CN112866031A - 路由配置方法、装置、设备及计算机可读存储介质 - Google Patents
路由配置方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112866031A CN112866031A CN202110163820.2A CN202110163820A CN112866031A CN 112866031 A CN112866031 A CN 112866031A CN 202110163820 A CN202110163820 A CN 202110163820A CN 112866031 A CN112866031 A CN 112866031A
- Authority
- CN
- China
- Prior art keywords
- routing
- route
- list
- control strategy
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0889—Techniques to speed-up the configuration process
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种路由配置方法,该方法包括:通过配置至少一个路由列表,使同一路由列表中包含了至少一条路由条目、且至少一条路由条目为执行相同控制策略的历史攻击流量的路由信息;为至少一个路由列表配置各自对应的控制策略,并将配置的控制策略发送给第二网络设备,第二网络设备用于根据配置的控制策略对接收的目标攻击流量进行控制。可见,本申请通过将执行相同控制策略的历史攻击流量的路由信息配置在同一个路由列表中,实现了对路由的归类,这样,便不需要对每个路由配置控制策略,只需要为每个路由列表配置控制策略,从而可以有效减少配置量,节省了网络资源。
Description
技术领域
本申请涉及通信技术领域,特别涉及一种路由配置方法、装置、设备及计算机可读存储介质。
背景技术
随着网络规模的不断扩大,拒绝服务(Denial of Service,简称DoS)/分布式拒绝服务(Distributed Denial of Service,简称DDoS)攻击是对网络安全的一个重大威胁,DoS/DDoS攻击者通过多个控制端控制成千上万的攻击设备对同一个目的地址、网段或服务器同时发起流量攻击,导致网络拥塞或服务器中央处理器(central processing unit,简称CPU)占用过高无法提供服务。边界网关协议(Border Gateway Protocol,简称BGP)Flowspec使用标准协议定义的BGP网络层可达信息类型来传递流量过滤信息,因此路由信息和流量过滤信息独立存在。BGP Flowspec可用于IPv4、IPv6、VPNv4等网络场景。此外,BGPFlowspec提供了丰富的过滤条件和处理动作,从而可以有针对性地实现对流量的控制。
参见图1所示的流量控制网络架构示意图。在现有技术中,当网络AS100内的网络设备Device A出现攻击源时,攻击流量通过网络设备Device B流入到网络AS200内,对网络AS200的网络造成了危害。因此,为了保证网络AS200的安全,可以在网络内部署动态BGPFlowspec功能,即,在网络中部署流量分析服务器Server和流量牵引设备Device C,并将Device C与Device B建立BGP Flowspec邻居关系。由Device B定期将流量采样通过DeviceC发送给流量分析服务器Server,流量分析服务器Server会根据攻击流量的流量采样,自动生成BGP Flowspec路由并通过文件传输协议(File Transfer Protocol,简称FTP)发送至Device C上,Device C会根据不同的攻击流量配置不同的流量控制策略,对攻击流量进行过滤和控制,通过BGP协议发送给Device B,从而保证网络AS200内的业务正常运行。
现有方案中通过BGP Flowsepc过滤和控制的配置命令,是用match关键字语句匹配一条流量,再用set关键字语句配置控制策略。虽然现有方案可以对攻击流量进行过滤和控制,然而,当多条攻击流量需要配置相同的控制策略时,match关键字语句的命令是匹配不同的流量,但set关键字语句却都是相同的,这样,配置了多少条match关键字语句,就需要配置多少条内容重复的set关键字语句,从而浪费了网络资源。
发明内容
有鉴于此,本申请提供了一种路由配置方法、装置、设备及计算机可读存储介质,通过优化路由配置,以节省网络资源。
具体地,本申请是通过如下技术方案实现的:
一种路由配置方法,所述方法应用于第一网络设备,所述方法包括:
配置至少一个路由列表,其中,同一路由列表中包含了至少一条路由条目、且所述至少一条路由条目为执行相同控制策略的历史攻击流量的路由信息,不同的路由列表对应了不同的控制策略;
为所述至少一个路由列表配置各自对应的控制策略,并将配置的控制策略发送给第二网络设备,其中,所述第二网络设备用于根据配置的控制策略对接收的目标攻击流量进行控制。
一种路由配置装置,所述装置应用于第一网络设备,所述装置包括:
列表配置单元,用于配置至少一个路由列表,其中,同一路由列表中包含了至少一条路由条目、且所述至少一条路由条目为执行相同控制策略的历史攻击流量的路由信息,不同的路由列表对应了不同的控制策略;
策略配置单元,用于为所述至少一个路由列表配置各自对应的控制策略,并将配置的控制策略发送给第二网络设备,其中,所述第二网络设备用于根据配置的控制策略对接收的目标攻击流量进行控制。
一种电子设备,包括:处理器、存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于通过调用所述计算机程序,执行上述路由配置方法。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述路由配置方法。
在以上本申请提供的技术方案中,通过配置至少一个路由列表,使同一路由列表中包含了至少一条路由条目、且至少一条路由条目为执行相同控制策略的历史攻击流量的路由信息;为至少一个路由列表配置各自对应的控制策略,并将配置的控制策略发送给第二网络设备,第二网络设备用于根据配置的控制策略对接收的目标攻击流量进行控制。可见,本申请实施例通过将执行相同控制策略的历史攻击流量的路由信息配置在同一个路由列表中,实现了对路由的归类,这样,便不需要对每个路由配置控制策略,只需要为每个路由列表配置控制策略,从而可以有效减少配置量,节省了网络资源。
附图说明
图1为本申请示出的流量控制网络架构示意图;
图2为本申请示出的一种路由配置方法的流程示意图;
图3为本申请示出的一种路由配置装置的组成示意图;
图4为本申请示出的一种电子设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在介绍本申请实施例之前,首先对本申请实施例涉及的技术术语进行介绍。
BGP:BGP(Border Gateway Protocol)是一种用于自治系统AS(AutonomousSystem)之间的动态路由协议,主要用于交换AS之间的可达路由信息,构建AS域间的传播路径,防止路由环路的产生,并在AS级别应用一些路由策略。BGP当前使用的版本是BGP-4。BGP作为事实上的Internet外部路由协议标准,被广泛应用于ISP(InternetServiceProvider)之间。
BGP Flowspec:BGP Flowspec功能是一种用于防止DoS(Denial of Service)/DDoS(Distributed Denial of Service)攻击的方法,可以提高网络安全性和可用性。配置了BGP Flowspec的设备通过向疑似发起攻击源节点通告BGP Flowspec路由来传递流量过滤规则,对占用带宽资源或对服务器攻击的流量进行过滤与控制。
DoS:DoS(Denial of Service),即拒绝服务,DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。
DDoS:DDoS(Distributed Denial of Service),即分布式拒绝服务,可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,分布式拒绝服务攻击已经出现了很多次,导致很多的大型网站都出现了无法进行操作的情况,这样不仅仅会影响用户的正常使用,同时造成的经济损失也是非常巨大的。分布式拒绝服务攻击方式在进行攻击的时候,可以对源IP地址进行伪造,这样就使得这种攻击在发生的时候隐蔽性是非常好的,同时要对攻击进行检测也是非常困难的,因此这种攻击方式也成为了非常难以防范的攻击。
下面对本申请实施例提供的路由配置方法进行介绍。
参见图2,为本申请实施例提供的一种路由配置方法的流程示意图,该方法应用于第一网络设备,即该方法的执行主体是第一网络设备。本申请实施例不对该路由配置方法的应用场景进行限定,比如,该方法具体可以是一种优化BGP Flowspec路由配置的方法,该方法中涉及的第一网络设备可以是图1所示的网络设备Device C。
图2所示的路由配置方法可以包括以下步骤S201-S202:
S201:配置至少一个路由列表,其中,同一路由列表中包含了至少一条路由条目、且该至少一条路由条目为执行相同控制策略的历史攻击流量的路由信息,不同的路由列表对应了不同的控制策略。
在本申请实施例中,第一网络设备可以基于已收集到的大量的历史攻击流量的路由信息,配置一个或多个路由列表。具体的,可以将大量的历史攻击流量按照各自所执行过的控制策略进行划分(可以由网络管理员或由系统自动划分),使得执行相同控制策略的历史攻击流量分为一组,对于每一流量分组,获取该组的历史攻击流量的路由信息,从而基于该路由信息得到一条或多条不同的路由条目,并将这些路由条目存储在同一个路由列表中,按照此方式,可以配置一个或多个路由列表,每一路由列表包括一条或多条路由条目,且不同的路由列表实际对应不同的控制策略。
其中,该控制策略可以是进行阻断、限速、重定向虚拟路由转发(Virtual RoutingForwarding,简称VRF)、重定向下一跳、重定向差分服务代码点(Differentiated ServicesCode Point,简称DSCP)中的一个。
需要说明的是,本申请实施例不对每一路由列表的存储容量进行限定,比如,每一路由列表可以存储10万条路由条目。
为了更便于理解S101,下面举例说明:
当第一网络设备为图1所示的网络设备Device C时,图1所示的流量分析服务器Server可以生成每条历史攻击流量的BGP Flowsepc路由,然后,通过FTP协议发送至DeviceC上,以便由Device C基于这些BGP Flowsepc路由配置一个或多个路由列表,使每一列表包括一条或多条BGP Flowsepc路由,此时,每一路由列表实际是一个Flowspec list列表。
具体来讲,假设有4条历史攻击流量,将执行相同控制策略的历史攻击流量挑选出来,由于需要将这4条历史攻击流量做2种不同的控制策略,所以,创建Flowspec list列表1和Flowspec list列表2。创建完Flowspec list列表之后,对于每一Flowspec list列表,可以在该Flowspec list列表中用rule关键字添加BGP Flowspec路由条目。
比如,假设Flowspec list列表1和Flowspec list列表2分别包括2条路由条目,在该这两个Flowspec list列表中用rule关键字添加BGP Flowspec路由条目的结果如下:
flowspec-list 1
rule 1dst-ip 192.1.1.0/24src-ip 172.1.1.0/24dst-port 8000src-port1024protocol 6
rule 2dst-ip 192.1.2.0/24src-ip 172.1.2.0/24
flowspec-list 2
rule 1dst-ip 192.1.3.0/24src-ip 172.1.3.0/24dst-port 8800src-port5000protocol 17
rule 2dst-ip 192.1.4.0/24src-ip 172.1.4.0/24
在本申请实施例的一种实现方式中,关于路由列表中的每一路由条目(比如BGPFlowspec路由),是根据该路由条目对应的攻击流量的源IP地址前缀、目的IP地址前缀、源端口号、目的端口号、协议号、因特网控制报文协议(Internet Control MessageProtocol,简称ICMP)的类型(即ICMP Type)、因特网控制报文协议的代码(即ICMP Code)、传输控制协议(Transmission Control Protocol,简称TCP)标志位、报文长度、差分服务代码点(Differentiated Services Code Point,简称DSCP)、分片报文中的至少一条属性条件进行配置的。
在本实现方式中,关于路由列表中的每一路由条目,该路由条目可以是BGPFlowspec路由,BGP Flowspec路由的配置结果如上述采用rule关键字的配置结果。
S202:为至少一个路由列表配置各自对应的控制策略,并将配置的控制策略发送给第二网络设备,其中,第二网络设备用于根据配置的控制策略对接收的目标攻击流量进行控制。
需要说明的是,当通过S201将执行相同控制策略的历史攻击流量的路由信息配置在同一个路由列表中后,实现了对路由的归类,这样,便不需要对每个路由(比如BGPFlowspec路由)配置控制策略,只需要为每个路由列表配置控制策略,从而可以有效减少配置量。
在本申请实施例的一种实现方式中,S202中的“为至少一个路由列表配置各自对应的控制策略”,具体可以包括:通过配置route-map的方式,为至少一个路由列表配置各自对应的控制策略。
在本实现方式中,可以配置一个route-map,以在该route-map中配置每一路由列表对应的控制策略。例如,基于上述S201中的例子,假设Flowspec list列表1中包括需执行控制策略1(比如重定向VRF值为100:100)的2条历史攻击流量的BGP Flowsepc路由,Flowspec list列表2中包括需执行控制策略2(比如重定向下一跳5.5.5.5)的2条历史攻击流量的BGP Flowsepc路由,那么,可以在route-map中配置控制策略1和控制策略2。
在S202的上述实现方式中,其具体可以通过route-map的match关键字语句配置每一路由列表,并利用set关键字语句为每一路由列表配置对应的控制策略。
具体来讲,在配置route-map时,通过match关键字语句配置每一路由列表,再用set关键字语句配置每一路由列表对应的控制策略。例如,配置一个名为MAP1的route-map,并且配置两个匹配节点10和20,在每个匹配节点匹配一个路由列表(比如flowspec-list 1和flowspec-list 2),并配置对应的控制策略。
以上述S210中的Flowspec list列表1和Flowspec list列表1为例,route-map是通过自上到下的节点顺序进行匹配的,第一网络设备对所有BGP Flowspec路由进行检测,当检测到一条BGP Flowspec路由在Flowspec list列表1时,就去匹配节点10,并按照节点10配置控制策略,就不再去匹配节点20;同理,当检测到一条BGP Flowspec路由在Flowspeclist列表2时,就不去匹配节点10,而是去匹配节点20,并按照节点20配置控制策略,配置结果如下所示:
route-map MAP1 permit 10
match flowspec-list 1
set extcommunity redirect-to-vrf 100:100
route-map MAP1 permit 20
match flowspec-list 2
set extcommunity redirect-to-ip 5.5.5.5:0
在本申请实施例的一种实现方式中,S202中的“将配置的控制策略发送给第二网络设备”,具体可以包括:通过调用route-map,以将route-map发送给第二网络设备。
在本实现方式中,以BGP Flowspec技术为例,第一网络设备可以在BGP中调用route-map,将控制策略通过BGP协议发送给BGP Flowspec邻居(即第二网络设备)。首先,在BGP中通过redistribute flowspec命令将BGP Flowspec路由引入重发布到BGP进程中,然后,在BGP进程中配置ipv4 flowspec地址族,该地址族用于创建BGP Flowspec邻居,并且发布BGP Flowspec路由更新和/或BGP Flowspec路由撤销。在ipv4 flowspec地址族中激活邻居,这样可以将本地的BGP Flowspec路由通过BGP Update报文发送给BGP Flowspec邻居,再在邻居地址上调用route-map,可以将BGP Flowspec路由和配置的控制策略一起通过BGPUpdate报文发送给BGP Flowspec邻居:
router bgp 100
bgp router-id 1.1.1.1
redistribute flowspec
neighbor 2.2.2.2remote-as 100
neighbor 2.2.2.2update-source loopback1
neighbor 2.2.2.2activate
!
address-family ipv4 flowspec
neighbor 2.2.2.2activate
neighbor 2.2.2.2route-map MAP1 out
!
此时,第二网络设备通过第一网络设备发送的BGP Update报文,便学习到了BGPFlowspec路由以及相应的控制策略。
需要说明的是,在实际应用中,可以按照上述路由配置方式,按照实际需求,为第二网络设备配置的路由列表和对应的控制策略进行更新,比如,添加新的路由列表及其对应的控制策略,或者修改或删除现有的路由列表。可以理解的是,当需要批量删除第二网络设备中的本地路由时,只需要删除对应的路由列表,删除速度极快。
进一步地,当对第二网络设备进行路由配置后,第二网络设备便可以根据配置的控制策略对接收的目标攻击流量进行控制,具体可以包括以下步骤A1-A2:
步骤A1:当第二网络设备接收到一条报文流量后,对报文流量进行路由匹配;若匹配到至少一个路由列表中的一条路由,则确定报文流量为目标攻击流量。
当第二网络设备接收到报文流量时,比如图1所示的Device B接收到Device A发送的报文流量后,可以将该条报文与S201中的路由列表中的路由条目(比如通过BGPUpdate报文学习到的BGP Flowspec路由)进行匹配,如匹配成功,则确定该条报文为攻击流量,这里定义其为目标攻击流量。
步骤A2:确定所匹配到的路由所属的路由列表,利用该路由列表对应的控制策略,对所述目标攻击流量进行控制。
对于匹配到的路由,需要确定该路由所属的路由列表对应的控制策略(比如通过BGP Update报文学习到的BGP Flowspec路由及其相应的控制策略),利用该控制策略对目标攻击流量进行控制。
在以上本申请实施例提供的路由配置方法中,通过配置至少一个路由列表,使同一路由列表中包含了至少一条路由条目、且至少一条路由条目为执行相同控制策略的历史攻击流量的路由信息;为至少一个路由列表配置各自对应的控制策略,并将配置的控制策略发送给第二网络设备,第二网络设备用于根据配置的控制策略对接收的目标攻击流量进行控制。可见,本申请实施例通过将执行相同控制策略的历史攻击流量的路由信息配置在同一个路由列表中,实现了对路由的归类,这样,便不需要对每个路由配置控制策略,只需要为每个路由列表配置控制策略,从而可以有效减少配置量,节省了网络资源。
参见图3,为本申请实施例提供的一种路由配置装置的组成示意图,所述装置应用于第一网络设备,所述装置包括:
列表配置单元310,用于配置至少一个路由列表,其中,同一路由列表中包含了至少一条路由条目、且所述至少一条路由条目为执行相同控制策略的历史攻击流量的路由信息,不同的路由列表对应了不同的控制策略;
策略配置单元320,用于为所述至少一个路由列表配置各自对应的控制策略,并将配置的控制策略发送给第二网络设备,其中,所述第二网络设备用于根据配置的控制策略对接收的目标攻击流量进行控制。
在本申请实施例的一种实现方式中,所述路由条目是根据该路由条目对应的攻击流量的源IP地址前缀、目的IP地址前缀、源端口号、目的端口号、协议号、因特网控制报文协议的类型ICMP Type、因特网控制报文协议的代码ICMP Code、传输控制协议TCP标志位、报文长度、差分服务代码点DSCP、分片报文中的至少一条属性条件进行配置的。
在本申请实施例的一种实现方式中,所述策略配置单元320,具体用于:
通过配置route-map的方式,为所述至少一个路由列表配置各自对应的控制策略。
在本申请实施例的一种实现方式中,所述策略配置单元320,具体用于:
通过route-map的match关键字语句配置每一路由列表,并利用set关键字语句为每一路由列表配置对应的控制策略。
在本申请实施例的一种实现方式中,所述策略配置单元320,具体用于:
通过调用所述route-map,以将所述route-map发送给第二网络设备。
在本申请实施例的一种实现方式中,所述第二网络设备,具体用于:
当所述第二网络设备接收到一条报文流量后,对所述报文流量进行路由匹配,若匹配到所述至少一个路由列表中的一条路由,则确定所述报文流量为目标攻击流量;
确定所匹配到的路由所属的路由列表,利用该路由列表对应的控制策略,对所述目标攻击流量进行控制。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请实施例还提供了一种电子设备,该电子设备的结构示意图如图4所示,该电子设备4000包括至少一个处理器4001、存储器4002和总线4003,至少一个处理器4001均与存储器4002电连接;存储器4002被配置用于存储有至少一个计算机可执行指令,处理器4001被配置用于执行该至少一个计算机可执行指令,从而执行如本申请中任意一个实施例或任意一种可选实施方式提供的任意一种路由配置方法的步骤。
进一步,处理器4001可以是FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其它具有逻辑处理能力的器件,如MCU(Microcontroller Unit,微控制单元)、CPU(Central Process Unit,中央处理器)。
应用本申请实施例,通过将执行相同控制策略的历史攻击流量的路由信息配置在同一个路由列表中,实现了对路由的归类,这样,便不需要对每个路由配置控制策略,只需要为每个路由列表配置控制策略,从而可以有效减少配置量,节省了网络资源。
本申请实施例还提供了另一种计算机可读存储介质,存储有计算机程序,该计算机程序用于被处理器执行时实现本申请中任意一个实施例或任意一种可选实施方式提供的任意一种路由配置方法的步骤。
本申请实施例提供的计算机可读存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(RandomAccess Memory,随即存储器)、EPROM(Erasable Programmable Read-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically Erasable Programmable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读存储介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
应用本申请实施例,通过将执行相同控制策略的历史攻击流量的路由信息配置在同一个路由列表中,实现了对路由的归类,这样,便不需要对每个路由配置控制策略,只需要为每个路由列表配置控制策略,从而可以有效减少配置量,节省了网络资源。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种路由配置方法,其特征在于,所述方法应用于第一网络设备,所述方法包括:
配置至少一个路由列表,其中,同一路由列表中包含了至少一条路由条目、且所述至少一条路由条目为执行相同控制策略的历史攻击流量的路由信息,不同的路由列表对应了不同的控制策略;
为所述至少一个路由列表配置各自对应的控制策略,并将配置的控制策略发送给第二网络设备,其中,所述第二网络设备用于根据配置的控制策略对接收的目标攻击流量进行控制。
2.根据权利要求1所述的方法,其特征在于,所述路由条目是根据该路由条目对应的攻击流量的源IP地址前缀、目的IP地址前缀、源端口号、目的端口号、协议号、因特网控制报文协议的类型ICMP Type、因特网控制报文协议的代码ICMP Code、传输控制协议TCP标志位、报文长度、差分服务代码点DSCP、分片报文中的至少一条属性条件进行配置的。
3.根据权利要求1所述的方法,其特征在于,所述为所述至少一个路由列表配置各自对应的控制策略,包括:
通过配置route-map的方式,为所述至少一个路由列表配置各自对应的控制策略。
4.根据权利要求3所述的方法,其特征在于,所述通过配置route-map的方式,为所述至少一个路由列表配置各自对应的控制策略,包括:
通过route-map的match关键字语句配置每一路由列表,并利用set关键字语句为每一路由列表配置对应的控制策略。
5.根据权利要求3所述的方法,其特征在于,所述将配置的控制策略发送给第二网络设备,包括:
通过调用所述route-map,以将所述route-map发送给第二网络设备。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述根据配置的控制策略对接收的目标攻击流量进行控制,包括:
当所述第二网络设备接收到一条报文流量后,对所述报文流量进行路由匹配,若匹配到所述至少一个路由列表中的一条路由,则确定所述报文流量为目标攻击流量;
确定所匹配到的路由所属的路由列表,利用该路由列表对应的控制策略,对所述目标攻击流量进行控制。
7.一种路由配置装置,其特征在于,所述装置应用于第一网络设备,所述装置包括:
列表配置单元,用于配置至少一个路由列表,其中,同一路由列表中包含了至少一条路由条目、且所述至少一条路由条目为执行相同控制策略的历史攻击流量的路由信息,不同的路由列表对应了不同的控制策略;
策略配置单元,用于为所述至少一个路由列表配置各自对应的控制策略,并将配置的控制策略发送给第二网络设备,其中,所述第二网络设备用于根据配置的控制策略对接收的目标攻击流量进行控制。
8.根据权利要求7所述的装置,其特征在于,所述策略配置单元,具体用于:
通过配置route-map的方式,为所述至少一个路由列表配置各自对应的控制策略。
9.一种电子设备,其特征在于,包括:处理器、存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于通过调用所述计算机程序,执行如权利要求1-6中任一项所述的路由配置方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-6任一项所述的路由配置方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110163820.2A CN112866031B (zh) | 2021-02-05 | 2021-02-05 | 路由配置方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110163820.2A CN112866031B (zh) | 2021-02-05 | 2021-02-05 | 路由配置方法、装置、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112866031A true CN112866031A (zh) | 2021-05-28 |
| CN112866031B CN112866031B (zh) | 2022-07-01 |
Family
ID=75989403
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110163820.2A Active CN112866031B (zh) | 2021-02-05 | 2021-02-05 | 路由配置方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112866031B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007113115A2 (en) * | 2006-03-31 | 2007-10-11 | Siemens Aktiengesellschaft | Method for mitigating a dos attack |
| US7382769B1 (en) * | 2003-02-07 | 2008-06-03 | Juniper Networks, Inc. | Automatic filtering to prevent network attacks |
| EP2341683A1 (en) * | 2009-12-30 | 2011-07-06 | France Telecom | Method of and apparatus for controlling traffic in a communication network |
| CN104468624A (zh) * | 2014-12-22 | 2015-03-25 | 上海斐讯数据通信技术有限公司 | Sdn控制器、路由/交换设备及网络防御方法 |
| CN106060068A (zh) * | 2016-06-27 | 2016-10-26 | 杭州华三通信技术有限公司 | 一种信息过滤方法和装置 |
| CN110636059A (zh) * | 2019-09-18 | 2019-12-31 | 中盈优创资讯科技有限公司 | 网络攻击防御系统及方法、sdn控制器、路由器 |
-
2021
- 2021-02-05 CN CN202110163820.2A patent/CN112866031B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7382769B1 (en) * | 2003-02-07 | 2008-06-03 | Juniper Networks, Inc. | Automatic filtering to prevent network attacks |
| WO2007113115A2 (en) * | 2006-03-31 | 2007-10-11 | Siemens Aktiengesellschaft | Method for mitigating a dos attack |
| EP2341683A1 (en) * | 2009-12-30 | 2011-07-06 | France Telecom | Method of and apparatus for controlling traffic in a communication network |
| CN104468624A (zh) * | 2014-12-22 | 2015-03-25 | 上海斐讯数据通信技术有限公司 | Sdn控制器、路由/交换设备及网络防御方法 |
| CN106060068A (zh) * | 2016-06-27 | 2016-10-26 | 杭州华三通信技术有限公司 | 一种信息过滤方法和装置 |
| CN110636059A (zh) * | 2019-09-18 | 2019-12-31 | 中盈优创资讯科技有限公司 | 网络攻击防御系统及方法、sdn控制器、路由器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112866031B (zh) | 2022-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2021032207A1 (zh) | 网络威胁的诱捕方法、系统和转发设备 | |
| CN113273142B (zh) | 通信系统和通信方法 | |
| EP2901650B1 (en) | Securing software defined networks via flow deflection | |
| CN113261240A (zh) | 使用可编程客户机进行多租户隔离 | |
| US7558266B2 (en) | System and method for restricting network access using forwarding databases | |
| US8630294B1 (en) | Dynamic bypass mechanism to alleviate bloom filter bank contention | |
| US8767558B2 (en) | Custom routing decisions | |
| CN113261242B (zh) | 通信系统和由通信系统实现的方法 | |
| EP2767047B1 (en) | Distributed ipv6 neighbor discovery for large datacenter switching systems | |
| US7639688B2 (en) | Automatic protection of an SP infrastructure against exterior traffic | |
| US20090109970A1 (en) | Network system, network management server, and access filter reconfiguration method | |
| CN113302898A (zh) | 将客户机-设备对等互联的虚拟路由控制器 | |
| US8855113B2 (en) | Link state identifier collision handling | |
| WO2019196562A1 (zh) | 报文处理方法、装置、存储介质及处理器 | |
| CN112532621A (zh) | 一种流量清洗方法、装置、电子设备及存储介质 | |
| US11102172B2 (en) | Transfer apparatus | |
| US8023517B2 (en) | System and method for improving network performance and security by controlling topology information | |
| JP2015231131A (ja) | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 | |
| CN107948104A (zh) | 一种网络地址转换环境中报文转发的方法及交换设备 | |
| EP3343847B1 (en) | Performing a service on a packet | |
| US8078758B1 (en) | Automatic configuration of source address filters within a network device | |
| CN101909005A (zh) | 转发表的处理方法和装置 | |
| CN112866031B (zh) | 路由配置方法、装置、设备及计算机可读存储介质 | |
| CN116545665A (zh) | 一种安全引流方法、系统、设备及介质 | |
| JP2006013732A (ja) | ルーティング装置および情報処理装置の認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |