進而實現網關功能的軟體處理，以降低網絡昂貴的設備成本。所以，通過本發明提供的技術方案，不僅實現了nfv架構下的多制式smallcell網關，而且能夠達到降低網絡昂貴的設備成本的技術效果。

附圖說明

為了更清楚地說明本發明實施例中的技術方案，下面將對實施例描述中所需要使用的附圖作簡要介紹。

圖1為現有技術中小基站網關的結構示意圖；

圖2為本發明實施例提供了一種網關裝置的結構示意圖；

圖3為本發明實施例提供了一種網關裝置實現匯聚的示意圖；

圖4為本發明實施例提供的1+1備份網關裝置的結構示意圖。

具體實施方式

為了使本發明的目的、技術方案及有益效果更加清楚明白，以下結合附圖及實施例，對本發明進行進一步詳細說明。應當理解，此處所描述的具體實施例僅僅用以解釋本發明，並不用於限定本發明。

為了更好的理解本方案，首先介紹現有技術中小基站網關的組網方案，請參考圖1，小基站以基於lte(longtermevolution，長期演進)為例，小基站網關是一個位於核心網邊界的網元，從epc(evolvedpacketcore，演進的分組核心網絡)來看，網關相當於一個enodeb。從小基站角度看，網關相當於一個epc網絡。小基站既可以向宏基站一樣接入到核心網，也可以經小基站網關再接入到核心網。

圖2示例性示出了本發明實施例提供的一種網關裝置，包括：

主交換機201；

主計算節點202，與所述主交換機及基站連接；

主控制節點203，與所述主交換機連接，用於控制所述主計算節點；

其中，所述主計算節點202上運行至少一個第一虛擬機，所述基站能夠通過所述至少一個第一虛擬機包括的具有安全網關功能的第一模塊和具有信令網關功能的第二模塊，接入至與所述主計算節點連接的核心網。

在本發明實施例中，基站具體為nano-cell、femtocell、smallcell架構的微型基站，且該基站可以為不同制式的基站，如：2g(the2ndgeneration，第二代通信系統)、3g(the3rdgeneration，第三代通信系統)或4g(the4thgeneration，第四代通信系統)，或者為其它制式的基站。在本發明實施例中，基站的個數可以為1個、2個或3個，或者為其它數量，本領域普通技術人員可以根據實際需要進行設置，在本發明實施例中不作具體限定。

在本發明實施例中，基站可以通過主交換機與主計算節點連接；也可以直接與主計算節點連接；或者通過外部交換機與主計算節點連接，本領域普通技術人員可以根據實際需要進行設置，在本發明實施例中不作具體限定。

在本發明實施例中，若主交換機為三層交換機，主控制節點、主計算節點、則能通過三層交換機通信，主控制節點和主計算節點上均安裝了openstack服務，且在主計算節點上啟動有至少一個第一虛擬機，包括：具有安全網關功能的第一模塊和具有信令網關功能的第二模塊。

在本發明實施例中，主計算節點可以為1個、2個或3個，本領域普通技術人員可以根據實際需要進行設置，在本發明實施例中不作具體限定。

相應的，在一個主計算節點上的第一虛擬機數量為1個時，具有安全網關功能的第一模塊和具有信令網關功能的第二模塊都位於該第一虛擬機上；當第一虛擬機數量為2個，即包括第一第一虛擬機和第二第一虛擬機時，具有安全網關功能的第一模塊在第一第一虛擬機上，具有信令網關功能的第二模塊則在第二第一虛擬機上，當第一虛擬機數量為多個時，本領域普通技術人員可以根據實際需要進行設置，在本發明實施例中不作限定。

在本發明實施例中，基站通過虛擬機上具有安全網關功能的第一模塊和具有信令網關功能的第二模塊接入至核心網，無需像現有技術需要布置專用硬體，進而實現功能的軟體處理，以降低網絡昂貴的設備成本。

在本發明實施例中，核心網可以通過主交換機與主計算節點連接；也可以直接與主計算節點連接；或者通過外部交換機與主計算節點連接，本領域普通技術人員可以根據實際需要進行設置，在本發明實施例中不作具體限定。

進一步，在本發明實施例中，所述第一模塊包括：

鑑權模塊，用於對所述基站發送的接入請求消息進行鑑權；

加解密模塊，與所述鑑權模塊連接，用於在所述鑑權模塊對所述接入請求消息進行鑑權後，對上行數據進行解密，獲得解密數據；及對下行數據進行加密，獲得加密數據；

轉發模塊，與所述加解密模塊連接，用於將所述解密數據發送給所述第二模塊；及將所述加密數據發送給所述基站。

在具體實現過程中，第一模塊包括鑑權模塊，用於對基站進行鑑權和認證，控制連接合法的基站。在本發明實施例中，可以通過設定特定ip、udp埠號、接入id、密鑰以及鑑權算法等對基站完成鑑權和合法性檢測。

在本發明實施例中，在完成對基站的鑑權之後，則表明該基站為合法接入，在該情況下，在接收到由基站發送的上行數據時，則根據鑑權約定加解密方法進行解密，然後按照約定的方法通過轉發模塊發送給第二模塊；在接收到由核心網發送的下行數據時，則按照虛擬機與基站約定的加解密算法進行加密，然後按照約定的方法將加密數據發送給基站。其中，轉發模塊，一定是在保護網段內的數據包才會被轉發，必須是滿足指定規則的數據包才會被轉發給上行或是下行網元。

相應的，在本發明實施例中，在第一模塊完成對基站的鑑權之後，則會給基站分配內部ip，基站將小區建立消息封裝一層esp(encapsulatingsecuritypayload，封裝安全負載)加密消息，通過主交換機轉發給第一模塊。在第一模塊接收到合法的esp包之後，解密出明文的小區建立消息再轉發給具有信令網關功能的第二模塊，第二模塊根據參數配置決定是否允許該制式基站接入到後續的核心網。

在本發明實施例中，上面是從微觀角度對第一模塊和第二模塊的功能進行描述，下面則從宏觀角度第一模塊和第二模塊的功能進行描述，具體的，所述第一模塊用於：

匯聚並解析上行數據中的上行業務數據；及將所述上行業務數據發送給所述核心網；或

匯聚並解析下行數據中的下行業務數據；及將所述下行業務數據發送給所述基站。

在本發明實施例中，對於上行方向，第一模塊用於對基站發送的上行業務數據按照約定的方法進行匯聚，並轉發給對應的核心網；對於下行方向，用於對核心網發送的下行業務數據按照約定方法轉發到正確的基站。

用戶面匯聚能夠對基站及所服務的用戶進行標識，用於正確轉發上下行業務數據。

相應的，所述第二模塊用於：

匯聚並解析上行數據中的用戶信令數據；及將所述用戶信令數據發送給所述核心網；或

匯聚並解析與所述用戶信令數據對應的響應信令數據；及將所述響應信令數據發送給所述基站。

在本發明實施例中，對於上行方向，第二模塊用於對基站發送的用戶信令數據按照約定的方法進行匯聚，並轉發給對應的核心網；對於下行方向，對核心網發送的響應信令數據，按照約定的方法轉發到正確的基站。

信令面匯聚能夠對基站及所服務的用戶進行標識，用於正確轉發上下行信令數據。

具體的，請參考圖3，主交換機左側的實線雙向箭頭標明了基站側的信令匯聚，先從基站發起信令請求消息，然後通過主交換機達到具有安全網關功能的第一模塊進行鑑權解密，第一模塊解密後根據其通道類型和目的ip地址，發送給具有信令網關功能的第二模塊處理，第二模塊根據協議類型及埠號，區分不同制式的基站，並根據對應的信令協議進行處理；主交換機右側的實線雙向箭頭標明了經過具有信令網關功能的第二模塊匯聚後的用戶信令數據轉發給核心網。

在本發明實施例中，具有信令網關功能的第二模塊匯聚用戶信令數據，對用戶信令數據進行解析，將用戶信令數據的源ip修改為網關裝置的ip地址，將目標ip修改為核心網設備mme(mobilitymanagemententity，移動性管理實體)網元的ip地址，並將用戶信令數據發送至核心網。這樣，網關裝置連接的各個基站與核心網之間只需建立一條信令鏈路，核心網無需分別與各個基站都建立信令鏈路，這就極大地較少了信令鏈路數量。

相應的，繼續參考圖3，主交換機左側的虛線雙向箭頭標明了基站側的數據匯聚，先從基站發起數據轉發請求，然後通過主交換機達到具有安全信令網關功能的第一模塊進行鑑權解密；主交換機右側的虛線雙向箭頭標明了經過第一模塊匯聚後的上行業務數據轉發給核心網。

在本發明實施例中，對於下行業務數據及下行用戶信令數據的匯聚過程與上行業務數據及下行用戶信令數據類似，在此就不再一一贅述。

進一步，在本發明實施例中，所述第一模塊和所述第二模塊之間通過虛擬網絡連接。

在本發明實施例中，第一模塊和第二模塊之間通過虛擬網絡連接，不需要物理連線也不需要人工配置網絡隔離，即可利用虛擬架構自帶的虛擬網絡轉發用戶信令數據，能夠達到更加安全可靠的技術效果。

進一步，在本發明實施例中，所述第一模塊為具有多制式安全網關功能的模塊和/或所述第二模塊為具有多制式信令網關功能的模塊。

在本發明實施例中，第一模塊為具有多制式安全網關功能的模塊，第二模塊為具有多制式信令網關功能的模塊，如：2g、3g、4g或者為其它制式。

具有多制式安全網關功能的第一模塊，能夠支持不同制式的基站接入，滿足不同制式的安全需求。能夠支持不同qos服務質量級別的數據轉發，能夠根據制定的過濾規則轉發需要的數據包，丟棄不需要的數據包。

具有多制式信令網關功能的第二模塊，能夠分析處理不同制式基站發送的信令請求消息，並且做出對應的響應給基站；能夠主動發起信令請求消息並轉發上層用戶的信令消息給核心網。

進一步，在本發明實施例中，第一模塊和第二模塊之間可以為一一對應的關係，也可以為一對二、一對多、多對一或多對多等，或者為其它對應的數量關係，本領域普通技術人員可以根據實際需要進行設置，在本發明實施例中不作具體設置。

在本發明實施例中，為了保證在主控制節點、主計算節點出現異常時，基站仍能夠正常接入到核心網，請參考圖4，所述裝置還包括：

至少一套備用裝置，所述至少一套備用裝置中的每套備用裝置包括：

備交換機；

備計算節點，與所述備交換機及所述基站連接；

備控制節點，與所述備交換機連接，用於控制所述備計算節點；

其中，所述備計算節點上運行至少一個第二虛擬機，所述基站能夠通過所述至少一個第二虛擬機包括的具有安全網關功能的第三模塊和具有信令網關功能的第四模塊，接入至所述核心網。

在本發明實施例中，基站可以通過備交換機與備計算節點連接；也可以直接與備計算節點連接；或者通過外部交換機與主計算節點連接，本領域普通技術人員可以根據實際需要進行設置，在本發明實施例中不作具體限定。

相應的，核心網可以通過備交換機與備計算節點連接，也可以直接與備計算節點連接，或者通過外部交換機與備計算節點連接，本領域普通技術人員可以根據實際需要進行設置，在本發明實施例中不作具體限定。

進一步，所述備交換機和所述主交換機之間通過綁定連接模式連接。

在本發明實施例中，還包括備用裝置，備用裝置可以為一套、兩套或者為三套，本領域普通技術人員可以根據實際需要進行設置，在本發明實施例中不作具體限定。

在本發明實施例，備用裝置以一套為例，其包括：備交換機，備交換機與主交換機之間通過綁定連接模式連接。即在主交換機宕機之後還能用備交換機工作，所有數據會直接備份切換到正常工作的備交換機上。備交換機上面的管理網絡、數據網絡和外部網絡都用vlan隔開，並且預留一部分trunk口給虛擬機走數據網絡。

進一步，備用裝置還包括：備控制節點，備控制節點連接到備交換機上，備控制節點上的管理網絡、數據網絡的埠均連接到備交換機上；在備計算節點上運行有至少一個第二虛擬機，至少一個第二虛擬機包括具有安全網關功能的第三模塊和具有信令網關功能的第四模塊。

在本發明實施例中，備用裝置中備計算節點上啟動的第二虛擬機數量為1個時，具有安全網關功能的第三模塊和具有信令網關功能的第四模塊都位於該第二虛擬機上；當第二虛擬機數量為2個，即第一第二虛擬機和第二第二虛擬機時，具有安全網關功能的第三模塊在第一第二虛擬機上，具有信令網關功能的第四模塊則在第二第二虛擬機上，當第二虛擬機數量為多個時，本領域普通技術人員可以根據實際需要進行設置，在本發明實施例中不作限定。

在本發明實施例中，在何時進行切換，即切換至備用裝置，在本發明實施例中，所述至少一個第一虛擬機還包括：

配置鏈路檢測模塊，用於檢測所述第一模塊和所述第二模塊之間的連接是否存在異常。

在本發明實施例中，當主計算節點僅包含一個第一虛擬機時，配置鏈路檢測模塊、第一模塊、第二模塊則位於該第一虛擬機上；當主計算節點包含兩個，如：包括：第一第一虛擬機、第二第一虛擬機兩個第一虛擬機時，第一模塊在第一第一虛擬機上，第二模塊在第二第一虛擬機上，並分別配置鏈路檢測模塊於第一第一虛擬機及第二第一虛擬機上，本領域普通技術人員可以根據實際需要進行設置，在本發明實施例中不作具體限定。

在具體實現過程中，第一模塊通過配置鏈路檢測模塊檢測第一模塊和第二模塊之間的虛擬網絡連接是否正常，以實現業務無縫切換，而不影響原有的業務進行。

進一步，在本發明實施例中，當配置鏈路檢測模塊確定第一模塊和第二模塊之間的連接存在異常時，所述第一模塊還用於：

在所述配置鏈路檢測模塊檢測所述第一模塊和所述第二模塊之間的連接存在異常時，向所述至少一個第二虛擬機發送狀態切換消息，以使所述至少一個第二虛擬機由備用狀態切換為主用狀態；

其中，所述主用狀態為所述至少一個第二虛擬機處於運行的狀態，所述備用狀態為所述至少一個第二虛擬機處於非運行的狀態。

在具體實現過程中，當第一模塊和第二模塊之間的虛擬網絡連接存在異常時，第一模塊則向至少一個第二虛擬機發送狀態切換消息，以控制至少一個第二虛擬機由備用狀態切換至主用狀態，從而主計算節點的至少一個第一虛擬機都切換至至少一個第二虛擬機中。

從上述內容可看出：本發明實施例中提供了一種網關裝置，包括：主交換機；主計算節點，與所述主交換機及基站連接；主控制節點，與所述主交換機連接，用於控制所述主計算節點；其中，所述主計算節點上運行至少一個第一虛擬機，所述基站能夠通過所述至少一個第一虛擬機包括的具有安全網關功能的第一模塊和具有信令網關功能的第二模塊，接入至與所述主計算節點連接的核心網。本發明實施例中，通過主計算節點上運行的具有信令網關功能和安全網關功能的虛擬機，實現smallcell的接入，無需像現有技術中需要布置專用硬體，進而實現網關功能的軟體處理，以降低網絡昂貴的設備成本。所以，通過本發明提供的技術方案，不僅實現了nfv架構下的多制式smallcell網關，而且能夠達到降低網絡昂貴的設備成本的技術效果。

本領域內的技術人員應明白，本發明的實施例可提供為方法、或電腦程式產品。因此，本發明可採用完全硬體實施例、完全軟體實施例、或結合軟體和硬體方面的實施例的形式。而且，本發明可採用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限於磁碟存儲器、cd-rom、光學存儲器等)上實施的電腦程式產品的形式。

本發明是參照根據本發明實施例的方法、設備(系統)、和電腦程式產品的流程圖和/或方框圖來描述的。應理解可由電腦程式指令實現流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結合。可提供這些電腦程式指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數據處理設備的處理器以產生一個機器，使得通過計算機或其他可編程數據處理設備的處理器執行的指令產生用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些電腦程式指令也可存儲在能引導計算機或其他可編程數據處理設備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產生包括指令裝置的製造品，該指令裝置實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些電腦程式指令也可裝載到計算機或其他可編程數據處理設備上，使得在計算機或其他可編程設備上執行一系列操作步驟以產生計算機實現的處理，從而在計算機或其他可編程設備上執行的指令提供用於實現在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

儘管已描述了本發明的優選實施例，但本領域內的技術人員一旦得知了基本創造性概念，則可對這些實施例作出另外的變更和修改。所以，所附權利要求意欲解釋為包括優選實施例以及落入本發明範圍的所有變更和修改。

顯然，本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精神和範圍。這樣，倘若本發明的這些修改和變型屬於本發明權利要求及其等同技術的範圍之內，則本發明也意圖包含這些改動和變型在內。