[发明专利]报文处理方法、装置及网络设备

说明书

技术领域

本发明涉及网络通信技术，尤其涉及一种报文处理方法、装置及网络设备。

背景技术

在传统的因特网体系结构中，报文的转发主要是基于目的网际协议(Internet Protocol；简称为：IP)地址，源IP地址不起任何作用，因此，攻击者经常利用源地址的不可追踪性伪造大量攻击报文发送给网络设备，以对网络设备进行攻击。为了提高报文转发和网络设备的安全性，互联网工程任务组(Internet Engineering Task Force；简称为：IETF)源地址验证提高(Source Address Validation Improvement；简称为：SAVI)工作组提出了SAVI协议以对源IP地址进行验证，防止攻击。在SAVI中，需要证据证明报文确实来自其源IP地址所标识的网络设备，故提出了绑定锚的概念。绑定锚具有不易伪造性，目前较为常用的是采用部署SAVI的交换机(后续简称为SAVI设备)的端口号作为绑定锚，即通过将SAVI设备的端口号与IP地址绑定来唯一确定报文发送者的身份。

其中，SAVI设备主要通过过滤表(Filtering Table；简称为：FT)和绑定状态表(Binding State Table；简称为：BST)来记录绑定关系和绑定状态。其中，FT存储绑定关系，是对报文进行过滤的依据。BST记录源IP地址和端口号之间的绑定状态，用于控制FT中表项的建立和撤销。其中，绑定关系的建立是通过嗅探地址分配过程中的控制报文来完成的，控制报文是指初始化地址分配过程中与绑定关系建立有关的报文，例如：动态主机配置协议第4版(Dynamic Host Configuration Protocol Version 4；简称为：DHCPv4)或动态主机配置协议第6版(Dynamic Host Configuration Protocol Version 4；简称为：DHCPv6)请求(Request)报文、DHCPv6确认(Confirm)报文、带快速提交(Rapid Commit)选项的DHCPV6冲突(Solicitation)报文、地址重复检测(Duplicate Address Detection；简称为：DAD)过程中的邻居请求(Neighbor Solicitation；简称为：NS)报文等。

在无状态地址自动配置(Stateless Address Auto Configuration；简称为：SLAAC)网络环境中，与SAVI设备连接的主机在其端口学习到新的IPv6地址后或者在其端口状态由未连接(link down)进入连接(link up)状态后，发送NS报文，以进行DAD检测。SAVI设备接收控制报文，即DAD过程中的NS报文，基于NS报文在BST中建立发送NS报文的主机的IP地址与端口号的绑定状态；并在重复地址检测成功后根据BST表中的状态在FT表中新建绑定关系表项。当通过对地址分配过程的嗅探建立了绑定关系之后，SAVI设备根据FT对接收到的报文进行过滤，即根据FT判断报文的源IP地址是否存在FT中；如果报文的源IP地址存在FT中，则转发该报文；否则，丢弃该报文。由于与SAVI设备连接的主机仅会在其端口状态变化后很短时间间隔内发送一次NS报文，如果SAVI设备的端口由于某些原因(例如硬件工业性的原因)延迟一段时间发生变化，这样NS报文会在SAVI设备的端口进入link up之前到达端口，导致NS报文被丢弃，进而造成SAVI设备无法为该主机新建绑定关系表项，使得该主机后续发送的数据报文无法被转发。

针对因NS报文丢失而造成后续数据报文无法转发的问题，现有技术采用如下技术方案：SAVI设备接收数据报文，并判断BST中是否存在数据报文的源IP地址，然后将数据报文上报给中央处理器(Center Processing Unit；简称为：CPU)，由CPU判断数据报文的源IP地址和端口信息是否存在FT中，如果存在则转发报文；否则，CPU查看SAVI设备接收报文的端口是否处于监听状态，如果否，将报文丢弃不转发，如果是，则关闭接收报文的端口，并根据数据报文中的地址信息检测发送数据报文的主机是否可达；如果判断结果为可达，则分别在FT和BST中为该主机建立相应的绑定表项，转发该数据报文并重新开启接收报文的端口；如果判断结果为不可达，则丢弃该数据报文，并重新开启接收报文的端口。该技术方案使得SAVI设备在NS报文丢失的情况下，能够成功转发接收到的数据报文，但是，该技术方案需要消耗SAVI设备大量的软件资源，报文转发效率较低。

发明内容