30。
[0165]核心路由器910,用于接收待进行分布式拒绝服务攻击识别的报文;基于预设策略从所述核心路由器910的多个下联物理端口之中确定出转发所述报文的第一下联物理端口 ;通过确定出的所述第一下联物理端口向所述至少I个三层交换设备920中的第二三层交换设备转发所述报文;
[0166]第二三层交换设备920,用于接收所述报文;基于预设策略从所述第二三层交换设备的多个下联物理端口之中确定出转发所述报文的第二下联物理端口 ;通过确定出的所述第二下联物理端口向分布式拒绝服务攻击防护设备转发所述报文;
[0167]分布式拒绝服务攻击防护设备930,用于对所述报文进行分布式拒绝服务攻击识别。
[0168]本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时包括上述方法实施例中记载的报文转发方法的部分或全部步骤。
[0169]需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
[0170]在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0171]在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
[0172]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0173]另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
[0174]所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM, Read-Only Memory)、随机存取存储器(RAM, Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
[0175]以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【主权项】
1.一种报文转发方法,其特征在于,包括: 第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文; 所述第一三层交换设备基于预设策略从所述第一三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口; 若所述第一下联物理端口下联的是第二三层交换设备,所述第一三层交换设备通过确定出的所述第一下联物理端口向所述第二三层交换设备转发所述报文; 若所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,所述第一三层交换设备通过确定出的所述第一下联物理端口向所述分布式拒绝服务攻击防护设备转发所述报文,以便于所述分布式拒绝服务攻击防护设备对所述报文进行分布式拒绝服务攻击识别。2.根据权利要求1所述的方法,其特征在于,所述第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文,包括: 所述第一三层交换设备接收来自第四三层交换设备的待进行分布式拒绝服务攻击识别的报文;或,所述第一三层交换设备接收来自外网的待进行分布式拒绝服务攻击识别的报文;或,所述第一三层交换设备接收来自目的主机的待进行分布式拒绝服务攻击识别的报文。3.根据权利要求1或2所述的方法,其特征在于, 所述第一三层交换设备基于预设策略从所述第一三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口,包括: 所述第一三层交换设备基于预设策略从所述第一三层交换设备的多个下联逻辑端口中确定出转发所述报文的第一下联逻辑端口,基于预设策略从所述第一下联逻辑端口所包含的多个下联物理端口中确定出转发所述报文的第一下联物理端口。4.根据权利要求2所述的方法,其特征在于,所述第一三层交换设备接收来自第四三层交换设备的待进行分布式拒绝服务攻击识别的报文包括:所述第一三层交换设备通过第一上联物理端口接收来自第四三层交换设备的待进行分布式拒绝服务攻击识别的报文; 其中,所述第一三层交换设备基于预设策略从所述第一三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口,包括: 基于所述第一三层交换设备的虚拟三层交换设备和所述第一三层交换设备的上联逻辑端口之间的映射关系,确定第一上联物理端口所属的第一上联逻辑端口所对应的第一虚拟三层交换设备;基于预设策略从所述第一虚拟三层交换设备所对应的多条下一跳路由条目中选择第一下一跳路由条目,其中,所述第一下一跳路由条目所对应的第一下联物理端口为确定出的转发所述报文的下联物理端口。5.根据权利要求1至4任一项所述的方法,其特征在于, 若所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备, 所述方法还包括:所述第一三层交换设备通过所述第一三层交换设备的每个下联物理端口,与下联的不同分布式拒绝服务攻击防护设备分别建立边界网关协议会话。6.根据权利要求1至4任一项所述的方法,其特征在于,若所述第一下联物理端口下联的是第二三层交换设备,所述方法还包括:所述第一三层交换设备通过所述第一三层交换设备的每个下联逻辑端口,与下联的三层交换设备分别建立边界网关协议会话。7.—种三层交换设备,其特征在于,包括: 接收单元,用于接收待进行分布式拒绝服务攻击识别的报文; 确定单元,用于基于预设策略从所述三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口; 报文转发单元,用于若所述第一下联物理端口下联的是第二三层交换设备,通过确定出的所述第一下联物理端口向所述第二三层交换设备转发所述报文;若所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,通过确定出的所述第一下联物理端口向所述分布式拒绝服务攻击防护设备转发所述报文,以便于所述分布式拒绝服务攻击防护设备对所述报文进行分布式拒绝服务攻击识别。8.根据权利要求7所述的三层交换设备,其特征在于, 所述接收单元具体用于,接收来自第四三层交换设备的待进行分布式拒绝服务攻击识别的报文;或者接收来自外网的待进行分布式拒绝服务攻击识别的报文;或接收来自目的主机的待进行分布式拒绝服务攻击识别的报文。9.根据权利要求7或8所述的三层交换设备,其特征在于, 所述确定单元具体用于,基于预设策略从所述三层交换设备的多个下联逻辑端口中确定出转发所述报文的第一下联逻辑端口,基于预设策略从所述第一下联逻辑端口所包含的多个下联物理端口中确定出转发所述报文的第一下联物理端口。10.根据权利要求8所述的三层交换设备,其特征在于,在所述接收来自第四三层交换设备的待进行分布式拒绝服务攻击识别的报文方面,所述接收单元具体用于,通过第一上联物理端口接收来自第四三层交换设备的待进行分布式拒绝服务攻击识别的报文; 其中,所述确定单元具体用于,基于所述三层交换设备的虚拟三层交换设备和所述三层交换设备的上联逻辑端口之间的映射关系,确定第一上联物理端口所属的第一上联逻辑端口所对应的第一虚拟三层交换设备;基于预设策略从所述第一虚拟三层交换设备所对应的多条下一跳路由条目中选择第一下一跳路由条目,所述第一下一跳路由条目所对应的第一下联物理端口为确定出的转发所述报文的下联物理端口。11.根据权利要求7至10任一项所述三层交换设备,其特征在于,所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,所述三层交换设备还包括:会话单元,用于通过所述三层交换设备的每个下联物理端口,与下联不同的分布式拒绝服务攻击防护设备分别建立边界网关协议会话。12.根据权利要求7至10任一项所述三层交换设备,其特征在于,所述第一下联物理端口下联的是第二三层交换设备,其中,所述三层交换设备还包括:会话单元,用于通过所述三层交换设备的每个下联逻辑端口与下联的三层交换设备分别建立边界网关协议会话。13.—种通信系统,其特征在于,包括:核心路由器、核心路由器下联的至少I个三层交换设备和所述三层交换设备下联的至少I个分布式拒绝服务攻击防护设备; 所述核心路由器,用于接收待进行分布式拒绝服务攻击识别的报文;基于预设策略从所述核心路由器的多个下联物理端口之中确定出转发所述报文的第一下联物理端口 ;通过确定出的所述第一下联物理端口向所述至少I个三层交换设备中的第二三层交换设备转发所述报文; 所述第二三层交换设备,用于接收所述报文;基于预设策略从所述第二三层交换设备的多个下联物理端口之中确定出转发所述报文的第二下联物理端口 ;通过确定出的所述第二下联物理端口向分布式拒绝服务攻击防护设备转发所述报文;所述分布式拒绝服务攻击防护设备,用于对所述报文进行分布式拒绝服务攻击识别。
【专利摘要】本发明实施例公开了报文转发方法及相关装置和通信系统。一种报文转发方法包括:第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文;第一三层交换设备基于预设策略从第一三层交换设备的多个下联物理端口中确定出转发报文的第一下联物理端口;若第一下联物理端口下联的是第二三层交换设备,第一三层交换设备通过确定出的第一下联物理端口向第二三层交换设备转发报文。本发明实施例提供的技术方案有利于增大DDoS攻击防护网络架构的防护流量。
【IPC分类】H04L12/773, H04L29/06, H04L12/801
【公开号】CN105227480
【申请号】CN201410265789
【发明人】白惊涛, 邹鹏
【申请人】腾讯科技(深圳)有限公司
【公开日】2016年1月6日
【申请日】2014年6月13日