[发明专利]一种通信设备控制平面保护装置及方法

说明书

技术领域

本发明涉及网络通信技术领域，尤其涉及一种通信设备控制平面保护装置及方法。

背景技术

随着网络通信技术的发展，网络作为基础设施也越来越受到重视，网络的安全问题越来越突出。网络的安全问题包括多个层次，网络设备的安全为其一个重要组成部分。目前主流网络通信设备的系统架构一般都包括数据平面和控制平面。其中，控制平面是通信设备的控制中心，管理整个系统的路由计算、路由更新和故障切换等工作，因此网络通信设备要正常运行，则其控制平面就必须安全稳定。

控制平面的保护，包括多个方面：如设备的安全控制，用户的分级管理，用户认证等设备管理方面的保护；设备的稳定运行，能够针对出现的攻击、风暴采取对应的策略等防攻击方面的保护。

对于如何进行控制平面防攻击方面的保护，在现有技术中没有对应策略及手段。如果在网络设备的控制平面受到大量报文的冲击，消耗设备的CPU资源，导致设备的控制平面出现混乱，从而导致转发平面出现问题，进而影响整个网络的正常工作。

发明内容

本发明提供了一种通信设备控制平面保护装置及方法，可以有效进行控制平面防攻击方面的保护，保证网络的正常工作。

本发明实施例提供的一种通信设备控制平面保护装置，包括配置模块、决策模块、检测模块和执行模块，

配置模块，用于提供用户配置接口，实现检测策略和处理策略的配置，将配置的检测策略和处理策略发送至决策模块；

决策模块，用于根据来自配置模块的检测策略生成检测命令并发送至检测模块；根据来自检测模块的异常检测结果完成决策，并根据来自配置模块的处理策略，生成处理命令并发送至执行模块；

检测模块，根据检测命令对需要上交到控制平面处理的报文进行检测，并将异常检测结果通知到决策模块；

执行模块，根据决策模块的处理命令执行相应的处理，并将执行结果发送至决策模块。

较佳地，所述配置模块配置的检测策略包括：

对来自同一接收接口的需上交到控制平面处理的同一源IP地址和/或同一源MAC地址的报文个数进行检测的检测策略；和/或

对来自同一接收接口的需上交到控制平面处理的报文的不同的源IP地址和/或源MAC地址的个数进行检测的检测策略；和/或

对来自同一接收接口的需上交到控制平面处理的基于特定源IP地址和/或目的IP地址和/或源MAC地址的报文免检测的检测策略。

较佳地，所述配置模块配置的处理策略包括：检测模块上报的异常检测结果为来自同一接收接口的上交到控制平面处理的同一源IP地址和/或源MAC地址的报文数超过设定的阈值时，针对所述源IP地址和/或源MAC配置访问控制列表进行过滤或者限速；

和/或，检测模块上报的异常检测结果为来自同一接收接口的上交到控制平面处理的不同的源IP地址和/或源MAC地址的个数超过限制时，设置关闭该接收接口。

较佳地，所述检测模块包括：

收发单元，用于接收决策模块下发的检测命令；以及将检测器上报的异常检测结果发送至决策模块；

检测器管理单元，用于检测器管理，在收发单元接收到开启检测的检测命令时，查找是否存在该检测命令对应的检测器，如果存在，则利用该检测命令携带的配置参数更新该检测器，如果没有，则根据该检测命令携带的配置参数新建一检测器；在收发单元接收到取消检测的检测命令时，查找对应的检测器，并删除该检测器；

检测器，用于来自同一接收接口的需上交到控制平面处理的报文按免检和/或源MAC地址和/或源IP地址进行检测，将检测结果上报给收发单元。

较佳地，所述检测器包括检测实体链表，所述检测实体链表包括如下检测实体之一或其任意组合：

免检检测实体，用于通过访问控制列表ACL对报文进行源IP地址和/或目的IP地址和/或源MAC地址匹配，如果匹配，则不再检测，直接上交控制平面处理该报文；

源MAC地址检测实体，用于在存储源MAC地址的链表中，查找是否存在报文源MAC地址对应的节点，若是，进行同一源MAC地址的报文个数检查；如果通过该检查，更新该报文源MAC地址对应节点的老化定时器；否则直接进行MAC地址个数检查；如果通过MAC地址个数检查，则在所述链表中新增加该源MAC地址对应的节点，并启动该源MAC地址节点对应的老化定时器；