[发明专利]路由配置方法、装置、设备及计算机可读存储介质

说明书

本申请提供了一种路由配置方法，该方法包括：通过配置至少一个路由列表，使同一路由列表中包含了至少一条路由条目、且至少一条路由条目为执行相同控制策略的历史攻击流量的路由信息；为至少一个路由列表配置各自对应的控制策略，并将配置的控制策略发送给第二网络设备，第二网络设备用于根据配置的控制策略对接收的目标攻击流量进行控制。可见，本申请通过将执行相同控制策略的历史攻击流量的路由信息配置在同一个路由列表中，实现了对路由的归类，这样，便不需要对每个路由配置控制策略，只需要为每个路由列表配置控制策略，从而可以有效减少配置量，节省了网络资源。

技术领域

本申请涉及通信技术领域，特别涉及一种路由配置方法、装置、设备及计算机可读存储介质。

背景技术

随着网络规模的不断扩大，拒绝服务(Denial of Service，简称DoS)/分布式拒绝服务(Distributed Denial of Service，简称DDoS)攻击是对网络安全的一个重大威胁，DoS/DDoS攻击者通过多个控制端控制成千上万的攻击设备对同一个目的地址、网段或服务器同时发起流量攻击，导致网络拥塞或服务器中央处理器(central processing unit，简称CPU)占用过高无法提供服务。边界网关协议(Border Gateway Protocol，简称BGP)Flowspec使用标准协议定义的BGP网络层可达信息类型来传递流量过滤信息，因此路由信息和流量过滤信息独立存在。BGP Flowspec可用于IPv4、IPv6、VPNv4等网络场景。此外，BGPFlowspec提供了丰富的过滤条件和处理动作，从而可以有针对性地实现对流量的控制。

参见图1所示的流量控制网络架构示意图。在现有技术中，当网络AS100内的网络设备Device A出现攻击源时，攻击流量通过网络设备Device B流入到网络AS200内，对网络AS200的网络造成了危害。因此，为了保证网络AS200的安全，可以在网络内部署动态BGPFlowspec功能，即，在网络中部署流量分析服务器Server和流量牵引设备Device C，并将Device C与Device B建立BGP Flowspec邻居关系。由Device B定期将流量采样通过DeviceC发送给流量分析服务器Server，流量分析服务器Server会根据攻击流量的流量采样，自动生成BGP Flowspec路由并通过文件传输协议(File Transfer Protocol，简称FTP)发送至Device C上，Device C会根据不同的攻击流量配置不同的流量控制策略，对攻击流量进行过滤和控制，通过BGP协议发送给Device B，从而保证网络AS200内的业务正常运行。

现有方案中通过BGP Flowsepc过滤和控制的配置命令，是用match关键字语句匹配一条流量，再用set关键字语句配置控制策略。虽然现有方案可以对攻击流量进行过滤和控制，然而，当多条攻击流量需要配置相同的控制策略时，match关键字语句的命令是匹配不同的流量，但set关键字语句却都是相同的，这样，配置了多少条match关键字语句，就需要配置多少条内容重复的set关键字语句，从而浪费了网络资源。

发明内容

有鉴于此，本申请提供了一种路由配置方法、装置、设备及计算机可读存储介质，通过优化路由配置，以节省网络资源。

具体地，本申请是通过如下技术方案实现的：

一种路由配置方法，所述方法应用于第一网络设备，所述方法包括：

配置至少一个路由列表，其中，同一路由列表中包含了至少一条路由条目、且所述至少一条路由条目为执行相同控制策略的历史攻击流量的路由信息，不同的路由列表对应了不同的控制策略；

为所述至少一个路由列表配置各自对应的控制策略，并将配置的控制策略发送给第二网络设备，其中，所述第二网络设备用于根据配置的控制策略对接收的目标攻击流量进行控制。

一种路由配置装置，所述装置应用于第一网络设备，所述装置包括：