CN114513388B - 一种路由更新方法及装置 - Google Patents

Abstract

本申请涉及网络通信技术领域，特别涉及一种路由更新方法及装置。该方法包括应用于分布式网关场景中的Border边界设备，所述Border设备上创建有多个虚拟专用网络VPN实例，该方法包括：若接收到第一VPN实例下挂的主机访问第二VPN实例下挂的主机的指令，则从所述第二VPN实例对应的路由表中获取第一网段路由表项；将所述第一网段路由表项的下一跳设置为所述第二VPN实例，并将所述第一网段路由表项的出接口设置为与所述第二VPN实例关联的回环子接口，得到第二网段路由；将所述第二网段路由表项更新至所述第一VPN实例对应的路由表中。

Description

一种路由更新方法及装置

技术领域

本申请涉及网络通信技术领域，特别涉及一种路由更新方法及装置。

背景技术

在分布式网关场景下,如leaf1,leaf2和leaf3均作为1.0.0.0/24,2.0.0.0/24和3.0.0.0/24主机的网关。border1上为了能够准确不绕行到达主机所在的leaf,需要border上保存所有leaf下主机的主机路由。如，border包括VPN1，VPN2和VPN3，且VPN1 VPN2和VPN3上均包括至1.0.0.0/24,2.0.0.0/24和3.0.0.0/24主机的路由。

实际应用中，如果此时VPN1和VPN2需要互访,同时VPN1和VPN3也要互访，VPN2和VPN3也需要互访。那么，目前，传统的解决方案是采用路由互相引入或者拷贝另外一个VPN的路由，如，将一个VPN包括的路由拷贝至其它VPN上，并将其它VPN包括的路由拷贝至该一个VPN上。

然而，这种方式对转发设备的路由表项消耗过大.需要互访的路由需要同时存在与两个VPN里，当互访的VPN比较多时,很容易造成路由表容量不足。

发明内容

本申请提供了一种路由更新方法及装置，用以解决现有技术中存在的VPN互访数量较多而导致路由表容量不足的问题。

第一方面，本申请提供了一种路由更新方法，应用于分布式网关场景中的Border边界设备，所述Border设备上创建有多个虚拟专用网络VPN实例，所述方法包括：

若接收到第一VPN实例下挂的主机访问第二VPN实例下挂的主机的指令，则从所述第二VPN实例对应的路由表中获取第一网段路由表项；

将所述第一网段路由表项的下一跳设置为所述第二VPN实例，并将所述第一网段路由表项的出接口设置为与所述第二VPN实例关联的回环子接口，得到第二网段路由；

将所述第二网段路由表项更新至所述第一VPN实例对应的路由表中，以使得所述第一VPN实例在接收到发往至所述第二VPN实例下挂的目标主机的报文后，基于所述第二网段路由表项，通过与所述第二VPN实例关联的回环子接口将该报文发往所述第二VPN实例，所述第二VPN实例基于其对应的路由表中维护的主机路由表项/网段路由表项将该报文转发至所述目标主机。

可选地，所述方法还包括：

基于扩展边界网关BGP协议，分别从各分布式网关学习各VPN实例对应的主机路由表项和/或网段路由表项。

可选地，预先配置各VPN实例与回环子接口之间的关联关系；将所述第一网段路由表项的出接口设置为与所述第二VPN实例关联的回环子接口的步骤包括：

基于所述各VPN实例与回环子接口之间的关联关系，确定与所述第二VPN实例关联的目标回环子接口；

将所述第一网段路由表项的出接口设置为所述目标回环子接口。

可选地，所述目标回环子接口在接收到报文后，将该报文的VLAN标签修改为第二VPN实例的标签；

通过与所述第二VPN实例关联的回环子接口将该报文发往所述第二VPN实例的步骤包括：

在接收到所述目标回环子接口发送的报文后，基于该报文携带的VLAN标签，将该报文转发至所述第二VPN实例。

可选地，从所述第二VPN实例对应的路由表中获取第一网段路由表项的步骤包括：

从所述第二VPN实例对应的路由表中确定出路由掩码小于32位的路由表项，并将该路由表项作为第一网段路由表项。

第二方面，本申请提供了一种路由更新装置，应用于分布式网关场景中的Border边界设备，所述Border设备上创建有多个虚拟专用网络VPN实例，所述装置包括：

获取单元，若接收到第一VPN实例下挂的主机访问第二VPN实例下挂的主机的指令，则所述获取单元用于从所述第二VPN实例对应的路由表中获取第一网段路由表项；

设置单元，用于将所述第一网段路由表项的下一跳设置为所述第二VPN实例，并将所述第一网段路由表项的出接口设置为与所述第二VPN实例关联的回环子接口，得到第二网段路由；

更新单元，用于将所述第二网段路由表项更新至所述第一VPN实例对应的路由表中，以使得所述第一VPN实例在接收到发往至所述第二VPN实例下挂的目标主机的报文后，基于所述第二网段路由表项，通过与所述第二VPN实例关联的回环子接口将该报文发往所述第二VPN实例，所述第二VPN实例基于其对应的路由表中维护的主机路由表项/网段路由表项将该报文转发至所述目标主机。

可选地，所述装置还包括：

路由学习单元，用于基于扩展边界网关BGP协议，分别从各分布式网关学习各VPN实例对应的主机路由表项和/或网段路由表项。

可选地，所述装置还包括配置单元，所述配置单元用于预先配置各VPN实例与回环子接口之间的关联关系；将所述第一网段路由表项的出接口设置为与所述第二VPN实例关联的回环子接口时，所述设置单元具体用于：

基于所述各VPN实例与回环子接口之间的关联关系，确定与所述第二VPN实例关联的目标回环子接口；

将所述第一网段路由表项的出接口设置为所述目标回环子接口。

可选地，所述目标回环子接口在接收到报文后，将该报文的VLAN标签修改为第二VPN实例的标签；

通过与所述第二VPN实例关联的回环子接口将该报文发往所述第二VPN实例时，所述更新单元具体用于：

在接收到所述目标回环子接口发送的报文后，基于该报文携带的VLAN标签，将该报文转发至所述第二VPN实例。

可选地，从所述第二VPN实例对应的路由表中获取第一网段路由表项时，所述获取单元具体用于：

从所述第二VPN实例对应的路由表中确定出路由掩码小于32位的路由表项，并将该路由表项作为第一网段路由表项。

第三方面，本申请实施例提供一种路由更新装置，该路由更新装置包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行如上述第一方面中任一项所述的方法的步骤。

第四方面，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行如上述第一方面中任一项所述方法的步骤。

综上可知，本申请实施例提供的路由更新方法，应用于分布式网关场景中的Border边界设备，所述Border设备上创建有多个虚拟专用网络VPN实例，所述方法包括：若接收到第一VPN实例下挂的主机访问第二VPN实例下挂的主机的指令，则从所述第二VPN实例对应的路由表中获取第一网段路由表项；将所述第一网段路由表项的下一跳设置为所述第二VPN实例，并将所述第一网段路由表项的出接口设置为与所述第二VPN实例关联的回环子接口，得到第二网段路由；将所述第二网段路由表项更新至所述第一VPN实例对应的路由表中，以使得所述第一VPN实例在接收到发往至所述第二VPN实例下挂的目标主机的报文后，基于所述第二网段路由表项，通过与所述第二VPN实例关联的回环子接口将该报文发往所述第二VPN实例，所述第二VPN实例基于其对应的路由表中维护的主机路由表项/网段路由表项将该报文转发至所述目标主机。

采用本申请实施例提供的路由更新方法，通过在源VPN上引入目的VPN的网段理由表项，结合Border设备的回环口，将VPN互访报文发往至目的VPN后，基于目的VPN的路由表转发该互访报文，无需执行路由表全量引入，节省了路由表资源。

附图说明

为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本申请实施例的这些附图获得其他的附图。

图1为本申请实施例提供的一种路由更新方法的详细流程图；

图2为本申请实施例提供的一种分布式网关组网示意图；

图3为本申请实施例提供的一种路由更新装置的结构示意图；

图4为本申请实施例提供的另一种路由更新装置的结构示意图。

具体实施方式

在本申请实施例使用的术语仅仅是出于描述特定实施例的目的，而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

示例性的，参阅图1所示，为本申请实施例提供的一种路由更新方法的详细流程图，该方法应用于分布式网关场景中的Border边界设备，所述Border设备上创建有多个虚拟专用网络VPN实例，该方法包括以下步骤：

步骤100：若接收到第一VPN实例下挂的主机访问第二VPN实例下挂的主机的指令，则从所述第二VPN实例对应的路由表中获取第一网段路由表项。

示例性的，参阅图2所示，为本申请实施例提供的一种分布式网关组网示意图，Border设备上创建有VPN 1，VPN 2和VPN 3，Leaf 1，Leaf 2和Leaf 3均作为1.0.0.0/24，2.0.0.0/24和3.0.0.0/24主机的网关(分布式网关)，其中，1.0.0.0/24网段中各主机归属于VPN 1，2.0.0.0/24网段各主机归属于VPN 2，3.0.0.0/24网段各主机归属于VPN 3。

本申请实施例中，在组网初始化阶段，基于扩展边界网关BGP协议，分别从各分布式网关学习各VPN实例对应的主机路由表项和/或网段路由表项。

例如，假定初始没有VPN间互访的需求，所谓VPN互访，指的是一个VPN实例下挂的主机和另一个VPN实例下挂的主机互相访问。Border设备初始化学习到的VPN 1对应的路由表参见表1所示，其中，目的地址的路由掩码为32位的路由表项为主机路由表项，目的地址的路由掩码小于32位(如，24位)的路由表项为网段路由表项：

表1

同理，Border设备初始化学习到的VPN 2对应的路由表参见表2所示：

表2

Border设备初始化学习到的VPN 3对应的路由表参见表3所示：

表3

实际应用中，Border设备在接收到一个报文后，首先确定该报文所述的VNP实例，然后，基于该报文的目的地址与该VPN实例对应的路由表中各主机路由表项进行匹配，若未匹配上主机路由表项，则会去匹配网段路由表项，以确定网络中是否存在主机地址为该目的地址的主机。

那么，本申请实施例中，Border设备在确定一个VPN实例(第一VPN实例)下挂的主机需访问另一个VPN实例(如，第二VPN实例)下挂的主机需求时，从第二VPN实例对应的路由表中获取第一网段路由表项。

本申请实施例中，从所述第二VPN实例对应的路由表中获取第一网段路由表项时，一种较佳地实现方式为，从所述第二VPN实例对应的路由表中确定出路由掩码小于32位的路由表项，并将该路由表项作为第一网段路由表项。

步骤110：将所述第一网段路由表项的下一跳设置为所述第二VPN实例，并将所述第一网段路由表项的出接口设置为与所述第二VPN实例关联的回环子接口，得到第二网段路由。

具体的，可以预先设置路由策略Route_policy1的内容:

1、如果路由掩码小于32,则路由策略的动作:修改下一跳为收到路由中的源VPN信息，将出接口填写为环回口的子接口,子接口信息也使用源VPN的ID或映射关系。

2、如果路由掩码等于32,动作为拒绝不接收此主机路由.从而减少VPN1内主机路由表项。

也就是说，只需将第二VPN实例对应的路由表中的网段路由引入第一VPN实例对应的路由表中，并在引入的同时，修改该网段路由的下一跳和出接口等信息。

例如，以第一VPN实例为VPN 1，第二VPN实例为VPN 2为例进行说明，VPN 1下挂的主机需要访问VPN 2下挂的主机，此时，需要将VPN 2对应的路由表中的网段路由引入VPN 1对应的理由表中，并修改相关信息，具体的，将VPN 2的网段路由的VPN标识由VPN 2修改为VPN 1，目的地址不变，仍为2.0.0.0/24，下一跳由Leaf 1，Leaf 2和Leaf 3修改为VPN 2，出接口由到Leaf 1的隧道，Leaf 2隧道和Leaf 3的隧道修改为Loopback.vpn2(VPN 2关联的回环子接口)。

本申请实施例中，预先配置各VPN实例与Border设备的回环子接口之间的关联关系。那么，在将所述第一网段路由表项的出接口设置为与所述第二VPN实例关联的回环子接口时，一种较佳地实现方式为，基于所述各VPN实例与回环子接口之间的关联关系，确定与所述第二VPN实例关联的目标回环子接口；将所述第一网段路由表项的出接口设置为所述目标回环子接口。

也就是说，预先设置VPN 1关联的回环子接口为Loopback.vpn1，VPN 2关联的回环子接口为Loopback.vpn2，VPN 3关联的回环子接口为Loopback.vpn2。

步骤120：将所述第二网段路由表项更新至所述第一VPN实例对应的路由表中。

具体的，本申请实施例中，在得到第二网段路由之后，将该第二网段路由更新至第一VPN实例对应的路由表中。

也就是说，当VPN 1下挂主机需访问VPN 2下挂主机时，VPN 1引入VPN 2的网段路由，并通过路由策略route_policy1后,Border设备上VPN 1对应的路由表更新为表4：

表4

本申请实施例中，Border设备接收到VPN 1下挂的主机发往VPN 2下挂主机的报文后，根据该报文的目的地址进行路由表项匹配，最终匹配上的路由表项为：

VPN1

2.0.0.0/24

VPN2

Loopback.vpn2

那么，出接口为与VPN 2关联的回环子接口(Loopback.vpn2)，Loopback.vpn2接收到该报文后，将该报文发回Border设备，Border设备基于VPN 2实例对应的路由表转发该报文。

本申请实施例中，所述第一VPN实例在接收到发往至所述第二VPN实例下挂的目标主机的报文后，基于所述第二网段路由表项，通过与所述第二VPN实例关联的回环子接口将该报文发往所述第二VPN实例，所述第二VPN实例基于其对应的路由表中维护的主机路由表项/网段路由表项将该报文转发至所述目标主机。

具体的，通过与所述第二VPN实例关联的回环子接口将该报文发往所述第二VPN实例时，一种较佳地实现方式为，在接收到所述目标回环子接口发送的报文后，基于该报文携带的VLAN标签，将该报文转发至所述第二VPN实例。

也就是说，Border设备在接收到与一个VPN实例关联的回环子接口发送的报文后，基于该一个VPN实例对应的路由对该报文进行路由转发处理。

例如，当流量从Border设备的VPN 1进入,要访问VPN 2下挂的主机时,在Border上，先在VPN 1对应的路由表中查找,找到目的VPN为VPN2，此时从环回口的VPN 2子接口出,报文携带的VLAN tag为VPN2。流量从Border设备环回口再次进入Border设备,且携带VPN 2的VLAN tag，此时，在VPN 2内再次做路由查找。在VPN 2的路由表内根据32位主机路由可以找到正确的出接口和下一跳信息。

当然，当VPN 1下挂主机需访问VPN 3下挂主机时，VPN 1引入VPN 3的网段路由，并通过路由策略route_policy1后,Border设备上VPN 1对应的路由表更新为表5：

表5

同理，当VPN 2下挂主机需访问VPN 1下挂主机时，VPN 2引入VPN 1的网段路由，并通过路由策略route_policy1后,Border设备上VPN 1对应的路由表更新为表6：

表6

同理，当VPN3下挂主机需访问VPN 1下挂主机时，VPN 3引入VPN 1的网段路由，并通过路由策略route_policy1后,Border设备上VPN 1对应的路由表更新为表7：

表7

基于与上述方法实施例同样的发明构思，示例性的，参阅图3所示，为本申请实施例提供的一种路由跟心装置的结构示意图，该装置应用于分布式网关场景中的Border边界设备，所述Border设备上创建有多个虚拟专用网络VPN实例，该装置包括：

获取单元30，若接收到第一VPN实例下挂的主机访问第二VPN实例下挂的主机的指令，则所述获取单元用于从所述第二VPN实例对应的路由表中获取第一网段路由表项；

设置单元31，用于将所述第一网段路由表项的下一跳设置为所述第二VPN实例，并将所述第一网段路由表项的出接口设置为与所述第二VPN实例关联的回环子接口，得到第二网段路由；

更新单元32，用于将所述第二网段路由表项更新至所述第一VPN实例对应的路由表中，以使得所述第一VPN实例在接收到发往至所述第二VPN实例下挂的目标主机的报文后，基于所述第二网段路由表项，通过与所述第二VPN实例关联的回环子接口将该报文发往所述第二VPN实例，所述第二VPN实例基于其对应的路由表中维护的主机路由表项/网段路由表项将该报文转发至所述目标主机。

可选地，所述装置还包括：

路由学习单元，用于基于扩展边界网关BGP协议，分别从各分布式网关学习各VPN实例对应的主机路由表项和/或网段路由表项。

可选地，所述装置还包括配置单元，所述配置单元用于预先配置各VPN实例与回环子接口之间的关联关系；将所述第一网段路由表项的出接口设置为与所述第二VPN实例关联的回环子接口时，所述设置单元31具体用于：

基于所述各VPN实例与回环子接口之间的关联关系，确定与所述第二VPN实例关联的目标回环子接口；

将所述第一网段路由表项的出接口设置为所述目标回环子接口。

可选地，所述目标回环子接口在接收到报文后，将该报文的VLAN标签修改为第二VPN实例的标签；

通过与所述第二VPN实例关联的回环子接口将该报文发往所述第二VPN实例时，所述更新单元32具体用于：

在接收到所述目标回环子接口发送的报文后，基于该报文携带的VLAN标签，将该报文转发至所述第二VPN实例。

可选地，从所述第二VPN实例对应的路由表中获取第一网段路由表项时，所述获取单元30具体用于：

从所述第二VPN实例对应的路由表中确定出路由掩码小于32位的路由表项，并将该路由表项作为第一网段路由表项。

以上这些单元可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific Integrated Circuit，简称ASIC)，或，一个或多个微处理器(digital singnal processor，简称DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，简称FPGA)等。再如，当以上某个单元通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(CentralProcessing Unit，简称CPU)或其它可以调用程序代码的处理器。再如，这些单元可以集成在一起，以片上系统(system-on-a-chip，简称SOC)的形式实现。

进一步地，本申请实施例提供的路由更新装置，从硬件层面而言，所述路由更新装置的硬件架构示意图可以参见图4所示，所述路由更新装置可以包括：存储器40和处理器41，

存储器40用于存储程序指令；处理器41调用存储器40中存储的程序指令，按照获得的程序指令执行上述方法实施例。具体实现方式和技术效果类似，这里不再赘述。

可选地，本申请还提供一种路由更新设备，包括用于执行上述方法实施例的至少一个处理元件(或芯片)。

可选地，本申请还提供一种程序产品，例如计算机可读存储介质，该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令用于使该计算机执行上述方法实施例。

这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(RadomAccess Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (10)

1.一种路由更新方法，其特征在于，应用于分布式网关场景中的Border边界设备，所述Border设备上创建有多个虚拟专用网络VPN实例，所述方法包括：

若接收到第一VPN实例下挂的主机访问第二VPN实例下挂的主机的指令，则从所述第二VPN实例对应的路由表中获取第一网段路由表项；

将所述第一网段路由表项的下一跳设置为所述第二VPN实例，并将所述第一网段路由表项的出接口设置为与所述第二VPN实例关联的回环子接口，得到第二网段路由；

将所述第二网段路由表项更新至所述第一VPN实例对应的路由表中，以使得所述第一VPN实例在接收到发往至所述第二VPN实例下挂的目标主机的报文后，基于所述第二网段路由表项，通过与所述第二VPN实例关联的回环子接口将该报文发往所述第二VPN实例，所述第二VPN实例基于其对应的路由表中维护的主机路由表项/网段路由表项将该报文转发至所述目标主机。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：

基于扩展边界网关BGP协议，分别从各分布式网关学习各VPN实例对应的主机路由表项和/或网段路由表项。

3.如权利要求1所述的方法，其特征在于，预先配置各VPN实例与回环子接口之间的关联关系；将所述第一网段路由表项的出接口设置为与所述第二VPN实例关联的回环子接口的步骤包括：

基于所述各VPN实例与回环子接口之间的关联关系，确定与所述第二VPN实例关联的目标回环子接口；

将所述第一网段路由表项的出接口设置为所述目标回环子接口。

4.如权利要求3所述的方法，其特征在于，所述目标回环子接口在接收到报文后，将该报文的VLAN标签修改为第二VPN实例的标签；

通过与所述第二VPN实例关联的回环子接口将该报文发往所述第二VPN实例的步骤包括：

在接收到所述目标回环子接口发送的报文后，基于该报文携带的VLAN标签，将该报文转发至所述第二VPN实例。

5.如权利要求1-4任一项所述的方法，其特征在于，从所述第二VPN实例对应的路由表中获取第一网段路由表项的步骤包括：

从所述第二VPN实例对应的路由表中确定出路由掩码小于32位的路由表项，并将该路由表项作为第一网段路由表项。

6.一种路由更新装置，其特征在于，应用于分布式网关场景中的Border边界设备，所述Border设备上创建有多个虚拟专用网络VPN实例，所述装置包括：

获取单元，若接收到第一VPN实例下挂的主机访问第二VPN实例下挂的主机的指令，则所述获取单元用于从所述第二VPN实例对应的路由表中获取第一网段路由表项；

设置单元，用于将所述第一网段路由表项的下一跳设置为所述第二VPN实例，并将所述第一网段路由表项的出接口设置为与所述第二VPN实例关联的回环子接口，得到第二网段路由；

更新单元，用于将所述第二网段路由表项更新至所述第一VPN实例对应的路由表中，以使得所述第一VPN实例在接收到发往至所述第二VPN实例下挂的目标主机的报文后，基于所述第二网段路由表项，通过与所述第二VPN实例关联的回环子接口将该报文发往所述第二VPN实例，所述第二VPN实例基于其对应的路由表中维护的主机路由表项/网段路由表项将该报文转发至所述目标主机。

7.如权利要求6所述的装置，其特征在于，所述装置还包括：

路由学习单元，用于基于扩展边界网关BGP协议，分别从各分布式网关学习各VPN实例对应的主机路由表项和/或网段路由表项。

8.如权利要求6所述的装置，其特征在于，所述装置还包括配置单元，所述配置单元用于预先配置各VPN实例与回环子接口之间的关联关系；将所述第一网段路由表项的出接口设置为与所述第二VPN实例关联的回环子接口时，所述设置单元具体用于：

基于所述各VPN实例与回环子接口之间的关联关系，确定与所述第二VPN实例关联的目标回环子接口；

将所述第一网段路由表项的出接口设置为所述目标回环子接口。

9.如权利要求8所述的装置，其特征在于，所述目标回环子接口在接收到报文后，将该报文的VLAN标签修改为第二VPN实例的标签；

通过与所述第二VPN实例关联的回环子接口将该报文发往所述第二VPN实例时，所述更新单元具体用于：

在接收到所述目标回环子接口发送的报文后，基于该报文携带的VLAN标签，将该报文转发至所述第二VPN实例。

10.如权利要求6-9任一项所述的装置，其特征在于，从所述第二VPN实例对应的路由表中获取第一网段路由表项时，所述获取单元具体用于：

从所述第二VPN实例对应的路由表中确定出路由掩码小于32位的路由表项，并将该路由表项作为第一网段路由表项。