[发明专利]一种报文处理方法、装置、设备及存储介质

说明书

本申请提供了一种报文处理方法、装置、设备及存储介质，涉及通信技术领域。该方法为：接收网络报文；当所述网络报文为SRv6报文时，从所述SRv6报文中提取出最终目的地址；根据所述最终目的地址进行会话匹配；当匹配成功时，则根据匹配上的目标会话对所述SRv6报文进行转发处理，所述目标会话为基于接收到携带所述最终目的地址的首个SRv6报文建立的正向会话或反向会话；当未匹配成功时，则根据所述最终目的地址分别建立正向会话和反向会话；并对所述SRv6报文进行转发处理。这样，SRv6组网中，网络安全设备在不需要翻倍配置安全策略时，也能实现对流量进行转发控制。

技术领域

本申请涉及通信技术领域，尤其涉及一种报文处理方法、装置、设备及存储介质。

背景技术

SR(Segment Routing，段路由)采用源节点路径选择机制，在源节点封装好路径所要经过段的SID(Segment Identifier，段标识)，当报文经过SR节点时，该节点根据报文的SID对报文进行转发。结合图1进行说明，节点A为源节点，防火墙FW为转发节点，节点B、节点C为段端点节点，同时节点C也是反向的源节点。节点A上发出报文源IP为1001::1，目的IP为2001::1，SID[0]为3001::1，SID[1]为2001::1。FW作为转发节点，当接收到节点A发的源IP为1001::1，目的IP为2001::1的报文后，直接转发。节点B在接收到源IP为1001::1，目的IP为2001::1报文后，作为段端点节点，会进行业务处理，然后以源IP为1001::1，目的IP为3001::1，SID[0]为3001::1进行转发处理。这样，节点C在接收到源IP为1001::1，目的IP为3001::1的报文后，就可以对该报文进行解封装处理。

而FW作为一种网络安全设备，一般都可以通过配置访问控制策略来达到控制经过FW转发的报文。当FW作为SRv6网络中的中转节点时，在FW上同样可以使用安全策略进行报文转发控制。同样参考图1所示，以节点A的流量经过FW、节点B，最终达到节点C为例进行说明。如果在FW上对这条流进行放通，则需要配置源地址是1001::1，目的地址是2001::1放通的安全策略。同时FW上会生成源1001::1、目的2001::1的正向会话，以及源2001::1、目的1001::1的反向会话，以便后续同一条流量可以快速转发而不再做策略匹配。然而实际上反向流量到达FW时，源地址为3001::1、目的地址1001::1，导致无法匹配到之前已经建立的反向会话。而为了保证反向流量可以通行，则还需要再配置一条源地址是3001::1，目的地址是1001::1放通的安全策略，从而导致对同一条数据流的正向会话和反向会话均需要分配配置一条安全策略，才可保证该条数据流的畅通，进而导致FW上需要维护的安全策略翻倍，维护工作量比较大且困难。

因此，在SRv6组网中的网络安全设备在不需要翻倍配置安全策略时，如何对流量进行转发控制是值得考虑的技术问题之一。

发明内容

有鉴于此，本申请提供一种报文处理方法、装置、设备及存储介质，用以使得SRv6组网中的网络安全设备在不需要翻倍配置安全策略时，实现对流量进行转发控制。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种报文处理方法，包括：

接收网络报文；

当所述网络报文为SRv6报文时，从所述SRv6报文中提取出最终目的地址；

根据所述最终目的地址进行会话匹配；

当匹配成功时，则根据匹配上的目标会话对所述SRv6报文进行转发处理，所述目标会话为基于接收到携带所述最终目的地址的首个SRv6报文建立的正向会话或反向会话；

当未匹配成功时，则根据所述最终目的地址分别建立正向会话和反向会话；并

对所述SRv6报文进行转发处理。