CN104363176A - 一种报文控制的方法和设备 - Google Patents
一种报文控制的方法和设备 Download PDFInfo
- Publication number
- CN104363176A CN104363176A CN201410579071.1A CN201410579071A CN104363176A CN 104363176 A CN104363176 A CN 104363176A CN 201410579071 A CN201410579071 A CN 201410579071A CN 104363176 A CN104363176 A CN 104363176A
- Authority
- CN
- China
- Prior art keywords
- equipment
- ipv6
- linking number
- message
- ipv6 tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开了一种报文控制的方法和设备,该方法包括:AFTR设备接收来自B4设备的IPv6报文,所述IPv6报文中携带IPv6头,所述IPv6头的源地址为所述B4设备的IPv6隧道地址;所述AFTR设备获得所述B4设备的IPv6隧道地址当前对应的连接数;如果所述连接数未达到连接数限制数值,则所述AFTR设备继续处理所述IPv6报文;如果所述连接数达到连接数限制数值,则所述AFTR设备丢弃所述IPv6报文。本发明实施例中,保证AFTR设备的资源不会被耗尽,防止资源耗尽而影响用户服务质量。避免影响AFTR设备的处理性能,不会造成网络严重延迟,不会影响正常用户访问目的IPv4网络。
Description
技术领域
本发明涉及通信技术领域,尤其是涉及一种报文控制的方法和设备。
背景技术
如图1所示,为DS-Lite(Dual-Stack Lite,轻型双栈)网络的组网示意图,当IPv4网络内的客户端需要经过IPv6网络访问目的IPv4网络时,该客户端发送的IPv4报文将会经过B4(Basic Bridging Broad Band,网关基本桥接宽带单元)设备。基于B4设备与AFTR(Address Family Transition Router,地址族过渡路由器单元)设备之间的IPv6隧道,B4设备对IPv4报文进行IPv6隧道封装,在IPv4报文上封装一层IPv6头。其中,该IPv6头的源地址为B4设备的IPv6隧道地址,目的地址为AFTR设备的IPv6隧道地址。进一步的,B4设备通过IPv6网络将IPv6隧道封装后的报文发送到AFTR设备。AFTR设备在接收到来自B4设备的报文之后,对报文进行IPv6隧道解封装,去掉报文的IPv6头,得到客户端发送的IPv4报文。之后,AFTR设备对该IPv4报文进行NAT(Network Address Translation,网络地址转换)转换,并将NAT转换之后的IPv4报文发送到目的IPv4网络内。
在上述实现方式中,如果B4设备连接的某个客户端恶意发起大量访问目的IPv4网络的IPv4报文,则AFTR设备将收到大量的IPv4报文,影响AFTR设备的处理性能,可能造成网络严重延迟,严重影响正常用户访问目的IPv4网络。
发明内容
本发明实施例提供一种报文控制的方法,应用于包括地址族过渡路由器单元AFTR设备和网关基本桥接宽带单元B4设备的轻型双栈DS-Lite网络中,所述B4设备通过IPv6网络与所述AFTR设备连接,所述方法包括以下步骤:
所述AFTR设备接收来自所述B4设备的IPv6报文,所述IPv6报文中携带IPv6头,所述IPv6头的源地址为所述B4设备的IPv6隧道地址;
所述AFTR设备获得所述B4设备的IPv6隧道地址当前对应的连接数;
如果所述连接数未达到连接数限制数值,则所述AFTR设备继续处理所述IPv6报文,并更新所述IPv6隧道地址当前对应的连接数;如果所述连接数达到连接数限制数值,则所述AFTR设备丢弃所述IPv6报文。
所述方法进一步包括:
所述AFTR设备在接收到所述IPv6报文时,对所述IPv6报文进行IPv6隧道解封装,并将解封装后的IPv4报文以及所述B4设备的IPv6隧道地址对应的IPv6隧道标识记录到报文缓冲区BUFFER中,并在预先配置的hash表中存储所述IPv6隧道标识与所述IPv6隧道地址之间的映射关系;
所述AFTR设备从报文BUFFER中获得IPv6隧道标识,并通过所述IPv6隧道标识查询所述hash表,得到所述IPv6隧道标识对应的IPv6隧道地址;
当所述IPv6隧道地址当前对应的连接数未达到连接数限制数值时,所述AFTR设备继续处理所述报文BUFFER中的IPv4报文,并更新所述IPv6隧道地址当前对应的连接数;当所述IPv6隧道地址当前对应的连接数达到连接数限制数值时,所述AFTR设备丢弃所述报文BUFFER中的IPv4报文。
所述AFTR设备从所述报文BUFFER中获得所述IPv6隧道标识的过程,具体包括:所述AFTR设备查询本AFTR设备上配置的访问控制列表ACL规则;如果所述ACL规则用于限制所述IPv6隧道地址对应的连接数,则所述AFTR设备从所述报文BUFFER中获得所述IPv6隧道标识。
所述方法进一步包括:
所述AFTR设备利用IPv6隧道地址查询预先配置的连接数统计表;
如果所述连接数统计表中没有记录所述IPv6隧道地址,则所述AFTR设备确定连接数未达到连接数限制数值,在所述连接数统计表中记录所述IPv6隧道地址,并记录所述IPv6隧道地址当前对应的连接数为1;
如果所述连接数统计表中记录有所述IPv6隧道地址,则所述AFTR设备从所述连接数统计表中获得所述IPv6隧道地址当前对应的连接数;如果所述连接数未达到连接数限制数值,则所述AFTR设备更新所述IPv6隧道地址当前对应的连接数为所述连接数统计表中记录的连接数加1。
所述方法进一步包括:
所述AFTR设备在接收到来自所述B4设备的IPv6报文之后,判断所述B4设备使用的端口数量是否达到预设数量阈值;如果达到预设数量阈值,则所述AFTR设备不再为所述B4设备分配端口,并丢弃所述IPv6报文。
本发明实施例提供一种地址族过渡路由器单元AFTR设备,应用于包括AFTR设备和网关基本桥接宽带单元B4设备的轻型双栈DS-Lite网络中,所述B4设备通过IPv6网络与所述AFTR设备连接,所述AFTR设备具体包括:
接收模块,用于接收来自所述B4设备的IPv6报文,所述IPv6报文中携带IPv6头,所述IPv6头的源地址为所述B4设备的IPv6隧道地址;
处理模块,用于获得所述B4设备的IPv6隧道地址当前对应的连接数;如果所述IPv6隧道地址当前对应的连接数未达到连接数限制数值,则继续处理所述IPv6报文,并更新所述IPv6隧道地址当前对应的连接数;如果所述IPv6隧道地址当前对应的连接数达到连接数限制数值,则丢弃所述IPv6报文。
所述处理模块,具体用于在接收到所述IPv6报文时,对所述IPv6报文进行IPv6隧道解封装,并将解封装后的IPv4报文以及所述B4设备的IPv6隧道地址对应的IPv6隧道标识记录到报文缓冲区BUFFER中,并在预先配置的hash表中存储所述IPv6隧道标识与所述IPv6隧道地址之间的映射关系;
从所述报文BUFFER中获得IPv6隧道标识,并通过所述IPv6隧道标识查询所述hash表,以得到所述IPv6隧道标识对应的IPv6隧道地址;
当所述IPv6隧道地址当前对应的连接数未达到连接数限制数值时,则继续处理所述报文BUFFER中的IPv4报文,并更新所述IPv6隧道地址当前对应的连接数;当所述IPv6隧道地址当前对应的连接数达到所述连接数限制数值时,则丢弃所述报文BUFFER中的IPv4报文。
所述处理模块,进一步用于在从所述报文BUFFER中获得所述IPv6隧道标识的过程中,查询所述AFTR设备上配置的访问控制列表ACL规则;如果所述ACL规则用于限制所述IPv6隧道地址对应的连接数,则从所述报文BUFFER中获得所述IPv6隧道标识。
所述处理模块,进一步用于利用所述IPv6隧道地址查询预先配置的连接数统计表;如果所述连接数统计表中没有记录所述IPv6隧道地址,则确定连接数未达到连接数限制数值,在所述连接数统计表中记录所述IPv6隧道地址,并记录所述IPv6隧道地址当前对应的连接数为1;
如果所述连接数统计表中记录有所述IPv6隧道地址,则从所述连接数统计表中获得所述IPv6隧道地址当前对应的连接数;
如果所述连接数未达到连接数限制数值,则更新所述IPv6隧道地址当前对应的连接数为所述连接数统计表中记录的连接数加1。
所述处理模块,还用于在接收到来自所述B4设备的IPv6报文之后,判断所述B4设备使用的端口数量是否达到预设数量阈值;如果达到预设数量阈值,则不再为所述B4设备分配端口,并丢弃所述IPv6报文。
基于上述技术方案,本发明实施例中,通过对B4设备的IPv6隧道地址进行连接数限制,以保证该B4设备的连接总数在连接数限制范围之内,保证AFTR设备的资源不会被耗尽,防止资源耗尽而影响用户服务质量。如果B4设备连接的某个客户端恶意发起了大量访问目的IPv4网络的IPv4报文时,则AFTR设备针对收到的大量IPv4报文,只会处理连接数限制范围之内的IPv4报文,并直接丢弃连接数限制范围之外的IPv4报文,避免影响AFTR设备的处理性能,不会造成网络严重延迟,不会影响正常用户访问目的IPv4网络。
附图说明
图1是现有技术中DS-Lite网络的组网示意图;
图2是本发明实施例提出的应用场景示意图;
图3是本发明实施例提供的一种报文控制的方法流程示意图;
图4是本发明实施例提供的一种AFTR设备的结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明实施例提供了一种报文控制的方法,该方法应用于包括AFTR设备和B4设备的DS-Lite网络中,且B4设备通过IPv6网络与AFTR设备连接。以图2为本发明实施例的应用场景示意图,IPv4网络内的客户端需要经过IPv6网络访问目的IPv4网络内的服务器。其中,IPv4网络内的客户端与IPv6网络之间为B4设备,B4设备与AFTR设备之间为IPv6网络,且B4设备与AFTR设备之间建立了IPv6隧道,IPv6网络与目的IPv4网络之间为AFTR设备。在此应用场景下,假设IPv4网络内的客户端的IPv4地址为192.168.0.2,目的IPv4网络内的服务器的IPv4地址为10.153.66.111。B4设备的IPv4地址为192.168.0.1,B4设备的IPv6地址为2000::2。AFTR设备的IPv6地址为2000::1,AFTR设备的IPv4地址为10.153.66.109。
在上述应用场景下,如图3所示,该报文控制的方法具体包括以下步骤:
步骤301,AFTR设备接收来自B4设备的IPv6报文,该IPv6报文中携带IPv6头和客户端发送给服务器的IPv4报文,该IPv6头的源地址为B4设备的IPv6隧道地址,该IPv6头的目的地址为AFTR设备的IPv6隧道地址。
当客户端访问服务器时,客户端发送IPv4报文,该IPv4报文的源地址为客户端的IPv4地址192.168.0.2,目的地址为服务器的IPv4地址10.153.66.111。B4设备在接收到IPv4报文后,对IPv4报文进行IPv6隧道封装,在IPv4报文上封装一层IPv6头,得到IPv6报文。其中,该IPv6头的源地址为B4设备的IPv6隧道地址2000::2,目的地址为AFTR设备的IPv6隧道地址2000::1。基于B4设备与AFTR设备之间的IPv6隧道,B4设备可以通过IPv6网络将IPv6报文发送给AFTR设备,由AFTR设备接收来自B4设备的IPv6报文。
步骤302,AFTR设备获得B4设备的IPv6隧道地址当前对应的连接数。
本发明实施例中,该IPv6隧道地址具体为本AFTR设备收到的IPv6报文的IPv6头的源地址,且该IPv6隧道地址具体为B4设备的IPv6隧道地址。
本发明实施例中,B4设备的IPv6隧道地址对应的连接数又可以称为B4设备的IPv6隧道地址对应的会话数。其中,针对B4设备的IPv6隧道地址,其对应的连接数与IPv4报文的报文特征有关,当IPv6报文中封装的IPv4报文(即客户端发送的IPv4报文)的报文特征相同时,则说明IPv6报文不是一个新的连接,此时IPv6隧道地址对应的连接数不会增加,当IPv6报文中封装的IPv4报文的报文特征不同时,则说明IPv6报文是一个新的连接,此时IPv6隧道地址对应的连接数会增加。进一步的,IPv4报文的报文特征具体包括但不限于IPv4报文的五元组,且IPv4报文的五元组包括:IPv4报文的源地址、源端口、目的地址、目的端口和协议类型(即IPv4类型)。
当AFTR设备收到的IPv6报文中封装的IPv4报文的报文特征相同时,即已经处理过具有相同报文特征的IPv4报文,则步骤301之后,AFTR设备直接按照现有流程处理该IPv6报文,而不再执行步骤302和步骤303,该处理本发明实施例中不再赘述。当AFTR设备收到的IPv6报文中封装的IPv4报文的报文特征不同时,即没有处理过具有相同报文特征的IPv4报文,则步骤301之后,AFTR设备执行步骤302和步骤303。为了方便描述,本发明实施例中,以AFTR设备收到的IPv6报文中封装的IPv4报文的报文特征不同为例进行说明,即针对收到的IPv6报文,AFTR设备执行步骤302和步骤303。
步骤303,如果该IPv6隧道地址当前对应的连接数未达到连接数限制数值,则AFTR设备继续处理IPv6报文,并更新该IPv6隧道地址当前对应的连接数;如果该IPv6隧道地址当前对应的连接数达到连接数限制数值,则AFTR设备直接丢弃IPv6报文,而不再继续处理该IPv6报文。
在本发明实施例的优选实施方式中,AFTR设备获得IPv6隧道地址当前对应的连接数,如果该IPv6隧道地址当前对应的连接数未达到连接数限制数值,则AFTR设备继续处理IPv6报文,并更新该IPv6隧道地址当前对应的连接数;如果该IPv6隧道地址当前对应的连接数达到连接数限制数值,则AFTR设备直接丢弃IPv6报文的过程,具体包括但不限于以下步骤:
步骤1、AFTR设备在接收到IPv6报文时,将该IPv6报文添加到报文BUFFER(缓冲区),并对报文BUFFER内记录的IPv6报文进行IPv6隧道解封装,以在该报文BUFFER内记录该IPv6报文内部封装的IPv4报文。
步骤2、AFTR设备确定IPv6隧道地址对应的IPv6隧道标识,并将该IPv6隧道标识添加到该IPv6报文对应的报文BUFFER,并在预先配置的hash表中存储该IPv6隧道标识与该IPv6隧道地址之间的映射关系。
本发明实施例中,对于来自B4设备的IPv6报文,该IPv6报文中携带IPv6头以及IPv4报文,且该IPv6头的源地址为B4设备的IPv6隧道地址。基于此,AFTR设备可以从IPv6头中获得B4设备的IPv6隧道地址(即2000::2)。进一步的,AFTR设备可以对IPv6报文进行IPv6隧道解封装,去掉IPv6报文的IPv6头,得到IPv4报文(源地址为192.168.0.2,目的地址为10.153.66.111)。
由于AFTR设备在对IPv6报文进行IPv6隧道解封装后,在该IPv6报文对应的报文BUFFER中记录的是IPv6报文内部封装的IPv4报文,此时,AFTR设备不会保存IPv6报文的IPv6头的信息,即不会保存B4设备的IPv6隧道地址。基于此,本发明实施例中,AFTR设备在接收到IPv6报文之后,需要确定IPv6头中的B4设备的IPv6隧道地址对应的IPv6隧道标识,将该IPv6隧道标识添加到报文BUFFER中,并在预先配置的hash表中存储该IPv6隧道标识与该IPv6隧道地址之间的映射关系,从而使得在后续处理过程中,能够还原获得B4设备的IPv6隧道地址,具体的IPv6隧道地址的还原过程在后续步骤中阐述。
AFTR设备在确定IPv6隧道地址对应的IPv6隧道标识时,AFTR设备可以根据预设算法计算IPv6隧道地址对应的IPv6隧道标识,具体的计算过程与现有技术相同,在此不再赘述。经过上述处理,报文BUFFER中记录了IPv6隧道标识和IPv4报文,hash表中记录了IPv6隧道标识和IPv6隧道地址。
步骤3、AFTR设备从报文BUFFER中获得IPv6隧道标识,并通过该IPv6隧道标识查询hash表,以得到该IPv6隧道标识对应的IPv6隧道地址。
本发明实施例中,AFTR设备从报文BUFFER中获得IPv6隧道标识的过程,具体包括但不限于:AFTR设备查询本AFTR设备上所配置的ACL(AccessControl List,访问控制列表)策略。如果有ACL规则用于限制IPv6隧道地址对应的连接数,则执行本发明实施例提供的技术方案,即AFTR设备从报文BUFFER中获得IPv6隧道标识,并通过该IPv6隧道标识查询hash表,以得到该IPv6隧道标识对应的IPv6隧道地址。如果没有ACL规则用于限制IPv6隧道地址对应的连接数,则按照现有流程进行处理,该处理在此不再赘述。
为了对B4设备的IPv6隧道地址进行连接数限制,以保证该B4设备的连接总数在连接数限制范围之内,保证AFTR设备的资源不会被耗尽,本发明实施例中,服务提供商在AFTR设备上配置连接数限制,用来限制B4设备的所有连接,并在AFTR设备上下发ACL规则,且该ACL规则用于限制IPv6隧道地址对应的连接数。进一步的,ACL规则需要配置在IPv4策略下,用以表示相应处理是在IPv4处理流程中。该ACL规则需要是IPv6类型的,用来匹配IPv6地址。该ACL规则关注的是与AFTR设备连接的B4设备的IPv6隧道地址,而不是与B4设备连接的客户端的IPv4地址。该ACL规则可以在AFTR设备的一个接口下应用,也可以在AFTR设备的所有接口下应用。
本发明实施例中,报文BUFFER中记录了IPv6隧道标识以及IPv4报文,该IPv6隧道标识是AFTR设备在对IPv6报文进行IPv6隧道解封装时,利用该IPv6报文中携带的B4设备的IPv6隧道地址计算的IPv6隧道标识,对于不同的B4设备的IPv6隧道地址,其对应的IPv6隧道标识不同。AFTR设备在从报文BUFFER中获得IPv6隧道标识之后,如果IPv6隧道标识为0,则说明该IPv6隧道标识无效,即该报文BUFFER中记录的IPv4报文不是从IPv6隧道上收到,AFTR设备直接按照现有技术对报文BUFFER中记录的IPv4报文进行处理。如果IPv6隧道标识不为0,则说明该IPv6隧道标识有效,即该报文BUFFER中记录的IPv4报文是从IPv6隧道上收到,AFTR设备通过该IPv6隧道标识查询hash表,以得到该IPv6隧道标识对应的IPv6隧道地址。
步骤4、AFTR设备获得IPv6隧道地址(即IPv6隧道标识对应的B4设备的IPv6隧道地址)当前对应的连接数。当IPv6隧道地址当前对应的连接数未达到连接数限制数值时,则AFTR设备继续处理报文BUFFER中的IPv4报文(即IPv6隧道标识对应的IPv4报文),并更新IPv6隧道地址当前对应的连接数。当IPv6隧道地址当前对应的连接数达到连接数限制数值时,则AFTR设备丢弃报文BUFFER中的IPv4报文,而不再继续处理该IPv4报文。
本发明实施例中,AFTR设备上可以预先配置连接数统计表,该连接数统计表用于记录IPv6隧道地址和连接数之间的对应关系。基于此连接数统计表,AFTR设备在获得IPv6隧道地址后,利用该IPv6隧道地址查询预先配置的连接数统计表。如果连接数统计表中没有记录该IPv6隧道地址,则AFTR设备确定该IPv6隧道地址当前对应的连接数(即0)未达到连接数限制数值,AFTR设备继续处理报文BUFFER中的IPv4报文,并在连接数统计表中记录该IPv6隧道地址,并记录该IPv6隧道地址当前对应的连接数为1。如果连接数统计表中记录有该IPv6隧道地址,AFTR设备从连接数统计表中获得该IPv6隧道地址当前对应的连接数;如果该IPv6隧道地址当前对应的连接数未达到连接数限制数值,则AFTR设备继续处理报文BUFFER中的IPv4报文,并更新IPv6隧道地址当前对应的连接数为连接数统计表中记录的连接数加1;如果该IPv6隧道地址当前对应的连接数达到连接数限制数值时,则AFTR设备丢弃报文BUFFER中的IPv4报文。
其中,连接数限制数值可以根据实际经验进行设置,该连接数限制数值可以与上述用于限制IPv6隧道地址对应的连接数的ACL规则一起下发给AFTR设备,该连接数限制数值也可以由管理员直接配置在AFTR设备上。
本发明实施例中,AFTR设备继续处理报文BUFFER中的IPv4报文具体包括:AFTR设备对IPv4报文进行NAT转换,并将NAT转换之后的IPv4报文发送到目的IPv4网络内的服务器上,以完成客户端对服务器的访问。
AFTR设备在对IPv4报文进行NAT转换时,如果需要同时对IPv4报文的源IP地址和源端口进行NAT转换,则AFTR设备需要为B4设备分配端口段(即包含n个连续的端口,如端口10-端口100),对于每个B4设备下的客户端来说,其只能使用AFTR设备为该B4设备分配的端口段。基于此,本发明实施例中,考虑到AFTR设备为每个B4设备分配的端口数量有限,且AFTR设备对IPv4报文进行NAT转换时,需要使用AFTR设备为B4设备分配的端口,则AFTR设备在接收到来自B4设备的IPv6报文之后,则:
情况一、在执行步骤302之前,AFTR设备还可以判断B4设备当前使用的端口数量是否达到预设数量阈值。如果达到预设数量阈值,则AFTR设备不再为B4设备分配端口,并丢弃IPv6报文,此时不再执行步骤302-步骤303。如果未达到预设数量阈值,则执行步骤302-步骤303。
情况二、在执行步骤303之后,如果该IPv6隧道地址当前对应的连接数未达到连接数限制数值,则AFTR设备还可以判断B4设备当前使用的端口数量是否达到预设数量阈值。如果达到预设数量阈值,则AFTR设备不再为B4设备分配端口,并丢弃IPv6报文,此时结束流程,如果未达到预设数量阈值,则继续处理IPv6报文,该处理过程在此不再详加赘述。
其中,预设数量阈值可以为AFTR设备为B4设备分配的端口数量。
基于上述技术方案,本发明实施例中,通过对B4设备的IPv6隧道地址进行连接数限制,以保证该B4设备的连接总数在连接数限制范围之内,保证AFTR设备的资源不会被耗尽,防止资源耗尽而影响用户服务质量。如果B4设备连接的某个客户端恶意发起了大量访问目的IPv4网络的IPv4报文时,则AFTR设备针对收到的大量IPv4报文,只会处理连接数限制范围之内的IPv4报文,并直接丢弃连接数限制范围之外的IPv4报文,避免影响AFTR设备的处理性能,不会造成网络严重延迟,不会影响正常用户访问目的IPv4网络。
基于与上述方法同样的发明构思,本发明实施例中还提供了一种地址族过渡路由器单元AFTR设备,应用于包括AFTR设备和网关基本桥接宽带单元B4设备的轻型双栈DS-Lite网络中,所述B4设备通过IPv6网络与所述AFTR设备连接,如图4所示,所述AFTR设备具体包括:
接收模块11,用于接收来自所述B4设备的IPv6报文,所述IPv6报文中携带IPv6头,所述IPv6头的源地址为所述B4设备的IPv6隧道地址;
处理模块12,用于获得所述B4设备的IPv6隧道地址当前对应的连接数;如果所述IPv6隧道地址当前对应的连接数未达到连接数限制数值,则继续处理所述IPv6报文,并更新所述IPv6隧道地址当前对应的连接数;如果所述IPv6隧道地址当前对应的连接数达到连接数限制数值,则丢弃所述IPv6报文。
所述处理模块12,具体用于在接收到所述IPv6报文时,对所述IPv6报文进行IPv6隧道解封装,并将解封装后的IPv4报文以及所述B4设备的IPv6隧道地址对应的IPv6隧道标识记录到报文缓冲区BUFFER中,并在预先配置的hash表中存储所述IPv6隧道标识与所述IPv6隧道地址之间的映射关系;
从所述报文BUFFER中获得IPv6隧道标识,并通过所述IPv6隧道标识查询所述hash表,以得到所述IPv6隧道标识对应的IPv6隧道地址;
当所述IPv6隧道地址当前对应的连接数未达到连接数限制数值时,则继续处理所述报文BUFFER中的IPv4报文,并更新所述IPv6隧道地址当前对应的连接数;当所述IPv6隧道地址当前对应的连接数达到所述连接数限制数值时,则丢弃所述报文BUFFER中的IPv4报文。
所述处理模块12,进一步用于在从所述报文BUFFER中获得所述IPv6隧道标识的过程中,查询所述AFTR设备上配置的访问控制列表ACL规则;如果所述ACL规则用于限制所述IPv6隧道地址对应的连接数,则从所述报文BUFFER中获得所述IPv6隧道标识。
所述处理模块12,进一步用于利用所述IPv6隧道地址查询预先配置的连接数统计表;如果所述连接数统计表中没有记录所述IPv6隧道地址,则确定连接数未达到连接数限制数值,在所述连接数统计表中记录所述IPv6隧道地址,并记录所述IPv6隧道地址当前对应的连接数为1;
如果所述连接数统计表中记录有所述IPv6隧道地址,则从所述连接数统计表中获得所述IPv6隧道地址当前对应的连接数;
如果所述连接数未达到连接数限制数值,则更新所述IPv6隧道地址当前对应的连接数为所述连接数统计表中记录的连接数加1。
所述处理模块12,还用于在接收到来自所述B4设备的IPv6报文之后,判断所述B4设备使用的端口数量是否达到预设数量阈值;如果达到预设数量阈值,则不再为所述B4设备分配端口,并丢弃所述IPv6报文。
其中,本发明装置的各个模块可以集成于一体,也可以分离部署。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种报文控制的方法,应用于包括地址族过渡路由器单元AFTR设备和网关基本桥接宽带单元B4设备的轻型双栈DS-Lite网络中,所述B4设备通过IPv6网络与所述AFTR设备连接,其特征在于,所述方法包括以下步骤:
所述AFTR设备接收来自所述B4设备的IPv6报文,所述IPv6报文中携带IPv6头,所述IPv6头的源地址为所述B4设备的IPv6隧道地址;
所述AFTR设备获得所述B4设备的IPv6隧道地址当前对应的连接数;
如果所述连接数未达到连接数限制数值,则所述AFTR设备继续处理所述IPv6报文,并更新所述IPv6隧道地址当前对应的连接数;如果所述连接数达到连接数限制数值,则所述AFTR设备丢弃所述IPv6报文。
2.如权利要求1所述的方法,其特征在于,所述方法进一步包括:
所述AFTR设备在接收到所述IPv6报文时,对所述IPv6报文进行IPv6隧道解封装,并将解封装后的IPv4报文以及所述B4设备的IPv6隧道地址对应的IPv6隧道标识记录到报文缓冲区BUFFER中,并在预先配置的hash表中存储所述IPv6隧道标识与所述IPv6隧道地址之间的映射关系;
所述AFTR设备从报文BUFFER中获得IPv6隧道标识,并通过所述IPv6隧道标识查询所述hash表,得到所述IPv6隧道标识对应的IPv6隧道地址;
当所述IPv6隧道地址当前对应的连接数未达到连接数限制数值时,所述AFTR设备继续处理所述报文BUFFER中的IPv4报文,并更新所述IPv6隧道地址当前对应的连接数;当所述IPv6隧道地址当前对应的连接数达到连接数限制数值时,所述AFTR设备丢弃所述报文BUFFER中的IPv4报文。
3.如权利要求2所述的方法,其特征在于,所述AFTR设备从所述报文BUFFER中获得所述IPv6隧道标识的过程,具体包括:
所述AFTR设备查询本AFTR设备上配置的访问控制列表ACL规则;
如果所述ACL规则用于限制所述IPv6隧道地址对应的连接数,则所述AFTR设备从所述报文BUFFER中获得所述IPv6隧道标识。
4.如权利要求1或2所述的方法,其特征在于,所述方法进一步包括:
所述AFTR设备利用IPv6隧道地址查询预先配置的连接数统计表;
如果所述连接数统计表中没有记录所述IPv6隧道地址,则所述AFTR设备确定连接数未达到连接数限制数值,在所述连接数统计表中记录所述IPv6隧道地址,并记录所述IPv6隧道地址当前对应的连接数为1;
如果所述连接数统计表中记录有所述IPv6隧道地址,则所述AFTR设备从所述连接数统计表中获得所述IPv6隧道地址当前对应的连接数;如果所述连接数未达到连接数限制数值,则所述AFTR设备更新所述IPv6隧道地址当前对应的连接数为所述连接数统计表中记录的连接数加1。
5.如权利要求1所述的方法,其特征在于,所述方法进一步包括:
所述AFTR设备在接收到来自所述B4设备的IPv6报文之后,判断所述B4设备使用的端口数量是否达到预设数量阈值;如果达到预设数量阈值,则所述AFTR设备不再为所述B4设备分配端口,并丢弃所述IPv6报文。
6.一种地址族过渡路由器单元AFTR设备,应用于包括AFTR设备和网关基本桥接宽带单元B4设备的轻型双栈DS-Lite网络中,所述B4设备通过IPv6网络与所述AFTR设备连接,其特征在于,所述AFTR设备具体包括:
接收模块,用于接收来自所述B4设备的IPv6报文,所述IPv6报文中携带IPv6头,所述IPv6头的源地址为所述B4设备的IPv6隧道地址;
处理模块,用于获得所述B4设备的IPv6隧道地址当前对应的连接数;如果所述IPv6隧道地址当前对应的连接数未达到连接数限制数值,则继续处理所述IPv6报文,并更新所述IPv6隧道地址当前对应的连接数;如果所述IPv6隧道地址当前对应的连接数达到连接数限制数值,则丢弃所述IPv6报文。
7.如权利要求6所述的AFTR设备,其特征在于,
所述处理模块,具体用于在接收到所述IPv6报文时,对所述IPv6报文进行IPv6隧道解封装,并将解封装后的IPv4报文以及所述B4设备的IPv6隧道地址对应的IPv6隧道标识记录到报文缓冲区BUFFER中,并在预先配置的hash表中存储所述IPv6隧道标识与所述IPv6隧道地址之间的映射关系;
从所述报文BUFFER中获得IPv6隧道标识,并通过所述IPv6隧道标识查询所述hash表,以得到所述IPv6隧道标识对应的IPv6隧道地址;
当所述IPv6隧道地址当前对应的连接数未达到连接数限制数值时,则继续处理所述报文BUFFER中的IPv4报文,并更新所述IPv6隧道地址当前对应的连接数;当所述IPv6隧道地址当前对应的连接数达到所述连接数限制数值时,则丢弃所述报文BUFFER中的IPv4报文。
8.如权利要求7所述的AFTR设备,其特征在于,
所述处理模块,进一步用于在从所述报文BUFFER中获得所述IPv6隧道标识的过程中,查询所述AFTR设备上配置的访问控制列表ACL规则;如果所述ACL规则用于限制所述IPv6隧道地址对应的连接数,则从所述报文BUFFER中获得所述IPv6隧道标识。
9.如权利要求6或7所述的AFTR设备,其特征在于,
所述处理模块,进一步用于利用所述IPv6隧道地址查询预先配置的连接数统计表;如果所述连接数统计表中没有记录所述IPv6隧道地址,则确定连接数未达到连接数限制数值,在所述连接数统计表中记录所述IPv6隧道地址,并记录所述IPv6隧道地址当前对应的连接数为1;如果所述连接数统计表中记录有所述IPv6隧道地址,则从所述连接数统计表中获得所述IPv6隧道地址当前对应的连接数;如果所述连接数未达到连接数限制数值,则更新所述IPv6隧道地址当前对应的连接数为所述连接数统计表中记录的连接数加1。
10.如权利要求6所述的AFTR设备,其特征在于,
所述处理模块,还用于在接收到来自所述B4设备的IPv6报文之后,判断所述B4设备使用的端口数量是否达到预设数量阈值;如果达到预设数量阈值,则不再为所述B4设备分配端口,并丢弃所述IPv6报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410579071.1A CN104363176A (zh) | 2014-10-24 | 2014-10-24 | 一种报文控制的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410579071.1A CN104363176A (zh) | 2014-10-24 | 2014-10-24 | 一种报文控制的方法和设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104363176A true CN104363176A (zh) | 2015-02-18 |
Family
ID=52530403
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410579071.1A Pending CN104363176A (zh) | 2014-10-24 | 2014-10-24 | 一种报文控制的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104363176A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453214A (zh) * | 2015-08-12 | 2017-02-22 | 中国电信股份有限公司 | 用于检验用户合法性的方法、装置和系统 |
| CN112333169A (zh) * | 2020-10-28 | 2021-02-05 | 锐捷网络股份有限公司 | 一种报文处理方法、装置、电子设备及计算机可读介质 |
| CN113518387A (zh) * | 2020-04-10 | 2021-10-19 | 华为技术有限公司 | 一种基于网际协议版本IPv6的无线网络通信方法和通信设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697397A (zh) * | 2004-05-13 | 2005-11-16 | 华为技术有限公司 | 一种实现网络设备防攻击的方法 |
| CN103067411A (zh) * | 2013-01-23 | 2013-04-24 | 杭州华三通信技术有限公司 | 防止DS-Lite组网中的DoS攻击方法和装置 |
| US20130229922A1 (en) * | 2012-03-02 | 2013-09-05 | Futurewei Technologies, Inc. | DS-Lite with BFD Support |
-
2014
- 2014-10-24 CN CN201410579071.1A patent/CN104363176A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697397A (zh) * | 2004-05-13 | 2005-11-16 | 华为技术有限公司 | 一种实现网络设备防攻击的方法 |
| US20130229922A1 (en) * | 2012-03-02 | 2013-09-05 | Futurewei Technologies, Inc. | DS-Lite with BFD Support |
| CN103067411A (zh) * | 2013-01-23 | 2013-04-24 | 杭州华三通信技术有限公司 | 防止DS-Lite组网中的DoS攻击方法和装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453214A (zh) * | 2015-08-12 | 2017-02-22 | 中国电信股份有限公司 | 用于检验用户合法性的方法、装置和系统 |
| CN113518387A (zh) * | 2020-04-10 | 2021-10-19 | 华为技术有限公司 | 一种基于网际协议版本IPv6的无线网络通信方法和通信设备 |
| CN112333169A (zh) * | 2020-10-28 | 2021-02-05 | 锐捷网络股份有限公司 | 一种报文处理方法、装置、电子设备及计算机可读介质 |
| CN112333169B (zh) * | 2020-10-28 | 2023-05-23 | 锐捷网络股份有限公司 | 一种报文处理方法、装置、电子设备及计算机可读介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10237089B2 (en) | Packet tunneling method, switching device, and control device | |
| US10148573B2 (en) | Packet processing method, node, and system | |
| WO2016192396A1 (en) | Exchanging application metadata for application context aware service insertion in service function chain | |
| US8700800B2 (en) | Roaming of clients between gateways of clusters of a wireless mesh network | |
| US20140153577A1 (en) | Session-based forwarding | |
| US7421506B2 (en) | Load balancer for multiprocessor platforms | |
| TW201815131A (zh) | 一種資料傳輸的方法及網路設備 | |
| CN112671628B (zh) | 业务服务提供方法及系统 | |
| US20170063699A1 (en) | Method and apparatus for configuring multi-paths using segment list | |
| JP5871063B2 (ja) | マルチテナントシステム、スイッチ、コントローラ、及びパケット転送方法 | |
| US8737396B2 (en) | Communication method and communication system | |
| CN109040243B (zh) | 一种报文处理方法及装置 | |
| CN109936492B (zh) | 一种通过隧道传输报文的方法、装置和系统 | |
| CN112671938B (zh) | 业务服务提供方法及系统、远端加速网关 | |
| CN105101176A (zh) | 一种漫游场景下的会话绑定方法、装置和系统 | |
| CN109246016B (zh) | 跨vxlan的报文处理方法和装置 | |
| CN107135118B (zh) | 一种单播通信方法、网关以及vxlan接入设备 | |
| CN104363176A (zh) | 一种报文控制的方法和设备 | |
| US11444877B2 (en) | Packet flow identification with reduced decode operations | |
| WO2015096734A1 (zh) | 一种业务数据的下行传输方法及分组数据网关 | |
| EP1512073B1 (en) | Load balancer for multiprocessor platforms | |
| Jayanthi et al. | Next generation internet protocol-Technical realms | |
| CN107547687B (zh) | 一种报文传输方法和装置 | |
| TWI483605B (zh) | 用於網路系統之部署方法及電腦系統 | |
| US9553817B1 (en) | Diverse transmission of packet content |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150218 |
|
| RJ01 | Rejection of invention patent application after publication |