通用存活时间安全机制检查方法及装置的制造方法
【技术领域】
[0001]本申请涉及网络安全技术领域,尤其涉及GTSM(Generalized TTL SecurityMechanism,通用存活时间安全机制)检查方法及装置。
【背景技术】
[0002]网络技术在日常工作中的应用越来越多,给人们的工作和生活带来了极大的便捷。各大公司、运营商都在不断扩大自己的网络,使得网络的规模在不断扩大,各种业务流量也不断增加。为了保证业务的正常运转,保证网络安全成为了各大公司、运营商需要考虑的方法。然而从网络设计及运行来看,网络安全GTSM部署的不灵活性,使GTSM的部署成为了一个软肋。
[0003]GTSM通过检查IP报文中的TTL (Time to Live,存活时间)值是否在一个预定义的范围内,来对IP层以上业务进行保护,增强系统的安全性。
[0004]以图1 所不组网为例,全网运行 ISIS(Intermediate System to IntermediateSystem,中间系统到中间系统)路由协议。其中,用户预先在路由器Rl上配置了需要对R2进行GTSM检查,且GTSM值为3,同时在路由器R2上配置了需要对Rl进行GTSM检查,且GTSM值为3。
[0005]图1中,以Rl为例,Rl启动后,根据ISIS协议学习到发往R2的BGP (BorderGateway Protocol,边界网关协议)协议报文的传送路径为:R1-R6-R7_R2,则构造用于与R2建立BGP邻居的BGP协议报文,该报文中的TTL = 255,这样当该协议报文到达R2时,报文中的TTL = 253,R2根据自身配置的GTSM值,计算出的TTL = 255-3+1 = 253,则报文中的TTL值不小于计算出的TTL值,则接受该BGP协议报文,Rl与R2之间可以成功建立BGP邻居关系。
【发明内容】
[0006]本申请提供GTSM检查方法及装置,以降低GTSM检查的失误率。
[0007]本申请的技术方案是这样实现的:
[0008]一种通用存活时间安全机制GTSM检查方法,该方法包括:
[0009]根据自身配置,对需要进行GTSM检查的任一对端路由器的IP地址,本地路由器启动后或者发现与该对端路由器的网络拓扑发生变化后,计算出以该对端路由器为根的网络拓扑,根据该网络拓扑,计算出对该对端路由器进行GTSM检查所使用的存活时间TTL值;
[0010]本地路由器向该对端路由器发送TTL值计算请求报文,以使得:该对端路由器计算出以自己为根的网络拓扑,并根据该网络拓扑,计算出本地路由器对自己进行GTSM检查所使用的TTL值,并将该TTL值发送给本地路由器;
[0011]本地路由器将该对端路由器发来的TTL值与自己计算出的TTL值进行比较,若两者相同,则确定使用该TTL值对该对端路由器进行GTSM检查;否则,确定不对该对端路由器进行GTSM检查。
[0012]一种GTSM检查装置,该装置位于本地路由器上,该装置包括:
[0013]TTL值计算模块:根据本地路由器的配置,对需要进行GTSM检查的任一对端路由器的IP地址,启动后或者发现与该对端路由器的网络拓扑发生变化后,计算出以该对端路由器为根的网络拓扑,根据该网络拓扑,计算出对该对端路由器进行GTSM检查所使用的TTL值,向该对端路由器发送TTL值计算请求报文,以使得:该对端路由器计算出以自己为根的网络拓扑,并根据该网络拓扑,计算出本地路由器对自己进行GTSM检查所使用的TTL值,并将该TTL值发送给本地路由器;
[0014]TTL值确定模块:接收该对端路由器发来的TTL值,将该TTL值与TTL值计算模块计算出的TTL值进行比较,若两者相同,则确定使用该TTL值对该对端路由器进行GTSM检查;否则,确定不对该对端路由器进行GTSM检查。
[0015]可见,本申请无需在路由器上手工配置GTSM值,且在网络拓扑发生变化后,路由器可以动态发起GTSM检查所使用的TTL值的更新过程,降低了 GTSM检查的失误率。
【附图说明】
[0016]图1为现有的运行ISIS+BGP的组网示例图;
[0017]图2为本申请一实施例提供的GTSM检查方法流程图;
[0018]图3为本申请另一实施例提供的GTSM检查方法流程图;
[0019]图4为本申请实施例提供的GTSM检查装置的组成示意图。
【具体实施方式】
[0020]申请人对现有的GTSM检查方法进行分析发现:
[0021]由于GTSM值是手工配置的,当网络拓扑结构发生变化后,该GTSM值并不能及时调整,从而可能会导致路由器的GTSM检查失败,从而导致路由器之间本来可以建立BGP邻居、但实际上却无法建立BGP邻居。
[0022]如图1中,当R6与R7之间的链路Down(故障)后,Rl与R2之间的BGP邻居关系断开,Rl通过ISIS协议重新学习到发往R2的BGP协议报文的传送路径为:R1-R3-R4-R5_R2,并重新构造用于与R2建立BGP邻居的BGP协议报文,该报文中的TTL = 255,这样当该协议报文到达R2时,报文中的TTL = 252,R2根据自身配置的GTSM值,计算出的TTL = 255-3+1=253,则报文中的TTL值小于计算出的TTL值,则拒绝该BGP协议报文,从而Rl与R2之间无法建立BGP邻居关系,但实际上,Rl与R2之间本来是可以建立BGP邻居关系的。
[0023]图2为本申请一实施例提供的GTSM检查方法流程图,其具体步骤如下:
[0024]步骤201:根据自身配置,对需要进行GTSM检查的任一对端路由器的IP地址,本地路由器启动后或者发现与该对端路由器的网络拓扑发生变化后,计算出以该对端路由器为根的网络拓扑,根据该网络拓扑,计算出对该对端路由器进行GTSM检查所使用的TTL值。
[0025]步骤202:本地路由器向该对端路由器发送TTL值计算请求报文,以使得:该对端路由器计算出以自己为根的网络拓扑,并根据该网络拓扑,计算出本地路由器对自己进行GTSM检查所使用的TTL值,并将该TTL值发送给本地路由器。
[0026]步骤203:本地路由器将该对端路由器发来的TTL值与自己计算出的TTL值进行比较,若两者相同,则确定使用该TTL值对该对端路由器进行GTSM检查;否则,确定不对该对端路由器进行GTSM检查。
[0027]本申请一实施例中,步骤201中,本地路由器计算出对该对端路由器进行GTSM检查所使用的TTL值包括:
[0028]本地路由器计算该对端路由器到自身的最优路径,根据该最优路径确定对该对端路由器进行GTSM检查所使用的TTL值,其中,若该对端路由器到自身的最优路径有多条,且针对各条最优路径计算出的TTL值不完全相同,则以其中最大的TTL值作为对该对端路由器进行GTSM检查所使用的TTL值。
[0029]本申请一实施例中,步骤202中,本地路由器向该对端路由器发送TTL值计算请求报文包括:
[0030]当本地路由器与该对端路由器之间采用的路由协议为OSPF(Open Shortest PathFirst,开放式最短路径优先)协议时,本地路由器向该对端路由器发送OSPF协议报文,报文的10类LSA (Link State Advertisement,链路状态通告)中携带本地路由器通过OSPF协议计算出的该对端路由器的Route-1D(路由标识)和该对端路由器的IP地址;
[0031]或者,当本地路由器与该对端路由器之间采用的路由协议为ISIS(IntermediateSystem to Intermediate System,中间系统到中间系统)协议时,本地路由器向该对端路由器发送ISIS协议报文,报文的新增TLV (Type Length Value,类型长度值)中携带本地路由器通过ISIS协议计算出的该对端路由器的Route-1D和该对端路由器的IP地址。
[0032]本申请一实施例中,本地路由器接收任一对端路由器发来的TTL值计算请求报文,计算以自己为根的网络拓扑,并根据该网络拓扑,计算出该对端路由器对自己进行GTSM检查所使用的TTL值,并将该TTL值发送给该对端路由器,其中,该对端路由器上配置的需要对其进行GTSM检查的IP地址列表中包含该本地路由器的IP地址。
[0033]本申请一实施