CN112671652B - 报文转发方法及装置 - Google Patents
报文转发方法及装置 Download PDFInfo
- Publication number
- CN112671652B CN112671652B CN202011343423.5A CN202011343423A CN112671652B CN 112671652 B CN112671652 B CN 112671652B CN 202011343423 A CN202011343423 A CN 202011343423A CN 112671652 B CN112671652 B CN 112671652B
- Authority
- CN
- China
- Prior art keywords
- node
- forwarding
- routing algorithm
- forwarding path
- security level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000005540 biological transmission Effects 0.000 claims description 18
- 241000465502 Tobacco latent virus Species 0.000 description 26
- 238000004364 calculation method Methods 0.000 description 11
- 230000008569 process Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 238000006424 Flood reaction Methods 0.000 description 8
- 230000009257 reactivity Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- HRULVFRXEOZUMJ-UHFFFAOYSA-K potassium;disodium;2-(4-chloro-2-methylphenoxy)propanoate;methyl-dioxido-oxo-$l^{5}-arsane Chemical compound [Na+].[Na+].[K+].C[As]([O-])([O-])=O.[O-]C(=O)C(C)OC1=CC=C(Cl)C=C1C HRULVFRXEOZUMJ-UHFFFAOYSA-K 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种报文转发方法及装置,该方法应用于第一SR节点,该方法包括:接收业务报文,该业务报文包括安全属性,该安全属性用于指示转发业务报文的转发路径的第一安全级别;当根据第一安全级别,从已计算出的转发路径中确定出用于转发业务报文的第一转发路径时,获取第一转发路径包括的第二SR节点在第一安全级别下对应的第一SID;根据第一SID,向第一SR节点的下一跳SR节点转发业务报文,该业务报文包括第一SID,以使得下一跳SR节点根据第一SID向第二SR节点转发业务报文;其中,第一SR节点、下一跳SR节点以及第二SR节点均支持同一类型路由算法且路由算法与第一SID关联对应。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种报文转发方法及装置。
背景技术
目前,传统的域内路由发布模型,均是由域内包括的全部路由节点相互发布邻居信息或链路状态,使得域内的全部路由节点获知全网拓扑。域内每个路由节点根据全网拓扑,计算出到达不同目的节点的最优路径。在传统理念中,域内的全部路由节点均是可信节点,域内单一拓扑。
在自治域内基于路由节点的信任等级进行路由计算和报文转发,是一种用于提高通信网络安全性的方式。在自治域内,全部路由节点均分配一信任等级,该信任等级代表该路由节点的可信程度。信任等级越高,则表示该路由节点的可信程度越高。基于路由节点的信任等级构建转发路径,可为业务流提供不同安全级别的转发服务。
因此,在主干网中为业务流提供与其安全等级需求相匹配的可信路由传输,是当前亟待研究的目标。
发明内容
有鉴于此,本申请提供了一种报文转发方法及装置,用以为主干网中的业务流提供与其安全等级需求相匹配的可信路由传输。
第一方面,本申请提供了一种报文转发方法,所述方法应用于第一SR节点,所述第一SR节点处于AS域内,所述方法包括:
接收业务报文,所述业务报文包括安全属性,所述安全属性用于指示转发所述业务报文的转发路径的第一安全级别;
当根据所述第一安全级别,从已计算出的转发路径中确定出用于转发所述业务报文的第一转发路径时,获取所述第一转发路径包括的第二SR节点在所述第一安全级别下对应的第一SID;
根据所述第一SID,向所述第一SR节点的下一跳SR节点转发所述业务报文,所述业务报文包括所述第一SID,以使得所述下一跳SR节点根据所述第一SID向所述第二SR节点转发所述业务报文;
其中,所述第一SR节点为组成所述第一转发路径的首节点,所述下一跳SR节点为组成所述第一转发路径的中间节点,所述第二SR节点为组成所述第一转发路径的尾节点;所述第一SR节点、所述下一跳SR节点以及所述第二SR节点均支持同一类型路由算法且所述路由算法与所述第一SID关联对应。
第二方面,本申请提供了一种报文转发装置,所述装置应用于第一SR节点,所述第一SR节点处于AS域内,所述装置包括:
接收单元,用于接收业务报文,所述业务报文包括安全属性,所述安全属性用于指示转发所述业务报文的转发路径的第一安全级别;
获取单元,用于当根据所述第一安全级别,从已计算出的转发路径中确定出用于转发所述业务报文的第一转发路径时,获取所述第一转发路径包括的第二SR节点在所述第一安全级别下对应的第一SID;
发送单元,用于根据所述第一SID,向所述第一SR节点的下一跳SR节点转发所述业务报文,所述业务报文包括所述第一SID,以使得所述下一跳SR节点根据所述第一SID向所述第二SR节点转发所述业务报文;
其中,所述第一SR节点为组成所述第一转发路径的首节点,所述下一跳SR节点为组成所述第一转发路径的中间节点,所述第二SR节点为组成所述第一转发路径的尾节点;所述第一SR节点、所述下一跳SR节点以及所述第二SR节点均支持同一类型路由算法且所述路由算法与所述第一SID关联对应。
第三方面,本申请提供了一种网络设备,包括处理器和机器可读存储介质,机器可读存储介质存储有能够被处理器执行的机器可执行指令,处理器被机器可执行指令促使执行本申请第一方面所提供的方法。
因此,通过应用本申请提供的报文转发方法及装置,第一SR节点接收包括安全属性的业务报文,该安全属性用于指示转发业务报文的转发路径的第一安全级别。当根据第一安全级别,从已计算出的转发路径中确定出用于转发业务报文的第一转发路径时,第一SR节点获取第一转发路径包括的第二SR节点在第一安全级别下对应的第一SID。根据第一SID,第一SR节点向第一SR节点的下一跳SR节点转发业务报文,该业务报文包括第一SID,以使得下一跳SR节点根据第一SID向第二SR节点转发业务报文。其中,第一SR节点、下一跳SR节点以及第二SR节点均支持同一类型路由算法且路由算法与第一SID关联对应。
如此,实现了主干网中的业务流提供与其安全等级需求相匹配的可信路由传输,为业务流提供不同安全等级的转发服务,保证业务流在传输过程中的安全性。
附图说明
图1为本申请实施例提供的报文转发方法的流程图;
图2-A为本申请实施例提供的一种网络拓扑示意图;
图2-B为本申请实施例提供的另一种网络拓扑示意图;
图2-C为本申请实施例提供的再一种网络拓扑示意图;
图3为本申请实施例提供的报文转发装置结构图;
图4为本申请实施例提供的一种网络设备硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
下面对本申请实施例提供报文转发方法进行详细地说明。参见图1,图1为本申请实施例提供的报文转发方法的流程图。该方法应用于第一SR节点,本申请实施例提供的报文转发方法可包括如下所示步骤。
步骤110、接收业务报文,所述业务报文包括安全属性,所述安全属性用于指示转发所述业务报文的转发路径的第一安全级别。
具体地,自治系统(英文:Autonomous System,简称:AS)域内包括多个分段路由(英文:Segment Routing,简称:SR)节点,例如,第一SR节点、第二SR节点、第三SR节点等等。SR节点可具体为路由器。下述以第一SR节点为例进行说明。
第一SR节点接收业务报文,该业务报文包括安全属性,该安全属性用于指示转发业务报文的转发路径的第一安全级别。
SR节点在转发报文时,根据业务报文包括的安全属性,从已建立的转发路径中,选择不同安全级别的转发路径。其中,安全属性可通过多种形式体现。例如,通过业务报文头部包括的某些字段(例如,DSCP字段)表示安全属性、通过源地址或目的地址的范围划分表示安全属性等等,在本申请实施例中,业务报文中包括安全属性即可,其具体在业务报文的哪个字段、表现形式不做特殊规定。
进一步地,在本步骤之前还包括第一SR节点接收AS域内每个SR节点发送的第一报文、第二报文。根据第一报文、第二报文包括的信息,第一SR节点计算其到达AS域内除第一SR节点外的每个SR节点的第二转发路径的过程。
在一种实现方式中,AS域内每个SR节点均配置一信任等级,同时,为每个SR节点的信任等级分配一个路由算法编号。例如,SR节点的信任等级为1时,该信任等级对应的路由算法编号为201;SR节点的信任等级为2时,该信任等级对应的路由算法编号为202;SR节点的信任等级为3时,该信任等级对应的路由算法编号为203。
AS域内,由管理人员指定一SR节点,由该SR节点广播每个路由算法具体的计算路由方式。例如,路由算法201采用最短路径树方式计算路由;路由算法202采用时延最小方式计算路由;路由算法203采用带宽优先方式计算路由。再例如,路由算法201、路由算法202、路由算法203均采用最短路径树方式计算路由,或者,路由算法201、路由算法202、路由算法203均采用时延最小方式计算路由;或者,路由算法201、路由算法202、路由算法203均采用带宽优先方式计算路由。
综上,上述各路由算法可采用相同的方式计算路由,也可采用不同的方式计算路由,可根据当前AS域内实际的组网环境选择,本申请实施例并不限制。
在本申请实施例中,每个SR节点根据自身的信任等级,确定自身支持的路由算法,并通过开放最短路由优先(英文:Open Shortest Path First,简称:OSPF)/中间系统到中间系统(英文:Intermediate System-Intermediate System,简称:ISIS)协议向AS域内的SR节点发布自身的信任等级所对应支持的路由算法。其中,SR节点支持路由算法的规则包括:支持不超过自身信任等级的所有信任等级对应的路由算法。例如:信任等级为2的SR节点,其支持信任等级1对应的路由算法201以及信任等级2对应的路由算法202。
第一SR节点接收AS域内,每个SR节点发送的第一报文,该第一报文包括每个SR节点的信任等级所对应支持的路由算法。
在一个例子中,AS域内每个SR节点通过OSPF协议在AS域内泛洪发送第一报文。也即是每个SR节点向自身的邻居SR节点发送第一报文。邻居SR节点接收到第一报文,并存储第一报文携带的信息后,再向自身的邻居SR节点发送第一报文,以使得AS域内的每个SR节点均接收到其他SR节点发送的第一报文。第一SR节点接收第一报文,该第一报文具体为路由器信息不透明(Router Information Opaque)链路状态通告(英文:Link StateAdvertisement,简称:LSA)。该LSA包括SR算法TLV,在该TLV中携带SR节点的信任等级所对应支持的路由算法。
在另一个例子中,AS域内每个SR节点通过ISIS协议在AS域内泛洪发送第一报文。也即是每个SR节点向自身的邻居SR节点发送第一报文。邻居SR节点接收到第一报文,并存储第一报文携带的信息后,再向自身的邻居SR节点发送第一报文,以使得AS域内的每个SR节点均接收到其他SR节点发送的第一报文。第一SR节点接收第一报文,该第一报文具体为链路状态协议数据单元(英文:Link State Protocol Data Unit,简称:LSPDU)。该LSPDU包括路由能力(Router Capability)TLV,该路由能力TLV包括SR算法子TLV中携带SR节点的信任等级所对应支持的路由算法。
更进一步地,AS域内每个SR节点在自身支持的每个路由算法下,发布一个段标识(英文:Segment Identifier,简称:SID)与该路由算法关联对应。例如:SR节点的信任等级为2,其通过OSPF/ISIS协议向AS域内的全部SR节点发布两个报文,每个报文包括自身支持的一个路由算法关联对应的一个SID。
需要说明的是,管理人员可为每个SR节点在自身支持的每个路由算法下,配置一SID。
第一SR节点接收AS域内,每个SR节点发送的第二报文,每个第二报文包括SR节点支持的一个路由算法关联对应的SID。
在一个例子中,AS域内每个SR节点通过OSPF协议在AS域内泛洪发送第二报文。也即是每个SR节点向自身的邻居SR节点发送第二报文。邻居SR节点接收到第二报文,并存储第二报文携带的信息后,再向自身的邻居SR节点发送第二报文,以使得AS域内的每个SR节点均接收到其他SR节点发送的第二报文。第一SR节点接收第二报文,该第二报文具体为Extended Prefix Opaque LSA(RFC-7684)、或E-Intra-Area-Prefix-LSA(RFC-8362)、或E-Inter-Area-Prefix-LSA(RFC-8362)。该Extended Prefix Opaque LSA包括ExtendedPrefix TLV(RFC-7684)、该E-Intra-Area-Prefix-LSA包括Intra-Area Prefix TLV(RFC-8362)、该E-Inter-Area-Prefix-LSA包括Inter-Area Prefix TLV(RFC-8362)。其中,前述的TLV均包括Prefix-SID Sub-TLV(RFC-8665、RFC-8666),该子TLV中携带与SID关联对应的路由算法。
在另一个例子中,AS域内每个SR节点通过ISIS协议在AS域内泛洪发送第二报文。也即是每个SR节点向自身的邻居SR节点发送第二报文。邻居SR节点接收到第二报文,并存储第二报文携带的信息后,再向自身的邻居SR节点发送第二报文,以使得AS域内的每个SR节点均接收到其他SR节点发送的第二报文。第一SR节点接收第二报文,该第二报文具体为LSPDU。该LSPDU包括Extended IP Reachability TLV(RFC-3784)、或Multi-TopologyReachable IPv4 Prefixes TLV(RFC-5120)、或IPv6 Reachability TLV(RFC-5308)、或Multi-Topology Reachable IPv6 Prefixes TLV(RFC-5120)。其中,前述的TLV均包括Prefix-SID Sub-TLV(RFC-8667),该子TLV中携带与SID关联对应的路由算法。
更进一步地,第一SR节点接收到每个SR节点发送的第一报文、第二报文后,根据每个SR节点的信任等级所对应支持的路由算法以及每个SR节点支持的每个路由算法关联对应的SID,第一SR节点计算第一SR节点到达AS域内除第一SR节点外的每个SR节点的第二转发路径。
下面以第一SR节点计算其到达第二SR节点之间的转发路径为例进行说明。
第一SR节点接收到第二SR节点发送的第一报文、第二报文后,从第一报文中获取第二SR节点的信任等级所对应支持的路由算法、从第二报文中获取第二SR节点支持的路由算法关联对应的SID。
假设第二SR节点的信任等级为3,则其支持三种路由算法,分别是信任等级1对应的路由算法201、信任等级2对应的路由算法202、信任等级3对应的路由算法203。同时,第二SR节点发布SID-a关联对应路由算法201、SID-b关联对应路由算法202、SID-c关联对应路由算法203。
第一SR节点获取到第二SR节点支持的三种路由算法以及与每种路由算法关联对应的SID后,第一SR节点确定自身为源节点,第二SR节点为尾结点,并计算其到达第二SR节点之间的转发路径。
假设第一SR节点的信任等级也为3,可以理解的是,第一SR节点也支持前述三种路由算法。在本申请实施例中,根据各SR节点的信任等级的取值范围,可构建等数量的不同安全级别的转发路径。也即是,SR节点的信任等级不小于转发路径的安全级别。
例如,节点的信任等级的取值范围为1-3,则可构建3条不同安全级别的转发路径。安全级别为1的转发路径,由信任等级为1-3的SR节点构成;安全级别为2的转发路径,由信任等级为2-3的SR节点构成;安全级别为3的转发路径,由信任等级为3的SR节点构成。
根据前述的例子可知,第一SR节点与第二SR节点之间可构建3条不同安全级别的转发路径。
计算某一安全级别的转发路径时,第一SR节点获取在该安全级别下第二SR节点的信任等级所对应支持的路由算法,以及支持的路由算法关联对应的SID。从AS域内,选择到达第二SR节点的第三SR节点,该第三SR节点也支持相同的路由算法,且该第三SR节点的信任等级不小于该安全级别。当第三SR节点为多个时,第一SR节点根据最短路径树原则,从第一SR节点与每个第三SR节点之间的第一链路、每个第三SR节点与第二SR节点之间的第二链路所形成的第一SR节点到达第二SR节点的路径中,选择最小的链路Cost总值对应的路径作为第一SR节点到达第二SR节点的第二转发路径。可以理解的是,第一SR节点也支持相同的路由算法,且该第一SR节点的信任等级不小于该安全级别。
第一SR节点选择出第二转发路径后,将第一链路包括的第四SR节点作为到达第二SR节点的下一跳SR节点,第四SR节点属于多个第三SR节点内。
如图2-A所示,图2-A为本申请实施例提供的一种网络拓扑示意图。在图2-A中,节点A、节点B、节点E的信任等级均为3,节点C的信任等级为2,节点D的信任等级为1,节点之间的数字为链路花销(Cost)值。此时,节点A构建到达节点E之间的转发路径。根据前文描述可知,节点A可构建安全级别为1、2、3的3条到达节点E的转发路径。
在一个例子中,计算安全级别为1的转发路径时,每个节点的信任等级所对应支持的路由算法均可以加入形成安全级别为1的转发路径所需的路由算法中,因此,节点A不排除节点,网络拓扑保持不变,从节点A到达节点E可经A-B-E、A-C-E、A-D-E这三条路径。节点A根据最短路径树原则,选择最小的链路Cost总值对应的A-D-E路径作为节点A到达节点E的转发路径。
在另一个例子中,计算安全级别为2的转发路径时,网络拓扑如图2-B所示,图2-B为本申请实施例提供的另一种网络拓扑示意图。从节点A到达节点E可经A-B-E、A-C-E这三条路径。可以理解的是,由于节点D的信任等级为1,其信任等级所对应支持的路由算法无法加入形成安全级别为2的转发路径所需的路由算法中,因此,节点A在计算转发路径时将节点D排除。节点A根据最短路径树原则,选择最小的链路Cost总值对应的A-C-E路径作为节点A到达节点E的转发路径。
在另一个例子中,计算安全级别为3的转发路径时,网络拓扑如图2-C所示,图2-C为本申请实施例提供的再一种网络拓扑示意图。从节点A到达节点E可经A-B-E这一条路径。可以理解的是,由于节点D的信任等级为1、节点C的信任等级为2,节点D、节点C的信任等级所对应支持的路径算法均无法加入形成安全级别为3的转发路径所需的路由算法中,因此,节点A在计算转发路径时将节点D、节点C排除。此时,节点A只能选择A-B-E路径作为节点A到达节点E的转发路径。
在上述三个例子中,节点A均使用灵活算法(英文:Flexible Algorithm,简称:Flex-Algo)技术进行路由计算(或称为转发路径的计算)。节点A在计算转发路径的过程中,根据节点E发布的路由算法关联对应的SID,计算下一跳节点。例如,节点E的信任等级为3,其发布SID-a关联对应路由算法201;SID-b关联对应路由算法202;SID-c关联对应路由算法203。
节点A计算到达节点E的转发路径时,首先根据各节点的信任等级所对应支持的路由算法判断各节点是否可以加入到该路由算法下的转发路径的计算中。如果可以,则不排除该节点,否则,排除该节点。然后,节点A通过最短路径树原则,从可以加入形成某一安全级别的转发路径的节点中,选择最小的链路Cost总值对应的路径作为节点A到达节点E的转发路径。
节点A计算到达SID-a的下一跳节点,也即是在转发路径的安全级别为1的场景下到达节点E的下一跳,如图2-A所示,下一跳节点可为节点D、节点C、节点B,然后,根据最短路径树原则,选择节点D作为下一跳节点;节点A计算到达SID-b的下一跳节点,也即是在转发路径安全级别为2的场景下到达节点E的下一跳,如图2-B所示,下一跳节点可为节点C、节点B,然后,根据最短路径树原则,选择节点C作为下一跳节点;节点A计算到达SID-c的下一跳节点,也即是在转发路径安全级别为3的场景下到达节点E的下一跳,如图2-C所示,下一跳节点为节点B。
需要说明的是,在上述实现方式中,若SR节点的信任等级改变,例如,信任等级从3变更为2,该SR节点所对应支持的路由算法也随之改变,与该路由算法关联对应的SID也随之改变,则该SR节点重新再AS域内泛洪发送第一报文、第二报文,以使得AS域内的其他SR节点更新该SR节点的信任等级、该SR节点所对应支持的路由算法、该路由算法关联对应的SID,并重新计算由该SR节点参与形成的转发路径。
在另一种实现方式中,为每条转发路径的安全级别分配一个路由算法编号,并在该路由算法下计算路由时剔除信任等级低于该路由算法对应的安全等级的SR节点。例如,转发路径的安全级别为1时,该安全级别对应的路由算法编号为201,该路由算法下计算路由时不剔除SR节点;转发路径的信任等级为2时,该安全级别对应的路由算法编号为202,该路由算法下计算路由时剔除信任等级为1的SR节点;转发路径的信任等级为3时,该安全级别对应的路由算法编号为203,该路由算法下计算路由时剔除信任等级为1或2的SR节点。
AS域内,由管理人员指定一SR节点,由该SR节点广播每个路由算法具体的计算路由方式。例如,路由算法201采用信任级别与安全级别1比较后的方式计算路由;路由算法202采用信任级别与安全级别2比较后的方式计算路由;路由算法203采用信任级别与安全级别3比较后的方式计算路由。
在本申请实施例中,每个SR节点支持每个安全级别对应的路由算法,并通过OSPF/ISIS协议向AS域内的SR节点发布自身支持的全部安全级别对应的路由算法。
第一SR节点接收AS域内,每个SR节点发送的第一报文,该第一报文包括每个SR节点支持的全部安全级别对应的路由算法。
在一个例子中,AS域内每个SR节点通过OSPF协议在AS域内泛洪发送第一报文。也即是每个SR节点向自身的邻居SR节点发送第一报文。邻居SR节点接收到第一报文,并存储第一报文携带的信息后,再向自身的邻居SR节点发送第一报文,以使得AS域内的每个SR节点均接收到其他SR节点发送的第一报文。第一SR节点接收第一报文,该第一报文具体为路由器信息不透明(Router Information Opaque)链路状态通告(英文:Link StateAdvertisement,简称:LSA)。该LSA包括SR算法TLV,在该TLV中携带SR节点支持的全部安全级别对应的路由算法。
在另一个例子中,AS域内每个SR节点通过ISIS协议在AS域内泛洪发送第一报文。也即是每个SR节点向自身的邻居SR节点发送第一报文。邻居SR节点接收到第一报文,并存储第一报文携带的信息后,再向自身的邻居SR节点发送第一报文,以使得AS域内的每个SR节点均接收到其他SR节点发送的第一报文。第一SR节点接收第一报文,该第一报文具体为链路状态协议数据单元(英文:Link State Protocol Data Unit,简称:LSPDU)。该LSPDU包括路由能力(Router Capability)TLV,该路由能力TLV包括SR算法子TLV中携带SR节点支持的全部安全级别对应的路由算法。
更进一步地,AS域内每个SR节点在支持的每个路由算法下,发布一个SID与该路由算法关联对应。例如:SR节点通过OSPF/ISIS协议向AS域内的全部SR节点发布三个报文,每个报文包括支持的一个路由算法关联对应的一个SID。
需要说明的是,管理人员可为每个SR节点在自身支持的每个路由算法下,配置一SID。
第一SR节点接收AS域内,每个SR节点发送的第二报文,每个第二报文包括SR节点支持的一个路由算法关联对应的SID。
在一个例子中,AS域内每个SR节点通过OSPF协议在AS域内泛洪发送第二报文。也即是每个SR节点向自身的邻居SR节点发送第二报文。邻居SR节点接收到第二报文,并存储第二报文携带的信息后,再向自身的邻居SR节点发送第二报文,以使得AS域内的每个SR节点均接收到其他SR节点发送的第二报文。第一SR节点接收第二报文,该第二报文具体为Extended Prefix Opaque LSA(RFC-7684)、或E-Intra-Area-Prefix-LSA(RFC-8362)、或E-Inter-Area-Prefix-LSA(RFC-8362)。该Extended Prefix Opaque LSA包括ExtendedPrefix TLV(RFC-7684)、该E-Intra-Area-Prefix-LSA包括Intra-Area Prefix TLV(RFC-8362)、该E-Inter-Area-Prefix-LSA包括Inter-Area Prefix TLV(RFC-8362)。其中,前述的TLV均包括Prefix-SID Sub-TLV(RFC-8665、RFC-8666),该子TLV中携带与SID关联对应的路由算法。
在另一个例子中,AS域内每个SR节点通过ISIS协议在AS域内泛洪发送第二报文。也即是每个SR节点向自身的邻居SR节点发送第二报文。邻居SR节点接收到第二报文,并存储第二报文携带的信息后,再向自身的邻居SR节点发送第二报文,以使得AS域内的每个SR节点均接收到其他SR节点发送的第二报文。第一SR节点接收第二报文,该第二报文具体为LSPDU。该LSPDU包括Extended IP Reachability TLV(RFC-3784)、或Multi-TopologyReachable IPv4 Prefixes TLV(RFC-5120)、或IPv6 Reachability TLV(RFC-5308)、或Multi-Topology Reachable IPv6 Prefixes TLV(RFC-5120)。其中,前述的TLV均包括Prefix-SID Sub-TLV(RFC-8667),该子TLV中携带与SID关联对应的路由算法。
更进一步地,第一SR节点接收到每个SR节点发送的第一报文、第二报文后,根据每个SR节点支持的全部安全级别对应的路由算法以及每个SR节点支持的每个路由算法关联对应的SID,第一SR节点计算第一SR节点到达AS域内除第一SR节点外的每个SR节点的第二转发路径。
下面以第一SR节点计算其到达第二SR节点之间的转发路径为例进行说明。
第一SR节点接收到第二SR节点发送的第一报文、第二报文后,从第一报文中获取第二SR节点支持的全部安全级别对应的路由算法、从第二报文中获取第二SR节点支持的每个路由算法关联对应的SID。
假设第二SR节点的信任等级为3,其支持三种路由算法,分别是信任等级1对应的路由算法201、信任等级2对应的路由算法202、信任等级3对应的路由算法203。同时,第二SR节点发布SID-a关联对应路由算法201、SID-b关联对应路由算法202、SID-c关联对应路由算法203。
第一SR节点获取到第二SR节点支持的三种路由算法以及与每种路由算法关联对应的SID后,第一SR节点确定自身为源节点,第二SR节点为尾结点,并计算其到达第二SR节点之间的转发路径。
假设第一SR节点的信任等级也为3,可以理解的是,第一SR节点也支持三种路由算法。在本申请实施例中,根据各SR节点的信任等级的取值范围,可构建等数量的不同安全级别的转发路径。也即是,SR节点的信任等级不小于转发路径的安全级别。
例如,节点的信任等级的取值范围为1-3,则可构建3条不同安全级别的转发路径。安全级别为1的转发路径,由信任等级为1-3的SR节点构成;安全级别为2的转发路径,由信任等级为2-3的SR节点构成;安全级别为3的转发路径,由信任等级为3的SR节点构成。
根据前述的例子可知,第一SR节点与第二SR节点之间可构建3条不同安全级别的转发路径。
计算某一安全级别的转发路径时,第一SR节点确定该转发路径的安全级别,并确定该安全级别对应的路由算法。第一SR节点获取在该安全级别下第二SR节点支持的路由算法关联对应的SID。从AS域内,选择到达第二SR节点的第三SR节点,该第三SR节点也支持相同的路由算法,且该第三SR节点的信任等级不小于该安全级别。当第三SR节点为多个时,第一SR节点根据最短路径树原则,从第一SR节点与每个第三SR节点之间的第一链路、每个第三SR节点与第二SR点之间的第二链路形成的第一SR节点到达第二SR结点的路径中,选择最小的链路Cost总值对应的路子作为第一SR节点到达第二SR节点的第二转发路径。可以理解的是,第一SR节点也支持相同的路由算法,且该第一SR节点的信任等级不小于该安全级别。
第一SR节点选择出第二转发路径后,将第一链路包括的第四SR节点作为到达第二SR节点的下一跳SR节点,第四SR节点属于多个第三SR节点内。
如图2-A所示,节点A、节点B、节点E的信任等级均为3,节点C的信任等级为2,节点D的信任等级为1,节点之间的数字为链路Cost值。此时,节点A构建到达节点E之间的转发路径。根据前文描述可知,节点A可构建安全级别为1、2、3的3条到达节点E的转发路径。
在一个例子中,计算安全级别为1的转发路径时,每个节点的信任等级均不小于该安全级别,在该安全级别1对应的算法201下,节点A不排除节点,网络拓扑保持不变,从节点A到达节点E可经A-B-E、A-C-E、A-D-E这三条路径。节点A根据最短路径树原则,选择最小的链路Cost总值对应的A-D-E路径作为节点A到达节点E的转发路径。
在另一个例子中,计算安全级别为2的转发路径时,网络拓扑如图2-B所示,从节点A到达节点E可经A-B-E、A-C-E这三条路径。可以理解的是,由于节点D的信任级别小于转发路径的安全级别2,因此,节点A在计算转发路径时将节点D排除。节点A根据最短路径树原则,选择最小的链路Cost总值对应的A-C-E路径作为节点A到达节点E的转发路径。
在另一个例子中,计算安全级别为3的转发路径时,网络拓扑如图2-C所示,从节点A到达节点E可经A-B-E这三条路径。可以理解的是,由于节点D、节点C的信任级别小于转发路径的安全级别3,因此,节点A在计算转发路径时将节点D、节点C排除。此时,节点A只能选择A-B-E路径作为节点A到达节点E的转发路径。
在上述三个例子中,节点A均使用Flex-Algo技术进行路由计算(或称为转发路径的计算)。节点A在计算转发路径的过程中,根据节点E发布的路由算法关联对应的SID,计算下一跳节点。例如,节点E的信任等级为3,其发布SID-a关联对应路由算法201;SID-b关联对应路由算法202;SID-c关联对应路由算法203。
节点A计算到达节点E的转发路径时,节点A首先根据各节点的信任等级,判断各节点的信任等级是否小于转发路径的安全级别。如果小于,则排除该节点,否则,不排除该节点。可以理解的是,节点A也先判断自身的信任等级是否小于转发路径的安全级别。如果小于,则节点A不再计算到达节点E的转发路径,否则,节点A继续计算到达节点E的转发路径。然后,节点A通过最短路径树原则,从不小于转发路径的安全级别的节点中,选择最小的链路Cost总值对应的路径作为节点A到达节点E的转发路径。
节点A计算到达SID-a的下一跳节点,也即是在转发路径安全级别为1的场景下到达节点E的下一跳,如图2-A所示,下一跳节点可为节点D、节点C、节点B,然后,根据最短路径树原则,选择节点D作为下一跳节点;节点A计算到达SID-b的下一跳节点,也即是在转发路径安全级别为2的场景下到达节点E的下一跳,如图2-B所示,下一跳节点可为节点C、节点B,然后,根据最短路径树原则,选择节点C作为下一跳节点;节点A计算到达SID-c的下一跳节点,也即是在转发路径安全级别为3的场景下到达节点E的下一跳,如图2-C所示,下一跳节点为节点B。
需要说明的是,在上述实现方式中,若节点B的信任等级改变,例如,信任等级从3变更为2,则节点A重新计算转发路径安全级别为3的转发路径,因为此时节点B的信任等级小于该转发路径的安全级别,节点A在计算该转发路径时,需排除节点B。
可以理解的是,前述节点A计算出的不同安全级别的转发路径中,转发路径中所包括的每个节点,均执行路由计算的过程。例如,节点B、节点C、节点D根据接收到的第一报文、第二报文,计算其到达节点E的转发路径。AS域内的每个SR节点均执行路由计算的过程,具体计算过程与第一SR节点路由计算的过程相同,在此不再复述。
步骤120、当根据所述第一安全级别,从已计算出的转发路径中确定出用于转发所述业务报文的第一转发路径时,获取所述第一转发路径包括的第二SR节点在所述第一安全级别下对应的第一SID。
具体地,根据步骤110的描述,第一SR节点根据安全属性确定用于转发业务报文的转发路径的第一安全级别后,根据第一安全级别,第一SR节点从已计算出的转发路径中查找是否存在第一转发路径。
如果存在第一转发路径,则第一SR节点获取该第一转发路径包括的第二SR节点在第一安全级别下对应的第一SID。
在本申请实施例中,第一SR节点为第一转发路径的源节点,第二SR节点为第一转发路径的尾结点。
步骤130、根据所述第一SID,向所述第一SR节点的下一跳SR节点转发所述业务报文,所述业务报文包括所述第一SID,以使得所述下一跳SR节点根据所述第一SID向所述第二SR节点转发所述业务报文
具体地,根据步骤120的描述,第一SR节点获取到第二SR节点在第一安全级别下对应的第一SID后,将第一SID携带在业务报文中,并向下一跳SR节点转发该业务报文。
需要说明的是,在IPv4网络中,通常使用多协议标签交换(英文:MultiprotocolLabel Switching,简称:MPLS)标签携带SID;在IPv6网络中,通常使用IPv6分段路由报文头(英文:Segment Routing Header,简称:SRH)报文头携带SID。
下一跳SR节点接收到业务报文后,根据第一SID,向第二SR节点转发该业务报文。可以理解的是,第一转发路径中包括的中间SR节点按照步骤110中描述的计算转发路径的方式,计算其到达节点E的转发路径。中间SR节点接收到该业务报文后,可依照现有SR技术的标准行为,对包括SID的业务报文进行转发。
因此,通过应用本申请提供的报文转发方法,第一SR节点接收包括安全属性的业务报文,该安全属性用于指示转发业务报文的转发路径的第一安全级别。当根据第一安全级别,从已计算出的转发路径中确定出用于转发业务报文的第一转发路径时,第一SR节点获取第一转发路径包括的第二SR节点在第一安全级别下对应的第一SID。根据第一SID,第一SR节点向第一SR节点的下一跳SR节点转发业务报文,该业务报文包括第一SID,以使得下一跳SR节点根据第一SID向第二SR节点转发业务报文。其中,第一SR节点、下一跳SR节点以及第二SR节点均支持同一类型路由算法且路由算法与第一SID关联对应。
如此,实现了主干网中的业务流提供与其安全等级需求相匹配的可信路由传输,为业务流提供不同安全等级的转发服务,保证业务流在传输过程中的安全性。
可选地,在本申请实施例中,还包括第一SR节点从已计算出的转发路径中未查找到第一转发路径的过程。
具体地,当根据第一安全级别,从已计算出的转发路径中未确定出用于转发业务报文的第一转发路径时,第一SR节点丢弃业务报文。或者,
当根据第一安全级别,从已计算出的转发路径中未确定出用于转发业务报文的第一转发路径时,第一SR节点建立自身与第二SR节点之间的传输隧道,该传输隧道可为加密的传输隧道。通过传输隧道,第一SR节点向第二SR节点转发所述业务报文。或者,
当根据第一安全级别,从已计算出的转发路径中未确定出用于转发业务报文的第一转发路径时,第一SR节点判断自身与第二SR节点之间是否存在第三转发路径。若存在,则第一SR节点通过第三转发路径向第二SR节点转发业务报文。其中,该第三转发路径的安全级别不超过第一安全级别。
基于同一发明构思,本申请实施例还提供了与报文转发方法对应的报文转发。参见图3,图3为本申请实施例提供的报文转发装置结构图,所述装置应用于第一SR节点,所述第一SR节点处于AS域内,所述装置包括:
接收单元310,用于接收业务报文,所述业务报文包括安全属性,所述安全属性用于指示转发所述业务报文的转发路径的第一安全级别;
获取单元320,用于当根据所述第一安全级别,从已计算出的转发路径中确定出用于转发所述业务报文的第一转发路径时,获取所述第一转发路径包括的第二SR节点在所述第一安全级别下对应的第一SID;
发送单元330,用于根据所述第一SID,向所述第一SR节点的下一跳SR节点转发所述业务报文,所述业务报文包括所述第一SID,以使得所述下一跳SR节点根据所述第一SID向所述第二SR节点转发所述业务报文;
其中,所述第一SR节点为组成所述第一转发路径的首节点,所述下一跳SR节点为组成所述第一转发路径的中间节点,所述第二SR节点为组成所述第一转发路径的尾节点;所述第一SR节点、所述下一跳SR节点以及所述第二SR节点均支持同一类型路由算法且所述路由算法与所述第一SID关联对应。
可选地,所述接收单元310还用于,接收所述AS域内,每个SR节点发送的第一报文,所述第一报文包括每个SR节点支持的路由算法;
接收所述AS域内,每个SR节点发送的至少一个第二报文,每个第二报文包括SR节点支持的一个路由算法关联对应的SID;
所述装置还包括:计算单元(图中未示出),用于根据所述每个SR节点支持的路由算法以及每个SR节点支持的每个路由算法关联对应的SID,计算所述第一SR节点到达所述AS域内除所述第一SR节点外的每个SR节点的第二转发路径。
可选地,所述计算单元(图中未示出)具体用于,确定尾节点,所述尾节点支持的路由算法与所述尾节点的信任等级对应;
根据所述尾节点支持的路由算法以及所述尾节点支持的路由算法关联对应的第二SID,从所述AS域内,选择到达所述尾节点的第三SR节点,所述第三SR节点支持的路由算法与所述尾节点支持的路由算法相同;
当所述第三SR节点为多个时,从所述第一SR节点与每个第三SR节点之间的第一链路以及每个第三SR节点与所述尾结点之间的第二链路形成的所述第一SR节点到达所述尾结点的路径中,选择最小的链路Cost总值对应的路径作为所述第二转发路径,所述第一SR节点支持的路由算法与所述尾节点支持的路由算法相同;
将形成所述第二转发路径的第一链路包括的第四SR节点作为达到所述尾节点的下一跳SR节点;
其中,所述第二转发路径具有第二安全级别,所述转发路径包括的各个SR节点的信任等级不小于所述第二安全级别。
可选地,所述计算单元(图中未示出)具体用于,确定待组成的第二转发路径的第二安全级别,并确定所述第二安全级别对应的路由算法;
确定尾节点,所述尾节点支持所述第二安全级别对应的路由算法且所述路由算法与所述尾节点的第二SID关联对应;
从所述AS域内,选择到达所述尾节点的第三SR节点,所述第三SR节点的信任等级不小于所述第二安全级别;
当所述第三SR节点为多个时,从所述第一SR节点与每个第三SR节点之间的第一链路以及每个第三SR节点与所述尾结点之间的第二链路形成的所述第一SR节点到达所述尾结点的路径中,选择最小的链路Cost总值对应的路径作为所述第二转发路径;
将形成所述第二转发路径的第一链路包括的第四SR节点作为达到所述尾节点的下一跳SR节点;
其中,所述第二转发路径包括的各个SR节点均支持所述第二安全级别对应的路由算法且所述路由算法与所述第二SID关联对应。
可选地,所述装置还包括:丢弃单元(图中未示出),用于当根据所述第一安全级别,从已计算出的转发路径中未确定出用于转发所述业务报文的第一转发路径时,丢弃所述业务报文;或者,
所述装置还包括:建立单元(图中未示出),用于当根据所述第一安全级别,从已计算出的转发路径中未确定出用于转发所述业务报文的第一转发路径时,建立所述第一SR节点与所述第二SR节点之间的传输隧道;所述发送单元330还用于,通过所述传输隧道,向所述第二SR节点转发所述业务报文;或者,
所述装置还包括:判断单元(图中未示出),用于当根据所述第一安全级别,从已计算出的转发路径中未确定出用于转发所述业务报文的第一转发路径时,判断所述第一SR节点与所述第二SR节点之间是否存在第三转发路径;所述发送单元330还用于,若存在,则通过所述第三转发路径向所述第二SR节点转发所述业务报文;
其中,所述第三转发路径的安全级别不超过所述第一安全级别。
因此,通过应用本申请提供的报文转发装置,该装置接收包括安全属性的业务报文,该安全属性用于指示转发业务报文的转发路径的第一安全级别。当根据第一安全级别,从已计算出的转发路径中确定出用于转发业务报文的第一转发路径时,该装置获取第一转发路径包括的第二SR节点在第一安全级别下对应的第一SID。根据第一SID,该装置向第一SR节点的下一跳SR节点转发业务报文,该业务报文包括第一SID,以使得下一跳SR节点根据第一SID向第二SR节点转发业务报文。其中,第一SR节点、下一跳SR节点以及第二SR节点均支持同一类型路由算法且路由算法与第一SID关联对应。
如此,实现了主干网中的业务流提供与其安全等级需求相匹配的可信路由传输,为业务流提供不同安全等级的转发服务,保证业务流在传输过程中的安全性。
基于同一发明构思,本申请实施例还提供了一种网络设备,如图4所示,包括处理器410、收发器420和机器可读存储介质430,机器可读存储介质430存储有能够被处理器410执行的机器可执行指令,处理器410被机器可执行指令促使执行本申请实施例所提供的报文转发方法。前述图3所示的报文转发装置,可采用如图4所示的网络设备硬件结构实现。
上述计算机可读存储介质430可以包括随机存取存储器(英文:Random AccessMemory,简称:RAM),也可以包括非易失性存储器(英文:Non-volatile Memory,简称:NVM),例如至少一个磁盘存储器。可选的,计算机可读存储介质430还可以是至少一个位于远离前述处理器410的存储装置。
上述处理器410可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processor,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本申请实施例中,处理器410通过读取机器可读存储介质430中存储的机器可执行指令,被机器可执行指令促使能够实现处理器410自身以及调用收发器420执行前述本申请实施例描述的报文转发方法。
另外,本申请实施例提供了一种机器可读存储介质430,机器可读存储介质430存储有机器可执行指令,在被处理器410调用和执行时,机器可执行指令促使处理器410自身以及调用收发器420执行前述本申请实施例描述的报文转发方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
对于报文转发装置以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种报文转发方法,其特征在于,所述方法应用于第一SR节点,所述第一SR节点处于AS域内,所述方法包括:
接收业务报文,所述业务报文包括安全属性,所述安全属性用于指示转发所述业务报文的转发路径的第一安全级别;
当根据所述第一安全级别,从已计算出的转发路径中确定出用于转发所述业务报文的第一转发路径时,获取所述第一转发路径包括的第二SR节点在所述第一安全级别下对应的第一SID;
根据所述第一SID,向所述第一SR节点的下一跳SR节点转发所述业务报文,所述业务报文包括所述第一SID,以使得所述下一跳SR节点根据所述第一SID向所述第二SR节点转发所述业务报文;
其中,所述第一SR节点为组成所述第一转发路径的首节点,所述下一跳SR节点为组成所述第一转发路径的中间节点,所述第二SR节点为组成所述第一转发路径的尾节点;所述第一SR节点、所述下一跳SR节点以及所述第二SR节点均支持同一类型路由算法且所述路由算法与所述第一SID关联对应。
2.根据权利要求1所述的方法,其特征在于,所述接收业务报文之前,所述方法还包括:
接收所述AS域内,每个SR节点发送的第一报文,所述第一报文包括每个SR节点支持的路由算法;
接收所述AS域内,每个SR节点发送的至少一个第二报文,每个第二报文包括SR节点支持的一个路由算法关联对应的SID;
根据所述每个SR节点支持的路由算法以及每个SR节点支持的每个路由算法关联对应的SID,计算所述第一SR节点到达所述AS域内除所述第一SR节点外的每个SR节点的第二转发路径。
3.根据权利要求2所述的方法,其特征在于,所述根据所述每个SR节点支持的路由算法以及每个SR节点支持的每个路由算法关联对应的SID,计算所述第一SR节点到达所述AS域内除所述第一SR节点外的每个SR节点的第二转发路径,具体包括:
确定尾节点,所述尾节点支持的路由算法与所述尾节点的信任等级对应;
根据所述尾节点支持的路由算法以及所述尾节点支持的路由算法关联对应的第二SID,从所述AS域内,选择到达所述尾节点的第三SR节点,所述第三SR节点支持的路由算法与所述尾节点支持的路由算法相同;
当所述第三SR节点为多个时,从所述第一SR节点与每个第三SR节点之间的第一链路以及每个第三SR节点与所述尾结点之间的第二链路形成的所述第一SR节点到达所述尾结点的路径中,选择最小的链路Cost总值对应的路径作为所述第二转发路径,所述第一SR节点支持的路由算法与所述尾节点支持的路由算法相同;
将形成所述第二转发路径的第一链路包括的第四SR节点作为达到所述尾节点的下一跳SR节点;
其中,所述第二转发路径具有第二安全级别,所述转发路径包括的各个SR节点的信任等级不小于所述第二安全级别。
4.根据权利要求2所述的方法,其特征在于,所述根据所述每个SR节点支持的路由算法以及每个SR节点支持的每个路由算法关联对应的SID,计算所述第一SR节点到达所述AS域内除所述第一SR节点外的每个SR节点的第二转发路径,具体包括:
确定待组成的第二转发路径的第二安全级别,并确定所述第二安全级别对应的路由算法;
确定尾节点,所述尾节点支持所述第二安全级别对应的路由算法且所述路由算法与所述尾节点的第二SID关联对应;
从所述AS域内,选择到达所述尾节点的第三SR节点,所述第三SR节点的信任等级不小于所述第二安全级别;
当所述第三SR节点为多个时,从所述第一SR节点与每个第三SR节点之间的第一链路以及每个第三SR节点与所述尾结点之间的第二链路形成的所述第一SR节点到达所述尾结点的路径中,选择最小的链路Cost总值对应的路径作为所述第二转发路径;
将形成所述第二转发路径的第一链路包括的第四SR节点作为达到所述尾节点的下一跳SR节点;
其中,所述第二转发路径包括的各个SR节点均支持所述第二安全级别对应的路由算法且所述路由算法与所述第二SID关联对应。
5.根据权利要求1所述的方法,其特征在于,所述接收业务报文之后,所述方法还包括:
当根据所述第一安全级别,从已计算出的转发路径中未确定出用于转发所述业务报文的第一转发路径时,丢弃所述业务报文;或者,
当根据所述第一安全级别,从已计算出的转发路径中未确定出用于转发所述业务报文的第一转发路径时,建立所述第一SR节点与所述第二SR节点之间的传输隧道;通过所述传输隧道,向所述第二SR节点转发所述业务报文;或者,
当根据所述第一安全级别,从已计算出的转发路径中未确定出用于转发所述业务报文的第一转发路径时,判断所述第一SR节点与所述第二SR节点之间是否存在第三转发路径;若存在,则通过所述第三转发路径向所述第二SR节点转发所述业务报文;
其中,所述第三转发路径的安全级别不超过所述第一安全级别。
6.一种报文转发装置,其特征在于,所述装置应用于第一SR节点,所述第一SR节点处于AS域内,所述装置包括:
接收单元,用于接收业务报文,所述业务报文包括安全属性,所述安全属性用于指示转发所述业务报文的转发路径的第一安全级别;
获取单元,用于当根据所述第一安全级别,从已计算出的转发路径中确定出用于转发所述业务报文的第一转发路径时,获取所述第一转发路径包括的第二SR节点在所述第一安全级别下对应的第一SID;
发送单元,用于根据所述第一SID,向所述第一SR节点的下一跳SR节点转发所述业务报文,所述业务报文包括所述第一SID,以使得所述下一跳SR节点根据所述第一SID向所述第二SR节点转发所述业务报文;
其中,所述第一SR节点为组成所述第一转发路径的首节点,所述下一跳SR节点为组成所述第一转发路径的中间节点,所述第二SR节点为组成所述第一转发路径的尾节点;所述第一SR节点、所述下一跳SR节点以及所述第二SR节点均支持同一类型路由算法且所述路由算法与所述第一SID关联对应。
7.根据权利要求6所述的装置,其特征在于,所述接收单元还用于,接收所述AS域内,每个SR节点发送的第一报文,所述第一报文包括每个SR节点支持的路由算法;
接收所述AS域内,每个SR节点发送的至少一个第二报文,每个第二报文包括SR节点支持的一个路由算法关联对应的SID;
所述装置还包括:计算单元,用于根据所述每个SR节点支持的路由算法以及每个SR节点支持的每个路由算法关联对应的SID,计算所述第一SR节点到达所述AS域内除所述第一SR节点外的每个SR节点的第二转发路径。
8.根据权利要求7所述的装置,其特征在于,所述计算单元具体用于,确定尾节点,所述尾节点支持的路由算法与所述尾节点的信任等级对应;
根据所述尾节点支持的路由算法以及所述尾节点支持的路由算法关联对应的第二SID,从所述AS域内,选择到达所述尾节点的第三SR节点,所述第三SR节点支持的路由算法与所述尾节点支持的路由算法相同;
当所述第三SR节点为多个时,从所述第一SR节点与每个第三SR节点之间的第一链路以及每个第三SR节点与所述尾结点之间的第二链路形成的所述第一SR节点到达所述尾结点的路径中,选择最小的链路Cost总值对应的路径作为所述第二转发路径,所述第一SR节点支持的路由算法与所述尾节点支持的路由算法相同;
将形成所述第二转发路径的第一链路包括的第四SR节点作为达到所述尾节点的下一跳SR节点;
其中,所述第二转发路径具有第二安全级别,所述转发路径包括的各个SR节点的信任等级不小于所述第二安全级别。
9.根据权利要求7所述的装置,其特征在于,所述计算单元具体用于,确定待组成的第二转发路径的第二安全级别,并确定所述第二安全级别对应的路由算法;
确定尾节点,所述尾节点支持所述第二安全级别对应的路由算法且所述路由算法与所述尾节点的第二SID关联对应;
从所述AS域内,选择到达所述尾节点的第三SR节点,所述第三SR节点的信任等级不小于所述第二安全级别;
当所述第三SR节点为多个时,从所述第一SR节点与每个第三SR节点之间的第一链路以及每个第三SR节点与所述尾结点之间的第二链路形成的所述第一SR节点到达所述尾结点的路径中,选择最小的链路Cost总值对应的路径作为所述第二转发路径;
将形成所述第二转发路径的第一链路包括的第四SR节点作为达到所述尾节点的下一跳SR节点;
其中,所述第二转发路径包括的各个SR节点均支持所述第二安全级别对应的路由算法且所述路由算法与所述第二SID关联对应。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
丢弃单元,用于当根据所述第一安全级别,从已计算出的转发路径中未确定出用于转发所述业务报文的第一转发路径时,丢弃所述业务报文;或者,
所述装置还包括:建立单元,用于当根据所述第一安全级别,从已计算出的转发路径中未确定出用于转发所述业务报文的第一转发路径时,建立所述第一SR节点与所述第二SR节点之间的传输隧道;所述发送单元还用于,通过所述传输隧道,向所述第二SR节点转发所述业务报文;或者,
所述装置还包括:判断单元,用于当根据所述第一安全级别,从已计算出的转发路径中未确定出用于转发所述业务报文的第一转发路径时,判断所述第一SR节点与所述第二SR节点之间是否存在第三转发路径;所述发送单元还用于,若存在,则通过所述第三转发路径向所述第二SR节点转发所述业务报文;
其中,所述第三转发路径的安全级别不超过所述第一安全级别。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011343423.5A CN112671652B (zh) | 2020-11-26 | 2020-11-26 | 报文转发方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011343423.5A CN112671652B (zh) | 2020-11-26 | 2020-11-26 | 报文转发方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112671652A CN112671652A (zh) | 2021-04-16 |
| CN112671652B true CN112671652B (zh) | 2022-08-30 |
Family
ID=75403655
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011343423.5A Active CN112671652B (zh) | 2020-11-26 | 2020-11-26 | 报文转发方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112671652B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113810276B (zh) * | 2021-08-31 | 2024-06-18 | 锐捷网络股份有限公司 | 一种段路由故障处理方法、装置、电子设备及存储介质 |
| CN114925386B (zh) * | 2022-07-15 | 2022-10-25 | 飞腾信息技术有限公司 | 数据处理方法、计算机设备、数据处理系统及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105450437A (zh) * | 2014-09-19 | 2016-03-30 | 中兴通讯股份有限公司 | 一种分配sid的方法和sr节点 |
| CN106487686A (zh) * | 2015-08-28 | 2017-03-08 | 中兴通讯股份有限公司 | Sr转发条目生成方法及装置 |
| WO2018000443A1 (zh) * | 2016-07-01 | 2018-01-04 | 华为技术有限公司 | 基于业务功能链sfc的报文转发方法、装置和系统 |
| CN109218197A (zh) * | 2017-06-30 | 2019-01-15 | 瞻博网络公司 | 分段路由中的冲突解决 |
| CN109257279A (zh) * | 2018-10-26 | 2019-01-22 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN111865795A (zh) * | 2020-06-10 | 2020-10-30 | 新华三技术有限公司 | 控制方法及装置 |
| CN111935007A (zh) * | 2019-05-13 | 2020-11-13 | 瞻博网络公司 | 用于网络的压缩路由报头信息 |
-
2020
- 2020-11-26 CN CN202011343423.5A patent/CN112671652B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105450437A (zh) * | 2014-09-19 | 2016-03-30 | 中兴通讯股份有限公司 | 一种分配sid的方法和sr节点 |
| CN106487686A (zh) * | 2015-08-28 | 2017-03-08 | 中兴通讯股份有限公司 | Sr转发条目生成方法及装置 |
| WO2018000443A1 (zh) * | 2016-07-01 | 2018-01-04 | 华为技术有限公司 | 基于业务功能链sfc的报文转发方法、装置和系统 |
| CN109218197A (zh) * | 2017-06-30 | 2019-01-15 | 瞻博网络公司 | 分段路由中的冲突解决 |
| CN109257279A (zh) * | 2018-10-26 | 2019-01-22 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN111935007A (zh) * | 2019-05-13 | 2020-11-13 | 瞻博网络公司 | 用于网络的压缩路由报头信息 |
| CN111865795A (zh) * | 2020-06-10 | 2020-10-30 | 新华三技术有限公司 | 控制方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 基于虚拟拓扑的多级可信传输体系及路由计算;陈文龙等;《计算机研究与发展》;20180415(第04期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112671652A (zh) | 2021-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10541905B2 (en) | Automatic optimal route reflector root address assignment to route reflector clients and fast failover in a network environment | |
| US11431633B2 (en) | Label forwarding entry generation method and apparatus, packet sending method and apparatus, and device | |
| EP3103230B1 (en) | Software defined networking (sdn) specific topology information discovery | |
| US10097449B2 (en) | Optimized border gateway protocol best path selection for optimal route reflection | |
| US10637768B1 (en) | Enabling non-flexible-algorithm routers to participate in flexible-algorithm routing protocols | |
| US9210089B2 (en) | LSP ping/trace over MPLS networks using entropy labels | |
| CN113615133B (zh) | 一种区域间srmpls igp网络中进行最优路由的方法、节点及其系统 | |
| US20050047353A1 (en) | Systems and methods for routing employing link state and path vector techniques | |
| CN109218197B (zh) | 分段路由中的冲突解决方法及路由器 | |
| WO2015058019A1 (en) | Scalable edge node protection using ipv6 segment routing extension header | |
| US20120124238A1 (en) | Prioritization of routing information updates | |
| CN112671652B (zh) | 报文转发方法及装置 | |
| US11558282B2 (en) | System and method for interior gateway protocol (IGP) fast convergence | |
| WO2022266905A1 (zh) | 一种转发路径生成方法、装置、网络设备及存储介质 | |
| Kaur et al. | Comparative study of OSPFv 3 IS-IS and OSPFv3_IS-IS protocols using OPNET | |
| CN114050993B (zh) | 基于接入侧的安全可信路径主动选择方法和装置 | |
| US12107755B2 (en) | Method and a device for routing traffic along an IGP shortcut path | |
| WO2022042610A1 (zh) | 信息处理方法、网络控制器、节点及计算机可读存储介质 | |
| WO2023173989A1 (zh) | 转发表的生成方法及装置、存储介质、电子装置 | |
| WO2022188488A1 (zh) | 路径建立方法及其装置、节点、计算机可读存储介质 | |
| US20230179515A1 (en) | Routing protocol broadcast link extensions | |
| Nozaki et al. | A novel approach to interior gateway routing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |