CN111629082A - 地址跳变系统、方法、装置、存储介质及处理器 - Google Patents
地址跳变系统、方法、装置、存储介质及处理器 Download PDFInfo
- Publication number
- CN111629082A CN111629082A CN202010479981.8A CN202010479981A CN111629082A CN 111629082 A CN111629082 A CN 111629082A CN 202010479981 A CN202010479981 A CN 202010479981A CN 111629082 A CN111629082 A CN 111629082A
- Authority
- CN
- China
- Prior art keywords
- address
- jump
- hopping
- switch
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本申请公开了一种地址跳变系统、方法、装置、存储介质及处理器。该系统包括:第一交换机,用于在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;第二交换机,用于在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;目标服务器,用于同时向第一交换机和第二交换机发送地址跳变指令,以指示目标交换机基于当前地址跳变参数修改原始报文的地址信息,并基于目标跳变参数恢复已执行地址跳变的报文的地址信息。通过本申请,解决了相关技术中执行地址跳变的两个交换机无法同步接收地址跳变指令,造成网业务中断的问题。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种地址跳变系统、方法、装置、存储介质及处理器。
背景技术
在网络安全动态防御中,需要通过快速的IP地址跳变而实现网络变形,但是网络变形的过程中,由于报文头封装的IP地址的变更,如果不做特殊处理,将导致正在传输的会话会被中断,正常网络业务应用被中断而影响用户体验。
需要说明的是,网络变形的配置,需要涉及多个网络设备,集中管理服务器无法保证配置指令能够在相同的时间到达所有涉及网络变形的网络设备,很难实现同步变形,而IP地址跳变指令配置的时间差将导致少量的丢包,将造成短时间的业务中断。
进一步地,即便网络变形配置指令能够同步到达相关网络设备,也能确保相关设备同步变换IP地址转换策略,但是,正在网络设备之间流动的数据报文并未修改IP地址,这些数据报文如果不做特殊处理也将被丢弃,而造成短时间的业务中断。
为了达到干扰和破坏网络侦察的目的,需要网络频繁的变形,变形的间隔要达到秒级,甚至更短,但由于网络变形导致业务中断,难以提高网络变形的频率,干扰和破坏网络侦察的效果就体现的不充分。
针对相关技术中在网络安全动态防御过程中执行地址跳变的两个交换机无法同步接收地址跳变指令,造成网业务中断的问题,目前尚未提出有效的解决方案。
发明内容
本申请提供一种地址跳变系统、方法、装置、存储介质及处理器,以解决相关技术中在网络安全动态防御过程中执行地址跳变的两个交换机无法同步接收地址跳变指令,造成网业务中断的问题。
根据本申请的一个方面,提供了一种地址跳变系统。该系统包括:第一交换机,用于在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;第二交换机,用于在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;目标服务器,用于同时向第一交换机和第二交换机发送地址跳变指令,以指示目标交换机基于当前地址跳变参数修改原始报文的地址信息,并基于目标跳变参数恢复已执行地址跳变的报文的地址信息,其中,目标交换机为第一交换机或第二交换机,目标跳变参数为目标交换机当前保存的任意一次地址跳变对应的地址跳变参数。
可选地,第一交换机还用于在执行当前地址跳变之前的第一预设时间,配置下一次地址跳变所需的地址跳变参数,其中,第一预设时间大于目标误差时间,且第一预设时间小于等于第一交换机执行相邻两次地址跳变的间隔时间,目标误差时间为第一交换机和第二交换机接收地址跳变指令的误差时间;第二交换机还用于在执行当前地址跳变之前的第二预设时间,配置下一次地址跳变所需的地址跳变参数,其中,第二预设时间大于目标误差时间,且第二预设时间小于等于第二交换机执行相邻两次地址跳变的间隔时间。
可选地,地址跳变系统还包括:目标网关设备,设置在第一交换机和第二交换机之间;其中,第一交换机还用于在执行当前地址跳变之前的第三预设时间发送广播报文,以使目标网关设备获取当前地址跳变对应的地址跳变参数,其中,第三预设时间大于目标误差时间,且第三预设时间小于目标网关设备的MAC表老化的时间;第二交换机还用于在执行当前地址跳变之前的第四预设时间发送广播报文,以使目标网关设备获取当前地址跳变对应的地址跳变参数,其中,第四预设时间大于目标误差时间,且第四预设时间小于目标网关设备的MAC表老化的时间。
根据本申请的另一个方面,提供了一种地址跳变方法。该方法应用上述任意一项的地址跳变系统,包括:第一交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;第二交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;第一交换机和第二交换机分别接收地址跳变指令,并分别在接收到地址跳变指令之后,基于当前地址跳变参数修改原始报文的地址信息,基于目标跳变参数恢复已执行地址跳变的报文的地址信息,其中,目标跳变参数为交换机当前保存的任意一次地址跳变对应的地址跳变参数。
可选地,第一交换机还用于在执行当前地址跳变之前的第一预设时间,配置下一次地址跳变所需的地址跳变参数,其中,第一预设时间大于目标误差时间,且第一预设时间小于等于第一交换机执行相邻两次地址跳变的间隔时间,目标误差时间为第一交换机和第二交换机接收地址跳变指令的误差时间;第二交换机还用于在执行当前地址跳变之前的第二预设时间,配置下一次地址跳变所需的地址跳变参数,其中,第二预设时间大于目标误差时间,且第二预设时间小于等于第二交换机执行相邻两次地址跳变的间隔时间。
可选地,第一交换机还用于在执行当前地址跳变之前的第三预设时间发送广播报文,以使目标网关设备获取当前地址跳变对应的地址跳变参数,其中,第三预设时间大于目标误差时间,且第三预设时间小于目标网关设备的MAC表老化的时间,目标网关设备设置在第一交换机和第二交换机之间;第二交换机还用于在执行当前地址跳变之前的第四预设时间发送广播报文,以使目标网关设备获取当前地址跳变对应的地址跳变参数,其中,第四预设时间大于目标误差时间,且第四预设时间小于目标网关设备的MAC表老化的时间。
可选地,第一交换机或第二交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数包括:在目标交换机内基于预设报文流的报文头信息配置过滤表,其中,目标交换机为第一交换机或第二交换机,预设报文流为参与地址跳变的报文流,预设报文流的报文头信息包含预设报文流的源地址信息、目的地址信息以及端口号;在目标交换机内基于当前地址跳变参数、上一次地址跳变所需的地址跳变参数和下一次地址跳变对应的地址跳变参数配置地址转换表,其中,每次地址跳变的地址跳变参数中包括源地址信息、目的地址信息以及端口号;根据过滤表和地址转换表确定动态地址跳变表。
可选地,第一交换机或第二交换机在接收到地址跳变指令之后,基于当前地址跳变参数修改原始报文的地址信息包括:获取目标报文的源地址信息、目的地址信息以及目的端口号,并判断目标报文的源地址信息、目的地址信息以及目的端口号与过滤表中的报文头信息是否匹配;在目标报文的源地址信息、目的地址信息以及目的端口号与过滤表中的报文头信息匹配的情况下,将目标报文的源地址信息、目的地址信息以及目的端口号,分别替换为地址转换表中当前地址跳变参数中的源地址信息、目的地址信息以及目的端口号。
可选地,第一交换机或第二交换机在接收到地址跳变指令之后,基于目标跳变参数恢复已执行地址跳变的报文的地址信息包括:获取目标报文的源地址信息、目的地址信息以及源端口号,并判断目标报文的源地址信息、目的地址信息以及源端口号与当前地址跳变参数、上一次地址跳变所需的地址跳变参数和下一次地址跳变对应的地址跳变参数是否匹配;在目标报文的源地址信息、目的地址信息以及源端口号与地址转换表中的任意一次地址跳变对应的地址跳变参数匹配的情况下,将目标报文的源地址信息、目的地址信息以及源端口号分别替换为过滤表中的报文头信息的源地址信息、目的地址信息以及源端口号。
根据本申请的另一方面,提供了一种地址跳变装置。该装置包括:第一配置单元,用于在第一交换机执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;第二配置单元,用于在第二交换机执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;跳变执行单元,用于在第一交换机和第二交换机分别接收地址跳变指令,并分别在接收到地址跳变指令之后,基于当前地址跳变参数修改原始报文的地址信息,基于目标跳变参数恢复已执行地址跳变的报文的地址信息,其中,目标跳变参数为交换机当前保存的任意一次地址跳变对应的地址跳变参数。
为了实现上述目的,根据本申请的另一方面,提供了一种存储介质,存储介质包括存储的程序,其中,程序执行上述任意一种地址跳变方法。
为了实现上述目的,根据本申请的另一方面,提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述任意一种地址跳变方法。
通过本申请,采用第一交换机,用于在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;第二交换机,用于在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;目标服务器,用于同时向第一交换机和第二交换机发送地址跳变指令,以指示目标交换机基于当前地址跳变参数修改原始报文的地址信息,并基于目标跳变参数恢复已执行地址跳变的报文的地址信息,其中,目标交换机为第一交换机或第二交换机,目标跳变参数为目标交换机当前保存的任意一次地址跳变对应的地址跳变参数,解决了相关技术中在网络安全动态防御过程中执行地址跳变的两个交换机无法同步接收地址跳变指令,造成网业务中断的问题。进而达到了在进行动态地址跳变的过程中不中断网络业务的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的地址跳变系统的示意图;
图2是根据本申请实施例提供的另一种地址跳变系统的示意图;
图3是根据本申请实施例提供的地址跳变方法的流程图;
图4是根据本申请实施例提供的地址跳变方法中匹配过滤表的示意图;
图5是根据本申请实施例提供的地址跳变方法中出方向动态地址跳变表的示意图;
图6是根据本申请实施例提供的地址跳变方法中入方向动态地址跳变表的示意图;
图7是根据本申请实施例提供的地址跳变方法中两个交换机执行动态地址跳变的示意图;
图8是根据本申请实施例提供的地址跳变方法中合并后的动态地址跳变表的示意图;
图9是根据本申请实施例提供的另一种地址跳变方法的流程图;
图10是根据本申请实施例提供的另一种地址跳变方法中更新动态地址跳变表的流程图;以及
图11是根据本申请实施例提供的地址跳变装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本申请的实施例,提供了一种地址跳变系统。
图1是根据本申请实施例的地址跳变系统的示意图。如图1所示,该系统包括:
第一交换机11,用于在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数。
第二交换机12,用于在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数。
目标服务器13,用于同时向第一交换机11和第二交换机12发送地址跳变参数,以及同时向第一交换机11和第二交换机12发送地址跳变指令,其中,地址跳变指令用于指示目标交换机基于当前地址跳变参数修改原始报文的地址信息,并基于目标跳变参数恢复已执行地址跳变的报文的地址信息,其中,目标交换机为第一交换机11或第二交换机12,目标跳变参数为目标交换机当前保存的任意一次地址跳变对应的地址跳变参数。
需要说明的是,IP地址动态跳变是在两个接入交换机之间进行的,由一台IP地址跳变管理服务器通过管理网将地址跳变指令直接下发到执行地址跳变的两个接入交换机的管理口,指示接入交换机执行地址跳变,但是,由于难以保证地址跳变指令同步到达两个执行地址跳变的接入交换机的管理口,两个接入交换机执行地址跳变的时间存在误差,该误差时间会影响地址跳变。
在本申请实施例中,执行地址跳变的接入交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数,也即,交换机内同时存储了相邻三次地址跳变对应的地址跳变参数,即使两端的交换机执行地址跳变的时间不同步,都能过滤到任意一次跳变的地址,从而按相同的策略做地址转换,不会发生因为地址跳变不同步而产生的丢包情况。
此外,还需要说明的是,IP地址动态跳变是在两个接入交换机之间进行的,但本申请实施例的地址跳变系统可以包括多个接入交换机,不限于两个。
可选地,在本申请实施例提供的地址跳变系统中,第一交换机11还用于在执行当前地址跳变之前的第一预设时间,配置下一次地址跳变所需的地址跳变参数,其中,第一预设时间大于目标误差时间,且第一预设时间小于等于第一交换机11执行相邻两次地址跳变的间隔时间,目标误差时间为第一交换机11和第二交换机12接收地址跳变指令的误差时间;第二交换机12还用于在执行当前地址跳变之前的第二预设时间,配置下一次地址跳变所需的地址跳变参数,其中,第二预设时间大于目标误差时间,且第二预设时间小于等于第二交换机12执行相邻两次地址跳变的间隔时间。
需要说明的是,下一次地址跳变参数提前于本次地址跳变配置到交换机中,主要是为了解决两端的交换机执行地址跳变指令的时间差异而导致的一端已经更换了跳变地址,另一端还按原先的转换策略做转换,从而无法识别新来的地址,造成的丢包问题。提前配置下一次地址跳变参数,即使两端交换机地址跳变的时间不同步,两端都能够过滤到新跳变的地址和前一次跳变的地址,从而按相同的策略做地址转换,避免地址跳变不同步而产生的丢包情况。
具体地,提前配置的时间范围原则上小于或等于同一交换机两次跳变的间隔时间,大于相关交换机执行同步地址跳变指令的误差时间,该时间范围可以由交换机的嵌入式软件根据事先配置好的提前配置时间参数确定。
地址跳变系统中还可以包括其他网关设备,可选地,在本申请实施例提供的地址跳变系统中,地址跳变系统还包括:目标网关设备,设置在第一交换机11和第二交换机12之间;其中,第一交换机11还用于在执行当前地址跳变之前的第三预设时间发送广播报文,以使目标网关设备获取当前地址跳变对应的地址跳变参数,其中,第三预设时间大于目标误差时间,且第三预设时间小于目标网关设备的MAC表老化的时间;第二交换机12还用于在执行当前地址跳变之前的第四预设时间发送广播报文,以使目标网关设备获取当前地址跳变对应的地址跳变参数,其中,第四预设时间大于目标误差时间,且第四预设时间小于目标网关设备的MAC表老化的时间。
需要说明的是,IP地址动态跳变可以在一个子网内部进行,也可以跨越路由器或网关设备,在两个不同的子网之间进行,在执行IP地址动态跳变时,主机终端或服务器的IP地址配置并不需要改变。如图2所示,在同一网段内的PC1和PC2之间的网络通信报文通过接入交换机1和接入交换机2做源地址和目的地址的动态变换,IP地址动态跳变的范围(即地址池)在本网段内,IP跳变策略执行后不需要修改路由器或网关的设置。而跨网段的PC1和应用服务器之间的网络通信报文通过接入交换机1和接入交换机3做源地址和目的地址的动态变换,报文经过中间的路由器,由于动态转换的地址也都在本网段内,因而路由器的基于子网的路由配置也不需要做调整。
进一步地,虽然不管在一个子网内部进行地址跳变,还是在两个不同的子网之间进行,除了执行地址跳变的接入交换机需要改变配置,其他网关设备不需要改变配置,但是,为了使得报文能在两个执行地址跳变的接入交换机之间正常往来,其他网关设备需要提前获知跳变地址。具体地,为了使得他网关设备需要提前获知跳变地址,在地址跳变指令执行之前,先从交换机的目标转发端口发送即将被安排做跳变地址的ARP包广播包,让两个执行地址跳变的交换机之间的网关设备提前自动学习到下一次跳变使用的MAC地址,避免更换新的网络地址报文出现之后,网关设备内的MAC表中查询不到MAC地址,广播到交换机的所有端口造成丢包,或者跳变策略暴露在网络中被其他主机侦听到。
需要说明的是,每次提前发ARP包的时间范围选择主要取决于两点:若发送ARP包之后一段时间没有使用该网络地址的报文经过,该地址则会被交换机MAC表老化掉,会造成丢包,因而不能过早发送;若发送ARP包的时间晚于对端交换机接收跳变执行指令的时间,对端交换机先于本交换机接收跳变执行指令,则对端发送的跳变后的报文在交换机的MAC表还找不到新地址,会导致丢包或广播该报文,因而也不能过晚发送。提前发送ARP包的时间范围小于网内交换机MAC表老化时间(例如,交换机默认的MAC地址老化时间可以是300秒),大于相关交换机执行同步地址跳变指令的误差时间,该时间参数应当是可配置的。
此外,需要说明的是,动态地址跳变是在交换机内部处理,第一交换机11和第二交换机12的交换机核心芯片内处理动态地址跳变的模块包括:
CPU接口模块,一方面,接收来自嵌入式CPU的配置指令,解析并转化为对内部总线的读写指令,并返回读的结果以及写操作是否成功,具体地,可支持单地址的读写操作,也支持连续地址的读写操作;另一方面,将CPU构造的报文发送出去,例如,跳变地址的ARP广播报文可以通过这个通道发送出去。
L2/L3查表模块,在业务流量输入并分析出报文头信息之后,用于根据报文的目的MAC地址和目的IP地址查询交换机的MAC表和路由表,但查到的结果并不一定是最终的转发结果。
策略匹配模块:根据报文头提取的信息做匹配过滤,对于来自于白名单之内的设备发送的报文,将报文头信息与过滤表做和地址转换表的内容进行匹配,并在匹配后将表内的转换信息或执行策略指令读出,输出给会话管理模块,会话管理模块再传入下一级处理模块进行报文修改等处理,从而发出。
本申请实施例提供的地址跳变系统,通过第一交换机11在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;第二交换机12在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;目标服务器13同时向第一交换机11和第二交换机12发送地址跳变参数,以及同时向第一交换机11和第二交换机12发送地址跳变指令,其中,地址跳变指令用于指示目标交换机基于当前地址跳变参数修改原始报文的地址信息,并基于目标跳变参数恢复已执行地址跳变的报文的地址信息,其中,目标交换机为第一交换机11或第二交换机12,目标跳变参数为目标交换机当前保存的任意一次地址跳变对应的地址跳变参数解决了相关技术中在网络安全动态防御过程中执行地址跳变的两个交换机无法同步接收地址跳变指令,造成网业务被中断的问题,进而达到了在进行动态地址跳变的过程中不中断网络业务的效果。
根据本申请的实施例,提供了一种地址跳变方法。
图3是根据本申请实施例的地址跳变方法的流程图,该方法应用上述任意一项实施例的地址跳变系统。如图3所示,该方法包括以下步骤:
步骤S301,第一交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数。
步骤S302,第二交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数。
需要说明的是,IP地址动态跳变是在两个接入交换机之间进行的,由一台IP地址跳变管理服务器通过管理网将地址跳变指令直接下发到执行地址跳变的两个接入交换机的管理口,指示接入交换机执行地址跳变,但是,由于难以保证地址跳变指令同步到达两个执行地址跳变的接入交换机的管理口,两个接入交换机执行地址跳变的时间存在误差,该误差时间会影响地址跳变。
在本申请实施例中,执行地址跳变的接入交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数,也即,交换机内同时存储了相邻三次地址跳变对应的地址跳变参数,即使两端的交换机执行地址跳变的时间不同步,都能过滤到任意一次跳变的地址,从而按相同的策略做地址转换,不会发生因为地址跳变不同步而产生的丢包情况。
可选地,在本申请实施例提供的地址跳变方法中,第一交换机还用于在执行当前地址跳变之前的第一预设时间,配置下一次地址跳变所需的地址跳变参数,其中,第一预设时间大于目标误差时间,且第一预设时间小于等于第一交换机执行相邻两次地址跳变的间隔时间,目标误差时间为第一交换机和第二交换机接收地址跳变指令的误差时间;第二交换机还用于在执行当前地址跳变之前的第二预设时间,配置下一次地址跳变所需的地址跳变参数,其中,第二预设时间大于目标误差时间,且第二预设时间小于等于第二交换机执行相邻两次地址跳变的间隔时间。
需要说明的是,下一次地址跳变参数提前于本次地址跳变配置到交换机中,主要是为了解决两端的交换机执行地址跳变指令的时间差异而导致的一端已经更换了跳变地址,另一端还按原先的转换策略做转换,从而无法识别新来的地址,造成的丢包问题。提前配置下一次地址跳变参数,即使两端交换机地址跳变的时间不同步,两端都能够过滤到新跳变的地址和前一次跳变的地址,从而按相同的策略做地址转换,避免地址跳变不同步而产生的丢包情况。
具体地,提前配置的时间范围原则上小于或等于同一交换机两次跳变的间隔时间,大于相关交换机执行同步地址跳变指令的误差时间,该时间范围可以由交换机的嵌入式软件根据事先配置好的提前配置时间参数确定。
可选地,第一交换机还用于在执行当前地址跳变之前的第三预设时间发送广播报文,以使目标网关设备获取当前地址跳变对应的地址跳变参数,其中,第三预设时间大于目标误差时间,且第三预设时间小于目标网关设备的MAC表老化的时间,目标网关设备设置在第一交换机和第二交换机之间;第二交换机还用于在执行当前地址跳变之前的第四预设时间发送广播报文,以使目标网关设备获取当前地址跳变对应的地址跳变参数,其中,第四预设时间大于目标误差时间,且第四预设时间小于目标网关设备的MAC表老化的时间。
需要说明的是,IP地址动态跳变可以在一个子网内部进行,也可以跨越路由器或网关设备,在两个不同的子网之间进行,在执行IP地址动态跳变时,主机终端或服务器的IP地址配置并不需要改变,但是,为了使得报文能在两个执行地址跳变的接入交换机之间正常往来,其他网关设备需要提前获知跳变地址。
具体地,为了使得他网关设备需要提前获知跳变地址,在地址跳变指令执行之前,先从交换机的目标转发端口发送即将被安排做跳变地址的ARP包广播包,让两个执行地址跳变的交换机之间的网关设备提前自动学习到下一次跳变使用的MAC地址,避免更换新的网络地址报文出现之后,网关设备内的MAC表中查询不到MAC地址,广播到交换机的所有端口造成丢包,或者跳变策略暴露在网络中被其他主机侦听到。
此外,还需要说明的是,每次提前发ARP包的时间范围选择主要取决于两点:若发送ARP包之后一段时间没有使用该网络地址的报文经过,该地址则会被交换机MAC表老化掉,会造成丢包,因而不能过早发送;若发送ARP包的时间晚于对端交换机接收跳变执行指令的时间,对端交换机先于本交换机接收跳变执行指令,则对端发送的跳变后的报文在交换机的MAC表还找不到新地址,会导致丢包或广播该报文,因而也不能过晚发送。提前发送ARP包的时间范围小于网内交换机MAC表老化时间(例如,交换机默认的MAC地址老化时间可以是300秒),大于相关交换机执行同步地址跳变指令的误差时间,该时间参数应当是可配置的。
步骤S303,第一交换机和第二交换机分别接收地址跳变指令,并分别在接收到地址跳变指令之后,基于当前地址跳变参数修改原始报文的地址信息,基于目标跳变参数恢复已执行地址跳变的报文的地址信息,其中,目标跳变参数为交换机当前保存的任意一次地址跳变对应的地址跳变参数。
具体地,基于第一地址跳变参数和第二地址跳变参数提前在交换机中配置相邻三次地址跳变对应的地址跳变参数,在对目标报文进行地址跳变时,即便两边交换机地址跳变的时间不同步,两边都能够过滤到新跳变的地址和前一次跳变的地址,都按相同的策略做地址转换,不会发生因为地址跳变不同步而产生的丢包情况。
本申请实施例提供的地址跳变方法,通过第一交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;第二交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;第一交换机和第二交换机分别接收地址跳变指令,并分别在接收到地址跳变指令之后,基于当前地址跳变参数修改原始报文的地址信息,基于目标跳变参数恢复已执行地址跳变的报文的地址信息,其中,目标跳变参数为交换机当前保存的任意一次地址跳变对应的地址跳变参数,解决了相关技术中在网络安全动态防御过程中执行地址跳变的两个交换机无法同步接收地址跳变指令,造成网业务中断的问题。进而达到了在进行动态地址跳变的过程中不中断网络业务的效果。
可选地,第一交换机或第二交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数包括:在目标交换机内基于预设报文流的报文头信息配置过滤表,其中,目标交换机为第一交换机或第二交换机,预设报文流为参与地址跳变的报文流,预设报文流的报文头信息包含预设报文流的源地址信息、目的地址信息以及端口号;在目标交换机内基于当前地址跳变参数、上一次地址跳变所需的地址跳变参数和下一次地址跳变对应的地址跳变参数配置地址转换表,其中,每次地址跳变的地址跳变参数中包括源地址信息、目的地址信息以及端口号;根据过滤表和地址转换表确定动态地址跳变表。
需要说明的是,过滤表由片内SRAM构成,表的内容由软件配置,匹配过滤内容为出方向报文(也即,从主机接入口L1AN口接收,待发送到其他网口的,未做跳变处理的原始报文)的源IP、目的IP、协议类型和目的端口号,如图4所示,当有报文匹配到这个过滤表后,则根据匹配到的索引指针继续读出网络变形地址转换表中的信息,从而进行地址转换。对于入方向报文(接收到的经过跳变修改的报文)则不需要用该表做过滤,而是利用地址转换表中的修改报文信息项中的源/目的IP、源端口号和协议类型做匹配过滤,并用该过滤表进行原始报文的恢复。
其中,地址转换表由片内SRAM构成,表的内容由软件配置。该表的每个表项由三部分组成,当前转换信息子表,下一次的转换信息子表以及上一次的转换信息子表。每个转换信息子表包含相应的地址跳变参数:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口号(出方向不需要记录)、目的端口号(入方向不需要记录)、协议类型,对于出方向报文,该地址转换表中的报文信息相当于修改报文信息,对于入方向报文,该地址转换表中的报文信息相当于匹配报文信息。
如图5所示,为出方向对应的交换机中的动态地址跳变表,表中灰色部分为匹配过滤项,出方向对目标报文做修改的时候,只涉及当前修改报文信息表项,不涉及前一次和下一次修改报文信息表项,协议类型是指IP头中的四层协议类型信息,其中TCP=6,UDP=17,ICMP=1,代表支持地址跳变的协议。
如图6所示,为入方向对应的交换机中的动态地址跳变表,表中灰色部分为匹配过滤项,入方向报文同时对三个表项(当前跳变配置、前一次跳变配置和下一次跳变配置)进行匹配,无论匹配到哪一个,将目标报文的包头信息修改为匹配表项中的信息,从而可以确保两边跳变配置无论哪个早、哪个晚,入方向接收的跳变报文都能够在这个表中被匹配到。
此外,还需要说明的是,对于需要执行IP地址跳变的流,要事先由软件把流匹配信息配置到对应交换机的过滤表中,为未执行地址跳变的报文的匹配与修改、以及已执行地址跳变的报文的原始报文的恢复奠定数据基础。
第一交换机或第二交换机接收到的报文可以是未经修改的报文,可选地,第一交换机或第二交换机在接收到地址跳变指令之后,基于当前地址跳变参数修改原始报文的地址信息包括:获取目标报文的源地址信息、目的地址信息以及目的端口号,并判断目标报文的源地址信息、目的地址信息以及目的端口号与过滤表中的报文头信息是否匹配;在目标报文的源地址信息、目的地址信息以及目的端口号与过滤表中的报文头信息匹配的情况下,将目标报文的源地址信息、目的地址信息以及目的端口号,分别替换为地址转换表中当前地址跳变参数中的源地址信息、目的地址信息以及目的端口号。
需要说明的是,在进行地址跳变时,对于出方向未被修改过的报文,在与过滤表中的内容匹配的情况下(也即,图5中的灰色部分),直接根据索引到的地址转换表中的当前修改报文信息,替换原报文包头中相关信息,具体地,目的端口号和协议类型不修改,其他五元组做替换。
第一交换机或第二交换机接收到的报文可以是经过修改的报文,可选地,第一交换机或第二交换机在接收到地址跳变指令之后,基于目标跳变参数恢复已执行地址跳变的报文的地址信息包括:获取目标报文的源地址信息、目的地址信息以及源端口号,并判断目标报文的源地址信息、目的地址信息以及源端口号与当前地址跳变参数、上一次地址跳变所需的地址跳变参数和下一次地址跳变对应的地址跳变参数是否匹配;在目标报文的源地址信息、目的地址信息以及源端口号与地址转换表中的任意一次地址跳变对应的地址跳变参数匹配的情况下,将目标报文的源地址信息、目的地址信息以及源端口号分别替换为过滤表中的报文头信息的源地址信息、目的地址信息以及源端口号。
需要说明的是,对于入方向的报文被修改过的报文,同时对地址转换表中的当前转换信息子表、前一次转换信息子表和下一次转换信息子表进行匹配(也即,图6中的灰色部分),无论匹配到哪一个,将目标报文的包头信息修改为过滤表中的内容,具体地,用表中修改报文信息替换收到报文的源/目的MAC、源/目的IP、源端口号。
具体地,入方向的报文可以匹配三个转换信息子表之一,如果本交换机机晚于对端交换机跳变,则会有一段时间匹配到下一次转换信息子表;如果本交换机早于对端交换机跳变,则会有一段时间匹配到前一次转换信息子表。无论匹配到哪个子表,均可以正确的将原始报文恢复出来,确保跳变过程不丢包、不错包,从而解决了两边接收跳变执行指令不同步导致的丢包、错包的问题。
如图7所示,为在两个交换机之间执行动态地址跳变的情况,其中,虚线段框和虚线段箭头表示IP地址跳变管理服务器向交换机1和交换机2发送的地址跳变执行指令。双实线箭头表示交换机在下一次跳变时间之前发送下一次跳变用的地址的ARP广播包。点画线框注释为匹配动态地址跳变表的情况。
正常跳变情况是,在两个交换机都完成跳变配置后,源和目的主机之间才发起连接,出方向和入方向交换机都正常的完成了匹配过滤和报文修改,入方向报文都匹配到了当前跳变报文信息。
在交换机1早于交换机2完成了跳变配置的情况下,在源主机发出第一个包经过交换机1的时候,按新地址信息做匹配,而交换机2则按下一次跳变地址信息完成了匹配。
在交换机2早于交换机1完成了跳变配置的情况下,在源主机发出第一个包经过交换机1的时候,按未更新的当前地址信息做了替换,而在交换机2上,则匹配了前一次跳变地址信息,也能够正确完成报文修改
还需要说明的是,如果攻击者采用静态侦听的方式,从攻击者视角来看动态地址跳变的效果,会采集到大量的跳变使用的主机地址发出的ARP广播包,攻击者会认为有这些活跃的主机存在于网络中,但当其试图访问这些地址的时候,无法匹配到正确的动态地址跳变表,因而无法获得跳变主机地址的回应报文,同时,这些访问行为会触发安全报警,暴露攻击者的入侵行为。
随着跳变的不断执行,对动态地址跳变表进行更新,例如,可以在下一次跳变前两秒发送ARP广播包,当跳变时间一到,将动态地址跳变表中当前跳变的信息子表项内容改为前一次跳变的信息子表项内容,把下一次跳变的信息子表项内容改为当前跳变信息子表项内容,把下一次跳变地址信息写入下一次跳变信息子表项内容,从而实现动态地址跳变表的更新。
根据本申请的实施例,还提供了另一种地址跳变方法。
需要说明的是,如图5和图6所示,入方向的动态地址跳变表中的修改报文信息与出方向的动态地址跳变表中的原始报文信息内容相同,但是方向相反,而入方向的匹配报文信息(当前、前一次、下一次)与出方向修改报文信息内容(当前、前一次、下一次)内容相同,但是方向相反。因此,可以将出方向和入方向的这两个表合并而共用在一块SRAM。
具体地,由嵌入式CPU通过CPU接口通道对表项进行增加、删除、修改操作,得到对出方向和入方向的动态地址跳变表进行合并的动态地址跳变表表。如图8所示,表项深度决定了设备能够支持地址跳变的流的数量,表的内容中,每一条跳变流的表项包括四个子表项,具体地,第一子表项为原报文信息,其中源IP、目的IP和目的端口号为匹配项,源MAC、目的MAC为查询内容;第二子表项为前一次跳变报文信息;第三子表项为当前跳变报文信息;第四子表项为下一次跳变报文信息。
其中,查询对比项用灰色表示,在使用该表时,出方向报文查询第一子表项,匹配后,用第三子表项的信息替换报文的包头信息;入方向报文查询第二、第三、第四子表项,有任意一个匹配,则用第一子表项的内容替换报文的包头信息。
如图9所示,为采用合并后的动态地址跳变表实现的,本申请实施例的另一种地址跳变方法的流程图。该方法包括:
对某一条流执行动态地址跳变策略时,先配置动态地址跳变表中当前跳变的信息子表项和下一次跳变的信息子表项,具体地,发送当前跳变源地址的ARP广播包,基于广播包配置使能该流的跳变功能。
进一步地,判断接收到该条流中的报文是否为出方向报文,在是的情况下,先匹配过滤该流的动态地址跳变表的第一子表项,在匹配的情况下,用第三子表项的信息替换该出方向报文的源/目的MAC、源/目的IP和目的端口号,从而实现报文地址的转换。
在否的情况下,匹配过滤该流的动态地址跳变表第二、三、四子表项,在匹配到其中一项的情况下,再用第一子表项的信息替换该出方向报文的源/目的MAC、源/目的IP和目的端口号,从而实现报文地址的转换。
在实现报文地址的转换后,将修改过的报文从目标端口发送出去,从而实现目标报文在两个交换机之间的地址跳变。
此外,不断的对动态地址跳变表决心更新,例如,如图10所示,可以在下一次跳变前两秒发送ARP广播包,当跳变时间一到,将动态地址跳变表中当前跳变的信息子表项改为前一次跳变的信息子表项,把下一次跳变的信息子表项改为当前跳变信息子表项,把下一次跳变地址信息写入下一次跳变信息子表项,从而实现动态地址跳变表的更新。
通过本实施例,提前把跳变用的IP地址和MAC用ARP广播包的方式发送出去,让其他交换机的MAC表提前学到,避免了交换机收到新跳变的报文未在MAC表中查询到而导致丢弃或被全网广播。同时,将前一次跳变的地址信息、下一次跳变的地址信息以及当前跳变的地址信息同时配置到动态地址跳变表中,无论两端交换机收到的跳变配置指令的时间是正偏差还是负偏差,都能够至少匹配到一条跳变策略,避免了跳变两端的接入交换机难以完全同步执行配置指令,从而确保了正确的完成报文信息替换,从而确保跳变过程中会话不丢包、不中断。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种地址跳变装置,需要说明的是,本申请实施例的地址跳变装置可以用于执行本申请实施例所提供的用于地址跳变方法。以下对本申请实施例提供的地址跳变装置进行介绍。
图11是根据本申请实施例的地址跳变装置的示意图。如图11所示,该装置包括:第一配置单元10、第二配置单元20和跳变执行单元30。
具体地,第一配置单元10,用于在第一交换机执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数。
第二配置单元20,用于在第二交换机执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数。
跳变执行单元30,用于在第一交换机和第二交换机分别接收地址跳变指令,并分别在接收到地址跳变指令之后,基于当前地址跳变参数修改原始报文的地址信息,基于目标跳变参数恢复已执行地址跳变的报文的地址信息,其中,目标跳变参数为交换机当前保存的任意一次地址跳变对应的地址跳变参数。
本申请实施例提供的地址跳变装置,通过第一配置单元10在第一交换机执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;第二配置单元20在第二交换机执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;跳变执行单元30在第一交换机和第二交换机分别接收地址跳变指令,并分别在接收到地址跳变指令之后,基于当前地址跳变参数修改原始报文的地址信息,基于目标跳变参数恢复已执行地址跳变的报文的地址信息,其中,目标跳变参数为交换机当前保存的任意一次地址跳变对应的地址跳变参数,解决了相关技术中在网络安全动态防御过程中执行地址跳变的两个交换机无法同步接收地址跳变指令,造成网业务中断的问题,进而达到了在进行动态地址跳变的过程中不中断网络业务的效果。
可选地,在本申请实施例提供的地址跳变装置中,第一配置单元10还用于在第一交换机执行当前地址跳变之前的第一预设时间,配置下一次地址跳变所需的地址跳变参数,其中,第一预设时间大于目标误差时间,且第一预设时间小于等于第一交换机执行相邻两次地址跳变的间隔时间,目标误差时间为第一交换机和第二交换机接收地址跳变指令的误差时间;第二配置单元20还用于在第二交换机执行当前地址跳变之前的第二预设时间,配置下一次地址跳变所需的地址跳变参数,其中,第二预设时间大于目标误差时间,且第二预设时间小于等于第二交换机执行相邻两次地址跳变的间隔时间。
可选地,在本申请实施例提供的地址跳变装置中,装置还包括:第一广播单元,用于在第一交换机执行当前地址跳变之前的第三预设时间发送广播报文,以使目标网关设备获取当前地址跳变对应的地址跳变参数,其中,第三预设时间大于目标误差时间,且第三预设时间小于目标网关设备的MAC表老化的时间,目标网关设备设置在第一交换机和第二交换机之间;第二广播单元,用于在第二交换机执行当前地址跳变之前的第四预设时间发送广播报文,以使目标网关设备获取当前地址跳变对应的地址跳变参数,其中,第四预设时间大于目标误差时间,且第四预设时间小于目标网关设备的MAC表老化的时间。
可选地,在本申请实施例提供的地址跳变装置中,第一配置单元10或第二配置单元20包括:第一配置模块,用于在目标交换机内基于预设报文流的报文头信息配置过滤表,其中,目标交换机为第一交换机或第二交换机,预设报文流为参与地址跳变的报文流,预设报文流的报文头信息包含预设报文流的源地址信息、目的地址信息以及端口号;第二配置模块,用于在目标交换机内基于当前地址跳变参数、上一次地址跳变所需的地址跳变参数和下一次地址跳变对应的地址跳变参数配置地址转换表,其中,每次地址跳变的地址跳变参数中包括源地址信息、目的地址信息以及端口号;确定模块,用于根据过滤表和地址转换表确定动态地址跳变表。
可选地,在本申请实施例提供的地址跳变装置中,跳变执行单元30包括:第一获取模块,用于获取目标报文的源地址信息、目的地址信息以及目的端口号,并判断目标报文的源地址信息、目的地址信息以及目的端口号与过滤表中的报文头信息是否匹配;第一修改模块,用于在目标报文的源地址信息、目的地址信息以及目的端口号与过滤表中的报文头信息匹配的情况下,将目标报文的源地址信息、目的地址信息以及目的端口号,分别替换为地址转换表中当前地址跳变参数中的源地址信息、目的地址信息以及目的端口号。
可选地,在本申请实施例提供的地址跳变装置中,跳变执行单元30还包括:第二获取模块,用于获取目标报文的源地址信息、目的地址信息以及源端口号,并判断目标报文的源地址信息、目的地址信息以及源端口号与当前地址跳变参数、上一次地址跳变所需的地址跳变参数和下一次地址跳变对应的地址跳变参数是否匹配;第二修改模块,用于在目标报文的源地址信息、目的地址信息以及源端口号与地址转换表中的任意一次地址跳变对应的地址跳变参数匹配的情况下,将目标报文的源地址信息、目的地址信息以及源端口号分别替换为过滤表中的报文头信息的源地址信息、目的地址信息以及源端口号。
所述地址跳变装置包括处理器和存储器,上述第一配置单元10、第二配置单元20和跳变执行单元30等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来解决相关技术中在网络安全动态防御过程中执行地址跳变的两个交换机无法同步接收地址跳变指令,造成网业务中断的问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述地址跳变方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述地址跳变方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:第一交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;第二交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;第一交换机和第二交换机分别接收地址跳变指令,并分别在接收到地址跳变指令之后,基于当前地址跳变参数修改原始报文的地址信息,基于目标跳变参数恢复已执行地址跳变的报文的地址信息,其中,目标跳变参数为交换机当前保存的任意一次地址跳变对应的地址跳变参数。本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:第一交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;第二交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;第一交换机和第二交换机分别接收地址跳变指令,并分别在接收到地址跳变指令之后,基于当前地址跳变参数修改原始报文的地址信息,基于目标跳变参数恢复已执行地址跳变的报文的地址信息,其中,目标跳变参数为交换机当前保存的任意一次地址跳变对应的地址跳变参数。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (12)
1.一种地址跳变系统,其特征在于,包括:
第一交换机,用于在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;
第二交换机,用于在执行所述当前地址跳变之前,配置所述下一次地址跳变所需的地址跳变参数,并保存所述上一次地址跳变对应的地址跳变参数;
目标服务器,用于同时向所述第一交换机和所述第二交换机发送地址跳变指令,以指示目标交换机基于当前地址跳变参数修改原始报文的地址信息,并基于目标跳变参数恢复已执行地址跳变的报文的地址信息,其中,所述目标交换机为所述第一交换机或所述第二交换机,所述目标跳变参数为所述目标交换机当前保存的任意一次地址跳变对应的地址跳变参数。
2.根据权利要求1所述的系统,其特征在于,
所述第一交换机还用于在执行所述当前地址跳变之前的第一预设时间,配置所述下一次地址跳变所需的地址跳变参数,其中,所述第一预设时间大于目标误差时间,且所述第一预设时间小于等于所述第一交换机执行相邻两次地址跳变的间隔时间,所述目标误差时间为所述第一交换机和所述第二交换机接收所述地址跳变指令的误差时间;
所述第二交换机还用于在执行所述当前地址跳变之前的第二预设时间,配置所述下一次地址跳变所需的地址跳变参数,其中,所述第二预设时间大于所述目标误差时间,且所述第二预设时间小于等于所述第二交换机执行相邻两次地址跳变的间隔时间。
3.根据权利要求2所述的系统,其特征在于,所述地址跳变系统还包括:
目标网关设备,设置在所述第一交换机和所述第二交换机之间;
其中,所述第一交换机还用于在执行所述当前地址跳变之前的第三预设时间发送广播报文,以使所述目标网关设备获取所述当前地址跳变对应的地址跳变参数,其中,所述第三预设时间大于所述目标误差时间,且所述第三预设时间小于所述目标网关设备的MAC表老化的时间;
所述第二交换机还用于在执行所述当前地址跳变之前的第四预设时间发送广播报文,以使所述目标网关设备获取所述当前地址跳变对应的地址跳变参数,其中,所述第四预设时间大于所述目标误差时间,且所述第四预设时间小于所述目标网关设备的MAC表老化的时间。
4.一种地址跳变方法,应用权利要求1至3任意一项所述的地址跳变系统,其特征在于,包括:
第一交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;
第二交换机在执行所述当前地址跳变之前,配置所述下一次地址跳变所需的地址跳变参数,并保存所述上一次地址跳变对应的地址跳变参数;
所述第一交换机和所述第二交换机分别接收地址跳变指令,并分别在接收到所述地址跳变指令之后,基于所述当前地址跳变参数修改原始报文的地址信息,基于目标跳变参数恢复已执行地址跳变的报文的地址信息,其中,所述目标跳变参数为交换机当前保存的任意一次地址跳变对应的地址跳变参数。
5.根据权利要求4所述的方法,其特征在于,
所述第一交换机还用于在执行所述当前地址跳变之前的第一预设时间,配置所述下一次地址跳变所需的地址跳变参数,其中,所述第一预设时间大于目标误差时间,且所述第一预设时间小于等于所述第一交换机执行相邻两次地址跳变的间隔时间,所述目标误差时间为所述第一交换机和所述第二交换机接收所述地址跳变指令的误差时间;
所述第二交换机还用于在执行所述当前地址跳变之前的第二预设时间,配置所述下一次地址跳变所需的地址跳变参数,其中,所述第二预设时间大于所述目标误差时间,且所述第二预设时间小于等于所述第二交换机执行相邻两次地址跳变的间隔时间。
6.根据权利要求5所述的方法,其特征在于,
所述第一交换机还用于在执行所述当前地址跳变之前的第三预设时间发送广播报文,以使目标网关设备获取所述当前地址跳变对应的地址跳变参数,其中,所述第三预设时间大于所述目标误差时间,且所述第三预设时间小于所述目标网关设备的MAC表老化的时间,所述目标网关设备设置在所述第一交换机和所述第二交换机之间;
所述第二交换机还用于在执行所述当前地址跳变之前的第四预设时间发送广播报文,以使所述目标网关设备获取所述当前地址跳变对应的地址跳变参数,其中,所述第四预设时间大于所述目标误差时间,且所述第四预设时间小于所述目标网关设备的MAC表老化的时间。
7.根据权利要求5所述的方法,其特征在于,所述第一交换机或所述第二交换机在执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数包括:
在目标交换机内基于预设报文流的报文头信息配置过滤表,其中,所述目标交换机为所述第一交换机或所述第二交换机,所述预设报文流为参与地址跳变的报文流,所述预设报文流的报文头信息包含所述预设报文流的源地址信息、目的地址信息以及端口号;
在所述目标交换机内基于所述当前地址跳变参数、所述上一次地址跳变所需的地址跳变参数和所述下一次地址跳变对应的地址跳变参数配置地址转换表,其中,每次地址跳变的地址跳变参数中包括源地址信息、目的地址信息以及端口号;
根据所述过滤表和所述地址转换表确定动态地址跳变表。
8.根据权利要求7所述的方法,其特征在于,所述第一交换机或所述第二交换机在接收到所述地址跳变指令之后,基于所述当前地址跳变参数修改原始报文的地址信息包括:
获取目标报文的源地址信息、目的地址信息以及目的端口号,并判断所述目标报文的源地址信息、目的地址信息以及目的端口号与所述过滤表中的所述报文头信息是否匹配;
在所述目标报文的源地址信息、目的地址信息以及目的端口号与所述过滤表中的所述报文头信息匹配的情况下,将所述目标报文的源地址信息、目的地址信息以及目的端口号,分别替换为所述地址转换表中所述当前地址跳变参数中的源地址信息、目的地址信息以及目的端口号。
9.根据权利要求8所述的方法,其特征在于,所述第一交换机或所述第二交换机在接收到所述地址跳变指令之后,基于目标跳变参数恢复已执行地址跳变的报文的地址信息包括:
获取所述目标报文的源地址信息、目的地址信息以及源端口号,并判断所述目标报文的源地址信息、目的地址信息以及源端口号与所述当前地址跳变参数、所述上一次地址跳变所需的地址跳变参数和所述下一次地址跳变对应的地址跳变参数是否匹配;
在所述目标报文的源地址信息、目的地址信息以及源端口号与所述地址转换表中的任意一次地址跳变对应的地址跳变参数匹配的情况下,将所述目标报文的源地址信息、目的地址信息以及源端口号分别替换为所述过滤表中的所述报文头信息的源地址信息、目的地址信息以及源端口号。
10.一种地址跳变装置,应用权利要求1至3任意一项所述的地址跳变系统,其特征在于,包括:
第一配置单元,用于在第一交换机执行当前地址跳变之前,配置下一次地址跳变所需的地址跳变参数,并保存上一次地址跳变对应的地址跳变参数;
第二配置单元,用于在第二交换机执行所述当前地址跳变之前,配置所述下一次地址跳变所需的地址跳变参数,并保存所述上一次地址跳变对应的地址跳变参数;
跳变执行单元,用于在所述第一交换机和所述第二交换机分别接收地址跳变指令,并分别在接收到所述地址跳变指令之后,基于所述当前地址跳变参数修改原始报文的地址信息,基于目标跳变参数恢复已执行地址跳变的报文的地址信息,其中,所述目标跳变参数为交换机当前保存的任意一次地址跳变对应的地址跳变参数。
11.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求4至9中任意一项所述的地址跳变方法。
12.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求4至9中任意一项所述的地址跳变方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010479981.8A CN111629082B (zh) | 2020-05-29 | 2020-05-29 | 地址跳变系统、方法、装置、存储介质及处理器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010479981.8A CN111629082B (zh) | 2020-05-29 | 2020-05-29 | 地址跳变系统、方法、装置、存储介质及处理器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111629082A true CN111629082A (zh) | 2020-09-04 |
CN111629082B CN111629082B (zh) | 2022-08-09 |
Family
ID=72260857
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010479981.8A Active CN111629082B (zh) | 2020-05-29 | 2020-05-29 | 地址跳变系统、方法、装置、存储介质及处理器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111629082B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112039915A (zh) * | 2020-09-08 | 2020-12-04 | 中国石油大学(华东) | 一种基于端信息跳变的嵌入式工控网络指令传输方法 |
CN115396502A (zh) * | 2022-08-24 | 2022-11-25 | 中国银行股份有限公司 | 多系统报文时间转换方法及装置 |
CN115996210A (zh) * | 2023-03-23 | 2023-04-21 | 湖南盾神科技有限公司 | 一种源变模式的地址端口跳变方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104853003A (zh) * | 2015-04-30 | 2015-08-19 | 中国人民解放军国防科学技术大学 | 一种基于Netfilter的地址、端口跳变通信实现方法 |
US20160294793A1 (en) * | 1998-10-30 | 2016-10-06 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
CN106657066A (zh) * | 2016-12-23 | 2017-05-10 | 中国电子科技集团公司第三十研究所 | 一种网络管理平面地址的随机跳变方法及装置 |
-
2020
- 2020-05-29 CN CN202010479981.8A patent/CN111629082B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160294793A1 (en) * | 1998-10-30 | 2016-10-06 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
CN104853003A (zh) * | 2015-04-30 | 2015-08-19 | 中国人民解放军国防科学技术大学 | 一种基于Netfilter的地址、端口跳变通信实现方法 |
CN106657066A (zh) * | 2016-12-23 | 2017-05-10 | 中国电子科技集团公司第三十研究所 | 一种网络管理平面地址的随机跳变方法及装置 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112039915A (zh) * | 2020-09-08 | 2020-12-04 | 中国石油大学(华东) | 一种基于端信息跳变的嵌入式工控网络指令传输方法 |
CN115396502A (zh) * | 2022-08-24 | 2022-11-25 | 中国银行股份有限公司 | 多系统报文时间转换方法及装置 |
CN115396502B (zh) * | 2022-08-24 | 2024-04-16 | 中国银行股份有限公司 | 多系统报文时间转换方法及装置 |
CN115996210A (zh) * | 2023-03-23 | 2023-04-21 | 湖南盾神科技有限公司 | 一种源变模式的地址端口跳变方法 |
CN115996210B (zh) * | 2023-03-23 | 2023-06-27 | 湖南盾神科技有限公司 | 一种源变模式的地址端口跳变方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111629082B (zh) | 2022-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111629082B (zh) | 地址跳变系统、方法、装置、存储介质及处理器 | |
US11196580B2 (en) | Method and device for bearing multicast virtual private network | |
US10148573B2 (en) | Packet processing method, node, and system | |
CN113812126B (zh) | 报文传输方法、装置及系统,可读存储介质 | |
US10171547B2 (en) | Neighbor discovery for IPV6 switching systems | |
US10103962B1 (en) | Return path trace | |
US9590898B2 (en) | Method and system to optimize packet exchange between the control and data plane in a software defined network | |
US20140376402A1 (en) | Methods and systems for automatic generation of routing configuration files | |
CN107968749B (zh) | 实现QinQ路由终结的方法、交换芯片及交换机 | |
CN108028801B (zh) | 一种基于sdn的arp实现方法及装置 | |
CN112887229B (zh) | 一种会话信息同步方法及装置 | |
US8914503B2 (en) | Detected IP link and connectivity inference | |
US10404544B2 (en) | Network topology determining method and apparatus, and centralized network status information storage device | |
CN110650092A (zh) | 一种数据处理的方法和装置 | |
EP3503484B1 (en) | Message transmission methods and devices | |
US11134099B2 (en) | Threat response in a multi-router environment | |
US11303567B2 (en) | Method and device for determining and sending priority of packet, and routing system | |
US10965596B2 (en) | Hybrid services insertion | |
CN107547411B (zh) | 一种路由处理方法、装置、电子设备及机器可读存储介质 | |
CN115695306A (zh) | 一种报文传输系统、方法、装置、设备及介质 | |
US20130246652A1 (en) | Discover IPv4 Directly Connected Host Conversations Using ARP in Distributed Routing Platforms | |
US11025536B1 (en) | Support for flooding in encapsulation and inter-VLAN communication via proxy-ARP | |
CN111131030B (zh) | 一种在evpn下的路由处理方法及设备、介质 | |
US9876736B2 (en) | Dual stack root based mLDP tree merge | |
CN111953748A (zh) | 会话记录生成方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |