CN114422430A - 用于控制路由泄露的电子设备、方法和介质 - Google Patents
用于控制路由泄露的电子设备、方法和介质 Download PDFInfo
- Publication number
- CN114422430A CN114422430A CN202011084876.0A CN202011084876A CN114422430A CN 114422430 A CN114422430 A CN 114422430A CN 202011084876 A CN202011084876 A CN 202011084876A CN 114422430 A CN114422430 A CN 114422430A
- Authority
- CN
- China
- Prior art keywords
- route
- neighbor
- peer
- upstream
- attribute value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
- H04L45/306—Route determination based on the nature of the carried application
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及用于控制路由泄露的电子设备、方法和介质。该电子设备包括:存储器,具有存储在其上的指令;处理器,被配置为执行存储在存储器上的指令以使得电子设备执行以下操作:在为每个自治系统AS建立外部边界网关协议EBGP邻居时设置邻居关系,所述邻居关系包括上游、对等和客户;对从EBGP邻居接收到的路由,根据邻居关系及该路由携带的原Neighbor‑Property属性值,重新标记新Neighbor‑Property属性值并在发布时携带,包括将从上游邻居接收到的路由均标识新Neighbor‑Property属性值为上游,将从对等邻居接收到的路由均标识新Neighbor‑Property属性值为对等,并将从客户邻居接收到的路由保持原Neighbor‑Property属性值不变,所述Neighbor‑Property属性值包括上游、对等、客户和自有路由;及根据邻居关系及该路由重新标识的新Neighbor‑Property属性值执行路由控制。
Description
技术领域
本发明属于数据通信领域,特别涉及用于控制路由泄露的电子设备、方法和介质。
背景技术
根据互联网规则,客户AS向上游/对等AS EBGP邻居(neighbor)发布路由时,只能发布自身或者下游客户的路由,不能发布其他上游/对等邻居的路由,以避免流量穿透小带宽电路,甚至造成安全威胁。
如图1所示,自治系统(AS:Autonomous System)1向上游AS2发布路由时携带了其他上游的路由前缀X,AS2在没有任何控制策略的情况下,将该路由前缀X继续向外发布,就引起了路由泄露。
互联网路由泄露事件频发对网络安全造成重大冲击,传统的解决思路是通过分析自治系统(AS:Autonomous System)路径列表AS-PATH属性判别是否发生路由泄露,由于依赖于互联网路由注册路由数据库的准确性、且涉及路由注册对象信息量过于庞大,甚至超出设备处理能力且策略复杂到难以实施,导致实际应用价值较小。
因此,需要一种具有扩展性的控制相邻AS间EBGP路由泄露的方法和设备。
发明内容
鉴于以上技术问题,本发明提出了一种通过扩展边界网关协议(BGP:BorderGateway Protocol)属性来标记相邻AS的路由的类型,从而实现简单而具有扩展性的路由泄露控制方法,本发明扩展的属性用Neighbor-Property标记。
根据本发明的一个方面,提供了一种能够控制路由泄露的电子设备,包括:存储器,具有存储在其上的指令;以及处理器,被配置为执行存储在所述存储器上的指令,以使得所述电子设备执行以下操作:在为每个自治系统AS建立外部边界网关协议EBGP邻居neighbor时设置本设备AS与邻居关系,所述邻居关系包括上游upstream、对等peer和客户customer,缺省为upstream关系;对从EBGP邻居接收到的路由,根据邻居关系及该路由携带的原Neighbor-Property属性值,重新标记新Neighbor-Property属性值并在发布路由时携带,包括将从上游邻居接收到的路由均标识新Neighbor-Property属性值为上游路由,将从对等邻居接收到的路由均标识新Neighbor-Property值为对等路由,将从客户邻居接收到的路由保持原Neighbor-Property属性值不变,其中所述Neighbor-Property属性值包括上游、对等、客户和自有路由;以及根据邻居关系以及该路由重新标识的新Neighbor-Property属性值执行路由控制。
根据一个示例实施例,所述处理器还被配置为执行存储在所述存储器上的指令以使所述电子设备执行以下操作:对于从上游邻居接收到的路由:如果所述路由是起源于所述上游邻居自身的路由,则对所述路由设置高优先级;以及如果所述路由是来自其它AS的路由,则对所述路由设置低优先级。
根据一个示例实施例,所述处理器还被配置为执行存储在所述存储器上的指令以使所述电子设备执行以下操作:对于从对等邻居接收到的路由,如果所述路由携带有所述对等邻居的上游邻居或对等邻居的路由标记,则丢弃所述路由,否则对所述路由设置高优先级。
根据一个示例实施例,所述处理器还被配置为执行存储在所述存储器上的指令以使所述电子设备执行以下操作:对于从对等邻居接收到的路由,如果所述路由携带有所述对等邻居的上游邻居或对等邻居的路由标记,则对所述路由设置低优先级,否则对所述路由设置高优先级。
根据一个示例实施例,所述处理器还被配置为执行存储在所述存储器上的指令以使所述电子设备执行以下操作:对于从客户邻居接收到的路由,如果所述路由携带有所述客户邻居的上游邻居或对等邻居的路由标记,则丢弃所述路由,否则对所述路由设置高优先级。
根据一个示例实施例,所述处理器还被配置为执行存储在所述存储器上的指令以使所述电子设备执行以下操作:对于从客户邻居接收到的路由,如果所述路由携带有所述客户邻居的上游邻居或对等邻居的路由标记,则对所述路由设置低优先级,否则对所述路由设置高优先级。
根据一个示例实施例,其中所述电子设备为路由器。
根据本发明的另一方面提供了一种控制路由泄露的方法,包括:在为每个自治系统AS建立外部边界网关协议EBGP邻居时设置邻居关系,所述邻居关系包括上游、对等和客户;对从EBGP邻居接收到的路由,根据邻居关系及该路由携带的原Neighbor-Property属性值,重新标记新Neighbor-Property属性值并在发布路由时携带,包括将从上游邻居接收到的路由均标识新Neighbor-Property属性值为上游,将从对等邻居接收到的路由均标识新Neighbor-Property属性值为对等,并且将从客户邻居接收到的路由保持原Neighbor-Property属性值不变,其中所述Neighbor-Property属性值包括上游、对等、客户和自有路由;以及根据邻居关系以及该路由重新标识的新Neighbor-Property属性值执行路由控制。
根据一个示例实施例,所述方法还包括对于从上游邻居AS接收到的路由,如果所述路由是起源于所述上游邻居AS自身的路由,则对所述路由设置高优先级;以及如果所述路由是来自其它AS的路由,则对所述路由设置低优先级。
根据一个示例实施例,所述方法还包括:对于从对等邻居AS接收到的路由,缺省的路由处理策略为:如果所述路由是起源于所述对等邻居AS自身的路由,则对所述路由设置高优先级;如果所述路由携带有所述对等邻居AS的上游邻居AS或对等邻居AS的路由标记,则丢弃所述路由,否则对所述路由设置高优先级。
根据一个示例实施例,所述方法还包括:对于从对等邻居AS接收到的路由,可选的路由处理策略是:如果所述路由是起源于所述对等邻居AS自身的路由,则对所述路由设置高优先级;如果所述路由携带有所述对等邻居AS的上游邻居AS或对等邻居AS的路由标记,则对所述路由设置低优先级,否则对所述路由设置中等优先级。
根据一个示例实施例,所述方法还包括:对于从客户邻居接收到的路由,缺省的路由处理策略为:如果所述路由是起源于所述客户邻居AS自身的路由,则对所述路由设置高优先级;如果所述路由携带有所述客户邻居的上游邻居或对等邻居的路由标记,则丢弃所述路由,否则对所述路由设置高优先级。
根据一个示例实施例,所述方法还包括:对于从客户邻居接收到的路由,可选的路由处理策略是:如果所述路由是起源于所述客户邻居AS自身的路由,则对所述路由设置高优先级;如果所述路由携带有所述客户邻居的上游邻居或对等邻居的路由标记,则对所述路由设置低优先级,否则对所述路由设置高优先级。
根据本发明的再一方面提供了一种非瞬时性计算机可读介质,所述非瞬时性计算机可读介质具有存储在其上的指令,以用于由处理器执行以执行根据本发明所述的控制路由泄露的方法的步骤。
根据本发明的又一方面提供了一种能够控制路由泄露的装置,包括用于执行本发明所述的控制路由泄露的方法的步骤的单元。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
为了更好地理解本公开,并示出如何实现本公开,现在将以举例的方式参照附图描述,其中:
图1示出了现有技术中导致路由泄露的路由通告的示意图;
图2示出了根据本公开的实施例的新增TLV格式的示例说明图;
图3示出了根据本公开的实施例的路由通告的示意图;
图4示出了根据本公开的实施例的控制路由泄露的方法的示例流程图;
图5示出了根据本公开的实施例的能够控制路由泄露的电子设备的示例框图。
注意,在整个附图中,相似的附图标记指代对应的部分。
具体实施方式
参考附图进行以下详细描述,并且提供以下详细描述以帮助全面理解本公开的各种示例实施例。以下描述包括各种细节以帮助理解,但是这些细节仅被认为是示例,而不是为了限制本公开,本公开是由随附权利要求及其等同内容限定的。在以下描述中使用的词语和短语仅用于能够清楚一致地理解本公开。另外,为了清楚和简洁起见,可能省略了对公知的结构、功能和配置的描述。本领域普通技术人员将认识到,在不脱离本公开的精神和范围的情况下,可以对本文描述的示例进行各种改变和修改。
本公开针对不同AS间的EBGP邻居间路由通告,通过改进现有的BGP协议定义新的BGP属性,即邻居属性(Neighbor-Property),每条BGP路由通告均需携带Neighbor-Property,属性值为上游(upstream)、对等(peer)、客户(customer)和自有(self)路由四种类型之一。在建立EBGP邻居时,须将每个邻居设置为上游、对等或客户三种类型之一,缺省类型为上游。当从设置为上游/对等的邻居AS接收到任何类型的路由时都将该路由的Neighbor-Property属性值标记为上游/对等,从设置为客户的邻居接收到的路由,保持其Neighbor-Property属性值不变。针对不同类型的路由,易于设置简单易于扩展的过滤策略来实现复杂路由泄露控制的目的。
下面将参考图2到图5对根据本发明的实施例的通过扩展BGP属性来控制路由泄露的方法和设备进行详细说明。
归属不同的AS的对等实体之间运行的BGP称为外部边界网关协议EBGP(External/Exterior BGP)。一个特定的AS在与其它不同AS进行IP网络EBGP互连时,按照AS之间的互连商谈协作关系,存在上游AS、对等AS或客户AS连接关系。即,EBGP之间存在三种邻居类型,上游、对等和客户邻居。该AS的上游AS,指的是此AS通过与上游AS互连,可以访问无直接连接关系的互联网,因此上游AS给此AS需发送全球或区域互联网路由。该AS的对等互连AS,指的是此AS通过与对等AS互连,可以访问对等AS及其客户的网络。该AS的客户AS,指的是此AS的下游客户可以通过该AS访问互联网,因此该AS需按客户的需求发送对应的互联网路由。
在建立EBGP邻居时,必须同时指定其邻居是属于上述类型中的哪一种类型。即,建立邻居时需指定邻居的IP以及AS号,邻居类型也需要在此时同时设置完成,缺省情况下设备指定邻居类型为上游关系。根据一个实施例,对邻居类型的设置由与其它AS互连的路由器设备完成。在BGP路由协议进程下,路由器设备在建立EBGP邻居时进行设置。例如,路由器设备在BGP协议进程中配置peer X.X.X.X as-number YYYY upstream/peer/customer。其中X.X.X.X为IP地址,YYYY为对端AS号。
本发明通过新增TLV来定义路由控制属性。某AS向邻居发布每条BGP路由通告时均需携带该属性,加上该AS自身路由,属性值为上游、对等、客户、自有路由这四种之一,用于标识该路由与自身之间的关系。
如图2所示,TLV格式包括三个字段Attr.TYPE、Attr.Length和Attr.Value。字段Attr.Length占一个字节,标识BGP报文总长度(包括报头在内)。
字段Attr.TYPE又包括两个子字段Attr.Flags和Attr.Type Code。其中子字段Attr.Flags占1个字节,表示属性的标记。根据RFC 4271标准规定,其每个比特位的意义如下:
O:Optional位,属性的可选性。决定属性是否为必携带属性。带可选属性(optional)设为1,公认属性(well-known)设为零。
T:Transitive位,属性的可传递性。对于可选属性,是可传递的设为1,非可传递的设为0。对于公认属性必须设为1。
P:Partial位,属性的局部性。对于可传递的可选属性是局部的设为1,是完全的设为零。对于非可传递的可选属性和公认属性,必须设为零。
E:Extended Length位,决定该属性的长度的字段(即Attr.Length)是否需要扩展。不需要扩展则设为0,Attr.Length占1个字节;需要扩展则设为1,Attr.Length占2个字节。
U:低4位目前没有使用。
本发明的新属性设置为公认属性,故定义OTPE值为0100,表示为公认属性、属性为全局性且Attr.Length不需要扩展。
子字段Attr.Type Code占1个字节,表示属性的类型号,此处设置为18:Connection Type,表示指定AS之间互连类型的新属性。
字段Attr.Value为可变字段,属性值取末两位,00代表上游AS的路由,01代表对等AS的路由,10代表客户AS的路由,11代表自身产生的路由。
下面参考图3和图4针对具体实施例对根据本发明的控制路由泄露的方法进行更全面的描述。
如图3所示,PE2将EBGP邻居PE1设置为客户类型,而PE1将EBGP邻居PE2设置为上游类型。PE1的另一上游EBGP邻居PE3收到路由前缀X,并向PE1通告,PE1在从上游EBGP邻居PE3收到路由前缀X时将该路由的Neighbor-Property属性值标记为“上游”,即“00”。PE1在从对等AS邻居PE4收到路由时将该路由的Neighbor-Property属性值标记为“对等”,即“01”。PE1在从客户邻居PE5收到路由时保持该路由的Neighbor-Property属性值不变,即原值为“00”、“01”、“10”则保持不变,如原值为“11”(即PE5自身产生的路由)则重新标记为“10”。
如果PE1在向PE2通告路由的方向没有设置合理的路由策略,导致PE1也将路由前缀X通告给PE2,则PE2收到了来自客户邻居(PE1)的上游邻居的路由前缀X(Neighbor-Property为“00”)。一般应执行的处理规则是:PE2接收到的路由前缀X,直接丢弃。设备接收路由时执行的功能伪指令描述如下:
在特殊的情况下可将其优先级降低,低于从其他上游邻居获得的路由前缀X的优先级,根据BGP的路由选路原则,会自动优选从其他上游获得的路由前缀X,此时由PE1向PE2通告的此低优先级的路由前缀X的路由会依然保存着,作为一条冗余备份路径,同时加上不向其它AS通告的属性no-export。设备接收路由时执行的功能伪指令描述如下:
图4示出了根据本发明的控制路由泄露的方法的示例流程图。所述方法可由各个AS中的边界路由器实现。
如图4所示,在步骤S410处,在为每个AS建立EBGP邻居时设置邻居关系。所述邻居关系包括上游、对等和客户。
在步骤S420处,对从EBGP邻居接收到的路由标记新Neighbor-Property属性值,包括将从上游邻居接收到的路由的属性值标记为上游,将从对等邻居接收到的路由的属性值标记为对等,并且将从客户邻居接收到的路由的属性值保持不变。如参考图2所描述的,Neighbor-Property属性值包括上游、对等、客户和自有路由。
在步骤S430处,根据邻居关系以及该路由重新标识的新Neighbor-Property属性值执行路由控制。
具体地,根据本发明的示例性实施例,对于从上游邻居接收到的路由,将其Neighbor-Property属性值标记为上游,即“00”。如果该路由是所述上游邻居自身起源的路由,则对所述路由设置高优先级,例如,设备可缺省将收到路由的优先级Local Preference设置为300,可重新调整优先级数值。如果该路由是来自其它AS的路由,则对所述路由设置低优先级,例如,设备可缺省将收到路由的优先级Local Preference设置为100,可重新进行调整优先级数值。设备接收路由时执行的功能伪指令描述如下:
根据本发明的优选实施例,对于从对等邻居接收到的路由,将其Neighbor-Property属性值标记为对等,即“01”。如果所述路由携带有所述对等邻居的上游邻居或对等邻居的路由标记,则丢弃所述路由。否则对所述路由设置次高优先级,例如将LocalPreference设置为200,可重新调整优先级数值。根据本发明的替选实施例,对于从对等邻居接收到的路由,将其新属性值标记为对等,即“01”。设备接收路由时执行的功能伪指令描述如下:
如果所述路由携带有所述对等邻居的上游邻居或对等邻居的路由标记,则对所述路由设置次低优先级以将该路由作为冗余备份路径,同时加上不向其它AS通告的属性no-export,例如将Local Preference设置为110、可重新调整优先级数值,否则对所述路由设置次高优先级。设备接收路由时执行的功能伪指令描述如下:
根据本发明的优选实施例,对于从客户邻居接收到的路由,保持其Neighbor-Property属性值不变。如果所述路由携带有所述客户邻居的上游邻居或对等邻居的路由标记,则丢弃所述路由。否则对所述路由设置高优先级,例如将Local Preference设置为300。设备接收路由时执行的功能伪指令描述如下:
根据本发明的替选实施例,对于从客户邻居接收到的路由,保持其属性值不变。如果所述路由携带有所述客户邻居的上游邻居或对等邻居的路由标记,则对所述路由设置最低优先级以将该路由作为冗余备份路径,同时加上不向其它AS通告的属性no-export,例如将Local Preference设置为80,可重新调整优先级数值,否则对所述路由设置高优先级。设备接收路由时执行的功能伪指令描述如下:
本发明通过扩展BGP属性,新增EBGP邻居之间的邻居类型并建立相应的路由策略,控制向其它AS通告路由的属性,仅需少量的工作即可实现路由快速、准确的调控。对比现有方法需要人工配置策略且匹配大量(可能多达2万多条)AS路径列表而导致策略复杂到难以实施,新方法只需检查新增的路由属性值,且新增的属性值仅4个(包括自有路由),并根据相应的路由过滤策略即可实现路由泄露控制,极大地简化了路由泄露控制。
图5是示出根据本公开的实施例的电子设备500的示例性配置框图。所述电子设备500可以用于实现根据本发明的能够控制路由泄露的装置和/或执行根据本发明的控制路由泄露的方法。优选地,电子设备500在实现根据本发明的能够控制路由泄露的装置和/或执行根据本发明的控制路由泄露的方法时可为各个AS中的边界路由器。
如图5所示,电子设备500包括用户接口20、网络接口21、电源22、外部网络接口23、存储器24和处理器26。用户接口20可以包括但不限于按钮、键盘、小键盘、LCD、CRT、TFT、LED、HD或其它类似的显示设备,包括具有触摸屏能力使得能够进行用户和网关设备之间的交互的显示设备。在一些实施例中,用户接口20可以用于呈现图形用户界面(GUI)以接收用户输入。
网络接口21可以包括各种网卡以及以软件和/或硬件实现的电路系统,以便能够使用有线或无线协议与用户设备通信。有线通信协议例如是以太网协议、MoCA规范协议、USB协议或其它有线通信协议中的任何一种或多种。无线协议例如是任何IEEE 802.11 Wi-Fi协议、蓝牙协议、低功耗蓝牙(BLE)或根据无线技术标准进行操作的其他短距离协议,用于使用任何许可的或未许可的频带(诸如公民宽带无线电服务(CBRS)频带、2.4GHz频带、5GHz频带、6GHz频带或60GHz频带)、RF4CE协议、ZigBee协议、Z-Wave协议或IEEE 802.15.4协议在短距离上交换数据。在网络接口21使用无线协议的情况下,在一些实施例中,网络接口21还可以包括一个或多个天线(未示出)或者用于耦合到一个多个天线的电路节点。电子设备500可以通过网络接口21向用户设备提供内部网络。
电源22通过内部总线27向电子设备500的内部组件提供电力。电源22可以是自备电源,诸如电池组,其接口通过(例如,直接或通过其他设备)连接到插座的充电器供电。电源22还可以包括可拆卸以供替换的可再充电电池,例如NiCd、NiMH、Li-ion或Li-pol电池。外部网络接口23可以包括各种网卡以及以软件和/或硬件实现的电路系统,以实现电子设备500与外部网络的提供者(例如互联网服务提供商或多系统运营商(MSO))之间的通信。
存储器24包括单个存储器或一个或多个存储器或存储位置,包括但不限于随机存取存储器(RAM)、动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、只读存储器(ROM)、EPROM、EEPROM、闪存、FPGA的逻辑块、硬盘或存储器层次结构的任何其他各层。存储器24可以用于存储任何类型的指令、软件或算法,包括用于控制电子设备500的一般功能和操作的软件25。
处理器26控制电子设备500的一般操作,并执行与网络中的其他设备(诸如用户设备)有关的管理功能。处理器26可以包括但不限于CPU、硬件微处理器、硬件处理器、多核处理器、单核处理器、微控制器、专用集成电路(ASIC)、DSP或其他类似的处理设备,能够执行根据本公开中描述的实施例的用于控制电子设备500的操作和功能的任何类型的指令、算法或软件。处理器26可以是在计算系统中执行功能的数字电路系统、模拟电路系统或混合信号(模拟和数字的组合)电路系统的各种实现。处理器26可以包括例如诸如集成电路(IC)、单独处理器核心的部分或电路、整个处理器核心、单独的处理器、诸如现场可编程门阵列(FPGA)的可编程硬件设备、和/或包括多个处理器的系统。
可以使用内部总线27来建立电子设备500的组件(例如20-22、24和26)之间的通信。
尽管使用特定组件来描述电子设备500,但是在替选实施例中,电子设备500中可以存在不同的组件。例如,电子设备500可以包括一个或多个附加控制器、存储器、网络接口、外部网络接口和/或用户接口。另外,电子设备500中可能不存在组件的一个或多个。此外,在一些实施例中,电子设备500可以包括在图5中未示出的一个或多个组件。另外,尽管在图5中示出单独的组件,但是在一些实施例中,给定组件的一些或全部可以集成到电子设备500中的其他组件中的一个或多个中。此外,可以使用模拟和/或数字电路的任何组合来实现电子设备500中的电路和组件。
本公开可以被实现为装置、系统、集成电路和非瞬时性计算机可读介质上的计算机程序的任何组合。可以将一个或多个控制器实现为执行本公开中描述的部分或全部功能的集成电路(IC)、专用集成电路(ASIC)或大规模集成电路(LSI)、系统LSI、超级LSI或超LSI组件。
本公开包括软件、应用程序、计算机程序或算法的使用。可以将软件、应用程序、计算机程序或算法存储在非瞬时性计算机可读介质上,以使诸如一个或多个处理器的计算机执行上述步骤和附图中描述的步骤。例如,一个或多个存储器以可执行指令存储软件或算法,并且一个或多个处理器可以关联执行该软件或算法的一组指令,以根据本公开中描述的实施例提供网络接入设备的网络配置信息管理功能。
软件和计算机程序(也可以称为程序、软件应用程序、应用程序、组件或代码)包括用于可编程处理器的机器指令,并且可以以高级过程性语言、面向对象编程语言、功能性编程语言、逻辑编程语言或汇编语言或机器语言来实现。术语“计算机可读介质”是指用于向可编程数据处理器提供机器指令或数据的任何计算机程序产品、装置或设备,例如磁盘、光盘、固态存储设备、存储器和可编程逻辑设备(PLD),包括将机器指令作为计算机可读信号来接收的计算机可读介质。
举例来说,计算机可读介质可以包括动态随机存取存储器(DRAM)、随机存取存储器(RAM)、只读存储器(ROM)、电可擦只读存储器(EEPROM)、紧凑盘只读存储器(CD-ROM)或其他光盘存储设备、磁盘存储设备或其他磁性存储设备,或可以用于以指令或数据结构的形式携带或存储所需的计算机可读程序代码以及能够被通用或专用计算机或通用或专用处理器访问的任何其它介质。如本文中所使用的,磁盘或盘包括紧凑盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘和蓝光盘,其中磁盘通常以磁性方式复制数据,而盘则通过激光以光学方式复制数据。上述的组合也包括在计算机可读介质的范围内。
另外,以上描述提供了示例,而不限制权利要求中阐述的范围、适用性或配置。在不脱离本公开的精神和范围的情况下,可以对所讨论的元件的功能和布置进行改变。各种实施例可以适当地省略、替代或添加各种过程或部件。例如,关于某些实施例描述的特征可以在其他实施例中被结合。
Claims (15)
1.一种能够控制路由泄露的电子设备,包括:
存储器,具有存储在其上的指令;以及
处理器,被配置为执行存储在所述存储器上的指令,以使得所述电子设备执行以下操作:
在为每个自治系统AS建立外部边界网关协议EBGP邻居时设置邻居关系,所述邻居关系包括上游、对等和客户;
对从EBGP邻居接收到的路由,根据邻居关系以及该路由携带的原Neighbor-Property属性值,重新标记新Neighbor-Property属性值并在发布时携带,包括将从上游邻居接收到的路由均标识新Neighbor-Property属性值为上游,将从对等邻居接收到的路由均标识新Neighbor-Property属性值为对等,并且将从客户邻居接收到的路由保持原Neighbor-Property属性值不变,其中所述Neighbor-Property属性值包括上游、对等、客户和自有路由;以及
根据邻居关系以及该路由重新标识的新Neighbor-Property属性值执行路由控制。
2.根据权利要求1所述的电子设备,其中所述处理器还被配置为执行存储在所述存储器上的指令以使所述电子设备执行以下操作:
对于从上游邻居接收到的路由:
如果所述路由是起源于所述上游邻居自身的路由,则对所述路由设置高优先级;以及
如果所述路由是来自其它AS的路由,则对所述路由设置低优先级。
3.根据权利要求1所述的电子设备,其中所述处理器还被配置为执行存储在所述存储器上的指令以使所述电子设备执行以下操作:
对于从对等邻居接收到的路由,如果所述路由携带有所述对等邻居的上游邻居或对等邻居的路由标记,则丢弃所述路由,否则对所述路由设置高优先级。
4.根据权利要求1所述的电子设备,其中所述处理器还被配置为执行存储在所述存储器上的指令以使所述电子设备执行以下操作:
对于从对等邻居接收到的路由,如果所述路由携带有所述对等邻居的上游邻居或对等邻居的路由标记,则对所述路由设置低优先级,否则对所述路由设置高优先级。
5.根据权利要求1所述的电子设备,其中所述处理器还被配置为执行存储在所述存储器上的指令以使所述电子设备执行以下操作:
对于从客户邻居接收到的路由,如果所述路由携带有所述客户邻居的上游邻居或对等邻居的路由标记,则丢弃所述路由,否则对所述路由设置高优先级。
6.根据权利要求1所述的电子设备,其中所述处理器还被配置为执行存储在所述存储器上的指令以使所述电子设备执行以下操作:
对于从客户邻居接收到的路由,如果所述路由携带有所述客户邻居的上游邻居或对等邻居的路由标记,则对所述路由设置低优先级,否则对所述路由设置高优先级。
7.根据权利要求1所述的电子设备,其中所述电子设备为路由器。
8.一种控制路由泄露的方法,包括:
在为每个自治系统AS建立外部边界网关协议EBGP邻居时设置邻居关系,所述邻居关系包括上游、对等和客户;
对从EBGP邻居接收到的路由,根据邻居关系以及该路由携带的原Neighbor-Property属性值,重新标记新Neighbor-Property属性值并在发布时携带,包括将从上游邻居接收到的路由均标识新Neighbor-Property属性值为上游,将从对等邻居接收到的路由均标识新Neighbor-Property属性值为对等,并且将从客户邻居接收到的路由保持原Neighbor-Property属性值不变,其中所述Neighbor-Property属性值包括上游、对等、客户和自有路由;以及
根据邻居关系以及该路由重新标识的新Neighbor-Property属性值执行路由控制。
9.根据权利要求8所述的方法,还包括:
对于从上游邻居接收到的路由:
如果所述路由是起源于所述上游邻居自身的路由,则对所述路由设置高优先级;以及
如果所述路由是来自其它AS的路由,则对所述路由设置低优先级。
10.根据权利要求8所述的方法,还包括:
对于从对等邻居接收到的路由,如果所述路由是起源于所述对等邻居自身的路由,则对所述路由设置高优先级,如果所述路由携带有所述对等邻居的上游邻居或对等邻居的路由标记,则丢弃所述路由,否则对所述路由设置高优先级。
11.根据权利要求8所述的方法,还包括:
对于从对等邻居接收到的路由,如果所述路由是起源于所述对等邻居AS自身的路由,则对所述路由设置高优先级,如果所述路由携带有所述对等邻居的上游邻居或对等邻居的路由标记,则对所述路由设置低优先级,否则对所述路由设置中等优先级。
12.根据权利要求8所述的方法,还包括:
对于从客户邻居接收到的路由,如果所述路由是起源于所述客户邻居AS自身的路由,则对所述路由设置高优先级,如果所述路由携带有所述客户邻居的上游邻居或对等邻居的路由标记,则丢弃所述路由,否则对所述路由设置高优先级。
13.根据权利要求8所述的方法,还包括:
对于从客户邻居接收到的路由,如果所述路由是起源于所述客户邻居AS自身的路由,则对所述路由设置高优先级,如果所述路由携带有所述客户邻居的上游邻居或对等邻居的路由标记,则对所述路由设置低优先级,否则对所述路由设置高优先级。
14.一种非瞬时性计算机可读介质,所述非瞬时性计算机可读介质具有存储在其上的指令,以用于由处理器执行以执行根据权利要求8-13中任一项所述的方法的步骤。
15.一种能够控制路由泄露的装置,包括用于执行根据权利要求8-13中任一项所述的方法的步骤的单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011084876.0A CN114422430B (zh) | 2020-10-12 | 2020-10-12 | 用于控制路由泄露的电子设备、方法和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011084876.0A CN114422430B (zh) | 2020-10-12 | 2020-10-12 | 用于控制路由泄露的电子设备、方法和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114422430A true CN114422430A (zh) | 2022-04-29 |
| CN114422430B CN114422430B (zh) | 2023-05-16 |
Family
ID=81260604
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011084876.0A Active CN114422430B (zh) | 2020-10-12 | 2020-10-12 | 用于控制路由泄露的电子设备、方法和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114422430B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141382A (zh) * | 2006-09-07 | 2008-03-12 | 华为技术有限公司 | 路由更新方法和路由器 |
| WO2011029241A1 (zh) * | 2009-09-14 | 2011-03-17 | 华为技术有限公司 | 一种路由处理方法、系统和路由器 |
| CN104660502A (zh) * | 2015-03-16 | 2015-05-27 | 杭州华三通信技术有限公司 | 向外部边界网关协议邻居通告路由的方法及装置 |
| US20150312055A1 (en) * | 2012-11-27 | 2015-10-29 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and routers for connectivity setup between provider edge routers |
| WO2017004778A1 (zh) * | 2015-07-06 | 2017-01-12 | 华为技术有限公司 | 路由控制的方法、设备和系统 |
| CN108259331A (zh) * | 2017-12-14 | 2018-07-06 | 新华三技术有限公司 | 路由发布方法及装置 |
| CN111385246A (zh) * | 2018-12-28 | 2020-07-07 | 华为技术有限公司 | 一种安全路由识别方法及装置 |
-
2020
- 2020-10-12 CN CN202011084876.0A patent/CN114422430B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141382A (zh) * | 2006-09-07 | 2008-03-12 | 华为技术有限公司 | 路由更新方法和路由器 |
| WO2011029241A1 (zh) * | 2009-09-14 | 2011-03-17 | 华为技术有限公司 | 一种路由处理方法、系统和路由器 |
| US20150312055A1 (en) * | 2012-11-27 | 2015-10-29 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and routers for connectivity setup between provider edge routers |
| CN104660502A (zh) * | 2015-03-16 | 2015-05-27 | 杭州华三通信技术有限公司 | 向外部边界网关协议邻居通告路由的方法及装置 |
| WO2017004778A1 (zh) * | 2015-07-06 | 2017-01-12 | 华为技术有限公司 | 路由控制的方法、设备和系统 |
| CN108259331A (zh) * | 2017-12-14 | 2018-07-06 | 新华三技术有限公司 | 路由发布方法及装置 |
| CN111385246A (zh) * | 2018-12-28 | 2020-07-07 | 华为技术有限公司 | 一种安全路由识别方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| W. GEORGE; TIME WARNER CABLE; S. AMANTE; APPLE, INC.;: "Autonomous System (AS) Migration Features and Their Effects on the BGP\n AS_PATH Attribute\n draft-ietf-idr-as-migration-01", IETF * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114422430B (zh) | 2023-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2018374839B2 (en) | Limiting forwarding of multicast communications | |
| US8949959B2 (en) | Reduced authentication times for shared-media network migration | |
| Huang et al. | Effective strategy of adding nodes and links for maximizing the traffic capacity of scale-free network | |
| US8363662B2 (en) | Alternate down paths for directed acyclic graph (DAG) routing | |
| EP2764728B1 (en) | Route prefix aggregation using reachable and non-reachable addresses in a computer network | |
| US11290295B2 (en) | Multi-network operation with member node for multicast groups | |
| US10419231B2 (en) | Multi-network operation for multicast groups | |
| US20080130500A1 (en) | Automatic Overlapping Areas that Flood Routing Information | |
| CN103959716A (zh) | 一种在网络通信中实现拓扑透明区的系统和方法 | |
| CN114465943B (zh) | 拓扑信息的发布方法、网络拓扑收集方法及设备 | |
| Zhang et al. | TCAM space-efficient routing in a software defined network | |
| Bays et al. | A heuristic-based algorithm for privacy-oriented virtual network embedding | |
| Karpilovsky et al. | Practical network-wide compression of IP routing tables | |
| CN114422430B (zh) | 用于控制路由泄露的电子设备、方法和介质 | |
| JP2022008220A (ja) | ルーティング情報送信方法、パケット送信方法、及び関連機器 | |
| Xing et al. | Virtual Network with Security Guarantee Embedding Algorithms. | |
| Mishra et al. | Optimal packet scan against malicious attacks in smart grids | |
| US20130080639A1 (en) | Quality of service in a structured peer-to-peer network | |
| Foerster et al. | Local fast segment rerouting on hypercubes | |
| CN106487682A (zh) | 一种Diameter信令网路由方法和装置 | |
| WO2019108548A1 (en) | Multi-network operation for multicast groups | |
| Wolf et al. | Enhancing Interdomain Transport via Economic Software-Defined Exchange Points | |
| WO2022168155A1 (ja) | トラヒックエンジニアリング装置、トラヒックエンジニアリング方法およびトラヒックエンジニアリングプログラム | |
| Avudaiammal et al. | QoS-driven AODV algorithm for WSN | |
| WO2024104007A1 (zh) | 报文发送方法、装置、存储介质及电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |