(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111506761.0 (22)申请日 2021.12.10 (71)申请人 包头海平面高分子 工业有限公司九 原分公司 地址 014000 内蒙古自治区包头市九原区 九原工业园区纬四路以南， 经九路以 西 (72)发明人 张瑞　田庆龙　冯学理　高世功　 王磊　王树珍　 (74)专利代理 机构 北京康盛知识产权代理有限 公司 11331 代理人 张良 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0663(2022.01) (54)发明名称 基于单个上网行为管理设备的上网行为管 控系统及方法 (57)摘要 本发明公开了一种基于单个上网行为管理 设备的上网行为管控系统， 包括上网行为设备和 基于上网行为设备端口形成的虚拟网桥； 所述上 网行为设备设置在防火墙与虚拟网桥之间， 且通 过虚拟网桥连接至N个三层核心设备， 实现网络 数据在防火墙与三层核心设备之间的流通。 本发 明还公开了一种上网行为管控 方法。 与现有技术 相比， 本发 明可以实现单个上网行为管理设备与 多个防火墙和多个核心设备多接口无环互联， 满 足负载均衡和冗余备份网络使用环境和业务管 理要求， 使得单个上网行为管 理设备用于负载冗 余网络动态切换链路变成可能。 权利要求书1页 说明书4页 附图5页 CN 114363007 A 2022.04.15 CN 114363007 A 1.一种基于单个上网行为管理设备的上网行为管控系统， 其特征在于， 包括上网行为 设备和基于上网行为设备端口形成的虚拟网桥； 所述上网行为设备设置在防火墙与 虚拟网 桥之间， 且通过虚拟网桥连接至N个三层核心设备， 实现 网络数据在防火墙与三层核心设备 之间的流 通， N为正整数。 2.根据权利要求1所述的上网行为管控系统， 其特征在于， 所述虚拟网桥的组建方法如 下： 对上网行为设备端口进行虚拟分组， 每个端口组内的两个端口直连防火墙和三层核心 设备， 选取两个端口组形成主备通信线路并为每 个端口组分别配置不同网段IP。 3.根据权利要求2所述的上网行为管控系统， 其特征在于， 该上网行为管控系统通过防 火墙和三层核心设备实现对虚拟通信链路健康的自动监测 和自动调整。 4.根据权利要求3所述的上网行为管控系统， 其特征在于， 所述的调 整方式包括以下三 种方式中的一种、 两种或三种的结合： 调整防火墙HA主 备； 调整核心设备端口优 先级和端口 COST值； 降低次优链路默认路由优先级。 5.根据权利要求4所述的上网行为管控系统， 其特征在于， 所述的三层核心设备由三层 交换机组成并形成虚拟网关， 该虚拟网关采用OSPF作为内部路 由协议， 通过三层网关的动 态学习， 实现对路由优先级的管控。 6.一种上网行为管控方法， 应用于如权利要求1所述的上网行为管控系统， 其特征在 于， 包括： 实时监控虚拟链路的健康状况； 根据链路的健康状态， 自动完成负载均衡和冗余备份的切换。 7.根据权利要求6所述的上网行为管控方法， 其特征在于， 所述虚拟链路的搭建方法如 下： 对上网行为设备端口进行虚拟分组， 每个端口组内的两个端口直连防火墙和三层核心 设备， 选取两个端口组形成主备通信线路并为每 个端口组分别配置不同网段IP。 8.根据权利要求6所述的上网行为管控方法， 其特征在于， 通过防火墙和三层核心设备 实现对虚拟通信链路健康的自动监测 和自动调整。 9.根据权利要求6所述的上网行为管控方法， 其特征在于， 所述调整方式包括以下三种 方式中的一种、 两种或三种的结合： 调整防火墙HA主备； 调整核心设备端口优先级和端口 COST值； 降低次优链路默认路由优先级。 10.根据权利要求6 ‑9任意一项权利要求所述的上网行为管控方法， 其特征在于， 所述 的三层核心设备由三层交换机组成并形成虚拟网关， 该虚拟网关采用OSPF作为内部路由协 议， 通过三层网关的动态学习， 实现对路由优先级的管控。权　利　要　求　书 1/1 页 2 CN 114363007 A 2基于单个上 网行为管理设 备的上网行为管控系统及方 法 技术领域 [0001]本发明涉及上网行为管控技术领域， 具体涉及一种基于单个上网行为管理设备的 上网行为管控系统及方法。 背景技术 [0002]上网行为设备HA高可用性分为 “主备模式 ”和“主主模式 ”。 在实践部署中， 需要结 合网络架构认真评估应用： [0003]主备模式， 指主机处理所有业务， 并将产生的配置及会话信息传输到备机进行备 份； 备机不处理业务， 只用做备份。 当主机故障， 备机接替主机处理业务， 厂商推荐在路由模 式下使用， 可实现上网行为设备的所有的功能。 [0004]主主模式， 指多台设备都处理业务流量， 主控将配置同步到所有节点， 主控与各节 点之间相互同步会话信息。 当主控故障， 将无法更改设备配置， 厂商推荐在网桥模式下使 用， 可实现上网行为设备的大部分功能。 [0005]基于上网行为设备HA高可用性的两种模式， 厂商指 导组网构图如图1所示， 厂商指 导图和实 践应用发现以下问题： [0006]1)、 厂商侧重于上 网行为设备数量的推广应用， 忽略了网络核心的负载冗余能力， 整体网络数据交换能力偏低； [0007]2)、 上网行为设备主备模式产出比低， 投入的多台设备成本高， 可管控的用户数量 却与单台设备一 致不变； [0008]3)、 主主模式可实现可管控的用户数量成倍叠加， 但在同等用户数量的情况下， 多 台中端或低端上网行为设备HA高可用性部署， 较单台高端或中端上网行为设备性价比偏 低， 内存资源占用高， 网络响应能力慢； [0009]4)、 上网行为设备HA部署模式灵活性差， 设备无法自动在 “主主模式 ”和“主备模 式”间切换。 当其中一台设备上行链路DOWN或UP， 原模式将保持不变， 这可能会造成网络不 可达或资源闲置浪费现象， 如图2 ‑3所示； [0010]5)、 链路聚合功能应用于上 网行为设备， 可能无法实现上网行为管控功能， 甚至是 无法组网； [0011]6)、 上网行为设备基于端口的健康监测， 无法监测链路和协议运行状态。 当物理端 口UP， 直连设备接口IP协 议DOWN， 此时上网行为设备不会将 接口自动调整为DOWN状态， 这会 产生网络不可达现象的发生。 逻辑组网如图4所示。 发明内容 [0012]本发明的目的是提供一种上网行为管控系统及管控方法。 [0013]为此， 本发明技 术方案如下： [0014]第一方面， 提供了一种上网行为管控系统， 包括上网行为设备和基于上网行为设 备端口形成的虚拟网桥； 所述上网行为设备设置在防火墙与虚拟网桥之间， 且通过虚拟网说　明　书 1/4 页 3 CN 114363007 A 3