一種報文處理控制方法及裝置制造方法及圖紙

本發明專利技術提供一種報文處理控制方法，應用于網絡設備上，其中該方法包括以下步驟：步驟A、在轉發平面創建至少一個保留VPN轉發單元，并建立該保留VPN轉發單元與保留VPN接口標識之間的綁定關系；步驟B、向ACL執行模塊下發ACL規則，其中該ACL規則用于將指定的用戶報文上送到所述保留VPN接口；步驟C、向VPN轉發單元下發轉發表項以指導保留VPN轉發單元的報文轉發。本發明專利技術利用了VPN轉發單元之間的隔離特性以及三層轉發的最長匹配原則與對等價路由的天然支持，解決策略路由目前存在的下發次序需要計算引發管理員困擾的問題以及無法支持基于等價路由進行負載分擔的問題。

【技術實現步驟摘要】
一種報文處理控制方法及裝置
本專利技術涉及數據通信領域，尤其一種報文處理控制方法及裝置。
技術介紹
三層網絡設備，比如三層交換機或者路由器對報文的轉發是依據報文的目的IP地址查詢轉發表來實現的。轉發表可以是靜態配置或者通過動態路由協議學習生成的。然而很多時候單純的查表轉發并不能滿足用戶對報文轉發的全部需求。策略路由（policy-based-route，PBR）可以有效解決上述問題。PBR一種依據用戶制定的策略進行路由選擇的機制，與單純依照IP報文的目的IP地址查找轉發表進行轉發有很大的不同。策略路由基于到達報文的源地址、長度等信息靈活地進行路由選擇。對于滿足一定條件（報文長度或ACL規則）的報文，將執行一定的操作（比如設置報文的出接口和下一跳等），以指導報文的轉發。
技術實現思路
有鑒于此，本專利技術提供一種報文處理控制裝置，應用于網絡設備上，該裝置包括策略管理單元、資源管理單元以及路由生成單元，其中：資源管理單元，用于在轉發平面創建至少一個保留VPN轉發單元，并建立該保留VPN轉發單元與保留VPN接口標識之間的綁定關系；策略管理單元，用于向ACL執行模塊下發ACL規則，其中該ACL規則用于將指定的用戶報文上送到所述保留VPN接口；路由生成單元，用于向VPN轉發單元下發轉發表項以指導保留VPN轉發單元的報文轉發。本專利技術還提供一種報文處理控制方法，應用于網絡設備上，其中該方法包括以下步驟：步驟A、在轉發平面創建至少一個保留VPN轉發單元，并建立該保留VPN轉發單元與保留VPN接口標識之間的綁定關系；步驟B、向ACL執行模塊下發ACL規則，其中該ACL規則用于將指定的用戶報文上送到所述保留VPN接口；步驟C、向VPN轉發單元下發轉發表項以指導保留VPN轉發單元的報文轉發。本專利技術利用了VPN轉發單元之間的隔離特性以及三層轉發的最長匹配原則與對等價路由的天然支持，解決策略路由目前存在的下發次序需要計算引發管理員困擾的問題以及無法支持基于等價路由進行負載分擔的問題。附圖說明圖1是一種需要下發策略路由的典型組網示意圖。圖2是一種下發了策略路由的組網示意圖。圖3是另一種下發了策略路由的組網示意圖。圖4是本專利技術一種實施方式中網絡設備的邏輯結構圖。圖5是本專利技術一種實施方式中硬件環境簡化示意圖。圖6是本專利技術實現基于等價路由負載分擔的組網示意圖。具體實施方式請參考圖1，假設主機HostA和HostB都發送報文到遠端的路由器Router-D下的HostC。由于HostA與HostB發送的報文的目的IP地址相同，HostA和HostB發送的報文在Router上查找轉發表會獲得相同的路徑轉發。假設此時Router-A到Router-D優先走Router-B轉發，那么HostA和HostB發送的報文都將轉發到Router-B然后最終到達目的主機HostC。假設用戶需要在Router-A實現根據源IP地址來控制報文的轉發。此時Router-A需要先識別出報文是HostA發送的還是HostB發送的；然后將HostA發送的報文轉發到Router-B上去，將HostB發送的報文轉發到Router-C上去。這樣即便HostA與HostB發送的報文有相同的目的IP地址，由于Router-A的處理，報文被分開到不同的轉發路徑上。Router-A可以通過策略路由機制實現上述功能。策略路由可以通過創建ACL規則來實現，比如說ACL規則可以是：匹配到HostB的源IP的報文，下一跳都重定向到Router-C上去。以上是基于源地址來實現控制報文的轉發，但事實上還可以根據報文的其他屬性或者屬性的組合來控制報文的轉發，比如根據源IP地址與目的IP地址的組合等等來實現報文轉發的控制。根據作用對象的不同，策略路由可分為本地策略路由和接口策略路由。所謂本地策略路由是指：對本地產生的報文（比如Router本地發出的ping報文）進行策略路由，它只對Router本地產生的報文（通常是協議報文）起作用，對Router需要轉發的報文不起作用。所述接口策略路由是指：對到達該接口的報文進行策略路由，它只對轉發的報文起作用，對Router本地產生的報文不起作用。顯然對于用戶的網絡業務來說，接口策略路由的使用更加廣泛。目前的策略路由的實現路由支持基于ACL規則靈活地指定路由。而ACL規則可以根據報文的源IP、目的IP、協議、端口號、優先級、TOS、時間段、VPN等各種豐富的信息將報文分類，然后控制將這些報文按照不同的路由轉發出去。如前所述，策略路由通常應用于接口上，可以配置一條策略，一條策略可以包括多個策略節點，策略節點（Node）的動作可以指定允許（permit）或者拒絕（deny），動作通常默認是permit。一個Node通常包括一條匹配項和一條動作項，匹配項與操作項通常需要同時配置，當報文與匹配項匹配后，然后按照設置的動作項去執行相應的動作。Node是策略路由技術的基本實現單元，If-match包含于策略Node之中，是基于ACL的匹配規則的集合；Apply也包含于策略Node之中，為策略的動作。匹配規則后按照該動作進行轉發，通常動作里面指定單播下一跳地址，按照指定下一跳進行轉發。策略在下發到底層硬件（也可以是軟件模塊）才能執行策略路由，但下發之前需要先對策略進行解析，策略解析的流程通常包括如下步驟：I、如果策略Node中的If-match為空或者Apply為空，不對該策略Node進行處理，繼續處理下一個Node；II、解析If-match中的ACL規則，如有規則內容不支持，不對該策略Node進行處理，繼續處理下一個Node；III、如果此策略Node的匹配模式為Deny，則不再解析Apply中下一跳地址，直接將動作置為Forward，即不按照策略路由轉發，而是按照原流程轉發；如果匹配模式為Permit，則繼續解析下一跳地址，并且通常還能允許主備用兩個地址IP1和IP2，比如IP1主用，IP2備用；當然也可以只有一個主用IP地址。假設主用下一跳為IP1，根據IP1和IP2的存在或者可用，各種動作設置可以參考表1所示。表1請參考圖2，在Router-A和Host連接的接口上部署了策略路由，對HostB發送的報文做策略路由，將HostB發送的報文轉發到Router-C上去。假設圖2的場景中主用下一跳為2.2.2.1、備用下一跳為1.1.1.1，則此時策略Node中的If-match配置規則為：permitsourceIP192.168.20.20（用于匹配主機HostB的報文）此時策略Node中Apply動作為：Next-hop2.2.2.1，1.1.1.1這里指定了兩個下一跳，主用下一跳為2.2.2.1、備用下一跳為1.1.1.1；如果主用下一跳不可達或者不可用，那么就用備用下一跳，備用下一跳不可達或者不可用，就按照原流程轉發，動作就如表1所示的那樣。然而如果需要在策略路由的基礎上做流量的負載分擔，則會遇到問題。以最簡單的等價路由為例，按照現在的方案來實現需要配置兩條策略：permitsourceIP192.168.20.10/24；Next-hop2.2.2.1permitsourceIP192.168.20.20/24；Next-hop1.1.1.1現有技術中基于A本文檔來自技高網...

【技術保護點】
一種報文處理控制裝置，應用于網絡設備上，該裝置包括策略管理單元、資源管理單元以及路由生成單元，其特征在于：資源管理單元，用于在轉發平面創建至少一個保留VPN轉發單元，并建立該保留VPN轉發單元與保留VPN接口標識之間的綁定關系；策略管理單元，用于向ACL執行模塊下發ACL規則，其中該ACL規則用于將指定的用戶報文上送到所述保留VPN接口；路由生成單元，用于向VPN轉發單元下發轉發表項以指導保留VPN轉發單元的報文轉發。

【技術特征摘要】
1.一種報文處理控制裝置，應用于網絡設備上，該裝置包括策略管理單元、資源管理單元以及路由生成單元，其特征在于：資源管理單元，用于在轉發平面創建至少一個保留VPN轉發單元，并建立該保留VPN轉發單元與保留VPN接口標識之間的綁定關系；策略管理單元，用于向ACL執行模塊下發ACL規則，其中該ACL規則用于將指定的用戶報文上送到所述保留VPN接口；路由生成單元，用于向保留VPN轉發單元下發轉發表項以指導保留VPN轉發單元的報文轉發。2.如權利要求1所述的裝置，其特征在于，所述策略管理單元，進一步用于根據用戶配置的策略Node與保留VPN接口標識之間的對應關系，將策略Node的Apply動作進行修改，其中修改后的Apply動作為：將報文的接口標識修改為保留VPN接口標識。3.如權利要求1所述的裝置，其特征在于，所述保留VPN接口標識為保留VLAN標識。4.如權利要求3所述的裝置，其特征在于，所述資源管理單元，進一步用于創建多個保留VPN單元，并建立多個保留VPN轉發單元與多個保留VPN接口標識的對應關系，其中每個保留VPN轉...

【專利技術屬性】
技術研發人員：李品生，王鋒，
申請(專利權)人：杭州華三通信技術有限公司，
類型：發明
國別省市：