(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211161357.9 (22)申请日 2022.09.23 (71)申请人 浙江鹏信 信息科技股份有限公司 地址 311100 浙江省杭州市余杭区仓前街 道向往街10 08号14幢9-10层 (72)发明人 陈晓莉　章亮　金大为　徐路平　 张晶晶　祝天鹏　 (74)专利代理 机构 浙江永鼎律师事务所 3 3233 专利代理师 王日精 (51)Int.Cl. H04L 9/40(2022.01) H04L 45/00(2022.01) (54)发明名称 基于FRR软件路由集群的IP封堵方法、 系统 及介质 (57)摘要 本发明涉及基于FRR软件路由集群的IP封堵 方法、 系统及介质。 其中， IP封堵方法包括： S1、 对 下发的IP封堵任务进行任务处理， 以将各IP封堵 任务划分为小任务或正常任务； 小任务的待封堵 IP的数量小于正常任务的待封堵IP的数量； S2、 利用智能调度算法调度F RR软件路由集群中的目 标FRR封堵节点， 以执行小任务或正常任务的IP 封堵； FRR软件路由集群包括数个FRR封堵节点； S3、 目标F RR封堵节点产生的黑洞路由通过BGP转 发节点同步至外部BGP 对等体。 本发明通过F RR软 件路由集群技术实现黑洞路由下发， 并通过路由 重分布机制实现BGP协议转换下 发至BGP对等体， 从而实现IP高并发大容 量快速封堵。 权利要求书2页 说明书7页 附图2页 CN 115277251 A 2022.11.01 CN 115277251 A 1.基于FR R软件路由集群的IP封堵方法， 其特 征在于， 包括以下步骤： S1、 对下发的IP封堵任务进行任务处理， 以将各IP封堵任务划分为小任务或正常任务； 其中， IP封堵任务包括若干待封堵IP； 小任务的待封堵IP的数量小于正常任务的待封堵IP 的数量； S2、 利用智能调度算法调度FRR软件路由集群中的目标FRR封堵节点， 以执行小任务或 正常任务的IP 封堵； 其中， FRR软件路由集群包括数个FRR封堵节 点； 小任务的执行优先级高 于正常任务的执 行优先级； S3、 目标FRR封堵节点产生的黑洞路由通过BGP转发节点同步至 外部BGP对等体。 2.根据权利要求1所述的基于FRR软件路由集群的IP封堵方法， 其特征在于， 所述步骤 S1中， 对下发的IP封堵任务进行任务处 理， 包括以下步骤： S11、 判断IP封堵任务的待封堵IP的数量是否超出第一预设阈值； 若是， 则转至步骤 S12； 若否， 则IP封堵任务划分为小任务； S12、 判断IP封堵任务的待封堵IP的数量是否处于第一预设阈值与第二预设阈值之间， 第二预设阈值大于第一预设阈值； 若是， 则IP封堵任务划分为正常任务； 若否， 则转至步骤 S13； S13、 对IP封堵任务进行任务拆分， 拆分为数个正常任务。 3.根据权利要求2所述的基于FRR软件路由集群的IP封堵方法， 其特征在于， 所述步骤 S11之前， 还 包括步骤： S10、 对IP封堵任务的待封堵IP进行IP白名单和已封堵IP名单的过滤； 其中， IP白名单 包括禁止 封堵的IP。 4.根据权利要求1 ‑3任一项所述的基于FRR软件路由集群的IP封堵方法， 其特征在于， 所述步骤S2 中， 利用智能调度算法调度FRR软件路 由集群中的目标FRR封堵节点， 包括以下 步骤： S21、 获取FRR软件路由集群中的各FRR封堵节点的静态路由条目可用容量， 并筛选出静 态路由条目可用容 量最大的初选FR R封堵节点； S22、 判断初选FRR封堵节点是否存在任务执行； 若是， 则返回至步骤S21； 若否， 则转至 步骤S23； 步骤S23、 判断初选FRR封堵节点是否处于可用状态； 若是， 则初选FRR封堵节点作为目 标FRR封堵节点； 若否， 则返回至步骤S21。 5.根据权利要求4所述的基于FRR软件路由集群的IP封堵方法， 其特征在于， 所述步骤 S21中， FRR封堵节点的静态路 由条目可用容量为FRR封堵节点的预设静态路 由容量与已下 发使用的静态路由条目数量的差值。 6.根据权利要求4所述的基于FRR软件路由集群的IP封堵方法， 其特征在于， 所述步骤 S23中， 通过FRR封堵节点的长连接状态CS、 BGP转发节点的IBGP状态IS、 BGP转发节点的EBGP 状态ES和BGP转发节点的重分布状态RS判断初选FR R封堵节点是否处于可用状态， 包括： 通过SSH登录FRR封堵节点后设置下发周期下发回车符探测其存活性； 若成功， 则CS赋 值1； 若失败， 则CS置为0； 通过在BGP转发节点获取BGP全局信息后， 判断FRR封堵节点的BGP状态是否建立； 若是， 则IS赋值1； 若否， 则IS置为0；权　利　要　求　书 1/2 页 2 CN 115277251 A 2通过在BGP转发节点获取BGP全局信息后， 判断外部BGP对等体 的BGP状态是否建立； 若 是， 则ES赋值1； 若否， 则ES置为0； 通过在BGP转发节点获取重分布状态； 若成功， 则RS赋值1； 若失败， 则RS置为0； 可用状态的判断公式为CS*IS*ES*RS； 若CS*IS*ES*RS的值为1， 则初选FRR封堵节点处 于可用状态。 7.根据权利要求5所述的基于FRR软件路由集群的IP封堵方法， 其特征在于， 所述IP封 堵方法还 包括： 定时监测各 FRR封堵节点的静态路由条目可用容 量并求和得到总体剩余 容量TRC； 根据总体剩余容量以及所有FRR封堵节点的预设静态路由容量的总和TC， 得到总体使 用率TUR； 其中， T UR=(TC‑TRC)/TC； 判断总体使用率是否超出预警阈值 a； 若是， 则通过docker容器自动扩展FRR封堵节点； 其中， FRR封堵节点的扩展数量EN满足： min(EN*K+TRC)/TC>1 ‑a， K为FRR封堵节点的预设静 态路由容 量。 8.根据权利要求1 ‑3任一项所述的基于FRR软件路由集群的IP封堵方法， 其特征在于， 所述步骤S3之后， 还 包括以下步骤： S4、 获取FRR封堵节点的配置文件， 根据 IP封堵任务的ID获取对应的IP地址及地址段信 息； S5、 将IP地址及地址段信息拆分为32位主机地址， 并转换成整形 数值； S6、 将转换后的整形数值与当前FRR封堵节点的历史IP整形数值库进行匹配； 若全部匹 配成功， 则更新相应的IP 封堵任务验证状态 为已验证成功； 若部 分匹配成功， 则更新相应的 IP封堵任务状态为部分验证成功， 并输出封堵失败IP。 9.基于FRR软件路由集群的IP封堵系统， 应用如权利要求1 ‑8任一项所述的IP封堵方 法， 其特征在于， 所述 IP封堵系统包括： 任务处理模块， 用于对下发的IP封堵任务进行任务处理， 以将各IP封堵任务划分为小 任务或正常任务； 其中， IP 封堵任务包括若干待封堵IP； 小任务的待封堵IP的数量小于正常 任务的待封堵IP的数量； FRR软件路由集群， 包括数个FR R封堵节点； 封堵调度模块， 用于利用智能调度算法调度FRR软件路由集群中的目标FRR封堵节点， 以执行小任务或正常任务的IP封堵； 其中， 小任务的执行优先级高于正常任务的执行优先 级； BGP转发节点， 用于将目标 FRR封堵节点产生的黑洞路由同步至 外部BGP对等体。 10.一种计算机可读存储介质， 所述计算机可读存储介质中存储有指令， 其特征在于， 当指令在计算机上运行时， 使得计算机执 行如权利要求1 ‑8任一项所述的IP封堵方法。权　利　要　求　书 2/2 页 3 CN 115277251 A 3