Hidra:一个分级域间路由架构

Internet域间路由系统的扩展性面临着严峻挑战.主要表现在全球路由表膨胀和路由更新频繁.分析发现造成全球路由表膨胀的根本原因是标识自治系统位置的IP前缀数目不可控,造成路由更新频繁的根本原因是扁平的域间路由结构.基于此,文中提出了一个分级域间路由架构Hidra(Hierarchical inter-domain routing architec-ture).Hidra的核心思想是隔离网络边界与核心:"相对稳定"的核心网络位于高阶路由层,运行高阶域间路由协议,以维持核心网络的可达性;在"变化相对剧烈"的边界,引入一个低阶映射层和相应的映射服务,以维持边界网络与核心网络之间的可达性.因为与不稳定的边界网络隔离,核心网络路由的稳定性增强.Hidra引入一个标识传送自治系统位置的域间路由标识(Routing IDentity,RID).它由传送自治系统及其提供商自治系统唯一确定,显著降低了全球路由表的规模.     

一种带有路由反射的BGP路由预测算法

由于路由反射器的影响,路由器可能只知道非常有限的到达外部目的地的路由的子集,BGP路径选择过程并不会形成一个确定的路径等级顺序,使得路径预测变得非常困难.给出了一种算法,该算法不需要对路由协议动态进行复杂的模拟,只需要静态的路由数据就可以计算出带有路由反射的路由选择结果,并在一个模拟的大型ISP上验证了预测算法的正确性.结果显示配置的改变可以引起路由表的变化.     

MASK: An efficient mechanism to extend inter-domain IP spoofing preventions

IP spoofing hinders the efficiency of DDoS defenses. While recent proposals of IP spoofing prevention mechanisms are weak at filtering spoofing packets due to the complexity in maintaining source IP spaces and the low incentive of deployments. To address this problem, we propose an efficient mechanism to extend the range of inter-domain IP spoofing prevention called MASK. Source MASK nodes inform destination MASK nodes about the source IP spaces and labels of their neighbor Stub-ASes in order to implement the marking and verification of packets towards the Stub-ASes, and limit the number of MASK peers through the propagation of BGP updates so as to reduce the overheads of computing and storing of labels. By utilizing the method of extending the spoofing prevention to Stub-ASes, MASK can not only enlarge the domain of the spoofing prevention service, but also filter spoofing packets in advance. Through analysis and simulations, we demonstrate MASK＇s accuracy and effectiveness.     

A TLP approach for BGP based on local speculation

With the explosive growth of Internet, the low efficiency of BGP has seriously influenced its usability. In this work, a TLP （thread level parallelism） approach with local speculation is proposed to improve the BGP performance. The thread partition is locally performed on each separated sub-module at route processing, and the speculation strategy is implemented to guarantee the memory consistency and sequential commit. Experiments on Intel Quad-core server show that this approach reaches an average speedup of 1.46 under single peer, multi-peers and route flapping. It is also shown that the packet throughput can be improved greatly under multiple sessions by taking advantage of TLP.     

MP-EBGP网络技术应用研究

BGP MPLS VPN是未来VPN技术的主流,随着企业信息化进程的加快,越来越多的用户要求能够跨市、跨省甚至跨国的通信。以不同AS域的BGP MPLS VPN为基础,通过在ABSR之间配置它们互连接口的IP地址、为VPN配置VRF的Import/Export Target以及在ASBR上对MP-EBGP的特殊配置,实现了MP-EBGP组网方式,并分析了这种组网方式的性能。     

BGP4+协议一致性测试系统设计与实现*

BGP4+是一种在自治系统间运行的动态路由协议,其功能是在自治系统间交换网络层可达信息。IPv6协议作为下一代互联网最有竞争力的核心协议成为研究热点。BGP4+是IPv6最重要的路由协议,已经在路由器等网络设备中得到广泛实现。如何保证各网络设备协议实现的一致性,是保证各设备可以互连、互操作的关键。在介绍BGP4+的基础上,设计并实现了BGP4+的协议一致性测试系统,并对一基于FreeBSD平台的BGP4+一致性测试实现的结果进行了分析。     

基于BGP协议的MPLSVPN构建机制分析

介绍了实现基于BGP协议实现的MPLS VPN所需要的各个组成构件及其在构建VPN的过程中所起的作用,介绍了BGP/MPLS VPN的工作原理,并举出实例,对一个具体的VPN数据报在某个具体的MPLS骨干网络中传递的整个过程,及其在每个传递环节中的处理等做出了具体的描述,由此达到对BGP/MPLS VPN的整个工作过程进行剖析描述的目的,并详细而清晰地说明了其工作机制.在此基础上,结合MPLS网络所特有的一些特性,进一步分析和阐述了在MPLS网络上实现VPN所带来的种种优越性.     

解决策略冲突导致BGP路由发散的自适应机制

BGP(border gateway protocol)作为一种基于策略的协议,允许每个自治系统独立地选择本地路由策略.自治系统之间可能存在的路由策略冲突会引起BGP路由持续不稳定.当前提出的解决办法要么需要增加额外的通信开销,要么限制自治系统自由的选择路由策略.提出了一种解决策略冲突引起BGP路由不收敛的自适应方法,既不损害自治系统选择路由策略的灵活性,也不需要在BGP消息中增加额外信息.路由的稳定性被加入到BGP的判决过程中,不稳定路由的优先级被降低,使更加稳定的路由得以被选为最优路由,终止路由策略冲突引起的争执.在网络拓扑发生改变的情况下,这种新方法能够自适应地调整路由选择,重新收敛到新的稳定状态.     

边界网关协议的攻击分析与安全防范

分析边界网关协议(BGP)当前版本中存在的漏洞和脆弱性,指出可能遭受的基于TCP及自身漏洞的攻击。提出BGP的安全威胁模型和防范策略,以及如何对协议功能进行扩展的措施。以CISCO路由器为例,给出典型的安全防范配置。实践证明,通过访问控制列表、数字签名、路由过滤、源地址检测和协议扩展方案,可以有效提高网络的安全性和稳定性。     

域间IP欺骗防御服务增强机制

IP地址真实性验证成为构建可信网络的基础,基于源-目的标识(密钥)的自治域级IP欺骗过滤和基于源标识(公钥)的端系统级IP认证均采用了端-端方式试图解决IP欺骗.端-端认证方式实现简单,但却忽略了IP欺骗报文对中间网络的泛洪攻击,防御效果差.提出面向IP欺骗防御联盟成员的域间IP欺骗防御服务增强机制——ESP(enhanced spoofing prevention).ESP引入开放的路由器协同机制,提供了源-目的路径中ESP节点信息通告和协同标记的框架.基于源标识IP欺骗防御,ESP融入了路径标识,不仅减小了源标识冲突概率,而且混合型标识支持了ESP节点根据报文标识提前过滤IP欺骗报文.基于BGP(border gateway protocol),提出前缀p-安全节点的概念和检测理论,有效控制了源标识传播范围,减小了ESP节点的标记和过滤开销.ESP继承了基于标识的防御机制的可部分部署性,能够很好地支持动态路由和非对称路由.应用Routeview提供的RIB(routing information base)进行评估,ESP增强了IP欺骗防御服务的能力,而且能够提前过滤IP欺骗报文.