一種路由表項(xiàng)生成方法及裝置的制造方法
【專利摘要】本發(fā)明實(shí)施例公開了一種路由表項(xiàng)生成方法及裝置���,應(yīng)用于網(wǎng)關(guān)設(shè)備�,方法包括:接收對(duì)端的網(wǎng)關(guān)設(shè)備發(fā)送的IPsec協(xié)商報(bào)文�����,獲取接收該報(bào)文的入端口的端口信息、對(duì)端的私網(wǎng)側(cè)地址和下一跳地址;從本地路由表中查找與端口信息匹配的缺省路由表項(xiàng)��;根據(jù)查找到的缺省路由表項(xiàng)中的出端口、私網(wǎng)側(cè)地址和下一跳地址進(jìn)行路由迭代�,生成RRI表項(xiàng)。由此可見,網(wǎng)關(guān)設(shè)備基于接收IPsec協(xié)商報(bào)文的入端口的端口信息查找對(duì)應(yīng)的缺省路由表項(xiàng)����,僅根據(jù)查找到的缺省路由表項(xiàng)生成RRI表項(xiàng)��,根據(jù)生成的RRI表項(xiàng)進(jìn)行流量轉(zhuǎn)發(fā)時(shí)��,只能將流量發(fā)送至與該端口信息對(duì)應(yīng)的分支,避免了存在多個(gè)分支時(shí)���,路由迭代錯(cuò)誤所導(dǎo)致的流量轉(zhuǎn)發(fā)多個(gè)分支的問題�����。
【專利說(shuō)明】
-種路由表項(xiàng)生成方法及裝置
技術(shù)領(lǐng)域
[0001] 本發(fā)明設(shè)及互聯(lián)網(wǎng)技術(shù)領(lǐng)域����,特別設(shè)及一種路由表項(xiàng)生成方法及裝置。
【背景技術(shù)】
[0002] IPsecdP 86(311'^7,1?安全)是^了。制定的^層隧道加密協(xié)議�����,它為互聯(lián)網(wǎng)上傳 輸?shù)臄?shù)據(jù)提供了高質(zhì)量的��、基于密碼學(xué)的安全保證���,是一種傳統(tǒng)的實(shí)現(xiàn)Ξ層VPN(Vidual Private化twork,虛擬專用網(wǎng)絡(luò))的安全技術(shù)�����。IPsec通過在特定通信方之間(例如兩個(gè)安 全網(wǎng)關(guān)之間)建立"通道",來(lái)保護(hù)通信方之間傳輸?shù)挠脩魯?shù)據(jù)���,該通道通常稱為IPsec隧道 (Ipsec tunnel)����。
[0003] RRI(Reverse Route Injection,反向路由注入)是一種自動(dòng)添加到達(dá)IPsec VPN (Virtual Private化twork�,虛擬專用網(wǎng))私網(wǎng)靜態(tài)路由的機(jī)制�,可W實(shí)現(xiàn)為受IPsec保護(hù) 的流量自動(dòng)添加靜態(tài)路由的功能���。如圖1所示的IPsec VPN組網(wǎng)中����,企業(yè)總部通過不同的運(yùn) 營(yíng)商網(wǎng)絡(luò)連接分支的網(wǎng)關(guān)設(shè)備,在分支的網(wǎng)關(guān)設(shè)備下部署有私網(wǎng)�����。企業(yè)總部網(wǎng)關(guān)設(shè)備上會(huì) 配置RRI功能��,在每一個(gè)IPsec隧道建立之后��,總部網(wǎng)關(guān)都會(huì)自動(dòng)為其添加一條相應(yīng)的靜態(tài) 路由表項(xiàng)。通過RRI創(chuàng)建的路由表項(xiàng)可W在路由表中查詢到,其目的地址為受保護(hù)的對(duì)端私 網(wǎng)����,下一跳地址為IPsec隧道的對(duì)端網(wǎng)關(guān)設(shè)備的地址�,它使得發(fā)往對(duì)端的流量被強(qiáng)制通過 IPsec保護(hù)并轉(zhuǎn)發(fā)����。
[0004] 由于IPsec RRI創(chuàng)建的路由表項(xiàng)的目的地址為受保護(hù)的對(duì)端私網(wǎng),下一跳地址為 IPsec隧道的對(duì)端地址�,運(yùn)些路由需要通過迭代才能生效�?��?偛烤W(wǎng)關(guān)設(shè)備會(huì)存在多個(gè)分支�����, 并且總部網(wǎng)關(guān)設(shè)備可能通過多條路徑到達(dá)某個(gè)分支�����。相對(duì)應(yīng)的,總部網(wǎng)關(guān)設(shè)備中會(huì)存在多 條缺省路由表項(xiàng)。IPsec RRI創(chuàng)建的路由表項(xiàng)是根據(jù)設(shè)備中存在的全部缺省路由表項(xiàng)生成 的����。如果后續(xù)流量轉(zhuǎn)發(fā)有端口的限制,比如某流量只能發(fā)送至分支X���,但是IPsec RRI創(chuàng)建的 路由表項(xiàng)中包含發(fā)送至分支X和分支Y的表項(xiàng)�,也就是說(shuō),IPsec RRI創(chuàng)建的路由表項(xiàng)中包含 錯(cuò)誤的表項(xiàng)���,根據(jù)IPsec RRI創(chuàng)建的路由表項(xiàng)對(duì)該流量進(jìn)行轉(zhuǎn)發(fā)時(shí)�,會(huì)出現(xiàn)流量轉(zhuǎn)發(fā)錯(cuò)誤的 問題����。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明實(shí)施例的目的在于提供一種路由表項(xiàng)生成方法及裝置����,避免生成錯(cuò)誤的路 由表項(xiàng)導(dǎo)致流量轉(zhuǎn)發(fā)錯(cuò)誤�。
[0006] 為達(dá)到上述目的�,本發(fā)明實(shí)施例公開了一種路由表項(xiàng)生成方法����,應(yīng)用于網(wǎng)關(guān)設(shè)備�, 包括:
[0007] 接收對(duì)端的網(wǎng)關(guān)設(shè)備發(fā)送的IPsec協(xié)商報(bào)文���,獲取接收所述IPsec協(xié)商報(bào)文的入端 口的端口信息����、對(duì)端的私網(wǎng)側(cè)地址和下一跳地址����;
[000引從本地路由表中查找與所述端口信息匹配的缺省路由表項(xiàng)�����;
[0009] 根據(jù)所述缺省路由表項(xiàng)中的出端口、所述私網(wǎng)側(cè)地址和下一跳地址進(jìn)行路由迭 代�,生成反向路由注入RRI表項(xiàng)。
[0010] 可選的,所述從本地路由表中查找與所述端口信息匹配的缺省路由表項(xiàng),可W包 括:
[0011] 根據(jù)所述IPsec協(xié)商報(bào)文的路由前綴信息進(jìn)行合法性檢查;
[0012] 當(dāng)所述路由前綴信息合法時(shí)���,從本地路由表中查找與所述端口信息匹配的缺省路 由表項(xiàng)�。
[0013] 可選的,所述方法還可W包括:
[0014] 當(dāng)在所述本地路由表中未查找到與所述端口信息匹配的缺省路由表項(xiàng)時(shí),提示 RRI表項(xiàng)生成失敗�。
[0015] 可選的,所述端口信息可W為所述入端口上預(yù)先配置的虛擬路由轉(zhuǎn)發(fā)標(biāo)記。
[0016] 可選的����,在接收所述IPsec協(xié)商報(bào)文的入端口上未配置對(duì)應(yīng)的虛擬路由轉(zhuǎn)發(fā)標(biāo)記 的情況下,所述方法還可W包括:
[0017] 根據(jù)所述私網(wǎng)側(cè)地址����、下一跳地址和本地路由表中缺省路由表項(xiàng)的出端口進(jìn)行路 由迭代���,生成RRI表項(xiàng)�����。
[0018] 為達(dá)到上述目的,本發(fā)明實(shí)施例還公開了一種路由表項(xiàng)生成裝置���,應(yīng)用于網(wǎng)關(guān)設(shè) 備�,包括:
[0019] 獲取模塊�����,用于接收對(duì)端的網(wǎng)關(guān)設(shè)備發(fā)送的IPsec協(xié)商報(bào)文,獲取接收所述IPsec 協(xié)商報(bào)文的入端口的端口信息�、對(duì)端的私網(wǎng)側(cè)地址和下一跳地址;
[0020] 查找模塊����,用于從本地路由表中查找與所述端口信息匹配的缺省路由表項(xiàng)����;
[0021] 生成模塊���,用于根據(jù)所述缺省路由表項(xiàng)中的出端口��、所述私網(wǎng)側(cè)地址和下一跳地 址進(jìn)行路由迭代�����,生成RRI表項(xiàng)��。
[0022] 可選的�,所述查找模塊�����,具體可W用于:
[0023] 根據(jù)所述IPsec協(xié)商報(bào)文的路由前綴信息進(jìn)行合法性檢查;
[0024] 當(dāng)所述路由前綴信息合法時(shí)����,從本地路由表中查找與所述端口信息匹配的缺省路 由表項(xiàng)�����。
[00巧]可選的��,所述裝置還可W包括:
[0026] 提示模塊���,用于當(dāng)在所述本地路由表中未查找到與所述端口信息匹配的缺省路由 表項(xiàng)時(shí)��,提示RRI表項(xiàng)生成失敗。
[0027] 可選的�����,所述端口信息可W為所述入端口上預(yù)先配置的虛擬路由轉(zhuǎn)發(fā)標(biāo)記����。
[00%]可選的,所述生成模塊���,還可W用于:
[0029] 在接收所述IPsec協(xié)商報(bào)文的入端口上未配置對(duì)應(yīng)的虛擬路由轉(zhuǎn)發(fā)標(biāo)記的情況 下�����,根據(jù)所述私網(wǎng)側(cè)地址�����、下一跳地址和本地路由表中缺省路由表項(xiàng)的出端口進(jìn)行路由迭 代�����,生成RRI表項(xiàng)。
[0030] 應(yīng)用本發(fā)明實(shí)施例,網(wǎng)關(guān)設(shè)備在進(jìn)行IPsec協(xié)商時(shí)��,基于接收IPsec協(xié)商報(bào)文的入 端口的端口信息查找對(duì)應(yīng)的缺省路由表項(xiàng),僅根據(jù)查找到的缺省路由表項(xiàng)生成RRI表項(xiàng)��,生 成的RRI表項(xiàng)僅指向與該端口信息對(duì)應(yīng)的分支�����。也就是說(shuō)��,根據(jù)生成的RRI表項(xiàng)進(jìn)行流量轉(zhuǎn) 發(fā)時(shí)���,只能將流量發(fā)送至與該端口信息對(duì)應(yīng)的分支�����,從而避免了存在多個(gè)分支時(shí),路由迭代 錯(cuò)誤所導(dǎo)致的流量轉(zhuǎn)發(fā)多個(gè)分支的問題,提升流量轉(zhuǎn)發(fā)效率�����。
【附圖說(shuō)明】
[0031] 為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�����,顯而易見地�,下面描述中的附圖僅僅是本 發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�,在不付出創(chuàng)造性勞動(dòng)的前提下��,還可W 根據(jù)運(yùn)些附圖獲得其他的附圖。
[0032] 圖1為【背景技術(shù)】的組網(wǎng)結(jié)構(gòu)示意圖;
[0033] 圖2為本發(fā)明實(shí)施例所設(shè)及的組網(wǎng)結(jié)構(gòu)示意圖�����;
[0034] 圖3為本發(fā)明實(shí)施例提供的一種路由表項(xiàng)生成方法的流程示意圖;
[0035] 圖4為本發(fā)明實(shí)施例提供的一種路由表項(xiàng)生成裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0036] 下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完 整地描述�,顯然�����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例��。基于 本發(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他 實(shí)施例,都屬于本發(fā)明保護(hù)的范圍�����。
[0037] 為了解決上述技術(shù)問題,本發(fā)明實(shí)施例提供了一種路由表項(xiàng)生成方法及裝置,應(yīng) 用于網(wǎng)關(guān)設(shè)備���。該網(wǎng)關(guān)設(shè)備可W為交換機(jī)�、路由器等等,在此不做限制��。下面首先對(duì)本發(fā)明 實(shí)施例提供的路由表項(xiàng)生成方法進(jìn)行詳細(xì)說(shuō)明。
[0038] 下面W圖2所示的組網(wǎng)對(duì)本發(fā)明所示實(shí)施例進(jìn)行描述���,在企業(yè)的總部設(shè)置有網(wǎng)關(guān) 設(shè)備A,網(wǎng)關(guān)設(shè)備A經(jīng)過運(yùn)營(yíng)商1網(wǎng)絡(luò)連接到分支X的網(wǎng)關(guān)設(shè)備B和分支Y的網(wǎng)關(guān)設(shè)備C�����,經(jīng)過運(yùn) 營(yíng)商2網(wǎng)絡(luò)連接分支Z的網(wǎng)關(guān)設(shè)備D�����。在網(wǎng)關(guān)設(shè)備B下部署有私網(wǎng)X,在網(wǎng)關(guān)設(shè)備C下部署有私 網(wǎng)Y�,在網(wǎng)關(guān)設(shè)備D下部署有私網(wǎng)Z�����。其中����,網(wǎng)關(guān)設(shè)備B對(duì)應(yīng)網(wǎng)關(guān)設(shè)備A的端口 1���,網(wǎng)關(guān)設(shè)備C對(duì)應(yīng) 網(wǎng)關(guān)設(shè)備A的端口2,網(wǎng)關(guān)設(shè)備D對(duì)應(yīng)網(wǎng)關(guān)設(shè)備A的端口3���。該組網(wǎng)僅為實(shí)例性說(shuō)明���,并不多本 發(fā)明構(gòu)成限制。
[0039] 圖3為本發(fā)明實(shí)施例提供的一種路由表項(xiàng)生成方法的流程示意圖�,包括:
[0040] S101:接收對(duì)端的網(wǎng)關(guān)設(shè)備發(fā)送的IPsec協(xié)商報(bào)文�����,獲取接收所述IPsec協(xié)商報(bào)文 的入端口的端口信息、對(duì)端的私網(wǎng)側(cè)地址和下一跳地址���。
[0041] 兩臺(tái)網(wǎng)關(guān)設(shè)備(例如��,位于總部的網(wǎng)關(guān)設(shè)備A和位于分支Z的網(wǎng)關(guān)設(shè)備D)之間通過 發(fā)送IPsec協(xié)商報(bào)文建立IPsec隧道�,也可W理解為,兩臺(tái)網(wǎng)關(guān)設(shè)備之間通過發(fā)送IPsec協(xié)商 報(bào)文生成對(duì)應(yīng)的路由表項(xiàng)(反向路由注入RRI表項(xiàng))����,根據(jù)生成的路由表項(xiàng)�����,進(jìn)行后續(xù)流量轉(zhuǎn) 發(fā)。
[0042] 假設(shè)��,網(wǎng)關(guān)設(shè)備A執(zhí)行本方法,需要與分支Z的網(wǎng)關(guān)設(shè)備D進(jìn)行IPsec協(xié)商建立IPsec 隧道���。
[0043] IPsec協(xié)商報(bào)文為網(wǎng)關(guān)設(shè)備和網(wǎng)關(guān)設(shè)備進(jìn)行IPsec協(xié)商時(shí)交互的報(bào)文�,由于IPsec 協(xié)商的過程屬于現(xiàn)有技術(shù)�����,在此不再展開描述�����。在IPsec協(xié)商的過程中�,網(wǎng)關(guān)設(shè)備A會(huì)接收到 網(wǎng)關(guān)設(shè)備D發(fā)送的IPsec協(xié)商報(bào)文,根據(jù)該IPsec協(xié)商報(bào)文解析出對(duì)端的網(wǎng)關(guān)設(shè)備D的地址�����, 作為下一跳地址�。并且,可W獲取到對(duì)端的網(wǎng)關(guān)設(shè)備D所連接的私網(wǎng)(即私網(wǎng)Z)所在的地址����, 作為私網(wǎng)側(cè)地址�,私網(wǎng)側(cè)地址為通過下一跳地址可W到達(dá)的地址�����。
[0044] 在進(jìn)行IPsec協(xié)商的過程中�,還要獲取接收所述IPsec協(xié)商報(bào)文的入端口的端口信 息�����。該端口信息可W為該入端口的標(biāo)識(shí)信息��,比如P0RT3;該端口信息還可W為該入端口上 預(yù)先配置的虛擬路由轉(zhuǎn)發(fā)標(biāo)記���,比如v-vrf-po;rt2��。
[0045] 本實(shí)施例中W入端口的端口信息為入端口的標(biāo)識(shí)信息為例進(jìn)行描述��。
[0046] 假設(shè)該入端口的標(biāo)識(shí)信息為P0RT3�,網(wǎng)關(guān)設(shè)備D的地址為4.4.4.4,私網(wǎng)Z的地址為 3.3.3.0/24�。那么�����,網(wǎng)關(guān)設(shè)備A在IPsec協(xié)商過程中獲取到的路由信息格式可W如下所示:
[0047]
[0048] ~S102:從本地路由表中查找與所述端口信息匹配的缺省路由表項(xiàng)��。
[0049] 假設(shè)本地路由表如表1所示���,本地路由表由路由表項(xiàng)組成�,路由表項(xiàng)包括目的地 址����、下一跳地址和出端口����。表1中的前Ξ條表項(xiàng)可W為預(yù)先配置的缺省路由表項(xiàng)��,分別指向 Ξ個(gè)不同的分支�;后Ξ條表項(xiàng)可W理解為直連路由。為了簡(jiǎn)化說(shuō)明����,表1僅為本地路由表中 的部分內(nèi)容,并不對(duì)本地路由表構(gòu)成限定:
[(K)加 ]表1 「00511
[0化2]由于在S101中獲取到的入端口的標(biāo)識(shí)信息P0RT3�,在本地路由表中查找P0RT3��,查 找到第Ξ條缺省路由表項(xiàng)為匹配的缺省路由表項(xiàng)。
[0053] 作為一種實(shí)施方式����,從本地路由表中查找與所述端口信息匹配的缺省路由表項(xiàng)�����, 可W包括:
[0054] 根據(jù)所述IPsec協(xié)商報(bào)文的路由前綴信息進(jìn)行合法性檢查��;
[0055] 當(dāng)所述路由前綴信息合法時(shí)�,從本地路由表中查找與所述端口信息匹配的缺省路 由表項(xiàng)�����。
[0056] 在網(wǎng)關(guān)設(shè)備A接收到IPsec協(xié)商報(bào)文時(shí)����,可W根據(jù)IPsec協(xié)商報(bào)文的路由前綴信息 進(jìn)行合法性檢查����,其中�,路由前綴信息表示為IPsec協(xié)商報(bào)文中攜帶的私網(wǎng)側(cè)地址����。例如當(dāng) 接收到的IPsec協(xié)商報(bào)文的路由前綴信息對(duì)應(yīng)到自環(huán)回路由地址�、組播地址或廣播地址時(shí)�����, 則認(rèn)為該IPsec協(xié)商報(bào)文不合法,而如果IPsec協(xié)商報(bào)文中的路由前綴信息對(duì)應(yīng)到單播地址 時(shí)���,則認(rèn)為該IPsec協(xié)商報(bào)文合法���。
[0057] 在確定該IPsec協(xié)商報(bào)文合法時(shí)��,才根據(jù)該IPsec協(xié)商報(bào)文進(jìn)行路由迭代。
[0化引S103:根據(jù)所述缺省路由表項(xiàng)中的出端口���、所述私網(wǎng)側(cè)地址和下一跳地址進(jìn)行路 由迭代�����,生成RRI表項(xiàng)���。
[0059]通過IPsec協(xié)商過程中獲取的路由信息W及查找本地路由表獲取到的缺省路由表 項(xiàng)�,生成的該網(wǎng)關(guān)設(shè)備D對(duì)應(yīng)的RRI表項(xiàng)�。生成的RRI表項(xiàng)��,如下所示:
[0060]
[0061] 將生成的RRI表項(xiàng)添加到表1所示的本地路由表中�,最終的本地路由表如表2所示:
[0062] 表 2
[0063]
[0064] ~應(yīng)用本發(fā)明提供的方案��,當(dāng)網(wǎng)關(guān)設(shè)備A接收到網(wǎng)關(guān)設(shè)備D發(fā)送的IPsec協(xié)商報(bào)文時(shí)�����,胃 網(wǎng)關(guān)設(shè)備A獲取該IPsec協(xié)商報(bào)文的入端口的端口信息����,并從本地路由表中查找與該端口信 息匹配的缺省路由表項(xiàng)���,因此�����,僅根據(jù)查找到的缺省路由表項(xiàng)生成反向路由注入RRI表項(xiàng), 該表項(xiàng)指向分支Z���,不會(huì)導(dǎo)致后續(xù)流量轉(zhuǎn)發(fā)錯(cuò)誤�。
[0065] 后續(xù)流量轉(zhuǎn)發(fā)的過程,即為根據(jù)生成的路由表項(xiàng)進(jìn)行流量轉(zhuǎn)發(fā)����。流量轉(zhuǎn)發(fā)的過程 與現(xiàn)有技術(shù)相同�,在此不做寶述�����。
[0066] 作為本發(fā)明的一種實(shí)施方式����,當(dāng)在所述本地路由表中未查找到與所述端口信息匹 配的缺省路由表項(xiàng)時(shí)����,提示RRI表項(xiàng)生成失敗���。
[0067] 如果根據(jù)端口信息未查找到對(duì)應(yīng)的缺省路由表項(xiàng)時(shí),則可W理解為在網(wǎng)關(guān)設(shè)備A 處未配置相關(guān)的缺省路由表項(xiàng)�����,那么則無(wú)法生成對(duì)應(yīng)的RRI表項(xiàng)�。此時(shí),則需要提醒工作人 員��,無(wú)法實(shí)現(xiàn)對(duì)應(yīng)的RRI功能��。
[0068] 在入端口的端口信息為虛擬路由轉(zhuǎn)發(fā)標(biāo)記時(shí)����,如接收到IPsec協(xié)商報(bào)文的入端口 上可能未配置對(duì)應(yīng)的虛擬路由轉(zhuǎn)發(fā)標(biāo)記��,則無(wú)法基于該虛擬路由轉(zhuǎn)發(fā)標(biāo)記進(jìn)行本地路由表 的查找W及后續(xù)的迭代。那么����,在接收所述IPsec協(xié)商報(bào)文的入端口上未配置對(duì)應(yīng)的虛擬路 由轉(zhuǎn)發(fā)標(biāo)記的情況下����,所述方法還可W包括:
[0069] 根據(jù)所述私網(wǎng)側(cè)地址����、下一跳地址和本地路由表中缺省路由表項(xiàng)的出端口進(jìn)行路 由迭代��,生成RRI表項(xiàng)。
[0070] 此時(shí)��,在確定入端口未配置虛擬路由轉(zhuǎn)發(fā)標(biāo)記的情況下,根據(jù)原有的方式進(jìn)行路 由迭代生成RRI表項(xiàng)���。
[0071] 下面W-個(gè)具體的例子對(duì)本發(fā)明所設(shè)及的一種路由表項(xiàng)生成方法進(jìn)行描述,其 中���,組網(wǎng)方式如圖2所示����,其中��,W總部的網(wǎng)關(guān)設(shè)備A需要和分支Y的網(wǎng)關(guān)設(shè)備C建立IPsec隧 道的場(chǎng)景進(jìn)行描述��。分支X和分支Y都處于運(yùn)營(yíng)商1網(wǎng)絡(luò)下����,在端口 1上配置有虛擬路由轉(zhuǎn)發(fā) 標(biāo)記v-vrf-po;rtl�����,在端口 2上也同樣配置虛擬路由轉(zhuǎn)發(fā)標(biāo)記v-vrf-po;rtl;分支Z處于運(yùn)營(yíng) 商2網(wǎng)絡(luò)下��,在端口 3上配置有虛擬路由轉(zhuǎn)發(fā)標(biāo)記v-vrf-port2��。
[0072] S1�、總部的網(wǎng)關(guān)設(shè)備A和分支Y的網(wǎng)關(guān)設(shè)備C進(jìn)行IPsec協(xié)商,網(wǎng)關(guān)設(shè)備A從端口2接 收到網(wǎng)關(guān)設(shè)備c發(fā)送的IPsec協(xié)商報(bào)文��。
[0073] S2�����、網(wǎng)關(guān)設(shè)備A根據(jù)IPsec協(xié)商報(bào)文的路由前綴信息���,對(duì)該IPsec協(xié)商報(bào)文的合法性 進(jìn)行檢查��,如果合法則轉(zhuǎn)步驟S3,如果不合法則丟棄該IPsec協(xié)商報(bào)文��。
[0074] S3�����、網(wǎng)關(guān)設(shè)備A根據(jù)入端口(即端口 2)上獲取配置的虛擬路由轉(zhuǎn)發(fā)標(biāo)記v-vrf- podl,并根據(jù)對(duì)IPsec協(xié)商報(bào)文進(jìn)行解析����,獲取路由信息的目的地址為2.2.2.0/24(即對(duì)端 私網(wǎng)Y的私網(wǎng)側(cè)地址)���,下一跳地址為5.5.5.5(即網(wǎng)關(guān)設(shè)備C的地址)����,出端口為P0RT2。
[0075] 獲取到的路由信息如下:
[0076] _
[0077] S4����、網(wǎng)關(guān)設(shè)備A根據(jù)虛擬路由轉(zhuǎn)發(fā)標(biāo)記在本地路由表中查找對(duì)應(yīng)的缺省路由表項(xiàng)����。 [007引網(wǎng)關(guān)設(shè)備A中存儲(chǔ)的本地路由表如表3所示:
[0079] 表 3
[0080] _
[0081] 由于需要進(jìn)行路由迭代��,所W會(huì)查找目的地址為0.0.0.0/0的Ξ條路由表項(xiàng)���,運(yùn)Ξ 條表項(xiàng)為本地路由表中的缺省路由表項(xiàng)��。之后,根據(jù)在入端口處獲取的虛擬路由轉(zhuǎn)發(fā)標(biāo)記 v-vrf-portl匹配到其中的前兩條缺省路由表項(xiàng)�����。
[0082] S5���、網(wǎng)關(guān)設(shè)備A基于查找到的缺省路由表項(xiàng)進(jìn)行路由迭代,生成RRI表項(xiàng)����。
[0083] 根據(jù)路由信息和本地路由表中匹配到的缺省路由表項(xiàng)����,生成RRI表項(xiàng)��。具體的�����,生 成的RRI表項(xiàng)可W如下所示:
[0084]
[0085] 將該RRI表項(xiàng)插入到本地路由表中,最終,本地路由表如表4所示:
[00化]表4
[0087]
'[0088] S6����、網(wǎng)關(guān)設(shè)備A根據(jù)生成的RRI表項(xiàng)I����,對(duì)需要進(jìn)行IPseic封裝的流量進(jìn)行轉(zhuǎn)發(fā)����。 '
[0089] 應(yīng)用上述方案�����,網(wǎng)關(guān)設(shè)備在進(jìn)行IPsec協(xié)商時(shí),基于接收IPsec協(xié)商報(bào)文的入端口 的端口信息查找對(duì)應(yīng)的缺省路由表項(xiàng)�,僅根據(jù)查找到的缺省路由表項(xiàng)生成RRI表項(xiàng)��,生成的 RRI表項(xiàng)僅指向與該端口信息對(duì)應(yīng)的分支。也就是說(shuō)���,根據(jù)生成的RRI表項(xiàng)進(jìn)行流量轉(zhuǎn)發(fā)時(shí)�, 只能將流量發(fā)送至與該端口信息對(duì)應(yīng)的分支,從而避免了存在多個(gè)分支時(shí)����,路由迭代錯(cuò)誤 所導(dǎo)致的流量轉(zhuǎn)發(fā)多個(gè)分支的問題,提升流量轉(zhuǎn)發(fā)效率��。
[0090] 進(jìn)一步地�����,與入端口的端口信息為入端口的標(biāo)識(shí)信息不同的是���,如果根據(jù)入端口 的標(biāo)識(shí)信息進(jìn)行迭代�,在本地路由表里只匹配到P0RT2對(duì)應(yīng)的缺省路由表項(xiàng)���。運(yùn)樣一來(lái)�����,同 樣是采用運(yùn)營(yíng)商1網(wǎng)絡(luò)的端口 1則不會(huì)對(duì)流量進(jìn)行轉(zhuǎn)發(fā),從而使到達(dá)分支Y-側(cè)的流量都從 端口2發(fā)出�����,端口2的壓力較大。然而,采用虛擬路由轉(zhuǎn)發(fā)標(biāo)記進(jìn)行迭代時(shí)����,可W分別迭代到 出端口為端口 1和端口 2運(yùn)兩條缺省路由表項(xiàng)上�,生成兩條對(duì)應(yīng)的RRI表項(xiàng)���,從而使發(fā)往網(wǎng)關(guān) 設(shè)備C的流量可W通過端口 1和端口 2進(jìn)行負(fù)載分擔(dān)�����,降低一個(gè)端口上的流量轉(zhuǎn)發(fā)壓力����。
[0091] 與上述的方法實(shí)施例相對(duì)應(yīng)�,本發(fā)明實(shí)施例還提供一種路由表項(xiàng)生成裝置。
[0092] 圖4為本發(fā)明實(shí)施例提供的一種路由表項(xiàng)生成裝置的結(jié)構(gòu)示意圖,包括:
[0093] 獲取模塊201�,用于接收對(duì)端的網(wǎng)關(guān)設(shè)備發(fā)送的IPsec協(xié)商報(bào)文���,獲取接收所述 IPsec協(xié)商報(bào)文的入端口的端口信息、對(duì)端的私網(wǎng)側(cè)地址和下一跳地址��;
[0094] 查找模塊202,用于從本地路由表中查找與所述端口信息匹配的缺省路由表項(xiàng)�; [00M]生成模塊203,用于根據(jù)所述缺省路由表項(xiàng)中的出端口��、所述私網(wǎng)側(cè)地址和下一跳 地址進(jìn)行路由迭代�����,生成RRI表項(xiàng)���。
[0096] 在本實(shí)施例中�,查找模塊202���,具體可W用于:
[0097] 根據(jù)所述IPsec協(xié)商報(bào)文的路由前綴信息進(jìn)行合法性檢查;
[0098] 當(dāng)所述路由前綴信息合法時(shí)�,從本地路由表中查找與所述端口信息匹配的缺省路 由表項(xiàng)。
[0099] 在本實(shí)施例中,所述裝置還可W包括:
[0100] 提示模塊(圖中未示出)�����,用于當(dāng)在所述本地路由表中未查找到與所述端口信息匹 配的缺省路由表項(xiàng)時(shí),提示RRI表項(xiàng)生成失敗��。
[0101] 在本實(shí)施例中�����,所述端口信息為所述端口上預(yù)先配置的虛擬路由轉(zhuǎn)發(fā)標(biāo)記�。
[0102] 在本實(shí)施例中,生成模塊203,還可W用于:
[0103] 在接收所述IPsec協(xié)商報(bào)文的入端口上未配置對(duì)應(yīng)的虛擬路由轉(zhuǎn)發(fā)標(biāo)記的情況 下,根據(jù)所述私網(wǎng)側(cè)地址��、下一跳地址和本地路由表中缺省路由表項(xiàng)的出端口進(jìn)行路由迭 代���,生成RRI表項(xiàng)�����。
[0104] 應(yīng)用本發(fā)明圖3所示實(shí)施例����,網(wǎng)關(guān)設(shè)備在進(jìn)行IPsec協(xié)商時(shí),基于接收IPsec協(xié)商報(bào) 文的入端口的端口信息查找對(duì)應(yīng)的缺省路由表項(xiàng)�����,僅根據(jù)查找到的缺省路由表項(xiàng)生成RRI 表項(xiàng),生成的RRI表項(xiàng)僅指向與該端口信息對(duì)應(yīng)的分支��。也就是說(shuō),根據(jù)生成的RRI表項(xiàng)進(jìn)行 流量轉(zhuǎn)發(fā)時(shí)�,只能將流量發(fā)送至與該端口信息對(duì)應(yīng)的分支����,從而避免了存在多個(gè)分支時(shí)����,路 由迭代錯(cuò)誤所導(dǎo)致的流量轉(zhuǎn)發(fā)多個(gè)分支的問題��,提升流量轉(zhuǎn)發(fā)效率�����。并且不需要增加網(wǎng)關(guān) 設(shè)備�,也不需要將網(wǎng)關(guān)設(shè)備虛擬成多臺(tái)設(shè)備����,不增加設(shè)備成本及對(duì)設(shè)備維護(hù)的復(fù)雜性��。
[0105] 需要說(shuō)明的是,在本文中�,諸如第一和第二等之類的關(guān)系術(shù)語(yǔ)僅僅用來(lái)將一個(gè)實(shí) 體或者操作與另一個(gè)實(shí)體或操作區(qū)分開來(lái)��,而不一定要求或者暗示運(yùn)些實(shí)體或操作之間存 在任何運(yùn)種實(shí)際的關(guān)系或者順序。而且�����,術(shù)語(yǔ)"包括"��、"包含"或者其任何其他變體意在涵蓋 非排他性的包含�,從而使得包括一系列要素的過程���、方法、物品或者設(shè)備不僅包括那些要 素���,而且還包括沒有明確列出的其他要素�,或者是還包括為運(yùn)種過程、方法����、物品或者設(shè)備 所固有的要素�����。在沒有更多限制的情況下�����,由語(yǔ)句"包括一個(gè)……"限定的要素����,并不排除在 包括所述要素的過程�、方法、物品或者設(shè)備中還存在另外的相同要素���。
[0106] 本說(shuō)明書中的各個(gè)實(shí)施例均采用相關(guān)的方式描述,各個(gè)實(shí)施例之間相同相似的部 分互相參見即可�����,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處。尤其��,對(duì)于裝置實(shí) 施例而言��,由于其基本相似于方法實(shí)施例����,所W描述的比較簡(jiǎn)單,相關(guān)之處參見方法實(shí)施例 的部分說(shuō)明即可��。
[0107] 本領(lǐng)域普通技術(shù)人員可W理解實(shí)現(xiàn)上述方法實(shí)施方式中的全部或部分步驟是可 W通過程序來(lái)指令相關(guān)的硬件來(lái)完成,所述的程序可W存儲(chǔ)于計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中�����, 運(yùn)里所稱得的存儲(chǔ)介質(zhì)�����,如:R0M/RAM�����、磁碟�、光盤等�。
[0108] W上所述僅為本發(fā)明的較佳實(shí)施例而已�����,并非用于限定本發(fā)明的保護(hù)范圍��。凡在 本發(fā)明的精神和原則之內(nèi)所作的任何修改�、等同替換、改進(jìn)等���,均包含在本發(fā)明的保護(hù)范圍 內(nèi)��。
【主權(quán)項(xiàng)】
1. 一種路由表項(xiàng)生成方法�����,應(yīng)用于網(wǎng)關(guān)設(shè)備�,其特征在于�����,包括: 接收對(duì)端的網(wǎng)關(guān)設(shè)備發(fā)送的IPsec協(xié)商報(bào)文����,獲取接收所述IPsec協(xié)商報(bào)文的入端口的 端口信息��、對(duì)端的私網(wǎng)側(cè)地址和下一跳地址���; 從本地路由表中查找與所述端口信息匹配的缺省路由表項(xiàng)���; 根據(jù)所述缺省路由表項(xiàng)中的出端口�、所述私網(wǎng)側(cè)地址和下一跳地址進(jìn)行路由迭代,生 成反向路由注入RRI表項(xiàng)�。2. 根據(jù)權(quán)利要求1所述的方法��,其特征在于,所述從本地路由表中查找與所述端口信息 匹配的缺省路由表項(xiàng)��,包括: 根據(jù)所述IPsec協(xié)商報(bào)文的路由前綴信息進(jìn)行合法性檢查�; 當(dāng)所述路由前綴信息合法時(shí)�,從本地路由表中查找與所述端口信息匹配的缺省路由表 項(xiàng)。3. 根據(jù)權(quán)利要求1所述的方法��,其特征在于,所述方法還包括: 當(dāng)在所述本地路由表中未查找到與所述端口信息匹配的缺省路由表項(xiàng)時(shí)��,提示RRI表 項(xiàng)生成失敗�����。4. 根據(jù)權(quán)利要求1-3任一項(xiàng)所述的方法���,其特征在于,所述端口信息為所述入端口上預(yù) 先配置的虛擬路由轉(zhuǎn)發(fā)標(biāo)記���。5. 根據(jù)權(quán)利要求4所述的方法��,其特征在于�����,在接收所述IPsec協(xié)商報(bào)文的入端口上未 配置對(duì)應(yīng)的虛擬路由轉(zhuǎn)發(fā)標(biāo)記的情況下�����,所述方法還包括: 根據(jù)所述私網(wǎng)側(cè)地址�、下一跳地址和本地路由表中缺省路由表項(xiàng)的出端口進(jìn)行路由迭 代���,生成RRI表項(xiàng)�����。6. -種路由表項(xiàng)生成裝置����,應(yīng)用于網(wǎng)關(guān)設(shè)備��,其特征在于��,包括: 獲取模塊���,用于接收對(duì)端的網(wǎng)關(guān)設(shè)備發(fā)送的IPsec協(xié)商報(bào)文����,獲取接收所述IPsec協(xié)商 報(bào)文的入端口的端口信息��、對(duì)端的私網(wǎng)側(cè)地址和下一跳地址���; 查找模塊���,用于從本地路由表中查找與所述端口信息匹配的缺省路由表項(xiàng)�; 生成模塊,用于根據(jù)所述缺省路由表項(xiàng)中的出端口�����、所述私網(wǎng)側(cè)地址和下一跳地址進(jìn) 行路由迭代�,生成RRI表項(xiàng)�����。7. 根據(jù)權(quán)利要求6所述的裝置,其特征在于�,所述查找模塊,具體用于: 根據(jù)所述IPsec協(xié)商報(bào)文的路由前綴信息進(jìn)行合法性檢查����; 當(dāng)所述路由前綴信息合法時(shí)���,從本地路由表中查找與所述端口信息匹配的缺省路由表 項(xiàng)。8. 根據(jù)權(quán)利要求6所述的裝置,其特征在于�����,所述裝置還包括: 提示模塊�,用于當(dāng)在所述本地路由表中未查找到與所述端口信息匹配的缺省路由表項(xiàng) 時(shí)��,提示RRI表項(xiàng)生成失敗。9. 根據(jù)權(quán)利要求6-8任一項(xiàng)所述的裝置��,其特征在于�����,所述端口信息為所述入端口上預(yù) 先配置的虛擬路由轉(zhuǎn)發(fā)標(biāo)記。10. 根據(jù)權(quán)利要求9所述的裝置�,其特征在于�,所述生成模塊����,還用于: 在接收所述IPsec協(xié)商報(bào)文的入端口上未配置對(duì)應(yīng)的虛擬路由轉(zhuǎn)發(fā)標(biāo)記的情況下���,根 據(jù)所述私網(wǎng)側(cè)地址、下一跳地址和本地路由表中缺省路由表項(xiàng)的出端口進(jìn)行路由迭代����,生 成RRI表項(xiàng)����。
【文檔編號(hào)】H04L29/06GK106059932SQ201610643938
【公開日】2016年10月26日
【申請(qǐng)日】2016年8月8日 公開號(hào)201610643938.4, CN 106059932 A, CN 106059932A, CN 201610643938, CN-A-106059932, CN106059932 A, CN106059932A, CN201610643938, CN201610643938.4
【發(fā)明人】徐偉
【申請(qǐng)人】杭州華三通信技術(shù)有限公司