CN110995719B - 一种nat设备的识别方法、装置、系统及存储介质 - Google Patents
一种nat设备的识别方法、装置、系统及存储介质 Download PDFInfo
- Publication number
- CN110995719B CN110995719B CN201911254141.5A CN201911254141A CN110995719B CN 110995719 B CN110995719 B CN 110995719B CN 201911254141 A CN201911254141 A CN 201911254141A CN 110995719 B CN110995719 B CN 110995719B
- Authority
- CN
- China
- Prior art keywords
- information
- detection
- equipment
- network
- nat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种NAT设备的识别方法、装置、系统及存储介质。通过在网络的每个子网中部署检测设备,一方面,由于部署在每个子网的检测设备必然拥有该检测设备所在子网的访问权限,故克服了探测时的权限问题;另一方面,由于每个检测设备仅采集其所在的一个子网中各设备的信息,而无需跨越各子网间的防火墙采集其它子网中各设备的信息,故克服了防火墙的阻隔。从而实现了在克服防火墙的阻隔以及网络权限的情况下,准确的发现网络中的NAT设备。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种NAT设备的识别方法、装置、系统及存储介质。
背景技术
当内部局域网内的设备已经分配到了内部局域网的本地IP(Internet Protocol,网际互连协议)地址后,又需要与互联网连接时,其可以采用NAT(Network AddressTranslation,网络地址转换)方法。通过这种方法,内部局域网内安装有NAT软件的NAT设备可以将内部局域网内的设备的本地IP地址转换成一个有效的外部全球IP地址,从而实现内部局域网内的设备与互联网连接。
然而这种技术会造成不同NAT设备后的设备无法直接通信,因此需要找到各NAT设备才进行通信的穿越,以实现不同NAT设备后的各设备也能够正常通信。但由于不同网络之间防火墙的阻隔以及由于不同网络的访问权限相差甚远,导致目前的技术难以发现网络中的NAT设备。
发明内容
本申请实施例的目的在于提供一种NAT设备的识别方法、装置、系统及存储介质,用以实现克服防火墙的阻隔以及网络权限问题,准确的发现网络中的NAT设备。
第一方面,本申请实施例提供了一种NAT设备的识别方法,应用于部署在网络的每个子网中的检测设备,所述方法包括:利用预先配置的探测策略,获取所述检测设备自身所在的子网中各网络设备的设备信息;将所述设备信息上传到所述中心管理设备,以使所述中心管理设备通过分析所述设备信息而识别所述各网络设备中的NAT设备。
在本申请实施例中,通过在网络的每个子网中部署检测设备,一方面,由于部署在每个子网的检测设备必然拥有该检测设备所在子网的访问权限,故克服了探测时的权限问题;另一方面,由于每个检测设备仅采集其所在的一个子网中各设备的信息,而无需跨越各子网间的防火墙采集其它子网中各设备的信息,故克服了防火墙的阻隔。从而实现了在克服防火墙的阻隔以及网络权限的情况下,准确的发现网络中的NAT设备。
结合第一方面,在第一种可能的实现方式中,利用预先配置的探测策略,获取所述检测设备自身所在的子网中各网络设备的设备信息,包括:
利用所述探测策略,在所述所在的子网中广播设备探测报文,从而接收所述各网络设备基于所述设备探测报文而返回的所述设备信息;和/或
利用所述探测策略,采集所述各网络设备发送的数据报文,从所述数据报文获取所述设备信息。
在本申请实施例中,广播探测报文以及采集并分析数据报文基本涵盖了获取设备信息的全部方式,故采用这两种方式能够全面的获取到各子网中各网络设备的设备信息。
第二方面,本申请实施例提供了一种NAT设备的识别方法,应用于中心管理设备,所述中心管理设备与部署在网络的每个子网中的检测设备连接,所述方法包括:
接收所述检测设备发送的设备信息,其中,所述设备信息为所述检测设备基于预先配置的探测策略,获取的所述检测设备自身所在的子网中各网络设备的信息;
通过分析所述设备信息,识别所述各网络设备中的NAT设备。
在本申请实施例中,通过在网络的每个子网中部署与中心管理设备直连的检测设备,一方面,由于部署在每个子网的检测设备必然拥有该检测设备所在子网的访问权限,故克服了探测时的权限问题;另一方面,由于每个检测设备仅采集其所在的一个子网中各设备的信息,而无需跨越各子网间的防火墙采集其它子网中各设备的信息,故克服了防火墙的阻隔。从而实现了在克服防火墙的阻隔以及网络权限的情况下,中心管理设备能够准确的发现网络中的NAT设备。
结合第二方面,在第一种可能的实现方式中,一条所述设备信息包括一个网络设备的IP地址/MAC地址和软硬件信息,通过分析所述设备信息,识别所述各网络设备中的NAT设备,包括:
确定出IP地址/MAC地址相同且软硬件信息至少部分不同的设备信息;
根据所述软硬件信息至少部分不同的设备信息,判断所述软硬件信息至少部分不同的设备信息对应的网络设备是否为所述NAT设备。
在本申请实施例中,NAT设备发送的报文的特点就是IP地址/MAC地址相同但其余信息不同,故通过对IP地址/MAC地址相同且软硬件信息不同的多条设备信息进行分析,能够准确的确定出NAT设备。
结合第二方面的第一种可能的实现方式,在第二种可能的实现方式中,根据所述软硬件信息至少部分不同的设备信息,判断所述软硬件信息至少部分不同的设备信息对应的网络设备是否为所述NAT设备,包括:
根据至少部分不同的软硬件信息中相同以及不同的信息,确定出所述软硬件信息至少部分不同的设备信息对应的得分;
判断所述得分是否超过预设的分数阈值,其中,超过所述分数阈值表示所述软硬件信息至少部分不同的设备信息对应的网络设备不为所述NAT设备,反之,表示所述软硬件信息至少部分不同的设备信息对应的网络设备为所述NAT设备。
在本申请实施例中,软硬件信息的不同的原因不仅因为该设备是NAT设备,还有可能是其它原因造成例如同一设备的系统升级更新也会造成该设备的软硬件信息的不同。因此,通过将相同以及不同的各信息加权求和,再判断求和的得分是否超过阈值可以有效避免因其它原因造成的误判断。
结合第二方面,在第三种可能的实现方式中,所述中心管理设备与所述检测设备建立连接的步骤,包括:
与所述检测设备建立物理连接,并与所述检测设备建立一个通信线程;
通过所述通信线程将所述探测策略下发给所述检测设备。
在本申请实施例中,通过专用的通信线程可以高效地将探测策略下发给该检测设备。
第三方面,本申请实施例提供了一种NAT设备的识别装置,应用于部署在网络的每个子网中的检测设备,所述装置包括:
信息采集模块,用于利用预先配置的探测策略,获取所述检测设备自身所在的子网中各网络设备的设备信息;
信息传输模块,用于将所述设备信息上传到所述中心管理设备,以使所述中心管理设备通过分析所述设备信息而识别所述各网络设备中的NAT设备。
结合第三方面,在第一种可能的实现方式中,
所述信息采集模块,用于利用所述探测策略,在所述所在的子网中广播设备探测报文,从而接收所述各网络设备基于所述设备探测报文而返回的所述设备信息;和/或利用所述探测策略,采集所述各网络设备发送的数据报文,从所述数据报文获取所述设备信息。
第四方面,本申请实施例提供了一种NAT设备的识别装置,应用于中心管理设备,所述中心管理设备与部署在网络的每个子网中的检测设备连接,所述装置包括:
信息接收模块,用于接收所述检测设备发送的设备信息,其中,所述设备信息为所述检测设备基于预先配置的探测策略,获取的所述检测设备自身所在的子网中各网络设备的信息;
设备识别模块,用于通过分析所述设备信息,识别所述各网络设备中的NAT设备。
结合第四方面,在第一种可能的实现方式中,一条所述设备信息包括一个网络设备的IP地址/MAC地址和软硬件信息,
所述设备识别模块,用于确定出IP地址/MAC地址相同且软硬件信息至少部分不同的设备信息;根据所述软硬件信息至少部分不同的设备信息,判断所述软硬件信息至少部分不同的设备信息对应的网络设备是否为所述NAT设备。
结合第四方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述设备识别模块,用于根据至少部分不同的软硬件信息中相同以及不同的信息,确定出所述软硬件信息至少部分不同的设备信息对应的得分;判断所述得分是否超过预设的分数阈值,其中,超过所述分数阈值表示所述软硬件信息至少部分不同的设备信息对应的网络设备不为所述NAT设备,反之,表示所述软硬件信息至少部分不同的设备信息对应的网络设备为所述NAT设备。
结合第四方面,在第三种可能的实现方式中,装置还包括:
通信链接模块,用于与所述检测设备建立物理连接,并与所述检测设备建立一个通信线程;通过所述通信线程将所述探测策略下发给所述检测设备。
第五方面,本申请实施例提供了一种NAT设备的识别系统,所述系统包括:中心管理设备,以及部署在网络的每个子网中的检测设备,且所述中心管理设备与所述检测设备连接;
所述检测设备,用于执行如第一方面或第一方面的第一种可能的实现方式所述的NAT设备的识别方法;
所述中心管理设备,用于执行如第二方面或第二方面的任一种可能的实现方式所述的NAT设备的识别方法。
第六方面,本申请实施例提供了一种具有计算机可执行的非易失程序代码的计算机可读存储介质,所述程序代码使所述计算机执行如第一方面、第一方面的第一种可能的实现方式、第二方面或第二方面的任一种可能的实现方式所述的NAT设备的识别方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种NAT设备的识别系统的结构框图;
图2为本申请实施例提供的一种NAT设备的识别方法的第一流程图;
图3为本申请实施例提供的一种NAT设备的识别方法的第二流程图;
图4为本申请实施例提供的一种NAT设备的识别方法的交互流程图;
图5为本申请实施例提供的一种NAT设备的识别装置的第一结构框图;
图6为本申请实施例提供的一种NAT设备的识别装置的第二结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参阅图1,本申请实施例提供了一种NAT设备的识别系统10,该NAT设备的识别系统10可以包括:检测设备11和中心管理设备12。
检测设备11可以是路由器、交换机等通信设备,或者检测设备11还可以采用终端。根据一个片区网络中子网的数量多少,检测设备11可以对应的为一个或者多个,以使每个检测设备11都可以对应部署在一个子网中,从而使得每个子网都可以有至少一个检测设备11。
例如,一个片区网络X覆盖A、B以及C三个地区,那么该片区网络X下的子网则可以是子网A覆盖A地区、子网B覆盖B地区、以及子网C覆盖C地区。对应的,检测设备11也可以有三个,一个检测设备11部署在子网A中、另一个检测设备11部署在子网B中、而最后一个检测设备11则可以部署在子网C中。
本实施例中,由于以子网为单位来对检测设备11进行部署,那么每个检测设备11所访问的区域不会太大,因此每个检测设备11比较容易的便可以拥有自身所在的子网的全部访问权限。而基于全部的访问权限,每个检测设备11利用预先配置的探测策略可以采集自身所在的一个子网中各网络设备的设备。每个检测设备11可以与中心管理设备12直接连接,从而各检测设备11与中心管理设备12可以构成一个局域网,这样,每个检测设备11便可以通过该局域网而不经过片区网络的防火墙将采集到设备信息发送给中心管理设备12。
中心管理设备12可以是终端或者服务器,例如终端可以是个人电脑、笔记本电脑、平板电脑、智能手机等,而服务器则可以是网络服务器、数据库服务器以及服务器集群等。中心管理设备12在获取到各检测设备11发送的设备信息后,中心管理设备12可以将设备信息进行汇总分析,以确定出这些信息中IP地址/MAC(Media Access Control Address,局域网地址)地址相同且软硬件信息至少部分不同的设备信息。由于确定出的这些信息具备NAT设备的特征,故中心管理设备12通过进一步分析这些信息便可以确定出网络中的各NAT设备。
可以理解到,由于每个检测设备11的工作原理以及其与中心管理设备12配合的原理都大致相同,为便于理解,下面将以某一个检测设备11为例,详细的说明该检测设备11与中心管理设备12如何配合发现网络中的NAT设备。
请参阅图2,本申请实施例提供了一种NAT设备的识别方法,该NAT设备的识别方法可以由任意一个检测设备11与中心管理设备12配合执行,具体的,该NAT设备的识别方法可以包括:
步骤S100:检测设备利用预先配置的探测策略,获取该检测设备自身所在的子网中各网络设备的设备信息。
步骤S200:检测设备将设备信息上传到中心管理设备。
步骤S300:中心管理设备对应接收检测设备发送的设备信息。
步骤S400:中心管理设备通过分析设备信息,识别各网络设备中的NAT设备。
如图3所示,本实施例中,若在步骤S100之前,检测设备11在部署到对应的一个子网后还没有与中心管理设备12建立物理以及逻辑的连接,那么需要在步骤S100执行建立连接的流程,具体的,该流程可以包括:
步骤S101:建立中心管理设备与检测设备的物理连接。
步骤S201:中心管理设备与该检测设备建立一个通信线程。
步骤S301:中心管理设备通过该通信线程将该检测设备的探测策略下发给该检测设备。
结合图2和图3参阅图4,下面将结合示例,依次对步骤S101-步骤S301,以及步骤S100-步骤S400进行详细说明。
本实施例中,在检测设备11部署到对应的一个子网中后,可以建立该中心管理设备12与检测设备11的物理连接,即通过物理的数据线例如485总线或者232总线将中心管理设备12与检测设备11二者连接。
可以理解到,虽然中心管理设备12与检测设备11建立了物理连接,但该检测设备11对于中心管理设备12来说是不可感知的,换言之,中心管理设备12并不知道该检测设备11的存在。因此,中心管理设备12需要基于该物理连接探测到该检测设备11,并与该检测设备11建立逻辑上的通信连接。
具体的,每个检测设备11预设有用于探测发现与该检测设备11处于同一级网络中的其它检测设备11的DoubleTree算法。每个检测设备11利用该DoubleTree算法探测与其同级的检测设备11,并将探测结果依次上报到中心管理设备12。这样,中心管理设备12便可以获知自身这些检测设备11的拓扑关系。当然,采用DoubleTree算法发现该检测设备11仅为本实施例的一种示例性方式,并不作为本实施例的限定,例如,检测设备11还可以采用SNMP(Simple Network Management Protocol,简单网络管理协议)协议来探测发现其它的检测设备11。中心管理设备12在获知自身与哪些检测设备11连接,中心管理设备12可以与该检测设备11建立一个专用的通信线程,其中,中心管理设备12与该检测设备11建立一个专用的通信线程可以理解为中心管理设备12与该检测设备11建立逻辑上的通信连接。在此基础上,中心管理设备12便可以通过该专用的通信线程,将自身预设的用于采集网络中各网络设备的设备信息的探测策略下发给该检测设备11。
值得注意的是,在拓扑关系表示中心管理设备12与该检测设备11没有直连的情况下,比如,中心管理设备12与第一个检测设备11直接连接,该第一个检测设备11再与第二个检测设备11直接连接,且该第二个检测设备11与中心管理设备12没有直接连接。那么,中心管理设备12可以控制第一个检测设备11与该第二个检测设备11建立一个专用的通信线程,并通过第一个检测设备11利用该通信线程将中心管理设备12下发的探测策略转发给第二个检测设备11。
在将探测策略的下发,以及检测设备11接收并配置该探测策略后,该检测设备11便可以投入实际使用。
作为采集设备信息的一种可选方式,检测设备11利用探测策略所规定的报文发送规则,周期性的生成并向自身所在的一个子网中广播设备探测报文。对应的,该子网中接收到该设备探测报文,便可以生成携带自身的设备信息的应答报文,并将该应答报文返回给检测设备11。通过这种方式,该检测设备11便可以获取到自身所在的一个子网中各网络设备返回的应答报文,从而获取到各网络设备的设备信息。
和/或,作为采集设备信息的另一种可选方式,检测设备11利用探测策略所规定的报文拦截规则,拦截自身所在的一个子网中各网络设备发送的途径该检测设备11的数据报文。由于检测设备11拥有该子网的权限,因此检测设备11可以将数据报文解封装,从而获取到数据报文携带的设备信息。
需要说明的是,虽然采集的设备信息中可以包括一个网络设备的IP地址/MAC地址以及软硬件信息,但采用发送设备探测报文的方式与采用拦截数据报文的方式采集的设备信息的侧重点不同。例如,采用发送设备探测报文的方式采集的设备信息中主要包括一个网络设备的MAC地址、IP地址、服务端口号、以及服务版本号等信息,其中,服务端口号以及服务版本号为软硬件信息;而采用拦截数据报文的方式采集的设备信息中主要包括一个网络设备的MAC地址、IP地址、操作系统版本、以及网卡制造商信息等信息,其中,操作系统版本以及网卡制造商信息则为软硬件信息。
检测设备11在采集到设备信息后,检测设备11可以通过预先建立的专业通信线程将设备信息上传给中心管理设备12。
值得注意的是,在检测设备11与中心管理设备12的拓扑中,若检测设备11上一级设备不是中心管理设备12,而连接在该检测设备11与中心管理设备12之间的其它的检测设备11,那么该检测设备11则通过预先在该检测设备11与该其它的检测设备11之间建立的专业通信线程将设备信息发送该其它的检测设备11,以使该其它的检测设备11再通过预先在该其它的检测设备11与中心管理设备12之间建立的专业通信线程将该设备信息转发到中心管理设备12。
除此之外,在检测设备11与中心管理设备12的拓扑中,若该检测设备11的下一级还连接有其它的检测设备11,该检测设备11可以通过预先在该检测设备11与该其它的检测设备11之间建立的专业通信线程接收到其它的检测设备11发送的设备信息,并将该设备信息向中心管理设备12转发。
对于中心管理设备12来说,其可以不断接收到各检测设备11采集的设备信息,并将设备信息存储到与该中心管理设备12对接的数据库中。
由于数据库中的设备信息在不断更新,因此中心管理设备12可以周期性的对数据库中不断更新的数据进行分析,以及时识别出各子网中最新加入的NAT设备,并对其进行管理。
具体的,中心管理设备12可以从数据库中抽取出各设备信息,并将各设备信息相互之间进行比对,以通过比对对各设备信息进行合并以及归类,从而确定出IP地址/MAC地址相同且软硬件信息至少部分不同的设备信息。
举例来说,设备信息A包括:MAC地址00-01-6C-06-A6-29、服务端口号ET1、以及服务版本号903.12,设备信息B包括:IP地址222.209.xx.63、MAC地址00-01-6C-06-A6-29、操作系统版本121.X、以及网卡制造商信息为A厂商。通过比对可以知道,由于设备信息A和设备信息B的IP地址相同,但软硬件信息的种类不同,说明设备信息A和设备信息B来自同一个网络设备,而设备信息A是通过拦截数据报文的方式采集,而设备信息B是通过广播设备探测报文获取。这样,中心管理设备12可以将设备信息A与设备信息B合并,从而获得设备信息C包括:IP地址222.209.xx.63、MAC地址00-01-6C-06-A6-29、服务端口号ET1、以及服务版本号903.12,操作系统版本121.X、以及网卡制造商信息为A厂商。
若中心管理设备12还获取的设备信息D包括:IP地址222.209.xx.63、服务端口号ET1、以及服务版本号617.X,操作系统版本011.3、以及网卡制造商信息为A厂商。通过将设备信息D与设备信息C比对,中心管理设备12可以确定出设备信息D与设备信息C为IP地址/MAC地址相同且软硬件信息至少部分不同的设备信息。
进一步的,中心管理设备12可以对IP地址/MAC地址相同且软硬件信息至少部分不同的设备信息继续进行分析,以通过分析这些信息来确定出NAT设备。
作为确定出NAT设备的一种示例性方式,中心管理设备12预先为软硬件信息中每种信息在相同时或在不同时都设置了对应的得分,且越重要的信息在相同时的得分越高而在不同时的得分越低,例如比较重要的信息比如服务版本号在相同时得10分而在不同时得0分,而相对不那么重要的网卡制造商信息在相同时得5分而在不同时得2分。
进一步的,基于各种情况下的预设得分,中心管理设备12根据不同的软硬件信息中相同以及不同的信息,可以确定出软硬件信息至少部分不同的设备信息对应的得分,并判断该得分是否超过预设的分数阈值,其中,超过该分数阈值表示该软硬件信息至少部分不同的设备信息对应的网络设备不为NAT设备,反之,则表示该软硬件信息至少部分不同的设备信息对应的网络设备为NAT设备。
继续对前述举例进行说明:通过将设备信息C与设备信息D比对,中心管理设备12确定出至少部分不同的软硬件信息中,相同的信息包括:服务端口号和网卡制造商信息,而不相同的信息包括:服务版本号和操作系统版本。
在预设的得分中,服务端口号在相同时的得分为5分而在不同时的得分为2分、网卡制造商信息在相同时的得分为7分而在不同时的得分为1分、服务版本号在相同时的得分为10分而在不同时的得分为0分、以及操作系统版本在相同时的得分为10分而在不同时的得分为0分。基于该预设的得分,中心管理设备12确定出该设备信息C与设备信息D的得分为12分。在预设的分数阈值为20分情况下,中心管理设备12确定出该设备信息C与设备信息D对应的设备为NAT设备。
需要指出的是,确定NAT设备的方式也不限于上述计算得分的方式,例如,中心管理设备12也可以通过判断至少部分不同的软硬件信息中不同的信息的数量的方式来确定NAT设备,或者还可以通过判断至少部分不同的软硬件信息中重要的信息是否相同的方式来确定NAT设备。
进一步的,在确定出NAT设备后,中心管理设备12可以将NAT设备的信息记录在对应的网络设备表项中,以实现通过遍历该网络设备表项而对该NAT设备进行管理,例如在需要限制或允许该NAT设备接入内网时,中心管理设备12可以通过遍历网络设备表项而查找到与该NAT设备同级的交换机,通过控制交换机上与该NAT设备连接的端口开启或关闭,便实现限制或允许该NAT设备接入内网。
请参阅图5,基于同一发明构思,本申请实施例中还提供一种NAT设备的识别装置100,应用于部署在网络的每个子网中的检测设备11,NAT设备的识别装置100包括:
信息采集模块110,用于利用预先配置的探测策略,获取所述检测设备自身所在的子网中各网络设备的设备信息。
信息传输模块120,用于将所述设备信息上传到所述中心管理设备,以使所述中心管理设备通过分析所述设备信息而识别所述各网络设备中的NAT设备。
请参阅图6,基于同一发明构思,本申请实施例中还提供一种NAT设备的识别装置200,应用于中心管理设备12,该中心管理设备12与部署在网络的每个子网中的检测设备11连接,NAT设备的识别装置200包括:
信息接收模块210,用于接收所述检测设备发送的设备信息,其中,所述设备信息为所述检测设备基于预先配置的探测策略,获取的所述检测设备自身所在的子网中各网络设备的信息。
设备识别模块220,用于通过分析所述设备信息,识别所述各网络设备中的NAT设备。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本申请一些实施例还提供了一种计算机可执行的非易失的程序代码的计算机可读储存介质,该存储介质能够为通用的存储介质,如移动磁盘、硬盘等,该计算机可读存储介质上存储有程序代码,该程序代码被计算机运行时执行上述任一实施方式的NAT设备的识别方法的步骤。
本申请实施例所提供的NAT设备的识别方法的程序代码产品,包括存储了程序代码的计算机可读存储介质,程序代码包括的指令可用于执行前面方法实施例中的方法,具体实现可参见方法实施例,在此不再赘述。
综上所述,本申请实施例提供了一种NAT设备的识别方法、装置、系统及存储介质。通过在网络的每个子网中部署检测设备,一方面,由于部署在每个子网的检测设备必然拥有该检测设备所在子网的访问权限,故克服了探测时的权限问题;另一方面,由于每个检测设备仅采集其所在的一个子网中各设备的信息,而无需跨越各子网间的防火墙采集其它子网中各设备的信息,故克服了防火墙的阻隔。从而实现了在克服防火墙的阻隔以及网络权限的情况下,准确的发现网络中的NAT设备。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (9)
1.一种NAT设备的识别方法,其特征在于,应用于部署在网络的每个子网中的检测设备,所述方法包括:
利用预先配置的探测策略,获取所述检测设备自身所在的子网中各网络设备的设备信息;
将所述设备信息上传到中心管理设备,以使所述中心管理设备通过分析所述设备信息而识别所述各网络设备中的NAT设备,
其中,一条所述设备信息包括一个网络设备的IP地址/MAC地址和软硬件信息,通过分析所述设备信息而识别所述各网络设备中的NAT设备,包括:
确定出IP地址/MAC地址相同且软硬件信息至少部分不同的设备信息;
根据所述软硬件信息至少部分不同的设备信息,判断所述软硬件信息至少部分不同的设备信息对应的网络设备是否为所述NAT设备。
2.根据权利要求1所述的NAT设备的识别方法,其特征在于,利用预先配置的探测策略,获取所述检测设备自身所在的子网中各网络设备的设备信息,包括:
利用所述探测策略,在所述所在的子网中广播设备探测报文,从而接收所述各网络设备基于所述设备探测报文而返回的所述设备信息;和/或
利用所述探测策略,采集所述各网络设备发送的数据报文,从所述数据报文获取所述设备信息。
3.一种NAT设备的识别方法,其特征在于,应用于中心管理设备,所述中心管理设备与部署在网络的每个子网中的检测设备连接,所述方法包括:
接收所述检测设备发送的设备信息,其中,所述设备信息为所述检测设备基于预先配置的探测策略,获取的所述检测设备自身所在的子网中各网络设备的信息;
通过分析所述设备信息,识别所述各网络设备中的NAT设备,
一条所述设备信息包括一个网络设备的IP地址/MAC地址和软硬件信息,通过分析所述设备信息,识别所述各网络设备中的NAT设备,包括:
确定出IP地址/MAC地址相同且软硬件信息至少部分不同的设备信息;
根据所述软硬件信息至少部分不同的设备信息,判断所述软硬件信息至少部分不同的设备信息对应的网络设备是否为所述NAT设备。
4.根据权利要求3所述的NAT设备的识别方法,其特征在于,根据所述软硬件信息至少部分不同的设备信息,判断所述软硬件信息至少部分不同的设备信息对应的网络设备是否为所述NAT设备,包括:
根据至少部分不同的软硬件信息中相同以及不同的信息,确定出所述软硬件信息至少部分不同的设备信息对应的得分;
判断所述得分是否超过预设的分数阈值,其中,超过所述分数阈值表示所述软硬件信息至少部分不同的设备信息对应的网络设备不为所述NAT设备,反之,表示所述软硬件信息至少部分不同的设备信息对应的网络设备为所述NAT设备。
5.根据权利要求3所述的NAT设备的识别方法,其特征在于,所述中心管理设备与所述检测设备建立连接的步骤,包括:
与所述检测设备建立物理连接,并与所述检测设备建立一个通信线程;
通过所述通信线程将所述探测策略下发给所述检测设备。
6.一种NAT设备的识别装置,其特征在于,应用于部署在网络的每个子网中的检测设备,所述装置包括:
信息采集模块,用于利用预先配置的探测策略,获取所述检测设备自身所在的子网中各网络设备的设备信息;
信息传输模块,用于将所述设备信息上传到中心管理设备,以使所述中心管理设备通过分析所述设备信息而识别所述各网络设备中的NAT 设备,
一条所述设备信息包括一个网络设备的IP地址/MAC地址和软硬件信息,所述中心管理设备通过分析所述设备信息识别所述各网络设备中的NAT设备时,具有用于:
确定出IP地址/MAC地址相同且软硬件信息至少部分不同的设备信息;
根据所述软硬件信息至少部分不同的设备信息,判断所述软硬件信息至少部分不同的设备信息对应的网络设备是否为所述NAT设备。
7.一种NAT设备的识别装置,其特征在于,应用于中心管理设备,所述中心管理设备与部署在网络的每个子网中的检测设备连接,所述装置包括:
信息接收模块,用于接收所述检测设备发送的设备信息,其中,所述设备信息为所述检测设备基于预先配置的探测策略,获取的所述检测设备自身所在的子网中各网络设备的信息;
设备识别模块,用于通过分析所述设备信息,识别所述各网络设备中的NAT设备,
一条所述设备信息包括一个网络设备的IP地址/MAC地址和软硬件信息,所述设备识别模块,具体用于:
确定出IP地址/MAC地址相同且软硬件信息至少部分不同的设备信息;
根据所述软硬件信息至少部分不同的设备信息,判断所述软硬件信息至少部分不同的设备信息对应的网络设备是否为所述NAT设备。
8.一种NAT设备的识别系统,其特征在于,所述系统包括:中心管理设备,以及部署在网络的每个子网中的检测设备,且所述中心管理设备与所述检测设备连接;
所述检测设备,用于执行如权利要求1或2所述的NAT设备的识别方法;
所述中心管理设备,用于执行如权利要求3-5任一权项所述的NAT设备的识别方法。
9.一种具有计算机可执行的非易失程序代码的计算机可读存储介质,其特征在于,所述程序代码使所述计算机执行如权利要求1或2或者3-5任一权项所述的NAT设备的识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911254141.5A CN110995719B (zh) | 2019-12-06 | 2019-12-06 | 一种nat设备的识别方法、装置、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911254141.5A CN110995719B (zh) | 2019-12-06 | 2019-12-06 | 一种nat设备的识别方法、装置、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110995719A CN110995719A (zh) | 2020-04-10 |
| CN110995719B true CN110995719B (zh) | 2022-07-12 |
Family
ID=70091475
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911254141.5A Active CN110995719B (zh) | 2019-12-06 | 2019-12-06 | 一种nat设备的识别方法、装置、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110995719B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111865701B (zh) * | 2020-08-03 | 2023-08-11 | 北京知道创宇信息技术股份有限公司 | 资产确定方法、装置、电子设备及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100466537C (zh) * | 2005-09-12 | 2009-03-04 | 珠海金山软件股份有限公司 | 检测网络中计算机接入状态的装置和检测方法 |
| EP2547042B1 (en) * | 2011-07-11 | 2015-11-04 | Tanaza S.r.l. | Method and system for managing network devices of generic vendors and manufactures |
| CN104717107B (zh) * | 2015-03-27 | 2019-03-26 | 北京奇安信科技有限公司 | 网络设备探测的方法、装置及系统 |
| CN106899444A (zh) * | 2015-12-21 | 2017-06-27 | 北京奇虎科技有限公司 | 一种针对多局域网的终端探测方法及装置 |
| CN107438016B (zh) * | 2017-07-28 | 2021-04-06 | 深圳市万网博通科技有限公司 | 网络管理方法、设备、系统以及存储介质 |
| CN108055207A (zh) * | 2017-10-26 | 2018-05-18 | 北京天元创新科技有限公司 | 一种网络拓扑感知方法及装置 |
| CN108063697B (zh) * | 2017-12-15 | 2021-06-04 | 广州鲁邦通智能科技有限公司 | 一种批量同时测试具有相同ip地址设备的方法和系统 |
-
2019
- 2019-12-06 CN CN201911254141.5A patent/CN110995719B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN110995719A (zh) | 2020-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113016167B (zh) | 在网络中使权利跟随终端设备的方法和装置 | |
| CN106416136B (zh) | 监测无线局域网的性能的方法和装置 | |
| US10623232B2 (en) | System and method for determining and forming a list of update agents | |
| US9240976B1 (en) | Systems and methods for providing network security monitoring | |
| US8844041B1 (en) | Detecting network devices and mapping topology using network introspection by collaborating endpoints | |
| EP3449600B1 (en) | A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences | |
| US11696110B2 (en) | Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain | |
| US8830850B2 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
| KR102155262B1 (ko) | 탄력적 허니넷 시스템 및 그 동작 방법 | |
| US11489745B2 (en) | Methods, systems and computer readable media for providing a declarative network monitoring environment | |
| CN107077433B (zh) | 优化装置、优化方法 | |
| US10949193B2 (en) | System and method of updating active and passive agents in a network | |
| CN110855721B (zh) | 一种寻找网络逻辑路径的方法、设备及存储介质 | |
| CN110995719B (zh) | 一种nat设备的识别方法、装置、系统及存储介质 | |
| CN114365454B (zh) | 无状态安全功能的分布 | |
| EP3503494B1 (en) | Security system and security method for a data network and for terminal devices connected to the data network | |
| KR102318686B1 (ko) | 개선된 네트워크 보안 방법 | |
| US11997070B2 (en) | Technique for collecting information relating to a flow routed in a network | |
| KR101970530B1 (ko) | 네트워크 경로 정보 수집 시스템 및 네트워크 경로 정보 수집을 위한 목적지 목록의 선정 및 경로 수집기 위치의 선정 방법 | |
| EP2564552B1 (en) | Network management in a communications network | |
| CN111988446A (zh) | 一种报文处理方法、装置、电子设备及存储介质 | |
| US20240179672A1 (en) | Methods and devices for configuring a channel at an access point (ap) | |
| Al-Kahtani et al. | Architectures and security of software defined networks for internet of things: State-of-the-art and challenges | |
| CN118890335A (zh) | 网络设备探测方法、设备、介质及产品 | |
| Piironen | Preliminary Lansweeper integration testing for IT & OT asset management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |