專利名稱::通信流量的選擇性轉(zhuǎn)移和注入的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及計算機網(wǎng)絡(luò),具體而言�����,本發(fā)明涉及在計算機網(wǎng)絡(luò)中轉(zhuǎn)移和處理所選流量的方法和系統(tǒng)��。
背景技術(shù):
:上述美國專利申請公布US2002/0083175描述了一種方法�����,該方法用于通過轉(zhuǎn)移想去往網(wǎng)絡(luò)上的“受難者”的流量來避免網(wǎng)絡(luò)上的一個或多個可能的“受難者”的集合中的超載狀況���。為了實現(xiàn)這種保護�����,諸如路由器之類的第一組網(wǎng)絡(luò)元件將流量重定向到被稱為“保衛(wèi)機”的第二組網(wǎng)絡(luò)元件��。當(dāng)可能的受難者遭受到異常流量狀況時�,轉(zhuǎn)移被啟動,所述異常流量狀況例如可能由分布式拒絕服務(wù)(DDoS)攻擊所導(dǎo)致�����。保衛(wèi)機過濾經(jīng)轉(zhuǎn)移的流量以消除惡意的(或過度的)流量��,并且將合法流量轉(zhuǎn)發(fā)到受難者����。此公布描述了多種可以實現(xiàn)流量轉(zhuǎn)移的方法�����。
發(fā)明內(nèi)容在本發(fā)明的實施例中�����,想去往特定目標地址(或一組目標地址)的網(wǎng)絡(luò)通信流量被轉(zhuǎn)移到流量處理器��。在處理了經(jīng)轉(zhuǎn)移的流量之后���,流量處理器將經(jīng)處理的流量中的至少一些傳遞到原始目標地址�����。這種流量轉(zhuǎn)移和處理在過濾出惡意流量的情況下尤其有用���,如上述美國和PCT專利申請所描述的�。它還可以應(yīng)用于其他類型的網(wǎng)絡(luò)應(yīng)用�����,例如以計費�����、鑒識(forensics)和流量工程為目的的流量分析�����。在本發(fā)明的某些實施例中��,諸如因特網(wǎng)協(xié)議(IP)路由器之類的第3層分組路由器經(jīng)由連接到網(wǎng)絡(luò)的第一端口接收來自網(wǎng)絡(luò)的通信流量�。該流量包括想去往目標地址的分組,所述目標地址可經(jīng)由路由器的第二端口來訪問����。路由器的路由表被具體編程���,從而當(dāng)需要轉(zhuǎn)移時(例如由于可疑攻擊),路由器經(jīng)由路由器的第三端口將想去往目標地址的分組轉(zhuǎn)移到流量處理器�。處理器經(jīng)由第三端口向路由器返回經(jīng)處理的分組。路由表的特殊編程致使路由器將這些分組從第三端口傳送到第二端口�����,以用于遞送到目標地址���。在某些實施例中,在網(wǎng)絡(luò)的所選區(qū)域中的多個路由器協(xié)作以將流量轉(zhuǎn)移到流量處理器���。所選區(qū)域例如可以包括由對等路由器耦合到諸如因特網(wǎng)這樣的廣域網(wǎng)(WAN)的專用網(wǎng)絡(luò)或其他自治系統(tǒng)�。對等路由器被通過網(wǎng)絡(luò)的隧道耦合到轉(zhuǎn)移路由器�,該轉(zhuǎn)移路由器被連接到流量處理器。當(dāng)需要轉(zhuǎn)移時�����,對等路由器被指示經(jīng)由隧道將想去往目標地址的流量傳遞到轉(zhuǎn)移路由器��。以這種方式,可以通過向?qū)Φ嚷酚善靼l(fā)布適當(dāng)?shù)穆酚芍噶顏韺崿F(xiàn)轉(zhuǎn)移��,而無需主動涉及網(wǎng)絡(luò)區(qū)域中的其余路由器�。在本發(fā)明的其他實施例中,流量處理器和從其向流量處理器轉(zhuǎn)移流量的路由器通常經(jīng)由第2層交換機被耦合在公共子網(wǎng)中��,該第2層交換機例如是太往交換機�。在這種實施例中,經(jīng)處理的流量被流量處理器傳送回第2層交換機���,然后第2層交換機或者直接(如果目標地址也位于同一子網(wǎng)中)或者經(jīng)由子網(wǎng)中的另一路由器將流量轉(zhuǎn)發(fā)到目標地址�����。因此���,根據(jù)本發(fā)明的實施例,提供了一種用于通信的方法���,包括耦合第3層分組路由器的第一端口以接收來自網(wǎng)絡(luò)的通信流量����,所述流量包括想去往目標地址的分組����,所述目標地址可經(jīng)由路由器的第二端口來訪問;在路由器處��,經(jīng)由路由器的第三端口將想去往目標地址的分組轉(zhuǎn)移到流量處理器���;在流量處理器處處理經(jīng)轉(zhuǎn)移的分組�,并且將經(jīng)處理的分組經(jīng)由第三端口而返回路由器�;以及在路由器處,將來自第三端口的經(jīng)處理的分組傳送到第二端口��,以用于遞送到目標地址���。在所公開的實施例中���,轉(zhuǎn)移分組的步驟包括檢測關(guān)于想去往目標地址的流量中的至少一些具有惡意來源的指示���,并且響應(yīng)于該指示來轉(zhuǎn)移分組����。通常���,處理經(jīng)轉(zhuǎn)移的分組的步驟包括過濾經(jīng)轉(zhuǎn)移的分組����,以便識別具有惡意來源的分組,并且禁止遞送識別出的分組�。在某些實施例中,轉(zhuǎn)移分組的步驟包括從流量處理器向路由器發(fā)送邊界網(wǎng)關(guān)協(xié)議(BGP)通告��,其指導(dǎo)路由器轉(zhuǎn)移分組���。通常�,發(fā)送BGP通告的步驟包括在BGP通告中插入“非廣告”和“非輸出”字符串中的至少一個���。在某些實施例中��,轉(zhuǎn)移分組的步驟包括建立通過網(wǎng)絡(luò)的隧道���,該隧道從對等路由器到第3層分組路由器的第一端口;配置第3層分組路由器����,以將它通過隧道接收到的分組轉(zhuǎn)發(fā)到第三端口;以及指導(dǎo)對等路由器通過隧道來轉(zhuǎn)發(fā)想去往目標地址的分組����。建立隧道的步驟可以包括建立多個隧道����,所述多個隧道從位于網(wǎng)絡(luò)的一個區(qū)域的邊緣處的對等路由器到所述區(qū)域內(nèi)的第3層分組路由器�。通常,返回經(jīng)處理的分組的步驟包括在流量處理器處選擇一條經(jīng)由第3層分組路由器去往目標地址的路徑��,并且引導(dǎo)第3層分組路由器將經(jīng)處理的分組沿著所選路徑傳送到下一跳路由器���。選擇路徑的步驟包括識別出通過各個下一跳路由器而去往目標地址的多條路徑����,并且選擇出經(jīng)處理的分組將通過其被傳送的下一跳路由器之一��。在某些實施例中�,選擇下一跳路由器之一的步驟包括在流量處理器處檢測網(wǎng)絡(luò)中在路由器的第二端口和目標地址之間的改變,并且響應(yīng)于該改變����,選擇出將通過其將經(jīng)處理的分組傳送到目標地址的下一跳路由器中的另一個下一跳路由器���?����?筛郊拥鼗蚩商鎿Q地�,選擇路徑的步驟包括在流量處理器處接收來自第3層分組路由器的路由信息,并且基于所述路由信息來識別路徑�。通常,接收路由信息的步驟包括根據(jù)自動路由協(xié)議�����,接收由網(wǎng)絡(luò)中的路由器所產(chǎn)生的通告�����。在一個實施例中�����,接收通告的步驟包括在流量處理器和下一跳路由器之間建立通過網(wǎng)絡(luò)的至少一個隧道�,并且響應(yīng)于所述至少一個隧道來接收所述通告。在可替換的實施例中����,接收路由信息的步驟包括使用管理協(xié)議來查詢第3層分組路由器。在所公開的實施例中,引導(dǎo)路由器的步驟包括建立通過網(wǎng)絡(luò)的從流量處理器經(jīng)由路由器而去往下一跳路由器的隧道�,并且通過隧道來傳遞分組。在某些實施例中���,傳送經(jīng)處理的分組的步驟包括利用關(guān)于在第三端口上由路由器接收到的分組的轉(zhuǎn)發(fā)規(guī)則來對路由器編程以便推翻路由器的主路由表�����,并且響應(yīng)于轉(zhuǎn)發(fā)規(guī)則來轉(zhuǎn)發(fā)經(jīng)處理的分組�����。對路由器編程的步驟可以包括調(diào)用策略路由(policy-basedrouting����,PBR)或基于過濾器的轉(zhuǎn)發(fā)(filter-basedforwarding���,F(xiàn)BF)�?���?筛郊拥鼗蚩商鎿Q地,對路由器編程的步驟包括配置路由器��,以響應(yīng)于經(jīng)處理的分組中的服務(wù)類型(ToS)字段來應(yīng)用轉(zhuǎn)發(fā)規(guī)則���,并且傳送經(jīng)處理的分組的步驟包括設(shè)置分組中的ToS字段的值����,以便致使轉(zhuǎn)發(fā)規(guī)則被調(diào)用��。在其他實施例中����,傳送經(jīng)處理的分組的步驟包括將虛擬專用網(wǎng)(VPN)指定添加到經(jīng)處理的分組,并且傳送經(jīng)處理的分組的步驟包括利用VPN路由表對路由器編程�����,并且響應(yīng)于VPN路由表來轉(zhuǎn)發(fā)經(jīng)處理的分組����。通常,添加VPN指定的步驟包括將虛擬局域網(wǎng)(VLAN)標簽添加到經(jīng)處理的分組����。在這些實施例中的一個實施例中,添加VLAN標簽的步驟包括定義對應(yīng)于去往目標地址的不同路由的多個VLAN���,并且其中添加VLAN標簽的步驟包括選出路由之一���,并且設(shè)置VLAN標簽的值以指定路由中的所選的那個路由���。根據(jù)本發(fā)明的實施例,還提供了一種用于通信的方法����,包括在網(wǎng)絡(luò)的一個區(qū)域中耦合一個或多個對等路由器,以接收來自該區(qū)域外部的通信流量�,該流量包括想去往目標地址的分組;通過經(jīng)由網(wǎng)絡(luò)的所述區(qū)域內(nèi)的一個或多個內(nèi)部路由器的一個或多個第一路由��,將分組轉(zhuǎn)發(fā)到目標地址��;建立通過網(wǎng)絡(luò)的一個或多個隧道�����,所述隧道從對等路由器經(jīng)由網(wǎng)絡(luò)的所述區(qū)域內(nèi)的轉(zhuǎn)移路由器的一個或多個第一端口而去往轉(zhuǎn)移路由器的第二端口����;將流量處理器耦合到轉(zhuǎn)移路由器的第二端口;響應(yīng)于流量的特性����,指導(dǎo)一個或多個對等路由器通過一個或多個隧道��,而不是通過第一路由來轉(zhuǎn)發(fā)想去往目標地址的分組�;在流量處理器處��,處理經(jīng)由轉(zhuǎn)移路由器而通過隧道被轉(zhuǎn)發(fā)的分組����;以及將來自流量處理器的經(jīng)處理的分組中的至少一些傳送到目標地址��。通常����,指導(dǎo)一個或多個對等路由器的步驟包括從流量處理器向所述一個或多個對等路由器發(fā)送邊界網(wǎng)關(guān)協(xié)議(BGP)通告?���?筛郊拥鼗蚩商鎿Q地,指導(dǎo)一個或多個對等路由器的步驟包括向一個或多個對等路由器發(fā)送指令���,而不需修改內(nèi)部路由器的路由表�����。轉(zhuǎn)移路由器可以充當(dāng)?shù)谝宦酚芍械闹辽僖粋€路由上的內(nèi)部路由器之一�����。通常��,傳送經(jīng)處理的分組中的至少一些的步驟包括經(jīng)由轉(zhuǎn)移路由器將經(jīng)處理的分組中的至少一些傳送到目標地址���?���?筛郊拥鼗蚩商鎿Q地����,傳送經(jīng)處理的分組中的至少一些的步驟包括在去往目標地址的路徑上建立介于流量處理器和邊緣路由器之間的另一隧道,并且通過該另一隧道傳送經(jīng)處理的分組中的至少一些��。根據(jù)本發(fā)明的實施例�����,還提供了一種用于通信的方法�����,包括耦合第3層分組路由器的第一端口以接收來自網(wǎng)絡(luò)的通信流量,該流量包括想去往目標地址的分組�����;將第3層分組路由器的第二端口耦合到目標地址可通過其被訪問的子網(wǎng)��;經(jīng)由子網(wǎng)中的第2層交換機將想去往目標地址的分組轉(zhuǎn)移到子網(wǎng)上的流量處理器�;在流量處理器處處理經(jīng)轉(zhuǎn)移的分組,并將經(jīng)處理的分組返回到第2層交換機�����;以及將經(jīng)處理的分組從第2層交換機傳送到目標地址�����。在某些實施例中���,目標地址位于子網(wǎng)內(nèi)。在其他實施例中��,目標地址位于子網(wǎng)外部��,并且傳送經(jīng)處理的分組的步驟包括將經(jīng)處理的分組從第2層交換機傳遞到子網(wǎng)中的另一路由器���,并且將經(jīng)處理的分組從另一路由器路由到目標地址�。根據(jù)本發(fā)明的實施例,還提供了一種用于通信的裝置�,包括第3層分組路由器,其至少包括第一��、第二和第三端口�����,其中第一端口被耦合以接收來自網(wǎng)絡(luò)的通信流量�,該流量包括想去往目標地址的分組,該目標地址可經(jīng)由路由器的第二端口來訪問���;以及耦合到路由器的第三端口的流量處理器���,該流量處理器適合于致使路由器將想去往目標地址的分組轉(zhuǎn)移到第三端口,并且還適合于處理經(jīng)轉(zhuǎn)移的分組��,以及將經(jīng)處理的分組經(jīng)由第三端口返回到路由器����,以便致使路由器將經(jīng)處理的分組從第三端口傳送到第二端口,以用于遞送到目標地址�����。此外,根據(jù)本發(fā)明的實施例�����,還提供了一種用于通信的裝置���,包括在網(wǎng)絡(luò)的一個區(qū)域中的一個或多個對等路由器���,這些對等路由器被耦合以接收來自該區(qū)域外部的通信流量,該流量包括想去往目標地址的分組�����;在網(wǎng)絡(luò)的該區(qū)域中的一個或多個內(nèi)部路由器�,這些內(nèi)部路由器被耦合以接收來自一個或多個對等路由器的分組��,并且將分組通過一個或多個第一路由轉(zhuǎn)發(fā)到目標地址���;在網(wǎng)絡(luò)的所述區(qū)域內(nèi)的轉(zhuǎn)移路由器���,該轉(zhuǎn)移路由器包括一個或多個第一端口和一個第二端口��,其中第一端口通過穿過網(wǎng)絡(luò)的一個或多個隧道被耦合到對等路由器����,并且轉(zhuǎn)移路由器被配置為將其通過一個或多個隧道接收到的分組轉(zhuǎn)發(fā)到第二端口����;耦合到轉(zhuǎn)移路由器的第二端口的流量處理器,并且所述流量處理器適合于響應(yīng)于流量的特性指導(dǎo)一個或多個對等路由器通過一個或多個隧道����,而不是通過第一路由來轉(zhuǎn)發(fā)想去往目標地址的分組,以及處理經(jīng)由轉(zhuǎn)移路由器通過隧道被轉(zhuǎn)發(fā)的分組����,以及將經(jīng)處理的分組中的至少一些傳送到目標地址。此外����,根據(jù)本發(fā)明的實施例,還提供了一種用于通信的裝置��,包括第2層交換機��,該交換機位于可通過其訪問目標地址的子網(wǎng)中;第3層分組路由器����,其包括第一和第二端口,其中第一端口被耦合以接收來自網(wǎng)絡(luò)的通信流量��,該流量包括想去往目標地址的分組�����,并且第二端口被耦合到第2層交換機�;以及流量處理器,該流量處理器適合于致使第3層分組路由器經(jīng)由第2層交換機將想去往目標地址的分組轉(zhuǎn)移到流量處理器�����,并且該流量處理器還適合于處理經(jīng)轉(zhuǎn)移的分組�,并將經(jīng)處理的分組返回到第2層交換機,以便致使第2層交換機將經(jīng)處理的分組傳送到目標地址�����。根據(jù)本發(fā)明的實施例�����,還提供了一種計算機軟件產(chǎn)品����,該計算機軟件產(chǎn)品由計算機與至少包括第一、第二和第三端口的第3層分組路由器協(xié)作使用���,其中第一端口被耦合以接收來自網(wǎng)絡(luò)的通信流量�����,該流量包括想去往目標地址的分組����,該目標地址可經(jīng)由路由器的第二端口來訪問�����,并且該計算機被耦合到第三端口�����,該產(chǎn)品包括存儲有計算機指令的計算機可讀介質(zhì)��,所述指令在被計算機所讀取時�����,致使計算機指導(dǎo)路由器將想去往目標地址的分組轉(zhuǎn)移到第三端口,并且致使計算機處理經(jīng)轉(zhuǎn)移的分組����,以及將經(jīng)處理的分組經(jīng)由第三端口返回到路由器,以便致使路由器將經(jīng)處理的分組從第三端口傳送到第二端口���,以用于遞送到目標地址����。從以下結(jié)合附圖對本發(fā)明實施例的詳細描述中��,將更全面地理解本發(fā)明����。圖1的框圖示意性地示出了根據(jù)本發(fā)明的實施例的計算機網(wǎng)絡(luò)的受保護區(qū)域;圖2的流程圖示意性地示出了根據(jù)本發(fā)明的實施例的用于分組轉(zhuǎn)移的方法����;圖3的流程圖示意性地示出了根據(jù)本發(fā)明的實施例的用于配置路由器的方法;圖4的框圖示意性地示出了根據(jù)本發(fā)明的實施例的網(wǎng)絡(luò)內(nèi)被用于分組注入的隧道��;圖5的框圖示意性地示出了根據(jù)本發(fā)明的另一實施例的網(wǎng)絡(luò)的受保護區(qū)域����;圖6的框圖示意性地示出了根據(jù)本發(fā)明的另一實施例的網(wǎng)絡(luò)的受保護區(qū)域。具體實施例方式圖1的框圖示意性地示出了根據(jù)本發(fā)明的實施例的通信網(wǎng)絡(luò)20��。保衛(wèi)設(shè)備22用作流量處理器���,它過濾出被定向到網(wǎng)絡(luò)20的受保護區(qū)域24中的目標地址的惡意流量��。受保護區(qū)域24通過第3層路由器28與廣域網(wǎng)(WAN)26通信���,其中第3層路由器通常是因特網(wǎng)協(xié)議(IP)路由器,廣域網(wǎng)通常是因特網(wǎng)����。受保護區(qū)域包括各種其他的網(wǎng)絡(luò)元件,例如服務(wù)器30和內(nèi)部路由器32�、34,以及在該圖中為了簡化而省略掉的其他計算機�����、交換機和局域網(wǎng)(LAN)�����。雖然并非一定,但是受保護區(qū)域24通常包括諸如企業(yè)網(wǎng)或校園網(wǎng)之類的專用網(wǎng)絡(luò)�,或者由因特網(wǎng)服務(wù)提供商(ISP)所操作的網(wǎng)絡(luò)。在本專利申請的上下文中以及在權(quán)利要求中����,術(shù)語“第2層”和“第3層”的用法與其傳統(tǒng)意義一致,該傳統(tǒng)意義是由公知的開放式系統(tǒng)接口(OSI)模型所給出的����。因此,第2層指的是數(shù)據(jù)鏈路層�����,并且包括例如由以太網(wǎng)���、局域網(wǎng)(LAN)�、交換機和其他組件所提供的媒體訪問控制(MAC)功能��。第3層指的是網(wǎng)絡(luò)層�,并且包括諸如IP分組路由之類的功能。雖然在下文中描述的實施例具體參考以太網(wǎng)和IP以及某些常見的以太網(wǎng)和IP設(shè)備類型和路由協(xié)議���,但是本發(fā)明的原理可以在已作必要修正的情況下被類似地應(yīng)用于使用其他協(xié)議和設(shè)備的網(wǎng)絡(luò)�。為了簡明而清晰,在下文中將參考保護服務(wù)器30(也可以被稱為“受難者”或“目標”)免受拒絕服務(wù)(DoS)攻擊來描述本發(fā)明的某些方面�����。但是�,將會理解�����,保衛(wèi)設(shè)備22通?����?梢员慌渲脼椴粌H保護服務(wù)器30���,還保護受保護區(qū)域24中的其他計算機���。此外,可以聯(lián)系路由器28或區(qū)域24中其他類型的其他路由器或交換機來部署多個保衛(wèi)設(shè)備����。通常,保衛(wèi)設(shè)備22包括通用計算機����,它在軟件上被編程�����,以執(zhí)行這里所描述的功能���。可替換地����,保衛(wèi)設(shè)備22可以以專用硬件邏輯的形式或使用硬件和軟件元素的組合來實現(xiàn)。保衛(wèi)設(shè)備可以是獨立的單元�����,或者����,它也可以與其他通信或計算設(shè)備集成在一起,所述其他通信或計算設(shè)備例如是路由器28��、防火墻或另一入侵檢測系統(tǒng)(未示出)���。雖然為了簡化�����,保衛(wèi)設(shè)備在這里被示出和描述為單個的離散單元��,但是保衛(wèi)設(shè)備的功能實際上可以被分布在多個物理單元上���,這些物理單元被配置和分布在多個不同位置上。路由器28(被標記為R1��,或者也可稱為“轉(zhuǎn)移自路由器(divert-fromrouter)”)在第一端口35上接收來自WAN26的分組�����。在正常網(wǎng)絡(luò)狀況下��,當(dāng)路由器28接收到被尋址到服務(wù)器30的IP地址(在下文中被稱為“目標地址”)的分組時�,它只是經(jīng)由端口39或41而將分組傳遞到服務(wù)器30。如圖所示���,路由器32和34(被標記為R2和R3)中的任意一個都能夠?qū)⒎纸M傳遞到服務(wù)器30�����。選擇端口39和41中的哪個端口用于向服務(wù)器30轉(zhuǎn)發(fā)流量通常由路由器28所保存的路由表來確定�����。圖2的流程圖示意性地示出了根據(jù)本發(fā)明的實施例的用于向保衛(wèi)設(shè)備22轉(zhuǎn)移流量的方法�����。在轉(zhuǎn)移發(fā)起步驟50處����,在檢測到異常的流量狀況時,路由器28被指導(dǎo)向保衛(wèi)設(shè)備22轉(zhuǎn)移想去往服務(wù)器的流量���,其中所述異常的流量狀況可能指示出對服務(wù)器30的DoS攻擊�����。用于檢測異常流量狀況的方法和標準例如在上述美國和PCT專利申請中有所描述���。異常流量特性可以被保衛(wèi)設(shè)備、服務(wù)器30或區(qū)域24中的其他元件所檢測���,并且指示路由器28和其他網(wǎng)絡(luò)元件開始流量轉(zhuǎn)移的指令可以來自保衛(wèi)設(shè)備本身或來自區(qū)域24中的另一元件�����。轉(zhuǎn)發(fā)是通過如下方式實現(xiàn)的指示路由器28改變其路由表��,以使尋址到服務(wù)器30的流量經(jīng)由端口37而通過轉(zhuǎn)移路徑36被路由到保衛(wèi)設(shè)備�。用于實現(xiàn)該步驟的方法將在下文中描述。在接收到改變其路由表的指令之后���,在轉(zhuǎn)移步驟52處����,路由器28將想去往服務(wù)器30的所有流量都轉(zhuǎn)移到保衛(wèi)設(shè)備22���。保衛(wèi)設(shè)備在分組處理階段54處處理每個分組,以便防止惡意流量到達服務(wù)器30��。例如���,在分組過濾步驟56處�,保衛(wèi)設(shè)備22可以過濾分組�,以便檢測作為非法惡意流量的特性的某些特征。附加地或替換地���,保衛(wèi)設(shè)備可以嘗試確定每個分組的源地址是真實的���,還是欺騙性的�����。用于分組過濾和用于區(qū)分真實和非法源地址的方法在上述美國和PCT專利申請以及其他公布和專利申請中有所描述�,例如2002年8月29日遞交的美國專利申請10/232,993�����,該申請已被轉(zhuǎn)讓給本專利申請的受讓人����,并且其公開文本通過引用而被結(jié)合于此。在禁止步驟58處��,保衛(wèi)設(shè)備22禁止遞送表現(xiàn)出惡意的分組���。通常���,保衛(wèi)設(shè)備或者丟棄可疑分組,或者將它們以低優(yōu)先級遞送到服務(wù)器30�,以使這些分組不會阻礙服務(wù)器處理已被保衛(wèi)設(shè)備認證的正常流量�。在分組返回步驟60處���,保衛(wèi)設(shè)備22將過濾后的流量經(jīng)由返回路徑38返回到路由器28的端口37�。然后在轉(zhuǎn)發(fā)步驟62處�����,路由器28通過前向路徑40或42而經(jīng)由路由器32(R2)或路由器34(R3)來轉(zhuǎn)發(fā)流量����。沿著從保衛(wèi)設(shè)備到目標地址的路徑的這個下一路由器在下文中被稱為“下一跳路由器”。注意����,路由器28的常規(guī)路由表在步驟50處被更改���,以列出端口37�,作為去往服務(wù)器30的路由�����?;谠撀酚杀?���,當(dāng)在步驟60處接收到來自保衛(wèi)設(shè)備22的尋址到服務(wù)器30的分組時�,路由器通常以無休止的循環(huán)形式將分組發(fā)回端口37。用于繞過這種正常的路由器行為以致使分組被轉(zhuǎn)發(fā)到下一跳路由器的技術(shù)將在下文中被描述���?����?商鎿Q地����,保衛(wèi)設(shè)備22可以被直接連接到下一跳路由器的端口��,但是這種配置非常昂貴��,這是因為為了支持這種配置需要額外的配線和端口基礎(chǔ)設(shè)施����。圖3的流程圖示意性地示出了根據(jù)本發(fā)明的實施例的轉(zhuǎn)移初始步驟50的細節(jié)。如上所述�����,在路由器28的路由表中通常執(zhí)行兩種改變在轉(zhuǎn)移配置步驟66處,路由器28被配置為將想去往服務(wù)器30的地址的流量經(jīng)由端口37轉(zhuǎn)移到保衛(wèi)設(shè)備22��。在轉(zhuǎn)發(fā)配置步驟68處���,路由器被配置為將來自保衛(wèi)設(shè)備22的流量經(jīng)由適當(dāng)?shù)南乱惶酚善?例如路由器32或34)轉(zhuǎn)發(fā)到服務(wù)器30���。流量轉(zhuǎn)移方法通常,出于在步驟66處的流量轉(zhuǎn)移的目的��,保衛(wèi)設(shè)備22向路由器28發(fā)布路由通告�����,例如使用公知的邊界網(wǎng)關(guān)協(xié)議(BGP)的BGP通告���。BGP在Rekhter等人的因特網(wǎng)工程任務(wù)組(IETF)的請求注釋(RFC)1771(題為“ABorderGatewayProtocol4(BGP-4)”(1995))中被詳細描述��,其通過引用而被結(jié)合于此�����。該RFC和在下文中引用的其他IETFRFC可在www.ietf.org/rfc.html處獲得。BGP通告致使路由器28修改其路由表�,以使路徑36被列為去往目標地址的最佳路徑���。當(dāng)受保衛(wèi)設(shè)備保護的網(wǎng)絡(luò)區(qū)域通過一個或多個對等路由器(例如,如以下圖4所示)而被連接到WAN26的其他區(qū)域時����,BGP通告也可以被發(fā)布到對等路由器。BGP具有固有的如下附加優(yōu)點BGP路由算法將在保衛(wèi)設(shè)備22發(fā)生故障的情況下���,自動取消去往保衛(wèi)設(shè)備22的轉(zhuǎn)移����。通常�����,受保護區(qū)域24構(gòu)成網(wǎng)絡(luò)20內(nèi)的自治系統(tǒng)(AS)��,它與WAN26中的其他自治系統(tǒng)通信�����。給定AS內(nèi)的路由器使用內(nèi)部BGP(iBGP)通告來彼此通信�,并且這是保衛(wèi)設(shè)備22在步驟66處發(fā)送給路由器28的通告類型?���?商鎿Q地�����,根據(jù)保衛(wèi)設(shè)備和受保護區(qū)域24內(nèi)的路由器的配置��,也可以使用外部BGP(eBGP)通告��。為了確保保衛(wèi)設(shè)備的BGP通告推翻任意先前的路由判決�,保衛(wèi)設(shè)備通常在其BGP通告中使用比先前通告中使用的前綴更長(更特殊的)的前綴來代表目標地址�����。保衛(wèi)設(shè)備甚至可以在BGP宣告中使用服務(wù)器30的完整IP地址�?����?商鎿Q地�����,保衛(wèi)設(shè)備22可以在設(shè)置在其BGP通告中的“權(quán)重”字段中分配高值�����,這將致使通告推翻先前基于具有較低權(quán)重的通告的路由判決�。在步驟66處由保衛(wèi)設(shè)備22發(fā)布的BGP通告致使路由器28改變其路由表��,但是優(yōu)選地不影響路由器32和34的路由表��。為此���,保衛(wèi)設(shè)備在BGP通告中插入“非廣告”和“非輸出”團體字符串(communitystring)�����。包括這些字符串可防止路由器28傳播該BGP通告�����,并因而將通告的影響限制到所需路由器�。保衛(wèi)設(shè)備還可以添加其他的團體字符串���,例如允許系統(tǒng)操作者研究路由器的日志以標識由保衛(wèi)設(shè)備發(fā)起的路由判決的標識字符串���。流量轉(zhuǎn)發(fā)在下文中描述了用于實現(xiàn)步驟68的多個替換性技術(shù)。通常,保衛(wèi)設(shè)備22向路由器28發(fā)送指示用于轉(zhuǎn)發(fā)的下一跳路由器的控制消息(例如使用BGP)�。為此,保衛(wèi)設(shè)備可被以用于區(qū)域24中的每個目標地址的下一跳路由器的標識來預(yù)先編程����。可替換地���,保衛(wèi)設(shè)備可以使用自治的下一跳發(fā)現(xiàn)機制來確定應(yīng)該用于每個目標地址的下一跳路由器��。用于下一跳發(fā)現(xiàn)的方法將在下文中描述���。這些方式使保衛(wèi)設(shè)備能夠動態(tài)響應(yīng)于網(wǎng)絡(luò)配置的改變。現(xiàn)在將描述用于在步驟68處配置路由器28的多種示例性技術(shù)1)基于目的地的策略路由(PBR-DST)這是一種靜態(tài)方法�����,它使用由很多路由器提供的特殊策略路由(PBR)設(shè)施��。這些設(shè)施允許系統(tǒng)操作者創(chuàng)建用于某種流量的特殊路由規(guī)則��,這種路由規(guī)則推翻了路由器的常規(guī)路由表����。在圖1所示示例中�����,PBR被用于對路由器28編程,以將在端口37上接收到的以服務(wù)器30的IP地址作為目的地址的那些分組轉(zhuǎn)發(fā)到下一跳路由器(路由器32或34)�。此規(guī)則推翻了路由器28的主路由表中關(guān)于該IP地址的條目,該條目在步驟66處已被BGP通告編程為將這種流量在端口37上轉(zhuǎn)發(fā)到保衛(wèi)設(shè)備22���。路由器28只將該PBR規(guī)則應(yīng)用于它在端口37上接收到的分組�。保衛(wèi)設(shè)備22可以預(yù)先配置PBR規(guī)則��,從而當(dāng)它在步驟50(圖2)處激活對于服務(wù)器30的流量的轉(zhuǎn)移時�,PBR轉(zhuǎn)發(fā)同時起作用,而無需實時地重配置路由器28�����。在主要參考由Cisco系統(tǒng)公司(加州SanJose)提供的路由器的領(lǐng)域中,術(shù)語“PBR”是公知的。CiscoPBR例如在如下文獻中有所描述在www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_configuration_guide_chapter09186a00800c60d2.html處可獲得的題為“ConfiguringPolicy-basedRouting”(2004)的文獻��,該文獻通過引用而被結(jié)合于此。類似的設(shè)施也由其他路由器制造商提供����,在某些情況下具有不同的名稱���。例如�����,由JuniperNetworks(加州Sunnyvale)提供的路由器提供了“基于過濾器的轉(zhuǎn)發(fā)”(FBF)����,其具有與PBR類似的能力�。FBF在Semeria的“FilterBasedForwarding”(2001)中有所描述,該文獻在www.juniper.net/solutions/literature/white_papers/552004.pdf處可獲得��,該文獻也通過引用被結(jié)合于此。在FBF的情況下�,過濾器配置可以被用于指定服務(wù)器30的IP目的地址�;路由實例配置指定被用于轉(zhuǎn)發(fā)與經(jīng)配置的過濾器相匹配的分組的一個或多個路由表����;接口路由配置指定路由實例����,該路由實例將被用于在路由器的每個端口處接收到的與過濾器相匹配的分組����。在下文中將詳細描述具體基于JuniperFBF的轉(zhuǎn)發(fā)技術(shù)��。以下列表I給出了一系列命令,這些命令可以被用于對路由器28編程以用于從保衛(wèi)設(shè)備22到下一跳路由器32的流量的PBR-DST轉(zhuǎn)發(fā)���,如圖1所示�����。該列表使用Cisco路由器的編程協(xié)定�����。在括弧<...>中的術(shù)語將被適當(dāng)?shù)膮?shù)值所取代。每一行代表一個命令�����,每個命令應(yīng)該在后跟<ENTER>的情況下被寫入到路由器接口中�。列表I-用于PBR-DST的路由器編程R7200(config)#interfaceFastEthernet0/2R7200(config-if)#description<Port37>R7200(config-if)#ipaddress<IPaddressofport37><IPmaskofport37>R7200(config-if)#noipdirected-broadcastR7200(config-if)#ippolicyroute-map<PBR-nameofguarddevice22>R7200(config-if)#exitR7200(config)#ipaccess-listextended<Nameofserver30>R7200(config-ext-nacl)#permitipanyhost<IPaddressofserver30>R7200(config-ext-nacl)#exitR7200(config)#route-map<PBR-nameofguarddevice22>permit10R7200(config-route-map)#matchipaddress<Nameofserver30>R7200(config-route-map)#setipnext-hop<IPaddressofrouter32>R7200(config-route-map)#exitR7200(config)#route-map<PBR-nameofguarddevice22>permit100R7200(config-route-map)#descriptionletthruallotherpacketswithoutmodifyingnext-hop如上所述,PBR-DST是一種靜態(tài)的轉(zhuǎn)發(fā)方法����。換句話說,一旦系統(tǒng)操作者已經(jīng)編程出指示流量轉(zhuǎn)移情況下的下一跳路由器的PBR規(guī)則�,則所有經(jīng)轉(zhuǎn)移的分組就將通過下一跳路由器��,直到PBR規(guī)則被重新編程����。使用PBR的動態(tài)轉(zhuǎn)發(fā)方法將在下文中有所描述����。2)VPN路由和轉(zhuǎn)發(fā)(VRF)本發(fā)明的某些實施例利用了由很多路由器制造商所提供的虛擬專用網(wǎng)(VPN)路由能力��。系統(tǒng)操作者通常通過網(wǎng)絡(luò)隧道協(xié)議而使用這些設(shè)施來限定共享同一物理基礎(chǔ)設(shè)施的多個VPN�。例如�,Cisco路由器具有被稱為VPN路由和轉(zhuǎn)發(fā)(VRF)的特征��,如“DesigningMPLSExtensionsforCustomerEdgeRouters”(產(chǎn)品公告No.1575���,2003)所描述的,該產(chǎn)品公告可以在www.cisco.com/warp/public/cc/pd/rt/2600/prodlit/1575_pp.htm處獲得并且該公告通過引用被結(jié)合于此�����。在題為“MultiprotocolLabelSwitchingArchitecture”(2001年1月)的IETFRFC3031中,Rosen等人詳細描述了MPLS。VRF在已作必要修正的情況下可以被類似地應(yīng)用于其他類型的VPN,例如經(jīng)物理接口或經(jīng)其他類型隧道接口的VPN服務(wù),所述隧道接口例如是通用路由封裝(GRE)或第2層隧道協(xié)議(L2TP)的隧道��。很多VPN實現(xiàn)方式都使用虛擬網(wǎng)橋式的局域網(wǎng),如IEEE802.1Q標準所指定的�。根據(jù)該標準�,VLAN標簽被添加到每個以太往幀���,從而限定在其上傳輸幀的虛擬局域網(wǎng)(VLAN)��。在路由器28的給定端口上的每個VLAN都被路由器視為分離的虛擬端口��,并且可以具有其自身的路由表���,該路由表與主(本地VLAN)路由表相分離��。該特征被用于本實施例。在本發(fā)明的一個實施例中�����,在路由器28的端口37上為由保衛(wèi)設(shè)備22所保護的每個目的地(例如服務(wù)器30)或每組目的地配置唯一的VLAN。該技術(shù)在這里被稱為基于目的地的VRF�����,或VRF-DST�。為了在圖1所示的系統(tǒng)中實現(xiàn)VRF-DST���,在路由器28的端口37上配置兩個接口●本地VLAN接口,該接口被用于經(jīng)由端口35接收到的在路徑36上被轉(zhuǎn)移到保衛(wèi)設(shè)備22的流量���,如路由器28的主路由表所指定的��。(在步驟66處,保衛(wèi)設(shè)備22使用本地VLAN接口將BGP通告發(fā)送到發(fā)起流量轉(zhuǎn)移的路由器28�。)●第二VLAN接口,該接口被用于根據(jù)為該VLAN所配置的VRF表�����,經(jīng)路徑38將接收自保衛(wèi)設(shè)備22的流量注入到下一跳路由器32中��。注意,這是一種靜態(tài)轉(zhuǎn)發(fā)方法����,正如PBR-DST那樣。動態(tài)變量將在下文中描述�����。列表II提供了一系列命令�,這些命令可被用于對路由器28和32編程�����,以實現(xiàn)從保衛(wèi)設(shè)備22到服務(wù)器30的VRF-DST轉(zhuǎn)發(fā)。與上述列表I一樣�,該列表使用Cisco路由器編程協(xié)定�����。在本示例中��,端口37的本地VLAN接口被假設(shè)具有IP地址192.168.8.1���,而被用于路徑38上的流量的VLAN接口具有IP地址192.168.5.1�。在與端口37的相應(yīng)接口相同的子網(wǎng)上,保衛(wèi)設(shè)備22被類似地配置成對路徑36和38具有分離VLAN接口。連接到路徑40的路由器28的端口39被假設(shè)具有IP地址192.168.250.1/24����,而服務(wù)器30具有IP地址192.168.240.2/24。本地VLAN被配置為VLAN1��,而VLAN5被用于從保衛(wèi)設(shè)備22到路由器32的流量注入。對于系統(tǒng)操作者的指示以斜體字給出。列表II-用于VRF-DST的路由器編程通過來自VLAN5上的保衛(wèi)設(shè)備22的BGP通告�����,配置路由器28上從端口39經(jīng)由路由器32到服務(wù)器30的路由iproute192.168.240.0255.255.255.0192.168.5.1在路由器28上創(chuàng)建VRF表ipvrfGuard-vrfrd16801route-targetexport16801route-targetimport16801在路由器28上配置本地VLANinterfacefastEthernetl/0.1encapsulationdotlQ1nativedescription《VLANFORGUARD-DIVERSION》ipaddress192.168.8.1255.255.255.0noipdirected-broadcast在路由器32上配置VLAN接口InterfacefastEthernet1/0.5encapsulationdotlQ5description《VLANFORGUARD-INJECTION》ipvrfforwardingGuard-vrfipaddress192.168.5.1255.255.255.0配置從路由器32到服務(wù)器30的接口interfacefastEthernet2/0description《LINKTOSERVER》ipaddress192.168.250.1255.255.255.0在替換實施例中,可以建立多個VPN,以便允許保衛(wèi)設(shè)備22選擇將用于想去往服務(wù)器30的分組的路由�。為此��,在圖1所示的系統(tǒng)中���,在路由器28的端口37上配置了多個VLAN�����,其中每個VLAN對應(yīng)于去往服務(wù)器30的一個不同路由��。例如����,VLAN5可以對應(yīng)于經(jīng)由路由器32去往服務(wù)器30的路徑40���,而VLAN6對應(yīng)于經(jīng)由路由器34的路徑42��。在這種情況下�����,路由器28在端口37上(至少)具有三個虛擬端口���,其中每個虛擬端口具有其自己的路由表如上所述����,在本地VLAN上的分組使用主路由表���,而在VLAN5和VLAN6上的分組使用它們自己各自的VRF表來從保衛(wèi)設(shè)備22向服務(wù)器30路由分組��。路由表和接口的配置是用類似于以上表II中給出的命令來執(zhí)行的����。保衛(wèi)設(shè)備22在動態(tài)選擇用于想去往服務(wù)器30的每個分組的路由的過程中可以使用這種多VLAN設(shè)施�。因此����,在步驟60處(圖2)�����,保衛(wèi)設(shè)備22將VLAN標簽插入到它經(jīng)路徑38發(fā)送到路由器28的分組中����,并且將VLAN值設(shè)置為5或6,以便致使路由器按需要經(jīng)由路由器32或路由器34來轉(zhuǎn)發(fā)分組�。保衛(wèi)設(shè)備22通常可以通過監(jiān)控在系統(tǒng)20中的路由器間交換的路由協(xié)議消息����,而根據(jù)網(wǎng)絡(luò)改變狀況或保衛(wèi)設(shè)備可以獲知的其他因素來選擇VLAN標簽值(并因此選擇路由)。3)服務(wù)類型策略路由(ToS-PBR)IP分組傳統(tǒng)上包括位于其頭部的ToS字段�����。該字段最初想要允許為網(wǎng)絡(luò)中的不同IP分組定義不同的服務(wù)等級����。但是,在本實施例中����,在步驟60處(圖2)��,保衛(wèi)設(shè)備22在它經(jīng)路徑38發(fā)送到路由器28的分組的IP頭部中插入ToS字段值�,以便控制這些分組的前向路由��。PBR在路由器28的端口37上被配置��,以便依賴于分組的ToS值來選擇前向分組路由�����。因此�����,例如��,路由器28上的PBR可以被編程為使在端口37上接收到的具有服務(wù)器30的目的地址并且ToS=2的分組被轉(zhuǎn)發(fā)到路由器32�����。此外�,保衛(wèi)設(shè)備22可以使用ToS字段來動態(tài)選擇將用于想去往服務(wù)器30的分組的路由。例如��,路由器28上的PBR規(guī)則指定被尋址到服務(wù)器30的ToS=2的分組被轉(zhuǎn)發(fā)到路由器32,而ToS=3的分組被轉(zhuǎn)發(fā)到路由器34��。與前一實施例相同���,保衛(wèi)設(shè)備22可以根據(jù)網(wǎng)絡(luò)改變狀況或保衛(wèi)設(shè)備可以獲知的其他因素來選擇ToS(并因此選擇路由)。4)VLAN策略路由(VLANPBR)該技術(shù)結(jié)合了上述技術(shù)(1)和(2)的方面����。與技術(shù)(2)的多VPN變量相同�,VLANPBR允許保衛(wèi)設(shè)備22動態(tài)選擇分組注入路由。在本實施例中���,路由器28使用在端口37上接收到的分組的VLAN標簽作為用于選擇適當(dāng)PBR規(guī)則的過濾標準��。因此�,例如�����,路由器可以被配置為經(jīng)由路徑40將VLAN5上想去往服務(wù)器30的分組轉(zhuǎn)發(fā)到路由器32�����,而經(jīng)由路徑42將VLAN6上想去往服務(wù)器30的分組轉(zhuǎn)發(fā)到路由器34。路由表和接口是用類似于以上列表I和II所給出的命令來配置的�����。在步驟60處�����,保衛(wèi)設(shè)備22根據(jù)所需路由來選擇它發(fā)送到路由器28的分組中的VLAN標簽的值����。5)FBF實例路由(instance-basedrouting)如上所述,JuniperFBF允許在路由器28中創(chuàng)建分離的路由表��,以路由保衛(wèi)設(shè)備22經(jīng)路由38發(fā)送到路由器的流量�。路由器28被用FBF規(guī)則編程,該規(guī)則指導(dǎo)路由器使用此分離的路由表(在下文中被稱為保衛(wèi)接口路由表)來路由從保衛(wèi)設(shè)備22到達端口37的所有流量���。保衛(wèi)接口路由表被填充以來自路由器28的主路由表中的所有路由���,除了由保衛(wèi)設(shè)備22明確指定的那些路由之外。由保衛(wèi)設(shè)備指定的路由條目被由保衛(wèi)設(shè)備所插入的特殊團體字符串所標識��。因此����,在圖1所示的示例中��,保衛(wèi)設(shè)備22將在保衛(wèi)接口路由表中創(chuàng)建一個條目��,該條目指示想去往服務(wù)器30的流量應(yīng)該被轉(zhuǎn)發(fā)到路由器32��。即使當(dāng)保衛(wèi)設(shè)備在步驟50處修改路由器28的主路由表以將來自路由器28的想去往服務(wù)器30的所有其他流量轉(zhuǎn)移到保衛(wèi)設(shè)備時,該條目也將被保持�����。保衛(wèi)設(shè)備可以使用適當(dāng)?shù)腂GP通告來修改保衛(wèi)接口路由表中的條目�����。因此���,本基于FBF的技術(shù)允許保衛(wèi)設(shè)備響應(yīng)于網(wǎng)絡(luò)狀況或其他需求而動態(tài)修改分組路由����。以下列表III提供了一系列命令����,這些命令可以被用于對路由器28編程��,以使用JuniperFBF來執(zhí)行從保衛(wèi)設(shè)備22到服務(wù)器30的分組注入���。出于本示例的目的,假設(shè)路由器28的端口37具有IP地址192.168.8.16/24�����;路由器32和34的面向路由器28的端口分別具有IP地址192.168.240.2/24和192.168.230.2/24�����;并且服務(wù)器30具有IP地址192.168.240.2/24�����。對于系統(tǒng)操作者的指示以斜體字給出����。列表III-用于FBF的路由器編程配置端口37interfaces{ge-0/0/0{unit0{familyinet{filter{inputguard-filter;}address192.168.8.16/24�����;}}}}配置到路由器32的端口39interfaces{fe-0/0/0{unit0{familyintet{address192.168.250.1/24配置到路由器34的端口41interfaces{fie-0/0/0{unit0{familyinet{address192.168.230.1/24配置端口37的過濾器�����,以便讓想去往端口35的分組參考主路由表,而所有其他分組都由保衛(wèi)接口路由表來處理filterguard-filter{term10{from{destination-port179�;}thenaccept;}term20{thenrouting-instanceguard-interface-routing-table�����;}}配置路由實例(向路由器28添加保衛(wèi)接口路由表)routing-instances{Guard-interface-routing-tableinstance-typeforwarding��;routing-options{instance-importwithout-guard-announcement����;auto-export�����;/*無路由輸出}}定義實例輸入策略(“without-guard-Annoucement(無保衛(wèi)通告)“)policy-options{policy-statementwithout-guard-announcement{term10{from{instancemaster��;/*主路由表protocolbgp����;communityriverhead;/*特殊團體/*字符串}thenreject�;}term20{thenaccept��;}}}6)基于隧道的轉(zhuǎn)發(fā)圖4的框圖示意性地示出了根據(jù)本發(fā)明的實施例分別用于從保衛(wèi)設(shè)備22到服務(wù)器30和69的分組注入的隧道71和73的用法��。隧道71和73可以使用諸如MPLS����、GRE����、IPIP或L2TP這樣的任何本領(lǐng)域公知的適當(dāng)網(wǎng)絡(luò)隧道協(xié)議來限定。如上所述����,MPLS在RFC3031中有所描述。GRE在題為“GenericRoutingEncapsulation”(2000)的IETFRFC2784中由Farinacci等人所描述���。IPIP在題為“IPEncapsulationwithinIP”(1996)的IETFRFC2003中由Perkins所描述���。這里通過引用而并入了這兩個文獻。如圖4所示�����,隧道71和73分別將保衛(wèi)設(shè)備22連接到路由器32和34。為了在步驟60處經(jīng)由路由器28向服務(wù)器30或69注入分組�����,保衛(wèi)設(shè)備根據(jù)所選隧道協(xié)議以合適的標簽來封裝分組��。在每個分組中的標簽標識出分組將穿越的隧道�。路由器28被配置為支持所選協(xié)議,從而在接收到經(jīng)封裝的分組時��,路由器28只是沿著預(yù)先配置的標簽交換路徑(即通過適當(dāng)?shù)乃淼?來轉(zhuǎn)發(fā)分組��,而無需參考其自己的路由表或執(zhí)行任何其他的路由判決���。在接收到經(jīng)封裝的分組時��,路由器32或34將分組解封裝���,然后根據(jù)分組的目的IP地址���,將其傳遞到服務(wù)器30或69�。注意��,在很多網(wǎng)絡(luò)中,可建立多個從保衛(wèi)設(shè)備22通向服務(wù)器30的隧道��。在圖1所示示例中����,例如,可以沿著去往路由器32的路徑40建立一個隧道�,并沿著去往路由器34的路徑42建立另一隧道。在步驟60處���,保衛(wèi)設(shè)備22隨后可以響應(yīng)于網(wǎng)絡(luò)狀況或其他因素的變化而動態(tài)選擇隧道之一�。受保護網(wǎng)絡(luò)中的集中轉(zhuǎn)移圖5的框圖示意性地示出了根據(jù)本發(fā)明的實施例的網(wǎng)絡(luò)的受保護區(qū)域70���,在該區(qū)域中�����,對等路由器74被配置以向保衛(wèi)設(shè)備22轉(zhuǎn)移所選流量��。受保護區(qū)域通常被配置為經(jīng)由對等路由器74與其他自治系統(tǒng)72通信的自治系統(tǒng)(AS)�����。例如��,受保護區(qū)域70可以包括校園或企業(yè)網(wǎng)���,或者由因特網(wǎng)服務(wù)提供商(ISP)維護的接入網(wǎng)絡(luò)����,而系統(tǒng)72是諸如因特網(wǎng)之類的WAN的一部分或者屬于其他實體�。但是,更一般而言���,對等路由器74可以包括被耦合以接收來自網(wǎng)絡(luò)給定區(qū)域外部的通信流量并將流量傳送到區(qū)域內(nèi)的內(nèi)部路由器(以及其他網(wǎng)絡(luò)元件)的一個或多個路由器的任意群組�。在正常的流量狀況下�,當(dāng)對等路由器74接收到來自系統(tǒng)72的想去往服務(wù)器30的流量時,對等路由器經(jīng)由區(qū)域70中的內(nèi)部路由器76�、77來轉(zhuǎn)發(fā)流量,使流量通過區(qū)域70而到達邊緣路由器80���。然后���,邊緣路由器可能經(jīng)由位于操作服務(wù)器的用戶的房屋內(nèi)的外部路由器82而將流量轉(zhuǎn)發(fā)到服務(wù)器30�。當(dāng)需要流量轉(zhuǎn)移時,例如在服務(wù)器30上有可疑的DDoS攻擊期間��,區(qū)域70內(nèi)的轉(zhuǎn)移自路由器78將想去往服務(wù)器30的流量轉(zhuǎn)移到保衛(wèi)設(shè)備22。(通常�����,轉(zhuǎn)移自路由器也充當(dāng)用于正常流量的中間路由器之一��。)但是�,在本實施例中,還必須確保由對等路由器74接收到的想去往服務(wù)器30的所有流量都被轉(zhuǎn)發(fā)到轉(zhuǎn)移自路由器78�����,而不會經(jīng)由另一路徑���,例如通過路由器77��,而繞過轉(zhuǎn)移自路由器���。雖然保衛(wèi)設(shè)備22可以通過在步驟50(圖2)處將BGP通告發(fā)送到區(qū)域70中的所有路由器來實現(xiàn)這種結(jié)果,但是��,這種通告會帶來相當(dāng)大的開銷��,并且希望將BGP通告限制到較少量的路由器���。為此����,在本實施例中,經(jīng)由轉(zhuǎn)移自路由器78在對等路由器74和保衛(wèi)設(shè)備22之間建立隧道84���。任意合適的隧道協(xié)議都可以被用于此目的���,包括上述MPLS、GRE����、IPIP和L2TP協(xié)議。當(dāng)向保衛(wèi)設(shè)備22的轉(zhuǎn)移被調(diào)用時�����,對等路由器利用適當(dāng)?shù)乃淼罉撕瀬矸庋b想去往服務(wù)器30的分組���,并且將封裝后的分組通過隧道84進行轉(zhuǎn)發(fā)�����。這些隧道穿過中間路由器76����,這些中間路由器76只是沿著預(yù)先定義的標簽交換隧道路徑來轉(zhuǎn)發(fā)經(jīng)隧道封裝的分組�����,而無需參考其自己的路由表���。如MPLS所定義的�����,路由器78可以被配置為出口代理��,這意味著該路由器對經(jīng)隧道84發(fā)送的分組進行解封裝���,并在隧道末端將沒有封裝的原始分組遞送到保衛(wèi)設(shè)備22。這種代理特征使保衛(wèi)設(shè)備自身無需支持隧道協(xié)議���。當(dāng)保衛(wèi)設(shè)備22確定有必要進行分組轉(zhuǎn)移時���,它通過向?qū)Φ嚷酚善?4發(fā)送iBGP通告來激活轉(zhuǎn)移(圖2中的步驟50)。該通告包括非廣告和非輸出字符串����,從而使對等路由器不會將路由改變傳播到區(qū)域70中的任意其他的路由器��。iBGP通告指示路由器74想去往服務(wù)器30的所有流量都應(yīng)該經(jīng)由隧道84被轉(zhuǎn)發(fā)�。(不一定要向轉(zhuǎn)移自路由器78發(fā)送iBGP通告���,因為作為出口代理的轉(zhuǎn)移自路由器在無需執(zhí)行其自己的路由判決的情況下將通過隧道84接收的所有分組傳遞到保衛(wèi)設(shè)備22��。)如先前所述��,由保衛(wèi)設(shè)備22在步驟50處發(fā)送的iBGP通告通常通過在步驟50處的通告中使用比原始通告更長的IP地址前綴���,來推翻用于去往服務(wù)器30的分組的常規(guī)路由的原始BGP通告。當(dāng)在階段54處處理分組之后��,保衛(wèi)設(shè)備22在步驟60(圖2)處將分組傳送回路由器78���。在這種情況下(不同于先前實施例)�,路由器78的主路由表未被保衛(wèi)設(shè)備22所修改����。因此,路由器78將經(jīng)由先前確定的常規(guī)路由將保衛(wèi)設(shè)備22所注入的分組傳遞到服務(wù)器30?��?商鎿Q地����,保衛(wèi)設(shè)備22可以被耦合以經(jīng)由繞過路由器78的另一路由�,例如直接經(jīng)由路由器80��,將處理后的分組傳送到服務(wù)器30����。此外,可替換地或可附加地����,保衛(wèi)設(shè)備22可以(如果效率較低的話)在步驟50處發(fā)送如下的BGP通告該BGP通告指導(dǎo)所有路由器74、76向保衛(wèi)設(shè)備22轉(zhuǎn)發(fā)想去往服務(wù)器30的流量�。在這種情況下,必須確保路由器78和80將仍舊向服務(wù)器30轉(zhuǎn)發(fā)由保衛(wèi)設(shè)備注入的流量�����,而不管BGP通告怎樣��。一種用于實現(xiàn)這種結(jié)果的方法是如上述圖4的實施例那樣使用從保衛(wèi)設(shè)備22到路由器80或路由器82的隧道����。從保衛(wèi)設(shè)備22通向服務(wù)器30的隧道也可以與經(jīng)由隧道84的轉(zhuǎn)移協(xié)作使用��。雖然服務(wù)器30在圖4中被示為位于區(qū)域70的AS外部�,但是上述方法可以類似地應(yīng)用于想去往AS內(nèi)部節(jié)點的流量的轉(zhuǎn)移����。第2層拓撲中的流量轉(zhuǎn)移圖6的框圖示意性地示出了根據(jù)本發(fā)明的另一實施例的網(wǎng)絡(luò)的受保護區(qū)域100。在該拓撲中����,轉(zhuǎn)移自路由器28經(jīng)由第2層交換機104,例如以太網(wǎng)交換機���,而被連接到LAN102中的其他元件�����。LAN還包含保衛(wèi)設(shè)備22和下一跳路由器108和110�����,它們被耦合以將流量轉(zhuǎn)發(fā)到服務(wù)器30��。在第3層級別上���,LAN102的所有元件都屬于同一IP子網(wǎng)�����。當(dāng)保衛(wèi)設(shè)備22指示路由器28激活想去往服務(wù)器30的分組的轉(zhuǎn)移時�,被轉(zhuǎn)移分組通過交換機104而經(jīng)由路徑36被傳送到保衛(wèi)設(shè)備�����。用于注入經(jīng)保衛(wèi)設(shè)備22處理過的流量的路徑38通過交換機104傳回�,而一般不是如上述實施例那樣通過路由器28傳回���。因此����,在第2層拓撲中���,一般無需在路由器28上配置特殊的過濾或其他路由規(guī)則來處理由保衛(wèi)設(shè)備返回的用于轉(zhuǎn)發(fā)到服務(wù)器30的分組�。相反�����,保衛(wèi)設(shè)備22解析路由器108或110的MAC地址,然后經(jīng)由交換機104將分組轉(zhuǎn)發(fā)到適當(dāng)?shù)腗AC地址���。保衛(wèi)設(shè)備可以利用任意本領(lǐng)域公知的合適方法來確定分組將被轉(zhuǎn)發(fā)到的MAC地址����。例如�����,出于這個目的����,保衛(wèi)設(shè)備可以在LAN102上發(fā)布地址解析協(xié)議(ARP)查詢。保衛(wèi)設(shè)備22還可以被配置為保護LAN102上的網(wǎng)絡(luò)元件����,例如服務(wù)器112。在這種情況下���,保衛(wèi)設(shè)備和服務(wù)器112屬于同一IP子網(wǎng)��。因此�����,保衛(wèi)設(shè)備可以通過交換機104將流量直接轉(zhuǎn)發(fā)到服務(wù)器�����,而無需進一步的IP轉(zhuǎn)發(fā)��。下一跳發(fā)現(xiàn)可以使用多種不同方法來告知保衛(wèi)設(shè)備22將被用于向服務(wù)器30轉(zhuǎn)發(fā)流量的路由�����。一種方法是簡單地利用關(guān)于保衛(wèi)設(shè)備想要保護的所有網(wǎng)絡(luò)元件的路由信息來預(yù)先編程保衛(wèi)設(shè)備和/或路由器28����。這種信息被用于在步驟60和62(圖2)處轉(zhuǎn)發(fā)分組����。可替換地����,在本發(fā)明的某些實施例中,保衛(wèi)設(shè)備22被配置為自動獲知被用于向服務(wù)器30和其他網(wǎng)絡(luò)元件轉(zhuǎn)移分組的下一跳路由器的身份���。通常�,保衛(wèi)設(shè)備使用由網(wǎng)絡(luò)20(圖1)中或受保護區(qū)域70(圖4)中的路由器所使用的路由協(xié)議所提供的信息,所述路由協(xié)議例如是BGP或內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)��。常見IGP包括路由信息協(xié)議(RIP)�����、開放式最短路徑優(yōu)先(OSPF)和中間系統(tǒng)到中間系統(tǒng)協(xié)議(IS-IS)���。由路由協(xié)議提供給轉(zhuǎn)移自路由器28(圖1)或路由器78(圖4)的路由信息指示出去往服務(wù)器30的一個或多個可能的下一跳路由器的IP地址����。因此����,如果保衛(wèi)設(shè)備22所看到的路由信息與轉(zhuǎn)移自路由器所看到的路由信息相同,則可以確定在每種情況中使用的下一跳路由器�。在某些情況下,由IGP提供的內(nèi)部路由信息是足夠的��,而在其他情況下���,依賴于保衛(wèi)設(shè)備22和服務(wù)器30是否是同一AS的一部分�����,還需要BGP信息����。為了從轉(zhuǎn)移自路由器接收BGP信息,保衛(wèi)設(shè)備22作為路由器的iBGP鄰居就足夠了�。然后,如BGP協(xié)定所規(guī)定的��,轉(zhuǎn)移自路由器將它接收到的所有BGP通告?zhèn)鞑サ奖Pl(wèi)設(shè)備��。另一方面��,IGP不是以這種方式自動傳播的�。因此,為了共享轉(zhuǎn)移自路由器接收到的IGP通告���,保衛(wèi)設(shè)備22可以通過隧道被連接到與轉(zhuǎn)移自路由器的下一跳路由器相同的下一跳路由器。如圖4所示�,隧道71和73可以被用于此目的。經(jīng)由這些隧道連接���,保衛(wèi)設(shè)備將接收到的關(guān)于下一跳路由器32和34的IGP路由信息將與路由器28將接收到的IGP路由信息相同�,所述路由器28是通過物理連接而連接到路由器32和34的。如上所述���,當(dāng)服務(wù)器30與轉(zhuǎn)移自路由器不屬于同一AS時���,保衛(wèi)設(shè)備22可能需要IGP和BGP信息兩者,以便確定用于向服務(wù)器轉(zhuǎn)發(fā)流量的下一跳路由器�����。在這種情況下��,保衛(wèi)設(shè)備收集BGP信息以獲知從其自己的AS到服務(wù)器30的一個(或多個)路由�����,并且使用IGP信息來獲知連接這些外部路由的AS內(nèi)的路由���。保衛(wèi)設(shè)備將這些多條信息組合起來�����,以便識別下一跳路由器�����。當(dāng)在下一跳獲知過程中收集所需IGP和BGP信息時�,保衛(wèi)設(shè)備22一般避免通告其自身的任何路由信息或通過隧道71和73接收除路由通告之外的任何流量。為此��,保衛(wèi)設(shè)備22通常被配置為不重新分配它從iBGP中獲知的任何信息�����,并且隧道71和73被分配以很高的路由代價����,從而使路由器不會嘗試通過它們來路由流量。上述方法在轉(zhuǎn)移自路由器使用自動路由協(xié)議來執(zhí)行其路由判決時很有用����。可替換地或可附加地��,保衛(wèi)設(shè)備22可以直接查詢轉(zhuǎn)移自路由器����,以確定去往服務(wù)器30(以及去往其他受保護的網(wǎng)絡(luò)元件)的路由上的下一跳。無論是使用自動路有協(xié)議還是使用靜態(tài)路由來配置轉(zhuǎn)移自路由器����,都可以使用這種查詢。多種不同的管理協(xié)議可以被用于查詢轉(zhuǎn)移自路由器���。例如��,保衛(wèi)設(shè)備22可以使用Telnet或安全作業(yè)控制外殼(SecuredShell����,SSH)連接向路由器發(fā)送查詢����。在這種情況下,保衛(wèi)設(shè)備發(fā)送命令“showiproute<targetIPaddress>”���,從而致使轉(zhuǎn)移自路由器用去往目標IP地址的下一跳路由器的IP地址做出響應(yīng)�?���?商鎿Q地,保衛(wèi)設(shè)備可以使用簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)進行查詢��,或者可以使用遠程作業(yè)控制外殼(RemoteShell���,RSH)或遠程命令(RCMD)協(xié)議來請求從路由器獲取下一跳信息�����,而無需像Telnet或SSH所要求的那樣與路由器建立遠程會話�。雖然以上在防止目標地址接收惡意流量的上下文中描述了用于流量轉(zhuǎn)移的方法和設(shè)備,但是本發(fā)明的原理可以類似地應(yīng)用于流量轉(zhuǎn)移和過濾的其他應(yīng)用���。例如�,在以檢測數(shù)據(jù)流��、計費�����、鑒識分析和規(guī)律實施以及流量工程中的異常為目的的流量分析中�����,轉(zhuǎn)移是很有用的�。轉(zhuǎn)移在這些應(yīng)用中的優(yōu)點在于用于分析流量的計算機只接收流量中與分析有關(guān)的部分,并且不用承擔(dān)對給定的網(wǎng)絡(luò)鏈路上的所有流量進行過濾的負擔(dān)���。換句話說����,轉(zhuǎn)移允許正在進行分析的計算機(例如保衛(wèi)設(shè)備22)以較低的通信帶寬工作,并且將其資源集中于手頭正在進行的特定分析任務(wù)�����。這種轉(zhuǎn)移還可以用于允許正在進行分析的計算機循環(huán)地逐個處理多個不同的流�����。為此�����,轉(zhuǎn)移路由器(例如路由器28)可以在不同的流之間循環(huán)���,開始時在一定時間段內(nèi),將第一流轉(zhuǎn)移到正在進行分析的計算機����,然后停止第一流的轉(zhuǎn)移并開始在其分配的時間段內(nèi)進行第二流的轉(zhuǎn)移,以此類推而完成整個循環(huán)�����。因此將會意識到,上述實施例是以示例方式被引用的�,并且本發(fā)明并不局限于上述已被具體示出和描述的實施例。相反���,本發(fā)明的范圍包括本領(lǐng)域技術(shù)人員在閱讀了以上描述之后想到的并且未在現(xiàn)有技術(shù)中被公開的上述各種特征的組合和子組合����,及其變化和修改�����。權(quán)利要求1.一種用于通信的方法�����,包括在網(wǎng)絡(luò)的一個區(qū)域中耦合一個或多個對等路由器以接收來自所述區(qū)域外部的通信流量���,該流量包括想去往目標地址的分組��;通過經(jīng)由所述網(wǎng)絡(luò)的所述區(qū)域內(nèi)的一個或多個內(nèi)部路由器的一個或多個第一路由�,將所述分組轉(zhuǎn)發(fā)到所述目標地址���;建立通過所述網(wǎng)絡(luò)的一個或多個隧道�����,所述隧道從所述對等路由器經(jīng)由所述網(wǎng)絡(luò)的所述區(qū)域內(nèi)的轉(zhuǎn)移路由器的一個或多個第一端口而去往所述轉(zhuǎn)移路由器的第二端口��;將流量處理器耦合到所述轉(zhuǎn)移路由器的所述第二端口��;響應(yīng)于所述流量的特性����,指導(dǎo)所述一個或多個對等路由器通過所述一個或多個隧道�,而不是通過所述第一路由來轉(zhuǎn)發(fā)想去往所述目標地址的分組;在所述流量處理器處��,處理經(jīng)由所述轉(zhuǎn)移路由器而通過所述隧道被轉(zhuǎn)發(fā)的分組�;以及將來自所述流量處理器的經(jīng)處理的分組中的至少一些傳送到所述目標地址����。2.如權(quán)利要求1所述的方法,其中指導(dǎo)所述一個或多個對等路由器的步驟包括檢測關(guān)于想去往所述目標地址的流量中的至少一些具有惡意來源的指示���,并且響應(yīng)于該指示來指導(dǎo)所述一個或多個對等路由器�����。3.如權(quán)利要求2所述的方法��,其中處理所述經(jīng)轉(zhuǎn)移的分組的步驟包括過濾所述經(jīng)轉(zhuǎn)移的分組��,以便識別出具有惡意來源的分組�����,并且禁止遞送識別出的分組���。4.如權(quán)利要求1到3中的任意一個所述的方法�����,其中指導(dǎo)所述一個或多個對等路由器的步驟包括從所述流量處理器向所述一個或多個對等路由器發(fā)送邊界網(wǎng)關(guān)協(xié)議(BGP)通告��。5.如權(quán)利要求1到3中的任意一個所述的方法�,其中指導(dǎo)所述一個或多個對等路由器的步驟包括向所述一個或多個對等路由器發(fā)送指令��,而不需修改所述內(nèi)部路由器的路由表�。6.如權(quán)利要求1到3中的任意一個所述的方法,其中所述轉(zhuǎn)移路由器充當(dāng)所述第一路由中的至少一個路由上的所述內(nèi)部路由器之一�。7.如權(quán)利要求1到3中的任意一個所述的方法����,其中傳送所述經(jīng)處理的分組中的至少一些的步驟包括經(jīng)由所述轉(zhuǎn)移路由器將所述經(jīng)處理的分組中的至少一些傳遞到所述目標地址�。8.如權(quán)利要求1到3中的任意一個所述的方法��,其中傳送所述經(jīng)處理的分組中的至少一些的步驟包括在去往所述目標地址的路徑上建立介于所述流量處理器和邊緣路由器之間的另一隧道�,并且通過該另一隧道傳送所述經(jīng)處理的分組中的至少一些。9.一種用于通信的方法����,包括耦合第3層分組路由器的第一端口以接收來自網(wǎng)絡(luò)的通信流量,該流量包括想去往目標地址的分組���,所述目標地址可經(jīng)由所述路由器的第二端口來訪問;在所述路由器處�,經(jīng)由所述路由器的第三端口將所述想去往目標地址的分組轉(zhuǎn)移到流量處理器�;在所述流量處理器處處理經(jīng)轉(zhuǎn)移的分組��,并且將經(jīng)處理的分組經(jīng)由所述第三端口而返回所述路由器��;以及在所述路由器處����,將來自所述第三端口的經(jīng)處理的分組傳送到所述第二端口�,以用于遞送到所述目標地址���。10.如權(quán)利要求9所述的方法,其中轉(zhuǎn)移所述分組的步驟包括檢測關(guān)于想去往所述目標地址的流量中的至少一些具有惡意來源的指示��,并且響應(yīng)于該指示來轉(zhuǎn)移所述分組��。11.如權(quán)利要求10所述的方法�,其中處理所述經(jīng)轉(zhuǎn)移的分組的步驟包括過濾所述經(jīng)轉(zhuǎn)移的分組,以便識別具有惡意來源的分組�,并且禁止遞送識別出的分組。12.如權(quán)利要求9所述的方法�����,其中轉(zhuǎn)移所述分組的步驟包括從所述流量處理器向所述路由器發(fā)送邊界網(wǎng)關(guān)協(xié)議(BGP)通告����,其指導(dǎo)所述路由器轉(zhuǎn)移所述分組���。13.如權(quán)利要求12所述的方法,其中發(fā)送所述BGP通告的步驟包括在所述BGP通告中插入“非廣告”和“非輸出”字符串中的至少一個�����。14.如權(quán)利要求9所述的方法,其中轉(zhuǎn)移所述分組的步驟包括建立通過所述網(wǎng)絡(luò)的隧道��,該隧道從對等路由器到所述第3層分組路由器的所述第一端口����;配置所述第3層分組路由器�����,以將其通過所述隧道接收到的分組轉(zhuǎn)發(fā)到所述第三端口��;以及指導(dǎo)所述對等路由器通過所述隧道來轉(zhuǎn)發(fā)想去往所述目標地址的分組�。15.如權(quán)利要求14所述的方法���,其中建立所述隧道的步驟包括建立多個隧道�����,所述多個隧道從位于網(wǎng)絡(luò)的一個區(qū)域的邊緣處的對等路由器到所述區(qū)域內(nèi)的第3層分組路由器�。16.如權(quán)利要求9到15中的任意一個所述的方法���,其中返回所述經(jīng)處理的分組的步驟包括在所述流量處理器處選擇一條經(jīng)由所述第3層分組路由器去往所述目標地址的路徑�����,并且引導(dǎo)所述第3層分組路由器將所述經(jīng)處理的分組沿著所選路徑傳送到下一跳路由器���。17.如權(quán)利要求16所述的方法�,其中選擇所述路徑的步驟包括識別出通過各個下一跳路由器而去往所述目標地址的多條路徑���,并且選擇出所述經(jīng)處理的分組將通過其被傳送的所述下一跳路由器之一��。18.如權(quán)利要求17所述的方法����,其中選擇所述下一跳路由器之一的步驟包括在所述流量處理器處檢測所述網(wǎng)絡(luò)中在所述路由器的第二端口和所述目標地址之間的改變����,并且響應(yīng)于該改變��,選擇出將通過其將所述經(jīng)處理的分組傳送到所述目標地址的所述下一跳路由器中的另一個下一跳路由器�����。19.如權(quán)利要求16所述的方法,其中選擇所述路徑的步驟包括在所述流量處理器處接收來自所述第3層分組路由器的路由信息�,并且基于所述路由信息來識別所述路徑。20.如權(quán)利要求19所述的方法���,其中接收所述路由信息的步驟包括根據(jù)自動路由協(xié)議�,接收由所述網(wǎng)絡(luò)中的路由器所產(chǎn)生的通告��。21.如權(quán)利要求20所述的方法����,其中接收所述通告的步驟包括在所述流量處理器和所述下一跳路由器之間建立通過所述網(wǎng)絡(luò)的至少一個隧道,并且響應(yīng)于所述至少一個隧道來接收所述通告���。22.如權(quán)利要求19所述的方法��,其中接收所述路由信息的步驟包括使用管理協(xié)議來查詢所述第3層分組路由器����。23.如權(quán)利要求16所述的方法���,其中引導(dǎo)所述路由器的步驟包括建立通過所述網(wǎng)絡(luò)的從所述流量處理器經(jīng)由所述路由器而去往所述下一跳路由器的隧道,并且通過所述隧道來傳遞所述分組。24.如權(quán)利要求9到15中的任意一個所述的方法�,其中傳送所述經(jīng)處理的分組的步驟包括利用關(guān)于在所述第三端口上由所述路由器接收到的分組的轉(zhuǎn)發(fā)規(guī)則來對所述路由器編程以便推翻所述路由器的主路由表,并且響應(yīng)于所述轉(zhuǎn)發(fā)規(guī)則來轉(zhuǎn)發(fā)所述經(jīng)處理的分組���。25.如權(quán)利要求24所述的方法���,其中對所述路由器編程的步驟包括調(diào)用策略路由(PBR)。26.如權(quán)利要求24所述的方法�����,其中對所述路由器編程的步驟包括調(diào)用基于過濾器的轉(zhuǎn)發(fā)(FBF)���。27.如權(quán)利要求24所述的方法�,其中對所述路由器編程的步驟包括配置所述路由器�����,以響應(yīng)于所述經(jīng)處理的分組中的服務(wù)類型(ToS)字段來應(yīng)用所述轉(zhuǎn)發(fā)規(guī)則����,并且其中傳送所述經(jīng)處理的分組的步驟包括設(shè)置所述分組中的ToS字段的值,以便致使所述轉(zhuǎn)發(fā)規(guī)則被調(diào)用�����。28.如權(quán)利要求9到15中的任意一個所述的方法,其中傳送所述經(jīng)處理的分組的步驟包括將虛擬專用網(wǎng)(VPN)指定添加到所述經(jīng)處理的分組��,并且其中傳送所述經(jīng)處理的分組的步驟包括利用VPN路由表對所述路由器編程��,并且響應(yīng)于所述VPN路由表來轉(zhuǎn)發(fā)所述經(jīng)處理的分組��。29.如權(quán)利要求28所述的方法����,其中添加所述VPN指定的步驟包括將虛擬局域網(wǎng)(VLAN)標簽添加到所述經(jīng)處理的分組。30.如權(quán)利要求29所述的方法����,其中添加所述VLAN標簽的步驟包括定義多個對應(yīng)于去往所述目標地址的不同路由的多個VLAN,并且其中添加所述VLAN標簽的步驟包括選出所述路由之一����,并且設(shè)置所述VLAN標簽的值以指定所述路由中的所選的那個路由。31.一種用于通信的方法�����,包括耦合第3層分組路由器的第一端口以接收來自網(wǎng)絡(luò)的通信流量����,該流量包括想去往目標地址的分組;將所述第3層分組路由器的第二端口耦合到所述目標地址可通過其被訪問的子網(wǎng)�;經(jīng)由所述子網(wǎng)中的第2層交換機將想去往所述目標地址的分組轉(zhuǎn)移到所述子網(wǎng)上的流量處理器;在所述流量處理器處處理所述經(jīng)轉(zhuǎn)移的分組�����,并將所述經(jīng)處理的分組返回到所述第2層交換機���;以及將所述經(jīng)處理的分組從所述第2層交換機傳送到所述目標地址����。32.如權(quán)利要求31所述的方法����,其中轉(zhuǎn)移所述分組的步驟包括檢測關(guān)于想去往所述目標地址的流量中的至少一些具有惡意來源的指示,并且響應(yīng)于該指示來轉(zhuǎn)移所述分組�����。33.如權(quán)利要求32所述的方法��,其中處理所述經(jīng)轉(zhuǎn)移的分組的步驟包括過濾所述經(jīng)轉(zhuǎn)移的分組�����,以便識別出具有惡意來源的分組,并且禁止遞送識別出的分組��。34.如權(quán)利要求31到33中的任意一個所述的方法�����,其中所述目標地址位于所述子網(wǎng)中��。35.如權(quán)利要求31到33中的任意一個所述的方法����,其中所述目標地址位于所述子網(wǎng)外部,并且其中傳送所述經(jīng)處理的分組的步驟包括將所述經(jīng)處理的分組從所述第2層交換機傳遞到所述子網(wǎng)中的另一路由器��,并且將所述經(jīng)處理的分組從所述另一路由器路由到所述目標地址�����。36.一種用于通信的裝置��,包括第3層分組路由器����,其至少包括第一�����、第二和第三端口,其中所述第一端口被耦合以接收來自網(wǎng)絡(luò)的通信流量�����,該流量包括想去往目標地址的分組�,所述目標地址可經(jīng)由所述路由器的第二端口來訪問;以及耦合到所述路由器的所述第三端口的流量處理器���,該流量處理器適合于致使所述路由器將想去往所述目標地址的分組轉(zhuǎn)移到所述第三端口����,并且還適合于處理經(jīng)轉(zhuǎn)移的分組�,以及將經(jīng)處理的分組經(jīng)由所述第三端口返回到所述路由器,以便致使所述路由器將經(jīng)處理的分組從所述第三端口傳送到所述第二端口�����,以用于遞送到所述目標地址�����。37.如權(quán)利要求36所述的裝置,其中所述流量處理器適合于致使所述路由器響應(yīng)于如下指示來轉(zhuǎn)移所述分組所述指示指出想去往所述目標地址的流量中的至少一些具有惡意來源���。38.如權(quán)利要求37所述的裝置�,其中所述流量處理器適合于過濾所述經(jīng)轉(zhuǎn)移的分組���,以便識別出具有惡意來源的分組�����,并且禁止遞送識別出的分組��。39.如權(quán)利要求36所述的裝置�����,其中所述流量處理器適合于向所述路由器發(fā)送指示所述路由器轉(zhuǎn)移所述分組的邊界網(wǎng)關(guān)協(xié)議(BGP)通告����。40.如權(quán)利要求39所述的裝置����,其中所述BGP通告包括“非廣告”和“非輸出”字符串中的至少一個。41.如權(quán)利要求36所述的裝置,還包括對等路由器��,該對等路由器通過穿過所述網(wǎng)絡(luò)的隧道而被耦合到所述第3層分組路由器的所述第一端口���,其中所述流量處理器適合于指導(dǎo)所述對等路由器通過所述隧道來轉(zhuǎn)發(fā)想去往所述目標地址的分組�,并且其中所述第3層分組路由器被配置為將其通過所述隧道接收到的分組轉(zhuǎn)發(fā)到所述第三端口�。42.如權(quán)利要求41所述的裝置,其中所述對等路由器是位于網(wǎng)絡(luò)的一個區(qū)域的邊緣處的多個對等路由器之一�,這些對等路由器分別通過多個隧道而被耦合到所述區(qū)域內(nèi)的所述第3層分組路由器����。43.如權(quán)利要求36到42中的任意一個所述的裝置,其中所述流量處理器適合于選出一條經(jīng)由所述第3層分組路由器去往所述目標地址的路徑���,并且引導(dǎo)所述第3層分組路由器將所述經(jīng)處理的分組沿著所選路徑傳送到下一跳路由器����。44.如權(quán)利要求43所述的裝置�,其中所述流量處理器適合于識別穿過各個下一條路由器而去往所述目標地址的多個路徑,并且選出所述經(jīng)處理器的分組將通過其被傳遞的所述下一跳路由器之一�。45.如權(quán)利要求44所述的裝置,其中所述流量處理器適合于檢測所述網(wǎng)絡(luò)中在所述路由器的第二端口和所述目標地址之間的改變��,并且響應(yīng)于該改變�,選出所述經(jīng)處理器的分組將通過其被傳送到所述目標地址的所述下一跳路由器中的另一個下一跳路由器��。46.如權(quán)利要求43所述的裝置�,其中所述流量處理器被耦合以接收來自所述第3層分組路由器的路由信息�,并且所述流量處理器適合于基于所述路由信息來識別所述路徑。47.如權(quán)利要求46所述的裝置�����,其中由所述流量處理器接收到的路由信息包括由所述網(wǎng)絡(luò)中的路由器根據(jù)自動路由協(xié)議產(chǎn)生的通告�。48.如權(quán)利要求47所述的裝置,其中所述流量處理器被通過所述網(wǎng)絡(luò)的至少一個隧道耦合到所述下一跳路由器����,并且所述流量處理器適合于響應(yīng)于所述至少一個隧道來接收所述通告。49.如權(quán)利要求46所述的裝置�����,其中所述流量處理器適合于通過使用管理協(xié)議查詢所述第3層分組路由器來接收所述路由信息���。50.如權(quán)利要求43所述的裝置�����,其中所述流量處理器被通過所述網(wǎng)絡(luò)經(jīng)由所述路由器的隧道耦合到所述下一跳路由器���,并且所述流量處理器適合于引導(dǎo)所述第3層分組路由器通過所述隧道來傳送所述經(jīng)處理的分組�。51.如權(quán)利要求36到42中的任意一個所述的裝置���,其中所述路由器被編程為根據(jù)轉(zhuǎn)發(fā)規(guī)則來轉(zhuǎn)發(fā)所述經(jīng)處理的分組�����,所述轉(zhuǎn)發(fā)規(guī)則推翻了所述路由器的主路由表���。52.如權(quán)利要求51所述的裝置��,其中所述路由器是利用策略路由(PBR)來編程的�����。53.如權(quán)利要求51所述的裝置����,其中所述路由器是利用基于過濾器的轉(zhuǎn)發(fā)(FBF)來編程的。54.如權(quán)利要求51所述的裝置�����,其中所述路由器被配置為響應(yīng)于所述經(jīng)處理的分組中的服務(wù)類型(ToS)字段來應(yīng)用所述轉(zhuǎn)發(fā)規(guī)則,并且其中所述流量處理器適合于設(shè)置所述經(jīng)處理的分組中的ToS字段的值����,以便致使所述轉(zhuǎn)發(fā)規(guī)則被調(diào)用。55.如權(quán)利要求36到42中的任意一個所述的裝置�����,其中所述流量處理器適合于將虛擬專用網(wǎng)(VPN)指定添加到所述經(jīng)處理的分組�����,并且其中所述路由器被利用VPN路由表來編程��,并且響應(yīng)于所述VPN指定而根據(jù)所述VPN路由表來轉(zhuǎn)發(fā)所述經(jīng)處理的分組��。56.如權(quán)利要求55所述的裝置����,其中所述VPN指定包括虛擬局域網(wǎng)(VLAN)標簽。57.如權(quán)利要求56所述的裝置�����,其中所述VLAN是對應(yīng)于去往所述目標地址的不同路由的多個VLAN之一,并且其中所述流量處理器適合于選擇所述路由之一�,并且設(shè)置所述VLAN標簽的值,以指定所述路由中的所選的那個路由��。58.一種用于通信的裝置����,包括在網(wǎng)絡(luò)的一個區(qū)域中的一個或多個對等路由器,這些對等路由器被耦合以接收來自所述區(qū)域外部的通信流量��,該流量包括想去往目標地址的分組�����;在所述網(wǎng)絡(luò)的所述區(qū)域中的一個或多個內(nèi)部路由器�����,這些內(nèi)部路由器被耦合以接收來自所述一個或多個對等路由器的分組���,并且將所述分組通過一個或多個第一路由轉(zhuǎn)發(fā)到所述目標地址;在所述網(wǎng)絡(luò)的所述區(qū)域內(nèi)的轉(zhuǎn)移路由器��,該轉(zhuǎn)移路由器包括一個或多個第一端口和一個第二端口����,其中所述第一端口通過穿過所述網(wǎng)絡(luò)的一個或多個隧道被耦合到所述對等路由器����,并且所述轉(zhuǎn)移路由器被配置為將其通過所述一個或多個隧道接收到的分組傳遞到所述第二端口���;耦合到所述轉(zhuǎn)移路由器的所述第二端口的流量處理器�,并且所述流量處理器適合于響應(yīng)于所述流量的特性指導(dǎo)所述一個或多個對等路由器通過所述一個或多個隧道�,而不是通過所述第一路由來轉(zhuǎn)發(fā)想去往所述目標地址的分組,以及處理經(jīng)由所述轉(zhuǎn)移路由器通過所述隧道被轉(zhuǎn)發(fā)的分組��,以及將經(jīng)處理的分組中的至少一些傳送到所述目標地址�。59.如權(quán)利要求58所述的裝置,其中所述流量處理器適合于指導(dǎo)所述一個或多個對等路由器響應(yīng)于關(guān)于想去往所述目標地址的流量中的至少一些具有惡意來源的指示而通過所述一個或多個隧道來轉(zhuǎn)發(fā)所述分組����。60.如權(quán)利要求59所述的裝置,其中所述流量處理器適合于過濾所述經(jīng)轉(zhuǎn)移的分組�����,以便識別出具有惡意來源的分組����,并且禁止遞送識別出的分組�。61.如權(quán)利要求58到60中的任意一個所述的裝置�,其中所述流量處理器適合于通過向所述一個或多個對等路由器發(fā)送邊界網(wǎng)關(guān)協(xié)議(BGP)通告,來指導(dǎo)所述一個或多個對等路由器通過所述一個或多個隧道來轉(zhuǎn)發(fā)所述分組��。62.如權(quán)利要求58到60中的任意一個所述的裝置�����,其中所述流量處理器適合于指導(dǎo)所述一個或多個對等路由器通過所述一個或多個隧道來轉(zhuǎn)發(fā)所述分組����,而無需修改所述內(nèi)部路由器的路由表。63.如權(quán)利要求58到60中的任意一個所述的裝置�����,其中所述轉(zhuǎn)移路由器被耦合以充當(dāng)所述第一路由中的至少一個路由上的所述內(nèi)部路由器之一���。64.如權(quán)利要求58到60中的任意一個所述的裝置����,其中所述流量處理器適合于經(jīng)由所述轉(zhuǎn)移路由器將所述經(jīng)處理的分組中的至少一些傳送到所述目標地址���。65.如權(quán)利要求58到60中的任意一個所述的裝置���,其中所述流量處理器適合于通過在所述流量處理器和路徑上的邊緣路由器之間的另一隧道將所述經(jīng)處理的分組中的至少一些傳送到所述目標地址。66.一種用于通信的裝置�����,包括第2層交換機�,該交換機位于可通過其訪問目標地址的子網(wǎng)中;第3層分組路由器����,其包括第一和第二端口,其中所述第一端口被耦合以接收來自網(wǎng)絡(luò)的通信流量�����,該流量包括想去往所述目標地址的分組���,并且所述第二端口被耦合到所述第2層交換機�;以及流量處理器�,該流量處理器適合于致使所述第3層分組路由器經(jīng)由所述第2層交換機將想去往所述目標地址的分組轉(zhuǎn)移到所述流量處理器,并且該流量處理器還適合于處理經(jīng)轉(zhuǎn)移的分組���,并將經(jīng)處理的分組返回到所述第2層交換機���,以便致使所述第2層交換機將所述經(jīng)處理的分組傳送到所述目標地址�����。67.如權(quán)利要求66所述的裝置��,其中所述流量處理器適合于指導(dǎo)所述第3層分組路由器響應(yīng)于關(guān)于想去往所述目標地址的流量中的至少一些具有惡意來源的指示而轉(zhuǎn)移所述分組��。68.如權(quán)利要求67所述的裝置����,其中所述流量處理器適合于過濾所述經(jīng)轉(zhuǎn)移的分組����,以便識別出具有惡意來源的分組,并且禁止遞送識別出的分組��。69.如權(quán)利要求66到68中的任意一個所述的裝置����,其中所述目標地址位于所述子網(wǎng)中。70.如權(quán)利要求66到68中的任意一個所述的裝置�����,還包括位于所述子網(wǎng)的另一路由器��,其中所述目標地址位于所述子網(wǎng)外部�,并且其中所述第2層交換機被耦合以將所述經(jīng)處理的分組傳遞到所述子網(wǎng)中的另一路由器,并且其中所述另一路由器適合于將所述經(jīng)處理的分組路由到所述目標地址���。71.一種計算機軟件產(chǎn)品����,該計算機軟件產(chǎn)品由計算機與至少包括第一�、第二和第三端口的第3層分組路由器協(xié)作使用,其中所述第一端口被耦合以接收來自網(wǎng)絡(luò)的通信流量�����,該流量包括想去往目標地址的分組�����,該目標地址可經(jīng)由所述路由器的第二端口來訪問����,并且所述計算機被耦合到所述第三端口,所述產(chǎn)品包括;存儲有計算機指令的計算機可讀介質(zhì)����,所述指令在被所述計算機所讀取時,致使所述計算機指導(dǎo)所述路由器將想去往所述目標地址的分組轉(zhuǎn)移到所述第三端口�����,并且致使所述計算機處理經(jīng)轉(zhuǎn)移的分組�����,以及將經(jīng)處理的分組經(jīng)由所述第三端口返回到所述路由器�����,以便致使所述路由器將經(jīng)處理的分組從所述第三端口傳送到所述第二端口�,以用于遞送到所述目標地址。全文摘要一種用于通信的方法��,包括耦合第3層分組路由器(28)的第一端口(35)以接收來自網(wǎng)絡(luò)(26)的通信流量����,該流量包括想去往目標地址(30)的分組,所述目標地址可經(jīng)由路由器的第二端口(39�����、41)來訪問。在路由器處��,想去往目標地址的分組經(jīng)由路由器的第三端口(37)被轉(zhuǎn)移到流量處理器(22)�。經(jīng)轉(zhuǎn)移的分組在流量處理器處被處理����,并且經(jīng)處理的分組經(jīng)由第三端口被返回到路由器。在路由器處���,經(jīng)處理的分組被從第三端口傳送到第二端口�,以用于遞送到目標地址����。文檔編號H04L12/28GK1802641SQ200480008508公開日2006年7月12日申請日期2004年4月8日優(yōu)先權(quán)日2003年4月9日發(fā)明者阿納·布雷姆列爾巴爾,翰克·奴思貝徹爾,洛伊·赫爾莫尼,丹·圖伊圖申請人:思科技術(shù)公司