技術(shù)領(lǐng)域

本發(fā)明涉及通信領(lǐng)域，特別涉及一種生成訪問控制列表的方法及路由設(shè)備。

背景技術(shù)

在目前的網(wǎng)絡(luò)中，運(yùn)營商的設(shè)備一般都只轉(zhuǎn)發(fā)用戶的數(shù)據(jù)流量，用戶沒有訪問運(yùn)營商路由器的權(quán)限。但是目前運(yùn)營商路由器的IP地址對(duì)外界透明，用戶可通過Tracert的技術(shù)手段或者其他手段輕易地獲取運(yùn)營商路由器的IP地址，利用該IP地址，用戶可以輕易地攻擊運(yùn)營商路由器，例如：用戶可以向該IP地址發(fā)送大量偽造報(bào)文，由于運(yùn)營商路由器需要處理大量這種偽造報(bào)文，耗費(fèi)了運(yùn)營商路由器的處理資源，甚至造成路由器無法正常工作。

現(xiàn)有技術(shù)中，可以通過在用戶邊緣設(shè)備手動(dòng)配置訪問控制列表(AccessControl?list，ACL)解決上述問題。其中，手動(dòng)配置路由器的訪問控制列表ACL，具體為：當(dāng)路由器收到大量的攻擊報(bào)文時(shí)，通過手工配置ACL，阻止偽造報(bào)文以防止攻擊。

在實(shí)現(xiàn)本發(fā)明的過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)至少存在以下問題：

手工配置ACL工作量大，配置不方便，而且網(wǎng)絡(luò)拓?fù)渥兓螅珹CL不能動(dòng)態(tài)配置。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例的目的是提供一種生成訪問控制列表的方法及路由設(shè)備，實(shí)現(xiàn)訪問控制列表ACL的動(dòng)態(tài)配置。

本發(fā)明實(shí)施例的目的是通過以下技術(shù)方案實(shí)現(xiàn)的：

一種生成訪問控制列表的方法，網(wǎng)絡(luò)包括至少兩個(gè)路由器，分別為第一路由器和第二路由器，所述第一路由器和第二路由器之間運(yùn)行內(nèi)部網(wǎng)關(guān)協(xié)議IGP協(xié)議，其中，所述第一路由器為邊界路由器，

所述第一路由器接收來自所述第二路由器的IGP報(bào)文，所述內(nèi)部網(wǎng)關(guān)協(xié)議IGP報(bào)文攜帶所述第二路由器的地址標(biāo)識(shí)；

獲取所述第二路由器的所述地址標(biāo)識(shí)；

根據(jù)所述地址標(biāo)識(shí)，生成以所述地址標(biāo)識(shí)為目的地址的訪問控制列表禁止表項(xiàng)。

一種路由設(shè)備，其中，所述路由設(shè)備為邊界路由器，所述路由設(shè)備包括：

接收模塊510，接收IGP報(bào)文，所述IGP報(bào)文來自第一路由器，攜帶所述第一路由器的地址標(biāo)識(shí)；

地址獲取模塊520，用于獲取所述接收模塊510接收到的IGP報(bào)文中攜帶的所述地址標(biāo)識(shí)；

列表生成模塊530，用于根據(jù)所述地址獲取模塊520獲取的所述地址標(biāo)識(shí)，生成以所述地址標(biāo)識(shí)為目的地址的ACL禁止表項(xiàng)。

一種路由系統(tǒng)，所述系統(tǒng)包括至少兩個(gè)路由設(shè)備，分別為第一路由設(shè)備和第二路由設(shè)備，其中，所述第一路由設(shè)備為邊界路由器，

所述第二路由設(shè)備發(fā)送IGP報(bào)文；

所述第一路由設(shè)備接收來自所述第二路由設(shè)備的所述IGP報(bào)文，所述IGP報(bào)文攜帶所述第二路由設(shè)備的地址標(biāo)識(shí)，獲取所述第二路由設(shè)備的所述地址標(biāo)識(shí)，根據(jù)所述地址標(biāo)識(shí)，生成以所述地址標(biāo)識(shí)為目的地址的ACL禁止表項(xiàng)。

采用本發(fā)明實(shí)施例的技術(shù)方案，第一路由器通過內(nèi)部網(wǎng)關(guān)協(xié)議IGP報(bào)文獲取第二路由器的地址標(biāo)識(shí)，根據(jù)所述地址標(biāo)識(shí)，生成訪問控制列表ACL禁止表項(xiàng)，達(dá)到了動(dòng)態(tài)配置ACL以阻止偽造報(bào)文的技術(shù)效果。

附圖說明

圖1為本發(fā)明實(shí)施例中的組網(wǎng)示意圖；

圖2為本發(fā)明實(shí)施例中的一種生成訪問控制列表的方法流程圖；

圖3為本發(fā)明另一個(gè)實(shí)施例中的組網(wǎng)示意圖；

圖4為本發(fā)明實(shí)施例中的另一種生成訪問控制列表的方法流程圖；

圖5為本發(fā)明實(shí)施例中提供的一種路由設(shè)備示意圖。

具體實(shí)施方式

為了使本發(fā)明實(shí)施例的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下結(jié)合附圖及實(shí)施例，對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

本發(fā)明實(shí)施例中，邊界路由器可以為用戶邊界路由器或ABR(區(qū)域邊界路由器)或Level-1-2路由器(層-1-2路由器)，為便于說明，下面的具體實(shí)施例，將分別就邊界路由器為用戶邊界路由器BR或區(qū)域邊界路由器ABR或Level-1-2路由器時(shí)的情況做詳細(xì)介紹，具體如下：

如圖1所示的網(wǎng)絡(luò)，該網(wǎng)絡(luò)包括路由器110、路由器120、路由器130和用戶設(shè)備140。

其中，路由器110、路由器120和路由器130位于同一區(qū)域之中，路由器110和路由器120位于網(wǎng)絡(luò)側(cè)，路由器130位于用戶側(cè)，路由器130為用戶邊緣路由器。

其中，圖1中的路由器可以為其他具備路由功能模塊的任何網(wǎng)絡(luò)設(shè)備，例如三層交換機(jī)等。

下面以路由器130為例，對(duì)生成訪問控制列表的方法進(jìn)行具體介紹。

如圖2所示，本發(fā)明實(shí)施例的方法包括：