虛擬專用網絡VPN業務優化方法和設備與流程

本發明實施例涉及計算機網絡，并且更具體地，涉及vpn業務優化方法和設備。
背景技術：
：：邊界網關協議(bordergatewayprotocol，bgp)：是一種用于自治系統as(autonomoussystem)之間的動態路由協議，早期發布的三個版本分別是bgp-1(rfc1105)、bgp-2(rfc1163)和bgp-3(rfc1267)，主要用于交換as之間的可達路由信息，構建as域間的傳播路徑，防止路由環路的產生，并在as級別應用一些路由策略。當前使用的版本是bgp-4(rfc4271)。bgp作為事實上的互聯網(internet)外部路由協議標準，被廣泛應用于互聯網服務提供商(internetserviceprovider，isp)之間。目前，在邊界網關協議(bgp)/多協議標簽交換(mpls)互聯網協議(ip)虛擬專用網絡(vpn)網絡中，常常通過vpn目標(target)屬性來控制vpn路由信息在各站點(site)之間的發布和接收。vpn導出目標(exporttarget)和vpn導入目標(importtarget)的設置相互獨立，并且都可以設置多個值，能夠實現靈活的vpn訪問控制，從而實現多種vpn組網方案。但是，在現有的網絡部署中，可以存在多個vpn實例配置了相同的vpnexporttarget和vpnimporttarget的應用。因此，可能導致無法準確地將數據流導向對應的vpn實例的問題。技術實現要素：本發明實施例提供一種vpn業務優化方法和設備，能夠準確地將各個vpn實例的數據流分配到對應的vpn實例中進行傳輸，在一定程度上對vpn業務進行了優化。第一方面，提出了一種第一網絡設備，用于flowspec路由發布，該第一網絡設備包括：分析單元，用于對進入該第一網絡設備所在的網絡的數據流進行分析，以獲取目標數據流的流量特征；路由發布單元，用于發布flowspec路由，該flowspec路由攜帶重定向指示信息，該重定向指示信息包含標識信息，該標識信息用于在第二網絡設備中唯一標識第一vpn實例，該重定向指示信息用于指示將包含該目標數據流的流量特征的數據流重定向至該第一vpn實例中，該第二網絡設備為該網絡接入的服務提供商網絡的邊緣設備，該第一vpn實例為該第二網絡設備中該目標數據流被重定向后所指向的目標vpn實例。結合第一方面，在第一種可能的實現方式中，具體實現為：該標識信息為該第一vpn實例的rd或名稱。結合第一方面或第一方面的第一種可能的實現方式，在第二種可能的實現方式中，該flowspec路由所屬的邊界網關協議bgp更新消息的擴展團體屬性中包括目的rd字段，該目的rd字段的值為該標識信息。第二方面，提出了一種第二網絡設備，用于作為服務提供商網絡的邊緣設備，該第二網絡設備包括：接收單元，用于接收第一網絡設備發布的flowspec路由，該第一網絡設備為該服務提供商網絡中用于flowspec路由發布的網絡設備，該flowspec路由攜帶目標數據流的流量特征，該flowspec路由還攜帶重定向指示信息，該重定向指示中包含標識信息，該標識信息用于在該第二網絡設備中唯一標識第一vpn實例，該重定向指示信息用于指示將符合該目標數據流的流量特征的數據流重定向至該第一vpn實例中，該第一vpn實例為該第二網絡設備中該目標數據流被重定向后所指向的目標vpn實例；分析單元，用于分析經過該網絡設備的數據流；重定向單元，用于如果經過該網絡設備的第一數據流的流量特征包含該目標數據流的流量特征，則將該第一數據流重定向到該第一vpn實例。結合第二方面，在第一種可能的實現方式中，具體實現為：該標識信息為該第一vpn實例的rd或名稱。結合第二方面或第二方面的第一種可能的實現方式，在第二種可能的實現方式中，該flowspec路由所屬的邊界網關協議bgp更新消息的擴展團體屬性中包括目的rd字段，該目的rd字段的值為該標識信息。結合第二方面或第二方面的第一種可能的實現方式或第二方面的第二種可能的實現方式，在第三種可能的實現方式中，該第二網絡設備還包括：路由發布單元，用于將該flowspec路由在該服務提供商網絡中發布。第三方面，提出了一種第三網絡設備，用于vpn路由發布，該第三網絡設備包括：獲取單元，用于獲取第四網絡設備發送的第一路由，該第四網絡設備為該第三網絡設備所在的服務提供商網絡的邊緣設備，該第一路由為vpn路由；處理單元，用于根據接入第五網絡設備的第一vpn實例和該第一路由生成第二路由，其中，該第五網絡設備為該服務提供商網絡的另一邊緣設備，該第二路由為vpn路由，該第二路由攜帶標識信息和該第一路由的路由信息，該標識信息用于在該第五網絡設備中唯一標識該第一vpn實例；路由發布單元，用于將該第二路由發送給該第五網絡設備。結合第三方面，在第一種可能的實現方式中，具體實現為：該標識信息包括該第一vpn實例的rd或名稱。結合第三方面或第三方面的第一種可能的實現方式，在第二種可能的實現方式中，具體實現為：該第二路由所屬的bgp更新消息的擴展團體屬性中包括目的rd字段，該目的rd字段的值為該標識信息；或者，該第二路由所屬的bgp更新消息中包括rd屬性，該目的rd屬性的值為該標識信息。結合第三方面或第三方面的第一種可能的實現方式或第三方面的第二種可能的實現方式，在第三種可能的實現方式中，具體實現為：該第二路由中還攜帶傳輸策略，該傳輸策略用于指示該第二路由所使用的傳輸隧道。第四方面，提出了一種第五網絡設備，用于作為服務提供商網絡的邊緣設備，該第五網絡設備包括：接收單元，用于接收第三網絡設備發送的第二路由，該第三網絡設備為該服務提供商網絡中用于vpn路由發布的網絡設備，該第二路由攜帶第四網絡設備向該第三網絡設備發送的第一路由的信息，該第四網絡設備為該服務提供商網絡的另一邊緣設備，該第二路由還攜帶標識信息，該標識信息用于在該第五網絡設備中唯一標識接入該第五網絡設備的第一vpn實例，該第一路由和該第二路由都為vpn路由；路由管理單元，用于將該第二路由添加到該第一vpn實例的路由表上。結合第四方面，在第一種可能的實現方式中，具體實現為：該標識信息包括該第一vpn實例的rd或名稱。結合第四方面或第四方面的第一種可能的實現方式，在第二種可能的實現方式中，該第二路由所屬的bgp更新消息的擴展團體屬性中包括目的rd字段，該目的rd字段的值為該標識信息；或者，該第二路由所屬的bgp更新消息中包括目的rd屬性，該目的rd屬性的值為該標識信息。結合第四方面或第四方面的第一種可能的實現方式或第四方面的第二種可能的實現方式，在第三種可能的實現方式中，該第二路由中還攜帶傳輸策略，該傳輸策略用于指示在該第一vpn實例通過該第二路由訪問該第四網絡設備所使用的傳輸隧道；該路由管理單元還用于當該網絡設備在該第一vpn實例上的數據流通過該第二路由訪問該第四網絡設備時使用該傳輸隧道傳輸。第五方面，提出了一種vpn的業務優化方法，包括：第一網絡設備對進入該第一網絡設備所在的網絡的數據流進行分析，以獲取目標數據流的流量特征，該第一網絡設備用于flowspec路由發布；該第一網絡設備發布flowspec路由，該flowspec路由攜帶重定向指示信息，該重定向指示信息包含標識信息，該標識信息用于在第二網絡設備中唯一標識第一vpn實例，該重定向指示信息用于指示將包含該目標數據流的流量特征的數據流重定向至該第一vpn實例中，該第二網絡設備為該網絡接入的服務提供商網絡的邊緣設備，該第一vpn實例為該第二網絡設備中該目標數據流被重定向后所指向的目標vpn實例。結合第五方面，在第一種可能的實現方式中，具體實現為：該標識信息為該第一vpn實例的rd或名稱。結合第五方面或第五方面的第一種可能的實現方式，在第二種可能的實現方式中，該flowspec路由所屬的邊界網關協議bgp更新消息的擴展團體屬性中包括目的rd字段，該目的rd字段的值為該標識信息。第六方面，提出了一種vpn的業務優化方法，包括：第二網絡設備接收第一網絡設備發布的flowspec路由，該第一網絡設備為該第一網絡設備所在的服務提供商網絡中用于flowspec路由發布的網絡設備，該flowspec路由攜帶目標數據流的流量特征，該flowspec路由還攜帶重定向指示信息，該重定向指示中包含標識信息，該標識信息用于在該第二網絡設備中唯一標識第一vpn實例，該重定向指示信息用于指示將符合該目標數據流的流量特征的數據流重定向至該第一vpn實例中，該第一vpn實例為該第二網絡設備中該目標數據流被重定向后所指向的目標vpn實例；該第二網絡設備分析經過該第二網絡設備的數據流；如果經過該第二網絡設備的第一數據流的流量特征包含該目標數據流的流量特征，則該第二網絡設備將該第一數據流重定向到該第一vpn實例。結合第六方面，在第一種可能的實現方式中，具體實現為：該標識信息為該第一vpn實例的rd或名稱。結合第六方面或第六方面的第一種可能的實現方式，在第二種可能的實現方式中，該flowspec路由所屬的邊界網關協議bgp更新消息的擴展團體屬性中包括目的rd字段，該目的rd字段的值為該標識信息。結合第六方面或第六方面的第一種可能的實現方式或第六方面的第二種可能的實現方式，在第三種可能的實現方式中，該方法還包括：該第二網絡設備將該flowspec路由在該服務提供商網絡中發布。第七方面，提出了一種vpn的業務優化方法，包括：第三網絡設備獲取第四網絡設備發送的第一路由，該第三網絡設備用于vpn路由發布，該第四網絡設備為該第三網絡設備所在的服務提供商網絡的邊緣設備，該第一路由為vpn路由；該第三網絡設備根據接入第五網絡設備的第一vpn實例和該第一路由生成第二路由，其中，該第五網絡設備為該服務提供商網絡的另一邊緣設備，該第二路由為vpn路由，該第二路由攜帶標識信息和該第一路由的路由信息，該標識信息用于在該第五網絡設備中唯一標識該第一vpn實例；該第三網絡設備該第二路由發送給該第五網絡設備。結合第七方面，在第一種可能的實現方式中，具體實現為：該標識信息包括該第一vpn實例的rd或名稱。結合第七方面或第七方面的第一種可能的實現方式，在第二種可能的實現方式中，具體實現為：該第二路由所屬的bgp更新消息的擴展團體屬性中包括目的路由標識符rd字段，該目的rd字段的值為該標識信息；或者，該第二路由所屬的bgp更新消息中包括目的路由標識符rd屬性，該目的rd屬性的值為該標識信息。結合第七方面或第七方面的第一種可能的實現方式或第七方面的第二種可能的實現方式，在第三種可能的實現方式中，具體實現為：該第二路由中還攜帶傳輸策略，該傳輸策略用于指示該第二路由所使用的傳輸隧道。第八方面，提出了一種vpn的業務優化方法，包括：第五網絡設備接收第三網絡設備發送的第二路由，該第五網絡設備是該第五網絡設備所在的服務提供商網絡的邊緣設備，該第三網絡設備是該服務提供商網絡中用于vpn路由發布的網絡設備，該第二路由攜帶第四網絡設備向該第三網絡設備發送的第一路由的信息，該第四網絡設備為該服務提供商網絡的另一邊緣設備，該第二路由還攜帶標識信息，該標識信息用于在該第五網絡設備中唯一標識接入該第五網絡設備的第一vpn實例，該第一路由和該第二路由都為vpn路由；該第五網絡設備將該第二路由添加到該第一vpn實例的路由表上。結合第八方面，在第一種可能的實現方式中，具體實現為：該識信息包括該第一vpn實例的rd或名稱。結合第八方面或第八方面的第一種可能的實現方式，在第二種可能的實現方式中，該第二路由所屬的bgp更新消息的擴展團體屬性中包括目的rd字段，該目的rd字段的值為該標識信息；或者，該第二路由所屬的bgp更新消息中包括目的rd屬性，該目的rd屬性的值為該標識信息。結合第八方面或第八方面的第一種可能的實現方式或第八方面的第二種可能的實現方式，在第三種可能的實現方式中，該第二路由中還攜帶傳輸策略，該傳輸策略用于指示該第五網絡設備在該第一vpn實例通過該第二路由訪問該第四網絡設備所使用的傳輸隧道；該方法還包括：如果該第五網絡設備在該第一vpn實例上的數據流通過該第二路由訪問該第四網絡設備，則使用該傳輸隧道傳輸。第九方面，提供了一種網絡設備，用于flowspec路由發布，該網絡設備包括存儲器和處理器，該存儲器用于存儲指令，該處理器用于執行該存儲器存儲的指令，并且對該存儲器中存儲的指令的執行使得該處理器執行第五方面或第五方面的任一方面的可能實現方式中第一網絡設備執行的方法。第十方面，提供了一種網絡設備，用于作為服務提供商網絡的邊緣設備，該網絡設備包括存儲器和處理器，該存儲器用于存儲指令，該處理器用于執行該存儲器存儲的指令，并且對該存儲器中存儲的指令的執行使得該處理器執行第六方面或第六方面的任一可能的實現方式中第二網絡設備執行的方法。第十一方面，提供了一種網絡設備，用于vpn路由發布，該網絡設備包括存儲器和處理器，該存儲器用于存儲指令，該處理器用于執行該存儲器存儲的指令，并且對該存儲器中存儲的指令的執行使得該處理器執行第七方面或第七方面的任一可能的實現方式中第三網絡設備執行的方法。第十二方面，提供了一種網絡設備，用于作為服務提供商網絡的邊緣設備，該網絡設備包括存儲器和處理器，該存儲器用于存儲指令，該處理器用于執行該存儲器存儲的指令，并且對該存儲器中存儲的指令的執行使得該處理器執行第八方面或第八方面的任一方面的可能實現方式中第五網絡設備執行的方法。第十三方面，提供了一種計算機可讀存儲介質，該計算機可讀存儲介質存儲一個或多個程序，該一個或多個程序包括指令，該指令當被包括多個應用程序的便攜式電子設備執行時，能夠使該便攜式電子設備執行第五方面或第五方面的任一方面的可能實現方式中第一網絡設備執行的方法。第十四方面，提供了一種計算機可讀存儲介質，該計算機可讀存儲介質存儲一個或多個程序，該一個或多個程序包括指令，該指令當被包括多個應用程序的便攜式電子設備執行時，能夠使該便攜式電子設備執行第六方面或第六方面的任一可能的實現方式中第二網絡設備執行的方法。第十五方面，提供了一種計算機可讀存儲介質，該計算機可讀存儲介質存儲一個或多個程序，該一個或多個程序包括指令，該指令當被包括多個應用程序的便攜式電子設備執行時，能夠使該便攜式電子設備執行第七方面或第七方面的任一可能的實現方式中第三網絡設備執行的方法。第十六方面，提供了一種計算機可讀存儲介質，該計算機可讀存儲介質存儲一個或多個程序，該一個或多個程序包括指令，該指令當被包括多個應用程序的便攜式電子設備執行時，能夠使該便攜式電子設備執行第八方面或第八方面的任一方面的可能實現方式中第五網絡設備執行的方法。第十七方面，提供了一種網絡系統，該網絡系統包括第一方面的第一網絡設備和第二方面的第二網絡設備，或者包括第五方面的網絡設備和第六方面的網絡設備。第十八方面，提供了一種網絡系統，該網絡系統包括第三方面的第三網絡設備和第四方面的第五網絡設備，或者包括第七方面的網絡設備和第八方面的網絡設備。本發明實施例的vpn業務優化方法和網絡設備，一方面，第一網絡設備發布flowspec路由，該flowspec路由中使用的標識信息能夠在第二網絡設備中唯一標識第一vpn實例，使得第二網絡設備能夠準確地將目標數據流導向第一vpn實例，以通過第一vpn實例將該目標數據流導向該目標數據流對應的目標設備，避免將目標數據流導向第一vpn實例以外的vpn實例，在一定程度上對vpn業務進行了優化；另一方面，第三網絡設備根據第四網絡設備的第一路由為第五網絡設備的第一vpn實例建立第二路由，并將該第二路由發送給第五網絡設備，以便第五網絡設備能夠將第二路由加入到第五網絡設備的第一vpn實例的路由表中，從而使得第五網絡設備的第一vpn實例中的數據流能夠順利的訪問第四網絡設備，將數據流準確地導向對應的vpn實例，能夠在一定程度上實現對vpn業務的優化。附圖說明為了更清楚地說明本發明實施例的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。圖1是本發明實施例vpn業務優化的方法流程圖。圖2是本發明實施例vpn業務優化的交互流程圖。圖3是本發明實施例vpn業務優化的另一方法流程圖。圖4是本發明實施例網絡設備的結構示意圖。圖5是本發明實施例網絡設備的另一結構示意圖。圖6是本發明實施例vpn業務優化的再一方法流程圖。圖7是本發明實施例vpn業務優化的再一交互流程圖。圖8是本發明實施例vpn業務優化的再一交互流程圖。圖9是本發明實施例vpn業務優化的再一方法流程圖。圖10是本發明實施例網絡設備的再一結構示意圖。圖11是本發明實施例網絡設備的再一結構示意圖。圖12是本發明實施例實體裝置的結構示意圖。圖13是本發明實施例網絡系統的系統框圖。圖14是本發明實施例網絡系統的另一系統框圖。具體實施方式下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。為了方便理解本發明實施例，首先在此介紹本發明實施例描述中會引入的幾個要素。邊界網關協議(bordergatewayprotocol，bgp)：是一種用于自治系統as(autonomoussystem)之間的動態路由協議，早期發布的三個版本分別是bgp-1(rfc1105)、bgp-2(rfc1163)和bgp-3(rfc1267)，主要用于交換as之間的可達路由信息，構建as域間的傳播路徑，防止路由環路的產生，并在as級別應用一些路由策略。當前使用的版本是bgp-4(rfc4271)。bgp作為事實上的互聯網(internet)外部路由協議標準，被廣泛應用于互聯網服務提供商(internetserviceprovider，isp)之間。多協議標簽交換(multi-protocollabelswitching，mpls)：是新一代的ip高速骨干網絡交換標準，由因特網工程任務組(internetengineeringtaskforce，ietf)提出。mpls是利用標記(label)進行數據轉發的。當分組進入網絡時，要為其分配固定長度的短的標記，并將標記與分組封裝在一起，在整個轉發過程中，交換節點僅根據標記進行轉發。mpls無縫地集成了ip路由技術的靈活性和atm標簽交換技術的簡捷性。mpls在無連接的ip網絡中增加了面向連接的控制平面，為ip網絡增添了管理和運營的手段。在ip網絡中，mpls流量工程技術成為一種主要的管理網絡流量、減少擁塞、一定程度上保證ip網絡的qos的重要工具。內部bgp協議(internalbordergatewayprotocol，ibgp)：為保證ibgp對等體之間的連通性，需要在ibgp對等體之間建立全連接(full-mesh)關系。假設在一個as內部有n臺路由器，那么應該建立的ibgp連接數就為n(n-1)/2。當ibgp對等體數目很多時，對網絡資源和cpu資源的消耗都很大。ibgp規定，ibgp發布者(ibgpspeaker)不允許把從一個ibgp鄰居學習到的前綴傳遞給其它ibgp鄰居，因此ibgp要求邏輯全連接。目的：防止在as內部形成bgp路由環路；確保bgp路由路徑上的所有路由器都知道如何將數據包轉發到目的地。site(站點)：site是指相互之間具備ip連通性的一組ip系統，并且這組ip系統的ip連通性不需通過服務提供商網絡實現。site的劃分是根據設備的拓撲關系，而不是地理位置，盡管在大多數情況下一個site中的設備地理位置相鄰。地理位置隔離的兩組ip系統，如果它們使用專線互聯，不需要通過服務提供商網絡就可以互通，那么這兩組ip系統也組成一個site。site通過用戶邊緣設備(customeredge，ce)連接到服務提供商網絡，一個site可以包含多個ce，但一個ce只屬于一個site。根據site的情況，ce設備的常用選擇方案如下：如果site只是一臺主機，則這臺主機就作為ce設備；如果site是單個子網，則使用交換機作為ce設備；如果site是多個子網，則使用路由器作為ce設備。虛擬專用網絡(virtualprivatenetwork，vpn)：對于多個連接到同一服務提供商網絡的site，通過制定策略，可以將它們劃分為不同的集合(set)，只有屬于相同集合的site之間才能通過服務提供商網絡互訪，這種集合就是vpn。路由反射器(routereflector，rr)、客戶機(client)、集群(cluster)、非客戶機(non-client)：在一個as內，其中一臺路由器作為rr，其它路由器作為客戶機(client)。客戶機與路由反射器之間建立ibgp連接。路由反射器和它的客戶機組成一個集群(cluster)。路由反射器在客戶機之間反射路由信息，客戶機之間不需要建立bgp連接。既不是反射器也不是客戶機的bgp設備被稱為非客戶機(non-client)。非客戶機與路由反射器之間，以及所有的非客戶機之間仍然必須建立全連接關系。ce(customeredge)：用戶邊緣設備，有接口直接與服務提供商sp(serviceprovider)網絡相連。ce可以是路由器或交換機，也可以是一臺主機。通常情況下，ce“感知”不到vpn的存在，也不需要支持mpls。pe(provideredge)：提供商邊緣設備，是服務提供商網絡的邊緣設備，與ce直接相連。在mpls網絡中，對vpn的所有處理都發生在pe上，對pe性能要求較高。p(provider)：服務提供商網絡中的骨干設備，不與ce直接相連。p設備只需要具備基本mpls轉發能力，不維護vpn信息。bgp/mplsipvpn：通常也稱mplsl3vpn，其基本模型由ce、pe和p三部分組成。pe和p設備僅由sp管理；ce設備僅由用戶管理，除非用戶把管理權委托給sp。一臺pe可以接入多臺ce設備。一臺ce設備也可以連接屬于相同或不同服務提供商的多臺pe。vpn實例：vpn實例也稱為vpn路由轉發表(vpnroutingandforwardingtable，vrf)。pe上存在多個路由轉發表，包括一個公網路由轉發表，以及一個或多個vpn路由轉發表。也就是說，pe上存在多個實例，包括一個公網實例和一個或多個vpn實例，各個vpn實例維護各自vpn的路由，公網實例維護公網路由。公網路由轉發表與vpn路由轉發表的區別：公網路由表包括所有pe和p設備的ipv4路由，由骨干網的路由協議或靜態路由產生，vpn路由表包括屬于該vpn實例的所有site的路由，通過ce與pe之間或者兩個pe之間的vpn路由信息交互獲得；公網轉發表是根據路由管理策略從公網路由表提取出來的最小轉發信息，而vpn轉發表是根據路由管理策略從對應的vpn路由表提取出來的最小轉發信息。vpn、site、vpn實例之間的關系：vpn是多個site的組合，一個site可以屬于多個vpn。每一個site在pe上都關聯一個vpn實例。vpn實例綜合了它所關聯的site的vpn成員關系和路由規則。多個site根據vpn實例的規則組合成一個vpn。路由標識符(routedistinguisher，rd)：用于區分使用相同地址空間的ip地址前綴(例如，ipv4前綴、ipv6前綴等)的不同vpn，vpn實例通過rd實現地址空間獨立。rd的結構使得每個服務供應商可以獨立地分配rd，但為了在ce雙歸屬的情況下保證路由正常，必須保證rd全局唯一。增加了rd的ipv4地址稱為vpn-ipv4地址，pe從ce接收到ipv4路由后，轉換為全局唯一的vpn-ipv4路由，并在公網上發布。vpn-ipv6結構與vpn-ipv4類似，只是將ipv4前綴替換成了ipv6前綴。一般為一個site分配唯一一個rd，它是vrf的標識符。公網和私網的區別：公網路由表由igp路由產生，可能包含bgp-4(ipv4)路由，但不會有vpn路由；vrf路由表包含特定vpn路由，可能有mp-ibgp路由引入到vrf中的路由，也可能有vrf路由實例從ce獲得的路由。vpntarget：bgp/mplsipvpn使用64比特位的bgp擴展團體屬性－vpntarget(也稱為routetarget，簡稱rt)來控制vpn路由信息的發布。每個vpn實例關聯一個或多個vpntarget屬性。有兩類vpntarget屬性：exporttarget和importtarget。exporttarget：本地pe從直接相連site學到ipv4路由后，轉換為vpnipv4路由，并為這些路由設置exporttarget屬性。exporttarget屬性作為bgp的擴展團體屬性隨路由發布。importtarget：pe收到其它pe發布的vpn-ipv4路由時，檢查其exporttarget屬性。當此屬性與pe上某個vpn實例的importtarget匹配時，pe就把路由加入到該vpn實例的路由表。bgp流規范規則(flowspecification，flowspec)(rfc5575)功能：通過傳遞bgpflowspecification路由將流量策略傳遞給bgpflowspecification對等體，達到控制攻擊流量的目的。bgpflowspecification路由：rfc5575中定義了一種bgpflowspecification路由，這種bgpflowspecification路由包含了一類新的bgp網絡層可達信息類型和擴展團體屬性。通過這種新的網絡層可達信息和擴展團體屬性，bgpflowspecification路由可以攜帶流量的匹配條件和流量匹配后執行的動作。bgpflowspecification對等體關系：建立在創建bgpflowspecification路由的設備與網絡入口設備之間，用于傳遞bgpflowspecification路由。當bgpflowspecification對等體收到bgpflowspecification路由后將優選的路由轉換為轉發層面的流量控制策略，達到控制攻擊流量的目的。rfc5575定義了12種常用的流量匹配規則(目的地址、源地址、ip協議號、端口號、目的端口號、源端口號、icmp類型、icmp編碼、tcp的標志位、dscp、分片類型等)。這12種規則封裝在bgpflowspecification路由中，作為網絡層可達信息傳遞。rfc5575定義了4種常用的流量處理行為(丟棄流量、流量限速、修改報文的dscp值、重定向到vpn)。這4種處理行為在bgpflowspec路由中，作為擴展團體屬性攜帶。圖1是本發明實施例vpn業務優化的方法流程圖。圖1的方法第一網絡設備執行。本發明實施例中，第一網絡設備用于flowspec路由發布，可以是專用的流量分析服務器，或者是sdn控制器，等等。101，第一網絡設備對進入該第一網絡設備所在的網絡的數據流進行分析，以獲取目標數據流的流量特征，該第一網絡設備用于flowspec路由發布。目標數據流，是指待發布的flowspec路由所要處理的數據流。例如，該目標數據流可以是攻擊數據流等。本發明實施例中，第一網絡設備可通過多種方式對數據流進行分析，以確定目標數據流。例如，以攻擊數據流為例，可通過netstream檢測等確定攻擊數據流。第一網絡設備通過檢測，可以檢測出其中的攻擊數據流，進而可以獲得攻擊數據流的流量特征，例如，可以檢測出分布式拒絕服務(distributeddenialofservice，ddos)攻擊所攻擊的設備的ip地址等。102，該第一網絡設備發布flowspec路由，該flowspec路由攜帶重定向指示信息，該重定向指示信息包含標識信息，該標識信息用于在第二網絡設備中唯一標識第一vpn實例，該重定向指示信息用于指示將包含該目標數據流的流量特征的數據流重定向至該第一vpn實例中，該第二網絡設備為該網絡接入的服務提供商網絡的邊緣設備，該第一vpn實例為該第二網絡設備中該目標數據流被重定向后所指向的目標vpn實例。應理解，flowspec路由中，可包含目標數據流的參數和重定向指示。其中，目標數據流的參數可以是目標數據流的流量特征，用于表示flowspec所要處理的目標數據流；重定向指示用于將流量特征與該目標數據流的流量特征相同的數據流重定向到第一vpn實例，以通過第一vpn實例將目標數據流導向目標設備。應理解，當目標數據流被重定向到目標vpn實例后，根據vpn實例記錄的路由轉發表，該目標數據流會被導向該目標vpn實例所關聯的site上，從而導向site對應的ce設備。本發明實施例中，第一網絡設備發布flowspec路由，該flowspec路由中使用的標識信息能夠在第二網絡設備中唯一標識第一vpn實例，使得第二網絡設備能夠準確地將目標數據流導向第一vpn實例，以通過第一vpn實例將該目標數據流導向該目標數據流對應的目標設備，避免將目標數據流導向第一vpn實例以外的vpn實例，在一定程度上對vpn業務進行了優化。可選地，該標識信息為該第一vpn實例的rd或名稱。可選地，該flowspec路由所屬的邊界網關協議bgp更新消息的擴展團體屬性中包括目的rd字段，該目的rd字段的值為該標識信息。下面，將結合具體的實施例，對本發明實施例的方法作進一步的描述。圖2是本發明實施例vpn業務優化的交互流程圖。本發明實施例中，第一網絡設備為流量分析服務器，目標數據流為攻擊數據流，目標設備為流量清洗服務器。本發明實施例中，通過對flowspec路由進行調整，以實現vpn業務優化。其中，as200為服務提供商網絡，s1、s2、s3和d1為私有網絡(本地網絡)。在as200的網絡中，rta、rtb和rtd為提供商邊緣設備(provideredge，pe)，rtc為骨干設備(provider)，s1和s2為rta的私有網絡，s3為rtb的私有網絡，d1為rtd的私有網絡，被攻擊者、流量清洗服務器和流量分析服務器位于d1上。當然，應理解，流量分析服務器也可不在d1上，例如，在s1、s2或s3等。圖2中，rta、rtb和rtd的vpntarget屬性配置分別如下：rta：ipvpn-instancevpn1rd:10:1importtarget:10:1100:1exporttarget:10:1100:1ipvpn-instancescrubbing-vpn1rd:100:1importtarget:100:1exporttarget:100:1ipvpn-instancevpn2rd:200:1importtarget:10:1100:1exporttarget:10:1rtb：ipvpn-instancescrubbing-vpn1rd:100:1importtarget:100:1exporttarget:100:1rtd：ipvpn-instancescrubbing-vpn1rd:100:1importtarget:100:1exporttarget:100:1如圖2所示，攻擊源對ip地址為20.1.1.1的設備進行ddos攻擊(當然，也可能是其它攻擊方式，本發明實施例以此為例)。其中，20.1.1.1的設備位于rtd所在的私有網絡d1中。本發明實施例中，ip地址20.1.1.1是目標數據流的流量特征。私有網絡d1中的流量分析服務器可通過netstream檢測到目的ip20.1.1.1受到ddos攻擊。此時，流量分析服務器可根據攻擊特征生成flowspec路由，并發布給所連接的邊緣設備rtd。其中，該flowspec路由攜帶重定向指示信息，該重定向指示中包含能夠在私有網絡d1中唯一標識接入到流量清洗服務器的第一vpn。例如，flowspec路由可包含如下信息：rule：dest-ip20.1.1.1，dest-port80action：redirectvpn-rd100:1。其中，100:1為第一vpn在私有網絡d1中的rd。或者，flowspec路由可包含如下信息：rule：dest-ip20.1.1.1，dest-port80action：redirectvpn-rnscrubbing-vpn1。其中，scrubbing-vpn1為第一vpn在私有網絡d1中的名稱。本發明實施例的一種實現方式，可將上述重定向的vpn實例的rd映射到flowspec路由的bgp更新(update)消息中的“重定向擴展團體屬性(redirectextendedcommunity)”。目前rfc5575所定義的“redirecttospecificvrf”，支持指定3種類型的目的rt：本發明實施例中，可新申請一個“重定向rd類型值”的類型值，將3種rd分別映射成如下3種形式的重定向rd類型值：重定向rd類型值待分配，比如說可以是0x8308，0x83408，0x8508，等等。重定向rd類型值的一種結構可如下所示：應理解，重定向rd類型值在經過ietf正式分配后，會使用ietf指定的數值。除了type字段有變化(新申請的“重定向rd類型值”類型值)，其它字段沒有變化。當邊緣設備rtd接收到流量分析服務器發布的flowspec路由后，可將該flowspec路由發布給as200的其它邊緣設備rta和rtb。各設備根據flowspec規則，生成流量匹配規則，符合匹配條件的流量被重定向到私有網絡d1，轉發去往流量清洗服務器清洗。例如rta接收到該flowspec路由，根據指定的動作：“action：redirectvpn-rd100:1”，去匹配rta設備中rd為“100:1”的vpn實例。在本發明實施例中，在rta找到了vpn-instancescrubbing-vpn1。因為rd在一個設備上是唯一的，只能屬于一個vpn實例。其攻擊流量引導過程：(1)匹配該flowspec路由描述的流量特征的攻擊流量進入rta后，在rta被引導到vpn-instancescrubbing-vpn1；(2)在這個vpn實例中只有一條缺省路由，下一跳為rtd，因此流量被轉發到rtd；(3)流量到達rtd后，發現只有一條缺省路由指向清洗服務器，因此流量被轉發到了清洗服務器。通過本發明實施例的方法，實現了bgpflowspec精確選擇“目的重定向vpn實例”的目的，準確地將數據流導向對應的vpn實例，在一定程度上對vpn業務進行了優化。圖3是本發明實施例vpn業務優化的另一方法流程圖。圖3的方法由第二網絡設備執行。301，第二網絡設備接收第一網絡設備發布的flowspec路由，該第一網絡設備為該第一網絡設備所在的服務提供商網絡中用于flowspec路由發布的網絡設備，該flowspec路由攜帶目標數據流的流量特征，該flowspec路由還攜帶重定向指示信息，該重定向指示中包含標識信息，該標識信息用于在該第二網絡設備中唯一標識第一vpn實例，該重定向指示信息用于指示將符合該目標數據流的流量特征的數據流重定向至該第一vpn實例中，該第一vpn實例為該第二網絡設備中該目標數據流被重定向后所指向的目標vpn實例。應理解，本發明實施例中，該flowspec路由可以是第一網絡設備(例如，圖2所示的流量分析服務器等)直接發送地，也可以是第一網絡設備通過其它提供商邊緣設備發送的。302，該第二網絡設備分析經過該第二網絡設備的數據流。303，如果經過該第二網絡設備的第一數據流的流量特征包含該目標數據流的流量特征，則該第二網絡設備將該第一數據流重定向到該第一vpn實例。本發明實施例中，第二網絡設備根據flowspec路由中能夠唯一標識第一vpn實例的標識信息，將目標數據流重定向到第一vpn實例，以通過第一vpn實例將該目標數據流導向該目標數據流對應的目標設備，從而能夠準確地將數據流導向對應的vpn實例，避免將目標數據流導向第一vpn實例以外的vpn實例中，在一定程度上對vpn業務進行了優化。可選地，該標識信息為該第一vpn實例的rd或名稱。可選地，該flowspec路由所屬的邊界網關協議bgp更新消息的擴展團體屬性中包括目的rd字段，該目的rd字段的值為該標識信息。可選地，該方法還包括該第二網絡設備將該flowspec路由在該服務提供商網絡中發布。本發明實施例的具體實現可參考圖2所示實施例中rta、rtb和rtd執行的方法，本發明實施例在此不再贅述。圖4是本發明實施例網絡設備400的結構示意圖。網絡設備400用于flowspec路由發布，網絡設備400可包括分析單元401和路由發布單元402。其中，分析單元401，用于對進入網絡設備400所在的網絡的數據流進行分析，以獲取目標數據流的流量特征。路由發布單元402，用于發布flowspec路由，該flowspec路由攜帶重定向指示信息，該重定向指示信息包含標識信息，該標識信息用于在第二網絡設備中唯一標識第一vpn實例，該重定向指示信息用于指示將包含該目標數據流的流量特征的數據流重定向至該第一vpn實例中，該第二網絡設備為該網絡接入的服務提供商網絡的邊緣設備，該第一vpn實例為該第二網絡設備中該目標數據流被重定向后所指向的目標vpn實例。本發明實施例中，網絡設備400發布flowspec路由，該flowspec路由中使用能夠在提供商邊緣設備中唯一標識第一vpn實例的標識信息，使得提供商邊緣設備能夠準確地將目標數據流導向第一vpn實例，以通過第一vpn實例將該目標數據流導向該目標數據流對應的目標設備，避免將目標數據流導向第一vpn實例以外的vpn實例，在一定程度上對vpn業務進行了優化。可選地，該標識信息為第一vpn實例的rd或名稱。此外，網絡設備400還可執行圖1所示實施例第一網絡設備執行的方法，并實現流量清洗服務器在圖2所示實施例的功能，本發明實施例在此不再贅述。圖5是本發明實施例網絡設備500的結構示意圖。網絡設備500用于作為服務提供商網絡的邊緣設備，網絡設備500可包括接收單元501、分析單元502、重定向單元503。其中，接收單元501，用于接收第一網絡設備發布的flowspec路由，該第一網絡設備為該服務提供商網絡中用于flowspec路由發布的網絡設備，該flowspec路由攜帶目標數據流的流量特征，該flowspec路由還攜帶重定向指示信息，該重定向指示中包含標識信息，該標識信息用于在網絡設備500中唯一標識第一vpn實例，該重定向指示信息用于指示將符合該目標數據流的流量特征的數據流重定向至該第一vpn實例中，該第一vpn實例為該網絡設備500中該目標數據流被重定向后所指向的目標vpn實例；分析單元502，用于分析經過網絡設備500的數據流；重定向單元503，用于如果經過網絡設備500的第一數據流的流量特征包含該目標數據流的流量特征，則將該第一數據流重定向到該第一vpn實例。本發明實施例中，提供商邊緣設備500根據flowspec路由中能夠唯一標識第一vpn實例的標識信息，將目標數據流重定向到第一vpn實例，以通過第一vpn實例將該目標數據流導向該目標數據流對應的目標設備，從而能夠準確地將數據流導向對應的vpn實例，避免將目標數據流導向第一vpn實例以外的vpn實例中，在一定程度上對vpn業務進行了優化。可選地，該標識信息為該第一vpn實例的rd或名稱。可選地，該flowspec路由所屬的邊界網關協議bgp更新消息的擴展團體屬性中包括目的rd字段，該目的rd字段的值為該標識信息。可選地，網絡設備500還可包括路由發布單元504，用于將該flowspec路由在該服務提供商網絡中發布。此外，網絡設備500還可執行圖3所示實施例第二網絡設備執行的方法，并實現rta、rtb和rtd在圖2所示實施例的功能，本發明實施例在此不再贅述。圖6是本發明實施例vpn業務優化的再一方法流程圖。圖6的方法由第三網絡設備執行。本發明實施例中，該第三網絡設備可以是控制器等。601，第三網絡設備獲取第四網絡設備發送的第一路由，該第三網絡設備用于vpn路由發布，該第四網絡設備為該第三網絡設備所在的服務提供商網絡的邊緣設備，該第一路由為vpn路由。602，該第三網絡設備根據接入第五網絡設備的第一vpn實例和該第一路由生成第二路由，其中，該第五網絡設備為該服務提供商網絡的另一邊緣設備，該第二路由為vpn路由，該第二路由攜帶標識信息和該第一路由的路由信息，該標識信息用于在該第五網絡設備中唯一標識該第一vpn實例。應理解，在第五網絡設備中，可能同時接入多個vpn實例，第一vpn實例為其中的任意一個vpn實例。603，該第三網絡設備該第二路由發送給該第五網絡設備。本發明實施例中，第三網絡設備根據第四網絡設備的第一路由為第五網絡設備的第一vpn實例建立第二路由，并將該第二路由發送給第五網絡設備，以便第五網絡設備能夠將第二路由加入到第五網絡設備的第一vpn實例的路由表中，從而使得第五網絡設備的第一vpn實例中的數據流能夠順利的訪問第四網絡設備，將數據流準確地導向對應的vpn實例，能夠在一定程度上實現對vpn業務的優化。可選地，該標識信息包括該第一vpn實例的rd或名稱。可選地，該第二路由所屬的bgp更新消息的擴展團體屬性中包括目的rd字段，該目的rd字段的值為該標識信息；或者，該第二路由所屬的bgp更新消息中包括目的rd屬性，該目的rd屬性的值為該標識信息。可選地，該第二路由中還攜帶傳輸策略，該傳輸策略用于指示該第二路由所使用的傳輸隧道。下面，將結合具體的實施例，對本發明實施例的方法作進一步的描述。圖7是本發明實施例vpn路由發布流程圖。圖7中，pe1、pe2和pe3是提供商邊緣設備，p為服務提供商網絡的骨干設備；ce1為站點ce1是site1的ce，ce2是site2的ce，ce3是site3的ce，ce4是site4的ce；pe1是site1和site2的pe，pe2是site3的pe，pe3是site4的pe；site1、site2、site3、site4屬于同一個虛擬專用網絡vpn-a，且pe1、pe2和pe3的vpntarget屬性配置分別如下：pe1：ipvpn-instancevpn1rd:100:1importtarget:100:1exporttarget:100:2ipvpn-instancevpn2rd:100:2importtarget:100:1exporttarget:100:2pe2：ipvpn-instancevpn1rd:100:1importtarget:100:1exporttarget:100:2pe3：ipvpn-instancevpn1rd:100:1importtarget:100:2exporttarget:100:1其中，pe1的vpn實例vpn1與站點site1關聯，pe1的vpn實例vpn1與站點site1關聯；pe2的vpn實例vpn1與站點site3關聯；pe3的vpn實例vpn1與站點site4關聯。從ce1、ce2、ce3發往ce4的數據流如圖7中的虛線箭頭所示。具體流程如下：s71，ce4發布路由給p3。ce4的prefix12.16.2.0/24發布給pe3：prefixnexthop12.16.2.0/24ce4s72，pe3上vpn1私網路由表更新。在pe3上，vpn1私網路由表中存在如下路由：prefixnexthop12.16.2.0/24ce4s73，pe3上的vpnv4路由表更新，并發送給控制器。在pe3上，vpn1私網路由表中的上述路由上送pe3上的vpnv4路由表，分配label：l1，并發往控制器。vpnv4路由表存在如下路由：prefixnexthoplabelrdrt12.16.2.0/24pe3l1100:2100:1s74，控制器得到路由1。在控制器上，可以看到pe3發布的vpnv4路由，稱為路由1：prefixnexthoplabelrdrt12.16.2.0/24pe3l1100:2100:1s75，控制器根據路由1生成路由2和路由3，并發布給pe1。根據控制器上部署的控制策略，控制器基于路由1為pe1上的vpn1生成vpnv4路由2。其中，路由2可攜帶能夠唯一標識vpn1的標識信息，例如，rd或名稱。以rd為例，可將唯一標識vpn1的rd的字段名稱為目的rd。路由2如下：prefixnexthoplabelrdrt目的rd12.16.2.0/24pe3l1100:2100:1100:1同理，控制器基于路由1為pe1上的vpn2生成vpnv4路由3，同時攜帶策略b，例如指定該路由使用te隧道：prefixnexthoplabelrdrt目的rd12.16.2.0/24pe3l1100:2100:1100:2本發明實施例的一種實現方式，可將上述目的rd(即vpnrd)映射到flowspec路由的bgp更新(update)消息中的“目的rd擴展團體屬性”，所述“目的rd擴展團體屬性”是在bgpupdate消息中的擴展團體屬性里新增加的類型和值。目前rfc4364所定義的3種rd的定義如下：本發明實施例中，可在flowspec路由所屬的bgp更新(update)消息中新申請一個“目的rd類型值”的類型值，將3種rd分別映射成如下3種形式的“目的rd擴展團體屬性”：目的rd類型值待分配，比如說可以是0x11等。在經過ietf正式分配后，會使用ietf指定的數值。除了type字段有變化(新申請的“目的rd類型值”類型值)，其它字段沒有變化。該目的rd擴展團體屬性隨同控制器向轉發器下發的vpnv4/vpnv6路由一起發送。或者，本發明實施例的另一種實現方式，可通過在flowspec路由的bgp更新(update)消息中新增目的rd屬性(destinationrdattribute)來表示上述目的rd。在該目的rd屬性中，其屬性值封裝的是一個或多個rd，每個rd前增加目的as和目的lsrid，rd的定義同rfc4364，未修改。目的rd屬性的value部分定義如下：destinationas：目的asdestinationlsrid：目的lsriddestinationrd：目的rd該目的rd屬性隨同控制器向轉發器下發的vpnv4/vpnv6路由一起發送。當然，應理解，在實際的應用中，可能不叫“目的rd擴展團體屬性”或“目的rd屬性”，而是另取其它屬性名稱，本發明實施例在此不作限制。控制器將生成的路由2發布給pe1，并將生成的路由3發布給pe1。s76，pe1根據路由分配vpn實例。pe1接收到路由2，根據路由2所攜帶的目的rd100:1，找到rd100:1屬于vpn實例vpn1，將該路由2添加到到vpn實例vpn1的路由表中；同時根據路由2所攜帶的策略a，在pe1的vpn實例vpn1的數據流訪問的目的前綴是12.16.2.0/24時將使用gre隧道。pe1接收到路由3，根據路由3所攜帶的目的rd100:2，找到rd100:2屬于vpn實例vpn2，將該路由3添加到vpn實例vpn2的路由表中；同時根據路由2所攜帶的策略a，在pe1的vpn實例vpn2的數據流訪問的目的前綴是12.16.2.0/24時將使用gre隧道。圖8是本發明實施例vpn路由發布流程圖。圖8所示的場景為vpn實例跨域訪問的場景。圖8中，運營商1的自治系統as1中，p為服務提供商網絡的骨干設備，pe1、pe2和absr1是提供商邊緣設備，且absr1為as1中與另一區域(運營商2的自治系統as2)相鄰的提供商邊緣設備；ce1為站點ce1是site1的ce，ce2是site2的ce，ce3是site3的ce；pe1是site1和site2的pe，pe2是site3的pe。運營商2的自治系統as2中，pe3和absr2是提供商邊緣設備，且absr2為as2中與另一區域(運營商1的自治系統as1)相鄰的提供商邊緣設備；ce4是site4的ce；pe3是site4的pe。site1、site2、site3、site4屬于同一個虛擬專用網絡vpn-a。其中，pe1的vpn實例vpn1與站點site1關聯，pe1的vpn實例vpn1與站點site1關聯；pe2的vpn實例vpn1與站點site3關聯；pe3的vpn實例vpn1與站點site4關聯。pe1、pe2和pe3的vpntarget屬性配置分別如下：pe1：ipvpn-instancevpn1rd:100:1importtarget:100:1exporttarget:100:2ipvpn-instancevpn2rd:100:2importtarget:100:1exporttarget:100:2pe2：ipvpn-instancevpn1rd:100:1importtarget:100:1exporttarget:100:2pe3：ipvpn-instancevpn1rd:100:1importtarget:100:2exporttarget:100:1具體流程如下：s81，ce4發布路由給p3。ce4的prefix12.16.2.0/24發布給pe3：prefixnexthop12.16.2.0/24ce4s82，pe3上vpn1私網路由表更新。在pe3上，vpn1私網路由表中存在如下路由：prefixnexthop12.16.2.0/24ce4s83，pe3上的vpnv4路由表更新，并發送給asbr2。在pe3上，vpn1私網路由表中的上述路由上送pe3上的vpnv4路由表，分配label：l1，并發往asbr2。vpnv4路由表存在如下路由：prefixnexthoplabelrdrt12.16.2.0/24pe3l1100:2100:1s84，asbr2上vpnv4路由表更新，并發送給asbr1。在asbr2上，接收到s83步驟發送過來的路由后，保存該路由并生成新的vpnv4路由：其中的下一跳信息為asbr2；同時在asbr2上為新的vpnv4路由分配label：l2，新的vpnv4路由發往asbr1：prefixnexthoplabelrdrt12.16.2.0/24asbr2l2100:2100:1s85，asbr1上vpnv4路由表更新，并發送給控制器。在asbr1上，接收到上述asbr2發送過來的路由后，保存該路由并生成新的vpnv4路由：其中的下一跳信息為asbr1；同時在asbr1上為新的vpnv4路由分配label：l3，新的vpnv4路由發往控制器：prefixnexthoplabelrdrt12.16.2.0/24asbr1l3100:2100:1s86，控制器得到路由1。在控制器上，可以看到pe3發布的vpnv4路由，稱為路由1：prefixnexthoplabelrdrt12.16.2.0/24asbr1l3100:2100:1s87，控制器根據路由1生成路由2和路由3，并發布給pe1。根據控制器上部署的控制策略，控制器基于路由1為pe1上的vpn1生成vpnv4路由2。其中，路由2可攜帶能夠唯一標識vpn1的標識信息，例如，rd或名稱。以rd為例，可將唯一標識vpn1的rd的字段名稱為目的rd。路由2如下：prefixnexthoplabelrdrt目的rd12.16.2.0/24asbr1l3100:2100:1100:1同理，控制器基于路由1為pe1上的vpn2生成vpnv4路由3，同時攜帶策略b，例如指定該路由使用te隧道：prefixnexthoplabelrdrt目的rd12.16.2.0/24asbr1l3100:2100:1100:2承載目的rd字段的具體實現方式可參考圖7所示實施例的步驟s75，本發明實施例在此不再贅述。控制器將生成的路由2發布給pe1，并將生成的路由3發布給pe1。s88，pe1根據路由分配vpn實例。pe1接收到路由2，根據路由2所攜帶的目的rd100:1，找到rd100:1屬于vpn實例vpn1，將該路由2添加到vpn實例vpn1的路由表中；同時根據路由2所攜帶的策略a，在pe1的vpn實例vpn1的數據流訪問的目的前綴是12.16.2.0/24時將使用gre隧道。pe1接收到路由3，根據路由3所攜帶的目的rd100:2，找到rd100:2屬于vpn實例vpn2，將該路由3添加到vpn實例vpn2的路由表中；同時根據路由3所攜帶的策略a，在pe1的vpn實例vpn2數據流訪問的目的前綴是12.16.2.0/24時將使用gre隧道。圖9是本發明實施例vpn業務優化的再一方法流程圖。圖9的方法由第五網絡設備執行。901,第五網絡設備接收第三網絡設備發送的第二路由，該第五網絡設備是該第五網絡設備所在的服務提供商網絡的邊緣設備，該第三網絡設備是該服務提供商網絡中用于vpn路由發布的網絡設備，該第二路由攜帶第四網絡設備向該第三網絡設備發送的第一路由的信息，該第四網絡設備為該服務提供商網絡的另一邊緣設備，該第二路由還攜帶標識信息，該標識信息用于在該第五網絡設備中唯一標識接入該第五網絡設備的第一vpn實例，該第一路由和該第二路由都為vpn路由。902，該第五網絡設備將該第二路由添加到該第一vpn實例的路由表上。本發明實施例中，第五網絡設備根據第二路由中能夠唯一標識第一vpn實例的標識信息和第四網絡設備的路由信息，將該第二路由加入到第一vpn實例的路由表中，從而使得第一vpn實例中的數據流能夠順利的訪問第一pe，將數據流準確地導向對應的vpn實例，能夠在一定程度上實現對vpn業務的優化。可選地，該標識信息包括該第一vpn實例的rd或名稱。可選地，該第二路由所屬的bgp更新消息的擴展團體屬性中包括目的rd字段，該目的rd字段的值為該標識信息；或者，該第二路由所屬的bgp更新消息中包括rd屬性，該目的rd屬性的值為該標識信息。可選地，該第二路由中還攜帶傳輸策略，該傳輸策略用于指示該第五網絡設備在該第一vpn實例通過該第二路由訪問該第四網絡設備所使用的傳輸隧道；該方法還包括：如果該第五網絡設備在該第一vpn實例上的數據流通過該第二路由訪問該第四網絡設備，則使用該傳輸隧道傳輸。本發明實施例的具體實現可參考圖8所示實施例中pe1和pe3執行的方法，或圖9所示實施例中absr1和pe1執行的方法，本發明實施例在此不再贅述。圖10是本發明實施例網絡設備1000的結構示意圖。網絡設備1000可包括：獲取單元1001，用于獲取第四網絡設備發送的第一路由，該第四網絡設備為網絡設備1000所在的服務提供商網絡的邊緣設備，該第一路由為vpn路由；處理單元1002，用于根據接入第五網絡設備的第一vpn實例和該第一路由生成第二路由，其中，該第五網絡設備為該服務提供商網絡的另一邊緣設備，該第二路由為vpn路由，該第二路由攜帶標識信息和該第一路由的路由信息，該標識信息用于在該第五網絡設備中唯一標識該第一vpn實例；路由發布單元1003，用于將該第二路由發送給該第五網絡設備。本發明實施例中，網絡設備100根據第四網絡設備的第一路由為第五網絡設備的第一vpn實例建立第二路由，并將該第二路由發送給第五網絡設備，以便第五網絡設備能夠將第二路由加入到第五網絡設備的第一vpn實例的路由表中，從而使得第五網絡設備的第一vpn實例中的數據流能夠順利的訪問第四網絡設備，將數據流準確地導向對應的vpn實例，能夠在一定程度上實現對vpn業務的優化。可選地，該能標識信息包括該第一vpn實例的rd或名稱。可選地，該第二路由所屬的bgp更新消息的擴展團體屬性中包括目的rd字段，該目的rd字段的值為該標識信息；或者，該第二路由所屬的bgp更新消息中包括目的rd屬性，該目的rd屬性的值為該標識信息。可選地，該第二路由中還攜帶傳輸策略，該傳輸策略用于指示該第二路由所使用的傳輸隧道。網絡設備1000還可執行圖6所示實施例第三網絡設備執行的方法，并實現控制器在圖7、圖8所示實施例的功能，本發明實施例在此不再贅述。圖11是本發明實施例網絡設備1100的結構示意圖。網絡設備1100用于作為服務提供商網絡的邊緣設備，網絡設備1100可包括：接收單元1101和路由管理單元1102。接收單元1101，用于接收第三網絡設備發送的第二路由，該第三網絡設備為該服務提供商網絡中用于vpn路由發布的網絡設備，該第二路由攜帶第四網絡設備向該第三網絡設備發送的第一路由的信息，該第四網絡設備為該服務提供商網絡的另一邊緣設備，該第二路由還攜帶標識信息，該標識信息用于在網絡設備1000中唯一標識接入網絡設備1000的第一vpn實例，該第一路由和該第二路由都為vpn路由；路由管理單元1102，用于將該第二路由添加到該第一vpn實例的路由表上。本發明實施例中，網絡設備1100根據第二路由中能夠唯一標識第一vpn實例的標識信息和第四網絡設備的路由信息，將該第二由加入到第一vpn實例的路由表中，從而使得第一vpn實例中的數據流能夠順利的訪問第一pe，將數據流準確地導向對應的vpn實例，能夠在一定程度上實現對vpn業務的優化。可選地，該標識信息包括該第一vpn實例的rd或名稱。可選地，該第二路由中還攜帶傳輸策略，該傳輸策略用于指示在該第一vpn實例通過該第二路由訪問該第四網絡設備所使用的傳輸隧道；該路由管理單元1102還用于當網絡設備1000在該第一vpn實例上的數據流通過該第二路由訪問該第四網絡設備時使用該傳輸隧道傳輸。網絡設備1100還可執行圖9所示實施例第五網絡設備執行的方法，并實現圖7所示實施例中pe1和pe3的功能，或圖8所示實施例中absr1和pe1的功能，本發明實施例在此不再贅述。本發明實施例還提出了一種網絡設備1。網絡設備1的實體裝置結構示意圖可如圖12所示，包括處理器1202、存儲器1203、發送器1201和接收器1204。接收器1204、發送器1201、處理器1202和存儲器1203通過總線1205系統相互連接。總線1205可以是isa總線、pci總線或eisa總線等。所述總線可以分為地址總線、數據總線、控制總線等。為便于表示，圖12中僅用一個雙向箭頭表示，但并不表示僅有一根總線或一種類型的總線。存儲器1203，用于存放程序。具體地，程序可以包括程序代碼，所述程序代碼包括計算機操作指令。存儲器1203可以包括只讀存儲器和隨機存取存儲器，并向處理器1202提供指令和數據。存儲器1203可能包含高速ram存儲器，也可能還包括非易失性存儲器(non-volatilememory)，例如至少1個磁盤存儲器。處理器1202，執行存儲器1203所存放的程序。具體地，在網絡設備1中，處理器1202可用于執行圖1所示實施例第一網絡設備執行的方法，并實現流量清洗服務器在圖2所示實施例的功能。處理器1202可能是一種集成電路芯片，具有信號的處理能力。在實現過程中，上述方法的各步驟可以通過處理器1202中的硬件的集成邏輯電路或者軟件形式的指令完成。上述的處理器1202可以是通用處理器，包括中央處理器(centralprocessingunit，簡稱cpu)、網絡處理器(networkprocessor，簡稱np)等；還可以是數字信號處理器(dsp)、專用集成電路(asic)、現成可編程門陣列(fpga)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件。可以實現或者執行本發明實施例中的公開的各方法、步驟及邏輯框圖。通用處理器可以是微處理器或者該處理器也可以是任何常規的處理器等。結合本發明實施例所公開的方法的步驟可以直接體現為硬件譯碼處理器執行完成，或者用譯碼處理器中的硬件及軟件模塊組合執行完成。軟件模塊可以位于隨機存儲器，閃存、只讀存儲器，可編程只讀存儲器或者電可擦寫可編程存儲器、寄存器等本領域成熟的存儲介質中。該存儲介質位于存儲器1203，處理器1202讀取存儲器1203中的信息，結合其硬件完成上述方法的步驟。本發明實施例還提出了一種網絡設備2，其實體裝置結構示意圖可如圖12所示，其所包含的實體單元與網絡設備1類似，不再贅述。具體地，在網絡設備2中，處理器1202可用于執行圖3所示實施例第二網絡設備執行的方法，并實現rta、rtb和rtd在圖2所示實施例的功能。本發明實施例還提出了一種網絡設備3，其實體裝置結構示意圖可如圖12所示，其所包含的實體單元與網絡設備1類似，不再贅述。具體地，在網絡設備3中，處理器1202可用于執行圖6所示實施例第三網絡設備執行的方法，并實現控制器在圖7、圖8所示實施例的功能。本發明實施例還提出了一種網絡設備4，其實體裝置結構示意圖可如圖12所示，其所包含的實體單元與網絡設備1類似，不再贅述。具體地，在網絡設備4中，處理器1202可用于執行圖9所示實施例第五網絡設備執行的方法，并實現圖7所示實施例中pe1和pe3的功能，或圖8所示實施例中absr1和pe1的功能。本發明實施例還提出了一種計算機可讀存儲介質1，該計算機可讀存儲介質存儲一個或多個程序，該一個或多個程序包括指令，該指令當被包括多個應用程序的便攜式電子設備執行時，能夠使該便攜式電子設備執行圖1所示實施例第一網絡設備執行的方法。本發明實施例還提出了一種計算機可讀存儲介質2，該計算機可讀存儲介質存儲一個或多個程序，該一個或多個程序包括指令，該指令當被包括多個應用程序的便攜式電子設備執行時，能夠使該便攜式電子設備執行圖3所示實施例第二網絡設備執行的方法。本發明實施例還提出了一種計算機可讀存儲介質3，該計算機可讀存儲介質存儲一個或多個程序，該一個或多個程序包括指令，該指令當被包括多個應用程序的便攜式電子設備執行時，能夠使該便攜式電子設備執行圖6所示實施例第三網絡設備執行的方法。本發明實施例還提出了一種計算機可讀存儲介質4，該計算機可讀存儲介質存儲一個或多個程序，該一個或多個程序包括指令，該指令當被包括多個應用程序的便攜式電子設備執行時，能夠使該便攜式電子設備執行圖9所示實施例第五網絡設備執行的方法。圖13是本發明實施例網絡系統1300的系統框圖。如圖13所示，網絡系統1300可包括網絡設備1301和網絡設備1302。其中，網絡設備1301可以是圖4所示實施例的網絡設備400，或前文所述的網絡設備1，網絡設備1302可以是圖5所示實施例的網絡設備500，或前文所述的網絡設備2。圖14是本發明實施例網絡系統1400的系統框圖。如圖14所示，網絡系統1400可包括網絡設備1401和網絡設備1402。其中，網絡設備1401可以是圖10所示實施例的網絡設備1000，或前文所述的網絡設備3，網絡設備1402可以是圖11所示實施例的網絡設備1100，或前文所述的網絡設備4。本領域普通技術人員可以意識到，結合本文中所公開的實施例描述的各示例的單元及算法步驟，能夠以電子硬件、或者計算機軟件和電子硬件的結合來實現。這些功能究竟以硬件還是軟件方式來執行，取決于技術方案的特定應用和設計約束條件。專業技術人員可以對每個特定的應用來使用不同方法來實現所描述的功能，但是這種實現不應認為超出本發明的范圍。所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統、裝置和單元的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。在本申請所提供的幾個實施例中，應該理解到，所揭露的系統、裝置和方法，可以通過其它的方式實現。例如，以上所描述的裝置實施例僅僅是示意性的，例如，所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現時可以有另外的劃分方式，例如多個單元或組件可以結合或者可以集成到另一個系統，或一些特征可以忽略，或不執行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。另外，在本發明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。所述功能如果以軟件功能單元的形式實現并作為獨立的產品銷售或使用時，可以存儲在一個計算機可讀取存儲介質中。基于這樣的理解，本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的部分可以以軟件產品的形式體現出來，該計算機軟件產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，服務器，或者網絡設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括：u盤、移動硬盤、只讀存儲器(rom，read-onlymemory)、隨機存取存儲器(ram，randomaccessmemory)、磁碟或者光盤等各種可以存儲程序代碼的介質。以上所述，僅為本發明的具體實施方式，但本發明的保護范圍并不局限于此，任何熟悉本
技術領域：
：的技術人員在本發明揭露的技術范圍內，可輕易想到變化或替換，都應涵蓋在本發明的保護范圍之內。因此，本發明的保護范圍應所述以權利要求的保護范圍為準。當前第1頁12當前第1頁12