本发明专利技术实施例公开了报文转发方法及相关装置和通信系统。一种报文转发方法包括:第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文;第一三层交换设备基于预设策略从第一三层交换设备的多个下联物理端口中确定出转发报文的第一下联物理端口;若第一下联物理端口下联的是第二三层交换设备,第一三层交换设备通过确定出的第一下联物理端口向第二三层交换设备转发报文。本发明专利技术实施例提供的技术方案有利于增大DDoS攻击防护网络架构的防护流量。
【技术实现步骤摘要】
本专利技术涉及网络
,具体主要涉及一种报文转发方法及相关装置和通信系统。
技术介绍
当前,随着互联网的飞速发展,网络安全问题也日趋严重。例如分布式拒绝服务(DDoS, Distributed Denial of Service)攻击就是网络中一种十分常见攻击方式。参见图1,图1中举例示出现有的一种对目标主机进行DDoS攻击防护的网络架构。其中,报文到达目标主机之前经过路由器转发到某个DDoS防护设备上进行DDoS攻击识别,识别出为DDoS攻击的报文将被丢弃,识别出并非DDoS攻击的报文将被转发到目标主机。本专利技术的专利技术人在研究和实践过程中发现,现有技术至少存在以下的技术问题:现有DDoS攻击防护网络架构中由I个路由器进行报文分发,由于路由器的下一跳路由条目数量很有限(条目上限一般为8条),这就使得其DDoS攻击防护的流量上限较小(一般最多可接入8个DDoS攻击防护设备),对于有些具有很大流量的目标主机,现有DDoS攻击防护网络架构通常难以满足防护要求。
技术实现思路
本专利技术实施例提供报文转发方法及相关装置和通信系统,以期增大DDoS攻击防护网络架构的防护流量。第一方面,一种报文转发方法,包括:第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文;所述第一三层交换设备基于预设策略从所述第一三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口;若所述第一下联物理端口下联的是第二三层交换设备,所述第一三层交换设备通过确定出的所述第一下联物理端口向所述第二三层交换设备转发所述报文;若所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,所述第一三层交换设备通过确定出的所述第一下联物理端口向所述分布式拒绝服务攻击防护设备转发所述报文,以便于所述分布式拒绝服务攻击防护设备对所述报文进行分布式拒绝服务攻击识别。第二方面,一种三层交换设备,包括:接收单元,用于接收待进行分布式拒绝服务攻击识别的报文;确定单元,用于基于预设策略从所述三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口;报文转发单元,用于若所述第一下联物理端口下联的是第二三层交换设备,通过确定出的所述第一下联物理端口向所述第二三层交换设备转发所述报文;若所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,通过确定出的所述第一下联物理端口向所述分布式拒绝服务攻击防护设备转发所述报文,以便于所述分布式拒绝服务攻击防护设备对所述报文进行分布式拒绝服务攻击识别。第三方面,一种通信系统,包括:核心路由器、核心路由器下联的至少I个三层交换设备和所述三层交换设备下联的至少I个分布式拒绝服务攻击防护设备;所述核心路由器,用于接收待进行分布式拒绝服务攻击识别的报文;基于预设策略从所述核心路由器的多个下联物理端口之中确定出转发所述报文的第一下联物理端口;通过确定出的所述第一下联物理端口向所述至少I个三层交换设备中的第二三层交换设备转发所述报文;所述第二三层交换设备,用于接收所述报文;基于预设策略从所述第二三层交换设备的多个下联物理端口之中确定出转发所述报文的第二下联物理端口 ;通过确定出的所述第二下联物理端口向分布式拒绝服务攻击防护设备转发所述报文;所述分布式拒绝服务攻击防护设备,用于对所述报文进行分布式拒绝服务攻击识别。可以看出,本专利技术一些实施例的技术方案中,第一三层交换设备在接收待进行DDoS攻击识别的报文之后,基于预设策略从多个下联物理端口中确定出转发上述报文的第一下联物理端口 ;若上述第一下联物理端口下联的是第二三层交换设备,第一三层交换设备通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文。由于引入三层交换设备级联架构,待进行DDoS攻击识别的报文可以在三层交换设备之间分发,通过至少两层三层交换设备级联,有利于对DDoS攻击防护网络架构进行灵活扩展,进而有利于接入更多数量的DDoS攻击防护设备。可见,相对于现有技术中只使用一个路由器来向DDoS攻击防护设备分发待进行DDoS攻击识别的报文而言,本专利技术上述方案有利于增大DDoS攻击防护网络架构的防护流量。【附图说明】为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的DDoS攻击防护网络架构的示意图;图2是本专利技术实施例提供的一种报文转发方法的流程示意图;图3-a是本专利技术实施例提供的一种DDoS攻击防护网络架构的示意图;图3_b是本专利技术实施例提供的另一种报文转发方法的流程示意图;图4-a是本专利技术实施例提供的一种DDoS攻击防护网络架构的示意图;图4_b是本专利技术实施例提供的另一种报文转发方法的流程示意图;图5-a是本专利技术实施例提供的一种DDoS攻击防护网络架构的示意图;图5_b是本专利技术实施例提供的另一种报文转发方法的流程示意图;图6是本专利技术实施例提供的一种三层交换设备的示意图;图7是本专利技术实施例提供的另一种三层交换设备的示意图;图8是本专利技术实施例提供的另一种三层交换设备的示意图;图9是本专利技术实施例提供的一种通信设备的示意图。【具体实施方式】本专利技术实施例提供一种报文转发方法及相关装置和通信系统。为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。以下分别进行详细说明。本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别不同的对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本专利技术报文转发方法的一个实施例,一种报文转发方法包括:第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文;第一三层交换设备基于预设策略从第一三层交换设备的多个下联物理端口中确定出转发上述报文的第一下联物理端口 ;若上述第一下联物理端口下联的是第二三层交换设备,第一三层交换设备通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文;若上述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,上述第一三层交换设备通过确定出的上述第一下联物理端口向上述分布式拒绝服务攻击防护设备转发上述报文,以便于上述分布式拒绝服务攻击防护设备对上述报文进行分布式拒绝服务攻击识别。请参见图2,图2为本专利技术的一个实施例提供的一种报文转发方法的流程示意图。其中,如图1所示,本专利技术的一个实施例提供的一种报文转发方法可包括以下内容:201、第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文。可选的,在本专利技术的一些可能的实施方式中,上述本文档来自技高网...
【技术保护点】
一种报文转发方法,其特征在于,包括:第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文;所述第一三层交换设备基于预设策略从所述第一三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口;若所述第一下联物理端口下联的是第二三层交换设备,所述第一三层交换设备通过确定出的所述第一下联物理端口向所述第二三层交换设备转发所述报文;若所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,所述第一三层交换设备通过确定出的所述第一下联物理端口向所述分布式拒绝服务攻击防护设备转发所述报文,以便于所述分布式拒绝服务攻击防护设备对所述报文进行分布式拒绝服务攻击识别。
【技术特征摘要】
【专利技术属性】
技术研发人员:白惊涛,邹鹏,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。