一種發(fā)送引流路由信息的方法及清洗設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域���,尤其涉及一種發(fā)送引流路由信息的方法及清洗設(shè)備。
【背景技術(shù)】
[0002]現(xiàn)有技術(shù)中��,當(dāng)網(wǎng)絡(luò)中存在被保護(hù)節(jié)點(diǎn)時(shí)�����,通常在該網(wǎng)絡(luò)的CE(Custom Edge�,客戶邊緣)路由器所在位置上以旁路方式部署清洗設(shè)備,通過將目的IP地址為被保護(hù)節(jié)點(diǎn)的IP地址的流量(后面將簡(jiǎn)稱為“被保護(hù)流量”)引流至清洗設(shè)備中進(jìn)行清洗��,再將清洗后的流量回注到被保護(hù)節(jié)點(diǎn)����,從而實(shí)現(xiàn)對(duì)被保護(hù)節(jié)點(diǎn)的保護(hù)。其中����,“引流過程”和“回注過程”是整個(gè)流量清洗過程中至關(guān)重要的環(huán)節(jié)。
[0003]例如:在圖1所示的網(wǎng)絡(luò)中��,包括:路由器I和路由器2,路由器I作為CE路由器與Internet (Internetwork,互聯(lián)網(wǎng))連接,攻擊流量能夠通過路由器I進(jìn)入到該網(wǎng)絡(luò)中�。在沒有部署清洗設(shè)備時(shí),攻擊流量將通過路由器I和路由器2的轉(zhuǎn)發(fā)��,直接到達(dá)被保護(hù)節(jié)點(diǎn)����,這大大增加了被保護(hù)節(jié)點(diǎn)受到攻擊的幾率��。在部署有清洗設(shè)備后����,清洗設(shè)備通過與路由器I建立EBGP (External Border Gateway Protocol,外部邊界網(wǎng)關(guān)協(xié)議)鄰居關(guān)系,并向路由器I發(fā)送引流路由信息�����,該引流路由信息中包含被保護(hù)節(jié)點(diǎn)的IP地址����。路由器I通過對(duì)引流路由信息進(jìn)行學(xué)習(xí),從而將學(xué)習(xí)到的路由添加到自身的路由表中���,并將被保護(hù)流量對(duì)應(yīng)的下一跳確定為清洗設(shè)備����。在路由器I獲得被保護(hù)流量時(shí),路由器I根據(jù)最長(zhǎng)匹配原則����,從自身路由表中確定出與被保護(hù)流量的目的IP地址匹配位數(shù)最長(zhǎng)的到達(dá)清洗設(shè)備的路由為下一跳路由,并將被保護(hù)流量發(fā)送給清洗設(shè)備�����,這便完成了將被保護(hù)流量引流到清洗設(shè)備的“引流過程”��。清洗設(shè)備對(duì)被保護(hù)流量進(jìn)行檢查���、清洗后����,清洗設(shè)備通過與路由器2建立隧道連接�����,并將清洗后流量發(fā)送給路由器2��,其中����,清洗后流量的目的IP地址與清洗之前流量的目的IP地址相同(同為被保護(hù)節(jié)點(diǎn)的IP地址)�。路由器2根據(jù)最長(zhǎng)匹配原則��,從自身的路由表中確定與清洗后流量的目的IP地址匹配位數(shù)最長(zhǎng)的到達(dá)被保護(hù)節(jié)點(diǎn)的路由為下一跳路由��,并將清洗后流量發(fā)送給被保護(hù)節(jié)點(diǎn)���,這便完成了將清洗后流量回注到被保護(hù)節(jié)點(diǎn)的“回注過程”�����。
[0004]但,現(xiàn)有技術(shù)中的清洗設(shè)備只能應(yīng)用于圖1所示的被保護(hù)節(jié)點(diǎn)通過CE路由器連接到互聯(lián)網(wǎng)的場(chǎng)景中�����,解決如何防御來自于互聯(lián)網(wǎng)中的攻擊的問題�。然而,在包含多個(gè)CE路由器的 MPLS VPN (Mult1-Protocol Label Switching Virtual Private Network,多協(xié)議標(biāo)簽交換虛擬專用網(wǎng)絡(luò))的場(chǎng)景中����,采用上述清洗過程無法實(shí)現(xiàn)正常的流量回注過程,因此導(dǎo)致在MPLS VPN場(chǎng)景中無法有效對(duì)攻擊流量進(jìn)行防御���。
【發(fā)明內(nèi)容】
[0005]本申請(qǐng)實(shí)施例通過提供一種發(fā)送引流路由信息的方法及清洗設(shè)備���,解決了采用現(xiàn)有流量清洗方案在MPLS VPN場(chǎng)景中無法有效對(duì)攻擊流量進(jìn)行防御的問題���。
[0006]第一方面,提供一種發(fā)送引流路由信息的方法�����,應(yīng)用于多協(xié)議標(biāo)簽交換MPLS虛擬專用網(wǎng)絡(luò)VPN中的清洗設(shè)備中�����,所述MPLS VPN還包括至少兩個(gè)客戶邊緣CE路由器�,所述清洗設(shè)備與每個(gè)所述CE路由器存在外部邊界網(wǎng)關(guān)協(xié)議EBGP鄰居關(guān)系;所述方法包括:
[0007]所述清洗設(shè)備生成引流路由信息����,所述引流路由信息中攜帶自治系統(tǒng)AS號(hào)和被保護(hù)節(jié)點(diǎn)的IP地址,所述AS號(hào)是所述被保護(hù)節(jié)點(diǎn)所屬網(wǎng)段連接的第一 CE路由器的AS號(hào)�;
[0008]所述清洗設(shè)備將所述引流路由信息發(fā)送給所述第一 CE路由器和第二 CE路由器,使得所述第一 CE路由器根據(jù)所述AS號(hào)和外部邊界網(wǎng)關(guān)協(xié)議EBGP防環(huán)機(jī)制丟棄所述引流路由信息�����,并使得所述第二 CE路由器根據(jù)所述AS號(hào)和所述EBGP防環(huán)機(jī)制保存所述引流路由信息。
[0009]結(jié)合第一方面����,在第一方面的第一種可能的實(shí)施方式中,所述清洗設(shè)備生成引流路由信息����,包括:
[0010]所述清洗設(shè)備獲取所述被保護(hù)節(jié)點(diǎn)的IP地址;
[0011]所述清洗設(shè)備確定所述被保護(hù)節(jié)點(diǎn)的IP地址所屬網(wǎng)段的邊界網(wǎng)關(guān)協(xié)議BGP路由信息�;
[0012]所述清洗設(shè)備從所述被保護(hù)節(jié)點(diǎn)的IP地址所屬網(wǎng)段的BGP路由信息中的自治系統(tǒng)路徑表AS-Path list屬性信息中,提取所述AS號(hào)����;
[0013]所述清洗設(shè)備根據(jù)所述被保護(hù)節(jié)點(diǎn)的IP地址和所述AS號(hào),生成所述引流路由信息�,其中����,所述引流路由信息中包含所述被保護(hù)節(jié)點(diǎn)的IP地址和所述AS號(hào)。
[0014]結(jié)合第一方面的第一種可能的實(shí)施方式�����,在第一方面的第二種可能的實(shí)施方式中�����,所述清洗設(shè)備確定所述被保護(hù)節(jié)點(diǎn)的IP地址所屬網(wǎng)段的BGP路由信息,包括:
[0015]所述清洗設(shè)備獲取所述至少兩個(gè)CE路由器各自對(duì)應(yīng)的BGP路由信息���,獲得至少兩個(gè)BGP路由信息�;
[0016]所述清洗設(shè)備分別從所述至少兩個(gè)BGP路由信息中�����,提取所述至少兩個(gè)BGP路由信息分別包含的網(wǎng)段IP地址���;
[0017]所述清洗設(shè)備根據(jù)最長(zhǎng)匹配原則���,從所述至少兩個(gè)BGP路由信息分別包含的網(wǎng)段IP地址中確定與所述被保護(hù)節(jié)點(diǎn)的IP地址匹配位數(shù)最長(zhǎng)的網(wǎng)段IP地址為所述保護(hù)節(jié)點(diǎn)的IP地址所屬的網(wǎng)段IP地址;
[0018]所述清洗設(shè)備確定包含所述被保護(hù)節(jié)點(diǎn)的IP地址所屬的網(wǎng)段IP地址的BGP路由信息為所述被保護(hù)節(jié)點(diǎn)的IP地址所屬網(wǎng)段的BGP路由信息��。
[0019]結(jié)合第一方面���、或第一方面的第一種可能的實(shí)施方式����、或第一方面的第二種可能的實(shí)施方式��,在第一方面的第三種可能的實(shí)施方式中,所述第一 CE路由器根據(jù)所述AS號(hào)和EBGP防環(huán)機(jī)制丟棄所述引流路由信息����,包括:
[0020]在所述第一 CE路由器確定所述AS號(hào)與所述第一 CE路由器自身的AS號(hào)相同后,所述第一 CE路由器丟棄所述引流路由信息��;
[0021]所述第二 CE路由器根據(jù)所述AS號(hào)和所述EBGP防環(huán)機(jī)制保存所述引流路由信息�,包括:
[0022]在所述第二 CE路由器確定所述AS號(hào)與所述第二 CE路由器自身的AS號(hào)不相同后,所述第二 CE路由器保存所述引流路由信息���。
[0023]第二方面����,提供一種清洗設(shè)備��,應(yīng)用于多協(xié)議標(biāo)簽交換MPLS虛擬專用網(wǎng)絡(luò)VPN中�,所述MPLS VPN還包括至少兩個(gè)客戶邊緣CE路由器,所述清洗設(shè)備與每個(gè)所述CE路由器存在外部邊界網(wǎng)關(guān)協(xié)議EBGP鄰居關(guān)系��;所述清洗設(shè)備包括:
[0024]生成單元��,用于生成引流路由信息�����,所述引流路由信息中攜帶自治系統(tǒng)AS號(hào)和被保護(hù)節(jié)點(diǎn)的IP地址����,所述AS號(hào)是所述被保護(hù)節(jié)點(diǎn)所屬網(wǎng)段連接的第一 CE路由器的AS號(hào);
[0025]發(fā)送單元���,用于從所述生成單元接收所述引流路由信息�,并將所述引流路由信息發(fā)送給所述第一 CE路由器和第二 CE路由器����,使得所述第一 CE路由器根據(jù)所述AS號(hào)和外部邊界網(wǎng)關(guān)協(xié)議EBGP防環(huán)機(jī)制丟棄所述引流路由信息,并使得所述第二 CE路由器根據(jù)所述AS號(hào)和所述EBGP防環(huán)機(jī)制保存所述引流路由信息�。
[0026]結(jié)合第二方面,在第二方面的第一種可能的實(shí)施方式中�,所述生成單元,包括:
[0027]獲取子單元���,用于獲取所述被保護(hù)節(jié)點(diǎn)的IP地址��;
[0028]確定子單元�,用于確定所述被保護(hù)節(jié)點(diǎn)的IP地址所屬網(wǎng)段的邊界網(wǎng)關(guān)協(xié)議BGP路由信息���;
[0029]提取子單元��,用于從所述被保護(hù)節(jié)點(diǎn)的IP地址所屬網(wǎng)段的BGP路由信息中的自治系統(tǒng)路徑表AS-Path list屬性信息中�����,提取所述AS號(hào)��;
[0030]生成子單元�,用于根據(jù)所述被保護(hù)節(jié)點(diǎn)的IP地址和所述AS號(hào),生成所述引流路由信息����,其中,所述引流路由信息中包含所述被保護(hù)節(jié)點(diǎn)的IP地址和所述AS號(hào)���。
[0031]結(jié)合第二方面的第一種可能的實(shí)施方式��,在第二方面的第二種可能的實(shí)施方式中�,所述確定子單元����,具體用于:
[0032]獲取所述至少兩個(gè)CE路由器各自對(duì)應(yīng)的BGP路由信息,獲得至少兩個(gè)BGP路由信息�����;分別從所述至少兩個(gè)BGP路由信息中�����,提取所述至少兩個(gè)BGP路由信息分別包含的網(wǎng)段IP地址���;根據(jù)最長(zhǎng)匹配原則���,從所述至少兩個(gè)BGP路由信息分別包含的網(wǎng)段IP地址中確定與所述被保護(hù)節(jié)點(diǎn)的IP地址匹配位數(shù)最長(zhǎng)的網(wǎng)段IP地址為所述保護(hù)節(jié)點(diǎn)的IP地址所屬的網(wǎng)段IP地址;確定包含所述被保護(hù)節(jié)點(diǎn)的IP地址所屬的網(wǎng)段IP地址的BGP路由信息為所述被保護(hù)節(jié)點(diǎn)的IP地址所屬網(wǎng)段的BGP路由信息����。
[0033]結(jié)合第二方面、或第二方面的第一種可能的實(shí)施方式����、或第二方面的第二種可能的實(shí)施方式,在第二方面的第三種可能的實(shí)施方式中��,所述EBGP防環(huán)機(jī)制�����,包括:
[0034]在所述第一 CE路由器確定所述AS號(hào)與所述第一 CE路由器自身的AS號(hào)相同后,所述第一 CE路由器丟棄所述引流路由信息的機(jī)制���;和/或
[0035]在所述第二 CE路由器確定所述AS號(hào)與所述第二 CE路由器自身的AS號(hào)不相同后����,所述第二 CE路由器保存所述引流路由信息的機(jī)制����。
[0036]第三方面,提供一種清洗設(shè)備��,應(yīng)用于多協(xié)議標(biāo)簽交換MPLS虛擬專用網(wǎng)VPN中�,所述MPLS VPN還包括至少兩個(gè)客戶邊緣CE路由器,所述清洗設(shè)備與每個(gè)所述CE路由器存在外部邊界網(wǎng)關(guān)協(xié)議EBGP鄰居關(guān)系����;所述清洗設(shè)備包括:
[0037]存儲(chǔ)器,用于存儲(chǔ)相關(guān)程序代碼�����;
[0038]處理器����,用于從所述存儲(chǔ)器中讀取所述相關(guān)程序代碼��,以執(zhí)行:生成引流路由信息�,所述引流路由信息中攜帶自治系統(tǒng)AS號(hào)和被保護(hù)節(jié)點(diǎn)的IP地址����,所述AS號(hào)是所述被保護(hù)節(jié)點(diǎn)所屬網(wǎng)段連接的第一 CE路由器的AS號(hào)���;
[0039]網(wǎng)絡(luò)接口���,用于將所述引流路由信息發(fā)送給所述第一 CE路由器和第二 CE路由器,使得所述第一 CE路由器根據(jù)所述AS號(hào)和外部邊界網(wǎng)關(guān)協(xié)議EBGP防環(huán)機(jī)制丟棄所述引流路由信息�����,并使得所述第二 CE路由器根據(jù)所述AS號(hào)和所述EBGP防環(huán)機(jī)制保存所述引流路由信息����。
[0040]結(jié)合第三方面,在第三方面的第一種可能的實(shí)施方式中�,所述處理器,具體用于:
[0041]獲取所述被保護(hù)節(jié)點(diǎn)的IP地址�����;確定所述被保護(hù)節(jié)點(diǎn)的IP地址所屬網(wǎng)段的邊界網(wǎng)關(guān)協(xié)議BGP路由信息;從所述被保護(hù)節(jié)點(diǎn)的IP地址所屬網(wǎng)段的BGP路由信息中的自治系統(tǒng)路徑表AS-Path list屬性信息中���,提取所述AS號(hào)���;根據(jù)所述被保護(hù)節(jié)點(diǎn)的IP地址和所述AS號(hào),生成所述引流路由信息����,其中,所述引流路由信息中包含所述被保護(hù)節(jié)點(diǎn)的IP地址和所述AS號(hào)���。
[0042]結(jié)合第三方面的第一種可能的實(shí)施方式���,在第三方面的第二種可能的實(shí)施方式中,所述處理器�����,具體用于:
[0043]獲取所述至少兩個(gè)CE路由器各自對(duì)應(yīng)的BGP路由信息���,獲得至少兩個(gè)BGP路由信息����;分別從所述至少兩個(gè)BGP路由信息中,提取所述至少兩個(gè)BGP路由信息分別包含的網(wǎng)段IP地址�;根據(jù)最長(zhǎng)匹配原則,從所述至少兩個(gè)BGP路由信息分別包含的網(wǎng)段IP地址中確定與所述被保護(hù)節(jié)點(diǎn)的IP地址匹配位數(shù)最長(zhǎng)的網(wǎng)段IP地址為所述保護(hù)節(jié)點(diǎn)的IP地址所屬的網(wǎng)段IP地址���;確定包含所述被保護(hù)節(jié)點(diǎn)的IP地址所屬的網(wǎng)段IP地址的BGP路由信息為所述被保護(hù)節(jié)點(diǎn)的IP地址所屬網(wǎng)段的BGP路由信息����。
[0044]結(jié)合第三方面����、或第三方面的第一種可能的實(shí)施方式����、或第三方面的第二種可能的實(shí)施方式,在第三方面的第三種可