CN110971522B - 一种确定路由泄露的方法、设备和系统 - Google Patents
一种确定路由泄露的方法、设备和系统 Download PDFInfo
- Publication number
- CN110971522B CN110971522B CN201811158313.4A CN201811158313A CN110971522B CN 110971522 B CN110971522 B CN 110971522B CN 201811158313 A CN201811158313 A CN 201811158313A CN 110971522 B CN110971522 B CN 110971522B
- Authority
- CN
- China
- Prior art keywords
- peer
- autonomous system
- receiving
- bmp
- relation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/033—Topology update or discovery by updating distance vector protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/70—Routing based on monitoring results
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种确定路由泄露的方法,设备及系统。该方法包括:管理第一自治系统的网络监控设备接收所述第一自治系统的第一边界节点发送的扩展BMP报文和所述第一自治系统的第二边界节点发送的扩展BMP报文,根据所述第一边界节点发送的扩展BMP报文和所述第一自治系统的第二边界节点发送的扩展BMP报文,确定所述第一边界节点已经从第二自治系统接收的路由前缀的接收关系,以及所述第二边界节点已经向第三自治系统发送的所述路由前缀的发送关系;根据所述接收关系和所述发送关系,确定所述路由前缀是否泄露。该方法可以能够有效地检查所管理的自治系统内是否存在路由泄露。
Description
技术领域
本发明涉及通信领域,尤其涉及一种确定路由泄露的方法和系统。
背景技术
路由泄露是指路由通告的传递范围超出了期望的范围。当一个自治系统(Autonomous system,AS)将该AS学习到的扩展边界网关协议(Border Gateway Protocol,BGP)路由通告给另一个AS时,如果违反了路由发送方AS,路由接收方AS,和/或沿途经过的AS的路由策略,则产生路由泄露。例如,这些路由策略可以是基于AS间的商业关系来确定的,AS间的商业关系包括客户到提供者(Customer to Provider,简称为C2P),对等体到对等体(Peer to Peer,简称为P2P)或提供者到客户(Provider to Customer,简称为P2C)。关于路由泄露的定义和导致路由泄露的几种情形,可参见标准组织IETF在RFC7908中的定义。
现有技术中,网络管理人员在一个AS的各边界路由器上配置出口策略。例如,在AS1的边界节点R2配置了出口策略。出口策略比如说是“来自AS2的路由可以发给AS3,不能发给AS4”。当AS1边界节点R1从AS2接收到一条路由信息A后,R1修改路由信息A,在A中标记A来自AS2,然后带有该标记的路由信息A通过AS1的中间节点传递到AS1边界节点R2,比如说路由信息A的目的AS是AS4,边界节点R2根据出口策略来决定是否不能发送A给AS4。然而,如果R2的配置错误,会导致不应发送出去的路由被B发送,造成路由泄露。
当AS1内的设备数量众多时,网络管理人员难以有效地检查是否AS 1存在路由泄露。并且,现有技术需要修改BGP路由通告协议,例如修改BGP更新报文(BGP updatemessage),这样会带来方案实施的所涉及的兼容性问题。
发明内容
本申请提供了一种确定路由泄露的方法、设备和系统,网络监控设备通过分析所管理的自治系统内各边界节点上报的BMP报文中携带的AS间路由信息接收和发送的商业关系,能够有效地检查所管理的自治系统内是否存在路由泄露。
第一方面,本发明实施例提供了一种确定路由泄露的方法,应用于网络监控设备,所述网络监控设备管理第一自治系统,该方法包括:接收所述第一自治系统的第一边界节点发送的扩展边界网关协议监控协议(Border Gateway Protocol Monitoring Protocol,BMP)报文和所述第一自治系统的第二边界节点发送的扩展BMP报文;根据所述第一边界节点发送的扩展BMP报文和所述第一自治系统的第二边界节点发送的扩展BMP报文,确定所述第一边界节点已经从第二自治系统接收的路由前缀的接收关系,以及所述第二边界节点已经向第三自治系统发送的所述路由前缀的发送关系,所述接收关系为客户到提供者、对等体到对等体或提供者到客户,所述发送关系为客户到提供者、对等体到对等体或提供者到客户;然后根据所述接收关系和所述发送关系,确定所述路由前缀是否泄露。
所谓的路由前缀的接收关系,即路由前缀在被接收方AS的边界节点接收时,路由前缀发送方AS和接收方AS之间的商业关系。所谓的路由前缀的发送关系,即路由前缀发送方AS的边界节点把路由前缀发给接收方AS时,路由前缀发送方AS和接收方AS之间的商业关系。
采用上述方法,网络监控设备根据所管理的自治系统内的路由入口边界节点和路由出口边界节点上报的BMP报文,确定路由入口边界节点已经接收到的路由前缀的接收关系和路由出口边界节点已经发出的同一路由前缀的发送关系,从而能够有效地检查该路由前缀是否泄露。并且,上述方法无需修改BGP路由传递机制(例如无需修改BGP updatemessage),这样会避免方案实施的所涉及的兼容性问题。
在一种可能的设计中,网络监控设备接收所述第一边界节点发送的第一扩展BMP路由监控报文,所述第一扩展BMP路由监控报文携带所述接收关系;接收所述第二边界节点发送的第二扩展BMP路由监控报文,所述第二扩展BMP路由监控报文携带所述发送关系;网络监控设备根据所述第一扩展BMP路由监控报文中携带的所述接收关系和所述第二扩展BMP路由监控报文中携带的所述发送关系,确定所述接收关系和所述发送关系。
在这种设计中,网络监控设备可以直接地从扩展的BMP路由监控报文中获取一个路由前缀的接收关系和发送关系,不需要结合其他类型的BMP报文的信息,对网络监控设备来说比分析工作量较少。
在一种可能的设计中,网络监控设备接收所述第一边界节点发送的第一扩展BMP对等体上线通知报文,所述第一扩展BMP对等体上线通知报文携带所述第一边界节点从第二自治系统接收路由信息的接收关系规则,所述接收关系规则包括以客户到提供者的关系接收、以对等体到对等体的关系接收或以提供者到客户的关系接收;接收所述第二边界节点发送的第二扩展BMP对等体上线通知报文,所述第二扩展BMP对等体上线通知报文携带所述第二边界节点向第三自治系统发送路由信息的发送关系规则,所述发送关系规则包括以客户到提供者的关系发送、以对等体到对等体的关系发送或以提供者到客户的关系发送;接收所述第二边界节点发送的BMP路由监控报文,所述BMP路由监控报文指示路由前缀的传递路径按顺序包括所述第二自治系统、所述第一自治系统和所述第三自治系统;根据所述第一扩展BMP对等体上线通知报文中携带的所述接收关系规则、所述第二扩展BMP对等体上线通知报文中携带的所述发送关系规则和BMP路由监控报文中携带的所述路由前缀的传递路径,确定所述接收关系和所述发送关系。
在这种设计中,通过扩展BMP对等体上线通知报文来携带接收关系规则和发送关系规则,可以避免在每个BMP路由监控报文中携带接收关系和发送关系。因为对等体上线通知报文是在BGP邻居建立的时候发送一次,而BMP路由监控报文是每当边界节点收到或发出路由信息时都会触发,这种设计可以减少商业关系信息的重复携带。此外,网络监控设备可以只监控出口边界节点发的BMP路由监控报文,减少了监控的工作量。
在一种可能的设计中,网络监控设备接收所述第一边界节点发送的第一扩展BMP对等体上线通知报文,所述第一扩展BMP对等体上线通知报文携带所述第一边界节点从第二自治系统接收路由信息的接收关系规则,所述接收关系规则包括以客户到提供者的关系接收、以对等体到对等体的关系接收或以提供者到客户的关系接收;接收所述第二边界节点发送的第二扩展BMP对等体上线通知报文,所述第二扩展BMP对等体上线通知报文携带所述第二边界节点向第三自治系统发送路由信息的发送关系规则,所述发送关系规则包括以客户到提供者的关系发送、以对等体到对等体的关系发送或以提供者到客户的关系发送;接收所述第一边界节点发送的第一BMP路由监控报文,所述第一BMP路由监控报文指示所述第一边界节点已经从所述第二自治系统接收到路由前缀;接收所述第二边界节点发送的第二BMP路由监控报文,所述第二BMP路由监控报文指示所述第二边界节点已经向所述第三自治系统发送所述路由前缀;根据所述第一扩展BMP对等体上线通知报文中携带的所述接收关系规则、所述第二扩展BMP对等体上线通知报文中携带的所述发送关系规则、所述第一BMP路由监控报文和所述第二BMP路由监控报文,确定所述接收关系和所述发送关系。。
在这种设计中,网络监控设备不需要依赖BMP路由监控报文中所携带的路由前缀在各AS中的传递路径信息,也可以达到确定路由前缀是否泄漏的目的。
前述的接收关系规则或发送关系规则可以是对等体自治系统的粒度;也可以是路由前缀的粒度;也可以两种粒度同时存在,且以路由前缀粒的优先级高。这样可以使得接收关系规则或发送关系的规则更灵活。
在一种可能的设计中,网络监控设备在确定所述路由前缀存在路由泄露后,输出告警信息,所述告警信息指示所述路由前缀由所述第一自治系统泄露到所述第三自治系统。这样,网络管理人员可以及时得到路由泄露的提示,定位路由泄露的区域和泄露的路由前缀,从而可以检查边界节点的出口策略,找到出问题的策略配置。
在一种可能的设计中,网络监控设备根据以下规则确定所述路由前缀是否泄露:若所述接收关系为对等体到对等体,且所述发送关系为对等体到对等体,则确定所述路由前缀泄露;或者若所述接收关系为对等体到对等体,且所述发送关系为客户到提供者,则确定所述路由前缀泄露;或者若所述接收关系为提供者到客户,且所述发送关系为对等体到对等体,则确定所述路由前缀泄露;或者若所述接收关系为提供者到客户,且所述发送关系为客户到提供者,则确定所述路由前缀泄露。
第二方面,本发明实施例提供了一种用于确定路由泄露方法,应用于路由设备,所述路由设备是第一自治系统的边界节点,该路由设备确定已经从第二自治系统接收的路由前缀的接收关系,所述接收关系为客户到提供者、对等体到对等体或提供者到客户;生成扩展BMP路由监控报文,所述扩展BMP路由监控报文包括所述接收关系;向所述第一自治系统的网络监控设备发送所述扩展BMP路由监控报文。
采用上述方式,路由设备向网络监控设备上报已经从第二自治系统接收的路由前缀的接收关系,有助于网络监控设备结合该路由前缀的发送关系来确定该路由前缀是否泄露。
在一种可能的设计中,该路由设备获取从所述第二自治系统接收路由信息的接收关系规则,所述接收关系规则包括以客户到提供者的关系接收,以对等体到对等体的关系接收,或以提供者到客户的关系接收;接收来自所述第二自治系统的包括所述前缀的路由信息;根据所述接收关系规则确定所述接收关系。
在一种可能的设计中,该接收关系规则被配置在该路由设备上。
在一种可能的设计中,所述扩展BMP路由监控报文的扩展方式为增加扩展字段,所述扩展字段的报文格式采用类型-长度-值的格式,其中所述类型字段的值为第一预设值时表示路由前缀源自治系统与本地自治系统之间的关系,为第二预设值时表示本地自治系统与路由前缀发送目的自治系统之间的关系;所述值字段的值为第三预设值时表示客户到提供者,为第四预设值时表示对等体到对等体,为第五预设值时表示提供者到客户。例如第一预设值为1,第二预设值为2,第三预设值为1,第四预设值为2,第五预设值为3。
在一种可能的设计中,上述类型字段的值为第六预设值时表示AS之间的关系信息,值字段的格式可以为(发送方AS,接收方AS,商业关系)。其中商业关系的取值规则为第三预设值时表示客户到提供者,为第四预设值时表示对等体到对等体,为第五预设值时表示提供者到客户。
第三方面,本发明实施例提供了一种用于确定路由泄露方法,应用于路由设备,所述路由设备是第一自治系统的边界节点,该路由设备确定已经向第三自治系统发送的路由前缀的发送关系,所述发送关系为客户到提供者、对等体到对等体或提供者到客户;生成扩展BMP路由监控报文,所述扩展BMP路由监控报文中包括所述发送关系;向所述第一自治系统的网络监控设备发送所述扩展BMP路由监控报文。
与第二方面类似,路由设备向网络监控设备上报已经向第三自治系统发送的路由前缀的发送关系,有助于网络监控设备结合该路由前缀的接收信息来确定该路由前缀是否泄露。
在一种可能的设计中,该路由设备获取向所述第三自治系统发送路由信息的发送关系规则,所述发送关系规则包括以客户到提供者的关系发送,以对等体到对等体的关系发送,或以提供者到客户的关系发送;根据所述发送关系规则确定所述发送关系。
在一种可能的设计中,该发送关系规则被配置在该路由设备上。
在一种可能的设计中,该路由设备先向所述第三自治系统发送所述路由前缀后,再根据所述发送关系规则确定所述发送关系;或者,可以先根据所述发送关系规则确定所述发送关系后,再发送向所述第三自治系统发送所述路由前缀。
在一种可能的设计中,采用和第二方面相同的方式来扩展BMP路由监控报文。
第四方面,本发明实施例提供了一种用于确定路由泄露方法,应用于路由设备,所述路由设备是第一自治系统的边界节点,该路由设备获取从第二自治系统接收路由信息的接收关系规则,所述接收关系规则包括以客户到提供者的关系接收,以对等体到对等体的关系接收,或以提供者到客户的关系接收;生成扩展BMP对等体上线通知报文,所述扩展BMP对等体上线通知报文包括所述接收关系规则;向所述第一自治系统的网络监控设备发送所述扩展BMP对等体上线通知报文。
采用上述方式,路由设备向网络监控设备上报已经从第二自治系统接收的路由前缀的接收关系规则,有助于网络监控设备结合其他信息来确定该路由前缀是否泄露。
在一种可能的设计中,该路由设备还接收来自所述第二自治系统的包括路由前缀的路由信息;根据所述接收的包括所述前缀的路由信息,生成BMP路由监控报文,所述BMP路由监控报文携带所述路由设备已经从所述第二自治系统接收到所述路由前缀的信息;向所述网络监控设备发送所述BMP路由监控报文。
采用上述方式,路由设备在上报接收关系规则后,上报BMP路由监控报文,有助于网络监控设备确定该路由前缀的接收关系。
在一种可能的设计中,采用和第二方面相同的方式来扩展BMP对等体上线通知报文。
第五方面,本发明实施例提供了一种用于确定路由泄露方法,应用于路由设备,所述路由设备是第一自治系统的边界节点,该路由设备获取向第三自治系统发送路由信息的发送关系规则,所述发送关系规则包括以客户到提供者的关系发送,以对等体到对等体的关系发送,或以提供者到客户的关系发送;生成扩展BMP对等体上线通知报文,所述扩展BMP对等体上线通知报文包括所述发送关系规则;向所述第一自治系统的网络监控设备发送所述扩展BMP对等体上线通知报文。然后,该路由设备生成BMP路由监控报文,所述BMP路由监控报文携带路由前缀的传递路径信息,所述路由前缀为所述路由设备已向所述第三自治系统发送的路由前缀,所述传递路径信息按顺序包括第二自治系统、所述第一自治系统和所述第三自治系统;或者所述BMP路由监控报文携带所述路由设备已经向所述第三自治系统发送路由前缀的信息。之后,该路由设备向所述网络监控设备发送所述BMP路由监控报文。
采用上述方式,路由设备向网络监控设备上报向第三自治系统发送路由信息的发送关系规则,之后上报发出路由前缀后所对应的BMP路由监控报文,有助于网络监控设备结合其他信息来确定该路由前缀是否泄露。
在一种可能的设计中,采用和第二方面相同的方式来扩展BMP对等体上线通知报文。
第六方面,本发明实施例提供一种网络监控设备,所述网络监控设备管理第一自治系统,该网络监控设备包括处理器、存储器和通信接口。所述处理器、所述存储器和所述通信接口相互连接,所述通信接口用于执行第一方面或第一方面的任一种可能的设计中的接收动作,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行第一方面或第一方面的任一种可能的设计中的确定动作。具体参见第一方面方法示例中的详细描述,此处不再赘述。
第七方面,本发明实施例提供一种路由设备,所述路由设备是第一自治系统的边界节点,该路由设备包括处理器、存储器和通信接口。所述处理器、所述存储器和所述通信接口相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行第二方面或第二方面的任一种可能的设计中的生成和确定动作;所述通信接口用于执行第二方面或第二方面的任一种可能的设计中的其他动作。
第八方面,本发明实施例提供一种路由设备,所述路由设备是第一自治系统的边界节点,该路由设备包括处理器、存储器和通信接口。所述处理器、所述存储器和所述通信接口相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行第三方面或第三方面的任一种可能的设计中的生成和确定动作;所述通信接口用于执行第三方面或第三方面的任一种可能的设计中的其他动作。
第九方面,本发明实施例提供一种路由设备,所述路由设备是第一自治系统的边界节点,该路由设备包括处理器、存储器和通信接口。所述处理器、所述存储器和所述通信接口相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行第四方面或第四方面的任一种可能的设计中的生成动作;所述通信接口用于执行第四方面或第四方面的任一种可能的设计中的其他动作。
第十方面,本发明实施例提供一种路由设备,所述路由设备是第一自治系统的边界节点,该路由设备包括处理器、存储器和通信接口。所述处理器、所述存储器和所述通信接口相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行第五方面或第五方面的任一种可能的设计中的生成动作;所述通信接口用于执行第五方面或第五方面的任一种可能的设计中的其他动作。
第十一方面,本发明实施例提供一种计算机可读存储介质,该计算机可读存储介质上存储有程序,当所述程序运行时,实现第一至第五方面中任一方面所述的方法,或第一至第五方面中任一方面的任一种可能的设计。
第十二方面,本发明实施例提供一种一种用于确定路由泄露的装置,该装置包括与程序指令相关的硬件,实现第一至第五方面中任一方面所述的方法,或第一至第五方面中任一方面的任一种可能的设计。
第十三方面,本发明实施例提供一种系统,该系统提供第六方面提供的网络监控设备,第七方面或第九方面提供的路由设备,以及第八方面或第十方面提供的路由设备。
第十四方面,本发明实施例提供了一种网络监控设备,所述网络监控设备管理第一自治系统,执行第一方面或第一方面的任意一种可能的实现方式中的方法。具体地,该网络设备包括用于执行第一方面或第一方面的任意一种可能的实现方式中的方法的单元。
第十五方面,本发明实施例提供了一种路由设备,该路由设备是第一自治系统的边界节点,执行第二方面到第四方面中的任一方面,或第二方面到第四方面中的任一方面中的任意一种可能的实现方式中的方法。具体地,该网络设备包括用于执行第二方面到第四方面中的任一方面,或第二方面到第四方面中的任一方面中的任意一种可能的实现方式中的方法的单元。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中使用的附图作简单地介绍。显而易见地,下面附图只是本发明的一些实施例的附图,对于本领域普通技术人员来说,在不付出创造性劳动性的前提下,还可以根据这些附图获得同样能实现本发明的其他技术方案和附图。
图1为国际互联网的AS间路由交换商业关系的一个示意图;
图2为本发明实施例的一个应用场景示意图;
图3为本发明实施例提供的一种方法流程示意图;
图4A为本发明实施例提供的一种方法流程示意图;
图4B为本发明实施例提供的一种方法流程示意图;
图5为本发明实施例提供的一种网络监控设备的结构示意图;。
图6为本发明实施例提供的一种网络监控设备的结构示意图;。
图7为本发明实施例提供的一种路由设备的结构示意图;
图8为本发明实施例提供的一种路由设备的结构示意图;
图9为本发明实施例提供的一种路由设备的结构示意图;
图10为本发明实施例提供的一种路由设备的结构示意图;
图11为本发明实施例提供的一种路由设备的结构示意图;
图12为本发明实施例提供的一种路由设备的结构示意图;
图13为本发明实施例提供的一种路由设备的结构示意图;
图14为本发明实施例提供的一种路由设备的结构示意图;
图15为本发明实施例提供的一种确定路由泄露的系统的示意图。
具体实施方式
下面结合附图,对本发明的实施例进行描述。
图1国际互联网的AS间路由交换商业关系的一个示意图。一般来讲,国际互联网上AS之间的连接关系主要分为三类:
-客户到提供者(Customer to Provider),本文中也简称为C2P;或提供者到客户(Provider to Customer),本文中也简称P2C
-对等体到对等体(Peer to Peer),本文中也简称为P2P
-兄弟到兄弟(Sibling to Sibling),本文中也简称为S2S
客户付费给提供者获取internet服务,从而形成C2P或P2C连接;P2P之间的互访一般是免费的;S2S连接一般出现在同一利益团体(例如,同一个运营商)的不同AS之间的互联,该连接也是免费的。
可以看出,不同运营商之间的规模和利益是当今国际互联网结构的形成主要因素。小型运营商如果想获得更多的服务,必须向大型运营商付费来获取连接,同等规模的运营商之间可以通过协定形成免费的对等连接。
以上几种连接关系是靠控制路由策略来实现的。
目前网络管理者采用路由策略控制路由的传播,当一个AS接收到另一个AS通告的路由时,处理规则如下:
1)来自客户AS通告的路由允许传递给客户AS、对等体AS和提供者AS。
2)来自对等体AS通告的路由允许传递给客户AS,不允许传递给对等体AS和提供者AS。
3)来自提供者AS通告的路由允许传递给客户AS,不允许传递给对等体AS和提供者AS。
当出现不允许通告的路由实际却被通告了的情况,可以判定为路由泄露。在本文中路由泄露和路由前缀泄露具有相同的含义,路由前缀泄露指含有某路由前缀的路由泄露。
图2为本发明实施例的一个应用场景示意图。该应用场景中包括AS100,AS11,AS12,AS13,AS21,AS22,AS23。AS100包括网络节点R1,R2,R3,R4,R5,和R6,其中R1,R3,R4和R6是AS100的边界节点,R2和R5是AS100的内部节点。网络监控设备管理AS 100。举例来说,网络监控设备可以是BGP监控(BGP Monitoring Protocol),BMP)服务器,或网络管理设备,或控制器。网络监控设备的管理域包括AS100。虽然图2中只示出AS100,但网络监控设备的管理域可以包括多个AS,例如AS100,AS101,AS102.
AS100通过R1和AS11的边界节点R11相连,通过R1和AS12的边界节点R12相连,通过R3和AS 21的边界节点R21相连,通过R4和AS13的边界节点R13相连,通过R3和AS21的边界节点R21相连,通过R6和AS22的边界节点R22相连,通过R6和AS23的边界节点R23相连。举例来说,R1和R11形成外部BGP(eBGP)邻居关系,R1和R12形成eBGP邻居关系,R4和R13形成eBGP邻居关系,R3和R21形成eBGP邻居关系,R6和R22形成eBGP邻居关系,R6和R23形成eBGP邻居关系。AS11,AS12,AS13,AS21,AS22和AS23是AS100的邻居AS。
R1,R3,R4和R6分别和网络监控设备建立管理通道连接,网络监控设备通过管理通道连接获得所需要的信息。例如,管理通道连接可以是TCP连接,R1,R3,R4和R6和网络监控设备之间通过边界网关协议监控协议(Border Gateway Protocol Monitoring Protocol,BMP)通信,R1,R3,R4和R6将BGP运行状态信息通过BMP报文发送给网络监控设备,网络监控设备解析接收到的BMP报文并进行分析。
举例来说,上述边界节点和内部节点是具有路由功能的网络设备,例如可以是路由器或三层交换机。
举例来说,AS11的边界节点R11向AS100的边界节点R1通告一条路由信息A,例如可以通过BGP更新消息(BGP update messag)通告路由信息A,路由信息A包括路由前缀10.1.0.0/16;AS12的边界节点R12向AS100的边界节点R1通告一条路由信息B,路由信息B包括路由前缀10.2.0.0/16;AS13的边界节点R13向AS100的边界节点R4通告一条路由信息C,路由信息C包括路由前缀10.3.0.0/16。假设路由信息A,B,C分别经过AS100的内部节点传递到R6,并分别由R6发布给AS22的边界节点R22。在本发明实施例中,上述情况也可称为R1从AS11接收到路由前缀10.1.0.0/16,并将10.1.0.0/16发送给AS22;R1从AS12接收到路由前缀10.2.0.0/16,并将10.2.0.0/16发送给AS22;R1从AS13接收到路由前缀10.3.0.0/16,并将10.3.0.0/16发送给AS22。或者,也可称为路由前缀10.1.0.0/16的传递路径按顺序包括AS11,AS100和AS22;路由前缀10.2.0.0/16的传递路径按顺序包括AS12,AS100和AS22;路由前缀10.3.0.0/16的传递路径按顺序包括AS13,AS100和AS22。
举例来说,网络管理人员可以在根据图1中的路由泄露规则,以及根据图2中所示的AS100和其他各AS之间的商业关系属性,配置AS100的各边界节点的出口策略(“出口”是针对路由的发送方向而言)。例如,配置R6的出口策略可以是:“如果收到来自AS12的路由,不能发给AS22”。这样的配置不会使得路由泄露。然而,如果R6的出口策略配置成“如果收到来自AS12的路由,可以发给AS22”,则会导致路由泄露。
根据图1中所述的路由泄露的判定规则,如果R1从AS11接收到路由前缀10.1.0.0/16并将此路由前缀10.1.0.0/16发送给AS22,不属于路由泄露;如果R1从AS12接收到路由由前缀10.2.0.0/16,并将路由前缀10.2.0.0/16发送给AS22,属于路由泄露;如果R4从AS13接收到路由前缀10.3.0.0/16,并将路由前缀10.3.0.0/16发送给AS22,属于路由泄露。
现有技术中,缺少有效地手段检查是否存在路由泄露。
本发明实施例提供一种确定路由泄露的方法、设备和系统,网络管理设备接收其所管理的自治系统的入口边界节点(接收到路由前缀)和出口边界节点(发出路由前缀)分别发送的扩展BMP报文,来该路由前缀的接收关系和发送关系,从而确定该路由前缀是否泄露。其中,方法、设备和系统是基于同一发明构思的,由于方法、设备和系统解决问题的原理相似,因此,设备与方法的实施可以相互参见,系统与方法的实施也可以相互参见,重复之处不再赘述。
在现有技术的BMP中,BMP会话包含初始化消息(Initiation Message)、对等体上线通知(Peer Up Notification)、路由监控(Router Monitoring)、对等体下线通知(PeerDown Notification)、状态报告(States Reports)、终止消息(Termination Message)等消息,这些消息均以报文形式发送。上报的信息主要为BGP路由信息、BGP邻居信息和路由器的厂商信息、版本号等。
表1 BMP的消息
结合图2所示的应用场景,图3为本发明实施例提供的一种的方法流程示意图。为描述方便,举例如下:
图3中的网络监控设备可以是图2中的Controller或BMP Server,管理AS100。图3中的第一自治系统可以是图2中的AS100,图3中的第二自治系统可以是图2中的AS11,图3中的第三自治系统可以是图2中的AS22,图3中的第一边界节点可以是图2中的R1,图3中的第二边界节点可以是图2中的R6。
S301、第一边界节点获取从第二自治系统接收路由信息的接收关系规则。
可选的,网络管理人员可以在第一自治系统第一边界节点(R1)上配置R1从第二自治系统(AS22)接收路由信息的接收关系规则,从而R1可以获取到该接收关系规则。接收关系规则可以是以C2P的关系接收,以P2P的关系接收或以P2C的关系接收。
可选的,接收关系规则可以以对等体自治系统的粒度来配置。图2中,R1对应的对等体自治系统分别为AS11和AS12,那么可以配置R1从AS11接收所有的路由信息都以为C2P的关系来接收,而R1从AS12接收所有的路由信息都以P2P的关系来接收。
可选的,接收关系规则可以以路由前缀的粒度来配置。例如,可以配置R1以C2P的关系从AS11接收路由前缀x.x.0.0/16,R1以P2C的关系从AS11接收路由前缀x.y.0.0/16。此处x和y指代任意合法的符合路由前缀编码规则的数字。
可选的,路由前缀粒度配置和对等体自治系统粒度的配置可以同时存在,其中路由前缀粒配置的优先级高。例如,针对AS11发来的路由信息,可以配置两条路由前缀粒度的规则:R1以C2P的关系从AS11接收路由前缀x.x.0.0/16,R1以P2C的关系从AS11接收路由前缀x.y.0.0/16;同时配置对等体自治系统粒度的规则,R1以C2P的关系从AS11接收路由前缀。
S302、第二边界节点获取向第三自治系统发送路由信息的发送关系规则。
第二边界节点(R6)获取向第三自治系统(AS22)发送路由信息的发送关系规则,。发送关系规则可以是以C2P的关系发送,以P2P的关系发送或以P2C的关系发送。具体获取的方式,可参见S301中的描述,在此不再赘述。
S303、第一边界节点接收到第二自治系统发来的含路由前缀为10.1.0.0/16的路由信息。
例如,AS22的边界节点R11通过BGP更新消息(BGP update message)发布路由前缀为10.1.0.0/16的路由信息,从而R1接收到这条路由信息。
S304、第一边界节点生成第一扩展BMP路由监控(BMP Route Monitoring)报文,第一扩展BMP Route Monitoring报文携带第一边界节点已经从第二自治系统接收的路由前缀的接收关系。所谓的路由前缀的接收关系,即路由前缀在被接收方AS的边界节点接收时,路由前缀发送方AS和接收方AS之间的商业关系。具体到本例,该报文携带的信息指示“R1从AS11接收到的路由前缀10.1.0.0/16的接收关系为C2P”,也即指路由前缀10.1.0.0/16被R1接收时,R1所在的AS100作为接收方的商业关系身份是提供者(Provider),AS11作为10.1.0.0/16的发送方AS的商业关系身份是客户(Customer)。
举例来说,R1根据S301步骤中获取的接收关系规则,确定10.1.0.0/16的接收关系。
例如,如果接收关系规则是对等体自治系统粒度的,内容为以C2P的关系接收,则确定10.1.0.0/16的接收关系为C2P;如果接收关系规则是路由前缀粒度和对等体自治系统粒度并存的,则以路由前缀粒度为优先。
根据BMP协议,R1在S303后,会向网络监控设备发送BMP Route Monitoring报文。,该报文中包括公共头(Common Header),每对等体头(Per-Peer Header)和BGP更新协议数据单元(BGP Update Protocol Date Unit,BGP Update PDU)。
在本实施例中,对现有协议中的BMP Route Monitoring报文进行了扩展,称为扩展BMP Route Monitoring报文,使之可以携带“R1从AS11接收到的路由前缀10.1.0.0/16的接收关系为C2P”的信息。
具体的携带方式,在一种可能的实现中,在Per-Peer Header中包括的对等体AS(Peer AS)字段中携带第二自治系统的信息,利用Per-Peer Header中的’O’比特表示“接收”或“发送”;在Per-Peer Header中的BGP Update PDU中携带接收到的路由前缀,在扩展的字段中携带接收关系。
具体到此例,即在Per-Peer Header中的Peer AS字段携带AS22的信息,Per-PeerHeader中的’O’比特表示“接收”,在Per-Peer Header中的BGP Update PDU中携带10.1.0.0/16。关于在扩展的字段中携带接收关系,举例来说,扩展的字段可以使用类型-长度-值(Type-Length-Value)的方式来携带接收关系。
一种可能的方式是:
Type字段的值为1,表示路由前缀源AS与本地AS之间的关系,Value字段的值为1表示C2P,Value的值为2表示P2P,Value字段的值为3表示P2C;
具体到此例,如果10.1.0.0/16的接收关系为C2P,则Type字段的值为1,Value字段的值为1。
另一种可能的方式是,Type字段的值为3表示AS之间的关系信息,Value字段的格式可以为(发送方AS,接收方AS,商业关系)。其中商业关系的取值方式可以用1,2,3分别表示C2P,P2P,P2C。具体到此例,Type字段的值为3,Value字段的值为(AS11的信息,AS100的信息,1)。
可以理解,以上Type字段的取值为1,2或3;以及Value字段的取值为1,2或3,仅为示例,也可以取其他数值,不做限定。
以上给出了对现有协议中的BMP Route Monitoring报文进行扩展,使之可以携带“R1从AS11接收到的路由前缀10.1.0.0/16的接收关系为C2P”的信息的几种方式。应理解,也可以采用其他扩展方式达到相同目的。
S305、第一边界节点向网络监控设备发送第一扩展BMP Route Monitoring报文。网络监控设备接收该第一扩展BMP Route Monitoring报文。
S306、第二边界节点向第三自治系统发送含路由前缀为10.1.0.0/16的路由信息。
举例来说,在S305后,含路由前缀为10.1.0.0/16的路由信息经AS100的内部传递传递到第二边界节点R6,之后R6通过BGP update message向第三自治系统(AS 22)发布含路由前缀为10.1.0.0/16的路由信息。
S307、第二边界节点生成第二扩展BMP Route Monitoring报文,第二扩展BMPRoute Monitoring报文携带第二边界节点已经向第三自治系统发送的路由前缀的发送关系。所谓的路由前缀的发送关系,即路由前缀发送方AS的边界节点把路由前缀发给接收方AS时,路由前缀发送方AS和接收方AS之间的商业关系。具体到本例,该报文携带的信息指示“R6向AS22发送的路由前缀10.1.0.0/16的发送关系为P2P”,也即AS100的边界节点R6把路由前缀10.1.0.0/16发给AS22时,AS100作为发送方的商业关系是对等体(Peer),AS22作为接收方的商业关系身份是是对等体(Peer)。
关于R6如何生成第二扩展BMP Route Monitoring报文,可以参见S304中关于扩展的字段中的描述,在扩展的字段Type-Length-Value中,Type=2表示本地AS与路由前缀发送目的AS之间的关系,Value字段的值为1表示C2P,Value的值为2表示P2P,Value字段的值为3表示P2C。具体到此例,如果10.1.0.0/16的发送关系为P2P,则Type字段的值为2,Value字段的值为2。
或者,也可也采用S304中Type=3的方式,具体到此例,。
可以理解,以上Type字段的取值为1,2或3;以及Value字段的取值为1,2或3,仅为示例,也可以取其他数值,不做限定。
S308、第二边界节点向网络监控设备发送第二扩展BMP Route Monitoring报文。网络监控设备接收该第二扩展BMP Route Monitoring报文。
S309、网络监控设备根据接收到的第一扩展BMP Route Monitoring报文中携带的接收关系和第二扩展BMP Route Monitoring报文中携带的发送关系,确定R1从AS11接收到的路由前缀10.1.0.0/16的接收关系为C2P,R6向AS22发送的路由前缀10.1.0.0/16的发送关系为P2P。
因为第一扩展BMP Route Monitoring报文和第二扩展BMP Route Monitoring报文中携带了相关信息,因此网络监控设备可以确定此信息。
S310、网络监控设备根据确定的接收关系和发送关系,确定路由前缀是否泄漏。
举例来说,网络监控设备可以根据以下路由泄露判断规则,确定路由前缀是否泄漏:
若接收关系为对等体到对等体,且发送关系为对等体到对等体,则确定所述路由前缀泄露;或者
若接收关系为对等体到对等体,且发送关系为客户到提供者,则确定所述路由前缀泄露;或者
若接收关系为提供者到客户,且发送关系为对等体到对等体,则确定所述路由前缀泄露;或者
若接收关系为提供者到客户,且发送关系为客户到提供者,则确定所述路由前缀泄露。
具体到本例,路由前缀10.1.0.0/16的接收关系是C2P,发送关系是P2P,路由前缀10.1.0.0/16并未泄露。网络监控设备根据第一扩展BMP Route Monitoring报文和第二扩展BMP Route Monitoring报文含有相同的路由前缀10.1.0.0/16,将这两个报文的信息关联起来。
网络监控设备根据AS100各边界节点发送的扩展BMP Route Monitoring报文,确定AS100中是否存在路由泄露。结合图2,表2示例性地展示了以R6发往AS22路由前缀为例,网络监控设备确定AS100是否存在路由泄漏情况以及哪些路由前缀泄露。
表2网络监控设备确定R6发往AS22路由前缀是否泄露
路由前缀 | 接收关系 | 发送关系 | 源AS | 本地AS | 目的AS | 是否泄露 |
10.1.0.0/16 | C2P | P2P | AS11 | AS100 | AS22 | 否 |
10.2.0.0/16 | P2P | P2P | AS12 | AS100 | AS22 | 是 |
10.3.0.0/16 | P2C | P2P | AS13 | AS100 | AS22 | 是 |
网络监控设备可以通过多种方式获知AS100是表1中的本地AS。例如,R1在和R11间建立eBGP邻居后,根据BMP协议,R1会向网络监控设备发送BMP对等体上线报文(Peer UpNotification),在BMP Peer Up Notification中的携带本地AS(AS100)和对等体AS(AS11)的信息,由此,网络监控设备获知R1是AS100的边界节点,那么后续网络监控设备在接收到R1发送的第一扩展BMP Route Monitoring报文后,可以分析出是AS100接收到路由前缀10.1.0.0/16。
又例如,如果第一扩展BMP Route Monitoring报文中使用S304中的Type=3的方式,网络监控设备也可以获知10.1.0.0/16由AS11发给AS100,这样再结合R6发的第二扩展BMP Route Monitoring报文,可以获知10.1.0.0/16由AS100发给AS22,于是网络监控设备根据10.1.0.0/16将第一扩展BMP Route Monitoring报文和第二第一扩展BMP RouteMonitoring报文中的信息结合起来,并可分析出10.1.0.0/16。
上述步骤里,R1和R6各自的动作可以是独立的,不一定R1先执行完后R6再执行。另外,S306和S307的顺序可互换。
图3所对应的实施例中,通过扩展BMP Route Monitoring来携带接收关系和发送关系,相对于图4A和4B的实施例,网络监控设备可以直接地从扩展的BMP RouteMonitoring报文中获取10.1.0.0/16的接收关系和发送关系,不需要再结合例如BMP PeerUp Notification的报文来分析,就可以判断出10.1.0.0/16是否泄露。
结合图2所示的应用场景,图4A为本发明实施例提供的一种的方法流程示意图。为描述方便,图4A中的举例与图3的实施例类似。与图3不同的是,图4A对应的实施例对BMPPeer Up Notification报文进行扩展,R1在发给网络监控设备的扩展BMP Peer UpNotification中携带图3实施例中描述的接收关系规则,R6在发给网络监控设备的扩展的BMP Peer Up Notification中携带图3实施例中描述的接收关系规则。之后,网络监控设备在收到R6发出BMP route monitoring后,因为BMP route monitoring中的携带10.1.0.0/16传递路径按顺序包括AS11、AS100和AS22,因此网络监控设备可以结合这三个报文的信息,确定R1从AS11接收到的路由前缀10.1.0.0/16的接收关系为C2P,R6向AS22发送的路由前缀10.1.0.0/16的发送关系为P2P,从而确定是否存在路由泄露。
S401、第一边界节点获取从第二自治系统接收路由信息的接收关系规则。
请参见图3中S301的描述。
S402、第一边界节点生成第一扩展BMP Peer Up Notification报文,第一扩展BMPPeer Up Notification报文中携带S401中获取的接收关系规则。
举例来说,接收关系规则为“R1从AS11接收所有的路由信息都以为C2P的关系来接收”。由于Peer Up Notification包括公共头(Common Header),每对等体头(Per-PeerHeader),那么在一种可能的方式中,可以通过和S304中相同的方式,在扩展的字段中可以Type-Length-Value的方式来携带接收关系规则。
S403、第一边界节点向网络监控设备发送第一扩展BMP Peer Up Notification报文,网络监控设备接收到第一扩展BMP Peer Up Notification报文。
S404、第二边界节点获取向第三自治系统发送路由信息的发送关系规则。
请参见图3中S302的描述。
S405、第二边界节点生成第二扩展BMP Peer Up Notification报文,第二扩展BMPPeer Up Notification报文中携带S402中获取的发送关系规则。可参考S307中的报文扩展方式。
S406、第二边界节点向网络监控设备发送第二扩展BMP Peer Up Notification报文,网络监控设备接收到第二扩展BMP Peer Up Notification报文。
S407、第二边界节点向第三自治系统发送含路由前缀为10.1.0.0/16的路由信息。
参见S306。
S408、第二边界节点生成BMP Route Monitoring报文。
在S407后,R6按照现有协议BMP协议生成BMP Route Monitoring报文,BMP RouteMonitoring中包括了R6发给AS22的BGP路由信息,请参表3的示例:
表3 R6发给AS22的BGP路由信息如下:
前缀 | AS路径 |
10.1.0.0/16 | AS-path:100 11 |
10.2.0.0/16 | AS-path:100 12 |
10.3.0.0/16 | AS-path:100 13 |
表3中,显示R6给AS22的BGP路由,依次经过了AS11和AS100。AS22的信息可以携带在BMP Route Monitoring报文的Per-Peer Header中的Peer AS字段中。因此,R6生成BMPRoute Monitoring报文可以指示路由前缀10.1.0.0/16传递路径按顺序包括AS11,AS100和AS22。
S409、第二边界节点向网络监控设备发送BMP Route Monitoring报文。网络监控设备接收到第二边界节点发送的BMP Route Monitoring报文。
S410、网络监控设备根据接收到的第一扩展BMP Peer Up Notification报文中携带的接收关系规则(“R1以C2P的关系从AS11接收路由前缀10.1.0.0/16”),第二扩展BMPPeer Up Notification报文中携带的发送关系规则(“R6以P2P的关系向AS22发送路由前缀10.1.0.0/16”)和BMP Route Monitoring报文中携带的路由前缀的传递路径(“路由前缀10.1.0.0/16的路由前缀10.1.0.0/16传递路径按顺序包括AS11,AS100和AS22),可以确定出R1从AS11接收到的路由前缀10.1.0.0/16的接收关系为C2P,R6向AS22发送的路由前缀10.1.0.0/16的发送关系为P2P,即S304和S307中提到的接收关系和发送关系。可以理解,网络监控设备在确定接收关系和发送关系时,网络监控设备已知R1和R6是AS100的边界节点。
S411、网络监控设备根据确定的接收关系和发送关系,确定路由前缀是否泄漏。具体请参见S310。
上述步骤S401-S411中,R1和R6各自的动作可以是独立的,不一定R1先执行完后R6再执行。S407和S408的顺序也可以互换。
图4A所对应的实施例中,通过扩展BMP Peer Up Notification中携带接收关系规则和发送关系规则,可以避免在每个BMP Route Monitoring中携带接收关系和发送关系。因为BMP Peer Up Notification是在BGP邻居建立的时候发送一次,而BMPRouteMonitoring是每当边界节点收到或发出路由信息时都会触发,因此图4A的实施例可以减少商业关系信息的重复携带。此外,网络监控设备可以只监控出口边界节点发的BMP RouteMonitoring,减少了监控的工作量。
结合图2所示的应用场景,图4B为本发明实施例提供的一种的方法流程示意图。为描述方便,图4B与图4A相同的地方为通过对BMP Peer Up Notification报文进行扩展来携带接收关系规则和发送关系规则,不同之处在于网络监控设备根据R1发送的第一扩展BMPPeer Up Notification报文,R1发送的第一BMP route monitoring,R6发送的第二扩展BMPPeer Up Notification报文和R6发送的第一BMP route monitoring,来确定路由前缀的接收关系和发送关系。接续自图4A的S406:
S407、第一边界节点接收到第二自治系统发来的含路由前缀为10.1.0.0/16的路由信息。
S408、第一边界节点生成与S407对应的第一BMP Route Monitoring报文,携带R1从AS11接收到路由前缀10.1.0.0/16的信息。
S409、第一边界节点向网络监控设备发送第一BMP Route Monitoring报文。网络监控设备接收该第一BMP Route Monitoring报文。
S410、第二边界节点向第三自治系统发送含路由前缀为10.1.0.0/16的路由信息。
S411、第二边界节点生成与S410对应的第二BMP Route Monitoring报文,携带R6向AS22发出路由前缀10.1.0.0/16的信息。
S412、第二边界节点向网络监控设备发送第二BMP Route Monitoring报文。。网络监控设备接收该第二BMP Route Monitoring报文。
S413、网络监控设备根据收到的上述4个报文中携带的信息,可以确定出R1从AS11接收到的路由前缀10.1.0.0/16的接收关系为C2P,R6向AS22发送的路由前缀10.1.0.0/16的发送关系为P2P,即S304和S307中提到的接收关系和发送关系。
S414、网络监控设备根据确定的接收关系和发送关系,确定路由前缀是否泄漏。具体请参见S310。
图4B的实施例,相对图4A,网络监控设备不需要依赖ASBMP Route Monitoring的传递路径信息,也可以达到确定路由前缀是否泄漏的目的。
可选的,对于上述图3,图4A和图4B的实施例,网络监控设备在确定路由前缀存在路由泄露后,输出告警信息,所述告警信息指示路由前缀由第一自治系统泄露到所述第三自治系统。例如,当网络监控设备确定路由前缀10.2.0.0/16和10.3.0.0/16泄露后,输出告警信息,告警信息指示路由前缀10.2.0.0/16和10.3.0.0/16由AS100泄露到AS22。这样网络管理人员可以及时检测R1和R6上各自的的入口策略和出口策略,找到出问题的策略配置。
图5示出了上述方法实施例中所涉及的网络监控设备的一种可能的结构示意图,该网络监控设备500可以实现图3、图4A或图4B所示的实施例中的网络监控设备的功能。参阅图5,该网络监控设备500包括:接收单元501,确定单元502。这些单元些可以执行上述方法实施例中网络监控设备相应功能。接收单元501,用于支持网络监控设备500执行图3,图4A和图4B中的过程中的S305,S308,S403和S406,图4A中的S409,图4B中的409和S412。确定单元502用于支持网络监控设备500执行图3,图4A和图4B中的S309,S301,S410,S411,S413和S414。具体执行过程请参考上述图3、4A和4B中所示实施例中相应步骤的详细描述,这里不再一一赘述。可选的,该网络监控设备500还可以包括发送单元,用于在确定路由前缀存在路由泄露后,输出告警信息,所述告警信息指示所述路由前缀由第一自治系统泄露到第三自治系统。
图6示出了上述方法实施例中所涉及的网络监控设备600的一种可能的结构示意图。网络监控设备600包括:处理器601、存储器602和通信接口603及总线604,其中,处理器601、通信接口603以及存储器602通过总线604相互连接;总线604可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extendedindustry standard architecture,简称EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。该网络监控设备600可以实现图3,图4A或图4B所示的实施例中的网络监控设备的功能。通信接口603用于支持执行图3,图4A和图4B中的过程中的S305,S308,S403,S406,图4A中的S409,图4B中的409和S412。处理器601用于存储计算机程序,所述计算机程序包括程序指令,处理器601被配置用于调用所述程序指令,执行图3,图4A和图4B中的S309,S301,S410,S411,S413和S414。可选的,通信接口603还用于在确定路由前缀存在路由泄露后,输出告警信息,所述告警信息指示所述路由前缀由所述第一自治系统泄露到所述第三自治系统。
图7示出了图3实施例中所涉及的第一边界节点的一种可能的结构示意图。该第一边界节点可以是路由设备700,包括:确定单元701,生成单元702,发送单元703。确定单元701可以执行图3中的S304中的确定动作。举例来说,S304中的确定动作是根据接收关系规则确定接收关系。生成单元702可以执行图3中的S304中的生成动作,发送单元703可以执行图3中的S305。可选的,路由设备700还可以包括获取单元和接收单元,获取单元执行S301,接收单元执行S303。
图8示出了图3实施例中所涉及的第一边界节点的一种可能的结构示意图。该第一边界节点可以是路由设备800,路由设备800包括:处理器801、存储器802和通信接口803及总线804。其结构和图6实施例类似。通信接口803用于执行S305。可选的,通信接口803还可以执行S301和S303。处理器801用于存储计算机程序,所述计算机程序包括程序指令,处理器801被配置用于调用所述程序指令,执行S304。举例来说,S304中的确定动作是根据接收关系规则确定接收关系。
图9示出了图4A和图4B实施例所涉及的第一边界节点的一种可能的结构示意图。该第一边界节点可以是路由设备900,包括:获取单元901,生成单元902,发送单元903。获取单元901执行图4A和图4B中的S401,生成单元902执行图4A和图4B中的S402。发送单元903执行图4A和图4B中的S403。可选的,还包括接收单元,该接收单元执行图4B中的S407,生成单元902还执行图4B中的S408,发送单元903还执行图4B中的S409。
图10示出了图4A和图4B实施例所涉及的第一边界节点的一种可能的结构示意图。该第一边界节点可以是路由设备1000,路由设备1000包括:处理器1001、存储器1002和通信接口1003及总线1004。其结构和图6实施例类似。通信接口1003执行图4A和图4B中的S401、S403。处理器1001用于存储计算机程序,所述计算机程序包括程序指令,处理器1001被配置用于调用所述程序指令,执行图4A和图4B中的S402。可选的,通信接口1003还可以执行图4B中的S407和S409,相应的,处理器1001还被配置用于调研所述程序指令执行图4B中的S408。
图11为图3实施例中所涉及的第二边界节点的一种可能的结构示意图。该第二边界节点可以是路由设备1100,包括:确定单元1101,生成单元1102和发送单元1103。确定单元1101执行S307。举例来说,S304中的确定动作是根据发送关系规则确定发送关系。生成单元1102执行S307。发送单元1103执行S308。可选的,路由设备1100还可以包括获取单元和发送单元,获取单元执行S302,发送单元执行S306。
图12示出了图3实施例中所涉及的第二边界节点的一种可能的结构示意图。该第二边界节点可以是路由设备1200,路由设备1200包括:处理器1201、存储器1202和通信接口1203及总线1204。其结构和图6实施例类似。通信接口1203用于执行S308。处理器1201用于存储计算机程序,所述计算机程序包括程序指令,处理器1201被配置用于调用所述程序指令,执行S307。举例来说,S307中的确定动作是根据接收关系规则确定接收关系。可选的,通信接口1203还用于执行S302和S306。
图13为图4A和图4B实施例所涉及的第二边界节点的一种可能的结构示意图。该第二边界节点可以是路由设备1300,包括:获取单元1301,生成单元1302,发送单元1303。获取单元执行图4A中的S404或图4B中的S405;生成单元1302执行图4A中的S405和S408,或图4B中的S405和S411;发送单元1303执行图4A中的S406、S407和S409,或图4B中的S406、S410和S412。
图14为图4A和图4B实施例所涉及的第二边界节点的一种可能的结构示意图。该第二边界节点可以是路由设备1400,包括处理器1401、存储器1402和通信接口1403及总线1404。其结构和图6实施例类似。通信接口1403用于执行图4A中的S404、S406、S407和S409,或图4B中的S405、S406、S410和S412;处理器1401用于存储计算机程序,所述计算机程序包括程序指令,处理器1401被配置用于调用所述程序指令,执行图4A中的S405和S408,或图4B中的S405和S411。
图15提供了一种确定路由泄露的系统1500,该系统1500用于实现前述方法实施例中的确定路由泄露的方法。该系统1500包括网络监控设备1501、第一路由设备1502和第二网络设备1503。网络监控设备1501、第一路由设备1502和第二网络设备1503可以分别实现图3,图4A或图B所示的实施例中的网络监控设备、第一边界节点和第二边界节点的功能。例如,第一监控设备1501可以为图5或图6所示实施例中的监控设备,第一路由设备1502可以为图7-10所示实施例中的路由设备,第一路由设备1503可以为图11-14所示实施例中的路由设备。
本发明实施例还提供了一种存储介质,所述计算机可读存储介质上存储有程序,当所述程序运行时,使得所示计算机执行前述方法实施例中的方法。
采用集成的单元的情况下,上述设备实施例中的单元可以集成,例如图7实施例中的确定单元701和生成单元702可以合并为一个单元,图9实施例中的获取单元,接收单元和发送单元可以合并为一个单元。
本发明实施例中提到的第一网络设备中的“第一”只是用来做名字标识,并不代表顺序上的第一。该规则同样适用于“第二”和“第三”。
需说明的是,以上描述的任意装置实施例都仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的第路由设备或网络监控设备实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本发明实施例公开内容所描述的方法或者算法的步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(random access memory,RAM)、闪存、只读存储器(readonly memory,ROM)、可擦除可编程只读存储器(erasable programmable ROM,EPROM)、电可擦可编程只读存储器(electrically EPROM,EEPROM)、硬盘、移动硬盘、光盘或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (25)
1.一种确定路由泄露的方法,应用于网络监控设备,所述网络监控设备管理第一自治系统,其特征在于,包括:
接收所述第一自治系统的第一边界节点发送的扩展边界网关协议监控协议BMP报文和所述第一自治系统的第二边界节点发送的扩展BMP报文;
根据所述第一边界节点发送的扩展BMP报文和所述第一自治系统的第二边界节点发送的扩展BMP报文,确定所述第一边界节点已经从第二自治系统接收的路由前缀的接收关系,以及所述第二边界节点已经向第三自治系统发送的所述路由前缀的发送关系,所述接收关系为客户到提供者、对等体到对等体或提供者到客户,所述发送关系为客户到提供者、对等体到对等体或提供者到客户;
根据所述接收关系和所述发送关系,确定所述路由前缀是否泄露。
2.根据权利要求1所述的方法,其特征在于,接收所述第一自治系统的第一边界节点发送的扩展BMP报文和所述第一自治系统的第二边界节点发送的扩展BMP报文,包括:
接收所述第一边界节点发送的第一扩展BMP路由监控报文,所述第一扩展BMP路由监控报文携带所述接收关系;
接收所述第二边界节点发送的第二扩展BMP路由监控报文,所述第二扩展BMP路由监控报文携带所述发送关系;
所述根据所述第一边界节点发送的扩展BMP报文和所述第一自治系统的第二边界节点发送的扩展BMP报文,确定所述接收关系和所述发送关系,包括:
根据所述第一扩展BMP路由监控报文中携带的所述接收关系和所述第二扩展BMP路由监控报文中携带的所述发送关系,确定所述接收关系和所述发送关系。
3.根据权利要求1所述的方法,其特征在于,接收所述第一自治系统的第一边界节点发送的扩展BMP报文和所述第一自治系统的第二边界节点发送的扩展BMP报文,包括:
接收所述第一边界节点发送的第一扩展BMP对等体上线通知报文,所述第一扩展BMP对等体上线通知报文携带所述第一边界节点从第二自治系统接收路由信息的接收关系规则,所述接收关系规则包括以客户到提供者的关系接收、以对等体到对等体的关系接收或以提供者到客户的关系接收;
接收所述第二边界节点发送的第二扩展BMP对等体上线通知报文,所述第二扩展BMP对等体上线通知报文携带所述第二边界节点向第三自治系统发送路由信息的发送关系规则,所述发送关系规则包括以客户到提供者的关系发送、以对等体到对等体的关系发送或以提供者到客户的关系发送;
接收所述第二边界节点发送的BMP路由监控报文,所述BMP路由监控报文指示路由前缀的传递路径按顺序包括所述第二自治系统、所述第一自治系统和所述第三自治系统;
所述根据所述第一边界节点发送的扩展BMP报文和所述第一自治系统的第二边界节点发送的扩展BMP报文,确定所述接收关系和所述发送关系,包括:
根据所述第一扩展BMP对等体上线通知报文中携带的所述接收关系规则、所述第二扩展BMP对等体上线通知报文中携带的所述发送关系规则和所述BMP路由监控报文中携带的所述路由前缀的传递路径,确定所述接收关系和所述发送关系。
4.根据权利要求1所述的方法,其特征在于,接收所述第一自治系统的第一边界节点发送的扩展BMP报文和所述第一自治系统的第二边界节点发送的扩展BMP报文,包括:
接收所述第一边界节点发送的第一扩展BMP对等体上线通知报文,所述第一扩展BMP对等体上线通知报文携带所述第一边界节点从所述第二自治系统接收路由信息的接收关系规则,所述接收关系规则包括以客户到提供者的关系接收、以对等体到对等体的关系接收或以提供者到客户的关系接收;
接收所述第二边界节点发送的第二扩展BMP对等体上线通知报文,所述第二扩展BMP对等体上线通知报文携带所述第二边界节点向第三自治系统发送路由信息的发送关系规则,所述发送关系规则包括以客户到提供者的关系发送、以对等体到对等体的关系发送或以提供者到客户的关系发送;
接收所述第一边界节点发送的第一BMP路由监控报文,所述第一BMP路由监控报文指示所述第一边界节点已经从所述第二自治系统接收到路由前缀;
接收所述第二边界节点发送的第二BMP路由监控报文,所述第二BMP路由监控报文指示所述第二边界节点已经向所述第三自治系统发送所述路由前缀;
所述根据所述第一边界节点发送的扩展BMP报文和所述第一自治系统的第二边界节点发送的扩展BMP报文,确定所述接收关系和所述发送关系,包括:
根据所述第一扩展BMP对等体上线通知报文中携带的所述接收关系规则、所述第二扩展BMP对等体上线通知报文中携带的所述发送关系规则、所述第一BMP路由监控报文和所述第二BMP路由监控报文,确定所述接收关系和所述发送关系。
5.根据权利要求1-4任一所述的方法,其特征在于,所述方法还包括:
在确定所述路由前缀存在路由泄露后,输出告警信息,所述告警信息指示所述路由前缀由所述第一自治系统泄露到所述第三自治系统。
6.根据权利要求1所述的方法,其特征在于,所述根据所述接收关系和所述发送关系,确定所述路由前缀是否泄露,包括:
若所述接收关系为对等体到对等体,且所述发送关系为对等体到对等体,则确定所述路由前缀泄露;或者
若所述接收关系为对等体到对等体,且所述发送关系为客户到提供者,则确定所述路由前缀泄露;或者
若所述接收关系为提供者到客户,且所述发送关系为对等体到对等体,则确定所述路由前缀泄露;或者
若所述接收关系为提供者到客户,且所述发送关系为客户到提供者,则确定所述路由前缀泄露。
7.一种用于确定路由泄露的方法,应用于路由设备,所述路由设备是第一自治系统的第一边界节点,其特征在于,包括:
确定已经从第二自治系统接收的路由前缀的接收关系,所述接收关系为客户到提供者、对等体到对等体或提供者到客户;
生成扩展边界网关协议监控协议BMP路由监控报文,所述扩展BMP路由监控报文包括所述接收关系;
向所述第一自治系统的网络监控设备发送所述扩展BMP路由监控报文,以使得所述网络监控设备根据所述接收关系和发送关系确定所述路由前缀是否泄露,所述发送关系为所述第一自治系统的第二边界节点已经向第三自治系统发送的所述路由前缀的发送关系,所述发送关系为客户到提供者、对等体到对等体或提供者到客户。
8.根据权利要求7所述的方法,其特征在于,还包括:
获取从所述第二自治系统接收路由信息的接收关系规则,所述接收关系规则包括以客户到提供者的关系接收,以对等体到对等体的关系接收,或以提供者到客户的关系接收;
接收来自所述第二自治系统的包括所述前缀的路由信息;
所述确定已经从第二自治系统接收的路由前缀的接收关系,包括:
根据所述接收关系规则确定所述接收关系。
9.根据权利要求7或8所述的方法,其特征在于,所述扩展BMP路由监控报文的扩展方式为增加扩展字段,所述扩展字段的报文格式采用类型-长度-值的格式,其中
所述类型字段的值为第一预设值时表示路由前缀源自治系统与本地自治系统之间的关系,为第二预设值时表示本地自治系统与路由前缀发送目的自治系统之间的关系;
所述值字段的值为第三预设值时表示客户到提供者,为第四预设值时表示对等体到对等体,为第五预设值时表示提供者到客户。
10.一种用于确定路由泄露的方法,应用于路由设备,所述路由设备是第一自治系统的第二边界节点,其特征在于,包括:
确定已经向第三自治系统发送的路由前缀的发送关系,所述发送关系为客户到提供者、对等体到对等体或提供者到客户;
生成扩展边界网关协议监控协议BMP路由监控报文,所述扩展BMP路由监控报文中包括所述发送关系;
向所述第一自治系统的网络监控设备发送所述扩展BMP路由监控报文,以使得所述网络监控设备根据所述发送关系和接收关系确定所述路由前缀是否泄露,所述接收关系为所述第一自治系统的第一边界节点已经从第二自治系统接收的所述路由前缀的接收关系,所述接收关系为客户到提供者、对等体到对等体或提供者到客户。
11.根据权利要求10所述的方法,其特征在于,还包括:
获取向所述第三自治系统发送路由信息的发送关系规则,所述发送关系规则包括以客户到提供者的关系发送,以对等体到对等体的关系发送,或以提供者到客户的关系发送;
所述确定已经向第三自治系统发送的路由前缀的发送关系,包括:
根据所述发送关系规则确定所述发送关系。
12.根据权利要求10或11所述的方法,其特征在于,所述扩展BMP路由监控报文的扩展方式为增加扩展字段,所述扩展字段的报文格式采用类型-长度-值的格式,其中
所述类型字段的值为第一预设值时表示路由前缀源自治系统与本地自治系统之间的关系,为第二预设值时表示本地自治系统与路由前缀发送目的自治系统之间的关系;
所述值字段的值为第三预设值时表示客户到提供者,为第四预设值时表示对等体到对等体,为第五预设值时表示提供者到客户。
13.一种用于确定路由泄露的方法,应用于路由设备,所述路由设备是第一自治系统的第一边界节点,其特征在于,包括:
获取从第二自治系统接收路由信息的接收关系规则,所述接收关系规则包括以客户到提供者的关系接收,以对等体到对等体的关系接收,或以提供者到客户的关系接收;
生成扩展边界网关协议监控协议BMP对等体上线通知报文,所述扩展BMP对等体上线通知报文包括所述接收关系规则;
向所述第一自治系统的网络监控设备发送所述扩展BMP对等体上线通知报文,以使得所述网络监控设备根据所述接收关系规则和发送关系,确定所述路由前缀是否泄露,所述发送关系为所述第一自治系统的第二边界节点已经向第三自治系统发送的路由前缀的发送关系,所述发送关系为客户到提供者、对等体到对等体或提供者到客户。
14.根据权利要求13所述的方法,其特征在于,还包括:
接收来自所述第二自治系统的包括路由前缀的路由信息;
根据所述接收的包括所述前缀的路由信息,生成BMP路由监控报文,所述BMP路由监控报文携带所述路由设备已经从所述第二自治系统接收到所述路由前缀的信息;
向所述网络监控设备发送所述BMP路由监控报文。
15.根据权利要求13或14所述的方法,其特征在于,所述扩展BMP对等体上线通知报文的扩展方式为增加扩展字段,所述扩展字段的报文格式采用类型-长度-值的格式,其中
所述类型字段的值为第一预设值时表示路由前缀源自治系统与本地自治系统之间的关系,为第二预设值时表示本地自治系统与路由前缀发送目的自治系统之间的关系;
所述值字段的值为第三预设值时表示客户到提供者,为第四预设值时表示对等体到对等体,为第五预设值时表示提供者到客户。
16.一种用于确定路由泄露的方法,应用于路由设备,所述路由设备是第一自治系统的第二边界节点,其特征在于,包括:
获取向第三自治系统发送路由信息的发送关系规则,所述发送关系规则包括以客户到提供者的关系发送,以对等体到对等体的关系发送,或以提供者到客户的关系发送;
生成扩展边界网关协议监控协议BMP对等体上线通知报文,所述扩展BMP对等体上线通知报文包括所述发送关系规则;
向所述第一自治系统的网络监控设备发送所述扩展BMP对等体上线通知报文;
生成BMP路由监控报文,
所述BMP路由监控报文携带路由前缀的传递路径信息,所述路由前缀为所述路由设备已向所述第三自治系统发送的路由前缀,所述传递路径信息按顺序包括第二自治系统、所述第一自治系统和所述第三自治系统;或
所述BMP路由监控报文携带所述路由设备已经向所述第三自治系统发送路由前缀的信息;
向所述网络监控设备发送所述BMP路由监控报文,以使得所述网络监控设备根据所述发送关系规则、所述BMP路由监控报文和接收关系确定所述路由前缀是否泄露,所述接收关系为所述第一自治系统的第一边界节点已经从所述第二自治系统接收的所述路由前缀的接收关系,所述接收关系为客户到提供者、对等体到对等体或提供者到客户。
17.根据权利要求16所述的方法,其特征在于,所述扩展BMP对等体上线通知报文的扩展方式为增加扩展字段,所述扩展字段的报文格式采用类型-长度-值的格式,其中
所述类型字段的值为第一预设值时表示路由前缀源自治系统与本地自治系统之间的关系,为第二预设值时表示本地自治系统与路由前缀发送目的自治系统之间的关系;
所述值字段的值为第三预设值时表示客户到提供者,为第四预设值时表示对等体到对等体,为第五预设值时表示提供者到客户。
18.一种网络监控设备,所述网络监控设备管理第一自治系统,其特征在于,包括:处理器、存储器和通信接口,其中:
所述处理器、所述存储器和所述通信接口相互连接,所述通信接口用于执行如权利要求1-6中任意一项所述的方法中的接收动作,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-6中任意一项所述的方法中的确定动作。
19.一种路由设备,所述路由设备是第一自治系统的边界节点,其特征在于,包括:处理器、存储器和通信接口,其中:
所述处理器、所述存储器和所述通信接口相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求7-9中任意一项所述的方法中的生成和确定动作;所述通信接口用于执行如权利要求7-9中任意一项所述的方法中的其他动作。
20.一种路由设备,所述路由设备是第一自治系统的边界节点,其特征在于,包括:处理器、存储器和通信接口,其中:
所述处理器、所述存储器和所述通信接口相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求10-12中任意一项所述的方法中的生成和确定动作;所述通信接口用于执行如权利要求10-12中任意一项所述的方法中的其他动作。
21.一种路由设备,所述路由设备是第一自治系统的边界节点,其特征在于,包括:处理器、存储器和通信接口,其中:
所述处理器、所述存储器和所述通信接口相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求13-15中任意一项所述的方法中的生成动作;所述通信接口用于执行如权利要求13-15中任意一项所述的方法中的其他动作。
22.一种路由设备,所述路由设备是第一自治系统的边界节点,其特征在于,包括:处理器、存储器和通信接口,其中,
所述处理器、所述存储器和所述通信接口相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求16-17中任意一项所述的方法中的生成动作;所述通信接口用于执行如权利要求16-17中任意一项所述的方法中的其他动作。
23.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有程序,当所述程序运行时,实现如权利要求1至17中任一项所述的方法。
24.一种用于确定路由泄露的装置,其特征在于,包括:
与程序指令相关的硬件,所述硬件用于执行权利要求1-17中任一项所述的方法。
25.一种确定路由泄露的系统,其特征在于,包括网络监控设备,第一路由设备和第二路由设备,所述网络监控设备为权利要求18所述的网络监控设备;所述第一路由设备为权利要求19或21所述的路由设备;所述第二路由设备为权利要求20或22所述的路由设备。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811158313.4A CN110971522B (zh) | 2018-09-30 | 2018-09-30 | 一种确定路由泄露的方法、设备和系统 |
EP19864222.5A EP3852328B1 (en) | 2018-09-30 | 2019-09-17 | Method, device and system for determining routing leakage |
PCT/CN2019/106072 WO2020063392A1 (zh) | 2018-09-30 | 2019-09-17 | 一种确定路由泄露的方法、设备和系统 |
US17/215,710 US11799774B2 (en) | 2018-09-30 | 2021-03-29 | Method, device, and system for determining route leak |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811158313.4A CN110971522B (zh) | 2018-09-30 | 2018-09-30 | 一种确定路由泄露的方法、设备和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110971522A CN110971522A (zh) | 2020-04-07 |
CN110971522B true CN110971522B (zh) | 2021-09-17 |
Family
ID=69951194
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811158313.4A Active CN110971522B (zh) | 2018-09-30 | 2018-09-30 | 一种确定路由泄露的方法、设备和系统 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11799774B2 (zh) |
EP (1) | EP3852328B1 (zh) |
CN (1) | CN110971522B (zh) |
WO (1) | WO2020063392A1 (zh) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113132228A (zh) * | 2019-12-31 | 2021-07-16 | 华为技术有限公司 | 一种路径校验方法及相关设备 |
CN113572685B (zh) * | 2020-04-29 | 2023-03-10 | 华为技术有限公司 | 一种信息上报方法、信息处理方法、装置及设备 |
US11522749B2 (en) | 2021-01-11 | 2022-12-06 | Cisco Technology, Inc. | Detecting communication pathways affected by session flaps |
CN112887208B (zh) * | 2021-01-27 | 2022-03-22 | 北京邮电大学 | 一种路由泄露检测方法、装置及设备 |
CN112995183A (zh) * | 2021-03-05 | 2021-06-18 | 清华大学 | 一种互联网路由信息泄漏检测方法 |
CN114244734B (zh) * | 2021-11-19 | 2024-02-09 | 新华三技术有限公司合肥分公司 | 报文发送方法及装置 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101005500A (zh) * | 2006-12-31 | 2007-07-25 | 中国科学院计算技术研究所 | 一种基于自治系统关系的边界网关协议路由策略验证方法 |
CN102148832A (zh) * | 2011-04-07 | 2011-08-10 | 清华大学 | 高效的边界网关路由协议路径鉴定方法 |
CN103236978A (zh) * | 2013-04-17 | 2013-08-07 | 清华大学 | As拓扑顶层自治系统结点的确定方法和装置 |
US8675664B1 (en) * | 2011-08-03 | 2014-03-18 | Juniper Networks, Inc. | Performing scalable L2 wholesale services in computer networks using customer VLAN-based forwarding and filtering |
CN105281942A (zh) * | 2014-07-23 | 2016-01-27 | 华为技术有限公司 | 一种发送bgp信息的网络设备和方法 |
CN106060014A (zh) * | 2016-05-18 | 2016-10-26 | 中国互联网络信息中心 | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 |
CN106161256A (zh) * | 2016-07-26 | 2016-11-23 | 杭州华三通信技术有限公司 | 一种边界网关协议bgp路由的处理方法及装置 |
CN106982162A (zh) * | 2016-01-19 | 2017-07-25 | 华为技术有限公司 | 用于转发业务流的方法、装置和系统 |
CN107409092A (zh) * | 2015-02-20 | 2017-11-28 | 思科技术公司 | 针对最优路由反射的优化边界网关协议最佳路径选择 |
CN108134707A (zh) * | 2016-12-01 | 2018-06-08 | 华为技术有限公司 | 一种路由检测的方法及网络设备 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101252488B (zh) * | 2008-04-15 | 2012-07-04 | 中国科学院计算技术研究所 | 一种多自治系统路由器级拓扑处理系统和方法 |
CN101588343A (zh) * | 2008-05-20 | 2009-11-25 | 中国人民解放军信息工程大学 | 前缀与as映射关系的管理方法、报文处理方法和装置 |
CN102104550B (zh) * | 2011-03-10 | 2012-07-04 | 中国人民解放军信息工程大学 | 域间路由系统中自治系统间信任关系的建立和维护方法 |
RU2580063C2 (ru) * | 2011-06-23 | 2016-04-10 | Телефонактиеболагет Лм Эрикссон (Пабл) | Способ и узел для поддержки маршрутизации через путь между автономными системами |
CN102394794A (zh) * | 2011-11-04 | 2012-03-28 | 中国人民解放军国防科学技术大学 | 防范边界网关协议路由劫持的协同监测方法 |
US9826025B2 (en) * | 2013-05-21 | 2017-11-21 | Cisco Technology, Inc. | Chaining service zones by way of route re-origination |
GB2537338A (en) * | 2014-11-28 | 2016-10-19 | Aria Networks Ltd | Modeling a border gateway protocol network |
CN105991567B (zh) * | 2015-02-06 | 2020-07-31 | 南京中兴软件有限责任公司 | 发送处理方法及装置 |
EP3668025B1 (en) * | 2015-07-06 | 2023-09-06 | Huawei Technologies Co., Ltd. | Routing control method, device, and system |
CN106487709A (zh) * | 2015-08-28 | 2017-03-08 | 中兴通讯股份有限公司 | 一种报文发送方法及系统 |
CN106713162B (zh) * | 2015-11-17 | 2020-01-21 | 中国移动通信集团公司 | 统计bgp团体属性或扩展团体属性流量值的方法及装置 |
CN106059916B (zh) * | 2016-05-31 | 2020-10-13 | 新华三技术有限公司 | 一种路由注入方法及装置 |
WO2018148302A1 (en) * | 2017-02-07 | 2018-08-16 | Level 3 Communications, Llc | System and method for next hop bgp routing in a network |
-
2018
- 2018-09-30 CN CN201811158313.4A patent/CN110971522B/zh active Active
-
2019
- 2019-09-17 WO PCT/CN2019/106072 patent/WO2020063392A1/zh unknown
- 2019-09-17 EP EP19864222.5A patent/EP3852328B1/en active Active
-
2021
- 2021-03-29 US US17/215,710 patent/US11799774B2/en active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101005500A (zh) * | 2006-12-31 | 2007-07-25 | 中国科学院计算技术研究所 | 一种基于自治系统关系的边界网关协议路由策略验证方法 |
CN102148832A (zh) * | 2011-04-07 | 2011-08-10 | 清华大学 | 高效的边界网关路由协议路径鉴定方法 |
US8675664B1 (en) * | 2011-08-03 | 2014-03-18 | Juniper Networks, Inc. | Performing scalable L2 wholesale services in computer networks using customer VLAN-based forwarding and filtering |
CN103236978A (zh) * | 2013-04-17 | 2013-08-07 | 清华大学 | As拓扑顶层自治系统结点的确定方法和装置 |
CN105281942A (zh) * | 2014-07-23 | 2016-01-27 | 华为技术有限公司 | 一种发送bgp信息的网络设备和方法 |
CN107409092A (zh) * | 2015-02-20 | 2017-11-28 | 思科技术公司 | 针对最优路由反射的优化边界网关协议最佳路径选择 |
CN106982162A (zh) * | 2016-01-19 | 2017-07-25 | 华为技术有限公司 | 用于转发业务流的方法、装置和系统 |
CN106060014A (zh) * | 2016-05-18 | 2016-10-26 | 中国互联网络信息中心 | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 |
CN106161256A (zh) * | 2016-07-26 | 2016-11-23 | 杭州华三通信技术有限公司 | 一种边界网关协议bgp路由的处理方法及装置 |
CN108134707A (zh) * | 2016-12-01 | 2018-06-08 | 华为技术有限公司 | 一种路由检测的方法及网络设备 |
Non-Patent Citations (1)
Title |
---|
BGP路由泄露研究;贾佳,延志伟,耿光刚,金键;《网络与信息安全学报》;20160831;第2卷(第8期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110971522A (zh) | 2020-04-07 |
EP3852328A1 (en) | 2021-07-21 |
WO2020063392A1 (zh) | 2020-04-02 |
EP3852328A4 (en) | 2021-08-25 |
EP3852328B1 (en) | 2023-11-08 |
US20210234797A1 (en) | 2021-07-29 |
US11799774B2 (en) | 2023-10-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110971522B (zh) | 一种确定路由泄露的方法、设备和系统 | |
CN109981457B (zh) | 一种报文处理的方法、网络节点和系统 | |
US8953479B2 (en) | System and method for license enforcement for data center monitoring applications | |
CN111147380B (zh) | 一种路由处理的方法和网络设备 | |
CN112187649B (zh) | 一种报文转发方法、报文处理方法及装置 | |
CN108924050A (zh) | 数据转发方法及其装置、存储介质和网卡设备 | |
CN108900384A (zh) | 网络流量监控方法、装置及系统、计算机可读存储介质 | |
CN109787823B (zh) | 服务质量QoS标记方法、装置及存储介质 | |
CN108965137A (zh) | 一种报文处理方法和装置 | |
CN109450905A (zh) | 传输数据的方法和装置及系统 | |
WO2022089169A1 (zh) | 计算路由信息发送方法、装置、设备及存储介质 | |
US11343153B2 (en) | BGP logical topology generation method, and device | |
CN108235800A (zh) | 一种网络故障探测方法及控制中心设备 | |
CN114422415A (zh) | 在分段路由中的出口节点处理流 | |
US10623279B2 (en) | Method and network entity for control of value added service (VAS) | |
CN110086702B (zh) | 报文转发方法、装置、电子设备及机器可读存储介质 | |
CN109067666B (zh) | 一种报文传输的方法及装置 | |
CN114389993B (zh) | 一种路由处理的方法和网络设备 | |
CN108965120A (zh) | 路由通告方法、装置、通信设备及存储介质 | |
CN112804159A (zh) | 流量分配方法及装置 | |
CN114363255A (zh) | 数据处理方法、装置和介质 | |
CN114268583A (zh) | 基于sdn的双栈骨干网管理方法、装置、及电子设备 | |
CN113747277A (zh) | 路径确定方法及装置 | |
CN115529114A (zh) | 一种信息传输方法及相关设备 | |
CN115996379A (zh) | 远程证明的方法、装置、设备、系统及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |