專利名稱:一種生成訪問控制列表的方法及路由設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,特別涉及一種生成訪問控制列表的方法及路由設(shè)備�。
背景技術(shù):
在目前的網(wǎng)絡(luò)中,運營商的設(shè)備一般都只轉(zhuǎn)發(fā)用戶的數(shù)據(jù)流量,用戶沒有 訪問運營商路由器的權(quán)限��。但是目前運營商路由器的IP地址對外界透明��,用
戶可通過Tracert的技術(shù)手段或者其他手段輕易地獲取運營商路由器的IP地 址��,利用該IP地址�����,用戶可以輕易地攻擊運營商^^由器����,例如用戶可以向 該IP地址發(fā)送大量偽造報文��,由于運營商路由器需要處理大量這種偽造報文����, 耗費了運營商路由器的處理資源,甚至造成路由器無法正常工作�。
現(xiàn)有技術(shù)中,可以通過在用戶邊緣設(shè)備手動配置訪問控制列表(Access Control list, ACL)解決上述問題�。其中,手動配置路由器的訪問控制列表ACL�, 具體為當路由器收到大量的攻擊報文時,通過手工配置ACL,阻止偽造報文 以防止i支擊�。
在實現(xiàn)本發(fā)明的過程中���,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題 手工配置ACL工作量大,配置不方便����,而且網(wǎng)絡(luò)拓樸變化后,ACL不能 動態(tài)配置���。
發(fā)明內(nèi)容
本發(fā)明實施例的目的是提供一種生成訪問控制列表的方法及路由設(shè)備����,實 現(xiàn)訪問控制列表ACL的動態(tài)配置���。
本發(fā)明實施例的目的是通過以下技術(shù)方案實現(xiàn)的
一種生成訪問控制列表的方法�����,網(wǎng)絡(luò)包括至少兩個路由器�����,分別為第一路 由器和第二路由器���,所述第一路由器和第二路由器之間運行內(nèi)部網(wǎng)關(guān)協(xié)議IGP 協(xié)議��,其中�,所述第一路由器為邊界路由器����,
所述第一路由器接收來自所述第二路由器的IGP報文,所述內(nèi)部網(wǎng)關(guān)協(xié)議 IG P報文攜帶所述第二路由器的地址標識�;
6獲取所述第二4^由器的所述地址標識;
根據(jù)所述地址標識����,生成以所述地址標識為目的地址的訪問控制列表禁止 表項�����。
一種路由設(shè)備����,其中,所述路由設(shè)備為邊界路由器�,所述路由設(shè)備包括 接收模塊510,接收IGP報文����,所述IGP報文來自第一路由器��,攜帶所
述第一^各由器的地址標識�����;
地址獲取模塊520��,用于獲取所述接收模塊510接收到的IGP報文中攜帶
的所述;也址標識��;
列表生成模塊530�,用于根據(jù)所述地址獲取模塊520獲取的所述地址標識���, 生成以所述地址標識為目的地址的ACL禁止表項��。
一種路由系統(tǒng)�,所述系統(tǒng)包括至少兩個路由設(shè)備�����,分別為第一路由設(shè)備和 第二路由設(shè)備�,其中,所述第一路由設(shè)備為邊界路由器�,
所述第二路由設(shè)備發(fā)送IGP報文���;
所述第一路由設(shè)備接收來自所述第二路由設(shè)備的所述IGP報文,所述IGP 報文攜帶所述第二路由設(shè)備的地址標識�����,獲取所述第二路由設(shè)備的所述地址標 識���,根據(jù)所述地址標識�����,生成以所述地址標識為目的地址的ACL禁止表項���。
采用本發(fā)明實施例的技術(shù)方案���,第一路由器通過內(nèi)部網(wǎng)關(guān)協(xié)議IGP報文獲 取第二路由器的地址標識��,才艮據(jù)所述地址標識����,生成訪問控制列表ACL禁止 表項�����,達到了動態(tài)配置ACL以阻止偽造報文的技術(shù)效果。
圖1為本發(fā)明實施例中的組網(wǎng)示意圖2為本發(fā)明實施例中的一種生成訪問控制列表的方法流程圖��; 圖3為本發(fā)明另一個實施例中的組網(wǎng)示意圖�; 圖4為本發(fā)明實施例中的另一種生成訪問控制列表的方法流程圖; 圖5為本發(fā)明實施例中提供的一種路由設(shè)備示意圖���。
具體實施例方式
為了使本發(fā)明實施例的目的����、技術(shù)方案及優(yōu)點更加清楚明白�,以下結(jié)合附 圖及實施例,對本發(fā)明進行進一步詳細說明���。應(yīng)當理解�����,此處所描述的具體實施例僅用以解釋本發(fā)明���,并不用于限定本發(fā)明。
由器)或Level-1-2路由器(層-1-2路由器)���,為便于說明��,下面的具體實施 例����,將分別就邊界路由器為用戶邊界路由器BR或區(qū)域邊界路由器ABR或 Level-1-2路由器時的情況做詳細介紹,具體如下
如圖1所示的網(wǎng)絡(luò)��,該網(wǎng)絡(luò)包括路由器110����、路由器120、路由器130和 用戶設(shè)備140��。
其中�,路由器110、路由器120和路由器130位于同一區(qū)域之中�����,路由器 110和路由器120位于網(wǎng)絡(luò)側(cè)�����,路由器130位于用戶側(cè)�����,路由器130為用戶
邊緣路由器�。
其中,圖1中的路由器可以為其他具備路由功能模塊的任何網(wǎng)絡(luò)設(shè)備��,例 如三層交換機等����。
下面以路由器130為例,對生成訪問控制列表的方法進行具體介紹�。 如圖2所示,本發(fā)明實施例的方法包括
201����、 接收內(nèi)部網(wǎng)關(guān)協(xié)議報文,具體為路由器130接收來自路由器120 的內(nèi)部網(wǎng)關(guān)協(xié)議IGP報文����,該IGP報文攜帶路由器120的地址標識;
202�����、 獲取地址標識�����,具體為路由器130根據(jù)201中接收的IGP報文獲 取路由器120的地址標識;
203��、 生成訪問控制列表禁止表項�,具體為根據(jù)202中獲取的地址標識, 生成以該地址標識為目的地址的ACL禁止表項����。
上述實施例中,路由器120還可以為用戶邊緣路由器或區(qū)域邊緣路由器 ABR��。采用本發(fā)明實施例的技術(shù)方案�,路由器130通過接收來自路由器120 的內(nèi)部網(wǎng)關(guān)協(xié)議IGP才艮文獲取路由器120的地址標識,并才艮據(jù)該地址標識���, 生成以該地址標識為目的地址的ACL禁止表項����,達到了動態(tài)配置ACL以阻止 偽造報文的技術(shù)效果�。
本實施例中的內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol, IGP)包括開放 最短路徑優(yōu)先(Open Short Path First, OSPF)協(xié)議和中間系統(tǒng)到中間系統(tǒng) 3各由選4奪(Intermediate System to Intermediate System, IS畫IS)十辦i義。
8上述實施例中��,當內(nèi)部網(wǎng)關(guān)協(xié)議為OSPF協(xié)議時�,路由器110、路由器 120和路由器130位于同一OSPF區(qū)域之中����。 舉例來說,上述實施例中����,201可以包括
路由器130接收來自路由器120的第一類LSA(鏈路狀態(tài)通告丄ink State Advertisement )報文,該第一類LSA報文的Link state ID字段攜帶路由器120 的IP地址�����。
上述實施例中��,202可以包括
路由器130獲取201中接收的第一類LSA報文攜帶的路由器120的IP 地址�����。
上述實施例中�,203可以包括
根據(jù)202中獲取的IP地址,生成訪問控制列表ACL禁止表項���,包括
根據(jù)路由器120的IP地址���,生成以路由器120的IP地址為目的IP地址 的禁止表項��,以阻止來自用戶設(shè)備140的以路由器120的IP地址為目的IP地 址的數(shù)據(jù)報文���;例如當獲取路由器120的IP地址為10.1.1.3時,生成以 10.1.1.3為目的IP地址的ACL禁止表項��,當路由器130轉(zhuǎn)發(fā)來自用戶設(shè)備140 的數(shù)據(jù)報文時���,禁止轉(zhuǎn)發(fā)以10.1.1.3為目的IP地址的報文����。
采用本發(fā)明實施例的技術(shù)方案����,路由器130通過OSPF協(xié)議報文獲取路 由器120的IP地址,根據(jù)該IP地址�,生成訪問控制列表ACL禁止表項,達 到了動態(tài)配置ACL以阻止來自用戶設(shè)備140的偽造報文的技術(shù)效果���。
上述實施例中���,當內(nèi)部網(wǎng)關(guān)協(xié)議為IS-IS協(xié)議時����,路由器110����、路由器120 和路由器130位于同一 IS-IS區(qū)域之中��。
上述實施例中��,201可以包括
當路由器130為Level-1路由器(層-1路由器)�,且路由器120為Level-1 路由器或Level-1-2路由器(層-1-2路由器)時,接收來自路由器120的Level-1 LSP (層-1鏈路狀態(tài)數(shù)據(jù)單元�����,Level-1 Link State PDU )��,該Level-1 LSP字
段攜帶路由器120的IP地址��,舉例來說����,可以通過Type (類型)字段的數(shù)值 為132的TLV (類型,長度�,數(shù)值)格式字段攜帶路由器120的IP地址; 或當路由器130為Level-2路由器(層-2路由器),且路由器120為Level-2 路由器或Level-1-2路由器時����,接收來自路由器120的Level-2 LSP (層-2鏈 路狀態(tài)數(shù)據(jù)單元,Level-2 Link State PDU )��,該Level-2 LSP字段攜帶路由器 120的IP地址���,舉例來說����,可以通過Type數(shù)值字段的數(shù)值為132的TLV格 式字段攜帶路由器120的IP地址��;
上述實施例中�,202可以包括
路由器130獲取201中接收的Level-1 LSP或Level-2 LSP中攜帶的路由 器120的IP地址。
上述實施例中�,203可以包括
根據(jù)202中獲耳又的IP地址,生成訪問控制列表ACL禁止表項�,具體為 根據(jù)路由器120的IP地址,生成以路由器120的IP地址為目的IP地址 的禁止表項以阻止來自用戶設(shè)備140的以路由器120的IP地址為目的IP地址 的數(shù)據(jù)報文��。采用本發(fā)明實施例的技術(shù)方案���,路由器130通過IS-IS協(xié)議報文 獲取路由器120的IP地址�,根據(jù)該IP地址,生成訪問控制列表ACL禁止表 項�����,達到了動態(tài)配置ACL以阻止來自用戶設(shè)備140的偽造報文的技術(shù)效果���。
上述實施例是以圖1所示的網(wǎng)絡(luò)拓樸為例進行說明的���,但并不限于圖1所 示的網(wǎng)絡(luò)拓樸��。
圖3是本發(fā)明另一個實施例中多區(qū)域網(wǎng)絡(luò)拓樸的簡化示意圖���,包括路由器 310���、路由器320、路由器330�����、路由器340�、路由器350、路由器360和用 戶設(shè)備311���。其中����,路由器310和路由器320位于第一區(qū)域,路由器340位 于第二區(qū)域�,路由器360位于第三區(qū)域,路由器310為用戶邊續(xù)J洛由器���。當 如圖所示的區(qū)域為OSPF區(qū)域時��,路由器330和路由器350為區(qū)域邊緣路由 器ABR以連通兩個不同的OSPF區(qū)域����;當如圖所示的區(qū)域為IS-IS區(qū)域時�, 第二區(qū)域為骨干區(qū)域、第一區(qū)域和第三區(qū)域為非骨干區(qū)域�����,路由器330和路由 器350為Level-1-2路由器以連通兩個骨干區(qū)域和非骨干區(qū)域����。
本實施例中,路由器310的操作與上一個實施例中路由器130的操作相同���。
下面以路由器330為例���,對另一種生成訪問控制列表的方法進行具體介紹����,如圖4所示��,本技術(shù)方案的流程如下
401�、 接收內(nèi)部網(wǎng)關(guān)協(xié)議報文,包括當如圖3所示的區(qū)域為OSPF區(qū)域時��,
路由器330接收來自相鄰區(qū)域的第一類LSA報文�����,該第一類LSA報文的Link state ID字段攜帶路由器320或路由器340的IP地址�����,其中���,相鄰區(qū)域為第一區(qū)域和第二區(qū)域;
或
路由器330接收來自不相鄰區(qū)域的第三類LSA報文或第四類LSA報文���,該報文的Link state ID字段攜帶路由器360的IP地址��,其中�,不相鄰區(qū)域為第三區(qū)域。
當如圖所示的區(qū)域為IS-IS區(qū)域時��,
路由器330接收來自相鄰的非骨干區(qū)域的Level-1 LSP�,該Level畫1 LSP攜帶路由器320的IP地址,其中�����,第一區(qū)域為與路由器330相鄰的非骨干區(qū)域����;
或
路由器330接收來自骨干區(qū)域(第二區(qū)域)的Level-2 LSP,該Level-2 LSP攜帶骨干區(qū)域內(nèi)的路由器(路由器340)的IP地址或不相鄰的非骨干區(qū)域內(nèi)的路由器(路由器350或路由器360)的IP地址,第三區(qū)域為與路由器330不相鄰的非骨干區(qū)域��。
402���、 獲取地址標識�,包括路由器330根據(jù)401中接收的IGP報文獲取IP地址����;
403���、 生成訪問控制列表禁止表項,包括
才艮據(jù)402中獲取的IP地址�,生成以該IP地址為目的地址的ACL禁止表項,以阻止來自來自路由器320的數(shù)據(jù)報文�,該數(shù)據(jù)報文的目的IP地址為禁止表項中的IP地址。例如當獲取到路由器360的IP地址為10.1.1.3時�����,生成以10.1.1.3為目的IP地址的ACL禁止表項���,當路由器330轉(zhuǎn)發(fā)來自路由器320的數(shù)據(jù)報文時�,禁止轉(zhuǎn)發(fā)以10.1.1.3為目的IP地址的報文���。
采用本發(fā)明實施例的技術(shù)方案,路由器330通過OSPF協(xié)議報文或IS-IS
ii協(xié)議報文獲取網(wǎng)絡(luò)側(cè)路由器的IP地址�����,根據(jù)該IP地址���,生成訪問控制列表ACL禁止表項��,達到了動態(tài)配置ACL以阻止偽造報文的技術(shù)效果�。404、生成訪問控制列表允許表項���,包括
根據(jù)402中獲取的IP地址���,生成以該IP地址為源地址的ACL允許表項,以允許不同區(qū)域的路由器之間的相互訪問��,例如當獲取到路由器360的IP地址為10.1.1.3時�,生成以10.1.1.3為源IP地址的ACL允許表項,當路由器330轉(zhuǎn)發(fā)來自路由器340的數(shù)據(jù)報文時�,允許轉(zhuǎn)發(fā)以10丄1.3為源IP地址的報文,使得第一區(qū)域中的路由器可以接收到第三區(qū)域中的路由器360發(fā)送的數(shù)據(jù)報文�,實現(xiàn)了路由器間的相互訪問。
本流程操作結(jié)束�����。
上述實施例中��,404的作用是為了實現(xiàn)路由器間的相互訪問�����,如果只需要實現(xiàn)動態(tài)配置ACL以阻止偽造才艮文,404是可以省略的����。
上述實施例中,還提供了一種路由設(shè)備��,如圖5所示���,該路由設(shè)備為邊界路由器�,其中���,該路由設(shè)備包括
接收模塊510,接收IGP報文�,該IGP報文來自第一路由器�����,攜帶第一;洛由器的地址標識����;
地址獲取模塊520��,用于獲取接收模塊510接收到的IGP報文中攜帶的地址標識;
列表生成模塊530��,用于根據(jù)地址獲取模塊520獲取的地址標識����,生成以地址標識為目的地址的ACL禁止表項。
其中����,當路由設(shè)備為ABR或Level-1-2路由器時,列表生成模塊530還用于根據(jù)地址獲取模塊520獲取的地址標識��,生成以地址標識為源地址的ACL允許表項���。
其中����,當路由設(shè)備為ABR或Level-1-2路由器時�,列表生成模塊530還用于根據(jù)地址獲取才莫塊520獲取的地址標識,生成以地址標識為源地址的ACL允許表項���。
上述實施例中��,還提供了一種路由系統(tǒng)����,該系統(tǒng)包括至少兩個路由設(shè)備,分別為第一路由設(shè)備和第二路由設(shè)備��,其中��,第一路由設(shè)備為邊界路由器�����,第二路由設(shè)備發(fā)送IGP報文��;
第一路由設(shè)備接收來自第二路由設(shè)備的IGP報文���,IGP報文攜帶第二路由設(shè)備的地址標識����,獲取第二路由設(shè)備的地址標識����,根據(jù)地址標識,生成以地址標識為目的地址的ACL禁止表項����。
其中�����,當?shù)谝宦酚稍O(shè)備330和第二路由設(shè)備360位于不同區(qū)域,且第一路由設(shè)備330為ABR或Level-1-2路由器時��,第一路由設(shè)備330還用于根據(jù)地址標識�����,生成以地址標識為源地址的ACL允許表項��。
其中���,當?shù)谝宦酚稍O(shè)備130與第二路由設(shè)備120位于同一區(qū)域時�,第一路由設(shè)備130接收來自第二路由設(shè)備120的IGP報文�����,具體包括
當IGP協(xié)議為OSPF協(xié)議時���,第一路由設(shè)備130接收來自第二路由設(shè)備120的IGP報文為第一類LSA報文����;或
當IGP協(xié)議為IS-IS協(xié)議,且第一路由設(shè)備130和第二路由設(shè)備140為Level-1路由器時�,第一路由設(shè)備130接收來自第二路由設(shè)備120的IGP報文為Level-1 LSP;或當?shù)谝宦酚稍O(shè)備130和第二路由設(shè)備120為Level-2路由器時,第一路由設(shè)備130接收來自第二路由設(shè)備120的IGP報文為Level-2LSP�。
其中,當?shù)谝宦酚稍O(shè)備330與第二路由設(shè)備360位于不同區(qū)域時��,第一路由設(shè)備330接收來自第二路由設(shè)備360的IGP報文�����,包括
當IGP協(xié)議為OSPF協(xié)議時�����,且第一路由設(shè)備330為區(qū)域邊緣路由器ABR�����,且第二路由設(shè)備360位于相鄰區(qū)域時��,第一路由設(shè)備330接收來自第二路由設(shè)備360的IGP報文為第一類LSA報文���;或當?shù)诙酚稍O(shè)備360位于不相鄰區(qū)域時�,第一路由設(shè)備330接收來自第二路由設(shè)備360的IGP報文為第三類LSA報文或第四類LSA報文����;或
當IGP協(xié)議為IS-IS協(xié)議時���,且第一路由設(shè)備330為Level-1-2路由器,且第二路由設(shè)備360為Level-1路由器時�,第一路由設(shè)備330接收來自第二路由設(shè)備360的IGP報文為Level-1 LSP;或當?shù)诙酚稍O(shè)備360為Level-2路由器時����,第一路由設(shè)備330接收來自第二路由設(shè)備360的IGP報文為Level-2LSP。通過以上的實施方式的描述����,本領(lǐng)域的普通技術(shù)人員可以清楚地了解到本 發(fā)明實施例可借助軟件加必需的通用硬件平臺的方式來實現(xiàn),當然也可以通過 硬件來實現(xiàn)�����?;谶@樣的理解,本發(fā)明實施例的技術(shù)方案可以以軟件產(chǎn)品的形
式體現(xiàn)出來�,該計算機軟件產(chǎn)品可以存儲在存儲介質(zhì)中,如ROM/RAM�、》茲碟、 光盤等����,包括若干指令用以使得一臺計算機設(shè)備��、或者服務(wù)器�、或者其他路由
以上僅為本發(fā)明的較佳實施例��,并非用于限定本發(fā)明的保護范圍����。凡在本 發(fā)明的精神和原則之內(nèi),所作的任何修改��、等同替換���、改進等���,均應(yīng)包含在本 發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1�����、一種生成訪問控制列表的方法�,其特征在于,網(wǎng)絡(luò)包括至少兩個路由器,分別為第一路由器(130��,330�,350)和第二路由器(120,320����,360),所述第一路由器(130�,330,350)和第二路由器(120����,320�,360)之間運行內(nèi)部網(wǎng)關(guān)協(xié)議IGP,其中���,所述第一路由器(130����,330�,350)為邊界路由器,所述第一路由器(130����,330��,350)接收來自所述第二路由器(120�����,320�,360)的IGP報文��,所述IGP報文攜帶所述第二路由器的地址標識�;獲取所述第二路由器(120,320��,360)的所述地址標識����;根據(jù)所述地址標識,生成以所述地址標識為目的地址的訪問控制列表禁止表項�����。
2���、 根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述方法還包括���, 當所述IGP為開放最短路徑優(yōu)先OSPF協(xié)議����,且所述第一路由器(330,350)為區(qū)域邊緣路由器ABR����,或者當所述IGP為中間系統(tǒng)到中間系統(tǒng)IS-IS 協(xié)議,且所述第一路由器(330, 350)為層-1-2 Level-1-2路由器時��,所述第 一路由器根據(jù)所述地址標識���,生成以所述地址標識為源地址的允許表項。
3��、 根據(jù)權(quán)利要求1至2中任意一項所述的方法���,其特征在于��,當所述第 一路由器(130)與所述第二路由器(120)位于同一區(qū)域時�����,所述第一路由 器(130)接收來自所述第二路由器(120)的所述IGP報文�����,包括當所述IGP為開放最短路徑優(yōu)先OSPF協(xié)議時����,所述第一路由器(130) 接收來自所述第二路由器(120)的第一類鏈路狀態(tài)通告LSA報文;或當所述IGP為中間系統(tǒng)到中間系統(tǒng)IS-IS協(xié)議����,且所述第一路由器(130) 和所述第二路由器(120)為層-1 Level-1路由器或Level-1-2路由器時,所述 第一路由器(130)接收來自所述第二路由器(120)的層-1鏈路狀態(tài)數(shù)據(jù)單 元Level-1 LSP;或當所述第一路由器(130)和所述第二路由器(120)為層 -2 Level-2路由器或Level-1-2路由器時�����,所述第一路由器(130)接收來自所 述第二路由器(120)的層-2鏈路狀態(tài)數(shù)據(jù)單元Level-2 LSP�。
4、 根據(jù)權(quán)利要求3所述的方法�,其特征在于,當所述第一路由器(330�����,350)與所述第二路由器(320, 360)位于不同區(qū)域時����,所述第一路由器(330, 350)接收來自所述第二路由器(320���, 360)的所述IGP報文��,包括當所述IGP為OSPF協(xié)議����,且所述第一路由器(330, 350)為ABR����,且 所述第二路由器(320, 360)位于相鄰區(qū)域時,所述第一路由器(330��, 350) 接收來自所述第二路由器(320�����, 360)的第一類LSA報文���;或當所述第二路 由器(320�����, 360)位于不相鄰區(qū)域時���,所述第一路由器(330, 350)接收來 自所述第二路由器(320��, 360)的第三類LSA報文或第四類LSA報文�;或當所述IGP為IS-IS協(xié)議,且所述第一路由器(330,350 )為層1-2 Level-1-2 路由器����,且所述第二路由器(320, 360)為Level-1路由器時,所述第一路由 器(330, 350)接收來自所述第二路由器(320, 360)的Level-1 LSP;或 當所述第二路由器(320, 360)為Level-2路由器時��,所述第一路由器(330��, 350)接收來自所述第二路由器(320, 360)的Level-2 LSP�。
5、 一種路由設(shè)備�,其特征在于,所述路由設(shè)備為邊界路由器�,所述路由 設(shè)備包括接收模塊(510),接收IGP報文,所述IGP報文來自第一路由器����,攜帶 所述第 一路由器的地址標識���;地址獲取模塊(520 ),用于獲取所述接收模塊(510 )接收到的IGP報文 中攜帶的所述地址標識�;列表生成模塊(530),用于根據(jù)所述地址獲取模塊(520)獲取的所述地 址標識,生成以所述地址標識為目的地址的訪問控制列表ACL禁止表項�����。
6�、 根據(jù)權(quán)利要求5所述的路由設(shè)備,其特征在于�����,當所述路由設(shè)備為ABR 或Level-1-2路由器時��,所述列表生成模塊(530)還用于根據(jù)所述地址獲取 模塊(520)獲取的所述地址標識��,生成以所述地址標識為源地址的ACL允許 表項�。
7、 一種路由系統(tǒng)�����,其特征在于�,所述系統(tǒng)包括至少兩個路由設(shè)備,分別 為第一路由設(shè)備(130���, 330, 350)和第二路由設(shè)備(120��, 320, 360)���,其 中,所述第一路由設(shè)備(130���, 330�, 350)為邊界路由器���,所述第二路由設(shè)備(120, 320����, 360)發(fā)送IGP報文�,所述IGP報文攜 帶所述第二路由設(shè)備(120, 320���, 360)的地址標識��;所述第一路由設(shè)備(130, 330�����, 350 )接收來自所述第二路由設(shè)備(120��, 320, 360)的所述IGP報文����,獲取所述第二路由設(shè)備(120, 320, 360)的 所述地址標識�,才艮據(jù)所述地址標識,生成以所述地址標識為目的地址的訪問控 制列表ACL禁止表項����。
8、 根據(jù)權(quán)利要求7所述的系統(tǒng)�����,其特征在于����,當所述第一路由設(shè)備(330, 350)為ABR或Level-1-2路由器時,所述第一路由設(shè)備(330�����, 350)還用于 根據(jù)所述地址標識�,生成以所述地址標識為源地址的ACL允許表項�。
9、 根據(jù)權(quán)利要求7至8中任意一項所述的系統(tǒng)��,其特征在于�����,當所述第 一路由設(shè)備(130)與所述第二路由設(shè)備(120)位于同一區(qū)域時���,所述第一 路由設(shè)備(130)接收來自所述第二路由設(shè)備(120)的所述IGP報文��,包括當所述IGP協(xié)議為OSPF協(xié)議時�,所述第一路由設(shè)備(130)接收來自所 述第二路由設(shè)備(120)的所述IGP報文為第一類LSA報文���;或當所述IGP協(xié)議為IS-IS協(xié)議����,且所述第一路由設(shè)備(130)和所述第二 路由設(shè)備(140)為Level-1路由器時,所述第一路由設(shè)備(130)接收來自所 述第二路由設(shè)備(120)的所述IGP報文為Level-1 LSP;或當所述第一路由 設(shè)備(130)和所述第二路由設(shè)備(120)為Level-2路由器時�,所述第一路由 設(shè)備(130 )接收來自所述第二路由設(shè)備(120 )的所述IGP報文為Level-2 LSP。
10���、 根據(jù)權(quán)利要求9所述的系統(tǒng)��,其特征在于��,當所述第一路由設(shè)備(330�, 350)與所述第二路由設(shè)備(320, 360)位于不同區(qū)域時��,所述第一路由設(shè)備(330����, 350)接收來自所述第二路由設(shè)備(320, 360)的所述IGP報文�,包 括當所述IGP協(xié)議為OSPF協(xié)議時,且所述第一路由設(shè)備(330, 350)為 區(qū)域邊緣路由器ABR����,且所述第二路由設(shè)備(320, 360)位于相鄰區(qū)域時, 所述第一路由設(shè)備(330����, 350)接收來自所述第二路由設(shè)備(320, 360)的 所述IGP報文為第一類LSA報文;或當所述第二路由設(shè)備(320, 360)位于 不相鄰區(qū)域時����,所述第一路由設(shè)備(330, 350)接收來自所述第二路由設(shè)備(320����, 360)的所述IGP報文為第三類LSA報文或第四類LSA報文�;或當所述IGP協(xié)議為IS-IS協(xié)議時,且所述第一路由設(shè)備(330���, 350)為 Level-1-2路由器�����,且所述第二路由設(shè)備(320, 360)為Level-1路由器時����, 所述第一路由設(shè)備(330���, 350)接收來自所述第二路由設(shè)備(320, 360)的 所述IGP報文為Level-1 LSP;或當所述第二路由設(shè)備(320, 360)為Level-2 路由器時�,所述第一路由設(shè)備(330���, 350)接收來自所述第二路由設(shè)備(320, 360)的所述IGP報文為Level-2 LSP��。
全文摘要
本發(fā)明涉及通信領(lǐng)域���,公開了一種生成訪問控制列表的方法及路由設(shè)備��,所述第一路由器(130��,330��,350)接收來自所述第二路由器(120���,320,360)的內(nèi)部網(wǎng)關(guān)協(xié)議IGP報文�,所述內(nèi)部網(wǎng)關(guān)協(xié)議IGP報文攜帶所述第二路由器的地址標識,獲取所述第二路由器(120�����,320�����,360)的所述地址標識����,根據(jù)所述地址標識����,生成以所述地址標識為目的地址的訪問控制列表禁止表項��。利用本發(fā)明公開的方法���,達到了動態(tài)配置ACL以阻止偽造報文的技術(shù)效果��。
文檔編號H04L12/56GK101667965SQ20091011072
公開日2010年3月10日 申請日期2009年9月29日 優(yōu)先權(quán)日2009年9月29日
發(fā)明者張瀟瀟 申請人:華為技術(shù)有限公司