CN112165428B

CN112165428B - 一种流量清洗方法、装置及第一边界路由设备

Info

Publication number: CN112165428B
Application number: CN202011148214.5A
Authority: CN
Inventors: 王阳; 廖以顺
Original assignee: New H3C Security Technologies Co Ltd
Current assignee: New H3C Security Technologies Co Ltd
Priority date: 2020-10-23
Filing date: 2020-10-23
Publication date: 2022-07-22
Anticipated expiration: 2040-10-23
Also published as: CN112165428A

Abstract

本发明实施例提供了一种流量清洗方法、装置及第一边界路由设备。其中，所述方法包括：建立以第一接口为源节点、所述第二接口为尾节点的隧道，所述第一接口为通过BGP学习到用于向第二边界路由设备发送报文的接口；将未建立BGP邻居的接口接收的流量通过所述隧道转发至所述清洗服务器进行流量清洗。可以通过在第一边界路由设备与第二边界路由设备之间建立隧道，使得第一边界路由设备和第二边界路由设备之间具备通过BGP学习到的路由以及建立的隧道这两个不同的路由，并通过对不同类别的接口接收到的流量以不同的路由进行传输，从而使得边界路由设备能够以不同的路由传输经过清洗的流量和未经过清洗的流量，避免在BGP网络中形成环路。

Description

一种流量清洗方法、装置及第一边界路由设备

技术领域

本发明涉及信息技术领域，特别是涉及一种流量清洗方法、装置及第一边界路由设备。

背景技术

流规格(Flow Specification，Flowspec)技术可以用于对BGP(Border GatewayProtocol，边界网关协议)网络中非法流量进行过滤与巡查，从而减轻DOS(Denial ofService，拒绝服务)攻击、DDOS(Distributed Denial of Service)攻击等非法攻击对BGP网络的影响。

示例性的，可以如图1所示，BGP网络中可以包括流规格控制器(下文简称控制器)101以及多个流规格边界路由设备(下文简称边界路由设备)。为描述方便，图1中将四个边界路由设备分别记为边界路由设备1、边界路由设备2、边界路由设备3以及边界路由设备4，其中边界路由设备3与清洗服务器103连接，边界路由设备2、边界路由设备4与预设网络连接，并且边界路由设备4与用户终端104连接。

为使得清洗服务器103能够对预设网络发往用户终端104的流量进行流量清洗。相关技术中，控制器101可以向每个边界路由设备下发流规格规则，流规格规则可以包括接收到的流量为外部网络的流量，每个边界路由设备使能各接口的流规格功能，以对各接口接收到的流量进行流规格规则匹配，如果流量命中流规格规则，则将该流量转发至清洗服务器。

但是清洗服务器103发送的经过清洗的流量命中该流规格规则，因此边界路由设备会将清洗服务器103发送的经过清洗的流量再次发送至清洗服务器103，导致流量形成环路，用户终端104无法正确接收到经过清洗的流量。

发明内容

本发明实施例的目的在于提供一种流量清洗方法、装置及第一边界路由设备，以实现避免流量清洗过程中BGP网络内形成流量环路。

在本发明实施例的第一方面，提供了一种流量清洗方法，应用于边界网关协议BGP网络中的第一边界路由设备，所述BGP网络还包括第二边界路由设备，所述第二边界路由设备的第二接口接入有清洗服务器，所述第二路由设备将除所述第二接口以外的其他未建立BGP邻居的接口接收的流量转发至所述清洗服务器，所述方法包括：

建立以第一接口为源节点、所述第二接口为尾节点的隧道，所述第一接口为通过BGP学习到用于向第二边界路由设备发送报文的接口；

将未建立BGP邻居的接口接收的流量通过所述隧道转发至所述清洗服务器进行流量清洗。

在一种可能的实施例中，在所述建立以第一接口为源节点、所述第二接口为尾节点的隧道之后，所述方法还包括：

生成以所述清洗服务器的地址为目的地址、所述隧道为出接口的第一路由，所述第一路由的优先级高于所述第一边界路由设备通过BGP学习到的用于向所述清洗服务器发送流量的第二路由；

所述将未建立BGP邻居的接口接收的流量通过所述隧道发往所述清洗服务器进行流量清洗，包括：

将未建立BGP邻居的接口接收的流量的目的地址更改为所述清洗服务器的地址；

查找所述第一边界路由设备中的路由表，确定向所述清洗服务器的地址发送流量的出接口；

通过所确定的出接口将更改目的地址后的流量发往所述清洗服务器进行流量清洗。

在一种可能的实施例中，所述方法还包括：

将建立有BGP邻居的接口接收的流量按照该流量的目的地址进行转发。

在本发明实施例的第二方面，提供了一种流量清洗方法，应用于边界网关协议BGP网络中的第二边界路由设备，所述第二边界路由设备的第二接口接入有清洗服务器，所述BGP网络还包括第一边界路由设备，所述方法包括：

建立以第一接口为源节点、所述第二接口为尾节点的隧道，以使得第一边界路由设备将未建立BGP邻居的接口接收的流量通过所述隧道发出，所述第一接口为第一边界路由设备通过BGP学习到用于向所述第二边界路由设备发送报文的接口；

将通过除所述第二接口以外的其他未建立BGP邻居的接口接收的流量通过所述隧道发往所述清洗服务器进行流量清洗。

在一种可能的实施例中，所述方法还包括：

将所述第二接口接收的流量按照该流量的目的地址进行转发。

在本发明实施例的第三方面，提供了一种流量清洗装置，应用于边界网关协议BGP网络中的第一边界路由设备，所述BGP网络还包括第二边界路由设备，所述第二边界路由设备的第二接口接入有清洗服务器，所述第二路由设备将除所述第二接口以外的其他未建立BGP邻居的接口接收的流量转发至所述清洗服务器，所述装置包括：

第一隧道建立模块，用于建立以第一接口为源节点、所述第二接口为尾节点的隧道，所述第一接口为通过BGP学习到用于向第二边界路由设备发送报文的接口；

第一转发模块，用于将未建立BGP邻居的接口接收的流量通过所述隧道转发至所述清洗服务器进行流量清洗。

在一种可能的实施例中，所述第一隧道建立模块还用于在建立以第一接口为源节点、所述第二接口为尾节点的隧道之后，生成以所述清洗服务器的地址为目的地址、所述隧道为出接口的第一路由，所述第一路由的优先级高于所述第一边界路由设备通过BGP学习到的用于向所述清洗服务器发送流量的第二路由；

所述第一转发模块将未建立BGP邻居的接口接收的流量通过所述隧道发往所述清洗服务器进行流量清洗，包括：

通过所确定的出接口将更改目的地址后的流量发往所述清洗服务器进行流量清洗

在一种可能的实施例中，所述第一转发模块，还用于将建立有BGP邻居的接口接收的流量按照该流量的目的地址进行转发。

在本发明实施例的第四方面，提供了一种流量清洗装置，应用于边界网关协议BGP网络中的第二边界路由设备，所述第二边界路由设备的第二接口接入有清洗服务器，所述BGP网络还包括第一边界路由设备，所述装置包括：

第二隧道建立模块，用于建立以第一接口为源节点、所述第二接口为尾节点的隧道，以使得第一边界路由设备将未建立BGP邻居的接口接收的流量通过所述隧道发出，所述第一接口为第一边界路由设备通过BGP学习到用于向所述第二边界路由设备发送报文的接口；

第二转发模块，用于将通过除所述第二接口以外的其他未建立BGP邻居的接口接收的流量通过所述隧道发往所述清洗服务器进行流量清洗。

在一种可能的实施例中，所述第二转发模块，还用于将所述第二接口接收的流量按照该流量的目的地址进行转发。

在本发明实施例的第五方面，提供了一种第一边界路由设备，应用于边界网关协议BGP网络，所述第一边界路由设备包括：

第一存储器，用于存放计算机程序；

第一处理器，用于执行第一存储器上所存放的程序时，实现上述第一方面任一所述的方法步骤。

在本发明实施例的第六方面，提供了一种第二边界路由设备，应用于边界网关协议BGP网络，所述第二边界路由设备与清洗服务器连接，所述清洗服务器用于清洗目标网络的流量，所述第二边界路由设备包括：

第二存储器，用于存放计算机程序；

第二处理器，用于执行第二存储器上所存放的程序时，实现上述第二方面任一所述的方法步骤。

在本发明实施例的第七方面，提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面或第二方面任一所述的方法步骤。

本发明实施例有益效果：

本发明实施例提供的流量清洗方法、装置及第一边界路由设备，可以通过在第一边界路由设备与第二边界路由设备之间建立隧道，使得第一边界路由设备和第二边界路由设备之间具备通过BGP学习到的路由以及建立的隧道这两个不同的路由，并通过对不同类别的接口接收到的流量以不同的路由进行传输，从而使得边界路由设备能够以不同的路由传输经过清洗的流量和未经过清洗的流量，避免在BGP网络中形成环路。

当然，实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的实施例。

图1为本发明实施例提供的BGP网络的一种结构示意图；

图2为本发明实施例提供的应用于第一边界路由设备的流量清洗方法的一种流程示意图；

图3为本发明实施例提供的建立有隧道的BGP网络的一种结构示意图；

图4为本发明实施例提供的流量清洗方法中的流量路径与相关技术中的流量路径的一种对比示意图；

图5为本发明实施例提供的应用于第二边界路由设备的流量清洗方法的一种流程示意图；

图6为本发明实施例提供的应用于第一边界路由设备的流量清洗装置的一种结构示意图；

图7为本发明实施例提供的应用于第二边界路由设备的流量清洗装置的一种结构示意图；

图8为本发明实施例提供的边界路由设备的一种结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图2，图2所示为本发明实施例提供的流量清洗方法的一种流程示意图，可以包括：

S201，建立以第一接口为源节点、第二接口为尾节点的隧道，第一接口为通过BGP学习到用于向第二边界路由设备发送报文的接口。

S202，将未建立BGP邻居的接口接收的流量通过隧道转发至清洗服务器进行流量清洗。

选用该实施例，可以通过在第一边界路由设备与第二边界路由设备之间建立隧道，使得第一边界路由设备和第二边界路由设备之间具备通过BGP学习到的路由以及建立的隧道这两个不同的路由，并通过对不同类别的接口接收到的流量以不同的路由进行传输，从而使得边界路由设备能够以不同的路由传输经过清洗的流量和未经过清洗的流量，避免在BGP网络中形成环路。

其中，在S201中，第二接口为第二边界路由设备的接口，并且第二边界路由设备的第二接口接入有清洗服务器。第二边界路由设备用于将除第二接口以外的其他未建立BGP邻居的接口接收的流量转发至清洗服务器，第二边界路由设备可以是每当通过除第二接口以外的其他接口接收到流量时，确定接收到的流量是否命中流规格规则，如果接收到的流量命中流规格规则，则将接收到的流量发往清洗服务器进行流量清洗，流规格规则可以包括：接收到该流量的接口为未建立BGP邻居的接口。第二边界路由设备可以禁止第二接口的流规格功能，从而拒绝对第二接口接收到的流量进行流规格规则匹配，而是直接按照流量的目的地址对第二接口接收到的流量进行转发。

第一边界路由设备可以根据第一接口的地址和第二接口的地址建立隧道的。下面将对第一接口的地址和第二接口的地址的获取方式进行说明：

对于第一接口的地址，第一边界路由设备可以是在接收到控制器下发的控制指令后，查找通过BGP学习到的路由，以获取第一边界路由设备中用于向清洗服务器的地址发送流量的第一接口的地址。为描述方便，假设BGP网络如图1所示，并且假设第一边界路由设备为其中的边界路由设备2，清洗服务器中用于接入BGP网络的接口的地址为20.1.1.2，则理论上边界路由设备1可以在通过BGP学习到的路由中查找目的地址为20.1.1.2的路由，并将查找到的路由中的出接口确定为第一接口，在确定第一接口后第一边界路由设备可以获取第一接口的地址。

第二接口的地址可以是第二边界路由设备发送至第一边界路由设备的，并且可以是第二边界路由设备直接发送至第一边界路由设备的，也可以是第二边界路由设备间接发送至第一边界路由设备的，示例性的，可以是第二边界路由设备将第二接口的地址上报至控制器，由控制器将第二接口的地址下发至第一边界路由设备。

为描述方便，假设第一接口的地址为10.1.1.1，第二接口的地址为20.1.1.1，则可以是建立以10.1.1.1为隧道的源节点地址，并且以20.1.1.1为隧道的尾节点地址的隧道。所建立的隧道为逻辑隧道。第一边界路由设备可以通过建立的隧道将流量发送至第二边界路由设备。

在S202中，第二边界路由设备可以是每当接收到流量时，确定接收到的流量是否命中流规格规则，如果接收到的流量命中流规格规则，将接收到的流量通过隧道发往目标清洗服务器进行流量清洗。

其中，流规格规则包括接收到该流量的接口为未建立BGP邻居的接口。可以理解的是，BGP网络中的各个网络设备之间建立有BGP邻居，而BGP网络中的网络设备与非BGP网络中的网络设备之间未建立有BGP邻居。因此，如果接收到该流量的接口为未建立BGP邻居的接口，则可以认为该流量为外部流量。如果接收到该流量的接口为建立BGP邻居的接口，则可以认为该流量为BGP网络的内部流量。

如前述分析，如果接收到的流量命中流规格规则，则可以认为该流量为预设网络发送至BGP网路中的流量，需要进行清洗，因此可以通过隧道发往清洗服务器进行清洗。

示例性的，在一种可能的实施例中，第一边界路由设备在建立隧道后，可以生成一清洗服务器的地址为目的地址、隧道为出接口、优先级为第一优先级的路由，其中，第一优先级为高于第二优先级的优先级，第二优先级为第一边界路由设备通过BGP学习到的用于向清洗服务器发送流量的路由。

则此时理论上第一边界路由设备中将包含两个用于向清洗服务器发送流量的路由，以图1所示的BGP网络为例，并且假设清洗服务器中用于接入BGP网络的接口的地址为20.1.1.2，边界路由设备3中用于接入边界路由设备1的接口的接口地址为10.1.1.2，第一边界路由设备所建立的隧道记为隧道1，则第一边界路由设备，即边界路由设备1中将包含如下表所示的两个路由：

目的地址/掩码	路由协议类型	优先级	下一跳地址	出接口
					20.1.1.2/24	Static	第一优先级	0.0.0.0	隧道1
20.1.1.2/24	BGP	第二优先级	10.1.1.2	第一接口

其中，第一优先级和第二优先级可以根据实际需求进行设置，例如如果优先级的数值越高则优先级越低，则第一优先级可以设置为1，第二优先级可以设置为255。

在该实施例中，如果接收到的流量命中流规格规则，则第一边界路由设备可以将接收到的流量的目的地址更改为清洗服务器的地址，并查找第一边界路由设备中的路由表，确定向清洗服务器的地址发送流量的出接口，通过确定的出接口将接收到的流量发往清洗服务器进行流量清洗。示例性的，第一边界路由设备可以对该流量进行解封装，从而更改该流量的目的地址。由于第一边界路由设备的路由表中，以清洗服务器的地址为目的地址的路由中，以所建立的隧道为出接口的路由优先级更高，因此第一边界路由设备将通过所建立的隧道将该流量发往清洗服务器进行流量清洗，而不会通过第一接口将该流量发往清洗服务器进行流量清洗。

对于未命中流规格规则的流量，第一边界路由设备可以将接收到的流量按照目的地址对接收到的流量进行转发。

为更清楚的对本发明实施例提供的流量清洗方法进行说明，下面将结合具体的应用场景中BGP网络内的各网络设备进行说明，为描述方便，下文以图1所示的BGP网络为例，并且假设预设网络发往用户终端104的流量是通过边界路由设备2发送至BGP网络的，并且该流量需要经过清洗服务器103进行流量清洗后，再发往用户终端104。

则在该应用场景中，边界路由设备1、边界路由设备2、边界路由设备4均可以作为第一边界路由设备，边界路由设备3为第二边界路由设备。为描述方便，下文中仅对边界路由设备2、边界路由设备3以及控制器101的业务逻辑进行说明，由于边界路由设备1、边界路由设备4与边界路由设备2同样为第一边界路由设备，因此业务逻辑与边界路由设备2相同，不再赘述。

控制器101可以向BGP网络中的各个边界路由设备下发流规格策略，流规格策略用于表示将所有预设网络发往用户终端104的流量发送至清洗服务器103进行流量清洗，示例性的，流规格策略中可以包括流规格规则，其中，流规格规则可以包括接收到该流量的接口为未建立BGP邻居的接口，流规格策略可以控制各边界路由设备在接收到命中该流规格规则的流量后，将该流量发往清洗服务器103,。

则在接收到该流规格策略后，边界路由设备3可以确定用于向清洗服务器103发送流量时的出接口，该出接口即第二接口，并且假设第二接口的地址为20.1.1.1。边界路由设备3可以将第二接口的地址发送至边界路由1、边界路由2以及边界路由4。并且边界路由设备3禁止第二接口的流规格功能。

在接收到上述流规格策略后，边界路由设备2可以确定用于向清洗服务器103发送流量时的出接口，该出接口即第一接口，假设第一接口的第一接口的地址为10.1.1.1.1。边界路由设备3在确定第一接口并接收到边界路由设备3发送的第二接口的地址后，可以建立以第一接口的地址为源节点地址并以第二接口的地址为尾节点地址的隧道，即建立以10.1.1.1位源节点地址并以20.1.1.1为尾节点地址的隧道，为方便描述，将该隧道记为隧道1，则在建立隧道后，BGP网络结构可以如图3所示。

同理，边界路由设备1与边界路由设备3之间也可以建立隧道，边界理由设备4与边界路由设备3之间也可以建立隧道，建立隧道的流程和边界路由设备2与边界路由设备3之间建立隧道的流程相同，因此在此不再赘述。

下面将对流量清洗流程中流量的传输路径进行说明。

示例性的，可以参见图3，假设预设网络发往用户终端104的未经过清洗的流量是通过边界路由设备2发送至BGP网络的，则由于边界路由设备2中用于接入预设网络的接口并未建立BGP邻居，因此该未经过清洗的流量命中流规格规则，边界路由设备2通过隧道1将未经过清洗的流量发往至清洗服务器103。

由于隧道1的尾节点地址为20.1.1.1，该地址为边界路由设备3中的第二接口的第二接口的地址，因此边界路由设备2通过隧道1发送的未经过清洗的流量将被边界路由设备3接收，由于隧道1并非边界路由设备3通过BGP学习到的路由，因此隧道1为未建立BGP邻居的接口，命中流规格规则，边界路由设备3将未经过清洗的流量发往清洗服务器103。

清洗服务器103对未经过清洗的流量进行清洗后，将经过清洗的流量发往边界路由设备2，边界路由设备2是通过第二接口接收到经过清洗的流量的，由于边界路由设备2已经禁止第二接口的流规格功能，因此边界路由设备2将按照经过清洗的流量的目的地址对经过清洗的流量进行转发，由于经过清洗的流量的目的地址为用户终端104的地址，因此边界路由设备2可以将经过清洗的流量发送至边界路由设备4。

边界路由设备4是通过用于与边界路由设备3连接的接口接收到经过清洗的流量的，而边界路由设备4与边界路由设备3之间建立有BGP邻居关系，因此边界路由设备4中用于与边界路由设备3连接的接口为建立有BGP邻居关系的接口，未命中流规格规则，因此边界路由设备4将按照经过清洗的流量的目的地址对经过清洗的流量进行转发，由于经过清洗的流量的目的地址为用户终端104的地址，因此边界路由设备4可以通过用于与用户终端104连接的接口将经过清洗的流量发送至用户终端104，该过程中未形成流量环路。

对于预设网络发往用户终端104的未经过清洗的流量是通过边界路由设备4或边界路由设备1发送至BGP网络的情况，同理可知也不会形成流量环路。为更清楚的体现本申请实施例提供的流量清洗方法与相关技术的区别，可以参见图4，图4所示为本发明实施例提供的流量清洗方法中流量路径与相关技术中的流量路径的对比示意图，其中带有箭头的细实线表示相关技术中的流量路径，带有箭头的粗实线表示本发明实施例提供的流量清洗方法中的流量路径。

本发明实施例还提供了一种流量清洗方法，应用于边界网关协议BGP网络中的第二边界路由设备，第二边界路由设备的第二接口接入有清洗服务器，BGP网络还包括第一边界路由设备，方法可以如图5所示，包括：

S501，建立以第一接口为源节点、第二接口为尾节点的隧道，以使得第一边界路由设备将未建立BGP邻居的接口接收的流量通过隧道发出，第一接口为第一边界路由设备通过BGP学习到用于向第二边界路由设备发送报文的接口。

S502，将通过除第二接口以外的其他未建立BGP邻居的接口接收的流量通过隧道发往清洗服务器进行流量清洗。

在一种可能的实施例中，方法还包括：

将第二接口接收的流量按照该流量的目的地址进行转发。

参见图6，图6所示为本发明实施例提供的一种流量清洗装置的结构示意图，可以包括：

第一隧道建立模块601，用于建立以第一接口为源节点、第二接口为尾节点的隧道，第一接口为通过BGP学习到用于向第二边界路由设备发送报文的接口；

第一转发模块602，用于将未建立BGP邻居的接口接收的流量通过隧道转发至清洗服务器进行流量清洗。

在一种可能的实施例中，第一隧道建立模块601还用于在建立以第一接口为源节点、第二接口为尾节点的隧道之后，生成以清洗服务器的地址为目的地址、隧道为出接口的第一路由，第一路由的优先级高于第一边界路由设备通过BGP学习到的用于向清洗服务器发送流量的第二路由；

第一转发模块602将未建立BGP邻居的接口接收的流量通过隧道发往清洗服务器进行流量清洗，包括：

将未建立BGP邻居的接口接收的流量的目的地址更改为清洗服务器的地址；

查找第一边界路由设备中的路由表，确定向清洗服务器的地址发送流量的出接口；

通过所确定的出接口将更改目的地址后的流量发往清洗服务器进行流量清洗

在一种可能的实施例中，第一转发模块601，还用于将建立有BGP邻居的接口接收的流量按照该流量的目的地址进行转发。

参见图7，图7所示为本发明实施例提供的流量清洗装置的一种结构示意图，该流量清洗装置应用于边界网关协议BGP网络中的第二边界路由设备，第二边界路由设备与清洗服务器连接，清洗服务器用于清洗目标网络的流量，该流量清洗装置可以包括：

第二隧道建立模块701，用于建立以第一接口为源节点、第二接口为尾节点的隧道，以使得第一边界路由设备将未建立BGP邻居的接口接收的流量通过隧道发出，第一接口为第一边界路由设备通过BGP学习到用于向第二边界路由设备发送报文的接口；

第二转发模块702，用于将通过除第二接口以外的其他未建立BGP邻居的接口接收的流量通过隧道发往清洗服务器进行流量清洗。

在一种可能的实施例中，第二转发模块702，还用于将第二接口接收的流量按照该流量的目的地址进行转发。

本发明实施例还提供了一种边界路由设备，如图8所示，包括：

存储器801，用于存放计算机程序；

处理器802，用于执行存储器801上所存放的程序时，且当该边界路由设备为第一边界路由设备时，可以实现如下步骤：

建立以第一接口为源节点、第二接口为尾节点的隧道，第一接口为通过BGP学习到用于向第二边界路由设备发送报文的接口；

将未建立BGP邻居的接口接收的流量通过隧道转发至清洗服务器进行流量清洗。

在一种可能的实施例中，在建立以第一接口为源节点、第二接口为尾节点的隧道之后，方法还包括：

生成以清洗服务器的地址为目的地址、隧道为出接口的第一路由，第一路由的优先级高于第一边界路由设备通过BGP学习到的用于向清洗服务器发送流量的第二路由；

将未建立BGP邻居的接口接收的流量通过隧道发往清洗服务器进行流量清洗，包括：

通过所确定的出接口将更改目的地址后的流量发往清洗服务器进行流量清洗。

在一种可能的实施例中，方法还包括：

当该边界路由设备为第二边界路由设备时，可以实现如下步骤：

建立以第一接口为源节点、第二接口为尾节点的隧道，以使得第一边界路由设备将未建立BGP邻居的接口接收的流量通过隧道发出，第一接口为第一边界路由设备通过BGP学习到用于向第二边界路由设备发送报文的接口；

将通过除第二接口以外的其他未建立BGP邻居的接口接收的流量通过隧道发往清洗服务器进行流量清洗。

在一种可能的实施例中，方法还包括：

将第二接口接收的流量按照该流量的目的地址进行转发。

上述边界路由设备提到的通信总线可以是外设部件互连标准(PeripheralComponent Interconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，RAM)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessing，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在本发明提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一流量清洗方法的步骤。

在本发明提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一流量清洗方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、边界路由设备、计算机可读存储介质以及计算机程序产品的实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims

1.一种流量清洗方法，其特征在于，应用于边界网关协议BGP网络中的第一边界路由设备，所述BGP网络还包括第二边界路由设备，所述第二边界路由设备的第二接口接入有清洗服务器，所述第二边界路由设备将除所述第二接口以外的其他未建立BGP邻居的接口接收的流量转发至所述清洗服务器，第一边界路由设备将建立有BGP邻居的接口接收的流量按照该流量的目的地址进行转发，第二边界路由设备将第二接口接收的流量按照该流量的目的地址进行转发，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，在所述建立以第一接口为源节点、所述第二接口为尾节点的隧道之后，所述方法还包括：

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

4.一种流量清洗方法，其特征在于，应用于边界网关协议BGP网络中的第二边界路由设备，所述第二边界路由设备的第二接口接入有清洗服务器，所述BGP网络还包括第一边界路由设备，第一边界路由设备将建立有BGP邻居的接口接收的流量按照该流量的目的地址进行转发，第二边界路由设备将第二接口接收的流量按照该流量的目的地址进行转发，所述方法包括：

将通过除所述第二接口以外的其他未建立BGP邻居的接口接收的流量发往所述清洗服务器进行流量清洗。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

6.一种流量清洗装置，其特征在于，应用于边界网关协议BGP网络中的第一边界路由设备，所述BGP网络还包括第二边界路由设备，所述第二边界路由设备的第二接口接入有清洗服务器，所述第二边界路由设备将除所述第二接口以外的其他未建立BGP邻居的接口接收的流量转发至所述清洗服务器，第一边界路由设备将建立有BGP邻居的接口接收的流量按照该流量的目的地址进行转发，第二边界路由设备将第二接口接收的流量按照该流量的目的地址进行转发，所述装置包括：

7.根据权利要求6所述的装置，其特征在于，所述第一隧道建立模块还用于在建立以第一接口为源节点、所述第二接口为尾节点的隧道之后，生成以所述清洗服务器的地址为目的地址、所述隧道为出接口的第一路由，所述第一路由的优先级高于所述第一边界路由设备通过BGP学习到的用于向所述清洗服务器发送流量的第二路由；

8.根据权利要求6所述的装置，其特征在于，所述第一转发模块，还用于将建立有BGP邻居的接口接收的流量按照该流量的目的地址进行转发。

9.一种流量清洗装置，其特征在于，应用于边界网关协议BGP网络中的第二边界路由设备，所述第二边界路由设备的第二接口接入有清洗服务器，所述BGP网络还包括第一边界路由设备，第一边界路由设备将建立有BGP邻居的接口接收的流量按照该流量的目的地址进行转发，第二边界路由设备将第二接口接收的流量按照该流量的目的地址进行转发，所述装置包括：

第二转发模块，用于将通过除所述第二接口以外的其他未建立BGP邻居的接口接收的流量发往所述清洗服务器进行流量清洗。

10.根据权利要求9所述的装置，其特征在于，所述第二转发模块，还用于将所述第二接口接收的流量按照该流量的目的地址进行转发。

11.一种第一边界路由设备，其特征在于，应用于边界网关协议BGP网络，所述第一边界路由设备包括：

第一存储器，用于存放计算机程序；

第一处理器，用于执行第一存储器上所存放的程序时，实现权利要求1-3任一所述的方法步骤。

12.一种第二边界路由设备，其特征在于，应用于边界网关协议BGP网络，所述第二边界路由设备与清洗服务器连接，所述清洗服务器用于清洗目标网络的流量，所述第二边界路由设备包括：

第二存储器，用于存放计算机程序；

第二处理器，用于执行第二存储器上所存放的程序时，实现权利要求4-5任一所述的方法步骤。

13.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-3或4-5任一所述的方法步骤。