專利名稱:Ip地址過濾方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù),尤其涉及一種IP地址過濾方法及裝置����。
背景技術(shù):
互聯(lián)網(wǎng)已經(jīng)深入人們的日常生活和工作中,然而���,隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展�,網(wǎng)絡(luò)上出現(xiàn)了惡意攻擊行為�����,例如,利用偽造源地址發(fā)起網(wǎng)絡(luò)攻擊的行為�����,這種利用偽造源地址發(fā)起的攻擊行為容易發(fā)動且難以被追查出��,給互聯(lián)網(wǎng)的安全帶來隱患�。因此,如何制止該類網(wǎng)絡(luò)攻擊�,是確保互聯(lián)網(wǎng)安全使用的關(guān)鍵����。互聯(lián)網(wǎng)的正常通信中���,報(bào)文的發(fā)送方需要在發(fā)送報(bào)文的源地址字段填寫分配給發(fā)送方的真實(shí)IP地址��,該真實(shí)IP地址是由互聯(lián)網(wǎng)權(quán)威管理機(jī)構(gòu)分配的授權(quán)地址����,這樣���,報(bào)文的接收方才能知道接收到的報(bào)文是誰發(fā)送來的�����,以及將回復(fù)報(bào)文發(fā)往給發(fā)送方所在的地址����。而網(wǎng)絡(luò)攻擊者�,通常會將發(fā)送的報(bào)文中攜帶的源IP地址修改為某一或任意的其它IP 地址,以進(jìn)行網(wǎng)絡(luò)攻擊����,這種網(wǎng)絡(luò)攻擊的行為,就是通過偽造源地址發(fā)起的���。目前針對偽造源地址發(fā)起的網(wǎng)絡(luò)攻擊�����,采用的防御方案通常分為三類追蹤 (Traceback)方案����、端到端驗(yàn)證方案和路徑上過濾方案��。下面分別對各防御方案進(jìn)行說明。Tracekick處理方案主要采用報(bào)文標(biāo)記���、路由器記錄以及收集器處理等方式來確定報(bào)文的源地址����,其屬于事后被動防御機(jī)制����,只能事后追查攻擊者的真實(shí)位置,沒有主動防御能力���。端到端驗(yàn)證方案是報(bào)文的接收端在接收到報(bào)文時�����,可以獲知報(bào)文中攜帶的源地址的真實(shí)性��,具體地����,報(bào)文的發(fā)送端在發(fā)送報(bào)文時��,為報(bào)文添加簽名�����,報(bào)文的接收端可根據(jù)該簽名來判斷接收到的報(bào)文中源地址的真?zhèn)危摲N方案需要對報(bào)文進(jìn)行簽名認(rèn)證�����,網(wǎng)絡(luò)開銷較大��,不適合高速網(wǎng)絡(luò)環(huán)境����,且該種方案中����,中間網(wǎng)絡(luò)節(jié)點(diǎn)不判別報(bào)文源地址的真實(shí)性。路徑上過濾方案是在傳播路徑上���,對偽造源地址的報(bào)文進(jìn)行檢查和過濾����,在偽造源地址的報(bào)文到達(dá)目的地之前將其過濾掉�。該方案中,網(wǎng)絡(luò)上的中間節(jié)點(diǎn)具有報(bào)文真實(shí)性的檢查能力�����,可以在偽造源地址的報(bào)文到達(dá)接收端前就被過濾掉,當(dāng)然���,報(bào)文的過濾也可能發(fā)生在接收端�����。由于可在傳播路徑上進(jìn)行偽造源地址的報(bào)文進(jìn)行過濾�����,將偽造源地址的報(bào)文到達(dá)受害者即接收端之前���,將其清除掉,可使受害者完全或者很大程度上避免接觸到攻擊報(bào)文���, 具有非常好的保護(hù)效果���,尤其對于DoS攻擊具有很好的防御作用。因此����,基于路徑上過濾的防御方案得到了較廣泛的應(yīng)用����。其中�����,現(xiàn)有基于路徑上過濾方案中最有效的手段是入口過濾(digress Filtering), Ingress Filtering是部署在兩個網(wǎng)絡(luò)連接處的路由器或者防火墻中����, 由該路由器或者防火墻負(fù)責(zé)檢查來自網(wǎng)絡(luò)的報(bào)文的源地址是否屬于這個網(wǎng)絡(luò)��。其中�, IETF (Internet Engineering Task Force)組織發(fā)布的 RFC (Request For Comments) 2827 給出了 hgress FiItering的定義,并規(guī)定被檢查的網(wǎng)絡(luò)限定為互聯(lián)網(wǎng)服務(wù)提供商 (Internet Service Provider, ISP)的接入網(wǎng)絡(luò)�����;RFC 3704 給出了 Ingress Filtering 的5種實(shí)現(xiàn)方式���,其中包括手動和自動配置方式以及滿足多穴(Multi-homing)和非對稱路由情況的實(shí)現(xiàn)方式���,而Ingress Filtering的自動配置主要利用了路由轉(zhuǎn)發(fā)的單一地址反向路徑轉(zhuǎn)發(fā)(Unicast RPF, uRPF)特性。uRPF對于進(jìn)入網(wǎng)絡(luò)中的那些源IP地址“無法證實(shí)”的IP數(shù)據(jù)包進(jìn)行丟棄以防止地址欺騙�����,例如,對于拒絕服務(wù)(Denial of Service, DoS)攻擊��,攻擊者會利用偽造的或者是不斷改變的源IP地址以防止攻擊被定位或過濾����,而對于此類攻擊,uRPF只轉(zhuǎn)發(fā)那些源IP 地址在路由表中存在并有效的數(shù)據(jù)包�����。當(dāng)uRPF在某個接口上啟用路由器會檢查所有進(jìn)入此接口的數(shù)據(jù)包�,確定其源IP地址和源接口在路由表中存在。這種“向后看”的能力依賴于轉(zhuǎn)發(fā)信息庫 O7Orwarding Information Base�,F(xiàn)IB),因此���,uRPF 只能在接口的輸入(input) 方向上�����。uRPF檢查從某個接口上進(jìn)入路由器的數(shù)據(jù)包�����,通過FIB判斷該數(shù)據(jù)包是否通過最優(yōu)路徑到達(dá)�����,如果是����,則正常轉(zhuǎn)發(fā),如果找不到逆向(返回源)的路徑���,說明該數(shù)據(jù)包的源IP 可能被修改�����,這時需要通過訪問控制列表(ACL)來判定對該數(shù)據(jù)包是轉(zhuǎn)發(fā)還是丟棄。且在接口啟用uRPF時�����,ACL是可選項(xiàng)���,如果沒有配置ACL��,則對于找不到逆向路徑的數(shù)據(jù)包會被丟棄��。uRPF滿足增量部署的概念�����,即部署得越多�����,非法報(bào)文在網(wǎng)絡(luò)中傳輸?shù)臋C(jī)會越少����,如果全局部署uRPF則網(wǎng)絡(luò)內(nèi)可以用來假冒的源地址范圍很小(假冒范圍局限在邊緣路由器所管理地址空間)。但是����,uRPF存在的主要問題是對于非對稱路由的情況,若通往報(bào)文源地址的最優(yōu)路徑(網(wǎng)絡(luò)接口)并非報(bào)文所來的路徑(接口)�����,此時uRPF將會過濾掉具有真實(shí)源地址的報(bào)文�����;同時,如果網(wǎng)絡(luò)攻擊者偽造合法網(wǎng)段的地址�,網(wǎng)絡(luò)管理者無法在網(wǎng)絡(luò)的任意位置通過uRPF將網(wǎng)絡(luò)攻擊堵截在攻擊的發(fā)起處;此外��,uRPF存在的另一個重要問題是缺乏激勵機(jī)制����,即在邊緣路由器部署完成后(如果不是全部部署)只能防止本地接入的主機(jī)無法仿冒別人的地址,不能防止別的主機(jī)仿冒自己的地址���。此外���,加州大學(xué)洛杉磯分校也提出的一種基于路徑上過濾方案的技術(shù),即SAVECJ. M.Li, Μ.Wang, P.ReitherL. Zhang, SAVE : Source address validity enforcement protocol, presented at Proc. of IEEE INF0C0M��,2002)��,其是在主動防御方面比較有名的一種技術(shù)方案���。SAVE通過在路由器上建立源地址空間和接口對應(yīng)關(guān)系使得路由器在過濾報(bào)文是有據(jù)可查,SAVE協(xié)議把路由器已知的源地址空間信息向指定的目的地傳輸��,使得沿途的路由器得以獲取正確的源地址-接口對應(yīng)表�。其中,SAVE協(xié)議面對的是非對稱路由下的需求,SAVE能較好地解決非對稱路由下的偽造源地址過濾問題���,但是它依然無法解決攻擊者偽造同一逆向路徑上源地址問題���。而且,SAVE還存在另一個問題參與協(xié)議的路由器必須進(jìn)行大量的�、可認(rèn)證的數(shù)據(jù)交換,不但復(fù)雜性比較高�����,而且這個過程可能成為DoS攻擊的對象��;同時�����,SAVE協(xié)議需要全局部署之后才能發(fā)揮作用�,因?yàn)樵谌植渴鹬埃恢С諷AVE 協(xié)議的路由器并不發(fā)送SAVE更新報(bào)文�,所以實(shí)際路由器學(xué)習(xí)到的源地址-接口對應(yīng)表是不完全的,即它并不說明某個接口只能收到相應(yīng)源地址的報(bào)文���,而只是說明這個接口可能收到來自這些源地址的報(bào)文���,因此�����,不能增量部署限制了 SAVE的應(yīng)用����。域間報(bào)文過濾iDPF也是一種基于路徑上過濾方案的技術(shù)��,其是基于域間真實(shí)源地址驗(yàn)證方法��,該方案在《IEEE TRANSACTIONS ON DEPENDABLE AND SECURE COMPUTING》 在 2008 年 Z. Duan 白勺論文〃 Controlling IP Spoofing through Interdomain Packet Filters"中提出����。iDPF是使用邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol,BGP)的路由更新信息推斷出合法的基于BGP路由前綴的源地址的所有可能入接口,從而可以過濾掉那些來自不可能的入接口的非法源地址的報(bào)文�����,且iDPF方法符合主動防御����、增量部署以及激勵機(jī)制等源地址驗(yàn)證機(jī)制����。iDPF方法減少了可以用來進(jìn)行假冒的地址前綴的數(shù)量��,并且可以在一定范圍內(nèi)定位假冒報(bào)文的來源��,但是iDPF只能用于域間的真實(shí)源地址驗(yàn)證�,無法在域內(nèi)不運(yùn)行BGP協(xié)議的路由器系統(tǒng)上部署����,也無法在離偽造地址源最近的位置精確、迅速地過濾偽造源地址的報(bào)文���。綜上�����,現(xiàn)有基于路徑上過濾方案的iDPF技術(shù)�,僅適用于域間��,即自治系統(tǒng)間采用 BGP協(xié)議作為主要路由協(xié)議的真實(shí)源地址驗(yàn)證中���,而對于域內(nèi)���,即自治系統(tǒng)內(nèi)�,特別是對于采用新一代IPv6互聯(lián)網(wǎng)0SPFv3路由協(xié)議的路由器�,如何進(jìn)行更為精確的、能夠增量部署�、 低通信代價和低系統(tǒng)負(fù)載的真實(shí)源地址驗(yàn)證成為一個需要解決的技術(shù)問題。
發(fā)明內(nèi)容
本發(fā)明提供一種IP地址過濾方法及裝置����,可有效克服現(xiàn)有技術(shù)存在的問題,可適用于真實(shí)源地址驗(yàn)證的過濾方案中�,計(jì)算過程簡單,且不會增加網(wǎng)絡(luò)負(fù)載�����。本發(fā)明提供一種IP地址過濾方法����,包括基于開放式最短路徑優(yōu)先OSPF協(xié)議鏈路狀態(tài)信息,獲得區(qū)域內(nèi)的源路由器到當(dāng)前路由器的最短路徑����,將當(dāng)前路由器在所述最短路徑中的上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口 ;根據(jù)所述合法入接口���,建立針對所述源路由器的路由前綴的報(bào)文過濾規(guī)則,對以所述路由器的OSPF路由前綴為源地址前綴的IP報(bào)文進(jìn)行處理,過濾掉從所述合法入接口之外入接口發(fā)送來的報(bào)文����。上述的IP地址過濾方法中,所述基于開放式最短路徑優(yōu)先OSPF協(xié)議鏈路狀態(tài)信息�����,獲得區(qū)域內(nèi)的源路由器到當(dāng)前路由器的最短路徑可包括根據(jù)當(dāng)前路由器自身存儲的鏈路狀態(tài)數(shù)據(jù)庫LSDB中所述區(qū)域的鏈路狀態(tài)信息�����, 計(jì)算所述區(qū)域內(nèi)以源路由器為根的最短路徑樹���;根據(jù)所述當(dāng)前路由器在所述最短路徑樹上的位置��,確定所述當(dāng)前路由器在所述最短路徑樹上的上一跳節(jié)點(diǎn)��,將上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口���。上述的IP地址過濾方法中,所述計(jì)算所述區(qū)域內(nèi)以源路由器為根的最短路徑樹之前還包括根據(jù)當(dāng)前路由器自身存儲的鏈路狀態(tài)數(shù)據(jù)庫LSDB中所述區(qū)域的鏈路狀態(tài)信息�����, 判斷所述區(qū)域是否是對稱區(qū)域;所述區(qū)域?yàn)閷ΨQ區(qū)域時���,以當(dāng)前路由器自身為根的最短路徑樹確定所述源路由器到當(dāng)前路由器的最短路徑����。上述的IP地址過濾方法中����,所述基于開放式最短路徑優(yōu)先OSPF協(xié)議鏈路狀態(tài)信息,獲得區(qū)域內(nèi)的源路由器到當(dāng)前路由器的最短路徑����,將當(dāng)前路由器在所述最短路徑中的上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口也可包括根據(jù)當(dāng)前路由器自身存儲的鏈路狀態(tài)數(shù)據(jù)庫LSDB中所述區(qū)域的鏈路狀態(tài)信息, 判斷所述區(qū)域是否是對稱區(qū)域�����;
所述區(qū)域?yàn)閷ΨQ區(qū)域時����,以當(dāng)前路由器自身為根的最短路徑樹確定所述源路由器到當(dāng)前路由器的最短路徑,將當(dāng)前路由器在所述最短路徑中的上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口 ��;所述區(qū)域?yàn)榉菍ΨQ區(qū)域時,將所述當(dāng)前路由器在所述區(qū)域內(nèi)的所有接口作為針對所述源路由器的OSPF路由前綴的合法入接口�����。本發(fā)明提供一種IP地址過濾裝置�,包括合法入接口獲取模塊,用于基于開放式最短路徑優(yōu)先OSPF協(xié)議鏈路狀態(tài)信息���,獲得區(qū)域內(nèi)的源路由器到當(dāng)前路由器的最短路徑,將當(dāng)前路由器在所述最短路徑中的上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口 ����;報(bào)文過濾模塊,用于根據(jù)所述合法入接口���,建立針對所述源路由器的路由前綴的報(bào)文過濾規(guī)則���,對以所述源路由器的OSPF路由前綴為源地址前綴的IP報(bào)文進(jìn)行處理,過濾掉從所述合法入接口之外入其它接口發(fā)送來的報(bào)文�。上述的IP地址過濾裝置中,所述合法入接口獲取模塊可包括最短路徑樹計(jì)算單元���,用于根據(jù)當(dāng)前路由器自身存儲的鏈路狀態(tài)數(shù)據(jù)庫LSDB中所述區(qū)域的鏈路狀態(tài)信息���,計(jì)算所述區(qū)域內(nèi)以源路由器為根的最短路徑樹�;第一合法入接口獲取單元���,用于根據(jù)所述當(dāng)前路由器在所述最短路徑樹上的位置�,確定所述當(dāng)前路由器在所述最短路徑樹上的上一跳節(jié)點(diǎn)��,將上一跳節(jié)點(diǎn)所在節(jié)點(diǎn)作為針對所述源路由器的OSPF路由前綴的合法入接口����。上述的IP地址過濾裝置中,所述合法入接口獲取模塊還可包括區(qū)域判斷單元����,用于根據(jù)當(dāng)前路由器自身存儲的鏈路狀態(tài)數(shù)據(jù)庫LSDB中所述區(qū)域的鏈路信息,判斷所述區(qū)域是否是對稱區(qū)域����;第二合法入接口獲取單元,用于所述區(qū)域?yàn)閷ΨQ區(qū)域時��,以當(dāng)前路由器自身為根的最短路徑樹確定所述源路由器到當(dāng)前路由器的最短路徑�����,將所述當(dāng)前路由器在所述最短路徑中的上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口 ;所述最短路徑樹計(jì)算單元���,具體用于所述區(qū)域?yàn)榉菍ΨQ區(qū)域時�,根據(jù)當(dāng)前路由器自身存儲的鏈路狀態(tài)數(shù)據(jù)庫LSDB中所述區(qū)域的鏈路狀態(tài)信息���,計(jì)算所述區(qū)域內(nèi)以源路由器為根的最短路徑樹����。上述的IP地址過濾裝置中�,所述合法入接口獲取模塊也可包括第三區(qū)域判斷單元�����,用于根據(jù)當(dāng)前路由器自身存儲的鏈路狀態(tài)數(shù)據(jù)庫LSDB中所述區(qū)域的鏈路狀態(tài)信息�����,判斷所述區(qū)域是否是對稱區(qū)域���;第三合法入接口獲取單元����,用于所述區(qū)域?yàn)閷ΨQ區(qū)域時,以當(dāng)前路由器自身為根的最短路徑樹確定所述源路由器到當(dāng)前路由器的最短路徑�,將所述當(dāng)前路由器在所述最短路徑中的上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口 ;并用于所述區(qū)域?yàn)榉菍ΨQ區(qū)域時�����,將所述當(dāng)前路由器在所述區(qū)域內(nèi)的所有接口作為合法入接本發(fā)明提供的IP地址過濾方法及裝置���,通過根據(jù)OSPF協(xié)議鏈路狀態(tài)信息���,獲取針對區(qū)域內(nèi)的源路由器的路由前綴的合法入接口,并根據(jù)該合法入接口建立過濾規(guī)則����,將從非合法入接口傳送的以源路由器的OSPF路由前綴為源地址前綴的IP報(bào)文進(jìn)行過濾,可有效刪除網(wǎng)絡(luò)中的偽造源IP地址的惡意報(bào)文�,減少網(wǎng)絡(luò)攻擊的可能,提高網(wǎng)絡(luò)的安全性和可靠性����;本發(fā)明技術(shù)方案可基于真實(shí)的源IP地址進(jìn)行報(bào)文過濾,且合法入接口計(jì)算時不會增加網(wǎng)絡(luò)負(fù)載�����,計(jì)算過程簡單,具有較好的報(bào)文過濾效果�,可適用于IPv6網(wǎng)絡(luò)的IP報(bào)文過濾中。
圖1為OSPF網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖2為本發(fā)明IP地址過濾方法實(shí)施例--的流程示意圖3為本發(fā)明IP地址過濾方法實(shí)施例二二的流程示意圖4為本發(fā)明IP地址過濾裝置實(shí)施例--的結(jié)構(gòu)示意圖5為本發(fā)明IP地址過濾裝置實(shí)施例二二的結(jié)構(gòu)示意圖6為本發(fā)明IP地址過濾裝置實(shí)施例三Ξ中合法入接口獲取模塊的結(jié)構(gòu)示意圖�����。
具體實(shí)施例方式為使本發(fā)明實(shí)施例的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚��,下面將結(jié)合本發(fā)明實(shí)施例中的附圖�����,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�����、完整地描述�����,顯然����,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例�。基于本發(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例����,都屬于本發(fā)明保護(hù)的范圍。本發(fā)明提供的IP地址過濾方法是通過計(jì)算以開放式最短路徑優(yōu)先(Open Shortest Path First,0SPF)路由協(xié)議的網(wǎng)絡(luò)區(qū)域內(nèi)的路由器的路由前綴為源地址計(jì)算對這些路由前綴的合法入接口��,從而使得路由器可以據(jù)此構(gòu)造一系列基于報(bào)文源IP地址的過濾規(guī)則�����,對非合法入接口發(fā)送來的源IP地址的報(bào)文�,即偽造源IP地址的報(bào)文進(jìn)行過濾, 其是一種基于域內(nèi)路由協(xié)議OSPF協(xié)議的源IP地址驗(yàn)證技術(shù)(Source Address Validation based on OSPF, SAV0)��,可有效對偽造源IP地址的報(bào)文進(jìn)行過濾���。對于采用OSPF路由協(xié)議的網(wǎng)絡(luò)區(qū)域中����,可以實(shí)現(xiàn)域內(nèi)真實(shí)源地址報(bào)文過濾的可能性,以及可以實(shí)現(xiàn)的原理和方法�����,發(fā)明人進(jìn)行了分析��。1�、OSPF路由協(xié)議OSPF路由協(xié)議是目前有關(guān)域內(nèi)路由方面應(yīng)用的最普遍的路由協(xié)議,因此��,基于 OSPF路由協(xié)議可以實(shí)現(xiàn)真實(shí)源IP地址報(bào)文的域內(nèi)過濾�����。其中���,0SFPv3是針對IPv6的最新的OSPF協(xié)議����,即目前最新的協(xié)議標(biāo)準(zhǔn)RFC5340�����,其與0SPFv2���,即協(xié)議標(biāo)準(zhǔn)RFC23^的主體部分基本相同���,具有以下基本技術(shù)(1)對于自治系統(tǒng)劃分區(qū)域,每臺路由器屬于一個或多個區(qū)域����,每個區(qū)域有一個或多個子網(wǎng)或鏈路;(2)區(qū)域內(nèi)采用最短路徑路由算法計(jì)算兩個路由器之間的路由���;(3)區(qū)域間直接通告路由前綴�����,通過區(qū)域邊界路由器進(jìn)行路由����;(4)對于其它路由協(xié)議的路由引入外部路由概念�����,在整個單一自治系統(tǒng) (Autonomous System, AS)范圍內(nèi)通告該路由��,并報(bào)告自身在AS中的位置,發(fā)布外部路由的路由器稱為自治系統(tǒng)邊界路由器ASBR ���;(5)有骨干區(qū)域(區(qū)域0)的概念���,區(qū)域之間的路由必須通過骨干區(qū)域,如果一個路由器連通多個區(qū)域�����,則其必有一個接口位于區(qū)域0��,因此也被為區(qū)域邊界路由器ABR �����;
0SPFv3與0SPFv2的不同之處在于(l)0SPFv3的配置是基于接口的�,例如interface ethlarea 0. 0. 0. 0,而不是基于子網(wǎng)的(network 192. 168. 12. 00. 0. 0. 255area 0)���,一個接口只能屬于一個區(qū)域;(2)0SPFv3實(shí)現(xiàn)了路由前綴與路由器身份和位置信息的分離�,路由器的標(biāo)識仍然采用0SPFv2的方式�����,Router LSA和Network LSA只用來說明鏈路信息�����,與路由前綴無關(guān)�����, 同時引入了新的LSA說明關(guān)聯(lián)的路由前綴�����;(3)為了描述地址前綴信息����,增加了 Type8,即Link LSA,以及Type9����,即 Intra-Area-Prefix LSA 的 LSA00SPFv3從協(xié)議機(jī)制上說可以認(rèn)為是支持任意協(xié)議族地址,與協(xié)議無關(guān)的���;OSPF協(xié)議以接口為基礎(chǔ)��,接口上可以配置任意的地址�,只是目前設(shè)計(jì)的LSA還只能支持IPv6地址。0SPFv3協(xié)議所支持的LSA包括(1)類型I(Typel) =Router LSA���,是描述路由器連接到區(qū)域的鏈路狀態(tài)和代價��,只在區(qū)域內(nèi)傳播�;對于0SPFv3而言����,Router LSA不含有地址信息而且是協(xié)議無關(guān);(2)類型2(Type2) =Network LSA�����,是描述連接到子網(wǎng)的所有路由器的鏈路狀態(tài)和代價信息��,該LSA匯聚了子網(wǎng)的所有鏈路狀態(tài)和代價信息�����;(3)類型 3(Type3) dnter-area-prefix LSA for ABRs��,是向其它區(qū)域的路由器通告內(nèi)部網(wǎng)絡(luò)(區(qū)域間路由)��,Type 3的LSA可以在一個通告中表達(dá)一個或多個網(wǎng)絡(luò),只有 ABR 產(chǎn)生 summary LSA�����。在 OSPF for IPv6 中����,這些 LSA 的地址表示為 prefix��,prefix length而不是address��,mask.缺省路由的前綴長度為0 �����;(4)類型 4 (Type 4) Inter-area-router LSA for ASBR��,是通告 ASBR 的位置��,由 ASBR產(chǎn)生����;(5)類型 5 (Type 5) =Autonomous system external LSA,重發(fā)布來自另一個 AS 的路由�,通常來自另一個路由協(xié)議;路由的表示方式與Type 3相同;(6)類型8(Type 8) =Link LSA�����,是向其它路由器提供本路由器的鏈路局部地址��, 通知其它與該鏈路相連的路由器一個IPv6前綴列表����,并允許路由器假定與該network LSA 關(guān)聯(lián)的從該鏈路發(fā)布的Options位;(7)類型9(Type 9) =Intra-Area-Prefix LSA�����,路由器可以對每個路由器或傳輸網(wǎng)絡(luò)發(fā)起多個intra-area-prefix LSA����,每個LSA有一個唯一的ID,該ID描述了它與router LSA或network LSA的關(guān)聯(lián)�����,并包含描述stub和transit網(wǎng)絡(luò)的前綴����。上述是對OSPF路由協(xié)議的簡單說明�,具體可參見相關(guān)標(biāo)準(zhǔn)�。可以看出�����,OSPF協(xié)議路由中的路由器具有如下特點(diǎn)(1)路由器是路由前綴的代理或代表����,每個上網(wǎng)主機(jī)或設(shè)備必須通過路由器接入到網(wǎng)絡(luò)中��,因此����,路由器的路由前綴就是接入網(wǎng)絡(luò)的主機(jī)或設(shè)備的真實(shí)IP地址的地址前綴,即源IP地址報(bào)文的地址前綴實(shí)際上就是路由前綴�;(2)路由器的身份是有Router-id來標(biāo)識,因此�����,網(wǎng)絡(luò)上路由器的標(biāo)識是唯一的���;(3)某一區(qū)域內(nèi)的所有路由器的鏈路狀態(tài)數(shù)據(jù)庫(Link State DataBase,LSDB)是同步的��;(4)對于區(qū)域間路由�,每個路由器會根據(jù)自己的邊界路由器或自治系統(tǒng)外部路由器來維護(hù)的路由表選擇最佳路由。
本發(fā)明技術(shù)方案就是根據(jù)上述路由器特點(diǎn)作為出發(fā)點(diǎn)�,基于對OSPF路由協(xié)議的逆向思考,來獲得當(dāng)前路由器針對各路由前綴對應(yīng)的合法入接口���,并針對這些路由前綴設(shè)定相應(yīng)的報(bào)文過濾規(guī)則��,以對以這些路由前綴為源地址前綴的報(bào)文進(jìn)行處理��,過濾掉偽造源IP地址的報(bào)文�。由于OSPF路由協(xié)議設(shè)計(jì)時主要考慮從自己出發(fā)怎樣以最短路徑的方式到達(dá)目的地址����,因此OSPF協(xié)議的計(jì)算目標(biāo)為最短路徑中本路由器的下一跳(next hop),在OSPF進(jìn)行路由計(jì)算時��,將目的地址實(shí)際轉(zhuǎn)換為目的地址前綴所關(guān)聯(lián)的路由器或鏈路��,通過在最短路徑樹上搜索出相應(yīng)的路由器節(jié)點(diǎn)或鏈路節(jié)點(diǎn)從而得到路由�����,即下一跳���;而本發(fā)明技術(shù)方案�����,即SAVO技術(shù)則是根據(jù)當(dāng)前路由存儲的區(qū)域內(nèi)OSPF協(xié)議鏈路狀態(tài)信息��,計(jì)算各路由前綴的路由器到當(dāng)前路由的最短路徑�,從而可得到相應(yīng)路由前綴的路由器發(fā)送報(bào)文到達(dá)當(dāng)前路由的路由節(jié)點(diǎn),即合法入接口���,根據(jù)該合法入接口可設(shè)定相應(yīng)的報(bào)文過濾規(guī)則�����,對偽造源IP 地址的報(bào)文進(jìn)行過濾。其中����,SAVO技術(shù)的核心就是通過OSPF鏈路狀態(tài)信息分析出某個源地址前綴(也就是對應(yīng)的OSPF路由前綴)的報(bào)文所有可能的來源,放開這些合法的來源接口��,關(guān)閉其他接口�����。這些源地址前綴與OSPF協(xié)議學(xué)習(xí)到的路由前綴完全相同,當(dāng)OSPF計(jì)算完成學(xué)習(xí)到的路由并向系統(tǒng)寫入后��,再次根據(jù)鏈路狀態(tài)數(shù)據(jù)庫LSDB信息計(jì)算相同前綴源地址的可能來源����, 并通過訪問表或者其他防火墻機(jī)制寫入系統(tǒng)??梢钥闯觯捎贠SPF路由協(xié)議的特點(diǎn)���,即源地址向目的地址發(fā)送報(bào)文均是通過最短路徑�����,即某個源地址報(bào)文到當(dāng)前路由器的來源入接口�����,一定位于源地址對應(yīng)的路由前綴的路由器到當(dāng)前路由器的最短路徑中��,因此���,當(dāng)前路由器只要知道某個源地址到自身的最短路徑,即可獲得源地址報(bào)文到自身的可能來源入接口�,即合法入接口��,然后根據(jù)獲得的合法入接口���,即可建立相應(yīng)的報(bào)文過濾規(guī)則,對偽造源地址的IP報(bào)文進(jìn)行處理����。下面再對源地址報(bào)文的合法入接口的計(jì)算進(jìn)行分析、說明��。2��、合法入接口的計(jì)算模式通過對OSPF路由協(xié)議分析�,當(dāng)前路由器要想獲得針對區(qū)域內(nèi)某個路由前綴的合法入接口,需要計(jì)算得到該路由前綴的路由節(jié)點(diǎn)到當(dāng)前路由器的最短路徑����,而發(fā)明人通過對OSPF路由協(xié)議分析��,根據(jù)當(dāng)前路由器保存的OSPF鏈路狀態(tài)信息��,來計(jì)算區(qū)域內(nèi)其它路由前綴的路由器到自身的最短路徑時�����,可具有兩種計(jì)算模式簡單(SIMPLE)模式和精確 (ACCURATE)模式。下面先對OSPF路由協(xié)議進(jìn)行路由計(jì)算時的一些特點(diǎn)進(jìn)行說明對于某個特定的OSPF路由前綴�����,除了外部路由外����,其路由計(jì)算的基本方式為 以自己為根,根據(jù)某個特定區(qū)域的鏈路狀態(tài)信息使用Dijkstra最短路徑樹算法構(gòu)造該區(qū)域的最短路徑樹���,最短路徑樹的節(jié)點(diǎn)有2種��,一種是routerjd(使用32位IP地址格式表示)����,表示節(jié)點(diǎn)是一個路由器��;一種是networked(使用一個32位的鏈路id和一個 32位的通告路由器id表示)����,表示節(jié)點(diǎn)是一條鏈路。當(dāng)路由器收到某個路由前綴LSA時 (intra-area-prefix LSA, inter-area-prefix LSA)�,根據(jù)該 LSA 所關(guān)聯(lián)的節(jié)點(diǎn),通過查閱自己的最短路徑樹,得到去往該前綴的最短路徑���,即相應(yīng)的下一跳地址���;如果從不同的通告路由器收到多個同一路由前綴的LSA,從而有多個不同路徑�����,則選擇一個有最小代價的路徑或者選擇多個有相同代價的路徑����。
對于外部路由的計(jì)算,路由器根據(jù)收到的as-external-LSA中的forwarding address域來確定目的地址為LSA中描述的地址的報(bào)文究竟應(yīng)該發(fā)往哪個路由器�,隨后在自己的路由表中查找通往該路由器的路由。一般情況下��,forwarding address域填為0�, 表示發(fā)往通告路由器自己。如果轉(zhuǎn)發(fā)路由器與自己不在同一個區(qū)域���,路由表中應(yīng)該有由 inter-area-router LSA建立的通往該路由器的路由,否則將因?yàn)檎也坏胶线m的路由而忽略該 as-external-LSA���。由于合法入接口實(shí)際是根據(jù)某個特定區(qū)域中的另一個路由節(jié)點(diǎn)(可能是路由器���, 也可能是鏈路)到當(dāng)前路由器的最短路徑推算出來的���,所以上述的合法入接口的兩種計(jì)算模式實(shí)際是反映最短路徑計(jì)算方式的不同。在OSPF中計(jì)算鏈路代價時以接口的輸出代價(interface output cost)來表示���, 即在接口上發(fā)送一個報(bào)文的代價���。接口代價作為該接口的鏈路代價在router-LSA中通告, 接口的輸出代價必須大于0�����。所以�����,對于一條鏈路兩端的路由器而言�,其接口代價可以相同, 也可以不同���,如果接口代價相同�����,則稱該鏈路Ii是對稱的��,表示為Sym(Ii) ,1=0,1,2,..., n�,如果一個區(qū)域(Aj, j =0,1,2,..., m)中的所有鏈路(Ii e Aj)的代價都是對稱的,則稱該區(qū)域是鏈路代價對稱區(qū)域�����,簡稱對稱區(qū)域(Sym(Ap)�����。如果區(qū)域中存在一條或多條非對稱鏈路���,則稱該區(qū)域?yàn)榉菍ΨQ區(qū)域(asymmetric area)��。對于對稱區(qū)域�,區(qū)域中任意節(jié)點(diǎn)Ii1到任意節(jié)點(diǎn)n2的最短路徑就是從n2到Ii1的最短路徑�����,即在該區(qū)域內(nèi)使用以H1為根構(gòu)造的最短路徑樹來計(jì)算到任意其他節(jié)點(diǎn)n2的最短路徑與以n2為根構(gòu)造最短路徑樹來計(jì)算到Ii1的最短路徑得到的結(jié)果是相同的���。如果區(qū)域內(nèi)存在非對稱鏈路��,則從Ii1到n2最短路徑未必是從n2到Ii1的最短路徑���。由于OSPF協(xié)議對于一個區(qū)域的所有路由器而言,它們的鏈路信息(包括鏈路代價���、鏈路連接關(guān)系��,即網(wǎng)絡(luò)拓?fù)?是完全的并且在不同路由器之間是同步的���,所以每個路由器不僅可以根據(jù)存儲在自己數(shù)據(jù)庫中的區(qū)域的鏈路狀態(tài)信息來判斷該區(qū)域是否是對稱的, 而且在網(wǎng)絡(luò)狀態(tài)穩(wěn)定后區(qū)域中所有路由器看到的區(qū)域?qū)ΨQ性是相同的���。下面對SIMPLE模式和ACCURATE模式分別加以說明(I)SIMPLE 模式由于OSPF協(xié)議為了計(jì)算路由�,必須以自己為根構(gòu)造區(qū)域的最短路徑樹SPT��,SPT的節(jié)點(diǎn)為router_id或network_id��。對于SIMPLE模式而言�����,每個路由器X在一個特定區(qū)域內(nèi)根據(jù)該區(qū)域的以自己為根的最短路徑樹SPT來計(jì)算或推算另一個節(jié)點(diǎn)Y到自己的最短路徑,如果該區(qū)域是對稱區(qū)域����,由于區(qū)域內(nèi)任意兩個路由器之間的鏈路是一致的,所以路由器 X根據(jù)自己的最短路徑樹SPT來推斷區(qū)域內(nèi)其它節(jié)點(diǎn)到自己的最短路徑是正確的����,此時可以根據(jù)X到Y(jié)的最短路徑計(jì)算出Y到X的所有可能的合法來源接口(考慮到等價多路徑, 這種合法來源接口可能有多個)���,即合法入接口�。為了避免錯誤地拒絕合法源地址的報(bào)文����, 對于非對稱區(qū)域,SIMPLE模式只是簡單地把當(dāng)前路由器(X)在該區(qū)域的所有接口設(shè)置為合法入接口���,即對于某個源地址的報(bào)文如果從該區(qū)域的任意接口來都認(rèn)為是合法的��??梢钥闯?�,SIMPLE模式下�����,僅根據(jù)當(dāng)前路由器自身的最短路徑樹來確定合法入接口,其不需要增加較多的計(jì)算過程�,合法入接口的計(jì)算過程簡單、便利�����,但在非對稱區(qū)域情況下���,效果較差,較適用于對稱區(qū)域���。( ACCURATE 模式
由于路由器有區(qū)域的鏈路狀態(tài)的完整信息�����,所以當(dāng)前路由器X可以通過以本區(qū)域中另一個路由節(jié)點(diǎn)Y為根計(jì)算它的最短路徑樹SPT����,并根據(jù)X在此最短路徑樹上的位置來判斷Y到X的可能路徑��,并根據(jù)該路徑上自己的上一跳節(jié)點(diǎn)進(jìn)一步推算出Y到X的合法入接口����,即可能來源接口�����,這種基于逆向(即相對于以X為根的SPT) SPT的計(jì)算方式得到的結(jié)果是精確的�����,與區(qū)域是否對稱無關(guān)���,因此可稱為ACXURATE模式??梢钥闯觯珹CXURATE模式下����, 需要根據(jù)當(dāng)前路由器中存儲的區(qū)域的鏈路狀態(tài)信息,來計(jì)算出其它路由器的最短路徑樹�, 具有較大的計(jì)算量,但合法入接口的計(jì)算更加準(zhǔn)確�。需要說明的是,這里所述的SIMPLE模式和ACXURATE模式�����,均是對區(qū)域內(nèi)其它路由前綴的路由器到當(dāng)前路由器的最短路徑的計(jì)算方法,從而根據(jù)計(jì)算得到的最短路徑來確定其它路由前綴的路由器到當(dāng)前路由器的所有可能來源接口����,即針對其它路由前綴的合法入接口?���?梢钥闯觯琒IMPLE模式在計(jì)算合法入接口時�����,只需要檢測某個區(qū)域是否是對稱區(qū)域���,而且如果區(qū)域中有一條鏈路不是對稱鏈路,則該區(qū)域不是對稱區(qū)域�,不再需要后續(xù)的判定,因此計(jì)算量小�,能夠快速適應(yīng)路由的動態(tài)變化,而且對于對稱區(qū)域的情況下����,合法入接口的判斷是精確的,等同于ACXURATE模式���。ACXURATE模式是基于逆向最短路徑樹SPT計(jì)算���,能夠精確判斷合法源地址的可能來源接口���,缺點(diǎn)是需要增加很大的計(jì)算量----對區(qū)域內(nèi)每個路由器逆向計(jì)算SPT代價較高,系統(tǒng)響應(yīng)時間相比SIMPLE模式較長�����,但其具有更好的精確度�����,可提高報(bào)文過濾規(guī)則設(shè)定的準(zhǔn)確性和可靠性�。圖1為OSPF網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖。對于圖1中所示的路由器G而言��,其最短路徑
樹如下
router# show ipv6 ospf6 area 0.0.0.0 spf tree +-99. 99. 99. 99
+-99. 99. 99. 99 Net-ID: 0. 0. 0. 3 [1] I +-192. 168. 18. 1 [1] I +-192. 168. 18. 2 Net-ID: 0.0.0.6 [2] I+-192. 168. 18. 2 [2]
+-99. 99. 99. 99 Net-ID: 0. 0. 0. 4 [1] +-192. 168. 22. 2 [1]
+-192. 168. 22. 2 Net-ID: 0.0.0.4 [2] +-192. 168. 22. 2 Net-ID: 0.0.0.5 [2] +-6. 0. 0. 1 [2]
+-6. 0. 0. 1 Net-ID: 0. 0. 0. 4 [3]而路由器(router-id 99. 99. 99. 99)仿真計(jì)算區(qū)域O的另一個路由器
A (router-id 192. 168. 18. 2)的 spf 樹如下
router# show ipv6 ospf6 simulate spf-tree 192. 168. 18.2 area 0. 0. 0. 0
+-192. 168. 18. 2
+-192. 168. 18. 2 Net-ID: 0.0.0.6 [1] I +-192. 168. 18. 1 [1] I +-99. 99. 99. 99 Net-ID: 0.0.0.3 [2] I I +-99. 99. 99. 99 [2] I I +-99. 99. 99. 99 Net-ID: 0.0.0.4 [3] I +-192. 168. 22. 2 Net-ID: 0.0.0.4 [2] I+-192. 168. 22. 2 [2]
+-6. 0. 0. 1 Net-ID: 0. 0. 0. 4 [1] +-6. 0. 0. 1 [1]
+-192. 168. 22. 2 Net-ID: 0.0.0.5 [2]可見�,路由器依靠自身的LSDB信息可以計(jì)算出區(qū)域內(nèi)其他路由器的最短路徑樹,
計(jì)算的方法與計(jì)算自身的最短路徑樹是相同的�����,本實(shí)施例中,將這種根據(jù)自己的LSDB信息計(jì)算出的以另一個路由器為根的SPT稱為逆向SPT (reverse SPT)����,其計(jì)算方法與目前OSPF 協(xié)議中最短路徑樹的計(jì)算方法相同或類似。因此����,基于當(dāng)前路由器自身存儲的鏈路狀態(tài)信息,可以計(jì)算得到區(qū)域內(nèi)其它路由前綴的路由節(jié)點(diǎn)到自身的最短路徑���,并得到所有合法入接口�����。可以看出�,由于OSPF協(xié)議自身的特點(diǎn),每個路由器均保存有區(qū)域內(nèi)的所有路由鏈接狀態(tài)信息�,因此,基于當(dāng)前路由器保存的路由鏈路狀態(tài)�,就可以推算出其它路由器的最短路徑樹,即逆向SPT�,且其計(jì)算方法與OSPF協(xié)議中路由器的最短路徑樹的計(jì)算方法相同。3��、合法入接口的基礎(chǔ)算法若當(dāng)前路由器X的id為IDx,區(qū)域內(nèi)的路由器Y的id為IDy�����,那么路由器X根據(jù)自己的SPT或者逆向SPT就可以計(jì)算出從Y到X的合法入接口�����。當(dāng)區(qū)域是對稱區(qū)域時����,無論ACXURATE模式與SIMPLE模式均可采用路由器自己的 SPT樹計(jì)算合法的入接口,因此���,在具體計(jì)算時可將兩種模式一起進(jìn)行計(jì)算�,或者僅采用一種模式進(jìn)行計(jì)算��。當(dāng)僅采用ACCURATE模式時��,需要及時計(jì)算區(qū)域內(nèi)每個路由器的最短路徑樹��;當(dāng)采用SIMPLE模式時��,區(qū)域?yàn)閷ΨQ區(qū)域時��,可以當(dāng)前路由器的SPT來計(jì)算得到合法入接口,區(qū)域不對稱時����,可簡單地把所有屬于該區(qū)域的接口都設(shè)置為合法入接口 ;當(dāng)采用兩種模式結(jié)合時��,對于對稱區(qū)域�����,可以當(dāng)前路由器的SPT來計(jì)算得到合法入接口���,區(qū)域?yàn)椴粚ΨQ區(qū)域時�����,通過計(jì)算逆向SPT來計(jì)算得到合法入接口����。實(shí)際應(yīng)用中���,要獲得區(qū)域內(nèi)的路由節(jié)點(diǎn)的路由前綴到當(dāng)前路由器的合法入接口時,需要搜索以該路由前綴的路由節(jié)點(diǎn)為根的逆向SPT���,由于逆向SPT無法直接得到接口信息�����,只能得到當(dāng)前路由器在逆向SPT中前一跳節(jié)點(diǎn)的id����,再通過Link LSA推算出到當(dāng)前路由器的入接口,即可作為當(dāng)前路由器的合法入接口�����。下面給出支持N個等價節(jié)點(diǎn)的最短路徑樹父節(jié)點(diǎn)遞歸搜索算法的具體實(shí)現(xiàn)���,該算法的輸入為節(jié)點(diǎn)ν的最短路徑樹SPT (表示為 ν- > child_list)及待搜索的節(jié)點(diǎn)y的id(search_vertex_id)���,算法的輸出為y在ν的最短路徑樹上的父節(jié)點(diǎn)及等價父節(jié)點(diǎn)的數(shù)目,節(jié)點(diǎn)id使用地址前綴的方式進(jìn)行描述�����。等價父節(jié)點(diǎn)搜索算法(ECPS) :equal_cost_parent_vertex(ν, search_vertex_ id)輸入節(jié)點(diǎn)ν (以ν為根的SPT為ν- > child_list)和待搜索節(jié)點(diǎn)y的id (search_ vertex_id)輸出節(jié)點(diǎn)y的最小代價等價父節(jié)點(diǎn)prev及其數(shù)目prevjertexjum (num≤N)算法的具體實(shí)現(xiàn)過程可參見下述C語言描述
權(quán)利要求
1.一種IP地址過濾方法���,其特征在于�����,包括基于開放式最短路徑優(yōu)先OSPF協(xié)議鏈路狀態(tài)信息�����,獲得區(qū)域內(nèi)的源路由器到當(dāng)前路由器的最短路徑�,將當(dāng)前路由器在所述最短路徑中的上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口 ;根據(jù)所述合法入接口���,建立針對所述源路由器的路由前綴的報(bào)文過濾規(guī)則����,對以所述源路由器的OSPF路由前綴為源地址前綴的IP報(bào)文進(jìn)行處理���,過濾掉從所述合法入接口之外其它入接口發(fā)送來的報(bào)文����。
2.根據(jù)權(quán)利要求1所述的IP地址過濾方法���,其特征在于,所述基于開放式最短路徑優(yōu)先OSPF協(xié)議鏈路狀態(tài)信息���,獲得區(qū)域內(nèi)的源路由器到當(dāng)前路由器的最短路徑包括根據(jù)當(dāng)前路由器自身存儲的鏈路狀態(tài)數(shù)據(jù)庫LSDB中所述區(qū)域的鏈路狀態(tài)信息�����,計(jì)算所述區(qū)域內(nèi)以源路由器為根的最短路徑樹�;根據(jù)所述當(dāng)前路由器在所述最短路徑樹上的位置,確定所述當(dāng)前路由器在所述最短路徑樹上的上一跳節(jié)點(diǎn)��,將上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口�。
3.根據(jù)權(quán)利要求2所述的IP地址過濾方法,其特征在于�����,所述計(jì)算所述區(qū)域內(nèi)以源路由器為根的最短路徑樹之前還包括根據(jù)當(dāng)前路由器自身存儲的鏈路狀態(tài)數(shù)據(jù)庫LSDB中所述區(qū)域的鏈路狀態(tài)信息�,判斷所述區(qū)域是否是對稱區(qū)域;所述區(qū)域?yàn)閷ΨQ區(qū)域時�����,以當(dāng)前路由器自身為根的最短路徑樹確定所述源路由器到當(dāng)前路由器的最短路徑��。
4.根據(jù)權(quán)利要求1所述的IP地址過濾方法�,其特征在于,所述基于開放式最短路徑優(yōu)先OSPF協(xié)議鏈路狀態(tài)信息�����,獲得區(qū)域內(nèi)的源路由器到當(dāng)前路由器的最短路徑,將當(dāng)前路由器在所述最短路徑中的上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口包括根據(jù)當(dāng)前路由器自身存儲的鏈路狀態(tài)數(shù)據(jù)庫LSDB中所述區(qū)域的鏈路狀態(tài)信息���,判斷所述區(qū)域是否是對稱區(qū)域�;所述區(qū)域?yàn)閷ΨQ區(qū)域時����,以當(dāng)前路由器自身為根的最短路徑樹確定所述源路由器到當(dāng)前路由器的最短路徑,將當(dāng)前路由器在所述最短路徑中的上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口 �;所述區(qū)域?yàn)榉菍ΨQ區(qū)域時,將所述當(dāng)前路由器在所述區(qū)域內(nèi)的所有接口作為針對所述源路由器的OSPF路由前綴的合法入接口�����。
5.根據(jù)權(quán)利要求1 4任一所述的IP地址過濾方法�,其特征在于,還包括所述源路由器為邊界路由器時�,建立針對以所述源路由器通告的區(qū)域間路由的路由前綴的報(bào)文過濾規(guī)則,對以所述區(qū)域間路由的路由前綴為源地址前綴的IP報(bào)文進(jìn)行處理����,過濾掉從所述合法入接口之外其它入接口發(fā)送來的報(bào)文;所述源路由器為自治系統(tǒng)外部路由器時,建立針對所述源路由器通告的外部路由的路由前綴的報(bào)文過濾規(guī)則�,對以所述外部路由的路由前綴為源地址前綴的IP報(bào)文進(jìn)行處理, 過濾掉從所述合法入接口之外其它接口發(fā)送來的報(bào)文��。
6.一種IP地址過濾裝置�����,其特征在于�����,包括合法入接口獲取模塊�,用于基于開放式最短路徑優(yōu)先OSPF協(xié)議鏈路狀態(tài)信息��,獲得區(qū)域內(nèi)的源路由器到當(dāng)前路由器的最短路徑�����,將當(dāng)前路由器在所述最短路徑中的上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口 ��;報(bào)文過濾模塊��,用于根據(jù)所述合法入接口����,建立針對所述源路由器的路由前綴的報(bào)文過濾規(guī)則���,對以所述源路由器的OSPF路由前綴為源地址前綴的IP報(bào)文進(jìn)行處理,過濾掉從所述合法入接口之外入接口發(fā)送來的報(bào)文�����。
7.根據(jù)權(quán)利要求6所述的IP地址過濾裝置�����,其特征在于��,所述合法入接口獲取模塊包括最短路徑樹計(jì)算單元��,用于根據(jù)當(dāng)前路由器自身存儲的鏈路狀態(tài)數(shù)據(jù)庫LSDB中所述區(qū)域的鏈路狀態(tài)信息��,計(jì)算所述區(qū)域內(nèi)以源路由器為根的最短路徑樹���;第一合法入接口獲取單元���,用于根據(jù)所述當(dāng)前路由器在所述最短路徑樹上的位置,確定所述當(dāng)前路由器在所述最短路徑樹上的上一跳節(jié)點(diǎn)�,將上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口。
8.根據(jù)權(quán)利要求7所述的IP地址過濾裝置,其特征在于����,所述合法入接口獲取模塊還包括區(qū)域判斷單元,用于根據(jù)當(dāng)前路由器自身存儲的鏈路狀態(tài)數(shù)據(jù)庫LSDB中所述區(qū)域的鏈路狀態(tài)信息���,判斷所述區(qū)域是否是對稱區(qū)域;第二合法入接口獲取單元�����,用于所述區(qū)域?yàn)閷ΨQ區(qū)域時�,以當(dāng)前路由器自身為根的最短路徑樹確定所述源路由器到當(dāng)前路由器的最短路徑,將所述當(dāng)前路由器在所述最短路徑中的上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口 ��;所述最短路徑樹計(jì)算單元�����,具體用于所述區(qū)域?yàn)榉菍ΨQ區(qū)域時�����,根據(jù)當(dāng)前路由器自身存儲的鏈路狀態(tài)數(shù)據(jù)庫LSDB中所述區(qū)域的鏈路狀態(tài)信息����,計(jì)算所述區(qū)域內(nèi)以源路由器為根的最短路徑樹�����。
9.根據(jù)權(quán)利要求6所述的IP地址過濾裝置���,其特征在于,所述合法入接口獲取模塊包括第三區(qū)域判斷單元��,用于根據(jù)當(dāng)前路由器自身存儲的鏈路狀態(tài)數(shù)據(jù)庫LSDB中所述區(qū)域的鏈路狀態(tài)信息����,判斷所述區(qū)域是否是對稱區(qū)域;第三合法入接口獲取單元��,用于所述區(qū)域?yàn)閷ΨQ區(qū)域時�����,以當(dāng)前路由器自身為根的最短路徑樹確定所述源路由器到當(dāng)前路由器的最短路徑����,將當(dāng)前路由器在所述最短路徑中的上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口 ;并用于所述區(qū)域?yàn)榉菍ΨQ區(qū)域時�,將所述當(dāng)前路由器在所述區(qū)域內(nèi)的所有接口作為合法入接口����。
10.根據(jù)權(quán)利要求6 8任一所述的IP地址過濾裝置���,其特征在于�����,所述報(bào)文過濾模塊��,還用于所述源路由器為邊界路由器時,建立針對以所述源路由器通告的區(qū)域間路由的路由前綴的報(bào)文過濾規(guī)則�,對以所述區(qū)域間路由的路由前綴為源地址前綴的IP報(bào)文進(jìn)行處理,過濾掉從所述合法入接口之外入接口發(fā)送來的報(bào)文�;以及,用于所述源路由器為自治系統(tǒng)外部路由器時�����,建立針對所述源路由器通告的外部路由的路由前綴的報(bào)文過濾規(guī)則���,對以所述外部路由的路由前綴為源地址前綴的IP報(bào)文進(jìn)行處理�����,過濾掉從所述合法入接口之外入接口發(fā)送來的報(bào)文��。
全文摘要
本發(fā)明公開了一種IP地址過濾方法及裝置���。該方法包括基于開放式最短路徑優(yōu)先OSPF協(xié)議鏈路狀態(tài)信息�����,獲得區(qū)域內(nèi)的源路由器到當(dāng)前路由器的最短路徑��,將當(dāng)前路由器在所述最短路徑中的上一跳節(jié)點(diǎn)所在接口作為針對所述源路由器的OSPF路由前綴的合法入接口����;根據(jù)所述合法入接口����,建立針對所述源路由器的路由前綴的報(bào)文過濾規(guī)則,對以所述源路由器的OSPF路由前綴為源地址前綴的IP報(bào)文進(jìn)行處理���,過濾掉從所述合法入接口之外入接口發(fā)送來的報(bào)文�����。本發(fā)明技術(shù)方案可有效對偽造源IP地址的報(bào)文進(jìn)行過濾��,過濾規(guī)則的計(jì)算過程簡單����,不會增加網(wǎng)絡(luò)負(fù)載,可有效提高網(wǎng)絡(luò)的安全性�����。
文檔編號H04L29/06GK102158497SQ201110121589
公開日2011年8月17日 申請日期2011年5月11日 優(yōu)先權(quán)日2011年5月11日
發(fā)明者劉亞萍, 盧澤新, 張曉哲, 徐金義, 王宏, 王寶生, 酈蘇丹, 陶孜謹(jǐn) 申請人:中國人民解放軍國防科學(xué)技術(shù)大學(xué)