虚拟专用网络VPN业务优化方法和设备

技术领域

本发明实施例涉及计算机网络，并且更具体地，涉及VPN业务优化方法和设备。

背景技术

边界网关协议(Border Gateway Protocol，BGP)：是一种用于自治系统AS(Autonomous System)之间的动态路由协议，早期发布的三个版本分别是BGP-1(RFC1105)、BGP-2(RFC1163)和BGP-3(RFC1267)，主要用于交换AS之间的可达路由信息，构建AS域间的传播路径，防止路由环路的产生，并在AS级别应用一些路由策略。当前使用的版本是BGP-4(RFC4271)。BGP作为事实上的互联网(Internet)外部路由协议标准，被广泛应用于互联网服务提供商(Internet Service Provider，ISP)之间。

目前，在边界网关协议(BGP)/多协议标签交换(MPLS)互联网协议(IP)虚拟专用网络(VPN)网络中，常常通过VPN目标(Target)属性来控制VPN路由信息在各站点(site)之间的发布和接收。VPN导出目标(Export Target)和VPN导入目标(Import Target)的设置相互独立，并且都可以设置多个值，能够实现灵活的VPN访问控制，从而实现多种VPN组网方案。

但是，在现有的网络部署中，可以存在多个VPN实例配置了相同的VPN ExportTarget和VPN Import Target的应用。因此，可能导致无法准确地将数据流导向对应的VPN实例的问题。

发明内容

本发明实施例提供一种VPN业务优化方法和设备，能够准确地将各个VPN实例的数据流分配到对应的VPN实例中进行传输，在一定程度上对VPN业务进行了优化。

第一方面，提出了一种第一网络设备，用于FlowSpec路由发布，该第一网络设备包括：分析单元，用于对进入该第一网络设备所在的网络的数据流进行分析，以获取目标数据流的流量特征；路由发布单元，用于发布FlowSpec路由，该FlowSpec路由携带重定向指示信息，该重定向指示信息包含标识信息，该标识信息用于在第二网络设备中唯一标识第一VPN实例，该重定向指示信息用于指示将包含该目标数据流的流量特征的数据流重定向至该第一VPN实例中，该第二网络设备为该网络接入的服务提供商网络的边缘设备，该第一VPN实例为该第二网络设备中该目标数据流被重定向后所指向的目标VPN实例。

结合第一方面，在第一种可能的实现方式中，具体实现为：该标识信息为该第一VPN实例的RD或名称。

结合第一方面或第一方面的第一种可能的实现方式，在第二种可能的实现方式中，该FlowSpec路由所属的边界网关协议BGP更新消息的扩展团体属性中包括目的RD字段，该目的RD字段的值为该标识信息。

第二方面，提出了一种第二网络设备，用于作为服务提供商网络的边缘设备，该第二网络设备包括：接收单元，用于接收第一网络设备发布的FlowSpec路由，该第一网络设备为该服务提供商网络中用于FlowSpec路由发布的网络设备，该FlowSpec路由携带目标数据流的流量特征，该FlowSpec路由还携带重定向指示信息，该重定向指示中包含标识信息，该标识信息用于在该第二网络设备中唯一标识第一VPN实例，该重定向指示信息用于指示将符合该目标数据流的流量特征的数据流重定向至该第一VPN实例中，该第一VPN实例为该第二网络设备中该目标数据流被重定向后所指向的目标VPN实例；分析单元，用于分析经过该网络设备的数据流；重定向单元，用于如果经过该网络设备的第一数据流的流量特征包含该目标数据流的流量特征，则将该第一数据流重定向到该第一VPN实例。

结合第二方面，在第一种可能的实现方式中，具体实现为：该标识信息为该第一VPN实例的RD或名称。

结合第二方面或第二方面的第一种可能的实现方式，在第二种可能的实现方式中，该FlowSpec路由所属的边界网关协议BGP更新消息的扩展团体属性中包括目的RD字段，该目的RD字段的值为该标识信息。

结合第二方面或第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式，在第三种可能的实现方式中，该第二网络设备还包括：路由发布单元，用于将该FlowSpec路由在该服务提供商网络中发布。

第三方面，提出了一种第三网络设备，用于VPN路由发布，该第三网络设备包括：获取单元，用于获取第四网络设备发送的第一路由，该第四网络设备为该第三网络设备所在的服务提供商网络的边缘设备，该第一路由为VPN路由；处理单元，用于根据接入第五网络设备的第一VPN实例和该第一路由生成第二路由，其中，该第五网络设备为该服务提供商网络的另一边缘设备，该第二路由为VPN路由，该第二路由携带标识信息和该第一路由的路由信息，该标识信息用于在该第五网络设备中唯一标识该第一VPN实例；路由发布单元，用于将该第二路由发送给该第五网络设备。

结合第三方面，在第一种可能的实现方式中，具体实现为：该标识信息包括该第一VPN实例的RD或名称。

结合第三方面或第三方面的第一种可能的实现方式，在第二种可能的实现方式中，具体实现为：该第二路由所属的BGP更新消息的扩展团体属性中包括目的RD字段，该目的RD字段的值为该标识信息；或者，该第二路由所属的BGP更新消息中包括RD属性，该目的RD属性的值为该标识信息。

结合第三方面或第三方面的第一种可能的实现方式或第三方面的第二种可能的实现方式，在第三种可能的实现方式中，具体实现为：该第二路由中还携带传输策略，该传输策略用于指示该第二路由所使用的传输隧道。

第四方面，提出了一种第五网络设备，用于作为服务提供商网络的边缘设备，该第五网络设备包括：接收单元，用于接收第三网络设备发送的第二路由，该第三网络设备为该服务提供商网络中用于VPN路由发布的网络设备，该第二路由携带第四网络设备向该第三网络设备发送的第一路由的信息，该第四网络设备为该服务提供商网络的另一边缘设备，该第二路由还携带标识信息，该标识信息用于在该第五网络设备中唯一标识接入该第五网络设备的第一VPN实例，该第一路由和该第二路由都为VPN路由；路由管理单元，用于将该第二路由添加到该第一VPN实例的路由表上。

结合第四方面，在第一种可能的实现方式中，具体实现为：该标识信息包括该第一VPN实例的RD或名称。

结合第四方面或第四方面的第一种可能的实现方式，在第二种可能的实现方式中，该第二路由所属的BGP更新消息的扩展团体属性中包括目的RD字段，该目的RD字段的值为该标识信息；或者，该第二路由所属的BGP更新消息中包括目的RD属性，该目的RD属性的值为该标识信息。

结合第四方面或第四方面的第一种可能的实现方式或第四方面的第二种可能的实现方式，在第三种可能的实现方式中，该第二路由中还携带传输策略，该传输策略用于指示在该第一VPN实例通过该第二路由访问该第四网络设备所使用的传输隧道；该路由管理单元还用于当该网络设备在该第一VPN实例上的数据流通过该第二路由访问该第四网络设备时使用该传输隧道传输。

第五方面，提出了一种VPN的业务优化方法，包括：第一网络设备对进入该第一网络设备所在的网络的数据流进行分析，以获取目标数据流的流量特征，该第一网络设备用于FlowSpec路由发布；该第一网络设备发布FlowSpec路由，该FlowSpec路由携带重定向指示信息，该重定向指示信息包含标识信息，该标识信息用于在第二网络设备中唯一标识第一VPN实例，该重定向指示信息用于指示将包含该目标数据流的流量特征的数据流重定向至该第一VPN实例中，该第二网络设备为该网络接入的服务提供商网络的边缘设备，该第一VPN实例为该第二网络设备中该目标数据流被重定向后所指向的目标VPN实例。

结合第五方面，在第一种可能的实现方式中，具体实现为：该标识信息为该第一VPN实例的RD或名称。

结合第五方面或第五方面的第一种可能的实现方式，在第二种可能的实现方式中，该FlowSpec路由所属的边界网关协议BGP更新消息的扩展团体属性中包括目的RD字段，该目的RD字段的值为该标识信息。

第六方面，提出了一种VPN的业务优化方法，包括：第二网络设备接收第一网络设备发布的FlowSpec路由，该第一网络设备为该第一网络设备所在的服务提供商网络中用于FlowSpec路由发布的网络设备，该FlowSpec路由携带目标数据流的流量特征，该FlowSpec路由还携带重定向指示信息，该重定向指示中包含标识信息，该标识信息用于在该第二网络设备中唯一标识第一VPN实例，该重定向指示信息用于指示将符合该目标数据流的流量特征的数据流重定向至该第一VPN实例中，该第一VPN实例为该第二网络设备中该目标数据流被重定向后所指向的目标VPN实例；该第二网络设备分析经过该第二网络设备的数据流；如果经过该第二网络设备的第一数据流的流量特征包含该目标数据流的流量特征，则该第二网络设备将该第一数据流重定向到该第一VPN实例。

结合第六方面，在第一种可能的实现方式中，具体实现为：该标识信息为该第一VPN实例的RD或名称。

结合第六方面或第六方面的第一种可能的实现方式，在第二种可能的实现方式中，该FlowSpec路由所属的边界网关协议BGP更新消息的扩展团体属性中包括目的RD字段，该目的RD字段的值为该标识信息。

结合第六方面或第六方面的第一种可能的实现方式或第六方面的第二种可能的实现方式，在第三种可能的实现方式中，该方法还包括：该第二网络设备将该FlowSpec路由在该服务提供商网络中发布。

第七方面，提出了一种VPN的业务优化方法，包括：第三网络设备获取第四网络设备发送的第一路由，该第三网络设备用于VPN路由发布，该第四网络设备为该第三网络设备所在的服务提供商网络的边缘设备，该第一路由为VPN路由；该第三网络设备根据接入第五网络设备的第一VPN实例和该第一路由生成第二路由，其中，该第五网络设备为该服务提供商网络的另一边缘设备，该第二路由为VPN路由，该第二路由携带标识信息和该第一路由的路由信息，该标识信息用于在该第五网络设备中唯一标识该第一VPN实例；该第三网络设备该第二路由发送给该第五网络设备。

结合第七方面，在第一种可能的实现方式中，具体实现为：该标识信息包括该第一VPN实例的RD或名称。

结合第七方面或第七方面的第一种可能的实现方式，在第二种可能的实现方式中，具体实现为：该第二路由所属的BGP更新消息的扩展团体属性中包括目的路由标识符RD字段，该目的RD字段的值为该标识信息；或者，该第二路由所属的BGP更新消息中包括目的路由标识符RD属性，该目的RD属性的值为该标识信息。

结合第七方面或第七方面的第一种可能的实现方式或第七方面的第二种可能的实现方式，在第三种可能的实现方式中，具体实现为：该第二路由中还携带传输策略，该传输策略用于指示该第二路由所使用的传输隧道。

第八方面，提出了一种VPN的业务优化方法，包括：第五网络设备接收第三网络设备发送的第二路由，该第五网络设备是该第五网络设备所在的服务提供商网络的边缘设备，该第三网络设备是该服务提供商网络中用于VPN路由发布的网络设备，该第二路由携带第四网络设备向该第三网络设备发送的第一路由的信息，该第四网络设备为该服务提供商网络的另一边缘设备，该第二路由还携带标识信息，该标识信息用于在该第五网络设备中唯一标识接入该第五网络设备的第一VPN实例，该第一路由和该第二路由都为VPN路由；该第五网络设备将该第二路由添加到该第一VPN实例的路由表上。

结合第八方面，在第一种可能的实现方式中，具体实现为：该识信息包括该第一VPN实例的RD或名称。

结合第八方面或第八方面的第一种可能的实现方式，在第二种可能的实现方式中，该第二路由所属的BGP更新消息的扩展团体属性中包括目的RD字段，该目的RD字段的值为该标识信息；或者，该第二路由所属的BGP更新消息中包括目的RD属性，该目的RD属性的值为该标识信息。

结合第八方面或第八方面的第一种可能的实现方式或第八方面的第二种可能的实现方式，在第三种可能的实现方式中，该第二路由中还携带传输策略，该传输策略用于指示该第五网络设备在该第一VPN实例通过该第二路由访问该第四网络设备所使用的传输隧道；该方法还包括：如果该第五网络设备在该第一VPN实例上的数据流通过该第二路由访问该第四网络设备，则使用该传输隧道传输。

第九方面，提供了一种网络设备，用于FlowSpec路由发布，该网络设备包括存储器和处理器，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，并且对该存储器中存储的指令的执行使得该处理器执行第五方面或第五方面的任一方面的可能实现方式中第一网络设备执行的方法。

第十方面，提供了一种网络设备，用于作为服务提供商网络的边缘设备，该网络设备包括存储器和处理器，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，并且对该存储器中存储的指令的执行使得该处理器执行第六方面或第六方面的任一可能的实现方式中第二网络设备执行的方法。

第十一方面，提供了一种网络设备，用于VPN路由发布，该网络设备包括存储器和处理器，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，并且对该存储器中存储的指令的执行使得该处理器执行第七方面或第七方面的任一可能的实现方式中第三网络设备执行的方法。

第十二方面，提供了一种网络设备，用于作为服务提供商网络的边缘设备，该网络设备包括存储器和处理器，该存储器用于存储指令，该处理器用于执行该存储器存储的指令，并且对该存储器中存储的指令的执行使得该处理器执行第八方面或第八方面的任一方面的可能实现方式中第五网络设备执行的方法。

第十三方面，提供了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行第五方面或第五方面的任一方面的可能实现方式中第一网络设备执行的方法。

第十四方面，提供了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行第六方面或第六方面的任一可能的实现方式中第二网络设备执行的方法。

第十五方面，提供了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行第七方面或第七方面的任一可能的实现方式中第三网络设备执行的方法。

第十六方面，提供了一种计算机可读存储介质，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行第八方面或第八方面的任一方面的可能实现方式中第五网络设备执行的方法。

第十七方面，提供了一种网络系统，该网络系统包括第一方面的第一网络设备和第二方面的第二网络设备，或者包括第五方面的网络设备和第六方面的网络设备。

第十八方面，提供了一种网络系统，该网络系统包括第三方面的第三网络设备和第四方面的第五网络设备，或者包括第七方面的网络设备和第八方面的网络设备。

本发明实施例的VPN业务优化方法和网络设备，一方面，第一网络设备发布FlowSpec路由，该FlowSpec路由中使用的标识信息能够在第二网络设备中唯一标识第一VPN实例，使得第二网络设备能够准确地将目标数据流导向第一VPN实例，以通过第一VPN实例将该目标数据流导向该目标数据流对应的目标设备，避免将目标数据流导向第一VPN实例以外的VPN实例，在一定程度上对VPN业务进行了优化；另一方面，第三网络设备根据第四网络设备的第一路由为第五网络设备的第一VPN实例建立第二路由，并将该第二路由发送给第五网络设备，以便第五网络设备能够将第二路由加入到第五网络设备的第一VPN实例的路由表中，从而使得第五网络设备的第一VPN实例中的数据流能够顺利的访问第四网络设备，将数据流准确地导向对应的VPN实例，能够在一定程度上实现对VPN业务的优化。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例VPN业务优化的方法流程图。

图2是本发明实施例VPN业务优化的交互流程图。

图3是本发明实施例VPN业务优化的另一方法流程图。

图4是本发明实施例网络设备的结构示意图。

图5是本发明实施例网络设备的另一结构示意图。

图6是本发明实施例VPN业务优化的再一方法流程图。

图7是本发明实施例VPN业务优化的再一交互流程图。

图8是本发明实施例VPN业务优化的再一交互流程图。

图9是本发明实施例VPN业务优化的再一方法流程图。

图10是本发明实施例网络设备的再一结构示意图。

图11是本发明实施例网络设备的再一结构示意图。

图12是本发明实施例实体装置的结构示意图。

图13是本发明实施例网络系统的系统框图。

图14是本发明实施例网络系统的另一系统框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了方便理解本发明实施例，首先在此介绍本发明实施例描述中会引入的几个要素。

边界网关协议(Border Gateway Protocol，BGP)：是一种用于自治系统AS(Autonomous System)之间的动态路由协议，早期发布的三个版本分别是BGP-1(RFC1105)、BGP-2(RFC1163)和BGP-3(RFC1267)，主要用于交换AS之间的可达路由信息，构建AS域间的传播路径，防止路由环路的产生，并在AS级别应用一些路由策略。当前使用的版本是BGP-4(RFC4271)。BGP作为事实上的互联网(Internet)外部路由协议标准，被广泛应用于互联网服务提供商(Internet Service Provider，ISP)之间。

多协议标签交换(Multi-Protocol Label Switching，MPLS)：是新一代的IP高速骨干网络交换标准，由因特网工程任务组(Internet Engineering Task Force，IETF)提出。MPLS是利用标记(label)进行数据转发的。当分组进入网络时，要为其分配固定长度的短的标记，并将标记与分组封装在一起，在整个转发过程中，交换节点仅根据标记进行转发。MPLS无缝地集成了IP路由技术的灵活性和ATM标签交换技术的简捷性。MPLS在无连接的IP网络中增加了面向连接的控制平面，为IP网络增添了管理和运营的手段。在IP网络中，MPLS流量工程技术成为一种主要的管理网络流量、减少拥塞、一定程度上保证IP网络的QoS的重要工具。

内部BGP协议(Internal Border Gateway Protocol，IBGP)：为保证IBGP对等体之间的连通性，需要在IBGP对等体之间建立全连接(Full-mesh)关系。假设在一个AS内部有n台路由器，那么应该建立的IBGP连接数就为n(n-1)/2。当IBGP对等体数目很多时，对网络资源和CPU资源的消耗都很大。IBGP规定，IBGP发布者(IBGP Speaker)不允许把从一个IBGP邻居学习到的前缀传递给其它IBGP邻居，因此IBGP要求逻辑全连接。目的：防止在AS内部形成BGP路由环路；确保BGP路由路径上的所有路由器都知道如何将数据包转发到目的地。

site(站点)：site是指相互之间具备IP连通性的一组IP系统，并且这组IP系统的IP连通性不需通过服务提供商网络实现。Site的划分是根据设备的拓扑关系，而不是地理位置，尽管在大多数情况下一个site中的设备地理位置相邻。地理位置隔离的两组IP系统，如果它们使用专线互联，不需要通过服务提供商网络就可以互通，那么这两组IP系统也组成一个site。Site通过用户边缘设备(Customer Edge，CE)连接到服务提供商网络，一个site可以包含多个CE，但一个CE只属于一个site。根据site的情况，CE设备的常用选择方案如下：如果site只是一台主机，则这台主机就作为CE设备；如果site是单个子网，则使用交换机作为CE设备；如果site是多个子网，则使用路由器作为CE设备。

虚拟专用网络(Virtual Private Network，VPN)：对于多个连接到同一服务提供商网络的site，通过制定策略，可以将它们划分为不同的集合(set)，只有属于相同集合的site之间才能通过服务提供商网络互访，这种集合就是VPN。

路由反射器(Route Reflector，RR)、客户机(Client)、集群(Cluster)、非客户机(Non-Client)：在一个AS内，其中一台路由器作为RR，其它路由器作为客户机(Client)。客户机与路由反射器之间建立IBGP连接。路由反射器和它的客户机组成一个集群(Cluster)。路由反射器在客户机之间反射路由信息，客户机之间不需要建立BGP连接。既不是反射器也不是客户机的BGP设备被称为非客户机(Non-Client)。非客户机与路由反射器之间，以及所有的非客户机之间仍然必须建立全连接关系。

CE(Customer Edge)：用户边缘设备，有接口直接与服务提供商SP(ServiceProvider)网络相连。CE可以是路由器或交换机，也可以是一台主机。通常情况下，CE“感知”不到VPN的存在，也不需要支持MPLS。

PE(Provider Edge)：提供商边缘设备，是服务提供商网络的边缘设备，与CE直接相连。在MPLS网络中，对VPN的所有处理都发生在PE上，对PE性能要求较高。

P(Provider)：服务提供商网络中的骨干设备，不与CE直接相连。P设备只需要具备基本MPLS转发能力，不维护VPN信息。

BGP/MPLS IP VPN：通常也称MPLS L3VPN，其基本模型由CE、PE和P三部分组成。PE和P设备仅由SP管理；CE设备仅由用户管理，除非用户把管理权委托给SP。一台PE可以接入多台CE设备。一台CE设备也可以连接属于相同或不同服务提供商的多台PE。

VPN实例：VPN实例也称为VPN路由转发表(VPN Routing and Forwarding table，VRF)。PE上存在多个路由转发表，包括一个公网路由转发表，以及一个或多个VPN路由转发表。也就是说，PE上存在多个实例，包括一个公网实例和一个或多个VPN实例，各个VPN实例维护各自VPN的路由，公网实例维护公网路由。

公网路由转发表与VPN路由转发表的区别：公网路由表包括所有PE和P设备的IPv4路由，由骨干网的路由协议或静态路由产生，VPN路由表包括属于该VPN实例的所有site的路由，通过CE与PE之间或者两个PE之间的VPN路由信息交互获得；公网转发表是根据路由管理策略从公网路由表提取出来的最小转发信息，而VPN转发表是根据路由管理策略从对应的VPN路由表提取出来的最小转发信息。

VPN、Site、VPN实例之间的关系：VPN是多个site的组合，一个site可以属于多个VPN。每一个site在PE上都关联一个VPN实例。VPN实例综合了它所关联的site的VPN成员关系和路由规则。多个site根据VPN实例的规则组合成一个VPN。

路由标识符(Route Distinguisher，RD)：用于区分使用相同地址空间的IP地址前缀(例如，IPv4前缀、IPv6前缀等)的不同VPN，VPN实例通过RD实现地址空间独立。RD的结构使得每个服务供应商可以独立地分配RD，但为了在CE双归属的情况下保证路由正常，必须保证RD全局唯一。增加了RD的IPv4地址称为VPN-IPv4地址，PE从CE接收到IPv4路由后，转换为全局唯一的VPN-IPv4路由，并在公网上发布。VPN-IPv6结构与VPN-IPv4类似，只是将IPv4前缀替换成了IPv6前缀。一般为一个Site分配唯一一个RD，它是VRF的标识符。

公网和私网的区别：公网路由表由IGP路由产生，可能包含BGP-4(IPv4)路由，但不会有VPN路由；VRF路由表包含特定VPN路由，可能有MP-iBGP路由引入到VRF中的路由，也可能有VRF路由实例从CE获得的路由。

VPN Target：BGP/MPLS IP VPN使用64比特位的BGP扩展团体属性－VPN Target(也称为Route Target，简称RT)来控制VPN路由信息的发布。每个VPN实例关联一个或多个VPN Target属性。有两类VPN Target属性：Export Target和Import Target。

Export Target：本地PE从直接相连site学到IPv4路由后，转换为VPN IPv4路由，并为这些路由设置Export Target属性。Export Target属性作为BGP的扩展团体属性随路由发布。

Import Target：PE收到其它PE发布的VPN-IPv4路由时，检查其Export Target属性。当此属性与PE上某个VPN实例的Import Target匹配时，PE就把路由加入到该VPN实例的路由表。

BGP流规范规则(Flow Specification，FlowSpec)(RFC 5575)功能：通过传递BGPFlow Specification路由将流量策略传递给BGP Flow Specification对等体，达到控制攻击流量的目的。

BGP Flow Specification路由：RFC5575中定义了一种BGP Flow Specification路由，这种BGP Flow Specification路由包含了一类新的BGP网络层可达信息类型和扩展团体属性。通过这种新的网络层可达信息和扩展团体属性，BGP Flow Specification路由可以携带流量的匹配条件和流量匹配后执行的动作。

BGP Flow Specification对等体关系：建立在创建BGP Flow Specification路由的设备与网络入口设备之间，用于传递BGP Flow Specification路由。当BGP FlowSpecification对等体收到BGP Flow Specification路由后将优选的路由转换为转发层面的流量控制策略，达到控制攻击流量的目的。

RFC 5575定义了12种常用的流量匹配规则(目的地址、源地址、IP协议号、端口号、目的端口号、源端口号、ICMP类型、ICMP编码、TCP的标志位、DSCP、分片类型等)。这12种规则封装在BGP Flow Specification路由中，作为网络层可达信息传递。

RFC 5575定义了4种常用的流量处理行为(丢弃流量、流量限速、修改报文的DSCP值、重定向到VPN)。这4种处理行为在BGP FlowSpec路由中，作为扩展团体属性携带。

图1是本发明实施例VPN业务优化的方法流程图。图1的方法第一网络设备执行。本发明实施例中，第一网络设备用于FlowSpec路由发布，可以是专用的流量分析服务器，或者是SDN控制器，等等。

101，第一网络设备对进入该第一网络设备所在的网络的数据流进行分析，以获取目标数据流的流量特征，该第一网络设备用于FlowSpec路由发布。

目标数据流，是指待发布的FlowSpec路由所要处理的数据流。例如，该目标数据流可以是攻击数据流等。本发明实施例中，第一网络设备可通过多种方式对数据流进行分析，以确定目标数据流。例如，以攻击数据流为例，可通过NetStream检测等确定攻击数据流。第一网络设备通过检测，可以检测出其中的攻击数据流，进而可以获得攻击数据流的流量特征，例如，可以检测出分布式拒绝服务(Distributed Denial of Service，DDoS)攻击所攻击的设备的IP地址等。

102，该第一网络设备发布FlowSpec路由，该FlowSpec路由携带重定向指示信息，该重定向指示信息包含标识信息，该标识信息用于在第二网络设备中唯一标识第一VPN实例，该重定向指示信息用于指示将包含该目标数据流的流量特征的数据流重定向至该第一VPN实例中，该第二网络设备为该网络接入的服务提供商网络的边缘设备，该第一VPN实例为该第二网络设备中该目标数据流被重定向后所指向的目标VPN实例。

应理解，F l owSpec路由中，可包含目标数据流的参数和重定向指示。其中，目标数据流的参数可以是目标数据流的流量特征，用于表示F l owSpec所要处理的目标数据流；重定向指示用于将流量特征与该目标数据流的流量特征相同的数据流重定向到第一VPN实例，以通过第一VPN实例将目标数据流导向目标设备。

应理解，当目标数据流被重定向到目标VPN实例后，根据VPN实例记录的路由转发表，该目标数据流会被导向该目标VPN实例所关联的Site上，从而导向Site对应的CE设备。

本发明实施例中，第一网络设备发布FlowSpec路由，该FlowSpec路由中使用的标识信息能够在第二网络设备中唯一标识第一VPN实例，使得第二网络设备能够准确地将目标数据流导向第一VPN实例，以通过第一VPN实例将该目标数据流导向该目标数据流对应的目标设备，避免将目标数据流导向第一VPN实例以外的VPN实例，在一定程度上对VPN业务进行了优化。

可选地，该标识信息为该第一VPN实例的RD或名称。

可选地，该FlowSpec路由所属的边界网关协议BGP更新消息的扩展团体属性中包括目的RD字段，该目的RD字段的值为该标识信息。

下面，将结合具体的实施例，对本发明实施例的方法作进一步的描述。

图2是本发明实施例VPN业务优化的交互流程图。本发明实施例中，第一网络设备为流量分析服务器，目标数据流为攻击数据流，目标设备为流量清洗服务器。本发明实施例中，通过对FlowSpec路由进行调整，以实现VPN业务优化。其中，AS200为服务提供商网络，S1、S2、S3和D1为私有网络(本地网络)。在AS200的网络中，RTA、RTB和RTD为提供商边缘设备(Provider Edge，PE)，RTC为骨干设备(Provider)，S1和S2为RTA的私有网络，S3为RTB的私有网络，D1为RTD的私有网络，被攻击者、流量清洗服务器和流量分析服务器位于D1上。当然，应理解，流量分析服务器也可不在D1上，例如，在S1、S2或S3等。图2中，RTA、RTB和RTD的VPN Target属性配置分别如下：

RTA：

RTB：

RTD：

如图2所示，攻击源对IP地址为20.1.1.1的设备进行DDos攻击(当然，也可能是其它攻击方式，本发明实施例以此为例)。其中，20.1.1.1的设备位于RTD所在的私有网络D1中。本发明实施例中，IP地址20.1.1.1是目标数据流的流量特征。

私有网络D1中的流量分析服务器可通过NetStream检测到目的IP20.1.1.1受到DDoS攻击。此时，流量分析服务器可根据攻击特征生成FlowSpec路由，并发布给所连接的边缘设备RTD。其中，该FlowSpec路由携带重定向指示信息，该重定向指示中包含能够在私有网络D1中唯一标识接入到流量清洗服务器的第一VPN。

例如，FlowSpec路由可包含如下信息：

Rule：dest-ip 20.1.1.1，dest-port 80

Action：redirect vpn-rd 100:1。

其中，100:1为第一VPN在私有网络D1中的RD。

或者，FlowSpec路由可包含如下信息：

Rule：dest-ip 20.1.1.1，dest-port 80

Action：redirect vpn-rn scrubbing-vpn1。

其中，scrubbing-vpn1为第一VPN在私有网络D1中的名称。

本发明实施例的一种实现方式，可将上述重定向的VPN实例的RD映射到FlowSpec路由的BGP更新(Update)消息中的“重定向扩展团体属性(Redirect ExtendedCommunity)”。

目前RFC5575所定义的“redirect to specific vrf”，支持指定3种类型的目的RT：

本发明实施例中，可新申请一个“重定向RD类型值”的类型值，将3种RD分别映射成如下3种形式的重定向RD类型值：

重定向RD类型值待分配，比如说可以是0x8308，0x83408，0x8508，等等。重定向RD类型值的一种结构可如下所示：

应理解，重定向RD类型值在经过IETF正式分配后，会使用IETF指定的数值。除了Type字段有变化(新申请的“重定向RD类型值”类型值)，其它字段没有变化。

当边缘设备RTD接收到流量分析服务器发布的FlowSpec路由后，可将该FlowSpec路由发布给AS200的其它边缘设备RTA和RTB。

各设备根据FlowSpec规则，生成流量匹配规则，符合匹配条件的流量被重定向到私有网络D1，转发去往流量清洗服务器清洗。

例如RTA接收到该FlowSpec路由，根据指定的动作：“Action：redirect vpn-rd100:1”，去匹配RTA设备中RD为“100:1”的VPN实例。在本发明实施例中，在RTA找到了vpn-instance scrubbing-vpn1。因为RD在一个设备上是唯一的，只能属于一个VPN实例。其攻击流量引导过程：

(1)匹配该FlowSpec路由描述的流量特征的攻击流量进入RTA后，在RTA被引导到vpn-instance scrubbing-vpn1；

(2)在这个VPN实例中只有一条缺省路由，下一跳为RTD，因此流量被转发到RTD；

(3)流量到达RTD后，发现只有一条缺省路由指向清洗服务器，因此流量被转发到了清洗服务器。

通过本发明实施例的方法，实现了BGP FlowSpec精确选择“目的重定向VPN实例”的目的，准确地将数据流导向对应的VPN实例，在一定程度上对VPN业务进行了优化。

图3是本发明实施例VPN业务优化的另一方法流程图。图3的方法由第二网络设备执行。

301，第二网络设备接收第一网络设备发布的FlowSpec路由，该第一网络设备为该第一网络设备所在的服务提供商网络中用于FlowSpec路由发布的网络设备，该FlowSpec路由携带目标数据流的流量特征，该FlowSpec路由还携带重定向指示信息，该重定向指示中包含标识信息，该标识信息用于在该第二网络设备中唯一标识第一VPN实例，该重定向指示信息用于指示将符合该目标数据流的流量特征的数据流重定向至该第一VPN实例中，该第一VPN实例为该第二网络设备中该目标数据流被重定向后所指向的目标VPN实例。

应理解，本发明实施例中，该FlowSpec路由可以是第一网络设备(例如，图2所示的流量分析服务器等)直接发送地，也可以是第一网络设备通过其它提供商边缘设备发送的。

302，该第二网络设备分析经过该第二网络设备的数据流。

303，如果经过该第二网络设备的第一数据流的流量特征包含该目标数据流的流量特征，则该第二网络设备将该第一数据流重定向到该第一VPN实例。

本发明实施例中，第二网络设备根据FlowSpec路由中能够唯一标识第一VPN实例的标识信息，将目标数据流重定向到第一VPN实例，以通过第一VPN实例将该目标数据流导向该目标数据流对应的目标设备，从而能够准确地将数据流导向对应的VPN实例，避免将目标数据流导向第一VPN实例以外的VPN实例中，在一定程度上对VPN业务进行了优化。

可选地，该标识信息为该第一VPN实例的RD或名称。

可选地，该FlowSpec路由所属的边界网关协议BGP更新消息的扩展团体属性中包括目的RD字段，该目的RD字段的值为该标识信息。

可选地，该方法还包括该第二网络设备将该FlowSpec路由在该服务提供商网络中发布。

本发明实施例的具体实现可参考图2所示实施例中RTA、RTB和RTD执行的方法，本发明实施例在此不再赘述。

图4是本发明实施例网络设备400的结构示意图。网络设备400用于FlowSpec路由发布，网络设备400可包括分析单元401和路由发布单元402。

其中，分析单元401，用于对进入网络设备400所在的网络的数据流进行分析，以获取目标数据流的流量特征。

路由发布单元402，用于发布FlowSpec路由，该FlowSpec路由携带重定向指示信息，该重定向指示信息包含标识信息，该标识信息用于在第二网络设备中唯一标识第一VPN实例，该重定向指示信息用于指示将包含该目标数据流的流量特征的数据流重定向至该第一VPN实例中，该第二网络设备为该网络接入的服务提供商网络的边缘设备，该第一VPN实例为该第二网络设备中该目标数据流被重定向后所指向的目标VPN实例。

本发明实施例中，网络设备400发布FlowSpec路由，该FlowSpec路由中使用能够在提供商边缘设备中唯一标识第一VPN实例的标识信息，使得提供商边缘设备能够准确地将目标数据流导向第一VPN实例，以通过第一VPN实例将该目标数据流导向该目标数据流对应的目标设备，避免将目标数据流导向第一VPN实例以外的VPN实例，在一定程度上对VPN业务进行了优化。

可选地，该标识信息为第一VPN实例的RD或名称。

此外，网络设备400还可执行图1所示实施例第一网络设备执行的方法，并实现流量清洗服务器在图2所示实施例的功能，本发明实施例在此不再赘述。

图5是本发明实施例网络设备500的结构示意图。网络设备500用于作为服务提供商网络的边缘设备，网络设备500可包括接收单元501、分析单元502、重定向单元503。其中，

接收单元501，用于接收第一网络设备发布的FlowSpec路由，该第一网络设备为该服务提供商网络中用于FlowSpec路由发布的网络设备，该FlowSpec路由携带目标数据流的流量特征，该FlowSpec路由还携带重定向指示信息，该重定向指示中包含标识信息，该标识信息用于在网络设备500中唯一标识第一VPN实例，该重定向指示信息用于指示将符合该目标数据流的流量特征的数据流重定向至该第一VPN实例中，该第一VPN实例为该网络设备500中该目标数据流被重定向后所指向的目标VPN实例；

分析单元502，用于分析经过网络设备500的数据流；

重定向单元503，用于如果经过网络设备500的第一数据流的流量特征包含该目标数据流的流量特征，则将该第一数据流重定向到该第一VPN实例。

本发明实施例中，提供商边缘设备500根据FlowSpec路由中能够唯一标识第一VPN实例的标识信息，将目标数据流重定向到第一VPN实例，以通过第一VPN实例将该目标数据流导向该目标数据流对应的目标设备，从而能够准确地将数据流导向对应的VPN实例，避免将目标数据流导向第一VPN实例以外的VPN实例中，在一定程度上对VPN业务进行了优化。

可选地，该标识信息为该第一VPN实例的RD或名称。

可选地，该FlowSpec路由所属的边界网关协议BGP更新消息的扩展团体属性中包括目的RD字段，该目的RD字段的值为该标识信息。

可选地，网络设备500还可包括路由发布单元504，用于将该FlowSpec路由在该服务提供商网络中发布。

此外，网络设备500还可执行图3所示实施例第二网络设备执行的方法，并实现RTA、RTB和RTD在图2所示实施例的功能，本发明实施例在此不再赘述。

图6是本发明实施例VPN业务优化的再一方法流程图。图6的方法由第三网络设备执行。本发明实施例中，该第三网络设备可以是控制器等。

601，第三网络设备获取第四网络设备发送的第一路由，该第三网络设备用于VPN路由发布，该第四网络设备为该第三网络设备所在的服务提供商网络的边缘设备，该第一路由为VPN路由。

602，该第三网络设备根据接入第五网络设备的第一VPN实例和该第一路由生成第二路由，其中，该第五网络设备为该服务提供商网络的另一边缘设备，该第二路由为VPN路由，该第二路由携带标识信息和该第一路由的路由信息，该标识信息用于在该第五网络设备中唯一标识该第一VPN实例。

应理解，在第五网络设备中，可能同时接入多个VPN实例，第一VPN实例为其中的任意一个VPN实例。

603，该第三网络设备该第二路由发送给该第五网络设备。

本发明实施例中，第三网络设备根据第四网络设备的第一路由为第五网络设备的第一VPN实例建立第二路由，并将该第二路由发送给第五网络设备，以便第五网络设备能够将第二路由加入到第五网络设备的第一VPN实例的路由表中，从而使得第五网络设备的第一VPN实例中的数据流能够顺利的访问第四网络设备，将数据流准确地导向对应的VPN实例，能够在一定程度上实现对VPN业务的优化。

可选地，该标识信息包括该第一VPN实例的RD或名称。

可选地，该第二路由所属的BGP更新消息的扩展团体属性中包括目的RD字段，该目的RD字段的值为该标识信息；或者，该第二路由所属的BGP更新消息中包括目的RD属性，该目的RD属性的值为该标识信息。

可选地，该第二路由中还携带传输策略，该传输策略用于指示该第二路由所使用的传输隧道。

下面，将结合具体的实施例，对本发明实施例的方法作进一步的描述。

图7是本发明实施例VPN路由发布流程图。图7中，PE1、PE2和PE3是提供商边缘设备，P为服务提供商网络的骨干设备；CE1为站点CE1是Site1的CE，CE2是Site2的CE，CE3是Site3的CE，CE4是Site4的CE；PE1是site1和site2的PE，PE2是site3的PE，PE3是site4的PE；site1、site2、site3、site4属于同一个虚拟专用网络VPN-A，且PE1、PE2和PE3的VPN Target属性配置分别如下：

PE1：

PE2：

PE3：

其中，PE1的VPN实例vpn1与站点site1关联，PE1的VPN实例vpn1与站点site1关联；PE2的VPN实例vpn1与站点site3关联；PE3的VPN实例vpn1与站点site4关联。从CE1、CE2、CE3发往CE4的数据流如图7中的虚线箭头所示。

具体流程如下：

S71，CE4发布路由给P3。

CE4的Prefix 12.16.2.0/24发布给PE3：

Prefix Nexthop

12.16.2.0/24 CE4

S72，PE3上vpn1私网路由表更新。

在PE3上，vpn1私网路由表中存在如下路由：

Prefix Nexthop

12.16.2.0/24 CE4

S73，PE3上的VPNv4路由表更新，并发送给控制器。

在PE3上，vpn1私网路由表中的上述路由上送PE3上的VPNv4路由表，分配Label：L1，并发往控制器。VPNv4路由表存在如下路由：

S74，控制器得到路由1。

在控制器上，可以看到PE3发布的VPNv4路由，称为路由1：

S75，控制器根据路由1生成路由2和路由3，并发布给PE1。

根据控制器上部署的控制策略，控制器基于路由1为PE1上的vpn1生成VPNv4路由2。其中，路由2可携带能够唯一标识vpn1的标识信息，例如，RD或名称。以RD为例，可将唯一标识vpn1的RD的字段名称为目的RD。路由2如下：

同理，控制器基于路由1为PE1上的vpn2生成VPNv4路由3，同时携带策略B，例如指定该路由使用TE隧道：

本发明实施例的一种实现方式，可将上述目的RD(即VPN RD)映射到Flowspec路由的BGP更新(Update)消息中的“目的RD扩展团体属性”，所述“目的RD扩展团体属性”是在BGPUpdate消息中的扩展团体属性里新增加的类型和值。

目前RFC4364所定义的3种RD的定义如下：

本发明实施例中，可在Flowspec路由所属的BGP更新(Update)消息中新申请一个“目的RD类型值”的类型值，将3种RD分别映射成如下3种形式的“目的RD扩展团体属性”：

目的RD类型值待分配，比如说可以是0x11等。在经过IETF正式分配后，会使用IETF指定的数值。

除了Type字段有变化(新申请的“目的RD类型值”类型值)，其它字段没有变化。

该目的RD扩展团体属性随同控制器向转发器下发的VPNv4/VPNv6路由一起发送。

或者，本发明实施例的另一种实现方式，可通过在Flowspec路由的BGP更新(Update)消息中新增目的RD属性(Destination RD Attribute)来表示上述目的RD。在该目的RD属性中，其属性值封装的是一个或多个RD，每个RD前增加目的AS和目的LSR ID，RD的定义同RFC4364，未修改。

目的RD属性的Value部分定义如下：

Destination AS：目的AS

Destination LSR ID：目的LSR ID

Destination RD：目的RD

该目的RD属性随同控制器向转发器下发的VPNv4/VPNv6路由一起发送。

当然，应理解，在实际的应用中，可能不叫“目的RD扩展团体属性”或“目的RD属性”，而是另取其它属性名称，本发明实施例在此不作限制。

控制器将生成的路由2发布给PE1，并将生成的路由3发布给PE1。

S76，PE1根据路由分配VPN实例。

PE1接收到路由2，根据路由2所携带的目的RD 100:1，找到RD 100:1属于VPN实例vpn1，将该路由2添加到到VPN实例vpn1的路由表中；同时根据路由2所携带的策略A，在PE1的VPN实例vpn1的数据流访问的目的前缀是12.16.2.0/24时将使用GRE隧道。

PE1接收到路由3，根据路由3所携带的目的RD 100:2，找到RD 100:2属于VPN实例vpn2，将该路由3添加到VPN实例vpn2的路由表中；同时根据路由2所携带的策略A，在PE1的VPN实例vpn2的数据流访问的目的前缀是12.16.2.0/24时将使用GRE隧道。

图8是本发明实施例VPN路由发布流程图。图8所示的场景为VPN实例跨域访问的场景。图8中，运营商1的自治系统AS1中，P为服务提供商网络的骨干设备，PE1、PE2和ABSR1是提供商边缘设备，且ABSR1为AS1中与另一区域(运营商2的自治系统AS2)相邻的提供商边缘设备；CE1为站点CE1是Site1的CE，CE2是Site2的CE，CE3是Site3的CE；PE1是site1和site2的PE，PE2是site3的PE。运营商2的自治系统AS2中，PE3和ABSR2是提供商边缘设备，且ABSR2为AS2中与另一区域(运营商1的自治系统AS1)相邻的提供商边缘设备；CE4是Site4的CE；PE3是site4的PE。site1、site2、site3、site4属于同一个虚拟专用网络VPN-A。

其中，PE1的VPN实例vpn1与站点site1关联，PE1的VPN实例vpn1与站点site1关联；PE2的VPN实例vpn1与站点site3关联；PE3的VPN实例vpn1与站点site4关联。

PE1、PE2和PE3的VPN Target属性配置分别如下：

PE1：

PE2：

PE3：

具体流程如下：

S81，CE4发布路由给P3。

CE4的Prefix 12.16.2.0/24发布给PE3：

Prefix Nexthop

12.16.2.0/24 CE4

S82，PE3上vpn1私网路由表更新。

在PE3上，vpn1私网路由表中存在如下路由：

Prefix Nexthop

12.16.2.0/24 CE4

S83，PE3上的VPNv4路由表更新，并发送给ASBR2。

在PE3上，vpn1私网路由表中的上述路由上送PE3上的VPNv4路由表，分配Label：L1，并发往ASBR2。VPNv4路由表存在如下路由：

S84，ASBR2上VPNv4路由表更新，并发送给ASBR1。

在ASBR2上，接收到S83步骤发送过来的路由后，保存该路由并生成新的VPNv4路由：其中的下一跳信息为ASBR2；同时在ASBR2上为新的VPNv4路由分配Label：L2，新的VPNv4路由发往ASBR1：

S85，ASBR1上VPNv4路由表更新，并发送给控制器。

在ASBR1上，接收到上述ASBR2发送过来的路由后，保存该路由并生成新的VPNv4路由：其中的下一跳信息为ASBR1；同时在ASBR1上为新的VPNv4路由分配Label：L3，新的VPNv4路由发往控制器：

S86，控制器得到路由1。

在控制器上，可以看到PE3发布的VPNv4路由，称为路由1：

S87，控制器根据路由1生成路由2和路由3，并发布给PE1。

根据控制器上部署的控制策略，控制器基于路由1为PE1上的vpn1生成VPNv4路由2。其中，路由2可携带能够唯一标识vpn1的标识信息，例如，RD或名称。以RD为例，可将唯一标识vpn1的RD的字段名称为目的RD。路由2如下：

同理，控制器基于路由1为PE1上的vpn2生成VPNv4路由3，同时携带策略B，例如指定该路由使用TE隧道：

承载目的RD字段的具体实现方式可参考图7所示实施例的步骤S75，本发明实施例在此不再赘述。

控制器将生成的路由2发布给PE1，并将生成的路由3发布给PE1。

S88，PE1根据路由分配VPN实例。

PE1接收到路由2，根据路由2所携带的目的RD 100:1，找到RD 100:1属于VPN实例vpn1，将该路由2添加到VPN实例vpn1的路由表中；同时根据路由2所携带的策略A，在PE1的VPN实例vpn1的数据流访问的目的前缀是12.16.2.0/24时将使用GRE隧道。

PE1接收到路由3，根据路由3所携带的目的RD 100:2，找到RD 100:2属于VPN实例vpn2，将该路由3添加到VPN实例vpn2的路由表中；同时根据路由3所携带的策略A，在PE1的VPN实例vpn2数据流访问的目的前缀是12.16.2.0/24时将使用GRE隧道。

图9是本发明实施例VPN业务优化的再一方法流程图。图9的方法由第五网络设备执行。

901,第五网络设备接收第三网络设备发送的第二路由，该第五网络设备是该第五网络设备所在的服务提供商网络的边缘设备，该第三网络设备是该服务提供商网络中用于VPN路由发布的网络设备，该第二路由携带第四网络设备向该第三网络设备发送的第一路由的信息，该第四网络设备为该服务提供商网络的另一边缘设备，该第二路由还携带标识信息，该标识信息用于在该第五网络设备中唯一标识接入该第五网络设备的第一VPN实例，该第一路由和该第二路由都为VPN路由。

902，该第五网络设备将该第二路由添加到该第一VPN实例的路由表上。

本发明实施例中，第五网络设备根据第二路由中能够唯一标识第一VPN实例的标识信息和第四网络设备的路由信息，将该第二路由加入到第一VPN实例的路由表中，从而使得第一VPN实例中的数据流能够顺利的访问第一PE，将数据流准确地导向对应的VPN实例，能够在一定程度上实现对VPN业务的优化。

可选地，该标识信息包括该第一VPN实例的RD或名称。

可选地，该第二路由所属的BGP更新消息的扩展团体属性中包括目的RD字段，该目的RD字段的值为该标识信息；或者，该第二路由所属的BGP更新消息中包括RD属性，该目的RD属性的值为该标识信息。

可选地，该第二路由中还携带传输策略，该传输策略用于指示该第五网络设备在该第一VPN实例通过该第二路由访问该第四网络设备所使用的传输隧道；该方法还包括：如果该第五网络设备在该第一VPN实例上的数据流通过该第二路由访问该第四网络设备，则使用该传输隧道传输。

本发明实施例的具体实现可参考图8所示实施例中PE1和PE3执行的方法，或图9所示实施例中ABSR1和PE1执行的方法，本发明实施例在此不再赘述。

图10是本发明实施例网络设备1000的结构示意图。网络设备1000可包括：

获取单元1001，用于获取第四网络设备发送的第一路由，该第四网络设备为网络设备1000所在的服务提供商网络的边缘设备，该第一路由为VPN路由；

处理单元1002，用于根据接入第五网络设备的第一VPN实例和该第一路由生成第二路由，其中，该第五网络设备为该服务提供商网络的另一边缘设备，该第二路由为VPN路由，该第二路由携带标识信息和该第一路由的路由信息，该标识信息用于在该第五网络设备中唯一标识该第一VPN实例；

路由发布单元1003，用于将该第二路由发送给该第五网络设备。

本发明实施例中，网络设备100根据第四网络设备的第一路由为第五网络设备的第一VPN实例建立第二路由，并将该第二路由发送给第五网络设备，以便第五网络设备能够将第二路由加入到第五网络设备的第一VPN实例的路由表中，从而使得第五网络设备的第一VPN实例中的数据流能够顺利的访问第四网络设备，将数据流准确地导向对应的VPN实例，能够在一定程度上实现对VPN业务的优化。

可选地，该能标识信息包括该第一VPN实例的RD或名称。

可选地，该第二路由所属的BGP更新消息的扩展团体属性中包括目的RD字段，该目的RD字段的值为该标识信息；或者，该第二路由所属的BGP更新消息中包括目的RD属性，该目的RD属性的值为该标识信息。

可选地，该第二路由中还携带传输策略，该传输策略用于指示该第二路由所使用的传输隧道。

网络设备1000还可执行图6所示实施例第三网络设备执行的方法，并实现控制器在图7、图8所示实施例的功能，本发明实施例在此不再赘述。

图11是本发明实施例网络设备1100的结构示意图。网络设备1100用于作为服务提供商网络的边缘设备，网络设备1100可包括：接收单元1101和路由管理单元1102。

接收单元1101，用于接收第三网络设备发送的第二路由，该第三网络设备为该服务提供商网络中用于VPN路由发布的网络设备，该第二路由携带第四网络设备向该第三网络设备发送的第一路由的信息，该第四网络设备为该服务提供商网络的另一边缘设备，该第二路由还携带标识信息，该标识信息用于在网络设备1000中唯一标识接入网络设备1000的第一VPN实例，该第一路由和该第二路由都为VPN路由；

路由管理单元1102，用于将该第二路由添加到该第一VPN实例的路由表上。

本发明实施例中，网络设备1100根据第二路由中能够唯一标识第一VPN实例的标识信息和第四网络设备的路由信息，将该第二由加入到第一VPN实例的路由表中，从而使得第一VPN实例中的数据流能够顺利的访问第一PE，将数据流准确地导向对应的VPN实例，能够在一定程度上实现对VPN业务的优化。

可选地，该标识信息包括该第一VPN实例的RD或名称。

可选地，该第二路由中还携带传输策略，该传输策略用于指示在该第一VPN实例通过该第二路由访问该第四网络设备所使用的传输隧道；该路由管理单元1102还用于当网络设备1000在该第一VPN实例上的数据流通过该第二路由访问该第四网络设备时使用该传输隧道传输。

网络设备1100还可执行图9所示实施例第五网络设备执行的方法，并实现图7所示实施例中PE1和PE3的功能，或图8所示实施例中ABSR1和PE1的功能，本发明实施例在此不再赘述。

本发明实施例还提出了一种网络设备1。网络设备1的实体装置结构示意图可如图12所示，包括处理器1202、存储器1203、发送器1201和接收器1204。

接收器1204、发送器1201、处理器1202和存储器1203通过总线1205系统相互连接。总线1205可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图12中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

存储器1203，用于存放程序。具体地，程序可以包括程序代码，所述程序代码包括计算机操作指令。存储器1203可以包括只读存储器和随机存取存储器，并向处理器1202提供指令和数据。存储器1203可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少1个磁盘存储器。

处理器1202，执行存储器1203所存放的程序。

具体地，在网络设备1中，处理器1202可用于执行图1所示实施例第一网络设备执行的方法，并实现流量清洗服务器在图2所示实施例的功能。

处理器1202可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器1202中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1202可以是通用处理器，包括中央处理器(Central Processing Unit，简称CPU)、网络处理器(Network Processor，简称NP)等；还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1203，处理器1202读取存储器1203中的信息，结合其硬件完成上述方法的步骤。

本发明实施例还提出了一种网络设备2，其实体装置结构示意图可如图12所示，其所包含的实体单元与网络设备1类似，不再赘述。

具体地，在网络设备2中，处理器1202可用于执行图3所示实施例第二网络设备执行的方法，并实现RTA、RTB和RTD在图2所示实施例的功能。

本发明实施例还提出了一种网络设备3，其实体装置结构示意图可如图12所示，其所包含的实体单元与网络设备1类似，不再赘述。

具体地，在网络设备3中，处理器1202可用于执行图6所示实施例第三网络设备执行的方法，并实现控制器在图7、图8所示实施例的功能。

本发明实施例还提出了一种网络设备4，其实体装置结构示意图可如图12所示，其所包含的实体单元与网络设备1类似，不再赘述。

具体地，在网络设备4中，处理器1202可用于执行图9所示实施例第五网络设备执行的方法，并实现图7所示实施例中PE1和PE3的功能，或图8所示实施例中ABSR1和PE1的功能。

本发明实施例还提出了一种计算机可读存储介质1，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行图1所示实施例第一网络设备执行的方法。

本发明实施例还提出了一种计算机可读存储介质2，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行图3所示实施例第二网络设备执行的方法。

本发明实施例还提出了一种计算机可读存储介质3，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行图6所示实施例第三网络设备执行的方法。

本发明实施例还提出了一种计算机可读存储介质4，该计算机可读存储介质存储一个或多个程序，该一个或多个程序包括指令，该指令当被包括多个应用程序的便携式电子设备执行时，能够使该便携式电子设备执行图9所示实施例第五网络设备执行的方法。

图13是本发明实施例网络系统1300的系统框图。如图13所示，网络系统1300可包括网络设备1301和网络设备1302。其中，网络设备1301可以是图4所示实施例的网络设备400，或前文所述的网络设备1，网络设备1302可以是图5所示实施例的网络设备500，或前文所述的网络设备2。

图14是本发明实施例网络系统1400的系统框图。如图14所示，网络系统1400可包括网络设备1401和网络设备1402。其中，网络设备1401可以是图10所示实施例的网络设备1000，或前文所述的网络设备3，网络设备1402可以是图11所示实施例的网络设备1100，或前文所述的网络设备4。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。