CN101282338A - IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法 - Google Patents
IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法 Download PDFInfo
- Publication number
- CN101282338A CN101282338A CNA2008100942708A CN200810094270A CN101282338A CN 101282338 A CN101282338 A CN 101282338A CN A2008100942708 A CNA2008100942708 A CN A2008100942708A CN 200810094270 A CN200810094270 A CN 200810094270A CN 101282338 A CN101282338 A CN 101282338A
- Authority
- CN
- China
- Prior art keywords
- address
- multicast
- source
- scope
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000002401 inhibitory effect Effects 0.000 title 1
- PCTMTFRHKVHKIS-BMFZQQSSSA-N (1s,3r,4e,6e,8e,10e,12e,14e,16e,18s,19r,20r,21s,25r,27r,30r,31r,33s,35r,37s,38r)-3-[(2r,3s,4s,5s,6r)-4-amino-3,5-dihydroxy-6-methyloxan-2-yl]oxy-19,25,27,30,31,33,35,37-octahydroxy-18,20,21-trimethyl-23-oxo-22,39-dioxabicyclo[33.3.1]nonatriaconta-4,6,8,10 Chemical compound C1C=C2C[C@@H](OS(O)(=O)=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H]([C@H](C)CCCC(C)C)[C@@]1(C)CC2.O[C@H]1[C@@H](N)[C@H](O)[C@@H](C)O[C@H]1O[C@H]1/C=C/C=C/C=C/C=C/C=C/C=C/C=C/[C@H](C)[C@@H](O)[C@@H](C)[C@H](C)OC(=O)C[C@H](O)C[C@H](O)CC[C@@H](O)[C@H](O)C[C@H](O)C[C@](O)(C[C@H](O)[C@H]2C(O)=O)O[C@H]2C1 PCTMTFRHKVHKIS-BMFZQQSSSA-N 0.000 claims description 42
- 230000005764 inhibitory process Effects 0.000 claims description 7
- 230000003068 static effect Effects 0.000 claims description 3
- 230000008878 coupling Effects 0.000 claims description 2
- 238000010168 coupling process Methods 0.000 claims description 2
- 238000005859 coupling reaction Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 abstract description 4
- 230000015572 biosynthetic process Effects 0.000 abstract 1
- 230000000452 restraining effect Effects 0.000 abstract 1
- 239000004575 stone Substances 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 4
- 230000033228 biological regulation Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000000295 complement effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000004907 flux Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法属于计算机网络通信技术领域,其特征在于,在遵循RFC关于IPv6组播组地址格式定义及分配原则的基础上,为组播源单独定义专门分配一块/48 IPv6地址,为每个园区网分配其中的块/64,其标识与个园区网的标识相对应,通过细化定义32比特用户自定义位,将专用组播源的单播地址及组播支持应用所需带宽需求标识嵌入其中尚未使用的20比特,形成面向特定源组播SSM和任意源组播ASM等协议的组播组新定义格式。结合路由器配置中有关流量控制及源地址控制等ACL设定,有效地解决了组播源认证及抗DOS攻击的安全问题,为更好地实现大规模IPv6非隧道组播网络的运行与管理打下了基础。
Description
技术领域
IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法,属于计算机互联网通信技术范畴。
背景技术
RFC4291,RFC3306,RFC3307定义了用于IPv6不同组播协议:特定源组播(SSM)、任意源组播(ASM)及内嵌RP的任意源组播(ASM-Embeded RP)的组播组地址的不同格式。在整个128位长度的地址中,最后32位由用户自定义组播组地址的取值范围。目前,IPv6组播网络的搭建较多地开展于局域网,IPv6局域网组播的运行管理比较简单,对IPv6组播组地址的使用可完全遵循RFC的有关规定。作为大型网络服务提供商(ISP),多年运行和管理IPv4大规模组播网络的实践表明:组播技术由于其在组成员动态管理机制及组播路由机制方面的特殊性,使其在可扩展性、安全性及可管理性方面存在极大困难。IPv6组播技术研究刚刚起步,大规模组播网络的运行和管理面临新的机遇和挑战。为了有效地解决大规模组播网络的安全性问题及可扩展性问题,本发明在遵照RFC基本原则的基础上,通过对IPv6组播组地址用户自定义段中若干字节位的重新定义,配合路由器上的有关配置,对组播源身份认证及恶意或非恶意DOS攻击抑制起到了很好的效果。
发明内容
IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法在遵循RFC关于IPv6组播组地址格式定义及分配原则的基础上,通过细化定义32比特用户自定义位,将组播源的单播地址及组播支持应用所需带宽需求标识嵌入其中尚未使用的20比特,形成面向特定源组播SSM和任意源组播ASM等协议的组播组新定义格式。结合路由器配置中有关流量控制及源地址控制等ACL设定,有效地解决了组播源认证及抗DOS攻击的安全问题。其特征在于,
1.为组播源单独定义、专门分配一块/48IPv6地址,该地址含65,000个/64。每一个/64中的标识段(第四段)与一个园区网/48地址中的标识段(第三段)相对应。即每一个园区网有一块/48的IPv6单播地址,同时还有一块对应的/64单播地址作为组播源。在此基础上,把专用组播源所在的IPv6单播地址所对应的园区网标识部分(第四段共16-bits)和使用该组播组地址所支持应用的最大带宽需求标志位(4-bits)一起嵌入到由RFC规定的由用户自定义位中的20位,并在路由器上作流量控制及源地址控制的配置,使只有与组地址中内嵌的单播地址匹配的源地址才能够对主干网发送组播数据流,同时特定的组播组只能发送等于或小于该组播组地址所定义的速率的数据流,因此具有更好的安全性和可管理性;
2.假设某个园区网的单播地址为2001:DB8:yyyy::/48,专用组播源的单播地址则为2001:DB8:ABCD:yyyy::/64,其中ABCD为本例中的专用组播源地址的标识,yyyy是园区网/48地址对应的标识,对于RFC 4291,RFC 3306,RFC 3307定义的特定源(SSM)组播地址,本发明方法的定义及分配方案如下:
支持园区网范围(Campus Scope),主干网范围(Backbone Scope)和全球范围(Global Scope)的SSM的IPv6组播组地址格式为:
(4)园区网范围:FF35::wxxx:ABCD/96,
(5)主干网范围:FF38::wxxx:ABCD/96,
(6)全球范围:FF3e::wxxx:ABCD/96,
其中,w标识该组播组地址所支持应用的最大带宽需求,目前定义的w为:
0x8:0.1Mbps,
0xC:1Mbps,
0xE:10Mbps,
0xF:100Mbps,
xxx为用户自行分配的组播地址范围;
路由器对于组播源地址和组地址控制的配置方法为:允许源地址2001:DB8:ABCD:yyyy::/64发送到组地址FF3z:0:0:0:0:0:w000::/100(z的取值范围为5,8,e),拒绝所有其他源地址发送到组地址FF00::/8。
路由器对于特定组的流量控制方法为:控制任意源地址,组地址为FF3z:0:0:0:0:0:8000::/100的流量限制为0.1Mbps,控制任意源地址,组地址为FF3z:0:0:0:0:0:C000::/100的流量限制为1Mbps,控制任意源地址,组地址为FF3z:0:0:0:0:0:E000::/100的流量限制为10Mbps,控制任意源地址,组地址为FF3z:0:0:0:0:0:F000::/100的流量限制为100Mbps(z的取值范围为5,8,e)。
3.假设某个园区网的单播地址为2001:DB8:yyyy::/48,专用组播源的单播地址则为2001:DB8:ABCD:yyyy::/64,其中ABCD为本例中的专用组播源地址的标识,yyyy是园区网/48地址对应的标识,对于RFC4291,RFC3306或RFC3307定义的任意源(ASM)组播地址,本发明方法的定义及分配方案如下:
支持园区网范围(Campus Scope)的、主干网范围(Backbone Scope)和全球范围(Global Scope)的ASM(静态RP)的组播组地址格式为:
(3)园区网范围:FF35:0020:2001:DB8::wxxx:ABCD/96,
(2)主干网范围:FF38:0020:2001:DB8::wxxx:ABCD/96,
(3)全球范围:FF3e:0020:2001:DB8::wxxx:ABCD/96,
其中,w标识该组播组地址所支持应用的最大带宽需求,目前定义的w为:
0x8:0.1Mbps,
0xC:1Mbps,
0xE:10Mbps,
0xF:100Mbps,
xxx标识用户可以自行分配的组播地址范围;
路由器对于组播源地址和组地址控制的配置方法为:允许源地址2001:DB8:ABCD:yyyy::/64发送到组地址FF3z:0020:2001:DB8:0:0:w000::/100(z的取值范围为5,8,e),拒绝所有其他源地址发送到组地址FF00::/8。
路由器对于特定组的流量控制方法为:控制任意源地址,组地址为FF3z:0020:2001:DB8:0:0:8000::/100的流量限制为0.1Mbps,控制任意源地址,组地址为FF3z:0020:2001:DB8:0:0:C000::/100的流量限制为1Mbps,控制任意源地址,组地址为FF3z:0020:2001:DB8:0:0:E000::/100的流量限制为10Mbps,控制任意源地址,组地址为FF3z:0020:2001:DB8:0:0:F000::/100的流量限制为100Mbps(z的取值范围为5,8,e)。
4.假设某个园区网的单播地址为2001:DB8:yyyy::/48,专用组播源的单播地址则为2001:DB8:ABCD:yyyy::/64,其中ABCD为本例中的专用组播源地址的标识,yyyy是园区网/48地址对应的标识,对于RFC 4291,RFC 3306,RFC 3596定义的任意源(ASM)组播地址,如果嵌入式RP(Embedded RP)地址是:2001:DB8::1,本发明方法的定义及分配方案如下:支持园区网范围(Campus Scope)的、主干网范围(Backbone Scope)和全球范围(Global Scope)的ASM(Embedded RP)的组播组地址格式为:
(4)园区网范围:FF75:0120:2001:DB8::wxxx:ABCD/96,
(2)主干网范围:FF78:0120:2001:DB8::wxxx:ABCD/96,
(3)全球范围:FF7e:0120:2001:DB8::wxxx:ABCD/96,
其中,w标识该组播组地址所支持应用的最大带宽需求,目前定义的w为:
0x8:0.1Mbps,
0xC:1Mbps,
0xE:10Mbps,
0xF:100Mbps,
xxx标识用户可以自行分配的组播地址范围;
路由器对于组播源地址和组地址控制的配置方法为:允许源地址2001:DB8:ABCD:yyyy::/64发送到组地址FF7z:0120:2001:DB8:0:0:w000::/100(z的取值范围为5,8,e),拒绝所有其他源地址发送到组地址FF00::/8。
路由器对于特定组的流量控制方法为:控制任意源地址,组地址为FF7z:0120:2001:DB8:0:0:8000::/100的流量限制为0.1Mbps,控制任意源地址,组地址为FF7z:0120:2001:DB8:0:0:C000::/100的流量限制为1Mbps,控制任意源地址,组地址为FF7z:0120:2001:DB8:0:0:E000::/100的流量限制为10Mbps,控制任意源地址,组地址为FF7z:0120:2001:DB8:0:0:F000::/100的流量限制为100Mbps(z的取值范围为5,8,e)。
附图说明
图1是本发明方法提出的IPv6组播组地址补充定义格式;
具体实施方式
在CNGI-CERNET2上,按照以上定义方法,以清华大学、北京大学、上海交通大学、东南大学、西安交大等5所学校为例,各学校校园网用户分配特定源组播及任意源组播(静态RP)组地址方案如表1所示:
在思科(CISCO)路由器上对清华大学、上海交大、西安交大组播流的源地址的控制配置案例为:
ipv6 access-list multicast-source permit 2001:250:ABCD:200::/64 FF38:0:0:0:0:0:F000::/100
ipv6 access-list multicast-source deny any FF00::/8
在思科(CISCO)路由器上对上海交大组播流的源地址的控制配置案例为:
ipv6 access-list multicast-source permit 2001:250:ABCD:6000::/64FF38:0:0:0:0:0:F000::/100
ipv6 access-list multicast-source deny any FF00::/8
在思科(CISCO)路由器上对西安交大组播流的源地址的控制配置案例为:
ipv6 access-list multicast-source permit 2001:250:ABCD:1001::/64FF38:0:0:0:0:0:F000::/100
ipv6 access-list multicast-source deny any FF00::/8
表示:除了2001:250:ABCD:200::/64、2001:250:ABCD:6000::/64和2001:250:ABCD:1001::/64的地址外,其他源地址发往任意组地址的组播通信都不能成功。同时在路由器上对IPv6SSM组播路由状态(S,G)进行监控,检查源地址和组地址的匹配情况,可以很好地防止非认证源攻击。
在思科(CISCO)路由器上对组播流量控制的配置案例为:
政策映射:
policy-map limit-multicast
class multicast-ipv6-100k
police cir 100000 bc 3125 be 3125 conform-action transmit exceed-action drop violate-action
drop class multicast-ipv6-1m
police cir 1000000 bc 31250 be 31250 conform-action transmit exceed-action drop violate-action
drop class multicast-ipv6-10m
police cir 10000000 bc 312500 be 312500 conform-action transmit exceed-action drop
violate-action drop class multicast-ipv6-100m
police cir 100000000 bc 3125000 be 3125000 conform-action transmit exceed-action drop
violate-action drop
!
类别映射:
class-map match-all multicast-ipv6-100k
match access-group name multicast-ipv6-100k
class-map match-all multicast-ipv6-1m
match access-group name multicast-ipv6-1m
class-map match-all multicast-ipv6-10m
match access-grcup name multicast-ipv6-10m
class-map match-all multicast-ipv6-100m
match access-group name multicast-ipv6-100m
!
地址控制:
ipv6 access-list multicast-ipv6-100k permit ipv6 any FF3E::8000:0/112
ipv6 access-list multicast-ipv6-1m permit ipv6 any FF3E::C000:0/112
ipv6 access-list multicast-ipv6-10m permit ipv6 any FF3E::E000:0/112
ipv6 access-list multicast-ipv6-100m permit ipv6 any FF3E::F000:0/112
端口配置:
interface GigabitEthernet7/22
bandwidth 100000
ip address 202.38.97.113 255.255.255.252
ip route-cache flow
ipv6 address 2001:DA8:AAAF::1/64
mls netflow sampling
service-policy output limit-multicast
在遵循RFC关于IPv6组播组地址格式定义及分配原则的基础上,通过细化定义其中的32比特用户自定义位,将组播源单播地址及组播支持应用所需带宽需求嵌入其中的20比特,对原RFC的有关规定进行了扩充。面向特定源组播SSM和任意源组播ASM等协议的组播组新定义格式,有效地解决了组播源认证及抗DOS攻击的安全问题,为更好地实现大规模IPv6非隧道组播网络的运行与管理提供了基础。
Claims (4)
1.IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法,其特征在于,为组播源单独定义、专门分配一块/48 IPv6地址,该地址含65,000个/64,每一个/64中的标识段(第四段)与一个园区网/48地址中的标识段(第三段)相对应,即每一个园区网有一块/48的IPv6单播地址,同时还有一块对应的/64单播地址作为组播源,在此基础上,把专用组播源所在的IPv6单播地址所对应的园区网标识部分(第四段共16-bits)和使用该组播组地址所支持应用的最大带宽需求标志位(4-bits)一起嵌入到由RFC规定的由用户自定义位中的20位,并在路由器上作流量控制及源地址控制的配置,使只有与组地址中内嵌的单播地址匹配的源地址才能够对主干网发送组播数据流,同时特定的组播组只能发送等于或小于该组播组地址所定义的速率的数据流,因此具有更好的安全性和可管理性;
2.根据权利要求书1所述的IPv6协议下一种组播源身份认证及抑制恶意/非恶意服务攻击的方法,其特征在于,假设某个园区网的单播地址为2001:DB8:yyyy::/48,专用组播源的单播地址则为2001:DB8:ABCD:yyyy::/64,其中ABCD为本例中的专用组播源地址的标识,yyyy是园区网/48地址对应的标识,对于RFC 4291,RFC 3306,RFC 3307定义的特定源(SSM)组播地址,本发明方法的定义及分配方案如下:
支持园区网范围(Campus Scope),主干网范围(Backbone Scope)和全球范围(Global Scope)的SSM的IPv6组播组地址格式为:
(1)园区网范围:FF35::wxxx:ABCD/96,
(2)主干网范围:FF38::wxxx:ABCD/96,
(3)全球范围:FF3e::wxxx:ABCD/96,
其中,w标识该组播组地址所支持应用的最大带宽需求,目前定义的w为:
0x8:0.1Mbps,
0xC:1Mbps,
0xE:10Mbps,
0xF:100Mbps,
xxx为用户自行分配的组播地址范围;
路由器对于组播源地址和组地址控制的配置方法为:允许源地址2001:DB8:ABCD:yyyy::/64发送到组地址FF3z:0:0:0:0:0:w000::/100(z的取值范围为5,8,e),拒绝所有其他源地址发送到组地址FF00::/8;
路由器对于特定组的流量控制方法为:控制任意源地址,组地址为FF3z:0:0:0:0:0:8000::/100的流量限制为0.1Mbps,控制任意源地址,组地址为FF3z:0:0:0:0:0:C000::/100的流量限制为1Mbps,控制任意源地址,组地址为FF3z:0:0:0:0:0:E000::/100的流量限制为10Mbps,控制任意源地址,组地址为FF3z:0:0:0:0:0:F000::/100的流量限制为100Mbps(z的取值范围为5,8,e);
3.根据权利要求书1所述的IPv6协议下一种组播源身份认证及抑制恶意/非恶意服务攻击的方法,其特征在于,假设某个园区网的单播地址为2001:DB8:yyyy::/48,专用组播源的单播地址则为2001:DB8:ABCD:yyyy::/64,其中ABCD为本例中的专用组播源地址的标识,yyyy是园区网/48地址对应的标识,对于RFC4291,RFC3306或RFC3307定义的任意源(ASM)组播地址,本发明方法的定义及分配方案如下:
支持园区网范围(Campus Scope)的、主干网范围(Backbone Scope)和全球范围(Global Scope)的ASM(静态RP)的组播组地址格式为:
(1)园区网范围:FF35:0020:2001:DB8::wxxx:ABCD/96,
(2)主干网范围:FF38:0020:2001:DB8::wxxx:ABCD/96,
(3)全球范围:FF3e:0020:2001:DB8::wxxx:ABCD/96,
其中,w标识该组播组地址所支持应用的最大带宽需求,目前定义的w为:
0x8:0.1Mbps,
0xC:1Mbps,
0xE:10Mbps,
0xF:100Mbps,
xxx标识用户可以自行分配的组播地址范围;
路由器对于组播源地址和组地址控制的配置方法为:允许源地址2001:DB8:ABCD:yyyy::/64发送到组地址FF3z:0020:2001:DB8:0:0:w000::/100(z的取值范围为5,8,e),拒绝所有其他源地址发送到组地址FF00::/8;
路由器对于特定组的流量控制方法为:控制任意源地址,组地址为FF3z:0020:2001:DB8:0:0:8000::/100的流量限制为0.1Mbps,控制任意源地址,组地址为FF3z:0020:2001:DB8:0:0:C000::/100的流量限制为1Mbps,控制任意源地址,组地址为FF3z:0020:2001:DB8:0:0:E000::/100的流量限制为10Mbps,控制任意源地址,组地址为FF3z:0020:2001:DB8:0:0:F000::/100的流量限制为100Mbps(z的取值范围为5,8,e);
4.根据权利要求书1所述的IPv6协议下一种组播源身份认证及抑制恶意/非恶意服务攻击的方法,其特征在于,假设某个园区网的单播地址为2001:DB8:yyyy::/48,专用组播源的单播地址则为2001:DB8:ABCD:yyyy::/64,其中ABCD为本例中的专用组播源地址的标识,yyyy是园区网/48地址对应的标识,对于RFC 4291,RFC 3306,RFC 3596定义的任意源(ASM)组播地址,如果嵌入式RP(Embedded RP)地址是:2001:DB8::1,本发明方法的定义及分配方案如下:
支持园区网范围(Campus Scope)的、主干网范围(Backbone Scope)和全球范围(Global Scope)的ASM(Embedded RP)的组播组地址格式为:
(2)园区网范围:FF75:0120:2001:DB8::wxxx:ABCD/96,
(2)主干网范围:FF78:0120:2001:DB8::wxxx:ABCD/96,
(3)全球范围:FF7e:0120:2001:DB8::wxxx:ABCD/96,
其中,w标识该组播组地址所支持应用的最大带宽需求,目前定义的w为:
0x8:0.1Mbps,
0xC:1Mbps,
0xE:10Mbps,
0xF:100Mbps,
xxx标识用户可以自行分配的组播地址范围;
路由器对于组播源地址和组地址控制的配置方法为:允许源地址2001:DB8:ABCD:yyyy::/64发送到组地址FF7z:0120:2001:DB8:0:0:w000::/100(z的取值范围为5,8,e),拒绝所有其他源地址发送到组地址FF00::/8;
路由器对于特定组的流量控制方法为:控制任意源地址,组地址为FF7z:0120:2001:DB8:0:0:8000::/100的流量限制为0.1Mbps,控制任意源地址,组地址为FF7z:0120:2001:DB8:0:0:C000::/100的流量限制为1Mbps,控制任意源地址,组地址为FF7z:0120:2001:DB8:0:0:E000::/100的流量限制为10Mbps,控制任意源地址,组地址为FF7z:0120:2001:DB8:0:0:F000::/100的流量限制为100Mbps(z的取值范围为5,8,e)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2008100942708A CN101282338B (zh) | 2007-05-16 | 2008-04-25 | IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710099295.2 | 2007-05-16 | ||
CN200710099295 | 2007-05-16 | ||
CN2008100942708A CN101282338B (zh) | 2007-05-16 | 2008-04-25 | IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101282338A true CN101282338A (zh) | 2008-10-08 |
CN101282338B CN101282338B (zh) | 2011-08-17 |
Family
ID=40014613
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2008100942708A Active CN101282338B (zh) | 2007-05-16 | 2008-04-25 | IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101282338B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010130181A1 (zh) * | 2009-05-11 | 2010-11-18 | 中兴通讯股份有限公司 | 防止IPv6地址被欺骗性攻击的装置与方法 |
CN101917434A (zh) * | 2010-08-18 | 2010-12-15 | 清华大学 | 域内ip源地址验证的方法 |
CN101764822B (zh) * | 2010-01-29 | 2013-02-13 | 北京天地互连信息技术有限公司 | 一种IPv6源地址认证测试方法 |
CN103957102A (zh) * | 2014-03-11 | 2014-07-30 | 西南科技大学 | 一种基于分组数据包匹配的安全组播源认证方法 |
CN104426681A (zh) * | 2013-08-24 | 2015-03-18 | Nicira股份有限公司 | 端点的分布式多播 |
US10778457B1 (en) | 2019-06-18 | 2020-09-15 | Vmware, Inc. | Traffic replication in overlay networks spanning multiple sites |
US10999087B2 (en) | 2014-03-31 | 2021-05-04 | Nicira, Inc. | Replicating broadcast, unknown-unicast, and multicast traffic in overlay logical networks bridged with physical networks |
US11310150B2 (en) | 2013-12-18 | 2022-04-19 | Nicira, Inc. | Connectivity segment coloring |
WO2023092498A1 (zh) * | 2021-11-26 | 2023-06-01 | Oppo广东移动通信有限公司 | 组播消息的处理方法及相关装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11784922B2 (en) | 2021-07-03 | 2023-10-10 | Vmware, Inc. | Scalable overlay multicast routing in multi-tier edge gateways |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030093813A (ko) * | 2002-06-05 | 2003-12-11 | 주식회사 케이티 | 멀티캐스트 어드레스 할당 방법 |
CN100346605C (zh) * | 2003-06-26 | 2007-10-31 | 华为技术有限公司 | 一种组播源控制的方法和系统 |
CN1863153B (zh) * | 2005-10-09 | 2010-09-29 | 华为技术有限公司 | 以太网支持源特定组播转发的方法及其设备 |
-
2008
- 2008-04-25 CN CN2008100942708A patent/CN101282338B/zh active Active
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010130181A1 (zh) * | 2009-05-11 | 2010-11-18 | 中兴通讯股份有限公司 | 防止IPv6地址被欺骗性攻击的装置与方法 |
CN101888370B (zh) * | 2009-05-11 | 2013-01-09 | 中兴通讯股份有限公司 | 防止IPv6地址被欺骗性攻击的装置与方法 |
CN101764822B (zh) * | 2010-01-29 | 2013-02-13 | 北京天地互连信息技术有限公司 | 一种IPv6源地址认证测试方法 |
CN101917434A (zh) * | 2010-08-18 | 2010-12-15 | 清华大学 | 域内ip源地址验证的方法 |
CN101917434B (zh) * | 2010-08-18 | 2013-04-10 | 清华大学 | 域内ip源地址验证的方法 |
US9887851B2 (en) | 2013-08-24 | 2018-02-06 | Nicira, Inc. | Distributed multicast by endpoints |
CN104426681A (zh) * | 2013-08-24 | 2015-03-18 | Nicira股份有限公司 | 端点的分布式多播 |
CN104426681B (zh) * | 2013-08-24 | 2018-09-04 | Nicira股份有限公司 | 端点的分布式多播 |
US10623194B2 (en) | 2013-08-24 | 2020-04-14 | Nicira, Inc. | Distributed multicast by endpoints |
US11310150B2 (en) | 2013-12-18 | 2022-04-19 | Nicira, Inc. | Connectivity segment coloring |
CN103957102B (zh) * | 2014-03-11 | 2017-02-08 | 西南科技大学 | 一种基于分组数据包匹配的安全组播源认证方法 |
CN103957102A (zh) * | 2014-03-11 | 2014-07-30 | 西南科技大学 | 一种基于分组数据包匹配的安全组播源认证方法 |
US10999087B2 (en) | 2014-03-31 | 2021-05-04 | Nicira, Inc. | Replicating broadcast, unknown-unicast, and multicast traffic in overlay logical networks bridged with physical networks |
US11923996B2 (en) | 2014-03-31 | 2024-03-05 | Nicira, Inc. | Replicating broadcast, unknown-unicast, and multicast traffic in overlay logical networks bridged with physical networks |
US10778457B1 (en) | 2019-06-18 | 2020-09-15 | Vmware, Inc. | Traffic replication in overlay networks spanning multiple sites |
US11456888B2 (en) | 2019-06-18 | 2022-09-27 | Vmware, Inc. | Traffic replication in overlay networks spanning multiple sites |
WO2023092498A1 (zh) * | 2021-11-26 | 2023-06-01 | Oppo广东移动通信有限公司 | 组播消息的处理方法及相关装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101282338B (zh) | 2011-08-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101282338B (zh) | IPv6组播源身份认证及抑制恶意/非恶意服务攻击的方法 | |
Christensen et al. | Considerations for Internet group management protocol (IGMP) and multicast listener discovery (MLD) snooping switches | |
JP5000501B2 (ja) | 動的ホスト構成およびネットワークアクセス認証 | |
US7698455B2 (en) | Method for providing scalable multicast service in a virtual private LAN service | |
US8181014B2 (en) | Method and apparatus for protecting the routing of data packets | |
Wu et al. | Source address validation: Architecture and protocol design | |
CN104219239B (zh) | 一种基于邻居发现的LoWPAN节点安全接入控制方法 | |
CN1871811A (zh) | 用于将多个vlan组合到单个802.11ip多播域中的系统和方法 | |
WO2010021577A1 (en) | Method and apparatus for avoiding unwanted data packets | |
WO2008014723A1 (fr) | Procédé et dispositif permettant la mise en oeuvre d'un réseau privé virtuel (vpn) fondé sur une structure d'adresse ipv6 | |
CN105337890A (zh) | 一种控制策略生成方法以及装置 | |
WO2012130128A1 (zh) | 一种实现网络标识转换的方法、装置及系统 | |
Liyanage et al. | A scalable and secure VPLS architecture for provider provisioned networks | |
Asaeda et al. | Mtrace Version 2: Traceroute facility for IP multicast | |
He et al. | Towards securing duplicate address detection using P4 | |
Castellucia et al. | Securing group management in IPv6 with cryptographically generated addresses | |
Haberman et al. | Multicast Router Discovery | |
Mönnich et al. | Mitigation of IPv6 Router Spoofing Attacks with P4 | |
Liu et al. | Design of security neighbor discovery protocol | |
Liang et al. | A SDN-Based Hierarchical Authentication Mechanism for IPv6 Address | |
Lemon et al. | The classless static route option for Dynamic Host Configuration Protocol (DHCP) version 4 | |
Annapurna et al. | Data link layer-security issues | |
Min | Research on network security based on IPv6 architecture | |
KIPRUTO | TERM PAPER: VPLS SECURITY | |
Araji et al. | Embedding switch number, port number, and MAC address (ESPM) within the IPv6 address |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |