CN110351394A - 网络数据的处理方法及装置、计算机装置及可读存储介质 - Google Patents
网络数据的处理方法及装置、计算机装置及可读存储介质 Download PDFInfo
- Publication number
- CN110351394A CN110351394A CN201810284506.8A CN201810284506A CN110351394A CN 110351394 A CN110351394 A CN 110351394A CN 201810284506 A CN201810284506 A CN 201810284506A CN 110351394 A CN110351394 A CN 110351394A
- Authority
- CN
- China
- Prior art keywords
- network
- data packet
- target
- address
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/251—Translation of Internet protocol [IP] addresses between different IP versions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例公开了一种网络数据的处理方法及装置、计算机装置及可读存储介质、以及网络系统,用于减少网络系统中部署的安全装置,降低网络建设的成本。本发明实施例方法包括:网络数据的处理装置接收至少两个租户网络分别发送的数据包;网络数据的处理装置对数据包进行地址转换,对于所述数据包中的任意一个目标数据包,经过地址转换的所述目标数据包的地址用于从所述至少两个租户网络中确定目标租户网络,并从所述目标租户网络中确定发送所述目标数据包的目标用户的地址,所述目标租户网络为所述目标用户所属的目标租户网络;网络数据的处理装置将数据包发送给安全装置,以使得安全装置对数据包进行安全处理。
Description
技术领域
本发明涉及信息处理领域,具体涉及一种网络数据的处理方法及装置、计算机装置及可读存储介质、以及网络系统。
背景技术
网关是一种充当转换重任的计算机系统或设备,在网络层以上实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。
现有的租户网络的网络出口处均设置有网关,该网关用于实现不同租户网络中用户之间的网络互连。为了防止外部网不安全因素蔓延到自己企业或组织的租户网络中,在网关内侧通常布置有网络安全设备,比如防火墙、安全评估系统、入侵检测系统、防病毒系统、上网行为管理系统等,对经过网关的网络数据进行安全控制。
在现有的网络架构中,每一个租户网络的网络出口处均要设置网络安全设备,网络建设成本高昂。
发明内容
本发明提供一种网络数据的处理方法及装置、计算机装置及可读存储介质、以及网络系统,用于解决现有网络系统的建设成本高昂的问题。
本发明实施例的一方面提供了一种网络数据的处理方法,包括:
网络数据的处理装置接收至少两个租户网络分别发送的数据包;
所述网络数据的处理装置对所述数据包进行地址转换,对于所述数据包中的任意一个目标数据包,经过地址转换的所述目标数据包的地址用于从所述至少两个租户网络中确定目标租户网络,并从所述目标租户网络中确定发送所述目标数据包的目标用户的地址,所述目标租户网络为所述目标用户所属的目标租户网络;
所述网络数据的处理装置将经过地址转换的所述数据包发送给安全装置,以使得所述安全装置对经过地址转换的所述数据包进行安全处理。
可选的,地址转换前的所述数据包的地址为互联网协议第四版IPv4格式,经过地址转换的所述数据包的地址为互联网协议第六版IPv6格式。
可选的,经过地址转换的所述目标数据包的地址包括所述目标租户网络的标识信息和所述目标用户的标识信息。
可选的,所述目标用户的标识信息包括所述目标用户在所述目标租户网络的IPv4地址,和/或,所述目标用户的用户名信息。
可选的,在所述网络数据的处理装置将经过地址转换的所述数据包发送给安全装置之后,所述方法还包括:
所述网络数据的处理装置接收所述安全装置发送的经过安全处理的所述数据包;
所述网络数据的处理装置对经过安全处理的所述数据包再次进行地址转换,使得经过安全处理的所述数据包的地址变更为IPv4格式的公网地址。
可选的,所述处理方法还涉及一种上网代理装置,在所述网络数据的处理装置将经过地址转换的所述数据包发送给安全装置之后,所述方法还包括:
所述上网代理装置接收所述安全装置发送的经过安全处理的所述数据包;
所述上网代理装置对经过安全处理的所述数据包再次进行地址转换,使得经过安全处理的所述数据包的地址变更为IPv4格式的公网地址。
本发明实施例第二方面提供了一种网络数据的处理装置,包括:
第一接收模块,用于接收至少两个租户网络分别发送的数据包;
第一地址转换模块,用于对所述数据包进行地址转换,对于所述数据包中的任意一个目标数据包,经过地址转换的所述目标数据包的地址用于从所述至少两个租户网络中确定目标租户网络,并从所述目标租户网络中确定发送所述目标数据包的目标用户的地址,所述目标租户网络为所述目标用户所属的目标租户网络;
第一发送模块,用于将经过地址转换的所述数据包发送给安全装置,以使得所述安全装置对经过地址转换的所述数据包进行安全处理。
可选的,网络数据的处理装置还可以包括:
第二接收模块,用于接收所述安全装置发送的经过安全处理的所述数据包;
第二地址转换模块,用于对经过安全处理的所述数据包再次进行地址转换,使得经过安全处理的所述数据包的地址变更为IPv4格式的公网地址。
本发明实施例的第三方面提供了一种安全上网设备,包括安全装置和网络数据的处理装置,所述安全装置和所述网络数据的处理装置相连;
所述安全装置用于对接收到的数据包进行安全处理;
所述网络数据的处理装置用于执行如第一方面或第一方面的任意一种可能的实现方式所述方法的步骤。
本发明实施例的第四方面提供了一种网络系统,包括如本发明实施例的第三方面提供的安全上网设备和至少两个租户网络,所述租户网络包括引流设备和用户设备;
所述用户设备用于将数据包发送给所述引流设备;
所述引流设备用于将所述数据包发送给所述安全上网设备。
本发明实施例的第五方面提供了一种计算机装置,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如第一方面或第一方面的任意一种可能的实现方式所述方法的步骤。
本发明实施例的第六方面提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面或第一方面的任意一种可能的实现方式所述方法的步骤。
从以上技术方案可以看出,本发明实施例具有以下优点:
本发明实施例中,网络数据的处理装置可以与至少两个租户网络建立网络连接,网络数据的处理装置可以接收至少两个租户网络分别发送的数据包,具体的,租户网络中的用户可以通过该租户网络中的引流设备向网络数据的处理装置转发数据包。网络数据的处理装置接收到至少两个租户网络分别发送的数据包之后,网络数据的处理装置可以对数据包的源地址进行地址转换,由于网络数据的处理装置接收到的至少两个租户网络分别发送的数据包指至少两个数据包,为了便于区分,本发明实施例将网络数据的处理装置接收到的至少两个数据包中的任意一个数据包称作目标数据包。对目标数据包的地址进行转换后,转换后的地址用于从至少两个租户网络中确定目标租户网络,并从目标租户网络中确定发送目标数据包的目标用户的地址,目标租户网络为目标用户所属的目标租户网络。网络数据的处理装置对数据包进行地址转换后,可以将经过地址转换的数据包发送给安全装置,以使得安全装置对经过地址转换的数据包进行安全处理。由于不同租户网络中的用户被分配的网络地址可能相同,因此,若安全装置直接对多个租户网络发来的数据包进行安全处理,将无法溯源,在本发明实施例中,网络数据的处理装置可以对多个租户网络发来的数据包进行地址转换,并将经过地址转换后的数据包发送给安全装置,使得安全装置能够对至少两个租户网络分别发送的数据包进行溯源,从而能够同时为至少两个租户网络的提供安全处理服务,和现有技术相比,有利于降低网络建设成本。
附图说明
图1是本发明网络数据的处理方法的一个实施例示意图;
图2是现有网络架构的一个示意图;
图3是本发明网络架构的一个示意图;
图4是本发明网络数据的处理方法另一个实施例示意图;
图5是本发明网络架构的另一个示意图;
图6是本发明网络架构的另一个示意图;
图7是本发明网络数据的处理装置的一个实施例示意图;
图8是本发明网络数据的处理装置的另一个实施例示意图;
图9是本发明安全上网设备的一个实施例示意图;
图10是本发明网络系统的一个实施例示意图;
图11是本发明计算机装置的一个实施例示意图。
具体实施方式
本发明实施例提供了一种网络数据的处理方法及装置、计算机装置及可读存储介质、以及网络系统,可以使得两个或两个以上租户网络公用一个网络安全设备,降低网络建设的成本。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
请参阅图1,本发明实施例中网络数据的处理方法一个实施例包括:
101、接收至少两个租户网络分别发送的数据包;
网络数据的处理装置可以与两个或两个以上租户网络的转发设备建立网络隧道,并接收至少两个租户网络分别发送的数据包,具体的,网络数据的处理装置可以接收由租户网络的引流设备转发的数据包。
102、对数据包进行地址转换;
网络数据的处理装置在接收到至少两个租户网络分别发送的数据包后,可以对数据包进行地址转换。由于网络数据的处理装置接收到的至少两个租户网络分别发送的数据包指至少两个数据包,为了便于描述,本发明实施例将网络数据的处理装置接收到的至少两个数据包中的任意一个数据包称作目标数据包,对于目标数据包来说,经过地址转换的目标数据包的地址可以用于从至少两个租户网络中确定目标租户网络,并从目标租户网络中确定发送目标数据包的目标用户的地址,目标租户网络为目标用户所属的目标租户网络。
103、将经过地址转换的数据包发送给安全装置。
网络数据的处理装置对数据包进行地址转换后,可以将经过地址转换后的数据包发送给安全装置,以使得安全装置可以对经过地址转换的数据包进行安全处理。安全装置可以为现有的任意一种网络安全设备,可以集成防火墙、安全评估系统、入侵检测系统、防病毒系统和上网行为管理系统等安全系统中的一种或多种。
作为举例,假设网络数据的处理装置接收到租户网络A发送的数据包1和租户网络B发送的数据包2,数据包1的源地址为192.168.1.1,数据包2的源地址为192.168.1.1,租户网络A的租户标识为1234:5678,租户网络B的租户标识为1234:5679,网络数据的处理装置分别对数据包1和数据包2进行地址转换,经过地址转换的数据包1的源地址为IPv6格式,具体可以为fc00:0000:0000:0000:192.168.1.1:1234:5678,经过地址转换的数据包2的源地址也为IPv6格式,具体可以为fc00:0000:0000:0000:192.168.1.1:1234:5679,其中,fc00:0000为保留数据,用于表示数据包的地址是经过地址转换得到的复合地址,在实际使用中,可以采用其它具体数值。可见,虽然数据包1和数据包2的源地址相同,但是,经过地址转换的数据包1和经过地址转换的数据包2的源地址不同。并且,网络数据的处理装置能够根据经过地址转换的数据包1的源地址确定发送数据包1的用户属于租户网络A,并且能够从租户网络A中确定发送数据包1的用户的地址;网络数据的处理装置能够根据经过地址转换的数据包2的源地址确定发送数据包2的用户属于租户网络B,并且能够从租户网络B中确定发送数据包2的用户的地址。
现有的网络架构中,如图2所示,租户网络200一般包括多个用户203,在每个租户网络200的网络出口处均需要设置安全装置201,对出入租户网络的数据包进行安全处理,之后由上网代理装置202对数据包进行代理上网。为了降低网络建设成本,本发明实施例提供一种新的网络架构,如图3所示,即两个或两个以上租户网络310可以共用安全装置320。但是,由于租户网络310发出的数据包中的源地址为租户网络310为其用户311分配的私有地址,而不同租户网络310为其用户311分配的私有地址可能相同,因此,若安全装置320直接接收来自至少两个租户网络310的数据包,将无法根据数据包中的源地址确定该数据包所属的租户网络310,进而难以进行溯源,这会影响安全装置320的安全处理过程。为了解决这个问题,本发明实施例提供的方法中,网络数据的处理装置330可以接收来自至少两个租户网络310的引流设备312转发的数据包,并对数据包的源地址进行地址转换,使得对于接收到的至少两个数据包中的任意一个目标数据包来说,经过地址转换的目标数据包的源地址均可以用于从上述至少两个租户网络中唯一确定发送目标数据包的目标用户311的地址,之后可以将地址转换后的数据包发送给安全装置320,由于经过地址转换的目标数据包的地址可以用于从至少两个租户网络中确定目标租户网络,并从目标租户网络中确定发送目标数据包的目标用户的地址,使得安全装置320可以对经过地址转换的数据包进行安全处理。
由于IPv4(互联网协议IP的第四版)是被广泛使用的、构成现今互联网技术的基础的协议,因此,在接下来的方法实施例中,以租户网络中的用户发送与接收的数据包的协议和公网中传输的数据包的协议均为IPv4为例进行描述。
请参阅图4,本发明实施例中网络数据的处理方法另一个实施例包括:
401、接收至少两个租户网络分别发送的数据包;
当租户网络中的用户向外网发送数据包时,数据包需要经过该租户网络的出口处的安全装置。在本发明实施例中,租户网络的用户向外网发送的数据包可以由该租户网络的引流设备转发至网络数据的处理装置,网络数据的处理装置可以与两个或两个以上租户网络的引流设备建立网络隧道,并接收至少两个租户网络分别发送的数据包。
402、将数据包的地址由IPv4格式转换为IPv6格式;
网络数据的处理装置在接收到至少两个租户网络分别发送的数据包后,可以对数据包进行地址转换。由于网络数据的处理装置接收到的至少两个租户网络分别发送的数据包指至少两个数据包,为了便于区分,本发明实施例将网络数据的处理装置接收到的至少两个数据包中的任意一个数据包称作目标数据包,对于目标数据包来说,经过地址转换的目标数据包的地址可以用于从至少两个租户网络中确定目标租户网络,并从目标租户网络中确定发送目标数据包的目标用户的地址,目标租户网络为目标用户所属的目标租户网络。
经过地址转换的数据包可以仍然为IPv4格式,网络数据的处理装置为通过网络隧道接收到的第一数据包的源地址动态分配IPv4格式的地址。但是动态分配IPv4格式的地址耗费的数据处理量较大,并且当发送数据包的用户过多时,网络数据的处理装置将难以利用数量较少的IPv4地址进行动态分配。考虑到IPv4中规定IP地址长度为32,最大地址个数为2^32,而IPv6中IP地址的长度为128,即最大地址个数为2^128,与IPv4格式的地址相比,IPv6具有更大的地址空间,能够更加容易的应付发送数据包的用户过多的情况。因此,优选的,在本发明实施例中,网络数据的处理装置可以将数据包的源地址由IPv4格式转换为IPv6格式。并且,由于IPv6中IP地址的长度为128,为IPv4地址的长度的四倍,因此,IPv6地址可以包括更多信息,比如经过地址转换的目标数据包的地址可以包括目标租户网络的标识信息和目标用户的标识信息,作为举例,目标用户的标识信息可以为目标用户在目标租户网络的IPv4地址,或者为目标用户的用户名信息,或者同时包括目标用户在目标租户网络的IPv4地址和目标用户的用户名信息。作为举例,网络数据的处理装置可以将目标数据包的IPv4格式的地址和目标租户网络的标识信息添加到经过地址转换的数据包的IPv6格式的地址中。租户网络的标识信息可以包括租户标识和隧道标识中的至少一种,下面对隧道标识进行具体描述:
目标用户所属的目标租户网络的隧道标识可以为目标用户所属的目标租户网络与网络数据的处理装置之间建立的目标网络隧道的隧道标识。引流设备可以按照网络隧道的协议对数据包进行封装,封装后的隧道数据包的包头携带有该网络隧道的隧道标识,当网络数据的处理装置接收到封装后的数据包时,其可以按照网络隧道的协议解封装,并从封装的数据包的包头中直接确定该网络隧道的隧道标识。由于不同租户网络与网络数据的处理装置协商后建立的网络隧道的隧道标识不同,因此,一个网络隧道的隧道标识可以用来从前述至少两个租户网络中唯一确定一个租户网络。可见,目标用户所属的目标租户网络与网络数据的处理装置建立的目标网络隧道的隧道标识,可以与目标用户的标识信息共同唯一确定目标用户的地址。网络隧道的协议可以为通用路由封装GRE协议、或二层隧道L2TP协议、或互联网安全IPSec协议等。
作为举例,假设1234:5678为目标用户所属的目标租户网络的租户标识,abcd:ef01为目标网络隧道的隧道标识,192.168.1.1为目标数据包的地址,那么,经过地址转换的目标数据包的地址可以为:fc00:0000:1234:5678:abcd:ef01:192.168.1.1,其中,fc00:0000为保留数据,用于表示数据包的地址是经过地址转换得到的复合地址,在实际使用中,可以采用其它具体数值。
403、将经过地址转换的数据包发送给安全装置;
网络数据的处理装置对数据包进行地址转换后,可以将经过地址转换后的数据包发送给安全装置,以使得安全装置可以对经过地址转换的数据包进行安全处理。安全装置可以为现有的任意一种网络安全设备,可以集成防火墙、安全评估系统、入侵检测系统、防病毒系统和上网行为管理系统等安全系统中的一种或多种。
由于现有的安全装置一般既能对IPv4格式的数据包进行安全处理,也能够对IPv6格式的数据包进行安全处理,因此,将IPv4格式的地址改为IPv6格式的地址,既能够简化地址转换过程,也无需对现有的安全装置进行调整,是一种高效低成本的地址转换方式。
在现有的网络架构中,如图2所示,安全装置对数据包进行安全处理后,需要将数据包发送给代理上网装置,比如具有网络地址转换NAT功能的装置(简称NAT装置),代理上网装置将数据包的源地址由私有地址转换为公网地址,并将地址转换后的数据包发送至公有网络。本发明中所提到的地址主要指互联网协议IP地址,公有IP地址是指在因特网上全球唯一的IP地址。当代理上网装置接收到针对数据包的回包时,需要将该数据包的回包发送给该数据包的发包方。由于不同租户网络为其用户分配的私有地址可能相同,因此,若代理上网装置直接接收来自至少两个租户网络经过安全处理的数据包,将无法根据数据包中的源地址确定该数据包所属的租户网络,在接收到该数据包的回包时,难以将该数据包的回包发送给该数据包的发包方,因此,在现有的网络架构中,每个租户网络的出口处均需要设置代理上网装置,网络建设成本高昂。
为了降低网络建设成本,基于图3所示的网络架构,本发明实施例进一步提供一种新的网络架构,如图5所示,网络数据的处理装置330可以接收来自至少两个租户网络310的引流设备312转发的数据包,并执行图4对应的实施例步骤,安全装置320接收到经过地址转换的数据包后,可以对经过地址转换的数据包进行安全处理,并将经过安全处理的数据包发送给上网代理装置340,上网代理装置340可以接收安全装置320发送的经过安全处理的数据包,并对经过安全处理的数据包再次进行地址转换,数据包经过步骤402的地址转换后,上网代理装置340可以对经过安全处理的数据包的源地址再次进行地址转换,再次经过地址转换的数据包的地址为IPv4格式的公网地址。之后,上网代理装置340可以将再次经过地址转换的数据包发送至因特网。
在图5对应的网络架构中,网络数据的处理装置330主要用于实现地址转换的功能,而上网代理装置340主要用于实现再次地址转换的功能,因此,可选的,可以将上网代理装置340集成于网络数据的处理装置中,使得网络数据的处理装置330能够实现对数据包的两次地址转换的功能,此时网络架构如图6所示,在步骤403之后,网络数据的处理装置还可以执行如下步骤:
404、接收安全装置发送的经过安全处理的数据包;
网络数据的处理装置在将经过地址转换的数据包发送给安全装置后,安全装置可以对经过地址转换的数据包进行安全处理,并将经过安全处理后的数据包发送给网络数据的处理装置,网络数据的处理装置可以接收安全装置发送的经过安全处理的数据包。
405、对经过安全处理的数据包再次进行地址转换;
网络数据的处理装置接收到安全装置发送的经过安全处理的数据包之后,可以对经过安全处理的数据包再次进行地址转换,使得经过安全处理的数据包的源地址由IPv6格式的地址改为IPv4格式的地址,其中,再次经过地址转换的地址为公网地址。对于数据包中的任意一个目标数据包,网络数据的处理装置为其再次进行地址转换的具体方法,可以参考网络地址转换NAT的实现方法,比如可以采用静态转换Static Nat、动态转换DynamicNat和端口多路复用OverLoad中的任意一种。
406、向公有网络发送再次经过地址转换的数据包;
网络数据的处理装置对数据包再次进行地址转换后,可以向公有网络发送再次经过地址转换的数据包,实现租户网络的用户与因特网的连接。
在实际应用中,网络数据的处理装置也可以不执行步骤406。
步骤406完成后,网络数据的处理装置可以接收到公有网络反馈的针对再次经过地址转换的数据包的应答包,作为举例,下面对网络数据的处理装置接收到针对再次经过地址转换的数据包的应答包时所执行的一种可能的网络数据的处理流程进行描述:
407、当从公有网络接收到针对再次经过地址转换的数据包的应答包时,对应答包进行地址转换;
在步骤405中,对于数据包中的任意一个目标数据包A,网络数据的处理装置可以记录经过安全处理的目标数据包A的地址a2与再次经过地址转换的目标数据包A的地址a3之间的映射关系,当网络数据的处理装置接收到针对步骤406中发送的再次经过地址转换的数据包的应答包时,比如针对目标数据包A的目标应答包B时,目标应答包B的目的地址为a3,可以根据映射关系确定作为公网地址的a3所对应的私有地址为a2,之后可以对应答包进行地址转换,将其目的地址由IPv4格式的a3改为IPv6格式的a2。
408、将应答包发送给安全装置;
网络数据的处理装置对应答包进行地址转换后,可以将应答包发送给安全装置。
409、接收安全装置发送的应答包,并对应答包再次进行地址转换;
安全装置接收到网络数据的处理装置发送的应答包后,可以对应答包进行安全处理,并将处理后的应答包发送给网络数据的处理装置,网络数据的处理装置可以接收到安全装置发送的经过安全处理的应答包,并对应答包再次进行地址转换,具体的,对于目标应答包B,网络可以从目标应答包的IPv6格式的目的地址a2中提取目标用户的标识信息,比如目标用户的私有地址a1,和目标用户所属的目标租户网络的标识信息b,其中a1即为未经过第一次地址转换的目标数据包的IPv4格式的地址,b为发送目标数据包的目标用户所属的目标租户网络的标识信息,并将目标应答包的目的地址由IPv6格式的a2改为IPv4格式的a1。
410、根据租户网络的标识信息将应答包发送至对应的租户网络。
对于目标应答包B,网络数据的处理装置对目标应答包再次进行地址转换后,可以根据提取出的目标用户所属的目标租户网络的标识信息b,将应答包发送至该标识信息对应的租户网络中。
上面对本发明实施例中的网络数据的处理方法进行了描述,下面对本发明实施例中的网络数据的处理装置进行描述。
请参阅图7,本发明实施例中网络数据的处理装置7的一个实施例包括:
第一接收模块701,用于接收至少两个租户网络分别发送的数据包;
第一地址转换模块702,用于对数据包进行地址转换,对于数据包中的任意一个目标数据包,经过地址转换的目标数据包的地址用于从至少两个租户网络中确定目标租户网络,并从目标租户网络中确定发送目标数据包的目标用户的地址,目标租户网络为目标用户所属的目标租户网络;
第二发送模块703,用于将经过地址转换的数据包发送给安全装置,以使得安全装置对经过地址转换的数据包进行安全处理。
本发明实施例提供的方法中,第一接收模块701可以接收至少两个租户网络分别发送的数据包,第一地址转换模块702可以对数据包的源地址进行地址转换,使得对于接收到的至少两个数据包中的任意一个目标数据包来说,目标数据包转换后的源地址均可以用于从至少两个租户网络中确定目标租户网络,并从目标租户网络中确定发送目标数据包的目标用户的地址,目标租户网络为目标用户所属的目标租户网络,之后第一发送模块703可以将经过地址转换后的数据包发送给安全装置,由于经过地址转换后的数据包的源地址能够用于唯一确定发包方的地址,使得安全装置可以对数据包进行安全处理。
可选的,在本发明的一些实施例中,地址转换前的数据包的地址为互联网协议第四版IPv4格式,经过地址转换的数据包的地址为互联网协议第六版IPv6格式。
可选的,在本发明的一些实施例中,经过地址转换的目标数据包的地址包括目标租户网络的标识信息和目标用户的标识信息。
可选的,在本发明的一些实施例中,目标用户的标识信息包括目标用户在目标租户网络的IPv4地址,和/或,目标用户的用户名信息。
可选的,在本发明的一些实施例中,请参阅图8,网络数据的处理装置8可以包括:
第一接收模块801,用于接收至少两个租户网络分别发送的数据包;
第一地址转换模块802,用于对数据包进行地址转换,对于数据包中的任意一个目标数据包,经过地址转换的目标数据包的地址用于从至少两个租户网络中确定目标租户网络,并从目标租户网络中确定发送目标数据包的目标用户的地址,目标租户网络为目标用户所属的目标租户网络;
第一发送模块803,用于将经过地址转换的数据包发送给安全装置,以使得安全装置对经过地址转换的数据包进行安全处理;
第二接收模块804,用于接收安全装置发送的经过安全处理的数据包;
第二地址转换模块805,用于对经过安全处理的数据包再次进行地址转换,使得经过安全处理的数据包的地址变更为IPv4格式的公网地址;
第二发送模块806,用于向公有网络发送再次经过地址转换的数据包。
在实际使用中,网络数据的处理装置8也可以不包括第二发送模块806。
本发明还提供一种安全上网设备,请参阅图9,安全上网设备的一个可能实施例包括:
安全装置901和网络数据的处理装置902,安全装置901和网络数据的处理装置902相连;
安全装置901用于对接收到的经过地址转换的数据包进行安全处理;
网络数据的处理装置902用于:
接收至少两个租户网络分别发送的数据包;
对数据包进行地址转换,对于数据包中的任意一个目标数据包,经过地址转换的目标数据包的地址用于从至少两个租户网络中确定目标租户网络,并从目标租户网络中确定发送目标数据包的目标用户的地址,目标租户网络为目标用户所属的目标租户网络;
将经过地址转换的数据包发送给安全装置,以使得安全装置对经过地址转换的数据包进行安全处理。
可选的,在本发明的一些实施例中,安全装置901还用于将经过安全处理的数据包发送给网络数据的处理装置902,网络数据的处理装置902还用于:
接收安全装置发送的经过安全处理的数据包;
对经过安全处理的数据包再次进行地址转换,使得经过安全处理的数据包的地址变更为IPv4格式的公网地址。
本发明还提供一种网络系统10,请参阅图10,本发明网络系统10的一种可能的实施例包括:
安全上网设备1010和至少两个租户网络1020,租户网络1020包括引流设备1021和用户设备1022;
用户设备1022用于将数据包发送给引流设备1021;
引流设备1021用于将数据包发送给安全上网设备1010;
安全上网设备包括:
安全装置和网络数据的处理装置,安全装置和网络数据的处理装置相连;
安全装置用于对接收到的数据包进行安全处理;
网络数据的处理装置用于:
接收至少两个租户网络分别发送的数据包;
对数据包进行地址转换,对于数据包中的任意一个目标数据包,经过地址转换的目标数据包的地址用于从至少两个租户网络中确定目标租户网络,并从目标租户网络中确定发送目标数据包的目标用户的地址,目标租户网络为目标用户所属的目标租户网络;
将经过地址转换的数据包发送给安全装置,以使得安全装置对经过地址转换的数据包进行安全处理。
可选的,在本发明的一些实施例中,安全装置还用于将经过安全处理的数据包发送给网络数据的处理装置,网络数据的处理装置还用于:
接收安全装置发送的经过安全处理的数据包;
对经过安全处理的数据包再次进行地址转换,使得经过安全处理的数据包的地址变更为IPv4格式的公网地址。
本发明提供的网络系统可以减少大量的安全装置和上网代理装置,和现有技术中的网络系统相比,本发明提供的网络系统有利于降低网络建设的成本。
图2、图3、图5、图6和图10中带有箭头的虚线表示数据传输线路,可以为有线传输,也可以为无线传输,此处不做具体限定。
本发明实施例还提供了一种计算机装置11,如图11所示,为了便于说明,仅示出了与本发明实施例相关的部分,具体技术细节未揭示的,请参照本发明实施例方法部分。该计算机装置11一般指服务器等处理能力较强的计算机设备。
参考图11,计算机装置11包括:电源1110、存储器1120、处理器1130、有线或无线网络接口1140以及存储在存储器中并可在处理器上运行的计算机程序。处理器1130用于执行存储器1120中存储的计算机程序时,可以实现如下步骤:
接收至少两个租户网络分别发送的数据包;
对数据包进行地址转换,对于数据包中的任意一个目标数据包,经过地址转换的目标数据包的地址用于从至少两个租户网络中确定目标租户网络,并从目标租户网络中确定发送目标数据包的目标用户的地址,目标租户网络为目标用户所属的目标租户网络;
将经过地址转换的数据包发送给安全装置,以使得安全装置对经过地址转换的数据包进行安全处理。
可选的,在本发明的一些实施例中,处理器1130用于执行存储器1120中存储的计算机程序时,可以实现如下步骤:
接收安全装置发送的经过安全处理的数据包;
对经过安全处理的数据包再次进行地址转换,使得经过安全处理的数据包的地址变更为IPv4格式的公网地址。
示例性的,计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器中,并由所述处理器执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述计算机装置中的执行过程。
本领域技术人员可以理解,图6中示出的结构并不构成对计算机装置6的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置,例如所述计算机装置还可以包括输入输出设备、总线等。
所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述计算机装置的控制中心,利用各种接口和线路连接整个计算机装置的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述计算机装置的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,可以实现如下步骤:
接收至少两个租户网络分别发送的数据包;
对数据包进行地址转换,对于数据包中的任意一个目标数据包,经过地址转换的目标数据包的地址用于从至少两个租户网络中确定目标租户网络,并从目标租户网络中确定发送目标数据包的目标用户的地址,目标租户网络为目标用户所属的目标租户网络;
将经过地址转换的数据包发送给安全装置,以使得安全装置对经过地址转换的数据包进行安全处理。
可选的,在本发明的一些实施例中,计算机程序被处理器执行时,还可以实现如下步骤:
接收安全装置发送的经过安全处理的数据包;
对经过安全处理的数据包再次进行地址转换,使得经过安全处理的数据包的地址变更为IPv4格式的公网地址。
所述计算机装置集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种网络数据的处理方法,其特征在于,包括:
网络数据的处理装置接收至少两个租户网络分别发送的数据包;
所述网络数据的处理装置对所述数据包进行地址转换,对于所述数据包中的任意一个目标数据包,经过地址转换的所述目标数据包的地址用于从所述至少两个租户网络中确定目标租户网络,并从所述目标租户网络中确定发送所述目标数据包的目标用户的地址,所述目标租户网络为所述目标用户所属的租户网络;
所述网络数据的处理装置将经过地址转换的所述数据包发送给安全装置,以使得所述安全装置对经过地址转换的所述数据包进行安全处理。
2.根据权利要求1所述的处理方法,其特征在于,地址转换前的所述数据包的地址为互联网协议第四版IPv4格式,经过地址转换的所述数据包的地址为互联网协议第六版IPv6格式。
3.根据权利要求2所述的处理方法,其特征在于,经过地址转换的所述目标数据包的地址包括所述目标租户网络的标识信息和所述目标用户的标识信息。
4.根据权利要求3所述的处理方法,其特征在于,所述目标用户的标识信息包括所述目标用户在所述目标租户网络的IPv4地址,和/或,所述目标用户的用户名信息。
5.根据权利要求2至4中任一项所述的处理方法,其特征在于,在所述网络数据的处理装置将经过地址转换的所述数据包发送给安全装置之后,所述方法还包括:
所述网络数据的处理装置接收所述安全装置发送的经过安全处理的所述数据包;
所述网络数据的处理装置对经过安全处理的所述数据包再次进行地址转换,使得经过安全处理的所述数据包的地址变更为IPv4格式的公网地址。
6.根据权利要求2至4中任一项所述的处理方法,其特征在于,所述处理方法还涉及一种上网代理装置,在所述网络数据的处理装置将经过地址转换的所述数据包发送给安全装置之后,所述方法还包括:
所述上网代理装置接收所述安全装置发送的经过安全处理的所述数据包;
所述上网代理装置对经过安全处理的所述数据包再次进行地址转换,使得经过安全处理的所述数据包的地址变更为IPv4格式的公网地址。
7.一种网络数据的处理装置,其特征在于,包括:
第一接收模块,用于接收至少两个租户网络分别发送的数据包;
第一地址转换模块,用于对所述数据包进行地址转换,对于所述数据包中的任意一个目标数据包,经过地址转换的所述目标数据包的地址用于从所述至少两个租户网络中确定目标租户网络,并从所述目标租户网络中确定发送所述目标数据包的目标用户的地址,所述目标租户网络为所述目标用户所属的目标租户网络;
第一发送模块,用于将经过地址转换的所述数据包发送给安全装置,以使得所述安全装置对经过地址转换的所述数据包进行安全处理。
8.一种安全上网设备,其特征在于,包括安全装置和网络数据的处理装置,所述安全装置和所述网络数据的处理装置相连;
所述安全装置用于对接收到的数据包进行安全处理;
所述网络数据的处理装置用于执行如权利要求1-6中任意一项所述方法的步骤。
9.一种网络系统,其特征在于,包括如权利要求8所述的安全上网设备和至少两个租户网络,所述租户网络包括引流设备和用户设备;
所述用户设备用于将数据包发送给所述引流设备;
所述引流设备用于将所述数据包发送给所述安全上网设备。
10.一种计算机装置,其特征在于,所述计算机装置包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-6中任意一项所述方法的步骤。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1-6中任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810284506.8A CN110351394B (zh) | 2018-04-02 | 2018-04-02 | 网络数据的处理方法及装置、计算机装置及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810284506.8A CN110351394B (zh) | 2018-04-02 | 2018-04-02 | 网络数据的处理方法及装置、计算机装置及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110351394A true CN110351394A (zh) | 2019-10-18 |
| CN110351394B CN110351394B (zh) | 2022-11-22 |
Family
ID=68173487
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810284506.8A Active CN110351394B (zh) | 2018-04-02 | 2018-04-02 | 网络数据的处理方法及装置、计算机装置及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110351394B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110768849A (zh) * | 2019-11-06 | 2020-02-07 | 深信服科技股份有限公司 | 一种网络数据查看方法及系统 |
| CN114615079A (zh) * | 2022-03-31 | 2022-06-10 | 深信服科技股份有限公司 | 一种数据处理方法、装置、设备及可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103152361A (zh) * | 2013-03-26 | 2013-06-12 | 华为技术有限公司 | 访问控制方法及设备、系统 |
| US20140133485A1 (en) * | 2012-11-13 | 2014-05-15 | Microsoft Corporation | Data packet routing |
-
2018
- 2018-04-02 CN CN201810284506.8A patent/CN110351394B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140133485A1 (en) * | 2012-11-13 | 2014-05-15 | Microsoft Corporation | Data packet routing |
| US20160072710A1 (en) * | 2012-11-13 | 2016-03-10 | Microsoft Technology Licensing, Llc | Data packet routing |
| CN103152361A (zh) * | 2013-03-26 | 2013-06-12 | 华为技术有限公司 | 访问控制方法及设备、系统 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110768849A (zh) * | 2019-11-06 | 2020-02-07 | 深信服科技股份有限公司 | 一种网络数据查看方法及系统 |
| CN110768849B (zh) * | 2019-11-06 | 2022-08-05 | 深信服科技股份有限公司 | 一种网络数据查看方法及系统 |
| CN114615079A (zh) * | 2022-03-31 | 2022-06-10 | 深信服科技股份有限公司 | 一种数据处理方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110351394B (zh) | 2022-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112470436A (zh) | 使用srv6和bgp的多云连通性 | |
| CN101443750B (zh) | 用于订户知晓应用服务器集群上的负载平衡的技术 | |
| CN105009544B (zh) | 报文的隧道处理方法、交换设备及控制设备 | |
| CN106101023B (zh) | 一种vpls报文处理方法及设备 | |
| CN112671628B (zh) | 业务服务提供方法及系统 | |
| US7738452B1 (en) | Techniques for load balancing subscriber-aware application proxies | |
| CN106453027B (zh) | Gre隧道实现方法、接入设备和汇聚网关 | |
| CN102238230A (zh) | 用于在云计算中卸载隧道数据包的方法和系统 | |
| WO2015196849A1 (zh) | 一种数据报文的处理方法、业务节点以及引流点 | |
| CN110290093A (zh) | Sd-wan网络架构及组网方法、报文转发方法 | |
| EP3720075B1 (en) | Data transmission method and virtual switch | |
| CN103650424A (zh) | 一种家庭网关服务功能的实现方法和服务器 | |
| CN102546407B (zh) | 报文发送方法及装置 | |
| CN108512758A (zh) | 报文处理方法、控制器以及转发设备 | |
| CN104579973B (zh) | 一种虚拟集群中的报文转发方法和装置 | |
| CN106330779A (zh) | 服务器、物理交换机以及通信系统 | |
| CN109936492A (zh) | 一种通过隧道传输报文的方法、装置和系统 | |
| CN107547665A (zh) | 一种dhcp地址分配的方法、设备及系统 | |
| CN105591967B (zh) | 一种数据传输方法和装置 | |
| EP3007389A1 (en) | Gre tunnel implementation method, access point and gateway | |
| CN110199504A (zh) | 用于电信网络的宽带接入网的中心局递送点内的交换结构的增强使用的方法 | |
| CN110351394A (zh) | 网络数据的处理方法及装置、计算机装置及可读存储介质 | |
| CN104272860B (zh) | 用于通信网络中的有效信令消息处理的方法和设备 | |
| CN109246016A (zh) | 跨vxlan的报文处理方法和装置 | |
| CN104838624B (zh) | 一种控制业务数据在虚拟网络中转发的方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |