專利名稱:一種互聯(lián)網(wǎng)環(huán)路防控方法
技術(shù)領(lǐng)域:
本發(fā)明涉及了互聯(lián)網(wǎng)環(huán)路問題��,尤其涉及靜態(tài)路由的環(huán)路預(yù)防和監(jiān)控方法���,屬 于信息技術(shù)領(lǐng)域�。
背景技術(shù):
隨著互聯(lián)網(wǎng)的高速發(fā)展����,互聯(lián)網(wǎng)的交換和路由技術(shù)越來越復(fù)雜���,網(wǎng)絡(luò)環(huán)路問題 也越來越嚴重。在交換域����,采用冗余路徑提高網(wǎng)絡(luò)生存能力的同時����,也導致網(wǎng)絡(luò)可能出 現(xiàn)二層環(huán)路。生成樹協(xié)議(spanning tree protocol)雖然在算法上避免了二層環(huán)路的形成�����, 但當網(wǎng)絡(luò)出現(xiàn)異常時���,比如鏈路單向連通時��,還是可能出現(xiàn)二層環(huán)路故障�����。環(huán)路保護技 術(shù)(loop guard)就是解決這個問題的一種可行方法����。端口環(huán)路檢測技術(shù)致力于發(fā)現(xiàn)網(wǎng)絡(luò) 中存在的環(huán)路問題,并采取相應(yīng)的阻斷措施�����,是一種在線的監(jiān)測和處理技術(shù)�。
由于三層路由的地域跨度更大,路由協(xié)議更多���,在三層上的環(huán)路問題就更加嚴 重���。由于IP數(shù)據(jù)包中包含生存時間標記(Time To Live),而且每經(jīng)過一個路由器�����,生存時 間標記就會減小���,這樣即使網(wǎng)絡(luò)中有三層環(huán)路��,IP包在環(huán)路中傳輸多條后將會被丟棄�, 這樣當進入環(huán)路流量較小時,還不會對網(wǎng)絡(luò)性能產(chǎn)生嚴重的影響���。由于網(wǎng)絡(luò)測量中通常 會設(shè)置較小的生存時間標記����,來測量一段網(wǎng)絡(luò)路徑的帶寬�����、延遲等性能���,所以并不能由 于出現(xiàn)了生存時間標記耗盡的IP包,就認為有環(huán)路出現(xiàn)����。這樣,三層環(huán)路的有效監(jiān)測就 非常困難��。動態(tài)路由算法雖然可能出現(xiàn)暫態(tài)的三層環(huán)路����,但當網(wǎng)絡(luò)穩(wěn)定下來后,動態(tài)路 由算法完全可以避免環(huán)路的出現(xiàn)�����。靜態(tài)路由的情況就完全不同,當鏈路斷開或設(shè)備故障 時����,由于缺乏路由信息的傳遞和處理,會長期處于三層環(huán)路狀態(tài)��,為網(wǎng)絡(luò)正常運行帶來 致命缺陷����。同時,通過我們對當前網(wǎng)絡(luò)的監(jiān)測���,也發(fā)現(xiàn)了數(shù)以千計的三層環(huán)路����?����?傊?�, 互聯(lián)網(wǎng)環(huán)路避免����、監(jiān)測和阻斷技術(shù)既十分重要���,又面臨巨大的挑戰(zhàn)。發(fā)明內(nèi)容
有鑒于此�����,本發(fā)明致力于提供一種互聯(lián)網(wǎng)環(huán)路的預(yù)防和監(jiān)控�。
本發(fā)明的上述目的是通過如下的技術(shù)方案予以實現(xiàn)的
一種互聯(lián)網(wǎng)環(huán)路防控方法,其用于預(yù)防互聯(lián)網(wǎng)環(huán)路的部分包括
al.將路由器多個端口上的可聚合靜態(tài)路由聚合��,在所述路由器中添加聚合后的 聚合路由����,將該聚合路由的下一跳地址設(shè)置為丟棄接口 ����;
a2.在路由器中將各個不可聚合的下行接口分割,并在所述路由器中增加分割后 的路由����,將所述分割后的路由的下一跳地址設(shè)置為原路由的下一跳地址,并將原路由的 下一跳地址設(shè)置為丟棄接口�����。
此外,所述互聯(lián)網(wǎng)環(huán)路防控方法中用于監(jiān)控互聯(lián)網(wǎng)環(huán)路的部分包括
bl.當數(shù)據(jù)包通過網(wǎng)絡(luò)設(shè)備時��,所述網(wǎng)絡(luò)設(shè)備監(jiān)測該數(shù)據(jù)包是否含有所述網(wǎng)絡(luò)設(shè) 備特有的指紋��,若是�,則進行網(wǎng)絡(luò)環(huán)路測試,否則根據(jù)設(shè)定的策略確定是否將所述網(wǎng)絡(luò) 設(shè)備特有的指紋加入所述數(shù)據(jù)包���;所述網(wǎng)絡(luò)環(huán)路測試包括
所述網(wǎng)絡(luò)設(shè)備向所述數(shù)據(jù)包的目的地址發(fā)送設(shè)定的測試數(shù)據(jù)包�����,如果在設(shè)定的 時間內(nèi)���,所述網(wǎng)絡(luò)設(shè)備收到所述測試數(shù)據(jù)包,則確認所述網(wǎng)絡(luò)設(shè)備存在環(huán)路并進行環(huán)路 排除操作����,比如進行日志記錄;在設(shè)定的時間內(nèi)丟棄進入環(huán)路的數(shù)據(jù)包���;和通知網(wǎng)絡(luò)管理人員等��。
在上述bl步驟中�����,所述設(shè)定的策略可以是將所述網(wǎng)絡(luò)設(shè)備特有的指紋加入所述 數(shù)據(jù)包�,即默認對于所有經(jīng)過該網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包,只要該數(shù)據(jù)包不含有該網(wǎng)絡(luò)設(shè)備特 有的指紋��,就將該網(wǎng)絡(luò)設(shè)備特有的指紋加入該數(shù)據(jù)包�。
另外,在上述bl步驟中���,所述設(shè)定的策略可以是最高指紋密度策略�,所述最高 指紋密度策略包括若所述數(shù)據(jù)包沒有指紋信息����,則將所述網(wǎng)絡(luò)設(shè)備特有的指紋插入所 述數(shù)據(jù)包,并使所述網(wǎng)絡(luò)設(shè)備的指紋密度大于設(shè)定的下限�����,所述指紋密度表示通過所述 網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包中含有所述網(wǎng)絡(luò)設(shè)備特有的指紋信息的數(shù)據(jù)包的占比�����。根據(jù)這一思 路���,上述最高指紋密度策略可按下列方法實施i.初始化時����,將所述網(wǎng)絡(luò)設(shè)備的當前信 用值β設(shè)置為0��,β的值域為hY����,Y],Y為正整數(shù)�;ii.當所述網(wǎng)絡(luò)設(shè)備收到一個數(shù)據(jù) 包后,調(diào)用函數(shù)SFO����,若函數(shù)值小于指紋密度α,貝IJ β力卩1 �;所述SFO是值域為(0, 1)的均勻分布隨機函數(shù)�;iii.檢查所述數(shù)據(jù)包是否包含指紋信息,若否���,則將所述網(wǎng)絡(luò)設(shè) 備特有的指紋插入所述數(shù)據(jù)包�����,β減1����,并發(fā)送所述數(shù)據(jù)包;iv.若是��,則判斷β是否等 于Y�,若β不等于Y,則發(fā)送所述數(shù)據(jù)包�����;若β等于Y����,則用所述網(wǎng)絡(luò)設(shè)備特有的指 紋替換所述數(shù)據(jù)包中的指紋,β減1����,并發(fā)送所述數(shù)據(jù)包。
另外�����,在上述bl步驟中����,所述設(shè)定的策略可以是最低指紋密度策略,所述最低 指紋密度策略包括盡可能采用指紋插入方法���,力圖避免使用指紋替換方法���;使所述網(wǎng) 絡(luò)設(shè)備的指紋密度不低于設(shè)定的下限,所述指紋密度表示通過所述網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包中 含有所述網(wǎng)絡(luò)設(shè)備特有的指紋信息的數(shù)據(jù)包的占比���。根據(jù)這一思路��,上述最低指紋密度 策略可按下列方法實施i.初始化時���,將所述網(wǎng)絡(luò)設(shè)備的當前信用值β設(shè)置為0,β的 值域為hY��,Y]�,Y為正整數(shù);ii當所述網(wǎng)絡(luò)設(shè)備收到一個數(shù)據(jù)包后�,調(diào)用函數(shù)SF0, 若函數(shù)值小于指紋密度α�����,則β加1 ;所述SFO是值域為(0���,1)的均勻分布隨機函數(shù)�; iii.檢查所述數(shù)據(jù)包是否包含指紋信息���,若否���,則判斷β是否等于-Y,若β等于-Y�����, 則直接發(fā)送所述數(shù)據(jù)包����;若β不等于-Y,則將所述網(wǎng)絡(luò)設(shè)備特有的指紋插入所述數(shù)據(jù) 包����,β減1,并發(fā)送該數(shù)據(jù)包;若是���,則檢查β是否等于Y,若β不等于Y����,則發(fā)送 所述數(shù)據(jù)包;若β等于Y����,則用所述網(wǎng)絡(luò)設(shè)備特有的指紋替換所述數(shù)據(jù)包中的指紋,β 減1�,并發(fā)送所述數(shù)據(jù)包。
上述最高指紋密度策略和最低指紋密度策略分別用于單路由器保護和自治域保 護這兩種情形�。
本專利技術(shù)應(yīng)用的初期,為了保護已有的設(shè)備投資��,在保持自治域其它網(wǎng)絡(luò)設(shè) 備不升級替換的情況下���,在關(guān)鍵路由器設(shè)備上單獨實施本專利技術(shù)的情況下����,關(guān)鍵路由 器設(shè)備應(yīng)當采用最高指紋密度策略��。在此環(huán)境下,所有關(guān)鍵路由器輸出的數(shù)據(jù)包都包含 指紋信息�����,這樣所有經(jīng)過關(guān)鍵路由器的環(huán)路都會被該關(guān)鍵路由器檢測到����,而且所有再次 經(jīng)過關(guān)鍵路由器的環(huán)路數(shù)據(jù)包都會被其丟棄。所以最高指紋密度策略可以單獨為關(guān)鍵路 由器提供環(huán)路監(jiān)控�。
本專利技術(shù)應(yīng)用的后期,自治域中的大量網(wǎng)絡(luò)設(shè)備都實施本專利技術(shù)的情況5下����,路由器設(shè)備應(yīng)當采用最低指紋密度策略。在此環(huán)境下采用最高指紋密度策略有兩個 缺陷��,一方面�,最高指紋密度策略會由于高頻率的指紋插入和指紋替換帶來的較高計算 開銷;另一方面�����,最高指紋密度策略會會導致高比例的指紋替換���,而高比例的指紋替換 會降低環(huán)路發(fā)現(xiàn)的概率��,增大環(huán)路發(fā)現(xiàn)的延遲��。而采用最低指紋密度策略��,通?����?梢员?免指紋替換的情況�����,避免最高指紋密度策略的上面兩個缺陷���。
在本發(fā)明的方法中,所述指紋信息中除了包含本設(shè)備的私有信息外�,還可以包 含根據(jù)數(shù)據(jù)包的源地址和目的地址生成的指紋驗證信息,該指紋驗證信息可以幫助網(wǎng)絡(luò) 設(shè)備驗證指紋信息的真實性�。
本發(fā)明具有如下技術(shù)效果
1、在路由器上采用路由聚合方法���,可以避免出現(xiàn)路由環(huán)路�����。當被匯聚的端口出 現(xiàn)鏈路故障等原因�����,導致對應(yīng)的靜態(tài)路由信息無效時���,聚合路由可以丟失受到影響的數(shù) 據(jù)包����,從而避免路由環(huán)路的出現(xiàn)����。
2、在路由器上采用路由分割方法��,可以避免出現(xiàn)路由環(huán)路�����。當被實施路由分割 的端口出現(xiàn)鏈路故障等原因����,導致分割后的更細的靜態(tài)路由信息無效時,由于被分割的 子網(wǎng)或路由的下一跳為丟棄接口���,從而避免路由環(huán)路的出現(xiàn)����。
3、由于三層路由的地域跨度大���,協(xié)議復(fù)雜���,目前仍無完全有效的環(huán)路避免方 法。但基于指紋信息的環(huán)路監(jiān)測方法�,能有效地在線識別數(shù)據(jù)包中的環(huán)路流���,可以同時 監(jiān)測到二層環(huán)路和三層環(huán)路����。
4���、基于指紋信息的環(huán)路監(jiān)控方法可以單點實施���。僅在重點保護的網(wǎng)絡(luò)設(shè)備上, 采用最高指紋密度策略����,就可以丟棄所有通過該設(shè)備的環(huán)路流�����。
5����、基于指紋信息的環(huán)路監(jiān)控方法也可以大范圍實施�,采用最低指紋密度策略, 可以有效避免設(shè)備間的指紋污染�����。
6�、基于指紋信息的環(huán)路監(jiān)控方法可以在網(wǎng)絡(luò)的不同設(shè)備上同時實施最低指紋密 度策略和最高指紋密度策略,環(huán)路監(jiān)控功能仍能有效工作��。
7�、基于指紋信息的環(huán)路監(jiān)控方法可以在指紋中加入指紋驗證信息,可以有效地 避免指紋仿冒�,具有較高的準確性;同時���,還采用進一步的環(huán)路測試����,杜絕誤報信息。
8�、基于指紋信息的環(huán)路監(jiān)控方法在環(huán)路確認后,進一步采取環(huán)路阻斷技術(shù)�,可 以進一步降低環(huán)流的影響。
9�����、基于指紋信息的環(huán)路監(jiān)控方法可以在指紋中加入私有信息���,這樣就可以 VLAN號等信息加入到私有信息��,從而支持更復(fù)雜的網(wǎng)絡(luò)環(huán)境。
圖1為實施例中路由器的接口路由聚合技術(shù)的示意圖2為實施例中路由器的中繼路由聚合技術(shù)的示意圖3為實施例中路由器的接口路由分割技術(shù)的示意圖4為實施例中路由器的中繼路由分割技術(shù)的示意圖5為實施例在IPv6網(wǎng)絡(luò)環(huán)境中的指紋信息格式����;
圖6為實施例中最高指紋密度策略的示意圖7為實施例中最高指紋密度策略的示意圖;6
圖8為實施例中在線環(huán)路監(jiān)測�,測試和阻斷的示意圖9為實施例中在VLAN單臂路由中應(yīng)用的示意圖10為實施例網(wǎng)絡(luò)設(shè)備中配置的保密信息具體實施方式
下面結(jié)合附圖和具體實施例對本發(fā)明進行詳細說明。
下列實施例在以IPv6網(wǎng)絡(luò)環(huán)境為基礎(chǔ)���,來實現(xiàn)網(wǎng)絡(luò)環(huán)路的預(yù)防和監(jiān)控���。
采用路由聚合技術(shù)避免網(wǎng)絡(luò)環(huán)路
圖1上部為一個邊緣路由器的網(wǎng)絡(luò)配置���,其兩個下行接口的網(wǎng)絡(luò)地址是相連 的,分別為 2001:0CC0:2049::l/49 和 2001:0CC0:2049:8000::l/49���,這種配置在下行接口 鏈路出現(xiàn)故障時����,就很有可能在這個邊緣路由器和其上游路由器間形成網(wǎng)絡(luò)環(huán)路�����。譬如 當下行接口 1的鏈路斷開時���,發(fā)送到地址2001:0CC0:2049::2的數(shù)據(jù)包就可能在該邊緣路 由器和其上游路由器間形成網(wǎng)絡(luò)環(huán)路����。由于該邊緣路由器的兩個下行接口網(wǎng)絡(luò)地址相 連���,我們可以采用路由匯聚技術(shù)��,如圖1下部所示���,通過添加一個匯聚路由“ipvemute 2001:0CC0:2049::0/48Null0"��,就可以避免環(huán)路的產(chǎn)生���。譬如當下行接口 1的鏈路斷開 時,發(fā)送到地址2001:0CC0:2049::2首先匹配的路由是2001:0CC0:2049::0/48,而不是采 用缺省路由�����。從而該數(shù)據(jù)包就會被丟棄�,而不是根據(jù)缺省路由返回上游路由器,這樣就 避免了網(wǎng)絡(luò)環(huán)路����。
圖2上部為一個中繼路由器的網(wǎng)絡(luò)配置,其兩個中繼路由是相連的�,分別 為 2001:0CC0:2050::0/49 禾口 2001:0CC0:2050:8000::0/49,這種配置在下行接口 鏈路出 現(xiàn)故障時,就很有可能在這個中繼路由器和其上游路由器間形成網(wǎng)絡(luò)環(huán)路�����。譬如當 下行接口 1的鏈路斷開時�����,發(fā)送到地址2001:0CC0:2050::2的數(shù)據(jù)包就可能在該中繼路 由器和其上游路由器間形成網(wǎng)絡(luò)環(huán)路�����。由于該中繼路由器的兩個中繼路由是相連����, 我們可以采用路由匯聚技術(shù),如圖2下部所示���,通過添加一個匯聚路由“ipvemute 2001:0CC0:2050::0/48Null0"��,就可以避免環(huán)路的產(chǎn)生����。譬如當下行接口 1的鏈路斷開 時��,發(fā)送到地址2001:0CC0:2050::2首先匹配的路由是2001:0CC0:2050::0/48�����,而不是采 用缺省路由�����。從而該數(shù)據(jù)包就會被丟棄,而不是根據(jù)缺省路由返回上游路由器����,這樣就 避免了網(wǎng)絡(luò)環(huán)路。
采用路由分割技術(shù)避免網(wǎng)絡(luò)環(huán)路
圖3上部為一個邊緣路由器的網(wǎng)絡(luò)配置���,其下行接口 3的網(wǎng)絡(luò)地址 2001:0CC0:2037::l/48無法與其它接口聚合�����,當下行接口 3的鏈路故障時�,就可能出現(xiàn)網(wǎng) 絡(luò)環(huán)路�����。為此��,我們采用如圖3下部所示的路由分割技術(shù)�����。把原來的下行接口 3分割為 兩個子接口下行接口 3.1�����,網(wǎng)絡(luò)地址2001:0CC0:2037:0::l/49 ���;下行接口 32����,網(wǎng)絡(luò)地址 2001:0CC0:2037:8000::l/49o 再在該邊緣路由器上更改路由 “2001:0CC0:2037::0/48” 的 下一跳為NullO����,就避免了網(wǎng)絡(luò)環(huán)路的問題。譬如當下行接口 3的鏈路斷開時�,發(fā)送到地 址2001:0CC0:2037::2首先匹配的路由是2001:0CC0:2037::0/48,而不是采用缺省路由。 從而該數(shù)據(jù)包就會被丟棄�����,而不是根據(jù)缺省路由返回上游路由器�����,這樣就避免了網(wǎng)絡(luò)環(huán) 路��。
圖4上部為一個中繼路由器的網(wǎng)絡(luò)配置����,其一條中繼路由2001:0CC0:2040::l/48無法與其它路由聚合����,當下行接口 3的鏈路故障時�,就可能出現(xiàn)網(wǎng)絡(luò)環(huán)路。為 此���,我們采用如圖4下部所示的路由分割技術(shù)���。把原來的中繼路由為兩個子路 由2001:0CC0:2040:0::0/49 和 2001:0CC0:2040:8000::0/49,其下一跳都指向 2001:0CC0:2037::2�����。 再在該中繼路由器上更改路由“2001:0CC0:2040::0/48”的下一 跳為NullO����,就避免了網(wǎng)絡(luò)環(huán)路的問題。譬如當下行接口 3的鏈路斷開時�����,發(fā)送到地址 2001:0CC0:2040::2首先匹配的路由是2001:0CC0:2040::0/48��,而不是采用缺省路由。從而 該數(shù)據(jù)包就會被丟棄��,而不是根據(jù)缺省路由返回上游路由器��,這樣就避免了網(wǎng)絡(luò)環(huán)路���。
協(xié)議擴展
為了滿足網(wǎng)絡(luò)環(huán)路監(jiān)測的要求,需要擴展現(xiàn)有IPv6標準�,在IP包頭中環(huán)路監(jiān)測 信息是通過逐跳擴展頭(Hop-by-Hop Options Header)來攜帶的。
增加一個擴展頭���,其值暫定為102�����,對應(yīng)的關(guān)鍵字為LPDT����。如圖5所示��,該擴 展頭的格式如下
第1個八比特組為下一個包頭的類型���;
第2個八比特組為擴展頭長度��,指明環(huán)路監(jiān)測擴展頭的長度���,以8個八比特組的 數(shù)量來表示����,并且不包括最開始的8個八比特組��;其值為3 �����;
第3個八比特組為擴展類型���,其值為12 �;
第4個八比特組為擴展數(shù)據(jù)長度�,其值為觀;
第5個八比特組到第20個八比特組為設(shè)備的IPv6地址��;
第21個八比特組到第M個八比特組為設(shè)備的私有信息���,比如存儲其VLAN號 等�����;
第25個八比特組到第觀個八比特組為指紋信息的序列號�����;
第四個八比特組到第32個八比特組為指紋信息的驗證信息�����;
最高指紋密度策略
圖6是最高指紋密度策略的示意圖�。設(shè)備的信用額度Y為正整數(shù)����,設(shè)備的當前 信用值β的取值范圍為hY,Y]�,設(shè)備的指紋密度α取值范圍(0,1)�����,SFO是取值 為(0����,1)間的均勻分布隨機函數(shù)。設(shè)備初始化時設(shè)定β= 0�。當設(shè)備收到一個數(shù)據(jù)包 后�����,就調(diào)用函數(shù)SFO�����,若其值小于指紋密度α�����,當前信用值β就增加1����,并且保證其值 不大于Y����。
再檢查這個數(shù)據(jù)包是否包含指紋信息。
若不包含�����,就插入指紋信息�,當前信用值β就減少1,并且保證其值不小 于-Y�����,并發(fā)送該數(shù)據(jù)包。
若包含指紋信息�����,就檢查β是否等于Y�����。若β不等于L就發(fā)送該數(shù)據(jù)包����。 若β等于Y�����,就替換數(shù)據(jù)包P中的指紋信息��,當前信用值β就減少1�,并且保證其值不 小于-Y,并發(fā)送該數(shù)據(jù)包���。
最高指紋密度策略為所有無指紋信息的數(shù)據(jù)包添加指紋信息���,并保證輸出數(shù)據(jù) 包中本設(shè)備的指紋密度大于α�。
最低指紋密度策略
圖7是最低指紋密度策略的示意圖���。設(shè)備的信用額度Y為正整數(shù)�,設(shè)備的當前 信用值β的取值范圍為hY����,Y],設(shè)備的指紋密度α取值范圍(0����,1),SFQ是取值8為(0�,1)間的均勻分布隨機函數(shù)。設(shè)備初始化時設(shè)定β= 0�。當設(shè)備收到一個數(shù)據(jù)包 后,就調(diào)用函數(shù)SFO�,若其值小于指紋密度α,當前信用值β就增加1��,并且保證其值 不大于Y�。
再檢查這個數(shù)據(jù)包是否包含指紋信息。
若不包含,再判斷β是否等于-Y��。若β等于-Y��,直接發(fā)送該數(shù)據(jù)包����。若 β不等于-Y,就插入指紋信息��,當前信用值β就減少1�,并且保證其值不小于-Y,并 發(fā)送該數(shù)據(jù)包�����。
若包含指紋信息����,就檢查β是否等于Y����。若β不等于L就發(fā)送該數(shù)據(jù)包。 若β等于Y�,就替換數(shù)據(jù)包P中的指紋信息,當前信用值β就減少1,并且保證其值不 小于-Y����,并發(fā)送該數(shù)據(jù)包。
最低指紋密度策略在避免指紋替換的同時����,保證輸出數(shù)據(jù)包中本設(shè)備的指紋密 度大于α。
最高指紋密度策略下在線環(huán)路監(jiān)測����,測試和阻斷
在如圖8所示的網(wǎng)絡(luò)拓撲中,僅在路由器R2上部署最高指紋密度策略��,其它路 由器都未部署環(huán)路檢查功能����。當路由器R3到路由器R6的鏈路失效時,現(xiàn)有的靜態(tài)路由 可能在路由器R2��、路由器R3�����、路由器R4和路由器R5間形成環(huán)路��。由于路由器R2部署 了最高指紋密度策略,而經(jīng)過路由器R2的數(shù)據(jù)包都不包含其它設(shè)備的指紋信息����,從而當 這些第一次流經(jīng)路由器R2的數(shù)據(jù)包離開時,都帶有路由器R2的指紋信息���,當這些數(shù)據(jù) 包通過環(huán)路再次進入路由器R2時���,路由器R2就發(fā)現(xiàn)這些數(shù)據(jù)包含有其指紋信息,表明 其為可疑環(huán)路流���,從而會丟棄這些數(shù)據(jù)包�����。同時啟動環(huán)路檢查�����,發(fā)現(xiàn)目的地址為路由器 R6的數(shù)據(jù)流會形成環(huán)路��,從而通過加載過濾器,過濾丟所有目的地址為路由器R6的數(shù)據(jù) 包����。這樣環(huán)路流在第一次進入路由器R2時���,就丟棄之。同時路由器R2還會將環(huán)路信 息通過SNMP陷阱方式���,上報管理站���,管理人員就可疑排除網(wǎng)絡(luò)環(huán)路。
最低指紋密度策略下在線環(huán)路監(jiān)測�����,測試和阻斷
在如圖8所示的網(wǎng)絡(luò)拓撲中����,在路由器R1、路由器R2�����、路由器R3��、路由器 R4��、路由器R5和路由器R6上都部署最低指紋密度策略,其指紋密度為a���。當路由器 R3到路由器R6的鏈路失效時��,現(xiàn)有的靜態(tài)路由可能在路由器R2�����、路由器R3����、路由器R4 和路由器R5間形成環(huán)路�。環(huán)路流繞行一圈后含有指紋信息的比例為4* α,這些含有指 紋信息的數(shù)據(jù)包在下一次繞行中就會被丟棄�,所以最終這些環(huán)流會被丟棄。更關(guān)鍵的是 路由器R2��、路由器R3���、路由器R4和路由器R5將發(fā)現(xiàn)可疑環(huán)流�����,并啟用環(huán)路檢查��,發(fā)現(xiàn) 目的地址為路由器R6的數(shù)據(jù)流會形成環(huán)路����,從而通過加載過濾器�����,過濾丟所有目的地址 為路由器R6的數(shù)據(jù)包��。這樣環(huán)路流在第一次進入路由器R2��、路由器R3�、路由器R4和 路由器R5時,就丟棄之���。同時路由器R2����、路由器R3�、路由器R4和路由器R5還會將 環(huán)路信息通過SNMP陷阱方式,上報管理服務(wù)器�����,管理人員就可疑排除網(wǎng)絡(luò)環(huán)路。
混合策略下在線環(huán)路監(jiān)測�,測試和阻斷
在如圖8所示的網(wǎng)絡(luò)拓撲中,在路由器R2上部署最高指紋密度策略��,在路由器 RU路由器R3����、路由器R4、路由器R5和路由器R6上都部署最低指紋密度策略����,其指 紋密度為α。當路由器R3到路由器R6的鏈路失效時��,現(xiàn)有的靜態(tài)路由可能在路由器 R2�、路由器R3、路由器R4和路由器R5間形成環(huán)路�。環(huán)路流繞行一圈后大部分含有路9由器R2的指紋信息,在再次進入路由器R2時被丟棄��,其它數(shù)據(jù)包會分別被路由器R3���、 路由器R4�����、路由器R5發(fā)現(xiàn)并丟棄�����。路由器R2�、路由器R3�、路由器R4和路由器R5將 發(fā)現(xiàn)可疑環(huán)流,并啟用環(huán)路檢查�����,發(fā)現(xiàn)目的地址為路由器R6的數(shù)據(jù)流會形成環(huán)路����,從而 通過加載過濾器,過濾丟所有目的地址為路由器R6的數(shù)據(jù)包���。這樣環(huán)路流在第一次進入 路由器R2�、路由器R3���、路由器R4和路由器R5時�����,就丟棄之�。同時路由器R2、路由器 R3�����、路由器R4和路由器R5還會將環(huán)路信息通過SNMP陷阱方式�,上報管理站,管理人 員就可疑排除網(wǎng)絡(luò)環(huán)路�����。
VLAN單臂路由器
如圖9所示的單臂路由環(huán)境��,主機PCl到主機PC2的數(shù)據(jù)包會先進入交換機的端 口 2�,加上VLANlO的標簽后,出交換機端口 1到達路由器的接口 1�����。路由器通過路由計 算后���,會出路由器的接口 1���,進入交換機的端口 1���,作為VLAN20的數(shù)據(jù)包出端口 3,最 后到達主機PC2�。這樣數(shù)據(jù)包會進出交換機兩次,但由于指紋信息中包含了 VLAN號���, 不會出現(xiàn)誤判���。當該數(shù)據(jù)包第二次進入交換機時����,雖然交換機會發(fā)現(xiàn)指紋信息中的IP地 址為本設(shè)備,但指紋信息中的VLAN號為10��,第二次進入時的VLAN號為20�,從而可以 判定這個數(shù)據(jù)包不是環(huán)路流,從而能避免誤判��。
指紋驗證信息
如圖10所示�����,在網(wǎng)絡(luò)設(shè)備中配置保密信息長度為4字節(jié),然后將數(shù)據(jù)包的目的 地址�����、源地址����、設(shè)備地址、設(shè)備私有信息�����、序列號和保密信息一道作為輸入信息��,通過 MD4變換���,得到16個字節(jié)的輸出�,并將MD 4輸出的前四個字節(jié)賦值給指紋驗證信息�。 由于攻擊者網(wǎng)絡(luò)設(shè)備無法得到網(wǎng)絡(luò)設(shè)備中配置的保密信息,就無法得到指紋驗證信息���, 從而網(wǎng)絡(luò)設(shè)備能很方便地鑒別數(shù)據(jù)包中的指紋信息是否是本設(shè)備的���。
權(quán)利要求
1.一種互聯(lián)網(wǎng)環(huán)路防控方法�����,包括al.將路由器多個端口上的可聚合靜態(tài)路由聚合���,在所述路由器中添加聚合后的聚合 路由,將該聚合路由的下一跳地址設(shè)置為丟棄接口����;a2.在路由器中將各個不可聚合的下行接口分割,并在所述路由器中增加分割后的路 由���,將所述分割后的路由的下一跳地址設(shè)置為原路由的下一跳地址�����,并將原路由的下一 跳地址設(shè)置為丟棄接口。
2.如權(quán)利要求1所述的互聯(lián)網(wǎng)環(huán)路防控方法��,其特征在于��,所述方法還包括當數(shù)據(jù)包通過網(wǎng)絡(luò)設(shè)備時�����,所述網(wǎng)絡(luò)設(shè)備監(jiān)測該數(shù)據(jù)包是否含有所述網(wǎng)絡(luò)設(shè)備特有的指紋,若是�����,則進行網(wǎng)絡(luò)環(huán)路測試�,否則根據(jù)設(shè)定的策略確定是否將所述網(wǎng)絡(luò)設(shè)備特 有的指紋加入所述數(shù)據(jù)包;所述網(wǎng)絡(luò)環(huán)路測試包括所述網(wǎng)絡(luò)設(shè)備向所述數(shù)據(jù)包的目的地址發(fā)送設(shè)定的測試數(shù)據(jù)包��,如果在設(shè)定的時間 內(nèi)���,所述網(wǎng)絡(luò)設(shè)備收到所述測試數(shù)據(jù)包����,則確認所述網(wǎng)絡(luò)設(shè)備存在環(huán)路并進行環(huán)路排除 操作�。
3.如權(quán)利要求2所述的互聯(lián)網(wǎng)環(huán)路防控方法,其特征在于�,所述環(huán)路排除操作包括 進行日志記錄;在設(shè)定的時間內(nèi)丟棄進入環(huán)路的數(shù)據(jù)包���;和通知網(wǎng)絡(luò)管理人員�����。
4.如權(quán)利要求2所述的互聯(lián)網(wǎng)環(huán)路防控方法�����,其特征在于�����,所述設(shè)定的策略是將所述 網(wǎng)絡(luò)設(shè)備特有的指紋加入所述數(shù)據(jù)包�。
5.如權(quán)利要求2所述的互聯(lián)網(wǎng)環(huán)路防控方法,其特征在于���,所述網(wǎng)絡(luò)設(shè)備各自獨立地 采用不同的指紋加入策略�����。
6.如權(quán)利要求2所述的互聯(lián)網(wǎng)環(huán)路防控方法���,其特征在于,所述網(wǎng)絡(luò)設(shè)備獨立地采用 最高指紋密度策略��,所述最高指紋密度策略包括若所述數(shù)據(jù)包沒有指紋信息����,則將所 述網(wǎng)絡(luò)設(shè)備特有的指紋插入所有無指紋信息的數(shù)據(jù)包���,并使所述網(wǎng)絡(luò)設(shè)備的指紋密度大 于設(shè)定的下限��,所述指紋密度表示通過所述網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包中含有所述網(wǎng)絡(luò)設(shè)備特有 的指紋信息的數(shù)據(jù)包的占比�����。
7.如權(quán)利要求6所述的互聯(lián)網(wǎng)環(huán)路防控方法����,其特征在于,所述最高指紋密度策略按 下列方法實施i.初始化時��,將所述網(wǎng)絡(luò)設(shè)備的當前信用值β設(shè)置為0�,β的值域為hY,Y]�,Y 為正整數(shù);ii當所述網(wǎng)絡(luò)設(shè)備收到一個數(shù)據(jù)包后���,調(diào)用函數(shù)SF0���,若函數(shù)值小于指紋密度α, 則β力卩1 �����;所述SFO是值域為(0,1)的均勻分布隨機函數(shù)�����;iii.檢查所述數(shù)據(jù)包是否包含指紋信息����,若否,則將所述網(wǎng)絡(luò)設(shè)備特有的指紋插入所 述數(shù)據(jù)包�����,β減1���,并發(fā)送所述數(shù)據(jù)包���;iv.若是,則判斷β是否等于Y��,若β不等于Y����,則發(fā)送所述數(shù)據(jù)包�;若β等于 Y,則用所述網(wǎng)絡(luò)設(shè)備特有的指紋替換所述數(shù)據(jù)包中的指紋�,β減1����,并發(fā)送所述數(shù)據(jù) 包。
8.如權(quán)利要求2所述的互聯(lián)網(wǎng)環(huán)路防控方法�,其特征在于,所述網(wǎng)絡(luò)設(shè)備獨立地采用 最低指紋密度策略����,所述最低指紋密度策略包括盡可能采用指紋插入方法,力圖避免 使用指紋替換方法�;使所述網(wǎng)絡(luò)設(shè)備的指紋密度不低于設(shè)定的下限,所述指紋密度表示 通過所述網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包中含有所述網(wǎng)絡(luò)設(shè)備特有的指紋信息的數(shù)據(jù)包的占比��。
9.如權(quán)利要求8所述的互聯(lián)網(wǎng)環(huán)路防控方法��,其特征在于��,所述最低指紋密度策略按 下列方法實施i.初始化時���,將所述網(wǎng)絡(luò)設(shè)備的當前信用值β設(shè)置為0����,β的值域為hY,Y]����,Y 為正整數(shù);ii當所述網(wǎng)絡(luò)設(shè)備收到一個數(shù)據(jù)包后�,調(diào)用函數(shù)SF0,若函數(shù)值小于指紋密度α���, 則β力卩1 ����;所述SFO是值域為(0��,1)的均勻分布隨機函數(shù)��;iii.檢查所述數(shù)據(jù)包是否包含指紋信息����,若否,則判斷β是否等于-Y����,若β等 于-Y,則直接發(fā)送所述數(shù)據(jù)包���;若β不等于-Y�,則將所述網(wǎng)絡(luò)設(shè)備特有的指紋插入所 述數(shù)據(jù)包,β減1�,并發(fā)送該數(shù)據(jù)包�;iv.若是,則檢查β是否等于Y���,若β不等于Y����,則發(fā)送所述數(shù)據(jù)包��;若β等于 Y,則用所述網(wǎng)絡(luò)設(shè)備特有的指紋替換所述數(shù)據(jù)包中的指紋���,β減1��,并發(fā)送所述數(shù)據(jù) 包����。
全文摘要
本發(fā)明公開了一種互聯(lián)網(wǎng)環(huán)路防控方法��,屬于信息技術(shù)領(lǐng)域��。本發(fā)明方法包括a1.將路由器多個端口上的可聚合靜態(tài)路由聚合,在所述路由器中添加聚合后的聚合路由�����,將該聚合路由的下一跳地址設(shè)置為丟棄接口��;a2.在路由器中將各個不可聚合的下行接口分割����,并在所述路由器中增加分割后的路由,將所述分割后的路由的下一跳地址設(shè)置為原路由的下一跳地址�,并將原路由的下一跳地址設(shè)置為丟棄接口。本發(fā)明可用于預(yù)防和監(jiān)控互聯(lián)網(wǎng)環(huán)路��。
文檔編號H04L12/56GK102025572SQ20111000532
公開日2011年4月20日 申請日期2011年1月10日 優(yōu)先權(quán)日2011年1月10日
發(fā)明者吳志美, 方貴明, 石志強 申請人:中國科學院軟件研究所