[发明专利]一种上行报文的处理方法、装置和系统

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种上行报文的处理方法、装置和系统。 

背景技术

目前的Internet(因特网)是由不同的AS(Autonomous System，自治系统)相互连接构成的大网络，这些AS可能分别隶属于不同的因特网服务提供商(Internet Service Provider，ISP)，其中BGP(Border Gateway Protocol，边界网关协议)是一种在AS(Autonomous System，自治系统)之间交换网络层可达信息的路由选择协议，当一个AS接入Internet时，处于该AS边界的BGP路由器会向与该AS通过BGP协议直接互联的其他AS边界的BGP路由器进行路由信息的交换，以此作为AS间进行路由选择的依据。而在互连网的组网中，并不是每两个AS之间都通过BGP协议直接互联，这里的通过BGP协议直接互联可以理解为不仅两个AS之间建立有物理连接，而且两个AS的各自BGP路由器之间建立有TCP连接，并交换消息以确认BGP的连接参数，在BGP连接建立起来以后交换BGP路由表，以AS之间的实线来表示AS之间通过BGP协议直接互联，如图1所示，AS1与AS2之间没有通过BGP协议直接互联，AS1通过AS1的父AS即AS0连接Internet，通过AS0与AS1、AS2之间进行数据通信。 

发明人在实现本发明的过程中，发现：当AS2中的用户IP A的目的用户IPB属于AS3，用户IP A可以通过与AS1中的某个专线用户之间建立连接，并将AS2发出的流量通过AS1传输给AS0，以实现与AS3进行通信，用户IPA避免了直接与AS0的数据通信，从而导致了AS1向父AS0传输了本不应穿越AS1的网络报文，给AS1的运营商带来了网络运营管理的难度，也给网络带来了不可控因素。 

发明内容

本发明实施例提供一种上行报文的处理方法、非法穿越检测设备以及通信系统，以识别非法穿越当前AS的网络报文，从而便于网络的运营管理。 

本发明实施例提供如下技术方案： 

一种上行报文的处理方法，应用于包括第一自治系统AS的通信系统，包括： 

获得上行报文，所述上行报文中携带有源IP地址； 

从所述上行报文中解析出该源IP地址； 

根据同步来的路由信息，获得与作为目的地址的该源IP地址匹配的至少一条路由记录，所述路由记录包含AS_PATH属性，其中，所述AS_PATH属性是路由到达目的地所应该通过的全路径； 

当所述路由记录中至少一条的AS_PATH属性包含第一AS的父AS标识时，确定该上行报文非法穿越所述第一AS。 

一种非法穿越检测设备，应用于包括第一自治系统AS的通信系统，包括： 

报文获得单元，用于获得上行报文，所述上行报文中携带有源IP地址； 

非法穿越检测单元，用于从所述上行报文中解析出该源IP地址，并根据同步来的路由信息，获得与作为目的地址的所述源IP地址匹配的至少一条路由记录，在所述路由记录中至少一条的AS_PATH属性包含第一AS的父AS标识时，确定该上行报文非法穿越所述第一AS，其中，所述AS_PATH属性是路由到达目的地所应该通过的全路径。 

以及，一种通信系统，所述系统至少包括：未通过边界网关协议互连的第一AS和第二AS，以及所述第一AS的父AS，所述第一AS与父AS的互联接口处部署有直路设备，其中： 

第一AS的边界路由器，用于接收来自第二AS的上行报文，根据维护的路由信息和所述上行报文中携带的目的IP地址，将所述上行报文向对应的下一跳地址所指向的父AS发送； 

所述直路设备，用于截获所述上行报文，并检查所述上行报文中携带的源IP地址是否处于所获得的非法穿越网段内，在该源IP地址处于该非法穿越网段内时，丢弃该上行报文。 

本发明实施例中，通过判断接收的上行报文中的源IP地址是否处于非法穿越网段内，来识别该上行报文是否非法穿越第一AS，或者根据路由信息获得与上行报文中的源IP地址匹配的至少一条路由记录，当所述路由记录中至少一条的AS_PATH属性包含第一AS的父AS标识时，确定该上行报文非法穿越所述第一AS，以实现识别非法穿越所述第一AS的网络报文，从而便于网络的运营管理。 

附图说明