CN113645133A - 报文转发方法、装置、网络设备及计算机可读存储介质 - Google Patents
报文转发方法、装置、网络设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN113645133A CN113645133A CN202111101486.4A CN202111101486A CN113645133A CN 113645133 A CN113645133 A CN 113645133A CN 202111101486 A CN202111101486 A CN 202111101486A CN 113645133 A CN113645133 A CN 113645133A
- Authority
- CN
- China
- Prior art keywords
- label
- message
- target
- code segment
- forwarding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/24—Multipath
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
- H04L45/507—Label distribution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种报文转发方法、装置、网络设备及计算机可读存储介质。方法包括:接收带标签的报文;判断报文携带的当前标签是否为本设备预先向上游网络设备分配的目标标签,得到判断结果,目标标签包括与本设备中的目标接口集合对应的第一码段,以及与指定转发等价类对应的第二码段,其中,一个上游网络设备仅与一个接口集合对应;对报文执行与判断结果对应的处理操作。在本方案中,通过判断报文的当前标签是否为目标标签,有利于快速判断报文是否安全,以提高报文转发的安全性。另外,若当前标签为目标标签,便可以从当前标签的第一码段识别出上游网络设备,从而提高报文转发的可监控性。
Description
技术领域
本申请涉及数据通信领域,具体而言,涉及一种报文转发方法、装置、网络设备及计算机可读存储介质。
背景技术
随着用户对网络安全和网络监控越来越重视,对MPLS(Multi-Protocol LabelSwitching,多协议标签交换)网络的安全性和可监控性提出了更高的要求。目前MPLS网络在一些方面仍然存在安全隐患,例如,ILM(Incoming Label Map,入标签映射)中没有对应的上游信息和入接口信息,即使不是从上游收到的MPLS报文,只要能够匹配找到ILM也会被处理转发,MPLS报文的合法性无法检查,这会给MPLS网络带来安全性问题,如果从非上游网络设备收到大量伪造MPLS报文的恶意攻击,就会导致该网络设备因忙于处理这种恶意报文而影响正常报文的处理。
发明内容
本申请实施例的目的在于提供一种报文转发方法、装置、网络设备及计算机可读存储介质,有利于提高MPLS网络转发报文的安全性及可监控性。
为了实现上述目的,本申请的实施例通过如下方式实现:
第一方面,本申请实施例提供一种报文转发方法,应用于MPLS网络中的网络设备,所述方法包括:接收带标签的报文;判断所述报文携带的当前标签是否为本设备预先向上游网络设备分配的目标标签,得到判断结果,所述目标标签包括与本设备中的目标接口集合对应的第一码段,以及与指定转发等价类对应的第二码段,其中,所述目标接口集合中的接口为本设备中的与标签分发协议会话对应的接口,一个上游网络设备仅与一个接口集合对应;对所述报文执行与所述判断结果对应的处理操作。
在上述的实施方式中,上游网络设备发送的报文中,通常会携带当前标签,该当前标签不一定为目标标签。目标标签为本设备发送至上游网络设备的标签,携带有与目标接口集合对应码段,可以用于对报文的安全进行验证,即,通过判断报文的当前标签是否为目标标签,有利于快速判断报文是否安全,以提高报文转发的安全性。另外,若当前标签为目标标签,便可以从当前标签的第一码段识别出上游网络设备,从而提高报文转发的可监控性。
结合第一方面,在一些可选的实施方式中,在接收带标签的报文之前,所述方法还包括:
在本设备建立标签分发协议会话时,分配与所述标签分发协议会话对应的唯一标识符,所述唯一标识符与本设备的所述目标接口集合关联;
基于所述MPLS网络的路由信息,创建所述指定转发等价类;
向本设备的所有上游网络设备发送对应的目标标签,每个所述目标标签包括与所述唯一标识符对应的第一码段,以及与所述指定转发等价类对应的第二码段。
在上述的实施方式中,本设备通过预先创建目标标签,然后将目标标签发送至上游网络设备,如此,方便上游网络设备在接收到报文时,根据报文的目的地址查找相应的路由信息封装相应的当前标签,如目标标签。本设备在后续收到上游网络设备发送的报文时,通过对报文中的当前标签进行检测,有利于快速对报文的安全性进行判断,若报文携带有目标标签,还可以对发送报文的上游网络设备进行识别。
结合第一方面,在一些可选的实施方式中,所述方法还包括:
当所述标签分发协议会话结束时,删除所述标签分发协议会话与所述唯一标识符的对应关系,以及删除所述唯一标识符与本设备的所述目标接口集合的关联关系。
在上述的实施方式中,通过删除对应关系、关联关系,可以实现唯一标识符的回收,以便于下次分配给其他标签分发协议会话。
结合第一方面,在一些可选的实施方式中,判断所述报文携带的当前标签是否为本设备预先向上游网络设备分配的目标标签,得到判断结果,包括:
当接收所述报文的接口不是所述目标接口集合中的任一接口,或者所述当前标签中不包括所述第一码段,或者所述当前标签中不包括所述第二码段时,得到表示所述当前标签不是所述目标标签的判断结果;
当接收所述报文的接口是所述目标接口集合中的任一接口,且所述当前标签中包括所述第一码段及所述第二码段时,得到表示所述当前标签是所述目标标签的判断结果。
结合第一方面,在一些可选的实施方式中,对所述报文执行与所述判断结果对应的处理操作,包括:
当所述判断结果表示所述当前标签不是所述目标标签时,丢弃所述报文;
当所述判断结果表示所述当前标签是所述目标标签时,转发所述报文。
在上述的实施方式中,若本设备接收的报文所携带的当前标签不是目标标签,则表示报文为可疑报文,若当前标签是目标标签,表示报文是安全的,如此,通过判断报文的当前标签是否为目标标签,有利于快速判断报文是否安全,从而提高网络安全。
结合第一方面,在一些可选的实施方式中,当所述判断结果表示所述当前标签是所述目标标签时,转发所述报文,包括:
当所述判断结果表示所述当前标签是所述目标标签,且本设备为在所述MPLS网络中的与指定转发等价类对应的最后一跳网络设备时,根据所述报文的目的地址转发所述报文。
结合第一方面,在一些可选的实施方式中,当所述判断结果表示所述当前标签是所述目标标签时,转发所述报文,包括:
当所述判断结果表示所述当前标签是所述目标标签,且本设备不是所述MPLS网络中的与指定转发等价类对应的最后一跳网络设备时,从所述报文中删除所述当前标签,并添加新的当前标签,所述新的当前标签为本设备的下一跳网络设备发送至本设备的与指定转发等价类对应的当前标签;
根据所述新的当前标签,转发添加所述新的当前标签后的报文。
第二方面,本申请还提供一种报文转发装置,应用于MPLS网络中的网络设备,所述装置包括:
接收单元,用于接收带标签的报文;
判断单元,用于判断所述报文携带的当前标签是否为本设备预先向上游网络设备分配的目标标签,得到判断结果,所述目标标签包括与本设备中的目标接口集合对应的第一码段,以及与指定转发等价类对应的第二码段,其中,所述目标接口集合中的接口为本设备中的与标签分发协议会话对应的接口,一个上游网络设备仅与一个接口集合对应;
转发处理单元,对所述报文执行与所述判断结果对应的处理操作。
第三方面,本申请还提供一种网络设备,包括相互耦合的处理器及存储器,所述存储器内存储计算机程序,当所述计算机程序被所述处理器执行时,使得所述网络设备执行上述的方法。
第四方面,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行上述的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的网络系统的通信连接示意图。
图2为本申请实施例提供的网络设备的结构示意图。
图3为本申请实施例提供的报文转发方法的流程示意图。
图4为本申请实施例提供的报文转发装置的框图。
图标:10-网络系统;21-网络设备;22-网络设备;23-网络设备;24-网络设备;25-网络设备;26-网络设备;30-网络设备;31-处理模块;32-存储模块;33-通信模块;200-报文转发装置;210-接收单元;220-判断单元;230-转发处理单元。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。需要说明的是,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参照图1,在基于MPLS(Multi-Protocol Label Switching,多协议标签交换)网络的网络系统10中,该网络系统10可以包括多个网络设备,每个网络设备作为MPLS网络中用于转发数据的节点。示例性地,图1所示的网络系统10包括网络设备21、网络设备22、网络设备23、网络设备24、网络设备25、网络设备26等。其中,网络设备可以是交换机、路由器等。
在网络系统10中,处于MPLS网络边缘的网络设备为边缘节点,称为标签边缘路由器(Label Edge Router,LER),边缘节点可以与其他网络或其他设备通信连接,以进行数据交互。
在网络系统10中,未处于MPLS网络边缘的网络设备为中间节点,称为标签交换路由器(Label Switching Router,LSR)。中间节点可以与MPLS网络中的边缘节点、其他中间节点连接,以进行数据交互。
例如,在图1中,网络设备21及网络设备24为边缘节点,网络设备22、网络设备23、网络设备25、网络设备26为中间节点。
需要说明的是,网络系统10中所包括的网络设备的数量可以根据实际情况进行灵活确定,这里不作具体限定。
请参照图2,本申请还提供一种网络设备30,该网络设备30可以为网络系统10中的除去传输业务最上游的网络设备之外的任一设备。例如,假设,在图1所示的网络系统10中,传输业务的传输方向如箭头所示,传输业务最上游的为网络设备21。网络设备30可以为网络系统10中除去网络设备21之外的任一网络设备。
网络设备30可以包括处理模块31及存储模块32。存储模块32内存储计算机程序,当计算机程序被所述处理模块31执行时,使得网络设备30能够执行下述报文转发方法中的各步骤。
网络设备30还可以包括其模块,例如,还可以包括通信模块33。处理模块31、存储模块32以及通信模块33各个元件之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
请参照图3,本申请还提供一种报文转发方法,可以应用于上述的网络设备30中,由网络设备30执行或实现方法的各步骤。方法可以包括如下步骤:
步骤S110,接收带标签的报文;
步骤S120,判断所述报文携带的当前标签是否为本设备预先向上游网络设备分配的目标标签,得到判断结果,所述目标标签包括与本设备中的目标接口集合对应的第一码段,以及与指定FEC(Forwarding Equivalence Class,转发等价类)对应的第二码段,所述目标接口集合中的接口为本设备中的与LDP(Label Distribution Protocol,标签分发协议)会话对应的接口,一个上游网络设备仅与一个接口集合对应;
步骤S130,对所述报文执行与所述判断结果对应的处理操作。
在上述的实施方式中,上游网络设备发送的报文中,通常会携带当前标签,该当前标签不一定为目标标签。目标标签为本设备发送至上游网络设备的标签,携带有与目标接口集合对应码段,可以用于对报文的安全进行验证,即,通过判断报文的当前标签是否为目标标签,有利于快速判断报文是否安全,以提高报文转发的安全性。另外,若当前标签为目标标签,便可以从当前标签的第一码段识别出上游网络设备,从而提高报文转发的可监控性。
下面将对方法的各步骤进行详细阐述,如下:
在步骤S110之前,方法可以包括:
在本设备建立LDP会话时,分配与所述LDP会话对应的唯一标识符,所述唯一标识符与本设备的所述目标接口集合关联;
基于所述MPLS网络的路由信息,创建所述指定FEC;
向本设备的所有上游网络设备发送对应的目标标签,每个所述目标标签包括与所述唯一标识符对应的第一码段,以及与所述指定FEC对应的第二码段。
可理解地,本设备的上游网络设备是指在MPLS网络中,与本设备中指定FEC对应的路由的非下一跳设备。在MPLS网络的LDP会话中,一个LDP会话可以对应多个LDP链路邻接体,一个LDP链路邻接体仅对应一个LDP会话,一个LDP链路邻接体仅对应本设备中的一个接口,基于此,一个LDP会话可以对应本设备的多个接口。在本设备中,与LDP会话对应的多个接口均为本设备中的目标接口,即,一个LDP会话对应本设备的一个目标接口集合。
LDP链路邻接体可理解为两个相邻且链路直连的网络设备之间的连接关系。针对本设备而言,与本设备直连的上游网络设备、下游网络设备均为LDP链路邻接体。例如,若本设备从自身的某个接口收到对端(上游网络设备或下游网络设备)发送的LDP链路Hello报文,则创建一个LDP链路邻接体,表明对端是直连设备,并且对端对应的接口启用了MPLS转发功能。
在与上游网络设备建立唯一的LDP会话时,本设备可以为该LDP会话分配唯一标识符,即,该唯一标识符与LDP会话关联,另外,该唯一标识符还与本设备的目标接口集合关联。在本设备中,从上游网络设备来的MPLS报文只能从这些目标接口收到,本设备可以存储LDP会话的唯一标识符和目标接口集合的对应关系、接口与LDP链路邻接体的对应关系,以便于后续识别检测。
其中,唯一标识符可以根据实际情况进行灵活确定,可以为数字或字符。另外,在MPLS网络中,创建LDP会话的方式为本领域技术人员熟知,这里不再赘述。
FEC指在网络中遵循同样转发路径的报文集合(报文的目的地址可以不同),相同FEC的报文在转发过程中被网络设备以相同的方式处理。
指定FEC指本设备根据当前的路由信息创建的FEC。
本设备可以根据路由的下一跳确定下游LDP会话,而其他非下游LDP会话就是上游LDP会话。本设备可以为每个上游LDP会话对应的上游网络设备分配目标标签,即本设备可以向上游网络设备发送相应的标签(即为目标标签)。同一个FEC,向不同的上游LDP会话通告不同的标签。
本设备在创建标签(包括目标标签)时,可以根据预设格式进行创建。在MPLS网络中,标签包括20位的内容。在创建标签时,可以选择20位前部分的第一预设长度的码段作为第一码段,用于标识不同的LDP会话,剩余部分作为第二码段,用于标识不同的FEC。由于LDP会话与目标接口集合存在关联关系,因此,第一码段也可以用于标识不同的目标接口集合。
第一码段可以是固定位数的码段,也可以为动态位数的码段,类似地,第二码段可以是固定位数的码段,也可以为动态位数的码段,可以根据实际情况进行灵活确定。示例性地,第一码段和第二码段均为固定长度,比如,第一码段可以为20位中的前6位,第二码段可以为20位中的后14位。
其中,在20位的标签中,第一码段与第二码段之间,还可以存在剩余位。即,第一码段的第一预设长度和第二码段的第二预设长度之和小于20位,均可以根据实际情况进行灵活确定。另外,第一码段和第二码段的内容均可以根据实际情况进行设置,只要能起标识区分作为即可,这里不作具体限定。
例如,假设一个LDP会话的唯一标识符可以为6位数字,本设备可以将该LDP会话的6位唯一标识符作为标签的第一码段,用于区分不同的LDP会话。与指定FEC对应的14位数字可以作为第二码段,即,作为标签的后14位内容,如此,可以得到目标标签。其中,第二码段的14位内容可以根据实际情况进行灵活确定,只要能区分不同的FEC即可。
本设备在创建得到目标标签之后,便可以将目标标签分发至上游网络设备。不同上游网络设备的LDP会话不同,因此,不同上游网络设备收到的目标标签存在差异。上游网络设备可以收到不同下游网络设备发送的标签,在进行报文转发时,可以根据实际情况(例如,根据报文对应的FEC、标签交换路径等)为报文添加相应的标签。
在步骤S110中,本设备即为网络设备30,可以为在MPLS网络中除去最上游的网络设备之外的其他任一网络设备。即,在MPLS网络中,本设备还存在上游网络设备。
请再次参照图1,例如,本设备可以为网络设备22,可以接收本设备的上游网络设备21发送的报文。
在MPLS网络中,网络设备在进行数据转发时,可以添加相应的标签。例如,上游网络设备在向本设备发送报文时,通常会在报文中添加标签,其中,该标签不一定为本设备发送至上游网络设备的目标标签。需要说明的是,添加标签的方式为本领域技术人员熟知,这里不再赘述。另外,当报文被发送至MPLS网络中的不同网络设备时,相应的网络设备可以删除报文中已添加的标签,并重新为报文封装其他标签。
在步骤S120中,本设备可以对所接收的报文进行解析。比如,判断报文中是否存在标签,以及在存在标签时,判断该标签是否为本设备预先发送至上游网络设备的目标标签。若报文携带有标签,该标签即为报文的当前标签,本设备可以对该当前标签作进一步分析。
作为一种可选的实施方式,步骤S120可以包括:
当接收所述报文的接口不是所述目标接口集合中的任一接口,或者所述当前标签中不包括所述第一码段,或者所述当前标签中不包括所述第二码段时,得到表示所述当前标签不是所述目标标签的判断结果;
当接收所述报文的接口是所述目标接口集合中的任一接口,且所述当前标签中包括所述第一码段及所述第二码段时,得到表示所述当前标签是所述目标标签的判断结果。
可理解地,本设备存储有目标标签的第一码段与目标接口集合的对应关系。基于该对应关系,本设备可以从报文的当前标签的第一码段,确定与该第一码段对应的所有接口,以作为目标接口集合,然后判断实际接收该报文的接口是否在目标接口集合中,若接收该报文的接口不是目标接口集合中的任一接口,则表示报文存在安全风险,无需对当前标签做进一步分析,可以直接判断当前标签不是目标标签,需要拦截。
另外,若报文的当前标签中的第一码段,与目标标签的第一码段不同;或者当前标签中的第二码段,与目标标签的第二码段不同,则确定当前标签不是目标标签,表示报文存在安全风险,需要拦截。
在步骤S130中,判断结果存在两种,分别为当前标签不是目标标签,或当前标签是目标标签。本设备可以基于不同的判断结果,进行不同的处理。例如,步骤S130可以包括:
当所述判断结果表示所述当前标签不是所述目标标签时,丢弃所述报文;
当所述判断结果表示所述当前标签是所述目标标签时,转发所述报文。
可理解地,若当前标签不是目标标签,则表示报文为可疑报文,需要进行拦截。如此,可以提高报文转发的安全性。
若当前标签是目标标签,则表示报文是安全的,无需拦截,此时,可以根据报文的当前标签或标签交换路径继续转发该报文。
由于报文中的标签为目标标签,目标标签的第一码段与上游LDP会话关联,便可以确定该报文的上游网络设备。如此,本设备可以从报文的当前标签的第一码段快速识别出发送该报文的上游网络设备。
作为一种可选的实施方式,当所述判断结果表示所述当前标签是所述目标标签时,转发所述报文,包括:
当所述判断结果表示所述当前标签是所述目标标签,且本设备为在所述MPLS网络中的与指定FEC对应的最后一跳网络设备时,根据所述报文的目的地址转发所述报文。
作为一种可选的实施方式,当所述判断结果表示所述当前标签是所述目标标签时,转发所述报文,包括:
当所述判断结果表示所述当前标签是所述目标标签,且本设备不是所述MPLS网络中的与指定FEC对应的最后一跳网络设备时,从所述报文中删除所述当前标签,并添加新的当前标签,所述新的当前标签为本设备的下一跳网络设备发送至本设备的与指定FEC对应的当前标签;
根据所述新的当前标签,转发添加所述新的当前标签后的报文。
可理解地,本设备不是MPLS网络中的与指定FEC对应的最后一跳网络设备,则需要继续为报文重新封装标签,以便于下游网络设备对该报文进行安全检测与转发,提高MPLS网络数据转发的安全性与可靠性。另外,所添加的标签的第一码段可以用于识别发送该报文的上游网络设备,如此,有利于提高报文的可监控性。
在本实施例中,若标签中的第一码段、第二码段为固定位数,生成的ILM(IncomingLabel Map,入标签映射)不需要新增内容,并且可以使用标识FEC部分的值作为入标签,从而可以减少ILM表项的规模。如果第一码段、第二码段是动态位数,需要在生成的ILM中记录第一码段、第二码段的位数。基于此,当本设备收到携带有该标签的报文时,如果是第一码段、第二码段是固定位数的,不需要先查找对应的ILM,直接从标签中取固定长度的字段,分别得到第一码段、第二码段的内容。
若第一码段、第二码段是非固定位数的,则需要先找到对应的ILM,获取ILM中记录的标识第一码段、第二码段的位数,再取对应的字段,以获取到第一码段和第二码段的内容,然后,根据第一码段的内容得到LDP会话的标识,从而能够区分是从哪个上游网络设备发送过来的。另外,再检查本设备接收该报文的接口是否能够和LDP会话对应的接口对应上,如果接收报文的接口不属于第一码段对应的目标接口集合,则认为不是合法的报文,直接丢弃。
基于上述设计,本设备需要新增保存LDP会话与接口集合的对应关系,以便于对所接收的报文的合法性进行检查,需要存储的数据规模和LDP会话的个数成正比,占用内存少。
作为一种可选的实施方式,方法还可以包括:
当所述LDP会话结束时,删除所述LDP会话与所述唯一标识符的对应关系,以及删除所述唯一标识符与本设备的所述目标接口集合的关联关系。
在本实施例中,本设备可以通过数据库存储多个唯一标识符。通过删除LDP会话与唯一标识符的对应关系、唯一标识符与本设备的目标接口集合的关联关系,可以实现唯一标识符的回收,以便于将该唯一标识符分配给其他新的LDP会话。如此,无需创建新的唯一标识符,可以实现唯一标识符的重复利用。
请参照图4,本申请实施例还提供一种报文转发装置200,可以应用于上述的网络设备中,用于执行方法中的各步骤。报文转发装置200包括至少一个可以软件或固件(Firmware)的形式存储于存储模块32中或固化在网络设备操作系统(Operating System,OS)中的软件功能模块。处理模块31用于执行存储模块32中存储的可执行模块,例如报文转发装置200所包括的软件功能模块及计算机程序等。
报文转发装置200可以包括接收单元210、判断单元220及转发处理单元230,可以执行的操作步骤如下:
接收单元210,用于接收带标签的报文;
判断单元220,用于判断所述报文携带的当前标签是否为本设备预先向上游网络设备分配的目标标签,得到判断结果,所述目标标签包括与本设备中的目标接口集合对应的第一码段,以及与指定转发等价类对应的第二码段,其中,所述目标接口集合中的接口为本设备中的与标签分发协议会话对应的接口,一个上游网络设备仅与一个接口集合对应;
转发处理单元230,对所述报文执行与所述判断结果对应的处理操作。
可选地,报文转发装置200还可以包括分配单元、创建单元及发送单元。在接收单元210执行步骤S110之前,分配单元用于在本设备建立标签分发协议会话时,分配与所述标签分发协议会话对应的唯一标识符,所述唯一标识符与本设备的所述目标接口集合关联;创建单元用于基于所述MPLS网络的路由信息,创建所述指定转发等价类;发送单元用于向本设备的所有上游网络设备发送对应的目标标签,每个所述目标标签包括与所述唯一标识符对应的第一码段,以及与所述指定转发等价类对应的第二码段。
可选地,报文转发装置200还可以包括删除单元,用于当所述标签分发协议会话结束时,删除所述标签分发协议会话与所述唯一标识符的对应关系,以及删除所述唯一标识符与本设备的所述目标接口集合的关联关系。
可选地,判断单元220可以用于:当接收所述报文的接口不是所述目标接口集合中的任一接口,或者所述当前标签中不包括所述第一码段,或者所述当前标签中不包括所述第二码段时,得到表示所述当前标签不是所述目标标签的判断结果;当接收所述报文的接口是所述目标接口集合中的任一接口,且所述当前标签中包括所述第一码段及所述第二码段时,得到表示所述当前标签是所述目标标签的判断结果。
可选地,转发处理单元230还可以用于:当所述判断结果表示所述当前标签不是所述目标标签时,丢弃所述报文;当所述判断结果表示所述当前标签是所述目标标签时,转发所述报文。
可选地,转发处理单元230还可以用于:当所述判断结果表示所述当前标签是所述目标标签,且本设备为在所述MPLS网络中的与指定转发等价类对应的最后一跳网络设备时,根据所述报文的目的地址转发所述报文。可选地,转发处理单元230还可以用于:当所述判断结果表示所述当前标签是所述目标标签,且本设备不是所述MPLS网络中的与指定转发等价类对应的最后一跳网络设备时,从所述报文中删除所述当前标签,并添加新的当前标签,所述新的当前标签为本设备的下一跳网络设备发送至本设备的与指定转发等价类对应的当前标签;根据所述新的当前标签,转发添加所述新的当前标签后的报文。
在本实施例中,处理模块31可以是一种集成电路芯片,具有信号的处理能力。上述处理模块31可以是通用处理器。例如,该处理器可以是中央处理器(Central ProcessingUnit,CPU)、数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。
存储模块32可以是,但不限于,随机存取存储器,只读存储器,可编程只读存储器,可擦除可编程只读存储器,电可擦除可编程只读存储器等。在本实施例中,存储模块32可以用于存储当前标签、LDP会话与唯一标识符的对应关系等。当然,存储模块32还可以用于存储程序,处理模块31在接收到执行指令后,执行该程序。
通信模块33用于通过网络建立网络设备与其他设备的通信连接,并通过网络收发数据。
可以理解的是,图2所示的结构仅为网络设备的一种结构示意图,网络设备还可以包括比图2所示更多的组件。图2中所示的各组件可以采用硬件、软件或其组合实现。
需要说明的是,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的网络设备的具体工作过程,可以参考前述方法中的各步骤对应过程,在此不再过多赘述。
本申请实施例还提供一种计算机可读存储介质。计算机可读存储介质中存储有计算机程序,当计算机程序在计算机上运行时,使得计算机执行如上述实施例中所述的报文转发方法。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本申请可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现,基于这样的理解,本申请的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施场景所述的方法。
综上所述,在本方案中,目标标签为本设备发送至上游网络设备的标签,携带有与目标接口集合对应码段,可以用于对报文的安全进行验证,即,通过判断报文的当前标签是否为目标标签,有利于快速判断报文是否安全,以提高报文转发的安全性。另外,若当前标签为目标标签,便可以从当前标签的第一码段识别出上游网络设备,从而提高报文转发的可监控性。
在本申请所提供的实施例中,应该理解到,所揭露的装置、系统和方法,也可以通过其它的方式实现。以上所描述的装置、系统和方法实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种报文转发方法,其特征在于,应用于多协议标签交换MPLS网络中的网络设备,所述方法包括:
接收带标签的报文;
判断所述报文携带的当前标签是否为本设备预先向上游网络设备分配的目标标签,得到判断结果,所述目标标签包括与本设备中的目标接口集合对应的第一码段,以及与指定转发等价类对应的第二码段,其中,所述目标接口集合中的接口为本设备中的与标签分发协议会话对应的接口,一个上游网络设备仅与一个接口集合对应;
对所述报文执行与所述判断结果对应的处理操作。
2.根据权利要求1所述的方法,其特征在于,在接收带标签的报文之前,所述方法还包括:
在本设备建立标签分发协议会话时,分配与所述标签分发协议会话对应的唯一标识符,所述唯一标识符与本设备的所述目标接口集合关联;
基于所述MPLS网络的路由信息,创建所述指定转发等价类;
向本设备的所有上游网络设备发送对应的目标标签,每个所述目标标签包括与所述唯一标识符对应的第一码段,以及与所述指定转发等价类对应的第二码段。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当所述标签分发协议会话结束时,删除所述标签分发协议会话与所述唯一标识符的对应关系,以及删除所述唯一标识符与本设备的所述目标接口集合的关联关系。
4.根据权利要求1所述的方法,其特征在于,判断所述报文携带的当前标签是否为本设备预先向上游网络设备分配的目标标签,得到判断结果,包括:
当接收所述报文的接口不是所述目标接口集合中的任一接口,或者所述当前标签中不包括所述第一码段,或者所述当前标签中不包括所述第二码段时,得到表示所述当前标签不是所述目标标签的判断结果;
当接收所述报文的接口是所述目标接口集合中的任一接口,且所述当前标签中包括所述第一码段及所述第二码段时,得到表示所述当前标签是所述目标标签的判断结果。
5.根据权利要求1所述的方法,其特征在于,对所述报文执行与所述判断结果对应的处理操作,包括:
当所述判断结果表示所述当前标签不是所述目标标签时,丢弃所述报文;
当所述判断结果表示所述当前标签是所述目标标签时,转发所述报文。
6.根据权利要求5所述的方法,其特征在于,当所述判断结果表示所述当前标签是所述目标标签时,转发所述报文,包括:
当所述判断结果表示所述当前标签是所述目标标签,且本设备为在所述MPLS网络中的与所述指定转发等价类对应的最后一跳网络设备时,根据所述报文的目的地址转发所述报文。
7.根据权利要求5所述的方法,其特征在于,当所述判断结果表示所述当前标签是所述目标标签时,转发所述报文,包括:
当所述判断结果表示所述当前标签是所述目标标签,且本设备不是所述MPLS网络中的与所述指定转发等价类对应的最后一跳网络设备时,从所述报文中删除所述当前标签,并添加新的当前标签,所述新的当前标签为本设备的下一跳网络设备发送至本设备的与所述指定转发等价类对应的当前标签;
根据所述新的当前标签,转发添加所述新的当前标签后的报文。
8.一种报文转发装置,其特征在于,应用于多协议标签交换MPLS网络中的网络设备,所述装置包括:
接收单元,用于接收带标签的报文;
判断单元,用于判断所述报文携带的当前标签是否为本设备预先向上游网络设备分配的目标标签,得到判断结果,所述目标标签包括与本设备中的目标接口集合对应的第一码段,以及与指定转发等价类对应的第二码段,其中,所述目标接口集合中的接口为本设备中的与标签分发协议会话对应的接口,一个上游网络设备仅与一个接口集合对应;
转发处理单元,对所述报文执行与所述判断结果对应的处理操作。
9.一种网络设备,其特征在于,包括相互耦合的处理器及存储器,所述存储器内存储计算机程序,当所述计算机程序被所述处理器执行时,使得所述网络设备执行如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行如权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111101486.4A CN113645133B (zh) | 2021-09-18 | 2021-09-18 | 报文转发方法、装置、网络设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111101486.4A CN113645133B (zh) | 2021-09-18 | 2021-09-18 | 报文转发方法、装置、网络设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113645133A true CN113645133A (zh) | 2021-11-12 |
| CN113645133B CN113645133B (zh) | 2023-06-27 |
Family
ID=78426052
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111101486.4A Active CN113645133B (zh) | 2021-09-18 | 2021-09-18 | 报文转发方法、装置、网络设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113645133B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1775908A1 (en) * | 2005-10-12 | 2007-04-18 | Juniper Networks, Inc. | Checking for spoofed labels within a label switching computer network |
| CN101248620A (zh) * | 2006-01-16 | 2008-08-20 | 中兴通讯股份有限公司 | 一种标签报文路径合法性检查的实现方法 |
| US20140359297A1 (en) * | 2013-06-04 | 2014-12-04 | Altera Corporation | Systems and Methods for Intermediate Message Authentication in a Switched-Path Network |
| CN104780165A (zh) * | 2015-03-27 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种报文入标签的安全验证方法和设备 |
-
2021
- 2021-09-18 CN CN202111101486.4A patent/CN113645133B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1775908A1 (en) * | 2005-10-12 | 2007-04-18 | Juniper Networks, Inc. | Checking for spoofed labels within a label switching computer network |
| CN101248620A (zh) * | 2006-01-16 | 2008-08-20 | 中兴通讯股份有限公司 | 一种标签报文路径合法性检查的实现方法 |
| US20140359297A1 (en) * | 2013-06-04 | 2014-12-04 | Altera Corporation | Systems and Methods for Intermediate Message Authentication in a Switched-Path Network |
| CN104780165A (zh) * | 2015-03-27 | 2015-07-15 | 杭州华三通信技术有限公司 | 一种报文入标签的安全验证方法和设备 |
Non-Patent Citations (3)
| Title |
|---|
| ZHU TANG ET AL.: "Security enhancement for MPLS data-plane forwarding based on dynamic signature label calculation", IEEE * |
| 牛龙: "多协议标签交换系统标签分发模块的设计与实现", 《中国优秀硕士学位论文全文数据库》 * |
| 王柱: "基于IP城域网的MPLS VPN规划与性能分析", 《中国优秀硕士学位论文全文数据库》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113645133B (zh) | 2023-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110636001B (zh) | 发送网络性能参数、计算网络性能的方法和网络节点 | |
| KR102569305B1 (ko) | 데이터 메시지 검출 방법, 디바이스 및 시스템 | |
| CN108141416B (zh) | 一种报文处理方法、计算设备以及报文处理装置 | |
| WO2018054397A1 (zh) | 业务功能链检测路径的方法和装置 | |
| US9369435B2 (en) | Method for providing authoritative application-based routing and an improved application firewall | |
| CN111934943A (zh) | 位转发入口路由器、位转发路由器及操作管理维护检测方法 | |
| CN105340217A (zh) | 一种报文处理方法、装置及系统 | |
| CN112311789A (zh) | 深度报文处理方法、装置、电子设备及存储介质 | |
| CN114422387A (zh) | 一种网络资产探测方法、装置、电子设备和存储介质 | |
| CN112291116A (zh) | 链路故障检测方法、装置及网络设备 | |
| WO2020036983A1 (en) | Source routing tunnel ingress protection | |
| CN104780165B (zh) | 一种报文入标签的安全验证方法和设备 | |
| CN114338510B (zh) | 控制和转发分离的数据转发方法和系统 | |
| CN113746753A (zh) | BIERv6报文转发的方法、设备以及系统 | |
| CN109547281B (zh) | 一种Tor网络的溯源方法 | |
| US20210203695A1 (en) | Anti-spoofing attack check method, device, and system | |
| CN113645133B (zh) | 报文转发方法、装置、网络设备及计算机可读存储介质 | |
| CN113541924A (zh) | 报文检测的方法、设备以及系统 | |
| CN104702505B (zh) | 一种报文传输方法和节点 | |
| CN114205221B (zh) | 一种故障查询方法及装置 | |
| CN113556345A (zh) | 一种报文处理方法、装置、设备及介质 | |
| CN106067864B (zh) | 一种报文处理方法及装置 | |
| CN113824720B (zh) | 报文处理方法、装置、设备及存储介质 | |
| CN114301960B (zh) | 集群非对称流量的处理方法及装置、电子设备及存储介质 | |
| CN115174439B (zh) | 多协议标签交换通道的验证方法、装置和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |