一种防止自动隧道环路生成的方法及装置制造方法及图纸

本发明专利技术实施例提供一种防止自动隧道环路生成的方法及装置，包括：为了防止自动隧道环路的发生，可以在IPv6报文进行封装/解封装之前，针对IPv6报文的地址前缀和IPv4地址进行合法性的判断，并在确定IPv6报文的地址前缀合法，且IPv4地址合法时，对IPv6报文进行封装/解封装，进而实现报文转发。由于在报文的传输过程中，对IPv6报文进行封装/解封装之前，可以进行实时的安全性检测，丢弃会产生自动隧道环路的报文，因此实现了自动隧道环路问题的有效预防，进而可以避免发生隧道环路攻击和DOS攻击。

【技术实现步骤摘要】

本专利技术涉及通信领域，尤其涉及一种防止自动隧道环路生成的方法及装置。
技术介绍
隧道(tunnel)是指一种协议封装到另一种协议中进行传输的技术，隧道技术要求隧道两端(协议边界)的设备支持这两种协议。IPv6穿越IPv4隧道技术提供了利用现有IPv4网络为孤立的IPv6网络提供连通性的方案，IPv6报文封装在IPv4报文中穿越IPv4网络，从而实现IPv6报文的透明传输。隧道技术的优点是，不需要所有设备都升级为双栈，利用现有IPv4网络基础设 施，只要求IPv4/IPv6网络的边缘设备实现双栈和隧道功能。在IPv4向IPv6的过渡时期，隧道技术在过渡技术中扮演重要角色。隧道的实现机制可以如图I所示。其中支持IPv6隧道的边缘路由器收到IPv6报文后，将IPv6报文封装在IPv4报文中，将封装后的IPv4报文转发到隧道目的路由器。接收到隧道报文的目的路由器，解封装去掉IPv4头部后，恢复成IPv6报文继续转发。Xover4隧道指IPv6报文或者IPv4报文穿越IPv4网络的隧道技术。Xover4隧道是将IPv6/4报文封装到IPv4报文中的隧道封装技术，它具备2. 5层协议的特性。隧道封装过程相当于报文链路封装，解封装过程相当于报文链路解封装，即外层封装的IPv4报文头相当于链路层信息。如图2所示，下面以IPv6报文穿越IPv4网络为例，对Xover4隧道封装和解封装过程原理进行分析。节点S需要穿越IPv4网络访问目的节点D。当节点S发送的IPv6报文经过IPv6网络到达隧道入口路由器Rl时，Rl对S发送的IPv6报文进行隧道封装，并将封装后的IPv4隧道报文转发到IPv4网络进行传输。隧道报文经过IPv4网络路由转发(比如R2路由器)并最终到达隧道出口路由器R3，R3对隧道报文进行解封装处理，并将解封装后的IPv6转发到目的节点D，此时完成隧道封装和解封装整个处理过程。自动隧道属于XoVer4隧道的一种类型，是指IPv6报文穿越IPv4网络的一种隧道技术，包括 IPv6-IPv4auto、IPv6-IPv46to4、IPv6_IPv4ISATAP、6RD 等隧道类型，自动隧道不需要指定目的地址，但必须使用协议规定好的与隧道类型匹配的特殊格式IPv6地址。对于进入隧道的报文，都可以从这种特殊格式的IPv6地址中取出内嵌的IPv4地址，作为隧道目的地址进行报文封装和解封装。IPv6组播地址不支持这种特殊格式，因此也就无法在自动隧道上承载组播报文的转发。虽然目前在IPv6/IPv4的转换过程中，隧道扮演了一个非常重要的角色，但是在IPv6自动隧道中，容易形成隧道环路攻击，影响网络的稳定性，或者形成隧道环路后，进一步形成拒绝服务(DOS)攻击，增加网络的负载。例如，如果因为某种网络路由原因，导致隧道路由器Rl将封装后的隧道报文经过IPv4网络传输到隧道路由器R2的隧道接口上进行解封装处理，隧道路由器R2将解封装后的原始IPv6报文又路由回了隧道路由器R1。此时隧道路由器Rl又会再次对此IPv6报文进行隧道封装，网络环境中出现多次隧道路由器Rl对同一个报文进行隧道封装和隧道路由器R2对同一个报文进行解封装处理现象，从而形成隧道环路。隧道环路的示意图可以如图3所示。针对这种隧道环路现象，可以通过设置跳限制来进行规避。具体的，原始的IPv6报文在每次经过隧道路由器Rl和R2之 间的隧道封装和解封装处理后，进入IPv6网络进行相应的转发，将使得IPv6报文的跳限制(Hop Limit)逐渐被减少。当原始IPv6报文跳限制值被减少为I后，不允许对该IPv6报文进行转发，从而使得隧道环路消失。但设置跳限制的方法不能从根本上避免隧道环路的产生。为了防止隧道环路的产生，现有技术方案是避免使用IPv4共享链路，包括通过过滤IPv4协议号为41的报文、配置单一隧道，或者通过避免在链路上配置前缀这三种方式来减少隧道环路的发生。其中，过滤IPv4协议号为41的报文虽然简单，但是IPv4网络对所有接口的连通性是至关重要的，尤其是在6to4自动隧道中，该方式对接口的连通性影响较大。配置单一隧道方式，在大型的IPv4网络中，会存在配置管理比较繁琐的问题。而避免在链路上配置前缀，仅适用于ISATAP自动隧道，而对于附有前缀的自动隧道(如6to4自动隧道、6RD自动隧道等)不能适用。综上所述，现有的防止隧道环路的方式均存在这样或那样的问题，无法很好地解决防止自动隧道环路的问题。
技术实现思路
本专利技术实施例提供一种防止自动隧道环路生成的方法及装置，用于防止产生自动隧道环路。一种防止自动隧道环路生成的方法，所述方法包括确定网络设备中需要穿越自动隧道的IPv6报文；确定所述IPv6报文的地址前缀是否合法，以及确定所述IPv6报文中内嵌的IPv4地址是否合法；在确定所述IPv6报文的地址前缀合法，且所述IPv6报文的IPv4地址合法时，为所述IPv6报文封装IPv4隧道头部，否则，丢弃所述IPv6报文。一种防止自动隧道环路生成的方法，所述方法包括确定网络设备从自动隧道接收到的封装有IPv4隧道头部的IPv6报文；确定所述IPv6报文的地址前缀是否合法，以及确定所述封装有IPv4隧道头部的IPv6报文中的IPv4地址是否合法；在确定所述IPv6报文的地址前缀合法，且所述封装有IPv4隧道头部的IPv6报文中的IPv4地址合法时，为所述IPv6报文解封装IPv4隧道头部，否则，丢弃所述IPv6报文。一种防止自动隧道环路生成的装置，所述装置包括确定单元，用于确定网络设备中需要穿越自动隧道的IPv6报文；合法性检测单元，用于确定所述IPv6报文的地址前缀是否合法，以及确定所述IPv6报文中内嵌的IPv4地址是否合法；封装单元，用于在确定所述IPv6报文的地址前缀合法，且所述IPv6报文的IPv4地址合法时，为所述IPv6报文封装IPv4隧道头部，否则，丢弃所述IPv6报文。一种防止自动隧道环路生成的装置，所述装置包括确定单元，用于确定网络设备从自动隧道接收到的封装有IPv4隧道头部的IPv6报文；合法性检测单元，用于确定所述IPv6报文的地址前缀是否合法，以及确定所述封装有IPv4隧道头部的IPv6报文中的IPv4地址是否合法；解封装单元，用于在确定所述IPv6报文的地址前缀合法，且所述封装有IPv4隧道头部的IPv6报文中的IPv4地址合法时，为所述IPv6报文解封装IPv4隧道头部，否则，丢弃所述IPv6报文。 根据本专利技术实施例提供的方案，为了防止自动隧道环路的发生，可以在IPv6报文进行封装/解封装之前，针对IPv6报文的地址前缀和IPv4地址进行合法性的判断，并在确定IPv6报文的地址前缀合法，且IPv4地址合法时，对IPv6报文进行封装/解封装，进而实现报文转发。由于在报文的传输过程中，对IPv6报文进行封装/解封装之前，可以进行实时的安全性检测，丢弃会产生自动隧道环路的报文，因此实现了自动隧道环路问题的有效预防，进而还可以避免DOS攻击。附图说明图I为现有技术提供的隧道的实现机制示意图；图2为现有技术提供的IPv6报文芽越IPv4网络不意图；图3为现有技术提供的隧道环路示意图；图4为本专利技术实施例一提供的防止自动隧道环路生成的方法的步骤流本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种防止自动隧道环路生成的方法，其特征在于，所述方法包括 确定网络设备中需要穿越自动隧道的IPv6报文； 确定所述IPv6报文的地址前缀是否合法，以及确定所述IPv6报文中内嵌的IPv4地址是否合法； 在确定所述IPv6报文的地址前缀合法，且所述IPv6报文的IPv4地址合法时，为所述IPv6报文封装IPv4隧道头部，否则，丢弃所述IPv6报文。2.如权利要求I所述的方法，其特征在于，确定所述IPv6报文的地址前缀是否合法，具体包括 确定所述IPv6报文的目的地址前缀和源地址前缀是否包括在隧道IPv6前缀列表中；在确定所述IPv6报文的目的地址前缀包括在隧道IPv6前缀列表中，且源地址前缀包括在隧道IPv6前缀列表中时，确定所述IPv6报文的地址前缀合法，否则，确定所述IPv6报文的地址前缀非法； 所述隧道IPv6前缀列表中包括分配给所述自动隧道的每个IPv6地址前缀。3.如权利要求2所述的方法，其特征在于，确定所述IPv6报文的目的地址前缀和源地址前缀是否包括在隧道IPv6前缀列表中，具体包括 在从网络设备的本地接口向网络设备的隧道接口转发所述IPv6报文时，确定所述IPv6报文的目的地址前缀和源地址前缀是否包括在所述隧道IPv6前缀列表中；或者，在网络设备的隧道接口接收到所述IPv6报文时，确定所述IPv6报文的目的地址前缀和源地址前缀是否包括在所述隧道IPv6前缀列表中； 所述本地接口用于实现网络设备与IPv6网络的连接，所述隧道接口用于实现网络设备与IPv4网络的连接。4.如权利要求f3任一所述的方法，其特征在于,确定所述IPv6报文中内嵌的IPv4地址是否合法，具体包括 确定所述IPv6报文的目的地址中内嵌的IPv4地址和源地址中内嵌的IPv4地址是否属于所述网络设备配置的IPv4地址集； 在确定所述IPv6报文的目的地址中内嵌的IPv4地址属于所述IPv4地址集，且源地址中内嵌的IPv4地址属于所述IPv4地址集时，确定所述IPv6报文的IPv4地址合法，否则，确定所述IPv6报文的IPv4地址非法。5.如权利要求4所述的方法，其特征在于，确定所述IPv6报文的目的地址中内嵌的IPv4地址和源地址中内嵌的IPv4地址是否属于所述网络设备配置的IPv4地址集，具体包括 在从网络设备的本地接口向网络设备的隧道接口转发所述IPv6报文时，确定所述IPv6报文的目的地址中内嵌的IPv4地址和源地址中内嵌的IPv4地址是否属于所述IPv4地址集；或者， 在网络设备的隧道接口接收到所述IPv6报文时，确定所述IPv6报文的目的地址中内嵌的IPv4地址和源地址中内嵌的IPv4地址是否属于所述IPv4地址集； 所述本地接口用于实现网络设备与IPv6网络的连接，所述隧道接口用于实现网络设备与IPv4网络的连接。6.一种防止自动隧道环路生成的方法，其特征在于，所述方法包括确定网络设备从自动隧道接收到的封装有IPv4隧道头部的IPv6报文； 确定所述IPv6报文的地址前缀是否合法，以及确定所述封装有IPv4隧道头部的IPv6报文中的IPv4地址是否合法； 在确定所述IPv6报文的地址前缀合法，且所述封装有IPv4隧道头部的IPv6报文中的IPv4地址合法时，为所述IPv6报文解封装IPv4隧道头部，否则，丢弃所述IPv6报文。7.如权利要求6所述的方法，其特征在于，确定所述IPv6报文的地址前缀是否合法，具体包括 确定所述IPv6报文的目的地址前缀和源地址前缀是否包括在隧道IPv6前缀列表中；在确定所述IPv6报文的目的地址前缀包括在隧道IPv6前缀列表中，且源地址前缀包括在隧道IPv6前缀列表中时，确定所述IPv6报文的地址前缀合法，否则，确定所述IPv6报文的地址前缀非法； 所述隧道IPv6前缀列表中包括分配给所述自动隧道的每个IPv6地址前缀。8.如权利要求7所述的方法，其特征在于，确定所述IPv6报文的目的地址前缀和源地址前缀是否包括在隧道IPv6前缀列表中，具体包括 在从网络设备的隧道接口向网络设备的本地接口转发所述IPv6报文时，确定所述IPv6报文的目的地址前缀和源地址前缀是否包括在所述隧道IPv6前缀列表中；或者，在网络设备的本地接口接收到所述IPv6报文时，确定所述IPv6报文的目的地址前缀和源地址前缀是否包括在所述隧道IPv6前缀列表中； 所述本地接口用于实现网络设备与IPv6网络的连接，所述隧道接口用于实现网络设备与IPv4网络的连接。9.如权利要求6 8任一所述的方法，其特征在于，确定所述封装有IPv4隧道头部的IPv6报文中的IPv4地址是否合法，具体包括 确定所述IPv6报文的目的地址中内嵌的IPv4地址和源地址中内嵌的IPv4地址是否属于所述网络设备配置的IPv4地址集；在确定所述IPv6报文的目的地址中内嵌的IPv4地址属于所述IPv4地址集，且源地址中内嵌的IPv4地址属于所述IPv4地址集时，确定所述封装有IPv4隧道头部的IPv6报文中的IPv4地址合法，否则，确定所述封装有IPv4隧道头部的IPv6报文中的IPv4地址非法；或者， 确定所述IPv4隧道头部中的目的地址和源地址是否属于所述网络设备配置的IPv4地址集；在确定所述IPv4隧道头部中的目的地址属于所述IPv4地址集，且所述IPv4隧道头部中的源地址属于所述IPv4地址集时，确定所述封装有IPv4隧道头部的IPv6报文中的IPv4地址合法，否则，确定所述封装有IPv4隧道头部的IPv6报文中的IPv4地址非法。10.如权利要求9所述的方法，其特征在于，确定所述IPv6报文的目的地址中内嵌的IPv4地址和源地址中内嵌的IPv4地址是否属于所述网络设备配置的IPv4地址集，具体包括 在从网络设备的隧道接口向网络设备的本地接口转发所述IPv6报文时，确定所述IPv6报文的目的地址中内嵌的IPv4地址和源地址中内嵌的IPv4地址是否属于所述IPv4地址集；或者， 在网络设备的本地接口接收到所述IPv6报文时，确定所述IPv6报文的目的地址中内嵌的IPv4地址和源地址中内嵌的IPv4地址是否属于所述IPv4地址集；确定所述IPv4隧道头部中的目的地址和源地址是否属于所述网络设备配置的IPv4地址集，具体包括 在从网络设备的隧道接口向网络设备的本地接口转发所述IPv6报文时，确定所述IPv4隧道头部中的目的地址和源地址是否属于所述网络设备配置的IPv4地址集；或者， 在网络设备的本地接口接收到所述IPv6报文时，确定所述IPv4隧道头部中的目的地址和源地址是否属于所述网络设备配置的IPv4地...

【专利技术属性】
技术研发人员：黄志忠，钟岳林，
申请(专利权)人：北京星网锐捷网络技术有限公司，
类型：发明
国别省市：