报文校验方法、装置、相关设备及存储介质与流程
本技术涉及通信,尤其涉及一种报文校验方法、装置、相关设备及存储介质。
背景技术:
1、相关技术中,基于互联网协议第六版(ipv6,internet protocol version 6)的段路由(srv6,segment routing ipv6)的软件定义广域网(sd-wan,software defined widearea network)存在网络安全风险。
技术实现思路
1、为解决相关技术问题,本技术实施例提供一种报文校验方法、装置、相关设备及存储介质。
2、本技术实施例的技术方案是这样实现的:
3、本技术实施例提供了一种报文校验方法,应用于第一节点,所述方法包括:
4、基于第一数据表,校验第一报文;其中,
5、所述第一数据表以令牌为索引,存储有至少一条报文转发路径中的每条报文转发路径对应的第一信息;所述令牌基于对应的报文转发路径映射得到。
6、上述方案中,所述第一信息包括以下至少之一:
7、对应的报文转发路径在所述第一节点对应的入接口号;
8、对应的报文转发路径在所述第一节点对应的下一跳(nh,next hop)地址。
9、上述方案中,所述方法还包括:
10、在所述第一报文的校验结果满足以下条件至少之一的情况下,丢弃所述第一报文:
11、所述第一报文未携带令牌;
12、所述第一报文携带第一令牌,且所述第一数据表中不存在所述第一令牌;
13、所述第一报文携带第一令牌,所述第一数据表中存在所述第一令牌,且第一入接口号与第二入接口号不匹配;所述第一入接口号表征由所述第一令牌索引到的第一信息中的入接口号;所述第二入接口号表征所述第一报文在所述第一节点对应的入接口号;
14、所述第一报文携带第一令牌,所述第一数据表中存在所述第一令牌,且第一下一跳地址与第二下一跳地址不匹配;所述第一下一跳地址表征由所述第一令牌索引到的第一信息中的下一跳地址;所述第二下一跳地址表征所述第一报文在所述第一节点对应的下一跳地址。
15、上述方案中,所述方法还包括:
16、基于所述第一报文携带的第一令牌,在所述第一数据表中确定所述第一报文的下一跳地址;其中,
17、所述第一报文的下一跳地址是由所述第一令牌索引到的第一信息中的下一跳地址。
18、上述方案中,所述第一令牌由所述第一报文的段列表(segmentlist)映射得到。
19、上述方案中,所述第一报文携带的第一令牌封装于所述第一报文的段路由头(srh,segment routing header)中。
20、上述方案中,所述方法还包括:
21、接收边界网关协议(bgp,border gateway protocol)设备下发的第二信息;所述第二信息包括第二令牌和第二报文的段列表;
22、将第二报文的报文转发路径对应的第一信息写入所述第一数据表;其中,
23、所述第二报文的报文转发路径对应的第一信息在所述第一数据表中以所述第二令牌为索引;所述第二报文的报文转发路径对应的第一信息由所述第二报文的段列表确定出。
24、上述方案中,所述第一节点包括提供商边缘(pe,provider edge)设备和/或入网点(pop,point-of-presence)。
25、本技术实施例还提供了一种报文校验方法,应用于客户终端设备(cpe,customerpremise equipment),所述方法包括:
26、向第一节点发送第一报文;其中,
27、所述第一节点包括pe设备或pop,用于基于第一数据表校验所述第一报文;所述第一数据表以令牌为索引,存储有至少一条报文转发路径中的每条报文转发路径对应的第一信息;所述令牌基于对应的报文转发路径映射得到。
28、上述方案中,所述第一信息包括以下至少之一:
29、对应的报文转发路径在所述第一节点对应的入接口号;
30、对应的报文转发路径在所述第一节点对应的下一跳地址。
31、上述方案中,所述第一报文至少携带第一令牌,还携带第二入接口号和/或指针(sl,segment left);其中,
32、所述第二入接口号表征所述第一报文在所述第一节点对应的入接口号;
33、所述sl用于供所述第一节点确定第二下一跳地址;所述第二下一跳地址表征所述第一报文在所述第一节点对应的下一跳地址。
34、上述方案中,所述第一令牌封装于所述第一报文的srh中。
35、本技术实施例还提供了一种报文校验方法,应用于bgp设备,所述方法包括:
36、向第一节点下发第二信息;其中,
37、所述第二信息包括第二令牌和第二报文的段列表;所述第二信息用于供所述第一节点将第二报文的报文转发路径对应的第一信息写入第一数据表;
38、所述第一数据表以令牌为索引,存储有至少一条报文转发路径中的每条报文转发路径对应的第一信息;令牌基于对应的报文转发路径映射得到;
39、所述第二报文的报文转发路径对应的第一信息在所述第一数据表中以所述第二令牌为索引;所述第二报文的报文转发路径对应的第一信息由所述第二报文的段列表确定出。
40、上述方案中,所述第一信息包括以下之一:
41、对应的报文转发路径在所述第一节点对应的入接口号;
42、对应的报文转发路径在所述第一节点对应的下一跳地址。
43、上述方案中,所述方法还包括:向cpe下发所述第二信息;其中,所述第二信息用于供所述cpe封装所述第二报文。
44、上述方案中,所述第一节点包括pe设备和/或pop。
45、本技术实施例还提供了一种报文校验装置,包括:
46、校验单元,用于基于第一数据表,校验第一报文;其中,
47、所述第一数据表以令牌为索引,存储有至少一条报文转发路径中的每条报文转发路径对应的第一信息;所述令牌基于对应的报文转发路径映射得到。
48、本技术实施例还提供了一种报文校验装置,包括:
49、第一发送单元,用于向第一节点发送第一报文;其中,
50、所述第一节点包括pe设备或pop,用于基于第一数据表校验所述第一报文;所述第一数据表以令牌为索引,存储有至少一条报文转发路径中的每条报文转发路径对应的第一信息;所述令牌基于对应的报文转发路径映射得到。
51、本技术实施例还提供了一种报文校验装置,包括:
52、第二发送单元,用于向第一节点下发第二信息;其中,
53、所述第二信息包括第二令牌和第二报文的段列表;所述第二信息用于供所述第一节点将第二报文的报文转发路径对应的第一信息写入第一数据表;
54、所述第一数据表以令牌为索引,存储有至少一条报文转发路径中的每条报文转发路径对应的第一信息;令牌基于对应的报文转发路径映射得到;
55、所述第二报文的报文转发路径对应的第一信息在所述第一数据表中以所述第二令牌为索引;所述第二报文的报文转发路径对应的第一信息由所述第二报文的段列表确定出。
56、本技术实施例还提供了一种网络设备,包括第一处理器和第一通信接口,其中,
57、所述第一处理器,用于基于第一数据表,校验第一报文;其中,
58、所述第一数据表以令牌为索引,存储有至少一条报文转发路径中的每条报文转发路径对应的第一信息;所述令牌基于对应的报文转发路径映射得到。
59、本技术实施例还提供了一种客户终端设备,包括第二处理器和第二通信接口,其中,
60、所述第二通信接口,用于向第一节点发送第一报文;其中,
61、所述第一节点包括pe设备或pop,用于基于第一数据表校验所述第一报文;所述第一数据表以令牌为索引,存储有至少一条报文转发路径中的每条报文转发路径对应的第一信息;所述令牌基于对应的报文转发路径映射得到。
62、本技术实施例还提供了一种网络设备,包括第三处理器和第三通信接口,其中,
63、所述第三通信接口,用于向第一节点下发第二信息;其中,
64、所述第二信息包括第二令牌和第二报文的段列表;所述第二信息用于供所述第一节点将第二报文的报文转发路径对应的第一信息写入第一数据表;
65、所述第一数据表以令牌为索引,存储有至少一条报文转发路径中的每条报文转发路径对应的第一信息;令牌基于对应的报文转发路径映射得到;
66、所述第二报文的报文转发路径对应的第一信息在所述第一数据表中以所述第二令牌为索引;所述第二报文的报文转发路径对应的第一信息由所述第二报文的段列表确定出。
67、本技术实施例还提供了一种网络设备,包括第一处理器和用于存储能够在第一处理器上运行的计算机程序的第一存储器,
68、其中,所述第一处理器用于运行所述计算机程序时,执行上述第一节点侧任一项所述方法的步骤。
69、本技术实施例还提供了一种客户终端设备,包括第二处理器和用于存储能够在第二处理器上运行的计算机程序的第二存储器,
70、其中,所述第二处理器用于运行所述计算机程序时,执行上述cpe侧任一项所述方法的步骤。
71、本技术实施例还提供了一种网络设备,包括第三处理器和用于存储能够在第三处理器上运行的计算机程序的第三存储器,
72、其中,所述第三处理器用于运行所述计算机程序时,执行上述bgp设备侧任一项所述方法的步骤。
73、本技术实施例还提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一节点侧任一项所述方法的步骤,或实现上述cpe侧任一项所述方法的步骤,或实现上述bgp设备侧任一项所述方法的步骤。
74、在本技术实施例提供的报文校验方法、装置、相关设备及存储介质中,cpe向第一节点发送第一报文,第一节点基于第一数据表,校验第一报文;其中,所述第一数据表以令牌为索引,存储有至少一条报文转发路径中的每条报文转发路径对应的第一信息;所述令牌基于对应的报文转发路径映射得到。上述方案,每个第一节点均可基于第一数据表校验接收到的第一报文的合法性,从而降低网络安全风险,并且第一数据表以令牌为索引,可以降低第一数据表的维护难度,第一节点可以基于令牌查询第一数据表中每条转发路径对应的第一信息,不需要利用段标识(sid,segment identify)来检索或比较路径信息,可以降低运算量和节省查询时间,从而降低硬件部署实现难度。
- 还没有人留言评论。精彩留言会获得点赞!