CN109922090A - 流量转发方法、装置、电子设备及机器可读存储介质 - Google Patents
流量转发方法、装置、电子设备及机器可读存储介质 Download PDFInfo
- Publication number
- CN109922090A CN109922090A CN201910354574.1A CN201910354574A CN109922090A CN 109922090 A CN109922090 A CN 109922090A CN 201910354574 A CN201910354574 A CN 201910354574A CN 109922090 A CN109922090 A CN 109922090A
- Authority
- CN
- China
- Prior art keywords
- port
- equipment
- target flow
- network
- vlan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种流量转发方法、装置、电子设备及机器可读存储介质。在本申请中,基于所述网络设备的属于第一VLAN的第一端口,获取进入所述网络设备的目标流量;将所述目标流量经属于第一VLAN的第二端口转发至所述入侵防御设备的入端口;基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量;将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络。实现了即使在旁路方式组网下,对恶意网络流量也能防御及阻断。
Description
技术领域
本申请涉及通信以及安全技术领域,尤其涉及流量转发方法、装置、电子设备及机器可读存储介质。
背景技术
网络安全技术,是指任何保护的网络,以及网络中设备、数据的可用性和完整性的技术;其中,网络安全技术可以包括基于硬件和软件的安全技术。基于不同的网络安全策略以及组网部署,可以对网络中的报文流量执行对应不同的安全处理。
例如:网络安全设备发现网络中的存在恶意流量的威胁,则针对该威胁,阻止此流量进入网络或在网络中传播。
发明内容
本申请提供一种流量转发方法,所述方法应用于入侵防御系统中的网络设备,所述入侵防御系统还包括入侵防御设备,其中,所述网络设备与所述入侵防御设备通过旁路方式相连通信,所述方法包括:
基于所述网络设备的属于第一VLAN的第一端口,获取进入所述网络设备的目标流量;
将所述目标流量经属于第一VLAN的第二端口转发至所述入侵防御设备的入端口;
基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量;
将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络。
可选的,所述基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量,包括:
基于数据链路层协议以及所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。
可选的,所述基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量,包括:
基于网络层协议以及所述第二VLAN对应的VLAN虚接口地址,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。
可选的,当所述入侵防御设备发送故障时,所述将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络,还包括:
将所述第一端口从所述第一VLAN中删除;
将所述第一端口加入到所述第二VLAN中;
基于所述第一端口,将所述目标流量,转发至所述目标流量对应的目标网络。
本申请还提供一种流量转发装置,所述装置应用于入侵防御系统中的网络设备,所述入侵防御系统还包括入侵防御设备,其中,所述网络设备与所述入侵防御设备通过旁路方式相连通信,所述装置包括:
接收模块,基于所述网络设备的属于第一VLAN的第一端口,获取进入所述网络设备的目标流量;
转发模块,将所述目标流量经属于第一VLAN的第二端口转发至所述入侵防御设备的入端口;
所述接收模块进一步,基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量;
所述转发模块进一步,将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络。
可选的,所述接收模块进一步:
基于数据链路层协议以及所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。
可选的,所述接收模块进一步:
基于网络层协议以及所述第二VLAN对应的VLAN虚接口地址,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。
可选的,当所述入侵防御设备发送故障时,所述转发模块进一步:
将所述第一端口从所述第一VLAN中删除;
将所述第一端口加入到所述第二VLAN中;
基于所述第一端口,将所述目标流量,转发至所述目标流量对应的目标网络。
本申请还提供一种电子设备,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行上述的方法。
本申请还提供一种机器可读存储介质,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,实现上述方法。
通过以上实施例,由于网络设备与入侵防御设备通过旁路方式相连组成入侵防御系统,由网络设备基于不同VLAN以及属于不同VLAN的端口,将网络流量转发至所述入侵防御设备,并获取经由所述入侵防御设备安全处理后的网络流量,将其转发至对应目的;因此,实现了即使在旁路方式组网下,对恶意网络流量也能防御及阻断。
附图说明
图1是一示例性实施例提供的一种入侵防御系统的组网图;
图2是一示例性实施例提供的一种流量转发方法的流程图;
图3是一示例性实施例提供的另一种入侵防御系统的组网图;
图4是一示例性实施例提供的一种流量转发装置的框图;
图5是一示例性实施例提供的一种电子设备的硬件结构图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了使本技术领域的人员更好地理解本申请实施例中的技术方案,下面先对本申请实施例涉及的流量转发的相关技术,进行简要说明。
请参见图1,图1是本说明书一实施例提供的一种入侵防御系统的组网图。
如图1所示的入侵防御系统组网,包括:网络设备、入侵防御设备、私网、公网;其中,私网中设备经过网络设备以及入侵防御设备与公网中的设备进行通信。
例如:私网中的设备将要发送到公网的目标流量,经过网络设备转发至入侵防御设备;再由入侵防御设备进行安全处理后,转发至目标流量对应的公网中的设备。
又例如:公网中的设备将要发送到私网的目标流量,经过入侵防御设备进行安全处理后;再由经过入侵防御设备转发至网络设备;转发至目标流量对应的私网中的设备。
如图1所示的入侵防御系统组网,网络设备与入侵防御设备的连接方式为串联方式。也即目标流量是一定经过入侵防御设备的,所以入侵防御设备可以对该目标流量执行安全处理。
例如:入侵防御设备可以对恶意的目标流量执行阻断;而对正常的目标流量允许通过。
而本申请旨在提出一种,基于网络设备与入侵防御设备旁路连接的组网,网络设备通过对目标流量对应的出入端口以及对应VLAN执行控制,从而实现对由入侵防御设备执行安全处理后的目标流量进行转发的技术方案。
在实现时,网络设备与入侵防御设备通过旁路方式相连通信;网络设备基于所述网络设备的属于第一VLAN的第一端口,获取进入所述网络设备的目标流量;将所述目标流量经属于第一VLAN的第二端口转发至所述入侵防御设备的入端口;基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量;将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络。
进一步的,当入侵防御设备发送故障时,网络设备将所述第一端口从所述第一VLAN中删除;将所述第一端口加入到所述第二VLAN中;基于所述第一端口,将所述目标流量,转发至所述目标流量对应的目标网络。
在以上方案中,由于网络设备与入侵防御设备通过旁路方式相连组成入侵防御系统,由网络设备基于不同VLAN以及属于不同VLAN的端口,将网络流量转发至所述入侵防御设备,并获取经由所述入侵防御设备安全处理后的网络流量,将其转发至对应目的;因此,实现了即使在旁路方式组网下,对恶意网络流量也能防御及阻断。
下面通过具体实施例并结合具体的应用场景对本申请进行描述。
请参考图2,图2是本申请一实施例提供的一种流量转发方法的流程图,所述方法应用于入侵防御系统中的网络设备,所述入侵防御系统还包括入侵防御设备,其中,所述网络设备与所述入侵防御设备通过旁路方式相连通信,上述方法执行以下步骤:
步骤202、基于所述网络设备的属于第一VLAN的第一端口,获取进入所述网络设备的目标流量。
步骤204、将所述目标流量经属于第一VLAN的第二端口转发至所述入侵防御设备的入端口。
步骤206、基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。
步骤208、将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络。
在本说明书中,上述网络设备,是指任何具有三层网络报文转发、路由功能的设备;
其中,上述网络设备工作在OSI(Open System Interconnection,开放系统互联)网络标准模型的第三层:网络层。
例如:上述网络设备为三层交换机,其最重要目的是加快大型局域网内部的数据交换,所具有的路由功能也是为这目的服务的。三层交换机能够做到一次路由,多次转发。对于数据包转发等规律性的过程由硬件高速实现,而像路由信息更新、路由表维护、路由计算、路由确定等功能,由软件实现。总之,三层交换机的转发技术就是:二层交换技术+三层转发技术。
在本说明书中,上述入侵防御设备,是指支持通过对报文的检测,实现防御的任何网络设备。
在实现时,上述入侵防御设备检查经过其转发的报文,确定该报文的真正用途,然后决定是否允许其进入网络。
例如:上述入侵防御设备可以是防火墙、交换机等。
请参见图3,图3是一实施例提供的另一种入侵防御系统的组网图。
图3与图1所示的组网中所包括设备相同,网络拓扑不同,区别在于:图3所示的网络设备与入侵防御设备是旁路连接方式,也即从公私网之间的网络流量,可以不经过入侵防御设备。
如图3所示,入侵防御设备还包括:网络流量进出的一对端口F1、F2;网络设备还包括:与私网连接的端口P1、与入侵防御设备端口F1连接的端口P2、与入侵防御设备端口F1连接的端口P3、与公网连接的端口P4。
在本说明书中,上述目标流量,是指从进入上述网络设备,并经上述网络设备转发至上述入侵防御设备的网络流量。
例如:上述目标流量可以是如图3所示的从私网进入上述网络设备,将要转发公网的网络流量。
又例如:上述目标流量可以是如图3所示的从公网进入上述网络设备,将要转发私网的网络流量。
基于如图3所示的组网,以下通过具体的实施例,并结合“正常下流量转发”、“异常下流量转发”,对本申请的涉及的技术方案进行详细描述:
1)正常下流量转发
为了方便理解,先介绍下VLAN(Virtual Local Area Network,虚拟局域网)相关概念。
VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的网络技术。基于VLAN,可以将一个物理的LAN(Local Area Network,局域网)逻辑上划分成不同的广播域(VLAN),每一个VLAN都包含一组有着相同需求的设备,与物理上形成的LAN有着相同的属性。但基于VLAN是逻辑上而不是物理上划分,所以同一个VLAN内的各个设备无须被放置在同一个物理空间里,即这些设备不一定属于同一个物理LAN网段。
需要说明的是,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
为了方便理解,后续以上述目标流量为如图3所示的从私网进入上述网络设备将要转发公网的网络流量,进行举例和说明。
在本说明中,上述第一VLAN,是指上述网络设备上的一个VLAN;上述第二VLAN,是指上述网络设备上的另一个VLAN;也即,属于上述第二VLAN的端口,与属于上述第一VLAN的端口,是网络流量隔离的。
例如:上述第一VLAN为VLAN10、上述第二VLAN为VLAN20。请参见图3所示,上述网络设备的属于VLAN10的第一端口为P1、属于VLAN10的第二端口为P2;上述网络设备的属于VLAN20的第三端口为P3;由于P1与P2都属于同一VLAN,即都属于VLAN10,网络流量是相通的;而P3属于VLAN20,与P1、P2是网络隔离的、网络流量无法相通。
在本说明中,上述网络设备,基于上述网络设备的属于第一VLAN的第一端口,获取进入上述网络设备的目标流量。
以上述示例继续举例,上述网络设备基于属于VLAN10的端口P1,获取上述目标流量。
在本说明中,在上述网络设备获取上述目标流量后,将上述目标流量经属于第一VLAN的第二端口转发至所述入侵防御设备的入端口。
以上述示例继续举例,上述网络设备基于属于VLAN10的端口P2,将上述目标流量转发至上述入侵防御设备的端口F1。
在本说明中,上述入侵防御设备在获取将上述目标流量后,可以对上述目标流量进行安全处理。
例如:上述入侵防御设备可以对恶意的上述目标流量执行阻断;而对正常的上述目标流量允许通过。
在本说明中,上述入侵防御设备在对上述目标流量进行安全处理后,将经过安全处理的目标流量,经与上述入侵防御设备的上述入端口对应的出端口,转发给上述网络设备。
例如:请参见图3所示,上述入侵防御设备在对上述目标流量进行安全处理后,将经过安全处理的目标流量,经上述入侵防御设备的出端口F2,转发给上述网络设备。
需要说明的是,上述入侵防御设备的入端口和出端口是成对的,比如:上述入侵防御设备的出端口F2与上述入侵防御设备的入端口F1。
在本说明书中,上述网络设备,基于上述网络设备的属于第二VLAN的第三端口,接收来自上述入侵防御设备的、与上述入端口对应的出端口的经过安全处理的目标流量。
例如:请参见图3所示,上述网络设备,基于上述网络设备的属于VLAN20的端口P3,接收来自上述入侵防御设备的出端口F2的经过安全处理的目标流量。
在示出的一种实施方式中,上述网络设备,基于数据链路层协议以及,上述网络设备的属于第二VLAN的第三端口,接收来自,上述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量;
在实现时,上述数据链路层协议可以包括MAC(Media Access Control,介质访问控制层)协议。
例如:请参见图3所示,上述网络设备基于MAC协议,以及基于上述网络设备的属于VLAN20的端口P3,在OSI二层上,接收来自上述入侵防御设备的出端口F2的经过安全处理的目标流量。
在示出的另一种实施方式中,上述网络设备,基于网络层协议以及上述第二VLAN对应的VLAN虚接口地址,接收来自上述入侵防御设备的、与上述入端口对应的出端口的经过安全处理的目标流量。
在实现时,上述网络层协议协议可以包括IP协议。上述网络设备,可以通过基于上述第二VLAN,并创建与上述第二VLAN对应的VLAN虚接口地址;其中,该VLAN虚接口地址为接收上述经过安全处理的目标流量的网关地址。
例如:请参见图3所示,上述第二VLAN为VLAN20,上述网络设备创建VLAN20对应的VLAN虚接口地址为10.22.0.1/24。该VLAN虚接口地址为接收上述经过安全处理的目标流量的网关地址。
基于IP协议,上述网络设备在VLAN20虚接口地址为10.22.0.1/24以及基于上述网络设备的属于VLAN20的端口P3,在OSI三层上,接收来自上述入侵防御设备的出端口F2的经过安全处理的目标流量。
在本说明中,上述网络设备在获取来自上述入侵防御设备的经过安全处理的目标流量后,将上述经过安全处理的目标流量,转发至上述目标流量对应的目标网络。
例如:请参见图3所示,上述网络设备在获取来自上述入侵防御设备的经过安全处理的目标流量后,将上述经过安全处理的目标流量,经上述网络设备的端口P4,转发至上述目标流量对应的目标网络。
基于以上,由上述网络设备对目标流量控制转发至上述入侵防御设备,并经由上述入侵防御设备进行安全处理,从而实现了即使在旁路方式组网下,对恶意网络流量也能防御及阻断,也即在在旁路方式组网达到了如图1所示的串联组网方式下的网络安全效果。
2)异常下流量转发
在本说明书中,上述网络设备在执行如“正常下流量转发”所描述过程中,上述入侵防御设备可能发生异常,从而导致上述目标流量无法被上述入侵防御设备安全处理,并且无法被转发至上述目标流量对应的目标网络。
例如:请参见图3所示,若网络设备的端口P2与上述入侵防御设备的入端口F1发生中断,或者上述入侵防御设备宕机时,则上述目标流量无法被上述入侵防御设备安全处理,并且无法被转发至上述目标流量对应的目标网络。
在示出的一种实施方式中,当上述入侵防御设备发送故障时,上述网络设备将上述第一端口从上述第一VLAN中删除;将上述第一端口加入到上述第二VLAN中;基于上述第一端口,将上述目标流量,转发至所述目标流量对应的目标网络。
在实现时,基于上述第一端口接收到上述目标流量后,上述网络设备可以基于与上述第一端口在上述第二VLAN中的其它端口,将上述目标流量,转发至上述目标流量对应的目标网络。
例如:请参见图3所示,上述第一VLAN为VLAN10、上述第二VLAN为VLAN20。请参见图3所示,上述网络设备的属于VLAN10的第一端口为P1、属于VLAN10的第二端口为P2;上述网络设备的属于VLAN20的第三端口为P3。若网络设备的端口P2与上述入侵防御设备的入端口F1之间的链路发生中断,或者上述入侵防御设备宕机时,则上述目标流量无法被上述入侵防御设备安全处理,并且无法被转发至上述目标流量对应的目标网络。上述网络设备将端口P1从VLAN10中删除;将端口P1加入到VLAN20中;经端口P4也属于VLAN20,基于端口P1,将上述目标流量,经端口P4转发至上述目标流量对应的目标网络。
除了上述实现外,基于上述第一端口接收到上述目标流量后,上述网络设备可以通过查找路由表,寻找上述目标流量到上述目标网络的路由,找到在上述网络设备上对应的出端口(例如:端口P4),从而将上述目标流量转发至对应的上述目标网络。
例如:上述网络设备将端口P1从VLAN10中删除;将端口P1加入到VLAN20中;端口P4属于VLAN30,VLAN30对应的虚接口地址为192.168.0.1/24。基于端口P1接收到上述目标流量后,通过查找路由表,将上述目标流量从VLAN20虚接口地址10.22.0.1/24,转发至VLAN30虚接口地址192.168.0.1/24,以及经由属于VLAN30的端口P4转发至上述目标流量对应的目标网络。
当上述网络设备与上述入侵防御设备在旁路方式组网下,即使当上述入侵防御设备发生异常故障,基于以上异常下流量转发处理过程,上述网络设备依然可以保证上述目标流量快速切换到正常的链路,从而避免业务中断。
在以上技术方案中,由于网络设备与入侵防御设备通过旁路方式相连组成入侵防御系统,由网络设备基于不同VLAN以及属于不同VLAN的端口,将网络流量转发至所述入侵防御设备,并获取经由所述入侵防御设备安全处理后的网络流量,将其转发至对应目的;因此,实现了即使在旁路方式组网下,对恶意网络流量也能防御及阻断。
图4是本申请一示例性实施例提供的一种流量转发装置的框图。与上述方法实施例相对应,本申请还提供了一种流量转发装置的实施例,所述装置应用于入侵防御系统中的网络设备,所述入侵防御系统还包括入侵防御设备,其中,所述网络设备与所述入侵防御设备通过旁路方式相连通信,请参考图4所示例的一种流量转发装置40,所述装置包括:
接收模块401,基于所述网络设备的属于第一VLAN的第一端口,获取进入所述网络设备的目标流量;
转发模块402,将所述目标流量经属于第一VLAN的第二端口转发至所述入侵防御设备的入端口;
所述接收模块401进一步,基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量;
所述转发模块402进一步,将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络。
在本实施例中,所述接收模块401进一步:
基于数据链路层协议以及所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。
在本实施例中,所述接收模块401进一步:
基于网络层协议以及所述第二VLAN对应的VLAN虚接口地址,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。
在本实施例中,当所述入侵防御设备发送故障时,所述转发模块402进一步:
将所述第一端口从所述第一VLAN中删除;
将所述第一端口加入到所述第二VLAN中;
基于所述第一端口,将所述目标流量,转发至所述目标流量对应的目标网络。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
上述实施例阐明的系统、装置、模块或模块,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
本申请的流量转发装置的实施例可以应用在图5所示的电子设备上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在电子设备的处理器将机器可读存储介质中对应的计算机程序指令读取后运行形成的机器可执行指令。从硬件层面而言,如图5所示,为本申请的流量转发装置所在电子设备的一种硬件结构图,除了图5所示的处理器、通信接口、总线以及机器可读存储介质之外,实施例中装置所在的电子设备通常根据该电子设备的实际功能,还可以包括其他硬件,对此不再赘述。
对应地,本申请实施例还提供了图4所示装置的一种电子设备的硬件结构,请参见图5,图5为本申请实施例提供的一种电子设备的硬件结构示意图。该设备包含:通信接口501、处理器502、机器可读存储介质503和总线504;其中,通信接口501、处理器502、机器可读存储介质503通过总线504完成相互间的通信。其中,通信接口501,用于进行网络通信。处理器502可以是一个中央处理器(CPU),处理器502可以执行机器可读存储介质503中存储的机器可读指令,以实现以上描述的方法。
本文中提到的机器可读存储介质503可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:易失存储器、非易失性存储器或者类似的存储介质。具体地,机器可读存储介质503可以是RAM(Radom Access Memory,随机存取存储器)、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、DVD等),或者类似的存储介质,或者它们的组合。
至此,完成图5所示的硬件结构描述。
此外,本申请实施例还提供了一种包括机器可执行指令的机器可读存储介质,例如图5中的机器可读机器可读存储介质503,所述机器可执行指令可由数据处理装置中的处理器502执行以实现以上描述的数据处理方法。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种流量转发方法,其特征在于,所述方法应用于入侵防御系统中的网络设备,所述入侵防御系统还包括入侵防御设备,其中,所述网络设备与所述入侵防御设备通过旁路方式相连通信,所述方法包括:
基于所述网络设备的属于第一VLAN的第一端口,获取进入所述网络设备的目标流量;
将所述目标流量经属于第一VLAN的第二端口转发至所述入侵防御设备的入端口;
基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量;
将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络。
2.根据权利要求1所述的方法,其特征在于,所述基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量,包括:
基于数据链路层协议以及所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。
3.根据权利要求1所述的方法,其特征在于,所述基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量,包括:
基于网络层协议以及所述第二VLAN对应的VLAN虚接口地址,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。
4.根据权利要求1所述的方法,其特征在于,当所述入侵防御设备发送故障时,所述将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络,还包括:
将所述第一端口从所述第一VLAN中删除;
将所述第一端口加入到所述第二VLAN中;
基于所述第一端口,将所述目标流量,转发至所述目标流量对应的目标网络。
5.一种流量转发装置,其特征在于,所述装置应用于入侵防御系统中的网络设备,所述入侵防御系统还包括入侵防御设备,其中,所述网络设备与所述入侵防御设备通过旁路方式相连通信,所述装置包括:
接收模块,基于所述网络设备的属于第一VLAN的第一端口,获取进入所述网络设备的目标流量;
转发模块,将所述目标流量经属于第一VLAN的第二端口转发至所述入侵防御设备的入端口;
所述接收模块进一步,基于所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量;
所述转发模块进一步,将所述经过安全处理的目标流量,转发至所述目标流量对应的目标网络。
6.根据权利要求5所述的装置,其特征在于,所述接收模块进一步:
基于数据链路层协议以及所述网络设备的属于第二VLAN的第三端口,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。
7.根据权利要求5所述的装置,其特征在于,所述接收模块进一步:
基于网络层协议以及所述第二VLAN对应的VLAN虚接口地址,接收来自所述入侵防御设备的、与所述入端口对应的出端口的经过安全处理的目标流量。
8.根据权利要求5所述的装置,其特征在于,当所述入侵防御设备发送故障时,所述转发模块进一步:
将所述第一端口从所述第一VLAN中删除;
将所述第一端口加入到所述第二VLAN中;
基于所述第一端口,将所述目标流量,转发至所述目标流量对应的目标网络。
9.一种电子设备,其特征在于,包括通信接口、处理器、存储器和总线,所述通信接口、所述处理器和所述存储器之间通过总线相互连接;
所述存储器中存储机器可读指令,所述处理器通过调用所述机器可读指令,执行如权利要求1至4任一项所述的方法。
10.一种机器可读存储介质,其特征在于,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,实现权利要求1至4任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910354574.1A CN109922090A (zh) | 2019-04-29 | 2019-04-29 | 流量转发方法、装置、电子设备及机器可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910354574.1A CN109922090A (zh) | 2019-04-29 | 2019-04-29 | 流量转发方法、装置、电子设备及机器可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109922090A true CN109922090A (zh) | 2019-06-21 |
Family
ID=66978751
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910354574.1A Pending CN109922090A (zh) | 2019-04-29 | 2019-04-29 | 流量转发方法、装置、电子设备及机器可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109922090A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112953809A (zh) * | 2021-03-25 | 2021-06-11 | 杭州迪普科技股份有限公司 | 多层vlan流量的生成系统及方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101060432A (zh) * | 2007-04-10 | 2007-10-24 | 杭州华三通信技术有限公司 | 一种ips设备灵活部署的方法以及相关设备 |
CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、系统和设备 |
CN105227480A (zh) * | 2014-06-13 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 报文转发方法及相关装置和通信系统 |
US20170126740A1 (en) * | 2015-11-03 | 2017-05-04 | Juniper Networks, Inc. | Integrated security system having rule optimization |
CN107968791A (zh) * | 2017-12-15 | 2018-04-27 | 杭州迪普科技股份有限公司 | 一种攻击报文的检测方法及装置 |
-
2019
- 2019-04-29 CN CN201910354574.1A patent/CN109922090A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101060432A (zh) * | 2007-04-10 | 2007-10-24 | 杭州华三通信技术有限公司 | 一种ips设备灵活部署的方法以及相关设备 |
CN101299724A (zh) * | 2008-07-04 | 2008-11-05 | 杭州华三通信技术有限公司 | 流量清洗的方法、系统和设备 |
CN105227480A (zh) * | 2014-06-13 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 报文转发方法及相关装置和通信系统 |
US20170126740A1 (en) * | 2015-11-03 | 2017-05-04 | Juniper Networks, Inc. | Integrated security system having rule optimization |
CN107968791A (zh) * | 2017-12-15 | 2018-04-27 | 杭州迪普科技股份有限公司 | 一种攻击报文的检测方法及装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112953809A (zh) * | 2021-03-25 | 2021-06-11 | 杭州迪普科技股份有限公司 | 多层vlan流量的生成系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10595215B2 (en) | Reducing redundant operations performed by members of a cooperative security fabric | |
US8806606B2 (en) | Service aggregation in a cloud services center | |
US9959132B2 (en) | Managing virtual computing nodes using isolation and migration techniques | |
US9054990B2 (en) | System and method for data center security enhancements leveraging server SOCs or server fabrics | |
US9665530B2 (en) | Method and system for implementing elastic network interface and interconnection | |
US7738457B2 (en) | Method and system for virtual routing using containers | |
EP3861699A1 (en) | Proxy ports for network device functionality | |
US10445124B2 (en) | Managing virtual computing nodes using isolation and migration techniques | |
EP1715630A1 (en) | Method and system for implementing a high availability VLAN | |
US8077633B2 (en) | Transient loop prevention in a hybrid layer-2 network | |
CN102684979A (zh) | 一种支持虚拟终端的组播数据转发方法及装置 | |
CN104852855B (zh) | 拥塞控制方法、装置及设备 | |
US20210234812A1 (en) | Traffic broker for routing data packets through sequences of in-line tools | |
WO2016062067A1 (zh) | 一种用户报文的转发控制方法以及处理节点 | |
EP3200398A1 (en) | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling | |
WO2018090210A1 (zh) | 业务报文传输方法及节点设备 | |
US8997203B2 (en) | Filtering network packets in multiple forwarding information base systems | |
CN108737273A (zh) | 一种报文处理方法和装置 | |
CN109922090A (zh) | 流量转发方法、装置、电子设备及机器可读存储介质 | |
JP2003505934A (ja) | 安全なネットワーク・スイッチ | |
WO2016074126A1 (zh) | 控制器、服务节点和数据包转发方法 | |
US7778250B2 (en) | Method and apparatus for securing a layer II bridging switch/switch for subscriber aggregation | |
CN108259300B (zh) | 转发广播报文的方法及装置 | |
CN107968825A (zh) | 一种报文转发控制方法及装置 | |
US9912575B2 (en) | Routing network traffic packets through a shared inline tool |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190621 |