一种检查流量策略合法性的方法及装置与流程
本发明涉及通信技术领域,特别是涉及一种检查流量策略合法性的方法及装置。
背景技术:
流量策略(Flow Specification)可以用来精准的匹配攻击流量(源地址、目的地址、端口、源端口、目的端口、协议类型等),同时对攻击流量有多种选择动作:丢弃、限速、流量重定向等,是防御拒绝服务(Denial of service,DoS)和分布式拒绝服务(Distributed Denial of service,DDoS)攻击的有效方法。
借助BGP(Border Gateway Protocol,边界网关协议)的多协议扩展能力,流量策略可以很容易的分发到各配置了BGP协议的设备上,用以限制发起DoS/DDoS攻击的流量。
当网络设备使用流量策略针对特定目的地址进行流量匹配控制时,需要进行目的地址的合法性检查以确定流量策略的有效性和合法性。未通过合法性检查的流量策略不会生效。
具体地,网络设备收到邻居发送的目的地址为D的流量策略后,其需要检查该邻居是否发布了单播路由A,该单播路由A的目的地址包含目的地址D,用于保证被拦截的流量原本能够到达该邻居;其次其他邻居不能发布单播路由B,该单播路由B的目的地址包含于单播路由A的目的地址,或包含于目的地址D,用于保证被拦截的流量不是去往其他邻居的。
其中,单播路由A的目的地址包含目的地址D的意思是,目的地址D是单播路由A的目的地址的一个子网。单播路由B的目的地址包含于单播路由A的目的地址的意思是,单播路由B的目的地址是单播路由A目的地址的一个子网;单播路由B的目的地址包含于目的地址D的意思是,单播路由B的目的地址是目的地址D的一个子网。
从合法性检查规则来看,后续只要网络设备本地保存的任一单播路由发生变化,就可能会导致流量策略合法性结果的变化。因此,每次有单播路由发生变化时,现有技术会重新对所有的流量策略重新进行合法性检查。
但是,在实际应用中,网络设备本地可能保存较多的单播路由和流量策略。当任一单播路由发生变化时,其需要遍历查询整个单播路由表,对所有的流量策略重新进行合法性检查。这将耗费较长的时间,而这段时间内网络设备的内存资源消耗较大,导致网络设备性能下降,影响客户正常业务的使用。
技术实现要素:
本发明实施例的目的在于提供一种检查流量合法性的方法及装置,以提高流量策略合法性检查的效率,节省系统资源,保证客户正常业务的进行。具体技术方案如下:
第一方面,本发明实施例提供了一种检查流量策略合法性的方法,应用于任一网络设备,所述方法包括:
当任一单播路由变化时,在本地保存的各流量策略对应的目的地址中,识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址;
确定所识别出的各目的地址对应的各流量策略,并对所述各流量策略进行合法性检查。
第二方面,本发明实施例提供了一种检查流量策略合法性的装置,应用于任一网络设备,所述装置包括:
识别模块,用于当任一单播路由变化时,在本地保存的各流量策略对应的目的地址中,识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址;
处理模块,用于确定所识别出的各目的地址对应的各流量策略,并对所述各流量策略进行合法性检查。
本发明实施例提供了一种检查流量策略合法性的方法及装置,当任一单播路由变化时,网络设备可以在本地保存的各流量策略对应的目的地址中,识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址;进而可以确定所识别出的各目的地址对应的各流量策略,并只对确定的各流量策略进行合法性检查。与现有技术相比,当单播路由变化时,不需要对本地保存的所有的流量策略都进行合法性检查,因此,能够提高流量策略合法性检查的效率,节省系统资源,保证客户正常业务的进行。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的检查流量策略合法性的方法的流程图;
图2为本发明实施例提供的检查流量策略合法性的装置的结构示意图。
具体实施方式
为了提高流量策略合法性检查的效率,节省系统资源,保证客户正常业务的进行,本发明实施例提供了一种检查流量策略合法性的方法及装置。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
在本发明实施例中,为了提高流量策略合法性检查的效率,节省系统资源,保证客户正常业务的进行,本发明实施例提供了一种检查流量策略合法性的方法过程,如图1所示,该过程可以包括以下步骤:
S101,当任一单播路由变化时,在本地保存的各流量策略对应的目的地址中,识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址。
在本发明实施例中,网络设备本地可以保存多条单播路由,以及多个流量策略。并且,网络设备可以在本地保存各流量策略对应的目的地址。例如,网络设备可以通过本地保存的radix树,保存各流量策略与目的地址的对应关系。
具体地,当网络设备第一次收到流量策略时,可以把该流量策略对应的目的地址D保存到radix树中,并为该目的地址D在radix树中的节点和该流量策略建立关联关系。其中,由于不同的流量策略可以对应相同的目的地址D,因此radix树中的一个节点可以对应多条流量策略。当多条流量策略对应radix树中的一个节点时,该多条流量策略可以采用链表等方式进行存储。
Radix树存储结构的最大优势就是可以很容易实现查询的网段地址是否被radix中的那些节点所包含,或者被包含。因此,通过radix树,保存各流量策略与目的地址的对应关系,能够提高网络设备的查询速度。
其中,各流量策略可以为已经进行过合法性检查的流量策略。各流量策略的合法性检查结果可以为通过合法性检查,也可以为未通过合法性检查。
在实际应用中,网络设备本地保存的单播路由可能会变化。且单播路由变化后,可能会影响本地已保存的流量策略的合法性检查的结果。
因此,在本发明实施例中,网络设备可以检测是否有单播路由发生变化,如果是,网络设备可以进一步地对合法性检查结果可能会变化的流量策略重新进行合法性检查。
流量策略的合法性检查的两个原则是:第一网络设备收到第一邻居发送的目的地址为D的流量策略后,其需要检查该第一邻居是否发布了单播路由A,该单播路由A的目的地址包含目的地址D;其次第一网络设备的除第一邻居之外的其他邻居不能发布单播路由B,该单播路由B的目的地址包含于单播路由A的目的地址,或包含于目的地址D。
其中,单播路由A的目的地址包含目的地址D的意思是,目的地址D是单播路由A的目的地址的一个子网。单播路由B的目的地址包含于单播路由A的目的地址的意思是,单播路由B的目的地址是单播路由A目的地址的一个子网;单播路由B的目的地址包含于目的地址D的意思是,单播路由B的目的地址是目的地址D的一个子网。
也就是说,当任一单播路由变化后,目的地址与变化后的单播路由存在包含或被包含关系的流量策略,其合法性检查结果可能会变化。
因此,在本发明实施例中,当任一单播路由变化后,网络设备可以在本地保存的各流量策略对应的目的地址中,识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址。
例如,网络设备可以判断某一流量策略对应的目的地址是否为变化后的单播路由的子网,如果是,确定该目的地址包含于变化后的单播路由的目的地址,即与变化后的单播路由的目的地址存在被包含关系。
并且,网络设备可以判断变化后的单播路由是否为某一流量策略对应的目的地址的子网,如果是,确定该目的地址包含变化后的单播路由的目的地址,即与变化后的单播路由的目的地址存在包含关系。
当网络设备通过本地保存的radix树,保存各流量策略与目的地址的对应关系时,其可以利用该radix树,确定与变化后的单播路由的目的地址存在包含或被包含关系的目的地址。
S102,确定所识别出的各目的地址对应的各流量策略,并对所述各流量策略进行合法性检查。
识别出与变化后的单播路由的目的地址存在包含或被包含关系的各目的地址后,网络设备可以进一步地确定所识别出的各目的地址对应的各流量策略,并对各流量策略进行合法性检查。
例如,当网络设备通过本地保存的radix树,保存各流量策略与目的地址的对应关系时,如果变化后的单播路由B的目的地址与radix树中的某个目的地址D存在包含或被包含关系,即目的地址D是单播路由B的目的地址的一个子网,或单播路由B的目的地址是目的地址D的一个子网时,需要对目的地址D对应的所有流量策略重新进行合法性检查。针对其他的流量策略,直接完成该流量策略的合法性检查,其合法性检查结果保持不变。
在实际应用中,一个目的地址可能对应多个流量策略。也就是说,在本发明实施例中,网络设备识别出各目的地址后,其可以进一步确定与各目的地址对应的所有的流量策略。
与变化后的单播路由的目的地址存在包含或被包含关系的目的地址对应的流量策略,即为合法性检查结果可能会变化的流量策略。而与变化后的单播路由的目的地址不存在包含或被包含关系的目的地址对应的流量策略,其合法性检查结果不会变化。
因此,网络设备可以对与变化后的单播路由的目的地址存在包含或被包含关系的目的地址对应的流量策略重新进行合法性检查,以确保本地保存的各流量策略的合法性检查结果的准确性。
本发明实施例提供了一种检查流量策略合法性的方法,当任一单播路由变化时,网络设备可以在本地保存的各流量策略对应的目的地址中,识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址;进而可以确定所识别出的各目的地址对应的各流量策略,并只对确定的各流量策略进行合法性检查。与现有技术相比,当单播路由变化时,不需要对本地保存的所有的流量策略都进行合法性检查,因此,能够提高流量策略合法性检查的效率,节省系统资源,保证客户正常业务的进行。
进一步地,在本发明实施例中,网络设备在确定任一单播路由发生变化后,需要从本地保存的各流量策略对应的目的地址中,如,网络设备可以在本地radix树中保存的各流量策略与目的地址的对应关系中,识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址。因此,网络设备接收到邻居发送的流量策略时,网络设备可以在本地保存该流量策略对应的目的地址。
并且,在实际应用中,并不是与变化后的单播路由存在包含或被包含关系的目的地址对应的流量策略,都需要重新进行合法性检查。
可以理解,任一邻居发送给网络设备的流量策略,其合法性检查的结果与该邻居发送给该网络设备的单播路由有关。具体地,与该邻居发送给该网络设备的单播路由中,包含该流量策略对应的目的地址的最优路由有关。
因此,在本发明实施例中,为了精确的确定需要进行合法性检查的流量策略,当网络设备接收到邻居发送的流量策略后,网络设备还可以在该邻居发送的单播路由中,识别其目的地址包含该流量策略对应的目的地址的最优路由,并将该最优路由确定为与该流量策略对应的最优路由。
进一步地,网络设备在识别出与变化后的单播路由的目的地址存在包含或被包含关系的目的地址,并确定与各目的地址对应的各流量策略后,针对未通过合法性检查的流量策略,当变化的单播路由由优选路由变为非优选路由,且该单播路由与该流量策略对应的最优路由来自不同的邻居,该最优路由的目的地址包含变化后的单播路由的目的地址,或变化后的单播路由的目的地址包含该流量策略对应的目的地址时,对该流量策略进行合法性检查。
或者,当该单播路由由非优选路由变为优选路由,且该单播路由与该流量策略对应的最优路由来自相同的邻居,该最优路由的目的地址包含变化后的单播路由的目的地址,或变化后的单播路由的目的地址包含该流量策略对应的目的地址且该流量策略对应的最优路由为空时,对该流量策略进行合法性检查。
可以理解,未通过合法性检查的流量策略,可能是因为发布该流量策略的邻居未发布包含该流量策略的目的地址的单播路由,或者是,其他邻居发布过包含该目的地址的更具体的单播路由。
因此,当针对未通过合法性检查的流量策略,因为其他邻居发布过包含该流量策略对应的目的地址的更具体的单播路由,而导致流量策略未通过合法性检查时,当变化的单播路由由优选路由变为非优选路由,且该单播路由与该流量策略对应的最优路由来自不同的邻居,该最优路由的目的地址包含变化后的单播路由的目的地址,或变化后的单播路由的目的地址包含该流量策略对应的目的地址时,之前其他邻居发布的包含该目的地址的单播路由可能已发生变化,发布该流量策略的邻居发布的路由可能变为包含该目的地址的最优路由。因此,该流量策略可能能通过合法性检查,需要对该流量策略重新进行合法性检查。
当针对未通过合法性检查的流量策略,因为发布该流量策略的邻居未发布过包含该流量策略对应的目的地址的单播路由,或者其发布的单播路由不是包含该目的地址的最优路由,而导致流量策略未通过合法性检查时,当变化的单播路由由非优选路由变为优选路由,且该单播路由与该流量策略对应的最优路由来自相同的邻居,该最优路由的目的地址包含变化后的单播路由的目的地址,或变化后的单播路由的目的地址包含该流量策略对应的目的地址且该流量策略对应的最优路由为空时,可能已存在该邻居发布的包含该目的地址的最优路由。因此,该流量策略可能能通过合法性检查,需要对该流量策略重新进行合法性检查。
同样的,已通过合法性检查的流量策略,单播路由的变化也可能会影响该流量策略合法性检查的结果改变。
针对已通过合法性检查的流量策略,当变化前的单播路由为该流量策略对应的最优路由,且该单播路由由优选路由变为非优选路由时,可能已不存在包含该流量策略对应的目的地址的最优路由,因此,需要对该流量策略重新进行合法性检查。
当该单播路由由非优选路由变为优选路由,该流量策略对应的最优路由的目的地址包含变化后的单播路由的目的地址,且变化后的单播路由的目的地址包含该流量策略对应的目的地址;或该流量策略对应的目的地址包含变化后的单播路由的目的地址时,可能已不存在包含该流量策略对应的目的地址的最优路由,因此,需要对该流量策略重新进行合法性检查。
具体地,当单播路由由非优选路由变为优选路由,该流量策略对应的最优路由的目的地址包含变化后的单播路由的目的地址,变化后的单播路由的目的地址包含该流量策略对应的目的地址,且当该流量策略对应的最优路由与该单播路由来自相同的邻居时,可以更新该流量策略对应的最优路由为变化后的单播路由,并保持该流量策略仍通过合法性检查;当该流量策略对应的最优路由与该单播路由来自不同的邻居时,表明存在其他邻居发布的包含该流量策略对应的目的地址的更具体的单播路由,此时,该流量策略不通过合法性检查。
当该单播路由由非优选路由变为优选路由,该流量策略对应的目的地址包含变化后的单播路由的目的地址,且当该流量策略对应的最优路由与该单播路由来自不同的邻居时,表明存在其他邻居发布的包含该流量策略对应的目的地址的更具体的单播路由,此时,该流量策略不通过合法性检查。
相应于上面的方法实施例,本发明实施例还提供了相应的装置实施例。
图2为本发明实施例提供的一种检查流量策略合法性的装置,应用于任一网络设备,所述装置包括:
识别模块210,用于当任一单播路由变化时,在本地保存的各流量策略对应的目的地址中,识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址;
处理模块220,用于确定所识别出的各目的地址对应的各流量策略,并对所述各流量策略进行合法性检查。
本发明实施例提供了一种检查流量策略合法性的装置,当任一单播路由变化时,网络设备可以在本地保存的各流量策略对应的目的地址中,识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址;进而可以确定所识别出的各目的地址对应的各流量策略,并只对确定的各流量策略进行合法性检查。与现有技术相比,当单播路由变化时,不需要对本地保存的所有的流量策略都进行合法性检查,因此,能够提高流量策略合法性检查的效率,节省系统资源,保证客户正常业务的进行。
进一步地,所述装置还包括:
存储模块(图中未示出),用于当接收到邻居发送的流量策略时,在本地保存该流量策略对应的目的地址;
确定模块(图中未示出),用于在所述邻居发送的路由中,识别其目的地址包含该流量策略对应的目的地址的最优路由,并将所述最优路由确定为与该流量策略对应的最优路由。
进一步地,所述处理模块220,具体用于针对未通过合法性检查的流量策略,当所述单播路由由优选路由变为非优选路由,且所述单播路由与该流量策略对应的最优路由来自不同的邻居,该最优路由的目的地址包含变化后的单播路由的目的地址,或变化后的单播路由的目的地址包含该流量策略对应的目的地址时,对该流量策略进行合法性检查;
当所述单播路由由非优选路由变为优选路由,且所述单播路由与该流量策略对应的最优路由来自相同的邻居,该最优路由的目的地址包含变化后的单播路由的目的地址,或变化后的单播路由的目的地址包含该流量策略对应的目的地址且该流量策略对应的最优路由为空时,对该流量策略进行合法性检查。
进一步地,所述处理模块220,具体用于针对已通过合法性检查的流量策略,当变化前的单播路由为该流量策略对应的最优路由,且该单播路由由优选路由变为非优选路由时,对该流量策略进行合法性检查;
当所述单播路由由非优选路由变为优选路由,该流量策略对应的最优路由的目的地址包含变化后的单播路由的目的地址,且变化后的单播路由的目的地址包含该流量策略对应的目的地址;或该流量策略对应的目的地址包含变化后的单播路由的目的地址时,对该流量策略进行合法性检查。
进一步地,所述处理模块,还用于当所述单播路由由非优选路由变为优选路由,该流量策略对应的最优路由的目的地址包含变化后的单播路由的目的地址,且变化后的单播路由的目的地址包含该流量策略对应的目的地址,且该流量策略对应的最优路由与所述单播路由来自相同的邻居时,更新该流量策略对应的最优路由为变化后的单播路由。
进一步地,所述网络设备通过本地保存的radix树,保存各流量策略与目的地址的对应关系。
对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
- 还没有人留言评论。精彩留言会获得点赞!