URPF的配置方法、计算机程序产品及框式设备与流程

urpf的配置方法、计算机程序产品及框式设备
技术领域
1.本技术涉及网络通信技术领域，尤其涉及一种urpf的配置方法、计算机程序产品及框式设备。


背景技术：

2.单播反向路由查找技术(unicast reverse path forwarding，urpf)，是一种用于防止基于源地址欺骗的网络攻击行为的数据报文过滤技术。网络设备，如交换机、路由器等，通过在交换芯片的端口下配置urpf，实现对数据报文的过滤，从而防止基于源地欺骗的网络攻击。然而，交换芯片具有多样性，不同类型的交换芯片所支持的urpf模式不相同。对于包括多个交换芯片的框式设备来说，现有技术中尚未有如何针对框式设备配置urpf的方案。


技术实现要素：

3.本技术提供了一种urpf的配置方法、计算机程序产品及框式设备，提供了针对框式设备配置urpf的方案，弥补了现有技术的空白。
4.根据本技术实施例的第一方面，提供一种urpf的配置方法，应用于框式设备，所述框式设备支持数据报文三层协议转发，且包括至少一个板卡；所述板卡上安装有交换芯片，所述方法包括：
5.检测板卡上交换芯片的类型；
6.根据所述类型，确定所述板卡是否支持的urpf模式，所支持的urpf模式为支持基于三层端口配置urpf和/或基于二层端口配置urpf；
7.根据所支持的urpf模式，确定待配置urpf的目标端口，并执行配置流程。
8.根据本技术实施例的第二方面，提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现上述第一方面所述的方法。
9.根据本技术实施例的第三方面，提供一种框式设备，所述框式设备支持数据报文三层协议转发，包括：
10.主控板卡，包括处理器；
11.至少一个业务板卡，安装有交换芯片；
12.用于存储处理器可执行指令的存储器；
13.其中，所述处理器被配置为：
14.检测所述业务板卡上交换芯片的类型；
15.根据所述类型，确定所述业务板卡是否支持的urpf模式，所支持的urpf模式为支持基于三层端口配置urpf和/或基于二层端口配置urpf；
16.根据所支持的urpf模式，确定待配置urpf的目标端口，并执行配置流程。
17.根据本技术实施例的第四方面，提供一种计算机可读存储介质，其上存储有计算机指令，该指令被处理器执行时实现上述第一方面所述的方法。
18.本技术的实施例提供的技术方案可以包括以下有益效果：
19.本技术提供了一种urpf的配置方法、计算机程序产品及框式设备，通过根据板卡上交换芯片的类型，来确定板卡是否支持urpf模式，再根据所支持的urpf模式，确定待配置urpf的目标端口，并对目标端口执行配置流程，使得框式设备上不同类型的交换芯片采取不同的urpf配置，达到个性化配置的效果。
20.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本技术。
附图说明
21.此处的附图被并入说明书中并构成本技术的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。
22.图1a是本技术根据一示例性实施例示出的一种框式设备的硬件结构图。
23.图1b是本技术根据一示例性实施例示出的一种交换芯片的硬件结构图。
24.图2是本技术根据一示例性实施例示出的一种urpf配置方法的流程图。
25.图3a是本技术根据另一示例性实施例示出的一种框式设备的硬件结构图。
26.图3b是本技术根据一示例性实施例示出的一种交换芯片的硬件结构图。
27.图4a是本技术根据另一示例性实施例示出的数据报文处理的示意图。
28.图4b是本技术根据另一示例性实施例示出的数据报文处理的示意图。
29.图5a是本技术根据另一示例性实施例示出的人机交互界面的示意图。
30.图5b是本技术根据另一示例性实施例示出的人机交互界面的示意图。
31.图6是本技术根据另一示例性实施例示出的一种框式设备的硬件结构图。
具体实施方式
32.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
33.在本技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术。在本技术和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
34.应当理解，尽管在本技术可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
35.接下来对本技术实施例进行详细说明。
36.单播反向路由查找技术(unicast reverse path forwarding，urpf)，是一种用于防止基于源地址欺骗的网络攻击行为的数据报文过滤技术。通常情况下，网络设备，如交换
机、路由器等在接收到数据报文后，会根据报文的目的地址进行转发，转发过程中并不关心数据报文的源地址。由此，入侵者可以通过构造一系列带有伪造源地址的报文并向受害主机频繁发送这些伪造报文以攻击受害主机。为了防止基于源地址欺骗的网络攻击行为，网络设备通过配置urpf功能，以实现基于源地址的数据报文过滤是必不可少的。网络设备通常安装有交换芯片，可以在交换芯片的端口下配置urpf，以实现对数据报文的过滤。当端口接收到数据报文后，通过urpf检查数据报文中的源地址，并通过比对接收到该数据报文的端口与路由表中该源地址对应的端口是否一致，来确定该数据报文是否真实有效，从而执行转发或丢弃操作。
37.一些网络设备，如框式设备可以安装有多个交换芯片，如图1a所示的框式设备100有若干个插槽(图中未示出)，每个插槽可以插入一个板卡。框式设备100包括至少一个板卡110。作为一个示例性实施例，图1a示出的框式设备100包括三个板卡110，各板卡110共用统一的风扇和电源，并通过背板120连接，板卡110之间的数据通信通过背板120进行转发。各板卡110包括交换芯片111。如图1b所示，交换芯片111包括多种接口，如网络接口gige2_0、gige2_1为二层端口，即物理端口。这些二层端口所属的vlan接口为三层端口，即逻辑端口。交换芯片111还包括用于与背板连接的端口，如ieth2_26、ieth2_27等。
38.框式设备包括多个交换芯片，可以通过交换芯片实现urpf功能。但由于交换芯片的多样性，不同类型的交换芯片所支持的urpf模式不同。如果对框式设备中所有交换芯片都进行相同的urpf配置，那么必然导致部分交换芯片无法实现urpf功能。例如框式设备中的交换芯片1只支持基于二层端口配置urpf，而交换芯片2则支持三层端口配置urpf。不管对芯片1和芯片2统一配置为基于三层端口的urpf还是基于二层端口的urpf，芯片1和芯片2都无法同时正常实现urpf功能。为此，本技术提出的一种urpf的配置方法，应用于如图1a所示的框式设备100中，所述框式设备100支持数据报文三层协议转发，包括如图2所示的步骤：
39.步骤110：检测板卡上交换芯片的类型；
40.步骤120：根据所述类型，确定所述板卡是否支持的urpf模式，所支持的urpf模式为支持基于三层端口配置urpf和/或基于二层端口配置urpf；
41.步骤130：根据所支持的urpf模式，确定待配置urpf的目标端口，并执行配置流程。
42.框式设备上有若干个插槽，插槽可以插入一块板卡。由于交换芯片的多样性，不同板卡所支持的urpf模式可能并不相同。由此，通过检测交换芯片的类型，可以确定板卡是否支持urpf模式，再根据所支持的urpf模式，确定待配置urpf的目标端口，并对目标端口执行配置流程，使得框式设备上不同类型的交换芯片采取不同的urpf配置，达到个性化配置的效果。
43.其中，交换芯片的类型可以用型号表示。框式设备中可以以表项的形式预存有交换芯片的各个型号与所支持的urpf模式的对应关系。在检测交换芯片的型号后，可以根据该型号从预存的表项中查询该型号的交换芯片对应的urpf模式。所支持的urpf模式可以包括基于三层端口配置urpf、基于二层端口配置urpf、以及基于三层端口和二层端口配置urpf。
44.在确定出所支持的urpf模式后，可以确定出待配置urpf的目标端口。在板卡支持基于三层端口配置urpf和基于二层端口配置urpf的情况下，可以确定待配置urpf的目标端
口为三层端口；在板卡支持基于二层端口配置urpf的情况下，可以确定待配置urpf的目标端口为二层端口；在板卡支持基于三层端口配置urpf的情况下，确定待配置urpf的目标端口为三层端口。
45.在一些实施例中，如图3a所示，板卡310还可以包括处理器312，且如图3b所示，交换芯片311上的端口ieth2_24、ieth2_25分别与处理器312上的端口ieth10_30、ieth10_31相连。在一些情况下，板卡可能不支持urpf模式，即任何端口都无法配置urpf。此时，可以通过预先对交换芯片311上的二层端口gige2_0、gige2_1配置流定义，并通过处理器312模拟实现基于三层端口的urpf功能。具体地，如图4a所示，在默认情况下，二层端口gige2_0接收到数据报文后会经过另一个二层端口gige2_1进行转发，数据报文并不会上报到处理器。如图4b所示，当交换芯片311的二层端口配置了流定义后，经过二层端口gige2_0的报文会通过端口ieth2_24上报到处理器312进行处理。处理器312可以通过软件模拟urpf功能，来对上报的数据报文进行基于源地址的筛选，处理后数据报文经由端口ieth10_31返回到交换芯片311，并通过二层端口gige2_1进行转发。
46.在一些实施例中，不论板卡是否支持urpf模式，或支持何种urpf模式，都可以在交换芯片的二层端口中预先配置流定义，并通过板卡的处理器模拟实现基于三层端口的urpf功能。例如，当板卡支持基于二层端口配置urpf，那么可以选择在二层端口配置urpf，也可以选择在二层端口配置流定义，通过板卡处理器模拟urpf功能，以实现基于三层口的urpf功能。
47.在根据所支持的uprf模式，确定出待配置urpf的目标端口后，可以执行配置流程。在一些实施例中，可以在人机交互组件中显示目标端口，以供用户通过人机交互组件配置目标端口的urpf参数。当确定待配置urpf的目标端口为二层端口时，则可以在页面上显示可配置的二层端口。作为一实施例，可以在人机交互组件中显示如图5a的基于端口配置urpf模式表格，其中，表格的端口选择框中可以显示有目标端口，如gige0_2。当确定待配置urpf的目标端口为三层端口时，则可以在页面上显示可配置的三层端口。作为一实施例，可以在人机交互组件中显示如图5b的基于三层口配置urpf模式表格，其中，表格的端口选择框中可以显示有显示有目标端口，如vlan
‑
if1。
48.在一些实施例中，用户在人机交互组件中所配置的urpf参数可以包括松散型urpf、严格型urpf或者代表不对目标端口进行urpf配置的参数。如在图5a、b中，可以对不同的端口设置松散型urpf和严格型urpf，也可以不对端口设置urpf。
49.在一些实施例中，当板卡有插拔动作时，可能是技术人员更换板卡。因此可以检测板卡是否重新上电，当板卡重新上电时，则重新检测板卡上交换芯片的类型，并根据类型判断是否需要对交换芯片重新配置urpf。
50.上述实施例为本技术提供的一种urpf配置方法应用在框式设备上的实施例。在另外的一些实施例中，本技术提供的方法还可以应用于盒式设备。与框式设备不同的是，盒式设备中只有一个交换芯片。在检测盒式设备中交换芯片的类型后，可以确定板卡所支持的urpf模式，并根据所支持的urpf模式确定出目标端口，从而对目标端口执行配置流程。具体的实施流程参见上文实施例，本技术在此不再赘述。
51.本技术提供了一种urpf的配置方法，通过根据板卡上交换芯片的类型，来确定板卡是否支持urpf模式，再根据所支持的urpf模式，确定待配置urpf的目标端口，并对目标端
口执行配置流程，使得框式设备上不同类型的交换芯片采取不同的urpf配置，达到个性化配置的效果。
52.基于上述任意实施例所述的一种urpf的配置方法，本技术还提供了一种计算机程序产品，包括计算机程序，计算机程序被处理器执行时实现上述任意实施例所述的一种urpf的配置方法
53.基于上述任意实施例所述的一种urpf的配置方法，本技术还提供了如图6所示的一种框式设备的结构示意图。框式设备600包括主控板卡610、若干个业务板卡620(图中示出为2个业务板卡)以及背板630。主控板卡610用于管理与监控所有业务板卡620的业务，包括处理器611。本技术提供的urpf配置方法，可以由主控板卡610的处理器611执行。主控板卡610和各业务板卡620通过背板630连接，各板卡之间的数据通信通过背板630进行转发。业务板卡620包括交换芯片621以及处理器622。当然框式设备600还可能包括其他业务所需要的硬件。主控板卡610的处理器611从非易失性存储器中读取对应的计算机程序到内存中然后运行，以实现上述任意实施例所述的urpf的配置方法。
54.本技术还提供了一种计算机存储介质，存储介质存储有计算机程序，计算机程序被处理器执行时可用于执行上述任意实施例所述的urpf的配置方法。
55.上述对本技术特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
56.本领域技术人员在考虑说明书及实践这里申请的发明后，将容易想到本技术的其它实施方案。本技术旨在涵盖本技术的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本技术的一般性原理并包括本技术未申请的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本技术的真正范围和精神由下面的权利要求指出。