一种路由选择方法、网络设备及系统技术方案

本申请公开了一种路由选择方法、网络设备及系统，第一网络设备可以获取多条到达同一前缀的路由，针对每一条路由，获取该路由的可信度信息。第一网络设备根据每条路由的可信度选择一条或多条路由用于指导报文转发。其中，每条路由的可信度用于标识对应路由的可信程度。即，第一网络设备在确定到达某一目的地址的路由时，将根据可选的多条路由各自对应的可信度选择可信程度较高的路由指导报文转发，从而满足业务需求。足业务需求。足业务需求。

【技术实现步骤摘要】
一种路由选择方法、网络设备及系统
[0001]本申请要求于2022年5月18日提交的申请号为202210543914.7、申请名称为“一种基于可信评估的BGP路由选路的方法及网络设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。


[0002]本申请涉及通信
，尤其涉及一种路由选择方法及装置。

技术介绍

[0003]边界网关协议(Border Gateway Protocol，BGP)，是一种去中心化自治路由协议。它通过维护互联网协议(Internet Protocol，IP)路由表或前缀表来实现自治系统(Autonomous System，AS)之间的可达性，属于矢量路由协议。它的工作就是在自主系统间交换路由信息，以便发现访问互联网某处数据的最有效路由。
[0004]目前，当BGP路由表中存在多条到达同一目的地址的路由时，BGP设备将根据选路规则选出最佳路由，并将该路由发送给其对等体。然而，当业务对网络传输路径有严格可信要求时，当前的BGP路由选择规则无法满足要求，导致无法为该业务提供可信的传输路由，影响业务的传输质量。

技术实现思路

[0005]本申请提供了一种BGP路由选择方法、网络设备及系统，以实现在进行选路时，从路由的可信角度进行度量，从而为业务提供可信路由。
[0006]在本申请的第一方面，提供了一种路由选择方法，该方法包括：
[0007]第一网络设备获取多条到达同一前缀的路由；第一网络设备根据每条路由的可信度选择一条或多条路由用于指导报文转发。其中，每条路由的可信度用于标识对应路由的可信程度。即，第一网络设备在确定到达某一目的地址的路由时，将根据可选的多条路由各自对应的可信度选择可信程度较高的路由指导报文转发，从而满足业务需求。
[0008]在一种可能的实现方式中，所选择的一条或多条用于指导报文转发的路由为可信路由，该可信路由满足以下条件中的一个或多个：路由的路由前缀合法归属于特定AS、路由经过沿途可验证的AS路径和路由被安全的发送到了接收端。即，本实施例定义了可信路由，从而便于第一网络设备选择可信的路由用于报文转发。
[0009]在一种可能的实现方式中，若可信路由迭代到可信隧道，则可信隧道可以为满足以下条件中的一个或多个的隧道：沿途设备均为可信设备、沿途链路均为可信链路和提供了安全保护的隧道。
[0010]在一种可能的实现方式中，所述方法应用于以下一个或多个场景中：互联网Internet场景、区域联盟场景和互联网交换中心(Internet Exchange Point，IXP)场景。
[0011]在一种可能的实现方式中，第一网络设备根据每条路由的可信度选择一条或多条路由用于指导报文转发，包括：第一网络设备获取每条路由的第一可信度量值，该第一可信
度量值是根据第一网络设备与发送路由的第二网络设备所建立的会话上所配置的安全参数项确定的；第一网络设备根据每条路由的第一可信度量值选择一条或多条路由用于指导报文转发。
[0012]在一种可能的实现方式中，第一网络设备和第二网络设备为BGP对等体。
[0013]在一种可能的实现方式中，第一网络设备获取每条路由对应的第一可信度量值，包括：针对任一条路由，第一网络设备获取各安全参数项对应的安全值；第一网络设备将各安全值进行加权求和，获得路由对应的第一可信度量值。
[0014]在一种可能的实现方式中，各安全参数项对应的权重由第一网络设备所对应的应用场景确定。
[0015]在一种可能的实现方式中，安全参数项至少包括资源公共密钥基础架构(Resource Public Key Infrastructure，RPKI)项、路由泄露保护(route
‑
leak protection，RLP)项、会话安全项中的一种或多种。
[0016]在一种可能的实现方式中，RPKI项至少包括入口(Ingress)路由来源验证(route origin validation，ROV)、出口路由来源验证Egress ROV、BGP路径验证BGP Sec、自治系统提供程序授权(Autonomous System Provider Authorization，ASPA)和区域验证(region verification，RV)中一种或多种。
[0017]在一种可能的实现方式中，会话安全项至少包括传输加密项、防篡改项、密钥定期更换项、会话韧性防冲击项和防分布式拒绝服务(Distributed denial of service attack，DDOS)攻击项中的一种或多种。
[0018]在一种可能的实现方式中，若一条路由迭代到隧道，安全参数项还包括隧道安全项。
[0019]在一种可能的实现方式中，所述方法还包括：第一网络设备根据隧道的类型确定隧道对应的各隧道安全参数项；第一网络设备根据各隧道安全参数项对应的安全值确定隧道对应的隧道安全值。
[0020]在一种可能的实现方式中，所述第一网络设备根据每条路由的第一可信度量值选择一条或多条路由用于指导报文转发，包括：第一网络设备根据每条路由的隧道安全值选择一条或多条路由用于指导报文转发。
[0021]在一种可能的实现方式中，所述隧道的类型包括基于IPv6转发平面的段路由(Segment Routing IPv6，SRv6)隧道、虚拟扩展局域网(Virtual Extensible Local Area Network，VXLAN)隧道和互联网安全协议(Internet Protocol Security，IPSec)隧道。
[0022]在一种可能的实现方式中，所述第一网络设备根据每条路由的第一可信度量值选择一条或多条路由用于指导报文转发，包括：第一网络设备根据第一可信度量值确定第一可信度量值对应的路由的第一属性值；第一网络设备将最大第一属性值对应的路由确定为用于指导报文转发的路由。
[0023]在一种可能的实现方式中，所述第一属性值为本地优先级Local_Pref属性值或多出口标识符MED属性值。
[0024]在一种可能的实现方式中，所述第一网络设备根据每条路由的第一可信度量值选择一条或多条路由用于指导报文转发，包括：第一网络设备根据每条路由信息的第一可信度量值和第二可信度量值选择一条或多条路由用于指导报文转发，该第二可信度量值为第
二网络设备所确定的到达前缀的路由对应的可信度量值。
[0025]在一种可能的实现方式中，所述第一网络设备根据每条路由的第一可信度量值和第二可信度量值选择一条或多条路由用于指导报文转发，包括：针对每条路由，第一网络设备将所述路由对应的第一可信度量值和第二可信度量值进行加权求和，获取路由对应的目标可信度量值；第一网络设备根据每条路由的目标可信度量值选择一条或多条路由用于指导报文转发。
[0026]在一种可能的实现方式中，第二可信度量值携带在第二网络设备向所述第一网络设备发送的路由报文中，路由报文包括路由，或者由控制器下本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种路由选择方法，其特征在于，所述方法包括：第一网络设备获取多条到达同一前缀的路由；所述第一网络设备根据每条路由的可信度选择一条或多条路由用于指导报文转发，所述每条路由的可信度用于标识对应路由的可信程度。2.根据权利要求1所述的方法，其特征在于，所述选择的一条或多条用于指导报文转发的路由为可信路由，所述可信路由满足以下条件中的一个或多个：路由的路由前缀合法归属于特定自治域AS、所述路由经过沿途可验证的AS路径和所述路由安全的发送到了接收端。3.根据权利要求2所述的方法，其特征在于，所述可信路由迭代到可信隧道，所述可信隧道满足以下条件中的一个或多个：沿途设备均为可信设备、沿途链路均为可信链路和所述可信隧道为提供了安全保护的隧道。4.根据权利要求1
‑
3任一项所述的方法，其特征在于，所述方法应用于以下一个或多个场景中：互联网Internet场景、区域联盟场景和互联网交换中心IXP场景。5.根据权利要求1
‑
4任一项所述的方法，其特征在于，所述第一网络设备根据每条路由的可信度选择一条或多条路由用于指导报文转发，包括：所述第一网络设备获取每条路由的第一可信度量值，所述第一可信度量值是根据所述第一网络设备与发送所述路由的第二网络设备所建立的会话上所配置的安全参数项确定的；所述第一网络设备根据所述每条路由的第一可信度量值选择一条或多条路由用于指导报文转发。6.根据权利要求5所述的方法，其特征在于，所述第一网络设备和所述第二网络设备为边界网关协议BGP对等体。7.根据权利要求5所述的方法，其特征在于，所述第一网络设备获取每条路由对应的第一可信度量值，包括：针对任一条路由，所述第一网络设备获取各安全参数项对应的安全值；所述第一网络设备将各安全值进行加权求和，获得所述路由对应的第一可信度量值。8.根据权利要求7所述的方法，其特征在于，各所述安全参数项对应的权重由所述第一网络设备所对应的应用场景确定。9.根据权利要求5
‑
8任一项所述的方法，其特征在于，所述安全参数项至少包括资源公共密钥基础架构RPKI项、路由泄露保护RLP项、会话安全项中的一种或多种。10.根据权利要求9所述的方法，其特征在于，所述RPKI项至少包括入口路由来源验证Ingress ROV、出口路由来源验证Egress ROV、BGP路径验证BGPSec、自治系统提供程序授权ASPA和区域验证RV中一种或多种。11.根据权利要求9或10所述的方法，其特征在于，所述会话安全项至少包括传输加密项、防篡改项、密钥定期更换项、会话韧性防冲击项和防分布式拒绝服务DDOS攻击项中的一种或多种。12.根据权利要求9
‑
11任一项所述的方法，其特征在于，若一条路由迭代到隧道，所述安全参数项还包括隧道安全项。
13.根据权利要求12所述的方法，其特征在于，所述方法还包括：所述第一网络设备根据所述隧道的类型确定所述隧道对应的各隧道安全参数项；所述第一网络设备根据各隧道安全参数项对应的安全值确定所述隧道对应的隧道安全值。14.根据权利要求13所述的方法，其特征在于，所述第一网络设备根据所述每条路由的第一可信度量值选择一条或多条路由用于指导报文转发，包括：所述第一网络设备根据所述每条路由的隧道安全值选择一条或多条路由用于指导报文转发。15.根据权利要求12
‑
14任一项所述的方法，其特征在于，所述隧道的类型包括基于IPv6转发平面的段路由SRv6隧道、虚拟扩展局域网VXLAN隧道和互联网安全协议IPSEC隧道。16.根据权利要求5
‑
15任一项所述的方法，其特征在于，所述第一网络设备根据所述每条路由的第一可信度量值选择一条或多条路由用于指导报文转发，包括：所述第一网络设备根据所述第一可信度量值确定所述第一可信度量值对应的路由的第一属性值；所述第一网络设备将最大第一属性值对应的路由确定为用于指导报文转发的路由。17.根据权利要求16所述的方法，其特征在于，所述第一属性值为本地优先级Local_Pref属性值或多出口标识符MED属性值。18.根据权利要求5
‑
17任一项所述的方法，其特征在于，所述第一网络设备根据所述每条路由的第一可信度量值选择一条或多条路由用于指导报文转发，包括：所述第一网络设备根据所述每条路由信息的第一可信度量值和第二可信度量值选择一条或多条路由用于指导报文转发，所述第二可信度量值为所述第二网络设备所确定的到达所述前缀的路由对应的可信度量值。19.根据权利要求18所述的方法，其特征在于，所述第一网络设备根据所述每条路由的第一可信度量值和第二可信度量值选择一条或多条路由用于指导报文转发，包括：针对每条路由，所述第一网络设备将所述路由对应的所述第一可信度量值和所述第二可信度量值进行加权求和，获取所述路由对应的目标可信度量值；所述第一网络设备根据每条路由的目标可信度量...

【专利技术属性】
技术研发人员：陈双龙，范大卫，李振斌，王卫波，庄顺万，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：