CN105227480B - 报文转发方法及相关装置和通信*** - Google Patents
报文转发方法及相关装置和通信*** Download PDFInfo
- Publication number
- CN105227480B CN105227480B CN201410265789.3A CN201410265789A CN105227480B CN 105227480 B CN105227480 B CN 105227480B CN 201410265789 A CN201410265789 A CN 201410265789A CN 105227480 B CN105227480 B CN 105227480B
- Authority
- CN
- China
- Prior art keywords
- couplet
- line
- switching equipment
- layer switching
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了报文转发方法及相关装置和通信***。一种报文转发方法包括:第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文;第一三层交换设备基于预设策略从第一三层交换设备的多个下联物理端口中确定出转发报文的第一下联物理端口;若第一下联物理端口下联的是第二三层交换设备,第一三层交换设备通过确定出的第一下联物理端口向第二三层交换设备转发报文。本发明实施例提供的技术方案有利于增大DDoS攻击防护网络架构的防护流量。
Description
技术领域
本发明涉及网络技术领域,具体主要涉及一种报文转发方法及相关装置和通信***。
背景技术
当前,随着互联网的飞速发展,网络安全问题也日趋严重。例如分布式拒绝服务(DDoS,Distributed Denial of Service)攻击就是网络中一种十分常见攻击方式。
参见图1,图1中举例示出现有的一种对目标主机进行DDoS攻击防护的网络架构。其中,报文到达目标主机之前经过路由器转发到某个DDoS防护设备上进行DDoS攻击识别,识别出为DDoS攻击的报文将被丢弃,识别出并非DDoS攻击的报文将被转发到目标主机。
本发明的发明人在研究和实践过程中发现,现有技术至少存在以下的技术问题:现有DDoS攻击防护网络架构中由1个路由器进行报文分发,由于路由器的下一跳路由条目数量很有限(条目上限一般为8条),这就使得其DDoS攻击防护的流量上限较小(一般最多可接入8个DDoS攻击防护设备),对于有些具有很大流量的目标主机,现有DDoS攻击防护网络架构通常难以满足防护要求。
发明内容
本发明实施例提供报文转发方法及相关装置和通信***,以期增大DDoS攻击防护网络架构的防护流量。
第一方面,一种报文转发方法,包括:
第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文;
所述第一三层交换设备基于预设策略从所述第一三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口;
若所述第一下联物理端口下联的是第二三层交换设备,所述第一三层交换设备通过确定出的所述第一下联物理端口向所述第二三层交换设备转发所述报文;
若所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,所述第一三层交换设备通过确定出的所述第一下联物理端口向所述分布式拒绝服务攻击防护设备转发所述报文,以便于所述分布式拒绝服务攻击防护设备对所述报文进行分布式拒绝服务攻击识别。
第二方面,一种三层交换设备,包括:
接收单元,用于接收待进行分布式拒绝服务攻击识别的报文;
确定单元,用于基于预设策略从所述三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口;
报文转发单元,用于若所述第一下联物理端口下联的是第二三层交换设备,通过确定出的所述第一下联物理端口向所述第二三层交换设备转发所述报文;若所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,通过确定出的所述第一下联物理端口向所述分布式拒绝服务攻击防护设备转发所述报文,以便于所述分布式拒绝服务攻击防护设备对所述报文进行分布式拒绝服务攻击识别。
第三方面,一种通信***,包括:核心路由器、核心路由器下联的至少1个三层交换设备和所述三层交换设备下联的至少1个分布式拒绝服务攻击防护设备;
所述核心路由器,用于接收待进行分布式拒绝服务攻击识别的报文;基于预设策略从所述核心路由器的多个下联物理端口之中确定出转发所述报文的第一下联物理端口;通过确定出的所述第一下联物理端口向所述至少1个三层交换设备中的第二三层交换设备转发所述报文;
所述第二三层交换设备,用于接收所述报文;基于预设策略从所述第二三层交换设备的多个下联物理端口之中确定出转发所述报文的第二下联物理端口;通过确定出的所述第二下联物理端口向分布式拒绝服务攻击防护设备转发所述报文;
所述分布式拒绝服务攻击防护设备,用于对所述报文进行分布式拒绝服务攻击识别。
可以看出,本发明一些实施例的技术方案中,第一三层交换设备在接收待进行DDoS攻击识别的报文之后,基于预设策略从多个下联物理端口中确定出转发上述报文的第一下联物理端口;若上述第一下联物理端口下联的是第二三层交换设备,第一三层交换设备通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文。由于引入三层交换设备级联架构,待进行DDoS攻击识别的报文可以在三层交换设备之间分发,通过至少两层三层交换设备级联,有利于对DDoS攻击防护网络架构进行灵活扩展,进而有利于接入更多数量的DDoS攻击防护设备。可见,相对于现有技术中只使用一个路由器来向DDoS攻击防护设备分发待进行DDoS攻击识别的报文而言,本发明上述方案有利于增大DDoS攻击防护网络架构的防护流量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的DDoS攻击防护网络架构的示意图;
图2是本发明实施例提供的一种报文转发方法的流程示意图;
图3-a是本发明实施例提供的一种DDoS攻击防护网络架构的示意图;
图3-b是本发明实施例提供的另一种报文转发方法的流程示意图;
图4-a是本发明实施例提供的一种DDoS攻击防护网络架构的示意图;
图4-b是本发明实施例提供的另一种报文转发方法的流程示意图;
图5-a是本发明实施例提供的一种DDoS攻击防护网络架构的示意图;
图5-b是本发明实施例提供的另一种报文转发方法的流程示意图;
图6是本发明实施例提供的一种三层交换设备的示意图;
图7是本发明实施例提供的另一种三层交换设备的示意图;
图8是本发明实施例提供的另一种三层交换设备的示意图;
图9是本发明实施例提供的一种通信设备的示意图。
具体实施方式
本发明实施例提供一种报文转发方法及相关装置和通信***。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
以下分别进行详细说明。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别不同的对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明报文转发方法的一个实施例,一种报文转发方法包括:第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文;第一三层交换设备基于预设策略从第一三层交换设备的多个下联物理端口中确定出转发上述报文的第一下联物理端口;若上述第一下联物理端口下联的是第二三层交换设备,第一三层交换设备通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文;若上述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,上述第一三层交换设备通过确定出的上述第一下联物理端口向上述分布式拒绝服务攻击防护设备转发上述报文,以便于上述分布式拒绝服务攻击防护设备对上述报文进行分布式拒绝服务攻击识别。
请参见图2,图2为本发明的一个实施例提供的一种报文转发方法的流程示意图。其中,如图1所示,本发明的一个实施例提供的一种报文转发方法可包括以下内容:
201、第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文。
可选的,在本发明的一些可能的实施方式中,上述第一三层交换设备接收待进行DDoS攻击识别的报文可包括:上述第一三层交换设备接收来自第四三层交换设备的待进行DDoS攻击识别的报文;或者,上述第一三层交换设备接收来自外网的待进行DDoS攻击识别的报文;或者,上述第一三层交换设备接收来自目的主机或其他设备的待进行DDoS攻击识别的报文。
其中,上述目的主机为上述待进行DDoS攻击识别的报文的目的地址所对应的主机。
其中,本发明各实施例的三层交换设备可能为路由器或交换机或其他具有三层交换功能的设备。
202、上述第一三层交换设备基于预设策略从上述第一三层交换设备的多个下联物理端口中确定出转发上述报文的第一下联物理端口。
其中,所述预设策略可以包括随机选择策略、轮询选择策略或负载均衡策略等预设策略。
具体例如,上述第一三层交换设备可基于随机选择策略从多个下联物理端口中随机确定出转发上述报文的第一下联物理端口。又具体例如,上述第一三层交换设备可基于轮询选择策略从多个下联物理端口中确定出转发上述报文的第一下联物理端口。又具体例如,上述第一三层交换设备可基于负载均衡策略从多个下联物理端口中确定出转发上述报文的当前负载最小或较小的第一下联物理端口。
203、若上述第一下联物理端口下联的是第二三层交换设备,上述第一三层交换设备通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文。
204、若第一下联物理端口下联的是DDoS攻击防护设备,上述第一三层交换设备通过确定出的上述第一下联物理端口向上述DDoS攻击防护设备转发上述报文,以便于上述DDoS攻击防护设备对上述报文进行DDoS攻击识别。
其中,DDoS攻击防护设备是提供防DDoS攻击的安全设备。DDoS攻击防护设备若将报文识别为DDoS攻击报文,可丢弃该报文;DDoS攻击防护设备若将报文识别为非DDoS攻击报文,则可将该报文反馈到目的主机。
可以看出,本实施例第一三层交换设备在接收待进行DDoS攻击识别的报文之后,基于预设策略从多个下联物理端口中确定出转发上述报文的第一下联物理端口;若上述第一下联物理端口下联的是第二三层交换设备,第一三层交换设备通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文。由于引入三层交换设备级联架构,待进行DDoS攻击识别的报文可以在三层交换设备之间分发,通过至少两层三层交换设备级联,有利于对DDoS攻击防护网络架构进行灵活扩展,进而有利于接入更多数量的DDoS攻击防护设备。可见,相对于现有技术中只使用一个路由器来向DDoS攻击防护设备分发待进行DDoS攻击识别的报文而言,本发明上述方案有利于增大DDoS攻击防护网络架构的防护流量。
可选的,在本发明一些可能的实施方式中,上述第一三层交换设备基于预设策略从上述第一三层交换设备的多个下联物理端口中确定出转发上述报文的第一下联物理端口,可以包括:上述第一三层交换设备基于预设策略从上述第一三层交换设备的多个下联逻辑端口中确定出转发上述报文的第一下联逻辑端口,基于预设策略从上述第一下联逻辑端口所包含的多个下联物理端口中确定出转发上述报文的第一下联物理端口。其中,第一三层交换设备将第一三层交换设备的多个下联逻辑端口进行分组,将同一组的多个下联物理端口聚合成一个下联逻辑端口,通过引入下联逻辑端口来管理下联物理端口,有利于简化端口管理复杂度。
可选的,在本发明一些可能的实施方式中,上述第一三层交换设备接收来自第四三层交换设备的待进行DDoS攻击识别的报文包括:上述第一三层交换设备通过第一上联物理端口接收来自第四三层交换设备的待进行DDoS攻击识别的报文。
其中,第一三层交换设备基于预设策略从第一三层交换设备的多个下联物理端口中确定出转发上述报文的第一下联物理端口,可包括:基于上述第一三层交换设备的虚拟三层交换设备和上联逻辑端口之间的映射关系,确定第一上联物理端口所属的第一上联逻辑端口所对应的第一虚拟三层交换设备;基于预设策略从上述第一虚拟三层交换设备所对应的多条下一跳路由条目中选择第一下一跳路由条目,其中,上述第一下一跳路由条目所对应的第一下联物理端口为确定出的转发上述报文的下联物理端口。其中,通过引入虚拟化功能,第一三层交换设备可虚拟出多个虚拟三层交换设备,例如,第一三层交换设备虚拟出的多个虚拟三层交换设备和第一三层交换设备的多个上联逻辑端口一一对应,通过引入虚拟三层交换设备,可增加第一三层交换设备的下一跳路由条目数量,进而有利于第一三层交换设备之下接入更多数量第一三层交换设备或DDoS攻击防护设备。
可选的,在本发明一些可能的实施方式中,若上述第一下联物理端口下联的是DDoS攻击防护设备,上述报文转发方法还可进一步包括:上述第一三层交换设备通过每个下联物理端口与下联的不同DDoS攻击防护设备分别建立边界网关协议会话。也就是说,每个DDoS攻击防护设备对应不同的边界网关协议会话,例如,第一三层交换设备通过100个下联物理端口下联了100个DDoS攻击防护设备,第一三层交换设备通过100个下联物理端口与下联的100个DDoS攻击防护设备分别建立边界网关协议会话。其中,下联的DDoS攻击防护设备、下联物理端口和边界网关协议会话一一对应。
可选的,在本发明一些可能实施方式中,若上述第一下联物理端口下联的是第二三层交换设备,上述报文转发方法还可进一步包括:上述第一三层交换设备通过每个下联逻辑端口与下联的三层交换设备分别建立边界网关协议会话。也就是说,每个下联逻辑端口对应不同的边界网关协议会话,例如第一三层交换设备通过10个下联逻辑端口与下联的三层交换设备分别建立边界网关协议会话。其中,下联逻辑端口和边界网关协议会话一一对应,或者下联逻辑端口、下联的三层交换设备和边界网关协议会话一一对应。
为便于更好的理解和实施本发明实施例的上述方案,下面通过一些场景进行举例说明。
参见图3-a,图3-a示出了一种DDoS攻击防护网络架构。图3-a所示的DDoS攻击防护网络架构之中,目标主机和核心路由器连接,核心路由器通过8个下联物理端口下联了8个三层交换机,每个三层交换机分别通过8个下联物理端口下联了8个DDoS攻击防护设备。
参见图3-b,图3-b为本发明的另一个实施例提供的另一种报文转发方法的流程示意图。其中,图3-b所示的报文转发方法可在图3-a所示架构中具体实施。如图3-b所示,本发明的另一个实施例提供的另一种报文转发方法可包括以下内容:
301、核心路由器接收来自外网的待进行DDoS攻击识别的报文。
302、核心路由器基于预设策略从核心路由器的8个下联物理端口中确定出转发上述报文的第一下联物理端口。核心路由器通过确定出的上述第一下联物理端口向第二三层交换机转发上述报文。
其中,第二三层交换机为上述8个三层交换机中其中一个。
其中,所述预设策略可以包括随机选择策略、轮询选择策略或负载均衡策略等预设策略。
具体例如,核心路由器可基于随机选择策略从核心路由器的8个下联物理端口中随机确定出转发上述报文的第一下联物理端口。又例如,核心路由器可基于轮询选择策略从核心路由器的8个下联物理端口中确定出转发上述报文的第一下联物理端口。又具体例如,核心路由器可基于负载均衡策略从核心路由器的8个下联物理端口中确定出转发上述报文的当前负载最小或较小的第一下联物理端口。
303、第二三层交换机接收上述报文,可基于预设策略从第二三层交换机的8个下联物理端口中确定出转发上述报文的第二下联物理端口;第二三层交换机通过确定出的上述第二下联物理端口,向第一DDoS攻击防护设备转发上述报文。
其中,第一DDoS攻击防护设备为第二三层交换机下联的8个DDoS攻击防护设备中的其中一个。
304、第一DDoS攻击防护设备接收上述报文,第一DDoS攻击防护设备对上述报文进行DDoS攻击识别。
若第一DDoS攻击防护设备识别出对上述报文为DDoS攻击报文,则可丢弃上述报文。
若第一DDoS攻击防护设备识别出对上述报文为非DDoS攻击报文,则可执行步骤305。
305、第一DDoS攻击防护设备向第二三层交换机转发上述报文。
306、第二三层交换机向核心路由器转发上述报文。
307、核心路由器向目标主机转发上述报文。
可选的,在本发明一些可能的实施方式中,上述第二三层交换机可通过每个下联物理端口与下联的不同DDoS攻击防护设备分别建立边界网关协议会话。具体的,每个DDoS攻击防护设备对应不同的边界网关协议会话,例如第二三层交换机通过8个下联物理端口与下联的8个DDoS攻击防护设备分别建立边界网关协议会话。其中,8个下联的DDoS攻击防护设备、第二三层交换机的8个该下联物理端口和8个边界网关协议会话一一对应。
可选的,在本发明一些可能实施方式中,上述核心路由器通过其8个下联物理端口与8个下联的三层交换机分别建立边界网关协议会话。其中,核心路由器的8个下联物理端口和8个边界网关协议会话一一对应,该8个边界网关协议会话和该8个三层交换机一一对应。
可以看出,本实施例中,核心路由器在接收待进行DDoS攻击识别的报文之后,基于预设策略从多个下联物理端口中确定出转发上述报文的第一下联物理端口;核心路由器通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文。由于引入三层交换设备级联架构,待进行DDoS攻击识别的报文可以在三层交换设备之间分发,通过至少两层三层交换设备级联,有利于对DDoS攻击防护网络架构进行灵活扩展,进而有利于接入更多数量的DDoS攻击防护设备。可见,相对于现有技术中只使用一个路由器来向DDoS攻击防护设备分发待进行DDoS攻击识别的报文而言,本实施例的上述方案有利于增大DDoS攻击防护网络架构的防护流量。
参见图4-a,图4-a示出了一种DDoS攻击防护网络架构。图4-a所示的DDoS攻击防护网络架构之中,目标主机和核心路由器连接,核心路由器通过8个下联物理端口下联了1个三层交换机,该三层交换机分别通过64个下联物理端口下联了64个DDoS攻击防护设备。
参见图4-b,图4-b为本发明的另一个实施例提供的另一种报文转发方法的流程示意图。其中,图4-b所示的报文转发方法可在图4-a所示架构中具体实施。如图4-b所示,本发明的另一个实施例提供的另一种报文转发方法可包括以下内容:
401、核心路由器接收来自外网的待进行DDoS攻击识别的报文。
402、核心路由器基于预设策略从核心路由器的8个下联物理端口中确定出转发上述报文的第二下联物理端口。核心路由器通过确定出的上述第二下联物理端口向三层交换机转发上述报文。
其中,所述预设策略可以包括随机选择策略、轮询选择策略或负载均衡策略等预设策略。
具体例如,核心路由器可基于随机选择策略从核心路由器的8个下联物理端口中随机确定出转发上述报文的第二下联物理端口。又例如,核心路由器可基于轮询选择策略从8个下联物理端口中确定出转发上述报文的第二下联物理端口。又具体例如,核心路由器可基于负载均衡策略从8个下联物理端口中确定出转发上述报文的当前负载最小或较小的第二下联物理端口。
403、上述三层交换机通过第一上联物理端口接收上述报文。
上述三层交换机可基于上述三层交换机所虚拟出的虚拟三层交换机和上述三层交换机的上联逻辑端口之间的映射关系,确定上述三层交换机的第一上联物理端口所对应的第一虚拟三层交换机;基于预设策略从上述第一虚拟三层交换机所对应的8条下一跳路由条目中选择第一下一跳路由条目,其中,上述第一下一跳路由条目所对应的第一下联物理端口为确定出的转发上述报文的下联物理端口。
上述三层交换机通过确定出的上述第一下联物理端口,向第一DDoS攻击防护设备转发上述报文。
其中,通过引入虚拟化功能,上述三层交换机可虚拟出8个虚拟三层交换机,例如,第一三层交换机虚拟出的8个虚拟三层交换机和上述三层交换机的8个上联物理端口一一对应,通过引入虚拟三层交换机,可增加上述三层交换机的下一跳路由条目数量,进而有利于上述三层交换机之下接入更多数量的DDoS攻击防护设备。
其中,第一DDoS攻击防护设备为第一虚拟三层交换机所对应的8个下联物理端口下联的8个DDoS攻击防护设备中的其中一个。
404、第一DDoS攻击防护设备接收上述报文,第一DDoS攻击防护设备对上述报文进行DDoS攻击识别。
若第一DDoS攻击防护设备识别出对上述报文为DDoS攻击报文,则可丢弃上述报文。
若第一DDoS攻击防护设备识别出对上述报文为非DDoS攻击报文,则可执行步骤405。
405、第一DDoS攻击防护设备向上述三层交换机转发上述报文。
406、上述三层交换机向核心路由器转发上述报文。
407、核心路由器向目标主机转发上述报文。
可选的,在本发明一些可能的实施方式中,上述三层交换机可通过每个下联物理端口与下联的不同DDoS攻击防护设备分别建立边界网关协议会话。具体的,每个DDoS攻击防护设备对应不同的边界网关协议会话,例如上述三层交换机通过64个下联物理端口与下联的64个DDoS攻击防护设备分别建立边界网关协议会话。其中,64个下联的DDoS攻击防护设备、上述三层交换机的64个该下联物理端口和64个边界网关协议会话一一对应。
可选的,在本发明一些可能实施方式中,上述核心路由器通过其8个下联物理端口与上述三层交换机分别建立边界网关协议会话。其中,核心路由器的8个下联物理端口和8个边界网关协议会话一一对应。
可以看出,本实施例中,核心路由器在接收待进行DDoS攻击识别的报文之后,基于预设策略从多个下联物理端口中确定出转发上述报文的第二下联物理端口;核心路由器通过确定出的上述第二下联物理端口向三层交换机转发上述报文。由于引入三层交换机级联架构,待进行DDoS攻击识别的报文可在核心路由器和三层交换机之间分发,通过至少两层三层交换机级联,有利于对DDoS攻击防护网络架构进行灵活扩展,进而有利于接入更多数量的DDoS攻击防护设备。可见,相对于现有技术中只使用一个路由器来向DDoS攻击防护设备分发待进行DDoS攻击识别的报文而言,本实施例的上述方案有利于增大DDoS攻击防护网络架构的防护流量。
参见图5-a,图5-a示出了一种DDoS攻击防护网络架构。图5-a所示的DDoS攻击防护网络架构之中,目标主机和核心路由器连接,核心路由器通过64个下联物理端口下联了1个三层交换机,该三层交换机分别通过64个下联物理端口下联了64个DDoS攻击防护设备。
参见图5-b,图5-b为本发明的另一个实施例提供的另一种报文转发方法的流程示意图。其中,图5-b所示的报文转发方法可在图4-a所示架构中具体实施。如图5-b所示,本发明的另一个实施例提供的另一种报文转发方法可包括以下内容:
501、核心路由器接收来自外网的待进行DDoS攻击识别的报文。
502、核心路由器基于预设策略从核心路由器的8个下联逻辑端口中确定出转发上述报文的第二下联逻辑端口。核心路由器基于预设策略从第二下联逻辑端口包含的8个下联物理端口中确定出转发上述报文的第三下联物理端口。
其中,核心路由器通过确定出的上述第三下联物理端口向三层交换机转发上述报文。
其中,核心路由器的8个下联逻辑端口中的每个下联逻辑端口包含8个下联物理端口。
其中,所述预设策略可以包括随机选择策略、轮询选择策略或负载均衡策略等预设策略。
503、上述三层交换机通过第一上联物理端口接收上述报文。
上述三层交换机可基于上述三层交换机所虚拟出的虚拟三层交换机和上述三层交换机的上联逻辑端口之间的映射关系,确定上述三层交换机的第一上联物理端口所属的第一上联逻辑端口所对应的第一虚拟三层交换机;基于预设策略从上述第一虚拟三层交换机所对应的8条下一跳路由条目中选择第一下一跳路由条目,其中,上述第一下一跳路由条目所对应的第一下联物理端口为确定出的转发上述报文的下联物理端口。
上述三层交换机通过确定出的上述第一下联物理端口,向第一DDoS攻击防护设备转发上述报文。
其中,通过引入虚拟化功能,上述三层交换机可以虚拟出8个虚拟三层交换机,例如,三层交换机虚拟出的8个虚拟三层交换机和上述三层交换机的8个上联物理端口一一对应,通过引入虚拟三层交换机,可增加上述三层交换机的下一跳路由条目数量,进而有利于上述三层交换机之下接入更多数量的DDoS攻击防护设备。
其中,第一DDoS攻击防护设备为第一虚拟三层交换机所对应的8个下联物理端口下联的8个DDoS攻击防护设备中的其中一个。
504、第一DDoS攻击防护设备接收上述报文,第一DDoS攻击防护设备对上述报文进行DDoS攻击识别。
若第一DDoS攻击防护设备识别出对上述报文为DDoS攻击报文,则可丢弃上述报文。
若第一DDoS攻击防护设备识别出对上述报文为非DDoS攻击报文,则可执行步骤505。
505、第一DDoS攻击防护设备向上述三层交换机转发上述报文。
506、上述三层交换机向核心路由器转发上述报文。
507、核心路由器向目标主机转发上述报文。
可选的,在本发明一些可能的实施方式中,上述三层交换机可通过每个下联物理端口与下联的不同DDoS攻击防护设备分别建立边界网关协议会话。具体的,每个DDoS攻击防护设备对应不同的边界网关协议会话,例如上述三层交换机通过64个下联物理端口与下联的64个DDoS攻击防护设备分别建立边界网关协议会话。其中,64个下联的DDoS攻击防护设备、上述三层交换机的64个该下联物理端口和64个边界网关协议会话一一对应。
可选的,在本发明一些可能实施方式中,上述核心路由器通过其8个下联物理端口与上述三层交换机分别建立边界网关协议会话。其中,核心路由器的8个下联物理端口和8个边界网关协议会话一一对应。
可以看出,本实施例中,核心路由器在接收待进行DDoS攻击识别的报文之后,基于预设策略从多个下联物理端口中确定出转发上述报文的第三下联物理端口;核心路由器通过确定出的上述第三下联物理端口向三层交换机转发上述报文。由于引入三层交换机级联架构,待进行DDoS攻击识别的报文可在核心路由器和三层交换机之间分发,通过至少两层三层交换机级联,有利于对DDoS攻击防护网络架构进行灵活扩展,进而有利于接入更多数量的DDoS攻击防护设备。可见,相对于现有技术中只使用一个路由器来向DDoS攻击防护设备分发待进行DDoS攻击识别的报文而言,本实施例的上述方案有利于增大DDoS攻击防护网络架构的防护流量。
参见图6,本发明实施例提供一种三层交换设备600,可以包括:接收单元610、确定单元620和报文转发单元630。
接收单元610,用于接收待进行DDoS攻击识别的报文;
确定单元620,用于基于预设策略从三层交换设备600的多个下联物理端口中确定出转发上述报文的第一下联物理端口;
报文转发单元630,用于若上述第一下联物理端口下联的是第二三层交换设备,通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文;若上述第一下联物理端口下联的是DDoS攻击防护设备,通过确定出的上述第一下联物理端口向上述DDoS攻击防护设备转发上述报文,以便于上述DDoS攻击防护设备对上述报文进行DDoS攻击识别。
可选的,在本发明一些可能实施方式中,接收单元610具体用于,接收来自第四三层交换设备的待进行DDoS攻击识别的报文;或,接收来自外网的待进行DDoS攻击识别的报文;或,接收来自目的主机的待进行DDoS攻击识别的报文。
可选的,在本发明一些可能实施方式中,确定单元620具体用于,基于预设策略从多个下联逻辑端口中确定出转发上述报文的第一下联逻辑端口,基于预设策略从上述第一下联逻辑端口所包含的多个下联物理端口中确定出转发上述报文的第一下联物理端口。
可选的,在本发明一些可能实施方式中,在上述接收来自第四三层交换设备的待进行DDoS攻击识别的报文方面,上述接收单元610可以具体用于,通过第一上联物理端口接收来自第四三层交换设备的待进行DDoS攻击识别的报文。
其中,上述确定单元620具体用于,基于上述三层交换设备600的虚拟三层交换设备和三层交换设备600的上联逻辑端口之间的映射关系,确定第一上联物理端口所属的第一上联逻辑端口所对应的第一虚拟三层交换设备;基于预设策略从上述第一虚拟三层交换设备所对应的多条下一跳路由条目中选择第一下一跳路由条目,上述第一下一跳路由条目所对应的第一下联物理端口为确定出的转发上述报文的下联物理端口。
可选的,在本发明一些可能实施方式中,上述第一下联物理端口下联的是DDoS攻击防护设备,上述三层交换设备600还可以包括:会话单元,用于通过每个下联物理端口与下联不同的DDoS攻击防护设备分别建立边界网关协议会话。
可选的,在本发明一些可能实施方式中,上述第一下联物理端口下联的是第二三层交换设备,其中,上述三层交换设备还包括:会话单元,用于通过每个下联逻辑端口与下联的三层交换设备分别建立边界网关协议会话。
可以理解的是,本实施例的三层交换设备600的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
可以看出,本实施例三层交换设备600在接收待进行DDoS攻击识别的报文之后,基于预设策略从多个下联物理端口中确定出转发上述报文的第一下联物理端口;若上述第一下联物理端口下联的是第二三层交换设备,三层交换设备600通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文。由于引入三层交换设备级联架构,待进行DDoS攻击识别的报文可以在三层交换设备之间分发,通过至少两层三层交换设备级联,有利于对DDoS攻击防护网络架构进行灵活扩展,进而有利于接入更多数量的DDoS攻击防护设备。可见,相对于现有技术中只使用一个路由器来向DDoS攻击防护设备分发待进行DDoS攻击识别的报文而言,本发明上述方案有利于增大DDoS攻击防护网络架构的防护流量。
参见图7,图7为本发明实施例提供的三层交换设备700的示意图,三层交换设备700可包括至少一个总线701、与总线701相连的至少一个处理器702以及与总线701相连的至少一个存储器703。
其中,处理器702通过总线701,调用存储器703中存储的代码以用于接收待进行分布式拒绝服务攻击识别的报文;基于预设策略从三层交换设备700的多个下联物理端口中确定出转发上述报文的第一下联物理端口;若上述第一下联物理端口下联的是第二三层交换设备,通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文;若上述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,通过确定出的上述第一下联物理端口向上述分布式拒绝服务攻击防护设备转发上述报文,以便于上述分布式拒绝服务攻击防护设备对上述报文进行分布式拒绝服务攻击识别。
可选的,在本发明的一些可能的实施方式中,处理器702可用于接收来自第四三层交换设备的待进行DDoS攻击识别的报文;或者,接收来自外网的待进行DDoS攻击识别的报文;或者,接收来自目的主机或其他设备的待进行DDoS攻击识别的报文。
其中,上述目的主机为上述待进行DDoS攻击识别的报文的目的地址所对应的主机。
其中,上述第四三层交换设备可能为核心路由器或交换设备机。
其中,所述预设策略可以包括随机选择策略、轮询选择策略或负载均衡策略等预设策略。
具体例如,处理器702可用于可基于随机选择策略从多个下联物理端口中随机确定出转发上述报文的第一下联物理端口。
又具体例如,处理器702可用于可基于轮询选择策略从多个下联物理端口中确定出转发上述报文的第一下联物理端口。
又具体例如,处理器702可用于基于负载均衡策略从多个下联物理端口中确定出转发上述报文的当前负载最小或较小的第一下联物理端口。
可选的,在本发明一些可能的实施方式中,处理器702可用于基于预设策略从三层交换设备700的多个下联逻辑端口中确定出转发上述报文的第一下联逻辑端口,基于预设策略从上述第一下联逻辑端口所包含的多个下联物理端口中确定出转发上述报文的第一下联物理端口。其中,三层交换设备700将其多个下联逻辑端口进行分组,将同一组的多个下联物理端口聚合成一个下联逻辑端口,通过引入下联逻辑端口来管理下联物理端口,有利于简化端口管理复杂度。
可选的,在本发明一些可能的实施方式中,处理器702可用于通过第一上联物理端口接收来自第四三层交换设备的待进行DDoS攻击识别的报文。
其中,处理器702可用于基于上述三层交换设备700的虚拟三层交换设备和上联逻辑端口之间的映射关系,确定第一上联物理端口所属的第一上联逻辑端口所对应的第一虚拟三层交换设备;基于预设策略从上述第一虚拟三层交换设备所对应的多条下一跳路由条目中选择第一下一跳路由条目,其中,上述第一下一跳路由条目所对应的第一下联物理端口为确定出的转发上述报文的下联物理端口。
可选的,在本发明一些可能的实施方式中,若上述第一下联物理端口下联的是DDoS攻击防护设备,处理器702还可用于通过每个三层交换设备700的下联物理端口与下联的不同DDoS攻击防护设备分别建立边界网关协议会话。也就是说,每个DDoS攻击防护设备对应不同的边界网关协议会话,例如处理器702通过三层交换设备700的100个下联物理端口下联了100个DDoS攻击防护设备,处理器702可通过三层交换设备700的100个下联物理端口与下联的100个DDoS攻击防护设备分别建立边界网关协议会话。其中,100个下联的DDoS攻击防护设备、100个下联物理端口和100个边界网关协议会话一一对应。
可选的,在本发明一些可能实施方式中,若上述第一下联物理端口下联的是第二三层交换设备,处理器702还可用于通过每个下联逻辑端口与下联的三层交换设备分别建立边界网关协议会话。也就是说,每个下联逻辑端口对应不同的边界网关协议会话,例如处理器702还用于通过三层交换设备700的10个下联逻辑端口与下联的三层交换设备分别建立边界网关协议会话。其中,10个下联逻辑端口和10个边界网关协议会话一一对应,或10个下联逻辑端口、10个下联的三层交换设备和10个边界网关协议会话一一对应。
可以理解的是,本实施例的三层交换设备700的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
可以看出,本实施例三层交换设备700在接收待进行DDoS攻击识别的报文之后,基于预设策略从多个下联物理端口中确定出转发上述报文的第一下联物理端口;若上述第一下联物理端口下联的是第二三层交换设备,三层交换设备700通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文。由于引入三层交换设备级联架构,待进行DDoS攻击识别的报文可以在三层交换设备之间分发,通过至少两层三层交换设备级联,有利于对DDoS攻击防护网络架构进行灵活扩展,进而有利于接入更多数量的DDoS攻击防护设备。可见,相对于现有技术中只使用一个路由器来向DDoS攻击防护设备分发待进行DDoS攻击识别的报文而言,本发明上述方案有利于增大DDoS攻击防护网络架构的防护流量。
参见图8,图8是本发明的另一实施例提供的三层交换设备800的结构框图。其中,三层交换设备800可以包括:至少1个处理器801,至少1个网络接口804或其他用户接口803,存储器805,至少1个通信总线802。通信总线802用于实现这些组件之间的连接通信。其中,该三层交换设备800可选的可以包含用户接口803,例如包括显示器(例如,触摸屏、LCD、CRT、全息成像(Holographic)或者投影(Projector)等)、点击设备(例如鼠标、轨迹球(trackball)触感板或触摸屏等)、摄像头和/或拾音装置等。
其中,存储器802可以包括只读存储器和随机存取存储器,并向处理器801提供指令和数据。存储器802中的一部分还可以包括非易失性随机存取存储器(NVRAM)。
在一些实施方式中,存储器805存储了如下的元素,可执行模块或者数据结构,或者他们的子集,或者他们的扩展集:
操作***8051,包含各种***程序,用于实现各种基础业务以及处理基于硬件的任务。
应用程序模块8052,包含各种应用程序,用于实现各种应用业务。
在本发明的实施例中,通过调用存储器808存储的程序或指令,处理器801接收待进行分布式拒绝服务攻击识别的报文;基于预设策略从三层交换设备800的多个下联物理端口中确定出转发上述报文的第一下联物理端口;若上述第一下联物理端口下联的是第二三层交换设备,通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文;若上述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,通过确定出的上述第一下联物理端口向上述分布式拒绝服务攻击防护设备转发上述报文,以便于上述分布式拒绝服务攻击防护设备对上述报文进行分布式拒绝服务攻击识别。
可选的,在本发明的一些可能的实施方式中,处理器801可用于接收来自第四三层交换设备的待进行DDoS攻击识别的报文;或者,接收来自外网的待进行DDoS攻击识别的报文;或者,接收来自目的主机或其他设备的待进行DDoS攻击识别的报文。
其中,上述目的主机为上述待进行DDoS攻击识别的报文的目的地址所对应的主机。
其中,上述第四三层交换设备可能为核心路由器或交换设备机。
其中,所述预设策略可以包括随机选择策略、轮询选择策略或负载均衡策略等预设策略。
具体例如,处理器801可用于可基于随机选择策略从多个下联物理端口中随机确定出转发上述报文的第一下联物理端口。
又具体例如,处理器801可用于可基于轮询选择策略从多个下联物理端口中确定出转发上述报文的第一下联物理端口。
又具体例如,处理器801可用于基于负载均衡策略从多个下联物理端口中确定出转发上述报文的当前负载最小或较小的第一下联物理端口。
可选的,在本发明一些可能的实施方式中,处理器801可用于基于预设策略从多个下联逻辑端口中确定出转发上述报文的第一下联逻辑端口,基于预设策略从上述第一下联逻辑端口所包含的多个下联物理端口中确定出转发上述报文的第一下联物理端口。其中,三层交换设备800将其多个下联逻辑端口进行分组,将同一组的多个下联物理端口聚合成一个下联逻辑端口,通过引入下联逻辑端口来管理下联物理端口,有利于简化端口管理复杂度。
可选的,在本发明一些可能的实施方式中,处理器801可用于通过第一上联物理端口接收来自第四三层交换设备的待进行DDoS攻击识别的报文。
其中,处理器801可用于基于上述三层交换设备800的虚拟三层交换设备和上联逻辑端口之间的映射关系,确定第一上联物理端口所属的第一上联逻辑端口所对应的第一虚拟三层交换设备;基于预设策略从上述第一虚拟三层交换设备所对应的多条下一跳路由条目中选择第一下一跳路由条目,其中,上述第一下一跳路由条目所对应的第一下联物理端口为确定出的转发上述报文的下联物理端口。
可选的,在本发明一些可能的实施方式中,若上述第一下联物理端口下联的是DDoS攻击防护设备,处理器801还可用于通过每个三层交换设备800的下联物理端口与下联的不同DDoS攻击防护设备分别建立边界网关协议会话。也就是说,每个DDoS攻击防护设备对应不同的边界网关协议会话,例如处理器801通过三层交换设备800的100个下联物理端口下联了100个DDoS攻击防护设备,处理器801可通过三层交换设备800的100个下联物理端口与下联的100个DDoS攻击防护设备分别建立边界网关协议会话。其中,100个下联的DDoS攻击防护设备、100个下联物理端口和100个边界网关协议会话一一对应。
可选的,在本发明一些可能实施方式中,若上述第一下联物理端口下联的是第二三层交换设备,处理器801还可用于通过每个下联逻辑端口与下联的三层交换设备分别建立边界网关协议会话。也就是说,每个下联逻辑端口对应不同的边界网关协议会话,例如处理器801还用于通过三层交换设备800的10个下联逻辑端口与下联的三层交换设备分别建立边界网关协议会话。其中,10个下联逻辑端口和10个边界网关协议会话一一对应,或10个下联逻辑端口、10个下联的三层交换设备和10个边界网关协议会话一一对应。
可以理解的是,本实施例的三层交换设备800的各功能模块的功能可根据上述方法实施例中的方法具体实现,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
可以看出,本实施例三层交换设备800在接收待进行DDoS攻击识别的报文之后,基于预设策略从多个下联物理端口中确定出转发上述报文的第一下联物理端口;若上述第一下联物理端口下联的是第二三层交换设备,三层交换设备800通过确定出的上述第一下联物理端口向上述第二三层交换设备转发上述报文。由于引入三层交换设备级联架构,待进行DDoS攻击识别的报文可以在三层交换设备之间分发,通过至少两层三层交换设备级联,有利于对DDoS攻击防护网络架构进行灵活扩展,进而有利于接入更多数量的DDoS攻击防护设备。可见,相对于现有技术中只使用一个路由器来向DDoS攻击防护设备分发待进行DDoS攻击识别的报文而言,本发明上述方案有利于增大DDoS攻击防护网络架构的防护流量。
参见图9,本发明实施例提供一种通信***,可包括:
核心路由器910、核心路由器910下联的至少1个三层交换设备920和三层交换设备920下联的至少1个分布式拒绝服务攻击防护设备930。
核心路由器910,用于接收待进行分布式拒绝服务攻击识别的报文;基于预设策略从所述核心路由器910的多个下联物理端口之中确定出转发所述报文的第一下联物理端口;通过确定出的所述第一下联物理端口向所述至少1个三层交换设备920中的第二三层交换设备转发所述报文;
第二三层交换设备920,用于接收所述报文;基于预设策略从所述第二三层交换设备的多个下联物理端口之中确定出转发所述报文的第二下联物理端口;通过确定出的所述第二下联物理端口向分布式拒绝服务攻击防护设备转发所述报文;
分布式拒绝服务攻击防护设备930,用于对所述报文进行分布式拒绝服务攻击识别。
本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时包括上述方法实施例中记载的报文转发方法的部分或全部步骤。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (13)
1.一种报文转发方法,其特征在于,包括:
第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文;
所述第一三层交换设备基于预设策略从所述第一三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口;
若所述第一下联物理端口下联的是第二三层交换设备,所述第一三层交换设备通过确定出的所述第一下联物理端口向所述第二三层交换设备转发所述报文;
若所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,所述第一三层交换设备通过确定出的所述第一下联物理端口向所述分布式拒绝服务攻击防护设备转发所述报文,以便于所述分布式拒绝服务攻击防护设备对所述报文进行分布式拒绝服务攻击识别。
2.根据权利要求1所述的方法,其特征在于,所述第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文,包括:
所述第一三层交换设备接收来自第四三层交换设备的待进行分布式拒绝服务攻击识别的报文;或,所述第一三层交换设备接收来自外网的待进行分布式拒绝服务攻击识别的报文;或,所述第一三层交换设备接收来自目的主机的待进行分布式拒绝服务攻击识别的报文。
3.根据权利要求1或2所述的方法,其特征在于,
所述第一三层交换设备基于预设策略从所述第一三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口,包括:
所述第一三层交换设备基于预设策略从所述第一三层交换设备的多个下联逻辑端口中确定出转发所述报文的第一下联逻辑端口,基于预设策略从所述第一下联逻辑端口所包含的多个下联物理端口中确定出转发所述报文的第一下联物理端口。
4.根据权利要求2所述的方法,其特征在于,所述第一三层交换设备接收来自第四三层交换设备的待进行分布式拒绝服务攻击识别的报文包括:所述第一三层交换设备通过第一上联物理端口接收来自第四三层交换设备的待进行分布式拒绝服务攻击识别的报文;
其中,所述第一三层交换设备基于预设策略从所述第一三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口,包括:
基于所述第一三层交换设备的虚拟三层交换设备和所述第一三层交换设备的上联逻辑端口之间的映射关系,确定第一上联物理端口所属的第一上联逻辑端口所对应的第一虚拟三层交换设备;基于预设策略从所述第一虚拟三层交换设备所对应的多条下一跳路由条目中选择第一下一跳路由条目,其中,所述第一下一跳路由条目所对应的第一下联物理端口为确定出的转发所述报文的下联物理端口。
5.根据权利要求1、2以及4任一项所述的方法,其特征在于,
若所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,
所述方法还包括:所述第一三层交换设备通过所述第一三层交换设备的每个下联物理端口,与下联的不同分布式拒绝服务攻击防护设备分别建立边界网关协议会话。
6.根据权利要求1、2以及4任一项所述的方法,其特征在于,若所述第一下联物理端口下联的是第二三层交换设备,所述方法还包括:所述第一三层交换设备通过所述第一三层交换设备的每个下联逻辑端口,与下联的三层交换设备分别建立边界网关协议会话。
7.一种三层交换设备,其特征在于,包括:
接收单元,用于接收待进行分布式拒绝服务攻击识别的报文;
确定单元,用于基于预设策略从所述三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口;
报文转发单元,用于若所述第一下联物理端口下联的是第二三层交换设备,通过确定出的所述第一下联物理端口向所述第二三层交换设备转发所述报文;若所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,通过确定出的所述第一下联物理端口向所述分布式拒绝服务攻击防护设备转发所述报文,以便于所述分布式拒绝服务攻击防护设备对所述报文进行分布式拒绝服务攻击识别。
8.根据权利要求7所述的三层交换设备,其特征在于,
所述接收单元具体用于,接收来自第四三层交换设备的待进行分布式拒绝服务攻击识别的报文;或者接收来自外网的待进行分布式拒绝服务攻击识别的报文;或接收来自目的主机的待进行分布式拒绝服务攻击识别的报文。
9.根据权利要求7或8所述的三层交换设备,其特征在于,
所述确定单元具体用于,基于预设策略从所述三层交换设备的多个下联逻辑端口中确定出转发所述报文的第一下联逻辑端口,基于预设策略从所述第一下联逻辑端口所包含的多个下联物理端口中确定出转发所述报文的第一下联物理端口。
10.根据权利要求8所述的三层交换设备,其特征在于,在所述接收来自第四三层交换设备的待进行分布式拒绝服务攻击识别的报文方面,所述接收单元具体用于,通过第一上联物理端口接收来自第四三层交换设备的待进行分布式拒绝服务攻击识别的报文;
其中,所述确定单元具体用于,基于所述三层交换设备的虚拟三层交换设备和所述三层交换设备的上联逻辑端口之间的映射关系,确定第一上联物理端口所属的第一上联逻辑端口所对应的第一虚拟三层交换设备;基于预设策略从所述第一虚拟三层交换设备所对应的多条下一跳路由条目中选择第一下一跳路由条目,所述第一下一跳路由条目所对应的第一下联物理端口为确定出的转发所述报文的下联物理端口。
11.根据权利要求7、8以及10任一项所述三层交换设备,其特征在于,所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备,所述三层交换设备还包括:会话单元,用于通过所述三层交换设备的每个下联物理端口,与下联不同的分布式拒绝服务攻击防护设备分别建立边界网关协议会话。
12.根据权利要求7、8以及10任一项所述三层交换设备,其特征在于,所述第一下联物理端口下联的是第二三层交换设备,其中,所述三层交换设备还包括:会话单元,用于通过所述三层交换设备的每个下联逻辑端口与下联的三层交换设备分别建立边界网关协议会话。
13.一种通信***,其特征在于,包括:核心路由器、核心路由器下联的至少1个三层交换设备和所述三层交换设备下联的至少1个分布式拒绝服务攻击防护设备;
所述核心路由器,用于接收待进行分布式拒绝服务攻击识别的报文;基于预设策略从所述核心路由器的多个下联物理端口之中确定出转发所述报文的第一下联物理端口;通过确定出的所述第一下联物理端口向所述至少1个三层交换设备中的第二三层交换设备转发所述报文;
所述第二三层交换设备,用于接收所述报文;基于预设策略从所述第二三层交换设备的多个下联物理端口之中确定出转发所述报文的第二下联物理端口;通过确定出的所述第二下联物理端口向分布式拒绝服务攻击防护设备转发所述报文;
所述分布式拒绝服务攻击防护设备,用于对所述报文进行分布式拒绝服务攻击识别。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410265789.3A CN105227480B (zh) | 2014-06-13 | 2014-06-13 | 报文转发方法及相关装置和通信*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410265789.3A CN105227480B (zh) | 2014-06-13 | 2014-06-13 | 报文转发方法及相关装置和通信*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105227480A CN105227480A (zh) | 2016-01-06 |
| CN105227480B true CN105227480B (zh) | 2018-10-19 |
Family
ID=54996177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410265789.3A Active CN105227480B (zh) | 2014-06-13 | 2014-06-13 | 报文转发方法及相关装置和通信*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105227480B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110197065B (zh) * | 2018-10-08 | 2022-12-13 | 腾讯科技(深圳)有限公司 | 业务数据处理方法、交换机组和业务数据处理*** |
| CN109922090A (zh) * | 2019-04-29 | 2019-06-21 | 杭州迪普科技股份有限公司 | 流量转发方法、装置、电子设备及机器可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106528A (zh) * | 2007-07-31 | 2008-01-16 | 杭州华三通信技术有限公司 | 基于安全设备的报文转发***和方法以及安全设备 |
| CN101340293A (zh) * | 2008-08-12 | 2009-01-07 | 杭州华三通信技术有限公司 | 一种报文安全检查方法和装置 |
| CN102333080A (zh) * | 2011-08-02 | 2012-01-25 | 杭州迪普科技有限公司 | 一种防范报文攻击的方法及装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103248521B (zh) * | 2013-04-28 | 2016-09-28 | 华为技术有限公司 | 一种业务策略规则配置的方法、装置及通信*** |
-
2014
- 2014-06-13 CN CN201410265789.3A patent/CN105227480B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101106528A (zh) * | 2007-07-31 | 2008-01-16 | 杭州华三通信技术有限公司 | 基于安全设备的报文转发***和方法以及安全设备 |
| CN101340293A (zh) * | 2008-08-12 | 2009-01-07 | 杭州华三通信技术有限公司 | 一种报文安全检查方法和装置 |
| CN102333080A (zh) * | 2011-08-02 | 2012-01-25 | 杭州迪普科技有限公司 | 一种防范报文攻击的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105227480A (zh) | 2016-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102845035B (zh) | 在虚拟环境中识别目的地的方法 | |
| CN103369027B (zh) | 混合云环境中的位置感知虚拟服务配备 | |
| Rabbani et al. | On tackling virtual data center embedding problem | |
| CN103930882B (zh) | 具有中间盒的网络架构 | |
| CN105591978A (zh) | 基于网络的服务功能链接 | |
| CN105812260B (zh) | 一种控制mac地址转发表发送的方法、装置及*** | |
| CN103368768B (zh) | 混合云环境中自动缩放网络覆盖的方法、装置及设备 | |
| CN108055207A (zh) | 一种网络拓扑感知方法及装置 | |
| CN107409096A (zh) | 自适应负载平衡 | |
| CN107750362A (zh) | 自动预防和修复网络滥用 | |
| CN105791175B (zh) | 软件定义网络中控制传输资源的方法及设备 | |
| CN105282191B (zh) | 负载均衡***、控制器和方法 | |
| CN105979007A (zh) | 加速资源处理方法、装置及网络功能虚拟化*** | |
| CN104618264A (zh) | 为了高效资源利用而在数据中心网络中自适应调度数据流的方法和*** | |
| CN102857494A (zh) | 通用网络接口控制器 | |
| CN104937572A (zh) | 业务和/或工作负荷处理 | |
| CN103336708B (zh) | 聚合网卡资源的方法和相关设备及计算机*** | |
| CN109547437A (zh) | 一种安全资源池的引流处理方法及装置 | |
| CN106209402A (zh) | 一种虚拟网络功能的伸缩方法和设备 | |
| CN109391502A (zh) | 一种信息配置方法和管理单元 | |
| CN104506614B (zh) | 一种基于云计算的分布式多活数据中心的设计方法 | |
| CN110366276A (zh) | 服务化架构基站 | |
| CN110198530A (zh) | 免流量服务的调度处理方法、装置、设备及存储介质 | |
| CN105960784A (zh) | 用于在云中创建业务链和虚拟网络的***和方法 | |
| CN106714000A (zh) | 会议终端权限的控制方法、***及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190731 Address after: Shenzhen Futian District City, Guangdong province 518044 Zhenxing Road, SEG Science Park 2 East Room 403 Co-patentee after: Tencent cloud computing (Beijing) limited liability company Patentee after: Tencent Technology (Shenzhen) Co., Ltd. Address before: Shenzhen Futian District City, Guangdong province 518000 Zhenxing Road, SEG Science Park 2 East Room 403 Patentee before: Tencent Technology (Shenzhen) Co., Ltd. |
|
| TR01 | Transfer of patent right |