专利名称:报文处理方法、出口路由设备及边界路由设备的制作方法
技术领域:
本发明涉及网络通信技术,尤其涉及一种报文处理方法、出口路由设备及边界路 由设备。
背景技术:
虚拟专用网络(Virtual Private Network ;简称为VPN)是通过公用网络建 立的一个临时、安全的连接,是一条穿过公用网络的安全、稳定的隧道。多协议标签交 换(Multiprotocol Label Switching ;简称为MPLS)是一种支持多种网络层协议,例 如网际协议第4版(Internet Protocol Version 4 ;简称为IPv4)、网际协议第6版 (Internet Protocol Version 6 ;简称为IPv6)、互联网分组交换协议(Internetwork Packet Exchange protocol ;简称为IPX)等,且兼容异步传输模式(Asynchronous Transfer Mode ;简称为ATM)、帧中继、以太网、点对点协议(Point to Point Protocol ; 简称为PPP)等多种链路层技术,通过给报文附上标签,根据标签对报文进行转发的技术。 MPLS为实现IP-VPN提供了一种灵活的、具有可扩展性的技术基础,在评论文档(Request For Comments ;简称为RFC)2547中,详细介绍了在公用网络中使用MPLS和边界网关协 议(Border Gateway Protocol ;简称为:BGP)来提供 IP-VPN 业务的方法,即 BGP/MPLS IP-VPN。BGP/MPLS IP-VPN是指以MPLS网络为承载网络(即公用网络),结合BGP提供 IP-VPN服务的一种三层VPN技术,是由通过MPLS所使用的标签分发协议建立起来的标签 交换路径(Label Switched Path ;简称为LSP)将分散在不同地域上的私有网络联结起 来所形成的统一网络。在BGP/MPLS IP-VPN中,允许各VPN访问hternet业务。其中,一 种实现BGP/MPLS IP-VPN中各VPN访问hternet业务的方式是将一台提供商边界路由器 (Provider Edge Router)与hternet连接,作为网络出口设备,配置该网络出口设备所在 的VPN为超级VPN,即在该VPN下的虚拟路由转发表(Virtual Routing forwarding ;简称 为VRF)中配置一条缺省路由,并允许该VRF将该条缺省路由通告给BGP/MPLS IP-VPN中 所有VPN的所有提供商边界路由器,以使所有VPN通过该缺省路由访问hternet。上述超级VPN和超级VPN下VRF中缺省路由的存在,会导致不同VPN通过该超级 VPN实现互通,这与VPN的目的相违背。为解决该问题,现有技术在作为网络出口设备的提 供商边界路由器上为其所在VPN下的VRF配置接入控制列表(Access Control Lists ;简称 为ACL)。ACL通过定义一些规则对网络出口设备上的报文进行过滤,丢弃源地址和目的地 址均为私网地址的报文,以实现不同VPN之间的隔离。但是,使用该方式一方面使得网络出 口设备的配置较为复杂,可扩展性较差,另一方面该方案的实施依赖于高效的硬件过滤引 擎快速过滤器(Fast Filter Processor ;简称为FFP),会消耗FFP资源,而FFP资源十分 有限,对于必须使用该FFP资源实现的多种与安全相关的功能和路由协议等会由于FFP资 源的不足而无法正常实现。
发明内容
本发明提供一种报文处理方法、出口路由设备和边界路由设备,用以解决现有技 术通过配置超级VPN和配置缺省路由实现BGP/MPLS IP-VPN中各VPN访问Internet时造 成的缺陷,简化网络出口设备的配置,节约FFP资源本发明提供一种报文处理方法,包括根据接收到的报文的目的网际协议IP地址和源IP地址,查询路由表,所述路由表 中存储有IP网段和所述IP网段对应的路由属性;当查询到所述目的IP地址和所述源IP地址对应的路由属性分别为私网路由时, 将所述报文丢弃。本发明提供一种出口路由设备,包括查询模块,用于根据接收到的报文的目的网际协议IP地址和源IP地址,查询路由 表,所述路由表中存储有IP网段和所述IP网段对应的路由属性;丢弃模块,用于在所述查询模块查询到所述目的IP地址和所述源IP地址对应的 路由属性分别为私网路由时,将所述报文丢弃。本发明提供一种边界路由设备,包括识别模块,用于对待发布路由的路由属性进行识别;消息生成模块,用于在所述识别模块识别出所述待发布路由的路由属性为私网路 由时,生成包括所述待发布路由和所述待发布路由对应的私网路由标识的路由发布消息;发布模块,用于将所述路由发布消息发布出去,以供出口路由设备根据所述路由 发布消息生成包括网际协议IP网段和所述IP网段对应的路由属性的路由表,并根据所述 路由表转发接收的报文。本发明的报文处理方法、出口路由设备及边界路由设备,边界路由设备识别待发 布路由的路由属性,通过在路由发布消息中携带私网路由标识将私网路由发布出去,出口 路由设备根据接收到的携带私网路由标识的路由发布消息生成包括路由属性的路由表,在 接收到报文时根据报文的目的IP地址和源IP地址查询路由表,根据路由表中的路由属 性实现对报文的过滤,解决了不同VPN通过出口路由设备所在超级VPN进行互访的问题; 另外,本发明技术方案通过路由表中的路由属性来过滤报文,不再采用ACL,解决了因配置 ACL导致出口路由设备配置复杂以及浪费FFP资源的问题,简化了出口路由设备的配置,节 约了 FFP资源。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根 据这些附图获得其他的附图。图1为本发明各实施例所基于的一种BGP/MPLS IP-VPN网络拓扑结构示意图;图2为本发明实施例一提供的报文处理方法的流程图;图3为本发明实施例二提供的报文处理方法的流程图;图4为本发明实施例三提供的出口路由设备的结构示意图5为本发明实施例四提供的出口路由设备的结构示意图;图6为本发明实施例五提供的边界路由设备的结构示意图;图7为本发明实施例六提供的边界路由设备的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图1为本发明各实施例所基于的一种BGP/MPLS IP-VPN网络拓扑结构示意图。如 图1所示,在该网络中包括4个VPN,分别为第一 VPN、第二 VPN、第三VPN和第四VPN ;MPLS 网络作为各VPN网络的公用网络,将各个VPAN网络连接起来。其中,第四VPN与hternet 连接,第四VPN中的提供商边界路由器PE4作为出口路由设备,与hternet连接;第一 VPN、 第二 VPN和第三VPN中的提供商边界路由器PE1、PE2和PE3分别通过MPLS网络中的核 心设备P与第四VPN中的提供商边界路由器PE4连接,并通过提供商边界路由器PE4访问 Internet ο其中,提供商边界路由器PE4所在第四VPN为超级VPN,即在第四VPN下的VRF中 配置有一条缺省路由,且允许提供商边界路由器PE4将该条缺省路由发布给第一 VPN、第二 VPN和第三VPN中的提供商边界路由器PE1、PE2和PE3,以使提供商边界路由器PE1、PE2和 PE3通过该缺省路由访问Internet。为了防止第一 VPN、第二 VPN和第三VPN通过第四VPN实现互访,本发明以下各实 施例提供一种报文处理方法,在保证各VPN访问hternet的同时解决了不同VPN之间互访 的问题。图2为本发明实施例一提供的报文处理方法的流程图。如图2所示,本实施例的 方法包括步骤201、根据接收到的报文的目的IP地址和源IP地址,查询路由表,所述路由表 中存储有IP网段和所述IP网段对应的路由属性。在本实施例中,出口路由设备上的路由表中同时存储有IP网段、下一跳信息以及 该IP网段对应的路由属性。路由属性主要标识一个IP网段下的IP地址是私网IP地址还 是公网IP地址,也就是判断由该IP网段下的IP地址构成的路由是私网路由还是非私网路 由。其中,若IP网段下的IP地址和该IP网段对应的下一跳IP地址均为私网IP地址,则 将构成一条私网路由;若IP网段下的IP地址和该IP网段对应的下一跳IP地址其中任何 一个为公网IP地址,则将构成一条非私网路由。其中,在路由表中可以设置一路由属性字 段,用于标识每条路由的路由属性。例如可以用“0”标识非私网路由,用“1”标识私网路由, 又例如可以在该路由属性字段填充任意值来识别私网路由,而用“空”来表示非私网路由等等。以图1所示的网络拓扑为例,出口路由设备即提供商边界路由器PE4可能会接收 到来自第一 VPN、第二 VPN或第三VPN的报文,也可能会接收到来自hternet的报文,因此, 提供商边界路由器PE4需要同时根据报文的目的IP地址和源IP地址查询路由表,以判断接收到的报文是否为私网报文。其中,路由表实际是指提供商边界路由器PE4上存储的与 各个VPN对应的VRF。所述私网报文是指查找VRF得出报文的目的IP地址和源IP地址所 属IP网段对应的路由属性均为私网路由时的报文。所述私网是指第一 VPN、第二 VPN或第 三VPN等由MPLS网络互连起来的各个VPN网络。当提供商边界路由器PE4接收到报文时,对报文进行解析获取报文中的目的IP地 址和源IP地址,然后查询路由表中是否存在目的IP地址和源IP地址,如果同时查询到路 由表中存在目的IP地址和源IP地址所属的IP网段时,获取目的IP地址和源IP地址所属 IP网段对应的路由属性,亦即目的IP地址和源IP地址对应的路由属性,以根据目的IP地 址和源IP地址对应的路由属性判断报文是否为私网报文。在此说明,为便于描述,本实施例以及后续各实施例均将“在路由表中查询目的IP 地址或源IP地址所属IP网段”描述为“在路由表中查询目的IP地址或源IP地址”,并将 “查询到目的IP地址或源IP地址所属IP网段”描述为“查询到目的IP地址或源IP地址”, 将“未查询到目的IP地址或源IP地址所属IP网段”描述为“未查询到目的IP地址或源IP 地址”。步骤202、当查询到目的IP地址和源IP地址对应的路由属性分别为私网路由时, 将报文丢弃。其中,当出口路由设备查询到目的IP地址和源IP地址对应的路由属性分别为私 网路由时,说明该报文是在各VPN之间转发,而各VPN之间是不应该互访的,因此,出口路由 设备将该报文判定为私网报文,并丢弃该报文不予以转发,从而解决了各VPN之间互访的 问题。另外,当出口路由设备在路由表中查询到目的IP地址但未查询到源IP地址,或者 当出口路由设备查询到目的IP地址和源IP地址两者中至少一个对应的路由属性为非私网 路由,表明该报文并不是在各VPN之间转发,因此按照正常转发报文的流程转发该报文,即 按照目的IP地址对应的路由信息(具体是指下一跳信息)转发该报文,从而保证各VPN与 Internet网络能够正常通信。再者,当出口路由设备未在路由表中查询到目的IP地址时,表明该报文不是私网 报文,但由于未能找到转发该报文的下一跳信息,则出口路由设备将根据预先配置的缺省 路由转发该报文。在该情景下,该缺省路由被视为该目的IP地址对应的路由信息。本实施例的报文处理方法,BGP/MPLS IP-VPN中与hternet连接的出口路由设备 在接收到报文后,根据报文的目的IP地址和源IP地址查询路由表,根据路由表中存储的与 IP网段对应的路由属性判断报文是否为私网报文,当确定报文为私网报文时将该报文丢弃 不予以转发,解决了各VPN通过出口路由设备进行互访的问题。在本实施例中,出口路由 设备根据路由表中存储的路由属性对报文进行过滤,而不是根据为VRF配置的ACL过滤报 文,降低了配置出口路由设备时的复杂性,提高了出口路由设备的可扩展性,极大地促进了 将出口路由设备所在VPN配置为超级VPN并为超级VPN下的VRF配置缺省路由实现各VPN 访问hternet的方案的部署与实施;另外,由于不再配置ACL,不再基于ACL来过滤报文, 不再消耗FFP资源,FFP资源的节约有利于必须使用FFP资源实现的安全相关的功能和路 由协议等其他功能的正常使用。图3为本发明实施例二提供的报文处理方法的流程图。本实施例基于实施例一,如图3所示,本实施例的方法包括301、边界路由设备发布路由发布消息,所述路由发布消息中包括待发布路由和待 发布路由对应的私网路由标识。在本实施例中,边界路由设备是指BGP/MPLS IP-VPN中各VPN中的提供商边界路 由器。以图1所示网络拓扑为例,边界路由设备可以为提供商边界路由器PE1、PE2或PE3, 也可以是提供商边界路由器PE4。其中,为便于描述,在本实施例中以边界路由设备可以为 提供商边界路由器PE1、PE2或PE3,出口路由设备为提供商边界路由器PE4为例。当边界路由设备有新的路由需要发布时,通过路由发布消息将待发布路由发布出 去。其中,待发布路由主要是指新IP网段,例如192. 168. 0. 0/M。在本实施例中,边界路由 设备在发布待发布路由时,对待发布路由的路由属性进行识别;当识别出待发布路由为私 网路由时同时标识该待发布路由为私网路由,然后发布出去;当识别出待发布路由为非私 网路由时不对待发布路由的路由属性进行标识,直接将待发布路由发布出去。另外,根据网 络预先预定的规则,边界路由设备在判断出待发布路由为非私网路由时也可以同时标识待 发布路由为非私网路由,然后发布出去。对于边界路由设备而言,其上预先存储有由管理员手动配置的私网IP网段,例如 192. 150. 0. 0/24,因此,边界路由设备可以将待发布路由与预先配置的私网IP网段进行比 较,判断待发布路由是否属于预先配置的私网IP网段;如果判断出待发布路由属于预先配 置的私网IP网段,则确定待发布路由为私网路由。另外,边界路由设备还可以根据待发布 路由中的路由属性判断该待发布路由是否为重分布路由,例如判断该待发布路由是否为重 分布的直连路由(重分布的直连路由是指边界路由设备的接口所配置的IP网段被导入到 BGP数据库中,并通过BGP邻居关系被通告给其他边界路由设备),或者判断该待发布路由 是否为重分布的其他内部网关协议(Interior Gateway Protocols ;简称为IGP)路由(重 分布的其他IGP路由是指通过BGP的配置将通过IGP协议学习到的IGP路由(例如OSPF 路由)引入到BGP数据库中);如果判断出该待发布路由为重分布路由,则同样确定该待发 布路由为私网路由。其中,边界路由设备上预先配置有私网路由基准,例如上述私网IP网 段和重分布路由均属于私网路由基准,如果待发布路由属于上述私网IP网段和/或重分布 路由均被确定为私网路由。私网路由基准可以根据实际网络结构进行适应性配置。当确定出待发布路由为私网路由时,边界路由设备生成包括待发布路由和待发布 路由对应的私网路由标识的路由发布消息,然后将该路由发布消息发布出去。其中,对于 BGP/MPLS IP-VPN而言,边界路由设备将通过BGP的多协议扩展属性来携带待发布路由,实 现VPN路由的通告。更为具体的,边界路由设备对BGP更新(Upgrade)报文中的路由属性字 段进行扩展,将待发布路由封装在原有的路由属性字段中,将私网路由标识封装在路由属 性字段的扩展字段中,通过BGP Upgrade报文将待发布路由和私网路由标识发布出去。对私 网路由标识的扩展可以按照标准路径属性的形式来定义,例如可以包括类型(Type)字段、 长度(Length)字段和值(Value)字段。其中,类型字段的高位设置为0 (为可选属性),次 高位设置为1(也是可选属性,标识传输属性);另外两个字段分别填充长度(例如IByte) 和标识路由属性的值(例如用值0x01来标识一个IP网段是私网路由)。步骤302、出口路由设备接收路由发布消息。在BGP/MPLS IP-VPN,各VPN中的边界路由设备均会接收到其他VPN的边界路由设备发布的路由发布消息,并会根据路由发布消息更新各自的路由表。出口路由设备也会接 收路由发布消息,并会根据路由发布消息更新路由表。步骤303、出口路由设备根据路由发布消息中的待发布路由和私网路由标识,生成 包括IP网段和IP网段对应的路由属性的路由表。出口路由设备根据发布路由消息更新路由表的过程包括出口路由设备接收到 路由发布消息,具体是指BGP Upgrade报文,获取其中的待发布路由(例如待发布的IP网 段),同时判断该BGP Upgrade报文中是否携带有私网路由标识。如果BGP Upgrade报 文携带有私网路由标识,则将待发布路由存储到路由表中或者用待发布路由更新路由表, 同时根据私网路由标识在路由表的路由属性字段中标识该条路由为私网路由。如果BGP Upgrade报文未携带私网路由标识,则将待发布路由存储到路由表中或者用待发布路由更 新路由表,同时在路由表的路由属性字段中标识该条路由为非私网路由。对出口路由设备 所采用的标识路由属性的方式,本实施例不做限制。步骤304、出口路由设备接收报文。步骤305、出口路由设备根据接收到的报文的目的IP地址和源IP地址,查询路由表。出口路由设备接收到报文后,对报文进行解析获取报文的目的IP地址和源IP地 址;然后根据报文的目的IP地址和源IP地址查询路由表。本实施例提供一种出口路由设备根据报文的目的IP地址和源IP地址查询路由表 的实施方式,包括以下步骤步骤3051、出口路由设备首先根据目的IP地址查询路由表,判断是否在路由表中 查询到该目的IP地址;如果判断结果为查询到目的IP地址,执行步骤3052 ;反之,执行步 骤 3056。步骤3052、出口路由设备查询目的IP地址对应的路由属性,判断目的IP地址对应 的路由属性是否为私网路由;若判断结果为是,执行步骤3053 ;反之,执行步骤3056。步骤3053、出口路由设备根据源IP地址查询路由表,判断是否在路由表中查询到 源IP地址;如果判断结果为查询到源IP地址,则执行步骤30M ;反之,执行步骤3056。步骤3(^4、出口路由设备查询源IP地址对应的路由属性,判断源IP地址对应的路 由属性是否为私网路由;如果判断结果为是,则执行步骤3055,反之,执行步骤3056。步骤3055、出口路由设备确定在路由表中同时查询到目的IP地址和源IP地址,且 目的IP地址和源IP地址对应的路由属性均为私网路由,结束查找路由表的操作。步骤3056、出口路由设备确定在路由表中未同时查找到目的IP地址和源IP地址, 或者确定同时查找到目的IP地址和源IP地址,但目的IP地址和源IP地址对应的路由属 性并非均为私网路由,结束此次查找路由表的操作。上述出口路由设备首先根据目的IP地址查找路由表的方式仅为一种优选方式, 但并不限于,出口路由设备先根据源IP地址查询路由表,然后再根据目的IP地址查询路由 表也可以达到上述目的。步骤306、出口路由设备判断是否同时查询到的目的IP地址和源IP地址;当判断 结果为同时查询到目的IP地址和源IP地址时,执行步骤307 ;反之,执行步骤309。步骤307,出口路由设备判断目的IP地址和源IP地址对应的路由属性是否均为私网路由;若判断结果为是,则执行步骤308 ;反之,执行步骤309。步骤308、出口路由设备将报文丢弃,不予以转发,并结束此次处理操作。步骤309、出口路由设备根据现有处理策略对报文进行转发,并结束此次处理操作。具体的,出口路由设备根据在步骤305中的查询结果判断是否同时查询到目的IP 地址和源IP地址;如果判断出在路由表中同时查询到目的IP地址和源IP地址时,继续根 据步骤305中的查询结果判断目的IP地址和源IP地址对应的路由属性是否均为私网路 由;如果判断结果为是,说明该报文为私网报文,则执行步骤308的操作将该报文丢弃;反 之,其他各情况表明该报文不是私网报文,则按照现有处理策略对报文进行转发。在本实施例中,根据现有处理策略对报文进行转发的情景包括以下几种当在步骤305中,出口路由设备未在路由表中查询到目的IP地址时,出口路由设 备可以根据配置的缺省路由对报文进行转发。当在步骤305中,出口路由设备查询到目的IP地址对应的路由属性为非私网路 由,或者未在路由表中查询到源IP地址,或者查询到源IP地址对应的路由属性为非私网路 由时,出口路由设备根据查询到的目的IP地址对应的路由信息(即下一跳信息)来转发报 文。本实施例的报文处理方法,边界路由设备识别待发布路由的路由属性,通过在路 由发布消息中携带私网路由标识将私网路由发布出去,出口路由设备根据接收到的携带私 网路由标识的路由发布消息生成包括路由属性的路由表,在接收到报文时根据报文的目的 IP地址和源IP地址查询路由表,根据路由表中的路由属性实现对报文的过滤,解决了不同 VPN通过出口路由设备所在超级VPN进行互访的问题;另外,在本实施例中,出口路由设备 通过路由表中的路由属性来过滤报文,不再采用ACL,解决了因配置ACL导致出口路由设备 配置复杂以及浪费FFP资源的问题,简化了出口路由设备的配置,节约了 FFP资源。在此说明,对于一些特殊的私网路由,如果不希望在发布这些特殊的私网路由时 标识该些路由为私网路由,可以通过手动配置将边界路由设备设置的私网路由标识给取 消。图4为本发明实施例三提供的出口路由设备的结构示意图。如图4所示,本实施 例的出口路由设备包括查询模块41和丢弃模块42。其中,查询模块41,用于根据接收到的报文的目的IP地址和源IP地址,查询路由 表,所述路由表中存储有IP网段和与IP网段对应的路由属性。丢弃模块42,与查询模块 41连接,用于在查询模块41查询到目的IP地址和源IP地址对应的路由属性分别为私网路 由时,将报文丢弃。本实施例的出口路由设备可以为BGP/MPLS IP-VPN中与hternet连接的提供商 边界路由器,例如图1中的提供商边界路由器PE4。出口路由设备的上述功能模块可用于执 行图2和图3所示的方法流程,其具体工作原理不再赘述,详见方法实施例的描述。本实施例的出口路由设备,在接收到报文时,根据报文的目的IP地址和源IP地址 查找路由表,根据路由表中与目的IP地址和源IP地址对应的路由属性判断报文是否为私 网报文,当确定报文为在各VPN之间转发的私网报文时,将该报文丢弃不予以转发,解决了 各VPN通过本实施例的出口路由设备进行互访的问题,实现各VPN之间的隔离,同时本实施例的出口路由设备基于路由表中标识的各路由的路由属性对报文进行过滤,而不再基于专 门配置的ACL,简化了配置出口路由设备的操作,提高了出口路由设备的可扩展性,同时极 大的促进了将出口路由设备所在VPN配置为超级VPN并为该超级VPN下的VRF配置一条缺 省路由实现各VPN访问hternet业务的方案的部署与实施;再者,由于不再查找ACL,也就 节约了 ACL消耗的FFP资源,保证了其他必须依赖FFP资源实现的功能的正常使用。图5为本发明实施例四提供的出口路由设备的结构示意图。本实施例基于图4所 示的实施例,如图5所示,本实施例的出口路由设备还包括转发模块51。转发模块51,与查询模块41连接,用于在查询模块41未在路由表中查询到目的 IP地址或者源IP地址,或者在查询模块41查询到目的IP地址和源IP地址中至少一个对 应的路由属性为非私网路由时,根据目的IP地址对应的路由信息转发报文。其中,当查询 模块41在路由表中查询到目的IP地址时,目的IP地址对应的路由信息是指目的IP地址 对应的下一跳信息,如果查询模块41未在路由表中查询到目的IP地址时,目的IP地址对 应的路由信息是指预先配置的缺省路由。本实施例的出口路由设备通过转发模块可以保证各VPN与hternet之间报文的 正常转发,保证各VPN与hternet之间正常通信。进一步,本实施例的查询模块41包括第一查询单元411、第二查询单元412、第三 查询单元413和第四查询单元414。具体的,第一查询单元411,用于根据目的IP地址查询路由表,并判断是否在路由 表中查询到目的IP地址;第二查询单元412,与第一查询单元411连接,用于在第一查询单 元411在路由表中查询到目的IP地址时,查询目的IP地址对应的路由属性,并判断目的 IP地址对应的路由属性是否为私网路由;第三查询单元413,与第二查询单元412连接,用 于在第二查询单元412查询出目的IP地址对应的路由属性为私网路由时,根据源IP地址 查询路由表,并判断是否在路由表中查询到源IP地址;第四查询单元414,与第三查询单元 413连接,用于在第三查询单元413在路由表中查询到源IP地址时,查询源IP地址对应的 路由属性,并判断源IP地址对应的路由属性是否为私网路由。上述各查询单元分别将查询结果提供给丢弃模块42和转发模块51,以供丢弃模 块42和转发模块51对报文进行相应处理。上述各查询单元可用于执行图3所示实施例中出口路由设备根据报文的目的IP 地址和源IP地址查询路由表的操作流程,其具体工作原理不再赘述,详见方法实施例中的 描述。更进一步,如图5所示,本实施例的出口路由设备还包括接收模块52和路由表生 成模块53。接收模块52,用于接收边界路由设备的路由发布消息,该路由发布消息中包括待 发布路由和待发布路由对应的私网路由标识。其中,路由发布消息由各VPN中的边界路由 设备所发布,待发布路由主要是指新的IP网段。在此说明,本实施例的出口路由设备也具 有VPN中的边界路由设备的功能。路由表生成模块53,与接收模块52连接,用于根据路由发布消息中的待发布路由 和私网路由标识,生成包括IP网段和IP网段对应的路由属性的路由表,并提供给查询模块 41。
上述接收模块和路由表生成模块具体用于在查询模块查询路由表之前,生成包括 路由属性的路由表,其具体工作原理可参见图3所示实施例中的描述,在此不再赘述。本实施例的出口路由设备,在接收到报文时,根据报文的目的IP地址和源IP地址 查找路由表,根据路由表中与目的IP地址和源IP地址对应的路由属性判断报文是否为私 网报文,当确定报文为在各VPN之间转发的私网报文时,将该报文丢弃不予以转发,解决了 各VPN通过本实施例的出口路由设备进行互访的问题,实现各VPN之间的隔离,同时本实施 例的出口路由设备基于路由表中标识各路由的路由属性对报文进行过滤,而不再基于专门 配置的ACL,简化了配置出口路由设备的操作,提高了出口路由设备的可扩展性,同时极大 的促进了将出口路由设备所在VPN配置为超级VPN并为该超级VPN下的VRF配置一条缺省 路由实现各VPN访问Internet业务的方案的部署与实施;再者,由于不再查找ACL,也就节 约了 ACL消耗的FFP资源,保证了其他必须依赖FFP资源实现的功能的正常使用。图6为本发明实施例五提供的边界路由设备的结构示意图。如图6所示,本实施 例的边界路由设备包括识别模块61、消息生成模块62和发布模块63。其中,识别模块61,用于对待发布路由的路由属性进行识别;消息生成模块62,与 识别模块61连接,用于在识别模块61识别出待发布路由的路由属性为私网路由时,生成包 括待发布路由和待发布路由对应的私网路由标识的路由发布消息,并提供给发布模块63 ; 发布模块63,与消息生成模块62连接,用于将路由发布消息发布出去,以使所在网络中的 出口路由设备根据路由发布消息生成包括网际协议IP网段和IP网段对应的路由属性的路 由表,并根据路由表转发接收的报文。其中,待发布路由主要是指新的IP网段。本实施例 中的出口路由设备的工作原理和结构可参见图4或图5所示实施例的描述,在此不再赘述。 其中,本实施例的边界路由设备也可以被配置为出口路由设备,在具有边界路由设备的功 能和结构的同时,还具有图4或图5所示出口路由设备的功能和结构。本实施例的边界路由设备的各功能模块可用于执行图3所示实施例中边界路由 设备生成路由发布消息的流程,其工作原理不再赘述,详见方法实施例中的描述。本实施例的边界路由设备,通过识别待发布路由的路由属性,并在识别出待发布 路由为私网路由时,通过在路由发布消息中携带私网路由标识,以使出口路由设备在根据 路由发布消息更新路由表时,可以标识待发布路由的路由属性,生成包括IP网段和IP网段 对用的路由属性的路由表,进而使得出口路由设备可以根据路由表中的路由属性对接收到 的报文进行过滤,保证VPN与Internet之间的报文被转发而各VPN之间的私网报文被丢 弃,在实现各VPN访问Internet的同时解决了各VPN之间互访的问题,通过对路由属性进 行标识,使得出口路由设备不再专门为VRF配置ACL,简化了出口路由设备的配置操作,提 高了出口路由设备的可扩展性,同时也节约了因ACL消耗的FFP资源,保证了其他必须依赖 FFP资源实现的功能的正常使用。图7为本发明实施例六提供的边界路由设备的结构示意图。本实施例基于图6所 示的实施例实现,如图7所示,本实施例的边界路由设备的识别模块61包括判断单元611 和确定单元612。判断单元611,用于判断待发布路由是否属于预先配置的私网IP网段;和/或,用 于判断待发布路由是否为重分布路由;确定单元612,与判断单元611连接,用于在判断单 元611判断出待发布路由属于预先配置的私网IP网段,或者在判断单元611判断出待发布路由为重分布路由时,确定待发布路由为私网路由,并将确定结果提供给消息生成模块62。 其中,私网IP网段和/或重分布路由是预先配置边界路由设备上的私网路由基准,即当待 发布路由属于私网IP网段和/或重分布路由时,该待发布路由即被确定为私网路由。但边 界路由设备所配置的私网路由基准并不限于此,可以根据实际网络结构进行适应性配置。上述各功能单元具体可用于执行图3所示实施例中边界路由设备判断待发布路 由是否为私网路由的操作流程,其工作原理不再赘述,详见方法实施例中的描述。其中,对于BGP/MPLS IP-VPN而言,本实施例的路由发布消息可以为BGP Upgrade 报文,则消息生成模块62具体用于将待发布路由和私网路由标识封装在BGP Upgrade报文 的路径属性字段中。另外,消息生成模块62还用于将路由属性为非私网路由的待发布路由 直接封装在BGP Upgrade报文的路径属性字段中。本实施例的边界路由出口设备可以是各VPN中处于边缘的提供商边界路由器,例 如图1中所示的提供商边界路由器PE1、PE2或PE3,还可以是提供商边界路由器PE4。本实施例的边界路由设备与上述实施例中的出口路由设备相配合,在发布新路由 时,对待发布路由的路由属性进行识别,并在识别出待发布路由为私网路由时,在路由发布 消息中携带私网路由标识,以使出口路由设备在根据路由发布消息更新路由表时,可以标 识待发布路由的路由属性,生成包括IP网段和IP网段对应的路由属性的路由表,进而使出 口路由设备可以根据路由表中的路由属性对接收到的报文进行过滤,保证VPN与Internet 之间的报文被转发而各VPN之间的私网报文被丢弃,使得在实现各VPN访问Internet的同 时解决了各VPN之间互访的问题。边界路由设备通过对路由属性进行标识,使得出口路由 设备不再专门为VRF配置ACL,简化了出口路由设备的配置操作,提高了出口路由设备的可 扩展性,同时也节约了因ACL消耗的FFP资源,保证了其他必须依赖FFP资源实现的功能的 正常使用。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过 程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序 在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者 光盘等各种可以存储程序代码的介质。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替 换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
权利要求
1.一种报文处理方法,其特征在于,包括根据接收到的报文的目的网际协议IP地址和源IP地址,查询路由表,所述路由表中存 储有IP网段和所述IP网段对应的路由属性;当查询到所述目的IP地址和所述源IP地址对应的路由属性分别为私网路由时,将所 述报文丢弃。
2.根据权利要求1所述的报文处理方法,其特征在于,还包括当未在所述路由表中查询到所述目的IP地址或所述源IP地址,或者当查询到所述目 的IP地址和所述源IP地址中至少一个对应的路由属性为非私网路由时,根据所述目的IP 地址对应的路由信息转发所述报文。
3.根据权利要求1或2所述的报文处理方法,其特征在于,所述根据接收到的报文的目 的IP地址和源IP地址,查询路由表之前包括接收边界路由设备的路由发布消息,所述路由发布消息包括待发布路由和所述待发布 路由对应的私网路由标识;根据所述路由发布消息中的待发布路由和私网路由标识,生成包括IP网段和所述IP 网段对应的路由属性的路由表。
4.根据权利要求3所述的报文处理方法,其特征在于,所述接收边界路由设备的路由 发布消息之前包括所述边界路由设备对所述待发布路由的路由属性进行识别;当识别出所述待发布路由的路由属性为私网路由时,所述边界路由设备生成包括所述 待发布路由和所述待发布路由对应的私网路由标识的所述路由发布消息;所述边界路由设备将所述路由发布消息发布出去。
5.根据权利要求4所述的报文处理方法,其特征在于,所述边界路由设备对所述待发 布路由的路由属性进行识别包括所述边界路由设备判断所述待发布路由是否属于预先配置的私网IP网段;和/或,所述边界路由设备判断所述待发布路由是否为重分布路由;如果判断出所述待发布路由属于所述私网IP网段,或者所述待发布路由为重分布路 由,所述边界路由设备确定所述待发布路由为私网路由。
6.根据权利要求4所述的报文处理方法,其特征在于,所述路由发布消息为边界网关 协议BGP更新报文;所述边界路由设备生成包括所述待发布路由和所述待发布路由对应的私网路由标识 的所述路由发布消息具体为所述边界路由设备将所述待发布路由和所述私网路由标识封 装在所述BGP更新报文的路径属性字段中。
7.—种出口路由设备,其特征在于,包括查询模块,用于根据接收到的报文的目的网际协议IP地址和源IP地址,查询路由表, 所述路由表中存储有IP网段和所述IP网段对应的路由属性;丢弃模块,用于在所述查询模块查询到所述目的IP地址和所述源IP地址对应的路由 属性分别为私网路由时,将所述报文丢弃。
8.根据权利要求7所述的出口路由设备,其特征在于,还包括转发模块,用于在所述查询模块未在所述路由表中查询到所述目的IP地址或所述源IP地址,或者在所述查询模块查询到所述目的IP地址和所述源IP地址中至少一个对应的 路由属性为非私网路由时,根据所述目的IP地址对应的路由信息转发所述报文。
9.根据权利要求7或8所述的出口路由设备,其特征在于,还包括接收模块,用于接收边界路由设备的路由发布消息,所述路由发布消息包括待发布路 由和所述待发布路由对应的私网路由标识;路由表生成模块,用于根据所述路由发布消息中的待发布路由和私网路由标识,生成 包括IP网段和所述IP网段对应的路由属性的路由表。
10.一种边界路由设备,其特征在于,包括识别模块,用于对待发布路由的路由属性进行识别;消息生成模块,用于在所述识别模块识别出所述待发布路由的路由属性为私网路由 时,生成包括所述待发布路由和所述待发布路由对应的私网路由标识的路由发布消息;发布模块,用于将所述路由发布消息发布出去,以供出口路由设备根据所述路由发布 消息生成包括网际协议IP网段和所述IP网段对应的路由属性的路由表,并根据所述路由 表转发接收的报文。
11.根据权利要求10所述的边界路由设备,其特征在于,所述识别模块包括判断单元,用于判断所述待发布路由是否属于预先配置的私网网际协议IP网段;和/ 或,用于判断所述待发布路由是否为重分布路由;确定单元,用于在所述判断单元判断出所述待发布路由属于所述私网IP网段,或者在 所述判断单元判断出所述待发布路由为重分布路由时,确定所述待发布路由为私网路由。
12.根据权利要求10或11所述的边界路由设备,其特征在于,所述路由发布消息为边 界网关协议BGP更新报文;所述消息生成模块具体用于将所述待发布路由和所述私网路由标识封装在所述BGP 更新报文的路径属性字段中。
全文摘要
本发明提供一种报文处理方法、出口路由设备及边界路由设备。方法包括根据接收到的报文的目的IP地址和源IP地址,查询路由表,路由表中存储有IP网段和IP网段对应的路由属性;当查询到目的IP地址和源IP地址对应的路由属性分别为私网路由时,将报文丢弃。出口路由设备包括查询模块,用于根据接收到的报文的目的IP地址和源IP地址,查询路由表,路由表中存储有IP网段和IP网段对应的路由属性;丢弃模块,用于在查询模块查询到目的IP地址和源IP地址对应的路由属性分别为私网路由时,将报文丢弃。采用本发明技术方案,而可以解决现有技术因配置ACL导致出口路由设备配置复杂以及浪费FFP资源的问题。
文档编号H04L12/56GK102137024SQ20111010219
公开日2011年7月27日 申请日期2011年4月19日 优先权日2011年4月19日
发明者张明振 申请人:福建星网锐捷网络有限公司