CN111147380B - 一种路由处理的方法和网络设备 - Google Patents
一种路由处理的方法和网络设备 Download PDFInfo
- Publication number
- CN111147380B CN111147380B CN201811302078.3A CN201811302078A CN111147380B CN 111147380 B CN111147380 B CN 111147380B CN 201811302078 A CN201811302078 A CN 201811302078A CN 111147380 B CN111147380 B CN 111147380B
- Authority
- CN
- China
- Prior art keywords
- information
- routing
- autonomous system
- network device
- prefix
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/021—Ensuring consistency of routing table updates, e.g. by using epoch numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/30—Routing of multiclass traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/34—Source routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/748—Address table lookup; Address filtering using longest matching prefix
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种路由处理的方法和网络设备。网络设备获得路由前缀和与所述获得的路由前缀关联的自治系统的信息,所述关联的自治系统的信息包括待验证的自治系统的信息。网络设备验证路由来源信息库中是否存在匹配项,所述匹配项包括所述获得的路由前缀和所述待验证的自治系统的信息,并根据所述验证的结果,确定是否发送所述获得的路由前缀。通过在发送路由前缀前,对待发送的路由前缀所关联的自治系统信息进行验证,减少了网络设备发送携带错误的自治系统信息的路由信息的可能性,从而减少了网络流量的流向异常的可能性。
Description
技术领域
本发明涉及通信领域,尤其涉及一种路由的处理方法和网络设备。
背景技术
资源公钥基础设施(resource public key infrastructure,RPKI)方案用于验证边界网关 协议(Border Gateway Protocol,BGP)路由起源信息是否正确。分布式的RPKI服务器收集 各个自治系统(autonomous system,AS)发起的BGP路由的源AS号、含掩码的路由前缀等 信息,路由器与RPKI服务器建立连接,在路由器本地保存路由来源授权(routeorigination authorization,ROA)数据,该数据中包括路由前缀与产生该路由前缀的源自治系统的关系。 当路由器从邻居节点接收到含路由前缀的路由信息后,根据本地保存的ROA数据来验证 从邻居收到的路由前缀的源AS是否正确。RPKI详细的介绍具体可参见标准组织Internet 工程任务组(internet engineering task force,IETF)征求意见稿RFC6810和RFC 6811。
然而,网络中并非所有的路由器都对接收到的路由前缀的源AS信息通过ROA数据进行验证,这样如果接收到的路由前缀的源AS信息被错误地修改,会影响到接收方路由 器的路由计算,导致自治系统间的数据流量脱离预先规划的路径。因为AS的网络管理人 员通常会配置路由器的出口路由策略,如果出口路由策略中包括要修改待发送的路由前缀 的AS路径信息,则路由器在发出路由前缀前会根据出口路由策略来修改该路由前缀的 AS路径信息,那么由于人为的配置错误就可能导致上述情况。
发明内容
本申请提供了一种路由处理的方法和网络设备,通过在发送路由前缀前,对待发送的 路由前缀所关联的自治系统信息进行验证,减少了网络设备发送携带错误的自治系统信息 的路由信息的可能性,从而减少了网络流量的流向异常的可能性。
第一方面,本发明实施例提供一种路由处理的方法,应用于第一自治系统中的网络设 备,该方法包括获得路由前缀和与所述获得的路由前缀关联的自治系统的信息,所述关联 的自治系统的信息包括待验证的自治系统的信息。网络设备验证路由来源信息库中是否存 在匹配项,所述匹配项包括所述获得的路由前缀和所述待验证的自治系统的信息,并根据 所述验证的结果,确定是否发送所述获得的路由前缀。
采用上述方法,网络设备在发送路由前缀前,先验证与该路由前缀的关联的待验证的 自治系统的信息,根据验证结果确定是否发送该路由前缀,减少了网络设备发送携带错误 的自治系统信息的路由信息的可能,从而减少了网络流量的流向异常的可能性。
在第一方面的一种可能的设计中,所述路由来源信息库的表项记录路由前缀和源自治 系统的对应关系,所述待验证的自治系统的信息为所述关联的自治系统的信息中的源自治 系统的信息;或者所述路由来源信息库的表项记录路由前缀和自治系统对的对应关系,所 述待验证的自治系统的信息为所述关联的自治系统的信息中的自治系统路径的信息;或者 所述待验证的自治系统的信息包括所述关联的自治系统的信息中的源自治系统的信息,以 及所述关联的自治系统的信息中的自治系统路径的信息。在这种设计中,可以验证源自治 系统的信息,也可以验证自治系统路径的信息,或者两者都验证。因为每种验证可能都不 能确保发出的路由前缀的自治系统的信息是完全准确的,因此多种验证方式可以同时使用 来增强验证的准确性。
在第一方面的一种可能的设计中,所述路由来源信息库是从资源公钥基础设施服务器 获得的。例如路由来源信息库可以是所述网络设备从资源公钥基础设施服务器下载的,也 可以是资源公钥基础设施服务器主动发送给所述网络设备的(例如是定期发送或按需发 送)。还有一种可能的设计,即网络设备不在本地保存路由来源信息库,而是需要验证的 时候将需要验证的内容发送给资源公钥基础设施服务器。在这种设计中,可以利用现有技 术中的资源公钥基础设施服务器而无需另行开发协议或架构。
在第一方面的一种可能的设计中,所述关联的自治系统的信息是根据配置在所述网络 设备上的出口路由策略修改后的自治系统的信息。在这种设计中,可以验证经出口路由策 略修改后的自治系统的信息是否正确。由于出口路由策略一般是人工配置的,因此可以减 少由于人工配置导致的错误。
在第一方面的一种可能的设计中,获得路由前缀包括从第二自治系统接收路由前缀, 或生成路由前缀,或接收第一自治系统中其他的网络设备产生的路由前缀。在这种设计中, 需要验证的路由前缀可以是网络设备从其他自治系统收到的,也可以是网络设备自身产 生,或网络设备自身所在的自治系统中的其他网络设备产生的,提供了灵活的验证。
在第一方面的一种可能的设计中,所述网络设备为所述第一自治系统的边界节点。进 一步地,该边界节点可以是第一自治系统在路由发送方向的出口边界节点。因为通常自治 系统的内部节点在相互发送路由信息时不会修改自治系统信息中的自治系统路径。这样, 可以将验证功能部署在出口边界节点上,不需要第一自治系统的内部节点也验证。
在第一方面的一种可能的设计中,当所述路由来源信息库中存在匹配所述获得的路由 前缀的表项,且所述表项的自治系统的信息与所述待验证的自治系统的信息不同时,确定 所述路由来源信息库不存在所述匹配项,从而确定不发送所述获得的路由前缀。当确定不 存在匹配项时不发送路由前缀,减少了发送含有错误的自治系统信息的路由前缀的可能。
在第一方面的一种可能的设计中,在确定所述路由来源信息库不存在所述匹配项后, 还输出告警信息。及时输出告警信息可以提供网管人员网络设备上上存在自治系统信息不 匹配的情况。
在第一方面的一种可能的设计中,当所述路由来源信息库中存在匹配所述获得的路 由前缀的表项,且所述表项的自治系统的信息与所述待验证的自治系统的信息相同时,确 定所述路由来源信息库存在所述匹配项,从而确定发送所述获得的路由前缀,然后发送携 带所述获得的路由前缀的路由信息。当确定存在匹配项后发送路由前缀,提高了发出的路 由前缀中的自治系统信息的正确性。
在第一方面的一种可能的设计中,当所述路由来源信息库不存在匹配所述获得的路 由前缀的表项时,确定所述路由来源信息库不存在所述匹配项,这种情况可以被认为验证 结果为“未知”,出现这种情况时,可以根据预先配置的策略确定是否发送所述获得的路由 前缀。预先配置的策略可以是发送所述获得的路由前缀,也可以是不发送所述获得的路由 前缀。这样,当出现验证结果为“未知”的情况,也可以有应对措施。
第二方面,本发明实施例提供一种网络设备,该网络设备是第一自治系统中的网络设 备。该网络设备可用于执行第一方面或第一方面的任意一种可能的实现方式中的方法。具 体地,该网络设备包括用于执行第一方面或第一方面的任意一种可能的实现方式中的方法 的模块。
第三方面,本发明实施例提供一种网络设备,该网络设备是第一自治系统中的网络设 备,包括获得模块,验证模块,和确定模块。获得模块包括路由前缀获得子模块和自治系 统信息获得子模块,所述路由前缀获得子模块用于获得路由前缀,所述自治系统信息获得 子模块用于获得与所述获得的路由前缀关联的自治系统的信息,所述关联的自治系统的信 息包括待验证的自治系统的信息。验证模块用于验证路由来源信息库中是否存在匹配项, 所述匹配项包括所述获得的路由前缀和所述待验证的自治系统的信息。确定模块用于根据 所述验证的结果,确定是否发送所述获得的路由前缀。
在第三方面的一种可能的设计中,所述路由来源信息库的表项记录路由前缀和源自 治系统的对应关系,所述待验证的自治系统的信息为所述关联的自治系统的信息中的源自 治系统的信息;或者所述路由来源信息库的表项记录路由前缀和自治系统对的对应关系, 所述待验证的自治系统的信息为所述关联的自治系统的信息中的自治系统路径的信息;或 者所述待验证的自治系统的信息包括所述关联的自治系统的信息中的源自治系统的信息, 以及所述关联的自治系统的信息中的自治系统路径的信息。
在第三方面的一种可能的设计中,所述网络设备还包括路由来源信息库获得模块,用 于从资源公钥基础设施服务器获得所述路由来源信息库。例如路由来源信息库可以是所述 网络设备从资源公钥基础设施服务器下载的,也可以是资源公钥基础设施服务器主动发送 给所述网络设备的。
在第三方面的一种可能的设计中,所述自治系统信息获得子模块获得的所述关联的 自治系统的信息是根据配置在所述网络设备上的出口路由策略修改后的自治系统的信息。
在第三方面的一种可能的设计中,所述路由前缀获得子模块用于从第二自治系统接 收所述获得的路由前缀,或用于生成所述获得的路由前缀。
在第三方面的一种可能的设计中,所述网络设备为所述第一自治系统的边界节点。
在第三方面的一种可能的设计中,所述验证模块用于当确定所述路由来源信息库中 存在匹配所述获得的路由前缀的表项,且所述表项的自治系统的信息与所述待验证的自治 系统的信息不同时,确定所述路由来源信息库不存在所述匹配项。相应地,所述确定模块 确定不发送所述获得的路由前缀。
在第三方面的一种可能的设计中,还包括告警模块,用于在所述验证模块确定所述路 由来源信息库不存在所述匹配项后,输出告警信息。
在第三方面的一种可能的设计中,所述网络设备还包括发送模块。所述验证模块用于 当确定所述路由来源信息库中存在匹配所述获得的路由前缀的表项,且所述表项的自治系 统的信息与所述待验证的自治系统的信息相同时,确定所述路由来源信息库存在所述匹配 项。相应地,所述确定模块确定发送所述获得的路由前缀,且所述发送模块发送携带所述 获得的路由前缀的路由信息。
第四方面,本发明实施例提供一种网络设备,该网络设备是第一自治系统中的网络设 备。该网络设备包括处理器、存储器和通信接口,其中:所述处理器、所述存储器和所述 通信接口相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所 述处理器被配置用于调用所述程序指令,执行第一方面或第一方面的任意一种可能的实现 方式中的方法。
第五方面,本发明实施例提供一种网络设备,该网络设备是第一自治系统中的网络设 备。该网络设备包括处理器、存储器和通信接口,其中:所述处理器、所述存储器和所述 通信接口相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所 述处理器被配置用于调用所述程序指令,实现第三方面中或第三方面的可能的设计方式中 自治系统信息获得子模块的功能、验证模块和确定模块的功能,以及第三方面的可能的设 计方式中路由前缀获得子模块生成所述获得的路由前缀时的功能。所述通信接口用于实现 第三方面可能的设计方式中路由来源信息库获得模块、告警模块和发送模块的功能。
第六方面,本发明实施例提供一种网络设备,该网络设备是第一自治系统中的网络设 备。该网络设备包括处理器、存储器和通信接口,其中:所述处理器、所述存储器和所述 通信接口相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所 述处理器被配置用于调用所述程序指令,实现第三方面中或第三方面的可能的设计方式中 验证模块和确定模块的功能。所述通信接口用于实现第三方面可能的设计方式中路由前缀 获得子模块从第二自治系统接收所述获得的路由前缀的功能,以及路由来源信息库获得模 块、告警模块和发送模块的功能。所述通信接口和所述处理器配合实现第三方面中或第三 方面的可能的设计方式中自治系统信息获得子模块的功能。或者,所述通信接口独立实现 第三方面中自治系统信息获得子模块的功能。
上述各方面中提供的网络设备所具有的有益效果,请参见第一方面及第一方面的各可 能的设计中关于有益效果的描述,在此不再赘述。
第七方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存 储有程序,当所述程序在计算机上执行时,使得所述计算机执行第一方面及第一方面的任 意一种可能的设计中的方法。
第八方面,本发明实施例一种用于处理路由的装置,包括与程序指令相关的硬件,所述硬件用于执行第一方面及第一方面的任意一种可能的设计中的方法。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中使用的附图作简单地介绍。 显而易见地,下面附图只是本发明的一些实施例的附图,对于本领域普通技术人员来说, 在不付出创造性劳动性的前提下,还可以根据这些附图获得同样能实现本发明的其他技术 方案和附图。
图1为本发明实施例的一个应用场景示意图;
图2为本发明实施例提供的一种方法流程示意图;
图3为本发明实施例提供的一种方法流程示意图;
图4为本发明实施例提供的一种方法流程示意图;
图5为本发明实施例提供的一种网络设备的结构示意图;
图6为本发明实施例提供的一种网络设备的结构示意图。
具体实施方式
图1为本发明实施例的一个应用场景示意图。图1中包括自治系统AS1,AS2,AS3,AS4和AS5,AS1中包括AS1的边界节点R11和R12;AS2中包括AS2的边界节点R21 和R22;AS3中包括AS3的边界节点R31和R32,还包括AS3的内部节点R32;AS4中 包括AS4的边界节点R41和R42;AS5中包括AS5的边界节点R51和R52。各边界节 点可以是具有路由功能的网络设备,例如是路由器或具有路由功能的交换机。
下面描述现有技术中导致网络流量的流向异常的一种情形。如果AS1产生路由前缀 10.1.0.0/16,10.1.0.0/16经AS2和AS3发到AS4;此外,10.1.0.0/16还经过另一条AS路径即经过AS5发给AS4。R41分别从R33和R52接收到含路由前缀为10.1.0.0/16的路由 信息,从R33接到的路由信息包括10.1.0.0/16以及10.1.0.0/16的AS路径为 (AS3,AS2,AS1),标记方式“(AS3,AS2,AS1)”表示10.10.0.0/16的源AS是AS1,10.1.0.0/16 顺次经过AS1,AS2和AS3。从R52接到的路由信息包括10.1.0.0/16以及10.1.0.0/16 的AS路径为(AS5,AS1),(AS5,AS1)指示10.10.0.0/16的源AS为AS1,10.1.0.0/16顺次 经过AS1和AS5。R41在计算到10.1.0.0/16的路由时,会根据选择AS路径较短的规则, 将R52作为下一跳,也即R41会将发往10.1.0.0/16的数据报文发给R52,而不是R33。 假设以上描述的是按照网络规划的正常的流量流向。然而,AS3的管理人员可能会在R33 上配置路由出口策略,该路由出口策略会影响到R33向外发送的路由信息中的AS路径 信息。例如,如果R33的路由出口策略配置出错,导致R33向外发送10.1.0.0/16时的 AS路径从正常的(AS3,AS2,AS1)被修改为仅剩下(AS3),则会导致R41会将发往 10.1.0.0/16的数据报文发给R33,导致网络流量的流向异常。
本发明实施例提供一种路由处理的方法和相应的网络设备,其中,方法和网络设备是 基于同一发明构思的,由于方法和网络设备解决问题的原理相似,因此,网络设备与方法 的实施例可以相互参见,重复之处不再赘述。
在本发明的实施例中,在图1所示的应用场景中,设置有路由来源信息库服务器,例 如可以是RPKI服务器。R33可以从RPKI服务器获得路由来源验证数据,形成路由来源 信息库。路由来源验证数据可以是ROA数据,也可以是自治系统路径授权(autonomous systempath authorizations,ASPA)数据。ROA数据描述路由前缀和源自治系统的对应关 系,用于验证路由前缀的源AS是否正确。ASPA数据描述路由前缀和自治系统对的对应 关系,用于验证路由前缀的AS路径信息是否正确。当然,ROA数据库和ASPA数据库在 实现时也可以是一个数据库,同时提供源AS验证和AS路径验证两种验证信息。这样, R33在向AS4中的R41发送携带10.1.0.0/16的路由信息前,先进行路由来源验证,例如 可以是验证源AS是否正确,也可以是验证AS路径是否正确,或者两者都验证,在通过 验证的情况下,发送携带10.1.0.0/16的路由信息,从而减少上述导致网络流量的流向异常 的可能性。
前面描述的是R33从AS2中接收到源自AS1的10.1.0.0/16的情况。在另一种情况中, 如果10.1.0.0/16是AS3自己产生的,例如是R31产生的,或R32产生的,或R33产生的,那么当AS3中的路由设备发送10.1.0.0/16时,现有技术中缺少验证10.1.0.0/16的路由来源是否正确的方案,因为IETF RFC6810和RFC6811只规定了路由信息的接收方对收到的 路由信息进行路由来源验证。本发明实施例中,R33可以对AS3自己产生的路由前缀进行 验证后再发送,可以提高R33发送到外部的路由前缀的AS来源信息的准确性,从而减少 上述导致网络流量的流向异常的可能性。
本发明各实施例中提到的网络设备可以是具有路由功能的设备,例如是路由器,或具 有路由功能的交换机。
图2为本发明实施例提供的一种方法流程示意图。请结合图1,以图1中的R33作为执行主体,以路由前缀10.1.0.0/16举例。
S201:R33从RPKI服务器下载ROA数据,从而R33本地存有ROA数据,也称为 ROA库。该ROA库的表项记录路由前缀和源AS的对应关系,用于验证路由前缀的源AS 是否正确。
例如在网络规划阶段,AS1的管理员向RPKI服务器对应的国际机构注册了10.1.0.0/16 的源AS为AS1,则R33下载的ROA数据中包括10.1.0.0/16和源AS1的对应关系,换句 话说,R33下载的ROA数据中包括10.1.0.0/16,且10.1.0.0/16对应的源AS为AS1。
可以理解,ROA数据可以不必在每次执行图2的实施例所示的方法时都需要下载。
S202:R33从AS2收到一条源于AS1的路由信息,这条路由信息携带路由前缀为10.1.0.0/16,对应的AS路径信息为(AS2,AS1),表明10.1.0.0/16起源于AS1,经过AS2。 例如,R33从R32接收到该路由信息。
S203:在R33向AS4转发10.1.0.0/16之前,R33把自身所在的AS的信息插入到10.1.0.0/16的AS路径信息中。R33在AS路径信息中插入AS3,形成新的AS路径为(AS3, AS2,AS1),表明10.1.0.0/16起源于AS1,顺次经过AS2和AS3。
S204:在R33向AS4转发10.1.0.0/16前,R33根据配置在R33上的出口路由策略修改AS信息。修改后的AS信息包括待验证的源AS信息。
在图2的实施例中,将验证前的AS信息称为路由前缀关联的自治系统的信息,路由前缀关联的自治系统的信息中包括待验证的源AS信息。例如,假设S204中修改后的AS 路径为(AS3),则把AS路径(AS3)称为10.1.0.0/16关联的AS的信息。S203和S204是可选 步骤,当执行S203但未执行S204时,则将S203中的AS路径(AS3,AS2,AS1)称为 10.1.0.0/16关联的AS的信息;当S203和S204都未执行时,则将S202中的AS路径(AS2, AS1)称为10.1.0.0/16关联的AS的信息。
S205:R33在ROA数据中验证是否存在匹配项,匹配项包括10.1.0.0/16和S204中修改后的AS信息中的待验证的源AS信息。
下面我们分为三种情况来介绍:
情况一、
假如ROA库中有匹配10.1.0.0/16的表项,且该表项的源AS为AS1。如果S204未执行,或S204修改后的AS路径变为(AS9,AS2,AS1),那么待验证的源AS信息为AS1。因 为对于10.1.0.0/16,待验证的源AS与ROA库中的源AS相同,均为AS1,则R33确定 ROA数据中有匹配项,执行S207。
情况二、
假如ROA库中有匹配10.1.0.0/16的表项,且该表项的源AS为AS1,S204修改后的AS路径为(AS3,AS2,AS9),那么待验证的源AS信息为AS9,由于AS1与AS9不同,R33 确定ROA数据中不存在匹配项,执行S206。
情况三、
假如ROA库中没有匹配10.1.0.0/16的表项,R33确定ROA数据中没有匹配项,执 行S208。情况三也可以理解为R33不知道10.1.0.0/16对应的待验证的源AS是否正确, 也可以说验证结果为“未知”。
应理解,以上三种情况仅为举例演示ROA数据中是否存在匹配项的几种情形,不应被视为仅有这三种情况。
S206:确定不发送10.1.0.0/16。在S206后,还可以执行S209。
S207:确定发送10.1.0.0/16给AS4中的R41。之后执行S210。
S208:根据预先配置的策略确定是否发送所述10.1.0.0/16。预先配置的策略可以是发 送10.1.0.0/16,也可以是不发送10.1.0.0/16。
S209:发送告警信息。例如可以向网管工作站发送告警信息,告警信息中可以携带验 证结果为不匹配的路由前缀,还可以携带与此路由前缀相关的信息,例如AS路径的信息。
S210:发送携带10.1.0.0/16和修改后的AS路径的路由信息给AS4中的R41。例如,S204将AS路径修改为(AS9,AS2,AS1),则发送的路由信息中的路由前缀为10.1.0.0/16, AS路径为(AS9,AS2,AS1)。应理解,上述情况一中如果S204未执行,则S210中发送的10.1.0.0/16的AS路径为(AS3,AS2,AS1)
在图2的实施例中,S201,S203,204和S209是可选的。此外步骤的顺序仅为示意,也可以按其他合理的顺序执行,例如S201在S205之前执行即可。
图2所示的实施例,R33在发送路由前缀前,先验证该路由前缀的源AS信息,根据验证结果确定是否发送该路由前缀,提高了发出的路由信息的源AS信息的准确性,从而 减少了网络流量的流向异常的可能性。进一步地,R33验证经过出口路由策略修改后的源 AS信息,可以减少由于人为配置错误导致的源AS信息错误。此外,如ROA库中不存在 匹配的路由前缀,可以根据预先配置的策略灵活处理。另外,如ROA数据匹配结果为不 匹配,可以发送告警,及时通知网络管理人员R33上存在源AS信息不匹配的情况。
图3为本发明实施例提供的一种方法流程示意图。请结合图1,以图1中的R33作为执行主体,以路由前缀10.1.0.0/16举例。图3的实施例验证的是路由前缀所对应的AS路 径的信息。
S301:R33从RPKI服务器下载ASPA数据,从而R33本地存有ASPA数据,也称为 ASPA库。该ASPA库的表项记录路由前缀和自治系统对的对应关系,用于验证路由前缀 的AS路径是否正确。
例如在网络规划阶段,AS1的管理员向RPKI服务器对应的国际机构注册了AS1计划向AS2发送10.1.0.0/16,AS2的管理员向RPKI服务器对应的国际机构注册了AS2计划向 AS3发送10.1.0.0/16,AS3的管理员向RPKI服务器对应的国际机构注册了AS3计划向 AS4发送10.1.0.0/16,则R33下载的ASPA数据中包括10.1.0.0/16,以及10.1.0.0/16对应 的AS对为[AS1,AS2],[A2,AS3]和[AS3,AS4]。标记“[AS1,AS2]”表示AS1向AS2发送。
可以理解,ASPA数据不需要在每次执行图3的实施例所示的方法时都需要下载。
S302和S303:请分别参见S202和S203。
S304:R33根据配置在R33上的出口路由策略修改AS信息。修改后的AS信息包括 待验证的AS路径信息。
在图3的实施例中,将验证前的AS信息称为路由前缀关联的自治系统的信息,关联的AS的信息包括待验证的AS路径信息。例如,假设S304中修改后的AS路径为(AS3, AS5,AS1),则把AS路径(AS3,AS5,AS1)称为10.1.0.0/16关联的AS的信息,待验证的 AS路径信息(AS3,AS5,AS1)。
S305:R33验证在ASPA库中不存在匹配项。
R33在ASPA中查到有匹配10.1.0.0/16的AS对的表项,但该表项中的AS对和待验证的AS路径信息(AS3,AS5,AS1)均不匹配(也即均不相同),因为待验证的AS路径信 息表明了10.1.0.0/16的源AS是AS1,AS1发给AS5,AS5发给AS3。因此,R33验证 在ASPA库中不存在匹配项。之后执行S306。
S306:R33确定不发送10.1.0.0/16。之后执行S307。
S307:R33发送告警信息。S307为可选的步骤。
下面基于图3的实施例,举例说明其他几种可能的实现方式,应理解不限于这几种可 能的实现方式:
在一种可能的情况下,ASPA库中包括10.1.0.0/16,以及10.1.0.0/16对应的AS对为 [AS1,AS2],[A2,AS3]和[AS3,AS4]。S304未执行,待验证的AS路径为(AS3,AS2,AS1),R33确定ASPA库中存在匹配项,确定发送10.1.0.0/16,发送携带10.1.0.0且AS路径为(AS3,AS2,AS1)的路由信息。
在一种可能的情况下,ASPA库中不存在匹配10.1.0.0/16的表项,R33确定ASPA库中不存在匹配项,根据预先配置的策略确定是否发送所述10.1.0.0/16。预先配置的策略可以是发送10.1.0.0/16,也可以是不发送10.1.0.0/16。这种情况也可以理解为R33不知道10.1.0.0/16的待验证的AS路径信息是否正确,也可以说验证结果为“未知”。
在一种可能的情况下,ASPA库中包括10.1.0.0/16,以及10.1.0.0/16对应的AS对为 [AS1,AS2],[A2,AS3]和[AS3,AS4]。S303和S304均未执行,待验证的AS路径为(AS2,AS1),因为待验证的AS路径匹配了AS对[AS1,AS2],R33确定ASPA库中存在匹配项, 确定发送10.1.0.0/16,发送携带10.1.0.0且AS路径为(AS2,AS1)的路由信息。
在一种可能的情况下,ASPA库中包括10.1.0.0/16,以及10.1.0.0/16对应的AS对为 [AS1,AS2],[A2,AS3]和[AS3,AS4]。S303执行后的AS路径为(AS3,AS2,AS1),S304修 改后的AS路径为(AS2,AS1),R33确定ASPA库中存在匹配项,确定发送10.1.0.0/16, 发送携带10.1.0.0且AS路径为(AS2,AS1)的路由信息。
图3所示的实施例,R33在发送路由前缀前,先验证路由前缀的AS路径信息,根据验证结果确定是否发送该路由前缀,提高了发出的路由信息的AS路径信息的准确性,从 而减少了网络流量的流向异常的可能性。进一步地,R33验证经过出口路由策略修改后的 AS路径信息,可以减少由于人为配置错误导致的AS路径信息错误。此外,如ASPA库 中不存在匹配的路由前缀,可以根据预先配置的策略灵活处理。另外,如ASPA数据匹配 结果为“不匹配”,可以发送告警,及时通知网络管理人员R33上存在AS路径信息不匹配 的情况。
图4为本发明实施例提供的一种方法流程示意图。请结合图1,以图1中的R33作为执行主体,以路由前缀10.1.0.0/16举例。图4中10.1.0.0/16是AS3自身产生的,例如是 R33产生的。
S401:R33从RPKI服务器下载ROA数据,从而R33本地存有ROA数据,也称为 ROA库。该ROA库的表项记录路由前缀和源AS的对应关系,用于验证路由前缀的源AS 是否正确。
例如在网络规划阶段,AS3的管理员向RPKI服务器对应的国际机构注册了10.1.0.0/16 的源AS为AS3,则R33下载的ROA数据中包括10.1.0.0/16和源AS3的对应关系,换句 话说,R33下载的ROA数据中包括10.1.0.0/16,且10.1.0.0/16对应的源AS为AS3。
可以理解,ROA数据可以不必在每次执行图2的实施例所示的方法时都需要下载。
S402:R33产生路由前缀为10.1.0.0/16。
S403:R33将10.1.0.0/16和源AS1关联。在R33向AS4发送携带10.1.0.0/16的路由信息时,R33把自身所在的AS信息(即AS3)插入到10.1.0.0/16的AS路径中。此时AS3 是10.1.0.0/16的源AS。
S404:在R33向AS4发送10.1.0.0/16前,R33根据配置在R33上的出口路由策略修改AS信息。在图4的实施例中,将验证前的AS信息称为路由前缀关联的AS信息,该 关联的AS信息中包括待验证的AS信息。假设修改后的AS路径为(AS1),10.1.0.0/16关 联的AS信息即(AS1),待验证的AS信息为源AS信息,即AS1。
S405:R33在ROA数据中验证不存在匹配项。因为待验证的源AS信息为AS1,而 ROA库中与10.1.0.0/16对应的源AS为AS3,由于AS1与AS3不同,R33确定ROA数 据中不存在匹配项。执行执行S406。
S406:R33确定不发送10.1.0.0/16。之后可执行S407。
下面基于图4的实施例,举例说明其他几种可能的实现方式,应理解不限于这几种可 能的实现方式:
在一种可能的情况下,请参加图2实施例中的情况一,S404未执行,或S404虽然执行了但S404修改后的AS路径的源AS仍是AS3(例如S404修改后的AS路径为(AS2,AS3)), 则R33确定ROA数据中有匹配项,请参见图2实施例中的情况一。
在一种可能的情况下,假如ROA库中没有匹配10.1.0.0/16的表项,R33确定ROA 数据中没有匹配项,请参见图2实施例中的情况三。
在图4的实施例中,S401,S404,S407是可选的。此外步骤的顺序仅为示意,也可以按其他合理的顺序执行,例如S401在S405之前执行即可。
以上是以R33生成10.1.0.0/16,因而10.1.0.0/16的源AS是AS3来举例的。应理解,10.1.0.0/16也可以是R31或R32产生并发送给R33,这种情况下10.1.0.0/16的源AS仍然 是AS3,执行方法请参加图4中的实施例,不再赘述。
图4所示的实施例中,AS3中的网络设备在发送源AS为AS3的路由前缀前,先验 证该路由前缀的源AS信息,根据验证结果确定是否发送该路由前缀,提高了发出的路由 信息的源AS信息的准确性,从而减少了网络流量的流向异常的可能性。其余有益效果请 参见图2的实施例中的有益效果描述。
图2-图4实施例描述的是R33作为执行主体。在其他的实现方式中,AS3中的R31 或R32也可以和RPKI服务器建立连接,下载ROA数据或ASPA数据,在发送10.1.0.0/16 前,验证10.1.0.0/16对应的AS信息,具体方法请参见图2-图4实施例中的R33执行的步 骤,在此不再赘述。
图2-图4的实施例中,R33从RPKI服务器下载ROA数据或ASPA数据。在另一种 可能的设计中,RPKI服务器主动推送ROA数据或ASPA数据给R33。
图5示出了上述方法实施例中所涉及的网络设备的一种可能的结构示意图,该网络设 备500可以是图1中的R31,R32或R33。如网络设备500是图1中的R33的话,网络设 备500实现图2、图3或图4所示的实施例中的R33的功能。参阅图5,该网络设备500 包括:获得模块501,验证模块502和确定模块503。这些模块些可以执行上述方法实施 例中网络设备相应功能。获得模块可以包括路由前缀获得子模块和自治系统信息获得子模 块,用于支持网络设备500执行图2中的S202-S205,图3中S302-S305或图4中的 S402-S404。验证模块502用于支持网络设备500执行图2中的S205,图3中的S305或 图4中的S405。确定模块503用于支持网络设备500执行图2中的S206-S208,图3中 的S306或图4中的S406。网络设备500还包括路由来源信息库获得模块504和发送模块 506。路由来源信息库获得模块504用于支持网络设备500执行图2中的S201,图3中 的S301或图4中的S401,发送模块506用于支持网络设备500执行图2中的S210。可选 的,网络设备500还包括告警模块505,用于支持网络设备500执行图2中的S209,图3 中的S307,或图4中的S407。
具体执行过程请参考上述图2、图3或图4中所示实施例中相应步骤的详细描述,这里不再一一赘述。
采用集成的模块的情况下,图5实施例中的模块可以集成,例如图5实施例中的 验证模块502和确定模块503可以合并为一个模块。
图6示出了上述方法实施例中所涉及的网络设备的一种可能的结构示意图。该网络设 备600可以是图1中的R31,R32或R33。如网络设备600是图1中的R33的话,网络设 备600实现图2、图3或图4所示的实施例中的R33的功能。网络设备600包括:处理器 601、存储器602和通信接口603及总线604,其中,处理器601、通信接口603以及存储 器602通过总线604相互连接;总线604可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture, 简称EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示, 图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。处理器601用于 存储计算机程序,所述计算机程序包括程序指令,处理器601被配置用于调用所述程序指 令,执行图2,图3或图4中各步骤。
在一种可能的设计中,通信接口603执行图2中的S201,S202,S209和S210,或图 3中的S301,S302和S307,或图4中的S401和S407;处理器601被配置用于调用所述 程序指令,执行图2中的S203-S208,图3中的S303-S306,或图4中的S402-S406。
本发明实施例还提供了一种计算机存储介质,所述计算机可读存储介质上存储有程 序,当所述程序运行时,使得所述计算机实现前述方法实施例中的方法。
本发明实施例还提供了一种处理路由的装置,包括与程序指令相关的硬件,所述硬件 用于前述方法实施例中的方法。
本发明实施例中提到的“第一”只是用来做名字标识,并不代表顺序上的第一。该规 则同样适用于“第二”。
本发明实施例公开内容所描述的方法步骤可以硬件的方式来实现,也可以是由处理器 执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放 于随机存取存储器(random access memory,RAM)、闪存、只读存储器(read onlymemory, ROM)、可擦除可编程只读存储器(erasable programmable ROM,EPROM)、电可擦可编 程只读存储器(electrically EPROM,EEPROM)、硬盘、移动硬盘、光盘或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可 以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存 储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计 算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一 个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可 用介质。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细 说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的 保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均 应包括在本发明的保护范围之内。
Claims (23)
1.一种路由处理的方法,应用于第一自治系统中的网络设备,其特征在于,包括:
获得路由前缀和与所述获得的路由前缀关联的自治系统的信息,所述关联的自治系统的信息包括待验证的自治系统的信息,所述关联的自治系统的信息是执行配置在所述网络设备上的出口路由策略后的自治系统的信息;
验证路由来源信息库中是否存在匹配项,所述匹配项包括所述获得的路由前缀和所述待验证的自治系统的信息;
根据所述验证的结果,确定是否发送所述获得的路由前缀。
2.根据权利要求1所述的方法,其特征在于,所述路由来源信息库的表项记录路由前缀和源自治系统的对应关系,所述待验证的自治系统的信息为所述关联的自治系统的信息中的源自治系统的信息;
或者
所述路由来源信息库的表项记录路由前缀和自治系统对的对应关系,所述待验证的自治系统的信息为所述关联的自治系统的信息中的自治系统路径的信息。
3.根据权利要求1或2所述的方法,其特征在于,所述路由来源信息库是从资源公钥基础设施服务器获得的。
4.根据权利要求1-3任一所述的方法,其特征在于,所述关联的自治系统的信息是根据配置在所述网络设备上的出口路由策略修改后的自治系统的信息。
5.根据权利要求1-4任一所述的方法,其特征在于,
所述获得路由前缀包括:
从第二自治系统接收所述获得的路由前缀;或者
所述获得路由前缀包括:
生成所述获得的路由前缀。
6.根据权利要求1-5任一所述的方法,其特征在于,所述网络设备为所述第一自治系统的边界节点。
7.根据权利要求1-6任一所述的方法,其特征在于,
所述验证路由来源信息库中是否存在匹配项包括:
当所述路由来源信息库中存在匹配所述获得的路由前缀的表项,且所述表项的自治系统的信息与所述待验证的自治系统的信息不同时,确定所述路由来源信息库不存在所述匹配项;
所述根据所述验证的结果,确定是否发送所述获得的路由前缀,包括:
确定不发送所述获得的路由前缀。
8.根据权利要求7所述的方法,其特征在于,在确定所述路由来源信息库不存在所述匹配项后,还包括:
输出告警信息。
9.根据权利要求1-6任一所述的方法,其特征在于,
所述验证路由来源信息库中是否存在匹配项包括:
当所述路由来源信息库中存在匹配所述获得的路由前缀的表项,且所述表项的自治系统的信息与所述待验证的自治系统的信息相同时,确定所述路由来源信息库存在所述匹配项;
所述根据所述验证的结果,确定是否发送所述获得的路由前缀,包括:
确定发送所述获得的路由前缀;
所述方法还包括:
发送携带所述获得的路由前缀的路由信息。
10.根据权利要求1-6任一所述的方法,其特征在于,
所述验证路由来源信息库中是否存在匹配项包括:
当所述路由来源信息库不存在匹配所述获得的路由前缀的表项时,确定所述路由来源信息库不存在所述匹配项;
所述根据所述验证的结果,确定是否发送所述获得的路由前缀,包括:
根据预先配置的策略确定是否发送所述获得的路由前缀。
11.一种网络设备,所述网络设备是第一自治系统中的网络设备,其特征在于,包括:
获得模块,所述获得模块包括路由前缀获得子模块和自治系统信息获得子模块,所述路由前缀获得子模块用于获得路由前缀,所述自治系统信息获得子模块用于获得与所述获得的路由前缀关联的自治系统的信息,所述关联的自治系统的信息包括待验证的自治系统的信息,所述关联的自治系统的信息是执行配置在所述网络设备上的出口路由策略后的自治系统的信息;
验证模块,用于验证路由来源信息库中是否存在匹配项,所述匹配项包括所述获得的路由前缀和所述待验证的自治系统的信息;
确定模块,用于根据所述验证的结果,确定是否发送所述获得的路由前缀。
12.根据权利要求11所述的网络设备,其特征在于,所述路由来源信息库的表项记录路由前缀和源自治系统的对应关系,所述待验证的自治系统的信息为所述关联的自治系统的信息中的源自治系统的信息;
或者
所述路由来源信息库的表项记录路由前缀和自治系统对的对应关系,所述待验证的自治系统的信息为所述关联的自治系统的信息中的自治系统路径的信息。
13.根据权利要求11或12所述的网络设备,其特征在于,还包括:
路由来源信息库获得模块,用于从资源公钥基础设施服务器获得所述路由来源信息库。
14.根据权利要求11-13任一所述的网络设备,其特征在于,所述自治系统信息获得子模块获得的所述关联的自治系统的信息是根据配置在所述网络设备上的出口路由策略修改后的自治系统的信息。
15.根据权利要求11-14任一所述的网络设备,其特征在于,所述
路由前缀获得子模块,用于从第二自治系统接收所述获得的路由前缀,或用于生成所述获得的路由前缀。
16.根据权利要求11-15任一所述的网络设备,其特征在于,所述网络设备为所述第一自治系统的边界节点。
17.根据权利要求11-16任一所述的网络设备,其特征在于,所述验证模块用于当确定所述路由来源信息库中存在匹配所述获得的路由前缀的表项,且所述表项的自治系统的信息与所述待验证的自治系统的信息不同时,确定所述路由来源信息库不存在所述匹配项;
相应地,所述确定模块确定不发送所述获得的路由前缀。
18.根据权利要求17所述的网络设备,其特征在于,还包括告警模块,用于在所述验证模块确定所述路由来源信息库不存在所述匹配项后,输出告警信息。
19.根据权利要求11-16任一所述的网络设备,其特征在于,所述网络设备还包括发送模块;
所述验证模块用于当确定所述路由来源信息库中存在匹配所述获得的路由前缀的表项,且所述表项的自治系统的信息与所述待验证的自治系统的信息相同时,确定所述路由来源信息库存在所述匹配项;
相应地,所述确定模块确定发送所述获得的路由前缀,且所述发送模块发送携带所述获得的路由前缀的路由信息。
20.根据权利要求11-16任一所述的网络设备,其特征在于,所述验证模块用于当确定所述路由来源信息库不存在匹配所述获得的路由前缀的表项时,确定所述路由来源信息库不存在所述匹配项;
相应地,所述确定模块根据预先配置的策略确定是否发送所述获得的路由前缀。
21.一种网络设备,所述网络设备是第一自治系统中的网络设备,其特征在于,包括:处理器、存储器和通信接口,其中:所述处理器、所述存储器和所述通信接口相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-10中任意一项所述的方法。
22.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有程序,当所述程序在计算机上执行时,使得所述计算机执行如权利要求1至10任意一项所述的方法。
23.一种用于处理路由的装置,其特征在于,包括:
与程序指令相关的硬件,所述硬件用于执行权利要求1-10中任一项所述的方法。
Priority Applications (12)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111397210.5A CN114389994B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
| CN201811302078.3A CN111147380B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
| CN202111397187.XA CN114389993A (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
| BR112021008177-1A BR112021008177A2 (pt) | 2018-11-02 | 2019-11-02 | método de processamento de rota e dispositivo de rede |
| JP2021523608A JP7187692B2 (ja) | 2018-11-02 | 2019-11-02 | ルート処理方法およびネットワークデバイス |
| KR1020217015372A KR102620025B1 (ko) | 2018-11-02 | 2019-11-02 | 경로 처리 방법 및 네트워크 장치 |
| MX2021005034A MX2021005034A (es) | 2018-11-02 | 2019-11-02 | Metodo de procesamiento de ruta y dispositivo de red. |
| PCT/CN2019/115174 WO2020088684A1 (zh) | 2018-11-02 | 2019-11-02 | 一种路由处理的方法和网络设备 |
| EP23194164.2A EP4304149A3 (en) | 2018-11-02 | 2019-11-02 | Method and network device for routing processing |
| EP19880184.7A EP3863243B1 (en) | 2018-11-02 | 2019-11-02 | Method and network device for routing processing |
| US17/306,740 US11863447B2 (en) | 2018-11-02 | 2021-05-03 | Route processing method and network device |
| JP2022190316A JP7434504B2 (ja) | 2018-11-02 | 2022-11-29 | ルート処理方法およびネットワークデバイス |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811302078.3A CN111147380B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
Related Child Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111397187.XA Division CN114389993A (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
| CN202111397210.5A Division CN114389994B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111147380A CN111147380A (zh) | 2020-05-12 |
| CN111147380B true CN111147380B (zh) | 2021-11-30 |
Family
ID=70463822
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811302078.3A Active CN111147380B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
| CN202111397187.XA Pending CN114389993A (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
| CN202111397210.5A Active CN114389994B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
Family Applications After (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111397187.XA Pending CN114389993A (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
| CN202111397210.5A Active CN114389994B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US11863447B2 (zh) |
| EP (2) | EP3863243B1 (zh) |
| JP (2) | JP7187692B2 (zh) |
| KR (1) | KR102620025B1 (zh) |
| CN (3) | CN111147380B (zh) |
| BR (1) | BR112021008177A2 (zh) |
| MX (1) | MX2021005034A (zh) |
| WO (1) | WO2020088684A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113839859B (zh) * | 2020-06-23 | 2023-05-23 | 华为技术有限公司 | 一种报文通告的方法以及相关装置 |
| CN112003822B (zh) * | 2020-07-15 | 2022-11-01 | 互联网域名系统北京市工程研究中心有限公司 | 路由起源授权的质量检测方法和装置 |
| US11930037B2 (en) * | 2020-10-08 | 2024-03-12 | Charter Communications Operating, Llc | Validation and implementation of flow specification (Flowspec) rules |
| CN114598487B (zh) * | 2020-12-04 | 2023-06-02 | 华为技术有限公司 | 一种验证as对的方法、装置及设备 |
| CN114143807B (zh) * | 2021-10-27 | 2023-08-08 | 中盈优创资讯科技有限公司 | 一种路由注册完整率评价方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102957606A (zh) * | 2011-08-30 | 2013-03-06 | 中兴通讯股份有限公司 | 一种路由信息通告方法及装置 |
| CN106060014A (zh) * | 2016-05-18 | 2016-10-26 | 中国互联网络信息中心 | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 |
| CN108718247A (zh) * | 2018-04-16 | 2018-10-30 | 哈尔滨工业大学 | 一种基于虚拟化技术的自治域级网络模拟方法 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3623680B2 (ja) | 1999-01-11 | 2005-02-23 | 株式会社日立製作所 | 経路検証機能を備えるネットワークシステム、経路管理装置及び交換機 |
| JP4413833B2 (ja) | 2005-08-15 | 2010-02-10 | 日本電信電話株式会社 | 不正経路監視システムおよび方法 |
| US20070091794A1 (en) * | 2005-10-20 | 2007-04-26 | Clarence Filsfils | Method of constructing a backup path in an autonomous system |
| CN100466562C (zh) * | 2006-06-23 | 2009-03-04 | 华为技术有限公司 | 一种发送测试路由的方法和系统 |
| CN100483997C (zh) * | 2006-09-19 | 2009-04-29 | 清华大学 | 基于自治系统互联关系的真实IPv6源地址验证方法 |
| CN101155054A (zh) * | 2006-09-28 | 2008-04-02 | 华为技术有限公司 | 自治系统域间pce路径自动探测和计算的方法和装置 |
| CN101005500A (zh) * | 2006-12-31 | 2007-07-25 | 中国科学院计算技术研究所 | 一种基于自治系统关系的边界网关协议路由策略验证方法 |
| JP5018484B2 (ja) * | 2008-01-08 | 2012-09-05 | 日本電気株式会社 | 通信制御装置 |
| CN101588343A (zh) * | 2008-05-20 | 2009-11-25 | 中国人民解放军信息工程大学 | 前缀与as映射关系的管理方法、报文处理方法和装置 |
| US8098584B2 (en) * | 2009-08-07 | 2012-01-17 | Microsoft Corporation | Optimization of traffic routing for data center services |
| JP2011087302A (ja) * | 2009-10-19 | 2011-04-28 | Ip Infusion Inc | Bgp経路監視装置、bgp経路監視方法、およびプログラム |
| CN102158469A (zh) * | 2011-01-27 | 2011-08-17 | 电子科技大学 | 一种边界网关协议前缀劫持攻击防范方法 |
| US9253087B2 (en) * | 2012-04-24 | 2016-02-02 | Futurewei Technologies, Inc. | Principal-identity-domain based naming scheme for information centric networks |
| US9338080B2 (en) * | 2012-09-14 | 2016-05-10 | Cisco Technology, Inc. | Performing offline BGP prefix origin and path validation at route reflectors |
| EP2922250B1 (en) * | 2012-11-15 | 2019-05-15 | Nec Corporation | Control apparatus, communication system, control information creating method and program |
| US9654482B2 (en) | 2014-01-22 | 2017-05-16 | Cisco Technology, Inc. | Overcoming circular dependencies when bootstrapping an RPKI site |
| US9608858B2 (en) * | 2014-07-21 | 2017-03-28 | Cisco Technology, Inc. | Reliable multipath forwarding for encapsulation protocols |
| EP3235209B1 (en) * | 2014-12-18 | 2020-12-02 | Nokia Solutions and Networks Oy | Trusted routing between communication network systems |
| CN107005474B (zh) * | 2015-07-06 | 2020-10-16 | 华为技术有限公司 | 路由控制的方法、设备和系统 |
| CN105376098B (zh) * | 2015-11-30 | 2019-06-14 | 中国互联网络信息中心 | 一种路由源和路径双重验证方法 |
| CN106059932B (zh) * | 2016-08-08 | 2020-12-11 | 新华三技术有限公司 | 一种路由表项生成方法及装置 |
| US10015081B1 (en) * | 2016-09-29 | 2018-07-03 | Cisco Technology, Inc. | Poison-path routing policy |
| US10715543B2 (en) * | 2016-11-30 | 2020-07-14 | Agari Data, Inc. | Detecting computer security risk based on previously observed communications |
| CN108092897B (zh) * | 2017-11-23 | 2020-07-21 | 浙江大学 | 一种基于sdn的可信路由源管理方法 |
-
2018
- 2018-11-02 CN CN201811302078.3A patent/CN111147380B/zh active Active
- 2018-11-02 CN CN202111397187.XA patent/CN114389993A/zh active Pending
- 2018-11-02 CN CN202111397210.5A patent/CN114389994B/zh active Active
-
2019
- 2019-11-02 BR BR112021008177-1A patent/BR112021008177A2/pt unknown
- 2019-11-02 WO PCT/CN2019/115174 patent/WO2020088684A1/zh unknown
- 2019-11-02 EP EP19880184.7A patent/EP3863243B1/en active Active
- 2019-11-02 JP JP2021523608A patent/JP7187692B2/ja active Active
- 2019-11-02 EP EP23194164.2A patent/EP4304149A3/en active Pending
- 2019-11-02 MX MX2021005034A patent/MX2021005034A/es unknown
- 2019-11-02 KR KR1020217015372A patent/KR102620025B1/ko active IP Right Grant
-
2021
- 2021-05-03 US US17/306,740 patent/US11863447B2/en active Active
-
2022
- 2022-11-29 JP JP2022190316A patent/JP7434504B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102957606A (zh) * | 2011-08-30 | 2013-03-06 | 中兴通讯股份有限公司 | 一种路由信息通告方法及装置 |
| CN106060014A (zh) * | 2016-05-18 | 2016-10-26 | 中国互联网络信息中心 | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 |
| CN108718247A (zh) * | 2018-04-16 | 2018-10-30 | 哈尔滨工业大学 | 一种基于虚拟化技术的自治域级网络模拟方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114389994A (zh) | 2022-04-22 |
| KR20210080479A (ko) | 2021-06-30 |
| KR102620025B1 (ko) | 2023-12-29 |
| EP3863243B1 (en) | 2023-09-27 |
| EP4304149A2 (en) | 2024-01-10 |
| EP3863243A1 (en) | 2021-08-11 |
| CN111147380A (zh) | 2020-05-12 |
| MX2021005034A (es) | 2021-06-15 |
| JP7434504B2 (ja) | 2024-02-20 |
| JP7187692B2 (ja) | 2022-12-12 |
| US20210258256A1 (en) | 2021-08-19 |
| BR112021008177A2 (pt) | 2021-08-03 |
| US11863447B2 (en) | 2024-01-02 |
| EP4304149A3 (en) | 2024-04-10 |
| JP2022511665A (ja) | 2022-02-01 |
| WO2020088684A1 (zh) | 2020-05-07 |
| JP2023024483A (ja) | 2023-02-16 |
| CN114389993A (zh) | 2022-04-22 |
| CN114389994B (zh) | 2022-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111147380B (zh) | 一种路由处理的方法和网络设备 | |
| US10454822B2 (en) | Full-path validation in segment routing | |
| US7668082B1 (en) | Network routing using link failure information | |
| CN111585890B (zh) | 基于SRv6的网络路径验证方法及系统 | |
| CN110971522B (zh) | 一种确定路由泄露的方法、设备和系统 | |
| US10447653B2 (en) | Trusted routing between communication network systems | |
| US10091102B2 (en) | Tunnel sub-interface using IP header field | |
| CN115426306A (zh) | 一种确定报文转发路径的方法、网络节点及系统 | |
| CN111385246B (zh) | 一种安全路由识别方法及装置 | |
| US8161185B2 (en) | Method and apparatus for assigning IPv6 link state identifiers | |
| CN112398741B (zh) | 学习路由的方法、转发报文的方法、设备和存储介质 | |
| CN114143283A (zh) | 一种隧道自适应配置方法、装置,中心端设备及通信系统 | |
| US20150263945A1 (en) | High assurance packet router | |
| Sriram | BGPSEC design choices and summary of supporting discussions | |
| EP3461079A1 (en) | Path establishment method and device, and network node | |
| US7626948B1 (en) | System and method for verifying the validity of a path in a network environment | |
| CN112511437B (zh) | 验证业务链的方法、发送节点、转发节点、业务功能节点 | |
| CN105592054B (zh) | 一种lsp报文的处理方法和装置 | |
| CN101558401A (zh) | 在多个mpls网络上的服务质量和加密 | |
| Maria et al. | Design and Implementation of the End System to Intermediate System (ES-IS) Routing Information Exchange Protocol as a Loadable Kernel Module in Linux Kernel 2.6 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |