WO2017167028A1

WO2017167028A1 - 一种路由控制方法、网络设备及控制器

Info

Publication number: WO2017167028A1
Application number: PCT/CN2017/076963
Authority: WO
Inventors: 庄顺万; 王苌; 吴楠; 李振斌; 倪辉
Original assignee: 华为技术有限公司
Priority date: 2016-03-31
Filing date: 2017-03-16
Publication date: 2017-10-05
Also published as: EP3429140A4; US20230111267A1; US20190036822A1; EP4199463A1; EP3429140A1; EP3429140B1; CN105721303B; US20200366605A1; US11997016B2; US10700973B2; CN105721303A; US11349759B2

Abstract

本发明实施例提供了一种路由控制方法、网络设备及控制器，网络设备上具有第一路由表项和第二路由表项，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀，所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，并且所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码；所述方法包括：所述网络设备的控制模块获得路由抑制请求；确定出所述第二路由表项；设置所述第二路由表项的状态为非下发状态，用于指示所述第二路由表项不用于下发到转发表中。可见，本发明实施例中通过对长掩码对应的路由的抑制，以实现选择短掩码对应的路由。

Description

一种路由控制方法、网络设备及控制器

本申请要求于2016年3月31日提交中国专利局、申请号为CN 201610204188.0、发明名称为“一种路由控制方法、网络设备及控制器”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明实施例涉及通信技术领域，尤其是涉及一种路由控制方法、网络设备及控制器。

背景技术

转发设备上通常具有转发表项，又称为转发信息库(英文：Forwarding Information Base，简称：FIB)表项。在转发报文时，转发设备将报文的目的地址与转发表项的地址前缀进行匹配，得到匹配的转发表项，从而根据匹配的转发表项确定报文的路由。

目前，转发设备在确定路由时通常基于最长匹配原则，即，转发设备从与目的地址匹配的转发表项中，选择掩码最长的转发表项，根据该掩码最长的转发表项确定出报文的路由。

然而经过发明人研究发现：在一些场景下，根据该掩码最长的转发表项确定出报文的路由，往往并不是最优路由。但是，目前并不存在一种对路由的控制方式，以实现选择短掩码对应的路由。

发明内容

本发明实施例解决的技术问题在于提供一种路由控制方法、网络设备及控制器，通过对长掩码对应的路由进行抑制，从而实现选择短掩码对应的路由。

为此，本发明实施例解决技术问题的技术方案是：

第一方面，本发明实施例提供了一种路由控制方法，网络设备上具有第一路由表项和第二路由表项，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀，所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，并且所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码；所述方法包括：

所述网络设备的控制模块获得路由抑制请求；

所述控制模块确定出所述第二路由表项；

所述控制模块设置所述第二路由表项的状态为非下发状态，所述非下发状态用于指示所述第二路由表项不用于下发到转发表中。

在第一方面的第一种可能的实现方式中，所述控制模块设置所述第二路由表项的状态为非下发状态包括：

所述控制模块设置所述第二路由表项为非活跃状态，或者设置所述第二路由表项为活跃状态中的仅保存状态。

结合第一方面或者第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述路由抑制请求为边界网关协议BGP流规则FlowSpec消息，所述BGP FlowSpec消息的网络层可达信息NLRI中携带地址匹配项，所述BGP FlowSpec消息的扩展团体属性中携带所述地址匹配项对应的抑制动作；所述地址匹配项为所述第一地址前缀或者所述第二地址前缀；

所述控制模块设置所述第二路由表项的状态为非下发状态包括：

所述控制模块基于所述抑制动作，设置所述第二路由表项的状态为非下发状态。

结合第一方面或者第一方面的第一种可能的实现方式，在第一方面的第三种可能的实现方式中，所述路由抑制请求为配置命令，所述配置命令中携带地址匹配项和所述地址匹配项对应的抑制动作，所述地址匹配项为所述第一地址前缀或者所述第二地址前缀；

结合第一方面或者第一方面的第一种可能的实现方式，在第一方面的第四种可能的实现方式中，所述控制模块设置所述第二路由表项的状态为非下发状态之前，所述方法还包括：

所述控制模块确定出所述第一路由表项为活跃状态中的下发状态。

结合第一方面的第四种可能的实现方式，在第一方面的第五种可能的实现方式中，所述控制模块设置所述第二路由表项的状态为非下发状态之后，所述方法还包括：

所述控制模块将所述第一路由表项下发到转发表中。

结合第一方面或者第一方面的第一种可能的实现方式，在第一方面的第六种可能的实现方式中，所述网络设备为物理转发设备，所述控制模块为所述物理转发设备的控制模块；或者，所述网络设备为部署在通用物理服务器上的第一虚拟机，所述控制模块为所述第一虚拟机的控制模块；或者，所述网络设备包括部署在通用物理服务器上的第二虚拟机，所述控制模块为所述第二虚拟机。

第二方面，本发明实施例提供了一种路由控制方法，所述方法包括：

控制器向网络设备的控制模块下发第一路由表项和第二路由表项，其中，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀，所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，并且所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码；

控制器确定出所述第二路由表项；

所述控制器向所述控制模块发送路由抑制请求，所述路由抑制请求用于指示所述控制模块设置所述第二路由表项的状态为非下发状态，所述非下发状态用于指示所述第二路由表项不用于下发到转发表中。

在第二方面的第一种可能的实现方式中，所述路由抑制请求用于指示所述控制模块设置所述第二路由表项为非活跃状态，或者设置所述第二路由表项为活跃状态中的仅保存状态。

结合第二方面或者第二方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述路由抑制请求为边界网关协议BGP流规则FlowSpec消息，所述BGP FlowSpec消息的网络层可达信息NLRI中携带地址匹配项，所述BGP FlowSpec消息的扩展团体属性中携带所述地址匹配项对应的抑制动作；所述抑制动作用于指示所述控制模块基于所述抑制动作，设置所述第二路由表项的状态为非下发状态；所述地址匹配项为所述第一地址前缀或者所述第二地址前缀。

结合第二方面或者第二方面的第一种可能的实现方式，在第一方面的第三种可能的实现方式中，所述路由抑制请求为配置命令，所述配置命令中携带地址匹配项和所述地址匹配项对应的抑制动作；所述抑制动作用于指示所述控制模块基于所述抑制动作，设置所述第二路由表项的状态为非下发状态；所述地址匹配项为所述第一地址前缀或者所述第二地址前缀。

结合第二方面或者第二方面的第一种可能的实现方式，在第一方面的第四种可能的实现方式中，所述控制器为具有专用硬件结构的控制器、通过在通用物理服务器上安装软件实现的控制器、或者部署在通用物理服务器上的虚拟机。

第三方面，本发明实施例提供了一种网络设备，所述网络设备上具有第一路由表项和第二路由表项，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀，所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，并且所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码；

所述网络设备包括控制模块，所述控制模块包括获得单元、确定单元和设置单元；

所述获得单元用于，获得路由抑制请求；

所述确定单元用于，确定出所述第二路由表项；

所述设置单元用于，设置所述第二路由表项的状态为非下发状态，所述非下发状态用于指示所述第二路由表项不用于下发到转发表中。

在第三方面的第一种可能的实现方式中，所述设置单元具体用于，设置所述第二路由表项为非活跃状态，或者设置所述第二路由表项为活跃状态中的仅保存状态。

结合第三方面或者第三方面的第一种可能的实现方式，在第三方面的第二种可能的实现方式中，所述路由抑制请求为边界网关协议BGP流规则FlowSpec消息，所述BGP FlowSpec消息的网络层可达信息NLRI中携带地址匹配项，所述BGP FlowSpec消息的扩展团体属性中携带所述地址匹配项对应的抑制动作；所述地址匹配项为所述第一地址前缀或者所述第二地址前缀；

所述设置单元具体用于基于所述抑制动作，设置所述第二路由表项的状态为非下发状态。

结合第三方面或者第三方面的第一种可能的实现方式，在第三方面的第三种可能的实现方式中，所述路由抑制请求为配置命令，所述配置命令中携带地址匹配项和所述地址匹配项对应的抑制动作，所述地址匹配项为所述第一地址前缀或者所述第二地址前缀；

结合第三方面或者第三方面的第一种可能的实现方式，在第三方面的第四种可能的实现方式中，所述确定单元还用于，所述设置单元设置所述第二路由表项的状态为非下发状态之前，确定出所述第一路由表项为活跃状态中的下发状态。

结合第三方面的第四种可能的实现方式，在第三方面的第五种可能的实现方式中，还包括下发单元，

所述下发单元用于，所述设置单元设置所述第二路由表项的状态为非下发状态之后，将所述第一路由表项下发到转发表中。

结合第三方面或者第三方面的第一种可能的实现方式，在第三方面的第六种可能的实现方式中，所述网络设备为物理转发设备，所述控制模块为所述物理转发设备的控制模块；或者，所述网络设备为部署在通用物理服务器上的第一虚拟机，所述控制模块为所述第一虚拟机的控制模块；或者，所述网络设备包括部署在通用物理服务器上的第二虚拟机，所述控制模块为所述第二虚拟机。

第四方面，本发明实施例提供了一种控制器，包括：下发单元、确定单元和发送单元；

所述下发单元用于，向网络设备的控制模块下发第一路由表项和第二路由表项，其中，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀，所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，并且所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码；

所述确定单元用于，确定出所述第二路由表项；

所述发送单元用于，向所述控制模块发送路由抑制请求，所述路由抑制请求用于指示所述控制模块设置所述第二路由表项的状态为非下发状态，所述非下发状态用于指示所述第二路由表项不用于下发到转发表中。

在第四方面的第一种可能的实现方式中，所述路由抑制请求用于指示所述控制模块设置所述第二路由表项为非活跃状态，或者设置所述第二路由表项为活跃状态中的仅保存状态。

结合第四方面或者第四方面的第一种可能的实现方式，在第三方面的第二种可能的实现方式中，所述路由抑制请求为边界网关协议BGP流规则FlowSpec消息，所述BGP FlowSpec消息的网络层可达信息NLRI中携带地址匹配项，所述BGP FlowSpec消息的扩展团体属性中携带所述地址匹配项对应的抑制动作；所述抑制动作用于指示所述控制模块基于所述抑制动作，设置所述第二路由表项的状态为非下发状态；所述地址匹配项为所述第一地址前缀或者所述第二地址前缀。

结合第四方面或者第四方面的第一种可能的实现方式，在第三方面的第三种可能的实现方式中，所述路由抑制请求为配置命令，所述配置命令中携带地址匹配项和所述地址匹配项对应的抑制动作；所述抑制动作用于指示所述控制模块基于所述抑制动作，设置所述第二路由表项的状态为非下发状态；所述地址匹配项为所述第一地址前缀或者所述第二地址前缀。

结合第四方面或者第四方面的第一种可能的实现方式，在第三方面的第四种可能的实现方式中，所述控制器为具有专用硬件结构的控制器、通过在通用物理服务器上安装软件实现的控制器、或者部署在通用物理服务器上的虚拟机。

第四方面，本发明实施例提供了一种网络系统，包括上述网络设备的任一种可能的实现方式，和上述控制器的任一种可能的实现方式。

通过上述技术方案可知，在本发明实施例中，网络设备上具有第一路由表项和第二路由表项，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀，其中，所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码，并且所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集。当所述网络设备的控制模块获得路由抑制请求后，能够确定出所述第二路由表项，通过设置所述第二路由表项的状态为非下发状态，指示所述第二路由表项不会下发到转发表中。由于所述第二路由表项对应的路由为长掩码对应的路由，因此，当有报文转发时，该报文不会基于所述第二路由表项选择长掩码对应的路由，从而通过对长掩码对应的路由的抑制，以实现选择短掩码对应的路由。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为现有技术中一种报文流向的示意图；

图2为本发明实施例提供的一种方法实施例的流程示意图；

图3为本发明实施例提供的一种转发系统的结构示意图；

图4为本发明实施例提供的一种转发场景的结构示意图；

图5为本发明实施例提供的另一种转发场景的结构示意图；

图6为本发明实施例提供的另一种转发场景的结构示意图；

图7为本发明实施例提供的另一种方法实施例的流程示意图；

图8为本发明实施例提供的另一种方法实施例的流程示意图；

图9为本发明实施例提供的一种报文流向的示意图；

图10为本发明实施例提供的网络设备的一种装置实施例的结构示意图；

图11为本发明实施例提供的控制器的一种装置实施例的结构示意图；

图12为本发明实施例提供的网络系统的一种装置实施例的结构示意图；

图13为本发明实施例提供的网络设备的另一种装置实施例的结构示意图；

图14为本发明实施例提供的控制器的另一种装置实施例的结构示意图。

具体实施方式

路由表(又称为RIB表)和转发表(又称为FIB表)是转发过程中两种常用的表。其中，由控制面计算出路由表后，将路由表中的表项下发到转发面的转发表中，用于指示报文的转发。例如，表1示出了控制面计算出的路由表。

表1

将表1中的所有表项下发至转发面后，得到如表2所示的转发表。

表2

转发面在基于例如表2所示的转发表转发报文时，将报文的目的地址与转发表中各个转发表项的地址前缀进行匹配，确定出匹配的转发表项，根据匹配的转发表项确定报文的路由。目前，转发面在确定路由时通常基于最长匹配原则，即，转发面从与目的地址匹配的转发表项中，确定出掩码最长的转发表项，根据该掩码最长的转发表项确定报文的路由，即相当于选择了长掩码对应的路由。其中，地址前缀(英文：prefix)可以由地址和掩码两部分构成，例如地址前缀的格式为：互联网协议(英文：Internet Protocol Address，简称：IP)地址/掩码。

举例说明，若报文的目的地址为9.1.1.18，转发面按照掩码从长到短的顺序，将目的地址9.1.1.18分别与表2中各个表项的地址前缀进行匹配，当确定出地址前缀9.1.0.0/16与目的地址9.1.1.18匹配后，不再继续匹配，而是确定出地址前缀9.1.0.0/16对应的表项，并根据该表项对应的下一跳120.0.0.2确定路由，也就是将该报文向下一跳120.0.0.2进行转发。

然而经过发明人研究发现：在一些场景下，根据掩码最长的转发表项确定出的报文的路由，往往并不是最优路由。例如在图1所示的场景中，城域网络包括路由器A和路由器B。因特网服务提供商(英文：Internet Service Provider，简称：ISP)1包括路由器C和路由器D，ISP2包括路由器E和路由器F。并且，ISP1向城域网络发布的地址前缀为9.0.0.0/8，ISP1同时向ISP2发布了地址前缀9.1.0.0/16，该地址前缀通过ISP2发布至城域网络。服务器的地址前缀为9.1.1.18/24，当用户端需要发送目的地址为9.1.1.18的报文时，路由器A将该报文发送至路由器B，路由器B基于表2所示的转发表，会将报文发送对应的下一跳地址120.0.0.2，即路由器F的地址，从而实现了发送至ISP2，最终通过路由器E、路由器D和路由器C发送到ISP1上挂着的服务器。然而，由于从ISP2转发的路由消耗值更多、收费更高、或者传输质量更差等原因，可能会造成向ISP2转发的路由并不是最优路由。但是，目前并不存在一种能够对路由的控制方式，以实现选择短掩码对应的路由。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”或“第四”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

请参阅图2，本发明实施例提供了路由控制方法的一种方法实施例。本实施例可以用于网络设备中。

所述网络设备上，例如所述网络设备的控制模块上具有第一路由表项和第二路由表项。所述第一路由表项的地址前缀为第一地址前缀；所述第二路由表项的地址前缀为第二地址前缀。所述第一地址前缀和所述第二地址前缀均用于与报文的目的地址进行匹配。其中，所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码，也就是说，所述第一路由表项对应的路由为短掩码对应的路由，所述第二路由表项对应的路由为长掩码对应的路由。并且，所述第二地址前缀所属的网段为网段U1，所述第一地址前缀所属的网段为网段U2。其中，网段U1为网段U2的子集，也就是说，网段U2中包括网段U1，即，属于网段U2的IP地址一定属于网段U1，而属于网段U1的IP地址有可能属于网段U2，也有可能不属于网段U2。本发明实施例中提及的所属网段均指的是所属的最大范围的网段。

举例说明，所述第一地址前缀可以为9.0.0.0/8，所述第二地址前缀可以为9.1.0.0/16。可以看出，掩码16大于掩码8，并且9.1.0.0/16所属的网段为网段9.1.0.0-9.1.255.255，9.0.0.0/8所属的网段为网段9.0.0.0-9.255.255.255，而网段9.1.0.0-9.1.255.255为网段9.0.0.0-9.255.255.255的子集。并且，由于所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，因此若报文的目的地址与所述第二路由表项匹配，则一定也与所述第一路由表项匹配。例如，若报文的目的地址为9.1.1.18，则该报文与9.0.0.0/8和9.1.0.0/16均匹配。需要说明的是，本发明实施例中所提及的长掩码和短掩码，指的是相对而言的长和短，例如对于掩码8和16来说，16为长掩码，8为短掩码。

在本发明实施例中，所述第一路由表项和所述第二路由表项除了地址前缀之外，还可以具有下一跳地址、表项状态等信息。其中，下一跳地址用于指示下一跳路由，表项状态用于指示是否用于下发转发表项等。

举例说明，所述网络设备可以为图3所示的转发设备01，转发设备01分别与转发设备02和转发设备03连接。所述第一路由表项和所述第二路由表项可以如表3所示，所述第一路由表项的下一跳地址为转发设备02的地址，即，所述第一路由表项用于指示将报文转发至转发设备02；所述第二路由表项的下一跳地址为转发设备03的地址，即，所述第二路由表项用于指示将报文转发至转发设备03。所述第一路由表项和所述第二路由表项的初始表项状态可以均为Active中的下发状态，用于指示下发转发表项。其中，转发设备01、转发设备02和转发设备03可以为不同网络的边界设备，例如，转发设备01可以为城域网络或者数据中心(英文：Data Center，简称：DC)网络的边界设备，转发设备02可以为ISP1的边界设备，转发设备03可以为ISP2的边界设备。

表3

地址前缀	下一跳	表项状态
第一地址前缀	转发设备02的地址	Active中的下发状态
第二地址前缀	转发设备03的地址	Active中的下发状态

本实施例的所述方法包括：

201：所述网络设备的控制模块获得路由抑制请求。

其中，所述路由抑制请求中可以携带地址匹配项。所述地址匹配项用于从所述第一路由表项和所述第二路由表项中确定出所述第二路由表项，从而确定出长掩码对应的路由。其中，所述地址匹配项可以为所述第一地址前缀，也可以为所述第二地址前缀。

其中，所述路由抑制请求既可以是控制器等路由控制设备发送的报文消息；也可以是用户配置的配置命令等。

202：所述控制模块确定出所述第二路由表项。

其中，所述控制模块可以是根据所述地址匹配项确定出所述第二路由表项。

所述控制模块在确定所述第二路由表项时的确定规则可以是掩码大于地址匹配项的掩码，地址前缀与地址匹配项完全相同或者部分相同。举例说明，所述地址匹配项为所述第二地址前缀，例如9.1.0.0/16，所述控制模块根据9.1.0.0/16确定出掩码16大于掩码8，并且所述第二路由表项的地址前缀与9.1.0.0/16完全相同，从而确定出所述第二路由表项。

所述确定规则也可以是掩码大于地址匹配项的掩码，地址前缀所属的网段为地址匹配项所属的网段的子集。举例说明，所述地址匹配项为所述第一地址前缀，例如9.0.0.0/8，所述控制模块确定出掩码16大于掩码8，并且所述第二路由表项的地址前缀所属的网段，为9.0.0.0/8所属的网段的子集，从而确定出所述第二路由表项。

203：所述控制模块设置所述第二路由表项的状态为非下发状态，所述非下发状态用于指示所述第二路由表项不用于下发到转发表中。

在本发明实施例中，所述控制模块确定出所述第二路由表项后，为了抑制所述第二路由表项对应的路由，即长掩码对应的路由，对所述第二路由表项的状态进行设置。由于将路由表项下发到转发表中是周期性执行的，因此，在设置所述第二路由表项的状态为非下发状态之后，在下一次下发路由表项时所述第二路由表项不会下发到转发表中。其中，转发表位于所述控制模块对应的转发模块中，因此，当有报文转发时，所述转发模块不会基于所述第二路由表项对应的路由转发该报文。

其中，在设置所述第二路由表项的状态为非下发状态时，既可以设置所述第二路由表项为非活跃状态(In-Active)，也可以设置所述第二路由表项为活跃状态中的仅保存状态(Rib-Only)。例如表4所示，将所述第二路由表项设置为In-Active或者Rib-Only。其中，Rib-Only指的是仅在路由表中进行保存的状态，表示路由表项不用于下发到转发模块的转发表中。

表4

地址前缀	下一跳	表项状态
第一地址前缀	转发设备02的地址	Active中的下发状态
第二地址前缀	转发设备03的地址	In-Activ或者Rib-Only

通过上述技术方案可知，在本发明实施例中，所述网络设备上具有第一路由表项和第二路由表项，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀。其中，所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码，即，所述第二路由表项对应的路由为长掩码对应的路由。并且所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集。当所述网络设备的控制模块获得路由抑制请求后，能够确定所述第二路由表项，通过设置所述第二路由表项的状态为非下发状态，指示所述第二路由表项不会下发到转发表中。由于所述第二路由表项对应的路由为长掩码对应的路由，因此，当有报文转发时，该报文不会基于所述第二路由表项选择长掩码对应的路由，从而通过对长掩码对应的路由的抑制，以实现选择短掩码对应的路由。

本发明实施例可以用于多种转发场景中，当用于不同的转发场景时，网络设备分别对应不同的设备，下面具体说明。

第一种转发场景中，所述网络设备为物理转发设备，物理转发设备指的是具有专用硬件结构的转发设备，例如为具有专用硬件结构的路由器或者交换机等。所述控制模块为所述物理转发设备的控制模块。图4示出了第一种转发场景中的一种示例性转发场景，该转发场景包括物理控制器和物理转发设备，物理转发设备的控制模块接收物理控制器发送的路由抑制请求。其中，物理控制器指的是具有专用硬件结构的控制器，例如为主控板或者控制卡等。

第二种转发场景中，所述网络设备为部署在通用物理服务器上的第一虚拟机，所述控制模块为所述第一虚拟机的控制模块。实际上，这种场景中利用虚拟化技术，虚拟出运行有用于提供转发设备功能的程序的虚拟机(英文：Virtual Machine，简称：VM)，该虚拟机即为所述网络设备，该虚拟机的控制模块即为所述网络设备的控制模块。

下面简要说明虚拟化技术：一个通用物理服务器通过虚拟化技术能够被虚拟成多个逻辑计算机，每一个逻辑计算机即是通用物理服务器上的一个虚拟机，其中，每个虚拟机可以运行不同的操作系统，因此，各个虚拟机的应用程序可以运行在互相独立的操作系统的空间内。即，一个虚拟机指的是通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的一个完整计算机系统。

图5示出了第二种转发场景中的一种示例性转发场景，该转发场景包括虚拟机01和虚拟机02，虚拟机01运行有用于提供控制器功能的程序，虚拟机02运行有用于提供转发设备功能的程序，虚拟机02的控制模块接收虚拟机01发送的路由抑制请求。

值得说明的是，该虚拟机01和该虚拟机02也可以部署在不同的通用物理服务器上。

第三种转发场景中，所述网络设备包括部署在通用物理服务器上的第二虚拟机，所述控制模块为所述第二虚拟机。实际上，这种场景中利用虚拟化技术，虚拟出运行有用于提供转发设备的控制模块的功能的程序的虚拟机，该虚拟机即为所述控制模块，所述网络设备包括所述控制模块和转发模块，所述转发模块提供报文的转发功能，可以单独部署在通用物理服务器的虚拟机上，也可以直接部署在通用物理服务器上，还可以部署在专用的物理硬件设备上。

图6示出了第三种转发场景中的一种示例性转发场景，该转发场景包括虚拟机03、虚拟机04和转发模块，虚拟机03运行有用于提供控制器功能的程序，虚拟机04运行有用于提供转发设备的控制模块功能的程序，虚拟机04接收虚拟机03发送的路由抑制请求，并且向转发模块下发路由表项。其中，该转发模块可以为单独的虚拟机。

本发明实施例中，为了不影响报文的转发，还可以在203中设置所述第二路由表项的状态为非下发状态之前，判断所述第一路由表项是否用于下发到转发表中，如果是，则继续执行203。具体地，本发明实施例在203之前还可以包括：所述控制模块确定出所述第一路由表项为活跃状态中的下发状态。其中，所述控制模块可以是根据所述地址匹配性确定出所述第一路由表项。由于所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，因此，即使所述第二路由表项不下发到转发表中，所述控制模块对应的转发模块也可以至少基于所述第一路由表项对应的路由转发报文，避免出现报文无法转发的情况。此外，若本发明实施例判断出所述第一路由表项不用于下发到转发表中，例如所述第一路由表项为In-Active或者Rib-Only，本发明实施例中还可以不执行203，从而保证不影响报文的转发。

举例说明，在图3所示的拓扑中，转发设备01的控制模块获得的地址匹配项为所述第一地址前缀，转发设备01的控制模块根据所述第一地址前缀确定出所述第一路由表项。若转发设备01的控制模块确定出所述第一路由表项为活跃状态中的下发状态，则执行203，即设置所述第二路由表项的状态为非下发状态。因此，即使报文的目的地址分别与所述第二路由表项和所述第一路由表项均匹配，转发设备01的转发模块也不会基于所述第二路由表项对应的路由将所述报文转发至转发设备03，而可以基于所述第一路由表项对应的转发表项将所述报文转发至转发设备02。若转发设备01的控制模块确定出所述第一路由表项为In-Active或者Rib-Only，则不执行203。因此，转发设备01的转发模块会基于所述第二路由表项对应的路由将所述报文转发至转发设备03。

本发明实施例中，203中所述控制模块设置所述第二路由表项的状态之后，还可以包括：所述控制模块将所述第一路由表项下发到转发表中。而所述第二路由表项并不会下发到转发表中，从而使得所述控制模块对应的转发模块基于所述第一路由表项选择短掩码对应的路由。

在本发明实施例中，所述控制模块可以接收到由路由控制设备发送的路由抑制请求，在软件定义网络(英文：Software Defined Network,简称：SDN)中，该路由控制设备可以为控制器，在非SDN中，该路由控制设备可以为网络管理设备、流量分析服务器、协同器等。下面以控制器侧为执行主体说明路由控制方法的另一种实施例。

请参阅图7，本发明实施例提供了路由控制方法的另一种方法实施例。本实施例可以用于控制器中。

701：控制器向网络设备的控制模块下发第一路由表项和第二路由表项，其中，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀，所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，并且所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码。

其中，所述控制器计算出所述第一路由表项和第二路由表项后，可以将计算出的表项下发到所述控制模块。所述控制模块接收到所述第一路由表项和所述第二路由表项后，可以将所述第一路由表项和所述第二路由表项保存在所述网络设备中。

702：所述控制器确定出所述第二路由表项。

其中，所述控制器可以根据所述第一路由表项和所述第二路由表项，自动确定出需要抑制所述第二路由表项；也可以是检测到用户执行的抑制操作，确定出需要抑制所述第二路由表项。

703：所述控制器向所述控制模块发送路由抑制请求，所述路由抑制请求用于指示所述控制模块设置所述第二路由表项的状态为非下发状态，所述非下发状态用于指示所述第二路由表项不用于下发到转发表中。其中，所述路由抑制请求中可以携带地址匹配项，所述控制模块根据所述地址匹配项确定出所述第二路由表项。关于本实施例的相关内容，请参阅图2对应的实施例，这里不再赘述。

本发明实施例中，所述控制器可以为具有专用硬件结构的控制器，具有专用硬件结构的控制器可以为具有专用硬件结构的设备、主控板或者控制卡等。所述控制器还可以为在通用物理服务器上通过安装软件实现的控制器、或者为部署在通用物理服务器上的虚拟机，即利用虚拟化技术，虚拟出运行有用于提供控制器功能的程序的虚拟机。所述控制器可以用于图4-图6任一种转发场景中。

在本发明实施例中，所述控制器也可以不向所述控制模块发送路由抑制请求，而是所述控制器确定出所述第二路由表项后，在701中不将所述第二路由表项下发到所述控制模块中，也能够实现对长掩码对应的路由进行抑制。

本发明实施例中可以通过对边界网关协议(英文：Border Gateway Protocol，简称：BGP)流规则(英文：Flow Specification，简称：FlowSpec)消息进行扩展，在所述消息中携带所述地址匹配项。下面具体说明。

目前，BGP Flow Spec消息用于控制攻击流量，该消息包括网络层可达信息(英文：Network Layer Reachability Information，简称：NLRI)和扩展团体属性(英文：extended community)。其中，RFC(Request For Comments)5575中定义了12种常用的流量匹配规则，例如包括目的地址、源地址、IP号、端口号等，这12种规则封装在该消息的NLRI中。此外，RFC 5575还定义了4种常用的流量处理行为，例如包括：丢弃流量、流量限速、重定向到虚拟专用网络(英文：Virtual Private Network，简称：VPN))，这4种处理行为在扩展团体属性中携带。

而本发明实施例中，所述路由抑制请求为可以具体为BGP FlowSpec消息，在BGP FlowSpec消息的NLRI中携带地址匹配项，在BGP FlowSpec消息的扩展团体属性中携带所述地址匹配项对应的抑制动作。例如所述抑制动作可以指示出设置为In-Active或者Rib-Only。因此，所述控制模块接收到所述BGP FlowSpec消息后，能够从该消息的NLRI中获得所述地址匹配项，从该消息的扩展团体属性中获得所述抑制动作，从而基于所述抑制动作，设置所述第二路由表项的状态为非下发状态。其中，所述地址匹配项可以为所述第一地址前缀或者所述第二地址前缀。

例如表5所示，当类型为TBD1时，所述地址匹配项为所述第一地址前缀，TBD1指示出根据所述第一地址前缀确定出所述第二路由表项，将所述第二路由表项的状态设置为Rib-Only。TBD2指示出根据所述第一地址前缀确定出所述第二路由表项，将所述第二路由表项的状态设置为In-Active。

表5

其中，所述第二路由表项对应的路由为所述第一路由表项对应的路由的明细路由。TBD表示待定义(to be defined)，在国际互联网工程任务组(英文：The Internet Engineering Task Force，简称:IETF)正式分配后，会使用IETF指定的数值。

另外，所述路由抑制请求还可以为配置命令，所述配置命令中携带地址匹配项和所述地址匹配项对应的抑制动作。该配置命令可以是对所述网络设备进行本地配置后获得，也可以是由其它设备发送给所述控制模块。例如，其它设备通过Netconf协议将所述配置命令发送至所述控制模块，作为所述控制模块下发路由表项时的策略。所述控制模块基于该配置命令中的抑制动作，设置所述第二路由表项的状态为非下发状态。其中，所述地址匹配项可以为所述第一地址前缀或者所述第二地址前缀。

在本发明实施例中，对所述第二路由表项的状态进行设置之后，还可以恢复所述第二路由表项的状态，以使得所述第二路由表项用于下发到转发表中。例如，所述第一路由表项的状态从Active中的下发状态改变为In-Active或者Rib-Only时，所述控制模块可以将所述第二路由表项的状态恢复成Active中的下发状态。又例如，所述控制模块根据撤销抑制请求或者配置命令，将所述第二路由表项的状态恢复成Active中的下发状态。举例说明，所述控制模块接收到扩展后的BGP Flow Spec更新消息后，将所述第二路由表项的状态设置为In-Active或者Rib-Only，接收到扩展后的BGP Flow Spec撤销消息后，将所述第二路由表项的状态设置为Active中的下发状态。

在本发明实施例中，当所述地址匹配项为所述第一地址前缀，若除了所述第二路由表项之外，还能确定出第三路由表项对应的路由为长掩码对应的路由，也就是说，所述网络设备上还具有第三路由表项，所述第三路由表项的地址前缀为第三地址前缀，所述第三地址前缀所属的网段也为所述第一地址前缀所属的网段的子集，并且所述第三地址前缀中的掩码也大于所述第一地址前缀中的掩码。则本发明实施例中既可以设置将所述第三路由表项的状态为非下发状态，使得所述第三路由表项不用于下发到转发表中，也可以不改变所述第三路由表项的状态，使得所述第三路由表项仍然能够下发到转发表中。下面分别说明。

可选的，所述方法还包括：所述控制模块根据所述地址匹配项确定出第三路由表项；所述控制模块设置所述第三路由表项的状态为非下发状态，使得所述第三路由表项不用于下发到转发表中。例如所述第一地址前缀为9.0.0.0/8，所述第二地址前缀为9.1.0.0/16，所述第三地址前缀为9.2.0.0/16，所述控制模块还可以将所述第三路由表项设置为In-Active或者Rib-Only。也就是说，本实施例中根据所述第一地址前缀确定出所述第二路由表项和所述第三路由表项对应的路由均为长掩码对应的路由时，可以同时抑制这两个长掩码对应的路由。

可选的，所述方法还包括：所述控制模块获得子网范围匹配项；202中所述控制模块根据所述地址匹配项和所述子网范围匹配项确定出所述第二路由表项。例如所述第一地址前缀为9.0.0.0/8，所述第二地址前缀为9.1.0.0/16，所述第三地址前缀为9.2.0.0/16，所述子网匹配项可以是9.1.0.0，可以根据所述第一地址前缀和所述子网匹配项确定出所述第二路由表项。也就是说，本实施例中根据所述第一地址前缀确定出所述第二路由表项和所述第三路由表项对应的路由均为长掩码对应的路由时，还可以指定更明细的子网，从而只对所述第二路由表项对应的路由进行抑制，而不抑制所述第三路由表项对应的路由。

下面通过一个具体的场景对本发明实施例进行说明。

请参与图8，本发明实施例提供了路由控制方法的另一种方法实施例。本实施例可以用于如图9所示的路由器B中。

在图9所示的拓扑中，城域网络包括路由器A和路由器B。ISP1包括路由器C和路由器D，ISP2包括路由器E和路由器F。并且，ISP1向城域网络发布的地址前缀为9.0.0.0/8，ISP1同时向ISP2发布了地址前缀9.1.0.0/16，该地址前缀通过ISP2发布至城域网络。路由器B上具有如表1所示的路由表。

801：控制器(图中未示出)识别出路由器B的表1中存在9.0.0.0/8和9.1.0.0/16对应的表项，向用户生成提示消息。

其中，该消息可以指示出9.1.0.0/16对应的路由为9.0.0.0/8对应的路由的明细路由。

802：所述控制器确定出需要抑制9.1.0.0/16对应的路由，生成扩展后的BGP Flow Spec更新消息，该消息的NLRI中携带9.0.0.0/8，扩展团体属性中携带抑制动作，例如表5所示的TBD1或者TBD2。

其中，可以由管理者根据801显示的提示消息，制定出路由控制策略，即用户通过城域网络访问9.1.0.0-9.1.255.255网段的目的地址，要从ISP1方向转发报文，即抑制9.1.0.0/16对应的路由。所述控制器根据该策略生成扩展后的BGP Flow Spec更新消息。

803：所述控制器将生成的该消息发送至路由器B。

804：路由器B接收到该消息后，从该消息中获取到9.0.0.0/8和所述抑制动作。

805：路由器B遍历表1，确定出9.0.0.0/8对应的表项，判断该表项的状态是否是Active中的下发状态，如果是，则执行806。如果否，则可以结束流程，或者根据本地的路由表生成转发表。

806：路由器B遍历表1，根据9.0.0.0/8确定出满足要求的地址9.1.0.0/16。所述要求为：掩码大于8，并且地址前缀所属的网段为9.0.0.0/8所属的网段的子集。

807：路由器B确定出9.1.0.0/16对应的路由表项，并根据所述抑制动作将该路由表项的状态设置为In-Active或者Rib-Only。例如所述抑制动作为TBD1，将该路由表项的状态设备为Rib-Only。

808：路由器B根据修改后的表1中各个路由表项的状态，将路由表项下发到转发表中。由于修改后的表1中，9.1.0.0/16对应的路由表项的状态为In-Active或者Rib-Only，因此该路由表项不会下发到转发表中，而9.0.0.0/8对应的路由表项会下发到转发表中。

809：路由器B接收到目的地址为9.1.1.18的报文，基于9.0.0.0/8对应的转发表项将该报文转发至对应的下一跳地址20.0.0.2，即路由器C的地址，从而实现了发送至ISP1，最终发送至ISP1上挂着的服务器上。

其中，804-808由路由器B的控制模块执行，809由路由器B的转发模块执行。

可见，本实施例中，用户通过城域网络访问9.1.0.0-9.1.255.255网段的目的地址时，能够从ISP1方向转发报文，从而实现了通过对长掩码对应的路由的抑制，以实现选择短掩码对应的路由。

上面对本发明实施例中的路由控制方法的方法实施例进行了描述，下面将从模块化功能实体的角度对本发明实施例中的相关装置进行描述。

请参阅图10，本发明实施例提供了网络设备的一种装置实施例。本实施例的网络设备100上具有第一路由表项和第二路由表项，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀，所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，并且所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码。

网络设备100包括控制模块101。控制模块101包括获得单元1011、确定单元1012和设置单元1013。

获得单元1011用于获得路由抑制请求。

确定单元1012用于确定出所述第二路由表项。

设置单元1013用于设置所述第二路由表项的状态为非下发状态，所述非下发状态用于指示所述第二路由表项不用于下发到转发表中。

举例来说，图10所示的网络设备100可以用于执行图2所示的方法。具体地，获得单元1011可以用于执行图2中的201，确定单元1012可以用于执行图2中的202。设置单元1013可以用于执行图2中的203。

可选的，设置单元1013具体用于，设置所述第二路由表项为非活跃状态，或者设置所述第二路由表项为活跃状态中的仅保存状态。

可选的，所述路由抑制请求为边界网关协议BGP流规则FlowSpec消息，所述BGP FlowSpec消息的网络层可达信息NLRI中携带地址匹配项，所述BGP FlowSpec消息的扩展团体属性中携带所述地址匹配项对应的抑制动作；所述地址匹配项为所述第一地址前缀或者所述第二地址前缀；设置单元1013具体用于基于所述抑制动作，设置所述第二路由表项的状态为非下发状态。

可选的，所述路由抑制请求为配置命令，所述配置命令中携带地址匹配项和所述地址匹配项对应的抑制动作；设置单元1013具体用于基于所述抑制动作，设置所述第二路由表项的状态为非下发状态。所述地址匹配项为所述第一地址前缀或者所述第二地址前缀。

可选的，确定单元1012还用于，设置单元1013设置所述第二路由表项的状态为非下发状态之前，确定出所述第一路由表项为活跃状态中的下发状态。

可选的，网络设备100还包括下发单元，所述下发单元用于，设置单元1013设置所述第二路由表项的状态为非下发状态之后，将所述第一路由表项下发到转发表中。

可选的，网络设备100为物理转发设备，所述控制模块101为所述物理转发设备的控制模块；或者，网络设备100为部署在通用物理服务器上的第一虚拟机，所述控制模块101为所述第一虚拟机的控制模块；或者，网络设备100包括部署在通用物理服务器上的第二虚拟机，所述控制模块101为所述第二虚拟机。

需要说明的是，关于本实施例中网络设备100的各种具体实施方式，均可以参见前述图2所示的实施例的详细介绍，此处不再赘述。

请参阅图11，本发明实施例提供了控制器的一种装置实施例。

本实施例的控制器110包括：下发单元111、确定单元112和发送单元113。

下发单元111用于向网络设备的控制模块下发第一路由表项和第二路由表项，其中，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀，所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，并且所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码。

确定单元112用于确定出所述第二路由表项。

发送单元113用于向所述控制模块发送路由抑制请求，所述路由抑制请求用于指示所述控制模块设置所述第二路由表项的状态为非下发状态，所述非下发状态用于指示所述第二路由表项不用于下发到转发表中。

举例来说，图11所示的控制器110可以用于执行图7所示的方法。具体地，下发单元111可以用于执行图7中的701，确定单元112可以用于执行图7中的702，发送单元113可以用于执行图7中的703。

可选的，所述路由抑制请求用于指示所述控制模块设置所述第二路由表项为非活跃状态，或者设置所述第二路由表项为活跃状态中的仅保存状态。

可选的，所述路由抑制请求为边界网关协议BGP流规则FlowSpec消息，所述BGP FlowSpec消息的网络层可达信息NLRI中携带地址匹配项，所述BGP FlowSpec消息的扩展团体属性中携带所述地址匹配项对应的抑制动作；所述抑制动作用于指示所述控制模块基于所述抑制动作，设置所述第二路由表项的状态为非下发状态；所述地址匹配项为所述第一地址前缀或者所述第二地址前缀。

可选的，所述路由抑制请求为配置命令，所述配置命令中携带地址匹配项和所述地址匹配项对应的抑制动作；所述抑制动作用于指示所述控制模块基于所述抑制动作，设置所述第二路由表项的状态为非下发状态；所述地址匹配项为所述第一地址前缀或者所述第二地址前缀。

可选的，所述控制器为具有专用硬件结构的控制器、通过在通用物理服务器上安装软件实现的控制器、或者部署在通用物理服务器上的虚拟机。

需要说明的是，关于本实施例中控制器110的各种具体实施方式，均可以参见前述图7所示的实施例的详细介绍，此处不再赘述。

请参阅图12，本发明实施例提供了网络系统的一种系统实施例。本实施例中，所述系统包括网络设备100和控制器110。其中，网络设备100可以为前述任意一种实施方式的网络设备，控制器110可以为前述任意一种实施方式的控制器。

本实施例中网络设备100和控制器110的各种具体实施方式，可以参见前述图2、图7、图10-11所示的实施例的详细介绍，本实施例在此不再赘述。

上面从模块化功能实体的角度对本发明实施例中的相关装置进行描述。下面将从硬件处理的角度对本发明实施例中的相关装置进行描述。

请参阅图13，本发明实施例提供了网络设备的另一种装置实施例，本实施例中，网络设备1300上具有第一路由表项和第二路由表项，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀，所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，并且所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码。

本实施例的网络设备1300具体包括：控制模块、通信接口(Communications Interface)1302、存储器(memory)1303和通信总线1304。控制模块包括处理器(processor)1301。

处理器1301，通信接口1302，存储器1303通过总线1304完成相互间的通信。

处理器1301，用于执行程序1305。

具体地，程序1305可以包括程序代码，所述程序代码包括计算机操作指令。

处理器1301可能是一个中央处理器CPU，或者是专用集成电路ASIC(Application Specific Integrated Circuit)，或者是被配置成实施本申请实施例的一个或多个集成电路。

存储器1303，用于存放程序1305。存储器1303可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。程序1305用于执行以下步骤：

获得路由抑制请求；

确定出所述第二路由表项；

设置所述第二路由表项的状态为非下发状态，所述非下发状态用于指示所述第二路由表项不用于下发到转发表中。

程序1305中各步骤的具体实现参见图2所示实施例中的相应步骤的实现方式，在此不赘述。

本实施例提供的网络设备1300的各功能单元，可以是基于图2所示的方法实施例和图10所示的装置实施例所具备的功能的具体实现，术语的定义和说明与图2所示的方法实施例和图10所示的装置实施例保持一致，此处不再赘述。

请参阅图14，本发明实施例提供了控制器的另一种装置实施例。

本实施例的控制器1400具体包括：处理器(processor)1401、通信接口(Communications Interface)1402、存储器(memory)1403和通信总线1404。

处理器1401，通信接口1402，存储器1403通过总线1404完成相互间的通信。

处理器1401，用于执行程序1405。

具体地，程序1405可以包括程序代码，所述程序代码包括计算机操作指令。

处理器1401可能是一个中央处理器CPU，或者是专用集成电路ASIC(Application Specific Integrated Circuit)，或者是被配置成实施本申请实施例的一个或多个集成电路。

存储器1403，用于存放程序1405。存储器1403可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。程序1405用于执行以下步骤：

向网络设备的控制模块下发第一路由表项和第二路由表项，其中，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀，所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，并且所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码；

确定出所述第二路由表项；

向所述控制模块发送路由抑制请求，所述路由抑制请求用于指示所述控制模块设置所述第二路由表项的状态为非下发状态，所述非下发状态用于指示所述第二路由表项不用于下发到转发表中。

程序1405中各步骤的具体实现参见图7所示实施例中的相应步骤的实现方式，在此不赘述。

本实施例提供的网络设备1400的各功能单元，可以是基于图7所示的方法实施例和图11所示的装置实施例所具备的功能的具体实现，术语的定义和说明与图7所示的方法实施例和图11所示的装置实施例保持一致，此处不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

一种路由控制方法，其特征在于，网络设备上具有第一路由表项和第二路由表项，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀，所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，并且所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码；所述方法包括：

所述网络设备的控制模块获得路由抑制请求；

所述控制模块确定出所述第二路由表项；

所述控制模块设置所述第二路由表项的状态为非下发状态，所述非下发状态用于指示所述第二路由表项不用于下发到转发表中。
根据权利要求1所述的方法，其特征在于，所述控制模块设置所述第二路由表项的状态为非下发状态包括：

所述控制模块设置所述第二路由表项为非活跃状态，或者设置所述第二路由表项为活跃状态中的仅保存状态。
根据权利要求1或2所述的方法，其特征在于，

所述路由抑制请求为边界网关协议BGP流规则FlowSpec消息，所述BGP FlowSpec消息的网络层可达信息NLRI中携带地址匹配项，所述BGP FlowSpec消息的扩展团体属性中携带所述地址匹配项对应的抑制动作；所述地址匹配项为所述第一地址前缀或者所述第二地址前缀；

所述控制模块设置所述第二路由表项的状态为非下发状态包括：

所述控制模块基于所述抑制动作，设置所述第二路由表项的状态为非下发状态。
根据权利要求1或2所述的方法，其特征在于，所述路由抑制请求为配置命令，所述配置命令中携带地址匹配项和所述地址匹配项对应的抑制动作，所述地址匹配项为所述第一地址前缀或者所述第二地址前缀；

所述控制模块设置所述第二路由表项的状态为非下发状态包括：

所述控制模块基于所述抑制动作，设置所述第二路由表项的状态为非下发状态。
根据权利要求1或2所述的方法，其特征在于，所述控制模块设置所述第二路由表项的状态为非下发状态之前，所述方法还包括：

所述控制模块确定出所述第一路由表项为活跃状态中的下发状态。
根据权利要求5所述的方法，其特征在于，所述控制模块设置所述第二路由表项的状态为非下发状态之后，所述方法还包括：

所述控制模块将所述第一路由表项下发到转发表中。
一种路由控制方法，其特征在于，所述方法包括：

控制器向网络设备的控制模块下发第一路由表项和第二路由表项，其中，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀，所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，并且所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码；

控制器确定出所述第二路由表项；

所述控制器向所述控制模块发送路由抑制请求，所述路由抑制请求用于指示所述控制模块设置所述第二路由表项的状态为非下发状态，所述非下发状态用于指示所述第二路由表项不用于下发到转发表中。
根据权利要求7所述的方法，其特征在于，所述路由抑制请求用于指示所述控制模块设置所述第二路由表项为非活跃状态，或者设置所述第二路由表项为活跃状态中的仅保存状态。
根据权利要求7或8所述的方法，其特征在于，所述路由抑制请求为边界网关协议BGP流规则FlowSpec消息，所述BGP FlowSpec消息的网络层可达信息NLRI中携带地址匹配项，所述BGP FlowSpec消息的扩展团体属性中携带所述地址匹配项对应的抑制动作；所述抑制动作用于指示所述控制模块基于所述抑制动作，设置所述第二路由表项的状态为非下发状态；所述地址匹配项为所述第一地址前缀或者所述第二地址前缀。
根据权利要求7或8所述的方法，其特征在于，所述路由抑制请求为配置命令，所述配置命令中携带地址匹配项和所述地址匹配项对应的抑制动作；所述抑制动作用于指示所述控制模块基于所述抑制动作，设置所述第二路由表项的状态为非下发状态；所述地址匹配项为所述第一地址前缀或者所述第二地址前缀。
一种网络设备，其特征在于，所述网络设备上具有第一路由表项和第二路由表项，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀，所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，并且所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码；

所述网络设备包括控制模块，所述控制模块包括获得单元、确定单元和设置单元；

所述获得单元用于，获得路由抑制请求；

所述确定单元用于，确定出所述第二路由表项；

所述设置单元用于，设置所述第二路由表项的状态为非下发状态，所述非下发状态用于指示所述第二路由表项不用于下发到转发表中。
根据权利要求11所述的网络设备，其特征在于，所述设置单元具体用于，设置所述第二路由表项为非活跃状态，或者设置所述第二路由表项为活跃状态中的仅保存状态。
根据权利要求11或12所述的网络设备，其特征在于，所述路由抑制请求为边界网关协议BGP流规则FlowSpec消息，所述BGP FlowSpec消息的网络层可达信息NLRI中携带地址匹配项，所述BGP FlowSpec消息的扩展团体属性中携带所述地址匹配项对应的抑制动作；所述地址匹配项为所述第一地址前缀或者所述第二地址前缀；

所述设置单元具体用于基于所述抑制动作，设置所述第二路由表项的状态为非下发状态。
根据权利要求11或12所述的网络设备，其特征在于，所述路由抑制请求为配置命令，所述配置命令中携带地址匹配项和所述地址匹配项对应的抑制动作，所述地址匹配项为所述第一地址前缀或者所述第二地址前缀；

所述设置单元具体用于基于所述抑制动作，设置所述第二路由表项的状态为非下发状态。
根据权利要求11或12所述的网络设备，其特征在于，所述确定单元还用于，所述设置单元设置所述第二路由表项的状态为非下发状态之前，确定出所述第一路由表项为活跃状态中的下发状态。
根据权利要求15所述的网络设备，其特征在于，还包括下发单元，

所述下发单元用于，所述设置单元设置所述第二路由表项的状态为非下发状态之后，将所述第一路由表项下发到转发表中。
一种控制器，其特征在于，包括：下发单元、确定单元和发送单元；

所述下发单元用于，向网络设备的控制模块下发第一路由表项和第二路由表项，其中，所述第一路由表项的地址前缀为第一地址前缀，所述第二路由表项的地址前缀为第二地址前缀，所述第二地址前缀所属的网段为所述第一地址前缀所属的网段的子集，并且所述第二地址前缀中的掩码大于所述第一地址前缀中的掩码；

所述确定单元用于，确定出所述第二路由表项；

所述发送单元用于，向所述控制模块发送路由抑制请求，所述路由抑制请求用于指示所述控制模块设置所述第二路由表项的状态为非下发状态，所述非下发状态用于指示所述第二路由表项不用于下发到转发表中。
根据权利要求17所述的控制器，其特征在于，所述路由抑制请求用于指示所述控制模块设置所述第二路由表项为非活跃状态，或者设置所述第二路由表项为活跃状态中的仅保存状态。
根据权利要求17或18所述的控制器，其特征在于，所述路由抑制请求为边界网关协议BGP流规则FlowSpec消息，所述BGP FlowSpec消息的网络层可达信息NLRI中携带地址匹配项，所述BGP FlowSpec消息的扩展团体属性中携带所述地址匹配项对应的抑制动作；所述抑制动作用于指示所述控制模块基于所述抑制动作，设置所述第二路由表项的状态为非下发状态；所述地址匹配项为所述第一地址前缀或者所述第二地址前缀。
根据权利要求17或18所述的控制器，其特征在于，所述路由抑制请求为配置命令，所述配置命令中携带地址匹配项和所述地址匹配项对应的抑制动作；所述抑制动作用于指示所述控制模块基于所述抑制动作，设置所述第二路由表项的状态为非下发状态；所述地址匹配项为所述第一地址前缀或者所述第二地址前缀。
一种网络系统，其特征在于，包括如权利要求11至16任一项所述的网络设备和如权利要求17至20任一项所述的控制器。