CN104780165B - 一种报文入标签的安全验证方法和设备 - Google Patents

一种报文入标签的安全验证方法和设备 Download PDF

Info

Publication number
CN104780165B
CN104780165B CN201510140356.XA CN201510140356A CN104780165B CN 104780165 B CN104780165 B CN 104780165B CN 201510140356 A CN201510140356 A CN 201510140356A CN 104780165 B CN104780165 B CN 104780165B
Authority
CN
China
Prior art keywords
label
lsr
port
information
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510140356.XA
Other languages
English (en)
Other versions
CN104780165A (zh
Inventor
李树奎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Priority to CN201510140356.XA priority Critical patent/CN104780165B/zh
Publication of CN104780165A publication Critical patent/CN104780165A/zh
Application granted granted Critical
Publication of CN104780165B publication Critical patent/CN104780165B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例公开了一种报文入标签的安全验证方法和设备,通过应用本申请实施例所提出的技术方案,在不影响现有的MPLS网络应用及其协议的基础上,对于携带有入标签的报文,LSR根据预先保存的入标签与入端口的对应关系,比较实际接收报文的端口的信息与该入标签所对应的入端口的信息,做入标签的来源合法性检查,以阻止针对MPLS业务的网络设备攻击,这样的处理方案配置简单,实现简单,可阻止针对MPLS网络的潜在的网络攻击行为,使设备更加安全的运行。

Description

一种报文入标签的安全验证方法和设备
技术领域
本申请涉及通信技术领域,特别涉及一种报文入标签的安全验证方法和设备。
背景技术
MPLS(Multi-protocol Label Switching,多协议标签交换)是目前应用比较广泛的一种骨干网技术。MPLS在无连接的IP(Internet Protocol,网络互联协议)网络上引入面向连接的标签交换概念,将第三层路由技术和第二层交换技术相结合,充分发挥了IP路由的灵活性和二层交换的简洁性。在MPLS网络中,设备根据短而定长的标签转发报文,省去了查找IP路由表的繁琐过程,为数据在骨干网络中的传送提供了一种高速高效的方式。
如图1所示,为现有技术中的MPLS网络的结构示意图,MPLS网络的基本构成单元是LSR(Label Switching Router,标签交换路由器)。MPLS网络包括以下几个组成部分:
1)Ingress节点(入节点):报文的入口LSR,负责为进入MPLS网络的报文添加标签(Label)。
2)Transit节点(中间节点):MPLS网络内部的LSR,根据标签沿着由一系列LSR构成的LSP(Label Switched Path,标签交换路径)将报文传送给出口LSR。
3)Egress节点(出节点):报文的出口LSR,负责剥离报文中的标签,并转发给目的网络。
标签分配的过程为Egress节点给Transit节点分配标签,Transit节点给Ingress节点分配标签。
在实现本申请的过程中,发明人发现现有技术至少存在以下问题:
在MPLS组网应用中,当某台设备需要做标签交换或者终结操作时,如图2所示,为现有技术中的MPLS转发过程示意图,其中,Router(路由器)C将入标签40交换成标签50,此时的入标签值虽然是本台设备(Route C)分发出去的,但当收到的报文为恶意攻击行为所产生的带有标签40时,Route C无法区分是否是正常的业务流量,如果此报文数量特别多,则设备会忙于处理此种恶意报文而导致性能严重下降,使设备无法正常处理业务流量。
因此,需要在MPLS组网中引入一种防攻击的技术,阻止恶意的攻击报文对设备造成冲击,而现有技术中并没有这样的技术方案。
发明内容
本申请实施例提供一种报文入标签的安全验证方法和设备,解决现有方案中LSR无法识别标签合法性,无法阻止恶意的攻击报文对设备造成冲击的问题。
为达到上述目的,本申请实施例一方面提供了一种报文入标签的安全验证方法,应用于MPLS网络中,所述方法包括:
当LSR接收到携带入标签的报文时,所述LSR根据预先保存的入标签与入端口的对应关系,确定所述报文所携带的入标签所对应的入端口信息;
所述LSR判断所确定的入端口信息与接收到所述报文的端口的信息是否一致;
如果判断结果为一致,所述LSR确定所述入标签通过验证,正常处理所述报文,如果判断结果为不一致,所述LSR确定所述入标签未通过验证,丢弃所述报文;
其中,所述入标签与入端口的对应关系,具体通过以下方式进行保存:
在所述MPLS网络创建标签交换路径LSP的过程中,当所述LSR通过发送转发等价类FEC与标签的对应关系向上游LSR分发入标签时,所述LSR保存所述入标签所对应的入端口的信息,并记录所述入端口和所述入标签的对应关系。
另一方面,本申请实施例还提供了一种LSR,应用于MPLS网络中,包括:
接收模块,用于接收携带入标签的报文;
保存模块,用于保存入标签与入端口的对应关系,其中,所述入标签与入端口的对应关系,具体的保存方式为:在所述MPLS网络创建标签交换路径LSP的过程中,当所述LSR通过发送转发等价类FEC与标签的对应关系向上游LSR分发入标签时,所述LSR保存所述入标签所对应的入端口的信息,并记录所述入端口和所述入标签的对应关系;
确定模块,用于根据所述保存模块所保存的入标签与入端口的对应关系,确定所述接收模块所接收到的报文所携带的入标签所对应的入端口信息;
判断模块,用于判断所述确定模块所确定的入端口信息与所述接收模块所接收到报文的端口的信息是否一致;
处理模块,用于在所述判断模块的判断结果为一致时,确定所述入标签通过验证,正常处理所述报文,在所述判断模块的判断结果为不一致时,确定所述入标签未通过验证,丢弃所述报文。
与现有技术相比,本申请实施例所提出的技术方案具有以下优点:
通过应用本申请实施例所提出的技术方案,在不影响现有的MPLS网络应用及其协议的基础上,对于携带有入标签的报文,LSR根据预先保存的入标签与入端口的对应关系,比较实际接收报文的端口的信息与该入标签所对应的入端口的信息,做入标签的来源合法性检查,以阻止针对MPLS业务的网络设备攻击,这样的处理方案配置简单,实现简单,可阻止针对MPLS网络的潜在的网络攻击行为,使设备更加安全的运行。
附图说明
图1为现有技术中的MPLS网络的结构示意图;
图2为现有技术中的MPLS转发过程示意图;
图3为本申请实施例所提出的一种报文入标签的安全验证方法的流程示意图;
图4为本申请实施例所提出的MPLS网络中利用LDP协议建立LSP隧道的流程示意图;
图5为本申请实施例所提出的一种LSR的结构示意图。
具体实施方式
为了解决现有技术方案中LSR无法识别标签合法性,无法阻止恶意的攻击报文对设备造成冲击的问题,本申请提出了一种报文入标签的安全验证方法。
如图3所示,为本申请实施例所提出的一种报文入标签的安全验证方法的流程示意图,该方法应用于MPLS网络中,具体包括以下步骤:
步骤S301、LSR接收到携带入标签的报文。
当本步骤发生时,根据LSR是否使能入标签的来源合法性检查功能,会存在以下两种情况:
情况一、LSR当前已经使能了入标签的来源合法性检查功能,则执行后续的步骤S302。
需要说明的是,具体的功能使能方式,可以通过指令或者相应的配置来实现,具体的处理方式可以根据实际需要来确定,这样的变化并不会影响本申请的保护范围。
在此,需要进一步说明的是,根据具体指令或配置的内容差异,LSR所使能的功能类型也存在以下两种差异:
(1)对所有入标签的来源合法性检查。
在具体的应用场景中,LSR可以通过接收全局标签验证使能指令或者相应配置,来使能对所有入标签的来源合法性检查。
在使能了本功能的情况下,LSR对自身接收到的所有入标签都会进行来源合法性检查,这样处理的好处可以全面的过滤所有携带非法入标签的报文,实现全面的保护。
当然,在此场景下,LSR还可以进一步通过接收全局标签验证去使能指令或者相应配置,来停止对所有入标签的来源合法性检查,即对该功能进行去使能操作。
通过以上操作,实现了对所有入标签的来源合法性检查功能的开启或关闭,具体的指令构成和传输方式,以及具体配置方式可以根据实际需要进行调整,这样的变化并不会影响本申请的保护范围。
(2)对指定入标签的来源合法性检查。
在具体的应用场景中,LSR可以通过接收指定标签验证使能指令或者相应配置,来使能对指定入标签的来源合法性检查。
在使能了本功能的情况下,LSR只会对自身接收到的指定的入标签进行来源合法性检查,这样处理的好处可以针对性的对具有安全隐患的某个或某几个标签进行合法性检查,避免全面检查所带来的资源占用和频繁的流程操作,提高资源利用效率和处理效率。
当然,在此场景下,LSR还可以进一步通过接收指定标签验证去使能指令或者相应配置,来停止对指定的入标签的来源合法性检查,即对该功能进行去使能操作。
通过以上操作,实现了对指定的入标签的来源合法性检查功能的开启或关闭,具体的指令构成和传输方式,以及具体配置方式可以根据实际需要进行调整,这样的变化并不会影响本申请的保护范围。
步骤S302、所述LSR根据预先保存的入标签与入端口的对应关系,确定所述报文所携带的入标签所对应的入端口信息。
在具体的应用场景中,所述入标签与入端口的对应关系具体通过以下方式进行保存:
在MPLS网络利用LDP(Label Distribution Protocol,标签分配协议)创建LSP的过程中,下游LSR会根据目的地址划分FEC(Forwarding Equivalence Class,转发等价类),为特定FEC分配标签,并将FEC与标签的对应关系(绑定关系)通告给上游LSR,从而完成向上游LSR的入标签分配,使上游LSR根据该对应关系建立标签转发表项。
在此过程中,当所述LSR通过发送FEC与标签的对应关系向上游LSR分发入标签时,所述LSR保存所述入标签所对应的入端口的信息,并记录所述入端口和所述入标签的对应关系。
其中,根据具体网络结构的差异,LSR具体保存的入端口的信息内容也会存在相应的不同。
应用场景一、所述LSR与所述上游LSR之间存在多条等价路径。
所述入标签所对应的入端口的信息,具体所述上游LSR到所述LSR的各条等价路径的各个入端口的信息。
考虑到LSR与上游LSR之间存在多条等价路径,即上游LSR可以在后续操作中选择其中的任意一条路径向LSR发送携带入标签的报文,所以,这些等价路径都是合法路径,需要把这些等价路径与LSR连接的端口(即上游LSR所发送的报文在LSR的入端口)的信息均进行保存。
应用场景二、所述LSR与所述上游LSR之间是聚合组。
所述入标签所对应的入端口的信息,具体为所述聚合组内各成员端口的端口列表信息。
在LSR与上游LSR之间是聚合组的情况下,会出现端口聚合的情况,因此,聚合组中的各成员端口都可能在逻辑上成为LSR的入端口,需要将成员端口的端口列表信息进行保存。
步骤S303、所述LSR判断所确定的入端口信息与接收到所述报文的端口的信息是否一致。
在具体的应用场景中,本步骤中LSR可以将两种端口信息直接进行比较来判断是否一致,但是,考虑到场景差异,其具体的比较内容可以存在以下差异:
对应步骤S302中的应用场景一,当所述LSR与所述上游LSR之间存在多条等价路径时,所述LSR判断所确定的入端口信息是否为所述上游LSR到所述LSR的一条等价路径的入端口的信息。
对应步骤S302中的应用场景二,当所述LSR与所述上游LSR之间是聚合组时,所述LSR判断所确定的入端口信息是否属于所述聚合组内各成员端口的端口列表信息。
如果判断结果为一致,执行步骤S304;
如果判断结果为不一致,执行步骤S305。
步骤S304、所述LSR确定所述入标签通过验证,正常处理所述报文。
步骤S305、所述LSR确定所述入标签未通过验证,丢弃所述报文。
与现有技术相比,本申请实施例所提出的技术方案具有以下优点:
通过应用本申请实施例所提出的技术方案,在不影响现有的MPLS网络应用及其协议的基础上,对于携带有入标签的报文,LSR根据预先保存的入标签与入端口的对应关系,比较实际接收报文的端口的信息与该入标签所对应的入端口的信息,做入标签的来源合法性检查,以阻止针对MPLS业务的网络设备攻击,这样的处理方案配置简单,实现简单,可阻止针对MPLS网络的潜在的网络攻击行为,使设备更加安全的运行。
为了进一步阐述本申请的技术思想,现结合具体的应用场景,对本申请的技术方案进行说明。
在本申请所提出的技术方案中,在初始的隧道建立过程中,与现有方案相类似,按照传统的MPLS配置建立LSP隧道,组建MPLS业务网络,这样,可以在不影响现有的MPLS网络应用及其协议的基础上进一步实现后续流程操作,将网络设备更新代价降到最低。
如图4所示,为本申请实施例所提出的MPLS网络中利用LDP协议建立LSP隧道的流程示意图。
下游LSR根据目的地址划分FEC,为特定FEC分配标签,并将FEC与标签的对应关系(绑定关系)通告给上游LSR,从而完成向上游LSR的入标签分配,使上游LSR根据该对应关系建立标签转发表项。报文转发路径上的所有LSR都为该FEC建立对应的标签转发表项后,就成功地建立了用于转发属于该FEC报文的LSP隧道。
在此基础上,进一步结合前述的图2,当前网络中存在一条FEC(IP地址10.1.1.1),从LSR A到LSR D。
对于上游设备(如LSR B是LSR C的上游设备)来说,其路由及下一跳信息是已知的,对于下游设备(如LSR C是LSR B的下游设备,此处以LSRC为例)来说,同时也知道与其相连的上游设备(LSR B)之间的接口信息(包括到上游设备的下一跳及入端口)。
考虑到LDP协议是在基于路由建立的前提下相互通信的,因此,在LDP协议分发标签(即LSR C将FEC--标签绑定关系通告给上游设备LSR B)时,对于LSR C来说,通告给LSR B的标签是Label X,Label X即为LSR C的入标签。LSR C将入标签Label X对应的入端口信息保存起来。
至此,相应的业务网络建立和信息准备过程处理完毕,而且对于一台LSR设备来说,针对与其连接的不同的上游设备分配出去的标签值肯定是唯一的。
在本申请实施例中,将入标签来源合法性检查称之为ILSPC(Incoming LabelSource Port Check,入标签源端口检查)。
为了实现灵活运用ILSPC功能,采用可配置或发送指令的方式实现ILSPC功能的使能和去使能。使能情况分为两种,全局入标签源端口检查功能使能以及根据入标签来使能,去使能亦如此。
本申请实施例所提出的技术方案中,新增了用于是否使能全局入标签源端口检查或者根据特定入标签做检查的命令行,示例如下:
全局使能命令行:mpls label source port check enable,全局使能表示针对所有入标签都使能入标签源端口检查;
全局去使能命令行:undompls label source port check enable;
针对某一入标签的使能命令行:mpls label X source port check enable;(X表示某个具体标签值),根据入标签使能即针对某一个或者几个入标签使能入标签源端口检查;
针对某一入标签的去使能命令行:undompls label X source portcheckenable。
通过以上的命令行,可以使能或去使能相应的入标签的来源合法性检查功能,如果已经去使能,则无需后续操作,直接进行正常的报文处理即可,而在使能了相应的功能的情况下,后续步骤得以继续实行。
在LSR C使能了全局ILSPC检查或针对特定标签(Label X)的ILSPC检查功能的情况下,当LSR C接收到的报文携带标签值Label X时,LSR C获得入报文的端口索引,确定该报文的实际入端口的信息,同时,LSR C设备启动ILSPC检查。
LSR C根据Label X查询本地之前保存的入标签Label X所对应的入端口信息,将查询到的入端口信息和当前接收到该报文的实际入端口的信息进行比较,如果一致,则认为是来源合法的报文,做进一步处理,如果不一致,则认为是来源非法的报文,并将其丢弃。
在此过程中,判断的依据是本设备(LSR C)知道自身之前是通过哪个出端口给上游设备(LSR B)分配标签的。
在LSR B和LSR C只存在唯一路径的情况下,上述LSR C到LSR B的出端口的信息实际上就对应着所保存的入端口(即LSR B到LSR C的入端口)的信息,即一个入标签只对应一个入端口(一对一),携带Label X的报文如果是从该端口被接收到,则表示该报文是LSR B发送给LSR C的合法报文,相反,则表示该报文是不明来源的报文。
对于LSR B和LSR C之间有多条等价路径的情况,则LSR C记录入标签对应的一组端口信息,即一个入标签对应一组入端口(一对多),上述LSR C到LSR B的出端口的信息属于该组端口信息。在做ILSPC检查时,考虑到LSRB可以通过其他等价路径向LSR C发送报文,所以,比较报文的实际入端口是否在之前保存的入标签对应的一组端口列表里,即可实现判断。
对于LSR B和LSR C之间是聚合组的情况,则记录下聚合组内各成员口的端口列表信息,即一个入标签对应一个入端口的聚合组(一对多),在做ILSPC检查时,只要入报文的源端口在此端口列表内,则认为合法。
与现有技术相比,本申请实施例所提出的技术方案具有以下优点:
通过应用本申请实施例所提出的技术方案,在不影响现有的MPLS网络应用及其协议的基础上,对于携带有入标签的报文,LSR根据预先保存的入标签与入端口的对应关系,比较实际接收报文的端口的信息与该入标签所对应的入端口的信息,做入标签的来源合法性检查,以阻止针对MPLS业务的网络设备攻击,这样的处理方案配置简单,实现简单,可阻止针对MPLS网络的潜在的网络攻击行为,使设备更加安全的运行。
为了实现本申请的技术方案,本申请还提出了一种LSR,应用于MPLS网络中,如图5所示,该LSR的结构包括:
接收模块51,用于接收携带入标签的报文;
保存模块52,用于保存入标签与入端口的对应关系,其中,所述入标签与入端口的对应关系,具体的保存方式为:在所述MPLS网络创建标签交换路径LSP的过程中,当所述LSR通过发送转发等价类FEC与标签的对应关系向上游LSR分发入标签时,所述LSR保存所述入标签所对应的入端口的信息,并记录所述入端口和所述入标签的对应关系;
确定模块53,用于根据所述保存模块52所保存的入标签与入端口的对应关系,确定所述接收模块51所接收到的报文所携带的入标签所对应的入端口信息;
判断模块54,用于判断所述确定模块53所确定的入端口信息与所述接收模块51所接收到报文的端口的信息是否一致;
处理模块55,用于在所述判断模块54的判断结果为一致时,确定所述入标签通过验证,正常处理所述报文,在所述判断模块54的判断结果为不一致时,确定所述入标签未通过验证,丢弃所述报文。
优选的,所述接收模块51,还用于:
接收全局标签验证使能指令,使能对所有入标签的来源合法性检查,其中,接收全局标签验证使能指令之后,还用于接收全局标签验证去使能指令,停止对所有入标签的来源合法性检查;或,
接收指定标签验证使能指令,使能对指定入标签的来源合法性检查,其中,接收指定标签验证使能指令之后,还用于接收指定标签验证去使能指令,停止对指定入标签的来源合法性检查。
在具体的应用场景中,当所述LSR与所述上游LSR之间存在多条等价路径时,所述入标签所对应的入端口的信息,具体所述上游LSR到所述LSR的各条等价路径的各个入端口的信息;
当所述LSR与所述上游LSR之间是聚合组时,所述入标签所对应的入端口的信息,具体为所述聚合组内各成员端口的端口列表信息。
相应的,所述判断模块54,具体用于:
当所述LSR与所述上游LSR之间存在多条等价路径时,判断所确定的入端口信息是否为所述上游LSR到所述LSR的一条等价路径的入端口的信息;
当所述LSR与所述上游LSR之间是聚合组时,判断所确定的入端口信息是否属于所述聚合组内各成员端口的端口列表信息。
与现有技术相比,本申请实施例所提出的技术方案具有以下优点:
通过应用本申请实施例所提出的技术方案,在不影响现有的MPLS网络应用及其协议的基础上,对于携带有入标签的报文,LSR根据预先保存的入标签与入端口的对应关系,比较实际接收报文的端口的信息与该入标签所对应的入端口的信息,做入标签的来源合法性检查,以阻止针对MPLS业务的网络设备攻击,这样的处理方案配置简单,实现简单,可阻止针对MPLS网络的潜在的网络攻击行为,使设备更加安全的运行。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
本领域技术人员可以理解附图只是一个优选实施场景的示意图,附图中的模块或流程并不一定是实施本申请所必须的。
本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中,也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本申请序号仅仅为了描述,不代表实施场景的优劣。
以上公开的仅为本申请的几个具体实施场景,但是,本申请并非局限于此,任何本领域的技术人员能思之的变化都应落入本申请的保护范围。

Claims (10)

1.一种报文入标签的安全验证方法,应用于多协议标签交换MPLS网络中,其特征在于,所述方法包括:
当标签交换路由器LSR接收到携带入标签的报文时,所述LSR根据预先保存的入标签与入端口的对应关系,确定所述报文所携带的入标签所对应的入端口信息;
所述LSR判断所确定的入端口信息与接收到所述报文的端口的信息是否一致;
如果判断结果为一致,所述LSR确定所述入标签通过验证,正常处理所述报文,如果判断结果为不一致,所述LSR确定所述入标签未通过验证,丢弃所述报文;
其中,所述入标签与入端口的对应关系,具体通过以下方式进行保存:
在所述MPLS网络创建标签交换路径LSP的过程中,当所述LSR通过发送转发等价类FEC与标签的对应关系向上游LSR分发入标签时,所述LSR保存所述入标签所对应的入端口的信息,并记录所述入端口和所述入标签的对应关系。
2.如权利要求1所述的方法,其特征在于,所述LSR接收到携带入标签的报文之前,还包括:
所述LSR接收全局标签验证使能指令,使能对所有入标签的来源合法性检查,其中,所述LSR接收全局标签验证使能指令之后,还包括所述LSR接收全局标签验证去使能指令,停止对所有入标签的来源合法性检查;或,
所述LSR接收指定标签验证使能指令,使能对指定入标签的来源合法性检查,其中,所述LSR接收指定标签验证使能指令之后,还包括所述LSR接收指定标签验证去使能指令,停止对指定入标签的来源合法性检查。
3.如权利要求1所述的方法,其特征在于,当所述LSR与所述上游LSR之间存在多条等价路径时,所述入标签所对应的入端口的信息,具体为:
所述上游LSR到所述LSR的各条等价路径的各个入端口的信息。
4.如权利要求1所述的方法,其特征在于,当所述LSR与所述上游LSR之间是聚合组时,所述入标签所对应的入端口的信息,具体为:
所述聚合组内各成员端口的端口列表信息。
5.如权利要求3或4所述的方法,其特征在于,所述LSR判断所确定的入端口信息与接收到所述报文的端口的信息是否一致,具体包括:
当所述LSR与所述上游LSR之间存在多条等价路径时,所述LSR判断所确定的入端口信息是否为所述上游LSR到所述LSR的一条等价路径的入端口的信息;
当所述LSR与所述上游LSR之间是聚合组时,所述LSR判断所确定的入端口信息是否属于所述聚合组内各成员端口的端口列表信息。
6.一种标签交换路由器LSR,应用于多协议标签交换MPLS网络中,其特征在于,包括:
接收模块,用于接收携带入标签的报文;
保存模块,用于保存入标签与入端口的对应关系,其中,所述入标签与入端口的对应关系,具体的保存方式为:在所述MPLS网络创建标签交换路径LSP的过程中,当所述LSR通过发送转发等价类FEC与标签的对应关系向上游LSR分发入标签时,所述LSR保存所述入标签所对应的入端口的信息,并记录所述入端口和所述入标签的对应关系;
确定模块,用于根据所述保存模块所保存的入标签与入端口的对应关系,确定所述接收模块所接收到的报文所携带的入标签所对应的入端口信息;
判断模块,用于判断所述确定模块所确定的入端口信息与所述接收模块所接收到报文的端口的信息是否一致;
处理模块,用于在所述判断模块的判断结果为一致时,确定所述入标签通过验证,正常处理所述报文,在所述判断模块的判断结果为不一致时,确定所述入标签未通过验证,丢弃所述报文。
7.如权利要求6所述的LSR,其特征在于,所述接收模块,还用于:
接收全局标签验证使能指令,使能对所有入标签的来源合法性检查,其中,接收全局标签验证使能指令之后,还用于接收全局标签验证去使能指令,停止对所有入标签的来源合法性检查;或,
接收指定标签验证使能指令,使能对指定入标签的来源合法性检查,其中,接收指定标签验证使能指令之后,还用于接收指定标签验证去使能指令,停止对指定入标签的来源合法性检查。
8.如权利要求6所述的LSR,其特征在于,当所述LSR与所述上游LSR之间存在多条等价路径时,所述入标签所对应的入端口的信息,具体为:
所述上游LSR到所述LSR的各条等价路径的各个入端口的信息。
9.如权利要求6所述的LSR,其特征在于,当所述LSR与所述上游LSR之间是聚合组时,所述入标签所对应的入端口的信息,具体为:
所述聚合组内各成员端口的端口列表信息。
10.如权利要求8或9所述的LSR,其特征在于,所述判断模块,具体用于:
当所述LSR与所述上游LSR之间存在多条等价路径时,判断所确定的入端口信息是否为所述上游LSR到所述LSR的一条等价路径的入端口的信息;
当所述LSR与所述上游LSR之间是聚合组时,判断所确定的入端口信息是否属于所述聚合组内各成员端口的端口列表信息。
CN201510140356.XA 2015-03-27 2015-03-27 一种报文入标签的安全验证方法和设备 Active CN104780165B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510140356.XA CN104780165B (zh) 2015-03-27 2015-03-27 一种报文入标签的安全验证方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510140356.XA CN104780165B (zh) 2015-03-27 2015-03-27 一种报文入标签的安全验证方法和设备

Publications (2)

Publication Number Publication Date
CN104780165A CN104780165A (zh) 2015-07-15
CN104780165B true CN104780165B (zh) 2018-01-09

Family

ID=53621409

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510140356.XA Active CN104780165B (zh) 2015-03-27 2015-03-27 一种报文入标签的安全验证方法和设备

Country Status (1)

Country Link
CN (1) CN104780165B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106067864B (zh) * 2016-06-02 2021-05-07 新华三技术有限公司 一种报文处理方法及装置
CN113315764B (zh) * 2021-05-25 2023-03-10 深圳壹账通智能科技有限公司 防arp攻击的数据包发送方法、装置、路由器及存储介质
CN113645133B (zh) * 2021-09-18 2023-06-27 迈普通信技术股份有限公司 报文转发方法、装置、网络设备及计算机可读存储介质
CN115065626A (zh) * 2022-05-07 2022-09-16 苏州盛科通信股份有限公司 一种Micro-BFD中源端口校验方法、装置、电子设备及存储介质
CN116956294B (zh) * 2023-09-19 2024-01-09 北方健康医疗大数据科技有限公司 应用于训练模型的代码攻击检测方法、系统、设备及介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022420A (zh) * 2007-03-20 2007-08-22 华为技术有限公司 一种通信系统、标签交换路由器及路由切换方法
CN101035081A (zh) * 2007-04-28 2007-09-12 杭州华三通信技术有限公司 一种基于隧道的报文转发方法和标签交换路由器
CN101741709A (zh) * 2008-11-06 2010-06-16 华为技术有限公司 建立标签交换路径的方法、系统及网络节点
CN101917290A (zh) * 2010-08-12 2010-12-15 北京星网锐捷网络技术有限公司 标签转发路径故障处理方法、装置及网络设备
CN102404145A (zh) * 2011-11-17 2012-04-04 华为技术有限公司 多协议标签交换环网的检测方法、装置及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1756187A (zh) * 2004-09-30 2006-04-05 华为技术有限公司 出口标签交换路由器与其相连数据设备间故障的处理方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101022420A (zh) * 2007-03-20 2007-08-22 华为技术有限公司 一种通信系统、标签交换路由器及路由切换方法
CN101035081A (zh) * 2007-04-28 2007-09-12 杭州华三通信技术有限公司 一种基于隧道的报文转发方法和标签交换路由器
CN101741709A (zh) * 2008-11-06 2010-06-16 华为技术有限公司 建立标签交换路径的方法、系统及网络节点
CN101917290A (zh) * 2010-08-12 2010-12-15 北京星网锐捷网络技术有限公司 标签转发路径故障处理方法、装置及网络设备
CN102404145A (zh) * 2011-11-17 2012-04-04 华为技术有限公司 多协议标签交换环网的检测方法、装置及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于MPLS网络的故障检测及恢复的研究;陈悦;《中国优秀硕士论文全文数据库 信息科技辑》;20110615(第6期);第I136-116页 *

Also Published As

Publication number Publication date
CN104780165A (zh) 2015-07-15

Similar Documents

Publication Publication Date Title
CN104780165B (zh) 一种报文入标签的安全验证方法和设备
CN102301663B (zh) 一种报文处理方法及相关设备
KR101488648B1 (ko) 포인트 투 멀티포인트 터널을 통한 결함 검출 세션 부트스트래핑
CN100466629C (zh) 一种网络设备和基于多核处理器的报文转发方法
US8971338B2 (en) Expanding network functionalities for openflow based split-architecture networks
WO2017071269A1 (zh) 业务流的转发路径的重定向方法、装置和业务流转发系统
WO2018054397A1 (zh) 业务功能链检测路径的方法和装置
CN105960781A (zh) 利用基于公钥的数字签名保护源路由的方法与系统
CN107547383A (zh) 路径检测方法及装置
US9979698B2 (en) Local internet with quality of service (QoS) egress queuing
US9825770B2 (en) Method and apparatus for configuring multicast group
TWI492575B (zh) 快速標籤交換路徑警示機制
CN111064668B (zh) 路由表项的生成方法、装置及相关设备
US8381301B1 (en) Split-flow attack detection
CN102065020B (zh) 一种mpls网络中使用隧道组传输l2vpn业务的方法及装置
CN109561023A (zh) 传输组播报文的方法、装置和系统
CN106921534A (zh) 数据流量监管方法及装置
CN109067657B (zh) 一种报文处理方法和装置
US10785152B2 (en) Network switch device for routing network traffic through an inline tool
CN103152291A (zh) 一种基于trill网络的远程镜像实现方法和设备
CN109547281A (zh) 一种Tor网络的溯源方法
CN113541924A (zh) 报文检测的方法、设备以及系统
CN103391251A (zh) 一种pbb网络中减少冗余流量的方法和设备
JP4383216B2 (ja) 通信端末
KR101851031B1 (ko) 오프셋을 사용하는 대역 내 제어 채널을 제공하는 의사회선

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
EXSB Decision made by sipo to initiate substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant after: Xinhua three Technology Co., Ltd.

Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant before: Huasan Communication Technology Co., Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant