专利名称:报文过滤方法及系统和装置的制作方法
技术领域:
本发明涉及通信领域,更具体地涉及一种报文过滤方法及系统和装置。
背景技术:
URPF是单4番反向路4圣查4戈Unicast Reverse Path Forwarding 的简称。URPF通过获取报文的源地址和入接口 ,以源地址为目的 地址,在转发表中查找该路由。+>散模式下,只要查到该路由就通过;严格模式下,在转发表中查到源地址对应的接口必须与入接口匹配才通过。否则认为源地址是伪装的,丢弃该才艮文。4艮多网络设备由ASIC芯片来实现数据转发,目前大部分ASIC芯片并不支持 URPF功能,导致这些网络设备无法实现URPF功能。URPF主要 功能是防止基于源地址:肷骗的网络攻击^亍为,目前越来越多的网络 设备支持该功能。发明内容本发明的目的在于在网络设备上用访问控制列表来实现URPF 功能,从而阻止病毒信息通过,保护网络设备。才艮据本发明的一方面,l是供了一种报文过滤方法,其包括以下 步骤S102,在网络设备的一个或多个接口上开启单播反向查找路 径功能,并在一个或多个接口上绑定第一访问控制列表,用来阻止
所有需要路由的IP报文通过;S104,网络设备向具有单播反向查 找路径功能的 一个或多个接口对应的转发表中添加设备路由信息, 其中设备路由信息包括源IP地址、掩码、出接口信息;S106,在 网络设备的一个或多个接口上绑定第二访问控制列表,其中,第二 访问控制列表的优先级高于第一访问控制列表,第二访问控制列表 只允许源IP地址与设备路由信息中的IP地址相匹配的报文通过。上述报文过滤方法中,还包括S108,网络设备从具有单播反 向查找^各径功能的所述一个或多个接口删除所述设备路由信息; S110,根据所述设备路由信息,删除所述第二访问控制列表,禁止 源IP地址与所述设备路由信息中的IP地址相匹配的报文通过。上述报文过滤方法中,网络设备通过动态路由协议运算或静态 配置,在网绍4殳备上添加和/或删除第二访问控制列表。上述才艮文过滤方法中,在S102中,为了配置阻止所有进行路 由的IP冲艮文,绑定的第一访问控制列表需要同时匹配目的MAC和 报文类型,其中,目的MAC是本地网关MAC,报文类型是IP报文。冲艮据本发明的又一方面,提供了一种报文过滤系统。其包括 第一报文过滤装置202,位于网络设备侧,用于在网络设备的一个 或多个接口上开启单播反向查找路径功能,并在一个或多个接口上绑定第一访问控制列表,用来阻止所有需要路由的IP报文通过;设 备路由信息添加装置204,位于不同于上述网络设备的另一网络设 备侧,用于在具有单播反向查找路径功能的 一个或多个接口上添加 设备路由信息,其中设备路由信息包括源IP地址、掩码、出接口信 息;第二报文过滤装置206,位于网络设备侧,用于在具有单播反 向查找路径功能的一个或多个接口上绑定第二访问控制列表,其中 第二访问控制列表的优先级高于第 一访问控制列表,第二访问控制
列表只允许源IP地址与设备路由信息中的IP地址相匹配的才艮文通过。上述报文过滤系统中,还包括设备路由信息删除装置208, 位于不同于上述网络设备的另 一 网络设备侧,用于从具有单播反向 查找路径功能的 一 个或多个接口删除设备路由信息;访问控制列表 删除装置210,位于网络设备侧,用于根据设备路由信息,删除第 二访问控制列表,禁止源IP地址与设备路由信息中的IP地址相匹 配的才艮文通过。上述报文过滤系统中,设备路由信息添加装置和/或设备路由信 息删除装置通过动态路由协议运算或静态配置,在一个或多个接口 上添加和/或删除第二访问控制列表。上述报文过滤系统中,在第一报文过滤装置中,为了配置阻止 所有进行路由的IP报文,绑定的第 一访问控制列表需要同时匹配目 的MAC和才艮文类型,其中,目的MAC是本地网关MAC,报文类 型是IP报文。根据本发明的又一方面,提供了一种报文过滤装置。其包括 第一报文过滤模块302,用于在网络设备的一个或多个接口上开启 单播反向查找路径功能,并在一个或多个接口上绑定第 一访问控制 列表,用来阻止所有需要路由的IP报文通过;设备路由信息添加模 块304,用于在具有单纟番反向查找路径功能的一个或多个4妻口上添 加设备路由信息,其中设备路由信息包括源IP地址、掩码、出接口 信息;第二报文过滤模块306,用于在具有单播反向查找路径功能 的一个或多个接口上绑定第二访问控制列表,其中,第二访问控制 列表的优先级高于第 一访问控制列表,第二访问控制列表只允许源 IP地址与设备路由信息中的IP地址相匹配的报文通过。
上述才艮文过滤装置中,还包括i殳备路由信息删除才莫块308, 用于从具有单播反向查找路径功能的 一个或多个接口删除设备路由信息;访问控制列表删除模块310,用于根据设备路由信息,删除第二访问控制列表,禁止源IP地址与设备路由信息中的IP地址 才目匹西己的才艮文通过。上述报文过滤装置中,设备路由信息添加模块和/或设备路由信 息删除模块通过动态路由协议运算或静态配置,在一个或多个接口 上添加和/或删除第二访问控制列表。上述报文过滤装置中,在第一报文过滤模块中,为了配置阻止 所有进行路由的IP报文,绑定的第 一访问控制列表需要同时匹配目的MAC和才艮文类型,其中,所述目的MAC是本地网关MAC,所 述报文类型是IP报文。根据以上技术方案可知,本发明的有益效果在于1 、 一般网络设备ASIC芯片都支持ACL,而只要支持ACL就 可以实i见URPF功能,所以本发明具有一定通用性;2、不需要解析每一个报文的源IP和出接口信息,只需要在增 删路由时解析路由信息;3 、防止网络i殳备受到基于源地址#夂骗的网络攻击4亍为;4、降低了对网络设备CPU处理能力的要求。
此处所说明的附困用来提供对本发明的进一歩理解,构成本申 请的一部分,本发明的示例性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是根据本发明的报文过滤方法的流程图;图2是根据本发明的报文过滤系统的方框图;图3是根据本发明的报文过滤装置的方框图;图4是4艮据本发明的实施例中的组网图;以及图5是根据本发明的实施例中的流程图。
具体实施方式
下面参考附图,对本发明的技术方案进行说明。参考图1,说明#4居本发明的才艮文过滤方法。该方法包括以下 步骤S102,在网络i殳备的一个或多个接口上开启单播反向查找路 径功能,并在一个或多个接口上绑定第一访问控制列表,用来阻止 所有需要路由的IP报文通过;S104,向具有单播反向查找路径功 能的 一 个或多个接口对应的转发表中添加设备路由信息,其中设备 路由信息包括源IP地址、掩码、出接口信息;S106,在网络设备 的一个或多个"l妻口上绑定第二访问控制列表,其中,第二访问控制 列表的优先级高于第 一 访问控制列表,第二访问控制列表只允许源 IP地址与设备路由信息中的IP地址相匹配的报文通过。
上述才艮文过滤方法中,还包括S108,网络i殳备从具有单4番反向查找路径功能的所述一个或多个接口删除所述设备路由信息; S110,根据设备路由信息,删除第二访问控制列表,禁止源IP地 址与设备路由信息中的IP地址相匹配的报文通过。上述报文过滤方法中,网络设备通过动态路由协议运算或静态 配置,在网络i殳备上添加和/或删除第二访问控制列表。上述报文过滤方法中,在S102中,为了配置阻止所有进行路 由的IP报文,绑定的第一访问控制列表需要同时匹配目的MAC和 报文类型,其中,目的MAC是本地网关MAC,报文类型是IP报文。根据本发明的又一方面,提供了一种报文过滤系统。其包括 第一才艮文过滤装置202.位于网络设备侧,用于在网络设备的一个 或多个接口上开启单播反向查找路径功能,并在一个或多个接口上绑定第一访问控制列表,用来阻止所有需要路由的IP报文通过;设 备路由信息添加装置204,位于不同于上述网络^殳备的另一网络i殳 备侧,用于在具有单播反向查找路径功能的一个或多个接口上添加 设备路由信息,其中设备路由信息包括源IP地址、掩码、出接口信 息;第二报文过滤装置206,位于网络设备侧,用于在具有单播反 向查找路径功能的 一 个或多个接口上绑定第二访问控制列表,其中 第二访问控制列表的优先级高于第 一访问控制列表,第二访问控制 列表只允许源IP地址与设备路由信息中的IP地址相匹配的才艮文通 过。上述报文过滤系统中,还包括设备路由信息删除装置208, 位于不同于上述网络设备的另 一 网络设备侧,用于从具有单播反向 查找3各径功能的 一 个或多个接口删除设备路由信息;访问控制列表 删除装置210,位于网络设备侧,用于根据设备路由信息,删除第
二访问控制列表,禁止源IP地址与i殳备路由信息中的IP地址相匹 配的才艮文通过。上述净艮文过滤系统中,设备路由信息添加装置和/或i殳备路由信 息删除装置通过动态路由协i义运算或静态配置,在一个或多个接口 上添加和/或删除第二访问控制列表。上述报文过滤系统中,在第一报文过滤装置中,为了配置阻止 所有进4亍路由的IP才艮文,绑定的第 一访问控制列表需要同时匹配目 的MAC和寺艮文类型,其中,目的MAC是本;也网关MAC,报文类 型是IP 4艮文。冲艮据本发明的又一方面,4是供了一种才艮文过滤装置。其包括 第一才艮文过滤才莫块302,用于在网络i殳备的一个或多个接口上开启 单播反向查找路径功能,并在一个或多个接口上绑定第 一访问控制 列表,用来阻止所有需要路由的IP才艮文通过;设备路由信息添加模 块304,用于在具有单播反向查找路径功能的一个或多个接口上添 加设备路由信息,其中设备路由信息包括源IP地址、掩码、出接口 信息;第二报文过滤模块306,用于在具有单播反向查找路径功能 的一个或多个接口上绑定第二访问控制列表,其中,第二访问控制 列表的优先级高于第 一访问控制列表,第二访问控制列表只允许源 IP地址与设备路由信息中的IP地址相匹配的报文通过。上述报文过滤装置中,还包括设备路由信息删除模块308, 用于从具有单播反向查找路径功能的 一个或多个接口删除设备路 由信息;访问控制列表删除模块310,用于根据设备路由信息,删 除第二访问控制列表,禁止源IP地址与设备路由信息中的IP地址 相匹配的才艮文通过。
上述报文过滤装置中,设备路由信息添加模块和/或设备路由信息删除4莫块通过动态;洛由协议运算或静态配置,在一个或多个接口 上添加和/或删除第二访问控制列表。上述报文过滤装置中,在第一报文过滤模块中,为了配置阻止 所有进行路由的ip报文,绑定的第一访问控制列表需要同时匹配目的MAC和报文类型,其中,所述目的MAC是本地网关MAC,所 述报文类型是IP报文。
通过上述i兌明可知,本发明的具体实施方式
包4舌以下步骤步骤一在网络设备接口上开启URPF功能的一种模式,松散 模式或严格模式;步骤二在所有启用URPF功能的接口上绑定一条ACL(访问 控制列表)Rl,过滤该接口接收的所有需要进行路由的IP报文。步骤三网络-没备通过动态路由协议运算或者静态配置,添加 一条路由信息到转发表,提取该条路由的IP地址、掩码、出接口信 息;步骤四所有启用松散模式的接口上绑定一条ACL R2,允许 通过报文源IP匹配步骤三中IP地址和掩码的数据流。保证R2优 先级高于R1。步骤五检查步骤三中路由出接口,如果该出接口上启用严格 URPF功能,则在该接口上绑定和步骤四中相同的ACLR2,同样保 证R2优先级高于Rl。其他启用严格URPF功能的接口上不绑定 R2。步骤六添加其他路由到转发表时,重复步骤三、四、五。 步骤七当网络设备启用+〉散URPF功能的接口上接收到IP 报文后。如果该IP报文的源地址的路由没有学到,也就是没有绑定 允许该IP才艮文通过的ACL,网络设备将丢弃该报文;如果该IP报 文的源地址的路由已经学到,也就是步骤四中绑定了允许该IP报文 通过的ACL,网络设备将转发该报文。这样就实现了 URPF功能的 松散模式。步骤八当网络设备启用严格URPF功能的接口上接收到IP l艮文后。如果该IP才艮文的源i也址的^各由没有学到或者对应i 各由的出 口不是该4妻口,也就是该4矣口上没有绑定允许该IP冲艮文通过的 ACL,网络设备将丢弃该报文;如果该IP报文的源地址的路由已经 学到并JL该路由出口是本4妄口 ,也就是步艰《五中绑定了允i午该IP 报文在本接口上通过的ACL,网络设备将转发该报文。这样就实现 了 URPF功能的严格模式。步骤九网络i殳备通过动态路由协议运算或者静态配置,从路 由專争发表删除一条路由;步骤十提取该条需要删除的路由的IP地址和掩码信息,通 过该信息查找对应的ACL并删除,从而实现禁止该IP才艮文的转发;进一步地,步骤二中为了配置丢弃所有进行路由的IP报文, 在配置ACL时,需要同时匹配目的MAC和报文类型,目的MAC 必须是本地网关MAC,报文类型是IP报文。进一步;也,步骤三中动态路由协i义可以是RTP、 OSPF、 BGP、 IS-IS等网络设备支持的所有路由协议。进一步的,上述技术方案实际上是根据URPF规则,把允许网 络设备转发的报文,转化成特定ACL,绑定到特定的接口,从而实 现了 URPF功能。
启用松散URPF参考图4、图5,说明4艮据本发明的具体实施例。其中,图4 是实施根据本发明的方法的组网图。图5是根据本发明的实施例的 流程图。根据本发明的具体实施例的流程包括以下步骤1. 在设备Sl接口 fei—1/1-2上开启松散URPF功能,在接口 fei—1/3-4开启严格URPF功能。interface fei一l/1ip verify loose启用松散URPF interface fei—1/2 ip verify loose interface fei—1/3 ip verify strict interface fei—1/4ip verify strict启用严格URPF2. 在设备S1接口 fei—1/1-4上绑定一条ACL Rl,过滤所有需要 路由的IP报文。Rl采取以下动作Deny any dst-mac OOdO.dOcO.OOOl ether-type Ox,3. 设备S2通过OSPF协议通告给SI —条路由Dest Mask InterfaceOwnerpri metric启用严格URPF10.1.0.0 255.255.OX) fei—1/3 ospf 110 54. 在启用+>散URPF接口 fei—1/1-2和严格URPF 4妄口 fei—1/3 (fei—1/3是该条路由的出口 )上绑定ACL R2,允许源IP为10.1.0.0/16的数据报文通过。保证R2优先级高于R1, R2采取如下 动作Permit any source陽ip 10.1.0.0 mask 255.255.0.05. 如果还有路由条目继续添加,则重复以上3、 4的工作。如果 10.1.0.0/16的路由信息-陂删除时,则删除ACLR2。6. 当4艮文进入网络设备时,ASIC芯片会自动根据已经配置的 ACL来判断是否转发该报文。从以上说明中可知,本发明的有益效 果在于1、 一般网络设备ASIC芯片都支持ACL,而只要支持ACL就 可以实现URPF功能,所以本发明具有一定通用性。2、 不需要解析每一个报文的源IP和出接口信息,只需要在增 删路由时解析路由信息。3 、防止网络"i殳备受到基于源地址,太骗的网络攻击4亍为。4、降低了对网络设备CPU处理能力的要求。以上所述仅为本发明的优选实施例而已,并不用于限制本发 明,对于本领域的技术人员来说,本发明可以有各种更改和变化。 凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进 等,均应包括在本发明的保护范围之内。
权利要求
1. 一种才艮文过滤方法,其#争4£在于包4舌以下步骤S102,在网络"i殳备的一个或多个4妄口上开启单4番反向查 找路径功能,并在所述一个或多个接口上绑定第 一访问控制列 表,用来阻止所有需要路由的IP净艮文通过;S104,向网络设备转发表中添加设备路由信息,其中所 述设备路由信息包括IP地址、掩码、出接口信息;S106,在所述网络设备的开启单播反向查找路径功能的 一个或多个4妄口上绑定第二访问控制列表,其中,所述第二访 问控制列表的优先级高于所述第 一访问控制列表,所述第二访 问控制列表只允许源IP地址与所述设备路由信息中的IP地址 相匹配的才艮文通过。
2. 根据权利要求1所述的报文过滤方法,其特征在于,还包括S108,网络i殳备删除所述设备路由信息;S110,根据所述设备路由信息,删除所述第二访问控制 列表,禁止源IP地址与所述设备路由信息中的IP地址相匹配 的报文通过。
3. 根据权利要求1或2所述的报文过滤方法,其特征在于,所述 网络设备通过动态路由协议运算或静态配置,在所述网络设备 上添加或删除所述第二访问控制列表。
4. 根据权利要求1所述的报文过滤方法,其特征在于,在所述步 骤S102中,为了配置阻止所有进行路由的IP才艮文,绑定的所 述第一访问控制列表需要同时匹配目的MAC和报文类型,其中,所述目的MAC是本地网关MAC,所述报文类型是IP报文。
5. —种4艮文过滤系统,其特征在于包括第一报文过滤装置,位于网络设备侧,用于在所述网络 设备的一个或多个接口上开启单播反向查找路径功能,并在所 述一个或多个4妾口上绑定第一i方问4空制列表,用来阻止所有需 要路由的IP报文通过;设备路由信息添加装置,位于不同于所述网络设备的另 一网络设备侧,用于在具有单播反向查找路径功能的所述一个 或多个接口上添加设备路由信息,其中所述设备路由信息包括源IP地址、掩码、出接口;第二报文过滤装置,位于所述网络设备侧,用于在具有 单播反向查找路径功能的所述一个或多个接口上绑定第二访 问控制列表,其中所述第二访问控制列表的优先级高于所述第 一访问控制列表,所述第二访问控制列表只允许源IP地址与 所述设备路由信息中的IP地址相匹配的报文通过。
6. 根据权利要求5所述的报文过滤系统,其特征在于,还包括设备路由信息删除装置,位于所述另一网络设备侧,用 于删除所述设备路由信息;访问控制列表删除装置,位于所述网络设备侧,用于根 据所述i殳备路由信息,删除所述第二访问控制列表,禁止源 IP地址与所述设备路由信息中的IP地址相匹配的报文通过。
7. 根据权利要求5或6所述的报文过滤系统,其特征在于,所述 设备路由信息添加装置和/或所述设备路由信息删除装置通过 动态路由协议运算或静态配置,在所述一个或多个接口上添加 和/或删除所述第二访问控制列表。
8. 4艮据片又利要求5所述的才艮文过滤系统,其特4i在于,在所述第 一报文过滤装置中,为了配置阻止所有进行路由的IP报文, 绑定的所述第 一访问控制列表需要同时匹配目的MAC和报文 类型,其中,所述目的MAC是本地网关MAC,所述才艮文类 型是IP报文。
9. 一种报文过滤装置,其特征在于包括第一才艮文过滤才莫块,用于在网络i殳备的一个或多个冲妄口 上开启单播反向查找路径功能,并在所述一个或多个接口上绑 定第一访问控制列表,用来阻止所有需要路由的IP报文通过;设备路由信息添加模块,用于在具有单播反向查找路径 功能的所述一个或多个接口上添加所述设备路由信息,其中所 述设备路由信息包括源IP地址、掩码、出接口信息;第二报文过滤模块,用于在具有单播反向查找路径功能 的所述一个或多个4姿口上绑定第二访问控制列表,其中,所述 第二访问控制列表的优先级高于所述第一访问控制列表,所述 第二访问控制列表只允许源IP地址与所述设备路由信息中的 IP地址相匹配的才艮文通过。
10. 根据权利要求9所述的报文过滤装置,其特征在于还包括设备路由信息删除模块,用于从具有单播反向查找路径 功能的所述一个或多个接口删除所述设备路由信息;以及访问控制列表删除模块,用于根据所述设备路由信息, 删除所述第二访问控制列表,禁止源IP地址与所述设备路由 信息中的IP地址相匹配的才艮文通过。
11. 根据权利要求9或IO所述的报文过滤装置,其特征在于,所 述设备路由信息添加模块和/或所述设备路由信息删除模块通过动态路由协议运算或静态配置,在所述一个或多个接口上添 加和/或删除所述第二访问控制列表。
12. 根据权利要求9所述的报文过滤装置,其特征在于,在所述第 一报文过滤模块中,为了配置阻止所有进行路由的IP报文, 绑定的所述第一访问控制列表需要同时匹配目的MAC和4艮文 类型,其中,所述目的MAC是本地网关MAC,所述净艮文类 型是IP报文。
全文摘要
本发明公开了一种报文过滤方法及系统和装置。该方法包括以下步骤S102,在网络设备的一个或多个接口上开启单播反向查找路径功能,并在一个或多个接口上绑定第一访问控制列表,用来阻止所有需要路由的IP报文通过;S104,网络设备向具有单播反向查找路径功能的一个或多个接口对应的转发表中添加设备路由信息,其中设备路由信息包括源IP地址、掩码、出接口信息;S106,在网络设备的一个或多个接口上绑定第二访问控制列表,其中,第二访问控制列表的优先级高于第一访问控制列表,第二访问控制列表只允许源IP地址与设备路由信息中的IP地址相匹配的报文通过。
文档编号H04L12/56GK101146026SQ20061012743
公开日2008年3月19日 申请日期2006年9月13日 优先权日2006年9月13日
发明者陈遗保 申请人:中兴通讯股份有限公司