CN116866014A - 通信方法及装置 - Google Patents

通信方法及装置 Download PDF

Info

Publication number
CN116866014A
CN116866014A CN202310763941.XA CN202310763941A CN116866014A CN 116866014 A CN116866014 A CN 116866014A CN 202310763941 A CN202310763941 A CN 202310763941A CN 116866014 A CN116866014 A CN 116866014A
Authority
CN
China
Prior art keywords
address
source
service
service message
vpn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310763941.XA
Other languages
English (en)
Inventor
邱元香
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Priority to CN202310763941.XA priority Critical patent/CN116866014A/zh
Publication of CN116866014A publication Critical patent/CN116866014A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种通信方法及装置,所述方法应用于第一网络设备,所述第一网络设备处于SRv6组网中,所述第一网络设备内已建立源验证表,组成所述源验证表的源验证表项包括源业务地址,所述方法包括:当所述第一网络设备为转发路径中的出口节点时,接收第一业务报文,所述第一业务报文包括第一原始业务报文,所述第一原始业务报文包括第一源地址以及第一目的地址;若所述第一源地址与所述源验证表项包括的源业务地址匹配,则根据所述第一目的地址,向第一用户网络转发所述第一原始业务报文。

Description

通信方法及装置
技术领域
本申请涉及通信技术领域,尤其涉及一种通信方法及装置。
背景技术
当前,云计算的快速发展对广域网提出了新的挑战。SD-WAN作为重构广域网的核心技术,通过自动部署、集中控制、智能调度及可视化等手段,加速网络交付,优化应用体验,提高带宽利用率,简化网络运维,满足了云计算对广域网的需求。
智能调度是新一代广域网的关键能力,其对应用质量的保障、带宽资源的优化非常重要。现有的MPLS及RSVP-TE等流量工程技术可以满足应用对带宽的差异化保障需求,但存在协议种类多、部署复杂、管理困难、可扩展性差等问题,无法满足新一代广域网所要求的动态部署、灵活调度、快速、可扩展等方面的要求。因此,提出了一种新技术,即,段路由(英文:Segment Routing,简称:SR)。
SR采用源节点路径选择机制,预先在源节点处封装转发路径所要经过段的段标识(英文:Segment Identifier,简称:SID)。当业务报文经过SR节点时,SR节点根据业务报文包括的SID对其进行转发。除源节点外,转发路径上的其它节点均无需维护路径状态。
IPv6段路由(英文:Segment Routing IPv6,简称:SRv6)是指基于IPv6转发平面实现SR。通过在IPv6报文内新增一SRv6扩展头(英文:Segment Routing Header,简称:SRH),并在SRH内存储SID列表(SID List)以显式指定IPv6报文的转发路径。SRv6为SD-WAN网络提供了一种灵活高效的控制手段,具有部署简单、容易扩展的特点,能够更好地实现流量调度和路径优化,保障关键业务质量、均衡流量分布、提高专线利用率和降低线路成本的优势。
在SRv6网络中,业务报文在网络的任意位置均存在被劫持或被篡改的风险。由于业务报文穿越SRv6网络时,业务报文的源地址不会发生改变。基于此,在SRv6域的出口节点或目的业务所在的运营商边缘设备上验证源地址,以识别业务报文是否合法,仅有来自授信设备的业务报文才允许转发。
如图1所示,图1为现有SRv6 SDWAN overlay组网示意图。在正常情况下,经C-PE1接入的用户站点(英文:Client Network,简称:CN)1内的终端设备仅可与从其他C-PE接入的CN1的终端设备通信,与其他CN之间的业务相互隔离,业务报文不能相互转发。
但是,若C-PE被劫持、误配置或误连接,则在转发业务报文时,可能将业务报文的目的地址更改为不正确的地址,导致原本应相互隔离的业务互访。例如,接入C-PE1的CN1向接入C-PE2的CN1发送业务报文。C-PE1将该业务报文的目的地址更改为接入C-PE4的CN3的业务SID。当业务报文到达IP骨干网的入口PE时,入口PE根据BSID绑定的路径引导业务报文。入口PE将业务报文转发至C-PE4。若接入C-PE4的CN3恰好存在匹配的业务SID,则业务报文转发至CN3内。对于应该完全隔离的CN来说,这是一个非常严重的安全漏洞。
发明内容
有鉴于此,本申请提供了一种通信方法及装置,用以解决现有Endpoint节点被劫持、误配置或误连接并转发业务报文时,将业务报文的目的地址更改为不正确的地址,导致原本应相互隔离的业务互访的问题。
第一方面,本申请提供了一种通信方法,所述方法应用于第一网络设备,所述第一网络设备处于SRv6组网中,所述第一网络设备内已建立源验证表,组成所述源验证表的源验证表项包括源业务地址,所述方法包括:
当所述第一网络设备为转发路径中的出口节点时,接收第一业务报文,所述第一业务报文包括第一原始业务报文,所述第一原始业务报文包括第一源地址以及第一目的地址;
若所述第一源地址与所述源验证表项包括的源业务地址匹配,则根据所述第一目的地址,向第一用户网络转发所述第一原始业务报文。
第二方面,本申请提供了一种通信装置,所述装置应用于第一网络设备,所述第一网络设备处于SRv6组网中,所述第一网络设备内已建立源验证表,组成所述源验证表的源验证表项包括源业务地址,所述装置包括:
接收单元,用于当所述第一网络设备为转发路径中的出口节点时,接收第一业务报文,所述第一业务报文包括第一原始业务报文,所述第一原始业务报文包括第一源地址以及第一目的地址;
发送单元,用于若所述第一源地址与所述源验证表项包括的源业务地址匹配,则根据所述第一目的地址,向第一用户网络转发所述第一原始业务报文。
第三方面,本申请提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本申请第一方面所提供的方法。
因此,应用本申请提供的通信方法及装置,当第一网络设备为转发路径中的出口节点时,第一网络设备接收第一业务报文,该第一业务报文包括第一原始业务报文,第一原始业务报文包括第一源地址以及第一目的地址;若第一源地址与源验证表项包括的源业务地址匹配,则第一网络设备根据第一目的地址,向第一用户网络转发第一原始业务报文。
如此,在SRv6组网的出口节点处对原始业务报文的源地址进行验证,过滤来自未授信的用户网络的业务报文,可更精准地防御地址欺骗攻击。利用源验证表,出口节点仅允许来自可信用户网络的流量通过。同时,也解决了现有Endpoint节点被劫持、误配置或误连接并转发业务报文时,将业务报文的目的地址更改为不正确的地址,导致原本应相互隔离的业务互访的问题。
附图说明
图1为现有SRv6 SDWAN overlay组网示意图;
图2为本申请实施例提供的通信方法的流程图;
图3为本申请实施例提供的SRv6组网示意图;
图4为本申请实施例提供的通信装置结构图;
图5为本申请实施例提供的网络设备硬件结构体。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请实施例提供的一种通信方法进行详细地说明。参见图2,图2为本申请实施例提供的通信方法的流程图。该方法应用于第一网络设备,本申请实施例提供的通信方法可包括如下所示步骤。
步骤210、当所述第一网络设备为转发路径中的出口节点时,接收第一业务报文,所述第一业务报文包括第一原始业务报文,所述第一原始业务报文包括第一源地址以及第一目的地址;
具体地,SRv6组网中包括多个网络设备,多个网络设备可组成多条转发路径。本申请实施例中,以第一网络设备为例进行说明。第一网络设备处于SRv6组网中,且为一条转发路径中的出口节点。
第一网络设备接收上一跳网络设备发送的第一业务报文,该第一业务报文包括第一原始业务报文,第一原始业务报文包括第一源地址以及第一目的地址。
需要说明的是,第一业务报文为经入口节点对第一原始业务报文封装后得到的报文。入口节点对第一原始业务报文进行SRv6封装,在第一原始业务报文的外层封装SRv6报文头,该SRv6报文头包括IPv6基本头以及SRH。IPv6基本头包括第二源地址以及第二目的地址,SRH包括SID列表。SID列表包括至少一个SID,用于指示转发路径上途径的endpoint节点。
步骤220、若所述第一源地址与所述源验证表项包括的源业务地址匹配,则根据所述第一目的地址,向第一用户网络转发所述第一原始业务报文。
具体地,根据步骤210的描述,第一网络设备从第一原始业务报文中获取到第一源地址以及第一目的地址后,判断本地的源验证表内是否存在包括第一源地址的源验证表项。
若第一源地址与源验证表项包括的源业务地址匹配,则第一网络设备确定第一原始业务报文为合法报文,也即是可信网络设备发送的业务报文。然后,第一网络设备根据第一目的地址,向第一用户网络转发第一原始业务报文。
可选地,若第一源地址与源业务地址不匹配,则第一网络设备确定第一原始业务报文为非法报文,也即是未授信网络设备发送的业务报文。然后,第一网络设备不再向第一用户网络转发第一原始业务报文,并丢弃第一原始业务报文。
可选地,第一网络设备在执行步骤220之前,还执行从本地获取源验证表的过程。
进一步地,第一网络设备从IPv6基本头中获取第二目的地址后,根据第二目的地址,第一网络设备确定对应的VPN实例标识(VPN ID);从VPN实例标识对应的VPN实例下,第一网络设备获取源验证表。
更进一步地,根据第二目的地址,第一网络设备也可确定对应的用户网络标识;从用户网络标识对应的用户网络下,第一网络设备查找到VPN实例,并在VPN实例下,获取源验证表。
可选地,第一网络设备在执行步骤220之前,还执行在本地记录第二源地址的过程。
进一步地,第一网络设备从IPv6基本头中获取第二源地址后,在本地记录第二源地址。
因此,应用本申请提供的通信方法,当第一网络设备为转发路径中的出口节点时,第一网络设备接收第一业务报文,该第一业务报文包括第一原始业务报文,第一原始业务报文包括第一源地址以及第一目的地址;若第一源地址与源验证表项包括的源业务地址匹配,则第一网络设备根据第一目的地址,向第一用户网络转发第一原始业务报文。
如此,在SRv6组网的出口节点处对原始业务报文的源地址进行验证,过滤来自未授信的用户网络的业务报文,可更精准地防御地址欺骗攻击。利用源验证表,出口节点仅允许来自可信用户网络的流量通过。同时,也解决了现有Endpoint节点被劫持、误配置或误连接并转发业务报文时,将业务报文的目的地址更改为不正确的地址,导致原本应相互隔离的业务互访的问题。
可选地,上述源验证表项还包括目的业务地址。在前述实施例的基础上,第一网络还可对第一目的地址进行检查,进一步实现允许指定源用户网络的网络设备可以访问指定目的用户网络。
具体地,若第一源地址与源验证表项包括的源业务地址匹配,则第一网络设备识别第一目的地址是否与源验证表项包括的目的业务地址相同。
若第一目的地址与目的业务地址相同,则第一网络设备确定第一原始业务报文为合法报文。然后,根据第一目的地址,第一网络设备向第一用户网络转发第一原始业务报文。
若第一目的地址与目的业务地址不相同,则第一网络设备确定第一原始业务报文为非法报文。然后,第一网络设备不再向第一用户网络转发第一原始业务报文,并丢弃第一原始业务报文。
可选地,上述源验证表项还包括SRv6隧道源地址。在前述实施例的基础上,第一网络设备还可对第二源地址进行检查,进一步实现从指定承载网入口节点接入的指定用户网络的网络设备可以访问指定目的用户网络的资源。
具体地,若第一目的地址与目的业务地址相同,则第一网络设备识别所述第二源地址是否与源验证表项包括的SRv6隧道源地址相同。
若第二源地址与SRv6隧道源地址相同,则第一网络设备确定第一原始业务报文为合法报文。然后,根据第一目的地址,第一网络设备向第一用户网络转发第一原始业务报文。
若第二源地址与SRv6隧道源地址不相同,则第一网络设备确定第一原始业务报文为非法报文。然后,第一网络设备不再向第一用户网络转发第一原始业务报文,并丢弃第一原始业务报文。
可选地,在本申请实施例中,第一网络设备执行步骤210之前,还包括生成源验证表项的过程。
具体地,在一种实现方式中,通过命令行,用户向第一网络设备输入第一配置指令。该第一配置指令包括用户网络标识、VPN实例标识以及VPN SID。或者,在另一种实现方式中,控制器生成第一配置指令。该第一配置指令包括用户网络标识、VPN实例标识以及VPNSID。
第一网络设备接收到第一配置指令后,从中获取用户网络标识、VPN实例标识以及VPN SID。在用户网络标识对应的用户网络下,第一网络设备配置VPN实例标识对应的VPN实例,并为VPN实例配置VPN SID。
在一种实现方式中,通过命令行,用户向第一网络设备输入第二配置指令。该第二配置指令包括VPN实例标识以及源业务地址。在另一种实现方式中,控制器生成第二配置指令。该第二配置指令包括VPN实例标识以及源业务地址。
在VPN实例下,第一网络设备生成源验证表项,该源验证表项包括源业务地址。
可选地,上述第二配置指令还包括目的业务地址以及SRv6隧道源地址。由此,第一网络设备生成的源验证表项还包括目的业务地址以及SRv6隧道源地址。
可选地,在本申请实施例中,第一网络设备执行步骤210之前,还包括生成源验证表项的过程。
第一网络设备的BGP邻居生成BGP路由,该BGP路由包括远端VPN业务的第一SID。BGP邻居对外发送BGP路由。
第一网络设备接收到BGP路由后,从中获取远端VPN业务的第一SID。根据远端VPN业务,第一网络设备在本地确定对应的VPN实例。例如,可根据远端VPN业务的名称,在本地确定对应的VPN实例。第一网络设备将第一SID作为源业务地址。在VPN实例下,第一网络设备生成源验证表项,该源验证表项包括源业务地址。
可选地,上述BGP路由还包括下一跳信息。第一网络设备将与远端VPN业务具有相同VPN业务的本地VPN业务的第二SID作为目的业务地址,将下一跳信息作为SRv6隧道源地址。由此,第一网络设备生成的源验证表项还包括目的业务地址以及SRv6隧道源地址。
可选地,在本申请实施例中,还包括第一网络设备作为转发路径中的入口节点时,对用户网络发送的原始业务报文进行转发的过程。
具体地,当第一网络设备为转发路径中的入口节点时,第一网络设备接收第二用户网络发送的第二原始业务报文,该第二原始业务报文包括第三源地址。
第一网络设备识别第三源地址归属的用户网络。若第三源地址归属第二用户网络的子网地址范围内,则第一网络设备对第二原始业务报文进行封装处理,得到第二业务报文。第一网络设备转发第二业务报文。
可以理解的是,第一网络设备对第二原始业务报文进行SRv6封装,在第二原始业务报文的外层封装SRv6报文头,该SRv6报文头包括IPv6基本头以及SRH。IPv6基本头包括第四源地址以及第四目的地址,SRH包括SID列表。SID列表包括至少一个SID,用于指示转发路径上途径的endpoint节点。
下面对本申请实施例提供的通信方法进行详细地说明。以图3所示的SRv6组网为例说明静态配置源验证表的过程。在图3中,每个C-PE均连接两个VPN租户。例如,C-PE1连接CN1以及CN2;C-PE2连接CN2以及CN3。用户期望在C-PE1以及C-PE2内配置源验证表。
通过命令行,用户向各C-PE输入第一配置指令。该第一配置指令包括用户网络标识、VPN实例标识以及VPN SID。各C-PE接收到第一配置指令后,在用户网络标识对应的用户网络下,第一网络设备配置VPN实例标识对应的VPN实例,并配置VPN实例的VPN SID。
例如:C-PE1上配置租户网络1和租户网络2的SRv6业务VPN SID:
CN1:vpn-instance 1end-dt4 100::100
CN2:vpn-instance 2end-dt4 100::200
C-PE2上配置租户网络1和租户网络3的SRv6业务VPN SID:
CN1:vpn-instance 1end-dt4 200::100
CN3:vpn-instance 3end-dt4 200::300
C-PE3上配置租户网络2和租户网络3的SRv6业务VPN SID:
CN2:vpn-instance 2end-dt4 300::200
CN3:vpn-instance 3end-dt4 300::300
C-PE4上配置租户网络1和租户网络3的SRv6业务VPN SID:
CN1:vpn-instance 1end-dt4 400::100
CN2:vpn-instance 3end-dt4 400::200
通过命令行,C-PE1、C-PE2再次接收到第二配置指令,该第二配置指令包括VPN实例标识以及源业务地址。C-PE1、CPE2接收到第二配置指令后,从中获取VPN实例标识以及源业务地址。在VPN实例标识对应的VPN实例下,C-PE1、C-PE2生成源验证表项,该源验证表项包括源业务地址。
例如,C-PE1在本地配置源地址验证表项:
vpn-instance 1:
Trusted-source-address 200::100
Trusted-source-address 400::100
vpn-instance 2:
Trusted-source-address 300::200
Trusted-source-address 400::200
C-PE2上配置源地址验证表项:
vpn-instance 1:
Trusted-source-address 100::100
Trusted-source-address 400::100
vpn-instance 3:
Trusted-source-address 300::300
如此,C-PE1将接收从C-PE2或C-PE4接入的租户网络CN1的业务报文和从C-PE3或C-PE4接入的租户网络CN2的业务报文;C-PE2将接收从C-PE1或C-PE4接入的租户网络CN1的业务报文和从C-PE3接入的租户网络CN3的接入报文。
基于同一发明构思,本申请实施例还提供了通信方法对应的通信装置。参见图4,图4为本申请实施例提供的一种通信装置,所述装置应用于第一网络设备,所述第一网络设备处于SRv6组网中,所述第一网络设备内已建立源验证表,组成所述源验证表的源验证表项包括源业务地址,所述装置包括:
接收单元410,用于当所述第一网络设备为转发路径中的出口节点时,接收第一业务报文,所述第一业务报文包括第一原始业务报文,所述第一原始业务报文包括第一源地址以及第一目的地址;
发送单元420,用于若所述第一源地址与所述源验证表项包括的源业务地址匹配,则根据所述第一目的地址,向第一用户网络转发所述第一原始业务报文。
可选地,所述第一业务报文还包括SRv6报文头,所述SRv6报文头包括IPv6基本头;
所述装置还包括:第一获取单元(图中未示出),用于从所述IPv6基本头中获取第二源地址;
记录单元(图中未示出),用于在本地记录所述第二源地址。
可选地,所述源验证表项还包括目的业务地址;
所述装置还包括:识别单元(图中未示出),用于识别所述第一目的地址是否与所述目的业务地址相同;
所述发送单元420还用于,若相同,则根据所述第一目的地址,向所述第一用户网络转发所述第一原始业务报文。
可选地,所述源验证表项还包括SRv6隧道源地址;
所述识别单元(图中未示出)还用于,若相同,则识别所述所述第二源地址是否与所述SRv6隧道源地址相同;
所述发送单元420还用于,若相同,则根据所述第一目的地址,向所述第一用户网络转发所述第一原始业务报文。
可选地,所述IPv6基本头还包括第二目的地址;
所述装置还包括:确定单元(图中未示出),用于根据所述第二目的地址,确定对应的VPN实例标识;
第二获取单元(图中未示出),用于从所述VPN实例标识对应的VPN实例下,获取所述源验证表。
可选地,所述接收单元410还用于,接收用户输入的第一配置指令,或者,接收网络控制器发送的第一配置指令,所述第一配置指令包括用户网络标识、VPN实例标识以及VPNSID;
所述装置还包括:配置单元(图中未示出),用于在所述用户网络标识对应的用户网络下,配置VPN实例标识对应的VPN实例,并为所述VPN实例配置VPN SID;
所述接收单元410还用于,接收所述用户输入的第二配置指令,或者,接收所述网络控制器发送的第二配置指令,所述第二配置指令包括所述VPN实例标识以及源业务地址;
生成单元(图中未示出),用于在所述VPN实例下,生成所述源验证表项,所述源验证表项包括所述源业务地址。
可选地,所述接收单元410还用于,接收BGP邻居发送的BGP路由,所述BGP路由包括远端VPN业务的第一SID;
所述装置还包括:确定单元(图中未示出),用于根据所述远端VPN业务,从本地确定对应的VPN实例;
处理单元(图中未示出),用于将所述第一SID作为源业务地址;
所述生成单元(图中未示出)还用于,在所述VPN实例下,生成所述源验证表项,所述源验证表项包括所述源业务地址。
可选地,所述第二配置指令还包括目的业务地址以及SRv6隧道源地址;所述源验证表项还包括所述目的业务地址以及所述SRv6隧道源地址。
可选地,所述BGP路由还包括下一跳信息;
所述处理单元(图中未示出)还用于,将与所述远端VPN业务具有相同VPN标识的本地VPN业务的第二SID作为目的业务地址,将所述下一跳信息作为SRv6隧道源地址;
所述源验证表项还包括所述目的业务地址以及所述SRv6隧道源地址
可选地,所述接收单元410还用于,当所述第一网络设备为转发路径中的入口节点时,接收第二用户网络发送的第二原始业务报文,所述第二原始业务报文包括第三源地址;
所述装置还包括:封装单元(图中未示出),用于若所述第三源地址归属所述第二用户网络的子网地址范围内,则对所述第二原始业务报文进行封装处理,得到第二业务报文;
所述发送单元420还用于,转发所述第二业务报文。
因此,应用本申请提供的通信装置,当第一网络设备为转发路径中的出口节点时,第一网络设备接收第一业务报文,该第一业务报文包括第一原始业务报文,第一原始业务报文包括第一源地址以及第一目的地址;若第一源地址与源验证表项包括的源业务地址匹配,则第一网络设备根据第一目的地址,向第一用户网络转发第一原始业务报文。
如此,在SRv6组网的出口节点处对原始业务报文的源地址进行验证,过滤来自未授信的用户网络的业务报文,可更精准地防御地址欺骗攻击。利用源验证表,出口节点仅允许来自可信用户网络的流量通过。同时,也解决了现有Endpoint节点被劫持、误配置或误连接并转发业务报文时,将业务报文的目的地址更改为不正确的地址,导致原本应相互隔离的业务互访的问题。
基于同一发明构思,本申请实施例还提供了一种网络设备,如图5所示,包括处理器510、收发器520和机器可读存储介质530,机器可读存储介质530存储有能够被处理器510执行的机器可执行指令,处理器510被机器可执行指令促使执行本申请实施例所提供的通信方法。前述图4所示的通信装置,可采用如图5所示的网络设备硬件结构实现。
上述计算机可读存储介质530可以包括随机存取存储器(英文:Random AccessMemory,简称:RAM),也可以包括非易失性存储器(英文:Non-volatile Memory,简称:NVM),例如至少一个磁盘存储器。可选的,计算机可读存储介质530还可以是至少一个位于远离前述处理器510的存储装置。
上述处理器510可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例中,处理器510通过读取机器可读存储介质530中存储的机器可执行指令,被机器可执行指令促使能够实现处理器510自身以及调用收发器520执行前述本申请实施例描述的通信方法。
另外,本申请实施例提供了一种机器可读存储介质530,机器可读存储介质530存储有机器可执行指令,在被处理器510调用和执行时,机器可执行指令促使处理器510自身以及调用收发器520执行前述本申请实施例描述的通信方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
对于通信装置以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (11)

1.一种通信方法,其特征在于,所述方法应用于第一网络设备,所述第一网络设备处于SRv6组网中,所述第一网络设备内已建立源验证表,组成所述源验证表的源验证表项包括源业务地址,所述方法包括:
当所述第一网络设备为转发路径中的出口节点时,接收第一业务报文,所述第一业务报文包括第一原始业务报文,所述第一原始业务报文包括第一源地址以及第一目的地址;
若所述第一源地址与所述源验证表项包括的源业务地址匹配,则根据所述第一目的地址,向第一用户网络转发所述第一原始业务报文。
2.根据权利要求1所述的方法,其特征在于,所述第一业务报文还包括SRv6报文头,所述SRv6报文头包括IPv6基本头;
所述接收第一业务报文之后,所述方法还包括:
从所述IPv6基本头中获取第二源地址;
在本地记录所述第二源地址。
3.根据权利要求2所述的方法,其特征在于,所述源验证表项还包括目的业务地址;
所述根据所述第一目的地址,向第一用户网络转发所述第一原始业务报文之前,所述方法还包括:
识别所述第一目的地址是否与所述目的业务地址相同;
若相同,则根据所述第一目的地址,向所述第一用户网络转发所述第一原始业务报文。
4.根据权利要求3所述的方法,其特征在于,所述源验证表项还包括SRv6隧道源地址;
所述向第一用户网络转发所述第一原始业务报文之前,所述方法还包括:
若相同,则识别所述所述第二源地址是否与所述SRv6隧道源地址相同;
若相同,则根据所述第一目的地址,向所述第一用户网络转发所述第一原始业务报文。
5.根据权利要求2所述的方法,其特征在于,所述IPv6基本头还包括第二目的地址;
所述接收第一业务报文之后,所述方法还包括:
根据所述第二目的地址,确定对应的VPN实例标识;
从所述VPN实例标识对应的VPN实例下,获取所述源验证表。
6.根据权利要求1所述的方法,其特征在于,所述接收第一业务报文之前,所述方法还包括:
接收用户输入的第一配置指令,或者,接收网络控制器发送的第一配置指令,所述第一配置指令包括用户网络标识、VPN实例标识以及VPN SID;
在所述用户网络标识对应的用户网络下,配置VPN实例标识对应的VPN实例,并为所述VPN实例配置VPN SID;
接收所述用户输入的第二配置指令,或者,接收所述网络控制器发送的第二配置指令,所述第二配置指令包括所述VPN实例标识以及源业务地址;
在所述VPN实例下,生成所述源验证表项,所述源验证表项包括所述源业务地址。
7.根据权利要求1所述的方法,其特征在于,所述接收第一业务报文之前,所述方法还包括:
接收BGP邻居发送的BGP路由,所述BGP路由包括远端VPN业务的第一SID;
根据所述远端VPN业务,从本地确定对应的VPN实例;
将所述第一SID作为源业务地址;
在所述VPN实例下,生成所述源验证表项,所述源验证表项包括所述源业务地址。
8.根据权利要求6所述的方法,其特征在于,所述第二配置指令还包括目的业务地址以及SRv6隧道源地址;所述源验证表项还包括所述目的业务地址以及所述SRv6隧道源地址。
9.根据权利要求7所述的方法,其特征在于,所述BGP路由还包括下一跳信息;
所述将所述第一SID作为源业务地址之后,所述方法还包括:
将与所述远端VPN业务具有相同VPN标识的本地VPN业务的第二SID作为目的业务地址,将所述下一跳信息作为SRv6隧道源地址;
所述源验证表项还包括所述目的业务地址以及所述SRv6隧道源地址。
10.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当所述第一网络设备为转发路径中的入口节点时,接收第二用户网络发送的第二原始业务报文,所述第二原始业务报文包括第三源地址;
若所述第三源地址归属所述第二用户网络的子网地址范围内,则对所述第二原始业务报文进行封装处理,得到第二业务报文;
转发所述第二业务报文。
11.一种通信装置,其特征在于,所述装置应用于第一网络设备,所述第一网络设备处于SRv6组网中,所述第一网络设备内已建立源验证表,组成所述源验证表的源验证表项包括源业务地址,所述装置包括:
接收单元,用于当所述第一网络设备为转发路径中的出口节点时,接收第一业务报文,所述第一业务报文包括第一原始业务报文,所述第一原始业务报文包括第一源地址以及第一目的地址;
发送单元,用于若所述第一源地址与所述源验证表项包括的源业务地址匹配,则根据所述第一目的地址,向第一用户网络转发所述第一原始业务报文。
CN202310763941.XA 2023-06-27 2023-06-27 通信方法及装置 Pending CN116866014A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310763941.XA CN116866014A (zh) 2023-06-27 2023-06-27 通信方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310763941.XA CN116866014A (zh) 2023-06-27 2023-06-27 通信方法及装置

Publications (1)

Publication Number Publication Date
CN116866014A true CN116866014A (zh) 2023-10-10

Family

ID=88222612

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310763941.XA Pending CN116866014A (zh) 2023-06-27 2023-06-27 通信方法及装置

Country Status (1)

Country Link
CN (1) CN116866014A (zh)

Similar Documents

Publication Publication Date Title
CN109587009B (zh) 配置无缝双向转发检测sbfd机制的方法和装置
EP3759870B1 (en) Network slicing with smart contracts
US8706883B2 (en) Technique for using OER with an ECT solution for multi-homed sites
CN111953604B (zh) 一种为业务流提供业务服务的方法和装置
WO2019105462A1 (zh) 报文的发送、处理方法及装置,pe节点,节点
WO2017037615A1 (en) A method and apparatus for modifying forwarding states in a network device of a software defined network
US10367726B1 (en) Randomized VNF hopping in software defined networks
WO2017124709A1 (zh) 流量工程隧道建立方法和装置
JP2005505198A (ja) パケット網におけるラベル・スイッチ・パスを適応させる方法及び装置
KR102066978B1 (ko) 차별화된 서비스 코드 포인트(dscp) 및 명시적 혼잡 통지(ecn)를 모니터링하기 위한 데이터 플레인을 위한 방법 및 장치
US20230300070A1 (en) Packet Sending Method, Device, and System
CN105515816B (zh) 检测层次信息的处理方法及装置
KR20070118535A (ko) 제 1 네트워크 내 송신국과 제 2 네트워크 내 수신국사이의 데이터 전송 방법 및 제 1 네트워크 내 송신국과 제2 네트워크 내 수신국 사이의 통신을 제어하기 위한 장치
US20220338279A1 (en) Multi-operator maritime mesh network
CN113055293B (zh) 软件定义广域网中的选路方法及装置、通信系统
CN112910777B (zh) 报文处理方法及装置
US20230336377A1 (en) Packet forwarding method and apparatus, and network system
WO2022078338A1 (zh) 路径确定方法及装置、计算机存储介质
CN111386679A (zh) 使用链路聚合的在客户驻地装备中的数据路由
CN116866014A (zh) 通信方法及装置
Salazar-Chacón et al. Segment-Routing Analysis: Proof-of-Concept Emulation in IPv4 and IPv6 Service Provider Infrastructures
US11943101B2 (en) Joint orchestration for private mobile network
CN214799523U (zh) 导流系统
CN112702263B (zh) 转发报文的方法及装置
WO2024087688A1 (zh) 报文转发方法、装置、设备、存储介质及计算机程序

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination