跳到主要内容

5. Traffic Filtering (流量过滤)

5. Traffic Filtering (流量过滤)

流量过滤策略传统上被认为是相对静态的。这些静态机制的局限性导致设计了这种新的动态机制, 用于三个新的流量过滤应用:

  • 预防基于流量的拒绝服务 (DoS) 攻击

  • BGP/MPLS VPN 服务上下文中的流量过滤

  • SDN/NFV 网络的集中式流量控制

这些应用需要服务提供商之间的协调和/或服务提供商内的 AS 之间的协调。

第 4 节中定义的 Flow Specification NLRI 传递有关应丢弃或以一组预定义操作 (在 BGP Extended Communities 中定义) 指定的方式处理的流量的流量过滤规则的信息。该机制主要设计用于允许上游自治系统在其入口路由器中对给定下游 AS 希望丢弃的流量执行入站过滤。

为了实现这一目标, 本文档指定了两个特定于应用的 NLRI 标识符, 它们提供流量过滤器和 BGP Extended Communities 中的一组操作编码。这两个特定于应用的 NLRI 标识符是:

  • IPv4 Flow Specification 标识符 (AFI=1, SAFI=133) 以及 IPv4 路由的特定语义规则, 以及

  • VPNv4 Flow Specification 标识符 (AFI=1, SAFI=134) 值, 可用于在 BGP/MPLS VPN 环境中传播流量过滤信息。

NLRI 的编码在第 4 节中描述用于 IPv4 Flow Specification, 在第 8 节中描述用于 VPNv4 Flow Specification。过滤操作在第 7 节中描述。

最后 更新