具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,AS间通过BGP协议直接互连,相互同步对方的BGP路由信息,添加到自己的BGP路由表中,例如AS1和其父AS(即AS0)通过BGP协议直接互联时,AS1从AS0获取BGP路由信息,其中包括AS0到AS2的路由信息,及AS0到AS3的路由信息。AS1通过添加从父AS(即AS0)同步过来的BGP路由信息,从而可以通过父AS与AS2、AS3实现数据通信。父AS也会同步到AS1的BGP路由信息并发布给其他直接互联的AS,最终AS1的BGP路由信息会发布到AS3,从而实现AS3与AS1的数据通信。而没有通过BGP协议直接互联的AS之间进行数据传输须通过其他AS进行中转。
IP A虽然私自与AS1的专线用户建立了连接,实现了数据传输,但是由于AS2和AS1之间没有通过BGP协议直接互联,故它们之间的BGP路由信息均是需要通过父AS(即AS0)进行中转的。因此,针对非法穿越AS1的1P,根据该非法穿越的IP从AS1的BGP路由信息中查询到的BGP路由记录中的AS_PATH属性均包含AS1的父AS的标识,如AS0,而正常的用户IP不具有这一特征。
请参阅图2,为本发明实施例的一种上行报文的处理方法,应用于包括第一AS的通信系统,具体可以应用于处于第一AS边界的边界路由器,或者第一AS与其父AS的互连连接处部署的直路设备,其中该方法包括:
S201、接收上行报文,所述上行报文中至少携带有源IP地址;
S202、从所述上行报文中解析出源IP地址;
S203、判断该源IP地址是否处于获得的非法穿越网段内,当所述源IP地址处于该非法穿越网段内时,执行S204;
应当理解的是,当所述源IP地址处于该非法穿越网段内时,则识别出该上行报文非法穿越该第一AS。
S204、将该上行报文进行丢包。
以及,本发明实施例的上行报文的处理方法中,所述上行报文中进一步携带有目的IP地址,进一步包括:
S205、当所述源IP地址未处于所获得的非法穿越网段内时,根据同步得来的路由信息将该上行报文路由到与所述目的地址对应的下一跳地址。
具体的,从同步得来的BGP路由表中查找与所述目的IP地址匹配的BGP路由记录,将所述上行报文路由到该BGP路由记录中的对应的下一跳地址所指向的所述第一AS的父AS;其中,所述BGP路由记录中可以包含目的IP地址、掩码、下一跳IP地址、权重、优先级、AS_PATH属性等,这里的权重、优先级可以理解为附加属性,其中,AS_PATH属性即路由到达目的地所应该通过的全路径,i.e.AS号列表,换言之AS_PATH属性记录了到达最终目的地的一条BGP路由经过的AS号。
进一步的,S203中涉及的非法穿越网段的获得方式包括:
在一种实现下,在处于第一AS边界的BGP路由器中的BGP路由信息中预先设置非法穿越第一AS的网段;在另一种实现下,这里的非法穿越AS的网段可以是动态获得,例如,接收以旁路方式部署在第一AS出口的非法穿越检测设备所发送的非法穿越网段信息,也可以采用其他方式动态获得。
具体的,本发明实施例提出一种非法穿越网段的获得方法,如图3所示,包括:
S301、确定第一AS的父AS标识;
具体的,通过分析组网结构确定第一AS的父AS标识,如父AS号;
S302、向第一AS或与第一AS关联的其他AS的BGP路由器同步得到BGP路由信息,所述BGP路由信息至少包含目的IP地址、下一跳IP地址以及对应的AS_PATH属性;
S303、根据所述BGP路由信息,获取AS_PATH属性中包含所述父AS标识的目的IP地址段,所述目的IP地址段为非法穿越网段;
具体地说,这里的AS_PATH属性中包含所述父AS标识的目的IP地址段,即为第一AS通过其父AS才能进行数据通信的目的IP地址段,反向证明,如果该目的IP地址段要向第一AS发送数据报文,也同样需要经过第一AS的父AS;因此,可以理解为“通过第一AS的父AS才能与第一AS进行数据通信的网段”,即该网段通过第一AS的父AS才能与第一AS进行数据通信,换言之即“不允许直接穿越第一AS的网段”,简称为非法穿越网段。
需要说明的是,AS_PATH属性是BGP路由记录的一个属性,它以相反的顺序记录了BGP路由所经过的AS号,可以反映本AS通过这条路由传输数据时需要通过的AS号。
可见,本发明实施例中,通过判断接收的上行报文中的源IP地址是否处于获得的非法穿越网段内,并当该源IP地址处于该非法穿越网段内时,能识别该上行报文非法穿越所述第一AS,将该上行报文进行丢包,从而便于网络的运营管理;
以及,针对非法穿越第一AS的上行报文进行丢包处理,从而实现减少向父AS传输非法穿越第一AS的网络流量(或者是减少不应经过第一AS传输到父AS的网络流量),从而提高了网络稳定性。
请参阅图4,为本发明实施例的又一种上行报文的处理方法,可以应用于包括第一AS的通信系统,具体可以应用于在第一AS的出口以旁路方式部署的旁路设备、处于第一AS边界的BGP路由器,或者第一AS与其父AS的互连连接处部署的直路设备,该方法包括:
S401、获得上行报文,该上行报文至少携带有源IP地址;
具体可以是接收其他AS发来的上行报文,或者,采集通过第一AS向所述第一AS的父AS所发送的上行报文的镜像。
S402、从所述上行报文中解析出源IP地址;
S403、根据同步来的BGP路由信息,获得与作为目的地址的源IP地址匹配的至少一条BGP路由记录,所述BGP路由记录包含AS_PATH属性;
这里的BGP路由信息是从第一AS或与第一AS关联的其他AS的BGP路由器同步来的。
S404、当所述BGP路由记录中至少一条的AS_PATH属性包含第一AS的父AS标识时,确定该上行报文非法穿越第一AS(亦即确定该源IP地址为非法穿越IP)。
需要说明的是,如果S403匹配多条BGP路由记录,所述方法进一步包括:从所述路由记录中选择基准路由记录;例如,可以从多条BGP路由记录中选择掩码长度最大的BGP路由记录,即这里的基准路由记录为掩码长度最大的BGP路由记录,本发明实施例包括但不限于此,可以参考路由器选路方式;
相应的,S404具体可以是,当该基准路由记录中的AS_PATH属性包含第一AS的父AS标识时,确定该上行报文非法穿越第一AS;
以及,本发明实施例的上行报文的处理方法中,该上行报文中进一步携带有目的IP地址,该方法进一步包括:
当该基准路由记录中的AS_PATH属性未包含第一AS的父AS标识时,根据所述同步来的BGP路由信息将该上行报文路由到与所述目的IP地址对应的下一跳地址。
应当了解的是,可以根据实际的需要灵活选择不同的实现方式。例如,在另一种实现下,当所述匹配的多条BGP路由记录中的AS_PATH属性均包含第一AS的父AS标识时,确定该上行报文非法穿越第一AS。
以及,本发明实施例的上行报文的处理方法,如果该方法的执行主体是处于第一AS边界的BGP路由器或者第一AS与其父AS的互连连接处部署的直路设备,则所述方法进一步包括:丢弃所述上行报文;
如果该方法的执行主体是在第一AS的出口以旁路方式部署的旁路设备,则所述方法进一步包括:
生成包含该源IP地址的报表(所述报表表示非法穿越的IP地址);或者,
向第一AS的BGP路由器返回非法穿越网段信息,所述非法穿越网段信息至少包括该源IP地址。
应当理解的是,前述执行主体也可以执行前述这些步骤中的一个或多个。
可见,本发明实施例中,通过判断所述匹配的BGP路由记录中的AS_PATH属性是否包含第一AS的父AS标识,来确定该上行报文是否非法穿越所述第一AS,以实现识别非法穿越所述第一AS的网络流量,从而便于网络的运营管理;
进一步的,针对非法穿越第一AS的上行报文还可以进行丢包或生成报表或者返回非法穿越网段信息,从而实现减少向父AS传输非法穿越第一AS的网络流量(或者是减少不应经过第一AS传输到父AS的网络流量),从而提高了网络稳定性。
下面结合图5所示的应用场景进一步介绍本发明实施例的方案:
如图5所示,AS1与AS0建立BGP连接,并且AS1和AS0之间的互联接口处,还部署有直路设备51;AS2与AS0建立BGP连接;AS3与AS0建立BGP连接,AS4与AS1建立BGP连接;处在AS1边界上的BGP路由器52与处在AS0边界上的BGP路由器53建立数据连接,相互同步对方的BGP路由信息,以及与处在AS4边界上的BGP路由器55建立数据连接,相互同步对方的BGP路由信息,添加到自己的BGP路由表中,AS1的边界路由器52的BGP路由表如表(一)所示。其他的BGP路由器54、55同理,不再赘述。
序号 |
目的IP |
掩码 |
下一跳IP |
AS_PATH属性 |
1 |
192.168.0.0 |
24 |
192.168.0.1 |
AS0 |
2 |
192.168.2.0 |
24 |
192.168.0.1 |
AS0,AS2 |
3 |
192.168.3.0 |
24 |
192.168.0.1 |
AS0,...AS3 |
4 |
192.168.4.0 |
24 |
192.168.4.1 |
AS4 |
5 |
192.168.4.0 |
27 |
192.168.4.1 |
AS4 |
表(一)
其中,AS0边界路由器53的IP为192.168.0.1;
AS1边界路由器52的IP为192.168.1.1;
AS2边界路由器54的IP为192.168.2.1;
AS4边界路由器55的IP为192.168.4.1。
AS1通过AS0接入Internet,在这里AS0称为AS1的父AS;
请参阅图6,为本发明实施例方法的一种交互示意图,应用于图5所示的网络环境下,包括:
步骤601、客户端A通过AS1的专线用户向客户端B发送上行报文,该上行报文至少包含源地址和目的地址;
具体的,客户端A为AS2中的IP:192.168.2.2,其中上行报文中的源地址为192.168.2.2,目的地址为192.168.3.2。
步骤602、AS1专线用户的内部路由器收到上行报文后,可选的经过一个或多个内部路由器,向AS1的BGP路由器192.168.1.1发送;
需要说明的是,一般AS下的用户至少分成两类,其一为一个帐号对应一个IP地址,其一为专线用户,例如分配5M带宽,具有IP网段,内部组网、内部路由器。
步骤603-604、AS1的BGP路由器收到该上行报文后,解析出其中的目的地址,根据本地的BGP路由表将该上行报文向与该目的地址匹配的BGP路由记录中的下一跳地址路由发送;
具体可以是,从上表(一)中获得与目的地址192.168.3.2所匹配的第3条路由记录,其中的下一跳地址为192.168.0.1。
步骤605、直路设备截获AS1 BGP路由器向AS0 BGP路由器发送的上行报文,并获取该上行报文中的源IP地址:192.168.2.2。
步骤606、直路设备根据从AS1 BGP路由器同步来的BGP路由表,获得与作为目的地址的该源IP地址所匹配的BGP路由记录;(即根据该源IP地址从同步过来的BGP路由表中查询匹配的BGP路由记录;)
需要说明的是,这里是直路设备从AS1 BGP路由器同步过来的BGP路由表;应当理解的是,直路设备也可以从AS0 BGP路由器同步BGP路由表;
具体的,根据192.168.2.2从上表(一)中查询匹配的BGP路由记录为:
2 |
192.168.2.0 |
24 |
192.168.0.1 |
AS0,AS2 |
这里之所以用源IP地址作为目的地址查询匹配的BGP路由记录,是因为由于互联网的路由选择协议是通过检查数据包中的目的IP地址进行选路,当将源IP地址作为目的地址查询匹配的BGP路由记录时,匹配的BGP路由记录中的AS_PATH属性包含AS0标识时,说明如果AS1要向AS2发送数据报文,则需要经过AS0;这样就可以反向证明,如果AS2要向AS1发送数据报文,也同样需要经过AS0;
S607、当所述匹配的BGP路由记录中的AS_PATH属性包含AS1的父AS标识即AS0标识时,确定该上行报文为非法穿越AS1(或者确定该源IP地址为非法穿越IP),执行S608,反之,执行S609。
S608、直路设备丢弃该上行报文。
S609、直路设备将该上行报文向AS0 BGP路由器发送。
具体的,直路设备根据同步来的BGP路由信息将该上行报文路由到与所述目的IP地址对应的下一跳地址,即AS0 BGP路由器。
S610、当AS0 BGP路由器收到该上行报文后,通过internet将该上行报文向AS3 BGP路由器发送;
具体的,从所述上行报文中解析出目的IP地址192.168.3.2,根据与所述目的IP地址所匹配的BGP路由记录中的下一跳地址将该上行报文向AS3 BGP路由器192.168.3.1发送。
S611、当AS3BGP路由器收到该上行报文后,向IP:192.168.3.2的客户端B发送。
至此,就完成了上行报文的传输。图7示出了现有技术中非法穿越AS1的上行流量示意图。
可见,本发明实施例中,通过在AS之间的互联接口处部署直路设备来进行非法穿越报文的检测,具体的判断所述匹配的BGP路由记录中的AS_PATH属性是否包含AS1的父AS标识即AS0标识,来确定该上行报文是否非法穿越AS1,以实现识别非法穿越AS1的网络流量,从而便于网络的运营管理;
进一步的,针对非法穿越AS1的上行报文还可以进行丢包处理,从而实现减少向父AS传输非法穿越AS1的网络流量(或者是减少不应经过AS1传输到父AS的网络流量),从而提高了网络稳定性。
如图5中,是在AS0与AS1之间的互联接口处部署直路设备来进行非法穿越报文的检测;而图8中,是以旁路方式在AS1出口部署旁路设备,由该旁路设备获得AS1向AS0发送的上行报文的镜像,对该镜像的上行报文进行非法穿越报文的检测。
请参阅图8,AS1与AS0建立BGP连接,并且在AS 1出口以旁路方式部署有旁路设备71;AS2与AS0建立BGP连接;AS3与AS0建立BGP连接,AS4与AS1建立BGP连接;具体的,处在AS1边界上的BGP路由器72与处在AS0边界上的BGP路由器73建立数据连接,相互同步对方的BGP路由信息,以及与处在AS4边界上的BGP路由器75建立数据连接,相互同步对方的BGP路由信息,添加到自己的BGP路由表中,AS1的边界路由器72的BGP路由表如表(二)所示。其他的BGP路由器74、75同理,不再赘述。
序号 |
目的IP |
掩码 |
下一跳IP |
AS_PATII |
1 |
192.168.0.0 |
24 |
192.168.0.1 |
AS0 |
2 |
192.168.2.0 |
24 |
192.168.0.1 |
AS0,AS2 |
3 |
192.168.3.0 |
24 |
192.168.0.1 |
AS0,...AS3 |
4 |
192.168.4.0 |
24 |
192.168.4.1 |
AS4 |
5 |
192.168.4.0 |
27 |
192.168.4.1 |
AS4 |
表(二)
其中,AS0边界路由器73的IP为192.168.0.1;
AS1边界路由器72的IP为192.168.1.1;
AS2边界路由器74的IP为192.168.2.1;
AS4边界路由器75的IP为192.168.4.1。
AS1通过AS0接入Internet,在这里AS0称为AS1的父AS;
请参阅图9,为本发明实施例方法的另一种交互示意图,应用于图8所示的网络环境下,包括:
步骤801、客户端A通过AS1的专线用户向客户端B发送上行报文,该上行报文至少包含源地址和目的地址;
具体的,客户端A为AS2中的IP:192.168.2.2,其中上行报文中的源地址为192.168.2.2,目的地址为192.168.3.2。
步骤802、AS1专线用户的内部路由器收到上行报文后,可选的经过一个或多个内部路由器,向AS1的BGP路由器72(192.168.1.1)发送;
步骤803、AS1的BGP路由器72收到该上行报文后,解析出其中的目的地址,根据本地的BGP路由表将该上行报文向与该目的地址匹配的BGP路由记录中的下一跳地址路由发送;(接着执行S806)
具体可以是,从上表(一)中获得与目的地址192.168.3.2所匹配的第3条路由记录,其中的下一跳地址为192.168.0.1。
步骤804、旁路设备71采集AS 1BGP路由器72向AS0 BGP路由器73发送的上行报文的镜像,进行非法穿越报文的检测;
具体的,获取该镜像的上行报文中的源IP地址:192.168.2.2;并根据从AS1 BGP路由器72同步来的BGP路由表,获得与作为目的地址的源IP地址匹配的BGP路由记录(如下所示);当所述匹配的BGP路由记录中的AS_PATH属性包含AS1的父AS标识即AS0时,确定该上行报文为非法穿越AS1(或者确定该源IP地址为非法穿越IP),执行S805。
具体的,根据192.168.2.2从上表(二)中查询匹配的BGP路由记录为:
2 |
192.168.2.0 |
24 |
192.168.0.1 |
AS0,AS2 |
S805、旁路设备71向AS1的BGP路由器72返回非法穿越网段信息,所述非法穿越网段信息至少包括该源IP地址,并生成包含该源IP地址的报表。
S806、当AS0 BGP路由器收到该上行报文后,通过internet将该上行报文向AS3BGP路由器发送;
具体的,从所述上行报文中解析出目的IP地址192.168.3.2,根据与所述目的IP地址所匹配的BGP路由记录中的下一跳地址将该上行报文向AS3 BGP路由器192.168.3.1发送。
S807、当AS3BGP路由器收到该上行报文后,向IP:192.168.3.2的客户端B发送。
至此,就完成了上行报文的传输。
可见,本发明实施例中,通过部署在第一AS出口的旁路设备来进行非法穿越报文的检测,并向AS1 BGP路由器72输出非法穿越网段信息,使得AS1在接下来的上行报文传输中,可以通过判断接收的上行报文中的源IP地址是否处于获得的非法穿越网段内,并当该源IP地址处于该非法穿越网段内时,能确定该上行报文非法穿越AS1,以实现识别非法穿越AS1的网络流量,从而便于网络的运营管理。
请参阅图10,AS1与AS0建立BGP连接;AS2与AS0建立BGP连接;AS3与AS0建立BGP连接,AS4与AS1建立BGP连接;具体的,处在AS1边界上的BGP路由器82与处在AS0边界上的BGP路由器83建立数据连接,相互同步对方的BGP路由信息,以及与处在AS4边界上的BGP路由器85建立数据连接,相互同步对方的BGP路由信息,添加到自己的BGP路由表中。而且图9中,处于AS1边界的BGP路由器82集成有非法穿越报文的检测功能;
请参阅图11,为本发明实施例的边界路由器的结构示意图,该边界路由器应用于包括第一自治系统AS的通信系统,包括:
接口单元111,用于接收上行报文,所述上行报文中至少携带有源IP地址;
检查单元112,用于从所述上行报文中解析出该源IP地址,并判断该源IP地址是否处于获得的非法穿越网段内,当该源IP地址处于该非法穿越网段内时,由路由处理单元113进行丢弃处理;
路由处理单元113,用于丢弃所述上行报文。
在一种实现下,本发明实施例的边界路由器中,进一步包括:
非法穿越网段获得单元114,用于根据同步来的BGP路由信息,获取AS_PATH属性中包含所述第一AS的父AS标识的目的I P地址段,所述目的IP地址段为非法穿越网段,其中所述BGP路由信息至少包含目的I P地址、下一跳I P地址以及对应的AS_PATH属性,这里的BGP路由信息是向第一AS或与第一AS关联的其他AS的BGP路由器同步来的;
其中,AS_PATH属性即路由到达目的地所应该通过的全路径,i.c.AS号列表,换言之AS_PATH属性记录了到达最终目的地的一条BGP路由经过的AS号。
或者,在另一种实现下,如图12所示,本发明实施例的BGP路由器中,非法穿越网段获得单元114可以替代为存储单元115:
存储单元115,用于保存非法穿越网段。应当理解的是,这里的非法穿越可以是维护人员预先配置并保存在存储单元15中的,也可以是本发明实施例的BGP路由器所属的AS的出口部署的旁路设备返回的非法穿越网段信息,也可以采用其他方式动态获得非法穿越网段。
以及,在一种实现下,检查单元112进一步用于在该源IP地址未处于该非法穿越网段内时,由所述路由处理单元进行路由处理;
路由处理单元113进一步用于根据同步来的BGP路由信息,将该上行报文路由到与所述目的地址对应的下一跳地址。
具体的,从同步得来的BGP路由表中查找与所述目的IP地址匹配的BGP路由记录,将所述上行报文路由到该BGP路由记录中的对应的下一跳地址所指向的BGP路由器;其中,所述BGP路由记录中可以包含目的IP、掩码、下一跳IP、权重、优先级、AS_PATH属性等。
可见,本发明实施例的BGP路由器,通过判断接收的上行报文中的源I P地址是否处于获得的非法穿越网段内,并当该源IP地址处于该非法穿越网段内时,能识别该上行报文非法穿越所述第一AS,丢弃所述上行报文,从而便于网络的运营管理;针对非法穿越第一AS的上行报文进行丢包处理,从而实现减少向父AS传输非法穿越第一AS的网络流量(或者是减少不应经过第一AS传输到父AS的网络流量),从而提高了网络稳定性。
请参阅图13,为本发明实施例的非法穿越检测设备的结构示意图,应用于包括第一自治系统AS的通信系统,包括:
报文获得单元21,用于获得上行报文,该上行报文至少携带有源IP地址;具体的,采集通过第一AS向所述第一AS的父AS发送的上行报文的镜像,或者接收上行报文;
非法穿越检测单元22,用于从所述上行报文中解析出该源IP地址,并根据同步来的BGP路由信息,获得与作为目的地址的该源IP地址匹配的至少一条BGP路由记录,在所述BGP路由记录中至少一条的AS_PATH属性包括第一AS的父AS标识时,确定该上行报文非法穿越所述第一AS(亦即确定该源IP地址为非法穿越IP),这里的BGP路由信息是从第一AS或与第一AS关联的其他AS的BGP路由器同步来的。
在一种实现下,本发明实施例的非法穿越检测设备中,进一步包括:
反馈单元23,用于向第一AS的边界路由器返回非法穿越网段信息,所述非法穿越网段信息至少包含所述非法穿越第一AS的上行报文中的源IP地址(即非法穿越IP)。
可见,本发明实施例的非法穿越检测设备,通过判断所述匹配的BGP路由记录中的AS_PATH属性是否包含第一AS的父AS标识,来确定该上行报文是否非法穿越所述第一AS,以实现识别非法穿越所述第一AS的网络流量,从而便于网络的运营管理;进一步的,针对非法穿越第一AS的上行报文还可以向第一AS的BGP路由器返回非法穿越网段信息,以便该BGP路由器在接下来的上行报文的传输过程中,可以通过判断上行报文的源地址是否处于非法穿越网段内来检测是否非法穿越。
本发明实施例提供一种通信系统,所述系统至少包括:未通过BGP协议互连的第一AS(AS1)和第二AS(AS2),以及所述第一AS的父AS(AS0),所述第一AS与父AS的互联接口处部署有直路设备51,请参阅图5所示,其中:
处在第一AS边界上的边界路由器52,用于接收来自第二AS的上行报文,根据维护的BGP路由信息和所述上行报文中携带的目的IP地址,将所述上行报文向父AS发送;具体的,用于接收来自第二AS的上行报文,所述上行报文中携带有源IP地址和目的IP地址,根据维护的BGP路由信息将所述上行报文向所述目的IP地址对应的下一跳地址发送,所述下一跳地址指向所述父AS的边界路由器;
直路设备51,用于截获所述上行报文,并检查所述上行报文中携带的源IP地址是否处于所获得的非法穿越网段内,在该源IP地址处于该非法穿越网段内时,丢弃该上行报文。
在本发明实施例的通信系统中,直路设备51进一步用于在该源IP地址未处于该非法穿越网段内时,根据同步得来的BGP路由信息,将该上行报文路由到与所述上行报文中携带的目的地址对应的下一跳地址指向的父AS。
这里的BGP路由信息中的每条BGP路由记录中可以包含目的IP地址、掩码、下一跳IP地址、权重、优先级、AS_PATH属性等。
请进一步参阅图8所示,在本发明实施例的通信系统中,进一步可以包括:以旁路方式部署在第一AS出口的设备(简称旁路设备),用于采集通过第一AS向所述第一AS的父AS发送的上行报文的镜像,根据从第一AS同步来的BGP路由信息,获得与所述上行报文中的源IP地址所匹配的至少一条BGP路由记录,在所述BGP路由记录中至少一条的AS_PATH属性包含第一AS的父AS标识时,确定该上行报文非法穿越所述第一AS,并返回非法穿越网段信息,所述非法穿越网段信息至少包含该源IP地址。
可见,本发明实施例的通信系统中,直路设备51通过判断接收的上行报文中的源IP地址是否处于获得的非法穿越网段内,并当该源IP地址处于该非法穿越网段内时,能识别该上行报文非法穿越所述第一AS,从而便于网络的运营管理;而且,这种非法穿越检查处理及时,基本不会对正常的上行报文的路由带来影响,针对非法穿越第一AS的上行报文进行丢包处理,从而实现减少向父AS传输非法穿越第一AS的网络流量(或者是减少不应经过第一AS传输到父AS的网络流量),从而提高了网络稳定性;
进一步的,旁路设备通过判断所述匹配的BGP路由记录中的AS_PATH属性是否包含第一AS的父AS标识,来确定该上行报文是否非法穿越所述第一AS,以实现识别非法穿越所述第一AS的网络流量,针对非法穿越第一AS的上行报文还可以向第一AS的边界路由器返回非法穿越网段信息,以便不断更新非法穿越网段信息。
应当理解的是,前述实施例中提到的第一AS可以理解成网络环境中的任一个AS,本发明实施例中是出于方便描述以第一AS为例。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述仅为本发明的几个实施例,本领域的技术人员依据申请文件公开的可以对本发明进行各种改动或变型而不脱离本发明的精神和范围。