本发明专利技术提供一种报文处理控制方法,应用于网络设备上,其中该方法包括以下步骤:步骤A、在转发平面创建至少一个保留VPN转发单元,并建立该保留VPN转发单元与保留VPN接口标识之间的绑定关系;步骤B、向ACL执行模块下发ACL规则,其中该ACL规则用于将指定的用户报文上送到所述保留VPN接口;步骤C、向VPN转发单元下发转发表项以指导保留VPN转发单元的报文转发。本发明专利技术利用了VPN转发单元之间的隔离特性以及三层转发的最长匹配原则与对等价路由的天然支持,解决策略路由目前存在的下发次序需要计算引发管理员困扰的问题以及无法支持基于等价路由进行负载分担的问题。
【技术实现步骤摘要】
一种报文处理控制方法及装置
本专利技术涉及数据通信领域,尤其一种报文处理控制方法及装置。
技术介绍
三层网络设备,比如三层交换机或者路由器对报文的转发是依据报文的目的IP地址查询转发表来实现的。转发表可以是静态配置或者通过动态路由协议学习生成的。然而很多时候单纯的查表转发并不能满足用户对报文转发的全部需求。策略路由(policy-based-route,PBR)可以有效解决上述问题。PBR一种依据用户制定的策略进行路由选择的机制,与单纯依照IP报文的目的IP地址查找转发表进行转发有很大的不同。策略路由基于到达报文的源地址、长度等信息灵活地进行路由选择。对于满足一定条件(报文长度或ACL规则)的报文,将执行一定的操作(比如设置报文的出接口和下一跳等),以指导报文的转发。
技术实现思路
有鉴于此,本专利技术提供一种报文处理控制装置,应用于网络设备上,该装置包括策略管理单元、资源管理单元以及路由生成单元,其中:资源管理单元,用于在转发平面创建至少一个保留VPN转发单元,并建立该保留VPN转发单元与保留VPN接口标识之间的绑定关系;策略管理单元,用于向ACL执行模块下发ACL规则,其中该ACL规则用于将指定的用户报文上送到所述保留VPN接口;路由生成单元,用于向VPN转发单元下发转发表项以指导保留VPN转发单元的报文转发。本专利技术还提供一种报文处理控制方法,应用于网络设备上,其中该方法包括以下步骤:步骤A、在转发平面创建至少一个保留VPN转发单元,并建立该保留VPN转发单元与保留VPN接口标识之间的绑定关系;步骤B、向ACL执行模块下发ACL规则,其中该ACL规则用于将指定的用户报文上送到所述保留VPN接口;步骤C、向VPN转发单元下发转发表项以指导保留VPN转发单元的报文转发。本专利技术利用了VPN转发单元之间的隔离特性以及三层转发的最长匹配原则与对等价路由的天然支持,解决策略路由目前存在的下发次序需要计算引发管理员困扰的问题以及无法支持基于等价路由进行负载分担的问题。附图说明图1是一种需要下发策略路由的典型组网示意图。图2是一种下发了策略路由的组网示意图。图3是另一种下发了策略路由的组网示意图。图4是本专利技术一种实施方式中网络设备的逻辑结构图。图5是本专利技术一种实施方式中硬件环境简化示意图。图6是本专利技术实现基于等价路由负载分担的组网示意图。具体实施方式请参考图1,假设主机HostA和HostB都发送报文到远端的路由器Router-D下的HostC。由于HostA与HostB发送的报文的目的IP地址相同,HostA和HostB发送的报文在Router上查找转发表会获得相同的路径转发。假设此时Router-A到Router-D优先走Router-B转发,那么HostA和HostB发送的报文都将转发到Router-B然后最终到达目的主机HostC。假设用户需要在Router-A实现根据源IP地址来控制报文的转发。此时Router-A需要先识别出报文是HostA发送的还是HostB发送的;然后将HostA发送的报文转发到Router-B上去,将HostB发送的报文转发到Router-C上去。这样即便HostA与HostB发送的报文有相同的目的IP地址,由于Router-A的处理,报文被分开到不同的转发路径上。Router-A可以通过策略路由机制实现上述功能。策略路由可以通过创建ACL规则来实现,比如说ACL规则可以是:匹配到HostB的源IP的报文,下一跳都重定向到Router-C上去。以上是基于源地址来实现控制报文的转发,但事实上还可以根据报文的其他属性或者属性的组合来控制报文的转发,比如根据源IP地址与目的IP地址的组合等等来实现报文转发的控制。根据作用对象的不同,策略路由可分为本地策略路由和接口策略路由。所谓本地策略路由是指:对本地产生的报文(比如Router本地发出的ping报文)进行策略路由,它只对Router本地产生的报文(通常是协议报文)起作用,对Router需要转发的报文不起作用。所述接口策略路由是指:对到达该接口的报文进行策略路由,它只对转发的报文起作用,对Router本地产生的报文不起作用。显然对于用户的网络业务来说,接口策略路由的使用更加广泛。目前的策略路由的实现路由支持基于ACL规则灵活地指定路由。而ACL规则可以根据报文的源IP、目的IP、协议、端口号、优先级、TOS、时间段、VPN等各种丰富的信息将报文分类,然后控制将这些报文按照不同的路由转发出去。如前所述,策略路由通常应用于接口上,可以配置一条策略,一条策略可以包括多个策略节点,策略节点(Node)的动作可以指定允许(permit)或者拒绝(deny),动作通常默认是permit。一个Node通常包括一条匹配项和一条动作项,匹配项与操作项通常需要同时配置,当报文与匹配项匹配后,然后按照设置的动作项去执行相应的动作。Node是策略路由技术的基本实现单元,If-match包含于策略Node之中,是基于ACL的匹配规则的集合;Apply也包含于策略Node之中,为策略的动作。匹配规则后按照该动作进行转发,通常动作里面指定单播下一跳地址,按照指定下一跳进行转发。策略在下发到底层硬件(也可以是软件模块)才能执行策略路由,但下发之前需要先对策略进行解析,策略解析的流程通常包括如下步骤:I、如果策略Node中的If-match为空或者Apply为空,不对该策略Node进行处理,继续处理下一个Node;II、解析If-match中的ACL规则,如有规则内容不支持,不对该策略Node进行处理,继续处理下一个Node;III、如果此策略Node的匹配模式为Deny,则不再解析Apply中下一跳地址,直接将动作置为Forward,即不按照策略路由转发,而是按照原流程转发;如果匹配模式为Permit,则继续解析下一跳地址,并且通常还能允许主备用两个地址IP1和IP2,比如IP1主用,IP2备用;当然也可以只有一个主用IP地址。假设主用下一跳为IP1,根据IP1和IP2的存在或者可用,各种动作设置可以参考表1所示。表1请参考图2,在Router-A和Host连接的接口上部署了策略路由,对HostB发送的报文做策略路由,将HostB发送的报文转发到Router-C上去。假设图2的场景中主用下一跳为2.2.2.1、备用下一跳为1.1.1.1,则此时策略Node中的If-match配置规则为:permitsourceIP192.168.20.20(用于匹配主机HostB的报文)此时策略Node中Apply动作为:Next-hop2.2.2.1,1.1.1.1这里指定了两个下一跳,主用下一跳为2.2.2.1、备用下一跳为1.1.1.1;如果主用下一跳不可达或者不可用,那么就用备用下一跳,备用下一跳不可达或者不可用,就按照原流程转发,动作就如表1所示的那样。然而如果需要在策略路由的基础上做流量的负载分担,则会遇到问题。以最简单的等价路由为例,按照现在的方案来实现需要配置两条策略:permitsourceIP192.168.20.10/24;Next-hop2.2.2.1permitsourceIP192.168.20.20/24;Next-hop1.1.1.1现有技术中基于A本文档来自技高网...
【技术保护点】
一种报文处理控制装置,应用于网络设备上,该装置包括策略管理单元、资源管理单元以及路由生成单元,其特征在于:资源管理单元,用于在转发平面创建至少一个保留VPN转发单元,并建立该保留VPN转发单元与保留VPN接口标识之间的绑定关系;策略管理单元,用于向ACL执行模块下发ACL规则,其中该ACL规则用于将指定的用户报文上送到所述保留VPN接口;路由生成单元,用于向VPN转发单元下发转发表项以指导保留VPN转发单元的报文转发。
【技术特征摘要】
1.一种报文处理控制装置,应用于网络设备上,该装置包括策略管理单元、资源管理单元以及路由生成单元,其特征在于:资源管理单元,用于在转发平面创建至少一个保留VPN转发单元,并建立该保留VPN转发单元与保留VPN接口标识之间的绑定关系;策略管理单元,用于向ACL执行模块下发ACL规则,其中该ACL规则用于将指定的用户报文上送到所述保留VPN接口;路由生成单元,用于向保留VPN转发单元下发转发表项以指导保留VPN转发单元的报文转发。2.如权利要求1所述的装置,其特征在于,所述策略管理单元,进一步用于根据用户配置的策略Node与保留VPN接口标识之间的对应关系,将策略Node的Apply动作进行修改,其中修改后的Apply动作为:将报文的接口标识修改为保留VPN接口标识。3.如权利要求1所述的装置,其特征在于,所述保留VPN接口标识为保留VLAN标识。4.如权利要求3所述的装置,其特征在于,所述资源管理单元,进一步用于创建多个保留VPN单元,并建立多个保留VPN转发单元与多个保留VPN接口标识的对应关系,其中每个保留VPN转...
【专利技术属性】
技术研发人员:李品生,王锋,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。