專利名稱:一種mpls vpn網(wǎng)絡(luò)下的vrf路由限制管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通訊領(lǐng)域的路由表管理技術(shù)����,尤其涉及一種在 MPLS(Multi-Protocol Label Switching,多協(xié)i義標(biāo)記交換協(xié)議) VPN(Virtual Private Network,虛擬私有網(wǎng))網(wǎng)路下對VRF的路由條目進(jìn) 行超限管理的方法。
背景技術(shù):
虛擬私有網(wǎng)(Virtual Private Network)簡稱VPN,是利用公用網(wǎng)絡(luò)構(gòu) 建的私人專用網(wǎng)絡(luò)�。它以其獨具特色的優(yōu)勢贏得了越來越廣泛的應(yīng)用, 對于用戶^吏用VPN可以縮減費用�����,方^f更管理����。對于運營商可以利用現(xiàn) 有的基礎(chǔ)設(shè)施提供增值服務(wù),可以擴大運營業(yè)務(wù)量同時也創(chuàng)造了新的商 業(yè)機會�。
多協(xié)議標(biāo)記交換協(xié)議(Multi-Protocol Label Switching, MPLS)是一種 將具有相同轉(zhuǎn)發(fā)處理方式的分組歸為一類(即轉(zhuǎn)發(fā)等價類,F(xiàn)orwarding Equivalent Class)的分類轉(zhuǎn)發(fā)技術(shù)��。MPLS最初是用來提高路由器的轉(zhuǎn)發(fā) 速度而提出的一個協(xié)議���,但是由于MPLS在流量工程和VPN這兩個在 目前IP網(wǎng)絡(luò)中非常關(guān)鍵的技術(shù)中的優(yōu)越表現(xiàn)使得MPLS已日益成為擴 大IP網(wǎng)絡(luò)規(guī)模的重要標(biāo)準(zhǔn)����。MPLS協(xié)議的關(guān)鍵是引入了標(biāo)簽(Label)交換 概念,在MPLS網(wǎng)絡(luò)中���,IP包在進(jìn)入第一個MPLS設(shè)備時MPLS邊緣 路由器分析IP包的內(nèi)容并為這些IP包選擇合適的標(biāo)簽����。以后就是依據(jù) 這個標(biāo)簽作為轉(zhuǎn)發(fā)依據(jù)在MPLS網(wǎng)絡(luò)中傳輸����,當(dāng)IP包離開MPLS網(wǎng)絡(luò) 時標(biāo)簽被邊緣路由器分離。在MPLS網(wǎng)絡(luò)中將網(wǎng)絡(luò)設(shè)備分為邊緣網(wǎng)絡(luò)設(shè) 備和核心網(wǎng)絡(luò)設(shè)備��,邊緣網(wǎng)絡(luò)設(shè)備提供流量分類和標(biāo)簽映射����,標(biāo)簽移除 的功能。核心網(wǎng)絡(luò)設(shè)備提供標(biāo)簽交換和標(biāo)簽分發(fā)功能����。
MPLS VPN網(wǎng)絡(luò),MPLS作為一種高效的IP骨干網(wǎng)4支術(shù)平臺�,為 實現(xiàn)VPN提供了 一種靈活的并且具有可擴展性的技術(shù)基礎(chǔ)。MPLS VPN網(wǎng)絡(luò)由三種網(wǎng)絡(luò)i殳備組成
(1) CE(Custom Edge):用戶網(wǎng)絡(luò)中直接與服務(wù)提供商相連的邊緣設(shè)
備�;
(2) PE(Provider Edge):骨干網(wǎng)中的邊緣設(shè)備�����,它直接與用戶的CE 相連�;
(3) P路由器(Provider Router):骨千網(wǎng)中不與CE直接相連的設(shè)備���。
在MPLS VPN網(wǎng)絡(luò)連接模型中(見圖1),網(wǎng)絡(luò)由運營商的骨干網(wǎng)與 用戶的各個Site組成,VPN就是對site集合的劃分���, 一個VPN就對應(yīng) 一個由若干site組成的集合���。MPLS VPN網(wǎng)絡(luò)構(gòu)造由服務(wù)提供商來完成, 在這種網(wǎng)絡(luò)構(gòu)造中���,由服務(wù)提供商向用戶提供VPN服務(wù)��,用戶感覺不 到公網(wǎng)的存在��,就好像擁有獨立的網(wǎng)絡(luò)資源一樣����。所有的VPN的構(gòu)建�����, 連接和管理工作都是在PE上進(jìn)行的。從PE的角度來看�����,用戶的一個連 通的IP系統(tǒng)被-見為一個site,每一個site通過CE與PE相連�����,site就構(gòu) 成了 VPN的基本單元����。 一個VPN由多個site組成, 一個site也可以同 時屬于不同的VPN���。對于任何兩個沒有共同的site的VPN都可以使用 重疊的地址空間����,即在用戶的私有網(wǎng)絡(luò)中使用自己獨立的地址空間�����,而 不用考慮是否與其他VPN或公網(wǎng)的地址空間沖突����,這就需要依賴于 VPN路由轉(zhuǎn)發(fā)實例(VPN Routing & Forwarding Instance, VRF)�����。 VRF只 存在于PE上(見圖2),在PE上針對每一個site都創(chuàng)建一個與之對應(yīng)的 VRF,每個VRF都包括一張路由表���, 一張轉(zhuǎn)發(fā)表���, 一組使用這個VRF 的接口集合以及一組與之相關(guān)的策略��。VRF可以被看作是一個虛擬的路 由器���。
由于路由器的內(nèi)存空間是有限的,在一個PE路由器上通常需要連 接多個VPN����,為多個不同用戶服務(wù),如果某個用戶CE向PE路由器中 灌入過多的路由就會導(dǎo)致該PE路由器的內(nèi)存資源耗盡�,使得該if各由器 無法為其它私網(wǎng)配置路由,甚至連公網(wǎng)路由也無法再配置了�,最終會導(dǎo) 致路由器的崩潰。所以有必要對每個VRF進(jìn)行路由表容量的控制管理�, 不能讓私網(wǎng)路由無限制地添加��,從而可以提高PE路由器的可控性和穩(wěn)
5定性��。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種在PE路由器上對每個VRF 的路由數(shù)目進(jìn)行控制管理的方法����,避免由于接收過多VPN路由而導(dǎo)致 內(nèi)存資源耗盡的現(xiàn)象�����,提高PE路由器運行的可靠性以及維護(hù)的便利性����, 提高PE的整體性能。
為解決上述技術(shù)問題��,本發(fā)明釆用了以下解決方案
一種MPLS VPN網(wǎng)絡(luò)下的VRF路由限制管理方法�,包括 設(shè)置VRF最大路由條目數(shù);
當(dāng)用戶欲配置新的路由時��,路由管理支撐模塊通知動態(tài)路由協(xié)議模 塊�,動態(tài)路由協(xié)議模塊根據(jù)所述用戶待配置的路由條目數(shù)及VRF最大 路由條目數(shù)判斷其協(xié)議路由表是否能容納待配置的路由,若是��,則路由 管理支撐^t塊通知用戶繼續(xù)正常配置��;若否,則if各由管理支撐^t塊禁止 用戶配置�;
當(dāng)動態(tài)路由協(xié)議模塊學(xué)習(xí)到新的動態(tài)路由并欲將其添加至協(xié)議路 由表中時,動態(tài)路由協(xié)議模塊根據(jù)待添加的路由條目數(shù)及VRF最大路 由條目數(shù)判斷協(xié)議路由表中是否能容納待添加的路由���,若是����,則將所述 動態(tài)路由添加至協(xié)議路由表中并下發(fā)給路由管理支撐模塊�;若否,則丟 棄所述動態(tài)路由���。
上述方法還包括當(dāng)所述路由管理支撐模塊欲對當(dāng)前無效的路由進(jìn) 行生效處理時,動態(tài)路由協(xié)議模塊根據(jù)所述當(dāng)前無效的路由條目數(shù)和 VRF最大路由條目數(shù)判斷協(xié)議路由表中是否能容納所述當(dāng)前無效的路 由��,若是�����,則路由管理支撐模塊對此無效的路由進(jìn)行生效處理�����,同時動 態(tài)路由協(xié)議模塊將此路由添加入?yún)f(xié)議路由表中�����;若否,則路由管理支撐 模塊不對該路由進(jìn)行生效處理����。
上述方法還包括待所述動態(tài)路由協(xié)議模塊的協(xié)議路由表中路由條 目數(shù)不再超限時,刷新路由管理支撐模塊的支撐路由表���,對于其中的因之前協(xié)議路由表的路由條目數(shù)超限而未進(jìn)行生效處理的無效路由�����,重新 進(jìn)行生效處理���,并將其添加至動態(tài)路由協(xié)議模塊的協(xié)議路由表中。
上述方法中��,所述路由管理支撐模塊的支撐路由表的刷新方式為 人工觸發(fā)刷新��,或者由動態(tài)路由協(xié)議模塊自動觸發(fā)刷新�����。
上述方法中����,所述支撐路由表刷新時采用定時器分時刷新方式��。
上述方法中�,在路由管理支撐模塊的支撐路由表中���,采用雙向鏈的 方式組織所述因之前協(xié)議路由表的路由條目數(shù)超限而未進(jìn)行生效處理 的無效路由����。
本發(fā)明具有以下有益效果
本發(fā)明通過在MPLS網(wǎng)絡(luò)中的邊緣路由器PE上對VRF的路由數(shù)目 進(jìn)行控制管理���,從而可以有效地防止私有網(wǎng)絡(luò)無限制地灌入路由致使PE 癱瘓��。通過這樣一種對VPN路由限制管理的技術(shù)可以提高PE路由的性 能����,同時可以增強網(wǎng)絡(luò)的安全性�����,防止通過大量灌入路由進(jìn)行網(wǎng)絡(luò)攻擊 的行為�。
圖1是典型的MPLS VPN網(wǎng)絡(luò)的結(jié)構(gòu)示意圖2是在骨干網(wǎng)邊緣路由器中VRF與各個VPN之間的關(guān)系示意圖3是本發(fā)明的路由限制管理方法流程圖4是本發(fā)明實施例中支撐路由表對于那些由于路由限制而使得該 生效而未能生效的路由采用雙向鏈的形式進(jìn)行組織的架構(gòu)圖���。
具體實施例方式
本發(fā)明的核心思想為對每個VRF設(shè)置該VRF所能容納的路由條 目最大數(shù)�����,并對注入的路由條目進(jìn)行計數(shù)�����,每次都將這個計數(shù)與設(shè)置的 最大數(shù)進(jìn)行比較��,如果達(dá)到該VRF最大數(shù)的限制時就開始丟棄路由�。
實現(xiàn)本發(fā)明,需要解決以下幾個問題
1 )如何為每個VRF配置最大路由條目數(shù)���,并進(jìn)行路由超限的判斷�。
72 )在PE中�����,通常各個動態(tài)路由協(xié)議模塊各自維護(hù)一張協(xié)議路由表�����,
然后將學(xué)習(xí)到的動態(tài)路由下發(fā)到PE的路由管理支撐模塊。對于用戶配
置的地址路由���,直連路由���,及靜態(tài)路由,都是用戶配置后直接存放到路 由管理支撐模塊的支撐路由表中�����,由路由管理支撐模塊向動態(tài)路由協(xié)議
模塊通告�����,這樣對于注入VRF的路由條目需要根據(jù)是協(xié)議生成的還是 用戶配置的分別進(jìn)行相應(yīng)的處理�。
3) 當(dāng)屬于某個VRF的一個4妻口 down后,對應(yīng)的地址3各由�����、直連 路由�、以及以該接口為下一跳的其他路由(靜態(tài)路由,nat路由����,vrrp 路由,ppp路由等)都會進(jìn)行無效處理��,動態(tài)路由協(xié)議模塊的協(xié)議路由 表中也會相應(yīng)地刪除這些路由�����。當(dāng)該VRF的路由數(shù)已經(jīng)達(dá)到最大限時�, 該VRF的之前已經(jīng)down 了的接口此時又up 了 ,那么對應(yīng)的地址路由����、 直連路由以及相應(yīng)的靜態(tài)路由都會重新生效,但此時由于路由限制動態(tài) 路由協(xié)議模塊不會接受這些生效的路由��,那么路由管理支撐模塊為了和 動態(tài)路由協(xié)議模塊保持一致需要進(jìn)行相應(yīng)的處理����,使得這些應(yīng)該生效的 路由條目由于路由限制而不能生效。
4) 在第三個問題中對于那些應(yīng)該生效而由于路由限制沒能生效的 路由條目需要有一個處理機制�,使得在路由限制變化,或者路由條目不 再超限時將這些^各由進(jìn)行生效處理�����。
對于第一個問題����,可以通過增加一個配置VRF最大路由條目數(shù)的 命令解決���,根據(jù)該條命令可以將用戶配置的VRF最大路由條目數(shù)寫到 相應(yīng)的VRF路由表管理模塊的相應(yīng)字段,每次有路由條目添加到該VRF 路由表中時����,先進(jìn)行計數(shù),然后將計數(shù)與用戶配置的最大數(shù)進(jìn)行比較����, 如果沒有超限則可以正常加入該路由表,如果已經(jīng)超限則丟棄該;洛由�。
對于第二個問題,由于用戶配置的地址路由��,直連路由��,靜態(tài)路由 都處于用戶可控制范圍內(nèi)�,而動態(tài)路由的注入是不在用戶的可控范圍 內(nèi),所以VRF路由限制功能主要是在動態(tài)協(xié)議路由表中進(jìn)行控制���,也 就是說每個VRF路由條目最大數(shù)是體現(xiàn)在動態(tài)協(xié)議路由表中的���,這樣 對于動態(tài)協(xié)議學(xué)習(xí)到的路由每次加入?yún)f(xié)i義路由表中時進(jìn)行計數(shù)并通過 與設(shè)定的最大路由條目數(shù)進(jìn)行比較來決定該路由條目是否可以接受(該
8處理流程如圖3a所示)�����。而對于用戶配置的地址路由,直連路由����,及
靜態(tài)路由需要多 一層的處理。這是為了保持協(xié)議路由表和支撐路由的一
致���。每次用戶配置屬于某個VRF的接口地址時需要將對應(yīng)的地址路由 及直連路由通告給協(xié)議路由表�,此時需要判斷協(xié)議路由表是否能夠容納 這兩條路由���,如果能容納則可以正常配置����,如果不能容納則給出告警信 息��,同時禁止配置�,對于配置靜態(tài)路由的處理也一樣(該處理流程如圖 3b所示)。這樣就可以使支撐與協(xié)議路由表保持一致�。
對于第三個問題,當(dāng)屬于某個VRF的接口物理down或協(xié)議down 后對應(yīng)的地址路由�����,直連路由以及以該接口為下一跳的其他路由(靜態(tài) 路由,nat路由���,vrrp路由�����,ppp路由等)在支撐路由表中會進(jìn)行無效處 理�,這些條目仍然存在于支撐路由表中�,而在協(xié)議路由表中對應(yīng)的路由 條目會被刪除。這樣當(dāng)該接口又被up后����,在支撐路由表中那些與該接 口相關(guān)的無效路由條目會進(jìn)行生效處理,同時會通告給協(xié)議路由表����,此 時如果協(xié)議路由表中對應(yīng)的VRF路由條目已到達(dá)最大數(shù),那么這些條 目是不能被添加到協(xié)議路由表中的����,這樣就會造成支撐路由表和協(xié)議路 由表產(chǎn)生了不一致。另外對于接口地址改變會使得原先使用該網(wǎng)段地址 為下一跳的其他路由(靜態(tài)路由���,nat路由���,vrrp路由�����,ppp路由等)無 效并會從協(xié)議路由表中刪除,當(dāng)有接口地址又改變成這些路由原來4吏用 的下一跳的網(wǎng)段時���,這些路由又會重新生效�,同樣會遇到路由超限無法 加入到協(xié)議路由表而使得支撐路由表和協(xié)議路由表產(chǎn)生不 一致的情況���。 要解決這個不一致的問題可以在這些地址^各由���,直連路由及其他^各由 (靜態(tài)路由,nat路由�,vrrp路由,ppp路由等)生效時判斷當(dāng)前VRF 協(xié)議路由表是否能夠容納這些路由條目�����,如果能容納則進(jìn)行正常的生效 流程��,如果不能容納則在支撐層面也不能將這些路由生效(該處理流程 如圖3c所示)。
對于第四個問題���,這是本發(fā)明中處理最為復(fù)雜的一個問題���。對于那 些應(yīng)當(dāng)生效而因為路由限制不能生效的路由條目應(yīng)當(dāng)提供一個處理機 制,使得這些路由條目可以在時機成熟時再次刷新生效�����,要實現(xiàn)這樣一 個處理機制首先要做的就是將這些需要刷新生效的路由條目組織起來����,
9便于下面進(jìn)行刷新處理。對于這些路由條目刷新�����,可以通過兩種途徑進(jìn) 行�����, 一是可以提供一條路由刷新命令�����,讓用戶手工觸發(fā)刷新,二是在 VRF路由表中路由條目數(shù)不再超限時自動觸發(fā)刷新���。最后還要考慮在進(jìn)
行路由刷新時待刷新的路由條目數(shù)過多而使得CPU瞬間占用達(dá)到峰值
使得系統(tǒng)出現(xiàn)異常的情況�,這就需要采用分時刷新的方案來解決這一問 題���,就是采用定時器分時刷新�����,每次當(dāng)刷新條目達(dá)到每次刷新條目最大 數(shù)時停止刷新啟動定時器,在該定時器設(shè)定的時間到達(dá)時再次觸發(fā)刷新 從上次刷新停止的位置繼續(xù)進(jìn)行刷新�����,直到刷新完成�����。另外當(dāng)在刷新過
程中出現(xiàn)當(dāng)前刷新的VRF路由表又一次超限時則停止對該VRF的路由 條目的刷新處理���,轉(zhuǎn)而進(jìn)行下一個VRF的路由條目的刷新���,直到所有 VRF路由表都刷新一遍��。當(dāng)然還要支持對某一特定的VRF進(jìn)行刷新的 處理����。
下面將結(jié)合附圖和具體實施例對本發(fā)明作進(jìn)一步詳細(xì)的描述
本實施例中�,硬件部分由三臺路由器組成,其中2臺作為私有網(wǎng)絡(luò) 客戶端CE, —臺作為邊緣路由器PE,組網(wǎng)關(guān)系如圖2所示�����。(注在 該實施例中僅僅配置了地址路由��,直連路由��,靜態(tài)路由���,以及ospf動態(tài) 路由���,其他類型路由并沒有配置,這里僅僅給出一個實例�����,其他類型路 由的處理與技術(shù)方案所說明的處理流程一致)。本實施例的路由限制管 理流程如下
第1步在PE路由器上��,分別為兩臺CE創(chuàng)建VRF,并設(shè)定能夠 接受的路由條目最大數(shù)�。同時配置接口綁定到相應(yīng)的VRF上。
a)為兩臺CE分別創(chuàng)建VRF, VRF名稱分別為vpnl和vpn2�����,并 設(shè)置兩個vrf的最大路由數(shù)及告警限��,這里設(shè)為最大路由數(shù)為4;
b )分別將為vpnl和vpn2的一個4妄口配置地址���。同時分別在vpnl 和vpn2內(nèi)配置一條靜態(tài)路由�。(此時PE上vpnl和vpn2中分別都形成 了 3條路由���,再有 一條路由就要達(dá)到告警限了 )
第2步在CE路由器上配置接口,同時開啟動態(tài)路由����。分別在屬 于vpnl和vpn2的CE上為與PE相連的接口配置與PE上相同網(wǎng)段的ip
10地址。另外再配置另外2個與PE不相連的接口的地址���。同時開啟動態(tài)
路由協(xié)議與PE建立鄰居����。
第3步在PE上開啟動態(tài)^各由協(xié)議,分別為vpnl和vpn2與相應(yīng) 的CE建立鄰居�����。
第4步鄰居建立好后vpnl和vpn2上的CE都要向PE通告2條 到該CE其他網(wǎng)段的路由�,而此時PE上vpnl和vpn2上已經(jīng)存在3條 路由(最大容納4條路由),這樣就會產(chǎn)生路由超限��,根據(jù)本功能就會 進(jìn)行丟棄CE通告過來的路由條目���,從而達(dá)到保護(hù)的目的�����。所以此時在 PE上查看vpnl和vpn2的3各由表���,只能看到CE通告過來的一條路由, 而另一條路由就丟棄了����。
第5步在PE上將屬于vpnl和vpn2的接口關(guān)閉,然后將^各由最 大數(shù)改成1,然后再將關(guān)閉的接口開啟��,這時PE上由于要生效3條路 由(接口的地址路由,網(wǎng)段路由和一條以該接口為下一跳的靜態(tài)路由)��, 會產(chǎn)生路由超限的情況�����,按照本發(fā)明會給出告警提示��,然后將該條沒有 生效的路由掛入待刷新無效鏈��。
第6步將PE上vpnl和vpn2的路由最大數(shù)設(shè)成6�����,此時CE上原 先由于路由超限而沒能加入的路由條目會被加入進(jìn)來���,而第5步中由于 路由超限而沒能生效的靜態(tài)路由并沒有生效��,協(xié)議路由表中不存在該路 由條目,此時可以通過命令手工刷新支撐路由表進(jìn)行生效處理���,當(dāng)然也 可以在路由不超限時協(xié)議模塊動態(tài)調(diào)用刷新接口函數(shù)�,或定時調(diào)用無效 路由刷新函數(shù)進(jìn)行刷新�����,對于應(yīng)該生效而因為3各由超限而沒能生效的 vpn路由,支撐路由表中待刷新無效路由鏈采用圖4所示的雙向鏈進(jìn)行 組織���,通過這種方式組織可以解決3個問題
a�、 對于刷新用戶指定的vrf內(nèi)的失效路由����,要能迅速的定位刷新。 采用圖4中實線的雙向鏈解決�����,因為每個VRF都有一張路由表�,實線 的雙向鏈將vrf內(nèi)的無效路由條目鏈在一起,可以在用戶刷新指定的vrf 內(nèi)的失效路由時迅速定位并刷新����。
b、 對于刷新全部失效的路由���,要能準(zhǔn)確定位所有失效路由并進(jìn)行刷新��。采用圖4中虛線的雙向鏈解決�,通過虛線的雙向鏈可以將所有存
在待刷新的失效路由的vrf鏈在一起,在進(jìn)行全部刷新時可以從鏈頭遍 歷到鏈尾���,完成對每個vrf中失效路由的刷新���。
c、為了防止CPU瞬間達(dá)到峰值��,影響系統(tǒng)運行�����,需要定義每次刷 新失效路由的條目最大數(shù)��,需進(jìn)行分時刷新����。這個問題可以采用一個全 局變量來記錄刷新路由的數(shù)目,確定一個峰值�����,只要計數(shù)達(dá)到這個峰值 就停止刷新���,啟動定時器�,在定時器超時后再次從上次刷新的位置繼續(xù) 刷新��,當(dāng)然還需要一個全局變量來記錄上次刷新的位置��。
通過刷新命令或者協(xié)議調(diào)用或定時器觸發(fā)調(diào)用路由刷新處理接口 函數(shù)進(jìn)行無效路由重新刷新生效����,可以看到剛才在vpnl和vpn2中沒有 生效的路由都已生效。并都已加入到對應(yīng)vrf的協(xié)議;洛由表中�。
以上實施例僅用以說明本發(fā)明的技術(shù)方案而非限制,僅僅參照較佳 實施例對本發(fā)明進(jìn)行了詳細(xì)說明����。本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,可 以對本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換�����,而不脫離本發(fā)明技術(shù)方 案的精神和范圍���,均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中����。
權(quán)利要求
1�����、一種MPLS VPN網(wǎng)絡(luò)下的VRF路由限制管理方法,其特征在于���,該方法包括設(shè)置VRF最大路由條目數(shù)�����;當(dāng)用戶欲配置新的路由時���,路由管理支撐模塊通知動態(tài)路由協(xié)議模塊,動態(tài)路由協(xié)議模塊根據(jù)所述用戶待配置的路由條目數(shù)及VRF最大路由條目數(shù)判斷其協(xié)議路由表是否能容納待配置的路由���,若是�����,則路由管理支撐模塊通知用戶繼續(xù)正常配置��;若否�,則路由管理支撐模塊禁止用戶配置��;當(dāng)動態(tài)路由協(xié)議模塊學(xué)習(xí)到新的動態(tài)路由并欲將其添加至協(xié)議路由表中時,動態(tài)路由協(xié)議模塊根據(jù)待添加的路由條目數(shù)及VRF最大路由條目數(shù)判斷協(xié)議路由表中是否能容納待添加的路由�����,若是����,則將所述動態(tài)路由添加至協(xié)議路由表中并下發(fā)給路由管理支撐模塊���;若否���,則丟棄所述動態(tài)路由。
2�����、 如權(quán)利要求1所述的MPLS VPN網(wǎng)絡(luò)下的VRF路由限制管 理方法���,其特征在于�����,所述方法還包括當(dāng)所述路由管理支撐模塊欲 對當(dāng)前無效的路由進(jìn)行生效處理時��,動態(tài)路由協(xié)議模塊根據(jù)所述當(dāng)前 無效的路由條目數(shù)和VRF最大路由條目數(shù)判斷協(xié)議路由表中是否能 容納所述當(dāng)前無效的路由�,若是,則路由管理支撐模塊對此無效的路 由進(jìn)行生效處理���,同時動態(tài)路由協(xié)議模塊將此路由添加入?yún)f(xié)議路由表 中��;若否����,則路由管理支撐模塊不對該路由進(jìn)行生效處理���。
3�����、 如權(quán)利要求2所述的MPLS VPN網(wǎng)絡(luò)下的VRF路由限制管 理方法���,其特征在于,所述方法還包括待所述動態(tài)路由協(xié)議模塊的 協(xié)議路由表中路由條目數(shù)不再超限時�,刷新路由管理支撐模塊的支撐 路由表,對于其中的因之前協(xié)議路由表的路由條目數(shù)超限而未進(jìn)行生 效處理的無效3各由����,重新進(jìn)行生效處理,并將其添加至動態(tài)^各由協(xié)議模塊的協(xié)議路由表中。
4����、 如權(quán)利要求3所述的MPLS VPN網(wǎng)絡(luò)下的VRF路由限制管 理方法,其特征在于����,所述路由管理支撐模塊的支撐路由表的刷新方 式為人工觸發(fā)刷新��,或者由動態(tài)路由協(xié)議模塊自動觸發(fā)刷新����。
5、 如權(quán)利要求4所述的MPLS VPN網(wǎng)絡(luò)下的VRF 3各由限制管 理方法��,其特征在于���,所述支撐路由表刷新時采用定時器分時刷新方 式����。
6���、 如權(quán)利要求3所述的MPLS VPN網(wǎng)絡(luò)下的VRF 3各由限制管 理方法�,其特征在于,在路由管理支撐模塊的支撐路由表中���,采用雙 向鏈的方式組織所述因之前協(xié)議路由表的路由條目數(shù)超限而未進(jìn)行 生效處理的無效;洛由��。
全文摘要
本發(fā)明公開了一種MPLS VPN網(wǎng)絡(luò)下的VRF路由限制管理方法��,包括設(shè)置VRF最大路由條目數(shù)�;當(dāng)用戶欲配置新的路由時��,路由管理支撐模塊通知動態(tài)路由協(xié)議模塊�,該模塊根據(jù)待配置的路由條目數(shù)及VRF最大路由條目數(shù)判斷協(xié)議路由表是否能容納待配置的路由,若是�,則通知用戶繼續(xù)正常配置,否則禁止用戶配置���;當(dāng)動態(tài)路由協(xié)議模塊學(xué)習(xí)到新的動態(tài)路由并欲將其添加至協(xié)議路由表中時�,根據(jù)待添加的路由條目數(shù)及VRF最大路由條目數(shù)判斷協(xié)議路由表是否能容納待添加的路由�����,若是����,則將動態(tài)路由添加至協(xié)議路由表中并下發(fā)給路由管理支撐模塊��,否則丟棄���。采用本發(fā)明可以提高PE的性能,增強網(wǎng)絡(luò)的安全性��,防止通過大量灌入路由進(jìn)行網(wǎng)絡(luò)攻擊的行為�����。
文檔編號H04L12/56GK101494612SQ200910105828
公開日2009年7月29日 申請日期2009年2月26日 優(yōu)先權(quán)日2009年2月26日
發(fā)明者胡志鋒 申請人:中興通訊股份有限公司