JP2011087302A - Bgp経路監視装置、bgp経路監視方法、およびプログラム - Google Patents

Bgp経路監視装置、bgp経路監視方法、およびプログラム Download PDF

Info

Publication number
JP2011087302A
JP2011087302A JP2010233010A JP2010233010A JP2011087302A JP 2011087302 A JP2011087302 A JP 2011087302A JP 2010233010 A JP2010233010 A JP 2010233010A JP 2010233010 A JP2010233010 A JP 2010233010A JP 2011087302 A JP2011087302 A JP 2011087302A
Authority
JP
Japan
Prior art keywords
route information
bgp
bgp route
database
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010233010A
Other languages
English (en)
Inventor
Tetsuya Murakami
哲也 村上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
IP Infusion Inc
Original Assignee
IP Infusion Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by IP Infusion Inc filed Critical IP Infusion Inc
Publication of JP2011087302A publication Critical patent/JP2011087302A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

【課題】BGP経路情報の監視を行ない、誤った経路への接続を防ぐことが可能なBGP経路監視装置を提供することを目的とする。
【解決手段】BGP経路情報を受信する経路情報受信部と、IRRサーバに登録される複数のBGP経路情報を含む第1のデータベースと、受信したBGP経路情報を、第1のデータベースと照合して複数のステートに分類し、分類されたステートに基づいて該BGP経路情報が異常経路であるか否かを判断する異常経路検出部と、を備え、上記複数のステートは、少なくとも、受信したBGP経路情報のPrefixと、第1のデータベースにおけるBGP経路情報のPrefixとが一致し、受信したBGP経路情報のPrefixLengthが、第1のデータベースにおけるBGP経路情報のPrefixLengthより短く、受信したBGP経路情報のOrigin AS番号が第1のデータベースにおけるBGP経路情報のOrigin AS番号と一致する場合、を含むことを特徴とする。
【選択図】図1

Description

本発明は、BGP経路情報の監視装置に関するものであり、詳しくは、Anti−Hijack機能を備えるBGP経路監視装置に関する。
インターネットは、ISP(Internet Service Provider)などによって運用、管理される複数のAS(Autonomous System)と呼ばれるネットワークが接続されて形成される。そして、AS間の信号経路を制御するルータでは、BGP(Border Gateway Protocol)と呼ばれるプロトコルを用いて、経路情報の交換が行なわれ、この交換した経路情報をもとに、所定のネットワーク宛にデータを転送するときの経路が決定される。このようにBGPに基づいて経路情報の交換を行なうルータをBGPルータ、またはBGPスピーカという。非特許文献1には、BGPの具体的な仕様が記載される。
Y. Rekhter, Ed. et al., "A Border Gateway Protocol 4(BGP-4)" January 2006, RFC 4271
BGPルータにおける経路情報(以下、「BGP経路情報」という)は、ASを管理するオペレータによってメンテナンスおよび管理される。従来、ある経路に異常が発生した場合、オペレータは、SNMP(Simple Networking Management Protocol)というIETF(Internet Engineering Task Force)によって定められたプロトコルを用いて、BGPルータから異常に関する情報を取り出してチェックを行なっている。しかしながら、SNMPでは標準で定められたMIB(Management Information Base)による特定の情報しか得られないため、詳細な異常の原因を調査するためには、異常が発生したと考えられ得るルータにアクセスし、一つずつ調べて調査を行なう必要がある。また、オペレータは、ネットワークの経路に異常が発生したことを、Webのユーザからの通知でしか認識することができない。
さらに、BGPでは、複数の属性(パスアトリビュート)を使って、ポリシーベースルーティングと呼ばれる方法で経路の選択が行なわれる。このポリシーベースルーティングでは、オペレータによって各ASのポリシーに基づいた経路の選択が行なわれるため、人為的ミスにより、誤った経路情報等がBGPルータに送られることがある。そして、その結果、ユーザが誤った経路に誘導されたり、パケットの転送先がなく破棄されたり(ブラックホール)することがある。同様の問題は、設定に関する人為的ミスの他に、悪意のあるアタックによっても当然起こり、人為的ミスや悪意のあるアタックによって生じる。このような通信異常は「経路ハイジャック」と呼ばれ、BGPルーティングにおける問題となっている。
そこで、本発明では、障害が発生した原因を解明するために、どの経路において、いつ、どのような理由で障害が発生したのかなどの詳細な情報を取得すること、およびBGP経路情報の監視を行ない、誤った経路情報(経路ハイジャック)を検出して、当該経路への接続を防ぐこと(Anti−Hijack)が可能なBGP監視装置を提供することを目的とする。
上記の課題を解決するため、本発明により、BGP経路情報を受信する経路情報受信部と、IRRサーバに登録される複数のBGP経路情報を含む第1のデータベースと、受信したBGP経路情報を、第1のデータベースと照合して複数のステートに分類し、分類されたステートに基づいて、受信したBGP経路情報が異常経路であるか否かを判断する異常経路検出部と、を備えるBGP経路監視装置が提供される。また、本発明のBGP経路監視装置における複数のステートは、少なくとも、受信したBGP経路情報のPrefixと、第1のデータベースにおけるBGP経路情報のPrefixとが一致し、受信したBGP経路情報のPrefixLengthが、第1のデータベースにおけるBGP経路情報のPrefixLengthより短く、受信したBGP経路情報のOrigin AS番号が第1のデータベースにおけるBGP経路情報のOrigin AS番号と一致する場合、を含むことを特徴とする。
このような構成とすることにより、受信したBGP経路情報が異常経路であるか否かを検出することが可能となる。特に、受信したBGP経路情報が、当該経路情報を少なくするために、アグリゲーションを行なって広い経路情報とされた場合、すなわちIRRサーバに登録されたものに対してPrefixLengthが短い経路情報となった場合についても、個別に分類することができ、異常経路か否かを判断することが可能となる。
また、上記異常経路検出部は、受信したBGP経路情報を8つのステートに分類するものであっても良い。より詳しくは、上記異常経路検出部は、受信したBGP経路情報を、
(1)受信したBGP経路情報のPrefix、PrefixLengthおよびOrigin AS番号が、第1のデータベースにおける経路情報のPrefix、PrefixLengthおよびOrigin AS番号と一致する場合、
(2)受信したBGP経路情報のPrefixと、第1のデータベースにおけるBGP経路情報のPrefixが一致し、受信したBGP経路情報のPrefixLengthが、第1のデータベースにおけるBGP経路情報のPrefixLengthより長く、受信したBGP経路情報のOrigin AS番号が、第1のデータベースにおけるBGP経路情報のOrigin AS番号と一致する場合、
(3)受信したBGP経路情報のPrefixと、第1のデータベースにおけるBGP経路情報のPrefixが一致し、受信したBGP経路情報のPrefixLengthが、第1のデータベースにおけるBGP経路情報のPrefixLengthより短く、受信したBGP経路情報のOrigin AS番号が、第1のデータベースにおけるBGP経路情報のOrigin AS番号と一致する場合、
(4)受信したBGP経路情報のPrefixおよびPlefixLengthと、第1のデータベースにおけるBGP経路情報のPrefixおよびPrefixLengthとがそれぞれ一致し、受信したBGP経路情報のOrigin AS番号が第1のデータベースにおけるBGP経路情報のOrigin AS番号と一致しない場合、
(5)受信したBGP経路情報のPrefixと、第1のデータベースにおけるBGP経路情報のPrefixが一致し、受信したBGP経路情報のPrefixLengthが、第1のデータベースにおけるBGP経路情報のPrefixLengthより長く、受信したBGP経路情報のOrigin AS番号が、第1のデータベースにおけるBGP経路情報のOrigin AS番号と一致しない場合、
(6)受信したBGP経路情報のPrefixと、第1のデータベースにおけるBGP経路情報のPrefixが一致し、受信したBGP経路情報のPrefixLengthが、第1のデータベースにおけるBGP経路情報のPrefixLengthより短く、受信したBGP経路情報のOrigin AS番号が、第1のデータベースにおけるBGP経路情報のOrigin AS番号と一致しない場合、
(7)受信したBGP経路情報のPrefixが、第1のデータベースにおけるBGP経路情報のPrefixと一致しない場合、および
(8)第1のデータベースに問い合わせ中である場合、
の8つのステートのいずれかに分類する構成としても良い。このように構成することで、ネットワーク上の想定し得る全ての経路および状態に対して、適切な判断を行なうことが可能となる。
また、上記BGP経路監視装置は、異常経路検出部の判断結果に基づき、BGP経路情報のフィルタリングを行なう、フィルタリング部をさらに備える構成としても良い。さらに、フィルタリング部は、(1)経路情報受信部において、BGP経路情報を受信した時点、(2)BGP経路情報を、ネットワーク上のBGPルータへ配信する時点、または(3)BGP経路情報を含む複数の経路情報からベストパスを選択する時点、のいずれかにおいてフィルタリングを行なうものであっても良い。このように構成することで、オペレータの操作を必要とせずに、異常経路と判断された場合には該経路情報を自動的に廃棄することができる。それによりユーザが誤った経路に誘導されたり、パケットの転送先がなく破棄されたりすることを防ぐことができる。
また、上記BGP経路監視装置は、第1のデータベースを、定期的に、またはオペレータの指示によって更新する、データベース更新部をさらに含む構成としても良い。
また、上記BGP経路監視装置は、経路情報受信部で受信したBGP経路情報を記憶する第2のデータベースと、所定のタイミングで、第2のデータベースのバックアップを保存するバックアップ処理部と、をさらに備える構成としても良い。また、バックアップ処理部は、第2のデータベースが記憶されるメモリのスナップショットイメージをハードディスクに保存するものであっても良い。このように構成することで、障害が発生した時点の(すなわち過去の)BGP経路情報を取り出すことができ、障害時の状況を容易に把握することが可能となる。また、メモリのスナップショットイメージを保存することで、第2のデータベースにおけるBGP経路情報の全てのデータが保存されるため、これらのデータに基づいて、より詳細に障害発生の原因を調査することが可能となる。さらに、第2のデータベースに障害が発生した場合にも、当該スナップショットイメージを用いて容易に復元することが可能となる。
また、上記フィルタリング部は、さらに、各ステートに応じて設定される種々のアクションを行なうものであっても良い。さらに、当該アクションには、Prefixの指定によるフィルタリング、またはBGP経路情報の変更が含まれても良い。このように構成することで、各ASにおいて、任意に所望のフィルタリングを行なうことが可能となる。
また、上記異常経路検出部は、第2のデータベースに含まれるBGP経路情報の全てに対して、異常経路か否かについて判断を行なう構成としても良い。このように構成することにより、IRRサーバへの経路情報の登録のタイミング等により、誤って異常経路と判断されてしまった経路についても再評価を行なうことが可能となる。
また、本発明により、BGP経路情報を受信するステップと、受信したBGP経路情報を、IRRサーバに登録される複数のBGP経路情報を含む第1のデータベースと照合して複数のステートに分類し、分類されたステートに基づいて、受信したBGP経路情報が異常経路であるか否かを判断するステップと、を含むBGP経路監視方法、および該方法をコンピュータに実施させるためのプログラムが提供される。また、これらにおける複数のステートは、少なくとも、受信したBGP経路情報のPrefixと、第1のデータベースにおけるBGP経路情報のPrefixとが一致し、受信したBGP経路情報のPrefixLengthが、第1のデータベースにおけるBGP経路情報のPrefixLengthより短く、受信したBGP経路情報のOrigin AS番号が第1のデータベースにおけるBGP経路情報のOrigin AS番号と一致する場合、を含むことを特徴とする。
上記のように、本発明によりBGP経路情報の監視を行ない、誤った経路情報(経路ハイジャック)を検出して、当該経路への接続を防ぐこと(Anti−Hijack)、および障害が発生した原因を解明するために、どの経路において、いつ、どのような理由で障害が発生したのかなどの詳細な情報を取得することが可能となる。
本発明の実施形態におけるBGP経路監視システムの基本構成を示す図である。 本発明の実施形態におけるBGPルータの概略構成を示すブロック図である。 本発明の実施形態におけるBGP経路監視処理の流れを示すフローチャートである。 本発明の実施形態における異常経路検出処理の流れを示すフローチャートである。
以下、図面を参照しながら本発明の実施形態に係るBGP経路監視システムについて説明する。
図1は、本発明の実施形態におけるBGP経路監視システム1の基本構成を示す図である。本実施形態のBGP経路監視システム1は、自ASであるAS1000、外部ASであるAS2000、およびIRR(Internet Routing Registry)サーバ300から構成される。AS1000は、複数のBGPルータ10、20、30、40を備える。各BGPルータは、AS1000と外部AS(例えばAS2000)とを接続する機能を有するネットワーク接続装置である。また、各BGPルータは、外部ASのBGPルータ(例えばBGPルータ10A)と、e−BGP(external BGP)のセッションにてBGPピアを形成し、BGP経路情報の交換を行なう。
また、BGPルータ10は、i−BGP(internal BGP)のセッションにて各BGPルータ20、30、40とBGPピアを形成してBGP経路情報の交換を行なうことにより、各BGPルータ20、30、40からのBGP経路情報を集約して、各BGPルータに反映させるためのルートリフレクタ機能を備えている(以下、BGPルータ10を「RR(Route Reflector)10」という)。尚、RR10として、同様のルートリフレクタ機能を備えたRS(Route Server)を用いることも可能である。本実施形態では、このRR10において、後述するバックアップ処理およびAnti−Hijack処理を行なうことにより、BGP経路情報の監視および異常経路の排除を行なう。
図2は、本実施形態におけるRR10の概略構成を示すブロック図である。図2に示すように、RR10は、経路情報データベース102、バックアップ処理部103、バックアップ用ハードディスク104、IRRデータベース105、IRRデータベース更新部106、異常経路検出部107およびフィルタリング部108からなるAnti−Hijack処理部110、ネットワークインターフェース109、および各部を制御するための制御部101を備える。尚、図2に示されるRR10における各部の処理は、RR10が備えるROMなどのメモリ(不図示)に記憶されたプログラムを呼び出すことにより、同じくRR10が備えるCPU(不図示)にて実行される構成であっても良いし、ASIC(Application Specific Integrated Circuit)として各部の処理の全部または一部を実装し、該ASICによってハードウェア的に実現される構成としても良い。
RR10は、各BGPルータから送信されるBGP経路情報を、ネットワークインターフェース109を介して受信し、経路情報データベース102に登録する。そして、各BGPルータに当該経路情報を配信する。これにより、各BGPルータにてフルメッシュでBGPピアを形成することなく、BGP経路情報の交換が可能となる。そして、ネットワークのオペレータは、このRR10の経路情報データベース102を参照することにより、BGP経路監視システム1のネットワークにおける現在のBGP経路情報を把握することができる。
また、本実施形態では、RR10のバックアップ処理部103において、現在のBGP経路情報だけでなく、過去のBGP経路情報が保存される。詳しくは、バックアップ処理部103では、経路情報データベース102に登録されているデータを、定期的にバックアップ用ハードディスク104に保存する。尚、この保存は、オペレータの操作に応じて任意のタイミングで行なうことや、経路情報データベース102に登録される情報が変更/更新された際に行なうことも可能である。
さらに、一般的に過去のデータをバックアップする際には、当該データをテキストデータに変換して保存することが知られている。しかしながら、テキストデータに変換して保存した場合、当該テキストデータに基づいて解析を行なうためには、再度テキストデータを元のデータに変換するために大変な手間と時間がかかってしまう。また、当該データはメモリ上で分散して配置されている場合があるため必要な情報が保存されないこともある。そこで、本実施形態のバックアップ処理部103では、RR10のメモリ(RAM)に展開されている経路情報データベース102のスナップショットイメージを、バイナリデータとしてバックアップ用ハードディスク104に保存する構成となっている。このように構成することで、例えば、オペレータが一日前の経路情報を確認したい場合には、バックアップ用ハードディスク104から一日前の経路情報データベース102のバイナリデータを、再度メモリに読み出して展開することにより、迅速に経路情報データベース102を一日前の状態に戻すことが可能となる。
また、メモリのイメージをそのまま保存することにより、過去の経路情報データベース102における全てのデータを保存することができる。そのため、オペレータが必要な情報を取り出したり、検索を行なったりすることで、どの経路において、いつ、どのような理由で障害が発生したのかを容易に把握することが可能となる。さらに、経路情報データベース102が何らかの理由によりクラッシュした時でも、過去のメモリイメージを読み出すことにより、迅速に経路情報データベース102を復帰させることができ、周囲のルータに気付かれることなく、機能を継続させることも可能となる。
また、本実施形態のAnti−Hijack処理部110では、異常経路検出部107においてBGP経路情報を監視して経路に障害が発生したか(経路ハイジャックが発生したか)否かが検出され、障害が発生した場合には、フィルタリング部108により当該経路のフィルタリングが行なわれる。一般的に、経路ハイジャックの判断は、BGP経路情報を受信した際に、IRRサーバ300のIRRデータベース(不図示)に登録されているBGP経路情報と、受信したBGP経路情報とを照合することによって行なわれる。具体的には、受信したBGP経路情報のPrefix、PrefixLength、およびorigin属性に記述されたOrigin AS番号と、IRRサーバ300のIRRデータベースに登録されているPrefix、PrefixLength、およびOrigin AS番号とを照合し、照合結果に基づいて経路ハイジャックの判断が行なわれている。
ここで、IRRサーバ300のIRRデータベースは、経路情報とその管理者(Origin AS番号)に関する情報が蓄積されたデータベースであり、インターネットを介して一般に公開されている。しかしながら、インターネット上のIRRサーバ300への問い合わせには制限があり、全ての経路を問い合わせる場合には、長時間かかってしまうといった問題がある。そのため、本実施形態では、RR10にIRRサーバ300で公開されるIRRデータベースのデータをコピーしたローカルのIRRデータベース105を備え、受信したBGP経路情報とIRRデータベース105におけるBGP経路情報とを内部的に照合する構成となっている。このように、RR10内部で照合を行なうことにより、回数の制限なく全経路に対して迅速に照合が行なえると共に、ネットワークに送るトラフィックを削減することが可能となる。また、このIRRデータベース105は、IRRデータベース更新部106によって、定期的にIRRサーバ300とデータの同期をとることにより、データの更新が行なわれる。さらに、本発実施形態では、IRRデータベース105から一度取得したエントリは一定時間キャッシュとして保持しておくことも可能である。この場合、受信したBGP経路情報をチェックする際には、まずキャッシュに保持しているエントリをチェックし、キャッシュにない場合のみIRRデータベース105に問い合わせを行う。また、本実施形態では、IRRデータベース105からの返答を待たずに、通常のBGP処理を行なってから、IRRデータベース105からの返答を得た時点で当該経路のチェックを行なう構成としても良い。
また、受信したBGP経路情報とIRRデータベース105のBGP経路情報とを照合した場合、両者が(1)一致する場合、(2)不一致の場合、または(3)問い合わせ中の場合の3つのステートのいずれかが考えられる。そして、従来のAnti−Hijack処理においては、両者の経路情報が(2)不一致の場合は、経路ハイジャックが検出されたとの判断を行なっていた。しかしながら、実際には、プロバイダへのマルチホーム接続等の影響により、正当な経路情報に対して、より詳細な経路情報(PrefixLengthが長い経路情報)として経路を通知する場合や、経路情報を少なくするために、アグリゲーションを行なって広い経路情報(PrefixLengthが短い経路情報)として経路を通知する場合などがある。この場合、適切な経路であってもIRRデータベース105に登録されている情報と、受信したBGP経路情報に含まれる情報とが完全には一致しなくなってしまう。すなわち、従来の3ステートの分類では、経路がハイジャックされたか否かについて適切に判断することができない。そのため、本実施形態のAnti−Hijack処理部110では、受信したBGP経路情報とIRRデータベース105のBGP経路情報の照合結果を8ステートに分類することにより、考え得る全てのケースにおいて適切なハイジャック判断を行ない、分類されたステートに応じて、BGP経路情報のフィルタ、パスなどのアクションを行なう。
続いて、RR10におけるBGP経路監視処理の流れについて、図3を参照して説明する。まず、最初に、制御部101にて所定時間が経過したか否かが判断される(S101)。ここでいう所定時間とは、経路情報データベース102のバックアップ周期、およびIRRデータベース105の更新周期であり、オペレータにより任意に設定される。そして、所定の時間が経過したと判断された場合には(S101:Yes)、まず、バックアップ処理部103において、上記のような経路情報データベース102のバックアップ処理が行なわれる(S102)。続いて、IRRデータベース更新部106によって、IRRサーバ300とのデータの同期が行われ、IRRデータベース105が更新される(S103)。ここで、経路情報データベース102のバックアップとIRRデータベース105の更新は、別々のタイミングで行なわれるものであっても良い。
一方、所定の時間が経過していない場合には(S101:No)、S104のステップに進む。S104では、何れかのBGPルータからBGP経路情報を受信したか否かが判断される(S104)。そして、BGP経路情報を受信していない場合には(S104:No)、S101の処理に戻り、再度所定の時間が経過したかが判断される。一方、BGP経路情報を受信した場合は(S104:Yes)、Anti−Hijack処理部110におけるAnti−Hijack処理(S105およびS106)が行なわれる。まず、S105では、受信したBGP経路情報が異常経路であるか否かを判断するための異常経路検出処理が行なわれる。図4は、本実施形態の異常経路検出処理の流れを示すフローチャートである。本実施形態では、異常経路検出部107にて、受信したBGP経路情報とIRRデータベース105に登録されているBGP経路情報との照合結果が下記8つのステートに分類される。
1:Exact Match
2:More Specific
3:Less Specific
4:Multiple Origin(Hijacking)
5:Punching Hole(Hijacking)
6:Miss Config(Hijacking)
7:Hijacking
8:Pending
具体的には、まず受信したBGP経路情報のPrefixおよびPrefixLengthに基づいて、IRRデータベース105のexact検索が行なわれる(S1)。exact検索では、受信したBGP経路情報におけるPrefixおよびPrefixLengthの両方が完全に一致するものがIRRデータベース105にあるかどうかを検索する。例えば、受信したBGP経路情報のPrefix/PrefixLengthが「1.1.0.0/16」の場合、IRRデータベース105にてPrefix/PrefixLengthが「1.1.1.0/16」のBGP経路情報がある場合のみ、exact検索がヒットしたと判断される。そして、exact検索がヒットした場合は(S1:Yes)、続いて当該BGP経路情報のOrigin AS番号と、IRRデータベース105におけるOrigin AS番号とが一致するか否かが判断される(S2)。そして、Origin AS番号が一致する場合は(S2:Yes)、当該BGP経路情報は「Exact Match」ステートであると判断される(S3)。一方、Origin AS番号が一致しない場合は(S2:No)、「Multiple Origin (Hijacking)」ステートであると判断される(S4)。
また、S1にてexact検索を行なってヒットしなかった場合は(S1:No)、best検索が行なわれる(S5)。best検索では、受信したBGP経路情報とPrefixが一致し、PrefixLengthが短いものがIRRデータベース105にあるかどうかが検索される。例えば、BGP経路情報のPrefix/PrefixLengthが「1.1.0.0/24」の場合、IRRデータベース105にて「1.1.1.0/24」よりPrefixLengthが短いもの(例えば「1.1.0.0/16」)がある場合のみ、best検索がヒットしたと判断される。そして、best検索がヒットした場合は(S5:Yes)、続いて当該BGP経路情報のOrigin AS番号と、IRRデータベース105におけるOrigin AS番号とが一致するか否かが判断される(S6)。そして、Origin AS番号が一致する場合は(S6:Yes)、当該経路は「More Specific」ステートであると判断される(S7)。一方、Origin AS番号が一致しない場合は(S6:No)、「Punching Hole (Hijacking)」ステートであると判断される(S8)。
さらに、S5におけるbest検索を行なってヒットしなかった場合は(S5:No)、best検索を用いて、受信したBGP経路情報とPrefixが一致し、PrefixLengthが長いものがIRRデータベース105にあるかどうかを検索する。ここにおけるbest検索では、Prefixが一致し、PrefixLengthが短いものしか検索することができない。そのため、S9において、受信したBGP経路情報のPrefixLengthを最大値へと変更した上で、再度best検索が行なわれる(S10)。例えば、受信したBGP経路情報のPrefix/PrefixLengthが「1.1.0.0/16」の場合、当該PrefixLengthが「1.1.1.0/32」に変更された上で、IRRデータベース105にて「1.1.1.0/32」よりPrefixLengthが短いもの(例えば「1.1.0.0/24」など)がある場合のみ、best検索がヒットしたと判断される。このように、S10では、受信したBGP経路情報のPrefixLengthに関係なく、Prefixが一致するものについての検索が行なわれるが、受信したBGP経路情報よりPrefixLengthが短いものについては、S5のbest検索にてヒットされており、S10の処理は行なわれない。そのため、実際には、S10では、受信したBGP経路情報よりPrefixLengthが長いもののみが検索される。尚、本発明は、IPv4およびIPv6の何れのプロトコルにおいても適用可能であり、IPv6の場合には、S9にて当該受信されたBGP経路情報のPrefixLengthが「1.1.1.0/128」に変更された上で、IRRデータベース105にて「1.1.1.0/128」よりPrefixLengthが短いものがbest検索される。そして、best検索がヒットした場合は(S10:Yes)、続いて当該BGP経路情報のOrigin AS番号と、IRRデータベース105におけるOrigin AS番号とが一致するか否かが判断される(S11)。そして、Origin AS番号が一致する場合は(S11:Yes)、当該経路は「Less Specific」ステートであると判断される(S12)。一方、Origin AS番号が一致しない場合は(S11:No)、当該経路は「Hijacking」ステートであると判断される(S13)。
また、S10におけるbest検索を行なってもヒットしなかった場合は(S10:No)、IRRデータベース105に問い合わせ中であるか否かが判断される(S14)。そして、IRRデータベース105に問い合わせ中の場合は(S14:Yes)、「Pending」ステートであると判断される(S15)。一方、問い合わせ中でない場合は(S14:No)、当該経路は「Miss Config(Hijacking)」ステートであると判断される(S16)。
表1は、図2の処理における各ステートの分類をまとめた表である。
Figure 2011087302
そして、図4における異常経路検出処理が終了すると、再び、図3のBGP経路監視処理に戻る。そして、続くS106にて異常経路の検出結果に基づき、フィルタリング部108によるBGP経路情報のフィルタリングが行なわれる。本実施形態のフィルタリング部108では、分類した8ステートにそれぞれ所定のアクションを設定し、異常経路のフィルタリングを行なうことが可能である。例えば、上記8ステートにおいて、「Exact Match」、「More Specific」、「Less Specific」、「Pending」の場合は当該BGP経路情報をパス(許可)し(経路情報データベース102に登録することを許可し)、「Multiple Origin(Hijacking)」、「Punching Hole(Hijacking)」、「Hijacking」および「Miss Config(Hijacking)」の場合は当該経路情報をフィルタする(排除する)(経路情報データベース102への登録を行わない、登録を保留する)よう設定することが可能である。また、その他にも「Multiple Origin(Hijacking)」、および「Punching Hole(Hijacking)」の場合にも当該BGP経路情報をパスさせたり、各ステートのアクションに対して優先順位を設定したりすることも可能である。
本実施形態では、上記のようにBGPルータであるRR10にて、受信したBGP経路情報が異常経路か否かを判断し、異常経路に対してフィルタリングを行なうことにより、オペレータによる操作を必要とせずに、異常経路の排除を行なうことができる。また、経路情報を8つのステートに分類することで、ネットワーク上の想定し得る全ての経路に対して、適切なフィルタリングを行なうことが可能となり、異常経路を正常な経路情報として配信してしまうことはもちろん、本来は正常な経路が異常経路として排除されてしまうことを防ぐことができる。さらに、各ステートに応じたアクションを設定することで、各ASのポリシーに沿った自由度の高いフィルタリングを行なうことが可能となる。
以上が本発明の例示的な実施形態の説明である。本発明の実施形態の具体的態様は、上記に説明したものに限定されず、特許請求の範囲の記載により表現された技術的思想の範囲内で任意に変更することができる。以下に、そのような変更の例を幾つか提示する。
まず、上記実施形態では、BGP経路情報を受信した時点でフィルタリングを行なう構成としたが、フィルタリングのタイミングとしては、下記3つのタイミングがあり、オペレータによって任意に選択することも可能である。
・Inbound:BGP経路情報がRR10に入ってきた時点でフィルタリングする。
・Outbound:受信したBGP経路情報を各BGPルータ20、30、40に配信する時点でフィルタリングする。
・Best Path Selection:複数の経路からベストパスを選択する時点でフィルタリングする。
さらに、InboundおよびOutboundの場合には、各ステートに設定するアクションとして、フィルタ/パスの他に、Prefixの指定や、各種BGP情報の設定および変更を行なうことも可能である。具体的には、例えばあるPrefixについて、特に経路ハイジャックの確認を行ないたい場合には、Prefixの指定を行なって、当該Prefixに対してのみ上記Anti−Hijack処理を行なうようにすることも可能である。また、BGPピアの指定を行なうことによって、例えばプライベートピアの場合はAnti−Hijack処理を不要とするなどの設定を行なうこともできる。さらに、BGP経路情報に含まれるLOCAL_PREF属性などの属性を書き換えることにより、経路情報として受信することは可能だが、ベストパスとしては選択されないよう構成することもできる。このように、種々のアクションを設定可能として、必要な経路情報についてのみAnti−Hijack処理を行なうことで、処理の高速化が可能となる。
また、通常、新しいIPアドレスがIRRサーバ300に登録されるまでには、種々の手続きにより時間がかかる。そのため、当該IPアドレスに関するBGP経路情報が送られた時に、IRRサーバ300のIRRデータベースには、当該経路情報が未だ登録されていないことがある。このようなタイミングでIRRデータベース105が更新された場合、上記実施形態におけるAnti−Hijack処理を行なうと、当該経路は異常経路(Hijacking)と判断され、フィルタされてしまう。さらに、BGPは、ハードステートプロトコルであるため、経路情報が変更されない限り、再度同じ経路情報が送信されることはない。そのため、一旦RR10にて新しいBGP経路情報が異常経路としてフィルタされてしまうと、当該BGP経路情報が、IRRサーバ300に登録された後でも、フィルタされ続けてしまう。そこで、例えば、定期的に、またはIRRデータベース105が更新された時点で、経路情報データベース102に登録されている全BGP経路情報に対してIRRデータベース105に基づくAnti−Hijack処理を行ない、各経路における状態の再評価を行なうことも有効である。
また、いずれかのBGP経路情報の状態が変化したことをログに記録し、オペレータへ通知することも可能である。これにより、オペレータは、経路に異常が発生したことを迅速に認識することができる。
その他にも、例えば、上述のRR10におけるバックアップ処理および異常経路検出処理を、BGPルータを遠隔操作するために接続された端末装置(PC等)において実行することも可能である。この場合は、当該端末装置に、BGPのパッシブスピーカとしての機能を備えることにより、RR10における経路情報を取得する。さらに、図2に示されるRR10におけるフィルタリング部108以外の各処理部を備え、バックアップ処理および異常経路検出処理を行なうことも可能である。また、この場合、異常経路検出部107によって異常経路が検出された場合は、当該異常経路についてオペレータに通知すること、および/または、分類された8ステートに基づいて各種アクション(フィルタリング)を行なうようRR10の遠隔操作を行なうことが可能である。このように、構成することにより、RR10における処理の負荷を軽減すること、および既存のBGPルータをそのまま利用して、上述の機能を実現することが可能となる。
10 RR
20、30、40 BGPルータ
101 制御部
102 経路情報データベース
103 バックアップ処理部
104 バックアップ用HDD
105 IRRデータベース
106 IRRデータベース更新部
107 異常経路検出部
108 フィルタリング部
109 ネットワークインターフェース
110 Anti−Hijack処理部
300 IRRサーバ
1000、2000 AS

Claims (13)

  1. BGP経路情報を受信する経路情報受信部と、
    IRRサーバに登録される複数のBGP経路情報を含む第1のデータベースと、
    前記受信したBGP経路情報を、前記第1のデータベースと照合して複数のステートに分類し、分類されたステートに基づいて、前記受信したBGP経路情報が異常経路であるか否かを判断する異常経路検出部と、を備え、
    前記複数のステートは、少なくとも、前記受信したBGP経路情報のPrefixと、前記第1のデータベースにおけるBGP経路情報のPrefixとが一致し、前記受信したBGP経路情報のPrefixLengthが、前記第1のデータベースにおけるBGP経路情報のPrefixLengthより短く、前記受信したBGP経路情報のOrigin AS番号が前記第1のデータベースにおけるBGP経路情報のOrigin AS番号と一致する場合、を含むことを特徴とする、BGP経路監視装置。
  2. 前記異常経路検出部は、前記受信したBGP経路情報を8つのステートに分類することを特徴とする、請求項1に記載のBGP経路監視装置。
  3. 前記異常経路検出部の判断結果に基づき、前記BGP経路情報のフィルタリングを行なう、フィルタリング部をさらに備えることを特徴とする、請求項1または2に記載のBGP経路監視装置。
  4. 前記第1のデータベースを、定期的に、またはオペレータの指示によって更新する、データベース更新部をさらに含むことを特徴とする、請求項1から3のいずれか一項に記載のBGP経路監視装置。
  5. 前記経路情報受信部で受信したBGP経路情報を記憶する第2のデータベースと、
    所定のタイミングで、前記第2のデータベースのバックアップを保存するバックアップ処理部と、をさらに備えることを特徴とする、請求項1から4のいずれか一項に記載のBGP経路監視装置。
  6. 前記バックアップ処理部は、前記第2のデータベースが記憶されるメモリのスナップショットイメージをハードディスクに保存することを特徴とする、請求項5に記載のBGP経路監視装置。
  7. 前記フィルタリング部は、(1)前記経路情報受信部において、前記BGP経路情報を受信した時点、(2)前記BGP経路情報を、ネットワーク上のBGPルータへ配信する時点、または(3)前記BGP経路情報を含む複数の経路情報からベストパスを選択する時点、のいずれかにおいてフィルタリングを行なうことを特徴とする、請求項3から6のいずれか一項に記載のBGP経路監視装置。
  8. 前記異常経路検出部は、前記受信したBGP経路情報を、
    (1)受信したBGP経路情報のPrefix、PrefixLengthおよびOrigin AS番号が、前記第1のデータベースにおける経路情報のPrefix、PrefixLengthおよびOrigin AS番号と一致する場合、
    (2)受信したBGP経路情報のPrefixと、前記第1のデータベースにおけるBGP経路情報のPrefixが一致し、受信したBGP経路情報のPrefixLengthが、前記第1のデータベースにおけるBGP経路情報のPrefixLengthより長く、受信したBGP経路情報のOrigin AS番号が、前記第1のデータベースにおけるBGP経路情報のOrigin AS番号と一致する場合、
    (3)受信したBGP経路情報のPrefixと、前記第1のデータベースにおけるBGP経路情報のPrefixが一致し、受信したBGP経路情報のPrefixLengthが、前記第1のデータベースにおけるBGP経路情報のPrefixLengthより短く、受信したBGP経路情報のOrigin AS番号が、前記第1のデータベースにおけるBGP経路情報のOrigin AS番号と一致する場合、
    (4)受信したBGP経路情報のPrefixおよびPlefixLengthと、前記第1のデータベースにおけるBGP経路情報のPrefixおよびPrefixLengthとがそれぞれ一致し、受信したBGP経路情報のOrigin AS番号が前記第1のデータベースにおけるBGP経路情報のOrigin AS番号と一致しない場合、
    (5)受信したBGP経路情報のPrefixと、前記第1のデータベースにおけるBGP経路情報のPrefixが一致し、受信したBGP経路情報のPrefixLengthが、前記第1のデータベースにおけるBGP経路情報のPrefixLengthより長く、受信したBGP経路情報のOrigin AS番号が、前記第1のデータベースにおけるBGP経路情報のOrigin AS番号と一致しない場合、
    (6)受信したBGP経路情報のPrefixと、前記第1のデータベースにおけるBGP経路情報のPrefixが一致し、受信したBGP経路情報のPrefixLengthが、前記第1のデータベースにおけるBGP経路情報のPrefixLengthより短く、受信したBGP経路情報のOrigin AS番号が、前記第1のデータベースにおけるBGP経路情報のOrigin AS番号と一致しない場合、
    (7)受信したBGP経路情報のPrefixが、前記第1のデータベースにおけるBGP経路情報のPrefixと一致しない場合、および
    (8)前記第1のデータベースに問い合わせ中である場合、
    のステートのいずれかに分類することを特徴とする、請求項1から7のいずれか一項に記載のBGP経路監視装置。
  9. 前記フィルタリング部は、さらに、前記各ステートに応じて設定される種々のアクションを行なうものであることを特徴とする、請求項3から8のいずれか一項に記載のBGP経路監視装置。
  10. 前記アクションには、Prefixの指定によるフィルタリング、またはBGP経路情報の変更が含まれることを特徴とする、請求項9に記載のBGP経路監視装置。
  11. 前記異常経路検出部は、前記第2のデータベースに含まれるBGP経路情報の全てに対して、異常経路か否かについて判断を行なうことを特徴とする、請求項5から10のいずれか一項に記載のBGP経路監視装置。
  12. BGP経路情報を受信するステップと、
    前記受信したBGP経路情報を、IRRサーバに登録される複数のBGP経路情報を含む第1のデータベースと照合して複数のステートに分類し、分類されたステートに基づいて、前記受信したBGP経路情報が異常経路であるか否かを判断するステップと、を含み、
    前記複数のステートは、少なくとも、前記受信したBGP経路情報のPrefixと、前記第1のデータベースにおけるBGP経路情報のPrefixとが一致し、前記受信したBGP経路情報のPrefixLengthが、前記第1のデータベースにおけるBGP経路情報のPrefixLengthより短く、前記受信したBGP経路情報のOrigin AS番号が前記第1のデータベースにおけるBGP経路情報のOrigin AS番号と一致する場合、を含むことを特徴とする、BGP経路監視方法。
  13. 請求項12に記載されるBGP経路監視方法をコンピュータに実行させるためのプログラム。
JP2010233010A 2009-10-19 2010-10-15 Bgp経路監視装置、bgp経路監視方法、およびプログラム Pending JP2011087302A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US25295209P 2009-10-19 2009-10-19

Publications (1)

Publication Number Publication Date
JP2011087302A true JP2011087302A (ja) 2011-04-28

Family

ID=43880146

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010233010A Pending JP2011087302A (ja) 2009-10-19 2010-10-15 Bgp経路監視装置、bgp経路監視方法、およびプログラム

Country Status (2)

Country Link
US (1) US20110093612A1 (ja)
JP (1) JP2011087302A (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015195422A (ja) * 2014-03-31 2015-11-05 株式会社日立製作所 通信システム、通信制御方法および制御装置
JP5916164B1 (ja) * 2014-12-09 2016-05-11 ソフトバンク株式会社 経路制御装置及びプログラム
JP2016149634A (ja) * 2015-02-12 2016-08-18 日本電信電話株式会社 ルートリフレクタおよびルートリフレクタの経路制御方法
US11012470B2 (en) 2018-05-08 2021-05-18 Charter Communications Operating, Llc Reducing the impact of border gateway protocol (BGP) hijacks
JP2022511665A (ja) * 2018-11-02 2022-02-01 華為技術有限公司 ルート処理方法およびネットワークデバイス

Families Citing this family (71)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103414729B (zh) * 2013-08-29 2016-08-10 中国科学院计算技术研究所 一种路由攻击的检测系统和方法
US9553803B2 (en) 2014-06-30 2017-01-24 Nicira, Inc. Periodical generation of network measurement data
US9781004B2 (en) 2014-10-16 2017-10-03 Cisco Technology, Inc. Discovering and grouping application endpoints in a network environment
US10284595B2 (en) * 2015-05-08 2019-05-07 Citrix Systems, Inc. Combining internet routing information with access logs to assess risk of user exposure
CN105429874A (zh) * 2015-10-29 2016-03-23 中国科学院计算技术研究所 一种针对is-is网络的路由信息采集方法、系统、装置、设备
CN112134725A (zh) * 2016-06-16 2020-12-25 华为技术有限公司 一种路径确定方法、装置和系统
US10623264B2 (en) 2017-04-20 2020-04-14 Cisco Technology, Inc. Policy assurance for service chaining
US10826788B2 (en) 2017-04-20 2020-11-03 Cisco Technology, Inc. Assurance of quality-of-service configurations in a network
US10560328B2 (en) 2017-04-20 2020-02-11 Cisco Technology, Inc. Static network policy analysis for networks
US10505816B2 (en) 2017-05-31 2019-12-10 Cisco Technology, Inc. Semantic analysis to detect shadowing of rules in a model of network intents
US10812318B2 (en) 2017-05-31 2020-10-20 Cisco Technology, Inc. Associating network policy objects with specific faults corresponding to fault localizations in large-scale network deployment
US10623271B2 (en) 2017-05-31 2020-04-14 Cisco Technology, Inc. Intra-priority class ordering of rules corresponding to a model of network intents
US10581694B2 (en) 2017-05-31 2020-03-03 Cisco Technology, Inc. Generation of counter examples for network intent formal equivalence failures
US20180351788A1 (en) 2017-05-31 2018-12-06 Cisco Technology, Inc. Fault localization in large-scale network policy deployment
US10693738B2 (en) 2017-05-31 2020-06-23 Cisco Technology, Inc. Generating device-level logical models for a network
US10439875B2 (en) 2017-05-31 2019-10-08 Cisco Technology, Inc. Identification of conflict rules in a network intent formal equivalence failure
US10554483B2 (en) 2017-05-31 2020-02-04 Cisco Technology, Inc. Network policy analysis for networks
US10904101B2 (en) 2017-06-16 2021-01-26 Cisco Technology, Inc. Shim layer for extracting and prioritizing underlying rules for modeling network intents
US10587621B2 (en) 2017-06-16 2020-03-10 Cisco Technology, Inc. System and method for migrating to and maintaining a white-list network security model
US11469986B2 (en) 2017-06-16 2022-10-11 Cisco Technology, Inc. Controlled micro fault injection on a distributed appliance
US11645131B2 (en) 2017-06-16 2023-05-09 Cisco Technology, Inc. Distributed fault code aggregation across application centric dimensions
US10498608B2 (en) 2017-06-16 2019-12-03 Cisco Technology, Inc. Topology explorer
US11150973B2 (en) 2017-06-16 2021-10-19 Cisco Technology, Inc. Self diagnosing distributed appliance
US10686669B2 (en) 2017-06-16 2020-06-16 Cisco Technology, Inc. Collecting network models and node information from a network
US10574513B2 (en) 2017-06-16 2020-02-25 Cisco Technology, Inc. Handling controller and node failure scenarios during data collection
US10547715B2 (en) 2017-06-16 2020-01-28 Cisco Technology, Inc. Event generation in response to network intent formal equivalence failures
US10505817B2 (en) 2017-06-19 2019-12-10 Cisco Technology, Inc. Automatically determining an optimal amount of time for analyzing a distributed network environment
US10812336B2 (en) 2017-06-19 2020-10-20 Cisco Technology, Inc. Validation of bridge domain-L3out association for communication outside a network
US10536337B2 (en) 2017-06-19 2020-01-14 Cisco Technology, Inc. Validation of layer 2 interface and VLAN in a networked environment
US10560355B2 (en) 2017-06-19 2020-02-11 Cisco Technology, Inc. Static endpoint validation
US10567229B2 (en) 2017-06-19 2020-02-18 Cisco Technology, Inc. Validating endpoint configurations between nodes
US10218572B2 (en) 2017-06-19 2019-02-26 Cisco Technology, Inc. Multiprotocol border gateway protocol routing validation
US11283680B2 (en) 2017-06-19 2022-03-22 Cisco Technology, Inc. Identifying components for removal in a network configuration
US10437641B2 (en) 2017-06-19 2019-10-08 Cisco Technology, Inc. On-demand processing pipeline interleaved with temporal processing pipeline
US10644946B2 (en) 2017-06-19 2020-05-05 Cisco Technology, Inc. Detection of overlapping subnets in a network
US10700933B2 (en) 2017-06-19 2020-06-30 Cisco Technology, Inc. Validating tunnel endpoint addresses in a network fabric
US10348564B2 (en) 2017-06-19 2019-07-09 Cisco Technology, Inc. Validation of routing information base-forwarding information base equivalence in a network
US10652102B2 (en) 2017-06-19 2020-05-12 Cisco Technology, Inc. Network node memory utilization analysis
US10341184B2 (en) 2017-06-19 2019-07-02 Cisco Technology, Inc. Validation of layer 3 bridge domain subnets in in a network
US10411996B2 (en) 2017-06-19 2019-09-10 Cisco Technology, Inc. Validation of routing information in a network fabric
US11343150B2 (en) 2017-06-19 2022-05-24 Cisco Technology, Inc. Validation of learned routes in a network
US10547509B2 (en) 2017-06-19 2020-01-28 Cisco Technology, Inc. Validation of a virtual port channel (VPC) endpoint in the network fabric
US10432467B2 (en) 2017-06-19 2019-10-01 Cisco Technology, Inc. Network validation between the logical level and the hardware level of a network
US10567228B2 (en) 2017-06-19 2020-02-18 Cisco Technology, Inc. Validation of cross logical groups in a network
US10333787B2 (en) 2017-06-19 2019-06-25 Cisco Technology, Inc. Validation of L3OUT configuration for communications outside a network
US10554493B2 (en) 2017-06-19 2020-02-04 Cisco Technology, Inc. Identifying mismatches between a logical model and node implementation
US10805160B2 (en) 2017-06-19 2020-10-13 Cisco Technology, Inc. Endpoint bridge domain subnet validation
US10528444B2 (en) 2017-06-19 2020-01-07 Cisco Technology, Inc. Event generation in response to validation between logical level and hardware level
US10623259B2 (en) 2017-06-19 2020-04-14 Cisco Technology, Inc. Validation of layer 1 interface in a network
US10673702B2 (en) 2017-06-19 2020-06-02 Cisco Technology, Inc. Validation of layer 3 using virtual routing forwarding containers in a network
US10587484B2 (en) 2017-09-12 2020-03-10 Cisco Technology, Inc. Anomaly detection and reporting in a network assurance appliance
US10587456B2 (en) 2017-09-12 2020-03-10 Cisco Technology, Inc. Event clustering for a network assurance platform
US10554477B2 (en) 2017-09-13 2020-02-04 Cisco Technology, Inc. Network assurance event aggregator
US10333833B2 (en) 2017-09-25 2019-06-25 Cisco Technology, Inc. Endpoint path assurance
US11102053B2 (en) 2017-12-05 2021-08-24 Cisco Technology, Inc. Cross-domain assurance
US10873509B2 (en) 2018-01-17 2020-12-22 Cisco Technology, Inc. Check-pointing ACI network state and re-execution from a check-pointed state
US10572495B2 (en) 2018-02-06 2020-02-25 Cisco Technology Inc. Network assurance database version compatibility
US10812315B2 (en) 2018-06-07 2020-10-20 Cisco Technology, Inc. Cross-domain network assurance
US10659298B1 (en) 2018-06-27 2020-05-19 Cisco Technology, Inc. Epoch comparison for network events
US11019027B2 (en) 2018-06-27 2021-05-25 Cisco Technology, Inc. Address translation for external network appliance
US10911495B2 (en) 2018-06-27 2021-02-02 Cisco Technology, Inc. Assurance of security rules in a network
US11218508B2 (en) 2018-06-27 2022-01-04 Cisco Technology, Inc. Assurance of security rules in a network
US11044273B2 (en) 2018-06-27 2021-06-22 Cisco Technology, Inc. Assurance of security rules in a network
US10904070B2 (en) 2018-07-11 2021-01-26 Cisco Technology, Inc. Techniques and interfaces for troubleshooting datacenter networks
US10826770B2 (en) 2018-07-26 2020-11-03 Cisco Technology, Inc. Synthesis of models for networks using automated boolean learning
US10616072B1 (en) 2018-07-27 2020-04-07 Cisco Technology, Inc. Epoch data interface
CN109150713B (zh) * 2018-08-22 2021-11-09 赛尔网络有限公司 基于bgp+源终端和目的终端之间的路由方法及路由监测方法
CN111698189B (zh) * 2019-03-11 2021-12-14 华为技术有限公司 Bgp路由识别方法、装置及设备
WO2021027941A1 (zh) 2019-08-15 2021-02-18 华为技术有限公司 学习路由的方法、转发报文的方法、设备和存储介质
CN112398741B (zh) * 2019-08-15 2023-09-05 华为技术有限公司 学习路由的方法、转发报文的方法、设备和存储介质
CN112751814B (zh) * 2019-10-31 2022-04-12 华为技术有限公司 一种信息上报方法、数据处理方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005516478A (ja) * 2002-01-24 2005-06-02 エイヴィシー・システムズ・インコーポレーテッド フォールト・トレラント・ルーチング・データベースを提供するシステムおよび方法
JP2006099557A (ja) * 2004-09-30 2006-04-13 Hitachi Ltd 計算機システム
JP2007053430A (ja) * 2005-08-15 2007-03-01 Nippon Telegr & Teleph Corp <Ntt> 不正経路監視システムおよび方法

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004508743A (ja) * 2000-06-14 2004-03-18 ウィリアムズ コミュニケーションズ, エルエルシー インターネットルート非集合およびルート選択参照
US7260645B2 (en) * 2002-04-26 2007-08-21 Proficient Networks, Inc. Methods, apparatuses and systems facilitating determination of network path metrics
US7286468B2 (en) * 2002-11-12 2007-10-23 Cisco Technology, Inc. Routing system and method for synchronizing a routing system with peers after failover
US7280486B2 (en) * 2004-01-07 2007-10-09 Cisco Technology, Inc. Detection of forwarding problems for external prefixes
US20050286412A1 (en) * 2004-06-23 2005-12-29 Lucent Technologies Inc. Transient notification system
US7430176B2 (en) * 2005-02-15 2008-09-30 Cisco Technology, Inc. Adaptive timing of update messages transmitted by routers employing the border gateway protocol
US7619989B2 (en) * 2005-08-26 2009-11-17 Alcatel Lucent Routing configuration validation apparatus and methods
US7852772B2 (en) * 2005-10-20 2010-12-14 Cisco Technology, Inc. Method of implementing a backup path in an autonomous system
US7813265B2 (en) * 2006-03-09 2010-10-12 Cisco Technology, Inc. Backup BGP paths for non-multipath BGP fast convergence
JP4709311B2 (ja) * 2006-03-31 2011-06-22 テレフオンアクチーボラゲット エル エム エリクソン(パブル) エッジルータにおけるステート更新
US8699357B2 (en) * 2006-11-30 2014-04-15 Alcatel Lucent Methods and apparatus for instability detection in inter-domain routing
US7823202B1 (en) * 2007-03-21 2010-10-26 Narus, Inc. Method for detecting internet border gateway protocol prefix hijacking attacks
US8281397B2 (en) * 2010-04-29 2012-10-02 Telcordia Technologies, Inc. Method and apparatus for detecting spoofed network traffic

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005516478A (ja) * 2002-01-24 2005-06-02 エイヴィシー・システムズ・インコーポレーテッド フォールト・トレラント・ルーチング・データベースを提供するシステムおよび方法
JP2006099557A (ja) * 2004-09-30 2006-04-13 Hitachi Ltd 計算機システム
JP2007053430A (ja) * 2005-08-15 2007-03-01 Nippon Telegr & Teleph Corp <Ntt> 不正経路監視システムおよび方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSNG200700414002; 吉田 友哉: 'IRRを用いた次世代BGP経路制御アーキテクチャーの提案' 電子情報通信学会技術研究報告 Vol.106 No.462 第106巻 第462号, 20070111, pp.7〜12, 社団法人電子情報通信学会 *
JPN6014026395; 吉田 友哉: 'IRRを用いた次世代BGP経路制御アーキテクチャーの提案' 電子情報通信学会技術研究報告 Vol.106 No.462 第106巻 第462号, 20070111, pp.7〜12, 社団法人電子情報通信学会 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015195422A (ja) * 2014-03-31 2015-11-05 株式会社日立製作所 通信システム、通信制御方法および制御装置
JP5916164B1 (ja) * 2014-12-09 2016-05-11 ソフトバンク株式会社 経路制御装置及びプログラム
JP2016149634A (ja) * 2015-02-12 2016-08-18 日本電信電話株式会社 ルートリフレクタおよびルートリフレクタの経路制御方法
US11012470B2 (en) 2018-05-08 2021-05-18 Charter Communications Operating, Llc Reducing the impact of border gateway protocol (BGP) hijacks
US11736518B2 (en) 2018-05-08 2023-08-22 Charter Communications Operating, Llc Reducing the impact of border gateway protocol (BGP) hijacks
JP2022511665A (ja) * 2018-11-02 2022-02-01 華為技術有限公司 ルート処理方法およびネットワークデバイス
JP7187692B2 (ja) 2018-11-02 2022-12-12 華為技術有限公司 ルート処理方法およびネットワークデバイス
US11863447B2 (en) 2018-11-02 2024-01-02 Huawei Technologies Co., Ltd. Route processing method and network device
JP7434504B2 (ja) 2018-11-02 2024-02-20 華為技術有限公司 ルート処理方法およびネットワークデバイス

Also Published As

Publication number Publication date
US20110093612A1 (en) 2011-04-21

Similar Documents

Publication Publication Date Title
JP2011087302A (ja) Bgp経路監視装置、bgp経路監視方法、およびプログラム
US10484256B2 (en) Method and system for monitoring and correcting defects of a network device
US10164851B2 (en) Transmission and reception of a diagnostic request in an IP network
CN113037500B (zh) 网络设备和用于网络通信的方法
EP1999890B1 (en) Automated network congestion and trouble locator and corrector
CN105164991B (zh) 冗余网络协议系统
US10225150B2 (en) Policy processing method and network device
US7870603B2 (en) Method and apparatus for automatic filter generation and maintenance
JP2009519663A (ja) 仮想ネットワーク、データ・ネットワーク・システム、コンピュータ・プログラム、およびコンピュータ・プログラムを運用する方法
EP2731313A1 (en) Distributed cluster processing system and message processing method thereof
US20060133287A1 (en) Frame forwarding device and method for staying loop of frame
EP2316192A1 (en) Incremental and targeted auto-discovery of network devices
US20070263548A1 (en) Communication control system
US11533388B2 (en) Method and device for analyzing service-oriented communication
CN107172230B (zh) 基于第三方数据库实现业务节点通讯地址发现的方法
US20070214242A1 (en) Network configuration change evaluation program, network configuration change evaluation device, and network configuration change evaluation method
US20200236132A1 (en) Threat response in a multi-router environment
CN114826697A (zh) 一种信息上报方法、数据处理方法及装置
US8239930B2 (en) Method for controlling access to a network in a communication system
US20210037052A1 (en) Systems and methods for preventing router attacks
US11533327B2 (en) Method and device for intrusion detection in a computer network
US11146492B2 (en) Method and system for optimizing service device traffic management
US11552848B2 (en) System and method for managing a network device
CN109286569B (zh) 路由控制方法及接入设备
CN116319260B (zh) 一种网络故障诊断方法、装置、设备及存储介质

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20130506

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130906

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20140618

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140624

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20141117