[发明专利]一种解决网段黑洞路由多节点冲突的网段分组方法及装置

说明书

本发明公开一种解决网段黑洞路由多节点冲突的网段分组方法及装置，其中，该方法包括：构建二叉树模型及节点网段计算方法、路由最长匹配方法和构建多节点冲突网段重分组方法；通过黑洞路由器获取核心路由交换设备路由表数据，对路由网段进行预处理，构建黑洞策略分析校验网段；将黑洞策略下发网段与黑洞策略分析校验网段按路由最长原则进行匹配；若没有匹配，则直接按黑洞策略下发网段下发黑洞策略并校验下发有效性；若匹配多个长度等于或者大于黑洞策略下发网段的冲突网段，则按多节点冲突网段重分组方法对黑洞策略下发网段重新分组并批量下发黑洞策略并校验下发有效性。该方法及装置优化黑洞下发策略，实现网段黑洞策略，提高黑洞策略执行效率。

技术领域

本发明涉及黑洞下发策略领域，尤其是一种解决网段黑洞路由多节点冲突的网段分组方法及装置。

背景技术

网络层面的黑洞策略能力是网络空间安全一道重要防线。随着网络攻击技术的日新月异，IPv6和物联网等信息技术的推广应用，对黑洞能力的处置效率也提出了更高的挑战，要求处理网络地址数量更大、速度更快以及管理更有效。

目前基础网络层面通用黑洞处置方案是架设黑洞路由器，通过黑洞路由器向核心路由交换设备发布32位IPv4或者128位的IPv6黑洞路由，支持单个地址黑洞策略下发，不支持按网段下发黑洞策略；当有按网段下发黑洞策略的需求时，需要将网段拆分。该方案主要有两个问题：

1、拆分网段造成高并发需求，带来性能和处置效率问题；

如果存在有网段地址需要拆分后下发，即24位网段需要拆分成256个32位地址，64位地址拆分完是2的64次方个地址，存在多个网段时数据量将会激增，大量的单地址黑洞策略下发会对系统及网络有较大影响：

(1)软件系统下发并发性能面临挑战；

(2)黑洞路由器会话处置面临挑战；

(3)网络交换设备路由表容量面临挑战；

(4)路由表激增带来网络交换处置性能的问题。

2、当前黑洞处置方案不支持网段下发，因为黑洞策略直接下发网段，如果比用户发布网段短，根据路由最长匹配规则用户网段仍可正常使用，黑洞无效。

3、当存在多个网段与下发网段冲突，将会提高分组复杂度。

发明内容

为解决目前两种方案存在的上述问题，本发明提供一种解决网段黑洞路由多节点冲突的网段分组方法及装置，通过分析发布路由信息与构建网段拆分二叉树模型，对黑洞策略下发网段进行重组下发，优化黑洞下发策略，实现利用网段下发黑洞策略，并保证网段黑洞策略下发的有效性，提高大批量地址黑洞策略的执行效率。

为实现上述目的，本发明采用下述技术方案：

在本发明一实施例中，提出了一种解决网段黑洞路由多节点冲突的网段分组方法，该方法包括：

构建二叉树模型及节点网段计算方法、路由最长匹配方法和构建多节点冲突网段重分组方法；

通过黑洞路由器获取核心路由交换设备路由表数据，对路由网段进行预处理，构建黑洞策略分析校验网段；

将黑洞策略下发网段与黑洞策略分析校验网段按路由最长原则进行匹配；若没有匹配，则直接按黑洞策略下发网段下发黑洞策略并校验下发有效性；若匹配到多个长度等于或者大于黑洞策略下发网段的冲突网段，则按多节点冲突网段重分组方法，对黑洞策略下发网段进行重新分组，构建重新分组后的网段，按重新分组后的网段进行批量下发黑洞策略并校验下发有效性。

进一步地，构建二叉树模型及节点网段计算方法，包括：

从根到子节点遍历为正向网段拆分，从子节点到根遍历为逆向网段汇聚，构建网段二叉树模型；