技術領域

本發明涉及計算機網絡通訊領域，具體涉及一種實現單播反向路徑轉發URPF檢查的方法及裝置。

背景技術

單播反向路徑轉發(Unicast Reverse Path Forwarding，簡稱URPF)，是網絡設備檢查數據包源地址合法性的一種方法。傳統URPF檢查的處理方法，通過獲取報文的源IP地址和入端口，以源IP地址為目的地址在路由轉發表中查找該源IP地址對應的出端口是否與報文入端口匹配，如果沒有匹配表項將丟棄該數據包，否則認為該報文是一個正常報文，通過這種方式，URPF就能有效地防范網絡中通過修改源地址而進行的惡意攻擊行為的發生。

但是，傳統的這種URPF檢查只是針對普通報文來源端口(通常為報文的源物理端口)的，不能提供報文來源端口為鏈路聚合組端口時的URPF檢查，或者，報文來源端口為ECMP組時的URPF檢查，其適用的范圍小，不能滿足越來越復雜的應用場景需求。

鏈路聚合就是把多條鏈路聚合成一條鏈路進行管理，通過內部的控制，將數據分配在被聚合的多條鏈路上，實現負載分擔，用于提高帶寬，增強連接可靠性。

ECMP(Equal-Cost Multipath Routing)等價多路徑，存在多條不同鏈路到達同一目的地址的網絡環境中，如果使用傳統的路由技術，發往該目的地址的數據包只能利用其中的一條鏈路，其它鏈路處于備份狀態或無效狀態；而等價多路徑路由協議可以在該網絡環境下同時使用多條鏈路，通過特定的算法，將負載分擔到多條鏈路上，從而增加了傳輸帶寬，提高了傳輸可靠性。

當報文來源為鏈路聚合組時，因為端口是聚合端口，則鏈路聚合組內的多個物理端口都是有效端口。當報文來源為ECMP組時，由于來源路徑是等價的，則ECMP組內的多個物理端口都是有效端口。在這兩種場景下，如果按照原有的URPF檢查方法，需要將多個物理端口依次進行檢查，處理上很復雜，檢查效率低，影響網絡性能。

綜上所述，現有技術中沒有對“鏈路聚合組端口”以及“ECMP組”采用URPF檢查的處理方式，所以，不能有效地防范網絡中通過修改源地址而進行的惡意攻擊行為的發生。

發明內容

本發明需要解決的技術問題是提供一種實現單播反向路徑轉發URPF檢查的方法及裝置，有效地防范網絡中通過修改源地址而進行的惡意攻擊行為的發生。

為了解決上述技術問題，本發明提供了一種實現單播反向路徑轉發URPF檢查的方法，包括：

獲取報文的源IP地址及入端口；

根據所述源IP地址在路由轉發表中查找到匹配路由后進行URPF檢查時，在所述路由轉發表中查詢IP地址對應的索引標識及索引，如所述源IP地址對應的索引標識為等價多路徑ECMP組索引標識，則根據查詢到的ECMP組索引到配置的ECMP組索引與端口的映射信息中查詢所述源IP地址對應的出端口，并判斷查詢到的所述出端口是否與所述入端口匹配。

進一步地，所述IP地址對應的索引標識包括：下一跳索引標識和ECMP組索引標識；所述方法還包括：

如具有某一IP地址的節點與本節點之間通過ECMP連接，則在所述路由轉發表中配置所述IP地址對應的ECMP組索引，并將所述IP地址對應的索引標識置為ECMP組索引標識；

否則，在所述路由轉發表中配置所述IP地址對應的下一跳索引，并將所述IP地址對應的索引標識置為下一跳索引標識。

進一步地，所述配置的ECMP組索引與端口的映射信息中，一個ECMP組索引對應多個等價路由出端口；

判斷查詢到的所述出端口是否與所述入端口匹配，包括：在ECMP組索引與端口的映射信息中查找到所述源IP地址對應的多個等價路由出端口中，只要有一個等價路由出端口與所述入端口匹配，則通過URPF檢查。

進一步地，所述獲取報文的入端口包括：如接收到所述報文的物理端口為鏈路聚合組物理端口，則將所述鏈路聚合組物理端口對應的鏈路聚合組邏輯端口作為所述報文的入端口。

進一步地，所述方法還包括：

如具有某一IP地址的節點與本節點之間通過鏈路聚合組連接，則在路由轉發表中配置所述IP地址對應的下一跳索引，并在下一跳索引與端口的映射信息中，將該鏈路聚合組的邏輯端口作為該下一跳索引對應的出端口；