CN106790011B - 一种会话建立方法、系统及lsp出口节点及入口节点 - Google Patents

一种会话建立方法、系统及lsp出口节点及入口节点 Download PDF

Info

Publication number
CN106790011B
CN106790011B CN201611148494.3A CN201611148494A CN106790011B CN 106790011 B CN106790011 B CN 106790011B CN 201611148494 A CN201611148494 A CN 201611148494A CN 106790011 B CN106790011 B CN 106790011B
Authority
CN
China
Prior art keywords
request message
echo request
lsp
mpls echo
tlv
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611148494.3A
Other languages
English (en)
Other versions
CN106790011A (zh
Inventor
秦川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Maipu Communication Technology Co Ltd
Original Assignee
Maipu Communication Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Maipu Communication Technology Co Ltd filed Critical Maipu Communication Technology Co Ltd
Priority to CN201611148494.3A priority Critical patent/CN106790011B/zh
Publication of CN106790011A publication Critical patent/CN106790011A/zh
Application granted granted Critical
Publication of CN106790011B publication Critical patent/CN106790011B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供了一种会话建立方法、系统及LSP出口节点及入口节点,属于数据通信技术领域。本发明在LSP入口节点发送的包含BFD鉴别值TLV的MPLS echo request报文中增加认证信息TLV。LSP出口节点使用认证信息TLV对LSP入口节点发送的包含BFD鉴别值TLV的MPLS echo request报文进行认证,认证通过后LSP出口节点才创建BFD会话。从而解决现有技术方案中,LSP出口节点通过接收包含BFD鉴别值TLV的MPLS echo request报文触发创建BFD会话的安全性问题。

Description

一种会话建立方法、系统及LSP出口节点及入口节点
技术领域
本发明涉及数据通信技术领域,具体而言,涉及一种会话建立方法、系统及LSP出口节点及入口节点。
背景技术
双向转发检测(Bidirectional Forwarding Detection,简称BFD)是一种用于快速检测网络中的路径连通状况的检测协议,可为各上层路由协议和多协议标签交换(Multiprotocol Label Switching,简称MPLS)等提供统一、持续及快速的故障检测能力。其中,使用BFD检测MPLS标签交换路径(Label Switched Path,简称LSP)时,出口节点的BFD会话建立方式为:入口节点建立会话后,向出口节点发送包含BFD鉴别值TLV(Type-Length-Value,类型-长度-值)的MPLS echo request报文,出口节点接收到该MPLS echo request报文后,通过其中的BFD鉴别值TLV获取到入口节点的会话鉴别值,然后创建本端BFD会话。上述出口节点的会话建立方式存在一定的安全性问题。如果网络中存在攻击者,恶意向出口节点持续大量的发送包含BFD鉴别值TLV的MPLS echo request报文,会导致出口节点的BFD会话资源耗尽,从而无法创建BFD会话。
发明人在研究中发现,针对该安全性问题主要存在以下两种解决方案:通过配置命令设置全局开关状态进行控制和通过配置ACL(Access Control List,访问控制列表)规则来控制MPLS echo request报文的接收。其中,第一种方案无法适用于需要使用BFD检测MPLS LSP功能的情况。第二种方案可以控制只允许接收满足规则限定条件的MPLS echorequest报文,比如限定报文的源IP地址,或限定报文的接收接口,但是存在部署复杂、安全性不高的缺点。
发明内容
本发明提供了一种会话建立方法、系统及LSP出口节点及入口节点,旨在有效提高使用BFD检测MPLS LSP时,LSP出口节点建立BFD会话的安全性。
第一方面,本发明实施例提供的一种会话建立方法,包括:
LSP出口节点接收LSP入口节点在创建本端BFD会话后发送的MPLS echo request报文,并对该MPLS echo request报文进行解析,得到解析结果;
根据所述解析结果判断所述MPLS echo request报文是否包含BFD鉴别值TLV;
当所述MPLS echo request报文包含BFD鉴别值TLV时,判断所述MPLS echorequest报文是否包含认证信息TLV;
当所述MPLS echo request报文包含认证信息TLV时,按照预先配置的认证类型和认证密钥判断所述MPLS echo request报文是否通过认证;
当所述MPLS echo request报文通过认证时,所述LSP出口节点创建本端BFD会话,并发送一MPLS echo reply报文给所述LSP入口节点。
第二方面,本发明实施例提供的一种LSP出口节点,与LSP入口节点通信连接,其中,所述LSP出口节点包括:
解析模块,用于接收LSP入口节点在创建本端BFD会话后发送的MPLS echorequest报文,并对该MPLS echo request报文进行解析,得到解析结果;
判断模块,用于根据所述解析结果判断所述MPLS echo request报文是否包含BFD鉴别值TLV,及
当所述MPLS echo request报文包含BFD鉴别值TLV时,判断所述MPLS echorequest报文是否包含认证信息TLV;
认证模块,用于当所述MPLS echo request报文包含认证信息TLV时,按照预先配置的认证类型和认证密钥对所述MPLS echo request报文进行认证;
会话创建模块,用于在所述MPLS echo request报文通过认证时,所述LSP出口节点创建本端BFD会话,并发送一MPLS echo reply报文给所述LSP入口节点。优选地,所述LSP出口节点还包括,
启动模块,用于开启所述LSP出口节点的针对包含BFD鉴别值TLV的MPLS echorequest报文的认证功能,并设置认证类型和认证密钥;
第三方面,本发明实施例提供一种LSP入口节点包括配置模块、生成模块和发送模块;
所述配置模块,用于根据所述LSP出口节点设置的认证类型和认证密钥对该LSP入口节点的认证类型和认证密钥进行配置,并创建本端BFD会话;
所述生成模块,用于根据创建的本端BFD会话生成包含BFD鉴别值TLV的MPLS echorequest报文;针对该MPLS echo request报文按照所述LSP入口节点的认证类型和认证密钥生成认证信息TLV,并将该认证信息TLV封装到所述MPLS echo request报文中;
所述发送模块,用于将包含BFD鉴别值TLV和认证信息TLV的MPLS echo request报文发送给所述LSP出口节点。
第四方面,本发明实施例提供的一种会话建立系统,包括以上第二方面LSP出口节点以及第三方面的LSP入口节点,所述LSP出口节点与所述LSP入口节点通信连接。
本发明实施例提供的一种会话建立方法及系统、LSP出口节点,在LSP入口节点创建本端BFD会话后生成MPLS echo request报文发送给LSP出口节点,该LSP出口节点对该MPLS echo request报文进行解析,当判断出所述MPLS echo request报文同时包含BFD鉴别值TLV、认证信息TLV以及通过认证时,所述LSP出口节点才创建本端BFD会话,从而有效提高了所述LSP出口节点建立本端BFD会话的安全性。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应该看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本发明实施方式提供的一种会话建立系统的应用环境示意图。
图2示出了图1中的LSP出口节点的功能模块框图。
图3是一种认证信息TLV的格式示意图。
图4是认证类型为Keyed MD5时认证信息TLV的格式示意图。
图5示出了图1中的LSP入口节点的功能模块框图。
图6是本发明实施方式提供的一种会话建立方法的流程图。
图7是本发明实施方式提供的一种LSP入口节点在创建本端BFD会话的步骤之前的流程图。
图中标记分别为:
图标:100-会话建立系统;101-LSP出口节点;102-LSP入口节点;1011-解析模块;1012-判断模块;1013-认证模块1014-会话创建模块;1015-启动模块;1021-配置模块;1022-生成模块;1023-发送模块。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
如图1所示,是本发明实施例提供的一种会话建立系统100的应用环境示意图。该会话建立系统100可运行于通信设备中,比如交换机和路由器等。本实施例中,所述会话建立系统100可以包括LSP(Label Switched Path,标签交换路径)出口节点101和LSP入口节点102,所述LSP出口节点101与所述LSP入口节点102通信相连,以进行数据通信或交互。详细地,所述LSP出口节点101和LSP入口节点102设置于不同的通信设备,且所述LSP出口节点101与所述LSP入口节点102可直接通信相连,也可以通过一个或多个中间节点间接通信相连。
本实施例中,所述LSP出口节点101可基于BFD(Bidirectional ForwardingDetection,双向转发检测)与LSP入口节点102建立会话。如图2所示,是所述LSP出口节点101的功能模块框图,该LSP出口节点101可以包括解析模块1011、判断模块1012、认证模块1013和会话创建模块1014。下面将对以上各功能模块进行详细描述。
其中,所述解析模块1011用于接收所述LSP入口节点102在创建本端BFD会话后发送的MPLS echo request报文,以及对接收到的MPLS echo request报文进行解析,得到解析结果。
本实施例中,所述LSP入口节点102在创建本端BFD会话之后,根据配置的认证类型和认证密钥生成一MPLS echo request报文,并发送给所述解析模块1011。其中,所述MPLSecho request报文可以包括BFD鉴别值TLV(Type-Length-Value,类型-长度-值)和认证信息TLV。所述解析模块1011在接收到所述MPLS echo request报文后,对该MPLS echorequest报文进行解析,得到解析结果,并将所述解析结果发送给所述判断模块1012。
所述判断模块1012用于接收所述解析结果,根据该解析结果判断所述MPLS echorequest报文中是否包含BFD鉴别值TLV。
其中,所述MPLS echo request报文包括固定字段和TLV组。一个MPLS echorequest报文可以包含一个或多个TLV组,所述TLV组中Type的取值范围为1-65535。另外,Type小于32768的TLV是“强制TLV”,对于“强制TLV”必须进行解析处理而不允许忽略。Type大于或等于32768的TLV处于保留状态而未被使用,针对处于保留状态的TLV不强制要求进行解析处理,允许忽略。
在所述判断模块1012判断出所述MPLS echo request报文包含BFD鉴别值TLV时,进一步判断所述MPLS echo request报文是否包含认证信息TLV。另外,在所述判断模块1012判断出所述MPLS echo request报文未包含BFD鉴别值TLV时,发送一MPLS echo reply报文给所述入口节点,实现所述LSP入口节点102和LSP出口节点101之间的数据通信。如此,不影响所述LSP出口节点101正常接收和处理其他LSP入口节点102的MPLS LSP ping和MPLSLSP trace route功能发送的不包含BFD鉴别值TLV的MPLS echo request报文。
当判断出所述MPLS echo request报文包含认证信息TLV时,所述认证模块1013按照预先配置的认证类型和认证密钥对所述MPLS echo request报文进行认证。在所述MPLSecho request报文未包含认证信息TLV时,所述LSP出口节点101丢弃接收到的所述MPLSecho request报文,以避免网络中的攻击者恶意向LSP出口节点101持续大量的发送包含BFD鉴别值TLV的MPLS echo request报文,导致该LSP出口节点101的BFD会话资源耗尽,从而无法正常创建本端BFD会话,使得所述LSP出口节点101的BFD功能整体失效的情况。
本实施例中,所述认证信息TLV用于携带所述MPLS echo request报文的认证信息,使得所述LSP出口节点101可以根据该认证信息TLV对所述MPLS echo request报文进行认证。如图3所示,是所述认证信息TLV的格式示意图。其中,所述认证信息TLV的Type为65535,Value为认证信息,length为Value部分的认证信息字节数。另外,所述Value的具体内容取决于所采用的认证类型,例如简单口令认证和Keyed MD5(基于消息摘要算法第5版的带密钥认证)等。不同的认证类型可以有不同的实现方式。
详细地,如图4所示,是认证类型为Keyed MD5时认证信息TLV的格式示意图。其中,Auth Type字段表示使用的认证类型为Keyed MD5,Keyed ID为密钥ID字段,Auth Key/Digest为认证密钥和摘要字段。该摘要字段是一个16字节的二进制字符串,使用Keyed MD5认证方式生成。
所述会话创建模块1014用于在所述MPLS echo request报文通过认证时,所述LSP出口节点101创建本端BFD会话,并发送一MPLS echo reply报文给所述LSP入口节点102。
本实施例中,当所述判断模块1012判断出所述MPLS echo request报文通过认证时,所述会话创建模块1014则创建与所述LSP入口节点102相对应的本端BFD会话,并发送一MPLS echo reply报文给所述LSP入口节点102,以将成功创建所述本端BFD会话的信息反馈给所述LSP入口节点102,实现所述LSP入口节点102和所述LSP出口节点101之间的数据通信。
另外,在所述MPLS echo request报文未通过认证时,所述LSP出口节点101则丢弃所述MPLS echo request报文,以避免网络中的攻击者恶意向LSP出口节点101持续大量的发送包含BFD鉴别值TLV的MPLS echo request报文,导致该LSP出口节点101的BFD会话资源耗尽,从而无法正常创建本端BFD会话,使得所述LSP出口节点101的BFD功能整体失效的情况。
请进一步参阅图2,所述LSP出口节点101还包括启动模块1015。本实施例中,所述启动模块1015用于开启所述LSP出口节点101的针对包含BFD鉴别值TLV的MPLS echorequest报文的认证功能,并设置认证类型和认证密钥,以对接收到的MPLS echo request报文进行认证。
如图5所示,所述LSP入口节点102包括配置模块1021、生成模块1022和发送模块1023。下面将对以上各功能模块进行详细描述。
本实施例中,所述配置模块1021用于根据所述LSP出口节点101设置的认证类型和认证密钥对该LSP入口节点102的认证类型和认证密钥进行配置,并创建本端BFD会话。其中,可以通过手动设置所述LSP出口节点101的认证类型和认证密钥。
所述生成模块1022用于根据创建的本端BFD会话生成包含BFD鉴别值TLV的MPLSecho request报文,以及针对该MPLS echo request报文按照所述LSP入口节点102的认证类型和认证密钥生成认证信息TLV,并将该认证信息TLV封装到所述MPLS echo request报文中。
所述发送模块1023用于将包含BFD鉴别值TLV和认证信息TLV的MPLS echorequest报文发送给所述LSP出口节点101,以供所述LSP出口节点101进行处理以及根据处理结果确定是否创建本端BFD会话。
如图6所示,是本发明实施例提供的一种会话建立方法的流程图。所述方法可以包括以下步骤。
步骤S101:LSP出口节点101接收LSP入口节点102在创建本端BFD会话后发送的MPLS echo request报文,并对该MPLS echo request报文进行解析,得到解析结果。
本实施例中,所述LSP入口节点102在创建本端BFD会话之后,根据配置的认证类型和认证密钥生成一MPLS echo request报文,并发送给所述LSP出口节点101。其中,所述MPLS echo request报文可以包括BFD鉴别值TLV(Type-Length-Value,类型-长度-值)和认证信息TLV。所述LSP出口节点101在接收到所述MPLS echo request报文后,对该MPLS echorequest报文进行解析,得到解析结果。
步骤S102:根据所述解析结果判断所述MPLS echo request报文是否包含BFD鉴别值TLV。
其中,所述MPLS echo request报文包括固定字段和TLV组。一个MPLS echorequest报文可以包含一个或多个TLV组,所述TLV组中Type的取值范围为1-65535。另外,Type小于32768的TLV是“强制TLV”,对于“强制TLV”必须进行解析处理而不允许忽略。Type大于或等于32768的TLV处于保留状态而未被使用,针对处于保留状态的TLV不强制要求进行解析处理,允许忽略。
在判断出所述MPLS echo request报文包含BFD鉴别值TLV时,所述LSP出口节点101判断所述MPLS echo request报文是否包含认证信息TLV。另外,在判断出所述MPLSecho request报文未包含BFD鉴别值TLV时,发送一MPLS echo reply报文给所述LSP入口节点102,实现所述LSP入口节点102和LSP出口节点101之间的数据通信。如此,不影响所述LSP出口节点101正常接收和处理其他LSP入口节点102的MPLS LSP ping和MPLS LSP traceroute功能发送的不包含BFD鉴别值TLV的MPLS echo request报文。
步骤S103:当所述MPLS echo request报文包含BFD鉴别值TLV时,判断所述MPLSecho request报文是否包含认证信息TLV。
在判断出所述MPLS echo request报文包含认证信息TLV时,所述LSP出口节点101按照预先配置的认证类型和认证密钥对所述MPLS echo request报文进行认证。在判断出所述MPLS echo request报文未包含认证信息TLV时,所述LSP出口节点101则丢弃接收到的所述MPLS echo request报文,以避免网络中的攻击者恶意向LSP出口节点101持续大量的发送包含BFD鉴别值TLV的MPLS echo request报文,导致该LSP出口节点101的BFD会话资源耗尽,从而无法正常创建本端BFD会话,使得所述LSP出口节点101的BFD功能整体失效的情况。
步骤S104:当所述MPLS echo request报文包含认证信息TLV时,按照预先配置的认证类型和认证密钥判断所述MPLS echo request报文是否通过认证。
本实施例中,所述认证信息TLV用于携带所述MPLS echo request报文的认证信息,使得所述LSP出口节点101可以根据该认证信息TLV对所述MPLS echo request报文进行认证。如图3所示,是所述认证信息TLV的格式示意图。其中,所述认证信息TLV的Type为65535,Value为认证信息,length为Value部分的认证信息字节数。另外,所述Value的具体内容取决于所采用的认证类型,例如简单口令认证和Keyed MD5(基于消息摘要算法第5版的带密钥认证)等。不同的认证类型可以有不同的实现方式。
详细地,如图4所示,是认证类型为Keyed MD5时认证信息TLV的格式示意图。其中,Auth Type字段表示使用的认证类型为Keyed MD5,Keyed ID为密钥ID字段,Auth Key/Digest为认证密钥和摘要字段。该摘要字段是一个16字节的二进制字符串,使用Keyed MD5认证方式生成。
步骤S105:当所述MPLS echo request报文通过认证时,所述LSP出口节点101创建本端BFD会话,并发送一MPLS echo reply报文给所述LSP入口节点102。
本实施例中,当判断出所述MPLS echo request报文通过认证时,所述LSP出口节点101则创建与所述LSP入口节点102相对应的本端BFD会话,并发送一MPLS echo reply报文给所述LSP入口节点102,以将成功创建所述本端BFD会话的信息反馈给所述LSP入口节点102,实现所述LSP入口节点102和所述LSP出口节点101之间的数据通信。
另外,在判断出所述MPLS echo request报文未通过认证时,所述LSP出口节点101则丢弃所述MPLS echo request报文,以避免网络中的攻击者恶意向LSP出口节点101持续大量的发送包含BFD鉴别值TLV的MPLS echo request报文,导致该LSP出口节点101的BFD会话资源耗尽,从而无法正常创建本端BFD会话,使得所述LSP出口节点101的BFD功能整体失效的情况。
如图7所示,在所述步骤S101之前,所述方法还可以包括以下步骤。
步骤S201:开启所述LSP出口节点101的针对包含BFD鉴别值TLV的MPLS echorequest报文的认证功能,并设置认证类型和认证密钥。
本实施例中,可以手动开启所述LSP出口节点101的针对包含BFD鉴别值TLV的MPLSecho request报文的认证功能,并设置认证类型和认证密钥,以对接收到的MPLS echorequest报文进行认证。
步骤S202:所述LSP入口节点102根据所述LSP出口节点101设置的认证类型和认证密钥对该LSP入口节点102的认证类型和认证密钥进行配置,并创建本端BFD会话。
其中,可手动设置所述LSP出口节点101的认证类型和认证密钥。
步骤S203:根据创建的本端BFD会话生成包含BFD鉴别值TLV的MPLS echo request报文。
步骤S204:针对该MPLS echo request报文按照所述LSP入口节点102的认证类型和认证密钥生成认证信息TLV,并将该认证信息TLV封装到所述MPLS echo request报文中。
步骤S205:将包含BFD鉴别值TLV和认证信息TLV的MPLS echo request报文发送给所述LSP出口节点101。
本发明实施例在LSP入口节点102创建本端BFD会话后生成MPLS echo request报文发送给LSP出口节点101,该LSP出口节点101对该MPLS echo request报文进行解析,当判断出所述MPLS echo request报文同时包含BFD鉴别值TLV、认证信息TLV以及通过认证时,所述LSP出口节点101才创建本端BFD会话,从而有效提高了所述LSP出口节点101建立本端BFD会话的安全性。
需要说明的是,在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
在本申请所提供的几个实施例中,应该理解到,以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (12)

1.一种会话建立方法,其特征在于,所述方法包括:
LSP出口节点接收LSP入口节点在创建本端BFD会话后发送的MPLS echo request报文,并对该MPLS echo request报文进行解析,得到解析结果,其中,所述对该MPLS echorequest报文进行解析,得到解析结果,包括:
确定所述MPLS echo request报文所携带的TLV是否为强制TLV;
若是,对所述MPLS echo request报文中的所述强制TLV进行解析,得到解析结果;
根据所述解析结果判断所述MPLS echo request报文是否包含BFD鉴别值TLV;
当所述MPLS echo request报文包含BFD鉴别值TLV时,判断所述MPLS echo request报文是否包含认证信息TLV;
当所述MPLS echo request报文包含认证信息TLV时,按照预先配置的认证类型和认证密钥判断所述MPLS echo request报文是否通过认证;
当所述MPLS echo request报文通过认证时,所述LSP出口节点创建本端BFD会话,并发送MPLS echo reply报文给所述LSP入口节点。
2.根据权利要求1所述的会话建立方法,其特征在于,在所述LSP出口节点接收LSP入口节点在创建本端BFD会话后发送的MPLS echo request报文的步骤之前,该方法还包括:
开启所述LSP出口节点的针对包含BFD鉴别值TLV的MPLS echo request报文的认证功能,并设置认证类型和认证密钥;
所述LSP入口节点根据所述LSP出口节点设置的认证类型和认证密钥对该LSP入口节点的认证类型和认证密钥进行配置,并创建本端BFD 会话;
根据创建的本端BFD会话生成包含BFD鉴别值TLV的MPLS echo request报文;
针对该MPLS echo request报文按照所述LSP入口节点的认证类型和认证密钥生成认证信息TLV,并将该认证信息TLV封装到所述MPLS echo request报文中;
将包含BFD鉴别值TLV和认证信息TLV的MPLS echo request报文发送给所述LSP出口节点。
3.根据权利要求1所述的会话建立方法,其特征在于,该方法还包括:
当所述MPLS echo request报文未包含BFD鉴别值TLV时,发送一MPLS echo reply报文给所述入口节点。
4.根据权利要求1所述的会话建立方法,其特征在于,所述方法还包括:
当所述MPLS echo request报文未包含认证信息TLV时,所述LSP出口节点丢弃所述MPLS echo request报文。
5.根据权利要求1所述的会话建立方法,其特征在于,所述方法还包括:
当所述MPLS echo request报文未通过认证时,所述LSP出口节点丢弃所述MPLS echorequest报文。
6.一种LSP出口节点,其特征在于,所述出口节点与LSP入口节点通信连接,所述LSP出口节点包括:
解析模块,用于接收LSP入口节点在创建本端BFD会话后发送的MPLS echo request报文,并对该MPLS echo request报文进行解析,得到解析结果,其中,所述对该MPLS echorequest报文进行解析,得到解析结果,包括:
确定所述MPLS echo request报文所携带的TLV是否为强制TLV;
若是,对所述MPLS echo request报文中的所述强制TLV进行解析,得到解析结果;
判断模块,用于根据所述解析结果判断所述MPLS echo request报文是否包含BFD鉴别值TLV;当所述MPLS echo request报文包含BFD鉴别值TLV时,判断所述MPLS echo request报文是否包含认证信息TLV;
认证模块,用于当所述MPLS echo request报文包含认证信息TLV时,按照预先配置的认证类型和认证密钥对所述MPLS echo request报文进行认证;
会话创建模块,用于在所述MPLS echo request报文通过认证时,所述LSP出口节点创建本端BFD会话,并发送一MPLS echo reply报文给所述LSP入口节点。
7.根据权利要求6所述的LSP出口节点,其特征在于,所述LSP出口节点还包括:
启动模块,用于开启所述LSP出口节点的针对包含BFD鉴别值TLV的MPLS echo request报文的认证功能,并设置认证类型和认证密钥。
8.根据权利要求6所述的LSP出口节点,其特征在于,
所述判断模块,还用于当所述MPLS echo request报文未包含BFD鉴别值TLV时,发送一MPLS echo reply报文给所述入口节点。
9.根据权利要求6所述的LSP出口节点,其特征在于,
所述判断模块,还用于在所述MPLS echo request报文未包含认证信息TLV时,丢弃所述MPLS echo request报文。
10.根据权利要求6所述的LSP出口节点,其特征在于,
所述会话创建模块,还用于在所述MPLS echo request报文未通过认证时,所述LSP出口节点丢弃所述MPLS echo request报文。
11.一种LSP入口节点,其特征在于,所述LSP入口节点包括配置模块、生成模块和发送模块;
所述配置模块,用于根据LSP出口节点设置的认证类型和认证密钥对该LSP入口节点的认证类型和认证密钥进行配置,并创建本端BFD会话;
所述生成模块,用于根据创建的本端BFD会话生成包含BFD鉴别值TLV的MPLS echorequest报文;针对该MPLS echo request报文按照所述LSP入口节点的认证类型和认证密钥生成认证信息TLV,并将该认证信息TLV封装到所述MPLS echo request报文中;
所述发送模块,用于将包含BFD鉴别值TLV和认证信息TLV的MPLS echo request报文发送给所述LSP出口节点,所述LSP出口节点用于确定所述MPLS echo request报文所携带的TLV是否为强制TLV;若所述MPLS echo request报文所携带的TLV为强制TLV,对所述MPLSecho request报文中的所述强制TLV进行解析,得到解析结果;根据所述解析结果判断所述MPLS echo request报文是否包含BFD鉴别值TLV;当所述MPLS echo request报文包含BFD鉴别值TLV时,判断所述MPLS echo request报文是否包含认证信息TLV;当所述MPLS echorequest报文包含认证信息TLV时,按照预先配置的认证类型和认证密钥判断所述MPLSecho request报文是否通过认证;当所述MPLS echo request报文通过认证时,所述LSP出口节点还用于创建本端BFD会话,并返回MPLS echo reply报文给所述LSP入口节点。
12.一种会话建立系统,包括权利要求6-10任一项所述的LSP出口节点以及权利要求11所述的LSP入口节点,所述LSP出口节点与所述LSP入口节点通信连接。
CN201611148494.3A 2016-12-13 2016-12-13 一种会话建立方法、系统及lsp出口节点及入口节点 Active CN106790011B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611148494.3A CN106790011B (zh) 2016-12-13 2016-12-13 一种会话建立方法、系统及lsp出口节点及入口节点

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611148494.3A CN106790011B (zh) 2016-12-13 2016-12-13 一种会话建立方法、系统及lsp出口节点及入口节点

Publications (2)

Publication Number Publication Date
CN106790011A CN106790011A (zh) 2017-05-31
CN106790011B true CN106790011B (zh) 2019-09-03

Family

ID=58876703

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611148494.3A Active CN106790011B (zh) 2016-12-13 2016-12-13 一种会话建立方法、系统及lsp出口节点及入口节点

Country Status (1)

Country Link
CN (1) CN106790011B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101447900A (zh) * 2008-12-15 2009-06-03 华为技术有限公司 一种建立双向转发检测的方法、系统及设备
CN102480429A (zh) * 2010-11-26 2012-05-30 华为数字技术有限公司 报文处理方法、装置和系统
CN103166915A (zh) * 2011-12-12 2013-06-19 迈普通信技术股份有限公司 用于单向路径检测的bfd会话建立方法及bfd会话系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101447900A (zh) * 2008-12-15 2009-06-03 华为技术有限公司 一种建立双向转发检测的方法、系统及设备
CN102480429A (zh) * 2010-11-26 2012-05-30 华为数字技术有限公司 报文处理方法、装置和系统
CN103166915A (zh) * 2011-12-12 2013-06-19 迈普通信技术股份有限公司 用于单向路径检测的bfd会话建立方法及bfd会话系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Configuration of Proactive Operations, Administration, and Maintenance (OAM) Functions for MPLS-Based Transport Networks Using Label Switched Path (LSP) Ping;E. Bellagamba等;《IETF RFC 7759》;20160229;第2.1-2.2节、第5节

Also Published As

Publication number Publication date
CN106790011A (zh) 2017-05-31

Similar Documents

Publication Publication Date Title
YuHunag et al. A novel design for future on-demand service and security
EP3210345B1 (en) Transparent network service header path proxies
Nguyen et al. Analysis of link discovery service attacks in SDN controller
EP2915090B1 (en) System and method for securing virtualized networks
US8295160B2 (en) Data communication system, device and method of detecting a failure on an access line in a network
TR201802416T4 (tr) Bir dağıtılmış esnek ağ ara-bağlantısı (DRNI) link toplama grubunda bir komşuyla senkronizasyon için bir usul ve sistem.
CN105706393A (zh) 在链路聚合组中支持操作者命令的方法和系统
CN109474495B (zh) 一种隧道检测方法及装置
CN109474507B (zh) 一种报文转发方法及装置
CN106921527B (zh) 堆叠冲突的处理方法及装置
Davoli et al. Implementation of service function chaining control plane through OpenFlow
US20110242988A1 (en) System and method for providing pseudowire group labels in a network environment
US8724454B2 (en) System and method for summarizing alarm indications in a network environment
Cui et al. Transaction-based flow rule conflict detection and resolution in SDN
CN111064668A (zh) 路由表项的生成方法、装置及相关设备
Shin A practical introduction to enterprise network and security management
US20170048103A1 (en) Communication apparatus, communication method, and communication system
US20060143701A1 (en) Techniques for authenticating network protocol control messages while changing authentication secrets
CN109218176B (zh) 一种报文处理的方法及装置
CN105262686B (zh) 一种网络连通性验证方法和装置
CN106790011B (zh) 一种会话建立方法、系统及lsp出口节点及入口节点
Wang et al. NSV-GUARD: constructing secure routing paths in software defined networking
Eltaief Flex-CC: A flexible connected chains scheme for multicast source authentication in dynamic SDN environment
CN109474588A (zh) 一种终端认证方法及装置
CN114765567B (zh) 通信方法和通信系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant