技术领域 本发明涉及一种通信技术，尤其涉及一种双向 转发检测 BFD会话协商方 法、 设备及系统。

背景技术

双向转发检测 （ Bidirectional Forwarding Detection, BFD )运行在单播、

P2P模式下， 用于在网络设备之间的任何类型通道上进行快 速的故障检测。

一对网络设备之间， 如果存在多条通道， 即至少在一个方向上有多条通 道， 则在这对网络设备之间需要对应建立多个 BFD会话。

为了将接收到的 BFD控制报文与相应的 BFD会话对应起来， 每个网络 设备需要对每个 BFD会话选择一个不透明的鉴别值，每个网络设 备中所有的 BFD会话的鉴别值都是唯一的。 每个网络设备的本地鉴别值在 BFD控制报文的 "My Discriminator (以下 简称 MD )"域发送出去，并在远端网络设备的回应报文� �� "Your Discriminator (以下简称 YD )" 域返回。 一旦远端网络设备返回了本地鉴别值， 后面接收 到的 BFD控制报文都只根据该本地鉴别值进行分离， 即通过该鉴别值区分不 同的 BFD会话。 因此， 可以说 MD和 YD是标识一对 BFD会话的唯一依据 , 会话协商 UP以后， 收发报文和修改会话参数只根据 MD和 YD匹配。 但是， 同一个局域网内， BFD会话出现相同 MD的概率很大， BFD会话 之间生成的 MD会产生冲突， 导致 BFD会话不能正常协商。 现有技术是通过设置 BFD控制报文里面认证选项的方式来保证 BFD会 话之间的正确协商。 但是， 这需要网络设备都能支持 BFD的认证功能， 并且 实现复杂， 用户除了 BFD的基本配置还要配置认证。

发明内容 本发明实施例提供一种双向转发检测 BFD会话协商方法、 设备及系统， 用于解决 BFD会话协商错误问题。

本发明实施例的第一个方面是提供一种双向转 发检测 BFD会话协商方 法， 包括：

生成第一鉴别值， 所述第一鉴别值在本地设备所属的局域网内唯 一； 生成第一 BFD控制报文， 所述第一 BFD控制报文中包含有所述第一鉴 别值；

将所述第一 BFD控制报文发送给对端设备， 以使得所述对端设备根据所 述第一鉴别值与所述本地设备进行会话协商。

本发明实施例的另一个方面是提供一种双向转 发检测 BFD会话协商设 备， 包括：

鉴别值生成单元， 用于生成第一鉴别值， 所述第一鉴别值在本地设备所 属的局域网内唯一；

•艮文生成单元， 用于生成第一 BFD控制 ·艮文， 所述第一 BFD控制 4艮文 中包含有所述第一鉴别值；

报文发送单元， 用于发送所述第一 BFD控制报文给对端设备， 以使得所 述对端设备根据所述第一鉴别值与所述本地设 备进行会话协商。 本发明实施例的又一个方面是提供一种双向转 发检测 BFD会话协商系 统， 包括本地设备以及对端设备， 其中， 所述本地设备， 用于生成第一鉴别值， 所述第一鉴别值在所述本地设备 所属的局域网内唯一， 生成第一 BFD控制报文， 所述第一 BFD控制报文包 含有所述第一鉴别值， 将所述第一 BFD控制报文发送给所述对端设备；

所述对端设备，用于根据所述第一鉴别值与所 述本地设备进行会话协商。 过将本地鉴别值设置为本地设备所属局域网内 唯一的值， 杜绝了局域网内对 不同 BFD会话生成相同 MD的可能，从而解决了由于错误配置或者杂包� ��骗 导致的会话协商错误， 提高了 BFD会话协商的效率和安全性。 附图说明 图 1为本发明实施例提供的一种双向转发检测 BFD会话协商方法的流程 图；

示意图；

示意图；

用示意图； 图 5为本发明实施例提供的一种双向转发检测 BFD会话协商设备的结构 示意图； 图 6为本发明实施例提供的一种双向转发检测 BFD会话协商系统的示意 图。

具体实施方式 图 1为本发明实施例提供的一种双向转发检测 BFD会话协商方法的流程 图。本实施例提供的方法为用于 BFD会话协商的设备的处理流程，用于 BFD 会话协商的设备为网络设备。 如图 1所示， 该方法包括： 步骤 11、 生成第一鉴别值， 该第一鉴别值在本地设备所属的局域网内唯

本步骤中，生成第一鉴别值可根据本地设备 的标识信息生成第一鉴别值。 其中， 第一鉴别值可为本地鉴别值。 本地设备的标识信息包括该本地设备的 媒体访问控制 （Media Access Control, MAC )地址、 设备名称、 接口 IP、 出 接口索引中的一种或多种。 生成第一鉴别值可包括： 将该本地设备的标识信 息按照设定的映射算法映射得到的结果，与第 一 BFD控制报文对应的会话的 序号组合成所述第一鉴别值。 其中， 第一 BFD控制报文详见下述步骤 12中 的说明。 设定的映射算法可包括哈希算法， 映射得到的结果可包括哈希索引。 例如， 本地设备将本设备的标识信息如系统桥 MAC地址、 设备名称、 接口 IP、接口 IP和出接口索引中的一项或多项， 通过哈希算法， 映射到 BFD 控制报文中 MD字段的前两个字节。 MD字段的后两个字节分配给 BFD会话 序号。 由于 MD字段的内容为本地鉴别值， 因此也就是说本地鉴别值的前两 个字节为本地设备的标识信息， 后两个字节为 BFD会话序号。

由于网络设备标识的唯一性， 且两个字节的最大值为 65535 , 使得本地 鉴别值在全网唯一， 从而基本杜绝了对不同 BFD会话生成相同 MD的可能。

步骤 12、 生成第一 BFD控制报文， 该 BFD控制报文中包含有上述第一 鉴别值。

1*列 ^口： "BFD Control message

001 =Protocol Version: 1

00011=Diagnostic Code: Neighbor Signaled Session Down ( 0X03 )

01 =Session State: Down ( 0X01 )

Message Flags: 0X00

Detect Time Multiplier: 3 ( =6300ms Detection time )

Message Length: 24bytes

My Discriminator: 0X01000007

Your Discriminator: 0X00000000

Desired Min TX Interval: 2100ms ( 2100000us )

Required Min RX Interval: 2100ms ( 2100000us )

Required Min Echo Interval: 0ms ( Ous )，，。

其中， "My Discriminator: 0X01000007" 即 MD的前两个字节 0100为本 地设备的标识信息通过映射算法得到， 后两个字节 0007为会话序号。

步骤 13、将上述第一 BFD控制报文发送给对端设备， 以使得该对端设备 根据上述第一鉴别值与本地设备进行会话协商 。

可选地， 将上述第一 BFD控制报文发送给对端设备之后， 还包括： 接收对端设备发送的第二 BFD控制报文， 该对端设备发送的第二 BFD 控制报文中携带有该对端设备生成的第二鉴别 值； 用上述第一鉴别值以及上述第二鉴别值标识一 条会话。

其中， 可选地， 该对端设备的第二鉴别值在该对端设备所属的 局域网内 唯一。 该第二鉴别值的生成可参照上述步骤 11中第一鉴别值的生成。

上述本地设备及对端设备均可以为路由器、 交换机等网络设备。 本实施例提供技术方案能够避免在 BFD会话场景下， 由于错误配置或者 杂包欺骗情况下， 导致的会话协商错误。 其中， 杂包欺骗是指网络中恶意攻 击发过来的 MD相同的 BFD控制报文。设备可以在不具备认证功能的情 况下 避免 MD相同导致的 BFD会话协商错误， 节约了成本。 例如图 2所示， 第一路由器 RT1 分别跟第二路由器 RT2、 第三路由器 RT3相连。

第一路由器 RT1和第二路由器 RT2之间建立了两个 BFD会话 Sessionl、 Session2, 假设第一路由器 RT1的 Sessionl和第二路由器 RT2的 Sessionl在 物理信息配置上——对应，第一路由器 RT1的 Session2和第二路由器 RT2的 Session2 在物理信息配置上——对应， 并且根据通常所用的方法各自生成的 MD如图 2所示， 那么正常情况下， 第一路由器 RT1和第二路由器 RT2的 Sessionl会协商成一对正常的 BFD会话， Session2协商成另外一对正常的 BFD 会话。

但是， 在协商的初始阶段， 当第一路由器 RT1 上的 BFD会话 Sessionl 和 Session2还处于 Down状态时，第一路由器 RT1收到第三路由器 RT3的一 个用来协商 BFD会话的 BFD控制报文， 该协商报文所带的 MD为 1 , 由于 误配置或者网络欺骗攻击， 该用来协商 BFD会话的 BFD控制报文中的物理 信息与第一路由器 RT1 的会话 Sessionl相匹配， 则第一路由器 RT1 学习到 Sessionl的 YD为 1。 由于第一路由器 RT1 路由是到第二路由器 RT2 的， 因此， 第一路由器 RT1的 Sessionl的状态为 "Init" 的 BFD控制报文发到第二路由器 RT2, 该 状态为 "Init" 的 BFD控制报文所带 YD为 1。 第二路由器 RT2收到该报文， 用该状态为 "Init" 的 BFD控制报文中的 YD与本地设备即第二路由器 RT2 为 BFD会话设置的 MD进行匹配， 匹配到了 Session2即将状态为 "Init" 的 BFD控制报文分离到会话 Session2, 于是第二路由器 RT2与第一路由器 RT1 之间错误地将第二路由器 RT2的 Session2跟第一路由器 RT1的 Sessionl协商 起来， 第二路由器 RT2的 Session2状态变为 UP。

当第一路由器 RT1发出的 Session2的状态为 "Down" 的 BFD控制报文 到达第二路由器 RT2时， 由于该状态为 "Down" 的 BFD控制报文中的 YD 域为 0, 且根据第一路由器 RT1和第二路由器 RT2双方的物理配置信息， 第 二路由器 RT2与第一路由器 RT1协商的 BFD会话应该是第二路由器 RT2的 Session2 (参见协议 RFC5880中 6.8.6的记载 "If the Your Discriminator field is zero and the State field is not Down or AdminDown, the packet MUST be discarded." )„ 但是此时第二路由器 RT2的 Session2状态已经是 "UP" 状态， 于是第二路由器 RT2丟弃了该状态为 "Down" 的 BFD控制报文。 类似地， 第二路由器 RT2发出的 Sessionl的协商报文也被第一路由器 RT1丟弃。最后 导致第一路由器 RT1 无法跟第二路由器 RT2 协商起第一路由器 RT1 的 Session2, 第二路由器 RT2无法跟第一路由器 RT1协商起第二路由器 RT2的 Sessionl。 釆用本发明实施例提供的技术方案后， 第一路由器 RT1将从第三路由器 RT3发送的协商报文学习到 Sessionl的 YD, 通过状态为 "Init" 的 BFD控制 报文发送到第二路由器 RT2后， 第二路由器 RT2接收到的 YD无法与本地设 置的 MD 匹配， 第二路由器 RT2将接收到的携带有 YD的状态为 "Init" 的 BFD控制报文丟弃，避免了第二路由器 RT2与第二路由器 RT2之间产生错误 的协商。 这是因为根据本发明实施例提供的技术方案， 第三路由器 RT3发送 的协商报文中的 MD全网唯一， 第二路由器 RT2设置的 MD也是全网唯一， 二者的 MD不可能一致， 因此， 保证了在第三方网络欺骗或错误配置的情况 下， 两端设备之间仍能正常协商， 且两端设备无需具备认证功能， 易于实现。

实施例一 仍以第一路由器 RT1、 第二路由器 RT2和第三路由器 RT3为例， 如图 3 所示， 各个路由器均将本设备的系统桥 MAC地址通过 HASH算法， 映射到 MD字段四个字节的前两个字节， 以使 MD至少在局域网范围内唯一。 MD 字段的后两个字节分配给 BFD会话序号， 以区分同一设备上的不同会话。

由于系统桥 MAC地址的唯一性 ,使得第一路由器 RT 1、第二路由器 RT2、 第三路由器 RT3生成的各个会话的 MD均唯一， 不会产生冲突。

这样， 第一路由器 RT1收到第三路由器 RT3发过来的协商报文（存在网 络误配置或者恶意攻击，其带的物理信息和第 一路由器 RT1的 Sessionl 匹配） 后， 学习到 Sessionl的 YD为 30001。 其中 "3"是通过 hash算法计算出来的 值， "0001"为 BFD会话序号。，第一路由器 RT1的 Sessionl的状态变为 "Init" 状态。

第一路由器 RT1将 Sessionl的状态为 "Init" 的 BFD控制报文发送到第 二路由器 RT2, 由于状态为 "Init" 的 BFD控制报文所带 YD与第二路由器 RT2设置的所有 Session的 MD都不一致， 于是第二路由器 RT2丟弃该状态 为 "Init"的 BFD控制报文。当第一路由器 RT1的用来建立 BFD会话 Session2 的所有 BFD控制报文正常发到第二路由器 RT2,第二路由器 RT2能够正确和 第一路由器 RT1将 Session2协商为 "UP" 状态。

当第三路由器 RT3的攻击中断，第一路由器 RT1在收不到进一步的用来 协商 BFD会话的 BFD控制 文后， 第一路由器 RT1的 Sessionl状态重新切 回到 "Down"状态。由于第二路由器 RT2也一直发 Sessionl的状态为 "Down" 的 BFD控制报文到第一路由器 RTl , 因此两者重新正确协商， 恢复正常。

在上述组网下， 如果是第二路由器 RT2的状态为 "Down" 的 BFD控制 报文首先到达第一路由器 RT1 ,第一路由器 RT1和第二路由器 RT2正确协商， 第一路由器 RT1和第二路由器 RT2的 Sessionl状态为 UP后， 通常情况下， 第一路由器 RT1收到第三路由器 RT3的状态为 "Down" 的 BFD控制报文， 还是会让第一路由器 RT1的 Sessionl变 Down。 但是釆用图 1所示实施例提 供的技术方案后， 即使第一路由器 RT1收到第三路由器 RT3的错误 BFD控 制报文即状态为 "Down" 的 BFD控制报文， 由于该错误 BFD控制报文中的 YD与第一路由器 RT1设置的 MD匹配不上，该错误 BFD控制报文被第一路 由器 RT1直接被丟弃， 因此， 第三路由器 RT3的错误 BFD控制报文不会对 第一路由器 RT1与第二路由器 RT2之间的 BFD会话协商产生影响。 实施例二 仍以第一路由器 RT1、 第二路由器 RT2和第三路由器 RT3为例， 如图 4 所示， 各个路由器均将本设备的 BFD控制报文的出接口的源 IP地址加出接 口索引后， 通过 HASH算法， 映射到 MD字段四个字节的前两个字节。 MD 字段的后两个字节分配给 BFD会话序号。也就是说，设备的标识信息为 BFD 控制报文的出接口的源 IP地址加出接口索引， 或者说， MD中的前两个字节 通过对本地设备的标识信息即 BFD控制报文出接口的源 IP地址加出接口索 弓 1进行映射得到，能够使 MD在局域网范围内唯一， MD的后两个字节为 BFD 会话序号， 能够区分同一设备上的不同会话。

由于在网络中， IP地址具有唯一性， 因此， IP地址也可用来作为设备的 标识信息。 但在误配置或者恶意攻击的情况下， IP地址也可能存在冲突的情 况， 因此可以将本设备 BFD控制报文出接口的源 IP地址加报文出接口索引 用于 hash计算， 得到 hash索引， 作为 MD字段的前两个字节。 如图 4所示， 第一路由器 RT1的出接口索引 1对应的出接口发送的 BFD 控制报文到第三路由器 RT3 , 第一路由器 RT1的出接口索引 2对应的出接口 发送的 BFD控制报文到第二路由器 RT2。 第一路由器 RT1通过出接口索引 2 对应的出接口和第二路由器 RT2先协商起来 BFD会话 Sessionl后， 第一路 由器 RT1的 Sessionl在恶意攻击或者误配置的情况下， 即使第一路由器 RT1 收到了第三路由器 RT3发送的 BFD控制报文， 由于第三路由器 RT3发送的 BFD控制报文中的出接口索引跟正常第二路由器 RT2的出接口索引不一致， 使得第三路由器 RT3和第二路由器 RT2生成的 MD不一样，第三路由器 RT3 的 BFD控制报文在第一路由器 RT1被正常丟弃， 不会引发误匹配情况。 对于其他操作场景， 釆用本实施例提供的技术方案达到的技术效果 同上 述实施例一。

实施例三 本实施例中， 本地设备的标识信息为本地设备的设备名称。 设备名称一 般以字符串来描述。 将设备名称的字符串转换成对应的 16进制数字， 再用这 组数字生成 HASH索引， 填充在 MD字段四个字节的前两个字节。 MD字段 的后两个字节分配给 BFD会话序号。 由于网上正常使用的设备， 运营商一般都会修改设备的设备名称， 以使 网络设备的设备名称在一定范围内唯一。 因此， MD 中的前两个字节通过设 备名称进行映射， 以使 MD在局域网范围内唯一， 并将 MD的后两个字节分 配给 BFD会话序号， 以区分同一设备上的不同会话。 对于其他操作场景， 釆用本实施例提供的技术方案达到的技术效果 同上 述实施例一。

值设置为本地设备所属局域网内唯一的值， 杜绝了局域网内对不同 BFD会话 生成相同 MD的可能， 从而解决了由于错误配置或者杂包欺骗导致的 会话协 商错误， 提高了 BFD会话协商的效率和安全性。 本领域普通技术人员可以理解： 实现上述各方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成。 前述的程序可以存储于一计算机可 读取存储介质中。 该程序在执行时， 执行包括上述各方法实施例的步骤； 而 前述的存储介质包括： ROM, RAM, 磁碟或者光盘等各种可以存储程序代码 的介质。

图 5为本发明实施例提供的一种双向转发检测 BFD会话协商设备的结构 示意图。 本实施例提供的设备用于实现图 1 所示实施例提供的方法， 如图 5 所示， 该设备包括： 鉴别值生成单元 51、 报文生成单元 52和报文发送单元 53。 鉴别值生成单元 51用于生成第一鉴别值，该第一鉴别值在本地� ��备所属 的局域网内唯一 艮文生成单元 52用于生成第一 BFD控制 4艮文，该第一 BFD 控制报文中包含有鉴别值生成单元 51生成的第一鉴别值。 报文发送单元 53 用于发送报文生成单元 52生成的第一 BFD控制报文给对端设备， 以使得该 对端设备根据第一鉴别值与本地设备进行会话 协商。

可选地，本发明实施例提供的 BFD会话协商设备还包括报文接收单元和 会话协商单元。 报文接收单元用于接收对端设备的第二 BFD控制报文， 该第 二 BFD控制报文携带有该对端设备生成的第二鉴别 值。会话协商单元用于用 上述第一鉴别值以及上述第二鉴别值标识一条 会话。 上述设备实施例提供的双向转发检测 BFD会话协商设备通过鉴别值生成 单元将本地鉴别值设置为本地设备所属局域网 内唯一的值， 杜绝了局域网内 对不同 BFD会话生成相同 MD的可能，从而解决了由于错误配置或者杂包� �� 骗导致的会话协商错误， 提高了 BFD会话协商的效率和安全性。

CPU, 该处理器用来执行如下操作：

生成第一鉴别值， 该第一鉴别值详见上述方法实施例中的说明， 在本地 设备所属的局域网内唯一；

生成第一 BFD控制报文， 该第一 BFD控制报文中包含有生成的上述第 一鉴别值；

将上述第一 BFD控制报文发送给对端设备， 以使得该对端设备根据上述 第一鉴别值与本地设备进行会话协商。

可选地， 该处理器还执行如下操作：

接收上述对端设备的第二 BFD控制报文， 该第二 BFD控制报文携带有 该对端设备生成的第二鉴别值；

用上述第一鉴别值以及上述第二鉴别值标识一 条会话。

可选地， 该处理器还用于根据上述本地设备的标识信息 生成上述第一鉴 别值。

可选地， 该处理器还用于将上述本地设备的标识信息按 照设定的映射算 法映射得到的结果，与上述第一 BFD控制报文对应的会话的序号组合成第一 鉴别值。

上述设备实施例提供的双向转发检测 BFD会话协商设备通过处理器将本 地鉴别值设置为本地设备所属局域网内唯一的 值， 杜绝了局域网内对不同 BFD会话生成相同 MD的可能， 从而解决了由于错误配置或者杂包欺骗导致 的会话协商错误， 提高了 BFD会话协商的效率和安全性。 图 6为本发明实施例提供的一种双向转发检测 BFD会话协商系统的示意 图。 本发明实施例提供的 BFD会话协商系统用于实现上述图 1所示的方法， 如图 6所示， 该 BFD会话协商系统包括本地设备 61以及对端设备 62。 本地设备 61用于生成第一鉴别值， 该第一鉴别值在本地设备 61所属的 局域网内唯一， 具体详见上述方法实施例中的说明。 本地设备 61还用于生成 第一 BFD控制报文， 该第一 BFD控制报文包含有上述第一鉴别值。 本地设 备 61还用于将该第一 BFD控制报文发送给对端设备 62。 对端设备 62用于根据上述第一鉴别值与本地设备 61进行会话协商。 可选地， 对端设备 62具体用于向本地设备 61发送第二 BFD控制 4艮文， 该第二 BFD控制报文携带有所述对端设备生成的第二鉴 别值，该第二鉴别值 在对端设备 62所属的局域网内唯一。 其中， 第二鉴别值详见上述方法实施例 中的说明。 可选地， 本地设备 61还用于接收上述第二 BFD控制报文， 用上述第一 鉴别值以及上述第二鉴别值标识一条会话。 上述系统实施例通过本地设备将第一鉴别值如 本地鉴别值设置为本地设 备所属局域网内唯一的值，杜绝了局域网内对 不同 BFD会话生成相同 MD的 可能， 从而解决了由于错误配置或者杂包欺骗导致的 会话协商错误， 提高了 BFD会话协商的效率和安全性。 最后应说明的是： 以上各实施例仅用以说明本发明的技术方案， 而非对 其限制； 尽管参照前述各实施例对本发明进行了详细的 说明， 本领域的普通 技术人员应当理解：其依然可以对前述各实施 例所记载的技术方案进行修改， 或者对其中部分或者全部技术特征进行等同替 换； 而这些修改或者替换， 并 不使相应技术方案的本质脱离本发明各实施例 技术方案的范围。