本發(fā)明實(shí)施例公開了報(bào)文轉(zhuǎn)發(fā)方法及相關(guān)裝置和通信系統(tǒng)。一種報(bào)文轉(zhuǎn)發(fā)方法包括：第一三層交換設(shè)備接收待進(jìn)行分布式拒絕服務(wù)攻擊識(shí)別的報(bào)文；第一三層交換設(shè)備基于預(yù)設(shè)策略從第一三層交換設(shè)備的多個(gè)下聯(lián)物理端口中確定出轉(zhuǎn)發(fā)報(bào)文的第一下聯(lián)物理端口；若第一下聯(lián)物理端口下聯(lián)的是第二三層交換設(shè)備，第一三層交換設(shè)備通過確定出的第一下聯(lián)物理端口向第二三層交換設(shè)備轉(zhuǎn)發(fā)報(bào)文。本發(fā)明實(shí)施例提供的技術(shù)方案有利于增大DDoS攻擊防護(hù)網(wǎng)絡(luò)架構(gòu)的防護(hù)流量。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)技術(shù)領(lǐng)域，具體主要涉及一種報(bào)文轉(zhuǎn)發(fā)方法及相關(guān)裝置和通信系統(tǒng)。

背景技術(shù)

當(dāng)前，隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全問題也日趨嚴(yán)重。例如分布式拒絕服務(wù)(DDoS，Distributed Denial of Service)攻擊就是網(wǎng)絡(luò)中一種十分常見攻擊方式。

參見圖1，圖1中舉例示出現(xiàn)有的一種對(duì)目標(biāo)主機(jī)進(jìn)行DDoS攻擊防護(hù)的網(wǎng)絡(luò)架構(gòu)。其中，報(bào)文到達(dá)目標(biāo)主機(jī)之前經(jīng)過路由器轉(zhuǎn)發(fā)到某個(gè)DDoS防護(hù)設(shè)備上進(jìn)行DDoS攻擊識(shí)別，識(shí)別出為DDoS攻擊的報(bào)文將被丟棄，識(shí)別出并非DDoS攻擊的報(bào)文將被轉(zhuǎn)發(fā)到目標(biāo)主機(jī)。

本發(fā)明的發(fā)明人在研究和實(shí)踐過程中發(fā)現(xiàn)，現(xiàn)有技術(shù)至少存在以下的技術(shù)問題：現(xiàn)有DDoS攻擊防護(hù)網(wǎng)絡(luò)架構(gòu)中由1個(gè)路由器進(jìn)行報(bào)文分發(fā)，由于路由器的下一跳路由條目數(shù)量很有限(條目上限一般為8條)，這就使得其DDoS攻擊防護(hù)的流量上限較小(一般最多可接入8個(gè)DDoS攻擊防護(hù)設(shè)備)，對(duì)于有些具有很大流量的目標(biāo)主機(jī)，現(xiàn)有DDoS攻擊防護(hù)網(wǎng)絡(luò)架構(gòu)通常難以滿足防護(hù)要求。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供報(bào)文轉(zhuǎn)發(fā)方法及相關(guān)裝置和通信系統(tǒng)，以期增大DDoS攻擊防護(hù)網(wǎng)絡(luò)架構(gòu)的防護(hù)流量。

第一方面，一種報(bào)文轉(zhuǎn)發(fā)方法，包括：

第一三層交換設(shè)備接收待進(jìn)行分布式拒絕服務(wù)攻擊識(shí)別的報(bào)文；

所述第一三層交換設(shè)備基于預(yù)設(shè)策略從所述第一三層交換設(shè)備的多個(gè)下聯(lián)物理端口中確定出轉(zhuǎn)發(fā)所述報(bào)文的第一下聯(lián)物理端口；

若所述第一下聯(lián)物理端口下聯(lián)的是第二三層交換設(shè)備，所述第一三層交換設(shè)備通過確定出的所述第一下聯(lián)物理端口向所述第二三層交換設(shè)備轉(zhuǎn)發(fā)所述報(bào)文；

若所述第一下聯(lián)物理端口下聯(lián)的是分布式拒絕服務(wù)攻擊防護(hù)設(shè)備，所述第一三層交換設(shè)備通過確定出的所述第一下聯(lián)物理端口向所述分布式拒絕服務(wù)攻擊防護(hù)設(shè)備轉(zhuǎn)發(fā)所述報(bào)文，以便于所述分布式拒絕服務(wù)攻擊防護(hù)設(shè)備對(duì)所述報(bào)文進(jìn)行分布式拒絕服務(wù)攻擊識(shí)別。

第二方面，一種三層交換設(shè)備，包括：

接收單元，用于接收待進(jìn)行分布式拒絕服務(wù)攻擊識(shí)別的報(bào)文；

確定單元，用于基于預(yù)設(shè)策略從所述三層交換設(shè)備的多個(gè)下聯(lián)物理端口中確定出轉(zhuǎn)發(fā)所述報(bào)文的第一下聯(lián)物理端口；

報(bào)文轉(zhuǎn)發(fā)單元，用于若所述第一下聯(lián)物理端口下聯(lián)的是第二三層交換設(shè)備，通過確定出的所述第一下聯(lián)物理端口向所述第二三層交換設(shè)備轉(zhuǎn)發(fā)所述報(bào)文；若所述第一下聯(lián)物理端口下聯(lián)的是分布式拒絕服務(wù)攻擊防護(hù)設(shè)備，通過確定出的所述第一下聯(lián)物理端口向所述分布式拒絕服務(wù)攻擊防護(hù)設(shè)備轉(zhuǎn)發(fā)所述報(bào)文，以便于所述分布式拒絕服務(wù)攻擊防護(hù)設(shè)備對(duì)所述報(bào)文進(jìn)行分布式拒絕服務(wù)攻擊識(shí)別。

第三方面，一種通信系統(tǒng)，包括：核心路由器、核心路由器下聯(lián)的至少1個(gè)三層交換設(shè)備和所述三層交換設(shè)備下聯(lián)的至少1個(gè)分布式拒絕服務(wù)攻擊防護(hù)設(shè)備；

所述核心路由器，用于接收待進(jìn)行分布式拒絕服務(wù)攻擊識(shí)別的報(bào)文；基于預(yù)設(shè)策略從所述核心路由器的多個(gè)下聯(lián)物理端口之中確定出轉(zhuǎn)發(fā)所述報(bào)文的第一下聯(lián)物理端口；通過確定出的所述第一下聯(lián)物理端口向所述至少1個(gè)三層交換設(shè)備中的第二三層交換設(shè)備轉(zhuǎn)發(fā)所述報(bào)文；