本申请提供一种通信方法及装置,所述方法应用于第一网络设备,所述第一网络设备处于SRv6组网中,所述第一网络设备内已建立源验证表,组成所述源验证表的源验证表项包括源业务地址,所述方法包括:当所述第一网络设备为转发路径中的出口节点时,接收第一业务报文,所述第一业务报文包括第一原始业务报文,所述第一原始业务报文包括第一源地址以及第一目的地址;若所述第一源地址与所述源验证表项包括的源业务地址匹配,则根据所述第一目的地址,向第一用户网络转发所述第一原始业务报文。向第一用户网络转发所述第一原始业务报文。向第一用户网络转发所述第一原始业务报文。
【技术实现步骤摘要】
通信方法及装置
[0001]本申请涉及通信
,尤其涉及一种通信方法及装置。
技术介绍
[0002]当前,云计算的快速发展对广域网提出了新的挑战。SD
‑
WAN作为重构广域网的核心技术,通过自动部署、集中控制、智能调度及可视化等手段,加速网络交付,优化应用体验,提高带宽利用率,简化网络运维,满足了云计算对广域网的需求。
[0003]智能调度是新一代广域网的关键能力,其对应用质量的保障、带宽资源的优化非常重要。现有的MPLS及RSVP
‑
TE等流量工程技术可以满足应用对带宽的差异化保障需求,但存在协议种类多、部署复杂、管理困难、可扩展性差等问题,无法满足新一代广域网所要求的动态部署、灵活调度、快速、可扩展等方面的要求。因此,提出了一种新技术,即,段路由(英文:Segment Routing,简称:SR)。
[0004]SR采用源节点路径选择机制,预先在源节点处封装转发路径所要经过段的段标识(英文:Segment Identifier,简称:SID)。当业务报文经过SR节点时,SR节点根据业务报文包括的SID对其进行转发。除源节点外,转发路径上的其它节点均无需维护路径状态。
[0005]IPv6段路由(英文:Segment Routing IPv6,简称:SRv6)是指基于IPv6转发平面实现SR。通过在IPv6报文内新增一SRv6扩展头(英文:Segment Routing Header,简称:SRH),并在SRH内存储SID列表(SID List)以显式指定IPv6报文的转发路径。SRv6为SD
‑
WAN网络提供了一种灵活高效的控制手段,具有部署简单、容易扩展的特点,能够更好地实现流量调度和路径优化,保障关键业务质量、均衡流量分布、提高专线利用率和降低线路成本的优势。
[0006]在SRv6网络中,业务报文在网络的任意位置均存在被劫持或被篡改的风险。由于业务报文穿越SRv6网络时,业务报文的源地址不会发生改变。基于此,在SRv6域的出口节点或目的业务所在的运营商边缘设备上验证源地址,以识别业务报文是否合法,仅有来自授信设备的业务报文才允许转发。
[0007]如图1所示,图1为现有SRv6 SDWAN overlay组网示意图。在正常情况下,经C
‑
PE1接入的用户站点(英文:Client Network,简称:CN)1内的终端设备仅可与从其他C
‑
PE接入的CN1的终端设备通信,与其他CN之间的业务相互隔离,业务报文不能相互转发。
[0008]但是,若C
‑
PE被劫持、误配置或误连接,则在转发业务报文时,可能将业务报文的目的地址更改为不正确的地址,导致原本应相互隔离的业务互访。例如,接入C
‑
PE1的CN1向接入C
‑
PE2的CN1发送业务报文。C
‑
PE1将该业务报文的目的地址更改为接入C
‑
PE4的CN3的业务SID。当业务报文到达IP骨干网的入口PE时,入口PE根据BSID绑定的路径引导业务报文。入口PE将业务报文转发至C
‑
PE4。若接入C
‑
PE4的CN3恰好存在匹配的业务SID,则业务报文转发至CN3内。对于应该完全隔离的CN来说,这是一个非常严重的安全漏洞。
技术实现思路
[0009]有鉴于此,本申请提供了一种通信方法及装置,用以解决现有Endpoint节点被劫
持、误配置或误连接并转发业务报文时,将业务报文的目的地址更改为不正确的地址,导致原本应相互隔离的业务互访的问题。
[0010]第一方面,本申请提供了一种通信方法,所述方法应用于第一网络设备,所述第一网络设备处于SRv6组网中,所述第一网络设备内已建立源验证表,组成所述源验证表的源验证表项包括源业务地址,所述方法包括:
[0011]当所述第一网络设备为转发路径中的出口节点时,接收第一业务报文,所述第一业务报文包括第一原始业务报文,所述第一原始业务报文包括第一源地址以及第一目的地址;
[0012]若所述第一源地址与所述源验证表项包括的源业务地址匹配,则根据所述第一目的地址,向第一用户网络转发所述第一原始业务报文。
[0013]第二方面,本申请提供了一种通信装置,所述装置应用于第一网络设备,所述第一网络设备处于SRv6组网中,所述第一网络设备内已建立源验证表,组成所述源验证表的源验证表项包括源业务地址,所述装置包括:
[0014]接收单元,用于当所述第一网络设备为转发路径中的出口节点时,接收第一业务报文,所述第一业务报文包括第一原始业务报文,所述第一原始业务报文包括第一源地址以及第一目的地址;
[0015]发送单元,用于若所述第一源地址与所述源验证表项包括的源业务地址匹配,则根据所述第一目的地址,向第一用户网络转发所述第一原始业务报文。
[0016]第三方面,本申请提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本申请第一方面所提供的方法。
[0017]因此,应用本申请提供的通信方法及装置,当第一网络设备为转发路径中的出口节点时,第一网络设备接收第一业务报文,该第一业务报文包括第一原始业务报文,第一原始业务报文包括第一源地址以及第一目的地址;若第一源地址与源验证表项包括的源业务地址匹配,则第一网络设备根据第一目的地址,向第一用户网络转发第一原始业务报文。
[0018]如此,在SRv6组网的出口节点处对原始业务报文的源地址进行验证,过滤来自未授信的用户网络的业务报文,可更精准地防御地址欺骗攻击。利用源验证表,出口节点仅允许来自可信用户网络的流量通过。同时,也解决了现有Endpoint节点被劫持、误配置或误连接并转发业务报文时,将业务报文的目的地址更改为不正确的地址,导致原本应相互隔离的业务互访的问题。
附图说明
[0019]图1为现有SRv6 SDWAN overlay组网示意图;
[0020]图2为本申请实施例提供的通信方法的流程图;
[0021]图3为本申请实施例提供的SRv6组网示意图;
[0022]图4为本申请实施例提供的通信装置结构图;
[0023]图5为本申请实施例提供的网络设备硬件结构体。
具体实施方式
[0024]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0025]在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种通信方法,其特征在于,所述方法应用于第一网络设备,所述第一网络设备处于SRv6组网中,所述第一网络设备内已建立源验证表,组成所述源验证表的源验证表项包括源业务地址,所述方法包括:当所述第一网络设备为转发路径中的出口节点时,接收第一业务报文,所述第一业务报文包括第一原始业务报文,所述第一原始业务报文包括第一源地址以及第一目的地址;若所述第一源地址与所述源验证表项包括的源业务地址匹配,则根据所述第一目的地址,向第一用户网络转发所述第一原始业务报文。2.根据权利要求1所述的方法,其特征在于,所述第一业务报文还包括SRv6报文头,所述SRv6报文头包括IPv6基本头;所述接收第一业务报文之后,所述方法还包括:从所述IPv6基本头中获取第二源地址;在本地记录所述第二源地址。3.根据权利要求2所述的方法,其特征在于,所述源验证表项还包括目的业务地址;所述根据所述第一目的地址,向第一用户网络转发所述第一原始业务报文之前,所述方法还包括:识别所述第一目的地址是否与所述目的业务地址相同;若相同,则根据所述第一目的地址,向所述第一用户网络转发所述第一原始业务报文。4.根据权利要求3所述的方法,其特征在于,所述源验证表项还包括SRv6隧道源地址;所述向第一用户网络转发所述第一原始业务报文之前,所述方法还包括:若相同,则识别所述所述第二源地址是否与所述SRv6隧道源地址相同;若相同,则根据所述第一目的地址,向所述第一用户网络转发所述第一原始业务报文。5.根据权利要求2所述的方法,其特征在于,所述IPv6基本头还包括第二目的地址;所述接收第一业务报文之后,所述方法还包括:根据所述第二目的地址,确定对应的VPN实例标识;从所述VPN实例标识对应的VPN实例下,获取所述源验证表。6.根据权利要求1所述的方法,其特征在于,所述接收第一业务报文之前,所述方法还包括:接收用户输入的第一配置指令,或者,接收网络控制器发送的第一配置指令,所述第一配置指令包括用户网络标识、VPN实例标识以及VPN SID;在所述用户网络标识对应的用户网络下,配置VPN实例标识对应的VPN实例,并为所述VPN实例配置VPN SID;接收所述用...
【专利技术属性】
技术研发人员:邱元香,
申请(专利权)人:新华三技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。