[发明专利]一种会话建立方法、系统及LSP出口节点及入口节点

说明书

本发明实施例提供了一种会话建立方法、系统及LSP出口节点及入口节点，属于数据通信技术领域。本发明在LSP入口节点发送的包含BFD鉴别值TLV的MPLS echo request报文中增加认证信息TLV。LSP出口节点使用认证信息TLV对LSP入口节点发送的包含BFD鉴别值TLV的MPLS echo request报文进行认证，认证通过后LSP出口节点才创建BFD会话。从而解决现有技术方案中，LSP出口节点通过接收包含BFD鉴别值TLV的MPLS echo request报文触发创建BFD会话的安全性问题。

技术领域

本发明涉及数据通信技术领域，具体而言，涉及一种会话建立方法、系统及LSP出口节点及入口节点。

背景技术

双向转发检测(Bidirectional Forwarding Detection，简称BFD)是一种用于快速检测网络中的路径连通状况的检测协议，可为各上层路由协议和多协议标签交换(Multiprotocol Label Switching，简称MPLS)等提供统一、持续及快速的故障检测能力。其中，使用BFD检测MPLS标签交换路径(Label Switched Path，简称LSP)时，出口节点的BFD会话建立方式为：入口节点建立会话后，向出口节点发送包含BFD鉴别值TLV(Type-Length-Value，类型-长度-值)的MPLS echo request报文，出口节点接收到该MPLS echo request报文后，通过其中的BFD鉴别值TLV获取到入口节点的会话鉴别值，然后创建本端BFD会话。上述出口节点的会话建立方式存在一定的安全性问题。如果网络中存在攻击者，恶意向出口节点持续大量的发送包含BFD鉴别值TLV的MPLS echo request报文，会导致出口节点的BFD会话资源耗尽，从而无法创建BFD会话。

发明人在研究中发现，针对该安全性问题主要存在以下两种解决方案：通过配置命令设置全局开关状态进行控制和通过配置ACL(Access Control List，访问控制列表)规则来控制MPLS echo request报文的接收。其中，第一种方案无法适用于需要使用BFD检测MPLS LSP功能的情况。第二种方案可以控制只允许接收满足规则限定条件的MPLS echorequest报文，比如限定报文的源IP地址，或限定报文的接收接口，但是存在部署复杂、安全性不高的缺点。

发明内容

本发明提供了一种会话建立方法、系统及LSP出口节点及入口节点，旨在有效提高使用BFD检测MPLS LSP时，LSP出口节点建立BFD会话的安全性。

第一方面，本发明实施例提供的一种会话建立方法，包括：

LSP出口节点接收LSP入口节点在创建本端BFD会话后发送的MPLS echo request报文，并对该MPLS echo request报文进行解析，得到解析结果；

根据所述解析结果判断所述MPLS echo request报文是否包含BFD鉴别值TLV；

当所述MPLS echo request报文包含BFD鉴别值TLV时，判断所述MPLS echorequest报文是否包含认证信息TLV；

当所述MPLS echo request报文包含认证信息TLV时，按照预先配置的认证类型和认证密钥判断所述MPLS echo request报文是否通过认证；

当所述MPLS echo request报文通过认证时，所述LSP出口节点创建本端BFD会话，并发送一MPLS echo reply报文给所述LSP入口节点。

第二方面，本发明实施例提供的一种LSP出口节点，与LSP入口节点通信连接，其中，所述LSP出口节点包括：

解析模块，用于接收LSP入口节点在创建本端BFD会话后发送的MPLS echorequest报文，并对该MPLS echo request报文进行解析，得到解析结果；