CN106059932B - 一种路由表项生成方法及装置 - Google Patents
一种路由表项生成方法及装置 Download PDFInfo
- Publication number
- CN106059932B CN106059932B CN201610643938.4A CN201610643938A CN106059932B CN 106059932 B CN106059932 B CN 106059932B CN 201610643938 A CN201610643938 A CN 201610643938A CN 106059932 B CN106059932 B CN 106059932B
- Authority
- CN
- China
- Prior art keywords
- routing table
- table entry
- port
- routing
- rri
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种路由表项生成方法及装置,应用于网关设备,方法包括:接收对端的网关设备发送的IPsec协商报文,获取接收该报文的入端口的端口信息、对端的私网侧地址和下一跳地址;从本地路由表中查找与端口信息匹配的缺省路由表项;根据查找到的缺省路由表项中的出端口、私网侧地址和下一跳地址进行路由迭代,生成RRI表项。由此可见,网关设备基于接收IPsec协商报文的入端口的端口信息查找对应的缺省路由表项,仅根据查找到的缺省路由表项生成RRI表项,根据生成的RRI表项进行流量转发时,只能将流量发送至与该端口信息对应的分支,避免了存在多个分支时,路由迭代错误所导致的流量转发多个分支的问题。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种路由表项生成方法及装置。
背景技术
IPsec(IP Security,IP安全)是IETF制定的三层隧道加密协议,它为互联网上传输的数据提供了高质量的、基于密码学的安全保证,是一种传统的实现三层VPN(VirtualPrivate Network,虚拟专用网络)的安全技术。IPsec通过在特定通信方之间(例如两个安全网关之间)建立“通道”,来保护通信方之间传输的用户数据,该通道通常称为IPsec隧道(Ipsec tunnel)。
RRI(Reverse Route Injection,反向路由注入)是一种自动添加到达IPsec VPN(Virtual Private Network,虚拟专用网)私网静态路由的机制,可以实现为受IPsec保护的流量自动添加静态路由的功能。如图1所示的IPsec VPN组网中,企业总部通过不同的运营商网络连接分支的网关设备,在分支的网关设备下部署有私网。企业总部网关设备上会配置RRI功能,在每一个IPsec隧道建立之后,总部网关都会自动为其添加一条相应的静态路由表项。通过RRI创建的路由表项可以在路由表中查询到,其目的地址为受保护的对端私网,下一跳地址为IPsec隧道的对端网关设备的地址,它使得发往对端的流量被强制通过IPsec保护并转发。
由于IPsec RRI创建的路由表项的目的地址为受保护的对端私网,下一跳地址为IPsec隧道的对端地址,这些路由需要通过迭代才能生效。总部网关设备会存在多个分支,并且总部网关设备可能通过多条路径到达某个分支。相对应的,总部网关设备中会存在多条缺省路由表项。IPsec RRI创建的路由表项是根据设备中存在的全部缺省路由表项生成的。如果后续流量转发有端口的限制,比如某流量只能发送至分支X,但是IPsec RRI创建的路由表项中包含发送至分支X和分支Y的表项,也就是说,IPsec RRI创建的路由表项中包含错误的表项,根据IPsec RRI创建的路由表项对该流量进行转发时,会出现流量转发错误的问题。
发明内容
本发明实施例的目的在于提供一种路由表项生成方法及装置,避免生成错误的路由表项导致流量转发错误。
为达到上述目的,本发明实施例公开了一种路由表项生成方法,应用于网关设备,包括:
接收对端的网关设备发送的IPsec协商报文,获取接收所述IPsec协商报文的入端口的端口信息、对端的私网侧地址和下一跳地址;
从本地路由表中查找与所述端口信息匹配的缺省路由表项;
根据所述缺省路由表项中的出端口、所述私网侧地址和下一跳地址进行路由迭代,生成反向路由注入RRI表项。
可选的,所述从本地路由表中查找与所述端口信息匹配的缺省路由表项,可以包括:
根据所述IPsec协商报文的路由前缀信息进行合法性检查;
当所述路由前缀信息合法时,从本地路由表中查找与所述端口信息匹配的缺省路由表项。
可选的,所述方法还可以包括:
当在所述本地路由表中未查找到与所述端口信息匹配的缺省路由表项时,提示RRI表项生成失败。
可选的,所述端口信息可以为所述入端口上预先配置的虚拟路由转发标记。
可选的,在接收所述IPsec协商报文的入端口上未配置对应的虚拟路由转发标记的情况下,所述方法还可以包括:
根据所述私网侧地址、下一跳地址和本地路由表中缺省路由表项的出端口进行路由迭代,生成RRI表项。
为达到上述目的,本发明实施例还公开了一种路由表项生成装置,应用于网关设备,包括:
获取模块,用于接收对端的网关设备发送的IPsec协商报文,获取接收所述IPsec协商报文的入端口的端口信息、对端的私网侧地址和下一跳地址;
查找模块,用于从本地路由表中查找与所述端口信息匹配的缺省路由表项;
生成模块,用于根据所述缺省路由表项中的出端口、所述私网侧地址和下一跳地址进行路由迭代,生成RRI表项。
可选的,所述查找模块,具体可以用于:
根据所述IPsec协商报文的路由前缀信息进行合法性检查;
当所述路由前缀信息合法时,从本地路由表中查找与所述端口信息匹配的缺省路由表项。
可选的,所述装置还可以包括:
提示模块,用于当在所述本地路由表中未查找到与所述端口信息匹配的缺省路由表项时,提示RRI表项生成失败。
可选的,所述端口信息可以为所述入端口上预先配置的虚拟路由转发标记。
可选的,所述生成模块,还可以用于:
在接收所述IPsec协商报文的入端口上未配置对应的虚拟路由转发标记的情况下,根据所述私网侧地址、下一跳地址和本地路由表中缺省路由表项的出端口进行路由迭代,生成RRI表项。
应用本发明实施例,网关设备在进行IPsec协商时,基于接收IPsec协商报文的入端口的端口信息查找对应的缺省路由表项,仅根据查找到的缺省路由表项生成RRI表项,生成的RRI表项仅指向与该端口信息对应的分支。也就是说,根据生成的RRI表项进行流量转发时,只能将流量发送至与该端口信息对应的分支,从而避免了存在多个分支时,路由迭代错误所导致的流量转发多个分支的问题,提升流量转发效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为背景技术的组网结构示意图;
图2为本发明实施例所涉及的组网结构示意图;
图3为本发明实施例提供的一种路由表项生成方法的流程示意图;
图4为本发明实施例提供的一种路由表项生成装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了解决上述技术问题,本发明实施例提供了一种路由表项生成方法及装置,应用于网关设备。该网关设备可以为交换机、路由器等等,在此不做限制。下面首先对本发明实施例提供的路由表项生成方法进行详细说明。
下面以图2所示的组网对本发明所示实施例进行描述,在企业的总部设置有网关设备A,网关设备A经过运营商1网络连接到分支X的网关设备B和分支Y的网关设备C,经过运营商2网络连接分支Z的网关设备D。在网关设备B下部署有私网X,在网关设备C下部署有私网Y,在网关设备D下部署有私网Z。其中,网关设备B对应网关设备A的端口1,网关设备C对应网关设备A的端口2,网关设备D对应网关设备A的端口3。该组网仅为实例性说明,并不多本发明构成限制。
图3为本发明实施例提供的一种路由表项生成方法的流程示意图,包括:
S101:接收对端的网关设备发送的IPsec协商报文,获取接收所述IPsec协商报文的入端口的端口信息、对端的私网侧地址和下一跳地址。
两台网关设备(例如,位于总部的网关设备A和位于分支Z的网关设备D)之间通过发送IPsec协商报文建立IPsec隧道,也可以理解为,两台网关设备之间通过发送IPsec协商报文生成对应的路由表项(反向路由注入RRI表项),根据生成的路由表项,进行后续流量转发。
假设,网关设备A执行本方法,需要与分支Z的网关设备D进行IPsec协商建立IPsec隧道。
IPsec协商报文为网关设备和网关设备进行IPsec协商时交互的报文,由于IPsec协商的过程属于现有技术,在此不再展开描述。在IPsec协商的过程中,网关设备A会接收到网关设备D发送的IPsec协商报文,根据该IPsec协商报文解析出对端的网关设备D的地址,作为下一跳地址。并且,可以获取到对端的网关设备D所连接的私网(即私网Z)所在的地址,作为私网侧地址,私网侧地址为通过下一跳地址可以到达的地址。
在进行IPsec协商的过程中,还要获取接收所述IPsec协商报文的入端口的端口信息。该端口信息可以为该入端口的标识信息,比如PORT3;该端口信息还可以为该入端口上预先配置的虚拟路由转发标记,比如v-vrf-port2。
本实施例中以入端口的端口信息为入端口的标识信息为例进行描述。
假设该入端口的标识信息为PORT3,网关设备D的地址为4.4.4.4,私网Z的地址为3.3.3.0/24。那么,网关设备A在IPsec协商过程中获取到的路由信息格式可以如下所示:
| 目的地址 | 下一跳地址 | 入端口 |
| 3.3.3.0/24 | 4.4.4.4 | PORT3 |
S102:从本地路由表中查找与所述端口信息匹配的缺省路由表项。
假设本地路由表如表1所示,本地路由表由路由表项组成,路由表项包括目的地址、下一跳地址和出端口。表1中的前三条表项可以为预先配置的缺省路由表项,分别指向三个不同的分支;后三条表项可以理解为直连路由。为了简化说明,表1仅为本地路由表中的部分内容,并不对本地路由表构成限定:
表1
| 目的地址 | 下一跳地址 | 出端口 |
| 0.0.0.0/0 | 1.1.1.1 | PORT1 |
| 0.0.0.0/0 | 2.1.1.1 | PORT2 |
| 0.0.0.0/0 | 3.1.1.1 | PORT3 |
| 1.1.1.0/24 | 1.1.1.1 | PORT1 |
| 2.1.1.0/24 | 2.1.1.1 | PORT2 |
| 3.1.1.0/24 | 3.1.1.1 | PORT3 |
由于在S101中获取到的入端口的标识信息PORT3,在本地路由表中查找PORT3,查找到第三条缺省路由表项为匹配的缺省路由表项。
作为一种实施方式,从本地路由表中查找与所述端口信息匹配的缺省路由表项,可以包括:
根据所述IPsec协商报文的路由前缀信息进行合法性检查;
当所述路由前缀信息合法时,从本地路由表中查找与所述端口信息匹配的缺省路由表项。
在网关设备A接收到IPsec协商报文时,可以根据IPsec协商报文的路由前缀信息进行合法性检查,其中,路由前缀信息表示为IPsec协商报文中携带的私网侧地址。例如当接收到的IPsec协商报文的路由前缀信息对应到自环回路由地址、组播地址或广播地址时,则认为该IPsec协商报文不合法,而如果IPsec协商报文中的路由前缀信息对应到单播地址时,则认为该IPsec协商报文合法。
在确定该IPsec协商报文合法时,才根据该IPsec协商报文进行路由迭代。
S103:根据所述缺省路由表项中的出端口、所述私网侧地址和下一跳地址进行路由迭代,生成RRI表项。
通过IPsec协商过程中获取的路由信息以及查找本地路由表获取到的缺省路由表项,生成的该网关设备D对应的RRI表项。生成的RRI表项,如下所示:
| 目的地址 | 下一跳地址 | 出端口 |
| 3.3.3.0/24 | 4.4.4.4 | PORT3 |
将生成的RRI表项添加到表1所示的本地路由表中,最终的本地路由表如表2所示:
表2
| 目的地址 | 下一跳地址 | 出端口 |
| 0.0.0.0/0 | 1.1.1.1 | PORT1 |
| 0.0.0.0/0 | 2.1.1.1 | PORT2 |
| 0.0.0.0/0 | 3.1.1.1 | PORT3 |
| 1.1.1.0/24 | 1.1.1.1 | PORT1 |
| 2.1.1.0/24 | 2.1.1.1 | PORT2 |
| 3.1.1.0/24 | 3.1.1.1 | PORT3 |
| 3.3.3.0/24 | 4.4.4.4 | PORT3 |
应用本发明提供的方案,当网关设备A接收到网关设备D发送的IPsec协商报文时,网关设备A获取该IPsec协商报文的入端口的端口信息,并从本地路由表中查找与该端口信息匹配的缺省路由表项,因此,仅根据查找到的缺省路由表项生成反向路由注入RRI表项,该表项指向分支Z,不会导致后续流量转发错误。
后续流量转发的过程,即为根据生成的路由表项进行流量转发。流量转发的过程与现有技术相同,在此不做赘述。
作为本发明的一种实施方式,当在所述本地路由表中未查找到与所述端口信息匹配的缺省路由表项时,提示RRI表项生成失败。
如果根据端口信息未查找到对应的缺省路由表项时,则可以理解为在网关设备A处未配置相关的缺省路由表项,那么则无法生成对应的RRI表项。此时,则需要提醒工作人员,无法实现对应的RRI功能。
在入端口的端口信息为虚拟路由转发标记时,如接收到IPsec协商报文的入端口上可能未配置对应的虚拟路由转发标记,则无法基于该虚拟路由转发标记进行本地路由表的查找以及后续的迭代。那么,在接收所述IPsec协商报文的入端口上未配置对应的虚拟路由转发标记的情况下,所述方法还可以包括:
根据所述私网侧地址、下一跳地址和本地路由表中缺省路由表项的出端口进行路由迭代,生成RRI表项。
此时,在确定入端口未配置虚拟路由转发标记的情况下,根据原有的方式进行路由迭代生成RRI表项。
下面以一个具体的例子对本发明所涉及的一种路由表项生成方法进行描述,其中,组网方式如图2所示,其中,以总部的网关设备A需要和分支Y的网关设备C建立IPsec隧道的场景进行描述。分支X和分支Y都处于运营商1网络下,在端口1上配置有虚拟路由转发标记v-vrf-port1,在端口2上也同样配置虚拟路由转发标记v-vrf-port1;分支Z处于运营商2网络下,在端口3上配置有虚拟路由转发标记v-vrf-port2。
S1、总部的网关设备A和分支Y的网关设备C进行IPsec协商,网关设备A从端口2接收到网关设备C发送的IPsec协商报文。
S2、网关设备A根据IPsec协商报文的路由前缀信息,对该IPsec协商报文的合法性进行检查,如果合法则转步骤S3,如果不合法则丢弃该IPsec协商报文。
S3、网关设备A根据入端口(即端口2)上获取配置的虚拟路由转发标记v-vrf-port1,并根据对IPsec协商报文进行解析,获取路由信息的目的地址为2.2.2.0/24(即对端私网Y的私网侧地址),下一跳地址为5.5.5.5(即网关设备C的地址),出端口为PORT2。
获取到的路由信息如下:
| 目的地址 | 下一跳地址 | 入端口 | 虚拟路由转发标记 |
| 2.2.2.0/24 | 5.5.5.5 | PORT2 | v-vrf-port1 |
S4、网关设备A根据虚拟路由转发标记在本地路由表中查找对应的缺省路由表项。
网关设备A中存储的本地路由表如表3所示:
表3
| 目的地址 | 下一跳地址 | 出端口 | 虚拟路由转发标记 |
| 0.0.0.0/0 | 1.1.1.1 | PORT1 | v-vrf-port1 |
| 0.0.0.0/0 | 2.1.1.1 | PORT2 | v-vrf-port1 |
| 0.0.0.0/0 | 3.1.1.1 | PORT3 | v-vrf-port2 |
| 1.1.1.0/24 | 1.1.1.1 | PORT1 | v-vrf-port1 |
| 2.1.1.0/24 | 2.1.1.1 | PORT2 | v-vrf-port1 |
| 3.1.1.0/24 | 3.1.1.1 | PORT3 | v-vrf-port2 |
由于需要进行路由迭代,所以会查找目的地址为0.0.0.0/0的三条路由表项,这三条表项为本地路由表中的缺省路由表项。之后,根据在入端口处获取的虚拟路由转发标记v-vrf-port1匹配到其中的前两条缺省路由表项。
S5、网关设备A基于查找到的缺省路由表项进行路由迭代,生成RRI表项。
根据路由信息和本地路由表中匹配到的缺省路由表项,生成RRI表项。具体的,生成的RRI表项可以如下所示:
| 目的地址 | 下一跳地址 | 出端口 | 虚拟路由转发标记 |
| 2.2.2.0/24 | 5.5.5.5 | PORT1 | v-vrf-port1 |
| 2.2.2.0/24 | 5.5.5.5 | PORT2 | v-vrf-port1 |
将该RRI表项插入到本地路由表中,最终,本地路由表如表4所示:
表4
| 目的地址 | 下一跳地址 | 出端口 | 虚拟路由转发标记 |
| 0.0.0.0/0 | 1.1.1.1 | PORT1 | v-vrf-port1 |
| 0.0.0.0/0 | 2.1.1.1 | PORT2 | v-vrf-port1 |
| 0.0.0.0/0 | 3.1.1.1 | PORT3 | v-vrf-port2 |
| 1.1.1.0/24 | 1.1.1.1 | PORT1 | v-vrf-port1 |
| 2.1.1.0/24 | 2.1.1.1 | PORT2 | v-vrf-port1 |
| 3.1.1.0/24 | 3.1.1.1 | PORT3 | v-vrf-port2 |
| 2.2.2.0/24 | 5.5.5.5 | PORT1 | v-vrf-port1 |
| 2.2.2.0/24 | 5.5.5.5 | PORT2 | v-vrf-port1 |
S6、网关设备A根据生成的RRI表项,对需要进行IPsec封装的流量进行转发。
应用上述方案,网关设备在进行IPsec协商时,基于接收IPsec协商报文的入端口的端口信息查找对应的缺省路由表项,仅根据查找到的缺省路由表项生成RRI表项,生成的RRI表项仅指向与该端口信息对应的分支。也就是说,根据生成的RRI表项进行流量转发时,只能将流量发送至与该端口信息对应的分支,从而避免了存在多个分支时,路由迭代错误所导致的流量转发多个分支的问题,提升流量转发效率。
进一步地,与入端口的端口信息为入端口的标识信息不同的是,如果根据入端口的标识信息进行迭代,在本地路由表里只匹配到PORT2对应的缺省路由表项。这样一来,同样是采用运营商1网络的端口1则不会对流量进行转发,从而使到达分支Y一侧的流量都从端口2发出,端口2的压力较大。然而,采用虚拟路由转发标记进行迭代时,可以分别迭代到出端口为端口1和端口2这两条缺省路由表项上,生成两条对应的RRI表项,从而使发往网关设备C的流量可以通过端口1和端口2进行负载分担,降低一个端口上的流量转发压力。
与上述的方法实施例相对应,本发明实施例还提供一种路由表项生成装置。
图4为本发明实施例提供的一种路由表项生成装置的结构示意图,包括:
获取模块201,用于接收对端的网关设备发送的IPsec协商报文,获取接收所述IPsec协商报文的入端口的端口信息、对端的私网侧地址和下一跳地址;
查找模块202,用于从本地路由表中查找与所述端口信息匹配的缺省路由表项;
生成模块203,用于根据所述缺省路由表项中的出端口、所述私网侧地址和下一跳地址进行路由迭代,生成RRI表项。
在本实施例中,查找模块202,具体可以用于:
根据所述IPsec协商报文的路由前缀信息进行合法性检查;
当所述路由前缀信息合法时,从本地路由表中查找与所述端口信息匹配的缺省路由表项。
在本实施例中,所述装置还可以包括:
提示模块(图中未示出),用于当在所述本地路由表中未查找到与所述端口信息匹配的缺省路由表项时,提示RRI表项生成失败。
在本实施例中,所述端口信息为所述端口上预先配置的虚拟路由转发标记。
在本实施例中,生成模块203,还可以用于:
在接收所述IPsec协商报文的入端口上未配置对应的虚拟路由转发标记的情况下,根据所述私网侧地址、下一跳地址和本地路由表中缺省路由表项的出端口进行路由迭代,生成RRI表项。
应用本发明图3所示实施例,网关设备在进行IPsec协商时,基于接收IPsec协商报文的入端口的端口信息查找对应的缺省路由表项,仅根据查找到的缺省路由表项生成RRI表项,生成的RRI表项仅指向与该端口信息对应的分支。也就是说,根据生成的RRI表项进行流量转发时,只能将流量发送至与该端口信息对应的分支,从而避免了存在多个分支时,路由迭代错误所导致的流量转发多个分支的问题,提升流量转发效率。并且不需要增加网关设备,也不需要将网关设备虚拟成多台设备,不增加设备成本及对设备维护的复杂性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种路由表项生成方法,应用于网关设备,其特征在于,包括:
接收对端的网关设备发送的IPsec协商报文,获取接收所述IPsec协商报文的入端口的端口信息、对端的私网侧地址和下一跳地址;
从本地路由表中查找与所述端口信息匹配的缺省路由表项;
根据所述缺省路由表项中的出端口、所述私网侧地址和下一跳地址进行路由迭代,生成反向路由注入RRI表项。
2.根据权利要求1所述的方法,其特征在于,所述从本地路由表中查找与所述端口信息匹配的缺省路由表项,包括:
根据所述IPsec协商报文的路由前缀信息进行合法性检查;
当所述路由前缀信息合法时,从本地路由表中查找与所述端口信息匹配的缺省路由表项。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当在所述本地路由表中未查找到与所述端口信息匹配的缺省路由表项时,提示RRI表项生成失败。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述端口信息为所述入端口上预先配置的虚拟路由转发标记。
5.根据权利要求4所述的方法,其特征在于,在接收所述IPsec协商报文的入端口上未配置对应的虚拟路由转发标记的情况下,所述方法还包括:
根据所述私网侧地址、下一跳地址和本地路由表中缺省路由表项的出端口进行路由迭代,生成RRI表项。
6.一种路由表项生成装置,应用于网关设备,其特征在于,包括:
获取模块,用于接收对端的网关设备发送的IPsec协商报文,获取接收所述IPsec协商报文的入端口的端口信息、对端的私网侧地址和下一跳地址;
查找模块,用于从本地路由表中查找与所述端口信息匹配的缺省路由表项;
生成模块,用于根据所述缺省路由表项中的出端口、所述私网侧地址和下一跳地址进行路由迭代,生成RRI表项。
7.根据权利要求6所述的装置,其特征在于,所述查找模块,具体用于:
根据所述IPsec协商报文的路由前缀信息进行合法性检查;
当所述路由前缀信息合法时,从本地路由表中查找与所述端口信息匹配的缺省路由表项。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
提示模块,用于当在所述本地路由表中未查找到与所述端口信息匹配的缺省路由表项时,提示RRI表项生成失败。
9.根据权利要求6-8任一项所述的装置,其特征在于,所述端口信息为所述入端口上预先配置的虚拟路由转发标记。
10.根据权利要求9所述的装置,其特征在于,所述生成模块,还用于:
在接收所述IPsec协商报文的入端口上未配置对应的虚拟路由转发标记的情况下,根据所述私网侧地址、下一跳地址和本地路由表中缺省路由表项的出端口进行路由迭代,生成RRI表项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610643938.4A CN106059932B (zh) | 2016-08-08 | 2016-08-08 | 一种路由表项生成方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610643938.4A CN106059932B (zh) | 2016-08-08 | 2016-08-08 | 一种路由表项生成方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106059932A CN106059932A (zh) | 2016-10-26 |
| CN106059932B true CN106059932B (zh) | 2020-12-11 |
Family
ID=57480284
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610643938.4A Active CN106059932B (zh) | 2016-08-08 | 2016-08-08 | 一种路由表项生成方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106059932B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108075969B (zh) * | 2016-11-17 | 2020-01-03 | 新华三技术有限公司 | 报文转发方法和装置 |
| CN110365557B (zh) * | 2018-03-26 | 2021-11-02 | 中兴通讯股份有限公司 | 一种网络互连的方法及装置 |
| CN109039908B (zh) * | 2018-06-14 | 2021-04-20 | 北京星网锐捷网络技术有限公司 | 一种递归路由的切换方法、路由器、交换机及电子设备 |
| CN111147380B (zh) | 2018-11-02 | 2021-11-30 | 华为技术有限公司 | 一种路由处理的方法和网络设备 |
| CN109639535B (zh) * | 2019-01-18 | 2020-09-11 | 广州小鹏汽车科技有限公司 | 一种路由关系检测方法及装置 |
| CN111343051A (zh) * | 2020-03-05 | 2020-06-26 | 中国第一汽车股份有限公司 | 一种报文路由测试方法、装置及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7307996B2 (en) * | 2002-07-30 | 2007-12-11 | Brocade Communications Systems, Inc. | Infiniband router having an internal subnet architecture |
| CN101247308A (zh) * | 2007-02-13 | 2008-08-20 | 上海亿人通信终端有限公司 | 基于网络处理器实现IPv6穿越IPv4的隧道报文处理方法 |
| CN103166849A (zh) * | 2013-03-06 | 2013-06-19 | 杭州华三通信技术有限公司 | IPSec VPN互联组网路由收敛的方法及路由设备 |
| US8634428B2 (en) * | 2009-09-21 | 2014-01-21 | At&T Intellectual Property I, L.P. | Method and system for symmetric routing |
| CN104994556A (zh) * | 2015-05-20 | 2015-10-21 | 杭州华三通信技术有限公司 | 一种基于混合无线网状网络协议的路由建立的方法和装置 |
-
2016
- 2016-08-08 CN CN201610643938.4A patent/CN106059932B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7307996B2 (en) * | 2002-07-30 | 2007-12-11 | Brocade Communications Systems, Inc. | Infiniband router having an internal subnet architecture |
| CN101247308A (zh) * | 2007-02-13 | 2008-08-20 | 上海亿人通信终端有限公司 | 基于网络处理器实现IPv6穿越IPv4的隧道报文处理方法 |
| US8634428B2 (en) * | 2009-09-21 | 2014-01-21 | At&T Intellectual Property I, L.P. | Method and system for symmetric routing |
| CN103166849A (zh) * | 2013-03-06 | 2013-06-19 | 杭州华三通信技术有限公司 | IPSec VPN互联组网路由收敛的方法及路由设备 |
| CN104994556A (zh) * | 2015-05-20 | 2015-10-21 | 杭州华三通信技术有限公司 | 一种基于混合无线网状网络协议的路由建立的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106059932A (zh) | 2016-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106059932B (zh) | 一种路由表项生成方法及装置 | |
| EP3211839B1 (en) | Split-horizon packet forwarding in a mh-pbb-evpn network | |
| US10237175B2 (en) | Entropy prefix segment identifier for use with entropy label in segment routing networks | |
| US9860169B1 (en) | Neighbor resolution for remote EVPN hosts in IPV6 EVPN environment | |
| CN111682996B (zh) | 网络中报文转发的方法、网络节点、网络系统 | |
| WO2015184852A1 (zh) | Sr信息获取方法及建立sr网络的方法 | |
| US9954694B2 (en) | Traffic black holing avoidance and fast convergence for active-active PBB-EVPN redundancy | |
| CN106603413B (zh) | 通过指定路径传输流量的方法和装置 | |
| CN111865783B (zh) | 用于计算机网络的方法和网络设备 | |
| CN103685022A (zh) | 报文转发方法及服务提供商网络边缘设备 | |
| CN112511444A (zh) | 一种组播流量传输方法、装置、通信节点及存储介质 | |
| CN113452610B (zh) | 跨城域网的无缝端到端分段路由的方法及区域边界路由器 | |
| US8964749B2 (en) | Method, device and system for establishing a pseudo wire | |
| WO2012116545A1 (en) | Multiprotocol label switching (mpls) virtual private network (vpn) over routed ethernet backbone | |
| WO2017193848A1 (zh) | 路由建立、报文发送 | |
| CN111917622B (zh) | 一种反向路径转发rpf检查方法及装置 | |
| Filsfils et al. | Segment routing centralized BGP egress peer engineering | |
| CN103986654B (zh) | 一种lsp生成方法和设备 | |
| CN113726653B (zh) | 报文处理方法及装置 | |
| US20230081052A1 (en) | Method and apparatus for sending multicast packet | |
| EP3477897A1 (en) | Methods and apparatuses for routing data packets in a network topology | |
| US20220094626A1 (en) | Method and Apparatus for Implementing Multicast | |
| JP2012175198A (ja) | 流通経路設定システム及び方法 | |
| Previdi et al. | RFC 9087: Segment Routing Centralized BGP Egress Peer Engineering | |
| Hegde et al. | Advertising Node Administrative Tags in OSPF |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Industrial Park, high tech Industrial Development Zone, Zhejiang Province, No. six and road, No. 310 Applicant before: Huasan Communication Technology Co., Ltd. |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |