本發明提供了一種微分段策略路由學習方法、報文轉發方法及裝置，用于解決微分段策略路由場景下路由表項過多的技術問題。本發明在微分段策略路由場景下，在將目的VPN新學習到的路由引入源VPN路由表時，優先引入網段路由，在引入主機路由時，判斷主機路由是否和已有的網段路由EPG分組相同，不相同才引入，從而避免不必要的主機路由的引入，降低了源VPN路由表的路由表項的數量。

技術領域

本發明涉及通信技術領域，尤其涉及一種微分段策略路由學習方法、報文轉發方法及裝置。

背景技術

在以葉脊Leaf-Spine(或稱為葉干)網絡架構組網的分布式以太網虛擬私有網絡(Ethernet Virtual Private Network，EVPN)中，每臺葉子leaf設備都作為下掛主機的網關，對本地站點的流量進行三層轉發，緩解了網關的壓力。

隨著客戶精細化訪問控制的需求，同一網段的不同主機可能有不同的訪問策略。如圖1采用微分段策略的組網示例，例如VPN1內的IP地址為1.0.0.1的主機訪問外網需要過防火墻FW1和WAF(Web Application Firewall，WAF)；地址為1.0.0.3的主機訪問外網不需要過防火墻，直接放通；網段地址1.0.0.0/24內的其他主機訪問外網，只需要過防火墻FW1等。VPN2內地址為2.0.0.1的主機訪問外網，需要過防火墻FW2，網段地址2.0.0.0/24內的其他主機訪問外網不需要過防火墻。VPN3內的所有主機都不需要過防火墻等。

針對這種場景，目前業界可以采用微分段Micro-segment的方式來給主機進行端點分組(Endpoint Group，EPG)。

例如:VPN1內，網段1.0.0.0/24內的主機默認分組為EPG2，有特殊訪問策略的1.0.0.1/32使用EPG1。VPN2內2.0.0.0/24的默認分組是EPG4，有特殊訪問策略的2.0.0.1/32使用EPG3。VPN3內所有主機的策略一致，使用EPG5。

微分段策略配置表的示例配置如表1所示，其中EPG6為位于外部虛擬私有網絡(Virtual Private Network，VPN)中的EPG。

表1微分段策略配置表