一种慢协议报文处理方法及相关装置制造方法及图纸

本发明专利技术实施例提供了一种慢协议报文处理方法及相关装置，所述方法包括：网络设备接收第一慢协议报文，所述第一慢协议报文携带所述第一慢协议报文的发送端设备的设备信息；所述网络设备根据接收所述第一慢协议报文的所述网络设备的端口的端口信息确定所述网络设备与所述发送端设备之间已完成协商过程，根据所述第一慢协议报文携带的所述发送端设备的设备信息，查找所述网络设备在协商过程中存储的设备信息库中是否包括所述发送端设备的设备信息；响应于所述设备信息库包括所述发送端设备的设备信息的结果，所述网络设备将所述第一慢协议报文认定为合法报文。可见，本发明专利技术实施例提供了一种对慢协议报文的验证方式，从而能够提高安全性。

A slow protocol message processing method and related devices

The embodiment of the invention provides a slow protocol message processing method and related devices. The method includes: the network device receives the first slow protocol message, the first slow protocol message carries the device information of the sending end device of the first slow protocol message, and the network device is based on the received first slow protocol message. The port information of the port of the network device determines that a negotiation process has been completed between the network device and the sending end device, and according to the device information of the sending end device carried by the first slow protocol message, find out whether the network device is included in the standby information base stored in the negotiation process whether the transmission end is included. Equipment information; the network device identifies the first slow protocol message as a legitimate message in response to the result of the device information of the device information base including the sending end device. It can be seen that the embodiment of the invention provides a verification method for slow protocol packets, thereby improving the security.

【技术实现步骤摘要】
一种慢协议报文处理方法及相关装置
本专利技术实施例涉及通信
，尤其是涉及一种慢协议报文处理方法及相关装置。
技术介绍
在通信
中，慢协议(英文：SlowProtocol)的协议报文具有以下特征：协议报文的目的媒体访问控制(英文：MediaAccessControl，简称:MAC)地址使用慢协议组播地址(英文：Slow_Protocols_Multicastaddress)，慢协议组播地址的值为01-80-c2-00-00-02；协议报文的类型域的值为8809。目前，基于慢协议时，本端设备和对端设备通常会在处于协商过程中建立通信链路，并且为了维持该通信链路，本端设备和对端设备在协商过程之后，处于工作过程中互相发送协议报文。本端设备或者对端设备接收到协议报文之后，会根据协议报文中指示的链路信息触发相应的操作，例如根据链路故障信息触发故障处理操作等等。然而，上述工作过程中存在一定的安全隐患，在本端设备和对端设备处于工作过程中，攻击者可以控制其中一个设备构造协议报文，指示接收到协议报文的设备执行错误的动作，例如在通信链路正常时触发链路故障处理等。可见，如何解决上述安全隐患从而提高安全性，是目前亟待解决技术问题。
技术实现思路
本专利技术实施例解决的技术问题在于提供一种慢协议报文处理方法及相关装置，以实现在基于慢协议处理协议报文时，能够解决安全隐患从而提高安全性。为此，本专利技术实施例解决技术问题的技术方案是：第一方面，提供了一种慢协议报文处理方法，所述方法包括，网络设备从第一端口接收第一慢协议报文，所述第一慢协议报文携带所述第一慢协议报文的发送端设备的设备信息。所述网络设备根据该第一端口的端口信息确定所述网络设备与所述发送端设备之间已完成协商过程，根据所述发送端设备的设备信息，查找所述网络设备在协商过程中存储的设备信息库中是否包括所述发送端设备的设备信息。如果所述设备信息库包括所述发送端设备的设备信息，则所述网络设备将所述第一慢协议报文认定为合法报文。基于实施例提供的方案，提供了一种对慢协议报文的验证方式，只有当慢协议报文验证成功时，才会认定为合法报文，因此能够解决安全隐患从而提高安全性。可选的，其中，所述第一慢协议报文中还携带链路信息，所述链路信息用于指示所述网络设备与所述发送端设备之间的链路的链路状态；如果所述设备信息库包括所述发送端设备的设备信息，所述网络设备将所述第一慢协议报文认定为合法报文，所述网络设备根据所述链路信息触发第一操作；其中，所述第一操作包括以下操作中的至少一种：链路重连操作和故障处理操作。可选的，其中，所述第一慢协议报文中还携带所述发送端设备在工作过程的配置信息，所述发送端设备在工作过程的配置信息与所述发送端设备在协商过程的配置信息不同；如果所述设备信息库包括所述发送端设备的设备信息，所述网络设备将所述第一慢协议报文认定为合法报文，所述网络设备根据所述发送端设备在工作过程的配置信息触发第二操作；其中，所述第二操作包括：链路重连操作。可选的，如果所述设备信息库不包括所述发送端设备的设备信息，则所述网络设备将所述第一慢协议报文认定为非法报文。可选的，如果所述设备信息库不包括所述发送端设备的设备信息，所述网络设备将所述第一慢协议报文认定为非法报文，并且所述网络设备丢弃所述第一慢协议报文。基于上述实现方式，防止非法的远端网络设备通过慢协议报文与本端网络设备进行通信。可选的，所述方法还包括，当所述网络设备在预设周期内接收到的来自所述发送端设备的非法报文的数量大于或等于预设阈值，触发告警操作。基于上述实现方式，有助于解决非法的远端网络设备大量发送非法的慢协议报文而造成网络拥塞的问题。可选的，在所述网络设备从所述第一端口接收第一慢协议报文之前，所述网络设备从所述第一端口接收第二慢协议报文，所述第二慢协议报文携带所述第二慢协议报文的发送端设备的设备信息，所述第二慢协议报文为协商报文。所述网络设备确定所述网络设备与所述发送端设备已完成协商过程，在所述设备信息库中存储所述第二慢协议报文携带的所述发送端设备的设备信息。可选的，所述网络设备可以工作在主动模式下。其中，所述网络设备获取所述网络设备的配置信息与所述第二慢协议报文的发送端设备的配置信息的匹配结果。然后，所述网络设备根据所述匹配结果，确定所述网络设备的配置信息与第二慢协议报文的发送端设备的配置信息相匹配，以便所述网络设备确定所述网络设备与所述发送端设备已完成协商过程。可选的，所述网络设备可以工作在被动模式下。在所述网络设备确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程中，所述网络设备接收所述第二慢协议报文的发送端设备发送的第三慢协议报文，所述第三慢协议报文中携带所述网络设备的配置信息和所述第二慢协议报文的发送端设备的配置信息。进一步可选的，所述第二慢协议报文还携带所述第二慢协议报文的发送端设备的配置信息。其中，网络设备根据所述网络设备的配置信息和所述第二慢协议报文中携带的所述发送端设备的配置信息，确定所述网络设备和所述第二慢协议报文的发送端设备之间的活动接口；所述网络设备根据所述第二慢协议报文的发送端设备确定的活动接口，确定所述网络设备确定的活动接口与所述第二慢协议报文的发送端设备确定的活动接口一致，以便所述网络设备确定所述网络设备与所述发送端设备已完成协商过程。第二方面，提供了一种网络设备，所述网络设备包括接收单元和处理单元。其中，所述接收单元，用于从第一端口接收第一慢协议报文，所述第一慢协议报文携带所述第一慢协议报文的发送端设备的设备信息。所述处理单元，用于根据该第一端口的端口信息确定所述网络设备与所述发送端设备之间已完成协商过程，并且，根据所述发送端设备的设备信息，查找所述网络设备在协商过程中存储的设备信息库中是否包括所述发送端设备的设备信息。如果所述设备信息库包括所述发送端设备的设备信息，则将所述第一慢协议报文认定为合法报文。基于实施例提供的方案，提供了一种对慢协议报文的验证方式，只有当慢协议报文验证成功时，才会认定为合法报文，因此能够解决安全隐患从而提高安全性。可选的，其中，所述第一慢协议报文中还携带链路信息，所述链路信息用于指示所述网络设备与所述发送端设备之间的链路的链路状态。所述处理单元还用于，如果所述设备信息库包括所述发送端设备的设备信息，将所述第一慢协议报文认定为合法报文，并根据所述链路信息触发第一操作。其中，所述第一操作包括以下操作中的至少一种：链路重连操作和故障处理操作。可选的，其中，所述第一慢协议报文中还携带所述发送端设备在工作过程的配置信息，所述发送端设备在工作过程的配置信息与所述发送端设备在协商过程的配置信息不同。所述处理单元还用于，如果所述设备信息库包括所述发送端设备的设备信息，将所述第一慢协议报文认定为合法报文，并根据所述发送端设备在工作过程的配置信息触发第二操作。其中，所述第二操作包括：链路重连操作。可选的，所述处理单元还用于，如果所述设备信息库不包括所述发送端设备的设备信息，则将所述第一慢协议报文认定为非法报文。可选的，所述处理单元还用于，如果所述设备信息库不包括所述发送端设备的设备信息，将所述第一慢协议报文认定为非法报文，并且丢弃所述第一慢协议报文。基于上述实现方式，防止非法的远端网络设本文档来自技高网...

【技术保护点】
1.一种慢协议报文处理方法，其特征在于，所述方法包括：网络设备接收第一慢协议报文，所述第一慢协议报文携带所述第一慢协议报文的发送端设备的设备信息；所述网络设备根据接收所述第一慢协议报文的所述网络设备的端口的端口信息确定所述网络设备与所述发送端设备之间已完成协商过程，根据所述第一慢协议报文携带的所述发送端设备的设备信息，查找所述网络设备在协商过程中存储的设备信息库中是否包括所述发送端设备的设备信息；响应于所述设备信息库包括所述发送端设备的设备信息的结果，所述网络设备将所述第一慢协议报文认定为合法报文。

【技术特征摘要】
1.一种慢协议报文处理方法，其特征在于，所述方法包括：网络设备接收第一慢协议报文，所述第一慢协议报文携带所述第一慢协议报文的发送端设备的设备信息；所述网络设备根据接收所述第一慢协议报文的所述网络设备的端口的端口信息确定所述网络设备与所述发送端设备之间已完成协商过程，根据所述第一慢协议报文携带的所述发送端设备的设备信息，查找所述网络设备在协商过程中存储的设备信息库中是否包括所述发送端设备的设备信息；响应于所述设备信息库包括所述发送端设备的设备信息的结果，所述网络设备将所述第一慢协议报文认定为合法报文。2.根据权利要求1所述的方法，其特征在于，其中，所述第一慢协议报文中还携带链路信息，所述链路信息用于指示所述网络设备与所述发送端设备之间的链路的链路状态；在响应于所述设备信息库包括所述发送端设备的设备信息的结果，所述网络设备将所述第一慢协议报文认定为合法报文后，所述方法还包括：所述网络设备根据所述链路信息触发第一操作；其中，所述第一操作包括以下操作中的至少一种：链路重连操作和故障处理操作。3.根据权利要求1所述的方法，其特征在于，其中，所述第一慢协议报文中还携带所述发送端设备在工作过程的配置信息，所述发送端设备在工作过程的配置信息与所述发送端设备在协商过程的配置信息不同；在响应于所述设备信息库包括所述发送端设备的设备信息的结果，所述网络设备将所述第一慢协议报文认定为合法报文后，所述方法还包括：所述网络设备根据所述发送端设备在工作过程的配置信息触发第二操作；其中，所述第二操作包括：链路重连操作。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：响应于所述设备信息库不包括所述发送端设备的设备信息的结果，所述网络设备将所述第一慢协议报文认定为非法报文。5.根据权利要求4所述的方法，其特征在于，在响应于所述设备信息库不包括所述发送端设备的设备信息的结果，所述网络设备将所述第一慢协议报文认定为非法报文后，所述方法还包括：所述网络设备丢弃所述第一慢协议报文。6.根据权利要求4所述的方法，其特征在于，所述方法还包括：当所述网络设备在预设周期内接收到的来自所述发送端设备的非法报文的数量大于或等于预设阈值，触发告警操作。7.根据权利要求1所述的方法，其特征在于，所述网络设备接收第一慢协议报文之前，所述方法还包括：所述网络设备接收第二慢协议报文，所述第二慢协议报文携带所述第二慢协议报文的发送端设备的设备信息，所述第二慢协议报文为协商报文；所述网络设备确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程，在所述设备信息库中存储所述第二慢协议报文携带的所述发送端设备的设备信息。8.根据权利要求7所述的方法，其特征在于，所述网络设备工作在主动模式下；所述网络设备确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程，包括:所述网络设备获取所述网络设备的配置信息与所述第二慢协议报文的发送端设备的配置信息的匹配结果；所述网络设备根据所述匹配结果，确定所述网络设备的配置信息与第二慢协议报文的发送端设备的配置信息相匹配。9.根据权利要求7所述的方法，其特征在于，所述网络设备工作在被动模式下；所述网络设备确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程，包括:所述网络设备接收所述第二慢协议报文的发送端设备发送的第三慢协议报文，所述第三慢协议报文中携带所述网络设备的配置信息和所述第二慢协议报文的发送端设备的配置信息。10.根据权利要求7所述的方法，其特征在于，所述第二慢协议报文还携带所述第二慢协议报文的发送端设备的配置信息；所述网络设备确定出所述网络设备与所述第二慢协议报文的发送端设备已完成协商状态过程，包括:网络设备根据所述网络设备的配置信息和所述第二慢协议报文中携带的所述发送端设备的配置信息，确定所述网络设备和所述第二慢协议报文的发送端设备之间的活动接口；所述网络设备根据所述第二慢协议报文的发送端设备确定的活动接口，确定所述网络设备确定的活动接口与所述第二慢协议报文的发送端设备确定的活动接口一致。11.根据权利要求1至10任一项所述的方法，其特征在于，所述网络设备和所述第一慢协议报文的发送端设备直接连接或者通过透传设备相连。12.根据权利要求1至10任一项所述的方法，其特征在于，所述第一慢协议报文的目的媒体接入控制MAC地址的值为01-80-c2-00-00-02，所述第一慢协议报文的类型域的值为8809。13.根据权利要求1至10任一项所述的方法，其特征在于，所述第一慢协议报文为操作、管理和维护OAM协议报文，所述第一慢协议报文的发送端设备的设备信息包括：所述第一慢协议报文的源地址SourceAddress域指示的信息和组织唯一标识符OUI域指示的信息中的一个或多个；或者，所述第一慢协议报文为Marker协议报文或者链路汇聚控制协议LACP报文，所述第一慢协议报文的发送端设备的设备信息包括：所述第一慢协议报文的源地址SourceAddress域指示的信息和Actor_system域指示的信息中的一个或多个。14.一种网络设备，其特征在于，所述网络设备包括：接收单元，用于接收第一慢协议报文，所述第一慢协议报文携带所述第一慢协议报文的发送端设备的设备信息；处理单元，用于根据接收所述第一慢协议报文的所述网络设备的端口的端口信息确定所述网络设备与所述发送端设备之间已完成协商过程，根据所述第一慢协议报文携带的所述发送端设备的设备信息，查找所述网络设备在协商过程中存储的设备信息库中是否包括所述发送端设备的设备信息，响应于所述设备信息库包括所述发送端设备的设备信息的结果，将所述第一慢协议报文认定为合法报文。15.根据权利要求14所述的网络设备，其特征在于，其中，所述第一慢协议报文中还携带链路信息，所述链路信息用于指示所述网络设备与所述发送端设备之间的链路的链路状态；所述处理单元还用于，在响应于所述设备信息库包括所述发送端设备的设备信息的结果，将所述第一慢协议报文认定为合法报文后，根据所述链路信息触发第一操作；其中，所述第一操作包括以下操作中的至少一种：链路重连操作和故障处理操作。16.根据权利要求14所述的网络设备，其特征在于，其中，所述第一慢协议报文中还携带所述发送端设备在工作过程的配置信息，所述发送端设备在工作过程的配置信息与所述发送端设备在协商过程的配置信息不同；所述处理单元还用于，在响应于所述设备信息库包括所述发送端设备的设备信息的结果，将所述第一慢协议报文认定为合法报文后，根据所述发送端设备在工作过程的配置信息触发第二操作；其中，所述第二操作包括：链路重连操作。17.根据权利要求14所述的网络设备，其特征在于，所述处理单元还用于，响应于所述设备信息库不包括所述发送端设备的设备信息的结果，将所述第一慢协议报文认定为非法报文。18.根据权利要求17所述的网络设备，其特征在于，所述处理单元还用于，在响应于所述设备信息库不包括所述发送端设备的设备信息的结果，将所述第一慢协议报文认定为非法报文后，丢弃所述第一慢协议报文。19.根据权利要求17所述的网络设备，其特征在于，所述处理单元还用于，当所述接收单元在预设周期内接收到的来自所述发送端设备的非法报文的数量大于或等于预设阈值，触发告警操作。20.根据权利要求14所述的网络设备，其特征在于，所述接收单元还用于，接收所述第一慢协议报文之前，接收第二慢协议报文，所述第二慢协议报文携带所述第二慢协议报文的发送端设备的设备信息，所述第二慢协议报文为协商报文；所述处理单元还用于，确定所述网络设备与所述第二慢协议报文的发送端设备已完成协商过程，在所述设备信息库中存储所述第二慢协...

【专利技术属性】
技术研发人员：赵晖，钱锋，李文辉，孙智坚，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44