CN102215170B - 抑制网络风暴的方法及处理器 - Google Patents
抑制网络风暴的方法及处理器 Download PDFInfo
- Publication number
- CN102215170B CN102215170B CN201110152701.3A CN201110152701A CN102215170B CN 102215170 B CN102215170 B CN 102215170B CN 201110152701 A CN201110152701 A CN 201110152701A CN 102215170 B CN102215170 B CN 102215170B
- Authority
- CN
- China
- Prior art keywords
- message
- list item
- item resource
- characteristic
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种抑制网络风暴的方法及处理器,其方法包括:处理器获取PTN网络待转发的报文;对报文进行解析,得到报文的报文特征;根据报文特征,并基于包括预设的匹配转发策略的访问控制列表对报文进行转发或丢弃。本发明通过在访问控制列表中设置相应报文特征的匹配转发策略,将PTN网络待转发的广播报文中的ARP请求报文、MPLS转发报文、非MPLS转发的广播报文、二层未知组播报文及二层未知单播报文区分开,进行相应的转发或丢弃处理,不仅有效的抑制了PTN网络风暴,而且避免了将PTN支持的广播报文丢弃,提高了PTN网络的业务性能。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种应用于交换机等网络设备的抑制网络风暴的方法及处理器。
背景技术
目前,随着通信技术的快速发展,如何保证数据业务不受网络风暴的冲击成为通信领域有待解决的重要问题。其中,承载网的发展更是突飞猛进,PTN(分组传送网,PacketTransport Network)网络是其中最为重要的网络形式之一。PTN是一种光传送网络,其具体架构包括:在IP(Internet Protocol,网络之间互连的协议)业务和底层光传输媒质之间设置一个层面,其针对分组业务流量的突发性和统计复用传送的要求而设计,以分组业务为核心并支持多业务提供,具有更低的总体使用成本,同时秉承光传输的传统优势,包括高可用性和可靠性、高效的带宽管理机制和流量工程、便捷的网管、较好的可扩展性及较高安全性等。
PTN网络需要支持的报文类型包括:经过MPLS(Multi-Protocol LabelSwitching,多协议标签交换)转发的业务报文以及二三层协议报文;其中业务报文包括VPWS(VPWS Virtual Private Wire Service,虚拟专用线服务)业务、VPLS(VirtualPrivate Lan Service,虚拟专用局域网)业务。PTN网络需要抑制的报文类型包括:广播报文(DMAC为全0xff的报文)、二层未知组播报文(MAC为组播MAC且查找二层表未命中的报文)、二层未知单播报文(DMAC的单播MAC且查找二层表未命中的报文)。
如图1所示,以CE表示用户终端,P表示设备,CE1的业务要通过PTN网络到达CE2,通过PE1.port1接入PTN网络后,经过PE1.port2->P1.port3->P1.port4->P2.port5->P2.port6->PE2.port7->PE.port8->CE2的MPLS转发过程来完成。由于MPLS转发是基于MPLS标签的转发,与报文VLAN没有直接关系,上述设备的端口可以在同一个VLAN内,例如:P1设备的port3、port4、port5可以同处于VLAN100内,如果P1.port5上出现了上述PTN网络需要抑制的报文之一,这些报文就会向P1.port3和P1.port4广播,而PTN网络本身具有很多保护链路,物理连接上容易成环,这种广播极易在PTN网络的物理连接的环上形成风暴,导致正常PTN业务中断。
现有的一种比较简单的抑制网络风暴的方法是:基于端口或者基于VLAN设置丢弃广播报文、二层未知单播报文以及二层未知组播报文,现有的大部分处理器的交换芯片均支持上述两种方式的寄存器设置。
现有的这种处理方法虽然具有简单易实现的优点,但是其存在以下缺点:无法区分报文,会将所有的广播类报文丢弃,影响到部分协议报文和业务报文,比如两种较为重要的广播报文,一是DMAC(目的介质访问控制地址)为广播MAC(Medium/Media AccessControl,介质访问控制)的ARP(Address Resolution Protocol,地址解析协议)请求报文,其影响ARP协议,二是需要通过PTN网络转发的广播报文,其影响PTN网络部分业务。
发明内容
本发明的主要目的在于提供一种抑制网络风暴的方法及处理器,旨在不影响网络业务的情况下,对PTN网络中的广播风暴进行有效抑制。
为了达到上述目的,本发明提出一种抑制网络风暴的方法,包括:
处理器获取PTN网络待转发的报文;
对所述报文进行解析,得到所述报文的报文特征;
根据所述报文特征,并基于包括预设的匹配转发策略的访问控制列表对所述报文进行转发或丢弃。
优选地,所述根据报文特征,并基于包括预设的匹配转发策略的访问控制列表对所述报文进行转发或丢弃的步骤包括:
查找所述访问控制列表中的第一表项资源;若所述报文特征与所述第一表项资源中的ARP请求报文特征相匹配,则转发所述报文;否则
查找所述访问控制列表中的第二表项资源;若所述报文特征与所述第二表项资源中的非MPLS转发的广播报文特征相匹配,则丢弃该报文;否则
查找所述访问控制列表中的第三表项资源;若所述报文特征与所述第三表项资源中的二层未知组播报文或二层未知单播报文特征相匹配,则丢弃所述报文;否则
按照默认的报文交换处理流程对所述报文进行处理。
优选地,所述报文特征至少包括DMAC类型、以太类型及是否为MPLS转发类型中的一种。
优选地,所述处理器获取PTN网络待转发的报文的步骤之前还包括:
根据报文特征在所述访问控制列表中设置相应的匹配转发策略。
优选地,所述根据报文特征在所述访问控制列表中设置相应的匹配转发策略的步骤包括:
从所述访问控制列表中申请所述第一表项资源,在所述第一表项资源中设置ARP请求报文的匹配特征及对应的执行状态为允许转发;从所述访问控制列表中申请所述第二表项资源,在所述第二表项资源中设置非MPLS转发的广播报文的匹配特征及对应的执行状态为丢弃;从所述访问控制列表中申请所述第三表项资源,在所述第三表项资源中设置二层未知组播报文及二层未知单播报文的匹配特征及对应的执行状态为丢弃。
本发明还提出一种抑制网络风暴的处理器,包括:
报文获取模块,用于获取PTN网络待转发的报文;
报文解析模块,对所述报文进行解析,得到所述报文的报文特征;
报文处理模块,用于根据所述报文特征,并基于包括预设的匹配转发策略的访问控制列表对所述报文进行转发或丢弃。
优选地,所述报文处理模块包括:
查找单元,用于依次查找所述访问控制列表中的第一表项资源、第二表项资源以及第三表项资源;
处理单元,用于当所述报文特征与所述第一表项资源中的ARP请求报文特征相匹配时,转发所述报文;当所述报文特征与所述第二表项资源中的非MPLS转发的广播报文特征相匹配时,丢弃该报文;当所述报文特征与所述第三表项资源中的二层未知组播报文或二层未知单播报文特征相匹配时,丢弃所述报文;否则,按照默认的报文交换处理流程对所述报文进行处理。
优选地,所述报文特征至少包括以下之一:DMAC类型、以太类型及是否为MPLS转发类型。
优选地,还包括:
设置模块,用于根据报文特征在所述访问控制列表中设置相应的匹配转发策略。
优选地,所述设置模块还用于从所述访问控制列表中申请所述第一表项资源,在所述第一表项资源中设置ARP请求报文的匹配特征及对应的执行状态为允许转发;从所述访问控制列表中申请所述第二表项资源,在所述第二表项资源中设置非MPLS转发的广播报文的匹配特征及对应的执行状态为丢弃;从所述访问控制列表中申请所述第三表项资源,在所述第三表项资源中设置二层未知组播报文及二层未知单播报文的匹配特征及对应的执行状态为丢弃。
本发明提出的一种抑制网络风暴的方法及处理器,通过在访问控制列表(accesscontrol list,ACL)中设置相应报文特征的匹配转发策略,将PTN网络待转发的广播报文中的ARP请求报文、MPLS转发报文、非MPLS转发的广播报文、二层未知组播报文及二层未知单播报文区分开,进行相应的转发或丢弃处理,不仅有效的抑制了PTN网络风暴,而且避免了将PTN支持的广播报文丢弃,提高了PTN网络的业务性能。
附图说明
图1是现有的PTN网络转发示意图;
图2是本发明抑制网络风暴的方法一实施例的流程示意图;
图3是本发明抑制网络风暴的方法一实施例中根据报文特征,并基于包括预设的匹配转发策略的访问控制列表对报文进行转发或丢弃的流程示意图;
图4是本发明抑制网络风暴的方法另一实施例的流程示意图;
图5是本发明抑制网络风暴的处理器一实施例的结构示意图;
图6是本发明抑制网络风暴的处理器一实施例中报文处理模块的结构示意图;
图7是本发明抑制网络风暴的处理器另一实施例的结构示意图。
为了使本发明的技术方案更加清楚、明了,下面将结合附图作进一步详述。
具体实施方式
本发明实施例解决方案的主要思路是:在PTN网络的大部分处理器的芯片内,均具有访问控制列表,访问控制列表最大的优势在于可以区分报文进行处理,因此,本发明利用访问控制列表的这种优势,通过设置三条访问控制列表表项共同作用,实现对广播报文、二层未知组播报文、二层未知单播报文丢弃的同时,保持ARP请求报文和通过PTN网络转发的广播报文的正常转发,在不影响PTN网络业务的情况下,有效抑制PTN网络风暴。
如图2所示,本发明一实施例提出一种抑制网络风暴的方法,包括:
步骤S101,处理器获取PTN网络待转发的报文;
在PTN网络通过设备在不同的用户终端之间进行报文的MPLS转发的过程中,PTN网络中的处理器从转发链路中获取PTN网络待转发的报文,以便后续对报文进行解析处理,直至将各种报文区分开来。
PTN网络待转发的报文包括PTN网络支持的报文及PTN网络需要抑制的报文。其中,需要抑制的报文包括广播报文(DMAC为全0xff的报文)、二层未知组播报文(MAC为组播MAC且查找二层表未命中的报文)、二层未知单播报文(DMAC的单播MAC且查找二层表未命中的报文)。
步骤S102,对报文进行解析,得到报文的报文特征;
报文特征包括DMAC类型、以太类型以及是否为MPLS转发类型等。PTN网络待转发的报文自身携带有上述部分报文特征比如报文是否DMAC类型、以太类型等的报文信息;同时,PTN网络通过处理器接收报文时,也可获取到报文是否为MPLS转发类型的报文。
处理器获取到报文后,对报文进行解析,以便得到报文的报文特征。
步骤S103,根据报文特征,并基于包括预设的匹配转发策略的访问控制列表对报文进行转发或丢弃。
本实施例中访问控制列表中预设有针对不同报文特征的匹配转发策略,由于现有的大部分处理器的芯片内,均具有一定数量的访问控制列表,访问控制列表最大的优势在于可以区分报文进行处理,本实施例利用访问控制列表的这种优势,通过设置三条访问控制列表表项共同作用,实现对广播报文、二层未知组播报文、二层未知单播报文丢弃的同时,保持ARP请求报文和通过PTN网络MPLS转发的广播报文的正常转发。
具体地,本实施例中控制列表中预设的匹配转发策略包括:
从访问控制列表中申请第一表项资源,在第一表项资源中设置ARP请求报文的匹配特征及对应的执行状态为允许转发;并匹配处理器的芯片的所有端口。其中,ARP请求报文的匹配特征包括:匹配报文DMAC为全0xff、匹配报文以太类型(ethertype)为0x0806;设置执行状态为允许转发,即设置执行动作为允许通过(dropcacel)。设置该第一表项资源的目的是为了防止同为广播报文的ARP请求报文被丢弃。
从访问控制列表中申请第二表项资源,在第二表项资源中设置非MPLS转发的广播报文的匹配特征及对应的执行状态为丢弃;同时匹配处理器的芯片的所有端口。设置该条表项资源的第一个目的是丢弃普通广播报文,第二个目的是保证经过PTN网络MPLS转发的广播报文不被丢弃。处理器为了支持二层VPN多点业务,需要识别经过PTN网络转发报文的本身DMAC,作为需要经过PTN网络转发的广播报文,在UNI端口接入PTN网络以及NNI端口PTN网络终结时,处理器均会认为该报文是广播报文,如果不进行特殊处理,会被作为普通广播报文丢弃掉,所以,在该第二表项资源中,设置了匹配非MPLS转发行为特征,将通过PTN网络MPLS转发的广播报文排除在本条表项资源的范围之外。通过PTN网络MPLS转发的广播报文将按照默认的报文交换处理流程对报文进行处理。从而解决了经过PTN网络MPLS转发的广播报文被丢弃的问题。
从访问控制列表中申请第三表项资源,在第三表项资源中设置二层未知组播报文及二层未知单播报文的匹配特征及对应的执行状态为丢弃。设置该条表项资源的目的是为了丢弃PTN网络中二层未知组播报文和二层未知单播报文。
本实施例中需要依据三条表项资源的申请顺序依次对PTN中的报文进行判断,即对于访问控制列表的各表项资源来说,先申请的表项资源先判断,后申请的表项后判断,也就是说,当处理器获取到PTN网络待转发的报文后,根据报文特征,处理器依次查找访问控制列表中的第一表项资源、第二表项资源及第三表项资源,当通过查找第一表项资源找到相应的匹配转发策略(比如报文为ARP请求报文的情况)后,则无需再去查找第二表项资源及第三表项资源。
具体地,如图3所示,步骤S103包括:
步骤S1031,查找访问控制列表中的第一表项资源;
步骤S1032,判断报文特征与第一表项资源中的ARP请求报文特征是否相匹配,若是,则进入步骤S1037;否则,进入步骤S1033;
步骤S1033,查找访问控制列表中的第二表项资源;
步骤S1034,判断报文特征与第二表项资源中的非MPLS转发的广播报文特征是否相匹配;若是,则进入步骤S1038;否则,进入步骤S1035;
步骤S1035,查找访问控制列表中的第三表项资源;
步骤S1036,判断报文特征与第三表项资源中的二层未知组播报文或二层未知单播报文特征是否相匹配,若是,则进入步骤S1038;否则,进入步骤S1039;
步骤S1037,转发报文。
步骤S1038,丢弃报文。
步骤S1039,按照默认的报文交换处理流程对报文进行处理。
与现有技术相比较,本实施例利用访问控制列表来完成PTN网络的风暴抑制,很好地保证了PTN网络协议报文和PTN网络业务报文的正常转发,且本发明适用于所有支持MPLS转发和访问控制列表的设备上。
如图4所示,本发明另一实施例提出一种抑制网络风暴的方法,在上述实施例的基础上,在步骤S101之前还包括:
步骤S100,根据报文特征在访问控制列表中设置相应的匹配转发策略。
该匹配策略包括:从访问控制列表中申请第一表项资源,在第一表项资源中设置ARP请求报文的匹配特征及对应的执行状态为允许转发;从访问控制列表中申请所述第二表项资源,在第二表项资源中设置非MPLS转发的广播报文的匹配特征及对应的执行状态为丢弃;从访问控制列表中申请第三表项资源,在第三表项资源中设置二层未知组播报文及二层未知单播报文的匹配特征及对应的执行状态为丢弃。
其具体设置过程包括:
步骤1:从访问控制列表中申请第一表项资源,设置匹配处理器的芯片所有端口,同时设置匹配ARP请求报文特征,其包括以下两点:匹配报文DMAC为全0xff、匹配报文以太类型(ethertype)为0x0806,设置执行动作为允许通过(dropcacel),完成匹配该第一表项资源的匹配策略的报文的转发,保证ARP请求报文的正常广播。
步骤2:由于大部分处理器的芯片的MPLS转发在业务接入和业务终结时都支持虚拟端口表(VP表)的查找,利用此表项中的分类ID可以达到区分MPLS转发和非MPLS转发的广播报文的目的。为了解决通过PTN网络MPLS转发的广播报文不被丢弃的问题,可以对处理器的芯片的所有虚拟端口表(VP表)进行初始化,并设置其分类ID等于1。
步骤3:从访问控制列表中申请第二表项资源,设置匹配处理器的芯片的所有端口,同时设置匹配DMAC为全0xff,设置匹配虚拟端口表(VP表)分类ID为0,设置执行动作为丢弃(drop)。完成匹配该第二表项资源的匹配策略的报文的丢弃。由于在上述步骤2中,初始化所有的虚拟端口表(VP表)分类ID为1,在本表项资源中设置匹配虚拟端口表(VP表)分类ID为0,这样,所有经过MPLS转发的业务,其对应虚拟端口表(VP表)分类ID均为1,不会匹配到本表项,由此保证了通过PTN网络MPLS转发的广播报文不被丢弃。
步骤4:从访问控制列表中申请第三表项资源,设置匹配二层未知组播报文及二层未知单播报文特征,同时设置执行动作为丢弃(drop)。完成匹配该第三表项资源的匹配策略的报文的丢弃。由于大部分处理器的芯片的访问控制列表都支持二层表项查找是否命中状态的匹配,所以,通过本表项可以很容易实现抑制二层未知组播报文和二层未知单播报文的功能。
如图5所示,本发明一实施例提出一种抑制网络风暴的处理器,包括:报文获取模块501、报文解析模块502以及报文处理模块503,其中,
报文获取模块501,用于获取PTN网络待转发的报文;
报文解析模块502,对报文进行解析,得到报文的报文特征;
报文处理模块503,用于根据报文特征,并基于包括预设的匹配转发策略的访问控制列表对报文进行转发或丢弃。
在PTN网络通过设备在不同的用户终端之间进行报文的MPLS转发的过程中,PTN网络内,处理器中的报文获取模块501从转发链路中获取PTN网络待转发的报文,以便后续对报文进行解析处理,直至将各种报文区分开来。
PTN网络待转发的报文包括PTN网络支持的报文及PTN网络需要抑制的报文。其中,需要抑制的报文包括广播报文(DMAC为全0xff的报文)、二层未知组播报文(MAC为组播MAC且查找二层表未命中的报文)、二层未知单播报文(DMAC的单播MAC且查找二层表未命中的报文)。
其中,报文特征包括DMAC类型、以太类型以及是否为MPLS转发类型等。PTN网络待转发的报文自身携带有上述部分报文特征比如报文是否DMAC类型、以太类型等的报文信息;同时,PTN网络通过处理器接收报文时,也可获取到报文是否为MPLS转发类型的报文。
报文获取模块501获取到报文后,通过报文解析模块502对报文进行解析,以便得到报文的报文特征。
本实施例中访问控制列表中预设有针对不同报文特征的匹配转发策略,由于现有的大部分处理器的芯片内,均具有一定数量的访问控制列表,访问控制列表最大的优势在于可以区分报文进行处理,本实施例利用访问控制列表的这种优势,通过设置三条访问控制列表表项共同作用,实现对广播报文、二层未知组播报文、二层未知单播报文丢弃的同时,保持ARP请求报文和通过PTN网络MPLS转发的广播报文的正常转发。
具体地,本实施例中控制列表中预设的匹配转发策略包括:
从访问控制列表中申请第一表项资源,在第一表项资源中设置ARP请求报文的匹配特征及对应的执行状态为允许转发;并匹配处理器的芯片的所有端口。其中,ARP请求报文的匹配特征包括:匹配报文DMAC为全0xff、匹配报文以太类型(ethertype)为0x0806;设置执行状态为允许转发,即设置执行动作为允许通过(dropcacel)。设置该第一表项资源的目的是为了防止同为广播报文的ARP请求报文被丢弃。
从访问控制列表中申请第二表项资源,在第二表项资源中设置非MPLS转发的广播报文的匹配特征及对应的执行状态为丢弃;同时匹配处理器的芯片的所有端口。设置该条表项资源的第一个目的是丢弃普通广播报文,第二个目的是保证经过PTN网络MPLS转发的广播报文不被丢弃。处理器为了支持二层VPN多点业务,需要识别经过PTN网络转发报文的本身DMAC,作为需要经过PTN网络转发的广播报文,在UNI端口接入PTN网络以及NNI端口PTN网络终结时,处理器均会认为该报文是广播报文,如果不进行特殊处理,会被作为普通广播报文丢弃掉,所以,在该第二表项资源中,设置了匹配非MPLS转发行为特征,将通过PTN网络MPLS转发的广播报文排除在本条表项资源的范围之外。通过PTN网络MPLS转发的广播报文将按照默认的报文交换处理流程对报文进行处理。从而解决了经过PTN网络MPLS转发的广播报文被丢弃的问题。
从访问控制列表中申请第三表项资源,在第三表项资源中设置二层未知组播报文及二层未知单播报文的匹配特征及对应的执行状态为丢弃。设置该条表项资源的目的是为了丢弃PTN网络中二层未知组播报文和二层未知单播报文。
报文处理模块503需要依据三条表项资源的申请顺序依次对PTN中的报文进行判断,即对于访问控制列表的各表项资源来说,先申请的表项资源先判断,后申请的表项后判断,也就是说,当处理器获取到PTN网络待转发的报文后,根据报文特征,处理器依次查找访问控制列表中的第一表项资源、第二表项资源及第三表项资源,当通过查找第一表项资源找到相应的匹配转发策略(比如报文为ARP请求报文的情况)后,则无需再去查找第二表项资源及第三表项资源。
如图6所示,报文处理模块503包括:查找单元5031及处理单元5032,其中:
查找单元5031,用于依次查找所述访问控制列表中的第一表项资源、第二表项资源以及第三表项资源;
处理单元5032,用于当报文特征与所述第一表项资源中的ARP请求报文特征相匹配时,转发报文;当报文特征与所述第二表项资源中的非MPLS转发的广播报文特征相匹配时,丢弃该报文;当报文特征与第三表项资源中的二层未知组播报文或二层未知单播报文特征相匹配时,丢弃报文;否则,按照默认的报文交换处理流程对所述报文进行处理。
如图7所示,本发明另一实施例提出一种抑制网络风暴的处理器,在上述实施例的基础上还包括:
设置模块500,与报文获取模块501连接,用于根据报文特征在访问控制列表中设置相应的匹配转发策略。
该匹配策略包括:从访问控制列表中申请第一表项资源,在第一表项资源中设置ARP请求报文的匹配特征及对应的执行状态为允许转发;从访问控制列表中申请所述第二表项资源,在第二表项资源中设置非MPLS转发的广播报文的匹配特征及对应的执行状态为丢弃;从访问控制列表中申请第三表项资源,在第三表项资源中设置二层未知组播报文及二层未知单播报文的匹配特征及对应的执行状态为丢弃。
其具体设置过程包括:
步骤1:从访问控制列表中申请第一表项资源,设置匹配处理器的芯片所有端口,同时设置匹配ARP请求报文特征,其包括以下两点:匹配报文DMAC为全0xff、匹配报文以太类型(ethertype)为0x0806,设置执行动作为允许通过(dropcacel),完成匹配该第一表项资源的匹配策略的报文的转发,保证ARP请求报文的正常广播。
步骤2:由于大部分处理器的芯片的MPLS转发在业务接入和业务终结时都支持虚拟端口表(VP表)的查找,利用此表项中的分类ID可以达到区分MPLS转发和非MPLS转发的广播报文的目的。为了解决通过PTN网络MPLS转发的广播报文不被丢弃的问题,可以对处理器的芯片的所有虚拟端口表(VP表)进行初始化,并设置其分类ID等于1。
步骤3:从访问控制列表中申请第二表项资源,设置匹配处理器的芯片的所有端口,同时设置匹配DMAC为全0xff,设置匹配虚拟端口表(VP表)分类ID为0,设置执行动作为丢弃(drop)。完成匹配该第二表项资源的匹配策略的报文的丢弃。由于在上述步骤2中,初始化所有的虚拟端口表(VP表)分类ID为1,在本表项资源中设置匹配虚拟端口表(VP表)分类ID为0,这样,所有经过MPLS转发的业务,其对应虚拟端口表(VP表)分类ID均为1,不会匹配到本表项,由此保证了通过PTN网络MPLS转发的广播报文不被丢弃。
步骤4:从访问控制列表中申请第三表项资源,设置匹配二层未知组播报文及二层未知单播报文特征,同时设置执行动作为丢弃(drop)。完成匹配该第三表项资源的匹配策略的报文的丢弃。由于大部分处理器的芯片的访问控制列表都支持二层表项查找是否命中状态的匹配,所以,通过本表项可以很容易实现抑制二层未知组播报文和二层未知单播报文的功能。
本发明实施例抑制网络风暴的方法及处理器,通过在访问控制列表中设置相应报文特征的匹配转发策略,将PTN网络待转发的广播报文中的ARP请求报文、MPLS转发报文、非MPLS转发的广播报文、二层未知组播报文及二层未知单播报文区分开,进行相应的转发或丢弃处理,不仅有效的抑制了PTN网络风暴,而且避免了将PTN支持的广播报文丢弃,提高了PTN网络的业务性能。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (8)
1.一种抑制网络风暴的方法,其特征在于,包括:
处理器获取分组传送网PTN网络待转发的报文;
对所述报文进行解析,得到所述报文的报文特征;
根据所述报文特征,并基于包括预设的匹配转发策略的访问控制列表对所述报文进行转发或丢弃,具体包括:
查找所述访问控制列表中的第一表项资源;若所述报文特征与所述第一表项资源中的地址解析协议ARP请求报文特征相匹配,则转发所述报文;否则
查找所述访问控制列表中的第二表项资源;若所述报文特征与所述第二表项资源中的非多协议标签交换MPLS转发的广播报文特征相匹配,则丢弃该报文;否则
查找所述访问控制列表中的第三表项资源;若所述报文特征与所述第三表项资源中的二层未知组播报文或二层未知单播报文特征相匹配,则丢弃所述报文;否则
按照默认的报文交换处理流程对所述报文进行处理。
2.根据权利要求1所述的方法,其特征在于,所述报文特征至少包括目的介质访问控制地址DMAC类型、以太类型及是否为MPLS转发类型中的一种。
3.根据权利要求1所述的方法,其特征在于,所述处理器获取PTN网络待转发的报文的步骤之前还包括:
根据报文特征在所述访问控制列表中设置相应的匹配转发策略。
4.根据权利要求3所述的方法,其特征在于,所述根据报文特征在所述访问控制列表中设置相应的匹配转发策略的步骤包括:
从所述访问控制列表中申请所述第一表项资源,在所述第一表项资源中设置ARP请求报文的匹配特征及对应的执行状态为允许转发;从所述访问控制列表中申请所述第二表项资源,在所述第二表项资源中设置非MPLS转发的广播报文的匹配特征及对应的执行状态为丢弃;从所述访问控制列表中申请所述第三表项资源,在所述第三表项资源中设置二层未知组播报文及二层未知单播报文的匹配特征及对应的执行状态为丢弃。
5.一种抑制网络风暴的处理器,其特征在于,包括:
报文获取模块,用于获取PTN网络待转发的报文;
报文解析模块,对所述报文进行解析,得到所述报文的报文特征;
报文处理模块,用于根据所述报文特征,并基于包括预设的匹配转发策略的访问控制列表对所述报文进行转发或丢弃;所述报文处理模块包括:
查找单元,用于依次查找所述访问控制列表中的第一表项资源、第二表项资源以及第三表项资源;
处理单元,用于当所述报文特征与所述第一表项资源中的ARP请求报文特征相匹配时,转发所述报文;当所述报文特征与所述第二表项资源中的非MPLS转发的广播报文特征相匹配时,丢弃该报文;当所述报文特征与所述第三表项资源中的二层未知组播报文或二层未知单播报文特征相匹配时,丢弃所述报文;否则,按照默认的报文交换处理流程对所述报文进行处理。
6.根据权利要求5所述的处理器,其特征在于,所述报文特征至少包括以下之一:DMAC类型、以太类型及是否为MPLS转发类型。
7.根据权利要求5所述的处理器,其特征在于,还包括:
设置模块,用于根据报文特征在所述访问控制列表中设置相应的匹配转发策略。
8.根据权利要求5、6或7所述的处理器,其特征在于,所述设置模块还用于从所述访问控制列表中申请所述第一表项资源,在所述第一表项资源中设置ARP请求报文的匹配特征及对应的执行状态为允许转发;从所述访问控制列表中申请所述第二表项资源,在所述第二表项资源中设置非MPLS转发的广播报文的匹配特征及对应的执行状态为丢弃;从所述访问控制列表中申请所述第三表项资源,在所述第三表项资源中设置二层未知组播报文及二层未知单播报文的匹配特征及对应的执行状态为丢弃。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110152701.3A CN102215170B (zh) | 2011-06-08 | 2011-06-08 | 抑制网络风暴的方法及处理器 |
PCT/CN2012/076084 WO2012167697A1 (zh) | 2011-06-08 | 2012-05-25 | 抑制网络风暴的方法及处理器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110152701.3A CN102215170B (zh) | 2011-06-08 | 2011-06-08 | 抑制网络风暴的方法及处理器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102215170A CN102215170A (zh) | 2011-10-12 |
CN102215170B true CN102215170B (zh) | 2017-02-08 |
Family
ID=44746306
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110152701.3A Active CN102215170B (zh) | 2011-06-08 | 2011-06-08 | 抑制网络风暴的方法及处理器 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN102215170B (zh) |
WO (1) | WO2012167697A1 (zh) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102215170B (zh) * | 2011-06-08 | 2017-02-08 | 中兴通讯股份有限公司 | 抑制网络风暴的方法及处理器 |
CN103209142A (zh) * | 2012-01-11 | 2013-07-17 | 中兴通讯股份有限公司 | 一种交换设备抑制以太网二层数据包转发的方法和系统 |
CN103209141A (zh) * | 2012-01-17 | 2013-07-17 | 中兴通讯股份有限公司 | 一种交换芯片处理数据报文的方法及交换芯片 |
CN103580893A (zh) * | 2012-07-31 | 2014-02-12 | 中兴通讯股份有限公司 | 基于分组传送网设备的网络处理器配置写入方法及装置 |
CN102821009B (zh) * | 2012-08-08 | 2015-01-28 | 中兴通讯股份有限公司 | 基于链路层发现协议监控环形网络的方法和装置 |
CN103685009B (zh) | 2012-08-31 | 2017-04-26 | 华为技术有限公司 | 数据包的处理方法、控制器及系统 |
CN103209092B (zh) * | 2013-02-28 | 2016-03-30 | 成都西加云杉科技有限公司 | 广播风暴抑制方法及系统 |
CN103368844B (zh) * | 2013-07-10 | 2017-03-15 | 杭州华三通信技术有限公司 | Mpls网络中的报文处理方法及标签交换路由器 |
CN103414730A (zh) * | 2013-08-29 | 2013-11-27 | 迈普通信技术股份有限公司 | 一种arp报文的处理方法及装置 |
CN103957120A (zh) * | 2014-04-28 | 2014-07-30 | 中网三联科技(北京)有限公司 | 一种抑制光纤宽带广播风暴的技术 |
CN105634850B (zh) * | 2014-11-04 | 2019-06-14 | 中国移动通信集团广东有限公司 | Ptn网络的业务流量建模方法及装置 |
CN104394080A (zh) * | 2014-11-28 | 2015-03-04 | 杭州华三通信技术有限公司 | 实现安全组功能的方法及装置 |
CN105591977A (zh) * | 2015-08-28 | 2016-05-18 | 杭州华三通信技术有限公司 | 报文处理方法以及装置 |
CN106993337A (zh) * | 2017-03-03 | 2017-07-28 | 上海斐讯数据通信技术有限公司 | 一种基于wds的报文转发方法及系统 |
CN106993336A (zh) * | 2017-03-03 | 2017-07-28 | 上海斐讯数据通信技术有限公司 | 一种基于wds的报文转发方法及系统 |
CN107566294B (zh) * | 2017-07-06 | 2021-11-05 | 中国南方电网有限责任公司 | 一种适用于iec62439标准的网络风暴抑制方法 |
CN108650221B (zh) * | 2018-03-29 | 2020-12-15 | 烽火通信科技股份有限公司 | 一种sptn设备的控制报文提取装置及方法 |
CN112673602B (zh) * | 2018-09-14 | 2023-02-03 | 华为技术有限公司 | 一种避免广播风暴的方法和装置 |
CN111901356A (zh) * | 2020-08-05 | 2020-11-06 | 湖南能创科技有限责任公司 | 智能变电站过程层网络风暴抑制方法、装置和电子设备 |
CN112073333B (zh) * | 2020-08-28 | 2022-05-06 | 苏州浪潮智能科技有限公司 | 一种基于SONiC开发的智能容器化流量风暴控制方法与系统 |
CN114448858B (zh) * | 2020-10-16 | 2023-09-01 | 广州海格通信集团股份有限公司 | 报文广播方法、装置、网络设备和存储介质 |
CN114124805B (zh) * | 2021-09-18 | 2023-09-12 | 重庆金美通信有限责任公司 | 一种在非令牌的环网中一跳转发数据的方法 |
CN114039814B (zh) * | 2021-11-30 | 2024-02-23 | 锐捷网络股份有限公司 | 一种报文转发方法、装置、电子设备及存储介质 |
CN114301815B (zh) * | 2021-12-30 | 2024-03-15 | 山石网科通信技术股份有限公司 | 广播风暴的处理方法和装置 |
CN115941594A (zh) * | 2022-09-07 | 2023-04-07 | 成都西加云杉科技有限公司 | 基于sdn的组播报文抑制方法、装置、设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101056306A (zh) * | 2006-04-11 | 2007-10-17 | 中兴通讯股份有限公司 | 网络设备及其访问控制方法 |
CN101325534A (zh) * | 2007-06-15 | 2008-12-17 | 上海亿人通信终端有限公司 | 基于网络处理器的访问控制列表实现方法 |
CN101594304A (zh) * | 2009-07-02 | 2009-12-02 | 杭州华三通信技术有限公司 | 防止堆叠系统产生环路的方法和堆叠系统中的成员设备 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100555991C (zh) * | 2006-12-29 | 2009-10-28 | 华为技术有限公司 | 报文访问控制的方法、转发引擎装置和通信设备 |
CN101399749B (zh) * | 2007-09-27 | 2012-04-04 | 华为技术有限公司 | 一种报文过滤的方法、系统和设备 |
CN102215170B (zh) * | 2011-06-08 | 2017-02-08 | 中兴通讯股份有限公司 | 抑制网络风暴的方法及处理器 |
-
2011
- 2011-06-08 CN CN201110152701.3A patent/CN102215170B/zh active Active
-
2012
- 2012-05-25 WO PCT/CN2012/076084 patent/WO2012167697A1/zh active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101056306A (zh) * | 2006-04-11 | 2007-10-17 | 中兴通讯股份有限公司 | 网络设备及其访问控制方法 |
CN101325534A (zh) * | 2007-06-15 | 2008-12-17 | 上海亿人通信终端有限公司 | 基于网络处理器的访问控制列表实现方法 |
CN101594304A (zh) * | 2009-07-02 | 2009-12-02 | 杭州华三通信技术有限公司 | 防止堆叠系统产生环路的方法和堆叠系统中的成员设备 |
Also Published As
Publication number | Publication date |
---|---|
WO2012167697A1 (zh) | 2012-12-13 |
CN102215170A (zh) | 2011-10-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102215170B (zh) | 抑制网络风暴的方法及处理器 | |
US8619635B2 (en) | E-tree using two pseudowires between edge routers with enhanced forwarding methods and systems | |
KR100694296B1 (ko) | 가상 인터페이스 기반의 2 계층 멀티캐스트 스위칭 및 3계층 멀티캐스트 라우팅 동시 제공 시스템 및 그 방법 | |
EP2224645B1 (en) | A method and equipment for transmitting a message based on the layer-2 tunnel protocol | |
US5684800A (en) | Method for establishing restricted broadcast groups in a switched network | |
EP2378720B1 (en) | Extranet networking method, system and device for multicast virtual private network | |
WO2009021458A1 (fr) | Procédé, appareil et système de connexion d'un réseau de couche 2 à un réseau de couche 3 | |
WO2009033428A1 (fr) | Procédé, système et dispositif pour retirer une adresse de commande d'accès au support | |
JP2015523788A (ja) | 個別管理方式を使用する仮想転送インスタンスの遠端アドレスへのvlanタグ付きパケットのルーティング | |
CN100407704C (zh) | 媒体接入控制层地址的动态学习方法 | |
WO2011113340A1 (zh) | 一种多协议标签交换二层虚拟专用网的接入方法和装置 | |
WO2009021371A1 (fr) | Procédé et dispositif permettant de réaliser une émulation pseudo-filaire de bout en bout | |
WO2018014767A1 (zh) | 一种信息确定方法、装置及存储介质 | |
WO2013139270A1 (zh) | 实现三层虚拟专用网络的方法、设备及系统 | |
EP2897328B1 (en) | Method, system and apparatus for establishing communication link | |
WO2007076692A1 (fr) | Procédé, système et dispositif permettant le transport de services vpls dans un réseau | |
WO2019196914A1 (zh) | 一种发现转发路径的方法及其相关设备 | |
WO2014169812A1 (zh) | 报文的转发处理方法及装置 | |
US9654304B2 (en) | Method and apparatus for sending transparent interconnection of lots of links data frame | |
WO2007093095A1 (fr) | Procédé pour mettre en oeuvre l'acheminement de messages mpls et équipement correspondant | |
WO2017036384A1 (zh) | 运营商边缘设备及数据转发方法 | |
WO2015032261A1 (zh) | 路由更新方法和路由设备 | |
JP2013544453A (ja) | オフセットを用いてインバンド制御チャネルを提供する疑似ワイヤ | |
WO2016070725A1 (zh) | 一种实现dhcp广播交互报文vlan n:1转换的方法和装置 | |
RU2009146940A (ru) | Процедура реализации членства в нескольких группах многоадресной передачи различных провайдеров |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |