CN110430130A - 确定策略路径的方法及装置 - Google Patents
确定策略路径的方法及装置 Download PDFInfo
- Publication number
- CN110430130A CN110430130A CN201910648696.1A CN201910648696A CN110430130A CN 110430130 A CN110430130 A CN 110430130A CN 201910648696 A CN201910648696 A CN 201910648696A CN 110430130 A CN110430130 A CN 110430130A
- Authority
- CN
- China
- Prior art keywords
- network
- network equipment
- path
- strategy
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/28—Routing or path finding of packets in data switching networks using route fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种确定策略路径的方法及装置,其中,该方法包括:根据第一、第二终端设备在预先构建的网络拓扑结构中的位置信息,确定关联的第一、第二网络设备及第一、第二接入侧路径;根据第一、第二终端设备的地址,确定匹配的源NAT策略和目的NAT策略;根据匹配结果,确定网络设备实际通信的源地址和目的地址;依次遍历每个网络设备,根据实际通信的源地址和目的地址,在每一网络设备上匹配预设顺序和节点类型的策略,确定每一跳的交换链路,直到找到第二网络设备;所有交换链路构成网络侧交换路径;根据第一接入侧路径、第二接入侧路径和网络侧交换路径,确定策略路径。上述技术方案实现了策略路径的端到端呈现,进而实现了故障快速定位。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种确定策略路径的方法及装置。
背景技术
现有的网络设备策略(例如防火墙、路由器等设备策略)都是离散的分布在各个网络设备(例如防火墙设备、路由器)上的,打通一个端到端的业务,需要逐个设备的配置策略,从运维视角和业务视角,无法实现从业务角度(即端到端的角度)呈现策略的路径。现有技术方案中,还没有把各个网络设备上的策略关系梳理出来,由于策略数量多,类型多(包括不限于安全策略、路由策略、NAT策略、包过滤策略等),以及网络设备也比较多,依靠运维人员,不可能完成这样的工作分析和梳理工作。当出现故障(比如,流量不通)之后,也无法迅速地根据业务路径判断出故障的点或者攻击面的具体信息,需要逐个设备进行分析,排障。
针对上述问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种确定策略路径的方法,用以实现策略路径的端到端呈现,进而实现故障的快速定位,该方法包括:
根据第一终端设备在预先构建的网络拓扑结构中的位置信息,确定与第一终端设备关联的第一网络设备及第一接入侧路径,根据第二终端设备在预先构建的网络拓扑结构中的位置信息,确定与第二终端设备关联的第二网络设备及第二接入侧路径;
在第一网络设备节点,根据第一终端设备的地址,确定匹配的源NAT策略,在第二网络设备节点,根据第二终端设备的地址,确定匹配的目的NAT策略;根据源NAT策略的匹配结果,确定网络设备实际通信的源地址,根据目的NAT策略的匹配结果,确定网络设备实际通信的目的地址;
依次遍历预先构建的网络拓扑结构中的每个网络设备,根据网络设备实际通信的源地址和目的地址,在每一网络设备上匹配预设顺序和节点类型的策略,确定每一跳的交换链路,直到找到所述第二网络设备;所述第一网络设备与第二网络设备之间的所有交换链路构成网络侧交换路径;
根据所述第一接入侧路径、网络侧交换路径和第二接入侧路径,确定策略路径。
本发明实施例提供了一种确定策略路径的装置,用以实现策略路径的端到端呈现,进而实现故障的快速定位,该装置包括:
终端设备及接入侧路径确定单元,用于根据第一终端设备在预先构建的网络拓扑结构中的位置信息,确定与第一终端设备关联的第一网络设备及第一接入侧路径,根据第二终端设备在预先构建的网络拓扑结构中的位置信息,确定与第二终端设备关联的第二网络设备及第二接入侧路径;
策略匹配及地址确定单元,用于在第一网络设备节点,根据第一终端设备的地址,确定匹配的源NAT策略,在第二网络设备节点,根据第二终端设备的地址,确定匹配的目的NAT策略;根据源NAT策略的匹配结果,确定网络设备实际通信的源地址,根据目的NAT策略的匹配结果,确定网络设备实际通信的目的地址;
网络侧交换路径确定单元,用于依次遍历预先构建的网络拓扑结构中的每个网络设备,根据网络设备实际通信的源地址和目的地址,在每一网络设备上匹配预设顺序和节点类型的策略,确定每一跳的交换链路,直到找到所述第二网络设备;所述第一网络设备与第二网络设备之间的所有交换链路构成网络侧交换路径;
策略路径确定单元,用于根据所述第一接入侧路径、网络侧交换路径和第二接入侧路径,确定策略路径。
本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述确定策略路径的方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述确定策略路径的方法的计算机程序。
本发明实施例提供的技术方案通过根据第一终端设备在预先构建的网络拓扑结构中的位置信息,确定与第一终端设备关联的第一网络设备及第一接入侧路径,根据第二终端设备在预先构建的网络拓扑结构中的位置信息,确定与第二终端设备关联的第二网络设备及第二接入侧路径;在第一网络设备节点,根据第一终端设备的地址,确定匹配的源NAT策略,在第二网络设备节点,根据第二终端设备的地址,确定匹配的目的NAT策略;根据源NAT策略的匹配结果,确定网络设备实际通信的源地址,根据目的NAT策略的匹配结果,确定网络设备实际通信的目的地址;依次遍历预先构建的网络拓扑结构中的每个网络设备,根据网络设备实际通信的源地址和目的地址,在每一网络设备上匹配预设顺序和节点类型的策略,确定每一跳的交换链路,直到找到第二网络设备;第一网络设备与第二网络设备之间的所有交换链路构成网络侧交换路径;根据第一接入侧路径、网络侧交换路径和第二接入侧路径,确定策略路径,实现了根据预设顺序和节点类型的策略以及预先建立的网络拓扑,完成策略路径的端到端呈现,进而实现了故障快速定位。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中确定策略路径的方法的流程示意图;
图2是本发明实施例中交换链路的示意图;
图3是本发明实施例中接入链路的示意图;
图4是本发明另一实施例中确定策略路径的方法的流程示意图;
图5是本发明又一实施例中确定策略路径的方法的流程示意图;
图6是本发明又一实施例中策略路径示意图;
图7是本发明另一实施例中策略路径示意图;
图8是本发明实施例中确定策略路径的装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在介绍本发明实施例提供的技术方案之前,首先介绍本发明涉及的技术名词。
1、网络拓扑(Network Topology)结构:是指用传输介质互连各种设备的物理布局。指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。
2、NAT(Network Address Translation,网络地址转换):当在专用网内部的一些主机本来已经分配到了本地IP地址,但现在又想和因特网上的主机通信时,可使用NAT方法,它可以包括:SNAT(Source Network Address Translation,源网络地址转换),其作用是将IP数据包的源地址转换成另外一个地址;以及DNAT(Destination Network AddressTranslation,目的网络地址转换)。
3、安全策略:是指在某个安全区域内(一个安全区域,通常是指属于某个组织的一系列处理和通信资源),用于所有与安全相关活动的一套规则。
4、路由策略:是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了路由策略,路由器将通过路由图表决定如何对需要路由的数据包进行处理,路由表决定了一个数据包的下一跳转发路由器。
本发明实施例提供的确定策略路径的方案通过结合网络设备中的策略流水线(预设顺序和节点类型的策略)以及网络拓扑,实现了策略路径的端到端呈现,从而更好地呈现业务,实现了故障的快速定位。下面对该确定策略路径的方案进行详细介绍如下。
图1是本发明实施例中确定策略路径的方法的流程示意图,如图1所示,该方法包括如下步骤:
步骤101:根据第一终端设备在预先构建的网络拓扑结构中的位置信息,确定与第一终端设备关联的第一网络设备及第一接入侧路径,根据第二终端设备在预先构建的网络拓扑结构中的位置信息,确定与第二终端设备关联的第二网络设备及第二接入侧路径;
步骤102:在第一网络设备节点,根据第一终端设备的地址,确定匹配的源NAT策略,在第二网络设备节点,根据第二终端设备的地址,确定匹配的目的NAT策略;根据源NAT策略的匹配结果,确定网络设备实际通信的源地址,根据目的NAT策略的匹配结果,确定网络设备实际通信的目的地址;
步骤103:依次遍历预先构建的网络拓扑结构中的每个网络设备,根据网络设备实际通信的源地址和目的地址,在每一网络设备上匹配预设顺序和节点类型的策略,确定每一跳的交换链路,直到找到所述第二网络设备;所述第一网络设备与第二网络设备之间的所有交换链路构成网络侧交换路径;
步骤104:根据所述第一接入侧路径、网络侧交换路径和第二接入侧路径,确定策略路径。
本发明实施例提供的技术方案通过根据第一终端设备在预先构建的网络拓扑结构中的位置信息,确定与第一终端设备关联的第一网络设备及第一接入侧路径,根据第二终端设备在预先构建的网络拓扑结构中的位置信息,确定与第二终端设备关联的第二网络设备及第二接入侧路径;在第一网络设备节点,根据第一终端设备的地址,确定匹配的源NAT策略,在第二网络设备节点,根据第二终端设备的地址,确定匹配的目的NAT策略;根据源NAT策略的匹配结果,确定网络设备实际通信的源地址,根据目的NAT策略的匹配结果,确定网络设备实际通信的目的地址;依次遍历预先构建的网络拓扑结构中的每个网络设备,根据网络设备实际通信的源地址和目的地址,在每一网络设备上匹配预设顺序和节点类型的策略,确定每一跳的交换链路,直到找到第二网络设备;第一网络设备与第二网络设备之间的所有交换链路构成网络侧交换路径;根据第一接入侧路径、网络侧交换路径和第二接入侧路径,确定策略路径,实现了根据预设顺序和节点类型的策略以及预先建立的网络拓扑,完成策略路径的端到端呈现,进而实现了故障快速定位。
下面结合图2至图7,对本发明实施例涉及的各个步骤进行详细介绍如下。
一、首先介绍预先构建网络拓扑的步骤。
在一个实施例中,按照如下方法预先构建网络拓扑结构:
将网络设备之间互联的接口定义为交换接口;
将终端设备与网络设备之间互联的接口定义为接入接口;
将网络设备之间的链路定义为交换链路;
将终端设备与网络设备之间的链路定义为接入链路;
将多个交换链路相连构成交换路径;
将多个接入链路相连构成接入路径;
将交换路径和接入路径相连构成网络拓扑结构。
具体实施时,网络设备可以包括:网卡、交换机、路由器、网线、RJ45、中继器、网桥、路由器、网关、防火墙、负载均衡器等设备,防火墙是起到安全防护作用的网络设备,当然也可以理解为网络层的安全设备。
具体实施时,根据现网中的网络设备,包括且不限于防火墙、路由器、交换机等物理网络设备以及虚拟网络设备(VS(virtual switch:虚拟交换机),VR(virtual router:虚拟路由器),vFw(virtual firewall:虚拟防火墙))等,计算出网络拓扑。
终端设备可以是服务器、主机、虚拟机等。
具体实施时,网络设备之间互联的接口定义为fabric(交换)接口;主机、服务器等终端设备与网关设备(网关设备可以是防火墙或者路由器,内部可以集成交换机、路由器功能)互联的接口为access(接入)接口。
具体实施时,网络设备之间的链路定义为fabric-link(交换链路,可以由网络节点,以及连接两个节点的接口构成),具体地,如图2所示,该fabric-link有相邻的两个节点(网络设备)以及节点上互联的两个接口所构成,即设备A,接口eth1以及设备B,接口eth0,其中,fabric-link可以是逻辑链路,设fabric-link的两个接口为fabric(交换)接口,即接口eth1和eth0为fabric(交换)接口,每个接口有一种属性,即只能是fabric或者access。
具体实施时,主机、服务器(包含虚拟机)等终端设备与网络设备(例如防火墙设备)之间的链路定义为access-link(接入侧链路,可以由网络节点、主机地址以及主机与网络节点的关联接口构成),具体地,如图3所示,Host1(主机1)以及设备A,以及接口eth2,之间构建access-link,同时定义该网络设备的接口eth2为access接口。
另外,如果网络设备(防火墙设备)之间的网络路径未知,则可以定义两台网络设备之间的路径为逻辑链路。
具体实施时,网络设备之间(例如防火墙和网络设备之间)的路径构成了fabric-path,即交换路径;而多个access-link(接入侧链路)构成了access-path,及接入侧路径。
具体实施时,将access-path(接入侧路径)和fabric-path(交换路径)连接起来,形成整个网络的拓扑。
二、其次介绍上述步骤101。
具体实施时,当需要知道业务的策略路径时,即两个端点:第一终端设备(首终端设备、源终端设备)和第二终端设备(尾终端设备、目的终端设备)的实际访问路径。首先根据两个终端的位置信息找到与之关联的首尾两个网络设备,即根据第一终端设备在预先构建的网络拓扑结构中的位置信息,确定与第一终端设备关联的第一网络设备及第一接入侧路径,根据第二终端设备在预先构建的网络拓扑结构中的位置信息,确定与第二终端设备关联的第二网络设备及第二接入侧路径。
三、接着介绍上述步骤102。
在一个实施例中,根据源NAT策略的匹配结果,确定网络设备实际通信的源地址,根据目的NAT策略的匹配结果,确定网络设备实际通信的目的地址,可以包括:
在匹配到第一网络设备节点存在源NAT策略时,确定网络设备实际通信的源地址为经过源NAT转换后的源地址;在匹配到第二网络设备节点存在目的NAT策略时,确定网络设备实际通信的目的地址为经过目的NAT转换前的目的地址;
在匹配到第一网络设备节点不存在源NAT策略时,确定网络设备实际通信的源地址则为第一终端设备的地址;在匹配到第二网络设备节点不存在目的NAT策略时,确定网络设备实际通信的目的地址为第二终端设备的地址。
具体实施时,上述匹配源NAT策略和目的NAT策略的方案提高了确定策略路径的精度和效率。
具体实施时,在第一网络设备节点(首网络设备节点,首节点),根据源端点(第一终端设备)的地址寻找匹配的源NAT策略,在第二网络设备节点(尾网络设备节点,尾节点),根据目的端点(第二终端设备)的地址寻找匹配的目的NAT策略,如果有匹配的策略存在,则认为在中间的交换设备中,实际通信的是转换的地址,即源地址为转换后的源地址,目的地址实际为转换前的目的地址。
具体实施时,在第一网络设备节点,根据源端点的地址没有匹配到源NAT策略,但是匹配到了安全策略,在第二网络设备节点,根据目的端点没有匹配到目的NAT策略但是匹配到了安全策略,则认为在中间的交换设备中,实际通信的地址,即为第一终端设备的地址和第二终端设备的地址;
具体实施时,根据实际通信的地址在网络设备中没有匹配到安全策略或者路由策略,则认为策略路径不存在。
四、接着介绍上述步骤103。
在一个实施例中,依次遍历预先构建的网络拓扑结构中的每个网络设备,根据网络设备实际通信的源地址和目的地址,在每一网络设备上匹配预设顺序和节点类型的策略,确定每一跳的交换链路,直到找到所述第二网络设备,可以包括:
在第一跳的第一网络设备节点,根据网络设备实际通信的源地址和目的地址,匹配预设顺序和节点类型的策略,确定第一跳的交换链路;
根据确定第一跳的网络侧交换链路之后传递的源地址,依次遍历预先构建的网络拓扑结构中的其他网络设备,在每一其他网络设备上匹配预设顺序和节点类型的策略,确定其他跳的交换链路,直到找到所述第二网络设备。
在一个实施例中,在第一跳的第一网络设备节点,根据网络设备实际通信的源地址和目的地址,匹配预设顺序和节点类型的策略,确定第一跳的交换链路,可以包括:
在第一跳的第一网络设备节点,根据网络设备实际通信的源地址和目的地址,匹配安全策略;
在匹配到安全策略时,根据实际通信的源地址和目的地址,匹配路由策略;
在匹配到路由策略时,根据路由策略的出接口,确定第一跳的交换链路出接口;
在第一跳的第一网络设备节点匹配到源NAT策略时,更新源地址,将更新后的源地址传递给第二跳的网络设备节点;所述更新后的源地址为实际通信的源地址。
具体实施时,上述遍历预先构建的网络拓扑结构中的每个网络设备得到网络侧交换路径的方案提高了确定策略路径的精度和效率。
具体实施时,在第一跳的网络设备节点(第一网络设备节点,首节点),根据源地址(上述步骤102提到的转换后的源地址)和新的目的地址(上述步骤102提到的转换前的目的地址),匹配转发流水线(预设顺序和预设策略类型)上的各种策略。转发流水线由物理设备(网络设备)本身确定,即NAT策略,安全策略,路由策略在流水线上不同的位置(预先设置的匹配策略的顺序),决定了转发的表中所匹配的地址。例如,SNAT策略在安全策略的前面,当需要做SNAT转换的时候,安全策略的匹配源地址,就不是未经SNAT转换的源地址,而是SNAT转换后的新的源地址。后续的流程,会根据流水线做适配。上述流水线的含义是每个转发功能(SNAT,安全策略、DNAT、路由策略)的转发表在实际转发过程的位置信息:每一网络设备都有预先设定要匹配的策略类型的顺序,例如:安全策略、路由策略这两种类型,预先设定的匹配顺序,例如:先匹配安全策略,再匹配路由策略。每个设备匹配的策略类型和顺序可以不同。
下面,以一个例子,说明转发流程:网络设备节点首先要匹配安全策略,如果安全策略不存在,则结束流程,认为路径不可达;如果有匹配的安全策略,则继续匹配路由策略,如果没有匹配的路由策略,也认为路径不可达,如果存在匹配的路由策略,则根据路由策略的出接口,确定第一跳的fabric-path的出接口。如果SNAT(source network addresstranslate:源网络地址转换)策略被匹配上,则需要更新,源地址同时把新的源地址传递给第二跳的节点。后续的网络设备节点处理同第一跳,直至找到access出接口,该access接口所连接的终端设备例如host(主机)即为目的终端设备(第二终端设备)。至此,一条完整的策略路径形成。如果fabric-link为逻辑链路,也作为普通链路处理,其构成为通物理链路。
五、接着介绍步骤104。
具体实施时,如上述步骤103所提到的,第一接入侧路径、网络侧交换路径(网络侧路径)和第二接入侧路径相连接,构成了一条完整的策略路径。
下面再结合附图4至图7举实例说明,以便于理解本发明如何实施。
实施例一:如图4至图6所示,本发明实施例提供的确定策略路径的实施方法主要包括:
1.根据网络的信息(包括网络设备、接口以及主机设备等信息,参考上文),构建网络拓扑结构,根据SPF(Shortest Path first:最短路径)计算出fabric-path(deviceA(eth1)-deviceB(eth0),同时根据两个端点的接入侧信息,构建端点Host1到端点Host2的完整的路径(Host1-deviceA-deviceB-host2),以及每两个节点之间的接口信息,其中计算出的拓扑路径可能不止一条。
2.根据Host1所在的设备A上的安全域,结合Host1的地址,找到access的接口,构建access-link1。
3.根据Host2所在的设备B上的安全域,结合Host2的地址,找到access的接口,构建access-link2。
4.根据access-link1所连接的设备A(第一网络设备),根据源地址和目的地址,匹配安全策略,如果有匹配的策略,则认为路径可达,如果没有匹配的策略,则认为路径不可达。
5.根据目的地址在设备A上找到匹配的路由表,如果路由表已经存在(如果路由条目已存在,即到达目的终端的最短路径存在),则匹配路由表的出接口与fabric-path路径中的设备A的出接口地址是否匹配,如果一致,则认为这条fabric-path是可达的(查找路由表中该路由条目的“下一跳”地址是否和交换路径中设备A的出接口地址是否一致,即找到了设备A通向设备B的出口了);路由表的定义如下表1所示,路由表中携带了出接口信息:
表1
6.根据fabric-path的路径信息确定设备A的出接口是eth1,根据devcieA+eth1,确定下一跳的链路是fabric-link1,从而找到deviceB。
7.在device-B上,根据源地址和目的地址,以及路由表和安全策略表,具体处理步骤同步骤5,找到出接口access-link2。
8.通过access-link2确定了Host2,从而确定了Host1和Host2的完整的路径,并根据一系列的路由策略决定了数据包的路由方向。
实施例二:如图7所示,本发明实施例提供的确定策略路径的实施方法主要包括:
1.根据上文描述,构建网络拓扑,根据端点Host1和Host2计算出构建Host1服到端点Host2的完整的路径(Host1-deviceA-deviceB-deviceC-Host2),以及每两个节点之间的接口信息,其中计算出的拓扑路径可能不止一条,如图7所示,设备A和设备B之间的链路非直连的物理链路,而是逻辑链路,即A到B之间,会经过多个其他的网络节点,这里,本发明关注的是链路本身的关系,即逻辑链路fabric-link1的构成(deviceA+Ge1以及deviceB+Ge2);
2.根据Host1所在的设备A上的安全域,结合Host1的地址,找到access的接口,构建access-link1。
3.根据Host2所在的设备B上的安全域,结合Host2的地址,找到access的接口,构建access-link2。
4.在匹配完SNAT策略和DNAT策略确定了网络设备实际通信的源地址和目的地址后,根据access-link1所连接的设备A,在第一跳的网络设备节点,根据源地址和目的地址,匹配安全策略,如果有匹配的策略,则认为路径可达,如果没有匹配的策略,则认为路径不可达。
5.根据目的地址在设备A上找到匹配的路由表,如果路由表已经存在,则匹配路由表的出接口与fabric-path路径中的设备A的出接口地址是否匹配,如果一致,则认为这条fabric-path是可达的;路由表如上表1所示,路由中携带了出接口信息。
6.根据fabric-path的路径信息确定设备A的出接口是eth1,根据devcieA+eth1,确定下一跳的链路是fabric-link1,从而找到device B。
7.第二跳的处理方式同首节点(第一网络设备节点、首网络设备节点),在device-B上,根据源地址和目的地址,以及路由表和安全策略表,具体处理步骤同步骤5,找到出接口对应的fabric-link2。
8.Device-C根据acess-link2发现节点是目的节点,则会匹配路由策略,根据路由策略的出接口是否与access-link2的出接口一致,如果不一致,则路径不可达,从而确定了Host1和Host2的完整的路径,即遍历所有的网络节点,构建策略在网络设备侧的完整路径,将网络侧路径与接入侧路径结合,构建端到端的完整的策略路径。
具体实施时,图6中的eth2和eth3为接入接口,图7中的Ge0和Ge5为接入接口,Ge1、Ge2、Ge3和Ge4为交换接口。
基于同一发明构思,本发明实施例中还提供了一种确定策略路径的装置,如下面的实施例所述。由于确定策略路径的装置解决问题的原理与确定策略路径的方法相似,因此确定策略路径的装置的实施可以参见确定策略路径的方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图8是本发明实施例中确定策略路径的装置的结构示意图,如图8所示,该装置包括:
终端设备及接入侧路径确定单元02,用于根据第一终端设备在预先构建的网络拓扑结构中的位置信息,确定与第一终端设备关联的第一网络设备及第一接入侧路径,根据第二终端设备在预先构建的网络拓扑结构中的位置信息,确定与第二终端设备关联的第二网络设备及第二接入侧路径;
策略匹配及地址确定单元04,用于在第一网络设备节点,根据第一终端设备的地址,确定匹配的源NAT策略,在第二网络设备节点,根据第二终端设备的地址,确定匹配的目的NAT策略;根据源NAT策略的匹配结果,确定网络设备实际通信的源地址,根据目的NAT策略的匹配结果,确定网络设备实际通信的目的地址;
网络侧交换路径确定单元06,用于依次遍历预先构建的网络拓扑结构中的每个网络设备,根据网络设备实际通信的源地址和目的地址,在每一网络设备上匹配预设顺序和节点类型的策略,确定每一跳的交换链路,直到找到所述第二网络设备;所述第一网络设备与第二网络设备之间的所有交换链路构成网络侧交换路径;
策略路径确定单元08,用于根据所述第一接入侧路径、网络侧交换路径和第二接入侧路径,确定策略路径。
在一个实施例中,所述网络侧交换路径确定单元具体可以用于:
在第一跳的第一网络设备节点,根据网络设备实际通信的源地址和目的地址,匹配预设顺序和节点类型的策略,确定第一跳的交换链路;
根据确定第一跳的网络侧交换链路之后传递的源地址,依次遍历预先构建的网络拓扑结构中的其他网络设备,在每一其他网络设备上匹配预设顺序和节点类型的策略,确定其他跳的交换链路,直到找到所述第二网络设备。
在一个实施例中,在第一跳的第一网络设备节点,根据网络设备实际通信的源地址和目的地址,匹配预设顺序和节点类型的策略,确定第一跳的交换链路,可以包括:
在第一跳的第一网络设备节点,根据网络设备实际通信的源地址和目的地址,匹配安全策略;
在匹配到安全策略时,根据实际通信的源地址和目的地址,匹配路由策略;
在匹配到路由策略时,根据路由策略的出接口,确定第一跳的交换链路出接口;
在第一跳的第一网络设备节点匹配到源NAT策略时,更新源地址,将更新后的源地址传递给第二跳的网络设备节点;所述更新后的源地址为实际通信的源地址。
在一个实施例中,上述确定策略路径的装置还可以包括网络拓扑构建单元,用于按照如下方法预先构建网络拓扑结构:
将网络设备之间互联的接口定义为交换接口;
将终端设备与网关设备(例如,防火墙)之间互联的接口定义为接入接口;
将网络设备之间的链路定义为交换链路;
将终端设备与网络设备(例如,防火墙)之间的链路定义为接入链路;
将多个交换链路相连构成交换路径;
将多个接入链路相连构成接入路径;
将交换路径和接入路径相连构成网络拓扑结构。
在一个实施例中,策略匹配及地址确定单元具体可以用于:在匹配到第一网络设备节点存在源NAT策略时,确定网络设备实际通信的源地址为经过源NAT转换后的源地址;在匹配到第二网络设备节点存在目的NAT策略时,确定网络设备实际通信的目的地址为经过目的NAT转换前的目的地址。
本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述确定策略路径的方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述确定策略路径的方法的计算机程序。
本发明实施例提供技术方案的有益技术效果是:实现了根据预设顺序和节点类型的策略(策略流水线)以及预先建立的网络拓扑,确定策略路径,完成策略路径的端到端呈现,将策略路径与流量信息结合起来,便于快速定位故障。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种确定策略路径的方法,其特征在于,包括:
根据第一终端设备在预先构建的网络拓扑结构中的位置信息,确定与第一终端设备关联的第一网络设备及第一接入侧路径,根据第二终端设备在预先构建的网络拓扑结构中的位置信息,确定与第二终端设备关联的第二网络设备及第二接入侧路径;
在第一网络设备节点,根据第一终端设备的地址,确定匹配的源NAT策略,在第二网络设备节点,根据第二终端设备的地址,确定匹配的目的NAT策略;根据源NAT策略的匹配结果,确定网络设备实际通信的源地址,根据目的NAT策略的匹配结果,确定网络设备实际通信的目的地址;
依次遍历预先构建的网络拓扑结构中的每个网络设备,根据网络设备实际通信的源地址和目的地址,在每一网络设备上匹配预设顺序和节点类型的策略,确定每一跳的交换链路,直到找到所述第二网络设备;所述第一网络设备与第二网络设备之间的所有交换链路构成网络侧交换路径;
根据所述第一接入侧路径、网络侧交换路径和第二接入侧路径,确定策略路径。
2.如权利要求1所述的确定策略路径的方法,其特征在于,根据源NAT策略的匹配结果,确定网络设备实际通信的源地址,根据目的NAT策略的匹配结果,确定网络设备实际通信的目的地址,包括:
在匹配到第一网络设备节点存在源NAT策略时,确定网络设备实际通信的源地址为经过源NAT转换后的源地址;在匹配到第二网络设备节点存在目的NAT策略时,确定网络设备实际通信的目的地址为经过目的NAT转换前的目的地址。
3.如权利要求1所述的确定策略路径的方法,其特征在于,依次遍历预先构建的网络拓扑结构中的每个网络设备,根据网络设备实际通信的源地址和目的地址,在每一网络设备上匹配预设顺序和节点类型的策略,确定每一跳的交换链路,直到找到所述第二网络设备,包括:
在第一跳的第一网络设备节点,根据网络设备实际通信的源地址和目的地址,匹配预设顺序和节点类型的策略,确定第一跳的交换链路;
根据确定第一跳的网络侧交换链路之后传递的源地址,依次遍历预先构建的网络拓扑结构中的其他网络设备,在每一其他网络设备上匹配预设顺序和节点类型的策略,确定其他跳的交换链路,直到找到所述第二网络设备。
4.如权利要求3所述的确定策略路径的方法,其特征在于,在第一跳的第一网络设备节点,根据网络设备实际通信的源地址和目的地址,匹配预设顺序和节点类型的策略,确定第一跳的交换链路,包括:
在第一跳的第一网络设备节点,根据网络设备实际通信的源地址和目的地址,匹配安全策略;
在匹配到安全策略时,根据实际通信的源地址和目的地址,匹配路由策略;
在匹配到路由策略时,根据路由策略的出接口,确定第一跳的交换链路出接口;
在第一跳的第一网络设备节点匹配到源NAT策略时,更新源地址,将更新后的源地址传递给第二跳的网络设备节点;所述更新后的源地址为实际通信的源地址。
5.如权利要求1所述的确定策略路径的方法,其特征在于,按照如下方法预先构建网络拓扑结构:
将网络设备之间互联的接口定义为交换接口;
将终端设备与网络设备之间互联的接口定义为接入接口;
将网络设备之间的链路定义为交换链路;
将终端设备与网络设备之间的链路定义为接入链路;
将多个交换链路相连构成交换路径;
将多个接入链路相连构成接入路径;
将交换路径和接入路径相连构成网络拓扑结构。
6.一种确定策略路径的装置,其特征在于,包括:
终端设备及接入侧路径确定单元,用于根据第一终端设备在预先构建的网络拓扑结构中的位置信息,确定与第一终端设备关联的第一网络设备及第一接入侧路径,根据第二终端设备在预先构建的网络拓扑结构中的位置信息,确定与第二终端设备关联的第二网络设备及第二接入侧路径;
策略匹配及地址确定单元,用于在第一网络设备节点,根据第一终端设备的地址,确定匹配的源NAT策略,在第二网络设备节点,根据第二终端设备的地址,确定匹配的目的NAT策略;根据源NAT策略的匹配结果,确定网络设备实际通信的源地址,根据目的NAT策略的匹配结果,确定网络设备实际通信的目的地址;
网络侧交换路径确定单元,用于依次遍历预先构建的网络拓扑结构中的每个网络设备,根据网络设备实际通信的源地址和目的地址,在每一网络设备上匹配预设顺序和节点类型的策略,确定每一跳的交换链路,直到找到所述第二网络设备;所述第一网络设备与第二网络设备之间的所有交换链路构成网络侧交换路径;
策略路径确定单元,用于根据所述第一接入侧路径、网络侧交换路径和第二接入侧路径,确定策略路径。
7.如权利要求6所述的确定策略路径的装置,其特征在于,所述网络侧交换路径确定单元具体用于:
在第一跳的第一网络设备节点,根据网络设备实际通信的源地址和目的地址,匹配预设顺序和节点类型的策略,确定第一跳的交换链路;
根据确定第一跳的网络侧交换链路之后传递的源地址,依次遍历预先构建的网络拓扑结构中的其他网络设备,在每一其他网络设备上匹配预设顺序和节点类型的策略,确定其他跳的交换链路,直到找到所述第二网络设备。
8.如权利要求7所述的确定策略路径的装置,其特征在于,在第一跳的第一网络设备节点,根据网络设备实际通信的源地址和目的地址,匹配预设顺序和节点类型的策略,确定第一跳的交换链路,包括:
在第一跳的第一网络设备节点,根据网络设备实际通信的源地址和目的地址,匹配安全策略;
在匹配到安全策略时,根据实际通信的源地址和目的地址,匹配路由策略;
在匹配到路由策略时,根据路由策略的出接口,确定第一跳的交换链路出接口;
在第一跳的第一网络设备节点匹配到源NAT策略时,更新源地址,将更新后的源地址传递给第二跳的网络设备节点;所述更新后的源地址为实际通信的源地址。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5任一所述方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至5任一所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910648696.1A CN110430130B (zh) | 2019-07-18 | 2019-07-18 | 确定策略路径的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910648696.1A CN110430130B (zh) | 2019-07-18 | 2019-07-18 | 确定策略路径的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110430130A true CN110430130A (zh) | 2019-11-08 |
| CN110430130B CN110430130B (zh) | 2021-04-30 |
Family
ID=68410936
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910648696.1A Active CN110430130B (zh) | 2019-07-18 | 2019-07-18 | 确定策略路径的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110430130B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110855721A (zh) * | 2020-01-15 | 2020-02-28 | 武汉思普崚技术有限公司 | 一种寻找网络逻辑路径的方法、设备及存储介质 |
| CN112671946A (zh) * | 2020-12-25 | 2021-04-16 | 中盈优创资讯科技有限公司 | 一种基于sdn的地址转换实现方法 |
| CN112839045A (zh) * | 2021-01-14 | 2021-05-25 | 中盈优创资讯科技有限公司 | 对策略进行编排的实现方法及装置 |
| CN112910666A (zh) * | 2019-11-19 | 2021-06-04 | 苏州至赛信息科技有限公司 | 设备处理数据包的仿真方法、装置和计算机设备 |
| CN112910721A (zh) * | 2019-11-19 | 2021-06-04 | 苏州至赛信息科技有限公司 | 访问路径查询方法、装置、计算机设备和存储介质 |
| CN113316034A (zh) * | 2020-02-27 | 2021-08-27 | 中国电信股份有限公司 | 用于配置光缆路由的方法、系统、装置及存储介质 |
| CN115225462A (zh) * | 2022-07-21 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 网络故障诊断方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110208802A1 (en) * | 2010-02-19 | 2011-08-25 | Microsoft Corporation | Distributed connectivity policy enforcement with ice |
| CN103384989A (zh) * | 2010-12-28 | 2013-11-06 | 思杰系统有限公司 | 用于对多个下一跳进行策略路由的系统和方法 |
| CN105871721A (zh) * | 2015-01-19 | 2016-08-17 | 中兴通讯股份有限公司 | 一种段路由处理方法、处理装置及发送装置 |
| CN108880840A (zh) * | 2017-05-10 | 2018-11-23 | 中兴通讯股份有限公司 | 获取访问路径的方法和装置 |
| CN109076017A (zh) * | 2016-05-09 | 2018-12-21 | 阿尔卡特朗讯 | 多路径无线通信 |
| CN109600368A (zh) * | 2018-12-07 | 2019-04-09 | 中盈优创资讯科技有限公司 | 一种确定防火墙策略的方法及装置 |
-
2019
- 2019-07-18 CN CN201910648696.1A patent/CN110430130B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110208802A1 (en) * | 2010-02-19 | 2011-08-25 | Microsoft Corporation | Distributed connectivity policy enforcement with ice |
| CN103384989A (zh) * | 2010-12-28 | 2013-11-06 | 思杰系统有限公司 | 用于对多个下一跳进行策略路由的系统和方法 |
| CN105871721A (zh) * | 2015-01-19 | 2016-08-17 | 中兴通讯股份有限公司 | 一种段路由处理方法、处理装置及发送装置 |
| CN109076017A (zh) * | 2016-05-09 | 2018-12-21 | 阿尔卡特朗讯 | 多路径无线通信 |
| CN108880840A (zh) * | 2017-05-10 | 2018-11-23 | 中兴通讯股份有限公司 | 获取访问路径的方法和装置 |
| CN109600368A (zh) * | 2018-12-07 | 2019-04-09 | 中盈优创资讯科技有限公司 | 一种确定防火墙策略的方法及装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112910666A (zh) * | 2019-11-19 | 2021-06-04 | 苏州至赛信息科技有限公司 | 设备处理数据包的仿真方法、装置和计算机设备 |
| CN112910721A (zh) * | 2019-11-19 | 2021-06-04 | 苏州至赛信息科技有限公司 | 访问路径查询方法、装置、计算机设备和存储介质 |
| CN110855721A (zh) * | 2020-01-15 | 2020-02-28 | 武汉思普崚技术有限公司 | 一种寻找网络逻辑路径的方法、设备及存储介质 |
| CN110855721B (zh) * | 2020-01-15 | 2020-05-22 | 武汉思普崚技术有限公司 | 一种寻找网络逻辑路径的方法、设备及存储介质 |
| CN113316034A (zh) * | 2020-02-27 | 2021-08-27 | 中国电信股份有限公司 | 用于配置光缆路由的方法、系统、装置及存储介质 |
| CN113316034B (zh) * | 2020-02-27 | 2022-10-04 | 中国电信股份有限公司 | 用于配置光缆路由的方法、系统、装置及存储介质 |
| CN112671946A (zh) * | 2020-12-25 | 2021-04-16 | 中盈优创资讯科技有限公司 | 一种基于sdn的地址转换实现方法 |
| CN112671946B (zh) * | 2020-12-25 | 2023-04-25 | 中盈优创资讯科技有限公司 | 一种基于sdn的地址转换实现方法 |
| CN112839045A (zh) * | 2021-01-14 | 2021-05-25 | 中盈优创资讯科技有限公司 | 对策略进行编排的实现方法及装置 |
| CN112839045B (zh) * | 2021-01-14 | 2023-05-30 | 中盈优创资讯科技有限公司 | 对策略进行编排的实现方法及装置 |
| CN115225462A (zh) * | 2022-07-21 | 2022-10-21 | 北京天融信网络安全技术有限公司 | 网络故障诊断方法及装置 |
| CN115225462B (zh) * | 2022-07-21 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 网络故障诊断方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110430130B (zh) | 2021-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110430130A (zh) | 确定策略路径的方法及装置 | |
| CN105765946B (zh) | 支持数据网络中的服务链接的方法和系统 | |
| US10148517B2 (en) | Systems and methods for topology discovery and application in a border gateway protocol based data center | |
| CN105830404B (zh) | 用于隐式会话路由的方法 | |
| US9225629B2 (en) | Efficient identification of node protection remote LFA target | |
| CN105227463B (zh) | 一种分布式设备中业务板间的通信方法 | |
| CN104426773B (zh) | 网络中继系统和交换机装置 | |
| EP3248339B1 (en) | Devices, systems and methods for service chains | |
| CN106105115A (zh) | 网络环境中由服务节点始发的服务链 | |
| CN109039703A (zh) | 一种复杂网络模拟环境下业务场景网络快速构建的方法及系统 | |
| CN107005439A (zh) | 用于在线服务链接的被动性能测量 | |
| KR101658327B1 (ko) | 통신 경로 선택을 위한 방법 및 장치 | |
| CN108173694A (zh) | 一种数据中心的安全资源池接入方法及系统 | |
| Tran et al. | A network topology-aware selectively distributed firewall control in sdn | |
| CN108259466B (zh) | DDoS流量回注方法、SDN控制器及网络系统 | |
| CN109756521B (zh) | 一种nsh报文处理方法、装置及系统 | |
| CN105847072B (zh) | 软件定义网络中探测数据流传输路径的方法及其装置 | |
| CN105763462A (zh) | 一种处理堆叠分裂的方法及交换机 | |
| Karna et al. | Performance Analysis of Interior Gateway Protocols (IGPs) using GNS-3 | |
| Rajaratnam et al. | Software defined networks: Comparative analysis of topologies with ONOS | |
| Kanonakis et al. | SDN-controlled routing of elephants and mice over a hybrid optical/electrical DCN testbed | |
| Amigo et al. | An sdn-based approach for qos and reliability in overlay networks | |
| Hantouti et al. | A novel SDN-based architecture and traffic steering method for service function chaining | |
| US10644895B1 (en) | Recovering multicast data traffic during spine reload in software defined networks | |
| EP3611848B1 (en) | Method and apparatus for generating shared risk link group |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: Room 702-2, No. 4811, Cao'an Highway, Jiading District, Shanghai Patentee after: CHINA UNITECHS Address before: 100872 5th floor, Renmin culture building, 59 Zhongguancun Street, Haidian District, Beijing Patentee before: CHINA UNITECHS |
|
| CP02 | Change in the address of a patent holder |