【技术实现步骤摘要】
保护多协议标签交换(MPLS)有效负载
[0001]本公开涉及网络技术,更具体地,涉及保护多协议标签交换
(MPLS) 有效负载
。
技术介绍
[0002]在标签交换网络中,基于数据分组的标签
(
例如,而不是使用网络互联网协议
(IP)
地址
)
来将数据分组从入口网络设备转发到出口网络设备
。
数据分组通过标签交换网络的路径被称为标签交换路径
(LSP)。
技术实现思路
[0003]本文描述的一些实现涉及一种方法
。
该方法可以包括:由多协议标签交换
(MPLS)
网络的入口网络设备接收去往
(destined for)
目的地网络设备的分组
。
该方法可以包括:由入口网络设备基于分组来确定用以保护分组的安全功能以及与标签交换路径
(LSP)
相关联的标签,该
LSP 从入口网络设备到
MPLS
网络的与目的地网络设...
【技术保护点】
【技术特征摘要】
1.
一种方法,包括:由多协议标签交换
MPLS
网络的入口网络设备接收去往目的地网络设备的分组;由所述入口网络设备基于所述分组,确定用以保护所述分组的安全功能以及与标签交换路径
LSP
相关联的标签,所述标签交换路径
LSP
从所述入口网络设备到所述
MPLS
网络的与所述目的地网络设备相关联的出口网络设备;由所述入口网络设备使用所述安全功能,将所述分组加密以生成加密的分组;由所述入口网络生成
MPLS
分组,所述
MPLS
分组包括:
MPLS
报头,所述
MPLS
报头包括所述标签和安全功能指示符,安全
MPLS
数据报头,所述安全
MPLS
数据报头包括标识所述安全功能的信息,以及
MPLS
有效负载,所述
MPLS
有效负载包括所述加密的分组;以及由所述入口网络设备基于所述标签,转发所述
MPLS
分组
。2.
根据权利要求1所述的方法,其中所述分组是第2层分组或第3层分组
。3.
根据权利要求1所述的方法,其中所述安全功能指示符指示所述安全功能提供跳到跳安全性或端到端安全性
。4.
根据权利要求1所述的方法,其中标识所述安全功能的所述信息包括以下至少一项:安全参数索引值,序列号值,或完整性校验值
。5.
根据权利要求1所述的方法,还包括:在接收所述分组之前,与出口网络设备通信以在所述入口网络设备与所述出口网络设备之间建立安全性关联
。6.
根据权利要求5所述的方法,其中与所述目的地网络设备通信包括:与所述出口网络设备交换互联网密钥交换
IKE
消息,以在所述入口网络设备与所述出口网络设备之间建立所述安全性关联
。7.
根据权利要求1所述的方法,还包括:接收去往所述目的地网络设备的另一分组;基于所述另一分组,确定与从所述入口网络设备到所述出口网络设备的所述
LSP
相关联的所述标签;基于所述另一分组确定所述另一分组将不被加密;基于确定所述另一分组将不被加密,生成另一
MPLS
分组,所述另一
MPLS
分组包括:另一
MPLS
报头,所述另一
MPLS
报头包括所述标签,其中所述另一
MPLS
报头不包括另一安全功能指示符,以及另一
MPLS
有效负载,所述另一
MPLS
有效负载包括所述另一分组;以及基于所述标签转发所述另一
MPLS
分组
。8.
根据权利要求1所述的方法,还包括:接收另一
MPLS
分组,所述另一
MPLS
分组包括另一
MPLS
报头
、
另一安全
MPLS
数据报头
、
以及另一
MPLS
有效负载;处理所述另一
MPLS
报头,以确定与另一
LSP
相关联的第一其他标签和另一安全功能指示符;
基于所述另一安全功能指示符,确定所述入口网络设备将不解密所述另一
MPLS
分组的所述另一
MPLS
有效负载;基于确定所述入口网络设备将不解密所述另一
MPLS
分组的所述另一
MPLS
有效负载,生成与所述另一
LSP
相关联的第二其他标签;更新所述另一
MPLS
分组的所述另一
MPLS
报头,以包括所述第二其他标签而不是所述第一其他标签;以及基于所述第二其他标签来转发所述另一
MPLS
分组
。9.
根据权利要求1所述的方法,还包括:接收第一其他
MPLS
分组,所述第一其他
MPLS
分组包括第一其他
MPLS
报头
、
第一其他安全
MPLS
数据报头
、
以及第一其他
MPLS
有效负载;处理所述第一其他
MPLS
报头以确定与另一
LSP
相关联的第一其他标签和另一安全功能指示符;基于所述第一其他标签和所述另一安全功能指示符,确定所述入口网络设备将解密所述第一其他
MPLS
分组的所述第一其他
MPLS
有效负载;基于确定所述入口网络设备将解密所述第一其他
MPLS
有效负载并且基于所述第一其他安全
MPLS
数据报头来标识用于解密所述第一其他
MPLS
有效负载的另一安全功能;使用所述另一安全功能来解密所述第一其他
MPLS
有效负载以生成解密的分组;以及基于所述解密的分组来执行一个或多个动作
。10.
根据权利要求9所述的方法,其中执行所述一个或多个动作包括:基于被包括在所述解密的分组中的目的地信息,将解密的所述分组转发给另一目的地网络设备
。11.
根据权利要求9所述的方法,其中执行所述一个或多个动作包括:使用所述另一安全功能来加密所述解密的分组,以生成重新加密的分组;生成第二其他
MPLS
分组,所述第二其他
MPLS
分组包括:第二其他
MPLS
报头,所述第二其他
MPLS
报头包括与所述另一
LSP
相关联的第二其他标签和所述另一安全功能指示符,第二其他安全
MPLS
数据报头,所述第二其他安全
MPLS
数据报头包括标识所述另一安全功能的信息,以及第二其他
MPLS
有效负载,所述第二其他
MPLS
有效负载包括所述重新加密的分组;以及基于所述第二其他标签来转发所述第二其他
MPLS
分组
。12.
一种非瞬态计算机可读介质,存储一组指令,所述一组指令包括:一个或多个指令,当由入口网络设备的一个或多个处理器执行时,使所述入口网络设备:接收去往目的地网络设备的分组;使用安全功能加密所述分组以生成加密的分组;生成
MPLS
分组,所述
MPLS
分组包括:
MPLS
报头,所述
MPLS
报头包括:与标签交换路径
LSP
相关联的标签,所述
LSP
从所...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。