专利名称:一种网络安全保护方法、装置及系统的制作方法
技术领域:
本发明涉及通信网络技术领域,特别涉及一种网络安全保护方法、装置及系统。
背景技术:
在分组光传送网络(P-OTN,Packet-OptixTransmission Network)结构中,OTN和分组业务混合传送和桥接装置(本文简称混合传送与桥接装置),实现分组传送网络(PTN, Packet Transmission Network)和时分复用(TDM,Time Division Multiplexing)双平面的业务互通,以达到TDM设备承载的业务逐步向PTN承载业务平滑演进的目的。在对现有技术的研究和实践过程中,本发明的发明人发现,现有的实现方式中,虽然光传送(0ΤΝ,Optix Transmission Network)和PTN都拥有强大的保护功能,在目前的 P-OTN技术中并没有实现OTN与PTN的故障相互传递(即两个网络的故障信息不能透传), 这对当前两个网络链路的保护协议互通形成屏障,从而无法实现对P-OTN网络的全网保护。
发明内容
有鉴于此,本发明实施例提供一种网络安全保护方法、装置及系统,以解决当前 P-OTN网络中的网络故障无法透传的技术问题,提高对P-OTN网络的全网保护。本发明实施例提供一种网络安全保护方法,所述方法包括在检测到光传送网络的链路上的信号失效时,根据所述信号失效确定故障的光传送网络接口 ;按照业务配置路径将所述信号失效转发给与所述光传送网络接口对应的分组传送网络接口 ;通过所述分组传送网络接口向分组传送网络发送前向失效指示或告警指示信号,以触发所述分组传送网络进行自动保护倒换;和/或在检测到分组传送网络的分组业务通道的故障信号时,根据所述分组业务通道的故障信号确定故障的分组传送网络接口,按照业务配置路径将所述故障信号转发给与所述分组传送网络接口对应的光传送网络接口,通过所述光传送网络接口向光传送网络发送信号失效,以触发所述光传送网络进行子网连接保护倒换。相应的,本发明实施例还提供一种网络安全保护装置,包括第一检测单元、第一确定单元、第一发送单元和第一触发单元;和/或,第二检测单元、第二确定单元、第二发送单元和第二触发单元,其中,所述第一检测单元,用于检测光传送网络接口的信号状态;所述第一确定单元,用于在检测到光传送网络接口的信号失效时,根据所述信号失效确定故障的光传送网络接口;所述第一发送单元,用于按照业务配置路径将所述信号失效转发给与所述光传送网络接口对应的分组传送网络接口;所述第一触发单元,用于通过所述分组传送网络接口向分组传送网络发送前向失效指示或告警指示信号,以触发所述分组传送网络进行自动保护倒换;
所述第二检测单元,用于检测分组传送网络的分组业务通道的信号状态;所述第二确定单元,用于在检测到分组传送网络的分组业务通道的故障信号时, 根据所述分组业务通道的故障信号确定故障的分组传送网络接口;所述第二发送单元,用于按照业务配置路径将所述故障信号转发给与所述分组传送网络接口对应的光传送网络接口;所述第二触发单元,用于通过所述光传送网络接口向光传送网络发送信号失效, 以触发所述光传送网络进行子网连接保护倒换。相应的,本发明实施例还提供一种网络安全保护系统,包括光传送网络装置和分组传送网络装置;还包括网络安全保护装置;所述网络安全保护装置通过至少一个分组传送网络接口与分组传送网络装置连接,通过至少一个光传送网络接口与光传送网络装置连接,其中,所述网络安全保护装置,用于检测光传送网络的链路上的信号状态,并在检测到光传送网络的链路上的信号失效时,根据所述信号失效确定故障的光传送网络接口 ;按照业务配置路径将所述信号失效转发给与所述光传送网络接口对应的分组传送网络接口 ;通过所述分组传送网络接口向分组传送网络发送前向失效指示或告警指示信号;和/或,在检测到分组传送网络的分组业务通道的故障信号时,根据所述分组业务通道的故障信号确定故障的分组传送网络接口,按照业务配置路径将所述故障信号转发给与所述分组传送网络接口对应的光传送网络接口,通过所述光传送网络接口向光传送网络发送信号失效;所述分组传送网络,用于在接收到网络安全保护装置发送的前向失效指示或告警指示信号时,触发所述分组传送网络进行自动保护倒换;所述光传送网络,用于在接收到网络安全保护装置发送的信号失效时,进行子网连接保护倒换。由上述可知,本发明实施例增加对OTN、PTN故障的检测、并确定对应的故障接口, 以及通过与该故障接口对应的接口发送给对方网络,解决了当前P-OTN网络中的OTN和PTN 的网络故障无法透传的技术问题,实现了 OTN和PTN故障互通,并触发对方网络进行保护倒换的目的,提高了对P-OTN网络的全网保护。
图1为本发明实施例提供的一种网络安全保护方法的流程图;图2为本发明实施例提供的一种网络安全保护装置的结构示意图;图3为本发明实施例提供的一种网络安全保护系统的结构示意图;图4为本发明实施例提供的一种网络安全保护方法的应用实例图。
具体实施例方式为了使本技术领域的人员更好地理解本发明实施例的方案,下面结合附图和实施方式对本发明实施例作进一步的详细说明。请参阅图1,为本发明实施例提供的一种网络安全保护方法的流程图,所述方法包括步骤101 在检测到光传送网络的链路上的信号失效时,根据所述信号失效确定故障的光传送网络接口;步骤102 按照业务配置路径将所述信号失效转发给与所述光传送网络接口对应的分组传送网络接口;步骤103 通过所述分组传送网络接口向分组传送网络发送前向失效指示或告警指示信号,以触发所述分组传送网络进行自动保护倒换;和/或步骤104 在检测到分组传送网络的分组业务通道的故障信号时,根据所述分组业务通道的故障信号确定故障的分组传送网络接口;步骤105 按照业务配置路径将所述故障信号转发给与所述分组传送网络接口对应的光传送网络接口;步骤106 通过所述光传送网络接口向光传送网络发送信号失效,以触发所述光传送网络进行子网连接保护倒换。在该实施例中,步骤101至步骤103,与步骤104至步骤106在时间上没有先后顺序,可以先执行步骤101至步骤103,也可以先执行步骤104至步骤106,也可以同时执行步骤101至步骤103,以及步骤104至步骤106,本实施例不作限制。其中,所述根据所述信号失效确定故障的光传送网络接口包括提取所述信号失效的开销;识别所述开销,得到故障的光传送网络接口。也就是说,在信号失效(SF,Signal Fault)的开销中包括对应的光传送网络接口标识以及好坏情况的标识,比如,如果SF的开销为1,则表示对应的光传送网络接口正常,如果SF的开销为0,则表示对应的光传送网络接口故障,但并不限于此,本实施例指示举例说明。优选的,在该实施例中,为了便于对方网络的接口接收,在按照业务配置路径将所述信号失效转发给与所述光传送网络接口对应的分组传送网络接口之前,所述方法还可以包括将所述信号失效的格式转换为分组传送网络接口能识别的格式。优选的,在该实施例中,为了便于双方网络都进行网络保护倒换,在确定故障的光传送网络接口后,所述方法还可以包括向光传送网络反馈信号失效,以触发所述光传送网络进行子网连接保护倒换。其中,本实施例中,上述所有倒换,都是启动备用链路,也就是说,通常情况下,网络之间进行信息交互时,都是使用主链路进行信息交互,如果要进行网络倒换,通常情况下都是主用链路故障时,启动备用链路。当然,该步骤可以在通过所述分组传送网络接口向分组传送网络发送前向失效指示或告警指示信号的步骤之前,也可以在该步骤之后,本实施例不作限制。本发明实施例增加对OTN、PTN故障的检测、并确定对应的故障接口,以及通过与该故障接口对应的接口发送给对方网络,解决了当前P-OTN网络中的OTN和PTN的网络故障无法透传的技术问题,实现了 OTN和PTN故障互通,并触发对方网络进行保护倒换的目的,提高了对P-OTN网络的全网保护。同时,本发明实施例在不改变OTN和PTN双平面现有协议的情况下,轻松实现两个不同网络侧的串联保护,对整网架构影响很小。相应的,本发明实施例还提供一种网络安全保护装置,其结构示意图详见图2,所述网络安全保护装置2包括第一检测单元21、第一确定单元22、第一发送单元23和第一触发单元M ;和/或,第二检测单元25、第二确定单元沈、第二发送单元27和第二触发单元28。本实施例以全部包括所述单元为例,但并不限于此。
其中,所述第一检测单元21,用于检测光传送网络接口的信号状态;所述第一确定单元22,用于在检测到光传送网络接口的信号失效时,根据所述信号失效确定故障的光传送网络接口 ;所述第一发送单元23,用于按照业务配置路径将所述信号失效转发给与所述光传送网络接口对应的分组传送网络接口 ;所述第一触发单元对,用于通过所述分组传送网络接口向分组传送网络发送前向失效指示或告警指示信号,以触发所述分组传送网络进行自动保护倒换;所述第二检测单元25,用于检测分组传送网络的分组业务通道的信号状态;所述第二确定单元26,用于在检测到分组传送网络的分组业务通道的故障信号时, 根据所述分组业务通道的故障信号确定故障的分组传送网络接口 ;所述第二发送单元27, 用于按照业务配置路径将所述故障信号转发给与所述分组传送网络接口对应的光传送网络接口 ;所述第二触发单元观,用于通过所述光传送网络接口向光传送网络发送信号失效,以触发所述光传送网络进行子网连接保护倒换。优选的,所述第一确定单元包括第一提取单元和第一识别单元,其中,所述第一提取单元,用于提取所述信号失效的开销;所述第一识别单元,用于识别所述开销,得到故障的光传送网络接口。其具体的识别过程,详见上述,在此不再赘述。优选的,为了便于分组传送网络接口能识别信号失效,所述装置还可以包括转换单元,用于在所述第一发送单元转发所述信号失效之前,将所述信号失效的格式转换为分组传送网络接口能识别的格式。优选的,为了实现网络两端都能实现保护倒换,所述装置还可以包括第三触发单元,用于在所述第一确定单元确定故障的光传送网络接口后,向光传送网络反馈信号失效, 以触发所述光传送网络进行子网连接保护倒换。所述网络安全保护装置中,各个单元的功能和作用详见上述方法中对应的实现过程,在此不再赘述。需要说明的是,本发明实施例中网络安全保护装置,也成为OTN和分组业务混合传送和桥接装置,简称为混合传送与桥接装置。该网络安全保护装置可以独立部署,也可以集成在光传送网络的设备中,也可以集成在分组传送网络的设备中,本实施例不作限制。相应的,本发明实施例还提供一种网络安全保护系统,其结构示意图详见图3,所述系统包括光传送网络装置31、分组传送网络装置32,以及连接光传送网络装置31和分组传送网络装置32的网络安全保护装置33 ;其中,光传送网络装置31为光传送网络的设备,配置了子网连接保护(SNCP,Sub Network Connection Protection)倒换,分组传送网络装置32为分组传送网络中的设备,配置了自动保护倒换(APS,Automatic Protection Switching)。所述网络安全保护装置33通过至少一个分组传送网络接口与分组传送网络装置31连接,通过至少一个光传送网络接口与光传送网络装置32连接,其中,所述网络安全保护装置33,用于检测光传送网络的链路上的信号状态,并在检测到光传送网络的链路上的信号失效时,根据所述信号失效确定故障的光传送网络接口 ;按照业务配置路径将所述信号失效转发给与所述光传送网络接口对应的分组传送网络接口; 通过所述分组传送网络接口向分组传送网络发送前向失效指示或告警指示信号;和/或, 在检测到分组传送网络的分组业务通道的故障信号时,根据所述分组业务通道的故障信号确定故障的分组传送网络接口,按照业务配置路径将所述故障信号转发给与所述分组传送网络接口对应的光传送网络接口,通过所述光传送网络接口向光传送网络发送信号失效;
所述分组传送网络31,用于在接收到网络安全保护装置33发送的前向失效指示或告警指示信号时,进行自动保护倒换;所述光传送网络32,用于在接收到网络安全保护装置33发送的信号失效时,进行子网连接保护倒换。网络安全保护装置作为光传送网络和分组传送网络的中间设备节点,承载光传送网络和分组传送网络的保护协议相互衔接功能。其中,所述网络安全保护装置的单元以及单元的功能和作用详见上述,在此不再赘述。为了便于本领域技术人员的理解,下面以具体的实例来说明还请参阅图4,为本发明实施例提供的一种网络安全保护的方法的应用实例,在该实施例中,以包括触发所述分组传送网络进行自动保护倒换和触发所述光传送网络进行子网连接保护倒换为例,二者在时间上没有先后顺序,也可以同时执行,本实施例不作限制。 在该实施例的业务传送中,OTN的装置中配置了自动保护倒换,利用目前OTN的强大开销功能可以实现业务级的保护倒换功能;同时,PTN的装置中配置了子网连接保护倒换。在该实施例中,ONT向网络安全保护装置的OTN接口发送OTN线路信号;具体过程包括步骤401 =ONT向网络安全保护装置的OTN接口发送信号失效消息,即网络安全保护装置检测到OTN接口的信号失效消息;步骤402 网络安全保护装置根据所述信号失效确定故障的OTN接口;也就是说,在到OTN链路故障后,如果网络安全保护装置检测到SF条件后,则通过控制平面提取SF开销,并识别开销对应的PTN接口(比如UNI端口);之后,所述方法还可以将所述信号失效的格式转换为PTN中PTN接口能识别的格式,以便于对所述信号失效进行识别。步骤403 网络安全保护装置按照业务配置路径将所述信号失效转发给与所述 OTN接口对应的PTN接口;步骤404 网络安全保护装置通过所述PTN接口向分组传送网络发送前向前向失效指示(FDI,Forward Detect Inditor)或告警指示信号(AIS,Alarm Indication Signal);也就是说,通过与所述OTN接口对应的PTN接口,向分组传送网络发送前向失效指示或告警指示信号。步骤405 分组传送网络在接收到所述前向失效指示或告警指示信号时,进行自动保护倒换,即启动APS备用链路;步骤406 网络安全保护装置还通过所述OTN接口向ONT反馈信号失效;步骤407 :0ΝΤ在接收到所述失效信号时,进行自动保护倒换,即启动SNCP备用链路;其中,步骤406和步骤407为可选步骤。也就是说,在步骤401至步骤405中,从左侧OTN接口接入OTN线路信号,并配置了 SNCP保护,利用目前OTN的强大开销功能可以实现业务级的保护倒换功能,当OTN链路检测到故障以后,网络安全保护装置(即混合传送与桥接装置)检测到SF条件后,通过控制平面提取SF开销,并识别开销对应的PTN接口(比如用户网路接口 UNI,User NetworkInterface)后,根据业务配置路径将SF故障转发到对应的PTN接口,通过向用以PTN下插 FDI/AIS报文,触发PTN网络进行相关倒换。步骤408 网络安全保护装置通过PTN接口检测到分组业务通道的故障信号;步骤409 网络安全保护装置根据所述分组业务通道的故障信号确定故障的PTN 接口 ;步骤410 网络安全保护装置按照业务配置路径将所述故障信号转发给与所述 PTN接口对应的OTN接口;步骤411 网络安全保护装置通过所述OTN接口向光传送网络发送信号失效;步骤412 光传送网络在接收到信号失效时,进行子网连接保护倒换,即启动备用链路。由步骤408至步骤412可知,从右侧PTN接口接入分组网络信号,并配置了 APS保护,当PTN链路产生故障,网络安全保护装置(即混合传送与桥接装置)检测到分组网络接口检测到分组业务通道故障信息信号后,同样通过控制平面根据业务配置路径将PIN接口 (其顕I是PIN接口的一种接口 )故障转发到OTN接口(即PTN侧的出端口 ),通过下插SF 报文触发OTN网络的相关保护倒换。在该实施例中,步骤401至步骤407,与步骤408至步骤412的执行顺序没有先后之后,可以先执行步骤401至步骤407 ;也可以先执行步骤408和步骤412 ;也可以同时进行;也可以在执行步骤401至步骤407的过程中,执行步骤408至步骤412 ;也可以在执行步骤408至步骤412的过程中,执行步骤401至步骤407,本实施例不作限制。由上述实施例可知,OTN和分组业务混合传送网络的端到端的故障得到双向转换与传递,达到了双向端到端保护倒换的目的。本发明实施例无需对现网存在协议进行任何改动,通过网络安全保护装置(即混合传送与桥接装置)的故障快速转发,轻松实现两个不同网络侧的串联保护,并可以保证目前现网的倒换时间在50ms以内。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以可借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以保存在一个非易失性保存介质(例如,可以是只读存储器(ROM),U盘,移动硬盘,随机存取存储器(RAM)、磁碟或者光盘等各种可以存储程序代码的介质等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,在没有超过本申请的精神和范围内,可以通过其他的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,所描述系统,装置和方法以及不同实施例的示意图,在不超出本申请的范围内,可以与其它系统,模块,技术或方法结合或集成。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。 以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
权利要求
1.一种网络安全保护方法,其特征在于,包括在检测到光传送网络的链路上的信号失效时,根据所述信号失效确定故障的光传送网络接口 ;按照业务配置路径将所述信号失效转发给与所述光传送网络接口对应的分组传送网络接口 ;通过所述分组传送网络接口向分组传送网络发送前向失效指示或告警指示信号,以触发所述分组传送网络进行自动保护倒换;和/或在检测到分组传送网络的分组业务通道的故障信号时,根据所述分组业务通道的故障信号确定故障的分组传送网络接口,按照业务配置路径将所述故障信号转发给与所述分组传送网络接口对应的光传送网络接口,通过所述光传送网络接口向光传送网络发送信号失效,以触发所述光传送网络进行子网连接保护倒换。
2.如权利要求1所述的方法,其特征在于,所述根据所述信号失效确定故障的光传送网络接口包括提取所述信号失效的开销;识别所述开销,得到故障的光传送网络接口。
3.如权利要求1或2所述的方法,其特征在于,在按照业务配置路径将所述信号失效转发给与所述光传送网络接口对应的分组传送网络接口之前,所述方法还包括将所述信号失效的格式转换为分组传送网络接口能识别的格式。
4.如权利要求1至3任一项所述的方法,其特征在于,在确定故障的光传送网络接口后,所述方法还包括向光传送网络反馈信号失效,以触发所述光传送网络进行子网连接保护倒换。
5.一种网络安全保护装置,其特征在于,包括第一检测单元、第一确定单元、第一发送单元和第一触发单元;和/或,第二检测单元、第二确定单元、第二发送单元和第二触发单元,其中,所述第一检测单元,用于检测光传送网络接口的信号状态;所述第一确定单元,用于在检测到光传送网络接口的信号失效时,根据所述信号失效确定故障的光传送网络接口;所述第一发送单元,用于按照业务配置路径将所述信号失效转发给与所述光传送网络接口对应的分组传送网络接口;所述第一触发单元,用于通过所述分组传送网络接口向分组传送网络发送前向失效指示或告警指示信号,以触发所述分组传送网络进行自动保护倒换;所述第二检测单元,用于检测分组传送网络的分组业务通道的信号状态; 所述第二确定单元,用于在检测到分组传送网络的分组业务通道的故障信号时,根据所述分组业务通道的故障信号确定故障的分组传送网络接口;所述第二发送单元,用于按照业务配置路径将所述故障信号转发给与所述分组传送网络接口对应的光传送网络接口;所述第二触发单元,用于通过所述光传送网络接口向光传送网络发送信号失效,以触发所述光传送网络进行子网连接保护倒换。
6.如权利要求5所述的装置,其特征在于,所述第一确定单元包括 第一提取单元,用于提取所述信号失效的开销;第一识别单元,用于识别所述开销,得到故障的光传送网络接口。
7.如权利要求5或6所述的装置,其特征在于,还包括转换单元,用于在所述第一发送单元转发所述信号失效之前,将所述信号失效的格式转换为分组传送网络接口能识别的格式。
8.如权利要求5或6或7所述的装置,其特征在于,还包括第三触发单元,用于在所述第一确定单元确定故障的光传送网络接口后,向光传送网络反馈信号失效,以触发所述光传送网络进行子网连接保护倒换。
9.如权利要求5至8任一项所述的装置,其特征在于,所述第一检测单元和第二检测单元集成在一起;第一确定单元和第二确定单元集成在一起;第一发送单元和第一发送单元集成在一起;第一触发单元和第二触发单元集成在一起。
10.一种网络安全保护系统,包括光传送网络装置和分组传送网络装置;其特征在于,还包括网络安全保护装置;所述网络安全保护装置通过至少一个分组传送网络接口与分组传送网络装置连接,通过至少一个光传送网络接口与光传送网络装置连接,其中,所述网络安全保护装置,用于检测光传送网络的链路上的信号状态,并在检测到光传送网络的链路上的信号失效时,根据所述信号失效确定故障的光传送网络接口 ;按照业务配置路径将所述信号失效转发给与所述光传送网络接口对应的分组传送网络接口 ;通过所述分组传送网络接口向分组传送网络发送前向失效指示或告警指示信号;和/或,在检测到分组传送网络的分组业务通道的故障信号时,根据所述分组业务通道的故障信号确定故障的分组传送网络接口,按照业务配置路径将所述故障信号转发给与所述分组传送网络接口对应的光传送网络接口,通过所述光传送网络接口向光传送网络发送信号失效;所述分组传送网络,用于在接收到网络安全保护装置发送的前向失效指示或告警指示信号时,触发所述分组传送网络进行自动保护倒换;所述光传送网络,用于在接收到网络安全保护装置发送的信号失效时,进行子网连接保护倒换。
11.如权利要求10所述的系统,其特征在于,所述网络安全保护装置如权利要求5至9 任一项所述的网络安全保护装置。
全文摘要
一种网络安全保护方法、装置及系统,所述方法包括在检测到光传送网络的链路上的信号失效时,根据信号失效确定故障的光传送网络接口;按照业务配置路径将所述信号失效转发给与所述光传送网络接口对应的分组传送网络接口;通过所述分组传送网络接口向分组传送网络发送前向失效指示或告警指示信号,以触发所述分组传送网络进行自动保护倒换;和/或在检测到分组传送网络的分组业务通道的故障信号时,根据所述分组业务通道的故障信号确定故障的分组传送网络接口,按照业务配置路径将所述故障信号转发给与所述分组传送网络接口对应的光传送网络接口,通过所述光传送网络接口向光传送网络发送信号失效,以触发所述光传送网络进行子网连接保护倒换。
文档编号H04L12/56GK102405620SQ201180001408
公开日2012年4月4日 申请日期2011年6月13日 优先权日2011年6月13日
发明者周亦波, 林强 申请人:华为技术有限公司