CN106685823B - 一种流量清洗方法及装置 - Google Patents
一种流量清洗方法及装置 Download PDFInfo
- Publication number
- CN106685823B CN106685823B CN201611169372.2A CN201611169372A CN106685823B CN 106685823 B CN106685823 B CN 106685823B CN 201611169372 A CN201611169372 A CN 201611169372A CN 106685823 B CN106685823 B CN 106685823B
- Authority
- CN
- China
- Prior art keywords
- flow
- routing device
- cleaning
- drawn
- label
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本申请提供一种流量清洗方法及装置,本申请通过将地市出口路由设备纳入流量清洗系统、并在省出口路由设备上将流量进行分层转发的方式,实现了在不使用省出口路由设备策略路由、以及不建立省出口路由设备与骨干网路由设备间隧道条件下流量的正常回注。相比于现有技术而言,不仅节约了省出口路由设备的处理器资源,而且为骨干网路由设备节省了存储空间,保证了该路由设备的较优的转发性能。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种流量清洗方法及装置。
背景技术
DOS(Denial of Service,拒绝服务)是一种利用各种服务请求耗尽被攻击目标的系统资源,从而使被攻击目标无法为合法用户提供正常服务的攻击类型。由于此类攻击方法简单而难以防范,在此基础上形成的DDOS(Distributed Denial of Service,分布式拒绝服务)攻击日益成为威胁互联网环境安全的重要因素之一。针对此类攻击将攻击流量混合在正常流量中导致攻击流量难以分辨的特点,流量清洗技术通过将网络中的可疑流量牵引至流量清洗设备的方式,可以实现对该流量的深度识别,并在对识别出的有攻击特征的流量执行限速、过滤等清洗操作之后,将其余的正常流量回注至正常的转发路径,从而杜绝此类攻击的发生。
目前,流量清洗技术可分为近源清洗和近目的清洗两种类型。其中,对于近源清洗,现有技术提供了一种如图1所示的部署方案,该方案中,流量清洗设备旁挂于骨干网以下一级、靠近攻击源的A省出口路由器上,通过与A省出口路由器预先建立BGP(BorderGateway Protocol,边界网关协议)邻居关系,流量清洗设备可以在攻击发生时,通过BGP向该路由器发布牵引路由信息,以将攻击流量牵引至本地进行清洗;在流量清洗完成后,则可以按照预先配置在A省出口路由器与本地互联接口上的策略路由,将流量回注至正常的转发路径。然而,鉴于策略路由优先级较高而匹配复杂、可能占用路由设备较多处理器资源的特点,部分运营商已经禁止在省出口路由设备上配置策略路由,同时,为节约骨干网中路由设备的存储空间,最优化该路由设备的转发性能,部分网络运营商也不允许在省出口路由设备与骨干网路由设备之间建立隧道,由此,目前的清洗系统部署方案已无法保证流量的正常回注。
发明内容
有鉴于此,本申请提供一种流量清洗方法及装置,以解决现有清洗系统部署方案,无法在不使用省出口路由设备策略路由、以及不建立省出口路由设备与骨干网路由设备间隧道的条件下实现流量正常回注的问题。
根据本申请实施例的第一方面,提供一种流量清洗方法,所述方法应用于流量清洗系统,其特征在于,所述流量清洗系统包含:流量清洗设备、省出口路由设备、以及与所述省出口路由设备直连的地市出口路由设备,所述地市出口路由设备与所述省出口路由设备之间预先建立标签分发协议LDP邻居关系,所述省出口路由设备与所述流量清洗设备之间预先建立LDP邻居关系,所述流量清洗设备与所述地市出口路由设备之间预先建立边界网关协议BGP邻居关系,所述方法包括:
流量清洗设备在确定需要进行流量牵引后,通过BGP向地市出口路由设备发布流量牵引信息,所述流量牵引信息包含待牵引流量的原目的地址,所述待牵引流量包含攻击流量和正常流量;
地市出口路由设备根据所述原目的地址,在流经本地的流量中确定出待牵引流量;将所述待牵引流量利用多协议标签交换MPLS标签转发至省出口路由设备,所述MPLS标签已根据LDP预先配置;
省出口路由设备根据接收到的流量所包含的MPLS标签、以及该标签对应的标签转发表项,将该流量转发至流量清洗设备,以使流量清洗设备在对该流量进行清洗后,将清洗后得到的正常流量回注至省出口路由设备;省出口路由设备根据接收到的正常流量所包含的原目的地址、以及该地址所对应的普通路由表项,将该正常流量回注至该流量的原转发路径;其中,所述标签转发表项与普通路由表项已预先建立。
根据本申请实施例的第二方面,提供一种流量清洗装置,所述装置应用于流量清洗系统,其特征在于,所述流量清洗系统包含:流量清洗设备、省出口路由设备、以及与所述省出口路由设备直连的地市出口路由设备,所述地市出口路由设备与所述省出口路由设备之间预先建立标签分发协议LDP邻居关系,所述省出口路由设备与所述流量清洗设备之间预先建立LDP邻居关系,所述流量清洗设备与所述地市出口路由设备之间预先建立边界网关协议BGP邻居关系,所述装置包括:
牵引信息发布单元,所述单元应用于所述流量清洗系统中的流量清洗设备,用于在确定需要进行流量牵引后,通过BGP向地市出口路由设备发布流量牵引信息,所述流量牵引信息包含待牵引流量的原目的地址,所述待牵引流量包含攻击流量和正常流量;
牵引流量确定单元,所述单元应用于所述流量清洗系统中的地市出口路由设备,用于根据所述原目的地址,在流经本地的流量中确定出待牵引流量;
地市牵引流量转发单元,所述单元应用于所述流量清洗系统中的地市出口路由设备,用于将所述待牵引流量利用多协议标签交换MPLS标签转发至省出口路由设备,所述MPLS标签已根据LDP预先配置;
省牵引流量转发单元,所述单元应用于所述流量清洗系统中的省出口路由设备,用于根据接收到的流量所包含的MPLS标签、以及该标签对应的标签转发表项,将该流量转发至流量清洗设备,所述标签转发表项已预先建立;
流量清洗单元,所述单元应用于所述流量清洗系统中的流量清洗设备,用于对接收到的流量进行清洗;
清洗设备正常流量回注单元,所述单元应用于所述流量清洗系统中的流量清洗设备,用于在对接收到的流量进行清洗后,将清洗后得到的正常流量回注至省出口路由设备;
省正常流量回注单元,所述单元应用于所述流量清洗系统中的省出口路由设备,用于根据接收到的正常流量所包含的原目的地址、以及该地址所对应的普通路由表项,将该正常流量回注至该流量的原转发路径,所述普通路由表项已预先建立。
本申请通过将地市出口路由设备纳入流量清洗系统、并在省出口路由设备上将流量进行分层转发的方式,实现了在不使用省出口路由设备策略路由、以及不建立省出口路由设备与骨干网路由设备间隧道条件下流量的正常回注。相比于现有技术而言,不仅节约了省出口路由设备的处理器资源,而且为骨干网路由设备节省了存储空间,保证了该路由设备的较优的转发性能。
附图说明
图1是现有技术中的流量清洗方案部署图;
图2是本申请一种流量清洗方法流程图;
图3是本申请一种流量清洗方法的一个实施例方案部署图;
图4是本申请一种流量清洗装置的结构图;
图5是本申请一种流量清洗装置的另一结构图;
图6是本申请一种流量清洗装置的另一结构图;
图7是本申请一种流量清洗装置的另一结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
参见图1,图1是现有技术中的流量清洗方案部署图。在本方案的一种实现方式中,流量清洗系统由流量清洗设备和A省出口路由器组成。其中,流量清洗设备会预先与A省出口路由器建立BGP邻居关系,以在确定需要进行流量牵引时,利用BGP更新消息向A省出口路由器发布牵引路由信息,通过在A省出口路由器上生成牵引路由表项的方式,将待牵引的流量从A省出口路由器牵引至本地进行清洗;而在流量回注过程中,为使得清洗后得到的正常流量不再命中牵引路由表项而形成环路,可通过在A省出口路由器与流量清洗设备互联的接口上预先配置策略路由的方式,将从该接口进入的正常流量转发至骨干网,从而实现流量的正常回注。但是,由于策略路由优先级较高而匹配复杂,在匹配过程中可能会占用路由设备较多的处理器资源,所以部分运营商已经禁止在省出口路由设备上配置策略路由,导致该实现方式无法保证流量的正常回注。
在现有技术方案的另一种实现方式中,流量清洗系统则进一步包含了骨干网中与A省出口路由器直连的一台路由器。与第一种实现方式相比,本实现方案在流量牵引过程中并无不同,而在流量回注过程中同样为了避免环路,该实现方式通过在流量清洗设备与A省出口路由器、以及A省出口路由器与骨干网路由器之间分别建立隧道的方式,实现了在回注过程中流量的标签层转发。其中隧道可以为MPLS(Multi-Protocol Label Switching,多协议标签转发)隧道、GRE(Generic Routing Encapsulation,通用路由封装)隧道等。然而由于标签层转发的实现需要在路由设备上配置标签转发表项,占用路由设备的存储空间,所以为了节约骨干网中路由设备的存储空间,最优化该路由设备的转发性能,部分网络运营商也不允许在省出口路由设备与骨干网路由设备之间建立隧道,导致该实现方式也无法保证流量的正常回注。
针对这一问题,本申请提供的流量清洗方法,通过以流量清洗设备、省出口路由设备、以及与省出口路由设备直连的地市出口路由设备为成员,构建了一套新型的流量清洗系统,实现了在不使用省出口路由设备策略路由、以及不建立省出口路由设备与骨干网路由设备间隧道条件下流量的正常回注。相比于现有技术而言,不仅节约了省出口路由设备的处理器资源,而且为骨干网路由设备节省了存储空间,保证了该路由设备的较优的转发性能。
为了使本技术领域的人员更好地理解本申请实施例中的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
参见图2,图2是本申请一种流量清洗方法流程图,该流程图可以包括以下步骤:
步骤201:流量清洗设备在确定需要进行流量牵引后,通过BGP向地市出口路由设备发布流量牵引信息,流量牵引信息包含待牵引流量的原目的地址,待牵引流量包含攻击流量和正常流量。
本实施例中,流量清洗设备会在流量监测装置发出攻击预警信息后,确定需要进行流量牵引。本领域技术人员可以理解的是,流量监测装置可以通过镜像、分光、Net Flow流日志等方式对流量进行实时监测,并及时将攻击产生的预警信息传达给流量清洗设备。该流量监测装置可以独立于流量清洗设备,也可以作为一个内部模块,集成于流量清洗设备之中。
本实施例中,流量清洗设备会与地市出口路由设备之间预先建立BGP邻居关系,以在确定需要进行流量牵引时,利用BGP更新消息向地市出口路由设备发布牵引路由信息,以使地市出口路由设备根据所述原目的地址,在流经本地的流量中确定出待牵引流量。其中,地市出口路由设备与流量清洗设备之间路由可达,地市出口路由设备是本实施例中实施流量牵引操作的主体设备之一,流量牵引操作将会在以下步骤中进行具体说明,在此不再赘述。
本实施例中,流量牵引信息所包含的待牵引流量的原目的地址,可以为该流量原本所要到达的目标设备IP(Internet Protocol,网络之间互联的协议)地址、以及MAC(Media Access Control,媒体访问控制)地址等。
步骤202:地市出口路由设备根据所述原目的地址,在流经本地的流量中确定出待牵引流量;将所述待牵引流量利用多协议标签交换MPLS标签转发至省出口路由设备,所述MPLS标签已根据LDP预先配置;
本实施例中,地市出口路由设备会根据原目的地址,在本地查找该地址所对应的标签转发表项,并为该待牵引的流量封装该标签转发表项中记录的下一跳设备MPLS标签,以将该流量转发至下一跳设备。本实施例中,该下一跳设备即为省出口路由设备,省出口路由设备不仅为实施流量牵引操作的主体设备之一,也为实施流量回注操作的核心设备,以下步骤将会对该设备所执行的操作进行详细说明,在此不再赘述。
本实施例中,地市出口路由设备会预先与省出口路由设备建立LDP(LabelDistribution Protocol,标签分发协议)邻居关系。本领域技术人员可以理解的是,LDP是MPLS网络中的一种控制协议,负责FEC(Forwarding Equivalence Class,等价转发类)的分类、标签的分配以及标签转发路径的建立及维护。其中,由于本实施例中待牵引流量的原目的地址相同,故可以属于同一个FEC,在进行标签封装时,可以使用相同的标签将待牵引的流量转发至下一跳路由设备。本领域技术人员可以理解的是,MPLS作为一种分类转发技术,将具有相同转发处理的方式的流量归为一类,称为等价转发类FEC。FEC的划归方式相对灵活,可以为源地址、目的地址、源端口、目的端口、协议类型以及VPN(Virtual PrivateNetwork,虚拟专用网络)等。而标签路径的建立就是为FEC分配标签、并将分配结果通告给相邻的LSR(Label Switching Routing,标签交换路由器),以便在LSR上建立标签转发表的过程,当流量传输路径上的所有LSR都为该FEC建立了对应的标签转发表项时,就成功的建立了用于转发属于该FEC流量的标签转发路径,也称为一条隧道。其中,该标签转发路径上的所有路由设备都可以叫做一个LSR。需要指出的是,以上为待牵引流量进行标签分配、为该流量建立标签转发路径的过程均在攻击产生之前预先完成。
步骤203:省出口路由设备根据接收到的流量所包含的MPLS标签、以及该标签对应的标签转发表项,将该流量转发至流量清洗设备,以使流量清洗设备在对该流量进行清洗后,将清洗后得到的正常流量回注至省出口路由设备;省出口路由设备根据接收到的正常流量所包含的原目的地址、以及该地址所对应的普通路由表项,将该正常流量回注至该流量的原转发路径;其中,所述标签转发表项与普通路由表项已预先建立。
本实施例中,省出口路由设备会根据接收到的流量所包含的MPLS标签,在本地查找到该标签对应的标签转发表项。本领域技术人员可以理解的是,由于省出口路由设备是上述标签转发路径中的倒数第二跳,故可以在查到下一跳标签时,为接收到的流量拆除标签,并转发至下一跳。具体的,所查到的标签转发表项记录的下一跳标签可以为3,此时,倒数第二跳路由设备会根据查找到的标签3确定自己为倒数第二跳路由设备,并自动为接收到的流量拆除标签,将流量转发至下一跳路由设备。本实施例中,LDP为流量清洗设备分配的标签即为3。
通过以上方法可以看出,本申请通过将地市出口路由设备纳入流量清洗系统、并在省出口路由设备上将流量进行分层转发的方式,实现了在不使用省出口路由设备策略路由、以及不建立省出口路由设备与骨干网路由设备间隧道条件下流量的正常回注。相比于现有技术而言,不仅节约了省出口路由设备的处理器资源,而且为骨干网路由设备节省了存储空间,保证了该路由设备的较优的转发性能。
参见图3,图3是本申请一种流量清洗方法的一个实施例方案部署图。本实施例提供一新型流量清洗系统,该流量清洗系统包含:流量清洗设备、省出口路由设备、以及与所述省出口路由设备直连的地市出口路由设备。其中,地市出口路由设备与省出口路由设备之间预先建立LDP邻居关系(该LDP邻居关系由运营商自主建立),省出口路由设备与流量清洗设备之间预先建立LDP邻居关系,流量清洗设备与地市出口路由设备之间预先建立BGP邻居关系。
步骤301:流量清洗设备根据流量监测装置发出的攻击预警信息,确定需要进行流量牵引。
本实施例中,关于流量监测装置的相关内容已在步骤201中详细说明,在此不再赘述。
步骤302:流量清洗设备向地市出口路由设备发布包含待牵引流量原目的地址的流量牵引信息。
步骤303:地市出口路由设备根据待牵引流量的原目的地址,在流经本地的流量中确定出待牵引流量。
本实施例中,待牵引流量包含攻击流量和正常流量;流量牵引信息的发布形式已在步骤201中详细说明,在此不再赘述。
需要指出的是,“待牵引流量”是指尚未进行牵引的流量。具体的,由于地市出口路由设备是对待牵引流量进行流量牵引的首个路由设备,则当地市出口路由设备对待牵引流量执行“转发”动作之后,则可以认为该待牵引流量已经进入了被牵引状态,为便于区分,我们可以将进入了被牵引状态的待牵引流量定义为牵引流量。进一步地,待牵引流量的“被牵引状态”将在流量清洗设备对该流量执行“接收”动作后结束。
步骤304:地市出口路由设备根据待牵引流量的原目的地址,在本地查找该原目的地址所对应的标签转发表项。
本领域技术人员可以理解的是,标签转发路由器LSR可以根据LDP将网络层的路由表项映射为数据链路层的标签转发表项。本实施例中,地市出口路由设备在本地查找到的标签转发表项可以包括:目的网段Destination和出标签Out Label。目的网段即为上述待牵引流量的原目的地址所在的网段,出标签即为省出口路由设备对应的标签。假设待牵引流量的原目的地址为1.1.1.2,则该地址所在网段可以为1.1.1.0;同样假设省出口路由设备对应的标签为50,则地市出口路由设备在本地查找到的标签转发表项可以表示为如下表1的形式:
| In Label | Destination | Out Label |
| ─ | 1.1.1.0 | 50 |
表1
需要指出的是,地市出口路由设备可以选择是否要将流经本地的流量通过MPLS标签进行转发,一般情况下,在没有攻击发生时,地市出口路由设备会将流经本地的流量按照普通路由进行转发;而在攻击发生时,则进行MPLS标签转发。具体的,上述标签转发表项可以根据需要拆分成一NHLFE(Next Hop Label Forwarding Entry,下一跳标签转发表项)表项和一FIN(FEC to NHLFE Map,FEC到NHLFE的映射)表项。其中,NHLFE表项用于利用记录的出标签指导流量的下一跳转发;FIN表项用于在LSR接收到不带标签的报文后,根据该表项中记录的Token值判断是否需要进行标签转发。以本实施例为例,当接收到流量清洗设备发送的流量牵引信息时,地市出口路由设备会将FIN表项中的Token值记为一有效值,比如1,即地市出口路由设备可以根据该有效值找到一同样记录有该有效Token值的NHLFE表项,并根据NHLFE表项中记录的出标签封装待牵引的流量,对该流量进行MPLS标签转发。当地市出口路由设备没有接收到流量清洗设备发送的流量牵引信息时,上述FIN表项中记录的Token值将会是一个无效值Invalid,即地市出口路由设备无法根据该Token值查找到一对应的NHLFE表项,此时市出口路由设备会将该流量按照普通路由进行转发。作为一个示例,上述HLFE表项和FIN表项可以表示为如下表2和表3所示的形式:
| Operation | Next Hop | Out Label | Token值 |
| Push | ─ | 50 | 1 |
表2
| Destination | Token值 |
| 1.1.1.0 | 1/Invalid |
表3
步骤305:地市出口路由设备为待牵引的流量封装标签转发表项中记录的MPLS标签,并根据该MPLS标签将待牵引的流量转发至省出口路由设备。
本实施例中,地市出口路由设备为待牵引的流量封装的MPLS标签即为标签转发表项中记录的出标签50。
步骤306:省出口路由设备根据接收到的牵引流量所包含的MPLS标签,在本地查找该标签对应的标签转发表项。
本实施例中,该标签转发表项可以包括:入标签In Label、目的网段Destination和出标签Out Label。其中,该入标签即为接收到的牵引流量中已经封装的MPLS标签50;且根据步骤304和步骤203可知,该标签转发表项中的Destination可以为1.1.1.0,Out Label可以为3,则省出口路由设备在本地查找到的标签转发表项可以表示为如下表4的形式:
| In Label | Destination | Out Label |
| 50 | 1.1.1.0 | 3 |
表4
步骤307:省出口路由设备根据查找到的标签转发表项,为接收到的牵引流量拆除标签,并将该牵引流量转发至流量清洗设备。
步骤308:流量清洗设备对接收到的流量进行清洗,并将清洗后得到的正常流量回注至省出口路由设备。
本实施例中,流量清洗设备对接收到的流量进行清洗的具体策略可以为:对该流量中具有攻击特征的流量执行限速、过滤等操作。由于该具体的清洗策略并不在本申请要求保护的范围之内,故不详述。
步骤309:省出口路由设备根据接收到的正常流量所包含的原目的地址、以及该地址所对应的普通路由表项,将该正常流量回注至该流量的原转发路径。
本实施例中,由于该接收到的正常流量不包含MPLS标签,故省出口路由设备会根据该接收到的正常流量所包含的原目的地址,在本地查找该原目的地址对应的普通路由表项,并根据该普通路由表项将接收到的正常流量回注至该流量的原转发路径。
由以上实施例可以看出,本申请通过将地市出口路由设备纳入流量清洗系统、并在省出口路由设备上将流量进行分层转发的方式,实现了在不使用省出口路由设备策略路由、以及不建立省出口路由设备与骨干网路由设备间隧道条件下流量的正常回注。相比于现有技术而言,不仅节约了省出口路由设备的处理器资源,而且为骨干网路由设备节省了存储空间,保证了该路由设备的较优的转发性能。
与前述一种控制服务器关机的方法的实施例相对应,本申请还提供了一种控制服务器关机的装置的实施例。
本申请一种控制服务器关机的装置的实施例可以应用在负载均衡设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在负载均衡设备上的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。
参见图4,图4是本申请一种流量清洗装置的结构图,该装置应用于流量清洗系统,该流量清洗系统包含:流量清洗设备、省出口路由设备、以及与上述省出口路由设备直连的地市出口路由设备,其中,上述地市出口路由设备与上述省出口路由设备之间预先建立标签分发协议LDP邻居关系,上述省出口路由设备与上述流量清洗设备之间预先建立LDP邻居关系,上述流量清洗设备与上述地市出口路由设备之间预先建立边界网关协议BGP邻居关系,则上述装置可以包括:牵引信息发布单元410、牵引流量确定单元420、地市牵引流量转发单元430、省牵引流量转发单元440、流量清洗单元450、清洗设备正常流量回注单元460、省正常流量回注单元470。
其中,牵引信息发布单元410,应用于上述流量清洗系统中的流量清洗设备,用于在确定需要进行流量牵引后,通过BGP向地市出口路由设备发布流量牵引信息,上述流量牵引信息包含待牵引流量的原目的地址,上述待牵引流量包含攻击流量和正常流量;
牵引流量确定单元420,应用于上述流量清洗系统中的地市出口路由设备,用于根据上述原目的地址,在流经本地的流量中确定出待牵引流量;
地市牵引流量转发单元430,应用于上述流量清洗系统中的地市出口路由设备,用于将上述待牵引流量利用多协议标签交换MPLS标签转发至省出口路由设备,上述MPLS标签已根据LDP预先配置;
省牵引流量转发单元440,应用于上述流量清洗系统中的省出口路由设备,用于根据接收到的流量所包含的MPLS标签、以及该标签对应的标签转发表项,将该流量转发至流量清洗设备,上述标签转发表项已预先建立;
流量清洗单元450,应用于上述流量清洗系统中的流量清洗设备,用于对接收到的流量进行清洗;
清洗设备正常流量回注单元460,应用于上述流量清洗系统中的流量清洗设备,用于在对接收到的流量进行清洗后,将清洗后得到的正常流量回注至省出口路由设备;
省正常流量回注单元470,应用于上述流量清洗系统中的省出口路由设备,用于根据接收到的正常流量所包含的原目的地址、以及该地址所对应的普通路由表项,将该正常流量回注至该流量的原转发路径,上述普通路由表项已预先建立。
参见图5,图5是本申请一种流量清洗装置的另一结构图,该装置应用于上述流量清洗系统中的流量清洗设备,该装置可以包括:牵引信息发布单元510、流量清洗单元520、清洗设备正常流量回注单元530。
其中,牵引信息发布单元510,用于确定需要进行流量牵引后,通过BGP向地市出口路由设备发布流量牵引信息,以使地市出口路由设备根据上述流量牵引信息,将待牵引流量转发至流量清洗设备,上述待牵引流量包含攻击流量和正常流量;
流量清洗单元520,用于对接收到的流量进行清洗;
清洗设备正常流量回注单元530,用于将清洗后得到的正常流量回注至该流量的原转发路径。
参见图6,图6是本申请一种流量清洗装置的另一结构图,该装置应用于上述流量清洗系统中的地市出口路由设备,该装置可以包括:牵引信息接收单元610、牵引流量确定单元620、地市牵引流量转发单元630。
其中,牵引信息接收单元610,用于接收流量清洗设备发布的流量牵引信息;
牵引流量确定单元620,用于根据流量牵引信息中包含的待牵引流量的原目的地址,在流经本地的流量中确定出待牵引流量,上述待牵引流量包含攻击流量和正常流量;
地市牵引流量转发单元630,用于将上述待牵引流量利用MPLS标签转发至流量清洗设备,以使流量清洗设备在对该流量进行清洗后,将清洗后得到的正常流量回注至该流量的原转发路径,上述MPLS标签已根据LDP预先配置。
参见图7,图7是本申请一种流量清洗装置的另一结构图,该装置应用于上述流量清洗系统中的省出口路由设备,该装置可以包括:牵引流量接收单元710、省牵引流量转发单元720、省正常流量回注单元730。
其中,牵引流量接收单元710,用于接收地市出口路由设备利用MPLS标签转发至本地的牵引流量;
省牵引流量转发单元720,用于根据接收到的牵引流量所包含的MPLS标签、以及该标签对应的标签转发表项,将该牵引流量转发至流量清洗设备,以使流量清洗设备在对该牵引流量进行清洗后,将清洗后得到的正常流量回注至省出口路由设备;
省正常流量回注单元730,用于根据接收到的正常流量所包含的原目的地址、以及该地址所对应的普通路由表项,将该正常流量回注至该流量的原转发路径。
通过以上装置实施例可以看出,本申请通过将地市出口路由设备纳入流量清洗系统、并在省出口路由设备上将流量进行分层转发的方式,实现了在不使用省出口路由设备策略路由、以及不建立省出口路由设备与骨干网路由设备间隧道条件下流量的正常回注。相比于现有技术而言,不仅节约了省出口路由设备的处理器资源,而且为骨干网路由设备节省了存储空间,保证了该路由设备的较优的转发性能。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种流量清洗方法,所述方法应用于流量清洗系统,其特征在于,所述流量清洗系统包含:流量清洗设备、省出口路由设备、以及与所述省出口路由设备直连的地市出口路由设备,所述地市出口路由设备与所述省出口路由设备之间预先建立标签分发协议LDP邻居关系,所述省出口路由设备与所述流量清洗设备之间预先建立LDP邻居关系,所述流量清洗设备与所述地市出口路由设备之间预先建立边界网关协议BGP邻居关系,所述方法包括:
流量清洗设备在确定需要进行流量牵引后,通过BGP向地市出口路由设备发布流量牵引信息,所述流量牵引信息包含待牵引流量的原目的地址,所述待牵引流量包含攻击流量和正常流量;
地市出口路由设备根据所述原目的地址,在流经本地的流量中确定出待牵引流量;将所述待牵引流量利用多协议标签交换MPLS标签转发至省出口路由设备,所述MPLS标签已根据LDP预先配置;
省出口路由设备根据接收到的流量所包含的MPLS标签、以及该标签对应的标签转发表项,将该流量转发至流量清洗设备,以使流量清洗设备在对该流量进行清洗后,将清洗后得到的正常流量回注至省出口路由设备;省出口路由设备根据接收到的正常流量所包含的原目的地址、以及该地址所对应的普通路由表项,将该正常流量回注至该流量的原转发路径;其中,所述标签转发表项与普通路由表项已预先建立。
2.一种流量清洗方法,所述方法应用于权利要求1所述流量清洗系统中的流量清洗设备,其特征在于,所述方法包括:
确定需要进行流量牵引后,通过BGP向地市出口路由设备发布流量牵引信息,以使所述地市出口路由设备根据所述流量牵引信息,将待牵引流量转发至流量清洗设备,所述待牵引流量包含攻击流量和正常流量;
对接收到的流量进行清洗,并将清洗后得到的正常流量回注至该流量的原转发路径。
3.一种流量清洗方法,所述方法应用于权利要求1所述流量清洗系统中的地市出口路由设备,其特征在于,所述方法包括:
接收流量清洗设备发布的流量牵引信息;
根据流量牵引信息中包含的待牵引流量的原目的地址,在流经本地的流量中确定出待牵引流量,所述待牵引流量包含攻击流量和正常流量;
将所述待牵引流量利用MPLS标签转发至流量清洗设备,以使流量清洗设备在对该流量进行清洗后,将清洗后得到的正常流量回注至该流量的原转发路径,所述MPLS标签已根据LDP预先配置。
4.根据权利要求3所述的方法,其特征在于,所述将所述待牵引流量利用MPLS标签转发至流量清洗设备,包括:
根据所述待牵引流量的原目的地址,在本地查找对应的标签转发表项,所述标签转发表项记录有省出口路由设备对应的MPLS标签;
为所述待牵引流量封装所述省出口路由设备对应的MPLS标签,并将该流量转发至省出口路由设备,以使所述省出口路由设备将该流量转发至流量清洗设备。
5.根据权利要求4所述的方法,其特征在于,所述将该牵引流量转发至流量清洗设备之前,还包括:
拆除该牵引流量的MPLS标签。
6.一种流量清洗方法,所述方法应用于权利要求1所述流量清洗系统中的省出口路由设备,其特征在于,所述方法包括:
接收地市出口路由设备利用MPLS标签转发至本地的牵引流量;
根据接收到的牵引流量所包含的MPLS标签、以及该标签对应的标签转发表项,将该牵引流量转发至流量清洗设备,以使流量清洗设备在对该牵引流量进行清洗后,将清洗后得到的正常流量回注至省出口路由设备;
根据接收到的正常流量所包含的原目的地址、以及该地址所对应的普通路由表项,将该正常流量回注至该流量的原转发路径。
7.一种流量清洗装置,所述装置应用于流量清洗系统,其特征在于,所述流量清洗系统包含:流量清洗设备、省出口路由设备、以及与所述省出口路由设备直连的地市出口路由设备,所述地市出口路由设备与所述省出口路由设备之间预先建立标签分发协议LDP邻居关系,所述省出口路由设备与所述流量清洗设备之间预先建立LDP邻居关系,所述流量清洗设备与所述地市出口路由设备之间预先建立边界网关协议BGP邻居关系,所述装置包括:
牵引信息发布单元,所述单元应用于所述流量清洗系统中的流量清洗设备,用于在确定需要进行流量牵引后,通过BGP向地市出口路由设备发布流量牵引信息,所述流量牵引信息包含待牵引流量的原目的地址,所述待牵引流量包含攻击流量和正常流量;
牵引流量确定单元,所述单元应用于所述流量清洗系统中的地市出口路由设备,用于根据所述原目的地址,在流经本地的流量中确定出待牵引流量;
地市牵引流量转发单元,所述单元应用于所述流量清洗系统中的地市出口路由设备,用于将所述待牵引流量利用多协议标签交换MPLS标签转发至省出口路由设备,所述MPLS标签已根据LDP预先配置;
省牵引流量转发单元,所述单元应用于所述流量清洗系统中的省出口路由设备,用于根据接收到的流量所包含的MPLS标签、以及该标签对应的标签转发表项,将该流量转发至流量清洗设备,所述标签转发表项已预先建立;
流量清洗单元,所述单元应用于所述流量清洗系统中的流量清洗设备,用于对接收到的流量进行清洗;
清洗设备正常流量回注单元,所述单元应用于所述流量清洗系统中的流量清洗设备,用于在对接收到的流量进行清洗后,将清洗后得到的正常流量回注至省出口路由设备;
省正常流量回注单元,所述单元应用于所述流量清洗系统中的省出口路由设备,用于根据接收到的正常流量所包含的原目的地址、以及该地址所对应的普通路由表项,将该正常流量回注至该流量的原转发路径,所述普通路由表项已预先建立。
8.一种流量清洗装置,所述装置应用于权利要求7所述流量清洗系统中的流量清洗设备,其特征在于,所述装置包括:
牵引信息发布单元,用于确定需要进行流量牵引后,通过BGP向地市出口路由设备发布流量牵引信息,以使所述地市出口路由设备根据所述流量牵引信息,将待牵引流量转发至流量清洗设备,所述待牵引流量包含攻击流量和正常流量;
流量清洗单元,用于对接收到的流量进行清洗;
清洗设备正常流量回注单元,用于将清洗后得到的正常流量回注至该流量的原转发路径。
9.一种流量清洗装置,所述装置应用于权利要求7所述流量清洗系统中的地市出口路由设备,其特征在于,所述装置包括:
牵引信息接收单元,用于接收流量清洗设备发布的流量牵引信息;
牵引流量确定单元,用于根据流量牵引信息中包含的待牵引流量的原目的地址,在流经本地的流量中确定出待牵引流量,所述待牵引流量包含攻击流量和正常流量;
地市牵引流量转发单元,用于将所述待牵引流量利用MPLS标签转发至流量清洗设备,以使流量清洗设备在对该流量进行清洗后,将清洗后得到的正常流量回注至该流量的原转发路径,所述MPLS标签已根据LDP预先配置。
10.一种流量清洗装置,所述装置应用于权利要求7所述流量清洗系统中的省出口路由设备,其特征在于,所述装置包括:
牵引流量接收单元,用于接收地市出口路由设备利用MPLS标签转发至本地的牵引流量;
省牵引流量转发单元,用于根据接收到的牵引流量所包含的MPLS标签、以及该标签对应的标签转发表项,将该牵引流量转发至流量清洗设备,以使流量清洗设备在对该牵引流量进行清洗后,将清洗后得到的正常流量回注至省出口路由设备;
省正常流量回注单元,用于根据接收到的正常流量所包含的原目的地址、以及该地址所对应的普通路由表项,将该正常流量回注至该流量的原转发路径。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611169372.2A CN106685823B (zh) | 2016-12-16 | 2016-12-16 | 一种流量清洗方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611169372.2A CN106685823B (zh) | 2016-12-16 | 2016-12-16 | 一种流量清洗方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106685823A CN106685823A (zh) | 2017-05-17 |
| CN106685823B true CN106685823B (zh) | 2019-11-12 |
Family
ID=58871066
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611169372.2A Active CN106685823B (zh) | 2016-12-16 | 2016-12-16 | 一种流量清洗方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106685823B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109922021B (zh) * | 2017-12-12 | 2022-03-08 | 中国电信股份有限公司 | 安全防护系统以及安全防护方法 |
| CN109995714B (zh) * | 2017-12-29 | 2021-10-29 | 中移(杭州)信息技术有限公司 | 一种处置流量的方法、装置和系统 |
| CN108449314B (zh) * | 2018-02-02 | 2020-12-29 | 杭州迪普科技股份有限公司 | 一种流量牵引方法和装置 |
| CN110995884A (zh) * | 2019-12-13 | 2020-04-10 | 成都知道创宇信息技术有限公司 | 基于Anycast架构DNS进行流量清洗及传输方法 |
| CN112165428B (zh) * | 2020-10-23 | 2022-07-22 | 新华三信息安全技术有限公司 | 一种流量清洗方法、装置及第一边界路由设备 |
| CN112291234B (zh) * | 2020-10-28 | 2023-04-28 | 杭州迪普科技股份有限公司 | 流量回注方法、装置、设备及计算机可读存储介质 |
| CN112532621B (zh) * | 2020-11-26 | 2023-03-24 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置、电子设备及存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101309150B (zh) * | 2008-06-30 | 2012-06-27 | 成都市华为赛门铁克科技有限公司 | 分布式拒绝服务攻击的防御方法、装置和系统 |
| CN101924764B (zh) * | 2010-08-09 | 2013-04-10 | 中国电信股份有限公司 | 基于二级联动机制的大规模DDoS攻击防御系统及方法 |
| US8966240B2 (en) * | 2011-10-05 | 2015-02-24 | Cisco Technology, Inc. | Enabling packet handling information in the clear for MACSEC protected frames |
| US9264348B2 (en) * | 2012-09-14 | 2016-02-16 | Juniper Networks, Inc. | Avoiding data traffic loss in an ethernet ring multihomed, in an active-standby manner, to a virtual private LAN service transport network |
| CN103491095B (zh) * | 2013-09-25 | 2016-07-13 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
| CN104811380B (zh) * | 2014-01-26 | 2018-08-14 | 华为技术有限公司 | 一种发送引流路由信息的方法及清洗设备 |
-
2016
- 2016-12-16 CN CN201611169372.2A patent/CN106685823B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN106685823A (zh) | 2017-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106685823B (zh) | 一种流量清洗方法及装置 | |
| US9860340B2 (en) | Service function chaining branching | |
| CN105591978B (zh) | 基于网络的服务功能链接 | |
| CN104954367B (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
| CN106453025B (zh) | 一种隧道创建方法及装置 | |
| CN101277245B (zh) | 一种l2vpn跨域的实现方法、系统和装置 | |
| CN104243270B (zh) | 一种建立隧道的方法和装置 | |
| CN102137024B (zh) | 报文处理方法、出口路由设备及边界路由设备 | |
| WO2017128656A1 (zh) | 虚拟专用网络vpn业务优化方法和设备 | |
| CN102195843B (zh) | 一种流量控制系统和方法 | |
| CN109863725A (zh) | 基于最大分段标识符深度的分段路由 | |
| CN104426763B (zh) | 隧道切换方法、装置及交换机 | |
| CN106464522A (zh) | 用于网络功能布局的方法和系统 | |
| WO2017107814A1 (zh) | 一种传播QoS策略的方法、装置及系统 | |
| CN106341423B (zh) | 一种报文处理方法和装置 | |
| US9876718B2 (en) | Forwarding packets | |
| CN104811380B (zh) | 一种发送引流路由信息的方法及清洗设备 | |
| CN112532621B (zh) | 一种流量清洗方法、装置、电子设备及存储介质 | |
| CN109936516A (zh) | 用于跨多个网络传输选项促进透明服务映射的系统和方法 | |
| CN108449314A (zh) | 一种流量牵引方法和装置 | |
| US7940668B2 (en) | Method and apparatus to enable an IPe domain through EIGRP | |
| CN107800623A (zh) | 异构网络通信方法和系统以及sdn控制器 | |
| CN106302525A (zh) | 一种基于伪装的网络空间安全防御方法及系统 | |
| CN108737273A (zh) | 一种报文处理方法和装置 | |
| EP4135292A1 (en) | Intelligent flow state synchronization to improve resiliency, availability, and/or performance of redundant network security devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |