專利名稱:連接內(nèi)層和外層mpls標(biāo)簽的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及連接內(nèi)層和外層MPLS標(biāo)簽,并且特別地,但不限于,涉及在數(shù)據(jù)庫中連接內(nèi)層和外層MPLS標(biāo)簽以排除惡意分組的方法。
背景技術(shù):
本部分內(nèi)容介紹可有助于更好理解本發(fā)明的方面。相應(yīng)地,本部分內(nèi)容的陳述是為了從這個角度來理解,而不應(yīng)理解為承認(rèn)關(guān)于什么是現(xiàn)有技術(shù)或者什么不是現(xiàn)有技術(shù)。在電信領(lǐng)域,多協(xié)議標(biāo)簽交換(MPLQ指的是用于在網(wǎng)絡(luò)中的電信網(wǎng)絡(luò)設(shè)備單元之間攜帶數(shù)據(jù)的系統(tǒng)和方法。在其它實例中,這樣的網(wǎng)絡(luò)設(shè)備單元包括路由器和交換機(jī),特別是執(zhí)行標(biāo)簽邊緣路由和標(biāo)簽交換路由功能的網(wǎng)絡(luò)設(shè)備。在IETF技術(shù)文檔RFC-3031和RFC-3032中全面地描述了多協(xié)議標(biāo)簽交換功能。多協(xié)議標(biāo)簽交換可以被認(rèn)為是運行在OSI模型層中的第二層(數(shù)據(jù)鏈路層)和第三層(網(wǎng)絡(luò)層)之間的協(xié)議。因此,它用作提供統(tǒng)一的數(shù)據(jù)承載服務(wù),這樣的服務(wù)可以承載許多不同種類的業(yè)務(wù),所述業(yè)務(wù)包括本地ATM(異步傳輸模式)、SONET、以及以太網(wǎng)幀和IP分組。MPLS網(wǎng)絡(luò)中的數(shù)據(jù)分組以MPLS報頭為前綴,所述報頭包含一個或多個標(biāo)簽。這就是所謂的標(biāo)簽棧并用于在關(guān)聯(lián)的數(shù)據(jù)分組穿越MPLS網(wǎng)絡(luò)時交換這些數(shù)據(jù)分組,而不是在例如互聯(lián)網(wǎng)協(xié)議(IP)路由表中的查找。分組通過標(biāo)簽邊緣路由器(LER)進(jìn)入和離開MPLS網(wǎng)絡(luò)。標(biāo)簽邊緣路由器在進(jìn)入的分組進(jìn)入網(wǎng)絡(luò)時將MPLS標(biāo)簽推到進(jìn)入的分組上,并且在外出的分組離開網(wǎng)絡(luò)時將外出分組的MPLS標(biāo)簽彈出。在MPLS網(wǎng)絡(luò)內(nèi)部是僅根據(jù)MPLS標(biāo)簽來執(zhí)行路由的路由器,并且這些路由器被表示為標(biāo)簽交換路由器(LSR)。在某些應(yīng)用中,到達(dá)LER的分組可能已經(jīng)具有MPLS標(biāo)簽,并且在這種情況下LER可以將第二標(biāo)簽推到分組上。使用第二標(biāo)簽的兩個服務(wù)實例是虛擬專用局域網(wǎng)業(yè)務(wù)(VPLS)和三層虛擬專用網(wǎng)(L3-VPN)。從在后描述中可以容易地看到,其他的業(yè)務(wù)也可以使用分組上的第二標(biāo)簽。L3-VPN使用兩級MPLS標(biāo)簽,其中內(nèi)層標(biāo)簽攜帶從LER到LER的VPN特定信息。夕卜層標(biāo)簽攜帶逐跳(hop-by-hop)的MPLS轉(zhuǎn)發(fā)信息。MPLS網(wǎng)絡(luò)中的LSR在分組通過網(wǎng)絡(luò)傳遞時只讀取和交換外層標(biāo)簽。它們不讀取內(nèi)層VPN標(biāo)簽或者根據(jù)內(nèi)層VPN標(biāo)簽采取動作,并且內(nèi)層VPN標(biāo)簽信息以隧道的方式經(jīng)網(wǎng)絡(luò)傳送。在L3-VPN中,LER和LSR路由器為IP路由對等體。LER路由器將在其后面的用戶專用網(wǎng)絡(luò)的路由信息提供給LSR。LSR路由器將專用路由信息存儲在虛擬路由轉(zhuǎn)發(fā)表(VRF) 中;每個VRF實質(zhì)上是專用IP網(wǎng)絡(luò)。LSR路由器為每個VPN維護(hù)獨立的VRF表,因此提供適當(dāng)?shù)母綦x和安全性。VPN用戶只能接入相同VPN中的站點和主機(jī)。除了 VRF表之外,LSR 路由器也存儲其在公共互聯(lián)網(wǎng)上發(fā)送業(yè)務(wù)所需的正常路由信息。虛擬專用局域網(wǎng)業(yè)務(wù)(VPLS)是一種在IP/MPLS網(wǎng)絡(luò)上提供基于以太網(wǎng)的多點到多點通信的方式,其通過偽線將站點連接起來從而允許地理上分散的站點共享以太網(wǎng)廣播域。在VPLS中,每個站點上的局域網(wǎng)(LAN)被擴(kuò)展到運營商網(wǎng)絡(luò)的邊緣。然后,運營商網(wǎng)絡(luò)仿真交換機(jī)或者網(wǎng)橋來連接所有的用戶局域網(wǎng)以建立單個橋接局域網(wǎng)。使用LDP,運營商網(wǎng)絡(luò)中的每個LSR路由器必須被配置為加入特定的VPLS,另外還被給予加入相同VPLS的其它LSR的地址。接著,在這些LSR之間建立LDP會話的全網(wǎng)狀網(wǎng) (full mesh)。然后,使用LDP創(chuàng)建這些LSR之間偽線的等價網(wǎng)狀網(wǎng)。VPLS MPLS分組具有兩層標(biāo)簽棧。外層標(biāo)簽用來在業(yè)務(wù)提供商網(wǎng)絡(luò)中的正常MPLS 轉(zhuǎn)發(fā)。如果使用邊界網(wǎng)關(guān)協(xié)議(BGP)來建立VPLS,內(nèi)層標(biāo)簽由LSR作為標(biāo)簽塊的一部分進(jìn)行分配。如果使用LDP,內(nèi)層標(biāo)簽為當(dāng)LDP第一次在參與的LSR之間建立網(wǎng)狀網(wǎng)時分配由 LDP分配的虛擬電路標(biāo)ID。每一個LSR明了分配的內(nèi)層標(biāo)簽,并將這些標(biāo)簽與VPLS實例相關(guān)聯(lián)。適當(dāng)?shù)陌踩?以及是否為匹配另一個VPN上的內(nèi)層標(biāo)簽的一個VPN上的內(nèi)層標(biāo)簽提供支持的適當(dāng)功能)要求應(yīng)當(dāng)僅在到達(dá)具有適當(dāng)?shù)耐鈱訕?biāo)簽的LER時才處理內(nèi)層標(biāo)簽。普遍地,接收L3-VPN或者VPLS分組的LER處理外層標(biāo)簽和內(nèi)層標(biāo)簽,并不考慮外層標(biāo)簽和內(nèi)層標(biāo)簽是否相關(guān)聯(lián)。移除外層標(biāo)簽并且獨立于外層標(biāo)簽來處理內(nèi)層標(biāo)簽。這種處理的結(jié)果是,通過選擇合適的外層標(biāo)簽可以將惡意分組發(fā)送到遠(yuǎn)端VLAN。明顯地,允許標(biāo)記進(jìn)入遠(yuǎn)端VLAN的惡意分組是這些協(xié)議的不利方面。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種用于在MPLS分組處理中連接外層標(biāo)簽和內(nèi)層標(biāo)簽的方法。根據(jù)本發(fā)明的一方面,提供了一種在網(wǎng)絡(luò)設(shè)備單元中執(zhí)行的方法,所述方法使網(wǎng)絡(luò)設(shè)備單元處理具有外層標(biāo)簽和內(nèi)層標(biāo)簽的MPLS分組,所述方法包括步驟建立包含與有效外層標(biāo)簽對應(yīng)的條目的第一數(shù)據(jù)庫;為所述第一數(shù)據(jù)庫中的每個條目關(guān)聯(lián)鍵值;建立第二數(shù)據(jù)庫,所述第二數(shù)據(jù)庫包含與鍵值和有效內(nèi)層標(biāo)簽的組合相對應(yīng)的條目以及與所述有效內(nèi)層標(biāo)簽相關(guān)聯(lián)的合適動作;當(dāng)MPLS分組的外層標(biāo)簽在第一數(shù)據(jù)庫中具有相應(yīng)的條目時,獲取相關(guān)聯(lián)的鍵值;以及將相關(guān)聯(lián)的鍵值與MPLS分組的內(nèi)層標(biāo)簽相組合以生成所述第二數(shù)據(jù)庫的查找條目值。所述方法可以進(jìn)一步包括使用所述查找條目值來檢查第二數(shù)據(jù)庫中的相應(yīng)條目; 以及如果沒有發(fā)現(xiàn)匹配則丟棄所述MPLS分組。進(jìn)一步地,在丟棄分組時可以標(biāo)記安全警
生 I=I O附加地,在一些實施方式中,所述組合步驟可以包括將所述相關(guān)聯(lián)的鍵值附加在 MPLS分組的內(nèi)層標(biāo)簽上??蛇x地,在其他實施方式中,所述組合步驟可以包括將所述相關(guān)聯(lián)的鍵值哈希(hash)到MPLS分組的內(nèi)層標(biāo)簽。在本發(fā)明的一些實施方式中,所述網(wǎng)絡(luò)設(shè)備單元可以是標(biāo)簽交換路由器或者標(biāo)簽邊緣路由器的任意一個。本發(fā)明的有益效果包括可以將到達(dá)的具有有效外層標(biāo)簽的惡意分組丟棄。根據(jù)本發(fā)明的另一方面,提供了一種用于對網(wǎng)絡(luò)設(shè)備單元進(jìn)行編程的制品,以使網(wǎng)絡(luò)設(shè)備單元處理具有外層標(biāo)簽和內(nèi)層標(biāo)簽的MPLS分組,所述制品包括網(wǎng)絡(luò)設(shè)備單元可訪問的計算機(jī)可使用介質(zhì),其中所述計算機(jī)可使用介質(zhì)包括至少一個計算機(jī)程序,所述計算程序能夠使網(wǎng)絡(luò)設(shè)備單元執(zhí)行下述步驟建立包含對應(yīng)于有效外層標(biāo)簽的條目的第一數(shù)據(jù)庫;將鍵值與第一數(shù)據(jù)庫中的每個條目相關(guān)聯(lián);建立第二數(shù)據(jù)庫,該第二數(shù)據(jù)庫包含與鍵值和有效內(nèi)層標(biāo)簽的組合相對應(yīng)的條目以及與有效內(nèi)層標(biāo)簽相關(guān)聯(lián)的合適動作;當(dāng) MPLS分組的外層標(biāo)簽在第一數(shù)據(jù)庫中具有相應(yīng)的條目時,獲取相關(guān)聯(lián)的鍵值;以及組合所述相關(guān)聯(lián)的鍵值和所述MPLS分組的內(nèi)層標(biāo)簽以生成所述第二數(shù)據(jù)庫的查找條目值。在某些實施方式中,網(wǎng)絡(luò)設(shè)備單元可以為標(biāo)簽交換路由器,以及在其他實施方式中可以為標(biāo)簽邊緣路由器。
以下將結(jié)合附圖對本發(fā)明的實施方式進(jìn)行詳細(xì)描述以進(jìn)一步的理解本發(fā)明,其中圖1示出了根據(jù)現(xiàn)有技術(shù)在L3-VPN中處理兩層標(biāo)簽的方法;以及圖2示出了為根據(jù)本發(fā)明的實施方式的在L3-VPN中處理兩層標(biāo)簽的方法。為了便于理解,在可能的情況下相同附圖標(biāo)記用來指示附圖中通用的相同元素。
具體實施例方式多協(xié)議標(biāo)簽交換(MPLQ協(xié)議為用于在網(wǎng)絡(luò)上傳輸?shù)姆纸M分配標(biāo)簽。在插入到數(shù)據(jù)分組中的MPLS包頭中包含標(biāo)簽。這些短、長度固定的標(biāo)簽攜帶信息,所述信息告訴每個網(wǎng)絡(luò)設(shè)備單元如何處理分組并且如何將分組從源轉(zhuǎn)發(fā)到目的地,其中每個網(wǎng)絡(luò)設(shè)備單元例如是LER或LSR。它們只在本地網(wǎng)絡(luò)設(shè)備單元到網(wǎng)絡(luò)設(shè)備單元連接上有意義。因為每個網(wǎng)絡(luò)設(shè)備單元轉(zhuǎn)發(fā)分組,它將當(dāng)前標(biāo)簽交換為合適的標(biāo)簽以將分組路由到下一個網(wǎng)絡(luò)設(shè)備單元。這種方法能夠在核心 MPLS網(wǎng)絡(luò)中實現(xiàn)非常高速的分組交換。MPLS依賴于傳統(tǒng)的IP路由協(xié)議來通告和建立網(wǎng)絡(luò)拓?fù)?。然后,MPLS被覆蓋在所述拓?fù)渲?。因為路由?guī)劃會提前并且在網(wǎng)絡(luò)邊緣(用戶和業(yè)務(wù)提供商網(wǎng)絡(luò)相接的地方) 發(fā)生,具有MPLS標(biāo)簽的數(shù)據(jù)需要更少的路由器馬力來穿越MPLS網(wǎng)絡(luò)的核心。MPLS網(wǎng)絡(luò)為跨越網(wǎng)絡(luò)的數(shù)據(jù)建立標(biāo)簽交換路徑(LSP)。LSP由分配給從源到目的地的分組路徑上的節(jié)點的標(biāo)簽序列來定義。LSP以兩種方式中的一個來指導(dǎo)分組逐跳路由和顯式路由。在逐跳路由中,每個MPLS路由器獨立地為指定的轉(zhuǎn)發(fā)等價類(FEC)選擇下一跳。FEC描述一組相同類型的分組;所有被分配給FEC的分組接收相同的路由處理。在顯式路由中,提前規(guī)定了由LSP經(jīng)過的網(wǎng)絡(luò)設(shè)備單元的完整列表。所規(guī)定的路徑可以為最優(yōu)的或者非最優(yōu)的,但是基于網(wǎng)絡(luò)拓?fù)涞目傮w視圖,并且潛在地可以基于額外的約束,并且被稱為基于約束的路由。隨著網(wǎng)絡(luò)建立以及用信號通訊,每個MPLS網(wǎng)絡(luò)設(shè)備單元構(gòu)建標(biāo)簽信息庫(LIB), 標(biāo)簽信息庫是指定如何轉(zhuǎn)發(fā)分組的表。該表將每個標(biāo)簽與其相應(yīng)的FEC以及轉(zhuǎn)發(fā)分組的外出(outbound)端口相關(guān)聯(lián)。典型地,所述LIB是在除了傳統(tǒng)的路由器維護(hù)的路由表和轉(zhuǎn)發(fā)信息庫(FIB)之外建立的。
使用多種信令協(xié)議中的一個在MPLS網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備單元間分發(fā)標(biāo)簽以及用信號通訊(signaled)連接,所述多種信令協(xié)議包括標(biāo)簽分發(fā)協(xié)議(LDP)和具有隧道擴(kuò)展的資源預(yù)留協(xié)議(RSVP TE)??蛇x地,標(biāo)簽分配可以被搭載(piggyback)在現(xiàn)有的IP路由協(xié)議上,所述IP路由協(xié)議例如BGP。最常使用用的MPLS信令協(xié)議是LDP。LDP定義了一組由MPLS網(wǎng)絡(luò)設(shè)備單元用來交換標(biāo)簽和流映射信息的過程。它用來建立LSP,將路由信息直接映射到第二層交換路徑。 它還經(jīng)常用來在MPLS網(wǎng)絡(luò)邊緣指示非MPLS業(yè)務(wù)進(jìn)入的關(guān)鍵點。需要這樣的信令以用于建立 MPLSVPN。MPLS允許在分組上攜帶多個標(biāo)簽(稱為標(biāo)簽棧)。標(biāo)簽棧使MPLS網(wǎng)絡(luò)設(shè)備單元能夠區(qū)分?jǐn)?shù)據(jù)流之間的類型,并且相應(yīng)地建立和分發(fā)LSP。相應(yīng)于本發(fā)明的實施方式,標(biāo)簽棧通用使用是為VPN應(yīng)用建立穿越MPLS網(wǎng)絡(luò)的隧道。參見圖1,可以看到描述用于處理到達(dá)網(wǎng)絡(luò)設(shè)備單元處的多個標(biāo)簽分組的常規(guī)步驟的流程圖。該方法從100開始。在102,從MPLS分組獲取外層標(biāo)簽。在104,咨詢LIB是否其具有對應(yīng)于外層標(biāo)簽的條目。如果沒有對應(yīng)的條目,那么該方法在106結(jié)束。如果存在用于外層標(biāo)簽的條目,則在108檢查該條目是否為彈出POP動作。如果該條目不是POP動作,那么控制前進(jìn)到110以進(jìn)行適當(dāng)?shù)膭幼?。如果該條目用于POP動作,那么外層標(biāo)簽為POPPED并且在112處獲取內(nèi)層標(biāo)簽。在114,咨詢LIB中是否有對應(yīng)于內(nèi)層標(biāo)簽的表項。如果沒有對應(yīng)的表項,那么該方法在116結(jié)束。如果存在用于內(nèi)層標(biāo)簽的條目,那么在120檢查該條目是否為POP動作。如果該條目不是POP動作,那么控制前進(jìn)到122以進(jìn)行適當(dāng)?shù)膭幼?。如果條目用于POP動作,那么因此在124,從對應(yīng)于標(biāo)簽的條目獲取虛擬路由實例 (VRI),并路由分組。通過比較,根據(jù)本發(fā)明的實施方式增加額外步驟,從而拒絕惡意分組的轉(zhuǎn)發(fā)。根據(jù)協(xié)議的每次常規(guī)操作,為處理進(jìn)入的MPLS分組的軟件或硬件配備有包含標(biāo)簽和它們各自動作的數(shù)據(jù)庫。增強(qiáng)該標(biāo)簽數(shù)據(jù)庫,使得外層標(biāo)簽的條目具有在查詢內(nèi)層標(biāo)簽時被用作鍵值(key)的屬性。如果和外層標(biāo)簽匹配,軟件或者硬件獲取和外層標(biāo)簽相關(guān)聯(lián)的鍵值并且將其哈希到創(chuàng)建新鍵值的內(nèi)層標(biāo)簽。這種哈??梢詾楹唵蔚奶砑踊蚋鼜?fù)雜的操作。在表中引用得到的新鍵值以解析內(nèi)層標(biāo)簽動作。如果沒有發(fā)現(xiàn)匹配,則分組被丟棄(或者用來檢測安全問題)。參照圖2,可以發(fā)現(xiàn)描述根據(jù)本發(fā)明實施方式的在L3-VPN中處理兩層標(biāo)簽的方法的流程圖。所述方法開始于200。(注釋為了引用的方便,圖1和圖2間的相應(yīng)步驟攜帶相應(yīng)的附圖標(biāo)記)。在202,從MPLS分組獲取外層標(biāo)簽。在204,查詢標(biāo)簽數(shù)據(jù)庫是否其具有對應(yīng)于所述外層標(biāo)簽的條目。如果沒有對應(yīng)的條目,那么該方法在206結(jié)束。如果存在用于外層標(biāo)簽的條目,在208檢查該條目是否為POP動作。如果該條目不是POP動作,那么控制前進(jìn)到210以進(jìn)行適當(dāng)?shù)膭幼?。如果該條目是用于POP動作的條目,那么在步驟212,P0PPED外層標(biāo)簽并獲取內(nèi)層標(biāo)簽。在213,外層標(biāo)簽被用來從對應(yīng)于外層標(biāo)簽的數(shù)據(jù)庫獲取鍵值。在214,組合鍵值和內(nèi)層標(biāo)簽,并且查詢數(shù)據(jù)庫是否具有用于所述鍵值和內(nèi)層標(biāo)簽的組合的條目。如果不存在對應(yīng)的條目,則所述方法在216結(jié)束。如果存在用于所述鍵值和內(nèi)層標(biāo)簽的組合的條目,在220檢查該條目是否為POP 動作。如果該條目不為POP動作,那么控制前進(jìn)到222以進(jìn)行適當(dāng)?shù)膭幼鳌H绻霰眄椨糜赑OP動作,那么在2 從對應(yīng)于標(biāo)簽的條目獲取虛擬路由實例 (VRI),并相應(yīng)地路由分組。雖然以上的描述針對本發(fā)明的不同實施方式,但是可以在不偏離本發(fā)明基本范圍情況下得到本發(fā)明其它以及進(jìn)一步的實施方式。這樣,根據(jù)下面的權(quán)利要求來確定本發(fā)明的合適范圍。
權(quán)利要求
1.一種在網(wǎng)絡(luò)設(shè)備單元內(nèi)執(zhí)行以促使網(wǎng)絡(luò)設(shè)備單元處理具有外層標(biāo)簽和內(nèi)層標(biāo)簽的 MPLS分組的方法,所述方法包括建立包含與有效外層標(biāo)簽對應(yīng)的條目的第一數(shù)據(jù)庫; 將鍵值與所述第一數(shù)據(jù)庫中的每個條目相關(guān)聯(lián);建立第二數(shù)據(jù)庫,所述第二數(shù)據(jù)庫包含與所述鍵值和有效內(nèi)層標(biāo)簽的組合相對應(yīng)的條目以及與所述有效內(nèi)層標(biāo)簽相關(guān)聯(lián)的適當(dāng)動作;當(dāng)所述外層標(biāo)簽在所述第一數(shù)據(jù)庫中具有對應(yīng)的條目時,獲取所述關(guān)聯(lián)的鍵值;以及組合所述關(guān)聯(lián)的鍵值和所述內(nèi)層標(biāo)簽以生成用于所述第二數(shù)據(jù)庫的查找條目值。
2.根據(jù)權(quán)利要求1所述的方法,進(jìn)一步包括使用所述查找條目值來檢查所述第二數(shù)據(jù)庫中的相應(yīng)條目; 如果沒有發(fā)現(xiàn)匹配,則丟棄所述MPLS分組并標(biāo)示安全警告; 如果發(fā)現(xiàn)匹配,則獲取并執(zhí)行關(guān)聯(lián)的動作。
3.根據(jù)權(quán)利要求1所述的方法,其中所述組合步驟進(jìn)一步包括將所述關(guān)聯(lián)的鍵值附加到所述內(nèi)層標(biāo)簽。
4.根據(jù)權(quán)利要求1所述的方法,其中所述組合步驟進(jìn)一步包括 哈希所述關(guān)聯(lián)的鍵值到所述內(nèi)層標(biāo)簽。
5.根據(jù)權(quán)利要求1所述的方法,其中所述網(wǎng)絡(luò)設(shè)備單元包括標(biāo)簽交換路由器或者標(biāo)簽邊緣路由器。
6.一種用于對網(wǎng)絡(luò)設(shè)備單元編程以促使網(wǎng)絡(luò)設(shè)備單元處理具有外層標(biāo)簽和內(nèi)層標(biāo)簽的MPLS分組的制品,所述制品包括網(wǎng)絡(luò)設(shè)備單元可以訪問的計算機(jī)可用介質(zhì),其中所述計算機(jī)可用介質(zhì)包括至少一個程序,所述計算機(jī)程序能夠促使網(wǎng)絡(luò)設(shè)備單元執(zhí)行建立包含與有效外層標(biāo)簽對應(yīng)的條目的第一數(shù)據(jù)庫; 將鍵值與所述第一數(shù)據(jù)庫中的每個條目相關(guān)聯(lián);建立第二數(shù)據(jù)庫,所述第二數(shù)據(jù)庫包含與所述鍵值和有效內(nèi)層標(biāo)簽的組合相對應(yīng)的條目以及與所述有效內(nèi)層標(biāo)簽相關(guān)聯(lián)的適當(dāng)動作;當(dāng)所述外層標(biāo)簽在所述第一數(shù)據(jù)庫中具有對應(yīng)的條目時,獲取所述關(guān)聯(lián)的鍵值;以及組合所述關(guān)聯(lián)的鍵值和所述內(nèi)層標(biāo)簽以生成用于所述第二數(shù)據(jù)庫的查找條目值。
7.根據(jù)權(quán)利要求6所述的制品,進(jìn)一步包括使用所述查找條目值來檢查所述第二數(shù)據(jù)庫中的相應(yīng)條目; 如果沒有發(fā)現(xiàn)匹配,則丟棄所述MPLS分組并標(biāo)示安全警告; 如果發(fā)現(xiàn)匹配,則獲取并執(zhí)行關(guān)聯(lián)的動作。
8.根據(jù)權(quán)利要求6所述的制品,其中所述組合步驟進(jìn)一步包括 將所述關(guān)聯(lián)的鍵值附加到所述內(nèi)層標(biāo)簽。
9.根據(jù)權(quán)利要求6所述的制品,其中所述組合步驟進(jìn)一步包括 哈希所述關(guān)聯(lián)的鍵值到所述內(nèi)層標(biāo)簽。
10.根據(jù)權(quán)利要求6所述的制品,其中所述網(wǎng)絡(luò)設(shè)備單元包括標(biāo)簽交換路由器或者標(biāo)簽邊緣路由器。
全文摘要
公開了一種連接內(nèi)層和外層MPLS標(biāo)簽以提供增強(qiáng)的安全性的方法。所述連接內(nèi)層和外層MPLS標(biāo)簽以提供增強(qiáng)的安全性的方法包括向外層標(biāo)簽數(shù)據(jù)庫提供引用鍵值。外層標(biāo)簽數(shù)據(jù)庫條目提供鍵值,所述鍵值必須和內(nèi)層標(biāo)簽數(shù)據(jù)庫查找組合使用以實現(xiàn)適當(dāng)?shù)膭幼?。因為提供的鍵值不是可以公開訪問的,從而可以提供額外增加的安全性。所述連接內(nèi)層和外層MPLS標(biāo)簽以提供增強(qiáng)的安全性的方法對于阻塞惡意分組被發(fā)送到遠(yuǎn)端VLAN或者VFI尤其有用。
文檔編號H04L12/56GK102474451SQ201080029204
公開日2012年5月23日 申請日期2010年6月22日 優(yōu)先權(quán)日2009年6月30日
發(fā)明者G·帕格 申請人:阿爾卡特朗訊公司