[发明专利]一种数据报文的处理方法、设备、存储介质及系统

说明书

本申请提供了一种数据报文的处理方法、设备、存储介质及系统。通过在段路由网络中应用一种标识网络设备微分段的微分段段标识的方式，使得在段路由网络中的第二网络设备在接收到需在段路由网络中转发的数据报文时，根据该数据报文确定对应的第一网络设备的一个微分段的微分段段标识，并在转发该数据报文的过程中携带该微分段段标识。从而使得在段路由网络中转发所述数据报文时，该段路由网络中的网络设备可以基于该微分段段标识对数据报文进行处理，实现基于微分段对数据报文进行访问控制。通过本申请提供的方法，有助于降低网络的配置复杂度。

技术领域

本申请涉及通信领域，一种数据报文的处理方法、设备、存储介质及系统。

背景技术

微分段(micro segmentation，MS)：是一种可以基于(Internet Protocol，IP)地址、IP网段、媒体访问控制(Media Access Control，MAC)地址、虚拟机(virtual machine，VM)名称、容器、操作系统等来实现子网划分的虚拟网络划分方式，可以支持细粒度的网络隔离，例如属于相同虚拟局域网(virtual local network，VLAN)的不同设备之间也能实现相互隔离。通常，一个微分段对应一个端点组。

端点组(end point group，EPG)是一组具有相同特征的端点的集合，端点提供应用或服务，例如端点可以是虚拟机。端点组表示一组应用或服务，这些应用或服务被分组到一个微分段中，可以具有相同的安全策略等级。

分段路由(segment routing，SR)是基于源路由的理念而设计的在网络中转发数据报文的一种协议。在SR网络中，通过头节点往数据报文中插入一组有序的段标识来显示地指定数据报文的转发路径。当SR应用于多协议标签交换(multi-protocol labelSwitching，MPLS)数据平面时，则称为基于MPLS的分段路由(MPLS-SR或SR-MPLS)，当SR应用于互联网协议第6版(Internet Protocol Version 6，IPv6)数据平面时，则称为基于IPv6的分段路由(SRv6)。

段标识(segment ID，SID)，代表一个节点或者一条链路。在SRv6中，SID表现为一个128比特的值；在SR-MPLS中，SID表现为一个标签值，一个SRv6的段标识中可以包括功能部分，该功能部分指示发布该段标识的网络设备需要执行对应的动作。

段标识列表(segment ID List，SID List)：包含了一组段标识的列表，段路由网络中的头节点在接收到数据报文后，在数据报文中插入1个SID List可以显示地指示一条转发路径。

在现有技术中，当不同的微分段之间需要互相访问或进行安全策略控制，且这些访问和安全策略需要作用于段路由网络时，需要进行大量的配置，如在每台设备上配置全网所有相关IP地址与微分段的对应关系，配置复杂，某种意义上来说，基本不具备可实行性。

发明内容

本申请提供了一种数据报文处理方法及装置，用于根据微分段信息在段路由网络中实现数据报文的访问控制，降低配置复杂度。

第一方面，提供了一种数据报文的处理方法，包括：段路由网络中的第一网络设备接收第一数据报文，所述第一数据报文包括第一微分段段标识，所述第一微分段段标识用于标识所述段路由网络中的第二网络设备的一个微分段，所述第一数据报文是发送向所述第二网络设备的数据报文；所述第一网络设备根据所述第一微分段段标识确定对所述第一数据报文的处理动作；所述第一网络设备对所述第一数据报文执行所述处理动作。

SR网络中的网络设备通过从接收的数据报文中直接获取微分段段标识，然后该网络设备根据该微分段段标识对数据报文执行相应的处理动作，可以降低网络配置的复杂度，并进一步减少网络设备根据微分段实现数据报文的访问控制时的查表的次数。