通信方法及装置与流程

本申请涉及通信，尤其涉及一种通信方法及装置。

背景技术：

1、当前，云计算的快速发展对广域网提出了新的挑战。sd-wan作为重构广域网的核心技术，通过自动部署、集中控制、智能调度及可视化等手段，加速网络交付，优化应用体验，提高带宽利用率，简化网络运维，满足了云计算对广域网的需求。

2、智能调度是新一代广域网的关键能力，其对应用质量的保障、带宽资源的优化非常重要。现有的mpls及rsvp-te等流量工程技术可以满足应用对带宽的差异化保障需求，但存在协议种类多、部署复杂、管理困难、可扩展性差等问题，无法满足新一代广域网所要求的动态部署、灵活调度、快速、可扩展等方面的要求。因此，提出了一种新技术，即，段路由(英文：segment routing，简称：sr)。

3、sr采用源节点路径选择机制，预先在源节点处封装转发路径所要经过段的段标识(英文：segment identifier，简称：sid)。当业务报文经过sr节点时，sr节点根据业务报文包括的sid对其进行转发。除源节点外，转发路径上的其它节点均无需维护路径状态。

4、ipv6段路由(英文：segment routing ipv6，简称：srv6)是指基于ipv6转发平面实现sr。通过在ipv6报文内新增一srv6扩展头(英文：segment routing header，简称：srh)，并在srh内存储sid列表(sid list)以显式指定ipv6报文的转发路径。srv6为sd-wan网络提供了一种灵活高效的控制手段，具有部署简单、容易扩展的特点，能够更好地实现流量调度和路径优化，保障关键业务质量、均衡流量分布、提高专线利用率和降低线路成本的优势。

5、在srv6网络中，业务报文在网络的任意位置均存在被劫持或被篡改的风险。由于业务报文穿越srv6网络时，业务报文的源地址不会发生改变。基于此，在srv6域的出口节点或目的业务所在的运营商边缘设备上验证源地址，以识别业务报文是否合法，仅有来自授信设备的业务报文才允许转发。

6、如图1所示，图1为现有srv6 sdwan overlay组网示意图。在正常情况下，经c-pe1接入的用户站点(英文：client network，简称：cn)1内的终端设备仅可与从其他c-pe接入的cn1的终端设备通信，与其他cn之间的业务相互隔离，业务报文不能相互转发。

7、但是，若c-pe被劫持、误配置或误连接，则在转发业务报文时，可能将业务报文的目的地址更改为不正确的地址，导致原本应相互隔离的业务互访。例如，接入c-pe1的cn1向接入c-pe2的cn1发送业务报文。c-pe1将该业务报文的目的地址更改为接入c-pe4的cn3的业务sid。当业务报文到达ip骨干网的入口pe时，入口pe根据bsid绑定的路径引导业务报文。入口pe将业务报文转发至c-pe4。若接入c-pe4的cn3恰好存在匹配的业务sid，则业务报文转发至cn3内。对于应该完全隔离的cn来说，这是一个非常严重的安全漏洞。

技术实现思路

1、有鉴于此，本申请提供了一种通信方法及装置，用以解决现有endpoint节点被劫持、误配置或误连接并转发业务报文时，将业务报文的目的地址更改为不正确的地址，导致原本应相互隔离的业务互访的问题。

2、第一方面，本申请提供了一种通信方法，所述方法应用于第一网络设备，所述第一网络设备处于srv6组网中，所述第一网络设备内已建立源验证表，组成所述源验证表的源验证表项包括源业务地址，所述方法包括：

3、当所述第一网络设备为转发路径中的出口节点时，接收第一业务报文，所述第一业务报文包括第一原始业务报文，所述第一原始业务报文包括第一源地址以及第一目的地址；

4、若所述第一源地址与所述源验证表项包括的源业务地址匹配，则根据所述第一目的地址，向第一用户网络转发所述第一原始业务报文。

5、第二方面，本申请提供了一种通信装置，所述装置应用于第一网络设备，所述第一网络设备处于srv6组网中，所述第一网络设备内已建立源验证表，组成所述源验证表的源验证表项包括源业务地址，所述装置包括：

6、接收单元，用于当所述第一网络设备为转发路径中的出口节点时，接收第一业务报文，所述第一业务报文包括第一原始业务报文，所述第一原始业务报文包括第一源地址以及第一目的地址；

7、发送单元，用于若所述第一源地址与所述源验证表项包括的源业务地址匹配，则根据所述第一目的地址，向第一用户网络转发所述第一原始业务报文。

8、第三方面，本申请提供了一种网络设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令，处理器被机器可执行指令促使执行本申请第一方面所提供的方法。

9、因此，应用本申请提供的通信方法及装置，当第一网络设备为转发路径中的出口节点时，第一网络设备接收第一业务报文，该第一业务报文包括第一原始业务报文，第一原始业务报文包括第一源地址以及第一目的地址；若第一源地址与源验证表项包括的源业务地址匹配，则第一网络设备根据第一目的地址，向第一用户网络转发第一原始业务报文。

10、如此，在srv6组网的出口节点处对原始业务报文的源地址进行验证，过滤来自未授信的用户网络的业务报文，可更精准地防御地址欺骗攻击。利用源验证表，出口节点仅允许来自可信用户网络的流量通过。同时，也解决了现有endpoint节点被劫持、误配置或误连接并转发业务报文时，将业务报文的目的地址更改为不正确的地址，导致原本应相互隔离的业务互访的问题。

技术特征：

1.一种通信方法，其特征在于，所述方法应用于第一网络设备，所述第一网络设备处于srv6组网中，所述第一网络设备内已建立源验证表，组成所述源验证表的源验证表项包括源业务地址，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述第一业务报文还包括srv6报文头，所述srv6报文头包括ipv6基本头；

3.根据权利要求2所述的方法，其特征在于，所述源验证表项还包括目的业务地址；

4.根据权利要求3所述的方法，其特征在于，所述源验证表项还包括srv6隧道源地址；

5.根据权利要求2所述的方法，其特征在于，所述ipv6基本头还包括第二目的地址；

6.根据权利要求1所述的方法，其特征在于，所述接收第一业务报文之前，所述方法还包括：

7.根据权利要求1所述的方法，其特征在于，所述接收第一业务报文之前，所述方法还包括：

8.根据权利要求6所述的方法，其特征在于，所述第二配置指令还包括目的业务地址以及srv6隧道源地址；所述源验证表项还包括所述目的业务地址以及所述srv6隧道源地址。

9.根据权利要求7所述的方法，其特征在于，所述bgp路由还包括下一跳信息；

10.根据权利要求1所述的方法，其特征在于，所述方法还包括：

11.一种通信装置，其特征在于，所述装置应用于第一网络设备，所述第一网络设备处于srv6组网中，所述第一网络设备内已建立源验证表，组成所述源验证表的源验证表项包括源业务地址，所述装置包括：

技术总结
本申请提供一种通信方法及装置，所述方法应用于第一网络设备，所述第一网络设备处于SRv6组网中，所述第一网络设备内已建立源验证表，组成所述源验证表的源验证表项包括源业务地址，所述方法包括：当所述第一网络设备为转发路径中的出口节点时，接收第一业务报文，所述第一业务报文包括第一原始业务报文，所述第一原始业务报文包括第一源地址以及第一目的地址；若所述第一源地址与所述源验证表项包括的源业务地址匹配，则根据所述第一目的地址，向第一用户网络转发所述第一原始业务报文。

技术研发人员：邱元香
受保护的技术使用者：新华三技术有限公司
技术研发日：
技术公布日：2024/1/15