CN105763477B - 一种流量控制策略处理方法及装置 - Google Patents
一种流量控制策略处理方法及装置 Download PDFInfo
- Publication number
- CN105763477B CN105763477B CN201610077134.2A CN201610077134A CN105763477B CN 105763477 B CN105763477 B CN 105763477B CN 201610077134 A CN201610077134 A CN 201610077134A CN 105763477 B CN105763477 B CN 105763477B
- Authority
- CN
- China
- Prior art keywords
- flowspec
- routing
- module
- bgp
- smooth restarting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/31—Flow control; Congestion control by tagging of packets, e.g. using discard eligibility [DE] bits
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种流量控制策略处理方法及装置,用于解决路由设备在平滑重启过程中,FlowSpec流量控制策略失效,使得路由设备对攻击流量的过滤和控制中断的技术问题。方案为:接收BGP协议发送的进入平滑重启的通知消息,为来自BGP的所有FlowSpec路由标记第一标记;接收BGP发送的新学习到的FlowSpec路由,并比较新接收到的FlowSpec路由和原有FlowSpec路由是否相同,若相同则清除对应的FlowSpec路由的第一标记;接收BGP发送的平滑重启结束消息,删除所有还标记有第一标记的FlowSpec路由。本发明实现了在路由设备平滑重启期间转发平面攻击流量的过滤和控制不中断,提升了设备的可靠性和稳定性,避免由于主备倒换期间DoS/DDoS攻击给客户带来的不可预期的损失。
Description
技术领域
本发明涉及无线通信技术领域,尤其涉及一种流量控制策略处理方法及装置。
背景技术
拒绝服务(Denial of service,DoS)和分布式拒绝服务(Distributed Denial ofservice,DDoS)攻击(以下统称为拒绝服务攻击)因其容易实施、隐蔽性强、简单有效等特点而成为黑客惯用攻击手段,对网络安全构成严重威胁,给企业和用户带来了巨大的经济损失和影响。DoS/DDoS攻击者通过控制成千上万的攻击设备对同一个目标(用户地址或者服务器)同时发起流量攻击,导致该目的地址的上游接入设备或受攻击服务器被异常流量拥塞,用户无法正常使用。
从目前DoS/DDoS攻击防御的经验来看,针对攻击流量的特点制定流量策略,并在最接近攻击源的设备上下发转发平面的流量控制策略,以此来限制发起DoS/DDoS攻击源的流量。
边界网关协议(Border Gateway Protocol,BGP)是用来在自治系统(AutonomousSystem,AS)之间传递选路信息的路径向量协议,是唯一运行在INTERNET上的域间路由协议。与OSPF、RIP等内部路由协议不同,BGP着眼点不在于发现和计算路由,而在于控制路由的传播和选择最好的路由。BGP的网络层可达信息(Network Layer ReachabilityInformation,NLRI)封装在MP_REACH_NLRI和MP_UREACH_NLRI两个多协议扩展属性当中,这两个属性很容易进行扩展,可将各种协议信息封装起来传递到其他设备。因此很多协议都会借助BGP的这种协议扩展能力来传递自己需要的各种路由信息。
在IETF的RFC文档中,Flow Specification(以下简称FlowSpec)被定义为可应用于网际协议(Internet Protocol,IP)流量的由若干匹配规则(例如:源地址、目的地址、端口、源端口、目的端口、协议类型、ICMP类型、ICMP code、分片情况、TCP标记、DSCP值等)组成的n元组。通过利用BGP的协议扩展能力携带FlowSpec可实现在大量的BGP对等路由器中快速的部署和扩散过滤和监控功能,通过FlowSpec部署的流量控制策略可以精准的匹配攻击流量,同时对攻击流量有多种选择动作:全部丢弃、限速、流量重定向或者修改IP报文的差分服务代码点(Differentiated Services Code Point,DSCP)值等,从而可以减轻DDos攻击的影响。
借助BGP的多协议扩展能力,FlowSpec流量控制策略可以很容易的分发到其他配置了BGP协议的设备上,并下发为转发平面的流量控制策略,限制发起拒绝服务攻击源的流量。BGP支持在自治系统域内和跨自治系统域分发路由,可实现在最接近攻击源的设备上对攻击流量的过滤和控制,最大程度的减少攻击流量对网络转发性能的影响。
分布式的主备环境是提高设备可靠性和稳定性的一种常见方式。BGP的平滑重启(Graceful Restart,GR)是一种在主备倒换或BGP协议重启时保证转发业务不中断的机制。GR有平滑重启方(也可称为Restarter或Restarting Speaker)和平滑重启辅助方(也可称为Helper或Receiving Speaker)两个角色,GR Restarter是发生主备倒换或协议重启且具有GR能力的设备;GR Helper是和GR Restarter具有邻居关系,协助完成GR流程的设备,GRHelper也需具有GR能力。一个运行BGP协议的设备(简称BGP设备)既可以作为GRRestarter,又可以作为GR Helper。设备的角色由该设备在BGP GR过程中的作用决定。
在支持平滑重启的主备环境下,虽然BGP具有支持平滑重启GR能力,但负责处理FlowSpec流量控制策略的协议或模块并不支持平滑重启功能,这就可能导致在链路发生震荡时,FlowSpec流量控制策略失效,使得对攻击流量的过滤和控制中断。
发明内容
有鉴于此,本发明提供一种流量控制策略处理方法,用于解决路由设备在平滑重启过程中,FlowSpec流量控制策略失效,使得路由设备对攻击流量的过滤和控制中断的技术问题。
基于本发明实施例的一方面,提出一种流量控制策略处理方法,该方法应用于支持平滑重启的路由设备,该路由设备作为平滑重启的Restarter方,其上的FlowSpec模块所执行的步骤包括:
接收BGP协议发送的进入平滑重启的通知消息,为来自BGP的所有FlowSpec路由标记第一标记;
接收BGP发送的新学习到的FlowSpec路由,并比较接收到的FlowSpec路由和原有FlowSpec路由是否相同,若相同则清除对应的FlowSpec路由的第一标记;
接收BGP发送的平滑重启结束消息,删除所有还标记有第一标记的FlowSpec路由。
进一步地,所述方法还包括:
在BGP与邻居完成平滑重启能力协商后,接收BGP通知的平滑重启保护时间;
FlowSpec模块检测到与BGP的连接断开时,FlowSpec模块根据所述平滑重启保护时间,启动一个全局的第一定时器;
若第一定时器超时,还未接收到BGP发送的进入平滑重启的通知消息,则删除所有BGP通知的FlowSpec路由,同时删除第一定时器;若第一定时器超时,已经接收到BGP发送的进入平滑重启的通知消息,则删除所有还标记有第一标记的FlowSpec路由,同时删除第一定时器;若接收到BGP发送的平滑重启结束消息,则删除所有还标记有第一标记的FlowSpec路由,同时删除第一定时器。
基于本发明实施例的另一方面,提出一种流量控制策略处理方法,该方法应用于支持平滑重启的路由设备,该路由设备作为平滑重启的Restarter方,其上的BGP所执行的步骤包括:
在发生主备倒换,BGP进入平滑重启处理流程后,由BGP发送进入平滑重启通知消息给FlowSpec模块,以使FlowSpec模块为来自BGP的所有FlowSpec路由标记第一标记;
在平滑重启完成后,BGP将重新学习的FlowSpec路由发送给FlowSpec模块,以使FlowSpec模块删除与重新学习到的FlowSpec路由相同的原有FlowSpec路由的第一标记;
在发送完FlowSpec路由后,BGP发送平滑重启结束消息给FlowSpec模块,以使FlowSpec模块删除还标记有第一标记的FlowSpec路由。
进一步地,所述方法还包括:
在BGP与邻居完成平滑重启能力协商后,BGP向FlowSpec模块发送平滑重启保护时间。
基于本发明实施例的另一方面,提出一种流量控制策略处理装置,该装置应用于支持平滑重启的路由设备,该路由设备作为平滑重启的Restarter方,该装置包括:
标记单元,用于接收BGP协议发送的进入平滑重启的通知消息,为来自BGP的所有FlowSpec路由标记第一标记;
更新单元,用于接收BGP发送的新学习到的FlowSpec路由,并比较接收到的FlowSpec路由和原有FlowSpec路由是否相同,若相同则清除对应的FlowSpec路由的第一标记;
清理单元,用于接收BGP发送的平滑重启结束消息,删除所有还标记有第一标记的FlowSpec路由,同时删除第一定时器。
进一步地,所述装置还包括:
定时器单元,用于在BGP与邻居完成平滑重启能力协商后,接收BGP通知的平滑重启保护时间;FlowSpec模块检测到与BGP的连接断开时,FlowSpec模块根据所述平滑重启保护时间,启动一个全局的第一定时器;
所述清理单元,还用于第一定时器超时,若还未接收到BGP发送的进入平滑重启消息则删除所有BGP通知的FlowSpec路由同时删除第一定时器;若还未接收到BGP发送的平滑重启结束消息则删除所有还标记有第一标记的FlowSpec路由,同时删除第一定时器。
基于本发明实施例的另一方面,提出一种流量控制策略处理装置,该装置应用于支持平滑重启的路由设备,该路由设备作为平滑重启的Restarter方,该装置包括:
GR启动通知单元,用于在发生主备倒换,BGP进入平滑重启处理流程后,发送进入平滑重启通知消息给FlowSpec模块,以使FlowSpec模块为来自BGP的所有FlowSpec路由标记第一标记;
FlowSpec路由处理单元,用于在平滑重启完成后,将重新学习的FlowSpec路由发送给FlowSpec模块,以使FlowSpec模块删除与重新学习到的FlowSpec路由相同的原有FlowSpec路由的第一标记;
GR结束通知单元,用于在平滑重启完成后,BGP发送平滑重启结束消息给FlowSpec模块,以使FlowSpec模块删除还标记有第一标记的FlowSpec路由。
进一步地,所述装置还包括:
GR保护时间下发单元,用于在BGP与邻居完成平滑重启能力协商后,BGP向FlowSpec模块发送平滑重启保护时间。
由以上描述可以看出,本发明增强了BGP与FlowSpec模块之间的交互,通过BGP的GR特性和Flow Spec的老化机制的结合,实现了在平滑重启期间,转发平面攻击流量的过滤和控制不中断,进一步提升了设备的可靠性和稳定性,避免由于主备倒换期间DoS/DDoS攻击给客户带来的不可预期的损失。
附图说明
图1为本发明一实施例提供的平滑重启方Restarter和平滑重启辅助方Helper方的交互及BGP与FlowSpec模块的交互示意图;
图2为本发明一实施例中,平滑重启方Restarter的BGP实现本发明提供的流量控制策略处理方法的步骤流程图;
图3为本发明一实施例中,平滑重启方Restarter的FlowSpec模块实现本发明提供的流量控制策略处理方法的步骤流程图;
图4为本发明一实施例提供的一种流量控制策略处理方法的步骤流程图;
图5为本发明一实施例提供的平滑重启方Restarter实现FlowSpec模块处理步骤的流量控制策略处理装置示意图;
图6为本发明一实施例提供的应用于平滑重启方Restarter的BGP的流量控制策略处理装置示意图。
具体实施方式
为使本申请的目的、技术方案及优点更加清楚明白,以下参照附图对本申请所述方案作进一步地详细说明。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
BGP是一种域间路由协议,目前的BGP版本支持路由设备在主备环境下的平滑重启,但目前的BGP版本,路由设备在进行平滑重启的过程中,BGP协议不会通知FlowSpec模块当前正在执行平滑重启,FlowSpec模块也不支持平滑重启。本发明所述的FlowSpec模块是指负责将通过BGP协议分发的FlowSpec路由下发到转发平面的软件或硬件模块。本发明所述的FlowSpec路由是指基于FlowSpec地址族通过域间路由协议传递的FlowSpec流量控制策略信息。
由于BGP协议和Flow Spec模块之间无法进行GR能力联动。当主备倒换后BGP和Flow Spec模块之间建立的连接发生震荡时,Flow Spec模块要么较早通知转发平面删除所有来自BGP的FlowSpec路由,使得对攻击流量的过滤和控制中断,要么等待BGP邻居倒换完毕并重新下发FlowSpec路由,导致转发平面的流量控制策略收敛慢。
为解决上述问题,本发明提出了一种流量控制策略处理方法,该方法应用于支持平滑重启的主备环境下的路由设备,该方法增强了BGP与FlowSpec模块之间的交互,使得BGP与FlowSpec模块在路由设备或进程发生主备倒换,平滑重启的过程中,协同实现在主备倒换期间,转发平面对攻击流量不间断的过滤和检测。
图1为本发明一实施例中,平滑重启方Restarter和平滑重启辅助方Helper方的交互及BGP与FlowSpec模块的交互示意图。
图2为本发明一实施例中,平滑重启方Restarter的BGP实现本发明提供的流量控制策略处理方法的步骤流程图,具体步骤如下:
步骤201,在发生主备倒换,BGP进入平滑重启处理流程后,由BGP发送进入平滑重启通知消息给FlowSpec模块,以使FlowSpec模块为来自BGP的所有FlowSpec路由标记第一标记;
步骤202,在平滑重启完成后,BGP将重新学习的FlowSpec路由发送给FlowSpec模块,以使FlowSpec模块删除与重新学习到的FlowSpec路由相同的原有FlowSpec路由的第一标记;
步骤203,在BGP向FlowSpec模块发送FlowSpec路由完成后,BGP发送平滑重启结束消息给FlowSpec模块,以使FlowSpec模块删除还标记有第一标记的FlowSpec路由。
基于本发明另一实施例,上述方法还包括:在BGP与邻居完成平滑重启能力协商后,BGP向FlowSpec模块发送平滑重启保护时间。
图3为本发明一实施例中,平滑重启方Restarter的FlowSpec模块实现本发明提供的流量控制策略处理方法的步骤,包括:
步骤301,接收BGP协议发送的进入平滑重启的通知消息,为来自BGP的所有FlowSpec路由标记第一标记;
这里所述的来自BGP的所有FlowSpec路由是指在BGP进入平滑重启之前,FlowSpec模块已从BGP接收到的所有FlowSpec路由,即以下所称的原有FlowSpec路由。
步骤302,接收BGP发送的新学习到的FlowSpec路由,并比较接收到的FlowSpec路由和原有FlowSpec路由是否相同,若相同则清除对应的FlowSpec路由的第一标记;
步骤303,接收BGP发送的平滑重启结束消息,删除所有还标记有第一标记的FlowSpec路由。
在本发明另一实施例中,为防范平滑重启故障,导致FlowSpec流量控制策略无法及时清除进而导致FlowSpec路由收敛慢,该方法还进一步包括:在步骤301之前,在BGP与邻居完成平滑重启能力协商后,接收BGP通知的平滑重启保护时间;在步骤301之前,FlowSpec模块检测到与BGP的连接断开时,FlowSpec模块根据所述平滑重启保护时间,启动一个全局的第一定时器(所述全局是指对所有来自BGP的FlowSpec路由生效)。在步骤301之前,即接收到BGP发送的进入平滑重启消息之前,若第一定时器超时,则删除所有BGP通知的FlowSpec路由,同时删除第一定时器。在步骤303之前,即接收到BGP发送的平滑重启结束消息之前,若第一定时器超时,则删除所有还标记有第一标记的FlowSpec路由,同时删除第一定时器。在步骤303之后,即接收到BGP发送的平滑重启结束消息后,若还有标记有第一标记的FlowSpec路由,则删除所有还标记有第一标记的FlowSpec路由,若第一定时器还存在则删除第一定时器。
以下结合图1和图4,对本发明一实施例中,FlowSpec模块的处理步骤进一步详细描述,具体包括:
步骤401、在BGP使能平滑重启能力且与邻居完成平滑重启能力协商之后,FlowSpec模块接收BGP通知的平滑重启保护时间;
BGP路由设备在与BGP邻居建立邻居关系后,会进行平滑重启能力协商,在协商成功后,BGP协议将协商的平滑重启保护时间通知给FlowSpec模块,FlowSpec模块接收并存储BGP发送的平滑重启保护时间。
BGP为了传递FlowSpec路由而新增了FlowSpec地址族(类似于传递IPv4路由的IPv4地址族或者传递Ipv6路由的Ipv6地址族),在该地址族下使能的BGP邻居用于传递FlowSpec路由。在通过配置命令为BGP使能GR能力,在建立BGP邻居过程中,通过在OPEN报文中携带FlowSpec地址族支持GR能力参数,与BGP邻居进行FlowSpec地址族的GR能力协商。在协商成功后,BGP把自己的GR保护时间通知给FlowSpec模块(如果未使能GR能力则该GR保护时间值为0)。其中,BGP的GR保护时间是指:邻居发生重启restart后,邻居重新建立并恢复所有路由允许的最长时间(RFC4724中的Restart Time),用于加快路由的收敛并防止邻居restart后无法正常恢复。
步骤402、在发生主备倒换,BGP进入平滑重启处理流程时,FlowSpec模块接收到BGP协议发送的进入平滑重启的通知消息后,FlowSpec模块为来自BGP的所有FlowSpec路由标记第一标记,并在检测到与BGP的连接断开时,根据平滑重启保护时间启动第一定时器;
主路由设备和备路由设备发生倒换(或BGP主备进程倒换:BGP主进程发生异常后备进程接替主进程的工作,快速恢复BGP功能正常,提供BGP协议的可靠性和稳定性)造成BGP重启后,BGP的备进程升级为主进程,获取原主进程保存的协商成功GR的邻居数,如果邻居数非零,则备进程会触发进入BGP的GR处理流程。如果BGP配置了FlowSpec地址族则会通知FlowSpec模块进入GR,FlowSpec模块为来自BGP的所有FlowSpec路由标记第一标记。
当BGP重启后,FlowSpec模块检测到与BGP的连接断开时,FlowSpec模块根据BGP的GR保护时间为来自BGP的所有FlowSpec路由启动一个共用的全局的第一定时器。
对于BGP未使能GR能力或GR保护时间为零的情况,则在接收到BGP通知进入GR消息后,FlowSpec模块删除所有来自BGP的FlowSpec路由。
步骤403、在BGP完成平滑重启后,FlowSpec模块接收BGP新学习到的FlowSpec路由,比较接收到的FlowSpec路由和原有的FlowSpec路由是否有相同的FlowSpec路由,若有相同的FlowSpec路由,则执行步骤404;若无相同的FlowSpec路由,则执行步骤405;
主备倒换这一事件(或动作)会触发BGP进入GR流程,BGP重连的邻居发送完路由后会发送一个End-Of-RIB报文,当所有重连的邻居都已经发送完路由后,BGP即完成了GR。
步骤404,将与新接收到的FlowSpec路由相同的原有FlowSpec路由的第一标记清除,然后执行步骤405;
在BGP平滑重启期间,BGP会进行新的FlowSpec路由的学习,平滑重启完成后,BGP把学习到的所有FlowSpec路由发送给FlowSpec模块,FlowSpec模块比较新接收到的FlowSpec路由和原来保存的FlowSpec路由,若新接收到FlowSpec路由与原来保存的FlowSpec路由相同,则清除对应的FlowSpec路由的第一标记,若不相同不清除对应FlowSpec路由的第一标记。若新接收的FlowSpec路由在原来保存的FlowSpec路由中不存在,则新增该FlowSpec路由且不为该新增路由设置第一标记。在整个GR过程中,BGP不会通知FlowSpec模块删除来自邻居的FlowSpec路由。
步骤405、FlowSpec模块收到BGP通知的平滑重启结束消息,删除所有还标记有第一标记的FlowSpec路由,同时删除第一定时器。
在BGP完成GR后,BGP把学习到的所有FlowSpec路由发送给FlowSpec模块后,BGP会向FlowSpec模块发送平滑重启结束消息,在FlowSpec接收到平滑重启结束消息时,说明BGP正常完成了平滑重启,FlowSpec模块删除所有还标记有第一标记的FlowSpec路由,同时删除第一定时器。
若在FlowSpec模块接收到BGP的进入平滑重启消息前,若所述第一定时器超时,则需要删除所有BGP通知的FlowSpec路由,同时删除第一定时器。若在FlowSpec模块接收到BGP的平滑重启结束消息前,若所述第一定时器超时,则同样需要删除所有还标记有第一标记的FlowSpec路由,同时删除第一定时器。由于第一定时器的定时时间的设置依据是平滑重启保护时间,若平滑重启保护时间设置的过短,则可能导致在路由设备没有完全完成GR过程之前,第一定时器超时,进而导致删除所有原来保存的FlowSpec路由,因此,需要根据实际软硬件环境,合理设置平滑重启保护时间。
通过以上步骤可知,本发明实施例中,FlowSpec模块在收到BGP通知的GR结束消息或第一定时器超时情况下,才更新转发平面的流量控制策略即Flowspec路由,删除未更新FlowSpec路由,以实现对攻击流量的过滤和控制的不间断。
对于平滑重启辅助方Helper,由于在Restarter方平滑重启的过程中,Helper方不会通知本端的FlowSpec模块更新FlowSpec路由,在GR结束后才会通知FlowSpec模块删除未再更新的FlowSpec路由,因此FlowSpec模块不知道远端设备发生的主备倒换,无需做任何特殊处理。当Helper方检测到与Restarter方的传输控制协议TCP转发不通或连接断开时,会进入该邻居的GR处理流程,把该邻居通知的FlowSpec路由置上第二标记即STALE标记但并不删除这些FlowSpec路由,也不会通知FlowSpec模块删除该FlowSpec路由,以保持转发平面流量控制策略对攻击流量的过滤和控制不间断。
为了避免连续重启,远端邻居宕机(down)后,如果该邻居的FlowSpec路由以前已经标记了STALE标记,则在再次检测到远端邻居down后,这些已经被标记为STALE的FlowSpec路由会被删除,并通知FlowSpec模块删除对应的FlowSpec路由。
在GR过程中,Helper方收到远端邻居发送的更新FlowSpec路由后,和GR前保存的该邻居的FlowSpec路由进行比较并更新STALE标记,在收到对端发送的FlowSpec地址族的End-of-RIB(表示远端邻居的路由已经重新发布完成,可以结束该邻居的GR处理流程了)消息后,删除仍标记为STALE的FlowSpec路由,并通知FlowSpec模块删除。GR过程结束后(不管是否正常结束),BGP会删除仍带有STALE标记的FlowSpec路由,同时通知FlowSpec模块删除该FlowSpec路由。
Helper方在发送完FlowSpec地址族的初始更新信息后(包含没有信息发送的情况),发送该地址族的End-of-RIB。BGP的FlowSpec地址族的邻居在GR期间的相关处理(Restarter方和Helper方)都遵循BGP RFC4724的要求,在此就不再一一赘述了。
基于本发明前述实施例提供的流量控制策略处理方法,本发明又一实施例提供一种流量控制策略处理装置,该装置应用于支持平滑重启的主备环境下的路由设备,所述路由设备的硬件环境通常至少包括有CPU、内存以及非易失性存储器,当然还可能包括各种转发芯片、I/O接口等硬件。以软件实现为例,本实施例通过该设备的CPU将非易失性存储器中对应的机器可读指令读取到内存中运行,以使该装置完成前述方法实施例中FlowSpec模块所完成的步骤,请参考图5所示,该装置500包括:
标记单元501,用于接收BGP协议发送的进入平滑重启的通知消息,为来自BGP的所有FlowSpec路由标记第一标记;
更新单元502,用于接收BGP发送的新学习到的FlowSpec路由,并比较新接收到的FlowSpec路由和原有FlowSpec路由是否相同,若相同则清除对应的FlowSpec路由的第一标记;
清理单元503,用于接收BGP发送的平滑重启结束消息,删除所有还标记有第一标记的FlowSpec路由。
进一步地,该装置500还包括:
定时器单元504,用于在BGP与邻居完成平滑重启能力协商后,接收BGP通知的平滑重启保护时间;在接收到进入平滑重启的通知消息后,FlowSpec模块检测到与BGP的连接断开时,FlowSpec模块根据所述平滑重启保护时间,启动一个全局的第一定时器;
所述清理单元503还用于第一定时器超时,若还未接收到BGP发送的进入平滑重启消息则删除所有BGP通知的FlowSpec路由同时删除第一定时器;若还未接收到BGP发送的平滑重启结束消息则删除所有还标记有第一标记的FlowSpec路由,同时删除第一定时器。
基于本发明前述实施例提供的流量控制策略处理方法,本发明又一实施例提供一种流量控制策略处理装置,该装置应用于支持平滑重启的主备环境下的路由设备,所述路由设备的硬件环境通常至少包括有CPU、内存以及非易失性存储器,当然还可能包括各种转发芯片、I/O接口等硬件。以软件实现为例,本实施例通过该路由设备的CPU将非易失性存储器中对应的机器可读指令读取到内存中运行,以使该装置完成前述方法实施例中BGP所完成的步骤,请参考图6所示,该装置600包括:
GR启动通知单元601,用于在发生主备倒换,BGP进入平滑重启处理流程后,发送进入平滑重启通知消息给FlowSpec模块,以使FlowSpec模块为来自BGP的所有FlowSpec路由标记第一标记;
FlowSpec路由处理单元602,用于在平滑重启完成后,将重新学习的FlowSpec路由发送给FlowSpec模块,以使FlowSpec模块删除与重新学习到的FlowSpec路由相同的原有FlowSpec路由的第一标记;
GR结束通知单元603,用于在平滑重启完成后,BGP发送平滑重启结束消息给FlowSpec模块,以使FlowSpec模块删除还标记有第一标记的FlowSpec路由。
进一步地,所述装置600还包括:
GR保护时间下发单元604,用于在BGP与邻居完成平滑重启能力协商后,BGP向FlowSpec模块发送平滑重启保护时间。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (8)
1.一种流量控制策略处理方法,其特征在于,该方法应用于支持平滑重启的路由设备包括的FlowSpec模块,所述方法包括:
接收所述路由设备中的BGP模块发送的进入平滑重启的通知消息,为来自BGP模块的所有FlowSpec路由标记第一标记;
接收BGP模块发送的新学习到的FlowSpec路由,并比较接收到的FlowSpec路由和原有FlowSpec路由是否相同,若相同则清除对应的FlowSpec路由的第一标记;
接收BGP模块发送的平滑重启结束消息,删除所有还标记有第一标记的FlowSpec路由。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在BGP模块与邻居完成平滑重启能力协商后,接收BGP模块通知的平滑重启保护时间,所述邻居为辅助所述路由设备平滑重启的路由设备;
FlowSpec模块检测到与BGP模块的连接断开时,FlowSpec模块根据所述平滑重启保护时间,启动一个全局的第一定时器;
若第一定时器超时,还未接收到BGP模块发送的进入平滑重启的通知消息,则删除所有BGP模块通知的FlowSpec路由,同时删除第一定时器;若第一定时器超时,已经接收到BGP模块发送的进入平滑重启的通知消息,则删除所有还标记有第一标记的FlowSpec路由,同时删除第一定时器;若接收到BGP模块发送的平滑重启结束消息,则删除所有还标记有第一标记的FlowSpec路由,同时删除第一定时器。
3.一种流量控制策略处理方法,其特征在于,该方法应用于支持平滑重启的路由设备的BGP模块,所述路由设备还包括FlowSpec模块,所述方法:
在发生主备倒换,BGP模块进入平滑重启处理流程后,由BGP模块发送进入平滑重启通知消息给FlowSpec模块,以使FlowSpec模块为来自BGP模块的所有FlowSpec路由标记第一标记;
在平滑重启完成后,BGP模块将重新学习的FlowSpec路由发送给FlowSpec模块,以使FlowSpec模块删除与重新学习到的FlowSpec路由相同的原有FlowSpec路由的第一标记;
在发送完FlowSpec路由后,BGP模块发送平滑重启结束消息给FlowSpec模块,以使FlowSpec模块删除还标记有第一标记的FlowSpec路由。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在BGP模块与邻居完成平滑重启能力协商后,BGP模块向FlowSpec模块发送平滑重启保护时间,所述邻居为辅助所述路由设备平滑重启的路由设备。
5.一种流量控制策略处理装置,其特征在于,该装置应用于支持平滑重启的路由设备包括的FlowSpec模块,该装置包括:
标记单元,用于接收所述路由设备中的BGP模块发送的进入平滑重启的通知消息,为来自BGP模块的所有FlowSpec路由标记第一标记;
更新单元,用于接收BGP模块发送的新学习到的FlowSpec路由,并比较接收到的FlowSpec路由和原有FlowSpec路由是否相同,若相同则清除对应的FlowSpec路由的第一标记;
清理单元,用于接收BGP模块发送的平滑重启结束消息,删除所有还标记有第一标记的FlowSpec路由,同时删除第一定时器。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
定时器单元,用于在BGP模块与邻居完成平滑重启能力协商后,接收BGP模块通知的平滑重启保护时间;FlowSpec模块检测到与BGP模块的连接断开时,FlowSpec模块根据所述平滑重启保护时间,启动一个全局的第一定时器,所述邻居为辅助所述路由设备平滑重启的路由设备;
所述清理单元,还用于第一定时器超时,若还未接收到BGP模块发送的进入平滑重启消息则删除所有BGP模块通知的FlowSpec路由同时删除第一定时器;若还未接收到BGP模块发送的平滑重启结束消息则删除所有还标记有第一标记的FlowSpec路由,同时删除第一定时器。
7.一种流量控制策略处理装置,其特征在于,该装置应用于支持平滑重启的路由设备的BGP模块,所述路由设备包括FlowSpec模块,该装置包括:
GR启动通知单元,用于在发生主备倒换,BGP模块进入平滑重启处理流程后,发送进入平滑重启通知消息给FlowSpec模块,以使FlowSpec模块为来自BGP模块的所有FlowSpec路由标记第一标记;
FlowSpec路由处理单元,用于在平滑重启完成后,将重新学习的FlowSpec路由发送给FlowSpec模块,以使FlowSpec模块删除与重新学习到的FlowSpec路由相同的原有FlowSpec路由的第一标记;
GR结束通知单元,用于在平滑重启完成后,BGP模块发送平滑重启结束消息给FlowSpec模块,以使FlowSpec模块删除还标记有第一标记的FlowSpec路由。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
GR保护时间下发单元,用于在BGP模块与邻居完成平滑重启能力协商后,BGP模块向FlowSpec模块发送平滑重启保护时间,所述邻居为辅助所述路由设备平滑重启的路由设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610077134.2A CN105763477B (zh) | 2016-02-03 | 2016-02-03 | 一种流量控制策略处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610077134.2A CN105763477B (zh) | 2016-02-03 | 2016-02-03 | 一种流量控制策略处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105763477A CN105763477A (zh) | 2016-07-13 |
| CN105763477B true CN105763477B (zh) | 2019-09-06 |
Family
ID=56329957
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610077134.2A Active CN105763477B (zh) | 2016-02-03 | 2016-02-03 | 一种流量控制策略处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105763477B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106230720B (zh) * | 2016-08-02 | 2021-03-12 | 新华三技术有限公司 | 一种设备故障后的路由恢复方法及装置 |
| CN106302461B (zh) * | 2016-08-16 | 2020-10-27 | 新华三技术有限公司 | 一种检查流量策略合法性的方法及装置 |
| CN106341423B (zh) * | 2016-10-26 | 2019-12-06 | 新华三技术有限公司 | 一种报文处理方法和装置 |
| CN112688874B (zh) * | 2019-10-18 | 2022-12-16 | 中国移动通信有限公司研究院 | 流量调优控制方法、装置、设备及存储介质 |
| CN113300950B (zh) * | 2020-04-01 | 2023-03-24 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置、电子设备及计算机可读介质 |
| CN111917590B (zh) * | 2020-08-11 | 2022-11-18 | 南京航空航天大学 | 制造物联网网关主备倒换数据包mac表处理装置及方法 |
| CN112532519B (zh) * | 2020-12-21 | 2022-07-22 | 安徽皖通邮电股份有限公司 | 一种采用BGP Flow Specification控制数据流量行为的方法 |
| CN113043370B (zh) * | 2021-03-05 | 2023-06-13 | 郑州领胜科技有限公司 | 模切产品点数打点标记系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101471940A (zh) * | 2007-12-28 | 2009-07-01 | 华为技术有限公司 | 一种边界网关协议路由同步的方法、系统及装置 |
| CN103535016A (zh) * | 2011-05-09 | 2014-01-22 | 瑞典爱立信有限公司 | 从活跃tcp应用到备用tcp应用的无中断切换 |
-
2016
- 2016-02-03 CN CN201610077134.2A patent/CN105763477B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101471940A (zh) * | 2007-12-28 | 2009-07-01 | 华为技术有限公司 | 一种边界网关协议路由同步的方法、系统及装置 |
| CN103535016A (zh) * | 2011-05-09 | 2014-01-22 | 瑞典爱立信有限公司 | 从活跃tcp应用到备用tcp应用的无中断切换 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105763477A (zh) | 2016-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105763477B (zh) | 一种流量控制策略处理方法及装置 | |
| US9954769B2 (en) | Inter-domain fast reroute methods and network devices | |
| US10630575B2 (en) | Mechanism to detect control plane loops in a software defined networking (SDN) network | |
| US7706281B2 (en) | Selecting paths in multi-homed transport-layer network associations | |
| EP3304812B1 (en) | Method and system for resynchronization of forwarding states in a network forwarding device | |
| US10225169B2 (en) | Method and apparatus for autonomously relaying statistics to a network controller in a software-defined networking network | |
| US20090235348A1 (en) | Wireless firewall with tear down messaging | |
| RU2521092C2 (ru) | Синхронизация ldp и igp для широковещательных сетей | |
| WO2005036831A1 (ja) | フレーム中継装置 | |
| US9668160B2 (en) | Topology discovery based on SCTP/X2 snooping | |
| WO2020084335A1 (en) | Using location indentifier separation protocol to implement a distributed user plane function architecture for 5g mobility | |
| US20070118896A1 (en) | Network attack combating method, network attack combating device and network attack combating program | |
| JP6107498B2 (ja) | 通信方法、通信装置及び通信プログラム | |
| EP1802058A1 (en) | Method for protection from service-disabling attack, system for protection from service-disabling attack, device for protection from service-disabling attack, relay device, program for protection from service-disabling attack, and relay device program | |
| CN110891018B (zh) | 网络流量恢复方法、装置、sdn控制器及存储介质 | |
| US9294986B2 (en) | Topology discovery based on explicit signaling | |
| US20220094601A1 (en) | Targeted neighbor discovery for border gateway protocol | |
| CN112688873A (zh) | 在evpn中部署安全邻居发现 | |
| US8078758B1 (en) | Automatic configuration of source address filters within a network device | |
| US10015081B1 (en) | Poison-path routing policy | |
| Nakibly et al. | Owning the Routing Table. Part II | |
| JP2006287434A (ja) | 接続管理装置、接続管理装置の制御方法および制御プログラム | |
| JP2008028720A (ja) | 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法 | |
| Ansari et al. | STEM: seamless transport endpoint mobility | |
| Buhr et al. | Media access control address spoofing attacks against port security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |