The embodiment of the invention provides a session establishment method, a system and an LSP exit node and an ingress node, belonging to the field of data communication technology. The present invention in the LSP entrance node contains BFD identification authentication information TLV TLV increased MPLS echo request message. LSP exit node uses authentication information to TLV LSP entrance node contains BFD TLV MPLS echo differential value request message authentication, certification through the LSP exit node to create a BFD session. In order to solve the existing technical scheme, LSP exit node by receiving the differential value of TLV MPLS including BFD echo request message triggered the creation of the BFD session security issues.
【技术实现步骤摘要】
一种会话建立方法、系统及LSP出口节点及入口节点
本专利技术涉及数据通信
,具体而言,涉及一种会话建立方法、系统及LSP出口节点及入口节点。
技术介绍
双向转发检测(BidirectionalForwardingDetection,简称BFD)是一种用于快速检测网络中的路径连通状况的检测协议,可为各上层路由协议和多协议标签交换(MultiprotocolLabelSwitching,简称MPLS)等提供统一、持续及快速的故障检测能力。其中,使用BFD检测MPLS标签交换路径(LabelSwitchedPath,简称LSP)时,出口节点的BFD会话建立方式为:入口节点建立会话后,向出口节点发送包含BFD鉴别值TLV(Type-Length-Value,类型-长度-值)的MPLSechorequest报文,出口节点接收到该MPLSechorequest报文后,通过其中的BFD鉴别值TLV获取到入口节点的会话鉴别值,然后创建本端BFD会话。上述出口节点的会话建立方式存在一定的安全性问题。如果网络中存在攻击者,恶意向出口节点持续大量的发送包含BFD鉴别值TLV的MPLSechorequest报文,会导致出口节点的BFD会话资源耗尽,从而无法创建BFD会话。专利技术人在研究中发现,针对该安全性问题主要存在以下两种解决方案:通过配置命令设置全局开关状态进行控制和通过配置ACL(AccessControlList,访问控制列表)规则来控制MPLSechorequest报文的接收。其中,第一种方案无法适用于需要使用BFD检测MPLSLSP功能的情况。第二种方案可以控 ...
【技术保护点】
一种会话建立方法,其特征在于,所述方法包括:LSP出口节点接收LSP入口节点在创建本端BFD会话后发送的MPLS echo request报文,并对该MPLS echo request报文进行解析,得到解析结果;根据所述解析结果判断所述MPLS echo request报文是否包含BFD鉴别值TLV;当所述MPLS echo request报文包含BFD鉴别值TLV时,判断所述MPLS echo request报文是否包含认证信息TLV;当所述MPLS echo request报文包含认证信息TLV时,按照预先配置的认证类型和认证密钥判断所述MPLS echo request报文是否通过认证;当所述MPLS echo request报文通过认证时,所述LSP出口节点创建本端BFD会话,并发送MPLS echo reply报文给所述LSP入口节点。
【技术特征摘要】
1.一种会话建立方法,其特征在于,所述方法包括:LSP出口节点接收LSP入口节点在创建本端BFD会话后发送的MPLSechorequest报文,并对该MPLSechorequest报文进行解析,得到解析结果;根据所述解析结果判断所述MPLSechorequest报文是否包含BFD鉴别值TLV;当所述MPLSechorequest报文包含BFD鉴别值TLV时,判断所述MPLSechorequest报文是否包含认证信息TLV;当所述MPLSechorequest报文包含认证信息TLV时,按照预先配置的认证类型和认证密钥判断所述MPLSechorequest报文是否通过认证;当所述MPLSechorequest报文通过认证时,所述LSP出口节点创建本端BFD会话,并发送MPLSechoreply报文给所述LSP入口节点。2.根据权利要求1所述的会话建立方法,其特征在于,在所述LSP出口节点接收LSP入口节点在创建本端BFD会话后发送的MPLSechorequest报文的步骤之前,该方法还包括:开启所述LSP出口节点的针对包含BFD鉴别值TLV的MPLSechorequest报文的认证功能,并设置认证类型和认证密钥;所述LSP入口节点根据所述LSP出口节点设置的认证类型和认证密钥对该LSP入口节点的认证类型和认证密钥进行配置,并创建本端BFD会话;根据创建的本端BFD会话生成包含BFD鉴别值TLV的MPLSechorequest报文;针对该MPLSechorequest报文按照所述LSP入口节点的认证类型和认证密钥生成认证信息TLV,并将该认证信息TLV封装到所述MPLSechorequest报文中;将包含BFD鉴别值TLV和认证信息TLV的MPLSechorequest报文发送给所述LSP出口节点。3.根据权利要求1所述的会话建立方法,其特征在于,该方法还包括:当所述MPLSechorequest报文未包含BFD鉴别值TLV时,发送一MPLSechoreply报文给所述入口节点。4.根据权利要求1所述的会话建立方法,其特征在于,所述方法还包括:当所述MPLSechorequest报文未包含认证信息TLV时,所述LSP出口节点丢弃所述MPLSechorequest报文。5.根据权利要求1所述的会话建立方法,其特征在于,所述方法还包括:当所述MPLSechorequest报文未通过认证时,所述LSP出口节点丢弃所述MPLSechorequest报文。6.一种LSP出口节点,其特征在于,所述出口节点与LSP入口节点通信连接,所述LSP出口节点包括:解析模块,用于接收LSP入口节点在创建本端BFD会...
【专利技术属性】
技术研发人员:秦川,
申请(专利权)人:迈普通信技术股份有限公司,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。