CN101527681A - 一种上行报文的处理方法、装置和系统 - Google Patents
一种上行报文的处理方法、装置和系统 Download PDFInfo
- Publication number
- CN101527681A CN101527681A CN200910058783A CN200910058783A CN101527681A CN 101527681 A CN101527681 A CN 101527681A CN 200910058783 A CN200910058783 A CN 200910058783A CN 200910058783 A CN200910058783 A CN 200910058783A CN 101527681 A CN101527681 A CN 101527681A
- Authority
- CN
- China
- Prior art keywords
- address
- uplink message
- illegally
- source
- network segment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种上行报文的处理方法、装置及系统,其中,该方法包括:接收上行报文,所述上行报文中携带有源IP地址;从所述上行报文中解析出该源IP地址;判断该源IP地址是否处于获得的非法穿越网段内,当该源IP地址处于该非法穿越网段内时,丢弃所述上行报文。使用本发明实施例的技术方案,通过判断接收的上行报文中的源IP地址是否处于非法穿越网段内,来识别该上行报文是否非法穿越第一AS,从而便于网络的运营管理,而且基本不会对上行报文的正常路由带来影响。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种上行报文的处理方法、装置和系统。
背景技术
目前的Internet(因特网)是由不同的AS(Autonomous System,自治系统)相互连接构成的大网络,这些AS可能分别隶属于不同的因特网服务提供商(Internet Service Provider,ISP),其中BGP(Border Gateway Protocol,边界网关协议)是一种在AS(Autonomous System,自治系统)之间交换网络层可达信息的路由选择协议,当一个AS接入Internet时,处于该AS边界的BGP路由器会向与该AS通过BGP协议直接互联的其他AS边界的BGP路由器进行路由信息的交换,以此作为AS间进行路由选择的依据。而在互连网的组网中,并不是每两个AS之间都通过BGP协议直接互联,这里的通过BGP协议直接互联可以理解为不仅两个AS之间建立有物理连接,而且两个AS的各自BGP路由器之间建立有TCP连接,并交换消息以确认BGP的连接参数,在BGP连接建立起来以后交换BGP路由表,以AS之间的实线来表示AS之间通过BGP协议直接互联,如图1所示,AS 1与AS2之间没有通过BGP协议直接互联,AS1通过AS1的父AS即AS0连接Internet,通过AS0与AS1、AS2之间进行数据通信。
发明人在实现本发明的过程中,发现:当AS2中的用户IP A的目的用户IPB属于AS3,用户IP A可以通过与AS1中的某个专线用户之间建立连接,并将AS2发出的流量通过AS1传输给AS0,以实现与AS3进行通信,用户IPA避免了直接与AS0的数据通信,从而导致了AS1向父AS0传输了本不应穿越AS1的网络报文,给AS1的运营商带来了网络运营管理的难度,也给网络带来了不可控因素。
发明内容
本发明实施例提供一种上行报文的处理方法、边界路由器、非法穿越检测设备以及通信系统,以识别非法穿越当前AS的网络报文,从而便于网络的运营管理。
本发明实施例提供如下技术方案:
一种上行报文的处理方法,应用于包括第一自治系统AS的通信系统,该方法包括:
接收上行报文,所述上行报文中携带有源IP地址;
从所述上行报文中解析出该源IP地址;
判断该源IP地址是否处于获得的非法穿越网段内,当该源IP地址处于该非法穿越网段内时,丢弃所述上行报文。
以及,一种上行报文的处理方法,应用于包括第一自治系统AS的通信系统,包括:
获得上行报文,所述上行报文中携带有源IP地址;
从所述上行报文中解析出该源IP地址;
根据同步来的路由信息,获得与作为目的地址的该源IP地址匹配的至少一条路由记录,所述路由记录包含AS_PATH属性;
当所述路由记录中至少一条的AS_PATH属性包含第一AS的父AS标识时,确定该上行报文非法穿越所述第一AS。
以及,一种边界路由器,应用于包括第一自治系统AS的通信系统,包括:
接口单元,用于接收上行报文,所述上行报文中携带有源IP地址;
检查单元,用于从所述上行报文中解析出该源IP地址,并判断该源IP地址是否处于获得的非法穿越网段内,当该源IP地址处于该非法穿越网段内时,由路由处理单元进行丢弃处理;
路由处理单元,用于丢弃所述上行报文。
以及,一种非法穿越检测设备,应用于包括第一自治系统AS的通信系统,包括:
报文获得单元,用于获得上行报文,所述上行报文中携带有源IP地址;
非法穿越检测单元,用于从所述上行报文中解析出该源IP地址,并根据同步来的路由信息,获得与作为目的地址的所述源IP地址匹配的至少一条路由记录,在所述路由记录中至少一条的AS_PATH属性包含第一AS的父AS标识时,确定该上行报文非法穿越所述第一AS。
以及,一种通信系统,所述系统至少包括:未通过边界网关协议互连的第一AS和第二AS,以及所述第一AS的父AS,所述第一AS与父AS的互联接口处部署有直路设备,其中:
第一AS的边界路由器,用于接收来自第二AS的上行报文,根据维护的路由信息和所述上行报文中携带的目的IP地址,将所述上行报文向对应的下一跳地址所指向的父AS发送;
所述直路设备,用于截获所述上行报文,并检查所述上行报文中携带的源IP地址是否处于所获得的非法穿越网段内,在该源IP地址处于该非法穿越网段内时,丢弃该上行报文。
本发明实施例中,通过判断接收的上行报文中的源IP地址是否处于非法穿越网段内,来识别该上行报文是否非法穿越第一AS,或者根据路由信息获得与上行报文中的源IP地址匹配的至少一条路由记录,当所述路由记录中至少一条的AS_PATH属性包含第一AS的父AS标识时,确定该上行报文非法穿越所述第一AS,以实现识别非法穿越所述第一AS的网络报文,从而便于网络的运营管理。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为一种由AS相互连接构成的网络环境示意图;
图2为本发明实施例提供的一种上行报文的处理方法的流程示意图;
图3为本发明实施例提供的一种非法穿越网段的获得方法的流程示意图;
图4为本发明实施例提供的又一种上行报文的处理方法的流程示意图;
图5为本发明实施例的一种应用网络环境示意图;
图6为应用于图5所示环境下的一种交互示意图;
图7为一种非法穿越AS的流量示意图;
图8为本发明实施例的又一种应用网络环境示意图;
图9为应用于图8所示环境下的一种交互示意图;
图10为本发明实施例的再一种应用网络环境示意图;
图11为本发明实施例提供的一种边界路由器的结构示意图;
图12为本发明实施例提供的又一种边界路由器的结构示意图;
图13为本发明实施例提供的一种非法穿越检测设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,AS间通过BGP协议直接互连,相互同步对方的BGP路由信息,添加到自己的BGP路由表中,例如AS1和其父AS(即AS0)通过BGP协议直接互联时,AS1从AS0获取BGP路由信息,其中包括AS0到AS2的路由信息,及AS0到AS3的路由信息。AS1通过添加从父AS(即AS0)同步过来的BGP路由信息,从而可以通过父AS与AS2、AS3实现数据通信。父AS也会同步到AS1的BGP路由信息并发布给其他直接互联的AS,最终AS1的BGP路由信息会发布到AS3,从而实现AS3与AS1的数据通信。而没有通过BGP协议直接互联的AS之间进行数据传输须通过其他AS进行中转。
IP A虽然私自与AS1的专线用户建立了连接,实现了数据传输,但是由于AS2和AS1之间没有通过BGP协议直接互联,故它们之间的BGP路由信息均是需要通过父AS(即AS0)进行中转的。因此,针对非法穿越AS1的1P,根据该非法穿越的IP从AS1的BGP路由信息中查询到的BGP路由记录中的AS_PATH属性均包含AS1的父AS的标识,如AS0,而正常的用户IP不具有这一特征。
请参阅图2,为本发明实施例的一种上行报文的处理方法,应用于包括第一AS的通信系统,具体可以应用于处于第一AS边界的边界路由器,或者第一AS与其父AS的互连连接处部署的直路设备,其中该方法包括:
S201、接收上行报文,所述上行报文中至少携带有源IP地址;
S202、从所述上行报文中解析出源IP地址;
S203、判断该源IP地址是否处于获得的非法穿越网段内,当所述源IP地址处于该非法穿越网段内时,执行S204;
应当理解的是,当所述源IP地址处于该非法穿越网段内时,则识别出该上行报文非法穿越该第一AS。
S204、将该上行报文进行丢包。
以及,本发明实施例的上行报文的处理方法中,所述上行报文中进一步携带有目的IP地址,进一步包括:
S205、当所述源IP地址未处于所获得的非法穿越网段内时,根据同步得来的路由信息将该上行报文路由到与所述目的地址对应的下一跳地址。
具体的,从同步得来的BGP路由表中查找与所述目的IP地址匹配的BGP路由记录,将所述上行报文路由到该BGP路由记录中的对应的下一跳地址所指向的所述第一AS的父AS;其中,所述BGP路由记录中可以包含目的IP地址、掩码、下一跳IP地址、权重、优先级、AS_PATH属性等,这里的权重、优先级可以理解为附加属性,其中,AS_PATH属性即路由到达目的地所应该通过的全路径,i.e.AS号列表,换言之AS_PATH属性记录了到达最终目的地的一条BGP路由经过的AS号。
进一步的,S203中涉及的非法穿越网段的获得方式包括:
在一种实现下,在处于第一AS边界的BGP路由器中的BGP路由信息中预先设置非法穿越第一AS的网段;在另一种实现下,这里的非法穿越AS的网段可以是动态获得,例如,接收以旁路方式部署在第一AS出口的非法穿越检测设备所发送的非法穿越网段信息,也可以采用其他方式动态获得。
具体的,本发明实施例提出一种非法穿越网段的获得方法,如图3所示,包括:
S301、确定第一AS的父AS标识;
具体的,通过分析组网结构确定第一AS的父AS标识,如父AS号;
S302、向第一AS或与第一AS关联的其他AS的BGP路由器同步得到BGP路由信息,所述BGP路由信息至少包含目的IP地址、下一跳IP地址以及对应的AS_PATH属性;
S303、根据所述BGP路由信息,获取AS_PATH属性中包含所述父AS标识的目的IP地址段,所述目的IP地址段为非法穿越网段;
具体地说,这里的AS_PATH属性中包含所述父AS标识的目的IP地址段,即为第一AS通过其父AS才能进行数据通信的目的IP地址段,反向证明,如果该目的IP地址段要向第一AS发送数据报文,也同样需要经过第一AS的父AS;因此,可以理解为“通过第一AS的父AS才能与第一AS进行数据通信的网段”,即该网段通过第一AS的父AS才能与第一AS进行数据通信,换言之即“不允许直接穿越第一AS的网段”,简称为非法穿越网段。
需要说明的是,AS_PATH属性是BGP路由记录的一个属性,它以相反的顺序记录了BGP路由所经过的AS号,可以反映本AS通过这条路由传输数据时需要通过的AS号。
可见,本发明实施例中,通过判断接收的上行报文中的源IP地址是否处于获得的非法穿越网段内,并当该源IP地址处于该非法穿越网段内时,能识别该上行报文非法穿越所述第一AS,将该上行报文进行丢包,从而便于网络的运营管理;
以及,针对非法穿越第一AS的上行报文进行丢包处理,从而实现减少向父AS传输非法穿越第一AS的网络流量(或者是减少不应经过第一AS传输到父AS的网络流量),从而提高了网络稳定性。
请参阅图4,为本发明实施例的又一种上行报文的处理方法,可以应用于包括第一AS的通信系统,具体可以应用于在第一AS的出口以旁路方式部署的旁路设备、处于第一AS边界的BGP路由器,或者第一AS与其父AS的互连连接处部署的直路设备,该方法包括:
S401、获得上行报文,该上行报文至少携带有源IP地址;
具体可以是接收其他AS发来的上行报文,或者,采集通过第一AS向所述第一AS的父AS所发送的上行报文的镜像。
S402、从所述上行报文中解析出源IP地址;
S403、根据同步来的BGP路由信息,获得与作为目的地址的源IP地址匹配的至少一条BGP路由记录,所述BGP路由记录包含AS_PATH属性;
这里的BGP路由信息是从第一AS或与第一AS关联的其他AS的BGP路由器同步来的。
S404、当所述BGP路由记录中至少一条的AS_PATH属性包含第一AS的父AS标识时,确定该上行报文非法穿越第一AS(亦即确定该源IP地址为非法穿越IP)。
需要说明的是,如果S403匹配多条BGP路由记录,所述方法进一步包括:从所述路由记录中选择基准路由记录;例如,可以从多条BGP路由记录中选择掩码长度最大的BGP路由记录,即这里的基准路由记录为掩码长度最大的BGP路由记录,本发明实施例包括但不限于此,可以参考路由器选路方式;
相应的,S404具体可以是,当该基准路由记录中的AS_PATH属性包含第一AS的父AS标识时,确定该上行报文非法穿越第一AS;
以及,本发明实施例的上行报文的处理方法中,该上行报文中进一步携带有目的IP地址,该方法进一步包括:
当该基准路由记录中的AS_PATH属性未包含第一AS的父AS标识时,根据所述同步来的BGP路由信息将该上行报文路由到与所述目的IP地址对应的下一跳地址。
应当了解的是,可以根据实际的需要灵活选择不同的实现方式。例如,在另一种实现下,当所述匹配的多条BGP路由记录中的AS_PATH属性均包含第一AS的父AS标识时,确定该上行报文非法穿越第一AS。
以及,本发明实施例的上行报文的处理方法,如果该方法的执行主体是处于第一AS边界的BGP路由器或者第一AS与其父AS的互连连接处部署的直路设备,则所述方法进一步包括:丢弃所述上行报文;
如果该方法的执行主体是在第一AS的出口以旁路方式部署的旁路设备,则所述方法进一步包括:
生成包含该源IP地址的报表(所述报表表示非法穿越的IP地址);或者,
向第一AS的BGP路由器返回非法穿越网段信息,所述非法穿越网段信息至少包括该源IP地址。
应当理解的是,前述执行主体也可以执行前述这些步骤中的一个或多个。
可见,本发明实施例中,通过判断所述匹配的BGP路由记录中的AS_PATH属性是否包含第一AS的父AS标识,来确定该上行报文是否非法穿越所述第一AS,以实现识别非法穿越所述第一AS的网络流量,从而便于网络的运营管理;
进一步的,针对非法穿越第一AS的上行报文还可以进行丢包或生成报表或者返回非法穿越网段信息,从而实现减少向父AS传输非法穿越第一AS的网络流量(或者是减少不应经过第一AS传输到父AS的网络流量),从而提高了网络稳定性。
下面结合图5所示的应用场景进一步介绍本发明实施例的方案:
如图5所示,AS1与AS0建立BGP连接,并且AS1和AS0之间的互联接口处,还部署有直路设备51;AS2与AS0建立BGP连接;AS3与AS0建立BGP连接,AS4与AS1建立BGP连接;处在AS1边界上的BGP路由器52与处在AS0边界上的BGP路由器53建立数据连接,相互同步对方的BGP路由信息,以及与处在AS4边界上的BGP路由器55建立数据连接,相互同步对方的BGP路由信息,添加到自己的BGP路由表中,AS1的边界路由器52的BGP路由表如表(一)所示。其他的BGP路由器54、55同理,不再赘述。
| 序号 | 目的IP | 掩码 | 下一跳IP | AS_PATH属性 |
| 1 | 192.168.0.0 | 24 | 192.168.0.1 | AS0 |
| 2 | 192.168.2.0 | 24 | 192.168.0.1 | AS0,AS2 |
| 3 | 192.168.3.0 | 24 | 192.168.0.1 | AS0,...AS3 |
| 4 | 192.168.4.0 | 24 | 192.168.4.1 | AS4 |
| 5 | 192.168.4.0 | 27 | 192.168.4.1 | AS4 |
表(一)
其中,AS0边界路由器53的IP为192.168.0.1;
AS1边界路由器52的IP为192.168.1.1;
AS2边界路由器54的IP为192.168.2.1;
AS4边界路由器55的IP为192.168.4.1。
AS1通过AS0接入Internet,在这里AS0称为AS1的父AS;
请参阅图6,为本发明实施例方法的一种交互示意图,应用于图5所示的网络环境下,包括:
步骤601、客户端A通过AS1的专线用户向客户端B发送上行报文,该上行报文至少包含源地址和目的地址;
具体的,客户端A为AS2中的IP:192.168.2.2,其中上行报文中的源地址为192.168.2.2,目的地址为192.168.3.2。
步骤602、AS1专线用户的内部路由器收到上行报文后,可选的经过一个或多个内部路由器,向AS1的BGP路由器192.168.1.1发送;
需要说明的是,一般AS下的用户至少分成两类,其一为一个帐号对应一个IP地址,其一为专线用户,例如分配5M带宽,具有IP网段,内部组网、内部路由器。
步骤603-604、AS1的BGP路由器收到该上行报文后,解析出其中的目的地址,根据本地的BGP路由表将该上行报文向与该目的地址匹配的BGP路由记录中的下一跳地址路由发送;
具体可以是,从上表(一)中获得与目的地址192.168.3.2所匹配的第3条路由记录,其中的下一跳地址为192.168.0.1。
步骤605、直路设备截获AS1 BGP路由器向AS0 BGP路由器发送的上行报文,并获取该上行报文中的源IP地址:192.168.2.2。
步骤606、直路设备根据从AS1 BGP路由器同步来的BGP路由表,获得与作为目的地址的该源IP地址所匹配的BGP路由记录;(即根据该源IP地址从同步过来的BGP路由表中查询匹配的BGP路由记录;)
需要说明的是,这里是直路设备从AS1 BGP路由器同步过来的BGP路由表;应当理解的是,直路设备也可以从AS0 BGP路由器同步BGP路由表;
具体的,根据192.168.2.2从上表(一)中查询匹配的BGP路由记录为:
| 2 | 192.168.2.0 | 24 | 192.168.0.1 | AS0,AS2 |
这里之所以用源IP地址作为目的地址查询匹配的BGP路由记录,是因为由于互联网的路由选择协议是通过检查数据包中的目的IP地址进行选路,当将源IP地址作为目的地址查询匹配的BGP路由记录时,匹配的BGP路由记录中的AS_PATH属性包含AS0标识时,说明如果AS1要向AS2发送数据报文,则需要经过AS0;这样就可以反向证明,如果AS2要向AS1发送数据报文,也同样需要经过AS0;
S607、当所述匹配的BGP路由记录中的AS_PATH属性包含AS1的父AS标识即AS0标识时,确定该上行报文为非法穿越AS1(或者确定该源IP地址为非法穿越IP),执行S608,反之,执行S609。
S608、直路设备丢弃该上行报文。
S609、直路设备将该上行报文向AS0 BGP路由器发送。
具体的,直路设备根据同步来的BGP路由信息将该上行报文路由到与所述目的IP地址对应的下一跳地址,即AS0 BGP路由器。
S610、当AS0 BGP路由器收到该上行报文后,通过internet将该上行报文向AS3 BGP路由器发送;
具体的,从所述上行报文中解析出目的IP地址192.168.3.2,根据与所述目的IP地址所匹配的BGP路由记录中的下一跳地址将该上行报文向AS3 BGP路由器192.168.3.1发送。
S611、当AS3BGP路由器收到该上行报文后,向IP:192.168.3.2的客户端B发送。
至此,就完成了上行报文的传输。图7示出了现有技术中非法穿越AS1的上行流量示意图。
可见,本发明实施例中,通过在AS之间的互联接口处部署直路设备来进行非法穿越报文的检测,具体的判断所述匹配的BGP路由记录中的AS_PATH属性是否包含AS1的父AS标识即AS0标识,来确定该上行报文是否非法穿越AS1,以实现识别非法穿越AS1的网络流量,从而便于网络的运营管理;
进一步的,针对非法穿越AS1的上行报文还可以进行丢包处理,从而实现减少向父AS传输非法穿越AS1的网络流量(或者是减少不应经过AS1传输到父AS的网络流量),从而提高了网络稳定性。
如图5中,是在AS0与AS1之间的互联接口处部署直路设备来进行非法穿越报文的检测;而图8中,是以旁路方式在AS1出口部署旁路设备,由该旁路设备获得AS1向AS0发送的上行报文的镜像,对该镜像的上行报文进行非法穿越报文的检测。
请参阅图8,AS1与AS0建立BGP连接,并且在AS 1出口以旁路方式部署有旁路设备71;AS2与AS0建立BGP连接;AS3与AS0建立BGP连接,AS4与AS1建立BGP连接;具体的,处在AS1边界上的BGP路由器72与处在AS0边界上的BGP路由器73建立数据连接,相互同步对方的BGP路由信息,以及与处在AS4边界上的BGP路由器75建立数据连接,相互同步对方的BGP路由信息,添加到自己的BGP路由表中,AS1的边界路由器72的BGP路由表如表(二)所示。其他的BGP路由器74、75同理,不再赘述。
| 序号 | 目的IP | 掩码 | 下一跳IP | AS_PATII |
| 1 | 192.168.0.0 | 24 | 192.168.0.1 | AS0 |
| 2 | 192.168.2.0 | 24 | 192.168.0.1 | AS0,AS2 |
| 3 | 192.168.3.0 | 24 | 192.168.0.1 | AS0,...AS3 |
| 4 | 192.168.4.0 | 24 | 192.168.4.1 | AS4 |
| 5 | 192.168.4.0 | 27 | 192.168.4.1 | AS4 |
表(二)
其中,AS0边界路由器73的IP为192.168.0.1;
AS1边界路由器72的IP为192.168.1.1;
AS2边界路由器74的IP为192.168.2.1;
AS4边界路由器75的IP为192.168.4.1。
AS1通过AS0接入Internet,在这里AS0称为AS1的父AS;
请参阅图9,为本发明实施例方法的另一种交互示意图,应用于图8所示的网络环境下,包括:
步骤801、客户端A通过AS1的专线用户向客户端B发送上行报文,该上行报文至少包含源地址和目的地址;
具体的,客户端A为AS2中的IP:192.168.2.2,其中上行报文中的源地址为192.168.2.2,目的地址为192.168.3.2。
步骤802、AS1专线用户的内部路由器收到上行报文后,可选的经过一个或多个内部路由器,向AS1的BGP路由器72(192.168.1.1)发送;
步骤803、AS1的BGP路由器72收到该上行报文后,解析出其中的目的地址,根据本地的BGP路由表将该上行报文向与该目的地址匹配的BGP路由记录中的下一跳地址路由发送;(接着执行S806)
具体可以是,从上表(一)中获得与目的地址192.168.3.2所匹配的第3条路由记录,其中的下一跳地址为192.168.0.1。
步骤804、旁路设备71采集AS 1BGP路由器72向AS0 BGP路由器73发送的上行报文的镜像,进行非法穿越报文的检测;
具体的,获取该镜像的上行报文中的源IP地址:192.168.2.2;并根据从AS1 BGP路由器72同步来的BGP路由表,获得与作为目的地址的源IP地址匹配的BGP路由记录(如下所示);当所述匹配的BGP路由记录中的AS_PATH属性包含AS1的父AS标识即AS0时,确定该上行报文为非法穿越AS1(或者确定该源IP地址为非法穿越IP),执行S805。
具体的,根据192.168.2.2从上表(二)中查询匹配的BGP路由记录为:
| 2 | 192.168.2.0 | 24 | 192.168.0.1 | AS0,AS2 |
S805、旁路设备71向AS1的BGP路由器72返回非法穿越网段信息,所述非法穿越网段信息至少包括该源IP地址,并生成包含该源IP地址的报表。
S806、当AS0 BGP路由器收到该上行报文后,通过internet将该上行报文向AS3BGP路由器发送;
具体的,从所述上行报文中解析出目的IP地址192.168.3.2,根据与所述目的IP地址所匹配的BGP路由记录中的下一跳地址将该上行报文向AS3 BGP路由器192.168.3.1发送。
S807、当AS3BGP路由器收到该上行报文后,向IP:192.168.3.2的客户端B发送。
至此,就完成了上行报文的传输。
可见,本发明实施例中,通过部署在第一AS出口的旁路设备来进行非法穿越报文的检测,并向AS1 BGP路由器72输出非法穿越网段信息,使得AS1在接下来的上行报文传输中,可以通过判断接收的上行报文中的源IP地址是否处于获得的非法穿越网段内,并当该源IP地址处于该非法穿越网段内时,能确定该上行报文非法穿越AS1,以实现识别非法穿越AS1的网络流量,从而便于网络的运营管理。
请参阅图10,AS1与AS0建立BGP连接;AS2与AS0建立BGP连接;AS3与AS0建立BGP连接,AS4与AS1建立BGP连接;具体的,处在AS1边界上的BGP路由器82与处在AS0边界上的BGP路由器83建立数据连接,相互同步对方的BGP路由信息,以及与处在AS4边界上的BGP路由器85建立数据连接,相互同步对方的BGP路由信息,添加到自己的BGP路由表中。而且图9中,处于AS1边界的BGP路由器82集成有非法穿越报文的检测功能;
请参阅图11,为本发明实施例的边界路由器的结构示意图,该边界路由器应用于包括第一自治系统AS的通信系统,包括:
接口单元111,用于接收上行报文,所述上行报文中至少携带有源IP地址;
检查单元112,用于从所述上行报文中解析出该源IP地址,并判断该源IP地址是否处于获得的非法穿越网段内,当该源IP地址处于该非法穿越网段内时,由路由处理单元113进行丢弃处理;
路由处理单元113,用于丢弃所述上行报文。
在一种实现下,本发明实施例的边界路由器中,进一步包括:
非法穿越网段获得单元114,用于根据同步来的BGP路由信息,获取AS_PATH属性中包含所述第一AS的父AS标识的目的I P地址段,所述目的IP地址段为非法穿越网段,其中所述BGP路由信息至少包含目的I P地址、下一跳I P地址以及对应的AS_PATH属性,这里的BGP路由信息是向第一AS或与第一AS关联的其他AS的BGP路由器同步来的;
其中,AS_PATH属性即路由到达目的地所应该通过的全路径,i.c.AS号列表,换言之AS_PATH属性记录了到达最终目的地的一条BGP路由经过的AS号。
或者,在另一种实现下,如图12所示,本发明实施例的BGP路由器中,非法穿越网段获得单元114可以替代为存储单元115:
存储单元115,用于保存非法穿越网段。应当理解的是,这里的非法穿越可以是维护人员预先配置并保存在存储单元15中的,也可以是本发明实施例的BGP路由器所属的AS的出口部署的旁路设备返回的非法穿越网段信息,也可以采用其他方式动态获得非法穿越网段。
以及,在一种实现下,检查单元112进一步用于在该源IP地址未处于该非法穿越网段内时,由所述路由处理单元进行路由处理;
路由处理单元113进一步用于根据同步来的BGP路由信息,将该上行报文路由到与所述目的地址对应的下一跳地址。
具体的,从同步得来的BGP路由表中查找与所述目的IP地址匹配的BGP路由记录,将所述上行报文路由到该BGP路由记录中的对应的下一跳地址所指向的BGP路由器;其中,所述BGP路由记录中可以包含目的IP、掩码、下一跳IP、权重、优先级、AS_PATH属性等。
可见,本发明实施例的BGP路由器,通过判断接收的上行报文中的源I P地址是否处于获得的非法穿越网段内,并当该源IP地址处于该非法穿越网段内时,能识别该上行报文非法穿越所述第一AS,丢弃所述上行报文,从而便于网络的运营管理;针对非法穿越第一AS的上行报文进行丢包处理,从而实现减少向父AS传输非法穿越第一AS的网络流量(或者是减少不应经过第一AS传输到父AS的网络流量),从而提高了网络稳定性。
请参阅图13,为本发明实施例的非法穿越检测设备的结构示意图,应用于包括第一自治系统AS的通信系统,包括:
报文获得单元21,用于获得上行报文,该上行报文至少携带有源IP地址;具体的,采集通过第一AS向所述第一AS的父AS发送的上行报文的镜像,或者接收上行报文;
非法穿越检测单元22,用于从所述上行报文中解析出该源IP地址,并根据同步来的BGP路由信息,获得与作为目的地址的该源IP地址匹配的至少一条BGP路由记录,在所述BGP路由记录中至少一条的AS_PATH属性包括第一AS的父AS标识时,确定该上行报文非法穿越所述第一AS(亦即确定该源IP地址为非法穿越IP),这里的BGP路由信息是从第一AS或与第一AS关联的其他AS的BGP路由器同步来的。
在一种实现下,本发明实施例的非法穿越检测设备中,进一步包括:
反馈单元23,用于向第一AS的边界路由器返回非法穿越网段信息,所述非法穿越网段信息至少包含所述非法穿越第一AS的上行报文中的源IP地址(即非法穿越IP)。
可见,本发明实施例的非法穿越检测设备,通过判断所述匹配的BGP路由记录中的AS_PATH属性是否包含第一AS的父AS标识,来确定该上行报文是否非法穿越所述第一AS,以实现识别非法穿越所述第一AS的网络流量,从而便于网络的运营管理;进一步的,针对非法穿越第一AS的上行报文还可以向第一AS的BGP路由器返回非法穿越网段信息,以便该BGP路由器在接下来的上行报文的传输过程中,可以通过判断上行报文的源地址是否处于非法穿越网段内来检测是否非法穿越。
本发明实施例提供一种通信系统,所述系统至少包括:未通过BGP协议互连的第一AS(AS1)和第二AS(AS2),以及所述第一AS的父AS(AS0),所述第一AS与父AS的互联接口处部署有直路设备51,请参阅图5所示,其中:
处在第一AS边界上的边界路由器52,用于接收来自第二AS的上行报文,根据维护的BGP路由信息和所述上行报文中携带的目的IP地址,将所述上行报文向父AS发送;具体的,用于接收来自第二AS的上行报文,所述上行报文中携带有源IP地址和目的IP地址,根据维护的BGP路由信息将所述上行报文向所述目的IP地址对应的下一跳地址发送,所述下一跳地址指向所述父AS的边界路由器;
直路设备51,用于截获所述上行报文,并检查所述上行报文中携带的源IP地址是否处于所获得的非法穿越网段内,在该源IP地址处于该非法穿越网段内时,丢弃该上行报文。
在本发明实施例的通信系统中,直路设备51进一步用于在该源IP地址未处于该非法穿越网段内时,根据同步得来的BGP路由信息,将该上行报文路由到与所述上行报文中携带的目的地址对应的下一跳地址指向的父AS。
这里的BGP路由信息中的每条BGP路由记录中可以包含目的IP地址、掩码、下一跳IP地址、权重、优先级、AS_PATH属性等。
请进一步参阅图8所示,在本发明实施例的通信系统中,进一步可以包括:以旁路方式部署在第一AS出口的设备(简称旁路设备),用于采集通过第一AS向所述第一AS的父AS发送的上行报文的镜像,根据从第一AS同步来的BGP路由信息,获得与所述上行报文中的源IP地址所匹配的至少一条BGP路由记录,在所述BGP路由记录中至少一条的AS_PATH属性包含第一AS的父AS标识时,确定该上行报文非法穿越所述第一AS,并返回非法穿越网段信息,所述非法穿越网段信息至少包含该源IP地址。
可见,本发明实施例的通信系统中,直路设备51通过判断接收的上行报文中的源IP地址是否处于获得的非法穿越网段内,并当该源IP地址处于该非法穿越网段内时,能识别该上行报文非法穿越所述第一AS,从而便于网络的运营管理;而且,这种非法穿越检查处理及时,基本不会对正常的上行报文的路由带来影响,针对非法穿越第一AS的上行报文进行丢包处理,从而实现减少向父AS传输非法穿越第一AS的网络流量(或者是减少不应经过第一AS传输到父AS的网络流量),从而提高了网络稳定性;
进一步的,旁路设备通过判断所述匹配的BGP路由记录中的AS_PATH属性是否包含第一AS的父AS标识,来确定该上行报文是否非法穿越所述第一AS,以实现识别非法穿越所述第一AS的网络流量,针对非法穿越第一AS的上行报文还可以向第一AS的边界路由器返回非法穿越网段信息,以便不断更新非法穿越网段信息。
应当理解的是,前述实施例中提到的第一AS可以理解成网络环境中的任一个AS,本发明实施例中是出于方便描述以第一AS为例。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述仅为本发明的几个实施例,本领域的技术人员依据申请文件公开的可以对本发明进行各种改动或变型而不脱离本发明的精神和范围。
Claims (14)
1、一种上行报文的处理方法,其特征在于,应用于包括第一自治系统AS的通信系统,该方法包括:
接收上行报文,所述上行报文中携带有源IP地址;
从所述上行报文中解析出该源IP地址;
判断该源IP地址是否处于获得的非法穿越网段内,当该源IP地址处于该非法穿越网段内时,丢弃所述上行报文。
2、如权利要求1所述的方法,其特征在于,所述获得非法穿越网段包括:
确定所述第一AS的父AS标识;根据同步来的路由信息获取AS_PATH属性中包含所述父AS标识的目的IP地址段,所述目的IP地址段为非法穿越网段,所述路由信息至少包含目的IP地址、下一跳IP地址以及对应的AS_PATH属性;
或者,接收非法穿越网段信息。
3、如权利要求1所述的方法,其特征在于,所述上行报文中进一步携带有目的IP地址,所述方法进一步包括:
当该源IP地址未处于该非法穿越网段内时,根据同步来的路由信息将该上行报文路由到与所述目的IP地址对应的下一跳地址。
4、一种上行报文的处理方法,其特征在于,应用于包括第一自治系统AS的通信系统,包括:
获得上行报文,所述上行报文中携带有源IP地址;
从所述上行报文中解析出该源IP地址;
根据同步来的路由信息,获得与作为目的地址的该源IP地址匹配的至少一条路由记录,所述路由记录包含AS_PATH属性;
当所述路由记录中至少一条的AS_PATH属性包含第一AS的父AS标识时,确定该上行报文非法穿越所述第一AS。
5、如权利要求4所述的方法,其特征在于,如果所述匹配的路由记录为多条时,所述方法进一步包括:从所述路由记录中选择基准路由记录;
所述当所述路由记录中至少一条的AS_PATH属性包含第一AS的父AS标识时,确定该上行报文非法穿越所述第一AS为:当所述基准路由记录中的AS_PATH属性包含第一AS的父AS标识时,确定该上行报文非法穿越所述第一AS。
6、如权利要求5所述的方法,其特征在于,所述上行报文中进一步携带有目的IP地址,所述方法进一步包括:
当所述基准路由记录中的AS_PATH属性未包含所述第一AS的父AS标识时,根据所述路由信息将该上行报文路由到与所述目的IP地址对应的下一跳地址。
7、如权利要求4所述的方法,其特征在于,所述确定该上行报文非法穿越第一AS之后,进一步包括:
丢弃所述上行报文;或者,
生成包含该源IP地址的报表;或者,
向第一AS的边界路由器返回非法穿越网段信息,所述非法穿越网段信息至少包括该源IP地址。
8、一种边界路由器,其特征在于,应用于包括第一自治系统AS的通信系统,包括:
接口单元,用于接收上行报文,所述上行报文中携带有源IP地址;
检查单元,用于从所述上行报文中解析出该源IP地址,并判断该源IP地址是否处于获得的非法穿越网段内,当该源IP地址处于该非法穿越网段内时,由路由处理单元进行丢弃处理;
路由处理单元,用于丢弃所述上行报文。
9、如权利要求8所述的边界路由器,其特征在于,进一步包括:
非法穿越网段获得单元,用于根据同步来的路由信息,获取AS_PATH属性中包含所述第一AS的父AS标识的目的IP地址段,所述目的IP地址段为非法穿越网段,其中所述路由信息至少包含目的IP地址、下一跳IP地址以及对应的AS_PATH属性;或者,
存储单元,用于保存非法穿越网段信息。
10、如权利要求8所述的边界路由器,其特征在于,所述检查单元进一步用于在该源IP地址未处于该非法穿越网段内时,由所述路由处理单元进行路由处理;
所述路由处理单元,进一步用于根据同步来的路由信息,将该上行报文路由到与所述目的地址对应的下一跳地址。
11、一种非法穿越检测设备,其特征在于,应用于包括第一自治系统AS的通信系统,包括:
报文获得单元,用于获得上行报文,所述上行报文中携带有源IP地址;
非法穿越检测单元,用于从所述上行报文中解析出该源IP地址,并根据同步来的路由信息,获得与作为目的地址的所述源IP地址匹配的至少一条路由记录,在所述路由记录中至少一条的AS_PATH属性包含第一AS的父AS标识时,确定该上行报文非法穿越所述第一AS。
12、如权利要求11所述的设备,其特征在于,进一步包括:
反馈单元,用于向所述第一AS的边界路由器返回非法穿越网段信息,所述非法穿越网段信息至少包含所述非法穿越第一AS的上行报文中的源IP地址。
13、一种通信系统,其特征在于,所述系统至少包括:未通过边界网关协议互连的第一AS和第二AS,以及所述第一AS的父AS,所述第一AS与父AS的互联接口处部署有直路设备,其中:
第一AS的边界路由器,用于接收来自第二AS的上行报文,根据维护的路由信息和所述上行报文中携带的目的IP地址,将所述上行报文向对应的下一跳地址所指向的父AS发送;
所述直路设备,用于截获所述上行报文,并检查所述上行报文中携带的源IP地址是否处于所获得的非法穿越网段内,在该源IP地址处于该非法穿越网段内时,丢弃该上行报文。
14、如权利要求13所述的方法,其特征在于,所述直路设备进一步用于在该源IP地址未处于该非法穿越网段内时,根据同步来的BGP路由信息将该上行报文路由到与所述目的地址对应的下一跳地址指向的父AS。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100587838A CN101527681B (zh) | 2009-03-31 | 2009-03-31 | 一种上行报文的处理方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100587838A CN101527681B (zh) | 2009-03-31 | 2009-03-31 | 一种上行报文的处理方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101527681A true CN101527681A (zh) | 2009-09-09 |
| CN101527681B CN101527681B (zh) | 2012-07-04 |
Family
ID=41095383
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100587838A Expired - Fee Related CN101527681B (zh) | 2009-03-31 | 2009-03-31 | 一种上行报文的处理方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101527681B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546385A (zh) * | 2010-12-15 | 2012-07-04 | 丛林网络公司 | 交换机分布式控制面内自动供应资源的方法和装置 |
| CN106878249A (zh) * | 2016-08-12 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 非法用途资源的识别方法和装置 |
| CN109862435A (zh) * | 2018-11-16 | 2019-06-07 | 京信通信系统(中国)有限公司 | 直播视频的监控方法、装置、计算机存储介质及设备 |
| CN112187635A (zh) * | 2019-07-01 | 2021-01-05 | 中兴通讯股份有限公司 | 报文转发方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1233135C (zh) * | 2002-06-22 | 2005-12-21 | 华为技术有限公司 | 一种动态地址分配中防止ip地址欺骗的方法 |
| CN101394360B (zh) * | 2008-11-10 | 2011-07-20 | 北京星网锐捷网络技术有限公司 | 地址解析协议报文的处理方法、接入设备和通信系统 |
-
2009
- 2009-03-31 CN CN2009100587838A patent/CN101527681B/zh not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546385A (zh) * | 2010-12-15 | 2012-07-04 | 丛林网络公司 | 交换机分布式控制面内自动供应资源的方法和装置 |
| CN102546385B (zh) * | 2010-12-15 | 2016-01-20 | 瞻博网络公司 | 交换机分布式控制面内自动供应资源的方法和装置 |
| CN106878249A (zh) * | 2016-08-12 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 非法用途资源的识别方法和装置 |
| CN106878249B (zh) * | 2016-08-12 | 2020-12-22 | 创新先进技术有限公司 | 非法用途资源的识别方法和装置 |
| CN109862435A (zh) * | 2018-11-16 | 2019-06-07 | 京信通信系统(中国)有限公司 | 直播视频的监控方法、装置、计算机存储介质及设备 |
| CN112187635A (zh) * | 2019-07-01 | 2021-01-05 | 中兴通讯股份有限公司 | 报文转发方法及装置 |
| CN112187635B (zh) * | 2019-07-01 | 2023-02-03 | 中兴通讯股份有限公司 | 报文转发方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101527681B (zh) | 2012-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101394341B (zh) | 维护路由的方法、系统及装置 | |
| CN101443750B (zh) | 用于订户知晓应用服务器集群上的负载平衡的技术 | |
| CN101218575B (zh) | 用于将点对点协议移植到接入网络协议的技术 | |
| JP2786121B2 (ja) | Lan間接続ルータ | |
| CN102413061B (zh) | 一种报文传输方法及设备 | |
| CN100456740C (zh) | 二层交换器 | |
| US7646786B2 (en) | Neighbor discovery in cable networks | |
| US7653074B2 (en) | Method and apparatus for virtual private networks | |
| CN102571749B (zh) | 使用中继服务器的数据传输系统和方法 | |
| CN105634956B (zh) | 一种报文转发方法、装置和系统 | |
| KR100811890B1 (ko) | 인터넷 시스템에서 서비스 플로우를 보장하는 애니캐스트라우팅 방법 및 장치 | |
| AU770760B2 (en) | Method of transmitting data from server of virtual private network to mobile node | |
| CN101529400A (zh) | 多网关系统与方法 | |
| JP5764820B2 (ja) | 伝送システムおよび伝送システムの制御方法 | |
| CN101553796B (zh) | 用于重定向请求的系统和方法 | |
| CN102792651B (zh) | 在mac层应用服务路径路由选择的装置 | |
| KR20050012288A (ko) | 게이트웨이 장치, 및 해당 게이트웨이 장치에서의 신호처리 방법 | |
| CN101599948B (zh) | 回声探测的方法、装置和系统 | |
| CN101527681B (zh) | 一种上行报文的处理方法、装置和系统 | |
| EP1719310B1 (en) | Method and apparatus for providing data over a dynamic wireless network | |
| CN103347099B (zh) | 一种数据交互的方法、装置及系统 | |
| CN102201996A (zh) | 网络地址转换环境中报文转发的方法及设备 | |
| CN107368334A (zh) | 一种业务插件交互系统及方法 | |
| JPH11284664A (ja) | 仮想専用網構築システム | |
| US7035934B1 (en) | System and method for improving traffic analysis and network modeling |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: Huawei Symantec Technologies Co., Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: Chengdu Huawei Symantec Technologies Co., Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120704 Termination date: 20190331 |