报文转发方法及相关装置和通信系统的制作方法

报文转发方法及相关装置和通信系统的制作方法
【技术领域】
[0001]本发明涉及网络技术领域，具体主要涉及一种报文转发方法及相关装置和通信系统。
【背景技术】
[0002]当前，随着互联网的飞速发展，网络安全问题也日趋严重。例如分布式拒绝服务(DDoS, Distributed Denial of Service)攻击就是网络中一种十分常见攻击方式。
[0003]参见图1，图1中举例示出现有的一种对目标主机进行DDoS攻击防护的网络架构。其中，报文到达目标主机之前经过路由器转发到某个DDoS防护设备上进行DDoS攻击识别，识别出为DDoS攻击的报文将被丢弃，识别出并非DDoS攻击的报文将被转发到目标主机。
[0004]本发明的发明人在研究和实践过程中发现，现有技术至少存在以下的技术问题:现有DDoS攻击防护网络架构中由I个路由器进行报文分发，由于路由器的下一跳路由条目数量很有限(条目上限一般为8条)，这就使得其DDoS攻击防护的流量上限较小(一般最多可接入8个DDoS攻击防护设备)，对于有些具有很大流量的目标主机，现有DDoS攻击防护网络架构通常难以满足防护要求。

【发明内容】

[0005]本发明实施例提供报文转发方法及相关装置和通信系统，以期增大DDoS攻击防护网络架构的防护流量。
[0006]第一方面，一种报文转发方法，包括:
[0007]第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文；
[0008]所述第一三层交换设备基于预设策略从所述第一三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口；
[0009]若所述第一下联物理端口下联的是第二三层交换设备，所述第一三层交换设备通过确定出的所述第一下联物理端口向所述第二三层交换设备转发所述报文；
[0010]若所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备，所述第一三层交换设备通过确定出的所述第一下联物理端口向所述分布式拒绝服务攻击防护设备转发所述报文，以便于所述分布式拒绝服务攻击防护设备对所述报文进行分布式拒绝服务攻击识别。
[0011]第二方面，一种三层交换设备，包括:
[0012]接收单元，用于接收待进行分布式拒绝服务攻击识别的报文；
[0013]确定单元，用于基于预设策略从所述三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口；
[0014]报文转发单元，用于若所述第一下联物理端口下联的是第二三层交换设备，通过确定出的所述第一下联物理端口向所述第二三层交换设备转发所述报文；若所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备，通过确定出的所述第一下联物理端口向所述分布式拒绝服务攻击防护设备转发所述报文，以便于所述分布式拒绝服务攻击防护设备对所述报文进行分布式拒绝服务攻击识别。
[0015]第三方面，一种通信系统，包括:核心路由器、核心路由器下联的至少I个三层交换设备和所述三层交换设备下联的至少I个分布式拒绝服务攻击防护设备；
[0016]所述核心路由器，用于接收待进行分布式拒绝服务攻击识别的报文；基于预设策略从所述核心路由器的多个下联物理端口之中确定出转发所述报文的第一下联物理端口；通过确定出的所述第一下联物理端口向所述至少I个三层交换设备中的第二三层交换设备转发所述报文；
[0017]所述第二三层交换设备，用于接收所述报文；基于预设策略从所述第二三层交换设备的多个下联物理端口之中确定出转发所述报文的第二下联物理端口 ；通过确定出的所述第二下联物理端口向分布式拒绝服务攻击防护设备转发所述报文；
[0018]所述分布式拒绝服务攻击防护设备，用于对所述报文进行分布式拒绝服务攻击识别。
[0019]可以看出，本发明一些实施例的技术方案中，第一三层交换设备在接收待进行DDoS攻击识别的报文之后，基于预设策略从多个下联物理端口中确定出转发上述报文的第一下联物理端口 ；若上述第一下联物理端口下联的是第二三层交换设备，第一三层交换设备通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文。由于引入三层交换设备级联架构，待进行DDoS攻击识别的报文可以在三层交换设备之间分发，通过至少两层三层交换设备级联，有利于对DDoS攻击防护网络架构进行灵活扩展，进而有利于接入更多数量的DDoS攻击防护设备。可见，相对于现有技术中只使用一个路由器来向DDoS攻击防护设备分发待进行DDoS攻击识别的报文而言，本发明上述方案有利于增大DDoS攻击防护网络架构的防护流量。
【附图说明】
[0020]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0021]图1是本发明实施例提供的DDoS攻击防护网络架构的示意图；
[0022]图2是本发明实施例提供的一种报文转发方法的流程示意图；
[0023]图3-a是本发明实施例提供的一种DDoS攻击防护网络架构的示意图；
[0024]图3_b是本发明实施例提供的另一种报文转发方法的流程示意图；
[0025]图4-a是本发明实施例提供的一种DDoS攻击防护网络架构的示意图；
[0026]图4_b是本发明实施例提供的另一种报文转发方法的流程示意图；
[0027]图5-a是本发明实施例提供的一种DDoS攻击防护网络架构的示意图；
[0028]图5_b是本发明实施例提供的另一种报文转发方法的流程示意图；
[0029]图6是本发明实施例提供的一种三层交换设备的示意图；
[0030]图7是本发明实施例提供的另一种三层交换设备的示意图；
[0031]图8是本发明实施例提供的另一种三层交换设备的示意图；
[0032]图9是本发明实施例提供的一种通信设备的示意图。
【具体实施方式】
[0033]本发明实施例提供一种报文转发方法及相关装置和通信系统。
[0034]为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
[0035]以下分别进行详细说明。
[0036]本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别不同的对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0037]本发明报文转发方法的一个实施例，一种报文转发方法包括:第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文；第一三层交换设备基于预设策略从第一三层交换设备的多个下联物理端口中确定出转发上述报文的第一下联物理端口 ；若上述第一下联物理端口下联的是第二三层交换设备，第一三层交换设备通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文；若上述第一下联物理端口下联的是分布式拒绝服务攻击防护设备，上述第一三层交换设备通过确定出的上述第一下联物理端口向上述分布式拒绝服务攻击防护设备转发上述报文，以便于上述分布式拒绝服务攻击防护设备对上述报文进行分布式拒绝服务攻击识别。
[0038]请参见图2，图2为本发明的一个实施例提供的一种报文转发方法的流程示意图。其中，如图1所示，本发明的一个实施例提供的一种报文转发方法可包括以下内容:
[0039]201、第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文。
[0040]可选的，在本发明的一些可能的实施方式中，上述第一三层交换设备接收待进行DDoS攻击识别的报文可包括:上述第一三层交换设备接收来自第四三层交换设备的待进行DDoS攻击识别的报文；或者，上述第一三层交换设备接收来自外网的待进行DDoS攻击识别的报文；或者，上述第一三层交换设备接收来自目的主机或其他设备的待进行DDoS攻击识别的报文。
[0041]其中，上述目的主机为上述待进行DDoS攻击识别的报文的目的地址所对应的主机。
[0042]其中，本发明各实施例的三层交换设备可能为路由器或交换机或其他具有三层交换功能的设备。
[0043]202、上述第一三层交换设备基于预设策略从上述第一三层交换设备的多个下联物理端口中确定出转发上述报文的第一下联物理端口。
[0044]其中，所述预设策略可以包括随机选择策略、轮询选择策略或负载均衡策略等预设策略。
[0045]具体例如，上述第一三层交换设备可基于随机选择策略从多个下联物理端口中随机确定出转发上述报文的第一下联物理端口。又具体例如，上述第一三层交换设备可基于轮询选择策略从多个下联物理端口中确定出转发上述报文的第一下联物理端口。又具体例如，上述第一三层交换设备可基于负载均衡策略从多个下联物理端口中确定出转发上述报文的当前负载最小或较小的第一下联物理端口。
[0046]203、若上述第一下联物理端口下联的是第二三层交换设备，上述第一三层交换设备通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文。
[0047]204、若第一下联物理端口下联的是DDoS攻击防护设备，上述第一三层交换设备通过确定出的上述第一下联物理端口向上述DDoS攻击防护设备转发上述报文，以便于上述DDoS攻击防护设备对上述报文进行DDoS攻击识别。
[0048]其中，DDoS攻击防护设备是提供防DDoS攻击的安全设备。DDoS攻击防护设备若将报文识别为DDoS攻击报文，可丢弃该报文；DDoS攻击防护设备若将报文识别为非DDoS攻击报文，则可将该报文反馈到目的主机。
[0049]可以看出，本实施例第一三层交换设备在接收待进行DDoS攻击识别的报文之后，基于预设策略从多个下联物理端口中确定出转发上述报文的第一下联物理端口 ；若上述第一下联物理端口下联的是第二三层交换设备，第一三层交换设备通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文。由于引入三层交换设备级联架构，待进行DDoS攻击识别的报文可以在三层交换设备之间分发，通过至少两层三层交换设备级联，有利于对DDoS攻击防护网络架构进行灵活扩展，进而有利于接入更多数量的DDoS攻击防护设备。可见，相对于现有技术中