CN115604183B - 一种报文处理方法、装置、网络设备及存储介质 - Google Patents
一种报文处理方法、装置、网络设备及存储介质 Download PDFInfo
- Publication number
- CN115604183B CN115604183B CN202110778537.0A CN202110778537A CN115604183B CN 115604183 B CN115604183 B CN 115604183B CN 202110778537 A CN202110778537 A CN 202110778537A CN 115604183 B CN115604183 B CN 115604183B
- Authority
- CN
- China
- Prior art keywords
- message
- protocol type
- srv
- positioning
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title abstract description 19
- 238000000034 method Methods 0.000 claims abstract description 43
- 230000015654 memory Effects 0.000 claims description 37
- 238000004891 communication Methods 0.000 claims description 24
- 238000004590 computer program Methods 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 9
- 230000001360 synchronised effect Effects 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000005291 magnetic effect Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 238000005538 encapsulation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000005294 ferromagnetic effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种报文处理方法、装置、网络设备及存储介质。所述方法包括:防火墙设备接收第一报文,确定所述第一报文为SRv6报文的情况下,解析所述第一报文,获得所述第一报文中的定位信息和协议类型;所述定位信息包括位于SRv6隧道两端的节点设备的定位地址信息;基于所述第一报文对应的所述定位信息和所述协议类型匹配预先建立的第一类会话信息;确定所述第一报文对应的所述定位信息和所述协议类型与预先建立的第一类会话信息均不匹配的情况下,基于所述第一报文对应的定位信息和协议类型建立第一类会话信息。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种报文处理方法、装置、网络设备及存储介质。
背景技术
SRv6基于源路由理念而设计的在网络上转发互联网协议第6版(IPv6,InternetProtocol Version 6)数据包的一种协议。通过在IPv6报文中插入一个段路由头(SRH,Segment Routing Header),在SRH中压入一个显式的IPv6地址栈,通过中间节点不断的进行更新目的地址和偏移地址栈的操作来完成逐跳转发。
SRv6隧道通过防火墙时,通常通过建立会话表的方式进行报文转发。会话表一般包括源地址、目的地址、源端口、目的端口、协议类型这五元组信息。回程流量及后续报文根据五元组查询会话表,命中会话表转发。
然而,会话表中的源地址和目的地址通常与反向报文的地址不一致,这样会导致反向报文无法命中会话表而进行转发。
发明内容
为解决现有存在的技术问题,本发明实施例提供一种报文处理方法、装置、网络设备及存储介质。
为达到上述目的,本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种报文处理方法,所述方法包括:
防火墙设备接收第一报文,确定所述第一报文为SRv6报文的情况下,解析所述第一报文,获得所述第一报文中的定位信息和协议类型;所述定位信息包括位于SRv6隧道两端的节点设备的定位地址信息;
基于所述第一报文对应的所述定位信息和所述协议类型匹配预先建立的第一类会话信息;
确定所述第一报文对应的所述定位信息和所述协议类型与预先建立的第一类会话信息均不匹配的情况下,基于所述第一报文对应的定位信息和协议类型建立第一类会话信息。
上述方案中,所述获得所述第一报文中的定位信息,包括:
确定所述第一报文中的定位标识的长度,基于所述定位标识的长度从所述第一报文中获得位于SRv6隧道两端的节点设备的定位地址信息。
上述方案中,所述确定所述第一报文中的定位标识的长度,包括:
识别所述第一报文中的变量标识的预设比特位,基于所述预设比特位确定所述定位标识的长度。
上述方案中,所述确定所述第一报文中的定位标识的长度,包括:
基于预先约定的方式确定所述第一报文中的定位标识的长度。
上述方案中,所述基于所述第一报文对应的定位信息和协议类型建立第一类会话信息之前,所述方法还包括:
判断所述第一报文是否满足预设安全策略;
相应的,所述基于所述第一报文对应的定位信息和协议类型建立第一类会话信息,包括:
在所述第一报文满足预设安全策略的情况下,基于所述第一报文对应的定位信息和协议类型建立第一类会话信息。
上述方案中,判断所述第一报文是否为SRv6报文之前,所述方法还包括:
获取所述第一报文中的源地址、目的地址、源端口、目的端口和协议类型;
基于所述源地址、目的地址、源端口、目的端口和协议类型匹配预先建立的第二类会话信息;
相应的,判断所述第一报文是否为SRv6报文,包括:
在所述源地址、目的地址、源端口、目的端口和协议类型匹配预先建立的第二类会话信息均不匹配的情况下,判断所述第一报文是否为SRv6报文。
上述方案中,所述方法还包括:
接收第二报文,确定所述第二报文为SRv6报文时,解析所述第二报文,获得所述第二报文中的定位信息和协议类型;
基于所述第二报文对应的所述定位信息和所述协议类型匹配预先建立的第一类会话信息;
确定所述第二报文对应的所述定位信息和所述协议类型与任一个第一类会话信息匹配一致时,对所述第二报文进行处理以及报文转发。
本发明实施例还提供了一种报文处理装置,所述装置包括:通信单元、第一判断单元、获取单元、匹配单元和会话信息建立单元;其中,
所述通信单元,用于接收第一报文;
所述第一判断单元,用于判断所述通信单元接收的所述第一报文是否为SRv6报文;
所述获取单元,用于所述第一判断单元确定所述第一报文为SRv6报文的情况下,解析所述第一报文,获得所述第一报文中的定位信息和协议类型;所述定位信息包括位于SRv6隧道两端的节点设备的定位地址信息;
所述匹配单元,用于基于所述第一报文对应的所述定位信息和所述协议类型匹配预先建立的第一类会话信息;
所述会话建立单元,用于所述匹配单元确定所述第一报文对应的所述定位信息和所述协议类型与预先建立的第一类会话信息均不匹配的情况下,基于所述第一报文对应的定位信息和协议类型建立第一类会话信息。
上述方案中,所述获取单元,用于确定所述第一报文中的定位标识的长度,基于所述定位标识的长度从所述第一报文中获得位于SRv6隧道两端的节点设备的定位地址信息。
上述方案中,所述获取单元,用于识别所述第一报文中的变量标识的预设比特位,基于所述预设比特位确定所述定位标识的长度。
上述方案中,所述获取单元,用于基于预先约定的方式确定所述第一报文中的定位标识的长度。
上述方案中,所述装置还包括第二判断单元,用于判断所述第一报文是否满足预设安全策略;
所述会话建立单元,用于在所述第二判断单元判定所述第一报文满足预设安全策略的情况下,基于所述第一报文对应的定位信息和协议类型建立第一类会话信息。
上述方案中,所述获取单元,还用于获取所述第一报文中的源地址、目的地址、源端口、目的端口和协议类型;
所述匹配单元,还用于基于所述源地址、目的地址、源端口、目的端口和协议类型匹配预先建立的第二类会话信息;
所述第一判断单元,用于在所述匹配单元确定所述源地址、目的地址、源端口、目的端口和协议类型匹配预先建立的第二类会话信息均不匹配的情况下,判断所述第一报文是否为SRv6报文。
上述方案中,所述通信单元,还用于接收第二报文;
所述第一判断单元,还用于判断所述通信单元接收的所述第二报文是否为SRv6报文;
所述获取单元,还用于所述第一判断单元确定所述第二报文为SRv6报文的情况下,解析所述第二报文,获得所述第二报文中的定位信息和协议类型;
所述匹配单元,还用于基于所述第二报文对应的所述定位信息和所述协议类型匹配预先建立的第一类会话信息;
所述通信单元,还用于所述匹配单元确定所述第二报文对应的所述定位信息和所述协议类型与任一个第一类会话信息匹配一致时,对所述第二报文进行处理以及报文转发。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例所述报文处理方法的步骤。
本发明实施例还提供了一种网络设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明实施例所述报文处理方法的步骤。
本发明实施例提供的报文处理方法、装置、网络设备及存储介质,防火墙设备接收第一报文,确定所述第一报文为SRv6报文的情况下,解析所述第一报文,获得所述第一报文中的定位信息和协议类型;所述定位信息包括位于SRv6隧道两端的节点设备的定位地址信息;基于所述第一报文对应的所述定位信息和所述协议类型匹配预先建立的第一类会话信息;确定所述第一报文对应的所述定位信息和所述协议类型与预先建立的第一类会话信息均不匹配的情况下,基于所述第一报文对应的定位信息和协议类型建立第一类会话信息。采用本发明实施例的技术方案,在防火墙设备上,基于SRv6隧道两端的节点设备的定位地址信息建立第一类会话信息,从而解决了SRv6隧道的回程报文无法命中会话表的问题,实现了SRv6报文在防火墙的快速转发。
附图说明
图1为相关技术方案中的报文传输示意图;
图2为本发明实施例的报文处理方法的流程示意图一;
图3为本发明实施例的报文处理方法中的Locator的长度的识别方式示意图;
图4为本发明实施例的报文传输示意图;
图5为本发明实施例的报文处理方法的流程示意图二;
图6为本发明实施例的报文处理装置的组成结构示意图;
图7为本发明实施例的网络设备的硬件组成结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步详细的说明。
SRv6也可称为基于互联网协议第6版(IPv6,Internet Protocol Version 6)的分段路由(SR,Segment Routing),是近些年热烈研讨的新技术。图1为相关技术方案中的报文传输示意图;如图1所示,假设网络中包括节点1、节点2、节点3、节点4和节点5,节点1的IP地址假设为10.1.1.1,节点5的IP地址假设为10.5.5.5;其中,节点2至节点4之间为SRv6隧道,即节点2至节点4之间的传输需要按照SRv6规定的方式进行报文封装并进行报文转发。参照图1所示,从节点1发送至节点5的流量可称为正向流量,反之,从节点5发送至节点1的流量可称为回程流量。对于正向流量,在节点2上封装SRv6隧道,源地址是节点2的地址A2::10,目的地址是下一跳节点3的地址A3::1,分段列表(Segment List)中是SRv6网络中的选路路径。最后一跳,目的地址中A4::100在节点4上映射到私网VPN1。对于回程流量,在节点4上封装SRv6隧道,源地址是节点4的地址A4::10,目的地址是下一跳节点3的地址A3::1,经过节点3的转发后到达防火墙时,源地址不变,目的地址为A2::1。最后一跳的目的地址中A2::100在节点2上映射到私网VPN1。
正向流量经过防火墙,检查满足预设安全策略后,建立会话表,其中,会话表一般包括源地址、目的地址、源端口、目的端口、协议类型这五元组信息。在图1所示的示例中,源地址为A2::10,目的地址为A3::1;回程流量经过防火墙时,源地址为A4::10,目的地址为A2::1,这样无法命中会话表从而进行报文转发。
基于此,提出本发明以下各实施例。
本发明实施例提供了一种报文处理方法。图2为本发明实施例的报文处理方法的流程示意图一;如图2所示,所述方法包括:
步骤101:接收第一报文,确定所述第一报文为SRv6报文的情况下,解析所述第一报文,获得所述第一报文中的定位信息和协议类型;所述定位信息包括位于SRv6隧道两端的节点设备的定位地址信息;
步骤102:基于所述第一报文对应的所述定位信息和所述协议类型匹配预先建立的第一类会话信息;
步骤103:确定所述第一报文对应的所述定位信息和所述协议类型与预先建立的第一类会话信息均不匹配的情况下,基于所述第一报文对应的定位信息和协议类型建立第一类会话信息。
本实施例的报文处理方法应用于网络设备中,所述网络设备具体是防火墙设备。示例性的,参考图1所示,所述防火墙设备具体可以是位于SRv6隧道中的防火墙设备。以下以防火墙设备作为执行主体为例进行说明。
本实施例中,防火墙设备接收到第一报文后,在确定第一报文为SRv6报文的情况下,解析所述第一报文,获得所述第一报文中的定位信息和协议类型;若所述第一报文无法命中第一类会话信息,则可表明所述第一报文为首个报文,基于所述第一报文对应的所述定位信息和所述协议类型建立第一类会话信息,后续的报文则可通过匹配所述第一类会话信息从而进行报文的转发。
在本发明各实施例中,所述第一类会话信息也可称为第一类会话表、SRv6会话信息或SRv6会话表,本发明实施例对所述第一类会话信息的名称不做限定,只要能实现第一类会话信息的功能即可。相应的,上述示例中的包括源地址、目的地址、源端口、目的端口、协议类型这五元组信息的会话信息记为第二类会话信息,所述第二类会话信息也可称为第二类会话表、普通会话表、常规会话表等等,本发明实施例对所述第二类会话信息的名称不做限定,只要能实现第二类会话信息的功能即可。
在一些可选实施例中,所述第一报文中的定位信息包括位于SRv6隧道两端的节点设备的定位地址信息,参照图1所示的示例,所述定位信息则包括节点2和节点4的定位地址信息。
其中,示例性的,上述定位地址信息也可称为定位(Locator)信息。其中,SRv6的分段路由头(SRH,Segment Routing Head)中的分段列表(Segment List)中的每个段标识(SID,Segment)中,通常包括:定位(Locator)、功能(Function)和变量(Args)三个部分。其中,定位(Locator)中的信息为网络分配给网络节点的标识,可以用于路由和转发数据包;其中,定位(Locator)是一个可变的部分,用于适配不同规模的网络。
本实施例中,防火墙设备解析第一报文(或SRv6报文),获得所述第一报文中携带的源地址中的Locator,以及最后一跳地址的Locator,协议类型为SRv6,则基于源地址中的Locator、最后一跳地址的Locator以及协议类型为SRv6建立第一类会话信息。
本实施例中,由于定位(Locator)是一个可变的部分,则防火墙设备需要先确定定位(Locator)标识的长度,进而根据定位(Locator)标识的长度从所述第一报文中获得位于SRv6隧道两端的节点设备的定位地址信息,也即获得第一报文中的表征源节点的Locator信息以及表征SRv6隧道的最后一跳节点的Locator信息。
则在一些可选实施例中,所述获得所述第一报文中的定位信息,包括:确定所述第一报文中的定位标识的长度,基于所述定位标识的长度从所述第一报文中获得位于SRv6隧道两端的节点设备的定位地址信息。
作为一种实施方式,所述确定所述第一报文中的定位标识的长度,包括:识别所述第一报文中的变量标识的预设比特位,基于所述预设比特位确定所述定位标识的长度。
本实施例中,防火墙设备可根据变量(Args)标识字段实现定位(Locator)标识的长度的自动识别。示例性的,可通过变量(Args)标识字段中的预设比特位表示定位(Locator)标识的长度。参考图3所示,例如预设比特位可以为变量(Args)标识字段中的低8比特(bit)位表示定位(Locator)标识的长度。则防火墙设备可通过解析变量(Args)标识字段的低8比特(bit)位,确定定位(Locator)标识的长度。
作为另一种实施方式,所述确定所述第一报文中的定位标识的长度,包括:基于预先约定的方式确定所述第一报文中的定位标识的长度。
本实施例中,也可采用预先约定的方式确定定位(Locator)标识的长度,例如在防火墙设备上预先配置好定位(Locator)标识的长度。
在本发明的一些可选实施例中,所述基于所述第一报文对应的定位信息和协议类型建立第一类会话信息之前,所述方法还包括:判断所述第一报文是否满足预设安全策略;相应的,所述基于所述第一报文对应的定位信息和协议类型建立第一类会话信息,包括:在所述第一报文满足预设安全策略的情况下,基于所述第一报文对应的定位信息和协议类型建立第一类会话信息。
本实施例中,在基于所述第一报文对应的定位信息和协议类型建立第一类会话信息之前,查询预设安全策略,并在所述第一报文满足预设安全策略的情况下,在基于所述第一报文对应的定位信息和协议类型建立第一类会话信息;若所述第一报文不满足预设安全策略,则不会基于所述第一报文对应的定位信息和协议类型建立第一类会话信息,且禁止对第一报文的传输,丢弃第一报文。其中,所述预设安全策略是指对报文的安全检查的策略(Policy),可以采用常规技术方案中任意对SRv6报文的安全检查的策略。
在本发明的一些可选实施例中,判断所述第一报文是否为SRv6报文之前,所述方法还包括:获取所述第一报文中的源地址、目的地址、源端口、目的端口和协议类型;基于所述源地址、目的地址、源端口、目的端口和协议类型匹配预先建立的第二类会话信息;相应的,判断所述第一报文是否为SRv6报文,包括:在所述源地址、目的地址、源端口、目的端口和协议类型匹配预先建立的第二类会话信息均不匹配的情况下,判断所述第一报文是否为SRv6报文。
本实施例中,防火墙设备可先判断第一报文是否命中第二类会话信息;在第一报文命中第二类会话信息的情况下,则可按照常规技术方案中的安全策略进行检查以及报文转发;在第一报文未命中第二类会话信息的情况下,进一步判断第一报文是否为SRv6报文。
在本发明的一些可选实施例中,所述方法还包括:接收第二报文,确定所述第二报文为SRv6报文时,解析所述第二报文,获得所述第二报文中的定位信息和协议类型;基于所述第二报文对应的所述定位信息和所述协议类型匹配预先建立的第一类会话信息;确定所述第二报文对应的所述定位信息和所述协议类型与任一个第一类会话信息匹配一致时,对所述第二报文进行处理以及报文转发。
本实施例中,防火墙设备在接收到第二报文的情况下,若第二报文中的定位信息和协议类型匹配任一个第一类会话信息,则对该第二报文进行处理以及报文转发。其中,示例性的,所述第二报文可以是所述第一报文的回程报文。
采用本发明实施例的技术方案,在防火墙设备上,基于SRv6隧道两端的节点设备的定位地址信息建立第一类会话信息,无需感知封装SRv6隧道的Function业务数据,从而解决了SRv6隧道的回程报文无法命中会话表的问题,实现了SRv6报文在防火墙的快速转发,也节约了防火墙会话资源,应用前景广泛。
下面结合一个具体的示例对本发明实施例的报文处理方法进行说明。
图4为本发明实施例的报文传输示意图;与图1示例相似的是,本示例中,网络中包括节点1、节点2、节点3、节点4和节点5,节点1的IP地址假设为10.1.1.1,节点5的IP地址假设为10.5.5.5;其中,节点2至节点4之间为SRv6隧道,从节点1发送至节点5的流量可称为正向流量,反之,从节点5发送至节点1的流量可称为回程流量。
在规划网络时,统一约定采用变量(Args)标识字段的固定bit位表示定位(Locator)标识的长度,本示例中采用低8bit位表示定位(Locator)标识的长度。
在配置阶段,需要为各个节点配置Locator。这里,定义节点2的SRv6地址时,locator:A2::/64,则可配置节点2上loopback地址A2::40,END.DT4SID:A2::140。定义节点4的SRv6地址时,locator:A4::/32,则可配置节点4上loopback地址A4::20,END.DT4 SID:A4::120。则防火墙设备可根据报文中的locator:A2::/64和locator:A4::/32以及协议类型建立第一类会话表(也可称为SRv6会话表),本示例中,第一类会话表(也可称为SRv6会话表)中包括:源地址:A2::/64,目的地址:A4::/32以及协议类型SRv6。
图5为本发明实施例的报文处理方法的流程示意图二;如图5所示,所述方法包括:
步骤201:正向流量首个报文到达防火墙时,防火墙设备匹配第二类会话表,匹配失败后执行步骤202;匹配成功执行步骤208。
步骤202:防火墙设备根据扩展头判断首个报文是否是SRv6报文,确定该首个报文是SRv6报文时,执行步骤203,并记录此报文是SRv6报文。
步骤203:防火墙设备解析报文,获取源locator(由A2::40,解析出源locatorA2::/64),根据SRH最后一跳获取目的locator(由SID[0]=A4::120解析出目的locatorA4::/32),协议类型SRv6,根据这三元组信息匹配第一类会话表(即SRv6会话表),并记录该三元组信息。由于此报文是首个报文,无法匹配到第一类会话表,进入步骤204。
步骤204:查询预设安全策略,判断该报文是否满足预设安全策略后;在该报文满足预设安全策略后,进入步骤205。
步骤205:根据步骤202记录的报文是否是SRv6报文,确定该报文是SRv6报文后,执行步骤206。
步骤206:根据步骤203获取的源locator、目的locator和协议类型建立第一类会话表(即SRv6会话表),进一步执行步骤208。
步骤207:建立第二类会话表。
步骤208:根据防火墙配置进行下一步处理及报文转发流程。
上述示例是正向报文的处理过程。对于回程报文,通常已建立对应的第一类会话表,则接收到回程报文时,首先匹配第二类会话表,匹配失败后进一步判断是否是SRv6报文,确定该首个报文是SRv6报文时,解析报文,获取源locator、目的locator以及协议类型,根据获取的上述三元组信息匹配第一类会话表,匹配成功后执行下一步的处理以及报文转发。
本发明实施例还提供了一种报文处理装置。图6为本发明实施例的报文处理装置的组成结构示意图;如图6所示,所述装置包括:通信单元31、第一判断单元32、获取单元33、匹配单元34和会话信息建立单元35;其中,
所述通信单元31,用于接收第一报文;
所述第一判断单元32,用于判断所述通信单元31接收的所述第一报文是否为SRv6报文;
所述获取单元33,用于所述第一判断单元32确定所述第一报文为SRv6报文的情况下,解析所述第一报文,获得所述第一报文中的定位信息和协议类型;所述定位信息包括位于SRv6隧道两端的节点设备的定位地址信息;
所述匹配单元34,用于基于所述第一报文对应的所述定位信息和所述协议类型匹配预先建立的第一类会话信息;
所述会话建立单元,用于所述匹配单元34确定所述第一报文对应的所述定位信息和所述协议类型与预先建立的第一类会话信息均不匹配的情况下,基于所述第一报文对应的定位信息和协议类型建立第一类会话信息。
在本发明的一些可选实施例中,所述获取单元33,用于确定所述第一报文中的定位标识的长度,基于所述定位标识的长度从所述第一报文中获得位于SRv6隧道两端的节点设备的定位地址信息。
在本发明的一些可选实施例中,所述获取单元33,用于识别所述第一报文中的变量标识的预设比特位,基于所述预设比特位确定所述定位标识的长度。
在本发明的一些可选实施例中,所述获取单元33,用于基于预先约定的方式确定所述第一报文中的定位标识的长度。
在本发明的一些可选实施例中,所述装置还包括第二判断单元,用于判断所述第一报文是否满足预设安全策略;
所述会话建立单元,用于在所述第二判断单元判定所述第一报文满足预设安全策略的情况下,基于所述第一报文对应的定位信息和协议类型建立第一类会话信息。
在本发明的一些可选实施例中,所述获取单元33,还用于获取所述第一报文中的源地址、目的地址、源端口、目的端口和协议类型;
所述匹配单元34,还用于基于所述源地址、目的地址、源端口、目的端口和协议类型匹配预先建立的第二类会话信息;
所述第一判断单元32,还用于在所述匹配单元34确定所述源地址、目的地址、源端口、目的端口和协议类型匹配预先建立的第二类会话信息均不匹配的情况下,判断所述第一报文是否为SRv6报文。
在本发明的一些可选实施例中,所述通信单元31,还用于接收第二报文;
所述第一判断单元32,还用于判断所述通信单元31接收的所述第二报文是否为SRv6报文;
所述获取单元33,还用于所述第一判断单元32确定所述第二报文为SRv6报文的情况下,解析所述第二报文,获得所述第二报文中的定位信息和协议类型;
所述匹配单元34,还用于基于所述第二报文对应的所述定位信息和所述协议类型匹配预先建立的第一类会话信息;
所述通信单元31,还用于所述匹配单元34确定所述第二报文对应的所述定位信息和所述协议类型与任一个第一类会话信息匹配一致时,对所述第二报文进行处理以及报文转发。
本发明实施例中,所述报文处理装置应用于网络设备中,所述网络设备具体可以是防火墙设备。所述装置中的第一判断单元32、获取单元33、匹配单元34、会话信息建立单元35和第二判断单元,在实际应用中均可由中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital Signal Processor)、微控制单元(MCU,MicrocontrollerUnit)或可编程门阵列(FPGA,Field-Programmable Gate Array)实现;所述装置中的通讯单元,在实际应用中可通过通信模组(包含:基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
需要说明的是:上述实施例提供的报文处理装置在进行报文处理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的报文处理装置与报文处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本发明实施例还提供了一种网络设备,所述网络设备具体可以是防火墙设备。图7为本发明实施例的网络设备的硬件组成结构示意图,如图7所示,所述网络设备包括存储器42、处理器41及存储在存储器42上并可在处理器41上运行的计算机程序,所述处理器41执行所述程序时实现本发明实施例所述报文处理方法的步骤。
可选地,所述网络设备还可包括一个或多个网络接口43。可以理解,所述网络设备中的各个组件通过总线系统44耦合在一起。可理解,总线系统44用于实现这些组件之间的连接通信。总线系统44除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图7中将各种总线都标为总线系统44。
可以理解,存储器42可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,Ferromagnetic Random Access Memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器42旨在包括但不限于这些和任意其它适合类型的存储器。
上述本发明实施例揭示的方法可以应用于处理器41中,或者由处理器41实现。处理器41可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器41中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器41可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器41可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器42,处理器41读取存储器42中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,网络设备可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、FPGA、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或其他电子元件实现,用于执行前述方法。
在示例性实施例中,本发明实施例还提供了一种计算机可读存储介质,例如包括计算机程序的存储器42,上述计算机程序可由网络设备的处理器41执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
本发明实施例提供的计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例所述报文处理方法的步骤。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (16)
1.一种报文处理方法,其特征在于,所述方法包括:
防火墙设备接收第一报文,确定所述第一报文为SRv6报文的情况下,解析所述第一报文,获得所述第一报文中的定位信息和协议类型;所述定位信息包括位于SRv6隧道两端的节点设备的定位地址信息;
基于所述第一报文对应的所述定位信息和所述协议类型匹配预先建立的第一类会话信息;
确定所述第一报文对应的所述定位信息和所述协议类型与预先建立的第一类会话信息均不匹配的情况下,基于所述第一报文对应的定位信息和协议类型建立第一类会话信息。
2.根据权利要求1所述的方法,其特征在于,所述获得所述第一报文中的定位信息,包括:
确定所述第一报文中的定位标识的长度,基于所述定位标识的长度从所述第一报文中获得位于SRv6隧道两端的节点设备的定位地址信息。
3.根据权利要求2所述的方法,其特征在于,所述确定所述第一报文中的定位标识的长度,包括:
识别所述第一报文中的变量标识的预设比特位,基于所述预设比特位确定所述定位标识的长度。
4.根据权利要求2所述的方法,其特征在于,所述确定所述第一报文中的定位标识的长度,包括:
基于预先约定的方式确定所述第一报文中的定位标识的长度。
5.根据权利要求1所述的方法,其特征在于,所述基于所述第一报文对应的定位信息和协议类型建立第一类会话信息之前,所述方法还包括:
判断所述第一报文是否满足预设安全策略;
相应的,所述基于所述第一报文对应的定位信息和协议类型建立第一类会话信息,包括:
在所述第一报文满足预设安全策略的情况下,基于所述第一报文对应的定位信息和协议类型建立第一类会话信息。
6.根据权利要求1所述的方法,其特征在于,判断所述第一报文是否为SRv6报文之前,所述方法还包括:
获取所述第一报文中的源地址、目的地址、源端口、目的端口和协议类型;
基于所述源地址、目的地址、源端口、目的端口和协议类型匹配预先建立的第二类会话信息;
相应的,判断所述第一报文是否为SRv6报文,包括:
在所述源地址、目的地址、源端口、目的端口和协议类型匹配预先建立的第二类会话信息均不匹配的情况下,判断所述第一报文是否为SRv6报文。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述方法还包括:
接收第二报文,确定所述第二报文为SRv6报文时,解析所述第二报文,获得所述第二报文中的定位信息和协议类型;
基于所述第二报文对应的所述定位信息和所述协议类型匹配预先建立的第一类会话信息;
确定所述第二报文对应的所述定位信息和所述协议类型与任一个第一类会话信息匹配一致时,对所述第二报文进行处理以及报文转发。
8.一种报文处理装置,其特征在于,所述装置包括:通信单元、第一判断单元、获取单元、匹配单元和会话信息建立单元;其中,
所述通信单元,用于接收第一报文;
所述第一判断单元,用于判断所述通信单元接收的所述第一报文是否为SRv6报文;
所述获取单元,用于所述第一判断单元确定所述第一报文为SRv6报文的情况下,解析所述第一报文,获得所述第一报文中的定位信息和协议类型;所述定位信息包括位于SRv6隧道两端的节点设备的定位地址信息;
所述匹配单元,用于基于所述第一报文对应的所述定位信息和所述协议类型匹配预先建立的第一类会话信息;
所述会话信息建立单元,用于所述匹配单元确定所述第一报文对应的所述定位信息和所述协议类型与预先建立的第一类会话信息均不匹配的情况下,基于所述第一报文对应的定位信息和协议类型建立第一类会话信息。
9.根据权利要求8所述的装置,其特征在于,所述获取单元,用于确定所述第一报文中的定位标识的长度,基于所述定位标识的长度从所述第一报文中获得位于SRv6隧道两端的节点设备的定位地址信息。
10.根据权利要求9所述的装置,其特征在于,所述获取单元,用于识别所述第一报文中的变量标识的预设比特位,基于所述预设比特位确定所述定位标识的长度。
11.根据权利要求9所述的装置,其特征在于,所述获取单元,用于基于预先约定的方式确定所述第一报文中的定位标识的长度。
12.根据权利要求8所述的装置,其特征在于,所述装置还包括第二判断单元,用于判断所述第一报文是否满足预设安全策略;
所述会话信息建立单元,用于在所述第二判断单元判定所述第一报文满足预设安全策略的情况下,基于所述第一报文对应的定位信息和协议类型建立第一类会话信息。
13.根据权利要求8所述的装置,其特征在于,所述获取单元,还用于获取所述第一报文中的源地址、目的地址、源端口、目的端口和协议类型;
所述匹配单元,还用于基于所述源地址、目的地址、源端口、目的端口和协议类型匹配预先建立的第二类会话信息;
所述第一判断单元,用于在所述匹配单元确定所述源地址、目的地址、源端口、目的端口和协议类型匹配预先建立的第二类会话信息均不匹配的情况下,判断所述第一报文是否为SRv6报文。
14.根据权利要求8至13任一项所述的装置,其特征在于,所述通信单元,还用于接收第二报文;
所述第一判断单元,还用于判断所述通信单元接收的所述第二报文是否为SRv6报文;
所述获取单元,还用于所述第一判断单元确定所述第二报文为SRv6报文的情况下,解析所述第二报文,获得所述第二报文中的定位信息和协议类型;
所述匹配单元,还用于基于所述第二报文对应的所述定位信息和所述协议类型匹配预先建立的第一类会话信息;
所述通信单元,还用于所述匹配单元确定所述第二报文对应的所述定位信息和所述协议类型与任一个第一类会话信息匹配一致时,对所述第二报文进行处理以及报文转发。
15.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。
16.一种网络设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至7任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110778537.0A CN115604183B (zh) | 2021-07-09 | 2021-07-09 | 一种报文处理方法、装置、网络设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110778537.0A CN115604183B (zh) | 2021-07-09 | 2021-07-09 | 一种报文处理方法、装置、网络设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115604183A CN115604183A (zh) | 2023-01-13 |
| CN115604183B true CN115604183B (zh) | 2024-04-19 |
Family
ID=84841496
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110778537.0A Active CN115604183B (zh) | 2021-07-09 | 2021-07-09 | 一种报文处理方法、装置、网络设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115604183B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10009275B1 (en) * | 2016-11-15 | 2018-06-26 | Amazon Technologies, Inc. | Uniform route distribution for a forwarding table |
| CN112511430A (zh) * | 2020-06-28 | 2021-03-16 | 中兴通讯股份有限公司 | 信息交互、隧道建立方法、装置、通信节点及存储介质 |
-
2021
- 2021-07-09 CN CN202110778537.0A patent/CN115604183B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10009275B1 (en) * | 2016-11-15 | 2018-06-26 | Amazon Technologies, Inc. | Uniform route distribution for a forwarding table |
| CN112511430A (zh) * | 2020-06-28 | 2021-03-16 | 中兴通讯股份有限公司 | 信息交互、隧道建立方法、装置、通信节点及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115604183A (zh) | 2023-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110034971B (zh) | 检测业务链的方法及装置 | |
| CN113259238B (zh) | 分段标识的处理方法及设备 | |
| CN108011824B (zh) | 一种报文处理方法以及网络设备 | |
| CN107580079B (zh) | 一种报文传输方法和装置 | |
| CA2947325A1 (en) | Protocol type identification method and apparatus | |
| CN113595897B (zh) | 一种路径探测方法及装置 | |
| CN112887229B (zh) | 一种会话信息同步方法及装置 | |
| US20220393908A1 (en) | Message Encapsulation Method and Apparatus, and Message Decapsulation Method and Apparatus | |
| US20110110220A1 (en) | System, apparatus and method for removing unwanted information from captured data packets | |
| EP4024782A1 (en) | Method by which host network performance requirements may be programmed, device and system | |
| CN114465931B (zh) | 网络探测方法、装置、电子设备及存储介质 | |
| US20240106751A1 (en) | Method and apparatus for processing detnet data packet | |
| CN107370654B (zh) | 一种伪线数据报文的封装、解封装方法和相关装置 | |
| CN107070719B (zh) | 一种设备管理方法和装置 | |
| WO2021180084A1 (zh) | 一种数据传输方法、节点和存储介质 | |
| JP2023531987A (ja) | インサイチュフロー検出方法及び電子デバイス | |
| CN113839894A (zh) | 报文处理方法及系统 | |
| US20230327983A1 (en) | Performance measurement in a segment routing network | |
| CN115604183B (zh) | 一种报文处理方法、装置、网络设备及存储介质 | |
| US11909650B2 (en) | Internet protocol operations and management option | |
| CN108848202B (zh) | 电子装置、数据传输方法及相关产品 | |
| CN114285769B (zh) | 共享上网检测方法、装置、设备及存储介质 | |
| CN107547687B (zh) | 一种报文传输方法和装置 | |
| CN109167731B (zh) | 报文发送方法及装置 | |
| WO2023134350A1 (zh) | 一种报文发送方法、报文接收方法、信息发送方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |