只使用一个路由器来向DDoS攻击防护设备分发待进行DDoS攻击识别的报文而言,本发明上述方案有利于增大DDoS攻击防护网络架构的防护流量。
[0050]可选的,在本发明一些可能的实施方式中,上述第一三层交换设备基于预设策略从上述第一三层交换设备的多个下联物理端口中确定出转发上述报文的第一下联物理端口,可以包括:上述第一三层交换设备基于预设策略从上述第一三层交换设备的多个下联逻辑端口中确定出转发上述报文的第一下联逻辑端口,基于预设策略从上述第一下联逻辑端口所包含的多个下联物理端口中确定出转发上述报文的第一下联物理端口。其中,第一三层交换设备将第一三层交换设备的多个下联逻辑端口进行分组,将同一组的多个下联物理端口聚合成一个下联逻辑端口,通过引入下联逻辑端口来管理下联物理端口,有利于简化端口管理复杂度。
[0051]可选的,在本发明一些可能的实施方式中,上述第一三层交换设备接收来自第四三层交换设备的待进行DDoS攻击识别的报文包括:上述第一三层交换设备通过第一上联物理端口接收来自第四三层交换设备的待进行DDoS攻击识别的报文。
[0052]其中,第一三层交换设备基于预设策略从第一三层交换设备的多个下联物理端口中确定出转发上述报文的第一下联物理端口,可包括:基于上述第一三层交换设备的虚拟三层交换设备和上联逻辑端口之间的映射关系,确定第一上联物理端口所属的第一上联逻辑端口所对应的第一虚拟三层交换设备;基于预设策略从上述第一虚拟三层交换设备所对应的多条下一跳路由条目中选择第一下一跳路由条目,其中,上述第一下一跳路由条目所对应的第一下联物理端口为确定出的转发上述报文的下联物理端口。其中,通过引入虚拟化功能,第一三层交换设备可虚拟出多个虚拟三层交换设备,例如,第一三层交换设备虚拟出的多个虚拟三层交换设备和第一三层交换设备的多个上联逻辑端口一一对应,通过引入虚拟三层交换设备,可增加第一三层交换设备的下一跳路由条目数量,进而有利于第一三层交换设备之下接入更多数量第一三层交换设备或DDoS攻击防护设备。
[0053]可选的,在本发明一些可能的实施方式中,若上述第一下联物理端口下联的是DDoS攻击防护设备,上述报文转发方法还可进一步包括:上述第一三层交换设备通过每个下联物理端口与下联的不同DDoS攻击防护设备分别建立边界网关协议会话。也就是说,每个DDoS攻击防护设备对应不同的边界网关协议会话,例如,第一三层交换设备通过100个下联物理端口下联了 100个DDoS攻击防护设备,第一三层交换设备通过100个下联物理端口与下联的100个DDoS攻击防护设备分别建立边界网关协议会话。其中,下联的DDoS攻击防护设备、下联物理端口和边界网关协议会话一一对应。
[0054]可选的,在本发明一些可能实施方式中,若上述第一下联物理端口下联的是第二三层交换设备,上述报文转发方法还可进一步包括:上述第一三层交换设备通过每个下联逻辑端口与下联的三层交换设备分别建立边界网关协议会话。也就是说,每个下联逻辑端口对应不同的边界网关协议会话,例如第一三层交换设备通过10个下联逻辑端口与下联的三层交换设备分别建立边界网关协议会话。其中,下联逻辑端口和边界网关协议会话一一对应,或者下联逻辑端口、下联的三层交换设备和边界网关协议会话一一对应。
[0055]为便于更好的理解和实施本发明实施例的上述方案,下面通过一些场景进行举例说明。
[0056]参见图3-a,图3-a示出了一种DDoS攻击防护网络架构。图3_a所示的DDoS攻击防护网络架构之中,目标主机和核心路由器连接,核心路由器通过8个下联物理端口下联了 8个三层交换机,每个三层交换机分别通过8个下联物理端口下联了 8个DDoS攻击防护设备。
[0057]参见图3_b,图3_b为本发明的另一个实施例提供的另一种报文转发方法的流程示意图。其中,图3-b所示的报文转发方法可在图3-a所示架构中具体实施。如图3-b所示,本发明的另一个实施例提供的另一种报文转发方法可包括以下内容:
[0058]301、核心路由器接收来自外网的待进行DDoS攻击识别的报文。
[0059]302、核心路由器基于预设策略从核心路由器的8个下联物理端口中确定出转发上述报文的第一下联物理端口。核心路由器通过确定出的上述第一下联物理端口向第二三层交换机转发上述报文。
[0060]其中,第二三层交换机为上述8个三层交换机中其中一个。
[0061]其中,所述预设策略可以包括随机选择策略、轮询选择策略或负载均衡策略等预设策略。
[0062]具体例如,核心路由器可基于随机选择策略从核心路由器的8个下联物理端口中随机确定出转发上述报文的第一下联物理端口。又例如,核心路由器可基于轮询选择策略从核心路由器的8个下联物理端口中确定出转发上述报文的第一下联物理端口。又具体例如,核心路由器可基于负载均衡策略从核心路由器的8个下联物理端口中确定出转发上述报文的当前负载最小或较小的第一下联物理端口。
[0063]303、第二三层交换机接收上述报文,可基于预设策略从第二三层交换机的8个下联物理端口中确定出转发上述报文的第二下联物理端口 ;第二三层交换机通过确定出的上述第二下联物理端口,向第一 DDoS攻击防护设备转发上述报文。
[0064]其中,第一 DDoS攻击防护设备为第二三层交换机下联的8个DDoS攻击防护设备中的其中一个。
[0065]304、第一 DDoS攻击防护设备接收上述报文,第一 DDoS攻击防护设备对上述报文进行DDoS攻击识别。
[0066]若第一 DDoS攻击防护设备识别出对上述报文为DDoS攻击报文,则可丢弃上述报文。
[0067]若第一 DDoS攻击防护设备识别出对上述报文为非DDoS攻击报文,则可执行步骤305。
[0068]305、第一 DDoS攻击防护设备向第二三层交换机转发上述报文。
[0069]306、第二三层交换机向核心路由器转发上述报文。
[0070]307、核心路由器向目标主机转发上述报文。
[0071]可选的,在本发明一些可能的实施方式中,上述第二三层交换机可通过每个下联物理端口与下联的不同DDoS攻击防护设备分别建立边界网关协议会话。具体的,每个DDoS攻击防护设备对应不同的边界网关协议会话,例如第二三层交换机通过8个下联物理端口与下联的8个DDoS攻击防护设备分别建立边界网关协议会话。其中,8个下联的DDoS攻击防护设备、第二三层交换机的8个该下联物理端口和8个边界网关协议会话一一对应。
[0072]可选的,在本发明一些可能实施方式中,上述核心路由器通过其8个下联物理端口与8个下联的三层交换机分别建立边界网关协议会话。其中,核心路由器的8个下联物理端口和8个边界网关协议会话一一对应,该8个边界网关协议会话和该8个三层交换机--对应。
[0073]可以看出,本实施例中,核心路由器在接收待进行DDoS攻击识别的报文之后,基于预设策略从多个下联物理端口中确定出转发上述报文的第一下联物理端口 ;核心路由器通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文。由于引入三层交换设备级联架构,待进行DDoS攻击识别的报文可以在三层交换设备之间分发,通过至少两层三层交换设备级联,有利于对DDoS攻击防护网络架构进行灵活扩展,进而有利于接入更多数量的DDoS攻击防护设备。可见,相对于现有技术中只使用一个路由器来向DDoS攻击防护设备分发待进行DDoS攻击识别的报文而言,本实施例的上述方案有利于增大DDoS攻击防护网络架构的防护流量。
[0074]参见图4-a,图4-a示出了一种DDoS攻击防护网络架构。图4_a所示的DDoS攻击防护网络架构之中,目标主机和核心路由器连接,核心路由器通过8个下联物理端口下联了 I个三层交换机,该三层交换机分别通过64个下联物理端口下联了 64个DDoS攻击防护设备。
[0075]参见图4_b,图4_b为本发明的另一个实施例提供的另一种报文转发方法的流程示意图。其中,图4-b所示的报文转发方法可在图4-a所示架构中具体实施。如图4-b所示,本发明的另一个实施例提供的另一种报文转发方法可包括以下内容:
[0076]401、核心路由器接收来自外网的待进行DDoS攻击识别的报文。
[0077]402、核心路由器基于预设策略从核心路由器的8个下联物理端口中确定出转发上述报文的第二下联物理端口。核心路由器通过确定出的上述第二下联物理端口向三层交换机转发上述报文。
[0078]其中,所述预设策略可以包括随机选择策略、轮询选择策略或负载均衡策略等预设策略。
[0079]具体例如,核心路由器可基于随机选择策略从核心路由器的8个下联物理端口中随机确定出转发上述报文的第二下联物理端口。又例如,核心路由器可基于轮询选择策略从8个下联物理端口中确定出转发上述报文的第二下联物理端口。又具体例如,核心路由器可基于负载均衡策略从8个下联物理端口中确定出转发上述报文的当前负载最小或较小的第二下联物理端口。
[0080]403、上述三层交换机通过第一上联物理端口接收上述报文。
[0081]上述三层交换机可基于上述三层交换机所虚拟出的虚拟三层交换机和上述三层交换机的上联逻辑端口之间的映射关系,确定上述三层交换机的第一上联物理端口所对应的第一虚拟三层交换机;基于预设策略从上述第一虚拟三层交换机所对应的8条下一跳路由条目中选择第一下一跳路由条目,其中,上述第一下一跳路由条目所对应的第一下联物理端口为确定出的转发上述报文的下联物理端口。
[0082]上述三层交换机通过确定出的上述第一下联物理端口,向第一 DDoS攻击防护设备转发上述报文。
[0083]其中,通过引入虚拟化功能,上述三层交换机可虚拟出8个虚拟三层交换机,例如,第一三层交换机虚拟出的8个虚拟三层交换机和上述三层交换机的8个上联物理端口一一对应,通过引入虚拟三层交换机,可增加上述三层交换机的下一跳路由条目数量,进而有利于上述三层交换机之下接入更多数量的DDoS攻击防护设备。
[0084]其中,第一 DDoS攻击防护设备为第一虚拟三层交换机所对应的8个下联物理端口下联的8个DDoS攻击防护设备中的其中一个。
[0085]404、第一 DDoS攻击防护设备接收上述报文,第一 DDoS攻击防护设备对上述报文进行DDoS攻击识别。
[0086]若第一 DDoS攻击防护设备识别出对上述报文为DDoS攻击报文,则可丢弃上述报文。
[0087]若第一 DDoS攻击防护设备识别出对上述报文为非DDoS攻击报文,则可执行步骤405。
[0088]405、第一 DDoS攻击防护设备向上述三层交换机转发上述报文。
[0089]406、上述三层交换机向核心路由器转发上述报文。
[0090]407、核心路由器向目标主机转发上述报文。
[0091