CN114978995A - 一种报文转发路径选择方法及装置 - Google Patents

一种报文转发路径选择方法及装置 Download PDF

Info

Publication number
CN114978995A
CN114978995A CN202210581358.2A CN202210581358A CN114978995A CN 114978995 A CN114978995 A CN 114978995A CN 202210581358 A CN202210581358 A CN 202210581358A CN 114978995 A CN114978995 A CN 114978995A
Authority
CN
China
Prior art keywords
address
trust
level
address range
forwarding path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210581358.2A
Other languages
English (en)
Other versions
CN114978995B (zh
Inventor
马申骁
陈梦骁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
New H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by New H3C Technologies Co Ltd filed Critical New H3C Technologies Co Ltd
Priority to CN202210581358.2A priority Critical patent/CN114978995B/zh
Publication of CN114978995A publication Critical patent/CN114978995A/zh
Application granted granted Critical
Publication of CN114978995B publication Critical patent/CN114978995B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/26Route discovery packet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供了一种报文转发路径选择方法及装置,涉及网络通信技术领域,上述方法包括:接收待转发的报文,根据上述报文的源IP地址和本地存储的信任表项中包含的掩码,计算在信任表项下上述源IP地址对应的第一地址标识,根据上述源IP地址对应的第一地址标识和信任表项中包含的第二地址标识,确定各信任表项中与上述源IP地址相匹配的目标表项,根据上述目标表项中包含的转发路径的安全等级,从可用报文转发路径中,为上述报文选择转发路径。应用本发明实施例提供的方案,能够实现报文的转发路径选择。

Description

一种报文转发路径选择方法及装置
技术领域
本发明涉及网络通信技术领域,特别是一种报文转发路径选择方法及装置。
背景技术
在IPV6(Internet Protocol Version 6,互联网协议第6版)骨干网中,域内路由设备被赋予信任等级,不同信任等级的路由设备构成不同安全等级的转发路径。另外,报文也具有安全等级,一个安全等级的报文只能由不低于该安全等级的转发路径转发。因此,路由设备在转发报文时,需要基于报文的安全等级以及转发路径的安全等级选择转发路径。
鉴于上述情况,需要提供一种报文转发路径选择方案,以保证报文被安全且快速的转发。
发明内容
本发明实施例的目的在于提供一种报文转发路径选择方法及装置,以实现报文的转发路径选择,进而使得报文被安全且快速的转发。具体技术方案如下:
第一方面,本发明实施例提供了一种报文转发路径选择方法,上述方法包括:
接收待转发的报文;
根据所述报文的源IP地址和本地存储的信任表项中包含的掩码,计算在信任表项下所述源IP地址对应的第一地址标识,其中,所述掩码中各比特位的取值表征IP地址中相同比特位是否有效;
根据所述源IP地址对应的第一地址标识和信任表项中包含的第二地址标识,确定各信任表项中与所述源IP地址相匹配的目标表项;
根据所述目标表项中包含的转发路径的安全等级,从可用报文转发路径中,为所述报文选择转发路径。
第二方面,本发明实施例提供了一种报文转发路径选择装置,上述装置包括:
报文接收模块,用于接收待转发的报文;
第一地址标识计算模块,用于根据所述报文的源IP地址和本地存储的信任表项中包含的掩码,计算在信任表项下所述源IP地址对应的第一地址标识,其中,所述掩码中各比特位的取值表征IP地址中相同比特位是否有效;
目标表项确定模块,用于根据所述源IP地址对应的第一地址标识和信任表项中包含的第二地址标识,确定各信任表项中与所述源IP地址相匹配的目标表项;
转发路径选择模块,用于根据所述目标表项中包含的转发路径的安全等级,从可用报文转发路径中,为所述报文选择转发路径。
第三方面,一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述第一方面的任一方法步骤。
第四方面,一种计算机可读存储介质,上述计算机可读存储介质内存储有计算机程序,上述计算机程序被处理器执行时,实现上述第一方面的任一方法步骤。
本发明实施例有益效果:
应用本发明实施例提供的方案选择报文转发路径时,由于路由设备本地存储了信任表项,又由于信任表项中掩码的各比特位的取值表征IP地址中相同比特位是否有效,所以,根据各信任表项中的掩码,可以确定待转发报文的源IP地址中哪些比特位有效,从而得到上述源IP地址对应的第一地址标识。由于信任表项中也包含地址标识,因此,根据上述第一地址标识和各信任表项中包含的地址标识,能够进行表项匹配,得到与待转发报文相匹配的目标表项。又由于信任项中包含转发路径的安全等级,所以可以将目标表项中包含的转发路径的安全等级作为待转发的报文对应的转发路径的安全等级,从而根据上述转发路径的安全等级选择出用于转发上述报文的转发路径。可见,应用本发明实施例提供的方案能够实现转发路径选择。在确定了报文对应的转发路径后,则可以依据转发路径的等级确定转发路径,从而保证报文被安全的转发。
另外,本发明实施例提供的方案中,在为报文选择转发路径过程中,是通过表项匹配的方式实现的,由于路由设备中芯片进行表项匹配效率较高,因此,应用本发明实施例提供的方案能够快速高效的完成表项匹配,进而快速的选择出转发路径,这样也就提高了报文转发的速度,实现了报文的快速转发。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1A为本发明实施例提供的第一种路由设备的拓扑示意图;
图1B为本发明实施例提供的第二种路由设备的拓扑示意图;
图1C为本发明实施例提供的第三种路由设备的拓扑示意图;
图2为现有技术中一种二叉树的结构示意图图;
图3为本发明实施例提供的第一种信任表项获取方法的流程示意图;
图4为本发明实施例提供的第二种信任表项获取方法的流程示意图;
图5为本发明实施例提供的第一种报文转发路径选择方法的流程示意图;
图6为本发明实施例提供的一种报文转发路径选择装置的结构示意图;
图7为本发明实施例提供的第一种信任表现获得装置的结构示意图;
图8为本发明实施例提供的第二种信任表现获得装置的结构示意图;
图9为本发明实施例提供的第三种信任表现获得装置的结构示意图;
图10为本发明实施例提供的第四种信任表现获得装置的结构示意图;
图11为发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员基于本申请所获得的所有其他实施例,都属于本发明保护的范围。
为了安全且快速的转发报文,本发明实施例提供了一种报文转发路径选择方法及装置。
本发明的一个实施例中,提供了一种报文转发路径选择方法,上述方法包括:
接收待转发的报文;
根据上述报文的源IP地址和本地存储的信任表项中包含的掩码,计算在信任表项下上述源IP地址对应的第一地址标识,其中,上述掩码中各比特位的取值表征IP地址中相同比特位是否有效;
根据上述源IP地址对应的第一地址标识和信任表项中包含的第二地址标识,确定各信任表项中与上述源IP地址相匹配的目标表项;
根据上述目标表项中包含的转发路径的安全等级,从可用报文转发路径中,为上述报文选择转发路径。
应用本发明实施例提供的方案选择报文转发路径时,由于路由设备本地存储了信任表项,又由于信任表项中掩码的各比特位的取值表征IP地址中相同比特位是否有效,所以,根据各信任表项中的掩码,可以确定待转发报文的源IP地址中哪些比特位有效,从而得到上述源IP地址对应的第一地址标识。由于信任表项中也包含地址标识,因此,根据上述第一地址标识和各信任表项中包含的地址标识,能够进行表项匹配,得到与待转发报文相匹配的目标表项。又由于信任项中包含转发路径的安全等级,所以可以将目标表项中包含的转发路径的安全等级作为待转发的报文对应的转发路径的安全等级,从而根据上述转发路径的安全等级选择出用于转发上述报文的转发路径。可见,应用本发明实施例提供的方案能够实现转发路径选择。在确定了报文对应的转发路径后,则可以依据转发路径的等级确定转发路径,从而保证报文被安全的转发。
另外,本发明实施例提供的方案中,在为报文选择转发路径过程中,是通过表项匹配的方式实现的,由于路由设备中芯片进行表项匹配效率较高,因此,应用本发明实施例提供的方案能够快速高效的完成表项匹配,进而快速的选择出转发路径,这样也就提高了报文转发的速度,实现了报文的快速转发。
需要说明的是,本发明实施例中所涉及的IP(Internet Protocol,互联网协议)地址为IPV6地址,当然,一些场景下也适用于IPV4地址,本发明实施例并不对此进行限定。
为便于理解本发明实施例提供的方案,后续基于IPV6骨干网这一场景对本发明实施例提供的方案进行说明,下面先结合IPV6骨干网对本发明实施例中涉及的相关概念进行说明。
在IPV6骨干网中,域内路由设备被赋予信任等级,不同信任等级的路由设备构成不同安全等级的转发路径,并且报文具备安全等级。其中,信任等级的数量、转发路径的安全等级的数量以及报文的安全等级的数量相同。例如,上述数量均为8,信任等级包括信任等级0-信任等级7,则转发路径的安全等级包括安全等级0-安全等级7,报文的安全等级也包括安全等级0-安全等级7。
对于路由设备而言,其信任等级越高,可信程度越高。对于转发路径而言,其安全等级越高,安全程度越高。对于报文而言,其安全等级越高,对安全程度的要求越高。
在IPV6骨干网中,转发路径的安全等级可以对应于SRV6Policy(Segment RoutingV6 Policy,第6代分段路由策略)进行cbts(Class-of-service Based Tunnel Selection,基于服务等级的隧道选择)转发的服务等级。
为保证报文能够被安全的转发,一个安全等级的报文由信任等级不低于该安全等级的路由设备转发,如果转发报文的路由设备的信任等级低于报文的安全等级,则在转发该报文时可能会存在安全隐患。
下面通过举例对上述情况进行说明,假设,路由设备A-D的信任等级如下表1所示。
表1
路由设备 路由设备A 路由设备B 路由设备C 路由设备D
信任等级 信任等级3 信任等级3 信任等级2 信任等级1
情况一,转发安全等级3的报文,这时只能由信任等级3的路由设备A和B进行转发,如图1A所示,只有路由设备A和路由设备B之间存在能够转发该报文的转发路径。
情况二,转发安全等级2的报文,这时可以由信任等级2的路由设备C、信任等级3的路由设备A和B进行转发,如图1B所示,这时路由设备A、B和C之间均存在能够转发该报文的转发路径。
情况三,转发安全等级1的报文,这时可以由信任等级1的路由设备D、信任等级2的路由设备C、信任等级3的路由设备A和B进行转发,如图1C所示,这时路由设备A、B、C和D之间均存在能够转发该报文的转发路径。
由以上可见,对于一个报文而言,转发该报文的路由设备的信任等级不低于该报文的安全等级,由于转发该报文的转发路径由上述信任等级不低于该报文的安全等级的路由设备组成,所以该报文的转发路径的安全等级也就不低于该报文的安全等级,也就是,一个报文由安全等级不低于该报文的安全等级的转发路径转发。从前面的描述可以得出,一个报文对应有转发该报文的转发路径的最低安全等级,称该安全等级为该报文对应的转发路径的安全等级,取值等于该报文的安全等级。
下面对报文的安全等级、路由设备的信任等级以及转发路径的安全等级的确定方式分别进行说明。
报文的安全等级由报文的源IP地址所属的IP地址范围段确定,属于同一IP地址范围段的源IP地址对应的报文具有相同的安全等级,也就是,同一地址范围段内的IP地址对应相同的报文安全等级。
上述IP地址范围段由分界地址对整个IP地址范围划分得到,这样各个IP地址范围段内包含的是连续的IP地址。分界地址为用于对IP地址范围进行划分的IP地址。分界地址可以由工作人员通过配置接口配置,也可以从网络中的管理设备处获得。
假设存在三个分界地址,按照从小到大的顺序依次为K0、K1和K2,上述三个分界地址将整个IP地址范围划分成四个IP地址范围段,具体为:[0,K0)、[K0,K1)、[K1,K2)和[K2,最大IP地址]。
一种实现方式中,可以认为IP地址的前预设数量个比特位表示安全等级,这种情况下,可以依据分界地址中前预设数量个比特位表示的安全等级确定IP地址范围段对应的报文的安全等级。例如,上述预设数量可以是2、3等。
下面以预设数量为2为例,说明前述各个IP地址范围段对应的报文的安全等级。
假设,K0、K1和K2的前2个比特位分别为:01、10和11,其十进制表示值分别为:1、2和3,则可以认为包含K0的IP地址范围段对应的报文的安全等级为安全等级1,包含K1的IP地址范围段对应的报文的安全等级为安全等级2,包含K2的IP地址范围段对应的报文的安全等级为安全等级3,鉴于此,可以确定[0,K0)、[K0,K1)、[K1,K2)和[K2,最大IP地址]对应的报文的安全等级分别为:安全等级0、安全等级1、安全等级2和安全等级3。
一种实现方式中,从前面的描述中可以得知报文的安全等级的数量、路由设备的信任等级的数量以及转发路径的安全等级的数量相等,基于此,在确定出各个IP地址范围段对应的报文的安全等级后,可以直接将各个IP地址范围段对应的报文的安全等级值确定为各IP地址范围段对应的路由设备的信任等级的等级值,以及各IP地址范围段对应的转发路径的安全等级的等级值。
例如,[0,K0)这一IP地址范围段对应的报文的安全等级为安全等级0,则该IP地址范围段对应的路由设备的信任等级为信任等级0,该IP地址范围段对应的转发路径的安全等级为安全等级0。
其中,IP地址范围段对应的路由设备的信任等级可以理解为:转发段报文的路由设备的最低信任等级。其中,段报文为:源IP地址为该IP地址范围段内IP地址的报文。
各IP地址范围段对应的路由设备的信任等级的等级值可以理解为:转发上述段报文的转发路径的最低信任等级。
下面对现有技术中一种选择报文转发路径的方案进行说明。
该方案中,首先基于前面提及的IP地址范围段构建一棵二叉树,该二叉树中节点处存储分界地址或者IP地址范围段,具体参见图2。这样在获得报文的源IP地址后,从二叉树的根节点开始与上述源IP地址进行比较,直至找到源IP地址所属的IP地址范围段,然后根据上述IP地址范围段,确定用于转发报文的转发路径的安全等级,进而依据所确定的安全等级为上述报文选择转发路径。
具体的,从图2所示的二叉树中可以看出,根节点存储有分界地址K0,根节点的两个子节点分别存储有分界地址K1和K2,然后上述两个子节点的子节点分别存储有IP地址范围段[min,K1)、[K1,K0)、[K0,K2)以及[K2,max],其中,min表示整个IP地址范围中的最小IP地址,max表示整个IP地址范围中的最大IP地址。
下面在上述二叉树基础上介绍确定源IP地址所属的IP地址范围段的过程。
路由设备获取到报文的源IP地址后,首先将上述源IP地址与分界地址K0进行比较,如果上述源IP地址大于等于分界地址K0,则转向根节点的右子节点,为便于表述称该右子节点为K2右子节点,然后将上述源IP地址与分界地址K2进行比较,如果上述源IP地址小于分界地址K2,则转向K2右子节点的左子节点,判断上述源IP地址是否属于该左子节点存储的IP地址范围段[K0,K2),如果上述源IP地址不小于分界地址K2,则转向K2右子节点的右子节点,判断上述源IP地址是否属于该右子节点存储的IP地址范围段[K2,max];如果上述源IP地址小于分界地址K0,则转向根节点的左子节点,后续判断过程与前述过程类似,这里不再详述。
经过上述过程之后,能够确定出上述源IP地址所属的IP地址范围段。
由以上可见,基于二叉树选择报文转发路径时,需要多次将源IP地址与二叉树节点中存储的信息进行比较判断,而比较判断属于效率低耗费计算资源的操作,所以,应用上述方案选择转发路由,选择出转发路由的效率较低、计算资源消耗较大,从而也导致报文转发的效率低。
为解决上述技术问题,本发明实施例提供的报文转发路径选择方案基于信任表项实现,为实现这一方案首先要求路由设备中存储有信任表项,因此,下面先对获取信任表项的方案进行说明。
本发明实施例提供的信任表项获取方案的执行主体可以为路由设备等具备计算能力和存储能力的电子设备。
本发明的一个实施例中,参见图3,提供了第一种信任表项获取方法的流程示意图,该方法包括以下步骤S301-S305。
步骤S301:获得IP地址的分界地址。
一种实现方式中,可以获得工作人员配置的IP地址的分界地址。
另一种实现方式中,可以从网络内具有管理功能的设备处获得上述分界地址。
步骤S302:根据各个分界地址,确定IP地址范围段。
具体的,根据各个分界地址确定IP地址范围段的具体实现方式在上文中已经详述,这里不再赘述。
步骤S303:获得各个IP地址范围段对应的转发路径的安全等级。
本发明的一个实施例中,如前所述可以根据各个分界地址确定各个IP地址范围段对应报文的安全等级,然后依据所确定的报文的安全等级获得各个IP地址范围段对应的转发路径的安全等级。
另外,还可以基于其他方式获得转发路径的安全等级,详见后续实施例,这里暂不详述。
步骤S304:获得各个IP地址范围段对应的标识掩码对。
其中,每一标识掩码对中包含IP地址的地址标识和掩码。
对于每一IP地址范围段而言,上述地址标识能够唯一标识该IP地址范围段中的IP地址。
掩码中各比特位的取值表征IP地址中相同比特位是否有效。例如,可以用1表示一个比特位有效,用0表示一个比特位无效。
另外,上述地址标识和掩码的比特位数可以与IP地址的比特位数量相同。
一种实现方式中,上述掩码可以是根据为各个IP地址范围段设置的规则确定的。例如,上述规则为:IP地址中最高的第一数量个比特位的取值为预设值,这种情况下,上述掩码可以是:最高的第一数量个比特位为1,其他比特位为0的IP地址。例如,上述第一数量可以是64。
上述掩码还可以是根据其他方式得到的,具体可以参见后续图4所示实施例,这里暂不详述。
下面对获得一个标识掩码对中地址标识的方式进行说明。
本发明的一个实施例中,在确定了一个IP地址范围段的一个标识掩码对中的掩码后,可以基于该IP地址范围段的起始IP地址与上述掩码,确定IP地址的地址标识。例如,将IP地址范围段的起始IP地址与上述掩码按比特位进行与运算,然后将所得结果作为上述标识掩码对中的地址标识。
需要说明的是,本发明实施例并不限定步骤S303和步骤S304执行顺序,这两个步骤可以并行执行,也可以串行执行。
步骤S305:针对每一IP地址范围段,生成包含一个标识掩码对以及该IP地址范围段对应的转发路径的安全等级的信任表项。
由于针对每一IP地址范围段生成标识掩码对时,可能仅生成一个标识掩码对,也可能会生成多个标识掩码对,因此,本步骤中,生成信任表项时,需要针对每一标识掩码对生成信任表项。
假设,一个IP地址范围段对应的转发路径的安全等级为Q,该IP地址范围段对应有2个标识掩码对,分别为:(D1,Y1)和(D2,Y2),其中,D1、D2为地址标识,Y1和Y2为掩码,则所生成信任表项包括:(D1,Y1,Q)和(D2,Y2,Q)。
针对每一IP地址范围段生成信任表项后,这些信任表项可以以链表的形式存储。
由以上可见,本实施例提供的方案中,首先获取各个IP地址范围段所对应转发路径的安全等级和标识掩码对,然后针对每一IP地址范围段,生成包含一个标识掩码对以及该IP地址范围段对应的转发路径的安全等级的信任表项,因此应用本实施例提供的方案能够成功生成信任表项。另外,由于信任表项中包含与IP地址范围段对应的转发路径的安全等级,所以,上述信任表项可以用于在转发路径选择过程中提供转发路径的安全等级。
下面对前述步骤S303中获得转发路径的安全等级的其他实现方式进行说明。
本发明的一个实施例中,可以通过以下步骤A-步骤B实现上述步骤S303。
步骤A:获得各个IP地址范围段对应的路由设备的信任等级。
一种实现方式中,如前所述,可以先根据各个分界地址确定各个IP地址范围段对应的报文的安全等级,然后,基于各个IP地址范围段对应的报文的安全等级,直接获得各个IP地址范围段对应的路由设备的信任等级。具体过程可以参见前文所述的内容,这里不再详述。
另一种实现方式中,可以基于各个分界地址的类型确定路由设备的信任等级,具体过程详见后续实施例,这里暂不详述。
步骤B:根据预设的路由设备的信任等级与转发路径的安全等级的对应关系、以及所获得的信任等级,获得各个IP地址范围段对应的转发路径的安全等级。
一种情况下,路由设备的信任等级与转发路径的安全等级的对应关系可以为:路由设备的信任等级的等级值与转发路径的安全等级的等级值相等,这种情况下,在获取各个IP地址范围段对应的路由设备的信任等级后,可以获得与各个IP地址范围段对应的转发路径的安全等级。
由以上可见,由于本实施例提供的方案中,预先设定了路由设备的信任等级与转发路径的安全等级之间的对应关系,因此,在得到各个IP地址范围段对应的路由设备的信任等级后,即可依据上述预设的对应关系获得到转发路径的安全等级,使得获得转发路径的安全等级的过程简化,从而能够提高获得转发路径的安全等级的效率。
下面对前述步骤A中获得路由设备的信任等级的其他实现方式进行说明。
本发明的一个实施例中,在前述步骤A获得各个IP地址范围段对应的路由设备的信任等级之前,上述转发路径选择方法还包括以下步骤A1。
步骤A1:获得各分界地址的地址类型。
其中,上述地址类型包括:特殊分界地址和普通分界地址。特殊分界地址和普通分界地址可以通过不同的标识进行表示。上述特殊分界地址可以理解为对应路由设备的最低信任等级的分界地址,也就是对应路由设备的起始信任等级的分界地址。
具体的,分界地址的地址类型可以是由工作人员根据具体情况指定的,也可以是由网络中的管理设备指定的,本发明实施例并不对此进行限定。
上述分界地址的地址类型可以是随着分界地址一并获得的。
在所有分界地址中,上述特殊分界地址可以是最小的分界地址,可是最大的分界地址,还可以是处于中间的分界地址。
在上述基础上,可以通过下述步骤A2-步骤A3实现上述步骤A。
步骤A2:设置以特殊分界地址为起始地址的第一IP地址范围段对应的路由设备的信任等级为预设起始信任等级。
预设起始信任等级可以是工作人员根据实际情况设定的,例如,可以是信任等级0,可以是信任等级1等。
由于特殊分界地址可能是最小的分界地址、中间的分界地址,还有可能是最大的分界地址,所以,第一IP地址范围段的结束地址可能是最大的IP地址,还可能是比特殊分界地址大的下一个分界地址。
步骤A3:以第一信任等级为起始值、预设的等级变化量为信任等级变化步长,按照循环设置方式,从第二IP地址范围段开始设置路由设备的信任等级,并设置第三IP地址范围段对应的路由设备的信任等级等于第四IP地址范围段对应的路由设备的信任等级。
第二IP地址范围段为:以第一分界地址为起始地址的IP地址范围段,第一分界地址为:以循环方式位于特殊分界地址之后的第一个普通分界地址。
第三IP地址范围段为:以IP地址范围中最小IP地址为起始地址的IP地址范围段。第四IP地址范围段为:以IP地址范围中最大IP地址为结束地址的IP地址范围段。
其中,上述第一信任等级为:上述起始信任等级与上述预设的等级变化量之和。例如,上述等级变化量可以是1、2等。
从前面的描述可以得知,特殊分界地址可能是最小的分界地址、中间的分界地址,还有可能是最大的分界地址,所以,普通分界地址和特殊分界地址大小相对关系呈现多样化,下面分情况进行说明。
假设,K0为特殊分界地址,K1和K2为普通分界地址,0表示IP地址范围中的最小IP地址,max表示IP地址范围中的最大IP地址,预设起始信任等级为信任等级1,等级变化量为1。
情况一,按照从小到大的顺序各分界地址为:K1、K2和K0,则IP地址范围段包括:[0,K1)、[K1,K2)、[K2,K0)、[K0,max]。其中,
[K0,max]为第一IP地址范围段,也可称为前述的第四IP地址范围段,对应的路由设备的信任等级为信任等级1;
[0,K1)为第三IP地址范围段,对应的路由设备的信任等级等于前述第四IP地址范围段对应的路由设备的信任等级,为信任等级1;
[K1,K2)和[K2,K0)为第二IP地址范围段,对应的路由设备的信任等级分别为信任等级2和信任等级3。
情况二,按照从小到大的顺序各分界地址为:K0、K1和K2,则IP地址范围段包括:[0,K0)、[K0,K1)、[K1,K2)、[K2,max]。其中,
[K0,K1)为第一IP地址范围段,对应的路由设备的信任等级为信任等级1;
[K1,K2)和[K2,max]为第二IP地址范围段,对应的路由设备的信任等级分别为信任等级2和信任等级3,其中,[K2,max]也称为第四IP地址范围段;
[0,K0)为第三IP地址范围段,对应的路由设备的信任等级等于前述第四IP地址范围段对应的路由设备的信任等级,为信任等级3。
情况三,按照从小到大的顺序各分界地址为:K1、K0和K2,则IP地址范围段包括:[0,K1)、[K1,K0)、[K0,K2)、[K2,max]。其中,
[K0,K2)为第一IP地址范围段,对应的路由设备的信任等级为信任等级1;
[K2,max]为第二IP地址范围段,也称为第四IP地址范围段,对应的路由设备的信任等级为信任等级2;
[0,K1)为第三IP地址范围段,对应的路由设备的信任等级等于前述第四IP地址范围段对应的路由设备的信任等级,为信任等级2;
[K1,K0)为第二IP地址范围段,对应的路由设备的信任等级为信任等级3。
由以上可见,本步骤中各个IP地址范围段均被设置对应的路由设备的信任等级之后,即完成了对应的路由设备的信任等级的设置,而无需重复设置。
由以上可见,本实施例提供的方案中,结合分界地址的类型以及预设的信任等级设置各个IP地址范围段对应的路由设备的信任等级,使得不同情况下,相同的IP地址范围段能够对应不同的路由设备的信任等级,使得不同情况下,IP地址范围段对应的路由设备的信任等级的设置更加灵活。
图4为本发明实施例提供的第二种信任表项获取方法的流程示意图,如图4所示,步骤S304可以通过以下步骤S304A-S304B实现。
步骤S304A:对各个IP地址范围段内包含的IP地址进行分组。
具体的,可以基于分组规则对各个IP地址范围段内的IP地址进行分组,每一IP地址范围段可以对应一个分组规则,也可以对应多个分组规则,因此,可以将一个IP地址范围段分为一个分组,也可以分为多个分组。
由于每一分组内的IP地址均符合一定的规则,所以,一个分组内的IP地址具有共同特征。
具体的,对于每个IP地址范围段而言,可以依据具体情况设置不同的分组规则。例如,一种情况下,对于一个IP地址范围段,其分组规则可以是:将偶数IP地址划分为一个分组,将奇数IP地址划分为一个分组。当然,对于各个IP地址范围段而言,还存在其他分组规则,这里仅仅以上述为例进行说明,并不对分组规则的具体形式进行限定。
步骤S304B:针对各个IP地址范围段对应的每一分组,根据该分组对应的分组规则以及该分组中包含的IP地址,确定该分组对应的IP地址的地址标识以及掩码,得到包含所确定地址标识以及掩码的标识掩码对。
一种实现方式中,对于各个IP地址范围段对应的每一分组而言,可以基于该分组对应的分组规则的具体内容以及IP地址范围段中包含的IP地址,确定上述掩码的取值。例如,分组规则为将IP地址范围段中的偶数IP地址划分为一组,这时,先确定出IP地址范围段中各个IP地址的相同的高比特位,如确定出高X位相同,然后将剩余的低比特位设置为表示偶数的数。如,上述掩码中,设置高X个比特位取值为1,设置最低的两个比特位为10,其余比特位均设置为0。
在确定出每一分组的掩码后,可以基于掩码和该分组中的一个IP地址确定地址标识,具体确定方式与前述步骤S304处的描述相同,这里不再赘述。
本发明的一个实施例,在确定分组对应的IP地址的地址标识以及掩码时,还可以先获得该分组中包含的IP地址的低预设数量个比特位,然后根据该分组对应的分组规则以及所获得的比特位,确定该分组对应的IP地址的地址标识以及掩码。
例如,上述预设数量可以是64。
具体的,在一些场景中使用的IP地址较小,这种情况下,IP地址中高比特位不具有特定的含义,因此,在生成掩码以及地址标识时,可以仅考虑IP地址中低预设数量个比特,而不是考虑所有的比特。这样在确定掩码和地址标识时仅考虑IP地址中的部分信息,尤其是对于位数较多的IPV6地址,能够减少所考虑的信息,从而能够有效提高确定掩码和地址标识的效率。另外,因为仅考虑IP地址中的部分信息,还能够减少计算资源和缓存资源的占用。
由以上可见,本实施例提供的方案中,在生成标识掩码对时并非直接对IP地址范围段中的IP地址直接生成掩码以及地址标识,而是先对IP地址范围段中的IP地址进行分组,然后基于分组生成标识掩码对,分组之后,组内IP地址的特征更加清楚明确,这样能够更加准确的确定出掩码以及地址标识,从而能够生成更加便于进行表项匹配的信任表项。
下面对本发明实施例提供的报文转发路径选择方法进行详细说明。
本发明实施例提供的报文转发路径选择方法的执行主体为路由设备,上述路由设备预先存储有按照上述各个实施例提供的方案生成信任表项。
图5为本发明实施例提供的第一种报文转发路径选择方法的流程示意图,如图5所示,可以包括以下步骤:S501-S504。
步骤S501:接收待转发的报文。
步骤S502:根据上述报文的源IP地址和本地存储的信任表项中包含的掩码,计算在信任表项下上述源IP地址对应的第一地址标识。
其中,上述掩码中各比特位的取值表征IP地址中相同比特位是否有效。
一种实现方式中,可以采用信任表项中的掩码与整个源IP地址按位与的方式计算第一地址标识,详细过程与前述实施例中提及的过程相同,这里不再详述。
另一种实现方式中,可以获得上述报文的源IP地址的低预设数量个比特位,将所获得比特位与本地存储的信任表项中包含的掩码按位进行与运算,得到运算结果,将所得运算结果作为在信任表项下上述源IP地址对应的第一地址标识。这种情况下,获得第一地址标识时仅IP地址中的部分信息,尤其是对于位数较多的IPV6地址,能够减少所考虑的信息,从而能够有效提高确定掩码和地址标识的效率。另外,因为仅考虑IP地址中的部分信息,还能够减少计算资源和缓存资源的占用。
步骤S503:根据上述源IP地址对应的第一地址标识和信任表项中包含的第二地址标识,确定各信任表项中与上述源IP地址相匹配的目标表项。
对于一个信任表项而言,若上述源IP地址对应的第一地址标识和该信任表项中包含的第二地址标识相同,则认为该信任表项与上述源IP地址相匹配,可作为目标表项。
在将上述源IP地址与信任表项进行匹配的过程中,若确定出了目标信任表项,则可以停止后续信任表项的匹配。
步骤S504:根据上述目标表项中包含的转发路径的安全等级,从可用报文转发路径中,为上述报文选择转发路径。
具体的,可以从可用报文转发路径中选择安全等级不低于上述目标表项中包含的安全等级的转发路径,来转发上述报文。
应用本发明实施例提供的方案选择报文转发路径时,由于路由设备本地存储了信任表项,又由于信任表项中掩码的各比特位的取值表征IP地址中相同比特位是否有效,所以,根据各信任表项中的掩码,可以确定待转发报文的源IP地址中哪些比特位有效,从而得到上述源IP地址对应的第一地址标识。由于信任表项中也包含地址标识,因此,根据上述第一地址标识和各信任表项中包含的地址标识,能够进行表项匹配,得到与待转发报文相匹配的目标表项。又由于信任项中包含转发路径的安全等级,所以可以将目标表项中包含的转发路径的安全等级作为待转发的报文对应的转发路径的安全等级,从而根据上述转发路径的安全等级选择出用于转发上述报文的转发路径。可见,应用本发明实施例提供的方案能够实现转发路径选择。在确定了报文对应的转发路径后,则可以依据转发路径的等级确定转发路径,从而保证报文被安全的转发。
另外,本发明实施例提供的方案中,在为报文选择转发路径过程中,是通过表项匹配的方式实现的,由于路由设备中芯片进行表项匹配效率较高,因此,应用本发明实施例提供的方案能够快速高效的完成表项匹配,进而快速的选择出转发路径,这样也就提高了报文转发的速度,实现了报文的快速转发。
再者,由于本发明实施例提供的方案中是通过表项匹配的方式获得转发路径的安全等级的,因此能够省去基于二叉树进行路径选择时多次进行判断的过程,因此能够进一步提高转发路径选择的效率,从而能够进一步提高报文转发的效率。
与上述报文转发路径选择方法相对应,本发明实施例还提供了一种报文路径转发装置。
图6为本发明实施例提供一种报文转发路径选择装置的结构示意图,所述装置包括以下模块:601-604。
报文接收模块601:用于接收待转发的报文;
第一地址标识计算模块602:用于根据所述报文的源IP地址和本地存储的信任表项中包含的掩码,计算在信任表项下所述源IP地址对应的第一地址标识,其中,所述掩码中各比特位的取值表征IP地址中相同比特位是否有效;
目标表项确定模块:603:用于根据所述源IP地址对应的第一地址标识和信任表项中包含的第二地址标识,确定各信任表项中与所述源IP地址相匹配的目标表项;
转发路径选择模块604:用于根据所述目标表项中包含的转发路径的安全等级,从可用报文转发路径中,为所述报文选择转发路径。
本发明的一个实施例中,上述第一地址标识计算模块602,具体用于:
获得所述报文的源IP地址的低预设数量个比特位;
将所获得比特位与本地存储的信任表项中包含的掩码按位进行与运算,得到运算结果,将所得运算结果作为在信任表项下所述源IP地址对应的第一地址标识。
应用本发明实施例提供的方案选择报文转发路径时,由于路由设备本地存储了信任表项,又由于信任表项中掩码的各比特位的取值表征IP地址中相同比特位是否有效,所以,根据各信任表项中的掩码,可以确定待转发报文的源IP地址中哪些比特位有效,从而得到上述源IP地址对应的第一地址标识。由于信任表项中也包含地址标识,因此,根据上述第一地址标识和各信任表项中包含的地址标识,能够进行表项匹配,得到与待转发报文相匹配的目标表项。又由于信任项中包含转发路径的安全等级,所以可以将目标表项中包含的转发路径的安全等级作为待转发的报文对应的转发路径的安全等级,从而根据上述转发路径的安全等级选择出用于转发上述报文的转发路径。可见,应用本发明实施例提供的方案能够实现转发路径选择。在确定了报文对应的转发路径后,则可以依据转发路径的等级确定转发路径,从而保证报文被安全的转发。
另外,本发明实施例提供的方案中,在为报文选择转发路径过程中,是通过表项匹配的方式实现的,由于路由设备中芯片进行表项匹配效率较高,因此,应用本发明实施例提供的方案能够快速高效的完成表项匹配,进而快速的选择出转发路径,这样也就提高了报文转发的速度,实现了报文的快速转发。
图7为本发明实施例提供的第一种信任表项获得装置的结构示意图,上述装置包括以下子模块701-705。
分界地址获取子模块701:用于获得IP地址的分界地址;
范围段获取确定子模块702:用于根据各个分界地址,确定IP地址范围段;
安全等级获取子模块703:用于获得各个IP地址范围段对应的转发路径的安全等级;
标识掩码对获取子模块704:用于获得各个IP地址范围段对应的标识掩码对,其中,每一标识掩码对中包含IP地址的地址标识和掩码;
信任表项生成子模块705:用于针对每一IP地址范围段,生成包含一个标识掩码对以及该IP地址范围段对应的转发路径的安全等级的信任表项。
由以上可见,本实施例提供的方案中,首先获取各个IP地址范围段所对应转发路径的安全等级和标识掩码对,然后针对每一IP地址范围段,生成包含一个标识掩码对以及该IP地址范围段对应的转发路径的安全等级的信任表项,因此应用本实施例提供的方案能够成功生成信任表项。另外,由于信任表项中包含与IP地址范围段对应的转发路径的安全等级,所以,上述信任表项可以用于在转发路径选择过程中提供转发路径的安全等级。
图8为本发明实施例提供的第二种信任表现获得装置的结构示意图,与前述图7所示的装置相比,所述标识掩码对获取子模块704,包括以下单元704A-704B。
IP地址分组单元704A:用于对各个IP地址范围段内包含的IP地址进行分组;
标识掩码对获取单元704B:用于针对各个IP地址范围段对应的每一分组,根据该分组对应的分组规则以及该分组中包含的IP地址,确定该分组对应的IP地址的地址标识以及掩码,得到包含所确定地址标识以及掩码的标识掩码对。
本发明的一个实施例中,上述标识掩码对获取单元704B,具体用于:
针对各个IP地址范围段对应的每一分组,获得该分组中包含的IP地址的低预设数量个比特位;
根据该分组对应的分组规则以及所获得的比特位,确定该分组对应的IP地址的地址标识以及掩码。
由以上可见,本实施例提供的方案中,在生成标识掩码对时并非直接对IP地址范围段中的IP地址直接生成掩码以及地址标识,而是先对IP地址范围段中的IP地址进行分组,然后基于分组生成标识掩码对,分组之后,组内IP地址的特征更加清楚明确,这样能够更加准确的确定出掩码以及地址标识,从而能够生成更加便于进行表项匹配的信任表项。
图9为本发明实施例提供的第三种信任表现获得装置的结构示意图,与前述图7所示的装置相比,安全等级获取子模块703包括以下单元703A-703B。
第一信任等级获取单元703A,用于获得各个IP地址范围段对应的路由设备的信任等级;
安全等级获取单元703B,用于根据预设的路由设备的信任等级与转发路径的安全等级的对应关系、以及所获得的信任等级,获得各个IP地址范围段对应的转发路径的安全等级。
由以上可见,由于本实施例提供的方案中,预先设定了路由设备的信任等级与转发路径的安全等级之间的对应关系,因此,在得到各个IP地址范围段对应的路由设备的信任等级后,即可依据上述预设的对应关系获得到转发路径的安全等级,使得获得转发路径的安全等级的过程简化,从而能够提高获得转发路径的安全等级的效率。
图10为本发明实施例提供的第四种信任表现获得装置的结构示意图,与前述图9所示的装置相比,上述装置还包括以下子模块703C。
分界地址获取单元703C,用于在所述第一信任等级获取单元获得信任等级之前,获得各分界地址的地址类型,其中,所述地址类型包括:特殊分界地址和普通分界地址。
本发明的一个实施例中,上述第一信任等级获取单元703A,具体用于:
设置以特殊分界地址为起始地址的第一IP地址范围段对应的路由设备的信任等级为预设起始信任等级;
以第一信任等级为起始值、预设的等级变化量为信任等级变化步长,按照循环设置方式,从第二IP地址范围段开始设置路由设备的信任等级,并设置第三IP地址范围段对应的路由设备的信任等级等于第四IP地址范围段对应的路由设备的信任等级;
其中,所述第一信任等级为:所述起始信任等级与所述预设的等级变化量之和,所述第二IP地址范围段为:以第一分界地址为起始地址的IP地址范围段,第一分界地址为:以循环方式位于特殊分界地址之后的第一个普通分界地址,所述第三IP地址范围段为:以IP地址范围中最小IP地址为起始地址的IP地址范围段,所述第四IP地址范围段为:以IP地址范围中最大IP地址为结束地址的IP地址范围段。
由以上可见,本实施例提供的方案中,结合分界地址的类型以及预设的信任等级设置各个IP地址范围段对应的路由设备的信任等级,使得不同情况下,相同的IP地址范围段能够对应不同的路由设备的信任等级,使得不同情况下,IP地址范围段对应的路由设备的信任等级的设置更加灵活。
本发明实施例还提供了一种电子设备,如图11所示,包括处理器1101、通信接口1102、存储器1103和通信总线1104,其中,处理器1101,通信接口1102,存储器1103通过通信总线1104完成相互间的通信,
存储器1103,用于存放计算机程序;
处理器1101,用于执行存储器1103上所存放的程序时,实现上述方法实施例中任一报文转发路径选择方法的步骤。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述方法实施例中任一报文转发路径选择方法的步骤。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述方法实施例中任一报文转发路径选择方法的步骤。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、存储介质、计算机程序产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (16)

1.一种报文转发路径选择方法,其特征在于,所述方法包括:
接收待转发的报文;
根据所述报文的源IP地址和本地存储的信任表项中包含的掩码,计算在信任表项下所述源IP地址对应的第一地址标识,其中,所述掩码中各比特位的取值表征IP地址中相同比特位是否有效;
根据所述源IP地址对应的第一地址标识和信任表项中包含的第二地址标识,确定各信任表项中与所述源IP地址相匹配的目标表项;
根据所述目标表项中包含的转发路径的安全等级,从可用报文转发路径中,为所述报文选择转发路径。
2.根据权利要求1所述的方法,其特征在于,所述根据所述报文的源IP地址和本地存储的信任表项中包含的掩码,计算在信任表项下所述源IP地址对应的第一地址标识,包括:
获得所述报文的源IP地址的低预设数量个比特位;
将所获得比特位与本地存储的信任表项中包含的掩码按位进行与运算,得到运算结果,将所得运算结果作为在信任表项下所述源IP地址对应的第一地址标识。
3.根据权利要求1或2所述的方法,其特征在于,按照以下方式获得本地存储的信任表项:
获得IP地址的分界地址;
根据各个分界地址,确定IP地址范围段;
获得各个IP地址范围段对应的转发路径的安全等级;
获得各个IP地址范围段对应的标识掩码对,其中,每一标识掩码对中包含IP地址的地址标识和掩码;
针对每一IP地址范围段,生成包含一个标识掩码对以及该IP地址范围段对应的转发路径的安全等级的信任表项。
4.根据权利要求3所述的方法,其特征在于,所述获得各个IP地址范围段对应的标识掩码对,包括:
对各个IP地址范围段内包含的IP地址进行分组;
针对各个IP地址范围段对应的每一分组,根据该分组对应的分组规则以及该分组中包含的IP地址,确定该分组对应的IP地址的地址标识以及掩码,得到包含所确定地址标识以及掩码的标识掩码对。
5.根据权利要求4所述的方法,其特征在于,所述根据该分组对应的分组规则以及该分组中包含的IP地址,确定该分组对应的IP地址的地址标识以及掩码,包括:
获得该分组中包含的IP地址的低预设数量个比特位;
根据该分组对应的分组规则以及所获得的比特位,确定该分组对应的IP地址的地址标识以及掩码。
6.根据权利要求3所述的方法,其特征在于,所述获得各个IP地址范围段对应的转发路径的安全等级,包括:
获得各个IP地址范围段对应的路由设备的信任等级;
根据预设的路由设备的信任等级与转发路径的安全等级的对应关系、以及所获得的信任等级,获得各个IP地址范围段对应的转发路径的安全等级。
7.根据权利要求6所述的方法,其特征在于,在所述获得各个IP地址范围段对应的路由设备的信任等级之前,所述方法还包括:
获得各分界地址的地址类型,其中,所述地址类型包括:特殊分界地址和普通分界地址;
所述获得各个IP地址范围段对应的路由设备的信任等级,包括:
设置以特殊分界地址为起始地址的第一IP地址范围段对应的路由设备的信任等级为预设起始信任等级;
以第一信任等级为起始值、预设的等级变化量为信任等级变化步长,按照循环设置方式,从第二IP地址范围段开始设置路由设备的信任等级,并设置第三IP地址范围段对应的路由设备的信任等级等于第四IP地址范围段对应的路由设备的信任等级;
其中,所述第一信任等级为:所述起始信任等级与所述预设的等级变化量之和,所述第二IP地址范围段为:以第一分界地址为起始地址的IP地址范围段,第一分界地址为:以循环方式位于特殊分界地址之后的第一个普通分界地址,所述第三IP地址范围段为:以IP地址范围中最小IP地址为起始地址的IP地址范围段,所述第四IP地址范围段为:以IP地址范围中最大IP地址为结束地址的IP地址范围段。
8.一种报文转发路径选择装置,其特征在于,所述装置包括:
报文接收模块,用于接收待转发的报文;
第一地址标识计算模块,用于根据所述报文的源IP地址和本地存储的信任表项中包含的掩码,计算在信任表项下所述源IP地址对应的第一地址标识,其中,所述掩码中各比特位的取值表征IP地址中相同比特位是否有效;
目标表项确定模块,用于根据所述源IP地址对应的第一地址标识和信任表项中包含的第二地址标识,确定各信任表项中与所述源IP地址相匹配的目标表项;
转发路径选择模块,用于根据所述目标表项中包含的转发路径的安全等级,从可用报文转发路径中,为所述报文选择转发路径。
9.根据权利要求8所述的装置,其特征在于,
所述第一地址标识计算模块,具体用于针对各个IP地址范围段对应的每一分组,获得所述报文的源IP地址的低预设数量个比特位;将所获得比特位与本地存储的信任表项中包含的掩码按位进行与运算,得到运算结果,将所得运算结果作为在信任表项下所述源IP地址对应的第一地址标识。
10.根据权利要求8或9所述的装置,其特征在于,所述装置还包括信任表项获得模块,所述信任表项获得模块,包括:
分界地址获取子模块,用于获得IP地址的分界地址;
范围段获取确定子模块,用于根据各个分界地址,确定IP地址范围段;
安全等级获取子模块,用于获得各个IP地址范围段对应的转发路径的安全等级;
标识掩码对获取子模块,用于获得各个IP地址范围段对应的标识掩码对,其中,每一标识掩码对中包含IP地址的地址标识和掩码;
信任表项生成子模块,用于针对每一IP地址范围段,生成包含一个标识掩码对以及该IP地址范围段对应的转发路径的安全等级的信任表项。
11.根据权利要求10所述的装置,其特征在于,所述标识掩码对获取子模块,包括:
IP地址分组单元,用于对各个IP地址范围段内包含的IP地址进行分组;
标识掩码对获取单元,用于针对各个IP地址范围段对应的每一分组,根据该分组对应的分组规则以及该分组中包含的IP地址,确定该分组对应的IP地址的地址标识以及掩码,得到包含所确定地址标识以及掩码的标识掩码对。
12.根据权利要求11所述的装置,其特征在于,
所述标识掩码对获取单元,具体用于获得该分组中包含的IP地址的低预设数量个比特位;根据该分组对应的分组规则以及所获得的比特位,确定该分组对应的IP地址的地址标识以及掩码。
13.根据权利要求10所述的装置,其特征在于,所述安全等级获取子模块,包括:
第一信任等级获取单元,用于获得各个IP地址范围段对应的路由设备的信任等级;
安全等级获取单元,用于根据预设的路由设备的信任等级与转发路径的安全等级的对应关系、以及所获得的信任等级,获得各个IP地址范围段对应的转发路径的安全等级。
14.根据权利要求13所述的装置,其特征在于,所述安全等级获取子模块,还包括:
分界地址获取单元,用于在所述第一信任等级获取单元获得信任等级之前,获得各分界地址的地址类型,其中,所述地址类型包括:特殊分界地址和普通分界地址;
所述第一信任等级获取单元,具体用于设置以特殊分界地址为起始地址的第一IP地址范围段对应的路由设备的信任等级为预设起始信任等级;以第一信任等级为起始值、预设的等级变化量为信任等级变化步长,按照循环设置方式,从第二IP地址范围段开始设置路由设备的信任等级,并设置第三IP地址范围段对应的路由设备的信任等级等于第四IP地址范围段对应的路由设备的信任等级;其中,所述第一信任等级为:所述起始信任等级与所述预设的等级变化量之和,所述第二IP地址范围段为:以第一分界地址为起始地址的IP地址范围段,第一分界地址为:以循环方式位于特殊分界地址之后的第一个普通分界地址,所述第三IP地址范围段为:以IP地址范围中最小IP地址为起始地址的IP地址范围段,所述第四IP地址范围段为:以IP地址范围中最大IP地址为结束地址的IP地址范围段。
15.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-7任一所述的方法步骤。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7任一所述的方法步骤。
CN202210581358.2A 2022-05-26 2022-05-26 一种报文转发路径选择方法及装置 Active CN114978995B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210581358.2A CN114978995B (zh) 2022-05-26 2022-05-26 一种报文转发路径选择方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210581358.2A CN114978995B (zh) 2022-05-26 2022-05-26 一种报文转发路径选择方法及装置

Publications (2)

Publication Number Publication Date
CN114978995A true CN114978995A (zh) 2022-08-30
CN114978995B CN114978995B (zh) 2023-07-21

Family

ID=82955779

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210581358.2A Active CN114978995B (zh) 2022-05-26 2022-05-26 一种报文转发路径选择方法及装置

Country Status (1)

Country Link
CN (1) CN114978995B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102802206A (zh) * 2011-05-23 2012-11-28 中兴通讯股份有限公司 一种wlan分流方法和分流网元
CN104168201A (zh) * 2014-08-06 2014-11-26 福建星网锐捷网络有限公司 一种多路径转发的方法及装置
CN104580027A (zh) * 2013-10-25 2015-04-29 杭州华三通信技术有限公司 一种OpenFlow报文转发方法及设备
US20170250913A1 (en) * 2013-11-27 2017-08-31 Beijing University Of Posts And Telecommunications Method for processing downlink signalling of sdn virtualization platform based on openflow
CN107682266A (zh) * 2017-09-12 2018-02-09 杭州迪普科技股份有限公司 流表项的匹配方法及装置、计算机可读存储介质
CN109995645A (zh) * 2019-03-07 2019-07-09 盛科网络(苏州)有限公司 一种灵活查找fdb表项的芯片实现方法
US20220124033A1 (en) * 2020-10-21 2022-04-21 Huawei Technologies Co., Ltd. Method for Controlling Traffic Forwarding, Device, and System

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102802206A (zh) * 2011-05-23 2012-11-28 中兴通讯股份有限公司 一种wlan分流方法和分流网元
CN104580027A (zh) * 2013-10-25 2015-04-29 杭州华三通信技术有限公司 一种OpenFlow报文转发方法及设备
US20170250913A1 (en) * 2013-11-27 2017-08-31 Beijing University Of Posts And Telecommunications Method for processing downlink signalling of sdn virtualization platform based on openflow
CN104168201A (zh) * 2014-08-06 2014-11-26 福建星网锐捷网络有限公司 一种多路径转发的方法及装置
CN107682266A (zh) * 2017-09-12 2018-02-09 杭州迪普科技股份有限公司 流表项的匹配方法及装置、计算机可读存储介质
CN109995645A (zh) * 2019-03-07 2019-07-09 盛科网络(苏州)有限公司 一种灵活查找fdb表项的芯片实现方法
US20220124033A1 (en) * 2020-10-21 2022-04-21 Huawei Technologies Co., Ltd. Method for Controlling Traffic Forwarding, Device, and System

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ZIXIANG MA: "A fast path matching algorithm for indoor positioning systems using magnetic field measurements", 《2017 IEEE 28TH ANNUAL INTERNATIONAL SYMPOSIUM ON PERSONAL, INDOOR, AND MOBILE RADIO COMMUNICATIONS (PIMRC)》 *
孟繁杰,刘庆文,胡,张铁壁: "UCLA网络加速器路由表快速查找改进模型", 计算机工程与应用, no. 27 *

Also Published As

Publication number Publication date
CN114978995B (zh) 2023-07-21

Similar Documents

Publication Publication Date Title
CN109617927B (zh) 一种匹配安全策略的方法及装置
Mun et al. New approach for efficient ip address lookup using a bloom filter in trie-based algorithms
CN110855629B (zh) Ip地址的匹配方法、匹配表的生成方法及相关装置
CN108965137B (zh) 一种报文处理方法和装置
CN113438172B (zh) 基于多级节点网络的数据传输方法和装置
WO2017039576A1 (en) Propagating belief information about malicious and benign nodes
CN107147581B (zh) 路由表项的维护方法和装置
US20180227184A1 (en) Network policy distribution
WO2021218984A1 (zh) 一种数据路由方法和相关装置
CN113127693B (zh) 一种流量数据包统计方法、装置、设备及存储介质
CN112187636B (zh) Ecmp路由的存储方法及装置
CN113132259B (zh) 一种流量数据包统计方法、装置、设备及存储介质
CN114978995A (zh) 一种报文转发路径选择方法及装置
CN109617817B (zh) 一种mlag组网的转发表项的生成方法及装置
US10951732B2 (en) Service processing method and device
CN113347173B (zh) 一种包过滤方法、装置及电子设备
CN114338809B (zh) 访问控制方法、装置、电子设备和存储介质
CN112165428B (zh) 一种流量清洗方法、装置及第一边界路由设备
CN112637053B (zh) 路由的备份转发路径的确定方法及装置
CN114268608A (zh) 一种地址段检索方法、装置、电子设备及存储介质
CN109462609B (zh) 一种arp抑制表项生成方法和装置
CN113347100A (zh) 数据流传输方法、装置、计算机设备及存储介质
CN113452809B (zh) 一种地址段解析方法、装置、电子设备及介质
US11916881B2 (en) Rule detection method and related device
US11962603B2 (en) Enhancement to the IS-IS protocol for eliminating unwanted network traffic

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant