CN116806010A - 报文传输方法及通信装置 - Google Patents

报文传输方法及通信装置 Download PDF

Info

Publication number
CN116806010A
CN116806010A CN202210272989.6A CN202210272989A CN116806010A CN 116806010 A CN116806010 A CN 116806010A CN 202210272989 A CN202210272989 A CN 202210272989A CN 116806010 A CN116806010 A CN 116806010A
Authority
CN
China
Prior art keywords
address prefix
source address
message
receiving device
entry
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210272989.6A
Other languages
English (en)
Inventor
庄顺万
黄明庆
王海波
陈双龙
李振斌
耿男
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202210272989.6A priority Critical patent/CN116806010A/zh
Priority to PCT/CN2023/078977 priority patent/WO2023174055A1/zh
Publication of CN116806010A publication Critical patent/CN116806010A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2557Translation policies or rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本申请的实施例提供了一种报文传输方法及通信装置。该方法包括:验证设备获取来自发送设备的地址前缀;以及验证设备向发送设备发送响应报文,该响应报文指示地址前缀在接收设备处的使用状态信息。以此方式,能够由验证设备通过响应报文使得发送设备获知地址前缀在接收设备处的使用状态信息,从而便于发送设备对地址前缀的异常进行处理,有助于提高源地址验证的准确性,并实现零误报,尽量减少漏报。

Description

报文传输方法及通信装置
技术领域
本申请涉及通信领域,更具体地,涉及报文传输方法及通信装置。
背景技术
在当前的互联网中,很多安全问题的根源是源地址不可信,因此源地址验证(Source Address Validation,SAV)对于减轻源地址欺骗和提升互联网安全性而言非常重要。
分布式源地址验证(Distributed Source Address Validation,DSAV)方案使用分布式的源地址验证协议,可以根据学习到的路由信息来动态地更新源地址过滤表,并使用源地址过滤表来检查接收到的数据包中的源地址。在DASV方案中,路由器的接口上可以部署白名单验证模式或者灰名单验证模式。当源地址前缀无法匹配到源地址过滤表时,白名单验证模式和灰名单验证模式会进行两种截然不同的处理结果,可见这两种验证模式都无法实现高精度的源地址验证。
发明内容
本申请的实施例提供了一种报文传输方法及通信装置,有助于提高源地址验证的准确性。
在第一方面,提供了一种报文传输方法。该方法包括:验证设备获取来自发送设备的地址前缀;以及验证设备向发送设备发送响应报文,响应报文指示地址前缀在接收设备处的使用状态信息。
以此方式,能够由验证设备通过响应报文使得发送设备获知地址前缀在接收设备处的使用状态信息,从而便于发送设备对地址前缀的异常进行处理,有助于提高源地址验证的准确性,并实现零误报,尽量减少漏报。
在第一方面的一些实施例中,地址前缀包括源地址前缀,验证设备为接收设备,验证设备获取来自发送设备的地址前缀包括:验证设备从发送设备接收源前缀发布(SourcePrefix Advertisement,SPA)报文,SPA报文包括源地址前缀。这样,接收设备能够通过SPA报文获取源地址前缀。
在第一方面的一些实施例中,地址前缀包括源地址前缀,验证设备为接收设备,验证设备获取来自发送设备的地址前缀包括:验证设备从发送设备接收SPA报文,SPA包括发送设备的标识和源地址前缀;验证设备从发送设备接收目的前缀探测(DestinationPrefix Probing,DPP)报文,DPP报文包括发送设备的标识;以及验证设备基于DPP报文中的标识以及SPA报文,确定源地址前缀。这样,接收设备能够通过SPA报文和DPP报文获取源地址前缀。
在第一方面的一些实施例中,方法还包括:验证设备输出第一告警信息,第一告警信息用于提供对源地址前缀进行验证的验证模式的建议。这样,验证设备通过输出第一告警信息,能够便于对验证设备(即接收设备)处的源地址前缀的配置进行改进,从而确保地址验证的准确性。
在第一方面的一些实施例中,地址前缀包括源地址前缀,验证设备为控制设备,验证设备获取来自发送设备的地址前缀包括:验证设备从接收设备接收SPA报文,SPA报文包括源地址前缀。这样,控制设备能够通过SPA报文获取源地址前缀。
在第一方面的一些实施例中,地址前缀包括源地址前缀,验证设备为控制设备,验证设备获取来自发送设备的地址前缀包括:验证设备从接收设备接收SPA报文,SPA包括发送设备的标识和源地址前缀;验证设备从接收设备接收目的前缀探测DPP报文,DPP报文包括发送设备的标识;以及验证设备基于DPP报文中的标识以及SPA报文,确定源地址前缀。这样,控制设备能够通过SPA报文和DPP报文获取源地址前缀。
在第一方面的一些实施例中,方法还包括:验证设备向接收设备发送第一告警信息,第一告警信息用于提供对源地址前缀进行验证的验证模式的建议。这样,验证设备(即控制设备)通过向接收设备发送第一告警信息,能够便于对接收设备处的源地址前缀的配置进行改进,从而确保地址验证的准确性。
在第一方面的一些实施例中,如果使用状态信息指示源地址前缀在接收设备处存在对应的转发表项,并且转发表项中与源地址前缀对应的出接口与接收设备接收SPA报文的入接口不一致,那么第一告警信息指示接收设备处不能配置严格的单播逆向路径转发(Unicast Reverse Path Forwarding,URPF)验证模式。
在第一方面的一些实施例中,如果使用状态信息指示源地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,并且路由表项是有效的,那么第一告警信息指示:接收设备处存在错误配置,错误配置阻止了路由表项生成转发表项;或者接收设备处存在路由表项生成转发表项时的处理故障。
这样,在源地址前缀在接收设备处存在特定的异常时,通过对应的第一告警信息进行指示,避免因错误导致对源地址前缀验证出现误报或漏报的状况。
在第一方面的一些实施例中,方法还包括:如果使用状态信息指示源地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,并且路由表项是无效的,则验证设备确定路由表项无效的原因;以及验证设备向发送设备发送用于指示原因的指示信息。这样,验证设备还可以告知发送设备出现异常的原因,从而便于发送设备对异常进行处理或者基于异常进行后续的改进。
在第一方面的一些实施例中,响应报文指示源地址前缀在接收设备处的第一使用状态信息,第一使用状态信息表示以下任意一项:源地址前缀在接收设备处存在对应的转发表项,并且转发表项中与源地址前缀对应的出接口与接收设备接收SPA报文的入接口一致;源地址前缀在接收设备处存在对应的转发表项,并且转发表项中与源地址前缀对应的出接口与接收设备接收SPA报文的入接口不一致;源地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,并且路由表项是有效的;源地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,并且路由表项是无效的;或者源地址前缀在接收设备处不存在对应的路由表项。
在第一方面的一些实施例中,地址前缀包括源地址前缀,验证设备为控制设备,验证设备获取来自发送设备的地址前缀包括:验证设备接收来自接收设备的源地址验证表项,源地址验证表项包括源地址前缀;在验证设备发送响应报文之前,方法还包括:验证设备接收来自接收设备的关于接收设备的各个接口被配置成的验证模式的信息;以及验证设备接收来自接收设备的流量报文,流量报文是对接收设备的支持DSAV的接口进行流量采样而得到的。
在第一方面的一些实施例中,还包括:验证设备向接收设备发送修改建议信息,修改建议信息用于建议调整接收设备的支持DSAV的接口的验证模式。这样,验证设备可以通知接收设备进行适当的调整或修改,这样能够确保后续的数据报文被正确地处理,避免误报或漏报。
在第一方面的一些实施例中,使用状态信息表示具有源地址前缀的数据报文在接收设备的支持DSAV的接口处被过滤。这样,发送设备可以基于此对源地址前缀进行改进或调整,例如补充之前遗漏的源地址前缀、重发SPA报文和/或DPP报文等,从而避免后续的数据报文被错误阻止。
在第一方面的一些实施例中,地址前缀包括目的地址前缀,验证设备为接收设备,验证设备获取来自发送设备的地址前缀包括:验证设备从发送设备接收DPP报文,DPP报文包括目的地址前缀。这样,接收设备能够通过DPP报文获取目的地址前缀。
在第一方面的一些实施例中,方法还包括:验证设备输出第二告警信息,第二告警信息用于提供对目的地址前缀进行验证的验证模式的建议。这样,验证设备通过输出第二告警信息,能够便于对验证设备(即接收设备)处的目的地址前缀的配置进行改进,从而确保地址验证的准确性。
在第一方面的一些实施例中,地址前缀包括目的地址前缀,验证设备为控制设备,验证设备获取来自发送设备的地址前缀包括:验证设备从接收设备接收DPP报文,DPP报文包括目的地址前缀。这样,控制设备能够通过DPP报文获取目的地址前缀。
在第一方面的一些实施例中,方法还包括:验证设备向接收设备发送第二告警信息,第二告警信息用于提供对目的地址前缀进行验证的验证模式的建议。这样,验证设备(即控制设备)通过向接收设备发送第二告警信息,能够便于对接收设备处的目的地址前缀的配置进行改进,从而确保地址验证的准确性。
在第一方面的一些实施例中,如果使用状态信息指示目的地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,那么第二告警信息指示:接收设备处存在错误配置,错误配置阻止了路由表项生成转发表项;或者接收设备处存在路由表项生成转发表项时的处理故障。这样,在目的地址前缀在接收设备处存在特定的异常时,通过对应的第二告警信息进行指示,避免因错误导致对目的地址前缀验证出现误报或漏报的状况。
在第一方面的一些实施例中,响应报文指示目的地址前缀在接收设备处的第二使用状态信息,第二使用状态信息表示以下任意一项:目的地址前缀在接收设备处存在对应的转发表项,并且用于生成转发表项的路由表项是接收设备处始发的;目的地址前缀在接收设备处存在对应的转发表项,并且在用于生成转发表项的路由表项中的到达下一跳的接口属于第一类型,其中第一类型表示下一跳的设备支持DSAV;目的地址前缀在接收设备处存在对应的转发表项,并且在用于生成转发表项的路由表项中的到达下一跳的接口属于第二类型,其中第二类型表示下一跳的设备不支持DSAV;目的地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项;或者目的地址前缀在接收设备处不存在对应的路由表项。
在第一方面的一些实施例中,验证设备为接收设备,验证设备获取来自发送设备的地址前缀包括:验证设备接收来自发送设备的SPA报文,SPA报文包括源地址前缀;在验证设备向发送设备发送响应报文之前,方法还包括:验证设备基于SPA报文生成源地址验证表项,源地址验证表项包括源地址前缀以及验证设备接收SPA报文的入接口;验证设备接收来自发送设备的数据报文,数据报文的源地址具有另一源地址前缀,用于接收数据报文的第一入接口与接收SPA报文的入接口相同;验证设备向发送设备发送响应报文包括:如果源地址验证表项包括另一源地址前缀,源地址验证表项中与另一源地址前缀对应的第二入接口不同于第一入接口,则验证设备向发送设备发送响应报文,并且其中使用状态信息表示另一源地址前缀属于第一入接口的灰名单表项,第一入接口被配置为灰名单验证模式。
这样,接收设备通过向发送设备发送响应报文,使得发送设备能够获知哪些源地址前缀被灰名单验证模式的入接口阻止。进而发送设备可以确定在之前处理源地址前缀时是否存在异常(例如,遗漏)。并且可以在发现遗漏时可以及时地修正,这样能够避免数据报文不适当地被误报,也就是说能够减少误报。
在第一方面的一些实施例中,还包括:验证设备接收来自发送设备的经修正SPA报文;验证设备基于经修正SPA报文,更新源地址验证表项;以及验证设备向发送设备发送变更通知,变更通知指示另一源地址前缀不再是第一入接口的灰名单表项。
这样,发送设备能够基于来自接收设备的响应报文来确定在之前处理源地址前缀时是否存在异常(例如,遗漏)。并且可以在确定不存在异常时通过设置ACL过滤规则来减少无效报文的传输,如此能够节省信令开销,提高带宽的利用率。
在第二方面,提供了一种报文传输方法,包括:发送设备向接收设备发送地址前缀;发送设备接收来自验证设备的响应报文,响应报文指示地址前缀在接收设备处的使用状态信息。
在第二方面的一些实施例中,地址前缀包括源地址前缀,发送设备向接收设备发送地址前缀包括:发送设备向接收设备发送源前缀发布SPA报文,SPA报文包括源地址前缀。
在第二方面的一些实施例中,地址前缀包括源地址前缀,发送设备向接收设备发送地址前缀包括:发送设备向接收设备发送SPA报文,SPA报文包括发送设备的标识和源地址前缀;发送设备向接收设备发送目的前缀探测DPP报文,DPP报文包括发送设备的标识。
在第二方面的一些实施例中,如果使用状态信息指示源地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,并且路由表项是无效的,方法还包括:发送设备接收来自验证设备的用于指示路由表项无效的原因的指示信息。
在第二方面的一些实施例中,还包括:发送设备基于响应报文,确定源地址前缀在发送设备处的配置调整策略。
在第二方面的一些实施例中,响应报文指示源地址前缀在接收设备处的第一使用状态信息,第一使用状态信息表示以下任意一项:源地址前缀在接收设备处存在对应的转发表项,并且转发表项中与源地址前缀对应的出接口与接收设备接收SPA报文的入接口一致;源地址前缀在接收设备处存在对应的转发表项,并且转发表项中与源地址前缀对应的出接口与接收设备接收SPA报文的入接口不一致;源地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,并且路由表项是有效的;源地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,并且路由表项是无效的;或者源地址前缀在接收设备处不存在对应的路由表项。
在第二方面的一些实施例中,使用状态信息表示具有源地址前缀的数据报文在接收设备的支持DSAV的接口处被过滤。
在第二方面的一些实施例中,地址前缀包括目的地址前缀,发送设备向接收设备发送地址前缀包括:发送设备向接收设备发送DPP报文,DPP报文包括目的地址前缀。
在第二方面的一些实施例中,方法还包括:发送设备基于响应报文,确定目的地址前缀在发送设备处的配置调整策略。
在第二方面的一些实施例中,响应报文指示目的地址前缀在接收设备处的第二使用状态信息,第二使用状态信息表示以下任意一项:目的地址前缀在接收设备处存在对应的转发表项,并且用于生成转发表项的路由表项是接收设备处始发的;目的地址前缀在接收设备处存在对应的转发表项,并且在用于生成转发表项的路由表项中的到达下一跳的接口属于第一类型,其中第一类型表示下一跳的设备支持DSAV;目的地址前缀在接收设备处存在对应的转发表项,并且在用于生成转发表项的路由表项中的到达下一跳的接口属于第二类型,其中第二类型表示下一跳的设备不支持DSAV;目的地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项;或者目的地址前缀在接收设备处不存在对应的路由表项。
在第二方面的一些实施例中,接收设备为验证设备,方法还包括:发送设备向接收设备发送数据报文,数据报文的源地址具有另一源地址前缀;并且其中使用状态信息表示另一源地址前缀属于第一入接口的灰名单表项,第一入接口被配置为灰名单验证模式,第一入接口为接收设备处接收数据报文的入接口。
在第二方面的一些实施例中,还包括:发送设备向接收设备发送经修正SPA报文;以及发送设备接收来自接收设备的变更通知,变更通知指示另一源地址前缀不再是第一入接口的灰名单表项。
在第二方面的一些实施例中,还包括:发送设备在接收响应报文的接口上设置访问控制列表(Access Control List,ACL)过滤规则,ACL过滤规则表示具有另一源地址前缀的数据报文被过滤以不被发送。
在第三方面,提供了一种通信装置。该通信装置包括用于执行上述第一方面或第一方面的任一实施例的方法的模块或单元。
在第四方面,提供了一种通信装置。该通信装置包括用于执行上述第二方面或第二方面的任一实施例的方法的模块或单元。
在第五方面,提供了一种通信装置。该通信装置包括处理器以及存储器,存储器上存储有由处理器执行的指令,当指令被处理器执行时使得该通信装置实现上述第一方面或第一方面的任一实施例的方法。
在第六方面,提供了一种通信装置。该通信装置包括处理器以及存储器,存储器上存储有由处理器执行的指令,当指令被处理器执行时使得该通信装置实现上述第二方面或第二方面的任一实施例的方法。
在第七方面,提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现根据上述第一方面或其任一实施例中的方法的操作,或者实现根据上述第二方面或其任一实施例中的方法的操作。
在第八方面,提供了一种芯片或芯片系统。该芯片或芯片系统包括处理电路,被配置为执行根据上述第一方面或其任一实施例中的方法的操作,或者实现根据上述第二方面或其任一实施例中的方法的操作。
在第九方面,提供了一种计算机程序或计算机程序产品。该计算机程序或计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可执行指令,计算机可执行指令在被执行时实现根据上述第一方面或其任一实施例中的方法的操作,或者实现根据上述第二方面或其任一实施例中的方法的操作。
附图说明
结合附图并参考以下详细说明,本申请各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标注表示相同或相似的元素,其中:
图1示出了SPA协议报文的示意图;
图2示出了DPP协议报文的示意图;
图3示出了DSAV方案的应用场景的一个示意图;
图4示出了本申请的实施例能够应用于其中的场景的示意图;
图5示出了根据本申请的一些实施例的报文传输方法的示意流程图;
图6示出了根据本申请的一些实施例的地址验证的过程的信令交互图;
图7示出了根据本申请的一些实施例的地址验证的过程的信令交互图;
图8示出了根据本申请的一些实施例的地址验证的过程的信令交互图;
图9示出了根据本申请的一些实施例的地址验证的过程的信令交互图;
图10示出了根据本申请的一些实施例的地址验证的过程的信令交互图;
图11示出了根据本申请的一些实施例的地址验证的过程的信令交互图;
图12示出了根据本申请的一些实施例的地址验证的过程的信令交互图;
图13示出了根据本申请的一些实施例的地址验证的过程的信令交互图;
图14示出了根据本申请的实施例的通信装置的示意框图;
图15示出了根据本申请的实施例的通信装置的示意框图;
图16示出了根据本申请的实施例的网络设备的示意性框图;以及
图17示出了可以用来实施本申请的实施例的示例设备的示意性框图。
具体实施方式
下面将参照附图更详细地描述本申请的实施例。虽然附图中显示了本申请的某些实施例,然而应当理解的是,本申请可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本申请。应当理解的是,本申请的附图及实施例仅用于示例性作用,并非用于限制本申请的保护范围。
在本申请的实施例的描述中,术语“包括”及其类似用语应当理解为开放性包含,即“包括但不限于”。术语“基于”应当理解为“至少部分地基于”。术语“一个实施例”或“该实施例”应当理解为“至少一个实施例”。术语“第一”、“第二”等等可以指代不同的或相同的对象。下文还可能包括其他明确的和隐含的定义。
当前,互联网中的业务是基于目的地址而被转发的,对源地址不作验证。然而,互联网中很多安全问题的根源在于源地址的不可信。因此,SAV对互联网安全是非常重要的。目前已有的源地址验证方案之一是单播逆向路径转发(Unicast Reverse PathForwarding,URPF),其主要功能是防止基于源地址欺骗的网络攻击行为。URPF可以获取报文的源地址和入接口,然后可以以该源地址为目的地址,在转发信息库(ForwardingInformation Base,FIB)中查找该源地址对应的接口是否与入接口匹配。如果不匹配,则认为源地址是伪装的,丢弃该报文。通过这种方式,URPF能有效地防范网络中通过修改源地址而进行的恶意攻击行为。URPF验证方案中所使用的验证模式可以包括松散的URPF验证模式和严格的URPF验证模式。但是URPF的方案严重依赖FIB,针对网络中可能存在的路由不对称情形,该方案容易出现错误丢弃合法数据包的情况。目前已有的另一源地址验证方案是DASV,其根据学习到的路由信息动态更新源地址过滤表,然后使用源地址过滤表来检查接收到的数据包中的源地址。在DASV所使用的分布式的源地址验证协议(Source AddressValidation Protocol,SAV-P)中涉及源前缀发布(Source Prefix Advertisement,SPA)协议报文和目的前缀探测(Destination Prefix Probing,DPP)协议报文。
图1示出了SPA协议报文100的示意图。如图1所示,SPA协议报文100包括始发路由器标识(Origin Router ID)110以及一个或多个源前缀(Source Prefixes)120,其中,一个或多个源前缀120标识始发路由器所属的前缀列表,例如可以包括始发路由器被分配的一个或多个地址段的一个或多个地址前缀。图2示出了DPP协议报文200的示意图。如图2所示,DPP协议报文200包括源(Source)210、目的(Destination)220、始发路由器标识(OriginRouter ID)230、一个或多个目的前缀(Destination Prefixes)240、序列号250以及分裂列表(Fission List)260。源210表示DPP协议报文的源地址,目的220表示DPP协议报文的目的地址,一个或多个目的前缀240表示目的前缀的列表,序列号250表示DPP协议报文的序列号,分裂列表260表示DPP协议报文的出接口列表信息。本申请的实施例中,路由器ID可以被实现为路由器的唯一标识符,例如路由器的互联网协议(Internet Protocol,IP)地址或其他形式,本申请对此不限定。
下面结合图3简单描述DASV方案的验证过程。图3示出了DSAV方案的应用场景300的一个示意图。场景300中包括路由器310、路由器320和路由器330,并且可以假设这三个路由器上都已经被部署了DASV方案。为了方便描述,可以假设路由器310的路由器ID为ID 1(例如可以为10.0.10.1),路由器320的路由器ID为ID 2(例如可以为10.0.20.1),路由器330的路由器ID为ID 3(例如可以为10.0.30.1)。另外,可以假设始发自路由器310的源前缀包括P1,始发自路由器320的源前缀包括P2,始发自路由器330的源前缀包括P3。路由器生成 并广播SPA协议报文
假设路由器310以广播形式发送SPA协议报文。该SPA协议报文包括源路由器ID,即ID 1。该SPA协议报文还包括源前缀,即P1。路由器310广播SPA协议报文之后,网络中的其余路由器(诸如路由器320、路由器330等)能够接收该SPA协议报文,并相应地能够生成源地址记录表项。并且,对于部署有DASV方案的路由器(诸如路由器320、路由器330等)而言,也会生成并发送其各自的SPA协议报文。以此方式,每个路由器都可以接收到其它路由器的SPA协议报文。例如对于路由器320而言,其能够接收来自路由器310的SPA协议报文以及来自路由器330的SPA协议报文,并分别生成对应的源地址记录表项。如表1示出了路由器320所生成的源地址记录表,包括多个源地址记录表项,每个表项对应不同的源路由器ID,假设如下表1所示。
表1
源路由器ID(Origin Router ID) 源前缀(Source Prefixes)
ID 1 P1
ID 3 P3
路由器生成并发送DPP协议报文
FIB可以被表示为转发表的形式,假设路由器310的转发表如下表2所示。可理解,路由器310可以基于其预存的路由表(比如路由信息库(routing information base,RIB))生成转发表(比如FIB),其中,路由表包括多个路由表项,转发表包括多个转发表项。关于路由表和转发表可以参照已有技术中的相关记载,为了简洁,本文中不再详述。
表2
参照表2,一个转发表项可以表示以一个目的前缀为索引的、转发表中的一个条目,例如表2中的“P2”和“路由器320”所在的行属于一个转发表项,而“P3”和“路由器330”所在的行属于另一个转发表项。路由器310可以基于转发表项生成DPP协议报文,结合表2,路由器310可以生成下一跳至路由器320的DPP协议报文(例如称为DPP 1协议报文),以及生成下一跳至路由器330的DPP协议报文(例如称为DPP 2协议报文),其中DPP 1协议报文中各个字段值如下表3所示,DPP 2协议报文中各个字段值如下表4所示。
表3
具体地,由于在路由器310的转发表(表2)中,下一跳为路由器320的转发表项中的目的前缀为P2,因此在表3中的Destination Prefixes为{P2}。表3中的Sequence Number表示DPP 1协议报文的序列号,第一次发送可以为0,后续更新时递增1。表3中的Fission List表示DPP 1协议报文的出接口列表信息,假设为路由器310的A1接口。
表4
具体地,由于在路由器310的转发表(表2)中,下一跳为路由器330的转发表项中的目的前缀为P3,因此在表4中的Destination Prefixes为{P3}。表4中的Sequence Number表示DPP 2协议报文的序列号,第一次发送可以为0,后续更新时递增1。表4中的Fission List表示DPP 2协议报文的出接口列表信息,假设为路由器310的A2接口。
路由器310可以将该DPP 1协议报文发送给路由器320。路由器320在接收到DPP 1后,可以根据DPP 1中的“Origin Router ID:ID 1”去查找对应的源地址记录表(如表1),找到对应表项后,生成相应的源地址验证表项,如表5中P1所在的行。在表5中的B1用于标识路由器320接收DPP 1协议报文的入接口。
表5
类似地,可以假设路由器330也向路由器320发送DPP协议报文(例如称为DPP 3协议报文),且路由器320通过其入接口B2接收来自路由器330的DPP协议报文,并且也类似地生成源地址验证表项,如表5中P3所在的行。在表5中的C2为路由器330的接口,如图3所示,也就是说,路由器330通过接口C2向路由器320发送DPP 3协议报文。类似地,路由器310可以将该DPP 2协议报文发送给路由器330。路由器330在接收到DPP 2后,可以根据DPP 2中的“Origin Router ID:ID 1”去查找对应的源地址记录表(未示出),找到对应表项后,生成相应的源地址验证表项,为了简化示意,这里不再示出。以此方式,当域内部署有DSAV方案的路由器完成自己始发的DPP协议报文的发送之后,可以生成源地址验证表(SAV table),该源地址验证表中的源地址验证表项例如具有如表5所示的内容。
那么,进一步地,各个路由器可以基于所生成的源地址验证表来对后续的报文进行源地址验证。具体而言,路由器的接口上可以部署有白名单验证模式或灰名单验证模式,其中白名单验证模式能够阻止到达接口的任何源地址未知的数据包,其中灰名单验证模式只阻止具有已知源地址但接口不匹配的数据包,但不阻止具有未知源地址的数据包。可理解,阻止也可以被称为“过滤”或其他称呼等,阻止数据包可以是指将数据包丢弃以拒绝该数据包通过。关于白名单验证模式和灰名单验证模式的对比如下表6所示。
表6
从上面的表6可以看出,两种不同的验证模式会出现不完全相同的处理结果。因此,不管使用哪种验证模式,都无法实现分布式源地址验证方案的高精度的目标,即实现零误报并尽量减少漏报,其中零误报用于保证合法数据包不会被错误阻止,而减少漏报意味着尽可能阻止具有伪造源地址的数据包。为了实现高精度的目标,SPA协议报文中的源地址列表和DPP协议报文中的目的前缀列表的准确性和有效性是十分重要的。
在目前的网络中,诸如路由器等设备的接口可能使用白名单验证模式,也可能使用灰名单验证模式,但是这两种验证模式单独使用都无法实现高精度的源地址验证。一种可能的方式是正确地组合白名单验证模式和灰名单验证模式,这样有助于消除误报等情况。但是目前不存在使设备可以根据探测情况灵活且正确地组合使用各种源地址验证模式的方案。另外,某个设备始发的SPA协议报文所包括的源前缀可能不完整,如果该设备始发的数据报文转发时使用了“未包含在SPA协议报文前缀列表”中的地址,则该数据报文可能会被错误阻止。
为了解决上述问题以及潜在的其他问题,本申请提供了一种地址验证的方案,通过由进行地址验证的验证设备向发送设备发送响应报文,从而使得发送设备能够基于响应报文进行改进,提升了SPA协议报文中的源地址列表和DPP协议报文中的目的前缀列表的准确性和有效性,确保后续的报文被正确地转发,减少误报和漏报。
图4示出了本申请的实施例能够应用于其中的场景400的示意图。场景400包括发送设备410、接收设备420和控制设备430。本申请的实施例中,发送设备410可以表示报文的发送方,接收设备420可以表示报文的接收方,这里的报文可以是SPA报文、DPP报文、数据报文等。发送设备410和接收设备420可以被实现为网络设备,诸如路由器、交换机、网关设备或支持防火墙的设备等。应理解的是,发送设备410和接收设备420也可以被实现为其他的类型,本申请对此不限定。控制设备430也可以为控制器、集中诊断器或其他能够实现本申请实施例的控制设备430的功能的设备等,控制设备430可以被实现为网络设备或计算设备等,本申请对此不限定。另外应注意的是,尽管在场景400中示出了控制设备430,但是在一些特定的场景中也可以不包括控制设备430。
下面将在如图4所示的场景400的基础上,结合图5至图13较为详细地描述本申请中的实施例。另外,应注意,为了简化描述,本申请中SPA协议报文也可以简称为SPA报文,DPP协议报文也可以简称为DPP报文,源地址前缀也可以简称为源前缀,目的地址前缀也可以简称为目的前缀。
本申请中用于进行地址验证的地址验证模式(简称为验证模式)可以包括:松散的URPF验证模式、严格的URPF验证模式、白名单验证模式和灰名单验证模式。可理解,网络设备的接口可以被配置有地址验证模式,例如可以为上述任一验证模式。从而接收数据报文的接口可以使用所配置的地址验证模式进行地址验证。
图5示出了根据本申请的一些实施例的报文传输方法500的示意流程图。图5所示的方法流程可以由验证设备执行,包括:
在框510处,验证设备获取来自发送设备410的地址前缀。
在框520处,验证设备向发送设备410发送响应报文,响应报文指示地址前缀在接收设备420处的使用状态信息。
关于源地址前缀的实施例
在本申请的一些实施例中,框510中的地址前缀可以包括源地址前缀,相应地,框520中的响应报文可以为指示源地址前缀在接收设备处的第一使用状态信息的第一响应报文。
在一些实施例中,图5中的验证设备可以被实现为接收设备420。图6示出了根据本申请的一些实施例的地址验证的过程600的信令交互图。过程600涉及发送设备410和接收设备420。
在610,发送设备410向接收设备420发送SPA报文,该SPA报文包括源地址前缀。关于该SPA报文可以参照前述结合图1的相关描述,为了简洁,这里不再重复。相应地,可理解,接收设备420可以接收来自发送设备410的SPA报文,从而接收设备420可以获取该源地址前缀。可理解的是,本申请的实施例中SPA报文可以是从发送设备410直接到达接收设备420的,或者可以是从发送设备410经由一个或多个中继设备之后再到达接收设备420的,本申请对此不限定。
在620,接收设备420确定源地址前缀在该接收设备420处的第一使用状态信息。示例性地,接收设备420可以确定其转发表中的对应的转发表项,并将该源地址前缀与转发表项进行比较。可选地,接收设备420还可以确定其路由表中的对应的路由表项,并将该源地址前缀与路由表项进行比较。通过比较,接收设备420可以确定第一使用状态信息。
第一使用状态信息可以表示以下a1至a5任一项:a1,源地址前缀在接收设备420处存在对应的转发表项,并且转发表项中与源地址前缀对应的出接口与接收设备420接收SPA报文的入接口一致;a2,源地址前缀在接收设备420处存在对应的转发表项,并且转发表项中与源地址前缀对应的出接口与接收设备420接收SPA报文的入接口不一致;a3,源地址前缀在接收设备420处不存在对应的转发表项,存在对应的路由表项,并且路由表项是有效的(valid);a4,源地址前缀在接收设备420处不存在对应的转发表项,存在对应的路由表项,并且路由表项是无效的(invalid);或者a5,源地址前缀在接收设备420处不存在对应的路由表项。
可选地,在一些实施例中,如图6中622所示,接收设备420还可以输出第一告警信息。具体而言,如果接收设备420基于第一使用状态信息确定源地址前缀在接收设备420处存在异常,则可以输出第一告警信息,用于提供对源地址前缀进行验证的验证模式的建议。
举例而言,如果第一使用状态信息指示源地址前缀在接收设备420处存在对应的转发表项,并且转发表项中与源地址前缀对应的出接口与接收设备420接收SPA报文的入接口不一致,即a2,那么第一告警信息可以指示接收设备420处不能配置严格的URPF验证模式。
示例性地,如果第一使用状态信息指示上述的a2或a5,则接收设备420可以确定其存在路由不对称的问题。可选地,在此情况下,如果接收设备420上接收SPA报文的接口已经被使能了严格的URPF验证模式,也就是说,该接口使用严格的URPF验证模式对源地址前缀进行验证,那么接收设备420可以输出第一告警信息,用于提示该接收设备420的用户(如网络管理者等)及时地调整或修改该接口的地址验证模式。进一步地,该接收设备420的用户可以基于该第一告警信息及时地调整或修改该接口的地址验证模式。例如,接收设备420可以基于用户的输入,将该接口的地址验证模式修改为松散的URPF验证模式或者白名单验证模式或者灰名单验证模式。可选地,在此情况下,如果接收设备420上接收SPA报文的接口还未被配置任何源地址验证模式,那么接收设备420可以输出第一告警信息,用于指示该接口不能被配置严格的URPF验证模式。例如,可以设置与该接口关联的诸如“禁止严格的URPF验证模式”的指示信息。例如,如果在此之后用户准备在该接口上配置严格的URPF验证模式,则接收设备420可以拒绝该配置,使得该配置失败,并可选地可以输出配置失败信息以通知用户。
再举例而言,如果第一使用状态信息指示源地址前缀在接收设备420处不存在对应的转发表项,存在对应的路由表项,并且路由表项是有效的,即a3,那么第一告警信息指示:接收设备420处存在错误配置,该错误配置阻止了路由表项生成转发表项;或者接收设备420处存在路由表项生成转发表项时的处理故障。进一步地,可理解,接收设备420的用户可以基于该第一告警信息进行后续处理,例如用户可以修改该错误配置,以使得路由表项正常地生成转发表项。
在630,接收设备420向发送设备410发送第一响应报文,该第一响应报文指示第一使用状态信息。示例性地,该第一响应报文可以包括状态码,以指示第一使用状态信息。这样能够节省信令开销,节省传输带宽,且提高传输效率。举例而言,可以假设与上述a1至a5一一对应的状态码分别为1至5。
可选地,在一些示例中,第一使用状态信息可以指示a4源地址前缀在接收设备420处不存在对应的转发表项,存在对应的路由表项并且路由表项是无效的。可选地,接收设备420还可以进一步确定该路由表项非法的原因,并且该第一响应报文还可以通过第一子状态码或第二子状态码来表示非法的原因。例如第一子状态码(例如1)可以指示非法的原因为:路由表项中具有非法的下一跳。例如第二子状态码(例如2)可以还是非法的原因为:路由表项中具有非法的路由属性类型。举例而言,第一响应报文的第一字段包括4,第二字段包括1,其中第一字段指示状态码,第二字段指示子状态码。那么发送设备410通过从第一字段读取4,从第二字段读取1,并可以获知“源地址前缀在接收设备420处不存在对应的转发表项,存在对应的路由表项并且路由表项是无效的”且“路由表项中具有非法的下一跳”。
在本申请的一些实施例中,在630处的第一响应报文可以被理解为是SPA报文的反馈报文。可选地,该第一响应报文可以包括如下表7所示的内容。
表7
报文类型(Type)
报文长度(Length)
源前缀(Source Prefix)
第一使用状态信息相关的状态码
与状态码相关的一些描述(可选)
示例性地,表7中的报文类型可以表示源前缀的使用情况的反馈,报文长度可以表示该第一响应报文所占用的总字节数(或总比特数),源前缀可以表示该第一响应报文所指示的是哪个源前缀的使用状态。另外,可选地,如表7所示,该第一响应报文还可以进一步包括状态码相关的一些描述,例如上述的子状态码等。
相应地,可理解,发送设备410可以接收来自接收设备420的第一响应报文。进一步地,在640,发送设备410基于第一响应报文来确定源地址前缀在发送设备410处是否存在异常。可选地,如果确定存在异常,则发送设备410进行修改或者向用户提供修改建议。
举例而言,如果第一响应报文包括与a1对应的状态码(如1),那么发送设备410可以确定源地址前缀在发送设备410处正常。举例而言,如果第一响应报文包括与a2对应的状态码(如2),那么发送设备410可以确定源地址前缀在发送设备410处正常,并且可选地发送设备410可以确定在接收设备420中存在路由不对称的问题。举例而言,如果第一响应报文包括与a3对应的状态码(如3),那么发送设备410可以确定源地址前缀在接收设备420处存在异常。举例而言,如果第一响应报文包括与a4对应的状态码(如4),那么发送设备410可以确定源地址前缀在发送设备410处可能存在异常。举例而言,如果第一响应报文包括与a5对应的状态码(如5),那么发送设备410可以确定源地址前缀在发送设备410处正常。例如,在发送设备410多归地接入到网络中的多个接收设备的场景中,可能会出现a5这种情形,由于发送设备410只向多个接收设备的部分接收设备发送了该源地址前缀对应的路由,而没有发送给接收设备420,因此在接收设备420处存在非对称路由。
举例而言,如果第一响应报文包括与a4对应的状态码(如4)以及第一子状态码(如1),从而发送设备410可以确定指示第一使用状态信息为a4,且路由表项中具有非法的下一跳。那么,发送设备410可以修改导致该非法的下一跳的配置,并基于该修改重新向接收设备420发送与该源地址前缀对应的路由信息。
举例而言,如果第一响应报文包括与a5对应的状态码(如5),从而发送设备410可以确定指示第一使用状态信息为a5,即源前缀在接收设备420处不存在对应的路由表项。那么,发送设备410可以排查该源前缀未向接收设备420发布的原因。例如,如果发送设备410发现并不是有意地被设置成不向接收设备420发布该源前缀,而是由于发送设备410处的错误配置而导致未向接收设备420发布,则发送设备410可以修改该错误配置或者向用户提供修改建议。
图7示出了根据本申请的一些实施例的地址验证的过程700的信令交互图。过程700涉及发送设备410和接收设备420。
在710,发送设备410向接收设备420发送SPA报文,该SPA报文包括发送设备410的标识和源地址前缀。关于该SPA报文可以参照前述结合图1的相关描述,为了简洁,这里不再重复。相应地,可理解,接收设备420可以接收来自发送设备410的SPA报文。
在720,发送设备410向接收设备420发送DPP报文,该DPP报文包括发送设备410的标识。关于该DPP报文可以参照前述结合图2的相关描述,为了简洁,这里不再重复。相应地,可理解,接收设备420可以接收来自发送设备410的DPP报文。
在730,接收设备420基于DPP报文和SPA报文,确定源地址前缀。具体地,接收设备420可以基于DPP报文中的发送设备410的标识,从SPA报文中确定与其对应的源地址前缀。
在740,接收设备420确定源地址前缀在该接收设备420处的第一使用状态信息。可选地,在一些实施例中,如图7中742所示,接收设备420还可以输出第一告警信息。
在750,接收设备420向发送设备410发送第一响应报文,该第一响应报文指示第一使用状态信息。在760,发送设备410基于第一响应报文来确定源地址前缀在发送设备410处是否存在异常。可选地,如果确定存在异常,则发送设备410进行修改或者向用户提供修改建议。
示例性地,图7中的过程740至760的具体实施例可以参照上述结合图6所描述的过程620至640等,为了简洁,这里不再重复。
通过结合图6至图7所描述的实施例,可以由接收设备420向发送设备410发送指示关于源地址前缀的第一使用状态信息的第一响应报文,从而能够基于此来改进源地址前缀的有效性。这样能够避免对报文的误报和漏报,提升地址验证的准确性。
在一些实施例中,图5中的验证设备可以被实现为控制设备430。图8示出了根据本申请的一些实施例的地址验证的过程800的信令交互图。过程800涉及发送设备410、接收设备420和控制设备430。
在810,发送设备410向接收设备420发送SPA报文,该SPA报文包括源地址前缀。在820,接收设备420向控制设备430转发该SPA报文。以此方式,控制设备430可以从接收设备420接收到来自发送设备410的SPA报文,且该SPA报文包括源地址前缀。关于该SPA报文可以参照前述结合图1的相关描述,为了简洁,这里不再重复。
在830,控制设备430确定源地址前缀在该接收设备420处的第一使用状态信息。在一些示例中,控制设备430可以预先获取接收设备420的路由表和转发表,并且控制设备430可以通过将源地址前缀与对应的路由表项和/或转发表项进行比较,来确定第一使用状态信息。可理解的是,本申请对控制设备430获取接收设备420的路由表和转发表的具体方式不做限定,例如控制设备430可以是具有管理功能的中心设备,其上预先存储有其所管理的各个网络设备的路由表和转发表,或者例如接收设备420可以将其路由表和转发表实时地同步至控制设备430。
关于第一使用状态信息的具体实施例可以参照简述结合图6的620处的相关描述,为了简洁,这里不再重复。
在840,控制设备430向发送设备410发送第一响应报文,该第一响应报文指示第一使用状态信息。在850,发送设备410基于第一响应报文来确定源地址前缀在发送设备410处是否存在异常。可选地,如果确定存在异常,则发送设备410进行修改或者向用户提供修改建议。示例性地,关于指示第一使用状态信息的第一响应报文以及过程850的具体实施例可以参照上述结合图6所描述的过程630至640中的类似内容等,为了简洁,这里不再重复。
可选地,在一些实施例中,在842,控制设备430向接收设备420发送第一告警信息,用于提供对接收设备420处的源地址前缀进行验证的验证模式的建议。举例而言,第一告警信息可以指示接收设备420处不能配置严格的URPF验证模式。举例而言,第一告警信息可以指示接收设备420处存在错误配置,该错误配置阻止了路由表项生成转发表项;或者接收设备420处存在路由表项生成转发表项时的处理故障。进一步地,接收设备420的用户可以基于该第一告警信息进行后续处理。
关于第一告警信息可以参照前述结合图6的622所描述的相关内容,为了简洁,这里不再重复。
图9示出了根据本申请的一些实施例的地址验证的过程900的信令交互图。过程900涉及发送设备410、接收设备420和控制设备430。
在910,发送设备410向接收设备420发送SPA报文,该SPA报文包括发送设备410的标识和源地址前缀。在920,接收设备420向控制设备430转发该SPA报文。
在930,发送设备410向接收设备420发送DPP报文,该DPP报文包括发送设备410的标识。在940,接收设备420向控制设备430转发该DPP报文。
在950,控制设备430基于DPP报文和SPA报文,确定源地址前缀。具体地,控制设备430可以基于DPP报文中的发送设备410的标识,从SPA报文中确定与其对应的源地址前缀。
在960,控制设备430确定源地址前缀在该接收设备420处的第一使用状态信息。
在970,控制设备430向发送设备410发送第一响应报文,该第一响应报文指示第一使用状态信息。在980,发送设备410基于第一响应报文来确定源地址前缀在发送设备410处是否存在异常。
可选地,在一些实施例中,在972,控制设备430向接收设备420发送第一告警信息。
应理解的是,关于过程900,可以参照前述实施例中的类似术语和类似过程,为了避免重复,这里不再赘述。
通过结合图8至图9所描述的实施例,可以由控制设备430向发送设备410发送指示关于源地址前缀的第一使用状态信息的第一响应报文,从而能够基于此来改进源地址前缀的有效性。这样能够避免对报文的误报和漏报,提升地址验证的准确性。
关于目的地址前缀的实施例
在本申请的一些实施例中,框510中的地址前缀可以包括目的地址前缀,相应地,框520中的响应报文可以为指示目的地址前缀在接收设备处的第二使用状态信息的第二响应报文。
在一些实施例中,图5中的验证设备可以被实现为接收设备420。图10示出了根据本申请的一些实施例的地址验证的过程1000的信令交互图。过程1000涉及发送设备410和接收设备420。
在1010,发送设备410向接收设备420发送DPP报文,该DPP报文包括目的地址前缀。关于该DPP报文可以参照前述结合图2的相关描述,为了简洁,这里不再重复。相应地,可理解,接收设备420可以接收来自发送设备410的DPP报文。
在1020,接收设备420确定目的地址前缀在该接收设备420处的第二使用状态信息。示例性地,接收设备420可以确定其转发表中的对应的转发表项,并将该目的地址前缀与转发表项进行比较。可选地,接收设备420还可以确定其路由表中的对应的路由表项,并将该目的地址前缀与路由表项进行比较。通过比较,接收设备420可以确定第二使用状态信息。
第二使用状态信息可以表示以下b1至b5任一项:b1,目的地址前缀在接收设备420处存在对应的转发表项,并且用于生成转发表项的路由表项是接收设备420处始发的;b2,目的地址前缀在接收设备420处存在对应的转发表项,并且在用于生成转发表项的路由表项中的到达下一跳的接口属于第一类型,其中第一类型表示下一跳的设备支持DSAV;b3,目的地址前缀在接收设备420处存在对应的转发表项,并且在用于生成转发表项的路由表项中的到达下一跳的接口属于第二类型,其中第二类型表示下一跳的设备不支持DSAV;b4,目的地址前缀在接收设备420处不存在对应的转发表项,存在对应的路由表项;或者b5,目的地址前缀在接收设备420处不存在对应的路由表项。
在一些示例中,第一类型的接口也可以被称为域内接口,表示该接口所在的网络设备支持DSAV,且该接口所连接的另一网络设备也支持DSAV。作为另一种理解,该接口所在的网络设备以及该接口所连接的另一网络设备都属于DSAV方案的管理域内的设备。
在一些示例中,第二类型的接口也可以被称为域外接口,表示该接口所在的网络设备支持DSAV,且该接口所连接的另一网络设备不支持DSAV。作为另一种理解,该接口所在的网络设备属于DSAV方案的管理域内的设备,但是该接口所连接的另一网络设备不属于DSAV方案的管理域内的设备(即域外设备)。
可选地,在一些实施例中,如图10中1022所示,接收设备420还可以输出第二告警信息。具体而言,如果接收设备420基于第二使用状态信息确定目的地址前缀在接收设备420处存在异常,则可以输出第二告警信息,用于提供对目的地址前缀进行验证的验证模式的建议。
举例而言,如果第二使用状态信息指示目的地址前缀在接收设备420处不存在对应的转发表项,存在对应的路由表项,即b4,那么第二告警信息指示:接收设备420处存在错误配置,该错误配置阻止了路由表项生成转发表项;或者接收设备420处存在路由表项生成转发表项时的处理故障。进一步地,可理解,接收设备420的用户可以基于该第二告警信息进行后续处理,例如用户可以修改该错误配置,以使得路由表项正常地生成转发表项。
举例而言,如果第二使用状态信息指示目的地址前缀在接收设备420处不存在对应的路由表项,即b5,那么第二告警信息指示:发送设备410和接收设备420处的路由表项不同步,该故障需要在发送设备410处进行处理。
在1030,接收设备420向发送设备410发送第二响应报文,该第二响应报文指示第二使用状态信息。示例性地,该第二响应报文可以包括状态码,以指示第二使用状态信息。这样能够节省信令开销,节省传输带宽,且提高传输效率。举例而言,可以假设与上述b1至b5一一对应的状态码分别为11至15。
在本申请的一些实施例中,在1030处的第二响应报文可以被理解为是DPP报文的反馈报文。可选地,该第二响应报文可以包括如下表8所示的内容。
表8
示例性地,表8中的报文类型可以表示目的前缀的使用情况的反馈,报文长度可以表示该第二响应报文所占用的总字节数(或总比特数),目的前缀可以表示该第二响应报文所指示的是哪个目的前缀的使用状态。另外,可选地,如表8所示,该第二响应报文还可以进一步包括状态码相关的一些描述等。
相应地,可理解,发送设备410可以接收来自接收设备420的第二响应报文。进一步地,在1040,发送设备410基于第二响应报文来确定目的地址前缀在发送设备410处是否存在异常。可选地,如果确定存在异常,则发送设备410进行修改或者向用户提供修改建议。
举例而言,如果第二响应报文包括与b1或b2或b3对应的状态码(如11或12或13),那么发送设备410可以确定目的地址前缀在发送设备410处正常。举例而言,如果第二响应报文包括与b4对应的状态码(如14),那么发送设备410可以确定目的地址前缀在接收设备420处可能存在异常。
举例而言,如果第二响应报文包括与b5对应的状态码(如15),那么发送设备410可以确定目的地址前缀在发送设备410或接收设备420处存在异常。例如,b5说明发送设备410和接收设备420处的路由表项不同步,故障的原因可能是:接收设备420可能没有及时地向发送设备410发送撤销消息;或者,发送设备410可能没有正确地处理来自接收设备420的撤销消息,该撤销消息用于指示发送设备410撤销该目的地址前缀对应的路由信息。进一步地,发送设备410可以将与该目的地址前缀对应的路由信息清除。换句话说,如果发送设备410接收到来自接收设备420的第二响应报文,且该第二响应消息指示b5,那么发送设备410可以确定存在路由表项不同步的情况。于是,发送设备410可以基于该第二响应报文的来源(即接收设备420),确定与目的地址前缀对应的路由为僵尸路由(即本应该撤销但还未被撤销的路由),并清除该僵尸路由。
在一些实施例中,图5中的验证设备可以被实现为控制设备430。图11示出了根据本申请的一些实施例的地址验证的过程1100的信令交互图。过程1100涉及发送设备410、接收设备420和控制设备430。
在1110,发送设备410向接收设备420发送DPP报文,该DPP报文包括目的地址前缀。在1120,接收设备420向控制设备430转发该DPP报文。以此方式,控制设备430可以从接收设备420接收到来自发送设备410的DPP报文,且该DPP报文包括目的地址前缀。关于该DPP报文可以参照前述结合图2的相关描述,为了简洁,这里不再重复
在1130,控制设备430确定目的地址前缀在该接收设备420处的第二使用状态信息。在一些示例中,控制设备430可以预先获取接收设备420的路由表和转发表,并且控制设备430可以通过将目的地址前缀与对应的路由表项和/或转发表项进行比较,来确定第二使用状态信息。
在1140,控制设备430向发送设备410发送第二响应报文,该第二响应报文指示第二使用状态信息。在1150,发送设备410基于第二响应报文来确定目的地址前缀在发送设备410处是否存在异常。可选地,如果确定存在异常,则发送设备410进行修改或者向用户提供修改建议。
可选地,在一些实施例中,在1142,控制设备430向接收设备420发送第二告警信息,用于提供对接收设备420处的目的地址前缀进行验证的验证模式的建议。举例而言,第二告警信息可以指示接收设备420处存在错误配置,该错误配置阻止了路由表项生成转发表项;或者接收设备420处存在路由表项生成转发表项时的处理故障。进一步地,接收设备420的用户可以基于该第二告警信息进行后续处理。
应理解的是,关于过程1100,可以参照前述实施例中的类似术语和类似过程,为了避免重复,这里不再赘述。
通过结合图10至图11所描述的实施例,可以由接收设备420或控制设备430向发送设备410发送指示关于目的地址前缀的第二使用状态信息的第二响应报文,从而能够基于此来改进目的地址前缀的有效性。这样能够避免对报文的误报和漏报,提升地址验证的准确性。
如图5所示,框510中的地址前缀可以为源地址前缀,框520中的响应报文可以为指示源地址前缀在接收设备处的第一使用状态信息的第一响应报文。可选地,还可以进一步包括:验证设备获取来自发送设备410的目的地址前缀;以及验证设备向发送设备410发送第二响应报文,第二响应报文指示目的地址前缀在接收设备420处的第二使用状态信息。作为一例,可以在框520之后再获取来自发送设备410的目的地址前缀。在一些实施例中,验证设备为接收设备420,结合上述实施例可以理解为在图6所示的过程600的基础上还可以进一步包括如图10所示的1010至1040。在一些实施例中,验证设备为控制设备430,结合上述实施例可以理解为在图8所示的过程800的基础上还可以进一步包括如图11所示的1110至1150。作为另一例,可以在框510中获取源地址前缀和目的地址前缀,例如可以基于DPP报文获取源地址前缀和目的地址前缀,相应地可以理解,可以在框520中或在框520之前或之后发送第二响应报文。在一些实施例中,验证设备为接收设备420,结合上述实施例可以理解为在图7所示的过程700的基础上还可以进一步包括如图10所示的1020至1040。在一些实施例中,验证设备为控制设备430,结合上述实施例可以理解为在图9所示的过程900的基础上还可以进一步包括如图11所示的1120至1150。以此方式,验证设备可以对源地址前缀和目的地址前缀进行验证,从而发送设备410可以基于第一响应报文和第二响应报文来进行改进,如此能够确保源地址前缀和目的地址前缀的有效性。
依然参照图5,在本申请的一些实施例中,框510中的地址前缀可以为源地址前缀,验证设备可以为控制设备430,并且框520中的响应报文可以指示源地址前缀在接收设备处的使用状态信息,该使用状态信息表示具有该源地址前缀的数据报文在接收设备420的支持DSAV的接口处被过滤。图12示出了根据本申请的一些实施例的地址验证的过程1200的信令交互图。过程1200涉及发送设备410、接收设备420和控制设备430。
在1210,发送设备410向接收设备420发送SPA报文。在1220,发送设备410向接收设备420发送DPP报文。关于SPA报文和DPP报文可以参照前述结合图1和图2的相关记载,这里不再重复。
在1230,接收设备420生成源地址验证表项。具体而言,接收设备420可以基于DPP报文和SPA报文生成源地址验证表项。举例而言,源地址验证表项可以包括源地址前缀、入接口和序列号等。在一些示例中,生成源地址验证表项的过程可以参照前述结合生成表5的部分的相关描述,为了简洁,这里不再重复。
在1242,接收设备420向控制设备430发送源地址验证表项。在1244,接收设备420向控制设备430发送接口信息,该接口信息包括接收设备420的各个接口被配置成的验证模式的信息。举例而言,该接口信息可以包括各个接口的标识与接口的验证模式的对应关系,例如该接口信息可以指示接收设备420的一个或多个接口被配置为DSAV验证模式。
可理解的是,图12中的1242和1244可以被实现为一个或多个报文,本申请对此不限定。例如,可以通过单个报文发送源地址验证表项和接口信息。例如,可以通过两个报文分别发送,如通过第一报文发送源地址验证表项,通过第二报文发送接口信息。例如,可以通过3个报文分别发送,如通过第一报文发送源地址验证表项,通过第二报文发送部分接口的接口信息,通过第三报文发送另外部分接口的接口信息。
在1250,接收设备420通过流量采样得到流量报文。具体而言,接收设备420可以对其支持DSAV的接口进行流量采样,从而得到流量报文,在一些示例中,该流量报文也可以被称为采样报文。在1260,接收设备420向控制设备430发送流量报文。本申请中的流量报文可以包括多个源地址前缀在接收设备420处的转发情况。举例而言,接收设备410处以流量的形式接收多个数据报文。例如可以采样多个数据报文中的数据报文1,获取该数据报文1的源地址前缀1,入接口1,接收设备420对数据报文1的处理结果1(如通过或阻止)等。例如可以采样多个数据报文中的数据报文2,获取该数据报文2的源地址前缀2,入接口2,接收设备420对数据报文2的处理结果2(如通过或阻止)等。本申请中的采样方式可以是周期性采样,例如每隔S个数据包采样一次,例如每隔T秒采样一次,或者可以是其他的采样方式,本申请对此不做限定。
在1270,控制设备430确定响应报文。具体而言,控制设备430可以基于源地址验证表项和接口信息,对流量报文进行分析,以得到响应报文。
示例性地,控制设备430对流量报文的分析可以包括:提取流量报文中与处理结果为“阻止”所对应的源地址前缀和入接口,确定该源地址前缀在发送设备410处的状态。例如,假设流量报文包括:“数据报文1,源地址前缀1,入接口1,处理结果1”,其中处理结果1为阻止。也就是说,接收设备420的入接口1阻止了具有源地址前缀1的数据报文1,换句话说,入接口1阻止(或称过滤、丢弃等)了具有源地址前缀1的数据报文。进一步地,控制设备430可以确定源地址前缀1是否属于发送设备410的始发源地址或者合法经过发送设备410的源地址的前缀。举例而言,控制设备430通过分析发现:被接收设备420的某接口(如入接口1)所过滤的数据报文的源地址(如具有源地址前缀1)属于发送设备410的始发的源地址或者是合法经过发送设备410的源地址,那么,控制设备430可以生成响应报文,且该响应报文指示源地址前缀(如源地址前缀1)在接收设备420处的使用状态信息,该使用状态信息表示具有合法的源地址前缀的数据报文被接收设备420的接口(如入接口1)过滤。
在1280,控制设备430向发送设备410发送响应报文。
进一步地,可以理解,在1290,发送设备410可以基于该响应报文对源地址前缀进行改进或调整。举例而言,发送设备410的用户可以基于该响应报文而补充之前遗漏的源地址前缀。并且可选地,发送设备410可以基于改进或调整后的源地址前缀,重新发送SPA报文和/或DPP报文。
可选地,在一些实施例中,如图12所示,在1272,控制设备430还可以向接收设备420发送修改建议信息,该修改建议信息用于建议调整接收设备420的支持DSAV的接口的验证模式。可选地,接收设备420可以基于该修改建议信息,修改所指示的接口的验证模式。
举例而言,如果控制设备430确定被接收设备420的某个接口过滤的报文的源地址属于发送设备410的始发的源地址或者是合法经过发送设备410的源地址,并且过滤这些报文的该接口已经被使能了白名单验证模式或者严格的URPF验证模式,那么,修改建议信息可以建议接收设备420的该接口的验证模式调整为灰名单验证模式。也即是说,控制设备430可以确定该接口的源地址探测不够充分,因此目前使能的验证模式不合适,从而可以建议接收设备420调整该接口的验证模式。
以此方式,控制设备430可以基于采样而获得的流量报文,确定接收设备420的接口对于源地址前缀的处理情况,进而确定接收设备420的地址验证方式是否合理。控制设备430可以基于上述结果通知发送设备410和/或接收设备420进行适当的调整或修改,这样能够确保后续的数据报文被正确地处理,避免误报或漏报。
依然参照图5,在本申请的一些实施例中,框510中的地址前缀可以为源地址前缀,验证设备可以为接收设备420,并且框520中的响应报文可以指示具有该源地址前缀在接收设备处的使用状态信息,该使用状态信息表示具有该源地址前缀的数据报文对应的入接口的验证模式。图13示出了根据本申请的一些实施例的一些实施例的地址验证的过程1300的信令交互图。过程1300涉及发送设备410和接收设备420。
在1310,发送设备410向接收设备420发送SPA报文,该SPA报文包括源地址前缀。在1320,发送设备410向接收设备420发送DPP报文。关于SPA报文和DPP报文可以参照前述结合图1和图2的相关记载,这里不再重复。
在1330,接收设备420生成源地址验证表项。具体而言,接收设备420可以基于DPP报文和SPA报文生成源地址验证表项。举例而言,源地址验证表项可以包括源地址前缀、入接口和序列号等。在一些示例中,生成源地址验证表项的过程可以参照前述结合生成表5的部分的相关描述,为了简洁,这里不再重复。
为了描述方便,结合表5,可以假设接收设备420的接口B1为与发送设备410进行通信的接口,也就是说,接收设备420通过接口B1接收来自发送设备410的SPA报文和DPP报文,并且可以假设该接口B1被配置为灰名单验证模式。另外,还可以假设接收设备420的其余接口(如表5中的接口B2)也类似地(如从另一发送设备接收SPA报文和DPP报文)完成了源地址验证的过程。
在1340,发送设备410向接收设备420发送数据报文。示例性地,该数据报文的源地址具有第一源地址前缀。另外还可以假设接收设备420接收数据报文的入接口为第一入接口。可选地,该第一入接口与接收设备420接收SPA报文的入接口相同,例如为接口B1。
在1350,接收设备420对数据报文进行处理。具体而言,接收设备420可以确定数据报文的源地址,基于该源地址查询接收设备420处的源地址验证表项。
在一些示例中,假设接收设备420确定源地址验证表项中包括第一源地址前缀,那么进一步地可以获取该源地址验证表项中与第一源地址前缀对应的入接口,假设为第二入接口。可选地,如果接收设备420确定该源地址验证表项中与第一源地址前缀对应的第二入接口不包括第一入接口,且该第一入接口被配置为灰名单验证模式,那么接收设备420将丢弃该数据报文。
举例而言,假设接收设备420接收数据报文的第一入接口为接口B1。结合表5,假设源地址前缀“P1等始发自路由器310的前缀集合”不包括第一源地址前缀,源地址前缀“P3等始发自路由器330的前缀集合”包括第一源地址前缀,那么接收设备420可以进一步确定该地址验证表项中与“P3等始发自路由器330的前缀集合”对应的第二入接口,即B2。由于B2不同于B1,且接口B1被配置为灰名单验证模式,那么接收设备420阻止该数据报文,即将其丢弃。
在1360,接收设备420向发送设备410发送响应报文。具体而言,如果源地址验证表项中与数据报文的源地址前缀对应的入接口(如表5中的B2)不包括接收设备420接收数据报文的入接口(如B1),则接收设备420可以向发送设备410发送该响应报文。该响应报文可以指示源地址前缀在接收设备420处的使用状态信息,具体而言,指示数据报文的源地址前缀在源地址验证表项中所对应的入接口(即B2)不同于接收数据报文的入接口(即B1),且接收数据报文的入接口(即B1)被配置为灰名单验证模式。可理解,该响应报文可以包括第一源地址前缀,以指示数据报文的入接口(即B1)阻止具有该第一源地址前缀的数据报文。
在一些示例中,该响应报文也可以被称为灰名单通知消息,该灰名单通知消息可以包括如下表9所示的内容。
表9
报文类型(Type)
报文长度(Length)
灰名单前缀(Block Prefix)
动作(Action)
示例性地,表9中的报文类型可以表示灰名单通知消息,报文长度可以表示该灰名单通知消息所占用的总字节数(或总比特数),灰名单前缀可以表示被接口B1阻止的数据报文所具有的源地址前缀。另外,可选地,如表9所示,该灰名单通知消息还可以进一步包括动作(第一动作或第二动作),例如第一动作表示添加,第二动作表示移除。具体地,第一动作表示“灰名单前缀”中的地址前缀被添加到接口B1阻止的源前缀中,第二动作表示“灰名单前缀”中的地址前缀被从接口B1阻止的源前缀中移除。作为一例,对于在1360中的灰名单通知消息,其“灰名单前缀”包括第一地址前缀,其“动作”为第一动作(例如表示为0)。
在1370,发送设备410基于响应报文确定源地址前缀是否存在异常。在一些示例中,发送设备410可以确定在处理第一源地址前缀时是否存在遗漏。可能存在两种不同的情况:情况一,发送设备410确定在处理第一源地址前缀时存在遗漏;情况二,发送设备410确定不存在遗漏。
可选地,在一些实施例中,如果在1370确定是情况一,则可以执行1380。包括1382至1386。
在1382,发送设备410向接收设备420发送经修正的SPA报文,该SPA报文包括第一源地址前缀。具体而言,如果发送设备410发现在先前处理源地址前缀时存在遗漏,即遗漏了第一地址前缀,则可以重新发送修正的SPA报文。相应地,可理解,接收设备420可以接收来自发送设备410的经修正的SPA报文。
在1384,接收设备420基于经修正的SPA报文更新源地址验证表项。结合前述的1350和1360可理解,经更新的源地址验证表项中,与入接口B1对应的源前缀中又增加了“第一源地址前缀”。
在1386,接收设备420向发送设备410发送变更通知,该变更通知指示数据报文的第一源地址前缀不再是入接口B1的灰名单表项。在一些示例中,该变更通知可以包括与上述表9所示的灰名单通知消息类似的内容,例如其中“灰名单前缀”包括第一地址前缀,其“动作”为第二动作(例如表示为1)以指示该第一地址前缀已经从入接口B1的灰名单表项中被移除。
以此方式,发送设备410可以基于来自接收设备420的响应报文来确定在之前处理源地址前缀时是否存在异常(例如,遗漏)。从而在发现遗漏时可以及时地修正,这样能够避免数据报文不适当地被误报,也就是说能够减少误报。
可选地,在一些实施例中,如果在1370确定是情况二,则可以执行1390。包括1392至1396。
在1392,发送设备410在接收响应报文的接口上设置ACL过滤规则。具体而言,假设发送设备410接收响应报文(即灰名单通知消息)的接口为第三入接口(如A1),那么发送设备410可以在该第三入接口设置ACL过滤规则,再次之后,发送设备410可以基于该ACL过滤规则将具有第一源地址前缀的数据报文进行过滤,也就是说,不再向接收设备420发送具有第一源地址前缀的数据报文。
可选地,在1394,接收设备420向发送设备410发送变更通知。具体而言,接收设备420确定第一入接口的灰名单表项发生变化,例如第一源地址前缀不再是第一入接口的灰名单表项了,则可以生成并发送变更通知。举例而言,接收设备420由于其所感知的网络拓扑发生变化时可能导致第一源地址前缀不再是第一入接口的灰名单表项。该变更通知可以指示第一源地址前缀不再是第一入接口(入接口B1)的灰名单表项。
在1396,发送设备410基于变更通知更新ACL过滤规则。具体而言,发送设备410可以将在1392中所设置的ACL过滤规则删除,从而具有第一源地址前缀的数据报文后续不会被过滤,而是被通过第三入接口发生到接收设备420。
以此方式,发送设备410能够基于来自接收设备420的响应报文来确定在之前处理源地址前缀时是否存在异常(例如,遗漏)。从而在确定不存在异常时通过设置ACL过滤规则来减少无效报文的传输,也就是说,既然接收设备420会丢弃具有第一源地址前缀的数据报文,那么发送设备410便没有必要发送该数据报文了。通过ACL过滤规则避免发送设备410发送该数据报文,如此能够节省信令开销,提高带宽的利用率。
这样,通过上述的本申请的各个实施例,能够由验证设备通过响应报文使得发送设备获知地址前缀在接收设备处的使用状态信息,从而便于发送设备对地址前缀的异常进行处理,有助于提高源地址验证的准确性,并实现零误报,尽量减少漏报。
应理解,在本申请的实施例中,“第一”,“第二”,“第三”等表述只是为了表示多个对象可能是不同的,但是同时不排除两个对象之间是相同的。“第一”,“第二”,“第三”等表述不应当解释为对本申请实施例的任何限制。
还应理解,本申请的实施例中的方式、情况、类别以及实施例的划分仅是为了描述的方便,不应构成特别的限定,各种方式、类别、情况以及实施例中的特征在符合逻辑的情况下,可以相互结合。
还应理解,上述内容只是为了帮助本领域技术人员更好地理解本申请的实施例,而不是要限制本申请的实施例的范围。本领域技术人员根据上述内容,可以进行各种修改或变化或组合等。这样的修改、变化或组合后的方案也在本申请的实施例的范围内。
还应理解,上述内容的描述着重于强调各个实施例之前的不同之处,相同或相似之处可以互相参考或借鉴,为了简洁,这里不再赘述。
图14示出了根据本申请的实施例的通信装置1400的示意框图。装置1400可以通过软件、硬件或者两者结合的方式实现。在一些实施例中,装置1400可以为实现验证设备(如图4所示的接收设备420或控制设备430)中的部分或全部功能的软件或硬件装置。
如图14所示,装置1400包括获取模块1410和发送模块1420。可选地,装置1400还可以包括确定模块1430。在一些示例中,获取模块1410可以被实现为接收模块。
获取模块1410被配置为获取来自发送设备的地址前缀。发送模块1420被配置为向发送设备发送响应报文,响应报文指示地址前缀在接收设备处的使用状态信息。
在本申请的一些实施例中,地址前缀包括源地址前缀,通信装置1400为接收设备,获取模块1410可以被具体配置为从发送设备接收SPA报文,SPA报文包括源地址前缀。
在本申请的一些实施例中,地址前缀包括源地址前缀,通信装置1400为接收设备,获取模块1410可以被具体配置为从发送设备接收SPA报文,SPA包括发送设备的标识和源地址前缀;从发送设备接收DPP报文,DPP报文包括发送设备的标识。并且确定模块1430可以被配置为基于DPP报文中的标识以及SPA报文,确定源地址前缀。
可选地,通信装置1400可以包括输出模块,被配置为输出第一告警信息,第一告警信息用于提供对源地址前缀进行验证的验证模式的建议。
在本申请的一些实施例中,地址前缀包括源地址前缀,通信装置1400为控制设备,获取模块1410可以被具体配置为从接收设备接收SPA报文,SPA报文包括源地址前缀。
在本申请的一些实施例中,地址前缀包括源地址前缀,通信装置1400为控制设备,获取模块1410可以被具体配置为从接收设备接收SPA报文,SPA包括发送设备的标识和源地址前缀;从接收设备接收目的前缀探测DPP报文,DPP报文包括发送设备的标识。并且确定模块1430可以被配置为基于DPP报文中的标识以及SPA报文,确定源地址前缀。
可选地,发送模块1420还可以被配置为向接收设备发送第一告警信息,第一告警信息用于提供对源地址前缀进行验证的验证模式的建议。
示例性地,如果使用状态信息指示源地址前缀在接收设备处存在对应的转发表项,并且转发表项中与源地址前缀对应的出接口与接收设备接收SPA报文的入接口不一致,那么第一告警信息指示接收设备处不能配置严格的URPF验证模式。
示例性地,如果使用状态信息指示源地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,并且路由表项是有效的,那么第一告警信息指示:接收设备处存在错误配置,错误配置阻止了路由表项生成转发表项;或者接收设备处存在路由表项生成转发表项时的处理故障。
可选地:如果使用状态信息指示源地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,并且路由表项是无效的,则确定模块1430可以被配置为确定路由表项无效的原因。并且发送模块1420可以被配置为向发送设备发送用于指示原因的指示信息。
在一些实施例中,响应报文指示源地址前缀在接收设备处的第一使用状态信息,第一使用状态信息表示以下任意一项:源地址前缀在接收设备处存在对应的转发表项,并且转发表项中与源地址前缀对应的出接口与接收设备接收SPA报文的入接口一致;源地址前缀在接收设备处存在对应的转发表项,并且转发表项中与源地址前缀对应的出接口与接收设备接收SPA报文的入接口不一致;源地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,并且路由表项是有效的;源地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,并且路由表项是无效的;或者源地址前缀在接收设备处不存在对应的路由表项。
在本申请的一些实施例中,地址前缀包括源地址前缀,通信装置1400为控制设备,获取模块1410可以被具体配置为接收来自接收设备的源地址验证表项,源地址验证表项包括源地址前缀。获取模块1410还被配置为接收来自接收设备的关于接收设备的各个接口被配置成的验证模式的信息;以及接收来自接收设备的流量报文,流量报文是对接收设备的支持DSAV的接口进行流量采样而得到的。
可选地,发送模块1420可以被配置为在向接收设备发送修改建议信息,修改建议信息用于建议调整接收设备的支持DSAV的接口的验证模式。
示例性地,使用状态信息表示具有源地址前缀的数据报文在接收设备的支持DSAV的接口处被过滤。
在本申请一些实施例中,地址前缀包括目的地址前缀,通信装置1400为接收设备,获取模块1410可以被具体配置为从发送设备接收DPP报文,DPP报文包括目的地址前缀。
在一些实施例中,输出模块可以被配置为输出第二告警信息,第二告警信息用于提供对目的地址前缀进行验证的验证模式的建议。
在本申请的一些实施例中,地址前缀包括目的地址前缀,通信装置1400为控制设备,获取模块1410可以被具体配置为从接收设备接收DPP报文,DPP报文包括目的地址前缀。
在一些实施例中,发送模块1420可以被配置为向接收设备发送第二告警信息,第二告警信息用于提供对目的地址前缀进行验证的验证模式的建议。
可选地,如果使用状态信息指示目的地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,那么第二告警信息指示:接收设备处存在错误配置,错误配置阻止了路由表项生成转发表项;或者接收设备处存在路由表项生成转发表项时的处理故障。
在一些实施例中,响应报文指示目的地址前缀在接收设备处的第二使用状态信息,第二使用状态信息表示以下任意一项:目的地址前缀在接收设备处存在对应的转发表项,并且用于生成转发表项的路由表项是接收设备处始发的;目的地址前缀在接收设备处存在对应的转发表项,并且在用于生成转发表项的路由表项中的到达下一跳的接口属于第一类型,其中第一类型表示下一跳的设备支持DSAV;目的地址前缀在接收设备处存在对应的转发表项,并且在用于生成转发表项的路由表项中的到达下一跳的接口属于第二类型,其中第二类型表示下一跳的设备不支持DSAV;目的地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项;或者目的地址前缀在接收设备处不存在对应的路由表项。
在本申请的一些实施例中,通信装置1400为接收设备,获取模块1410可以被具体配置为接收来自发送设备的SPA报文,SPA报文包括源地址前缀。确定模块1430可以被配置为基于SPA报文生成源地址验证表项,源地址验证表项包括源地址前缀以及通信装置1400接收SPA报文的入接口。获取模块1410可以被配置为接收来自发送设备的数据报文,数据报文的源地址具有另一源地址前缀,用于接收数据报文的第一入接口与接收SPA报文的入接口相同。发送模块1420可以被配置为:如果源地址验证表项包括另一源地址前缀,源地址验证表项中与另一源地址前缀对应的第二入接口不同于第一入接口,则向发送设备发送响应报文,并且其中使用状态信息表示另一源地址前缀属于第一入接口的灰名单表项,第一入接口被配置为灰名单验证模式。
示例性地,获取模块1410还可以被配置为接收来自发送设备的经修正SPA报文。确定模块1430可以被配置为基于经修正SPA报文,更新源地址验证表项。发送模块1420还可以被配置为向发送设备发送变更通知,变更通知指示另一源地址前缀不再是第一入接口的灰名单表项。
图14中的装置1400能够用于实现上述结合图5至图13中由接收设备420或控制设备430所实现的各个过程,为了简洁,这里不再赘述。
图15示出了根据本申请的实施例的通信装置1500的示意框图。装置1500可以通过软件、硬件或者两者结合的方式实现。在一些实施例中,装置1500可以为实现图4所示的发送设备410中的部分或全部功能的软件或硬件装置。
如图15所示,装置1500包括发送模块1510和接收模块1520。可选地,装置1500还可以包括确定模块1530。
发送模块1510被配置为向接收设备发送地址前缀。接收模块1520被配置为接收来自验证设备的响应报文,响应报文指示地址前缀在接收设备处的使用状态信息。
在本申请的一些实施例中,地址前缀包括源地址前缀,发送模块1510可以具体被配置为向接收设备发送源前缀发布SPA报文,SPA报文包括源地址前缀。
在本申请的一些实施例中,地址前缀包括源地址前缀,发送模块1510可以具体被配置为向接收设备发送SPA报文,SPA报文包括装置1500的标识和源地址前缀;以及向接收设备发送目的前缀探测DPP报文,DPP报文包括装置1500的标识。
可选地,如果使用状态信息指示源地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,并且路由表项是无效的,那么接收模块1520还可以被配置为接收来自验证设备的用于指示路由表项无效的原因的指示信息。
示例性地,确定模块1530被配置为基于响应报文,确定源地址前缀在装置1500处的配置调整策略。
在一些实施例中,响应报文指示源地址前缀在接收设备处的第一使用状态信息,第一使用状态信息表示以下任意一项:源地址前缀在接收设备处存在对应的转发表项,并且转发表项中与源地址前缀对应的出接口与接收设备接收SPA报文的入接口一致;源地址前缀在接收设备处存在对应的转发表项,并且转发表项中与源地址前缀对应的出接口与接收设备接收SPA报文的入接口不一致;源地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,并且路由表项是有效的;源地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项,并且路由表项是无效的;或者源地址前缀在接收设备处不存在对应的路由表项。
在一些实施例中,使用状态信息表示具有源地址前缀的数据报文在接收设备的支持DSAV的接口处被过滤。
在本申请的一些实施例中,地址前缀包括目的地址前缀,发送模块1510可以具体被配置为向接收设备发送DPP报文,DPP报文包括目的地址前缀。
示例性地,确定模块1530被配置为基于响应报文确定目的地址前缀在装置1500处的配置调整策略。
在一些实施例中,响应报文指示目的地址前缀在接收设备处的第二使用状态信息,第二使用状态信息表示以下任意一项:目的地址前缀在接收设备处存在对应的转发表项,并且用于生成转发表项的路由表项是接收设备处始发的;目的地址前缀在接收设备处存在对应的转发表项,并且在用于生成转发表项的路由表项中的到达下一跳的接口属于第一类型,其中第一类型表示下一跳的设备支持DSAV;目的地址前缀在接收设备处存在对应的转发表项,并且在用于生成转发表项的路由表项中的到达下一跳的接口属于第二类型,其中第二类型表示下一跳的设备不支持DSAV;目的地址前缀在接收设备处不存在对应的转发表项,存在对应的路由表项;或者目的地址前缀在接收设备处不存在对应的路由表项。
在本申请的一些实施例中,接收设备为验证设备,发送模块1510还可以被配置为向接收设备发送数据报文,数据报文的源地址具有另一源地址前缀;并且其中使用状态信息表示另一源地址前缀属于第一入接口的灰名单表项,第一入接口被配置为灰名单验证模式,第一入接口为接收设备处接收数据报文的入接口。
可选地,发送模块1510还可以被配置为向接收设备发送经修正SPA报文。接收模块1520还可以被配置为接收来自接收设备的变更通知,变更通知指示另一源地址前缀不再是第一入接口的灰名单表项。
可选地,确定模块1530可以被配置为在接收响应报文的接口上设置访问控制列表(Access Control List,ACL)过滤规则,ACL过滤规则表示具有另一源地址前缀的数据报文被过滤以不被发送。
图15中的装置1500能够用于实现上述结合图5至图14中由发送设备410所实现的各个过程,为了简洁,这里不再赘述。
本申请的实施例中对模块或单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时也可以有另外的划分方式,另外,在申请的实施例中的各功能单元可以集成在一个单元中,也可以是单独物理存在,也可以两个或两个以上单元集成为一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
图16示出了根据本申请的实施例的网络设备1600的示意性框图。网络设备1600在一些场景下可以被理解为前述通信装置的另一种实现。网络设备1600例如可以被实现为路由器、交换机等,本申请对此不限定。
网络设备1600包括控制平面1610和数据平面1620。控制平面1610可以用于生成协议报文(如通过协议报文始发模块1612),可以用于根据接收到的协议报文生成地址验证信息(如通过协议报文接收模块1614)。数据平面1620可以用于验证地址的合法性(如通过源地址验证表1622),可以用于转发报文(如通过ACL 1624和FIB 1624)。
可理解的是,在上面结合图5至图13所描述的实施例中,由网络设备所执行的部分过程是由控制平面执行的,部分过程是由数据平面执行的,部分过程是由控制平面结合数据平面执行的,本申请中不再详细阐述。另外可理解的是,图16中的网络设备1600示出的是网络设备视角的系统架构的示意图。在实际应用中,图16中所示出的网络设备1600中的某些模块可以不被使用,或者网络设备1600还可以包括图中未示出的其余的模块等,本申请对此不限定。
图17示出了可以用来实施本申请的实施例的示例设备1700的示意性框图。设备1700可以被实现为或者被包括在图4所示的发送设备410、接收设备420或控制设备430中。
如图所示,设备1700包括中央处理单元(Central Processing Unit,CPU)1701、只读存储器(Read-Only Memory,ROM)1702以及随机存取存储器(Random Access Memory,RAM)1703。CPU 1701可以根据存储在RAM 1702和/或RAM 1703中的计算机程序指令或者从存储单元1708加载到ROM 1702和/或RAM 1703中的计算机程序指令,来执行各种适当的动作和处理。在ROM 1702和/或RAM 1703中,还可存储设备1700操作所需的各种程序和数据。CPU 1701和ROM 1702和/或RAM 1703通过总线1704彼此相连。输入/输出(Input/Output,I/O)接口1705也连接至总线1704。
设备1700中的多个部件连接至I/O接口1705,包括:输入单元1706,例如键盘、鼠标等;输出单元1707,例如各种类型的显示器、扬声器等;存储单元1708,例如磁盘、光盘等;以及通信单元1709,例如网卡、调制解调器、无线通信收发机等。通信单元1709允许设备1700通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
CPU 1701可以是各种具有处理和计算能力的通用和/或专用处理组件。可以被实现为的一些示例包括但不限于图形处理单元(Graphics Processing Unit,GPU)、各种专用的人工智能(Artificial Intelligence,AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(Digital Signal Processor,DSP)、以及任何适当的处理器、控制器、微控制器等,相应地可以被称为计算单元。CPU 1701执行上文所描述的各个方法和处理。例如,在一些实施例中,上文所描述的过程可被实现为计算机软件程序,其被有形地包含于计算机可读介质,例如存储单元1708。在一些实施例中,计算机程序的部分或者全部可以经由ROM 1702和/或RAM 1703和/或通信单元1709而被载入和/或安装到设备1700上。当计算机程序加载到ROM 1702和/或RAM 1703并由CPU 1701执行时,可以执行上文描述的过程的一个或多个步骤。备选地,在其他实施例中,CPU 1701可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行上文所描述的过程。
示例性地,图17中的设备1700可以被实现为计算设备,或者可以被实现为计算设备中的芯片或芯片系统,本申请的实施例对此不限定。
本申请的实施例还提供了一种芯片,该芯片可以包括输入接口、输出接口和处理电路。在本申请的实施例中,可以由输入接口和输出接口完成信令或数据的交互,由处理电路完成信令或数据信息的生成以及处理。
本申请的实施例还提供了一种芯片系统,包括处理器,用于支持计算设备以实现上述任一实施例中所涉及的功能。在一种可能的设计中,芯片系统还可以包括存储器,用于存储必要的程序指令和数据,当处理器运行该程序指令时,使得安装该芯片系统的设备实现上述任一实施例中所涉及的方法。示例性地,该芯片系统可以由一个或多个芯片构成,也可以包含芯片和其他分立器件。
本申请的实施例还提供了一种处理器,用于与存储器耦合,存储器存储有指令,当处理器运行所述指令时,使得处理器执行上述任一实施例中涉及的方法和功能。
本申请的实施例还提供了一种包含指令的计算机程序产品,其在计算机上运行时,使得计算机执行上述各实施例中任一实施例中涉及的方法和功能。
本申请的实施例还提供了一种计算机可读存储介质,其上存储有计算机指令,当处理器运行所述指令时,使得处理器执行上述任一实施例中涉及的方法和功能。
通常,本申请的各种实施例可以以硬件或专用电路、软件、逻辑或其任何组合来实现。一些方面可以用硬件实现,而其他方面可以用固件或软件实现,其可以由控制器,微处理器或其他计算设备执行。虽然本申请的实施例的各个方面被示出并描述为框图,流程图或使用一些其他图示表示,但是应当理解,本文描述的框,装置、系统、技术或方法可以实现为,如非限制性示例,硬件、软件、固件、专用电路或逻辑、通用硬件或控制器或其他计算设备,或其某种组合。
本申请还提供有形地存储在非暂时性计算机可读存储介质上的至少一个计算机程序产品。该计算机程序产品包括计算机可执行指令,例如包括在程序模块中的指令,其在目标的真实或虚拟处理器上的设备中执行,以执行如上参考附图的过程/方法。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、库、对象、类、组件、数据结构等。在各种实施例中,可以根据需要在程序模块之间组合或分割程序模块的功能。用于程序模块的机器可执行指令可以在本地或分布式设备内执行。在分布式设备中,程序模块可以位于本地和远程存储介质中。
用于实现本申请的方法的计算机程序代码可以用一种或多种编程语言编写。这些计算机程序代码可以提供给通用计算机、专用计算机或其他可编程的数据处理装置的处理器,使得程序代码在被计算机或其他可编程的数据处理装置执行的时候,引起在流程图和/或框图中规定的功能/操作被实施。程序代码可以完全在计算机上、部分在计算机上、作为独立的软件包、部分在计算机上且部分在远程计算机上或完全在远程计算机或服务器上执行。
在本申请的上下文中,计算机程序代码或者相关数据可以由任意适当载体承载,以使得设备、装置或者处理器能够执行上文描述的各种处理和操作。载体的示例包括信号、计算机可读介质、等等。信号的示例可以包括电、光、无线电、声音或其它形式的传播信号,诸如载波、红外信号等。
计算机可读介质可以是包含或存储用于或有关于指令执行系统、装置或设备的程序的任何有形介质。计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读介质可以包括但不限于电子的、磁的、光学的、电磁的、红外的或半导体系统、装置或设备,或其任意合适的组合。计算机可读存储介质的更详细示例包括带有一根或多根导线的电气连接、便携式计算机磁盘、硬盘、随机存储存取器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、光存储设备、磁存储设备,或其任意合适的组合。
此外,尽管在附图中以特定顺序描述了本申请的方法的操作,但是这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。相反,流程图中描绘的步骤可以改变执行顺序。附加地或备选地,可以省略某些步骤,将多个步骤组合为一个步骤执行,和/或将一个步骤分解为多个步骤执行。还应当注意,根据本申请的两个或更多装置的特征和功能可以在一个装置中具体化。反之,上文描述的一个装置的特征和功能可以进一步划分为由多个装置来具体化。
以上已经描述了本申请的各实现,上述说明是示例性的,并非穷尽的,并且也不限于所公开的各实现。在不偏离所说明的各实现的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在很好地解释各实现的原理、实际应用或对市场中的技术的改进,或者使本技术领域的其他普通技术人员能理解本文公开的各个实现方式。

Claims (36)

1.一种报文传输方法,其特征在于,包括:
验证设备获取来自发送设备的地址前缀;以及
所述验证设备向所述发送设备发送响应报文,所述响应报文指示所述地址前缀在接收设备处的使用状态信息。
2.根据权利要求1所述的方法,其特征在于,所述地址前缀包括源地址前缀,所述验证设备为所述接收设备,所述验证设备获取来自发送设备的地址前缀包括:
所述验证设备从所述发送设备接收源前缀发布SPA报文,所述SPA报文包括所述源地址前缀。
3.根据权利要求1所述的方法,其特征在于,所述地址前缀包括源地址前缀,所述验证设备为所述接收设备,所述验证设备获取来自发送设备的地址前缀包括:
所述验证设备从所述发送设备接收SPA报文,所述SPA包括所述发送设备的标识和所述源地址前缀;
所述验证设备从所述发送设备接收目的前缀探测DPP报文,所述DPP报文包括所述发送设备的所述标识;以及
所述验证设备基于所述DPP报文中的所述标识以及所述SPA报文,确定所述源地址前缀。
4.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
所述验证设备输出第一告警信息,所述第一告警信息用于提供对所述源地址前缀进行验证的验证模式的建议。
5.根据权利要求1所述的方法,其特征在于,所述地址前缀包括源地址前缀,所述验证设备为控制设备,所述验证设备获取来自发送设备的地址前缀包括:
所述验证设备从所述接收设备接收SPA报文,所述SPA报文包括所述源地址前缀。
6.根据权利要求1所述的方法,其特征在于,所述地址前缀包括源地址前缀,所述验证设备为控制设备,所述验证设备获取来自发送设备的地址前缀包括:
所述验证设备从所述接收设备接收SPA报文,所述SPA包括所述发送设备的标识和所述源地址前缀;
所述验证设备从所述接收设备接收目的前缀探测DPP报文,所述DPP报文包括所述发送设备的所述标识;以及
所述验证设备基于所述DPP报文中的所述标识以及所述SPA报文,确定所述源地址前缀。
7.根据权利要求5或6所述的方法,其特征在于,所述方法还包括:
所述验证设备向所述接收设备发送第一告警信息,所述第一告警信息用于提供对所述源地址前缀进行验证的验证模式的建议。
8.根据权利要求4或7所述的方法,其特征在于,
如果所述使用状态信息指示源地址前缀在所述接收设备处存在对应的转发表项,并且所述转发表项中与所述源地址前缀对应的出接口与所述接收设备接收所述SPA报文的入接口不一致,那么所述第一告警信息指示所述接收设备处不能配置严格的单播逆向路径转发URPF验证模式;
如果所述使用状态信息指示所述源地址前缀在所述接收设备处不存在对应的转发表项,存在对应的路由表项,并且所述路由表项是有效的,那么所述第一告警信息指示:
所述接收设备处存在错误配置,所述错误配置阻止了所述路由表项生成所述转发表项;或者
所述接收设备处存在所述路由表项生成所述转发表项时的处理故障。
9.根据权利要求2至4中任一项所述的方法,其特征在于,所述方法还包括:
如果所述使用状态信息指示所述源地址前缀在所述接收设备处不存在对应的转发表项,存在对应的路由表项,并且所述路由表项是无效的,则所述验证设备确定所述路由表项无效的原因;以及
所述验证设备向所述发送设备发送用于指示所述原因的指示信息。
10.根据权利要求2至9中任一项所述的方法,其特征在于,所述响应报文指示所述源地址前缀在所述接收设备处的第一使用状态信息,所述第一使用状态信息表示以下任意一项:
所述源地址前缀在所述接收设备处存在对应的转发表项,并且所述转发表项中与所述源地址前缀对应的出接口与所述接收设备接收所述SPA报文的入接口一致;
所述源地址前缀在所述接收设备处存在对应的转发表项,并且所述转发表项中与所述源地址前缀对应的出接口与所述接收设备接收所述SPA报文的入接口不一致;
所述源地址前缀在所述接收设备处不存在对应的转发表项,存在对应的路由表项,并且所述路由表项是有效的;
所述源地址前缀在所述接收设备处不存在对应的转发表项,存在对应的路由表项,并且所述路由表项是无效的;或者
所述源地址前缀在所述接收设备处不存在对应的路由表项。
11.根据权利要求1所述的方法,其特征在于,所述地址前缀包括源地址前缀,所述验证设备为控制设备,所述验证设备获取来自发送设备的地址前缀包括:
所述验证设备接收来自所述接收设备的源地址验证表项,所述源地址验证表项包括所述源地址前缀;
在所述验证设备发送所述响应报文之前,所述方法还包括:
所述验证设备接收来自所述接收设备的关于所述接收设备的各个接口被配置成的验证模式的信息;以及
所述验证设备接收来自所述接收设备的流量报文,所述流量报文是对所述接收设备的支持分布式源地址验证DSAV的接口进行流量采样而得到的。
12.根据权利要求11所述的方法,其特征在于,还包括:
所述验证设备向所述接收设备发送修改建议信息,所述修改建议信息用于建议调整所述接收设备的支持DSAV的接口的验证模式。
13.根据权利要求11或12所述的方法,其特征在于,所述使用状态信息表示具有所述源地址前缀的数据报文在所述接收设备的支持DSAV的接口处被过滤。
14.根据权利要求1至4和9中任一项所述的方法,其特征在于,所述地址前缀包括目的地址前缀,所述验证设备为所述接收设备,所述验证设备获取来自发送设备的地址前缀包括:
所述验证设备从所述发送设备接收DPP报文,所述DPP报文包括所述目的地址前缀。
15.根据权利要求14所述的方法,其特征在于,所述方法还包括:
所述验证设备输出第二告警信息,所述第二告警信息用于提供对所述目的地址前缀进行验证的验证模式的建议。
16.根据权利要求1,5至7和11至13中任一项所述的方法,其特征在于,所述地址前缀包括目的地址前缀,所述验证设备为控制设备,所述验证设备获取来自发送设备的地址前缀包括:
所述验证设备从所述接收设备接收DPP报文,所述DPP报文包括所述目的地址前缀。
17.根据权利要求16所述的方法,其特征在于,所述方法还包括:
所述验证设备向所述接收设备发送第二告警信息,所述第二告警信息用于提供对所述目的地址前缀进行验证的验证模式的建议。
18.根据权利要求15或17所述的方法,其特征在于,
如果所述使用状态信息指示所述目的地址前缀在所述接收设备处不存在对应的转发表项,存在对应的路由表项,那么所述第二告警信息指示:
所述接收设备处存在错误配置,所述错误配置阻止了所述路由表项生成所述转发表项;或者
所述接收设备处存在所述路由表项生成所述转发表项时的处理故障。
19.根据权利要求14至18中任一项所述的方法,其特征在于,所述响应报文指示所述目的地址前缀在所述接收设备处的第二使用状态信息,所述第二使用状态信息表示以下任意一项:
所述目的地址前缀在所述接收设备处存在对应的转发表项,并且用于生成所述转发表项的路由表项是所述接收设备处始发的;
所述目的地址前缀在所述接收设备处存在对应的转发表项,并且在用于生成所述转发表项的路由表项中的到达下一跳的接口属于第一类型,其中所述第一类型表示下一跳的设备支持DSAV;
所述目的地址前缀在所述接收设备处存在对应的转发表项,并且在用于生成所述转发表项的路由表项中的到达下一跳的接口属于第二类型,其中所述第二类型表示下一跳的设备不支持DSAV;
所述目的地址前缀在所述接收设备处不存在对应的转发表项,存在对应的路由表项;或者
所述目的地址前缀在所述接收设备处不存在对应的路由表项。
20.根据权利要求1所述的方法,其特征在于,所述验证设备为所述接收设备,验证设备获取来自发送设备的地址前缀包括:所述验证设备接收来自所述发送设备的SPA报文,所述SPA报文包括所述源地址前缀;
在所述验证设备向所述发送设备发送所述响应报文之前,所述方法还包括:
所述验证设备基于所述SPA报文生成源地址验证表项,所述源地址验证表项包括所述源地址前缀以及所述验证设备接收所述SPA报文的入接口;
所述验证设备接收来自所述发送设备的数据报文,所述数据报文的源地址具有另一源地址前缀,用于接收所述数据报文的第一入接口与接收所述SPA报文的入接口相同;
所述验证设备向所述发送设备发送所述响应报文包括:如果所述源地址验证表项包括所述另一源地址前缀,所述源地址验证表项中与所述另一源地址前缀对应的第二入接口不同于所述第一入接口,则所述验证设备向所述发送设备发送所述响应报文,并且其中所述使用状态信息表示所述另一源地址前缀属于所述第一入接口的灰名单表项,所述第一入接口被配置为灰名单验证模式。
21.根据权利要求20所述的方法,其特征在于,还包括:
所述验证设备接收来自所述发送设备的经修正SPA报文;
所述验证设备基于所述经修正SPA报文,更新所述源地址验证表项;以及
所述验证设备向所述发送设备发送变更通知,所述变更通知指示所述另一源地址前缀不再是所述第一入接口的灰名单表项。
22.一种报文传输方法,其特征在于,包括:
发送设备向接收设备发送地址前缀;
所述发送设备接收来自验证设备的响应报文,所述响应报文指示所述地址前缀在所述接收设备处的使用状态信息。
23.根据权利要求22所述的方法,其特征在于,所述地址前缀包括源地址前缀,所述发送设备向接收设备发送地址前缀包括:
所述发送设备向所述接收设备发送源前缀发布SPA报文,所述SPA报文包括所述源地址前缀。
24.根据权利要求22所述的方法,其特征在于,所述地址前缀包括源地址前缀,所述发送设备向接收设备发送地址前缀包括:
所述发送设备向所述接收设备发送SPA报文,所述SPA报文包括所述发送设备的标识和所述源地址前缀;
所述发送设备向所述接收设备发送目的前缀探测DPP报文,所述DPP报文包括所述发送设备的所述标识。
25.根据权利要求23或24所述的方法,其特征在于,如果所述使用状态信息指示所述源地址前缀在所述接收设备处不存在对应的转发表项,存在对应的路由表项,并且所述路由表项是无效的,所述方法还包括:
所述发送设备接收来自所述验证设备的用于指示所述路由表项无效的原因的指示信息。
26.根据权利要求23至25中任一项所述的方法,其特征在于,还包括:
所述发送设备基于所述响应报文,确定所述源地址前缀在所述发送设备处的配置调整策略。
27.根据权利要求23至26中任一项所述的方法,其特征在于,所述响应报文指示所述源地址前缀在所述接收设备处的第一使用状态信息,所述第一使用状态信息表示以下任意一项:
所述源地址前缀在所述接收设备处存在对应的转发表项,并且所述转发表项中与所述源地址前缀对应的出接口与所述接收设备接收所述SPA报文的入接口一致;
所述源地址前缀在所述接收设备处存在对应的转发表项,并且所述转发表项中与所述源地址前缀对应的出接口与所述接收设备接收所述SPA报文的入接口不一致;
所述源地址前缀在所述接收设备处不存在对应的转发表项,存在对应的路由表项,并且所述路由表项是有效的;
所述源地址前缀在所述接收设备处不存在对应的转发表项,存在对应的路由表项,并且所述路由表项是无效的;或者
所述源地址前缀在所述接收设备处不存在对应的路由表项。
28.根据权利要求22所述的方法,其特征在于,所述使用状态信息表示具有所述源地址前缀的数据报文在所述接收设备的支持分布式源地址验证DSAV的接口处被过滤。
29.根据权利要求22至28中任一项所述的方法,其特征在于,所述地址前缀包括目的地址前缀,所述发送设备向接收设备发送地址前缀包括:
所述发送设备向所述接收设备发送DPP报文,所述DPP报文包括所述目的地址前缀。
30.根据权利要求29所述的方法,其特征在于,所述方法还包括:
所述发送设备基于所述响应报文,确定所述目的地址前缀在所述发送设备处的配置调整策略。
31.根据权利要求29或30所述的方法,其特征在于,所述响应报文指示所述目的地址前缀在所述接收设备处的第二使用状态信息,所述第二使用状态信息表示以下任意一项:
所述目的地址前缀在所述接收设备处存在对应的转发表项,并且用于生成所述转发表项的路由表项是所述接收设备处始发的;
所述目的地址前缀在所述接收设备处存在对应的转发表项,并且在用于生成所述转发表项的路由表项中的到达下一跳的接口属于第一类型,其中所述第一类型表示下一跳的设备支持DSAV;
所述目的地址前缀在所述接收设备处存在对应的转发表项,并且在用于生成所述转发表项的路由表项中的到达下一跳的接口属于第二类型,其中所述第二类型表示下一跳的设备不支持DSAV;
所述目的地址前缀在所述接收设备处不存在对应的转发表项,存在对应的路由表项;或者
所述目的地址前缀在所述接收设备处不存在对应的路由表项。
32.根据权利要求22所述的方法,其特征在于,所述接收设备为所述验证设备,所述方法还包括:所述发送设备向所述接收设备发送数据报文,所述数据报文的源地址具有另一源地址前缀;
并且其中所述使用状态信息表示所述另一源地址前缀属于第一入接口的灰名单表项,所述第一入接口被配置为灰名单验证模式,所述第一入接口为所述接收设备处接收所述数据报文的入接口。
33.根据权利要求32所述的方法,其特征在于,还包括:
所述发送设备向所述接收设备发送经修正SPA报文;以及
所述发送设备接收来自所述接收设备的变更通知,所述变更通知指示所述另一源地址前缀不再是所述第一入接口的灰名单表项。
34.根据权利要求32所述的方法,其特征在于,还包括:
所述发送设备在接收所述响应报文的接口上设置访问控制列表ACL过滤规则,所述ACL过滤规则表示具有所述另一源地址前缀的数据报文被过滤以不被发送。
35.一种通信装置,其特征在于,包括:
用于执行权利要求1至21中任一项所述的方法的模块或单元;或者
用于执行权利要求22至34中任一项所述的方法的模块或单元。
36.一种通信装置,其特征在于,包括:
处理器;以及
存储器,所述存储器上存储有计算机可执行指令,当所述计算机可执行指令被处理器执行时,实现权利要求1至21中任一项所述的方法,或者实现权利要求22至34中任一项所述的方法。
CN202210272989.6A 2022-03-18 2022-03-18 报文传输方法及通信装置 Pending CN116806010A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202210272989.6A CN116806010A (zh) 2022-03-18 2022-03-18 报文传输方法及通信装置
PCT/CN2023/078977 WO2023174055A1 (zh) 2022-03-18 2023-03-01 报文传输方法及通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210272989.6A CN116806010A (zh) 2022-03-18 2022-03-18 报文传输方法及通信装置

Publications (1)

Publication Number Publication Date
CN116806010A true CN116806010A (zh) 2023-09-26

Family

ID=88022358

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210272989.6A Pending CN116806010A (zh) 2022-03-18 2022-03-18 报文传输方法及通信装置

Country Status (2)

Country Link
CN (1) CN116806010A (zh)
WO (1) WO2023174055A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118282774A (zh) * 2024-05-30 2024-07-02 井芯微电子技术(天津)有限公司 报文过滤方法、装置、电子设备和存储介质

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106878291B (zh) * 2017-01-22 2021-03-23 新华三技术有限公司 一种基于前缀安全表项的报文处理方法及装置
US11115309B1 (en) * 2019-06-03 2021-09-07 Amazon Technologies, Inc. External network route advertisement validation
CN111131548B (zh) * 2019-12-30 2022-06-28 奇安信科技集团股份有限公司 信息处理方法、装置和计算机可读存储介质
CN112929269B (zh) * 2021-03-09 2021-10-26 清华大学 互联网域间源地址验证表的分布式生成方法和装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN118282774A (zh) * 2024-05-30 2024-07-02 井芯微电子技术(天津)有限公司 报文过滤方法、装置、电子设备和存储介质

Also Published As

Publication number Publication date
WO2023174055A1 (zh) 2023-09-21

Similar Documents

Publication Publication Date Title
US9923984B2 (en) Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) message loop detection and mitigation
US10454822B2 (en) Full-path validation in segment routing
CN104717201B (zh) 网络装置以及网络系统
Coltun The OSPF opaque LSA option
US7167922B2 (en) Method and apparatus for providing automatic ingress filtering
CN107251509B (zh) 通信网络系统之间的可信路由
US7360245B1 (en) Method and system for filtering spoofed packets in a network
US10313372B2 (en) Identifying malware-infected network devices through traffic monitoring
US20150229618A1 (en) System and Method for Securing Source Routing Using Public Key based Digital Signature
US11196702B2 (en) In-vehicle communication device, and communication control method
JP2010532633A (ja) ネットワークスイッチにおけるポートリダイレクトのための方法及びメカニズム
JP7187692B2 (ja) ルート処理方法およびネットワークデバイス
US12021836B2 (en) Dynamic filter generation and distribution within computer networks
WO2023174055A1 (zh) 报文传输方法及通信装置
US20160006684A1 (en) Communication system, control apparatus, communication method, and program
CN112929279B (zh) 互联网域内源地址验证表的分布式生成方法和装置
CN108650237B (zh) 一种基于存活时间的报文安全检查方法及系统
CN116055387B (zh) 组播报文处理方法、装置、服务器和介质
CN115664740A (zh) 基于可编程数据平面的数据包转发攻击防御方法及系统
US11509565B2 (en) Network link verification
US20240022602A1 (en) Method and Apparatus for Route Verification and Data Sending, Device, and Storage Medium
CN102143009A (zh) 报文处理方法、装置及系统
CN115208600A (zh) 路由验证、数据发送的方法、装置、设备及存储介质
CN116866055B (zh) 数据泛洪攻击的防御方法、装置、设备及介质
Coltun rfc2370: The ospf opaque lsa option

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication