使用路径属性扩展边界网关协议（BGP）FlowSpec发起授权制造技术

本发明专利技术提供了一种由接收自治系统(autonomous system，AS)的网络节点执行的用于验证发送AS是否被授权发布边界网关协议(Border Gateway Protocol，BGP)流规范(flow specification，FlowSpec)的方法。所述网络节点从AS接收第一BGP更新消息。所述第一BGP更新消息包括FlowSpec AS授权列表，所述列表指示被授权为所述AS的前缀发布FlowSpec的自治系统(autonomous system，AS)。所述网络节点从所述发送AS接收第二BGP更新消息。所述第二BGP更新消息包括与所述AS的所述前缀相关联的FlowSpec。所述网络节点确定所述发送AS是否包括在所述FlowSpec AS授权列表上。当所述发送AS不在所述FlowSpec AS授权列表上时，所述网络节点拒绝所述FlowSpec。

【技术实现步骤摘要】
【国外来华专利技术】

本专利技术大体上涉及网络通信，具体地，涉及用于使用路径属性扩展边界网关协议(border gateway protocol，bgp)流规范(flow specification，flowspec)发起授权的各种系统和方法。

技术介绍

1、现代互联网协议(internet protocol，ip)路由器能够转发流量，并根据管理定义的策略对数据包进行分类、整形、速率限制、过滤或重定向。

技术实现思路

1、第一方面涉及一种由接收自治系统(autonomous system，as)的网络节点执行的用于验证发送as是否被授权发布bgp flowspec的方法。该方法包括网络节点从as接收第一bgp更新消息。所述第一bgp更新消息包括flowspec as授权列表，所述列表指示被授权为所述as的前缀发布flowspec的自治系统(autonomous system，as)。所述网络节点从所述发送as接收第二bgp更新消息。第二bgp更新消息包括flowspec和flowspec as授权列表。当所述发送as包括在所述fl本文档来自技高网...

【技术保护点】

1.一种由接收自治系统(receiving autonomous system，AS)的网络节点执行的用于验证发送AS是否被授权发布边界网关协议(Border Gateway Protocol，BGP)流规范(flowspecification，FlowSpec)的方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，还包括当所述发送AS不包括在所述FlowSpec AS授权列表上时，拒绝所述FlowSpec。

3.根据权利要求1或2所述的方法，其特征在于，还包括当所述发送AS不是沿着目的地前缀的最佳匹配单播路由与所述接收AS最近的所述相邻A...

【技术特征摘要】
【国外来华专利技术】

1.一种由接收自治系统(receiving autonomous system，as)的网络节点执行的用于验证发送as是否被授权发布边界网关协议(border gateway protocol，bgp)流规范(flowspecification，flowspec)的方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，还包括当所述发送as不包括在所述flowspec as授权列表上时，拒绝所述flowspec。

3.根据权利要求1或2所述的方法，其特征在于，还包括当所述发送as不是沿着目的地前缀的最佳匹配单播路由与所述接收as最近的所述相邻as时，拒绝所述flowspec。

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述flowspec as授权列表是在所述第一bgp更新消息的路径属性部分中包括的bgp flowspec信任列表路径属性中指定的。

5.根据权利要求4所述的方法，其特征在于，所述bgp flowspec信任列表路径属性是可选的可传递bgp路径属性。

6.根据权利要求4或5所述的方法，其特征在于，所述bgp flowspec信任列表路径属性是使用flowspec信任列表类型-长度-值(type-length-value，tlv)编码格式进行编码的，其中，所述flowspec信任列表tlv的值字段指定被授权发布所述flowspec的自治系统(autonomous system，as)列表。

7.根据权利要求1至6中任一项所述的方法，其特征在于，确定所述发送as是否是沿着目的地前缀的最佳匹配单播路由与所述接收as最近的所述相邻as包括确定所述发送as是否既位于经由外部边界网关协议(external border gateway protocol，ebgp)接收的flowspec路由的as_path属性的最左侧位置，也位于嵌入在所述flowspec中的所述目的地前缀的所述最佳匹配单播路由的所述as_path属性的所述最左侧位置。

8.根据权利要求1至7中任一项所述的方法，其特征在于，确定所述发送as是否是沿着目的地前缀的最佳匹配单播路由与所述接收as最近的相邻as包括使用作为所述网络节点路由表的一部分的安全as路径列表。

9.根据权利要求8所述的方法，其特征在于，所述安全as路径列表是使用bgp安全(bgpsecurity，bgpsec)获得的。

10.一种接收自治系统(receiving autonomous system，as)的网络节点，其特征在于，包括：

11.根据权利要求10所述的网络节点，其特征在于，所述处理器用于当所述发送as不包括在所述flowspec as授权列表上时，执行所述指令，以使所述网络节点拒绝所述flowspec。

12.根据权利要求10或11所述的网络节点，其特征在于，所述处理器用于当所述发送as不是沿着所述目的地前缀的所述最佳匹配单播路由与所述接收as最近的所述相邻as时，执行所述指令，以使所述网络节点拒绝所述flowspec。

13.根据权利要求10至12中任一项所述的网络节点，其特征在于，所述flowspec as授权列表是在所述第一bgp更新消息的路径属性部分中包括的bgp flowspec信任列表路径属性中指定的。

14.根据权利要求13所述的网络节点，其特征在于，所述bgp flowspec信任列表路径属性是可选的可传递bgp路径属性。

15.根据权利要求13或14所述的网络节点，其特征在于，所述bgp flowspec信任列表路径属性是使用flowspec信任列表类型-长度-值(type-length-value，tlv)编码格式进行编码的，其中，所述flowspec信任列表tlv的值字段指定被授权发布所述flowspec的自治系统(autonomous system，as)列表。

16.根据权利要求...

【专利技术属性】
技术研发人员：瞿颖珍，阿尔瓦罗·雷塔纳，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：