[发明专利]报文处理方法、出口路由设备及边界路由设备

说明书

技术领域

本发明涉及网络通信技术，尤其涉及一种报文处理方法、出口路由设备及边界路由设备。

背景技术

虚拟专用网络(Virtual Private Network；简称为：VPN)是通过公用网络建立的一个临时、安全的连接，是一条穿过公用网络的安全、稳定的隧道。多协议标签交换(Multiprotocol Label Switching；简称为：MPLS)是一种支持多种网络层协议，例如：网际协议第4版(Internet Protocol Version 4；简称为：IPv4)、网际协议第6版(Internet Protocol Version 6；简称为：IPv6)、互联网分组交换协议(Internetwork Packet Exchange protocol；简称为：IPX)等，且兼容异步传输模式(Asynchronous Transfer Mode；简称为：ATM)、帧中继、以太网、点对点协议(Point to Point Protocol；简称为：PPP)等多种链路层技术，通过给报文附上标签，根据标签对报文进行转发的技术。MPLS为实现IP-VPN提供了一种灵活的、具有可扩展性的技术基础，在评论文档(Request For Comments；简称为：RFC)2547中，详细介绍了在公用网络中使用MPLS和边界网关协议(Border Gateway Protocol；简称为：BGP)来提供IP-VPN业务的方法，即BGP/MPLS IP-VPN。

BGP/MPLS IP-VPN是指以MPLS网络为承载网络(即公用网络)，结合BGP提供IP-VPN服务的一种三层VPN技术，是由通过MPLS所使用的标签分发协议建立起来的标签交换路径(Label Switched Path；简称为：LSP)将分散在不同地域上的私有网络联结起来所形成的统一网络。在BGP/MPLS IP-VPN中，允许各VPN访问Internet业务。其中，一种实现BGP/MPLS IP-VPN中各VPN访问Internet业务的方式是将一台提供商边界路由器(Provider Edge Router)与Internet连接，作为网络出口设备，配置该网络出口设备所在的VPN为超级VPN，即在该VPN下的虚拟路由转发表(Virtual Routing Forwarding；简称为：VRF)中配置一条缺省路由，并允许该VRF将该条缺省路由通告给BGP/MPLS IP-VPN中所有VPN的所有提供商边界路由器，以使所有VPN通过该缺省路由访问Internet。

上述超级VPN和超级VPN下VRF中缺省路由的存在，会导致不同VPN通过该超级VPN实现互通，这与VPN的目的相违背。为解决该问题，现有技术在作为网络出口设备的提供商边界路由器上为其所在VPN下的VRF配置接入控制列表(Access Control Lists；简称为：ACL)。ACL通过定义一些规则对网络出口设备上的报文进行过滤，丢弃源地址和目的地址均为私网地址的报文，以实现不同VPN之间的隔离。但是，使用该方式一方面使得网络出口设备的配置较为复杂，可扩展性较差，另一方面该方案的实施依赖于高效的硬件过滤引擎快速过滤器(Fast Filter Processor；简称为：FFP)，会消耗FFP资源，而FFP资源十分有限，对于必须使用该FFP资源实现的多种与安全相关的功能和路由协议等会由于FFP资源的不足而无法正常实现。

发明内容

本发明提供一种报文处理方法、出口路由设备和边界路由设备，用以解决现有技术通过配置超级VPN和配置缺省路由实现BGP/MPLS IP-VPN中各VPN访问Internet时造成的缺陷，简化网络出口设备的配置，节约FFP资源。

本发明提供一种报文处理方法，包括：

根据接收到的报文的目的网际协议IP地址和源IP地址，查询路由表，所述路由表中存储有IP网段和所述IP网段对应的路由属性；

当查询到所述目的IP地址和所述源IP地址对应的路由属性分别为私网路由时，将所述报文丢弃。

本发明提供一种出口路由设备，包括：

查询模块，用于根据接收到的报文的目的网际协议IP地址和源IP地址，查询路由表，所述路由表中存储有IP网段和所述IP网段对应的路由属性；

丢弃模块，用于在所述查询模块查询到所述目的IP地址和所述源IP地址对应的路由属性分别为私网路由时，将所述报文丢弃。

本发明提供一种边界路由设备，包括：

识别模块，用于对待发布路由的路由属性进行识别；