CN116055387A - 组播报文处理方法、装置、服务器和介质 - Google Patents
组播报文处理方法、装置、服务器和介质 Download PDFInfo
- Publication number
- CN116055387A CN116055387A CN202211710606.5A CN202211710606A CN116055387A CN 116055387 A CN116055387 A CN 116055387A CN 202211710606 A CN202211710606 A CN 202211710606A CN 116055387 A CN116055387 A CN 116055387A
- Authority
- CN
- China
- Prior art keywords
- port
- multicast
- pim
- detection
- multicast message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 14
- 238000001514 detection method Methods 0.000 claims abstract description 105
- 238000012545 processing Methods 0.000 claims abstract description 88
- 238000000034 method Methods 0.000 claims abstract description 33
- 230000005540 biological transmission Effects 0.000 claims abstract description 28
- 230000003068 static effect Effects 0.000 claims description 34
- 238000003860 storage Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 9
- 230000010365 information processing Effects 0.000 claims description 4
- 230000007246 mechanism Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000007689 inspection Methods 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000002829 reductive effect Effects 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000036961 partial effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/16—Multipoint routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例提供了一种组播报文处理方法、装置、服务器和介质,涉及互联网技术领域,方法应用于传输服务器,传输服务器中预存有多种端口类型,以及各端口类型分别对应的处理策略。方法包括获取待处理的组播报文,确定接收组播报文的端口所属的端口类型,以及该端口类型对应的处理策略,并基于确定的处理策略对组播报文进行处理。其中,处理策略包括执行RPF检测和不执行RPF检测,从而提高了RPF检测的合理性,改善了组播报文转发的可靠性。
Description
技术领域
本发明涉及互联网技术领域,具体而言,涉及一种组播报文处理方法、装置、服务器和介质。
背景技术
当前以太网络三层组播数据转发均采用协议无关组播(Protocol IndependentMulticast,PIM),参考的标准协议为RFC 4601(Protocol Independent Multicast-SparseMode)和RFC 3973(Protocol Independent Multicast-Dense Mode protocol)。这里的协议无关指的是与单播路由协议无关,即PIM不需要维护专门的单播路由信息。作为组播路由解决方案,它直接利用单播路由表的路由信息,对组播报文执行RPF(Reverse PathForwarding,逆向路径转发)检查,检查通过后创建组播路由表项,从而转发组播报文。然而,上述组播报文转发方式的可靠性有待改善。
发明内容
本发明的目的之一包括,例如,提供了一种组播报文处理方法、装置、服务器和介质,以至少部分地改善组播报文转发的可靠性。
本发明的实施例可以这样实现:
第一方面,本发明实施例提供一种组播报文处理方法,应用于传输服务器,所述传输服务器中预存有多种端口类型,以及各端口类型分别对应的处理策略,所述方法包括:
获取待处理的组播报文;
确定接收所述组播报文的端口所属的端口类型,以及该端口类型对应的处理策略;
基于确定的处理策略对所述组播报文进行处理;
其中,所述处理策略包括执行RPF检测和不执行RPF检测。
在可选的实施方式中,所述端口类型包括PIM不可信端口、PIM可信端口和PIM普通端口;
所述PIM不可信端口对应的处理策略包括:从所述PIM不可信端口接收到的组播报文不允许进行组播注册,直接在转发层面进行丢弃;
所述PIM可信端口对应的处理策略包括:从所述PIM可信端口接收到的组播报文不进行RPF检测,直接创建组播路由表,并向所有的出接口转发该组播报文;
所述PIM普通端口对应的处理策略包括:从所述PIM普通端口接收到的组播报文进行RPF检测,RPF检测通过后创建或者更新组播路由表,并向所有的出接口转发该组播报文。
在可选的实施方式中,所述端口类型还包括PIM严格检测端口;
所述PIM严格检测端口对应的处理策略包括:从所述PIM严格检测端口接收到的组播报文进行RPF检测和组播组检测,在RPF检测和组播组检测均通过的情况下,创建或者更新组播路由表,并向所有的出接口转发该组播报文;否则将该组播报文丢弃。
在可选的实施方式中,所述传输服务器中维护的组播路由表包括动态组播路由表和静态组播路由表,其中,所述静态组播路由表的优先级高于动态组播路由表;
所述基于确定的处理策略对所述组播报文进行处理,包括:
在接收所述组播报文的端口所属的端口类型为PIM不可信端口的情况下,该端口有关的动态组播路由表和静态组播路由表均失效,不允许进行组播注册,直接在转发层面进行丢弃;
在接收所述组播报文的端口所属的端口类型为PIM严格检测端口的情况下,进行RPF检测并与所述静态组播路由表中的组播组进行匹配检测,在RPF检测和与所述静态组播路由表中的组播组的匹配检测均通过的情况下,向所有的出接口转发该组播报文;否则将该组播报文丢弃;
在接收所述组播报文的端口所属的端口类型为PIM可信端口的情况下,确定所述动态组播路由表或静态组播路由表中是否创建有对应的表项,若无,创建或者更新动态组播路由表,并向所有的出接口转发该组播报文;
在接收所述组播报文的端口所属的端口类型为PIM普通端口的情况下,进行RPF检测,RPF检测通过后创建或者更新动态组播路由表,并向所有的出接口转发该组播报文。
在可选的实施方式中,所述方法包括:
针对所述PIM普通端口,统计在预定时长内,根据所述PIM普通端口接收到的组播报文进行组播路由表更新或创建的次数;
确定所述次数是否达到设定阈值,若是,按预定规则进行处理。
在可选的实施方式中,所述按预定规则进行处理,包括以下至少一种处理方式:
进行告警;
将端口类型从PIM普通端口调整为PIM不可信端口;
将端口类型从PIM普通端口调整为PIM严格检测端口;
删除所述预定时长内更新或创建的表项;
将所述预定时长外的有效表项转换为静态组播路由表。
在可选的实施方式中,所述PIM可信端口包括直连组播源的端口;
所述PIM不可信端口包括默认配置的端口。
第二方面,本发明实施例提供一种组播报文处理装置,应用于传输服务器,所述传输服务器中预存有多种端口类型,以及各端口类型分别对应的处理策略,所述报文处理装置包括:
信息获取模块,用于获取待处理的组播报文;
信息处理模块,用于确定接收所述组播报文的端口所属的端口类型,以及该端口类型对应的处理策略,基于确定的处理策略对所述组播报文进行处理;
其中,所述处理策略包括执行RPF检测和不执行RPF检测。
第三方面,本发明实施例提供一种传输服务器,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现前述实施方式任一项所述的组播报文处理方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机5可读存储介质包括计算机程序,所述计算机程序运行时控制所述计算机可读存储介质所在传输服务器执行前述实施方式任一项所述的组播报文处理方法。
本发明实施例的有益效果包括,例如:通过设置多种端口类型,针对
不同端口类型,采用不同的处理策略,处理策略包括执行RPF检测和不执0行RPF检测,从而提高了RPF检测的灵活性和合理性,改善了组播报文转
发的可靠性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些5实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,
在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例提供的一种应用场景示意图。
图2示出了本发明实施例提供的一种组播报文处理方法的流程示意图。
图3示出了本发明实施例提供的一种组播报文处理方法的另一流程示0意图。
图4示出了本发明实施例提供的一种组播报文处理装置的示例性结构框图。
图标:100-传输服务器;110-存储器;120-处理器;130-通信模块;140-报文处理装置;141-信息获取模块;142-信息处理模块。
具体实施方式
现今,作为组播路由解决方案,PIM直接利用单播路由表的路由信息,对组播报文执行RPF检查,检查通过后创建组播路由表项,从而转发组播报文。
RPF检测原理如下:
在单播路由与转发中,单播报文沿着一条单点到单点的路径传输,路由交换系统只需要考虑报文“需要到达的位置”,即目的地址,就知道从哪个接口(本发明中又称端口)转发出去。组播路由与转发则不同,由于组播报文的目的地址为组播地址,只是标识了一组接收者,无法通过目的地址来找到接收者的位置,但是组播报文的“来源位置”,即源地址是确定的。所以组播报文的转发主要是根据其源地址来保证转发路径正确性。
路由交换系统收到一份组播报文后,会根据报文的源地址通过单播路由表查找到达“报文源”的路由,查看到“报文源”的路由表项的出接口是否与收到组播报文的入接口一致。如果一致,则认为该组播报文从正确的接口到达,从而保证了整个转发路径的正确性和唯一性。这个过程就被称为RPF检查。
RPF检查在组播数据转发中的应用如下:
组播路由协议通过已有的单播路由信息来确定上、下游邻居设备,创建组播路由表项。运用RPF检查机制,来确保组播数据流能够沿组播分发树(路径)正确的传输,同时可以避免转发路径上环路的产生。
然而,经研究发现,在实际组播数据转发过程中,如果对每一份接收到的组播报文都通过单播路由表进行RPF检查,会给系统带来很大负担。因此,系统在收到一份来自源S发往组G的组播报文之后,首先会在组播路由表(又称组播转发表)中查找有无相应的(S,G)组播转发表项。
如果不存在(S,G)组播转发表项,则对该报文执行RPF检查,将检查到的RPF接口作为入接口,创建组播路由表项,下发到组播路由表中。其中,对RPF检查结果的处理方式为:如果检查通过,表明接收接口为RPF接口,向转发表项的所有出接口转发;如果检查失败,表明报文来源路径错误,丢弃该报文。
如果存在(S,G)组播转发表项,并且接收该报文的接口与转发表项的入接口一致,则向所有的出接口转发该报文。
如果存在(S,G)组播转发表项,但是接收该报文的接口与转发表项的入接口不一致,则对此报文进行RPF检查。对RPF检查结果的处理方式为:
若RPF检查选取出的RPF接口与转发表项的入接口一致,则说明(S,G)表项正确,报文来源路径错误,将其丢弃。
若RPF检查选取出的RPF接口与转发表项的入接口不符,则说明(S,G)表项已过时,将转发表项中的入接口更新为RPF接口,然后再根据RPF检查规则进行判断。如果接收该报文的接口正是其RPF接口,则向转发表项的所有出接口转发该报文,否则将其丢弃。
通过上述分析可知,组播路由表的形成依赖于RPF检测,RPF检测通过是形成或更新组播路由表必不可少的条件。但在环境复杂的网络中,如果出现大量需要执行RPF检测的组播报文,会让系统疲于处理该类组播报文,造成正确的组播报文无法处理,使PIM组播路由表无法形成,组播数据无法正常传输。
另外,当黑客发送大量源地址可变的组播条目时,可能会出现RPF检测成功的情况,造成系统生产大量无效组播路由表,占用系统资源规格。导致正常的组播报文无法形成路由表,转发异常。
基于上述研究,本发明实施例提供一种报文处理方案,改变现有技术中仅通过RPF检测的规则,增加多种端口类型,针对不同端口类型,采用不同的RPF检测策略,提高RPF检测的合理性,进而提高组播报文转发的可靠性。
针对以上方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本发明实施例针对上述问题所提出的解决方案,都应该是发明人在发明过程中做出的贡献。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
需要说明的是,在不冲突的情况下,本发明的实施例中的特征可以相互结合。
请参照图1,是本实施例提供的一种传输服务器100的方框示意图,本实施例中的传输服务器100可以为路由交换系统中、用于进行数据交互、处理的服务器、处理设备、处理平台等。例如,可以为交换机路由器。所述传输服务器100包括存储器110、处理器120及通信模块130。所述存储器110、处理器120以及通信模块130各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
其中,存储器110用于存储程序或者数据。所述存储器110可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(ErasableProgrammable Read-Only Memory,EPROM),电可擦除只读存储器(Electric ErasableProgrammable Read-Only Memory,EEPROM)等。
处理器120用于读/写存储器110中存储的数据或程序,并执行相应地功能。
通信模块130用于通过所述网络建立所述传输服务器100与其它通信终端之间的通信连接,并用于通过所述网络收发数据。
应当理解的是,图1所示的结构仅为传输服务器100的结构示意图,所述传输服务器100还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。
请结合参阅图2,为本发明实施例提供的一种组播报文处理方法的流程示意图,可以由图1所述传输服务器100执行,例如可以由传输服务器100中的处理器120执行。传输服务器100中预存有多种端口类型,以及各端口类型分别对应的处理策略,该组播报文处理方法包括S110、S120和S130。
S110,获取待处理的组播报文。
S120,确定接收所述组播报文的端口所属的端口类型,以及该端口类型对应的处理策略。
S130,基于确定的处理策略对所述组播报文进行处理。
其中,所述处理策略包括执行RPF检测和不执行RPF检测。
本发明实施例通过改变现有技术中仅通过RPF检测的规则,增加多种PIM安全属性的端口类型,针对不同端口类型设定不同处理策略,处理策略包括执行RPF检测和不执行RPF检测,从而提高了RPF检测的灵活性和合理性。
其中,端口类型可以灵活设置。例如,端口类型可以包括PIM不可信端口、PIM可信端口和PIM普通端口。
针对不同端口类型,可以分别设置处理策略。例如,PIM不可信端口对应的处理策略可以包括:从所述PIM不可信端口接收到的组播报文不允许进行组播注册,直接在转发层面进行丢弃。PIM可信端口对应的处理策略可以包括:从所述PIM可信端口接收到的组播报文不进行RPF检测,直接创建组播路由表,并向所有的出接口转发该组播报文。PIM普通端口对应的处理策略可以包括:从所述PIM普通端口接收到的组播报文进行RPF检测,RPF检测通过后创建或者更新组播路由表,并向所有的出接口转发该组播报文。
又例如,端口类型还可以包括PIM严格检测端口。相应地,PIM严格检测端口对应的处理策略可以包括:从所述PIM严格检测端口接收到的组播报文进行RPF检测和组播组检测,在RPF检测和组播组检测均通过的情况下,创建或者更新组播路由表,并向所有的出接口转发该组播报文;否则将该组播报文丢弃。
示例性地,新增PIM不可信端口:当交换路由系统的PIM接口配置为不可信端口属性后,从该接口接收到的组播报文不允许进行组播注册,在转发层面就直接丢弃。
新增PIM(完全)可信端口:当交换路由系统的PIM接口配置为完全可信端口属性后,从该接口接收到的组播报文不进行RPF检测规则,直接创建组播路由表,并向所有的出接口转发该组播报文。
维持PIM普通端口:当交换路由系统的PIM接口配置为普通端口属性后,延续现有的PIM规则,该接口执行RPF检测,检测通过创建或更新相关组播路由表,并向所有的出接口转发该组播报文。
类似地,针对待处理的组播报文,如果组播路由表中已有相应的组播转发表项,并且接收该报文的接口与转发表项的入接口一致,则向所有的出接口转发该报文,无需进行RPF检查。如果组播路由表中已有相应的组播转发表项,但是接收该报文的接口与转发表项的入接口不一致,则对此报文进行RPF检查。如果组播路由表中不存在相应的组播转发表项,则对该报文执行RPF检查。
新增PIM严格检测端口:当交换路由系统的PIM接口配置为严格检测端口属性后,从该接口接收到的组播报文需要同时进行RPF检测及组播组检测,只有两个条件同时检测通过的情况下,才创建或更新相关组播路由表,向所有的出接口转发该组播报文,否则认为组播报文错误,将其丢弃。检测的组播组可以为手动创建得到。
可选地,默认情况下无任何组播组,即默认情况下未创建任何(S,G)表项,不转发任何组播数据。为了进一步提高组播报文转发的可靠性,本实施例中,传输服务器中维护的组播路由表可以包括动态组播路由表和静态组播路由表,其中,所述静态组播路由表的优先级高于动态组播路由表。
相应地,S130中基于确定的处理策略对所述组播报文进行处理可以包括:在接收所述组播报文的端口所属的端口类型为PIM不可信端口的情况下,所述动态组播路由表和静态组播路由表均失效,不允许进行组播注册,直接在转发层面进行丢弃。在接收所述组播报文的端口所属的端口类型为PIM严格检测端口的情况下,进行RPF检测并与所述静态组播路由表中的组播组的匹配静态组播路由表检测,在RPF检测和与所述静态组播路由表中的组播组的匹配检测均通过的情况下,向所有的出接口转发该组播报文,否则将该组播报文丢弃。在接收所述组播报文的端口所属的端口类型为PIM可信端口的情况下,确定所述动态组播路由表或静态组播路由表中是否创建有对应的表项,若无,创建或者更新动态组播路由表,并向所有的出接口转发该组播报文。在接收所述组播报文的端口所属的端口类型为PIM普通端口的情况下,进行RPF检测,RPF检测通过后创建或者更新动态组播路由表,并向所有的出接口转发该组播报文。
示例性地,新增静态(S,G)组播表项,当静态(S,G)组播表项配合PIM不可信端口使用时,静态(S,G)组播表项不生效,接收到相关组播报文依然丢弃。配合PIM严格检测端口使用时,作为严格检测的依据,通过RPF检测并且与静态(S,G)组播表项匹配才执行转发,否则丢弃组播报文。配合PIM普通端口或完全可信端口使用时,静态组播路由表优先级高于动态组播路由表,及满规格情况下静态(S,G)组播表项依旧生效。静态(S,G)组播表项不老化。
为了避免部分端口大量进行组播路由表更新或创建,影响组播报文的正常转发,本实施例中,可以设置安全阈值机制。相应地,请结合参阅图3,组播报文处理方法还可以包括S210和S220。
S210,针对所述PIM普通端口,统计在预定时长内,根据所述PIM普通端口接收到的组播报文进行组播路由表更新或创建的次数。
S220,确定所述次数是否达到设定阈值,若是,按预定规则进行处理。
其中,预定规则可以灵活设置,例如,可以包括以下至少一种处理方式:进行告警;将端口类型从PIM普通端口调整为PIM不可信端口;将端口类型从PIM普通端口调整为PIM严格检测端口;删除所述预定时长内更新或创建的表项;将所述预定时长外的有效表项转换为静态组播路由表。
示例性地,新增PIM组播路由安全阈值机制,安全阈值机制仅对PIM普通检测端口生效,交换路由系统在一定时间内学习或更新组播路由表的次数超过阈值后,将执行以下三种处理方式:
方式一:系统将产生告警,接口模式(端口类型)不改变。
方式二:系统将产生告警,同时直接将端口转变为不可信端口,后续从该端口来的组播源全部丢弃。
方式三:系统将产生告警,并将端口设置为严格检测端口。同时将会删除这段时间内学习的组播路由表项,并将这段时间外未过期的(S,G)表项转换为静态(S,G)组播表项,后续流量匹配静态(S,G)就转发,不匹配直接丢弃。
本实施例中,各种端口类型可以灵活选择、配置。在一种实现方式中,PIM可信端口可以包括直连组播源的端口,PIM不可信端口可以包括默认配置的端口。
可以理解的是,PIM协议定义RPF检测主要是用于避免转发路径上环路的产生,配置PIM完全可信端口后将取消RPF检测机制,随意配置PIM完全可信端口存在组播环路的风险,故本实施例中的PIM完全可信端口常用于直连组播源的接口。由于路由器接口直连可信组播源,所以不存在环路问题,且该链路不存在受到攻击的风险,故可取消RPF检测,配置PIM完全可信端口后可以减少一次检测机制,释放相关硬件资源。
新增的PIM不可信端口,在转发层面就直接丢弃相关组播报文。可以有效防止网络中出现大量源地址可变组播报文时,造成的RPF检测资源消耗及异常生成大量组播路由表。本实施例中PIM不可信接口可以为默认配置,主要用于不需要进行组播转发的接口,也可以通过大数据收集、分析,将存在异常的端口标记为PIM不可信端口。
在网络部署时常常有些端口是不确定的,这些端口需要做组播源的注册或者进行组播数据的转发,传统的PIM接口必不可少,但传统的PIM接口只进行RPF源检测,受到黑客攻击后有形成大量组播表项的风险,占满组播资源后,正常的组播转发表无法形成。故本实施例中添加了静态(S,G)组播表项的创建,由于静态(S,G)组播表不老化且优先级高于动态组播表,在满规格情况下静态(S,G)组播表项依旧保持,从而能够防止交换路由系统在受到冲击的情况下组播转发异常。
新添加了PIM严格检测端口,PIM协议中只会对组播源地址进行检测即RPF检测,不会对组播组地址进行检测,也就是说一个源地址可以形成多个组地址,通过PIM严格检测端口搭配静态组播(S,G)表项可以防止不必要的组播条目产生。
设计了PIM组播路由安全阈值机制用于防攻击检测,当交换路由系统在一定时间内学习或更新组播路由表的次数超过阈值后,系统会产生告警告知网络管理员,该机制也支持直接将该PIM接口转化为PIM不可信端口或严格检测端口,防止组播源进行注册攻击。从而进一步确保组播报文的正常转发。
为了执行上述实施例及各个可能的方式中的相应步骤,下面给出一种组播报文处理装置的实现方式。请参阅图4,图4为本发明实施例提供的一种组播报文处理装置140的功能模块图,该组播报文处理装置140可以应用于图1所示传输服务器100,传输服务器100中预存有多种端口类型,以及各端口类型分别对应的处理策略。需要说明的是,本实施例所提供的组播报文处理装置140,其基本原理及产生的技术效果和上述方法实施例相同,为简要描述,本实施例部分未提及之处,可参考上述的方法实施例中相应内容。该组播报文处理装置140包括信息获取模块141和信息处理模块142。
信息获取模块141用于获取待处理的组播报文。
信息处理模块142用于确定接收所述组播报文的端口所属的端口类型,以及该端口类型对应的处理策略,基于确定的处理策略对所述组播报文进行处理。
其中,所述处理策略包括执行RPF检测和不执行RPF检测。
在上述基础上,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质包括计算机程序,所述计算机程序运行时控制所述计算机可读存储介质所在传输服务器执行上述的组播报文处理方法。
采用本发明实施例中的上述方案,通过增加PIM端口属性来保护组播交换机路由器,减少组播路由资源的消耗,维护组播数据的安全转发。借助新增的PIM端口保护机制及PIM组播路由安全阈值机制保护组播路由表,防止组播源进行注册攻击。相较于现有技术中如果黑客发送大量源地址可变的组播报文,使系统频繁执行RPF检测,造成RPF检测通道拥塞或系统组播路由表异常,导致正常的组播数据转发异常,本实施例中通过巧妙的方案设计,实现了对仿造组播源进行组播注册攻击的预防,从而为网络运营安全提供支撑,适用范围较广。例如,可以应用于对数据传输实时安全性要求较高的以太网环境,如企业网络、工业网络等。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种组播报文处理方法,其特征在于,应用于传输服务器,所述传输服务器中预存有多种端口类型,以及各端口类型分别对应的处理策略,所述方法包括:
获取待处理的组播报文;
确定接收所述组播报文的端口所属的端口类型,以及该端口类型对应的处理策略;
基于确定的处理策略对所述组播报文进行处理;
其中,所述处理策略包括执行RPF检测和不执行RPF检测。
2.根据权利要求1所述的组播报文处理方法,其特征在于,所述端口类型包括PIM不可信端口、PIM可信端口和PIM普通端口;
所述PIM不可信端口对应的处理策略包括:从所述PIM不可信端口接收到的组播报文不允许进行组播注册,直接在转发层面进行丢弃;
所述PIM可信端口对应的处理策略包括:从所述PIM可信端口接收到的组播报文不进行RPF检测,直接创建组播路由表,并向所有的出接口转发该组播报文;
所述PIM普通端口对应的处理策略包括:从所述PIM普通端口接收到的组播报文进行RPF检测,RPF检测通过后创建或者更新组播路由表,并向所有的出接口转发该组播报文。
3.根据权利要求2所述的组播报文处理方法,其特征在于,所述端口类型还包括PIM严格检测端口;
所述PIM严格检测端口对应的处理策略包括:从所述PIM严格检测端口接收到的组播报文进行RPF检测和组播组检测,在RPF检测和组播组检测均通过的情况下,创建或者更新组播路由表,并向所有的出接口转发该组播报文;否则将该组播报文丢弃。
4.根据权利要求3所述的组播报文处理方法,其特征在于,所述传输服务器中维护的组播路由表包括动态组播路由表和静态组播路由表,其中,所述静态组播路由表的优先级高于动态组播路由表;
所述基于确定的处理策略对所述组播报文进行处理,包括:
在接收所述组播报文的端口所属的端口类型为PIM不可信端口的情况下,该端口有关的动态组播路由表和静态组播路由表均失效,不允许进行组播注册,直接在转发层面进行丢弃;
在接收所述组播报文的端口所属的端口类型为PIM严格检测端口的情况下,进行RPF检测并与所述静态组播路由表中的组播组进行匹配检测,在RPF检测和与所述静态组播路由表中的组播组的匹配检测均通过的情况下,向所有的出接口转发该组播报文;否则将该组播报文丢弃;
在接收所述组播报文的端口所属的端口类型为PIM可信端口的情况下,确定所述动态组播路由表或静态组播路由表中是否创建有对应的表项,若无,创建或者更新动态组播路由表,并向所有的出接口转发该组播报文;
在接收所述组播报文的端口所属的端口类型为PIM普通端口的情况下,进行RPF检测,RPF检测通过后创建或者更新动态组播路由表,并向所有的出接口转发该组播报文。
5.根据权利要求2所述的组播报文处理方法,其特征在于,所述方法还包括:
针对所述PIM普通端口,统计在预定时长内,根据所述PIM普通端口接收到的组播报文进行组播路由表更新或创建的次数;
确定所述次数是否达到设定阈值,若是,按预定规则进行处理。
6.根据权利要求5所述的组播报文处理方法,其特征在于,所述按预定规则进行处理,包括以下至少一种处理方式:
进行告警;
将端口类型从PIM普通端口调整为PIM不可信端口;
将端口类型从PIM普通端口调整为PIM严格检测端口;
删除所述预定时长内更新或创建的表项;
将所述预定时长外的有效表项转换为静态组播路由表。
7.根据权利要求2至6任意一项所述的组播报文处理方法,其特征在于,
所述PIM可信端口包括直连组播源的端口;
所述PIM不可信端口包括默认配置的端口。
8.一种组播报文处理装置,其特征在于,应用于传输服务器,所述传输服务器中预存有多种端口类型,以及各端口类型分别对应的处理策略,所述报文处理装置包括:
信息获取模块,用于获取待处理的组播报文;
信息处理模块,用于确定接收所述组播报文的端口所属的端口类型,以及该端口类型对应的处理策略,基于确定的处理策略对所述组播报文进行处理;
其中,所述处理策略包括执行RPF检测和不执行RPF检测。
9.一种传输服务器,其特征在于,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1至7任一项所述的组播报文处理方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括计算机程序,所述计算机程序运行时控制所述计算机可读存储介质所在传输服务器执行权利要求1至7任一项所述的组播报文处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211710606.5A CN116055387B (zh) | 2022-12-29 | 2022-12-29 | 组播报文处理方法、装置、服务器和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211710606.5A CN116055387B (zh) | 2022-12-29 | 2022-12-29 | 组播报文处理方法、装置、服务器和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116055387A true CN116055387A (zh) | 2023-05-02 |
| CN116055387B CN116055387B (zh) | 2024-08-23 |
Family
ID=86117579
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211710606.5A Active CN116055387B (zh) | 2022-12-29 | 2022-12-29 | 组播报文处理方法、装置、服务器和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116055387B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118041846A (zh) * | 2024-04-11 | 2024-05-14 | 深圳市丰润达科技有限公司 | 静态组播自动化测试方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1777149A (zh) * | 2005-12-06 | 2006-05-24 | 杭州华为三康技术有限公司 | 在三层交换机上实现组播转发的方法 |
| US20070091891A1 (en) * | 2005-10-26 | 2007-04-26 | Zwiebel John M | Bidirectional multicast protocol with upstream and downstream join messages |
| CN102244582A (zh) * | 2010-05-13 | 2011-11-16 | 杭州华三通信技术有限公司 | 一种bidir-pim网络中的组播传输方法及系统 |
| CN102710522A (zh) * | 2012-06-08 | 2012-10-03 | 神州数码网络(北京)有限公司 | 多链接透明互联网络中rpf规则的配置方法和装置 |
| WO2020083095A1 (zh) * | 2018-10-25 | 2020-04-30 | 深圳市中兴微电子技术有限公司 | 反向路径检查方法、装置、设备以及存储介质 |
| CN113726667A (zh) * | 2019-09-23 | 2021-11-30 | 华为技术有限公司 | 一种反向路径转发rpf检查方法及装置 |
-
2022
- 2022-12-29 CN CN202211710606.5A patent/CN116055387B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070091891A1 (en) * | 2005-10-26 | 2007-04-26 | Zwiebel John M | Bidirectional multicast protocol with upstream and downstream join messages |
| CN1777149A (zh) * | 2005-12-06 | 2006-05-24 | 杭州华为三康技术有限公司 | 在三层交换机上实现组播转发的方法 |
| CN102244582A (zh) * | 2010-05-13 | 2011-11-16 | 杭州华三通信技术有限公司 | 一种bidir-pim网络中的组播传输方法及系统 |
| CN102710522A (zh) * | 2012-06-08 | 2012-10-03 | 神州数码网络(北京)有限公司 | 多链接透明互联网络中rpf规则的配置方法和装置 |
| WO2020083095A1 (zh) * | 2018-10-25 | 2020-04-30 | 深圳市中兴微电子技术有限公司 | 反向路径检查方法、装置、设备以及存储介质 |
| CN113726667A (zh) * | 2019-09-23 | 2021-11-30 | 华为技术有限公司 | 一种反向路径转发rpf检查方法及装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118041846A (zh) * | 2024-04-11 | 2024-05-14 | 深圳市丰润达科技有限公司 | 静态组播自动化测试方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116055387B (zh) | 2024-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8135007B2 (en) | Method and mechanism for port redirects in a network switch | |
| US7835348B2 (en) | Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch | |
| US8121134B2 (en) | Spoof checking within a label switching computer network | |
| US8281397B2 (en) | Method and apparatus for detecting spoofed network traffic | |
| US7167922B2 (en) | Method and apparatus for providing automatic ingress filtering | |
| US20080250496A1 (en) | Frame Relay Device | |
| JP4615504B2 (ja) | ネットワーク中継システム、および、ネットワーク中継システムにおける方法 | |
| US7434254B1 (en) | Method and apparatus for automatic filter generation and maintenance | |
| US20220094711A1 (en) | Data plane with connection validation circuits | |
| CN116055387B (zh) | 组播报文处理方法、装置、服务器和介质 | |
| US10911466B2 (en) | Network protection device and network protection system | |
| CN116015889A (zh) | 数据流转发方法、装置、网络设备及存储介质 | |
| JP7150552B2 (ja) | ネットワーク防御装置およびネットワーク防御システム | |
| US10104105B2 (en) | Distributed network anomaly detection | |
| US20090116501A1 (en) | Method and device for realizing unicast reverse path for forwarding | |
| US11082447B2 (en) | Systems and methods for preventing router attacks | |
| US7382769B1 (en) | Automatic filtering to prevent network attacks | |
| CN111343030B (zh) | 报文处理方法、装置、网络设备及存储介质 | |
| WO2023174055A1 (zh) | 报文传输方法及通信装置 | |
| CN109743326B (zh) | 流量传输方法及装置 | |
| CN113965343A (zh) | 一种基于局域网的终端设备隔离方法及装置 | |
| Zhang et al. | A stability-oriented approach to improving bgp convergence | |
| CN114124816A (zh) | 单播报文处理方法、装置、计算机设备和可读介质 | |
| CN115442288B (zh) | 一种SRv6网络数据包检查方法和装置 | |
| EP2023566A1 (en) | Online security rules conflict management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |