本申请涉及一种生成表项的方法及装置,所述方法包括:第一网络设备生成边界网关协议BGP UPDATE消息,用于发布BGP flow‑spec路由,所述BGP UPDATE消息包括flow‑spec优先级,所述第一网络设备向转发设备发送所述BGP UPDATE消息,以触发所述转发设备根据所述BGP UPDATE消息生成BGP flow‑spec表项,所述BGP flow‑spec表项包括所述flow‑spec优先级,所述flow‑spec优先级用于标识所述BGP flow‑spec表项在被用于指导报文转发时的优先级。根据上述技术方案,能够有效控制报文转发行为,实现流量灵活调控。
【技术实现步骤摘要】
一种生成表项的方法和设备
本申请涉及通信
,尤其涉及一种生成表项的方法及设备。
技术介绍
RFC5575中定义了一种边界网关协议(英文:BorderGatewayProtocol,BGP)流规则(英文:FlowSpecification,flow-spec)路由,这种BGPflow-spec路由包含了一类新的BGP网络层可达信息类型和扩展团体属性。通过这种新的网络层可达信息和扩展团体属性,BGPflow-spec路由可以携带流量的过滤条件和流量过滤后执行的动作。创建BGPflow-spec路由的设备和转发设备之间通过创建BGP对等体关系,来传递BGPflow-spec路由。当BGP对等体收到BGPflow-spec路由后将优选的路由转换为转发层面的流量控制策略,从而实现对流量的调控。现有技术中,用户希望对经过转发设备的流量进行控制时,例如,通过BGPflow-spec路由,调整特定需求的流量进行路由转发。根据目前BGPflow-spec的规定,BGPflow-spec表项的优先级顺序,依赖于RFC5575中定义的优先级排序规则,其中,根据规则,类型号越小的表项优先级越高。如表1所示。例如,用户希望由源地址A向目的地址D发送的报文,执行动作1,而其它源地址向目的地址D发送的报文,执行动作2。根据目前协议规定,以源地址为过滤条件类型的BGPflow-spec表项的类型号比以目的地址为过滤条件类型的BGPflow-spec表项的类型号大,则类型号大的BGPflow-spec表项无法优于类型号小的BGPflow-spec表项而生效。因此,由源地址A向目的地址D发送的报文,会被错误的执行动作2。因此,无法有效地根据需要对报文转发行为进行灵活的控制。TypeIDTypename1DestinationPrefix2SourcePrefix3IPProtocol4Port5Destinationport6Sourceport……表1
技术实现思路
有鉴于此,本申请提供了一种生成表项的方法及设备,在BGPflow-spec表项中增加flow-spec优先级,通过所述flow-spec优先级来标识所述BGPflow-spec表项在被用于指导报文转发时的优先级。从而能够有效控制报文转发行为,实现流量的灵活调控。第一方面,本申请提供了一种生成表项的方法,所述方法包括:第一网络设备生成边界网关协议BGP更新UPDATE消息,所述BGPUPDATE消息用于发布BGPflow-spec路由,所述BGPUPDATE消息包含有flow-spec优先级;并向转发设备发送所述BGPUPDATE更新消息,以触发所述转发设备根据所述BGPUPDATE消息生成BGPflow-spec表项,所述BGPflow-spec表项包括所述flow-spec优先级,所述flow-spec优先级用于标识所述BGPflow-spec表项在被用于指导报文转发时的优先级。在BGPflow-spec表项中增加flow-spec优先级,通过指定所述flow-spec优先级,来标识所述BGPflow-spec表项在被用于指导报文转发时的优先级。从而能够有效控制报文转发行为,实现流量的灵活调控。将本申请所述的方法,用于网络流量攻击防御,例如,分布式拒绝服务(英文:DistributedDenialofService,DDoS)攻击防御,能有有效减缓攻击流量对网络造成的影响。第二方面,本申请提供了一种生成表项的方法,该方法包括:转发设备接收第一网络设备发送的BGPUPDATE消息,所述BGPUPDATE消息用于发布BGPflow-spec路由,所述BGPUPDATE消息包含有flow-spec优先级;所述转发设备根据所述BGPUPDATE消息生成BGPflow-spec表项,并将所述BGPflow-spec表项存储在BGPflow-spec表中,所述BGPflow-spec表项包括所述flow-spec优先级,所述flow-spec优先级用于标识所述BGPflow-spec表项在被用于指导报文转发时的优先级。在BGPflow-spec表项中增加flow-spec优先级,通过指定所述flow-spec优先级,来标识所述BGPflow-spec表项在被用于指导报文转发时的优先级。从而能够有效控制报文转发行为,实现流量的灵活调控。将本申请所述的方法,用于网络流量攻击防御,例如,DDoS攻击防御,能有有效减缓攻击流量对网络造成的影响。在第二方面第一种可能的实施方式中,当所述BGPflow-spec表中存在多条BGPflow-spec表项时,并且每条BGPflow-spec表项分别包含flow-spec优先级,所述第二方面的方法还包括:当所述转发设备进行报文转发时,根据所述报文的关键字优先匹配所述BGPflow-spec表中flow-spec优先级高的BGPflow-spec表项,并根据匹配到的BGPflow-spec表项中的动作项信息指示的处理方式对所述报文进行处理。例如,可以根据所述动作项信息的指示,对所述报文进行丢弃处理。第三方面,本申请提供了一种第一网络设备,用于执行第一方面的方法。具体的,该第一网络设备包括用于执行第一方面的方法的功能单元。第四方面,本申请提供了一种转发设备,用于执行第二方面或第二方面的第一种可能的实施方式中的方法。具体的,该转发设备包括用于执行第二方面或第二方面的第一种可能的实施方式中的方法的功能单元。第五方面,本申请提供了一种第一网络设备,该第一网络设备包括网络接口,处理器,存储器,所述处理器以及存储器之间通过总线相连,所述处理器用于执行所述存储器中的代码,当所述代码被执行时,该执行使得处理器执行第一方面的方法。第六方面,本申请提供了一种转发设备,该转发设备包括网络接口,处理器,存储器,所述处理器以及存储器之间通过总线相连,所述处理器用于执行所述存储器中的代码,当所述代码被执行时,该执行使得处理器执行第二方面或第二方面的第一种可能的实施方式中的方法。第七方面,本申请提供了一种计算机可读存储介质,用于存储计算机程序,该计算机程序包括用于执行第一方面、第二方面或第二方面第一种可能的实施方式的方法的指令。第八方面,本申请提供了一种通信系统,包括第三方面或第五方面所述的第一网络设备,和第四方面或第六方面所述的转发设备,用于执行第一方面、第二方面或第二方面第一种可能的实施方式的方法。在上述第一至第八方面中,所述第一网络设备为控制转发分离网络架构下的控制器Controller;或所述第一网络设备为与所述转发设备构成BGP对等体的转发设备;或所述第一网络设备为流量分析服务器。由此可见,本申请的技术方案能够满足不同应用场景下,对报文的转发行文进行灵活调控。在上述第一至第八方面中,所述flow-spec优先级被承载于所述BGPUPDATE消息的扩展团体属性字段中。本申请所述的技术方案,在BGPflow-spec表项中增加flow-spec优先级,通过指定所述flow-spec优先级,来标识所述BGPflow-spec表项在被用于指导报文转发时的优先级。从而能够有效控制报文转发行为,实现流量的灵活调控。将本申请所述的方法,用于网络流量攻击防御,例如,DDo本文档来自技高网...
【技术保护点】
一种生成表项的方法,其特征在于,所述方法包括:第一网络设备生成边界网关协议BGP更新UPDATE消息,所述BGP UPDATE消息用于发布BGP流规则flow‑spec路由,所述BGP UPDATE消息包含有flow‑spec优先级;所述第一网络设备向转发设备发送所述BGP UPDATE消息,以触发所述转发设备根据所述BGP UPDATE消息生成BGP flow‑spec表项,所述BGP flow‑spec表项包括所述flow‑spec优先级,所述flow‑spec优先级用于标识所述BGP flow‑spec表项在被用于指导报文转发时的优先级。
【技术特征摘要】
1.一种生成表项的方法,其特征在于,所述方法包括:第一网络设备生成边界网关协议BGP更新UPDATE消息,所述BGPUPDATE消息用于发布BGP流规则flow-spec路由,所述BGPUPDATE消息包含有flow-spec优先级;所述第一网络设备向转发设备发送所述BGPUPDATE消息,以触发所述转发设备根据所述BGPUPDATE消息生成BGPflow-spec表项,所述BGPflow-spec表项包括所述flow-spec优先级,所述flow-spec优先级用于标识所述BGPflow-spec表项在被用于指导报文转发时的优先级。2.根据权利要求1所述的方法,其特征在于,所述第一网络设备为控制转发分离网络架构下的控制器Controller;或所述第一网络设备为与所述转发设备构成BGP对等体的转发设备;或所述第一网络设备为流量分析服务器。3.根据权利要求1或2所述的方法,其特征在于,所述flow-spec优先级被承载于所述BGPUPDATE消息的扩展团体属性字段中。4.一种生成表项的方法,其特征在于,所述方法包括:转发设备接收第一网络设备发送的边界网关协议BGP更新UPDATE消息,所述BGPUPDATE消息用于发布BGP流规则flow-spec路由,所述BGPUPDATE消息包含有flow-spec优先级;所述转发设备根据所述BGPUPDATE消息生成BGPflow-spec表项,并将所述BGPflow-spec表项存储在BGPflow-spec表中,所述BGPflow-spec表项包括所述flow-spec优先级,所述flow-spec优先级用于标识所述BGPflow-spec表项在被用于指导报文转发时的优先级。5.根据权利要求4的方法,其特征在于,当所述BGPflow-spec表中存在多条BGPflow-spec表项时,并且每条BGPflow-spec表项分别包含flow-spec优先级,所述方法还包括:当所述转发设备进行报文转发时,根据所述报文的关键字优先匹配所述BGPflow-spec表中flow-spec优先级高的BGPflow-spec表项,并根据匹配到的BGPflow-spec表项中的动作项信息指示的处理方式对所述报文进行处理。6.根据权利要求4或5所述的方法,其特征在于,所述第一网络设备为控制转发分离网络架构下的控制器Controller;或所述第一网络设备为与所述转发设备构成BGP对等体的转发设备;或所述第一网络设备为流量分析服务器。7.一种网络设备,其特征在于,包括:处理单元,用于生成边界网关协议BGP更新UPDATE消息,所述BGPUPDATE消息用于发布BGP流规则flow-s...
【专利技术属性】
技术研发人员:王芳,许健彬,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。