[发明专利]报文转发方法及相关装置和通信系统

说明书

本发明实施例公开了报文转发方法及相关装置和通信系统。一种报文转发方法包括：第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文；第一三层交换设备基于预设策略从第一三层交换设备的多个下联物理端口中确定出转发报文的第一下联物理端口；若第一下联物理端口下联的是第二三层交换设备，第一三层交换设备通过确定出的第一下联物理端口向第二三层交换设备转发报文。本发明实施例提供的技术方案有利于增大DDoS攻击防护网络架构的防护流量。

技术领域

本发明涉及网络技术领域，具体主要涉及一种报文转发方法及相关装置和通信系统。

背景技术

当前，随着互联网的飞速发展，网络安全问题也日趋严重。例如分布式拒绝服务(DDoS，Distributed Denial of Service)攻击就是网络中一种十分常见攻击方式。

参见图1，图1中举例示出现有的一种对目标主机进行DDoS攻击防护的网络架构。其中，报文到达目标主机之前经过路由器转发到某个DDoS防护设备上进行DDoS攻击识别，识别出为DDoS攻击的报文将被丢弃，识别出并非DDoS攻击的报文将被转发到目标主机。

本发明的发明人在研究和实践过程中发现，现有技术至少存在以下的技术问题：现有DDoS攻击防护网络架构中由1个路由器进行报文分发，由于路由器的下一跳路由条目数量很有限(条目上限一般为8条)，这就使得其DDoS攻击防护的流量上限较小(一般最多可接入8个DDoS攻击防护设备)，对于有些具有很大流量的目标主机，现有DDoS攻击防护网络架构通常难以满足防护要求。

发明内容

本发明实施例提供报文转发方法及相关装置和通信系统，以期增大DDoS攻击防护网络架构的防护流量。

第一方面，一种报文转发方法，包括：

第一三层交换设备接收待进行分布式拒绝服务攻击识别的报文；

所述第一三层交换设备基于预设策略从所述第一三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口；

若所述第一下联物理端口下联的是第二三层交换设备，所述第一三层交换设备通过确定出的所述第一下联物理端口向所述第二三层交换设备转发所述报文；

若所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备，所述第一三层交换设备通过确定出的所述第一下联物理端口向所述分布式拒绝服务攻击防护设备转发所述报文，以便于所述分布式拒绝服务攻击防护设备对所述报文进行分布式拒绝服务攻击识别。

第二方面，一种三层交换设备，包括：

接收单元，用于接收待进行分布式拒绝服务攻击识别的报文；

确定单元，用于基于预设策略从所述三层交换设备的多个下联物理端口中确定出转发所述报文的第一下联物理端口；

报文转发单元，用于若所述第一下联物理端口下联的是第二三层交换设备，通过确定出的所述第一下联物理端口向所述第二三层交换设备转发所述报文；若所述第一下联物理端口下联的是分布式拒绝服务攻击防护设备，通过确定出的所述第一下联物理端口向所述分布式拒绝服务攻击防护设备转发所述报文，以便于所述分布式拒绝服务攻击防护设备对所述报文进行分布式拒绝服务攻击识别。

第三方面，一种通信系统，包括：核心路由器、核心路由器下联的至少1个三层交换设备和所述三层交换设备下联的至少1个分布式拒绝服务攻击防护设备；

所述核心路由器，用于接收待进行分布式拒绝服务攻击识别的报文；基于预设策略从所述核心路由器的多个下联物理端口之中确定出转发所述报文的第一下联物理端口；通过确定出的所述第一下联物理端口向所述至少1个三层交换设备中的第二三层交换设备转发所述报文；