技術領域

本發明涉及數據通信領域，尤其一種報文處理控制方法及裝置。

背景技術

三層網絡設備，比如三層交換機或者路由器對報文的轉發是依據報文的目的IP地址查詢轉發表來實現的。轉發表可以是靜態配置或者通過動態路由協議學習生成的。然而很多時候單純的查表轉發并不能滿足用戶對報文轉發的全部需求。策略路由（policy-based-route，PBR）可以有效解決上述問題。PBR一種依據用戶制定的策略進行路由選擇的機制，與單純依照IP報文的目的IP地址查找轉發表進行轉發有很大的不同。策略路由基于到達報文的源地址、長度等信息靈活地進行路由選擇。對于滿足一定條件（報文長度或ACL規則）的報文，將執行一定的操作（比如設置報文的出接口和下一跳等），以指導報文的轉發。

發明內容

有鑒于此，本發明提供一種報文處理控制裝置，應用于網絡設備上，該裝置包括策略管理單元、資源管理單元以及路由生成單元，其中：

資源管理單元，用于在轉發平面創建至少一個保留VPN轉發單元，并建立該保留VPN轉發單元與保留VPN接口標識之間的綁定關系；

策略管理單元，用于向ACL執行模塊下發ACL規則，其中該ACL規則用于將指定的用戶報文上送到所述保留VPN接口；

路由生成單元，用于向VPN轉發單元下發轉發表項以指導保留VPN轉發單元的報文轉發。

本發明還提供一種報文處理控制方法，應用于網絡設備上，其中該方法包括以下步驟：

步驟A、在轉發平面創建至少一個保留VPN轉發單元，并建立該保留VPN轉發單元與保留VPN接口標識之間的綁定關系；

步驟B、向ACL執行模塊下發ACL規則，其中該ACL規則用于將指定的用戶報文上送到所述保留VPN接口；

步驟C、向VPN轉發單元下發轉發表項以指導保留VPN轉發單元的報文轉發。

本發明利用了VPN轉發單元之間的隔離特性以及三層轉發的最長匹配原則與對等價路由的天然支持，解決策略路由目前存在的下發次序需要計算引發管理員困擾的問題以及無法支持基于等價路由進行負載分擔的問題。

附圖說明

圖1是一種需要下發策略路由的典型組網示意圖。

圖2是一種下發了策略路由的組網示意圖。

圖3是另一種下發了策略路由的組網示意圖。

圖4是本發明一種實施方式中網絡設備的邏輯結構圖。

圖5是本發明一種實施方式中硬件環境簡化示意圖。

圖6是本發明實現基于等價路由負載分擔的組網示意圖。

具體實施方式

請參考圖1，假設主機Host?A和Host?B都發送報文到遠端的路由器Router-D下的Host?C。由于Host?A與Host?B發送的報文的目的IP地址相同，Host?A和Host?B發送的報文在Router上查找轉發表會獲得相同的路徑轉發。假設此時Router-A到Router-D優先走Router-B轉發，那么Host?A和Host?B發送的報文都將轉發到Router-B然后最終到達目的主機Host?C。

假設用戶需要在Router-A實現根據源IP地址來控制報文的轉發。此時Router-A需要先識別出報文是Host?A發送的還是Host?B發送的；然后將Host?A發送的報文轉發到Router-B上去，將Host?B發送的報文轉發到Router-C上去。這樣即便Host?A與Host?B發送的報文有相同的目的IP地址，由于Router-A的處理，報文被分開到不同的轉發路徑上。Router-A可以通過策略路由機制實現上述功能。策略路由可以通過創建ACL規則來實現，比如說ACL規則可以是：匹配到Host?B的源IP的報文，下一跳都重定向到Router-C上去。以上是基于源地址來實現控制報文的轉發，但事實上還可以根據報文的其他屬性或者屬性的組合來控制報文的轉發，比如根據源IP地址與目的IP地址的組合等等來實現報文轉發的控制。

根據作用對象的不同，策略路由可分為本地策略路由和接口策略路由。所謂本地策略路由是指：對本地產生的報文（比如Router本地發出的ping報文）進行策略路由，它只對Router本地產生的報文（通常是協議報文）起作用，對Router需要轉發的報文不起作用。所述接口策略路由是指：對到達該接口的報文進行策略路由，它只對轉發的報文起作用，對Router本地產生的報文不起作用。顯然對于用戶的網絡業務來說，接口策略路由的使用更加廣泛。