报文处理方法、装置及网络设备制造方法及图纸

本发明专利技术提供一种报文处理方法、装置及网络设备。方法包括：硬件芯片根据第一过滤表和/或第二过滤表，对接收到的数据报文进行转发或丢弃处理；第一过滤表包括允许转发的数据报文对应的源地址和接收端口的绑定关系，第二过滤表包括正在进行软件处理的数据报文对应的源地址和接收端口的绑定关系；当根据第一过滤表和所述第二过滤表无法确定转发或丢弃数据报文时，硬件芯片将据报文发送给CPU，以进行软件处理；CPU根据数据报文，对数据报文的源地址进行可达性检测，以对数据报文进行转发或丢弃处理，并丢弃数据报文。采用本发明专利技术技术方案可以提高报文处理效率，节约CPU资源。

【技术实现步骤摘要】

本专利技术涉及网络通信技术，尤其涉及一种报文处理方法、装置及网络设备。
技术介绍
在传统的因特网体系结构中，报文的转发主要是基于目的网际协议anternet Protocol ；简称为IP)地址，源IP地址不起任何作用，因此，攻击者经常利用源地址的不可追踪性伪造大量攻击报文发送给网络设备，以对网络设备进行攻击。为了提高报文转发和网络设备的安全性，互联网工程任务组(Internet Engineering Task R)rce ；简称为 IETF)源地址验证提高(Source Address Validation Improvement ；简称为SAVI)工作组提出了 SAVI协议以对源IP地址进行验证，防止攻击。在SAVI中，需要证据证明报文确实来自其源IP地址所标识的网络设备，故提出了绑定锚的概念。绑定锚具有不易伪造性，目前较为常用的是采用部署SAVI的交换机(后续简称为SAVI设备)的端口号作为绑定锚， 即通过将SAVI设备的端口号与IP地址绑定来唯一确定报文发送者的身份。其中，SAVI设备主要通过过滤表(Filtering Table ；简称为FT)和绑定状态表 (Bind本文档来自技高网...

【技术保护点】
１．一种报文处理方法，其特征在于，包括：源地址验证提高ＳＡＶＩ设备的硬件芯片根据第一过滤表和／或第二过滤表，对接收到的数据报文进行转发或丢弃处理；所述第一过滤表包括允许转发的数据报文对应的源地址和接收端口的绑定关系，所述第二过滤表包括正在进行软件处理的数据报文对应的源地址和接收端口的绑定关系；当根据所述第一过滤表和所述第二过滤表无法确定转发或丢弃所述数据报文时，所述硬件芯片将所述数据报文发送给所述ＳＡＶＩ设备的中央处理器ＣＰＵ，以进行软件处理；所述ＣＰＵ根据所述数据报文，对所述数据报文的源地址进行可达性检测，并根据可达性检测结果更新所述第一过滤表和所述第二过滤表，以使所述硬件芯片根据更新后的第...

【技术特征摘要】
1.一种报文处理方法，其特征在于，包括源地址验证提高SAVI设备的硬件芯片根据第一过滤表和/或第二过滤表，对接收到的数据报文进行转发或丢弃处理；所述第一过滤表包括允许转发的数据报文对应的源地址和接收端口的绑定关系，所述第二过滤表包括正在进行软件处理的数据报文对应的源地址和接收端口的绑定关系；当根据所述第一过滤表和所述第二过滤表无法确定转发或丢弃所述数据报文时，所述硬件芯片将所述数据报文发送给所述SAVI设备的中央处理器CPU，以进行软件处理；所述CPU根据所述数据报文，对所述数据报文的源地址进行可达性检测，并根据可达性检测结果更新所述第一过滤表和所述第二过滤表，以使所述硬件芯片根据更新后的第一过滤表和/或更新后的第二过滤表对来自所述源地址的后续数据报文进行转发或丢弃处理，并丢弃所述数据报文。2.根据权利要求1所述的报文处理方法，其特征在于，所述源地址验证提高SAVI设备的硬件芯片根据第一过滤表和/或第二过滤表，对接收到的数据报文进行转发或丢弃处理包括当所述数据报文的源网际协议IP地址、源介质访问控制MAC地址和接收所述数据报文的接收端口之间的绑定关系存在于所述第一过滤表中时，所述硬件芯片转发所述数据报文；当所述源IP地址、所述源MAC地址和所述接收端口之间的绑定关系存在于所述第二过滤表中时，所述硬件芯片丢弃所述数据报文；当所述源IP地址、所述源MAC地址和所述接收端口之间的绑定关系不存在于所述第一过滤表中且不存在于所述第二过滤表中时，所述硬件芯片确定根据所述第一过滤表和所述第二过滤表无法确定转发或丢弃所述数据报文。3.根据权利要求1或2所述的报文处理方法，其特征在于，所述CPU根据所述数据报文，对所述数据报文的源地址进行可达性检测，并根据可达性检测结果更新所述第一过滤表和所述第二过滤表，以使所述硬件芯片根据更新后的第一过滤表和/或更新后的第二过滤表对来自所述源地址的后续数据报文进行转发或丢弃处理，包括所述CPU解析获取所述数据报文的源网际协议IP地址、源介质访问控制MAC地址和接收端口 ；所述CPU根据所述源IP地址、所述源MAC地址和所述接收端口，对所述源IP地址和所述源MAC地址进行可达性检测；当检测结果为所述源IP地址和所述源MAC地址可达时，所述CPU对所述第一过滤表进行更新操作，以使更新后的第一过滤表包括所述源IP地址、所述源MAC地址和所述接收端口之间的绑定关系；当检测结果为所述源IP地址和所述源MAC地址不可达时，所述CPU对所述第二过滤表进行更新操作，以使更新后的第二过滤表包括所述源IP地址、所述源MAC地址和所述接收端口之间的绑定关系。4.根据权利要求3所述的报文处理方法，其特征在于，所述CPU根据所述源IP地址、所述源MAC地址和所述接收端口，对所述源IP地址和所述源MAC地址进行可达性检测之前包括所述CPU根据所述源IP地址、所述源MAC地址和所述接收端口，查询第三过滤表，判断所述第三过滤表中是否存在所述源IP地址、所述源MAC地址和所述接收端口之间的绑定关系；所述第三过滤表中存储有正在进行可达性检测的数据报文的源地址和接收端口的绑定关系；当所述第三过滤表中不存在所述源IP地址、所述源MAC地址和所述接收端口之间的绑定关系时，所述CPU根据所述源IP地址、所述源MAC地址和所述接收端口，对所述源IP地址和所述源MAC地址进行可达性检测。5.根据权利要求4所述的报文处理方法，其特征在于，所述CPU根据所述源IP地址、所述源MAC地址和所述接收端口，对所述源IP地址和所述源MAC地址进行可达性检测包括所述CPU将所述源IP地址、所述源MAC地址和所述接收端口之间的绑定关系分别存储到所述第二过滤表和所述第三过滤表中；所述CPU向所述接收端口发送回声请求报文，并判断是否接收到来自所述源IP地址和所述源MAC地址的回声应答报文，以检测所述源IP地址和所述源MAC地址是否可达，所述回声请求报文的目的IP地址为所述源IP地址、目的MAC地址为所述源MAC地址；当接收到来自所述源IP地址和所述源MAC地址的回声应答报文时，所述CPU确定所述源IP地址和所述源MAC地址可达；当未接收到来自所述源IP地址和所述源MAC地址的回声应答报文时，所述CPU确定所述源IP地址和所述源MAC地址不可达。6.根据权利要求5所述的报文处理方法，其特征在于，所述CPU对所述第二过滤表进行更新操作，以使更新后的第二过滤表包括所述源IP地址、所述源MAC地址和所述接收端口之间的绑定关系包括所述CPU设置所述第二过滤表中所述源IP地址、所述源MAC地址和所述接收端口之间的绑定关系的状态为不可信。7.根据权利要求6所述的报文处理方法，其特征在于，还包括所述CPU在设置所述第二过滤表中所述源IP地址、所述源MAC地址和所述接收端口之间的绑定关系的状态为不可信时，启动状态计时器；当所述状态计时器计时结束时，所述CPU将所述源IP地址、所述源MAC地址和所述接收端口之间的绑定关系从所述第二过滤表中删除。8.根据权利要求4所述的报文处理方法，其特征在于，所述CPU根据所述源IP地址、所述源MAC地址和所述接收端口，查询第三过滤表，判断所述第三过滤表中是否存在所述源 IP地址、所述源MAC地址和所述接收端口之间的绑定关系之前包括所述CPU根据所述接收端口，查询所述第三过滤表，判断包括所述接收端口的绑定关系的数目是否小于预设绑定关系阈值；当所述判断结果为不小于时，结束此次操作；当所述判断结果为小于时，所述CPU执行根据所述源IP地址、所述源MAC地址和所述接收端口，查询第三过滤表，判断所述第三过滤表中是否存在所述源IP地址、所述源MAC地址和所述接收端口之间的绑定关系的操作。9.根据权利要求5或6或7或8所述的报文处理方法，其特征在于，所述CPU根据所述源IP地址、所述源MAC地址和所述接收端口，对所述源IP地址和所述源MAC地址进行可达性检测之后包括所述CPU将所述源IP地址、所述源MAC地址和所述接收端口之间的绑定关系从所述第三过滤表中删除。10.根据权利要求5或6或7或8所述的报文处理方法，其特征在于，还包括 当所述CPU确定所述源IP地址和所述源MAC地址不可达时，所述CPU判断检测次数是否为0;当所述检测次数不为0时，所述CPU将所述检测次数减1，并等待预设时间间隔后，继续执行向所述接收端口发送回声请求报文，以检测所述源IP地址和所述源MAC地址是否可达的操作；当所...

【专利技术属性】
技术研发人员：杨振亮，周骏，
申请(专利权)人：北京星网锐捷网络技术有限公司，
类型：发明
国别省市：11