一种检查流量策略合法性的方法及装置制造方法及图纸

本发明专利技术实施例提供了一种检查流量策略合法性的方法，应用于任一网络设备，所述方法包括：当任一单播路由变化时，在本地保存的各流量策略对应的目的地址中，识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址；确定所识别出的各目的地址对应的各流量策略，并对所述各流量策略进行合法性检查。本发明专利技术实施例能够提高流量策略合法性检查的效率，节省系统资源，保证客户正常业务的进行。

【技术实现步骤摘要】

本专利技术涉及通信
，特别是涉及一种检查流量策略合法性的方法及装置。
技术介绍
流量策略(FlowSpecification)可以用来精准的匹配攻击流量(源地址、目的地址、端口、源端口、目的端口、协议类型等)，同时对攻击流量有多种选择动作：丢弃、限速、流量重定向等，是防御拒绝服务(Denialofservice，DoS)和分布式拒绝服务(DistributedDenialofservice，DDoS)攻击的有效方法。借助BGP(BorderGatewayProtocol，边界网关协议)的多协议扩展能力，流量策略可以很容易的分发到各配置了BGP协议的设备上，用以限制发起DoS/DDoS攻击的流量。当网络设备使用流量策略针对特定目的地址进行流量匹配控制时，需要进行目的地址的合法性检查以确定流量策略的有效性和合法性。未通过合法性检查的流量策略不会生效。具体地，网络设备收到邻居发送的目的地址为D的流量策略后，其需要检查该邻居是否发布了单播路由A，该单播路由A的目的地址包含目的地址D，用于保证被拦截的流量原本能够到达该邻居；其次其他邻居不能发布单播路由B，该单播路由B的目的地址包含于单播路由A的目的地址，或包含于目的地址D，用于保证被拦截的流量不是去往其他邻居的。其中，单播路由A的目的地址包含目的地址D的意思是，目的地址D是单播路由A的目的地址的一个子网。单播路由B的目的地址包含于单播路由A的目的地址的意思是，单播路由B的目的地址是单播路由A目的地址的一个子网；单播路由B的目的地址包含于目的地址D的意思是，单播路由B的目的地址是目的地址D的一个子网。从合法性检查规则来看，后续只要网络设备本地保存的任一单播路由发生变化，就可能会导致流量策略合法性结果的变化。因此，每次有单播路由发生变化时，现有技术会重新对所有的流量策略重新进行合法性检查。但是，在实际应用中，网络设备本地可能保存较多的单播路由和流量策略。当任一单播路由发生变化时，其需要遍历查询整个单播路由表，对所有的流量策略重新进行合法性检查。这将耗费较长的时间，而这段时间内网络设备的内存资源消耗较大，导致网络设备性能下降，影响客户正常业务的使用。
技术实现思路
本专利技术实施例的目的在于提供一种检查流量合法性的方法及装置，以提高流量策略合法性检查的效率，节省系统资源，保证客户正常业务的进行。具体技术方案如下：第一方面，本专利技术实施例提供了一种检查流量策略合法性的方法，应用于任一网络设备，所述方法包括：当任一单播路由变化时，在本地保存的各流量策略对应的目的地址中，识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址；确定所识别出的各目的地址对应的各流量策略，并对所述各流量策略进行合法性检查。第二方面，本专利技术实施例提供了一种检查流量策略合法性的装置，应用于任一网络设备，所述装置包括：识别模块，用于当任一单播路由变化时，在本地保存的各流量策略对应的目的地址中，识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址；处理模块，用于确定所识别出的各目的地址对应的各流量策略，并对所述各流量策略进行合法性检查。本专利技术实施例提供了一种检查流量策略合法性的方法及装置，当任一单播路由变化时，网络设备可以在本地保存的各流量策略对应的目的地址中，识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址；进而可以确定所识别出的各目的地址对应的各流量策略，并只对确定的各流量策略进行合法性检查。与现有技术相比，当单播路由变化时，不需要对本地保存的所有的流量策略都进行合法性检查，因此，能够提高流量策略合法性检查的效率，节省系统资源，保证客户正常业务的进行。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的检查流量策略合法性的方法的流程图；图2为本专利技术实施例提供的检查流量策略合法性的装置的结构示意图。具体实施方式为了提高流量策略合法性检查的效率，节省系统资源，保证客户正常业务的进行，本专利技术实施例提供了一种检查流量策略合法性的方法及装置。下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。需要说明的是，在不冲突的情况下，本专利技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本专利技术。在本专利技术实施例中，为了提高流量策略合法性检查的效率，节省系统资源，保证客户正常业务的进行，本专利技术实施例提供了一种检查流量策略合法性的方法过程，如图1所示，该过程可以包括以下步骤：S101，当任一单播路由变化时，在本地保存的各流量策略对应的目的地址中，识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址。在本专利技术实施例中，网络设备本地可以保存多条单播路由，以及多个流量策略。并且，网络设备可以在本地保存各流量策略对应的目的地址。例如，网络设备可以通过本地保存的radix树，保存各流量策略与目的地址的对应关系。具体地，当网络设备第一次收到流量策略时，可以把该流量策略对应的目的地址D保存到radix树中，并为该目的地址D在radix树中的节点和该流量策略建立关联关系。其中，由于不同的流量策略可以对应相同的目的地址D，因此radix树中的一个节点可以对应多条流量策略。当多条流量策略对应radix树中的一个节点时，该多条流量策略可以采用链表等方式进行存储。Radix树存储结构的最大优势就是可以很容易实现查询的网段地址是否被radix中的那些节点所包含，或者被包含。因此，通过radix树，保存各流量策略与目的地址的对应关系，能够提高网络设备的查询速度。其中，各流量策略可以为已经进行过合法性检查的流量策略。各流量策略的合法性检查结果可以为通过合法性检查，也可以为未通过合法性检查。在实际应用中，网络设备本地保存的单播路由可能会变化。且单播路由变化后，可能会影响本地已保存的流量策略的合法性检查的结果。因此，在本专利技术实施例中，网络设备可以检测是否有单播路由发生变化，如果是，网络设备可以进一步地对合法性检查结果可能会变化的流量策略重新进行合法性检查。流量策略的合法性检查的两个原则是：第一网络设备收到第一邻居发送的目的地址为D的流量策略后，其需要检查该第一邻居是否发布了单播路由A，该单播路由A的目的地址包含目的地址D；其次第一网络设备的除第一邻居之外的其他邻居不能发布单播路由B，该单播路由B的目的地址包含于单播路由A的目的地址，或包含于目的地址D。其中，单播路由A的目的地址包含目的地址D的意思是，目的地址D是单播路由A的目的地址的一个子网。单播路由B的目的地址包含于单播路由A的目的地址的意思是，单播路由B的目的地址是单播路由A目的地址的一个子网；单播路由B的目的地址包含于目的地址D的意思是，单播路由B的目的地址是目的地址D的一个子网。也就本文档来自技高网...

【技术保护点】
一种检查流量策略合法性的方法，其特征在于，应用于任一网络设备，所述方法包括：当任一单播路由变化时，在本地保存的各流量策略对应的目的地址中，识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址；确定所识别出的各目的地址对应的各流量策略，并对所述各流量策略进行合法性检查。

【技术特征摘要】
1.一种检查流量策略合法性的方法，其特征在于，应用于任一网络设备，所述方法包括：当任一单播路由变化时，在本地保存的各流量策略对应的目的地址中，识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址；确定所识别出的各目的地址对应的各流量策略，并对所述各流量策略进行合法性检查。2.根据权利要求1所述的方法，其特征在于，所述当任一单播路由变化时，在本地保存的各流量策略对应的目的地址中，识别与变化后的单播路由的目的地址存在包含或被包含关系的目的地址之前，所述方法还包括：当接收到邻居发送的流量策略时，在本地保存该流量策略对应的目的地址；在所述邻居发送的路由中，识别其目的地址包含该流量策略对应的目的地址的最优路由，并将所述最优路由确定为与该流量策略对应的最优路由。3.根据权利要求2所述的方法，其特征在于，所述对所述各流量策略进行合法性检查包括：针对未通过合法性检查的流量策略，当所述单播路由由优选路由变为非优选路由，且所述单播路由与该流量策略对应的最优路由来自不同的邻居，该最优路由的目的地址包含变化后的单播路由的目的地址，或变化后的单播路由的目的地址包含该流量策略对应的目的地址时，对该流量策略进行合法性检查；当所述单播路由由非优选路由变为优选路由，且所述单播路由与该流量策略对应的最优路由来自相同的邻居，该最优路由的目的地址包含变化后的单播路由的目的地址，或变化后的单播路由的目的地址包含该流量策略对应的目的地址且该流量策略对应的最优路由为空时，对该流量策略进行合法性检查。4.根据权利要求2所述的方法，其特征在于，所述对所述各流量策略进行合法性检查包括：针对已通过合法性检查的流量策略，当变化前的单播路由为该流量策略对应的最优路由，且该单播路由由优选路由变为非优选路由时，对该流量策略进行合法性检查；当所述单播路由由非优选路由变为优选路由，该流量策略对应的最优路由的目的地址包含变化后的单播路由的目的地址，且变化后的单播路由的目的地址包含该流量策略对应的目的地址；或该流量策略对应的目的地址包含变化后的单播路由的目的地址时，对该流量策略进行合法性检查。5.根据权利要求4所述的方法，其特征在于，当所述单播路由由非优选路由变为优选路由，该流量策略对应的最优路由的目的地址包含变化后的单播路由的目的地址，且变化后的单播路由的目的地址包含该流量策略对应的目的地址时，所述方法还包括：当该流量策略对应的最优路由与所述单播路由来自相同的邻居时，更新该流量策略对应的最优路由为变化后的单播路由。6.根据权利要求1-5任一项所述的方法，其特征在于，所述网络设备通过本地保存...

【专利技术属性】
技术研发人员：朱超鹏，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：浙江;33