通用存活時間安全機(jī)制檢查方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本申請涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及GTSM(Generalized TTL SecurityMechanism,通用存活時間安全機(jī)制)檢查方法及裝置。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)技術(shù)在日常工作中的應(yīng)用越來越多,給人們的工作和生活帶來了極大的便捷。各大公司、運(yùn)營商都在不斷擴(kuò)大自己的網(wǎng)絡(luò),使得網(wǎng)絡(luò)的規(guī)模在不斷擴(kuò)大,各種業(yè)務(wù)流量也不斷增加。為了保證業(yè)務(wù)的正常運(yùn)轉(zhuǎn),保證網(wǎng)絡(luò)安全成為了各大公司、運(yùn)營商需要考慮的方法。然而從網(wǎng)絡(luò)設(shè)計(jì)及運(yùn)行來看,網(wǎng)絡(luò)安全GTSM部署的不靈活性,使GTSM的部署成為了一個軟肋。
[0003]GTSM通過檢查IP報文中的TTL (Time to Live,存活時間)值是否在一個預(yù)定義的范圍內(nèi),來對IP層以上業(yè)務(wù)進(jìn)行保護(hù),增強(qiáng)系統(tǒng)的安全性。
[0004]以圖1 所不組網(wǎng)為例,全網(wǎng)運(yùn)行 ISIS(Intermediate System to IntermediateSystem,中間系統(tǒng)到中間系統(tǒng))路由協(xié)議。其中,用戶預(yù)先在路由器Rl上配置了需要對R2進(jìn)行GTSM檢查,且GTSM值為3,同時在路由器R2上配置了需要對Rl進(jìn)行GTSM檢查,且GTSM值為3。
[0005]圖1中,以Rl為例,Rl啟動后,根據(jù)ISIS協(xié)議學(xué)習(xí)到發(fā)往R2的BGP (BorderGateway Protocol,邊界網(wǎng)關(guān)協(xié)議)協(xié)議報文的傳送路徑為:R1-R6-R7_R2,則構(gòu)造用于與R2建立BGP鄰居的BGP協(xié)議報文,該報文中的TTL = 255,這樣當(dāng)該協(xié)議報文到達(dá)R2時,報文中的TTL = 253,R2根據(jù)自身配置的GTSM值,計(jì)算出的TTL = 255-3+1 = 253,則報文中的TTL值不小于計(jì)算出的TTL值,則接受該BGP協(xié)議報文,Rl與R2之間可以成功建立BGP鄰居關(guān)系。
【發(fā)明內(nèi)容】
[0006]本申請?zhí)峁〨TSM檢查方法及裝置,以降低GTSM檢查的失誤率。
[0007]本申請的技術(shù)方案是這樣實(shí)現(xiàn)的:
[0008]一種通用存活時間安全機(jī)制GTSM檢查方法,該方法包括:
[0009]根據(jù)自身配置,對需要進(jìn)行GTSM檢查的任一對端路由器的IP地址,本地路由器啟動后或者發(fā)現(xiàn)與該對端路由器的網(wǎng)絡(luò)拓?fù)浒l(fā)生變化后,計(jì)算出以該對端路由器為根的網(wǎng)絡(luò)拓?fù)?,根?jù)該網(wǎng)絡(luò)拓?fù)?,?jì)算出對該對端路由器進(jìn)行GTSM檢查所使用的存活時間TTL值;
[0010]本地路由器向該對端路由器發(fā)送TTL值計(jì)算請求報文,以使得:該對端路由器計(jì)算出以自己為根的網(wǎng)絡(luò)拓?fù)洌⒏鶕?jù)該網(wǎng)絡(luò)拓?fù)?,?jì)算出本地路由器對自己進(jìn)行GTSM檢查所使用的TTL值,并將該TTL值發(fā)送給本地路由器;
[0011]本地路由器將該對端路由器發(fā)來的TTL值與自己計(jì)算出的TTL值進(jìn)行比較,若兩者相同,則確定使用該TTL值對該對端路由器進(jìn)行GTSM檢查;否則,確定不對該對端路由器進(jìn)行GTSM檢查。
[0012]一種GTSM檢查裝置,該裝置位于本地路由器上,該裝置包括:
[0013]TTL值計(jì)算模塊:根據(jù)本地路由器的配置,對需要進(jìn)行GTSM檢查的任一對端路由器的IP地址,啟動后或者發(fā)現(xiàn)與該對端路由器的網(wǎng)絡(luò)拓?fù)浒l(fā)生變化后,計(jì)算出以該對端路由器為根的網(wǎng)絡(luò)拓?fù)?,根?jù)該網(wǎng)絡(luò)拓?fù)洌?jì)算出對該對端路由器進(jìn)行GTSM檢查所使用的TTL值,向該對端路由器發(fā)送TTL值計(jì)算請求報文,以使得:該對端路由器計(jì)算出以自己為根的網(wǎng)絡(luò)拓?fù)?,并根?jù)該網(wǎng)絡(luò)拓?fù)?,?jì)算出本地路由器對自己進(jìn)行GTSM檢查所使用的TTL值,并將該TTL值發(fā)送給本地路由器;
[0014]TTL值確定模塊:接收該對端路由器發(fā)來的TTL值,將該TTL值與TTL值計(jì)算模塊計(jì)算出的TTL值進(jìn)行比較,若兩者相同,則確定使用該TTL值對該對端路由器進(jìn)行GTSM檢查;否則,確定不對該對端路由器進(jìn)行GTSM檢查。
[0015]可見,本申請無需在路由器上手工配置GTSM值,且在網(wǎng)絡(luò)拓?fù)浒l(fā)生變化后,路由器可以動態(tài)發(fā)起GTSM檢查所使用的TTL值的更新過程,降低了 GTSM檢查的失誤率。
【附圖說明】
[0016]圖1為現(xiàn)有的運(yùn)行ISIS+BGP的組網(wǎng)示例圖;
[0017]圖2為本申請一實(shí)施例提供的GTSM檢查方法流程圖;
[0018]圖3為本申請另一實(shí)施例提供的GTSM檢查方法流程圖;
[0019]圖4為本申請實(shí)施例提供的GTSM檢查裝置的組成示意圖。
【具體實(shí)施方式】
[0020]申請人對現(xiàn)有的GTSM檢查方法進(jìn)行分析發(fā)現(xiàn):
[0021]由于GTSM值是手工配置的,當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生變化后,該GTSM值并不能及時調(diào)整,從而可能會導(dǎo)致路由器的GTSM檢查失敗,從而導(dǎo)致路由器之間本來可以建立BGP鄰居、但實(shí)際上卻無法建立BGP鄰居。
[0022]如圖1中,當(dāng)R6與R7之間的鏈路Down(故障)后,Rl與R2之間的BGP鄰居關(guān)系斷開,Rl通過ISIS協(xié)議重新學(xué)習(xí)到發(fā)往R2的BGP協(xié)議報文的傳送路徑為:R1-R3-R4-R5_R2,并重新構(gòu)造用于與R2建立BGP鄰居的BGP協(xié)議報文,該報文中的TTL = 255,這樣當(dāng)該協(xié)議報文到達(dá)R2時,報文中的TTL = 252,R2根據(jù)自身配置的GTSM值,計(jì)算出的TTL = 255-3+1=253,則報文中的TTL值小于計(jì)算出的TTL值,則拒絕該BGP協(xié)議報文,從而Rl與R2之間無法建立BGP鄰居關(guān)系,但實(shí)際上,Rl與R2之間本來是可以建立BGP鄰居關(guān)系的。
[0023]圖2為本申請一實(shí)施例提供的GTSM檢查方法流程圖,其具體步驟如下:
[0024]步驟201:根據(jù)自身配置,對需要進(jìn)行GTSM檢查的任一對端路由器的IP地址,本地路由器啟動后或者發(fā)現(xiàn)與該對端路由器的網(wǎng)絡(luò)拓?fù)浒l(fā)生變化后,計(jì)算出以該對端路由器為根的網(wǎng)絡(luò)拓?fù)?,根?jù)該網(wǎng)絡(luò)拓?fù)洌?jì)算出對該對端路由器進(jìn)行GTSM檢查所使用的TTL值。
[0025]步驟202:本地路由器向該對端路由器發(fā)送TTL值計(jì)算請求報文,以使得:該對端路由器計(jì)算出以自己為根的網(wǎng)絡(luò)拓?fù)?,并根?jù)該網(wǎng)絡(luò)拓?fù)?,?jì)算出本地路由器對自己進(jìn)行GTSM檢查所使用的TTL值,并將該TTL值發(fā)送給本地路由器。
[0026]步驟203:本地路由器將該對端路由器發(fā)來的TTL值與自己計(jì)算出的TTL值進(jìn)行比較,若兩者相同,則確定使用該TTL值對該對端路由器進(jìn)行GTSM檢查;否則,確定不對該對端路由器進(jìn)行GTSM檢查。
[0027]本申請一實(shí)施例中,步驟201中,本地路由器計(jì)算出對該對端路由器進(jìn)行GTSM檢查所使用的TTL值包括:
[0028]本地路由器計(jì)算該對端路由器到自身的最優(yōu)路徑,根據(jù)該最優(yōu)路徑確定對該對端路由器進(jìn)行GTSM檢查所使用的TTL值,其中,若該對端路由器到自身的最優(yōu)路徑有多條,且針對各條最優(yōu)路徑計(jì)算出的TTL值不完全相同,則以其中最大的TTL值作為對該對端路由器進(jìn)行GTSM檢查所使用的TTL值。
[0029]本申請一實(shí)施例中,步驟202中,本地路由器向該對端路由器發(fā)送TTL值計(jì)算請求報文包括:
[0030]當(dāng)本地路由器與該對端路由器之間采用的路由協(xié)議為OSPF(Open Shortest PathFirst,開放式最短路徑優(yōu)先)協(xié)議時,本地路由器向該對端路由器發(fā)送OSPF協(xié)議報文,報文的10類LSA (Link State Advertisement,鏈路狀態(tài)通告)中攜帶本地路由器通過OSPF協(xié)議計(jì)算出的該對端路由器的Route-1D(路由標(biāo)識)和該對端路由器的IP地址;
[0031]或者,當(dāng)本地路由器與該對端路由器之間采用的路由協(xié)議為ISIS(IntermediateSystem to Intermediate System,中間系統(tǒng)到中間系統(tǒng))協(xié)議時,本地路由器向該對端路由器發(fā)送ISIS協(xié)議報文,報文的新增TLV (Type Length Value,類型長度值)中攜帶本地路由器通過ISIS協(xié)議計(jì)算出的該對端路由器的Route-1D和該對端路由器的IP地址。
[0032]本申請一實(shí)施例中,本地路由器接收任一對端路由器發(fā)來的TTL值計(jì)算請求報文,計(jì)算以自己為根的網(wǎng)絡(luò)拓?fù)?,并根?jù)該網(wǎng)絡(luò)拓?fù)?,?jì)算出該對端路由器對自己進(jìn)行GTSM檢查所使用的TTL值,并將該TTL值發(fā)送給該對端路由器,其中,該對端路由器上配置的需要對其進(jìn)行GTSM檢查的IP地址列表中包含該本地路由器的IP地址。
[0033]本申請一實(shí)施