报文传输方法及通信装置制造方法及图纸

本申请的实施例提供了一种报文传输方法及通信装置。该方法包括：验证设备获取来自发送设备的地址前缀；以及验证设备向发送设备发送响应报文，该响应报文指示地址前缀在接收设备处的使用状态信息。以此方式，能够由验证设备通过响应报文使得发送设备获知地址前缀在接收设备处的使用状态信息，从而便于发送设备对地址前缀的异常进行处理，有助于提高源地址验证的准确性，并实现零误报，尽量减少漏报。尽量减少漏报。尽量减少漏报。

【技术实现步骤摘要】
报文传输方法及通信装置


[0001]本申请涉及通信领域，更具体地，涉及报文传输方法及通信装置。

技术介绍

[0002]在当前的互联网中，很多安全问题的根源是源地址不可信，因此源地址验证(Source Address Validation，SAV)对于减轻源地址欺骗和提升互联网安全性而言非常重要。
[0003]分布式源地址验证(Distributed Source Address Validation，DSAV)方案使用分布式的源地址验证协议，可以根据学习到的路由信息来动态地更新源地址过滤表，并使用源地址过滤表来检查接收到的数据包中的源地址。在DASV方案中，路由器的接口上可以部署白名单验证模式或者灰名单验证模式。当源地址前缀无法匹配到源地址过滤表时，白名单验证模式和灰名单验证模式会进行两种截然不同的处理结果，可见这两种验证模式都无法实现高精度的源地址验证。

技术实现思路

[0004]本申请的实施例提供了一种报文传输方法及通信装置，有助于提高源地址验证的准确性。
[0005]在第一方面，提供了一种报文传输方法。该方法包括：验证设备获取来自发送设备的地址前缀；以及验证设备向发送设备发送响应报文，响应报文指示地址前缀在接收设备处的使用状态信息。
[0006]以此方式，能够由验证设备通过响应报文使得发送设备获知地址前缀在接收设备处的使用状态信息，从而便于发送设备对地址前缀的异常进行处理，有助于提高源地址验证的准确性，并实现零误报，尽量减少漏报。
[0007]在第一方面的一些实施例中，地址前缀包括源地址前缀，验证设备为接收设备，验证设备获取来自发送设备的地址前缀包括：验证设备从发送设备接收源前缀发布(Source Prefix Advertisement，SPA)报文，SPA报文包括源地址前缀。这样，接收设备能够通过SPA报文获取源地址前缀。
[0008]在第一方面的一些实施例中，地址前缀包括源地址前缀，验证设备为接收设备，验证设备获取来自发送设备的地址前缀包括：验证设备从发送设备接收SPA报文，SPA包括发送设备的标识和源地址前缀；验证设备从发送设备接收目的前缀探测(Destination Prefix Probing，DPP)报文，DPP报文包括发送设备的标识；以及验证设备基于DPP报文中的标识以及SPA报文，确定源地址前缀。这样，接收设备能够通过SPA报文和DPP报文获取源地址前缀。
[0009]在第一方面的一些实施例中，方法还包括：验证设备输出第一告警信息，第一告警信息用于提供对源地址前缀进行验证的验证模式的建议。这样，验证设备通过输出第一告警信息，能够便于对验证设备(即接收设备)处的源地址前缀的配置进行改进，从而确保地
址验证的准确性。
[0010]在第一方面的一些实施例中，地址前缀包括源地址前缀，验证设备为控制设备，验证设备获取来自发送设备的地址前缀包括：验证设备从接收设备接收SPA报文，SPA报文包括源地址前缀。这样，控制设备能够通过SPA报文获取源地址前缀。
[0011]在第一方面的一些实施例中，地址前缀包括源地址前缀，验证设备为控制设备，验证设备获取来自发送设备的地址前缀包括：验证设备从接收设备接收SPA报文，SPA包括发送设备的标识和源地址前缀；验证设备从接收设备接收目的前缀探测DPP报文，DPP报文包括发送设备的标识；以及验证设备基于DPP报文中的标识以及SPA报文，确定源地址前缀。这样，控制设备能够通过SPA报文和DPP报文获取源地址前缀。
[0012]在第一方面的一些实施例中，方法还包括：验证设备向接收设备发送第一告警信息，第一告警信息用于提供对源地址前缀进行验证的验证模式的建议。这样，验证设备(即控制设备)通过向接收设备发送第一告警信息，能够便于对接收设备处的源地址前缀的配置进行改进，从而确保地址验证的准确性。
[0013]在第一方面的一些实施例中，如果使用状态信息指示源地址前缀在接收设备处存在对应的转发表项，并且转发表项中与源地址前缀对应的出接口与接收设备接收SPA报文的入接口不一致，那么第一告警信息指示接收设备处不能配置严格的单播逆向路径转发(Unicast Reverse Path Forwarding，URPF)验证模式。
[0014]在第一方面的一些实施例中，如果使用状态信息指示源地址前缀在接收设备处不存在对应的转发表项，存在对应的路由表项，并且路由表项是有效的，那么第一告警信息指示：接收设备处存在错误配置，错误配置阻止了路由表项生成转发表项；或者接收设备处存在路由表项生成转发表项时的处理故障。
[0015]这样，在源地址前缀在接收设备处存在特定的异常时，通过对应的第一告警信息进行指示，避免因错误导致对源地址前缀验证出现误报或漏报的状况。
[0016]在第一方面的一些实施例中，方法还包括：如果使用状态信息指示源地址前缀在接收设备处不存在对应的转发表项，存在对应的路由表项，并且路由表项是无效的，则验证设备确定路由表项无效的原因；以及验证设备向发送设备发送用于指示原因的指示信息。这样，验证设备还可以告知发送设备出现异常的原因，从而便于发送设备对异常进行处理或者基于异常进行后续的改进。
[0017]在第一方面的一些实施例中，响应报文指示源地址前缀在接收设备处的第一使用状态信息，第一使用状态信息表示以下任意一项：源地址前缀在接收设备处存在对应的转发表项，并且转发表项中与源地址前缀对应的出接口与接收设备接收SPA报文的入接口一致；源地址前缀在接收设备处存在对应的转发表项，并且转发表项中与源地址前缀对应的出接口与接收设备接收SPA报文的入接口不一致；源地址前缀在接收设备处不存在对应的转发表项，存在对应的路由表项，并且路由表项是有效的；源地址前缀在接收设备处不存在对应的转发表项，存在对应的路由表项，并且路由表项是无效的；或者源地址前缀在接收设备处不存在对应的路由表项。
[0018]在第一方面的一些实施例中，地址前缀包括源地址前缀，验证设备为控制设备，验证设备获取来自发送设备的地址前缀包括：验证设备接收来自接收设备的源地址验证表项，源地址验证表项包括源地址前缀；在验证设备发送响应报文之前，方法还包括：验证设
备接收来自接收设备的关于接收设备的各个接口被配置成的验证模式的信息；以及验证设备接收来自接收设备的流量报文，流量报文是对接收设备的支持DSAV的接口进行流量采样而得到的。
[0019]在第一方面的一些实施例中，还包括：验证设备向接收设备发送修改建议信息，修改建议信息用于建议调整接收设备的支持DSAV的接口的验证模式。这样，验证设备可以通知接收设备进行适当的调整或修改，这样能够确保后续的数据报文被正确地处理，避免误报或漏报。
[0020]在第一方面的一些实施例中，使用状态信息表示具有源地址前缀的数据报文在接收设备的支持DSAV的接口处被过滤。这样，发送设备可以基于此对源地址前缀进行改进或调整，例如补充之前遗漏的源地址前缀、重发SPA报文和/或DPP报文等，从而避免后续的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种报文传输方法，其特征在于，包括：验证设备获取来自发送设备的地址前缀；以及所述验证设备向所述发送设备发送响应报文，所述响应报文指示所述地址前缀在接收设备处的使用状态信息。2.根据权利要求1所述的方法，其特征在于，所述地址前缀包括源地址前缀，所述验证设备为所述接收设备，所述验证设备获取来自发送设备的地址前缀包括：所述验证设备从所述发送设备接收源前缀发布SPA报文，所述SPA报文包括所述源地址前缀。3.根据权利要求1所述的方法，其特征在于，所述地址前缀包括源地址前缀，所述验证设备为所述接收设备，所述验证设备获取来自发送设备的地址前缀包括：所述验证设备从所述发送设备接收SPA报文，所述SPA包括所述发送设备的标识和所述源地址前缀；所述验证设备从所述发送设备接收目的前缀探测DPP报文，所述DPP报文包括所述发送设备的所述标识；以及所述验证设备基于所述DPP报文中的所述标识以及所述SPA报文，确定所述源地址前缀。4.根据权利要求2或3所述的方法，其特征在于，所述方法还包括：所述验证设备输出第一告警信息，所述第一告警信息用于提供对所述源地址前缀进行验证的验证模式的建议。5.根据权利要求1所述的方法，其特征在于，所述地址前缀包括源地址前缀，所述验证设备为控制设备，所述验证设备获取来自发送设备的地址前缀包括：所述验证设备从所述接收设备接收SPA报文，所述SPA报文包括所述源地址前缀。6.根据权利要求1所述的方法，其特征在于，所述地址前缀包括源地址前缀，所述验证设备为控制设备，所述验证设备获取来自发送设备的地址前缀包括：所述验证设备从所述接收设备接收SPA报文，所述SPA包括所述发送设备的标识和所述源地址前缀；所述验证设备从所述接收设备接收目的前缀探测DPP报文，所述DPP报文包括所述发送设备的所述标识；以及所述验证设备基于所述DPP报文中的所述标识以及所述SPA报文，确定所述源地址前缀。7.根据权利要求5或6所述的方法，其特征在于，所述方法还包括：所述验证设备向所述接收设备发送第一告警信息，所述第一告警信息用于提供对所述源地址前缀进行验证的验证模式的建议。8.根据权利要求4或7所述的方法，其特征在于，如果所述使用状态信息指示源地址前缀在所述接收设备处存在对应的转发表项，并且所述转发表项中与所述源地址前缀对应的出接口与所述接收设备接收所述SPA报文的入接口不一致，那么所述第一告警信息指示所述接收设备处不能配置严格的单播逆向路径转发URPF验证模式；如果所述使用状态信息指示所述源地址前缀在所述接收设备处不存在对应的转发表
项，存在对应的路由表项，并且所述路由表项是有效的，那么所述第一告警信息指示：所述接收设备处存在错误配置，所述错误配置阻止了所述路由表项生成所述转发表项；或者所述接收设备处存在所述路由表项生成所述转发表项时的处理故障。9.根据权利要求2至4中任一项所述的方法，其特征在于，所述方法还包括：如果所述使用状态信息指示所述源地址前缀在所述接收设备处不存在对应的转发表项，存在对应的路由表项，并且所述路由表项是无效的，则所述验证设备确定所述路由表项无效的原因；以及所述验证设备向所述发送设备发送用于指示所述原因的指示信息。10.根据权利要求2至9中任一项所述的方法，其特征在于，所述响应报文指示所述源地址前缀在所述接收设备处的第一使用状态信息，所述第一使用状态信息表示以下任意一项：所述源地址前缀在所述接收设备处存在对应的转发表项，并且所述转发表项中与所述源地址前缀对应的出接口与所述接收设备接收所述SPA报文的入接口一致；所述源地址前缀在所述接收设备处存在对应的转发表项，并且所述转发表项中与所述源地址前缀对应的出接口与所述接收设备接收所述SPA报文的入接口不一致；所述源地址前缀在所述接收设备处不存在对应的转发表项，存在对应的路由表项，并且所述路由表项是有效的；所述源地址前缀在所述接收设备处不存在对应的转发表项，存在对应的路由表项，并且所述路由表项是无效的；或者所述源地址前缀在所述接收设备处不存在对应的路由表项。11.根据权利要求1所述的方法，其特征在于，所述地址前缀包括源地址前缀，所述验证设备为控制设备，所述验证设备获取来自发送设备的地址前缀包括：所述验证设备接收来自所述接收设备的源地址验证表项，所述源地址验证表项包括所述源地址前缀；在所述验证设备发送所述响应报文之前，所述方法还包括：所述验证设备接收来自所述接收设备的关于所述接收设备的各个接口被配置成的验证模式的信息；以及所述验证设备接收来自所述接收设备的流量报文，所述流量报文是对所述接收设备的支持分布式源地址验证DSAV的接口进行流量采样而得到的。12.根据权利要求11所述的方法，其特征在于，还包括：所述验证设备向所述接收设备发送修改建议信息，所述修改建议信息用于建议调整所述接收设备的支持DSAV的接口的验证模式。13.根据权利要求11或12所述的方法，其特征在于，所述使用状态信息表示具有所述源地址前缀的数据报文在所述接收设备的支持DSAV的接口处被过滤。14.根据权利要求1至4和9中任一项所述的方法，其特征在于，所述地址前缀包括目的地址前缀，所述验证设备为所述接收设备，所述验证设备获取来自发送设备的地址前缀包括：所述验证设备从所述发送设备接收DPP报文，所述DPP报文包括所述目的地址前缀。
15.根据权利要求14所述的方法，其特征在于，所述方法还包括：所述验证设备输出第二告警信息，所述第二告警信息用于提供对所述目的地址前缀进行验证的验证模式的建议。16.根据权利要求1，5至7和11至13中任一项所述的方法，其特征在于，所述地址前缀包括目的地址前缀，所述验证设备为控制设备，所述验证设备获取来自发送设备的地址前缀包括：所述验证设备从所述接收设备接收DPP报文，所述DPP报文包括所述目的地址前缀。17.根据权利要求16所述的方法，其特征在于，所述方法还包括：所述验证设备向所述接收设备发送第二告警信息，所述第二告警信息用于提供对所述目的地址前缀进行验证的验证模式的建议。18.根据权利要求15或17所述的方法，其特征在于，如果所述使用状态信息指示所述目的地址前缀在所述接收设备处不存在对应的转发表项，存在对应的路由表项，那么所述第二告警信息指示：所述接收设备处存在错误配置，所述错误配置阻止了所述路由表项生成所述转发表项；或者所述接收设备处存在所述路由表项生成所述转发表项时的处理故障。19.根据权利要求14至18中任一项所述的方法，其特征在于，所述响应报文指示所述目的地址前缀在所述接收设备处的第二使用状态信息，所述第二使用状态信息表示以下任意一项：所述目的地址前缀在所述接收设备处存在对应的转发表项，并且用于生成所述转发表项的路由表项是所述接收设备处始发的；所述目的地址前缀在所述接收设备处存在对应的转发表项，并且在用于生成所述转发表项的路由表项中的到达下一跳的接口属于第一...

【专利技术属性】
技术研发人员：庄顺万，黄明庆，王海波，陈双龙，李振斌，耿男，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：