学习路由的方法、转发报文的方法、设备和存储介质与流程

学习路由的方法、转发报文的方法、设备和存储介质
[0001]
本申请要求于2019年8月15日提交的申请号为201910754931.3、发明名称为“一种bgp网络中接收路由的方法、设备和系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。
技术领域
[0002]
本申请涉及通信领域，尤其涉及一种学习路由的方法、转发报文的方法、设备和存储介质。


背景技术：

[0003]
在网络中，基于边界网关协议(border gateway protocol，bgp)路由的安全攻击每天都在发生，例如，外部互联网服务提供商(internet service provider,isp)可能通过伪造bgp路由信息的方式实现对用户流量的窃听。


技术实现要素：

[0004]
本申请提供了一种学习路由的方法、转发报文的方法、设备和存储介质，用于解决外部isp伪造bgp路由信息的技术问题，提高网络安全。
[0005]
第一方面，本申请提供了一种学习路由的方法，所述方法应用在基于边界网关协议bgp的网络中的第一网络设备中，所述网络还包括第二网络设备，所述第一网络设备通过bgp与所述第二网络设备通信，所述方法包括：所述第一网络设备获取来自所述第二网络设备的bgp路由第一bgp路由信息，所述第一bgp路由信息包括验证信息；所述第一网络设备根据所述验证信息确定所述第一bgp路由信息所属的目标区域；当所述第一bgp路由信息所属的目标区域与所述第二网络设备所属的目标区域相同时，所述第一网络设备对学习所述第一bgp路由信息。
[0006]
该方法可以由网络中的提供商边缘(provider edge，pe)设备执行。网络设备在接收来自bgp邻居的bgp路由信息后进行区域验证，确保学习真实可靠的bgp路由信息，防止外部isp伪造bgp路由信息，提高网络安全。
[0007]
在一种可能的设计中，所述方法还包括：当所述第一bgp路由信息所属的目标区域与所述第二网络设备所属的目标区域不同时，所述第一网络设备丢弃所述第一bgp路由信息，即所述第一网络设备不保存所述bgp路由信息。对于区域不一致的bgp路由信息，进行丢弃，确保网络安全。
[0008]
在一种可能的设计中，所述方法还包括：当所述第一bgp路由信息所属的目标区域与所述第二网络设备所属的目标区域不同时，将所述第一bgp路由信息的优先级设置为第一优先级，所述第一优先级低于第二优先级，第二bgp路由信息的优先级为第二优先级，所述第二bgp路由信息所属的目标区域与所述第二网络设备所属的目标区域相同。对于第二网络设备的目标区域与bgp路由信息的目标区域不相同的情况，通过将bgp路由信息设置为较低的优先级，使得对于目标区域不一致的bgp路由信息，后续选择路由时不会被优先选
择，确保网络安全。
[0009]
在一种可能的设计中，所述验证信息包括第一原始自治系统as，所述第一网络设备根据所述验证信息确定所述第一bgp路由信息所属的目标区域，包括：所述第一网络设备将所述第一原始as所属的目标区域作为所述第一bgp路由信息所属的目标区域。
[0010]
在该方法中，bgp网络中的网络设备被划分成不同的区域，bgp路由信息根据携带的原始as对应特定的区域。
[0011]
在一种可能的设计中，所述方法还包括：所述第一网络设备获得区域信息，所述区域信息包括所述第二网络设备的标识信息与所述第二网络设备所属的目标区域的映射关系，以及所述第一原始as与所述第一原始as所属的目标区域的映射关系；所述第一网络设备根据所述第二网络设备的标识信息和所述区域信息确定所述第二网络设备所属的目标区域；所述第一网络设备根据所述第一原始as和所述区域信息确定所述第一原始as所属的目标区域。
[0012]
在一种可能的设计中，所述第一网络设备学习所述第一bgp路由信息之前，所述方法还包括：所述第一网络设备确定所述第一原始as与第二原始as相同，所述第二原始as是从路由起源授权roa数据中获取到的与所述第一bgp路由信息对应的原始as。
[0013]
在该方法中，网络设备在利用原始as确定bgp路由信息所属的目标区域之前，对原始as的可靠性进行验证。
[0014]
在一种可能的设计中，所述目标区域包括区域、区域联盟、或者区域和区域联盟的组合。
[0015]
第二方面，本申请提供了一种转发报文的方法，所述方法应用在基于边界网关协议bgp的网络中的第一网络设备中，所述第一网络设备包括网络接口，所述方法包括：所述第一网络设备通过所述网络接口接收报文，所述报文包括源地址；所述第一网络设备根据所述源地址确定所述报文所属的目标区域；当所述网络接口所属的目标区域与所述报文所属的目标区域相同时，所述第一网络设备转发所述报文。
[0016]
该方法可以由网络中的提供商边缘(provider edge，pe)设备执行。网络设备在通过网络接口接收报文后进行区域验证，确保报文来源真实可靠时再转发报文，防止外部isp通过伪造bgp路由信息的方式劫持本区域的流量，提高网络安全。
[0017]
在一种可能的设计中，所述方法还包括：当所述网络接口所属的目标区域与所述报文所属的目标区域不同时，所述第一网络设备丢弃所述报文，或者，所述第一网络设备记录所述报文。
[0018]
在一种可能的设计中，所述源地址对应于第一bgp路由信息，所述第一bgp路由信息还包括第一原始自治系统as，所述第一网络设备根据所述源地址确定所述报文所属的目标区域，包括：所述第一网络设备将所述第一原始as所属的目标区域作为所述报文所属的目标区域。
[0019]
在一种可能的设计中，所述网络还包括第二网络设备，所述第一网络设备通过bgp与所述第二网络设备通信，所述第一网络设备通过所述网络接口连接所述第二网络设备，所述方法还包括：所述第一网络设备获得区域信息，所述区域信息包括所述第二网络设备的标识信息与所述网络接口所属的目标区域的映射关系，以及所述第一原始as与所述第一原始as所属的目标区域的映射关系；所述第一网络设备根据所述第二网络设备的标识信息
和所述区域信息确定所述网络接口所属的目标区域；所述第一网络设备根据所述第一原始as和所述区域信息确定所述第一原始as所属的目标区域。
[0020]
在一种可能的设计中，所述第一网络设备转发所述报文之前，所述方法还包括：所述第一网络设备确定所述第一原始as与第二原始as相同，所述第二原始as是从路由起源授权roa数据中获取到的所述源地址所属的原始as。
[0021]
第三方面，本申请提供了一种网络设备，执行第一方面或第一方面的任意一种可能的实现方式中的方法。具体地，该网络设备包括用于执行第一方面或第一方面的任意一种可能的实现方式中的方法的单元。
[0022]
第四方面，本申请提供了一种网络设备，执行第二方面或第二方面的任意一种可能的实现方式中的方法。具体地，该网络设备包括用于执行第二方面或第二方面的任意一种可能的实现方式中的方法的单元。
[0023]
第五方面，本申请提供了一种网络设备，该网络设备包括：处理器、网络接口和存储器。网络接口可以是收发器。存储器可以用于存储程序代码，处理器用于调用存储器中的程序代码执行前述第一方面或第一方面的任意一种可能的实现方式，此处不再赘述。
[0024]
第六方面，本申请提供了一种网络设备，该网络设备包括：处理器、网络接口和存储器。网络接口可以是收发器。存储器可以用于存储程序代码，处理器用于调用存储器中的程序代码执行前述第二方面或第二方面的任意一种可能的实现方式，此处不再赘述。
[0025]
第七方面，本申请提供了一种网络设备，该网络设备包括：主控板和接口板。主控板包括：第一处理器和第一存储器。接口板包括：第二处理器、第二存储器和接口卡。主控板和接口板耦合。第一存储器可以用于存储程序代码，第一处理器用于调用第一存储器中的程序代码执行如下操作：根据所述验证信息确定所述第一bgp路由信息所属的目标区域；当所述第一bgp路由信息所属的目标区域与所述第二网络设备所属的目标区域相同时，学习所述第一bgp路由信息。
[0026]
第二存储器可以用于存储程序代码，第二处理器用于调用第二存储器中的程序代码，触发接口卡执行如下操作：获取来自所述第二网络设备的第一bgp路由信息，所述第一bgp路由信息包括验证信息。
[0027]
第八方面，本申请提供了一种网络设备，该网络设备包括：主控板和接口板。主控板包括：第一处理器和第一存储器。接口板包括：第二处理器、第二存储器和接口卡。主控板和接口板耦合。第一存储器可以用于存储程序代码，第一处理器用于调用第一存储器中的程序代码执行如下操作：根据所述源地址确定所述报文所属的目标区域；
[0028]
第二存储器可以用于存储程序代码，第二处理器用于调用第二存储器中的程序代码，触发接口卡执行如下操作：通过所述网络接口接收报文，所述报文包括源地址；当所述网络接口所属的目标区域与所述报文所属的目标区域相同时，转发所述报文。
[0029]
第九方面，本申请提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。
[0030]
第十方面，本申请提供了一种包括计算机程序指令的计算机程序产品，当该计算机程序产品在网络设备上运行时，使得网络设备执行第一方面、第二方面、第一方面的任意一种可能的实现方式或第二方面的任意一种可能的实现方式中提供的方法。
[0031]
第十一方面，本申请提供了一种芯片，包括存储器和处理器，存储器用于存储计算
机程序，处理器用于从存储器中调用并运行该计算机程序，以执行上述第一方面及其第一方面任意可能的实现方式中的方法，或者，处理器执行第二方面或第二方面任意可能的实现方式中的方法。
[0032]
可选地，上述芯片仅包括处理器，处理器用于读取并执行存储器中存储的计算机程序，当计算机程序被执行时，处理器执行第一方面或第一方面任意可能的实现方式中的方法，或者，处理器执行第二方面或第二方面任意可能的实现方式中的方法。
附图说明
[0033]
图1为本申请实施例提供的一种应用场景示意图；
[0034]
图2为本申请实施例提供的一种应用场景示意图；
[0035]
图3a为本申请实施例提供的一种应用场景示意图；
[0036]
图3b为本申请实施例提供的一种应用场景示意图；
[0037]
图4为本申请实施例提供的一种学习路由的方法流程示意图；
[0038]
图5为本申请实施例提供的一种转发报文的方法流程示意图；
[0039]
图6为本申请实施例提供的一种网络设备的结构示意图；
[0040]
图7为本申请实施例提供的一种网络设备的结构示意图；
[0041]
图8为本申请实施例提供的一种网络设备的结构示意图；
[0042]
图9为本申请实施例提供的一种网络设备的结构示意图；
[0043]
图10为本申请实施例提供的一种网络设备的结构示意图；
[0044]
图11为本申请实施例提供的一种网络设备的结构示意图。
具体实施方式
[0045]
下面结合附图，对本申请的实施例进行描述。
[0046]
互联网(internet)是网络与网络之间串连成的庞大网络，网络之间以一组通用的协议相连，依赖于基础设施来保证网络连通性、服务可用性和服务可信性。当前internet基础设施主要包括：域间路由系统(border gateway protocol,bgp)、域名系统(domain name system，dns)和公钥证书体系(public key infrastructure，pki)。然而，由于当前基础设施缺乏牢固安全可信根基，当前bgp协议本身对学习bgp路由信息并无安全认证机制，基于bgp路由信息的安全攻击每天都在发生，如源劫持、路径劫持、路由泄露等。因此，internet安全问题是一个亟需解决的问题。为了验证bgp路由信息的起源是否正确，在bgp协议基础上引入了资源公钥基础设施(resource public key infrastructure，rpki)机制。利用rpki机制下发认证bgp路由信息所需的信息，然后用bgp路由信息中携带的内容和rpki机制下发的信息对比来进行合法性校验。具体的，通过分布式的rpki服务器收集各个互联网服务提供商(internet service provide，isp)发起的bgp路由信息的原始自治系统(autonomous system，as)、路由前缀、掩码等信息。并且，各个isp发布bgp路由信息时，也需要在bgp路由信息中携带该bgp路由信息的原始as。路由器跟rpki服务器建立连接，在本地保存一份路由起源验证(route origination authorization，roa)数据，roa数据包括从rpki服务器获得的bgp路由信息与原始as的映射关系。当路由器收到外部邻居发布的bgp路由信息时，比较bgp路由信息中携带的原始as和roa数据中该bgp路由信息映射到的原始as
是否相同，从而验证从外部邻居收到的bgp路由信息是否合法，确保其管理域内主机能够安全访问外部的服务。
[0047]
如图1所示的网络场景为例，目的服务器(10.1.0.0/16)在isp1骨干接入，并向外部as发布路由信息。该目的服务器属于as3，则该路由信息携带的原始as为as3。并且10.1.0.0/16相关的路由信息与as3的映射关系也通过rpki服务器保存至roa数据中。如果属于as100的外部isp伪造该服务器的更精确的路由信息(10.1.1.0/24)，该路由信息携带的原始as为as100。外部isp将伪造的路由信息发布给isp1骨干。isp1骨干通过roa验证，比对roa数据库中10.1.0.0/16～10.1.1.0/24相关的路由信息，发现该路由信息的原始as应该是as3，而从外部isp接收到的路由信息中携带的as100与其不匹配，则认为从外部isp接收到的路由信息是无效的。即该验证方式通过验证路由信息中携带的原始as是否正确来验证路由信息是否安全可靠。
[0048]
然而，这种验证方式无法防范外部isp伪造原始as的攻击方式。如图2所示的网络场景为例，目的服务器(10.1.0.0/16)在isp1互联网数据中心(internet data center，idc)接入，idc所属的as为as2。目的服务器(10.1.0.0/16)向外部as发布10.1.0.0/16相关的路由信息，携带的原始as为as3。同样，10.1.0.0/16相关的路由信息与as3的映射关系也通过rpki服务器保存至roa数据中。如果外部isp想要劫持用户访问该服务器(10.1.0.0/16)的流量，伪造了10.1.1.0/24相关的路由信息，并且伪造了该路由信息的原始as为as2。isp1骨干接收到外部isp发布的10.1.1.0/24相关的路由信息，原始as为as2。在这种场景下，即使isp1骨干部署有roa，并利用roa进行校验，也会认为该伪造路由信息携带的原始as完全匹配，进而认为该伪造的路由信息安全可靠。
[0049]
本申请实施例提供了学习路由的方法及基于该方法的设备和系统。方法、设备和系统的实施例可以相互参见，相同或类似之处不再赘述。该方法增加了区域的概念，通过为网络中的as设置区域的属性，将as划分为区域，进而利用区域对学习路由、报文转发进行校验，禁止区域内的路由从区域外部学习到，禁止区域内的报文进出区域外部，由此提高网络安全性。
[0050]
图3a示出了本申请实施例的一种可能的应用场景。该场景包括若干as：as1,as2,as3,as100等。其中，as3可以是isp1的骨干网，as1可以是isp1的城域网，as2可以是isp1的idc，as4可以是isp2的骨干网，as5可以是isp2的城域网，as6可以是isp2的idc，as100可以是外部isp的网络。as3包括提供商边缘(provider edge,pe)设备1和pe2，as1包括pe3，as4包括pe4，as100包括pe5。pe1分别与pe4和pe5连接，pe2和pe3连接，pe4与pe5连接。
[0051]
将as划分为不同区域的原则包括但不限于：一个isp的多个具有互联关系的子isp划分为一个区域，如果isp1还具有入网点(point of presence，pop)，但该pop不直接与isp1的其他子isp互联，那么该pop则不划分到isp1的区域中。
[0052]
如图3所示，as1、as2和as3组成区域1，as4、as5和as6组成区域2。pe1作为isp1骨干出口设备，pe4作为isp2骨干出口设备，均与外部isp的pe5进行连接。
[0053]
划分区域之后，为了区分不同的区域，可以为每个区域分配标识。例如分配的标识可以是一个数字编号；通过对每个区域进行编号，得到区域号，以通过区域号对区域进行管理。例如上述区域1和区域2，可以通过区域号对区域进行管理。
[0054]
在一个示例中，多个区域可以组成区域联盟。区域联盟划分原则包括但不限于：一
个地区(如一个国家)内多个具有直接互联关系的区域划分为一个区域联盟。如图6所示，区域1和区域2组成区域联盟1。
[0055]
类似的，在划分区域联盟之后，也可以通过对每个区域联盟进行编号，得到区域联盟号，以通过区域联盟号对区域联盟进行管理。
[0056]
在本申请实施例提供的方法中，区域的划分可以包括区域的划分、区域联盟的划分或者区域和区域联盟的同时划分。示例性地，如果本申请实施例仅划分区域时，可以不划分区域联盟。如果本申请实施例仅划分区域联盟时，可以不划分区域。本申请实施例也可以同时划分区域和区域联盟。
[0057]
关于对区域和区域联盟进行编号的方式，本申请实施例不进行限定。示例性地，可以由全国互联网注册表(national internet registry，nir)来管理区域的编号分配和区域联盟的编号分配。
[0058]
在网络中，区域和/或区域联盟的划分方式可以表示为区域信息。区域信息可以包括as号、区域号和/或区域联盟号。例如，区域信息包括：<区域编号，as号>，或者，区域联盟信息包括<区域联盟编号，区域编号>。在本申请实施例提供的方法中，区域信息可以不包括bgp路由信息，此时，bgp路由信息和as的映射关系可以通过roa数据库获得。
[0059]
区域和/或区域联盟的划分以及区域信息的发布可以由区域数据服务器执行，也可以通过网络设置来完成。以图3a或图3b所示的应用场景为例，其中的各个pe可以连接区域数据服务器(图中未示出)，区域数据服务器向各个pe设备下发区域信息。
[0060]
例如，对于图3a所示的区域1，区域数据服务器为其设置区域号1，关于区域1中的as1内的网络设备，区域数据服务器下发的区域信息可以为<1,1>。其中，<1,1>中的第一个1代表区域1，第二个1代表as1，即这些设备所属的as为as1，这些设备所属的区域为区域1。类似的，区域数据服务器下发的关于as2和as3内的网络设备的区域信息分别为<1,2>和<1,3>。类似的，对于区域2，区域数据服务器下发的关于as4、as5和as6内的网络设备的区域信息分别为<2,4>、<2,5>和<2,6>。
[0061]
网络设备根据区域信息确定bgp邻居所属的区域。以图3a所示的应用场景为例，pe1根据区域信息确定bgp邻居所属的区域，其中pe4所属的区域为区域2。pe4根据区域信息确定bgp邻居所属的区域，其中pe1所属的区域为区域1。
[0062]
例如，对于图3b所示的区域联盟1，区域数据服务器为其设置区域联盟号1，关于区域联盟中的区域1内的网络设备，区域数据服务器下发的区域信息可以为<1,1>。其中，<1,1>中的第一个1代表区域联盟1，第二个1代表区域1，即这些设备所属的区域联盟为区域联盟1，这些设备所属的区域为区域1。类似的，区域数据服务器下发的关于区域2内的网络设备的区域信息可以为<1,2>。
[0063]
类似的，网络设备根据区域信息确定bgp邻居所属的区域联盟。以图3b所示的应用场景为例，pe1根据区域信息确定bgp邻居所属的区域联盟，其中pe4所属的区域联盟为区域联盟1。pe4根据区域信息确定bgp邻居所属的区域联盟，其中pe1所属的区域联盟为区域联盟1。
[0064]
可选的，上述区域信息均可以通过手工配置在所有网络设备上，此时网络中可以不存在区域服务器。
[0065]
利用以上描述的区域的概念，本申请实施例可以对bgp路由信息的真实可靠性进
行验证。参阅图4，本申请实施例提供了一种学习路由的方法，该方法应用在基于bgp的网络中的第一网络设备中，该网络还包括第二网络设备，第一网络设备通过bgp与第二网络设备通信，该方法包括：
[0066]
s210,第一网络设备获取来自第二网络设备的第一bgp路由信息，第一bgp路由信息包括验证信息。
[0067]
在一个示例中，该bgp路由信息中携带的原始as可以作为验证信息。
[0068]
s220,第一网络设备根据验证信息确定第一bgp路由信息所属的目标区域。
[0069]
可选的，第一网络设备将第一原始as所属的目标区域作为第一bgp路由信息所属的目标区域。示例性地，目标区域包括区域、区域联盟或者区域和区域联盟的组合。例如，第一网络设备可以将第一bgp路由信息中携带的原始as所属的区域，作为该第一bgp路由信息所属的区域，或者，第一网络设备可以将第一bgp路由信息中携带的原始as所属的区域联盟，作为该第一bgp路由信息所属的区域，或者，第一网络设备可以将第一bgp路由信息中携带的原始as所属的区域与区域联盟的组合，作为该第一bgp路由信息所属的区域。
[0070]
结合图3a所示的网络场景，第一网络设备可以是isp1骨干中的pe1，第二网络设备可以是isp2骨干中的pe4或者外部isp中的pe5，pe1通过bgp与pe4或pe5连接。isp2骨干中的pe4接入的服务器(图3a中未示出)，服务器地址可以是10.1.0.0/16，该服务器向外部as发布bgp路由信息1，bgp路由信息1中包括的bgp前缀为10.1.0.0/16，bgp路由信息1中携带的原始as为as4，该as4作为验证信息。当isp1骨干中的pe1从pe4接收到bgp路由信息1时，pe1根据bgp路由信息1中的as4，结合获得的区域信息，确定as4所属的区域为区域2，则该bgp路由信息1所属的区域为区域2。
[0071]
如果属于as100的外部isp中的pe5伪造该服务器的更精确的bgp路由信息2，其中包括的bgp前缀为10.1.1.0/24，该bgp路由信息2携带的原始as为as4。外部isp将伪造的bgp路由信息2发布给isp1骨干中的pe1，pe1根据bgp路由信息2中的as4，结合获得的区域信息，确定as4所属的区域为区域2，则该bgp路由信息2所属的区域为区域2。
[0072]
结合图3b所示的网络场景，isp2骨干中的pe4接入的服务器(图3b中未示出)，服务器地址可以是10.1.0.0/16，该服务器向外部as发布bgp路由信息1，bgp路由信息1中包括的bgp前缀为10.1.0.0/16，bgp路由信息1中携带的原始as为as4，该as4作为验证信息。当isp1骨干中的pe1从pe4接收到bgp路由信息1时，pe1根据bgp路由信息1中的as4，结合获得的区域信息，确定as4所属的区域为区域联盟1，则该bgp路由信息1所属的区域为区域联盟1。
[0073]
如果属于as100的外部isp中的pe5伪造该服务器的更精确的bgp路由信息2，其中包括的bgp前缀为10.1.1.0/24，该bgp路由信息2携带的原始as为as4。外部isp将伪造的bgp路由信息2发布给isp1骨干中的pe1，pe1根据bgp路由信息2中的as4，结合获得的区域信息，确定as4所属的区域为区域联盟1，则该路由信息2所属的区域为区域联盟1。
[0074]
s230,当第一bgp路由信息所属的目标区域与第二网络设备所属的目标区域相同时，第一网络设备学习第一bgp路由信息。
[0075]
如上所述，本申请实施例提供的方法通过将网络中的多个as划分为不同的区域和/或区域联盟。进而，该方法对接收到的路由信息进行校验，对于通过校验的路由信息才进行学习。禁止区域内的路由信息从区域外部学习到，禁止区域联盟内的路由信息从区域联盟外部学习到。网络设备校验bgp路由信息的规则如下：对于属于本区域的路由信息，从
非本区域邻居接收则是无效或可疑的，对于属于本区域联盟的路由信息，从非本区域联盟邻居接收则是无效或可疑的。
[0076]
因此，第一网络设备获取到来自第二网络设备的第一bgp路由信息后，先对bgp路由信息进行校验，具体的，对第一bgp路由信息所属的目标区域与bgp路由信息的来源设备，即第二网络设备，所属的目标区域进行比较。由于第一网络设备与第二网络设备之间通过bgp进行通信，因而，在第一网络设备与第二网络设备之间的bgp邻居建立后，通过该bgp邻居接收到的第一bgp路由信息的来源设备必然是第二网络设备。进而，第一网络设备根据第二网络设备的标识信息和区域信息能够确定出第二网络设备所属的目标区域。
[0077]
示例性地，当第二网络设备所属的目标区域与第一bgp路由信息所属的目标区域相同时，第一网络设备对第一bgp路由信息进行学习，例如，第一网络设备将该第一bgp路由信息加入到第一网络设备的路由表中。
[0078]
在一个示例中，当第二网络设备所属的目标区域与第一bgp路由信息所属的目标区域不相同时，第一网络设备不保存第一bgp路由信息。例如，对于从非本区域邻居学习到的本区域bgp路由信息，进行丢弃，确保网络安全。
[0079]
在一个示例中，当第二网络设备所属的目标区域与第一bgp路由信息所属的目标区域不相同时，第一网络设备可以将该第一bgp路由信息设置为低优先级，例如，将第一bgp路由信息设置为较低的优先级。由于该第一bgp路由信息的优先级较低，在选路过程中优先使用其他优先级更高的路由，避免该bgp路由信息被优先选用，从而确保网络安全。其中，将该第一bgp路由信息设置为低优先级可以是将第一bgp路由信息的优先级设置为第一优先级，第一优先级低于第二优先级，第二bgp路由信息的优先级为第二优先级。
[0080]
结合图3a所示的网络场景，第一网络设备可以是isp1骨干中的pe1，第二网络设备可以是isp2骨干中的pe4或者外部isp中的pe5，pe1通过bgp与pe4或pe5连接。isp2骨干中的pe4接入的服务器(图3a中未示出)，服务器地址可以是10.1.0.0/16，该服务器向外部as发布bgp路由信息1，bgp路由信息1中包括的bgp前缀为10.1.0.0/16，bgp路由信息1中携带的原始as为as4。当isp1骨干中的pe1从pe4接收到bgp路由信息1时，pe1确定as4所属的区域为区域2，则该bgp路由信息1所属的区域为区域2。并且，该bgp路由信息1是从pe4接收来的，pe4所属的区域也为区域2，与bgp路由信息1所属的区域相同。则pe1认为bgp路由信息1是安全可靠的，对bgp路由信息1进行学习。例如，将该bgp路由信息1保存到路由表中，进而做路由选路，发布bgp路由信息1，利用该bgp路由信息1转发报文。
[0081]
如果属于as100的外部isp中的pe5伪造该服务器的更精确的bgp路由信息2，其中包括的bgp前缀为10.1.1.0/24，携带的原始as为as4。外部isp将伪造的bgp路由信息2发布给isp1骨干中的pe1，pe1确定bgp路由信息2所属的区域为区域2。并且，该bgp路由信息2是从pe5接收来的，pe5所属的区域非区域2，与bgp路由信息2所属的区域不同。则pe1认为bgp路由信息2是无效的或可疑的，不对bgp路由信息2进行学习。例如，将该bgp路由信息2丢弃。
[0082]
从而，本申请实施例提供的技术方案带来的有益效果至少包括：防止外部isp通过伪造路由信息的方式劫持本isp所属区域的路由信息；防止外部isp通过伪造路由信息方式劫持本isp所属区域联盟的路由信息；提高了网络的安全性。
[0083]
在一个示例中，在第一网络设备利用bgp路由信息携带的原始as确定该bgp路由信息所属的目标区域之前，第一网络设备先对该原始as进行roa验证。具体的，第一网络设备
判断所述第一原始as与从路由起源授权roa数据中获取到的与所述bgp路由信息对应的原始as是否相同。如果两者相同，则第一网络设备进而利用第一原始as确定所述bgp路由信息所属的目标区域。如果两者不同，则表明第一原始as可能是伪造的，所述bgp路由信息也可能是伪造的，第一网络设备可以直接对所述bgp路由信息进行丢弃或设置为较低优先级的处理，而不再进行bgp路由信息所属目标区域的验证。
[0084]
示例性地，roa数据可以是第一网络设备与rpki服务器建立连接，在本地保存的。例如，第一网络设备从rpki服务器接收roa数据，根据收到的roa数据在本地构建路由验证数据库。
[0085]
需要说明的是，上述仅以在第一网络设备确定通过来自第二网络设备的bgp路由信息获取到的第一原始as与从路由起源授权roa数据中获取到的与该bgp路由信息对应的第二原始as相同之后，第一网络设备再判断第二网络设备所属的目标区域与bgp路由信息所属的目标区域是否相同，从而进一步提高网络安全性。此外，由于一个区域可能包含多个as，区域匹配了，可能是这条路由的原始as是区域内的另一个as，仍然会存在和真实的原始as并不一致的情况。对此，在本申请实施例提供的方法中，第一网络设备还可以先判断第二网络设备所属的目标区域与bgp路由信息所属的目标区域是否相同，在第二网络设备所属的目标区域与bgp路由信息所属的目标区域相同之后，第一网络设备再确定通过来自第二网络设备的bgp路由信息获取到的第一原始as与从路由起源授权roa数据中获取到的与该bgp路由信息对应的第二原始as是否相同，以进一步提高网络安全性。
[0086]
示例性地，在第一网络设备确定第二网络设备所属的目标区域与bgp路由信息所属的目标区域不相同时，可以直接丢弃该bgp路由信息，或者直接将该bgp路由信息降低优先级，而不再确定通过来自第二网络设备的bgp路由信息获取到的第一原始as与从路由起源授权roa数据中获取到的与该bgp路由信息对应的第二原始as是否相同。在保证网络安全性的同时，还可以提高路由学习效率。
[0087]
本申请实施例不对先确定通过来自第二网络设备的bgp路由信息获取到的第一原始as与从roa数据中获取到的与该bgp路由信息对应的第二原始as是否相同，还是先确定第二网络设备所属的目标区域与bgp路由信息所属的目标区域是否相同的先后顺序进行限定。既确定通过来自第二网络设备的bgp路由信息获取到的第一原始as与从roa数据中获取到的与该bgp路由信息对应的第二原始as是否相同，也确定第二网络设备所属的目标区域与bgp路由信息所属的目标区域是否相同，可以进一步提高网络安全性。
[0088]
本申请实施例提供了转发报文的方法及基于该方法的设备和系统。方法、设备和系统的实施例可以相互参见，相同或类似之处不再赘述。
[0089]
参阅图5，本申请实施例提供了一种转发报文的方法。方法应用在基于bgp的网络中的第一网络设备中，第一网络设备包括网络接口，方法包括：
[0090]
s310,第一网络设备通过网络接口接收报文。
[0091]
s320,第一网络设备根据报文的源地址确定报文所属的目标区域。
[0092]
所述报文的源地址可以对应于特定的bgp路由信息，具体的，所述源地址能够根据最长匹配原则匹配至该bgp路由信息中的bgp前缀，或者说，发送至所述源地址的流量能够采用所述bgp路由信息进行路由。该特定的bgp路由信息中可以携带原始as。
[0093]
可选的，第一网络设备将bgp路由信息中携带的原始as所属的目标区域作为报文
所属的目标区域。示例性地，目标区域包括区域、区域联盟或者区域和区域联盟的组合。例如，所述第一网络设备将所述bgp路由信息中携带的原始as所属的区域作为所述报文所属的区域，或者，第一网络设备可以将bgp路由信息中携带的原始as所属的区域联盟作为所述报文所属的区域，或者，第一网络设备可以将bgp路由信息中携带的原始as所属的区域与区域联盟的组合，作为所述报文所属的区域。
[0094]
结合图3a所示的网络场景，第一网络设备可以是isp1骨干中的pe1，第二网络设备可以是isp2骨干中的pe4或者外部isp中的pe5，pe1通过bgp与pe4或pe5连接。isp2骨干中的pe4接入的服务器(图3a中未示出)，服务器地址可以是10.1.0.0/16，该服务器向外部as发布bgp路由信息1，bgp路由信息1中包括的bgp前缀为10.1.0.0/16，bgp路由信息1中携带的原始as为as4。isp1骨干中的pe1通过网络接口a与pe4建立连接，则pe1通过网络接口a从pe4接收到bgp路由信息1，并且pe1还可以从pe4接收到服务器发送的报文1，报文1的源地址为服务器地址10.1.0.0/16。pe1根据报文1的源地址确定对应于该源地址的bgp路由信息为路由信息1，并且根据bgp路由信息1中的as4，结合获得的区域信息，确定as4所属的区域为区域2，则该报文1所属的区域为区域2。
[0095]
如果上述服务器发送的报文被属于as100的外部isp中的pe5劫持，pe4通过网络接口b与pe5建立连接，则pe4通过网络接口b从pe5接收到由上述服务器发送出的报文2，报文2的源地址为服务器地址10.1.0.0/16。pe1仍然根据报文2的源地址确定对应于该源地址的路由信息为bgp路由信息1，并且根据bgp路由信息1中的as4，结合获得的区域信息，确定as4所属的区域为区域2，则该报文2所属的区域为区域2。
[0096]
s330,当网络接口所属的目标区域与报文所属的目标区域相同时，第一网络设备转发报文。
[0097]
如上所述，本申请实施例提供的方法通过将网络中的多个as划分为不同的区域和/或区域联盟。进而，该方法对接收到的报文进行校验，对于通过校验的报文才进行转发。禁止区域内的报文从区域外部被接收到，禁止区域联盟内的报文从区域联盟外部被接收到，由此提高网络安全性。网络设备校验报文的规则如下：对于本区域报文，禁止从非本区域接口出入；对于本区域联盟报文，禁止从非本区域联盟接口出入。
[0098]
因此，第一网络设备通过网络接口接收报文后，先对报文进行校验。具体的，第一网络设备对报文所属的目标区域与接收报文的网络接口所属的目标区域进行比较。示例性的，接收报文的网络接口所属的目标区域就是第一网络设备通过该网络设备连接的其他网络设备，例如第二网络设备所属的目标区域。
[0099]
示例性地，当报文所属的目标区域与接收报文的网络接口所属的目标区域相同时，第一网络设备对报文进行转发。
[0100]
在一个示例中，当报文所属的目标区域与接收报文的网络接口所属的目标区域不相同时，所述第一网络设备丢弃所述报文，或者，所述第一网络设备记录所述报文，以确保网络安全。
[0101]
结合图3a所示的网络场景，第一网络设备可以是isp1骨干中的pe1，第二网络设备可以是isp2骨干中的pe4或者外部isp中的pe5，pe1通过bgp与pe4或pe5连接。isp2骨干中的pe4接入的服务器(图3a中未示出)，服务器地址可以是10.1.0.0/16，isp1骨干中的pe1通过网络接口a从pe4接收到服务器发送的报文1，报文1的源地址为服务器地址10.1.0.0/16。
pe1根据报文1的源地址确定报文1所属的区域为区域2。并且，pe1通过网络接口a与pe4连接，pe4所属的区域为区域2，则网络接口a所属的区域为区域2。因此，所述报文1所属的区域与接收该报文1的网络接口所属的区域相同，pe1认为该报文1是安全可靠的，对报文1进行转发。
[0102]
如果上述服务器发送的报文2被属于as100的外部isp中的pe5劫持，pe4通过网络接口b与pe5建立连接，则pe4通过网络接口b从pe5接收到由上述服务器发送出的报文2，报文2的源地址为服务器地址10.1.0.0/16。pe1确定报文2所属的区域为区域2。并且，pe1通过网络接口b与pe5连接，pe5所属的区域非区域2，则网络接口b所属的区域非区域2。因此，所述报文2所属的区域与接收该报文2的网络接口所属的区域不相同，pe1认为该报文2是可疑的，不对报文1进行转发。
[0103]
从而，本申请实施例提供的技术方案带来的有益效果至少包括：防止外部isp劫持本isp所属区域的报文；防止外部isp劫持本isp所属区域联盟的报文；提高了网络安全性。
[0104]
在一个示例中，在第一网络设备利用bgp路由信息携带的原始as确定报文所属的目标区域之前，第一网络设备先对该原始as进行roa验证。具体的，第一网络设备判断所述第一原始as与从路由起源授权roa数据中获取到的与所述bgp路由信息对应的原始as是否相同。如果两者相同，则第一网络设备进而利用第一原始as确定所述报文所属的目标区域。如果两者不同，则表明第一原始as可能是伪造的，所述bgp路由信息也可能是伪造的，第一网络设备不能利用该原始as确定报文所属的目标区域。
[0105]
示例性地，roa数据可以是第一网络设备与rpki服务器建立连接，在本地保存的。
[0106]
需要说明的是，上述仅以第一网络设备确定通过报文获取到的报文的源地址所属的第一原始as与第二原始as相同之后，第一网络设备再判断网络接口所属的目标区域与报文所属的目标区域是否相同。在本申请实施例提供的方法中，第一网络设备还可以先判断网络接口所属的目标区域与报文所属的目标区域是否相同，在网络接口所属的目标区域与报文所属的目标区域相同之后，第一网络设备再确定通过报文获取到的报文的源地址所属的第一原始as与第二原始as是否相同。示例性地，在第一网络设备确定网络接口所属的目标区域与报文所属的目标区域不相同时，可以直接丢弃该报文，而不再确定通过报文获取到的报文的源地址所属的第一原始as与第二原始as是否相同。
[0107]
本申请实施例不对先确定网络接口所属的目标区域与报文所属的目标区域是否相同，还是先确定通过报文获取到的报文的源地址所属的第一原始as与第二原始as是否相同的先后顺序进行限定。既确定网络接口所属的目标区域与报文所属的目标区域是否相同，也确定通过报文获取到的报文的源地址所属的第一原始as与第二原始as是否相同，可以进一步提高网络安全性。
[0108]
在示例性实施例中，提供了一种学习路由的装置，该装置应用在基于bgp的网络中的第一网络设备中，网络还包括第二网络设备，第一网络设备通过bgp与第二网络设备通信，如图6所示，该装置包括：
[0109]
获取单元801，用于获取来自第二网络设备的第一bgp路由信息，所述第一bgp路由信息包括验证信息；
[0110]
处理单元802，用于根据所述验证信息确定所述第一bgp路由信息所属的目标区域；当所述第一bgp路由信息所属的目标区域与所述第二网络设备所属的目标区域相同时，
学习所述第一bgp路由信息。
[0111]
在示例性实施例中，提供了一种转发报文的装置，该装置应用在基于边界网关协议bgp的网络中的第一网络设备中，第一网络设备包括网络接口，如图7所示，该装置包括：
[0112]
获取单元1001，用于通过网络接口接收报文，所述报文包括源地址；
[0113]
处理单元1002，用于根据所述源地址确定所述报文所属的目标区域；
[0114]
转发单元1003，用于当所述网络接口所属的目标区域与所述报文所属的目标区域相同时，转发所述报文。
[0115]
应理解的是，上述图6或图7提供的装置在实现其功能时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的装置与方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
[0116]
图8示出上述实施例中所涉及的网络设备的另一种可能的结构示意图。网络设备1200包括：处理器1202、网络接口1203、存储器1201以及总线1204。其中，
[0117]
存储器1201，用于存储指令；在实现图6所示实施例的情况下，且图6实施例中所描述的各单元为通过软件实现的情况下，执行图6中的各单元的功能所需的软件或程序代码存储在存储器1201中。
[0118]
处理器1202，用于执行存储器1201中的指令，执行上述应用于图4所示实施例中学习路由的方法；处理器1202可以是中央处理器(central processing unit，cpu)、通用处理器，数字信号处理器(digital signal processor，dsp)、专用集成电路(application-specific integrated circuit，asic)、现场可编程门阵列(field programmable gate array，fpga)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请实施例公开内容所描述的各种示例性的逻辑方框、模块和电路。处理器也可以是实现计算功能的组合，例如包括一个或多个微处理器组合，dsp和微处理器的组合等等。
[0119]
网络接口1203，用于与其他网络设备通信。网络接口1203可以为以太(ethernet)接口或异步传输模式(asynchronous transfer mode，atm)接口等。
[0120]
网络接口1203、处理器1202以及存储器1201通过总线1204相互连接；总线1204可以是外设部件互连标准(peripheral component interconnect，简称pci)总线或扩展工业标准结构(extended industry standard architecture，简称eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图8中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
[0121]
在具体实施例中，处理器1202用于执行存储器1201中的指令，以使得网络设备1200获取来自所述第二网络设备的bgp路由第一bgp路由信息，所述第一bgp路由信息包括验证信息；根据所述验证信息确定所述第一bgp路由信息所属的区域；当所述第一bgp路由信息所属的区域与所述第二网络设备所属的区域相同时，学习所述第一bgp路由信息。该处理器1202的详细处理过程请参考上述图4所示实施例中的过程s210，s220,s230的详细描述，这里不再赘述。
[0122]
网络接口1203用于网络设备1200通过网络系统接收路由信息和收发报文。具体的
过程请参考上述图4所示实施例中s210，s220，s230的详细描述，这里不再赘述。
[0123]
图9示出上述实施例中所涉及的网络设备的另一种可能的结构示意图。网络设备1300包括：主控板1301和接口板1302。主控板1301包括：处理器1303和存储器1304。接口板1302包括：处理器1305、存储器1306和接口卡1307。主控板1301和接口板1302耦合。
[0124]
这些硬件可以实现图4所示实施例中网络设备的相应功能，例如，存储器1306用于存储接口板1302的程序代码，处理器1305用于调用存储器1306中的程序代码触发接口卡1307执行上述方法实施例中网络设备执行的各种信息接收和发送。存储器1304可以用于存储主控板1301的程序代码，处理器1303用于调用存储器1304中的程序代码执行上述方法实施例中网络设备除了信息收发之外的其他处理。
[0125]
举例来说，处理器1305用于触发接口卡1307获取来自所述第二网络设备的第一bgp路由信息，所述第一bgp路由信息包括验证信息；处理器1303根据所述验证信息确定所述第一bgp路由信息所属的目标区域；当所述第一bgp路由信息所属的目标区域与所述第二网络设备所属的目标区域相同时，学习所述第一bgp路由信息。存储器1304，用于存储主控板1301的程序代码和数据；存储器1306，用于存储接口板1302的程序代码和数据。
[0126]
在一个示例中，主控板1301和接口板1302之间建立ipc通道，主控板1301和接口板1302之间利用该ipc通道进行通信。例如，主控板1301通过ipc通道从接口板1302接收bgp路由信息或报文。
[0127]
网络设备1300可以为路由器或交换器或有转发功能的网络设备，网络设备1300能够实现图4所示实施例中网络设备的功能，具体执行步骤可以参见前述方法实施例，此处不再赘述。
[0128]
图10示出了上述实施例中所涉及的网络设备的一种可能的结构示意图，网络设备1500包括：处理器1502、网络接口1503、存储器1501以及总线1504。其中，
[0129]
存储器1501，用于存储指令；在实现图7所示实施例的情况下，且图7实施例中所描述的各单元为通过软件实现的情况下，执行图7中的各单元的功能所需的软件或程序代码存储在存储器1501中。
[0130]
处理器1502，用于执行存储器1501中的指令，执行上述应用于图7所示实施例中报文转发方法；处理器1502可以是中央处理器(central processing unit，cpu)、通用处理器，数字信号处理器(digital signal processor，dsp)、专用集成电路(application-specific integrated circuit，asic)、现场可编程门阵列(field programmable gate array，fpga)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请实施例公开内容所描述的各种示例性的逻辑方框、模块和电路。处理器也可以是实现计算功能的组合，例如包括一个或多个微处理器组合，dsp和微处理器的组合等等。
[0131]
网络接口1503，用于与其他网络设备通信。网络接口1503可以为以太(ethernet)接口或异步传输模式(asynchronous transfer mode，atm)接口等。
[0132]
网络接口1503、处理器1502以及存储器1501通过总线1504相互连接；总线1504可以是pci总线或eisa总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图10中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
[0133]
在具体实施例中，处理器1502用于执行存储器1501中的指令，以使得网络设备
1500通过所述网络接口接收报文，所述报文包括源地址；根据所述源地址确定所述报文所属的目标区域；当所述网络接口所属的目标区域与所述报文所属的目标区域相同时，转发所述报文。该处理器1502的详细处理过程请参考上述图5所示实施例中的过程s310,s320，s330的详细描述，这里不再赘述。
[0134]
网络接口1503用于网络设备1500通过网络系统收发报文。具体的过程请参考上述图5所示实施例中s310,s320,s330的详细描述，这里不再赘述。
[0135]
图11示出上述实施例中所涉及的网络设备的另一种可能的结构示意图。网络设备1600包括：主控板1601和接口板1602。主控板1601包括：处理器1603和存储器1604。接口板1602包括：处理器1605、存储器1606和接口卡1607。主控板1601和接口板1602耦合。
[0136]
这些硬件可以实现图5所示实施例中网络设备的相应功能，例如，存储器1606用于存储接口板1602的程序代码，处理器1605用于调用存储器1606中的程序代码触发接口卡1607执行上述方法实施例中网络设备执行的各种信息接收和发送。存储器1604可以用于存储主控板1601的程序代码，处理器1603用于调用存储器1604中的程序代码执行上述方法实施例中网络设备除了信息收发之外的其他处理。
[0137]
举例来说，处理器1605用于触发接口卡1607通过所述网络接口接收报文，所述报文包括源地址；当所述网络接口所属的目标区域与所述报文所属的目标区域相同时，转发所述报文；处理器1603用于根据所述源地址确定所述报文所属的目标区域。存储器1604，用于存储主控板1601的程序代码和数据；存储器1606，用于存储接口板1602的程序代码和数据。
[0138]
在一个示例中，主控板1601和接口板1602之间建立ipc通道，主控板1601和接口板1602之间利用该ipc通道进行通信。例如，主控板1601通过ipc通道从接口板1602接收bgp路由信息或报文。
[0139]
网络设备1600可以为路由器或交换器或有转发功能的网络设备，网络设备1600能够实现图5所示实施例中网络设备的功能，具体执行步骤可以参见前述方法实施例，此处不再赘述。
[0140]
本申请实施例还提供了一种非瞬态存储介质，用于储存前述实施例中所用的软件指令，其包括用于执行前述实施例所示的方法的程序，当其在计算机或网络设备上执行时，使得所示计算机或网络设备执行前述方法实施例中的方法。
[0141]
本申请实施例还提供了一种包括计算机程序指令的计算机程序产品，当该计算机程序产品在网络节点上运行时，使得网络节点执行前述方法实施例中的方法。
[0142]
本申请实施例中提到的第一网络设备中的“第一”只是用来做名字标识，并不代表顺序上的第一。该规则同样适用于“第二”和“第三”等。
[0143]
需说明的是，以上描述的任意装置实施例都仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，本申请提供的网络节点实施例附图中，模块之间的连接关系表示它们之间具有通信连接，具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0144]
本申请实施例公开内容所描述的方法或者算法的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器(random access memory，ram)、闪存、只读存储器(read only memory，rom)、可擦除可编程只读存储器(erasable programmable rom，eprom)、电可擦可编程只读存储器(electrically eprom，eeprom)、硬盘、移动硬盘、光盘或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于asic中。另外，该asic可以位于网络节点中。当然，处理器和存储介质也可以作为分立组件存在于网络节点中。
[0145]
本领域技术人员应该可以意识到，在上述一个或多个示例中，本申请所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
[0146]
以上的具体实施方式，对本申请的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上仅为本申请的具体实施方式而已，并不用于限定本申请的保护范围，凡在本申请的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本申请的保护范围之内。