CN112887312A - 一种慢协议报文处理方法及相关装置 - Google Patents
一种慢协议报文处理方法及相关装置 Download PDFInfo
- Publication number
- CN112887312A CN112887312A CN202110114289.XA CN202110114289A CN112887312A CN 112887312 A CN112887312 A CN 112887312A CN 202110114289 A CN202110114289 A CN 202110114289A CN 112887312 A CN112887312 A CN 112887312A
- Authority
- CN
- China
- Prior art keywords
- slow protocol
- information
- sending end
- protocol packet
- network device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/66—Layer 2 routing, e.g. in Ethernet based MAN's
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5625—Operations, administration and maintenance [OAM]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例提供了一种慢协议报文处理方法及相关装置,所述方法包括:网络设备接收第一慢协议报文,所述第一慢协议报文携带所述第一慢协议报文的发送端设备的设备信息;所述网络设备根据接收所述第一慢协议报文的所述网络设备的端口的端口信息确定所述网络设备与所述发送端设备之间已完成协商过程,根据所述第一慢协议报文携带的所述发送端设备的设备信息,查找所述网络设备在协商过程中存储的设备信息库中是否包括所述发送端设备的设备信息;响应于所述设备信息库不包括所述发送端设备的设备信息的结果,所述网络设备将所述第一慢协议报文认定为非法报文。可见,本发明实施例提供了一种对慢协议报文的验证方式,从而能够提高安全性。
Description
本申请是于2016年12月29日提交国家知识产权局、申请号为CN201611249141.2、发明名称为“一种慢协议报文处理方法及相关装置”的中国专利申请的分案申请,其全部内容通过引用结合在本申请中。
技术领域
本发明实施例涉及通信技术领域,尤其是涉及一种慢协议报文处理方法及相关装置。
背景技术
在通信技术领域中,慢协议(英文:Slow Protocol)的协议报文具有以下特征:协议报文的目的媒体访问控制(英文:Media Access Control,简称:MAC)地址使用慢协议组播地址(英文:Slow_Protocols_Multicast address),慢协议组播地址的值为01-80-c2-00-00-02;协议报文的类型域的值为8809。
目前,基于慢协议时,本端设备和对端设备通常会在处于协商过程中建立通信链路,并且为了维持该通信链路,本端设备和对端设备在协商过程之后,处于工作过程中互相发送协议报文。本端设备或者对端设备接收到协议报文之后,会根据协议报文中指示的链路信息触发相应的操作,例如根据链路故障信息触发故障处理操作等等。
然而,上述工作过程中存在一定的安全隐患,在本端设备和对端设备处于工作过程中,攻击者可以控制其中一个设备构造协议报文,指示接收到协议报文的设备执行错误的动作,例如在通信链路正常时触发链路故障处理等。可见,如何解决上述安全隐患从而提高安全性,是目前亟待解决技术问题。
发明内容
本发明实施例解决的技术问题在于提供一种慢协议报文处理方法及相关装置,以实现在基于慢协议处理协议报文时,能够解决安全隐患从而提高安全性。
为此,本发明实施例解决技术问题的技术方案是:
第一方面,提供了一种慢协议报文处理方法,所述方法包括,网络设备从第一端口接收第一慢协议报文,所述第一慢协议报文携带所述第一慢协议报文的发送端设备的设备信息。所述网络设备根据该第一端口的端口信息确定所述网络设备与所述发送端设备之间已完成协商过程,根据所述发送端设备的设备信息,查找所述网络设备在协商过程中存储的设备信息库中是否包括所述发送端设备的设备信息。如果所述设备信息库包括所述发送端设备的设备信息,则所述网络设备将所述第一慢协议报文认定为合法报文。
基于实施例提供的方案,提供了一种对慢协议报文的验证方式,只有当慢协议报文验证成功时,才会认定为合法报文,因此能够解决安全隐患从而提高安全性。
可选的,其中,所述第一慢协议报文中还携带链路信息,所述链路信息用于指示所述网络设备与所述发送端设备之间的链路的链路状态;如果所述设备信息库包括所述发送端设备的设备信息,所述网络设备将所述第一慢协议报文认定为合法报文,所述网络设备根据所述链路信息触发第一操作;其中,所述第一操作包括以下操作中的至少一种:链路重连操作和故障处理操作。
可选的,其中,所述第一慢协议报文中还携带所述发送端设备在工作过程的配置信息,所述发送端设备在工作过程的配置信息与所述发送端设备在协商过程的配置信息不同;如果所述设备信息库包括所述发送端设备的设备信息,所述网络设备将所述第一慢协议报文认定为合法报文,所述网络设备根据所述发送端设备在工作过程的配置信息触发第二操作;其中,所述第二操作包括:链路重连操作。
可选的,如果所述设备信息库不包括所述发送端设备的设备信息,则所述网络设备将所述第一慢协议报文认定为非法报文。
可选的,如果所述设备信息库不包括所述发送端设备的设备信息,所述网络设备将所述第一慢协议报文认定为非法报文,并且所述网络设备丢弃所述第一慢协议报文。
基于上述实现方式,防止非法的远端网络设备通过慢协议报文与本端网络设备进行通信。
可选的,所述方法还包括,当所述网络设备在预设周期内接收到的来自所述发送端设备的非法报文的数量大于或等于预设阈值,触发告警操作。
基于上述实现方式,有助于解决非法的远端网络设备大量发送非法的慢协议报文而造成网络拥塞的问题。
可选的,在所述网络设备从所述第一端口接收第一慢协议报文之前,所述网络设备从所述第一端口接收第二慢协议报文,所述第二慢协议报文携带所述第二慢协议报文的发送端设备的设备信息,所述第二慢协议报文为协商报文。所述网络设备确定所述网络设备与所述发送端设备已完成协商过程,在所述设备信息库中存储所述第二慢协议报文携带的所述发送端设备的设备信息。
可选的,所述网络设备可以工作在主动模式下。其中,所述网络设备获取所述网络设备的配置信息与所述第二慢协议报文的发送端设备的配置信息的匹配结果。然后,所述网络设备根据所述匹配结果,确定所述网络设备的配置信息与第二慢协议报文的发送端设备的配置信息相匹配,以便所述网络设备确定所述网络设备与所述发送端设备已完成协商过程。
可选的,所述网络设备可以工作在被动模式下。在所述网络设备确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程中,所述网络设备接收所述第二慢协议报文的发送端设备发送的第三慢协议报文,所述第三慢协议报文中携带所述网络设备的配置信息和所述第二慢协议报文的发送端设备的配置信息。
进一步可选的,所述第二慢协议报文还携带所述第二慢协议报文的发送端设备的配置信息。其中,网络设备根据所述网络设备的配置信息和所述第二慢协议报文中携带的所述发送端设备的配置信息,确定所述网络设备和所述第二慢协议报文的发送端设备之间的活动接口;所述网络设备根据所述第二慢协议报文的发送端设备确定的活动接口,确定所述网络设备确定的活动接口与所述第二慢协议报文的发送端设备确定的活动接口一致,以便所述网络设备确定所述网络设备与所述发送端设备已完成协商过程。
第二方面,提供了一种网络设备,所述网络设备包括接收单元和处理单元。其中,所述接收单元,用于从第一端口接收第一慢协议报文,所述第一慢协议报文携带所述第一慢协议报文的发送端设备的设备信息。所述处理单元,用于根据该第一端口的端口信息确定所述网络设备与所述发送端设备之间已完成协商过程,并且,根据所述发送端设备的设备信息,查找所述网络设备在协商过程中存储的设备信息库中是否包括所述发送端设备的设备信息。如果所述设备信息库包括所述发送端设备的设备信息,则将所述第一慢协议报文认定为合法报文。
基于实施例提供的方案,提供了一种对慢协议报文的验证方式,只有当慢协议报文验证成功时,才会认定为合法报文,因此能够解决安全隐患从而提高安全性。
可选的,其中,所述第一慢协议报文中还携带链路信息,所述链路信息用于指示所述网络设备与所述发送端设备之间的链路的链路状态。所述处理单元还用于,如果所述设备信息库包括所述发送端设备的设备信息,将所述第一慢协议报文认定为合法报文,并根据所述链路信息触发第一操作。其中,所述第一操作包括以下操作中的至少一种:链路重连操作和故障处理操作。
可选的,其中,所述第一慢协议报文中还携带所述发送端设备在工作过程的配置信息,所述发送端设备在工作过程的配置信息与所述发送端设备在协商过程的配置信息不同。所述处理单元还用于,如果所述设备信息库包括所述发送端设备的设备信息,将所述第一慢协议报文认定为合法报文,并根据所述发送端设备在工作过程的配置信息触发第二操作。其中,所述第二操作包括:链路重连操作。
可选的,所述处理单元还用于,如果所述设备信息库不包括所述发送端设备的设备信息,则将所述第一慢协议报文认定为非法报文。
可选的,所述处理单元还用于,如果所述设备信息库不包括所述发送端设备的设备信息,将所述第一慢协议报文认定为非法报文,并且丢弃所述第一慢协议报文。
基于上述实现方式,防止非法的远端网络设备通过慢协议报文与本端网络设备进行通信。
可选的,所述处理单元还用于,当所述接收单元在预设周期内接收到的来自所述发送端设备的非法报文的数量大于或等于预设阈值,触发告警操作。
基于上述实现方式,有助于解决非法的远端网络设备大量发送非法的慢协议报文而造成网络拥塞的问题。
可选的,所述接收单元还用于,在从所述第一端口接收所述第一慢协议报文之前,从所述第一端口接收第二慢协议报文,所述第二慢协议报文携带所述第二慢协议报文的发送端设备的设备信息,所述第二慢协议报文为协商报文。所述处理单元还用于,确定所述网络设备与所述发送端设备已完成协商过程,在所述设备信息库中存储所述第二慢协议报文携带的所述发送端设备的设备信息。
可选的,所述网络设备可以工作在主动模式下。其中,所述处理单元具体用于,获取所述网络设备的配置信息与所述第二慢协议报文的发送端设备的配置信息的匹配结果,根据所述匹配结果,确定所述网络设备的配置信息与第二慢协议报文的发送端设备的配置信息相匹配,以便所述网络设备确定所述网络设备与所述发送端设备已完成协商过程。
可选的,所述网络设备可以工作在被动模式下。当所述处理单元用于确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程时,所述处理单元具体用于,确定所述接收单元接收所述第二慢协议报文的发送端设备发送的第三慢协议报文,所述第三慢协议报文中携带所述网络设备的配置信息和所述第二慢协议报文的发送端设备的配置信息。
进一步可选的,所述第二慢协议报文还携带所述第二慢协议报文的发送端设备的配置信息。其中,所述处理单元具体用于,根据所述网络设备的配置信息和所述第二慢协议报文中携带的所述发送端设备的配置信息,确定所述网络设备和所述第二慢协议报文的发送端设备之间的活动接口,根据所述第二慢协议报文的发送端设备确定的活动接口,确定所述网络设备确定的活动接口与所述第二慢协议报文的发送端设备确定的活动接口一致,以便所述网络设备确定所述网络设备与所述发送端设备已完成协商过程。
第三方面,提供了一种网络设备,包括接收器和处理器,所述接收器和所述处理器相连。其中,所述接收器,用于从第一端口接收第一慢协议报文,所述第一慢协议报文携带所述第一慢协议报文的发送端设备的设备信息。所述处理器,用于根据该第一端口的端口信息确定所述网络设备与所述发送端设备之间已完成协商过程,并且,根据所述第一慢协议报文携带的所述发送端设备的设备信息,查找所述网络设备在协商过程中存储的设备信息库中是否包括所述发送端设备的设备信息。如果所述设备信息库包括所述发送端设备的设备信息,则将所述第一慢协议报文认定为合法报文。
基于实施例提供的方案,提供了一种对慢协议报文的验证方式,只有当慢协议报文验证成功时,才会认定为合法报文,因此能够解决安全隐患从而提高安全性。
可选的,其中,所述第一慢协议报文中还携带链路信息,所述链路信息用于指示所述网络设备与所述发送端设备之间的链路的链路状态。所述处理器还用于,如果所述设备信息库包括所述发送端设备的设备信息,将所述第一慢协议报文认定为合法报文,并根据所述链路信息触发第一操作。其中,所述第一操作包括以下操作中的至少一种:链路重连操作和故障处理操作。
可选的,其中,所述第一慢协议报文中还携带所述发送端设备在工作过程的配置信息,所述发送端设备在工作过程的配置信息与所述发送端设备在协商过程的配置信息不同。所述处理器还用于,如果所述设备信息库包括所述发送端设备的设备信息,将所述第一慢协议报文认定为合法报文,并根据所述发送端设备在工作过程的配置信息触发第二操作。其中,所述第二操作包括:链路重连操作。
可选的,所述处理器还用于,如果所述设备信息库不包括所述发送端设备的设备信息,将所述第一慢协议报文认定为非法报文。
可选的,所述处理器还用于,如果所述设备信息库不包括所述发送端设备的设备信息,将所述第一慢协议报文认定为非法报文,并且丢弃所述第一慢协议报文。
基于上述实现方式,防止非法的远端网络设备通过慢协议报文与本端网络设备进行通信。
可选的,所述处理器还用于,当所述接收器在预设周期内接收到的来自所述发送端设备的非法报文的数量大于或等于预设阈值,触发告警操作。
基于上述实现方式,有助于解决非法的远端网络设备大量发送非法的慢协议报文而造成网络拥塞的问题。
可选的,所述接收器还用于,在从所述第一端口接收所述第一慢协议报文之前,从所述第一端口接收第二慢协议报文,所述第二慢协议报文携带所述第二慢协议报文的发送端设备的设备信息,所述第二慢协议报文为协商报文。所述处理器还用于,确定所述网络设备与所述发送端设备已完成协商过程,在所述设备信息库中存储所述第二慢协议报文携带的所述发送端设备的设备信息。
可选的,所述网络设备可以工作在主动模式下。其中,所述处理器具体用于,获取所述网络设备的配置信息与所述第二慢协议报文的发送端设备的配置信息的匹配结果,根据所述匹配结果,确定所述网络设备的配置信息与第二慢协议报文的发送端设备的配置信息相匹配,以便所述网络设备确定所述网络设备与所述发送端设备已完成协商过程。
可选的,所述网络设备可以工作在被动模式下。当所述处理器用于确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程时,所述处理器具体用于,确定所述接收器接收所述第二慢协议报文的发送端设备发送的第三慢协议报文,所述第三慢协议报文中携带所述网络设备的配置信息和所述第二慢协议报文的发送端设备的配置信息。
进一步可选的,所述第二慢协议报文还携带所述第二慢协议报文的发送端设备的配置信息。其中,所述处理器具体用于,根据所述网络设备的配置信息和所述第二慢协议报文中携带的所述发送端设备的配置信息,确定所述网络设备和所述第二慢协议报文的发送端设备之间的活动接口,根据所述第二慢协议报文的发送端设备确定的活动接口,确定所述网络设备确定的活动接口与所述第二慢协议报文的发送端设备确定的活动接口一致,以便所述网络设备确定所述网络设备与所述发送端设备已完成协商过程。
在上述第一方面,第二方面和第三方面中,可选的,所述网络设备和所述第一慢协议报文的发送端设备直接连接或者通过透传设备相连。
在上述第一方面,第二方面和第三方面中,可选的,所述第一慢协议报文的目的媒体接入控制MAC地址的值为01-80-c2-00-00-02,所述第一慢协议报文的类型域的值为8809。
在上述第一方面,第二方面和第三方面中,可选的,所述第一慢协议报文为操作管理和维护OAM协议报文,所述第一慢协议报文的发送端设备的设备信息包括:所述第一慢协议报文的源地址Source Address域指示的信息和组织唯一标识符OUI域指示的信息中的一个或多个;或者,所述第一慢协议报文为Marker协议报文或者链路汇聚控制协议LACP报文,所述第一慢协议报文的发送端设备的设备信息包括:所述第一慢协议报文的源地址SourceAddress域指示的信息和Actor_system域指示的信息中的一个或多个。
第四方面,提供了一种计算机存储介质,用于储存为上述网络设备所用的程序、代码或指令,当处理器或硬件设备执行这些程序、代码或指令时可以完成上述方面中网络PE设备的功能或步骤。
通过上述技术方案可知,本发明实施例中,网络设备接收第一慢协议报文,所述第一慢协议报文携带所述第一慢协议报文的发送端设备的设备信息,网络设备确定所述网络设备与所述发送端设备之间已完成协商过程,查找所述网络设备在处于协商过程中存储的设备信息库中是否包括所述发送端设备的设备信息,如果是,则将所述第一慢协议报文认定为合法报文。可见,本发明实施例提供了一种对慢协议报文的验证方式,只有当慢协议报文验证成功时,才会认定为合法报文从而执行相应的操作,因此能够解决安全隐患从而提高安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为OAM协议的一种通信方法;
图2为LACP或者Marker协议的一种通信方法
图3为本发明实施例提供的一种方法实施例的流程示意图;
图4为本发明实施例提供的另一种方法实施例的流程示意图;
图5为图4所示实施例的一种应用场景的结构示意图;
图6为本发明实施例提供的另一种方法实施例的流程示意图;
图7为本发明实施例提供的一种装置实施例的结构示意图;
图8为本发明实施例提供的另一种装置实施例的结构示意图。
具体实施方式
本发明实施例首先对慢协议进行介绍。根据对于IEEE 802.3定义的慢协议的研究,在电气和电子工程师协会(英文:Institute of Electrical and ElectronicsEngineers,简称:IEEE)802.3的ANNEX中定义了慢协议报文的特征以及慢协议传输特性,慢协议报文的特征包括:慢协议报文的目的媒体接入控制(英文:Media Access Control,简称:MAC)地址使用慢协议组播地址(英文:Slow_Protocols_Multicast address),慢协议组播地址的值为01-80-c2-00-00-02;慢协议报文的类型域的值为8809。其中,所述协议报文的类型域的值用于指示该协议报文是慢协议报文。因此,包括上述慢协议报文的特征的链路层协议报文所对应的链路层协议均属于慢协议。慢协议传输特性包括:每个慢协议子类型在任何的秒周期(英文:one-second period)内传输的帧数不超过10帧;慢协议子类型的最大个数为10;慢协议产生的MAC客户数据(英文:MAC Client data)应不大于最大基本数据长度(英文:maxBasicDataSize),可选的,慢协议帧的最大长度不超过128字节(英文:octets)。
目前已使用的慢协议的类型包括链路汇聚控制协议(英文:Link AggregationControl Protocol,简称:LACP)、Marker协议、以及操作管理和维护(英文:OperationAdministration and Maintenance,简称:OAM)协议,其中Marker协议为LACP的衍生协议。
下面对OAM协议和LACP的协议报文的格式以及通信过程进行分别说明,Marker协议与LACP类似。
首先说明OAM协议。OAM协议报文的通用格式为:目的MAC地址使用慢协议组播地址,慢协议组播地址的值为01-80-c2-00-00-02,协议报文的类型域的值为8809,协议报文的子类型域的值为03,其中,子类型域的值用于指示该协议报文是OAM协议报文。OAM协议报文的类型包括信息(英文:Information)OAM协议数据单元(英文:Protocol Data Unit,简称:PDU)、事件通告(英文:Event Notification)OAMPDU以及环回控制(英文:LoopbackControl)OAMPDU等。
其中,Information OAMPDU的码域(英文:code field)的值为0,用于对端发现、连通性保持以及故障通告。Information OAMPDU中包括源地址(英文:Source Address)域、组织唯一标识符(英文:Organizationally Unique Identifier,简称:OUI)域、标志(英文:flags)域、本地信息类型长度值(英文:local information TLV)域、以及远端信息类型长度值(英文:remote information TLV)域等。其中,Source Address域用于指示Information OAMPDU的源地址,即Information OAMPDU的发送端口的地址。对于设备制造商生产的每一个设备来说,OUI域指示的信息是唯一的。flags域用于指示是否出现链路故障,local information TLV域用于指示出本端设备的配置信息,remote information TLV域用于指示出对端设备的配置信息。当Information OAMPDU中的flags域指示出现链路故障,并且local Information TLV域中指示出链路故障的类型时,接收到InformationOAMPDU的设备触发链路故障处理等操作。
Information OAMPDU的通信过程如图1所示,设备1工作在主动模式下,设备2工作在被动模式下。设备1首先向设备2发送第一Information OAMPDU,所述第一InformationOAMPDU携带有设备1的配置信息等等,其中配置信息用于表示设备1所具有的功能。设备2接收到第一Information OAMPDU之后,从第一Information OAMPDU中获取设备1的配置信息,并且根据设备1的配置信息和设备2本端获取的设备2的配置信息,获得设备2对设备1的配置信息的匹配结果,也就是设备2是否支持设备1所具有的功能,例如匹配结果为1则表示设备2支持设备1所具有的功能,匹配结果为0则表示设备2不支持设备1所具有的功能。其中,设备2是否支持设备1所具有的功能,指的是设备2是否支持设备1的一个或多个特定的功能,具体需要支持哪些特定的功能,可以根据不同场景和需求进行配置。设备2向设备1发送第二Information OAMPDU,所述第二Information OAMPDU携带有设备1的配置信息、设备2的配置信息以及所述匹配结果。设备1接收到第二Information OAMPDU之后,判断设备1的配置信息与设备2的配置信息是否匹配,其中,设备1可以先根据第二Information OAMPDU中的匹配结果判断设备2是否支持设备1所具有的功能,如果第二Information OAMPDU中的匹配结果为设备2支持设备1所具有的功能,则设备1可以直接进入工作过程,对于OAM协议,设备1进入SEND_ANY状态,如果第二Information OAMPDU中的匹配结果为设备2不支持设备1所具有的功能,则设备1可以根据第二Information OAMPDU中携带的设备2的配置信息,和设备1从本端获取的设备1的配置信息,判断设备1是否支持设备2所具有的功能,如果设备1支持设备2所具有的功能,则设备1可以进入SEND_ANY状态。在设备1进入SEND_ANY状态之后,设备1向设备2发送第三Information OAMPDU,并且第三Information OAMPDU中携带有设备1的配置信息和设备2的配置信息,设备2进入SEND_ANY状态。之后,设备1和设备2相互之间定时发送Information OAMPDU,维持设备1和设备2之间的通信链路。其中,Information OAMPDU中可以携带有链路故障信息,接收到Information OAMPDU的设备根据链路故障信息触发故障处理操作,例如发送告警信息至网管等。
然而,上述设备1和设备2处于SEND_ANY状态的过程中存在一定的安全隐患:在设备1和设备2处于SEND_ANY状态的过程中,一种攻击方式中,攻击者可以控制与设备2连接的设备3构造Information OAM PDU,并经由设备2发送至设备1,另一种攻击方式中,攻击者直接控制设备2构造Information OAMPDU并发送给设备1。在这两种攻击方式中,构造的Information OAMPDU的各个域中填充有虚假的信息,并且还携带链路故障信息。现有技术中,设备1接收到构造的Information OAMPDU后,并不会对Information OAMPDU中信息进行验证,而是确定Information OAMPDU中各个域中都填充有信息,即使是虚假的信息,设备1也会认定接收到的Information OAMPDU是合法的协议报文,因此设备1会直接根据链路故障信息触发故障处理操作。因此,攻击者使得设备1在通信链路正常时触发链路故障处理,从而造成了链路的震荡。
下面说明LACP。LACP报文的通用格式为:目的MAC地址使用慢协议组播地址,慢协议组播地址的值为01-80-c2-00-00-02,协议报文的类型域的值为8809,协议报文的子类型域的值为01,其中,子类型域的值用于指示该协议报文是LACP报文。
LACP协议报文的类型包括LACP PDU。LACP PDU中包括源地址(英文:SourceAddress)域、Actor域、Partner域等。其中,Actor域的一个子域为Actor_system域。SourceAddress域用于指示LACP PDU的源地址,即LACP PDU的发送端口的地址。Actor域用于指示本端的设备信息,即LACP PDU的发送设备的设备信息,Partner域用于指示对端的设备信息,即LACP PDU的接收设备的设备信息。Actor_system域用于指示本端设备的设备标识,即LACP PDU的发送设备的设备标识。
LACP PDU的通信过程如图2所示,两端设备互相发送LACP PDU,其中,设备1向设备2发送第一LACP PDU,第一LACP PDU携带有设备1的配置信息,设备2接收到第一LACP PDU后,根据第一LACP PDU中携带的设备1的配置信息,以及设备2本端获取的设备2的配置信息,从设备1和设备2中确定主动端,再从主动端的接口中确定设备1和设备2的活动接口。其中,在确定主动端时,设备2会从设备1的配置信息中确定设备1的设备优先级,并且从设备2的配置信息中确定设备2的设备优先级,比较设备1的设备优先级和设备2的优先级,并且将设备优先级的值更高的设备作为主动端。确定主动端之后,从设备1的配置信息或者设备2的配置信息中确定主动端的接口优先级,利用主动端的接口优先级确定活动接口。
设备2向设备1发送第二LACP PDU,第二LACP PDU携带有设备2的配置信息,设备1接收到第二LACP PDU后,根据第二LACP PDU中携带的设备1的配置信息,以及设备1本端获取的设备2的配置信息,从设备1和设备2中确定主动端,再从主动端的接口中确定设备1和设备2的活动接口。其中,Actor域指示出本端的配置信息,即LACP PDU的发送设备的配置信息,Partner域用于指示对端的配置信息,即LACP PDU的接收设备的配置信息,配置信息可以包括与设备相关的配置信息,例如设备优先级或者端口优先级等,配置信息还可以包括与链路状态相关的链路信息等,例如链路的单双工状态或者链路的带宽信息等。当设备1和设备2确定所述活动接口之后,并且设备1确定的活动接口与设备2确定的活动接口一致,则LACP协商完成,之后设备1和设备2分别进入工作过程从而进行数据转发,对于LACP议,具体进入COLLECTING_DISTRIBUTING状态。其中,当任一个设备的配置信息发生变化,例如设备1的设备优先级发生变化时,设备1和设备2会进行链路重连,即重新进行协商,确定新的活动接口。
然而,上述设备1和设备2处于COLLECTING_DISTRIBUTING状态的过程中存在一定的安全隐患:在设备1和设备2处于COLLECTING_DISTRIBUTING状态的过程中,一种攻击方式中,攻击者可以控制与设备2连接的设备3构造LACP PDU,并经由设备2发送至设备1,另一种攻击方式中,攻击者直接控制设备2构造LACP PDU并发送给设备1。在这两种攻击方式中,构造的LACP PDU的各个域中填充有虚假的信息。现有技术中,设备1接收到构造的LACP PDU后,并不会对LACP PDU中的信息进行验证,而是确定LACP PDU中各个域中都填充有信息,即使是虚假的信息,设备1也会认定接收到的LACP PDU是合法的协议报文,而且构造的LACPPDU中携带的配置信息与协商过程中的配置信息不同,因此设备1会直接根据构造的LACPPDU中携带的配置信息,触发链路重连。因此,攻击者使得设备1和设备2在通信链路正常时触发链路重连,从而造成了链路的震荡。由于Marker协议是LACP的衍生协议,Marker协议的协议报文的通信过程与上述LACP的协议报文的通信过程类似,这里不再赘述。可见,如何解决上述安全隐患从而提高安全性,是目前亟待解决技术问题。
请参阅图3,本发明实施例提供了慢协议报文处理方法的一种方法实施例。
本实施例中,慢协议报文的目的MAC地址使用慢协议组播地址,慢协议组播地址的值为01-80-c2-00-00-02,慢协议报文的类型域的值为8809。慢协议具体可以为LACP、Marker协议或者OAM协议,当慢协议为OAM协议时,慢协议报文具体为Information OAMPDU,当慢协议为LACP时,慢协议报文具体为LACP PDU,当慢协议为Marker协议时,慢协议报文具体为Marker PDU。
在本实施例中,网络设备存储有设备信息库,设备信息库包括网络设备在处于协商过程(也称为发现过程)中存储的设备信息。
本实施例的所述方法包括:
303:所述网络设备接收第一慢协议报文。
其中,所述第一慢协议报文携带所述第一慢协议报文的发送端设备的设备信息。所述第一慢协议报文的发送端设备的设备信息可以具体为所述第一慢协议报文的发送端设备的设备标识信息,用于唯一标识所述第一慢协议报文的发送端设备。其中,当所述第一慢协议报文为Information OAM PDU时,所述第一慢协议报文的发送端设备的设备信息可以包括所述第一慢协议报文的Source Address域指示的信息和OUI域指示的信息中的一个或多个;当所述第一慢协议报文为Marker PDU或者LACP PDU时,所述第一慢协议报文的发送端设备的设备信息可以包括所述第一慢协议报文的Source Address域指示的信息和Actor_system域指示的信息中的一个或多个。
在本实施例中,所述网络设备和所述第一慢协议报文的发送端设备可以通过通信链路直接连接或者通过透传设备相连。
304:所述网络设备根据接收所述第一慢协议报文的所述网络设备的端口的端口信息确定所述网络设备与所述发送端设备之间已完成协商过程,根据所述第一慢协议报文携带的所述发送端设备的设备信息,查找所述网络设备在处于协商过程中存储的设备信息库中是否包括所述发送端设备的设备信息。
所述网络设备接收到所述第一慢协议报文之后,能够确定接收所述第一慢协议报文的端口,而所述网络设备存储有所述端口对应的端口信息,所述端口信息能够指示出所述网络设备与所述端口连接的设备之间是否已完成协商过程。
举例说明,网络设备1通过所述网络设备1的端口1与网络设备2相连,端口1的端口信息存储初始信息,例如端口1的端口信息标记为00,表示网络设备1与网络设备2未完成协商过程。网络设备1在协商过程中通过端口1与网络设备2进行通信,并且确定网络设备1与网络设备2完成协商过程,因此,在端口1的端口信息中存储已完成协商过程的信息,例如将端口1的端口信息标记为01,表示网络设备1与网络设备2已完成协商过程。网络设备1通过端口1接收到第一慢协议报文之后,能够根据存储的端口1的端口信息,确定网络设备1与网络设备2之间是否已完成协商过程,例如网络设备1查询到端口1的端口信息为00,则表示网络设备1与网络设备2之间未完成协商过程,网络设备1查询到端口1的端口信息为01,则表示网络设备1与网络设备2之间已完成协商过程。
所述网络设备确定所述网络设备与所述发送端设备之间已完成协商过程之后,在设备信息库中查找是否包括所述发送端设备的设备信息。其中,所述设备信息库中包括所述网络设备处于协商过程中接收到的设备信息。具体地,本发明实施例中,所述网络设备在协商过程中接收到第二慢协议报文,在所述设备信息库中存储所述第二慢协议报文中携带的所述第二慢协议报文的发送端设备的设备信息。
其中,所述网络设备与所述发送端设备之间完成协商过程之后,所述网络设备和所述发送端设备分别进入工作过程,其中,工作过程指的是协商过程之后进入的稳态过程。其中,当所述第一慢协议报文为Information OAM PDU时,所述工作过程可以为处于SEND_ANY状态的过程;当所述第一慢协议报文为Marker PDU或者LACP PDU时,所述工作过程可以为处于COLLECTING_DISTRIBUTING状态的过程。
305:响应于所述设备信息库包括所述发送端设备的设备信息的结果,所述网络设备将所述第一慢协议报文认定为合法报文。
若所述设备信息库包括所述发送端设备的设备信息,则说明所述第一慢协议报文中携带的所述发送端设备的设备信息,与协商过程中在所述设备信息库中存储的所述发送端设备的设备信息一致,因此说明所述第一慢协议报文不是在受到攻击的情况下构造的协议报文,认定所述第一慢协议报文为合法报文。
当认定所述第一慢协议报文为合法报文之后,可以进一步根据所述第一慢协议报文触发相应的操作,下面分别说明。
在一种可选的实施方式中,所述第一慢协议报文中还携带链路信息,所述链路信息用于指示所述网络设备与所述发送端设备之间的链路的链路状态;在响应于所述设备信息库包括所述发送端设备的设备信息的结果,所述网络设备将所述第一慢协议报文认定为合法报文后,所述方法还包括:所述网络设备根据所述链路信息触发第一操作,其中,所述第一操作包括以下操作中的至少一种:链路重连操作和故障处理操作。其中,所述链路信息可以为链路故障信息,例如,所述第一慢协议报文为Information OAM PDU,所述Information OAM PDU中携带链路故障信息,所述网络设备根据所述链路故障信息,触发故障处理操作。所述链路信息也可以为工作过程中的链路状态,例如,所述第一慢协议报文为LACP PDU,所述LACP PDU中携带所述网络设备与LACP PDU的发送端设备之间的链路在工作过程中的链路状态,例如单双工状态或者带宽信息等,其中,该链路在工作过程中的链路状态,相比该链路在协商过程中的链路状态不同,所述网络设备根据该链路在工作过程中的链路状态,触发链路重连操作。
在另一种可选的实施方式中,所述第一慢协议报文中还携带所述发送端设备在工作过程的配置信息,并且所述发送端设备在工作过程的配置信息与所述发送端设备在协商过程的配置信息不同;在响应于所述设备信息库包括所述发送端设备的设备信息的结果,所述网络设备将所述第一慢协议报文认定为合法报文后,所述方法还包括:所述网络设备根据所述发送端设备在工作过程的配置信息触发第二操作,其中,所述第二操作包括链路重连操作。例如,所述第一慢协议报文为Information OAM PDU或者LACP PDU,所述第一慢协议报文中携带第一慢协议报文的发送端设备在工作过程的配置信息,其中,所述发送端设备在工作过程的配置信息,相比所述发送端设备在协商过程中的配置信息不同,所述网络设备根据所述发送端设备在工作过程的配置信息触发链路重连操作。
若所述设备信息库不包括所述发送端设备的设备信息,则说明所述第一慢协议报文中携带的所述发送端设备的设备信息,与协商过程中在所述设备信息库中存储的所述发送端设备的设备信息不一致,因此说明所述第一慢协议报文是在受到攻击的情况下构造的协议报文,认定所述第一慢协议报文为非法报文。
当认定所述第一慢协议报文为非法报文,可以进一步丢弃所述第一慢协议报文,从而不执行所述第一慢协议报文触发的操作。具体地,在响应于所述设备信息库不包括所述发送端设备的设备信息的结果,所述网络设备将所述第一慢协议报文认定为非法报文后,所述方法还包括:所述网络设备丢弃所述第一慢协议报文。例如,所述第一慢协议报文为Information OAM PDU,即使所述Information OAM PDU中携带链路故障信息,所述网络设备丢弃所述Information OAM PDU,从而避免根据链路故障信息触发故障处理。在认定所述第一慢协议报文为非法报文之后,还可以生成提示信息或者进行报警等。在本发明实施例中,当所述网络设备在预设周期内接收到的来自所述发送端设备的非法报文的数量大于或等于预设阈值,可以触发告警操作,例如将告警信息上报至网管设备。
通过上述技术方案可知,本发明实施例中,网络设备接收第一慢协议报文,所述第一慢协议报文携带所述第一慢协议报文的发送端设备的设备信息,网络设备确定所述网络设备与所述发送端设备之间已完成协商过程,查找所述网络设备在处于协商过程中存储的设备信息库中是否包括所述发送端设备的设备信息,如果是,则将所述第一慢协议报文认定为合法报文,如果否,则将所述第一慢协议报文认定为非法报文。可见,本发明实施例提供了一种对慢协议报文的验证方式,只有当慢协议报文验证成功时,才会认定为合法报文从而执行相应的操作,因此能够解决安全隐患从而提高安全性。
在本发明实施例中,所述网络设备在设备信息库中存储设备信息,下面对一种存储过程进行说明。
本实施例的所述方法还可以包括:
301:网络设备接收第二慢协议报文。
其中,所述第二慢协议报文携带所述第二慢协议报文的发送端设备的设备信息。所述第二慢协议报文为协商报文,也就是说,所述第二慢协议报文为所述网络设备在处于协商过程中接收到的协议报文。具体地,所述网络设备可以根据接收所述第二慢协议报文的所述网络设备的端口的端口信息,确定所述网络设备与所述第二慢协议报文的发送端设备之间未完成协商过程,从而确定所述第二慢协议报文为协商报文。
其中,所述第二慢协议报文的发送端设备的设备信息可以具体为所述第二慢协议报文的发送端设备的设备标识信息,用于唯一标识所述第二慢协议报文的发送端设备。其中,当所述第二慢协议报文为Information OAM PDU时,所述第二慢协议报文的发送端设备的设备信息可以包括所述第二慢协议报文的Source Address域和/或OUI域指示的信息;当所述第二慢协议报文为Marker PDU或者LACP PDU时,所述第二慢协议报文的发送端设备的设备信息可以包括所述第二慢协议报文的Source Address域和/或Actor_system域指示的信息。所述第二慢协议报文的发送端设备,与所述第一慢协议报文的发送端设备可以为相同的设备,也可以不同的设备。
302:所述网络设备确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程,在所述设备信息库中存储所述第二慢协议报文携带的所述发送端设备的设备信息。
可见,所述网络设备在协商成功时存储所述第二慢协议报文携带的所述发送端设备的设备信息,能够在工作过程中对接收到的慢协议报文进行验证,从而提高了安全性。
其中,需要说明的是,由于相同的端口所接收的慢协议报文,通常发自于相同的发送端设备,因此所述网络设备在所述设备信息中存储所述设备信息时,可以将设备信息与接收慢协议报文的端口的端口标识对应存储,也就是说建立所述设备信息与所述端口标识的映射关系。304中网络设备具体可以查找所述设备信息库中,接收所述第一慢协议报文的所述网络设备的端口的端口标识对应的设备信息,与所述第一慢协议报文携带的所述发送端设备的设备信息是否一致。下面举例说明。
所述网络设备从所述网络设备的端口1接收到第二慢协议报文,第二慢协议报文中携带的第二慢协议报文的发送端设备的设备信息为设备信息01,因此,网络设备在设备信息库将端口1与设备信息01对应存储。网络设备从所述网络设备的端口1接收到第一慢协议报文,第一慢协议报文中携带的第一慢协议报文的发送端设备的设备信息为设备信息02,网络设备首先根据第一慢协议报文的接收端口的端口标识,即端口1,在设备信息库中查找到端口1对应的设备信息为设备信息01,之后判断第一慢协议报文中携带的设备信息02与查找到的设备信息01是否一致,如果一致,则说明第一慢协议报文为合法报文。其中,由于网络设备从相同的端口,即端口1接收到第一慢协议报文和第二慢协议报文,因此所述第一慢协议报文的发送端设备和第二慢协议报文的发送端设备为相同的设备。此外,所述网络设备还可以将端口1、第二慢协议报文的协议类型与设备信息01三者对应存储,因此在设备信息库进行查找时,可以根据端口1和第一慢协议报文的协议类型查找对应的设备信息。
302中,所述网络设备确定与所述第二慢协议报文的发送端设备已完成协商过程,可以通过多种方式实现,下面具体说明。
在区分主动模式和被动模式的场景下,例如慢协议为OAM协议,并且所述网络设备工作在主动模式下。所述网络设备获取所述网络设备的配置信息与所述第二慢协议报文的发送端设备的配置信息的匹配结果,并且所述网络设备根据所述匹配结果,确定所述网络设备的配置信息与第二慢协议报文的发送端设备的配置信息相匹配,从而确定已完成协商过程。其中,可以是所述第二慢协议报文中还携带所述匹配结果,所述网络设备从所述第二慢协议报文中获取所述匹配结果;也可以是,所述第二慢协议报文中还携带所述第二慢协议报文的发送端设备的配置信息,所述网络设备根据所述网络设备的配置信息和所述第二协议报文中携带的所述配置信息,获取所述匹配结果。其中,配置信息能够表示设备所具有的功能,例如具体能够表示设备是否支持解析链路事件、当接收链路不工作时是否有能力发送OAMPDU,以及支持的最大OAMPDU的字节等等。
在区分主动模式和被动模式的场景下,例如慢协议为OAM协议,并且所述网络设备工作在被动模式下。所述网络设备接收所述第二慢协议报文的发送端设备发送的第三慢协议报文,并且所述第三慢协议报文中携带所述网络设备的配置信息和所述第二慢协议报文的发送端设备的配置信息,则确定已完成协商过程。
在不区分主动模式和被动模式的场景下,例如慢协议为Marker协议或者LACP时,所述第二慢协议报文还携带所述第二慢协议报文的发送端设备的配置信息,所述网络设备根据所述网络设备的配置信息和所述第二慢协议报文中携带的所述发送端设备的配置信息,确定所述网络设备和所述第二慢协议报文的发送端设备之间的活动接口,所述网络设备根据所述第二慢协议报文的发送端设备确定的活动接口,确定所述网络设备确定的活动接口与所述第二慢协议报文的发送端设备确定的活动接口是否一致,如果所述网络设备确定的活动接口与所述第二慢协议报文的发送端设备确定的活动接口一致,从而确定已完成协商过程。
下面分别以所述链路层协议为OAM协议和LACP为例,对本发明实施例进行详细说明。
请参阅图4,本发明实施例提供了慢协议报文处理方法的另一种方法实施例。本实施例的慢协议具体为OAM协议,慢协议报文具体为Information OAM PDU。
图5为本实施例的一种典型的应用场景,该应用场景包括客户侧边缘(英文:Customer Edge,简称:CE)设备和网络侧边缘(英文:Provider Edge,简称:PE)设备。其中,CE设备代表服务接入设备,可以为用户设备,PE设备为服务提供设备,可以为运营商设备。
该应用场景具体可以如图5所示,包括CE设备、PE1设备、PE2设备、PE3设备和PE4设备。其中,CE设备的端口port1和PE1设备的端口port2相连,CE设备和PE1设备构成EFM(Ethernet in the First Mile)连接,EFM又称为IEEE802.3ah协议,属于802协议族,PE1分别与PE2和PE4相连,PE2和PE4分别与PE3相连,PE3位于网络间互连协议(英文:InternetProtocol,简称:IP)或者多协议标签交换(英文:Multi-Protocol Label Switching,简称:MPLS)网络中。
本实施例的所述方法包括:
401:CE设备向PE1设备发送第一Information OAMPDU,第一Information OAMPDU携带有CE设备的配置信息,其中CE设备的配置信息能够表示CE设备所具有的功能,例如具体能够表示CE设备是否支持解析链路事件、当接收链路不工作时是否有能力发送OAMPDU,以及支持的最大OAMPDU的字节等等。
402:PE1设备接收到第一Information OAMPDU之后,从第一Information OAMPDU中获取CE设备的配置信息,并且根据CE设备的配置信息和本端获取的PE1设备的配置信息,获得PE1设备对CE设备的配置信息的匹配结果。
所述匹配结果用于表示PE1设备是否支持CE设备所具有的功能。例如匹配结果为1则表示PE1设备支持CE设备所具有的功能,匹配结果为0则表示PE1设备不支持CE设备所具有的功能。
403:PE1设备向CE设备发送第二Information OAMPDU,第二Information OAMPDU携带有CE设备的配置信息、PE1设备的配置信息以及所述匹配结果。
本发明实施例中,第二Information OAMPDU还携带有PE1设备的设备信息,其中,由于Information OAMPDU中的Source Address域和OUI域相结合后能够作为设备的唯一标识,具体可以将第二Information OAMPDU中的Source Address域和OUI域指示的信息作为PE1设备的设备信息。需要说明的是,本发明实施例中并没有在Information OAMPDU中添加新信息,而是利用Information OAMPDU原本存在的信息,例如Source Address域和OUI域指示的信息对PE1设备进行标识,其中补充说明的是,在Information OAMPDU中,SourceAddress域指示的信息会在转发时使用。
404:CE设备接收到第二Information OAMPDU之后,判断CE设备的配置信息和PE1设备的配置信息是否匹配,如果是,则执行405。
其中,CE设备可以是先根据第二Information OAMPDU中的匹配结果判断PE1设备是否支持CE设备所具有的功能,如果是,则可以直接执行405,如果否,则可以根据第二Information OAMPDU中携带的PE1设备的配置信息,和从本端获取的CE设备的配置信息,判断CE设备是否支持PE1设备所具有的功能,如果是,则可以执行405。
405:此时CE设备与PE1设备已完成协商过程,CE设备在设备信息库中存储第二Information OAMPDU中携带的PE1设备的设备信息,在CE设备与PE1设备连接的端口的端口信息中存储CE设备与PE1设备已完成协商过程的信息,并且CE设备进入SEND_ANY状态。
406:CE设备向PE1设备发送第三Information OAMPDU。其中,第三InformationOAMPDU包括CE设备的配置信息以及PE1设备的配置信息。
407:PE1设备接收到第三Information OAMPDU之后,确定与CE设备已完成协商过程,并且进入SEND_ANY状态。
其中,PE1设备在接收到第三Information OAMPDU之后,能够确定PE1设备与CE设备已完成协商过程,因此还可以在PE1的设备信息库中存储第三Information OAMPDU携带的CE设备的设备信息。
在本实施例中,第一Information OAMPDU、第二Information OAMPDU和第三Information OAMPDU均为协商报文。
408:PE1设备向CE设备发送第四Information OAMPDU,其中携带有PE1设备的设备信息以及链路故障信息。409:CE设备接收第四Information OAMPDU,根据接收所述第四Information OAMPDU的CE设备的端口的端口信息,即CE设备与PE1设备连接的端口的端口信息,确定CE设备与PE1设备已完成协商过程,查找CE设备的设备信息库中,是否包括第四Information OAMPDU中携带的PE1设备的设备信息,如果是,则表示PE1设备或者与PE1相连的其他设备没有受到攻击,第四Information OAMPDU并不是受到攻击后构造的协议报文,因此执行410。
如果否,则表示第四Information OAMPDU是受到攻击后构造的协议报文,此时CE设备可以丢弃第四Information OAMPDU。
410:CE设备根据第四Information OAMPDU中的链路故障信息触发故障处理操作,例如发送告警信息至网管等。
需要说明的是,本发明实施例中,可以是CE设备作为所述网络设备,CE设备接收到第四Information OAMPDU之后,对第四Information OAMPDU进行验证。或者,也可以是PE1设备作为所述网络设备,在执行407时PE1设备存储CE设备的设备信息,并且在进入SEND_ANY状态之后,PE1设备对CE设备发送的协议报文进行验证,具体过程与CE设备对第四Information OAMPDU的验证过程类似,这里不再赘述。
请参阅图6,本发明实施例提供了慢协议报文处理方法的另一种方法实施例。本实施例的慢协议具体为LACP,慢协议报文具体为LACP PDU。
本实施例具体可以用于如图5所示的应用场景中,具体可以用于CE设备和PE1设备之间,或者用于多个PE设备之间,例如PE1设备和PE2设备之间,下面以用于CE设备和PE1设备之间为例加以介绍。
601:CE设备向PE1设备发送第一LACP PDU,其中携带有CE设备的配置信息。
其中,第一LACP PDU中还可以携带有CE设备的设备信息。本实施例中的配置信息可以指的是Actor域、Partner域指示的信息。本实施例中的设备信息可以指的是SourceAddress域和Actor_system域指示的信息。
602:PE1设备向CE设备发送第二LACP PDU,其中携带有PE1设备的配置信息和PE1设备的设备信息。
其中,601和602的执行顺序不受限定。可以以先后顺序执行,也可以同时执行。
603:CE设备接收到第二LACP PDU之后,根据第二LACP PDU中的PE1设备的配置信息,以及本端获取的CE设备的配置信息,确定CE设备和PE1设备之间的活动接口。具体地,CE设备首先根据PE1设备的配置信息和CE设备的配置信息,确定主动端,再根据主动端确定CE设备和PE1设备之间的活动接口。其中,如果CE设备能够确定所述活动接口,并且CE设备确定的活动接口与PE1设备确定的活动接口一致,则表示CE设备和PE1设备协商成功,执行604,如果CE设备不能够确定活动接口,或者CE设备确定的活动接口与PE1设备确定的活动接口不一致,则表示CE设备和PE1设备未完成协商过程,此时可以结束流程或者重新协商。
604:CE设备在CE设备的设备信息库中存储第二LACP PDU中携带的PE1设备的设备信息,在CE设备与PE1设备连接的端口的端口信息中存储CE设备与PE1设备已完成协商过程的信息,并且CE设备进入COLLECTING_DISTRIBUTING状态。
其中,由于LACP PDU中的Source Address域和Actor_system域相结合后能够作为设备的唯一标识,具体可以将第二LACP PDU中的Source Address域和Actor_system域指示的信息作为PE1设备的设备信息。需要说明的是,本发明实施例中并没有在LACP PDU中添加新信息,而是利用LACP PDU原本存在的信息对PE1设备进行标识。其中补充说明的是,在LACP PDU中,Source Address域指示的信息会在转发时使用,Actor_system域指示的信息会在协商活动接口时使用。
605:PE1设备接收到第一LACP PDU之后,根据第一LACP PDU中的CE设备的配置信息,以及本端获取的PE1设备的配置信息,确定CE设备和PE1设备之间的活动接口。如果PE1设备能够确定所述活动接口,并且PE1设备确定的活动接口与CE设备确定的活动接口一致,则表示CE设备和PE1设备已完成协商过程,执行606,如果PE1设备不能够确定活动接口,或者PE1设备确定的活动接口与CE设备确定的活动接口一致,则表示CE设备和PE1设备未完成协商过程,此时可以结束流程或者重新协商。
606:PE1设备进入COLLECTING_DISTRIBUTING状态。
在606中,PE1设备还可以在PE1设备的设备信息库中存储第一LACP PDU中携带的CE设备的设备信息。
在本实施例中,第一LACP PDU和第二LACP PDU均为协商报文。
607:PE1设备向CE设备发送第三LACP PDU,其中携带有PE1设备在COLLECTING_DISTRIBUTING状态的配置信息以及PE1设备的设备信息。其中,PE1设备在COLLECTING_DISTRIBUTING状态的配置信息,相比PE1设备在协商过程的配置信息(即第二LACP PDU中携带的PE1设备的配置信息)不同,例如具体可以是PE1设备的Actor域指示的信息或者Partner域指示的信息不同。
608:CE设备接收第三LACP PDU,根据接收所述第三LACP PDU的CE设备的端口的端口信息,即CE设备与PE1设备连接的端口的端口信息,确定CE设备与PE1设备已完成协商过程,查找CE设备的设备信息库中,是否包括第三LACP PDU中携带的PE1设备的设备信息,如果是,则表示PE1设备或者与PE1设备相连的其它设备没有受到攻击,第三LACP PDU并不是受到攻击后构造的协议报文,因此执行609。
如果否,则表示第三LACP PDU是受到攻击后构造的协议报文,此时CE设备可以丢弃第三LACP PDU。
609:根据第三LACP PDU中携带的PE1设备的配置信息,触发CE设备和PE1设备链路重连,即重新确定CE设备和PE1设备之间的活动接口。
需要说明的是,本发明实施例中,可以是CE设备作为所述网络设备,CE设备接收到第三LACP PDU之后,对第三LACP PDU进行验证。或者,也可以是PE1设备作为所述网络设备,在执行606时PE1设备存储CE设备的设备信息,并且在进入COLLECTING_DISTRIBUTING状态之后,PE1设备对CE设备发送的LACP PDU进行验证,具体过程与CE设备对第三LACP PDU的验证过程类似,这里不再赘述。
本实施例的慢协议具体还可以为Marker协议,慢协议报文具体为Marker PDU。具体实现过程与本实施例中基于LACP的实现过程类似,这里不再赘述。
上面对本发明实施例中的慢协议报文处理方法的方法实施例进行了描述,下面将从模块化功能实体的角度对本发明实施例中的网络设备进行描述。
请参阅图7,本发明实施例提供了网络设备的一种装置实施例。本实施例的网络设备包括:接收单元701和处理单元702。
本实施例中,慢协议报文的目的MAC地址使用慢协议组播地址,慢协议组播地址的值为01-80-c2-00-00-02,慢协议报文的类型域的值为8809。慢协议具体可以为LACP、Marker协议或者OAM协议,当慢协议为OAM协议时,慢协议报文具体为Information OAMPDU,当慢协议为LACP时,慢协议报文具体为LACP PDU,当慢协议为Marker协议时,慢协议报文具体为Marker PDU。
在本实施例中,网络设备存储有设备信息库,设备信息库包括网络设备在处于协商过程中存储的设备信息。
接收单元701用于,接收第一慢协议报文,所述第一慢协议报文携带所述第一慢协议报文的发送端设备的设备信息。
所述第一慢协议报文的发送端设备的设备信息可以为所述第一慢协议报文的发送端设备的设备标识信息,用于唯一标识所述第一慢协议报文的发送端设备。其中,当所述第一慢协议报文为Information OAM PDU时,所述第一慢协议报文的发送端设备的设备信息可以包括所述第一慢协议报文的Source Address域指示的信息和OUI域指示的信息中的一个或多个;当所述第一慢协议报文为Marker PDU或者LACP PDU时,所述第一慢协议报文的发送端设备的设备信息可以包括所述第一慢协议报文的Source Address域指示的信息和Actor_system域指示的信息中的一个或多个。
在本实施例中,所述网络设备和所述第一慢协议报文的发送端设备可以通过通信链路直接连接或者通过透传设备相连。
处理单元702用于,根据接收单元701接收所述第一慢协议报文的所述网络设备的端口的端口信息确定所述网络设备与所述发送端设备之间已完成协商过程,根据所述第一慢协议报文携带的所述发送端设备的设备信息,查找所述网络设备在协商过程中存储的设备信息库中是否包括所述发送端设备的设备信息。
其中,所述设备信息库中包括所述网络设备处于协商过程中接收到的设备信息。具体地,本发明实施例中,所述网络设备在协商过程中接收到第二慢协议报文,在所述设备信息库中存储所述第二慢协议报文中携带的所述第二慢协议报文的发送端设备的设备信息。
所述网络设备与所述发送端设备之间完成协商过程之后,所述网络设备和所述发送端设备分别进入工作过程,其中,工作过程指的是协商过程之后进入的稳态过程。其中,当所述第一慢协议报文为Information OAM PDU时,所述工作过程可以为处于SEND_ANY状态的过程;当所述第一慢协议报文为Marker PDU或者LACP PDU时,所述工作过程可以为处于COLLECTING_DISTRIBUTING状态的过程。
处理单元702还用于,响应于所述设备信息库包括所述发送端设备的设备信息的结果,将所述第一慢协议报文认定为合法报文。
当认定所述第一慢协议报文为合法报文之后,可以进一步根据所述第一慢协议报文触发相应的操作,下面分别说明。
可选的,所述第一慢协议报文中还携带链路信息,所述链路信息用于指示所述网络设备与所述发送端设备之间的链路的链路状态;
所述处理单元702还用于,在响应于所述设备信息库包括所述发送端设备的设备信息的结果,将所述第一慢协议报文认定为合法报文后,根据所述链路信息触发第一操作;其中,所述第一操作包括以下操作中的至少一种:链路重连操作和故障处理操作。
可选的,所述第一慢协议报文中还携带所述发送端设备在工作过程的配置信息,所述发送端设备在工作过程的配置信息与所述发送端设备在协商过程的配置信息不同;
所述处理单元702还用于,在响应于所述设备信息库包括所述发送端设备的设备信息的结果,将所述第一慢协议报文认定为合法报文后,根据所述发送端设备在工作过程的配置信息触发第二操作;其中,所述第二操作包括:链路重连操作。
可选的,所述处理单元702还用于,响应于所述设备信息库不包括所述发送端设备的设备信息的结果,将所述第一慢协议报文认定为非法报文。
可选的,所述处理单元702还用于,在响应于所述设备信息库不包括所述发送端设备的设备信息的结果,将所述第一慢协议报文认定为非法报文后,丢弃所述第一慢协议报文。
可选的,所述处理单元702还用于,当所述接收单元在预设周期内接收到的来自所述发送端设备的非法报文的数量大于或等于预设阈值,触发告警操作。
在本发明实施例中,所述网络设备在设备信息库中存储设备信息,下面对一种存储过程进行说明。
可选的,所述接收单元701还用于,接收所述第一慢协议报文之前,接收第二慢协议报文,所述第二慢协议报文携带所述第二慢协议报文的发送端设备的设备信息,所述第二慢协议报文为协商报文;
所述处理单元702还用于,确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程,在所述设备信息库中存储所述第二慢协议报文携带的所述发送端设备的设备信息。
所述处理单元702确定与所述第二慢协议报文的发送端设备已完成协商过程,可以通过多种方式实现,下面具体说明。
可选的,所述网络设备工作在主动模式下;
当所述处理单元702用于确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程时,所述处理单元702具体用于,获取所述网络设备的配置信息与所述第二慢协议报文的发送端设备的配置信息的匹配结果,根据所述匹配结果,确定所述网络设备的配置信息与第二慢协议报文的发送端设备的配置信息相匹配。
可选的,所述网络设备工作在被动模式下;
当所述处理单元702用于确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程时,所述处理单元702具体用于,确定所述接收单元接收所述第二慢协议报文的发送端设备发送的第三慢协议报文,所述第三慢协议报文中携带所述网络设备的配置信息和所述第二慢协议报文的发送端设备的配置信息。
可选的,所述第二慢协议报文还携带所述第二慢协议报文的发送端设备的配置信息;
当所述处理单元702用于确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程时,所述处理单元702具体用于,根据所述网络设备的配置信息和所述第二慢协议报文中携带的所述发送端设备的配置信息,确定所述网络设备和所述第二慢协议报文的发送端设备之间的活动接口,根据所述第二慢协议报文的发送端设备确定的活动接口,确定所述网络设备确定的活动接口与所述第二慢协议报文的发送端设备确定的活动接口一致。
上面从模块化功能实体的角度对本发明实施例中的网络设备进行描述。下面将从硬件处理的角度对本发明实施例中的网络设备进行描述。
请参阅图8,本发明实施例提供了网络设备的一种装置实施例。本实施例的网络设备包括:处理器801、存储器802、接口803和总线804,其中接口803可以通过无线或有线的方式实现,具体来讲可以是例如网卡等元件,上述处理器801、存储器802和接口803通过总线804连接。其中,所述接口803进一步包括接收器8031和发射器8032。
其中,处理器801可以是一个中央处理器(简称:CPU),或者是专用集成电路(英文:Application Specific Integrated Circuit,简称:ASIC),或者是被配置成实施本申请实施例的一个或多个集成电路。
本实施例中,慢协议报文的目的MAC地址使用慢协议组播地址,慢协议组播地址的值为01-80-c2-00-00-02,慢协议报文的类型域的值为8809。慢协议具体可以为LACP、Marker协议或者OAM协议,当慢协议为OAM协议时,慢协议报文具体为Information OAMPDU,当慢协议为LACP时,慢协议报文具体为LACP PDU,当慢协议为Marker协议时,慢协议报文具体为Marker PDU。
在本实施例中,所述存储器802包括操作系统8021和应用程序8022,用于存储程序、代码或指令,当处理器或硬件设备执行这些程序、代码或指令时可以完成图1-图4和图6中涉及网络设备的处理过程。所述存储器802还存储有设备信息库,设备信息库包括网络设备在处于协商过程中存储的设备信息。存储器802可以包含高速随机存取存贮器(英文:Random Access Memory,简称:RAM),也可以包括非易失性存储器(英文:non-volatilememory),例如至少一个磁盘存储器。
所述接收器8031,用于接收第一慢协议报文,所述第一慢协议报文携带所述第一慢协议报文的发送端设备的设备信息。
所述第一慢协议报文的发送端设备的设备信息可以为所述第一慢协议报文的发送端设备的设备标识信息,用于唯一标识所述第一慢协议报文的发送端设备。其中,当所述第一慢协议报文为Information OAM PDU时,所述第一慢协议报文的发送端设备的设备信息可以包括所述第一慢协议报文的Source Address域指示的信息和OUI域指示的信息中的一个或多个;当所述第一慢协议报文为Marker PDU或者LACP PDU时,所述第一慢协议报文的发送端设备的设备信息可以包括所述第一慢协议报文的Source Address域指示的信息和Actor_system域指示的信息中的一个或多个。
在本实施例中,所述网络设备和所述第一慢协议报文的发送端设备可以通过通信链路直接连接或者通过透传设备相连。
同样道理,所述网络设备还可以通过所述发射器8032向所述发送端设备发送慢协议报文,以便,所述发送端设备实现对该慢协议报文的验证。
所述处理器801,用于根据接收所述第一慢协议报文的所述网络设备的端口的端口信息确定所述网络设备与所述发送端设备之间已完成协商过程,根据所述第一慢协议报文携带的所述发送端设备的设备信息,查找所述网络设备在协商过程中存储的设备信息库中是否包括所述发送端设备的设备信息,响应于所述设备信息库包括所述发送端设备的设备信息的结果,将所述第一慢协议报文认定为合法报文。
可选的,其中,所述第一慢协议报文中还携带链路信息,所述链路信息用于指示所述网络设备与所述发送端设备之间的链路的链路状态;
所述处理器801还用于,在响应于所述设备信息库包括所述发送端设备的设备信息的结果,将所述第一慢协议报文认定为合法报文后,根据所述链路信息触发第一操作;其中,所述第一操作包括以下操作中的至少一种:链路重连操作和故障处理操作。
可选的,其中,所述第一慢协议报文中还携带所述发送端设备在工作过程的配置信息,所述发送端设备在工作过程的配置信息与所述发送端设备在协商过程的配置信息不同;
所述处理器801还用于,在响应于所述设备信息库包括所述发送端设备的设备信息的结果,将所述第一慢协议报文认定为合法报文后,根据所述发送端设备在工作过程的配置信息触发第二操作;其中,所述第二操作包括:链路重连操作。
可选的,所述处理器801还用于,响应于所述设备信息库不包括所述发送端设备的设备信息的结果,将所述第一慢协议报文认定为非法报文。
可选的,所述处理器801还用于,在响应于所述设备信息库不包括所述发送端设备的设备信息的结果,将所述第一慢协议报文认定为非法报文后,丢弃所述第一慢协议报文。
可选的,所述处理器801还用于,当所述接收器在预设周期内接收到的来自所述发送端设备的非法报文的数量大于或等于预设阈值,触发告警操作。
可选的,所述接收器8031还用于,接收所述第一慢协议报文之前,接收第二慢协议报文,所述第二慢协议报文携带所述第二慢协议报文的发送端设备的设备信息,所述第二慢协议报文为协商报文;
所述处理器801还用于,确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程,在所述设备信息库中存储所述第二慢协议报文携带的所述发送端设备的设备信息。
可选的,所述网络设备工作在主动模式下;
当所述处理器801用于确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程时,所述处理器801具体用于,获取所述网络设备的配置信息与所述第二慢协议报文的发送端设备的配置信息的匹配结果,根据所述匹配结果,确定所述网络设备的配置信息与第二慢协议报文的发送端设备的配置信息相匹配。
可选的,所述网络设备工作在被动模式下;
当所述处理器801用于确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程时,所述处理器801具体用于,确定所述接收器接收所述第二慢协议报文的发送端设备发送的第三慢协议报文,所述第三慢协议报文中携带所述网络设备的配置信息和所述第二慢协议报文的发送端设备的配置信息。
可选的,所述第二慢协议报文还携带所述第二慢协议报文的发送端设备的配置信息;
当所述处理器801用于确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程时,所述处理器801具体用于,根据所述网络设备的配置信息和所述第二慢协议报文中携带的所述发送端设备的配置信息,确定所述网络设备和所述第二慢协议报文的发送端设备之间的活动接口,根据所述第二慢协议报文的发送端设备确定的活动接口,确定所述网络设备确定的活动接口与所述第二慢协议报文的发送端设备确定的活动接口一致。
本实施例提供的网络设备的各硬件部件,可以是基于图3所示的方法实施例和图7所示的装置实施例所具备的功能的具体实现,术语的定义和说明与图3所示的方法实施例和图7所示的装置实施例保持一致,此处不再赘述。
另外,本申请实施例提供了一种计算机存储介质,用于储存为上述网络设备所用的计算机软件指令,其包含用于执行上述图1-图4和图6所示实施例所设计的程序。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”或“第四”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (30)
1.一种慢协议报文处理方法,其特征在于,所述方法包括:
在网络设备与发送端设备之间的协商过程完成后,所述网络设备接收第一慢协议报文,所述第一慢协议报文携带所述第一慢协议报文的所述发送端设备的设备信息,所述第一慢协议报文的第一协议类型与所述协商过程中的协商报文的第二协议类型相同,所述第一协议类型用于指示所述第一慢协议报文所属的慢协议中的具体协议类型;
所述网络设备根据所述第一慢协议报文携带的所述发送端设备的设备信息,查找所述第一慢协议报文中的所述发送端设备的设备信息是否匹配所述网络设备在协商过程中存储的所述发送端设备的设备信息;
响应于所述第一慢协议报文中的所述发送端设备的设备信息不匹配所述网络设备在协商过程中存储的所述发送端设备的设备信息的结果,所述网络设备将所述第一慢协议报文认定为非法报文。
2.根据权利要求1所述的方法,其特征在于,在响应于所述第一慢协议报文中的所述发送端设备的设备信息不匹配所述网络设备在协商过程中存储的所述发送端设备的设备信息的结果,所述网络设备将所述第一慢协议报文认定为非法报文后,所述方法还包括:所述网络设备丢弃所述第一慢协议报文。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述网络设备在预设周期内接收到的来自所述发送端设备的非法报文的数量大于或等于预设阈值,触发告警操作。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述网络设备接收第一慢协议报文之前,所述方法还包括:
所述网络设备接收第二慢协议报文,所述第二慢协议报文携带所述第二慢协议报文的发送端设备的设备信息,所述第二慢协议报文为所述协商报文;
所述网络设备确定所述网络设备与所述第二慢协议报文的发送端设备已完成所述协商过程,在所述网络设备中存储所述第二慢协议报文携带的所述发送端设备的设备信息。
5.根据权利要求4所述的方法,其特征在于,所述网络设备工作在主动模式下;
所述网络设备确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程,包括:
所述网络设备获取所述网络设备的配置信息与所述第二慢协议报文的发送端设备的配置信息的匹配结果;
所述网络设备根据所述匹配结果,确定所述网络设备的配置信息与第二慢协议报文的发送端设备的配置信息相匹配。
6.根据权利要求4所述的方法,其特征在于,所述网络设备工作在被动模式下;
所述网络设备确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程,包括:
所述网络设备接收所述第二慢协议报文的发送端设备发送的第三慢协议报文,所述第三慢协议报文中携带所述网络设备的配置信息和所述第二慢协议报文的发送端设备的配置信息。
7.根据权利要求4所述的方法,其特征在于,所述第二慢协议报文还携带所述第二慢协议报文的发送端设备的配置信息;
所述网络设备确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程,包括:
网络设备根据所述网络设备的配置信息和所述第二慢协议报文中携带的所述发送端设备的配置信息,确定所述网络设备和所述第二慢协议报文的发送端设备之间的活动接口;
所述网络设备根据所述第二慢协议报文的发送端设备确定的活动接口,确定所述网络设备确定的活动接口与所述第二慢协议报文的发送端设备确定的活动接口一致。
8.根据权利要求1至7任一项所述的方法,其特征在于,所述网络设备和所述第一慢协议报文的发送端设备直接连接或者通过透传设备相连。
9.根据权利要求1至8任一项所述的方法,其特征在于,所述第一慢协议报文的目的媒体接入控制MAC地址的值为01-80-c2-00-00-02,所述第一慢协议报文的类型域的值为8809。
10.根据权利要求1至9任一项所述的方法,其特征在于,所述第一慢协议报文为操作、管理和维护OAM协议报文,所述第一慢协议报文的发送端设备的设备信息包括:所述第一慢协议报文的源地址Source Address域指示的信息和组织唯一标识符OUI域指示的信息中的一个或多个;或者,
所述第一慢协议报文为Marker协议报文或者链路汇聚控制协议LACP报文,所述第一慢协议报文的发送端设备的设备信息包括:所述第一慢协议报文的源地址Source Address域指示的信息和Actor_system域指示的信息中的一个或多个。
11.一种网络设备,其特征在于,所述网络设备包括:
接收单元,用于在所述网络设备与发送端设备之间的协商过程完成后,接收第一慢协议报文,所述第一慢协议报文携带所述第一慢协议报文的所述发送端设备的设备信息,所述第一慢协议报文的第一协议类型与所述协商过程中的协商报文的第二协议类型相同,所述第一协议类型用于指示所述第一慢协议报文所属的慢协议中的具体协议类型;
处理单元,用于根据所述第一慢协议报文携带的所述发送端设备的设备信息,查找所述第一慢协议报文中的所述发送端设备的设备信息是否匹配所述网络设备在协商过程中存储的所述发送端设备的设备信息,响应于所述第一慢协议报文中的所述发送端设备的设备信息不匹配所述网络设备在协商过程中存储的所述发送端设备的设备信息的结果,将所述第一慢协议报文认定为非法报文。
12.根据权利要求11所述的网络设备,其特征在于,所述处理单元还用于,在响应于所述第一慢协议报文中的所述发送端设备的设备信息不匹配所述网络设备在协商过程中存储的所述发送端设备的设备信息的结果,将所述第一慢协议报文认定为非法报文后,丢弃所述第一慢协议报文。
13.根据权利要求11所述的网络设备,其特征在于,所述处理单元还用于,当所述接收单元在预设周期内接收到的来自所述发送端设备的非法报文的数量大于或等于预设阈值,触发告警操作。
14.根据权利要求11-13任一项所述的网络设备,其特征在于,
所述接收单元还用于,接收所述第一慢协议报文之前,接收第二慢协议报文,所述第二慢协议报文携带所述第二慢协议报文的发送端设备的设备信息,所述第二慢协议报文为所述协商报文;
所述处理单元还用于,确定所述网络设备与所述第二慢协议报文的发送端设备已完成所述协商过程,在所述网络设备中存储所述第二慢协议报文携带的所述发送端设备的设备信息。
15.根据权利要求14所述的网络设备,其特征在于,所述网络设备工作在主动模式下;
当所述处理单元用于确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程时,所述处理单元具体用于,获取所述网络设备的配置信息与所述第二慢协议报文的发送端设备的配置信息的匹配结果,根据所述匹配结果,确定所述网络设备的配置信息与第二慢协议报文的发送端设备的配置信息相匹配。
16.根据权利要求14所述的网络设备,其特征在于,所述网络设备工作在被动模式下;
当所述处理单元用于确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程时,所述处理单元具体用于,确定所述接收单元接收所述第二慢协议报文的发送端设备发送的第三慢协议报文,所述第三慢协议报文中携带所述网络设备的配置信息和所述第二慢协议报文的发送端设备的配置信息。
17.根据权利要求14所述的网络设备,其特征在于,所述第二慢协议报文还携带所述第二慢协议报文的发送端设备的配置信息;
当所述处理单元用于确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程时,所述处理单元具体用于,根据所述网络设备的配置信息和所述第二慢协议报文中携带的所述发送端设备的配置信息,确定所述网络设备和所述第二慢协议报文的发送端设备之间的活动接口,根据所述第二慢协议报文的发送端设备确定的活动接口,确定所述网络设备确定的活动接口与所述第二慢协议报文的发送端设备确定的活动接口一致。
18.根据权利要求11至17任一项所述的网络设备,其特征在于,所述网络设备和所述第一慢协议报文的发送端设备直接连接或者通过透传设备相连。
19.根据权利要求11至18任一项所述的网络设备,其特征在于,所述第一慢协议报文的目的媒体接入控制MAC地址的值为01-80-c2-00-00-02,所述第一慢协议报文的类型域的值为8809。
20.根据权利要求11至19任一项所述的网络设备,其特征在于,所述第一慢协议报文为操作、管理和维护OAM协议报文,所述第一慢协议报文的发送端设备的设备信息包括:所述第一慢协议报文的源地址Source Address域指示的信息和组织唯一标识符OUI域指示的信息中的一个或多个;或者,
所述第一慢协议报文为Marker协议报文或者链路汇聚控制协议LACP报文,所述第一慢协议报文的发送端设备的设备信息包括:所述第一慢协议报文的源地址Source Address域指示的信息和Actor_system域指示的信息中的一个或多个。
21.一种网络设备,其特征在于,所述网络设备包括接收器和处理器,所述接收器和所述处理器相连;
所述接收器,用于在所述网络设备与发送端设备之间的协商过程完成后,接收第一慢协议报文,所述第一慢协议报文携带所述第一慢协议报文的所述发送端设备的设备信息,所述第一慢协议报文的第一协议类型与所述协商过程中的协商报文的第二协议类型相同,所述第一协议类型用于指示所述第一慢协议报文所属的慢协议中的具体协议类型;
所述处理器,用于根据所述第一慢协议报文携带的所述发送端设备的设备信息,查找所述第一慢协议报文中的所述发送端设备的设备信息是否匹配所述网络设备在协商过程中存储的所述发送端设备的设备信息,响应于所述第一慢协议报文中的所述发送端设备的设备信息不匹配所述网络设备在协商过程中存储的所述发送端设备的设备信息的结果,将所述第一慢协议报文认定为非法报文。
22.根据权利要求21所述的网络设备,其特征在于,所述处理器还用于,在响应于所述第一慢协议报文中的所述发送端设备的设备信息不匹配所述网络设备在协商过程中存储的所述发送端设备的设备信息的结果,将所述第一慢协议报文认定为非法报文后,丢弃所述第一慢协议报文。
23.根据权利要求21所述的网络设备,其特征在于,所述处理器还用于,当所述接收器在预设周期内接收到的来自所述发送端设备的非法报文的数量大于或等于预设阈值,触发告警操作。
24.根据权利要求21-23任一项所述的网络设备,其特征在于,
所述接收器还用于,接收所述第一慢协议报文之前,接收第二慢协议报文,所述第二慢协议报文携带所述第二慢协议报文的发送端设备的设备信息,所述第二慢协议报文为所述协商报文;
所述处理器还用于,确定所述网络设备与所述第二慢协议报文的发送端设备已完成所述协商过程,在所述网络设备中存储所述第二慢协议报文携带的所述发送端设备的设备信息。
25.根据权利要求24所述的网络设备,其特征在于,所述网络设备工作在主动模式下;
当所述处理器用于确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程时,所述处理器具体用于,获取所述网络设备的配置信息与所述第二慢协议报文的发送端设备的配置信息的匹配结果,根据所述匹配结果,确定所述网络设备的配置信息与第二慢协议报文的发送端设备的配置信息相匹配。
26.根据权利要求24所述的网络设备,其特征在于,所述网络设备工作在被动模式下;
当所述处理器用于确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程时,所述处理器具体用于,确定所述接收器接收所述第二慢协议报文的发送端设备发送的第三慢协议报文,所述第三慢协议报文中携带所述网络设备的配置信息和所述第二慢协议报文的发送端设备的配置信息。
27.根据权利要求24所述的网络设备,其特征在于,所述第二慢协议报文还携带所述第二慢协议报文的发送端设备的配置信息;
当所述处理器用于确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程时,所述处理器具体用于,根据所述网络设备的配置信息和所述第二慢协议报文中携带的所述发送端设备的配置信息,确定所述网络设备和所述第二慢协议报文的发送端设备之间的活动接口,根据所述第二慢协议报文的发送端设备确定的活动接口,确定所述网络设备确定的活动接口与所述第二慢协议报文的发送端设备确定的活动接口一致。
28.根据权利要求21至27任一项所述的网络设备,其特征在于,所述网络设备和所述第一慢协议报文的发送端设备直接连接或者通过透传设备相连。
29.根据权利要求21至28任一项所述的网络设备,其特征在于,所述第一慢协议报文的目的媒体接入控制MAC地址的值为01-80-c2-00-00-02,所述第一慢协议报文的类型域的值为8809。
30.根据权利要求21至29任一项所述的网络设备,其特征在于,所述第一慢协议报文为操作、管理和维护OAM协议报文,所述第一慢协议报文的发送端设备的设备信息包括:所述第一慢协议报文的源地址Source Address域指示的信息和组织唯一标识符OUI域指示的信息中的一个或多个;或者,
所述第一慢协议报文为Marker协议报文或者链路汇聚控制协议LACP报文,所述第一慢协议报文的发送端设备的设备信息包括:所述第一慢协议报文的源地址Source Address域指示的信息和Actor_system域指示的信息中的一个或多个。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110114289.XA CN112887312B (zh) | 2016-12-29 | 2016-12-29 | 一种慢协议报文处理方法及相关装置 |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110114289.XA CN112887312B (zh) | 2016-12-29 | 2016-12-29 | 一种慢协议报文处理方法及相关装置 |
CN201611249141.2A CN108259442B (zh) | 2016-12-29 | 2016-12-29 | 一种慢协议报文处理方法及相关装置 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611249141.2A Division CN108259442B (zh) | 2016-12-29 | 2016-12-29 | 一种慢协议报文处理方法及相关装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112887312A true CN112887312A (zh) | 2021-06-01 |
CN112887312B CN112887312B (zh) | 2022-07-22 |
Family
ID=62707868
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611249141.2A Active CN108259442B (zh) | 2016-12-29 | 2016-12-29 | 一种慢协议报文处理方法及相关装置 |
CN202110114289.XA Active CN112887312B (zh) | 2016-12-29 | 2016-12-29 | 一种慢协议报文处理方法及相关装置 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611249141.2A Active CN108259442B (zh) | 2016-12-29 | 2016-12-29 | 一种慢协议报文处理方法及相关装置 |
Country Status (4)
Country | Link |
---|---|
US (2) | US10728260B2 (zh) |
EP (2) | EP3474491B1 (zh) |
CN (2) | CN108259442B (zh) |
WO (1) | WO2018120799A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108259442B (zh) * | 2016-12-29 | 2021-02-12 | 华为技术有限公司 | 一种慢协议报文处理方法及相关装置 |
CN112398731B (zh) * | 2019-08-15 | 2022-05-13 | 华为技术有限公司 | 一种处理报文的方法和第一网络设备 |
CN111181845B (zh) * | 2019-12-31 | 2022-03-15 | 苏州盛科通信股份有限公司 | 实现lacp主备高可用性的方法和基于lacp的堆叠系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101340440A (zh) * | 2008-08-11 | 2009-01-07 | 中兴通讯股份有限公司 | 一种防御网络攻击的方法及其装置 |
US20090109998A1 (en) * | 2007-10-29 | 2009-04-30 | Alcatel Lucent | Facilitating self configuring link aggregation using link aggregation control protocol |
CN101651582A (zh) * | 2009-09-24 | 2010-02-17 | 中兴通讯股份有限公司 | 检测多协议标签交换网络链路连通性的方法及系统 |
CN102082678A (zh) * | 2009-12-01 | 2011-06-01 | 杭州华三通信技术有限公司 | 一种端口取消oam协议的处理方法和设备 |
CN102857521A (zh) * | 2012-10-12 | 2013-01-02 | 盛科网络(苏州)有限公司 | 设置oam安全认证的方法及装置 |
CN103297400A (zh) * | 2012-03-01 | 2013-09-11 | 中兴通讯股份有限公司 | 基于双向转发检测协议的安全联盟管理方法及系统 |
CN103684792A (zh) * | 2013-12-23 | 2014-03-26 | 加弘科技咨询(上海)有限公司 | 一种oam的安全认证方法以及oam报文发送/接收装置 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6618393B1 (en) * | 1998-08-26 | 2003-09-09 | 3Com Corporation | Method and apparatus for transparent support of network protocols with header translation |
US6226680B1 (en) * | 1997-10-14 | 2001-05-01 | Alacritech, Inc. | Intelligent network interface system method for protocol processing |
JPH11243419A (ja) * | 1998-02-26 | 1999-09-07 | Fujitsu Ltd | Tcpレイヤのレート制御方式 |
US7516211B1 (en) * | 2003-08-05 | 2009-04-07 | Cisco Technology, Inc. | Methods and apparatus to configure a communication port |
KR100675836B1 (ko) * | 2004-12-10 | 2007-01-29 | 한국전자통신연구원 | Epon 구간내에서의 링크 보안을 위한 인증 방법 |
US7822026B2 (en) * | 2005-12-15 | 2010-10-26 | Allied Telesis, Inc. | Transit devices and system including a slow protocol filter and methods of transmitting information within a transit device or system using a slow protocol filter |
JP4584846B2 (ja) * | 2006-02-17 | 2010-11-24 | アラクサラネットワークス株式会社 | ネットワーク中継装置およびパケットの転送方法 |
US8503468B2 (en) * | 2008-11-05 | 2013-08-06 | Fusion-Io, Inc. | PCI express load sharing network interface controller cluster |
US8776207B2 (en) * | 2011-02-16 | 2014-07-08 | Fortinet, Inc. | Load balancing in a network with session information |
WO2012119372A1 (zh) * | 2011-08-05 | 2012-09-13 | 华为技术有限公司 | 一种报文处理方法、设备和系统 |
US9497132B2 (en) * | 2013-04-23 | 2016-11-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system of implementing conversation-sensitive collection for a link aggregation group |
CN104468246B (zh) * | 2015-01-06 | 2017-12-12 | 烽火通信科技股份有限公司 | Epon olt互通系统的oam能力集协商与管理的方法 |
CN105791004A (zh) * | 2016-02-23 | 2016-07-20 | 武汉长光科技有限公司 | 一种直接用oam管理光接收机的系统及方法 |
CN108259442B (zh) * | 2016-12-29 | 2021-02-12 | 华为技术有限公司 | 一种慢协议报文处理方法及相关装置 |
-
2016
- 2016-12-29 CN CN201611249141.2A patent/CN108259442B/zh active Active
- 2016-12-29 CN CN202110114289.XA patent/CN112887312B/zh active Active
-
2017
- 2017-07-24 EP EP17886988.9A patent/EP3474491B1/en active Active
- 2017-07-24 EP EP20205620.6A patent/EP3846385B1/en active Active
- 2017-07-24 WO PCT/CN2017/094163 patent/WO2018120799A1/zh unknown
-
2019
- 2019-03-21 US US16/360,917 patent/US10728260B2/en active Active
-
2020
- 2020-06-11 US US16/899,177 patent/US11038898B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090109998A1 (en) * | 2007-10-29 | 2009-04-30 | Alcatel Lucent | Facilitating self configuring link aggregation using link aggregation control protocol |
CN101340440A (zh) * | 2008-08-11 | 2009-01-07 | 中兴通讯股份有限公司 | 一种防御网络攻击的方法及其装置 |
CN101651582A (zh) * | 2009-09-24 | 2010-02-17 | 中兴通讯股份有限公司 | 检测多协议标签交换网络链路连通性的方法及系统 |
CN102082678A (zh) * | 2009-12-01 | 2011-06-01 | 杭州华三通信技术有限公司 | 一种端口取消oam协议的处理方法和设备 |
CN103297400A (zh) * | 2012-03-01 | 2013-09-11 | 中兴通讯股份有限公司 | 基于双向转发检测协议的安全联盟管理方法及系统 |
CN102857521A (zh) * | 2012-10-12 | 2013-01-02 | 盛科网络(苏州)有限公司 | 设置oam安全认证的方法及装置 |
CN103684792A (zh) * | 2013-12-23 | 2014-03-26 | 加弘科技咨询(上海)有限公司 | 一种oam的安全认证方法以及oam报文发送/接收装置 |
Non-Patent Citations (1)
Title |
---|
KYEONG-SOO HAN: "The disign and implementation of MAC security in EPON", 《IEEE》 * |
Also Published As
Publication number | Publication date |
---|---|
CN108259442A (zh) | 2018-07-06 |
WO2018120799A1 (zh) | 2018-07-05 |
EP3846385A1 (en) | 2021-07-07 |
EP3474491A1 (en) | 2019-04-24 |
US10728260B2 (en) | 2020-07-28 |
US11038898B2 (en) | 2021-06-15 |
US20200304520A1 (en) | 2020-09-24 |
CN112887312B (zh) | 2022-07-22 |
EP3474491A4 (en) | 2019-08-28 |
CN108259442B (zh) | 2021-02-12 |
US20190222584A1 (en) | 2019-07-18 |
EP3474491B1 (en) | 2020-12-02 |
EP3846385B1 (en) | 2023-10-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107682284B (zh) | 发送报文的方法和网络设备 | |
US11374857B2 (en) | Network device management method and apparatus, and system for indicating a network device to perform management operation | |
US8085670B2 (en) | Method and system for originating connectivity fault management (CFM) frames on non-CFM aware switches | |
EP2782309B1 (en) | Bidirectional forwarding detection (bfd) session negotiation method, device and system | |
EP2536066A1 (en) | Link detecting method, apparatus and system | |
CN107483279B (zh) | 一种基于以太网帧的本地批量操作网络设备的方法 | |
US11038898B2 (en) | Slow protocol packet processing method and related apparatus | |
US8432833B2 (en) | Auto MEP ID assignment within CFM maintenance association | |
WO2014032435A1 (zh) | 故障点位置信息处理方法及设备 | |
WO2011032321A1 (zh) | 一种数据转发方法、数据处理方法、系统以及相关设备 | |
WO2021093797A1 (zh) | 一种信息上报方法和信息处理方法及设备 | |
WO2021135419A1 (zh) | 更新路由信息的方法、装置、计算机设备和存储介质 | |
US11817970B2 (en) | Method, device, and system for determining generic routing encapsulation GRE tunnel identifier | |
EP4117242A1 (en) | Message detection method, device and system | |
CN107911495B (zh) | 一种mac地址同步方法和vtep | |
WO2015024523A1 (zh) | 确定ip承载网故障的方法和系统 | |
CN114125910A (zh) | 隧道保活方法、网络设备、系统及存储介质 | |
CN108282383B (zh) | 一种实现故障处理的方法及设备 | |
CN107528929A (zh) | Arp条目的处理方法及装置 | |
WO2015051696A1 (zh) | 一种传输oam报文的方法及装置 | |
KR20160062688A (ko) | 오버레이 네트워크 기반에서의 오리지널 패킷 플로우 매핑 장치 및 그 방법 | |
CN106067864B (zh) | 一种报文处理方法及装置 | |
WO2017020287A1 (zh) | 链路检测的方法和装置 | |
CN113286012B (zh) | 一种arp表项维护方法及装置 | |
JPH10336228A (ja) | 中継装置及びネットワーク管理装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |