CN112532621B - 一种流量清洗方法、装置、电子设备及存储介质 - Google Patents
一种流量清洗方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN112532621B CN112532621B CN202011356596.0A CN202011356596A CN112532621B CN 112532621 B CN112532621 B CN 112532621B CN 202011356596 A CN202011356596 A CN 202011356596A CN 112532621 B CN112532621 B CN 112532621B
- Authority
- CN
- China
- Prior art keywords
- flow
- forwarding
- core router
- cleaning
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Abstract
本说明书提供一种流量清洗方法,其特征在于,应用于流量清洗设备,所述流量清洗设备旁挂部署于核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,所述方法包括:发送牵引路由至第一转发设备,所述牵引路由用于指示所述第一转发设备,将准备发送至第二转发设备的互访流量通过所述核心路由器组发送至所述流量清洗设备;对获取到的所述互访流量进行流量清洗,获得清洗后的正常流量;将所述正常流量通过所述核心路由器组发送至所述第二转发设备。本说明书实现了内网内部互访流量的流量牵引、清洗以及回注,节省了网络建设与维护的成本,提高了网络的稳定性以及流量清洗设备的处理性能。
Description
技术领域
本说明书涉及通信技术领域,尤其涉及一种流量清洗方法、装置、电子设备及存储介质。
背景技术
流量清洗技术是指针对发起的DOS/DDOS(拒绝服务/分布式拒绝服务)攻击,进行监控、告警和防护的一种网络安全服务。
相关技术中,在内网的网络环境下,可以对外网访问内网的纵向业务进行流量清洗,而当需要完成对网络内部的横向互访流量进行流量清洗时,有以下两种方案:其一,流量清洗设备不再旁挂部署于核心路由器,而是下沉旁路,部署在各汇聚交换机,并利用IP路由技术完成流量牵引,利用MPLS(多协议标签交换)技术完成流量回注;其二,流量清洗设备直接串接部署在现有网络的近汇聚交换机侧或近核心路由器侧,从而规避引流回注的问题。
对于上述方案一,由于需要对每一个汇聚交换机都部署一套流量清洗设备,所以当网络规模较大时,将大幅提高网络的建设成本和维护难度。对于上述方案二,由于流量清洗设备直接串接在现有网络中,因此改变了现有网络的拓扑结构,使得网络的单点故障增加,流量清洗设备也会因为直接参与所有报文的转发而使得自身的处理压力增大,处理性能下降;且如果流量清洗设备串接在近汇聚交换机侧,则依然需要多套清洗设备参与网络建设,成本较大。
发明内容
为克服相关技术中存在的问题,本说明书提供了一种流量清洗方法、装置、电子设备及存储介质。
根据本说明书实施例的第一方面,提供一种流量清洗方法,所述方法包括:
所述方法应用于流量清洗设备,所述流量清洗设备旁挂部署于核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,其中,所述方法包括:
发送牵引路由至第一转发设备,所述牵引路由用于指示所述第一转发设备,将准备发送至第二转发设备的互访流量通过所述核心路由器组发送至所述流量清洗设备;
对获取到的所述互访流量进行流量清洗,获得清洗后的正常流量;
将所述正常流量通过所述核心路由器组发送至所述第二转发设备。
可选的,根据本说明书实施例的第一方面所述的方法,所述核心路由器组为MPLS网络中的P设备,所述流量清洗设备和所述转发设备为所述MPLS网络中的PE设备。
可选的,所述发送牵引路由至第一转发设备,包括:
监测所述互访流量,并在发现流量异常时,定向发送牵引路由至所述第一转发设备。
可选的,所述定向发送牵引路由至第一转发设备,包括:
发送所述牵引路由至所述第一转发设备,以在所述第一转发设备对应于多个网段的情况下,使所述第一转发设备将所述牵引路由添加至所述多个网段中的流量异常网段对应的路由表中。
可选的,所述牵引路由包括标签信息,以使所述第一转发设备将所述标签信息作为内层标签封装于所述互访流量;其中,所述标签信息对应于所述流量清洗设备与所述第一转发设备之间建立的VPNv4的BGP邻居关系;所述方法还包括:
检测接收到的流量中是否包含所述标签信息;
若所述流量中包含所述标签信息,则弹出包含所述标签信息的内层标签,并将弹出后的所述流量确定为所述互访流量。
可选的,在将弹出后的所述流量确定为所述互访流量后,进一步为所述互访流量分配所述标签信息对应的流量清洗策略。
可选的,所述流量清洗设备与所述第二转发设备建立VPNv4的BGP邻居关系;
在将所述正常流量通过所述核心路由器组发送至所述第二转发设备之前,还包括:
在所述正常流量的目标传输网段为所述第二转发设备对应的多个网段中的受保护网段的情况下,为所述正常流量封装所述受保护网段对应的内层标签,以使所述第二转发设备接收到所述正常流量后,弹出所述正常流量中的所述内层标签,并根据所述内层标签,将弹出所述内层标签后的正常流量发送至所述受保护网段。
可选的,所述将所述正常流量通过所述核心路由器组发送至所述第二转发设备,包括:
当所述第二转发设备向所述核心路由器组通告了受保护网段的路由时,根据所述正常流量的目的IP地址,为所述正常流量封装所述受保护网段对应的外层标签,并将封装后的正常流量通过所述核心路由器组发送至所述第二转发设备;
当所述第二转发设备向所述核心路由器组仅通告了所述第二转发设备的环回地址时,根据所述正常流量的目的IP地址查找转发表,获得下一跳为所述第二转发设备的环回地址,以此为所述正常流量封装所述环回地址对应的外层标签,并将封装后的正常流量通过所述核心路由器发组送至所述第二转发设备。
根据本说明书实施例的第二方面,提供一种流量清洗方法,所述方法包括:
所述方法应用于核心路由器组,流量清洗设备旁挂部署于所述核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,其中,所述方法包括:
获取第一转发设备根据牵引路由发送至第二转发设备的互访流量,所述牵引路由通过所述流量清洗设备发送至所述第一转发设备;
将所述互访流量转发至所述流量清洗设备,以使所述流量清洗设备对所述互访流量进行流量清洗;
获取所述流量清洗设备通过流量清洗得到的正常流量,并将所述正常流量转发至所述第二转发设备。
根据本说明书实施例的第三方面,提供一种流量清洗方法,所述方法包括:
所述方法应用于第一转发装置,所述第一转发设备与核心路由器组相连,流量清洗设备旁挂部署于所述核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,所述方法包括:
接收来自所述流量清洗设备发送的牵引路由;
根据所述牵引路由,将准备发送至第二转发设备的互访流量通过所述核心路由器组发送至所述流量清洗设备,以使所述流量清洗设备对所述互访流量进行流量清洗,并将清洗后获得的正常流量通过所述核心路由器组发送至所述第二转发设备。
根据本说明书实施例的第四方面,提供一种流量清洗装置,所述装置包括:
所述装置应用于流量清洗设备,所述流量清洗设备旁挂部署于核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,其中,所述装置包括:
路由发送单元,用于发送牵引路由至第一转发设备,所述牵引路由用于指示所述第一转发设备,将准备发送至第二转发设备的互访流量通过所述核心路由器组发送至所述流量清洗设备;
流量清洗单元,用于对获取到的所述互访流量进行流量清洗,获得清洗后的正常流量;
流量发送单元,用于将所述正常流量通过所述核心路由器组发送至所述第二转发设备。
根据本说明书实施例的第五方面,提供一种流量清洗装置,所述装置包括:
所述装置应用于核心路由器组,流量清洗设备旁挂部署于所述核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,其中,所述装置包括:
互访流量获取单元,用于获取第一转发设备根据牵引路由发送至第二转发设备的互访流量,所述牵引路由通过所述流量清洗设备发送至所述第一转发设备;
互访流量转发单元,用于将所述互访流量转发至所述流量清洗设备,以使所述流量清洗设备对所述互访流量进行流量清洗;
正常流量转发单元,用于获取所述流量清洗设备通过流量清洗得到的正常流量,并将所述正常流量转发至所述第二转发设备。
根据本说明书实施例的第六方面,提供一种流量清洗装置,所述装置包括:
所述装置应用于第一转发装置,所述第一转发设备与核心路由器组相连,流量清洗设备旁挂部署于所述核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,所述装置包括:
路由接收单元,用于接收来自所述流量清洗设备发送的牵引路由;
流量发送单元,用于根据所述牵引路由,将准备发送至第二转发设备的互访流量通过所述核心路由器组发送至所述流量清洗设备,以使所述流量清洗设备对所述互访流量进行流量清洗,并将清洗后获得的正常流量通过所述核心路由器组发送至所述第二转发设备。
根据本说明书实施例的第七方面,提供一种电子设备,包括:
处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为实现上述流量清洗方法的步骤。
根据本说明书实施例的第八方面,提供一种计算机可读存储介质,其上储存有可执行指令;其中,该指令被处理器执行时,实现上述流量清洗方法的步骤。
本说明书的实施例提供的技术方案可以包括以下有益效果:
在本说明书的实施例中,通过将流量清洗设备旁挂部署于核心路由器组,并使流量清洗设备发送牵引路由至第一转发设备,实现内网内部互访流量的流量牵引、清洗以及回注,由于没有改变现有网络内部的拓扑结构,也不增加额外的流量清洗设备,因此可以大量节省网络建设与维护的成本,避免增加网络的单点故障,提高网络的稳定性以及流量清洗设备的处理性能。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本说明书的实施例,并与说明书一起用于解释本说明书的原理。
图1是本说明书根据一示例性实施例示出的一种流量清洗方法的流程图。
图2是本说明书根据一示例性实施例示出的另一种流量清洗方法的流程图。
图3是本说明书根据一示例性实施例示出的又一种流量清洗方法的流程图。
图4是本说明书实施例一示例性电子政务内网的网络架构图。
图5是本说明书实施例流量清洗装置所在计算机设备的一种硬件结构图。
图6是本说明书根据一示例性实施例示出的一种流量清洗装置的框图。
图7是本说明书根据一示例性实施例示出的另一种流量清洗装置的框图。
图8是本说明书根据一示例性实施例示出的又一种流量清洗装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
接下来对本说明书实施例进行详细说明。
如图1所示,图1是本说明书根据一示例性实施例示出的一种流量清洗方法的流程图,该方法应用于流量清洗设备,所述流量清洗设备旁挂部署于核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,该方法包括以下步骤:
S101:发送牵引路由至第一转发设备,所述牵引路由用于指示所述第一转发设备,将准备发送至第二转发设备的互访流量通过所述核心路由器组发送至所述流量清洗设备。
本说明书实施例中涉及的流量清洗设备,是指一套由多个功能单元所组成的完整流量清洗系统,其中包括异常流量清洗平台、异常流量检测平台和管理中心等功能单位,该流量清洗设备能够检测异常流量、发送牵引路由和按照流量清洗策略对流量进行清洗等多项功能,通常用以防御DOS/DDOS攻击,相关技术中有详细记载故这里不再赘述。
本说明书实施例中涉及的核心路由器组,是指由至少一个路由器组成的路由网络,该路由网络的拓扑结构可以包括任意拓扑结构,该核心路由器组用以转发进入核心路由器组的报文,本说明书实施例中涉及的报文与流量的内涵是一致的,均代表网络中交换与传输的数据包。
本说明书实施例中涉及的转发设备,是指下挂于核心路由器组的具有报文转发功能的网络设备,其可以为终端设备,也可以是包含有下级网段的汇聚路由器、汇聚交换机等。
本说明书实施例中,所清洗的异常流量并非来自于外网的访问流量,而是内网内部的互访流量,因此流量清洗设备所发送的牵引路由并不最终发送至核心路由器,而是通过核心路由器组发送给内网中下挂的转发设备,例如汇聚交换机,使得该汇聚交换机学习该牵引路由,并在该牵引路由的指示下,将准备发送给其他汇聚交换机的互访流量,发送至流量清洗设备。
S102:对获取到的所述互访流量进行流量清洗,获得清洗后的正常流量。
S103:将所述正常流量通过所述核心路由器组发送至所述第二转发设备。
本说明书实施例中,通过将流量清洗设备旁挂部署于核心路由器组,并使流量清洗设备发送牵引路由至第一转发设备,实现内网内部互访流量的流量牵引、清洗以及回注,由于没有改变现有网络内部的拓扑结构,仅仅只是在现有拓扑结构的外围增设了必要数量的流量清洗设备,没有增加额外的流量清洗设备,因此可以大量节省网络建设与维护的成本,同时避免增加网络的单点故障,提高网络的稳定性以及流量清洗设备的处理性能。
可选的,在上述实施例的基础上,可以使内网中的流量清洗设备、核心路由器组中的核心路由器和转发设备均运行MPLS协议,构成一个MPLS的网络环境,其中,核心路由器组中的核心路由器为MPLS网络中的P(Provider)设备,流量清洗设备和转发设备为MPLS网络中的PE(Provider Edge)设备。本说明书实施例中涉及的P设备是指网络核心设备,要求具备标签交换能力,PE设备是指网络侧边缘设备,通常要求具备封装与解封装能力。
本可选实施例还包括:监测所述互访流量,并在发现流量异常时,定向发送牵引路由至所述第一转发设备。所述牵引路由根据异常互访流量的源IP地址,得到牵引路由的路由前缀信息为该源IP地址所对应转发设备的环回地址,并在BGP协议下进行定向分发,使得当MPLS网络中包含两个以上转发设备时,流量清洗设备可以将牵引路由仅发送给产生异常流量的第一转发设备,而不会下发给其他无关的汇聚设备。
在本可选实施例中,由于建立了MPLS网络环境,而基于MPLS的LDP协议并不是利用IP进行网络流量的转发,而是利用外层标签进行转发,因此可以解决回注流量跨越牵引路由的问题,实现了对MPLS网络环境下互访流量的牵引、清洗以及回注,并且由于牵引路由的定向发送,所以可以使产生异常流量以外的转发设备去往第二转发设备的流量不受牵引路由的影响,进而精确引流真正发起攻击的流量。
可选的,在上述实施例的基础上,通过使流量清洗设备预先与第一转发设备建立VPNv4的BGP邻居关系,从而各自生成相应的VRF(虚拟路由转发表),其中,第一转发设备可以包含多个VRF,分别管理不同的下级网段。当流量清洗设备检测到互访流量异常时,会根据异常互访流量的信息来生成牵引路由,具体而言,牵引路由除了包括作为路由前缀的互访流量的目的IP地址所对应的网段(受保护网段),以及作为下一跳的流量清洗设备的环回地址以外,还包括对应于互访流量源IP地址对应网段(流量异常网段)的Export RT(输出路由目标),该Export RT对应于异常网段的Import RT(输入路由目标),当流量清洗设备将牵引路由定向发送至第一转发设备后,第一转发设备通过该牵引路由中的Export RT,将该牵引路由添加至与该Export RT匹配的具有相同Import RT的VRF中,使得当第一转发设备中包含两个或两个以上的下级网段对应的VRF时,流量清洗设备可以将牵引路由仅发送给产生异常流量的流量异常网段,而不会下发给其他无关的网段,因此导致第一转发设备中流量异常网段以外的下级网段去往第二转发设备的流量不受牵引路由的影响,进而更精确地引流真正发起攻击的流量。
可选的,在上述实施例的基础上,由于流量清洗设备预先与第一转发设备建立VPNv4的BGP邻居关系,因此流量清洗设备中也至少包含一个VRF,通过该VRF,流量清洗设备发送给第一转发设备的牵引路由包括路由前缀、下一跳和Export RT,还包括基于VPNv4协议分发的对应于流量清洗设备VRF的标签信息。第一转发设备在收到流量清洗设备定向发送的牵引路由后,使原本应该去往第二转发设备的互访流量根据该牵引路由的指示,将下一跳由受保护网段或第二转发设备的环回地址更新为流量清洗设备的环回地址,将通过牵引路由获得的,对应于流量清洗设备VRF的标签信息作为互访流量的内层标签进行封装,将通过MPLS协议获得的,对应于下一跳为流量清洗设备环回地址的标签信息作为互访流量的外层标签进行封装,并在完成封装后,把封装后的互访流量发送给核心路由器组,核心路由器组中的核心路由器在MPLS协议下,根据外层标签将封装后的互访流量最终发送至流量清洗设备,可选的,为了减轻流量清洗设备的解封装压力,可以默认采用PHP(倒数第二跳弹出机制),当封装后的互访流量发送至与流量清洗设备直接相连的核心路由器处时,将外层标签弹出并最终发送至流量清洗设备。当流量清洗设备收到流量时,会识别所述流量的内层标签是否包含该流量清洗设备VRF所分配的标签信息,若所述流量的内层标签包含该标签信息,则弹出该内层标签并将弹出后的流量确定为需要进行清洗的互访流量,若所述流量的内层标签不包含该标签信息,则将流量按照公共转发表进行正常转发。
在本可选实施例中,由于流量清洗设备预先与第一转发设备建立VPNv4的BGP邻居关系,并根据VPNv4协议分发了牵引路由,因此第一转发设备可以收到对应于流量清洗设备VRF的标签信息,使得第一转发设备在发送流量给流量清洗设备时可以携带该标签信息,然后清洗设备可以通过VRF分发对应于该VRF的标签信息来对经过的流量进行检验,从而可以获取真正需要进行清洗的互访流量,而对流经的其他流量进行正常转发,减少了流量清洗过程对网络中正常转发的流量的影响。另外,当MPLS网络中有两个或两个以上的流量清洗设备时,该标签信息也可以用以使待清洗的互访流量前往其应该去往的流量清洗设备,从而可以实现调用多个流量清洗设备,提高了网络中流量清洗的可控性、可扩展性,有助于实现负载均衡。
可选的,在上述实施例的基础上,流量清洗设备也可以建立虚拟的IP网段,从而可以设置包括两个或两个以上的VRF,用以从不同的VRF分发含有不同标签信息的牵引路由,以指示从第一转发设备接收的互访流量根据标签信息的不同从而去往不同的VRF管理的虚拟网段。当流量清洗设备识别所述流量的内层标签包含该流量清洗设备多个VRF所分配的标签信息之一时,进一步判断该标签信息属于哪一个VRF,通过配置VRF与清洗策略的对应关系,可以对互访流量进行流量清洗策略的控制。例如,可以按照时间段进行流量清洗策略的调控:当处于高风险时间段时,可以控制流量清洗设备中对应于高强度清洗策略的VRF进行牵引路由的下发,而低强度清洗策略的VRF暂不下发或限制下发牵引路由;而当处于低风险时间段时,可以控制流量清洗设备中对应于低强度清洗策略的VRF进行牵引路由的下发,而高强度清洗策略的VRF暂不下发或限制下发。又例如,可以按照流量异常程度进行流量清洗策略的调控:当流量清洗设备的异常流量检测平台检测到异常流量时,按照异常程度区分不同的流量清洗策略,当异常程度较高时,可以控制流量清洗设备中对应于高强度清洗策略的VRF进行牵引路由的下发,而低强度清洗策略的VRF暂不下发或限制下发牵引路由;当异常程度较低时,可以控制流量清洗设备中对应于低强度清洗策略的VRF进行牵引路由的下发,而高强度清洗策略的VRF暂不下发或限制下发。又例如,可以按照不同转发设备的安全优先级进行流量清洗策略的调控:当流量清洗设备的异常流量检测平台检测到异常流量时,根据异常流量的目的IP和/或源IP所对应的不同转发设备的安全优先级,将具有高安全优先级的流量清洗任务分配至对应于高强度清洗策略的VRF指导牵引路由的下发,而将具有低安全优先级的流量清洗任务分配至对应于低强度清洗策略的VRF指导牵引路由的下发。需要指出的是,本可选实施例中对流量清洗策略的控制包括但不限于上述例子中涉及的方案及其叠加方案,由此通过设置不同的VRF,使得流量清洗设备可以维护一个综合的流量清洗策略的动态调控系统。
在本可选实施例中,通过在流量清洗设备设置两个或两个以上的VRF,并预先配置VRF与流量清洗策略的对应关系,相当于同时维护了多个具有不同清洗策略的流量清洗设备,提高了流量清洗设备的利用率;由于进行了流量清洗策略的区分,使得重要的计算资源被合理分配到重要的流量清洗任务上,因此实现了流量清洗策略资源占用率与收益效率的平衡;由于只需要对流量的内层标签进行拆封和检测,而这一过程是VPNv4协议下必需的过程,因此不需要进行如对流量进行深度解析等额外的流程就能够完成流量策略的动态调控,因此在极大地降低了流量清洗设备的工作负荷的同时,实现了流量清洗策略的动态调控。
可选的,在上述实施例的基础上,通过使流量清洗设备预先与第二转发设备建立VPNv4的BGP邻居关系,从而使第二转发设备也生成相应的VRF,其中,第二转发设备可以包含多个VRF,分别管理不同的下级网段。根据OSFP(链路状态路由协议)等IGP(内部网关协议),流量清洗设备能够学习到第二转发设备的环回地址的路由信息,进一步的,根据流量清洗设备与第二转发设备建立的VPNv4的BGP邻居关系,流量清洗设备能够在路由通告阶段学习到第二转发设备下各个VRF所对应的下级网段的路由信息,当异常流量检测平台未检测到流量异常时,通过设置路由策略,使得这些路由信息不会进一步地广播给网络中的其他转发设备;而当异常流量检测平台检测到第一转发设备发送给第二转发设备的流量异常时,将调整Export RT等路由策略使得第二转发设备受保护网段的路由信息不被通告给除了第一转发设备中以外的其他转发设备,因此建立了一条“第一转发设备的异常网段—流量清洗设备—第二转发设备的受保护网段”的虚拟网络隧道。当流量清洗设备完成流量清洗并准备将正常流量回注至第二转发设备之前,通过正常流量的目的IP地址确定该正常流量所应该去往的第二转发设备的受保护网段,并通过查找根据流量清洗设备与第二转发设备建立的VPNv4的BGP邻居关系获得的,对应于第二转发设备受保护网段VRF的标签信息作为该正常流量的内层标签进行封装,将通过MPLS协议获得的,对应于下一跳为第二转发设备环回地址的标签信息作为互访流量的外层标签进行封装,并在完成封装后,把封装后的正常流量发送给核心路由器组,核心路由器组中的核心路由器在MPLS协议下,根据外层标签将封装后的互访流量最终发送至第二转发设备,可选的,为了减轻流量清洗设备的解封装压力,可以默认采用PHP,当封装后的互访流量发送至与第二转发设备直接相连的核心路由器处时,将外层标签弹出并最终发送至第二转发设备。当第二转发设备收到流量时,会将所述正常流量的内层标签与该第二转发设备各个VRF所对应的标签信息进行匹配,匹配成功后弹出该内层标签并将弹出后的流量发送匹配成功的VRF对应的至受保护网段,若匹配失败,则将流量按照公共转发表进行正常转发。
在本可选实施例中,由于建立了一条“第一转发设备的异常网段—流量清洗设备—第二转发设备的受保护网段”的虚拟网络隧道,在解决了回注流量跨越牵引路由的基础上,还通过网段之间的隔离管理,提高了网络环境的私密性和安全性。
可选的,在上述实施例的基础上,当将所述正常流量通过所述核心路由器组发送至所述第二转发设备时,可以根据流量清洗设备所获得的路由信息的不同,以不同方式完成流量回注过程:
当第二转发设备根据MPLS的LDP协议向所述核心路由器组通告了受保护网段的路由信息时,在该协议的作用下,流量清洗设备以及核心路由器组中的所有核心路由器均会学习到第二转发设备中受保护网段的路由信息,该路由信息包括作为路由前缀的第二转发设备中受保护网段,以及由上游下发的独立的外层标签,使得流量清洗设备以及核心路由器组中的所有核心路由器将针对于该受保护网段的路由信息添加至各自的LFIB(标签转发表)。在这种情况下,流量清洗设备首先会根据所述正常流量的目的IP地址,确定该正常流量所应该去往的第二转发设备的受保护网段,然后查找LFIB从而获得对应于该受保护网段的标签信息,并将该标签信息作为所述正常流量的外层标签进行封装,再然后将封装后的正常流量发送至所述核心路由器组,最后使所述核心路由器组中的核心路由器通过查找各自的LFIB实现正常流量的外层标签的置换,完成正常流量的转发并将其最终引导至第二转发设备中的被保护网段;
当所述第二转发设备根据MPLS的LDP协议向所述核心路由器组仅通告了所述第二转发设备的环回地址,而没有直接通告受保护网段的路由信息时,使得流量清洗设备以及核心路由器组中的所有核心路由器将针对于该环回地址的路由信息添加至各自的LFIB。在这种情况下,流量清洗设备首先会根据所述正常流量的目的IP地址首先查找FIB(转发信息表)或RIB(路由表),获得下一跳为所述第二转发设备的环回地址,然后查找LFIB进而获得对应于该环回地址的标签信息,并将该标签信息作为所述正常流量的外层标签进行封装,再然后将封装后的正常流量发送至所述核心路由器组,最后使所述核心路由器组中的核心路由器通过查找各自的LFIB实现正常流量的外层标签的置换,完成正常流量的转发并将其最终引导至第二转发设备中的被保护网段。
在本可选实施例中,可以根据流量清洗设备所获得的路由信息的不同,以不同方式完成流量回注过程,使得当第二转发设备向核心路由器组通告了受保护网段的路由信息时,流量清洗设备可以在流量转发时进行较少次数查表,提高了整个流量清洗过程的效率;当第二转发设备向核心路由器仅通告了第二转发设备的环回地址时,流量清洗设备虽然在进行正常流量转发时需要进行多次查表,但由于第二转发设备并没有将其下级网段通告给网络中的其他设备,因此提高了网络的私密性和安全性,减少关键信息的泄露。另外,可以根据不同转发设备内不同网段的安全级别来调整上述的通告方式,从而实现不同网段流量回注方式的个性化定制,在流量清洗的效率与网络安全之间取得平衡。
如图2所示,图2是本说明书根据一示例性实施例示出的另一种流量清洗方法的流程图,该方法应用于核心路由器组,流量清洗设备旁挂部署于所述核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,该方法包括以下步骤:
S201:获取第一转发设备根据牵引路由发送至第二转发设备的互访流量,所述牵引路由通过所述流量清洗设备发送至所述第一转发设备。
S202:将所述互访流量转发至所述流量清洗设备,以使所述流量清洗设备对所述互访流量进行流量清洗。
S203:获取所述流量清洗设备通过流量清洗得到的正常流量,并将所述正常流量转发至所述第二转发设备。
本方法实施例是从图1所示方法实施例的核心路由器组侧进行阐释的实施例,其详细的实现过程参见图1所示方法中对应步骤的实现过程,在此不再赘述。
本说明书实施例中,通过将流量清洗设备旁挂部署于核心路由器组,并使流量清洗设备发送牵引路由至第一转发设备,实现内网内部互访流量的流量牵引、清洗以及回注,由于没有改变现有网络内部的拓扑结构,仅仅只是在现有拓扑结构的外围增设了必要数量的流量清洗设备,没有增加额外的流量清洗设备,因此可以大量节省网络建设与维护的成本,同时避免增加网络的单点故障,提高网络的稳定性以及流量清洗设备的处理性能。
如图3所示,图3是本说明书根据一示例性实施例示出的又一种流量清洗方法的流程图,该方法应用于第一转发装置,所述第一转发设备与核心路由器组相连,流量清洗设备旁挂部署于所述核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,所述方法包括:
S301:接收来自所述流量清洗设备发送的牵引路由。
S302:根据所述牵引路由,将准备发送至第二转发设备的互访流量通过所述核心路由器组发送至所述流量清洗设备,以使所述流量清洗设备对所述互访流量进行流量清洗,并将清洗后获得的正常流量通过所述核心路由器组发送至所述第二转发设备。
本方法实施例是从图1所示方法实施例的第一转发设备侧进行阐释的实施例,其详细的实现过程参见图1所示方法中对应步骤的实现过程,在此不再赘述。
本说明书实施例中,通过将流量清洗设备旁挂部署于核心路由器组,并使流量清洗设备发送牵引路由至第一转发设备,实现内网内部互访流量的流量牵引、清洗以及回注,由于没有改变现有网络内部的拓扑结构,仅仅只是在现有拓扑结构的外围增设了必要数量的流量清洗设备,没有增加额外的流量清洗设备,因此可以大量节省网络建设与维护的成本,同时避免增加网络的单点故障,提高网络的稳定性以及流量清洗设备的处理性能。
下面以电子政务内网为例,对本说明书的流量清洗方案进行说明。其中,图4为一示例性电子政务内网的网络架构。如图4所示,该网络包括:由四个核心路由器A、B、C、D按星型拓扑构成的核心路由器组,与核心路由器A直接相连的流量清洗设备,与核心路由器C直接相连的第一转发设备和第三转发设备,与核心路由器D直接相连的第二转发设备与第四转发设备。其中,四个转发设备为电子政务内网的省内PE设备,均与流量清洗设备建立了VPNv4的BGP邻居关系,且与各自直接相连的核心路由器建立了MPLS的LDP邻居关系,同样的,流量清洗设备也与其直接相连的核心路由器A建立了MPLS的LDP邻居关系,核心路由器组中的四个核心路由器为电子政务内网的省内P设备,均运行MPLS的LDP协议,从而作为四个LSR(标签转发路由器)构成一个MPLS域,流量清洗设备与各个转发设备均包含多个VRF,以各自维护不同的IP网段,不同的转发设备通过核心路由器组可以进行互访操作,其所带来的流量,即电子政务内网间的横向流量。
以第一转发设备下VRF1管理的网段10.110.10.0/24里的CE(Customer Edge)1设备,攻击第二转发设备下VRF2管理的网段20.220.20.0/24里的CE2设备为例,来说明本说明书实施例所涉及的流量清洗的过程。其中,CE1的IP地址为10.110.10.1,CE2的IP地址为20.220.20.2,第一转发设备的环回地址为1.1.1.1,第二转发设备的环回地址为2.2.2.2,流量清洗设备的环回地址为3.3.3.3。
首先,流量清洗设备中的异常流量检测平台会对核心路由器组中的所有流量进行镜像截获,以检测网络中的流量吞吐情况。当CE1向CE2发起DOS攻击时,异常流量检测平台向管理中心报告流量异常的情况,管理中心对异常流量进行分析,获取攻击方CE1的IP地址以及受攻击方CE2的IP地址,并进一步通知异常流量清洗平台中的Guard设备发布牵引路由,并设置异常流量清洗平台的清洗策略。该牵引路由通过MPLS域从流量清洗设备发送至第一转发设备,第一转发设备根据牵引路由的Export RT将其添加至VRF1中,使得原本去往第二转发设备的路由信息被牵引路由所替换。
然后,CE1发送至第一转发设备的流量,会根据VRF1中的牵引路由,查找得到目的IP地址20.220.20.2对应的下一跳指向流量清洗设备的环回地址3.3.3.3,并将牵引路由所携带的Tunnel ID(隧道标识)作为内层标签进行封装,进一步根据MPLS的LDP协议,查找LFIB,并封装上一层外层标签1024进入MPLS域,核心路由器C获取该流量后,检查其外层标签1024,并查找LFIB,将外层标签置换成1023并将该流量转发至核心路由器B,核心路由器B查找LFIB,将外层标签置换成1022并将该流量转发至核心路由器A,核心路由器A采用PHP,将外层标签弹出并将该流量转发至流量清洗设备。流量清洗设备收到该流量后,检查其内层标签的Tunnel ID,以此知晓该流量是通过接收了哪个牵引VRF发出的牵引路由而被牵引过来的,并对该流量进行与牵引VRF对应清洗策略的流量清洗,从而获得清洗后的正常流量。
最后,流量清洗设备将正常流量进行流量回注,根据正常流量的目的IP地址20.220.20.2,查找VRF得到下一跳为第二转发设备的环回地址2.2.2.2,并封装第二转发设备VPN2对应的Tunnel ID,进一步查找流量清洗设备的LFIB,给正常流量封装外层标签2020并送入MPLS域,核心路由器A查找LFIB将外层标签置换成2021并将该正常流量转发至核心路由器B,核心路由器B查找LFIB将外层标签置换成2022并将该正常流量转发至核心路由器D,核心路由器D采用PHP将该正常流量的外层标签弹出并转发至第二转发设备。第二转发设备根据该正常流量的Tunnel ID将其发送至对应的VRF2所管理的网段20.220.20.0/24中的CE2,从而完成了整个流量牵引、清洗、回注的过程。
与前述方法的实施例相对应,本说明书还提供了装置、电子设备以及存储介质的实施例。
本说明书流量清洗装置的实施例可以应用在计算机设备上,例如服务器、流量清洗设备或转发设备。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的流量清洗装置,是通过其处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本说明书实施例流量清洗装置所在计算机设备的一种硬件结构图,除了图5所示的处理器510、内存530、网络接口520、以及非易失性存储器540之外,通常根据该计算机设备的实际功能,还可以包括其他硬件,对此不再赘述。
如图6所示,图6是本说明书根据一示例性实施例示出的一种流量清洗装置的框图,所述装置应用于流量清洗设备,所述流量清洗设备旁挂部署于核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,其中,所述装置包括:
路由发送单元601,用于发送牵引路由至第一转发设备,所述牵引路由用于指示所述第一转发设备,将准备发送至第二转发设备的互访流量通过所述核心路由器组发送至所述流量清洗设备;
流量清洗单元602,用于对获取到的所述互访流量进行流量清洗,获得清洗后的正常流量;
流量发送单元603,用于将所述正常流量通过所述核心路由器组发送至所述第二转发设备。
本说明书实施例中,通过将流量清洗设备旁挂部署于核心路由器组,并使流量清洗设备发送牵引路由至第一转发设备,实现内网内部互访流量的流量牵引、清洗以及回注,由于没有改变现有网络内部的拓扑结构,仅仅只是在现有拓扑结构的外围增设了必要数量的流量清洗设备,没有增加额外的流量清洗设备,因此可以大量节省网络建设与维护的成本,同时避免增加网络的单点故障,提高网络的稳定性以及流量清洗设备的处理性能。
如图7所示,图7是本说明书根据一示例性实施例示出的另一种流量清洗装置的框图,所述装置应用于核心路由器组,流量清洗设备旁挂部署于核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,其中,所述装置包括:
互访流量获取单元701,用于获取第一转发设备根据牵引路由发送至第二转发设备的互访流量,所述牵引路由通过所述流量清洗设备发送至所述第一转发设备。
互访流量转发单元702,用于将所述互访流量转发至所述流量清洗设备,以使所述流量清洗设备对所述互访流量进行流量清洗。
正常流量转发单元703,用于获取所述流量清洗设备通过流量清洗得到的正常流量,并将所述正常流量转发至所述第二转发设备。
本说明书实施例中,通过将流量清洗设备旁挂部署于核心路由器组,并使流量清洗设备发送牵引路由至第一转发设备,实现内网内部互访流量的流量牵引、清洗以及回注,由于没有改变现有网络内部的拓扑结构,仅仅只是在现有拓扑结构的外围增设了必要数量的流量清洗设备,没有增加额外的流量清洗设备,因此可以大量节省网络建设与维护的成本,同时避免增加网络的单点故障,提高网络的稳定性以及流量清洗设备的处理性能。
如图8所示,图8是本说明书根据一示例性实施例示出的又一种流量清洗装置的框图,所述装置应用于第一转发设备,所述第一转发设备与核心路由器组相连,流量清洗设备旁挂部署于所述核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,其中,所述装置包括:
路由接收单元801,用于接收来自所述流量清洗设备发送的牵引路由;
流量发送单元802,用于根据所述牵引路由,将准备发送至第二转发设备的互访流量通过所述核心路由器组发送至所述流量清洗设备,以使所述流量清洗设备对所述互访流量进行流量清洗,并将清洗后获得的正常流量通过所述核心路由器组发送至所述第二转发设备。
本说明书实施例中,通过将流量清洗设备旁挂部署于核心路由器组,并使流量清洗设备发送牵引路由至第一转发设备,实现内网内部互访流量的流量牵引、清洗以及回注,由于没有改变现有网络内部的拓扑结构,仅仅只是在现有拓扑结构的外围增设了必要数量的流量清洗设备,没有增加额外的流量清洗设备,因此可以大量节省网络建设与维护的成本,同时避免增加网络的单点故障,提高网络的稳定性以及流量清洗设备的处理性能。
相应的,本说明书还提供一种装置,所述装置包括有处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为实现上述全部方法实施例提供的流量清洗方法的步骤。
相应的,本说明书还提供一种计算机可读存储介质,其上存储有可执行的指令;其中,该指令被处理器执行时,实现上述全部方法实施例提供的流量清洗方法的步骤。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本领域技术人员在考虑说明书及实践这里申请的发明后,将容易想到本说明书的其它实施方案。本说明书旨在涵盖本说明书的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本说明书的一般性原理并包括本说明书未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本说明书的真正范围和精神由下面的权利要求指出。
应当理解的是,本说明书并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本说明书的范围仅由所附的权利要求来限制。
以上所述仅为本说明书的较佳实施例而已,并不用以限制本说明书,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (15)
1.一种流量清洗方法,其特征在于,所述方法应用于流量清洗设备,所述流量清洗设备旁挂部署于核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,其中,所述方法包括:
基于BGP协议,将牵引路由定向发送至第一转发设备,所述牵引路由用于指示所述第一转发设备,将准备发送至第二转发设备的互访流量通过所述核心路由器组发送至所述流量清洗设备;所述牵引路由根据所述互访流量的源IP地址,得到所述牵引路由的路由前缀信息为所述源IP地址所对应的转发设备的环回地址;
对获取到的所述互访流量进行流量清洗,获得清洗后的正常流量;
将所述正常流量通过所述核心路由器组发送至所述第二转发设备。
2.根据权利要求1所述的方法,其特征在于,所述核心路由器组为MPLS网络中的P设备,所述流量清洗设备和所述转发设备为所述MPLS网络中的PE设备。
3.根据权利要求2所述的方法,其特征在于,所述发送牵引路由至第一转发设备,包括:
监测所述互访流量,并在发现流量异常时,定向发送牵引路由至所述第一转发设备。
4.根据权利要求3所述的方法,其特征在于,所述定向发送牵引路由至第一转发设备,包括:
发送所述牵引路由至所述第一转发设备,以在所述第一转发设备对应于多个网段的情况下,使所述第一转发设备将所述牵引路由添加至所述多个网段中的流量异常网段对应的路由表中。
5.根据权利要求2所述的方法,其特征在于,所述牵引路由包括标签信息,以使所述第一转发设备将所述标签信息作为内层标签封装于所述互访流量;其中,所述标签信息对应于所述流量清洗设备与所述第一转发设备之间建立的VPNv4的BGP邻居关系;所述方法还包括:
检测接收到的流量中是否包含所述标签信息;
若所述流量中包含所述标签信息,则弹出包含所述标签信息的内层标签,并将弹出后的所述流量确定为所述互访流量。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
在将弹出后的所述流量确定为所述互访流量后,进一步为所述互访流量分配所述标签信息对应的流量清洗策略。
7.根据权利要求2所述的方法,其特征在于,所述流量清洗设备与所述第二转发设备建立VPNv4的BGP邻居关系;
在将所述正常流量通过所述核心路由器组发送至所述第二转发设备之前,还包括:
在所述正常流量的目标传输网段为所述第二转发设备对应的多个网段中的受保护网段的情况下,为所述正常流量封装所述受保护网段对应的内层标签,以使所述第二转发设备接收到所述正常流量后,弹出所述正常流量中的所述内层标签,并根据所述内层标签,将弹出所述内层标签后的正常流量发送至所述受保护网段。
8.根据权利要求2所述的方法,其特征在于,所述将所述正常流量通过所述核心路由器组发送至所述第二转发设备,包括:
当所述第二转发设备向所述核心路由器组通告了受保护网段的路由时,根据所述正常流量的目的IP地址,为所述正常流量封装所述受保护网段对应的外层标签,并将封装后的正常流量通过所述核心路由器组发送至所述第二转发设备;
当所述第二转发设备向所述核心路由器组仅通告了所述第二转发设备的环回地址时,根据所述正常流量的目的IP地址查找转发表,获得下一跳为所述第二转发设备的环回地址,以此为所述正常流量封装所述环回地址对应的外层标签,并将封装后的正常流量通过所述核心路由器发组送至所述第二转发设备。
9.一种流量清洗方法,其特征在于,所述方法应用于核心路由器组,流量清洗设备旁挂部署于所述核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,其中,所述方法包括:
获取第一转发设备根据牵引路由发送至第二转发设备的互访流量,所述牵引路由通过所述流量清洗设备发送至所述第一转发设备;
将所述互访流量转发至所述流量清洗设备,以使所述流量清洗设备对所述互访流量进行流量清洗;
获取所述流量清洗设备通过流量清洗得到的正常流量,并将所述正常流量转发至所述第二转发设备。
10.一种流量清洗方法,其特征在于,所述方法应用于第一转发设备 ,所述第一转发设备与核心路由器组相连,流量清洗设备旁挂部署于所述核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,所述方法包括:
接收来自所述流量清洗设备发送的牵引路由;
根据所述牵引路由,将准备发送至第二转发设备的互访流量通过所述核心路由器组发送至所述流量清洗设备,以使所述流量清洗设备对所述互访流量进行流量清洗,并将清洗后获得的正常流量通过所述核心路由器组发送至所述第二转发设备。
11.一种流量清洗装置,其特征在于,所述装置应用于流量清洗设备,所述流量清洗设备旁挂部署于核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,其中,所述装置包括:
路由发送单元,用于基于BGP协议,将牵引路由定向发送至第一转发设备,所述牵引路由用于指示所述第一转发设备,将准备发送至第二转发设备的互访流量通过所述核心路由器组发送至所述流量清洗设备;所述牵引路由根据所述互访流量的源IP地址,得到所述牵引路由的路由前缀信息为所述源IP地址所对应的转发设备的环回地址;
流量清洗单元,用于对获取到的所述互访流量进行流量清洗,获得清洗后的正常流量;
流量发送单元,用于将所述正常流量通过所述核心路由器组发送至所述第二转发设备。
12.一种流量清洗装置,其特征在于,所述装置应用于核心路由器组,流量清洗设备旁挂部署于所述核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,其中,所述装置包括:
互访流量获取单元,用于获取第一转发设备根据牵引路由发送至第二转发设备的互访流量,所述牵引路由通过所述流量清洗设备发送至所述第一转发设备;
互访流量转发单元,用于将所述互访流量转发至所述流量清洗设备,以使所述流量清洗设备对所述互访流量进行流量清洗;
正常流量转发单元,用于获取所述流量清洗设备通过流量清洗得到的正常流量,并将所述正常流量转发至所述第二转发设备。
13.一种流量清洗装置,其特征在于,所述装置应用于第一转发设备 ,所述第一转发设备与核心路由器组相连,流量清洗设备旁挂部署于所述核心路由器组,所述核心路由器组包括至少一个核心路由器,所述核心路由器组与至少两个转发设备相连,所述装置包括:
路由接收单元,用于接收来自所述流量清洗设备发送的牵引路由;
流量发送单元,用于根据所述牵引路由,将准备发送至第二转发设备的互访流量通过所述核心路由器组发送至所述流量清洗设备,以使所述流量清洗设备对所述互访流量进行流量清洗,并将清洗后获得的正常流量通过所述核心路由器组发送至所述第二转发设备。
14.一种电子设备,包括有处理器;用于存储处理器可执行指令的存储器,其特征在于,所述处理器被配置为实现权利要求1-10中任一项所述方法的步骤。
15.一种计算机可读存储介质,其上存储有可执行的指令,其特征在于,该指令被处理器执行时,实现权利要求1-10中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011356596.0A CN112532621B (zh) | 2020-11-26 | 2020-11-26 | 一种流量清洗方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011356596.0A CN112532621B (zh) | 2020-11-26 | 2020-11-26 | 一种流量清洗方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112532621A CN112532621A (zh) | 2021-03-19 |
| CN112532621B true CN112532621B (zh) | 2023-03-24 |
Family
ID=74994226
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011356596.0A Active CN112532621B (zh) | 2020-11-26 | 2020-11-26 | 一种流量清洗方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112532621B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113726729A (zh) * | 2021-07-13 | 2021-11-30 | 中国电信集团工会上海市委员会 | 一种基于双向引流的网站安全防护方法及系统 |
| CN113992347B (zh) * | 2021-09-17 | 2023-09-19 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN116055077B (zh) * | 2021-10-28 | 2024-05-03 | 中国联合网络通信集团有限公司 | 一种跨域流量回注方法及装置 |
| CN113904867B (zh) * | 2021-10-30 | 2023-07-07 | 杭州迪普科技股份有限公司 | 用于vxlan二层组网的流量处理方法及系统 |
| CN114978600B (zh) * | 2022-04-25 | 2023-06-23 | 中国联合网络通信集团有限公司 | 异常流量处理方法、系统、设备及存储介质 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN202979016U (zh) * | 2012-12-30 | 2013-06-05 | 哈尔滨师范大学 | Ddos防御系统 |
| CN103491095B (zh) * | 2013-09-25 | 2016-07-13 | 中国联合网络通信集团有限公司 | 流量清洗架构、装置及流量牵引、流量回注方法 |
| CN104917653A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 基于云平台的虚拟化流量监控方法及装置 |
| US10341379B2 (en) * | 2016-02-12 | 2019-07-02 | Time Warner Cable Enterprises Llc | Apparatus and methods for mitigation of network attacks via dynamic re-routing |
| CN107241294B (zh) * | 2016-03-28 | 2020-09-15 | 阿里巴巴集团控股有限公司 | 网络流量的处理方法及装置、清洗设备、网络设备 |
| CN106230798B (zh) * | 2016-07-21 | 2019-08-06 | 杭州迪普科技股份有限公司 | 一种流量牵引方法及装置 |
| CN106330962B (zh) * | 2016-09-30 | 2019-04-12 | 中国联合网络通信集团有限公司 | 一种流量清洗管理方法及装置 |
| CN106685823B (zh) * | 2016-12-16 | 2019-11-12 | 杭州迪普科技股份有限公司 | 一种流量清洗方法及装置 |
| US10944783B2 (en) * | 2018-07-12 | 2021-03-09 | At&T Intellectual Property I, L.P. | Dynamic denial of service mitigation system |
| CN110855566B (zh) * | 2019-11-26 | 2021-10-29 | 杭州迪普科技股份有限公司 | 上行流量的牵引方法和装置 |
| CN111294365B (zh) * | 2020-05-12 | 2020-08-18 | 腾讯科技(深圳)有限公司 | 攻击流量防护系统、方法、装置、电子设备和存储介质 |
-
2020
- 2020-11-26 CN CN202011356596.0A patent/CN112532621B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112532621A (zh) | 2021-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112532621B (zh) | 一种流量清洗方法、装置、电子设备及存储介质 | |
| US11095558B2 (en) | ASIC for routing a packet | |
| CN109587054B (zh) | 使用抽象结构接口连接网络设备中的虚拟节点 | |
| CN113273142B (zh) | 通信系统和通信方法 | |
| CN113261242B (zh) | 通信系统和由通信系统实现的方法 | |
| AU2019390284A1 (en) | Dynamic intent-based firewall | |
| CN113302898B (zh) | 通信系统、通信方法、非暂时性计算机可读介质 | |
| US10263808B2 (en) | Deployment of virtual extensible local area network | |
| EP2643940B1 (en) | Method of shrinking a data loss window in a packet network device | |
| WO2019138414A1 (en) | Data center failure management in an sdn deployment using switching node control | |
| WO2016132262A1 (en) | Method and system for providing "anywhere access" for fixed broadband subscribers | |
| EP3399703A1 (en) | Method for implementing load balancing, apparatus, and network system | |
| GB2422508A (en) | Establishing network connections | |
| EP3512164B1 (en) | Pseudo wire load sharing method and apparatus | |
| CN102291455A (zh) | 分布式集群处理系统及其报文处理方法 | |
| US20190215191A1 (en) | Deployment Of Virtual Extensible Local Area Network | |
| RU2675212C1 (ru) | Адаптивная балансировка нагрузки при обработке пакетов | |
| Faghani et al. | Shortcut switching strategy in metro Ethernet networks | |
| CN105812274B (zh) | 一种业务数据的处理方法和相关设备 | |
| CN112291234A (zh) | 流量回注方法、装置、设备及计算机可读存储介质 | |
| CN112866031B (zh) | 路由配置方法、装置、设备及计算机可读存储介质 | |
| WO2023185502A1 (zh) | 流量回注方法及防护系统 | |
| Makeri | Design and Implementation of optimized features in a local area network for improvedenterprisenetwork | |
| JP2023531065A (ja) | イーサネット仮想プライベートネットワークエグレス高速リルートにおける過渡ループ防止 | |
| CN115766578A (zh) | 一种基于openvswitch流表的IP报文转发控制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |