CN101146026B - 报文过滤方法及系统和装置 - Google Patents
报文过滤方法及系统和装置 Download PDFInfo
- Publication number
- CN101146026B CN101146026B CN200610127432A CN200610127432A CN101146026B CN 101146026 B CN101146026 B CN 101146026B CN 200610127432 A CN200610127432 A CN 200610127432A CN 200610127432 A CN200610127432 A CN 200610127432A CN 101146026 B CN101146026 B CN 101146026B
- Authority
- CN
- China
- Prior art keywords
- acl
- access control
- message
- control list
- routing iinformation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种报文过滤方法及系统和装置。该方法包括以下步骤:S102,在网络设备的一个或多个接口上开启单播反向查找路径功能,并在一个或多个接口上绑定第一访问控制列表,用来阻止所有需要路由的IP报文通过;S104,网络设备向具有单播反向查找路径功能的一个或多个接口对应的转发表中添加设备路由信息,其中设备路由信息包括源IP地址、掩码、出接口信息;S106,在网络设备的一个或多个接口上绑定第二访问控制列表,其中,第二访问控制列表的优先级高于第一访问控制列表,第二访问控制列表只允许源IP地址与设备路由信息中的IP地址相匹配的报文通过。
Description
技术领域
本发明涉及通信领域,更具体地涉及一种报文过滤方法及系统和装置。
背景技术
URPF是单播反向路径查找Unicast Reverse Path Forwarding的简称。URPF通过获取报文的源地址和入接口,以源地址为目的地址,在转发表中查找该路由。松散模式下,只要查到该路由就通过;严格模式下,在转发表中查到源地址对应的接口必须与入接口匹配才通过。否则认为源地址是伪装的,丢弃该报文。很多网络设备由ASIC芯片来实现数据转发,目前大部分ASIC芯片并不支持URPF功能,导致这些网络设备无法实现URPF功能。URPF主要功能是防止基于源地址欺骗的网络攻击行为,目前越来越多的网络设备支持该功能。
发明内容
本发明的目的在于在网络设备上用访问控制列表来实现URPF功能,从而阻止病毒信息通过,保护网络设备。
根据本发明的一方面,提供了一种报文过滤方法,其包括以下步骤:S102,在网络设备的一个或多个接口上开启单播反向查找路径功能,并在一个或多个接口上绑定第一访问控制列表,用来阻止所有需要路由的IP报文通过;S104,网络设备向具有单播反向查找路径功能的一个或多个接口对应的转发表中添加设备路由信息,其中设备路由信息包括源IP地址、掩码、出接口信息;S106,在网络设备的一个或多个接口上绑定第二访问控制列表,其中,第二访问控制列表的优先级高于第一访问控制列表,第二访问控制列表只允许源IP地址与设备路由信息中的IP地址相匹配的报文通过。
上述报文过滤方法中,还包括:S108,网络设备从具有单播反向查找路径功能的所述一个或多个接口删除所述设备路由信息;S110,根据所述设备路由信息,删除所述第二访问控制列表,禁止源IP地址与所述设备路由信息中的IP地址相匹配的报文通过。
上述报文过滤方法中,网络设备通过动态路由协议运算或静态配置,在网络设备上添加和/或删除第二访问控制列表。
上述报文过滤方法中,在S102中,为了配置阻止所有进行路由的IP报文,绑定的第一访问控制列表需要同时匹配目的MAC和报文类型,其中,目的MAC是本地网关MAC,报文类型是IP报文。
根据本发明的又一方面,提供了一种报文过滤系统.其包括:第一报文过滤装置202,位于网络设备侧,用于在网络设备的一个或多个接口上开启单播反向查找路径功能,并在一个或多个接口上绑定第一访问控制列表,用来阻止所有需要路由的IP报文通过;设备路由信息添加装置204,位于不同于上述网络设备的另一网络设备侧,用于在具有单播反向查找路径功能的一个或多个接口上添加设备路由信息,其中设备路由信息包括源IP地址、掩码、出接口信息;第二报文过滤装置206,位于网络设备侧,用于在具有单播反向查找路径功能的一个或多个接口上绑定第二访问控制列表,其中第二访问控制列表的优先级高于第一访问控制列表,第二访问控制列表只允许源IP地址与设备路由信息中的IP地址相匹配的报文通过.
上述报文过滤系统中,还包括:设备路由信息删除装置208,位于不同于上述网络设备的另一网络设备侧,用于从具有单播反向查找路径功能的一个或多个接口删除设备路由信息;访问控制列表删除装置210,位于网络设备侧,用于根据设备路由信息,删除第二访问控制列表,禁止源IP地址与设备路由信息中的IP地址相匹配的报文通过。
上述报文过滤系统中,设备路由信息添加装置和/或设备路由信息删除装置通过动态路由协议运算或静态配置,在一个或多个接口上添加和/或删除第二访问控制列表。
上述报文过滤系统中,在第一报文过滤装置中,为了配置阻止所有进行路由的IP报文,绑定的第一访问控制列表需要同时匹配目的MAC和报文类型,其中,目的MAC是本地网关MAC,报文类型是IP报文。
根据本发明的又一方面,提供了一种报文过滤装置。其包括:第一报文过滤模块302,用于在网络设备的一个或多个接口上开启单播反向查找路径功能,并在一个或多个接口上绑定第一访问控制列表,用来阻止所有需要路由的IP报文通过;设备路由信息添加模块304,用于在具有单播反向查找路径功能的一个或多个接口上添加设备路由信息,其中设备路由信息包括源IP地址、掩码、出接口信息;第二报文过滤模块306,用于在具有单播反向查找路径功能的一个或多个接口上绑定第二访问控制列表,其中,第二访问控制列表的优先级高于第一访问控制列表,第二访问控制列表只允许源IP地址与设备路由信息中的IP地址相匹配的报文通过。
上述报文过滤装置中,还包括:设备路由信息删除模块308,用于从具有单播反向查找路径功能的一个或多个接口删除设备路由信息;访问控制列表删除模块310,用于根据设备路由信息,删除第二访问控制列表,禁止源IP地址与设备路由信息中的IP地址相匹配的报文通过。
上述报文过滤装置中,设备路由信息添加模块和/或设备路由信息删除模块通过动态路由协议运算或静态配置,在一个或多个接口上添加和/或删除第二访问控制列表。
上述报文过滤装置中,在第一报文过滤模块中,为了配置阻止所有进行路由的IP报文,绑定的第一访问控制列表需要同时匹配目的MAC和报文类型,其中,所述目的MAC是本地网关MAC,所述报文类型是IP报文。
根据以上技术方案可知,本发明的有益效果在于:
1、一般网络设备ASIC芯片都支持ACL,而只要支持ACL就可以实现URPF功能,所以本发明具有一定通用性;
2、不需要解析每一个报文的源IP和出接口信息,只需要在增删路由时解析路由信息;
3、防止网络设备受到基于源地址欺骗的网络攻击行为;
4、降低了对网络设备CPU处理能力的要求。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示例性实施例及其说明用于解释本发明,并不构成对本发明的不当限定.在附图中:
图1是根据本发明的报文过滤方法的流程图;
图2是根据本发明的报文过滤系统的方框图;
图3是根据本发明的报文过滤装置的方框图;
图4是根据本发明的实施例中的组网图;以及
图5是根据本发明的实施例中的流程图。
具体实施方式
下面参考附图,对本发明的技术方案进行说明。
参考图1,说明根据本发明的报文过滤方法。该方法包括以下步骤:S102,在网络设备的一个或多个接口上开启单播反向查找路径功能,并在一个或多个接口上绑定第一访问控制列表,用来阻止所有需要路由的IP报文通过;S104,向具有单播反向查找路径功能的一个或多个接口对应的转发表中添加设备路由信息,其中设备路由信息包括源IP地址、掩码、出接口信息;S106,在网络设备的一个或多个接口上绑定第二访问控制列表,其中,第二访问控制列表的优先级高于第一访问控制列表,第二访问控制列表只允许源IP地址与设备路由信息中的IP地址相匹配的报文通过。
上述报文过滤方法中,还包括:S108,网络设备从具有单播反向查找路径功能的所述一个或多个接口删除所述设备路由信息;S110,根据设备路由信息,删除第二访问控制列表,禁止源IP地址与设备路由信息中的IP地址相匹配的报文通过。
上述报文过滤方法中,网络设备通过动态路由协议运算或静态配置,在网络设备上添加和/或删除第二访问控制列表。
上述报文过滤方法中,在S102中,为了配置阻止所有进行路由的IP报文,绑定的第一访问控制列表需要同时匹配目的MAC和报文类型,其中,目的MAC是本地网关MAC,报文类型是IP报文。
根据本发明的又一方面,提供了一种报文过滤系统。其包括:第一报文过滤装置202,位于网络设备侧,用于在网络设备的一个或多个接口上开启单播反向查找路径功能,并在一个或多个接口上绑定第一访问控制列表,用来阻止所有需要路由的IP报文通过;设备路由信息添加装置204,位于不同于上述网络设备的另一网络设备侧,用于在具有单播反向查找路径功能的一个或多个接口上添加设备路由信息,其中设备路由信息包括源IP地址、掩码、出接口信息;第二报文过滤装置206,位于网络设备侧,用于在具有单播反向查找路径功能的一个或多个接口上绑定第二访问控制列表,其中第二访问控制列表的优先级高于第一访问控制列表,第二访问控制列表只允许源IP地址与设备路由信息中的IP地址相匹配的报文通过。
上述报文过滤系统中,还包括:设备路由信息删除装置208,位于不同于上述网络设备的另一网络设备侧,用于从具有单播反向查找路径功能的一个或多个接口删除设备路由信息;访问控制列表删除装置210,位于网络设备侧,用于根据设备路由信息,删除第二访问控制列表,禁止源IP地址与设备路由信息中的IP地址相匹配的报文通过。
上述报文过滤系统中,设备路由信息添加装置和/或设备路由信息删除装置通过动态路由协议运算或静态配置,在一个或多个接口上添加和/或删除第二访问控制列表。
上述报文过滤系统中,在第一报文过滤装置中,为了配置阻止所有进行路由的IP报文,绑定的第一访问控制列表需要同时匹配目的MAC和报文类型,其中,目的MAC是本地网关MAC,报文类型是IP报文。
根据本发明的又一方面,提供了一种报文过滤装置。其包括:第一报文过滤模块302,用于在网络设备的一个或多个接口上开启单播反向查找路径功能,并在一个或多个接口上绑定第一访问控制列表,用来阻止所有需要路由的IP报文通过;设备路由信息添加模块304,用于在具有单播反向查找路径功能的一个或多个接口上添加设备路由信息,其中设备路由信息包括源IP地址、掩码、出接口信息;第二报文过滤模块306,用于在具有单播反向查找路径功能的一个或多个接口上绑定第二访问控制列表,其中,第二访问控制列表的优先级高于第一访问控制列表,第二访问控制列表只允许源IP地址与设备路由信息中的IP地址相匹配的报文通过。
上述报文过滤装置中,还包括:设备路由信息删除模块308,用于从具有单播反向查找路径功能的一个或多个接口删除设备路由信息;访问控制列表删除模块310,用于根据设备路由信息,删除第二访问控制列表,禁止源IP地址与设备路由信息中的IP地址相匹配的报文通过。
上述报文过滤装置中,设备路由信息添加模块和/或设备路由信息删除模块通过动态路由协议运算或静态配置,在一个或多个接口上添加和/或删除第二访问控制列表。
上述报文过滤装置中,在第一报文过滤模块中,为了配置阻止所有进行路由的IP报文,绑定的第一访问控制列表需要同时匹配目的MAC和报文类型,其中,所述目的MAC是本地网关MAC,所述报文类型是IP报文。
通过上述说明可知,本发明的具体实施方式包括以下步骤:
步骤一:在网络设备接口上开启URPF功能的一种模式,松散模式或严格模式;
步骤二:在所有启用URPF功能的接口上绑定一条ACL(访问控制列表)R1,过滤该接口接收的所有需要进行路由的IP报文。
步骤三:网络设备通过动态路由协议运算或者静态配置,添加一条路由信息到转发表,提取该条路由的IP地址、掩码、出接口信息;
步骤四:所有启用松散模式的接口上绑定一条ACL R2,允许通过报文源IP匹配步骤三中IP地址和掩码的数据流。保证R2优先级高于R1。
步骤五:检查步骤三中路由出接口,如果该出接口上启用严格URPF功能,则在该接口上绑定和步骤四中相同的ACL R2,同样保证R2优先级高于R1。其他启用严格URPF功能的接口上不绑定R2。
步骤六:添加其他路由到转发表时,重复步骤三、四、五。
步骤七:当网络设备启用松散URPF功能的接口上接收到IP报文后。如果该IP报文的源地址的路由没有学到,也就是没有绑定允许该IP报文通过的ACL,网络设备将丢弃该报文;如果该IP报文的源地址的路由已经学到,也就是步骤四中绑定了允许该IP报文通过的ACL,网络设备将转发该报文。这样就实现了URPF功能的松散模式。
步骤八:当网络设备启用严格URPF功能的接口上接收到IP报文后.如果该IP报文的源地址的路由没有学到或者对应路由的出口不是该接口,也就是该接口上没有绑定允许该IP报文通过的ACL,网络设备将丢弃该报文;如果该IP报文的源地址的路由已经学到并且该路由出口是本接口,也就是步骤五中绑定了允许该IP报文在本接口上通过的ACL,网络设备将转发该报文.这样就实现了URPF功能的严格模式.
步骤九:网络设备通过动态路由协议运算或者静态配置,从路由转发表删除一条路由;
步骤十:提取该条需要删除的路由的IP地址和掩码信息,通过该信息查找对应的ACL并删除,从而实现禁止该IP报文的转发;
进一步地,步骤二中为了配置丢弃所有进行路由的IP报文,在配置ACL时,需要同时匹配目的MAC和报文类型,目的MAC必须是本地网关MAC,报文类型是IP报文。
进一步地,步骤三中动态路由协议可以是RIP、OSPF、BGP、IS-IS等网络设备支持的所有路由协议。
进一步的,上述技术方案实际上是根据URPF规则,把允许网络设备转发的报文,转化成特定ACL,绑定到特定的接口,从而实现了URPF功能。
参考图4、图5,说明根据本发明的具体实施例。其中,图4是实施根据本发明的方法的组网图。图5是根据本发明的实施例的流程图。
根据本发明的具体实施例的流程包括以下步骤:
1.在设备S1接口fei_1/1-2上开启松散URPF功能,在接口fei_1/3-4开启严格URPF功能。
interface fei_1/1
ip verify loose 启用松散URPF
interface fei_1/2
ip verify loose 启用松散URPF
interface fei_1/3
ip verify strict 启用严格URPF
interface fei_1/4
ip verify strict 启用严格URPF
2.在设备S1接口fei_1/1-4上绑定一条ACL R1,过滤所有需要路由的IP报文。R1采取以下动作:
Deny any dst-mac 00d0.d0c0.0001 ether-type 0x800
3.设备S2通过OSPF协议通告给S1一条路由:
Dest Mask Interface Owner pri metric
10.1.0.0 255.255.0.0 fei_1/3 ospf 110 5
4.在启用松散URPF接口fei_1/1-2和严格URPF接口fei_1/3(fei_1/3是该条路由的出口)上绑定ACL R2,允许源IP为10.1.0.0/16的数据报文通过。保证R2优先级高于R1,R2采取如下动作:
Permit any source-ip 10.1.0.0mask 255.255.0.0
5.如果还有路由条目继续添加,则重复以上3、4的工作。如果10.1.0.0/16的路由信息被删除时,则删除ACL R2。
6.当报文进入网络设备时,ASIC芯片会自动根据已经配置的ACL来判断是否转发该报文。从以上说明中可知,本发明的有益效果在于:
1、一般网络设备ASIC芯片都支持ACL,而只要支持ACL就可以实现URPF功能,所以本发明具有一定通用性。
2、不需要解析每一个报文的源IP和出接口信息,只需要在增删路由时解析路由信息。
3、防止网络设备受到基于源地址欺骗的网络攻击行为。
4、降低了对网络设备CPU处理能力的要求。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (12)
1.一种报文过滤方法,其特征在于包括以下步骤:
S102,在网络设备的一个或多个接口上开启单播反向查找路径功能的松散模式或严格模式,并在所述一个或多个接口上绑定第一访问控制列表,用来阻止所有需要路由的IP报文通过;
S104,向网络设备转发表中添加设备路由信息,其中所述设备路由信息包括IP地址、掩码、和出接口信息;
S106,在所述网络设备的开启单播反向查找路径功能的松散模式的一个或多个接口上绑定第二访问控制列表,并且,在启用单播反向查找路径功能的严格模式的路由出接口上绑定第二访问控制列表,其中,所述第二访问控制列表的优先级高于所述第一访问控制列表,所述第二访问控制列表只允许源IP地址与所述设备路由信息中的IP地址相匹配的报文通过。
2.根据权利要求1所述的报文过滤方法,其特征在于,还包括:
S108,网络设备删除所述设备路由信息;
S110,根据所述设备路由信息,删除所述第二访问控制列表,禁止源IP地址与所述设备路由信息中的IP地址相匹配的报文通过。
3.根据权利要求1或2所述的报文过滤方法,其特征在于,所述网络设备通过动态路由协议运算或静态配置,在所述网络设备上添加或删除所述第二访问控制列表。
4.根据权利要求1所述的报文过滤方法,其特征在于,在所述步骤S102中,为了配置阻止所有进行路由的IP报文,绑定的所述第一访问控制列表需要同时匹配目的MAC和报文类型,其中,所述目的MAC是本地网关MAC,所述报文类型是IP报文。
5.一种报文过滤系统,其特征在于包括:
第一报文过滤装置,位于网络设备侧,用于在所述网络设备的一个或多个接口上开启单播反向查找路径功能的松散模式或严格模式,并在所述一个或多个接口上绑定第一访问控制列表,用来阻止所有需要路由的IP报文通过;
设备路由信息添加装置,位于不同于所述网络设备的另一网络设备侧,用于在具有单播反向查找路径功能的所述一个或多个接口上添加设备路由信息,其中所述设备路由信息包括源IP地址、掩码、和出接口;
第二报文过滤装置,位于所述网络设备侧,用于在具有单播反向查找路径功能的松散模式的所述一个或多个接口上绑定第二访问控制列表,并且,在启用单播反向查找路径功能的严格模式的路由出接口上绑定第二访问控制列表,其中所述第二访问控制列表的优先级高于所述第一访问控制列表,所述第二访问控制列表只允许源IP地址与所述设备路由信息中的IP地址相匹配的报文通过。
6.根据权利要求5所述的报文过滤系统,其特征在于,还包括:
设备路由信息删除装置,位于所述另一网络设备侧,用于删除所述设备路由信息;
访问控制列表删除装置,位于所述网络设备侧,用于根据所述设备路由信息,删除所述第二访问控制列表,禁止源IP地址与所述设备路由信息中的IP地址相匹配的报文通过。
7.根据权利要求5或6所述的报文过滤系统,其特征在于,所述设备路由信息添加装置和/或所述设备路由信息删除装置通过动态路由协议运算或静态配置,在所述一个或多个接口上添加和/或删除所述第二访问控制列表。
8.根据权利要求5所述的报文过滤系统,其特征在于,在所述第一报文过滤装置中,为了配置阻止所有进行路由的IP报文,绑定的所述第一访问控制列表需要同时匹配目的MAC和报文类型,其中,所述目的MAC是本地网关MAC,所述报文类型是IP报文。
9.一种报文过滤装置,其特征在于包括:
第一报文过滤模块,用于在网络设备的一个或多个接口上开启单播反向查找路径功能的松散模式或严格模式,并在所述一个或多个接口上绑定第一访问控制列表,用来阻止所有需要路由的IP报文通过;
设备路由信息添加模块,用于在具有单播反向查找路径功能的所述一个或多个接口上添加所述设备路由信息,其中所述设备路由信息包括源IP地址、掩码、和出接口信息;
第二报文过滤模块,用于在具有单播反向查找路径功能的松散模式的所述一个或多个接口上绑定第二访问控制列表,并且,在启用单播反向查找路径功能的严格模式的路由出接口上绑定第二访问控制列表,其中,所述第二访问控制列表的优先级高于所述第一访问控制列表,所述第二访问控制列表只允许源IP地址与所述设备路由信息中的IP地址相匹配的报文通过。
10.根据权利要求9所述的报文过滤装置,其特征在于还包括:
设备路由信息删除模块,用于从具有单播反向查找路径功能的所述一个或多个接口删除所述设备路由信息;以及
访问控制列表删除模块,用于根据所述设备路由信息,删除所述第二访问控制列表,禁止源IP地址与所述设备路由信息中的IP地址相匹配的报文通过。
11.根据权利要求9或10所述的报文过滤装置,其特征在于,所述设备路由信息添加模块和/或所述设备路由信息删除模块通过动态路由协议运算或静态配置,在所述一个或多个接口上添加和/或删除所述第二访问控制列表。
12.根据权利要求9所述的报文过滤装置,其特征在于,在所述第一报文过滤模块中,为了配置阻止所有进行路由的IP报文,绑定的所述第一访问控制列表需要同时匹配目的MAC和报文类型,其中,所述目的MAC是本地网关MAC,所述报文类型是IP报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610127432A CN101146026B (zh) | 2006-09-13 | 2006-09-13 | 报文过滤方法及系统和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200610127432A CN101146026B (zh) | 2006-09-13 | 2006-09-13 | 报文过滤方法及系统和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101146026A CN101146026A (zh) | 2008-03-19 |
CN101146026B true CN101146026B (zh) | 2010-05-12 |
Family
ID=39208326
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200610127432A Expired - Fee Related CN101146026B (zh) | 2006-09-13 | 2006-09-13 | 报文过滤方法及系统和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101146026B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101895467A (zh) * | 2010-07-08 | 2010-11-24 | 中兴通讯股份有限公司 | 报文过滤方法和装置 |
CN101945117A (zh) * | 2010-09-28 | 2011-01-12 | 杭州华三通信技术有限公司 | 防止源地址欺骗攻击的方法及设备 |
CN103209141A (zh) * | 2012-01-17 | 2013-07-17 | 中兴通讯股份有限公司 | 一种交换芯片处理数据报文的方法及交换芯片 |
CN103220255B (zh) * | 2012-01-18 | 2017-07-21 | 南京中兴新软件有限责任公司 | 一种实现单播反向路径转发urpf检查的方法及装置 |
CN105393497B (zh) * | 2014-05-08 | 2019-09-20 | 华为技术有限公司 | 一种生成访问控制列表规则的方法、装置及系统 |
CN104158762B (zh) * | 2014-08-21 | 2017-05-03 | 国电南瑞科技股份有限公司 | 基于fpga的过程层报文过滤及带宽控制方法 |
CN106549910A (zh) * | 2015-09-17 | 2017-03-29 | 中兴通讯股份有限公司 | 一种源防护ipsg接入控制的方法及装置 |
CN107508836B (zh) * | 2017-09-27 | 2019-11-12 | 杭州迪普科技股份有限公司 | 一种acl规则下发的方法及装置 |
CN112769694B (zh) * | 2021-02-02 | 2022-05-27 | 新华三信息安全技术有限公司 | 一种地址检查方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1567900A (zh) * | 2003-07-06 | 2005-01-19 | 华为技术有限公司 | 一种在路由设备中实现报文转发控制的方法 |
CN1725709A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 网络设备与入侵检测系统联动的方法 |
CN1750512A (zh) * | 2005-09-27 | 2006-03-22 | 杭州华为三康技术有限公司 | 单播反向路径转发方法 |
-
2006
- 2006-09-13 CN CN200610127432A patent/CN101146026B/zh not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1567900A (zh) * | 2003-07-06 | 2005-01-19 | 华为技术有限公司 | 一种在路由设备中实现报文转发控制的方法 |
CN1725709A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 网络设备与入侵检测系统联动的方法 |
CN1750512A (zh) * | 2005-09-27 | 2006-03-22 | 杭州华为三康技术有限公司 | 单播反向路径转发方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101146026A (zh) | 2008-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101146026B (zh) | 报文过滤方法及系统和装置 | |
US11258701B2 (en) | Method and device for interworking between service function chain domains | |
US7633889B2 (en) | Carrier network of virtual network system and communication node of carrier network | |
JP4020576B2 (ja) | パケット転送方法、移動端末装置及びルータ装置 | |
Coltun | The OSPF opaque LSA option | |
JP4457058B2 (ja) | フィルタリングを備えるパケット転送装置 | |
KR20060024337A (ko) | 사용자 mac 프레임 전송방법, 에지 브리지 및 프로그램 | |
CN101695160A (zh) | 基于策略路由的流定向传输方法 | |
CN100452773C (zh) | 基于虚拟局域网的数据发送方法与装置 | |
CN102137024A (zh) | 报文处理方法、出口路由设备及边界路由设备 | |
CN101945117A (zh) | 防止源地址欺骗攻击的方法及设备 | |
CN103220255A (zh) | 一种实现单播反向路径转发urpf检查的方法及装置 | |
CN106254152A (zh) | 一种流量控制策略处理方法和装置 | |
CN101888370B (zh) | 防止IPv6地址被欺骗性攻击的装置与方法 | |
US20110222541A1 (en) | Network System, Edge Node, and Relay Node | |
CN112367263A (zh) | 一种组播数据报文转发方法及设备 | |
CN105100300B (zh) | 网络地址转换nat的方法及装置 | |
Touch et al. | Use of IPsec transport mode for dynamic routing | |
JP4334379B2 (ja) | ネットワークシステム | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECnet Commands | |
Cisco | DECNet Commands | |
Cisco | DECNet Commands |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100512 Termination date: 20150913 |
|
EXPY | Termination of patent right or utility model |