CN110855721A - 一种寻找网络逻辑路径的方法、设备及存储介质 - Google Patents

一种寻找网络逻辑路径的方法、设备及存储介质 Download PDF

Info

Publication number
CN110855721A
CN110855721A CN202010041457.2A CN202010041457A CN110855721A CN 110855721 A CN110855721 A CN 110855721A CN 202010041457 A CN202010041457 A CN 202010041457A CN 110855721 A CN110855721 A CN 110855721A
Authority
CN
China
Prior art keywords
path
equipment
matching
next hop
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010041457.2A
Other languages
English (en)
Other versions
CN110855721B (zh
Inventor
李先瞧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuhan Sipuleng Technology Co Ltd
Original Assignee
Wuhan Sipuleng Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan Sipuleng Technology Co Ltd filed Critical Wuhan Sipuleng Technology Co Ltd
Priority to CN202010041457.2A priority Critical patent/CN110855721B/zh
Publication of CN110855721A publication Critical patent/CN110855721A/zh
Application granted granted Critical
Publication of CN110855721B publication Critical patent/CN110855721B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • H04L45/745Address table lookup; Address filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Abstract

本发明公开了一种寻找网络逻辑路径的方法、设备及存储介质,所述方法通过匹配源IP或源网段找出对应的子网进而获取多个路径起始节点和起始子网后,再找到起始设备节点,并对起始设备节点进行DNat转换情况判断,在判断有DNat情况发生时,对输入的目的地址进行转换并进行路由匹配确认出下一跳接口,然后判断下一跳接口是否为路径终点设备,如果不是则继续查找下一跳接口直至找到路径终点设备后为止,得到所有的网络路径,最后对网络路径中的可达网络路径中的防火墙设备进行安全策略匹配得到可达访问不通路径以及可达访问全通路径。本发明可快速知道数据包在全网内由起点到达终点所有的行走路线,帮助管理员以可视的手段快速的定位逻辑路径。

Description

一种寻找网络逻辑路径的方法、设备及存储介质
技术领域
本发明涉及计算机安全技术领域,特别涉及一种寻找网络逻辑路径的方法、设备及存储介质。
背景技术
企业网络规模大,安全要求高;安全设备及交换设备非常多,设备规模庞大从几百上千甚至万台设备,基本的设备管理已经让网络管理员头疼,当发生了业务访问路径不通时,很难判断是由于物理链接引起还是由于路由或策略引起,导致排查很困难无方向无头绪;当发生攻击入侵时或者内网某个主机被感染时,也很难判断出该主机可以通过哪些路径威胁到哪些网络区域。
因而现有技术还有待改进和提高。
发明内容
鉴于上述现有技术的不足之处,本发明的目的在于提供一种寻找网络逻辑路径的方法、设备及存储介质,可快速知道数据包在全网内由起点到达终点所有的行走路线,帮助管理员以可视的手段快速的定位逻辑路径。
为了达到上述目的,本发明采取了以下技术方案:
一种寻找网络逻辑路径的方法,包括如下步骤:
获取正在各个设备的内存中运行的配置文件并解析后,将所述配置文件转换为标准格式的文件集;
根据用户输入五元组中的源地址匹配出一个或者多个与源地址相对应的子网,并确认出至少一个路径起始节点以及起始子网,其中,所述源地址为单IP地址或网段;
根据所述起始子网确认出起始子网所在的接口,并通过起始子网所在的接口确认出起始设备节点;
判断所述起始设备节点是否存在Nat策略,并在所述起始设备节点存在Nat策略时将用户输入的目的IP地址修改为DNat转换后的目的IP地址;
对DNat转换后的目的IP地址进行路由匹配,并确认出起始设备节点的下一跳接口以及接口的属性状态;
根据起始设备的下一跳接口的属性状态判断下一跳接口所属的设备是否为路径终点设备,并在下一跳接口所属的设备不是路径终点时确定出其该接口所属的设备并继续匹配出该设备的下一跳接口直至最终匹配出的接口所属的设备为路径终点设备为止;
确定出所有网络路径中的可达网络路径,并对确定出的可达网络路径上的所有防火墙设备进行安全策略匹配,并根据匹配结果确认出可达网络路径中的可达访问不通路径以及可达访问全通路径。
优选的,所述的寻找网络逻辑路径的方法中,所述根据用户输入五元组中的源地址匹配出一个或者多个与源地址相对应的子网,并确认出至少一个路径起始节点以及起始子网,其中,所述源地址为单IP地址或网段的步骤之前还包括:
获取正在各个设备的内存中运行的配置文件并解析后,将所述配置文件转换为标准格式的文件集,其中,所述文件集中至少包括路由表列表、对象列表、策略列表、接口列表以及子网列表。
优选的,所述的寻找网络逻辑路径的方法中,所述判断所述起始设备节点是否存在Nat策略,并在所述起始设备节点存在Nat策略时将用户输入的目的IP地址修改为DNat转换后的目的IP地址的步骤包括:
将用户输入的五元组中的目的IP地址与所述起始设备的目的Nat策略列表进行匹配;
当存在目的DNat转换时,将用户输入的目的IP地址修改为DNat转换后的目的IP地址。
优选的,所述的寻找网络逻辑路径的方法中,所述对DNat转换后的目的IP地址进行路由匹配,并确认出起始设备节点的下一跳接口以及接口的属性状态的步骤具体包括:
将DNat转换后的目的IP地址与路由表按照最长掩码匹配原则进行逐一匹配,并在匹配成功时将匹配成功的接口作为下一跳接口,并获取下一跳接口的属性状态。
优选的,所述的寻找网络逻辑路径的方法中,所述对DNat转换后的目的IP地址进行路由匹配,并确认出起始设备节点的下一跳接口以及接口的属性状态的步骤还包括:
当不存在目的DNat转换时,直接对用户输入的目的IP地址进行路由匹配。
优选的,所述的寻找网络逻辑路径的方法中,所述根据起始设备的下一跳接口的属性状态判断下一跳接口所属的设备是否为路径终点设备,并在下一跳接口所属的设备不是路径终点时确定出其该接口所属的设备并继续匹配出该设备的下一跳接口直至最终匹配出的接口所属的设备为路径终点设备为止的步骤包括:
判断下一跳接口的属性状态是否为直连路由,如果是,则判断下一跳接口所属的设备为路径终点设备,否则,判断下一跳接口所属的设备不是路径终点设备;
当判断下一跳接口所属的设备不是路径终点设备时,根据接口的IP地址确定接口所属的设备;
对当前设备节点依次进行Nat策略判断和路由匹配后得到当前设备节点的下一跳接口,并继续进行直连路由判断,在当前设备节点的下一跳接口所属的设备不是路径终点设备时继续匹配出下一跳接口直至最终匹配的接口所属的设备为路径终点设备为止。
优选的,所述的寻找网络逻辑路径的方法中,所述确定出所有网络路径中的可达网络路径,并对确定出的可达网络路径上的所有防火墙设备进行安全策略匹配,并根据匹配结果确认出可达网络路径中的可达访问不通路径以及可达访问全通路径的步骤包括:
判断网络路径的路径终点设备的子网列表是否包含了用户输入或者DNat转换后的目的IP地址,如果是,则判断该网络路径为可达网络路径;
根据可达网络路径的每个设备的设备类型查找出可达网络路径中所有防火墙设备;
将用户输入的五元组与每一个防火墙设备的每一条安全策略进行逐一匹配,并根据匹配结果判断出可达访问不通路径以及可达访问全通路径。
优选的,所述的寻找网络逻辑路径的方法中,所述将用户输入的五元组与每一个防火墙设备的每一条安全策略进行逐一匹配,并根据匹配结果判断出可达访问不通路径以及可达访问全通路径的步骤具体包括:
将用户输入的五元组以及每一个防火墙设备的每一安全策略的五元组范围分别进行笛卡尔乘积转换为细粒度的五元组组合,并将用户输入的细粒度五元组组合与各个安全策略的细粒度五元组组合依次进行比较,当可达访问路径上的每一个防火墙设备的每一条安全策略的细粒度五元组组合与用户输入的细粒度五元组组合均无交集时,判断该可达访问路径为可达访问全通路径,当存在交集时,用用户输入的细粒度五元组组合减去防火墙设备的安全策略的细粒度五元组组合,如果没有剩余五元组,则判断该可达访问路径为可达访问不通路径,且该安全策略所属的防火墙设备为阻断设备,如果均有剩余五元组,则判断该可达访问路径为可达访问全通路径,且剩余的五元组为该安全策略所属的防火墙设备的允许数据流,减去的五元组为该安全策略所属的防火墙设备的禁止数据流。
一种寻找网络逻辑路径的设备,包括:处理器、存储器和通信总线;
所述存储器上存储有可被所述处理器执行的计算机可读程序;
所述通信总线实现处理器和存储器之间的连接通信;
所述处理器执行所述计算机可读程序时实现如上所述的寻找网络逻辑路径的方法中的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如上所述的寻找网络逻辑路径的方法中的步骤。
相较于现有技术,本发明提供的寻找网络逻辑路径的方法、设备及存储介质中,所述方法通过匹配源IP或源网段找出对应的子网进而获取多个路径起始节点和起始子网后,再找到起始设备节点,并对起始设备节点进行DNat转换情况判断,在判断有DNat情况发生时,对输入的目的地址进行转换并进行路由匹配确认出下一跳接口,然后判断下一跳接口是否为路径终点设备,如果不是则继续查找下一跳接口直至找到路径终点设备后为止,得到所有的网络路径,最后对网络路径中的可达网络路径中的防火墙设备进行安全策略匹配得到可达访问不通路径以及可达访问全通路径。本发明可快速知道数据包在全网内由起点到达终点所有的行走路线,帮助管理员以可视的手段快速的定位逻辑路径。
附图说明
图1为本发明提供的寻找网络逻辑路径的方法的一较佳实施例的流程图;
图2为本发明提供的寻找网络逻辑路径的方法中所述步骤S300的流程图;
图3为本发明提供的寻找网络逻辑路径的方法中所述步骤S500的一较佳实施例的流程图;
图4为本发明提供的寻找网络逻辑路径的方法中所述步骤S600的一较佳实施例的流程图;
图5为本发明寻找网络逻辑路径的程序的较佳实施例的运行环境示意图;
图6为本发明安装寻找网络逻辑路径的程序的系统较佳实施例的功能模块图。
具体实施方式
本发明提供一种寻找网络逻辑路径的方法、设备及存储介质,为使本发明的目的、技术方案及效果更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
请参阅图1,其为本发明提供的寻找网络逻辑路径的方法的一较佳实施例的流程图,包括如下步骤:
S100、根据用户输入五元组中的源地址匹配出一个或者多个与源地址相对应的子网,并确认出至少一个路径起始节点以及起始子网,其中,所述源地址为单IP地址或网段。
本实施例中,用户输入的数据包以五元组的方式进行转发匹配,五元组可以为单IP五元组,例如192.168.1.1:1345->172.16.1.2:80,也可为多IP的五元组组合,例如192.168.1.1/24->172.168.2.1/24:80-88,单IP五元组中的源地址和目的地址均为单个IP地址,五元组组合的源地址和/或目的地址为网段,本发明可将五元组组合进行匹配得出多条网络逻辑路径,方便管理员快速的定位逻辑路径,由于网络设备接口都会配置所属子网段,所以通过用户输入的源IP或源网段可以找到对应的子网,若用户输入的的子网网段较大,设备本身存在的子网网段较小,那么在源子网匹配阶段就会匹配出多个子网,从而确认存在多个路径起始节点。
优选的,所述步骤S100之前还包括:
获取正在各个设备的内存中运行的配置文件并解析后,将所述配置文件转换为标准格式的文件集。
本实施例中,首先通过ssh协议连接到各个设备,然后在命令行中将设备的running config配置抓取回来,解析后标准化成固定格式文件集,方便后续的匹配,具体的,所述文件集至少包括路由表列表、对象(地址、服务)列表、策略(ACL、安全、Nat)列表、接口列表、子网列表。
S200、根据所述起始子网确认出起始子网所在的接口,并通过起始子网所在的接口确认出起始设备节点。
本实施例中,在确认了起始子网后,可通过子网确认其所在接口,然后通过接口确认其所在设备,此时即可找出起始设备节点,之后即可通过路由匹配来确认下一跳设备。
S300、判断所述起始设备节点是否存在Nat策略,并在所述起始设备节点存在Nat策略时将用户输入的目的IP地址修改为DNat转换后的目的IP地址。
本实施例中,由于一些设备中设置有Nat策略,所以须首先对其进行判断,确认出最终的目的地址,具体的,请参阅图2,所述步骤S300具体包括:
S301、将用户输入的五元组中的目的IP地址与所述起始设备的目的Nat策略列表进行匹配;
S302、当存在目的DNat转换时,将用户输入的目的IP地址修改为DNat转换后的目的IP地址。
本实施例中,取用户输入的目的地址,去匹配当前设备节点的目的Nat策略列表;若存在目的Nat情况,我们需要改变用户输入的目的地址,修改为转换后的IP地址,然后再进行后面的五元组匹配;同时以转换后的目的IP地址为准进行路由表匹配,保证数据准确度。
S400、对DNat转换后的目的IP地址进行路由匹配,并确认出起始设备节点的下一跳接口以及接口的属性状态。
本实施例中,在确认了最终的目的地址后,需进行路由匹配来找出起始设备节点的下一跳接口,进而查找出一条完成的网络逻辑路径,具体的,所述步骤S400具体包括:
将DNat转换后的目的IP地址与路由表按照最长掩码匹配原则进行逐一匹配,并在匹配成功时将匹配成功的接口作为下一跳接口,并获取下一跳接口的属性状态。
本实施例中,确认了最终的目的地址后,匹配路由表时遵循最长掩码匹配原则,进行路由表逐一匹配;从而确定下一跳接口及接口的属性状态;若成功匹配路由说明其中一条可能的路径是要经过此设备的,暂时缓存记录下来。
优选的,所述步骤S400还包括:
当不存在目的DNat转换时,直接对用户输入的目的IP地址进行路由匹配。
换而言之,如果当前的设备节点不存在DNat转换情况时,则不需要进行Nat转换,所以直接以用户输入的目的IP地址作为最终的目的地址来进行路由匹配。
S500、根据起始设备的下一跳接口的属性状态判断下一跳接口所属的设备是否为路径终点设备,并在下一跳接口所属的设备不是路径终点时确定出其该接口所属的设备并继续匹配出该设备的下一跳接口直至最终匹配出的接口所属的设备为路径终点设备为止。
具体的,请参阅图3,所述步骤S500具体包括:
S501、判断下一跳接口的属性状态是否为直连路由,如果是,则判断下一跳接口所属的设备为路径终点设备,否则,判断下一跳接口所属的设备不是路径终点设备;
S502、当判断下一跳接口所属的设备不是路径终点设备时,根据接口的IP地址确定接口所属的设备;
S503、对当前设备节点依次进行Nat策略判断和路由匹配后得到当前设备节点的下一跳接口,并继续进行直连路由判断,在当前设备节点的下一跳接口所属的设备不是路径终点设备时继续匹配出下一跳接口直至最终匹配的接口所属的设备为路径终点设备为止。
本实施例中,在网络设备管理界面,为设备某一个物理接口配置IP/网段时,它会自动在路由表里默认添加一条该接口网段的直连路由,所以依据此原理可判断用户输入的目的IP到达此接口网段后即终止;本实施例在寻找下一跳设备之前,需要先判断路由接口状态;如果该下一跳接口状态为直连路由那就说明该设备为路径终点,不用再进行下一跳设备寻找了;如果不是路径终点设备,由于经过路由匹配已经确认了本地设备出接口,以及对端相连设备接口IP地址;通过此IP地址可以确定对端设备相连接口以及该接口所属的设备,所以这样就找到了下一跳网络设备,然后继续采用上述方法来寻找下一跳接口,直至找到路径终点设备停止,进而得出一条网络逻辑路径,由于本发明中可能存在多个起始设备节点和多个目的地址,所以可通过上述方法得出多条网络逻辑路径。
S600、确定出所有网络路径中的可达网络路径,并对确定出的可达网络路径上的所有防火墙设备进行安全策略匹配,并根据匹配结果确认出可达网络路径中的可达访问不通路径以及可达访问全通路径。
本实施例中,确认出多条网络逻辑路径后,可找出其中的可达网络路径,然后再进行防火墙安全策略匹配,即可判断出哪些防火墙设备可通,哪些防火墙设备不通,最后即可判断出可达访问不通路径以及可达访问全通路径,具体的,请参阅图4,所述步骤S600具体包括:
S601、判断网络路径的路径终点设备的子网列表是否包含了用户输入或者DNat转换后的目的IP地址,如果是,则判断该网络路径为可达网络路径;
S602、根据可达网络路径的每个设备的设备类型查找出可达网络路径中所有防火墙设备;
S603、将用户输入的五元组与每一个防火墙设备的每一条安全策略进行逐一匹配,并根据匹配结果判断出可达访问不通路径以及可达访问全通路径。
本实施例中,如果终点设备包含目的IP地址,那么即可判断该网络路径为可达网络路径,如果终点设备没有包含目的IP地址,则说明该路径还未达到目的IP地址所属的设备即行终止,所以可判断该路径为不可达路径,进一步来说,确认出一条或多条可达路径,以及每个路径上包含哪些设备后,由于这些设备中还存在防火墙设备,所以需判断该防火墙设备是否可通,可通时有哪些数据流(路径上的五元组或五元组组合)是被禁止的,所以还需要进行安全策略匹配,具体的,所述步骤S603具体包括:
将用户输入的五元组以及每一个防火墙设备的每一安全策略的五元组范围分别进行笛卡尔乘积转换为细粒度的五元组组合,并将用户输入的细粒度五元组组合与各个安全策略的细粒度五元组组合依次进行比较,当可达访问路径上的每一个防火墙设备的每一条安全策略的细粒度五元组组合与用户输入的细粒度五元组组合均无交集时,判断该可达访问路径为可达访问全通路径,当存在交集时,用用户输入的细粒度五元组组合减去防火墙设备的安全策略的细粒度五元组组合,如果没有剩余五元组,则判断该可达访问路径为可达访问不通路径,且该安全策略所属的防火墙设备为阻断设备,如果均有剩余五元组,则判断该可达访问路径为可达访问全通路径,且剩余的五元组为该安全策略所属的防火墙设备的允许数据流,减去的五元组为该安全策略所属的防火墙设备的禁止数据流。
具体的,将用户输入的五元组以及访问控制五元组进行转换成细粒度的五元组组合(即[源地址]×[目标地址] ×[源接口] ×[目标接口] ×[协议]的样式),并将五元组均转换为开始和结束区间,方便后面大小包含匹配,判断两个五元组组合是否存在交集,不存在时,获取下一跳访问控制五元组继续进行比较,如果存在交集,以用户输入的五元组减去访问控制策略五元组,依次进行源地址、目标地址、源接口、目标接口、协议的减法,直至全部匹配完成后,看是否有剩余的五元组组合,如果没有,则判断该可达访问路径为可达访问不通路径,如果有,则判断该可达访问路径为可达访问全通路径,且剩余的五元组为该安全策略所属的防火墙设备的允许数据流,减去的五元组为该安全策略所属的防火墙设备的禁止数据流。
如图5所示,基于上述寻找网络逻辑路径的方法,本发明还相应提供了一种寻找网络逻辑路径的设备,所述寻找网络逻辑路径的设备可以是移动终端、桌上型计算机、笔记本、掌上电脑及服务器等计算设备。该寻找网络逻辑路径的设备包括处理器10、存储器20及显示器30。图5仅示出了寻找网络逻辑路径的设备的部分组件,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
所述存储器20在一些实施例中可以是所述寻找网络逻辑路径的设备的内部存储单元,例如寻找网络逻辑路径的设备的硬盘或内存。所述存储器20在另一些实施例中也可以是所述寻找网络逻辑路径的设备的外部存储设备,例如所述寻找网络逻辑路径的设备上配备的插接式硬盘,智能存储卡(Smart Media Card, SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器20还可以既包括寻找网络逻辑路径的设备的内部存储单元也包括外部存储设备。所述存储器20用于存储安装于所述寻找网络逻辑路径的设备的应用软件及各类数据,例如所述安装寻找网络逻辑路径的设备的程序代码等。所述存储器20还可以用于暂时地存储已经输出或者将要输出的数据。在一实施例中,存储器20上存储有寻找网络逻辑路径的程序40,该寻找网络逻辑路径的程序40可被处理器10所执行,从而实现本申请各实施例的寻找网络逻辑路径的方法。
所述处理器10在一些实施例中可以是一中央处理器(Central Processing Unit,CPU),微处理器或其他数据处理芯片,用于运行所述存储器20中存储的程序代码或处理数据,例如执行所述寻找网络逻辑路径的方法等。
所述显示器30在一些实施例中可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。所述显示器30用于显示在所述寻找网络逻辑路径的设备的信息以及用于显示可视化的用户界面。所述寻找网络逻辑路径的设备的部件10-30通过系统总线相互通信。
在一实施例中,当处理器10执行所述存储器20中寻找网络逻辑路径的程序40时实现以下步骤:
根据用户输入五元组中的源地址匹配出一个或者多个与源地址相对应的子网,并确认出至少一个路径起始节点以及起始子网,其中,所述源地址为单IP地址或网段;
根据所述起始子网确认出起始子网所在的接口,并通过起始子网所在的接口确认出起始设备节点;
判断所述起始设备节点是否存在Nat策略,并在所述起始设备节点存在Nat策略时将用户输入的目的IP地址修改为DNat转换后的目的IP地址;
对DNat转换后的目的IP地址进行路由匹配,并确认出起始设备节点的下一跳接口以及接口的属性状态;
根据起始设备的下一跳接口的属性状态判断下一跳接口所属的设备是否为路径终点设备,并在下一跳接口所属的设备不是路径终点时确定出其该接口所属的设备并继续匹配出该设备的下一跳接口直至最终匹配出的接口所属的设备为路径终点设备为止;
确定出所有网络路径中的可达网络路径,并对确定出的可达网络路径上的所有防火墙设备进行安全策略匹配,并根据匹配结果确认出可达网络路径中的可达访问不通路径以及可达访问全通路径。
进一步的,所述根据用户输入五元组中的源地址匹配出一个或者多个与源地址相对应的子网,并确认出至少一个路径起始节点以及起始子网,其中,所述源地址为单IP地址或网段的步骤之前还包括:
获取正在各个设备的内存中运行的配置文件并解析后,将所述配置文件转换为标准格式的文件集,其中,所述文件集中至少包括路由表列表、对象列表、策略列表、接口列表以及子网列表。
进一步地,所述判断所述起始设备节点是否存在Nat策略,并在所述起始设备节点存在Nat策略时将用户输入的目的IP地址修改为DNat转换后的目的IP地址的步骤包括:
将用户输入的五元组中的目的IP地址与所述起始设备的目的Nat策略列表进行匹配;
当存在目的DNat转换时,将用户输入的目的IP地址修改为DNat转换后的目的IP地址。
进一步地,在所述寻找网络逻辑路径的设备中,所述对DNat转换后的目的IP地址进行路由匹配,并确认出起始设备节点的下一跳接口以及接口的属性状态的步骤具体包括:
将DNat转换后的目的IP地址与路由表按照最长掩码匹配原则进行逐一匹配,并在匹配成功时将匹配成功的接口作为下一跳接口,并获取下一跳接口的属性状态。
进一步地,所述对DNat转换后的目的IP地址进行路由匹配,并确认出起始设备节点的下一跳接口以及接口的属性状态的步骤还包括:
当不存在目的DNat转换时,直接对用户输入的目的IP地址进行路由匹配。
进一步地,所述根据起始设备的下一跳接口的属性状态判断下一跳接口所属的设备是否为路径终点设备,并在下一跳接口所属的设备不是路径终点时确定出其该接口所属的设备并继续匹配出该设备的下一跳接口直至最终匹配出的接口所属的设备为路径终点设备为止的步骤包括:
判断下一跳接口的属性状态是否为直连路由,如果是,则判断下一跳接口所属的设备为路径终点设备,否则,判断下一跳接口所属的设备不是路径终点设备;
当判断下一跳接口所属的设备不是路径终点设备时,根据接口的IP地址确定接口所属的设备;
对当前设备节点依次进行Nat策略判断和路由匹配后得到当前设备节点的下一跳接口,并继续进行直连路由判断,在当前设备节点的下一跳接口所属的设备不是路径终点设备时继续匹配出下一跳接口直至最终匹配的接口所属的设备为路径终点设备为止。
进一步地,所述确定出所有网络路径中的可达网络路径,并对确定出的可达网络路径上的所有防火墙设备进行安全策略匹配,并根据匹配结果确认出可达网络路径中的可达访问不通路径以及可达访问全通路径的步骤包括:
判断网络路径的路径终点设备的子网列表是否包含了用户输入或者DNat转换后的目的IP地址,如果是,则判断该网络路径为可达网络路径;
根据可达网络路径的每个设备的设备类型查找出可达网络路径中所有防火墙设备;
将用户输入的五元组与每一个防火墙设备的每一条安全策略进行逐一匹配,并根据匹配结果判断出可达访问不通路径以及可达访问全通路径。
进一步地,所述将用户输入的五元组与每一个防火墙设备的每一条安全策略进行逐一匹配,并根据匹配结果判断出可达访问不通路径以及可达访问全通路径的步骤具体包括:
将用户输入的五元组以及每一个防火墙设备的每一安全策略的五元组范围分别进行笛卡尔乘积转换为细粒度的五元组组合,并将用户输入的细粒度五元组组合与各个安全策略的细粒度五元组组合依次进行比较,当可达访问路径上的每一个防火墙设备的每一条安全策略的细粒度五元组组合与用户输入的细粒度五元组组合均无交集时,判断该可达访问路径为可达访问全通路径,当存在交集时,用用户输入的细粒度五元组组合减去防火墙设备的安全策略的细粒度五元组组合,如果没有剩余五元组,则判断该可达访问路径为可达访问不通路径,且该安全策略所属的防火墙设备为阻断设备,如果均有剩余五元组,则判断该可达访问路径为可达访问全通路径,且剩余的五元组为该安全策略所属的防火墙设备的允许数据流,减去的五元组为该安全策略所属的防火墙设备的禁止数据流。
请参阅图6,其为本发明安装寻找网络逻辑路径的程序的系统较佳实施例的功能模块图。在本实施例中,安装寻找网络逻辑路径的程序的系统可以被分割成一个或多个模块,所述一个或者多个模块被存储于所述存储器20中,并由一个或多个处理器(本实施例为所述处理器10)所执行,以完成本发明。例如,在图6中,安装寻找网络逻辑路径的程序的系统可以被分割成源子网匹配模块21、起始设备查找模块22、DNat转换判断模块23、路由匹配模块24、路由直连判断模块25以及安全策略匹配模块26。本发明所称的模块是指能够完成特定功能的一系列计算机程序指令段,比程序更适合于描述所述寻找网络逻辑路径的程序在所述寻找网络逻辑路径的设备中的执行过程。以下描述将具体介绍所述模块21-26的功能。
源子网匹配模块21,用于根据用户输入五元组中的源地址匹配出一个或者多个与源地址相对应的子网,并确认出至少一个路径起始节点以及起始子网,其中,所述源地址为单IP地址或网段;
起始设备查找模块22,用于根据所述起始子网确认出起始子网所在的接口,并通过起始子网所在的接口确认出起始设备节点;
DNat转换判断模块23,用于判断所述起始设备节点是否存在Nat策略,并在所述起始设备节点存在Nat策略时将用户输入的目的IP地址修改为DNat转换后的目的IP地址;
路由匹配模块24,用于对DNat转换后的目的IP地址进行路由匹配,并确认出起始设备节点的下一跳接口以及接口的属性状态;
路由直连判断模块25,用于根据起始设备的下一跳接口的属性状态判断下一跳接口所属的设备是否为路径终点设备,并在下一跳接口所属的设备不是路径终点时确定出其该接口所属的设备并继续匹配出该设备的下一跳接口直至最终匹配出的接口所属的设备为路径终点设备为止;
安全策略匹配模块26,用于确定出所有网络路径中的可达网络路径,并对确定出的可达网络路径上的所有防火墙设备进行安全策略匹配,并根据匹配结果确认出可达网络路径中的可达访问不通路径以及可达访问全通路径。
进一步的,安装寻找网络逻辑路径的程序的系统还包括:
元数据准备模块,用于获取正在各个设备的内存中运行的配置文件并解析后,将所述配置文件转换为标准格式的文件集,其中,所述文件集中至少包括路由表列表、对象列表、策略列表、接口列表以及子网列表。
所述DNat转换判断模块23具体包括:
Nat策略匹配单元,用于将用户输入的五元组中的目的IP地址与所述起始设备的目的Nat策略列表进行匹配;
目的地址转换单元,用于当存在目的DNat转换时,将用户输入的目的IP地址修改为DNat转换后的目的IP地址。
所述路由匹配模块24具体用于:
将DNat转换后的目的IP地址与路由表按照最长掩码匹配原则进行逐一匹配,并在匹配成功时将匹配成功的接口作为下一跳接口,并获取下一跳接口的属性状态。
所述路由匹配模块24还用于:
当不存在目的DNat转换时,直接对用户输入的目的IP地址进行路由匹配。
所述路由直连判断模块25具体包括:
直连路由判断单元,用于判断下一跳接口的属性状态是否为直连路由,如果是,则判断下一跳接口所属的设备为路径终点设备,否则,判断下一跳接口所属的设备不是路径终点设备;
所属设备确定单元,用于当判断下一跳接口所属的设备不是路径终点设备时,根据接口的IP地址确定接口所属的设备;
路径终点设备确定单元,用于对当前设备节点依次进行Nat策略判断和路由匹配后得到当前设备节点的下一跳接口,并继续进行直连路由判断,在当前设备节点的下一跳接口所属的设备不是路径终点设备时继续匹配出下一跳接口直至最终匹配的接口所属的设备为路径终点设备为止。
所述安全策略匹配模块26包括:
可达网络路径判断单元,用于判断网络路径的路径终点设备的子网列表是否包含了用户输入或者DNat转换后的目的IP地址,如果是,则判断该网络路径为可达网络路径;
防火墙设备判断单元,用于根据可达网络路径的每个设备的设备类型查找出可达网络路径中所有防火墙设备;
安全策略匹配单元,用于将用户输入的五元组与每一个防火墙设备的每一条安全策略进行逐一匹配,并根据匹配结果判断出可达访问不通路径以及可达访问全通路径。
所述安全策略匹配单元具体用于:
将用户输入的五元组以及每一个防火墙设备的每一安全策略的五元组范围分别进行笛卡尔乘积转换为细粒度的五元组组合,并将用户输入的细粒度五元组组合与各个安全策略的细粒度五元组组合依次进行比较,当可达访问路径上的每一个防火墙设备的每一条安全策略的细粒度五元组组合与用户输入的细粒度五元组组合均无交集时,判断该可达访问路径为可达访问全通路径,当存在交集时,用用户输入的细粒度五元组组合减去防火墙设备的安全策略的细粒度五元组组合,如果没有剩余五元组,则判断该可达访问路径为可达访问不通路径,且该安全策略所属的防火墙设备为阻断设备,如果均有剩余五元组,则判断该可达访问路径为可达访问全通路径,且剩余的五元组为该安全策略所属的防火墙设备的允许数据流,减去的五元组为该安全策略所属的防火墙设备的禁止数据流。
综上所述,本发明提供的寻找网络逻辑路径的方法、设备及存储介质中,所述方法通过匹配源IP或源网段找出对应的子网进而获取多个路径起始节点和起始子网后,再找到起始设备节点,并对起始设备节点进行DNat转换情况判断,在判断有DNat情况发生时,对输入的目的地址进行转换并进行路由匹配确认出下一跳接口,然后判断下一跳接口是否为路径终点设备,如果不是则继续查找下一跳接口直至找到路径终点设备后为止,得到所有的网络路径,最后对网络路径中的可达网络路径中的防火墙设备进行安全策略匹配得到可达访问不通路径以及可达访问全通路径。本发明可快速知道数据包在全网内由起点到达终点所有的行走路线,帮助管理员以可视的手段快速的定位逻辑路径。
当然,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关硬件(如处理器,控制器等)来完成,所述的程序可存储于一计算机可读取的存储介质中,该程序在执行时可包括如上述各方法实施例的流程。其中所述的存储介质可为存储器、磁碟、光盘等。
可以理解的是,对本领域普通技术人员来说,可以根据本发明的技术方案及其发明构思加以等同替换或改变,而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。

Claims (10)

1.一种寻找网络逻辑路径的方法,其特征在于,包括如下步骤:
根据用户输入五元组中的源地址匹配出一个或者多个与源地址相对应的子网,并确认出至少一个路径起始节点以及起始子网,其中,所述源地址为单IP地址或网段;
根据所述起始子网确认出起始子网所在的接口,并通过起始子网所在的接口确认出起始设备节点;
判断所述起始设备节点是否存在Nat策略,并在所述起始设备节点存在Nat策略时将用户输入的目的IP地址修改为DNat转换后的目的IP地址;
对DNat转换后的目的IP地址进行路由匹配,并确认出起始设备节点的下一跳接口以及接口的属性状态;
根据起始设备的下一跳接口的属性状态判断下一跳接口所属的设备是否为路径终点设备,并在下一跳接口所属的设备不是路径终点时确定出其该接口所属的设备并继续匹配出该设备的下一跳接口直至最终匹配出的接口所属的设备为路径终点设备为止;
确定出所有网络路径中的可达网络路径,并对确定出的可达网络路径上的所有防火墙设备进行安全策略匹配,并根据匹配结果确认出可达网络路径中的可达访问不通路径以及可达访问全通路径。
2.根据权利要求1所述的寻找网络逻辑路径的方法,其特征在于,所述根据用户输入五元组中的源地址匹配出一个或者多个与源地址相对应的子网,并确认出至少一个路径起始节点以及起始子网,其中,所述源地址为单IP地址或网段的步骤之前还包括:
获取正在各个设备的内存中运行的配置文件并解析后,将所述配置文件转换为标准格式的文件集,其中,文件集中至少包括路由表列表、对象列表、策略列表、接口列表以及子网列表。
3.根据权利要求2所述的寻找网络逻辑路径的方法,其特征在于,所述判断所述起始设备节点是否存在Nat策略,并在所述起始设备节点存在Nat策略时将用户输入的目的IP地址修改为DNat转换后的目的IP地址的步骤包括:
将用户输入的五元组中的目的IP地址与所述起始设备的目的Nat策略列表进行匹配;
当存在目的DNat转换时,将用户输入的目的IP地址修改为DNat转换后的目的IP地址。
4.根据权利要求3所述的寻找网络逻辑路径的方法,其特征在于,所述对DNat转换后的目的IP地址进行路由匹配,并确认出起始设备节点的下一跳接口以及接口的属性状态的步骤具体包括:
将DNat转换后的目的IP地址与路由表按照最长掩码匹配原则进行逐一匹配,并在匹配成功时将匹配成功的接口作为下一跳接口,并获取下一跳接口的属性状态。
5.根据权利要求4所述的寻找网络逻辑路径的方法,其特征在于,所述对DNat转换后的目的IP地址进行路由匹配,并确认出起始设备节点的下一跳接口以及接口的属性状态的步骤还包括:
当不存在目的DNat转换时,直接对用户输入的目的IP地址进行路由匹配。
6.根据权利要求5所述的寻找网络逻辑路径的方法,其特征在于,所述根据起始设备的下一跳接口的属性状态判断下一跳接口所属的设备是否为路径终点设备,并在下一跳接口所属的设备不是路径终点时确定出其该接口所属的设备并继续匹配出该设备的下一跳接口直至最终匹配出的接口所属的设备为路径终点设备为止的步骤包括:
判断下一跳接口的属性状态是否为直连路由,如果是,则判断下一跳接口所属的设备为路径终点设备,否则,判断下一跳接口所属的设备不是路径终点设备;
当判断下一跳接口所属的设备不是路径终点设备时,根据接口的IP地址确定接口所属的设备;
对当前设备节点依次进行Nat策略判断和路由匹配后得到当前设备节点的下一跳接口,并继续进行直连路由判断,在当前设备节点的下一跳接口所属的设备不是路径终点设备时继续匹配出下一跳接口直至最终匹配的接口所属的设备为路径终点设备为止。
7.根据权利要求6所述的寻找网络逻辑路径的方法,其特征在于,所述确定出所有网络路径中的可达网络路径,并对确定出的可达网络路径上的所有防火墙设备进行安全策略匹配,并根据匹配结果确认出可达网络路径中的可达访问不通路径以及可达访问全通路径的步骤包括:
判断网络路径的路径终点设备的子网列表是否包含了用户输入或者DNat转换后的目的IP地址,如果是,则判断该网络路径为可达网络路径;
根据可达网络路径的每个设备的设备类型查找出可达网络路径中所有防火墙设备;
将用户输入的五元组与每一个防火墙设备的每一条安全策略进行逐一匹配,并根据匹配结果判断出可达访问不通路径以及可达访问全通路径。
8.根据权利要求7所述的寻找网络逻辑路径的方法,其特征在于,所述将用户输入的五元组与每一个防火墙设备的每一条安全策略进行逐一匹配,并根据匹配结果判断出可达访问不通路径以及可达访问全通路径的步骤具体包括:
将用户输入的五元组以及每一个防火墙设备的每一安全策略的五元组范围分别进行笛卡尔乘积转换为细粒度的五元组组合,并将用户输入的细粒度五元组组合与各个安全策略的细粒度五元组组合依次进行比较,当可达访问路径上的每一个防火墙设备的每一条安全策略的细粒度五元组组合与用户输入的细粒度五元组组合均无交集时,判断该可达访问路径为可达访问全通路径,当存在交集时,用用户输入的细粒度五元组组合减去防火墙设备的安全策略的细粒度五元组组合,如果没有剩余五元组,则判断该可达访问路径为可达访问不通路径,且该安全策略所属的防火墙设备为阻断设备,如果均有剩余五元组,则判断该可达访问路径为可达访问全通路径,且剩余的五元组为该安全策略所属的防火墙设备的允许数据流,减去的五元组为该安全策略所属的防火墙设备的禁止数据流。
9.一种寻找网络逻辑路径的设备,其特征在于,包括:处理器、存储器和通信总线;
所述存储器上存储有可被所述处理器执行的计算机可读程序;
所述通信总线实现处理器和存储器之间的连接通信;
所述处理器执行所述计算机可读程序时实现如权利要求1-8任意一项所述的寻找网络逻辑路径的方法中的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1-8任意一项所述的寻找网络逻辑路径的方法中的步骤。
CN202010041457.2A 2020-01-15 2020-01-15 一种寻找网络逻辑路径的方法、设备及存储介质 Active CN110855721B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010041457.2A CN110855721B (zh) 2020-01-15 2020-01-15 一种寻找网络逻辑路径的方法、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010041457.2A CN110855721B (zh) 2020-01-15 2020-01-15 一种寻找网络逻辑路径的方法、设备及存储介质

Publications (2)

Publication Number Publication Date
CN110855721A true CN110855721A (zh) 2020-02-28
CN110855721B CN110855721B (zh) 2020-05-22

Family

ID=69610744

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010041457.2A Active CN110855721B (zh) 2020-01-15 2020-01-15 一种寻找网络逻辑路径的方法、设备及存储介质

Country Status (1)

Country Link
CN (1) CN110855721B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112040018A (zh) * 2020-07-17 2020-12-04 北京天融信网络安全技术有限公司 一种双向nat转换方法、装置、电子设备和存储介质
CN112187640A (zh) * 2020-09-08 2021-01-05 烽火通信科技股份有限公司 一种基于l3vpn业务点到点路由的查询方法和装置
CN114629791A (zh) * 2020-12-21 2022-06-14 亚信科技(中国)有限公司 数据处理方法、装置、电子设备及计算机可读存储介质
CN115065613A (zh) * 2022-06-08 2022-09-16 北京启明星辰信息安全技术有限公司 一种基于防火墙配置的网络连通性分析系统及分析方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050102423A1 (en) * 1995-06-23 2005-05-12 Pelavin Richard N. Analyzing an access control list for a router to identify a subsumption relation between elements in the list
US20090213725A1 (en) * 2008-02-25 2009-08-27 Cisco Technology, Inc. Network fault correlation in multi-route configuration scenarios
CN104050038A (zh) * 2014-06-27 2014-09-17 国家计算机网络与信息安全管理中心 一种基于策略感知的虚拟机迁移方法
US20160292148A1 (en) * 2012-12-27 2016-10-06 Touchtype Limited System and method for inputting images or labels into electronic devices
CN110430130A (zh) * 2019-07-18 2019-11-08 中盈优创资讯科技有限公司 确定策略路径的方法及装置
CN110489452A (zh) * 2019-08-21 2019-11-22 中国科学院深圳先进技术研究院 多路数据流θ连接优化方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050102423A1 (en) * 1995-06-23 2005-05-12 Pelavin Richard N. Analyzing an access control list for a router to identify a subsumption relation between elements in the list
US20090213725A1 (en) * 2008-02-25 2009-08-27 Cisco Technology, Inc. Network fault correlation in multi-route configuration scenarios
US20160292148A1 (en) * 2012-12-27 2016-10-06 Touchtype Limited System and method for inputting images or labels into electronic devices
CN104050038A (zh) * 2014-06-27 2014-09-17 国家计算机网络与信息安全管理中心 一种基于策略感知的虚拟机迁移方法
CN110430130A (zh) * 2019-07-18 2019-11-08 中盈优创资讯科技有限公司 确定策略路径的方法及装置
CN110489452A (zh) * 2019-08-21 2019-11-22 中国科学院深圳先进技术研究院 多路数据流θ连接优化方法及系统

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112040018A (zh) * 2020-07-17 2020-12-04 北京天融信网络安全技术有限公司 一种双向nat转换方法、装置、电子设备和存储介质
CN112187640A (zh) * 2020-09-08 2021-01-05 烽火通信科技股份有限公司 一种基于l3vpn业务点到点路由的查询方法和装置
CN112187640B (zh) * 2020-09-08 2022-02-18 烽火通信科技股份有限公司 一种基于l3vpn业务点到点路由的查询方法和装置
CN114629791A (zh) * 2020-12-21 2022-06-14 亚信科技(中国)有限公司 数据处理方法、装置、电子设备及计算机可读存储介质
CN114629791B (zh) * 2020-12-21 2024-03-26 亚信科技(中国)有限公司 数据处理方法、装置、电子设备及计算机可读存储介质
CN115065613A (zh) * 2022-06-08 2022-09-16 北京启明星辰信息安全技术有限公司 一种基于防火墙配置的网络连通性分析系统及分析方法
CN115065613B (zh) * 2022-06-08 2024-01-12 北京启明星辰信息安全技术有限公司 一种基于防火墙配置的网络连通性分析系统及分析方法

Also Published As

Publication number Publication date
CN110855721B (zh) 2020-05-22

Similar Documents

Publication Publication Date Title
CN110855721B (zh) 一种寻找网络逻辑路径的方法、设备及存储介质
EP2582091B1 (en) Network operating system for managing and securing networks
US8837322B2 (en) Method and apparatus for snoop-and-learn intelligence in data plane
US8813209B2 (en) Automating network reconfiguration during migrations
US8073936B2 (en) Providing support for responding to location protocol queries within a network node
US10305749B2 (en) Low latency flow cleanup of openflow configuration changes
US20130107881A1 (en) Distributed Address Resolution Service for Virtualized Networks
US20120290703A1 (en) Distributed Policy Service
US9009782B2 (en) Steering traffic among multiple network services using a centralized dispatcher
US11689458B2 (en) Control device, control method, and program
CN107077433B (zh) 优化装置、优化方法
US10154062B2 (en) Rule lookup using predictive tuples based rule lookup cache in the data plane
Shirali-Shahreza et al. Rewiflow: Restricted wildcard openflow rules
US10949193B2 (en) System and method of updating active and passive agents in a network
US20220006782A1 (en) Efficient matching of feature-rich security policy with dynamic content using user group matching
US20160337232A1 (en) Flow-indexing for datapath packet processing
US20180198704A1 (en) Pre-processing of data packets with network switch application -specific integrated circuit
CN110995719B (zh) 一种nat设备的识别方法、装置、系统及存储介质
CN112165430A (zh) 数据路由方法、装置、设备以及存储介质
CN114978580B (zh) 网络检测方法及装置、存储介质及电子设备
US10965647B2 (en) Efficient matching of feature-rich security policy with dynamic content
EP4340312A1 (en) Translation of a source intent policy model to a target intent policy model
CN114363239A (zh) 一种路由信息更新方法、装置、设备及存储介质
JP5283199B2 (ja) ネットワーク管理装置、ネットワーク管理方法、及びプログラム
CN116743543A (zh) 一种路径仿真方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant