专利名称:一种抑制黑洞路由的方法和装置的制作方法
技术领域:
本发明涉及以太网技术领域,更具体地说,涉及一种抑制黑洞路由的方 法和装置。
背景技术:
以太网络中,对于支持硬件转发或者支持控制平面和数据平面分离模型
网络设备来说,在进行IPv4(版本号4的IP协议)转发过程中,所述网络设备会 进行ARP (Address Resolution Protocol,地址解析协议)探测,即对报文的 下一跳IP地址进行解析,判断是否能够解析MAC (Media Access Control,介
质访问控制))地址。如果探测成功,在网络设备上会建立一条ARP表项,并 且在建立表项的同时,向硬件或者数据平面下发一条主机路由,以便去往指 定IP地址的报文可以通过硬件进行转发。对于目的IP属于接口直联网段,而硬 件或者数据平面中有没有对应的主机路由的报文,则会上送至控制平面进行 转发,并触发ARP纟笨测。
从以上描述可以看出,如果网络中存在大量"目的IP属于接口直联网段, 而ARP探测不成功"的数据流,会耗用大量控制平面的资源,甚至造成对网络 设备的攻击。
为了防止这种情况的出现,可以应用黑洞路由技术,其原理是如果ARP 探测失败(发送ARP请求,在指定时间内没有收到有效的ARP应答),则可 以认为网络中没有这个用户,对应于该探测失败的IP地址,向硬件下发一条 主机路由,用于将发送至该用户的报文丢弃,该主机路由称为黑洞路由。
黑洞路由有一定的老化时间,当老化时间超时后,黑洞路由将被删除, 使得后续报文有机会进行ARP探测。现有技术中,黑洞路由的创建和下发是 由ARP控制的,删除黑洞路由的触发条件有两个 一是建立与该黑洞路由对 应的正常ARP表项(可以是动态学习配置或者手工配置),二是该黑洞路由 老化时间超时。
用户终端对应的IP从不存在到生效,如果网关没有在用户获得IP地址之 后立即在各网络设备上建立ARP表项(由两种情况中的任意一种导致的一
是用户终端最初的数据报文不是发给网关,并且用户终端不支持发送免费
ARP; 二是最初报文发送给网关,但是网关不支持免费学习ARP)。这些网 络设备无法及时了解到该用户终端对应的IP生效,其上面的黑洞路由表存在 与该用户终端对应的IP相对应的黑洞路由。所以虽然该用户终端对应的IP 已经生效,但是它无法获得到其他用户终端发送给他的"^艮文。而只能等到网 络中各网络设备中与该IP地址相应的黑洞路由老化时间超时,进行ARP探 测成功后才能获取其他用户终端发送给他的报文,导致一些报文的丟失,并 且等待的时间过长。
发明内容
有鉴于此,本发明提供一种抑制黑洞路由的方法和装置,以解决现有技 术中如果网关没有在用户获得IP地址之后立即在各网络设备上建立ARP表 项,在用户终端对应的IP生效的情况下,网络中的各设备无法及时了解该信 息的问题。
本发明是这样实现的
一种抑制黑洞路由的方法,包括
网络设备使能黑洞路由,创建黑洞路由信息,该黑洞路由信息包括目的 IP地址;
当该网络设备接收到一个报文,该报文的源IP地址与所述黑洞路由信息 中的目的IP地址一致时,将该黑洞路由信息删除。 优选的,在创建黑洞路由信息之前,还包括
查找预先设置的需要保护的IP设备信息,当IP设备信息中不存在和触发 创建黑洞路由信息的报文的源IP地址一样的IP地址,执行所述创建黑洞路由
信息步骤。
优选的,当IP设备信息中存在和触发创建黑洞路由信息的报文的源IP 地址一样的IP地址时,忽略创建黑洞路由信息这一步骤。
优选的,所述需要保护的IP设备信息以命令行、M旧或者WEB方式配 置在一参考文件中。
一种抑制黑洞路由的装置,包括用于接收报文的接收单元,及用于管理 黑洞路由信息的黑洞路由管理单元,所述黑洞路由信息包括目的IP地址信息,
还包括
第一判断单元,用于判断所述报文接收单元接收的报文的源IP地址是否
与黑洞路由信息中的目的IP地址一致;
第一处理单元,用于在报文的源IP地址与黑洞路由信息中的目的IP地址 一致时,指示所述黑洞路由管理单元删除所述黑洞路由。
优选的,上述装置还包括
第二处理单元,用于通过查找预先设置的需要保护的IP设备信息,当所 述IP设备信息中存在和触发创建黑洞路由信息的报文的源IP地址一样的IP 地址时,指示黑洞路由管理单元取消黑洞路由信息的创建。
优选的,上述装置中,所述需要保护的IP设备信息以命令行、M旧或者 WEB方式配置在一参考文件中。
一种网络设备,包括抑制黑洞路由的装置,该装置包括用于接收报文的 接收单元及用于管理黑洞路由信息的黑洞路由管理单元,所述黑洞路由信息 包括目的IP地址信息,该装置还包括
第一判断单元,用于判断所述报文接收单元接收的报文的源IP地址是否 与黑洞^ 各由信息中的目的IP地址一致;
第一处理单元,用于在报文的源IP地址与黑洞路由信息中的目的IP地址 一致时,指示所述黑洞路由管理单元删除所述黑洞路由。
优选的,上述网络设备还包括
第二处理单元,用于通过查找预先设置的需要保护的IP设备信息,当所 述IP设备信息中存在和触发创建黑洞路由信息的报文的源IP地址一样的IP 地址时,指示黑洞路由管理单元取消黑洞路由信息的创建。
优选的,上述网络设备中,所述需要保护的IP设备信息以命令行、M旧 或者WEB方式配置在一参考文件中。
从上述的技术方案可以看出,与现有技术相比,本发明中,网络设备在 接收到报文后,根据报文的源IP地址,及时了解到发送该报文的用户终端的 IP地址已经生效,将于该IP地址对应的黑洞路由从黑洞路由表中删除,从而 使得发送给该用户终端的报文能够顺利触发ARP探测,进而在探测成功时,
该用户终端能够顺利接收到来自其他用户终端或者网络设备发送过来的报
文。而无需等待该黑洞路由的老化时间超时后才进行ARP探测。
图1为本发明一种抑制黑洞路由的方法的实现流程图; 图2为一种网络结构示意图3为本发明一种抑制黑洞路由的方法实现流程中确定是否创建黑洞路 由的流程图4为本发明一种抑制黑洞路由的装置的实施例一的结构示意图; 图5为本发明一种抑制黑洞路由的装置的实施例二的结构示意图。
具体实施例方式
为了解决现有技术存在的问题,本发明提供一种改进的技术方案,其基 本思想是网络设备在接收到报文后,判断本地黑洞路由表中是否存在与该 报文的源地址相对应的黑洞路由,若是,将该黑洞路由从黑洞路由表中删除。
为了使得本领域技术人员更好理解本发明技术方案,下面结合附图和实 施例进4亍详细4苗述。
请参考图1,为本发明一种抑制黑洞路由的方法的实施例一的流程图。 具体包括以下步骤
步骤S101:网络设备使能黑洞路由,创建黑洞路由信息。 该黑洞路由信息包括目的IP地址。 步骤S102:接收数据报文。
步骤S103:判断该数据报文的源IP地址是否与所述黑洞路由信息中的 目的IP地址一样,若是,进入步骤S104;否则,结束。
查询黑洞路由表,对该数据报文的源IP地址进行判断,当该黑洞路由表 存在与该源IP地址相对应的目的IP地址时,确定存在与源IP地址对应的黑 洞^ 各由,否则,则确定不存在对应的黑洞^各由。
步骤S104:删除该黑洞i 各由,结束。
由于存在与该源IP地址对应的黑洞路由,这说明黑洞路由所限制的目的 节点(所述用户终端)已经有效,于是,将该黑洞路由删除。
使得如泉接收到下一个目的地址为该源IP地址的报文时,能够顺利触发
ARP探测。
可以看出,本发明实施例的网络设备在接收到报文后,根据报文的源IP 地址,及时了解到发送该报文的用户终端的IP地址已经生效,将于该IP地址 对应的黑洞路由从黑洞路由表中删除,从而使得发送给该用户终端的报文能 够顺利触发ARP探测,进而在探测成功时,该用户终端能够顺利接收到来自 其他用户终端或者网络设备发送过来的报文。而无需等待该黑洞路由的老化 时间超时后才进行ARP探测。这功能是现有的网络设备所不具备的。
如果网络设备或者网关能够在用户终端获取IP地址后就立即在网络设备
致报文丟失,等待时间过长的问题。但是这种情况下,对网关和网络设备的 依赖性太强,需要网络设备网关能够支持学习免费ARP,并且用户终端能够 支持发送免费ARP。而本发明实施例无需对网关和网络设备提出所述要求。
利用本发明,还可以预先在网络设备上配置需要保护的源IP地址(为了 描述方便,下文将其统称为保护源IP地址),这些保护源IP地址可以是某些 可信赖的服务器或者网络设备的IP地址,或者某种特别应用的报文的源IP 地址。在ARP探测失败的情况下,需要创建黑洞路由信息之前,对触发创建 黑洞路由的报文的源IP地址进行判断,根据判断结果确定是否创建黑洞路由, 具体的过程如如图3所示。
包括以下步骤
步骤S201:接收数据报文,进行ARP探测。 接收从其他网络设备或者服务器发送的数据报文。 步骤S202:判断ARP探测是否成功,如果失败,进入步骤S203;否贝寸, 结束。
步骤S203:判断该数据报文的源IP地址是否属于保护源IP地址,若是, 进入步骤S204;否则,进入步骤S205。
步骤S204:取消与该报文的目的IP地址对应的黑洞路由的创建和下发, 结束。
步骤S205:创建与该报文的目的IP地址对应的黑洞路由的创建,结束。 从接收数据报文到进行ARP探测过程与现有技术相同,故本文不对其进 行详细描述。
所述保护源IP地址设置在一参考文件中,该参考文件存储若干保护源IP 地址。上述步骤S203中,判断该数据报文的源IP地址是否属于保护源IP地 址的具体方式如下
首先,从所述报文中获知该报文的源IP地址,然后,查询预先设置的参 考文件,当该参考文件中存在与该源IP地址相匹配的IP地址信息时,判断该 报文的源IP地址属于保护源IP地址,否则,判断该报文的源IP地址不属于 保护源IP地址。
i亥参考文4牛可以通过命令4亍、M旧(Management Information Base,管
理信息库)或者WEB等方式进行配置。
通过上述方案可知,本发明在探测失败后,不是直接创建黑洞路由信息, 而是对该报文的源IP地址进行判断,并且在判断出源IP地址属于预先设置的 保护源IP地址时,取消黑洞路由的创建和下发。
利用本发明实施例,可以将一些值得信赖的网络设备或者服务器的IP地 址设置为保护源IP地址,从而使得从该网络设备或者服务器发送出来的报文 即使在ARP探测失败的情况下,也不创建与该目的IP地址相对应的黑洞路 由, 一方面保证黑洞路由正常应用,另一方面使得一些特殊应用的报文能够 得以转发,丰富了网络的服务和应用。
下面以图2所示的网络为例,对本发明的技术方案进行进一步的详细描述。
预先将DHCP服务器20和认证服务器10的IP地址设置为保护源IP地 址,设置在一参考文件中,假设DHCP服务器20的IP地址为10.10.0.1, 认证服务器10的IP地址为10.10.0.2。
DHCP服务器20在分配IP地址之前,发送一个ICMP请求报文,以对 将要分配的IP地址进行探测,当确定该将要分配的IP地址(假设为 10.10.10.1 )不是一个沖突IP地址后,将该IP地址分配给请求认证的用户终 端。
处于DHCP服务器20和该用户终端之间的网络设备30在4妄收到该 ICMP请求报文时,进行ARP探观'J,由于此时还没有用户终端使用该IP地址 (10.10.10.1),导致ARP探测失败。这时,网络设备30查询参考文件中的 参考信息,判断出该报文的源IP地址(10.10.0.1 )属于保护源IP地址,于 是,取消与IP地址(10.10.10.1)的黑洞路由的创建和下发。
于是,在用户终端获得IP地址,且成功地向认证服务器10发送认证协 议所需的报文后,认证服务器10接收到该认证报文,并通过发送确认报文予
以确认,该确认报文的目的IP地址是用户终端的IP地址,源地址是认证服务
器10的IP地址。网络设备30接收到该确认报文后,进行ARP探测,由于 这时,用户终端已经获得该IP地址(10.10.10.1 ) , ARP探测成功,于是直
接将该确认报文进行转发。用户终端接收到该确认报文后,确认认证完成, 从而获取访问网络的权限。
对应于上述方法部分的实施例,本发明还提出了一种抑制黑洞路由的装置。
请参考图4,为本发明一种抑制黑洞路由的装置的实施例一的结构示意图。
该装置包括接收单元111、第一判断单元112、第一处理单元113和 黑洞路由管理单元114。
所述黑洞路由管理单元114用于管理(包括创建、删除)黑洞路由信息。 本装置的工作过程和工作原理如下
在接收单元"1接收到来自网络中其他服务器或者网络设备的数据报文 后,所述第一判断单元112对该数据报文的源IP地址进行判断,判断该数据 报文的源IP地址是否与黑洞路由信息中的目的IP地址一致。,并将判断结果 提供给第一处理单元113。第一处理单元113在该判断结果显示黑洞路由表 中存在与该源IP地址对应的黑洞路由时,发送信息指示黑洞路由管理单元 114将该黑洞路由信息删除。
图5示出了本发明一种抑制黑洞路由的装置的实施例二的结构示意图。 按照现有技术,如果接收单元111接收的数据报文ARP探测失败,所述 黑洞路由管理单元114创建黑洞路由信息,该黑洞路由信息包含与所述数据 报文的目的IP地址相一致的目的IP地址。
本发明实施例公开了 一种与现有技术不同的技术方案,在上述实施例一
的基础上,本发明实施例还进一步包括第二处理单元115,该第二处理单 元115用于通过查找预先设置的需要保护的IP设备佶息,当所述IP设备信 息中存在和触发创建黑洞路由信息的数据报文的源IP地址一样的IP地址时, 即确定该数据报文的源IP地址属于保护源IP地址,则指示所述黑洞路由管理 单元取消黑洞路由信息的创建。
所述第二处理单元115判断该数据报文的源IP地址是否属于保护源IP 地址的具体方式如下
首先,从所述报文中获知该报文的源IP地址,然后,查询预先设置的参 考文件,当该参考文件中存在与该源IP地址相匹配的IP地址信息时,判断该 报文的源IP地址属于保护源IP地址,否则,判断该报文的源IP地址不属于 保护源IP地址。
可以将一些值得信赖的网络设备或者服务器的IP地址设置为保护源IP 地址,从而使得从该网络设备或者服务器发送出来的报文即使在ARP探测失 败的情况下,也不创建与该目的IP地址相对应的黑洞^各由, 一方面保证黑洞 路由正常应用,另一方面使得一些特殊应用的报文能够得以转发,丰富了网 络的服务和应用。
所述保护源IP地址可以设置在一参考文件中。该参考文件可以通过命令 行、M旧(Management Information Base,管理信息库)或者WEB等方式 进行配置。
本发明同时还公开了 一种网络设备。
该网络设备与现有的网络设备的不同之处在于,该网络设备包括抑制黑 洞^^由的装置。
该抑制黑洞路由的装置的结构,工作原理及工作过程在上述抑制黑洞路 由的装置实施例一中有详细介绍,在此不再赘述。
以上公开的仅为本发明的优选实施方式,但本发明并非局限于此,任何 本领域的技术人员能思之的没有创造性的变化,以及在不脱离本发明原理前 提下所作的若干改进和润饰,都应落在本发明的保护范围内。
权利要求
1、一种抑制黑洞路由的方法,其特征在于,包括网络设备使能黑洞路由,创建黑洞路由信息,该黑洞路由信息包括目的IP地址;当该网络设备接收到一个报文,该报文的源IP地址与所述黑洞路由信息中的目的IP地址一致时,将该黑洞路由信息删除。
2、 如权利要去1所述的方法,其特征在于,在创建黑洞路由信息之前, 还包括查找预先设置的需要保护的IP设备信息,当IP设备信息中不存在和触发 创建黑洞路由信息的报文的源IP地址一样的IP地址,执行所述创建黑洞路由信息步骤。
3、 如权利要求2所述的方法,其特征在于,当IP设备信息中存在和触 发创建黑洞路由信息的报文的源IP地址一样的IP地址时,忽略创建黑洞路由信息这一步骤。
4、 如权利要求3所述的方法,其特征在于,所述需要保护的IP设备信 息以命令行、M旧或者WEB方式配置在一参考文件中。
5、 一种抑制黑洞路由的装置,包括用于接收报文的接收单元,及用于管 理黑洞路由信息的黑洞路由管理单元,所述黑洞路由信息包括目的IP地址信 息,其特征在于,还包括第一判断单元,用于判断所述报文接收单元接收的报文的源IP地址是否 与黑洞路由信息中的目的IP地址一致;第一处理单元,用于在报文的源IP地址与黑洞路由信息中的目的IP地址 一致时,指示所述黑洞路由管理单元删除所述黑洞路由。
6、 如权利要求5所述的装置,其特征在于,还包括 第二处理单元,用于通过查找预先设置的需要保护的IP设备信息,当所述IP设备信息中存在和触发创建黑洞路由信息的报文的源IP地址一样的IP 地址时,指示黑洞路由管理单元取消黑洞路由信息的创建。
7、 如权利要求6所述的装置,其特征在于,所述需要保护的IP设备信 息以命令行、M旧或者WEB方式配置在一参考文件中。
8、 一种网络设备,其特征在于,包括抑制黑洞路由的装置,该装置包括 用于接收报文的接收单元及用于管理黑洞路由信息的黑洞路由管理单元,所述黑洞路由信息包括目的IP地址信息,该裴置还包括第一判断单元,用于判断所述报文接收单元接收的报文的源IP地址是否与黑洞路由信息中的目的IP地址一致;第一处理单元,用于在报文的源IP地址与黑洞路由信息中的目的IP地址 一致时,指示所述黑洞路由管理单元删除所述黑洞路由。
9、 如权利要求8所述的网络设备,其特征在于,还包括 第二处理单元,用于通过查找预先设置的需要保护的IP设备信息,当所述IP设备信息中存在和触发创建黑洞路由信息的报文的源IP地址一样的IP 地址时,指示黑洞路由管理单元取消黑洞路由信息的创建。
10、 如权利要求9所述的网络设备,其特征在于,所述需要保护的IP设 备信息以命令行、M旧或者WEB方式配置在一参考文件中。
全文摘要
本发明公开了一种抑制黑洞路由的方法,包括网络设备使能黑洞路由,创建黑洞路由信息,该黑洞路由信息包括目的IP地址;当该网络设备接收到一个报文,该报文的源IP地址与所述黑洞路由信息中的目的IP地址一致时,将该黑洞路由信息删除。本发明同时还公开了一种抑制黑洞路由的装置及包含该抑制黑洞路由的装置的网络设备。本发明中,网络设备在接收到报文后,查询黑洞路由表,如果该黑洞路由表存在与该报文的源IP地址相对应的黑洞路由,即可确定发送该报文的用户终端的IP地址已经生效,于是及时将于该黑洞路由信息删除,从而使得发送给该用户终端的报文能够顺利触发ARP探测,而无需等待该黑洞路由的老化时间超时后才触发。
文档编号H04L12/56GK101179515SQ20071030225
公开日2008年5月14日 申请日期2007年12月24日 优先权日2007年12月24日
发明者王珍异, 赵丽娜 申请人:杭州华三通信技术有限公司