CN1937589A - 路由配置验证的装置和方法 - Google Patents
路由配置验证的装置和方法 Download PDFInfo
- Publication number
- CN1937589A CN1937589A CNA2006101371979A CN200610137197A CN1937589A CN 1937589 A CN1937589 A CN 1937589A CN A2006101371979 A CNA2006101371979 A CN A2006101371979A CN 200610137197 A CN200610137197 A CN 200610137197A CN 1937589 A CN1937589 A CN 1937589A
- Authority
- CN
- China
- Prior art keywords
- routing
- address
- information
- communication system
- electronic address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000010200 validation analysis Methods 0.000 title claims 10
- 238000004891 communication Methods 0.000 claims abstract description 102
- 238000007726 management method Methods 0.000 claims description 13
- 238000013500 data storage Methods 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 4
- 230000009191 jumping Effects 0.000 claims 2
- 238000000605 extraction Methods 0.000 claims 1
- 210000000352 storage cell Anatomy 0.000 claims 1
- 238000012795 verification Methods 0.000 abstract description 39
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 239000000523 sample Substances 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000000875 corresponding effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- VYPSYNLAJGMNEJ-UHFFFAOYSA-N Silicium dioxide Chemical compound O=[Si]=O VYPSYNLAJGMNEJ-UHFFFAOYSA-N 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000002194 synthesizing effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
公开了用于在通信系统中验证路由配置的装置、方法和相关数据结构。说明性地从路由协议广告消息中被动地收集通信系统中的路由信息。基于所收集的路由信息来验证通信系统的路由配置。例如,验证可以包括将与通信系统地址空间中的电子地址相关联的信息和所收集的路由信息进行比较,并且还将预期的路由配置和显式路由配置进行比较。数据结构可以包括指示电子地址的信息和指示验证与电子地址相关联的路由配置的结果的信息。
Description
技术领域
本发明一般涉及电子通信,并且特别涉及验证用于通信网络中的路由配置。
背景技术
全球因特网协议(IP)地址空间当前提供了理论最大值为4,294,967,296(232)个主机。事实上,这个地址空间是以相当大的相邻块而被分配的。地址分配机构将IP地址空间的块分发给通过网络互连的各个组织,所述网络构成整个因特网。
这些地址块必须是按照路由信息在全球内可到达的,所述路由信息是通过例如边界网关协议(BGP),开放式最短路径优先(OSPF)和中间级系统到中间级系统(IS-IS)等路由协议来被交换的。可以本地使用并且与对等体交换的路由信息通常是指关于IP地址和掩码的地址块,称为无级域间路由选择(CIDR)块。例如,写为192.172.266/24的IP地址块是指前24比特具有相同前缀的所有IP地址(即,192.172.266)。这个块始于地址192.172.226.0,并且包括256个可能的IP地址(232-24)。路由表将包括地址/掩码对的这个IP地址块关联于下一跳IP地址,并且路由器将具有这个块中的目的IP地址的所有业务转发给其本地路由表中所列出的下一跳。IP地址分配和其他路由配置功能是紧密地彼此相关的。然而它们典型地被分别配置这一事实,使它们不能在同一时刻被看到,这导致了预期配置与实际配置之间潜在的不一致。
先前的工作已经尝试说明了有多少IPv4地址空间(也就是232个可能的主机)被用于利用BGP路由表的全球因特网核心。这个工作产生了具有24比特CIDR块的256个主机的16,777,
个可能群的简单图。这个全球地址空间的图说明了每个地址块是否是可路由的以及它是否被分配给特定的组织。BGP路由表被用来确定地址块是否是可路由的,并且反向域名系统(DNS)查找被用于确定分配。用于产生图的BGP路由表从路由查看(Route View)服务器被收集,该路由查看服务器存储来自遍布于因特网的15个对等体的BGP路由。
BGP的规则之一是通过将较小的块综合成较大的块,来最小化对等体之间通告的IP地址块的数量,这因而造成粒度的损失。当试图从BGP路由表中检索使用中的IP地址空间时,只能准确地确定哪些IP地址块是不可到达的。因此丢失了关于可在网络中被分配和路由的较小IP地址块的信息。此外,这种方法并没有显示由例如路由器的传输设备所使用的IP地址。
根据称为扫描的另一种技术,例如ping分组的询问探测(probe)被发送到每个可能的IP地址。如果接收到该询问的响应,则该IP地址被估计为在使用中。对网络中分配的所有IP地址的扫描可以被看作是评估哪些IP地址为可到达的最准确方式。然而,这个解决方案面临若干问题,包括a)可扩缩性:扫描所有可能的IP地址是巨大的过程,其必须经常被重复以获得使用中的IP地址空间的最新图像,不得不经常重复该过程;b)安全性:为了安全,主机可能被配置为不对询问探测作出响应,然而仍能发送和/或接收业务;和c)过滤:为了防止系统受到可能的攻击,探测可能不被转发。因此,这种方案并不完全准确。
另一传统技术使用动态主机配置协议(DHCP)服务器来自动为系统中的每个主机分配IP地址。这种解决方案跟踪所分配的IP地址,并且这些地址被假定为是可到达的。尽管认为对DHCP服务器自动分配的IP地址进行跟踪会允许对网络中正使用的IP地址的准确评估,然而这个分配与网络中设备的实际配置无关。因此,对主机的IP地址分配只反映了使用该IP地址的意向,并不保证其可到达性,也就是说它是否实际上在网络中被路由。根据这个解决方案,这种IP地址代表了DHCP服务器和实际配置之间的不一致性,但被错误地认为被分配且因而是可到达的。
上述技术并没有针对通信系统中哪些IP地址空间块为可到达而提供准确的评估,或没有规定对可能的路由配置问题或者差错的检测,例如预期地址分配与实际配置之间的不一致性。
因此,需要一种用于验证路由配置以例如检验通信系统中电子地址的可到达性的装置和方法。
发明内容
本发明的实施例实现了对通信系统中可能影响信息传送的条件的检测。在一个实施例中,进行关于通信网中IP地址空间的哪些块为可到达的确定。将可到达地址空间块与由例如地址空间管理器的网络管理应用程序所分配的块进行比较,从而检测预期的IP地址分配和实际配置之间可能的错误配置。例如寻址策略违犯,地址劫持和地址丢失等其他条件也可以被检测。
根据本发明的一个方面,提供了一种用于在通信系统中验证路由配置的装置,所述装置包括被配置用来被动地收集通信系统中的路由信息的监听器(listener),和被配置用来基于所收集的路由信息验证通信系统的路由配置的路由配置验证模块。
所述路由配置验证模块可以被配置用来通过执行下面的一或多个操作来验证路由配置:将与通信系统的地址空间中的电子地址相关联的信息与所收集的路由信息进行比较,并且将预期的路由配置与显式(explicit)路由配置进行比较。
在一个实施例中,监听器包括多个地址反射器和地址聚集器,所述地址反射器被配置用来通过收集与通信系统各区域中可到达的电子地址相关联的信息,来被动地收集路由信息,所述地址聚集器有效耦合到所述多个地址反射器并且被配置用来从该多个地址反射器接收与可到达电子地址相关联的信息,并且将所接收的信息存储到数据存储器中。
所述监听器可以被配置用来通过与通信系统中一个或多个路由单元建立各个邻接,来被动地收集路由信息。
在一个实施例中,所述路由信息包括因特网协议(IP)地址。
所述监听器还可以或替代地通过接收通信系统中一个或多个路由单元所分发的路由信息,来被动地收集路由信息。所收集的路由信息可以包括以下内容中的一个或多个:用于在通信系统中路由通信业务的可到达电子地址,无级域间路由(CIDR)块掩码,分发路由信息的路由单元的源电子地址,和从源电子地址朝向可到达电子地址的下一跳的电子地址。所收集的路由信息可以包括根据从一个组中选出的协议而被分发的路由信息,其中所述组包括边界网关协议(BGP)、开放式最短路径优先(OSPF)和中间级系统到中间级系统(IS-IS)。
在一个实施例中,所述路由配置管理系统还被配置用来基于所收集的路由信息的内容和所收集的路由信息的源中的一个或多个,来确定路由配置是否应当被验证,并且响应于路由配置应当被验证的决定来验证该路由配置。
所述路由配置验证模块还可以被配置用来从地址空间管理系统中取回(retrieve)与地址空间中的电子地址相关联的信息。
所述路由配置验证模块还可以被配置用来基于将与所述地址空间中的电子地址相关联的信息与所收集的路由信息进行比较,来确定电子地址的组合的分配和可到达状态,并且提供所述组合的分配和可到达状态的指示。
在所述装置包括有效耦合到所述路由配置验证模块的显示器的情况下,所述组合的分配和可到达状态的指示可以是显示器上所显示的状态指示。
在一个实施例中,所述路由配置验证模块被配置用来针对多个电子地址确定组合的分配和可到达状态,该路由配置验证模块被配置用来提供所述多个电子地址中每一个的组合的分配和可到达状态的指示,并且所显示的状态指示包括地址图、与电子地址值相对应的所述地址图中电子地址的状态指示的位置,以及与该电子地址的组合的分配和可到达状态相对应的所述地址图中电子地址的状态指示的颜色。
包括根据本发明实施例的装置的路由配置验证系统可以在通信系统中被提供,其中该通信系统包括一个或多个用于在通信系统中路由通信业务的路由单元,和用于在通信系统中管理路由配置的路由配置管理系统,该路由配置验证系统有效耦合到所述一个或多个路由单元中的每一个,并且耦合到所述路由配置管理系统。
另一方面,本发明还提供了一种在通信系统中验证路由配置的方法。该方法包括被动地收集通信系统中的路由信息,并且基于所收集的路由信息来验证所述通信系统的路由配置。
可以以各种方式执行这些操作,并且所述方法还可以包括其它操作,其中一些操作已经在上文中简要描述。
还提供了一种存储数据结构的机器可读介质。所述数据结构包括指示通信系统中的电子地址的信息,和指示在通信系统中验证与电子地址相关联的路由配置的结果的信息。
所述指示验证路由配置的结果的信息可以包括指示电子地址分配状态和可到达状态的信息。
在一个实施例中,所述数据结构也包括指示电子地址一个或多个属性的信息。
通过查看下面对指定说明性实施例的描述,本发明的其他方面和特征对本领域的技术人员而言是显而易见的。
附图说明
现在将参照附图详细描述本发明实施例的例子,其中:
图1是包括本发明实施例的通信系统的框图;
图2是路由配置验证系统的框图;
图3是监听器的框图;
图4是根据本发明实施例的方法的流程图;以及
图5是根据本发明另一实施例的数据结构的框图。
具体实施方式
图1是包括实施例的通信系统10的框图。通信系统10包括通过各个路由器13,15,17互连的通信网12,14,16。路由配置验证系统18有效耦合到一个或多个路由器,例如在图1中示出为耦合到路由器17。
图1所示的特定的系统拓扑和部件仅用于说明,而不限制本发明的范围。例如,通信系统可以包括比三个通信网络12,14,16更多或更少的网络和/或与图1所示不同的网间连接。通信网络通常还包括附加的路由器和其它设备,图1中没有显示它们以避免拥挤。因此应当认识到,图1的系统以及其他图中的内容仅用于说明,并且本发明决不限于图中明确显示且这里描述的特定示例性实施例。
通信网络12,14,16代表通过其传送通信业务的互连通信设备。例如有效耦合到通信网12的终端用户设备(未显示)可以与网络12中的其他设备交换通信业务,并且通过边界路由器13,15,17与其他网络14,16中的设备交换通信业务。
本领域的技术人员应当熟悉可以在通信网12,14,16中实现的不同的通信设备、介质和通信协议的各种例子的结构和操作。因此这里对网络12,14,16仅进行对理解本发明实施例而言必要的描述。如这里公开的路由配置验证或检验可能基本上与使用例如电子地址的路由信息传送通信业务的特定操作无关。因此,不对网络12,14,16的通信业务处理进行详细描述。
在系统10中,路由器13,15,17规定网络12,14,16之间的通信业务的传送。为了支持这个功能,每个路由器将路由信息通告给其他路由器,例如其可以到达的电子地址,也就是能够向其传送业务的电子地址。
路由协议消息代表路由器通过其交换路由信息的机制的一个例子,如上所述,它可以包括与可到达电子地址相关联的信息。这些控制消息遍及系统10中的每个网络12,14,16在这些网络之间传送,以确保路由器13,15,17获得系统10的通用视图。通用路由协议包括BGP,OSPF和IS-IS,尽管路由信息也可以或替代地通过不同的其他协议而被交换。
根据本发明的实施例,路由信息配置验证系统18从数据中构建了说明性地是IP地址的电子地址的图,所述地址在系统10中是可到达的,所述数据是被动地从路由协议消息中被收集的。
地址可到达性表示可以根据这里公开的技术被评估的一个操作特征。通信系统的操作者或管理者也可以关注其他路由条件。下面将详细描述这些条件和它们的检测的例子。
图2是路由配置验证系统20的框图。系统20包括有效耦合到被观测路由信息存储单元28的监听器22;有效耦合到被观测路由信息存储单元28、显示器26和被配置路由信息存储单元30的路由配置验证模块24;以及有效耦合到被配置路由信息存储单元30的路由配置管理器32。监听器22也有效耦合到各个通信网络或区域35,37,39,41中的路由器34,36,38,40。
监听器22和路由配置验证模块24可以主要在由处理器执行的软件中被实现,所述处理器例如是微处理器,数字信号处理器(DSP)、专用集成电路(ASIC)、可编程门阵列(FPGA)或其他可编程部件。然而,也可以设想监听器22和路由配置验证模块24的基于硬件的实施例。
显示器26代表这样的部件的一个例子:该部件用来提供对路由配置验证模块24所执行处理的结果的指示。显示器26的类型取决于其中实现系统20的设备的类型。例如,在个人计算机系统或工作站中,显示器26可以是阴极射线管(CRT)显示器或液晶显示器(LCD)。
例如包括与通信系统中可到达的电子地址相关联的信息的路由信息,由监听器22来收集并且被存储在存储单元28中。被配置的路由信息,例如与通信系统的地址空间中的电子地址相关联的信息,被存储在存储单元30中。
被配置路由信息存储单元30可以包括关于可用在通信系统中的所有地址的信息,而不管这些地址是否实际上已经被指派或被分配以用在通信系统中,或者通信设备是否已经被配置为利用这些地址传送通信业务。存储在存储单元30中的地址空间信息,优选地包括对通信系统的整个地址空间的地址或地址块的分配状态的至少一个指示。
数据存储单元28,30可以在分离的存储设备或同一存储设备中(例如存储设备的各个区域)中被实现。提供数据存储单元28,30的存储设备可以包括固态存储设备,或与活动的甚至是可拆卸的存储介质结合使用的存储设备。
路由配置管理器32代表允许电子地址在通信系统中被分配的部件。路由配置管理器32的一个实现是用于在网络管理系统(NMS)处执行的软件应用程序。尽管在图2中示出为单个功能块,然而路由配置验证模块24可以包括多个部件或功能块,例如通过其指定预期路由配置的地址管理器,和通过其可以控制对路由器和/或其他通信设备的实际配置的配置应用程序或接口。
路由配置管理器32可以在与监听器22和路由配置验证模块24相同的设备上被协同定位或实现,尽管这不是必须的。例如,路由配置验证模块24可以验证电子地址的配置和分配,但是可以与这些功能无关地在不同设备上被实现。
在操作中,监听器22收集通信系统中的路由信息。根据一个实施例,监听器22实时地接收在路由器34,36,38,40之间在控制平面上所交换的路由协议消息,以使那些路由器可以通过网络35,37,39,41路由业务,并且从路由协议消息中提取信息。监听器22对路由器34,36,38,40所通告的地址块具有完全的可见性,并且将所收集的信息存储到可到达地址信息存储单元28中。
在图3的框图中详细示出了监听器的一个特定实施例。在图3中,监听器50包括有效耦合到一个或多个路由器34,36,38,40的各个组的地址反射器52,54,56。地址聚集器58有效耦合到地址反射器52,54,56。如监听器22那样,监听器50主要在软件、硬件或其一些组合中被实现。
为了监控包括网络35,37,39,41的通信系统中所使用的地址块,地址反射器52,54,56被动且实时地从各个路由区收集路由信息,尤其是图3实施例中的可到达地址信息。例如,可到达地址信息可以由反射器52,54,56以路由协议所通告的IP地址块的形式来收集。
根据一个实施例,地址反射器52,54,56与各个路由区中的一个或多个路由器建立直接邻接,其中所述路由区是通过路由器34,36,38,40所使用的路由协议来被限定的。在图3中,这些邻接用虚线表示。当建立邻接时,地址反射器52,54,56有效地将它自己作为另一路由器通告给一个或多个路由器,以便从它的邻接路由器接收路由协议消息。
因此,地址反射器52,54,56和路由器34,36,38,40可以基本上具有相似的控制平面部件用于接收路由协议信息。尽管所述路由器发送路由信息,然而,地址反射器52,54,56并不路由通信业务并且因而不需要将可到达地址通告它们的相邻路由器。
地址反射器可以监控一个区域,如在所述情况中分别监控网络35,39的路由区的地址反射器52,56。地址反射器54监控覆盖网络37,39的多个路由区。
每个地址反射器52,54,56将它所看到的电子地址或块以及它们的属性发送或“反射”到地址聚集器58以进行分析,优选地是实时分析。地址聚集器58可以过滤包括相同电子地址或块并具有相同属性的路由信息,并且将它们存储在被观测信息存储单元中。
地址聚集器58也可以跟踪具有相同电子地址值但具有不同属性的电子地址或块。这允许在已被分配但没有被路由的地址的情况下,地址聚集器58可以识别路由配置中可能出现的问题,例如地址的指派或设备的配置。例如,可以使用在被观测路由信息存储单元或分离的“问题”地址存储单元中的标记或其他指示符,从而提供这种跟踪能力。
由监听器50收集的路由信息可以包括可到达电子地址和/或从路由协议广告中所提取的属性,例如包括IP地址和掩码的CIDR块,广告的源IP地址和朝向可到达地址的下一跳IP地址。
再次参考图2,路由配置验证模块24将存储单元28中的被观测路由信息与存储单元30中的信息进行比较或关联,其中当分配地址时存储单元30中的信息可以指示预期的配置。例如,通过可以包括DHCP服务器的路由配置管理器32来在系统20中指定预期的配置。
还可以提供由路由配置验证模块24所确定的组合的可到达和分配状态的指示。在系统20中,可见状态指示在显示器26上被提供,尽管替代可见指示或除可见指示之外,还可以提供其它类型的指示。也可以设想将状态信息发送到远程系统用于显示和/或其他处理的远程指示。
根据一个实施例,在地址图中提供了针对可到达地址和/或通信系统的地址空间中的地址的状态指示。在地址图中,地址或块的状态指示的位置和颜色可能分别对应每个地址的值和状态。例如,所监控的地址空间的地址或块可以按照数字顺序被显示,其中(i)绿色表示被分配且可到达的地址或块;(ii)黄色表示被分配的但还未被路由器通告因而不能被路由的不可到达的地址或块;(iii)红色表示未被分配但可到达的地址或块,例如专用地址块;和(iv)白色表示未被分配且不可到达的地址或块。也可以设想用于状态指示的其他显示布局,顺序,颜色等。
地址图可以提供用于地址空间的其他信息的指示,例如可能的配置错误。如上所述,地址聚集器58可以被配置用来检测相同地址或地址块的抵触属性。在地址图中包括地址或地址块的所述抵触或其他可能问题的指示,提供了通信系统地址空间的当前状态的更完善的呈现。
应当认识到,地址的可到达和分配状态确定是可以基于所收集的路由信息来被执行的验证操作的说明性实例。其他的验证操作也是可能的。
例如,当利用配置接口或应用程序或二者配置通信设备时,配置错误可能在利用地址空间管理器或类似的应用程序来分配地址时产生。如上所述,分配或配置典型地分别被实现,并且因此,预期的路由配置不总是在应用于通信设备的实际的显式路由配置中被正确地重新产生。在图2中通过单个路由配置管理器32来表示地址管理和配置功能块。
预期的路由配置可以包括由通信系统操作员或其他人员指定的配置信息。例如,,操作员可以以一些实施例中的地址前缀的形式来为指定用户站点分配特定地址或特定地址块。
寻址或路由策略是预期的路由配置的另一形式。例如,策略可以指定各个路由器的特定地址或地址块的前缀大小和/或限制池。策略信息可以被存储在例如存储单元30(图2)的数据存储单元中,用于验证路由配置。
预期的和显式的路由配置之间的任何差异都代表可能影响通信系统中通信业务的传送的配置错误。例如,根据操作员所指定的地址分配,通信设备可能没有被正确地配置。此外,根据地址分配是正确的设备配置,仍然可能违犯路由策略。路由错误地址的设备配置、路由器不匹配的地址池、对用户的不正确前缀分配、不正确的前缀大小和重叠的前缀分配,都是在地址分配和通信设备配置期间可能出现的路由配置错误的例子。
如果不再被使用的电子地址没有被返回到地址池用于重新分配,则配置错误也可能通过通信设备自身而被引入。当与电子地址相关联的设备从服务中被移除但已被配置用来向该设备路由通信业务的路由器继续通告该地址时,可能出现地址实际上“丢失”的这种情形。
也可以根据这里公开的技术检测其他类型的路由问题。上述配置错误通常产生于不正确的地址分配或通信设备配置。应当认识到,通信系统可能受到恶意的攻击,例如未授权方试图夺取并使用已分配给另一方的电子地址的地址劫持。例如,路由器不匹配的地址池或重叠的前缀错误可能是配置错误或地址劫持尝试的结果。根据本发明实施例所检测的问题因而不必限于非故意的错误。
本发明的实施例允许配置错误或其他可能的问题,或允许二者,其中所述其他可能的问题是通过基于通信系统中所观测的路由信息来验证路由配置而被检测的。
上面已经详细描述了路由信息的收集,和将所收集的路由信息与所配置的路由信息相关联以确定电子地址的组合的分配和可到达状态。一些类型的配置错误同样可以通过将被收集路由信息与被配置路由信息相比较来被检测。从源而不是在被配置路由信息中所指定的路由器来接收的路由通告消息,可以指示错误的地址或前缀分配或路由器不匹配的池。前缀和/或前缀大小差异可以通过比较被收集的和被配置的路由信息、以基本类似的方式来被检测。
为避免通信网络中通信业务传送的问题,显式路由配置应当与预期的路由配置一致。通过比较预期的和显式的路由配置,可以检测政策违犯和其它可能问题。
被收集的路由信息并不必须用于验证路由配置。例如,可以通过比较预期的路由配置和显式路由配置,来验证路由配置。在所述情况下,优选地基于被收集的路由信息来作出关于是否应当执行这个比较的决定。
如果关联于相同地址或重叠地址块的路由信息包括不同的属性或从不同的源被接收,则预期的与显式的路由配置的比较可能是合适的。比正常速率高的基线路由改变或链路状态广告(LSA)消息也可以指示潜在的问题。例如,如果攻击者正试图劫持一个地址,则来自“合法”路由器的每个广告消息可能引起劫持的路由器发送广告消息,反之亦然。这会导致高于可被路由配置验证模块检测的广告消息的正常速率,并且致使验证操作被启动。被收集的路由信息也可以用于验证操作。
例如可以在网络地图中提供对路由配置验证的结果的指示。在这种情况下,颜色和/或其他显示属性可以用来指示与地址相关联的路由配置已经被验证,或者潜在问题已经被检测。
尽管上面主要就系统或装置进行了描述,然而本发明的方面也可以以地址验证或检验方法来体现。图4是这种方法的流程图。
方法60包括在通信系统中被动地收集路由信息的操作62。所配置的路由信息,例如与通信系统地址空间中的电子地址相关联的信息,在64被确定。例如,这可能涉及与地址空间管理系统或该系统所管理的地址空间存储单元进行交互。
在66,至少基于所收集的路由信息来验证路由配置。如上所述,这可能涉及使用所收集的路由信息来决定是否应当执行验证操作、使用所收集的路由信息来执行验证操作,或二者。在一个实施例中,所收集的路由信息包括可到达电子地址信息,并且被比较以及优选地关联于地址空间信息。
在72,提供验证结果的指示,以及其它可能信息。
说明性地每次接收路由信息时,方法60的操作可以对不同的地址或地址块被重复。如果路由信息包括与多个地址或地址块相关联的信息,则所述操作可以针对每个地址或地址块而被重复,或者针对所有的地址或地址块基本上同时被执行。在前一情况中,当从路由信息中提取针对地址或地址块的信息时,针对该地址或地址块迭代所述操作。方法60针对该地址或地址块被完成,并且然后针对包含于路由信息中的下一地址或地址块被重复。根据后一方案,在62提取针对所有地址或地址块的信息,并且其他操作针对多个地址或地址块基本上平行地进行。
根据前面对本发明的系统或装置实施例的描述,执行方法60的操作的各种可能方式是显而易见的。
应当认识到,本发明的实施例可能包括比图4明确显示的更多或更少的操作,和/或以不同的顺序执行操作。例如,方法60可以开始于确定电子地址是可到达的。在这种情况下,可以在62接收或收集路由信息之前,在64确定与地址相关联的被配置路由信息。根据另一个实施例,当接收了包括地址的路由信息时,方法60验证与电子地址相关联的路由配置。在62已经收集路由信息后,所配置的路由信息在操作64被确定。
图5是根据本发明另一实施例的数据结构的框图。数据结构80包括电子地址82,可到达状态信息84,分配状态信息86和属性88。
地址82可以包括例如地址值,或对于地址块包括多个地址值或前缀值。
可到达和状态字段84,86包括指示通信系统中地址82的分配状态和可到达状态的信息。在一些实施例中,可到达和状态指示还可以作为单个组合的可到达和分配状态而被提供。类似地,除可到达和分配状态指示之外或替代该指示,可以提供一个或多个其他验证状态指示。
属性88代表指示了地址82的至少一个属性的信息,并且说明除状态信息之外的其他类型的信息,该信息可能与地址或地址块相关并且被存储在数据结构中。
地址状态数据存储单元可能包括具有图5所示结构的多个条目。
这里公开的本发明实施例的优点包括相对较低的实现成本。例如,图3所示的包括地址反射器和地址聚集器的监听器可以作为在相同设备上运行的软件部件来被实现,这避免了对用来在通信系统的被监控区域中支持监听器功能的硬件设备的需要。
一些实施例的另一优点是容易部署。例如,地址反射器可以例如作为路由后台驻留程序(daemon)而被实现,其被动态地激活以远程创建与路由器的邻接。
这里公开的地址空间功能也是有利的资源。例如可以从对等路由器被动地接收路由协议更新或其他可到达信息,这避免了如简单网络管理协议(SNMP)的资源昂贵的机制,其从路由器提取全部的路由信息库(RIB)。根据所公开的技术,也不需要利用扫描探测来泛洪(flood)通信系统。
通过收集路由单元所通告的路由信息,本发明的实施例规定了实时的地址空间处理。只要被路由器通告,更新就立即被接收。以这种方式监控标准化路由协议也规定了真正的供应商无关性。
考虑IP网络的例子,网络用户当前管理其自己的内部IP地址分配,这因而允许复制,该复制可以阻止到例如IP电话的基于分组的通信的移动。由于网络用户增加的数量和期望在网络边缘管理不同IP地址块二者所造成的复杂度,当前的方案易于产生验证在IP地址的分配与其路由副本之间一致性的问题。本发明的实施例提供了该问题的解决方案,该方案利用从不同源获得的路由信息来收集并关联IP地址分配配置,而不会在覆盖管理系统中造成过多的开销。
上面的描述仅是对本发明原理的应用的说明。本领域的技术人员可以在不背离本发明的范围的情况下实现其他装置和方法。
例如,其中可实现本发明实施例的通信系统不必包括不同的通信网络。分配有一组通信网中可用的网络地址的公司,可以在其不同的分部之中再分那些地址,其中每个分部都负责路由配置。本发明的实施例允许公司对照同一通信网中的可到达地址来验证其被分配的网络地址空间。因此,在这种情况下,所述通信系统包括单个网络。
本发明也不取决于特定的设备结构。其中可实现系统20(图2)的设备可以包括比图中所示更少或更多的部件。例如,地址空间验证系统的基本实现可能仅包括监听器22和路由配置验证模块24,其中在不同的设备中提供路由配置管理器32和被配置路由信息存储单元30。路由配置验证功能也优选地不排除其他功能,以使设备可以包括其它功能部件,为避免拥挤而没有显示所述其它功能部件。
此外,尽管主要就方法和系统进行了描述,然而也可以设想本发明的其他实现,例如存储在机器可读介质上的指令。
Claims (24)
1.一种用于在通信系统中验证路由配置的装置,该装置包括:
监听器,其被配置用来被动地收集通信系统中的路由信息;和
路由配置验证模块,其被配置用来基于所收集的路由信息来验证所述通信系统路由配置。
2.根据权利要求1的装置,其中,所述路由配置验证模块被配置用来通过执行下述一或多个操作来验证路由配置:
将与所述通信系统的地址空间中的电子地址相关联的信息和所收集的路由信息进行比较;和
将预期的路由配置和显式路由配置进行比较。
3.根据权利要求1或2的装置,其中,所述监听器包括:
多个地址反射器,其被配置用来通过收集与在所述通信系统的各个区域中可到达的电子地址相关联的信息,来被动地收集所述路由信息;和
地址聚集器,其有效耦合到所述多个地址反射器,并且被配置用来从该多个地址反射器接收与可到达电子地址相关联的信息,并且将所接收的信息存储到数据存储单元中。
4.根据权利要求1或2的装置,其中,所述监听器被配置用来通过与所述通信系统中一个或多个路由单元建立各个邻接,来被动地收集所述路由信息。
5.根据权利要求1或2的装置,其中,所述路由信息包括因特网协议地址。
6.根据权利要求1或2的装置,其中,所述监听器被配置用来通过接收由所述通信系统中一个或多个路由单元所分发的路由信息,来被动地收集所述路由信息。
7.根据权利要求6的装置,其中,所收集的路由信息包括以下内容中的一个或多个:用于在通信系统中路由通信业务的可到达电子地址、无级域间路由块掩码、分发路由信息的路由单元的源电子地址,以及从源电子地址朝向可到达电子地址的下一跳的电子地址。
8.根据权利要求6的装置,其中,所收集的路由信息包括根据从一个组中选出的协议所分发的路由信息,其中所述组包括边界网关协议、开放式最短路径优先和中间级系统到中间级系统。
9.根据权利要求1或2的装置,其中,所述路由配置管理系统进一步被配置用来基于所收集的路由信息的内容和所收集的路由信息的源中的一个或多个,来确定所述路由配置是否应当被验证,并且用来响应于该路由配置应当被验证的决定而验证该路由配置。
10.根据权利要求2的装置,其中,所述路由配置验证模块进一步被配置用来从地址空间管理系统中取回与所述地址空间中的电子地址相关联的信息。
11.根据权利要求2或10的装置,其中,所述路由配置验证模块进一步被配置用来基于将与所述地址空间中的电子地址相关联的信息和所收集的路由信息进行比较,来确定电子地址的组合的分配和可到达状态,并且用来提供所述组合的分配和可到达状态的指示。
12.根据权利要求11的装置,还包括:
显示器,其有效耦合到所述路由配置验证模块,
其中,所述组合的分配和可到达状态的指示包括显示在所述显示器上的状态指示。
13.根据权利要求12的装置,其中:
所述路由配置验证模块被配置用来针对多个电子地址来确定组合的分配和可到达状态;
所述路由配置验证模块被配置用来针对所述多个电子地址中每一个来提供所述组合的分配和可到达状态的指示;并且
所显示的状态指示包括地址图、与所述电子地址的值相对应的所述地址图中电子地址的状态指示的位置,以及与所述电子地址的组合的分配和可到达状态相对应的所述地址图中电子地址的状态指示的颜色。
14.一种通信系统,其包括:
一个或多个路由单元,用于在所述通信系统中路由通信业务;
路由配置管理系统,用于管理所述通信系统中的路由配置;和
路由配置验证系统,其有效耦合到所述一个或多个路由单元中的每一个并且耦合到所述路由配置管理系统,该路由配置验证系统包括根据权利要求1,2和10中任一个的装置。
15.一种在通信系统中验证路由配置的方法,该方法包括下列步骤:
被动地收集通信系统中的路由信息;并且
基于所收集的路由信息来验证所述通信系统的路由配置。
16.根据权利要求15的方法,其中,所述验证包括下述操作中的一个或多个:
将与所述通信系统的地址空间中的电子地址相关联的信息和所收集的路由信息进行比较;以及
将预期的路由配置和显式路由配置进行比较。
17.根据权利要求15或16的方法,其中,所述收集包括接收由所述通信系统中一个或多个路由单元所分发的路由信息,所收集的路由信息包括以下内容中的一个或多个:可到达电子地址、无级域间路由块掩码、分发路由信息的路由单元的源电子地址,以及从源电子地址朝向可到达电子地址的下一跳的电子地址。
18.根据权利要求15或16的方法,其中,所述收集包括:
与所述通信系统中的路由单元建立邻接;以及
从接收自所述路由单元的路由信息中提取信息。
19.根据权利要求15或16的方法,进一步包括:
基于所收集的路由信息的内容和所收集的路由信息的源中的一个或多个,来确定所述路由配置是否应当被验证,
其中,所述验证包括响应于所述路由配置应当被验证的决定来验证该路由配置。
20.根据权利要求16的方法,其中,将与所述地址空间中的电子地址相关联的信息和所收集的路由信息进行比较,包括确定所述地址空间中一个或多个电子地址的组合的分配和可到达状态,该方法进一步包括:
显示地址图中每个组合的分配和可到达状态的指示、与所述电子地址的值相对应的所述地址图中电子地址的状态指示的位置,以及与所述电子地址的组合的分配和可到达状态相对应的所述地址图中电子地址的状态指示的颜色。
21.一种存储指令的机器可读介质,其中当执行所述指令时实现根据权利要求15或16的方法。
22.一种存储数据结构的机器可读介质,所述数据结构包括:
指示通信系统中的电子地址的信息;和
指示在所述通信系统中验证与所述电子地址相关联的路由配置的结果的信息。
23.根据权利要求22的介质,其中,所述指示验证路由配置的结果的信息,包括指示所述电子地址分配状态和可到达状态的信息。
24.根据权利要求22或23的介质,其中,所述数据结构进一步包括:
指示所述电子地址一个或多个属性的信息。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/213,010 US7619989B2 (en) | 2005-08-26 | 2005-08-26 | Routing configuration validation apparatus and methods |
| US11/213,010 | 2005-08-26 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1937589A true CN1937589A (zh) | 2007-03-28 |
| CN1937589B CN1937589B (zh) | 2012-07-04 |
Family
ID=37762346
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006101371979A Expired - Fee Related CN1937589B (zh) | 2005-08-26 | 2006-08-25 | 路由配置验证的装置和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7619989B2 (zh) |
| EP (1) | EP1929707B1 (zh) |
| CN (1) | CN1937589B (zh) |
| WO (1) | WO2007026263A2 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104010048A (zh) * | 2014-03-18 | 2014-08-27 | 秦超 | 用于ip地址管理的设备和方法 |
| CN107241236A (zh) * | 2016-03-29 | 2017-10-10 | 华为技术有限公司 | 转发信息库表项检测方法、检测设备及网络设备 |
| US20220321535A1 (en) * | 2021-04-06 | 2022-10-06 | Vmware, Inc. | Secured suppression of address discovery messages |
Families Citing this family (75)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8141156B1 (en) * | 2005-12-28 | 2012-03-20 | At&T Intellectual Property Ii, L.P. | Method and apparatus for mitigating routing misbehavior in a network |
| US20070276915A1 (en) * | 2006-04-04 | 2007-11-29 | Wireless Services Corp. | Managing messages between multiple wireless carriers to multiple enterprises using a relatively limited number of identifiers |
| US8160056B2 (en) * | 2006-09-08 | 2012-04-17 | At&T Intellectual Property Ii, Lp | Systems, devices, and methods for network routing |
| US20080263188A1 (en) * | 2007-04-20 | 2008-10-23 | Verizon Business Network Services Inc. | Method and system for monitoring and analyzing of routing in ip networks |
| US8018873B1 (en) * | 2007-11-08 | 2011-09-13 | Juniper Networks, Inc. | Enhanced link state protocol for identifying broadcast networks |
| US7885277B2 (en) * | 2008-12-09 | 2011-02-08 | At&T Intellectual Property I, L.P. | Methods and apparatus to analyze autonomous system peering policies |
| US20100153537A1 (en) * | 2008-12-11 | 2010-06-17 | Jia Wang | Method and apparatus for providing detection of internet protocol address hijacking |
| US8259726B2 (en) * | 2009-05-28 | 2012-09-04 | Force10 Networks, Inc. | Method and apparatus for forwarding table reduction |
| JP2011087302A (ja) * | 2009-10-19 | 2011-04-28 | Ip Infusion Inc | Bgp経路監視装置、bgp経路監視方法、およびプログラム |
| JP6111965B2 (ja) * | 2012-12-10 | 2017-04-12 | 富士通株式会社 | 管理装置,管理方法,プログラム |
| US9438439B2 (en) * | 2013-10-30 | 2016-09-06 | Aruba Networks, Inc. | Dynamic optimization of advertisement packets |
| US9398014B2 (en) * | 2014-04-04 | 2016-07-19 | International Business Machines Corporation | Validation of a location resource based on recipient access |
| US9245084B2 (en) * | 2014-05-13 | 2016-01-26 | International Business Machines Corporation | Virtual sub-net based routing |
| US9781004B2 (en) | 2014-10-16 | 2017-10-03 | Cisco Technology, Inc. | Discovering and grouping application endpoints in a network environment |
| US10560328B2 (en) | 2017-04-20 | 2020-02-11 | Cisco Technology, Inc. | Static network policy analysis for networks |
| US10826788B2 (en) | 2017-04-20 | 2020-11-03 | Cisco Technology, Inc. | Assurance of quality-of-service configurations in a network |
| US10623264B2 (en) | 2017-04-20 | 2020-04-14 | Cisco Technology, Inc. | Policy assurance for service chaining |
| US10693738B2 (en) | 2017-05-31 | 2020-06-23 | Cisco Technology, Inc. | Generating device-level logical models for a network |
| US10581694B2 (en) | 2017-05-31 | 2020-03-03 | Cisco Technology, Inc. | Generation of counter examples for network intent formal equivalence failures |
| US10623271B2 (en) | 2017-05-31 | 2020-04-14 | Cisco Technology, Inc. | Intra-priority class ordering of rules corresponding to a model of network intents |
| US20180351788A1 (en) | 2017-05-31 | 2018-12-06 | Cisco Technology, Inc. | Fault localization in large-scale network policy deployment |
| US10812318B2 (en) | 2017-05-31 | 2020-10-20 | Cisco Technology, Inc. | Associating network policy objects with specific faults corresponding to fault localizations in large-scale network deployment |
| US10554483B2 (en) | 2017-05-31 | 2020-02-04 | Cisco Technology, Inc. | Network policy analysis for networks |
| US10439875B2 (en) | 2017-05-31 | 2019-10-08 | Cisco Technology, Inc. | Identification of conflict rules in a network intent formal equivalence failure |
| US10505816B2 (en) | 2017-05-31 | 2019-12-10 | Cisco Technology, Inc. | Semantic analysis to detect shadowing of rules in a model of network intents |
| US11150973B2 (en) | 2017-06-16 | 2021-10-19 | Cisco Technology, Inc. | Self diagnosing distributed appliance |
| US10904101B2 (en) | 2017-06-16 | 2021-01-26 | Cisco Technology, Inc. | Shim layer for extracting and prioritizing underlying rules for modeling network intents |
| US10547715B2 (en) | 2017-06-16 | 2020-01-28 | Cisco Technology, Inc. | Event generation in response to network intent formal equivalence failures |
| US10498608B2 (en) | 2017-06-16 | 2019-12-03 | Cisco Technology, Inc. | Topology explorer |
| US10574513B2 (en) | 2017-06-16 | 2020-02-25 | Cisco Technology, Inc. | Handling controller and node failure scenarios during data collection |
| US11469986B2 (en) | 2017-06-16 | 2022-10-11 | Cisco Technology, Inc. | Controlled micro fault injection on a distributed appliance |
| US10686669B2 (en) | 2017-06-16 | 2020-06-16 | Cisco Technology, Inc. | Collecting network models and node information from a network |
| US11645131B2 (en) | 2017-06-16 | 2023-05-09 | Cisco Technology, Inc. | Distributed fault code aggregation across application centric dimensions |
| US10587621B2 (en) | 2017-06-16 | 2020-03-10 | Cisco Technology, Inc. | System and method for migrating to and maintaining a white-list network security model |
| US10437641B2 (en) | 2017-06-19 | 2019-10-08 | Cisco Technology, Inc. | On-demand processing pipeline interleaved with temporal processing pipeline |
| US10623259B2 (en) | 2017-06-19 | 2020-04-14 | Cisco Technology, Inc. | Validation of layer 1 interface in a network |
| US10700933B2 (en) | 2017-06-19 | 2020-06-30 | Cisco Technology, Inc. | Validating tunnel endpoint addresses in a network fabric |
| US11283680B2 (en) | 2017-06-19 | 2022-03-22 | Cisco Technology, Inc. | Identifying components for removal in a network configuration |
| US10547509B2 (en) | 2017-06-19 | 2020-01-28 | Cisco Technology, Inc. | Validation of a virtual port channel (VPC) endpoint in the network fabric |
| US10505817B2 (en) | 2017-06-19 | 2019-12-10 | Cisco Technology, Inc. | Automatically determining an optimal amount of time for analyzing a distributed network environment |
| US10652102B2 (en) | 2017-06-19 | 2020-05-12 | Cisco Technology, Inc. | Network node memory utilization analysis |
| US10805160B2 (en) | 2017-06-19 | 2020-10-13 | Cisco Technology, Inc. | Endpoint bridge domain subnet validation |
| US10536337B2 (en) | 2017-06-19 | 2020-01-14 | Cisco Technology, Inc. | Validation of layer 2 interface and VLAN in a networked environment |
| US10333787B2 (en) | 2017-06-19 | 2019-06-25 | Cisco Technology, Inc. | Validation of L3OUT configuration for communications outside a network |
| US10812336B2 (en) | 2017-06-19 | 2020-10-20 | Cisco Technology, Inc. | Validation of bridge domain-L3out association for communication outside a network |
| US10560355B2 (en) | 2017-06-19 | 2020-02-11 | Cisco Technology, Inc. | Static endpoint validation |
| US10554493B2 (en) | 2017-06-19 | 2020-02-04 | Cisco Technology, Inc. | Identifying mismatches between a logical model and node implementation |
| US10341184B2 (en) | 2017-06-19 | 2019-07-02 | Cisco Technology, Inc. | Validation of layer 3 bridge domain subnets in in a network |
| US10644946B2 (en) | 2017-06-19 | 2020-05-05 | Cisco Technology, Inc. | Detection of overlapping subnets in a network |
| US10567229B2 (en) | 2017-06-19 | 2020-02-18 | Cisco Technology, Inc. | Validating endpoint configurations between nodes |
| US10348564B2 (en) | 2017-06-19 | 2019-07-09 | Cisco Technology, Inc. | Validation of routing information base-forwarding information base equivalence in a network |
| US11343150B2 (en) | 2017-06-19 | 2022-05-24 | Cisco Technology, Inc. | Validation of learned routes in a network |
| US10432467B2 (en) | 2017-06-19 | 2019-10-01 | Cisco Technology, Inc. | Network validation between the logical level and the hardware level of a network |
| US10673702B2 (en) | 2017-06-19 | 2020-06-02 | Cisco Technology, Inc. | Validation of layer 3 using virtual routing forwarding containers in a network |
| US10411996B2 (en) | 2017-06-19 | 2019-09-10 | Cisco Technology, Inc. | Validation of routing information in a network fabric |
| US10218572B2 (en) | 2017-06-19 | 2019-02-26 | Cisco Technology, Inc. | Multiprotocol border gateway protocol routing validation |
| US10567228B2 (en) | 2017-06-19 | 2020-02-18 | Cisco Technology, Inc. | Validation of cross logical groups in a network |
| US10528444B2 (en) | 2017-06-19 | 2020-01-07 | Cisco Technology, Inc. | Event generation in response to validation between logical level and hardware level |
| US10587484B2 (en) | 2017-09-12 | 2020-03-10 | Cisco Technology, Inc. | Anomaly detection and reporting in a network assurance appliance |
| US10587456B2 (en) | 2017-09-12 | 2020-03-10 | Cisco Technology, Inc. | Event clustering for a network assurance platform |
| US10554477B2 (en) | 2017-09-13 | 2020-02-04 | Cisco Technology, Inc. | Network assurance event aggregator |
| US10333833B2 (en) | 2017-09-25 | 2019-06-25 | Cisco Technology, Inc. | Endpoint path assurance |
| US11102053B2 (en) | 2017-12-05 | 2021-08-24 | Cisco Technology, Inc. | Cross-domain assurance |
| US10873509B2 (en) | 2018-01-17 | 2020-12-22 | Cisco Technology, Inc. | Check-pointing ACI network state and re-execution from a check-pointed state |
| US10572495B2 (en) | 2018-02-06 | 2020-02-25 | Cisco Technology Inc. | Network assurance database version compatibility |
| US10812315B2 (en) | 2018-06-07 | 2020-10-20 | Cisco Technology, Inc. | Cross-domain network assurance |
| US11019027B2 (en) | 2018-06-27 | 2021-05-25 | Cisco Technology, Inc. | Address translation for external network appliance |
| US11218508B2 (en) | 2018-06-27 | 2022-01-04 | Cisco Technology, Inc. | Assurance of security rules in a network |
| US11044273B2 (en) | 2018-06-27 | 2021-06-22 | Cisco Technology, Inc. | Assurance of security rules in a network |
| US10659298B1 (en) | 2018-06-27 | 2020-05-19 | Cisco Technology, Inc. | Epoch comparison for network events |
| US10911495B2 (en) | 2018-06-27 | 2021-02-02 | Cisco Technology, Inc. | Assurance of security rules in a network |
| US10904070B2 (en) | 2018-07-11 | 2021-01-26 | Cisco Technology, Inc. | Techniques and interfaces for troubleshooting datacenter networks |
| US10826770B2 (en) | 2018-07-26 | 2020-11-03 | Cisco Technology, Inc. | Synthesis of models for networks using automated boolean learning |
| US10616072B1 (en) | 2018-07-27 | 2020-04-07 | Cisco Technology, Inc. | Epoch data interface |
| CN115664848B (zh) * | 2022-12-08 | 2023-03-10 | 北京华云安信息技术有限公司 | 路由器配置的劫持检测方法、装置、电子设备及存储介质 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5926463A (en) * | 1997-10-06 | 1999-07-20 | 3Com Corporation | Method and apparatus for viewing and managing a configuration of a computer network |
| WO2001061598A1 (en) | 2000-02-15 | 2001-08-23 | First Usa Bank, N.A. | System and method for processing applications for financial services |
| US7191244B2 (en) | 2001-01-19 | 2007-03-13 | Streamworks Technologies, Inc. | System and method for routing media |
| US6914886B2 (en) * | 2001-05-03 | 2005-07-05 | Radware Ltd. | Controlling traffic on links between autonomous systems |
| US8014283B2 (en) * | 2001-06-01 | 2011-09-06 | Fujitsu Limited | System and method for topology constrained QoS provisioning |
| WO2003019870A2 (en) | 2001-08-24 | 2003-03-06 | Peribit Networks, Inc. | Dynamic multi-point meshed overlay network |
| US7334045B1 (en) * | 2002-11-18 | 2008-02-19 | Packet Design, Inc. | Method and apparatus for allocating traffic among routers on a computer network |
| JP3577067B2 (ja) * | 2002-12-24 | 2004-10-13 | 一 福嶋 | 動的ipアドレス割当てを受けた機器を管理する方法およびシステム |
| US20040258074A1 (en) * | 2003-06-20 | 2004-12-23 | Williams Aidan Michael | Method and apparatus for allocating addresses in integrated zero-configured and manually configured networks |
| US7609647B2 (en) * | 2004-05-12 | 2009-10-27 | Bce Inc. | Method and apparatus for network configuration validation |
| US7496105B2 (en) * | 2004-11-05 | 2009-02-24 | Cisco Technology, Inc. | System and method for retrieving computed paths from a path computation element using encrypted objects |
| US8572234B2 (en) * | 2004-11-30 | 2013-10-29 | Hewlett-Packard Development, L.P. | MPLS VPN fault management using IGP monitoring system |
| US7616574B2 (en) * | 2005-03-15 | 2009-11-10 | Cisco Technology, Inc. | Dynamic retrieval of routing information for inter-AS TE-LSPs |
| US7801135B2 (en) * | 2005-05-19 | 2010-09-21 | Cisco Technology, Inc. | Transport protocol connection synchronization |
| US20060291446A1 (en) * | 2005-06-24 | 2006-12-28 | Donald Caldwell | Systems, methods, and devices for managing routing |
-
2005
- 2005-08-26 US US11/213,010 patent/US7619989B2/en not_active Expired - Fee Related
-
2006
- 2006-08-22 WO PCT/IB2006/003509 patent/WO2007026263A2/en active Application Filing
- 2006-08-22 EP EP06809258A patent/EP1929707B1/en not_active Ceased
- 2006-08-25 CN CN2006101371979A patent/CN1937589B/zh not_active Expired - Fee Related
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104010048A (zh) * | 2014-03-18 | 2014-08-27 | 秦超 | 用于ip地址管理的设备和方法 |
| CN107241236A (zh) * | 2016-03-29 | 2017-10-10 | 华为技术有限公司 | 转发信息库表项检测方法、检测设备及网络设备 |
| CN107241236B (zh) * | 2016-03-29 | 2020-11-03 | 华为技术有限公司 | 转发信息库表项检测方法、检测设备及网络设备 |
| US20220321535A1 (en) * | 2021-04-06 | 2022-10-06 | Vmware, Inc. | Secured suppression of address discovery messages |
| US11805101B2 (en) * | 2021-04-06 | 2023-10-31 | Vmware, Inc. | Secured suppression of address discovery messages |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007026263A2 (en) | 2007-03-08 |
| WO2007026263A3 (en) | 2007-06-21 |
| EP1929707B1 (en) | 2013-03-06 |
| US7619989B2 (en) | 2009-11-17 |
| EP1929707A2 (en) | 2008-06-11 |
| CN1937589B (zh) | 2012-07-04 |
| US20070047464A1 (en) | 2007-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1937589A (zh) | 路由配置验证的装置和方法 | |
| US7496685B2 (en) | Method and system for managing a device within a private network using a management device external to the private network | |
| AU2003229009B2 (en) | Network configuration evaluation | |
| US8456987B1 (en) | Method and apparatus for route optimization enforcement and verification | |
| US9762537B1 (en) | Secure path selection within computer networks | |
| US7383357B2 (en) | Implementing managed network services for customers with duplicate IP networks | |
| US8045488B2 (en) | Using spanning tree protocol (STP) to enhance layer-2 network topology maps | |
| JP2007129702A (ja) | Vpnトポロジの準リアルタイム更新を発見及び提供する方法及びシステム | |
| JP6193473B2 (ja) | コンピュータ実施方法、コンピュータプログラム製品及びコンピュータ | |
| US9391886B2 (en) | Identification of the paths taken through a network of interconnected devices | |
| US7373563B2 (en) | Root cause correlation in connectionless networks | |
| US10469446B1 (en) | Subscriber-aware network address translation | |
| US7701934B2 (en) | System and method for managing devices within a private network via a public network | |
| Beck et al. | Monitoring the neighbor discovery protocol | |
| Kumari et al. | Remote triggered black hole filtering with unicast reverse path forwarding (urpf) | |
| US7702765B1 (en) | Techniques for automatically creating an iBGP mesh | |
| de Vries et al. | Global-scale anycast network management with verfploeter | |
| EP2690832B1 (en) | Communication device, communication system, and communication method | |
| JP3895359B2 (ja) | Vpn通信制御装置、vpnにおける通信制御方法、仮想専用網管理装置 | |
| WO2011144139A1 (zh) | 检测自治系统内ip地址冲突的方法及设备 | |
| CN111953748B (zh) | 会话记录生成方法、装置及存储介质 | |
| Wübbeling et al. | Inter-AS routing anomalies: Improved detection and classification | |
| Chittimaneni et al. | Enterprise IPv6 deployment guidelines | |
| Zhang et al. | A secure and scalable Internet routing architecture (SIRA) | |
| KR20060027576A (ko) | 망관리시스템에서의 스위치장비간 링크 연결정보 구축방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120704 Termination date: 20180825 |