CN114124816A - 单播报文处理方法、装置、计算机设备和可读介质 - Google Patents

单播报文处理方法、装置、计算机设备和可读介质 Download PDF

Info

Publication number
CN114124816A
CN114124816A CN202010886294.8A CN202010886294A CN114124816A CN 114124816 A CN114124816 A CN 114124816A CN 202010886294 A CN202010886294 A CN 202010886294A CN 114124816 A CN114124816 A CN 114124816A
Authority
CN
China
Prior art keywords
address
source
policy
strategy
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010886294.8A
Other languages
English (en)
Inventor
苏帅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sanechips Technology Co Ltd
Original Assignee
Sanechips Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sanechips Technology Co Ltd filed Critical Sanechips Technology Co Ltd
Priority to CN202010886294.8A priority Critical patent/CN114124816A/zh
Publication of CN114124816A publication Critical patent/CN114124816A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供一种单播报文处理方法,所述方法包括:接收单播报文,获取其中携带的源IP地址;确定单播报文的入接口;若所述入接口的URPF模式开启,则根据开启的URPF模式类型获取ACL中预设的策略,并根据源IP地址、入接口和策略处理单播报文;本公开实施例将单播报文的入接口和URPF模式类型作为报文转发的考量因素,这样,无需在路由表中存储源IP地址信息,不会占用路由表的资源,减少路由表资源的消耗并简化URPF模式下报文转发流程;在严格模式下,转发报文时可以省略根据源IP地址查找下一跳索引的步骤,节省了一次查表过程,提高报文转发效率。本公开还提供一种单播报文处理设备、计算机设备和可读介质。

Description

单播报文处理方法、装置、计算机设备和可读介质
技术领域
本公开涉及通信技术领域,具体涉及一种单播报文处理方法、装置、计算机设备和可读介质。
背景技术
IP(Internet Protocol,网际互联协议)技术的高速发展极大的丰富了人们的物质和文化生活,网络发展水平也成为衡量一个国力和现代化程度的重要标志。IP网络开放性和易操作性等优点同时也引入了各种风险。一种常见的网络攻击方式为:攻击者采用改变源IP地址的方法到达攻击其他设备目的,即源IP地址欺骗。
针对源IP地址欺骗,催生了一种防御技术:单播反向路径检查(Unicast ReversePath Forwarding,URPF),该技术对进入到设备的单播报文的源IP地址进行表项查找,确认条目存在,更严格的,在确认条目存在的同时还检查报文的入口是否正确,若检查通过,转发报文,若检查不通过,丢弃报文。
URPF检查的实现需要在路由表中添加源IP地址条目,然而在实际的工程应用中,路由表的资源有限,且源IP地址和目的IP地址共享这一块存储空间。源IP地址条目增加会导致目的IP地址条目减少,进而影响到报文转发业务。且在严格模式下,还要通过源IP获取到的下一跳索引查找另外一张表项,并比较入接口是否符合预期,报文转发过程实现复杂。
发明内容
本公开针对现有技术中存在的上述不足,提供一种单播报文处理方法、装置、计算机设备和可读介质。
第一方面,本公开实施例提供一种单播报文处理方法,包括:
接收单播报文,获取其中携带的源网际互联协议IP地址;
确定所述单播报文的入接口;
若所述入接口的单播反向路径检查URPF模式开启,则根据开启的URPF模式类型获取访问控制列表ACL中预设的策略;
根据所述源IP地址、所述入接口和所述策略,处理所述单播报文。
在一些实施例中,接收单播报文之后、确定所述单播报文的入接口之前,所述方法还包括:获取所述单播报文中携带的目的IP地址;
所述处理所述单播报文,包括:根据所述目的IP地址和路由表确定出接口,并根据所述出接口转发所述单播报文。
在一些实施例中,所述根据开启的URPF模式类型确定访问控制列表ACL中预设的策略,包括:若开启的URPF模式类型为松散模式,则获取ACL中预设的与松散模式对应的第一策略和第二策略;
所述第一策略包括匹配源IP地址和入接口;所述第二策略包括匹配入接口且不匹配源IP地址。
在一些实施例中,所述根据所述源IP地址、所述入接口和所述策略,处理所述单播报文,包括:
若所述源IP地址和所述入接口满足所述第一策略,或者,所述源IP地址和所述入接口不满足所述第一策略且不满足所述第二策略,则转发所述单播报文。
在一些实施例中,若所述源IP地址与所述ACL中预设的IP地址一致,且所述入接口在所述ACL中存在,则所述源IP地址和所述入接口满足所述第一策略;或者,
若所述入接口在所述ACL中不存在,则所述源IP地址和所述入接口不满足所述第一策略且不满足所述第二策略。
在一些实施例中,所述根据所述源IP地址、所述入接口和所述策略,处理所述单播报文,包括:
若所述入接口和所述源IP地址不满足所述第一策略且满足所述第二策略,则丢弃所述单播报文。
在一些实施例中,若所述源IP地址与所述ACL中预设的IP地址不一致,则所述入接口和所述源IP地址不满足所述第一策略且满足所述第二策略。
在一些实施例中,所述第一策略在所述ACL中的存储地址高于所述第二策略在所述ACL中的存储地址。
在一些实施例中,所述根据开启的URPF模式类型确定获取访问控制列表ACL中预设的策略,包括:若开启的URPF模式为严格模式,则获取ACL中预设的与严格模式对应的第二策略和第三策略;
所述第二策略包括匹配入接口且不匹配源IP地址;所述第三策略包括匹配入接口的一致性和源IP地址。
在一些实施例中,所述根据所述源IP地址、所述入接口和所述策略,处理所述单播报文,包括:
若所述源IP地址和所述入接口满足所述第三策略,或者,所述源IP地址和所述入接口不满足所述第三策略且不满足所述第二策略,则转发所述单播报文。
在一些实施例中,若所述源IP地址与所述ACL中预设的IP地址一致,且所述入接口与所述ACL中预设的入接口一致,则所述源IP地址和所述入接口满足所述第三策略;或者,
若所述入接口与所述ACL中预设的入接口不一致,则所述源IP地址和所述入接口不满足所述第三策略且不满足所述第二策略。
在一些实施例中,所述根据所述源IP地址、所述入接口和所述策略,处理所述单播报文,包括:
若所述入接口和所述IP地址不满足所述第三策略且满足所述第二策略,则丢弃所述单播报文。
在一些实施例中,若所述源IP地址与所述ACL中预设的IP地址不一致,则所述入接口和所述IP地址不满足所述第三策略且满足所述第二策略。
在一些实施例中,所述第三策略在所述ACL中的存储地址高于所述第二策略在所述ACL中的存储地址。
又一方面,本公开实施例还提供单播报文转发设备,包括:接收模块、获取模块、确定模块和处理模块,所述接收模块用于,接收单播报文;
所述获取模块用于,获取所述单播报文中携带的源网际互联协议IP地址;
所述确定模块用于,确定所述单播报文的入接口;
所述处理模块用于,当所述入接口的单播反向路径检查URPF模式开启时,根据开启的URPF模式类型获取访问控制列表ACL中预设的策略,并根据所述源IP地址、所述入接口和所述策略,处理所述单播报文。
又一方面,本公开实施例还提供一种计算机设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如前所述的单播报文处理方法。
又一方面,本公开实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,所述程序被执行时实现如前所述的单播报文处理方法。
本公开实施例提供的单播报文转发方法及装置,所述方法包括:接收单播报文,获取其中携带的源IP地址;确定所述单播报文的入接口;若所述入接口的URPF模式开启,则根据开启的URPF模式类型获取ACL中预设的策略,并根据所述源IP地址、所述入接口和所述策略处理所述单播报文;本公开实施例将单播报文的入接口和URPF模式类型作为报文转发的考量因素,这样,无需在路由表中存储源IP地址信息,不会占用路由表的资源,减少路由表资源的消耗并简化URPF模式下报文转发流程;而且,在严格模式下,转发报文时可以省略根据源IP地址查找下一跳索引的步骤,节省了一次查表过程,提高报文转发效率。
附图说明
图1为本公开实施例提供的单播报文处理流程示意图;
图2为本公开实施例提供的转发单播报文的流程示意图;
图3为本公开实施例提供的松散模式下的单播报文处理流程示意图;
图4为本公开实施例提供的严格模式下的单播报文处理流程示意图;
图5为本公开实施例提供的单播报文处理设备的结构示意图。
具体实施方式
在下文中将参考附图更充分地描述示例实施例,但是所述示例实施例可以以不同形式来体现且不应当被解释为限于本文阐述的实施例。反之,提供这些实施例的目的在于使本公开透彻和完整,并将使本领域技术人员充分理解本公开的范围。
如本文所使用的,术语“和/或”包括一个或多个相关列举条目的任何和所有组合。
本文所使用的术语仅用于描述特定实施例,且不意欲限制本公开。如本文所使用的,单数形式“一个”和“该”也意欲包括复数形式,除非上下文另外清楚指出。还将理解的是,当本说明书中使用术语“包括”和/或“由……制成”时,指定存在所述特征、整体、步骤、操作、元件和/或组件,但不排除存在或添加一个或多个其他特征、整体、步骤、操作、元件、组件和/或其群组。
本文所述实施例可借助本公开的理想示意图而参考平面图和/或截面图进行描述。因此,可根据制造技术和/或容限来修改示例图示。因此,实施例不限于附图中所示的实施例,而是包括基于制造工艺而形成的配置的修改。因此,附图中例示的区具有示意性属性,并且图中所示区的形状例示了元件的区的具体形状,但并不旨在是限制性的。
除非另外限定,否则本文所用的所有术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解,诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本公开的背景下的含义一致的含义,且将不解释为具有理想化或过度形式上的含义,除非本文明确如此限定。
URPF模式类型包括松散模式和严格模式,在URPF松散模式下,进行源IP地址检查,当路由表中存在源IP地址时,认为URPF校验通过,转发单播报文;否则,URPF校验失败,丢弃报文。在URPF严格模式下,进行源IP地址检查,当路由表中存在源IP地址时,获得源IP地址对应的下一跳索引,通过下一跳索引去查另一张表以获得报文预期的入接口,当报文预期的入接口和实际入接口一致时,认为URPF校验成功。当路由表中不存在源IP地址,或者,路由表中存在源IP地址但报文预期的入接口和实际入接口不一致时,URPF校验失败,丢弃报文。
ACL(Access Control Lists,访问控制列表)是一种广泛运用于路由器和三层交换设备上的、基于包过滤的访问控制技术。ACL中配置多条策略的条目,每个策略条目都可认为是匹配条件,若命中策略条目,则执行针对该策略所设定的动作。借助ACL,可以更灵活有效的保障网络安全。
为了减少源IP地址对路由表资源占用并简化URPF模式下报文转发流程,本公开实施例提供一种单播报文处理方法,所述方法应用于单播报文处理设备,在初始化阶段,对该单播报文处理设备进行以下配置:
1、单播报文处理设备上电初始化;
2、配置单播报文处理设备接收报文的入接口IIF_A(Ingress Interface,IIF);
3、配置入接口IIF_A的URPF模式类型,URPF模式类型可以包括松散模式和严格模式;
4、根据URPF模式类型在ACL中配置策略,策略以条目的形式存储在ACL中;
a.松散模式下,在ACL中配置第一策略和第二策略,第一策略定义的规则为:匹配入接口IIF_A和源IP地址,第二策略定义的规则为:只匹配入接口IIF_A。考虑到ACL同时命中多条策略时返回低地址策略的属性,将第一策略配置在ACL的高位地址段,并将第二策略配置在低位地址段,即第一策略在ACL中的存储地址高于第二策略在ACL中的存储地址;
b.严格模式下,在ACL中配置第二策略和第三策略,第三策略定义的规则为:匹配源IP地址以及入接口IIF_A与预期入接口IIF_B(预期入接口IIF_B预先配置在ACL内)的一致性,第二策略定义的规则为:只匹配入接口IIF_A。同理,第三策略在ACL中的存储地址高于第二策略在ACL中的存储地址。
初始化完成后,构造单播数据报文,使用仪表进行发包。
如图1所示,本公开实施例提供的单播报文处理方法包括以下步骤:
步骤11,接收单播报文,获取其中携带的源网际互联协议IP地址。
单播报文可以携带源IP地址、目的IP地址等报文转发信息,在本步骤中,解析接收到的单播报文,获取其中携带的源IP地址。
步骤12,确定所述单播报文的入接口。
入接口有以下3种类型:物理三层口、三层子接口和VLAN(Virtual Local AreaNetwork,虚拟局域网)三层口,在本步骤中,获取上述3种类型的入接口的方式不同。对于物理三层口,可以通过物理端口导出;对于三层子接口,可以通过物理端口结合报文携带的VLAN导出;对于VLAN三层口,可以通过报文携带的VLAN导出。
步骤13,若所述入接口的URPF模式开启,则根据开启的URPF模式类型获取ACL中预设的策略。
在本步骤中,首先确定入接口IIF_A的URPF模式开启,并确定开启是哪种URPF模式类型,即是松散模式还是严格模式,然后根据URPF模式类型获取判断单播报文转发用到的策略。不同URPF模式类型处理单播报文所用到的策略不同,例如,在松散模式下,使用第一策略和第二策略进行判断;在严格模式下,使用第二策略和第三策略进行判断。
步骤14,根据所述源IP地址、所述入接口和所述策略,处理所述单播报文。
在本步骤中,利用步骤13获取到的策略所定义的规则,判断单播报文的源IP地址和入接口IIF_A是否满足相应的策略,并根据判断结果决定对所述单播报文的处理动作。
本公开实施例提供的单播报文转发方法及装置,所述方法包括:接收单播报文,获取其中携带的源网际互联协议IP地址;确定所述单播报文的入接口;若所述入接口的URPF模式开启,则根据开启的URPF模式类型获取ACL中预设的策略,并根据所述源IP地址、所述入接口和所述策略处理所述单播报文;本公开实施例将单播报文的入接口和URPF模式类型作为报文转发的考量因素,这样,无需在路由表中存储源IP地址信息,不会占用路由表的资源,减少路由表资源的消耗并简化URPF模式下报文转发流程;而且,在严格模式下,转发报文时可以省略根据源IP地址查找下一跳索引的步骤,节省了一次查表过程,提高报文转发效率。
在一些实施例中,所述述单播报文处理方法还包括以下步骤:若所述入接口的URPF模式关闭,此时ACL中无需配置策略,无需依据策略处理接收到的单播报文,可以直接透传该单播报文。
在一些实施例中,所述处理所述单播报文(即步骤14)包括:转发所述单播报文或丢弃所述单播报文。在接收单播报文之后、确定所述单播报文的入接口(即步骤12)之前,所述方法还包括以下步骤:获取所述单播报文中携带的目的IP地址,即通过解析该单播报文获取其中携带的目的IP地址。本步骤可以与步骤11中获取源IP地址的步骤同步执行。
相应的,如图2所示,转发所述单播报文,可以包括以下步骤:
步骤21,根据所述目的IP地址和路由表确定出接口。
在本步骤中,根据从单播报文中解析获取到的目的IP地址查找路由表,得到该目的IP地址对应的出接口,该出接口即为本单播报文处理设备转发单播报文预期的出接口。
步骤22,根据所述出接口转发所述单播报文。
在本步骤中,将接收到的单播报文从步骤21确定出的出接口发送出去。
通过步骤21-22可以看出,路由表中可以无需再存储源IP地址信息,因此不会占用路由表的资源,减少路由表资源的消耗并简化URPF模式下报文转发流程。
在一些实施例中,所述根据开启的URPF模式类型获取ACL中预设的策略(即步骤13),包括:若开启的URPF模式类型为松散模式,则获取ACL中预设的与松散模式对应的第一策略和第二策略;所述第一策略包括匹配源IP地址和入接口;所述第二策略包括匹配入接口且不匹配源IP地址。
以下结合图3,对松散模式下,单播报文的处理流程进行详细说明。如图3所示,所述根据所述源IP地址、所述入接口和所述策略,处理所述单播报文,包括以下步骤:
步骤31,所述源IP地址和所述入接口是否满足第一策略,若满足,则执行步骤33;否则,执行步骤32。
在本步骤中,若所述源IP地址和所述入接口IIF_A均满足第一策略定义的规则,说明URPF校验通过,则转发所述单播报文。若所述源IP地址和所述入接口IIF_A中至少一个不满足第一策略定义的规则,说明URPF校验未通过,则需要进一步结合第二策略判断(即执行步骤32)。
在一些实施例中,若所述源IP地址与所述ACL中预设的IP地址一致,且所述入接口IIF_A在所述ACL中存在,则所述源IP地址和所述入接口满足所述第一策略。
步骤32,所述入接口和所述源IP地址是否满足所述第二策略,若满足,则执行步骤34;否则,执行步骤33。
在本步骤中,若所述入接口IIF_A满足所述第二策略,即所述入接口和所述源IP地址仅满足第二策略(不满足第一策略),则丢弃所述单播报文。若所述入接口和所述源IP地址不满足所述第二策略,即所述源IP地址和所述入接口IIF_A既不满足第一策略也不满足第二策略,说明该单播报文不是从入接口IIF_A进入,则转发所述单播报文,即直接透传所述单播报文。
在一些实施例中,若所述源IP地址与所述ACL中预设的IP地址不一致,则所述入接口和所述源IP地址不满足所述第一策略且满足所述第二策略。
在一些实施例中,若所述入接口IIF_A在所述ACL中不存在,则所述源IP地址和所述入接口不满足所述第一策略且不满足所述第二策略。
步骤33,转发所述单播报文。
步骤34,丢弃所述单播报文。
也就是说,开启松散模式的URPF校验时,若源IP地址和入接口IIF_A满足第一策略,则转发单播报文;若入接口IIF_A仅满足第二策略(不满足第一策略),则丢弃单播报文;若源IP地址和入接口IIF_A既不满足第一策略也不满足第二策略,则直接透传单播报文。
以下结合图4,对严格模式下,单播报文的处理流程进行详细说明。如图4所示,所述根据所述源IP地址、所述入接口和所述策略,处理所述单播报文,包括以下步骤:
步骤41,所述源IP地址和所述入接口是否满足第三策略,若满足,则执行步骤43;否则,执行步骤42。
在本步骤中,若所述源IP地址和所述入接口IIF_A均满足第三策略定义的规则,说明URPF校验通过,则转发所述单播报文。若所述源IP地址和所述入接口IIF_A中至少一个不满足第三策略定义的规则,说明URPF校验未通过,则需要进一步结合第二策略判断(即执行步骤42)。
在一些实施例中,若所述源IP地址与所述ACL中预设的IP地址一致,且所述入接口IIF_A与所述ACL中预设的入接口IIF_B一致,则所述源IP地址和所述入接口IIF_A满足所述第三策略。
步骤42,所述入接口和所述源IP地址是否满足所述第二策略,若满足,则执行步骤44;否则,执行步骤43。
在本步骤中,若所述入接口IIF_A满足所述第二策略,即所述入接口和所述源IP地址仅满足第二策略(不满足第三策略),则丢弃所述单播报文。若所述入接口和所述源IP地址不满足所述第二策略,即所述源IP地址和所述入接口IIF_A既不满足第三策略也不满足第二策略,说明该单播报文不是从入接口IIF_A进入,则转发所述单播报文,即直接透传所述单播报文。
在一些实施例中,若所述源IP地址与所述ACL中预设的IP地址不一致,则所述入接口和所述源IP地址不满足所述第三策略且满足所述第二策略。
在一些实施例中,若所述入接口IIF_A与ACL中预设的入接口IIF_B不一致,则所述源IP地址和所述入接口不满足所述第三策略且不满足所述第二策略。
步骤43,转发所述单播报文。
步骤44,丢弃所述单播报文。
也就是说,开启严格模式的URPF校验时,若源IP地址和入接口IIF_A满足第三策略,则转发单播报文;若入接口IIF_A仅满足第二策略(不满足第三策略),则丢弃单播报文;若源IP地址和入接口IIF_A既不满足第三策略也不满足第二策略,则直接透传单播报文。
基于相同的技术构思,本公开实施例还提供一种单播报文处理设备,如图5所示,所述单播报文处理设备包括接收模块101、获取模块102、确定模块103和处理模块104,接收模块101用于,接收单播报文。
获取模块102用于,获取单播报文中携带的源网际互联协议IP地址。
所述确定模块用于,确定所述单播报文的入接口。
所述处理模块用于,当确定所述入接口的单播反向路径检查URPF模式开启时,则据开启的URPF模式类型获取访问控制列表ACL中预设的策略,并根据所述源IP地址、所述入接口和所述策略,处理所述单播报文。
在一些实施例中,处理模块104用于,转发所述单播报文或丢弃所述单播报文。
获取模块102还用于,在接收模块101接收单播报文之后、确定模块103确定所述单播报文的入接口之前,获取所述单播报文中携带的目的IP地址。
处理模块104用于,根据所述目的IP地址和路由表确定出接口,并根据所述出接口转发所述单播报文。
在一些实施例中,处理模块104用于,当开启的URPF模式类型为松散模式时,获取ACL中预设的与松散模式对应的第一策略和第二策略;所述第一策略包括匹配源IP地址和入接口;所述第二策略包括匹配入接口且不匹配源IP地址。
在一些实施例中,处理模块104用于,当所述源IP地址和所述入接口满足所述第一策略时,或者,当所述源IP地址和所述入接口不满足所述第一策略且不满足所述第二策略时,转发所述单播报文。
在一些实施例中,若所述源IP地址与所述ACL中预设的IP地址一致,且所述入接口在所述ACL中存在,则所述源IP地址和所述入接口满足所述第一策略;或者,若所述入接口在所述ACL中不存在,则所述源IP地址和所述入接口不满足所述第一策略且不满足所述第二策略。
在一些实施例中,处理模块104用于,当所述入接口和所述源IP地址不满足所述第一策略且满足所述第二策略时,丢弃所述单播报文。
在一些实施例中,若所述源IP地址与所述ACL中预设的IP地址不一致,则所述入接口和所述源IP地址不满足所述第一策略且满足所述第二策略。
在一些实施例中,所述第一策略在所述ACL中的存储地址高于所述第二策略在所述ACL中的存储地址。
在一些实施例中,处理模块104用于,当开启的URPF模式为严格模式时,获取ACL中预设的与严格模式对应的第二策略和第三策略;所述第二策略包括匹配入接口且不匹配源IP地址;所述第三策略包括匹配入接口的一致性和源IP地址。
在一些实施例中,处理模块104用于,当所述源IP地址和所述入接口满足所述第三策略时,或者,所述源IP地址和所述入接口不满足所述第三策略且不满足所述第二策略时,转发所述单播报文。
在一些实施例中,若所述源IP地址与所述ACL中预设的IP地址一致,且所述入接口与所述ACL中预设的入接口一致,则所述源IP地址和所述入接口满足所述第三策略;或者,
若所述入接口与所述ACL中预设的入接口不一致,则所述源IP地址和所述入接口不满足所述第三策略且不满足所述第二策略。
在一些实施例中,处理模块104用于,当所述入接口和所述IP地址不满足所述第三策略且满足所述第二策略时,丢弃所述单播报文。
在一些实施例中,若所述源IP地址与所述ACL中预设的IP地址不一致,则所述入接口和所述IP地址不满足所述第三策略且满足所述第二策略。
在一些实施例中,所述第三策略在所述ACL中的存储地址高于所述第二策略在所述ACL中的存储地址。
本公开实施例还提供了一种计算机设备,该计算机设备包括:一个或多个处理器以及存储装置;其中,存储装置上存储有一个或多个程序,当上述一个或多个程序被上述一个或多个处理器执行时,使得上述一个或多个处理器实现如前述各实施例所提供的单播报文转发方法。
本公开实施例还提供了一种计算机可读介质,其上存储有计算机程序,其中,该计算机程序被执行时实现如前述各实施例所提供的单播报文转发方法。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
本文已经公开了示例实施例,并且虽然采用了具体术语,但它们仅用于并仅应当被解释为一般说明性含义,并且不用于限制的目的。在一些实例中,对本领域技术人员显而易见的是,除非另外明确指出,否则可单独使用与特定实施例相结合描述的特征、特性和/或元素,或可与其他实施例相结合描述的特征、特性和/或元件组合使用。因此,本领域技术人员将理解,在不脱离由所附的权利要求阐明的本发明的范围的情况下,可进行各种形式和细节上的改变。

Claims (17)

1.一种单播报文处理方法,其特征在于,所述方法包括:
接收单播报文,获取其中携带的源网际互联协议IP地址;
确定所述单播报文的入接口;
若所述入接口的单播反向路径检查URPF模式开启,则根据开启的URPF模式类型获取访问控制列表ACL中预设的策略;
根据所述源IP地址、所述入接口和所述策略,处理所述单播报文。
2.如权利要求1所述的方法,其特征在于,接收单播报文之后、确定所述单播报文的入接口之前,所述方法还包括:获取所述单播报文中携带的目的IP地址;
所述处理所述单播报文,包括:根据所述目的IP地址和路由表确定出接口,并根据所述出接口转发所述单播报文。
3.如权利要求1所述的方法,其特征在于,所述根据开启的URPF模式类型获取访问控制列表ACL中预设的策略,包括:若开启的URPF模式类型为松散模式,则获取ACL中预设的与松散模式对应的第一策略和第二策略;
所述第一策略包括匹配源IP地址和入接口;所述第二策略包括匹配入接口且不匹配源IP地址。
4.如权利要求3所述的方法,其特征在于,所述根据所述源IP地址、所述入接口和所述策略,处理所述单播报文,包括:
若所述源IP地址和所述入接口满足所述第一策略,或者,所述源IP地址和所述入接口不满足所述第一策略且不满足所述第二策略,则转发所述单播报文。
5.如权利要求4所述的方法,其特征在于,若所述源IP地址与所述ACL中预设的IP地址一致,且所述入接口在所述ACL中存在,则所述源IP地址和所述入接口满足所述第一策略;或者,
若所述入接口在所述ACL中不存在,则所述源IP地址和所述入接口不满足所述第一策略且不满足所述第二策略。
6.如权利要求3所述的方法,其特征在于,所述根据所述源IP地址、所述入接口和所述策略,处理所述单播报文,包括:
若所述入接口和所述源IP地址不满足所述第一策略且满足所述第二策略,则丢弃所述单播报文。
7.如权利要求6所述的方法,其特征在于,若所述源IP地址与所述ACL中预设的IP地址不一致,则所述入接口和所述源IP地址不满足所述第一策略且满足所述第二策略。
8.如权利要求3-7任一项所述的方法,其特征在于,所述第一策略在所述ACL中的存储地址高于所述第二策略在所述ACL中的存储地址。
9.如权利要求1所述的方法,其特征在于,所述根据开启的URPF模式类型获取访问控制列表ACL中预设的策略,包括:若开启的URPF模式为严格模式,则获取ACL中预设的与严格模式对应的第二策略和第三策略;
所述第二策略包括匹配入接口且不匹配源IP地址;所述第三策略包括匹配入接口的一致性和源IP地址。
10.如权利要求9所述的方法,其特征在于,所述根据所述源IP地址、所述入接口和所述策略,处理所述单播报文,包括:
若所述源IP地址和所述入接口满足所述第三策略,或者,所述源IP地址和所述入接口不满足所述第三策略且不满足所述第二策略,则转发所述单播报文。
11.如权利要求10所述的方法,其特征在于,若所述源IP地址与所述ACL中预设的IP地址一致,且所述入接口与所述ACL中预设的入接口一致,则所述源IP地址和所述入接口满足所述第三策略;或者,
若所述入接口与所述ACL中预设的入接口不一致,则所述源IP地址和所述入接口不满足所述第三策略且不满足所述第二策略。
12.如权利要求9所述的方法,其特征在于,所述根据所述源IP地址、所述入接口和所述策略,处理所述单播报文,包括:
若所述入接口和所述IP地址不满足所述第三策略且满足所述第二策略,则丢弃所述单播报文。
13.如权利要求12所述的方法,其特征在于,若所述源IP地址与所述ACL中预设的IP地址不一致,则所述入接口和所述IP地址不满足所述第三策略且满足所述第二策略。
14.如权利要求9-13任一项所述的方法,其特征在于,所述第三策略在所述ACL中的存储地址高于所述第二策略在所述ACL中的存储地址。
15.一种单播报文处理设备,其特征在于,包括:接收模块、获取模块、确定模块和处理模块,所述接收模块用于,接收单播报文;
所述获取模块用于,获取所述单播报文中携带的源网际互联协议IP地址;
所述确定模块用于,确定所述单播报文的入接口;
所述处理模块用于,当所述入接口的单播反向路径检查URPF模式开启时,根据开启的URPF模式类型获取访问控制列表ACL中预设的策略,并根据所述源IP地址、所述入接口和所述策略,处理所述单播报文。
16.一种计算机设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1-14任一项所述的单播报文处理方法。
17.一种计算机可读介质,其上存储有计算机程序,其中,所述程序被执行时实现如权利要求1-14任一项所述的单播报文处理方法。
CN202010886294.8A 2020-08-28 2020-08-28 单播报文处理方法、装置、计算机设备和可读介质 Pending CN114124816A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010886294.8A CN114124816A (zh) 2020-08-28 2020-08-28 单播报文处理方法、装置、计算机设备和可读介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010886294.8A CN114124816A (zh) 2020-08-28 2020-08-28 单播报文处理方法、装置、计算机设备和可读介质

Publications (1)

Publication Number Publication Date
CN114124816A true CN114124816A (zh) 2022-03-01

Family

ID=80375096

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010886294.8A Pending CN114124816A (zh) 2020-08-28 2020-08-28 单播报文处理方法、装置、计算机设备和可读介质

Country Status (1)

Country Link
CN (1) CN114124816A (zh)

Similar Documents

Publication Publication Date Title
EP1632063B1 (en) Method and appartus for packet claasification and rewriting
US7792113B1 (en) Method and system for policy-based forwarding
CN110808913B (zh) 报文处理的方法、装置及相关设备
US8121134B2 (en) Spoof checking within a label switching computer network
US7680114B2 (en) Packet forwarding device with packet filter
US9660903B2 (en) Method and system for inserting an openflow flow entry into a flow table using openflow protocol
CN110278152B (zh) 一种建立快速转发表的方法及装置
US20120020364A1 (en) Border gateway protocol inbound policy optimization
CN110830371A (zh) 报文重定向方法、装置、电子设备及可读存储介质
US7940765B2 (en) Limiting unauthorized sources in a multicast distribution tree
US20170346790A1 (en) System and method for a fallback access control list port configuration
RU2642812C2 (ru) Способ и устройство переадресации сообщений
CN114422415B (zh) 在分段路由中的出口节点处理流
US7778250B2 (en) Method and apparatus for securing a layer II bridging switch/switch for subscriber aggregation
WO2024093478A1 (zh) 基于策略路由的数据处理方法和装置、设备和存储介质
CN111107008A (zh) 一种反向路径检查方法和装置
CN114124816A (zh) 单播报文处理方法、装置、计算机设备和可读介质
US11799756B2 (en) Route learning method, packet forwarding method and device, and storage medium
EP3905634B1 (en) Network defense method and security detection device
CN112866115B (zh) 一种实现透明串接的方法、装置、电子设备及存储介质
CN111654558B (zh) Arp交互与内网流量转发方法、装置和设备
EP3073701B1 (en) Network protection entity and method for protecting a communication network against fraud messages
CN112448912B (zh) 一种防报文攻击方法、装置及存储介质
WO2024045599A1 (zh) 报文匹配方法、计算机设备和计算机可读存储介质
CN110958185B (zh) 基于业务的QoS配置方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination