本申請公開了一種發送引流路由信息的方法，應用于MPLS VPN中的清洗設備中，用以解決現有流量清洗方案在MPLS VPN場景中無法有效對攻擊流量進行防御的問題。該方法包括：清洗設備生成引流路由信息，引流路由信息中攜帶自治系統AS號和被保護節點的IP地址，該AS號是被保護節點所屬網段連接的第一CE路由器的AS號；清洗設備將引流路由信息發送給第一CE路由器和第二CE路由器，使得第一CE路由器根據該AS號和EBGP防環機制丟棄引流路由信息，并使得第二CE路由器根據該AS號和EBGP防環機制保存引流路由信息。同時，本申請還公開了一種清洗設備。

技術領域

本發明涉及通信技術領域，尤其涉及一種發送引流路由信息的方法及清洗設備。

背景技術

現有技術中，當網絡中存在被保護節點時，通常在該網絡的CE（Custom Edge，客戶邊緣）路由器所在位置上以旁路方式部署清洗設備，通過將目的IP地址為被保護節點的IP地址的流量（后面將簡稱為“被保護流量”）引流至清洗設備中進行清洗，再將清洗后的流量回注到被保護節點，從而實現對被保護節點的保護。其中，“引流過程”和“回注過程”是整個流量清洗過程中至關重要的環節。

例如：在圖1所示的網絡中，包括：路由器1和路由器2，路由器1作為CE路由器與Internet（Internetwork，互聯網）連接，攻擊流量能夠通過路由器1進入到該網絡中。在沒有部署清洗設備時，攻擊流量將通過路由器1和路由器2的轉發，直接到達被保護節點，這大大增加了被保護節點受到攻擊的幾率。在部署有清洗設備后，清洗設備通過與路由器1建立EBGP（External Border Gateway Protocol，外部邊界網關協議）鄰居關系，并向路由器1發送引流路由信息，該引流路由信息中包含被保護節點的IP地址。路由器1通過對引流路由信息進行學習，從而將學習到的路由添加到自身的路由表中，并將被保護流量對應的下一跳確定為清洗設備。在路由器1獲得被保護流量時，路由器1根據最長匹配原則，從自身路由表中確定出與被保護流量的目的IP地址匹配位數最長的到達清洗設備的路由為下一跳路由，并將被保護流量發送給清洗設備，這便完成了將被保護流量引流到清洗設備的“引流過程”。清洗設備對被保護流量進行檢查、清洗后，清洗設備通過與路由器2建立隧道連接，并將清洗后流量發送給路由器2，其中，清洗后流量的目的IP地址與清洗之前流量的目的IP地址相同（同為被保護節點的IP地址）。路由器2根據最長匹配原則，從自身的路由表中確定與清洗后流量的目的IP地址匹配位數最長的到達被保護節點的路由為下一跳路由，并將清洗后流量發送給被保護節點，這便完成了將清洗后流量回注到被保護節點的“回注過程”。

但，現有技術中的清洗設備只能應用于圖1所示的被保護節點通過CE路由器連接到互聯網的場景中，解決如何防御來自于互聯網中的攻擊的問題。然而，在包含多個CE路由器的MPLS VPN（Multi-Protocol Label Switching Virtual Private Network，多協議標簽交換虛擬專用網絡）的場景中，采用上述清洗過程無法實現正常的流量回注過程，因此導致在MPLS VPN場景中無法有效對攻擊流量進行防御。

發明內容

本申請實施例通過提供一種發送引流路由信息的方法及清洗設備，解決了采用現有流量清洗方案在MPLS VPN場景中無法有效對攻擊流量進行防御的問題。

第一方面，提供一種發送引流路由信息的方法，應用于多協議標簽交換MPLS虛擬專用網絡VPN中的清洗設備中，所述MPLS VPN還包括至少兩個客戶邊緣CE路由器，所述清洗設備與每個所述CE路由器存在外部邊界網關協議EBGP鄰居關系；所述方法包括：

所述清洗設備生成引流路由信息，所述引流路由信息中攜帶自治系統AS號和被保護節點的IP地址，所述AS號是所述被保護節點所屬網段連接的第一CE路由器的AS號；