CN108199965A - Flow spec表项下发方法、网络设备、控制器及自治系统 - Google Patents
Flow spec表项下发方法、网络设备、控制器及自治系统 Download PDFInfo
- Publication number
- CN108199965A CN108199965A CN201711467608.5A CN201711467608A CN108199965A CN 108199965 A CN108199965 A CN 108199965A CN 201711467608 A CN201711467608 A CN 201711467608A CN 108199965 A CN108199965 A CN 108199965A
- Authority
- CN
- China
- Prior art keywords
- flow spec
- attribute field
- group
- local
- network equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种Flow spec表项下发方法、网络设备、控制器及自治系统,所述方法包括:若接收到的报文为边界网关协议流规则BGP Flow spec协议报文,根据所述BGP Flow spec协议报文包括的团体属性字段判断本地是否存储与所述团体属性字段相同的本地团体属性字段;若存储,则将所述BGP Flow spec协议报文的Flow spec表项添加至与所述本地团体属性字段对应的Flow spec表中;根据本地团体属性字段与本地接口组的预设对应关系,将所述Flow spec表下发至与所述本地团体属性字段对应的本地接口组,达到针对不同接口下发不同的Flow spec表项,使得Flow spec功能使用起来变的更灵活,同时也节省硬件资源的技术效果。
Description
技术领域
本申请涉及通信技术领域,尤其是涉及一种Flow spec表项下发方法、网络设备、控制器及自治系统。
背景技术
边界网关协议(Border Gateway Protocol,BGP),是一种用于自制系统之间的动态路由协议,BGP流规则(Flow Specification,Flow spec)表示通过传递BGP FlowSpecification路由将流量策略传递给BGP Flow Specification的对端设备,其中BGPFlow spec路由用于定义流的特征以及流的行为(如:流量限速、重定向动作(redirectActions)、修改报文的DSCP值和过滤流量等),从而实现在某控制器上开启BGP Flow spec,以及将BGP Flow spec路由向网络中设备下发,从而达到防止网络中DDOS攻击以及指导网络流量转发等功能。
现有Flow spec实现,按照RFC5575要求,控制器在BGP Flow spec路由中定义流的特征及流量处理策略,并下发给网络设备,网络设备收到BGP Flow spec路由后,即将流的特征及流量处理策略,以ACL或QOS的方式,下发到全局硬件,从而达到按控制器指令来进行DDOS防攻击或流量转发等行为。
现有实现,网络设备收到Flow spec表项后,只能在全局所有板卡及接口生效,这样一方面对于有些靠硬件来实现服务质量(Quality of Service,QOS)和访问控制列表(Access Control List,ACL)的设备,会因为Flow spec会要求向网络设备上所有的相关提供ACL、QOS资源的板卡均下发Flow spec表项,即使存在某些接口不会有匹配Flow spec表项的流量经过,也会被下发Flow spec表项,造成硬件资源浪费;另一方面,无法做到流量灵活控制,如:A口进来的匹配Flow spec的报文和B口进来的匹配相同Flow spec的报文只能够重定向到同一个接口,无法实现报文传输的灵活控制。
发明内容
有鉴于此,本申请的目的在于提供一种Flow spec表项下发方法、网络设备、控制器及自治系统,以缓解现有技术中存在的浪费硬件资源以及无法做到流量灵活控制的技术问题。
第一方面,本申请实施例提供了一种Flow spec表项下发方法,应用于网络设备,所述网络设备存储有本地团体属性字段与本地接口组的预设对应关系,其中,所述本地接口组包括至少一本地接口;所述方法包括:
若接收到的报文为边界网关协议流规则BGP Flow spec协议报文,根据所述BGPFlow spec协议报文包括的团体属性字段判断本地是否存储与所述团体属性字段相同的本地团体属性字段;
若存储,则将所述BGP Flow spec协议报文的Flow spec表项添加至与所述本地团体属性字段对应的Flow spec表中;
根据本地团体属性字段与本地接口组的预设对应关系,将所述Flow spec表下发至与所述本地团体属性字段对应的本地接口组。
结合第一方面,本申请实施例提供了第一方面的第一种可能的实施方式,其中,还包括:
判断接收到的BGP Flow spec协议报文是否包括团体属性字段;
若包括,则根据所述BGP Flow spec协议报文包括的团体属性字段判断本地是否存储与所述团体属性字段相同的本地团体属性字段。
结合第一方面,本申请实施例提供了第一方面的第二种可能的实施方式,其中,还包括:
若判断本地未存储与所述团体属性字段相同的本地团体属性字段,则丢弃所述BGP Flow spec协议报文。
结合第一方面,本申请实施例提供了第一方面的第三种可能的实施方式,其中,还包括:
接收配置本地团体属性和至少一本地接口对应关系的配置操作;
根据本地团体属性和至少一本地接口之间的对应关系,确定包括所述至少一本地接口的本地接口组和与所述本地团体属性对应的本地团体属性字段之间的对应关系。
结合第一方面,本申请实施例提供了第一方面的第四种可能的实施方式,其中,所述方法还包括:
若接收到的报文的地址族类型与预设的地址族类型相同,则确定接收到的报文为所述BGP Flow spec协议报文。
第二方面,本申请实施例还提供一种Flow spec表项下发方法,应用于控制器,所述控制器存储有网络设备接口组与网络设备团体属性字段的对应关系,所述网络设备接口组包括至少一网络设备接口;所述方法包括:
当接收到针对网络设备接口组的控制请求时,根据所述网络设备接口组对应的网络设备团体属性字段和与所述控制请求对应的Flow spec表项生成对应的边界网关协议流规则BGP Flow spec协议报文;
向所述网络设备发送所述BGP Flow spec协议报文,以使所述网络设备将所述Flow spec表项添加至与所述网络设备团体属性字段对应的Flow spec表中并将所述Flowspec表下发至与所述网络设备团体属性字段对应的网络设备接口组。
结合第二方面,本申请实施例提供了第二方面的第一种可能的实施方式,其中,所述方法还包括:
接收配置网络设备团体属性和至少一网络设备接口对应关系的配置操作;
根据网络设备团体属性和至少一网络设备接口之间的对应关系,确定包括所述至少一网络设备接口的网络设备接口组和与所述网络设备团体属性对应的网络设备团体属性字段之间的对应关系。
第三方面,本申请实施例还提供一种网络设备,包括存储器和处理器;其中,所述存储器用于存储一条或多条计算机指令,所述一条或多条计算机指令被所述处理器执行,以实现第一方面所述的方法。
第四方面,本申请实施例还提供一种控制器,包括存储器和处理器;其中,所述存储器用于存储一条或多条计算机指令,所述一条或多条计算机指令被所述处理器执行,以实现第二方面所述的方法。
第五方面,本申请实施例还提供一种自治系统,包括:如第三方面所述的网络设备及如第四方面所述的控制器。
第六方面,本申请实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行第一方面所述的方法。
第七方面,本申请实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行所述第二方面所述的方法。
本申请实施例带来了以下有益效果:本申请实施例通过在网络设备接收到的报文为边界网关协议流规则BGP Flow spec协议报文时,根据所述BGP Flow spec协议报文包括的团体属性字段判断本地是否存储与所述团体属性字段相同的本地团体属性字段;若存储,则将所述BGP Flow spec协议报文的Flow spec表项添加至与所述本地团体属性字段对应的Flow spec表中;再根据本地团体属性字段与本地接口组的预设对应关系,将所述Flowspec表下发至与所述团体属性字段对应的本地接口组,这样即可实现针对不同本地接口下发不同的Flow spec表项,使得不同接口实现Flow spec功能使用起来变的更灵活,同时也节省硬件资源。
本申请的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的自治系统的架构图;
图2为本申请实施例提供的一种Flow spec表项下发方法的一种流程图;
图3为本申请实施例提供的一种Flow spec表项下发方法的另一种流程图;
图4为本申请实施例提供的一种Flow spec表项下发方法的整体流程图;
图5为本申请实施例提供的一种Flow spec表项下发装置的一种结构图;
图6为本申请实施例提供的一种Flow spec表项下发装置的另一种结构图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合附图对本申请的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,由于网络设备收到Flow spec后,只能在全局所有板卡及接口生效,这样一方面,对于不会有匹配Flow spec表项的流量经过的某些接口也会下发Flow spec表项,造成硬件资源浪费;另一方面,无法做到报文的灵活控制,例如:不能使A口进来的匹配Flowspec的报文和B口进来的匹配同一Flow spec的报文转发到不同的接口。基于此,本申请实施例提供的Flow spec表项下发方法、网络设备、控制器及自治系统,可以针对不同的接口下发不同的Flow spec表项,使得Flow spec功能使用起来变的更灵活,同时也节省了硬件资源。
本申请实施例提供的Flow spec表项下发方法可以应用于自治系统(autonomoussystem,AS)中,如图1所示,一个AS中可以包括控制器01及多个网络设备02,在本申请实施例中,网络设备02可以指任何支持Flow spec技术的通信设备,控制器01中存储有网络设备接口组与网络设备团体属性字段的对应关系,用于根据网络设备接口组对应的网络设备团体属性字段和与所述控制请求对应的Flow spec表项生成BGP Flow spec协议报文,并向网络设备发送BGP Flow spec协议报文,网络设备存储有本地团体属性字段与本地接口组的预设对应关系,用于接收BGP Flow spec协议报文,并将BGP Flow spec报文携带的Flowspec表项下发至与本地团体属性字段对应的本地接口组,进而使本地接口组实现相应的流处理行为。
为便于对本实施例进行理解,首先对本申请实施例所公开的一种Flow spec表项下发方法进行详细介绍,在一个可能的实施方式中,所述方法可以应用于自治系统的网络设备中,所述网络设备存储有本地团体属性字段与本地接口组的预设对应关系,其中,所述本地接口组包括至少一本地接口(Interface)。网络设备中的预设对应关系可以通过以下方式确定:接收配置本地团体属性和至少一本地接口对应关系的配置操作;根据本地团体属性和至少一本地接口之间的对应关系,确定包括所述至少一本地接口的本地接口组和与所述本地团体属性对应的本地团体属性字段之间的对应关系。
如图2所示,所述Flow spec表项下发方法可以包括以下步骤。
步骤S101,若网络设备接收到的报文为边界网关协议流规则BGP Flow spec协议报文,网络设备根据所述BGP Flow spec协议报文包括的团体属性字段判断本地是否存储与所述团体属性字段相同的本地团体属性字段。
在一种实施方式中,可以在接收到报文后,提取报文中的地址族类型,若接收到的报文的地址族类型与预设的地址族类型相同,确定接收到的报文为所述BGP Flow spec协议报文。
在该步骤中,可以提取BGP Flow spec协议报文的团体属性字段,将团体属性字段与网络设备中存储的本地团体属性字段进行比对,如果团体属性字段与任一本地团体属性字段相同,则可以确定本地存储有与所述团体属性字段相同的本地团体属性字段。
在一种实施方式中,在接收到的报文为边界网关协议流规则BGP Flow spec协议报文后,还可以判断接收到的BGP Flow spec协议报文是否包括团体属性字段;若包括,则根据所述BGP Flow spec协议报文包括的团体属性字段判断本地是否存储与所述团体属性字段相同的本地团体属性字段。
步骤S102,若存储,则将所述BGP Flow spec协议报文的Flow spec表项添加至与所述本地团体属性字段对应的Flow spec表中。
在本申请实施例中,所述BGP Flow spec协议报文至少包含:团体属性字段和Flowspec表项,所述Flow spec表项包含:流定义规则和流处理行为,示例性的,流定义规则可以包括:目的地址、源地址、IP协议号、端口号、目的端口号、源端口号、ICMP类型、ICMP编码、TCP的标志位、DSCP、分片类型等;流处理行为可以包括:丢弃流量、流量限速、修改报文的DSCP值、重定向动作(redirect Actions)。
在实际应用中,与任一本地团体属性字段对应的Flow spec表可以在第一次收到包含该本地团体属性字段的BGP Flow spec协议报文时建立,并且,Flow spec表后续会随接收到的包含该本地团体属性字段的BGP Flow spec协议报文的增多而Flow spec表项逐步增加,例如:本地团体属性字段为“1”的Flow spec表可以如下表1所示:
表1
步骤S103,网络设备根据本地团体属性字段与本地接口组的预设对应关系,将所述Flow spec表下发至与所述本地团体属性字段对应的本地接口组。
通过步骤S103,可以便于使Flow spec表中的Flow spec表项在接收到该Flowspec表的本地接口组生效,也就是说,Flow spec表项中的流处理行为在团体属性字段所对应的接口组内一个或多个本地接口生效。
在本申请实施例中,由于在网络设备中预先配置有多组本地团体属性字段和本地接口之间映射关系,例如,本地团体属性字段和本地接口之间的映射关系可以如下表2所示:
表2
| 本地团体属性字段 | 本地接口组 |
| 1 | 接口A、接口B和接口C |
| 2 | 接口D |
| 3 | 接口E和接口F |
除非另外具体说明,否则在这些实施例中阐述的本地团体属性字段及本地接口组所包含的本地接口并不限制本申请的范围。
示例性的,网络设备可以首先查表2,若BGP Flow spec协议报文中团体属性字段位于表2中,则可以将经过步骤S102生成的Flow spec表下发至表2中与该团体属性字段对应的本地接口组,例如,若BGP Flow spec协议报文中团体属性字段为1,则可以将Flowspec表下发至本地接口A、本地接口B和本地接口C;若BGP Flow spec协议报文中团体属性字段为2,则可以将Flow spec表下发至本地接口D;若BGP Flow spec协议报文中团体属性字段为3,则可以将Flow spec表下发至本地接口E和本地接口F。
在本申请实施例中,若判断本地未存储与所述团体属性字段相同的本地团体属性字段,则可以丢弃所述BGP Flow spec协议报文。
本申请实施例通过在网络设备接收到的报文为边界网关协议流规则BGP Flowspec协议报文时,根据所述BGP Flow spec协议报文包括的团体属性字段判断本地是否存储与所述团体属性字段相同的本地团体属性字段;若存储,则将所述BGP Flow spec协议报文的Flow spec表项添加至与所述本地团体属性字段对应的Flow spec表中;再根据本地团体属性字段与本地接口组的预设对应关系,将所述Flow spec表下发至与所述团体属性字段对应的本地接口组。这样即可实现针对不同本地接口下发不同的Flow spec表项,使得Flow spec功能使用起来变的更灵活,同时也节省硬件资源。
在本申请的又一实施例中,本申请实施例还提供一种Flow spec表项下发方法,该方法可以应用于控制器,所述控制器存储有网络设备接口组与网络设备团体属性字段的对应关系,所述网络设备接口组包括至少一网络设备接口。
网络设备接口组与网络设备团体属性字段的对应关系可以通过以下方式确定:接收到配置网络设备团体属性和至少一网络设备接口对应关系的配置操作;根据网络设备团体属性和至少一网络设备接口之间的对应关系,确定包括所述至少一网络设备接口的网络设备接口组和与所述网络设备团体属性对应的网络设备团体属性字段之间的对应关系。
如图3所示,所述Flow spec表项下发方法可以包括以下步骤。
步骤S201,当接收到针对网络设备接口组的控制请求时,控制器根据所述网络设备接口组对应的网络设备团体属性字段和与所述控制请求对应的Flow spec表项生成对应的边界网关协议流规则BGP Flow spec协议报文。
在本申请实施例中,控制请求可以是网管用户通过人机交互设备输入的,控制请求由网管用户在需要令某一网络设备接口组实现某些Flow spec功能时输入,所以控制器可以通过控制请求获取到待控制的网络设备接口组以及Flow spec表项。
示例性的,控制器可以在接收到针对网络设备接口组的控制请求后,首先在网络设备接口组与网络设备团体属性字段的对应关系中,查找与用户输入的网络设备接口组对应的网络设备团体属性字段,然后,根据团体属性字段及Flow spec表项生成BGP Flowspec协议报文。
步骤S202,控制器向所述网络设备发送所述BGP Flow spec协议报文,以使所述网络设备将所述Flow spec表项添加至与所述网络设备团体属性字段对应的Flow spec表中并将所述Flow spec表下发至与所述网络设备团体属性字段对应的网络设备接口组。
图4示出了在实际应用中,一种控制器与网络设备进行Flow spec表项下发的整体流程图,如图4所示,该过程具体如下。
步骤S301,若控制器接收到针对网络设备接口组的控制请求,控制器根据所述网络设备接口组对应的网络设备团体属性字段和与所述控制请求对应的Flow spec表项生成对应的边界网关协议流规则BGP Flow spec协议报文。
在本申请实施例中,控制请求可以是网管用户通过人机交互设备输入的,控制请求由网管用户在需要令某一网络设备接口组实现某些Flow spec功能时输入,所以控制器可以通过控制请求获取到待控制的网络设备接口组以及Flow spec表项。
示例性的,控制器可以在接收到针对网络设备接口组的控制请求后,首先在网络设备接口组与网络设备团体属性字段的对应关系中,查找与用户输入的网络设备接口组对应的网络设备团体属性字段,然后,根据团体属性字段及Flow spec表项生成BGP Flowspec协议报文。
步骤S302,控制器向所述网络设备发送所述BGP Flow spec协议报文,以使所述网络设备将所述Flow spec表项添加至与所述网络设备团体属性字段对应的Flow spec表中并将所述Flow spec表下发至与所述网络设备团体属性字段对应的网络设备接口组。
步骤S303,若网络设备接收到的报文为边界网关协议流规则BGP Flow spec协议报文,根据所述BGP Flow spec协议报文包括的团体属性字段判断本地是否存储与所述团体属性字段相同的本地团体属性字段。
在一种实施方式中,可以在接收到的报文后,提取报文中的地址族类型,若接收到的报文的地址族类型与预设的地址族类型相同,确定接收到的报文为所述BGP Flow spec协议报文。
在该步骤中,可以提取BGP Flow spec协议报文的团体属性字段,将团体属性字段与网络设备中存储的本地团体属性字段进行比对,如果团体属性字段与任一本地团体属性字段相同,则可以确定本地存储有与所述团体属性字段相同的本地团体属性字段。
在一种实施方式中,在接收到的报文为边界网关协议流规则BGP Flow spec协议报文后,还可以判断接收到的BGP Flow spec协议报文是否包括团体属性字段;若包括,则根据所述BGP Flow spec协议报文包括的团体属性字段判断本地是否存储与所述团体属性字段相同的本地团体属性字段。
步骤S304,若存储,则网络设备将所述BGP Flow spec协议报文的Flow spec表项添加至与所述本地团体属性字段对应的Flow spec表中。
在本申请实施例中,所述BGP Flow spec协议报文至少包含:团体属性字段和Flowspec表项,所述Flow spec表项包含:流定义规则和流处理行为,示例性的,流定义规则可以包括:目的地址、源地址、IP协议号、端口号、目的端口号、源端口号、ICMP类型、ICMP编码、TCP的标志位、DSCP、分片类型等;流处理行为可以包括:丢弃流量、流量限速、修改报文的DSCP值、重定向动作(redirect Actions)。
在实际应用中,与任一本地团体属性字段对应的Flow spec表可以在第一次收到包含该本地团体属性字段的BGP Flow spec协议报文时建立,并且,Flow spec表后续会随接收到的包含该本地团体属性字段的BGP Flow spec协议报文的增多而Flow spec表项逐步增加,例如:本地团体属性字段为“2”的Flow spec表可以如下表3所示:
表3
| 本地团体属性字段 | 2 |
| Flow spec表项0 | 流定义规则0和流处理行为0 |
| Flow spec表项1 | 流定义规则1和流处理行为1 |
| Flow spec表项2 | 流定义规则2和流处理行为2 |
步骤S305,网络设备根据本地团体属性字段与本地接口组的预设对应关系,将所述Flow spec表下发至与所述本地团体属性字段对应的本地接口组。
通过步骤S305,可以便于使Flow spec表中的Flow spec表项在接收到该Flowspec表的本地接口组生效,也就是说,Flow spec表项中的流处理行为在团体属性字段所对应的接口组内一个或多个本地接口生效。
在本申请实施例中,由于在网络设备中预先配置有多组本地团体属性字段和本地接口之间映射关系,例如,本地团体属性字段和本地接口之间的映射关系可以参见上表2所示。
示例性的,网络设备可以首先查表,若BGP Flow spec协议报文中团体属性字段位于表2中,则可以将经步骤S304生成的Flow spec表下发至表2中与该团体属性字段对应的本地接口组,例如,若BGP Flow spec协议报文中团体属性字段为1,则可以将Flow spec表下发至本地接口A、本地接口B和本地接口C;若BGP Flow spec协议报文中团体属性字段为2,则可以将Flow spec表下发至本地接口D;若BGP Flow spec协议报文中团体属性字段为3,则可以将Flow spec表下发至本地接口E和本地接口F。
在本申请实施例中,若判断本地未存储与所述团体属性字段相同的本地团体属性字段,则可以丢弃所述BGP Flow spec协议报文。
本申请实施例通过在网络设备接收到的报文为边界网关协议流规则BGP Flowspec协议报文时,根据所述BGP Flow spec协议报文包括的团体属性字段判断本地是否存储与所述团体属性字段相同的本地团体属性字段;若存储,则将所述BGP Flow spec协议报文的Flow spec表项添加至与所述本地团体属性字段对应的Flow spec表中;再根据本地团体属性字段与本地接口组的预设对应关系,将所述Flow spec表下发至与所述团体属性字段对应的本地接口组。这样即可实现针对不同本地接口下发不同的Flow spec表项,使得Flow spec功能使用起来变的更灵活,同时也节省硬件资源。
在本申请的又一实施例中,本申请实施例还提供一种Flow spec表项下发方法,该方法可以应用于控制器,所述控制器存储有网络设备接口组与网络设备团体属性字段的对应关系,所述网络设备接口组包括至少一网络设备接口。
网络设备接口组与网络设备团体属性字段的对应关系可以通过以下方式确定:接收到配置网络设备团体属性和至少一网络设备接口对应关系的配置操作;根据网络设备团体属性和至少一网络设备接口之间的对应关系,确定包括所述至少一网络设备接口的网络设备接口组和与所述网络设备团体属性对应的网络设备团体属性字段之间的对应关系。
在本申请的又一实施例中,还提供一种Flow spec表项下发装置,如图5所示,所述装置包括:
第一判断模块11,用于若接收到的报文为边界网关协议流规则BGP Flow spec协议报文,根据所述BGP Flow spec协议报文包括的团体属性字段判断本地是否存储与所述团体属性字段相同的本地团体属性字段;
添加模块12,用于在本地存储与所述团体属性字段相同的本地团体属性字段时,则将所述BGP Flow spec协议报文的Flow spec表项添加至与所述本地团体属性字段对应的Flow spec表中;
下发模块13,用于根据本地团体属性字段与本地接口组的预设对应关系,将所述Flow spec表下发至与所述本地团体属性字段对应的本地接口组。
在本申请的又一实施例中,所述装置还用包括:
第二判断模块,用于判断接收到的BGP Flow spec协议报文是否包括团体属性字段;
所述第一判断模块,还用于在接收到的BGP Flow spec协议报文包括团体属性字段时,根据所述BGP Flow spec协议报文包括的团体属性字段判断本地是否存储与所述团体属性字段相同的本地团体属性字段。
在本申请的又一实施例中,所述装置还包括:
丢弃模块,用于当本地未存储与所述团体属性字段相同的本地团体属性字段,则丢弃所述BGP Flow spec协议报文。
在本申请的又一实施例中,所述装置还包括:
第一接收模块,用于接收配置本地团体属性和至少一本地接口对应关系的配置操作;
第一确定模块,用于根据本地团体属性和至少一本地接口之间的对应关系,确定包括所述至少一本地接口的本地接口组和与所述本地团体属性对应的本地团体属性字段之间的对应关系。
在本申请的又一实施例中,所述装置还包括:
第二确定模块,用于在接收到的报文的地址族类型与预设的地址族类型相同时,确定接收到的报文为所述BGP Flow spec协议报文。
在本申请的又一实施例中,还提供一种Flow spec表项下发装置,如图6所示,所述装置包括:
生成模块21,用于当接收到针对网络设备接口组的控制请求时,根据所述网络设备接口组对应的网络设备团体属性字段和与所述控制请求对应的Flow spec表项生成对应的边界网关协议流规则BGP Flow spec协议报文;
发送模块22,用于向所述网络设备发送所述BGP Flow spec协议报文,以使所述网络设备将所述Flow spec表项添加至与所述网络设备团体属性字段对应的Flow spec表中并将所述Flow spec表下发至与所述网络设备团体属性字段对应的网络设备接口组。
在本申请的又一实施例中,所述装置还包括:
接收模块,用于接收配置网络设备团体属性和至少一网络设备接口对应关系的配置操作;
第三确定模块,用于根据网络设备团体属性和至少一网络设备接口之间的对应关系,确定包括所述至少一网络设备接口的网络设备接口组和与所述网络设备团体属性对应的网络设备团体属性字段之间的对应关系。
在本申请的又一实施例中,本申请实施例还提供一种网络设备,包括存储器和处理器;其中,所述存储器用于存储一条或多条计算机指令,所述一条或多条计算机指令被所述处理器执行,以实现上述应用于网络设备的方法实施例所述的方法。
本申请实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
在本申请的又一实施例中,本申请实施例还提供一种控制器,包括存储器和处理器;其中,所述存储器用于存储一条或多条计算机指令,所述一条或多条计算机指令被所述处理器执行,以实现上述应用于控制器的方法实施例所述的方法。
本申请实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
在本申请的又一实施例中,本申请实施例还提供一种自治系统,包括:如前述实施例所述的网络设备及如前述实施例所述的控制器。
本申请实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
在本申请的又一实施例中,本申请实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行第一方面所述的方法。
在本申请的又一实施例中,本申请实施例还提供一种具有处理器可执行的非易失的程序代码的计算机可读介质,所述程序代码使所述处理器执行所述第二方面所述的方法。
本申请实施例所提供的一种Flow spec表项下发方法、网络设备、控制器及自治系统的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本申请实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种Flow spec表项下发方法,其特征在于,应用于网络设备,所述网络设备存储有本地团体属性字段与本地接口组的预设对应关系,其中,所述本地接口组包括至少一本地接口;所述方法包括:
若接收到的报文为边界网关协议流规则BGP Flow spec协议报文,根据所述BGP Flowspec协议报文包括的团体属性字段判断本地是否存储与所述团体属性字段相同的本地团体属性字段;
若存储,则将所述BGP Flow spec协议报文的Flow spec表项添加至与所述本地团体属性字段对应的Flow spec表中;
根据本地团体属性字段与本地接口组的预设对应关系,将所述Flow spec表下发至与所述本地团体属性字段对应的本地接口组。
2.根据权利要求1所述的Flow spec表项下发方法,其特征在于,还包括:
判断接收到的BGP Flow spec协议报文是否包括团体属性字段;
若包括,则根据所述BGP Flow spec协议报文包括的团体属性字段判断本地是否存储与所述团体属性字段相同的本地团体属性字段。
3.根据权利要求1所述的Flow spec表项下发方法,其特征在于,还包括:
若判断本地未存储与所述团体属性字段相同的本地团体属性字段,则丢弃所述BGPFlow spec协议报文。
4.根据权利要求1所述的Flow spec表项下发方法,其特征在于,还包括:
接收配置本地团体属性和至少一本地接口对应关系的配置操作;
根据本地团体属性和至少一本地接口之间的对应关系,确定包括所述至少一本地接口的本地接口组和与所述本地团体属性对应的本地团体属性字段之间的对应关系。
5.根据权利要求1-4任一项所述的Flow spec表项下发方法,其特征在于,所述方法还包括:
若接收到的报文的地址族类型与预设的地址族类型相同,则确定接收到的报文为所述BGP Flow spec协议报文。
6.一种Flow spec表项下发方法,其特征在于,应用于控制器,所述控制器存储有网络设备接口组与网络设备团体属性字段的对应关系,所述网络设备接口组包括至少一网络设备接口;所述方法包括:
当接收到针对网络设备接口组的控制请求时,根据所述网络设备接口组对应的网络设备团体属性字段和与所述控制请求对应的Flow spec表项生成对应的边界网关协议流规则BGP Flow spec协议报文;
向网络设备发送所述BGP Flow spec协议报文,以使所述网络设备将所述Flow spec表项添加至与所述网络设备团体属性字段对应的Flow spec表中并将所述Flow spec表下发至与所述网络设备团体属性字段对应的网络设备接口组。
7.根据权利要求6所述的Flow spec表项下发方法,其特征在于,所述方法还包括:
接收配置网络设备团体属性和至少一网络设备接口对应关系的配置操作;
根据网络设备团体属性和至少一网络设备接口之间的对应关系,确定包括所述至少一网络设备接口的网络设备接口组和与所述网络设备团体属性对应的网络设备团体属性字段之间的对应关系。
8.一种网络设备,其特征在于,包括存储器和处理器;其中,所述存储器用于存储一条或多条计算机指令,所述一条或多条计算机指令被所述处理器执行,以实现权利要求1至5任一项所述的方法。
9.一种控制器,其特征在于,包括存储器和处理器;其中,所述存储器用于存储一条或多条计算机指令,所述一条或多条计算机指令被所述处理器执行,以实现权利要求6至7任一所述的方法。
10.一种自治系统,其特征在于,包括:如权利要求8所述的网络设备及如权利要求9所述的控制器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711467608.5A CN108199965B (zh) | 2017-12-28 | 2017-12-28 | Flow spec表项下发方法、网络设备、控制器及自治系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711467608.5A CN108199965B (zh) | 2017-12-28 | 2017-12-28 | Flow spec表项下发方法、网络设备、控制器及自治系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108199965A true CN108199965A (zh) | 2018-06-22 |
| CN108199965B CN108199965B (zh) | 2021-01-01 |
Family
ID=62586072
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711467608.5A Active CN108199965B (zh) | 2017-12-28 | 2017-12-28 | Flow spec表项下发方法、网络设备、控制器及自治系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108199965B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109510776A (zh) * | 2018-10-12 | 2019-03-22 | 新华三技术有限公司合肥分公司 | 流量控制方法及装置 |
| WO2023045865A1 (zh) * | 2021-09-26 | 2023-03-30 | 中兴通讯股份有限公司 | Bgp flowspec路由下发方法及装置、存储介质、电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103560951A (zh) * | 2013-11-13 | 2014-02-05 | 华为技术有限公司 | 报文处理方法及物理转发设备 |
| CN106254252A (zh) * | 2016-09-06 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种Flow spec路由的下发方法和装置 |
| CN106341423A (zh) * | 2016-10-26 | 2017-01-18 | 杭州华三通信技术有限公司 | 一种报文处理方法和装置 |
| WO2017162095A1 (zh) * | 2016-03-21 | 2017-09-28 | 华为技术有限公司 | 基于流规则协议的通信方法、设备和系统 |
-
2017
- 2017-12-28 CN CN201711467608.5A patent/CN108199965B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103560951A (zh) * | 2013-11-13 | 2014-02-05 | 华为技术有限公司 | 报文处理方法及物理转发设备 |
| WO2017162095A1 (zh) * | 2016-03-21 | 2017-09-28 | 华为技术有限公司 | 基于流规则协议的通信方法、设备和系统 |
| CN107222449A (zh) * | 2016-03-21 | 2017-09-29 | 华为技术有限公司 | 基于流规则协议的通信方法、设备和系统 |
| CN106254252A (zh) * | 2016-09-06 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种Flow spec路由的下发方法和装置 |
| CN106341423A (zh) * | 2016-10-26 | 2017-01-18 | 杭州华三通信技术有限公司 | 一种报文处理方法和装置 |
Non-Patent Citations (3)
| Title |
|---|
| P.MARQUES ET ALL: "Dissmination of Flow Specification Rules", 《RFC5575》 * |
| S.LITKOWSKI;ET ALL: "Applying BGP flowspec rules on a specific interface set", 《DRAFT-IETF-IDR-FLOWSPEC-INTERFACESET-02》 * |
| Z.LI;ET ALL: "BGP FlowSpec Extensions for Routing Policy Distribution", 《DRAFT-LI-IDR-FLOWSPEC-RPD-00》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109510776A (zh) * | 2018-10-12 | 2019-03-22 | 新华三技术有限公司合肥分公司 | 流量控制方法及装置 |
| CN109510776B (zh) * | 2018-10-12 | 2022-07-12 | 新华三技术有限公司合肥分公司 | 流量控制方法及装置 |
| WO2023045865A1 (zh) * | 2021-09-26 | 2023-03-30 | 中兴通讯股份有限公司 | Bgp flowspec路由下发方法及装置、存储介质、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108199965B (zh) | 2021-01-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10999319B2 (en) | Event driven route control | |
| US9172651B2 (en) | Denial of service prevention in a software defined network | |
| US9917729B2 (en) | Methods, systems, and computer readable media for multi-layer orchestration in software defined networks (SDNs) | |
| CN102291455B (zh) | 分布式集群处理系统及其报文处理方法 | |
| CN103795644B (zh) | 策略表表项配置方法、装置及系统 | |
| CN103299588A (zh) | 通信系统、转发节点、接收分组处理方法和程序 | |
| US11831673B2 (en) | Utilizing routing advertisements to automate DDOS scrubbing techniques in a telecommunications network | |
| CN103248521A (zh) | 一种业务策略规则配置的方法、装置及通信系统 | |
| CN102484611B (zh) | 链路状态标识符冲突处理 | |
| CN108199965A (zh) | Flow spec表项下发方法、网络设备、控制器及自治系统 | |
| CN104348723B (zh) | 生成路由表项的方法和边界网关协议演讲者 | |
| CN106254252A (zh) | 一种Flow spec路由的下发方法和装置 | |
| CN101160807A (zh) | 生存时间分段实现网络安全保护的方法及系统 | |
| CN107645458A (zh) | 三层报文引流方法及控制器 | |
| CN102891799B (zh) | 一种选择路由的方法及设备 | |
| CN114978563A (zh) | 一种封堵ip地址的方法及装置 | |
| US20080049643A1 (en) | Method, system and computer program product for routing information across firewalls | |
| JP6592421B2 (ja) | ルーティングシステムおよびルーティング方法 | |
| CN106161247B (zh) | 一种路由收敛方法、控制装置、转发装置以及系统 | |
| CN104753705B (zh) | Ds域的生成方法、设备及系统 | |
| CN105634949B (zh) | 一种网络标签分配方法、装置、系统和网络设备 | |
| Guler | Multicast Aware Virtual Network Embedding in Software Defined Networks | |
| CN108712374A (zh) | 一种请求控制方法、控制器及电子设备 | |
| CN104468350A (zh) | 一种在运行网络中实现协议迁移的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |