WO2011038624A1

WO2011038624A1 - 一种生成访问控制列表的方法及路由设备

Info

Publication number: WO2011038624A1
Application number: PCT/CN2010/076483
Authority: WO
Inventors: 张潇潇
Original assignee: 华为技术有限公司
Priority date: 2009-09-29
Filing date: 2010-08-31
Publication date: 2011-04-07
Also published as: CN101667965B; CN101667965A

Description

说明书

一种生成访问控制列表的方法及路由设备本申请要求了 2009年 9月 29日提交的，申请号为 200910110725.5发明名称为 "一种生成访问控制列表的方法及路由设备" 的中国申请的优先权，其全部内容通过引用结合在本申请中。技术领域本发明涉及通信领域，特别涉及一种生成访问控制列表的方法及路由设备。

背景技术在目前的网络中，运营商的设备一般都只转发用户的数据流量，用户没有访问运营商路由器的权限。但是目前运营商路由器的 IP地址对外界透明，用户可通过 Tracert的技术手段或者其他手段轻易地获取运营商路由器的 IP地址，利用该 IP地址，用户可以轻易地攻击运营商路由器，例如：用户可以向该 IP地址发送大量伪造报文，由于运营商路由器需要处理大量这种伪造文，耗费了运营商路由器的处理资源，甚至造成路由器无法正常工作。

现有技术中，可以通过在用户边缘设备手动配置访问控制列表（Access Control list, ACL )解决上述问题。其中，手动配置路由器的访问控制列表 ACL, 具体为：当路由器收到大量的攻击报文时，通过手工配置 ACL，阻止伪造报文以防止攻击。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：手工配置 ACL工作量大，配置不方便，而且网络拓朴变化后， ACL不能动态配置。

发明内容

本发明实施例的目的是提供一种生成访问控制列表的方法及路由设备，实现访问控制列表 ACL的动态配置。

本发明实施例的目的是通过以下技术方案实现的：

一种生成访问控制列表的方法，网络包括至少两个路由器，分别为第一路由器和第二路由器，所述第一路由器和第二路由器之间运行内部网关协议 IGP 协议，其中，所述第一路由器为边界路由器，

所述第一路由器接收来自所述第二路由器的 IGP报文，所述内部网关协议 I G P报文携带所述第二路由器的地址标识；

获取所述第二路由器的所述地址标识；

根据所述地址标识，生成以所述地址标识为目的地址的访问控制列表禁止表项。

一种路由设备，其中，所述路由设备为边界路由器，所述路由设备包括：接收模块 510, 接收 IGP报文，所述 IGP报文来自第一路由器，携带所述第一路由器的地址标识；

地址获取模块 520,用于获取所述接收模块 510接收到的 IGP报文中携带的所述地址标识；

列表生成模块 530,用于根据所述地址获取模块 520获取的所述地址标识，一种路由系统，所述系统包括至少两个路由设备，分别为第一路由设备和第二路由设备，其中，所述第一路由设备为边界路由器，

所述第二路由设备发送 IGP报文；

所述第一路由设备接收来自所述第二路由设备的所述 IGP报文，所述 IGP 报文携带所述第二路由设备的地址标识，获取所述第二路由设备的所述地址标采用本发明实施例的技术方案，第一路由器通过内部网关协议 IGP报文获取第二路由器的地址标识，根据所述地址标识，生成访问控制列表 ACL禁止表项，达到了动态配置 ACL以阻止伪造报文的技术效果。

附图说明

图 1为本发明实施例中的组网示意图；

图 2为本发明实施例中的一种生成访问控制列表的方法流程图；

图 3为本发明另一个实施例中的组网示意图；

图 4为本发明实施例中的另一种生成访问控制列表的方法流程图；图 5为本发明实施例中提供的一种路由设备示意图。

具体实施方式

为了使本发明实施例的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明实施例中，边界路由器可以为用户边界路由器或 ABR (区域边界路由器）或 Level-1-2路由器（层 -1-2路由器），为便于说明，下面的具体实施例，将分别就边界路由器为用户边界路由器 BR或区域边界路由器 ABR或 Level-1-2路由器时的情况做详细介绍，具体如下：

如图 1所示的网络，该网络包括路由器 110、路由器 120、路由器 130和用户设备 140。

其中，路由器 110、路由器 120和路由器 130位于同一区域之中，路由器 110和路由器 120位于网络侧，路由器 130位于用户侧，路由器 130为用户边缘路由器。

其中，图 1中的路由器可以为其他具备路由功能模块的任何网络设备，例如三层交换机等。

下面以路由器 130为例，对生成访问控制列表的方法进行具体介绍。

如图 2所示，本发明实施例的方法包括：

201、接收内部网关协议报文，具体为：路由器 130接收来自路由器 120 的内部网关协议 IGP "¾文，该 IGP才艮文携带路由器 120的地址标识；

202、获取地址标识，具体为：路由器 130根据 201中接收的 IGP报文获取路由器 120的地址标识；

203、生成访问控制列表禁止表项，具体为：根据 202中获取的地址标识，生成以该地址标识为目的地址的 ACL禁止表项。

上述实施例中，路由器 120还可以为用户边缘路由器或区域边缘路由器 ABR。釆用本发明实施例的技术方案，路由器 130通过接收来自路由器 120 的内部网关协议 IGP报文获取路由器 120的地址标识，并根据该地址标识，生成以该地址标识为目的地址的 ACL禁止表项，达到了动态配置 ACL以阻止伪造报文的技术效果。

本实施例中的内部网关协议（ Interior Gateway Protocol, IGP ) 包括开放最短路径优先（Open Short Path First, OSPF )协议和中间系统到中间系统路由选择 (Intermediate System to Intermediate System , IS-IS)†办议。

上述实施例中，当内部网关协议为 OSPF 协议时，路由器 110、路由器 120和路由器 130位于同一 OSPF区域之中。

举例来说，上述实施例中， 201可以包括：

路由器 130接收来自路由器 120的第一类 LSA (链路状态通告， Link State Advertisement )报文，该第一类 LSA报文的 Link state ID字段携带路由器 120 的 IP地址。

上述实施例中， 202可以包括：

路由器 130获取 201 中接收的第一类 LSA报文携带的路由器 120的 IP 地址。

上述实施例中， 203可以包括：

根据 202中获取的 IP地址，生成访问控制列表 ACL禁止表项，包括：根据路由器 120的 IP地址，生成以路由器 120的 IP地址为目的 IP地址的禁止表项，以阻止来自用户设备 140的以路由器 120的 IP地址为目的 IP地址的数据报文；例如：当获取路由器 120的 IP地址为 10.1.1.3 时，生成以 10.1.1.3为目的 IP地址的 ACL禁止表项，当路由器 130转发来自用户设备 140 的数据报文时，禁止转发以 10.1.1.3为目的 IP地址的报文。

采用本发明实施例的技术方案，路由器 130通过 OSPF协议报文获取路由器 120的 IP地址，根据该 IP地址，生成访问控制列表 ACL禁止表项，达到了动态配置 ACL以阻止来自用户设备 140的伪造报文的技术效果。

上述实施例中，当内部网关协议为 IS-IS协议时，路由器 110、路由器 120 和路由器 130位于同一 IS-IS区域之中。

上述实施例中， 201可以包括：

当路由器 130为 Level-1路由器（层 -1 路由器），且路由器 120为 Level-1 路由器或 Level-1-2路由器（层 -1-2路由器）时，接收来自路由器 120的 Level-1 LSP (层 -1链路状态数据单元， Level-1 Link State PDU ), 该 Level-1 LSP字段携带路由器 120的 IP地址，举例来说，可以通过 Type (类型）字段的数值为 132的 TLV (类型，长度，数值）格式字段携带路由器 120的 IP地址；或

当路由器 130为 Level-2路由器（层 -2路由器），且路由器 120为 Level-2 路由器或 Level-1-2路由器时，接收来自路由器 120的 Level-2 LSP (层 -2链路状态数据单元， Level-2 Link State PDU ), 该 Level-2 LSP字段携带路由器

120的 IP地址，举例来说，可以通过 Type数值字段的数值为 132的 TLV格式字段携带路由器 120的 IP地址；

上述实施例中， 202可以包括：

路由器 130获取 201中接收的 Level-1 LSP或 Level-2 LSP中携带的路由器 120的 IP地址。

上述实施例中， 203可以包括：

根据 202中获取的 IP地址，生成访问控制列表 ACL禁止表项，具体为：根据路由器 120的 IP地址，生成以路由器 120的 IP地址为目的 IP地址的禁止表项以阻止来自用户设备 140的以路由器 120的 IP地址为目的 IP地址的数据报文。釆用本发明实施例的技术方案，路由器 130通过 IS-IS协议报文获取路由器 120的 IP地址，根据该 IP地址，生成访问控制列表 ACL禁止表项，达到了动态配置 ACL以阻止来自用户设备 140的伪造报文的技术效果。

上述实施例是以图 1所示的网络拓朴为例进行说明的，但并不限于图 1所示的网络拓朴。

图 3是本发明另一个实施例中多区域网络拓朴的简化示意图，包括路由器 310、路由器 320、路由器 330、路由器 340、路由器 350、路由器 360和用户设备 311。其中，路由器 310和路由器 320位于第一区域，路由器 340位于第二区域，路由器 360位于第三区域，路由器 310为用户边缘路由器。当如图所示的区域为 OSPF区域时，路由器 330和路由器 350为区域边缘路由器 ABR以连通两个不同的 OSPF区域；当如图所示的区域为 IS-IS区域时，第二区域为骨千区域、第一区域和第三区域为非骨千区域，路由器 330和路由器 350为 Level-1-2路由器以连通两个骨千区域和非骨千区域。

本实施例中，路由器 310的操作与上一个实施例中路由器 130的操作相同。

下面以路由器 330 为例，对另一种生成访问控制列表的方法进行具体介绍，如图 4所示，本技术方案的流程如下：

401、接收内部网关协议报文，包括：

当如图 3所示的区域为 OSPF区域时，

路由器 330接收来自相邻区域的第一类 LSA报文，该第一类 LSA报文的 Link state ID字段携带路由器 320或路由器 340的 IP地址，其中，相邻区域为第一区域和第二区域；

或

路由器 330接收来自不相邻区域的第三类 LSA报文或第四类 LSA报文，该报文的 Link state ID字段携带路由器 360的 IP地址，其中，不相邻区域为第三区域。

当如图所示的区域为 IS-IS区域时，

路由器 330接收来自相邻的非骨千区域的 Level-1 LSP, 该 Level- 1 LSP 携带路由器 320的 IP地址，其中，第一区域为与路由器 330相邻的非骨千区域；

或

路由器 330接收来自骨千区域（第二区域）的 Level-2 LSP,该 Level-2 LSP 携带骨干区域内的路由器（路由器 340 ) 的 IP地址或不相邻的非骨干区域内的路由器（路由器 350或路由器 360 )的 IP地址，第三区域为与路由器 330 不相邻的非骨千区域。

402、获取地址标识，包括路由器 330根据 401中接收的 IGP报文获取 IP 地址；

403、生成访问控制列表禁止表项，包括：

才艮据 402中获取的 IP地址，生成以该 IP地址为目的地址的 ACL禁止表项，以阻止来自来自路由器 320的数据报文，该数据报文的目的 IP地址为禁止表项中的 IP地址。例如：当获取到路由器 360的 IP地址为 10.1.1.3时，生成以 10.1.1.3为目的 IP地址的 ACL禁止表项，当路由器 330转发来自路由器 320的数据报文时，禁止转发以 10.1.1.3为目的 IP地址的报文。

采用本发明实施例的技术方案，路由器 330通过 OSPF协议报文或 IS-IS 协议报文获取网络侧路由器的 IP地址，根据该 IP地址，生成访问控制列表 ACL 禁止表项，达到了动态配置 ACL以阻止伪造报文的技术效果。

404、生成访问控制列表允许表项，包括：

根据 402中获取的 IP地址，生成以该 IP地址为源地址的 ACL允许表项，以允许不同区域的路由器之间的相互访问，例如：当获取到路由器 360的 IP 地址为 10.1.1.3时，生成以 10.1.1.3为源 IP地址的 ACL允许表项，当路由器 330转发来自路由器 340的数据报文时，允许转发以 10.1.1.3为源 IP地址的报文，使得第一区域中的路由器可以接收到第三区域中的路由器 360发送的数据报文，实现了路由器间的相互访问。

本流程操作结束。

上述实施例中， 404的作用是为了实现路由器间的相互访问，如果只需要实现动态配置 ACL以阻止伪造文， 404是可以省略的。

上述实施例中，还提供了一种路由设备，如图 5所示，该路由设备为边界路由器，其中，该路由设备包括：

接收模块 510, 接收 IGP报文，该 IGP报文来自第一路由器，携带第一路由器的地址标识；

地址获取模块 520,用于获取接收模块 510接收到的 IGP报文中携带的地址标识；

列表生成模块 530, 用于根据地址获取模块 520获取的地址标识，生成以地址标识为目的地址的 ACL禁止表项。

其中，当路由设备为 ABR或 Level-1-2路由器时，列表生成模块 530还用于根据地址获取模块 520获取的地址标识，生成以地址标识为源地址的 ACL 允许表项。

上述实施例中，还提供了一种路由系统，该系统包括至少两个路由 i 备，分别为第一路由设备和第二路由设备，其中，第一路由设备为边界路由器，第二路由设备发送 IGP报文；

第一路由设备接收来自第二路由设备的 IGP报文， IGP报文携带第二路由设备的地址标识，获取第二路由设备的地址标识，根据地址标识，生成以地址标识为目的地址的 ACL禁止表项。

其中，当第一路由设备 330和第二路由设备 360位于不同区域，且第一路由设备 330为 ABR或 Level-1-2路由器时，第一路由设备 330还用于根据地址标识，生成以地址标识为源地址的 ACL允许表项。

其中，当第一路由设备 130与第二路由设备 120位于同一区域时，第一路由设备 130接收来自第二路由设备 120的 IGP报文，具体包括：

当 IGP协议为 OSPF协议时，第一路由设备 130接收来自第二路由设备 120的 IGP报文为第一类 LSA >¾文；或

当 IGP协议为 IS-IS协议，且第一路由设备 130和第二路由设备 140为 Level-1路由器时，第一路由设备 130接收来自第二路由设备 120的 IGP报文为 Level-1 LSP; 或当第一路由设备 130和第二路由设备 120为 Level-2路由器时，第一路由设备 130接收来自第二路由设备 120的 IGP报文为 Level-2 LSP。

其中，当第一路由设备 330与第二路由设备 360位于不同区域时，第一路由设备 330接收来自第二路由设备 360的 IGP报文，包括：

当 IGP协议为 OSPF协议时，且第一路由设备 330 为区域边缘路由器 ABR, 且第二路由设备 360位于相邻区域时，第一路由设备 330接收来自第二路由设备 360的 IGP报文为第一类 LSA报文；或当第二路由设备 360位于不相邻区域时，第一路由设备 330接收来自第二路由设备 360的 IGP报文为第三类 LSA报文或第四类 LSA报文；或

当 IGP协议为 IS-IS协议时，且第一路由设备 330为 Level-1-2路由器，且第二路由设备 360为 Level-1路由器时，第一路由设备 330接收来自第二路由设备 360的 IGP报文为 Level-1 LSP; 或当第二路由设备 360为 Level-2路由器时，第一路由设备 330接收来自第二路由设备 360的 IGP报文为 Level-2 LSP。

用户边缘路由器 130, 通过 IGP协议，自动获取用户侧设备的 IP地址，生成以该 IP地址为目的地址的 ACL禁止表项，过滤用户侧设备企图访问网络侧设备（例如，运营商路由器）的报文，达到防攻击的目的。本发明实施例通过动态配置 ACL以阻止伪造报文，避免大量的手工操作。并且当用户侧设备的 I P地址变更时， ACL表项也可以自动更新。

通过以上的实施方式的描述，本领域的普通技术人员可以清楚地了解到本发明实施例可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件来实现。基于这样的理解，本发明实施例的技术方案可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如 ROM/RAM,磁碟、光盘等，包括若干指令用以使得一台计算机设备、或者服务器、或者其他路由器执行本发明各个实施例或者实施例的某些部分所述的方法。

以上仅为本发明的较佳实施例，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种生成访问控制列表的方法，其特征在于，网络包括至少两个路由器，分别为第一路由器（ 130, 330, 350)和第二路由器（ 120， 320, 360)，所述第一路由器（ 130, 330, 350)和第二路由器（ 120, 320, 360)之间运行内部网关协议 IGP, 其中，所述第一路由器（ 130, 330, 350)为边界路由器，

所述第一路由器（130， 330, 350)接收来自所述第二路由器（120， 320, 360) 的 IGP报文，所述 IGP报文携带所述第二路由器的地址标识；

获取所述第二路由器（ 120, 320, 360) 的所述地址标识；

生成以所述地址标识为目的地址的访问控制列表 ACL禁止表项。

2、根据权利要求 1所述的方法，其特征在于，所述方法还包括，当所述 IGP为开放最短路径优先 OSPF协议，且所述第一路由器（330,

350 )为区域边缘路由器 ABR, 或者当所述 IGP为中间系统到中间系统 IS-IS 协议，且所述第一路由器（330， 350)为层 -1-2 Level-1-2路由器时，所述第一路由器生成以所述地址标识为源地址的 ACL允许表项。

3、根据权利要求 1至 2中任意一项所述的方法，其特征在于，当所述第一路由器（130) 与所述第二路由器（120)位于同一区域时，所述第一路由器（130)接收来自所述第二路由器（120) 的所述 IGP报文，包括：

当所述 IGP为开放最短路径优先 OSPF协议时，所述第一路由器（130) 接收来自所述第二路由器（120) 的第一类链路状态通告 LSA报文；或

当所述 IGP为中间系统到中间系统 IS-IS协议，且所述第一路由器（ 130 ) 和所述第二路由器（ 120)为层 -1 Level-1路由器或 Level-1-2路由器时，所述第一路由器（130)接收来自所述第二路由器（120) 的层 -1 链路状态数据单元 Level-1 LSP; 或当所述第一路由器（130)和所述第二路由器（120)为层 -2 Level-2路由器或 Level-1-2路由器时，所述第一路由器 ( 130)接收来自所述第二路由器（120) 的层 -2链路状态数据单元 Level-2 LSP。

4、根据权利要求 1或 2所述的方法，其特征在于，当所述第一路由器（ 330, 350)与所述第二路由器（320, 360)位于不同区域时，所述第一路由器（330, 350 )接收来自所述第二路由器（320, 360 ) 的所述 IGP报文，包括：当所述 IGP为 OSPF协议，所述第一路由器（330, 350 )为 ABR, 且所述第二路由器（320, 360 )位于相邻区域时，所述第一路由器（330, 350 ) 接收来自所述第二路由器（320, 360 )的第一类 LSA报文；或当所述第二路由器（320, 360 )位于不相邻区域时，所述第一路由器（330, 350 )接收来自所述第二路由器（320, 360 ) 的第三类 LSA报文或第四类 LSA报文；

或

当所述 IGP为 IS-IS协议，所述第一路由器（ 330, 350 )为层 1-2 Level-1-2 路由器，且所述第二路由器（320, 360 )为 Level-1路由器时，所述第一路由器（330, 350 )接收来自所述第二路由器（320, 360 ) 的 Level-1 LSP; 或当所述第二路由器（320, 360 )为 Level-2路由器时，所述第一路由器（330， 350 )接收来自所述第二路由器（ 320, 360 ) 的 Level-2 LSP.

5、一种路由设备，其特征在于，所述路由设备为边界路由器，所述路由设备包括：

接收模块（510 ), 接收 IGP报文，所述 IGP报文来自第一路由器，携带所述第一路由器的地址标识；

地址获取模块 ( 520 ), 用于获取所述接收模块 ( 510 )接收到的 IGP报文中携带的所述地址标识；

列表生成模块（530 ), 用于根据所述地址获取模块（520 )获取的所述地址标识，生成以所述地址标识为目的地址的访问控制列表 ACL禁止表项。

6、根据权利要求 5所述的路由设备，其特征在于，当所述路由设备为 ABR 或 Level-1-2路由器时，所述列表生成模块（530 )还用于根据所述地址获取模块 ( 520 )获取的所述地址标识，生成以所述地址标识为源地址的 ACL允许表项。

7、一种路由系统，其特征在于，所述系统包括至少两个路由设备，分别为第一路由设备（ 130, 330, 350 )和第二路由设备（ 120, 320, 360 ), 其中，所述第一路由设备（ 130, 330, 350 )为边界路由器，

所述第二路由设备 ( 120, 320, 360 )发送 IGP报文，所述 IGP报文携带所述第二路由设备（ 120, 320, 360) 的地址标识；

所述第一路由设备（ 130, 330, 350)接收来自所述第二路由设备（ 120, 320, 360) 的所述 IGP报文，获取所述第二路由设备（ 120, 320, 360) 的所述地址标识，生成以所述地址标识为目的地址的访问控制列表 ACL禁止表项。

8、根据权利要求 7所述的系统，其特征在于，当所述第一路由设备（330, 350)为 ABR或 Level-1-2路由器时，所述第一路由设备（ 330, 350)还用于

9、根据权利要求 7至 8中任意一项所述的系统，其特征在于，当所述第一路由设备（130)与所述第二路由设备（120)位于同一区域时，所述第一路由设备 (130)接收来自所述第二路由设备 ( 120)的所述 IGP报文，包括：当所述 IGP协议为 OSPF协议时，所述第一路由设备 (130)接收来自所述第二路由设备 ( 120)的所述 IGP报文为第一类 LSA报文；或

当所述 IGP协议为 IS-IS协议，且所述第一路由设备 (130)和所述第二路由设备（ 140 )为 Level-1路由器时，所述第一路由设备 ( 130)接收来自所述第二路由设备（ 120)的所述 IGP报文为 Level-1 LSP; 或当所述第一路由设备（ 130 )和所述第二路由设备（ 120 )为 Level-2路由器时，所述第一路由设^ 130 )接收来自所述第二路由设^ 120 )的所述 IGP报文为 Level-2 LSP。

10、根据权利要求 9所述的系统，其特征在于，当所述第一路由设备（ 330, 350)与所述第二路由设备（320, 360)位于不同区域时，所述第一路由设备

(330, 350)接收来自所述第二路由设备（320, 360 )的所述 IGP报文，包括：

当所述 IGP协议为 OSPF协议时，所述第一路由设备（330, 350 )为区域边缘路由器 ABR, 且所述第二路由设备（320, 360)位于相邻区域时，所述第一路由设备（330, 350)接收来自所述第二路由设备 (320, 360) 的所述 IGP报文为第一类 LSA报文；或当所述第二路由设备（320， 360)位于不相邻区域时，所述第一路由设备（330, 350)接收来自所述第二路由设备（320, 360) 的所述 IGP报文为第三类 LSA报文或第四类 LSA报文；或当所述 IGP 协议为 IS-IS 协议时，所述第一路由设备（330, 350) 为 Level-1-2路由器，且所述第二路由设备（320, 360)为 Level-1路由器时，所述第一路由设备（330, 350)接收来自所述第二路由设备 (320, 360) 的所述 IGP报文为 Level-1 LSP;或当所述第二路由设备（ 320, 360 )为 Level-2 路由器时，所述第一路由设备（330, 350)接收来自所述第二路由设备（320, 360 ) 的所述 IGP报文为 Level-2 LSP。