WO2024082081A1

WO2024082081A1 - 一种报文处理方法及装置

Info

Publication number: WO2024082081A1
Application number: PCT/CN2022/125569
Authority: WO
Inventors: 吴斌; 李丹; 秦澜城
Original assignee: Tsinghua University; New H3C Technologies Co Ltd
Current assignee: Tsinghua University; New H3C Technologies Co Ltd
Priority date: 2022-10-17
Filing date: 2022-10-17
Publication date: 2024-04-25
Anticipated expiration: 2025-04-17
Also published as: EP4425860A4; US20250030633A1; EP4425860A1; CN118216125A

Abstract

本申请实施例提供了一种报文处理方法及装置，应用于网络设备，该方法包括：将接收报文的入接口索引和报文的源地址与数据平面的SAV表项的关键字段匹配，数据平面的SAV表项的关键字段包括入接口索引和合法源地址前缀；若目标SAV表项的关键字段与接收报文的入接口索引和报文的源地址匹配，则放行报文。本申请实施例提供的技术方案中，网络设备在处理报文时，可以不受节约SAV表项的结果字段的长度限制，完成所有入接口对应的SAV，提高了报文处理的精度。

Description

一种报文处理方法及装置

技术领域

本申请涉及通信技术领域，特别是涉及一种报文处理方法及装置。

背景技术

SAVNET(Source Address Validation in Intra-domain and Inter-domain Networks，域间和域内网络中源地址验证)是一种防范伪造IPv6(Internet Protocol version 6，网际协议第6版)源地址网络攻击的技术。目前，网络设备采用SAVNET技术，对报文进行处理时，受数据平面的SAV表项的结果字段的长度限制，SAV(Source Address Validation，源地址验证)表项的结果字段只能存放有限数量个入接口索引，完成有限数量个入接口对应的SAV，导致报文处理的精度较低。

发明内容

本申请实施例的目的在于提供一种报文处理方法及装置，以解决因受数据平面的SAV表项的结果字段的长度限制，导致报文处理的精度较低的问题。具体技术方案如下：

第一方面，本申请实施例提供了一种报文处理方法，应用于网络设备，所述方法包括：

将接收报文的入接口索引和所述报文的源地址与数据平面的SAV表项的关键字段匹配，所述数据平面的SAV表项的关键字段包括入接口索引和合法源地址前缀；

若目标SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址匹配，则放行所述报文。

在一些实施例中，所述网络设备包括至少一个转发芯片；每个转发芯片中存储有数据平面的关键字段包括本转发芯片上的接口索引的SAV表项；和/或，

所述数据平面的SAV表项存储在TCAM(Ternary Content Addressable Memory，三态内容寻址存储器)中。

在一些实施例中，所述数据平面的SAV表项的结果字段为空；

所述数据平面的SAV表项的关键字段中，按照入接口索引和合法源地址前缀的顺序填充入接口索引和合法源地址前缀；或所述SAV表项的关键字段中，按照合法源地址前缀和入接口索引的顺序填充合法源地址前缀和入接口索引。

在一些实施例中，所述方法还包括：

将所述报文的源地址与转发表项的关键字段匹配，获得关键字段与所述报文的源地址匹配的目标转发表项，所述转发表项的关键字段包括地址前缀，所述转发表项的结果字段包括SAV标志；

若所述数据平面的所有SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址均不匹配，且所述目标转发表项的结果字段包括的SAV标志指示所述目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，则丢弃所述报文；

若所述数据平面的所有SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址均不匹配，且所述目标转发表项的结果字段包括的SAV标志未指示所述目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，则放行所述报文。

在一些实施例中，所述方法还包括：

确定所述网络设备所属网络的SAVNET的部署模式；

若所确定的部署模式为完全部署模式，且所述数据平面的所有SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址均不匹配，则丢弃所述报文；

若所确定的部署模式为部分部署模式，则执行所述将所述报文的源地址与转发表项的关键字段匹配，获得关键字段与所述报文的源地址匹配的目标转发表项的步骤。

在一些实施例中，所述将所述报文的源地址与转发表项的关键字段匹配，获得关键字段与所述报文的源地址匹配的目标转发表项的步骤，包括：

将所述报文的源地址与转发表项的关键字段包括的地址前缀匹配，获得地址前缀与所述报文的源地址匹配的至少一个候选表项；

从所述至少一个候选表项中，确定最长地址前缀所属的候选表项，作为关键字段与所述报文的源地址匹配的目标转发表项。

在一些实施例中，所述网络设备包括至少一个转发芯片；每个转发芯片中存储有所述网络设备学习到的转发表项；和/或，

所述转发表项存储在TCAM中。

在一些实施例中，所述SAV标志的位宽为1比特。

在一些实施例中，所述方法还包括：

学习控制平面的SAV表项，所述控制平面的SAV表项的关键字段包括入接口索引，所述控制平面的SAV表项的值字段包括至少一个合法源地址前缀；

根据所述控制平面的SAV表项，构建所述数据平面的SAV表项。

第二方面，本申请实施例提供了一种报文处理装置，应用于网络设备，所述装置包括：

第一匹配单元，用于将接收报文的入接口索引和所述报文的源地址与数据平面的SAV表项的关键字段匹配，所述数据平面的SAV表项的关键字段包括入接口索引和合法源地址前缀；

第一放行单元，用于若目标SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址匹配，则放行所述报文。

所述数据平面的SAV表项存储在TCAM中。

在一些实施例中，所述数据平面的SAV表项的结果字段为空；

在一些实施例中，所述装置还包括：

第二匹配单元，用于将所述报文的源地址与转发表项的关键字段匹配，获得关键字段与所述报文的源地址匹配的目标转发表项，所述转发表项的关键字段包括地址前缀，所述转发表项的结果字段包括SAV标志；

第一丢弃单元，用于若所述数据平面的所有SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址均不匹配，且所述目标转发表项的结果字段包括的SAV标志指示所述目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，则丢弃所述报文；

第二放行单元，用于若所述数据平面的所有SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址均不匹配，且所述目标转发表项的结果字段包括的SAV标志未指示所述目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，则放行所述报文。

在一些实施例中，所述装置还包括：

确定单元，用于确定所述网络设备所属网络的SAVNET的部署模式；

第二丢弃单元，用于若所确定的部署模式为完全部署模式，且所述数据平面的所有SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址均不匹配，则丢弃所述报文；

所述第二匹配单元，包括第一匹配子单元；

所述第一匹配子单元，用于若所确定的部署模式为部分部署模式，则将所述报文的源地址与转发表项的关键字段匹配，获得关键字段与所述报文的源地址匹配的目标转发表项。

在一些实施例中，所述第二匹配单元，包括第二匹配子单元；

所述第二匹配子单元，用于将所述报文的源地址与转发表项的关键字段包括的地址前缀匹配，获得地址前缀与所述报文的源地址匹配的至少一个候选表项；从所述至少一个候选表项中，确定最长地址前缀所属的候选表项，作为关键字段与所述报文的源地址匹配的目标转发表项。

所述转发表项存储在TCAM中。

在一些实施例中，所述SAV标志的位宽为1比特。

在一些实施例中，所述装置还包括：

学习单元，用于学习控制平面的SAV表项，所述控制平面的SAV表项的关键字段包括入接口索引，所述控制平面的SAV表项的值字段包括至少一个合法源地址前缀；

构建单元，用于根据所述控制平面的SAV表项，构建所述数据平面的SAV表项。

第三方面，本申请实施例提供了一种转发芯片，执行上述任一所述的方法步骤。

第四方面，本申请实施例提供了一种网络设备，所述网络设备包括至少一个转发芯片，所述转发芯片用于执行上述任一所述的方法步骤。

在一些实施例中，所述网络设备还包括处理器；所述处理器，用于学习控制平面的SAV表项，所述控制平面的SAV表项的关键字段包括入接口索引，所述控制平面的SAV表项的值字段包括至少一个合法源地址前缀；根据所述控制平面的SAV表项，构建所述数据平面的SAV表项。

本申请实施例提供的技术方案中，网络设备在接收到报文后，将接收报文的入接口索引和报文的源地址与数据平面的SAV表项的关键字段匹配，在获得关键字段匹配的目标SAV表项的情况下，放行报文。可见，本申请实施例提供的技术方案中，网络设备在处理报文时，可以不受节约SAV表项的结果字段的长度限制，能够完成所有入接口对应的SAV，提高了报文处理的精度。

附图说明

为了更清楚地说明本发明实施例和现有技术的技术方案，下面对实施例和现有技术中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为部署SAVNET的网络架构的一种示意图；

图2为控制平面的SAV表项的结构的一种示意图；

图3为数据平面的SAV表项的结构的一种示意图；

图4为现有技术中的报文处理方法的一种流程示意图；

图5为本申请实施例提供的报文处理方法的第一种流程示意图；

图6为本申请实施例提供的数据平面的SAV表项的结构的一种示意图；

图7为本申请实施例提供的报文处理方法的第二种流程示意图；

图8为本申请实施例提供的数据平面的转发表项的结构的一种示意图；

图9为本申请实施例提供的SAV表项构建方法的一种流程示意图；

图10为本申请实施例提供的控制平面的SAV表项的结构的一种示意图；

图11为本申请实施例提供的报文处理方法的第三种流程示意图；

图12为本申请实施例提供的报文处理装置的第一种结构示意图；

图13为本申请实施例提供的报文处理装置的第二种结构示意图；

图14为本申请实施例提供的SAV表项构建装置的一种结构示意图。

具体实施方式

为使本发明的目的、技术方案、及优点更加清楚明白，以下参照附图并举实施例，对本发明进一步详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为便于理解，下面对本申请实施例中出现的词语进行解释说明。

CM(Complete Mode，完全部署模式)：网络中的所有网络设备均部署了SAVNET。其中，网络设备可以为路由器、交换机、或防火墙等具有通信功能的设备。如图1所示的网络架构，图1所示网络包括节点1-6，若节点1-6均部署了SAVNET，则网络的部署模式为CM。

IM(Incomplete Mode，部分部署模式)：网络中的部分网络设备部署了SAVNET。如图1所示的网络架构，图1所示网络包括节点1-6，若节点1-6中部分节点部署了SAVNET，如节点2-6部署了SAVNET，节点1未部署SAVNET，则网络的部署模式为IM。

SAVNET是一种防范伪造IPv6源地址网络攻击的技术，采用基于路由信息的源地址验证方案。SAVNET的基本原理是：建立源地址与网络设备的入接口的映射关系，通过检查接收报文的入接口是否属于报文的源地址对应的合法入接口，来对接收的报文进行仿冒过滤。

部署SAVNET的网络设备在控制平面可以采用BGP(Border Gateway Protocol，边界网关协议)扩展、IGP(Interior Gateway Protocol，内部网关协议)扩展或其他私有协议等，通过SPA(Source Prefix Advertising，源前缀通告)报文和DPP(Destination Prefix Probing，目的前缀探测)报文，学习源地址与网络设备的入接口的映射关系。具体的控制平面处理流程如下：

1)边缘节点通过路由等信息，收集本边缘节点的用户侧接口下挂的合法用户网段，作为本边缘节点的合法源地址前缀。如图1所示的网络架构，节点1-3为边缘节点，节点1收集以连接用户侧的合法终端A的接口为出接口的直连路由、静态路由、IGP路由协议等信息，得到节点1用户侧接口下挂的合法用户网段，作为节点1的合法源地址前缀；节点2收集以连接用户侧的合法终端B的接口为出接口的直连路由、静态路由、IGP路由协议等信息，得到节点2用户侧接口下挂的合法用户网段，作为节点2的合法源地址前缀；节点3收集以连接用户侧的合法终端C的接口为出接口的直连路由、静态路由、IGP路由协议等信息，得到节点3用户侧接口下挂的合法用户网段，作为节点3的合法源地址前缀。

2)边缘节点将本边缘节点的合法源地址前缀携带在SPA报文中，并将SPA报文通告给本边缘节点的网络侧接口连接的邻居节点；邻居节点学习到边缘节点的合法源地址前缀，并继续向其他节点通告SPA报文，使得其他节点学习到边缘节点的合法源地址前缀。最终网络内所有节点均学习到所有边缘节点的合法源地址前缀。

以图1中的节点1为例，节点1向邻居节点4发送SPA报文，邻居节点4通过SPA报文，学习到节点1的合法源地址前缀；之后，邻居节点4向节点6发送SPA报文，节点6通过SPA报文，学习到节点1的合法源地址前缀。

通过上述方式，节点1-6学习到节点1-3的合法源地址前缀。

3)边缘节点通过DPP报文进行流量合法路径探测：遍历网络侧接口，选择连接邻居节点的网络侧接口，获取所有以该接口为出接口的FIB(Forwarding Information Base，转发表)前缀，作为可达目的地址前缀列表封装到DPP报文内，并将DPP报文从该接口发出；邻居节点收到来自边缘节点的DPP报文后，基于预先学习到的边缘节点的合法源前缀，以及接收DPP报文的入接口，建立该边缘节点的合法源前缀和入接口的映射关系；同时，邻居节点按照本节点的出接口拆分DPP报文里的可达目的地址前缀列表，形成一或多个DPP报文，并继续进行探测。最终网络内所有节点均学到合法源前缀和入接口的映射关系。其中，FIB前缀为FIB表项的key(关键字段)包括的地址前缀。

通过上述1)-3)的协议交互，各个节点学到一系列控制平面的SAV表项，控制平面的SAV表项的结构如图2所示，图2中，key表示关键字段，value表示值字段，key包括合法源地址前缀，如图2中的Prefix 1，value包括一个或多个合法入接口索引，如图2中的IF 1-IF n。

基于控制平面的SAV表项的结构，网络设备生成数据平面的SAV表项，如图3所示，key表示关键字段，Result表示结果字段，key包括合法源地址前缀，如图3中的Prefix 1，Result包括一个或多个合法入接口索引，如图3中的IF 1-IF n。

基于图3所示的数据平面的SAV表项，网络设备对报文进行过滤处理，具体的报文处理流程如图4所示：

网络设备提取所接收的报文的SIP(Source Internet Protocol，源网际协议)地址，将SIP与数据平面的SAV表项的key匹配；若SIP与key匹配，即SIP在SAV表项的key表示的网段内，则将网络设备接收报文的入接口索引与该数据平面的SAV表项的Result匹配；若入接口索引与Result匹配，即SAV表项的Result内包括网络设备接收报文的入接口索引，则说明网络设备接收报文的入接口是key内合法源地址前缀的合法入接口，放行该报文；若入接口索引与Result不匹配，即SAV表项的Result内不包括网络设备接收报文的入接口索引，则说明网络设备接收报文的入接口不是key内合法源地址前缀的合法入接口，丢弃该报文。

若SIP与key不匹配，且网络的部署模式为CM，则说明SIP不属于合法源地址前缀，丢弃该报文；若SIP与key不匹配，且网络的部署模式为IM，则该SIP可能属于合法源地址前缀，只是因网络设备还未学习到该SIP对应的合法源地址前缀，为避免错误丢弃合法报文，放行该报文。

上述报文处理方法的实现是基于数据平面的SAV表项实现的。而SAV表项的结果字段的长度是有限的，可存放的入接口索引数量有一定限制，例如可存放8个入接口索引。这种情况下，一旦一个合法源地址前缀的入接口索引数量较多，将导致部分入接口索引无法写入SAV表项的结果字段，网络设备无法精确的进行报文过滤，报文处理精度较低。

为解决上述问题，本申请实施例提供了一种报文处理方法，该方法可以应用于网络中的任一网络设备，如图1所示的节点1-6中的任一节点。网络设备在接收到报文后，将接收报文的入接口索引和报文的源地址与数据平面的SAV表项的关键字段匹配，在获得关键字段匹配的目标SAV表项的情况下，放行报文。可见，本申请实施例提供的技术方案中，网络设备在处理报文时，可以不受节约SAV表项的结果字段的长度限制，能够完成所有入接口对应的SAV，提高了报文处理的精度。

下面通过具体实施例，对本申请实施例提供的报文处理方法进行详细说明。

如图5所示，本申请实施例提供了一种报文处理方法，应用于网络设备，包括如下步骤：

步骤S51，将接收报文的入接口索引和报文的源地址与数据平面的SAV表项的关键字段匹配，数据平面的SAV表项的关键字段包括入接口索引和合法源地址前缀；

步骤S52，若目标SAV表项的关键字段与接收报文的入接口索引和报文的源地址匹配，则放行报文。

本申请实施例提供的报文处理方法可以由网络设备的CPU(Central Processing Unit，中央处理器)实现，而为了提高报文处理效率，本申请实施例提供的报文处理方法还可以由网络设备的转发芯片实现。

网络设备可以包括一个或多个转发芯片。当由网络设备的转发芯片实现报文处理方法时，每个转发芯片存储数据平面的SAV表项。

一个示例中，每个转发芯片中可以存储数据平面的所有SAV表项，以便于转发芯片执行更为全面精确的报文处理。

另一个示例中，每个转发芯片存储本转发芯片上的接口对应的数据平面的SAV表项，也就是，每个转发芯片中存储有数据平面的关键字段包括本转发芯片上的接口索引的SAV表项。这样可以大大节约转发芯片中的表项资源。

例如，SAV表项1的关键字段包括{接口1，地址前缀1}，SAV表项2的关键字段包括{接口2，地址前缀1}。转发芯片1包括接口1，转发芯片2包括接口2。此时，转发芯片1内存储SAV表项1，转发芯片2内存储SAV表项2。

相对于现有技术，如图3所示的数据平面的SAV表项的结构，转发芯片1和转发芯片2中存储的SAV表项均需要包括接口1和接口2，本申请实施例中，减少一个转发芯片内存储的入接口索引的数量，节约了表项资源。

在一些实施例中，网络设备中还可以配置TCAM(Ternary Content Addressable Memory，三态内容寻址存储器)，数据平面的SAV表项存储在TCAM中。网络设备利用TCAM，完成入接口索引和源地址与数据平面的SAV表项的关键字段匹配，可以大大提高匹配效率，进而提高报文处理效率。

本申请实施例中，由网络设备的转发芯片实现报文处理方法时，TCAM配置在转发芯片内，或与转发芯片连接。对此不进行限定。

本申请实施例中，网络设备中还可以配置除TCAM外的其他类型的查找引擎，只要能够与转发芯片通信，完成对SAV表项的匹配查找即可。

上述步骤S51中，数据平面的SAV表项包括关键字段和结果字段。本申请实施例中，数据平面的SAV表项中，关键字段包括两种信息，分别为入接口索引和合法源地址前缀；结果字段中可以填充默认信息，也可以不填充任何信息，即结果字段为空，此时数据平面的SAV表项结构可以参见图6所示。图6中，key表示关键字段，Result表示结果字段，IF表示入接口索引，Prefix表示合法源地址前缀。

本申请实施例中，当SAV表项的结果字段为空时，可以最大限度的节约SAV表项资源。上述默认信息可以根据实际需求进行设定，例如，默认信息可以为：指示对报文添加合法标识符后转发报文的信息，或，指示对报文进行深度包检测后转发报文的信息，或，指示对报文进行加密处理后转发报文的信息等。

对于数据平面的SAV表项的关键字段中，网络设备可以按照合法源地址前缀和入接口索引的顺序填充合法源地址前缀和入接口索引。

对于数据平面的SAV表项的关键字段中，网络设备还可以按照入接口索引和合法源地址前缀的顺序填充入接口索引和合法源地址前缀。此时关键字段内的有效信息均位于关键字段的前端，便于网络设备对关键字段进行处理，节约存储资源。

网络设备在接收到报文后，提取报文的源地址，并确定网络设备接收该报文的入接口索引。网络设备可以按照数据平面的SAV表项的关键字段中入接口索引和合法源地址前缀的顺序，组合报文的源地址和接收该报文的入接口索引，将组合得到的信息与数据平面的SAV表项的关键字段进行匹配。

本申请实施例中，网络设备可以LPM(Longest Prefix Match，最长前缀匹配)方式，完成组合得到的信息与数据平面的SAV表项的关键字段匹配，获得关键字段与上述组合得到的信息匹配的目标SAV表项。网络设备还可以采用其他方式，完成组合得到的信息与数据平面的SAV表项的关键字段匹配，对此不进行限定。

本申请实施例中，网络设备将组合得到的信息与数据平面的SAV表项的关键字段进行匹配，若组合得到的信息中的入接口索引与SAV表项的关键字段中的入接口索引相同，组合得到的信息中的源地址具有SAV表项的关键字段中的合法源地址前缀，则说明组合得到的信息与数据平面的SAV表项的关键字段匹配；否则，二者不匹配。

当组合得到的信息与数据平面的SAV表项的关键字段匹配时，说明接收的报文的源地址属于接收报文的入接口的合法源地址前缀，网络设备执行上述步骤S52，放行报文，如根据报文的目的地址，向目的终端转发报文。

在一些实施例中，还提供了一种报文处理方法，如图7所示，可以包括如下步骤：

步骤S71，将接收报文的入接口索引和报文的源地址与数据平面的SAV表项的关键字段匹配，数据平面的SAV表项的关键字段包括入接口索引和合法源地址前缀；

步骤S72，若目标SAV表项的关键字段与接收报文的入接口索引和报文的源地址匹配，则放行报文；

步骤S73，将报文的源地址与转发表项的关键字段匹配，获得关键字段与报文的源地址匹配的目标转发表项，转发表项的关键字段包括地址前缀，转发表项的结果字段包括SAV标志；

步骤S74，若数据平面的所有SAV表项的关键字段与接收报文的入接口索引和报文的源地址均不匹配，且目标转发表项的结果字段包括的SAV标志指示目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，则丢弃报文；

步骤S75，若数据平面的所有SAV表项的关键字段与接收报文的入接口索引和报文的源地址均不匹配，且目标转发表项的结果字段包括的SAV标志未指示目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，则放行报文。

本申请实施例提供的技术方案中，在数据平面的所有SAV表项的关键字段与接收报文的入接口索引和报文的源地址均不匹配的情况下，结合转发表项，可以准确的确定报文的源地址是否属于其他入接口的合法源地址前缀，提高了报文处理的准确性。

本申请实施例提供的报文处理方法可以由网络设备的CPU实现，而为了提高报文处理效率，本申请实施例提供的报文处理方法还可以由网络设备的转发芯片实现。

网络设备可以包括一个或多个转发芯片。当由网络设备的转发芯片实现报文处理方法时，每个转发芯片中存储有网络设备学习到的转发表项。

在一些实施例中，网络设备中还可以配置TCAM，数据平面的转发表项存储在TCAM中。网络设备利用TCAM，完成源地址与数据平面的转发表项的关键字段匹配，可以大大提高匹配效率，进而提高报文处理效率。

本申请实施例中，网络设备中还可以配置除TCAM外的其他类型的查找引擎，只要能够与转发芯片通信，完成对转发表项的匹配查找即可。

上述步骤S71-S72与上述步骤S51-S52相同，此处不再赘述。

本申请实施例不限定步骤S71与步骤S73的执行顺序。

上述步骤S73中，网络设备可以学习到一个或多个转发表项。在数据平面，转发表项包括关键字段和结果字段，其中，关键字段包括地址前缀，结果字段包括SAV标志。此时，转发表项的结构可参见图8所示，图8中，key表示关键字段，Result表示结果字段，Prefix表示地址前缀，SAVflag表示SAV标志。

SAV标志指示本转发表项包括的地址前缀为一个入接口的合法源地址前缀，或者SAV标志不指示本转发表项包括的地址前缀为一个入接口的合法源地址前缀。

在一些实施例中，SAV标志的位宽可以为1比特(bit)。例如，SAV标志可以取值为0或1。当SAV标志为1时，SAV标志指示本转发表项包括的地址前缀为一个入接口的合法地址前缀，当SAV标志为0时，SAV标志不指示本转发表项包括的地址前缀为一个入接口的合法地址前缀。本申请实施例中，可以在转发表项的结果字段增加1bit，来作为SAV标志的位置，也可以利用转发表项的结果字段的保留位，来作为SAV标志的位置，无需新增表项资源，在保证报文处理的精度的情况下，节约了表项资源。

本申请实施例中，SAV标志的位宽也可以为2、3或4bit等，对此不进行限定。

本申请实施例中，转发表项的结果字段除包括SAV标志外，还可以包括其他信息，如出接口索引、下一跳索引等，对此不进行限定。

本申请实施例中，若报文的源地址具有转发表项的关键字段中的地址前缀，则说明报文的源地址与转发表项的关键字段匹配，匹配的转发表项即为目标转发表项；否则，说明报文的源地址与转发表项的关键字段不匹配。

当数据平面的所有SAV表项的关键字段与接收报文的入接口索引和报文的源地址均不匹配时，若网络设备检测到目标转发表项中的SAV标志指示目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，例如SAV标志为1，则说明目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，但不是接收报文的入接口的合法源地址前缀，执行步骤S74，丢弃报文，以提高网络的安全性。

当数据平面的所有SAV表项的关键字段与接收报文的入接口索引和报文的源地址均不匹配时，若网络设备检测到目标转发表项中的SAV标志未指示目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，例如SAV标志为0，则该SIP可能属于合法源地址前缀，只是因网络设备还未学习到该SIP对应的合法源地址前缀，执行步骤S75，放行该报文，以避免错误丢弃合法报文。

本申请实施例中，网络设备可以支持数据平面的SAV表项和转发表项的并行查找，如利用TCAM支持多表并行查找的功能，并行执行上述步骤S71和步骤S73，提高匹配的效率，提高报文处理效率。

若网络设备不支持数据平面的SAV表项和转发表项的并行查找，则为提高报文处理效率，网络设备可以确定网络设备所属网络的SAVNET的部署模式。

若所确定的部署模式为完全部署模式，则说明网络设备应该学习到了所有合法源地址前缀。此时，不需要执行上述步骤S73，查找转发表项，当数据平面的所有SAV表项的关键字段与接收报文的入接口索引和报文的源地址均不匹配时，说明该报文为非法报文，网络设备丢弃该报文。

若所确定的部署模式为部分部署模式，则网络设备可以执行上述步骤S73，查找转发表项，进而执行步骤S74-S75。

本申请实施例中，在完全部署模式下，网络设备只要确定数据平面的所有SAV表项的关键字段与接收报文的入接口索引和报文的源地址均不匹配，即可确定报文为非法报文，进而丢弃该报文，这里，可以不必查找转发表项，减少了查找转发表项的耗时，提高了报文处理效率。

在一些实施例中，上述步骤S73可以为：网络设备采用LPM方式查找转发表项，获得目标转发表项，具体可以为：将所接收报文的源地址与转发表项的关键字段包括的地址前缀匹配，获得地址前缀与报文的源地址匹配的至少一个候选表项；从至少一个候选表项中，确定最长地址前缀所属的候选表项，作为关键字段与报文的源地址匹配的目标转发表项。

例如，所接收报文的源地址为1.1.1.1，转发表项1的关键字段包括的地址前缀为1.1.0.0/16，转发表项2的关键字段包括的地址前缀为1.1.1.0/24。网络设备将所接收报文的源地址与转发表项的关键字段包括的地址前缀匹配，获得候选表项为转发表项1和转发表项2。1.1.0.0/16的长度小于1.1.1.0/24的长度，因此，网络设备从转发表项1和转发表项2中，确定最长地址前缀所属的候选表项为1.1.1.0/24所属的转发表项2，即转发表项2作为关键字段与报文的源地址匹配的目标转发表项。

本申请实施例中，网络设备也可以采用其他方式查找转发表项，获得目标转发表项。例如，网络设备将所接收报文的源地址与转发表项的关键字段包括的地址前缀匹配，获得地址前缀与报文的源地址匹配的至少一个候选表项；将这至少一个候选表项均作为目标转发表项。此时，只要有一个目标转发表项的结果字段包括的SAV标志指示目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，则网络设备丢弃报文，避免误转发报文。否则，即所有目标转发表项的结果字段包括的SAV标志均未指示目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，则网络设备放行报文。

在一些实施例中，为便于向各个转发芯片中下发包括本转发芯片上的接口索引的SAV表项，本申请实施例提供了一种SAV表项构建方法，如图9所示，可以包括如下步骤：

步骤S91，学习控制平面的SAV表项，控制平面的SAV表项的关键字段包括入接口索引，控制平面的SAV表项的值字段包括至少一个合法源地址前缀。

本申请实施例中，控制平面的SAV表项包括关键字段和值字段，其中，关键字段包括入接口索引，值字段包括一个或多个合法源地址前缀，具体的控制平面的SAV表项的结构可参见图10所示，图10中，key表示关键字段，value表示值字段，IF表示入接口索引，Prefix 1-Prefix n表示合法源地址前缀。

网络设备可以通过SPA报文和DPP报文，学习源地址与网络设备的入接口的映射关系，构建控制平面的SAV表项，具体构建控制平面的SAV表项的过程可参见上述相关描述，此处不再赘述。

步骤S92，根据控制平面的SAV表项，构建数据平面的SAV表项。

网络设备在获取到控制平面的SAV表项后，以{入接口索引，源地址前缀}为key，将控制平面的SAV表项转换为数据平面的SAV表项，转换后得到的数据平面的SAV表项可参见图6所示。

本申请实施例提供的技术方案中，网络设备改变了控制平面SAV表项的结构，以入接口索引为key，使得网络设备更为快速的确定转发芯片上的接口索引在哪些数据平面的SAV表项的关键字段中，进而快速的将数据平面的SAV表项下发至相应的转发芯片。

本申请实施例中，网络设备也可以采用现有技术中的控制平面SAV表项的结构，如图2所示，对此不进行限定。

下面结合图11所示的报文处理流程，对本申请实施例提供的报文处理方法进行详细说明。其中，SAVflag表示SAV标志，SAVflag为1，指示本转发表项包括的地址前缀为一个入接口的合法源地址前缀；SAVflag为0，不指示本转发表项包括的地址前缀为一个入接口的合法源地址前缀。

网络设备提取所接收的报文的SIP地址和接收该报文的入接口索引IF，执行如下两种匹配操作：将SIP和IF与数据平面的SAV表项的key匹配，将SIP与数据平面的转发表项的key匹配。上述两种匹配操作可以并行执行，也可以串行执行，如先执行将SIP和IF与数据平面的SAV表项的key匹配，再执行将SIP与数据平面的转发表项的key匹配；再如，先执行将SIP和IF与数据平面的SAV表项的key匹配，在SIP和IF与数据平面的SAV表项的key不匹配，且IM场景的情况下，再执行将SIP与数据平面的转发表项的key匹配。具体的执行顺序可以根据实际需求进行设定。

若SIP和IF与SAV表项的key匹配，即SIP在SAV表项的key表示的网段内，且IF与SAV表项的key包括的入接口索引相同，则说明该报文的源地址属于网络设备接收该报文的入接口的合法源地址前缀，放行该报文。

若SIP和IF与SAV表项的key不匹配，且当前部署模式为CM，则说明该报文为非法报文，丢弃该报文，以提高网络安全性。

若SIP和IF与SAV表项的key不匹配，当前部署模式为IM，与SIP匹配的目标转发表项的结果字段中，SAVflag为1，则说明该报文的源地址不属于网络设备接收该报文的入接口的合法源地址前缀，而是属于其他入接口的合法源地址前缀，丢弃该报文，以提高网络安全性。

若SIP和IF与SAV表项的key不匹配，当前部署模式为IM，与SIP匹配的目标转发表项的结果字段中，SAVflag为0，则说明该SIP可能是合法源地址前缀，只是因网络设备还未学习到该SIP对应的合法源地址前缀，为避免错误丢弃合法报文，放行该报文。

通过本申请实施例提供的技术方案，合法入接口的数量不再受结果字段的长度限制，提高了报文处理的精度。另外，每个转发芯片中可以仅存储本转发芯片上的接口对应的SAV表项，减少了每个转发芯片上存储的入接口索引的数量，相应的节约了存储的入接口索引的SAV表项的数量，节约了表项资源。

此外，本申请实施例提供的技术方案中，结合转发表项，完成对SAV处理时，只需要在转发表项中增加1bit的SAVflag的存储空间，甚至可以利用转发表项的保留位来实现SAVflag，这在完成SAV处理的同时，进一步节约了表项资源。

与上述报文处理方法对应，本申请实施例还提供了一种报文处理装置，如图12所示，应用于网络设备，该装置包括：

第一匹配单元121，用于将接收报文的入接口索引和报文的源地址与数据平面的SAV表项的关键字段匹配，数据平面的SAV表项的关键字段包括入接口索引和合法源地址前缀；

第一放行单元122，用于若目标SAV表项的关键字段与接收报文的入接口索引和报文的源地址匹配，则放行报文。

在一些实施例中，网络设备可以包括至少一个转发芯片；每个转发芯片中存储有数据平面的关键字段包括本转发芯片上的接口索引的SAV表项；和/或，

数据平面的SAV表项存储在TCAM中。

在一些实施例中，数据平面的SAV表项的结果字段为空；

数据平面的SAV表项的关键字段中，按照入接口索引和合法源地址前缀的顺序填充入接口索引和合法源地址前缀；或SAV表项的关键字段中，按照合法源地址前缀和入接口索引的顺序填充合法源地址前缀和入接口索引。

在一些实施例中，如图13所示，上述报文处理装置还可以包括：

第二匹配单元123，用于将报文的源地址与转发表项的关键字段匹配，获得关键字段与报文的源地址匹配的目标转发表项，转发表项的关键字段包括地址前缀，转发表项的结果字段包括SAV标志；

第一丢弃单元124，用于若数据平面的所有SAV表项的关键字段与接收报文的入接口索引和报文的源地址均不匹配，且目标转发表项的结果字段包括的SAV标志指示目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，则丢弃报文；

第二放行单元125，用于若数据平面的所有SAV表项的关键字段与接收报文的入接口索引和报文的源地址均不匹配，且目标转发表项的结果字段包括的SAV标志未指示目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，则放行报文。

在一些实施例中，上述报文处理装置还可以包括：

确定单元，用于确定网络设备所属网络的域间和域内网络中源地址验证SAVNET的部署模式；

第二丢弃单元，用于若所确定的部署模式为完全部署模式，且数据平面的所有SAV表项的关键字段与接收报文的入接口索引和报文的源地址均不匹配，则丢弃报文；

第二匹配单元123，可以包括第一匹配子单元；

第一匹配子单元，用于若所确定的部署模式为部分部署模式，则将报文的源地址与转发表项的关键字段匹配，获得关键字段与报文的源地址匹配的目标转发表项。

在一些实施例中，第二匹配单元123，可以包括第二匹配子单元；

第二匹配子单元，用于将报文的源地址与转发表项的关键字段包括的地址前缀匹配，获得地址前缀与报文的源地址匹配的至少一个候选表项；从至少一个候选表项中，确定最长地址前缀所属的候选表项，作为关键字段与报文的源地址匹配的目标转发表项。

在一些实施例中，网络设备可以包括至少一个转发芯片；每个转发芯片中存储有网络设备学习到的转发表项；和/或，

转发表项存储在TCAM中。

在一些实施例中，SAV标志的位宽为1比特。

在一些实施例中，如图14所示，还提供了一种SAV表项构建装置，可以包括：

学习单元141，用于学习控制平面的SAV表项，控制平面的SAV表项的关键字段包括入接口索引，控制平面的SAV表项的值字段包括至少一个合法源地址前缀；

构建单元142，用于根据控制平面的SAV表项，构建数据平面的SAV表项。

与上述报文处理方法对应，本申请实施例还提供了一种转发芯片，该转发芯片用于执行上述任一所述的报文处理方法步骤。

与上述报文处理方法对应，本申请实施例还提供了一种网络设备，包括至少一个转发芯片，该转发芯片用于执行上述任一所述的报文处理方法步骤。

在一些实施例中，网络设备还可以包括处理器；处理器，用于学习控制平面的SAV表项，控制平面的SAV表项的关键字段包括入接口索引，控制平面的SAV表项的值字段包括至少一个合法源地址前缀；根据控制平面的SAV表项，构建数据平面的SAV表项。

本申请实施例中，SAV表项的构建由处理器执行，转发芯片负责基于构建的SAV表项，对报文进行处理，减轻了转发芯片的负载，提高了报文处理效率。

转发芯片可以为NP(Network Processor，网络处理器)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、数字信号处理器(Digital Signal Processor，DSP)、分立门或者晶体管逻辑器件、分立硬件组件等硬件处理芯片，也可以采用多个芯片结合，对此不进行限定。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、转发芯片和网络设备实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。

Claims

一种报文处理方法，其特征在于，应用于网络设备，所述方法包括：

将接收报文的入接口索引和所述报文的源地址与数据平面的源地址验证SAV表项的关键字段匹配，所述数据平面的SAV表项的关键字段包括入接口索引和合法源地址前缀；

若目标SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址匹配，则放行所述报文。
根据权利要求1所述的方法，其特征在于，所述网络设备包括至少一个转发芯片；每个转发芯片中存储有数据平面的关键字段包括本转发芯片上的接口索引的SAV表项；和/或，

所述数据平面的SAV表项存储在三态内容寻址存储器TCAM中。
根据权利要求1或2所述的方法，其特征在于，所述数据平面的SAV表项的结果字段为空；

所述数据平面的SAV表项的关键字段中，按照入接口索引和合法源地址前缀的顺序填充入接口索引和合法源地址前缀；或所述SAV表项的关键字段中，按照合法源地址前缀和入接口索引的顺序填充合法源地址前缀和入接口索引。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

将所述报文的源地址与转发表项的关键字段匹配，获得关键字段与所述报文的源地址匹配的目标转发表项，所述转发表项的关键字段包括地址前缀，所述转发表项的结果字段包括SAV标志；

若所述数据平面的所有SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址均不匹配，且所述目标转发表项的结果字段包括的SAV标志指示所述目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，则丢弃所述报文；

若所述数据平面的所有SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址均不匹配，且所述目标转发表项的结果字段包括的SAV标志未指示所述目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，则放行所述报文。
根据权利要求4所述的方法，其特征在于，所述方法还包括：

确定所述网络设备所属网络的域间和域内网络中源地址验证SAVNET的部署模式；

若所确定的部署模式为完全部署模式，且所述数据平面的所有SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址均不匹配，则丢弃所述报文；

若所确定的部署模式为部分部署模式，则执行所述将所述报文的源地址与转发表项的关键字段匹配，获得关键字段与所述报文的源地址匹配的目标转发表项的步骤。
根据权利要求4所述的方法，其特征在于，所述将所述报文的源地址与转发表项的关键字段匹配，获得关键字段与所述报文的源地址匹配的目标转发表项的步骤，包括：

将所述报文的源地址与转发表项的关键字段包括的地址前缀匹配，获得地址前缀与所述报文的源地址匹配的至少一个候选表项；

从所述至少一个候选表项中，确定最长地址前缀所属的候选表项，作为关键字段与所述报文的源地址匹配的目标转发表项。
根据权利要求4-6任一项所述的方法，其特征在于，所述网络设备包括至少一个转发芯片；每个转发芯片中存储有所述网络设备学习到的转发表项；和/或，

所述转发表项存储在三态内容寻址存储器TCAM中。
根据权利要求4-6任一项所述的方法，其特征在于，所述SAV标志的位宽为1比特。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

学习控制平面的SAV表项，所述控制平面的SAV表项的关键字段包括入接口索引，所述控制平面的SAV表项的值字段包括至少一个合法源地址前缀；

根据所述控制平面的SAV表项，构建所述数据平面的SAV表项。
一种报文处理装置，其特征在于，应用于网络设备，所述装置包括：

第一匹配单元，用于将接收报文的入接口索引和所述报文的源地址与数据平面的源地址验证SAV表项的关键字段匹配，所述数据平面的SAV表项的关键字段包括入接口索引和合法源地址前缀；

第一放行单元，用于若目标SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址匹配，则放行所述报文。
根据权利要求10所述的装置，其特征在于，所述网络设备包括至少一个转发芯片；每个转发芯片中存储有数据平面的关键字段包括本转发芯片上的接口索引的SAV表项；和/或，

所述数据平面的SAV表项存储在三态内容寻址存储器TCAM中。
根据权利要求10或11所述的装置，其特征在于，所述数据平面的SAV表项的结果字段为空；

所述数据平面的SAV表项的关键字段中，按照入接口索引和合法源地址前缀的顺序填充入接口索引和合法源地址前缀；或所述SAV表项的关键字段中，按照合法源地址前缀和入接口索引的顺序填充合法源地址前缀和入接口索引。
根据权利要求10所述的装置，其特征在于，所述装置还包括：

第二匹配单元，用于将所述报文的源地址与转发表项的关键字段匹配，获得关键字段与所述报文的源地址匹配的目标转发表项，所述转发表项的关键字段包括地址前缀，所述转发表项的结果字段包括SAV标志；

第一丢弃单元，用于若所述数据平面的所有SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址均不匹配，且所述目标转发表项的结果字段包括的SAV标志指示所述目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，则丢弃所述报文；

第二放行单元，用于若所述数据平面的所有SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址均不匹配，且所述目标转发表项的结果字段包括的SAV标志未指示所述目标转发表项包括的地址前缀为一个入接口的合法源地址前缀，则放行所述报文。
根据权利要求13所述的装置，其特征在于，所述装置还包括：

确定单元，用于确定所述网络设备所属网络的域间和域内网络中源地址验证SAVNET的部署模式；

第二丢弃单元，用于若所确定的部署模式为完全部署模式，且所述数据平面的所有 SAV表项的关键字段与接收报文的入接口索引和所述报文的源地址均不匹配，则丢弃所述报文；

所述第二匹配单元，包括第一匹配子单元；

所述第一匹配子单元，用于若所确定的部署模式为部分部署模式，则将所述报文的源地址与转发表项的关键字段匹配，获得关键字段与所述报文的源地址匹配的目标转发表项。
根据权利要求13所述的装置，其特征在于，所述第二匹配单元，包括第二匹配子单元；

所述第二匹配子单元，用于将所述报文的源地址与转发表项的关键字段包括的地址前缀匹配，获得地址前缀与所述报文的源地址匹配的至少一个候选表项；从所述至少一个候选表项中，确定最长地址前缀所属的候选表项，作为关键字段与所述报文的源地址匹配的目标转发表项。
根据权利要求13-15任一项所述的装置，其特征在于，所述网络设备包括至少一个转发芯片；每个转发芯片中存储有所述网络设备学习到的转发表项；和/或，

所述转发表项存储在三态内容寻址存储器TCAM中。
根据权利要求13-15任一项所述的装置，其特征在于，所述SAV标志的位宽为1比特。
根据权利要求10所述的装置，其特征在于，所述装置还包括：

学习单元，用于学习控制平面的SAV表项，所述控制平面的SAV表项的关键字段包括入接口索引，所述控制平面的SAV表项的值字段包括至少一个合法源地址前缀；

构建单元，用于根据所述控制平面的SAV表项，构建所述数据平面的SAV表项。
一种转发芯片，其特征在于，执行权利要求1-8任一项所述的方法步骤。
一种网络设备，其特征在于，所述网络设备包括至少一个转发芯片，所述转发芯片用于执行权利要求1-8任一项所述的方法步骤。
根据权利要求20所述的网络设备，其特征在于，所述网络设备还包括处理器；所述处理器，用于学习控制平面的SAV表项，所述控制平面的SAV表项的关键字段包括入接口索引，所述控制平面的SAV表项的值字段包括至少一个合法源地址前缀；根据所述控制平面的SAV表项，构建所述数据平面的SAV表项。