曹麗華 朱 冰 崔文超

吉林師范大學，吉林四平 136000

BGP無效路由檢測是指通過對路由地址前綴、IP地址分布、關(guān)系所屬等方面進行檢測來判定路由地址合法性的一種檢測手段，且在AS系統(tǒng)下通過采取BGP無線路由檢測方法能夠快速地找到錯誤的路由路徑，防止無效路由進一步擴散，提高internet性能，消除冗余備份及環(huán)路，并保障internet的高效性、便捷性。

基于AS關(guān)系下的BGP無效路由檢測通過外部網(wǎng)關(guān)協(xié)議進行的信息間的傳遞、更新和交換，但由于配置因素、安全因素等諸多因素的影響干預，會出現(xiàn)無效路由信息等情況，同時internet歸屬于AS系統(tǒng)，因此，在固定的范圍內(nèi)信息之間的交換可以無限循環(huán)。

1 BGP基本配置

BGP基本配置圖如圖1所示，基本配置表如表1所示。

圖1 BGP基本配置

表1 BGP基本配置表

綜上可知，自治區(qū)域中路由通過分級的鏈接狀態(tài)路由協(xié)議，建立合適的路由條目，同時路由表與其他路由器建立內(nèi)部BGP協(xié)議對等關(guān)系，進行信息交換，R3與物理鏈接的R4上的自治區(qū)域65502的BGP協(xié)議建立EBGP關(guān)系，進行信息交換。

2 BGP路由協(xié)議

BGP是自治系統(tǒng)間的路由協(xié)議，且用于處理不同網(wǎng)絡(luò)之間的協(xié)議，其交換的信息為路由檢測提供參考依據(jù)，且根據(jù)性能優(yōu)化、策略約束進行路由決策，但隨著互聯(lián)網(wǎng)的不斷發(fā)展，優(yōu)勢與劣勢并存，其優(yōu)勢在于IP地址唯一，用戶在使用時往往選擇最優(yōu)訪問路徑，且訪問速度可變，靈活性較高，同時BGP協(xié)議自身具有冗余備份和消除環(huán)路的特點，在服務(wù)器方面具有良好的拓展性和融合性，且訪問速度較快。但劣勢在于32位網(wǎng)絡(luò)地址消耗量大，存在耗竭現(xiàn)象，且由于B類網(wǎng)絡(luò)地址空間較大無法使用，C類網(wǎng)絡(luò)地址空間較小，管理方面存在一定的問題。

3 自治系統(tǒng)關(guān)系

3.1 自治系統(tǒng)類別及系統(tǒng)間關(guān)系

自治系統(tǒng)內(nèi)部路由稱為內(nèi)部路由，常見的內(nèi)部路由協(xié)議為路由信息協(xié)議、內(nèi)部網(wǎng)關(guān)路由協(xié)議、最短路徑優(yōu)先協(xié)議等，自治系統(tǒng)間的路由成為外部路由。通常只是用一個外部路由協(xié)議來進行處理，常見的外部路由協(xié)議為BGP路由協(xié)議。

自治系統(tǒng)間的關(guān)系可分為客戶-提供者關(guān)系、對等者關(guān)系和姊妹關(guān)系3種，客戶-提供者關(guān)系是指客戶從提供者方面購買internet服務(wù)或網(wǎng)絡(luò)資源，客戶與提供者的關(guān)系為多對多關(guān)系。對等者關(guān)系是指建立對等關(guān)系的自治系統(tǒng)雙方大小相同，其目的是為節(jié)約流量，提高網(wǎng)絡(luò)信息訪問效率。姊妹關(guān)系是指2個自治系統(tǒng)間提供相同的服務(wù)，且提供者相同或ISP相同。

3.2 BGP路由輸出原則

當客戶向提供者進行信息輸出時，所輸出的路由僅為自身路由或客戶路由，當提供者向客戶進行信息輸出時，所輸出的路由即可為自身路由或它客戶路由，又可為其他提供者或?qū)Φ日叩穆酚?，當對對等者進行信息輸出時，所輸出的路由僅為自身路由或它客戶路由。

4 BGP無效路由檢測方法

4.1 BGP無效路由形式

數(shù)據(jù)在傳輸過程中會根據(jù)最優(yōu)路由選擇原則選擇較為合適的路由進行匹配，并根據(jù)所匹配路由的信息對數(shù)據(jù)進行發(fā)送傳輸，通過對路由表的分析可知，地址前綴和AS路徑為主要為2大方面。

4.1.1 地址前綴無效

地址前綴和該地址所經(jīng)過自治序列共同組成了BGP路由，且該地址的流向為自治序列的排列順序，地址前綴無效是指自治系統(tǒng)下流量的定向流動，限制了數(shù)據(jù)的發(fā)送效率，主要范圍包括未被分配的IP地址、私有地址、AS地址等，地址前綴無效會直接影響網(wǎng)絡(luò)自身的安全性，同時降低路由的有效性，容易造成網(wǎng)絡(luò)中斷等現(xiàn)象的出現(xiàn)。

4.1.2 AS路徑無效

AS路徑流量承載具有唯一性，同時路由在設(shè)定輸出策略時根據(jù)路由自身信息表示進行選擇，針對BGP在最佳路徑上的選擇是根據(jù)BGP自身的屬性來決定，而不是BGP在數(shù)據(jù)傳輸時的傳輸速度，因此，若出現(xiàn)AS路徑無效現(xiàn)象，則說明在BGP屬性方面存在虛假問題，此種現(xiàn)象的出現(xiàn)直接導致網(wǎng)絡(luò)傳輸安全性遭到破壞，網(wǎng)絡(luò)資源浪費現(xiàn)象嚴重，傳輸過程中數(shù)據(jù)傳輸方向不明確，漏發(fā)、錯發(fā)情況頻繁發(fā)生。

4.2 BGP無效路由檢測算法

定義1：自治系統(tǒng)所擁有的前綴表示為prefix （u）。其中包括客戶前綴集和對等體前綴集。

定義2：若u∈V，則AS-Object表示為自治系統(tǒng)鄰接關(guān)系的數(shù)據(jù)結(jié)構(gòu)，其范圍為 （AS-n，relationship），relationship指自治系統(tǒng)關(guān)系，AS-n指自治系統(tǒng)號。

定義3：提供者路由P是指從提供者自身獲得的路由地址，同理可得對等者路由、客戶路由等，空路徑是指無法到達目的地址的路徑。

定義4：提供者邊是指提供者到客戶的邊，客戶邊是指客戶到提供者的邊，對等邊是指鏈接對等者的邊，兄弟邊是指連接兄弟的邊，姊妹邊是指連接姊妹的邊。由此可推出路由擴展原則。

定義5：入境路由檢測算法是指自治系統(tǒng)接收來自V的路由，若AS路徑長度=1m，則路徑有效，反之則查看AS路徑是否符合路由拓展原則則且長度＞1m，若符合則路徑有效，否則無效。

定義6：出境路由檢測算法是指自治系統(tǒng)獲取所要輸出的路由，查看路由路徑前綴是否所屬于本地所有，若屬于則可輸出，反之查看AS路徑事都符合路由拓展原則且長度＞1，若符合則輸出，否則無效。

4.3 BGP無效路由檢測算法實現(xiàn)

為了檢測BGP無效路由的檢測算法實現(xiàn)程度，通過對路由地址分配情況進行研究分析，除未被使用的路由地址外，分析在規(guī)定范圍時間內(nèi)地址前綴和AS路徑的無效情況，同時針對新增加的地址前綴和路由屬性進行記錄，并針對路由地址進行更新操作，大量數(shù)據(jù)表明，通過BGP無效路由檢測可以發(fā)現(xiàn)在路由輸入輸出時所出現(xiàn)的無效路由或私有AS號碼，并可發(fā)現(xiàn)路由循環(huán)現(xiàn)象和路由通告中非授權(quán)地址，BGP無效路由檢測方法在操作上便捷、準確性較高，且系統(tǒng)花銷較小。

5 結(jié)語

BGP無效路由檢測方法主要應用于對地址前綴和AS路徑方面的無效檢測，在AS關(guān)系集和地址前綴集方面的更新上具有技術(shù)支持作用，同時該方法操作簡易、便于使用，準確性較高，符合internet整體性能提高需求。