CN114205312A - 一种生成表项的方法和设备 - Google Patents

一种生成表项的方法和设备 Download PDF

Info

Publication number
CN114205312A
CN114205312A CN202111366024.5A CN202111366024A CN114205312A CN 114205312 A CN114205312 A CN 114205312A CN 202111366024 A CN202111366024 A CN 202111366024A CN 114205312 A CN114205312 A CN 114205312A
Authority
CN
China
Prior art keywords
flow
spec
bgp
priority
forwarding
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111366024.5A
Other languages
English (en)
Inventor
王芳
许健彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202111366024.5A priority Critical patent/CN114205312A/zh
Publication of CN114205312A publication Critical patent/CN114205312A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/50Queue scheduling
    • H04L47/62Queue scheduling characterised by scheduling criteria
    • H04L47/625Queue scheduling characterised by scheduling criteria for service slots or service orders
    • H04L47/6275Queue scheduling characterised by scheduling criteria for service slots or service orders based on priority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及一种生成表项的方法及装置,所述方法包括:第一网络设备生成边界网关协议BGP UPDATE消息,用于发布BGP flow‑spec路由,所述BGP UPDATE消息包括flow‑spec优先级,所述第一网络设备向转发设备发送所述BGP UPDATE消息,以触发所述转发设备根据所述BGP UPDATE消息生成BGP flow‑spec表项,所述BGP flow‑spec表项包括所述flow‑spec优先级,所述flow‑spec优先级用于标识所述BGP flow‑spec表项在被用于指导报文转发时的优先级。根据上述技术方案,能够有效控制报文转发行为,实现流量灵活调控。

Description

一种生成表项的方法和设备
本申请是申请号为201610506186.7的中国专利申请的分案申请。
技术领域
本申请涉及通信技术领域,尤其涉及一种生成表项的方法及设备。
背景技术
RFC5575中定义了一种边界网关协议(英文:Border Gateway Protocol,BGP)流规则(英文:Flow Specification,flow-spec)路由,这种BGP flow-spec路由包含了一类新的BGP网络层可达信息类型和扩展团体属性。通过这种新的网络层可达信息和扩展团体属性,BGP flow-spec路由可以携带流量的过滤条件和流量过滤后执行的动作。创建BGP flow-spec路由的设备和转发设备之间通过创建BGP对等体关系,来传递BGP flow-spec路由。当BGP对等体收到BGP flow-spec路由后将优选的路由转换为转发层面的流量控制策略,从而实现对流量的调控。
现有技术中,用户希望对经过转发设备的流量进行控制时,例如,通过BGP flow-spec路由,调整特定需求的流量进行路由转发。根据目前BGP flow-spec的规定,BGP flow-spec表项的优先级顺序,依赖于RFC5575中定义的优先级排序规则,其中,根据规则,类型号越小的表项优先级越高。如表1所示。
例如,用户希望由源地址A向目的地址D发送的报文,执行动作1,而其它源地址向目的地址D发送的报文,执行动作2。根据目前协议规定,以源地址为过滤条件类型的BGPflow-spec表项的类型号比以目的地址为过滤条件类型的BGP flow-spec表项的类型号大,则类型号大的BGP flow-spec表项无法优于类型号小的BGP flow-spec表项而生效。因此,由源地址A向目的地址D发送的报文,会被错误的执行动作2。因此,无法有效地根据需要对报文转发行为进行灵活的控制。
Type ID Type name
1 Destination Prefix
2 Source Prefix
3 IP Protocol
4 Port
5 Destination port
6 Source port
表1
发明内容
有鉴于此,本申请提供了一种生成表项的方法及设备,在BGP flow-spec表项中增加flow-spec优先级,通过所述flow-spec优先级来标识所述BGP flow-spec表项在被用于指导报文转发时的优先级。从而能够有效控制报文转发行为,实现流量的灵活调控。
第一方面,本申请提供了一种生成表项的方法,所述方法包括:第一网络设备生成边界网关协议BGP更新UPDATE消息,所述BGP UPDATE消息用于发布BGP flow-spec路由,所述BGP UPDATE消息包含有flow-spec优先级;并向转发设备发送所述BGP UPDATE更新消息,以触发所述转发设备根据所述BGP UPDATE消息生成BGP flow-spec表项,所述BGP flow-spec表项包括所述flow-spec优先级,所述flow-spec优先级用于标识所述BGP flow-spec表项在被用于指导报文转发时的优先级。
在BGP flow-spec表项中增加flow-spec优先级,通过指定所述flow-spec优先级,来标识所述BGP flow-spec表项在被用于指导报文转发时的优先级。从而能够有效控制报文转发行为,实现流量的灵活调控。将本申请所述的方法,用于网络流量攻击防御,例如,分布式拒绝服务(英文:Distributed Denial of Service,DDoS)攻击防御,能有有效减缓攻击流量对网络造成的影响。
第二方面,本申请提供了一种生成表项的方法,该方法包括:转发设备接收第一网络设备发送的BGP UPDATE消息,所述BGP UPDATE消息用于发布BGP flow-spec路由,所述BGP UPDATE消息包含有flow-spec优先级;
所述转发设备根据所述BGP UPDATE消息生成BGP flow-spec表项,并将所述BGPflow-spec表项存储在BGP flow-spec表中,所述BGP flow-spec表项包括所述flow-spec优先级,所述flow-spec优先级用于标识所述BGP flow-spec表项在被用于指导报文转发时的优先级。
在BGP flow-spec表项中增加flow-spec优先级,通过指定所述flow-spec优先级,来标识所述BGP flow-spec表项在被用于指导报文转发时的优先级。从而能够有效控制报文转发行为,实现流量的灵活调控。将本申请所述的方法,用于网络流量攻击防御,例如,DDoS攻击防御,能有有效减缓攻击流量对网络造成的影响。
在第二方面第一种可能的实施方式中,当所述BGP flow-spec表中存在多条BGPflow-spec表项时,并且每条BGP flow-spec表项分别包含flow-spec优先级,所述第二方面的方法还包括:
当所述转发设备进行报文转发时,根据所述报文的关键字优先匹配所述BGPflow-spec表中flow-spec优先级高的BGP flow-spec表项,并根据匹配到的BGP flow-spec表项中的动作项信息指示的处理方式对所述报文进行处理。例如,可以根据所述动作项信息的指示,对所述报文进行丢弃处理。
第三方面,本申请提供了一种第一网络设备,用于执行第一方面的方法。具体的,该第一网络设备包括用于执行第一方面的方法的功能单元。
第四方面,本申请提供了一种转发设备,用于执行第二方面或第二方面的第一种可能的实施方式中的方法。具体的,该转发设备包括用于执行第二方面或第二方面的第一种可能的实施方式中的方法的功能单元。
第五方面,本申请提供了一种第一网络设备,该第一网络设备包括网络接口,处理器,存储器,所述处理器以及存储器之间通过总线相连,所述处理器用于执行所述存储器中的代码,当所述代码被执行时,该执行使得处理器执行第一方面的方法。
第六方面,本申请提供了一种转发设备,该转发设备包括网络接口,处理器,存储器,所述处理器以及存储器之间通过总线相连,所述处理器用于执行所述存储器中的代码,当所述代码被执行时,该执行使得处理器执行第二方面或第二方面的第一种可能的实施方式中的方法。
第七方面,本申请提供了一种计算机可读存储介质,用于存储计算机程序,该计算机程序包括用于执行第一方面、第二方面或第二方面第一种可能的实施方式的方法的指令。
第八方面,本申请提供了一种通信系统,包括第三方面或第五方面所述的第一网络设备,和第四方面或第六方面所述的转发设备,用于执行第一方面、第二方面或第二方面第一种可能的实施方式的方法。
在上述第一至第八方面中,所述第一网络设备为控制转发分离网络架构下的控制器Controller;或
所述第一网络设备为与所述转发设备构成BGP对等体的转发设备;或
所述第一网络设备为流量分析服务器。
由此可见,本申请的技术方案能够满足不同应用场景下,对报文的转发行文进行灵活调控。
在上述第一至第八方面中,所述flow-spec优先级被承载于所述BGP UPDATE消息的扩展团体属性字段中。
本申请所述的技术方案,在BGP flow-spec表项中增加flow-spec优先级,通过指定所述flow-spec优先级,来标识所述BGP flow-spec表项在被用于指导报文转发时的优先级。从而能够有效控制报文转发行为,实现流量的灵活调控。将本申请所述的方法,用于网络流量攻击防御,例如,DDoS攻击防御,能有有效减缓攻击流量对网络造成的影响。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例应用的场景1的示意图;
图2为本申请实施例应用的场景2的示意图;
图3为本申请实施例提供的一种生成表项的方法流程图;
图4为本申请实施例提供的一种第一网络设备的示意图;
图5为本申请实施例提供的一种转发设备的示意图;
图6为本申请实施例提供的一种第一网络设备的硬件结构示意图;
图7为本申请实施例提供的一种转发设备的硬件结构示意图;
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都应属于本申请保护的范围。
本申请实施例描述的应用场景是为了更加清楚的说明本申请实施例的技术方案,并不构成对本申请实施例提供的技术方案的限定。本领域普通技术人可知,随着网络架构的演变和新业务场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适应。
下面结合图1对本申请实施例的应用场景1进行说明。
图1示例性地示出了本申请实施例应用的软件定义网络(英文:Software DefinedNetworking,SDN)100。该网络100包括控制器110和多个网络设备120。可选地,该控制器120可以具体为智能网络控制器(英文:Smart Network Controller,SNC),但本申请实施例不限于此。
网络设备120可以用于对报文进行转发处理。网络设备具体可以为传统路径计算单元(英文:Path Computation Element,PCE)网络中的传统路由器、交换机等路由转发设备,也可以是基于控制转发分离的SDN中的路由器或交换机等路由转发设备,本申请实施例对此不做限定。
图1示例性地示出了六个路由器:R1至R6,其中,R1至R4属于自治系统(英文:Autonomous System,AS)1,R5属于AS2,R6属于AS3。应理解,图1仅示例性地示出了一个控制器和六个路由器,该网络100可以包括任意其它数量的控制器和网络设备,本申请实施例对此不做限定。
在图1所示的例子中,假设R1接入的业务目的地址为D,并且由R1到D可以具有X和Y两条路径,其中,路径X依次经由R1、R2和R5,路径Y依次经由R1、R3和R6。为了保证VIP客户的业务流量能够得到带宽保证,路径X为供VIP客户使用的VIP专用链路,路径Y为供普通用户使用的普通链路。当源IP地址为A的VIP客户通过R1访问目的地址D的设备,非VIP客户通过R1访问目的地址D的设备时,控制器110生成两条BGP flow-spec表项信息,并发送给R1。如表2所示:
EntryID Filter Action
1 Destination Prefix:D Path Y
2 Source Prefix:A Path X
表2
表2中,所述“Entry ID”为表项编号,表项编号是为了便于本申请实施例进行直观的说明,在控制器向转发设备实际发送的BGP flow-spec表项信息中,可以不包含该表项编号。所述“Filter”:流量过滤信息,用于表明流量过滤条件。所述“Action”:动作项信息,转发设备根据动作项信息指示的处理方式对所述报文进行处理。其中,动作项信息可以包括流动作、重定向、流速率以及流标记等信息。
控制器110发送给R1的两条BGP flow-spec表项信息中,希望源IP地址为A的VIP客户向目的IP地址D发送的报文能够根据Entry2的指示,定向到路径X上进行转发,希望非VIP客户发送的目的IP地址为D的报文能够根据Entry1的指示,定向到路径Y上进行转发。
然而根据目前协议规定的BGP flow-spec表项的优先级规则,以源地址为流量过滤条件类型的BGP flow-spec表项的类型号比以目的地址为流量过滤条件类型的BGPflow-spec表项的类型号大,因此,源IP地址为A的VIP客户向目的IP地址D发送的报文,会被定向到路径Y上进行发送。
下面结合图2对本申请实施例的应用场景2进行说明。
图2示例性地示出了本申请实施例应用的网络200。该网络200包括:流量分析服务器210和多个网络设备220。网络设备120可以用于对报文进行转发处理。网络设备具体可以为路由器、交换机等路由转发设备,本申请实施例对此不做限定。
图2示例性的示出了4个路由器:R7-R10,其中,R7属于AS100,R8-R10以及流量分析服务器210属于AS200。应理解,图2仅示例性地示出了一个流量分析服务器和四个路由器,该网络200可以包括任意其它数量的流量分析服务器和网络设备,本申请实施例对此不做限定。
由图2可知,R9和R10把流量采样样本发送给流量分析服务器210,当源IP地址为C的攻击源230发起流量攻击时,流量分析服务器210按照预定定义的规则,对流量采样样本进行检测,识别异常流量。流量分析服务器210根据异常流量的特征自动创建BGP flow-spec路由,然后通过发布这条BGP flow-spec路由,把流量过滤规则传递给BGP对等体R8。R8在收到BGP flow-spec路由后,把路由转化为流量控制策略,对匹配规则的流量进行控制。假设,流量分析服务器生成的流量过滤规则为:
1).源IP地址为A的流量,丢弃;
2).目的IP地址为D的流量,限制传输速率。
即按照流量分析服务器210生成的流量过滤规则,希望转发设备接收到所有来自源IP地址为A的流量,均进行丢弃处理。转发设备接收到所有目的地址为D的流量,均进行限制传输速率处理。然而,当转发设备接收到源IP地址A向目的IP地址D发送的攻击流量时,根据目前协议规定的BGP flow-spec表项的优先级规则,转发设备对本应该被丢弃的攻击流量未做丢弃处理,而只是对其传输速率进行了限制,因此,攻击仍然存在。
图3示例性的示出了本申请实施例提供的用于生成表项的方法300。该方法300可以应用于如图1所示的SDN100或图2所示的网络200,但本申请实施例不限于此。
S301、第一网络设备生成边界网关协议BGP更新UPDATE消息。所述BGP UPDATE消息用于发布BGP flow-spec路由,所述BGP UPDATE消息包含有flow-spec优先级。
所述第一网络设备可以用于对网络的流量进行控制。可选的,该第一网路设备具体可以为控制转发分离架构下的控制器Controller,所述控制器可以具体为SNC。例如,该第一网络设备可以具体为图1中所示的控制器。
可选的,该第一网络设备也可以为流量分析服务器。例如,该第一网络设备可以具体为图2中所示的流量分析服务器。
可选的,该第一网络设备也可以是转发设备,具体可以为传统路径计算单元(英文:Path Computation Element,PCE)网络中的传统路由器、交换机等路由转发设备,也可以是基于控制转发分离的SDN中的路由器或交换机等路由转发设备。例如,该第一网络设备可以具体为图1中所示的R4或图2中所示的R9。本申请实施例对此不作限定。
在一个具体的实施方式中,如图1所示,控制器110作为所述第一网络设备。控制器110和R1之间建立BGP对等体关系。控制器110生成所述BGP UPDATE消息,来向BGP对等体传递所述BGP flow-spec路由。
在另一个具体的实施方式中,如图2所示,流量分析服务器210作为所述第一网路设备。流量分析服务器210和R8之间建立BGP对等体关系。流量分析服务器210生成所述BGPUPDATE消息,来向BGP对等体传递所述BGP flow-spec路由。
该BGP UPDATE消息还可以包括动作项信息,所述动作项信息具体可以包括流速率(英文:traffic-rate)、流动作(英文:traffic-action),流标记(英文:traffic-marking)以及重定向(英文:Redirect)中的一个或多个。例如,该BGP UPDATE消息中的扩展团体(英文:Extended Community)属性包括上述动作项信息。
该BGP UPDATE消息还可以包括多协议可达网络层可达信息(英文:MultiprotocolReachable Network Layer Reachability Information,MP_REACH_NLRI)字段。MP_REACH_NLRI可以属于路径属性,并且可选地,MP_REACH_NLRI字段可以包括在该BGP UPDATE消息的Extended Community属性中。作为一个可选例子,MP_REACH_NLRI属性可以由一个或多个三元组<地址族信息、下一跳信息、网络可达性信息>组成,相应地,MP_REACH_NLRI字段可以包括地址族信息域、下一跳网络地址信息(英文:Next Hop Network Address Information)域和NLRI域。其中,可选地,地址族信息域可以包括2字节的地址族标识(英文:AddressFamily Identifier,AFI)和1字节的子地址族标识(英文:Subsequent Address FamilyIdentifier,SAFI),AFI可以用于标识网络层协议,SAFI可以用于标识NLRI的类型;下一跳网络地址信息域可以包括下一跳网络地址;NLRI域可以包括长度域、标签域和前缀域,其中,该前缀域可以对应不同的流量过滤条件,例如目的地址、源地址、目的端口、源端口等等。可选地,在本申请实施例中,该前缀域可以仅包括目的地址或源地址这一种流量过滤条件,本申请实施例对此不做限定。
可选的,所述flow-spec优先级信息被承载在所述BGP UPDATE消息的扩展团体属性字段中。在BGP扩展团体属性字段中,新增flow-spec优先级类型,如表3所示:
表3中type为0x8006-0x8009的四种已有扩展团体属性类型的说明,具体参见RFC5575的相关定义,此处不再赘述。新增的flow-spec优先级的类型设置为“0x800F”,也可以对应于其它数值,具体可以由互联网号码分配局(英文:Internet Assigned NumberAuthority,IANA)登记处分配,flow-spec优先级的字段名称具体可以定义为“traffic-priority”,也可以定义为其它名称,本申请实施例对此不做限定。
Figure BDA0003360824940000071
表3
进一步可选的,也可以使用所述BGP UPDATE消息中的其它属性字段来承载所述flow-spec优先级。例如,BGP UPDATE消息中的扩展私有属性字段,用于承载所述flow-spec优先级,本申请实施例对此不做限定。
S302、所述第一网络设备向转发设备发送所述BGP UPDATE消息,以触发所述转发设备根据所述BGP UPDATE消息生成BGP flow-spec表项。所述BGP flow-spec表项包括所述flow-spec优先级,所述flow-spec优先级用于标识所述BGP flow-spec表项在被用于指导报文转发时的优先级。
该转发设备为报文的路由路径上的网络设备,用于对接收到的报文进行处理。具体可以为传统PCE网络中的传统路由器、交换机等路由转发设备,也可以是基于控制转发分离的SDN中的路由器或交换机等路由转发设备,本申请实施例对此不做限定。例如,该转发设备可以具体为图1中所示的R1或图2所示的R8。
在一个具体的实施方式中,转发设备接收到第一网络设备发送的所述BGP UPDAT消息后,会根据所述BGP UPDAT消息所携带的flow-spec优先级,流量过滤条件以及动作项信息,来生成相应的BGP flow-spec表项。
S303、转发设备接收第一网路设备发送的所述BGP UPDAT消息。
S304、所述转发设备根据所述BGP UPDATE消息生成BGP flow-spec表项,并将所述BGP flow-spec表项存储在BGP flow-spec表中。
所述BGP flow-spec表包括至少一个BGP flow-spec表项,所述BGP flow-spec表项包括所述flow-spec优先级,所述flow-spec优先级用于标识所述BGP flow-spec表项在被用于指导报文转发时的优先级。
在一个具体的实施方式中,当用户希望对经过转发设备的报文进行流量控制,例如,对访问某个目的IP地址的具有特定源IP地址的报文进行特定路由转发时,该转发设备上设置包括至少一个BGP flow-spec表项的所述BGP flow-spec表。其中,BGP flow-spec表项可以包括流量过滤条件以及针对匹配的报文所采用的动作项信息。该流量过滤条件可以包括目的IP地址、源IP地址、源端口号、目的端口号等等。该动作项信息可以包括重定向到某个特定端口,丢弃,限制传输速率等等。这样,转发设备在收到报文时,可以先查询BGPflow-spec表,如果BGP flow-spec表中存在与该报文匹配的BGP flow-spec表项,则可以根据匹配到的BPG flow-spec表项中的动作项信息所指示的处理方式对报文进行处理。
在一个具体的实施方式中,如图1所示,R1作为所述转发设备,接收控制器110发送的所述BGP UPDATE消息。
在另一个具体的实施方式中,如图2所示,R8作为所述转发设备,接收流量分析服务器210发送的所述BGP UPDATE消息。
所述BGP UPDATE消息携带所述flow-spec优先级。转发设备根据所述BGP UPDATE消息生成BGP flow-spec表项,并将所述BGP flow-spec表项存储在BGP flow-spec表中。本申请实施例中,转发设备的BGP flow-spec表进行了表项扩展,增加了flow-spec优先级字段。可选的,在该BGP flow-spec表中,每个BGP flow-spec表项包括flow-spec优先级,流量过滤条件以及动作项信息。
本申请实施例所涉及的BGP flow-spec表项以所述flow-spec优先级所指定的优先级进行排序,flow-spec优先级越高,则对应的BGP flow-spec表项的优先级越高。相同flow-spec优先级的BGP flow-spec表项间优先级遵循RFC5575定义的Type优先级定义,类型号越小的表项优先级越高。扩展了flow-spec优先级字段的BGP flow-spec表项的格式,如表4所示:
本领域技术人员可以理解,表4只是用于对扩展了flow-spec优先级的BGP flow-spec表项所包含的信息进行示意性的说明。
EntryID Priority Filter Action
1 7 Source Prefix:A Action1
2 6 Destination Prefix:D Action 2
3 5 Source Prefix:B Action 3
n 0 Destination Prefix:Z Action n
表4
由表4可知,Entry1以源IP地址A为流量过滤条件,flow-spec优先级为7。Entry2以目的IP地址D为流量过滤条件,其flow-spec优先级为6。即Entry1的优先级高于Entry2的优先级。
可选的,当所述BGP flow-spec表中存在多条BGP flow-spec表项时,并且每条BGPflow-spec表项分别包含flow-spec优先级,所述方法300还包括S305:
当所述转发设备进行报文转发时,根据所述报文的关键字优先匹配所述BGPflow-spec表中flow-spec优先级高的BGP flow-spec表项,并根据匹配到的BGP flow-spec表项中的动作项信息指示的处理方式对所述报文进行处理。
在一个具体的实施方式中,结合图1和表4,如图1所示,转发设备R1收到源IP地址为A的VIP客户发送的目的IP地址D的报文时,以所述报文的源IP地址和目的IP地址为关键字优先匹配所述BGP flow-spec表中flow-spec优先级高的BGP flow-spec表项。按照flow-spec优先级由高到低的顺序,进行BGP flow-spec表项匹配。Entry1的flow-spec优先级比Entry2的flow-spec优先级高。因此,转发设备匹配到Entry1,会根据Entry1中的动作项信息指示的处理方式对所述报文进行处理,例如,由路径X进行报文转发。同理,转发设备收到非VIP客户发送的目的IP地址为D的报文时,按照flow-spec优先级由高到低的顺序,进行BGP flow-spec表项匹配。匹配到Entry2,则按照Entry2中的动作项信息指示的处理方式对所述报文进行处理,例如,由路径Y进行报文转发。
在另一个具体的实施方式中,结合图2和表4,如图2所示,转发设备R8接收到源IP地址为A的攻击源发送的目的地址为D的攻击报文时,以所述报文的源IP地址和目的IP地址为关键字优先匹配所述BGP flow-spec表中flow-spec优先级高的BGP flow-spec表项。按照flow-spec优先级由高到低的顺序,进行BGP flow-spec表项匹配。Entry1的flow-spec优先级比Entry2的flow-spec优先级高。因此,转发设备匹配到Entry1,会根据Entry1中的动作项信息指示的处理方式对所述报文进行处理,例如,丢弃该报文。同理,转发设备收到其它IP地址发送的目的IP地址为D的报文时,按照flow-spec优先级由高到低的顺序,进行BGPflow-spec表项匹配。匹配到Entry2,则按照Entry2中的动作项信息指示的处理方式对所述报文进行处理,例如,限制报文的传输速率。
在步骤S301之前,还可以包括步骤S306:
所述第一网络设备获取所述flow-spec优先级。
可选的,所述第一网络设备可以动态配置与每个流量过滤条件以及动作项信息所匹配的所述flow-spec优先级。可选的,所述第一网络设备也可以静态配置与每个流量过滤条件以及动作项信息所匹配的所述flow-spec优先级。可选的,所述第一网络设备还可以通过与其它网络设备之间交互的BGP UPDATE消息中,获取与每个流量过滤条件以及动作项信息所匹配的所述flow-spec优先级,再转发给所述转发设备。其中,其它网络设备可以是其它的控制器,其它的流量分析服务器,也可以是第二网络设备以外的转发设备。本申请实施例对此不作限定。
综上所述,本申请实施例所提供的方法,在BGP flow-spec表项中增加flow-spec优先级,通过所述flow-spec优先级来标识所述BGP flow-spec表项在被用于指导报文转发时的优先级。通过指定所述flow-spec优先级,来调整对应的BGP flow-spec表项的优先级,进而实现对报文转发行为的有效控制,能够灵活的进行流量调控。将本申请所述的方法,用于网络流量攻击防御,例如,DDoS攻击防御,能有有效减缓攻击流量对网络造成的影响。
本领域技术人员可以理解:实现上述方法实施例的全部或者部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤,而前述的存储介质包括:只读存储器(英文:Read-Only Memory,ROM)、随机存取存储器(英文:Random Access Memory,RAM)、可擦除可编程只读存储器(英文:Erasable ProgrammableRead-only Memory,EPROM)、光盘只读存储器(英文:Compact Disc Read-only Memory,CD-ROM)、磁碟或者光盘等各种可以存储程序代码的介质中。
为了执行上述实施例中的方法300,本申请实施例提供了一种网络设备400,该网络设备400具体可以是用于执行方法300的所述第一网络设备。参见图4,该网络设备400包括:处理单元401和发送单元402。
所述处理单元401,用于生成边界网关协议BGP更新UPDATE消息,所述BGP UPDATE消息用于发布BGP流规则flow-spec路由,所述BGP UPDATE消息包含有flow-spec优先级。
所述发送单元402,用于向转发设备发送所述处理单元401生成的所述BGP UPDATE消息,以触发所述转发设备根据所述BGP UPDATE消息生成BGP flow-spec表项,所述BGPflow-spec表项包括所述flow-spec优先级,所述flow-spec优先级用于标识所述BGP flow-spec表项在被用于指导报文转发时的优先级。
所述网络设备为控制转发分离网络架构下的控制器Controller;或
所述网络设备为与所述转发设备构成BGP对等体的转发设备;或
所述网络设备为流量分析服务器。
可选的,所述flow-spec优先级被承载于所述BGP UPDATE消息的扩展团体属性字段中。
可选的,所述flow-spec优先级被承载于所述BGP UPDATE消息的其它属性字段。例如,BGP UPDATE消息中的扩展私有属性字段,用于承载所述flow-spec优先级,本申请实施例对此不做限定。
为了执行上述实施例中的方法300,本申请实施例提供了一种转发设备500,参见图5,该转发设备包括:接收单元501和表处理单元502。
所述接收单元501,用于接收第一网络设备发送的BGP UPDATE消息,所述BGPUPDATE消息用于发布BGP flow-spec路由,所述BGP UPDATE消息包含有flow-spec优先级。
所述表处理单元502,用于根据所述接收单元501接收的所述BGP UPDATE消息生成BGP flow-spec表项,并将所述BGP flow-spec表项存储在BGP flow-spec表中,所述BGPflow-spec表项包括所述flow-spec优先级,所述flow-spec优先级用于标识所述BGP flow-spec表项在被用于指导报文转发时的优先级。
可选的,所述flow-spec优先级被承载于所述BGP UPDATE消息的扩展团体属性字段中。
可选的,所述flow-spec优先级被承载于所述BGP UPDATE消息的其它属性字段。例如,BGP UPDATE消息中的扩展私有属性字段,用于承载所述flow-spec优先级,本申请实施例对此不做限定。
可选的,所述转发设备500还包括:报文转发单元503。
报文转发单元503,用于当所述转发设备进行报文转发时,根据所述报文的关键字优先匹配所述BGP flow-spec表中flow-spec优先级高的BGP flow-spec表项,并根据匹配到的BGP flow-spec表项中的动作项信息指示的处理方式对所述报文进行处理;其中,所述BGP flow-spec表中存在多条BGP flow-spec表项,并且每条BGP flow-spec表项分别包含flow-spec优先级。
可选的,所述第一网络设备为控制转发分离网络架构下的控制器Controller。
可选的,所述第一网络设备为与所述转发设备构成BGP对等体的转发设备。
可选的,所述第一网络设备为流量分析服务器。
本申请各个实施例中各功能单元,可以通过电路来实现,也可以通过程序指令相关的硬件来实现,上述硬件可以采用本领域技术人员熟知的各种设备,比如:可以是网络处理器(英文:Network Processor,NP),中央处理器(英文:Central Processing Unit,CPU)等等。
本申请各个实施例中的各功能单元可以集成在一个处理器中,也可以是各个单元单独物理存在,也可以两个或两个以上电路集成在一个电路中。上述各功能单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
图6和图7示出了图3实施例提供的方法300中,所述第一网络设备和所述转发设备可能的硬件结构示意图。所述第一网络设备可以是如图6所示的第一网络设备600,转发设备可以是如图7所示的转发设备700。图6所示的第一网络设备600和图7所示的转发设备700可以用于执行图3实施例中所述的方法300。
如图6所示,所述第一网络设备600包括处理器601和网络接口602。所述处理器601可以通过网络接口602与所述转发设备通信。
所述处理器601,用于生成BGP UPDATE消息,所述BGP UPDATE消息用于发布BGPflow-spec路由,所述BGP UPDATE消息包含有flow-spec优先级;
所述网络接口602,用于向转发设备发送所述处理器601生成的所述BGP UPDATE消息,以触发所述转发设备根据所述BGP UPDATE消息生成BGP flow-spec表项,所述BGPflow-spec表项包括所述flow-spec优先级,所述flow-spec优先级用于标识所述BGP flow-spec表项在被用于指导报文转发时的优先级。
可选的,所述第一网络设备可以为控制转发分离网络架构下的控制器Controller。可选的,所述第一网络设备还可以为与所述转发设备构成BGP对等体的转发设备。可选的,所述第一网络设备还可以为流量分析服务器。本申请实施例对此不作限定。
所述flow-spec优先级被承载于所述BGP UPDATE消息的扩展团体属性字段中。
可选的,所述flow-spec优先级被承载于所述BGP UPDATE消息的其它属性字段。例如,BGP UPDATE消息中的扩展私有属性字段,用于承载所述flow-spec优先级,本申请实施例对此不做限定。
在另一种实施方式中,如图6所示,所述第一网络设备600可以包括:处理器601、网络接口602和存储器603。所述存储器603和处理器601可以通过总线604通信;所述处理器601通过网络接口602与所述转发设备通信。
所述存储器603,用于存储包括程序、指令或代码;
所述处理器601,用于执行存储器603中的程序、指令或代码,完成方法300中的S301以及S306的操作。
所述网络接口602,用于完成方法300中S302的操作。
图4中发送单元402的功能可以由网络接口602实现。图4中处理单元401的功能可以由处理器601实现。
如图7所示,所述转发设备700包括网络接口701和处理器702,
所述网络接口701,用于接收第一网络设备发送的BGP UPDATE消息,所述BGPUPDATE消息用于发布BGP flow-spec路由,所述BGP UPDATE消息包含有flow-spec优先级;
所述处理器702,用于根据所述网络接口701接收的所述BGP UPDATE消息生成BGPflow-spec表项,并将所述BGP flow-spec表项存储在BGP flow-spec表中,所述BGP flow-spec表项包括所述flow-spec优先级,所述flow-spec优先级用于标识所述BGP flow-spec表项在被用于指导报文转发时的优先级。
可选的,所述处理器702,还可以用于当所述转发设备进行报文转发时,根据所述报文的关键字优先匹配所述BGP flow-spec表中flow-spec优先级高的BGP flow-spec表项,并根据匹配到的BGP flow-spec表项中的动作项信息指示的处理方式对所述报文进行处理;其中,所述BGP flow-spec表中存在多条BGP flow-spec表项,并且每条BGP flow-spec表项分别包含flow-spec优先级。
可选的,所述flow-spec优先级被承载于所述BGP UPDATE消息的扩展团体属性字段中。
可选的,所述flow-spec优先级被承载于所述BGP UPDATE消息的其它属性字段。例如,BGP UPDATE消息中的扩展私有属性字段,用于承载所述flow-spec优先级,本申请实施例对此不做限定。
可选的,所述第一网络设备可以为控制转发分离网络架构下的控制器Controller。可选的,所述第一网络设备还可以为与所述转发设备构成BGP对等体的转发设备。可选的,所述第一网络设备还可以为流量分析服务器。本申请实施例对此不作限定。
在另一种实施方式中,所述转发设备700包括网络接口701、处理器702和存储器703。所述存储器703和处理器702可以通过总线704通信;所述处理器702可以通过网络接口701与所述第一网络设备通信。
所述存储器703,用于存储包括程序、指令或代码;
所述处理器702,用于执行存储器703中的程序、指令或代码,完成方法300中的S304、S305的操作。
所述网络接口701,用于完成方法300中S301的操作。
图5中接收单元501的功能可以由网络接口701实现,图5中表处理单元502和报文转发单元503的功能可以由处理器702实现。
存储器603或存储器703可以是但不限于是RAM、ROM、EPROM、CD-ROM、硬盘或者磁碟等各种可以存储程序指令代码的介质,本申请实施例对此不作限定。
所述处理器601或所述存储器702,可以是一个或多个CPU,在一个CPU的情况下,该CPU可以是单核CPU,也可以是多核CPU,本申请实施例对此不作限定。
网络接口602或网络接口701以是有线接口,例如光纤分布式数据接口(英文:Fiber Distributed Data Interface,FDDI),千兆以太网(英文:Gigabit Ethernet,GE)接口等,本申请实施例对此不作限定。
本发明还提供了一种通信系统,包括第一网络设备和转发设备,所述第一网络设备可以是图4或图6所示的网络设备。所述转发设备可以是图5或图7所示的转发设备。所述第一网络设备和转发设备用于执行本申请实施例所述的生成表项的方法300。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备,系统和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述集成的单元如果以硬件结合软件的形式实现并作为独立的产品销售或使用时,所述软件可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案对现有技术做出贡献的部分技术特征可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的部分或全部步骤。而前述的存储介质可以是U盘、移动硬盘、ROM、RAM、磁碟或者光盘。
本说明书的各个部分均采用递进的方式进行描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点介绍的都是与其他实施例不同之处。尤其,对于装置和系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例部分的说明即可。
最后,需要说明的是:以上所述仅为本发明技术方案的较佳实施例而已,并非用于限定本发明的保护范围。显然,本领域技术人员可以对本申请进行各种改动和变型而不脱离本发明的范围。倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (31)

1.一种报文处理方法,其特征在于,由转发设备执行,所述方法包括:
接收报文;
根据第一边界网关协议流规则BGP flow-spec表项对所述报文进行处理,其中,所述第一BGP flow-spec表项包括第一flow-spec优先级,所述第一flow-spec优先级标识所述第一BGP flow-spec表项用于处理所述报文的优先级。
2.根据权利要求1所述的方法,其特征在于,所述转发设备还保存有第二BGP flow-spec表项,所述第二BGP flow-spec表项包括第二flow-spec优先级,所述第二flow-spec优先级标识所述第二BGP flow-spec表项用于处理所述报文的优先级,所述第二flow-spec优先级小于所述第一flow-spec优先级。
3.根据权利要求1或2所述的方法,其特征在于,所述根据边界网关协议流规则BGPflow-spec表中保存的第一BGP flow-spec表项对所述报文进行处理,包括:
根据所述报文的关键字匹配所述第一BGP flow-spec表项,根据所述第一BGP flow-spec表项的动作项信息指示的处理方式对所述报文进行处理。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述转发设备中包括多条BGPflow-spec表项,并且每条BGP flow-spec表项分别包含flow-spec优先级,所述方法还包括:
所述转发设备转发所述报文时,根据所述报文的关键字优先匹配flow-spec优先级高的BGP flow-spec表项,并根据匹配到的BGP flow-spec表项中的动作项信息所指示的处理方式对所述报文进行处理。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
接收网络设备发送的BGP更新UPDATE消息,所述BGP UPDATE消息用于发布BGP流规则flow-spec路由,所述BGP UPDATE消息包含有所述第一flow-spec优先级;
所述转发设备根据所述BGP UPDATE消息生成并保存所述第一BGP flow-spec表项。
6.根据权利要求5所述的方法,其特征在于,
所述网络设备为控制转发分离网络架构下的控制器Controller;或
所述网络设备为与所述转发设备构成BGP对等体的转发设备;或
所述网络设备为流量分析服务器。
7.一种生成表项的方法,其特征在于,所述方法包括:
网络设备生成第一边界网关协议更新BGP UPDATE消息,所述第一BGP UPDATE消息包括第一流规则flow-spec优先级,所述第一flow-spec优先级用于标识根据所述第一BGPUPDATE消息所生成的第一BGP flow-spec表项被用于处理报文时的优先级;
所述网络设备向转发设备发送所述第一BGP UPDATE消息。
8.根据权利要求7所述的方法,其特征在于,
所述网络设备为控制转发分离网络架构下的控制器Controller;或
所述网络设备为与所述转发设备构成BGP对等体的转发设备;或
所述网络设备为流量分析服务器。
9.根据权利要求7或8所述的方法,其特征在于,所述第一flow-spec优先级承载于所述第一BGP UPDATE消息的扩展团体属性字段中。
10.根据权利要求7-9任一项所述的方法,其特征在于,所述方法还包括:
所述网络设备生成第二BGP UPDATE消息,所述第二BGP UPDATE消息包括第二flow-spec优先级,所述第二flow-spec优先级用于标识根据所述第二BGP UPDATE消息所生成的第二BGP flow-spec表项被用于处理所述报文时的优先级;
所述第一网络设备向转发设备发送所述第二BGP UPDATE消息。
11.一种生成表项的方法,其特征在于,由转发设备执行,所述方法包括:
接收网络设备发送的第一边界网关协议更新BGP UPDATE消息,所述第一BGP UPDATE消息包括第一流规则flow-spec优先级,所述第一flow-spec优先级用于标识第一BGP flow-spec表项用于处理报文时的优先级;
根据所述第一BGP UPDATE消息,生成并保存所述第一BGP flow-spec表项,所述第一BGP flow-spec表项包括所述第一flow-spec优先级。
12.根据权利要求11所述的方法,其特征在于,
所述网络设备为控制转发分离网络架构下的控制器Controller;或
所述网络设备为与所述转发设备构成BGP对等体的转发设备;或
所述网络设备为流量分析服务器。
13.根据权利要求11或12所述的方法,其特征在于,所述第一flow-spec优先级承载于所述第一BGP UPDATE消息的扩展团体属性字段中。
14.根据权利要求11-13任一项所述的方法,其特征在于,所述方法还包括:
接收所述网络设备发送的第二BGP UPDATE消息,所述第二BGP UPDATE消息包括第二flow-spec优先级,所述第二flow-spec优先级用于标识第二BGP flow-spec表项处理所述报文时的优先级;
根据所述第二BGP UPDATE消息,生成并保存所述第二BGP flow-spec表项,所述第二BGP flow-spec表项包括所述第二flow-spec优先级。
15.一种转发设备,其特征在于,包括:
接收单元,用于接收报文;
处理单元,用于根据第一边界网关协议流规则BGP flow-spec表项对所述报文进行处理,其中,所述第一BGP flow-spec表项包括第一flow-spec优先级,所述第一flow-spec优先级标识所述第一BGP flow-spec表项用于处理所述报文的优先级。
16.根据权利要求15所述的转发设备,其特征在于,所述转发设备还保存有第二BGPflow-spec表项,所述第二BGP flow-spec表项包括第二flow-spec优先级,所述第二flow-spec优先级标识所述第二BGP flow-spec表项用于处理所述报文的优先级,所述第二flow-spec优先级小于所述第一flow-spec优先级。
17.根据权利要求15或16所述的转发设备,其特征在于,所述处理单元,具体用于:
根据所述报文的关键字匹配所述第一BGP flow-spec表项,根据所述第一BGP flow-spec表项的动作项信息指示的处理方式对所述报文进行处理。
18.根据权利要求15-17任一项所述的转发设备,其特征在于,所述转发设备包括多条BGP flow-spec表项,并且每条BGP flow-spec表项分别包含flow-spec优先级,所述处理单元还用于:
在转发所述报文时,根据所述报文的关键字优先匹配flow-spec优先级高的BGP flow-spec表项,并根据匹配到的BGP flow-spec表项中的动作项信息所指示的处理方式对所述报文进行处理。
19.根据权利要求15-18任一项所述的转发设备,其特征在于,
所述接收单元,还用于接收网络设备发送的BGP更新UPDATE消息,所述BGP UPDATE消息用于发布BGP流规则flow-spec路由,所述BGP UPDATE消息包含有所述第一flow-spec优先级;
所述处理单元,还用于根据所述BGP UPDATE消息生成并保存所述第一BGP flow-spec表项。
20.根据权利要求19所述的转发设备,其特征在于,
所述网络设备为控制转发分离网络架构下的控制器Controller;或
所述网络设备为与所述转发设备构成BGP对等体的转发设备;或
所述网络设备为流量分析服务器。
21.一种网络设备,其特征在于,包括:
处理单元,用于生成第一边界网关协议更新BGP UPDATE消息,所述第一BGP UPDATE消息包括第一流规则flow-spec优先级,所述第一flow-spec优先级用于标识根据所述第一BGP UPDATE消息所生成的第一BGP flow-spec表项被用于处理报文时的优先级;
发送单元,用于向转发设备发送所述第一BGP UPDATE消息。
22.根据权利要求21所述的网络设备,其特征在于,
所述网络设备为控制转发分离网络架构下的控制器Controller;或
所述网络设备为与所述转发设备构成BGP对等体的转发设备;或
所述网络设备为流量分析服务器。
23.根据权利要求21或22所述的网络设备,其特征在于,
所述flow-spec优先级被承载于所述第一BGP UPDATE消息的扩展团体属性字段中。
24.根据权利要求21-23任一项所述的网络设备,其特征在于,
所述处理单元,还用于生成第二BGP UPDATE消息,所述第二BGP UPDATE消息包括第二flow-spec优先级,所述第二flow-spec优先级用于标识根据所述第二BGP UPDATE消息所生成的第二BGP flow-spec表项被用于处理所述报文时的优先级;
所述发送单元,还用于向所述转发设备发送所述第二BGP UPDATE消息。
25.一种转发设备,其特征在于,包括:
接收单元,用于接收网络设备发送的第一边界网关协议更新BGP UPDATE消息,所述第一BGP UPDATE消息包括第一流规则flow-spec优先级,所述第一flow-spec优先级用于标识第一BGP flow-spec表项用于处理报文时的优先级;
处理单元,用于根据所述第一BGP UPDATE消息,生成并保存所述第一BGP flow-spec表项,所述第一BGP flow-spec表项包括所述第一flow-spec优先级。
26.根据权利要求25所述的转发设备,其特征在于,其特征在于,
所述网络设备为控制转发分离网络架构下的控制器Controller;或
所述网络设备为与所述转发设备构成BGP对等体的转发设备;或
所述网络设备为流量分析服务器。
27.根据权利要求25或26所述的转发设备,其特征在于,所述第一flow-spec优先级承载于所述第一BGP UPDATE消息的扩展团体属性字段中。
28.根据权利要求25-27任一项所述的转发设备,其特征在于,
所述接收单元,还用于接收所述网络设备发送的第二BGP UPDATE消息,所述第二BGPUPDATE消息包括第二flow-spec优先级,所述第二flow-spec优先级用于标识第二BGPflow-spec表项处理所述报文时的优先级;
所述处理单元,还用于根据所述第二BGP UPDATE消息,生成并保存所述第二BGP flow-spec表项,所述第二BGP flow-spec表项包括所述第二flow-spec优先级。
29.一种通信系统,包括权利要求21-24任一项所述的网络设备和权利要求15-20以及权利要求25-28任一项所述的转发设备。
30.一种计算机可读存储介质,存储有指令,其特征在于,当所述指令在处理器上运行时,实现权利要求1-14任一项所述的方法。
31.一种计算机程序产品,存储有程序,其特征在于,当所述程序在处理器上运行时,实现权利要求1-14任一项所述的方法。
CN202111366024.5A 2016-06-30 2016-06-30 一种生成表项的方法和设备 Pending CN114205312A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111366024.5A CN114205312A (zh) 2016-06-30 2016-06-30 一种生成表项的方法和设备

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202111366024.5A CN114205312A (zh) 2016-06-30 2016-06-30 一种生成表项的方法和设备
CN201610506186.7A CN107566298B (zh) 2016-06-30 2016-06-30 一种生成表项的方法和设备

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201610506186.7A Division CN107566298B (zh) 2016-06-30 2016-06-30 一种生成表项的方法和设备

Publications (1)

Publication Number Publication Date
CN114205312A true CN114205312A (zh) 2022-03-18

Family

ID=60969879

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202111366024.5A Pending CN114205312A (zh) 2016-06-30 2016-06-30 一种生成表项的方法和设备
CN201610506186.7A Active CN107566298B (zh) 2016-06-30 2016-06-30 一种生成表项的方法和设备

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN201610506186.7A Active CN107566298B (zh) 2016-06-30 2016-06-30 一种生成表项的方法和设备

Country Status (1)

Country Link
CN (2) CN114205312A (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108616451B (zh) * 2018-04-25 2020-12-29 新华三技术有限公司 一种Flow Spec路由生效方法、装置及网络设备
CN110868429A (zh) * 2019-12-20 2020-03-06 北京网太科技发展有限公司 Bgp路由协议安全防护方法及装置
CN114257544A (zh) 2020-09-22 2022-03-29 华为技术有限公司 一种流量处理方法、装置和网络设备
CN115277527A (zh) * 2021-04-30 2022-11-01 华为技术有限公司 一种路由信息的处理方法及装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2146465A1 (en) * 2008-07-15 2010-01-20 Deutsche Thomson OHG A method for managing data transmission according to a quality of service in a network assembly and a computer network system
US8064443B2 (en) * 2009-05-11 2011-11-22 Juniper Networks, Inc. Scalable routing policy construction using dynamic redefinition of routing preference value
CN103457820B (zh) * 2013-08-27 2018-06-26 华为技术有限公司 分层虚拟专用局域网服务的实现方法及装置
CN104426768B (zh) * 2013-09-05 2018-06-15 华为技术有限公司 一种数据报文转发方法及装置
CN104821890A (zh) * 2015-03-27 2015-08-05 上海博达数据通信有限公司 一种基于普通交换芯片的OpenFlow多级流表的实现方法

Also Published As

Publication number Publication date
CN107566298A (zh) 2018-01-09
CN107566298B (zh) 2021-11-19

Similar Documents

Publication Publication Date Title
JP5874726B2 (ja) 通信制御システム、制御サーバ、転送ノード、通信制御方法および通信制御プログラム
US8023504B2 (en) Integrating security server policies with optimized routing control
EP3213489B1 (en) Content classification and content marking for information centric networks
JP5304947B2 (ja) 通信システム、制御装置、ノードの制御方法およびプログラム
EP2675119B1 (en) Communication system, control device, communication node, and communication method
CN107566298B (zh) 一种生成表项的方法和设备
US20160241669A1 (en) Temporal caching for icn
JP6024664B2 (ja) 通信システム、制御装置および通信方法
WO2017107814A1 (zh) 一种传播QoS策略的方法、装置及系统
EP2858317A1 (en) Control device, communication system, switch control method and program
CN107181691B (zh) 一种网络中实现报文路由的方法、设备和系统
WO2014112616A1 (ja) 制御装置、通信装置、通信システム、スイッチの制御方法及びプログラム
EP2922250B1 (en) Control apparatus, communication system, control information creating method and program
EP3076611A1 (en) Communication system, communication method, network information combination apparatus, and network information combination program
US20150381775A1 (en) Communication system, communication method, control apparatus, control apparatus control method, and program
RU2675212C1 (ru) Адаптивная балансировка нагрузки при обработке пакетов
WO2014061583A1 (ja) 通信ノード、制御装置、通信システム、パケット処理方法及びプログラム
JP6650287B2 (ja) 通信経路制御装置、通信経路制御方法及び通信経路制御プログラム
JP2009278235A (ja) 通信システム、制御ノード、転送ノード、サービス処理ノード、及び通信方法
Cisco access-list (IPX extended) to ipx broadcast-fastswitching
JP6592421B2 (ja) ルーティングシステムおよびルーティング方法
KR20170140953A (ko) 소프트웨어 정의망 기반의 랜덤 경로 설정 장치 및 방법
US8248956B2 (en) Method or apparatus for distributing routing information in networks
JP2016048890A (ja) 通信制御装置、通信制御システム、通信制御方法、および通信制御プログラム
CN109714259B (zh) 一种流量处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination