专利名称:一种生成访问控制列表的方法及路由设备的制作方法
技术领域:
本发明涉及通信领域,特别涉及一种生成访问控制列表的方法及路由设备。
背景技术:
在目前的网络中,运营商的设备一般都只转发用户的数据流量,用户没有 访问运营商路由器的权限。但是目前运营商路由器的IP地址对外界透明,用
户可通过Tracert的技术手段或者其他手段轻易地获取运营商路由器的IP地 址,利用该IP地址,用户可以轻易地攻击运营商^^由器,例如用户可以向 该IP地址发送大量伪造报文,由于运营商路由器需要处理大量这种伪造报文, 耗费了运营商路由器的处理资源,甚至造成路由器无法正常工作。
现有技术中,可以通过在用户边缘设备手动配置访问控制列表(Access Control list, ACL)解决上述问题。其中,手动配置路由器的访问控制列表ACL, 具体为当路由器收到大量的攻击报文时,通过手工配置ACL,阻止伪造报文 以防止i支击。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题 手工配置ACL工作量大,配置不方便,而且网络拓朴变化后,ACL不能 动态配置。
发明内容
本发明实施例的目的是提供一种生成访问控制列表的方法及路由设备,实 现访问控制列表ACL的动态配置。
本发明实施例的目的是通过以下技术方案实现的
一种生成访问控制列表的方法,网络包括至少两个路由器,分别为第一路 由器和第二路由器,所述第一路由器和第二路由器之间运行内部网关协议IGP 协议,其中,所述第一路由器为边界路由器,
所述第一路由器接收来自所述第二路由器的IGP报文,所述内部网关协议 IG P报文携带所述第二路由器的地址标识;
6获取所述第二4^由器的所述地址标识;
根据所述地址标识,生成以所述地址标识为目的地址的访问控制列表禁止 表项。
一种路由设备,其中,所述路由设备为边界路由器,所述路由设备包括 接收模块510,接收IGP报文,所述IGP报文来自第一路由器,携带所
述第一^各由器的地址标识;
地址获取模块520,用于获取所述接收模块510接收到的IGP报文中携带
的所述;也址标识;
列表生成模块530,用于根据所述地址获取模块520获取的所述地址标识, 生成以所述地址标识为目的地址的ACL禁止表项。
一种路由系统,所述系统包括至少两个路由设备,分别为第一路由设备和 第二路由设备,其中,所述第一路由设备为边界路由器,
所述第二路由设备发送IGP报文;
所述第一路由设备接收来自所述第二路由设备的所述IGP报文,所述IGP 报文携带所述第二路由设备的地址标识,获取所述第二路由设备的所述地址标 识,根据所述地址标识,生成以所述地址标识为目的地址的ACL禁止表项。
采用本发明实施例的技术方案,第一路由器通过内部网关协议IGP报文获 取第二路由器的地址标识,才艮据所述地址标识,生成访问控制列表ACL禁止 表项,达到了动态配置ACL以阻止伪造报文的技术效果。
图1为本发明实施例中的组网示意图2为本发明实施例中的一种生成访问控制列表的方法流程图; 图3为本发明另一个实施例中的组网示意图; 图4为本发明实施例中的另一种生成访问控制列表的方法流程图; 图5为本发明实施例中提供的一种路由设备示意图。
具体实施例方式
为了使本发明实施例的目的、技术方案及优点更加清楚明白,以下结合附 图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
由器)或Level-1-2路由器(层-1-2路由器),为便于说明,下面的具体实施 例,将分别就边界路由器为用户边界路由器BR或区域边界路由器ABR或 Level-1-2路由器时的情况做详细介绍,具体如下
如图1所示的网络,该网络包括路由器110、路由器120、路由器130和 用户设备140。
其中,路由器110、路由器120和路由器130位于同一区域之中,路由器 110和路由器120位于网络侧,路由器130位于用户侧,路由器130为用户
边缘路由器。
其中,图1中的路由器可以为其他具备路由功能模块的任何网络设备,例 如三层交换机等。
下面以路由器130为例,对生成访问控制列表的方法进行具体介绍。 如图2所示,本发明实施例的方法包括
201、 接收内部网关协议报文,具体为路由器130接收来自路由器120 的内部网关协议IGP报文,该IGP报文携带路由器120的地址标识;
202、 获取地址标识,具体为路由器130根据201中接收的IGP报文获 取路由器120的地址标识;
203、 生成访问控制列表禁止表项,具体为根据202中获取的地址标识, 生成以该地址标识为目的地址的ACL禁止表项。
上述实施例中,路由器120还可以为用户边缘路由器或区域边缘路由器 ABR。采用本发明实施例的技术方案,路由器130通过接收来自路由器120 的内部网关协议IGP才艮文获取路由器120的地址标识,并才艮据该地址标识, 生成以该地址标识为目的地址的ACL禁止表项,达到了动态配置ACL以阻止 伪造报文的技术效果。
本实施例中的内部网关协议(Interior Gateway Protocol, IGP)包括开放 最短路径优先(Open Short Path First, OSPF)协议和中间系统到中间系统 3各由选4奪(Intermediate System to Intermediate System, IS画IS)十办i义。
8上述实施例中,当内部网关协议为OSPF协议时,路由器110、路由器 120和路由器130位于同一OSPF区域之中。 举例来说,上述实施例中,201可以包括
路由器130接收来自路由器120的第一类LSA(链路状态通告丄ink State Advertisement )报文,该第一类LSA报文的Link state ID字段携带路由器120 的IP地址。
上述实施例中,202可以包括
路由器130获取201中接收的第一类LSA报文携带的路由器120的IP 地址。
上述实施例中,203可以包括
根据202中获取的IP地址,生成访问控制列表ACL禁止表项,包括
根据路由器120的IP地址,生成以路由器120的IP地址为目的IP地址 的禁止表项,以阻止来自用户设备140的以路由器120的IP地址为目的IP地 址的数据报文;例如当获取路由器120的IP地址为10.1.1.3时,生成以 10.1.1.3为目的IP地址的ACL禁止表项,当路由器130转发来自用户设备140 的数据报文时,禁止转发以10.1.1.3为目的IP地址的报文。
采用本发明实施例的技术方案,路由器130通过OSPF协议报文获取路 由器120的IP地址,根据该IP地址,生成访问控制列表ACL禁止表项,达 到了动态配置ACL以阻止来自用户设备140的伪造报文的技术效果。
上述实施例中,当内部网关协议为IS-IS协议时,路由器110、路由器120 和路由器130位于同一 IS-IS区域之中。
上述实施例中,201可以包括
当路由器130为Level-1路由器(层-1路由器),且路由器120为Level-1 路由器或Level-1-2路由器(层-1-2路由器)时,接收来自路由器120的Level-1 LSP (层-1链路状态数据单元,Level-1 Link State PDU ),该Level-1 LSP字
段携带路由器120的IP地址,举例来说,可以通过Type (类型)字段的数值 为132的TLV (类型,长度,数值)格式字段携带路由器120的IP地址; 或当路由器130为Level-2路由器(层-2路由器),且路由器120为Level-2 路由器或Level-1-2路由器时,接收来自路由器120的Level-2 LSP (层-2链 路状态数据单元,Level-2 Link State PDU ),该Level-2 LSP字段携带路由器 120的IP地址,举例来说,可以通过Type数值字段的数值为132的TLV格 式字段携带路由器120的IP地址;
上述实施例中,202可以包括
路由器130获取201中接收的Level-1 LSP或Level-2 LSP中携带的路由 器120的IP地址。
上述实施例中,203可以包括
根据202中获耳又的IP地址,生成访问控制列表ACL禁止表项,具体为 根据路由器120的IP地址,生成以路由器120的IP地址为目的IP地址 的禁止表项以阻止来自用户设备140的以路由器120的IP地址为目的IP地址 的数据报文。采用本发明实施例的技术方案,路由器130通过IS-IS协议报文 获取路由器120的IP地址,根据该IP地址,生成访问控制列表ACL禁止表 项,达到了动态配置ACL以阻止来自用户设备140的伪造报文的技术效果。
上述实施例是以图1所示的网络拓朴为例进行说明的,但并不限于图1所 示的网络拓朴。
图3是本发明另一个实施例中多区域网络拓朴的简化示意图,包括路由器 310、路由器320、路由器330、路由器340、路由器350、路由器360和用 户设备311。其中,路由器310和路由器320位于第一区域,路由器340位 于第二区域,路由器360位于第三区域,路由器310为用户边續J洛由器。当 如图所示的区域为OSPF区域时,路由器330和路由器350为区域边缘路由 器ABR以连通两个不同的OSPF区域;当如图所示的区域为IS-IS区域时, 第二区域为骨干区域、第一区域和第三区域为非骨干区域,路由器330和路由 器350为Level-1-2路由器以连通两个骨干区域和非骨干区域。
本实施例中,路由器310的操作与上一个实施例中路由器130的操作相同。
下面以路由器330为例,对另一种生成访问控制列表的方法进行具体介绍,如图4所示,本技术方案的流程如下
401、 接收内部网关协议报文,包括当如图3所示的区域为OSPF区域时,
路由器330接收来自相邻区域的第一类LSA报文,该第一类LSA报文的Link state ID字段携带路由器320或路由器340的IP地址,其中,相邻区域为第一区域和第二区域;
或
路由器330接收来自不相邻区域的第三类LSA报文或第四类LSA报文,该报文的Link state ID字段携带路由器360的IP地址,其中,不相邻区域为第三区域。
当如图所示的区域为IS-IS区域时,
路由器330接收来自相邻的非骨干区域的Level-1 LSP,该Level画1 LSP携带路由器320的IP地址,其中,第一区域为与路由器330相邻的非骨干区域;
或
路由器330接收来自骨干区域(第二区域)的Level-2 LSP,该Level-2 LSP携带骨干区域内的路由器(路由器340)的IP地址或不相邻的非骨干区域内的路由器(路由器350或路由器360)的IP地址,第三区域为与路由器330不相邻的非骨干区域。
402、 获取地址标识,包括路由器330根据401中接收的IGP报文获取IP地址;
403、 生成访问控制列表禁止表项,包括
才艮据402中获取的IP地址,生成以该IP地址为目的地址的ACL禁止表项,以阻止来自来自路由器320的数据报文,该数据报文的目的IP地址为禁止表项中的IP地址。例如当获取到路由器360的IP地址为10.1.1.3时,生成以10.1.1.3为目的IP地址的ACL禁止表项,当路由器330转发来自路由器320的数据报文时,禁止转发以10.1.1.3为目的IP地址的报文。
采用本发明实施例的技术方案,路由器330通过OSPF协议报文或IS-IS
ii协议报文获取网络侧路由器的IP地址,根据该IP地址,生成访问控制列表ACL禁止表项,达到了动态配置ACL以阻止伪造报文的技术效果。404、生成访问控制列表允许表项,包括
根据402中获取的IP地址,生成以该IP地址为源地址的ACL允许表项,以允许不同区域的路由器之间的相互访问,例如当获取到路由器360的IP地址为10.1.1.3时,生成以10.1.1.3为源IP地址的ACL允许表项,当路由器330转发来自路由器340的数据报文时,允许转发以10丄1.3为源IP地址的报文,使得第一区域中的路由器可以接收到第三区域中的路由器360发送的数据报文,实现了路由器间的相互访问。
本流程操作结束。
上述实施例中,404的作用是为了实现路由器间的相互访问,如果只需要实现动态配置ACL以阻止伪造才艮文,404是可以省略的。
上述实施例中,还提供了一种路由设备,如图5所示,该路由设备为边界路由器,其中,该路由设备包括
接收模块510,接收IGP报文,该IGP报文来自第一路由器,携带第一;洛由器的地址标识;
地址获取模块520,用于获取接收模块510接收到的IGP报文中携带的地址标识;
列表生成模块530,用于根据地址获取模块520获取的地址标识,生成以地址标识为目的地址的ACL禁止表项。
其中,当路由设备为ABR或Level-1-2路由器时,列表生成模块530还用于根据地址获取模块520获取的地址标识,生成以地址标识为源地址的ACL允许表项。
其中,当路由设备为ABR或Level-1-2路由器时,列表生成模块530还用于根据地址获取才莫块520获取的地址标识,生成以地址标识为源地址的ACL允许表项。
上述实施例中,还提供了一种路由系统,该系统包括至少两个路由设备,分别为第一路由设备和第二路由设备,其中,第一路由设备为边界路由器,第二路由设备发送IGP报文;
第一路由设备接收来自第二路由设备的IGP报文,IGP报文携带第二路由设备的地址标识,获取第二路由设备的地址标识,根据地址标识,生成以地址标识为目的地址的ACL禁止表项。
其中,当第一路由设备330和第二路由设备360位于不同区域,且第一路由设备330为ABR或Level-1-2路由器时,第一路由设备330还用于根据地址标识,生成以地址标识为源地址的ACL允许表项。
其中,当第一路由设备130与第二路由设备120位于同一区域时,第一路由设备130接收来自第二路由设备120的IGP报文,具体包括
当IGP协议为OSPF协议时,第一路由设备130接收来自第二路由设备120的IGP报文为第一类LSA报文;或
当IGP协议为IS-IS协议,且第一路由设备130和第二路由设备140为Level-1路由器时,第一路由设备130接收来自第二路由设备120的IGP报文为Level-1 LSP;或当第一路由设备130和第二路由设备120为Level-2路由器时,第一路由设备130接收来自第二路由设备120的IGP报文为Level-2LSP。
其中,当第一路由设备330与第二路由设备360位于不同区域时,第一路由设备330接收来自第二路由设备360的IGP报文,包括
当IGP协议为OSPF协议时,且第一路由设备330为区域边缘路由器ABR,且第二路由设备360位于相邻区域时,第一路由设备330接收来自第二路由设备360的IGP报文为第一类LSA报文;或当第二路由设备360位于不相邻区域时,第一路由设备330接收来自第二路由设备360的IGP报文为第三类LSA报文或第四类LSA报文;或
当IGP协议为IS-IS协议时,且第一路由设备330为Level-1-2路由器,且第二路由设备360为Level-1路由器时,第一路由设备330接收来自第二路由设备360的IGP报文为Level-1 LSP;或当第二路由设备360为Level-2路由器时,第一路由设备330接收来自第二路由设备360的IGP报文为Level-2LSP。通过以上的实施方式的描述,本领域的普通技术人员可以清楚地了解到本 发明实施例可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过 硬件来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形
式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、》兹碟、 光盘等,包括若干指令用以使得一台计算机设备、或者服务器、或者其他路由
以上仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本 发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本 发明的保护范围之内。
权利要求
1、一种生成访问控制列表的方法,其特征在于,网络包括至少两个路由器,分别为第一路由器(130,330,350)和第二路由器(120,320,360),所述第一路由器(130,330,350)和第二路由器(120,320,360)之间运行内部网关协议IGP,其中,所述第一路由器(130,330,350)为边界路由器,所述第一路由器(130,330,350)接收来自所述第二路由器(120,320,360)的IGP报文,所述IGP报文携带所述第二路由器的地址标识;获取所述第二路由器(120,320,360)的所述地址标识;根据所述地址标识,生成以所述地址标识为目的地址的访问控制列表禁止表项。
2、 根据权利要求1所述的方法,其特征在于,所述方法还包括, 当所述IGP为开放最短路径优先OSPF协议,且所述第一路由器(330,350)为区域边缘路由器ABR,或者当所述IGP为中间系统到中间系统IS-IS 协议,且所述第一路由器(330, 350)为层-1-2 Level-1-2路由器时,所述第 一路由器根据所述地址标识,生成以所述地址标识为源地址的允许表项。
3、 根据权利要求1至2中任意一项所述的方法,其特征在于,当所述第 一路由器(130)与所述第二路由器(120)位于同一区域时,所述第一路由 器(130)接收来自所述第二路由器(120)的所述IGP报文,包括当所述IGP为开放最短路径优先OSPF协议时,所述第一路由器(130) 接收来自所述第二路由器(120)的第一类链路状态通告LSA报文;或当所述IGP为中间系统到中间系统IS-IS协议,且所述第一路由器(130) 和所述第二路由器(120)为层-1 Level-1路由器或Level-1-2路由器时,所述 第一路由器(130)接收来自所述第二路由器(120)的层-1链路状态数据单 元Level-1 LSP;或当所述第一路由器(130)和所述第二路由器(120)为层 -2 Level-2路由器或Level-1-2路由器时,所述第一路由器(130)接收来自所 述第二路由器(120)的层-2链路状态数据单元Level-2 LSP。
4、 根据权利要求3所述的方法,其特征在于,当所述第一路由器(330,350)与所述第二路由器(320, 360)位于不同区域时,所述第一路由器(330, 350)接收来自所述第二路由器(320, 360)的所述IGP报文,包括当所述IGP为OSPF协议,且所述第一路由器(330, 350)为ABR,且 所述第二路由器(320, 360)位于相邻区域时,所述第一路由器(330, 350) 接收来自所述第二路由器(320, 360)的第一类LSA报文;或当所述第二路 由器(320, 360)位于不相邻区域时,所述第一路由器(330, 350)接收来 自所述第二路由器(320, 360)的第三类LSA报文或第四类LSA报文;或当所述IGP为IS-IS协议,且所述第一路由器(330,350 )为层1-2 Level-1-2 路由器,且所述第二路由器(320, 360)为Level-1路由器时,所述第一路由 器(330, 350)接收来自所述第二路由器(320, 360)的Level-1 LSP;或 当所述第二路由器(320, 360)为Level-2路由器时,所述第一路由器(330, 350)接收来自所述第二路由器(320, 360)的Level-2 LSP。
5、 一种路由设备,其特征在于,所述路由设备为边界路由器,所述路由 设备包括接收模块(510),接收IGP报文,所述IGP报文来自第一路由器,携带 所述第 一路由器的地址标识;地址获取模块(520 ),用于获取所述接收模块(510 )接收到的IGP报文 中携带的所述地址标识;列表生成模块(530),用于根据所述地址获取模块(520)获取的所述地 址标识,生成以所述地址标识为目的地址的访问控制列表ACL禁止表项。
6、 根据权利要求5所述的路由设备,其特征在于,当所述路由设备为ABR 或Level-1-2路由器时,所述列表生成模块(530)还用于根据所述地址获取 模块(520)获取的所述地址标识,生成以所述地址标识为源地址的ACL允许 表项。
7、 一种路由系统,其特征在于,所述系统包括至少两个路由设备,分别 为第一路由设备(130, 330, 350)和第二路由设备(120, 320, 360),其 中,所述第一路由设备(130, 330, 350)为边界路由器,所述第二路由设备(120, 320, 360)发送IGP报文,所述IGP报文携 带所述第二路由设备(120, 320, 360)的地址标识;所述第一路由设备(130, 330, 350 )接收来自所述第二路由设备(120, 320, 360)的所述IGP报文,获取所述第二路由设备(120, 320, 360)的 所述地址标识,才艮据所述地址标识,生成以所述地址标识为目的地址的访问控 制列表ACL禁止表项。
8、 根据权利要求7所述的系统,其特征在于,当所述第一路由设备(330, 350)为ABR或Level-1-2路由器时,所述第一路由设备(330, 350)还用于 根据所述地址标识,生成以所述地址标识为源地址的ACL允许表项。
9、 根据权利要求7至8中任意一项所述的系统,其特征在于,当所述第 一路由设备(130)与所述第二路由设备(120)位于同一区域时,所述第一 路由设备(130)接收来自所述第二路由设备(120)的所述IGP报文,包括当所述IGP协议为OSPF协议时,所述第一路由设备(130)接收来自所 述第二路由设备(120)的所述IGP报文为第一类LSA报文;或当所述IGP协议为IS-IS协议,且所述第一路由设备(130)和所述第二 路由设备(140)为Level-1路由器时,所述第一路由设备(130)接收来自所 述第二路由设备(120)的所述IGP报文为Level-1 LSP;或当所述第一路由 设备(130)和所述第二路由设备(120)为Level-2路由器时,所述第一路由 设备(130 )接收来自所述第二路由设备(120 )的所述IGP报文为Level-2 LSP。
10、 根据权利要求9所述的系统,其特征在于,当所述第一路由设备(330, 350)与所述第二路由设备(320, 360)位于不同区域时,所述第一路由设备(330, 350)接收来自所述第二路由设备(320, 360)的所述IGP报文,包 括当所述IGP协议为OSPF协议时,且所述第一路由设备(330, 350)为 区域边缘路由器ABR,且所述第二路由设备(320, 360)位于相邻区域时, 所述第一路由设备(330, 350)接收来自所述第二路由设备(320, 360)的 所述IGP报文为第一类LSA报文;或当所述第二路由设备(320, 360)位于 不相邻区域时,所述第一路由设备(330, 350)接收来自所述第二路由设备(320, 360)的所述IGP报文为第三类LSA报文或第四类LSA报文;或当所述IGP协议为IS-IS协议时,且所述第一路由设备(330, 350)为 Level-1-2路由器,且所述第二路由设备(320, 360)为Level-1路由器时, 所述第一路由设备(330, 350)接收来自所述第二路由设备(320, 360)的 所述IGP报文为Level-1 LSP;或当所述第二路由设备(320, 360)为Level-2 路由器时,所述第一路由设备(330, 350)接收来自所述第二路由设备(320, 360)的所述IGP报文为Level-2 LSP。
全文摘要
本发明涉及通信领域,公开了一种生成访问控制列表的方法及路由设备,所述第一路由器(130,330,350)接收来自所述第二路由器(120,320,360)的内部网关协议IGP报文,所述内部网关协议IGP报文携带所述第二路由器的地址标识,获取所述第二路由器(120,320,360)的所述地址标识,根据所述地址标识,生成以所述地址标识为目的地址的访问控制列表禁止表项。利用本发明公开的方法,达到了动态配置ACL以阻止伪造报文的技术效果。
文档编号H04L12/56GK101667965SQ20091011072
公开日2010年3月10日 申请日期2009年9月29日 优先权日2009年9月29日
发明者张潇潇 申请人:华为技术有限公司