CN100456747C - 一种单播反向路径检查的实现方法和网络设备 - Google Patents

一种单播反向路径检查的实现方法和网络设备 Download PDF

Info

Publication number
CN100456747C
CN100456747C CNB200610103836XA CN200610103836A CN100456747C CN 100456747 C CN100456747 C CN 100456747C CN B200610103836X A CNB200610103836X A CN B200610103836XA CN 200610103836 A CN200610103836 A CN 200610103836A CN 100456747 C CN100456747 C CN 100456747C
Authority
CN
China
Prior art keywords
urpf
network equipment
message
interface
route table
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CNB200610103836XA
Other languages
English (en)
Other versions
CN1917474A (zh
Inventor
唐湜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CNB200610103836XA priority Critical patent/CN100456747C/zh
Publication of CN1917474A publication Critical patent/CN1917474A/zh
Priority to EP07721764A priority patent/EP2048813B1/en
Priority to AT07721764T priority patent/ATE471006T1/de
Priority to DE602007007091T priority patent/DE602007007091D1/de
Priority to PCT/CN2007/070145 priority patent/WO2008017255A1/zh
Priority to US12/351,497 priority patent/US20090116501A1/en
Application granted granted Critical
Publication of CN100456747C publication Critical patent/CN100456747C/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/26Route discovery packet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Bridges Or Land Bridges (AREA)
  • Surface Acoustic Wave Elements And Circuit Networks Thereof (AREA)

Abstract

本发明提供了一种单播反向路径检查的实现方法和网络设备。本发明所述方法和网络设备的核心技术内容均为:在网络设备路由表的路由表项中设置单播反向路径检查URPF标志,网络设备根据携带URPF标志的路由表项对相应报文进行URPF。本发明在不需要对接口转发的报文全部进行URPF的前提下,避免了流分类表项等的查找过程;本发明可以通过静态、动态等多种方式来设置网络设备路由表中的URPF标志;简化了URPF的实现过程,提高网络设备转发性能的目的。

Description

一种单播反向路径检查的实现方法和网络设备
技术领域
本发明涉及通信技术领域,尤其涉及一种单播反向路径检查的实现方法和网络设备。
背景技术
20世纪末出现的IP网络创造了人类科技史上的奇迹,IP网络最大优势是开放性,并最大限度地支持终端的智能,这使得IP网络中存在着各种各样丰富多彩的业务与应用。但与此同时,IP网络的开放性与终端的智能化也使得IP网络面临着前所未有的安全威胁。
IP源地址欺骗就是IP网络中常见的一种攻击方式,所谓IP源地址欺骗就是攻击者采用改变源IP地址的方法到达攻击报文的目的。
为了防止攻击者利用改变源IP地址构造的方法在IP网络上恶意的攻击,现在普遍采用的防御方法就是URPF,即单播反向路径检查。
目前,实现URPF的方法主要有两种:
方法一、通过转发报文相关接口启用URPF。
这种方式是在网络设备的某一个转发接口上启用URPF,对通过此转发接口的报文都进行URPF。
如图1所示,设备A与其它网段相连接,设备A在连接其它网段的接口上启用了URPF。设备B链接了两个网络,其中网段F需要启用URPF,网段R由于不存在需要特别关心的地址,因此网点R不需要启用URPF。但如果采用方法一,则在网络设备A上需要对所有发往网络设备B上的报文都进行URPF,即对发往网段P的报文也必须进行URPF。
在通过转发报文相关接口启用URPF的方式中,由于对通过某一个接口的所有报文都进行URPF,包括对一些无需特别关心地址的报文也必须进行URPF,从而造成了网络设备转发性能的下降。
方法二、通过流分类实现URPF。
流分类,即通过对转发报文中的各类信息进行判断,以便将报文进行分类。报文分类后可以继续进行相应的动作,如进行URPF。
如图1所示,如果想在网络设备A上对发往网络设备B的报文进行URPF检查,又想避免方法一中对所有报文都进行URPF的缺点,则需要在网络设备A上遍历网络设备B的连接情况,以区分哪种情况应该进行URPF,哪种情况不用进行URPF。
通过流分类来实现URPF,一般要求在网络设备上进行大量的复杂的静态配置如ACL访问控制列表配置等,以便区分各种转发流的类型。网络设备在转发报文时需要查找流分类表,然后,对相应的报文进行URPF。这样,不但增加了网络设备维护的工作量,还增加了网络设备进行报文转发的复杂度,同样造成了网络设备转发性能的下降。
综上所述,目前实现URPF的方法都不能简单且有效的实现对报文的URPF,从而造成了网络设备转发性能的下降。
发明内容
鉴于上述现有技术所存在的问题,本发明的目的是提供一种单播反向路径检查的实现方法,本发明通过在网络设备对其路由表中的路由表项设置单播反向路径检查URPF标志,简化了网络设备对报文进行URPF的实现过程,提高了网络设备的转发性能。
本发明的目的是通过以下技术方案实现的:
本发明提供了一种单播反向路径检查的实现方法,包括步骤:
A、在网络设备路由表的路由表项中设置单播反向路径检查URPF标志;
B、网络设备查找路由表,判断需要转发的报文对应的路由表项中是否包含URPF标志,如果是,则对需要转发的报文进行URPF,否则,按照正常处理流程转发报文。
所述步骤A具体包括:
本端网络设备根据对端网络设备发来的路由信息生成对应的路由表项,并在确定所述路由信息中的附带信息满足URPF策略中关于附带信息的要求条件时,在该路由表项中设置URPF标志。
设置需要进行URPF的接口信息,且所述步骤B包括:
设置需要进行URPF的接口信息,且所述步骤B包括:
网络设备查找路由表,判断需要转发的报文对应的路由表项中是否包含URPF标志,且报文对应的接口是否属于需要进行URPF的接口,如果需要转发的报文对应的路由表项中包含了URPF标志且报文对应的接口属于是进行URPF的接口,则对需要转发的报文进行URPF,否则,按照正常处理流程转发报文。
所述需要进行URPF的接口信息保存在本端网络设备路由表的相应路由表项中。
所述设置的需要进行URPF的接口信息中的任一接口为:逻辑接口或物理接口。
所述报文对应的接口为:报文的入接口和/或报文的出接口。
本发明还提供一种网络设备,所述网络设备包括:包括路由表单元、判断单元和URPF单元;
路由表单元,用于存储路由表项,且需要进行URPF的路由表项中包含有URPF标志;
判断单元,用于在网络设备进行报文转发时,判断该报文对应的路由表项中是否包含有URPF标志,如果是,触发URPF单元;否则,触发正常的报文转发流程;
URPF单元,用于根据判断单元的触发对网络设备需要转发的报文进行URPF。
所述网络设备还包括:
URPF标志设置单元,用于在网络设备根据其接收的路由信息生成对应的路由表项过程中,在确定所述路由信息中的附带信息满足URPF策略中关于附带信息的要求条件时,在所述路由表项中设置URPF标志。
路由表单元存储的路由表项中还包含需要进行URPF的接口列表信息;所述判断单元在发现查找到的路由表项中包含URPF标志、且该报文对应的接口包含在所述需要进行URPF的接口列表信息中时,触发URPF单元。
由上述本发明提供的技术方案可以看出,本发明通过在路由表中设置URPF标志,使网络设备可以直接根据该标识对其接收的数据报文进行URPF,在不需要对接口转发的报文全部进行URPF的前提下,避免了流分类表项的查找过程;本发明可以通过静态、动态等多种方式来设置网络设备路由表中的URPF标志;在根据路由信息、URPF策略来设置路由表中的URPF标志时,使URPF标志的设置过程易于实现;本发明还通过在路由表中设置需要进行URPF的接口信息列表,使URPF的实现过程多样化,满足不同的URPF需求;从而实现了在IP网络上简单而有效的进行URPF、提高网络设备转发性能的目的。
附图说明
图1为现有技术的实现URPF的示意图;
图2为本发明实施例的实现URPF的示例图;
图3为本发明实施例的URPF标志动态生成过程的流程图;
图4为本发明实施例的根据URPF标志进行URPF的流程图。
具体实施方式
本发明的核心思想是通过在路由表项中设置URPF标志,来实现URPF。
本发明首先需要对网络设备路由表中的路由表项设置URPF标志,然后,网络设备就可以根据携带URPF标志的路由表项对使用该路由表项进行转发的报文进行URPF。
本发明网络设备路由表项中的URPF标志可以通过静态设置生成,也可以通过动态设置生成。静态设置如在相关路由表项中人为添加URPF标志;动态设置生成如网络设备根据路由信息动态生成URPF标志。
下面以动态生成URPF标志为例对本发明提供的技术方案进行说明。
本端网络设备根据对端网络设备发来的路由信息生成对应的路由表项,并在确定所述路由信息中的附带信息满足URPF策略中关于附带信息的要求条件时,本端网络设备在该路由表项中设置URPF标志。
本端网络设备接收需要转发到对端网络的报文,并查找路由表。在本端网络设备发现查找到的路由表项中包含有URPF标志时,对需要转发的报文进行URPF,否则,本端网络设备按照正常处理流程转发报文。
下面结合附图2,以图中所示网络结构为例,对本发明提供的技术方案进行说明。
图2中,网络设备A与网络设备B连接,网络设备B与两个网段连接,即网段R和网段F,设定发往网段F的报文需要进行URPF,网段R不存在需要特别关心的地址,即发往网段R的报文不需要进行URPF。
在网络设备A上配置URPF策略,以表明:如果路由信息的附带信息满足条件,则网络设备A根据该路由信息生成的路由表项中需要设置URPF标志,如路由信息中的附带信息X等于Y,则网络设备A根据该路由信息生成的路由表项中需要设置URPF标志。这里的条件也可以为其他形式。这里的附带信息可以为路由信息中的一个或多个附带信息,条件也可以为一个或多个。本发明可以在一个附带信息满足一个条件时,对相应的路由表项设置URPF标志;也可以在一个附带信息同时满足多个条件时,对相应的路由表项设置URPF标志;还可以在多个附带信息分别满足条件时,对相应的路由表项设置URPF标志等等。本发明不限制附带信息满足条件的具体表现形式。由于网络设备A发往网段F的报文需要进行URPF,所以,这里的附带信息满足的条件是与网段F相关的,与网段R无关。
设定网络设备A上配置的URPF策略为路由信息中的附带信息X等于Y,则路由信息在配置了上述URPF策略后,网络设备A在接收到网络设备B发来的网段F的路由信息时,为该路由信息生成对应的路由表项,由于网段F的路由信息中附带信息X等于Y,所以,网络设备A为网段F的路由信息生成的路由表项中设置有URPF标志。网络设备A在接收到网络设备B发来的网段R的路由信息时,为该路由信息生成对应的路由表项,由于网段R的路由信息中附带信息X不等于Y,所以,网络设备A为网段R的路由信息生成的路由表项中不设置URPF标志。
由于网络设备A的路由表的相应表项中设置了URPF标志,当网络设备A要向网段F或网段R转发报文时就会作如下处理:
如果有其它网段要向网段F发送报文,并需要经过网络设备A转发时,网络设备A接收需要转发给网段F的报文,并查找路由表,在发现查找到的路由表项中包含URPF标志时,对报文进行URPF检查,并将URPF检查过滤后的报文转发至网络设备B。
如果有其它网段要向网段R发送报文,并需要经过网络设备A转发时,网络设备A接收需要转发到网段R的报文,并查找路由表,在发现查找到的路由表项中没有包含URPF标志时,不对报文进行URPF检查,正常转发报文。
下面结合附图3和附图4对本发明提供的方法做进一步阐述。
图3中,本发明URPF标志的动态生成过程具体如下:
在步骤30、在本端网络设备配置URPF策略,如在本端网络设备A上设定的条件为AS(自治系统)号=100,并且标明如果对端网路设备B发送过来的路由信息中的附带信息满足这个条件,则在网络设备A中生成的路由表项中设置URPF标志。
到步骤31、本端网络设备接收对端网络设备发来的路由信息。
到步骤32、本端网络设备根据所述路由信息生成对应的路由表项。
到步骤33、将路由信息中的附带信息与URPF策略中关于附带信息的要求条件进行比较。
到步骤34、判断路由信息中的附带信息与URPF策略中关于附带信息的要求条件是否满足,如果满足,则执行步骤35,否则,执行步骤36。
在步骤35、在生成的路由表项中设置URPF标志。
在步骤36、不对生成的路由表项进行URPF标志设置的处理。
在上述图3中,网络设备A接收网络设备B发送的路由信息,这里的路由信息包括到网络F的路由信息和到网段R的路由信息,设定到网段F的路由信息中的附带信息为AS号=100,到网段R的路由信息中的附带信息为AS号=99。这样,网络设备A将网络设备B发送的路由信息中的附带信息与其设定的条件比较,发现:到网段F的路由信息的附带信息满足设定的条件,则生成对应网段F的路由表项,并在该路由表项中设置URPF标志,而到网段R的路由信息的附带信息不满足设定的条件,所以,生成的路由表项中就没有设置URPF标志。
本发明的网络设备根据URPF标志进行URPF的具体实现过程图4所示。
图4中,在步骤41、本端网络设备接收需要转发到对端网络的报文。
到步骤42、本端网络设备从其路由表中查找相应的路由表项。
到步骤43、如果本端网络设备发现查找到的路由表项中包含URPF标志,则执行步骤44,否则执行步骤45;
在步骤44、网络设备对该报文进行URPF检查。
在步骤45、网络设备不对该报文进行URPF检查,正常转发报文。
在上述图4中,当网络设备A收到其他网段转发到网段F的报文,查找其路由表中对应网段F的路由表项,发现查找到的路由表项中包含了URPF标志,于是对转发到网段F的报文进行URPF。如果网络设备A收到是其他网段转发到网段R的报文,同样查找其路由表中对应网段R的路由表项,发现查找到的路由表项中并没有包含UTRPF标志,表明不需要进行URPF,于是直接将该报文转发给网段R。
上述实施例是以网络设备对发往一个网段的报文进行URPF为例进行说明的,当网络设备需要对发往多个网段的报文进行URPF时,本发明提供的技术方案也同样适用。
下面仍然结合附图2,对网络设备针对发往多个网段的报文进行URPF的实现过程进行说明。
设定图2中的网络设备B还连接了网段S,设定发往网段F的报文需要进行URPF,发往网段S的报文需要进行URPF,网段R不存在需要特别关心的地址,即发往网段R的报文不需要进行URPF。此时,网络设备A中的URPF策略应分别针对网段F和网段S来设置,网络设备A在接收到网络设备B发来的网段F的路由信息和网段S的路由信息时,为该路由信息生成对应的路由表项,由于URPF策略是针对网段F和网段S设置的,所以,网段F的路由信息中的附带信息满足URPF策略中针对网段F的条件,网段S的路由信息中的附带信息满足URPF策略中针对网段S的条件,所以,网络设备A为网段F的路由信息生成的路由表项中设置有URPF标志,为网段S的路由信息生成的路由表项中设置有URPF标志。这样,网络设备A利用路由表项中的URPF标志能够对发往网段F和网段S的报文进行URPF。其具体实现方案与上述实施例中的描述基本相同,在此不再详细描述。
本发明还可以在上述实施例的基础上作进一步扩展,即本发明还可以在本端网络设备上设定至少一个接口作为需要对报文进行URPF的接口,并将所述接口信息保存在所述本端网络设备路由表中,路由表中的这些接口信息可以称为接口列表。
当本端网络设备在发现查找到的路由表项中包含URPF标志后,还要进一步确定该报文对应的接口是否属于接口列表中的接口,如果属于,才对需要转发的报文进行URPF,否则,按照正常的处理流程转发报文。
具体的说就是,在配置URPF策略时,还可以指定至少一个在网络设备A上存在的接口作为需要进行URPF的接口,这里的其中任一个接口即可以为物理接口,如物理入接口、物理出接口等,也可以为逻辑接口,如逻辑入接口、逻辑出接口等。本发明可以将这些接口信息保存在网络设备的路由表中。这里的接口可以与报文的入接口进行匹配,也可以与报文的出接口进行匹配,还可以同时与报文的入接口和出接口进行匹配。
这样,当端网络设备在其路由表中检查到URPF标志后,还要进一步检查报文的入接口和/或出接口是否在接口列表之中,如果确定在接口列表中,则再进行URPF检查,否则不再进行URPF检查,而是按照正常的处理流程转发报文。
本发明提供的网络设备包括:路由表单元、URPF标志设置单元、URPF单元和判断单元。
路由表单元主要用于存储路由表项,且相应的路由表项中包含有URPF标志。路由表单元中存储的路由表项可以是静态配置的,也可以是网络设备根据其接收到的路由信息动态生成的。同样,路由表项中的URPF标志可以是静态配置的,也可以是网络设备根据其接收到的路由信息动态生成的。
URPF标志设置单元主要用于在网络设备根据对端网络设备发来的路由信息生成对应的路由表项过程中,在确定该路由信息中的附带信息满足URPF策略中关于附带信息的要求条件时,在上述生成的路由表项中设置URPF标志。附带信息、URPF策略等如上述方法中的描述。
判断单元主要用于在网络设备进行报文转发、且确定该报文对应的路由表单元中的路由表项中包含有URPF标志时,触发URPF单元,使URPF单元对上述转发的报文进行URPF。判断单元在确定网络设备需要进行转发的报文对应的路由表单元中的路由表项中没有包含URPF标志时,网络设备按照正常的处理流程进行报文转发。
URPF单元主要用于根据判断单元的触发对网络设备需要转发的报文进行URPF。
另外,本发明路由表单元存储的路由表项中还包含需要进行URPF的接口列表;此时,判断单元在发现查找到的路由表项中包含URPF标志、且该报文对应的接口包含在所述需要进行URPF的接口信息列表中时,触发URPF单元。
通过上述实施例的描述可以看出,本发明通过对路由表中的相关表项设置URPF标志,在不需要对接口转发的报文全部进行URPF的前提下,避免了流分类表项等的查找过程,从而简化了URPF的实现过程,提高了网络设备的转发性能,克服了现有技术中存在的问题。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。

Claims (9)

1、一种单播反向路径检查的实现方法,其特征在于,包括步骤:
A、在网络设备路由表的路由表项中设置单播反向路径检查URPF标志;
B、网络设备查找路由表,判断需要转发的报文对应的路由表项中是否包含URPF标志,如果是,则对需要转发的报文进行URPF,否则,按照正常处理流程转发报文。
2、根据权利要求1所述的方法,其特征在于,所述步骤A具体包括:
本端网络设备根据对端网络设备发来的路由信息生成对应的路由表项,并在确定所述路由信息中的附带信息满足URPF策略中关于附带信息的要求条件时,在该路由表项中设置URPF标志。
3、根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
设置需要进行URPF的接口信息,且所述步骤B包括:
网络设备查找路由表,判断需要转发的报文对应的路由表项中是否包含URPF标志,且报文对应的接口是否属于需要进行URPF的接口,如果需要转发的报文对应的路由表项中包含了URPF标志且报文对应的接口属于是进行URPF的接口,则对需要转发的报文进行URPF,否则,按照正常处理流程转发报文。
4、根据权利要求3所述的方法,其特征在于,所述需要进行URPF的接口信息保存在本端网络设备路由表的相应路由表项中。
5、根据权利要求3所述的方法,其特征在于,所述设置的需要进行URPF的接口信息中的任一接口为:逻辑接口或物理接口。
6、根据权利要求3所述的方法,其特征在于,所述报文对应的接口为:报文的入接口和/或报文的出接口。
7、一种网络设备,其特征在于,所述网络设备包括:包括路由表单元、判断单元和URPF单元;
路由表单元,用于存储路由表项,且需要进行URPF的路由表项中包含有URPF标志;
判断单元,用于在网络设备进行报文转发时,判断该报文对应的路由表项中是否包含有URPF标志,如果是,触发URPF单元;否则,触发正常的报文转发流程;
URPF单元,用于根据判断单元的触发对网络设备需要转发的报文进行URPF。
8、根据权利要求7所述的网络设备,其特征在于,网络设备还包括:
URPF标志设置单元,用于在网络设备根据其接收的路由信息生成对应的路由表项过程中,在确定所述路由信息中的附带信息满足URPF策略中关于附带信息的要求条件时,在所述路由表项中设置URPF标志。
9、根据权利要求7所述的网络设备,其特征在于,所述路由表单元存储的路由表项中还包含需要进行URPF的接口列表信息;
所述判断单元在发现查找到的路由表项中包含URPF标志、且该报文对应的接口包含在所述需要进行URPF的接口列表信息中时,触发URPF单元。
CNB200610103836XA 2006-08-02 2006-08-02 一种单播反向路径检查的实现方法和网络设备 Expired - Fee Related CN100456747C (zh)

Priority Applications (6)

Application Number Priority Date Filing Date Title
CNB200610103836XA CN100456747C (zh) 2006-08-02 2006-08-02 一种单播反向路径检查的实现方法和网络设备
EP07721764A EP2048813B1 (en) 2006-08-02 2007-06-21 A method and device for realizing unicast reverse path check
AT07721764T ATE471006T1 (de) 2006-08-02 2007-06-21 Verfahren und einrichtung zur realisierung einer unicast-rückwärtsfahrtprüfung
DE602007007091T DE602007007091D1 (de) 2006-08-02 2007-06-21 Verfahren und einrichtung zur realisierung einer unicast-rückwärtsfahrtprüfung
PCT/CN2007/070145 WO2008017255A1 (fr) 2006-08-02 2007-06-21 Procédé et dispositif pour réaliser une vérification de trajet inverse d'envoi individuel
US12/351,497 US20090116501A1 (en) 2006-08-02 2009-01-09 Method and device for realizing unicast reverse path for forwarding

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB200610103836XA CN100456747C (zh) 2006-08-02 2006-08-02 一种单播反向路径检查的实现方法和网络设备

Publications (2)

Publication Number Publication Date
CN1917474A CN1917474A (zh) 2007-02-21
CN100456747C true CN100456747C (zh) 2009-01-28

Family

ID=37738370

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB200610103836XA Expired - Fee Related CN100456747C (zh) 2006-08-02 2006-08-02 一种单播反向路径检查的实现方法和网络设备

Country Status (6)

Country Link
US (1) US20090116501A1 (zh)
EP (1) EP2048813B1 (zh)
CN (1) CN100456747C (zh)
AT (1) ATE471006T1 (zh)
DE (1) DE602007007091D1 (zh)
WO (1) WO2008017255A1 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7934049B2 (en) * 2005-09-14 2011-04-26 Sandisk Corporation Methods used in a secure yet flexible system architecture for secure devices with flash mass storage memory
CN102055672B (zh) * 2010-12-27 2013-03-13 北京星网锐捷网络技术有限公司 一种数据流传输路径的控制方法、装置和路由设备
CN110381006A (zh) * 2018-04-12 2019-10-25 中兴通讯股份有限公司 报文处理方法、装置、存储介质及处理器
CN112769694B (zh) * 2021-02-02 2022-05-27 新华三信息安全技术有限公司 一种地址检查方法及装置
CN113438101B (zh) * 2021-06-07 2022-11-25 杭州迪普科技股份有限公司 Urpf的配置方法、计算机程序产品及框式设备
CN118074983A (zh) * 2024-02-27 2024-05-24 上海欣诺通信技术股份有限公司 一种urpf检查的控制方法、设备、介质及程序产品

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030223402A1 (en) * 2002-06-04 2003-12-04 Sanchez Juan Diego Efficient reverse path forwarding check mechanism
WO2005022347A2 (en) * 2003-08-28 2005-03-10 Cisco Technology, Inc Reverse path forwarding protection
CN1750512A (zh) * 2005-09-27 2006-03-22 杭州华为三康技术有限公司 单播反向路径转发方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6839348B2 (en) * 1999-04-30 2005-01-04 Cisco Technology, Inc. System and method for distributing multicasts in virtual local area networks
US6791980B1 (en) * 1999-10-28 2004-09-14 Nortel Networks Ltd System, device, and method for reducing the number of multicast routes maintained in a multicast routing information base
US7339903B2 (en) * 2001-06-14 2008-03-04 Qualcomm Incorporated Enabling foreign network multicasting for a roaming mobile node, in a foreign network, using a persistent address
US7530112B2 (en) * 2003-09-10 2009-05-05 Cisco Technology, Inc. Method and apparatus for providing network security using role-based access control
US20050177717A1 (en) * 2004-02-11 2005-08-11 Grosse Eric H. Method and apparatus for defending against denial on service attacks which employ IP source spoofing
US7480255B2 (en) * 2004-05-27 2009-01-20 Cisco Technology, Inc. Data structure identifying for multiple addresses the reverse path forwarding information for a common intermediate node and its use
US7787462B2 (en) * 2006-03-06 2010-08-31 Cisco Technology, Inc. Applying features to packets in the order specified by a selected feature order template
US7693146B2 (en) * 2006-03-10 2010-04-06 Cisco Technology, Inc. Method and system for filtering traffic from unauthorized sources in a multicast network
US8040895B2 (en) * 2006-03-22 2011-10-18 Cisco Technology, Inc. Method and system for removing dead access control entries (ACEs)

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030223402A1 (en) * 2002-06-04 2003-12-04 Sanchez Juan Diego Efficient reverse path forwarding check mechanism
WO2005022347A2 (en) * 2003-08-28 2005-03-10 Cisco Technology, Inc Reverse path forwarding protection
CN1750512A (zh) * 2005-09-27 2006-03-22 杭州华为三康技术有限公司 单播反向路径转发方法

Also Published As

Publication number Publication date
CN1917474A (zh) 2007-02-21
ATE471006T1 (de) 2010-06-15
WO2008017255A1 (fr) 2008-02-14
EP2048813A4 (en) 2009-09-02
EP2048813A1 (en) 2009-04-15
US20090116501A1 (en) 2009-05-07
DE602007007091D1 (de) 2010-07-22
EP2048813B1 (en) 2010-06-09

Similar Documents

Publication Publication Date Title
CN100456747C (zh) 一种单播反向路径检查的实现方法和网络设备
EP2377273B1 (en) Reducing propagation of message floods in computer networks
CN101877671B (zh) 镜像报文的发送方法、交换芯片及以太网路由器
CN101635702B (zh) 应用安全策略的数据包转发方法
CN100407704C (zh) 媒体接入控制层地址的动态学习方法
CN102197627A (zh) 组播流量收敛的改善
CN103329469A (zh) 在信息包网络设备中缩小数据损失窗口的方法
CN101272291A (zh) 网络设备测试方法及系统
CN101325554B (zh) 一种路由创建方法、转发芯片及三层交换机
CN101099339A (zh) 光纤信道转发信息库
CN109088819A (zh) 一种报文转发方法、交换机及计算机可读存储介质
CN102801820A (zh) 一种evi网络中mac地址发布方法和装置
CN101351781B (zh) 在通信网络中处理传入分组的方法和系统
CN101778035B (zh) 一种虚拟专用局域网通信的方法及装置
CN101848186A (zh) 一种塑料光纤三层以太网交换机
CN101945117A (zh) 防止源地址欺骗攻击的方法及设备
CN101710856A (zh) 一种聚合链路的环回检测处理方法及设备
CN100444586C (zh) 报文转发方法及设备
CN111343025B (zh) 功能虚拟化网络中可扩展的服务器部署方法
CN101645904A (zh) 一种降低交换机中央处理器使用率的方法的装置
CN102624691A (zh) 可共用广告拦截配置信息的多代理上网方法
CN101582857B (zh) 一种基于弹性分组环的数据上环转发方法及装置
CN102104533B (zh) Rrpp单环网络数据发送路径优化方法及环网节点
CN106330783A (zh) 一种OpenFlow交换机能力上报的方法及装置
CN114760254A (zh) 虚拟网络架构及虚拟网络架构实现数据包转发处理方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20090128

Termination date: 20150802

EXPY Termination of patent right or utility model