CN101043442B - 一种在以太网交换机上实现urpf的方法 - Google Patents
一种在以太网交换机上实现urpf的方法 Download PDFInfo
- Publication number
- CN101043442B CN101043442B CN2006101387924A CN200610138792A CN101043442B CN 101043442 B CN101043442 B CN 101043442B CN 2006101387924 A CN2006101387924 A CN 2006101387924A CN 200610138792 A CN200610138792 A CN 200610138792A CN 101043442 B CN101043442 B CN 101043442B
- Authority
- CN
- China
- Prior art keywords
- urpf
- interface
- switch
- message
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 13
- 230000006870 function Effects 0.000 claims description 40
- 238000001914 filtration Methods 0.000 claims description 20
- 238000012550 audit Methods 0.000 claims description 6
- 230000003068 static effect Effects 0.000 claims description 2
- 230000007547 defect Effects 0.000 abstract 1
- 238000001514 detection method Methods 0.000 abstract 1
- 238000007689 inspection Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 3
- 239000012467 final product Substances 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000009191 jumping Effects 0.000 description 2
- 238000002203 pretreatment Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000007306 turnover Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及计算机网络通讯领域,特别是指一种在以太网交换机上实现URPF的方法。本发明包括以下步骤:1)在接口上使能URPF检查功能;2)根据接口相关的路由自动生成数据包过滤表项下发至交换机硬件表项。本发明利用数据包过滤功能能够在交换机上实现URPF功能,完全克服了利用软件转发实现URPF功能的诸多缺陷。本发明可以实现完全的硬件转发,不存在效率问题;不会增加用户的任何投资,只需要升级软件即可;且在盒式交换机上也可以支持URPF,仅需要升级软件即可。
Description
技术领域
本发明涉及计算机网络通讯领域,特别是指一种在以太网交换机上实现URPF的方法。
背景技术
逆向路径转发技术(RPF:Reverse Path Forwarding)是以太网交换机上的一种功能,是大多数组播路由协议进行转发的基础。当组播报文到达交换机时,交换机对报文进行RPF检查。如果RPF检查成功了,组播报文被转发,否则,报文被丢弃。
RPF检查的原理如下:
1、交换机检查到达的组播报文的源地址,以确定该报文的入接口,并判断该接口是否是从本交换机到目的地为组播报文源地址的出接口;
2、如果组播报文是在可返回源地址的接口上到达,则RPF检查成功,报文被转发;
3、如果RPF检查失败,报文被丢弃。
交换机如何确定某个接口是否是在可返回到源地址的逆向路径上取决于所使用的组播路由协议。有些组播路由协议维护一个分隔的组播路由表,如DVMRP和MBGP等,并使用该组播路由表进行RPF检查。大多数情况下,组播路由协议使用单播路由表进行RPF检查。
URPF(Unicast Reverse Path Forwarding,单播逆向路径转发)将组播中使用的RPF技术应用到单播中,用于防止基于源地址欺骗的网络攻击行为(图3举例说明了源地址欺骗的一种情况)。交换机收到单播报文,通过获取报文的源地址和入接口,交换机以源地址为目的地址在路由表中查找路由,如果查到的路由出接口和接收该报文的入接口不匹配,交换机认为该报文的源地址是伪装的,丢弃该报文。
图1:举例说明了RPF检查失败的情况。来自源120.1.1.1的组播报文在接口E2被接收到,而从路由表检查显示正确的接口应该是E3而不是E2,因此RPF检查失败,报文被丢弃。
图2:举例说明了RPF检查成功的情况。来自源120.1.1.1的组播报文在接口E3被接收到,而从路由表检查显示正确的接口就是 E3,因此RPF检查成功,报文被转发。
图3:举例说明了源地址欺骗的一种情况。交换机A、交换机B、交换机C的地址分别为10.1.1.1、11.1.1.1、12.1.1.1。交换机Aping交换机B,但报文源地址修改为12.1.1.1,即交换机C的地址。交换机B对ping进行回应时,通过查找路由,回应报文将会发向交换机C,从而对交换机C造成攻击。
对于以太网交换机而言,其核心元件为交换芯片,交换芯片所能支持的功能基本上决定了整台交换机所能支持的功能。目前市面上所能见的交换芯片基本上都不支持URPF功能,因此各交换机厂家都不能实现硬件支持URPF功能,而只能通过软件进行支持。
目前,各交换机厂家通常采取的方式是在机架式交换机(即支持插入多块板卡的交换机)中插入一块专用板卡,该板卡支持软件URPF功能。其它板卡将接收到的单播报文转发至支持URPF功能的板卡,由该板卡查找路由表,进行URPF检查,判断是丢弃还是转发该单播报文。
虽然,上述方法能够在交换机上实现URPF功能,但存在一些严重的缺陷,它主要表现在:
1、只能实现软件转发;而软件转发和硬件转发相比,效率要低很多;在网络流量非常大的情况下,会出现效率瓶颈;
2、增加了用户投资;为了支持URPF功能,用户必须另买专用板 卡;为了解决软件转发的效率问题,该板卡需要采用性能很高的处理器,例如采用NP(Network Process,网络处理器),导致板卡会非常昂贵;
3、由于需要插入专用板卡,因此无法在盒式交换机(即只能支持一块板卡的交换机)上支持URPF,故导致大多数中、低端交换机无法支持URPF功能。
发明内容
本发明的目的在于克服背景技术中的不足而提供一种交换机操作系统;以及在以太网交换机上实现URPF的方法,它是一种在以太网交换机上通过数据包过滤功能实现URPF功能的方法。
数据包过滤功能,是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,交换机可以对网络访问进行控制,有效保证网络的安全运行。
用户可以基于报文中的特定信息制定一组规则(rule),每条规则都描述了对匹配一定信息的数据包所采取的动作:允许通过(permit)或拒绝通过(deny)。用户可以把这些规则应用到特定交换机端口的入口或出口方。这样,在特定端口上特定方向的数据流就必须依照指定的过滤规则进出交换机。对于交换机而言,目前普遍采用访问控制列表(Access Control List,ACL)来实现这些功能。
ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。ACL可应用在交换机全局或端口上,交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。
本发明是利用交换机支持的数据包过滤功能来实现URPF功能。目前市面上所能见的交换芯片基本上都不支持URPF功能,但基本上都支持访问控制列表(Access Control List,ACL)功能。
本发明在以太网交换机上通过数据包过滤功能实现URPF功能的方法,它包括以下步骤:
1)在接口上使能URPF检查功能;
2)根据接口相关的路由自动生成数据包过滤表项下发至交换机硬件表项。
本发明的优点在于:
利用数据包过滤功能能够在交换机上实现URPF功能,且能完全克服利用软件转发实现URPF功能的诸多缺陷,它包括
(1)完全的硬件转发,不存在效率问题;
(2)不会增加用户的任何投资,只需要升级软件即可;
(3)盒式交换机(即只能支持一块板卡的交换机)上也可以支持URPF,只需要升级软件即可。
附图说明
图1:为现有技术中的一个RPF检查失败的实施例。
图2:为现有技术中的一个RPF检查成功的实施例。
图3:为现有技术中的一个源地址被欺骗的实施例。
图4:为本发明的一个进行URPF检查的实施例。
图5:为本发明方框图。
具体实施方式
下面结合附图及实施例对本发明作进一步说明。
如图4所示,它是本发明中URPF检查的实施例。在其路由表中,路由120.1.0.0/16、198.1.1.0/24、202.1.16.0/24是分别从交换机的E3、E2、E1接口学习到的,从URPF检查的角度来看,凡是源地址落入该路由范围内的报文都只能从相应的接口接收,从不匹配接口接收到的报文都将丢弃。
翻译成数据包过滤规则,就是:
(1)在E3接口允许源地址为“120.1.0.0 255.255.0.0”的报文(permit source 120.1.0.0 255.255.0.0),且禁止其它源地址的报文(deny any-other);
(2)在E2接口允许源地址为“198.1.1.0 255.255.255.0”的 报文(permit source 198.1.1.0 255.255.255.0),且禁止其它源地址的报文(deny any-other);
(3)在E1接口允许源地址为“202.1.16.0 255.255.255.0”的报文(permit source 202.1.16.0 255.255.255.0),且禁止其它源地址的报文(deny any-other)。
如图4所示,pc3(地址为120.1.1.1)和pc1(地址为202.1.16.1)进行通讯,pc3向pc1发出一个源地址为120.1.1.1、目的地址为202.1.16.1的单播报文1。交换机从E3接口收到报文1,由于E3接口启动了URPF检查功能,因此交换机进行URPF检查。在E3接口下发的ACL规则为允许源地址为“120.1.0.0 255.255.0.0”的报文,因此报文1被转发。
网络中的另一台计算机pc2伪装自己为pc3,也向pc1发出一个源地址为120.1.1.1、目的地址为202.1.16.1的单播报文2。交换机从E2接口收到报文2,由于E2接口启动了URPF检查功能,因此交换机进行URPF检查。在E2接口下发的ACL规则为允许源地址为“198.1.1.0 255.255.255.0”的报文,报文2不符合该规则,因此报文2被丢弃。
本发明在以太网交换机上通过数据包过滤功能实现URPF功能的方法,它包括以下步骤:
1)在接口上使能URPF检查功能;
2)根据接口相关的路由自动生成数据包过滤表项下发至交换机硬件表项。
本发明的URPF功能实现方法在配置上非常简单,用户只需要在希望进行URPF检查的接口上,使能URPF检查功能即可。例如,在接口上输入命令“urpf enable”。
本发明方框图,如图5所示。本发明交换机操作系统,它包括子系统:命令行系统及报文接收系统。其中,命令行系统负责接收、解释用户输入的命令;报文接收系统负责网络报文的接收、转发。
当通过命令行系统在一个接口上使能URPF功能时,交换机软件系统将会进行如下步骤的操作:
A)、在接口上输入命令启动URPF,如在接口上输入命令“urpfenable”;
B)、获取核心路由表;交换机所存储的核心路由表是通过静态配置或路由协议动态学习而得到的,并且经过了优选;
C)、遍历核心路由表;需要对核心路由表中存储的所有路由条目进行遍历,以选出所有符合条件的表项;
D)、如果核心路由表中已经为空了,则处理过程结束;否则对当前路由条目进行处理;
E)、判断当前处理的路由的下一跳出接口是否和使能URPF功能的接口相同;
F)、如果当前处理的路由的下一跳出接口是否和使能URPF功能的接口相同,则根据当前路由条目生成报文过滤规则;否则,继续遍历核心路由表中的其它路由条目;
G)、将生成的报文过滤规则下发至交换机芯片的硬件表项中。
当通过报文接收系统在一个使能了URPF功能的接口上收到一个单播报文时,交换机软件系统将会进行如下步骤的操作:
A)、在启动了URPF功能的接口上收到单播报文;
B)、通过分析报文内容,获取报文的源地址;
C)、遍历交换机芯片中存储的报文过滤规则表;需要对规则表中存储的所有条目进行遍历,只要有一条符合条件的表项,报文就可以通过过滤;
D)、如果报文过滤规则表已经为空了,则说明该报文没有与表中的任何一条规则匹配,报文被丢弃;
E)、判断当前遍历的表项是否与报文源地址匹配;
F)、如果当前遍历的表项与报文源地址匹配,则转发报文。
Claims (1)
1.一种在以太网交换机上通过数据包过滤功能实现URPF功能的方法,包括以下步骤:
1)、在接口上使能URPF检查功能;
2)、根据接口相关的路由自动生成数据包过滤表项下发至交换机硬件表项;
3)、当在一个接口上实现URPF功能时,交换机软件系统将会进行如下步骤的操作:
A)、获取交换机所存储的核心路由表;
B)、遍历核心路由表,挑出从接口所学习到的路由和下一跳出接口的静态路由;
C)、根据查到的路由自动翻译为数据包过滤语言,生成相应的过滤表项下发至交换机芯片的硬件表项中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101387924A CN101043442B (zh) | 2006-11-17 | 2006-11-17 | 一种在以太网交换机上实现urpf的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006101387924A CN101043442B (zh) | 2006-11-17 | 2006-11-17 | 一种在以太网交换机上实现urpf的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101043442A CN101043442A (zh) | 2007-09-26 |
| CN101043442B true CN101043442B (zh) | 2011-05-25 |
Family
ID=38808654
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101387924A Active CN101043442B (zh) | 2006-11-17 | 2006-11-17 | 一种在以太网交换机上实现urpf的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101043442B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8763108B2 (en) * | 2007-11-29 | 2014-06-24 | Qualcomm Incorporated | Flow classification for encrypted and tunneled packet streams |
| CN101252592B (zh) * | 2008-04-14 | 2012-12-05 | 工业和信息化部电信传输研究所 | 一种ip网络的网络溯源方法和系统 |
| CN103457854B (zh) * | 2013-09-16 | 2017-03-08 | 杭州华三通信技术有限公司 | 一种报文转发方法及设备 |
| CN105700859A (zh) * | 2014-11-25 | 2016-06-22 | 中兴通讯股份有限公司 | 一种基于网络处理器实现硬件表遍历的方法及装置 |
| CN110912853A (zh) * | 2018-09-15 | 2020-03-24 | 华为技术有限公司 | 防仿冒攻击检查的方法、设备和系统 |
| CN112769694B (zh) * | 2021-02-02 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种地址检查方法及装置 |
| CN113438101B (zh) * | 2021-06-07 | 2022-11-25 | 杭州迪普科技股份有限公司 | Urpf的配置方法、计算机程序产品及框式设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1505322A (zh) * | 2002-12-04 | 2004-06-16 | ��Ϊ��������˾ | 一种网络设备的管理方法 |
| CN1675882A (zh) * | 2002-08-17 | 2005-09-28 | 株式会社Kt | 卫星ip组播系统和方法 |
| CN1750512A (zh) * | 2005-09-27 | 2006-03-22 | 杭州华为三康技术有限公司 | 单播反向路径转发方法 |
| CN1826591A (zh) * | 2003-08-28 | 2006-08-30 | 思科技术公司 | 反向路径转发保护 |
-
2006
- 2006-11-17 CN CN2006101387924A patent/CN101043442B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1675882A (zh) * | 2002-08-17 | 2005-09-28 | 株式会社Kt | 卫星ip组播系统和方法 |
| CN1505322A (zh) * | 2002-12-04 | 2004-06-16 | ��Ϊ��������˾ | 一种网络设备的管理方法 |
| CN1826591A (zh) * | 2003-08-28 | 2006-08-30 | 思科技术公司 | 反向路径转发保护 |
| CN1750512A (zh) * | 2005-09-27 | 2006-03-22 | 杭州华为三康技术有限公司 | 单播反向路径转发方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101043442A (zh) | 2007-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101043442B (zh) | 一种在以太网交换机上实现urpf的方法 | |
| US10680951B2 (en) | System and method for processing and forwarding transmitted information | |
| CN101267437B (zh) | 网络设备的报文访问控制方法及系统 | |
| CN101304389B (zh) | 报文处理方法、装置和系统 | |
| CN100531146C (zh) | 基于流转发的更新流转发表项内容的方法及设备 | |
| CN100499587C (zh) | 交换设备及其防止流量冲击的报文处理方法 | |
| WO2012137646A1 (ja) | ネットワークシステム、スイッチ、及び接続端末検知方法 | |
| CN105721535A (zh) | 对服务功能链中的服务功能的并行处理 | |
| CN102957619B (zh) | 虚拟路由系统及方法 | |
| CN101123614B (zh) | 一种处理地址解析协议报文的方法及通信装置 | |
| CN102197627A (zh) | 组播流量收敛的改善 | |
| CN102377640B (zh) | 一种报文处理装置和报文处理方法、及预处理器 | |
| CN102447639B (zh) | 一种策略路由方法及装置 | |
| CN101026589A (zh) | 一种路由选择的方法和路由器 | |
| CN101106528A (zh) | 基于安全设备的报文转发系统和方法以及安全设备 | |
| CN101964719B (zh) | 基于主控板倒换的数据处理方法、线卡及主控板 | |
| CN101296168A (zh) | 芯片内部连接表支持策略路由的方法 | |
| CN102325079B (zh) | 报文传输方法和出口路由器 | |
| CN103368777A (zh) | 一种数据包处理板及处理方法 | |
| CN101217472B (zh) | 模块化交换机报文路由方法 | |
| US7327712B2 (en) | Selection system, its selection method for voice channels, and switchboard for use therein | |
| CN101465807A (zh) | 一种数据流控制方法和装置 | |
| CN103618778A (zh) | 利用Linux虚拟主机实现数据高并发的系统及方法 | |
| CN100456747C (zh) | 一种单播反向路径检查的实现方法和网络设备 | |
| CN102263679A (zh) | 一种处理源角色信息的方法和转发芯片 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 100085 Beijing city Haidian District East Road No. 5 building in China Patentee after: Beijing Shenzhou Digital Cloud Information Technology Co.,Ltd. Country or region after: China Address before: 100085 Beijing city Haidian District East Road No. 5 building in China Patentee before: DIGITAL CHINA NETWORKS (BEIJING) Ltd. Country or region before: China |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240801 Address after: 100085 No.301, 3rd floor, 9 shangdijiu street, Haidian District, Beijing Patentee after: Beijing Shenzhou Digital Cloud Information Technology Co.,Ltd. Country or region after: China Patentee after: Shenzhou Kuntai (Xiamen) Information Technology Co.,Ltd. Address before: 100085 Beijing city Haidian District East Road No. 5 building in China Patentee before: Beijing Shenzhou Digital Cloud Information Technology Co.,Ltd. Country or region before: China |
|
| TR01 | Transfer of patent right |