ES2404048T3 - Procedimiento y aparato para llevar a cabo la transferencia de una ruta de transmisión inversa de dirección única - Google Patents

Procedimiento y aparato para llevar a cabo la transferencia de una ruta de transmisión inversa de dirección única Download PDF

Info

Publication number
ES2404048T3
ES2404048T3 ES08876817T ES08876817T ES2404048T3 ES 2404048 T3 ES2404048 T3 ES 2404048T3 ES 08876817 T ES08876817 T ES 08876817T ES 08876817 T ES08876817 T ES 08876817T ES 2404048 T3 ES2404048 T3 ES 2404048T3
Authority
ES
Spain
Prior art keywords
router
module
message
access
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES08876817T
Other languages
English (en)
Inventor
Peng Sun
Yuping Zhan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Application granted granted Critical
Publication of ES2404048T3 publication Critical patent/ES2404048T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/36Backward learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/741Routing in networks with a plurality of addressing schemes, e.g. with both IPv4 and IPv6
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Procedimiento para realizar transferencia de una ruta de transmisión inversa de usuario único, aplicado en una red IPv6, que comprende un enrutador (3) y un equipo (1) en las instalaciones de un cliente, caracterizado porque la red IPv6 comprende un equipo de acceso (2), en el que el equipo de acceso (2) efectúa búsqueda y obtención de un mensaje de comunicación procedente de un enrutador (3), de manera que el mensaje de comunicación contiene información (S202) de prefijos de dirección; estableciendo el equipo de acceso (2) una tabla de prefijos basada en la información de prefijos de direcciones obtenida (S204); y el equipo de acceso (2) recibe un mensaje de petición de acceso desde el equipo (1) de las instalaciones del cliente, determinando si la dirección IP de origen del mensaje de petición de acceso existe en la tabla de prefijos, y decidiendo si debe transferir el mensaje al enrutador (3) basado en el resultado de la determinación (S206).

Description

Procedimiento y aparato para llevar a cabo la transferencia de una ruta de transmisión inversa de dirección única
SECTOR TÉCNICO
La presente invención se refiere al sector de las comunicaciones, y más particularmente se refiere a un procedimiento y aparato para llevar a cabo la transferencia de una ruta de transmisión inversa de dirección única o usuario único (URPF).
ANTECEDENTES
En una suplantación de red utilizando una dirección de origen, el equipo del atacante (“hacker”) envía un gran número de mensajes de sincronización (SYN) de protocolo de control de transmisión (TCP) con direcciones de origen a un ordenador principal víctima, ocupando, por lo tanto, recursos de sesión de dirección de red (NAT) de una pasarela de seguridad, finalmente ocupando de modo total una tabla de sesión NAT de la pasarela de seguridad y provocando que todos los clientes dentro de una red de área local se vean incapaces de utilizar la red con normalidad.
El URPF es una medida efectiva para aumentar la seguridad de enrutado, y se utiliza principalmente para impedir procesos de ataque de red de dirección de origen. El URPF utiliza el siguiente mecanismo de transferencia del paquete de datos: cuando un enrutador recibe un paquete de datos, se comprueba una tabla de enrutado y determina si el enrutado que devuelve la dirección IP de origen del paquete de datos entra desde un interfaz en el que el paquete de datos ha sido recibido; si es así, el paquete de datos es transferido normalmente; de otro modo, se considera que la dirección IP de origen es una pseudo-dirección, y entonces se descarta el paquete de datos. Un mecanismo de transferencia de enrutado inverso juega un cierto papel en la prevención de ataques llevados a cabo mediante direcciones de origen maliciosas y de negación distribuida de servicio (DDoS).
Por ejemplo, si un enrutador recibe un paquete de datos con una dirección IP de origen DA, pero no hay ruta (es decir, la ruta requerida para la transmisión inversa del paquete de datos) prevista para la dirección IP DA en la tabla de enrutado, entonces el enrutador descartará el paquete de datos. El URPF impide una suplantación SMURF y otros ataques basados en ocultación de dirección IP en un proveedor de servidor de Internet (ISP) (oficina final), de esta manera, la red y los clientes pueden ser protegidos contra intrusiones desde Internet y otros lugares.
Desde la perspectiva de efecto de protección, el equipo es más marginal, el efecto de protección de la red es preferible. Entre tanto, para un equipo marginal, el tráfico de red es relativamente menor y el rendimiento de la transferencia de red se ve poco influenciado cuando la función de protección es activada.
El documento "Tools Available for Securing IPv6 Networks" (In: Ciprian Popoviciu; Eric Levy-Abegnoli; Patrick Grossetete: "Deploying IPv6 Networks", 10 de febrero de 2006 (2006-02-10), Cisco Press, XPOO2646892, ISBN: 978-158705-210-1 Páginas 260-273) da a conocer: que las políticas de seguridad que implementan la verificación de la dirección de origen son importantes en la eliminación de ataques de suplantación (“spoofing”). Estas políticas impiden el suplantación (“spoofing”) de la dirección de origen a nivel de prefijo. Se deberían implementar lo más cerca posible de la situación del elemento no asegurado. Una red de acceso es un escenario típico en el que estas políticas pueden ser aplicadas. El proveedor de servicio que opera la red desea asegurar que sus clientes no intentarán interferir una dirección con un prefijo distinto del suyo propio. La figura 9-7 muestra el caso en el que el ordenador principal A se ve impedido de enviar tráfico utilizando la dirección del ordenador principal B como dirección de origen.
El documento "Unicast Reverse Path Forwarding for IPv6 on the Cisco 120000 Series Internet Router" (1 de enero de 2005 (2005-01-01), páginas 1-18, XP002646905, recuperado de Internet) da a conocer: que la transferencia de ruta de transmisión inversa de dirección o usuario único (Unicast RPF) para la característica IPv6, reduce los problemas provocados por la introducción de direcciones de origen IPv6 malformadas o falsificadas (“spoofed”) en una red al descartar paquetes IPv6 que carecen de dirección de origen IPv6 verificable. Cuando se activan en un interfaz dirigido a cliente (o sub-interfaz) de un procesador de interfaz 5 SPA (10G SIP) con motor 10G de Cisco serie 12000, esta característica filtra el tráfico IPv6 protegiendo una red de un proveedor de servicio y sus clientes.
Por lo tanto, es vital llevar a cabo URPF. No obstante, una red IPv6 actualmente carece de la tecnología para realizar un control de filtro de dirección de origen con un equipo de acceso a un ancho de banda.
RESUMEN
Teniendo en cuenta el problema anterior de que un equipo de acceso carece de tecnología de control de filtro de dirección de origen, la presente invención está destinada a proporcionar un procedimiento y aparato para llevar a cabo URPF.
A efectos de conseguir el objetivo anterior de la presente invención, de acuerdo con un aspecto de la presente invención, se da a conocer un procedimiento para llevar a cabo URPF. El procedimiento es aplicado en una red IPv6, de manera que la red IPv6 comprende un enrutador y un equipo en las instalaciones del cliente, caracterizado porque la red IPv6 comprende, además, un equipo de acceso.
El procedimiento para llevar a cabo URPF, de acuerdo con la presente invención, comprende: el equipo de acceso intenta captar y obtiene un mensaje de comunicación del enrutador, de manera que el mensaje de comunicación contiene información de prefijo de dirección; el equipo de acceso establece una tabla de prefijo basada en la información de prefijo de la dirección obtenida; y el equipo de acceso recibe un mensaje de petición de acceso del equipo situado en las instalaciones del cliente, determina si la dirección IP de origen del mensaje de petición de acceso existe en la tabla de prefijo y decide si debe transferir el mensaje al enrutador basándose en el resultado de la determinación.
Preferentemente, bajo las circunstancias de que el mensaje de comunicación que se ha captado y obtenido por el equipo de acceso es enviado periódicamente por el enrutador de acuerdo con un periodo predeterminado, y si el equipo de acceso obtiene un nuevo mensaje de comunicación, el procedimiento puede comprender, además: el equipo de acceso actualiza la información registrada en la tabla de prefijos.
Preferentemente, el procedimiento puede comprender además: dejar en reposo la información registrada en la tabla de prefijos si dicha información registrada en la tabla de prefijos no es actualizada dentro del tiempo predeterminado.
Preferentemente, la decisión de si transferir el mensaje basada en el resultado de determinación, puede ser específicamente: transferir el mensaje al enrutador si el resultado de la determinación es sí, y descartar el mensaje si el resultado de la determinación es no.
De acuerdo con otro aspecto de la presente invención, se prevé además un aparato para realizar URPF, siendo aplicado el aparato en una red IPv6, comprendiendo la red IPv6 un enrutador y un equipo en las instalaciones del cliente, caracterizándose porque la red IPv6 comprende además un equipo de acceso.
El aparato para realizar URPF, de acuerdo con la presente invención, está dispuesto en el equipo de acceso en la red IPv6, comprendiendo dicho aparato: un módulo de búsqueda y obtención, un módulo de establecimiento, un módulo receptor y un módulo de transferencia en el que el módulo de búsqueda y obtención está destinado a la búsqueda y obtención de un mensaje de comunicación desde el enrutador, en el que el mensaje de comunicación contiene información de prefijo de dirección; el módulo de establecimiento está destinado a establecer una tabla de prefijos basada en la información de prefijo de dirección obtenida; el módulo de recepción está destinado a recibir un mensaje de petición de acceso desde las instalaciones del cliente y el módulo de transferencia está destinado a transferir el mensaje al enrutador si la dirección IP de origen del mensaje de petición de acceso existe en la tabla de prefijos establecida por el módulo de establecimiento.
Preferentemente, el aparato antes indicado puede comprender además un módulo de determinación conectado al módulo receptor y al módulo de transferencia, para determinar si la dirección IP de la de origen del mensaje de petición de acceso existe en la tabla de prefijos establecida por el módulo de establecimiento, y si el resultado de la determinación es sí, se puede ejecutar el módulo de transferencia.
Preferentemente, bajo las circunstancias de que el mensaje de comunicación buscado y obtenido por el módulo de búsqueda y obtención es enviado periódicamente por el enrutador, de acuerdo con un periodo predeterminado y si el módulo de búsqueda y obtención capta un nuevo mensaje de comunicación, el aparato puede comprender además un módulo de actualización conectado al módulo de búsqueda y obtención y al módulo de establecimiento para actualizar la información registrada en la tabla de prefijos.
Preferentemente, el aparato puede comprender además un módulo de permanencia en reposo conectado al módulo de establecimiento, para mantener en reposo información registrada que no ha sido actualizada dentro del tiempo predeterminado en la tabla de prefijos.
Preferentemente, el módulo de establecimiento puede transmitir la tabla de prefijos establecida al módulo de transferencia aplicando una lista de control de acceso.
Mediante las soluciones técnicas anteriormente indicadas de la presente invención, un mensaje procedente del equipo de las instalaciones del cliente es procesado basándose en la información de enrutado obtenida de un interfaz enrutador, en comparación con la técnica anterior, la presente invención soluciona el problema de que un equipo de acceso carece de tecnología de control de filtro de dirección de origen, por lo que la presente invención puede filtrar un pseudo-paquete de datos, realizando de esta manera un control de filtrado de dirección en el equipo de acceso.
BREVE DESCRIPCIÓN DE LOS DIBUJOS
Los dibujos adjuntos que se muestran proporcionan una comprensión adicional de la presente invención y constituyen una parte de la presente aplicación. Las realizaciones a título de ejemplo de la presente invención y las ilustraciones de la misma son utilizadas para explicar la presente invención, en vez de constituir una limitación impropia de la misma. En los dibujos adjuntos: La figura 1 es un diagrama esquemático del entorno de aplicación de red, de acuerdo con una realización de la presente invención;
La figura 2 es un diagrama de flujo de un procedimiento para la realización de URPF de acuerdo con una realización de la presente invención;
La figura 3 es un diagrama esquemático del principio de realización, de acuerdo con un procedimiento de realización de la presente invención;
La figura 4 es un diagrama esquemático de una estructura de mensaje, de acuerdo con una realización del procedimiento de la presente invención;
La figura 5 es un diagrama de flujo de un procedimiento para la realización de URPF, de acuerdo con una realización preferente de la presente invención;
La figura 6 es un diagrama de bloques de un aparato para la realización de URPF, de acuerdo con una realización de la presente invención; y
La figura 7 es un diagrama de bloques de un aparato para la realización de URPF, de acuerdo con una realización preferente de la presente invención.
DESCRIPCIÓN DETALLADA DE LA INVENCIÓN
Resumen Funcional
En una red IPv6, un interfaz del enrutador puede emitir periódicamente un mensaje de comunicación que comprende un prefijo de enlace, una unidad de transmisión máxima de enlace (MTU), enrutado de red pública y otra información. Un equipo de acceso de banda ancha puede obtener información de enrutado del interfaz del enrutador por búsqueda en este mensaje, realizando de esta manera, un control de filtro de dirección de origen basado en la red IPv6.
A continuación, se mostrarán realizaciones preferentes de la presente invención, haciendo referencia a los dibujos adjuntos. Se debe comprender que las realizaciones preferentes que se describen tienen solamente efectos ilustrativos y explicativos de la presente invención, no siendo limitativas de la misma. No existen problemas para que las realizaciones y características de dichas realizaciones se puedan combinar entre sí.
La siguiente descripción da a conocer solamente realizaciones a título de ejemplo, pero no limitan el alcance, aplicabilidad o configuración de la materia que se da a conocer. Por el contrario, la siguiente representación de realizaciones a título de ejemplo puede proporcionar la representación de realizaciones a título de ejemplo para conseguir la materia de la invención por parte de los técnicos especializados. Se debe comprender que sin salir del espíritu y alcance que se ha mostrado en las reivindicaciones adjuntas, se pueden introducir diferentes cambios en las funciones y disposiciones de los elementos.
Realizaciones del procedimiento
De acuerdo con las realizaciones de la presente invención, se da a conocer un procedimiento para la realización de URPF.
El procedimiento para la realización de URPF de acuerdo con las realizaciones de la presente invención, es aplicado en una red IPv6. La figura 1 es un diagrama esquemático de un entorno de aplicación de red, de acuerdo con una realización de la presente invención. Tal como se ha mostrado en la figura 1, la red IPv6 comprende, como mínimo, un equipo de acceso 2, un enrutador 3, y un equipo en las instalaciones del cliente (CPE) 1. El equipo de acceso 2 puede estar constituido, sin que ello sea limitativo, por uno de los siguientes equipos: un nodo de acceso multiservicio (MSAN), un multiplexador de acceso a línea de abonado digital (DSLAM) y un terminal de línea óptica (OLT).
La figura 2 es un diagrama de flujo de un procedimiento para la realización de URPF, de acuerdo con una realización de la presente invención. Tal como se ha mostrado en la figura 2, el procedimiento para la realización de URPF, de acuerdo con una realización de la presente invención, comprende, principalmente, las siguientes etapas (S202-S206):
Etapa S202, en la que un equipo de acceso efectúa búsqueda y capta un mensaje de comunicación de un enrutador, en el que el mensaje de comunicación contiene información de prefijo de dirección; Etapa S204, en la que el equipo de acceso establece una tabla de prefijos basada en la información de prefijos de direcciones obtenida; Etapa S206, en la que el equipo de acceso recibe un mensaje de petición de acceso desde un CPE, determina si la dirección IP de origen del mensaje de petición de acceso existe en la tabla de prefijos y decide si debe enviar el mensaje al enrutador basándose en el resultado de la determinación.
A continuación, los detalles del proceso anterior son descritos adicionalmente en la figura 3, que es un diagrama esquemático del principio de realización, de acuerdo con una realización del procedimiento de la presente invención.
(1)
Etapa S202
El interfaz del enrutador emite periódicamente un mensaje de comunicación, el mensaje de comunicación del enrutador comprende la siguiente información: prefijo de enlace, MTU de enlace, enrutador específico, si se debe utilizar la configuración de dirección automática, periodo de validez, etc. El equipo de acceso (o equipo de acceso de banda ancha) efectúa búsqueda en el mensaje de comunicación enviado desde el enrutador y recibe el mensaje de comunicación del enrutador mediante un puerto de enlace superior. Dado que el mensaje de comunicación recibido del enrutador necesita, además, ser transferido al CPE, es necesario copiar el mensaje de comunicación recibido a través del puerto de enlace, de manera que una copia es enviada a la CPU del equipo de acceso para el proceso, y otra copia es transferida normalmente al CPE.
(2)
Etapa S204
El equipo de acceso obtiene la información de prefijo de dirección en el mensaje de comunicación del enrutador, procesa el mensaje de acuerdo con el formato del mensaje, tal como se ha mostrado en la figura 4, establece automáticamente una tabla de prefijos, tal como se ha mostrado en la tabla 1, basada en la información de prefijos de direcciones y luego rellena la información de prefijo de direcciones en la siguiente tabla de prefijos.
Tabla 1
La tabla de prefijos generada automáticamente es descargada a un plano de transferencia a través de una lista de control de acceso (ACL). La ACL es una ACL global, requiriéndose que todos los datos de la línea de las instalaciones del cliente sean procesados a través de la ACL antes de ser transferidos.
En general, la ACL de control de prefijos generada puede adoptar la siguiente forma:
Permitir IP que se encuentra en la tabla de prefijos Denegar todo
Se requiere que cada registro en la tabla de prefijos se someta a un periodo de reposo para adaptarse al cambio de dirección del interfaz del enrutador. Un nuevo prefijo del segmento de red IP será emitido después de que el enrutador reconfigure las direcciones. De acuerdo con la etapa anterior, el equipo de acceso puede obtener una nueva dirección IP de manera que la transmisión por el enlace superior de datos de los siguientes segmentos de red IP nuevos es implementada con intermedio del equipo de acceso. Preferentemente, los registros anteriores originales son sometidos a un proceso de reposo a efectos de eliminar los datos sobrantes del sistema.
La permanencia en reposo es llevada a cabo basándose en el siguiente principio: en el supuesto de que un mensaje de comunicación ha llegado al enrutador, si el registro de que el mensaje de comunicación ha llegado al enrutador no ha sido indicado y procesado después de haber llevado a cabo su regeneración tres veces, se considera que este registro ha sido borrado en el interfaz del enrutador.
El proceso anterior puede no solamente someter a reposo el registro, sino que puede impedir las circunstancias en las que no se pueden enviar mensajes de datos o la emisión a tiempo de mensajes se cambia debido a un fallo temporal del enrutador, resultando de ello que el equipo de acceso borra por error un registro válido.
(3) Etapa S206
El equipo de acceso recibe un mensaje de petición de acceso desde un CPE. Para cualquier mensaje recibido se requiere, en primer lugar, consultar la tabla de prefijos; solamente los mensajes de datos cuyas direcciones de IP de origen existen en la tabla de prefijos pueden ser transferidos, y los mensajes de datos cuyas direcciones de origen IP no existen en la tabla de prefijos serán descartadas.
De acuerdo con el procedimiento que se ha mostrado en la realización de la presente invención, el mensaje procedente del CPE es procesado basándose en la información de enrutado obtenida del interfaz enrutador, de manera que se puede separar por filtrado un pseudo-paquete de datos y se puede implementar el control de filtro de la dirección en el equipo de acceso.
La figura 5 es un diagrama de flujo de un procedimiento para la realización de URPF, de acuerdo con una realización preferente de la presente invención. Tal como se ha mostrado en la figura 5, el procedimiento para realizar URPF de acuerdo con una realización preferente de la presente invención comprende, principalmente, las siguientes etapas.
Etapa S502, el enrutador emite periódicamente un mensaje de comunicación, en el que el mensaje de comunicación comprende un prefijo de enlace, un enlace MTU, un enrutado de red pública, y otra información.
Etapa S504, después de recibir el mensaje de comunicación, el DSLAM lo envía al CPE, reproduce una copia a la CPU y genera una tabla de prefijos basándose en la información de prefijos de enlaces en el mensaje de comunicación.
Las etapas S502 y S504 corresponden a las etapas S202 y S204 de la figura 2.
Etapa S506, el DSLAM efectúa la búsqueda en el mensaje de comunicación y obtiene información de enrutado en un enlace.
Etapa S508, el CPE envía un mensaje de petición de búsqueda en Internet (“surfing”) al DSLAM, si la dirección IP de origen del mensaje del CPE existe en el segmento de la red de la tabla de prefijos, entonces este mensaje es transferido.
Etapa S510, si la dirección IP de origen del mensaje de petición del CPE no existe en el segmento de red de la tabla de prefijos, entonces este mensaje es descartado y bloqueado.
Las etapas S506-S510 corresponden a las etapas S206 de la figura 2.
De acuerdo con el procedimiento anterior representado en las realizaciones de la presente invención, el DSLAM puede separar por filtrado un pseudo-paquete de datos procedente del CPE basado en un mensaje de comunicación emitido desde el enrutador, que impide que los mensajes perjudiciales entren en la red, asegurando de esta manera la seguridad de la red.
Realizaciones del Aparato
De acuerdo con realizaciones de la presente invención, se da a conocer un aparato para la realización de URPF.
La figura 6 es un diagrama de bloques de un aparato para realizar URPF, de acuerdo con una realización de la presente invención, y la figura 7 es un diagrama de bloques de un aparato para realizar URPF de acuerdo con una realización preferente de la presente invención.
El aparato para realizar URPF de acuerdo con realizaciones de la presente invención, se puede aplicar en una red IPv6, comprendiendo la red IPv6, como mínimo, un equipo de acceso, un enrutador y un equipo en las instalaciones del cliente. Durante un proceso de implementación específico, el aparato antes mencionado para la realización de URPF puede ser dispuesto en el equipo de acceso o puede ser dispuesto separadamente. Tal como se ha mostrado en la figura 6, el aparato comprende un módulo 10 para efectuar búsqueda y obtención, un módulo de establecimiento 20, un módulo receptor 30, y un módulo de transferencia 40, de manera que el módulo 10 de búsqueda y obtención está destinado a la búsqueda y obtención de un mensaje de comunicación procedente del enrutador, de manera que el mensaje de comunicación contiene información de prefijos de dirección; el módulo de establecimiento 20, conectado al módulo 10 de búsqueda y obtención, está destinado a establecer una tabla de prefijos basada en la información de prefijos de dirección obtenida; el módulo receptor 30, conectado al módulo de establecimiento 20, está destinado a recibir un mensaje de petición de acceso desde el equipo de las instalaciones del cliente, y el módulo de transferencia 40, conectado al módulo receptor 30, está destinado a la transferencia del mensaje al enrutador bajo la condición de que en la dirección IP de origen del mensaje de petición de acceso exista en la tabla de prefijos establecida por el módulo de establecimiento. Preferentemente, el módulo de establecimiento 20 transmite la tabla de prefijos establecida al módulo de transferencia 40 aplicando un ACL.
Preferentemente, tal como se ha mostrado en la figura 7, el aparato puede comprender además un módulo de determinación 50 conectado al módulo de recepción 30 y al módulo de transferencia 40 respectivamente, para determinar si la dirección IP de origen de un mensaje de petición de acceso existe en una tabla de prefijos establecida por el módulo de establecimiento, y llamando o activando el módulo de transferencia 40 si el resultado de la determinación es si.
Tal como se ha mostrado en la figura 7, preferentemente, el aparato puede comprender, además, un módulo de actualización 60 conectado al módulo 10 de búsqueda y obtención, y al módulo de establecimiento 20, respectivamente, para actualizar la información registrada en una tabla de prefijos bajo las circunstancias que un mensaje de comunicación buscado y obtenido por el módulo de búsqueda y obtención 10 es enviado por el enrutador periódicamente, de acuerdo con un periodo predeterminado y, si el módulo 10 de búsqueda y obtención obtiene un nuevo mensaje de comunicación.
Preferentemente, el aparato puede comprender, además, un módulo de reposo 70 conectado al módulo de establecimiento 20 para llevar a cabo un proceso de reposo a la información registrada que no ha sido actualizada dentro de un tiempo predeterminado en una tabla de prefijos.
Como resumen, con la solución técnica anterior prevista en las realizaciones de la presente invención, un pseudopaquete de datos enviado desde un cliente puede ser separado por filtrado, por lo que se puede garantizar la seguridad de la red, y en la solución técnica, de acuerdo con las realizaciones de la presente invención, el filtrado de la dirección no requiere configuración manual, y una tabla de filtrado de direcciones puede ser regenerada dinámicamente a través de un proceso automático y, además, la solución técnica prevista en las realizaciones de la presente invención no afecta a la capacidad de transferencia de un dispositivo existente y no añade carga adicional.
Evidentemente, los técnicos en la materia deben comprender que los módulos o etapas de la presente invención pueden ser implementados por un aparato ordenador universal; pueden estar integrados en un único aparato ordenador o distribuidos en una red que comprende una serie de aparatos ordenadores; de manera alternativa, pueden ser implementados con códigos de programa ejecutables por un aparato ordenador; de este modo, pueden ser almacenados en un aparato de almacenamiento y ejecutados después por un aparato ordenador; o pueden ser realizados en módulos de circuito integrado respectivos, o una serie de módulos o etapas de los mismos pueden ser realizados en un único módulo de circuito integrado. Por lo tanto, la presente invención no está limitada a ninguna combinación particular de hardware y software.
Lo anteriormente descrito son solamente realizaciones preferentes de la presente invención, que no son limitativas de la misma. Para los técnicos en la materia, la presente invención puede adoptar diferentes cambios y alteraciones. Cualquier modificación, sustitución equivalente y mejora dentro del espíritu y principios de la presente invención, se deben incluir en el ámbito de la protección de la misma.

Claims (9)

  1. REIVINDICACIONES
    1.
    Procedimiento para realizar transferencia de una ruta de transmisión inversa de usuario único, aplicado en una red IPv6, que comprende un enrutador (3) y un equipo (1) en las instalaciones de un cliente, caracterizado porque la red IPv6 comprende un equipo de acceso (2), en el que el equipo de acceso (2) efectúa búsqueda y obtención de un mensaje de comunicación procedente de un enrutador (3), de manera que el mensaje de comunicación contiene información (S202) de prefijos de dirección; estableciendo el equipo de acceso (2) una tabla de prefijos basada en la información de prefijos de direcciones obtenida (S204); y el equipo de acceso (2) recibe un mensaje de petición de acceso desde el equipo (1) de las instalaciones del cliente, determinando si la dirección IP de origen del mensaje de petición de acceso existe en la tabla de prefijos, y decidiendo si debe transferir el mensaje al enrutador (3) basado en el resultado de la determinación (S206).
  2. 2.
    Procedimiento, según la reivindicación 1, en el que bajo las circunstancias de que el mensaje de comunicación buscado y obtenido por el equipo de acceso (2) es enviado periódicamente por el enrutador (3), de acuerdo con un periodo predeterminado, y si el equipo de acceso (2) obtiene un nuevo mensaje de comunicación, el procedimiento comprende, además:
    el equipo de acceso (2) actualiza la información registrada en la tabla de prefijos.
  3. 3.
    Procedimiento, según la reivindicación 1, que comprende, además:
    mantener en reposo la información registrada en la tabla de prefijos si la información registrada en la tabla de prefijos no está actualizada dentro de un periodo de tiempo predeterminado, en el que la expresión, medios de mantenimiento en reposo, significa que en las instalaciones a las que ha llegado el mensaje de comunicación en el enrutador (3), si no se ha indicado registro de que el mensaje de comunicación ha llegado al enrutador (3) y ha sido procesado después de regeneración realizada tres veces, se supone que el registro ha sido borrado en el interfaz del enrutador.
  4. 4.
    Procedimiento, según la reivindicación 1, en el que la decisión de si se debe enviar el mensaje basado en el resultado de la determinación, comprende:
    transferir el mensaje al enrutador (3) si el resultado de la determinación es si; descartar el mensaje si el resultado de la determinación es no.
  5. 5.
    Aparato para llevar a cabo transferencia de ruta de transmisión inversa, aplicado a una red IPv6 que comprende un enrutador (3), y un equipo (1) en las instalaciones de un cliente, caracterizado porque la red IPv6 comprende un equipo de acceso (2), estando dispuesto el aparato en el equipo de acceso (2), y comprendiendo el aparato:
    un módulo de búsqueda y obtención de un mensaje de comunicación procedente del enrutador (3), en el que el mensaje de comunicación contiene información de prefijo de dirección; un módulo de establecimiento (20) para establecer una tabla de prefijo basada en la información de prefijo de dirección obtenida; un módulo receptor (30) para recibir un mensaje de petición de acceso desde el equipo (1) de las instalaciones del cliente; y un módulo de transferencia (40) para transferir el mensaje al enrutador (3) si la dirección IP de origen del mensaje de petición de acceso existe en la tabla de prefijo establecida por el módulo de establecimiento (20).
  6. 6.
    Aparato, según la reivindicación 5, que comprende, además, un módulo de determinación (50) conectado al módulo receptor (30) y al módulo de transferencia (40), para determinar si la dirección IP de origen del mensaje de petición de acceso existe en la tabla de prefijo establecida por el módulo de establecimiento (20); y si el resultado de la determinación es si, se ejecuta la transferencia del módulo (40).
  7. 7.
    Aparato, según la reivindicación 5, que comprende, además, un módulo de actualización (60) conectado al módulo (10) de búsqueda y obtención y al módulo de establecimiento (20), para actualizar la información registrada en la tabla de prefijo.
  8. 8.
    Aparato, según la reivindicación 7, que comprende, además, un módulo de mantenimiento en reposo (70) conectado al módulo de establecimiento (20), para mantener en reposo información registrada que no ha sido actualizada dentro de un periodo de tiempo predeterminado en la tabla de prefijo, en el que el mantenimiento en reposo significa que en las instalaciones a las que ha llegado el mensaje de comunicación en el enrutador (3), si un registro de que el mensaje de comunicación ha llegado al enrutador (3) no ha sido indicado y procesado después de que se ha llevado a cabo regeneración tres veces, se considera que el registro ha sido borrado en el interfaz del enrutador.
  9. 9.
    Aparato, según la reivindicación 8, en el que el módulo de transferencia (40) transfiere el mensaje de acuerdo con una lista de control de acceso bajada de la tabla de prefijo establecida.
ES08876817T 2008-08-29 2008-12-19 Procedimiento y aparato para llevar a cabo la transferencia de una ruta de transmisión inversa de dirección única Active ES2404048T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200810214832 2008-08-29
CN200810214832A CN101662423A (zh) 2008-08-29 2008-08-29 单一地址反向传输路径转发的实现方法及装置
PCT/CN2008/073620 WO2010022574A1 (zh) 2008-08-29 2008-12-19 单一地址反向传输路径转发的实现方法及装置

Publications (1)

Publication Number Publication Date
ES2404048T3 true ES2404048T3 (es) 2013-05-23

Family

ID=41720790

Family Applications (1)

Application Number Title Priority Date Filing Date
ES08876817T Active ES2404048T3 (es) 2008-08-29 2008-12-19 Procedimiento y aparato para llevar a cabo la transferencia de una ruta de transmisión inversa de dirección única

Country Status (6)

Country Link
US (1) US8437354B2 (es)
EP (1) EP2309685B1 (es)
CN (1) CN101662423A (es)
ES (1) ES2404048T3 (es)
PL (1) PL2309685T3 (es)
WO (1) WO2010022574A1 (es)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8131927B2 (en) * 2007-11-30 2012-03-06 Hitachi, Ltd. Fast accessible compressed thin provisioning volume
US8661292B2 (en) 2010-05-14 2014-02-25 Jds Uniphase Corporation Network communication at unaddressed network devices
US8705395B2 (en) 2010-06-15 2014-04-22 Jds Uniphase Corporation Method for time aware inline remote mirroring
CN101931627B (zh) * 2010-08-26 2013-09-18 福建星网锐捷网络有限公司 安全检测方法、装置和网络侧设备
CN102055672B (zh) * 2010-12-27 2013-03-13 北京星网锐捷网络技术有限公司 一种数据流传输路径的控制方法、装置和路由设备
JP5105124B2 (ja) 2011-02-24 2012-12-19 Necアクセステクニカ株式会社 ルータ装置、プレフィクス管理にもとづくパケット制御方法およびプログラム
CN102118319B (zh) * 2011-04-06 2013-09-18 杭州华三通信技术有限公司 流量负载均衡方法和装置
US9397895B2 (en) 2011-12-13 2016-07-19 Viavi Solutions Inc. Method and system for collecting topology information
US9141506B2 (en) 2012-02-15 2015-09-22 Jds Uniphase Corporation Method and system for network monitoring using signature packets
CN108092841B (zh) * 2016-11-22 2022-09-02 中兴通讯股份有限公司 一种网关路由信息的维护方法、装置及系统
CN106878291B (zh) * 2017-01-22 2021-03-23 新华三技术有限公司 一种基于前缀安全表项的报文处理方法及装置
CN112597114B (zh) * 2020-12-23 2023-09-15 跬云(上海)信息科技有限公司 一种基于对象存储的olap预计算引擎优化方法及应用
CN112769694B (zh) * 2021-02-02 2022-05-27 新华三信息安全技术有限公司 一种地址检查方法及装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6804234B1 (en) * 2001-03-16 2004-10-12 Advanced Micro Devices, Inc. External CPU assist when peforming a network address lookup
CN1233135C (zh) * 2002-06-22 2005-12-21 华为技术有限公司 一种动态地址分配中防止ip地址欺骗的方法
US7203175B2 (en) * 2002-08-15 2007-04-10 Cisco Technology, Inc. Arrangement for router attachments between roaming mobile routers in a mobile network
JP2004363913A (ja) 2003-06-04 2004-12-24 Nippon Telegr & Teleph Corp <Ntt> 通信経路解析装置および方法
CN100366026C (zh) 2003-07-06 2008-01-30 华为技术有限公司 一种在路由设备中实现报文转发控制的方法
US7428221B2 (en) * 2004-06-01 2008-09-23 Cisco Technology, Inc. Arrangement for providing network prefix information from attached mobile routers to a clusterhead in a tree-based ad hoc mobile network
CN100566294C (zh) * 2005-09-27 2009-12-02 杭州华三通信技术有限公司 单播反向路径转发方法
CN100479433C (zh) 2005-11-14 2009-04-15 华为技术有限公司 一种在宽带无线接入系统中的基站及实现组播业务的方法
US7593377B2 (en) * 2006-03-29 2009-09-22 Cisco Technology, Inc. Route optimization for a mobile IP network node in a mobile ad hoc network
ATE538581T1 (de) * 2006-06-20 2012-01-15 Ericsson Telefon Ab L M Verfahren und anordnung zum sicherstellen von präfix-einheitlichkeit zwischen mehreren mobil- routern

Also Published As

Publication number Publication date
EP2309685A1 (en) 2011-04-13
EP2309685A4 (en) 2011-08-17
CN101662423A (zh) 2010-03-03
WO2010022574A1 (zh) 2010-03-04
PL2309685T3 (pl) 2013-06-28
US20110158240A1 (en) 2011-06-30
EP2309685B1 (en) 2013-02-27
US8437354B2 (en) 2013-05-07

Similar Documents

Publication Publication Date Title
ES2404048T3 (es) Procedimiento y aparato para llevar a cabo la transferencia de una ruta de transmisión inversa de dirección única
CN113132342B (zh) 方法、网络装置、隧道入口点装置及存储介质
US8751617B2 (en) Method and device for identifying and selecting an interface to access a network
US8917723B2 (en) Method, device, and system for processing IPv6 packet
JP4020576B2 (ja) パケット転送方法、移動端末装置及びルータ装置
US6754622B1 (en) Method for network address table maintenance in a data-over-cable system using destination reachibility
US6697862B1 (en) System and method for network address maintenance using dynamic host configuration protocol messages in a data-over-cable system
US6654387B1 (en) Method for network address table maintenance in a data-over-cable system using a network device registration procedure
Durand et al. BGP operations and security
KR101620479B1 (ko) 다중 인터넷 액세스를 제공하기 위한 방법 및 게이트웨이
WO2004036335A2 (en) Method and apparatus for providing automatic ingress filtering
JP2006086800A (ja) ソースアドレスを選択する通信装置
WO2008080314A1 (en) A method, forwarding engine and communication device for message acces control
JP2011205642A5 (es)
US7881224B2 (en) Detection of duplicated network addresses
CN104782105B (zh) 用于恢复丢失的路由信息的方法、数据路由装置及介质
JPWO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
JP2006135776A (ja) セッション中継装置およびセッション中継方法
US20250379848A1 (en) Method for communication between two devices, first device, second device and corresponding computer program
JP4797078B2 (ja) 通信システムおよび通信方法
WANG et al. BGP Extension to Support Inter-Domain Distributed Packets Filtering
Yao et al. Design and implementation of an ipv6 source address validation device
JP2008028720A (ja) 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法
Coggin Bending and Twisting Networks BSides Vienna
Coggin Bending and Twisting Networks DeepSec