一种发送引流路由信息的方法及清洗设备的制造方法

文档序号:8489946阅读:580来源:国知局
一种发送引流路由信息的方法及清洗设备的制造方法
【技术领域】
[0001]本发明涉及通信技术领域,尤其涉及一种发送引流路由信息的方法及清洗设备。
【背景技术】
[0002]现有技术中,当网络中存在被保护节点时,通常在该网络的CE(Custom Edge,客户边缘)路由器所在位置上以旁路方式部署清洗设备,通过将目的IP地址为被保护节点的IP地址的流量(后面将简称为“被保护流量”)引流至清洗设备中进行清洗,再将清洗后的流量回注到被保护节点,从而实现对被保护节点的保护。其中,“引流过程”和“回注过程”是整个流量清洗过程中至关重要的环节。
[0003]例如:在图1所示的网络中,包括:路由器I和路由器2,路由器I作为CE路由器与Internet (Internetwork,互联网)连接,攻击流量能够通过路由器I进入到该网络中。在没有部署清洗设备时,攻击流量将通过路由器I和路由器2的转发,直接到达被保护节点,这大大增加了被保护节点受到攻击的几率。在部署有清洗设备后,清洗设备通过与路由器I建立EBGP (External Border Gateway Protocol,外部边界网关协议)邻居关系,并向路由器I发送引流路由信息,该引流路由信息中包含被保护节点的IP地址。路由器I通过对引流路由信息进行学习,从而将学习到的路由添加到自身的路由表中,并将被保护流量对应的下一跳确定为清洗设备。在路由器I获得被保护流量时,路由器I根据最长匹配原则,从自身路由表中确定出与被保护流量的目的IP地址匹配位数最长的到达清洗设备的路由为下一跳路由,并将被保护流量发送给清洗设备,这便完成了将被保护流量引流到清洗设备的“引流过程”。清洗设备对被保护流量进行检查、清洗后,清洗设备通过与路由器2建立隧道连接,并将清洗后流量发送给路由器2,其中,清洗后流量的目的IP地址与清洗之前流量的目的IP地址相同(同为被保护节点的IP地址)。路由器2根据最长匹配原则,从自身的路由表中确定与清洗后流量的目的IP地址匹配位数最长的到达被保护节点的路由为下一跳路由,并将清洗后流量发送给被保护节点,这便完成了将清洗后流量回注到被保护节点的“回注过程”。
[0004]但,现有技术中的清洗设备只能应用于图1所示的被保护节点通过CE路由器连接到互联网的场景中,解决如何防御来自于互联网中的攻击的问题。然而,在包含多个CE路由器的 MPLS VPN (Mult1-Protocol Label Switching Virtual Private Network,多协议标签交换虚拟专用网络)的场景中,采用上述清洗过程无法实现正常的流量回注过程,因此导致在MPLS VPN场景中无法有效对攻击流量进行防御。

【发明内容】

[0005]本申请实施例通过提供一种发送引流路由信息的方法及清洗设备,解决了采用现有流量清洗方案在MPLS VPN场景中无法有效对攻击流量进行防御的问题。
[0006]第一方面,提供一种发送引流路由信息的方法,应用于多协议标签交换MPLS虚拟专用网络VPN中的清洗设备中,所述MPLS VPN还包括至少两个客户边缘CE路由器,所述清洗设备与每个所述CE路由器存在外部边界网关协议EBGP邻居关系;所述方法包括:
[0007]所述清洗设备生成引流路由信息,所述引流路由信息中携带自治系统AS号和被保护节点的IP地址,所述AS号是所述被保护节点所属网段连接的第一 CE路由器的AS号;
[0008]所述清洗设备将所述引流路由信息发送给所述第一 CE路由器和第二 CE路由器,使得所述第一 CE路由器根据所述AS号和外部边界网关协议EBGP防环机制丢弃所述引流路由信息,并使得所述第二 CE路由器根据所述AS号和所述EBGP防环机制保存所述引流路由信息。
[0009]结合第一方面,在第一方面的第一种可能的实施方式中,所述清洗设备生成引流路由信息,包括:
[0010]所述清洗设备获取所述被保护节点的IP地址;
[0011]所述清洗设备确定所述被保护节点的IP地址所属网段的边界网关协议BGP路由信息;
[0012]所述清洗设备从所述被保护节点的IP地址所属网段的BGP路由信息中的自治系统路径表AS-Path list属性信息中,提取所述AS号;
[0013]所述清洗设备根据所述被保护节点的IP地址和所述AS号,生成所述引流路由信息,其中,所述引流路由信息中包含所述被保护节点的IP地址和所述AS号。
[0014]结合第一方面的第一种可能的实施方式,在第一方面的第二种可能的实施方式中,所述清洗设备确定所述被保护节点的IP地址所属网段的BGP路由信息,包括:
[0015]所述清洗设备获取所述至少两个CE路由器各自对应的BGP路由信息,获得至少两个BGP路由信息;
[0016]所述清洗设备分别从所述至少两个BGP路由信息中,提取所述至少两个BGP路由信息分别包含的网段IP地址;
[0017]所述清洗设备根据最长匹配原则,从所述至少两个BGP路由信息分别包含的网段IP地址中确定与所述被保护节点的IP地址匹配位数最长的网段IP地址为所述保护节点的IP地址所属的网段IP地址;
[0018]所述清洗设备确定包含所述被保护节点的IP地址所属的网段IP地址的BGP路由信息为所述被保护节点的IP地址所属网段的BGP路由信息。
[0019]结合第一方面、或第一方面的第一种可能的实施方式、或第一方面的第二种可能的实施方式,在第一方面的第三种可能的实施方式中,所述第一 CE路由器根据所述AS号和EBGP防环机制丢弃所述引流路由信息,包括:
[0020]在所述第一 CE路由器确定所述AS号与所述第一 CE路由器自身的AS号相同后,所述第一 CE路由器丢弃所述引流路由信息;
[0021]所述第二 CE路由器根据所述AS号和所述EBGP防环机制保存所述引流路由信息,包括:
[0022]在所述第二 CE路由器确定所述AS号与所述第二 CE路由器自身的AS号不相同后,所述第二 CE路由器保存所述引流路由信息。
[0023]第二方面,提供一种清洗设备,应用于多协议标签交换MPLS虚拟专用网络VPN中,所述MPLS VPN还包括至少两个客户边缘CE路由器,所述清洗设备与每个所述CE路由器存在外部边界网关协议EBGP邻居关系;所述清洗设备包括:
[0024]生成单元,用于生成引流路由信息,所述引流路由信息中携带自治系统AS号和被保护节点的IP地址,所述AS号是所述被保护节点所属网段连接的第一 CE路由器的AS号;
[0025]发送单元,用于从所述生成单元接收所述引流路由信息,并将所述引流路由信息发送给所述第一 CE路由器和第二 CE路由器,使得所述第一 CE路由器根据所述AS号和外部边界网关协议EBGP防环机制丢弃所述引流路由信息,并使得所述第二 CE路由器根据所述AS号和所述EBGP防环机制保存所述引流路由信息。
[0026]结合第二方面,在第二方面的第一种可能的实施方式中,所述生成单元,包括:
[0027]获取子单元,用于获取所述被保护节点的IP地址;
[0028]确定子单元,用于确定所述被保护节点的IP地址所属网段的边界网关协议BGP路由信息;
[0029]提取子单元,用于从所述被保护节点的IP地址所属网段的BGP路由信息中的自治系统路径表AS-Path list属性信息中,提取所述AS号;
[0030]生成子单元,用于根据所述被保护节点的IP地址和所述AS号,生成所述引流路由信息,其中,所述引流路由信息中包含所述被保护节点的IP地址和所述AS号。
[0031]结合第二方面的第一种可能的实施方式,在第二方面的第二种可能的实施方式中,所述确定子单元,具体用于:
[0032]获取所述至少两个CE路由器各自对应的BGP路由信息,获得至少两个BGP路由信息;分别从所述至少两个BGP路由信息中,提取所述至少两个BGP路由信息分别包含的网段IP地址;根据最长匹配原则,从所述至少两个BGP路由信息分别包含的网段IP地址中确定与所述被保护节点的IP地址匹配位数最长的网段IP地址为所述保护节点的IP地址所属的网段IP地址;确定包含所述被保护节点的IP地址所属的网段IP地址的BGP路由信息为所述被保护节点的IP地址所属网段的BGP路由信息。
[0033]结合第二方面、或第二方面的第一种可能的实施方式、或第二方面的第二种可能的实施方式,在第二方面的第三种可能的实施方式中,所述EBGP防环机制,包括:
[0034]在所述第一 CE路由器确定所述AS号与所述第一 CE路由器自身的AS号相同后,所述第一 CE路由器丢弃所述引流路由信息的机制;和/或
[0035]在所述第二 CE路由器确定所述AS号与所述第二 CE路由器自身的AS号不相同后,所述第二 CE路由器保存所述引流路由信息的机制。
[0036]第三方面,提供一种清洗设备,应用于多协议标签交换MPLS虚拟专用网VPN中,所述MPLS VPN还包括至少两个客户边缘CE路由器,所述清洗设备与每个所述CE路由器存在外部边界网关协议EBGP邻居关系;所述清洗设备包括:
[0037]存储器,用于存储相关程序代码;
[0038]处理器,用于从所述存储器中读取所述相关程序代码,以执行:生成引流路由信息,所述引流路由信息中携带自治系统AS号和被保护节点的IP地址,所述AS号是所述被保护节点所属网段连接的第一 CE路由器的AS号;
[0039]网络接口,用于将所述引流路由信息发送给所述第一 CE路由器和第二 CE路由器,使得所述第一 CE路由器根据所述AS号和外部边界网关协议EBGP防环机制丢弃所述引流路由信息,并使得所述第二 CE路由器根据所述AS号和所述EBGP防环机制保存所述引流路由信息。
[0040]结合第三方面,在第三方面的第一种可能的实施方式中,所述处理器,具体用于:
[0041]获取所述被保护节点的IP地址;确定所述被保护节点的IP地址所属网段的边界网关协议BGP路由信息;从所述被保护节点的IP地址所属网段的BGP路由信息中的自治系统路径表AS-Path list属性信息中,提取所述AS号;根据所述被保护节点的IP地址和所述AS号,生成所述引流路由信息,其中,所述引流路由信息中包含所述被保护节点的IP地址和所述AS号。
[0042]结合第三方面的第一种可能的实施方式,在第三方面的第二种可能的实施方式中,所述处理器,具体用于:
[0043]获取所述至少两个CE路由器各自对应的BGP路由信息,获得至少两个BGP路由信息;分别从所述至少两个BGP路由信息中,提取所述至少两个BGP路由信息分别包含的网段IP地址;根据最长匹配原则,从所述至少两个BGP路由信息分别包含的网段IP地址中确定与所述被保护节点的IP地址匹配位数最长的网段IP地址为所述保护节点的IP地址所属的网段IP地址;确定包含所述被保护节点的IP地址所属的网段IP地址的BGP路由信息为所述被保护节点的IP地址所属网段的BGP路由信息。
[0044]结合第三方面、或第三方面的第一种可能的实施方式、或第三方面的第二种可能的实施方式,在第三方面的第三种可
当前第1页1 2 3 4 5 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1