本申请提供一种报文转发方法、装置、网络设备及计算机可读存储介质。方法包括:接收带标签的报文;判断报文携带的当前标签是否为本设备预先向上游网络设备分配的目标标签,得到判断结果,目标标签包括与本设备中的目标接口集合对应的第一码段,以及与指定转发等价类对应的第二码段,其中,一个上游网络设备仅与一个接口集合对应;对报文执行与判断结果对应的处理操作。在本方案中,通过判断报文的当前标签是否为目标标签,有利于快速判断报文是否安全,以提高报文转发的安全性。另外,若当前标签为目标标签,便可以从当前标签的第一码段识别出上游网络设备,从而提高报文转发的可监控性。性。性。
【技术实现步骤摘要】
报文转发方法、装置、网络设备及计算机可读存储介质
[0001]本申请涉及数据通信领域,具体而言,涉及一种报文转发方法、装置、网络设备及计算机可读存储介质。
技术介绍
[0002]随着用户对网络安全和网络监控越来越重视,对MPLS(Multi
‑
Protocol Label Switching,多协议标签交换)网络的安全性和可监控性提出了更高的要求。目前MPLS网络在一些方面仍然存在安全隐患,例如,ILM(Incoming Label Map,入标签映射)中没有对应的上游信息和入接口信息,即使不是从上游收到的MPLS报文,只要能够匹配找到ILM也会被处理转发,MPLS报文的合法性无法检查,这会给MPLS网络带来安全性问题,如果从非上游网络设备收到大量伪造MPLS报文的恶意攻击,就会导致该网络设备因忙于处理这种恶意报文而影响正常报文的处理。
技术实现思路
[0003]本申请实施例的目的在于提供一种报文转发方法、装置、网络设备及计算机可读存储介质,有利于提高MPLS网络转发报文的安全性及可监控性。
[0004]为了实现上述目的,本申请的实施例通过如下方式实现:
[0005]第一方面,本申请实施例提供一种报文转发方法,应用于MPLS网络中的网络设备,所述方法包括:接收带标签的报文;判断所述报文携带的当前标签是否为本设备预先向上游网络设备分配的目标标签,得到判断结果,所述目标标签包括与本设备中的目标接口集合对应的第一码段,以及与指定转发等价类对应的第二码段,其中,所述目标接口集合中的接口为本设备中的与标签分发协议会话对应的接口,一个上游网络设备仅与一个接口集合对应;对所述报文执行与所述判断结果对应的处理操作。
[0006]在上述的实施方式中,上游网络设备发送的报文中,通常会携带当前标签,该当前标签不一定为目标标签。目标标签为本设备发送至上游网络设备的标签,携带有与目标接口集合对应码段,可以用于对报文的安全进行验证,即,通过判断报文的当前标签是否为目标标签,有利于快速判断报文是否安全,以提高报文转发的安全性。另外,若当前标签为目标标签,便可以从当前标签的第一码段识别出上游网络设备,从而提高报文转发的可监控性。
[0007]结合第一方面,在一些可选的实施方式中,在接收带标签的报文之前,所述方法还包括:
[0008]在本设备建立标签分发协议会话时,分配与所述标签分发协议会话对应的唯一标识符,所述唯一标识符与本设备的所述目标接口集合关联;
[0009]基于所述MPLS网络的路由信息,创建所述指定转发等价类;
[0010]向本设备的所有上游网络设备发送对应的目标标签,每个所述目标标签包括与所述唯一标识符对应的第一码段,以及与所述指定转发等价类对应的第二码段。
[0011]在上述的实施方式中,本设备通过预先创建目标标签,然后将目标标签发送至上游网络设备,如此,方便上游网络设备在接收到报文时,根据报文的目的地址查找相应的路由信息封装相应的当前标签,如目标标签。本设备在后续收到上游网络设备发送的报文时,通过对报文中的当前标签进行检测,有利于快速对报文的安全性进行判断,若报文携带有目标标签,还可以对发送报文的上游网络设备进行识别。
[0012]结合第一方面,在一些可选的实施方式中,所述方法还包括:
[0013]当所述标签分发协议会话结束时,删除所述标签分发协议会话与所述唯一标识符的对应关系,以及删除所述唯一标识符与本设备的所述目标接口集合的关联关系。
[0014]在上述的实施方式中,通过删除对应关系、关联关系,可以实现唯一标识符的回收,以便于下次分配给其他标签分发协议会话。
[0015]结合第一方面,在一些可选的实施方式中,判断所述报文携带的当前标签是否为本设备预先向上游网络设备分配的目标标签,得到判断结果,包括:
[0016]当接收所述报文的接口不是所述目标接口集合中的任一接口,或者所述当前标签中不包括所述第一码段,或者所述当前标签中不包括所述第二码段时,得到表示所述当前标签不是所述目标标签的判断结果;
[0017]当接收所述报文的接口是所述目标接口集合中的任一接口,且所述当前标签中包括所述第一码段及所述第二码段时,得到表示所述当前标签是所述目标标签的判断结果。
[0018]结合第一方面,在一些可选的实施方式中,对所述报文执行与所述判断结果对应的处理操作,包括:
[0019]当所述判断结果表示所述当前标签不是所述目标标签时,丢弃所述报文;
[0020]当所述判断结果表示所述当前标签是所述目标标签时,转发所述报文。
[0021]在上述的实施方式中,若本设备接收的报文所携带的当前标签不是目标标签,则表示报文为可疑报文,若当前标签是目标标签,表示报文是安全的,如此,通过判断报文的当前标签是否为目标标签,有利于快速判断报文是否安全,从而提高网络安全。
[0022]结合第一方面,在一些可选的实施方式中,当所述判断结果表示所述当前标签是所述目标标签时,转发所述报文,包括:
[0023]当所述判断结果表示所述当前标签是所述目标标签,且本设备为在所述MPLS网络中的与指定转发等价类对应的最后一跳网络设备时,根据所述报文的目的地址转发所述报文。
[0024]结合第一方面,在一些可选的实施方式中,当所述判断结果表示所述当前标签是所述目标标签时,转发所述报文,包括:
[0025]当所述判断结果表示所述当前标签是所述目标标签,且本设备不是所述MPLS网络中的与指定转发等价类对应的最后一跳网络设备时,从所述报文中删除所述当前标签,并添加新的当前标签,所述新的当前标签为本设备的下一跳网络设备发送至本设备的与指定转发等价类对应的当前标签;
[0026]根据所述新的当前标签,转发添加所述新的当前标签后的报文。
[0027]第二方面,本申请还提供一种报文转发装置,应用于MPLS网络中的网络设备,所述装置包括:
[0028]接收单元,用于接收带标签的报文;
[0029]判断单元,用于判断所述报文携带的当前标签是否为本设备预先向上游网络设备分配的目标标签,得到判断结果,所述目标标签包括与本设备中的目标接口集合对应的第一码段,以及与指定转发等价类对应的第二码段,其中,所述目标接口集合中的接口为本设备中的与标签分发协议会话对应的接口,一个上游网络设备仅与一个接口集合对应;
[0030]转发处理单元,对所述报文执行与所述判断结果对应的处理操作。
[0031]第三方面,本申请还提供一种网络设备,包括相互耦合的处理器及存储器,所述存储器内存储计算机程序,当所述计算机程序被所述处理器执行时,使得所述网络设备执行上述的方法。
[0032]第四方面,本申请还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,使得所述计算机执行上述的方法。
附图说明
[0033]为了更清楚地说明本申请实施例的技术方案本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种报文转发方法,其特征在于,应用于多协议标签交换MPLS网络中的网络设备,所述方法包括:接收带标签的报文;判断所述报文携带的当前标签是否为本设备预先向上游网络设备分配的目标标签,得到判断结果,所述目标标签包括与本设备中的目标接口集合对应的第一码段,以及与指定转发等价类对应的第二码段,其中,所述目标接口集合中的接口为本设备中的与标签分发协议会话对应的接口,一个上游网络设备仅与一个接口集合对应;对所述报文执行与所述判断结果对应的处理操作。2.根据权利要求1所述的方法,其特征在于,在接收带标签的报文之前,所述方法还包括:在本设备建立标签分发协议会话时,分配与所述标签分发协议会话对应的唯一标识符,所述唯一标识符与本设备的所述目标接口集合关联;基于所述MPLS网络的路由信息,创建所述指定转发等价类;向本设备的所有上游网络设备发送对应的目标标签,每个所述目标标签包括与所述唯一标识符对应的第一码段,以及与所述指定转发等价类对应的第二码段。3.根据权利要求2所述的方法,其特征在于,所述方法还包括:当所述标签分发协议会话结束时,删除所述标签分发协议会话与所述唯一标识符的对应关系,以及删除所述唯一标识符与本设备的所述目标接口集合的关联关系。4.根据权利要求1所述的方法,其特征在于,判断所述报文携带的当前标签是否为本设备预先向上游网络设备分配的目标标签,得到判断结果,包括:当接收所述报文的接口不是所述目标接口集合中的任一接口,或者所述当前标签中不包括所述第一码段,或者所述当前标签中不包括所述第二码段时,得到表示所述当前标签不是所述目标标签的判断结果;当接收所述报文的接口是所述目标接口集合中的任一接口,且所述当前标签中包括所述第一码段及所述第二码段时,得到表示所述当前标签是所述目标标签的判断结果。5.根据权利要求1所述的方法,其特征在于,对所述报文执行与所述判断结果对应的处理操作,包括:当所述判断结果表示所述当前标签不是所述目标标签时,丢弃所述报文;当所述判断结...
【专利技术属性】
技术研发人员:李诚,
申请(专利权)人:迈普通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。