[发明专利]用于控制路由泄露的电子设备、方法和介质

说明书

本发明涉及用于控制路由泄露的电子设备、方法和介质。该电子设备包括：存储器，具有存储在其上的指令；处理器，被配置为执行存储在存储器上的指令以使得电子设备执行以下操作：在为每个自治系统AS建立外部边界网关协议EBGP邻居时设置邻居关系，所述邻居关系包括上游、对等和客户；对从EBGP邻居接收到的路由，根据邻居关系及该路由携带的原Neighbor‑Property属性值，重新标记新Neighbor‑Property属性值并在发布时携带，包括将从上游邻居接收到的路由均标识新Neighbor‑Property属性值为上游，将从对等邻居接收到的路由均标识新Neighbor‑Property属性值为对等，并将从客户邻居接收到的路由保持原Neighbor‑Property属性值不变，所述Neighbor‑Property属性值包括上游、对等、客户和自有路由；及根据邻居关系及该路由重新标识的新Neighbor‑Property属性值执行路由控制。

技术领域

本发明属于数据通信领域，特别涉及用于控制路由泄露的电子设备、方法和介质。

背景技术

根据互联网规则，客户AS向上游/对等AS EBGP邻居(neighbor)发布路由时，只能发布自身或者下游客户的路由，不能发布其他上游/对等邻居的路由，以避免流量穿透小带宽电路，甚至造成安全威胁。

如图1所示，自治系统(AS：Autonomous System)1向上游AS2发布路由时携带了其他上游的路由前缀X，AS2在没有任何控制策略的情况下，将该路由前缀X继续向外发布，就引起了路由泄露。

互联网路由泄露事件频发对网络安全造成重大冲击，传统的解决思路是通过分析自治系统(AS：Autonomous System)路径列表AS-PATH属性判别是否发生路由泄露，由于依赖于互联网路由注册路由数据库的准确性、且涉及路由注册对象信息量过于庞大，甚至超出设备处理能力且策略复杂到难以实施，导致实际应用价值较小。

因此，需要一种具有扩展性的控制相邻AS间EBGP路由泄露的方法和设备。

发明内容

鉴于以上技术问题，本发明提出了一种通过扩展边界网关协议(BGP：BorderGateway Protocol)属性来标记相邻AS的路由的类型，从而实现简单而具有扩展性的路由泄露控制方法，本发明扩展的属性用Neighbor-Property标记。

根据本发明的一个方面，提供了一种能够控制路由泄露的电子设备，包括：存储器，具有存储在其上的指令；以及处理器，被配置为执行存储在所述存储器上的指令，以使得所述电子设备执行以下操作：在为每个自治系统AS建立外部边界网关协议EBGP邻居neighbor时设置本设备AS与邻居关系，所述邻居关系包括上游upstream、对等peer和客户customer，缺省为upstream关系；对从EBGP邻居接收到的路由，根据邻居关系及该路由携带的原Neighbor-Property属性值，重新标记新Neighbor-Property属性值并在发布路由时携带，包括将从上游邻居接收到的路由均标识新Neighbor-Property属性值为上游路由，将从对等邻居接收到的路由均标识新Neighbor-Property值为对等路由，将从客户邻居接收到的路由保持原Neighbor-Property属性值不变，其中所述Neighbor-Property属性值包括上游、对等、客户和自有路由；以及根据邻居关系以及该路由重新标识的新Neighbor-Property属性值执行路由控制。

根据一个示例实施例，所述处理器还被配置为执行存储在所述存储器上的指令以使所述电子设备执行以下操作：对于从上游邻居接收到的路由：如果所述路由是起源于所述上游邻居自身的路由，则对所述路由设置高优先级；以及如果所述路由是来自其它AS的路由，则对所述路由设置低优先级。