CN106656834B - Is-is路由协议异构功能等价体并行归一化装置及方法 - Google Patents
Is-is路由协议异构功能等价体并行归一化装置及方法 Download PDFInfo
- Publication number
- CN106656834B CN106656834B CN201611007704.7A CN201611007704A CN106656834B CN 106656834 B CN106656834 B CN 106656834B CN 201611007704 A CN201611007704 A CN 201611007704A CN 106656834 B CN106656834 B CN 106656834B
- Authority
- CN
- China
- Prior art keywords
- equivalents
- intermediate system
- inspector
- worker
- function equivalence
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/583—Stackable routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于网络空间安全防护技术领域,具体的涉及一种IS‑IS路由协议异构功能等价体并行归一化装置及方法,装置内部有多个IS‑IS协议异构等价体并行运行,等价体的运行状态是不断动态随机的变化的,而对外部而言,始终只能看到一个设备在运行,无法发现内部的变化,在保证原有路由功能不变的条件下,充分利用动态性、多样性、随机性来隐藏等价体内部存在的各种漏洞和后门,在发现等价体异常后,可迅速进行切换使得原有攻击失去目标,使得攻击者很难建立起持续可靠的攻击链,极大的降低了系统被攻击成功的概率。通过进一步引入多模判决机制,对多执行体的输出结果进行多模判决输出,可有效防止路由篡改等攻击。通过上述手段,相较传统路由设备,本装置显著提高了在路由控制平面上的抗攻击能力。
Description
技术领域
本发明属于网络空间安全防护技术领域,具体的涉及一种IS-IS路由协议异构功能等价体并行归一化装置及方法。
背景技术
路由器作为网络空间的基础核心要素,位于网络空间底层,互联多种异构网络,通过路由查找和数据转发,实现网络端到端的互通。它作为网络空间信息基础设施的核心装备,覆盖整个互联网的核心层、汇聚层和接入层。由于其复杂性和智能性,使之成为网络安全攻击的主要目标之一,其安全性直接影响乃至制约网络空间安全。由于路由器在网络中的基础地位,其漏洞和后门一旦被利用就会产生难以估量的危害,这不仅仅关系到路由器本身的安全,还会对其所覆盖的用户产生较大的影响。因此,路由器的安全防护成为网络空间安全的重要内容。
路由器从功能上来划分,可以分为三个平面,分别是数据处理平面、控制平面和管理平面。其中,控制平面的软件逻辑非常复杂,现在高端路由器支持多种路由协议软件包括BGP,OSPF,IS-IS等,其具体实现可以达到2千万行代码,涉及几千个RFC文档,运行的操作系统也千差万别。如此庞大的系统,漏洞和后门的存在是必然,并且基本无法从根本上消除。现在路由控制平面的主要威胁是:篡改路由表进行中间人攻击,以及发布虚假路由信息等。
发明内容
本发明针对现有技术的路由器存在漏洞和后门,并且基本无法从根本上消除,易被篡改路由表进行中间人攻击,以及发布虚假路由信息等问题,提出一种IS-IS路由协议异构功能等价体并行归一化装置及方法。
本发明的技术方案是:一种IS-IS路由协议异构功能等价体并行归一化方法,其特征在于:包括以下步骤:
步骤一:协议代理器处理所有进出的IS-IS协议报文,并对各个异构功能等价体和外部设备的协议交互过程进行干预处理,以实现并行归一化的目标;
步骤二:冗余控制器维护所有等价体的运行状态,完成worker和inspector的角色切换,并根据异常处理切换策略控制内部等价体角色切换;
步骤三:输出代理器对所有等价体路由输出经过进行多模判决输出,产生一致性的输出结果。
所述的IS-IS路由协议异构功能等价体并行归一化方法,所述步骤一中多个异构功能等价体和外部设备的协议交互过程进行干预处理包括以下内容:
a)对任一特定外部设备,维护所有功能等价体向其发送的IS-IS协议报文的源MAC地址为统一的MAC地址,以隐藏本装置内部结构;
b)对任一特定外部设备,干预其和worker的邻接关系建立过程,确保邻接关系正常建立;
c)对任一特定外部设备,干预其和其他inspector的邻接关系建立过程,使其无法意识到其他inspector的存在,但其他inspector可以单方面认为已经和外部设备建立了邻接关系;
d)对任一特定外部设备,干预其和worker的链路状态数据库同步过程,确保正常同步;
e)对任一特定外部设备,干预其和其他inspector的链路状态数据库同步过程,确保所有inspector都可以和它正常同步;
f)对任一特定外部设备,在其和各个等价体的会话维持阶段,继续使用前述的干预方式,以确保各个等价体的链路状态数据库随时保持一致。
所述的IS-IS路由协议异构功能等价体并行归一化方法,所述步骤二中冗余控制器,负责维护所有等价体的运行状态,完成worker和inspector的角色切换包括以下内容:
a1、接收外部输入的控制信息,根据所述控制信息的指示,完成对所有等价体的配置;
b1、定期进行worker和inspector之间的角色切换,并通知协议代理器切换信息,使其变更干预策略;
c1、监视所有等价体的运行状态,如果等价体发生异常状况,应及时判断是否进行worker和inspector之间的角色切换,如果判断切换,则通知协议代理器切换信息;
d1、接收协议代理器发送的协议异常信息,及时判断是否进行worker和inspector之间的角色切换,如果判断切换,则通知协议代理器切换信息;
e1、接收输出代理器发送的路由异常信息,及时判断是否进行worker和inspector之间的角色切换,如果判断切换,则通知协议代理器切换信息。
所述的IS-IS路由协议异构功能等价体并行归一化方法,所述步骤二中冗余控制器根据异常处理切换策略控制内部等价体角色切换包括以下内容:
a2、如果异常等价体为worker:将启动角色切换操作,将该等价体设置为inspector,并从剩余的正常等价体中优先挑选一个作为worker,如果再也没有正常的等价体可以提升为Worker,则本次切换失败,broker只有等待某个等价体恢复正常后再切换;
b2、如果异常等价体为Inspector,可以暂不处理,但需要标记异常inspector,在它恢复正常前避免把它切换为worker。
所述的IS-IS路由协议异构功能等价体并行归一化方法,所述步骤三中输出代理器对所有等价体路由输出经过进行多模判决输出,产生一致性的输出结果包括以下内容:
a3、获取各等价体的路由表进行比对,采用少数服从多数的原则取数量多者为信任路由;
b3、当无法以少数服从多数进行判断时,采用随机或者基于策略的方法进行选择;
c3、当发现所有等价体的路由表不完全一致时,向冗余控制器提示报警信息,通告少数异常等价体。
所述的IS-IS路由协议异构功能等价体并行归一化方法,所述IS-IS路由协议异构体的路由功能体并行归一化的所有功能都集中在协议代理器上实现,系统内部约束都体现在对多个actor和broker的配置上,主要包括:所有actor都配置相同的NET地址和主机名;
所有actor的和broker相连的接口优先级都配置为0,以确保不被选为指定中间系统DIS;
所有actor和同一broker相连的接口配置相同的IP地址;
broker作为接口组代表对外部呈现一个固定的虚拟MAC地址。
一种IS-IS路由协议异构功能等价体并行归一化装置,所述并行归一化装置包括:多个相同功能的运行IS-IS路由协议异构功能等价体、协议代理器、冗余控制器和输出代理器,其中,多个相同功能的运行IS-IS路由协议异构功能等价体经协议代理器对IS-IS报文进行接收和发送,多个相同功能的运行IS-IS路由协议异构功能等价体经过输出代理器对各个执行体计算出的路由结果作判决输出,冗余控制器分别与多个相同功能的运行IS-IS路由协议异构功能等价体、协议代理器和输出代理器相连。
所述的IS-IS路由协议异构功能等价体并行归一化装置,所述IS-IS路由协议异构体的路由功能体,其具体形式是真实的物理设备或者是某种形式的虚拟设备,所以,将这些等价体简称为actor,所有actor并行运行,但是在某一个时刻只会有一个对外呈现,对actor的角色进行划分:对外呈现的等价体为worker,其余隐藏的内部等价体为inspector,worker和inspector的角色并不是固定的,两者能够随时切换。
所述的IS-IS路由协议异构功能等价体并行归一化装置,所述协议代理器负责生成多个对外通讯的逻辑接口,每个逻辑接口都和所有actor的一个固定接口组对应,协议代理器负责对每个逻辑接口都生成一个管理副本,称为broker;broker负责管理本接口和外部的协议通讯过程,broker没有IP地址,是一个透明的逻辑实体,但broker作为对应actor接口组代理对外呈现一个固定的虚拟MAC地址,以隐藏本装置内部结构。
本发明的有益效果是:本装置通过构建包含多个功能等价、异构冗余的IS-IS等价体环境,在保证原有路由功能不变的条件下,充分利用动态性、多样性、随机性来隐藏等价体内部存在的各种“暗功能”,在发现等价体异常后,可迅速进行切换使得原有攻击失去目标,使得攻击者很难建立起持续可靠的攻击链,极大的降低了系统被攻击成功的概率。通过进一步引入多模判决机制,对多执行体的输出结果进行多模判决输出,可有效防止路由篡改等攻击。通过上述手段,相较传统路由设备,本装置显著提高了在路由控制平面上的抗攻击能力。
附图说明
图1为本发明根据实施例提供的一种IS-IS路由协议异构功能等价体并行归一化装置的结构示意图;
图2为本发明根据实施例提供的一种IS-IS路由协议异构功能等价体并行归一化装置中协议代理器的实例配置示意图;
图3为本发明根据实施例提供的种IS-IS路由协议异构功能等价体并行归一化装置的流程图。
具体实施方式
实施例1:结合图1-图3,一种IS-IS路由协议异构功能等价体并行归一化装置及方法,所述并行归一化装置包括:多个相同功能的运行IS-IS路由协议异构功能等价体、协议代理器、冗余控制器和输出代理器,其中,多个相同功能的运行IS-IS路由协议异构功能等价体经协议代理器对IS-IS报文进行接收和发送,多个相同功能的运行IS-IS路由协议异构功能等价体经过输出代理器对各个执行体计算出的路由结果作判决输出,冗余控制器分别与多个相同功能的运行IS-IS路由协议异构功能等价体、协议代理器和输出代理器相连,所述并行归一化装置能够进行并行归一化处理,并行归一化方法包括:
步骤一:协议代理器负责处理所有进出整个装置的IS-IS协议报文,并对各个异构功能等价体和外部设备的协议交互过程进行干预处理,以实现并行归一化的目标。
步骤二:冗余控制器,负责维护所有等价体的运行状态,完成worker和inspector的角色切换,并根据异常处理切换策略控制内部等价体角色切换;
步骤三:输出代理器对所有等价体路由输出经过进行多模判决输出,产生一致性的输出结果。
IS-IS路由协议异构体的路由功能体,其具体形式是真实的物理设备或者是某种形式的虚拟设备,下文中,将这些等价体简称为actor,所有actor并行运行,但是在某一个时刻只会有一个对外呈现,对actor的角色进行划分:对外呈现的等价体为worker,其余隐藏的内部等价体为inspector,worker和inspector的角色并不是固定的,两者能够随时切换。
协议代理器负责生成多个对外通讯的逻辑接口,每个逻辑接口都和所有actor的一个固定接口组对应,协议代理器负责对每个逻辑接口都生成一个管理副本,称为broker;broker负责管理本接口和外部的协议通讯过程,broker没有IP地址,是一个透明的逻辑实体,但broker作为对应actor接口组代理对外呈现一个固定的虚拟MAC地址,以隐藏本装置内部结构。
步骤一中多个异构功能等价体和外部设备的协议交互过程进行干预处理包括以下内容:
a、对任一特定外部设备,维护所有功能等价体向其发送的IS-IS协议报文的源MAC地址为统一的MAC地址,以隐藏本装置内部结构;
b、对任一特定外部设备,干预其和worker的邻接关系建立过程,确保邻接关系正常建立;
c、对任一特定外部设备,干预其和其他inspector的邻接关系建立过程,使其无法意识到其他inspector的存在,但其他inspector可以单方面认为已经和外部设备建立了邻接关系;
d、对任一特定外部设备,干预其和worker的链路状态数据库同步过程,确保正常同步;
e、对任一特定外部设备,干预其和其他inspector的链路状态数据库同步过程,确保所有inspector都可以和它正常同步;
f、对任一特定外部设备,在其和各个等价体的会话维持阶段,继续使用前述的干预方式,以确保各个等价体的链路状态数据库随时保持一致。
步骤二中冗余控制器,负责维护所有等价体的运行状态,完成worker和inspector的角色切换包括以下内容:
a1、接收外部输入的控制信息,根据所述控制信息的指示,完成对所有等价体的配置;
b1、定期进行worker和inspector之间的角色切换,并通知协议代理器切换信息,使其变更干预策略;
c1、监视所有等价体的运行状态,如果等价体发生异常状况,应及时判断是否进行worker和inspector之间的角色切换,如果判断切换,则通知协议代理器切换信息;
d1、接收协议代理器发送的协议异常信息,及时判断是否进行worker和inspector之间的角色切换,如果判断切换,则通知协议代理器切换信息;
e1、接收输出代理器发送的路由异常信息,及时判断是否进行worker和inspector之间的角色切换,如果判断切换,则通知协议代理器切换信息。
步骤二中冗余控制器根据异常处理切换策略控制内部等价体角色切换包括以下内容:
a2、如果异常等价体为worker:将启动角色切换操作,将该等价体设置为inspector,并从剩余的正常等价体中优先挑选一个作为worker,如果再也没有正常的等价体可以提升为Worker,则本次切换失败,broker只有等待某个等价体恢复正常后再切换;
b2、如果异常等价体为Inspector,可以暂不处理,但需要标记异常inspector,在它恢复正常前避免把它切换为worker。
所述的IS-IS路由协议异构功能等价体并行归一化装置及方法,所述步骤三中输出代理器对所有等价体路由输出经过进行多模判决输出,产生一致性的输出结果包括以下内容:
a3、获取各等价体的路由表进行比对,采用少数服从多数的原则取数量多者为信任路由。
b3、当无法以少数服从多数进行判断时,采用随机或者基于策略的方法进行选择。
c3、当发现所有等价体的路由表不完全一致时,向冗余控制器提示报警信息,通告少数异常等价体。
IS-IS路由协议异构体的路由功能体并行归一化的所有功能都集中在协议代理器上实现,系统内部约束都体现在对多个actor和broker的配置上,主要包括:所有actor都配置相同的NET地址和主机名;所有actor的和broker相连的接口优先级都配置为0,以确保不被选为指定中间系统DIS;所有actor和同一broker相连的接口配置相同的IP地址;broker作为接口组代表对外部呈现一个固定的虚拟MAC地址。
实施例2,集合图1-图3, 一种IS-IS路由协议异构功能等价体并行归一化装置的基本结构如图1所示,该装置包括多个相同功能的运行IS-IS路由协议异构功能等价体,还包括协议代理器,冗余控制器和输出代理器。
IS-IS路由协议异构功能等价体是运行IS-IS路由协议的路由功能体,其具体形式可以是真实的物理设备,也可以是某种形式的虚拟设备。在下文中,我们将这些等价体简称为actor,所有actor并行运行,但是在某一个时刻只会有一个对外呈现,为了便于问题的描述,对actor的角色进行划分:对外呈现的等价体为worker,其余隐藏的内部等价体为inspector。worker和inspector的角色并不是固定的,可视情况随时切换。
协议代理器负责处理所有进出整个装置的IS-IS协议报文,并对各个异构功能等价体和外部设备的协议交互过程进行干预处理,以实现并行归一化的目标。
协议代理器负责生成多个对外通讯的逻辑接口,每个逻辑接口都和所有actor的一个固定接口组对应。协议代理器负责对每个逻辑接口都生成一个管理副本,称为broker,负责管理本接口和外部的协议通讯过程,broker没有IP地址,是一个透明的逻辑实体,但broker作为对应actor接口组代理对外呈现一个固定的虚拟MAC地址,以隐藏本装置内部结构。
本装置不对actor上运行的IS-IS协议功能提出任何特殊要求,并行归一化的所有功能都集中在协议代理器上实现。系统内部约束都体现在对多个actor和broker的配置上。基本要求有四点:
1、所有actor都配置相同的NET地址和主机名;
2、所有actor的和broker相连的接口优先级都配置为0,以确保不被选为指定中间系统DIS;
3、所有actor和同一broker相连的接口配置相同的IP地址;
4、broker作为接口组代表对外部呈现一个固定的虚拟MAC地址。
由于ISIS会话的建立是与接口有关的,为了简化描述,我们仅仅挑选出一个broker和对应的接口组进行描述。如果有多个的broker话,每个broker都按如下方案实施即可。为方便描述,我们用一个具体的实例详述broker的实现并行归一化的工作流程。
如图2所示,共有3个actor和broker相连,所有actor的net地址统一配置成49.0001.0000.0000.0002.00,与broker连接的接口IP都配置成192.168.0.101,同时actor的主机名统一配置成R2。
为简化描述,假设只有一个外部邻居设备R1,在存在多个外部邻居设备的情况下,并不影响本装置的工作原理。
邻接关系建立阶段:
冗余控制器会基于当前actor的存活情况,首先确定一个actor作为worker,并通知协议代理器,协议代理器会据此通知各个broker,假设选定actor1为worker。
broker对actor1和外部邻居R1的邻接关系建立过程无需做太多干预;但为了防止在变体切换时,和邻居R1的邻接关系中断,同时为了隐藏内部结构,需要保证所有内部变体产生的IS-IS报文发送给邻居时,呈现的源mac地址为一个固定的mac地址,所以broker需要对二者间发送的hello报文做如下修改:
a)修改actor1发送的hello报文的源mac地址为统一的mac地址,如ca:02:2f:b0:00:38,再转发給邻居R1;
b)检查邻居R1发送的hello报文中是否有邻居TLV字段,如果有,进一步检查其中是否包含统一的mac地址(ca:02:2f:b0:00:38),如果有说明R1已经收到actor1发送的hello报文,则需修改R1 hello报文邻居TLV字段中的统一mac地址(ca:02:2f:b0:00:38)为actor1的实际mac地址后,再转发給actor1;否则不做任何修改转发給actor1
这样可保证worker和邻居R1的邻接关系的正常建立,同时保证worker切换时,邻接关系也不会中断。
因为对外部而言,始终只能看到一个执行体在运行,inspector发送的hello报文必须被丢弃。但必须使inspector也认为自己和R1建立起了邻接关系,这样才能实现下一步的路由数据库同步,所以broker需要对二者间发送的hello报文做相应修改。
以actor2为例说明broke对inspector hello报文的处理流程:
c)丢弃actor2发送的所有hello报文;
d)和worker类似,检查邻居R1发送的hello报文中是否有邻居TLV字段,如果有,进一步检查其中是否包含统一的mac地址(ca:02:2f:b0:00:38),如果有说明R1已经收到worker发送的hello报文,则需修改R1 hello报文邻居TLV字段中的统一mac地址(ca:02:2f:b0:00:38)为actor2的实际mac地址后,再转发給actor2;否则不做任何修改转发給actor2。
步骤b实际上是和worker的步骤b同时进行的,因为所有ISIS报文的目的mac地址都是固定的广播地址,所以不用修改目的mac就可以把邻居R1发送给worker的hello报文转发给任意actor。
这样可使inspector也认为自己和R1建立起了邻接关系,但在R1看来,邻居只有一个。因为只有在邻居收到worker发送的hello报文后,才会发送包含邻居TLV字段的hello报文,所以inspector只有在worker正常启动后,才能和R1建立邻接关系,不可能比worker更早。新的inspector启动后,按这种方法也可以迅速与R1建立起邻接关系。
链路状态数据库同步阶段:
经过上个阶段,可保证邻居R1当选为DIS,当各个actor和R1的邻接关系建立起来以后,会进行二者之间的链路状态数据库同步。
对于worker和邻居R1的链路状态数据库同步过程,broker基本上不需要干预,但同样需要修改worker发送的所有LSP报文和PSNP报文的源mac地址为统一的mac地址,如ca:02:2f:b0:00:38,再转发給邻居R1。
为了actor切换的需要,broker还需要记录下worker发送的最新的本机LSP的序列号和校验和,但此时只需要记录,不需要修改报文。
这样worker和邻居R1之间可以正常的实现链路状态数据库的同步。
broker对inspector和邻居R1的链路状态数据库同步过程需要相应做以下干预。
以actor2为例:
a)丢弃actor2发送的所有LSP报文;
b)记录actor2发送的最新的本机LSP的序列号和校验和;
c)将actor2发送的所有PSNP报文转发给邻居R1,当然同样需要修改PSNP报文的源mac地址为统一的mac地址,如ca:02:2f:b0:00:38,这样可使R1发送actor2缺少的外部LSP;
d)正常将邻居R1发送的所有LSP转发给actor2,不需做任何修改;
e)修改邻居R1周期性发送的CSNP报文,检查其中是否包含有worker的本机LSP,因为worker和actor2的NET一样,所以需要将CSNP报文中worker本机LSP的序列号和校验和修改成之前记录的actor2发送的最新的本机LSP的序列号和校验和,再转发给actor2。如果当前没有actor2的本机LSP记录也无所谓,这样actor2会认为CSNP报文中呈现本机的LSP有误,会主动发送本机的LSP,此时则可记录。
经过上述过程,actor2可以从R1得到所有的外部LSP,同时会认为R1已经收到本机的LSP,通过检测修改后的CSNP报文认为自己已经和DIS R1实现了数据库同步。
会话维持阶段:
经过前两个阶段以后,broker只需要持续对所有actor和邻居R1的间的ISIS报文进行同样的干预,即可保持邻接关系的持续性维护和LSP数据库的更新同步。这样只要各个actor的本地路由一致,即可保证各个actor的路由表一致。而各个actor的本地路由一致是通过将和同一broker相连的接口配置相同的IP地址来保证实现的。
需要指出的是,上述例子中虽然只包含3个路由等价体,只是为了描述方便,在原理和实现上本装置并不限制等价体的数量。
在系统运行过程中,broker还要持续负责检测所有actor的ISIS协议通讯状态,当有actor发生通讯异常时,及时通知冗余控制器,进行等价体的切换。
broker为每一个actor都设置一个状态机,每个actor有3个状态,分别如下:
a)up:正常态,表示该actor在正常运作,此时broker应该正常处理该actor。
b)down:关闭态,表示该actor已停止响应,broker不再向它转发邻居的ISIS报文,并及时将错误信息发送冗余控制器。
c)error:错误态,表示该actor处于某种协议故障中,应及时将错误信息发送冗余控制器。
broker主要通过如下方法检测actor的ISIS协议通讯状态:
a)超时检测:通过检测actor hello报文的Holding Time字段来确定各个actor的保活时限。可以把保活时限设置为Holding Time的1/2。如果在保活时限内没有从该actor收到Hello消息,则认为该actor发生故障,可将actor设为error状态。如果Holding Time到时仍然无法收到Hello消息,则可将actor设为down状态,不再向它转发外部的IS-IS报文。在重新收到hello消息后,可将actor重新设为up状态。
b)不超时检测:主要是对actor发送的IS-IS协议报文进行合法性检测,一旦发现某个actor发送的ISIS协议报文出现了不正常或不合规则的内容,应及时将actor设为error状态。如在正常收到外部hello报文的情况下,检测到某个actor的Hello包突然不再携带邻居TLV信息,则可判断actor的ISIS进程发生了重启或因为链路故障未收到外部的hello报文。此时broker应该把该actor设为error态,并及时将错误信息发送冗余控制器。
broker在切换actor的角色时,只需对新的worker按worker的模式处理,原来的worker按inspector的模式处理处理即可,无需做其他特别的操作。因为broker对外呈现统一的mac地址,所以在切换时,外部路由器R1和拟态路由器的邻接关系不会中断;但R1会收到新的worker发送的本机LSP,代替原来worker的本机LSP,但只要保证各个actor的本机路由一致,R1的路由表就不会变化。
冗余控制器,负责维护所有等价体的运行状态,完成worker和inspector的角色切换,切换包括正常的定期切换和异常处理切换两种,主要功能包括:
a)接收外部输入的控制信息,根据所述控制信息的指示,完成对所有等价体的配置,因为本装置不限制等价体的具体实现形式,所以本文中不对配置信息的格式和配置方法做具体限制,只需要能够保证等价体具备正常的IS-IS协议路由功能即可。
b)定期进行worker和inspector之间的角色切换,在选择新的worker时,可以根据不同的配置,采取灵活的切换策略,包括轮询切换或随机切换等,并通知协议代理器切换信息,使其变更干预策略。
c)通过SNMP等途径监视所有等价体的运行状态,如果worker发生异常状况,应及时进行worker和inspector之间的角色切换,并通知协议代理器切换信息;如果inspector发生异常,可暂不切换,但需要标记异常inspector,对该inspector进行异常处理,确保在该inspector恢复正常前,不会被选成worker。
d)接收协议代理器发送的协议异常信息,如果worker发生异常状况,应及时进行worker和inspector之间的角色切换,并反馈协议代理器切换信息;如果inspector发生异常,标记异常inspector,对该inspector进行异常处理,确保在该inspector恢复正常前,不会被选成worker。
e)接收输出代理器发送的路由异常信息,如果worker发生异常状况,应及时进行worker和inspector之间的角色切换,并反馈协议代理器切换信息;如果inspector发生异常,需要标记异常inspector,对该inspector进行异常处理,确保在该inspector恢复正常前,不会被选成worker。
冗余控制器的异常处理切换策略如下:
a2如果异常等价体为worker:将启动角色切换操作,将该等价体设置为inspector,并从剩余的正常等价体中优先挑选一个作为worker。如果再也没有正常的等价体可以提升为Worker,则本次切换失败,broker只有等待某个等价体恢复正常后再切换。
b2如果异常等价体为Inspector,如前所述,可以暂不处理,但需要标记异常inspector,在它恢复正常前都不可以把它切换为worker。
输出代理器,负责获取各等价体的路由输出,产生一致性的输出结果,主要功能包括:
a3获取各等价体的路由表进行比对,采用少数服从多数的原则取数量多者为信任路由。
b3当无法以少数服从多数进行判断时,采用随机或者基于策略的方法进行选择。
c3当发现所有等价体的路由表不完全一致时,向冗余控制器提示报警信息,通告少数异常等价体。
如图3所示,为本发明根据实施例提供的一种IS-IS路由协议异构功能等价体并行归一化装置的流程图,具体步骤如下:
步骤101:;协议代理器干预内部等价体和外部的IS-IS协议通讯过程;
步骤102:内部等价体在干预下与外部邻居正常建立邻居关系和同步链路状态数据库;
步骤103:冗余控制器定期或非定期控制内部等价体角色切换;
步骤104:协议代理器响应等价体切换信息变更干预策略;
步骤105:等价体切换过程对外部透明,外部无法识别worker的变更;
步骤106:输出代理器对所有等价体路由输出经过进行多模判决输出。
Claims (9)
1.一种IS-IS路由协议异构功能等价体并行归一化方法,其特征在于:包括以下步骤:
步骤一:协议代理器处理所有进出的IS-IS协议报文,并对各个异构功能等价体和外部设备的协议交互过程进行干预处理,以实现并行归一化的目标;其中,所述协议代理器对各个异构功能等价体和外部设备的协议交互过程进行干预处理包括:所述协议代理器生成多个对外通讯的逻辑接口,对每个逻辑接口都生成一个管理副本,称为broker,broker管理本接口和外部的协议通讯过程,其中,每个逻辑接口都和所有等价体的一个固定接口组对应,broker作为对应等价体接口组代理对外呈现一个固定的虚拟MAC地址;
步骤二:冗余控制器维护所有等价体的运行状态,完成worker和inspector的角色切换,并根据异常处理切换策略控制内部等价体角色切换;其中,worker指对外呈现的等价体,inspector指对外隐藏的等价体;
步骤三:输出代理器对所有等价体路由输出经过进行多模判决输出,产生一致性的输出结果。
2.根据权利要求1所述的IS-IS路由协议异构功能等价体并行归一化方法,其特征在于:所述步骤一中多个异构功能等价体和外部设备的协议交互过程进行干预处理包括以下内容:
对任一特定外部设备,维护所有功能等价体向其发送的IS-IS协议报文的源MAC地址为统一的MAC地址,以隐藏本装置内部结构;
对任一特定外部设备,干预其和worker的邻接关系建立过程,确保邻接关系正常建立;
对任一特定外部设备,干预其和其他inspector的邻接关系建立过程,使其无法意识到其他inspector的存在,但其他inspector可以单方面认为已经和外部设备建立了邻接关系;
对任一特定外部设备,干预其和worker的链路状态数据库同步过程,确保正常同步;
对任一特定外部设备,干预其和其他inspector的链路状态数据库同步过程,确保所有inspector都可以和它正常同步;
对任一特定外部设备,在其和各个等价体的会话维持阶段,继续使用前述的干预方式,以确保各个等价体的链路状态数据库随时保持一致。
3.根据权利要求1所述的IS-IS路由协议异构功能等价体并行归一化方法,其特征在于:所述步骤二中冗余控制器,负责维护所有等价体的运行状态,完成worker和inspector的角色切换包括以下内容:
a1、接收外部输入的控制信息,根据所述控制信息的指示,完成对所有等价体的配置;
b1、定期进行worker和inspector之间的角色切换,并通知协议代理器切换信息,使其变更干预策略;
c1、监视所有等价体的运行状态,如果等价体发生异常状况,应及时判断是否进行worker和inspector之间的角色切换,如果判断切换,则通知协议代理器切换信息;
d1、接收协议代理器发送的协议异常信息,及时判断是否进行worker和inspector之间的角色切换,如果判断切换,则通知协议代理器切换信息;
e1、接收输出代理器发送的路由异常信息,及时判断是否进行worker和inspector之间的角色切换,如果判断切换,则通知协议代理器切换信息。
4.根据权利要求1所述的IS-IS路由协议异构功能等价体并行归一化方法,其特征在于:所述步骤二中冗余控制器根据异常处理切换策略控制内部等价体角色切换包括以下内容:
a2、如果异常等价体为worker:将启动角色切换操作,将该等价体设置为inspector,并从剩余的正常等价体中优先挑选一个作为worker,如果再也没有正常的等价体可以提升为worker,则本次切换失败,broker只有等待某个等价体恢复正常后再切换;
b2、如果异常等价体为inspector,可以暂不处理,但需要标记异常inspector,在它恢复正常前避免把它切换为worker。
5.根据权利要求1所述的IS-IS路由协议异构功能等价体并行归一化方法,其特征在于:所述步骤三中输出代理器对所有等价体路由输出经过进行多模判决输出,产生一致性的输出结果包括以下内容:
a3、获取各等价体的路由表进行比对,采用少数服从多数的原则取数量多者为信任路由;b3、当无法以少数服从多数进行判断时,采用随机或者基于策略的方法进行选择;
c3、当发现所有等价体的路由表不完全一致时,向冗余控制器提示报警信息,通告少数异常等价体。
6.根据权利要求1所述的IS-IS路由协议异构功能等价体并行归一化方法,其特征在于:所述IS-IS路由协议异构功能等价体并行归一化的所有功能都集中在协议代理器上实现,系统内部约束都体现在对多个等价体和broker的配置上,主要包括:所有等价体都配置相同的NET地址和主机名;
所有等价体和broker相连的接口优先级都配置为0,以确保不被选为指定中间系统DIS;
所有等价体和同一broker相连的接口配置相同的IP地址;
broker作为接口组代表对外部呈现一个固定的虚拟MAC地址。
7.一种IS-IS路由协议异构功能等价体并行归一化装置,其特征在于:所述并行归一化装置包括:多个相同功能的运行IS-IS路由协议异构功能等价体、协议代理器、冗余控制器和输出代理器,其中,多个相同功能的运行IS-IS路由协议异构功能等价体经协议代理器对IS-IS报文进行接收和发送,多个相同功能的运行IS-IS路由协议异构功能等价体经过输出代理器对各个执行体计算出的路由结果作判决输出,冗余控制器分别与多个相同功能的运行IS-IS路由协议异构功能等价体、协议代理器和输出代理器相连;
其中,所述协议代理器负责生成多个对外通讯的逻辑接口,对每个逻辑接口都生成一个管理副本,称为broker,broker负责管理本接口和外部的协议通讯过程,其中,每个逻辑接口都和所有等价体的一个固定接口组对应,broker作为对应等价体接口组代理对外呈现一个固定的虚拟MAC地址;所述冗余控制器负责维护所有等价体的运行状态,完成worker和inspector的角色切换,其中,worker指对外呈现的等价体,inspector指对外隐藏的等价体。
8.根据权利要求7所述的IS-IS路由协议异构功能等价体并行归一化装置,其特征在于:所述IS-IS路由协议异构功能等价体,其具体形式是真实的物理设备或者是某种形式的虚拟设备,所有等价体并行运行,但是在某一个时刻只会有一个对外呈现,对等价体的角色进行划分:对外呈现的等价体为worker,其余隐藏的内部等价体为inspector,worker和inspector的角色并不是固定的,两者能够随时切换。
9.根据权利要求7所述的IS-IS路由协议异构功能等价体并行归一化装置,其特征在于: broker没有IP地址,是一个透明的逻辑实体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611007704.7A CN106656834B (zh) | 2016-11-16 | 2016-11-16 | Is-is路由协议异构功能等价体并行归一化装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611007704.7A CN106656834B (zh) | 2016-11-16 | 2016-11-16 | Is-is路由协议异构功能等价体并行归一化装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106656834A CN106656834A (zh) | 2017-05-10 |
| CN106656834B true CN106656834B (zh) | 2019-07-23 |
Family
ID=58807120
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611007704.7A Active CN106656834B (zh) | 2016-11-16 | 2016-11-16 | Is-is路由协议异构功能等价体并行归一化装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106656834B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108134740B (zh) * | 2017-12-08 | 2020-08-14 | 中国电子科技集团公司第三十研究所 | 一种基于物理异构冗余的加权裁决及随机调度方法 |
| CN108322431B (zh) * | 2017-12-14 | 2021-01-19 | 杭州电子科技大学 | 动态多模异构冗余的工控安全网关系统和入侵感知方法 |
| CN108366049B (zh) * | 2018-01-15 | 2020-08-18 | 中国人民解放军战略支援部队信息工程大学 | 一种异构功能等价执行体的实现方法 |
| CN108400968B (zh) * | 2018-01-16 | 2019-12-24 | 杭州电子科技大学 | 一种实现拟态防御模型分发器的方法 |
| CN110149309A (zh) * | 2019-04-04 | 2019-08-20 | 中国人民解放军战略支援部队信息工程大学 | 一种路由器威胁感知方法及系统 |
| CN110177084B (zh) * | 2019-04-04 | 2022-04-22 | 上海红阵信息科技有限公司 | 用于防御网络攻击的分布式存储系统元服务结构、构建方法及系统架构 |
| CN111970223B (zh) * | 2019-05-20 | 2022-06-21 | 南京红阵网络安全技术研究院有限公司 | 一种内生安全的单体wlan控制系统及方法 |
| CN110380961B (zh) * | 2019-07-05 | 2021-05-07 | 中国人民解放军战略支援部队信息工程大学 | 一种传统路由器拟态化改造的装置及方法 |
| CN110401601B (zh) * | 2019-08-20 | 2021-09-03 | 之江实验室 | 一种拟态路由协议系统和方法 |
| CN110581852A (zh) * | 2019-09-11 | 2019-12-17 | 河南信大网御科技有限公司 | 一种高效型拟态防御系统及方法 |
| CN111124397B (zh) * | 2019-12-10 | 2023-03-14 | 西安智周深鉴信息科技集团有限公司 | 控制逻辑的复用方法、装置、计算机设备和存储介质 |
| CN111641625B (zh) * | 2020-05-25 | 2022-03-25 | 河南信大网御科技有限公司 | 异构功能等价执行体归一化装置、方法、架构及存储介质 |
| CN111431944A (zh) * | 2020-06-10 | 2020-07-17 | 之江实验室 | 一种拟态裁决系统及其配置和恢复方法 |
| CN111866030B (zh) * | 2020-09-21 | 2021-01-05 | 之江实验室 | 一种拟态边缘网关的工业协议识别装置及方法 |
| CN114793248B (zh) * | 2022-03-02 | 2024-02-23 | 上海图灵智算量子科技有限公司 | 基于拟态的加密通讯方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104518893A (zh) * | 2013-09-29 | 2015-04-15 | 中国电信股份有限公司 | 大型ip网络igp拓扑中关键节点链路定位方法和装置 |
| CN105049419A (zh) * | 2015-06-19 | 2015-11-11 | 中国人民解放军信息工程大学 | 基于异构多样性的拟态网络逐级交换路由系统 |
| CN105553975A (zh) * | 2015-12-14 | 2016-05-04 | 上海红神信息技术有限公司 | 一种用于提供网络服务的方法、装置和系统 |
| CN105791279A (zh) * | 2016-02-29 | 2016-07-20 | 中国人民解放军信息工程大学 | 一种拟态化sdn控制器构建方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7155632B2 (en) * | 2002-06-27 | 2006-12-26 | Nokia, Inc. | Method and system for implementing IS-IS protocol redundancy |
| US8971310B2 (en) * | 2006-07-31 | 2015-03-03 | Google Technology Holdings LLC | Apparatus and method for end-to-end adaptive frame packing and redundancy in a heterogeneous network environment |
-
2016
- 2016-11-16 CN CN201611007704.7A patent/CN106656834B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104518893A (zh) * | 2013-09-29 | 2015-04-15 | 中国电信股份有限公司 | 大型ip网络igp拓扑中关键节点链路定位方法和装置 |
| CN105049419A (zh) * | 2015-06-19 | 2015-11-11 | 中国人民解放军信息工程大学 | 基于异构多样性的拟态网络逐级交换路由系统 |
| CN105553975A (zh) * | 2015-12-14 | 2016-05-04 | 上海红神信息技术有限公司 | 一种用于提供网络服务的方法、装置和系统 |
| CN105791279A (zh) * | 2016-02-29 | 2016-07-20 | 中国人民解放军信息工程大学 | 一种拟态化sdn控制器构建方法 |
Non-Patent Citations (2)
| Title |
|---|
| Virtually eliminating router bugs;Keller E, Yu M, Caesar M, et al;《Proceedings of the 5th international conference on Emerging networking experiments and technologies》;20091231;全文 |
| 网络空间拟态防御研究;邬江兴;《信息安全学报》;20161015;第1卷(第4期);第2.2节,第3节 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106656834A (zh) | 2017-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106656834B (zh) | Is-is路由协议异构功能等价体并行归一化装置及方法 | |
| KR101046028B1 (ko) | 보증된 분산 장애 통지를 제공하기 위한 방법 | |
| JP5074327B2 (ja) | 経路制御システム | |
| JP6287518B2 (ja) | オープンフロースイッチおよびオープンフローネットワークの障害復旧方法 | |
| CN107360135B (zh) | 拟态化网络操作系统、构建装置及方法 | |
| CN100568854C (zh) | 一种保持邻居关系的方法和接口板 | |
| CN101395853A (zh) | 有效地动态维护一束链路上的双向转发检测的技术 | |
| CN102904818A (zh) | 一种arp信息表项更新方法及装置 | |
| WO2011157151A2 (zh) | 实现容灾备份的方法、设备及系统 | |
| CN103354521B (zh) | 一种基于ldp的lsp更新的优化方法和装置 | |
| CN102752172A (zh) | 用于ap在热备ac间切换的控制方法和控制装置 | |
| CN103200109A (zh) | 一种ospf邻居关系管理方法和设备 | |
| JP2014064252A (ja) | ネットワークシステム、伝送装置、及び障害情報通知方法 | |
| CN103490951A (zh) | 基于bfd的多跳链路中双向转发检测方法 | |
| CN109873719A (zh) | 一种故障检测方法及装置 | |
| CN102571488A (zh) | 一种加密卡故障处理方法、装置与系统 | |
| CN107241208A (zh) | 一种报文转发方法、第一交换机及相关系统 | |
| JP2017520993A (ja) | コンピュータシステム間でデータを転送する方法、コンピュータネットワークインフラストラクチャ、及びコンピュータプログラム製品 | |
| CN106487696B (zh) | 链路故障检测方法及装置 | |
| WO2014048126A1 (zh) | 业务流量保护方法和装置 | |
| JPWO2020003386A1 (ja) | ブロックチェーンシステム、ブロックチェーン管理装置、ネットワーク制御装置、方法及びプログラム | |
| JP2008199081A (ja) | ファイアウォール装置およびファイアウォールシステム | |
| JP5518771B2 (ja) | 冗長ネットワークシステム、終端装置及び中継点隣接装置 | |
| JP6490167B2 (ja) | 通信装置、通信方法、コンピュータプログラムおよび通信システム | |
| JP5304359B2 (ja) | 通信制御装置、データ同期方法およびデータ同期用プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |