一种流量清洗方法及装置制造方法及图纸

本申请提供一种流量清洗方法及装置，本申请通过将地市出口路由设备纳入流量清洗系统、并在省出口路由设备上将流量进行分层转发的方式，实现了在不使用省出口路由设备策略路由、以及不建立省出口路由设备与骨干网路由设备间隧道条件下流量的正常回注。相比于现有技术而言，不仅节约了省出口路由设备的处理器资源，而且为骨干网路由设备节省了存储空间，保证了该路由设备的较优的转发性能。

Flow cleaning method and device

The invention provides a device and a flow cleaning method, this application will be through the city exit routing devices into the flow cleaning system, and the way forward in the hierarchical export routing equipment will be realized in the flow, do not use the export strategy of routing and routing equipment do not establish export routing equipment and backbone routing equipment under the condition of the normal injection flow tunnel. Compared with the existing technology, not only saves the processor resource of the export routing device, but also saves the storage space for the routing equipment of the backbone network, and ensures the better forwarding performance of the routing device.

【技术实现步骤摘要】
一种流量清洗方法及装置
本申请涉及网络通信
，尤其涉及一种流量清洗方法及装置。
技术介绍
DOS(DenialofService，拒绝服务)是一种利用各种服务请求耗尽被攻击目标的系统资源，从而使被攻击目标无法为合法用户提供正常服务的攻击类型。由于此类攻击方法简单而难以防范，在此基础上形成的DDOS(DistributedDenialofService，分布式拒绝服务)攻击日益成为威胁互联网环境安全的重要因素之一。针对此类攻击将攻击流量混合在正常流量中导致攻击流量难以分辨的特点，流量清洗技术通过将网络中的可疑流量牵引至流量清洗设备的方式，可以实现对该流量的深度识别，并在对识别出的有攻击特征的流量执行限速、过滤等清洗操作之后，将其余的正常流量回注至正常的转发路径，从而杜绝此类攻击的发生。目前，流量清洗技术可分为近源清洗和近目的清洗两种类型。其中，对于近源清洗，现有技术提供了一种如图1所示的部署方案，该方案中，流量清洗设备旁挂于骨干网以下一级、靠近攻击源的A省出口路由器上，通过与A省出口路由器预先建立BGP(BorderGatewayProtocol，边界网关协议)邻居关系，流量清洗设备可以在攻击发生时，通过BGP向该路由器发布牵引路由信息，以将攻击流量牵引至本地进行清洗；在流量清洗完成后，则可以按照预先配置在A省出口路由器与本地互联接口上的策略路由，将流量回注至正常的转发路径。然而，鉴于策略路由优先级较高而匹配复杂、可能占用路由设备较多处理器资源的特点，部分运营商已经禁止在省出口路由设备上配置策略路由，同时，为节约骨干网中路由设备的存储空间，最优化该路由设备的转发性能，部分网络运营商也不允许在省出口路由设备与骨干网路由设备之间建立隧道，由此，目前的清洗系统部署方案已无法保证流量的正常回注。
技术实现思路
有鉴于此，本申请提供一种流量清洗方法及装置，以解决现有清洗系统部署方案，无法在不使用省出口路由设备策略路由、以及不建立省出口路由设备与骨干网路由设备间隧道的条件下实现流量正常回注的问题。根据本申请实施例的第一方面，提供一种流量清洗方法，所述方法应用于流量清洗系统，其特征在于，所述流量清洗系统包含：流量清洗设备、省出口路由设备、以及与所述省出口路由设备直连的地市出口路由设备，所述地市出口路由设备与所述省出口路由设备之间预先建立标签分发协议LDP邻居关系，所述省出口路由设备与所述流量清洗设备之间预先建立LDP邻居关系，所述流量清洗设备与所述地市出口路由设备之间预先建立边界网关协议BGP邻居关系，所述方法包括：流量清洗设备在确定需要进行流量牵引后，通过BGP向地市出口路由设备发布流量牵引信息，所述流量牵引信息包含待牵引流量的原目的地址，所述待牵引流量包含攻击流量和正常流量；地市出口路由设备根据所述原目的地址，在流经本地的流量中确定出待牵引流量；将所述待牵引流量利用多协议标签交换MPLS标签转发至省出口路由设备，所述MPLS标签已根据LDP预先配置；省出口路由设备根据接收到的流量所包含的MPLS标签、以及该标签对应的标签转发表项，将该流量转发至流量清洗设备，以使流量清洗设备在对该流量进行清洗后，将清洗后得到的正常流量回注至省出口路由设备；省出口路由设备根据接收到的正常流量所包含的原目的地址、以及该地址所对应的普通路由表项，将该正常流量回注至该流量的原转发路径；其中，所述标签转发表项与普通路由表项已预先建立。根据本申请实施例的第二方面，提供一种流量清洗装置，所述装置应用于流量清洗系统，其特征在于，所述流量清洗系统包含：流量清洗设备、省出口路由设备、以及与所述省出口路由设备直连的地市出口路由设备，所述地市出口路由设备与所述省出口路由设备之间预先建立标签分发协议LDP邻居关系，所述省出口路由设备与所述流量清洗设备之间预先建立LDP邻居关系，所述流量清洗设备与所述地市出口路由设备之间预先建立边界网关协议BGP邻居关系，所述装置包括：牵引信息发布单元，所述单元应用于所述流量清洗系统中的流量清洗设备，用于在确定需要进行流量牵引后，通过BGP向地市出口路由设备发布流量牵引信息，所述流量牵引信息包含待牵引流量的原目的地址，所述待牵引流量包含攻击流量和正常流量；牵引流量确定单元，所述单元应用于所述流量清洗系统中的地市出口路由设备，用于根据所述原目的地址，在流经本地的流量中确定出待牵引流量；地市牵引流量转发单元，所述单元应用于所述流量清洗系统中的地市出口路由设备，用于将所述待牵引流量利用多协议标签交换MPLS标签转发至省出口路由设备，所述MPLS标签已根据LDP预先配置；省牵引流量转发单元，所述单元应用于所述流量清洗系统中的省出口路由设备，用于根据接收到的流量所包含的MPLS标签、以及该标签对应的标签转发表项，将该流量转发至流量清洗设备，所述标签转发表项已预先建立；流量清洗单元，所述单元应用于所述流量清洗系统中的流量清洗设备，用于对接收到的流量进行清洗；清洗设备正常流量回注单元，所述单元应用于所述流量清洗系统中的流量清洗设备，用于在对接收到的流量进行清洗后，将清洗后得到的正常流量回注至省出口路由设备；省正常流量回注单元，所述单元应用于所述流量清洗系统中的省出口路由设备，用于根据接收到的正常流量所包含的原目的地址、以及该地址所对应的普通路由表项，将该正常流量回注至该流量的原转发路径，所述普通路由表项已预先建立。本申请通过将地市出口路由设备纳入流量清洗系统、并在省出口路由设备上将流量进行分层转发的方式，实现了在不使用省出口路由设备策略路由、以及不建立省出口路由设备与骨干网路由设备间隧道条件下流量的正常回注。相比于现有技术而言，不仅节约了省出口路由设备的处理器资源，而且为骨干网路由设备节省了存储空间，保证了该路由设备的较优的转发性能。附图说明图1是现有技术中的流量清洗方案部署图；图2是本申请一种流量清洗方法流程图；图3是本申请一种流量清洗方法的一个实施例方案部署图；图4是本申请一种流量清洗装置的结构图；图5是本申请一种流量清洗装置的另一结构图；图6是本申请一种流量清洗装置的另一结构图；图7是本申请一种流量清洗装置的另一结构图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响本文档来自技高网...

【技术保护点】
一种流量清洗方法，所述方法应用于流量清洗系统，其特征在于，所述流量清洗系统包含：流量清洗设备、省出口路由设备、以及与所述省出口路由设备直连的地市出口路由设备，所述地市出口路由设备与所述省出口路由设备之间预先建立标签分发协议LDP邻居关系，所述省出口路由设备与所述流量清洗设备之间预先建立LDP邻居关系，所述流量清洗设备与所述地市出口路由设备之间预先建立边界网关协议BGP邻居关系，所述方法包括：流量清洗设备在确定需要进行流量牵引后，通过BGP向地市出口路由设备发布流量牵引信息，所述流量牵引信息包含待牵引流量的原目的地址，所述待牵引流量包含攻击流量和正常流量；地市出口路由设备根据所述原目的地址，在流经本地的流量中确定出待牵引流量；将所述待牵引流量利用多协议标签交换MPLS标签转发至省出口路由设备，所述MPLS标签已根据LDP预先配置；省出口路由设备根据接收到的流量所包含的MPLS标签、以及该标签对应的标签转发表项，将该流量转发至流量清洗设备，以使流量清洗设备在对该流量进行清洗后，将清洗后得到的正常流量回注至省出口路由设备；省出口路由设备根据接收到的正常流量所包含的原目的地址、以及该地址所对应的普通路由表项，将该正常流量回注至该流量的原转发路径；其中，所述标签转发表项与普通路由表项已预先建立。...

【技术特征摘要】
1.一种流量清洗方法，所述方法应用于流量清洗系统，其特征在于，所述流量清洗系统包含：流量清洗设备、省出口路由设备、以及与所述省出口路由设备直连的地市出口路由设备，所述地市出口路由设备与所述省出口路由设备之间预先建立标签分发协议LDP邻居关系，所述省出口路由设备与所述流量清洗设备之间预先建立LDP邻居关系，所述流量清洗设备与所述地市出口路由设备之间预先建立边界网关协议BGP邻居关系，所述方法包括：流量清洗设备在确定需要进行流量牵引后，通过BGP向地市出口路由设备发布流量牵引信息，所述流量牵引信息包含待牵引流量的原目的地址，所述待牵引流量包含攻击流量和正常流量；地市出口路由设备根据所述原目的地址，在流经本地的流量中确定出待牵引流量；将所述待牵引流量利用多协议标签交换MPLS标签转发至省出口路由设备，所述MPLS标签已根据LDP预先配置；省出口路由设备根据接收到的流量所包含的MPLS标签、以及该标签对应的标签转发表项，将该流量转发至流量清洗设备，以使流量清洗设备在对该流量进行清洗后，将清洗后得到的正常流量回注至省出口路由设备；省出口路由设备根据接收到的正常流量所包含的原目的地址、以及该地址所对应的普通路由表项，将该正常流量回注至该流量的原转发路径；其中，所述标签转发表项与普通路由表项已预先建立。2.一种流量清洗方法，所述方法应用于权利要求1所述流量清洗系统中的流量清洗设备，其特征在于，所述方法包括：确定需要进行流量牵引后，通过BGP向地市出口路由设备发布流量牵引信息，以使所述地市出口路由设备根据所述流量牵引信息，将待牵引流量转发至流量清洗设备，所述待牵引流量包含攻击流量和正常流量；对接收到的流量进行清洗，并将清洗后得到的正常流量回注至该流量的原转发路径。3.一种流量清洗方法，所述方法应用于权利要求1所述流量清洗系统中的地市出口路由设备，其特征在于，所述方法包括：接收流量清洗设备发布的流量牵引信息；根据流量牵引信息中包含的待牵引流量的原目的地址，在流经本地的流量中确定出待牵引流量，所述待牵引流量包含攻击流量和正常流量；将所述待牵引流量利用MPLS标签转发至流量清洗设备，以使流量清洗设备在对该流量进行清洗后，将清洗后得到的正常流量回注至该流量的原转发路径，所述MPLS标签已根据LDP预先配置。4.一种流量清洗方法，所述方法应用于权利要求1所述流量清洗系统中的省出口路由设备，其特征在于，所述方法包括：接收地市出口路由设备利用MPLS标签转发至本地的牵引流量；根据接收到的牵引流量所包含的MPLS标签、以及该标签对应的标签转发表项，将该牵引流量转发至流量清洗设备，以使流量清洗设备在对该牵引流量进行清洗后，将清洗后得到的正常流量回注至省出口路由设备；根据接收到的正常流量所包含的原目的地址、以及该地址所对应的普通路由表项，将该正常流量回注至该流量的原转发路径。5.根据权利要求3所述的方法，其特征在于，所述将待牵引流量利用MPLS标签转发至流量清洗设备，包括：根据所述待牵引流量的原目的地址，在本地查找对应的标签转发表项，所述标签转发表项记录有省出口路由设备对应的MPLS标签；为所述待牵引流量封装所述省出口路由设备对应的MPLS标签，并将该流量转发至省出口路由设备，以使所述省出口路由设备将该流量转发至流量清洗设备。6.根据权利要求4所述的方法，其特征在于，所述将该牵引流量转发至流量清洗设备之前，还包括：拆除该牵引流量的MPLS标签。7.一种流量清洗装置，所述装置应用于流量清洗系统，其特征在于，所述流量清洗系统包含：流量清洗设备、省出口路...

【专利技术属性】
技术研发人员：佟立超，王佳，王孝鹏，项朝君，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33