CN108123943A - 信息验证方法及装置 - Google Patents
信息验证方法及装置 Download PDFInfo
- Publication number
- CN108123943A CN108123943A CN201711377772.7A CN201711377772A CN108123943A CN 108123943 A CN108123943 A CN 108123943A CN 201711377772 A CN201711377772 A CN 201711377772A CN 108123943 A CN108123943 A CN 108123943A
- Authority
- CN
- China
- Prior art keywords
- information
- evpn
- hoa
- router
- mac
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/66—Layer 2 routing, e.g. in Ethernet based MAN's
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种信息验证方法及装置。该方法包括:在获取到EVPN路由的情况下,获取EVPN路由携带的ARP信息、VXLAN信息和Router‑MAC信息;根据HOA信息以及EVPN路由携带的ARP信息、VXLAN信息和Router‑MAC信息对EVPN路由进行验证,得到验证结果;HOA信息包括合法的ARP信息、VXLAN信息和Router‑MAC信息;根据验证结果控制EVPN路由的接收和发布。本公开的信息验证方法及装置,能够保证主机服务器在EVPN网络中的唯一性,保证主机服务器位置的有效性和合法性,防止主机服务器被强制迁移或被非法劫持。
Description
技术领域
本公开涉及通信技术领域,尤其涉及一种信息验证方法及装置。
背景技术
相关技术中,在RPKI BGP组网中,BGP(Border Gateway Protocol,边界网关协议)设备可以通过RPKI(Resource Public Key Infrastructure,资源公共密钥基础架构)服务器提供的ROA(Route Origination Attestation,路由源签证)信息来保证BGP路由不被劫持。
在现有的EVPN(Ethernet Virtual Private Network,以太网虚拟专用网络)数据中心网络大二层架构中,主机可以随意迁移。但对于某些固定位置的特定主机服务器,例如堡垒机等,原则上一般不进行随意迁移。而这些固定位置的特定主机服务器在现有EVPN数据中心网络大二层架构中很容易成为被强制迁移或被非法劫持的对象。
发明内容
有鉴于此,本公开提出了一种信息验证方法及装置,以解决相关技术中固定位置的特定主机服务器被强制迁移或被非法劫持的问题。
根据本公开的一方面,提供了一种信息验证方法,用于EVPN网络节点,包括:
在获取到EVPN路由的情况下,获取所述EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息;
根据HOA信息以及所述EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息对所述EVPN路由进行验证,得到验证结果;所述HOA信息包括合法的ARP信息、VXLAN信息和Router-MAC信息;
根据所述验证结果控制所述EVPN路由的接收和发布。
根据本公开的另一方面,提供了一种信息验证方法,用于RPKI服务器,包括:
接收来自于EVPN网络节点的HOA信息获取请求;
向所述EVPN网络节点发送HOA信息;所述HOA信息包括合法的ARP信息、VXLAN信息和Router-MAC信息。
根据本公开的另一方面,提供了一种信息验证装置,用于EVPN网络节点,包括:
获取模块,用于在获取到EVPN路由的情况下,获取所述EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息;
验证模块,用于根据HOA信息以及所述EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息对所述EVPN路由进行验证,得到验证结果;所述HOA信息包括合法的ARP信息、VXLAN信息和Router-MAC信息;
控制模块,用于根据所述验证结果控制所述EVPN路由的接收和发布。
根据本公开的另一方面,提供了一种信息验证装置,用于RPKI服务器,包括:
请求接收模块,用于接收来自于EVPN网络节点的HOA信息获取请求;
信息发送模块,用于向所述EVPN网络节点发送HOA信息;所述HOA信息包括合法的ARP信息、VXLAN信息和Router-MAC信息。
根据本公开的另一方面,提供了一种信息验证装置,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为执行上述方法。
根据本公开的另一方面,提供了一种非易失性计算机可读存储介质,其上存储有计算机程序指令,其中,所述计算机程序指令被处理器执行时实现上述方法。
本公开的信息验证方法及装置,在获取到EVPN路由的情况下,获取EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息,根据HOA信息以及EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息对EVPN路由进行验证,得到验证结果,并根据验证结果控制EVPN路由的接收和发布,由此能够保证主机服务器在EVPN网络中的唯一性,保证主机服务器位置的有效性和合法性,防止主机服务器被强制迁移或被非法劫持。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出相关技术中的EVPN组网的示意图。
图2示出根据本公开一实施例的信息验证方法的流程图。
图3示出根据本公开一实施例的EVPN分布式网关组网的示意图。
图4示出根据本公开一实施例的信息验证方法的一示意性的流程图。
图5示出根据本公开一实施例的信息验证方法的一示意性的流程图。
图6示出根据本公开一实施例的信息验证方法的一示意性的流程图。
图7示出根据本公开一实施例的信息验证方法的一示意性的流程图。
图8示出根据本公开一实施例的信息验证方法的框图。
图9示出根据本公开一实施例的信息验证方法的框图。
图10是根据一示例性实施例示出的一种用于信息验证装置900的框图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
相关技术中,EVPN是一种构建数据中心二层网络互联的技术。其中,控制平面可以通过MP-BGP通告EVPN路由,数据平面可以通过VXLAN(Virtual Extensible LAN,虚似扩展局域网)封装方式转发报文。EVPN网络节点可以通过MP-BGP来传递主机的MAC(MediaAccess Control,媒体介入控制层)地址和ARP(Address Resolution Protocol,地址解析协议)等信息,由此通过生成的MAC表项和路由表项进行二/三层报文转发,实现数据中心的互联。其中,MP-BGP可以指支持BGP扩展的路由器。
为了支持EVPN,BGP EVPN地址族新增了5种EVPN NLRI(Network LayerReachability Information,网络层可达性信息),即EVPN路由。其中,二类EVPN路由(RT-2)为MAC/IP发布路由(MAC/IP Advertisement Route)。MAC/IP发布路由中携带有ARP信息(例如主机的IP地址信息、MAC地址信息)和VXLAN信息(例如二层VXLAN信息、三层VXLAN信息)。二类EVPN路由中还携带有网关的Router-MAC信息。Router-MAC信息可以指每个分布式网关拥有的唯一一个用来标识本机的本地MAC地址,该MAC地址用于在网关之间通过VXLAN隧道转发三层流量。报文在网关之间转发时,报文的内层MAC地址为出口网关的Router-MAC地址。
图1示出相关技术中的EVPN组网的示意图。如图1所示,VTEP1发布二类EVPN路由,当VTEP2接收到该二类EVPN路由时,将该二类EVPN路由携带的MAC地址信息下发到二层转发表里,将该二类EVPN路由携带的IP地址信息下发到三层转发表里。由此,VTEP2可以学习到VTEP1下挂的主机的ARP,从而使得VTEP2可以直接代答回应远端主机发起的ARP请求。
图2示出根据本公开一实施例的信息验证方法的流程图。该方法可以用于EVPN网络节点中。如图2所示,该方法包括步骤S21至S23。
在步骤S21中,在获取到EVPN路由的情况下,获取该EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息。
在步骤S22中,根据HOA信息以及该EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息对该EVPN路由进行验证,得到验证结果;HOA信息包括合法的ARP信息、VXLAN信息和Router-MAC信息。
在步骤S23中,根据该验证结果控制该EVPN路由的接收和发布。
其中,在EVPN路由携带的各类信息中,ARP信息可以标示一台主机;VXLAN信息可以标示主机所属的二层VXLAN,即主机接入的EVPN网络接口所属的二层VXLAN;Router-MAC信息可以标示主机对应的EVPN三层网关,即主机在哪个EVPN三层网关发布。由此,通过EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息可以描述一台主机的位置。
在一种实现方式中,HOA(Host Origination Attestation,主机源签证)信息可以包括ARP信息、VXLAN信息和Router-MAC信息。可以新定义PDU(Protocol Data Unit,协议数据单元)类型的HOA信息报文。HOA信息报文可以为RPKI服务器向EVPN网络节点发送HOA信息的报文。HOA信息报文中可以包括Host IP Address、Host MAC Address、VXLAN ID和Router-MAC。根据Host IP Address、Host MAC Address、VXLAN ID和Router-MAC,可以确定包括合法的ARP信息、VXLAN信息和Router-MAC信息的HOA信息。
作为一个示例,通过RPKI框架保证HOA信息的合法性和权威性。其中,RPKI框架包括RPKI服务器和EVPN网络节点等设备。在RPKI服务器中部署HOA信息,EVPN网络节点可以向RPKI服务器请求获取HOA信息。在获取到HOA信息之后,EVPN网络节点可以对本地接收和生成的各个EVPN路由进行验证,并根据验证结果控制EVPN路由的接收和发布,由此能够保证主机在EVPN网络中的唯一性,以实现主机不被强制迁移或非法劫持。在RPKI服务器或EVPN网络节点中,HOA数据库可以用于存储HOA信息。
在EVPN网络节点中,验证结果可以包括:Not-found:表示HOA数据库中不存在包括EVPN路由携带的ARP信息的HOA信息,包括HOA数据库为空的情况;Valid:表示HOA数据库中存在至少一个包括EVPN路由携带的ARP信息的HOA信息,且HOA信息中的VXLAN信息和Router-MAC信息与EVPN路由携带的VXLAN信息和Router-MAC信息均相同;Invalid:表示HOA数据库中存在至少一个包括EVPN路由携带的ARP信息的HOA信息,但HOA信息中的VXLAN信息或Router-MAC信息与EVPN路由携带的VXLAN信息和Router-MAC信息不相同。
可以理解的是,HOA信息中的VXLAN信息或Router-MAC信息与EVPN路由携带的VXLAN信息和Router-MAC信息不相同,可以包括:HOA信息中的VXLAN信息与EVPN路由携带的VXLAN信息不相同,或HOA信息中的Router-MAC信息与EVPN路由携带的Router-MAC信息不相同,或HOA信息中的VXLAN信息和Router-MAC信息与EVPN路由携带的VXLAN信息和Router-MAC信息均不相同。
本公开的信息验证方法,通过EVPN路由携带的ARP信息、VXLAN信息和Router-Mac信息来描述主机服务器的物理位置,由此在RPKI框架中部署HOA信息并同步给EVPN网络节点,以使得EVPN网络节点根据HOA信息对EVPN路由进行验证,并根据验证结果控制EVPN路由的接收和发布,由此能够保证主机服务器在EVPN网络中的唯一性,保证主机服务器位置的有效性和合法性,防止主机服务器被强制迁移或被非法劫持。
在一种实现方式中,在获取到EVPN路由之前,该方法还包括:接收并存储来自于RPKI服务器的HOA数据库。
作为一个示例,在EVPN网络节点上配置RPKI服务器的地址和与RPKI服务器建立连接的接口号之后,EVPN网络节点可以自动和RPKI服务器建立RPKI连接,用于交互HOA信息。EVPN网络节点可以作为RPKI客户端向RPKI服务器请求获取HOA数据库,请求中可以包括EVPN网络节点对应的身份认证信息。RPKI服务器可以根据EVPN网络节点对应的身份认证信息,判断是否向该EVPN网络节点发送HOA数据库。
例如,身份认证信息可以为EVPN网络节点经过CA/RA机构认证之后获取的数字证书。例如,EVPN网络节点可以通过本地公钥等信息向CA机构申请数字证书,申请成功之后在RA机构获取RPKI服务器的相关信息、其他EVPN网络节点的数字证书和CA/RA机构的CRL(Certificate Revocation List,证书吊销列表)等。EVPN网络节点可以通过上述获取的信息与RPKI服务器以及其他EVPN网络节点之间进行身份验证,本公开对此不做限制。
需要说明的是,尽管以经过CA/RA机构认证之后获取的数字证书作为示例介绍了身份认证信息如上,但本领域技术人员能够理解,本公开应不限于此。本领域技术人员可以根据实际应用场景灵活设定身份认证信息。
在一种实现方式中,在接收并存储来自于RPKI服务器的HOA数据库之后,该方法还包括:在接收到来自于RPKI服务器的新的HOA信息的情况下,将该新的HOA信息存储至HOA数据库。
在一种实现方式中,针对HOA信息设着老化时间。其中,老化时间的取值范围可以为30~360秒。
作为一个示例,EVPN网络节点与RPKI服务器的连接断开之后(不包括用户执行shutdown命令关闭接口引起的连接断开),EVPN网络节点尝试与该RPKI服务器重新建立连接,并将从该RPKI服务器获得的HOA信息置为老化状态,EVPN网络节点将执行如下操作:如果老化时间内,EVPN网络节点重新与该RPKI服务器建立连接,则解除HOA信息的老化状态。如果直到老化时间超时,EVPN网络节点与该RPKI服务器仍然无法重新建立连接,则删除从该RPKI服务器获得的HOA信息。
相关技术中,EVPN通常采用Spine(核心)—Leaf(分支)的分层结构。Leaf层的设备作为VTEP对报文进行EVPN相关处理;Spine层的设备为核心设备,根据报文的目的IP地址转发报文。当EVPN网络中的设备属于同一个AS(Autonomous System,自治系统)时,为了避免在所有VTEP之间建立IBGP对等体,可以将核心设备配置为RR(Route Reflector,路由反射器)。此时,RR需要发布、接收EVPN路由,但不需要封装、解封装VXLAN报文。
图3示出根据本公开一实施例的EVPN分布式网关组网的示意图。如图3所示,GW1和GW2为分布式网关。GW1通过VXLAN1和Host1连接,GW2通过VXLAN2和Host2连接。GW1分别与RR1和RR2连接,GW2分别与RR1和RR2连接。GW1和GW2分别与RPKI服务器连接。GW1和GW2分别接收并存储由RPKI服务器同步的HOA信息,根据HOA信息对接收到的EVPN路由进行验证,并根据验证结果控制EVPN路由的接收和发布。
图4示出根据本公开一实施例的信息验证方法的一示意性的流程图。如图4所示,该方法包括步骤S41至步骤S43。
在步骤S41中,在获取到EVPN路由的情况下,获取该EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息。
在步骤S42中,在不存在包括该EVPN路由携带的ARP信息的HOA信息的情况下,得到用于表示未发现的第一验证结果。
在步骤S43中,在得到第一验证结果的情况下,对该EVPN路由进行接收和发布。
作为一个示例,如图3所示,RPKI服务器分别向GW1和GW2同步HOA信息,HOA信息包括IP-Host2、MAC-Host2、VXLAN2和Router-MAC-GW2。其中,IP-Host2表示Host2的IP地址,MAC-Host2表示Host2的MAC地址,根据IP-Host2和MAC-Host2可以得到ARP-Host2,Router-MAC-GW2表示GW2的MAC地址。
例如,GW1生成得到EVPN路由1,且EVPN路由1包括IP-Host1、MAC-Host1、VXLAN1和Router-MAC-GW1,由此根据IP-Host1和MAC-Host1可以得到ARP-Host1。由于GW1的HOA数据库中不存在包括EVPN路由1携带的ARP信息(ARP-Host1)的HOA信息,得到用于表示未发现(Not-found)的第一验证结果,则对EVPN路由1进行接收和发布。
图5示出根据本公开一实施例的信息验证方法的一示意性的流程图。如图5所示,该方法包括步骤S51至步骤S53。
在步骤S51中,在获取到EVPN路由的情况下,获取该EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息。
在步骤S52中,在存在至少一个包括该EVPN路由携带的ARP信息的HOA信息,且该HOA信息中的VXLAN信息和Router-MAC信息与该EVPN路由携带的VXLAN信息和Router-MAC信息均相同的情况下,得到用于表示匹配的第二验证结果。
在步骤S53中,在得到第二验证结果的情况下,对该EVPN路由进行接收和发布。
作为一个示例,如图3所示,RPKI服务器分别向GW1和GW2同步HOA信息,HOA信息包括IP-Host2、MAC-Host2、VXLAN2和Router-MAC-GW2。其中,IP-Host2表示Host2的IP地址,MAC-Host2表示Host2的MAC地址,根据IP-Host2和MAC-Host2可以得到ARP-Host2,Router-MAC-GW2表示GW2的MAC地址。
例如,GW1学习得到EVPN路由2,且EVPN路由2包括IP-Host2、MAC-Host2、VXLAN2和Router-MAC-GW2,由此根据IP-Host2和MAC-Host2可以得到ARP-Host2。由于GW1的HOA数据库中存在包括EVPN路由2携带的ARP信息(ARP-Host2)的HOA信息,且HOA信息中的VXLAN2和Router-MAC-GW2与EVPN路由2携带的VXLAN2和Router-MAC-GW2均相同,得到用于表示匹配(Valid)的第二验证结果,则对EVPN路由2进行接收和发布。
图6示出根据本公开一实施例的信息验证方法的一示意性的流程图。如图6所示,该方法包括步骤S61至步骤S63。
在步骤S61中,在获取到EVPN路由的情况下,获取该EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息。
在步骤S62中,在存在至少一个包括该EVPN路由携带的ARP信息的HOA信息,但该HOA信息中的VXLAN信息或Router-MAC信息与该EVPN路由携带的VXLAN信息和Router-MAC信息不相同的情况下,得到用于表示不匹配的第三验证结果。
在步骤S63中,在得到第三验证结果的情况下,禁止对该EVPN路由进行接收和发布。
作为一个示例,如图3所示,RPKI服务器分别向GW1和GW2同步HOA信息,HOA信息包括IP-Host2、MAC-Host2、VXLAN2和Router-MAC-GW2。其中,IP-Host2表示Host2的IP地址,MAC-Host2表示Host2的MAC地址,根据IP-Host2和MAC-Host2可以得到ARP-Host2,Router-MAC-GW2表示GW2的MAC地址。
例如,GW1学习得到EVPN路由3,且EVPN路由3包括IP-Host2、MAC-Host2、VXLAN3和Router-MAC-GW2,由此根据IP-Host2和MAC-Host2可以得到ARP-Host2。由于GW1的HOA数据库中存在包括EVPN路由3携带的ARP信息(ARP-Host2)的HOA信息,但HOA信息中的VXLAN2与EVPN路由3携带的VXLAN3不相同,得到用于表示不匹配(Invalid)的第三验证结果,禁止对EVPN路由3进行接收和发布。
再例如,GW1学习得到EVPN路由4,且EVPN路由4包括IP-Host2、MAC-Host2、VXLAN2和Router-MAC-GW1,由此根据IP-Host2和MAC-Host2可以得到ARP-Host2。由于GW1的HOA数据库中存在包括EVPN路由4携带的ARP信息(ARP-Host2)的HOA信息,但HOA信息中的Router-MAC-GW2与EVPN路由4携带的Router-MAC-GW1不相同,得到用于表示不匹配(Invalid)的第三验证结果,禁止对EVPN路由4进行接收和发布。
图7示出根据本公开一实施例的信息验证方法的一示意性的流程图。该方法可以用于RPKI服务器中。如图7所示,该方法包括步骤S71至S72。
在步骤S71中,接收来自于EVPN网络节点的HOA信息获取请求。
在步骤S72中,向该EVPN网络节点发送HOA信息;HOA信息包括合法的ARP信息、VXLAN信息和Router-MAC信息。
作为一个示例,通过RPKI框架保证HOA信息的合法性和权威性。其中,RPKI框架包括RPKI服务器和EVPN网络节点等设备。在RPKI服务器中部署HOA信息,EVPN网络节点可以向RPKI服务器请求获取HOA信息。在接收到来自于EVPN网络节点的HOA信息获取请求的情况下,RPKI服务器向该EVPN网络节点发送本地的HOA数据库。其中,RPKI服务器的HOA数据库可能存储有一个或多个HOA信息,也可能为空,本公开对此不做限制。
需要说明的是,本领域技术人员能够理解,RPKI服务器的HOA信息的HOA数据库可以由人工导入或动态获取得到,本公开对此不做限制。此外,RPKI服务器本地的HOA数据库还可以由人工导入或动态获取新的HOA信息,本公开对此不做限制。在RPKI服务器获取到新的HOA信息的情况下,向各个建立HOA信息同步的EVPN网络节点发送新的HOA信息。
图8示出根据本公开一实施例的信息验证方法的框图。该装置用于EVPN网络节点。如图8所示,该装置包括:
获取模块11,用于在获取到EVPN路由的情况下,获取所述EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息;验证模块12,用于根据HOA信息以及所述EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息对所述EVPN路由进行验证,得到验证结果;所述HOA信息包括合法的ARP信息、VXLAN信息和Router-MAC信息;控制模块13,用于根据所述验证结果控制所述EVPN路由的接收和发布。
在一种实现方式中,所述装置还包括:信息接收模块14,用于接收并存储来自于RPKI服务器的所述HOA信息。
在一种实现方式中,所述验证模块12还用于:在不存在包括所述EVPN路由携带的ARP信息的HOA信息的情况下,得到用于表示未发现的第一验证结果;所述控制模块13还用于:在得到所述第一验证结果的情况下,对所述EVPN路由进行接收和发布。
在一种实现方式中,所述验证模块12还用于:在存在至少一个包括所述EVPN路由携带的ARP信息的HOA信息,且所述HOA信息中的VXLAN信息和Router-MAC信息与所述EVPN路由携带的VXLAN信息和Router-MAC信息均相同的情况下,得到用于表示匹配的第二验证结果;所述控制模块13还用于:在得到所述第二验证结果的情况下,对所述EVPN路由进行接收和发布。
在一种实现方式中,所述验证模块12还用于:在存在至少一个包括所述EVPN路由携带的ARP信息的HOA信息,但所述HOA信息中的VXLAN信息或Router-MAC信息与所述EVPN路由携带的VXLAN信息和Router-MAC信息不相同的情况下,得到用于表示不匹配的第三验证结果;所述控制模块13还用于:在得到所述第三验证结果的情况下,禁止对所述EVPN路由进行接收和发布。
图9示出根据本公开一实施例的信息验证方法的框图。该装置用于RPKI服务器。如图9所示,该装置包括:
请求接收模块21,用于接收来自于EVPN网络节点的HOA信息获取请求;信息发送模块22,用于向所述EVPN网络节点发送HOA信息;所述HOA信息包括合法的ARP信息、VXLAN信息和Router-MAC信息。
本公开的信息验证方法及装置,在获取到EVPN路由的情况下,获取EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息,根据HOA信息以及EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息对EVPN路由进行验证,得到验证结果,并根据验证结果控制EVPN路由的接收和发布,由此能够保证主机服务器在EVPN网络中的唯一性,保证主机服务器位置的有效性和合法性,防止主机服务器被强制迁移或被非法劫持。
图10是根据一示例性实施例示出的一种用于信息验证装置900的框图。参照图10,该装置900可包括处理器901、存储有机器可执行指令的机器可读存储介质902。处理器901与机器可读存储介质902可经由系统总线903通信。并且,处理器901通过读取机器可读存储介质902中与信息验证逻辑对应的机器可执行指令以执行上文所述的信息验证方法。
本文中提到的机器可读存储介质902可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (12)
1.一种信息验证方法,其特征在于,用于EVPN网络节点,包括:
在获取到EVPN路由的情况下,获取所述EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息;
根据HOA信息以及所述EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息对所述EVPN路由进行验证,得到验证结果;所述HOA信息包括合法的ARP信息、VXLAN信息和Router-MAC信息;
根据所述验证结果控制所述EVPN路由的接收和发布。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收并存储来自于RPKI服务器的所述HOA信息。
3.根据权利要求1所述的方法,其特征在于,
根据HOA信息以及所述EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息对所述EVPN路由进行验证,得到验证结果,包括:
在不存在包括所述EVPN路由携带的ARP信息的HOA信息的情况下,得到用于表示未发现的第一验证结果;
根据所述验证结果控制所述EVPN路由的接收和发布,包括:
在得到所述第一验证结果的情况下,对所述EVPN路由进行接收和发布。
4.根据权利要求1所述的方法,其特征在于,
根据HOA信息以及所述EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息对所述EVPN路由进行验证,得到验证结果,包括:
在存在至少一个包括所述EVPN路由携带的ARP信息的HOA信息,且所述HOA信息中的VXLAN信息和Router-MAC信息与所述EVPN路由携带的VXLAN信息和Router-MAC信息均相同的情况下,得到用于表示匹配的第二验证结果;
根据所述验证结果控制所述EVPN路由的接收和发布,包括:
在得到所述第二验证结果的情况下,对所述EVPN路由进行接收和发布。
5.根据权利要求1所述的方法,其特征在于,
根据HOA信息以及所述EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息对所述EVPN路由进行验证,得到验证结果,包括:
在存在至少一个包括所述EVPN路由携带的ARP信息的HOA信息,但所述HOA信息中的VXLAN信息或Router-MAC信息与所述EVPN路由携带的VXLAN信息和Router-MAC信息不相同的情况下,得到用于表示不匹配的第三验证结果;
根据所述验证结果控制所述EVPN路由的接收和发布,包括:
在得到所述第三验证结果的情况下,禁止对所述EVPN路由进行接收和发布。
6.一种信息验证方法,其特征在于,用于RPKI服务器,包括:
接收来自于EVPN网络节点的HOA信息获取请求;
向所述EVPN网络节点发送HOA信息;所述HOA信息包括合法的ARP信息、VXLAN信息和Router-MAC信息。
7.一种信息验证装置,其特征在于,用于EVPN网络节点,包括:
获取模块,用于在获取到EVPN路由的情况下,获取所述EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息;
验证模块,用于根据HOA信息以及所述EVPN路由携带的ARP信息、VXLAN信息和Router-MAC信息对所述EVPN路由进行验证,得到验证结果;所述HOA信息包括合法的ARP信息、VXLAN信息和Router-MAC信息;
控制模块,用于根据所述验证结果控制所述EVPN路由的接收和发布。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
信息接收模块,用于接收并存储来自于RPKI服务器的所述HOA信息。
9.根据权利要求7所述的装置,其特征在于,
所述验证模块还用于:在不存在包括所述EVPN路由携带的ARP信息的HOA信息的情况下,得到用于表示未发现的第一验证结果;
所述控制模块还用于:在得到所述第一验证结果的情况下,对所述EVPN路由进行接收和发布。
10.根据权利要求7所述的装置,其特征在于,
所述验证模块还用于:在存在至少一个包括所述EVPN路由携带的ARP信息的HOA信息,且所述HOA信息中的VXLAN信息和Router-MAC信息与所述EVPN路由携带的VXLAN信息和Router-MAC信息均相同的情况下,得到用于表示匹配的第二验证结果;
所述控制模块还用于:在得到所述第二验证结果的情况下,对所述EVPN路由进行接收和发布。
11.根据权利要求7所述的装置,其特征在于,
所述验证模块还用于:在存在至少一个包括所述EVPN路由携带的ARP信息的HOA信息,但所述HOA信息中的VXLAN信息或Router-MAC信息与所述EVPN路由携带的VXLAN信息和Router-MAC信息不相同的情况下,得到用于表示不匹配的第三验证结果;
所述控制模块还用于:在得到所述第三验证结果的情况下,禁止对所述EVPN路由进行接收和发布。
12.一种信息验证装置,其特征在于,用于RPKI服务器,包括:
请求接收模块,用于接收来自于EVPN网络节点的HOA信息获取请求;
信息发送模块,用于向所述EVPN网络节点发送HOA信息;所述HOA信息包括合法的ARP信息、VXLAN信息和Router-MAC信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711377772.7A CN108123943B (zh) | 2017-12-19 | 2017-12-19 | 信息验证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711377772.7A CN108123943B (zh) | 2017-12-19 | 2017-12-19 | 信息验证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108123943A true CN108123943A (zh) | 2018-06-05 |
| CN108123943B CN108123943B (zh) | 2020-11-03 |
Family
ID=62229531
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711377772.7A Active CN108123943B (zh) | 2017-12-19 | 2017-12-19 | 信息验证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108123943B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11277442B2 (en) * | 2019-04-05 | 2022-03-15 | Cisco Technology, Inc. | Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods |
| US11716305B2 (en) * | 2021-06-29 | 2023-08-01 | Cisco Technology, Inc. | Control embedded data packet for efficient ARP query in SDA environment |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105763440A (zh) * | 2016-01-29 | 2016-07-13 | 杭州华三通信技术有限公司 | 一种报文转发的方法和装置 |
| US20160285760A1 (en) * | 2015-03-26 | 2016-09-29 | Cisco Technology, Inc. | Scalable handling of bgp route information in vxlan with evpn control plane |
| US20170093834A1 (en) * | 2015-09-30 | 2017-03-30 | Juniper Networks, Inc. | Enhanced evpn mac route advertisement having mac (l2) level authentication, security and policy control |
| CN107124347A (zh) * | 2017-06-13 | 2017-09-01 | 杭州迪普科技股份有限公司 | 一种基于bgp evpn的vxlan控制平面的优化方法及装置 |
| CN107342941A (zh) * | 2017-06-01 | 2017-11-10 | 杭州迪普科技股份有限公司 | 一种vxlan控制平面的优化方法及装置 |
-
2017
- 2017-12-19 CN CN201711377772.7A patent/CN108123943B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160285760A1 (en) * | 2015-03-26 | 2016-09-29 | Cisco Technology, Inc. | Scalable handling of bgp route information in vxlan with evpn control plane |
| CN107409083A (zh) * | 2015-03-26 | 2017-11-28 | 思科技术公司 | 对具有evpn控制平面的vxlan中的bgp路由信息的可扩展处理 |
| US20170093834A1 (en) * | 2015-09-30 | 2017-03-30 | Juniper Networks, Inc. | Enhanced evpn mac route advertisement having mac (l2) level authentication, security and policy control |
| CN107018056A (zh) * | 2015-09-30 | 2017-08-04 | 丛林网络公司 | 具有mac(l2)级认证、安全和策略控制的增强的evpn mac路由通知 |
| CN105763440A (zh) * | 2016-01-29 | 2016-07-13 | 杭州华三通信技术有限公司 | 一种报文转发的方法和装置 |
| CN107342941A (zh) * | 2017-06-01 | 2017-11-10 | 杭州迪普科技股份有限公司 | 一种vxlan控制平面的优化方法及装置 |
| CN107124347A (zh) * | 2017-06-13 | 2017-09-01 | 杭州迪普科技股份有限公司 | 一种基于bgp evpn的vxlan控制平面的优化方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 钟耿辉: "基于VXLAN的EVPN技术研究与实现", 《计算机技术与发展》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11277442B2 (en) * | 2019-04-05 | 2022-03-15 | Cisco Technology, Inc. | Verifying the trust-worthiness of ARP senders and receivers using attestation-based methods |
| US11716305B2 (en) * | 2021-06-29 | 2023-08-01 | Cisco Technology, Inc. | Control embedded data packet for efficient ARP query in SDA environment |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108123943B (zh) | 2020-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11086653B2 (en) | Forwarding policy configuration | |
| Del Piccolo et al. | A survey of network isolation solutions for multi-tenant data centers | |
| RU2551814C2 (ru) | Инкапсуляция адреса асимметричной сети | |
| US9485147B2 (en) | Method and device thereof for automatically finding and configuring virtual network | |
| US8407366B2 (en) | Interconnecting members of a virtual network | |
| US8788708B2 (en) | Split-domain name service | |
| US20160226815A1 (en) | System and method for communicating in an ssl vpn | |
| CN102710509B (zh) | 一种数据中心自动配置方法及其设备 | |
| US9300524B2 (en) | Message forwarding between geographically dispersed network sites | |
| CN107547351B (zh) | 地址分配方法和装置 | |
| CN106209643A (zh) | 报文转发方法及装置 | |
| CN106878288B (zh) | 一种报文转发方法及装置 | |
| CN107094110B (zh) | 一种dhcp报文转发方法及装置 | |
| CN105591907B (zh) | 一种路由获取方法和装置 | |
| WO2017186122A1 (zh) | 流量调度 | |
| US10404648B2 (en) | Addressing for customer premises LAN expansion | |
| CN103248720A (zh) | 一种查询物理地址的方法及装置 | |
| US20210044565A1 (en) | Consolidated routing table for extranet virtual networks | |
| US20160323184A1 (en) | Generic Packet Encapsulation For Virtual Networking | |
| CN108123943A (zh) | 信息验证方法及装置 | |
| CN103269300A (zh) | 一种实现异构网络互联的方法和设备 | |
| CN110572326A (zh) | 转发路径的建立方法、装置、网络设备及系统 | |
| CN104767759A (zh) | 一种边缘设备注册方法和装置 | |
| US11729280B2 (en) | Zero day zero touch providing of services with policy control | |
| US20230006998A1 (en) | Management of private networks over multiple local networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |