CN111953607A

CN111953607A - 路由更新的方法及装置

Info

Publication number: CN111953607A
Application number: CN202010692844.2A
Authority: CN
Inventors: 叶金荣; 闫军; 谢彬; 阳进
Original assignee: Hangzhou H3C Technologies Co Ltd
Current assignee: Hangzhou H3C Technologies Co Ltd
Priority date: 2020-07-17
Filing date: 2020-07-17
Publication date: 2020-11-17
Anticipated expiration: 2040-07-17
Also published as: CN111953607B

Abstract

本申请提供一种路由更新的方法及装置，该方法包括：接收来自终端的第一业务报文，该第一业务报文包括源MAC地址以及源IP地址；当根据源MAC地址以及源IP地址确定第一业务报文为第一类型报文时，发起对终端的探测请求；当接收到来自终端的探测响应时，生成终端对应的探测表项；向分布式网关组IP GW网关组的上层网络设备发送终端的主机路由通告，该主机路由通告根据探测表项生成，以使得上层网络设备向第二GW同步终端的主机路由通告。

Description

路由更新的方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及一种路由更新的方法及装置。

背景技术

分布式IP网关(英文：Gateway，简称：GW)是指由一组IP网关设备组成的网关组。在分布式IP GW的组网应用下，各GW上创建三层接口，并为不同GW上的三层接口配置相同的IP地址，作为网关IP地址，如图1所示，图1为分布式IP GW组网示意图。其中，Gw1、Gw2、Gw3三台物理设备组成一个分布式网关，每台设备上分别配置一个三层接口，且三层接口配置相同的IP地址10.1.1.1/24，作为网关IP地址。

终端1(可具体为：固定终端、WLAN无线终端、虚拟机等)通过AP1接入分布式IP GW中的某个GW设备(比如，GW1)。终端1接入AP1后，GW1接收到终端1的ARP报文后，由GW1包括的ARP模块根据ARP报文生成对应的ARP表项信息，并将ARP表项信息向路由管理模块通告。路由管理模块生成对应的主机路由条目，并通过路由协议将主机路由向外通告。比如，通过BGP协议，向上层网络设备通告，再由上层网络设备通告至分布式IP GW的其他GW设备(如图中的Gw2和Gw3)。

如此，若终端1与接入分布式IP GW的其他GW设备(比如Gw2)下的终端2通信，或者与外部网络通信时，均可依赖于发布的主机路由通告实现通信交互。

若终端出现漫游情况，即从一个AP设备移动到另一个AP设备，并通过漫游后的AP接入分布式IP GW中的某个GW设备，如图2所示，图2为分布式IPGW组网终端漫游示意图。终端1从AP1处漫游至AP3处，通过AP3接入GW3。此时，GW3需快速学习到终端1的ARP表项信息，将ARP表项信息引入至路由管理模块。由路由管理模块生成对应的主机路由条目，并通过路由协议将主机路由向外通告。

但是，在现实组网中，终端漫游至另一个AP后，若AP未具有代漫游终端发送免费ARP报文的功能，就会导致AP接入的GW无法对外通告该漫游终端的主机路由，使得发往该漫游终端的报文因没有正确的主机路由而错误发送。

发明内容

有鉴于此，本申请提供了一种路由更新的方法及装置，用以解决现有技术中，部分AP未具有代漫游终端发送免费ARP报文的功能，导致AP接入的GW无法在对外通告该漫游终端的主机路由，使得发往该漫游终端的报文因没有正确的主机路由而错误发送的问题。

第一方面，本申请提供了一种路由更新的方法，所述方法应用于第一GW的CPU，所述第一GW处于分布式IP GW网关组中，所述方法包括：

接收来自终端的第一业务报文，所述第一业务报文包括源MAC地址以及源IP地址；

当所述第一业务报文为第一类型报文时，根据所述源MAC地址以及源IP地址，发起对所述终端的探测请求；

当接收到来自终端的探测响应时，生成所述终端对应的探测表项；

向所述分布式IP GW网关组的上层网络设备发送所述终端的主机路由通告，所述主机路由通告根据所述探测表项生成，以使得所述上层网络设备向所述第二GW同步所述终端的主机路由通告。

第二方面，本申请提供了一种路由更新的装置，所述装置应用于第一GW，所述第一GW处于分布式IP GW网关组中，所述装置包括：

接收单元，用于接收来自终端的第一业务报文，所述第一业务报文包括源MAC地址以及源IP地址；

探测单元，用于当所述第一业务报文为第一类型报文时，根据源MAC地址以及源IP地址，发起对所述终端的探测请求；

第一生成单元，用于当接收到来自终端的探测响应时，生成所述终端对应的探测表项；

发送单元，用于向所述分布式IP GW网关组的上层网络设备发送所述终端的主机路由通告，所述主机路由通告根据所述探测表项生成，以使得所述上层网络设备向所述第二GW同步所述终端的主机路由通告。

第三方面，本申请提供了一种网络设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的机器可执行指令，处理器被机器可执行指令促使执行本申请第一方面所提供的方法。

因此，通过应用本申请提供的一种路由更新的方法及装置，CPU接收来自终端的第一业务报文，该第一业务报文包括源MAC地址以及源IP地址。当第一业务报文为第一类型报文时，CPU根据源MAC地址以及源IP地址，发起对终端的探测请求。当接收到来自终端的探测响应时，CPU生成终端对应的探测表项。CPU向分布式网关组IP GW网关组的上层网络设备发送终端的主机路由通告，该主机路由通告根据探测表项生成，以使得上层网络设备向第二GW同步终端的主机路由通告。

如此，解决了现有技术中，部分AP未具有代漫游终端发送免费ARP报文的功能，导致AP接入的GW无法在对外通告该漫游终端的主机路由，使得发往该漫游终端的报文因没有正确的主机路由而错误发送的问题。

附图说明

图1为分布式IP GW组网示意图；

图2为分布式IP GW组网终端漫游示意图；

图3为本申请实施例提供的路由更新的方法的流程图；

图4为本申请实施例提供的第一GW的CPU内部结构示意图；

图5为本申请实施例提供的上层设备与分布式IP GW网管组同步安全表的过程示意图；

图6为本申请实施例提供的路由更新的装置结构图；

图7为本申请实施例提供的一种网络设备硬件结构图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施例并不代表与本申请相一致的所有实施例。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面对本申请实施例提供的路由更新的方法进行详细地说明。参见图3，图3为本申请实施例提供的路由更新的方法的流程图。该方法应用于第一GW的CPU。该第一GW处于分布式IP GW网关组中。在分布式IP GW网关组中还包括其他多个GW，可称之为第二GW。本申请实施例提供的路由更新的方法可包括如下所示步骤。

步骤310、接收来自终端的第一业务报文，所述第一业务报文包括源MAC地址以及源IP地址。

具体地，结合图2所示，GW1、GW2、GW3三台物理设备组成分布式网关，每台GW上分别配置三层接口，该三层接口配置相同的IP地址10.1.1.1/24，作为网关IP。每台GW的三层接口接入一AP，即AP1接入GW1、AP2接入GW2、AP3接入GW3。每个AP接入一个或多个终端。B1为分布式IP GW网关组的上层网络设备，且通过B1在GW之间相互通告终端主机路由。

在本申请实施例中，B1与分布式IP GW网关组之间的组网关系可具体为脊(spine)节点-叶(leaf)节点之间的组网关系。其中，B1可具体为spine节点，分布式IP GW网关组包括的各GW为leaf节点。

第一GW包括的转发芯片接收到来自终端的第一业务报文后，从第一业务报文中获取源MAC地址。转发芯片利用源MAC地址查找MAC转发表。若没有查找到对应的MAC转发表项，转发芯片复制该第一业务报文，并将复制后的第一业务报文上送CPU进行处理。

在本申请实施例中，运行在CPU上的软件包括驱动适配软件，如图4所示。驱动适配软件接收到来自终端的第一业务报文后，从中获取源MAC地址以及源IP地址。

需要说明的是，为了避免任意业务报文均上送CPU进行软件处理导致CPU资源被过多占用。在实际应用中，对GW的转发芯片下发配置“未知源识别”功能命令。转发芯片默认关闭“未知源识别”功能，下发配置命令后，转发芯片开启此功能，然后，转发芯片执行前述功能，在没有查找到对应的MAC转发表项时，复制第一业务报文，并将复制后的第一业务报文上送CPU进行处理。

步骤320、当所述第一业务报文为第一类型报文时，根据所述源MAC地址以及源IP地址，发起对所述终端的探测请求。

具体地，CPU对源MAC地址的类型以及源IP地址的类型进行识别，当CPU确定源MAC地址的类型以及源IP地址的类型指示第一业务报文为第一类型报文时，CPU根据源MAC地址、源IP地址，发起对终端的探测请求。

进一步地，第一类型报文具体是指IP报文或IPv6报文。如果源MAC地址的类型以及源IP地址的类型指示第一业务报文为IP报文或IPv6报文，则CPU根据源MAC地址以及源IP地址，发起对终端的探测请求。如果源MAC地址的类型以及源IP地址的类型指示第一业务报文不为IP报文或IPv6报文，则CPU丢弃该第一业务报文。

在一种实现方式中，第一类型报文具体为IP报文时，CPU发起对终端的探测请求的过程，具体为：CPU生成ARP请求报文，该ARP请求报文包括目的以太网地址以及目的IP地址。其中，目的以太网地址具体为步骤310中第一业务报文包括的源MAC地址，目的IP地址具体为步骤310中第一业务报文包括的源IP地址。CPU向终端发送ARP请求报文。

在另一种实现方式中，第一类型报文具体为IPv6报文时，CPU发起对终端的探测请求的过程，具体为：CPU生成ND NS报文，该ND NS报文包括目的以太网地址以及目的IP地址。其中，目的以太网地址具体为步骤310中第一业务报文包括的源MAC地址，目的IP地址具体为步骤310中第一业务报文包括的源IPv6地址。CPU向终端发送ND NS报文。

更进一步地，本步骤中，由驱动适配软件对源MAC地址的类型以及源IP地址的类型进行识别，并确定该第一业务报文是否为IP报文或IPv6报文。当驱动适配软件确定第一业务报文为IP报文或IPv6报文，驱动适配软件对第一业务报文进行源MAC学习。驱动适配软件还获取接收第一业务报文的端口标识以及第一业务报文所属的VLAN标识。

在本申请实施例中，运行在CPU上的软件还包括未知源识别模块、ARP探测模块以及ND探测模块，如图4所示。驱动适配软件将第一业务报文的源MAC地址、源IP地址、接收第一业务报文的端口标识以及第一业务报文所属的VLAN标识进行组装，得到事件信息。驱动适配软件将事件信息上报至未知源识别模块。

未知源识别模块接收到事件信息后，从事件信息中获取源MAC地址以及源IP地址。未知源模块根据源MAC地址以及源IP地址，向ARP探测模块或者ND探测模块发送通知信息。由ARP探测模块或ND探测模块根据源MAC地址、源IP地址，发起对终端的探测请求。

例如，未知源识别模块向ARP探测模块发送通知信息，以通知ARP探测模块生成ARP请求报文，并向终端发送ARP请求报文；或者，未知源识别模块向ND探测模块发送通知信息，以通知ND探测模块生成ND NS报文，并向终端发送ND NS报文。

可以理解的是，未知源识别模块根据第一业务报文为IP报文或IPv6报文，分别向ARP探测模块或ND探测模块发送通知信息。若第一业务报文为IP报文，则未知源识别模块向ARP探测模块发送通知信息。若第一业务报文为IPv6报文，则未知源识别模块向ND探测模块发送通知信息。

根据前文的描述，驱动适配软件上报的事件信息还包括接收第一业务报文的端口标识以及第一业务报文所属的VLAN标识。未知源识别模块在向ARP探测模块或ND探测模块发送通知信息时，将接收第一业务报文的端口标识以及第一业务报文所属的VLAN标识携带在通知信息内。如此，使得ARP探测模块或ND探测模块通过端口标识对应的端口，在VLAN标识指示的VLAN内，向终端发送ARP请求报文或ND NS报文。

当然，为了避免因为链路的不可靠传输导致的探测报文或探测响应报文丢失，可多次发送探测报文，但发送次数应不超过次数阈值。例如，次数阈值为3次。多次发送探测报文时可间隔固定时间，例如，每间隔50ms发送一次探测报文。

可选地，在CPU执行根据所述源MAC地址以及源IP地址，发起对所述终端的探测请求步骤之前，还包括CPU对源MAC地址以及源IP地址进行安全检查的过程。

具体地，当CPU确定源MAC地址的类型以及源IP地址的类型指示第一业务报文为第一类型报文时，CPU根据源MAC地址以及源IP地址查找远端安全表。

其中，远端安全表中的远端安全表项通过下述过程获得：第一GW接收上层网络设备同步的由第二GW生成的安全表项。该安全表包括接入第二GW的终端的地址关系。第一GW将接收到的安全表项包括的终端的地址关系存储至远端安全表中。

进一步地，如果源MAC地址的类型以及源IP地址的类型指示第一业务报文为IP报文或IPv6报文，则CPU根据源MAC地址以及源IP地址查找远端安全表。如果源MAC地址的类型以及源IP地址的类型指示第一业务报文不为IP报文或IPv6报文，则CPU丢弃该第一业务报文。

更进一步地，驱动适配软件将事件信息上报至未知源识别模块。未知源识别模块接收到事件信息后，从事件信息中获取源MAC地址以及源IP地址。未知源模块根据源MAC地址以及源IP地址查找远端安全表。如果在远端安全表中查找到与源MAC地址、源IP地址匹配的安全表项，则执行前述向ARP探测模块或者ND探测模块发送通知信息的步骤。如果在远端安全表中未查找到与源MAC地址、源IP地址匹配的安全表项，则忽略驱动适配软件上报的事件信息。

需要说明的是,未知源模块根据源MAC地址以及源IP地址查找远端安全表，是一个可以通过设置取消的安全检查功能，如果该功能通过设置取消，则未知源识别模块接收到事件信息后，从事件信息中获取源MAC地址以及源IP地址，直接执行向ARP探测模块或者ND探测模块发送通知信息的步骤。

步骤330、当接收到来自终端的探测响应时，生成所述终端对应的探测表项。

具体地，CPU发送探测请求后，CPU等待终端反馈的探测响应。当接收到来自终端的探测响应时，CPU生成终端对应的探测表项。

需要说明的是，如图2中的组网结构。GW生成探测请求后，向终端接入的AP发送探测请求。若该AP具有代答的功能，则该AP向GW发送探测响应。若该AP不具有代答的功能，则AP向终端透传探测请求，并在终端发送探测响应后，向GW透传探测响应。

进一步地，本申请实施例中，CPU还包括ARP模块以及ND模块(图4中未示出)。若ARP模块接收到来自终端的ARP响应报文时，ARP模块生成终端对应的ARP表项。该ARP表项包括终端的MAC地址、IP地址。

若ND模块接收到来自终端的ND NA报文时，ND模块生成终端对应的ND表项。该ND表项包括终端的MAC地址、IPv6地址。

步骤340、向所述分布式IP GW网关组的上层网络设备发送所述终端的主机路由通告，所述主机路由通告根据所述探测表项生成，以使得所述上层网络设备向所述第二GW同步所述终端的主机路由通告。

具体地，CPU生成探测表项后，根据探测表项生成终端的主机路由。第一GW向分布式IP GW网关组的上层网络设备发送终端的主机路由通告。上层网络设备接收到终端的主机路由通告后，通告路由协议(例如，BGP)，将终端主机路由通告同步至第二GW。

如此，第一GW接收的未被转发芯片通过MAC转发表项查找到匹配转发路径的第一业务报文，经第一GW的CPU进行软件处理后，依然可生成对应的终端主机路由通告，并通过上层设备将主机路由通告同步至分布式IP GW网关组中的其他网关中，解决了现有技术中，部分AP未具有代漫游终端发送免费ARP报文的功能，导致AP接入的GW无法在对外通告该漫游终端的主机路由，使得发往该漫游终端的报文因没有正确的主机路由而错误发送的问题。

进一步地，本申请实施例中，CPU还包括路由管理模块(图4中未示出)。ARP模块、ND模块生成对应的探测表项后，将探测表项传输至路由管理模块。路由管理模块根据探测表项生成终端的主机路由。后续，路由管理模块将终端的主机路由同步至上层网络设备。

可选地，下面对第二GW生成本地安全表的安全表项并向上层网络设备同步安全表项的过程进行详细说明。

第二GW生成本地安全表的安全表项并向上层网络设备同步安全表项。该安全表项同步至第一GW后，第一GW将安全表项中包括的表项存储至远端安全表中。第一GW通过远端安全表对终端的合法性进行检查。即第一GW在接收到第一业务报文后，在第一业务报文上送至第一GW的CPU的场景下，通过从第二GW同步的由第二GW生成的安全表项，对发送第第一业务报文的终端进行合法性检查。对于合法终端，执行前述步骤320至步骤340的过程。对于非法终端，则不再执行前述步骤320至步骤340的过程。

具体地，第二GW生成本地安全表的安全表项，该第二GW本地安全表的安全表项包括终端的MAC地址与终端的IP地址之间的绑定关系。第二GW向上层网络设备同步安全表项，以使得上层网络设备向第一GW同步安全表项。如此，第一GW接收到来自终端的第一业务报文且第一业务报文为第一类型报文时，根据第一业务报文包括的源MAC地址以及源IP地址查找同步的安全表，也即是远端安全表。

在本申请实施例中，第二GW与上层网络设备之间建立基于TCP的应用协议连接，应用协议可以是新设计的专用应用协议，也可以是基于现有协议进行扩展。比如，在BGP协议中增加新的地址族，用于同步MAC-IP安全表项。同步过程请参考图5。

可选地，第二GW可具体通过下述方式生成本地安全表的安全表项。

具体地，第二GW获取终端与DHCP服务器间交互的DHCP报文。第二GW从报文中获取终端的IP地址与终端的MAC地址。第二GW将终端的IP地址与终端的MAC地址进行绑定，得到终端对应的MAC-IP绑定表项。第二GW将终端对应的MAC-IP绑定表项作为本地安全表的安全表项。

进一步地，针对具有不同地址类型的终端，第二GW通过不同方式生成本地安全表的安全表项。

在一种实现方式中，对于使用IPv4地址的终端，第二GW截获该终端与DHCP服务器间交互的DHCPv4报文。第二GW从DHCPv4报文中获取到终端的IP地址以及MAC地址。第二GW将终端的IP地址与MAC地址形成MAC-IP绑定表项。第二GW将MAC-IP绑定表项作为本地安全表的安全表项。

或者，第二GW作为DHCPv4中继(Relay)，从与DHCP服务器交互的报文中获取到终端的IP地址以及MAC地址。第二GW将终端的IP地址与MAC地址形成MAC-IP绑定表项。第二GW将MAC-IP绑定表项作为本地安全表的安全表项。

在另一种实现方式中，对于使用IPv6地址的客户端，第二GW截获该终端与DHCP服务器间交互的DHCPv6报文。第二GW从DHCPv6报文中获取到终端的IPv6地址以及MAC地址。第二GW将终端的IPv6地址与MAC地址形成MAC-IPv6绑定表项。第二GW将MAC-IPv6绑定表项作为本地安全表的安全表项。

或者，第二GW作为DHCPv6中继(Relay)，从与DHCP服务器交互的报文中获取到终端的IPv6地址以及MAC地址。第二GW将终端的IPv6地址与MAC地址形成MAC-IPv6绑定表项。第二GW将MAC-IPv6绑定表项作为本地安全表的安全表项。

可选地，在本申请实施例中，还包括删除本地安全表的安全表项以及撤销已同步至第一GW中安全表项的过程。

具体地，若第二GW中ARP表项或ND表项删除，则第二GW触发本地安全表的安全表项删除机制。在本申请实施例中，第二GW触发本地安全表的安全表项删除机制时，不立即对待删除的本地安全表的安全表项进行删除处理，而是延迟预设期间后再对其进行删除。比如，延迟180秒再进行删除。在延迟期间内，若第二GW再次学习到同一终端的ARP表项或ND表项，则不再对该ARP表项或ND表项对应的待删除的本地安全表的安全表项进行删除处理。

若第二GW已删除本地安全表的安全表项时，第二GW向上层网络设备发送撤销安全表项的通知，以使得上层网络设备、第一GW将第二GW同步的安全表项进行删除处理。

同理，分布式IP GW网关组中包括的每个GW均生成本地安全表的安全表项，并向上层网络设备同步安全表项。下面对第一GW生成本地安全表的安全表项并向上层网络设备同步安全表项的过程进行简单说明。

第一GW生成本地安全表的安全表项并向上层网络设备同步安全表项。该安全表项也可用于第二GW对终端的合法性进行检查。即第二GW接收到该安全表项后，第二GW将安全表项中包括的表项存储至远端安全表中。第二GW在接收到第二业务报文后，在第二业务报文上送至第二GW的CPU的场景下，通过第一GW同步的由第一GW生成的安全表项，对发送第二业务报文的终端进行合法性检查。对于合法终端，执行前述步骤320至步骤340的过程。对于非法终端，则不再执行前述步骤320至步骤340的过程。

具体地，第一GW生成本地安全表的安全表项，该安全表项包括终端的MAC地址与终端的IP地址之间的绑定关系。第一GW向上层网络设备同步安全表项，以使得上层网络设备向第二GW同步安全表项。如此，第二GW接收到来自终端的第二业务报文且第二业务报文为第一类型报文时，根据第二业务报文包括的源MAC地址以及源IP地址查找同步的安全表，也即是远端安全表。

在本申请实施例中，第一GW与上层网络设备之间建立基于TCP的应用协议连接，应用协议可以是新设计的专用应用协议，也可以是基于现有协议进行扩展。比如，在BGP协议中增加新的地址族，用于同步MAC-IP安全表项。同步过程与图5中第二GW的同步过程类似。

需要说明的是，第二业务报文为第二终端通过其接入的AP发送，第二GW的转发芯片接收到第二业务报文后，该转发芯片通过MAC转发表项未查找到匹配的转发路径，而将第二业务报文进行复制后上报至第二GW的CPU，该CPU在确定第二业务报文为第一类型报文后，根据第二业务报文包括的源MAC地址以及源IP地址查找同步的安全表，也即是远端安全表，并执行前述步骤320至步骤340的过程对第二业务报文进行处理。

可选地，第一GW可具体通过下述方式生成本地安全表项。

具体地，第一GW获取终端与DHCP服务器间交互的DHCP报文。第一GW从报文中获取终端的IP地址与终端的MAC地址。第一GW将终端的IP地址与终端的MAC地址进行绑定，得到终端对应的MAC-IP绑定表项。第一GW将终端对应的MAC-IP绑定表项作为本地安全表的安全表项。

进一步地，针对具有不同地址类型的终端，第一GW通过不同方式生成本地安全表的安全表项。

在一种实现方式中，对于使用IPv4地址的终端，第一GW截获该终端与DHCP服务器间交互的DHCPv4报文。第一GW从DHCPv4报文中获取到终端的IP地址以及MAC地址。第一GW将终端的IP地址与MAC地址形成MAC-IP绑定表项。第一GW将MAC-IP绑定表项作为本地安全表的安全表项。

或者，第一GW作为DHCPv4中继(Relay)，从与DHCP服务器交互的报文中获取到终端的IP地址以及MAC地址。第一GW将终端的IP地址与MAC地址形成MAC-IP绑定表项。第一GW将MAC-IP绑定表项作为本地安全表的安全表项。

在另一种实现方式中，对于使用IPv6地址的客户端，第一GW截获该终端与DHCP服务器间交互的DHCPv6报文。第一GW从DHCPv6报文中获取到终端的IPv6地址以及MAC地址。第一GW将终端的IPv6地址与MAC地址形成MAC-IPv6绑定表项。第一GW将MAC-IPv6绑定表项作为本地安全表的安全表项。

或者，第一GW作为DHCPv6中继(Relay)，从与DHCP服务器交互的报文中获取到终端的IPv6地址以及MAC地址。第一GW将终端的IPv6地址与MAC地址形成MAC-IPv6绑定表项。第一GW将MAC-IPv6绑定表项作为本地安全表的安全表项。

可选地，在本申请实施例中，还包括删除本地安全表的安全表项以及撤销已同步至第二GW中安全表项的过程。

具体地，若第一GW中ARP表项或ND表项删除，则第一GW触发本地安全表的安全表项删除机制。在本申请实施例中，第一GW触发本地安全表的安全表项删除机制时，不立即对待删除的本地安全表的安全表项进行删除处理，而是延迟预设期间后再对其进行删除。比如，延迟180秒再进行删除。在延迟期间内，若第一GW再次学习到同一终端的ARP表项或ND表项，则不再对该ARP表项或ND表项对应的待删除的本地安全表的安全表项进行删除处理。

若第一GW已删除本地安全表的安全表项时，第一GW向上层网络设备发送撤销安全表项的通知，以使得上层网络设备、第二GW将同步的安全表项进行删除处理。

基于同一发明构思，本申请实施例还提供了与上述路由更新的方法对应的路由更新的装置。参见图6，图6为本申请实施例提供的路由更新的装置结构图，该装置应用于第一GW，所述第一GW处于分布式IP GW网关组中，所述装置包括：

接收单元610，用于接收来自终端的第一业务报文，所述第一业务报文包括源MAC地址以及源IP地址；

探测单元620，用于当所述第一业务报文为第一类型报文时，根据所述源MAC地址以及源IP地址，发起对所述终端的探测请求；

第一生成单元630，用于当接收到来自终端的探测响应时，生成所述终端对应的探测表项；

发送单元640，用于向所述分布式IP GW网关组的上层网络设备发送所述终端的主机路由通告，所述主机路由通告根据所述探测表项生成，以使得所述上层网络设备向所述第二GW同步所述终端的主机路由通告。

可选地，所述装置还包括：获取单元(图中未示出)，用于获取接收所述第一业务报文的端口标识以及所述第一业务报文所属的VLAN标识；

所述探测单元620具体用于，通过所述端口标识对应的端口，在所述VLAN标识指示的VLAN内，发起对所述终端的探测请求。

可选地，所述分布式IP GW网管组还包括第二GW；

所述接收单元610还用于，接收所述上层网络设备同步的由所述第二GW生成的安全表项，所述安全表项包括接入所述第二GW的终端的地址关系；

所述装置还包括：存储单元(图中未示出)，用于将所述安全表项包括的所述终端的地址关系存储至远端安全表中；

所述装置还包括：安全检查单元(图中未示出)，用于当所述第一业务报文为第一类型报文时，根据所述源MAC地址以及源IP地址查找所述远端安全表；

所述探测单元620还用于，若在所述远端安全表中查找到与所述源MAC地址以及源IP地址匹配的安全表项，则根据所述源MAC地址以及源IP地址，发起对所述终端的探测请求。

可选地，所述第一类型报文具体为IP报文；

所述探测单元630具体用于，向所述终端发送ARP请求报文，所述ARP请求报文包括目的以太网地址以及目的IP地址，所述目的以太网地址具体为所述源MAC地址，所述目的IP地址具体为所述源IP地址；

所述第一生成单元640具体用于，当接收到来自终端的ARP响应报文时，生成所述终端对应的ARP表项。

可选地，所述第一类型报文具体为IPv6报文；

所述探测单元630具体用于，向所述终端发送ND NS报文，所述ND NS报文包括的目的以太网地址以及目的IP地址，所述目的以太网地址具体为所述源MAC地址，所述目的IP地址具体为所述源IP地址；

所述第一生成单元640具体用于，当接收到来自终端的ND NA时，生成所述终端对应的ND表项。

可选地，所述装置还包括：第二生成单元(图中未示出)，用于生成本地安全表的安全表项，所述安全表项包括所述终端的MAC地址与所述终端的IP地址之间的绑定关系；

所述发送单元650还用于，向所述分布式网管组的IP GW网关组的上层网络设备同步所述本地安全表的安全表项。

可选地，所述第二生成单元(图中未示出)具体用于，获取所述终端与DHCP服务器间交互的DHCP报文，从报文中获取所述终端的IP地址与所述终端的MAC地址；

将所述终端的IP地址与所述终端的MAC地址进行绑定，得到所述终端对应的MAC-IP绑定表项；

将终端对应的MAC-IP绑定表项作为所述本地安全表的安全表项。

因此，通过应用本申请提供的一种路由更新的装置，该装置接收来自终端的第一业务报文，该第一业务报文包括源MAC地址以及源IP地址。当第一业务报文为第一类型报文时，该装置根据所述源MAC地址以及源IP地址，发起对终端的探测请求。当接收到来自终端的探测响应时，该装置生成终端对应的探测表项。该装置向分布式网关组IP GW网关组的上层网络设备发送终端的主机路由通告，该主机路由通告根据探测表项生成，以使得上层网络设备向第二GW同步终端的主机路由通告。

基于同一发明构思，本申请实施例还提供了一种网络设备，如图7所示，包括处理器710、收发器720和机器可读存储介质730，机器可读存储介质730存储有能够被处理器710执行的机器可执行指令，处理器710被机器可执行指令促使执行本申请实施例所提供的路由更新的方法。前述图6所示的路由更新的装置，可采用如图7所示的网络设备硬件结构实现。

上述计算机可读存储介质730可以包括随机存取存储器(英文：Random AccessMemory，简称：RAM)，也可以包括非易失性存储器(英文：Non-volatile Memory，简称：NVM)，例如至少一个磁盘存储器。可选的，计算机可读存储介质730还可以是至少一个位于远离前述处理器710的存储装置。

上述处理器710可以是通用处理器，包括中央处理器(英文：Central ProcessingUnit，简称：CPU)、网络处理器(英文：Network Processor，简称：NP)等；还可以是数字信号处理器(英文：Digital Signal Processor，简称：DSP)、专用集成电路(英文：ApplicationSpecific Integrated Circuit，简称：ASIC)、现场可编程门阵列(英文：Field-Programmable Gate Array，简称：FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本申请实施例中，处理器710通过读取机器可读存储介质730中存储的机器可执行指令，被机器可执行指令促使能够实现处理器710自身以及调用收发器720执行前述本申请实施例描述的路由更新的方法。

另外，本申请实施例提供了一种机器可读存储介质730，机器可读存储介质730存储有机器可执行指令，在被处理器710调用和执行时，机器可执行指令促使处理器710自身以及调用收发器720执行前述本申请实施例描述的路由更新的方法。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

对于路由更新的装置以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims

1.一种路由更新的方法，其特征在于，所述方法应用于第一GW的CPU，所述第一GW处于分布式IP GW网关组中，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述发起对所述终端的探测请求之前，所述方法还包括：

获取接收所述第一业务报文的端口标识以及所述第一业务报文所属的VLAN标识；

所述发起对所述终端的探测请求，具体包括：

通过所述端口标识对应的端口，在所述VLAN标识指示的VLAN内，发起对所述终端的探测请求。

3.根据权利要求1所述的方法，其特征在于，所述分布式IP GW网管组还包括第二GW；

所述接收来自终端的第一业务报文之前，所述方法还包括：

接收所述上层网络设备同步的由所述第二GW生成的安全表项，所述安全表项包括接入所述第二GW的终端的地址关系；

将所述安全表项包括的所述终端的地址关系存储至远端安全表中；

所述发起对所述终端的探测请求之前，所述方法还包括：

当所述第一业务报文为第一类型报文时，根据所述源MAC地址以及源IP地址查找所述远端安全表；

若在所述远端安全表中查找到与所述源MAC地址以及源IP地址匹配的安全表项，则根据所述源MAC地址以及源IP地址，发起对所述终端的探测请求。

4.根据权利要求1所述的方法，其特征在于，所述第一类型报文具体为IP报文；

所述发起对所述终端的探测请求，具体包括：

向所述终端发送ARP请求报文，所述ARP请求报文包括目的以太网地址以及目的IP地址，所述目的以太网地址具体为所述源MAC地址，所述目的IP地址具体为所述源IP地址；

所述当接收到来自终端的探测响应时，生成所述终端对应的探测表项，具体包括：

当接收到来自终端的ARP响应报文时，生成所述终端对应的ARP表项。

5.根据权利要求1所述的方法，其特征在于，所述第一类型报文具体为IPv6报文；

所述发起对所述终端的探测请求，具体包括：

向所述终端发送ND NS报文，所述ND NS报文包括的目的以太网地址以及目的IP地址，所述目的以太网地址具体为所述源MAC地址，所述目的IP地址具体为所述源IP地址；

当接收到来自终端的ND NA时，生成所述终端对应的ND表项。

6.根据权利要求3所述的方法，其特征在于，所述方法还包括：

生成本地安全表的安全表项，所述安全表项包括所述终端的MAC地址与所述终端的IP地址之间的绑定关系；

向所述上层网络设备同步所述安全表项，以使得所述上层网络设备向所述第二GW同步所述安全表项。

7.根据权利要求6所述的方法，其特征在于，所述生成本地安全表的安全表项具体包括：

获取所述终端与DHCP服务器间交互的DHCP报文，从报文中获取所述终端的IP地址与所述终端的MAC地址；

8.一种路由更新的装置，其特征在于，所述装置应用于第一GW，所述第一GW处于分布式IP GW网关组中，所述装置包括：

探测单元，用于当所述第一业务报文为第一类型报文时，根据所述源MAC地址以及源IP地址，发起对所述终端的探测请求；

9.根据权利要求8所述的装置，其特征在于，所述装置还包括：

获取单元，用于获取接收所述第一业务报文的端口标识以及所述第一业务报文所属的VLAN标识；

所述探测单元具体用于，通过所述端口标识对应的端口，在所述VLAN标识指示的VLAN内，发起对所述终端的探测请求。

10.根据权利要求7所述的装置，其特征在于，所述分布式IP GW网管组还包括第二GW；

所述接收单元还用于，接收所述上层网络设备同步的由所述第二GW生成的安全表项，所述安全表项包括接入所述第二GW的终端的地址关系；

所述装置还包括：存储单元，用于将所述安全表项包括的所述终端的地址关系存储至远端安全表中；

所述装置还包括：安全检查单元，用于当所述第一业务报文为第一类型报文时，根据所述源MAC地址以及源IP地址查找所述远端安全表；

所述探测单元还用于，若在所述远端安全表中查找到与所述源MAC地址以及源IP地址匹配的安全表项，则根据所述源MAC地址以及源IP地址，发起对所述终端的探测请求。

11.根据权利要求8所述的装置，其特征在于，所述第一类型报文具体为IP报文；

所述探测单元具体用于，向所述终端发送ARP请求报文，所述ARP请求报文包括目的以太网地址以及目的IP地址，所述目的以太网地址具体为所述源MAC地址，所述目的IP地址具体为所述源IP地址；

所述第一生成单元具体用于，当接收到来自终端的ARP响应报文时，生成所述终端对应的ARP表项。

12.根据权利要求8所述的装置，其特征在于，所述第一类型报文具体为IPv6报文；

所述探测单元具体用于，向所述终端发送ND NS报文，所述ND NS报文包括的目的以太网地址以及目的IP地址，所述目的以太网地址具体为所述源MAC地址，所述目的IP地址具体为所述源IP地址；

所述第一生成单元具体用于，当接收到来自终端的ND NA时，生成所述终端对应的ND表项。

13.根据权利要求8所述的装置，其特征在于，所述装置还包括：

第二生成单元，用于生成本地安全表的安全表项，所述安全表项包括所述终端的MAC地址与所述终端的IP地址之间的绑定关系；

所述发送单元还用于，向所述分布式网管组的IP GW网关组的上层网络设备同步所述安全表项。

14.根据权利要求13所述的装置，其特征在于，所述第二生成单元具体用于，获取所述终端与DHCP服务器间交互的DHCP报文，从报文中获取所述终端的IP地址与所述终端的MAC地址；