WO2020001388A1

WO2020001388A1 - 发送bgp消息的方法、接收bgp消息的方法以及设备

Info

Publication number: WO2020001388A1
Application number: PCT/CN2019/092443
Authority: WO
Inventors: 高远; 王海波
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2018-06-30
Filing date: 2019-06-23
Publication date: 2020-01-02
Anticipated expiration: 2020-12-30
Also published as: EP3800842B1; US20210152593A1; JP7216120B2; EP3800842A4; CN110661714B; JP2021530158A; US11973795B2; EP3800842A1; CA3104559A1; CN110661714A; EP3800842B9

Abstract

本申请提供了一种发送BGP消息的方法。该方法包括：第一网络设备确定第一MAC地址所标识的主机为攻击者。所述第一网络设备生成BGP消息，所述BGP消息包括所述第一MAC地址以及指示信息，所述指示信息用于指示所述第一MAC地址标识的的所述主机是所述攻击者。所述第一网络设备向第二网络设备发送所述BGP消息。此外，还提供了其他方法以及设备。上述技术方案中有助于减小工程师在网络设备上进行手工配置的工作量。

Description

发送BGP消息的方法、接收BGP消息的方法以及设备

本申请要求于2018年06月30日提交中国国家知识产权局、申请号为201810703112.1、申请名称为“发送BGP消息的方法、接收BGP消息的方法以及设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种发送边界网关协议(Border Gateway Protocol，BGP)消息的方法、接BGP消息的方法以及相关设备。

背景技术

网络设备可以连接多个主机。例如，网络设备可以是交换机。网络设备接收到来自主机的报文时，网络设备可以对报文进行转发。所述多个主机中可能包含了攻击者。例如，主机1是攻击者。工程师可以在网络设备上手工配置关于主机1的转发规则。所述转发规则包含了主机1的媒体访问控制(media access control，MAC)地址。例如，MAC地址具有48个比特。当网络设备检测到所述网络设备接收的报文的源MAC地址是主机1的MAC地址时，网络设备可以根据所述转发规则丢弃该报文。

上述技术方案中，工程师需要手工配置关于攻击者的转发规则，手工配置的工作量比较大。

发明内容

本申请提供了一种发送BGP消息的方法、接收BGP消息的方法以及相关设备。有助于降低手工配置的工作量。

本申请提供了如下技术方案。

第一方面，提供了一种发送BGP消息的方法。该方法包括：第一网络设备确定第一媒体访问控制MAC地址所标识的主机为攻击者。所述第一网络设备生成BGP消息，所述BGP消息包括所述第一MAC地址以及指示信息，所述指示信息用于指示所述第一MAC地址标识的的所述主机是所述攻击者。所述第一网络设备向第二网络设备发送所述BGP消息。

上述技术方案中，第一网络设备确定第一MAC地址所标识的主机为攻击者后，第一网络设备可以生成携带所述第一MAC地址以及指示信息的BGP消息，并向第二网络设备发送所述BGP消息。进而，第二网络设备可以根据BGP消息中的第一MAC地址以及指示信息，生成用于阻止第二网络设备向所述第一MAC地址标识的所述主机转发第二网络设备接收到的报文的转发规则。也就是说，第二网络设备可以利用第一网络设备发送的BGP消息生成转发规则，工程师不需要在第二网络设备上手工配置所述转发规则。因此，上述技术方案有助于减小工程师在网络设备上进行手工配置的工作量。

在一种可能的设计中，所述第一网络设备包括第一VTEP，所述第二网络设备包括第二VTEP。所述第一网络设备向第二网络设备发送所述BGP消息包括：所述第一VTEP向所述第二VTEP发送所述BGP消息。

上述技术方案中，可以利用VTEP实现BGP消息的传输。

在一种可能的设计中，第一VTEP地址标识所述第一VTEP，第二VTEP地址标识所述第二VTEP，所述BGP消息包括网际协议(internet protocol，IP)头以及净荷，所述IP头包括目的IP地址，所述净荷包括MP_REACH_NLRI，所述MP_REACH_NLRI包括下一跳网络地址，所述目的IP地址等于所述第二VTEP地址，所述下一跳网络地址等于所述第一VTEP地址。

在一种可能的设计中，所述第一VTEP经由隧道向所述第二VTEP发送所述BGP消息，所述隧道是VXLAN隧道，或者LSP。

在一种可能的设计中，所述第一网络设备生成BGP消息包括：所述第一网络设备确定MAC地址为所述第一MAC地址的主机是攻击者。所述第一网络设备接收数据报文，所述数据报文的源MAC地址为所述第一MAC地址。所述第一网络设备基于所述数据报文的源MAC地址标识的主机是攻击者，生成所述BGP消息。

上述技术方案中，所述第一网络设备基于所述数据报文的触发而生成所述BGP消息。也就是说，当第一网络设备确定第一MAC地址所标识的主机为攻击者时，所述第一网络设备不是必须立即生成BGP消息，并通知第二网络设备。当第一网络设备确定第一MAC地址所标识的主机为攻击者时，第一MAC地址所标识的主机可能并没有接入第一网络设备所管辖的网络。例如，第一MAC地址所标识的主机可能已下线，或者第一MAC地址所标识的主机可能已漫游到其他网络。因此，当第一网络设备确定第一MAC地址所标识的主机为攻击者时，第一网络设备和第二网络设备可能并没有遭到所述攻击者的攻击。在第一网络设备没有遭到所述攻击者攻击的情况下，第一网络设备暂时不生成以及发送BGP消息，有助于降低第一网络设备和第二网络设备的开销。当第一网络设备接收到源MAC地址为所述第一MAC地址的数据报文时，表明第一网络设备开始受到所述攻击者的攻击。第一网络设备开始受到所述攻击者的攻击时，第一网络设备通知第二网络设备所述攻击者的MAC地址，有助于获得降低开销和阻止攻击者的攻击的折中。

在一种可能的设计中，所述第一网络设备基于所述数据报文的源MAC地址标识的主机是攻击者，生成所述BGP消息，包括：所述第一网络设备确定所述数据报文来自第一VXLAN，第一虚拟扩展局域网网络标识VNI标识所述第一VXLAN。所述第一网络设备基于所述数据报文携带的源MAC地址，以及所述数据报文来自第一VXLAN，确定所述第一MAC地址标识的主机位于所述第一VXLAN。所述第一网络设备基于所述数据报文来自第一VXLAN，生成所述BGP消息，所述BGP消息包括所述第一VNI。

在一种可能的设计中，所述第一网络设备确定所述数据报文来自第一VXLAN，包括：所述第一网络设备经由第一端口接收所述数据报文，所述第一端口配置了所述第一VNI。所述第一网络设备基于用于接收所述数据报文的所述第一端口配置了所述第一VNI，确定所述数据报文来自所述第一VXLAN。

在一种可能的设计中，所述第一网络设备确定所述数据报文来自第一VXLAN，包括：所述第一网络设备确定所述数据报文中包含的第一虚拟局域网标识VLAN ID配置了所述第一VNI。所述第一网络设备基于所述数据报文包含的所述第一VLAN ID配置了所述第一VNI，确定所述数据报文来自所述第一VXLAN。

第二方面，提供了一种接收BGP消息的方法。该方法包括：第二网络设备接收来自第一网络设备的BGP消息，所述BGP消息包括第一MAC地址以及指示信息，所述指示信息用于指示所述第一MAC地址所标识的主机是攻击者。所述第二网络设备接收第一报文，所述第一报文的目的MAC地址等于所述第一MAC地址。所述第二网络设备基于所述BGP消息中的所述第一MAC地址、所述BGP消息中的所述指示信息以及所述第一报文中的所述目的MAC地址，避免向所述第一MAC地址标识的所述主机转发所述第一报文。

在一种可能的设计中，所述第二网络设备接收第二报文，所述第二报文的源MAC地址等于所述第一MAC地址。所述第二网络设备基于所述BGP消息中的所述第一MAC地址、所述BGP消息中的所述指示信息以及所述第二报文中的所述源MAC地址，避免转发所述第二报文。

在一种可能的设计中，所述第一网络设备包括第一VTEP，所述第二网络设备包括第二VTEP。所述第二网络设备接收来自第一网络设备的BGP消息包括：所述第二VTEP接收来自所述第一VTEP的所述路由信息。

在一种可能的设计中，所述第二VTEP接收来自所述第二VTEP的BGP update消息，所述BGP消息携带在所述BGP update消息中，所述BGP update消息包括IP头以及净荷，所述IP头包括目的IP地址，所述净荷包括MP_REACH_NLRI，所述MP_REACH_NLRI包括下一跳网络地址，所述目的IP地址等于所述第二VTEP地址，所述下一跳网络地址等于所述第一VTEP地址。

在一种可能的设计中，所述第二VTEP经由隧道接收来自所述第二VTEP的所述BGP update消息，所述隧道是VXLAN隧道或者LSP。

第三方面，提供了一种第一网络设备。所述第一网络设备包括处理器以及与所述处理器耦合的收发器。所述处理器用于确定第一MAC地址所标识的主机为攻击者。所述处理器还用于生成边界网关协议BGP消息，所述BGP消息包括所述第一MAC地址以及指示信息，所述指示信息用于指示所述第一MAC地址标识的的所述主机是所述攻击者。所述收发器用于向第二网络设备发送所述处理器生成的所述BGP消息。

在一种可能的设计中，所述第一网络设备包括第一VTEP，所述第二网络设备包括第二VTEP。所述收发器用于向所述第二VTEP发送来自所述第一VTEP的所述BGP消息。

第四方面，提供了一种第二网络设备。所述第二网络设备包括第一收发器、第二收发器以及与所述第一收发器和所述第二收发器耦合的处理器。所述第一收发器用于接收来自第一网络设备的边界网关协议BGP消息，所述BGP消息包括第一媒体访问控制MAC地址以及指示信息，所述指示信息用于指示所述第一MAC地址所标识的主机是攻击者。所述第二收发器用于接收第一报文，所述第一报文的目的MAC地址等于所述第一MAC地址。所述处理器用于基于所述BGP消息中的所述第一MAC地址、所述BGP消息中的所述指示信息以及所述第一报文中的所述目的MAC地址，避免向所述第一MAC地址标识的所述主机转发所述第一报文。

在一种可能的设计中，所述第二收发器还用于接收第二报文，所述第二报文的源 MAC地址等于所述第一MAC地址。所述处理器还用于基于所述BGP消息中的所述第一MAC地址、所述BGP消息中的所述指示信息以及所述第二报文中的所述源MAC地址，避免转发所述第二报文。

在一种可能的设计中，所述第一网络设备包括第一VTEP，所述第二网络设备包括第二VTEP。所述第一收发器用于向所述第二VTEP发送来自所述第一VTEP的所述BGP消息。

第五方面，提供了一种系统。所述系统包括第三方面提供的第一网络设备以及第四方面提供第二网络设备。

第六方面，提供了一种计算机可读存储介质。所述计算机可读存储介质存储计算机程序。当所述计算机程序被网络设备执行时，使得网络设备执行第一方面提供的方法，或者第二方面提供的方法。举例来说，所述网络设备可以是第一方面涉及的第一网络设备，或者第二方面涉及的第二网络设备。

第七方面，提供了一种计算机程序产品。所述计算机程序产品包含计算机程序。所述计算机程序可以保存在计算机可读存储介质上。当所述计算机程序被网络设备执行时，使得网络设备执行第一方面提供的方法，或者第二方面提供的方法。举例来说，所述网络设备可以是第一方面涉及的第一网络设备，或者第二方面涉及的第二网络设备。

在第一方面至第七方面的一种可能的设计中，所述BGP消息包含MAC/IP Advertisement route以及MAC Mobility Extended Community，所述第一MAC地址携带在所述MAC/IP Advertisement route中，所述指示信息携带在所述MAC Mobility Extended Community中。

上述技术方案中，可以利用IETF已定义的EVPN路由消息发布攻击者的MAC地址。有助于使得本申请提供的技术方案兼容已有的网络，降低实现成本。

进一步地，所述MAC Mobility Extended Community包括具有8个比特的旗帜(flags)，所述指示信息携带在所述旗帜的最高有效位(most significant bit，MSB)上。

上述技术方案中，利用了IETF已定义的EVPN路由消息中的字段携带所述指示信息，有助于使得本申请提供的技术方案兼容已有的网络，降低实现成本。

在第一方面至第七方面的一种可能的设计中，所述BGP消息为BGP更新(update)消息。

附图说明

图1为本申请提供的一种数据中心网络的结构示意图；

图1a为本申请提供的一种交换机的结构示意图；

图1b为本申请提供的一种服务器的结构示意图；

图2为本申请提供的一种发送BGP消息的方法的流程示意图；

图3为本申请提供的一种接收BGP消息的方法的流程示意图；

图4为本申请提供的一种第一网络设备的结构示意图；

图5为本申请提供的一种第二网络设备的结构示意图；

图6为本申请提供的一种系统的结构示意图。

具体实施方式

图1为本申请提供的一种数据中心网络的结构示意图。参见图1，数据中心网络包括服务器1至服务器6、叶子交换机(leaf switch，LS)1、LS1、LS3以及脊柱交换机(spine switch，SS)1、SS2以及SS3。其中，服务器1和服务器2连接到LS1。服务器3和服务器4连接到LS2。服务器5和服务器6连接到LS3。LS1连接到SS1、SS2以及SS3。LS2连接到SS1、SS2以及SS3。LS3连接到SS1、SS2以及SS3。服务器1需要经由LS1与其他服务器进行通信。服务器6需要经由LS3与其他服务器进行通信。服务器1与服务器6进行通信时，服务器1发送的数据流可以经由不同的路径到达服务器6。不同的路径包括：路径1(LS1-SS1-LS3)、路径2(LS1-SS2-LS3)以及路径3(LS1-SS3-LS3)。

图1a为本申请提供的一种交换机的结构示意图。图1中的LS可以是交换机100。图1中的SS可以是交换机100。关于图1中的LS和SS的具体实现方式，可以参见本申请对交换机100的描述。

参见图1a，交换机100包括端口a至端口f、网络处理器110、存储器120、流量管理器130以及存储器140。端口a、端口b以及端口c与网络处理器110耦合。端口a、端口b以及端口c为发送端口，可以将接收到的报文发送至网络处理器110。交换机100可以包含更多或者更少的接收端口。端口d、端口e以及端口f与流量管理器130耦合。网络处理器110和存储器120耦合。存储器120中可以保存计算机程序以及转发表。所述转发表可以是哈希表。网络处理器110可以通过执行存储器120中保存的计算机程序和/或查找转发表，对来自接收端口的报文进行处理。例如，网络处理器110可以通过执行计算机程序，对报文中的哈希键执行哈希运算，从而获得哈希值。再例如，网络处理器110可以通过查找哈希表，确定与哈希值匹配的表项。根据与哈希值匹配的表项，确定用于转发报文的发送端口。所述发送端口可以是端口d、端口e或者端口f。网络处理器110和流量管理器130耦合。流量管理器130与存储器140耦合。例如，网络处理器110确定用于转发报文的发送端口后，可以将报文发送至流量管理器130。流量管理器130也可以称为调度器。流量管理器130中可以维护与端口d、端口e以及端口f一一对应的三个发送缓存队列。流量管理器130接收到来自网络处理器110的报文后，可以根据用于转发报文的发送端口，将报文入队到与用于转发报文的发送端口对应的发送缓存队列。流量管理器130可以对位于发送缓存队列中的报文进行调度，从而通过发送端口发送报文。具体地，流量管理器130中可以维护与所述三个发送缓存队列一一对应的三个报文描述符队列。报文描述符队列中包含多个报文描述符。每个报文描述符包含报文存储在发送缓存队列中的地址。当流量管理器130需要将报文入队到发送缓存队列时，流量管理器130可以在报文描述符队列中增加该报文的存储地址。流量管理器130可以对存储器140执行写操作，从而将报文入队到发送缓存队列。当流量管理器130需要将报文从发送缓存队列出队时，流量管理器130可以将报文描述符队列中该报文的存储地址删除。流量管理器130可以对存储器140执行读操作，从而将报文从发送缓存队列出队。报文出队后，报文经由发送端口被发送。

需要说明的是，图1a所示的交换机可以包括控制平面以及转发平面。所述控制平面可以用于路由学习，路由发布，生成转发规则，以及更新转发平面的转发表。所述转发平面可以用于根据转发表，对报文进行转发。所述转发平面可以包括网络处理器110、存储器120、流量管理器130以及存储器140。所述控制平面可以包括中央处理单元(central processing unit，CPU)以及与所述中央处理单元耦合的存储器。所述与中央处理单元耦合的存储器中可以保存用于运行网络协议的计算机程序。所述网络协议可以是BGP。所述中央处理单元可以通过执行所述计算机程序，实现BGP定义的功能。例如，所述中央处理单元可以学习服务器的MAC地址。可以基于服务器的MAC地址，生成路由消息。可以向远端交换机发送路由消息。另外，交换机接收到来自远端交换机的路由消息后，可以根据来自远端交换机的路由消息更新转发平面的转发表。例如，来自远端交换机的路由消息中包含远端服务器的MAC地址。所述中央处理单元可以在转发表中增加关于远端服务器的表项。因此，当服务器接收目的MAC地址为远端服务器的MAC地址的报文时，交换机的转发平面可以根据关于远端服务器的表项，对该报文进行转发。

图1b为本申请提供的一种服务器的结构示意图。图1中的服务器可以是服务器1000。关于图1中的服务器的具体实现方式，可以参见本申请对服务器1000的描述。

参见图1b，服务器1000包括中央处理单元1100、存储器1200、端口1300以及总线。处理单元1100、存储器1200以及端口1300通过所述总线耦合。存储器1200存储软件。所述软件包含操作系统以及多个应用程序。中央处理单元1100通过访问存储器1200运行所述操作系统以及所述多个应用程序。所述操作系统可以是Window或者Linux。基于所述操作系统，中央处理单元1100运行所述多个应用程序。端口1300可以用于接收报文以及发送报文。例如，当端口1300接收到来自交换机100的报文后，存储器1200可以保存报文。中央处理单元1100可以根据应用程序对报文进行处理。另外，中央处理单元1100可以根据应用程序生成报文，并经由端口1300将报文发送至交换机100。

另外，图1b中的中央处理单元1100可以被替换为其他的处理器。所述其他处理器可以是数字信号处理器(digital signal processor，DSP)、专用集成电路(application-specific integrated circuit，ASIC)、现场可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明实施例公开内容所描述的各种示例性的逻辑方框，模块和电路。所述处理器也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等。

图1所示的数据中心网络具体可以是以太网虚拟专用网络(Ethernet Virtual Private Network，EVPN)。关于EVPN，可以参见因特网工程任务组(英文：Internet Engineering Task Force，缩写：IETF)发布的请求评论(英文：Request For Comments，缩写：RFC)7432的说明，所述RFC7432以全文引用的方式并入本申请中。如无相反的说明，本申请提及的以“RFC”开头的文档，都是IETF发布的。例如RFC7348也是IETF发布的。

例如，LS1和LS2可以运行RFC7348。具体地，LS1和LS2可以分别包含一个虚拟扩展局域网隧道端点(VXLAN Tunnel End Point，VTEP)。VTEP是用于创建(originate)和/或终结(terminate)VXLAN隧道的实体。关于VTEP，可以参考RFC7348中的相关描述。本申请中将LS1中包含的VTEP称为VTEP1，将LS2中包含的VTEP称为VTEP2。 VTEP1对应VTEP IP地址1。VTEP2对应VTEP IP地址2。工程师可以对LS1进行手工配置，从而使得LS1包含VTEP1。工程师可以对LS2进行手工配置，从而使得LS2包含VTEP2。例如，工程师可以进行如下配置：在LS1上配置VTEP IP地址1(例如1.1.1.9)。另外，LS1和LS2可以位于同一个VXLAN。例如，LS1和LS2都位于虚拟扩展局域网网络标识(VXLAN Network Identifier，VNI)指示的VXLAN。VNI的值可以是100。工程师可以在LS1上配置VNI(例如100)。在LS1上配置RD(例如1:1)。在LS1上配置RT(例如1:1)。在LS2上配置VTEP IP地址2(例如2.2.2.9)。在LS2上配置VNI(例如100)。另外，工程师可以在LS2上配置LS1和LS2之间的VXLAN隧道。例如，工程师在LS2上配置所述VXLAN隧道的信息。所述信息可以包括源IP地址(例如2.2.2.9)以及目的IP地址(例如1.1.1.9)。源IP地址为沿着LS2到LS1的方向，所述VXLAN隧道的入口节点(例如VTEP2)的IP地址。目的IP地址为沿着LS2到LS1的方向，所述VXLAN隧道的出口节点(例如VTEP1)的IP地址。工程师在LS1上配置所述VXLAN隧道的信息。所述信息可以包括隧道类型(TunnelType)。例如，当TunnelType的值等于8时，TunnelType指示所述VXLAN隧道的隧道类型为VXLAN。在一种可能的设计中，所述VXLAN隧道可以经过SS1、SS2以及SS3中的至少一个。也就是说，SS1、SS2以及SS3中的至少一个可以所述VXLAN隧道的中间节点。

LS1运行BGP。LS2运行BGP。具体地，LS1包含处理器以及存储器。存储器中保存实现BGP的功能的代码。LS1中的处理器(例如中央处理单元)通过执行所述代码运行BGP。LS2也可以通过上述机制运行BGP。LS2是LS1的BGP peer。也可以将LS1和LS2称为一对BGP peer。LS1可以学习LS1所管辖的网络中的服务器的MAC地址。例如，LS1可以学习服务器1的MAC地址以及服务器2的MAC地址。LS2可以学习LS2所管辖的网络中的服务器的MAC地址。例如，LS2可以学习服务器3的MAC地址以及服务器4的MAC地址。LS1可以经由所述VXLAN隧道向LS2发送EVPN路由。LS1发送的EVPN路由可以包括服务器1的MAC地址以及服务器2的MAC地址。LS2可以经由所述VXLAN隧道向LS1发送EVPN路由。LS2发送的EVPN路由可以包括服务器3的MAC地址以及服务器4的MAC地址。

下文对LS1学习服务器1的MAC地址，并向LS2发送携带服务器1的MAC地址的EVPN路由进行举例说明。

LS1包含接口1。接口1为以太网接口。LS1经由接口1连接服务器1。工程师在LS1上配置了与接口1关联的VNI(例如100)。服务器1生成以太网帧1并经由接口1向LS1发送以太网帧1。以太网帧1的源MAC地址为服务器1的MAC地址。LS1经由接口1接收到以太网帧1后，确定接收以太网帧1的接口为接口1。进而，LS1确定与接口1管理的VNI的值等于100。另外，LS1对以太网帧1进行解析，从而获取服务器1的MAC地址。LS1基于RFC7432，根据LS1保存的配置信息，以及LS1从以太网帧1中获取的信息，生成路由消息1。具体地，LS1中的处理器(例如中央处理单元)可以通过执行实现BGP的功能的代码生成路由消息1。下面对路由消息1进行举例说明：

具体地，路由消息1可以携带在IP报文中。所述IP报文包括IP头以及IP净荷。IP头与IP净荷相邻。IP净荷位于IP头的后面。IP头包括源IP地址、目的IP地址以及协议(protocol)。源IP地址的值可以等于VTEP IP地址1(例如1.1.1.9)。目的IP地址的值可以等于VTEP IP地址2(例如2.2.2.9)。IP头中的协议用于指示IP头的下一个头的类型。例如，当协议的值等于6时，IP头中的协议指示IP报文中，IP头的下一个头是传输控制协议(Transmission Control Protocol，TCP)头。IP净荷包括TCP头以及TCP净荷。TCP头与TCP净荷相邻。TCP净荷位于TCP头的后面。TCP头与IP头相邻。TCP头包括源端口(source port)。TCP头中的源端口可以用于指示TCP净荷的类型。例如，当源端口的值等于179时，TCP头中的源端口指示TCP净荷是BGP消息。

路由消息1可以是BGP消息。具体地，可以是BGP update消息。路由消息1可以包括多协议可达网络层可达信息(Multiprotocol Reachable Network Layer Reachability Information，MP_REACH_NLRI)。所述MP_REACH_NLRI是一种路径属性(path attribute)。关于MP_REACH_NLRI，可以参考RFC4760中的相关描述。路由消息1还可以携带其他路径属性。例如，路由消息1还可以携带本地偏好(local preference)。所述MP_REACH_NLRI包括下一跳网络地址(next hop network address)字段。所述下一跳网络地址字段可以携带LS1上保存的VTEP IP地址1(例如1.1.1.9)。

路由消息1包含媒体访问控制/网际协议通告路由(MAC/IP Advertisement route)。关于MAC/IP Advertisement route，可以参考RFC7432中的相关描述。此外，路由消息还可以包括媒体访问控制移动性扩展团体(MAC Mobility Extended Community)。关于MAC Mobility Extended Community，可以参考RFC7432中的相关描述。

服务器1的MAC地址可以携带在所述MAC/IP Advertisement route中。具体地，所述MAC/IP Advertisement route包括MAC地址字段。所述MAC地址字段具有6个字节。服务器1的MAC地址可以携带在所述MAC地址字段。所述MAC/IP Advertisement route包括多协议标签交换标签(MPLS Label)1字段。MPLS Label 1字段具有3个字节。MPLS Label 1字段可以携带LS1上保存的VNI(例如100)。所述MAC/IP Advertisement route包括RD字段。所述RD字段包括8个字节。所述RD字段可以携带LS1上保存的RD(例如1:1)。此外，所述MAC/IP Advertisement route还包括MPLS Label 2字段。此外，路由消息1中可以包括扩展团体属性(Extended Communities Attribute)。关于扩展团体属性，可以参考RFC4360中对BGP Extended Communities Attribute的描述。具体地，扩展团体属性可以包括TunnelType字段以及RT字段。TunnelType字段可以携带LS1上保存的TunnelType(例如8)。RT字段可以携带LS1上保存的RT(例如1:1)。

LS1生成路由消息1后，可以通过所述VXLAN隧道向LS2发送路由消息1。

LS2接收到路由消息1后，对路由消息1进行解析，获得路由消息1中的下一跳网络地址字段的值。所述下一跳网络地址字段的值等于VTEP IP地址1(例如1.1.1.9)。LS2根据从路由消息1中获取的所述下一跳网络地址字段的值，以及LS2保存的所述VXLAN隧道的信息，确定LS2能够通过所述VXLAN隧道向LS1发送目的地址为服务器1的MAC地址的以太网帧。所述信息包括源IP地址(例如2.2.2.9)以及目的IP地址(例如1.1.1.9)。具体地，LS2根据所述下一跳网络地址字段的值等于所述VXLAN隧道的目的IP地址，确定路由消息1与所述VXLAN隧道是匹配的。进而，LS2可以生成转发表项。所述转发表项包括MAC地址(例如服务器1的MAC地址)、VNI(例如 100)、源IP地址(例如2.2.2.9)以及目的IP地址(例如1.1.1.9)。

下文对LS2如何利用所述转发表项对以太网帧进行转发进行举例说明。

当LS2接收到目的MAC地址为服务器1的MAC地址的以太网帧(以太网帧2)时，可以基于以太网帧2中的目的MAC地址等于转发表项中的MAC地址，确定以太网帧2与转发表项匹配。进而，LS2可以对以太网帧2进行封装，得到封装的报文。具体地，LS2可以为以太网帧2添加隧道头。所述隧道头可以包括源IP地址(例如2.2.2.9)、目的IP地址(例如1.1.1.9)以及VNI(例如100)。LS2可以从所述转发表项中获取隧道头中的字段的值，从而实现对以太网帧2的封装。LS2生成封装的报文后，可以经由所述VXLAN隧道向LS1发送所述封装的报文。在上述的举例中，LS1和LS2之间的隧道为VXLAN隧道。可替换的，LS1和LS2之间的隧道也可以是其他隧道。例如，LS1和LS2之间的隧道可以是段路由流量工程(Segment Routing Traffic Engineering，SR-TE)路径。

上述的举例中描述了LS1学习服务器1的MAC地址，并通过路由消息向LS2发送服务器1的MAC地址。图1中的任意一个LS可以按照类似的方式学习该LS所管辖的网络中的服务器的MAC地址，并通过路由消息向远端的LS发送服务器的MAC地址。例如，LS3和LS2之间可以存在一个VXLAN隧道。LS3可以学习服务器5的MAC地址。然后，LS3可以经由LS3和LS2之间的VXLAN隧道向LS2发送携带服务器5的MAC地址的路由消息。

上述举例中，图1中的LS和SS为交换机。可替换的，图1中的LS和SS也可以是其他网络设备。例如，图1中的LS和SS可以为路由器。在一种可能的设计中，LS和SS可以是运营商边缘(provider edge，PE)路由器。PE路由器位于核心网(core network)的边缘。PE路由器可以用于连接CE路由器。在另一种可能的设计中，LS可以是PE路由器。SS可以是运营商(provider，P)路由器。P路由器是一种标签交换路由器(Label Switch Router，LSR)。P路由器是核心网中的传输路由器(transit router)。P路由器可以用于连接的一个或者多个PE路由器。图1a为交换机的结构示意图。图1a也可以是其他网络设备的结构示意图。例如，图1a也可以是路由器的结构示意图。

上述举例中，图1中的LS用于连接服务器。在一种的可能的设计中，LS可以通过电缆或者光缆直接连接服务器。在另一种可能的设计中，LS可以经由中间设备间接连接服务器。所述中间设备可以是路由器、以太网交换机或者网关。可替换的，图1中的LS可以连接其他类型的主机。其他类型的主机可以是个人电脑或者虚拟机(virtual machine，VM)。所述虚拟机可以运行在物理服务器中。在一种可能的设计中，LS可以经由接入设备连接到所述物理服务器。所述接入设备可以是网关或者以太网交换机。图1b是服务器的结构示意图。图1b也可以是其他主机的结构示意图。例如，图1b也可以是个人电脑的结构示意图。上述实施例以图1中的服务器1是合法用户为前提。LS1学习了作为合法用户的服务器1的MAC地址后，会将包含服务器1的MAC地址的路由消息发送给LS2。LS2根据路由消息生成转发表项，从而使得LS2管辖的网络中的服务器(例如服务器3)能够利用转发表项和服务器1进行通信。

在一种可能的场景中，图1中的服务器1是非法用户。具体地，服务器1可以是攻击者。例如，服务器1可能会发起网络攻击(cyberattack)。所述网络攻击可以是拒绝服务(denial-of-service，DDoS)攻击、中间人(man in the middle)攻击、地址解析协议毒害(ARP poisoning)、乒泛洪(Ping flood)、窃听(wiretapping)、空闲扫描(idle scan)或者端口扫描(port scan)。

下文以所述网络攻击为DDoS攻击为例，对服务器1的攻击行为以及LS1识别服务器1为攻击者的过程进行说明：

在一种可能的设计中，服务器1的使用者在知晓某个软件能够发起DDoS攻击的情况下，在服务器1中安装并运行了该软件。服务器1在该软件的控制下，发送了多个报文，从而发起DDoS攻击。LS1具有识别DDoS攻击的能力。例如，LS1中包含了处理器和存储器。存储器中保存了用于识别DDoS攻击的计算机程序。LS1接收到所述多个报文。LS1中的处理器通过执行所述计算机程序，对所述多个报文的特征进行分析，从而确定服务器1是攻击者。进一步地，LS1通过对所述多个报文的源MAC地址进行解析获得服务器1的MAC地址(例如MAC地址1)。LS1确定MAC地址1所标识的主机(例如服务器1)是攻击者。

在另一种可能的设计中，由于使用者的误操作，服务器1被感染了计算机病毒。该计算机病毒能够发起DDoS攻击。服务器1中预先安装，并运行有计算机病毒监测软件。该计算机病毒监测软件对该计算机病毒(服务器1中的一个进程)的行为进行识别，确定服务器1被感染了计算机病毒。进一步地，服务器1在计算机病毒监测软件的控制下，确定服务器1是攻击者。服务器1向网管服务器(图1中未示出)发送消息1。消息1用于通知网管服务器服务器1是攻击者。例如，消息1中携带服务器1的MAC地址(例如MAC地址1)。网管服务器根据消息1确定服务器1是攻击者后，生成消息2。网管服务器向LS1发送消息2。消息2用于通知LS1服务器1是攻击者。例如，消息2中携带MAC地址1。LS1接收到消息2后，根据消息2中携带的MAC地址1确定MAC地址1标识的主机(例如服务器1)是攻击者。

LS1确定MAC地址1标识的主机(例如服务器1)是攻击者后，LS1生成路由消息2。LS1中的处理器(例如中央处理单元)可以通过执行实现BGP的功能的代码生成路由消息2。路由消息2包含MAC地址1以及指示信息1。指示信息1用于指示MAC地址1标识的主机(例如服务器1)为攻击者。LS1向LS2发送路由消息2。LS1可以根据LS1保存的配置信息，以及服务器1的MAC地址，生成路由消息2。关于LS1基于服务器1的MAC地址，生成路由消息2的过程，可以参考上文关于路由消息1的生成过程的描述。MAC地址1可以携带在路由消息2包含的MAC/IP Advertisement route中。具体地，MAC地址1可以携带在MAC/IP Advertisement route的MAC地址字段上。关于路由消息2的格式，可以参考上文对路由消息1的格式的描述。

需要说明的是，路由消息1是LS1确定服务器1是合法用户时生成的。LS1向LS2通告服务器1的MAC地址，使得LS2生成转发表项。进而，LS2管辖的服务器(例如服务器3)可以经由LS2和服务器1通信。路由消息2是LS1确定服务器1是攻击者时生成的。LS1向LS2通告服务器1的MAC地址，使得LS2生成转发规则。进而，LS2管辖的服务器(例如服务器3)避免经由LS2和服务器1通信。

路由消息2的功能不同于路由消息1。路由消息2的内容不同于路由消息1的内容。具体地，路由消息2中包含了用于指示MAC地址1标识的主机(例如服务器1)为攻击者的指示信息1。路由消息1中不包含指示信息1。在一种可能的设计中，指示信息1携带在路由消息2中的MAC Mobility Extended Community中。MAC Mobility Extended Community包含旗帜(flags)字段。旗帜字段具有8个比特。指示信息1可以携带在旗帜字段的MSB。例如，当旗帜字段的MSB等于1时，旗帜字段的MSB指示路由消息2中的MAC地址1标识的主机(例如服务器1)为攻击者。

LS2接收来自LS1的路由消息2后，LS2可以根据路由消息2生成转发规则1以及转发规则2。LS2根据转发规则1，避免向MAC地址1标识的主机(例如服务器1)转发LS2收到的目的MAC地址为MAC地址1的报文。LS2根据转发规则2，避免转发LS2收到的源MAC地址为MAC地址1的报文。

转发规则1具体可以是转发表项1。转发规则2具体可以是转发表项2。LS2的转发平面可以包括转发表。所述转发表可以包括转发表项1以及转发表项2。所述转发平面的处理器(例如网络处理器)可以根据转发表，对接收到的报文进行处理。

转发表项1包括匹配域以及动作域。转发表项1的匹配域的值等于MAC地址1。转发表项1的动作域可以包括丢弃指令。转发表项1的匹配域用于与LS2接收到的报文(例如报文1)中的目的MAC地址进行匹配。当LS2确定报文1的目的MAC地址等于转发表项1的匹配域的值时，LS2确定报文1与转发表项1匹配。进而，LS2可以根据转发表项1的动作域的丢弃指令，对报文1进行丢弃处理。当然，转发表项1的动作域可以包括其他指令。其他指令可以指示将报文1发送至LS2的控制平面。所述控制平面的处理器可以是CPU。所述CPU收到来自转发平面的报文1后，可以对报文1进行分析。另外，LS2在所述CPU的控制下，还可以将报文1发送至网管服务器，以便网管服务器对报文1进行分析。LS2遵循转发规则1对报文1进行处理时，并不是意味着LS2只能对报文1进行丢弃处理，LS2也可以对报文1进行其他处理。只要LS2避免向MAC地址1标识的主机(例如服务器1)转发报文1即可。

转发表项2包括匹配域以及动作域。转发表项2的匹配域的值等于MAC地址1。转发表项2的动作域可以包括丢弃指令。转发表项2的匹配域用于与LS2接收到的报文(例如报文2)中的源MAC地址进行匹配。当LS2确定报文2的源MAC地址等于转发表项2的匹配域的值时，LS2确定报文2与转发表项2匹配。进而，LS2可以根据转发表项2的动作域的丢弃指令，对报文2进行丢弃处理。可以理解，LS2接收到报文2的源MAC地址等于MAC地址1，可能是由于服务器1从LS1管辖的网络漫游到LS2管辖的网络。另一种可能是，LS2管辖的网络中的主机盗用了服务器1的MAC地址。例如，服务器4构造以太网帧时，盗用了服务器1的MAC地址，将服务器1的MAC地址作为构造的以太网帧的源MAC地址。

图2为本申请提供的一种发送BGP消息的方法的流程示意图。图2所示的方法的执行主体为第一网络设备。例如，所述第一网络设备可以是图1中的LS1。关于所述第一网络设备的结构和功能，可以参考上述实施例关于LS1的结构和功能的描述。所述第一网络设备可以执行上述实施例描述的LS1执行的动作。关于图2所示的方法的具体实现方式，可以参考上述实施例的相关描述。参见图2，所述方法包括S201、S202以及S203。

S201、第一网络设备确定第一MAC地址所标识的主机为攻击者。

举例来说，所述第一MAC地址可以是MAC地址1。第一MAC地址所标识的主机可以是服务器1。

S202、所述第一网络设备生成BGP消息。

所述BGP消息包括所述第一MAC地址以及指示信息。所述指示信息用于指示所述第一MAC地址标识的的所述主机是所述攻击者。

例如，所述BGP消息可以是路由消息2。所述指示信息可以是指示信息1。

S203、所述第一网络设备向第二网络设备发送所述BGP消息。

例如，所述第二网络设备可以是LS2。LS1可以经由LS1与LS2之间的VXLAN隧道向LS2发送所述BGP消息。

在一种可能的设计中，所述第一网络设备包括第一VTEP，所述第二网络设备包括第二VTEP。

所述第一网络设备向第二网络设备发送所述BGP消息包括：所述第一VTEP向所述第二VTEP发送所述BGP消息。

举例来说，所述第一VTEP可以是VTEP1。所述第二VTEP可以是VTEP2。VTEP1可以包含LS1的发送接口。所述发送接口可以是以太网接口。VTEP2可以包含LS2的接收接口。所述接收接口可以是以太网接口。VTEP1可以经由LS1和LS2之间的VXLAN隧道向VTEP2发送路由消息2。

在一种可能的设计中，第一VTEP地址标识所述第一VTEP，第二VTEP地址标识所述第二VTEP。所述BGP消息包括IP头以及净荷。所述IP头包括目的IP地址，所述净荷包括MP_REACH_NLRI。所述MP_REACH_NLRI包括下一跳网络地址。所述目的IP地址等于所述第二VTEP地址，所述下一跳网络地址等于所述第一VTEP地址。

举例来说，第一VTEP地址可以是VTEP IP地址1。第二VTEP地址可以是VTEP IP地址2。

在一种可能的设计中，所述第一VTEP经由隧道向所述第二VTEP发送所述BGP update消息。所述隧道是VXLAN隧道或者标签交换路径(label switched path，LSP)。所述LSP可以是段路由流量工程(Segment Routing Traffic Engineering，SR-TE)路径。

可选地，图2所示的方法中，所述BGP消息包含MAC/IP Advertisement route以及MAC Mobility Extended Community。所述第一MAC地址携带在所述MAC/IP Advertisement route中。所述指示信息携带在所述MAC Mobility Extended Community中。

进一步地，所述MAC Mobility Extended Community包括具有8个比特的旗帜，所述指示信息携带在所述旗帜的MSB上。

进一步地，图2所示的方法中，所述BGP消息为BGP更新消息。

在一种可能的设计中，S202包括：所述第一网络设备接收数据报文，所述数据报文的源MAC地址为所述第一MAC地址；以及，所述第一网络设备基于所述数据报文的源MAC地址标识的主机是攻击者，生成所述BGP消息。

在一种可能的设计中，S202包括：所述第一网络设备确定所述数据报文来自第一VXLAN，第一VNI标识所述第一VXLAN。所述第一网络设备基于所述数据报文携带的源MAC地址，以及所述数据报文来自第一VXLAN，确定所述第一MAC地址标识的主机位于所述第一VXLAN。所述第一网络设备基于所述第一MAC地址标识的主机位于所述第一VXLAN，生成所述BGP消息，所述BGP消息包括所述第一VNI。

在一种可能的实现方式中，所述第一网络设备确定所述数据报文来自第一VXLAN，包括：所述第一网络设备经由第一端口接收所述数据报文，所述第一端口配置了所述第一VNI。以及，所述第一网络设备基于用于接收所述数据报文的所述第一端口配置了所述第一VNI，确定所述数据报文来自所述第一VXLAN。

在另一种可能的实现方式中，所述第一网络设备确定所述数据报文来自第一VXLAN，包括：所述第一网络设备确定所述数据报文中包含的第一虚拟局域网标识(VLAN ID)配置了所述第一VNI。所述第一网络设备基于所述数据报文包含的所述第一VLAN ID配置了所述第一VNI，确定所述数据报文来自所述第一VXLAN。

上述技术方案中，所述第一网络设备根据配置信息，确定所述数据报文来自第一VXLAN。进而，所述第一网络设备在BGP消息中携带用于标识所述第一VXLAN的第一VNI。第二网络设备根据BGP消息中的第一VNI，学习相应的EVPN路由。

图3是本申请提供的一种接收BGP消息的方法的流程示意图。图3所示的方法的执行主体为第二网络设备。例如，所述第二网络设备可以是图1中的LS2。关于所述第二网络设备的结构和功能，可以参考上述实施例关于LS2的结构和功能的描述。所述第二网络设备可以执行上述实施例描述的LS2执行的动作。关于图3所示的方法的具体实现方式，可以参考上述实施例的相关描述。参见图3，所述方法包括：S301、S302以及S303。

S301、第二网络设备接收来自第一网络设备的BGP消息。

所述BGP消息包括第一MAC地址以及指示信息，所述指示信息用于指示所述第一MAC地址所标识的主机是攻击者。

举例来说，所述第一网络设备可以是LS1。所述第一MAC地址可以是MAC地址1。第一MAC地址所标识的主机可以是服务器1。所述BGP消息可以是路由消息2。所述指示信息可以是指示信息1。

S302、所述第二网络设备接收第一报文。

所述第一报文的目的MAC地址等于所述第一MAC地址。

举例来说，所述第一报文可以是LS2管辖的网络中的主机生成的以太网帧。例如，所述第一报文可以是服务器3生成的以太网帧，或者服务器4生成的以太网帧。LS2可以经由LS2的以太网接口接收所述第一报文。所述第一报文的目的MAC地址等于所述第一MAC地址，表明所述第一报文的生成者(例如服务器3)想要和第一MAC地址所标识的主机(例如服务器1)进行通信。

S303、所述第二网络设备避免向所述第一MAC地址标识的所述主机转发所述第一报文。

具体地，所述第二网络设备基于所述BGP消息中的所述第一MAC地址、所述BGP消息中的所述指示信息以及所述第一报文中的所述目的MAC地址，避免向所述第一MAC地址标识的所述主机转发所述第一报文。

举例来说，LS2可以根据路由消息2生成转发表项1。所述第一报文可以是报文1。所述LS2可以根据转发表项1对报文1进行丢弃处理，或者其他处理。关于转发表项1的生成过程，转发表项1的结构以及如何根据转发表项1对报文1进行处理，可以参考上文的相关描述，此处不再赘述。

上述技术方案中，第二网络设备接收携带所述第一MAC地址以及指示信息的BGP消息后，所述第二网络设备基于所述BGP消息中的所述第一MAC地址、所述BGP消息中的所述指示信息以及所述第一报文中的所述目的MAC地址，避免向所述第一MAC地址标识的所述主机转发所述第一报文。

也就是说，第二网络设备可以利用第一网络设备发送的BGP消息，形成避免向所述第一MAC地址标识的所述主机转发所述第一报文的转发机制。因此，工程师不需要在第二网络设备上手工配置针对目的MAC地址为所述第一MAC地址的转发规则。因此，上述技术方案有助于减小工程师在网络设备上进行手工配置的工作量。

在一种可能的设计中，图3所示的技术方案中，还可以包括：

所述第二网络设备接收第二报文，所述第二报文的源MAC地址等于所述第一MAC地址。

所述第二网络设备基于所述BGP消息中的所述第一MAC地址、所述BGP消息中的所述指示信息以及所述第二报文中的所述源MAC地址，避免转发所述第二报文。

举例来说，LS2可以根据路由消息2生成转发表项2。所述第二报文可以是报文2。所述LS2可以根据转发表项2对报文2进行丢弃处理。关于转发表项2的生成过程，转发表项2的结构以及如何根据转发表项2对报文2进行处理，可以参考上文的相关描述，此处不再赘述。

在一种可能的设计中，所述第一网络设备包括第一VTEP，所述第二网络设备包括第二VTEP。S301包括：所述第二VTEP接收来自所述第二VTEP的边界网关协议BGP update消息。

所述BGP消息携带在所述BGP update消息中，所述BGP update消息包括IP头以及净荷，所述IP头包括目的IP地址，所述净荷包括MP_REACH_NLRI，所述MP_REACH_NLRI包括下一跳网络地址，所述目的IP地址等于所述第二VTEP地址，所述下一跳网络地址等于所述第一VTEP地址。

举例来说，所述第一VTEP可以是VTEP1。所述第二VTEP可以是VTEP2。VTEP1可以包含LS1的发送接口。所述发送接口可以是以太网接口。VTEP2可以包含LS2的接收接口。所述接收接口可以是以太网接口。VTEP2可以经由LS1和LS2之间的VXLAN隧道接收VTEP1发送路由消息2。

在一种可能的设计中，所述第二VTEP经由隧道接收所述第一VTEP发送所述BGP update消息。所述隧道是VXLAN隧道或者标签交换路径(label switched path，LSP)。所述LSP可以是段路由流量工程(Segment Routing Traffic Engineering，SR-TE)路径。

可选地，图3所示的方法中，所述BGP消息包含MAC/IP Advertisement route以及MAC Mobility Extended Community。所述第一MAC地址携带在所述MAC/IP Advertisement route中。所述指示信息携带在所述MAC Mobility Extended Community中。

进一步地，图3所示的方法中，所述BGP消息为BGP更新消息。

图4为本申请提供的一种第一网络设备400的结构示意图。第一网络设备400包括处理器410以及收发器420。处理器410与收发器420耦合。图4所示的第一网络设备400可以执行图2所示的方法。举例来说，第一网络设备400可以是图1中的LS1。关于第一网络设备400的具体实现方式，可以参考图2所示的实施例，也可以参考本申请对LS1的描述。

处理器410用于确定第一MAC地址所标识的主机为攻击者。

举例来说，处理器410可以是处理器，也可以是专用集成电路(application-specific integrated circuit，ASIC)或者现场可编程门阵列(field programmable gate array，FPGA)。

处理器410还用于生成BGP消息，所述BGP消息包括所述第一MAC地址以及指示信息，所述指示信息用于指示所述第一MAC地址标识的的所述主机是所述攻击者。

举例来说，处理器410基于所述第一MAC地址所标识的主机为攻击者，生成所述BGP消息。

收发器420用于向第二网络设备发送处理器410生成的所述BGP消息。

举例来说，第二网络设备可以是图1中的LS2。

在一种可能的设计中，第一网络设备400可以包括存储器430。存储器430与处理器410耦合。存储器430可以保存计算机程序。例如，存储器430中保存了用于识别DDoS攻击的计算机程序。处理器410通过执行所述计算机程序，对来自攻击者的多个报文的特征进行分析，从而确定所述多个报文属于DDoS攻击。所述多个报文的源MAC地址为MAC地址1。处理器410根据所述多个报文的源MAC地址确定MAC地址1所标识的主机(例如服务器1)是攻击者。

收发器420用于向所述第二VTEP发送来自所述第一VTEP的所述BGP消息。

举例来说，所述第一VTEP和所述第二VTEP之间存在VXLAN隧道。收发器420位于所述VXLAN隧道。例如，收发器420包含以太网接口，收发器420可以接收和发送遵循以太网协议的报文(例如以太网帧)。

在一种可能的设计中，所述BGP消息包含媒体访问控制/网际协议通告路由MAC/IP Advertisement route以及媒体访问控制移动性扩展团体MAC Mobility Extended Community，所述第一MAC地址携带在所述MAC/IP Advertisement route中，所述指示信息携带在所述MAC Mobility Extended Community中。

在一种可能的设计中，所述MAC Mobility Extended Community包括具有8个比特的旗帜，所述指示信息携带在所述旗帜的MSB上。

在一种可能的设计中，所述BGP消息为BGP更新消息。

图5为本申请提供的一种第二网络设备500的结构示意图。第二网络设备500包括第一收发器510、第二收发器520以及处理器530。第一收发器510与处理器530耦合。第二收发器520与处理器530耦合。图5所示的第二网络设备500可以执行图3所示的方法。举例来说，第二网络设备500可以是图1中的LS2。关于第二网络设备500的具体实现方式，可以参考图3所示的实施例，也可以参考本申请对LS2的描述。

第一收发器510用于接收来自第一网络设备的BGP消息，所述BGP消息包括第一媒体访问控制MAC地址以及指示信息，所述指示信息用于指示所述第一MAC地址所标识的主机是攻击者。

第二收发器520用于接收第一报文，所述第一报文的目的MAC地址等于所述第一MAC地址。

举例来说，第一收发器510可以包含以太网接口。第一收发器510可以接收和发送遵循以太网协议的报文(例如以太网帧)。第二收发器520可以包含以太网接口。第二收发器520可以接收和发送遵循以太网协议的报文(例如以太网帧)。

举例来说，第一收发器510可以位于LS1和LS2之间的VXLAN隧道上。第二收发器520可以用于连接LS2所管辖的网络。例如，第二收发器520可以用于连接服务器3以及服务器4。

处理器530用于基于所述BGP消息中的所述第一MAC地址、所述BGP消息中的所述指示信息以及所述第一报文中的所述目的MAC地址，避免向所述第一MAC地址标识的所述主机转发所述第一报文。

举例来说，处理器530可以是中央处理单元，也可以是ASIC或者FPGA。

在一种可能的设计中，第二网络设备500可以包括存储器540。存储器540与处理器530耦合。存储器540可以保存计算机程序。例如，存储器540中保存了用于实现BGP的功能的计算机程序。处理器530通过执行所述计算机程序，基于所述BGP消息以及第二网络设备500的配置信息，生成转发表项1。所述第一报文可以是报文1。所述LS2可以根据转发表项1对报文1进行丢弃处理，或者其他处理。关于转发表项1的生成过程，转发表项1的结构以及如何根据转发表项1对报文1进行处理，可以参考上文的相关描述，此处不再赘述。

在一种可能的设计中，第二收发器520还用于接收第二报文，所述第二报文的源MAC地址等于所述第一MAC地址。

处理器530还用于基于所述BGP消息中的所述第一MAC地址、所述BGP消息中的所述指示信息以及所述第二报文中的所述源MAC地址，避免转发所述第二报文。

第一收发器510用于向所述第二VTEP发送来自所述第一VTEP的所述BGP消息。

第一收发器510可以位于LS1和LS2之间的VXLAN隧道上。第一收发器510经由VXLAN隧道接收到来自第一VTEP(包含在第一网络设备中)的BGP消息后，可以向第二网络设备中的第二VTEP发送所述BGP消息。

图6为本申请提供的一种系统。参见图6，系统600包括第一网络设备601以及第二网络设备602。第一网络设备601可以是图4所示第一网络设备400。第二网络设备602可以是图5所示的第二网络设备500。例如，第一网络设备601可以执行图2所示的方法。第二网络设备602可以执行图3所示的方法。具体地，第一网络设备601可以是图1中的LS1。第二网络设备602可以是图1中的LS2。关于第一网络设备601的具体实现方式，可以参考图2所示的实施例，以及本申请对LS1的描述。关于第二网络设备602的具体实现方式，可以参考图3所示的实施例，以及本申请对LS2的描述。

本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质存储计算机程序。当所述计算机程序被网络设备执行时，使得网络设备执行图2所示的方法，或者图3所示的方法。举例来说，所述网络设备可以是图2所示的方法涉及的第一网络设备，或者图3所示的方法涉及的第二网络设备。

本申请还提供了一种计算机程序产品。所述计算机程序产品包含计算机程序。所述计算机程序可以保存在计算机可读存储介质上。当所述计算机程序被网络设备执行时，使得网络设备执行图2所示的方法，或者图3所示的方法。举例来说，所述网络设备可以是图2所示的方法涉及的第一网络设备，或者图3所示的方法涉及的第二网络设备。

本申请所描述的方法或者方法中的步骤可以硬件的方式来实现，也可以是由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成。软件模块可以被存放于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外，该ASIC可以位于用户设备中。当然，处理器和存储介质也可以作为分立组件存在于用户设备中。

本领域技术人员应该可以意识到，本申请所描述的功能可以用硬件或者固件实现。本申请所描述的功能也可以用软件和硬件的组合来实现。所示软件可以存储在计算机可读介质中。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的介质。存储介质可以是通用或专用计算机能够存取的介质。

以上所述的具体实施方式，对本申请的目的、技术方案和有益效果进行了进一步详细说明。所应理解的是，以上所述仅为本申请的具体实施方式而已。

Claims

一种发送边界网关协议BGP消息的方法，其特征在于，包括：

第一网络设备确定第一媒体访问控制MAC地址所标识的主机为攻击者；

所述第一网络设备生成BGP消息，所述BGP消息包括所述第一MAC地址以及指示信息，所述指示信息用于指示所述第一MAC地址标识的的所述主机是所述攻击者；

所述第一网络设备向第二网络设备发送所述BGP消息。
根据权利要求1所述的方法，其特征在于，所述第一网络设备包括第一虚拟扩展局域网隧道端点VTEP，所述第二网络设备包括第二VTEP；

所述第一网络设备向第二网络设备发送所述BGP消息包括：

所述第一VTEP向所述第二VTEP发送所述BGP消息。
根据权利要求1或2所述的方法，其特征在于，所述BGP消息包含媒体访问控制/网际协议通告路由MAC/IP Advertisement route以及媒体访问控制移动性扩展团体MAC Mobility Extended Community，所述第一MAC地址携带在所述MAC/IP Advertisement route中，所述指示信息携带在所述MAC Mobility Extended Community中。
根据权利要求3所述的方法，其特征在于，所述MAC Mobility Extended Community包括具有8个比特的旗帜，所述指示信息携带在所述旗帜的最高有效位MSB上。
根据权利要求1至4中任一所述的方法，其特征在于，所述BGP消息为BGP更新消息。
一种接收边界网关协议BGP消息的方法，其特征在于，包括：

第二网络设备接收来自第一网络设备的BGP消息，所述BGP消息包括第一媒体访问控制MAC地址以及指示信息，所述指示信息用于指示所述第一MAC地址所标识的主机是攻击者；

所述第二网络设备接收第一报文，所述第一报文的目的MAC地址等于所述第一MAC地址；

所述第二网络设备基于所述BGP消息中的所述第一MAC地址、所述BGP消息中的所述指示信息以及所述第一报文中的所述目的MAC地址，避免向所述第一MAC地址标识的所述主机转发所述第一报文。
根据权利要求6所述的方法，其特征在于，还包括：

所述第二网络设备接收第二报文，所述第二报文的源MAC地址等于所述第一MAC地址；

所述第二网络设备基于所述BGP消息中的所述第一MAC地址、所述BGP消息中的所述指示信息以及所述第二报文中的所述源MAC地址，避免转发所述第二报文。
根据权利要求6或7所述的方法，其特征在于，所述第一网络设备包括第一虚拟扩展局域网隧道端点VTEP，所述第二网络设备包括第二VTEP；

所述第二网络设备接收来自第一网络设备的BGP消息包括：

所述第二VTEP接收来自所述第一VTEP的所述路由信息。
根据权利要求6至8中任一所述的方法，其特征在于，所述BGP消息包含媒体访问控制/网际协议通告路由MAC/IP Advertisement route以及媒体访问控制移动性扩展团体MAC Mobility Extended Community，所述第一MAC地址携带在所述MAC/IP Advertisement route中，所述指示信息携带在所述MAC Mobility Extended Community中。
根据权利要求9所述的方法，其特征在于，所述MAC Mobility Extended Community包括具有8个比特的旗帜，所述指示信息携带在所述旗帜的最高有效位MSB上。
一种第一网络设备，其特征在于，包括：处理器以及与所述处理器耦合的收发器；

所述处理器用于确定第一媒体访问控制MAC地址所标识的主机为攻击者；

所述处理器还用于生成边界网关协议BGP消息，所述BGP消息包括所述第一MAC地址以及指示信息，所述指示信息用于指示所述第一MAC地址标识的的所述主机是所述攻击者；

所述收发器用于向第二网络设备发送所述处理器生成的所述BGP消息。
根据权利要求11所述的第一网络设备，其特征在于，所述第一网络设备包括第一虚拟扩展局域网隧道端点VTEP，所述第二网络设备包括第二VTEP；

所述收发器用于向所述第二VTEP发送来自所述第一VTEP的所述BGP消息。
根据权利要求11或12所述的第一网络设备，其特征在于，所述BGP消息包含媒体访问控制/网际协议通告路由MAC/IP Advertisement route以及媒体访问控制移动性扩展团体MAC Mobility Extended Community，所述第一MAC地址携带在所述MAC/IP Advertisement route中，所述指示信息携带在所述MAC Mobility Extended Community中。
根据权利要求13所述的第一网络设备，其特征在于，所述MAC Mobility Extended Community包括具有8个比特的旗帜，所述指示信息携带在所述旗帜的最高有效位MSB上。
根据权利要求11至14中任一所述的第一网络设备，其特征在于，所述BGP消息为BGP更新消息。
一种第二网络设备，其特征在于，包括：第一收发器、第二收发器以及与所述第一收发器和所述第二收发器耦合的处理器；

所述第一收发器用于接收来自第一网络设备的边界网关协议BGP消息，所述BGP消息包括第一媒体访问控制MAC地址以及指示信息，所述指示信息用于指示所述第一MAC地址所标识的主机是攻击者；

所述第二收发器用于接收第一报文，所述第一报文的目的MAC地址等于所述第一MAC地址；

所述处理器用于基于所述BGP消息中的所述第一MAC地址、所述BGP消息中的所述指示信息以及所述第一报文中的所述目的MAC地址，避免向所述第一MAC地址标识的所述主机转发所述第一报文。
根据权利要求16所述的第二网络设备，其特征在于，所述第二收发器还用于接收第二报文，所述第二报文的源MAC地址等于所述第一MAC地址；

所述处理器还用于基于所述BGP消息中的所述第一MAC地址、所述BGP消息中的所述指示信息以及所述第二报文中的所述源MAC地址，避免转发所述第二报文。
根据权利要求16或17所述的第二网络设备，其特征在于，所述第一网络设备包括第一虚拟扩展局域网隧道端点VTEP，所述第二网络设备包括第二VTEP；

所述第一收发器用于向所述第二VTEP发送来自所述第一VTEP的所述BGP消息。
根据权利要求16至18中任一所述的第二网络设备，其特征在于，所述BGP消息包含媒体访问控制/网际协议通告路由MAC/IP Advertisement route以及媒体访问控制移动性扩展团体MAC Mobility Extended Community，所述第一MAC地址携带在所述MAC/IP Advertisement route中，所述指示信息携带在所述MAC Mobility Extended Community中。
根据权利要求19所述的第二网络设备，其特征在于，所述MAC Mobility Extended Community包括具有8个比特的旗帜，所述指示信息携带在所述旗帜的最高有效位MSB上。