CN106100929A - 双向转发检测认证安全切换的方法和装置 - Google Patents

双向转发检测认证安全切换的方法和装置 Download PDF

Info

Publication number
CN106100929A
CN106100929A CN201610474917.4A CN201610474917A CN106100929A CN 106100929 A CN106100929 A CN 106100929A CN 201610474917 A CN201610474917 A CN 201610474917A CN 106100929 A CN106100929 A CN 106100929A
Authority
CN
China
Prior art keywords
certification
certification mode
network equipment
bfd
mode
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610474917.4A
Other languages
English (en)
Other versions
CN106100929B (zh
Inventor
汪江波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201610474917.4A priority Critical patent/CN106100929B/zh
Publication of CN106100929A publication Critical patent/CN106100929A/zh
Application granted granted Critical
Publication of CN106100929B publication Critical patent/CN106100929B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/28Routing or path finding of packets in data switching networks using route fault recovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

本申请提供了一种双向转发检测认证安全切换的方法和装置,包括:第一网络设备判断当前的BFD报文的认证状态,若当前处于认证中间状态,则每次向第二网络设备发送两份BFD报文,在认证中间状态下,当第一网络设备接收到第二网络设备发送的BFD报文时,执行如下步骤:判断是否通过第一认证模式的检测,若通过则刷新BFD超时检测定时器;若未通过,则继续判断是否通过第二认证模式的检测;若通过第二认证模式的检测,则刷新BFD超时检测定时器,使第二认证模式生效,并退出认证中间状态,从而解决了现有技术中修改BFD认证模式时导致的流量中断和路由被删除的问题。

Description

双向转发检测认证安全切换的方法和装置
技术领域
本申请涉及通信技术领域,特别是涉及一种双向转发检测认证安全切换的方法和装置。
背景技术
双向转发检测(Bidirectional Forwarding Detection,简称BFD)是一个通用的、标准化的、介质无关和协议无关的快速故障检测机制,该BFD可以为各路由协议、多协议标签交换(Multi-Protocol Label Switching,简称MPLS)、伪线(Prisoner of War,简称PW)、开放式最短路径优先(Open Shortest Path First,简称OSPF)等提供统一、快速的故障检测机制,而且BFD的故障检测时间通常都在毫秒级,大大提高了协议收敛速度,减少了网络丢包数和中断时间。
BFD为了提高自身的安全性,使用了认证机制,该认证机制包括简单认证Simple和消息摘要算法第五版(Message Digest Algorithm MD5,简称MD5),由于使用了认证机制,对BFD会话的使用和部署造成了一定问题。
现有技术中对BFD报文处理流程存在当第一设备的认证方式发生变化时,由于第二设备还没有来得及进行认证方式的修改时,第一设备直接发送认证变化的BFD报文,导致第二设备由于认证失败误认为链路出现故障,进而错误的通知OSPF协议邻居不可达,造成两个设备之间的流量中断或者路由删除等问题。
发明内容
本申请提供一种双向转发检测认证安全切换的方法和装置,以解决现有技术中修改BFD认证模式时导致的流量中断和路由被删除的问题。
为了解决上述问题,本申请公开了一种双向转发检测认证安全切换的方法,包括:
第一网络设备判断当前的BFD报文的认证状态,若当前处于认证中间状态,则每次向第二网络设备发送两份BFD报文,其中第一BFD报文根据修改认证模式之前的第一认证模式生成,第二BFD报文根据修改认证模式之后的第二认证模式生成;
在认证中间状态下,当第一网络设备接收到第二网络设备发送的BFD报文时,执行如下步骤:
判断是否通过第一认证模式的检测,若通过则刷新BFD超时检测定时器;若未通过,则继续判断是否通过第二认证模式的检测;
若通过第二认证模式的检测,则刷新BFD超时检测定时器,使第二认证模式生效,并退出认证中间状态。
优选的,所述方法还包括:设置认证模式切换超时定时器;
在所述第一网络设备进入认证中间状态时,启动所述认证模式切换超时定时器;
若所述认证模式切换超时定时器超时,则判断所述第一网络设备是否仍处于认证中间状态,若是则回退到第一认证模式并退出认证中间状态。
优选的,所述第一网络设备的BFD报文认证模式从所述第一认证模式修改为第二认证模式是指:
从无认证模式修改为有认证模式;或
从一种认证模式修改为另一种认证模式;或
从有认证模式修改为无认证模式。
优选的,所述修改认证模式是指在BFD会话处于UP状态下修改BFD报文的认证模式;
当所述第一网络设备的BFD报文认证模式变化时,自动触发使所述第一网络设备进入认证中间状态的操作。
为了解决上述问题,本申请还公开了一种双向转发检测认证安全切换的装置,所述装置为第一网络设备时,包括:
认证状态判断模块,用于判断当前的BFD报文的认证状态;
发送模块,用于若所述认证状态判断模块判断当前的BFD报文处于认证中间状态,则每次向第二网络设备发送两份BFD报文,其中第一BFD报文根据修改认证模式之前的第一认证模式生成,第二BFD报文根据修改认证模式之后的第二认证模式生成;
接收模块,用于接收第二网络设备发送的BFD报文;
第一判断模块,用于若所述认证状态判断模块判断当前的BFD报文处于认证中间状态,且当所述接收模块接收到第二网络设备发送的BFD报文时,判断是否通过第一认证模式的检测;
刷新模块,用于若所述第一判断模块判断通过第一认证模式的检测,则刷新BFD超时检测定时器;若未通过,则继续执行第二判断模块;
第二判断模块,用于若所述第一判断模块未通过第一认证模式的检测,则判断是否通过第二认证模式的检测;
所述刷新模块,还用于若所述第二判断模块通过第二认证模式的检测,则刷新BFD超时检测定时器,使第二认证模式生效,并退出认证中间状态。
优选的,所述装置还包括:
超时模块,用于设置认证模式切换超时定时器;
启动模块,用于在所述第一网络设备进入认证中间状态时,启动所述超时模块;
若所述超时模块超时,则执行第三判断模块;
所述第三判断模块,用于判断所述第一网络设备是否仍处于认证中间状态,若是则回退到第一认证模式并退出认证中间状态。
优选的,所述第一网络设备的BFD报文认证模式从所述第一认证模式修改为第二认证模式是指:
从无认证模式修改为有认证模式;或
从一种认证模式修改为另一种认证模式;或
从有认证模式修改为无认证模式。
优选的,所述修改认证模式是指在BFD会话处于UP状态下修改BFD报文的认证模式;
当所述第一网络设备的BFD报文认证模式变化时,自动触发使所述第一网络设备进入认证中间状态的操作。
与现有技术相比,本申请包括以下优点:
本申请第一网络设备判断当前的BFD报文的认证状态,若当前处于认证中间状态,则每次向第二网络设备发送两份BFD报文,其中第一BFD报文根据修改认证模式之前的第一认证模式生成,第二BFD报文根据修改认证模式之后的第二认证模式生成,在认证中间状态下,当第一网络设备接收到第二网络设备发送的BFD报文时,对接收到的BFD报文进行两次认证,即若通过第一认证模块的检测,则刷新BFD超时检测定时器;若未通过,则继续判断是否通过第二认证模式的检测;若通过第二认证模式的检测,则刷新BFD超时检测定时器,使第二认证模式生效,并退出认证中间状态,通过设置中间状态可以使用户有足够的时间修改网络设备的认证模式,从而避免了修改BFD认证模式时导致的流量中断和路由被删除的问题,同时也提升了用户的使用体验。
当然,实施本申请的任一方法或产品不一定需要同时达到以上所述的所有优点。
附图说明
图1是本申请实施例一所述一种双向转发检测认证安全切换的方法的流程图;
图2是现在技术中以OSPF协议为例的BFD报文处理流程图;
图3是本申请实施例二所述一种双向转发检测认证安全切换的方法的流程图;
图4是本申请中Simple认证格式示意图;
图5是本申请中MD5认证格式示意图;
图6是本申请中SHA1认证格式示意图;
图7是本申请一种双向转发检测认证安全切换的方法的应用实例;
图8是本申请实施例三所述一种双向转发检测认证安全切换的装置的结构框图;
图9是本申请实施例四所述一种双向转发检测认证安全切换的装置的结构框图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
实施例一
本申请双向转发检测认证安全切换的基本思想是:第一网络设备和第二网络设备建立BFD会话后,在所建立会话的通道上周期性发送双向BFD报文,利用第二网络设备实现对第一网络设备的检测,若第一网络设备在一定时间内没有接收到第二网络设备的BFD报文,则认为该双向通道的某个部分发生了故障。
第一网络设备判断当前的BFD报文的认证状态,若当前处于认证中间状态,则每次向第二网络设备发送两份BFD报文,其中,第一BFD报文根据修改认证模式之前的第一认证模式生成,第二BFD报文根据修改认证模式之后的第二认证模式生成,在认证中间状态下,第一网络设备对接收的BFD报文进行两次检测,若通过第二认证模式的检测,则刷新BFD超时检测定时器,使第二认证模式生效,并退出认证中间状态,同样的,也需要将第二网络设备的认证模式修改为相同的配置,同样第二网络设备也会进入认证中间状态,每次向第一网络设备发送两份BFD报文,当第一网络设备收到第二网络设备的BFD报文时,并通过了第二认证模式的检测,则认为第二网络设备的认证模式也更新完成,退出中间状态,通过上述处理实现了两个设备之间的认证模式。
参照图1,示出了本申请实施例一所述一种双向转发检测认证安全切换的方法的流程图,该方法具体包括:
步骤101:第一网络设备判断当前的BFD报文的认证状态,若当前处于认证中间状态时,则执行步骤102,若否,则执行步骤108。
步骤102:第一网络设备每次向第二网络设备发送两份BFD报文。
其中,第一BFD报文根据修改认证模式之前的第一认证模式生成,即是按照认证配置变化之前生成的,第二BFD报文根据修改认证模式之后的第二认证模式生成,即是按照认证配置变化之后生成的。
第一认证模式和第二认证模式包括但不限于简单认证Simple、消息摘要算法第五版(Message Digest Algorithm MD5,简称MD5)、精密MD5算法认证(Meticulous MD5,简称M-MD5)、安全哈希算法(Secure Hash Algorithm,简称SHA1)和精密安全哈希算法(Meticulous SHA1,简称M-SHA1)算法认证中的至少一种。
其中,SHA1主要适用于数字签名标准中定义的数字签名算法,对于长度小于264位的消息,SHA1会产生一个160位的消息摘要,用于接收时验证数据的完整性。
例如:,当BFD报文的认证状态处于认证中间状态时,第一网络设备的第一认证模式为简单认证,修改后的第二认证模式为MD5认证,则第一网络设备每次向第二网络设备发送两份BFD报文,其中,第一BFD报文为根据简单认证生成的,第二BFD报文为根据MD5认证生成的。
步骤103:在认证中间状态下,当第一网络设备接收到第二网络设备发送的BFD报文时,执行如下步骤104-107。
步骤104:判断是否通过第一认证模式的检测,若通过,则执行步骤105,否则,执行步骤106。
步骤105:刷新BFD超时检测定时器。
判断BFD报文是否通过第一认证模式的检测,若通过,则BFD报文合法,并去刷新第一网络设备的检测定时器,使检测定时器进行重置。
步骤106:则继续判断是否通过第二认证模式的检测,若通过,则执行步骤107。
步骤107:刷新BFD超时检测定时器,使第二认证模式生效,并退出认证中间状态。
若BFD报文通过第二认证模式的检测,则说明此时第一网络设备已经更新为第二认证模式,进而刷新检测定时器,使第二认证模式生效,并退出认证中间状态,流程结束。
步骤108:采用现有流程对BFD报文进行认证,结束本次流程。
以OSPF协议上BFD为例,BFD报文处理流程图如图2所示,包括以下步骤:
步骤201:用户使用的两台设备(设备1和设备2)已经部署了OSPF与BFD联动以检测链路的联通性,BFD会话已经处于UP状态,并维持稳定。
步骤202:设备1和设备2初始配置认证均为简单认证Simple。
步骤203:将设备1的Simple认证修改为MD5认证,此时设备1向设备2发送的BFD报文中携带了MD5认证。
步骤204:设备2接收设备1发送的BFD报文,由于此时设备2的认证方式还是Simple认证,因此设备2对接收设备1发送的BFD报文进行验证不成功,而丢弃该BFD报文。
步骤205:BFD检测到链路或网络故障。
步骤206:拆除BFD邻居会话。
步骤207:BFD通知本地OSPF协议进行,BFD邻居不可达。
步骤208:本地OSPF协议中止OSPF邻居关系,结束本次流程。
需要说明的是,第一网络设备和第二网络设备可以为交换机或者路由器,也可以为其他设备,对此本申请不做具体限制。
本申请实施例,第一网络设备判断当前的BFD报文的认证状态,若第一网络设备处于认证中间状态,则每次向第二网络设备发送两份BFD报文,其中第一BFD报文根据修改认证模式之前的第一认证模式生成,第二BFD报文根据修改认证模式之后的第二认证模式生成,在认证中间状态下,当第一网络设备接收到第二网络设备发送的BFD报文时,对接收到的BFD报文进行两次认证,即若通过第一认证模块的检测,则刷新BFD超时检测定时器;若未通过,则继续判断是否通过第二认证模式的检测;若通过第二认证模式的检测,则刷新BFD超时检测定时器,使第二认证模式生效,并退出认证中间状态,通过设置中间状态可以使用户有足够的时间修改网络设备的认证模式,从而避免了修改BFD认证模式时导致的流量中断和路由被删除的问题,同时也提升了用户的使用体验。
实施例二
参照图3,其示出了本申请实施例二所述一种双向转发检测认证安全切换的方法的流程图,具体包括:
步骤301:设置认证模式切换超时定时器。
在所述第一网络设备进入认证中间状态时,启动所述认证模式切换超时定时器。
步骤302:判断认证模式切换超时定时器是否超时,若超时,则执行步骤303,若未超时,则执行步骤304。
其中,优选地,认证模式切换超时定时器超时时间可以设置为5分钟,也可以由本领域技术人员采用任意适当方式进行设定,如可以采用人工经验设定阈值,或者针对历史数据的差异值设置超时时间,本申请对此不作限制。
步骤303:判断所述第一网络设备是否仍处于认证中间状态,若是则回退到第一认证模式并退出认证中间状态,流程结束。
步骤304:第一网络设备判断当前的BFD报文的认证状态,若当前处于认证中间状态时,则执行步骤305,若否,则执行步骤311。
步骤305:第一网络设备每次向第二网络设备发送两份BFD报文。
其中,第一BFD报文根据修改认证模式之前的第一认证模式生成,第二BFD报文根据修改认证模式之后的第二认证模式生成。
所述修改认证模式是指在BFD会话处于UP状态下修改BFD报文的认证模式。
当所述第一网络设备的BFD报文认证模式变化时,自动触发使所述第一网络设备进入认证中间状态的操作。
所述第一网络设备的BFD报文认证模式从所述第一认证模式修改为第二认证模式是指:从无认证模式修改为有认证模式;或
从一种认证模式修改为另一种认证模式;或
从有认证模式修改为无认证模式。
步骤306:在认证中间状态下,当第一网络设备接收到第二网络设备发送的BFD报文时,执行如下步骤307-309。
步骤307:判断是否通过第一认证模式的检测,若通过,则执行步骤308,否则,执行步骤309。
第一网络设备对接收到的BFD报文进行解析,获取BFD报文中携带的认证字段,其中,所述第一认证模式包括但不限于简单认证Simple、消息摘要算法第五版MD5、精密MD5算法认证、SHA1算法认证和精密SHA1算法认证中的至少一种。
当认证为Simple认证时,认证格式如图4所示,其中,BFD报文中的Simple认证字段包括:
Auth Type代表认证类型。
Auth Len代表认证部分的长度。
Auth Key ID代表本BFD报文使用的key。
Password代表本BFD报文使用的密码。
当认证为MD5认证时,认证格式如图5所示,其中,BFD报文中的MD5认证字段包括:
Auth Type代表认证类型。
Auth Len代表认证部分的长度。
Auth Key ID代表本BFD报文使用的key。
Reserved发送时必须为0,接收时忽略该位。
Sequence Number代表当前包的序列号。对于MD5这个值时随机增加的。
Auth Key/Digest代表携带当前包的16字节MD5校验和。
当认证为M-MD5认证时,认证格式与MD5相同,唯一不同的是,对于SequenceNumber代表的是当前会话每发送一个包,这个值加一个,以防止重复攻击。
当认证为SHA1认证时,认证格式如图6所示,其中,BFD报文中的SHA1认证字段包括:
Auth Type代表认证类型。
Auth Len代表认证部分的长度,单位为字节。
Auth Key ID代表本BFD报文使用的key。
Reserved发送时必须为0,接收时忽略该位。
Sequence Number代表当前包的序列号。对于SHA1这个值时随机增加的。
Auth Key/Digest代表携带当前包的20字节SHA1校验和。
当认证为M-SHA1认证时,认证格式与SHA1相同,唯一不同的是,对于SequenceNumber代表的是当前会话每发送一个包,这个值加一个,以防止重复攻击。
对所述认证字段进行认证检查将所述认证字段与第一网络设备的第一认证模式的认证配置进行比较,若认证字段与第一网络设备的第一认证模式的认证配置的比较结果一致,则确定所述BFD报文为合法报文,若不一致,则丢弃该BFD报文。
例如:当认证字段为Simple认证时,将Simple认证字段中的Auth Type、Auth Len、Auth Key ID和Password字段分别与第一网络设备的认证配置中的Auth Type、Auth Len、Auth Key ID和Password字段进行比较,如果全部相同,则认证该BFD报文合法,可以对BFD报文进行处理。否则,认证该BFD报文非法,将该BFD报文丢弃。
当认证字段为MD5认证时,将MD5认证字段中的Auth Type、Auth Len、Auth KeyID、Reserved、Sequence Number和Auth Key/Digest字段分别与第一网络设备的认证配置中的Auth Type、Auth Len、Auth Key ID、Reserved、Sequence Number和Auth Key/Digest字段进行比较,首先比较认证类型,若认证类型相同,在比较Auth Len、Auth Key ID、Reserved、Sequence Number和Auth Key/Digest,并报文的序列号必须大于等于上次报文的序列号,然后根据文本内容计算出一个校验和与报文中携带的校验和进行比较,如果全部相同,则认证该BFD报文合法,可以对BFD报文进行处理。否则,认证该BFD报文非法,将该BFD报文丢弃。
当认证字段为SHA1认证时,将SHA1认证字段中的Auth Type、Auth Len、Auth KeyID和Password字段分别与第一网络设备的认证配置中的Auth Type、Auth Len、Auth KeyID、Reserved、Sequence Number和Auth Key/Digest字段进行比较,如果全部相同,则认证该BFD响应报文合法,可以对BFD报文进行处理。否则,认证该BFD报文非法,将该BFD报文丢弃。
需要说明的是,M-MD5和M-SHA1的认证检查方式相同,参照MD5和SHA1认证方式进行操作,对此本申请不做具体描述。
步骤308:刷新BFD超时检测定时器,流程结束。
步骤309:则继续判断是否通过第二认证模式的检测,若通过,则执行步骤310。
步骤310:刷新BFD超时检测定时器,使第二认证模式生效,并退出认证中间状态,流程结束。
步骤311:采用现有流程对BFD报文进行认证,结束本次流程。
需要说明的是,本申请是以先对第一网络设备进行认证配置为例进行说明的,在实际应用中,也可以先对第二网络设备先进行认证配置,具体方法可以参照第一网络设备进行认证配置的方法,本申请对第一网络设备和第二网络设备的认证配置顺序不做具体限制。
本申请实施例,第一网络设备判断当前的BFD报文的认证状态,若当前处于认证中间状态,则每次向第二网络设备发送两份BFD报文,其中第一BFD报文根据修改认证模式之前的第一认证模式生成,第二BFD报文根据修改认证模式之后的第二认证模式生成,在认证中间状态下,当第一网络设备接收到第二网络设备发送的BFD报文时,对接收到的BFD报文进行两次认证,即若通过第一认证模块的检测,则刷新BFD超时检测定时器;若未通过,则继续判断是否通过第二认证模式的检测;若通过第二认证模式的检测,则刷新BFD超时检测定时器,使第二认证模式生效,并退出认证中间状态,通过设置中间状态可以使用户有足够的时间修改网络设备的认证模式,从而避免了修改BFD认证模式时导致的流量中断和路由被删除的问题,同时也提升了用户的使用体验。
其次,通过设置认证中间状态,为用户保留足够的时间对网络设备进行认证配置的修改,避免了第一网络设备认证方式发生变化时,第二网络设备还没有来得及进行认证方式的修改,直接向第二网络设备发送认证变化的BFD报文,导致第二网络设备由于认证失败误认为链路出现故障的问题。
为了本领域技术人员更好的理解本申请限定的技术方案,参见图7示出了本申请所述一种双向转发检测认证安全切换的方法应用实例。
本实例以第一网络设备和第二网络设备为例进行说明使用该方法实现认证模式的安全切换,具体包括:
步骤701:第一网络设备的BFD会话已经处于激活UP状态时,且认证模式由第一认证模式切换到第二认证模式,则自动触发使第一网络设备进入认证中间状态。在此状态下第一网络设备向第二网络设备发送两份BFD报文,其中第一份BFD报文是按照认证配置变化之前生成的认证报文,第二份BFD报文是按照认证配置变化之后生成的认证报文。
第二网络设备接收到第一网络设备发送的两份BFD报文,由于第二网络设备的认证还没有进行更新,对接收到的BFD报文仍然使用认证配置变化之前的认证方式进行解析,因此第一BFD报文可以通过解析,成功接收第一BFD报文,而第二BFD报文使用认证配置变化之前的认证方式进行解析,解析发现第二BFD报文与第二网络设备的认证配置不匹配,则将第二BFD报文丢弃,将检测定时器重置。
步骤702:第二网络设备因为认证模式还没有更新,发给第一网络设备的BFD报文还是第一BFD报文,此时第一网络设备收到第一份BFD报文后,如果发现自己仍然处于认证中间状态,则对收到的第一BFD报文进行两次认证检查,分别用认证配置变化之前的认证方式和认证配置变化之后的认证方式都检查一遍,如果任何一个认证通过,则认为是合法报文,并将定时器重置。
步骤703:当第二网络设备的认证模式也进入认证中间态时,第二网络设备向第一网络设备发送两份报文,当第一网络设备收到第二网络设备携带的认证配置变化之后的认证方式的BFD报文时,并可以通过认证检查,则认为第二网络设备的认证已更新,退出认证中间状态,同样的,第二网络设备发现收到第一网络设备携带的认证配置变化之后的认证方式的BFD报文时,并可以通过认证检查,也退出认证中间态,通过以上处理实现了第一网络设备和第一网络设备的认证模式的安全切换。
需要说明的是,对于该应用实例是先对第一网络设备进行配置,在对第二网络设备进行配置,实际操作时也可以先对第二网络设备进行配置,在对第一网络设备进行配置,对第一网络设备和第二网络设备的配置的先后顺序不做具体限制。
需要说明的是,对于前述的方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请所必需的。
基于上述方法实施例的说明,本申请还提供了一种双向转发检测认证安全切换的装置实施例,来实现上述方法实施例所述的内容。
实施例三
参照图8,其示出了本申请实施例三一种双向转发检测认证安全切换的装置的结构图,该装置为第一网络设备时,具体可以包括:
认证状态判断模块801,用于判断当前的BFD报文的认证状态,若所述认证状态判断模块判断当前的BFD报文处于认证中间状态,则执行发送模块802,否则执行认证模块807。
发送模块802:每次向第二网络设备发送两份BFD报文。
其中,第一BFD报文根据修改认证模式之前的第一认证模式生成,第二BFD报文根据修改认证模式之后的第二认证模式生成。
接收模块803,用于接收第二网络设备发送的BFD报文。
第一判断模块804,若所述认证状态判断模块判断当前的BFD报文处于认证中间状态,且当所述接收模块接收到第二网络设备发送的BFD报文时,判断是否通过第一认证模式的检测,若所述第一判断模块判断通过第一认证模式的检测,则执行刷新模块805,若所述第一判断模块未通过第一认证模式的检测,则执行第二判断模块806;
刷新模块805,用于刷新BFD超时检测定时器,结束。
第二判断模块806,则判断是否通过第二认证模式的检测,若所述第二判断模块通过第二认证模式的检测,则执行刷新模块805。
刷新模块,还用于刷新BFD超时检测定时器,使第二认证模式生效,并退出认证中间状态,结束。
认证模块807,用于采用现有流程对BFD报文进行认证,结束。
本申请实施例,第一网络设备判断当前的BFD报文的认证状态,若当前处于认证中间状态,则每次向第二网络设备发送两份BFD报文,其中第一BFD报文根据修改认证模式之前的第一认证模式生成,第二BFD报文根据修改认证模式之后的第二认证模式生成,在认证中间状态下,当第一网络设备接收到第二网络设备发送的BFD报文时,对接收到的BFD报文进行两次认证,即若通过第一认证模块的检测,则刷新BFD超时检测定时器;若未通过,则继续判断是否通过第二认证模式的检测;若通过第二认证模式的检测,则刷新BFD超时检测定时器,使第二认证模式生效,并退出认证中间状态,通过设置中间状态可以使用户有足够的时间修改网络设备的认证模式,从而避免了修改BFD认证模式时导致的流量中断和路由被删除的问题,同时也提升了用户的使用体验。
实施例四
参照图9,其示出了本申请实施例四一种双向转发检测认证安全切换的装置的结构图,具体包括:
超时模块901,用于设置认证模式切换超时定时器,若所述超时模块超时,则执行第三判断模块902,若未超时,则执行认证状态判断模块903。
优选的,启动模块,用于在所述第一网络设备进入认证中间状态时,启动所述超时模块。
所述第三判断模块902,用于判断所述第一网络设备是否仍处于认证中间状态,若是则回退到第一认证模式并退出认证中间状态,结束。
认证状态判断模块903,用于判断当前的BFD报文的认证状态,若所述认证状态判断模块判断当前的BFD报文处于认证中间状态,则执行发送模块904,否则执行认证模块909。
发送模块904:每次向第二网络设备发送两份BFD报文。
其中,第一BFD报文根据修改认证模式之前的第一认证模式生成,第二BFD报文根据修改认证模式之后的第二认证模式生成。
优选的,所述第一网络设备的BFD报文认证模式从所述第一认证模式修改为第二认证模式是指:从无认证模式修改为有认证模式;或从一种认证模式修改为另一种认证模式;或从有认证模式修改为无认证模式。
优选的,所述修改认证模式是指在BFD会话处于UP状态下修改BFD报文的认证模式。
当所述第一网络设备的BFD报文认证模式变化时,自动触发使所述第一网络设备进入认证中间状态的操作。
接收模块905,用于接收第二网络设备发送的BFD报文,若所述认证状态判断模块判断当前的BFD报文处于认证中间状态,且当所述接收模块接收到第二网络设备发送的BFD报文时,则执行第一判断模块906。
第一判断模块906,判断是否通过第一认证模式的检测,若所述第一判断模块判断通过第一认证模式的检测,则执行刷新模块907,若所述第一判断模块未通过第一认证模式的检测,则执行第二判断模块908;
刷新模块907,用于刷新BFD超时检测定时器,结束。
第二判断模块908,则判断是否通过第二认证模式的检测,若所述第二判断模块通过第二认证模式的检测,则执行刷新模块907,使第二认证模式生效,并退出认证中间状态,结束。
认证模块909,用于采用现有流程对BFD报文进行认证,结束。
本申请实施例,第一网络设备判断当前的BFD报文的认证状态,若当前处于认证中间状态,则每次向第二网络设备发送两份BFD报文,其中第一BFD报文根据修改认证模式之前的第一认证模式生成,第二BFD报文根据修改认证模式之后的第二认证模式生成,在认证中间状态下,当第一网络设备接收到第二网络设备发送的BFD报文时,对接收到的BFD报文进行两次认证,即若通过第一认证模块的检测,则刷新BFD超时检测定时器;若未通过,则继续判断是否通过第二认证模式的检测;若通过第二认证模式的检测,则刷新BFD超时检测定时器,使第二认证模式生效,并退出认证中间状态,通过设置中间状态可以使用户有足够的时间修改网络设备的认证模式,从而避免了修改BFD认证模式时导致的流量中断和路由被删除的问题,同时也提升了用户的使用体验。
其次,通过设置认证中间状态,为用户保留足够的时间对网络设备进行认证配置的修改,避免了第一网络设备认证方式发生变化时,第二网络设备还没有来得及进行认证方式的修改,直接向第二网络设备发送认证变化的BFD报文,导致第二网络设备由于认证失败误认为链路出现故障的问题
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
以上对本申请所提供的一种双向转发检测认证安全切换的方法和装置,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (8)

1.一种双向转发检测认证安全切换的方法,其特征在于,包括:
第一网络设备判断当前的BFD报文的认证状态,若当前处于认证中间状态,则每次向第二网络设备发送两份BFD报文,其中第一BFD报文根据修改认证模式之前的第一认证模式生成,第二BFD报文根据修改认证模式之后的第二认证模式生成;
在认证中间状态下,当第一网络设备接收到第二网络设备发送的BFD报文时,执行如下步骤:
判断是否通过第一认证模式的检测,若通过则刷新BFD超时检测定时器;若未通过,则继续判断是否通过第二认证模式的检测;
若通过第二认证模式的检测,则刷新BFD超时检测定时器,使第二认证模式生效,并退出认证中间状态。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
设置认证模式切换超时定时器;
在所述第一网络设备进入认证中间状态时,启动所述认证模式切换超时定时器;
若所述认证模式切换超时定时器超时,则判断所述第一网络设备是否仍处于认证中间状态,若是则回退到第一认证模式并退出认证中间状态。
3.根据权利要求1所述的方法,其特征在于,所述第一网络设备的BFD报文认证模式从所述第一认证模式修改为第二认证模式是指:
从无认证模式修改为有认证模式;或
从一种认证模式修改为另一种认证模式;或
从有认证模式修改为无认证模式。
4.根据权利要求1所述的方法,其特征在于,
所述修改认证模式是指在BFD会话处于UP状态下修改BFD报文的认证模式;
当所述第一网络设备的BFD报文认证模式变化时,自动触发使所述第一网络设备进入认证中间状态的操作。
5.一种双向转发检测认证安全切换的装置,其特征在于,所述装置为第一网络设备时,包括:
认证状态判断模块,用于判断当前的BFD报文的认证状态;
发送模块,用于若所述认证状态判断模块判断当前的BFD报文处于认证中间状态,则每次向第二网络设备发送两份BFD报文,其中第一BFD报文根据修改认证模式之前的第一认证模式生成,第二BFD报文根据修改认证模式之后的第二认证模式生成;
接收模块,用于接收第二网络设备发送的BFD报文;
第一判断模块,用于若所述认证状态判断模块判断当前的BFD报文处于认证中间状态,且当所述接收模块接收到第二网络设备发送的BFD报文时,判断是否通过第一认证模式的检测;
刷新模块,用于若所述第一判断模块判断通过第一认证模式的检测,则刷新BFD超时检测定时器;若未通过,则继续执行第二判断模块;
第二判断模块,用于若所述第一判断模块未通过第一认证模式的检测,则判断是否通过第二认证模式的检测;
所述刷新模块,还用于若所述第二判断模块通过第二认证模式的检测,则刷新BFD超时检测定时器,使第二认证模式生效,并退出认证中间状态。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
超时模块,用于设置认证模式切换超时定时器;
启动模块,用于在所述第一网络设备进入认证中间状态时,启动所述超时模块;
若所述超时模块超时,则执行第三判断模块;
所述第三判断模块,用于判断所述第一网络设备是否仍处于认证中间状态,若是则回退到第一认证模式并退出认证中间状态。
7.根据权利要求5所述的装置,其特征在于,所述第一网络设备的BFD报文认证模式从所述第一认证模式修改为第二认证模式是指:
从无认证模式修改为有认证模式;或
从一种认证模式修改为另一种认证模式;或
从有认证模式修改为无认证模式。
8.根据权利要求5所述的装置,其特征在于,所述修改认证模式是指在BFD会话处于UP状态下修改BFD报文的认证模式;
当所述第一网络设备的BFD报文认证模式变化时,自动触发使所述第一网络设备进入认证中间状态的操作。
CN201610474917.4A 2016-06-22 2016-06-22 双向转发检测认证安全切换的方法和装置 Active CN106100929B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610474917.4A CN106100929B (zh) 2016-06-22 2016-06-22 双向转发检测认证安全切换的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610474917.4A CN106100929B (zh) 2016-06-22 2016-06-22 双向转发检测认证安全切换的方法和装置

Publications (2)

Publication Number Publication Date
CN106100929A true CN106100929A (zh) 2016-11-09
CN106100929B CN106100929B (zh) 2019-06-21

Family

ID=57252832

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610474917.4A Active CN106100929B (zh) 2016-06-22 2016-06-22 双向转发检测认证安全切换的方法和装置

Country Status (1)

Country Link
CN (1) CN106100929B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109756487A (zh) * 2018-12-25 2019-05-14 杭州迪普科技股份有限公司 一种认证的方法、装置、设备及存储介质
CN113453262A (zh) * 2021-06-29 2021-09-28 新华三大数据技术有限公司 一种双向转发检测bfd方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101610535A (zh) * 2009-07-30 2009-12-23 杭州华三通信技术有限公司 多链路直连场景下保证bfd会话稳定性的方法、系统及装置
CN102752143A (zh) * 2012-07-05 2012-10-24 杭州华三通信技术有限公司 Mpls te双向隧道的bfd检测方法及路由设备
CN103166915A (zh) * 2011-12-12 2013-06-19 迈普通信技术股份有限公司 用于单向路径检测的bfd会话建立方法及bfd会话系统
CN103647777A (zh) * 2013-12-13 2014-03-19 华为技术有限公司 一种安全认证方法和双向转发检测bfd设备
EP2933977A1 (en) * 2014-04-15 2015-10-21 Ciena Corporation Integrity check optimization systems and methods in live connectivity frames

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101610535A (zh) * 2009-07-30 2009-12-23 杭州华三通信技术有限公司 多链路直连场景下保证bfd会话稳定性的方法、系统及装置
CN103166915A (zh) * 2011-12-12 2013-06-19 迈普通信技术股份有限公司 用于单向路径检测的bfd会话建立方法及bfd会话系统
CN102752143A (zh) * 2012-07-05 2012-10-24 杭州华三通信技术有限公司 Mpls te双向隧道的bfd检测方法及路由设备
CN103647777A (zh) * 2013-12-13 2014-03-19 华为技术有限公司 一种安全认证方法和双向转发检测bfd设备
EP2933977A1 (en) * 2014-04-15 2015-10-21 Ciena Corporation Integrity check optimization systems and methods in live connectivity frames

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109756487A (zh) * 2018-12-25 2019-05-14 杭州迪普科技股份有限公司 一种认证的方法、装置、设备及存储介质
CN109756487B (zh) * 2018-12-25 2021-07-23 杭州迪普科技股份有限公司 一种认证的方法、装置、设备及存储介质
CN113453262A (zh) * 2021-06-29 2021-09-28 新华三大数据技术有限公司 一种双向转发检测bfd方法及装置
CN113453262B (zh) * 2021-06-29 2023-10-20 新华三大数据技术有限公司 一种双向转发检测bfd方法及装置

Also Published As

Publication number Publication date
CN106100929B (zh) 2019-06-21

Similar Documents

Publication Publication Date Title
CN107547383B (zh) 路径检测方法及装置
US8295160B2 (en) Data communication system, device and method of detecting a failure on an access line in a network
CN103516571B (zh) 一种双can总线保证数据通信可靠性的系统架构及其方法
CN102571601B (zh) 一种保证双向转发检测可靠性的方法及标记交换路径设备
CN102752172B (zh) 用于ap在热备ac间切换的控制方法和控制装置
CN102624584A (zh) 链路检测方法及装置
US8457017B2 (en) Multi-chassis interconnect
CN100493006C (zh) 一种环路故障检测方法、子环主节点以及子环
CN101610535A (zh) 多链路直连场景下保证bfd会话稳定性的方法、系统及装置
CN107277058B (zh) 一种基于bfd协议的接口认证方法及系统
CN100466583C (zh) 基于rrpp的快速环网防攻击的方法、装置和系统
CN106301986A (zh) 链路检测方法和装置
US8132234B2 (en) Unauthorized terminal inferring system, unauthorized terminal inferring device, and communications terminal device
CN105847056B (zh) 双向转发检测控制报文的传输方法及系统
CN106100929A (zh) 双向转发检测认证安全切换的方法和装置
CN101778030B (zh) 基于环行网络的通信方法及环行网络
CN104778104B (zh) 一种串行数据通信总线的检错方法和串行数据通信总线
CN106603512A (zh) 一种基于sdn架构的is‑is路由协议的可信认证方法
CN107070573A (zh) 监测基于以太网的网络中的时钟同步状态
CN103199990A (zh) 一种路由协议认证迁移的方法和装置
US20120195186A1 (en) Method and system for preventing traffic loss caused by wait-to-restore mechanisms in service protection networks
CN105553765A (zh) 一种fc-av协议处理芯片网络通信鲁棒性测试方法
CN103414591B (zh) 一种端口故障恢复时的快速收敛方法和系统
CN101945083B (zh) 一种虚拟路由冗余协议的鉴权方法及仿冒判断方法
CN105207911B (zh) 一种is-is协议报文认证方法及其系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Applicant after: Xinhua three Technology Co., Ltd.

Address before: 310053 Hangzhou science and Technology Development Zone, Zhejiang high tech park, No. six and road, No. 310

Applicant before: Huasan Communication Technology Co., Ltd.

GR01 Patent grant
GR01 Patent grant