CN117938410A - 一种数据校验方法、第一网元设备及存储介质 - Google Patents
一种数据校验方法、第一网元设备及存储介质 Download PDFInfo
- Publication number
- CN117938410A CN117938410A CN202211313340.0A CN202211313340A CN117938410A CN 117938410 A CN117938410 A CN 117938410A CN 202211313340 A CN202211313340 A CN 202211313340A CN 117938410 A CN117938410 A CN 117938410A
- Authority
- CN
- China
- Prior art keywords
- network element
- vpn
- message
- network
- srv
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 96
- 238000013524 data verification Methods 0.000 title claims abstract description 25
- 238000012795 verification Methods 0.000 claims abstract description 41
- 238000012545 processing Methods 0.000 claims description 18
- 230000003068 static effect Effects 0.000 claims description 11
- 230000006870 function Effects 0.000 description 21
- 238000004891 communication Methods 0.000 description 19
- 101100042631 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SIN3 gene Proteins 0.000 description 18
- 238000010586 diagram Methods 0.000 description 18
- 229920006235 chlorinated polyethylene elastomer Polymers 0.000 description 16
- 238000004590 computer program Methods 0.000 description 16
- 206010047289 Ventricular extrasystoles Diseases 0.000 description 15
- 238000005129 volume perturbation calorimetry Methods 0.000 description 15
- 230000007246 mechanism Effects 0.000 description 8
- 238000010295 mobile communication Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 230000001360 synchronised effect Effects 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 101100064323 Arabidopsis thaliana DTX47 gene Proteins 0.000 description 5
- 101150026676 SID1 gene Proteins 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 101100256921 Ajellomyces capsulatus SID3 gene Proteins 0.000 description 2
- 101000840469 Arabidopsis thaliana Isochorismate synthase 1, chloroplastic Proteins 0.000 description 2
- 101100366400 Schizosaccharomyces pombe (strain 972 / ATCC 24843) spg1 gene Proteins 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 101150096768 sid4 gene Proteins 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000000136 cloud-point extraction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 229940077002 keystone Drugs 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/34—Source routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/06—Notations for structuring of protocol data, e.g. abstract syntax notation one [ASN.1]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种数据校验方法,该方法包括:接收第二网元设备发送的第一第六版互联网协议分段路由SRv6报文;其中,第一SRv6报文携带有第二网元设备的虚拟专网VPN信息;基于VPN信息,对第一SRv6报文进行授权访问验证。本申请还公开了一种第一网元设备及计算机可读存储介质。
Description
技术领域
本申请涉及但不限于通信领域,尤其涉及一种数据校验方法、第一网元设备及计算机可读存储介质。
背景技术
互联网新业务的蓬勃发展、新需求的不断涌现,第五代移动通信技术(the5thgeneration mobile communication technology,5G)、云、泛在智联时代的到来,给网络信息技术的创新变革以及信息基础设施的升级带来了新的挑战。作为全球互联网发展基石的国际互联协议(Internet Protocol,IP)网络不断用技术创新和持续演进来应对挑战。
分段路由(Segment Routing,SR)是一种源路由技术,通过为网络中的节点、链路或业务功能分配段(Segment),并在头节点将这些Segment进行按需组合,形成封装在报文头中的Segment序列。当报文到达SR域的入口时,可以根据需求压入Segment序列,按照Segment序列中Segment的指示依次引导报文到对应的节点、链路或业务功能。目前,SR支持多协议标签交换(Multi-Protocol Label Switching,MPLS)和互联网协议第6版(InternetProtocol Version 6,IPv6)两种数据平面,基于IPv6数据平面的SR被称为SRv6。SRv6在IPv6的路由扩展报文头(Routing Extension Header)中引入了新的分段路由头(SegmentRouting Header,SRH),用于携带SRv6 SID的序列,实现对SRv6网络路径和各种功能的灵活编程。SRv6的段标识(Segment Identifier,SID)的长度为128,与IPv6地址保持一致。SRv6SID可以被用于灵活指示网络中的各种操作和参数,源路由机制可以通过SID的组合提供网络路径灵活调度。
然而,源路由组合SID的同时,也会把所有的网络信息都编码到报文内;若非受信的用户设备接收到该报文,该用户设备可以直接根据报文中的网络信息直接调用相应的网络资源,如此,造成网络信息泄露。
发明内容
本申请实施例提供了一种数据校验方法、第一网元设备及计算机可读存储介质。
第一方面,提供了一种数据校验方法,应用于第一网元设备,包括:
接收第二网元设备发送的第一第六版互联网协议分段路由SRv6报文;其中,所述第一SRv6报文携带有所述第二网元设备的虚拟专网VPN信息;
基于所述VPN信息,对所述第一SRv6报文进行授权访问验证。
第二方面,提供了一种第一网元设备,所述第一网元设备包括:
接收模块,用于接收第二网元设备发送的第一第六版互联网协议分段路由SRv6报文;其中,所述第一SRv6报文携带有所述第二网元设备的虚拟专网VPN信息;
处理模块,用于基于所述VPN信息,对所述第一SRv6报文进行授权访问验证。
第三方面,一种第一网元设备,所述第一网元设备包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现上述的数据校验方法。
第四方面,本申请实施例提供一种芯片,用于实现上述的数据校验方法;该芯片包括:处理器,用于从存储器中调用并运行计算机程序,使得安装有该芯片的设备执行上述的数据校验方法。
第五方面,本申请实施例提供一种计算机可读存储介质,用于存储计算机程序,该计算机程序使得计算机执行上述的数据校验方法。
第六方面,本申请实施例提供一种计算机程序产品,包括计算机程序指令,该计算机程序指令使得计算机执行上述的数据校验方法。
第七方面,本申请实施例提供一种计算机程序,当其在计算机上运行时,使得计算机执行上述的数据校验方法。
通过上述技术方案,本申请提供了一种既满足了源路由灵活路径调度的能力,又对路径部分节点进行校验以满足安全性要求的数据校验方法。在网元设备接收到其他网元设备发送的SRv6报文后,网元设备基于SRv6报文中的VPN信息进行安全性校验,如此,保障了网络资源的安全;仅在SRv6报文中添加VPN信息的方式实施简单,无需对路由器硬件进行升级,能够应用于不同规模的通信场景,并且不会严重影响到报文转发的效率。
附图说明
图1为相关技术中提供的一种CPE访问VPC的流程的示意图;
图2为相关技术中提供的逐跳校验的示意图;
图3为相关技术中提供的两端校验的示意图;
图4为本申请实施例提供的数据校验方法的流程示意图;
图5为本申请提供的一种第一SRv6报文的格式的示意图;
图6为本申请实施例提供的一种SRv6 SID的示意图;
图7为本申请实施例提供的数据校验方法的结构示意图;
图8为本申请提供的一种控制设备静态配置源VPN校验表的流程图;
图9为本申请提供的一种控制设备通过BGP动态分配置源VPN校验表的流程图;
图10为本申请实施例提供的一种第一网元设备的示意性框图;
图11为本申请实施例提供的一种通信设备的示意性结构图;
图12为本申请实施例提供的芯片的示意性结构图;
图13为本申请实施例提供的一种通信系统的示意性框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,这里,关于附图说明中提到的“另一种”或“又一种”并非指特定某个实施例,本申请的各个实施例可以在不冲突的情况下相互结合。
应理解,说明书通篇中提到的“本申请实施例”或“前述实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“本申请实施例中”或“在前述实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中应用。在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在解释本申请之前,这里针对相关技术中的SRv6进行简要说明:
SRv6继承了SR全部优点,并通过与IPv6的结合获得了更强的扩展性和可编程能力,在网络简化和满足新业务需求方面有独特的优势,使其成为下一代IP网络的核心技术,也符合适合软件定义广域网(Software Defined Wide Area Network,SD-WAN)应用需求的技术方向。其中,SR的优点包括如下四个方面:
(1)、控制协议简化:SR通过内部网关协议(Interior Gateway Protocol,IGP)和边界网关协议(Border Gateway Protocol,BGP)协议分发段标识SID,无需部署和维护传统的标签分发协议(Label Distribution Protocol,LDP),基于流量工程扩展的资源预留协议(RSVP-TE:Resource ReSerVation Protocol-Traffic Engineering,RSVP-TE)等信令协议。
(2)、高可扩展性:SR通过对有限的链路和节点Segment的组合生成海量的SR路径,且路径信息只需在头节点保存,网络中间节点无需维护每路径状态信息。
(3)、可编程能力:在SR技术体系中,可以把Segment看成是一种指令,通过Segment的组合形成满足特定需求的SR路径可以看成是对网络的编程。这种编程可以灵活建立满足不同需求的路径,释放网络的价值。
(4)、高可靠保护:SR能提供100%网络覆盖的快速重路由(Fast Re-Route)保护,解决了IP网络长期面临的技术难题,能够在高可扩展性同时达到完全的可靠性保护。
需要说明的是,源路由的方式通过SID的组合提供了网络路径灵活调度。但同时源路由会把所有的网络信息都编码到业务报文内,导致用户侧的控制权过大。同样,SRv6网络延伸到非受信的用户侧将带来用户非授权调用网络资源的隐患。
示例性的,在云场景中,用户对应的客户终端设备(Customer PremiseEquipment,CPE)位于非可信域,通过在业务报文中指定路径,用户除了访问自己的虚拟专用云(Virtual Private Cloud,VPC),还导致可以非法访问其他用户的VPC,带来安全风险。
图1是相关技术中提供的一种CPE访问VPC的流程的示意图。如图1所示,入网点(point-of-presence,PoP)6是用户1对应的VPC的进入点;PoP7是用户2对应的VPC的进入点。用户1对应的CPE1的SRv6访问报文可以依次通过运营商边缘设备(Provider Edge,PE)2、PE4转发至入网点(point-of-presence,PoP)6或PoP7;即CPE1将SRv6访问报文通过指定路径段标识绑定(Binding Segment Identity,BSID)2对应的路径,即大宽带路径,传输至PoP6或PoP7;明显,CPE1既可以访问自己的VPC,也可以非法访问其他用户的VPC。在CPE1访问自己的VPC时,CPE1封装的第一SRv6访问报文的SRH携带有路径,即BSID2和CPE1自己的VPC中的VPN的段标识信息,即VPNSID6;第一SRv6访问报文通过传输隧道传输到下一节点,并基于第一SRv6访问报文中SRH的内容,将第一SRv6访问报文依次转发,直到PoP6接收到第一SRv6访问报文,如此,实现CPE1合法访问自己VPC。在CPE1访问其他用户的VPC时,CPE1封装的第二SRv6访问报文的SRH携带有路径,即BSID2和其他用户的VPC中的VPN的段标识信息,即VPNSID7;第二SRv6访问报文通过传输隧道传输到下一节点,并基于第二SRv6访问报文中SRH的内容,将第二SRv6访问报文依次转发,直到PoP7接收到第二SRv6访问报文,如此,实现CPE1非法访问其他用户的VPC。
需要说明的是,SRv6访问报文中还包括源IP(srcIP)地址和目的IP(dstIP)地址。SID1对应的设备与VPNSID4对应的隧道连接,在数据传输时可以经过BSID2对应的路径;其中,隧道为静态隧道。云专网包括PE2和运营商(Provider,P)3和PE4。PE2通过IP3与PE4对应的IP4进行业务数据传输,PE2和PE4之间的路径包括大宽带路径(BSID1)和低时延路径(BSID2)。CPE1通过IP1直接与PE2对应的IP2连接,PE4通过IP5间接连接用户1VPC的PoP6的IP6和用户2VPC的PoP7的IP7。CPE1、PoP7和PoP6在VPN中。其中,PE是服务提供商网络的边缘设备,与用户的CPE直接相连。在VPN中,对VPN的所有处理都发生在PE或PoP上。P是服务提供商网络中的骨干设备,不与CPE直接相连。P设备不感知VPN,只需要具备基本网络转发能力。CPE可以是路由器或交换机,也可以是一台主机。
需要说明的是,图1中SRv6访问报文仅指示出了SRv6报文的部分字段,例如,CPE1发出的第一SRv6访问报文中包括CPE1的源地址IP1、以及传输路径:BSID2对应的路径。PoP6接收到第一SRv6访问报文包括CPE1的源地址IP1、以及PoP6对应的VPC中的VPN的段标识信息:VPNSID6。CPE1发出的第二SRv6访问报文中包括CPE1的源地址IP1、以及传输路径:BSID2对应的路径。PoP7接收到第二SRv6访问报文包括CPE1的源地址IP1、以及PoP7对应的VPC中的VPN的段标识信息:VPNSID7。
相关技术中通常采用逐跳校验、入口校验和两端校验三种的方式来防止网络信息泄露。逐跳校验是采用哈希消息认证码(Hash-based Message Authentication Code,HMAC)校验合法的SRv6路径;入口校验用访问控制列表(Access Control Lists,ACL)可以实现针对流量的匹配和过滤;两端校验通过在CPE和PoP两端进行校验。图2是相关技术中提供的逐跳校验的示意图;针对节点R1至节点RN,每两个相邻的节点需要基于密码进行HMAC校验;这里,逐跳校验中的节点的数量是小于16的。采用逐跳校验的方式校验SRv6访问报文,会对SRv6访问报文中的Segment List字段中的Segment List[0]至Segment List[n]的内容进行HMAC校验。这里,SRv6访问报文中的Segment List字段中的Segment List[0]至Segment List[n]图2中采用SID..至SIDN表示。节点R1对应的SID为SID1;节点RN对应的SID为SIDN;SRv6访问报文包括Payload、SA和DA。这里,图2中SRv6访问报文仅指示出了SRv6报文的部分字段。明显,若采用针对逐跳校验的方式,若当前路由器硬件不支持HMAC计算,需升级硬件,成本高;路由器HMAC校验带来巨大的运算量将严重影响转发效率。
入口校验的方式资源消耗大,SID List长度不固定,ACL资源消耗大,能应用小规模部署,但是不适用于大规模部署场景;ACL匹配SID List难以维护,难以实际投入生产使用。
图3是相关技术中提供的两端校验的示意图。CPE和PoP之间可通过建立安全传输层协议(Transport Layer Security,TLS)、安全套接层(Secure Socket Layer,SSL)、互联网安全协议(Internet Protocol Security,IPSec)等方式实现互信及报文校验,SRv6在外层封装。其中,CPE对应的SID为SID1;PoP对应的SID为SIDN。CPE和PoP之间包括的其他节点为其他SID。如图3所示,采用两端校验的方式校验SRv6访问报文,会对SRv6访问报文中外层封装的IPSec进行首尾认证。其中,SRv6访问报文中的Segment List字段中的Segment List[0]至Segment List[n],图3中采用SID..至SIDN表示;这里,图3中SRv6访问报文仅指示出了SRv6报文的部分字段。该方式可以防止非授权访问,但是要求网络设备对所有的报文均进行加密处理对网络性能、灵活性带来挑战,且无法阻止分布式拒绝服务攻击(Distributed Denial of Service,DDoS)攻击。并且由于当前SRv6连接将无法穿越位于无线核心网数据中心、云内防火墙设备,当IPSec、TLS用于内层加密时,仍需外层加密。对转发效率带来很大影响。
相关技术中,网络路由包括非源路由机制和源路由机制。针对非源路由机制,所有路径信息都保存在网络设备内部,用户侧设备仅能指定目的地址。针对源路由机制把全链路的路径信息都交由用户侧设备,例如CPE指定。因此,需要在源路由机制和非源路由机制之间找到平衡,一方面满足源路由灵活路径调度的能力,另一方面应对路径部分节点进行校验以满足安全性要求。因此,本申请提供了一种既满足了源路由灵活路径调度的能力,又对路径部分节点进行校验以满足安全性要求的数据校验方法。
图4为本申请实施例提供的一种数据校验方法的流程示意图,该方法应用于第一网元设备中,或者应用于第一网元设备中的芯片中,如图4所示,该方法包括以下步骤:
步骤401、接收第二网元设备发送的第一第六版互联网协议分段路由SRv6报文。
其中,第一SRv6报文携带有第二网元设备的虚拟专网VPN信息。
本申请实施例中,无论在第二代移动通信(the 2th generation mobilecommunication technology,2G)网络、第三代移动通信(the 3th generation mobilecommunication technology,3G)网络、第四代移动通信(the 4th generation mobilecommunication technology,4G)网络中,还是在5G网络中,网元设备都不是孤立存在的。随着网络容量的扩展、容灾等需求,网络架构中可以包括网元设备集群。网元设备集群可以包括多个网元设备。网元设备集群可以包括多种不同功能的网元设备。第一网元设备即宿节点和第二网元设备即源节点是通信网络中任意两个需要进行业务传输的节点。示例性的,网元设备包括但不限于接入终端、用户设备(User Equipment,UE)、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、终端、无线通信设备、用户代理或用户装置。接入终端可以是蜂窝电话、无绳电话、会话启动协议(Session InitiationProtocol,SIP)电话、IoT设备、卫星手持终端、无线本地环路(Wireless Local Loop,WLL)站、个人数字助理(Personal Digital Assistant,PDA)、具有无线通信功能的手持设备、计算设备或连接到无线调制解调器的其它处理设备、车载设备、可穿戴设备、5G网络中的终端设备或者未来演进网络中的终端设备等。
本申请实施例中,第一网元设备接收到第一SRv6报文。其中,第一SRv6报文包括第一SRv6报文中的IPv6头(IPv6 Header)、第一SRv6报文中的SRH和第一SRv6报文中的载荷。
图5是本申请提供的一种第一SRv6报文的格式的示意图。如图5所示,IPv6Header包括版本(Version)字段、流量类型(Traffic class)字段、流标签(Flow Label)字段、负载长度(Payload Length)字段、下一报头(Next header)字段、跳数限制(Hop limit)字段、源地址(Source Address,SA)字段、目的地址(Destination Address,DA)字段。其中,Version字段占4bits,用于表征数据包的封装格式。Traffic class字段,占8bits,用于使用差分服务代码点(Differentiated Services Code Point,DSCP)标识该流量作何处理。FlowLabel字段,占20bits,用于标识服务控制质量(Quality of Service,QoS)。PayloadLength字段,占16bits,用于表征数据包所携带的数据负载的长度。Next header字段,占8bits,用于标识下一层协议类型。Hop limit字段,占8bits,用于表征路由限制跳数。Source Address字段和Destination Address字段,占128bits。
SRH包括下一个报头(Next Header)字段、报头扩展长度(Hdr Ext Len)字段、路由类型(Routing Type)字段、段剩余(Segment Left,SL)字段、最后一个条目(Last Entry)字段、标识(Flags)字段、标签(Tag)字段、段列表(Segment List)字段和可选的键入长度值(Optional Type-length-value,Optional TLV)字段。其中,Next Header,占8bits,用于表征紧跟在SRH之后的报文头的类型。Hdr Ext Len字段,占8bits,用于表征从Segment List[0]至Segment List[n]所占用的长度。SL字段,占8bits,用于表征到达目的节点前仍然应当访问的中间节点数,SL字段还可以称为剩余节点字段。SL字段的取值可以指明段列表中的活跃SID。例如,如果段列表包括5个SID,分别是SID0、SID1、SID2、SID3以及SID4,而SL取值为2,则表明段列表中未被处理的SID有2个,分别是SID0以及SID1,段列表中当前要被处理的SID是SID2,段列表中已被处理的SID有2个,分别是SID3以及SID4。Last Entry字段,占8bits,用于表征在段列表中包含段列表最后一个元素的索引。Flags字段,占8bits,用于表征数据包的一些标识。Tag字段,占16bits,用于标识同组数据包。Segment List字段可以包括一个或多个SID,每个SID可以是IPv6地址的形式,因此段列表也可以理解为一个显式的IPv6地址栈。段列表可以记为Segment List[n],Segment List[n]长度为128*n bits,段列表可以从路径的最后一段开始编码。segment list是IPv6地址形式(128bit IPv6address)。Optional TLV字段,用于携带长度可变(variable)的数据,为SRv6提供了更好的扩展性。
第一SRv6报文中的载荷例如是IPv4报文、IPv6报文或以太网(Ethernet,Eth)帧。第一SRv6报文中的载荷可称为原始报文。示例性的,图5中的第一SRv6报文中的载荷为IPv6Payload。
在IPv6中,一些特殊功能例如路由,是通过在IPv6 Header之后增加扩展头部实现。扩展头部仅在需要时添加,当IPv6 Header中的Next Header字段为43时,表示为路由扩展报头。路由扩展报头中的Routing Type字段为4时,表示路由扩展报头为分段路由报头SRH。
本申请实施例中,SRv6 SID可以包括128个比特。SRv6 SID可以是16进制的数据形式。SRv6 SID的格式可以为X:X:X:X:X:X:X:X。图6为本申请实施例提供的一种SRv6 SID的示意图。如图6所示,SID可以包括定位标识(Locator)信息以及功能(Function)信息。SID的格式为Locator:Function。可选地,SID还可以包括参数(Arguments)信息,则SID的格式为Locator:Function:Arguments。SRv6 SID生成以后,一方面会加入本机的Local SID表,另一方面也可以通过路由协议对外发布。实际转发时,SRv6 SID里的Locator部分用来帮助网络里的其他节点进行路由寻址,找到SRv6 SID的生成节点,并将SRv6报文转发到该节点,而Function信息用于指示SRv6 SID的生成节点进行相应的功能操作。Locator信息用于路由和转发数据包,该字段包括分配给网络节点的标识。Locator信息的长度可变,用于适配不同规模的网络。Locator中的标识的有两个重要的属性:可路由和可聚合。Function信息是用来表征该指令要执行的转发动作,相当于计算机指令的操作码。在SRv6网络编程中,不同的转发行为由不同的Function来表达。Argument信息是一个可选的字段,用于携带在执行指令时所需要的参数。这些参数可能包含流,服务或任何其他相关的信息。
本申请实施例中,第一SRv6报文中携带的第二网元设备的VPN信息包括不限于路径信息、VPN ID、指令、指令相关的参数如VPN路由表ID、接口。
步骤402、基于VPN信息,对第一SRv6报文进行授权访问验证。
本申请实施例中,第一网元设备基于第二网元设备的VPN信息,对第二网元设备发送的第一SRv6报文进行授权访问验证包括基于VPN信息,先确定第二网络设备是否可以合法访问第一网络设备,在合法访问的情况下,才能处理所述第一SRv6报文;或直接判断VPN信息是否存在第一网元设备存储的允许访问的设备对应的VPN信息中,在VPN信息在第一网元设备存储的允许访问的设备对应的VPN信息中,处理所述第一SRv6报文。
需要说明的是,本申请通过分析相关技术中的SD-WAN的解决方案可以得出,其安全性由虚拟专用网络VPN的路由控制来保障。本申请考虑到源路由会在路径中携带转发路径信息,要达到同样的安全性就可以基于VPN对进行流量源信息进行校验。这样就可以将源路由的优势保留,同时通过在VPN端点进行校验满足安全性要求。图7所示,CPE间的流量需要在流量接收端的VPN所在的节点校验就可以保障基本的安全要求,基于VPN的校验,得到网状VPN仅能访问网状VPN,而不可以访问竖状VPN;即VPN1、VPN2和VPN3之间能相互访问,而VPN4不能访问VPN1、VPN2和VPN3。其中,图7中的Underlay网络是由各类物理设备构成,通过使用路由协议保证其设备之间的IP连通性的承载网络。
本申请实施例提供了一种数据校验方法,该方法包括:接收第二网元设备发送的第一第六版互联网协议分段路由SRv6报文;其中,第一SRv6报文携带有第二网元设备的虚拟专网VPN信息;基于VPN信息,对第一SRv6报文进行授权访问验证。也就是说,本申请提供了一种既满足了源路由灵活路径调度的能力,又对路径部分节点进行校验以满足安全性要求的数据校验方法。在网元设备接收到其他网元设备发送的SRv6报文后,网元设备基于SRv6报文中的VPN信息进行安全性校验,如此,保障了网络资源的安全;仅在SRv6报文中添加VPN信息的方式实施简单,无需对路由器硬件进行升级,能够应用于不同规模的通信场景,并且不会严重影响到报文转发的效率。
本申请适用于由CPE网元、PoP网元和控制器构成的SD-WAN系统,也适用于PE路由器,其转发面运行SRv6协议,包含对SRv6头压缩的C-SID、G-SID各类方式。
在一些实施例中,步骤401中的第一SRv6报文包含第六版互联网协议头IPv6Header的源地址字段携带有第一虚拟专网段标识;其中,第一虚拟专网段标识包括第二网元设备的VPN信息。也就是说,第一SRv6报文中的IPv6扩展头,即SRH中的Segment List字段中携带路径信息;第一SRv6报文中的IPv6Header的源地址字段携带有源节点信息和VPN信息,即VPN SID。其中,源节点信息通常携带的是一个环回接口地址,环回地址只能标识节点信息,无法标识VPN信息。
在一些实施例中,步骤402基于VPN信息,对第一SRv6报文进行授权访问验证,可以通过如下步骤实现:
步骤A1、得到第一网元设备内置的源VPN校验表。
其中,源VPN校验表携带有与第一网元设备关联的已授权访问的第二虚拟专网段标识。
本申请实施例中,步骤A1中的得到可以理解为确定make、生成generate、获得get/receive、决定determine;关于得到的时机,可以是第一次确定/生成/获得/决定,也可以是更新update或调整adjustment已有的源VPN校验表。
本申请实施例中,第二虚拟专网段标识可以是一个,也可以是多个。
本申请实施例中,源VPN校验表中携带的第二虚拟专网段标识通过静态配置或边界网关协议BGP动态分发的方式进行配置。这里,静态配置源VPN校验表中的第二虚拟专网段标识是指通过控制器统一规划生成VPN SID,由于控制器根据业务需求可以知道不同设备间的VPN匹配关系,因此可以直接由控制器通过配置手段来配置VPN SID以及源VPN校验表。通过BGP动态分发配置源VPN校验表中的第二虚拟专网段标识是指控制设备基于其他网元设备发送的BGP更新Update报文中携带的虚拟专网段标识,动态为第一网元设备内置的源VPN校验表配置虚拟专网段标识;或第一网元设备直接其他网元设备发送的BGP更新Update报文中携带的虚拟专网段标识,动态更新第一网元设备内置的源VPN校验表。
步骤A2、基于第二虚拟专网段标识和第一虚拟专网段标识,对第一SRv6报文进行授权访问验证。
本申请实施例中,若第一SRv6报文通过授权访问验证,转发第一SRv6报文;若第一SRv6报文未通过授权访问验证,丢弃第一SRv6报文。本申请在接收到SRv6报文后,增加一个基于SRv6报文中的源节点VPN信息的校验步骤,考虑到路由器设备均具备查路由表的功能,因此可以增设一个源VPN校验表,表内填充授权访问的VPN SID。这样仅对通过校验的报文进行转发,未通过校验的报文则丢弃。
在一些实施例中,第一SRv6报文通过授权访问验证可以是第一虚拟专网段标识与第二虚拟专网段标识中的其中一个虚拟专网段标识相同,或部分相同。
本申请实施例中,步骤A1中的得到第一网元设备内置的源VPN校验表可以通过步骤B1实现:
步骤B1、得到由控制设备写入第二虚拟专网标识后的内置的源VPN校验表;
其中,第二虚拟专网段标识是控制设备基于虚拟专网业务需求从多个虚拟专网段标识中筛选出,用于访问第一网元设备的虚拟专网段标识。
需要说明的是,虚拟专网段标识由控制设备生成的;或,虚拟专网段标识由各网元设备生成的,并发送给控制设备;其中,各网元设备包括第一网元设备和第二网元设备。
在一些实施例中,网元设备例如CPE生成VPN SID,控制设备在获取CPE生成VPNSID后,控制设备进行配置网元设备的源VPN校验表,以实现信息分发。图8是本申请提供的一种控制设备静态配置源VPN校验表的流程图。如图8所示,网元设备1生成VPN1 SID,并将VPN1 SID发送至控制设备;控制设备将VPN1 SID配置进网元设备3的源VPN校验表中。需要说明的是,网元设备1将VPN1 SID发送至控制设备时,VPN1 SID携带在SRv6访问报文的IPv6源地址字段中。
在一些实施例中,图8中的网元设备1还可以直接向网元设备3发送VPN1SID,VPN1SID携带在SRv6访问报文的IPv6源地址字段。这里,图8中SRv6访问报文仅指示出了SRv6报文的部分字段。
本申请实施例中,步骤A1中的得到第一网元设备内置的源VPN校验表之前,本申请实施例提供的方法还包括步骤C1或步骤C2:
步骤C1、得到控制设备通过配置路由反射器RR,第二网元设备生成BGP更新Update报文向RR发送,并由RR生成第一BGP Update报文,发送的虚拟专网段标识。
其中,第二BGP Update报文中虚拟专网段标识属性参数关联BGP路由RT属性值;RR和所述第一网元设备之间建立有BGP邻居关系;第一BGP Update报文中虚拟专网段标识属性参数关联BGP路由RT属性值。
本申请实施例中,控制设备具备BGP路由反射器(Route Reflector,RR)的功能,节点,即网元设备也具备BGP功能;节点和RR之间均建立BGP邻居。在网元设备例如CPE生成VPNSID,通过边界网关协议BGP动态协议来进行动态信息分发。
本申请实施例中,控制设备配置RR,控制设备通过配置将虚拟专网段标识和关联的VPN的BGP路由RT属性值注入BGP的RR。
在一些实施例中,第二网元设备生成BGP Update报文,并向RR发送BGP Update报文;RR接收到BGP Update报文,并重新生成第一BGP Update报文。进一步的,RR将第一BGPUpdate报文发送给第一网元设备。第一网元设备从RR发送的第一BGP Update报文中得到虚拟专网段标识和关联的VPN的BGP路由RT属性值。也就是说,RR接收到BGP Update报文不会转发,是终结了;并会重新生成一个第一BGP Update报文向第一网元设备发送。这里,第一BGP Update报文中携带有虚拟专网段标识和关联的VPN的BGP路由RT属性值。需要说明的是,BGP Update报文仅仅是一个载体,核心是VPN SID和其关联的RT属性值。
需要说明的是,BGP Update报文中的虚拟专网段标识和BGP路由RT属性值具有关联关系。
在一些实施例中,第一网元设备通过遍历第一网元设备本地VPN。当第一BGPUpdate报文中的虚拟专网段标识关联的VPN的RT属性值满足第一条件时,将第一BGPUpdate报文中的虚拟专网段标识写入第一网元设备本地VPN的源VPN校验表。本申请实施例中,若第一BGP Update报文中的虚拟专网段标识关联的RT属性值不满足第一条件,忽略第一BGP Update报文中虚拟专网段标识。
这里,第一BGP Update报文中的虚拟专网段标识关联的VPN的RT属性值满足第一条件包括第一BGP Update报文中的虚拟专网段标识关联的RT属性值与第一网元设备本地VPN配置的RT属性值相同。
需要说明的是,第一网元设备在确定第一BGP Update报文中的虚拟专网段标识关联的VPN的BGP路由RT属性值满足第一条件的情况下,从第一BGP Update报文中筛选出部分虚拟专网段标识;将筛选出的虚拟专网段标识写入源VPN校验表;或,第一网元设备无需筛选第一BGP Update报文携带的虚拟专网段标识,只要确定第一BGP Update报文中的虚拟专网段标识关联的VPN的BGP路由RT属性值满足第一条件的情况下,将第一BGP Update报文中的所有的虚拟专网段标识写入第二虚拟专网关联的源VPN校验表。
在一些实施例中,第一BGP Update报文中的虚拟专网段标识和关联的VPN的BGP路由RT属性值携带在第一BGP Update报文的下一跳Nexthop字段或BGP前缀段标识PrefixSID字段中。
图9是本申请提供的一种控制设备通过BGP动态分配置源VPN校验表的流程图。若图9所示,网元设备1向BGP RR发送BGP Update报文;BGP RR基于接收到的BGP Update报文,生成第一BGP Update报文,并将第一BGP Update报文发送给网元设备3。其中,网元设备1发送的BGP Update报文中携带有网元设备1对应的VPN1的属性信息和路由信息;其中,VPN1的属性信息包括RT值和SID。第一BGP Update报文中携带有网元设备1对应的VPN1的属性信息和路由信息;其中,VPN1的属性信息包括RT值和SID。
进一步的,在第一网元设备完全接收完第一BGP Update报文时,即VPN SID终结,第一网元设备从第一BGP Update报文中的VPN SID中获取VPN信息,例如VPN ID;同时,第一网元设备基于RT的过滤器从第一BGP Update报文中获取虚拟专网段标识关联的RT属性值,并基于虚拟专网段标识关联的RT属性值与网络中所有节点本地VPN配置的RT值进行比较,当相同时,将第一BGP Update报文中的VPN ID写入源VPN校验表中;进而实现虚拟路由转发(Virtual Routing Forwarding,)或通过虚拟交换接口(Virtual Switch Interface,VSI)控制相应的网络应用。
在一些实施例中,针对VPN SID,网元设备1通过BGP Update报文发送VPN SID给RR,RR再通过第一BGP Update报文将VPN SID扩散到网元设备3。当网元设备3收到报文后第一BGP Update报文后,通过复用BGP RT属性比较的机制,将RT匹配的VPN SID安装到源VPN校验表中。从而实现将源VPN SID自动安装到宿节点的源VPN校验表中。
需要说明的是,BGP协议规定Update报文包括RT信息,而每一网元设备本地在每一个VPN中都会配置相应的RT属性,BGP Update报文中携带的RT属性和所有本地VPN配置的RT进行比较;当相同时,将该BGP Update报文中携带的路由信息导入到VPN中;不相同时,滤除该BGP Update报文。
步骤C2、在第二网元设备向第一网元设备发送由第二BGP Update报文携带的虚拟专网段标识和关联的VPN的BGP路由RT属性值的情况下,第一网元设备接收虚拟专网段标识和关联的VPN的BGP路由RT属性值。
其中,第一网元设备和第二网元设备之间建立有BGP邻居关系。
本申请实施例中,第二网元设备可以直接向第一网元设备发送第二BGP Update报文,无需通过RR中转;当然,第二网元设备也可以将第二BGP Update报文发送给RR,由RR基于第二BGP Update报文生成第一BGP Update报文,并发送给第一网元设备;即步骤C1中的第二网元设备生成BGP更新Update报文向RR发送的也可以是步骤C2中的第二BGP Update报文。
在一些实施例中,第二网元设备生成第二BGP Update报文,并直接发送给第一网元设备。进一步的,在第二网元设备向第一网元设备发送由第二BGP Update报文携带的虚拟专网段标识和关联的VPN的BGP路由RT属性值的情况下,第一网络设备从第二BGP Update报文中获取到虚拟专网段标识和关联的VPN的BGP路由RT属性值。
在一些实施例中,第一网元设备通过遍历第一网元设备本地VPN;当第二BGPUpdate报文中的虚拟专网段标识关联的VPN的BGP路由RT属性值满足第一条件时,将第二BGP Update报文中的虚拟专网段标识写入第一网元设备本地VPN的源VPN校验表。若第二BGP Update报文中的虚拟专网段标识关联的RT属性值不满足第一条件,忽略第二BGPUpdate报文中虚拟专网段标识。
这里,第二BGP Update报文中的虚拟专网段标识关联的VPN的RT属性值满足第一条件包括第二BGP Update报文中的虚拟专网段标识关联的RT属性值与第一网元设备本地VPN配置的RT属性值相同。
需要说明的是,第一网元设备在确定第二BGP Update报文中的虚拟专网段标识关联的VPN的BGP路由RT属性值满足第一条件的情况下,从第二BGP Update报文中筛选出部分虚拟专网段标识;将筛选出的虚拟专网段标识写入源VPN校验表;或,第一网元设备无需筛选第二BGP Update报文携带的虚拟专网段标识,只要确定第二BGP Update报文中的虚拟专网段标识关联的VPN的BGP路由RT属性值满足第一条件的情况下,将第一BGP Update报文中的所有的虚拟专网段标识写入第二虚拟专网关联的源VPN校验表。
在一些实施例中,第二BGP Update报文中的虚拟专网段标识和关联的VPN的BGP路由RT属性值携带在第二BGP Update报文的Nexthop字段或BGP Prefix SID字段中。
本申请的实施例提供一种第一网元设备,该第一网元设备可以用于实现图4对应的实施例提供的一种数据校验方法,参照图10所示,第一网元设备100包括:
接收模块1001,用于接收第二网元设备发送的第一第六版互联网协议分段路由SRv6报文;其中,第一SRv6报文携带有第二网元设备的虚拟专网VPN信息;
处理模块1002,用于基于VPN信息,对第一SRv6报文进行授权访问验证。
本申请其他实施例中,第一SRv6报文包含第六版互联网协议头IPv6Header的源地址字段,源地址字段携带有第一虚拟专网段标识;其中,第一虚拟专网段标识包括VPN信息。
本申请其他实施例中,处理模块1002,用于得到第一网元设备内置的源VPN校验表;其中,源VPN校验表携带有与第一网元设备关联的已授权访问的第二虚拟专网段标识;
处理模块1002,用于基于第二虚拟专网段标识和第一虚拟专网段标识,对第一SRv6报文进行授权访问验证。
本申请其他实施例中,处理模块1002,用于若第一SRv6报文通过授权访问验证,转发第一SRv6报文;若第一SRv6报文未通过授权访问验证,丢弃第一SRv6报文。
本申请其他实施例中,源VPN校验表中携带的第二虚拟专网段标识通过静态配置或边界网关协议BGP动态分发的方式进行配置。
本申请其他实施例中,处理模块1002,用于得到由控制设备写入第二虚拟专网标识后的内置的源VPN校验表;
其中,第二虚拟专网段标识是控制设备基于虚拟专网业务需求从多个虚拟专网段标识中筛选出,用于访问第一网元设备的虚拟专网段标识。
本申请其他实施例中,多个虚拟专网段标识由控制设备生成的;
或,
多个虚拟专网段标识由各网元设备生成的,并发送给控制设备;其中,各网元设备包括第一网元设备和第二网元设备。
本申请其他实施例中,处理模块1002,用于得到控制设备通过配置路由反射器RR,第二网元设备生成BGP更新Update报文向RR发送,并由RR生成第一BGP Update报文,发送的第二虚拟专网段标识;
其中,第二BGP Update报文中虚拟专网段标识属性参数关联BGP路由RT属性值;RR和第一网元设备之间建立有BGP邻居关系;第一BGP Update报文中虚拟专网段标识属性参数关联BGP路由RT属性值。
本申请其他实施例中,接收模块1001,用于在第二网元设备向第一网元设备发送由第二BGP Update报文携带的虚拟专网段标识和关联的VPN的BGP路由RT属性值的情况下,第一网元设备接收虚拟专网段标识和关联的VPN的BGP路由RT属性值;其中,第一网元设备和第二网元设备之间建立有BGP邻居关系。
本申请其他实施例中,处理模块1002,用于通过遍历第一网元设备本地VPN;当第一BGP Update报文或第二BGP Update报文中的虚拟专网段标识关联的VPN的BGP路由RT属性值满足第一条件时,将第一BGP Update报文或第二BGP Update报文中的虚拟专网段标识写入第一网元设备本地VPN的源VPN校验表。
本申请其他实施例中,接收模块1001,用于若第一BGP Update报文或第二BGPUpdate报文中的虚拟专网段标识关联的RT属性值不满足第一条件,忽略第一BGP Update报文或第二BGP Update报文中虚拟专网段标识。
本申请其他实施例中,虚拟专网段标识和关联的VPN的BGP路由RT属性值携带在BGP Update报文的下一跳Nexthop字段或BGP前缀段标识Prefix SID字段中。
本申请其他实施例中,满足第一条件包括BGP Update报文中的虚拟专网段标识关联的RT属性值与第一网元设备本地VPN配置的RT属性值相同。
以上装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请设备实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
需要说明的是,本申请实施例中,如果以软件功能模块的形式实现上述的数据校验方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备执行本申请各个实施例方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、ROM、磁碟或者光盘等各种可以存储程序代码的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
图11是本申请实施例提供的一种通信设备1100示意性结构图。该通信设备可以第一网元设备/第二网元设备,也可以是控制设备。图11所示的通信设备1100包括第一处理器1110,第一处理器1110可以从存储器中调用并运行计算机程序,以实现本申请实施例中的方法。
可选地,如图11所示,通信设备1100还可以包括第一存储器1120。其中,第一处理器1110可以从第一存储器1120中调用并运行计算机程序,以实现本申请实施例中的方法。
其中,第一存储器1120可以是独立于第一处理器1110的一个单独的器件,也可以集成在第一处理器1110中。
可选地,如图11所示,通信设备1100还可以包括收发器1130,第一处理器1110可以控制该收发器1130与其他设备进行通信,具体地,可以向其他设备发送信息或数据,或接收其他设备发送的信息或数据。
其中,收发器1130可以包括发射机和接收机。收发器1130还可以进一步包括天线,天线的数量可以为一个或多个。
可选地,该通信设备1100具体可为本申请实施例的第一网元设备/第二网元设备,并且该通信设备1100可以实现本申请实施例的各个方法中由第一网元设备/第二网元设备实现的相应流程,为了简洁,在此不再赘述。
可选地,该通信设备1100具体可为本申请实施例的控制设备,并且该通信设备1100可以实现本申请实施例的各个方法中由控制设备实现的相应流程,为了简洁,在此不再赘述。
图12是本申请实施例的芯片的示意性结构图。图12所示的芯片1200包括第二处理器1210,第二处理器1210可以从存储器中调用并运行计算机程序,以实现本申请实施例中的方法。
可选地,如图12所示,芯片1200还可以包括第二存储器1220。其中,第二处理器1210可以从第二存储器1220中调用并运行计算机程序,以实现本申请实施例中的方法。
其中,第二存储器1220可以是独立于第二处理器1210的一个单独的器件,也可以集成在第二处理器1210中。
可选地,该芯片1200还可以包括输入接口1230。其中,第二处理器1210可以控制该输入接口1230与其他设备或芯片进行通信,具体地,可以获取其他设备或芯片发送的信息或数据。
可选地,该芯片1200还可以包括输出接口1240。其中,第二处理器1210可以控制该输出接口1240与其他设备或芯片进行通信,具体地,可以向其他设备或芯片输出信息或数据。
可选地,该芯片可应用于本申请实施例中的控制设备,并且该芯片可以实现本申请实施例的各个方法中由控制设备实现的相应流程,为了简洁,在此不再赘述。
可选地,该芯片可应用于本申请实施例中的第一网元设备/第二网元设备,并且该芯片可以实现本申请实施例的各个方法中由第一网元设备/第二网元设备实现的相应流程,为了简洁,在此不再赘述。
应理解,本申请实施例提到的芯片还可以称为系统级芯片,系统芯片,芯片系统或片上系统芯片等。
图13是本申请实施例提供的一种通信系统1300的示意性框图。如图13所示,该通信系统1300包括第一网元设备100、第二网元设备110和控制设备120。
其中,该第一网元设备100可以用于实现上述方法中由第一网元设备实现的相应的功能、该第二网元设备110可以用于实现上述方法中由第二网元设备实现的相应的功能,以及该控制设备120可以用于实现上述方法中由控制设备实现的相应的功能为了简洁,在此不再赘述。
应理解,本申请实施例的处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法实施例的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
作为一种实施例,处理器可以包括一个或多个通用中央处理器(CentralProcessing Unit,CPU)。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机执行指令)的处理核。
可以理解,本申请实施例中的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是ROM、可编程只读存储器(Programmable ROM,PROM)、可擦除可编程只读存储器(Erasable PROM,EPROM)、电可擦除可编程只读存储器(Electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,SRAM)、动态随机存取存储器(Dynamic RAM,DRAM)、同步动态随机存取存储器(Synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(SynchlinkDRAM,SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM,DR RAM)。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
应理解,上述存储器为示例性但不是限制性说明,例如,本申请实施例中的存储器还可以是静态随机存取存储器(static RAM,SRAM)、动态随机存取存储器(dynamic RAM,DRAM)、同步动态随机存取存储器(synchronous DRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(double data rate SDRAM,DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synch link DRAM,SLDRAM)以及直接内存总线随机存取存储器(Direct Rambus RAM,DR RAM)等等。也就是说,本申请实施例中的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
本申请实施例还提供了一种计算机可读存储介质,用于存储计算机程序。
可选的,该计算机可读存储介质可应用于本申请实施例中的第一网元设备/第二网元设备,并且该计算机程序使得计算机执行本申请实施例的各个方法中由第一网元设备/第二网元设备实现的相应流程,为了简洁,在此不再赘述。
可选地,该计算机可读存储介质可应用于本申请实施例中的控制设备,并且该计算机程序使得计算机执行本申请实施例的各个方法中由控制设备实现的相应流程,为了简洁,在此不再赘述。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid StateDisk,SSD))等。
以上对本申请实施例所提供的数据校验的方法、第一网元设备以及计算机可读存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”或“本申请实施例”或“前述实施例”或“一些实施方式”或“一些实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”或“本申请实施例”或“前述实施例”或“一些实施方式”或“一些实施例”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在未做特殊说明的情况下,第一网元设备/第二网元设备/控制设备执行本申请实施例中的任一步骤,可以是第一网元设备/第二网元设备/控制设备的处理器执行该步骤。除非特殊说明,本申请实施例并不限定第一网元设备/第二网元设备/控制设备执行下述步骤的先后顺序。另外,不同实施例中对数据进行处理所采用的方式可以是相同的方法或不同的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
需要说明的是,本申请所涉及的各个实施例中,可以执行全部的步骤或者可以执行部分的步骤,只要能够形成一个完整的技术方案即可。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (16)
1.一种数据校验方法,应用于第一网元设备,其特征在于,所述方法包括:
接收第二网元设备发送的第一第六版互联网协议分段路由SRv6报文;其中,所述第一SRv6报文携带有所述第二网元设备的虚拟专网VPN信息;
基于所述VPN信息,对所述第一SRv6报文进行授权访问验证。
2.根据权利要求1所述的方法,其特征在于,所述第一SRv6报文包含第六版互联网协议头IPv6 Header的源地址字段,所述源地址字段携带有第一虚拟专网段标识;
其中,所述第一虚拟专网段标识包括所述VPN信息。
3.根据权利要求2所述的方法,其特征在于,所述基于所述VPN信息,对所述第一SRv6报文进行授权访问验证,包括:
得到所述第一网元设备内置的源VPN校验表;其中,所述源VPN校验表携带有与所述第一网元设备关联的已授权访问的第二虚拟专网段标识;
基于所述第二虚拟专网段标识和所述第一虚拟专网段标识,对所述第一SRv6报文进行授权访问验证。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
若所述第一SRv6报文通过授权访问验证,转发所述第一SRv6报文;
若所述第一SRv6报文未通过授权访问验证,丢弃所述第一SRv6报文。
5.根据权利要求3所述的方法,其特征在于,所述源VPN校验表中携带的所述第二虚拟专网段标识通过静态配置或边界网关协议BGP动态分发的方式进行配置。
6.根据权利要求3所述的方法,其特征在于,所述得到所述第一网元设备内置的源VPN校验表,包括:
得到由控制设备写入所述第二虚拟专网标识后的内置的源VPN校验表;
其中,所述第二虚拟专网段标识是所述控制设备基于虚拟专网业务需求从多个虚拟专网段标识中筛选出,用于访问所述第一网元设备的虚拟专网段标识。
7.根据权利要求6所述的方法,其特征在于,所述多个虚拟专网段标识由所述控制设备生成的;或,
所述多个虚拟专网段标识由各网元设备生成的,并发送给所述控制设备;其中,所述各网元设备包括所述第一网元设备和所述第二网元设备。
8.根据权利要求3所述的方法,其特征在于,所述得到所述第一网元设备内置的源VPN校验表之前,所述方法还包括:
得到控制设备通过配置路由反射器RR,第二网元设备生成BGP更新Update报文向RR发送,并由RR生成第一BGP Update报文,发送的虚拟专网段标识;
其中,第二BGP Update报文中虚拟专网段标识属性参数关联BGP路由RT属性值;所述RR和所述第一网元设备之间建立有BGP邻居关系;所述第一BGP Update报文中虚拟专网段标识属性参数关联BGP路由RT属性值。
9.根据权利要求3所述的方法,其特征在于,所述得到所述第一网元设备内置的源VPN校验表之前,所述方法还包括:
在所述第二网元设备向所述第一网元设备发送由第二BGP Update报文携带的虚拟专网段标识和关联的VPN的BGP路由RT属性值的情况下,第一网元设备接收虚拟专网段标识和关联的VPN的BGP路由RT属性值;其中,所述第一网元设备和所述第二网元设备之间建立有BGP邻居关系。
10.根据权利要求8或9所述的方法,其特征在于,所述方法还包括:
通过遍历第一网元设备本地VPN;
当第一BGP Update报文或第二BGP Update报文中的虚拟专网段标识关联的VPN的BGP路由RT属性值满足第一条件时,将所述第一BGP Update报文或所述第二BGP Update报文中的虚拟专网段标识写入所述第一网元设备本地VPN的源VPN校验表。
11.根据权利要求8或9所述的方法,其特征在于,所述方法还包括:
若第一BGP Update报文或第二BGP Update报文中的虚拟专网段标识关联的RT属性值不满足第一条件,忽略所述第一BGP Update报文或所述第二BGP Update报文中虚拟专网段标识。
12.根据权利要求8或9所述的方法,其特征在于,所述虚拟专网段标识和关联的VPN的BGP路由RT属性值携带在BGP Update报文的下一跳Nexthop字段或BGP前缀段标识PrefixSID字段中。
13.根据权利要求10所述的方法,其特征在于,满足所述第一条件包括BGP Update报文中的虚拟专网段标识关联的RT属性值与所述第一网元设备本地VPN配置的RT属性值相同。
14.一种第一网元设备,其特征在于,所述第一网元设备包括:
接收模块,用于接收第二网元设备发送的第一第六版互联网协议分段路由SRv6报文;其中,所述第一SRv6报文携带有所述第二网元设备的虚拟专网VPN信息;
处理模块,用于基于所述VPN信息,对所述第一SRv6报文进行授权访问验证。
15.一种第一网元设备,其特征在于,所述第一网元设备包括:
存储器,用于存储可执行指令;
处理器,用于执行所述存储器中存储的可执行指令时,实现权利要求1至13中任一项所述的数据校验方法。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1至13中任一项所述的数据校验方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211313340.0A CN117938410A (zh) | 2022-10-25 | 2022-10-25 | 一种数据校验方法、第一网元设备及存储介质 |
| PCT/CN2023/125886 WO2024088200A1 (zh) | 2022-10-25 | 2023-10-23 | 一种数据校验方法、第一网元设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211313340.0A CN117938410A (zh) | 2022-10-25 | 2022-10-25 | 一种数据校验方法、第一网元设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117938410A true CN117938410A (zh) | 2024-04-26 |
Family
ID=90763356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211313340.0A Pending CN117938410A (zh) | 2022-10-25 | 2022-10-25 | 一种数据校验方法、第一网元设备及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN117938410A (zh) |
| WO (1) | WO2024088200A1 (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112636935B (zh) * | 2019-10-08 | 2023-06-30 | 中兴通讯股份有限公司 | 基于IPv6网络的虚拟专用网络组播方法及电子设备 |
| US11184276B1 (en) * | 2020-05-08 | 2021-11-23 | Ciena Corporation | EVPN signaling using segment routing |
| WO2021232896A1 (zh) * | 2020-05-19 | 2021-11-25 | 华为技术有限公司 | 一种校验SRv6报文的方法及装置 |
| CN113852550A (zh) * | 2020-06-28 | 2021-12-28 | 华为技术有限公司 | 发送报文的方法、装置、网络设备、系统及存储介质 |
-
2022
- 2022-10-25 CN CN202211313340.0A patent/CN117938410A/zh active Pending
-
2023
- 2023-10-23 WO PCT/CN2023/125886 patent/WO2024088200A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2024088200A1 (zh) | 2024-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109861926B (zh) | 报文的发送、处理方法、装置、节点、处理系统和介质 | |
| US10397188B2 (en) | Access control apparatus, system, and method | |
| CN113261248A (zh) | 安全sd-wan端口信息分发 | |
| CN113259238B (zh) | 分段标识的处理方法及设备 | |
| CN111385165A (zh) | 配置无缝双向转发检测sbfd机制的方法和装置 | |
| US20140153577A1 (en) | Session-based forwarding | |
| CN113873453B (zh) | 通信方法、装置、系统及介质 | |
| EP4000231A1 (en) | Method and system for in-band signaling in a quic session | |
| WO2021057962A1 (zh) | 隧道配置方法、装置、系统、设备及存储介质 | |
| CN110752979B (zh) | 报文的隧道传输方法、装置及网络设备 | |
| US20230336377A1 (en) | Packet forwarding method and apparatus, and network system | |
| US12052229B2 (en) | Secure frame encryption as a service | |
| CN112637237A (zh) | 基于SRoU的业务加密方法、系统、设备及存储介质 | |
| CN115473729A (zh) | 数据传输方法、网关、sdn控制器及存储介质 | |
| CN113765800A (zh) | 传输报文的方法、装置、系统、设备及可读存储介质 | |
| US12095646B2 (en) | Message sending and receiving methods and apparatuses, and communication system | |
| CN117938410A (zh) | 一种数据校验方法、第一网元设备及存储介质 | |
| US11876881B2 (en) | Mechanism to enable third party services and applications discovery in distributed edge computing environment | |
| CN112910791A (zh) | 导流系统及其方法 | |
| WO2024027419A1 (zh) | 报文发送方法、装置及系统 | |
| WO2024109397A1 (en) | Systems and methods for steering quic traffic | |
| Reuter | Source Packet Routing in Networking (SPRING) | |
| CN118631575A (zh) | 一种资源池数据转发方法和系统 | |
| CN118200178A (zh) | 软件定义网络控制器、网络设备、确定资源的方法及装置 | |
| CN117318947A (zh) | 报文校验方法、装置、相关设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |