專利名稱:一種報(bào)文處理控制方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)通信領(lǐng)域�,尤其一種報(bào)文處理控制方法及裝置。
背景技術(shù):
三層網(wǎng)絡(luò)設(shè)備���,比如三層交換機(jī)或者路由器對報(bào)文的轉(zhuǎn)發(fā)是依據(jù)報(bào)文的目的IP地址查詢轉(zhuǎn)發(fā)表來實(shí)現(xiàn)的���。轉(zhuǎn)發(fā)表可以是靜態(tài)配置或者通過動(dòng)態(tài)路由協(xié)議學(xué)習(xí)生成的。然而很多時(shí)候單純的查表轉(zhuǎn)發(fā)并不能滿足用戶對報(bào)文轉(zhuǎn)發(fā)的全部需求�����。策略路由(policy-based-route,PBR)可以有效解決上述問題���。PBR —種依據(jù)用戶制定的策略進(jìn)行路由選擇的機(jī)制����,與單純依照IP報(bào)文的目的IP地址查找轉(zhuǎn)發(fā)表進(jìn)行轉(zhuǎn)發(fā)有很大的不同�����。策略路由基于到達(dá)報(bào)文的源地址���、長度等信息靈活地進(jìn)行路由選擇�����。對于滿足一定條件(報(bào)文長度或ACL規(guī)則)的報(bào)文���,將執(zhí)行一定的操作(比如設(shè)置報(bào)文的出接口和下一跳等),以指導(dǎo)報(bào)文的轉(zhuǎn)發(fā)�����。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明提供一種報(bào)文處理控制裝置���,應(yīng)用于網(wǎng)絡(luò)設(shè)備上����,該裝置包括策略管理單元����、資源管理單元以及路由生成單元��,其中:資源管理單元�,用于在轉(zhuǎn)發(fā)平面創(chuàng)建至少一個(gè)保留VPN轉(zhuǎn)發(fā)單元�����,并建立該保留VPN轉(zhuǎn)發(fā)單元與保留VPN接口標(biāo)識(shí)之間的綁定關(guān)系���;策略管理單元�����,用于向ACL執(zhí)行模塊下發(fā)ACL規(guī)則���,其中該ACL規(guī)則用于將指定的用戶報(bào)文上送到所述保留VPN接口 ;路由生成單元�����,用于向VPN轉(zhuǎn)發(fā)單元下發(fā)轉(zhuǎn)發(fā)表項(xiàng)以指導(dǎo)保留VPN轉(zhuǎn)發(fā)單元的報(bào)文轉(zhuǎn)發(fā)�����。本發(fā)明還提供一種報(bào)文處理控制方法,應(yīng)用于網(wǎng)絡(luò)設(shè)備上�,其中該方法包括以下步驟:步驟A、在轉(zhuǎn)發(fā)平面創(chuàng)建至少一個(gè)保留VPN轉(zhuǎn)發(fā)單元�,并建立該保留VPN轉(zhuǎn)發(fā)單元與保留VPN接口標(biāo)識(shí)之間的綁定關(guān)系����;步驟B、向ACL執(zhí)行模塊下發(fā)ACL規(guī)則��,其中該ACL規(guī)則用于將指定的用戶報(bào)文上送到所述保留VPN接口 ���;步驟C�����、向VPN轉(zhuǎn)發(fā)單元下發(fā)轉(zhuǎn)發(fā)表項(xiàng)以指導(dǎo)保留VPN轉(zhuǎn)發(fā)單元的報(bào)文轉(zhuǎn)發(fā)�。本發(fā)明利用了 VPN轉(zhuǎn)發(fā)單元之間的隔離特性以及三層轉(zhuǎn)發(fā)的最長匹配原則與對等價(jià)路由的天然支持��,解決策略路由目前存在的下發(fā)次序需要計(jì)算引發(fā)管理員困擾的問題以及無法支持基于等價(jià)路由進(jìn)行負(fù)載分擔(dān)的問題�。
圖1是一種需要下發(fā)策略路由的典型組網(wǎng)示意圖。圖2是一種下發(fā)了策略路由的組網(wǎng)示意圖���。
圖3是另一種下發(fā)了策略路由的組網(wǎng)示意圖����。圖4是本發(fā)明一種實(shí)施方式中網(wǎng)絡(luò)設(shè)備的邏輯結(jié)構(gòu)圖。圖5是本發(fā)明一種實(shí)施方式中硬件環(huán)境簡化示意圖�。圖6是本發(fā)明實(shí)現(xiàn)基于等價(jià)路由負(fù)載分擔(dān)的組網(wǎng)示意圖。
具體實(shí)施例方式請參考圖1���,假設(shè)主機(jī)Host A和Host B都發(fā)送報(bào)文到遠(yuǎn)端的路由器Router-D下的Host Co由于Host A與Host B發(fā)送的報(bào)文的目的IP地址相同,Host A和Host B發(fā)送的報(bào)文在Router上查找轉(zhuǎn)發(fā)表會(huì)獲得相同的路徑轉(zhuǎn)發(fā)�����。假設(shè)此時(shí)Router-A到Router-D優(yōu)先走Router-B轉(zhuǎn)發(fā),那么Host A和Host B發(fā)送的報(bào)文都將轉(zhuǎn)發(fā)到Router-B然后最終到達(dá)目的主機(jī)Host Co假設(shè)用戶需要在Router-A實(shí)現(xiàn)根據(jù)源IP地址來控制報(bào)文的轉(zhuǎn)發(fā)����。此時(shí)Router-A需要先識(shí)別出報(bào)文是Host A發(fā)送的還是Host B發(fā)送的��;然后將Host A發(fā)送的報(bào)文轉(zhuǎn)發(fā)到Router-B上去�����,將Host B發(fā)送的報(bào)文轉(zhuǎn)發(fā)到Router-C上去�。這樣即便Host A與HostB發(fā)送的報(bào)文有相同的目的IP地址,由于Router-A的處理�����,報(bào)文被分開到不同的轉(zhuǎn)發(fā)路徑上。Router-A可以通過策略路由機(jī)制實(shí)現(xiàn)上述功能����。策略路由可以通過創(chuàng)建ACL規(guī)則來實(shí)現(xiàn),比如說ACL規(guī)則可以是:匹配到Host B的源IP的報(bào)文�,下一跳都重定向到Router-C上去。以上是基于源地址來實(shí)現(xiàn)控制報(bào)文的轉(zhuǎn)發(fā)�,但事實(shí)上還可以根據(jù)報(bào)文的其他屬性或者屬性的組合來控制報(bào)文的轉(zhuǎn)發(fā)���,比如根據(jù)源IP地址與目的IP地址的組合等等來實(shí)現(xiàn)報(bào)文轉(zhuǎn)發(fā)的控制�����。根據(jù)作用對象的不同���,策略路由可分為本地策略路由和接口策略路由。所謂本地策略路由是指:對本地產(chǎn)生的報(bào)文(比如Router本地發(fā)出的ping報(bào)文)進(jìn)行策略路由���,它只對Router本地產(chǎn)生的報(bào)文(通常是協(xié)議報(bào)文)起作用����,對Router需要轉(zhuǎn)發(fā)的報(bào)文不起作用。所述接口策略路由是指:對到達(dá)該接口的報(bào)文進(jìn)行策略路由���,它只對轉(zhuǎn)發(fā)的報(bào)文起作用�,對Router本地產(chǎn)生的報(bào)文不起作用���。顯然對于用戶的網(wǎng)絡(luò)業(yè)務(wù)來說����,接口策略路由的使用更加廣泛�����。目前的策略路由的實(shí)現(xiàn)路由支持基于ACL規(guī)則靈活地指定路由�。而ACL規(guī)則可以根據(jù)報(bào)文的源IP、目的IP��、協(xié)議�、端口號、優(yōu)先級���、T0S�、時(shí)間段�����、VPN等各種豐富的信息將報(bào)文分類,然后控制將這些報(bào)文按照不同的路由轉(zhuǎn)發(fā)出去�。如前所述,策略路由通常應(yīng)用于接口上�,可以配置一條策略,一條策略可以包括多個(gè)策略節(jié)點(diǎn)����,策略節(jié)點(diǎn)(Node)的動(dòng)作可以指定允許(permit)或者拒絕(deny),動(dòng)作通常默認(rèn)是permit。一個(gè)Node通常包括一條匹配項(xiàng)和一條動(dòng)作項(xiàng)�����,匹配項(xiàng)與操作項(xiàng)通常需要同時(shí)配置�,當(dāng)報(bào)文與匹配項(xiàng)匹配后����,然后按照設(shè)置的動(dòng)作項(xiàng)去執(zhí)行相應(yīng)的動(dòng)作。Node是策略路由技術(shù)的基本實(shí)現(xiàn)單元�����,If_match包含于策略Node之中����,是基于ACL的匹配規(guī)則的集合�����;Apply也包含于策略Node之中�,為策略的動(dòng)作��。匹配規(guī)則后按照該動(dòng)作進(jìn)行轉(zhuǎn)發(fā)����,通常動(dòng)作里面指定單播下一跳地址,按照指定下一跳進(jìn)行轉(zhuǎn)發(fā)����。策略在下發(fā)到底層硬件(也可以是軟件模塊)才能執(zhí)行策略路由,但下發(fā)之前需要先對策略進(jìn)行解析���,策略解析的流程通常包括如下步驟:1���、如果策略Node中的If_match為空或者Apply為空,不對該策略Node進(jìn)行處理����,繼續(xù)處理下一個(gè)Node ���;I1、解析If-match中的ACL規(guī)則����,如有規(guī)則內(nèi)容不支持,不對該策略Node進(jìn)行處理��,繼續(xù)處理下一個(gè)Node ��;II1���、如果此策略Node的匹配模式為Deny�����,則不再解析Apply中下一跳地址,直
接將動(dòng)作置為Forward����,即不按照策略路由轉(zhuǎn)發(fā),而是按照原流程轉(zhuǎn)發(fā)�;如果匹配模式為
Permit,則繼續(xù)解析下一跳地址,并且通常還能允許主備用兩個(gè)地址IPl和IP2����,比如IPl主
用��,IP2備用���;當(dāng)然也可以只有一個(gè)主用IP地址。假設(shè)主用下一跳為IP1����,根據(jù)IPl和IP2
的存在或者可用,各種動(dòng)作設(shè)置可以參考表I所示���。
權(quán)利要求
1.一種報(bào)文處理控制裝置�����,應(yīng)用于網(wǎng)絡(luò)設(shè)備上�����,該裝置包括策略管理單元�����、資源管理單元以及路由生成單元�,其特征在于: 資源管理單元,用于在轉(zhuǎn)發(fā)平面創(chuàng)建至少一個(gè)保留VPN轉(zhuǎn)發(fā)單元����,并建立該保留VPN轉(zhuǎn)發(fā)單元與保留VPN接口標(biāo)識(shí)之間的綁定關(guān)系; 策略管理單元�����,用于向ACL執(zhí)行模塊下發(fā)ACL規(guī)則����,其中該ACL規(guī)則用于將指定的用戶報(bào)文上送到所述保留VPN接口; 路由生成單元���,用于向VPN轉(zhuǎn)發(fā)單元下發(fā)轉(zhuǎn)發(fā)表項(xiàng)以指導(dǎo)保留VPN轉(zhuǎn)發(fā)單元的報(bào)文轉(zhuǎn)發(fā)����。
2.如權(quán)利要求1所述的裝置����,其特征在于��,所述策略管理單元�,進(jìn)一步用于根據(jù)用戶配置的策略Node與保留VPN接口標(biāo)識(shí)之間的對應(yīng)關(guān)系����,將策略Node的Apply動(dòng)作進(jìn)行修改�����,其中修改后的Apply動(dòng)作為:將報(bào)文的接口標(biāo)識(shí)修改為保留VPN接口標(biāo)識(shí)�。
3.如權(quán)利要求1所述的裝置,其特征在于��,所述保留VPN接口標(biāo)識(shí)為保留VLAN標(biāo)識(shí)��。
4.如權(quán)利要求3所述的裝置��,其特征在于�����,所述資源管理單元�,進(jìn)一步用于創(chuàng)建多個(gè)保留VPN單元,并建立多個(gè)保留VPN轉(zhuǎn)發(fā)單元與多個(gè)保留VPN接口標(biāo)識(shí)的對應(yīng)關(guān)系�����,其中每個(gè)保留VPN轉(zhuǎn)發(fā)單元對應(yīng)的保留VPN接口標(biāo)識(shí)均不相同�。
5.一種報(bào)文處理控制方法����,應(yīng)用于網(wǎng)絡(luò)設(shè)備上���,其特征在于����,該方法包括以下步驟: 步驟A����、在轉(zhuǎn)發(fā)平面創(chuàng)建至少一個(gè)保留VPN轉(zhuǎn)發(fā)單元,并建立該保留VPN轉(zhuǎn)發(fā)單元與保留VPN接口標(biāo)識(shí)之間的綁定關(guān)系�; 步驟B、向ACL執(zhí)行模塊下發(fā)ACL規(guī)則�����,其中該ACL規(guī)則用于將指定的用戶報(bào)文上送到所述保留VPN接口 ��; 步驟C�����、向VPN轉(zhuǎn)發(fā)單元下發(fā)轉(zhuǎn)發(fā)表項(xiàng)以指導(dǎo)保留VPN轉(zhuǎn)發(fā)單元的報(bào)文轉(zhuǎn)發(fā)。
6.如權(quán)利要求5所述的方法��,其特征在于����,所述步驟B還包括: 根據(jù)用戶配置的策略Node與保留VPN接口標(biāo)識(shí)之間的對應(yīng)關(guān)系�,將策略Node的Apply動(dòng)作進(jìn)行修改,其中修改后的Apply動(dòng)作為:將報(bào)文的接口標(biāo)識(shí)修改為保留VPN接口標(biāo)識(shí)�����。
7.如權(quán)利要求5所述的方法�����,其特征在于��,所述保留VPN接口標(biāo)識(shí)為保留VLAN標(biāo)識(shí)���。
8.如權(quán)利要求7所述的方法����,其特征在于��,所述步驟A進(jìn)一步包括: 創(chuàng)建多個(gè)保留VPN單元,并建立多個(gè)保留VPN轉(zhuǎn)發(fā)單元與多個(gè)保留VPN接口標(biāo)識(shí)的對應(yīng)關(guān)系���,其中每個(gè)保留VPN轉(zhuǎn)發(fā)單元對應(yīng)的保留VPN接口標(biāo)識(shí)均不相同�����。
全文摘要
本發(fā)明提供一種報(bào)文處理控制方法��,應(yīng)用于網(wǎng)絡(luò)設(shè)備上�����,其中該方法包括以下步驟步驟A�、在轉(zhuǎn)發(fā)平面創(chuàng)建至少一個(gè)保留VPN轉(zhuǎn)發(fā)單元��,并建立該保留VPN轉(zhuǎn)發(fā)單元與保留VPN接口標(biāo)識(shí)之間的綁定關(guān)系���;步驟B��、向ACL執(zhí)行模塊下發(fā)ACL規(guī)則����,其中該ACL規(guī)則用于將指定的用戶報(bào)文上送到所述保留VPN接口�����;步驟C、向VPN轉(zhuǎn)發(fā)單元下發(fā)轉(zhuǎn)發(fā)表項(xiàng)以指導(dǎo)保留VPN轉(zhuǎn)發(fā)單元的報(bào)文轉(zhuǎn)發(fā)�����。本發(fā)明利用了VPN轉(zhuǎn)發(fā)單元之間的隔離特性以及三層轉(zhuǎn)發(fā)的最長匹配原則與對等價(jià)路由的天然支持�,解決策略路由目前存在的下發(fā)次序需要計(jì)算引發(fā)管理員困擾的問題以及無法支持基于等價(jià)路由進(jìn)行負(fù)載分擔(dān)的問題��。
文檔編號H04L12/701GK103078794SQ20131000690
公開日2013年5月1日 申請日期2013年1月8日 優(yōu)先權(quán)日2013年1月8日
發(fā)明者李品生, 王 鋒 申請人:杭州華三通信技術(shù)有限公司