CN116846862A - 一种SRv6报文处理方法、装置、通信设备和存储介质 - Google Patents
一种SRv6报文处理方法、装置、通信设备和存储介质 Download PDFInfo
- Publication number
- CN116846862A CN116846862A CN202210303551.XA CN202210303551A CN116846862A CN 116846862 A CN116846862 A CN 116846862A CN 202210303551 A CN202210303551 A CN 202210303551A CN 116846862 A CN116846862 A CN 116846862A
- Authority
- CN
- China
- Prior art keywords
- message
- srv
- sids
- source address
- forwarding table
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 57
- 238000003672 processing method Methods 0.000 title abstract description 23
- 238000000034 method Methods 0.000 claims abstract description 80
- 230000015654 memory Effects 0.000 claims description 37
- 239000004973 liquid crystal related substance Substances 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 7
- 239000000284 extract Substances 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 10
- 230000001360 synchronised effect Effects 0.000 description 9
- 230000005291 magnetic effect Effects 0.000 description 6
- 101100042631 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SIN3 gene Proteins 0.000 description 5
- 239000000203 mixture Substances 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000007774 longterm Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 101100064323 Arabidopsis thaliana DTX47 gene Proteins 0.000 description 1
- 101150026676 SID1 gene Proteins 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000005294 ferromagnetic effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种SRv6报文处理方法、装置、通信设备和存储介质。所述方法包括:用户侧设备基于预先获得的多个用于表示地址的段标识(SID),将第一SRv6报文中的外层报文头中的源地址替换为多个SID中的第一SID,生成第二SRv6报文;其中,所述多个SID为网络服务供应方预先规划的;向网络设备发送所述第二SRv6报文。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种SRv6报文处理方法、装置、通信设备和存储介质。
背景技术
SRv6-TE Policy是在SRv6技术基础上发展的一种新的隧道引流技术,是基于互联网协议第6版(IPv6,Internet Protocol Version 6)段路由(SR,Segment Routing)的段路由流量工程策略(SR-TE Policy,Segment-Routing Traffic Engineering Policy)。
SRv6策略(SRv6 Policy)中的绑定(Binding)段标识(BSID,Binding Segment ID)是SR的基础指令,用于标识候选路径(Candidate path)。云专网通过BSID的方式开放了网络路径资源,当前BSID被封装在段路由报文头(SRH,Segment Routing Header)中,通过添加哈希信息校验SRH是否被修改,而这些信息通过抓包可以获取。同时由于需要给网络设备和客户前置设备(CPE,Customer Premise Equipment)分配秘钥信息,网络设备根据SRH中的段标识(SID,Segment ID)列表中的哈希信息和秘钥进行哈希校验,这一过程会对网络设备的转发流程产生很大的性能损耗。
另外,基于源地址欺骗发起的网络攻击,成为互联网上一种非常普遍的攻击形式,已经造成了严重的网络安全问题。上述方案无法解决黑客用户采用源地址欺骗的方法利用BSID免费进行流量转发的问题。
发明内容
为解决现有存在的技术问题,本发明实施例提供一种SRv6报文处理方法、装置、通信设备和存储介质。
为达到上述目的,本发明实施例的技术方案是这样实现的:
第一方面,本发明实施例提供了一种SRv6报文处理方法,所述方法包括:
用户侧设备基于预先获得的多个用于表示地址的SID,将第一SRv6报文中的外层报文头中的源地址替换为多个SID中的第一SID,生成第二SRv6报文;其中,所述多个SID为网络服务供应方预先规划的;
向网络设备发送所述第二SRv6报文。
上述方案中,所述方法还包括:
所述用户侧设备接收第一控制设备发送的所述多个SID;或者,
所述用户侧设备预先配置所述多个SID。
第二方面,本发明实施例还提供了一种SRv6报文处理方法,所述方法包括:
网络设备接收用户侧设备发送的SRv6报文,提取所述SRv6报文中的外层报文头中的源地址;
校验转发表中是否存在所述源地址对应的路由信息;所述转发表中包括多个用于表示地址的SID对应的路由信息;其中,多个SID为网络服务供应方预先规划的;
确定所述转发表中存在所述源地址对应的路由信息的情况下,转发所述SRv6报文。
上述方案中,所述方法还包括:所述网络设备确定所述转发表中不存在所述源地址对应的路由信息的情况下,丢弃所述SRv6报文。
上述方案中,所述方法还包括:所述网络设备校验所述源地址是否是所述多个SID中的一个SID;
确定所述源地址不是所述多个SID中的一个SID的情况下,丢弃所述SRv6报文。
上述方案中,所述确定所述转发表中存在所述源地址对应的路由信息的情况下,转发所述SRv6报文,包括:
所述网络设备确定所述源地址是所述多个SID中的一个SID、且所述转发表中存在所述源地址对应的路由信息的情况下,转发所述SRv6报文。
上述方案中,所述方法还包括:
所述网络设备接收第二控制设备发送的所述转发表;或者,
所述网络设备预先配置所述转发表。
上述方案中,所述方法还包括:
所述网络设备接收第二控制设备发送的所述多个SID;或者,
所述网络设备预先配置所述多个SID;或者,
所述网络设备从所述转发表中获得所述多个SID。
上述方案中,所述提取所述SRv6报文中的外层报文头中的源地址之前,所述方法还包括:
所述网络设备提取所述SRv6报文中的外层报文头中的目的地址,校验所述目的地址是否为所述网络设备自身的地址;
所述校验转发表中是否存在所述源地址对应的路由信息,包括:
确定所述目的地址为所述网络设备自身的地址的情况下,校验转发表中是否存在所述源地址对应的路由信息。
第三方面,本发明实施例还提供了一种SRv6报文处理装置,所述装置包括:第一处理单元和第一通信单元;其中,
所述第一处理单元,用于基于预先获得的多个用于表示地址的SID,将第一SRv6报文中的外层报文头中的源地址替换为多个SID中的第一SID,生成第二SRv6报文;其中,所述多个SID为网络服务供应方预先规划的;
所述第一通信单元,用于向网络设备发送所述第二SRv6报文。
第四方面,本发明实施例还提供了一种SRv6报文处理装置,所述装置包括:第二通信单元和第二处理单元;其中,
所述第二通信单元,用于接收用户侧设备发送的SRv6报文;
所述第二处理单元,用于提取所述SRv6报文中的外层报文头中的源地址,校验转发表中是否存在所述源地址对应的路由信息;所述转发表中包括多个用于表示地址的SID对应的路由信息;其中,多个SID为网络服务供应方预先规划的;
所述第二通信单元,还用于所述第二处理单元确定所述转发表中存在所述源地址对应的路由信息的情况下,转发所述SRv6报文。
第五方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明实施例第一方面或第二方面所述方法的步骤。
第六方面,本发明实施例还提供了一种通信设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本发明实施例第一方面或第二方面所述方法的步骤。
本发明实施例提供的SRv6报文处理方法、装置、通信设备和存储介质,用户侧设备基于预先获得的多个网络服务供应方预先规划的、用于表示地址的SID,将第一SRv6报文中的外层报文头中的源地址替换为多个SID中的第一SID,生成第二SRv6报文;向网络设备发送所述第二SRv6报文。网络设备通过对SRv6报文中的外层报文头中的源地址进行校验,校验转发表中是否存在所述源地址对应的路由信息;由于转发表中包括多个端到端的预先规划好的SID对应的路由信息,从而可判定当前提取到的源地址是否是SID并且可判定当前作为源地址的SID是否路由可达,从而实现仅允许授权的或合法的作为源地址的SID的SRv6报文进行转发,避免了源地址欺骗。另外,本实施例利用预先规划的SID作为转发路径中的源地址,通过对作为源地址的SID进行校验路由可达,无需采用相关技术方案中校验SRH是否被修改的哈希信息,也即避免了该哈希信息被抓包获取的情况。本实施例实现简便,具备较强的可行性,且对转发性能没有影响。
附图说明
图1为SRv6报文格式示意图;
图2为本发明实施例的SRv6报文处理方法的流程示意图一;
图3为本发明实施例的SRv6报文处理方法的应用场景示意图;
图4为本发明实施例的SRv6报文处理方法的流程示意图二;
图5为本发明实施例的SRv6报文处理方法的流程示意图三;
图6为本发明实施例的SRv6报文处理装置的组成结构示意图一;
图7为本发明实施例的SRv6报文处理装置的组成结构示意图二;
图8为本发明实施例的通信设备的硬件组成结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步详细的说明。
本发明实施例的技术方案可以应用于各种通信系统,例如:全球移动通讯(GSM,Global System of Mobile communication)系统、长期演进(LTE,Long Term Evolution)系统或5G系统等。可选地,5G系统或5G网络还可以称为新无线(NR,New Radio)系统或NR网络。
示例性的,本发明实施例应用的通信系统可包括网络设备和终端设备(也可称为终端、通信终端等等);网络设备可以是与终端设备通信的设备。其中,网络设备可以为一定区域范围内提供通信覆盖,并且可以与位于该区域内的终端进行通信。可选地,网络设备可以是各通信系统中的基站,例如LTE系统中的演进型基站(eNB,Evolutional Node B),又例如5G系统或NR系统中的基站(gNB)。可选地,网络设备也可以是各通信系统中的接入网设备。
应理解,本申请实施例中网络/系统中具有通信功能的设备可称为通信设备。通信设备可包括具有通信功能的网络设备和终端,网络设备和终端设备可以为上文所述的具体设备,此处不再赘述;通信设备还可包括通信系统中的其他设备,例如网络控制器、移动管理实体等其他网络实体,本发明实施例中对此不做限定。
应理解,本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在对本发明实施例进行详细说明之前,首先对SRv6报文进行简单说明。SRv6是基于IPv6转发平面的段路由(Segment Routing IPv6),简单来讲,即SR+IPv6,采用IPv6转发技术,通过灵活的IPv6扩展头,实现网络可编程。
图1为SRv6报文格式示意图;如图1所示,第一部分为IPv6报文头,第二部分为段路由头部(SRH,Segment Routing Header)扩展头,其中选项TLV对象(Optional TLVobjects)部分是灵活可变的部分;最后一部分是有效载荷(Payload)。
在第一部分中,下一个报头(Next Header)标识紧跟在SRH之后的报文头的类型,Next Header=43,表示后接的是IPv6路由扩展头。路由类型(Routing Type)标识路由头部类型,Routing Type=4,表示这是SRH的路由扩展头。每个段列表(Segment List)表示从源到目的地的端到端路径。
一个SRv6 Policy可能关联多个候选路径(Candidate Path),每个CandidatePath附带优先级(Preference)。存在多个Candidate Path时,SRv6 Policy选择优先级最高的Candidate Path作为主路径。Candidate path是通过BGP SR Policy/PCEP等协议向头端发送SR Policy可选路径的基础单元,不同的协议会下发不同的Candidate path。
绑定SID(BSID,Binding SID)也是Segment Routing的基础指令,它用于标识整个Candidate path,提供隧道连接,流量引导等功能。报文如果携带Candidate path对应的BSID,会被引导到对应的Candidate path。
如果将SRv6 Policy看成是一个网络服务,BSID就是访问这个服务的接口。所以,SRv6 Policy的这个设计是一个订阅发布模型,业务根据自身的需求来订阅网络服务,网络可以把他提供的连接服务的接口提供给业务。
本发明实施例提供了一种SRv6报文处理方法。图2为本发明实施例的SRv6报文处理方法的流程示意图一;如图2所示,所述方法包括:
步骤101:用户侧设备基于预先获得的多个用于表示地址的SID,将第一SRv6报文中的外层报文头中的源地址替换为多个SID中的第一SID,生成第二SRv6报文;其中,所述多个SID为网络服务供应方预先规划的;
步骤102:向网络设备发送所述第二SRv6报文。
本实施例中,所述用户侧设备可以是CPE或其他用户设备,本实施例中对用户侧设备的类型不做限定。
本实施例中,用户侧设备预先获得网络服务供应方(或运营商)预先规划的多个用于表示地址的SID,并将一个SID作为SRv6报文中的外层报文头中的源地址。其中,用户侧设备预先获得的多个SID可以是网络服务供应方(或运营商)预先规划的具有特殊编码规则的地址,或者也可称为可信地址或可信标识,一般难以被获取,即难以被不法人士使用。
在本发明的一些可选实施例中,所述方法还包括:所述用户侧设备接收第一控制设备发送的所述多个SID;或者,所述用户侧设备预先配置所述多个SID。
本实施例中,作为一种实施方式,用户侧设备将第一SRv6报文中的外层报文头中的源地址替换为多个SID中的第一SID之前,接收第一控制设备发送的所述多个SID,即可以由第一控制设备向用户侧设备下发上述多个SID。其中,所述第一控制设备为可信设备,例如可以是归属于网络服务提供方的设备。示例性的,所述第一控制设备可以是软件定义广域网(SD-WAN,Software Defined-Wide Area Network)设备。作为另一种实施方式,也可以通过人工配置的方式在用户侧设备上配置上述多个SID。
图3为本发明实施例的SRv6报文处理方法的应用场景示意图;如图3所示,例如可包括CPE1和CPE1’两个用户侧设备,CPE1’为非可信设备。则在两个设备发送SRv6报文时,CPE1’发出的SRv6报文的外层报文头中的源地址依旧是CPE1’的地址IP1’;而CPE1采用本实施例的技术方案,将SRv6报文(记为第一SRv6报文)中的外层报文头中的源地址IP1替换为SID1,生成第二SRv6报文,并发送给网络设备。
基于上述实施例,本发明实施例还提供了一种SRv6报文处理方法。图4为本发明实施例的SRv6报文处理方法的流程示意图一;如图4所示,所述方法包括:
步骤201:网络设备接收用户侧设备发送的SRv6报文,提取所述SRv6报文中的外层报文头中的源地址;
步骤202:校验转发表中是否存在所述源地址对应的路由信息;所述转发表中包括多个用于表示地址的SID对应的路由信息;其中,多个SID为网络服务供应方预先规划的;
步骤203:确定所述转发表中存在所述源地址对应的路由信息的情况下,转发所述SRv6报文。
本实施例中,所述网络设备例如为运营商边缘(PE,Provider Edge)设备,作为云专网的边缘设备。用户侧设备的报文(或流量)通过网络设备(如PE设备)进入云专网。
在本发明的一些可选实施例中,所述方法还包括:所述网络设备确定所述转发表中不存在所述源地址对应的路由信息的情况下,丢弃所述SRv6报文。
本实施例中,网络设备可接收到各用户侧设备发送的SRv6报文,通过对SRv6报文中的外层报文头中的源地址进行提取,确定预先获得的转发表中是否存在的该源地址对应的路由信息。由于转发表中包括多个用于表示地址的SID对应的路由信息,也即转发表中包括多个端到端的预先规划好的SID对应的路由信息,从而可判定当前提取到的源地址是否是SID并且可判定当前作为源地址的SID是否路由可达,从而实现仅允许授权的或合法的作为源地址的SID的SRv6报文进行转发,未授权或不合法的源地址对应的SRv6报文被丢弃,避免了源地址欺骗。
另外,本实施例利用预先规划的SID作为转发路径中的源地址,通过对作为源地址的SID进行校验路由可达,无需采用相关技术方案中校验SRH是否被修改的哈希信息,也即避免了该哈希信息被抓包获取的情况。本实施例实现简便,具备较强的可行性,且对转发性能没有影响。
在本发明的一些可选实施例中,所述方法还包括:所述网络设备接收第二控制设备发送的所述转发表;或者,所述网络设备预先配置所述转发表。
本实施例中,作为一种实施方式,网络设备校验转发表中是否存在所述源地址对应的路由信息之前,接收第二控制设备发送的所述转发表,即可以由第二控制设备向网络设备下发上述转发表。其中,所述第二控制设备为可信设备,例如可以是归属于网络服务提供方的云专网控制设备。示例性的,上述实施例中的第一控制设备可与第二控制设备协商,第二控制设备可从第一控制设备处获得所述转发表。例如,可以在转发表中每新增一个SID对应的路由信息时,第二控制设备可从第一控制设备处获得更新的转发表。
作为另一种实施方式,也可以通过人工配置的方式在网络设备上配置上述转发表,例如根据预先规划的SID,预先在网络设备上配置相关SID对应的路由信息。
在本发明的一些可选实施例中,所述方法还包括:所述网络设备校验所述源地址是否是所述多个SID中的一个SID;确定所述源地址不是所述多个SID中的一个SID的情况下,丢弃所述SRv6报文。
本实施例中,网络设备还可校验提取到的源地址是否是预先规划的多个SID中的一个SID,也即校验提取到的源地址是否是合法或授权的SID;在提取到的源地址不是合法或授权的SID的情况下,丢弃所述SRv6报文。
可选地,上述源地址的合法校验和路由可达校验的顺序不限,可以是先执行源地址的合法性校验,再执行源地址的路由可达校验,也可以是先执行源地址的路由可达校验,再执行源地址的合法性校验。
在本发明的一些可选实施例中,所述确定所述转发表中存在所述源地址对应的路由信息的情况下,转发所述SRv6报文,包括:所述网络设备确定所述源地址是所述多个SID中的一个SID、且所述转发表中存在所述源地址对应的路由信息的情况下,转发所述SRv6报文。
在本发明的一些可选实施例中,所述方法还包括:所述网络设备接收第二控制设备发送的所述多个SID;或者,所述网络设备预先配置所述多个SID;所述网络设备从所述转发表中获得所述多个SID。
本实施例中,作为一种实施方式,所述网络设备校验所述源地址是否是所述多个SID中的一个SID之前,接收第二控制设备发送的所述多个SID,即可以由第二控制设备向网络设备下发上述多个SID。其中,上述实施例中的第一控制设备可与第二控制设备协商,第二控制设备可从第一控制设备处获得所述多个SID。作为另一种实施方式,也可以通过人工配置的方式在网络设备上配置上述多个SID。作为又一种实施方式,由于转发表中包括多个SID对应的路由信息,网络设备也可从获得的转发表中得到上述多个SID。
在本发明的一些可选实施例中,所述提取所述SRv6报文中的外层报文头中的源地址之前,所述方法还包括:所述网络设备提取所述SRv6报文中的外层报文头中的目的地址,校验所述目的地址是否为所述网络设备自身的地址;
所述校验转发表中是否存在所述源地址对应的路由信息,包括:确定所述目的地址为所述网络设备自身的地址的情况下,校验转发表中是否存在所述源地址对应的路由信息。
本实施例中,网络设备在接收到SRv6报文可以先校验SRv6报文中的外层报文头中的目的地址是否是自身的地址,例如图3所示的示例,校验SRv6报文中外层报文头中的目的地址是否是IP2,在目的地址是IP2的情况下,再进行后续的源地址的提取以及校验;在目的地址不是IP2的情况下,表明网络设备可能是中间节点设备,则可按照正常流程查路由表进行报文转发。
下面结合一个具体实例对本发明实施例的SRv6报文处理方法进行说明。图5为本发明实施例的SRv6报文处理方法的流程示意图三;如图5所示,所述方法包括:
步骤301:网络设备接收用户侧设备发送的SRv6报文,提取所述SRv6报文中的外层报文头中的目的地址。
步骤302:校验所述目的地址是否为所述网络设备自身的地址;在确定目的地址为网络设备自身的地址的情况下,执行步骤303;在确定目的地址不是网络设备自身的地址的情况下,执行步骤306。
步骤303:提取所述SRv6报文中的外层报文头中的源地址。
步骤304:校验所述源地址是否是多个SID中的一个SID;其中,所述多个SID为网络服务供应方预先规划的,在确定所述源地址是所述多个SID中的一个SID的情况下,执行步骤305;在确定所述源地址不是所述多个SID中的一个SID的情况下,执行步骤307。
本步骤为校验源地址是否是合法或授权的SID,如果确定源地址不是合法或授权的SID,则丢弃SRv6报文,可在一定程度上防范源地址欺骗的攻击。
步骤305:校验转发表中是否存在所述源地址对应的路由信息;所述转发表中包括多个用于表示地址的SID对应的路由信息;在确定转发表中存在所述源地址对应的路由信息的情况下,执行步骤306;在确定转发表中不存在所述源地址对应的路由信息的情况下,执行步骤307。
本步骤为校验作为源地址的SID是否是路由可达;在确定路由不可达,则可认为是非法或未授权的报文,存在源地址欺骗,则丢弃报文。
步骤306:转发所述SRv6报文。
这里,网络设备可按照常规流程进行报文转发,例如通过查找虚拟路由转发表(VRF,Virtual Routing Forwarding)进行报文转发。
步骤307:丢弃所述SRv6报文。
本发明实施例还提供了一种SRv6报文处理装置,应用于用户侧设备中。图6为本发明实施例的SRv6报文处理装置的组成结构示意图一;如图6所示,所述装置包括:第一处理单元41和第一通信单元42;其中,
所述第一处理单元41,用于基于预先获得的多个用于表示地址的段标识SID,将第一SRv6报文中的外层报文头中的源地址替换为多个SID中的第一SID,生成第二SRv6报文;其中,所述多个SID为网络服务供应方预先规划的;
所述第一通信单元42,用于向网络设备发送所述第二SRv6报文。
在本发明的一些可选实施例中,所述第一通信单元42,还用于接收第一控制设备发送的所述多个SID;或者,
所述第一处理单元41,还用于预先配置所述多个SID。
本发明实施例中,所述装置中的第一处理单元41,在实际应用中均可由中央处理器(CPU,Central Processing Unit)、数字信号处理器(DSP,Digital Signal Processor)、微控制单元(MCU,Microcontroller Unit)或可编程门阵列(FPGA,Field-ProgrammableGate Array)实现;所述装置中的第一通信单元42,在实际应用中可通过通信模组(包含:基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
本发明实施例还提供了一种SRv6报文处理装置,应用于网络设备中。图7为本发明实施例的SRv6报文处理装置的组成结构示意图二;如图7所示,所述装置包括:第二通信单元51和第二处理单元52;其中,
所述第二通信单元51,用于接收用户侧设备发送的SRv6报文;
所述第二处理单元52,用于提取所述SRv6报文中的外层报文头中的源地址,校验转发表中是否存在所述源地址对应的路由信息;所述转发表中包括多个用于表示地址的SID对应的路由信息;其中,多个SID为网络服务供应方预先规划的;
所述第二通信单元51,还用于所述第二处理单元52确定所述转发表中存在所述源地址对应的路由信息的情况下,转发所述SRv6报文。
在本发明的一些可选实施例中,所述第二处理单元52,还用于确定所述转发表中不存在所述源地址对应的路由信息的情况下,丢弃所述SRv6报文。
在本发明的一些可选实施例中,所述第二处理单元52,还用于校验所述源地址是否是所述多个SID中的一个SID;
确定所述源地址不是所述多个SID中的一个SID的情况下,丢弃所述SRv6报文。
在本发明的一些可选实施例中,所述第二处理单元52,用于确定所述源地址是所述多个SID中的一个SID、且所述转发表中存在所述源地址对应的路由信息的情况下,转发所述SRv6报文。
在本发明的一些可选实施例中,所述第二通信单元51,还用于接收第二控制设备发送的所述转发表;或者,
所述第二处理单元52,还用于预先配置所述转发表。
在本发明的一些可选实施例中,所述第二通信单元51,还用于接收第二控制设备发送的所述多个SID;或者,
所述第二处理单元52,还用于预先配置所述多个SID;或者,从所述转发表中获得所述多个SID。
在本发明的一些可选实施例中,所述第二处理单元52,还用于提取所述SRv6报文中的外层报文头中的目的地址,校验所述目的地址是否为所述网络设备自身的地址;确定所述目的地址为所述网络设备自身的地址的情况下,校验转发表中是否存在所述源地址对应的路由信息。
本发明实施例中,所述装置中的第二处理单元52,在实际应用中均可由CPU、DSP、MCU或FPGA实现;所述装置中的第二通信单元51,在实际应用中可通过通信模组(包含:基础通信套件、操作系统、通信模块、标准化接口和协议等)及收发天线实现。
需要说明的是:上述实施例提供的SRv6报文处理装置在进行SRv6报文处理时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的SRv6报文处理装置与SRv6报文处理方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本发明实施例还提供了一种通信设备,所述通信设备为用户侧设备或网络设备。图8为本发明实施例的通信设备的硬件组成结构示意图,如图8所示,所述通信设备包括存储器62、处理器61及存储在存储器62上并可在处理器61上运行的计算机程序,所述处理器61执行所述程序时实现应用于用户侧设备的所述SRv6报文处理方法的步骤;或者,所述处理器61执行所述程序时实现应用于网络设备的所述SRv6报文处理方法的步骤。
可选地,通信设备还包括至少一个网络接口63。其中,通信设备中的各个组件通过总线系统64耦合在一起。可理解,总线系统64用于实现这些组件之间的连接通信。总线系统64除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图8中将各种总线都标为总线系统64。
可以理解,存储器62可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,Ferromagnetic Random Access Memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器62旨在包括但不限于这些和任意其它适合类型的存储器。
上述本发明实施例揭示的方法可以应用于处理器61中,或者由处理器61实现。处理器61可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器61中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器61可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器61可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器62,处理器61读取存储器62中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,通信设备可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、FPGA、通用处理器、控制器、MCU、微处理器(Microprocessor)、或其他电子元件实现,用于执行前述方法。
在示例性实施例中,本发明实施例还提供了一种计算机可读存储介质,例如包括计算机程序的存储器62,上述计算机程序可由通信设备的处理器61执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
本发明实施例提供的计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现应用于用户侧设备的所述SRv6报文处理方法的步骤;或者,该程序被处理器执行时实现应用于网络设备的所述SRv6报文处理方法的步骤。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (13)
1.一种SRv6报文处理方法,其特征在于,所述方法包括:
用户侧设备基于预先获得的多个用于表示地址的段标识SID,将第一SRv6报文中的外层报文头中的源地址替换为多个SID中的第一SID,生成第二SRv6报文;其中,所述多个SID为网络服务供应方预先规划的;
向网络设备发送所述第二SRv6报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述用户侧设备接收第一控制设备发送的所述多个SID;或者,
所述用户侧设备预先配置所述多个SID。
3.一种SRv6报文处理方法,其特征在于,所述方法包括:
网络设备接收用户侧设备发送的SRv6报文,提取所述SRv6报文中的外层报文头中的源地址;
校验转发表中是否存在所述源地址对应的路由信息;所述转发表中包括多个用于表示地址的SID对应的路由信息;其中,多个SID为网络服务供应方预先规划的;
确定所述转发表中存在所述源地址对应的路由信息的情况下,转发所述SRv6报文。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述网络设备确定所述转发表中不存在所述源地址对应的路由信息的情况下,丢弃所述SRv6报文。
5.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述网络设备校验所述源地址是否是所述多个SID中的一个SID;
确定所述源地址不是所述多个SID中的一个SID的情况下,丢弃所述SRv6报文。
6.根据权利要求5所述的方法,其特征在于,所述确定所述转发表中存在所述源地址对应的路由信息的情况下,转发所述SRv6报文,包括:
所述网络设备确定所述源地址是所述多个SID中的一个SID、且所述转发表中存在所述源地址对应的路由信息的情况下,转发所述SRv6报文。
7.根据权利要求3所述的方法,其特征在于,所述方法还包括:
所述网络设备接收第二控制设备发送的所述转发表;或者,
所述网络设备预先配置所述转发表。
8.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述网络设备接收第二控制设备发送的所述多个SID;或者,
所述网络设备预先配置所述多个SID;或者,
所述网络设备从所述转发表中获得所述多个SID。
9.根据权利要求3至8任一项所述的方法,其特征在于,所述提取所述SRv6报文中的外层报文头中的源地址之前,所述方法还包括:
所述网络设备提取所述SRv6报文中的外层报文头中的目的地址,校验所述目的地址是否为所述网络设备自身的地址;
所述校验转发表中是否存在所述源地址对应的路由信息,包括:
确定所述目的地址为所述网络设备自身的地址的情况下,校验转发表中是否存在所述源地址对应的路由信息。
10.一种SRv6报文处理装置,其特征在于,所述装置包括:第一处理单元和第一通信单元;其中,
所述第一处理单元,用于基于预先获得的多个用于表示地址的段标识SID,将第一SRv6报文中的外层报文头中的源地址替换为多个SID中的第一SID,生成第二SRv6报文;其中,所述多个SID为网络服务供应方预先规划的;
所述第一通信单元,用于向网络设备发送所述第二SRv6报文。
11.一种SRv6报文处理装置,其特征在于,所述装置包括:第二通信单元和第二处理单元;其中,
所述第二通信单元,用于接收用户侧设备发送的SRv6报文;
所述第二处理单元,用于提取所述SRv6报文中的外层报文头中的源地址,校验转发表中是否存在所述源地址对应的路由信息;所述转发表中包括多个用于表示地址的SID对应的路由信息;其中,多个SID为网络服务供应方预先规划的;
所述第二通信单元,还用于所述第二处理单元确定所述转发表中存在所述源地址对应的路由信息的情况下,转发所述SRv6报文。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1或2所述方法的步骤;或者,
该程序被处理器执行时实现权利要求3至9任一项所述方法的步骤。
13.一种通信设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1或2所述方法的步骤;或者,
所述处理器执行所述程序时实现权利要求3至9任一项所述方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210303551.XA CN116846862A (zh) | 2022-03-24 | 2022-03-24 | 一种SRv6报文处理方法、装置、通信设备和存储介质 |
| PCT/CN2023/083053 WO2023179656A1 (zh) | 2022-03-24 | 2023-03-22 | 一种SRv6报文处理方法、装置、通信设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210303551.XA CN116846862A (zh) | 2022-03-24 | 2022-03-24 | 一种SRv6报文处理方法、装置、通信设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116846862A true CN116846862A (zh) | 2023-10-03 |
Family
ID=88100048
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210303551.XA Pending CN116846862A (zh) | 2022-03-24 | 2022-03-24 | 一种SRv6报文处理方法、装置、通信设备和存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN116846862A (zh) |
| WO (1) | WO2023179656A1 (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10924399B2 (en) * | 2018-03-15 | 2021-02-16 | Cisco Technology, Inc. | Segment routing packet policies and functions including an engineered reverse reply path providing efficiencies in communicating packets in a network |
| CN112087381B (zh) * | 2019-06-14 | 2021-12-31 | 华为技术有限公司 | 一种实现业务功能处理的方法及装置 |
| CN112787921B (zh) * | 2019-11-08 | 2023-05-19 | 华为技术有限公司 | 报文传输方法、代理节点及存储介质 |
| CN113726653B (zh) * | 2021-07-12 | 2023-12-29 | 新华三信息安全技术有限公司 | 报文处理方法及装置 |
-
2022
- 2022-03-24 CN CN202210303551.XA patent/CN116846862A/zh active Pending
-
2023
- 2023-03-22 WO PCT/CN2023/083053 patent/WO2023179656A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023179656A1 (zh) | 2023-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10079803B2 (en) | Peer-to-peer connection establishment using TURN | |
| US11777783B2 (en) | Network slicing with smart contracts | |
| EP2910036B1 (en) | Offloaded security as a service | |
| CN102017677B (zh) | 通过非3gpp接入网的接入 | |
| CN104521249B (zh) | 方法和设备 | |
| EP3720100A1 (en) | Service request processing method and device | |
| EP4241419A1 (en) | Methods, systems, and computer readable media for ingress message rate limiting | |
| CN109150684B (zh) | 报文处理方法、装置、通信设备及计算机可读存储介质 | |
| CN106878199B (zh) | 一种接入信息的配置方法和装置 | |
| KR20160122992A (ko) | 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치 | |
| CN106921578B (zh) | 一种转发表项的生成方法和装置 | |
| CN111742529B (zh) | 基于服务的架构(sba)中的安全协商 | |
| CN113691490A (zh) | 一种校验SRv6报文的方法及装置 | |
| US9730074B2 (en) | System, methods and apparatuses for providing network access security control | |
| US20220174085A1 (en) | Data Processing Method and Apparatus | |
| US9763078B1 (en) | Subscriber awareness for a mobile private network routing service in a network environment | |
| CN112136301A (zh) | 通信系统中用于安全性管理的错误处理框架 | |
| EP3711311B1 (en) | Method and system for providing signed user location information | |
| CN116846862A (zh) | 一种SRv6报文处理方法、装置、通信设备和存储介质 | |
| CN113596192B (zh) | 一种基于网闸组网的通信方法、装置、设备及介质 | |
| US9749201B2 (en) | Method and system for monitoring locator/identifier separation network | |
| CN102487386B (zh) | 身份位置分离网络的阻断方法和系统 | |
| CN113132230A (zh) | 发送报文的方法、设备及计算机存储介质 | |
| WO2019076025A1 (zh) | 一种加密数据流的识别方法、设备、存储介质及系统 | |
| Jara et al. | Secure mobility management scheme for 6lowpan id/locator split architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |