【技术实现步骤摘要】
一种报文处理方法及装置
[0001]本申请涉及通信
,尤其涉及一种报文处理方法及装置。
技术介绍
[0002]随着互联网的发展,至2019年末,全球所有42.9亿个IPv4地址已分配完毕,IPv6地址因此被大力推崇。传统的IPv6协议目前只针对报文的转发,不会对转发报文的IPv6地址进行验证,当前也没有成熟的安全技术来解决仿冒IPv6源地址攻击问题,导致目前存在很大的网络安全问题。
[0003]基于此,提供了下一代互联网真实源地址验证架构(Source Address Validation Architecture,SAVA),该架构分为域内、域间和接入网三层。在位于域内的SAVA
‑
P(源地址验证架构协议)功能一般都部署在与接入网相连的骨干网内边界设备上,从应用场景和部署位置看又可分为用户侧和网络侧,参考图1所示的IPv6多接入组网环境中,设备A连接设备B,设备A连接骨干网设备G,设备A连接设备C的一侧。为了防范仿冒IPv6源地址的攻击问题,在设备G的接口上开启了严格型URPF(Unicast Reverse Path Forwarding,单播反向路由查找技术)功能,仅依靠本地的路由信息来判断报文的合法性。当出现G没有路由表项的域外合法流量经过时就会造成误丢弃。
[0004]为了解决这一问题,目前提出了URPF功能与访问控制列表(Access Control Lists,ACL)配合使用的方法,当用户确认具有某些特征的报文合法时,则可以在ACL中指定这些报文,这样这些报文在 ...
【技术保护点】
【技术特征摘要】
1.一种报文处理方法,其特征在于,应用于使能SAVA
‑
P功能的第一网络设备中,所述方法包括:接收IPv6报文;根据所述IPv6报文的源地址,查询所述IPv6报文的入接口对应的第一ACL表项,所述第一ACL表项包括所述入接口的接口标识与允许被所述入接口放行报文的源前缀信息之间的对应关系;若所述源地址与所述第一ACL表项相匹配,则转发所述IPv6报文;若所述源地址与所述第一ACL表项不匹配,则根据所述IPv6报文的源地址查询第二ACL表项,所述第二ACL表项包括历史记录的源前缀信息;若所述源地址与所述第二ACL表项不匹配,则转发所述IPv6报文;若所述源地址与所述第二ACL表项相匹配,则丢弃所述IPv6报文。2.根据权利要求1所述的方法,其特征在于,每个入接口对应的第一ACL表项为按照下述方法生成的:接收每个第二网络设备上报的所述第二网络设备收集到的用户侧的路由信息;根据所述路由信息和所述路由信息的入接口,生成SAVA
‑
P表项,所述SAVA
‑
P表项包括该入接口的接口标识与所述路由信息中的源地址的源前缀信息;根据所述SAVA
‑
P表项,生成该入接口的第一ACL表项,所述第一ACL表项中的执行动作为放行。3.根据权利要求1所述的方法,其特征在于,所述第二ACL表项为按照下述方法生成的:接收第二网络设备上报的所述第二网络设备收集到的用户侧的路由信息;根据所述路由信息和所述路由信息的入接口,生成SAVA
‑
P表项,所述SAVA
‑
P表项包括与所述路由信息中的源地址的源前缀信息;根据所述SAVA
‑
P表项,生成所述第二ACL表项,所述第二ACL表项中的执行动作为丢弃。4.根据权利要求3所述的方法,其特征在于,根据所述SAVA
‑
P表项,生成所述第二ACL表项,包括:根据各个第二网络设备生成的SAVA
‑
P表项,生成灰名单SAVA
‑
P表项;根据所述灰名单SAVA
‑
P表项,生成所述第二ACL表项。5.根据权利要求1所述的方法,其特征在于,每个入接口对应的第一ACL表项还包括与所述第一网络设备通信的第二网络设备的入接口所绑定的VPN实例的VPN标识;根据所述IPv6报文的源地址,查询所述IPv6报文的入接口对应的第一ACL表项,包括:从所述IPv6报文中解析出源地址和VPN标识;判断解析出的源地址、VPN标识和所述IPv6报文的入接口的入接口标识之间的对应关系是否在该入接口对应的第一ACL表项中;若在,则确认所述源地址与所述第一ACL表项相匹配;否则,确认所述源地址与所述第一ACL表项不匹配。6.根据权利要求1所述的方法,其特征在于,所述第二ACL表项还包括与所述第一网络设备通信的第二网络设备的入接口所绑定的VPN实例的VPN标识;根据所述IPv6报文的源地址查询第二ACL表项,包括:从所述IPv6报文中解析出源地址和VPN标识;
判断解析出的源地址和VPN标识之间的对应关系是否在所述第二ACL表项中;若在,则确认所述源地址与所述第二ACL表项相匹配;若不在,则确认所述源地址与所述第二ACL表项不匹配。7.一种报文处理装置,其特征在于,设置于使能SAVA
【专利技术属性】
技术研发人员:左强,
申请(专利权)人:新华三技术有限公司合肥分公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。