一种路由发布方法及装置、网络设备与流程

1.本说明书涉及通信技术领域，尤其涉及一种路由发布方法及装置、网络设备。


背景技术：

2.在多园区场景下，单个园区组网环境通常为三层组网，这三层组网层包括：核心层、汇聚层、接入层；如图1所示，图1为多个园区的组网架构，其中，每个园区的边界设备通常为核心层的spine设备(单leaf场景下，通常边界设备为汇聚层的leaf设备)。在图1中，各个园区之间通过边界设备spine建立vxlan(virtual extensible lan，可扩展虚拟局域网络)
‑
dci(data center interconnection，数据中心互联隧道)，该隧道采用vxlan封装格式。边界设备spine与园区内部的leaf设备建立vxlan隧道。边界设备spine从vxlan隧道或vxlan
‑
dci隧道上接收到报文后，解除vxlan封装，根据目的ip地址重新对报文进行vxlan封装，并将其转发到vxlan
‑
dci隧道或vxlan隧道，从而实现跨园区之间的互通。
3.在用户实际现网业务中，引入了微分段(microsegment)方案，每个微分段是按照一定的原则对网络终结点(例如一个或一组服务器)划分的组。每个微分段都拥有一个全局唯一的标识id。
4.在evpn(ethernet virtual private network，以太网虚拟专用网络)网络中，权限控制基于微分段的流量控制策略，当前园区中使用策略路由配置实现，因此需要微分段id和成员ip地址的对应关系。多园区场景下，本园区微分段id和成员ip地址的对应关系会通过bgp(border gateway protocol，边界网关协议)evpn的mac/ip发布路由的扩展团体属性同步给对端园区，对端园区收到该路由信息后，通过ibgp(internal border gateway protocol，内部bgp)同步到园区内的其他leaf设备。
5.由于多园区场景下上线用户数量庞大，导致路由信息过多，leaf设备中的路由表项无法承载如此多的路由信息，一旦leaf设备路由表项容量不足，将影响接入该leaf设备的用户正常上线。


技术实现要素：

6.为克服相关技术中存在的问题，本说明书提供了一种路由发布方法及装置、网络设备。
7.根据本说明书实施例的第一方面，提供一种路由发布方法，可以应用于第一自治系统中核心层的第一网络设备，所述方法包括：
8.接收第二自治系统中的第二网络设备发布的路由信息，所述路由信息中包括第二自治系统as号；
9.若根据匹配到的路由策略指示为抑制第一自治系统中的接入设备对所述第二自治系统as号的学习，则所述核心层的第一网络设备不向所述第一自治系统中的接入设备同步所述路由信息。
10.可选的，所述方法还包括：
11.所述路由信息中还包括ip地址；
12.若根据所述ip地址匹配到的路由策略指示抑制接入设备对该ip地址为主机路由类型的ip地址的学习，则所述核心层的第一网络设备不向所述第一自治系统中的接入设备同步所述路由信息。
13.可选的，所述方法还包括：
14.所述路由信息中还包括微分段；
15.所述若根据匹配到的路由策略指示为抑制接入设备对所述第二自治系统as号的学习，则所述核心层的第一网络设备不向所述第一自治系统中的接入设备同步所述路由信息，包括：
16.根据微分段匹配路由策略，若根据匹配到的路由策略指示为抑制接入设备对所述第二自治系统as号的学习，则所述核心层的第一网络设备不向所述第一自治系统中的接入设备同步所述路由信息。
17.可选的，所述若根据匹配到的路由策略指示为抑制接入设备对所述第二自治系统as号的学习，则所述核心层的第一网络设备不向所述第一自治系统中的接入设备同步所述路由信息，包括：
18.根据路由信息中的ip地址确定所述ip地址对应的微分段；
19.根据所述微分段匹配路由策略，若根据匹配到的路由策略指示为抑制接入设备对所述第二自治系统as号的学习，则所述核心层的第一网络设备不向所述第一自治系统中的接入设备同步所述路由信息。
20.根据本说明书实施例的第二方面，一种路由发布装置，所述装置被设置于第一自治系统中核心层的第一网络设备上，所述装置包括：接收模块、同步模块、策略匹配模块；
21.其中，接收模块用于接收第二自治系统中的第二网络设备发布的路由信息，所述路由信息中包括第二自治系统as号；
22.同步模块用于在策略匹配模块中根据匹配到的路由策略指示为抑制第一自治系统中的接入设备对所述第二自治系统as号的学习时，则同步模块所述核心层的第一网络设备不向所述第一自治系统中的接入设备同步所述路由信息。
23.可选的，所述同步模块还用于在路由信息中还包括ip地址的情况下，若根据所述ip地址在策略匹配模块中匹配到的路由策略指示抑制接入设备对该ip地址为主机路由类型的ip地址的学习，则所述同步模块不向所述第一自治系统中的接入设备同步所述路由信息。
24.可选的，所述同步模块还用于在所述路由信息中还包括微分段的情况下，策略匹配模块根据微分段匹配路由策略，若根据匹配到的路由策略指示为抑制接入设备对所述第二自治系统as号的学习，则同步模块不向所述第一自治系统中的接入设备同步所述路由信息。
25.可选的，所述策略匹配模块还用于根据路由信息中的ip地址确定所述ip地址对应的微分段，根据所述微分段匹配路由策略，若根据匹配到的路由策略指示为抑制接入设备对所述第二自治系统as号的学习，则所述同步模块不向所述第一自治系统中的接入设备同步所述路由信息。
26.根据本说明书实施例的第三方面，提供一种网络设备，包括存储器、处理器及存储
在存储器上并可在处理器上运行的计算机程序，其中，所述处理器执行所述程序时实现上述第一方面所提及的任一项所述的方法。
27.本说明书的实施例提供的技术方案可以包括以下有益效果：核心层的网络设备接收到其他自治系统的网络设备发布的路由时，通过匹配路由策略，针对符合条件的路由信息不再向该核心层的网络设备所在的自治域中的接入设备发布，从而可以抑制两个隔离的自治系统间的路由学习，减少了接入设备的路由表项的消耗，从而可以增大通过该边界设备上线的用户数量。
28.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本说明书。
附图说明
29.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本说明书的实施例，并与说明书一起用于解释本说明书的原理。
30.图1是本说明书实施例提供的网络架构的示意图；
31.图2是本说明书实施例提供的路由发布方法的流程示意图；
32.图3是本说明书实施例提供的网络架构的示意图；
33.图4是本说明书实施例提供的路由发布装置的结构示意图；
34.图5是本说明书实施例提供的网络设备的结构示意图。
具体实施方式
35.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本说明书的一些方面相一致的装置和方法的例子。
36.在介绍本说明书提供的方法之前，先对本技术中设计到的一些概念做简要的介绍。
37.微分段：(microsegment)，也叫基于精细分组的安全隔离，其实质就是基于对报文进行分组后的组标识来进行流量控制。例如，将数据中心网络中的服务器按照一定的原则进行分组，然后基于分组来部署流量控制策略，从而达到简化运维、安全管控的目的。可以采用ip地址、vlan(virtual local area network，虚拟局域网)标识作为微分段，具体选用何种标识作为微分段可以采用现有技术中的任一方式，本实施例不再详细赘述。
38.路由策略：路由策略是一种依据用户制定的策略进行路由转发的机制。策略路由可以对于满足一定条件，例如通过acl(access control lists，访问控制列表)规则、报文长度等作为匹配条件，并执行指定的操作，例如设置报文的下一跳、出接口、缺省下一跳和缺省出接口等。
39.针对现有技术存在的问题，本实施例中提供一种路由发布方法，核心层的网络设备接收到其他自治系统的网络设备发布的路由时，通过匹配路由策略，针对符合条件的路由信息不再向该核心层的网络设备所在的自治域中的接入设备发布，从而可以抑制两个隔离的自治系统间的路由学习，减少了接入设备的路由表项的消耗，从而可以增大通过该边
界设备上线的用户数量。
40.图2为本实施例提供的路由发布方法的流程示意图，如图2所示，该路由发布方法可以应用于自治系统中的核心层的网络设备。为了更好的说明本实施例提供的方法，本实施例中以图1所示的网络架构为例对该路由发布方法进行说明，但是应当理解的是，本实施例提供的方法并不仅仅限于仅应用于图1所示的网络架构。例如，图1中的核心层的设备可以为堆叠设备，也可以不是堆叠设备。核心层的网络设备还可以与ac(access controller，接入控制器)连接。本实施例中的自治系统可以为一个园区为一个自治系统，也可以一个机房为一个自治系统。本实施例以图1所示的网络架构中一个园区内的网络设备被分配相同的as(autonomous system，自治系统)号为例，进行说明。其中图1中的园区1称为第一自治系统，as号记为as200，园区2称为第二自治系统，as号记为as100，第一自治系统(园区1)中核心层以堆叠方式存在的网络设备称为第一网络设备，第二自治系统(园区2)中任一fabric中(本示例中fabric2为例)的核心层网络设备称为第二网络设备。具体的，本实施例提供的路由发布方法包括：
41.步骤201，接收第二自治系统中的第二网络设备发布的路由信息，所述路由信息中包括第二自治系统as号as100。
42.步骤203，若根据匹配到的路由策略指示为抑制接入设备对所述第二自治系统as号的学习，则所述核心层的第一网络设备不向所述第一自治系统中的接入设备同步所述路由信息。
43.其中，在步骤203中，匹配路由策略可以根据as号进行匹配，利用动作项(action)指示网络设备执行相应的动作，例如动作项为deny，即指示接入设备抑制对不属于第一自治系统的as号的学习，则第一网络设备不向第一自治系统中的接入设备同步所述路由。
44.当然，匹配路由策略还可以根据ip地址、或者根据源ip地址(和或目的ip地址)确定对应的微分段，根据微分段确定对应的动作项等。具体的路由策略的匹配项可以根据实际需要进行设置。
45.现有技术中，若有两个隔离的自治系统，若分别上线1000个用户，此时若两个自治系统互联，则两个自治系统将互相学习路由，接入设备上将学到两个自治系统中所有用户的路由信息，生成路由表项2000条。此时若接入设备路由表项数量达到上限，该接入设备将不再能学习到网段路由和新上线的用户的主机路由。此时互联的所有园区最多能上线2000个用户。
46.配置了路由学习的抑制之后，核心层的网络设备向接入设备同步路由信息时不再同步其他自治系统来源的路由信息，减少接入设备的路由表项的消耗。此时互联的所有园区的上线用户数量可以远大于2000个，其上线取决于核心层网络设备的路由表项总数。
47.在第一种可选的实施方式中，路由信息中还包括ip地址，如果该ip地址为主机路由，相应的，步骤203的具体实现方式为：如果根据路由信息中的ip地址匹配到的路由策略指示抑制该ip地址为主机路由类型的ip地址的学习，则核心层的第一网络设备不向第一自治系统中的接入设备同步路由信息。
48.在第二种可选的实施方式中，路由信息中还可以包括微分段，相应的，步骤203，若根据微分段匹配到的路由策略指示为抑制第二自治系统as号的学习，则核心层的第一网络设备不向第一自治系统中的接入设备同步路由信息，包括：
49.根据微分段匹配路由策略，若根据匹配到的路由策略指示为抑制第二自治系统as号as100的学习，则核心层的第一网络设备不向第一自治系统中的接入设备同步路由信息。
50.在第三种可选的实施方式中，步骤203，所述若根据匹配到的路由策略指示为抑制所述第二自治系统as号的学习，则核心层的第一网络设备不向第一自治系统中的接入设备同步所述路由信息，具体包括：
51.根据路由信息中的ip地址确定所述ip地址对应的微分段；
52.根据所述微分段匹配路由策略，若根据匹配到的路由策略指示为抑制所述第二自治系统as号as100的学习，则核心层的第一网络设备不向所述第一自治系统中的接入设备同步所述路由信息。
53.当然，在匹配路由策略时，可以通过as号、ip地址、微分段三者均与路由策略匹配时，才执行对应的动作项。
54.总结上述实现方式，本实施例中，通过对主机路由、以及不是同一个自治系统(即不是第一自治系统)的as号进行抑制，即不向第一自治系统中的接入设备同步路由信息，从而实现减少接入设备的路由表项的数量。
55.图3示出了在园区1的核心层网络设备spine1与leaf1设备建立bgp对等体的基础上，园区1的核心层设备spine1上对leaf1发布bgp路由时，匹配一定条件的路由策略，符合条件的路由信息将不会向leaf1设备发布。符合条件的路由信息可以为主机路由或者as
‑
path属性中包含的其他园区的as号，从而可以实现对主机路由或者其他园区as号对应的路由的过滤。
56.如图3所示，园区1的spine1向园区2的spine2发布园区1的路由，路由属性中as
‑
path为200，园区2的spine2向园区1的spine1发布园区2的路由，路由属性中as
‑
path为100。
57.园区2的spine2学习到园区1发送的路由，在路由策略的指导下，向leaf3发布路由。由于路由策略的限制，leaf3只学到as
‑
path为100的主机路由，不能学到与园区1发布的as
‑
path为200的路由。
58.如图3所示，ip地址1.1.1.1和1.1.1.2为园区1上线的终端的ip地址，1.1.1.3和1.1.1.4为园区2新上线的终端的ip地址，园区2的leaf3可以学习到ip地址为同一园区的ip地址1.1.1.3和1.1.1.4的主机路由信息，而无法学习到其他园区1的ip地址为1.1.1.1和1.1.1.2的主机路由信息。
59.在一种可选的实现方式中，在微分段的场景下，可以使用路由策略对路由信息中的扩展团体属性的as号进行过滤，减少对接入设备leaf上的路由资源的消耗。
60.在上述实施例的基础上，如图4所示，本实施例还提供一种路由发布装置，所述装置可以被设置于第一自治系统中核心层的第一网络设备上，所述装置包括：接收模块401、同步模块402、策略匹配模块403；
61.其中，接收模块401用于接收第二自治系统中的第二网络设备发布的路由信息，所述路由信息中包括第二自治系统as号；
62.同步模块402用于在策略匹配模块403中根据匹配到的路由策略指示为抑制第一自治系统中的接入设备对所述第二自治系统as号的学习时，则同步模块402不向所述第一自治系统中的接入设备同步所述路由信息。
63.可选的，所述同步模块402还用于在路由信息中还包括ip地址的情况下，若根据所
述ip地址在策略匹配模块403中匹配到的路由策略指示抑制接入设备对该ip地址为主机路由类型的ip地址的学习，则所述同步模块402不向所述第一自治系统中的接入设备同步所述路由信息。
64.可选的，所述同步模块402还用于在所述路由信息中还包括微分段的情况下，策略匹配模块403根据微分段匹配路由策略，若根据匹配到的路由策略指示为抑制接入设备对所述第二自治系统as号的学习，则同步模块403不向所述第一自治系统中的接入设备同步所述路由信息。
65.可选的，所述策略匹配模块402还用于根据路由信息中的ip地址确定所述ip地址对应的微分段，根据所述微分段匹配路由策略，若根据匹配到的路由策略指示为抑制接入设备对所述第二自治系统as号的学习，则所述同步模块403不向所述第一自治系统中的接入设备同步所述路由信息。
66.本公开还提供一种网络设备50，图5为本公开另一实施例提供的控制器的结构示意图，如图5所示，该网络设备50包括处理器501和存储器502，
67.所述存储器502用于存储程序指令，所述处理器501用于调用所述存储器中的存储的程序指令，当所述处理器501执行所述存储器502存储的程序指令时，用于执行上述实施例中核心层的网络设备所执行的路由发布方法。另外，为了更好的说明本公开，在具体实施方式中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本公开同样可以实施。在一些实例中，对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述，以便于凸显本公开的主旨。
68.在本公开所提供的实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本公开的实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
69.另外，在本公开各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
70.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个可读存储介质中。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个可读存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的可读存储介质包括：u盘、移动硬盘、只读存储器(rom，read
‑
only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。