分布式数据平面验证方法及系统技术方案

本公开提供了一种分布式数据平面验证方法，包括：响应于当前设备节点具备数据包转换条件，由当前设备节点将上游设备节点发送的第一订阅消息转换为第二订阅消息；调用所述下游设备节点执行对第二订阅消息的计数任务，并将对第二订阅消息的计数结果反馈给当前设备节点；由当前设备节点将对第二订阅消息的计数结果作为对第一订阅消息的计数结果，并反馈给上游设备节点。本公开还提供一种分布式数据平面验证系统。验证系统。验证系统。

【技术实现步骤摘要】
分布式数据平面验证方法及系统


[0001]本公开涉及网络安全
，特别涉及一种关于数据包转换的分布式数据平面验证方法及系统。

技术介绍

[0002]网络错误会产生灾难性的经济和社会后果，因此如何有效地发现网络错误是网络领域面临的基本挑战。查找网络错误的一个主要方法是网络验证，它会自动检查网络设备的控制平面和数据平面来查找错误。数据平面验证工具作为网络验证的重要手段，能够在配置部署前及时发现错误；并且，还能够通过分析数据平面(例如转发表和访问控制列表)是否满足网络要求来检查网络的正确性，直接反映网络的转发行为，使得验证相对容易实现。
[0003]数据包转换是网络的常见问题。具体地，在分组网络和虚拟私有网络中，NAT(Network Address Translation，网络地址转换)和IP(Internet Protocol，网际互联协议)隧道技术被广泛使用，所有一级网络业务供应商和超过一般的大型网络业务供应商使用MPLS(Multi
‑
Protocol Label Switching，多协议标签交换)隧道。在经过NAT的网络设备之后，数据包的IP地址会发生改变(即公网IP和私网IP之间转换)；当存在IP隧道的情况时，一个IP报文会在隧道入口被封装在另一个IP报文中，并在隧道出口被解封装；对于MPLS隧道入口设备，它在二层头部前增加MPLS标签，因此该入口设备在DVnet中向下游节点传递的不是IP信息谓词，而是MPLS标签的订阅消息，进一步地由出口设备会去掉上游节点的MPLS标签，并向下游传递IP的订阅消息。
[0004]但是，相关技术中的数据平面验证工具不能很好地应对数据包转换问题。以行业内较为先进的两种数据平面验证工具APT和Katra为例，APT提出了数据包等价性的概念来应对网络中可能存在的数据包转换问题，Katra则对任意嵌套的数据包封装和解封装的分层网络提出了新的形式化网络模型及其语义。但是，无论是哪种方式，均基于集中式的体系结构，当NAT或者IP隧道的数量增加，网络验证的时间也会不可避免的延长。

技术实现思路

[0005]为了解决上述的至少一个问题，本公开提供了一种分布式数据平面验证方法及系统。
[0006]根据本公开的一个方面提供了一种分布式数据平面验证方法，包括：响应于当前设备节点具备数据包转换条件，由所述当前设备节点将所述上游设备节点发送的第一订阅消息转换为第二订阅消息；调用所述下游设备节点执行对所述第二订阅消息的计数任务，并将对所述第二订阅消息的计数结果反馈给所述当前设备节点；由所述当前设备节点将对所述第二订阅消息的计数结果作为对所述第一订阅消息的计数结果，并反馈给所述上游设备节点。
[0007]在一些实施方式中，所述由所述当前设备节点将上游设备节点发送的第一订阅消
息转换为第二订阅消息，包括：当所述数据包转换条件为所述当前设备节点是实现网络地址转换的设备节点时，由所述当前设备节点调取地址转换表；所述当前设备节点通过所述地址转换表确定与所述第一订阅消息相匹配的预设协议地址；以及所述当前设备节点将所述第一订阅消息的网络协议地址转换为所述预设协议地址，以形成具有所述预设协议地址的第二订阅消息。
[0008]在一些实施方式中，所述由所述当前设备节点将上游设备节点发送的第一订阅消息转换为第二订阅消息，包括：当所述数据包转换条件为所述当前设备节点是多协议标签交换隧道的设备节点时，对节点标签进行二叉决策图的建模，并对所述第一订阅消息进行扩展，以便于所述节点标签的输入；以及当当前设备节点是多协议标签交换隧道的入口设备节点时，由所述当前设备节点在所述第一订阅消息上增加自身对应的所述节点标签，以使得所述第一订阅消息转换为具有所述当前设备节点的节点标签的所述第二订阅消息。
[0009]在一些实施方式中，所述由所述当前设备节点将上游设备节点发送的第一订阅消息转换为第二订阅消息，包括：当所述数据包转换条件为所述当前设备节点是网际互联协议地址隧道的入口设备节点时，控制所述当前设备节点对所述第一订阅消息的谓词前封装预设谓词，以将所述第一订阅消息转换为封装有预设谓词的所述第二订阅消息。
[0010]在一些实施方式中，所述调用所述下游设备节点执行对所述第二订阅消息的计数任务，并将对所述第二订阅消息的计数结果反馈给所述当前设备节点，包括：在有向无环图的有效路径上调取所述下游设备节点，并对所述下游设备节点进行初始化；控制所述下游设备节点的验证器基于分布式验证协议执行对所述第二订阅消息的计数任务，其中所述分布式验证协议用于规范各个设备节点上的验证器和预期相邻的设备节点之间的数据共享过程；控制所述下游设备节点沿着所述有效路径的反向路径，向与自身相邻的所述当前设备节点同步对所述第二订阅消息的计数结果。
[0011]在一些实施方式中，所述由所述当前设备节点将对所述第二订阅消息的计数结果作为对所述第一订阅消息的计数结果，并反馈给所述上游设备节点，包括：当所述当前设备节点为入口设备节点时，由所述当前设备节点接收各个所述下游设备节点对所述第二订阅消息的计数结果；控制所述当前设备节点以各个所述下游设备节点对所述第二订阅消息的计数结果作为对所述第一订阅消息的计数结果；以及将对所述第一订阅消息的计数结果作为针对所述第一订阅消息的数据平面验证结果，并反馈给所述上游设备，其中所述上游设备为外网设备。
[0012]在一些实施方式中，还包括：响应于所述当前设备节点对数据包转换规则的更新结果，控制所述当前设备节点将所述第一订阅消息转换为更新订阅消息，并向所述下游设备节点传递所述更新订阅消息。
[0013]在一些实施方式中，在所述由所述当前设备节点将所述上游设备节点发送的第一订阅消息转换为第二订阅消息之前，包括：根据数据平面验证需求和网络拓扑结构，构建包含所有有效路径的有向无环图。
[0014]在一些实施方式中，在所述由所述当前设备节点将上游设备节点发送的第一订阅消息转换为第二订阅消息之前，还包括：对针对数据包转换场景的验证任务进行分解，并将分解之后的计数任务分配给各个设备节点，以使得各个设备节点上的验证器基于相应的所述计数任务进行计数。
[0015]在一些实施方式中，还包括：设定需求规范语言，以控制数据平面验证需求以数据包空间、入口设备节点集合、行为所构成的元组形式进行表示，其中，数据包空间中每个数据包从入口设备节点集合中任一设备节点进入网络时，数据包的任一路径满足行为中指定的上下文，行为被指定为有效路径和匹配运算符的正则表达式元组。
[0016]根据本公开的一个方面提供了另一种分布式数据平面验证系统，包括：验证规划器和多个验证器，其中所述验证器布置于设备节点，响应于当前设备节点具备数据包转换条件，所述当前设备节点的验证器用于将上游设备节点发送的第一订阅消息转换为第二订阅消息；所述下游设备节点的验证器用于执行对所述第二订阅消息的计数任务，并将对所述第二订阅消息的计数结果反馈给所述当前设备节点；所述当前设备节点的验证器用于将对所述第二订阅消息的计数本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种分布式数据平面验证方法，其特征在于，包括：响应于当前设备节点具备数据包转换条件，由所述当前设备节点将上游设备节点发送的第一订阅消息转换为第二订阅消息；调用所述下游设备节点执行对所述第二订阅消息的计数任务，并将对所述第二订阅消息的计数结果反馈给所述当前设备节点；由所述当前设备节点将对所述第二订阅消息的计数结果作为对所述第一订阅消息的计数结果，并反馈给所述上游设备节点。2.根据权利要求1所述的分布式数据平面验证方法，其特征在于，所述由所述当前设备节点将上游设备节点发送的第一订阅消息转换为第二订阅消息，包括：当所述数据包转换条件为所述当前设备节点是实现网络地址转换的设备节点时，由所述当前设备节点调取地址转换表；所述当前设备节点通过所述地址转换表确定与所述第一订阅消息相匹配的预设协议地址；以及所述当前设备节点将所述第一订阅消息的网络协议地址转换为所述预设协议地址，以形成具有所述预设协议地址的第二订阅消息。3.根据权利要求1所述的分布式数据平面验证方法，其特征在于，所述由所述当前设备节点将上游设备节点发送的第一订阅消息转换为第二订阅消息，包括：当所述数据包转换条件为所述当前设备节点是多协议标签交换隧道的设备节点时，对节点标签进行二叉决策图的建模，并对所述第一订阅消息进行扩展，以便于所述节点标签的输入；以及当当前设备节点是多协议标签交换隧道的入口设备节点时，由所述当前设备节点在所述第一订阅消息上增加自身对应的所述节点标签，以使得所述第一订阅消息转换为具有所述当前设备节点的节点标签的所述第二订阅消息。4.根据权利要求1所述的分布式数据平面验证方法，其特征在于，所述由所述当前设备节点将上游设备节点发送的第一订阅消息转换为第二订阅消息，包括：当所述数据包转换条件为所述当前设备节点是网际互联协议地址隧道的入口设备节点时，控制所述当前设备节点对所述第一订阅消息的谓词前封装预设谓词，以将所述第一订阅消息转换为封装有预设谓词的所述第二订阅消息。5.根据权利要求1所述的分布式数据平面验证方法，其特征在于，所述调用所述下游设备节点执行对所述第二订阅消息的计数任务，并将对所述第二订阅消息的计数结果反馈给所述当前设备节点，包括：在有向无环图的有效路径上调取所述下游设备节点，并对所述下游设备节点进行初始化；控制所述下游设备节点的验证器基于分布式验证协议执行对所述第二订阅消息的计数任务，其中所述分布式验证协议用于规范各个设备节点上的验证器和预期相邻的...

【专利技术属性】
技术研发人员：向乔，邵涵洋，黄晨阳，文日娣，王宇昕，舒继武，
申请(专利权)人：厦门大学，
类型：发明
国别省市：