WO2012167697A1 - 抑制网络风暴的方法及处理器 - Google Patents

Abstract

本发明涉及一种抑制网络风暴的方法及处理器，其方法包括：处理器获取PTN网络待转发的报文；对报文进行解析，得到报文的报文特征；根据报文特征，并基于包括预设的匹配转发策略的访问控制列表对报文进行转发或丢弃。本发明通过在访问控制列表中设置相应报文特征的匹配转发策略，将PTN网络待转发的广播报文中的ARP请求报文、MPLS转发报文、非MPLS转发的广播报文、二层未知组播报文及二层未知单播报文区分开，进行相应的转发或丢弃处理，不仅有效的抑制了PTN网络风暴，而且避免了将PTN支持的广播报文丢弃，提高了PTN网络的业务性能。

Description

抑制网络风暴的方法及处理器 技术领域

本发明涉及通信技术领域， 尤其涉及一种应用于交换机等网络设备的 抑制网络风暴的方法及处理器。 背景技术

目前， 随着通信技术的快速发展， 如何保证数据业务不受网络风暴的 沖击成为通信领域有待解决的重要问题。 其中， 承载网的发展更是突飞猛 进， PTN ( Packet Transport Network , 分组传送网） 网络是其中最为重要的 网络形式之一。 ΡΤΝ是一种光传送网络， 其具体架构包括： 在 IP ( Internet Protocol, 网络之间互连的协议 )业务和底层光传输媒质之间设置一个层面， 其针对分组业务流量的突发性和统计复用传送的要求而设计， 以分组业务 为核心并支持多业务提供， 具有更低的总体使用成本， 同时秉承光传输的 传统优势， 包括高可用性和可靠性、 高效的带宽管理机制和流量工程、 便 捷的网管、 较好的可扩展性及较高安全性等。

PTN网络需要支持的报文类型包括： 经过 MPLS ( Multi-Protocol Label Switching, 多协议标签交换）转发的业务报文以及二三层协议报文； 其中 业务、 VPLS ( Virtual Private Lan Service, 虚拟专用局域网）业务。 PTN网 络需要抑制的报文类型包括： 广播报文（DMAC为全 Oxff 的报文）、 二层 未知组播报文（ MAC为组播 MAC且查找二层表未命中的报文）、二层未知 单播报文（ DMAC的单播 MAC且查找二层表未命中的报文）。

如图 1所示， 以 CE表示用户终端， P表示设备， CE1 的业务要通过 PTN 网络到达 CE2 , 通过 PEl.portl 接入 PTN 网络后， 经过 PE1.port2->Pl .port3->Pl .port4->P2.port5->P2.port6->PE2.port7->PE.port8->C E2的 MPLS转发过程来完成。 由于 MPLS转发是基于 MPLS标签的转发， 与报文 VLAN没有直接关系， 上述设备的端口可以在同一个 VLAN内， 例 如： P1设备的 port3、 port4、 port5可以同处于 VLAN100内， 如果 Pl.port5 上出现了上述 PTN网络需要抑制的报文之一， 这些报文就会向 PI .port3和 Pl.port4广播， 而 PTN网络本身具有很多保护链路， 物理连接上容易成环， 这种广播极易在 PTN网络的物理连接的环上形成风暴，导致正常 PTN业务 中断。

现有的一种比较简单的抑制网络风暴的方法是： 基于端口或者基于 VLAN设置丟弃广播报文、 二层未知单播报文以及二层未知组播报文， 现 有的大部分处理器的交换芯片均支持上述两种方式的寄存器设置。

现有的这种处理方法虽然具有简单易实现的优点， 但是其存在以下缺 点： 无法区分报文， 会将所有的广播类报文丟弃， 影响到部分协议报文和 业务报文， 比如两种较为重要的广播报文， 一是 DMAC (目的介质访问控 制地址）为广播 MAC ( Medium/Media Access Control, 介质访问控制） 的 ARP ( Address Resolution Protocol, 地址解析协议）请求 4艮文， 其影响 ARP 协议，二是需要通过 PTN网络转发的广播报文，其影响 PTN网络部分业务。 发明内容

有鉴于此， 本发明的主要目的在于提供一种抑制网络风暴的方法及处 理器， 旨在不影响网络业务的情况下， 对 PTN网络中的广播风暴进行有效 抑制。

为了达到上述目的， 本发明提出一种抑制网络风暴的方法， 包括： 处理器获取 PTN网络待转发的报文；

对所述报文进行解析， 得到所述报文的报文特征；

根据所述报文特征， 并基于包括预设的匹配转发策略的访问控制列表 对所述报文进行转发或丟弃。

优选地， 所述根据报文特征， 并基于包括预设的匹配转发策略的访问 控制列表对所述报文进行转发或丟弃为：

查找所述访问控制列表中的第一表项资源； 若所述报文特征与所述第 一表项资源中的 ARP请求报文特征相匹配， 则转发所述报文； 否则，

查找所述访问控制列表中的第二表项资源； 若所述报文特征与所述第 二表项资源中的非 MPLS转发的广播报文特征相匹配， 则丟弃该报文； 否 则，

查找所述访问控制列表中的第三表项资源； 若所述报文特征与所述第 三表项资源中的二层未知组播报文或二层未知单播报文特征相匹配， 则丟 弃所述报文； 否则，

按照默认的报文交换处理流程对所述报文进行处理。

优选地，所述报文特征至少包括 DMAC类型、以太类型及是否为 MPLS 转发类型中的一种。

优选地，所述处理器获取 PTN网络待转发的报文之前，该方法还包括： 根据报文特征在所述访问控制列表中设置相应的匹配转发策略。

优选地， 所述根据报文特征在所述访问控制列表中设置相应的匹配转 发策略为：

从所述访问控制列表中申请所述第一表项资源， 在所述第一表项资源 中设置 ARP请求报文的匹配特征及对应的执行状态为允许转发； 从所述访 问控制列表中申请所述第二表项资源，在所述第二表项资源中设置非 MPLS 转发的广播报文的匹配特征及对应的执行状态为丟弃； 从所述访问控制列 表中申请所述第三表项资源， 在所述第三表项资源中设置二层未知组播报 文及二层未知单播报文的匹配特征及对应的执行状态为丟弃。

本发明还提出一种抑制网络风暴的处理器， 该处理器还包括： 报文获耳4莫块， 用于获取 PTN网络待转发的报文；

报文解析模块， 对所述报文进行解析， 得到所述报文的报文特征； 报文处理模块， 用于根据所述报文特征， 并基于包括预设的匹配转发 策略的访问控制列表对所述报文进行转发或丟弃。

优选地， 所述 ·^艮文处理模块进一步包括：

查找单元， 用于依次查找所述访问控制列表中的第一表项资源、 第二 表项资源以及第三表项资源；

处理单元， 用于当所述报文特征与所述第一表项资源中的 ARP请求报 文特征相匹配时， 转发所述报文； 当所述报文特征与所述第二表项资源中 的非 MPLS转发的广播报文特征相匹配时， 丟弃该报文； 当所述报文特征 与所述第三表项资源中的二层未知组播报文或二层未知单播报文特征相匹 配时， 丟弃所述报文； 否则， 按照默认的报文交换处理流程对所述报文进 行处理。

优选地， 所述 ^艮文特征至少包括以下之一： DMAC类型、 以太类型及 是否为 MPLS转发类型。

优选地， 该处理器还包括：

设置模块， 用于根据报文特征在所述访问控制列表中设置相应的匹配 转发策略。

优选地， 所述设置模块还用于， 从所述访问控制列表中申请所述第一 表项资源， 在所述第一表项资源中设置 ARP请求报文的匹配特征及对应的 执行状态为允许转发； 从所述访问控制列表中申请所述第二表项资源， 在 所述第二表项资源中设置非 MPLS转发的广播报文的匹配特征及对应的执 行状态为丟弃； 从所述访问控制列表中申请所述第三表项资源， 在所述第 三表项资源中设置二层未知组播报文及二层未知单播报文的匹配特征及对 应的执行状态为丟弃。 本发明提出的一种抑制网络风暴的方法及处理器， 通过在访问控制列 表（ access control list, ACL )中设置相应报文特征的匹配转发策略，将 PTN 网络待转发的广播报文中的 ARP请求报文、 MPLS转发报文、 非 MPLS转 发的广播报文、 二层未知组播报文及二层未知单播报文区分开， 进行相应 的转发或丟弃处理， 不仅有效的抑制了 PTN网络风暴， 而且避免了将 PTN 支持的广播报文丟弃， 提高了 PTN网络的业务性能。 附图说明

图 1是现有的 PTN网络转发示意图；

图 2是本发明抑制网络风暴的方法一实施例的流程示意图；

图 3是本发明抑制网络风暴的方法一实施例中根据报文特征， 并基于 包括预设的匹配转发策略的访问控制列表对报文进行转发或丟弃的流程示 意图；

图 4是本发明抑制网络风暴的方法另一实施例的流程示意图； 图 5是本发明抑制网络风暴的处理器一实施例的结构示意图； 图 6是本发明抑制网络风暴的处理器一实施例中报文处理模块的结构 示意图；

图 7是本发明抑制网络风暴的处理器另一实施例的结构示意图。

为了使本发明的技术方案更加清楚、 明了， 下面将结合附图作进一步 评述。 具体实施方式

本发明实施例解决方案的主要思路是： 在 PTN网络的大部分处理器的 芯片内， 均具有访问控制列表， 访问控制列表最大的优势在于可以区分报 文进行处理， 因此， 本发明利用访问控制列表的这种优势， 通过设置三条 访问控制列表表项共同作用， 实现对广播报文、 二层未知组播报文、 二层 未知单播报文丟弃的同时，保持 ARP请求报文和通过 PTN网络转发的广播 报文的正常转发，在不影响 PTN网络业务的情况下，有效抑制 PTN网络风 暴。

如图 2所示， 本发明一实施例提出一种抑制网络风暴的方法， 该方法 包括以下步驟：

步驟 S101 , 处理器获取 PTN网络待转发的报文；

具体的，在 PTN网络通过设备在不同的用户终端之间进行报文的 MPLS 转发的过程中， PTN网络中的处理器从转发链路中获取 PTN网络待转发的 报文， 以便后续对报文进行解析处理， 直至将各种报文区分开来。

PTN网络待转发的报文包括 PTN网络支持的报文及 PTN网络需要抑 制的报文。其中，需要抑制的报文包括广播报文（ DMAC为全 Oxff的报文）、 二层未知组播报文（ MAC为组播 MAC且查找二层表未命中的报文）、二层 未知单播报文（ DMAC的单播 MAC且查找二层表未命中的报文）。

步驟 S102, 对报文进行解析， 得到报文的报文特征；

具体的， 报文特征包括 DMAC类型、 以太类型以及是否为 MPLS转发 类型等。 PTN 网络待转发的报文自身携带有上述部分报文特征比如报文是 否 DMAC类型、 以太类型等的报文信息； 同时， PTN网络通过处理器接收 报文时， 也可获取到报文是否为 MPLS转发类型的报文。

处理器获取到报文后， 对报文进行解析， 以便得到报文的报文特征。 步驟 S103, 根据报文特征， 并基于包括预设的匹配转发策略的访问控 制列表对报文进行转发或丟弃。

本实施例中访问控制列表中预设有针对不同报文特征的匹配转发策 略， 由于现有的大部分处理器的芯片内， 均具有一定数量的访问控制列表， 访问控制列表最大的优势在于可以区分报文进行处理， 本实施例利用访问 控制列表的这种优势， 通过设置三条访问控制列表表项共同作用， 实现对 广播报文、 二层未知组播报文、 二层未知单播报文丟弃的同时， 保持 ARP 请求报文和通过 PTN网络 MPLS转发的广播报文的正常转发。

具体地， 本实施例中控制列表中预设的匹配转发策略包括：

从访问控制列表中申请第一表项资源， 在第一表项资源中设置 ARP请 求报文的匹配特征及对应的执行状态为允许转发； 并匹配处理器的芯片的 所有端口。 其中， ARP请求报文的匹配特征包括： 匹配报文 DMAC 为全 0xff、 匹配报文以太类型（ethertype )为 0x0806;设置执行状态为允许转发， 即设置执行动作为允许通过（dropcacel )。 设置该第一表项资源的目的是为 了防止同为广播报文的 ARP请求报文被丟弃。

从访问控制列表中申请第二表项资源，在第二表项资源中设置非 MPLS 转发的广播报文的匹配特征及对应的执行状态为丟弃； 同时匹配处理器的 芯片的所有端口。 设置该条表项资源的第一个目的是丟弃普通广播报文， 第二个目的是保证经过 PTN网络 MPLS转发的广播报文不被丟弃。 处理器 为了支持二层 VPN 多点业务， 需要识别经过 PTN 网络转发报文的本身 DM AC, 作为需要经过 PTN网络转发的广播报文， 在 UNI端口接入 PTN 网络以及 NNI端口 PTN网络终结时， 处理器均会认为该报文是广播报文， 如果不进行特殊处理， 会被作为普通广播报文丟弃掉， 所以， 在该第二表 项资源中， 设置了匹配非 MPLS转发行为特征， 将通过 PTN网络 MPLS转 发的广播报文排除在本条表项资源的范围之外。 通过 PTN网络 MPLS转发 的广播报文将按照默认的报文交换处理流程对报文进行处理。 从而解决了 经过 PTN网络 MPLS转发的广播报文被丟弃的问题。

从访问控制列表中申请第三表项资源， 在第三表项资源中设置二层未 知组播报文及二层未知单播报文的匹配特征及对应的执行状态为丟弃。 设 置该条表项资源的目的是为了丟弃 PTN网络中二层未知组播报文和二层未 知单播报文。 本实施例中需要依据三条表项资源的申请顺序依次对 PTN中的报文进 行判断， 即对于访问控制列表的各表项资源来说， 先申请的表项资源先判 断， 后申请的表项后判断， 也就是说， 当处理器获取到 PTN网络待转发的 报文后， 根据报文特征， 处理器依次查找访问控制列表中的第一表项资源、 第二表项资源及第三表项资源， 当通过查找第一表项资源找到相应的匹配 转发策略（比如报文为 ARP请求报文的情况）后， 则无需再去查找第二表 项资源及第三表项资源。

具体地， 如图 3所示， 步驟 S103包括：

步驟 S1031 , 查找访问控制列表中的第一表项资源；

步驟 S1032, 判断报文特征与第一表项资源中的 ARP请求报文特征是 否相匹配， 若是， 则进入步驟 S1037; 否则， 进入步驟 S1033;

步驟 S1033 , 查找访问控制列表中的第二表项资源；

步驟 S1034, 判断报文特征与第二表项资源中的非 MPLS转发的广播 报文特征是否相匹配； 若是， 则进入步驟 S1038; 否则， 进入步驟 S1035; 步驟 S1035 , 查找访问控制列表中的第三表项资源；

步驟 S1036,判断报文特征与第三表项资源中的二层未知组播报文或二 层未知单播报文特征是否相匹配， 若是， 则进入步驟 S1038; 否则， 进入步 驟 S1039;

步驟 S1037, 转发报文。

步驟 S1038, 丟弃 4艮文。

步驟 S1039, 按照默认的报文交换处理流程对报文进行处理。

与现有技术相比较， 本实施例利用访问控制列表来完成 PTN网络的风 暴抑制，很好地保证了 PTN网络协议报文和 PTN网络业务报文的正常转发， 且本发明适用于所有支持 MPLS转发和访问控制列表的设备上。

如图 4所示， 本发明另一实施例提出一种抑制网络风暴的方法， 在上 述实施例的基础上， 在步驟 S101之前还包括：

步驟 S100,根据报文特征在访问控制列表中设置相应的匹配转发策略。 该匹配策略包括： 从访问控制列表中申请第一表项资源， 在第一表项 资源中设置 ARP请求报文的匹配特征及对应的执行状态为允许转发； 从访 问控制列表中申请所述第二表项资源， 在第二表项资源中设置非 MPLS转 发的广播报文的匹配特征及对应的执行状态为丟弃； 从访问控制列表中申 请第三表项资源， 在第三表项资源中设置二层未知组播报文及二层未知单 播报文的匹配特征及对应的执行状态为丟弃。

其具体设置过程包括：

步驟 1: 从访问控制列表中申请第一表项资源，设置匹配处理器的芯片 所有端口， 同时设置匹配 ARP请求报文特征， 其包括以下两点： 匹配报文 DMAC为全 0xff、 匹配报文以太类型 （ethertype ) 为 0x0806, 设置执行动 作为允许通过（ dropcacel ), 完成匹配该第一表项资源的匹配策略的报文的 转发， 保证 ARP请求报文的正常广播。

步驟 2:由于大部分处理器的芯片的 MPLS转发在业务接入和业务终结 时都支持虚拟端口表（VP表） 的查找， 利用此表项中的分类 ID可以达到 区分 MPLS转发和非 MPLS转发的广播报文的目的。 为了解决通过 PTN网 络 MPLS转发的广播报文不被丟弃的问题， 可以对处理器的芯片的所有虚 拟端口表（VP表）进行初始化， 并设置其分类 ID等于 1。

步驟 3: 从访问控制列表中申请第二表项资源，设置匹配处理器的芯片 的所有端口， 同时设置匹配 DMAC 为全 Oxff, 设置匹配虚拟端口表 ( VP 表）分类 ID为 0, 设置执行动作为丟弃（drop )。 完成匹配该第二表项资源 的匹配策略的报文的丟弃。 由于在上述步驟 2 中， 初始化所有的虚拟端口 表（VP表）分类 ID为 1 , 在本表项资源中设置匹配虚拟端口表（VP表） 分类 ID为 0, 这样， 所有经过 MPLS转发的业务， 其对应虚拟端口表（VP 表）分类 ID均为 1 , 不会匹配到本表项 , 由此保证了通过 ΡΤΝ网络 MPLS 转发的广播报文不被丟弃。

步驟 4: 从访问控制列表中申请第三表项资源，设置匹配二层未知组播 报文及二层未知单播报文特征， 同时设置执行动作为丟弃 （drop )。 完成匹 配该第三表项资源的匹配策略的报文的丟弃。 由于大部分处理器的芯片的 访问控制列表都支持二层表项查找是否命中状态的匹配， 所以， 通过本表 项可以很容易实现抑制二层未知组播报文和二层未知单播报文的功能。

如图 5所示， 本发明一实施例提出一种抑制网络风暴的处理器， 包括： 报文获取模块 501、 报文解析模块 502以及报文处理模块 503, 其中，

报文获耳 4莫块 501 , 用于获取 PTN网络待转发的报文；

报文解析模块 502, 对报文进行解析， 得到报文的报文特征；

报文处理模块 503 , 用于根据报文特征， 并基于包括预设的匹配转发策 略的访问控制列表对报文进行转发或丟弃。

在 PTN网络通过设备在不同的用户终端之间进行报文的 MPLS转发的 过程中， PTN网络内，处理器中的报文获耳4莫块 501从转发链路中获取 PTN 网络待转发的报文， 以便后续对报文进行解析处理， 直至将各种报文区分 开来。

PTN网络待转发的报文包括 PTN网络支持的报文及 PTN网络需要抑 制的报文。其中，需要抑制的报文包括广播报文（ DMAC为全 Oxff的报文）、 二层未知组播报文（ MAC为组播 MAC且查找二层表未命中的报文）、二层 未知单播报文（ DMAC的单播 MAC且查找二层表未命中的报文）。

其中， 报文特征包括 DMAC类型、 以太类型以及是否为 MPLS转发类 型等。 PTN 网络待转发的报文自身携带有上述部分报文特征比如报文是否 DMAC类型、 以太类型等的报文信息； 同时， PTN网络通过处理器接收报 文时， 也可获取到报文是否为 MPLS转发类型的报文。 报文获取模块 501获取到报文后， 通过报文解析模块 502对报文进行 解析， 以便得到报文的报文特征。

本实施例中访问控制列表中预设有针对不同报文特征的匹配转发策 略， 由于现有的大部分处理器的芯片内， 均具有一定数量的访问控制列表， 访问控制列表最大的优势在于可以区分报文进行处理， 本实施例利用访问 控制列表的这种优势， 通过设置三条访问控制列表表项共同作用， 实现对 广播报文、 二层未知组播报文、 二层未知单播报文丟弃的同时， 保持 ARP 请求报文和通过 PTN网络 MPLS转发的广播报文的正常转发。

具体地， 本实施例中控制列表中预设的匹配转发策略包括：

从访问控制列表中申请第一表项资源， 在第一表项资源中设置 ARP请 求报文的匹配特征及对应的执行状态为允许转发； 并匹配处理器的芯片的 所有端口。 其中， ARP请求报文的匹配特征包括： 匹配报文 DMAC 为全 0xff、 匹配报文以太类型（ethertype )为 0x0806;设置执行状态为允许转发， 即设置执行动作为允许通过（dropcacel )。 设置该第一表项资源的目的是为 了防止同为广播报文的 ARP请求报文被丟弃。

从访问控制列表中申请第二表项资源，在第二表项资源中设置非 MPLS 转发的广播报文的匹配特征及对应的执行状态为丟弃； 同时匹配处理器的 芯片的所有端口。 设置该条表项资源的第一个目的是丟弃普通广播报文， 第二个目的是保证经过 PTN网络 MPLS转发的广播报文不被丟弃。 处理器 为了支持二层 VPN 多点业务， 需要识别经过 PTN 网络转发报文的本身 DM AC, 作为需要经过 PTN网络转发的广播报文， 在 UNI端口接入 PTN 网络以及 NNI端口 PTN网络终结时， 处理器均会认为该报文是广播报文， 如果不进行特殊处理， 会被作为普通广播报文丟弃掉， 所以， 在该第二表 项资源中， 设置了匹配非 MPLS转发行为特征， 将通过 PTN网络 MPLS转 发的广播报文排除在本条表项资源的范围之外。 通过 PTN网络 MPLS转发 的广播报文将按照默认的报文交换处理流程对报文进行处理。 从而解决了 经过 PTN网络 MPLS转发的广播报文被丟弃的问题。

从访问控制列表中申请第三表项资源， 在第三表项资源中设置二层未 知组播报文及二层未知单播报文的匹配特征及对应的执行状态为丟弃。 设 置该条表项资源的目的是为了丟弃 PTN网络中二层未知组播报文和二层未 知单播报文。

报文处理模块 503需要依据三条表项资源的申请顺序依次对 PTN中的 报文进行判断， 即对于访问控制列表的各表项资源来说， 先申请的表项资 源先判断， 后申请的表项后判断， 也就是说， 当处理器获取到 PTN网络待 转发的报文后， 根据报文特征， 处理器依次查找访问控制列表中的第一表 项资源、 第二表项资源及第三表项资源， 当通过查找第一表项资源找到相 应的匹配转发策略 (比如报文为 ARP请求报文的情况）后， 则无需再去查 找第二表项资源及第三表项资源。

如图 6所示，报文处理模块 503包括：查找单元 5031及处理单元 5032, 其中：

查找单元 5031 , 用于依次查找所述访问控制列表中的第一表项资源、 第二表项资源以及第三表项资源；

处理单元 5032,用于当报文特征与所述第一表项资源中的 ARP请求报 文特征相匹配时，转发报文； 当报文特征与所述第二表项资源中的非 MPLS 转发的广播报文特征相匹配时， 丟弃该报文； 当报文特征与第三表项资源 中的二层未知组播报文或二层未知单播报文特征相匹配时， 丟弃报文； 否 则， 按照默认的报文交换处理流程对所述报文进行处理。

如图 7所示， 本发明另一实施例提出一种抑制网络风暴的处理器， 在 上述实施例的基础上还包括：

设置模块 500, 与报文获取模块 501连接， 用于根据报文特征在访问控 制列表中设置相应的匹配转发策略。

该匹配策略包括： 从访问控制列表中申请第一表项资源， 在第一表项 资源中设置 ARP请求报文的匹配特征及对应的执行状态为允许转发； 从访 问控制列表中申请所述第二表项资源， 在第二表项资源中设置非 MPLS转 发的广播报文的匹配特征及对应的执行状态为丟弃； 从访问控制列表中申 请第三表项资源， 在第三表项资源中设置二层未知组播报文及二层未知单 播报文的匹配特征及对应的执行状态为丟弃。

其具体设置过程包括：

步驟 1: 从访问控制列表中申请第一表项资源，设置匹配处理器的芯片 所有端口， 同时设置匹配 ARP请求报文特征， 其包括以下两点： 匹配报文 DMAC为全 0xff、 匹配报文以太类型 （ethertype ) 为 0x0806, 设置执行动 作为允许通过（ dropcacel ), 完成匹配该第一表项资源的匹配策略的报文的 转发， 保证 ARP请求报文的正常广播。

步驟 2:由于大部分处理器的芯片的 MPLS转发在业务接入和业务终结 时都支持虚拟端口表（VP表） 的查找， 利用此表项中的分类 ID可以达到 区分 MPLS转发和非 MPLS转发的广播报文的目的。 为了解决通过 PTN网 络 MPLS转发的广播报文不被丟弃的问题， 可以对处理器的芯片的所有虚 拟端口表（VP表）进行初始化， 并设置其分类 ID等于 1。

步驟 3: 从访问控制列表中申请第二表项资源，设置匹配处理器的芯片 的所有端口， 同时设置匹配 DMAC 为全 Oxff, 设置匹配虚拟端口表 ( VP 表）分类 ID为 0, 设置执行动作为丟弃（drop )。 完成匹配该第二表项资源 的匹配策略的报文的丟弃。 由于在上述步驟 2 中， 初始化所有的虚拟端口 表（VP表）分类 ID为 1 , 在本表项资源中设置匹配虚拟端口表（VP表） 分类 ID为 0, 这样， 所有经过 MPLS转发的业务， 其对应虚拟端口表（VP 表）分类 ID均为 1 , 不会匹配到本表项， 由此保证了通过 PTN网络 MPLS 转发的广播报文不被丟弃。

步驟 4: 从访问控制列表中申请第三表项资源，设置匹配二层未知组播 报文及二层未知单播报文特征， 同时设置执行动作为丟弃 （drop )。 完成匹 配该第三表项资源的匹配策略的报文的丟弃。 由于大部分处理器的芯片的 访问控制列表都支持二层表项查找是否命中状态的匹配， 所以， 通过本表 项可以很容易实现抑制二层未知组播报文和二层未知单播报文的功能。

本发明实施例抑制网络风暴的方法及处理器， 通过在访问控制列表中 设置相应报文特征的匹配转发策略， 将 PTN 网络待转发的广播报文中的 ARP请求报文、 MPLS转发报文、 非 MPLS转发的广播报文、 二层未知组 播报文及二层未知单播报文区分开， 进行相应的转发或丟弃处理， 不仅有 效的抑制了 PTN网络风暴， 而且避免了将 PTN支持的广播报文丟弃，提高 了 PTN网络的业务性能。

以上所述仅为本发明的优选实施例， 并非因此限制本发明的专利范围 , 凡是利用本发明说明书及附图内容所作的等效结构或流程变换， 或直接或 间接运用在其它相关的技术领域， 均同理包括在本发明的专利保护范围内。

Claims

权利要求书

1、 一种抑制网络风暴的方法， 其特征在于， 该方法包括：

处理器获取分组传送网 PTN网络待转发的报文；

对所述报文进行解析， 得到所述报文的报文特征；

根据所述报文特征， 并基于包括预设的匹配转发策略的访问控制列表 对所述报文进行转发或丟弃。

2、 根据权利要求 1所述的方法， 其特征在于， 所述根据报文特征， 并 基于包括预设的匹配转发策略的访问控制列表对所述报文进行转发或丟弃 为：

查找所述访问控制列表中的第一表项资源； 若所述报文特征与所述第 一表项资源中的地址解析协议 ARP请求报文特征相匹配，则转发所述报文； 否则，

查找所述访问控制列表中的第二表项资源； 若所述报文特征与所述第 二表项资源中的非多协议标签交换 MPLS转发的广播报文特征相匹配， 则 丟弃该报文； 否则，

查找所述访问控制列表中的第三表项资源； 若所述报文特征与所述第 三表项资源中的二层未知组播报文或二层未知单播报文特征相匹配， 则丟 弃所述报文； 否则，

按照默认的报文交换处理流程对所述报文进行处理。

3、 根据权利要求 2所述的方法， 其特征在于， 所述报文特征至少包括 目的介质访问控制地址 DMAC类型、 以太类型及是否为 MPLS转发类型中 的一种。

4、 根据权利要求 2 所述的方法， 其特征在于， 所述处理器获取 PTN 网络待转发的报文之前， 该方法还包括：

根据报文特征在所述访问控制列表中设置相应的匹配转发策略。

5、 根据权利要求 4所述的方法， 其特征在于， 所述根据报文特征在所 述访问控制列表中设置相应的匹配转发策略为：

从所述访问控制列表中申请所述第一表项资源， 在所述第一表项资源 中设置 ARP请求报文的匹配特征及对应的执行状态为允许转发； 从所述访 问控制列表中申请所述第二表项资源，在所述第二表项资源中设置非 MPLS 转发的广播报文的匹配特征及对应的执行状态为丟弃； 从所述访问控制列 表中申请所述第三表项资源， 在所述第三表项资源中设置二层未知组播报 文及二层未知单播报文的匹配特征及对应的执行状态为丟弃。

6、 一种抑制网络风暴的处理器， 其特征在于， 该处理器包括： 报文获耳4莫块， 用于获取 PTN网络待转发的报文；

报文解析模块， 对所述报文进行解析， 得到所述报文的报文特征； 报文处理模块， 用于根据所述报文特征， 并基于包括预设的匹配转发 策略的访问控制列表对所述报文进行转发或丟弃。

7、 根据权利要求 6所述的处理器， 其特征在于， 所述报文处理模块进 一步包括：

查找单元， 用于依次查找所述访问控制列表中的第一表项资源、 第二 表项资源以及第三表项资源；

处理单元， 用于当所述报文特征与所述第一表项资源中的 ARP请求报 文特征相匹配时， 转发所述报文； 当所述报文特征与所述第二表项资源中 的非 MPLS转发的广播报文特征相匹配时， 丟弃该报文； 当所述报文特征 与所述第三表项资源中的二层未知组播报文或二层未知单播报文特征相匹 配时， 丟弃所述报文； 否则， 按照默认的报文交换处理流程对所述报文进 行处理。

8、 根据权利要求 6所述的处理器， 其特征在于， 所述报文特征至少包 括以下之一： DMAC类型、 以太类型及是否为 MPLS转发类型。

9、 根据权利要求 6所述的处理器， 其特征在于， 该处理器还包括： 设置模块， 用于根据报文特征在所述访问控制列表中设置相应的匹配 转发策略。

10、 根据权利要求 9所述的处理器， 其特征在于， 所述设置模块还用 于， 从所述访问控制列表中申请所述第一表项资源， 在所述第一表项资源 中设置 ARP请求报文的匹配特征及对应的执行状态为允许转发； 从所述访 问控制列表中申请所述第二表项资源，在所述第二表项资源中设置非 MPLS 转发的广播报文的匹配特征及对应的执行状态为丟弃； 从所述访问控制列 表中申请所述第三表项资源， 在所述第三表项资源中设置二层未知组播报 文及二层未知单播报文的匹配特征及对应的执行状态为丟弃。