一种报文处理方法及装置与流程
本申请涉及通信技术领域,特别是涉及一种报文处理方法及装置。
背景技术:
acl(accesscontrollist,访问控制列表)是路由器和交换机接口的指令列表,可以过滤网络中的报文,是控制访问的一种网络技术手段。信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。
当前的报文处理方法中,主要通过urpf(unicastreversepathforwarding,单播反向路由查找)技术结合acl的方式实现对报文的处理。在获取到报文后,首先通过urpf技术,基于报文的源ip(internetprotocol,网际协议)地址,在路由表中进行查询,如果查找到源ip地址的路由表项,则认为报文是本地路由的合法报文,放行该报文;如果没有查找到源ip地址的路由表项,则认为报文是远端路由的报文,利用acl进行匹配,acl中记录有针对不同源ip地址设置的处理策略,则根据acl中匹配得到的处理策略对该报文进行处理。
然而,acl的规模通常是受限的,上述方法中,需要针对不同的源ip地址相应地设置处理策略,而网络中报文的数量是非常庞大的,那么报文的源ip地址也较多,由于acl只能配置有限的源ip地址,会导致报文处理时,在acl中无法进行匹配,出现报文处理不准确的问题。
技术实现要素:
本申请实施例的目的在于提供一种报文处理方法及装置,以实现对报文的准确处理。具体技术方案如下:
第一方面,本申请实施例提供了一种报文处理方法,该方法包括:
获取待处理报文,其中,待处理报文携带源地址;
根据源地址,通过查询路由表,查询源地址对应的类别标识,其中,路由表中预先配置有源地址与类别标识之间多对一的对应关系;
利用访问控制列表,对查询得到的类别标识进行匹配,得到与该类别标识匹配的处理策略,其中,访问控制列表中记录有针对不同分类类别预先配置的处理策略;
利用匹配得到的处理策略,对待处理报文进行处理。
第二方面,本申请实施例提供了一种报文处理装置,该装置包括:
获取模块,用于获取待处理报文,其中,待处理报文携带源地址;
查询模块,用于根据源地址,通过查询路由表,查询源地址对应的类别标识,其中,路由表中预先配置有源地址与类别标识之间多对一的对应关系;
匹配模块,用于利用访问控制列表,对查询得到的类别标识进行匹配,得到与该类别标识匹配的处理策略,其中,访问控制列表中记录有针对不同分类类别预先配置的处理策略;
处理模块,用于利用匹配得到的处理策略,对待处理报文进行处理。
第三方面,本申请实施例提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行的指令,指令由处理器加载并执行:以实现本申请实施例第一方面的方法。
第四方面,本申请实施例提供了一种机器可读存储介质,机器可读存储介质内存储有机器可执行的指令,指令由处理器加载并执行,以实现本申请实施例第一方面的方法。
第五方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行本申请实施例第一方面的方法。
本申请实施例提供的报文处理方法及装置中,获取待处理报文,根据待处理报文中携带的源地址,通过查询路由表,查询源地址对应的类别标识,利用访问控制列表,对查询得到的类别标识进行匹配,得到与该类别标识匹配的处理策略,利用匹配得到的处理策略,对待处理报文进行处理。其中,路由表中预先配置有源地址与类别标识之间多对一的对应关系;访问控制列表中记录有针对不同分类类别预先配置的处理策略。可见,在进行路由表配置时,配置多个源地址与一个类别标识对应,并且在进行访问控制列表配置时,配置不同分类类别的处理策略,也就是说,一种分类类别对应一种处理策略,且一种分类类别对应多个源地址。因此,访问控制列表中配置的处理策略对应的分类类别可以表征多个源地址,并不需要针对这些源地址单独配置处理策略,大大减少了访问控制列表的配置资源,并且结合路由表,能够准确确定出待处理报文对应的处理策略,从而实现了对报文的准确处理。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本申请实施例的报文处理方法的流程示意图;
图2为本申请实施例的网络结构示意图;
图3为本申请实施例的网络设备对报文的处理流程示意图;
图4为本申请实施例的报文处理装置的结构示意图;
图5为本申请实施例的网络设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员基于本申请所获得的所有其他实施例,都属于本申请保护的范围。
为了实现对报文的准确处理,本申请实施例提供了一种报文处理方法、装置、网络设备及机器可读存储介质。下面,首先对本申请实施例所提供的报文处理方法进行介绍。
本申请实施例所提供的报文处理方法应用于路由器、交换机等具有数据转发功能的网络设备。实现本申请实施例所提供的报文处理方法的方式可以为设置于网络设备中的软件、硬件电路和逻辑电路中的至少一种。
如图1所示,本申请实施例所提供的一种报文处理方法,可以包括如下步骤。
s101,获取待处理报文,其中,待处理报文携带源地址。
s102,根据源地址,通过查询路由表,查询源地址对应的类别标识,其中,路由表中预先配置有源地址与类别标识之间多对一的对应关系。
s103,利用访问控制列表,对查询得到的类别标识进行匹配,得到与该类别标识匹配的处理策略,其中,访问控制列表中记录有针对不同分类类别预先配置的处理策略。
s104,利用匹配得到的处理策略,对待处理报文进行处理。
应用本申请实施例的方案,获取待处理报文,根据待处理报文中携带的源地址,通过查询路由表,查询源地址对应的类别标识,利用访问控制列表,对查询得到的类别标识进行匹配,得到与该类别标识匹配的处理策略,利用匹配得到的处理策略,对待处理报文进行处理。其中,路由表中预先配置有源地址与类别标识之间多对一的对应关系;访问控制列表中记录有针对不同分类类别预先配置的处理策略。可见,在进行路由表配置时,配置多个源地址与一个类别标识对应,并且在进行访问控制列表配置时,配置不同分类类别的处理策略,也就是说,一种分类类别对应一种处理策略,且一种分类类别对应多个源地址。因此,访问控制列表中配置的处理策略对应的分类类别可以表征多个源地址,并不需要针对这些源地址单独配置处理策略,大大减少了访问控制列表的配置资源,并且结合路由表,能够准确确定出待处理报文对应的处理策略,从而实现了对报文的准确处理。
待处理报文是指网络设备接收到的信息点之间通信的报文,或者是外网访问内网的报文,待处理报文中携带有发起该待处理报文的源地址,源地址可以是源ip地址,也可以是网络设备接收到该待处理报文的端口地址。
路由表中一般设置有地址信息、虚拟网络信息、端口信息等,将地址信息和虚拟网络信息作为查询关键字(key),根据key即可命中某一个路由表项,基于命中的路由表项对报文进行处理。路由表中的地址信息一般指的是目的ip地址,正常的转发过程是:根据目的ip地址和虚拟网络信息查找路由表项,如果命中某一路由表项,则根据该路由表项进行报文转发。而在本申请实施例中,在路由表中预先配置多个源地址对应一个类别标识的对应关系,这样,根据源地址,通过查询路由表,可以命中某一路由表项,确定出该源地址对应的类别标识(也可称为classid)。
在本申请实施例的一种实现方式中,路由表的配置方式具体可以为:针对本地路由,识别本地路由的合法接口,并将至少一个合法接口绑定到一个合法检测组;针对一个合法检测组中各合法接口的源地址,在路由表中配置同一个类别标识。
对于本地路由而言,网络设备设置有每个接口是否合法的状态,则网络设备首先根据每个接口的状态,识别出本地路由的合法接口,将至少一个合法接口绑定到一个合法检测组(也称为savagroup),也就是说,可以是一个合法接口绑定为一个合法检测组,也可以是多个合法接口绑定为一个合法检测组,这里的sava(sourceaddressvalidationarchitecture,域内地址合法性检测)是对报文进行过滤检测所采用检测技术的简称。针对一个合法检测组中各合法接口的源地址,在路由表中配置同一个类别标识,一个接口一般对应着多个源地址,则使得多个源地址(合法接口的源地址)对应同一个分类类别。
在本申请实施例的另一种实现方式中,路由表的配置方式具体可以为:针对远端路由,获得远端路由的标签;若远端路由的标签为合法标签,则针对远端路由接口的源地址,在路由表中配置同一个类别标识。
在远端发布路由的时候,网络设备可以接收到远端路由的标签(tag),而在网络设备本地配置有合法标签,如果远端路由的标签为合法标签,也就是说,远端路由的标签与本地配置的合法标签相同,则针对远端路由接口的源地址,在路由表中配置同一个类别标识。针对于远端路由的情况,通过绑定标签的方式进行路由表配置,这样的配置方式更为灵活,从而使得组网实现更为灵活。
在本申请实施例的另一种实现方式中,路由表的配置方式具体可以为:若针对同一个源地址有多个虚拟局域网出接口,则将多个虚拟局域网出接口绑定到同一个合法检测组;针对一个合法检测组中源地址和多个虚拟局域网络出接口,在路由表中配置同一个类别标识。
路由的key只有ip地址和虚拟局域网信息(例如虚拟局域网出接口),如果路由是等价的情况,即源地址相同、而虚拟局域网出接口有多个,需要得到唯一的类别标识,因此,针对一个合法检测组中源地址和多个虚拟局域网络出接口,在路由表中配置同一个类别标识。针对等价路由的情况,通过将多个虚拟局域网出接口绑定到同一个合法检测组,根据合法检测组来配置类别标识,解决了等价路由需要唯一的分类类别的问题。
在从路由表中查询出待处理报文的源地址对应的类别标识后,可以利用访问控制列表,对查询得到的类别标识进行匹配,不同于现有的访问控制列表中记录的是针对不同源地址配置的处理策略,本申请实施例中,由于路由表中已经配置了源地址与类别标识之间多对一的对应关系,则在访问控制列表中,记录的是针对不同分类类别预先配置的处理策略。这样,可以从访问控制列表中匹配得到与从路由表中查询得到的类别标识匹配的处理策略,处理策略可以是放行、限流、丢弃、修改等。相应的,可以利用匹配得到的处理策略,对待处理报文进行处理。
以处理策略是放行为例,对于本地路由,基于待处理报文的源地址,如果匹配得到合法接口,并且匹配出合法接口对应合法检测组的类别标识,则对待处理报文进行放行。对于远端路由,基于待处理报文的源地址,如果匹配得到合法标签,并且匹配出合法标签对应的类别标识,则对待处理报文进行放行。
在本申请实施例的一种实现方式中,待处理报文还携带入接口虚拟局域网标识;访问控制列表中还记录有针对不同入接口虚拟局域网的丢弃策略。相应的,该方法还可以包括如下步骤:根据源地址,通过查询路由表,若查询不到源地址对应的类别标识,则利用访问控制列表,对待处理报文携带的入接口虚拟局域网标识进行匹配;若匹配出该入接口虚拟局域网标识对应丢弃策略,则丢弃待处理报文。
针对于非法报文,在路由表中通常不会配置这些非法报文的路由表项,那么在根据源地址,通过查询路由表,若查询不到源地址对应的类别标识,则说明待处理报文是非法报文,在访问控制列表中记录有针对不同入接口虚拟局域网的丢弃策略,也就是说,不同虚拟局域网下都可能配置有丢弃策略,如果在路由表中查询不到源地址对应的类别标识,可以利用访问控制列表,对待处理报文携带的入接口虚拟局域网标识进行匹配,看针对待处理报文,相应的入接口虚拟局域网是否配置了丢弃策略,如果匹配出该入接口虚拟局域网标识对应丢弃策略,则丢弃待处理报文。
在相应的访问控制列表中还可以添加计数,以此来统计发生了多少次的非法报文访问,进而判断是否为非法攻击行为。本申请实施例基于三层接口实现报文统计监控,计数更为精准。
为了便于理解,下面结合具体的实例,对本申请实施例提供的报文处理方法进行介绍。图2示出了一种网络结构,以交换机1为例,路由表的配置流程具体如下:
vlan(virtuallocalareanetwork,虚拟局域网)10和vlan20接口上各下发一条处理策略被默认配置为丢弃处理的访问控制列表。
vlan20上配置远端路由的标签tag=3,配置类别标识classid=16。交换机2同步到交换机1上的源ip地址为3000::0/64的远端路由表项的classid修改为16。同时配置允许放行的处理策略,允许classid=16,入接口是vlan20的报文通过。
vlan10加入合法检测组savagroup1,为savagroup1分配一个合法classid=17。源ip地址为1000::2/128的本地路由的classid修改为17。同时配置允许放行的处理策略,允许classid=17、vlan10接口的报文通过。
如果接口上使能非法报文上报,会在默认配置为丢弃处理的访问控制列表上增加copytocpu动作,将非法报文上送给cpu(centralprocessingunit,中央处理器)。可以对非法报文的数量进行统计,以此来判断是否存在攻击行为。
网络设备对报文的处理流程如图3所示。
本地路由作源ip时,如源ip地址为1000::2/128的三层流量从vlan10经过交换机1,先根据源ip地址查找路由表,命中路由表项a,得到classid=16,由入接口vlan10与classid=16命中访问控制列表acl2,报文放行。
远端路由作源ip时,如源ip地址为2000::0/64的三层流量从vlan20经过交换机1,先根据源ip地址查找路由表,命中路由表项b,得到classid=17,由入接口vlan20与classid=17命中acl4,报文放行。
非法地址作源ip时,如源ip地址为3000::0/64的三层流量从vlan20经过交换机1,先根据源ip地址查找路由表,无法查找到源ip地址对应的classid,而入接口为vlan20,不能命中acl4,只可命中acl3,则将报文丢弃。
相应于上述方法实施例,本申请实施例提供了一种报文处理装置,如图4所示,该装置可以包括:
获取模块410,用于获取待处理报文,其中,待处理报文携带源地址;
查询模块420,用于根据源地址,通过查询路由表,查询源地址对应的类别标识,其中,路由表中预先配置有源地址与类别标识之间多对一的对应关系;
匹配模块430,用于利用访问控制列表,对查询得到的类别标识进行匹配,得到与该类别标识匹配的处理策略,其中,访问控制列表中记录有针对不同分类类别预先配置的处理策略;
处理模块440,用于利用匹配得到的处理策略,对待处理报文进行处理。
可选的,待处理报文还携带入接口虚拟局域网标识;访问控制列表中还记录有针对不同入接口虚拟局域网的丢弃策略;
该装置还可以包括:
丢弃处理模块,用于根据源地址,通过查询路由表,若查询不到源地址对应的类别标识,则利用访问控制列表,对待处理报文携带的入接口虚拟局域网标识进行匹配;若匹配出该入接口虚拟局域网标识对应丢弃策略,则丢弃待处理报文。
可选的,该装置还可以包括:
配置模块,用于针对本地路由,识别本地路由的合法接口,并将至少一个合法接口绑定到一个合法检测组;针对一个合法检测组中各合法接口的源地址,在路由表中配置同一个类别标识。
可选的,该装置还可以包括:
配置模块,用于针对远端路由,获得远端路由的标签;若远端路由的标签为合法标签,则针对远端路由接口的源地址,在路由表中配置同一个类别标识。
可选的,该装置还可以包括:
配置模块,用于若针对同一个源地址有多个虚拟局域网出接口,则将多个虚拟局域网出接口绑定到同一个合法检测组;针对一个合法检测组中源地址和多个虚拟局域网络出接口,在路由表中配置同一个类别标识。
应用本申请实施例的方案,获取待处理报文,根据待处理报文中携带的源地址,通过查询路由表,查询源地址对应的类别标识,利用访问控制列表,对查询得到的类别标识进行匹配,得到与该类别标识匹配的处理策略,利用匹配得到的处理策略,对待处理报文进行处理。其中,路由表中预先配置有源地址与类别标识之间多对一的对应关系;访问控制列表中记录有针对不同分类类别预先配置的处理策略。可见,在进行路由表配置时,配置多个源地址与一个类别标识对应,并且在进行访问控制列表配置时,配置不同分类类别的处理策略,也就是说,一种分类类别对应一种处理策略,且一种分类类别对应多个源地址。因此,访问控制列表中配置的处理策略对应的分类类别可以表征多个源地址,并不需要针对这些源地址单独配置处理策略,大大减少了访问控制列表的配置资源,并且结合路由表,能够准确确定出待处理报文对应的处理策略,从而实现了对报文的准确处理。
本申请实施例还提供了一种网络设备,如图5所示,包括处理器501和机器可读存储介质502,机器可读存储介质502存储有能够被处理器501执行的机器可执行的指令,指令由处理器501加载并执行:以实现本申请实施例所提供的报文处理方法。
上述机器可读存储介质可以包括ram(randomaccessmemory,随机存取存储器),也可以包括nvm(non-volatilememory,非易失性存储器),例如至少一个磁盘存储器。可选的,机器可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括cpu、np(networkprocessor,网络处理器)等;还可以是dsp(digitalsignalprocessor,数字信号处理器)、asic(applicationspecificintegratedcircuit,专用集成电路)、fpga(field-programmablegatearray,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本实施例中,处理器501通过读取机器可读存储介质502中存储的机器可执行的指令,通过加载并执行指令,能够实现:获取待处理报文,根据待处理报文中携带的源地址,通过查询路由表,查询源地址对应的类别标识,利用访问控制列表,对查询得到的类别标识进行匹配,得到与该类别标识匹配的处理策略,利用匹配得到的处理策略,对待处理报文进行处理。其中,路由表中预先配置有源地址与类别标识之间多对一的对应关系;访问控制列表中记录有针对不同分类类别预先配置的处理策略。可见,在进行路由表配置时,配置多个源地址与一个类别标识对应,并且在进行访问控制列表配置时,配置不同分类类别的处理策略,也就是说,一种分类类别对应一种处理策略,且一种分类类别对应多个源地址。因此,访问控制列表中配置的处理策略对应的分类类别可以表征多个源地址,并不需要针对这些源地址单独配置处理策略,大大减少了访问控制列表的配置资源,并且结合路由表,能够准确确定出待处理报文对应的处理策略,从而实现了对报文的准确处理。
另外,本申请实施例还提供了一种机器可读存储介质,机器可读存储介质内存储有机器可执行的指令,指令被处理器加载并执行,以实现本申请实施例所提供的报文处理方法。
本实施例中,机器可读存储介质存储有处理器在运行时执行本申请实施例所提供的报文处理方法的机器可执行的指令,因此能够实现:获取待处理报文,根据待处理报文中携带的源地址,通过查询路由表,查询源地址对应的类别标识,利用访问控制列表,对查询得到的类别标识进行匹配,得到与该类别标识匹配的处理策略,利用匹配得到的处理策略,对待处理报文进行处理。其中,路由表中预先配置有源地址与类别标识之间多对一的对应关系;访问控制列表中记录有针对不同分类类别预先配置的处理策略。可见,在进行路由表配置时,配置多个源地址与一个类别标识对应,并且在进行访问控制列表配置时,配置不同分类类别的处理策略,也就是说,一种分类类别对应一种处理策略,且一种分类类别对应多个源地址。因此,访问控制列表中配置的处理策略对应的分类类别可以表征多个源地址,并不需要针对这些源地址单独配置处理策略,大大减少了访问控制列表的配置资源,并且结合路由表,能够准确确定出待处理报文对应的处理策略,从而实现了对报文的准确处理。
本申请实施例的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述报文处理方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、dsl(digitalsubscriberline,数字用户线))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如软盘、硬盘、磁带)、光介质(例如dvd(digitalversatiledisc,数字多功能光盘))、或者半导体介质(例如ssd(solidstatedisk,固态硬盘))等。
对于网络设备、机器可读存储介质和计算机程序产品实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于网络设备、机器可读存储介质和计算机程序产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
- 还没有人留言评论。精彩留言会获得点赞!