【技术实现步骤摘要】
一种SR报文传输方法、装置及系统
本申请实施例涉及通信领域,尤其涉及一种段路由(segmentrouting,SR)报文传输方法、装置及系统。
技术介绍
随着SR技术的普及,基于互联网协议版本6(internetprotocolversion6,IPv6)转发面的SR技术应运而生。基于IPv6转发面的SR称之为IPv6段路由(IPv6segmentrouting,简称SRv6),是基于源路由理念而设计的在网络上转发IPv6数据包的方法。为了在IPv6报文中实现SRv6转发,在IPv6报文中插入一个路由扩展头(segmentroutingheader,SRH),用于进行Segment的编程组合形成SRv6路径。图1示意了一种SRv6的报文封装格式,包括IPv6报文头,SRH以及报文负荷。如图1所示,SRH中压入了一个显式的路径信息(段列表segmentlist),中间节点根据SRH中段索引(segmentleft,SL)的指示,根据显式的路径信息进行逐跳转发,端到端实现隧道可达。但是,由于SRH头中包含有完整的路径信息,攻击者若能在某个节点上获取到SRv6流量报文,通过解析SRH头即可获取路径信息展开网络攻击。互联网协议安全性(internetprotocolsecurity,IPSec)使用加密的安全服务以确保在互联网协议(internetprotocol,IP)网络上进行保密而安全的通讯。但是,若将IPSec应用于SRv6技术,由于IPSec是端到端的加密,中间传输过程是透明的,路由 ...
【技术保护点】
1.一种段路由SR报文传输方法,其特征在于,应用于第一节点设备,所述第一节点设备为SR报文传输路径上除尾节点之外的任一节点设备,所述方法包括:/n所述第一节点设备获取第一SR报文,所述第一SR报文包括传输路径上除首节点之外的N个节点设备的段路由标识SID,所述第一SR报文中部分或全部SID为隐藏SID,所述N大于或等于2,小于或等于所述传输路径上除所述首节点之外节点设备的数量;/n所述第一节点设备根据所述第一SR报文,确定第二节点设备的真实SID,所述第二节点设备为所述第一SR报文包括的SID中所述第一节点设备的下一跳节点设备;/n所述第一节点设备按照所述第二节点设备的真实SID,向所述第二节点设备发送第二SR报文,所述第二SR报文包括所述N个节点设备的SID,所述第二SR报文包括的SID中第一个SID至第三节点设备的SID为隐藏SID,所述第三节点设备为所述第一节点设备或者所述第二节点设备。/n
【技术特征摘要】
1.一种段路由SR报文传输方法,其特征在于,应用于第一节点设备,所述第一节点设备为SR报文传输路径上除尾节点之外的任一节点设备,所述方法包括:
所述第一节点设备获取第一SR报文,所述第一SR报文包括传输路径上除首节点之外的N个节点设备的段路由标识SID,所述第一SR报文中部分或全部SID为隐藏SID,所述N大于或等于2,小于或等于所述传输路径上除所述首节点之外节点设备的数量;
所述第一节点设备根据所述第一SR报文,确定第二节点设备的真实SID,所述第二节点设备为所述第一SR报文包括的SID中所述第一节点设备的下一跳节点设备;
所述第一节点设备按照所述第二节点设备的真实SID,向所述第二节点设备发送第二SR报文,所述第二SR报文包括所述N个节点设备的SID,所述第二SR报文包括的SID中第一个SID至第三节点设备的SID为隐藏SID,所述第三节点设备为所述第一节点设备或者所述第二节点设备。
2.根据权利要求1所述的方法,其特征在于,所述隐藏SID包括下述类型中的一种或多种:
指定SID,或者,根据真实SID转译的SID、或者,根据真实SID偏移后的SID。
3.根据权利要求2所述的方法,其特征在于,
所述根据真实SID转译的SID,包括:真实SID叠加安全转译SID,所述安全转译SID包括安全地址池中节点设备的安全标识指示的SID;
所述根据真实SID偏移后的SID,包括:真实SID基础上偏移安全偏移值,所述安全偏移值包括节点设备的安全标识。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述方法还包括:
所述第一节点设备将所述第一SR报文包括的SID中,第一个SID至所述第三节点设备的SID中部分或全部SID替换为隐藏SID,得到所述第二SR报文。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述隐藏SID包括根据真实SID偏移后的SID,所述第一SR报文中所述第二节点设备的SID为隐藏SID,所述第一节点设备根据所述第一SR报文,确定第二节点设备的真实SID,包括:
所述第一节点设备在所述第二节点设备的隐藏SID上,反偏移所述第二节点设备的安全偏移值,得到所述第二节点设备的真实SID。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述第一SR报文包括安全传输标志位,所述第二SR报文包括所述安全传输标志位,所述安全传输标志位用于指示报文进行安全传输。
7.根据权利要求6所述的方法,其特征在于,所述安全传输标志位包括:
报文头中的比特位,或者,位于栈底的安全SID。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述方法还包括:
在所述第一节点设备根据所述第一SR报文,确定第二节点设备的真实SID之前,所述第一节点设备将所述第一SR报文解密;
在所述第一节点设备按照所述第二节点设备的真实SID,向所述第二节点设备发送第二SR报文之前,所述第一节点设备将所述第二SR报文加密。
9.根据权利要求1-8任一项所述的方法,其特征在于,所述方法还包括:
所述第一节点设备从第四节点设备接收泛洪报文,所述泛洪报文包括指示所述第四节点设备支持安全传输的能力信息和/或所述第四节点设备的安全标识;
其中,所述第四节点设备为网络中所述第一节点设备之外的支持安全传输的任一节点设备。
10.根据权利要求9所述的方法,其特征在于,所述泛洪报文还包括下述信息中一项或多项:
所述第四节点设备的安全SID,或,安全模式指示信息,或,鉴权模式信息;
其中,安全模式指示信息用于指示安全传输的模式;所述鉴权模式信息用于指示SR报文的加密方式。
11.根据权利要求9或10所述的方法,其特征在于,所述第一节点设备从第四节点设备接收泛洪报文,包括:
所述第一节点设备采用中间系统到中间系统ISIS协议或者开放最短路径优先OSFP协议,从所述第四节点设备接收所述泛洪报文。
12.根据权利要求1-8任一项所述的方法,其特征在于,所述方法还包括:
所述第一节点设备向控制器发送能力报文,所述能力报文包括指示所述第一节点设备支持安全传输的能力信息及所述第一节点设备的安全标识。
13.根据权利要求12所述的方法,其特征在于,所述能力报文还包括下述信息中一项或多项:
协议指示信息,或者,鉴权模式信息;
其中,协议指示信息用于指示节点设备间通信的协议类型;所述鉴权模式信息用于指示SR报文加密方式。
14.一种段路由SR报文传输装置,其特征在于,所述装置部署于第一节点设备,所述第一节点设备为SR报文传输路径上除尾节点之外的任一节点设备,所述装置包括:
获取单元,用于获取第一SR报文,所述第一SR报文包括传输路径上除首节点之外的N个节点设备的段路由标识SID,所述第一SR报文中部分或全部SID为隐藏SID,所述N大于或...
【专利技术属性】
技术研发人员:邰博,吕金生,张耀坤,尹伟,李呈,薛奇,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。