[发明专利]一种基于虚拟IP的无感串接设备

说明书

技术领域

本发明涉及一种基于虚拟IP的无感串接设备。涉及专利分类号H04电通信技术H04L数字信息的传输，例如电报通信H04L12/00数据交换网络H04L12/02零部件H04L12/24用于维护或管理的装置。

背景技术

目前在IP网络上传输7号信令主要使用的是SIGTRAN协议，SIGTRAN协议中定义的信令传输层使用的是SCTP协议，SCTP是一个面向连接的传输层协议，采用了类似TCP的流量控制和拥塞控制算法，通过自身的证实与重发机制来保证用户数据在两个SCTP端点间可靠传送。相对于TCP等其他传输协议，SCTP传输时延小，可避免某些大数据对其他数据的阻塞，具有更高的可靠性和安全性。但是SCTP协议并不能完全避免非法信令的异常访问，如何针对该信令网实现对用户信息的安全保护，防止非法信令的异常访问，将是保证移动通信网安全的重要组成部分。

目前基于分组域的7号信令网安全防护设备接入方式都是以真实身份接入现网，位于两端7号设备之间，防护设备分别与两端的7号设备建立数据连接，对收到的数据进行处理后，然后再转发给另一端的7号设备，这就改变了信令网的网络拓扑结构，对移动运营商有感。而且当防护设备退出时，会造成两端7号设备的链路断链，造成网络设备的有感，严重的会影响业务的正常运行。

根据以上分析，现有分组域信令网安全防护设备的接入和退出，都不能做到对网络的完全无感，因此达不到设备隐藏的安全效果。

发明内容

本发明针对以上问题的提出，而研制的一种基于虚拟IP的无感串接设备，用于串接信令网络和安全防护设备，通过标准IP协议栈与信令网安全防护设备连接，包括：通过背板总线连接的前插板和后插板以及与前插板通信连接的处理单元；

所述的前插板具有网口A、网口B、网口C和网口D；所述的后插板具有网口A1、网口B1；所述的网口A1网口B1分别与两个关口局设备STPA和STPB通信连接；

所述处理单元依次具有与所述的网口A和网口B通信的网络驱动程序层、位于中层的虚拟地址层和位于顶层与信令网安全防护设备通信SCTP协议栈；

该虚拟地址层在所述的网口A和网口B中分别虚拟出所述的STPA和STPB的虚拟地址STPA`和STPB`，使用STPB`与STPA通信，STPA`与STPB通信；

所述虚拟地址层为所述的SCTP协议栈提供虚拟的发送接口；

工作时，所述的虚拟地址层对由所述网口A和/或网口B输入的数据包进行解析、记录消息的源、目的地址操作，将数据通过所述的SCTP协议栈发送到所述的信令网安全防护设备；

在所述的接入设备接收由所述安全防护设备返回的数据包时，虚拟地址层对数据包进行封包，通过网口A或/和网口B分别以STPA`和STPB`作为源地址将消息发送给STPB和STPA。

所述的网口A和网口B分别具有一记录所在网口虚拟IP和虚拟MAC地址对应关系的虚拟地址管理表；所述的虚拟地址管理表中记载的内容如下：

网口的虚IP地址IPn`；网口的虚MAC地址MACn`。

所述的处理单元还具有MAC地址获取单元I：分别以网口A和网口B的实际IP地址向STPA和STPB发送ARP请求，得到MACA和MACB地址做为网口A和网口B的虚拟地址MACA`和MACB`，并记录在网口A和网口B的虚拟地址管理表中；通过网口B和网口A分别向STPB和STPA发送ARP声明消息，让网口B和STPB、网口A和STPA之间的路由设备学习到STPA`和STPB`地址的位置信息。

所述的处理单元还具有MAC地址获取单元II：该单元接收来自STPA或STPB的数据包，根据以太网协议对数据包的MAC首部和IP首部进行解析；如果数据包中的源IP地址是IPA`或者IPB`，则保存源MAC地址为MACA`或者MACB`，将业务数据包提交给SCTP协议栈处理。

该数组对处理单元接收到的每一条SCTP消息进行记录，以数组的下标作为每一条SCTP消息的唯一ID；

SCTP协议栈把消息解析后，提取消息内容，所述的唯一ID重新封装成与防护设备之间的消息，通过IP网络发送给防护设备进行处理；

防护设备处理完毕后，把消息返回给串接设备，串接设备根据消息中的ID，直接定位到SCTP消息记录数组中的指定位置，根据数组成员中保存的数据重新封装SCTP消息首部，调用虚拟地址层提供的发送接口，将消息发送出去。

所述的网口A1和网口B1分别与两个关口局设备STPA和STPB通信连接；网口A1和网口B1之间通过直通开关相连；