專利名稱:一種基于bgp虛擬下一跳的ip地址快速封堵的方法
技術(shù)領(lǐng)域:
本發(fā)明屬于傳輸與IP(數(shù)據(jù)通信網(wǎng)絡(luò))領(lǐng)域,具體地�����,涉及IP地址 的安全快速�、便于管理的封堵方法��。
背景技術(shù):
IP地址快速封堵是表示通過使用網(wǎng)絡(luò)技術(shù)使某IP地址喪失與其 它IP通訊的功能��,對于互聯(lián)網(wǎng)絡(luò)來說����,就是指無法上網(wǎng)���、無法與外界
擊行為的一種操作方式�����。
IP是英文Internet Protocol的縮寫�����,意思是"網(wǎng)絡(luò)之間互連的協(xié) 議",也就是為計(jì)算機(jī)網(wǎng)絡(luò)相互連接進(jìn)行通信而設(shè)計(jì)的協(xié)議��。在因特網(wǎng) 中����,它是能使連接到網(wǎng)上的所有計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)相互通信的 一套規(guī)則, 規(guī)定了計(jì)算機(jī)在因特網(wǎng)上進(jìn)行通信時(shí)應(yīng)當(dāng)遵守的規(guī)則���。任何廠家生產(chǎn) 的計(jì)算機(jī)系統(tǒng)��,只要遵守IP協(xié)議就可以與因特網(wǎng)互連互通���。
BGP ( Border Gateway Protocol )��,邊界網(wǎng)關(guān)協(xié)議�,用于自治系統(tǒng) 之間動(dòng)態(tài)交換路由信息的路由協(xié)議�����。
IBGP(Internal Border Gateway Protocol),內(nèi)部BGP,屬于BGP關(guān) 系的一種���,在同一個(gè)自治系統(tǒng)內(nèi)部各路由器之間存在��。用于在各路由 器之間通過BGP協(xié)議傳4番路由信息���。IBGP鄰居關(guān)系也可以在各路由 器與路由反射器RR之間存在,通過路由反射器RR轉(zhuǎn)發(fā)路由信息����。
RR (Route Reflector),路由反射器,用于讓被配置為路由反射器的 路由器向其他IBGP對等體傳輸由IBGP所學(xué)到的路由來修改BGP的 橫向隔離規(guī)則。
核心路由器���,用于各區(qū)域間流量相互訪問的流量轉(zhuǎn)發(fā)�。結(jié)構(gòu)上是 與各區(qū)域的匯聚路由器互聯(lián)�����。
邊緣路由器��,骨干網(wǎng)的邊緣設(shè)備��,用于匯聚下掛區(qū)域的流量���,同時(shí)也作為本區(qū)域的路由匯聚點(diǎn)和轉(zhuǎn)發(fā)點(diǎn)����,負(fù)責(zé)發(fā)布本區(qū)域的路由和接 收外區(qū)域的路由���。
圖1是目前為IP骨干網(wǎng)絡(luò)最常見的網(wǎng)絡(luò)模型�。其中可分為兩個(gè) 層面���, 一為數(shù)據(jù)轉(zhuǎn)發(fā)平面,二為路由轉(zhuǎn)發(fā)平面。其中數(shù)據(jù)轉(zhuǎn)發(fā)平面是 與網(wǎng)元及網(wǎng)元之間的物理線路組成�。以圖l為實(shí)例,IP骨干網(wǎng)絡(luò)才艮據(jù) 網(wǎng)絡(luò)層次不同分為了核心路由器和邊緣路由器���。由邊緣路由器���、核心 路由器和它們之間的線路組成的網(wǎng)絡(luò)可認(rèn)為是數(shù)據(jù)轉(zhuǎn)發(fā)平面。IP數(shù)據(jù) 包就是通過邊緣路由器和核心路由器來實(shí)現(xiàn)互通��。
而路由轉(zhuǎn)發(fā)平面是為了滿足區(qū)域間的路由信息能在網(wǎng)絡(luò)中的所 有路由器相互傳遞而邏輯建立的路由器與路由器的組織關(guān)系�����。以圖1
為實(shí)例����,BGP路由協(xié)議是業(yè)務(wù)路由的傳遞協(xié)議。為了達(dá)到集中控制的 目的��,獨(dú)立設(shè)置了 BGP路由反射器(RR)��。 RR路由反射器的設(shè)定除 了便于集中控制路由信息的分發(fā)外�,還有 一個(gè)重要原因就是消除BGP 協(xié)議不轉(zhuǎn)發(fā)IBGP路由的限制,同時(shí)也減少了網(wǎng)絡(luò)中重復(fù)BGP路由信 息的傳遞��。
圖2示出了目前在IP骨干網(wǎng)中比較常用的兩種IP地址快速封堵 方式。
方式一在每一臺邊緣路由器上設(shè)定針對需要封堵IP地址的黑 洞路由�,當(dāng)該邊緣路由器收到訪問該IP地址的數(shù)據(jù)包就會丟棄該數(shù)據(jù) 包。
方式二在核心路由器或RR路由反射器中設(shè)定需要封堵IP地址 的黑洞路由�,并把該黑洞路由注入IGP或BGP中向全網(wǎng)發(fā)布。全網(wǎng)其 它路由器當(dāng)收到訪問該IP地址的數(shù)據(jù)包時(shí)����,都會把該數(shù)據(jù)包轉(zhuǎn)發(fā)至核 心路由器或RR路由反射器,核心路由器或RR再將其進(jìn)行丟棄�。 但是,上述兩種方式中各自都存在不同的缺點(diǎn)�����。
方式一中�,為了保證其它邊緣路由器下的區(qū)域也無法訪問需要封 堵的IP地址,則需要在所有的邊緣路由器上設(shè)置針對該IP地址的黑 洞路由���。實(shí)施的工作量十分巨大�,同時(shí)不便于全網(wǎng)的數(shù)據(jù)配置管理�����。
方式二中�����,雖然能比較快速地達(dá)到快速IP地址快速封堵的目的�����, 實(shí)施和管理都相對比較簡單����。但由于所有的丟棄工作都在RR路由反射器或核心路由器完成,路由器在進(jìn)行數(shù)據(jù)包丟棄時(shí)會需要消耗資源��,
另一方面�,大量的數(shù)據(jù)包都會被引導(dǎo)至RR路由反射器或核心路由器 可能會致使流量過大、鏈路擁塞��,從而引起核心路由信息包無法正常 接收而引發(fā)的災(zāi)難事件發(fā)生��。
因此���,本發(fā)明希望提出一種方法�,能解決以上兩種方式進(jìn)行IP 地址快速封堵所存在的問題���,尋找一種既能快速實(shí)施�����、方便管理��,同 時(shí)也減少核心設(shè)備的負(fù)擔(dān)�����,訪問需要封堵IP地址的數(shù)據(jù)包應(yīng)在各個(gè)邊 緣路由器就要進(jìn)行丟棄���。
發(fā)明內(nèi)容
本發(fā)明提出了一種方法����,其能夠解決現(xiàn)有技術(shù)中存在的上述缺陷�。 本發(fā)明通過在BGP的路由反射器(RR)把需要封堵的IP地址 通過BGP信息向全網(wǎng)發(fā)布并攜帶特定的BGP虛擬下一跳信息,而在 IP骨干網(wǎng)的邊緣路由器設(shè)置該特定虛擬下一跳IP地址的黑洞路由����。以 至于在IP骨干網(wǎng)的邊緣路由器都會自動(dòng)把訪問該需要封堵IP地址的 流量丟棄,達(dá)到快速封堵IP地址的目的�����。
本發(fā)明提供了一種IP地址快速封堵的方法����,包括在路由反射 器上創(chuàng)建需要封堵的IP地址的黑洞路由�����,并將其注入至BGP路由協(xié) 議中,得到所述需要封堵的IP地址的BGP路由信息���;將所述需要封 堵的IP地址的所述BGP路由信息中的"下一跳Nexthop"屬性設(shè)定為 虛擬下一跳IP地址�;在邊緣路由器中將所述虛擬下一跳IP地址的黑 洞路由設(shè)定為指向所述NullO接口���;所述邊緣路由器在接收到數(shù)據(jù)包 之后���,根據(jù)接收到的所述數(shù)據(jù)包的BGP路由信息中的"下一跳 Nexthop"屬性的IP地扯,計(jì)算接口 ���;如果計(jì)算出來的接口是所述NullO 接口�,所述邊緣路由器則自動(dòng)丟棄所述數(shù)據(jù)包�。
根據(jù)本發(fā)明的方法,在RR路由器上統(tǒng)一設(shè)備需要進(jìn)行封堵的IP 地址�,而所有邊緣路由器在收到由RR發(fā)布的封堵IP地址的BGP信 息后,會自動(dòng)把所有訪問該IP地址的數(shù)據(jù)包全部丟棄�����。本發(fā)明的方法 既能快速實(shí)施、方便管理����,同時(shí)也減少核心設(shè)備的負(fù)擔(dān),訪問需要封 堵IP地址的數(shù)據(jù)包應(yīng)在各個(gè)邊緣路由器就要進(jìn)行丟棄�。
圖l是目前為IP骨干網(wǎng)絡(luò)最常見的網(wǎng)絡(luò)模型; 圖2示出了目前在IP骨干網(wǎng)中比較常用的兩種IP地址快速封堵
方式�;
圖3示出了根據(jù)本發(fā)明的基于BGP虛擬下一跳的IP地址快速封 堵的方法的示例性實(shí)施方式;
行IP地址快速封堵的過程���;
圖5示出了根據(jù)本發(fā)明的示例性實(shí)施方式實(shí)現(xiàn)基于BGP虛擬下 一跳的IP地址快速封堵的步驟��。
具體實(shí)施例方式
圖3示出了根據(jù)本發(fā)明的基于BGP虛擬下一跳的IP地址快速封 堵的方法的示例性實(shí)施方式����,其中�,結(jié)合了以上兩種方式的優(yōu)點(diǎn),在 RR路由反射器統(tǒng)一發(fā)布針對需要封堵IP地址的BGP路由信息���,該 BGP路由信息中攜帶了特殊的BGP下一跳信息��。這種下一跳信息并 不實(shí)際存在�����,而是網(wǎng)絡(luò)管理者在網(wǎng)絡(luò)中特殊設(shè)備的一個(gè)IP地址��,可以 是一個(gè)空閑的7>網(wǎng)IP地址���,也可以是私網(wǎng)IP地址���,所以;陂稱為"虛 擬下一跳"�����。通過RR發(fā)布的方式能達(dá)到快速布署實(shí)施����,便于對封堵IP 地址的管理。
而在所有的邊緣路由器設(shè)定了針對這種特殊"虛擬下一路"IP 地址創(chuàng)建黑洞路由����。而并不像方式一中的設(shè)置針對需要封堵IP地址的 黑洞路由。本發(fā)明中����,路由器在對BGP路由信息選路時(shí)��,會對BGP 信息中的"下一跳Nexthop"屬性進(jìn)行本地路由器出接口的迭代計(jì)算��。 如果發(fā)現(xiàn)收到的BGP信息中的"下一跳"屬性計(jì)算后是一個(gè)黑洞接口 (Null接口 )��,路由器則會自動(dòng)把該數(shù)據(jù)包丟棄����。利用這一點(diǎn)�,所有邊 緣路由器都會自動(dòng)把訪問該需要封堵IP地址的數(shù)據(jù)包丟棄。通過在每 個(gè)邊緣路由器進(jìn)行丟棄���,大大減輕了方式二中核心路由器或RR路由 器的負(fù)擔(dān)�,保證了網(wǎng)絡(luò)和設(shè)備的安全���。行IP地址快速封堵的過程
步驟401:在RR上創(chuàng)建需要封堵的黑洞路由條目���,用于在步驟 402中把相關(guān)的靜態(tài)路由注入至BGP路由協(xié)議中;
步驟402:在RR上把創(chuàng)建的與需要封堵的靜態(tài)黑洞路由注入至 BGP路由協(xié)議中�����。因?yàn)镽R與全網(wǎng)的所有設(shè)備(包括核心路由器、邊 緣路由器)都設(shè)定了 IBGP路由信息�����,所以該條BGP信息會以很快的 速度向全網(wǎng)4番布�����;
步驟403:在RR向全網(wǎng)設(shè)備發(fā)播路由時(shí)進(jìn)行路由策略的重新設(shè) 定��,將需要封堵IP地址的BGP路由中的"下一跳Nexthop"屬性設(shè)定 為虛擬下一if兆IP地址�;
步驟404:在邊緣路由器上設(shè)定將虛擬下一跳IP地址的黑洞路由 指向NuU0接口 。該操作是用于步驟405的路由器的迭代運(yùn)算�;
步驟405:在邊緣路由器對收到的BGP路由信息進(jìn)行BGP "下 一跳Nexthop"屬性的IP地址進(jìn)行迭代運(yùn)算,用于計(jì)算出本身設(shè)備的 出接口信息���;
步驟406:當(dāng)邊緣路由器發(fā)現(xiàn)通過迭代運(yùn)算計(jì)算出來的接口為之 前設(shè)備的黑洞路由的NullO接口時(shí),設(shè)備自動(dòng)丟棄該數(shù)據(jù)包�。
本發(fā)明的實(shí)施方式中,通過由RR路由器發(fā)布需要封堵IP地址 的BGP路由�����,并將其BGP屬性中的"下一路Nexthop"屬性的值更改 為特定的虛擬IP地址����,而在各邊緣的路由器設(shè)定這個(gè)虛擬IP地址的 黑洞路由����,使得各邊緣路由器會自動(dòng)丟棄訪問該需要封堵IP地址的數(shù) 據(jù)包��。
圖5示出了根據(jù)本發(fā)明的示例性實(shí)施方式實(shí)現(xiàn)基于BGP虛擬下 一跳的IP地址快速封堵的步驟�����。
步驟501:網(wǎng)絡(luò)管理者設(shè)定一個(gè)未使用的IP地址或私網(wǎng)IP地址為 虛擬下一跳IP地址�����,凡BGP信息中的Nexthop為該IP地址的都要進(jìn) 行丟棄�;
步驟502:在所有邊緣路由器中設(shè)定指向NullO接口的虛擬下一 跳IP地址的黑洞路由,以便于BGP的進(jìn)行迭代計(jì)算��;步驟503:在區(qū)域的兩臺出口路由器上把配置的這些虛擬管理IP 的靜態(tài)路由器注入至IGP路由表中�����,從而能提供到達(dá)區(qū)域的虛擬管理 IP地址的可達(dá)i 各由�����;
步驟504:在RR路由反射器創(chuàng)建一條針對需要封堵IP地址的黑 洞路由并將其注入BGP路由協(xié)議中,RR中的這種黑洞路由會向網(wǎng)絡(luò) 中所有設(shè)備發(fā)播�。RR路由反射器對這條需要封堵的IP地址的BGP信 息進(jìn)行播布時(shí)會把Nexthop屬性改為虛擬下一跳的IP地址;
步驟505:邊緣路由器在收到BGP路由信息后進(jìn)行"Nexthop" 屬性中IP地址的迭代運(yùn)行�����,如發(fā)現(xiàn)計(jì)算出來的結(jié)果為Null0接口 ��,則 將符合該條路由的數(shù)據(jù)包全部丟棄���;
步驟506:在邊緣路由器丟棄訪問封堵IP地址的數(shù)據(jù)包�����。 通過本發(fā)明的方法�����,不^f旦能快速地實(shí)施IP地址封堵工作,同時(shí)也 保證了骨干網(wǎng)路由信息全面控制����,分擔(dān)了核心路由器在進(jìn)行丟棄封堵 IP數(shù)據(jù)包的壓力至所有的邊緣路由器。
上述實(shí)施方式僅為示例性而非限制性的����,通過閱讀本說明書����,本領(lǐng) 域技術(shù)人員可對上述實(shí)施方式做出各種修改和變化�����,而并不脫離本發(fā)明 的精神和范圍����。本發(fā)明的保護(hù)范圍僅由權(quán)利要求書限定。
權(quán)利要求
1. 一種IP地址快速封堵的方法�����,包括在路由反射器上創(chuàng)建需要封堵的IP地址的黑洞路由���,并將其注入至BGP路由協(xié)議中���,得到所述需要封堵的IP地址的BGP路由信息;將所述需要封堵的IP地址的所述BGP路由信息中的“下一跳Nexthop”屬性設(shè)定為虛擬下一跳IP地址�����;在邊緣路由器中將所述虛擬下一跳IP地址的黑洞路由設(shè)定為指向所述Null0接口;所述邊緣路由器在接收到數(shù)據(jù)包之后����,根據(jù)接收到的所述數(shù)據(jù)包的BGP路由信息中的“下一跳Nexthop”屬性的IP地址,計(jì)算接口���;如果計(jì)算出來的接口是所述Null0接口��,所述邊緣路由器則自動(dòng)丟棄所述數(shù)據(jù)包���。
2. 如權(quán)利要求l所述的方法,其中�����,所述接口是根據(jù)接收到的所 述數(shù)據(jù)包的BGP路由信息中的"下一跳Nexthop��,�����,屬性的IP地址進(jìn)行 迭代計(jì)算得出的��。
3.如權(quán)利要求1所述的方法�,其中,所述虛擬下一跳IP地址為 未{吏用的IP地址或私網(wǎng)IP i也址��。
4.如權(quán)利要求1所述的方法���,其中�,所述路由反射器在需要對 所述需要封堵的IP地址的BGP信息進(jìn)行播布時(shí)�,才將所述需要封堵 的IP地址的所述BGP路由信息中的"下一跳Nexthop"屬性設(shè)定為虛 擬下一跳IP地址。
全文摘要
本發(fā)明提出了一種IP地址快速封堵的方法����,通過在BGP的路由反射器(RR)把需要封堵的IP地址通過BGP信息向全網(wǎng)發(fā)布并攜帶特定的BGP虛擬下一跳信息,而在IP骨干網(wǎng)的邊緣路由器設(shè)置該特定虛擬下一跳IP地址的黑洞路由�。以至于在IP骨干網(wǎng)的邊緣路由器都會自動(dòng)把訪問該需要封堵IP地址的流量丟棄,達(dá)到快速封堵IP地址的目的��。
文檔編號H04L12/56GK101436995SQ20081021967
公開日2009年5月20日 申請日期2008年12月4日 優(yōu)先權(quán)日2008年12月4日
發(fā)明者范春湘, 武 趙, 煒 鄧 申請人:中國移動(dòng)通信集團(tuán)廣東有限公司