專利名稱:報(bào)文過濾方法及系統(tǒng)和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,更具體地涉及一種報(bào)文過濾方法及系統(tǒng)和裝置。
背景技術(shù):
URPF是單4番反向路4圣查4戈Unicast Reverse Path Forwarding 的簡(jiǎn)稱。URPF通過獲取報(bào)文的源地址和入接口 ,以源地址為目的 地址,在轉(zhuǎn)發(fā)表中查找該路由。+>散模式下,只要查到該路由就通過;嚴(yán)格模式下,在轉(zhuǎn)發(fā)表中查到源地址對(duì)應(yīng)的接口必須與入接口匹配才通過。否則認(rèn)為源地址是偽裝的,丟棄該才艮文。4艮多網(wǎng)絡(luò)設(shè)備由ASIC芯片來實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā),目前大部分ASIC芯片并不支持 URPF功能,導(dǎo)致這些網(wǎng)絡(luò)設(shè)備無(wú)法實(shí)現(xiàn)URPF功能。URPF主要 功能是防止基于源地址:肷騙的網(wǎng)絡(luò)攻擊^亍為,目前越來越多的網(wǎng)絡(luò) 設(shè)備支持該功能。發(fā)明內(nèi)容本發(fā)明的目的在于在網(wǎng)絡(luò)設(shè)備上用訪問控制列表來實(shí)現(xiàn)URPF 功能,從而阻止病毒信息通過,保護(hù)網(wǎng)絡(luò)設(shè)備。才艮據(jù)本發(fā)明的一方面,l是供了一種報(bào)文過濾方法,其包括以下 步驟S102,在網(wǎng)絡(luò)設(shè)備的一個(gè)或多個(gè)接口上開啟單播反向查找路 徑功能,并在一個(gè)或多個(gè)接口上綁定第一訪問控制列表,用來阻止
所有需要路由的IP報(bào)文通過;S104,網(wǎng)絡(luò)設(shè)備向具有單播反向查 找路徑功能的 一個(gè)或多個(gè)接口對(duì)應(yīng)的轉(zhuǎn)發(fā)表中添加設(shè)備路由信息, 其中設(shè)備路由信息包括源IP地址、掩碼、出接口信息;S106,在 網(wǎng)絡(luò)設(shè)備的一個(gè)或多個(gè)接口上綁定第二訪問控制列表,其中,第二 訪問控制列表的優(yōu)先級(jí)高于第一訪問控制列表,第二訪問控制列表 只允許源IP地址與設(shè)備路由信息中的IP地址相匹配的報(bào)文通過。上述報(bào)文過濾方法中,還包括S108,網(wǎng)絡(luò)設(shè)備從具有單播反 向查找^各徑功能的所述一個(gè)或多個(gè)接口刪除所述設(shè)備路由信息; S110,根據(jù)所述設(shè)備路由信息,刪除所述第二訪問控制列表,禁止 源IP地址與所述設(shè)備路由信息中的IP地址相匹配的報(bào)文通過。上述報(bào)文過濾方法中,網(wǎng)絡(luò)設(shè)備通過動(dòng)態(tài)路由協(xié)議運(yùn)算或靜態(tài) 配置,在網(wǎng)紹4殳備上添加和/或刪除第二訪問控制列表。上述才艮文過濾方法中,在S102中,為了配置阻止所有進(jìn)行路 由的IP沖艮文,綁定的第一訪問控制列表需要同時(shí)匹配目的MAC和 報(bào)文類型,其中,目的MAC是本地網(wǎng)關(guān)MAC,報(bào)文類型是IP報(bào)文。沖艮據(jù)本發(fā)明的又一方面,提供了一種報(bào)文過濾系統(tǒng)。其包括 第一報(bào)文過濾裝置202,位于網(wǎng)絡(luò)設(shè)備側(cè),用于在網(wǎng)絡(luò)設(shè)備的一個(gè) 或多個(gè)接口上開啟單播反向查找路徑功能,并在一個(gè)或多個(gè)接口上綁定第一訪問控制列表,用來阻止所有需要路由的IP報(bào)文通過;設(shè) 備路由信息添加裝置204,位于不同于上述網(wǎng)絡(luò)設(shè)備的另一網(wǎng)絡(luò)設(shè) 備側(cè),用于在具有單播反向查找路徑功能的 一個(gè)或多個(gè)接口上添加 設(shè)備路由信息,其中設(shè)備路由信息包括源IP地址、掩碼、出接口信 息;第二報(bào)文過濾裝置206,位于網(wǎng)絡(luò)設(shè)備側(cè),用于在具有單播反 向查找路徑功能的一個(gè)或多個(gè)接口上綁定第二訪問控制列表,其中 第二訪問控制列表的優(yōu)先級(jí)高于第 一訪問控制列表,第二訪問控制
列表只允許源IP地址與設(shè)備路由信息中的IP地址相匹配的才艮文通過。上述報(bào)文過濾系統(tǒng)中,還包括設(shè)備路由信息刪除裝置208, 位于不同于上述網(wǎng)絡(luò)設(shè)備的另 一 網(wǎng)絡(luò)設(shè)備側(cè),用于從具有單播反向 查找路徑功能的 一 個(gè)或多個(gè)接口刪除設(shè)備路由信息;訪問控制列表 刪除裝置210,位于網(wǎng)絡(luò)設(shè)備側(cè),用于根據(jù)設(shè)備路由信息,刪除第 二訪問控制列表,禁止源IP地址與設(shè)備路由信息中的IP地址相匹 配的才艮文通過。上述報(bào)文過濾系統(tǒng)中,設(shè)備路由信息添加裝置和/或設(shè)備路由信 息刪除裝置通過動(dòng)態(tài)路由協(xié)議運(yùn)算或靜態(tài)配置,在一個(gè)或多個(gè)接口 上添加和/或刪除第二訪問控制列表。上述報(bào)文過濾系統(tǒng)中,在第一報(bào)文過濾裝置中,為了配置阻止 所有進(jìn)行路由的IP報(bào)文,綁定的第 一訪問控制列表需要同時(shí)匹配目 的MAC和才艮文類型,其中,目的MAC是本地網(wǎng)關(guān)MAC,報(bào)文類 型是IP報(bào)文。根據(jù)本發(fā)明的又一方面,提供了一種報(bào)文過濾裝置。其包括 第一報(bào)文過濾模塊302,用于在網(wǎng)絡(luò)設(shè)備的一個(gè)或多個(gè)接口上開啟 單播反向查找路徑功能,并在一個(gè)或多個(gè)接口上綁定第 一訪問控制 列表,用來阻止所有需要路由的IP報(bào)文通過;設(shè)備路由信息添加模 塊304,用于在具有單纟番反向查找路徑功能的一個(gè)或多個(gè)4妻口上添 加設(shè)備路由信息,其中設(shè)備路由信息包括源IP地址、掩碼、出接口 信息;第二報(bào)文過濾模塊306,用于在具有單播反向查找路徑功能 的一個(gè)或多個(gè)接口上綁定第二訪問控制列表,其中,第二訪問控制 列表的優(yōu)先級(jí)高于第 一訪問控制列表,第二訪問控制列表只允許源 IP地址與設(shè)備路由信息中的IP地址相匹配的報(bào)文通過。
上述才艮文過濾裝置中,還包括i殳備路由信息刪除才莫塊308, 用于從具有單播反向查找路徑功能的 一個(gè)或多個(gè)接口刪除設(shè)備路由信息;訪問控制列表刪除模塊310,用于根據(jù)設(shè)備路由信息,刪除第二訪問控制列表,禁止源IP地址與設(shè)備路由信息中的IP地址 才目匹西己的才艮文通過。上述報(bào)文過濾裝置中,設(shè)備路由信息添加模塊和/或設(shè)備路由信 息刪除模塊通過動(dòng)態(tài)路由協(xié)議運(yùn)算或靜態(tài)配置,在一個(gè)或多個(gè)接口 上添加和/或刪除第二訪問控制列表。上述報(bào)文過濾裝置中,在第一報(bào)文過濾模塊中,為了配置阻止 所有進(jìn)行路由的IP報(bào)文,綁定的第 一訪問控制列表需要同時(shí)匹配目的MAC和才艮文類型,其中,所述目的MAC是本地網(wǎng)關(guān)MAC,所 述報(bào)文類型是IP報(bào)文。根據(jù)以上技術(shù)方案可知,本發(fā)明的有益效果在于1 、 一般網(wǎng)絡(luò)設(shè)備ASIC芯片都支持ACL,而只要支持ACL就 可以實(shí)i見URPF功能,所以本發(fā)明具有一定通用性;2、不需要解析每一個(gè)報(bào)文的源IP和出接口信息,只需要在增 刪路由時(shí)解析路由信息;3 、防止網(wǎng)絡(luò)i殳備受到基于源地址#夂騙的網(wǎng)絡(luò)攻擊4亍為;4、降低了對(duì)網(wǎng)絡(luò)設(shè)備CPU處理能力的要求。
此處所說明的附困用來提供對(duì)本發(fā)明的進(jìn)一歩理解,構(gòu)成本申 請(qǐng)的一部分,本發(fā)明的示例性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中圖1是根據(jù)本發(fā)明的報(bào)文過濾方法的流程圖;圖2是根據(jù)本發(fā)明的報(bào)文過濾系統(tǒng)的方框圖;圖3是根據(jù)本發(fā)明的報(bào)文過濾裝置的方框圖;圖4是4艮據(jù)本發(fā)明的實(shí)施例中的組網(wǎng)圖;以及圖5是根據(jù)本發(fā)明的實(shí)施例中的流程圖。
具體實(shí)施方式
下面參考附圖,對(duì)本發(fā)明的技術(shù)方案進(jìn)行說明。參考圖1,說明#4居本發(fā)明的才艮文過濾方法。該方法包括以下 步驟S102,在網(wǎng)絡(luò)i殳備的一個(gè)或多個(gè)接口上開啟單播反向查找路 徑功能,并在一個(gè)或多個(gè)接口上綁定第一訪問控制列表,用來阻止 所有需要路由的IP報(bào)文通過;S104,向具有單播反向查找路徑功 能的 一 個(gè)或多個(gè)接口對(duì)應(yīng)的轉(zhuǎn)發(fā)表中添加設(shè)備路由信息,其中設(shè)備 路由信息包括源IP地址、掩碼、出接口信息;S106,在網(wǎng)絡(luò)設(shè)備 的一個(gè)或多個(gè)"l妻口上綁定第二訪問控制列表,其中,第二訪問控制 列表的優(yōu)先級(jí)高于第 一 訪問控制列表,第二訪問控制列表只允許源 IP地址與設(shè)備路由信息中的IP地址相匹配的報(bào)文通過。
上述才艮文過濾方法中,還包括S108,網(wǎng)絡(luò)i殳備從具有單4番反向查找路徑功能的所述一個(gè)或多個(gè)接口刪除所述設(shè)備路由信息; S110,根據(jù)設(shè)備路由信息,刪除第二訪問控制列表,禁止源IP地 址與設(shè)備路由信息中的IP地址相匹配的報(bào)文通過。上述報(bào)文過濾方法中,網(wǎng)絡(luò)設(shè)備通過動(dòng)態(tài)路由協(xié)議運(yùn)算或靜態(tài) 配置,在網(wǎng)絡(luò)i殳備上添加和/或刪除第二訪問控制列表。上述報(bào)文過濾方法中,在S102中,為了配置阻止所有進(jìn)行路 由的IP報(bào)文,綁定的第一訪問控制列表需要同時(shí)匹配目的MAC和 報(bào)文類型,其中,目的MAC是本地網(wǎng)關(guān)MAC,報(bào)文類型是IP報(bào)文。根據(jù)本發(fā)明的又一方面,提供了一種報(bào)文過濾系統(tǒng)。其包括 第一才艮文過濾裝置202.位于網(wǎng)絡(luò)設(shè)備側(cè),用于在網(wǎng)絡(luò)設(shè)備的一個(gè) 或多個(gè)接口上開啟單播反向查找路徑功能,并在一個(gè)或多個(gè)接口上綁定第一訪問控制列表,用來阻止所有需要路由的IP報(bào)文通過;設(shè) 備路由信息添加裝置204,位于不同于上述網(wǎng)絡(luò)^殳備的另一網(wǎng)絡(luò)i殳 備側(cè),用于在具有單播反向查找路徑功能的一個(gè)或多個(gè)接口上添加 設(shè)備路由信息,其中設(shè)備路由信息包括源IP地址、掩碼、出接口信 息;第二報(bào)文過濾裝置206,位于網(wǎng)絡(luò)設(shè)備側(cè),用于在具有單播反 向查找路徑功能的 一 個(gè)或多個(gè)接口上綁定第二訪問控制列表,其中 第二訪問控制列表的優(yōu)先級(jí)高于第 一訪問控制列表,第二訪問控制 列表只允許源IP地址與設(shè)備路由信息中的IP地址相匹配的才艮文通 過。上述報(bào)文過濾系統(tǒng)中,還包括設(shè)備路由信息刪除裝置208, 位于不同于上述網(wǎng)絡(luò)設(shè)備的另 一 網(wǎng)絡(luò)設(shè)備側(cè),用于從具有單播反向 查找3各徑功能的 一 個(gè)或多個(gè)接口刪除設(shè)備路由信息;訪問控制列表 刪除裝置210,位于網(wǎng)絡(luò)設(shè)備側(cè),用于根據(jù)設(shè)備路由信息,刪除第
二訪問控制列表,禁止源IP地址與i殳備路由信息中的IP地址相匹 配的才艮文通過。上述凈艮文過濾系統(tǒng)中,設(shè)備路由信息添加裝置和/或i殳備路由信 息刪除裝置通過動(dòng)態(tài)路由協(xié)i義運(yùn)算或靜態(tài)配置,在一個(gè)或多個(gè)接口 上添加和/或刪除第二訪問控制列表。上述報(bào)文過濾系統(tǒng)中,在第一報(bào)文過濾裝置中,為了配置阻止 所有進(jìn)4亍路由的IP才艮文,綁定的第 一訪問控制列表需要同時(shí)匹配目 的MAC和寺艮文類型,其中,目的MAC是本;也網(wǎng)關(guān)MAC,報(bào)文類 型是IP 4艮文。沖艮據(jù)本發(fā)明的又一方面,4是供了一種才艮文過濾裝置。其包括 第一才艮文過濾才莫塊302,用于在網(wǎng)絡(luò)i殳備的一個(gè)或多個(gè)接口上開啟 單播反向查找路徑功能,并在一個(gè)或多個(gè)接口上綁定第 一訪問控制 列表,用來阻止所有需要路由的IP才艮文通過;設(shè)備路由信息添加模 塊304,用于在具有單播反向查找路徑功能的一個(gè)或多個(gè)接口上添 加設(shè)備路由信息,其中設(shè)備路由信息包括源IP地址、掩碼、出接口 信息;第二報(bào)文過濾模塊306,用于在具有單播反向查找路徑功能 的一個(gè)或多個(gè)接口上綁定第二訪問控制列表,其中,第二訪問控制 列表的優(yōu)先級(jí)高于第 一訪問控制列表,第二訪問控制列表只允許源 IP地址與設(shè)備路由信息中的IP地址相匹配的報(bào)文通過。上述報(bào)文過濾裝置中,還包括設(shè)備路由信息刪除模塊308, 用于從具有單播反向查找路徑功能的 一個(gè)或多個(gè)接口刪除設(shè)備路 由信息;訪問控制列表刪除模塊310,用于根據(jù)設(shè)備路由信息,刪 除第二訪問控制列表,禁止源IP地址與設(shè)備路由信息中的IP地址 相匹配的才艮文通過。
上述報(bào)文過濾裝置中,設(shè)備路由信息添加模塊和/或設(shè)備路由信息刪除4莫塊通過動(dòng)態(tài);洛由協(xié)議運(yùn)算或靜態(tài)配置,在一個(gè)或多個(gè)接口 上添加和/或刪除第二訪問控制列表。上述報(bào)文過濾裝置中,在第一報(bào)文過濾模塊中,為了配置阻止 所有進(jìn)行路由的ip報(bào)文,綁定的第一訪問控制列表需要同時(shí)匹配目的MAC和報(bào)文類型,其中,所述目的MAC是本地網(wǎng)關(guān)MAC,所 述報(bào)文類型是IP報(bào)文。
通過上述i兌明可知,本發(fā)明的具體實(shí)施方式
包4舌以下步驟步驟一在網(wǎng)絡(luò)設(shè)備接口上開啟URPF功能的一種模式,松散 模式或嚴(yán)格模式;步驟二在所有啟用URPF功能的接口上綁定一條ACL(訪問 控制列表)Rl,過濾該接口接收的所有需要進(jìn)行路由的IP報(bào)文。步驟三網(wǎng)絡(luò)-沒備通過動(dòng)態(tài)路由協(xié)議運(yùn)算或者靜態(tài)配置,添加 一條路由信息到轉(zhuǎn)發(fā)表,提取該條路由的IP地址、掩碼、出接口信 息;步驟四所有啟用松散模式的接口上綁定一條ACL R2,允許 通過報(bào)文源IP匹配步驟三中IP地址和掩碼的數(shù)據(jù)流。保證R2優(yōu) 先級(jí)高于R1。步驟五檢查步驟三中路由出接口,如果該出接口上啟用嚴(yán)格 URPF功能,則在該接口上綁定和步驟四中相同的ACLR2,同樣保 證R2優(yōu)先級(jí)高于Rl。其他啟用嚴(yán)格URPF功能的接口上不綁定 R2。步驟六添加其他路由到轉(zhuǎn)發(fā)表時(shí),重復(fù)步驟三、四、五。 步驟七當(dāng)網(wǎng)絡(luò)設(shè)備啟用+〉散URPF功能的接口上接收到IP 報(bào)文后。如果該IP報(bào)文的源地址的路由沒有學(xué)到,也就是沒有綁定 允許該IP才艮文通過的ACL,網(wǎng)絡(luò)設(shè)備將丟棄該報(bào)文;如果該IP報(bào) 文的源地址的路由已經(jīng)學(xué)到,也就是步驟四中綁定了允許該IP報(bào)文 通過的ACL,網(wǎng)絡(luò)設(shè)備將轉(zhuǎn)發(fā)該報(bào)文。這樣就實(shí)現(xiàn)了 URPF功能的 松散模式。步驟八當(dāng)網(wǎng)絡(luò)設(shè)備啟用嚴(yán)格URPF功能的接口上接收到IP l艮文后。如果該IP才艮文的源i也址的^各由沒有學(xué)到或者對(duì)應(yīng)i 各由的出 口不是該4妻口,也就是該4矣口上沒有綁定允許該IP沖艮文通過的 ACL,網(wǎng)絡(luò)設(shè)備將丟棄該報(bào)文;如果該IP報(bào)文的源地址的路由已經(jīng) 學(xué)到并JL該路由出口是本4妄口 ,也就是步艱《五中綁定了允i午該IP 報(bào)文在本接口上通過的ACL,網(wǎng)絡(luò)設(shè)備將轉(zhuǎn)發(fā)該報(bào)文。這樣就實(shí)現(xiàn) 了 URPF功能的嚴(yán)格模式。步驟九網(wǎng)絡(luò)i殳備通過動(dòng)態(tài)路由協(xié)議運(yùn)算或者靜態(tài)配置,從路 由專爭(zhēng)發(fā)表刪除一條路由;步驟十提取該條需要?jiǎng)h除的路由的IP地址和掩碼信息,通 過該信息查找對(duì)應(yīng)的ACL并刪除,從而實(shí)現(xiàn)禁止該IP才艮文的轉(zhuǎn)發(fā);進(jìn)一步地,步驟二中為了配置丟棄所有進(jìn)行路由的IP報(bào)文, 在配置ACL時(shí),需要同時(shí)匹配目的MAC和報(bào)文類型,目的MAC 必須是本地網(wǎng)關(guān)MAC,報(bào)文類型是IP報(bào)文。進(jìn)一步;也,步驟三中動(dòng)態(tài)路由協(xié)i義可以是RTP、 OSPF、 BGP、 IS-IS等網(wǎng)絡(luò)設(shè)備支持的所有路由協(xié)議。進(jìn)一步的,上述技術(shù)方案實(shí)際上是根據(jù)URPF規(guī)則,把允許網(wǎng) 絡(luò)設(shè)備轉(zhuǎn)發(fā)的報(bào)文,轉(zhuǎn)化成特定ACL,綁定到特定的接口,從而實(shí) 現(xiàn)了 URPF功能。
啟用松散URPF參考圖4、圖5,說明4艮據(jù)本發(fā)明的具體實(shí)施例。其中,圖4 是實(shí)施根據(jù)本發(fā)明的方法的組網(wǎng)圖。圖5是根據(jù)本發(fā)明的實(shí)施例的 流程圖。根據(jù)本發(fā)明的具體實(shí)施例的流程包括以下步驟1. 在設(shè)備Sl接口 fei—1/1-2上開啟松散URPF功能,在接口 fei—1/3-4開啟嚴(yán)格URPF功能。interface fei一l/1ip verify loose啟用松散URPF interface fei—1/2 ip verify loose interface fei—1/3 ip verify strict interface fei—1/4ip verify strict啟用嚴(yán)格URPF2. 在設(shè)備S1接口 fei—1/1-4上綁定一條ACL Rl,過濾所有需要 路由的IP報(bào)文。Rl采取以下動(dòng)作Deny any dst-mac OOdO.dOcO.OOOl ether-type Ox,3. 設(shè)備S2通過OSPF協(xié)議通告給SI —條路由Dest Mask InterfaceOwnerpri metric啟用嚴(yán)格URPF10.1.0.0 255.255.OX) fei—1/3 ospf 110 54. 在啟用+>散URPF接口 fei—1/1-2和嚴(yán)格URPF 4妄口 fei—1/3 (fei—1/3是該條路由的出口 )上綁定ACL R2,允許源IP為10.1.0.0/16的數(shù)據(jù)報(bào)文通過。保證R2優(yōu)先級(jí)高于R1, R2采取如下 動(dòng)作Permit any source陽(yáng)ip 10.1.0.0 mask 255.255.0.05. 如果還有路由條目繼續(xù)添加,則重復(fù)以上3、 4的工作。如果 10.1.0.0/16的路由信息-陂刪除時(shí),則刪除ACLR2。6. 當(dāng)4艮文進(jìn)入網(wǎng)絡(luò)設(shè)備時(shí),ASIC芯片會(huì)自動(dòng)根據(jù)已經(jīng)配置的 ACL來判斷是否轉(zhuǎn)發(fā)該報(bào)文。從以上說明中可知,本發(fā)明的有益效 果在于1、 一般網(wǎng)絡(luò)設(shè)備ASIC芯片都支持ACL,而只要支持ACL就 可以實(shí)現(xiàn)URPF功能,所以本發(fā)明具有一定通用性。2、 不需要解析每一個(gè)報(bào)文的源IP和出接口信息,只需要在增 刪路由時(shí)解析路由信息。3 、防止網(wǎng)絡(luò)"i殳備受到基于源地址,太騙的網(wǎng)絡(luò)攻擊4亍為。4、降低了對(duì)網(wǎng)絡(luò)設(shè)備CPU處理能力的要求。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已,并不用于限制本發(fā) 明,對(duì)于本領(lǐng)域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化。 凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn) 等,均應(yīng)包括在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1. 一種才艮文過濾方法,其#爭(zhēng)4£在于包4舌以下步驟S102,在網(wǎng)絡(luò)"i殳備的一個(gè)或多個(gè)4妄口上開啟單4番反向查 找路徑功能,并在所述一個(gè)或多個(gè)接口上綁定第 一訪問控制列 表,用來阻止所有需要路由的IP凈艮文通過;S104,向網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)表中添加設(shè)備路由信息,其中所 述設(shè)備路由信息包括IP地址、掩碼、出接口信息;S106,在所述網(wǎng)絡(luò)設(shè)備的開啟單播反向查找路徑功能的 一個(gè)或多個(gè)4妄口上綁定第二訪問控制列表,其中,所述第二訪 問控制列表的優(yōu)先級(jí)高于所述第 一訪問控制列表,所述第二訪 問控制列表只允許源IP地址與所述設(shè)備路由信息中的IP地址 相匹配的才艮文通過。
2. 根據(jù)權(quán)利要求1所述的報(bào)文過濾方法,其特征在于,還包括S108,網(wǎng)絡(luò)i殳備刪除所述設(shè)備路由信息;S110,根據(jù)所述設(shè)備路由信息,刪除所述第二訪問控制 列表,禁止源IP地址與所述設(shè)備路由信息中的IP地址相匹配 的報(bào)文通過。
3. 根據(jù)權(quán)利要求1或2所述的報(bào)文過濾方法,其特征在于,所述 網(wǎng)絡(luò)設(shè)備通過動(dòng)態(tài)路由協(xié)議運(yùn)算或靜態(tài)配置,在所述網(wǎng)絡(luò)設(shè)備 上添加或刪除所述第二訪問控制列表。
4. 根據(jù)權(quán)利要求1所述的報(bào)文過濾方法,其特征在于,在所述步 驟S102中,為了配置阻止所有進(jìn)行路由的IP才艮文,綁定的所 述第一訪問控制列表需要同時(shí)匹配目的MAC和報(bào)文類型,其中,所述目的MAC是本地網(wǎng)關(guān)MAC,所述報(bào)文類型是IP報(bào)文。
5. —種4艮文過濾系統(tǒng),其特征在于包括第一報(bào)文過濾裝置,位于網(wǎng)絡(luò)設(shè)備側(cè),用于在所述網(wǎng)絡(luò) 設(shè)備的一個(gè)或多個(gè)接口上開啟單播反向查找路徑功能,并在所 述一個(gè)或多個(gè)4妾口上綁定第一i方問4空制列表,用來阻止所有需 要路由的IP報(bào)文通過;設(shè)備路由信息添加裝置,位于不同于所述網(wǎng)絡(luò)設(shè)備的另 一網(wǎng)絡(luò)設(shè)備側(cè),用于在具有單播反向查找路徑功能的所述一個(gè) 或多個(gè)接口上添加設(shè)備路由信息,其中所述設(shè)備路由信息包括源IP地址、掩碼、出接口;第二報(bào)文過濾裝置,位于所述網(wǎng)絡(luò)設(shè)備側(cè),用于在具有 單播反向查找路徑功能的所述一個(gè)或多個(gè)接口上綁定第二訪 問控制列表,其中所述第二訪問控制列表的優(yōu)先級(jí)高于所述第 一訪問控制列表,所述第二訪問控制列表只允許源IP地址與 所述設(shè)備路由信息中的IP地址相匹配的報(bào)文通過。
6. 根據(jù)權(quán)利要求5所述的報(bào)文過濾系統(tǒng),其特征在于,還包括設(shè)備路由信息刪除裝置,位于所述另一網(wǎng)絡(luò)設(shè)備側(cè),用 于刪除所述設(shè)備路由信息;訪問控制列表刪除裝置,位于所述網(wǎng)絡(luò)設(shè)備側(cè),用于根 據(jù)所述i殳備路由信息,刪除所述第二訪問控制列表,禁止源 IP地址與所述設(shè)備路由信息中的IP地址相匹配的報(bào)文通過。
7. 根據(jù)權(quán)利要求5或6所述的報(bào)文過濾系統(tǒng),其特征在于,所述 設(shè)備路由信息添加裝置和/或所述設(shè)備路由信息刪除裝置通過 動(dòng)態(tài)路由協(xié)議運(yùn)算或靜態(tài)配置,在所述一個(gè)或多個(gè)接口上添加 和/或刪除所述第二訪問控制列表。
8. 4艮據(jù)片又利要求5所述的才艮文過濾系統(tǒng),其特4i在于,在所述第 一報(bào)文過濾裝置中,為了配置阻止所有進(jìn)行路由的IP報(bào)文, 綁定的所述第 一訪問控制列表需要同時(shí)匹配目的MAC和報(bào)文 類型,其中,所述目的MAC是本地網(wǎng)關(guān)MAC,所述才艮文類 型是IP報(bào)文。
9. 一種報(bào)文過濾裝置,其特征在于包括第一才艮文過濾才莫塊,用于在網(wǎng)絡(luò)i殳備的一個(gè)或多個(gè)沖妄口 上開啟單播反向查找路徑功能,并在所述一個(gè)或多個(gè)接口上綁 定第一訪問控制列表,用來阻止所有需要路由的IP報(bào)文通過;設(shè)備路由信息添加模塊,用于在具有單播反向查找路徑 功能的所述一個(gè)或多個(gè)接口上添加所述設(shè)備路由信息,其中所 述設(shè)備路由信息包括源IP地址、掩碼、出接口信息;第二報(bào)文過濾模塊,用于在具有單播反向查找路徑功能 的所述一個(gè)或多個(gè)4姿口上綁定第二訪問控制列表,其中,所述 第二訪問控制列表的優(yōu)先級(jí)高于所述第一訪問控制列表,所述 第二訪問控制列表只允許源IP地址與所述設(shè)備路由信息中的 IP地址相匹配的才艮文通過。
10. 根據(jù)權(quán)利要求9所述的報(bào)文過濾裝置,其特征在于還包括設(shè)備路由信息刪除模塊,用于從具有單播反向查找路徑 功能的所述一個(gè)或多個(gè)接口刪除所述設(shè)備路由信息;以及訪問控制列表刪除模塊,用于根據(jù)所述設(shè)備路由信息, 刪除所述第二訪問控制列表,禁止源IP地址與所述設(shè)備路由 信息中的IP地址相匹配的才艮文通過。
11. 根據(jù)權(quán)利要求9或IO所述的報(bào)文過濾裝置,其特征在于,所 述設(shè)備路由信息添加模塊和/或所述設(shè)備路由信息刪除模塊通過動(dòng)態(tài)路由協(xié)議運(yùn)算或靜態(tài)配置,在所述一個(gè)或多個(gè)接口上添 加和/或刪除所述第二訪問控制列表。
12. 根據(jù)權(quán)利要求9所述的報(bào)文過濾裝置,其特征在于,在所述第 一報(bào)文過濾模塊中,為了配置阻止所有進(jìn)行路由的IP報(bào)文, 綁定的所述第一訪問控制列表需要同時(shí)匹配目的MAC和4艮文 類型,其中,所述目的MAC是本地網(wǎng)關(guān)MAC,所述凈艮文類 型是IP報(bào)文。
全文摘要
本發(fā)明公開了一種報(bào)文過濾方法及系統(tǒng)和裝置。該方法包括以下步驟S102,在網(wǎng)絡(luò)設(shè)備的一個(gè)或多個(gè)接口上開啟單播反向查找路徑功能,并在一個(gè)或多個(gè)接口上綁定第一訪問控制列表,用來阻止所有需要路由的IP報(bào)文通過;S104,網(wǎng)絡(luò)設(shè)備向具有單播反向查找路徑功能的一個(gè)或多個(gè)接口對(duì)應(yīng)的轉(zhuǎn)發(fā)表中添加設(shè)備路由信息,其中設(shè)備路由信息包括源IP地址、掩碼、出接口信息;S106,在網(wǎng)絡(luò)設(shè)備的一個(gè)或多個(gè)接口上綁定第二訪問控制列表,其中,第二訪問控制列表的優(yōu)先級(jí)高于第一訪問控制列表,第二訪問控制列表只允許源IP地址與設(shè)備路由信息中的IP地址相匹配的報(bào)文通過。
文檔編號(hào)H04L12/56GK101146026SQ20061012743
公開日2008年3月19日 申請(qǐng)日期2006年9月13日 優(yōu)先權(quán)日2006年9月13日
發(fā)明者陳遺保 申請(qǐng)人:中興通訊股份有限公司