CN114389994B - 一种路由处理的方法和网络设备 - Google Patents
一种路由处理的方法和网络设备 Download PDFInfo
- Publication number
- CN114389994B CN114389994B CN202111397210.5A CN202111397210A CN114389994B CN 114389994 B CN114389994 B CN 114389994B CN 202111397210 A CN202111397210 A CN 202111397210A CN 114389994 B CN114389994 B CN 114389994B
- Authority
- CN
- China
- Prior art keywords
- routing
- information
- autonomous system
- prefix
- network device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/021—Ensuring consistency of routing table updates, e.g. by using epoch numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/30—Routing of multiclass traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/34—Source routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
- H04L45/748—Address table lookup; Address filtering using longest matching prefix
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种路由处理的方法和网络设备。网络设备获得路由前缀和与所述获得的路由前缀关联的自治系统的信息,所述关联的自治系统的信息包括待验证的自治系统的信息。网络设备验证路由来源信息库中是否存在匹配项,所述匹配项包括所述获得的路由前缀和所述待验证的自治系统的信息,并根据所述验证的结果,确定是否发送所述获得的路由前缀。通过在发送路由前缀前,对待发送的路由前缀所关联的自治系统信息进行验证,减少了网络设备发送携带错误的自治系统信息的路由信息的可能性,从而减少了网络流量的流向异常的可能性。
Description
本申请是向中国知识产权局提交的申请日为2018年11月2日、申请号为201811302078.3、发明名称为“一种路由处理的方法和网络设备”的申请的分案申请。
技术领域
本发明涉及通信领域,尤其涉及一种路由的处理方法和网络设备。
背景技术
资源公钥基础设施(resource public key infrastructure,RPKI)方案用于验证边界网关协议(Border Gateway Protocol,BGP)路由起源信息是否正确。分布式的RPKI服务器收集各个自治系统(autonomous system,AS)发起的BGP路由的源AS号、含掩码的路由前缀等信息,路由器与RPKI服务器建立连接,在路由器本地保存路由来源授权(routeorigination authorization,ROA)数据,该数据中包括路由前缀与产生该路由前缀的源自治系统的关系。当路由器从邻居节点接收到含路由前缀的路由信息后,根据本地保存的ROA数据来验证从邻居收到的路由前缀的源AS是否正确。RPKI详细的介绍具体可参见标准组织Internet工程任务组(internet engineering task force,IETF)征求意见稿RFC6810和RFC 6811。
然而,网络中并非所有的路由器都对接收到的路由前缀的源AS信息通过ROA数据进行验证,这样如果接收到的路由前缀的源AS信息被错误地修改,会影响到接收方路由器的路由计算,导致自治系统间的数据流量脱离预先规划的路径。因为AS的网络管理人员通常会配置路由器的出口路由策略,如果出口路由策略中包括要修改待发送的路由前缀的AS路径信息,则路由器在发出路由前缀前会根据出口路由策略来修改该路由前缀的AS路径信息,那么由于人为的配置错误就可能导致上述情况。
发明内容
本申请提供了一种路由处理的方法和网络设备,通过在发送路由前缀前,对待发送的路由前缀所关联的自治系统信息进行验证,减少了网络设备发送携带错误的自治系统信息的路由信息的可能性,从而减少了网络流量的流向异常的可能性。
第一方面,本发明实施例提供一种路由处理的方法,应用于第一自治系统中的网络设备,该方法包括获得路由前缀和与所述获得的路由前缀关联的自治系统的信息,所述关联的自治系统的信息包括待验证的自治系统的信息。网络设备验证路由来源信息库中是否存在匹配项,所述匹配项包括所述获得的路由前缀和所述待验证的自治系统的信息,并根据所述验证的结果,确定是否发送所述获得的路由前缀。
采用上述方法,网络设备在发送路由前缀前,先验证与该路由前缀的关联的待验证的自治系统的信息,根据验证结果确定是否发送该路由前缀,减少了网络设备发送携带错误的自治系统信息的路由信息的可能,从而减少了网络流量的流向异常的可能性。
在第一方面的一种可能的设计中,所述路由来源信息库的表项记录路由前缀和源自治系统的对应关系,所述待验证的自治系统的信息为所述关联的自治系统的信息中的源自治系统的信息;或者所述路由来源信息库的表项记录路由前缀和自治系统对的对应关系,所述待验证的自治系统的信息为所述关联的自治系统的信息中的自治系统路径的信息;或者所述待验证的自治系统的信息包括所述关联的自治系统的信息中的源自治系统的信息,以及所述关联的自治系统的信息中的自治系统路径的信息。在这种设计中,可以验证源自治系统的信息,也可以验证自治系统路径的信息,或者两者都验证。因为每种验证可能都不能确保发出的路由前缀的自治系统的信息是完全准确的,因此多种验证方式可以同时使用来增强验证的准确性。
在第一方面的一种可能的设计中,所述路由来源信息库是从资源公钥基础设施服务器获得的。例如路由来源信息库可以是所述网络设备从资源公钥基础设施服务器下载的,也可以是资源公钥基础设施服务器主动发送给所述网络设备的(例如是定期发送或按需发送)。还有一种可能的设计,即网络设备不在本地保存路由来源信息库,而是需要验证的时候将需要验证的内容发送给资源公钥基础设施服务器。在这种设计中,可以利用现有技术中的资源公钥基础设施服务器而无需另行开发协议或架构。
在第一方面的一种可能的设计中,所述关联的自治系统的信息是根据配置在所述网络设备上的出口路由策略修改后的自治系统的信息。在这种设计中,可以验证经出口路由策略修改后的自治系统的信息是否正确。由于出口路由策略一般是人工配置的,因此可以减少由于人工配置导致的错误。
在第一方面的一种可能的设计中,获得路由前缀包括从第二自治系统接收路由前缀,或生成路由前缀,或接收第一自治系统中其他的网络设备产生的路由前缀。在这种设计中,需要验证的路由前缀可以是网络设备从其他自治系统收到的,也可以是网络设备自身产生,或网络设备自身所在的自治系统中的其他网络设备产生的,提供了灵活的验证。
在第一方面的一种可能的设计中,所述网络设备为所述第一自治系统的边界节点。进一步地,该边界节点可以是第一自治系统在路由发送方向的出口边界节点。因为通常自治系统的内部节点在相互发送路由信息时不会修改自治系统信息中的自治系统路径。这样,可以将验证功能部署在出口边界节点上,不需要第一自治系统的内部节点也验证。
在第一方面的一种可能的设计中,当所述路由来源信息库中存在匹配所述获得的路由前缀的表项,且所述表项的自治系统的信息与所述待验证的自治系统的信息不同时,确定所述路由来源信息库不存在所述匹配项,从而确定不发送所述获得的路由前缀。当确定不存在匹配项时不发送路由前缀,减少了发送含有错误的自治系统信息的路由前缀的可能。
在第一方面的一种可能的设计中,在确定所述路由来源信息库不存在所述匹配项后,还输出告警信息。及时输出告警信息可以提供网管人员网络设备上上存在自治系统信息不匹配的情况。
在第一方面的一种可能的设计中,当所述路由来源信息库中存在匹配所述获得的路由前缀的表项,且所述表项的自治系统的信息与所述待验证的自治系统的信息相同时,确定所述路由来源信息库存在所述匹配项,从而确定发送所述获得的路由前缀,然后发送携带所述获得的路由前缀的路由信息。当确定存在匹配项后发送路由前缀,提高了发出的路由前缀中的自治系统信息的正确性。
在第一方面的一种可能的设计中,当所述路由来源信息库不存在匹配所述获得的路由前缀的表项时,确定所述路由来源信息库不存在所述匹配项,这种情况可以被认为验证结果为“未知”,出现这种情况时,可以根据预先配置的策略确定是否发送所述获得的路由前缀。预先配置的策略可以是发送所述获得的路由前缀,也可以是不发送所述获得的路由前缀。这样,当出现验证结果为“未知”的情况,也可以有应对措施。
第二方面,本发明实施例提供一种网络设备,该网络设备是第一自治系统中的网络设备。该网络设备可用于执行第一方面或第一方面的任意一种可能的实现方式中的方法。具体地,该网络设备包括用于执行第一方面或第一方面的任意一种可能的实现方式中的方法的模块。
第三方面,本发明实施例提供一种网络设备,该网络设备是第一自治系统中的网络设备,包括获得模块,验证模块,和确定模块。获得模块包括路由前缀获得子模块和自治系统信息获得子模块,所述路由前缀获得子模块用于获得路由前缀,所述自治系统信息获得子模块用于获得与所述获得的路由前缀关联的自治系统的信息,所述关联的自治系统的信息包括待验证的自治系统的信息。验证模块用于验证路由来源信息库中是否存在匹配项,所述匹配项包括所述获得的路由前缀和所述待验证的自治系统的信息。确定模块用于根据所述验证的结果,确定是否发送所述获得的路由前缀。
在第三方面的一种可能的设计中,所述路由来源信息库的表项记录路由前缀和源自治系统的对应关系,所述待验证的自治系统的信息为所述关联的自治系统的信息中的源自治系统的信息;或者所述路由来源信息库的表项记录路由前缀和自治系统对的对应关系,所述待验证的自治系统的信息为所述关联的自治系统的信息中的自治系统路径的信息;或者所述待验证的自治系统的信息包括所述关联的自治系统的信息中的源自治系统的信息,以及所述关联的自治系统的信息中的自治系统路径的信息。
在第三方面的一种可能的设计中,所述网络设备还包括路由来源信息库获得模块,用于从资源公钥基础设施服务器获得所述路由来源信息库。例如路由来源信息库可以是所述网络设备从资源公钥基础设施服务器下载的,也可以是资源公钥基础设施服务器主动发送给所述网络设备的。
在第三方面的一种可能的设计中,所述自治系统信息获得子模块获得的所述关联的自治系统的信息是根据配置在所述网络设备上的出口路由策略修改后的自治系统的信息。
在第三方面的一种可能的设计中,所述路由前缀获得子模块用于从第二自治系统接收所述获得的路由前缀,或用于生成所述获得的路由前缀。
在第三方面的一种可能的设计中,所述网络设备为所述第一自治系统的边界节点。
在第三方面的一种可能的设计中,所述验证模块用于当确定所述路由来源信息库中存在匹配所述获得的路由前缀的表项,且所述表项的自治系统的信息与所述待验证的自治系统的信息不同时,确定所述路由来源信息库不存在所述匹配项。相应地,所述确定模块确定不发送所述获得的路由前缀。
在第三方面的一种可能的设计中,还包括告警模块,用于在所述验证模块确定所述路由来源信息库不存在所述匹配项后,输出告警信息。
在第三方面的一种可能的设计中,所述网络设备还包括发送模块。所述验证模块用于当确定所述路由来源信息库中存在匹配所述获得的路由前缀的表项,且所述表项的自治系统的信息与所述待验证的自治系统的信息相同时,确定所述路由来源信息库存在所述匹配项。相应地,所述确定模块确定发送所述获得的路由前缀,且所述发送模块发送携带所述获得的路由前缀的路由信息。
第四方面,本发明实施例提供一种网络设备,该网络设备是第一自治系统中的网络设备。该网络设备包括处理器、存储器和通信接口,其中:所述处理器、所述存储器和所述通信接口相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行第一方面或第一方面的任意一种可能的实现方式中的方法。
第五方面,本发明实施例提供一种网络设备,该网络设备是第一自治系统中的网络设备。该网络设备包括处理器、存储器和通信接口,其中:所述处理器、所述存储器和所述通信接口相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,实现第三方面中或第三方面的可能的设计方式中自治系统信息获得子模块的功能、验证模块和确定模块的功能,以及第三方面的可能的设计方式中路由前缀获得子模块生成所述获得的路由前缀时的功能。所述通信接口用于实现第三方面可能的设计方式中路由来源信息库获得模块、告警模块和发送模块的功能。
第六方面,本发明实施例提供一种网络设备,该网络设备是第一自治系统中的网络设备。该网络设备包括处理器、存储器和通信接口,其中:所述处理器、所述存储器和所述通信接口相互连接,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,实现第三方面中或第三方面的可能的设计方式中验证模块和确定模块的功能。所述通信接口用于实现第三方面可能的设计方式中路由前缀获得子模块从第二自治系统接收所述获得的路由前缀的功能,以及路由来源信息库获得模块、告警模块和发送模块的功能。所述通信接口和所述处理器配合实现第三方面中或第三方面的可能的设计方式中自治系统信息获得子模块的功能。或者,所述通信接口独立实现第三方面中自治系统信息获得子模块的功能。
上述各方面中提供的网络设备所具有的有益效果,请参见第一方面及第一方面的各可能的设计中关于有益效果的描述,在此不再赘述。
第七方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有程序,当所述程序在计算机上执行时,使得所述计算机执行第一方面及第一方面的任意一种可能的设计中的方法。
第八方面,本发明实施例一种用于处理路由的装置,包括与程序指令相关的硬件,所述硬件用于执行第一方面及第一方面的任意一种可能的设计中的方法。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中使用的附图作简单地介绍。显而易见地,下面附图只是本发明的一些实施例的附图,对于本领域普通技术人员来说,在不付出创造性劳动性的前提下,还可以根据这些附图获得同样能实现本发明的其他技术方案和附图。
图1为本发明实施例的一个应用场景示意图;
图2为本发明实施例提供的一种方法流程示意图;
图3为本发明实施例提供的一种方法流程示意图;
图4为本发明实施例提供的一种方法流程示意图;
图5为本发明实施例提供的一种网络设备的结构示意图;
图6为本发明实施例提供的一种网络设备的结构示意图。
具体实施方式
图1为本发明实施例的一个应用场景示意图。图1中包括自治系统AS1,AS2,AS3,AS4和AS5,AS1中包括AS1的边界节点R11和R12;AS2中包括AS2的边界节点R21和R22;AS3中包括AS3的边界节点R31和R32,还包括AS3的内部节点R32;AS4中包括AS4的边界节点R41和R42;AS5中包括AS5的边界节点R51和R52。各边界节点可以是具有路由功能的网络设备,例如是路由器或具有路由功能的交换机。
下面描述现有技术中导致网络流量的流向异常的一种情形。如果AS1产生路由前缀10.1.0.0/16,10.1.0.0/16经AS2和AS3发到AS4;此外,10.1.0.0/16还经过另一条AS路径即经过AS5发给AS4。R41分别从R33和R52接收到含路由前缀为10.1.0.0/16的路由信息,从R33接到的路由信息包括10.1.0.0/16以及10.1.0.0/16的AS路径为(AS3,AS2,AS1),标记方式“(AS3,AS2,AS1)”表示10.10.0.0/16的源AS是AS1,10.1.0.0/16顺次经过AS1,AS2和AS3。从R52接到的路由信息包括10.1.0.0/16以及10.1.0.0/16的AS路径为(AS5,AS1),(AS5,AS1)指示10.10.0.0/16的源AS为AS1,10.1.0.0/16顺次经过AS1和AS5。R41在计算到10.1.0.0/16的路由时,会根据选择AS路径较短的规则,将R52作为下一跳,也即R41会将发往10.1.0.0/16的数据报文发给R52,而不是R33。假设以上描述的是按照网络规划的正常的流量流向。然而,AS3的管理人员可能会在R33上配置路由出口策略,该路由出口策略会影响到R33向外发送的路由信息中的AS路径信息。例如,如果R33的路由出口策略配置出错,导致R33向外发送10.1.0.0/16时的AS路径从正常的(AS3,AS2,AS1)被修改为仅剩下(AS3),则会导致R41会将发往10.1.0.0/16的数据报文发给R33,导致网络流量的流向异常。
本发明实施例提供一种路由处理的方法和相应的网络设备,其中,方法和网络设备是基于同一发明构思的,由于方法和网络设备解决问题的原理相似,因此,网络设备与方法的实施例可以相互参见,重复之处不再赘述。
在本发明的实施例中,在图1所示的应用场景中,设置有路由来源信息库服务器,例如可以是RPKI服务器。R33可以从RPKI服务器获得路由来源验证数据,形成路由来源信息库。路由来源验证数据可以是ROA数据,也可以是自治系统路径授权(autonomous systempath authorizations,ASPA)数据。ROA数据描述路由前缀和源自治系统的对应关系,用于验证路由前缀的源AS是否正确。ASPA数据描述路由前缀和自治系统对的对应关系,用于验证路由前缀的AS路径信息是否正确。当然,ROA数据库和ASPA数据库在实现时也可以是一个数据库,同时提供源AS验证和AS路径验证两种验证信息。这样,R33在向AS4中的R41发送携带10.1.0.0/16的路由信息前,先进行路由来源验证,例如可以是验证源AS是否正确,也可以是验证AS路径是否正确,或者两者都验证,在通过验证的情况下,发送携带10.1.0.0/16的路由信息,从而减少上述导致网络流量的流向异常的可能性。
前面描述的是R33从AS2中接收到源自AS1的10.1.0.0/16的情况。在另一种情况中,如果10.1.0.0/16是AS3自己产生的,例如是R31产生的,或R32产生的,或R33产生的,那么当AS3中的路由设备发送10.1.0.0/16时,现有技术中缺少验证10.1.0.0/16的路由来源是否正确的方案,因为IETF RFC6810和RFC6811只规定了路由信息的接收方对收到的路由信息进行路由来源验证。本发明实施例中,R33可以对AS3自己产生的路由前缀进行验证后再发送,可以提高R33发送到外部的路由前缀的AS来源信息的准确性,从而减少上述导致网络流量的流向异常的可能性。
本发明各实施例中提到的网络设备可以是具有路由功能的设备,例如是路由器,或具有路由功能的交换机。
图2为本发明实施例提供的一种方法流程示意图。请结合图1,以图1中的R33作为执行主体,以路由前缀10.1.0.0/16举例。
S201:R33从RPKI服务器下载ROA数据,从而R33本地存有ROA数据,也称为ROA库。该ROA库的表项记录路由前缀和源AS的对应关系,用于验证路由前缀的源AS是否正确。
例如在网络规划阶段,AS1的管理员向RPKI服务器对应的国际机构注册了10.1.0.0/16的源AS为AS1,则R33下载的ROA数据中包括10.1.0.0/16和源AS1的对应关系,换句话说,R33下载的ROA数据中包括10.1.0.0/16,且10.1.0.0/16对应的源AS为AS1。
可以理解,ROA数据可以不必在每次执行图2的实施例所示的方法时都需要下载。
S202:R33从AS2收到一条源于AS1的路由信息,这条路由信息携带路由前缀为10.1.0.0/16,对应的AS路径信息为(AS2,AS1),表明10.1.0.0/16起源于AS1,经过AS2。例如,R33从R32接收到该路由信息。
S203:在R33向AS4转发10.1.0.0/16之前,R33把自身所在的AS的信息插入到10.1.0.0/16的AS路径信息中。R33在AS路径信息中插入AS3,形成新的AS路径为(AS3,AS2,AS1),表明10.1.0.0/16起源于AS1,顺次经过AS2和AS3。
S204:在R33向AS4转发10.1.0.0/16前,R33根据配置在R33上的出口路由策略修改AS信息。修改后的AS信息包括待验证的源AS信息。
在图2的实施例中,将验证前的AS信息称为路由前缀关联的自治系统的信息,路由前缀关联的自治系统的信息中包括待验证的源AS信息。例如,假设S204中修改后的AS路径为(AS3),则把AS路径(AS3)称为10.1.0.0/16关联的AS的信息。S203和S204是可选步骤,当执行S203但未执行S204时,则将S203中的AS路径(AS3,AS2,AS1)称为10.1.0.0/16关联的AS的信息;当S203和S204都未执行时,则将S202中的AS路径(AS2,AS1)称为10.1.0.0/16关联的AS的信息。
S205:R33在ROA数据中验证是否存在匹配项,匹配项包括10.1.0.0/16和S204中修改后的AS信息中的待验证的源AS信息。
下面我们分为三种情况来介绍:
情况一、
假如ROA库中有匹配10.1.0.0/16的表项,且该表项的源AS为AS1。如果S204未执行,或S204修改后的AS路径变为(AS9,AS2,AS1),那么待验证的源AS信息为AS1。因为对于10.1.0.0/16,待验证的源AS与ROA库中的源AS相同,均为AS1,则R33确定ROA数据中有匹配项,执行S207。
情况二、
假如ROA库中有匹配10.1.0.0/16的表项,且该表项的源AS为AS1,S204修改后的AS路径为(AS3,AS2,AS9),那么待验证的源AS信息为AS9,由于AS1与AS9不同,R33确定ROA数据中不存在匹配项,执行S206。
情况三、
假如ROA库中没有匹配10.1.0.0/16的表项,R33确定ROA数据中没有匹配项,执行S208。情况三也可以理解为R33不知道10.1.0.0/16对应的待验证的源AS是否正确,也可以说验证结果为“未知”。
应理解,以上三种情况仅为举例演示ROA数据中是否存在匹配项的几种情形,不应被视为仅有这三种情况。
S206:确定不发送10.1.0.0/16。在S206后,还可以执行S209。
S207:确定发送10.1.0.0/16给AS4中的R41。之后执行S210。
S208:根据预先配置的策略确定是否发送所述10.1.0.0/16。预先配置的策略可以是发送10.1.0.0/16,也可以是不发送10.1.0.0/16。
S209:发送告警信息。例如可以向网管工作站发送告警信息,告警信息中可以携带验证结果为不匹配的路由前缀,还可以携带与此路由前缀相关的信息,例如AS路径的信息。
S210:发送携带10.1.0.0/16和修改后的AS路径的路由信息给AS4中的R41。例如,S204将AS路径修改为(AS9,AS2,AS1),则发送的路由信息中的路由前缀为10.1.0.0/16,AS路径为(AS9,AS2,AS1)。应理解,上述情况一中如果S204未执行,则S210中发送的10.1.0.0/16的AS路径为(AS3,AS2,AS1)
在图2的实施例中,S201,S203,204和S209是可选的。此外步骤的顺序仅为示意,也可以按其他合理的顺序执行,例如S201在S205之前执行即可。
图2所示的实施例,R33在发送路由前缀前,先验证该路由前缀的源AS信息,根据验证结果确定是否发送该路由前缀,提高了发出的路由信息的源AS信息的准确性,从而减少了网络流量的流向异常的可能性。进一步地,R33验证经过出口路由策略修改后的源AS信息,可以减少由于人为配置错误导致的源AS信息错误。此外,如ROA库中不存在匹配的路由前缀,可以根据预先配置的策略灵活处理。另外,如ROA数据匹配结果为不匹配,可以发送告警,及时通知网络管理人员R33上存在源AS信息不匹配的情况。
图3为本发明实施例提供的一种方法流程示意图。请结合图1,以图1中的R33作为执行主体,以路由前缀10.1.0.0/16举例。图3的实施例验证的是路由前缀所对应的AS路径的信息。
S301:R33从RPKI服务器下载ASPA数据,从而R33本地存有ASPA数据,也称为ASPA库。该ASPA库的表项记录路由前缀和自治系统对的对应关系,用于验证路由前缀的AS路径是否正确。
例如在网络规划阶段,AS1的管理员向RPKI服务器对应的国际机构注册了AS1计划向AS2发送10.1.0.0/16,AS2的管理员向RPKI服务器对应的国际机构注册了AS2计划向AS3发送10.1.0.0/16,AS3的管理员向RPKI服务器对应的国际机构注册了AS3计划向AS4发送10.1.0.0/16,则R33下载的ASPA数据中包括10.1.0.0/16,以及10.1.0.0/16对应的AS对为[AS1,AS2],[A2,AS3]和[AS3,AS4]。标记“[AS1,AS2]”表示AS1向AS2发送。
可以理解,ASPA数据不需要在每次执行图3的实施例所示的方法时都需要下载。
S302和S303:请分别参见S202和S203。
S304:R33根据配置在R33上的出口路由策略修改AS信息。修改后的AS信息包括待验证的AS路径信息。
在图3的实施例中,将验证前的AS信息称为路由前缀关联的自治系统的信息,关联的AS的信息包括待验证的AS路径信息。例如,假设S304中修改后的AS路径为(AS3,AS5,AS1),则把AS路径(AS3,AS5,AS1)称为10.1.0.0/16关联的AS的信息,待验证的AS路径信息(AS3,AS5,AS1)。
S305:R33验证在ASPA库中不存在匹配项。
R33在ASPA中查到有匹配10.1.0.0/16的AS对的表项,但该表项中的AS对和待验证的AS路径信息(AS3,AS5,AS1)均不匹配(也即均不相同),因为待验证的AS路径信息表明了10.1.0.0/16的源AS是AS1,AS1发给AS5,AS5发给AS3。因此,R33验证在ASPA库中不存在匹配项。之后执行S306。
S306:R33确定不发送10.1.0.0/16。之后执行S307。
S307:R33发送告警信息。S307为可选的步骤。
下面基于图3的实施例,举例说明其他几种可能的实现方式,应理解不限于这几种可能的实现方式:
在一种可能的情况下,ASPA库中包括10.1.0.0/16,以及10.1.0.0/16对应的AS对为[AS1,AS2],[A2,AS3]和[AS3,AS4]。S304未执行,待验证的AS路径为(AS3,AS2,AS1),R33确定ASPA库中存在匹配项,确定发送10.1.0.0/16,发送携带10.1.0.0且AS路径为(AS3,AS2,AS1)的路由信息。
在一种可能的情况下,ASPA库中不存在匹配10.1.0.0/16的表项,R33确定ASPA库中不存在匹配项,根据预先配置的策略确定是否发送所述10.1.0.0/16。预先配置的策略可以是发送10.1.0.0/16,也可以是不发送10.1.0.0/16。这种情况也可以理解为R33不知道10.1.0.0/16的待验证的AS路径信息是否正确,也可以说验证结果为“未知”。
在一种可能的情况下,ASPA库中包括10.1.0.0/16,以及10.1.0.0/16对应的AS对为[AS1,AS2],[A2,AS3]和[AS3,AS4]。S303和S304均未执行,待验证的AS路径为(AS2,AS1),因为待验证的AS路径匹配了AS对[AS1,AS2],R33确定ASPA库中存在匹配项,确定发送10.1.0.0/16,发送携带10.1.0.0且AS路径为(AS2,AS1)的路由信息。
在一种可能的情况下,ASPA库中包括10.1.0.0/16,以及10.1.0.0/16对应的AS对为[AS1,AS2],[A2,AS3]和[AS3,AS4]。S303执行后的AS路径为(AS3,AS2,AS1),S304修改后的AS路径为(AS2,AS1),R33确定ASPA库中存在匹配项,确定发送10.1.0.0/16,发送携带10.1.0.0且AS路径为(AS2,AS1)的路由信息。
图3所示的实施例,R33在发送路由前缀前,先验证路由前缀的AS路径信息,根据验证结果确定是否发送该路由前缀,提高了发出的路由信息的AS路径信息的准确性,从而减少了网络流量的流向异常的可能性。进一步地,R33验证经过出口路由策略修改后的AS路径信息,可以减少由于人为配置错误导致的AS路径信息错误。此外,如ASPA库中不存在匹配的路由前缀,可以根据预先配置的策略灵活处理。另外,如ASPA数据匹配结果为“不匹配”,可以发送告警,及时通知网络管理人员R33上存在AS路径信息不匹配的情况。
图4为本发明实施例提供的一种方法流程示意图。请结合图1,以图1中的R33作为执行主体,以路由前缀10.1.0.0/16举例。图4中10.1.0.0/16是AS3自身产生的,例如是R33产生的。
S401:R33从RPKI服务器下载ROA数据,从而R33本地存有ROA数据,也称为ROA库。该ROA库的表项记录路由前缀和源AS的对应关系,用于验证路由前缀的源AS是否正确。
例如在网络规划阶段,AS3的管理员向RPKI服务器对应的国际机构注册了10.1.0.0/16的源AS为AS3,则R33下载的ROA数据中包括10.1.0.0/16和源AS3的对应关系,换句话说,R33下载的ROA数据中包括10.1.0.0/16,且10.1.0.0/16对应的源AS为AS3。
可以理解,ROA数据可以不必在每次执行图2的实施例所示的方法时都需要下载。
S402:R33产生路由前缀为10.1.0.0/16。
S403:R33将10.1.0.0/16和源AS1关联。在R33向AS4发送携带10.1.0.0/16的路由信息时,R33把自身所在的AS信息(即AS3)插入到10.1.0.0/16的AS路径中。此时AS3是10.1.0.0/16的源AS。
S404:在R33向AS4发送10.1.0.0/16前,R33根据配置在R33上的出口路由策略修改AS信息。在图4的实施例中,将验证前的AS信息称为路由前缀关联的AS信息,该关联的AS信息中包括待验证的AS信息。假设修改后的AS路径为(AS1),10.1.0.0/16关联的AS信息即(AS1),待验证的AS信息为源AS信息,即AS1。
S405:R33在ROA数据中验证不存在匹配项。因为待验证的源AS信息为AS1,而ROA库中与10.1.0.0/16对应的源AS为AS3,由于AS1与AS3不同,R33确定ROA数据中不存在匹配项。执行执行S406。
S406:R33确定不发送10.1.0.0/16。之后可执行S407。
下面基于图4的实施例,举例说明其他几种可能的实现方式,应理解不限于这几种可能的实现方式:
在一种可能的情况下,请参加图2实施例中的情况一,S404未执行,或S404虽然执行了但S404修改后的AS路径的源AS仍是AS3(例如S404修改后的AS路径为(AS2,AS3)),则R33确定ROA数据中有匹配项,请参见图2实施例中的情况一。
在一种可能的情况下,假如ROA库中没有匹配10.1.0.0/16的表项,R33确定ROA数据中没有匹配项,请参见图2实施例中的情况三。
在图4的实施例中,S401,S404,S407是可选的。此外步骤的顺序仅为示意,也可以按其他合理的顺序执行,例如S401在S405之前执行即可。
以上是以R33生成10.1.0.0/16,因而10.1.0.0/16的源AS是AS3来举例的。应理解,10.1.0.0/16也可以是R31或R32产生并发送给R33,这种情况下10.1.0.0/16的源AS仍然是AS3,执行方法请参加图4中的实施例,不再赘述。
图4所示的实施例中,AS3中的网络设备在发送源AS为AS3的路由前缀前,先验证该路由前缀的源AS信息,根据验证结果确定是否发送该路由前缀,提高了发出的路由信息的源AS信息的准确性,从而减少了网络流量的流向异常的可能性。其余有益效果请参见图2的实施例中的有益效果描述。
图2-图4实施例描述的是R33作为执行主体。在其他的实现方式中,AS3中的R31或R32也可以和RPKI服务器建立连接,下载ROA数据或ASPA数据,在发送10.1.0.0/16前,验证10.1.0.0/16对应的AS信息,具体方法请参见图2-图4实施例中的R33执行的步骤,在此不再赘述。
图2-图4的实施例中,R33从RPKI服务器下载ROA数据或ASPA数据。在另一种可能的设计中,RPKI服务器主动推送ROA数据或ASPA数据给R33。
图5示出了上述方法实施例中所涉及的网络设备的一种可能的结构示意图,该网络设备500可以是图1中的R31,R32或R33。如网络设备500是图1中的R33的话,网络设备500实现图2、图3或图4所示的实施例中的R33的功能。参阅图5,该网络设备500包括:获得模块501,验证模块502和确定模块503。这些模块些可以执行上述方法实施例中网络设备相应功能。获得模块可以包括路由前缀获得子模块和自治系统信息获得子模块,用于支持网络设备500执行图2中的S202-S205,图3中S302-S305或图4中的S402-S404。验证模块502用于支持网络设备500执行图2中的S205,图3中的S305或图4中的S405。确定模块503用于支持网络设备500执行图2中的S206-S208,图3中的S306或图4中的S406。网络设备500还包括路由来源信息库获得模块504和发送模块506。路由来源信息库获得模块504用于支持网络设备500执行图2中的S201,图3中的S301或图4中的S401,发送模块506用于支持网络设备500执行图2中的S210。可选的,网络设备500还包括告警模块505,用于支持网络设备500执行图2中的S209,图3中的S307,或图4中的S407。
具体执行过程请参考上述图2、图3或图4中所示实施例中相应步骤的详细描述,这里不再一一赘述。
采用集成的模块的情况下,图5实施例中的模块可以集成,例如图5实施例中的验证模块502和确定模块503可以合并为一个模块。
图6示出了上述方法实施例中所涉及的网络设备的一种可能的结构示意图。该网络设备600可以是图1中的R31,R32或R33。如网络设备600是图1中的R33的话,网络设备600实现图2、图3或图4所示的实施例中的R33的功能。网络设备600包括:处理器601、存储器602和通信接口603及总线604,其中,处理器601、通信接口603以及存储器602通过总线604相互连接;总线604可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。处理器601用于存储计算机程序,所述计算机程序包括程序指令,处理器601被配置用于调用所述程序指令,执行图2,图3或图4中各步骤。
在一种可能的设计中,通信接口603执行图2中的S201,S202,S209和S210,或图3中的S301,S302和S307,或图4中的S401和S407;处理器601被配置用于调用所述程序指令,执行图2中的S203-S208,图3中的S303-S306,或图4中的S402-S406。
本发明实施例还提供了一种计算机存储介质,所述计算机可读存储介质上存储有程序,当所述程序运行时,使得所述计算机实现前述方法实施例中的方法。
本发明实施例还提供了一种处理路由的装置,包括与程序指令相关的硬件,所述硬件用于前述方法实施例中的方法。
本发明实施例中提到的“第一”只是用来做名字标识,并不代表顺序上的第一。该规则同样适用于“第二”。
本发明实施例公开内容所描述的方法步骤可以硬件的方式来实现,也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(random access memory,RAM)、闪存、只读存储器(read onlymemory,ROM)、可擦除可编程只读存储器(erasable programmable ROM,EPROM)、电可擦可编程只读存储器(electrically EPROM,EEPROM)、硬盘、移动硬盘、光盘或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (27)
1.一种路由处理的方法,其特征在于,包括:
网络设备获得路由前缀和待验证的自治系统的信息,所述待验证的自治系统信息是执行配置在所述网络设备上的出口路由策略后而确定的;
所述网络设备根据所述获得的路由前缀和所述待验证的自治系统的信息进行路由来源验证;
所述网络设备根据所述验证的结果,处理携带所述获得的路由前缀的路由。
2.根据权利要求1所述的方法,其特征在于,所述待验证的自治系统的信息为源自治系统的信息;
或者
所述待验证的自治系统的信息为自治系统路径的信息。
3.根据权利要求1所述的方法,其特征在于,所述网络设备上的路由来源信息库是从资源公钥基础设施服务器获得的。
4.根据权利要求3所述的方法,其特征在于,所述路由来源信息库中的路由来源验证数据包括路由来源授权数据或自治系统路径授权数据。
5.根据权利要求1所述的方法,其特征在于,所述待验证的自治系统信息是经所述出口路由策略修改后而确定的。
6.根据权利要求1-5任一所述的方法,其特征在于,
所述网络设备获得路由前缀包括:
所述网络设备从第二自治系统接收所述获得的路由前缀,所述网络设备为第一自治系统的边界节点。
7.根据权利要求1-5任一所述的方法,其特征在于,
所述网络设备获得路由前缀包括:
所述网络设备接收所述网络设备所在的自治系统中的其他网络设备产生的所述获得的路由前缀。
8.根据权利要求1-5任一所述的方法,其特征在于,
所述网络设备获得路由前缀包括:
所述网络设备生成所述获得的路由前缀。
9.根据权利要求1-5任一所述的方法,其特征在于,
所述网络设备根据所述验证的结果,处理携带所述获得的路由前缀的路由包括:
当所述路由来源信息库中存在与所述获得的路由前缀所匹配的路由前缀,且所述路由来源信息库中与所述所匹配的路由前缀对应的自治系统的信息与所述待验证的自治系统的信息不同时,所述网络设备不发送携带所述获得的路由前缀的路由。
10.根据权利要求9所述的方法,其特征在于,还包括:
所述网络设备输出告警信息。
11.根据权利要求1-5任一所述的方法,其特征在于,
所述网络设备根据所述验证的结果,处理携带所述获得的路由前缀的路由包括:
当所述路由来源信息库中存在与所述获得的路由前缀所匹配的路由前缀,且所述路由来源信息库中与所述所匹配的路由前缀对应的自治系统的信息与所述待验证的自治系统的信息相同时,所述网络设备发送携带所述获得的路由前缀的路由。
12.根据权利要求1-5任一所述的方法,其特征在于,
所述网络设备根据所述验证的结果,处理携带所述获得的路由前缀的路由包括:
当所述路由来源信息库不存在与所述获得的路由前缀所匹配的路由前缀时,所述网络设备根据预先配置的策略确定是否发送携带所述获得的路由前缀的路由。
13.一种网络设备,其特征在于,包括:
获得模块,所述获得模块用于获得路由前缀和待验证的自治系统的信息,所述待验证的自治系统信息是执行配置在所述网络设备上的出口路由策略后而确定的;
验证模块,用于根据所述获得的路由前缀和所述待验证的自治系统的信息进行路由来源验证;
确定模块,用于根据所述验证的结果,处理携带所述获得的路由前缀的路由。
14.根据权利要求13所述的网络设备,其特征在于,所述待验证的自治系统的信息为源自治系统的信息;
或者
所述待验证的自治系统的信息为自治系统路径的信息。
15.根据权利要求13所述的网络设备,其特征在于,还包括:
路由来源信息库获得模块,用于从资源公钥基础设施服务器获得所述网络设备上的路由来源信息库。
16.根据权利要求15所述的网络设备,其特征在于,所述路由来源信息库中的路由来源验证数据包括路由来源授权数据或自治系统路径授权数据。
17.根据权利要求13-16任一所述的网络设备,其特征在于,所述待验证的自治系统信息是经所述出口路由策略修改后而确定的。
18.根据权利要求13-16任一所述的网络设备,其特征在于,所述获得的路由前缀是从第二自治系统接收到的,所述网络设备为第一自治系统的边界节点。
19.根据权利要求13-16任一所述的网络设备,其特征在于,所述路由前缀来自于所述网络设备所在的自治系统中的其他网络设备。
20.根据权利要求13-16任一所述的网络设备,其特征在于,所述获得的路由前缀所述网络设备生成的。
21.根据权利要求13-16任一所述的网络设备,其特征在于,所述确定模块用于当所述路由来源信息库中存在与所述获得的路由前缀所匹配的路由前缀,且所述路由来源信息库中与所述所匹配的路由前缀对应的自治系统的信息与所述待验证的自治系统的信息不同时,确定不发送携带所述获得的路由前缀的路由。
22.根据权利要求21所述的网络设备,其特征在于,还包括告警模块,用于输出告警信息。
23.根据权利要求13-16任一所述的网络设备,其特征在于,所述网络设备还包括发送模块;
所述确定模块用于当所述路由来源信息库中存在与所述获得的路由前缀所匹配的路由前缀,且所述路由来源信息库中与所述所匹配的路由前缀对应的自治系统的信息与所述待验证的自治系统的信息相同时,确定发送携带所述获得的路由前缀的路由;
所述发送模块发送携带所述获得的路由前缀的路由信息。
24.根据权利要求13-16任一所述的网络设备,其特征在于,所述确定模块用于当所述路由来源信息库不存在与所述获得的路由前缀所匹配的路由前缀时,根据预先配置的策略确定是否发送携带所述获得的路由前缀的路由。
25.一种网络设备,其特征在于,包括:处理器、存储器,其中:所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行如权利要求1-12中任意一项所述的方法。
26.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有程序,当所述程序在计算机上执行时,使得所述计算机执行如权利要求1至12任意一项所述的方法。
27.一种用于处理路由的装置,其特征在于,包括:
与程序指令相关的硬件,所述硬件用于执行权利要求1-12中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111397210.5A CN114389994B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111397210.5A CN114389994B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
| CN201811302078.3A CN111147380B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811302078.3A Division CN111147380B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114389994A CN114389994A (zh) | 2022-04-22 |
| CN114389994B true CN114389994B (zh) | 2022-12-27 |
Family
ID=70463822
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111397210.5A Active CN114389994B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
| CN202111397187.XA Active CN114389993B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
| CN201811302078.3A Active CN111147380B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
Family Applications After (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111397187.XA Active CN114389993B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
| CN201811302078.3A Active CN111147380B (zh) | 2018-11-02 | 2018-11-02 | 一种路由处理的方法和网络设备 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US11863447B2 (zh) |
| EP (2) | EP3863243B1 (zh) |
| JP (2) | JP7187692B2 (zh) |
| KR (1) | KR102620025B1 (zh) |
| CN (3) | CN114389994B (zh) |
| BR (1) | BR112021008177A2 (zh) |
| MX (1) | MX2021005034A (zh) |
| WO (1) | WO2020088684A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113839859B (zh) * | 2020-06-23 | 2023-05-23 | 华为技术有限公司 | 一种报文通告的方法以及相关装置 |
| CN112003822B (zh) * | 2020-07-15 | 2022-11-01 | 互联网域名系统北京市工程研究中心有限公司 | 路由起源授权的质量检测方法和装置 |
| US11930037B2 (en) * | 2020-10-08 | 2024-03-12 | Charter Communications Operating, Llc | Validation and implementation of flow specification (Flowspec) rules |
| CN114598487B (zh) * | 2020-12-04 | 2023-06-02 | 华为技术有限公司 | 一种验证as对的方法、装置及设备 |
| CN114143807B (zh) * | 2021-10-27 | 2023-08-08 | 中盈优创资讯科技有限公司 | 一种路由注册完整率评价方法及装置 |
| US12007910B1 (en) * | 2021-11-22 | 2024-06-11 | Amazon Technologies, Inc. | Resource public key infrastructure (RPKI) validation system |
| FR3135850A1 (fr) * | 2022-05-17 | 2023-11-24 | Orange | Procédé pour détecter des anomalies de routage entre systèmes autonomes |
| CN118740707A (zh) * | 2023-03-30 | 2024-10-01 | 华为技术有限公司 | 一种路径合法性验证方法、重定向路径获取方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588343A (zh) * | 2008-05-20 | 2009-11-25 | 中国人民解放军信息工程大学 | 前缀与as映射关系的管理方法、报文处理方法和装置 |
| CN102158469A (zh) * | 2011-01-27 | 2011-08-17 | 电子科技大学 | 一种边界网关协议前缀劫持攻击防范方法 |
| CN106060014A (zh) * | 2016-05-18 | 2016-10-26 | 中国互联网络信息中心 | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3623680B2 (ja) | 1999-01-11 | 2005-02-23 | 株式会社日立製作所 | 経路検証機能を備えるネットワークシステム、経路管理装置及び交換機 |
| JP4413833B2 (ja) | 2005-08-15 | 2010-02-10 | 日本電信電話株式会社 | 不正経路監視システムおよび方法 |
| US20070091794A1 (en) * | 2005-10-20 | 2007-04-26 | Clarence Filsfils | Method of constructing a backup path in an autonomous system |
| CN100466562C (zh) * | 2006-06-23 | 2009-03-04 | 华为技术有限公司 | 一种发送测试路由的方法和系统 |
| CN100483997C (zh) * | 2006-09-19 | 2009-04-29 | 清华大学 | 基于自治系统互联关系的真实IPv6源地址验证方法 |
| CN101155054A (zh) * | 2006-09-28 | 2008-04-02 | 华为技术有限公司 | 自治系统域间pce路径自动探测和计算的方法和装置 |
| CN101005500A (zh) * | 2006-12-31 | 2007-07-25 | 中国科学院计算技术研究所 | 一种基于自治系统关系的边界网关协议路由策略验证方法 |
| JP5018484B2 (ja) | 2008-01-08 | 2012-09-05 | 日本電気株式会社 | 通信制御装置 |
| US8098584B2 (en) * | 2009-08-07 | 2012-01-17 | Microsoft Corporation | Optimization of traffic routing for data center services |
| JP2011087302A (ja) | 2009-10-19 | 2011-04-28 | Ip Infusion Inc | Bgp経路監視装置、bgp経路監視方法、およびプログラム |
| CN102957606B (zh) * | 2011-08-30 | 2017-02-08 | 中兴通讯股份有限公司 | 一种路由信息通告方法及装置 |
| US9253087B2 (en) * | 2012-04-24 | 2016-02-02 | Futurewei Technologies, Inc. | Principal-identity-domain based naming scheme for information centric networks |
| US9338080B2 (en) * | 2012-09-14 | 2016-05-10 | Cisco Technology, Inc. | Performing offline BGP prefix origin and path validation at route reflectors |
| WO2014077306A1 (ja) * | 2012-11-15 | 2014-05-22 | 日本電気株式会社 | 制御装置、通信システム、制御情報の作成方法及びプログラム |
| US9654482B2 (en) | 2014-01-22 | 2017-05-16 | Cisco Technology, Inc. | Overcoming circular dependencies when bootstrapping an RPKI site |
| US9608858B2 (en) * | 2014-07-21 | 2017-03-28 | Cisco Technology, Inc. | Reliable multipath forwarding for encapsulation protocols |
| KR102072228B1 (ko) * | 2014-12-18 | 2020-01-31 | 노키아 솔루션스 앤드 네트웍스 오와이 | 통신 네트워크 시스템들 사이의 신뢰된 라우팅 |
| EP3306874B1 (en) * | 2015-07-06 | 2019-11-13 | Huawei Technologies Co., Ltd. | Controller device and border routers |
| CN105376098B (zh) * | 2015-11-30 | 2019-06-14 | 中国互联网络信息中心 | 一种路由源和路径双重验证方法 |
| CN106059932B (zh) * | 2016-08-08 | 2020-12-11 | 新华三技术有限公司 | 一种路由表项生成方法及装置 |
| US10015081B1 (en) * | 2016-09-29 | 2018-07-03 | Cisco Technology, Inc. | Poison-path routing policy |
| US10715543B2 (en) * | 2016-11-30 | 2020-07-14 | Agari Data, Inc. | Detecting computer security risk based on previously observed communications |
| CN108092897B (zh) * | 2017-11-23 | 2020-07-21 | 浙江大学 | 一种基于sdn的可信路由源管理方法 |
| CN108718247B (zh) * | 2018-04-16 | 2021-09-21 | 哈尔滨工业大学 | 一种基于虚拟化技术的自治域级网络模拟方法 |
-
2018
- 2018-11-02 CN CN202111397210.5A patent/CN114389994B/zh active Active
- 2018-11-02 CN CN202111397187.XA patent/CN114389993B/zh active Active
- 2018-11-02 CN CN201811302078.3A patent/CN111147380B/zh active Active
-
2019
- 2019-11-02 MX MX2021005034A patent/MX2021005034A/es unknown
- 2019-11-02 KR KR1020217015372A patent/KR102620025B1/ko active IP Right Grant
- 2019-11-02 WO PCT/CN2019/115174 patent/WO2020088684A1/zh unknown
- 2019-11-02 JP JP2021523608A patent/JP7187692B2/ja active Active
- 2019-11-02 BR BR112021008177-1A patent/BR112021008177A2/pt unknown
- 2019-11-02 EP EP19880184.7A patent/EP3863243B1/en active Active
- 2019-11-02 EP EP23194164.2A patent/EP4304149A3/en active Pending
-
2021
- 2021-05-03 US US17/306,740 patent/US11863447B2/en active Active
-
2022
- 2022-11-29 JP JP2022190316A patent/JP7434504B2/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588343A (zh) * | 2008-05-20 | 2009-11-25 | 中国人民解放军信息工程大学 | 前缀与as映射关系的管理方法、报文处理方法和装置 |
| CN102158469A (zh) * | 2011-01-27 | 2011-08-17 | 电子科技大学 | 一种边界网关协议前缀劫持攻击防范方法 |
| CN106060014A (zh) * | 2016-05-18 | 2016-10-26 | 中国互联网络信息中心 | 一种同时解决前缀劫持、路径劫持及路由泄露攻击的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| BR112021008177A2 (pt) | 2021-08-03 |
| CN111147380B (zh) | 2021-11-30 |
| US11863447B2 (en) | 2024-01-02 |
| CN114389994A (zh) | 2022-04-22 |
| EP3863243A1 (en) | 2021-08-11 |
| JP2023024483A (ja) | 2023-02-16 |
| WO2020088684A1 (zh) | 2020-05-07 |
| EP3863243B1 (en) | 2023-09-27 |
| CN111147380A (zh) | 2020-05-12 |
| EP4304149A3 (en) | 2024-04-10 |
| US20210258256A1 (en) | 2021-08-19 |
| JP7187692B2 (ja) | 2022-12-12 |
| JP2022511665A (ja) | 2022-02-01 |
| MX2021005034A (es) | 2021-06-15 |
| JP7434504B2 (ja) | 2024-02-20 |
| CN114389993B (zh) | 2024-07-16 |
| CN114389993A (zh) | 2022-04-22 |
| EP4304149A2 (en) | 2024-01-10 |
| KR102620025B1 (ko) | 2023-12-29 |
| KR20210080479A (ko) | 2021-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114389994B (zh) | 一种路由处理的方法和网络设备 | |
| US10637772B2 (en) | Verification mechanism for network service chain paths | |
| US7668082B1 (en) | Network routing using link failure information | |
| EP2245792B1 (en) | System, method and program for determining failed routers in a network | |
| CN110971522B (zh) | 一种确定路由泄露的方法、设备和系统 | |
| CN111385246B (zh) | 一种安全路由识别方法及装置 | |
| CN107148768B (zh) | 用于数据路径确认与验证的系统和方法 | |
| US8161185B2 (en) | Method and apparatus for assigning IPv6 link state identifiers | |
| CN112398741B (zh) | 学习路由的方法、转发报文的方法、设备和存储介质 | |
| CN112511437B (zh) | 验证业务链的方法、发送节点、转发节点、业务功能节点 | |
| Sriram | BGPSEC design choices and summary of supporting discussions | |
| US20060245429A1 (en) | Method and system to restart IS-IS when LSP wraps | |
| CN114143316B (zh) | 多租户网络通信方法、装置、容器节点及存储介质 | |
| Tsumak | Securing BGP using blockchain technology | |
| CN101558401A (zh) | 在多个mpls网络上的服务质量和加密 | |
| Monkewich et al. | OSPF efficient LSA refreshment function in SDL | |
| CN117240900B (zh) | 基于软件定义网络的区块链节点发现与组网方法及装置 | |
| CN116866178A (zh) | 网络配置检测方法、装置及系统 | |
| CN117221112A (zh) | 脱管设备智能恢复的方法及相关设备 | |
| CN109005121A (zh) | 一种路由计算方法及装置 | |
| Maria et al. | Design and Implementation of the End System to Intermediate System (ES-IS) Routing Information Exchange Protocol as a Loadable Kernel Module in Linux Kernel 2.6 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |