专利名称::单一地址反向传输路径转发的实现方法及装置的制作方法
技术领域:
:本发明涉及通信领域,具体而言,涉及一种单一地址反向传输3各4圣專争发(UnicastReversePathForwarding,简4尔为uRPF)的实i见方法及装置。
背景技术:
:伪造源地址的网络攻击中,黑客才几器向受害主才几发送大量伪造源i也iih的TCP(TransmissionControlProtocol,4专丰IH空制妨、i义)SYN才艮文,占用安全网关的NAT(NetworkAddresstranslation,网纟各;也址转换)会话资源,最终将安全网关的NAT会话表占满,导致局域网内所有人无法上网。uRPF是一项增强路由安全的有效措施,其主要防止基于源地址欺骗的网络攻击行为。uRPF采用以下数据包转发机制当路由器(Router)接收到一个凄t据包,它才企查^各由表,判断返回数据包的源IP地址的路由是否从接收到该数据包的接口进入,如果是,则正常转发该ft据包;否则,i^为源IP地址是伪装的,丟弃该^:据包。反向3各由转发在防止恶意伪造源地址以及DDoS(DistributedDenialofService,分布式拒绝月良务)攻击方面颇有成效。例如,路由器接收到一个源IP地址为a的数据包,如果路由表中没有为IP地址a提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。uRPF在ISP(局端)实现阻止SMURF攻击和其他基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其他地方的侵扰。从保护效果的角度考虑,越边缘的设备实现网络防护的效果越好。同时,越边缘的设备,网络流量也相对较小,打开保护功能,对网络转发性能的影响也较'J、。但是,目前IPv6网络缺少在宽带接入设备上实现源地址过滤控制的技术。
发明内容本发明旨在提供一种uRPF的实现方法及装置,以解决接入设备缺少源地址过滤控制的技术的问题。才艮据本发明的一个方面,提供了一种uRPF的实现方法。根据本发明的用于IPv6网络的uRPF的实现方法,该IPv6网络包括接入设备、路由器、用户侧设备,其中,该方法包括接入设备侦听并获取来自路由器的公告报文,其中,公告报文中携带有地址前缀信息;接入设备根据获取的地址前缀信息建立前缀表;接入i殳备接收来自用户侧设备的接入请求才艮文,判断4妻入i青求报文的源IP地址是否存在于前缀表内,并根据判断结果决定是否向路由器转发报文。优选地,接入设备侦听并获取的公告报文由路由器以预定周期发送,并且在接入设备获取到新的公告才艮文的情况下,该方法还包括接入设备更新前缀表中记录的信息。优选地,该方法还包括在预设时间内前缀表中记录的信息没有被更新的情况下,老化前缀表中记录的信息。优选地,根据判断结果决定是否转发报文的处理具体为在判断结果为是的情况下,向^各由器转发净艮文;在判断结果为否的情况下,丟弃报文。才艮据本发明的另一方面,还提供了一种uRPF的实现装置。才艮据本发明的uRPF的实现装置,用于IPv6网络,该IPv6网络包括接入设备、路由器、用户侧设备,该装置位于接入设备,其中,该装置包括侦听和获取模块,用于侦听并获取来自路由器的公告报文,其中,路由器公告报文中携带有地址前缀信息;建立模块,用于根据获取的地址前缀信息建立前缀表;接收^t块,用于接收来自用户侧设备的接入请求报文;转发模块,用于在接入请求报文的源IP地址存在于建立才莫块建立的前缀表内的情况下,向^各由器转发报文。优选地,该装置还包括判断模块,连接于接收模块和转发模块,用于判断接入请求报文的源IP地址是否存在于建立模块建立的前缀表内,在判断结果为是的情况下,执行转发模块。优选地,侦听和获取模块侦听并获取的公告报文由路由器以预定周期发送,并且在侦听和获取模块获取到新的公告报文的情况下,该装置还包括更新模块,连接至侦听和获取模块以及建立模块,用于更新前缀表中记录的信息。优选地,该装置还包括老化模块,连接至建立才莫块,用于老化在预设时间内没有被更新的前缀表中记录的信息。7优选地,建立模块将建立的前缀表以访问控制链表的方式传输到转发模块。通过本发明的上述l支术方案,才艮据获取的^各由器^妄口(Interface)的路由信息对来自用户侧i殳备的报文进4亍处理,能够过滤伪造数据包,在接入设备上实现了地址过滤控制。此处所i兌明的附图用来纟是供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是冲艮据本发明实施例的网络应用场景示意图2是根据本发明实施例的uRPF的实现方法的流禾呈图3是才艮据本发明方法实施例的实现原理的示意图4是4艮据本发明方法实施例的才艮文结构的示意图5是才艮据本发明优选实施例的uRPF的实现方法的流程图6是根据本发明实施例的uRPF的实现装置的框图7是根据本发明优选实施例的uRPF的实现装置的框图。具体实施例方式功能概述在IPv6网络中,路由器接口会定期发布包括链路前缀、链路MTU(MaximumTransmissionUnit,最大传l命单元)、7>网3各由等信息的公告报文。宽带接入设备可以通过侦听这个报文,获取路由器接口的路由信息,从而在宽带接入设备上实现基于IPv6网络的源地址过滤控制。以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。方法实施例根据本发明实施例,#是供了一种uRPF的实现方法。才艮据本发明实施例的uRPF的实现方法用于IPv6网^>,如图1所示,该IPv6网络至少包括接入设备、^各由器、用户侧i殳备(CustomerPremisesEquipment,简称为CPE)。其中,4妻入"i殳备可以是^f旦不限于以下之一多业务4姿入节点(Muti-ServiceAccessNode,简称为MSAN)、凄t字用户线鴻4妄入复用器(DigitalSubscriberLineAccessMultiplexer,简称为DSLAM)、光纤线鴻4冬端(OpticalLineTerminal,简称为OLT)。图2是才艮据本发明实施例的uRPF实现方法的流禾呈图,如图2所示,该方法包括步骤S202,接入设备侦听并获取来自路由器的公告报文,其中,公告报文中携带有地址前缀信息;步骤S204,接入设备根据获取的地址前缀信息建立前缀表;步骤S206,接入设备4妄收来自用户侧设备的接入请求报文,判断接入请求报文的源IP地址是否存在于前缀表内,并根据判断结果决定是否向路由器转发报文。下面参考图3进一步描述上述各处理的细节,图3是才艮据本发明方法实施例的实if见原理的示意图。(一)步骤S202路由器接口定期发出公告报文,该3各由器公告报文包括有以下信息链路前缀、链路MTU、特定路由、是否使用地址自动配置、有效期等。接入设备(或宽带接入设备)侦听路由器发送的公告报文,并通过上联口接收路由器公告报文,由于收到的路由器公告报文还要转发到用户侧设备,因此,上联口收到的公告报文需要复制一份到接入设备的CPU处理;另一份报文还是正常转到用户侧去。(二)步骤S204接入设备获取路由器公告报文中的地址前缀信息,按照如图4所示的4艮文格式处理报文,并根据地址前缀信息自动建立如表1所示的前缀表,将地址前缀信息填入下面的前缀表中。表1<table>tableseeoriginaldocumentpage10</column></row><table>4夸自动生成的前纟農表,通过ACL(AccessControlList,i方问4空制列表)方式下载到转发平面。这个ACL是全局ACL,从用户侧线路来的所有数据都要经过ACL处理后才转发。一般地,生成前缀控制ACL可以是如下形式:Permitipwhichinpre-fix-tableDenyall前缀表中的每条记录都要老化以适应路由器接口地址变化。路由器重新配置地址后,会公告新的IP网段前缀,根据上述步骤,接入设备就能够学习到新的IP地址,从而让下面新的IP网段的数据通过接入设备上行。但原来老的记录必须老化掉,以清除系统中的垃;及数据。老化地原理是在^^由器有公告才艮文过来的前^:下,如果三次都没有刷新到这条记录,就认为这个地址已经在3各由器4妄口上被删除。这样既能够老化记录,也不会因^各由器暂时性故障,不发出教:据才艮文或者》务改了才艮文发布时间,而产生4妄入i殳备"i吴删除有效记录的情况。(三)步骤S206接入设备接收来自用户侧设备的接入请求报文,这些才艮文都要经过查询前缀表,源IP地址在这个表内的数据报文才进行转发,并丢弃源IP地址不在前缀表内的数据才艮文。才艮据本发明上述实施例的方法,根据获取的路由器接口的路由信息对来自用户侧设备的报文进行处理,能够过滤伪造数据包,在4妄入i殳备上实现了地址过滤控制。图5是根据本发明优选实施例的uRPF实现方法的流程图,如图5所示,该方法包4舌以下处理步骤S502,路由器定期发布公告才艮文,其中,该7>告才艮文包括链^各前缀、链^各MTU、7>网^各由等信息;步骤S504,DSLAM^妻收到该z^告才艮文后,DSLAM不4旦向CPE(用户侧)转发,同时复制一份到CPU,DSLAM根据/^告报文中的链路前缀信息生成前缀表;步骤S506,DSLAM侦听(Snooping)该公告才艮文,获取链路上的^^由信息;步骤S508,CPE向DSLAM发出上网请求报文,如果来自CPE的报文的源IP地址在前缀表的网段内,则转发该报文;步骤S510,如果来自CPE的报文的源IP地址不在前缀表的网l史内,则丢弃该才艮文,并阻塞来自该CPE的才艮文。根据本发明实施例的上述方法,DSLAM能够才艮据^各由器发布的公告报文过滤掉来自用户侧的伪造数据包,避免了恶意报文进入网络,从而保障了网络的安全。装置实施例才艮据本发明的另一方面,还提供了一种uRPF的实现装置。图6是才艮据本发明实施例的uRPF的实现装置,图7是才艮据本发明伊二选实施例的uRPF的实3见装置。才艮据本发明实施例的实现装置用于IPv6网络,该IPv6网络至少包括接入设备、路由器、用户侧设备。在具体实施过程中,该uRPF的实现装置可以-没置于4妾入i殳备也可以单独i殳置,如图6所示,该装置包括侦听和获取模块10,用于侦听并获取来自路由器的公告报文,其中,路由器公告报文中携带有地址前缀信息;建立模块20,连接至侦听和获取模块10,用于根据获取的地址前缀信息建立前缀表;接收模块30,连接至建立模块20,用于接收来自用户侧设备的4妄入i青求才艮文;转发模块40,连接至接收模块30,用于在接入请求报文的源IP地址存在于建立模块建立的前缀表内的情况下,向路由器转发报文。优选地,如图7所示,该装置还可以包括判断冲莫块50,与接收模块30和转发模块40分别连接,用于判断接入请求报文的源IP地址是否存在于建立模块建立的前缀表内,并且在判断结果为是的情况下,执行转发模块。并且,侦听和获取模块10侦听并获取的公告报文由路由器以预定周期发送,在侦听和获取模块10获取到新的公告报文的情况下,该装置还包括更新模块60,与侦听和获取才莫块10以及建立模块20分别连接,用于更新前缀表中记录的信息。该装置还可以包括老化模块70,与建立模块20相连接,用于老化在预设时间内没有被更新的前缀表中记录的信息。优选地,建立才莫块20将建立的前缀表以ACL的方式传输到转发模块40。从以上的描述中,可以看出,本发明实现了如下技术效果1、能够过滤用户发出的伪造数据包,保护了网络安全;2、不需要手工配置过滤地址,通过自动学习地址,实现了动态刷-斤;l也址过滤表;3、不影响现有设备的转发能力,不额外增加负荷。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的石更件和软件结合。以上所述v又为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何-修改、等同替换、改进等,均应包含在本发明的保护范围之内。权利要求1.一种用于IPv6网络的单一地址反向传输路径转发的实现方法,其特征在于,所述IPv6网络包括接入设备、路由器、用户侧设备,所述方法包括所述接入设备侦听并获取所述来自所述路由器的公告报文,其中,所述公告报文中携带有地址前缀信息;所述接入设备根据获取的所述地址前缀信息建立前缀表;所述接入设备接收来自用户侧设备的接入请求报文,判断所述接入请求报文的源IP地址是否存在于所述前缀表内,并根据判断结果决定是否向所述路由器转发所述报文。2.才艮据权利要求1所述的方法,其特;f正在于,所述4妄入设备侦听并获取的所述公告报文由所述路由器以预定周期发送,并且在所述接入设备获取到新的公告报文的情况下,所述方法还包括所述接入设备更新所述前缀表中记录的信息。3.根据权利要求2所述的方法,其特征在于,还包括在预设时间内所述前缀表中记录的信息没有被更新的情况下,老化所述前缀表中记录的信息。4.根据权利要求1所述的方法,其特征在于,根据判断结果决定是否转发所述才艮文的处理具体为在判断结果为是的情况下,向所述路由器转发所述报文;在判断结果为否的情况下,丢弃所述净艮文。5.—种用于IPv6网络的单一地址反向传输路径转发的实现装置,所述IPv6网络包括接入设备、路由器、用户侧i殳备,所述装置位于4妾入设备,其特征在于,所述装置包括侦听和获取模块,用于侦听并获取来自所述路由器的公告报文,其中,所述路由器公告报文中携带有地址前缀信息;建立才莫块,用于#4居获取的所述地址前缀信息建立前缀表;接收模块,用于接收来自所述用户侧设备的接入请求报文;转发模块,用于在所述接入请求报文的源ip地址存在于所述建立才莫块建立的所述前缀表内的情况下,向所述^各由器转发所述^艮文。6.根据权利要求5所述的装置,其特征在于,还包括判断模块,连接至所述接收模块和所述转发模块,用于判断所述接入请求报文的源IP地址是否存在于所述建立模块建立的所述前缀表内,在判断结果为是的情况下,4丸行所述转发模块。7.根据权利要求5所述的装置,其特征在于,所述侦听和获取模并且在所述侦听和获取模块获取到新的公告报文的情况下,所述装置还包括更新模块,连接至所述侦听和获取一莫块以及所述建立模块,用于更新所述前缀表中记录的信息。8.根据权利要求7所述的装置,其特征在于,还包括老化模块,连接至所述建立模块,用于老化在预设时间内没有净皮更新的所述前缀表中记录的信息。9.根据权利要求8所述的装置,其特征在于,所述建立模块将建立的所述前缀表以访问控制链表的方式传输到所述转发模块。全文摘要本发明公开了一种用于IPv6网络的单一地址反向传输路径转发的实现方法及装置,其中,该方法包括接入设备侦听并获取来自路由器的公告报文,其中,公告报文中携带有地址前缀信息;接入设备根据获取的地址前缀信息建立前缀表;接入设备接收来自用户侧设备的接入请求报文,判断接入请求报文的源IP地址是否存在于前缀表内,并根据判断结果决定是否向路由器转发报文。通过本发明,能够在接入设备实现地址过滤控制。文档编号H04L12/56GK101662423SQ20081021483公开日2010年3月3日申请日期2008年8月29日优先权日2008年8月29日发明者鹏孙,詹喻平申请人:中兴通讯股份有限公司