• 日期: 2027-11-10
  • 标签: 科技

现代IP路由器具备根据IP前缀转发流量的能力,同时也能够根据行政定义的策略对数据包进行分类、塑形、限速、过滤或重定向。

这些流量策略机制允许路由器定义匹配规则,这些规则可以作用于数据包头的多个字段。上述行为可以与每个规则相关联。

由匹配条件组成的n元组定义了一个聚合的流量流规范。匹配条件可以包括源地址前缀、目标地址前缀、IP协议和传输协议端口号等元素。

本文档定义了一种通用的过程,将聚合流量流规范编码为BGP [RFC4271] NLRI以进行分发。此外,我们还定义了使用此定义解决作者所关注的问题所需的机制:内部和跨提供商分发流量过滤规则以过滤(分布式)拒绝服务(DoS)攻击。

通过扩展路由信息和流量规范,路由系统可以利用路由器转发路径中的ACL(访问控制列表)或防火墙功能。流量规范可以视为更具体的路由条目,用于单播前缀,并且预计将取决于现有的单播数据信息。

从外部自治系统接收到的流量规范在被接受之前需要针对单播路由进行验证。如果通过单播目的地前缀定义的聚合流量流转发到给定的BGP对等体,则本地系统可以安全地安装更具体的流规则,这可能会导致不同的转发行为,如该系统所请求。

解决本文档所针对的问题类别所需的关键技术组件包括:

1.高效的点对多点控制平面信息分发。

2.跨域能力和路由策略支持。

3.与单播路由的紧密集成,以进行验证目的。

项1和2已经使用BGP解决了其他类型的控制平面信息。与BGP的紧密集成也使得指定自动验证流信息针对单播路由的机制成为可能。这些因素是选择BGP作为流量规范信息载体的原因。

与以前对BGP的扩展一样,此规范使添加附加信息到Internet路由器成为可能。它们在最大数据元素数量和它们能够在给定时间单位内处理的事件数量方面受到限制。作者认为,与以前的扩展一样,服务提供商将小心地将信息水平保持在设备的最大容量以下。

预计,在许多最初的部署中,流量规范信息将替换现有的主机长度路由广告,而不是添加附加信息。

以前BGP扩展的经验还表明,随着预期负载的增加,BGP发言人的最大容量已逐渐增加。考虑到Internet单播路由以及随着其他应用程序的普及而增加的应用程序。

从操作角度来看,将BGP用作此信息的载体允许网络服务提供商重用内部路由分发基础设施(例如,路由反射器或联盟设计)和现有的外部关系(例如,与客户网络的跨域BGP会话)。

虽然使用其他机制可以解决此问题,但作者认为,这个解决方案具有增量添加到已部署机制的实质性优势。

在当前的部署中,流规范扩展分发的信息既可以手动发起,也可以自动发起。后者由能够检测到恶意流的系统完成。使用自动化系统时,应注意确保其正确性并限制流路由的数量和广告速率。

本规范定义了所需的协议扩展,以解决IPv4单播和VPNv4单播过滤的大多数常见应用程序。相同的机制可以被重复使用,并添加新的匹配标准以解决其他BGP地址族的类似过滤需求(例如,IPv6单播)。作者认为,这些最好在单独的文档中解决


原文地址: https://www.cveoy.top/t/topic/fsE8 著作权归作者所有。请勿转载和采集!

免费AI点我,无需注册和登录