專利名稱:一種辨別報文源地址真?zhèn)蔚姆椒?br>
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種辨別報文源地址真?zhèn)蔚姆椒ā?br>
背景技術(shù):
在目前的網(wǎng)絡(luò)中���,普遍存在使用大量源地址為偽造的報文向目標發(fā)起攻擊的情況�����。為了對付報文的攻擊��,需要確定攻擊報文的真實地址與其攜帶的源地址是否相符?�,F(xiàn)有技術(shù)普遍在路由器接收到報文時使用使用單播反向路徑轉(zhuǎn)發(fā)(uRPF)技術(shù)來檢測該報文源地址的真實性���。
但對于負載分擔路由情況下���,如何進行uRPF����,尚無有效的算法。
如圖1所示�����,當攻擊點本身地址為204.69.207.0/24��,但在發(fā)起攻擊時���,卻使用隨機產(chǎn)生的偽地址向互聯(lián)網(wǎng)服務(wù)提供商(ISP)A發(fā)起報文流��,如果不對該報文源地址進行識別�����,被攻擊端無法識別出攻擊報文的真實地址���,無法對攻擊端進行處理����。
為對付這種攻擊���,現(xiàn)有技術(shù)確定了使用uRPF技術(shù)來檢測攻擊報文的技術(shù)�。
在邊緣路由器router2在收到報文時���,使用目的IP地址(DIP)進行轉(zhuǎn)發(fā)信息查詢�����,確定報文去向�����;使用源地址(SIP)在路由表(FIB)中進行uRPF查詢�,確定報文的來源。
進行uRPF查詢將有如下幾種情況uRPF FIB查詢失敗����,這說明源IP地址(SIP)無法路由,互聯(lián)網(wǎng)服務(wù)提供商(ISP)的應(yīng)答報文也無法到達發(fā)起者��。
雖然uRPF FIB查詢成功��,但報文的源端口與轉(zhuǎn)發(fā)信息表中的目的端口不符�����,這說明報文來源端口不正確��。
如果查詢到的是負載分擔路由�,需要進一步分析各個負載分擔信息表�,在這種情況下逐一查詢負載分擔中的各條轉(zhuǎn)發(fā)信息,當查到有一個轉(zhuǎn)發(fā)表項如果符合�,則說明報文來源正確;如果查詢到的負載分擔信息表都不符合�,說明報文源地址為偽造。
當遇到一個源地址為偽造的報文���,現(xiàn)有技術(shù)對負載分擔路由的情況進行嚴格的uRPF檢查�,需要對等價多路徑(ECMP)的等價路由轉(zhuǎn)發(fā)表項進行循環(huán)讀取并檢查,當其中一條轉(zhuǎn)發(fā)路徑與報文源端口一致�,則認為uRPF成功;當對所有等價路徑一一檢查完畢后���,發(fā)現(xiàn)所有等價路徑都與報文源端口不一致����,才能認定uRPF失敗��。
現(xiàn)有技術(shù)這種確認uRPF失敗的操作大量耗費接口帶寬和處理器處理時間�����,無法支持高速轉(zhuǎn)發(fā)的性能要求�����。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種辨別報文源地址真?zhèn)蔚姆椒?���,用于在路由器接收到一條報文后判斷是否轉(zhuǎn)發(fā)該報文。
本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的一種辨別報文源地址真?zhèn)蔚姆椒?���,包括路由器為負載分擔路由表設(shè)置用于識別路由地址真實性的信息���,路由器接收報文后根據(jù)修改后的路由表對報文攜帶的源地址進行單播反向路徑查詢,確定報文的源地址的真實性�����。
所述為路由表設(shè)置用于識別路由地址真實性的信息并確定源地址真實性的方法包括
為單板的路由表項設(shè)置用于標識該路由表項與本單板相關(guān)關(guān)系的本板相關(guān)標志域����,通過對該域的檢測確定報文攜帶的源地址是否與本板相關(guān),當源地址與本板無關(guān)�����,則確定該地址為偽造地址��;在路由表項中設(shè)置用于標識本板各端口與報文攜帶的源地址關(guān)系的地址相關(guān)端口標識域以及單板端口有效性的有效端口域��,在確定源地址與本板相關(guān)后����,將報文進入路由器所經(jīng)過的端口號與地址相關(guān)端口標識域和有效端口域的值進行比較�����,根據(jù)比較結(jié)果確定報文源地址真?zhèn)巍?br>
通過所述比較確定報文進入路由器所經(jīng)過的端口是否為與報文攜帶的源地址相連的端口且為路由器的有效端口,如果是�����,則報文的源地址為真實地址����,如果不是,則報文的源地址為偽地址�����。
所述比較通過報文進入路由器所經(jīng)過的端口號與地址相關(guān)端口標識域的值以及有效端口域的值進行的與邏輯運算實現(xiàn)�。
路由器可由包括多端口單板在內(nèi)的多個單板組成或僅由多個單端口單板組成,對于由包括多端口單板在內(nèi)的多個單板組成的路由器����,通過為負載分擔路由表設(shè)置用于識別路由地址真實性信息的方法確定報文源地址真實性,對于僅由多個單端口單板組成的路由器�����,通過根據(jù)負載分擔路由表中的路由轉(zhuǎn)發(fā)信息配置多個與本板相關(guān)的單跳路由表并反向查詢該單跳路由表的方法確定報文源地址真實性����。
一種辨別報文源地址真?zhèn)蔚姆椒?��,包括路由器根?jù)單板上原有負載分擔路由表中的路由轉(zhuǎn)發(fā)信息設(shè)置僅與本板相關(guān)的單跳路由表,根據(jù)所述單跳路由表進行反向查詢確定報文源地址真?zhèn)巍?br>
所述設(shè)置僅與本板相關(guān)的單跳路由表包括對于本板相關(guān)的單端口單板��,該單板關(guān)于報文源地址的唯一路由轉(zhuǎn)發(fā)信息與地址構(gòu)成單跳路由表�����;本板相關(guān)的多端口單板�,將該單板的每條路由轉(zhuǎn)發(fā)信息與地址構(gòu)成一個單跳路由表,得到多個單跳路由表�。
由上述本發(fā)明提供的技術(shù)方案可以看出,本發(fā)明通過為負載分擔路由表添加用于辨別地址真?zhèn)蔚男畔㈨?����,或通過壓縮路由表的方法簡化了對負載分擔路由表多跳信息的逐一比較和查詢����,提高辨別效率,減少對系統(tǒng)處理能力的消耗�。
圖1所示為使用分布式路由器的網(wǎng)絡(luò)示意圖;圖2所示為使用由單端口單板組成的負載分擔路由器的網(wǎng)絡(luò)示意圖��;圖3所示為使用包含多端口單板的負載分擔路由器的網(wǎng)絡(luò)示意圖����。
具體實施例方式
本發(fā)明的核心是在路由器中的單板接收報文時,根據(jù)所述報文的源地址信息查詢配置有用于識別路由地址真實性的信息����,再根據(jù)查找結(jié)果確定報文源地址的真?zhèn)巍?br>
對分布式路由器各單板的路由表進行修改,當有報文進入路由器時��,根據(jù)修改后的路由表��,將該報文的源地址作為反向查詢的目的地址進行單播反向路徑查詢����,辨別報文中攜帶的源地址信息是否為真實源地址。由于構(gòu)成路由器的單板可能有單個或者多個端口�,可以采用不同的方法對路由表進行修改對含有多端口單板的路由器,為負載分擔路由表設(shè)置用于識別路由地址真實性的信息���;對僅由單端口單板組成的路由器�����,將其負載分擔的路由表壓縮為單跳路由表�。
具體一點講,本發(fā)明在由單端口單板組成的負載分擔路由器中���,對于每個單板的本板相關(guān)負載分擔路由表�����,根據(jù)負載分擔路由表中的路由信息進行重新設(shè)置得到單跳路由表�����,單跳路由表中僅包含轉(zhuǎn)發(fā)信息中與本板相關(guān)的端口�����,不包含其他端口�����。進行單播反向路徑查詢時��,如果查到單一下一跳的路由表項����,則進行端口比較�,如果入端口與表項內(nèi)的端口一致��,則uRPF通過��;如果查到多下一跳的負載分擔路由表,則說明uRPF失敗�����,不需要再進行逐一比較�����。
本發(fā)明還可以在負載分擔路由器中為各單板的路由表添加新的信息域�����,根據(jù)報文進入路由器的端口以及新的信息項辨別報文中攜帶的源地址是否為真實源地址����。
本發(fā)明添加的信息項包括本板相關(guān)標志域、地址相關(guān)端口標識域(本板端口bit域)以及有效端口域(本板端口bit mask域)�。辨別源地址是否為真實地址時首先需要檢測單板路由表中的本板相關(guān)標志域的值,若該值為無關(guān)���,則報文攜帶的源地址為偽地址���;若該項值為相關(guān)�����,則將報文進入路由器所經(jīng)過的端口號與地址相關(guān)端口標識域和有效端口域的值進行比較�,根據(jù)比較結(jié)果確定報文源地址真?zhèn)巍?br>
所述比較確定報文進入路由器所經(jīng)過的端口是否為與報文攜帶的源地址相連的端口且為路由器的有效端口��,如果是�����,則報文的源地址為真實地址���,如果不是�,則報文的源地址為偽地址����。
下面將結(jié)合本發(fā)明具體實施例附圖對本發(fā)明作詳細說明。
圖2所示為包含多端口單板的負載分擔路由器示意圖����。
如圖2所示,圖中共有3個分布式路由器router1����、router2�����、router3����,其中router2包含單板1��,單板2�����,單板3共三個單板�����,且單板2為多端口單板�����,共有8個端口�,其中的兩個端口port0�����,port1連接至地址204.69.207.0/24,其余端口連接至其他地址��;單板2上有一個端口�,也連接至地址204.69.207.0/24;單板3上有一個端口�,與ISP相連。
這樣�����,router2與地址204.69.207.0/24之間共有三條等價路由�����,分別為單板1����、單板2的port0以及port1。
當有報文進入路由器����,如果報文的SIP為204.69.207.0/24,路由器需要查詢該報文是否確實由204.69.207.0/24發(fā)出。如果確實是從204.69.207.0/24發(fā)出����,則該報文可轉(zhuǎn)發(fā);如果該報文是從其他地址發(fā)出����,但報文地址信息中攜帶的SIP卻為204.69.207.0/24,則該報文的SIP地址為偽造�����,不予轉(zhuǎn)發(fā)��。
本發(fā)明使用單播反向路徑轉(zhuǎn)發(fā)進行源地址查詢時���。由于是進行反向檢查,報文信息中的源地址204.69.207.0/24在反向查詢中成為查詢的目的地址��。
對于路由器中的各個單板�,其維護的關(guān)于同一地址的路由表項均由主控協(xié)議模塊下發(fā),且在一般情況下�,主控協(xié)議模塊下發(fā)給各單板的路由表項是完全相同的。在本實施例中��,主控協(xié)議模塊下發(fā)給各單板的地址為204.69.207.0/24的路由表項為表1-1所示
表1-1可以看出,該路由表為負載分擔路由表�����,且同一單板具有多個端口作為負載分擔�����。在這種情況下�,本發(fā)明實施例一對現(xiàn)有負載分擔路由表進行修改,為各單板上指定目的地址的路由表設(shè)置用于識別路由地址真實性的信息��,路由器接收報文后根據(jù)修改后的路由表對報文攜帶的源地址進行單播反向路徑查詢�����,確定報文的源地址的真實性��。
所述添加的信息項包括本板相關(guān)標志域����,該域的值為相關(guān)或無關(guān),表示本板與報文攜帶的源地址是否相關(guān)����;地址相關(guān)端口標識域(本板端口bit域)�,該域中每個本板端口對應(yīng)一位二進制數(shù)�����,用每位二進制數(shù)的取值表示本板各端口與報文攜帶的源地址的連接關(guān)系�����;有效端口域(本板端口bit mask域)��,該域中用二進制數(shù)表示本板的有效端口數(shù)�,每個端口對應(yīng)一位二進制數(shù)。
在本發(fā)明實施例一中��,所述本板相關(guān)標志域���、地址相關(guān)端口標識域以及有效端口域的具體信息如下本板相關(guān)標志域���,表示本板是否與路由表中的目的地址相關(guān)�,1表示相關(guān),0表示不相關(guān)���。
地址相關(guān)端口標識域���,表示路由表項中所涉及的本板端口�,用一位二進制數(shù)表示本板上的一個端口是否在路由表項中被涉及��,用1表示涉及���,用0表示其余未涉及的端口�����。對于本實施例�����,單板1共有8個端口����,分別為端口0~端口7��,路由表項涉及單板1中的端口0和端口1����,則單板1的端口bit域表示為11000000。
有效端口域���,表示本板的端口總數(shù)�,對于本實施例,單板1共有8個端口��,則該域的值表示為11111111����;對于只有1個端口的單板,該域的值表示為10000000���。
本實施例中0和1所表示的信息并不是固定不變的����,可以根據(jù)實際情況進行調(diào)整��。
在本實施例中�,為單板2增加本板相關(guān)信息后的路由表項如表1-2所示
表1-2根據(jù)該路由表項,對進入單板2的源地址為204.69.207.0/24報文進行單播反向路徑轉(zhuǎn)發(fā)查詢�,檢查發(fā)送該報文的真實源地址是否真正為204.69.207.0/24,以便確定是否轉(zhuǎn)發(fā)該報文�,具體包括步驟11�、本發(fā)明實施例一在進行單播反向路徑轉(zhuǎn)發(fā)時首先需要查詢本板相關(guān)標志域,其中1表示相關(guān)���,0表示無關(guān)�����。
當本板相關(guān)標志域的信息為0�����,則所有通過該板進入路由器且目的地址與路由表中目的地址相同的報文均不予轉(zhuǎn)發(fā)����,報文攜帶的源地址信息為偽信息;當本板相關(guān)標志域的信息為相關(guān)����,則繼續(xù)進行步驟22。
步驟12���、將報文進入單板2的端口號與單板2的路由表中本板端口bit域和本端口bit mask域的值進行與邏輯運算��,根據(jù)運算值判斷報文地址的真實性���。
實施例一中,單板2具有8個端口��,其中端口0、端口1與目的地址204.69.207.0/24相連��。
當一個目的地址為204.69.207.0/24的報文從端口1進入路由器�����,根據(jù)路由表項的內(nèi)容��,將報文進入路由器的端口與本板端口bit和本板端口bit mask進行與邏輯運算��,根據(jù)所得的結(jié)果判斷報文源地址是否為204.69.207.0/24�。若不是真實的地址,則認為該地址為偽造���,該報文為攻擊報文��,不轉(zhuǎn)發(fā)該報文��;若是真實的地址����,則認為該報文為有效報文�,對其進行正常的轉(zhuǎn)發(fā)。
單板2中的8個端口為端口0-端口7,其中從端口1進入報文時�����,端口1表示為01000000�����;將端口1與路由表項中本板bit域和本端口bit mask域進行與操作(01000000)&(port bits)&(port bits mask)��,即(01000000)&(11000000)&(port11111111)�,其結(jié)果為1��,說明路有表中端口1的單播反向路徑轉(zhuǎn)發(fā)查詢成功�����,亦即可以斷定從端口1進入的報文����,若報文中攜帶的源地址信息為204.69.207.0/24,則該源地址是該報文的真實源地址�����,該報文為有效報文�����,路由器將按照該報文的目的地址轉(zhuǎn)發(fā)該報文。
在本發(fā)明實施例一中��,當一個源地址為204.69.207.0/24的報文從端口4進入路由器�����,根據(jù)路由表項的內(nèi)容����,將報文進入路由器的端口與本板端口bit和本板端口bit mask進行與操作,根據(jù)所得的結(jié)果判斷該報文地址的真實性��。
單板2中的端口4表示為00001000����;將端口4與路由表項中本板bit域和本端口bit mask域進行與操作(00001000)&(port bits)&(port bits mask),(00001000)&(11000000)&(11111111)��,即(00001000)&(11000000)&(11111111)���,其結(jié)果為0�����,說明路由表中端口4的單播反向路徑轉(zhuǎn)發(fā)查詢失敗�,亦即可以斷定從端口4進入的報文,若報文中攜帶的源地址信息為204.69.207.0/24��,則該報文的源地址為偽造�����,該報文無效�����,可能是某一個終端發(fā)出的攻擊報文��,路由器不轉(zhuǎn)發(fā)該報文�,并將其丟棄�����。
本發(fā)明實施例一中修改路由表���,為路由表添加信息項的方法對于只有一個端口的單板1同樣適用��。使用該方法���,單板1中目的地址為204.69.207.0/24的路由表項如表1-3所示
表1-3當單板1從其唯一端口接收到一條源地址為204.69.207.0/24的報文時�����,首先檢查本板相關(guān)標志域�,其值為1�,表示相關(guān),則繼續(xù)進行與邏輯運算檢查����。接收報文的端口表示為10000000,將該端口與路由表項中本板bit域和本端口bit mask域進行與操作(00001000)&(port bits)&(port bits mask)�,即(10000000)&(10000000)&(10000000),其結(jié)果為1����,說明從單板1的唯一端口進入路由器的報文,若其源地址為204.69.207.0/24���,則該報文的地址為真實地址�,路由器轉(zhuǎn)發(fā)該報文�����。
對于只有一個端口的單板3,其保存的204.69.207.0/24表項如表1-4所示
表1-4由于單板3的端口不與204.69.207.0/24相連�����,因此在單板3中204.69.207.0/24的路由表項中本板相關(guān)項數(shù)值為0�,即可得出如下結(jié)論從單板3端口輸出的報文均無法到達204.69.207.0/24這個地址。
圖3所示為單接口單板組成的負載分擔路由器示意圖����。
如圖3所示�����,在實施例二中router2與地址204.69.207.0/24之間有單板1和單板2兩條等價路由����,router2的單板3與互聯(lián)網(wǎng)服務(wù)提供商(ISP)相連,所述的單板1和單板2均只有一個接口���。
在根據(jù)本發(fā)明進行處理前����,router2中各單板均維護同一張由主控協(xié)議模塊下發(fā)的路由表。在圖3所示的router2的各個單板中�,目的地址為204.69.207.0/24路由表項如表2-1所示
表2-1當router2接收到源地址為204.69.207.0/24的報文后,在按照該報文的目的地址轉(zhuǎn)發(fā)該報文前���,需將報文的源地址作為反向查詢的目的地址���,對報文進行單播反向路徑查詢,檢查該報文攜帶的源地址信息是否為真實地址�����。
本發(fā)明在進行單播反向查詢前對路由器個單板上維護的路由表進行修改��。
對于一個單板上的負載分擔路由表����,根據(jù)該路由表中的信息重新設(shè)置路由表,得到僅包含與本板相關(guān)的路由轉(zhuǎn)發(fā)信息的路由表�����。由于各單板均只有一個端口�,所以經(jīng)本發(fā)明修改的各單板路由表從負載分擔路由表壓縮為僅含單跳轉(zhuǎn)發(fā)信息的普通路由表。
在刪除其它板轉(zhuǎn)發(fā)信息后����,單板1上保存的目的地址為204.69.207.0/24的路由表如表2-2所示
表2-2單板2上保存的204.69.207.0/24的路由表如表2-3所示
表2-3在路由器中���,真正應(yīng)該前往204.69.207.0/24的是從單板3的接口進入的報文,該報文在查詢路由表后得到關(guān)于地址204.69.207.0/24的轉(zhuǎn)發(fā)信息���。因此���,在接口板3上的路由表項需要完整的保存,不能進行刪除����,以便從接口板3進入的報文可以得到所有的路由轉(zhuǎn)發(fā)信息�。
不刪除單板3上的轉(zhuǎn)發(fā)信息,其目的地址為204.69.207.0/24的路由表依然為
在對單板1�、單板2的路由表項進行處理后,當在單板1���、單板2上進行反向路徑檢查時��,由于每個接口板的路由表項中僅含有一個單跳信息���,不再存在負載分擔���,無需對多條等價路徑進行循環(huán)讀取及檢查,節(jié)省運算時間��,提高路由效率��。
在對單板的路由表進行壓縮后�����,對路由器中的單板進行單播反向路徑查詢的過程如下步驟21�����、使用報文的源地址作為目的地址進行反向查詢���,如果路由表中沒有維護該目的地址的路由表�,則報文源地址超出路由器的控制范圍���,說明報文的源地址為偽地址���。
步驟22、如果路由表中有該目的地址的路由表����,則檢測該路由表為負載分擔路由表還是單跳路由表�����。
步驟23�����、當路由表項仍是負載分擔的路由表��,則說明對本板的反向查詢失?���?����;當路由表是單跳路由表����,則檢查入端口與出端口是否一致。
如果是一致的��,則單播反向路徑查詢成功�,報文攜帶的源地址為真實地址�,如果不是同一單板����,則說明uRPF失敗,也不再對其它單板進行查詢�����。
本發(fā)明實施例一���、二對由不同單板組成的路由器采取不同的處理方法�。由于在實際應(yīng)用中全部由單端口單板組成的路由器和由包括多端口單板的路由器可能同時出現(xiàn)在同一系統(tǒng)中����,本發(fā)明在同一系統(tǒng)中綜合使用實施例一和實施例二的方法,對系統(tǒng)中包含多端口單板的路由器通過設(shè)置相關(guān)信息的方法進行查詢�,對僅包含單端口的路由器通過設(shè)置與本板相關(guān)的單跳路由表的方法進行查詢。
以上所述�,僅為本發(fā)明較佳的具體實施方式
,但本發(fā)明的保護范圍并不局限于此��,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)����,可輕易想到的變化或替換��,都應(yīng)涵蓋在本發(fā)明的保護范圍之內(nèi)��。因此��,本發(fā)明的保護范圍應(yīng)該以權(quán)利要求的保護范圍為準�。
權(quán)利要求
1.一種辨別報文源地址真?zhèn)蔚姆椒?,其特征在于,包括路由器為負載分擔路由表設(shè)置用于識別路由地址真實性的信息���,路由器接收報文后根據(jù)修改后的路由表對報文攜帶的源地址進行單播反向路徑查詢����,確定報文源地址的真實性���。
2.根據(jù)權(quán)利要求1所述的一種辨別報文源地址真?zhèn)蔚姆椒?���,其特征在于��,所述為路由表設(shè)置用于識別路由地址真實性的信息并確定源地址真實性的方法包括為單板的路由表項設(shè)置用于標識該路由表項與本單板相關(guān)關(guān)系的本板相關(guān)標志域���,通過對該域的檢測確定報文攜帶的源地址是否與本板相關(guān)�����,當源地址與本板無關(guān)���,則確定該地址為偽造地址;在路由表項中設(shè)置用于標識本板各端口與報文攜帶的源地址關(guān)系的地址相關(guān)端口標識域以及單板端口有效性的有效端口域����,在確定源地址與本板相關(guān)后,將報文進入路由器所經(jīng)過的端口號與地址相關(guān)端口標識域和有效端口域的值進行比較�����,根據(jù)比較結(jié)果確定報文源地址真?zhèn)巍?br>
3.根據(jù)權(quán)利要求2所述的一種辨別報文源地址真?zhèn)蔚姆椒?,其特征在于,通過所述比較確定報文進入路由器所經(jīng)過的端口是否為與報文攜帶的源地址相連的端口且為路由器的有效端口�����,如果是�����,則報文的源地址為真實地址,如果不是����,則報文的源地址為偽地址。
4.根據(jù)權(quán)利要求2所述的一種辨別報文源地址真?zhèn)蔚姆椒?,其特征在于,所述比較通過報文進入路由器所經(jīng)過的端口號與地址相關(guān)端口標識域的值以及有效端口域的值進行的與邏輯運算實現(xiàn)����。
5.根據(jù)權(quán)利要求1所述的一種辨別報文源地址真?zhèn)蔚姆椒ǎ酚善骺捎砂ǘ喽丝趩伟逶趦?nèi)的多個單板組成或僅由多個單端口單板組成�����,其特征在于�,對于由包括多端口單板在內(nèi)的多個單板組成的路由器,通過為負載分擔路由表設(shè)置用于識別路由地址真實性信息的方法確定報文源地址真實性��,對于僅由多個單端口單板組成的路由器��,通過根據(jù)負載分擔路由表中的路由轉(zhuǎn)發(fā)信息配置多個與本板相關(guān)的單跳路由表并反向查詢該單跳路由表的方法確定報文源地址真實性�。
6.一種辨別報文源地址真?zhèn)蔚姆椒ǎ涮卣髟谟?����,包括路由器根?jù)單板上原有負載分擔路由表中的路由轉(zhuǎn)發(fā)信息設(shè)置僅與本板相關(guān)的單跳路由表,根據(jù)所述單跳路由表進行反向查詢確定報文源地址真?zhèn)巍?br>
7.根據(jù)權(quán)利要求6所述的一種辨別報文源地址真?zhèn)蔚姆椒?,其特征在于����,所述設(shè)置僅與本板相關(guān)的單跳路由表包括對于本板相關(guān)的單端口單板,該單板關(guān)于報文源地址的唯一路由轉(zhuǎn)發(fā)信息與地址構(gòu)成單跳路由表���;本板相關(guān)的多端口單板�����,將該單板的每條路由轉(zhuǎn)發(fā)信息與地址構(gòu)成一個單跳路由表����,得到多個單跳路由表����。
全文摘要
本發(fā)明提供了一種辨別報文源地址真?zhèn)蔚姆椒ǎ瑢儆谕ㄐ蓬I(lǐng)域�,包括路由器為負載分擔路由表設(shè)置用于識別路由地址真實性的信息,路由器接收報文后根據(jù)修改后的路由表對報文攜帶的源地址進行單播反向路徑查詢��,確定報文的源地址的真實性�。由上述本發(fā)明提供的技術(shù)方案可以看出�,本發(fā)明通過為負載分擔路由表添加用于辨別地址真?zhèn)蔚男畔㈨?��,或通過壓縮路由表的方法簡化了對負載分擔路由表多跳信息的逐一比較和查詢����,提高辨別效率�,減少對系統(tǒng)處理能力的消耗。
文檔編號H04L9/00GK101051994SQ200610082960
公開日2007年10月10日 申請日期2006年6月21日 優(yōu)先權(quán)日2006年6月21日
發(fā)明者李政, 肖斌 申請人:華為技術(shù)有限公司