WO2011131088A1 - 数据报文处理方法、入口隧道路由器及*** - Google Patents

Description

数据报文处理方法、 入口隧道路由器及***

技术领域

本发明涉及通信领域， 尤其是一种涉及位置身份分离协议（LISP ) 网络 中的数据报文处理方法、 入口隧道路由器及***。

背景技术

3G和 4G是无线通信领域对下一代网络的研究核心， 旨在基于全 IP分 组核心网提高无线移动通信的质量； 下一代网络和下一代互联网 分别是电 信网和互联网领域对下一代网络融合的研究； 中国下一代互联网 旨在构建基 于 IPv6 的下一代互联网； 虽然各种研究存在很大差异，但是各种研究普遍接 受的观点是： 未来网络是基于分组的统一承载网络。 因此研究下一代网络构 架将以互联网为主要参考对象。 互联网从其诞生以来一直保持高速发展， 已 成为当前最成功、 最具生命力的通信网络， 其灵活可扩展性、 高效的分组交 换、 终端强大的功能等特点非常符合新一代网络的设计需要， 互联网将是新 一代网络设计的主要参考蓝本。 然而， 互联网的结构还远远没有达到最优， 存在很多重大的设计问题。 除 IP地址空间无法满足应用需要外， 还主要表现 在以下方面： 互联网发明于二十世纪七十年代， 人们难以预计今天世界上将存在大量 的移动终端和多家乡终端， 因此当时的互联网协议栈主要是针对以"固定"方 式连接的终端而设计。 在当时的网络环境下， 由于终端基本上不会从一个位 置移动到其它位置， 发送的地址就是接收的地址， 路经是可逆的， 所以具有 身份和位置双重属性的 IP地址能够非常好的工作， IP地址的身份属性与位置 属性之间没有产生任何冲突。 IP地址同时代表身份和位置恰恰满足了当时的 网络需求。 从当时的网络环境来看， 这种设计方案简单有效， 简化了协议栈 的层次结构。 但毋庸置疑的是， IP地址的身份属性与位置属性之间存在着内 部矛盾。 IP地址的身份属性要求任意两个 IP地址都是平等的， 虽然 IP地址 可以按照组织机构进行分配， 但是连续编码的 IP地址之间没有必然的关系， 或者至少在拓朴位置上没有必然的关系； IP地址的位置属性则要求 IP地址 基于网络拓朴（而不是组织机构）进行分配， 处于同一个子网内的 IP地址都 应该处于一个连续的 IP地址块中， 这样才可以使网络拓朴中的 IP地址前缀 聚合， 从而减少路由器设备的路由表的条目， 保证路由***的可扩展性。

伴随着网络规模和技术的发展， 一些动态分配 IP地址的技术逐步出现， 口动态主机配置协议（DHCP, Dynamic Host Configuration Protocol ) , 这就 开始打破 IP地址唯一表示一个终端的 4叚定。 私有 IP地址空间的使用和网络 地址转换（NAT, Network Address Translator )技术的诞生使得情况继续恶 化。在这种情况下同时具有身份属性与位置属性的 IP地址将难以继续胜任它 的角色， IP地址的双重属性问题已经凸显出来。 除了技术层面的需求发生了 显著变化以外， 互联网的用户状况也已经发生了巨大的改变。 在互联网诞生 之后的最初几年中， 互联网基本上被一些处于共同团体且相互信任的人员使 用， 传统互联网协议栈也是基于此种 4叚设而设计的； 而目前的互联网用户则 是鱼龙混杂， 人们难以继续互相信任。 在这种情况下， 缺乏内嵌安全性机制 的互联网也需要发生变革。

总的来说， IP地址双重属性的内在矛盾将导致如下主要问题：

1. 路由可扩展问题。 关于互联网路由***的可扩展性存在一个基本的假 定：

"地址按照拓朴进行分配， 或者拓朴按照地址进行部署， 二者必选其一"。 IP地址的身份属性要求 IP地址基于终端所属的组织机构（而不是网络拓朴） 进行分配， 而且这种分配要保持一定的稳定性， 不能经常改变； 而 IP地址的 位置属性要求 IP地址基于网络拓朴进行分配， 以便保证路由***的可扩展 性。 这样， IP地址的两种属性就产生了冲突， 最终引发了互联网路由***的 可扩展问题。

2. 移动性问题。 IP地址的身份属性要求 IP地址不应该随着终端位置的 改变而变化， 这样才能够保证绑定在身份上的通信不中断， 也能够保证终端 在移动后，其它终端仍能够使用它的身份与之建立通信联系； 而 IP地址的位 置属性则要求 IP地址随着终端位置的改变而改变， 以便 IP地址能够在新的 网络拓朴中聚合， 否则网络就必须为移动后的终端保留单独的路由信息， 从 而造成路由表条目的急剧增长。 3. 多家乡问题。多家乡通常指终端或网络同时通过多个 ISP 的网络接入 到互联网。 多家乡技术的优点包括增加网络的可靠性、 支持多个 ISP之间的 流量负载均衡和提高总体可用带宽等。 但是， IP地址双重属性的内在矛盾使 得多家乡技术难以实现。 IP地址的身份属性要求一个多家乡终端始终对其它 终端展现不变的身份， 无论该多家乡终端是通过几个 ISP接入到互联网； 而 IP地址的位置属性则要求一个多家乡终端在不同的 ISP 网络中使用不同的 IP地址通信， 这样才能保证终端的 IP地址能够在 ISP 网络的拓朴中聚合。

4. 安全和位置隐私问题。 由于 IP地址同时包含终端的身份信息和位置 信息，所以通信对端和恶意窃听者都可以才艮据一个终端的 IP地址同时获得该 终端的身份信息和拓朴位置信息。 总的来说， 自从传统互联网的体系结构建 立以来， 互联网的技术环境和用户群体都已经发生了翻天覆地的变化， 互联 网需要随之进行革新。 IP地址的双重属性问题是困扰互联网继续发展的根本 原因之一，将 IP地址的身份属性和位置属性进行分离，是解决互联网所面临 问题的一个很好的思路。 新网络将基于这种思路进行设计， 提出一种身份信 息与位置信息分离映射的网络结构，以解决现有互联网存在的一些严重弊端。

为了解决身份和位置的问题， 业界进行了大量的研究和探索， 所有身份 与位置分离方案的基本思想都是将原本绑定在 IP地址上的身份与位置双重 属性分离。 其中， 有些方案釆用应用层的 URL (统一资源定位符 Uniform Resource Locator, URL是用于完整地描述 Internet上网页和其他资源的地址的 一种标识方法。 ） 或 FQDN (合格域名 Fully Qualified Domain Name ) 作为 终端的身份标识等； 有些方案引入了新的名字空间作为身份标识， 如 HIP ( Host Identity Protocol )在以 IP地址为位置标识的网络层上增加主机标识； 有些方案将 IP地址进行分类， 部分 IP作为身份标识， 部分 IP作为位置标 识，如 LISP ( Locator/ID Separation Protocol ,位置身份分离协议）中使用 EID ( endpoint ID )作为身份标识， RLOC ( Routing Locator )作为路由标识等。

其中比较有代表性的是基于网络的解决方案， 其核心思想是将网络分为 两个部分， 一个部分是传输网络或者转发网络， 位于整个网络的中心； 另一 部分是边缘网络或者接入网络， 通过接入交换路由器连接到转发网络； 其中 接入网络和转发网络的地址空间和路由信息是相互隔离的。 如图 1所示， LISP方案中将 IP地址分成 EID身份标识和 RLOC路由标 识， EID 作为端主机的身份标识， RLOC 为 ITR/ETR ( Ingress Tunnel Router/Egress Tunnel Router )路由器的路由标识，接入网络端主机的路由前缀 信息， 即 EID的路由前缀信息不扩散到转发网络， 而是由 ITR/ETR将 EID前 缀信息以及 RLOC信息注册在映射服务器上。端主机 1向端主机 2发送报文， 源地址为 EID ( a ) , 目的地址为 EID ( b ) , 入口隧道路由器 ITR收到 4艮文 后， 查询映射服务器， 得到端主机 2所属的出口隧道路由器 ETR的路由标识 RLOC2 ( RLOC2也称为端主机 2的路由标识 ) , 然后使用 RLOC1和 RLOC2 封装报文后通过转发网络发送到 ETR, ETR接收报文解封装后发送给端主机 2。

上述基于网络的位置身份分离方案的优点是不需要对终端进行修改， 直 接利用现有的终端， 降低网络演进对用户的影响， 同时也可以降低网络改造 的成本， 但是该方案存在一个问题， 当 ITR收到端主机 1到端主机 2的报文 时， 需要到映射服务器查找 EID/RLOC的映射信息， 得到映射信息以后进行 封装转发， 这个查询过程需要时间， ITR必须对接收到的报文进行緩存， 等 待的时间越长，緩存的数据量越大，必然消耗 ITR设备大量的资源，影响 ITR 正常的转发性能； 同时还存在安全方面的隐患， 容易形成对映射服务器的攻 击。 发明内容

本发明要解决的技术问题是提供一种数据报文处理方法及入口隧道路由 器及***， 以提高数据报文转发效率。

为解决以上技术问题， 本发明提供一种数据报文处理方法， 该方法基于 位置身份分离 （LISP ) 网络实现， 并使用域名***（DNS )服务器保存端主 机域名和身份标识 (EID)的对应关系， 该方法包括：

A、源端主机向 DNS服务器发送 DNS查询报文，其中携带目的端主机的 域名， 所述 DNS服务器向所述源端主机返回包含目的端主机的 EID的 DNS 响应 4艮文；

B、 入口隧道路由器（ITR )侦听 DNS 响应报文， 截获响应报文中的目 的端主机的 EID;

C、 所述 ITR根据所述目的端主机的 EID向映射服务器查询获取所述目 的端主机的路由标识（RLOC ) ； 以及

D、 所述 ITR接收所述源端主机发送给目的端主机的数据报文后， 根据 所述目的端主机的 RLOC进行数据报文转发。

优选地，步骤 B中， ITR从收到的转发网络报文中通过如下方式侦听 DNS 响应报文： 根据 DNS报文格式、 DNS的端口号、 DNS的身份标识或 DNS的 路由标识， 判断收到的转发网络报文是否为 DNS响应报文。

优选地， 步骤 A中， 所述 DNS查询报文经过 ITR转发至 DNS服务器； 所述方法还包括： 所述 ITR从 DNS响应报文中截获目的端主机的 EID后， 将所述 DNS响应报文转发给源终端； 所述源终端根据所述 DNS响应报文中 的目的端主机的 EID向目的端主机发送数据报文。

优选地， 步骤 C包括： 所述 ITR向映射服务器查询前，先查询本地緩存， 若本地緩存中没有目的端主机的 EID和 RLOC的映射关系， 则向映射服务器 发送映射查询请求， 根据映射服务器的映射查询响应获取目的端主机的 RLOC, 并緩存目的端主机的 EID和 RLOC的映射关系。

优选地， 步骤 D中， 所述 ITR接收到所述源端主机发送给目的端主机的 数据报文后， 先查询本地緩存， 若本地緩存中没有或者正在查询目的端主机 的 EID和 RLOC的映射关系，则等待收到所述映射服务器的映射查询响应后， 再进行报文转发。

优选地， 步骤 D中， 所述 ITR釆用封装方式实现数据报文转发。

优选地， 步骤 D中， 所述源端主机发送的数据报文中源地址和目的地址 分别为源端主机和目的端主机的 EID; 所述方法还包括： 所述 ITR进行数据 报文转发时， 用源端主机和目的端主机的 RLOC对源端主机发送的数据报文 进行封装， 封装后的数据报文的源地址和目的地址分别为源端主机和目的端 主机的 RLOC, 封装后的报文中还包括源端主机和目的端主机的 EID。

为解决以上技术问题， 本发明还提供一种入口隧道路由器， 该入口隧道 路由器 （ITR )位于位置身份分离 （LISP ) 网络， 所述 LISP 网络包括 DNS 服务器， 所述 DNS服务器设置成： 保存端主机域名和身份标识的对应关系， 接收端主机发送的携带目的端主机的域名的 DNS查询报文， 以及， 向端主机 返回携带目的端主机的 EID的 DNS响应报文， 所述 ITR包括：

侦听模块， 其与报文处理模块连接， 并设置成： 侦听 DNS响应报文， 截 获响应报文中目的端主机的身份标识（ EID ) ；

映射查询模块， 其与所述侦听模块连接， 并设置成： 根据截获的目的端 主机的 EID向映射服务器查询获取目的端主机的路由标识（RLOC ) ； 以及 报文处理模块， 其与所述映射查询模块及侦听模块连接， 并设置成： 接 收源端主机发送给目的端主机的数据报文， 根据映射查询模块获取的 RLOC 进行数据报文转发； 以及， 接收及转发从转发网络发来的发送给该 ITR下源 端主机的 ^艮文。

优选地， 所述 ITR的侦听模块是设置成从所述报文处理模块收到的转发 网络报文中通过如下方式侦听 DNS响应报文： 根据 DNS报文格式、 DNS的 端口号、 DNS的身份标识或 DNS的路由标识， 判断收到的转发网络报文是 否为 DNS响应 4艮文。

优选地，所述报文处理模块还设置成接收并转发源端主机发送给 DNS服 务器的 DNS查询报文以及 DNS服务器发送给源端主机的 DNS响应报文。

优选地，所述 ITR还包括与所述映射查询模块连接的映射信息緩存模块， 该映射信息緩存模块设置成： 緩存端主机的 EID和 RLOC的映射关系； 所述 映射查询模块是设置成通过如下方式获取目的端主机的 RLOC: 向映射服务 器查询前， 先查询所述映射信息緩存模块， 若映射信息緩存模块中没有目的 端主机的 EID和 RLOC的映射关系， 再向映射服务器发送映射查询请求， 根 据映射服务器的映射查询响应获取目的端主机的 RLOC; 映射查询模块还设 置成： 在所述映射信息緩存模块中保存目的端主机的 EID和 RLOC的映射关 系。

优选地， 所述 ITR的报文处理模块是设置成通过如下方式进行数据报文 转发： 接收到所述源端主机发送给目的端主机的数据报文后， 通知映射查询 模块查询映射信息緩存模块， 若映射信息緩存模块中没有目的端主机的 EID 和 RLOC映射关系， 则等待映射查询模块收到所述映射服务器的映射查询响 应后， 再进行报文转发。

优选地，所述 ITR的报文处理模块是设置成釆用封装实现数据报文转发。 为解决以上技术问题， 本发明还提供一种数据报文处理***， 该数据报 文处理***基于位置身份分离 （LISP ) 网络实现， 该***包括端主机、 入口 隧道路由器（ITR ) 及 DNS服务器， 其中：

所述端主机， 包括域名查询模块及报文收发模块， 其中， 域名查询模块 设置成： 向 DNS服务器发送携带目的端主机的域名的 DNS查询报文， 以及 接收所述 DNS服务器返回的携带目的端主机的 EID的 DNS响应报文； 报文 收发模块设置成：根据所述 DNS响应报文中的目的端主机 EID向目的端主机 发送数据报文及接收数据报文；

所述 ITR包括：

侦听模块， 其与报文处理模块连接， 并设置成： 侦听 DNS响应报文， 截 获响应报文中目的端主机的身份标识（EID ) ；

映射查询模块， 其与所述侦听模块连接， 并设置成： 根据截获的目的端 主机的 EID向映射服务器查询获取目的端主机的路由标识（RLOC ) ； 以及 报文处理模块， 其与所述映射查询模块及侦听模块连接， 并设置成： 接 收源端主机发送给目的端主机的数据报文， 根据映射查询模块获取的 RLOC 进行数据报文转发； 以及， 接收及转发从转发网络发来的发送给该 ITR下源 端主机的 ^艮文；

DNS服务器设置成： 保存端主机域名和身份标识的对应关系， 接收端主 机发送的 DNS查询 文， 以及向端主机返回 DNS响应 4艮文。

优选地， 所述 ITR的侦听模块是设置成从所述报文处理模块收到的转发 网络报文中通过如下方式侦听 DNS响应报文： 根据 DNS报文格式、 DNS的 端口号、 DNS的身份标识或 DNS的路由标识， 判断收到的转发网络报文是 否为 DNS响应 4艮文。

优选地，所述报文处理模块还设置成接收并转发源端主机发送给 DNS服 务器的 DNS查询报文以及 DNS服务器发送给源端主机的 DNS响应报文。 优选地，所述 ITR还包括与所述映射查询模块连接的映射信息緩存模块， 该映射信息緩存模块设置成緩存端主机的 EID和 RLOC的映射关系； 所述映 射查询模块是设置成通过如下方式获取目的端主机的 RLOC: 向映射服务器 查询前， 先查询所述映射信息緩存模块， 若映射信息緩存模块中没有目的端 主机的 EID和 RLOC的映射关系， 再向映射服务器发送映射查询请求， 根据 映射服务器的映射查询响应获取目的端主机的 RLOC; 映射查询模块还设置 成在所述映射信息緩存模块中保存目的端主机的 EID和 RLOC的映射关系。

优选地， 所述 ITR的报文处理模块是设置成通过如下方式进行数据报文 转发： 接收到所述源端主机发送给目的端主机的数据报文后， 通知映射查询 模块查询映射信息緩存模块， 若映射信息緩存模块中没有目的端主机的 EID 和 RLOC映射关系， 则等待映射查询模块收到所述映射服务器的映射查询响 应后， 再进行报文转发。

优选地， 所述 ITR的报文处理模块接收的所述源端主机发送的数据报文 中源地址和目的地址分别为源端主机和目的端主机的 EID; 所述 ^艮文处理模 块还设置成： 在进行数据报文转发时， 用源端主机和目的端主机的 RLOC对 源端主机发送的数据报文进行封装， 封装后的数据报文的源地址和目的地址 分别为源端主机和目的端主机的 RLOC, 封装后的报文中还包括源端主机和 目的端主机的 EID。

本发明数据报文处理方法及接入业务节点的主要思想基于位置身份分离 ( LISP ) 网络， 入口隧道路由器（ITR ) 收到源端主机发送的数据报文前， 根据源端主机查询 DNS ( domain name system, 域名***）返回的数据报文侦 听到目的端主机的 EID, 并向映射服务器查询 EID/RLOC的映射信息， 从而 提高 ITR对源端主机数据报文的转发效率， 改善 ITR的转发性能。 附图概述

图 1身份和位置分离的网络架构的组成示意图；

图 2 是本发明数据报文处理处理方法的流程示意图；

图 3 是本发明接入服务节点的模块结构示意图； 图 4是本发明数据报文处理***的模块结构示意图。

本发明的较佳实施方式

本发明数据报文处理方法及接入业务节点的主要思想是基于位置身份分 离 （LISP )网络， 入口隧道路由器（ITR ) 收到源端主机发送的数据报文前， 根据源端主机查询 DNS ( domain name system, 域名***）返回的数据报文侦 听到目的端主机的 EID, 并向映射服务器查询 EID/RLOC的映射信息， 从而 提高对源端主机数据报文的转发效率， 改善转发性能。 本发明基于位置身份分离 LISP ( Locator/ID Separation Protocol )协议网 络架构下的实施本发明的映射信息的传输方法， ITR(Ingress Tunnel Router , 入口隧道路由器)收到源主机发送的报文前， 根据源主机查询 DNS ( domain name system, 域名***）返回的报文侦听到目的端主机的 EID, 并向映射服 务器查询 EID/RLOC的映射信息， 从而解决 ITR收到源主机发送的报文以后 等待查询映射信息， 需要存储收到的大量报文， 导致影响 ITR转发性能的问 题。

LISP协议网络架构是一种基于网络的位置身份分离方案， 将现有互联网 的 IP地址分为身份标识 EID ( Endpoint identifier )和路由标识 RLOC ( Routing Locator ) , 方案的优点是不需要改变目前终端主机的协议栈， 终端的兼容性 好， 重点在于解决网络路由规模的可扩展性、 流量工程和移动性。 LISP的网 络架构示意图见图 1 , 以 EID标识的终端设备、 入口隧道路由器 ITR和出口 隧道路由器 ETR作为接入网络和转发网络的连接。 可理解地， 入口隧道路由 器 ITR和出口隧道路由器 ETR是相对而言的。

图 2为本发明实施例的映射信息传输方法的流程图， 包括：

201 : 源端主机根据要访问的目的端主机的域名向 DNS服务器发送 DNS 查询报文， 其中携带目的端主机的域名， 所述 DNS服务器向所述源端主机返 回包含目的端主机的身份标识 (EID)的 DNS响应报文；

在传统的 DNS服务器中存储端主机的域名和 IP地址的对应关系， 在本 发明的身份和位置分离网络中， DNS服务器中存储端主机的域名和身份标识 (即端主机的身份属性）的对应关系， 同时 DNS服务器在身份和位置分离网 络中有自己的身份标识和路由标识。

源端主机和目的端主机通信时， 源端主机根据目的端主机的域名利用 DNS客户端协议查询 DNS服务器以得到目的端主机的身份标识 EID, DNS 服务器返回包含目的端主机身份标识 EID的响应报文，源入口隧道路由器 ITR 侦听该响应报文， 截获目的端主机的 EID。

DNS服务器身份标识是***设定的公知地址， 源端主机发送的 DNS查 询才艮文和 DNS响应艮文必须经过 ITR转发。

DNS的报文格式如下:

标识 标志

问题数 资源记录数

授权的资源记录数 额外资源记录数

查询问题

回答（资源记录数可变）

授权（资源记录数可变）

额外信息 （资源记录数可变）

其中：

标识字段： 用于报文标识， 终端设置， DNS服务器使用该标识返回结果; 标志字段： 16位， 重要位段的定义如下：

位数 名称 说明

1位 QR 0表示查询艮文

1表示响应才艮文

4位 Opcode 0表示标准查询

1位 AA 表示 4受权回答

1位 TC 表示可切断 4位 Rcode 返回码， 0表示无差错

DNS查询报文中的问题部分通常只有一个问题， 格式包括查询名、 查询 类型和查询类， 查询名就是需要查找的域名， 如 "ZTE.COM.CN" 。 查询类 为 1是指互联网地址 IP, 本发明为身份标识。

DNS响应报文中的资源记录， 在 DNS报文格式中的最后 3个字段， 回 答字段、 授权字段和额外字段， 釆用资源记录格式， 格式如下：

其中： 域名是记录中资源数据对应的名字， 它的格式和前面的查询名字 段格式一样。

类型说明 RR的类型码， 它和前面的查询类型值是一样的。 通常为 1 , 表示互 联网数据。

生存时间是客户程序保留该资源记录的秒数， 资源记录通常的生存时间为 2 天。

资源数据长度说明资源数据的数量，该数据的格式依赖域类型字段的值， 对于类型 A资源数据是 4字节的 IP地址， 本发明中为 EID。

202, ITR侦听 DNS响应报文， 截获响应报文中的目的端主机的身份标 识 EID;

ITR从收到的转发网络报文（本发明中将从转发网络接收的报文称为转 发网络报文） 中侦听 DNS响应报文， 判断该报文是否是 DNS的响应报文， 如果是， 则实时提取 DNS响应报文中的目的端主机的 EID, 完成侦听功能， 并将 DNS响应报文转发给源端主机， 源端主机接收到该 DNS响应报文后， 生成目的地址为目的端主机的 EID的数据报文， 并发送给 ITR。

ITR可根据以下三种方式判断接收的报文是否为 DNS响应报文：

1、 ITR根据上述的 DNS的报文格式判断是否为 DNS响应报文；

2、 DNS均支持 UDP和 TCP, 并使用特定的端口号， 如 DNS的端口号 为 53 , DNS的查询 ^艮文的目的端口号为 53 , DNS响应 4艮文的源端口号为 53 , ITR根据源端口号判断是否为 DNS响应报文； 3、 DNS有特定的身份标识及路由标识， ITR根据源端地址中的身份标识 或路由标识进行判断。

203 , ITR根据目的端主机 EID向映射服务器查询获取目的端主机所属的 出口隧道路由器的 RLOC;

若 ITR本地緩存有映射关系， 则 ITR截获目的端主机 EID后先查询本地 緩存的映射关系， 若在本地緩存中未查到目的端主机的映射关系， 则 ITR向 位置身份分离网络的映射服务器发送映射查询请求， 根据映射服务器的映射 查询目的端主机的所属的出口隧道路由器的 RLOC, 并根据映射服务器返回 的目的端主机所属的出口隧道路由器的 RLOC, 在本地緩存保存目的端主机 的 EID和 RLOC的映射关系；

若 ITR本地緩存中没有保存映射关系， 则 ITR截获目的端主机 EID后直 接向映射服务器查询目的端主机所属的出口隧道路由器的 RLOC。

ITR向映射服务器查询目的端主机的 RLOC时， 查询请求中携带目的端 主机的 EID, 向位置身份分离网络的映射服务器查询映射信息， 即目的端主 机所属的出口隧道路由器的 RLOC。

204, ITR接收所述源端主机发送给目的端主机的数据报文后， 根据所述 目的端主机的 RLOC进行数据报文转发。

接收数据报文与获得映射服务器返回的 RLOC之间一定有时间差， 多数 情况是先收到终端的数据报文， 这种情况下先查询本地緩存， 若本地緩存中 没有或者正在查询目的端主机的 AID和 RID的映射关系， 则緩存数据报文， 等待收到映射查询响应后， 再进行报文转发； 如果先收到映射服务器返回的 映射信息， 不管是否收到终端的数据报文， 应该立即将 RLOC进行本地映射 表的緩存， 这样 ITR收到终端的数据报文以后就可以直接进行本地查询。

源端主机发送的数据报文中源、 目的地址分别为源、 目的端主机的 EID,

ITR接收所述源端主机发送给目的端主机的数据报文后， 根据数据报文中的 目的端主机 EID查询本地緩存获取目的端主机 RLOC , 利用查询到的 RLOC 封装该数据报文， 封装后的数据报文的源、 目的地址分别为源、 目的端主机 的 RLOC, 且封装报文中还包括源、 目的端主机的 EID; 然后通过转发网络 发送给出口隧道路由器 ETR, ETR解封装后发送给目的端主机。

本发明中， 通过 ITR侦听 DNS响应报文， 在收到端主机的数据报文前， 提前截获目的端主机的 EID, 并在本地未緩存目的端主机的映射关系的情况 下， 提前向映射服务器进行查询， 从而减少数据报文的緩存， 减少緩存器的 大小，减少数据管理的任务量，使得 ITR设备有更多的资源来进行数据转发， 提高转发数据的处理效率。

图 3所示， 为实现以上方法， 本发明还提供了一种入口隧道路由器， 该 入口隧道路由器（ITR, Ingress Tunnel Router )位于位置身份分离 （LISP ) 网 络， 所述 LISP网络包括 DNS服务器， 用于保存端主机域名和身份标识的对 应关系，接收端主机发送的携带目的端主机的域名的 DNS查询报文， 以及向 端主机返回携带目的端主机的 EID的 DNS响应报文，

与本发明相关地， ITR包括：

侦听模块， 其与报文处理模块连接， 并设置成侦听 DNS响应报文， 截获 响应报文中目的端主机的身份标识（ EID ) ；

映射查询模块， 其与所述侦听模块连接， 并设置成根据截获的目的端主 机的 EID向映射服务器查询获取目的端主机的路由标识（RLOC ) ；

报文处理模块， 其与所述映射查询模块及侦听模块连接， 并设置成： 接 收、 处理并转发数据艮文、 DNS查询及响应艮文以及映射查询及响应艮文， 与本发明相关地， 其设置成： 接收源端主机发送给目的端主机的数据报文， 根据映射查询模块获取的 RLOC进行数据报文转发； 以及， 接收及转发从转 发网络发来的发送给 ITR下源端主机的报文。

进一步地， 所述 ITR的侦听模块从所述报文处理模块收到的转发网络报 文中侦听 DNS响应报文， 根据 DNS报文格式、 DNS的端口号、 DNS的身份 标识或 DNS的路由标识， 判断收到的转发网络报文是否为 DNS响应报文。

进一步地，所述报文处理模块还设置成：接收并转发源端主机发送给 DNS 服务器的 DNS查询报文以及 DNS服务器发送给源端主机的 DNS响应报文。

进一步地， 所述 ITR还包括与所述映射查询模块连接的映射信息緩存模 块， 该映射信息緩存模块设置成： 緩存端主机的 EID和 RLOC的映射关系； 所述映射查询模块向映射服务器查询前， 先查询所述映射信息緩存模块， 若 映射信息緩存模块中没有目的端主机的 EID和 RLOC的映射关系， 再向映射 服务器发送映射查询请求， 根据映射服务器的映射查询响应获取目的端主机 的 RLOC, 并向所述映射信息緩存模块保存目的端主机的 EID和 RLOC的映 射关系。

进一步地， 所述 ITR的报文处理模块接收到所述源端主机发送给目的端 主机的数据报文后， 通知映射查询模块查询映射信息緩存模块， 若映射信息 緩存模块中没有目的端主机的 EID和 RLOC映射关系， 则报文处理模块内部 緩存该数据报文，等待映射查询模块收到所述映射服务器的映射查询响应后， 再进行报文转发。

所述 ITR的报文处理模块釆用封装实现数据报文转发， 具体如上所述。 图 4所示， 本发明还提供一种数据报文处理***， 该***基于位置身份 分离（LISP )网络实现， 该***包括端主机、 入口隧道路由器（ITR )及 DNS 服务器， 其中：

所述端主机， 包括域名查询模块及报文收发模块， 其中， 域名查询模块 设置成： 向 DNS服务器发送携带目的端主机的域名的 DNS查询报文， 以及 接收所述 DNS服务器返回的携带目的端主机的 EID的 DNS响应报文； 报文 收发模块设置成根据所述 DNS响应报文中的目的端主机 EID向目的端主机发 送数据报文及接收数据报文；

所述 ITR包括：

侦听模块， 其与报文处理模块连接， 并设置成侦听 DNS响应报文， 截获 响应报文中目的端主机的身份标识（EID ) ；

映射查询模块， 其与所述侦听模块连接， 并设置成根据截获的目的端主 机的 EID向映射服务器查询获取目的端主机的路由标识（ RLOC ) ；

报文处理模块， 其与所述映射查询模块及侦听模块连接， 并设置成： 接 收、 处理并转发数据艮文、 DNS查询及响应艮文以及映射查询及响应艮文， 与本发明相关地， 其设置成： 接收源端主机发送给目的端主机的数据报文， 根据映射查询模块获取的 RLOC进行数据报文转发； 以及， 接收及转发从转 发网络发来的发送给 ITR下源端主机的报文；

DNS服务器设置成： 保存端主机域名和身份标识的对应关系， 接收端主 机发送的 DNS查询 文， 以及向端主机返回 DNS响应 4艮文。

所述 ITR 的侦听模块从所述报文处理模块收到的转发网络报文中侦听

DNS响应报文， 并根据 DNS报文格式、 DNS的端口号、 DNS的身份标识或 DNS的路由标识， 判断收到的转发网络报文是否为 DNS响应报文。

所述报文处理模块还设置成接收并转发源端主机发送给 DNS服务器的 DNS查询报文以及 DNS服务器发送给源端主机的 DNS响应报文。

所述 ITR还包括与所述映射查询模块连接的映射信息緩存模块， 该映射 信息緩存模块设置成： 緩存端主机的 EID和 RLOC的映射关系； 所述映射查 询模块向映射服务器查询前， 先查询所述映射信息緩存模块， 若映射信息緩 存模块中没有目的端主机的 EID和 RLOC的映射关系， 再向映射服务器发送 映射查询请求， 根据映射服务器的映射查询响应获取目的端主机的 RLOC, 并向所述映射信息緩存模块保存目的端主机的 EID和 RLOC的映射关系。

所述 ITR的报文处理模块接收到所述源端主机发送给目的端主机的数据 报文后， 通知映射查询模块查询映射信息緩存模块， 若映射信息緩存模块中 没有目的端主机的 EID和 RLOC映射关系， 则报文处理模块内部緩存该数据 报文， 等待映射查询模块收到所述映射服务器的映射查询响应后， 再进行报 文转发。

所述 ITR的报文处理模块接收的所述源端主机发送的数据报文中源、 目 的地址分别为源、 目的端主机的 EID, 进行数据报文转发时， 用源、 目的端 主机的 RLOC对源端主机发送的数据报文进行封装，封装后的数据报文的源、 目的地址分别为源、 目的端主机的 RLOC, 且封装后的报文中还包括源、 目 的端主机的 EID。

出口隧道路由器 ( ETR )对接收的数据报文进行解封装还原。

进一步地， 所述位置身份分离 （LISP ) 网络还包括映射服务器， 所述映 射服务器设置成根据 ITR (或 ETR)的查询返回 RLOC。 工业实用性

与现有技术相比， 本发明数据报文处理方法及接入业务节点基于位置身 份分离 （LISP ) 网络实现， 提高了 ITR对源端主机数据报文的转发效率， 改 善了 ITR的转发性能。

Claims

权 利 要 求 书

1、一种数据报文处理方法，其特征在于，该方法基于位置身份分离（ LISP ) 网络实现， 并使用域名***（DNS )服务器保存端主机域名和身份标识 (EID) 的对应关系， 该方法包括：

A、源端主机向 DNS服务器发送 DNS查询报文，其中携带目的端主机的 域名， 所述 DNS服务器向所述源端主机返回包含目的端主机的 EID的 DNS 响应 4艮文；

B、 入口隧道路由器（ITR )侦听 DNS响应报文， 截获侦听到的 DNS响 应才艮文中的目的端主机的 EID;

C、 所述 ITR根据所述目的端主机的 EID向映射服务器查询获取所述目 的端主机的路由标识（RLOC ) ； 以及

D、 所述 ITR接收所述源端主机发送给目的端主机的数据报文后， 根据 所述目的端主机的 RLOC进行数据报文转发。

2、 如权利要求 1所述的方法， 其中， 步骤 B中， 所述 ITR是从收到的 转发网络报文中通过如下方式侦听 DNS响应报文：根据 DNS报文格式、 DNS 的端口号、 DNS的身份标识或 DNS的路由标识， 判断收到的转发网络报文 是否为 DNS响应报文。

3、 如权利要求 1所述的方法， 其中， 步骤 A中， 所述 DNS查询报文经 过 ITR转发至 DNS服务器； 所述方法还包括： 所述 ITR从 DNS响应报文中截获目的端主机的 EID 后， 将所述 DNS响应报文转发给源终端； 所述源终端根据所述 DNS响应报 文中的目的端主机的 EID向目的端主机发送数据报文。

4、 如权利要求 1 所述的方法， 其中， 所述 ITR根据所述目的端主机的 EID向映射服务器查询获取所述目的端主机的 RLOC的步骤包括： 所述 ITR 向映射服务器查询前，先查询本地緩存，若本地緩存中没有目的端主机的 EID 和 RLOC的映射关系， 则向映射服务器发送映射查询请求， 根据映射服务器 的映射查询响应获取目的端主机的 RLOC,并緩存目的端主机的 EID和 RLOC 的映射关系。

5、 如权利要求 1所述的方法， 其中， 步骤 D中， 根据所述目的端主机 的 RLOC进行数据报文转发的步骤包括： 所述 ITR接收到所述源端主机发送 给目的端主机的数据报文后， 先查询本地緩存， 若本地緩存中没有或者正在 查询目的端主机的 EID和 RLOC的映射关系， 则等待收到所述映射服务器的 映射查询响应后， 再进行 ^文转发。

6、 如权利要求 1所述的方法， 其中， 步骤 D中， 所述 ITR釆用封装方 式实现数据报文转发。

7、 如权利要求 1所述的方法， 其中， 步骤 D中， 所述源端主机发送的 数据 文中源地址和目的地址分别为源端主机和目的端主机的 EID; 所述方法还包括： 所述 ITR进行数据报文转发时， 用源端主机和目的端 主机的 RLOC对源端主机发送的数据报文进行封装， 封装后的数据报文的源 地址和目的地址分别为源端主机和目的端主机的 RLOC, 封装后的报文中还 包括源端主机和目的端主机的 EID。

8、 一种入口隧道路由器， 其特征在于， 该入口隧道路由器（ITR )位于 位置身份分离 （LISP ) 网络， 所述 LISP网络包括域名***（DNS )服务器， 所述 DNS服务器设置成： 保存端主机域名和身份标识（EID ) 的对应关系， 接收端主机发送的携带目的端主机的域名的 DNS查询报文， 以及， 向端主机 返回携带目的端主机的 EID的 DNS响应报文， 所述 ITR包括：

侦听模块， 其与报文处理模块连接， 并设置成： 侦听 DNS响应报文， 截 获侦听到的 DNS响应报文中目的端主机的 EID;

映射查询模块， 其与所述侦听模块连接， 并设置成： 根据截获的目的端 主机的 EID向映射服务器查询以获取目的端主机的路由标识（RLOC ) ； 以 及

报文处理模块， 其与所述映射查询模块及侦听模块连接， 并设置成： 接 收源端主机发送给目的端主机的数据报文， 并根据映射查询模块获取的 RLOC 进行数据报文转发； 以及， 接收及转发从转发网络发来的发送给所述

ITR下的源端主机的艮文。

9、 如权利要求 8所述入口隧道路由器， 其中， 所述侦听模块是设置成从 所述报文处理模块收到的转发网络报文中通过如下方式侦听 DNS响应报文： 根据 DNS报文格式、 DNS的端口号、 DNS的身份标识或 DNS的路由标识， 判断报文处理模块收到的转发网络报文是否为 DNS响应报文。

10、 如权利要求 8所述的入口隧道路由器， 其中， 所述报文处理模块还设置成接收并转发源端主机发送给 DNS服务器的 DNS查询报文以及 DNS服务器发送给源端主机的 DNS响应报文。

11、 如权利要求 8所述的入口隧道路由器， 还包括与所述映射查询模块 连接的映射信息緩存模块，所述映射信息緩存模块设置成：緩存端主机的 EID 和 RLOC的映射关系； 所述映射查询模块是设置成通过如下方式获取目的端主机的 RLOC: 向 映射服务器查询前， 先查询所述映射信息緩存模块， 若映射信息緩存模块中 没有目的端主机的 EID和 RLOC的映射关系， 再向映射服务器发送映射查询 请求， 根据映射服务器的映射查询响应获取目的端主机的 RLOC; 所述映射查询模块还设置成： 在所述映射信息緩存模块中保存目的端主 机的 EID和 RLOC的映射关系。

12、 如权利要求 8所述的入口隧道路由器， 其中， 所述报文处理模块是 设置成通过如下方式进行数据报文转发： 在接收到所述源端主机发送给目的 端主机的数据报文后， 通知映射查询模块查询映射信息緩存模块， 若映射信 息緩存模块中没有目的端主机的 EID和 RLOC映射关系， 则等待映射查询模 块收到所述映射服务器的映射查询响应后， 再进行报文转发。

13、 如权利要求 8所述的入口隧道路由器， 其中， 所述报文处理模块是 设置成釆用封装实现数据报文转发。

14、 一种数据报文处理***， 其特征在于， 该数据报文处理***基于位 置身份分离 （LISP ) 网络实现， 该***包括端主机、 入口隧道路由器（ITR ) 及域名***（DNS )服务器， 其中：

所述端主机包括域名查询模块及报文收发模块， 其中， 域名查询模块设 置成： 向 DNS服务器发送携带目的端主机的域名的 DNS查询报文， 以及接 收所述 DNS服务器返回的携带目的端主机的身份标识（ EID )的 DNS响应报 文；报文收发模块设置成： 根据所述 DNS响应报文中的目的端主机的 EID向 目的端主机发送数据报文， 以及接收数据报文；

所述 ITR包括：

侦听模块， 其与报文处理模块连接， 并设置成： 侦听 DNS响应报文， 截 获侦听到的 DNS响应报文中目的端主机的身份标识（EID ) ；

映射查询模块， 其与所述侦听模块连接， 并设置成： 根据侦听模块截获 的目的端主机的 EID向映射服务器查询获取目的端主机的路由标识（ RLOC ); 以及

报文处理模块， 其与所述映射查询模块及侦听模块连接， 并设置成： 接 收源端主机发送给目的端主机的数据报文， 根据映射查询模块获取的 RLOC 进行数据报文转发； 以及， 接收及转发从转发网络发来的发送给所述 ITR下 的源端主机的报文；

所述 DNS服务器设置成： 保存端主机域名和身份标识的对应关系，接收 端主机发送的 DNS查询报文， 以及向端主机返回 DNS响应报文。

15、 如权利要求 14所述的***， 其中， 所述侦听模块是设置成从所述报 文处理模块收到的转发网络报文中通过如下方式侦听 DNS 响应报文： 根据 DNS报文格式、 DNS的端口号、 DNS的身份标识或 DNS的路由标识， 判断 收到的转发网络报文是否为 DNS响应报文。

16、 如权利要求 14所述的***， 其中， 所述报文处理模块还设置成接收并转发源端主机发送给 DNS服务器的 DNS查询报文以及 DNS服务器发送给源端主机的 DNS响应报文。

17、 如权利要求 14所述的***， 其中， 所述 ITR还包括与所述映射查询 模块连接的映射信息緩存模块， 所述映射信息緩存模块设置成緩存端主机的 EID和 RLOC的映射关系； 所述映射查询模块是设置成通过如下方式获取目的端主机的 RLOC: 向 映射服务器查询前， 先查询所述映射信息緩存模块， 若映射信息緩存模块中 没有目的端主机的 EID和 RLOC的映射关系， 再向映射服务器发送映射查询 请求， 根据映射服务器的映射查询响应获取目的端主机的 RLOC; 所述映射查询模块还设置成： 在所述映射信息緩存模块中保存目的端主 机的 EID和 RLOC的映射关系。

18、 如权利要求 14所述的***， 其中， 所述报文处理模块是设置成通过 如下方式进行数据报文转发： 接收到所述源端主机发送给目的端主机的数据 报文后， 通知映射查询模块查询映射信息緩存模块， 若映射信息緩存模块中 没有目的端主机的 EID和 RLOC映射关系， 则等待映射查询模块收到所述映 射服务器的映射查询响应后， 再进行报文转发。

19、 如权利要求 14所述的***， 其中， 所述源端主机发送给目的端主机 的数据报文中源地址和目的地址分别为源端主机和目的端主机的 EID;

所述报文处理模块还设置成： 在进行数据报文转发时， 用源端主机和目 的端主机的 RLOC对源端主机发送的数据报文进行封装， 封装后的数据报文 的源地址和目的地址分别为源端主机和目的端主机的 RLOC, 封装后的报文 中还包括源端主机和目的端主机的 EID。