CN112751814A - 一种信息上报方法、数据处理方法及装置 - Google Patents

一种信息上报方法、数据处理方法及装置 Download PDF

Info

Publication number
CN112751814A
CN112751814A CN201911053999.5A CN201911053999A CN112751814A CN 112751814 A CN112751814 A CN 112751814A CN 201911053999 A CN201911053999 A CN 201911053999A CN 112751814 A CN112751814 A CN 112751814A
Authority
CN
China
Prior art keywords
bgp
rule
network node
server
state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911053999.5A
Other languages
English (en)
Other versions
CN112751814B (zh
Inventor
庄顺万
王海波
顾钰楠
闫刚
李振斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to CN202210368803.7A priority Critical patent/CN114826697A/zh
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201911053999.5A priority patent/CN112751814B/zh
Priority to PCT/CN2020/125227 priority patent/WO2021083324A1/zh
Priority to JP2022525231A priority patent/JP7470786B2/ja
Priority to EP20880447.6A priority patent/EP4030720A4/en
Priority to BR112022007412A priority patent/BR112022007412A2/pt
Publication of CN112751814A publication Critical patent/CN112751814A/zh
Application granted granted Critical
Publication of CN112751814B publication Critical patent/CN112751814B/zh
Priority to US17/732,588 priority patent/US20220263803A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请实施例公开了一种信息上报方法,在传统技术中,生成BGP FS规则的设备将BGP FS规则发送给网络节点之后,并没有采取措施对该BGP FS规则的在网络节点上实施的状态进行进一步的监控。在本申请中,网络节点接收到BGP FS规则之后,可以获取该BGP FS规则在网络节点上实施的状态,其中,该状态可以指示BGP FS规则已经在网络节点上实施,或者,指示BGP FS规则未在网络节点上实施。而后,网络节点将该状态发送给服务器。这样一来,服务器就可以获知BGP FS规则的在网络节点上实施的状态。相应的,该服务器或者其它服务器例如生成BGP FS规则的服务器则可以存储该状态,如有必要还可以进一步根据该状态执行相应的操作,例如执行相应的调整措施,从而有效防止攻击流量。

Description

一种信息上报方法、数据处理方法及装置
技术领域
本申请涉及通信领域,尤其涉及一种信息上报方法、数据处理方法及装置。
背景技术
目前,随着通信技术的发展,出现了一些通信安全问题,例如,通信设备受到网络攻击等等。相应的,也出现了一些防止网络攻击的策略,其中一种防止网络攻击的策略即为边界网关协议流规则(Border Gateway Protocol Flow Specification,BGP FS)。BGP FS可以通过传递BGP FS路由将BGP FS规则传递给BGP FS对等体例如网络节点,从而达到在网络节点处控制流量,以达到防止攻击流量的目的。
但是在传统技术中,利用BGP FS并不能有效防止攻击流量,因此,急需一种方案,可以解决上述问题。
发明内容
本申请实施例提供了一种信息上报方法,有利于解决利用BGP FS规则并不能有效防止流量攻击的问题。
在本申请实施例的第一方面,提供了一种信息上报方法,考虑到在传统技术中,生成BGP FS规则的服务器将BGP FS规则发送给网络节点之后,与该BGP FS规则相关的控制流程就结束了,并没有采取任何措施对该BGP FS规则的在网络节点上实施的状态进行进一步的监控。从而导致该BGP FS规则在网络节点上实施的状态未知,进一步导致BGP FS规则并不能有效防止攻击流量,因为前述BGP FS规则可能并没有在网络节点上实施。为了解决这个问题,在本申请实施例中,网络节点接收到BGP FS规则之后,可以获取该BGP FS规则在网络节点上实施的状态,其中,该状态可以指示BGP FS规则已经在网络节点上实施,或者,指示BGP FS规则未在网络节点上实施。而后,网络节点将该状态发送给服务器。这样一来,服务器就可以获知BGP FS规则的在网络节点上实施的状态。相应的,该服务器或者其它服务器例如生成BGP FS规则的服务器则可以存储该状态,如有必要还可以进一步根据该状态执行相应的操作,例如执行相应的调整措施,从而有效防止攻击流量。
在一种实现方式中,考虑到在实际应用中,若在网络节点上部署了BMP监控BGP FSLocal-RIB功能,则网络节点接收到BGP FS路由之后,会将该BGP FS路由上报给BMP服务器。而且,网络节点可以通过RM消息将接收到的BGP FS路由上报给BMP服务器。鉴于此,网络节点可以利用该RM消息作为载体,将BGP FS规则在网络节点上实施的状态携带在该RM消息中发送给第一服务器。具体地,网络节点可以将BGP FS规则在网络节点上实施的状态添加到RM消息中,而后将该添加了前述状态的RM消息,发送给第一服务器。
在一种实现方式中,对于网络节点上并未部署BMP监控BGP FS Local-RIB功能的情况,由于网络节点上并未部署BMP监控BGP FS Local-RIB功能,故而网络节点不会向第一服务器发送BGP FS路由,相应的,也不能将该BGP FS规则在网络节点上实施的状态,携带在RM消息中发送给第一服务器。对于这种情况,第一服务器可以向网络节点发送状态上报指令,该状态上报指令,用于指示网络节点将该BGP FS规则在网络节点上实施的状态上报给第一服务器。换言之,网络节点可以在接收到第一服务器的状态上报指令之后,执行获取BGP FS规则在网络节点上实施的状态、并将获取的状态发送给第一服务器的步骤。
在一种实现方式中,为了使得前述状态能够体现该BGP FS规则在网络节点上实施的更多细节。而BGP FS规则已经在网络节点上实施可以包括至少两类情况,其中一类可以归纳为正常实施,另一类可以归纳为异常实施。所谓正常实施,指的是该BGP FS规则已经正确参与BGP最优选路流程,并且该BGP FS规则实施时并未受到其它因素的干扰。所谓异常实施,指的是虽然该BGP FS规则已经正确参与BGP最优选路流程,但是该BGP FS规则实施时受到了其它因素的干扰。因此,前述BGP FS规则已经在网络节点上实施,可以包括BGP FS规则在网络节点上正常实施,或者,BGP FS规则在网络节点上异常实施。
在一种实现方式中,考虑到在实际应用中,网络节点上可能还运行了其它流量控制策略。一旦BGP FS规则的优先级低于其它流量控制策略的优先级。则这些其它流量控制策略就会对网络节点实施BGP FS规则带来干扰。因为经过网络节点的流量,会首先被其它流量控制策略处理,然后再被BGP FS规则处理。换言之,前述BGP FS规则在网络节点上异常实施,可以指的是BGP FS规则的优先级低于其它流量控制策略的优先级。
在一种实现方式中,当前述状态为BGP FS规则未在网络节点上实施时,为了使得该状态能够进一步体现该BGP FS规则未在网络节点上实施的原因。前述状态还可以进一步体现BGP FS规则未在网络节点上实施的具体原因。具体地,考虑到网络节点获取到BGP FS规则之后,首先会对BGP FS规则进行校验,只有在BGP FS规则通过校验之后,网络节点才有可能实施该BGP FS规则。其中,对BGP FS规则进行校验,可以包括BGP校验和/或BGP FS校验。若该BGP FS规则未通过BGP校验,或者,该BGP FS规则未通过BGP FS校验,网络节点则不再实施该BGP FS规则。因此,BGP FS规则未在网络节点上实施,可以包括BGP FS规则未通过BGP校验,和/或,BGP FS规则未通过BGP FS校验。
在一种实现方式中,BGP FS规则未通过BGP校验可以为BGP FS规则中携带非法参数。非法参数可以至少包括两种情况,其中一种是BGP FS规则中存在网络节点无法处理的参数,另外一种是BGP FS规则中存在非法自治域路径。
在一种实现方式中,考虑到一般而言,网络节点可以包括一个或者多个接口,该BGP FS规则中一般会携带该BGP FS规则的生效接口。若该BGP FS规则中携带的生效接口,与网络节点的接口不匹配,则会导致该BGP FS规则无法在网络节点上实施。因此,BGP FS规则未在网络节点上实施,可以为BGP FS规则携带的生效接口与网络节点的接口不匹配。而且,考虑到在实际应用中,网络节点上还可以配置相应的安全保护策略,若BGP FS规则与安全保护策略冲突,则也会导致该BGP FS规则无法在网络节点上实施。因此,BGP FS规则未在网络节点上实施,可以为BGP FS规则与安全保护策略冲突。另外,一般而言,在网络节点上还可以为BGP FS规则设置预设实施条件,当该BGP FS规则满足该预设实施条件时,网络节点才可能实施该BGP FS规则。因此,BGP FS规则未在网络节点上实施,可以为BGP FS不符合规则预设实施条件。
在一种实现方式中,当BGF FS规则已经在网络节点上实施时,为了进一步对该BGPFS规则的流量控制效果进行评估,网络节点还可以获取BGP FS规则的流量匹配信息,并将该流量匹配信息发送给第一服务器。其中,该流量匹配信息指的是:与BGP FS规则匹配的数据流量的相关信息。
在一种实现方式中,若在网络节点上部署了BMP监控BGP FS Local-RIB功能,则网络节点接收到BGP FS路由之后,会将该BGP FS路由上报给BMP服务器。网络节点向BMP服务器发送的消息中,有一类消息是SR消息,该SR消息中携带的是统计信息,而流量匹配信息也可以认为是一种统计信息。鉴于此,可以以已有的SR消息为载体,将前述流量匹配信息发送给第一服务器。换言之,网络节点可以将BGP FS规则的流量匹配信息添加到SR消息中,而后将该添加了前述流量匹配信息的SR消息,发送给第一服务器。具体地,网络节点可以将该流量匹配信息携带在SR消息的扩展字段中。例如,可以将该流量匹配信息携带在扩展的TLV字段中。
在一种实现方式中,对于网络节点上并未部署BMP监控BGP FS Local-RIB功能的情况,第一服务器可以向网络节点发送流量信息上报指令,该流量信息上报指令,用于指示网络节点将前述流量匹配信息上报给第一服务器。换言之,网络节点可以在接收到第一服务器的流量信息上报指令之后,执行获取BGP FS规则的流量匹配信息、并将流量匹配信息发送给第一服务器的步骤。
在一种实现方式中,考虑到若BGP FS规则并未在网络节点上实施,则必然不会存在与该BGP FS规则匹配的数据流量。鉴于此,第一服务器可以在接收到来自网络节点的前述状态,并在该状态指示BGP FS规则已经在网络节点上实施时,才向网络节点发送流量信息上报指令,从而减少第一服务器与网络节点之间的数据交互。
第二方面,本申请实施例提供了一种数据处理方法,具体地,第一服务器可以获取边界网关协议流规范BGP FS规则在网络节点上实施的状态;所述状态指示所述BGP FS规则已经在所述网络节点上实施,或者,所述状态指示所述BGP FS规则未在所述网络节点上实施;所述第一服务器存储所述状态。这样一来,第一服务器即可以获知BGP FS规则的在网络节点上实施的状态。相应的,第一服务器可以在有必要时进一步根据该状态执行相应的操作,例如执行相应的调整措施,从而有效防止攻击流量。
在一种实现方式中,第一服务器存储BGP FS规则在网络节点上实施的状态之后,可以读取BGP FS规则在网络节点上实施的状态,并且根据该状态执行其它操作,例如根据该状态执行第一操作。当然,第一服务器也可以将前述状态发送给第二服务器,由第二服务器根据该状态执行第一操作。考虑到在实际应用中,一般而言,该第一操作与前述BGP FS规则具备一定的联系,因此,在本申请实施例中,第二服务器可以为生成BGP FS规则的服务器。可以理解的是,当第一服务器和第二服务器运行在一个设备上时,第一服务器自身即可根据前述状态执行第一操作,当第一服务器和第二服务器运行在两个设备上时,第一服务器可以将前述状态发送给第二服务器,由第二服务器根据前述状态执行第一操作。
在本申请实施例的一种实现方式中,为了使得网络管理人员了解BGP FS规则在网络节点上实施的状态,第一服务器或者第二服务器可以控制显示设备显示前述状态。这样一来,网络管理人员即可通过显示设备显示的内容,确定BGP FS规则在网络节点上实施的状态。进一步地,网络管理人员可以根据该状态执行相应的调整措施。
在一种实现方式中,为了使得前述BGP FS规则可以在网络节点上实施,以达到控制攻击流量的目的。若前述状态指示BGP FS规则未在网络节点上实施,第一服务器或者第二服务器根据前述状态执行第一操作在具体实现时,还可以是以使得BGP FS规则能够在网络节点上实施为目的。具体地,若第一服务器或者第二服务器确定BGP FS规则未在网络节点上实施是由BGP FS规则的配置参数导致的,则第一服务器或者第二服务器执行第一操作在具体实现时,例如可以为对BGP FS规则进行修改,并将修改后的BGP FS规则发送给网络节点,以使得网络节点实施修改后的BGP FS规则。若第一服务器或者第二服务器确定BGPFS规则未实施是由网络节点的配置导致的,则第一服务器或者第二服务器执行第一操作在具体实现时,例如可以为向网络节点发送第一配置指令,该第一配置指令用于重新配置网络节点,从而使得网络节点可以实施BGP FS规则。
在一种实现方式中,考虑到BGP FS规则未通过BGP校验,可以为BGP FS规则中携带非法参数。因此,若前述状态指示BGP FS规则未通过BGP校验,第一服务器或者第二服务器可以对BGP FS规则进行修改,使得修改后的BGP FS规则通过BGP校验。这样一来,第一服务器或者第二服务器将修改后的BGP FS规则发送给网络节点之后,网络节点即可执行实施该BGP FS规则。具体地,第一服务器或者第二服务器可以确定BGP FS规则中携带的非法参数,并将非法参数修改为合法参数。
在一种实现方式中,若前述状态指示BGP FS规则携带的生效接口与网络节点的接口不匹配,则第一服务器或者第二服务器可以对BGP FS规则进行修改。具体地,第一服务器或者第二服务器可以将BGP FS规则携带的生效接口,修改为与网络节点的接口匹配的接口,并将修改后的BGP FS规则发送给网络节点。这样一来,网络节点即可执行实施该BGP FS规则。
在一种实现方式中,若前述状态可以指示BGP FS规则与安全保护策略冲突,则第一服务器或者第二服务器可以对BGP FS规则进行修改,具体地,第一服务器或者第二服务器可以将BGP FS规则修改为与安全保护策略不冲突的BGP FS规则,并将修改后的BGP FS规则发送给网络节点,这样一来,网络节点即可执行实施该BGP FS规则。
在一种实现方式中,若前述状态可以指示BGP FS规则未通过BGP FS校验。而BGPFS规则未通过BGP FS校验,可能是因为BGP FS规则不符合预设实施条件。对于这种情况,第一服务器或者第二服务器可以向网络节点发送第一配置指令,该第一配置指令用于指示网络节点重新配置目标参数,该目标参数为确定BGP FS规则是否符合所述预设实施条件所使用的参数,使得网络节点重新配置目标参数之后,该BGP FS规则可以符合预设实施条件。当然,该第一配置指令,还可以为用于配置网络节点取消验证BGP FS规则是否符合预设实施条件的配置指令。可以理解的是,若网络节点不再验证BGP FS规则是否符合预设实施条件,网络节点则可以实施该BGP FS规则。
在一种实现方式中,第一服务器还可以获取BGP FS规则的流量匹配信息,获取到该流量匹配信息之后,第一服务器还可以存储该流量匹配信息。这样一来,第一服务器即可以获知BGP FS规则的在网络节点上的流量匹配情况。相应的,第一服务器可以在有必要时进一步根据该状态执行相应的操作,例如执行相应的调整措施,从而有效防止攻击流量。
在一种实现方式中,第一服务器还可以根据该流量匹配信息执行第二操作,或者,将该流量匹配信息发送给第二服务器,由第二服务器根据该流量匹配信息执行第二操作。
在一种实现方式中,为了使得网络管理人员了解BGP FS规则在网络节点上的流量匹配情况,第一服务器或者第二服务器根据该流量匹配信息执行第二操作在具体实现时,例如可以为第一服务器或者第二服务器可以控制显示设备显示前述流量匹配信息。这样一来,网络管理人员即可通过显示设备显示的内容,确定BGP FS规则在网络节点上的流量匹配情况。
在一种实现方式中,为了使得前述BGP FS规则可以有效控制攻击流量,以达到控制攻击流量的目的。第一服务器或者第二服务器获取到流量匹配信息之后,可以进一步判断该流量匹配信息是否符合预设条件。此处提及的确定流量匹配信息是否符合预设条件,指的是确定BGF FS规则进行流量控制的效果是否达到预期。
在一种实现方式中,考虑到在实际应用中,BGP FS规则是对经过网络节点的历史数据流量进行分析,确定存在异常流量之后针对该异常流量制定的。因此,前述预设条件也可以根据异常流量来确定,即通过对经过所述网络节点的历史数据流量进行分析得到。
在一种实现方式中,若确定获取到的流量匹配信息符合预设条件,则表示该BGPFS规则可以有效防止攻击流量。若确定获取到的流量匹配信息不符合预设条件,则表示BGPFS规则可能并不能有效防止攻击流量。对于BGP FS规则可能并不能有效防止攻击流量的情况,第一服务器或者第二服务器可以进一步确定BGP FS规则不能有效防止攻击流量的原因,并执行相应的调整措施,以达到有效防止攻击流量的目的。一般而言,导致前述流量匹配信息不符合预设条件的原因可能有两种。其中一种是BGP FS规则在实施时受到了其它流量控制策略的干扰。也就是BGP FS规则在网络节点上异常实施。另外一种则是由于BGP FS规则自身的配置导致的。对于第一种原因,第一服务器或者第二服务器例如可以对网络节点进行重新配置,从而使得BGP FS规则在网络节点上正常实施。对于第二种原因,第一服务器或者第二服务器例如可以对BGP FS规则进行修改,并将修改后的BGP FS规则发送给网络节点。换言之,第一服务器或者第二服务器根据流量匹配信息执行第二操作在具体实现时,还可以包括两种实现方式。一种实现方式是,在确定流量匹配信息不符合预设条件时,根据流量匹配信息向网络节点发送第二配置指令,该第二配置指令用于重新配置网络节点。另一种实现方式是,在确定流量匹配信息不符合预设条件时,根据流量匹配信息对BGP FS规则进行修改,并将修改后的BGP FS规则发送给网络节点。
在一种实现方式中,第一服务器或者第二服务器可以首先根据获取到的BGP FS规则在网络节点上实施的状态,确定导致流量匹配信息不符合预设条件的原因是不是BGP FS规则在网络节点上异常实施。具体地,若第一服务器或者第二服务器获取的BGP FS规则在网络节点上实施的状态,包括BGP FS规则的优先级低于其它流量控制策略的优先级,则表示BGP FS规则在网络节点上异常实施,相应的,第一服务器或者第二服务器可以向网络节点发送第二配置指令,第二配置指令,用于配置网络节点取消实施其它流量控制策略,或者,用于配置网络节点优先实施BGP FS规则。
在一种实现方式中,考虑到在实际应用中,若前述其它流量控制策略能有效防止攻击流量,则即使BGP FS规则不在网络节点上实施,也不会影响网络系统的正常工作。鉴于此,若第一服务器或者第二服务器获取的BGP FS规则在网络节点上实施的状态,包括BGPFS规则的优先级低于其它流量控制策略的优先级,则第一服务器或者第二服务器还可以对经过网络节点的数据流量进行分析,确定是否存在异常流量,若存在异常流量,则表示其它流量控制策略并未有效防止攻击流量,在这种情况下,第一服务器或者第二服务器才向网络节点发送前述第二配置指令。若不存在异常流量,则表示其它流量控制策略可以有效防止攻击流量,此时第一服务器或者第二服务器可以不必执行前述向网络节点发送前述第二配置指令的步骤。
在一种实现方式中,若第一服务器或者第二服务器获取的BGP FS规则在网络节点上实施的状态,不包括BGP FS规则的优先级低于其它流量控制策略的优先级,则表示BGPFS规则正常实施,相应的,第一服务器或者第二服务器可以确定流量匹配信息不符合预设条件,是由于BGP FS规则自身的配置导致的。对于这种情况,第一服务器或者第二服务器可以向网络节点发送第二配置指令,用于重新配置网络节点,使得前述BGP FS规则实施之后可以有效防止攻击流量。
在一种实现方式中,考虑到在实际应用中,若BGP FS规则中存在一些参数组合,会使得BGP FS规则无法生效,进一步地则会导致该BGP FS规则在网络节点上实施之后不能有效防止攻击流量。因此,第一服务器或者第二服务器可以对BGP FS规则的配置参数进行分析,确定BGP FS规则中是否存在一些参数组合会使得BGP FS规则无法生效。若存在,则第一服务器或者第二服务器可以对这些参数重新进行修改,使得修改后得到的BGP FS规则能够生效。
在一种实现方式中,考虑到在实际应用中,若BGP FS规则指示的流量控制策略所针对的流量,并非是实际上需要防止的攻击流量,也会导致该BGP FS规则实施之后不能有效防止攻击流量。对于这种情况,第一服务器或者第二服务器可以对经过网络节点的数据流量进行分析,并根据基于分析结果对BGP FS规则进行修改。具体地,第一服务器或者第二服务器可以通过对预设时间段内经过网络节点的数据流量进行分析,确定攻击流量的特征,并根据攻击流量的特征来对BGP FS规则进行修改。
第三方面,本申请实施例提供了一种信息上报装置,所述装置包括:获取单元,用于获取边界网关协议流规范BGP FS规则在网络节点上实施的状态;所述状态指示所述BGPFS规则已经在所述网络节点上实施,或者,所述状态指示所述BGP FS规则未在所述网络节点上实施;发送单元,用于将所述状态发送给服务器。
在一种实现方式中,所述发送单元,具体用于:将所述状态添加至路由监控RM消息中,并将添加了所述状态的RM消息发送给所述服务器。
在一种实现方式中,若所述状态为所述BGP FS规则已经在所述网络节点上实施,所述获取单元,还用于获取所述BGP FS规则的流量匹配信息,所述流量匹配信息为与所述BGP FS规则匹配的数据流量的相关信息;所述发送单元,还用于将所述流量匹配信息发送给所述服务器。
在一种实现方式中,所述发送单元具体用于:将所述流量匹配信息添加至状态报告SR消息中,并将添加了所述流量匹配信息的SR消息发送给所述服务器。
在一种实现方式中,所述获取单元具体用于:接收到来自所述服务器的状态上报指令之后,获取所述BGP FS规则在所述网络节点上实施的状态。
在一种实现方式中,所述获取单元具体用于:接收到来自所述服务器的流量信息上报指令之后,获取所述BGP FS规则的流量匹配信息。
第四方面,本申请实施例提供了一种数据处理装置,所述装置包括:获取单元,用于获取边界网关协议流规范BGP FS规则在网络节点上实施的状态;所述状态指示所述BGPFS规则已经在所述网络节点上实施,或者,所述状态指示所述BGP FS规则未在所述网络节点上实施;存储单元,用于存储所述状态。
在一种实现方式中,所述装置还包括:操作单元,用于根据所述状态执行第一操作,或者,发送单元,用于将所述状态发送给第二服务器,由所述第二服务器根据所述状态执行第一操作。
在一种实现方式中,所述操作单元具体用于:若所述状态为所述BGP FS规则携带的生效接口与所述网络节点的接口不匹配,则将所述BGP FS规则携带的生效接口修改为与所述网络节点的接口匹配的接口。
在一种实现方式中,所述操作单元具体用于:若所述状态为描述所述BGP FS规则与安全保护策略冲突,则将所述BGP FS规则修改为与所述安全保护策略不冲突的BGP FS规则。
在一种实现方式中,所述操作单元具体用于:若所述状态为所述BGP FS规则不符合预设实施条件,则向所述网络节点发送第一配置指令,所述第一配置指令用于指示所述网络节点重新配置目标参数,以使得所述BGP FS规则符合所述预设实施条件;或者,所述第一配置指令,用于配置所述网络节点取消验证所述BGP FS规则是否符合所述预设实施条件。
在一种实现方式中,所述获取单元还用于获取所述BGP FS规则的流量匹配信息,所述流量匹配信息为与所述BGP FS规则匹配的数据流量的相关信息;所述存储单元还用于存储所述流量匹配信息。
在一种实现方式中,所述操作单元还用于根据所述流量匹配信息执行第二操作;或者,所述发送单元还用于将所述流量匹配信息发送给所述第二服务器,由所述第二服务器根据所述流量匹配信息执行第二操作。
在一种实现方式中,所述操作单元具体用于:控制显示设备显示所述流量匹配信息。
在一种实现方式中,所述操作单元具体用于:确定所述流量匹配信息是否符合预设条件,若所述流量匹配信息不符合所述预设条件,则根据所述流量匹配信息对所述BGPFS规则进行修改,并将修改后的BGP FS规则发送给所述网络节点。
在一种实现方式中,所述操作单元具体用于:根据所述流量匹配信息向所述网络节点发送第二配置指令,所述第二配置指令用于配置所述网络节点。
在一种实现方式中,所述操作单元具体用于:若所述状态包括所述BGP FS规则的优先级低于其它流量控制策略的优先级,则向所述网络节点发送第二配置指令,所述第二配置指令用于配置所述网络节点取消实施所述其它流量控制策略,或者,用于配置所述网络节点优先实施所述BGP FS规则。
在一种实现方式中,还包括:分析单元,用于在所述向所述网络节点发送第二配置指令之前,对经过所述网络节点的数据流量进行分析,得到分析结果;所述操作单元具体用于:若所述分析结果指示经过所述网络节点的数据流量中存在异常流量,则向所述网络节点发送第二配置指令。
在一种实现方式中,所述操作单元具体用于:若所述状态不包括所述BGP FS规则的优先级低于其它流量控制策略的优先级,则对所述BGP FS规则进行修改。
在一种实现方式中,所述操作单元具体用于:对所述BGP FS规则的配置参数进行分析,确定是否存在导致BGP FS规则无法生效的参数组合;若存在,对所述参数组合进行修改,使得修改后得到的BGP FS规则生效。
在一种实现方式中,所述操作单元具体用于:对经过所述网络节点的数据流量进行分析,并根据分析结果对所述BGP FS规则进行修改。
在一种实现方式中,所述发送单元还用于向所述网络节点发送状态上报指令,所述状态上报指令,用于指示所述网络节点向所述数据处理装置上报所述BGP FS规则在所述网络节点上实施的状态。
在一种实现方式中,所述发送单元还用于向所述网络节点发送流量信息上报指令,所述流量信息上报指令,用于指示所述网络节点向所述数据处理装置上报所述BGP FS规则的流量匹配信息,所述流量匹配信息,为与所述BGP FS规则匹配的数据流量的相关信息。
在一种实现方式中,所述发送单元具体用于:当所述数据处理装置接收到的所述状态为所述BGP FS规则已经在所述网络节点上实施时,向所述网络节点发送所述流量信息上报指令。
在一种实现方式中,前述BGP FS规则已经在所述网络节点上实施包括:所述BGPFS规则正常实施,或者,所述BGP FS规则异常实施。
在一种实现方式中,前述BGP FS规则异常实施,包括:所述BGP FS规则的优先级低于其它流量控制策略的优先级,所述其它流量控制策略运行在所述网络节点上。
在一种实现方式中,前述BGP FS规则未在所述网络节点上实施,包括:所述BGP FS规则未通过BGP校验,和/或,所述BGP FS规则未通过BGP FS校验。
在一种实现方式中,前述BGP FS规则未通过BGP校验,包括:所述BGP FS规则中携带非法参数。
在一种实现方式中,前述BGP FS规则未通过BGP FS校验,包括以下任意一项或者多项:所述BGP FS规则不符合预设实施条件;所述BGP FS规则携带的生效接口与所述网络节点的接口不匹配;和所述BGP FS规则与安全保护策略冲突,所述安全保护策略运行在所述网络节点上。
第五方面,本申请实施例提供了一种设备,包括:处理器和存储器;所述存储器,用于存储指令;所述处理器,用于执行所述存储器中的所述指令,执行以上第一方面任意一项所述的方法,或者执行以上第二方法任意一项所述的方法。
第六方面,本申请实施例提供了一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行以上第一方面任意一项所述的方法,或者执行以上第二方法任意一项所述的方法。
第七方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行以上第一方面任意一项所述的方法,或者执行以上第二方法任意一项所述的方法。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种示例性应用场景示意图;
图2为本申请实施例提供的一种信息上报方法的信令交互图;
图3为本申请实施例提供一种信息上报方法的信令交互图;
图4为本申请实施例提供的一种信息上报装置的结构示意图;
图5为本申请实施例提供的一种数据处理装置的结构示意图;
图6为本申请实施例提供的一种设备的结构示意图。
具体实施方式
本申请实施例提供了一种信息上报方法,用于解决传统技术中利用BGP FS并不能有效防止流量攻击的问题。
为方便理解本申请实施例提供的方案,首先,对BGP FS路由进行简单介绍。
BGP FS路由为包含新的BGP网络层可达信息和扩展团体属性的路由。通过新的网络层可达信息和扩展团体属性,BGP FS路由可以携带相应的BGP FS规则,该BGP FS规则也可以看成是一种流量控制策略,具体地,BGP FS规则可以包括流量的匹配条件和流量匹配后对应的流量处理行为。目前,流量匹配条件作为网络层可达信息携带在BGP FS路由中,流量处理行为作为扩展团体属性携带在BGP FS路由中。
其中:流量匹配条件可以包括12种匹配方式。分别为根据目的地址进行匹配、根据源地址进行匹配、根据互联网协议地址(Internet Protocol,IP)协议号进行匹配、根据端口号进行匹配、根据目的端口号进行匹配、根据源端口号进行匹配、根据互联网控制报文协议(Internet Control Message Protocol,ICMP)类型进行匹配、根据ICMP编码进行匹配、根据传输控制协议(Transmission Control Protocol,TCP)的标志位进行匹配、根据差分服务代码点(differentiated services code point,DSCP)进行匹配以及根据分片类型匹配。流量处理行为可以包括4种,分别为丢弃流量、流量限速、修改报文的DSCP值以及重新定向到虚拟专用网络(virtual private network,VPN)。
接下来结合附图对本申请实施例的应用场景进行简单介绍。参见图1,该图为本申请实施例提供的一种示例性应用场景示意图。
自治系统(autonomous system,AS)100包括网络设备101、网络设备102、和网络设备103。网络设备101、网络设备102和网络设备103可以为路由器,也可以为交换机,本申请实施例不做具体限定。其中,网络设备101可以为运营商边缘(provider edge,PE)设备,网络设备101例如可以为AS 100的网络边缘节点。
为了防止攻击流量,可以建立服务器200、网络设备101以及网络设备102的BGP FS邻居关系,以及建立网络设备101、网络设备102和网络设备103的BGP FS邻居关系。这样一来,服务器200例如可以在网络设备102和网络设备103上部署流量采样功能,例
BP20190608如可以通过网络流(netstream)对经过网络设备102和网络设备103的流量进行采样。服务器200对采样得到的流量进行分析,确定出是否存在异常流量,若存在异常流量,则服务器200则会生成与该异常流量对应的BGP FS路由。例如,服务器200对采样的流量进行分析之后,确定网络设备102上出现了大量的IP协议号为193的攻击流量,则服务器200生成指示拦截IP协议号为193的数据报文的BGP FS路由。服务器200生成该BGP FS路由之后,将该BGP FS路由发送给网络设备101或者网络设备102。网络设备101或者网络设备102接收到该BGP FS路由之后,可以对该BGP FS路由进行解析,确定对应的BGP FS规则,在理想情况下,网络设备101可以实施该BGP FS规则,从而控制异常流量。可以理解的是,若服务器200将前述BGP FS路由发送给网络设备101,则由于网络设备101是AS的网络边缘节点,因此,可以在AS 100的网络入口或者网络出口控制异常流量。
可以理解的是,在实际应用中,网络设备101或者网络设备102接收到来自服务器200的BGP FS路由之后,可能并不能如前述理想情况所述的那样,实施该BGP FS规则。而目前没有任何设备会对BGP FS规则在网络节点例如前述网络设备101上实施的状态进行监控。相应的,服务器200也不能根据BGP FS规则在网络节点上实施的状态对BGP FS规则防止攻击流量的效果进行评估,并在需要时执行相应的调整措施,从而有效防止攻击流量。
如图1所示,图1中除了服务器200之外,还包括服务器300。该服务器300可以是BGP监控协议(BGP Monitoring Protocol,BMP)服务器。BMP服务器可以对网络设备的BGP运行状态进行实时监控,其中,BGP运行状态包括对等体关系的建立与解除、路由信息刷新等。网络设备可以利用BMP协议向BMP服务器发送消息,从而将自身的BGP运行状态发送给BMP服务器。在图1所示的场景中,网络设备101、网络设备102和网络设备103可以将自身的BGP运行状态上报给服务器300。网络设备利用BMP协议向BMP服务器发送的消息,可以结合表1进行理解。
表1
Figure BDA0002256055470000101
另外,对于部署了BMP监控BGP FS本地路由信息库(local routing informationbase,Local-RIB)功能的网络设备而言,该网络设备可以向BMP服务器上报其接收到的BGPFS路由。例如,在网络设备101上部署了BMP监控BGP FS Local-RIB功能,则网络设备101接收到BGP FS路由之后,会将该BGP FS路由上报给BMP服务器。但是,网络设备101仅仅是将该BGP FS路由上报给BMP服务器。因此,服务器200即使接收到来自网络设备101的BGP FS路由,也不能获知BGP FS规则在网络设备101上实施的状态,从而使得前述提及的BGP FS并不能有效防止攻击流量的问题依然存在。
为了解决上述问题,本申请实施例提供了一种信息上报方法,以下结合图1所示的场景对该信息上报方法进行介绍。
在介绍本申请实施例提供的信息上报方法之前,还需要说明的是,图1只是为了方便理解而示出,其并不构成对本申请实施例的限定。在实际应用中,一个AS中包含的网络设备的数量不限于图1所示的3个。另外,本申请实施例中提及的服务器,可以是一个设备,也可以是一个功能模块,本申请实施例不做具体限定。当本申请实施例中的服务器指的是一个功能模块时,该功能模块可以运行在各种设备上,本申请实施例不具体限定运行该功能模块的设备,该设备可以是网络节点,也可以是终端设备等等,此处不一一列举说明。换言之,服务器200和服务器300可以是两个独立的设备,也可以集成在一个设备上。服务器200和服务器300也可以是运行在同一个设备上的两个功能模块,还可以是运行在两个不同设备上的两个功能模块。
参见图2,该图为本申请实施例提供的一种信息上报方法的信令交互图。本申请实施例提供的信息上报方法,可以通过如下S101-S102-S103实现。
S101:网络节点获取BGP FS规则在网络节点上实施的状态。
需要说明的是,此处提及的网络节点,例如可以是图1所示的网络设备101。网络节点可以从服务器例如图1所示的服务器200处接收BGP FS路由,该BGP FS路由中携带BGP FS规则。网络节点接收到该BGP FS路由之后,可以对该BGP FS路由进行解析,确定该BGP FS路由中携带的BGP FS规则,进一步地,网络节点可以实施该BGP FS规则。
在本申请实施例中,BGP FS规则在网络节点上实施的状态,用于指示BGP FS规则已经在网络节点上实施,或者,用于指示BGP FS规则未在网络节点上实施。在实际应用中,网络节点自身会记录BGP FS规则在网络节点上实施的状态,因此网络节点可以读取相应的存储文件,从而获取BGP FS规则在网络节点上实施的状态。
在本申请实施例中,为了使得该状态能够体现该BGP FS规则在网络节点上实施状态的更多细节。在本申请实施例的一种实现方式中,考虑到在实际应用中,BGP FS规则已经在网络节点上实施可以包括至少两类情况,其中一类可以归纳为正常实施,另一类可以归纳为异常实施。所谓正常实施,指的是该BGP FS规则已经正确参与BGP最优选路流程,并且该BGP FS规则实施时并未受到其它因素的干扰。所谓异常实施,指的是虽然该BGP FS规则已经正确参与BGP最优选路流程,但是该BGP FS规则实施时受到了其它因素的干扰。鉴于此,前述BGP FS规则已经在网络节点上实施,可以包括BGP FS规则在网络节点上正常实施,或者,BGP FS规则在网络节点上异常实施。
考虑到在实际应用中,网络节点上可能还运行了其它流量控制策略,例如访问控制列表(access control list,ACL)指示的流量控制策略,又如策略规则(policy basedrouting,PBR)指示的流量控制策略。一旦BGP FS规则的优先级低于其它流量控制策略的优先级。则这些其它流量控制策略就会对网络节点实施BGP FS规则带来干扰。因为经过网络节点的流量,会首先被其它流量控制策略处理,然后再被BGP FS规则处理。换言之,在本申请实施例的一种实现方式中,前述BGP FS规则在网络节点上异常实施,可以指的是BGP FS规则的优先级低于其它流量控制策略的优先级。
相应的,当前述状态为BGP FS规则未在网络节点上实施时,为了使得该状态能够进一步体现该BGP FS规则未在网络节点上实施的原因。在本申请实施例的一种实现方式中,该状态还可以进一步体现BGP FS规则未在网络节点上实施的具体原因。
具体地,在一种实现方式中,考虑到网络节点获取到BGP FS规则之后,首先会对BGP FS规则进行校验,只有在BGP FS规则通过校验之后,网络节点才有可能实施该BGP FS规则。其中,对BGP FS规则进行校验,可以包括BGP校验和/或BGP FS校验。若该BGP FS规则未通过BGP校验,或者,该BGP FS规则未通过BGP FS校验,网络节点则不再实施该BGP FS规则。因此,在本申请实施例中,BGP FS规则未在网络节点上实施,可以包括BGP FS规则未通过BGP校验,和/或,BGP FS规则未通过BGP FS校验。
关于前述BGP FS规则未通过BGP校验,需要说明的是,考虑到在实际应用中,BGPFS规则未通过BGP校验,一般可能是因为BGP FS规则中携带非法参数。所谓非法参数可以至少包括两种情况,其中一种是BGP FS规则中存在网络节点无法处理的参数,例如BGP FS规则指示重定向到互联网协议第6版(Internet Protocol Version 6,IPv6)下一跳,但是网络节点不支持重定向到IPv6下一跳。另外一种是BGP FS规则中存在非法自治域(autonomous system,AS)路径,例如BGP FS规则中携带的AS标识等于网络节点对应的AS标识,又如BGP FS规则中携带的AS标识不等于第二服务器对应的AS标识。
关于前述BGP FS规则未通过BGP FS校验,需要说明的是,在一种实现方式中,考虑到一般而言,网络节点可以包括一个或者多个接口,该BGP FS规则中一般会携带该BGP FS规则的生效接口。若该BGP FS规则中携带的生效接口,与网络节点的接口不匹配,则会导致该BGP FS规则无法在网络节点上实施。对于这种情况,BGP FS规则未在网络节点上实施,可以为BGP FS规则携带的生效接口与网络节点的接口不匹配。
需要说明的是,此处提及的生效接口,可以是一个接口,也可以是多个接口,本申请实施例不做具体限定。当生效接口包括多个接口时,前述BGP FS规则例如可以将该多个接口的标识携带在携带BGP FS规则中。
在一种实现方式中,考虑到在实际应用中,网络节点上还可以配置相应的安全保护策略,若BGP FS规则与安全保护策略冲突,则也会导致该BGP FS规则无法在网络节点上实施。例如,网络节点上的安全保护策略指示禁止对指定IP前缀或指定协议的报文进行限流,而该BGP FS规则即为针对该指定IP的报文进行限流,这就会导致BGP FS规则无法在网络节点上实施。对于这种情况,BGP FS规则未在网络节点上实施,可以为BGP FS规则与安全保护策略冲突。
另外,一般而言,在网络节点上还可以为BGP FS规则设置预设实施条件,当该BGPFS规则满足该预设实施条件时,网络节点才可能实施该BGP FS规则。关于该预设实施条件,需要说明的是,在一种实现方式中,考虑到在实际应用中,并不是所有的设备均具备实施BGP FS规则的需求,例如,对于路由反射器而言,其仅用于传递路由,不需要实施BGP FS规则。因此,一般而言,前述预设实施条件,可以包括网络节点不被允许实施BGP FS规则。可以理解的是,若网络节点被配置为不允许实施BGP FS规则,则必定会导致该BGP FS规则在网络节点上的实施状态为未实施。在又一种实现方式中,考虑到在实际应用中,为控制网络节点实施BGP FS规则所占用的资源,网络节点可以设置实施BGP FS规则的数量上限,当接收到的BGP FS规则的数量超过该数量上限时,则确定该BGP FS规则不符合预设实施条件。或者,网络设备设置可以设置流量匹配条件的数量上限,当网络节点确定BGP FS规则指示的流量匹配条件超过流量匹配条件的数量上限时,则确定该BGP FS规则不符合预设实施条件。或者,网络设备可以设置流量处理行为的数量上限,当网络节点确定BGP FS规则指示的流量处理行为超过流量处理行为的数量上限时,则确定对该BGP FS规则不符合预设实施条件;或者,网络节点为BGP FS规则分配了一定数量的内存,当网络节点确定与BGP FS规则对应的可用内存不足时,则确定该BGP FS规则不符合预设实施条件。
S102:网络节点将该状态发送给第一服务器。
网络节点获取前述状态之后,可以将该状态发送给第一服务器。网络节点将状态发送给第一服务器之后,第一服务器即可根据该状态,确定BGP FS规则在网络节点上实施的状态。需要说明的是,此处提及的第一服务器,可以为图1所示的服务器200,也可以为图1所示的服务器300,本申请实施例不做具体限定。但是,考虑到在实际应用中,一般是由BMP服务器对网络设备的BGP运行状态进行实时监控,因此,在一个可选的方案中,该第一服务器可以为BMP服务器,即图1所示的服务器300。在本申请实施例的以下描述中,如无特别说明,第一服务器即对应图1所示的服务器300。
如前文,若在网络节点上部署了BMP监控BGP FS Local-RIB功能,则网络节点接收到BGP FS路由之后,会将该BGP FS路由上报给BMP服务器。而且,网络节点可以通过表1所示的RM消息将接收到的BGP FS路由上报给BMP服务器。鉴于此,在本申请实施例的一种实现方式中,网络节点可以利用该RM消息作为载体,将BGP FS规则在网络节点上实施的状态携带在该RM消息中发送给第一服务器。具体地,网络节点可以将BGP FS规则在网络节点上实施的状态添加到RM消息中,而后将该添加了前述状态的RM消息,发送给第一服务器。在本申请实施例中,可以对RM消息进行扩展,从而将前述状态携带在RM消息的扩展字段中。例如,可以将前述状态携带在扩展的类型-长度-值(type length value,TLV)字段中。
另外,对于网络节点上并未部署BMP监控BGP FS Local-RIB功能的情况,由于网络节点上并未部署BMP监控BGP FS Local-RIB功能,故而网络节点不会向第一服务器发送BGPFS路由,相应的,也不能将该BGP FS规则在网络节点上实施的状态,携带在RM消息中发送给第一服务器。对于这种情况,第一服务器可以向网络节点发送状态上报指令,该状态上报指令,用于指示网络节点将该BGP FS规则在网络节点上实施的状态上报给第一服务器。换言之,网络节点可以在接收到第一服务器的状态上报指令之后,执行前述S101-S102。
需要说明的是,本申请实施例对该状态上报指令的帧结构不做具体限定。作为一种示例,该状态上报指令中可以携带地址族标识(address family identifier,AFI)和子序列地址族标识(subsequent AFI,SAFI)。对于与该AFI和SAFI相匹配的各个BGP FS规则,网络节点均可以向第一服务器上报每个BGP FS规则在网络节点上实施的状态。作为又一种示例,该状态上报指令中携带BGP FS规则的标识,网络节点可以将该标识对应的BGP FS规则在网络节点上实施的状态上报给第一服务器。当然,该状态上报指令中还可以包括其它字段,此处不一一列举说明。
在本申请实施例中,网络节点接收到该状态上报指令之后,可以周期性执行前述S101-S102,当然也可以仅执行一次S101-S102,本申请实施例不做具体限定。对于网络节点周期性执行前述S101-S102的方案,在本申请实施例的一种实现方式中,第一服务器还可以向网络节点发送状态停止上报指令,用于指示网络节点不再上报BGP FS规则在网络节点上实施的状态。例如,第一服务器根据网络节点上报的BGP FS规则在网络节点上实施的状态,确定该BGP FS规则在一段时间内均正常实施,故而不再对BGP FS规则在网络节点上实施的状态进行监控,则第一服务器可以向网络节点发送状态停止上报指令。
在本申请实施例中,状态上报指令和状态停止上报指令可以采用相同的帧结构,利用某一字段的值来区分状态上报指令和状态停止上报指令。例如,对于第一服务器下发的第一指令,当该第一指令中第一字段的值为1时,该第一指令为状态上报指令,当该第一指令中的第一字段的值为0时,该第一指令为状态停止上报指令。
S103:第一服务器存储接收到的状态。
在本申请实施例中,第一服务器接收到前述BGP FS规则在网络节点上实施的状态之后,第一服务器可以存储该状态,具体地,第一服务器可以将该状态存储在存储器中。在有必要时,第一服务器可以从前述存储器中读取BGP FS规则在网络节点上实施的状态,并且根据该状态执行其它操作,例如根据该状态执行第一操作。当然,第一服务器也可以将前述状态发送给第二服务器,由第二服务器根据该状态执行第一操作。关于第二服务器,需要说明的是,考虑到在实际应用中,一般而言,该第一操作与前述BGP FS规则具备一定的联系,因此,在本申请实施例中,第二服务器可以为生成BGP FS规则的服务器,例如图1所示的服务器200。如前文,第一服务器和第二服务器可以运行在同一个设备上,也可以运行在不同的设备上,可以理解的是,当第一服务器和第二服务器运行在一个设备上时,第一服务器自身即可根据前述状态执行第一操作,当第一服务器和第二服务器运行在两个设备上时,第一服务器可以将前述状态发送给第二服务器,由第二服务器根据前述状态执行第一操作。第一服务器和第二服务器根据前述状态执行第一操作的具体实现是相同的,以下以第一服务器根据前述状态执行第一操作为例进行说明。
在本申请实施例的一种实现方式中,为了使得网络管理人员了解BGP FS规则在网络节点上实施的状态,第一服务器可以控制显示设备显示前述状态。这样一来,网络管理人员即可通过显示设备显示的内容,确定BGP FS规则在网络节点上实施的状态。进一步地,网络管理人员可以根据该状态执行相应的调整措施。此处提及的显示设备可以为显示屏,该显示屏可以为第一服务器的显示屏,也可以为其它设备的显示屏,本申请实施例不做具体性限定。
在本申请实施例的又一种实现方式中,为了使得前述BGP FS规则可以在网络节点上实施,以达到控制攻击流量的目的。若前述状态指示BGP FS规则未在网络节点上实施,第一服务器根据前述状态执行第一操作在具体实现时,还可以是以使得BGP FS规则能够在网络节点上实施为目的。具体地,如S101中对BGP FS规则在网络节点上实施的状态的描述可知,BGP FS规则未在网络节点上实施,有可能是因为BGP FS规则的配置参数导致的,也有可能是因为网络节点自身的配置导致的。故而在本申请实施例中,第一服务器可以根据BGPFS规则在网络节点上实施的状态,确定导致该BGP FS规则未在网络节点上实施的原因,进一步地,根据所确定的原因执行第一操作。
具体地,若第一服务器确定BGP FS规则未在网络节点上实施是由BGP FS规则的配置参数导致的,则第一服务器执行第一操作在具体实现时,例如可以为对BGP FS规则进行修改,并将修改后的BGP FS规则发送给网络节点,以使得网络节点实施修改后的BGP FS规则。若第一服务器确定BGP FS规则未实施是由网络节点的配置导致的,则第一服务器执行第一操作在具体实现时,例如可以为向网络节点发送第一配置指令,该第一配置指令用于重新配置网络节点,从而使得网络节点可以实施BGP FS规则。
以下分别对第一服务器根据前述状态对BGP FS规则进行修改、和第一服务器向网络节点发送第一配置指令的具体实现进行介绍。
首先介绍“第一服务器根据前述状态对BGP FS规则进行修改”的具体实现方式。
如S101中对BGP FS规则在网络节点上实施的状态描述可知,该状态可以指示BGPFS规则未通过BGP校验。而BGP FS规则未通过BGP校验,可以包括BGP FS规则中携带非法参数。对于这种情况,第一服务器可以对BGP FS规则进行修改,使得修改后的BGP FS规则通过BGP校验。这样一来,第一服务器将修改后的BGP FS规则发送给网络节点之后,网络节点即可执行实施该BGP FS规则。具体地,第一服务器可以确定BGP FS规则中携带的非法参数,并将非法参数修改为合法参数。例如,第一服务器可以将BGP FS规则中网络节点无法处理的参数,修改为所述网络节点能够处理的参数,并将修改后的BGP FS规则发送给网络节点。又如,第一服务器可以将BGP FS规则中非法AS路径修改为合法AS路径,并将修改后的BGP FS规则发送给网络节点。
如S101中对BGP FS规则在网络节点上实施的状态的描述可知,该状态可以指示BGP FS规则携带的生效接口与网络节点的接口不匹配。对于这种情况,由于BGP FS规则携带的生效接口与网络节点的接口不匹配,则该BGP FS规则无法在网络节点上实施,故而第一服务器可以对BGP FS规则进行修改。具体地,第一服务器可以将BGP FS规则携带的生效接口,修改为与网络节点的接口匹配的接口,并将修改后的BGP FS规则发送给网络节点。这样一来,网络节点即可执行实施该BGP FS规则。
如S101中对BGP FS规则在网络节点上实施的状态的描述可知,该状态可以指示BGP FS规则与安全保护策略冲突。对于这种情况,第一服务器可以对BGP FS规则进行修改,具体地,第一服务器可以将BGP FS规则修改为与安全保护策略不冲突的BGP FS规则,并将修改后的BGP FS规则发送给网络节点,这样一来,网络节点即可执行实施该BGP FS规则。例如,网络节点上的安全保护策略指示禁止对第一IP前缀的报文进行限流,而该BGP FS规则指示针对该第一IP前缀和第二IP前缀的报文进行限流。则第一服务器可以将针对第一IP前缀的报文进行限流的流量控制策略,从BGP FS规则中删除。
接下来介绍“第一服务器根据前述状态向网络节点发送第一配置指令”的具体实现方式。
如S101中对BGP FS规则在网络节点上实施的状态的描述可知,该状态可以指示BGP FS规则未通过BGP FS校验。BGP FS规则未通过BGP FS校验,可能是因为该BGP FS规则未通过网络节点对BGP FS规则进行校验的校验规则,即BGP FS规则不符合预设实施条件。对于这种情况,第一服务器可以向网络节点发送第一配置指令,该第一配置指令用于指示网络节点重新配置目标参数,该目标参数为确定BGP FS规则是否符合所述预设实施条件所使用的参数,使得网络节点重新配置目标参数之后,该BGP FS规则可以符合预设实施条件。该目标参数例如可以为使得网络节点被配置为实施BGP FS规则的参数;又如可以为前述提及的BGP FS规则的数量上限;再如可以为前述提及的流量匹配条件的数量上限;再如可以为前述提及的流量处理行为的数量上限,也可以为网络节点为BGP FS规则分配的内存大小,等等。当然,该第一配置指令,还可以为用于配置网络节点取消验证BGP FS规则是否符合预设实施条件的配置指令。可以理解的是,若网络节点不再验证BGP FS规则是否符合预设实施条件,网络节点则可以实施该BGP FS规则。
通过以上描述可知,利用本申请实施例提供的方案,第一服务器可以获知BGP FS规则在网络节点上实施的状态。相应的,第一服务器可以存储该状态,并在需要时根据该状态执行第一操作,例如对该BGP FS规则进行修改,又如对网络节点进行重新配置,从而使得BGP FS规则能够在网络节点上实施,从而有效防止攻击流量。
在本申请实施例的一种实现方式中,当BGF FS规则已经在网络节点上实施时,为了进一步对该BGP FS规则的流量控制效果进行评估,网络节点还可以获取BGP FS规则的流量匹配信息,并将该流量匹配信息发送给第一服务器。其中,该流量匹配信息指的是:与BGPFS规则匹配的数据流量的相关信息。本申请实施例不具体限定该流量匹配信息,该流量匹配信息,例如可以为与BGP FS规则匹配的报文的条数,又如可以为与BGP FS规则匹配的报文所占的字节数。
如前文,若在网络节点上部署了BMP监控BGP FS Local-RIB功能,则网络节点接收到BGP FS路由之后,会将该BGP FS路由上报给BMP服务器。结合表1可知,网络节点向BMP服务器发送的消息中,有一类消息是SR消息,该SR消息中携带的是统计信息,而流量匹配信息也可以认为是一种统计信息。鉴于此,在本申请实施例中,可以以已有的SR消息为载体,将前述流量匹配信息发送给第一服务器。换言之,在本申请实施例的一种实现方式中,网络节点可以将BGP FS规则的流量匹配信息添加到SR消息中,而后将该添加了前述流量匹配信息的SR消息,发送给第一服务器。具体地,网络节点可以将该流量匹配信息携带在SR消息的扩展字段中。例如,可以将该流量匹配信息携带在扩展的TLV字段中。
另外,对于网络节点上并未部署BMP监控BGP FS Local-RIB功能的情况,第一服务器可以向网络节点发送流量信息上报指令,该流量信息上报指令,用于指示网络节点将前述流量匹配信息上报给第一服务器。换言之,网络节点可以在接收到第一服务器的流量信息上报指令之后,执行获取BGP FS规则的流量匹配信息、并将流量匹配信息发送给第一服务器的步骤。需要说明的是,本申请实施例对该流量信息上报指令的帧结构不做具体限定。与前述状态上报指令的帧结构类似,作为一种示例,该流量信息上报指令中可以携带AFI和SAFI。作为又一种示例,该流量信息上报指令中携带BGP FS规则的标识。当然,该流量信息上报指令中还可以包括其它字段,此处不一一列举说明。
考虑到在实际应用中,若BGP FS规则并未在网络节点上实施,则必然不会存在与该BGP FS规则匹配的数据流量。鉴于此,在本申请实施例的一种实现方式中,第一服务器可以在接收到来自网络节点的前述状态,并在该状态指示BGP FS规则已经在网络节点上实施时,才向网络节点发送流量信息上报指令,从而减少第一服务器与网络节点之间的数据交互。
在本申请实施例中,网络节点接收到该流量信息上报指令之后,可以周期性执行获取BGP FS规则的流量匹配信息,并将该流量匹配信息发送给第一服务器的步骤,当然也可以仅执行一次获取BGP FS规则的流量匹配信息,并将该流量匹配信息发送给第一服务器的步骤,本申请实施例不做具体限定。对于网络节点周期性执行获取BGP FS规则的流量匹配信息、并将流量匹配信息发送给第一服务器的步骤,在本申请实施例的一种实现方式中,第一服务器还可以向网络节点发送流量信息停止上报指令,用于指示网络节点不再上报BGP FS规则的流量匹配信息。例如,第一服务器根据网络节点上报的流量匹配信息,确定该BGP FS规则在一段时间成功拦截了攻击流量,故而不再对BGP FS规则的流量匹配情况进行监控,则第一服务器可以向网络节点发送流量信息停止上报指令。
在本申请实施例中,流量信息上报指令和流量信息停止上报指令可以采用相同的帧结构,利用某一字段的值来区分流量信息上报指令和流量信息停止上报指令。例如,对于第一服务器下发的第二指令,当该第二指令中第二字段的值为1时,该第二指令为流量信息上报指令,当该第二指令中的第二字段的值为0时,该第二指令为流量信息停止上报指令。
第一服务器接收到来自网络节点的流量匹配信息之后,可以存储该流量匹配信息,进一步地,第一服务器还可以根据该流量匹配信息执行第二操作,或者,将该流量匹配信息发送给第二服务器,由第二服务器根据该流量匹配信息执行第二操作。
第一服务器和第二服务器根据流量匹配信息执行第二操作的具体实现是相同的,以下以第一服务器根据流量匹配信息执行第二操作为例进行说明。
在本申请实施例的一种实现方式中,为了使得网络管理人员了解BGP FS规则在网络节点上的流量匹配情况,第一服务器可以控制显示设备显示前述流量匹配信息。这样一来,网络管理人员即可通过显示设备显示的内容,确定BGP FS规则在网络节点上的流量匹配情况。进一步地,网络管理人员可以根据该流量匹配信息执行相应的调整措施。此处提及的显示设备可以为显示屏,该显示屏可以为第一服务器的显示屏,也可以为其它设备的显示屏,本申请实施例不做具体性限定。
在本申请实施例的又一种实现方式中,为了使得前述BGP FS规则可以有效控制攻击流量,以达到控制攻击流量的目的。第一服务器获取到流量匹配信息之后,可以进一步判断该流量匹配信息是否符合预设条件。此处提及的确定流量匹配信息是否符合预设条件,指的是确定BGF FS规则进行流量控制的效果是否达到预期。关于该预设条件,本申请实施例不作具体限定。考虑到在实际应用中,BGP FS规则是对经过网络节点的历史数据流量进行分析,确定存在异常流量之后针对该异常流量制定的。因此,在本申请实施例的一种实现方式中,前述预设条件也可以根据异常流量来确定,即通过对经过所述网络节点的历史数据流量进行分析得到。例如,通过对经过网络节点的历史数据流量进行分析,发现单位时间内经过网络节点的攻击流量为M,则前述流量匹配信息符合预设条件,例如可以为单位时间内与BGP FS规则指示的流量控制策略匹配的数据流量大于或者等于M*k,其中,k为比例系数。当然,此处只是为了方便理解而示出,其并不构成对本申请实施例的限定。
可以理解的是,若第一服务器确定获取到的流量匹配信息符合预设条件,则表示该BGP FS规则可以有效防止攻击流量。若第一服务器确定获取到的流量匹配信息不符合预设条件,则表示BGP FS规则可能并不能有效防止攻击流量。对于BGP FS规则可能并不能有效防止攻击流量的情况,第一服务器可以进一步确定BGP FS规则不能有效防止攻击流量的原因,并执行相应的调整措施,以达到有效防止攻击流量的目的。
在实际应用中,导致前述流量匹配信息不符合预设条件的原因可能有两种。其中一种是BGP FS规则在实施时受到了其它流量控制策略的干扰。也就是前文提及的BGP FS规则在网络节点上异常实施。另外一种则是由于BGP FS规则自身的配置导致的。对于第一种原因,在本申请实施例中,第一服务器例如可以对网络节点进行重新配置,从而使得BGP FS规则在网络节点上正常实施。对于第二种原因,在本申请实施例中,第一服务器例如可以对BGP FS规则进行修改,并将修改后的BGP FS规则发送给网络节点。换言之,在本申请实施例中,第一服务器根据流量匹配信息执行第二操作在具体实现时,还可以包括两种实现方式。一种实现方式是,在确定流量匹配信息不符合预设条件时,根据流量匹配信息向网络节点发送第二配置指令,该第二配置指令用于重新配置网络节点。另一种实现方式是,在确定流量匹配信息不符合预设条件时,根据流量匹配信息对BGP FS规则进行修改,并将修改后的BGP FS规则发送给网络节点。以下分别对这两种实现方式进行介绍。
具体地,第一服务器可以首先根据获取到的BGP FS规则在网络节点上实施的状态,确定导致流量匹配信息不符合预设条件的原因是不是BGP FS规则在网络节点上异常实施。具体地,若第一服务器获取的BGP FS规则在网络节点上实施的状态,包括BGP FS规则的优先级低于其它流量控制策略的优先级,则表示BGP FS规则在网络节点上异常实施,相应的,第一服务器可以向网络节点发送第二配置指令,第二配置指令,用于配置网络节点取消实施其它流量控制策略,或者,用于配置网络节点优先实施BGP FS规则。关于其它流量控制策略,可以参考前文对于实施状态信息的描述部分,此处不再详述。
需要说明的是,考虑到在实际应用中,若前述其它流量控制策略能有效防止攻击流量,则即使BGP FS规则不在网络节点上实施,也不会影响网络系统的正常工作。鉴于此,在本申请实施例的一种实现方式中,若第一服务器获取的BGP FS规则在网络节点上实施的状态,包括BGP FS规则的优先级低于其它流量控制策略的优先级,则第一服务器还可以对经过网络节点的数据流量进行分析,确定是否存在异常流量,若存在异常流量,则表示其它流量控制策略并未有效防止攻击流量,在这种情况下,第一服务器才向网络节点发送前述第二配置指令。若不存在异常流量,则表示其它流量控制策略可以有效防止攻击流量,此时第一服务器可以不必执行前述向网络节点发送前述第二配置指令的步骤。
若第一服务器获取的BGP FS规则在网络节点上实施的状态,不包括BGP FS规则的优先级低于其它流量控制策略的优先级,则表示BGP FS规则正常实施,相应的,第一服务器可以确定流量匹配信息不符合预设条件,是由于BGP FS规则自身的配置导致的。考虑到在实际应用中,一方面,若BGP FS规则中存在一些参数组合,会使得BGP FS规则无法生效,进一步地则会导致该BGP FS规则在网络节点上实施之后不能有效防止攻击流量。例如,参数1要求匹配小于1000字节的报文,参数2又要求匹配大于2000字节的报文,这2个参数组合之后导致BGP FS规则无法生效。又如,参数3对应的流量处理行为是重定向到某一个VPN实例,参数3对应的流量处理行为是重定向到某个具体的IP地址,这两个参数组合之后导致BGPFS规则无法生效。鉴于此,在本申请实施例的一种实现方式中,第一服务器可以对BGP FS规则的配置参数进行分析,确定BGP FS规则中是否存在一些参数组合会使得BGP FS规则无法生效。若存在,则第一服务器可以对这些参数重新进行修改,使得修改后得到的BGP FS规则能够生效。另一方面,若BGP FS规则指示的流量控制策略所针对的流量,并非是实际上需要防止的攻击流量,也会导致该BGP FS规则实施之后不能有效防止攻击流量。例如,攻击流量的目的地址网段是10.1.1.0/24,而BGP FS规则中的匹配条件中的目的地址所在的网段为20.1.1.0/24。对于这种情况,在本申请实施例的一种实现方式中,第一服务器可以对经过网络节点的数据流量进行分析,并根据基于分析结果对BGP FS规则进行修改。具体地,第一服务器可以通过对预设时间段内经过网络节点的数据流量进行分析,确定攻击流量的特征,并根据攻击流量的特征来对BGP FS规则进行修改。例如,第一服务器对第一时间段内经过网络节点的数据流量进行分析之后,确定存在大量的目的地址所在的网段为10.1.1.0/24的攻击流量,而BGP FS规则中的匹配条件中的目的地址所在的网段为20.1.1.0/24,则第一服务器将BGP FS规则中的匹配条件中的目的地址所在的网段修改为10.1.1.0/24。关于该预设时间段,本申请实施例不做具体限定。
以上对本申请实施例提供的信息上报方法进行了介绍,以下结合附图对本申请实施例提供的信息上报方法进行介绍。参见图3,该图为本申请实施例提供一种信息上报方法的信令交互图。图3示出了网络节点和第一服务器之间的信令交互。需要说明的是,在图3所示的场景中,前文提及的第二服务器和第一服务器集成在一个设备上。图3只是为了方便理解,示出了部分步骤,但这并不构成对本申请实施例的限定。图3所示的信息上报方法,可以通过如下S201-S209实现。
S201:第一服务器向网络节点发送BGP FS路由。
S202:第一服务器向网络节点发送状态上报指令。
S203:网络节点获取BGP FS规则在网络节点上实施的状态,该状态为BGP FS路由已经在网络节点上实施。
可以理解的是,网络节点接收的BGP FS路由中携带BGP FS规则。
S204:网络节点将获取的状态发送给第一服务器。
S205:第一服务器向网络节点发送流量信息上报指令。
S206:网络节点获取BGP FS规则的流量匹配信息。
S207:网络节点将获取的流量匹配信息发送给第一服务器。
S208:第一服务器确定流量匹配信息不符合预设条件,并确定接收的状态指示BGPFS规则的优先级低于其它流量控制策略的优先级。
S209:第一服务器向网络节点发送第二配置指令,第二配置指令用于配置网络节点优先实施BGP FS规则。
基于以上实施例提供的信息上报方法,本申请实施例还提供了一种信息上报装置,该信息上报装置,用于执行前述实施例提及的由网络节点执行的信息上报方法,例如执行如图2和图3所示的网络节点执行的步骤。以下结合附图介绍该信息上报装置。
参见图4,该图为本申请实施例提供的一种信息上报装置的结构示意图。图4所示的信息上报装置400,例如可以包括获取单元401和发送单元402。
获取单元401,用于获取边界网关协议流规范BGP FS规则在网络节点上实施的状态;所述状态指示所述BGP FS规则已经在所述网络节点上实施,或者,所述状态指示所述BGP FS规则未在所述网络节点上实施;
发送单元402,用于将所述状态发送给服务器。
在一种实现方式中,所述发送单元402,具体用于:
将所述状态添加至路由监控RM消息中,并将添加了所述状态的RM消息发送给所述服务器。
在一种实现方式中,所述BGP FS规则已经在所述网络节点上实施包括:所述BGPFS规则正常实施,或者,所述BGP FS规则异常实施。
在一种实现方式中,所述BGP FS规则异常实施,包括:
所述BGP FS规则的优先级低于其它流量控制策略的优先级,所述其它流量控制策略运行在所述网络节点上。
在一种实现方式中,所述BGP FS规则未在所述网络节点上实施,包括:
所述BGP FS规则未通过BGP校验,和/或,所述BGP FS规则未通过BGP FS校验。
在一种实现方式中,所述BGP FS规则未通过BGP校验,包括:
所述BGP FS规则中携带非法参数。
在一种实现方式中,所述BGP FS规则未通过BGP FS校验,包括以下任意一项或者多项:
所述BGP FS规则不符合预设实施条件;
所述BGP FS规则携带的生效接口与所述网络节点的接口不匹配;和,
所述BGP FS规则与安全保护策略冲突,所述安全保护策略运行在所述网络节点上。
在一种实现方式中,若所述状态为所述BGP FS规则已经在所述网络节点上实施,所述获取单元401还用于获取所述BGP FS规则的流量匹配信息,所述流量匹配信息为与所述BGP FS规则匹配的数据流量的相关信息;
所述发送单元402还用于将所述流量匹配信息发送给所述服务器。
在一种实现方式中,所述发送单元402具体用于:
将所述流量匹配信息添加至状态报告SR消息中,并将添加了所述流量匹配信息的SR消息发送给所述服务器。
在一种实现方式中,所述获取单元401具体用于:
接收到来自所述服务器的状态上报指令之后,获取所述BGP FS规则在所述网络节点上实施的状态。
在一种实现方式中,所述获取单元401具体用于:
接收到来自所述服务器的流量信息上报指令之后,获取所述BGP FS规则的流量匹配信息。
由于所述装置400是与以上方法实施例提供的、由网络节点执行的信息上报方法对应的装置,所述装置400的各个单元的具体实现,均与以上方法实施例为同一构思,因此,关于所述装置400的各个单元的具体实现,可以参考以上方法实施例中关于网络节点执行的信息上报方法的描述部分,此处不再重复描述。
基于以上实施例提供的数据处理方法,本申请实施例还提供了一种数据处理装置,该数据处理装置,用于执行前述实施例提及的由第一服务器执行的数据处理方法,例如执行如图2和图3所示的第一服务器执行的步骤。以下结合附图介绍该数据处理装置。
参见图5,该图为本申请实施例提供的一种数据处理装置的结构示意图。图5所示的信息上报装置500,例如可以包括获取单元501和存储单元502。
获取单元501,用于获取边界网关协议流规范BGP FS规则在网络节点上实施的状态;所述状态指示所述BGP FS规则已经在所述网络节点上实施,或者,所述状态指示所述BGP FS规则未在所述网络节点上实施;
存储单元502,用于存储所述状态。
在一种实现方式中,所述BGP FS规则已经在所述网络节点上实施包括:所述BGPFS规则正常实施,或者,所述BGP FS规则异常实施。
在一种实现方式中,所述BGP FS规则异常实施,包括:
所述BGP FS规则的优先级低于其它流量控制策略的优先级,所述其它流量控制策略运行在所述网络节点上。
在一种实现方式中,所述BGP FS规则未在所述网络节点上实施,包括:
所述BGP FS规则未通过BGP校验,和/或,所述BGP FS规则未通过BGP FS校验。
在一种实现方式中,所述BGP FS规则未通过BGP校验,包括:
所述BGP FS规则中携带非法参数。
在一种实现方式中,所述BGP FS规则未通过BGP FS校验,包括以下任意一项或者多项:
所述BGP FS规则不符合预设实施条件;
所述BGP FS规则携带的生效接口与所述网络节点的接口不匹配;和,
所述BGP FS规则与安全保护策略冲突,所述安全保护策略运行在所述网络节点上。
在一种实现方式中,所述装置500还包括:
操作单元,用于根据所述状态执行第一操作;或者,
发送单元,用于将所述状态发送给第二服务器,由所述第二服务器根据所述状态执行第一操作。
在一种实现方式中,所述操作单元具体用于:
控制显示设备显示所述状态。
在一种实现方式中,所述操作单元具体用于:
根据所述状态对所述BGP FS规则进行修改,并将修改后的BGP FS规则发送给所述网络节点。
在一种实现方式中,所述操作单元具体用于:
根据所述状态向所述网络节点发送第一配置指令,所述第一配置指令用于配置所述网络节点。
在一种实现方式中,所述操作单元具体用于:
若所述状态为所述BGP FS规则未通过BGP校验,则确定所述BGP FS规则中携带的非法参数,并将所述非法参数修改为合法参数。
在一种实现方式中,所述操作单元具体用于:
若所述状态为所述BGP FS规则携带的生效接口与所述网络节点的接口不匹配,则将所述BGP FS规则携带的生效接口修改为与所述网络节点的接口匹配的接口。
在一种实现方式中,所述操作单元具体用于:
若所述状态为描述所述BGP FS规则与安全保护策略冲突,则将所述BGP FS规则修改为与所述安全保护策略不冲突的BGP FS规则。
在一种实现方式中,所述操作单元具体用于:
若所述状态为所述BGP FS规则不符合预设实施条件,则向所述网络节点发送第一配置指令,所述第一配置指令用于指示所述网络节点重新配置目标参数,以使得所述BGPFS规则符合所述预设实施条件;或者,所述第一配置指令,用于配置所述网络节点取消验证所述BGP FS规则是否符合所述预设实施条件。
在一种实现方式中,所述获取单元501还用于获取所述BGP FS规则的流量匹配信息,所述流量匹配信息为与所述BGP FS规则匹配的数据流量的相关信息;
所述存储单元502还用于存储所述流量匹配信息。
在一种实现方式中,所述操作单元还用于根据所述流量匹配信息执行第二操作;或者,
所述发送单元还用于将所述流量匹配信息发送给所述第二服务器,由所述第二服务器根据所述流量匹配信息执行第二操作。
在一种实现方式中,所述操作单元具体用于:
控制显示设备显示所述流量匹配信息。
在一种实现方式中,所述操作单元具体用于:
确定所述流量匹配信息是否符合预设条件,若所述流量匹配信息不符合所述预设条件,则根据所述流量匹配信息对所述BGP FS规则进行修改,并将修改后的BGP FS规则发送给所述网络节点。
在一种实现方式中,所述操作单元具体用于:
根据所述流量匹配信息向所述网络节点发送第二配置指令,所述第二配置指令用于配置所述网络节点。
在一种实现方式中,所述操作单元具体用于:
若所述状态包括所述BGP FS规则的优先级低于其它流量控制策略的优先级,则向所述网络节点发送第二配置指令,所述第二配置指令用于配置所述网络节点取消实施所述其它流量控制策略,或者,用于配置所述网络节点优先实施所述BGP FS规则。
在一种实现方式中,所述装置500还包括:
分析单元,用于在所述向所述网络节点发送第二配置指令之前,对经过所述网络节点的数据流量进行分析,得到分析结果;
相应的,所述操作单元具体用于:
若所述分析结果指示经过所述网络节点的数据流量中存在异常流量,则向所述网络节点发送第二配置指令。
在一种实现方式中,所述操作单元具体用于:
若所述状态不包括所述BGP FS规则的优先级低于其它流量控制策略的优先级,则对所述BGP FS规则进行修改。
在一种实现方式中,所述操作单元具体用于:
对所述BGP FS规则的配置参数进行分析,确定是否存在导致BGP FS规则无法生效的参数组合;
若存在,对所述参数组合进行修改,使得修改后得到的BGP FS规则生效。
在一种实现方式中,所述操作单元具体用于:
对经过所述网络节点的数据流量进行分析,并根据分析结果对所述BGP FS规则进行修改。
在一种实现方式中,所述发送单元还用于向所述网络节点发送状态上报指令,所述状态上报指令,用于指示所述网络节点向所述数据处理装置上报所述BGP FS规则在所述网络节点上实施的状态。
在一种实现方式中,所述发送单元还用于向所述网络节点发送流量信息上报指令,所述流量信息上报指令,用于指示所述网络节点向所述数据处理装置上报所述BGP FS规则的流量匹配信息,所述流量匹配信息,为与所述BGP FS规则匹配的数据流量的相关信息。
在一种实现方式中,所述发送单元具体用于:
当所述数据处理装置接收到的所述状态为所述BGP FS规则已经在所述网络节点上实施时,向所述网络节点发送所述流量信息上报指令。
由于所述装置500是与以上方法实施例提供的、由第一服务器执行的数据处理方法对应的装置,所述装置500的各个单元的具体实现,均与以上方法实施例为同一构思,因此,关于所述装置500的各个单元的具体实现,可以参考以上方法实施例中关于第一服务器执行的数据分析方法的描述部分,此处不再重复描述。
本申请实施例还提供了一种信息上报设备,所述设备包括:处理器和存储器;所述存储器,用于存储指令;所述处理器,用于执行所述存储器中的所述指令,以执行以上方法实施例提供的由网络节点执行的信息上报方法。在一些实施例中,该信息上报设备可以是图1中的任一网络设备。
本申请实施例还提供了一种数据处理设备,所述设备包括:处理器和存储器;所述存储器,用于存储指令;所述处理器,用于执行所述存储器中的所述指令,以执行以上方法实施例提供的由第一服务器执行的数据分析方法。在一些实施例中,该数据分析设备可以是图1中服务器200或者服务器300。
需要说明的是,前述提及的信息上报设备和数据处理设备,其硬件结构均可以为如图6所示的结构,图6为本申请实施例提供的一种设备的结构示意图。
请参阅图6所示,设备600包括:处理器610、通信接口620和和存储器630。其中设备600中的处理器610的数量可以一个或多个,图6中以一个处理器为例。本申请实施例中,处理器610、通信接口620和存储器630可通过总线系统或其它方式连接,其中,图6中以通过总线系统640连接为例。
处理器610可以是中央处理器(central processing unit,CPU),网络处理器(network processor,NP)或者CPU和NP的组合。处理器610还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。若所述设备600为前述实施例中提及的信息上报设备,则处理器610可以执行前述获取单元401和发送单元402等单元执行的步骤。若所述网络设备600为前述实施例中提及的数据处理设备,则处理器610可以执行前述获取单元501和存储单元502等单元执行的步骤。
存储器630可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(random-access memory,RAM);存储器630也可以包括非易失性存储器(英文:non-volatile memory),例如快闪存储器(英文:flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器630还可以包括上述种类的存储器的组合。
若所述设备600为前述实施例中提及的信息上报设备,则存储器630可以存储前述实施例提及的BGP FS规则等等。若所述网络设备600为前述实施例中提及的数据处理设备,则存储器630可以存储前述实施例提及的BGP FS规则在网络节点上实施的状态等等。
可选地,存储器630存储有操作系统和程序、可执行模块或者数据结构,或者它们的子集,或者它们的扩展集,其中,程序可包括各种操作指令,用于实现各种操作。操作系统可包括各种系统程序,用于实现各种基础业务以及处理基于硬件的任务。处理器610可以读取存储器630中的程序,实现本申请实施例提供的数据采集方法。
总线系统640可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。总线系统640可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本申请实施例还提供了一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行以上实施例提供的由网络节点执行的信息上报方法。
本申请实施例还提供了一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行以上实施例提供的由第一服务器执行的数据处理方法。
本申请实施例还提供了一种包含程序的计算机程序产品,当其在计算机上运行时,使得计算机执行以上实施例提供的由网络节点执行的信息上报方法。
本申请实施例还提供了一种包含程序的计算机程序产品,当其在计算机上运行时,使得计算机执行以上实施例提供的由第一服务器执行的数据处理方法。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑业务划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各业务单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件业务单元的形式实现。
集成的单元如果以软件业务单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干程序用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的业务可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些业务存储在计算机可读介质中或者作为计算机可读介质上的一个或多个程序或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上仅为本发明的具体实施方式而已。
以上,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (30)

1.一种信息上报方法,其特征在于,所述方法包括:
网络节点获取边界网关协议流规范BGP FS规则在所述网络节点上实施的状态;所述状态指示所述BGP FS规则已经在所述网络节点上实施,或者,所述状态指示所述BGP FS规则未在所述网络节点上实施;
所述网络节点将所述状态发送给服务器。
2.根据权利要求1所述的方法,其特征在于,所述网络节点将所述状态发送给服务器,包括:
所述网络节点将所述状态添加至路由监控RM消息中,并将添加了所述状态的RM消息发送给所述服务器。
3.根据权利要求1或2所述的方法,其特征在于,所述BGP FS规则已经在所述网络节点上实施包括:所述BGP FS规则正常实施,或者,所述BGP FS规则异常实施。
4.根据权利要求1所述的方法,其特征在于,所述BGP FS规则未在所述网络节点上实施,包括:
所述BGP FS规则未通过边界网关协议BGP校验,和/或,所述BGP FS规则未通过BGP FS校验。
5.根据权利要求1所述的方法,其特征在于,若所述状态为所述BGP FS规则已经在所述网络节点上实施,所述方法还包括:
所述网络节点获取所述BGP FS规则的流量匹配信息,所述流量匹配信息为与所述BGPFS规则匹配的数据流量的相关信息;
所述网络节点将所述流量匹配信息发送给所述服务器。
6.根据权利要求5所述的方法,其特征在于,所述网络节点将所述流量匹配信息发送给所述服务器,包括:
所述网络节点将所述流量匹配信息添加至状态报告SR消息中,并将添加了所述流量匹配信息的SR消息发送给所述服务器。
7.根据权利要求1-6任一权利要求所述的方法,其特征在于,所述网络节点获取BGP FS规则在所述网络节点上实施的状态,包括:
所述网络节点接收到来自所述服务器的状态上报指令之后,获取所述BGP FS规则在所述网络节点上实施的状态。
8.根据权利要求6或7所述的方法,其特征在于,所述网络节点获取所述BGP FS规则的流量匹配信息,包括:
所述网络节点接收到来自所述服务器的流量信息上报指令之后,获取所述BGP FS规则的流量匹配信息。
9.一种数据处理方法,其特征在于,所述方法包括:
第一服务器获取边界网关协议流规范BGP FS规则在网络节点上实施的状态;所述状态指示所述BGP FS规则已经在所述网络节点上实施,或者,所述状态指示所述BGP FS规则未在所述网络节点上实施;
所述第一服务器存储所述状态。
10.根据要求9所述的方法,其特征在于,所述方法还包括:
所述第一服务器根据所述状态执行第一操作;或者,
所述第一服务器将所述状态发送给第二服务器,由所述第二服务器根据所述状态执行第一操作。
11.根据权利要求9所述的方法,其特征在于,所述根据所述状态执行第一操作,包括:
控制显示设备显示所述状态;或者,
根据所述状态对所述BGP FS规则进行修改,并将修改后的BGP FS规则发送给所述网络节点;或者,
根据所述状态向所述网络节点发送第一配置指令,所述第一配置指令用于配置所述网络节点。
12.根据权利要求11所述的方法,其特征在于,所述根据所述状态对所述BGP FS规则进行修改,包括:
若所述状态为所述BGP FS规则未通过边界网关协议BGP校验,则确定所述BGP FS规则中携带的非法参数,并将所述非法参数修改为合法参数;或者,
若所述状态为所述BGP FS规则携带的生效接口与所述网络节点的接口不匹配,则将所述BGP FS规则携带的生效接口修改为与所述网络节点的接口匹配的接口;或者,
若所述状态为描述所述BGP FS规则与安全保护策略冲突,则将所述BGP FS规则修改为与所述安全保护策略不冲突的BGP FS规则。
13.根据权利要求11所述的方法,其特征在于,所述根据所述状态向所述网络节点发送第一配置指令,包括:
若所述状态为所述BGP FS规则不符合预设实施条件,则向所述网络节点发送第一配置指令,所述第一配置指令用于指示所述网络节点重新配置目标参数,以使得所述BGP FS规则符合所述预设实施条件;或者,所述第一配置指令,用于配置所述网络节点取消验证所述BGP FS规则是否符合所述预设实施条件。
14.根据权利要求9-13任意一项所述的方法,其特征在于,所述方法还包括:
所述第一服务器获取所述BGP FS规则的流量匹配信息,所述流量匹配信息为与所述BGP FS规则匹配的数据流量的相关信息;
所述第一服务器存储所述流量匹配信息。
15.根据权利要求14所述的方法,其特征在于,所述方法还包括:
所述第一服务器根据所述流量匹配信息执行第二操作;或者,
所述第一服务器将所述流量匹配信息发送给所述第二服务器,由所述第二服务器根据所述流量匹配信息执行第二操作。
16.根据权利要求15所述的方法,其特征在于,所述根据所述流量匹配信息执行第二操作,包括:
控制显示设备显示所述流量匹配信息;或者,
确定所述流量匹配信息是否符合预设条件,若所述流量匹配信息不符合所述预设条件,则根据所述流量匹配信息对所述BGP FS规则进行修改,并将修改后的BGP FS规则发送给所述网络节点;或者,
根据所述流量匹配信息向所述网络节点发送第二配置指令,所述第二配置指令用于配置所述网络节点。
17.根据权利要求16所述的方法,其特征在于,所述向所述网络节点发送第二配置指令,包括:
若所述状态包括所述BGP FS规则的优先级低于其它流量控制策略的优先级,则向所述网络节点发送第二配置指令,所述第二配置指令用于配置所述网络节点取消实施所述其它流量控制策略,或者,用于配置所述网络节点优先实施所述BGP FS规则。
18.根据权利要求16所述的方法,其特征在于,所述第二服务器对所述BGP FS规则进行修改,包括:
若所述状态不包括所述BGP FS规则的优先级低于其它流量控制策略的优先级,则对所述BGP FS规则进行修改。
19.根据权利要求9-18任意一项所述的方法,其特征在于,所述方法还包括:
所述第一服务器向所述网络节点发送状态上报指令,所述状态上报指令,用于指示所述网络节点向所述第一服务器上报所述BGP FS规则在所述网络节点上实施的状态。
20.根据权利要求9-19任意一项所述的方法,其特征在于,所述方法还包括:
所述第一服务器向所述网络节点发送流量信息上报指令,所述流量信息上报指令,用于指示所述网络节点向所述第一服务器上报所述BGP FS规则的流量匹配信息,所述流量匹配信息,为与所述BGP FS规则匹配的数据流量的相关信息。
21.根据权利要求20所述的方法,其特征在于,所述第一服务器向所述网络节点发送流量信息上报指令,包括:
当所述第一服务器接收到的所述状态为BGP FS规则已经在所述网络节点上实施时,所述第一服务器向所述网络节点发送所述流量信息上报指令。
22.一种信息上报装置,其特征在于,所述装置包括:
获取单元,用于获取边界网关协议流规范BGP FS规则在网络节点上实施的状态;所述状态指示所述BGP FS规则已经在所述网络节点上实施,或者,所述状态指示所述BGP FS规则未在所述网络节点上实施;
发送单元,用于将所述状态发送给服务器。
23.根据权利要求22所述的装置,其特征在于,所述发送单元,具体用于:
将所述状态添加至路由监控RM消息中,并将添加了所述状态的RM消息发送给所述服务器。
24.根据权利要求22所述的装置,其特征在于,若所述状态为所述BGP FS规则已经在所述网络节点上实施,
所述获取单元,还用于获取所述BGP FS规则的流量匹配信息,所述流量匹配信息为与所述BGP FS规则匹配的数据流量的相关信息;
所述发送单元,还用于将所述流量匹配信息发送给所述服务器。
25.根据权利要求24所述的装置,其特征在于,所述发送单元,具体用于:
将所述流量匹配信息添加至状态报告SR消息中,并将添加了所述流量匹配信息的SR消息发送给所述服务器。
26.一种数据处理装置,其特征在于,所述装置包括:
获取单元,用于获取边界网关协议流规范BGP FS规则在网络节点上实施的状态;所述状态指示所述BGP FS规则已经在所述网络节点上实施,或者,所述状态指示所述BGP FS规则未在所述网络节点上实施;
存储单元,用于存储所述状态。
27.根据要求26任意一项所述的装置,其特征在于,所述装置还包括:
操作单元,用于根据所述状态执行第一操作,或者,
发送单元,用于将所述状态发送给第二服务器,由所述第二服务器根据所述状态执行第一操作。
28.根据权利要求26或27所述的装置,其特征在于,
所述获取单元,还用于获取所述BGP FS规则的流量匹配信息,所述流量匹配信息为与所述BGP FS规则匹配的数据流量的相关信息;
所述存储单元,还用于存储所述流量匹配信息。
29.根据权利要求28所述的装置,其特征在于,
所述操作单元,还用于根据所述流量匹配信息执行第二操作;或者,
所述发送单元,还用于将所述流量匹配信息发送给所述第二服务器,由所述第二服务器根据所述流量匹配信息执行第二操作。
30.一种计算机可读存储介质,其特征在于,包括指令,当其在计算机上运行时,使得计算机执行以上权利要求1-21任意一项所述的方法。
CN201911053999.5A 2019-10-31 2019-10-31 一种信息上报方法、数据处理方法及装置 Active CN112751814B (zh)

Priority Applications (7)

Application Number Priority Date Filing Date Title
CN201911053999.5A CN112751814B (zh) 2019-10-31 2019-10-31 一种信息上报方法、数据处理方法及装置
CN202210368803.7A CN114826697A (zh) 2019-10-31 2019-10-31 一种信息上报方法、数据处理方法及装置
JP2022525231A JP7470786B2 (ja) 2019-10-31 2020-10-30 情報報告方法、データ処理方法、及び装置
EP20880447.6A EP4030720A4 (en) 2019-10-31 2020-10-30 INFORMATION REPORTING METHOD, AND DATA PROCESSING METHOD AND DEVICE
PCT/CN2020/125227 WO2021083324A1 (zh) 2019-10-31 2020-10-30 一种信息上报方法、数据处理方法及装置
BR112022007412A BR112022007412A2 (pt) 2019-10-31 2020-10-30 Método de relatório de informações, e método de processamento de dados, e dispositivos
US17/732,588 US20220263803A1 (en) 2019-10-31 2022-04-29 Information Reporting Method, Data Processing Method, and Apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911053999.5A CN112751814B (zh) 2019-10-31 2019-10-31 一种信息上报方法、数据处理方法及装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202210368803.7A Division CN114826697A (zh) 2019-10-31 2019-10-31 一种信息上报方法、数据处理方法及装置

Publications (2)

Publication Number Publication Date
CN112751814A true CN112751814A (zh) 2021-05-04
CN112751814B CN112751814B (zh) 2022-04-12

Family

ID=75644643

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202210368803.7A Pending CN114826697A (zh) 2019-10-31 2019-10-31 一种信息上报方法、数据处理方法及装置
CN201911053999.5A Active CN112751814B (zh) 2019-10-31 2019-10-31 一种信息上报方法、数据处理方法及装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN202210368803.7A Pending CN114826697A (zh) 2019-10-31 2019-10-31 一种信息上报方法、数据处理方法及装置

Country Status (6)

Country Link
US (1) US20220263803A1 (zh)
EP (1) EP4030720A4 (zh)
JP (1) JP7470786B2 (zh)
CN (2) CN114826697A (zh)
BR (1) BR112022007412A2 (zh)
WO (1) WO2021083324A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023040729A1 (zh) * 2021-09-16 2023-03-23 华为技术有限公司 报文处理方法、流规范传输方法、设备、系统及存储介质

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115022165B (zh) * 2022-05-27 2023-06-02 烽火通信科技股份有限公司 Bgp流规范生效接口优化方法、装置、设备及存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101369909A (zh) * 2007-08-15 2009-02-18 华为技术有限公司 上报策略执行结果的方法、网络通信系统和设备
US20110093612A1 (en) * 2009-10-19 2011-04-21 Ip Infusion Inc. Device, method and computer readable medium for bgp route monitoring
CN104734949A (zh) * 2013-12-24 2015-06-24 中兴通讯股份有限公司 一种实现流表配置的方法及装置
WO2017167029A1 (zh) * 2016-03-29 2017-10-05 华为技术有限公司 一种统计流量的控制方法、装置和系统
CN107592270A (zh) * 2016-07-07 2018-01-16 华为技术有限公司 FlowSpec消息的处理方法和装置以及系统
WO2018170901A1 (en) * 2017-03-24 2018-09-27 Telefonaktiebolaget Lm Ericsson (Publ) Method and device for managing network based on border gateway protocol
CN108881041A (zh) * 2017-05-15 2018-11-23 中国移动通信有限公司研究院 一种控制流量的方法及系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9344337B2 (en) * 2014-03-13 2016-05-17 Cisco Technology, Inc. Service node originated service chains in a network environment
JP2018029303A (ja) 2016-08-19 2018-02-22 日本電信電話株式会社 通知システムおよび通知方法
JP2018125745A (ja) 2017-02-02 2018-08-09 日本電信電話株式会社 転送装置及び転送方法
US10554493B2 (en) * 2017-06-19 2020-02-04 Cisco Technology, Inc. Identifying mismatches between a logical model and node implementation
WO2019138414A1 (en) * 2018-01-12 2019-07-18 Telefonaktiebolaget Lm Ericsson (Publ) Data center failure management in an sdn deployment using switching node control

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101369909A (zh) * 2007-08-15 2009-02-18 华为技术有限公司 上报策略执行结果的方法、网络通信系统和设备
US20110093612A1 (en) * 2009-10-19 2011-04-21 Ip Infusion Inc. Device, method and computer readable medium for bgp route monitoring
CN104734949A (zh) * 2013-12-24 2015-06-24 中兴通讯股份有限公司 一种实现流表配置的方法及装置
WO2017167029A1 (zh) * 2016-03-29 2017-10-05 华为技术有限公司 一种统计流量的控制方法、装置和系统
CN107592270A (zh) * 2016-07-07 2018-01-16 华为技术有限公司 FlowSpec消息的处理方法和装置以及系统
WO2018170901A1 (en) * 2017-03-24 2018-09-27 Telefonaktiebolaget Lm Ericsson (Publ) Method and device for managing network based on border gateway protocol
CN108881041A (zh) * 2017-05-15 2018-11-23 中国移动通信有限公司研究院 一种控制流量的方法及系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023040729A1 (zh) * 2021-09-16 2023-03-23 华为技术有限公司 报文处理方法、流规范传输方法、设备、系统及存储介质

Also Published As

Publication number Publication date
CN112751814B (zh) 2022-04-12
JP2023500274A (ja) 2023-01-05
WO2021083324A1 (zh) 2021-05-06
US20220263803A1 (en) 2022-08-18
BR112022007412A2 (pt) 2022-07-05
EP4030720A1 (en) 2022-07-20
JP7470786B2 (ja) 2024-04-18
CN114826697A (zh) 2022-07-29
EP4030720A4 (en) 2022-11-02

Similar Documents

Publication Publication Date Title
US10742679B2 (en) Multi-tiered network architecture for mitigation of cyber-attacks
US10708146B2 (en) Data driven intent based networking approach using a light weight distributed SDN controller for delivering intelligent consumer experience
ES2841323T3 (es) Una estrategia de red basada en intención impulsada por datos que utiliza un controlador SDN distribuido ligero para brindar experiencias inteligentes al consumidor
US10498765B2 (en) Virtual infrastructure perimeter regulator
US8081640B2 (en) Network system, network management server, and access filter reconfiguration method
US7710887B2 (en) Network protection via embedded controls
US6801503B1 (en) Progressive and distributed regulation of selected network traffic destined for a network node
US10986018B2 (en) Reducing traffic overload in software defined network
US20130322444A1 (en) Detecting and mitigating forwarding loops in stateful network devices
US20220263803A1 (en) Information Reporting Method, Data Processing Method, and Apparatus
US20150271076A1 (en) Determining a load distribution for data units at a packet inspection device
EP3166279A1 (en) Integrated security system having rule optimization
US20230208874A1 (en) Systems and methods for suppressing denial of service attacks
US10050937B1 (en) Reducing impact of network attacks in access networks
US20220414211A1 (en) Method for coordinating the mitigation of a cyber attack, associated device and system
US20230179638A1 (en) Method and apparatus for preventing network attacks in a network slice
Wu et al. Middlebox resources management using openflow
Campanile Investigating black holes in segment routing networks: identification and detection
Sahay et al. SDN-based Dynamic and Adaptive Policy Management System to Mitigate DDoS Attacks
WO2021183262A1 (en) Elimination of address resolution protocol
JP2018037835A (ja) 攻撃判定装置および攻撃判定方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant