一种转发报文的方法，装置及系统与流程

本申请涉及通信
技术领域：
：，尤其涉及一种转发报文的方法、装置及系统。
背景技术：
：：vpn是运营商通过其公网向用户提供的虚拟专用网络(virtualprivatenetwork，vpn)，即在用户的角度，vpn是用户的一个专有网络。对于运营商来说，公网包括公共的骨干网和公共的运营商边界设备。地理上彼此分离的vpn成员站点通过用户边缘(customeredge，ce)设备连接到对应的运营商边缘(provideredge，pe)设备，通过运营商的公网组成客户的vpn网络。三层vpn(layer3virtualprivatenetwork，l3vpn)应用于有l3需求的私网业务。l3vpn业务采用类似于传统路由的方式进行互联网协议(internetprotocol，ip)分组的转发。在路由器接收到ip数据包后，在转发表中查找ip数据包的目的地址，使用预先建立的通道进行ip数据包的传送。现有的l3vpn技术是一个虚拟网络的实现方案，l3vpn的信令协议是边界网关协议(bordergatewayprotocol，bgp)，pe设备之间是内部边界网关协议(internalbordergatewayprotocol，ibgp)对等体(peer)关系。为了防止路由黑洞，bgp协议规定，pe设备从一个ibgp对等体收到的路由不能再向另一个ibgp对等体发布。因此，pe设备只有自己ibgp对等体的路由，没有一跳之外的pe设备的路由。对于采用l3vpn实现的用户的业务组网来说，如果业务节点之间通过l3vpn隧道通信，则没有建立直连l3vpn隧道的节点之间无法通信。技术实现要素：本申请提供了一种l3vpn中转发报文的方法、装置和系统，能够满足跨越多个l3vpn隧道的节点之间的通信需求。第一方面，本申请提供了一种l3vpn中转发报文的方法。该l3vpn包括第一网络设备、第二网络设备和第三网络设备，所述第一网络设备与所述第二网络设备之间建立第一l3vpn隧道，所述第二网络设备和所述第三网络设备之间建立第二l3vpn隧道。首先，该第一网络设备接收报文，然后根据接收所述报文的入接口以及所述报文的目的地址在与所述入接口绑定的vpn实例中查找与所述报文匹配的第一策略路由。所述第一策略路由用于指示到达所述报文的目的地址的下一跳为所述第二网络设备。查找到与所述报文匹配的所述第一策略路由后，根据所述第一策略路由的指示，该第一网络设备通过所述第一l3vpn隧道将所述报文发送给所述第二网络设备。其中，所述第二网络设备存储有到达所述报文的目的地址的转发表项，所述转发表项用于指示所述第二网络设备向所述第三网络设备转发所述报文，所述第二l3vpn隧道用于所述第二网络设备向所述第三网络设备发送所述报文。结合第一方面，在第一方面的第一种可能的实现方式中，所述第一网络设备为pe设备，所述pe设备接收ce设备发送的所述报文。结合第一方面，在第一方面的第二种可能的实现方式中，所述第一网络设备接收第四网络设备发送的所述报文。所述第四网络设备配置有第二策略路由，所述第二策略路由用于指示到达所述报文的目的地址的下一跳为所述第一网络设备。所述第四网络设备和所述第一网络设备之间建立有第三l3vpn隧道。所述第四网络设备通过所述第三l3vpn隧道向所述第一网络设备发送所述报文。结合第一方面以及上述可能的方式，在第一方面的第三种可能的实现方式中，在所述第一网络设备接收所述报文之前，所述第一网络设备接收控制管理设备发送的配置消息。所述配置消息携带所述第一策略路由。所述第一网络设备，根据所述配置消息获取所述第一策略路由。通过在所述第一网络设备的vpn实例内配置所述第一策略路由，引导报文通过拼接的所述第一l3vpn隧道和第二l3vpn隧道通信，实现了租户对网络的访问控制。租户在vpn内各站点之间能够实现互相通信。vpn内的业务组网能够根据用户的需求进行拓扑，而不必局限于传统的全站点fullmesh或是轮毂-辐条hub-spoke组网，因此，组网方式更加灵活。第二方面，本申请提供了一种l3vpn中转发报文的方法。所述l3vpn包括第一网络设备、第二网络设备和第三网络设备，所述第一网络设备与所述第二网络设备之间建立第一l3vpn隧道，所述第二网络设备和第三网络设备之间建立第二l3vpn隧道。首先，控制管理设备生成配置消息。所述配置消息用于在与所述第一网络设备的第一接口绑定的vpn实例中配置策略路由，所述策略路由用于指示到达所述报文的目的地址的下一跳为所述第二网络设备。然后，该控制管理设备向所述第一网络设备发送该配置消息。其中，所述第一l3vpn隧道用于所述第一网络设备向所述第二网络设备发送所述报文。所述第二网络设备存储有到达所述报文的目的地址的转发表项，所述转发表项用于指示所述第二网络设备向所述第三网络设备转发所述报文。所述第二l3vpn隧道用于所述第二网络设备向所述第三网络设备发送所述报文。通过控制管理设备在第一网络设备的vpn实例内配置策略路由，引导报文通过拼接的所述第一l3vpn隧道和第二l3vpn隧道通信，实现了租户对网络的访问控制。租户还可以根据需求优化网络带宽，设置个性化业务链等，租户在vpn内各站点之间能够实现互相通信，vpn内的业务组网能够根据用户的需求进行拓扑，使得组网更加灵活。第三方面，本申请提供了一种转发报文的装置，该装置应用于l3vpn中，用于执行第一方面以及第一方面任意可能的实现方式中的方法的模块。第四方面，本申请提供了一种通信系统，该通信系统应用于三层虚拟专用网l3vpn中，所述通信系统包括控制管理设备、第一网络设备、第二网络设备和第三网络设备。所述第一网络设备与所述第二网络设备之间建立第一l3vpn隧道。所述第二网络设备和所述第三网络设备之间建立第二l3vpn隧道。其中，所述控制管理设备，用于向所述第一网络设备发送第一配置消息。所述第一配置消息携带第一策略路由，所述第一配置消息用于在与所述第一网络设备的第一接口绑定的第一vpn实例中配置所述第一策略路由。所述第一策略路由用于指示到达所述报文的目的地址的下一跳为所述第二网络设备。所述第一网络设备，用于从所述第一接口接收所述报文，并根据所述报文的目的地址，在所述第一vpn实例中查找与所述报文匹配的所述第一策略路由。所述第一网络设备，还用于根据所述第一策略路由的指示，通过所述第一l3vpn隧道向所述第二网络设备发送所述报文。所述第二网络设备存储有到达所述报文的目的地址的转发表项。所述转发表项用于指示所述第二网络设备向所述第三网络设备转发所述报文。所述第二l3vpn隧道用于所述第二网络设备向所述第三网络设备发送所述报文。可选的，所述控制管理设备可以是控制器或网络管理设备。根据本申请提供的通信系统，通过控制管理设备在所述第一网络设备的vpn实例内配置策略路由，引导报文通过拼接的所述第一l3vpn隧道和第二l3vpn隧道通信，实现了租户对网络的访问控制。租户在vpn内各站点之间能够实现互相通信，vpn内的业务组网能够根据用户的需求进行拓扑，使得组网更加灵活。结合第四方面，在第四方面的第一种可能的实现方式中，所述通信系统还包括第四网络设备，所述第四网络设备和所述第一网络设备之间建立有第三l3vpn隧道。其中，所述控制管理设备，还用于向所述第四网络设备发送第二配置消息。所述第二配置消息携带第二策略路由，所述第二配置消息用于在与所述第四网络设备的第二接口绑定的第二vpn实例中绑定所述第二策略路由。所述第二策略路由用于指示到达所述报文的目的地址的下一跳为所述第一网络设备。所述第四网络设备，用于从所述第二接口接收所述报文，并根据所述报文的目的地址，在所述第二vpn实例中查找与所述报文匹配的所述第二策略路由。所述第四网络设备，还用于根据所述第二策略路由的指示，通过所述第三l3vpn隧道向所述第一网络设备转发所述报文。所述第一网络设备，具体用于接收所述第四网络设备转发的所述报文。第五方面，本申请提供了一种转发报文的装置，该装置应用于l3vpn中，该装置包括：输入接口、输出接口、处理器和存储器。其中，输入接口、输出接口、处理器以及所述存储器之间可以通过总线系统相连。该存储器用于存储程序、指令或代码，所述处理器用于执行所述存储器中的程序、指令或代码，完成第一方面、第一方面的任意可能的实现方式的方法。第六方面，本申请提供了一种控制管理设备，该控制管理设备用于l3vpn中，该控制管理设备包括：输入接口、输出接口、处理器和存储器。其中，输入接口、输出接口、处理器以及所述存储器之间可以通过总线系统相连。该存储器用于存储程序、指令或代码，所述处理器用于执行所述存储器中的程序、指令或代码，完成第二方面的方法。第七方面，本申请实施例提供了一种计算机可读存储介质，用于存储计算机程序，该计算机程序用于执行第一方面、第一方面的任意可能的实现方式以及第二方面的方法的指令。附图说明为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为根据本申请实施例的应用场景示意图；图2(a)为根据本申请实施例的一种用于转发报文的方法的流程示意图；图2(b)为根据本申请实施例的一种用于转发报文的方法的流程示意图；图3为根据本申请实施例的另一种用于转发报文的方法的流程示意图图4为根据本申请实施例的一种用于转发报文的装置的示意图；图5为根据本申请实施例的一种用于转发报文的装置的示意图；图6为根据本申请实施例的一种用于转发报文的装置的硬件结构示意图；图7为根据本申请实施例的一种用于转发报文的装置的硬件结构示意图。具体实施方式本申请实施例描述的应用场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。除非有相反的说明，本申请实施例提及“第一”、“第二”、“第三”、“第四”以及“第五”等序数词用于对多个对象进行区分，不用于限定多个对象的顺序。本申请实施例中所述的“vpn实例(vpninstance)”是pe设备为直接相连的vpn站点建立并维护的一个实体，每个vpn站点在pe设备上都有自己独立的vpn实例，即pe设备中为不同vpn站点分别维护有vpn实例。通常，vpn实例也被称之为vpn路由转发表(vpnroutingandforwardingtable，vrf)，每个vrf对应一个vpn，具有独立的路由表、转发表、相应的接口以及管理信息等。所述管理信息包括但不限于成员接口列表，路由过滤策略。通过在pe设备上部署vrf，不同vpn的路由存放在不同的vrf中，可以达到vpn路由或流量隔离的目的。本申请实施例中所述的“控制管理设备”，用于对网络中转发设备的资源进行控制和/或管理，包括但不限于软件定义网络(software-definednetwork，sdn)控制器，网络管理设备(下文中简称为“网管”)。所述转发设备用于对报文进行转发处理，具体可以为传统路径计算单元(英文：pathcomputationelement，pce)网络中的传统路由器、交换机等路由转发设备，也可以是基于控制转发分离的sdn中的路由器、交换机等路由转发设备，本申请实施例对此不做限定。下面结合图1对本申请实施例的应用场景进行示例性的说明。图1示出了本申请实施例应用的l3vpn网络100，所述网络100包括服务商提供的骨干网和多个vpn站点。所述骨干网包括第一网络设备pe1、第二网络设备pe2、第三网络设备pe3、第四网络设备pe4、第五网络设备pe5以及多个p(provider)设备110。所述多个vpn站点包括site1-site6。其中，site1、site2、site3和site4属于vpn1，site5和site6属于vpn2。pe1为与ce1直连的运营商边缘(provideredge，pe)设备；pe2为分别与ce2和ce5直连的pe设备；pe3为与ce3直连的pe设备；pe4为与ce4直连的pe设备；pe5为与ce6直连的pe设备。site1中ip地址为1.1.1.1的主机a通过ce1与pe1通信。site3中ip地址为1.1.1.2的主机b通过ce3与pe3通信。pe1与pe2是ibgp对等体，pe1和pe2通过l3vpn隧道通信。pe1与pe4是ibgp对等体，pe1和pe4通过l3vpn隧道通信。pe2与pe3是ibgp对等体，pe2和pe3通过l3vpn隧道通信。pe2和pe4是ibgp对等体，pe2和pe4通过l3vpn隧道通信。pe1和pe3之间没有直连的l3vpn隧道，pe4和pe3之间也没有直连的l3vpn隧道。根据bgp协议的规定，pe2收到ibgp对等体pe3发布的路由后，不能将该路由发布给另一个ibgp对等体pe1，同理，也不能将该路由发布给ibgp对等体pe4。因此，pe1和pe4只有到达pe2的路由，但是没有到达pe3的路由。在pe1与pe3之间没有直连的l3vpn隧道的情况下，即使pe2与pe3之间有带宽资源，主机a也无法访问主机b。vpn1内的站点之间无法实现任意的访问控制。本申请中所述的“l3vpn隧道”是指pe设备之间用于承载l3vpn业务的隧道，例如可以是静态的标签交换路径(lableswitchedpath，lsp)隧道,基于通用路由封装协议(genericroutingencapsulation，gre)的隧道，mpls标签分发协议(labledistributionprotocol，ldp)的lsp隧道，以及mpls针对流量工程扩展的资源预留协议(resourcereservationprotocol-trafficengineering，rsvp-te)隧道等，本申请实施例对此不做具体限定。图1中所示的多个p设备110，例如p路由器，为骨干网中的骨干路由器，不与用户的ce设备直接相连。p设备具备基本的mpls转发能力，维护到pe的路由，不需要了解任何vpn的路由信息。ce设备为用户网络边缘设备，有接口直接与pe设备相连。ce设备可以是路由器或交换机，也可以是一台主机。ce设备“感知”不到vpn的存在，也无需支持多协议标签交换(multiprotocollabelswitching，mpls)。pe设备为服务提供商网络的边缘设备，通常是一台路由器。与用户的ce设备直接相连，对vpn的所有处理都发生在pe上。当ce与直接相连的pe建立邻接关系后，ce把本节点的vpn路由发布给pe，并从pe学习到远端vpn的路由。ce与pe之间使用bgp或内部网关协议(interiorgatewayprotocol，igp)交换路由信息，也可以使用静态路由。pe从ce学到ce的vpn路由信息后，通过bgp与其它pe交换vpn路由信息，pe路由器维护与它直接相连的vpn的路由信息以及远端pe发布过来的vpn路由信息，但是不维护服务提供商网络中所有的vpn路由信息。应理解，图1中仅示例性的示出了5个pe设备，2个vpn，5个p设备、6个ce设备以及6个vpn站点，该网络可以包括任意其它数量的pe设备、vpn、p设备、ce设备以及vpn站点，本申请实施例对此不做限定。下面结合图2(a)对本申请实施例提供的一种l3vpn中转发报文的方法200进行详细说明。该方法200可以应用于图1所示的网络100。但本申请实施例不限于此。如图2(a)所示，所述方法200包括：s201、控制管理设备生成第一配置消息。具体地，该l3vpn中包括第一网络设备、第二网络设备和第三网络设备，所述第一网络设备与所述第二网络设备之间建立第一l3vpn隧道，所述第二网络设备和第三网络设备之间建立第二l3vpn隧道。控制管理设备生成第一配置消息，该第一配置消息携带第一策略路由。该第一配置消息用于在与所述第一网络设备的第一接口绑定的第一vpn实例中配置所述第一策略路由。该当第一网络设备从该第一接口接收报文时，根据该第一策略路由的指示转发所述报文。下文中，将第一vpn实例称之为vrf1。所述第一策略路由用于指示所述第一网络设备将从所述第一接口接收到的与所述第一策略路由匹配的报文发送给所述第二网络设备。所述第一网络设备通过所述第一l3vpn隧道将所述报文发送给所述第二网络设备。所述第二网络设备存储有到达所述报文的目的地址的转发表项，所述第二网络设备根据所述转发表项的指示，将所述报文转发给所述第三网络设备。所述第二网络设备通过所述第二l3vpn隧道将所述报文转发给所述第三网络设备。在一个具体的实施方式中，结合图1，该第一网络设备例如可以是图1所示的pe1。在另一个具体的实施方式中，结合图1，该第一网络设备例如可以是图1所示的pe4。在第一网络设备的第一接口，例如接口1，绑定vrf1，网络设备在该vrf1内配置所述第一策略路由。该第一策略路由例如可以是：对于目的地址是1.1.1.2的报文，从第二接口，例如接口2，发送到第二网络设备。该第二网络设备例如可以是图1所示的pe2。可选的，还可以在该第一策略路由中配置第一网络设备与该第二网络设备之间通信时所能够占用的带宽。本领域技术人员可以理解，可以根据用户的实际需求对第一策略路由进行具体配置，本申请对此不作具体限定。在一个具体的实施方式中，所述控制管理设备可以是软件定义网络(software-definednetworking，sdn)控制器。控制器还可以称之为控制设备，控制系统，控制节点等。可选地，该控制器可以具体为智能网络控制器(smartnetworkcontroller，snc)。在另一个具体的实施方式中，所述控制管理设备可以是网管。但本申请实施例不限于此。结合图1，对于租户需要跨越多个l3vpn隧道通信的需求，比如，主机a要访问主机b，需要拼接多个l3vpn隧道来实现其访问需求。通过控制器或网管在第一网络设备上配置第一策略路由，指导第一网络设备将报文转发至第二网络设备。应理解，在本申请实施例中，所述控制器与所述第一网络设备可以通过南向接口协议，例如，开放流openflow协议，bgp协议或路径计算单元交互协议(pathcomputationelementcommunicationprotocol，pcep)，来发送所述配置消息，以配置所述第一策略路由，但本申请不限于此。进一步的，在本申请实施例中，所述网管和所述第一网络设备之间可以基于简单网络管理协议(simplenetworkmanagementprotocol，snmp)或网络配置协议(networkconfigurationprotocol，netconf)来发送所述配置消息，以配置所述第一策略路由，但本申请不限于此。s202、控制管理设备向所述第一网络设备发送所述第一配置消息。s203、第一网络设备接收所述第一配置消息。s204、所述第一网络设备根据所述第一配置消息获取所述第一策略路由。所述第一网络设备根据所述第一配置消息获取所述第一策略路由，将第一策略路由保存到vrf1的策略路由表中，指导报文转发。所述策略路由表的格式例如可以如表1所示。路由前缀协议出接口下一跳192.168.2.0/24directge0/0/3192.168.2.2541.1.1.2/24directge0/0/4192.168.200.1应理解，结合图1，当主机a想要访问主机b时，控制器或网管可以仅在pe1上配置所述第一策略路由，此时，pe1对应于上述的第一网络设备，所述第一策略路由指导所述报文经由pe1转发至pe2。pe2上具有达到主机b的路由，因此，pe2接收到pe1发送的所述报文后，通过在vpn实例中查询预先存储的转发表项，确定将报文转发至pe3，以完成主机a对主机b的访问。可选的，所述控制器或网管也可以在所述pe4上配置所述第一策略路由，在所述pe1上配置第二策略路由，该第二策略路由用于指示到达所述报文的目的地址的下一跳为pe4。此时，pe4对应于上述的第一网络设备。当pe1接收ce1发送的报文时，根据所述第二策略路由，将报文转发至pe4。pe4接收到pe1发送的报文后，根据所述第一策略路由的指示，将报文转发至pe2，最后经由pe2将报文转发至pe3，以完成主机a对主机b的访问。在本申请实施例中，在该第一网络设备与该第二网络设备之间通过第一l3vpn隧道通信，该第二网络设备与该第三网络设备之间通过第二l3vpn隧道通信，而该第一网络设备与该第三网络设备之间没有直连的l3vpn隧道的情况下。通过控制管理设备在第一网络设备的vpn实例内配置策略路由，引导报文通过拼接的所述第一l3vpn隧道和第二l3vpn隧道通信，实现了租户对网络的访问控制。租户还可以根据需求优化网络带宽，设置个性化业务链等，租户在vpn内各站点之间能够实现互相通信，vpn内的业务组网能够根据用户的需求进行拓扑，使得组网更加灵活。可选的，所述l3vpn还可以包括第四网络设备。所述第四网络设备和所述第一网络设备之间建立第三l3vpn隧道。在一个具体的实施方式中，结合图1，所述第一网络设备是pe4，所述第二网络设备是pe2，所述第三网络设备是pe3，所述第四网络设备是pe1。如图2(b)所示，所述方法200还可以包括s205-s208。s205、控制管理设备生成第二配置消息。具体地，控制管理设备生成该第二配置消息，该第一配置消息携带第二策略路由。该第一配置消息用于在与所述第四网络设备的第二接口绑定的第二vpn实例中配置所述第二策略路由。该当第四网络设备从该第二接口接收报文时，根据该第二策略路由的指示转发所述报文。所述第二策略路由用于指示所述第四网络设备将从所述第二接口接收到的与所述第二策略路由匹配的报文发送给所述第一网络设备。所述第四网络设备通过所述第三l3vpn隧道将所述报文发送给所述第一网络设备。s206、控制管理设备向所述第四网络设备发送所述第二配置消息。s207、第四网络设备接收所述第二配置消息。s208、所述第四网络设备根据所述第二配置消息获取所述第二策略路由。关于s205-s208的具体实现方式与s201-s204类似，此处不再赘述。本申请对s205-s208与s201-s204的执行顺序不作具体限定，即s205-s208可以在s201-s204之前执行，也可以在s201-s204之后执行。下面结合图3对本申请实施例提供的一种l3vpn中转发报文的方法300进行详细说明，该l3vpn包括第一网络设备、第二网络设备和第三网络设备，所述第一网络设备与所述第二网络设备之间建立第一l3vpn隧道，所述第二网络设备和所述第三网络设备之间建立第二l3vpn隧道。该方法可以用于图1所示的网络100，但不申请实施例不限于此。如图3所示，所述方法包括：s301-s303。s301、第一网络设备接收报文。在一个具体的实施方式中，所述第一网络设备为pe设备，接收第一ce设备发送的所述报文。所述第一ce设备与所述第一网络设备直连。结合图1，所述第一pe设备具体可以是pe1，所述第一ce设备具体可以是ce1。在另一个具体的实施方式中，所述第一网络设备接收第四网络设备发送的所述报文。所述第四网络设备配置有第二策略路由，所述第二策略路由用于指示到达所述报文的目的地址的下一跳为所述第一网络设备。所述第四网络设备和所述第一网络设备之间建立有第三l3vpn隧道，所述第三l3vpn隧道用于所述第四网络设备向所述第一网络设备发送所述报文。结合图1，所述第四网络设备具体可以是pe1，所述第一网络设备具体可以是pe4。s302、该第一网络设备根据接收所述报文的入接口以及所述报文的目的地址，查找与所述报文匹配的第一策略路由。具体地，所述第一网络设备接收所述报文的入接口，例如接口1，绑定第一vpn实例，简称vrf1，在vrf1内配置有所述第一策略路由。该第一策略路由例如可以是：对于目的地址是1.1.1.2的报文，从第二接口，例如接口2，发送到第二网络设备。所述第一网络设备接收到述报文以后，根据所述报文的目的地址，在所述vrf1中查找与所述报文匹配的第一策略路由。s303、该第一网络设备向第二网络设备转发所述报文。具体地，该第一网络设备根据所述第一策略路由，确定发送所述报文的出接口，并确定下一跳设备为所述第二网络设备。所述第一网络设备通过所述第一l3vpn隧道将所述报文发送给所述第二网络设备。例如，当采用mpls网络传输所述报文时，该第一网络设备为所述报文封装外层mpls标签和内层vpn标签，mpls网络利用报文的外层标签，通过所述第一l3vpn隧道，将所述报文发送至第二网络设备。当第二网络设备接收到所述第一网络设备发送的所述报文时，根据报文的目的ip地址查找转发表项，将所述报文转发到第三网络设备。所述第二网络设备通过所述第二l3vpn隧道将所述报文发送给所述第三网络设备。当所述第三网络设备接收到所述第二网络设备发送的所述报文后，将所述报文发送到与其直连的第二ce设备。所述第二ce设备接收到所述报文后，根据正常的ip报文的转发流程将报文发送到目的地。结合图1，所述第二网络设备具体可以是图1所示的pe2，所述第三网络设备具体可以是图1所示的pe3，所述第二ce设备具体可以是图1所示的ce3。根据本申请实施例提供的上述方法，通过在所述第一网络设备的vrf内配置所述第一策略路由，引导报文通过拼接的所述第一l3vpn隧道和第二l3vpn隧道通信，实现了租户对网络的访问控制。租户在vpn内各站点之间能够实现互相通信。vpn内的业务组网能够根据用户的需求进行拓扑，而不必局限于传统的全网点fullmesh或是轮毂-辐条hub-spoke组网，因此，组网方式更加灵活。图4是根据本申请一实施例的用于在l3vpn中转发报文的控制管理设备的示意图。该l3vpn包括第一网络设备、第二网络设备和第三网络设备，所述第一网络设备与所述第二网络设备之间建立第一l3vpn隧道，所述第二网络设备和第三网络设备之间建立第二l3vpn隧道。该设备可以用于执行图2所示的方法200。如图4所示，该设备包括：处理模块401和发送模块402。该处理模块401，用于生成第一配置消息，所述第一配置消息用于在与所述第一网络设备的第一接口绑定的vpn实例中配置所述第一策略路由，该第一策略路由用于指示到达所述报文的目的地址的下一跳为所述第二网络设备。该发送模块402，用于向所述第一网络设备发送所述第一配置消息。所述第一l3vpn隧道用于所述第一网络设备向所述第二网络设备发送所述报文，所述第二网络设备存储有到达所述报文的目的地址的转发表项，所述转发表项用于指示所述第二网络设备向所述第三网络设备转发所述报文，所述第二l3vpn隧道用于所述第二网络设备向所述第三网络设备发送所述报文。根据本申请实施例提供的上述控制管理设备，通过在所述第一网络设备的vrf内配置所述第一策略路由，引导报文通过拼接的所述第一l3vpn隧道和第二l3vpn隧道通信，实现了租户对网络的访问控制。租户在vpn内各站点之间能够实现互相通信。vpn内的业务组网能够根据用户的需求进行拓扑，而不必局限于传统的fullmesh或是hub-spoke组网，因此，组网方式更加灵活。在本申请实施例中，在该第一网络设备与该第二网络设备之间通过第一l3vpn隧道通信，该第二网络设备与该第三网络设备之间通过第二l3vpn隧道通信，而该第一网络设备与该第三网络设备之间没有直连的l3vpn隧道的情况下。通过控制管理设备在第一网络设备的vpn实例内配置策略路由，引导报文通过拼接的所述第一l3vpn隧道和第二l3vpn隧道通信，实现了租户对网络的访问控制。租户还可以根据需求优化网络带宽，设置个性化业务链等，租户在vpn内各站点之间能够实现互相通信，vpn内的业务组网能够根据用户的需求进行拓扑，使得组网更加灵活。可选的，所述l3vpn还包括第四网络设备，所述第四网络设备与所述第一网络设备之间建立第三l3vpn隧道。该处理模块401，还用于生成第二配置消息，所述第二配置消息用于在与所述第四网络设备的第二接口绑定的第二vpn实例中配置第二策略路由。所述第二策略路由用于指示到达所述报文的目的地址的下一跳为所述第一网络设备。所述第四网络设备通过所述第二接口接收所述报文，根据所述报文的目的地址，在所述第二vpn实例中查找与所述报文匹配的所述第二策略路由。根据所述第二策略路由的指示，所述第四网络设备通过所述第三l3vpn隧道将所述报文发送给所述第一网络设备。图5是根据本申请另一实施例提供的用于转发报文的装置500的示意图。该装置500应用于l3vpn中，所述l3vpn包括第一网络设备、第二网络设备和第三网络设备。所述第一网络设备与所述第二网络设备之间建立第一l3vpn隧道，所述第二网络设备和所述第三网络设备之间建立第二l3vpn隧道。所述装置500位于所述第一网络设备中。该第一网络设备例如可以是图1所示的设备pe1或pe4，该装置500可以用于执行图3所示的方法300。该装置500包括：接收模块501、处理模块502和发送模块503。所述接收模块501用于接收报文。所述处理模块502，用于根据接收所述报文的入接口以及所述报文的目的地址，在与所述入接口绑定的vpn实例内查找与所述报文匹配的第一策略路由。所述第一策略路由用于指示到达所述报文的目的地址的下一跳为所述第二网络设备。所述发送模块503，用于通过所述第一l3vpn隧道，将所述报文发送给所述第二网络设备。在一个具体的实施方式中，所述接收模块501，具体用于接收第一ce设备发送的所述报文。即所述第一网络设备为与所述ce设备直连的第一pe设备。在另一个具体的实施方式中，，所述l3vpn还包括第四网络设备，所述接收模块用于接收所述第四网络设备发送的所述报文，其中，所述第四网络设备配置有第二策略路由，所述第二策略路由用于指示到达所述报文的目的地址的下一跳为所述第一网络设备，所述第四网络设备和所述第一网络设备之间建立有第三l3vpn隧道，所述第三l3vpn隧道用于所述第四网络设备向所述第一网络设备发送所述报文。具体地，在本申请实施例中，所述第一网络设备可以为与所述第一ce设备直连的第一pe设备，第二网络设备可以为与第二ce设备直连的第二pe设备，第三网络设备可以为与第三ce设备直连的第三pe设备，第四网络设备可以为与第四ce设备直连的第四pe设备。该第一至第四ce设备分别位于4个不同的vpn站点内，但属于同一个vpn。图6是根据本申请实施例提供的一种转发报文的装置600的示意图。该装置600应用于l3vpn中。该装置600可以用于执行图2所示的方法200。如图6所示，该装置600包括：输入接口601、输出接口602、处理器603和存储器604。该输入接口601、输出接口602处理器603和存储器604可以通过总线系统605相连。所述存储器604用于存储包括程序、指令或代码。所述处理器603，用于执行所述存储器604中的程序、指令或代码，以控制输入接口601接收信号、控制输出接口602发送信号以完成方法200中的相关操作。图7是根据本申请实施例提供的一种转发报文的装置700的示意图。该装置700应用于l3vpn中。所述l3vpn包括第一网络设备、第二网络设备和第三网络设备。所述第一网络设备与所述第二网络设备之间建立第一l3vpn隧道，所述第二网络设备和所述第三网络设备之间建立第二l3vpn隧道。所述装置700位于所述第一网络设备中。该第一网络设备例如可以是图1所示的pe1或pe4，该装置700可以用于执行图2所示的方法200以及图3所示的方法300。该装置700包括：输入接口701、输出接口702、处理器703和存储器704。该输入接口701、输出接口702处理器703和存储器704可以通过总线系统705相连。所述存储器704用于存储包括程序、指令或代码。所述处理器703，用于执行所述存储器704中的程序、指令或代码，以控制输入接口701接收信号、控制输出接口702发送信号以及完成方法200以及方法300中的相关操作。应理解，在本申请实施例中，上述处理器603和处理器703可以是中央处理单元(centralprocessingunit，简称为“cpu”)，还可以是其他通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现成可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。存储器604和存储器704可以包括只读存储器和随机存取存储器，并分别向各自对应的处理器提供指令和数据。存储器一部分还可以包括非易失性随机存取存储器。例如，存储器还可以存储设备类型的信息。总线系统605和总线系统705除包括数据总线之外，还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见，在图中将各种总线都标为总线系统。在实现过程中，方法200以及300的各步骤可以通过处理器603和处理器703中的硬件的集成逻辑电路或者软件形式的指令完成。结合本申请实施例所公开的定位方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质分别位于上述各存储器中，上述各处理器读取对应的存储器中的信息，结合其硬件完成上述方法200以及300的步骤。为避免重复，这里不再详细描述。需要说明的是，图4-7提供的装置，应用于图1所示的网络100中，实现转发报文的方法。一个具体的实现方式中，图4中的处理模块401可以用图6中的处理器603实现，发送模块402可以由图6中的输出接口602实现。图5中的处理模块502可以用图7中的处理器703实现，发送模块503可以由图7中的输出接口702实现，接收模块501可以由图7中的输入接口701实现。本申请还提供了一种通信系统，包括用于向pe设备配置策略路由的控制管理设备以及pe设备。所述控制管理设备可以是图4、图6对应的实施例所提供的设备。所述pe设备可以是图5、图7对应的实施例所提供的装置。所述通信系统用于执行图2-图3对应的实施例的方法200和方法300。应理解，在本申请的各种实施例中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的模块及方法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。本领域技术人员应该可以意识到，在上述一个或多个示例中，本申请所描述的功能可以用硬件、软件或它们的任意组合来实现。所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。本说明书的各个部分均采用递进的方式进行描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点介绍的都是与其他实施例不同之处。尤其，对于装置和系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例部分的说明即可。最后，需要说明的是：以上所述仅为本申请技术方案的较佳实施例而已，并非用于限定本申请的保护范围。显然，本领域技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。当前第1页12当前第1页12