CN111786888B - 一种接口隔离方法和装置 - Google Patents
一种接口隔离方法和装置 Download PDFInfo
- Publication number
- CN111786888B CN111786888B CN202010215169.4A CN202010215169A CN111786888B CN 111786888 B CN111786888 B CN 111786888B CN 202010215169 A CN202010215169 A CN 202010215169A CN 111786888 B CN111786888 B CN 111786888B
- Authority
- CN
- China
- Prior art keywords
- interface
- message
- band interface
- band
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种接口隔离方法和装置,涉及计算机技术领域。该方法的一具体实施方式包括:确定待传输的报文,获取报文中的源地址和目的地址;利用路由策略,判断源地址是否处于带外接口网段中,若是,则确定传输报文的接口类型为带外接口,否则为带内接口;在与所确定接口类型对应的路由表中,确定与目的地址相匹配的带内接口或带外接口,进而通过所确定的带内接口或带外接口传输报文。该实施方式通过将带外接口相关的路由信息与带内接口的相关路由信息存放至不同路由表中,并配置路由策略,实现带外接口和带内接口所传输报文的隔离,相较于现有技术,不需要借助NA或者VRF,且无需考虑交换机系统版本。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种接口隔离方法和装置。
背景技术
当前数据中心的网络设备,比如交换机,通常设有三种类型的端口——串口、管理口、业务口。在大规模数据应用场景下,通常通过管理口对交换机进行配置、升级、监控等管理相关操作,而业务口承担业务流量的转发。前者一般称作带外流量,管理口称作带外接口,后者称作带内流量,业务口称作带内接口。
网络部署中,带内、外流量应当是隔离的,即从管理口收到的管理指令,相应响应报文也只能通过管理口发送。但若存在两条或多条路由,交换机在发送响应报文时会通过哈希算法选择其中一条,引发选择的接口与收到请求的接口不一的情况。
针对上述问题,目前在Linux中主要采用NA(Network namespace,网络命名空间)和VRF(Virtual routing forwarding,虚拟路由转发)两种方式,通过将管理口和业务口放到不同的NA,以实现带内、外流量的隔离。
在实现本发明的过程中,发明人发现现有技术至少存在如下问题:
1、从网络角度考虑,NA如同虚拟机。若在交换机的系统中使用该功能实现网络隔离,实现较复杂;且若考虑带内外同时支持管理服务,例如SSH(Secure Shell,安全壳协议)、syslog、NTP(Network Time Protocol,网络时间协议),这些应用服务需分别运行在多个NA中;
2、VRF虽相比NA较为轻量,但也需要创建VRF实例和关联接口,相关应用程序也需要绑定到实例,操作依旧复杂;且不适用于低版本系统,若版本较低,只能采用NA实现网络隔离。
发明内容
有鉴于此,本发明实施例提供一种接口隔离方法和装置,至少能够解决现有技术中内外网络隔离复杂、需考虑系统版本的现象。
为实现上述目的,根据本发明实施例的一个方面,提供了一种接口隔离方法,包括:
确定待传输的报文,获取所述报文中的源地址和目的地址;
利用路由策略,判断所述源地址是否处于带外接口网段中,若是,则确定传输所述报文的接口类型为带外接口,否则为带内接口;
在与所确定接口类型对应的路由表中,确定与所述目的地址相匹配的带内接口或带外接口,进而通过所确定的带内接口或带外接口传输所述报文。
可选的,所述报文为响应报文;
所述利用路由策略,判断所述源地址是否处于带外接口网段中,若是,则确定传输所述报文的接口类型为带外接口,否则为带内接口,包括:利用带外接口匹配规则,判断所述响应报文的源地址是否处于带外接口网段中;若是,则确定传输所述响应报文的接口类型为带外接口,否则为带内接口。
可选的,所述报文为请求报文或单向报文,所述请求报文或所述单向报文的源地址为空;
所述利用路由策略,判断所述源地址是否处于带外接口网段中,若是,则确定传输所述报文的接口类型为带外接口,否则为带内接口,包括:利用带外接口匹配规则,判断所述请求报文或所述单向报文的源地址是否处于所述带外接口网段中;在判断结果为否时,获取所述请求报文或所述单向报文中的服务器地址;利用与所述服务器地址对应的第一带外接口匹配规则,判断所述请求报文或所述单向报文的目的地址是否处于第一带外接口网段中;若是,则确定传输所述请求报文或所述单向报文的接口类型为带外接口,否则为带内接口。
可选的,在与所确定接口类型对应的路由表中,确定与所述目的地址相匹配的带内接口或带外接口,包括:在存储有各个带外接口地址的第一路由表中,确定与所述目的地址相匹配的带外接口;或在存储有各个带内接口地址的第二路由表中,确定与所述目的地址相匹配的带内接口。
可选的,还包括:提取各个带外接口地址中的第一网络掩码,将所述第一网络掩码存储于所述第一路由表中;以及提取各个带内接口地址中的第二网络掩码,将所述第二网络掩码存储于所述第二路由表中。
为实现上述目的,根据本发明实施例的另一方面,提供了一种接口隔离装置,包括:
确定模块,用于确定待传输的报文,获取所述报文中的源地址和目的地址;
判断模块,用于利用路由策略,判断所述源地址是否处于带外接口网段中,若是,则确定传输所述报文的接口类型为带外接口,否则为带内接口;
传输模块,用于在与所确定接口类型对应的路由表中,确定与所述目的地址相匹配的带内接口或带外接口,进而通过所确定的带内接口或带外接口传输所述报文。
可选的,所述报文为响应报文;
所述判断模块,用于:利用带外接口匹配规则,判断所述响应报文的源地址是否处于带外接口网段中;若是,则确定传输所述响应报文的接口类型为带外接口,否则为带内接口。
可选的,所述报文为请求报文或单向报文,所述请求报文或所述单向报文的源地址为空;
所述判断模块,用于:利用带外接口匹配规则,判断所述请求报文或所述单向报文的源地址是否处于所述带外接口网段中;在判断结果为否时,获取所述请求报文或所述单向报文中的服务器地址;利用与所述服务器地址对应的第一带外接口匹配规则,判断所述请求报文或所述单向报文的目的地址是否处于第一带外接口网段中;若是,则确定传输所述请求报文或所述单向报文的接口类型为带外接口,否则为带内接口。
可选的,所述传输模块,用于:在存储有各个带外接口地址的第一路由表中,确定与所述目的地址相匹配的带外接口;或在存储有各个带内接口地址的第二路由表中,确定与所述目的地址相匹配的带内接口。
可选的,还包括存储模块,用于:提取各个带外接口地址中的第一网络掩码,将所述第一网络掩码存储于所述第一路由表中;以及提取各个带内接口地址中的第二网络掩码,将所述第二网络掩码存储于所述第二路由表中。
为实现上述目的,根据本发明实施例的再一方面,提供了一种接口隔离电子设备。
本发明实施例的电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述任一所述的接口隔离方法。
为实现上述目的,根据本发明实施例的再一方面,提供了一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现上述任一所述的接口隔离方法。
根据本发明所述提供的方案,上述发明中的一个实施例具有如下优点或有益效果:设置路由策略,根据报文中的源地址、目标地址等属性选择规则和路由表进行路由查询,且可以设置每条规则的优先级,整体无需过多复杂的实现和部署,无需升级系统版本,即可实现带内外接口的隔离目的。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的一种接口隔离方法的主要流程示意图;
图2是根据本发明实施例的一种可选的接口隔离方法的流程示意图;
图3是根据本发明实施例的另一种可选的接口隔离方法的流程示意图;
图4是本发明实施例的具体实施流程示意图;
图5是根据本发明实施例的一种接口隔离装置的主要模块示意图;
图6是本发明实施例可以应用于其中的示例性系统架构图;
图7是适于用来实现本发明实施例的移动设备或服务器的计算机系统的结构示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
需要说明的是,本发明主要应用于交换机(即在通信系统中完成信息交换功能的设备),而非PC端、服务器或移动设备等,实施方式主要以Linux系统为例进行说明。
所提及的带内接口和带外接口是交换机上的概念,例如交换机中有64个100G的接口用于流量转发,称之为业务接口,即带内接口,另外2个1G的接口用于连接管理网络,称之为管理接口,即带外接口。
参见图1,示出的是本发明实施例提供的一种接口隔离方法的主要流程图,包括如下步骤:
S101:确定待传输的报文,获取所述报文中的源地址和目的地址;
S102:利用路由策略,判断源地址是否处于带外接口网段中,若是,则确定传输所述报文的接口类型为带外接口,否则为带内接口;
S103:在与所确定接口类型对应的路由表中,确定与所述目的地址相匹配的带内接口或带外接口,进而通过所确定的带内接口或带外接口传输所述报文。
上述实施方式中,对于步骤S101,报文(message)是网络中交换与传输的数据单元,即站点一次性要发送的数据块,包含了将要发送的完整的数据信息,例如报文类型、报文版本、报文长度、报文实体等。本发明中的报文是指所有经过交换机的报文,主要考虑报文中的源地址和目的地址,例如:
unsigned int sourceIP;//32位源IP地址
unsigned int destIP;//32位目的IP地址
对于snmp、ssh这些交换机收到的请求,在处理请求后得到的响应报文,其源地址通常为交换机中接收该请求的接口;但对于AAA(Authentication、Authorization和Accounting的简称,验证、授权和记账)、ntp、syslog这些本地始发的报文,其源地址通常为空,因此可以通过源地址是否为空进行区分。
对于步骤S102,本发明针对交换机本地始发的报文以及处理请求后的响应报文,采用不同规则进行分别处理。
Linux系统中维护了4张路由表(如下图所示),由于Linux系统自身的限制,用户最多可自定义252张路由表,其中,253和255这两张表本发明暂不涉及,故不做具体描述。
所设置的路由策略如下所示:
0:from all lookup local
10:from OUTBAND-ADDRlookup 252
20:from all to NTP-SERVER lookup 252
30:from all to SYSLOG-SERVERlookup 252
40:from all to AAA-SERVER lookup 252
32766:from all lookup main
32767:from all lookup default
其中,0:from all lookup local、32766:from all lookup main、32767:fromall lookup default为Linux系统默认创建的3条缺省的选路规则,这三条规则都可以匹配任何条件。一般情况下,路由信息都会存放到main表中。相较于现有方式,创新设计了10、20、30、40这些规则,且0、10、20等表示规则使用的优先等级,数值越小优先级越大。
规则10(即带外接口匹配规则)是必须项,优先级仅次于规则0,主要应用于响应报文的传输确定。OUTBAND-ADDR为带外接口地址,动作为查询路由表252(即第一路由表),查询到的路由出口为表中一个带外接口。
规则20、30、40不是必须项,NTP-SERVER、SYSLOG-SERVER、AAA-SERVER分别代表ntp、syslog、AAA服务器地址,主要应用于本地始发报文的传输确定。本发明此处仅列出了三个应用,实际操作中如需其他服务,可以使用类似方法实现,得到多条类似规则。
实际操作中,需要按照路由策略中规则的优先级排序,按序使用规则对报文中的源地址进行匹配处理,具体地,判断报文中的源地址是否处于规则10的带外接口网段,若是,则确定传输报文的接口类型为带外接口,若否,则继续使用规则20~40处理;
与规则10区别之处在于,规则20~40主要应用于本地始发的报文,因此其判断依据为报文的目的地址是否处于第一带外接口的网段中(带外接口网段可不同于第一带外接口网段),若是,则确定传输报文的接口类型为带外接口,若否,则继续使用规则32766处理;
规则32766主要存储有路由main表,其对应于带内接口类型,即在上述规则均不满足的情况下,使用带内接口传输报文。
对于步骤S103,交换机中可能设置有多个带内接口和多个带外接口,因而需选择其中一个带内接口或带外接口,作为最终出口。
本发明预先将与带外接口对应的路由信息存放至自定义的路由表252中(即第一路由表),而与带内接口相关的路由信息仍保留在main表,即表254中(第二路由表)。此处的路由信息为网络掩码(Netmask),例如1.1.0.0/24,表示从IP地址中提取的网络号或主机号。网络掩码就是结构为网络号全部是1,主机号全部是0的IP地址。
在确定使用带外接口反馈报文时,将报文的目的地址与路由表252中的路由信息进行匹配,以确定传输该报文的具体带外接口。例如,从接口eth1收到ssh请求,从路由表252中查询到与报文中目的地址相匹配的出口eth1,与入口eth1一致。
同理,在确定使用带内接口反馈报文时,将报文的目的地址与路由main表254中的路由信息进行匹配,以确定传输该报文的具体带内接口。
上述实施例所提供的方法,通过将带外接口相关的路由信息放到第一路由表中,与带内接口的路由信息分离,并配置路由策略,实现带外接口和带内接口所传输报文的隔离,相较于现有技术,不需要借助NA或者VRF,且无需考虑交换机系统版本。
参见图2,示出了根据本发明实施例的一种可选的接口隔离方法流程示意图,包括如下步骤:
S201:确定待传输的响应报文,获取所述响应报文中的源地址和目的地址;
S202:利用带外接口匹配规则,判断所述响应报文的源地址是否处于带外接口网段中;
S203:若是,则确定传输所述响应报文的接口类型为带外接口;
S204:若否,则确定传输所述响应报文的接口类型为带内接口;
S205:在存储有各个带外接口地址的第一路由表中,确定与所述目的地址相匹配的带外接口;
S206:在存储有各个带内接口地址的第二路由表中,确定与所述目的地址相匹配的带内接口;
S207:通过所确定的带内接口或带外接口传输所述响应报文。
上述实施方式中,对于步骤S205~S207可参见图1所示步骤S103的描述,在此不再赘述。
上述实施方式中,对于步骤S201~S204,本实施方式主要对于snmp、ssh、telemetry、netconf这些本交换机收到的请求,在处理得到响应报文后,如何确定传输响应报文的接口是带外接口还是带内接口。
现有通常需要根据收到请求的接口来决定从哪些接口发送响应报文。但若存在两条或多条路由,交换机在发送响应报文时会通过哈希算法选择其中一条,可能出现选择的出口与收到请求的接口不一的情况。
针对该情况,本发明创新设置新的路由策略,此处主要考虑规则10:
0:from all lookup local
10:from OUTBAND-ADDRlookup 252
32766:from all lookup main
32767:from all lookup default
首先使用规则10(即带外接口匹配规则)判断响应报文中的源地址是否处于带外接口网段中,例如1.1.1.1属于1.1.1.0/24网段,则确定需通过带外接口传输该响应报文,但若判断结果为否,则通过规则32766处理,确定传输该响应报文的接口类型为带内接口。
但实际操作中,可能不单单针对响应报文设置相应规则,例如图1所示路由策略,在规则32766之前还设置有20、30、40规则,因而在使用规则10匹配判断结果为否时,同样需要通过规则20~40匹配处理,并在判断结果为否后,继续尝试匹配后面的规则,最终找到存储带内接口路由信息的main表。
上述实施例所提供的方法,针对响应报文,仅仅考虑其源地址是否处于带外接口网段中,相较于现有技术需要利用哈希算法选择路由的方式,减少了计算量,保证了所选接口的准确性。
参见图3,示出了根据本发明实施例的另一种可选的接口隔离方法流程示意图,包括如下步骤:
S301:确定待传输的报文,获取所述报文中的源地址和目的地址;其中,所述报文为请求报文或单向报文,所述请求报文或所述单向报文的源地址为空;
S302:利用带外接口匹配规则,判断所述请求报文或所述单向报文的源地址是否处于所述带外接口网段中;
S303:在判断结果为否时,获取所述请求报文或所述单向报文中的服务器地址;
S304:利用与所述服务器地址对应的第一带外接口匹配规则,判断所述请求报文或所述单向报文的目的地址是否处于第一带外接口网段中;
S305:若是,则确定传输所述请求报文或所述单向报文的接口类型为带外接口;
S306:若否,则确定传输所述请求报文或所述单向报文的接口类型为带内接口;
S307:在存储有各个带外接口地址的第一路由表中,确定与所述目的地址相匹配的带外接口;
S308:在存储有各个带内接口地址的第二路由表中,确定与所述目的地址相匹配的带内接口;
S309:通过所确定的带内接口或带外接口传输所述请求报文或所述单向报文。
上述实施方式中,对于步骤S307~S309可参见图1所示步骤S103的描述,在此不再赘述。
上述实施方式中,对于步骤S301~S306,本实施方式主要针对于AAA、ntp、syslog这些本地始发的报文,需要根据所配置的规则,决定应当从管理口即带外接口发送出去,还是从业务口即带内接口发送出去。
对于本地始发的报文,其源地址通常为空,因此可以通过源地址进行区分响应报文和本地始发报文。相应设置的路由策略主要考虑规则20/30/40为:
0:from all lookup local
20:from all to NTP-SERVER lookup 252
30:from all to SYSLOG-SERVERlookup 252
40:from all to AAA-SERVER lookup 252
32766:from all lookup main
32767:from all lookup default。
规则20~40(即第一带外接口匹配规则)中,NTP-SERVER、SYSLOG-SERVER、AAA-SERVER分别代表ntp、syslog、AAA服务器地址。因而可以通过报文中的服务器地址,确定选用规则20/30/40中的哪一个处理当前报文。
交换机作为这些应用的客户端,需要用户首先配置各应用的服务器地址。只有当用户配置这些服务需要通过带外接口传输报文时才会创建规则20/30/40,否则不需要。
由于是本地始发报文,因而主要考虑其目的地址,判断目的地址是否处于规则中的第一带外接口网段,若处于,则确定需依赖带外接口传输该报文。但若结果为否,路由策略时不会匹配该项规则,而是尝试匹配匹配后面的规则,最终找到存储带内接口路由信息的main表,查询到的路由出口即为带内接口。
针对于图1所示路由策略,在使用规则20~40匹配报文目的地址之前,需要先通过规则10判断报文中的源地址是否处于其带外接口网段中,由于本地始发报文的源地址通常为空,因而判断结果通常为否,此时再使用规则20~40进行判断。
上述实施例所提供的方法,针对不同应用设置有不同第一带外接口匹配规则,后续对于本地始发的请求报文或单向报文,可以依据其服务器地址确定相应第一带外接口匹配规则进行接口确定。
参见图4,示出了本发明实施例的具体实施流程示意图,包括:
1、针对AAA、ntp、syslog这些本地始发的报文,可以根据路由策略中的规则20/30/40判断是否通过带外接口传输;
对于snmp、ssh这些交换机收到的请求,可以根据路由策略中的规则10判断是否通过带外接口传输;
在判断结果均为否的情况下,按照路由策略中规则的优先级排序,继续使用后面的规则进行地址匹配处理,最终找到存储带内接口路由信息的main表,此时传输该报文的即为带内接口。
2、交换机中可能存储有多个带内接口以及多个带外接口,可以将带内接口的路由信息存储于路由表252中,而带内接口的路由信息存储于路由main表中,实现路由信息的分离。
通过将报文的目的地址在路由表中的查询,以此确定具体选用哪一个带内接口或带外接口传输报文。
本发明实施例所提供的方法,设置路由策略,根据报文中的源地址、目标地址等属性选择规则和路由表进行路由查询,且可以设置每条规则的优先级,整体无需过多复杂的实现和部署,无需升级系统版本,即可实现带内外接口的隔离目的。
参见图5,示出了本发明实施例提供的一种接口隔离装置500的主要模块示意图,包括:
确定模块501,用于确定待传输的报文,获取所述报文中的源地址和目的地址;
判断模块502,用于利用路由策略,判断所述源地址是否处于带外接口网段中,若是,则确定传输所述报文的接口类型为带外接口,否则为带内接口;
传输模块503,用于在与所确定接口类型对应的路由表中,确定与所述目的地址相匹配的带内接口或带外接口,进而通过所确定的带内接口或带外接口传输所述报文。
本发明实施装置中,所述报文为响应报文;
所述判断模块502,用于:利用带外接口匹配规则,判断所述响应报文的源地址是否处于带外接口网段中;若是,则确定传输所述响应报文的接口类型为带外接口,否则为带内接口。
本发明实施装置中,所述报文为请求报文或单向报文,所述请求报文或所述单向报文的源地址为空;
所述判断模块502,用于:利用带外接口匹配规则,判断所述请求报文或所述单向报文的源地址是否处于所述带外接口网段中;在判断结果为否时,获取所述请求报文或所述单向报文中的服务器地址;利用与所述服务器地址对应的第一带外接口匹配规则,判断所述请求报文或所述单向报文的目的地址是否处于第一带外接口网段中;若是,则确定传输所述请求报文或所述单向报文的接口类型为带外接口,否则为带内接口。
本发明实施装置中,所述传输模块503,用于:在存储有各个带外接口地址的第一路由表中,确定与所述目的地址相匹配的带外接口;或在存储有各个带内接口地址的第二路由表中,确定与所述目的地址相匹配的带内接口。
本发明实施装置还包括存储模块504(图中未标出),用于:提取各个带外接口地址中的第一网络掩码,将所述第一网络掩码存储于所述第一路由表中;以及提取各个带内接口地址中的第二网络掩码,将所述第二网络掩码存储于所述第二路由表中。
另外,在本发明实施例中所述装置的具体实施内容,在上面所述方法中已经详细说明了,故在此重复内容不再说明。
图6示出了可以应用本发明实施例的示例性系统架构600。
如图6所示,系统架构600可以包括终端设备601、602、603,网络604和服务器605(仅仅是示例)。网络604用以在终端设备601、602、603和服务器605之间提供通信链路的介质。网络604可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备601、602、603通过网络604与服务器605交互,以接收或发送消息等。终端设备601、602、603上可以安装有各种通讯客户端应用。
终端设备601、602、603可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器605可以是提供各种服务的服务器,例如对用户利用终端设备601、602、603所浏览的购物类网站提供支持的后台管理服务器(仅为示例)。
需要说明的是,本发明实施例所提供的方法一般由服务器605执行,相应地,装置一般设置于服务器605中。
应该理解,图6中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
下面参考图7,其示出了适于用来实现本发明实施例的终端设备的计算机系统700的结构示意图。图7示出的终端设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图7所示,计算机系统700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有系统700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本发明的系统中限定的上述功能。
需要说明的是,本发明所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本发明实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中,例如,可以描述为:一种处理器包括确定模块、判断模块、传输模块。其中,这些模块的名称在某种情况下并不构成对该模块本身的限定,例如,传输模块还可以被描述为“传输报文的模块”。
作为另一方面,本发明还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备包括:
确定待传输的报文,获取所述报文中的源地址和目的地址;
利用路由策略,判断所述源地址是否处于带外接口网段中,若是,则确定传输所述报文的接口类型为带外接口,否则为带内接口;
在与所确定接口类型对应的路由表中,确定与所述目的地址相匹配的带内接口或带外接口,进而通过所确定的带内接口或带外接口传输所述报文。
根据本发明实施例的技术方案,设置路由策略,根据报文中的源地址、目标地址等属性选择规则和路由表进行路由查询,且可以设置每条规则的优先级,整体无需过多复杂的实现和部署,无需升级系统版本,即可实现带内外接口的隔离目的。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种接口隔离方法,其特征在于,包括:
确定待传输的报文,获取所述报文中的源地址和目的地址;
响应于所述源地址不为空,利用带外接口匹配规则,判断所述源地址是否处于带外接口网段中,若是,则确定传输所述报文的接口类型为带外接口,否则为带内接口;
响应于所述源地址为空,获取所述报文中的服务器地址,利用与所述服务器地址对应的第一带外接口匹配规则,判断所述报文的目的地址是否处于第一带外接口网段中,若是,则确定传输所述报文的接口类型为带外接口,否则为带内接口;
在与所确定接口类型对应的路由表中,确定与所述目的地址相匹配的带内接口或带外接口,进而通过所确定的带内接口或带外接口传输所述报文。
2.根据权利要求1所述的方法,其特征在于,所述报文为响应报文,所述响应报文的源地址不为空;
所述利用带外接口匹配规则,判断所述源地址是否处于带外接口网段中,包括:
利用带外接口匹配规则,判断所述响应报文的源地址是否处于带外接口网段中。
3.根据权利要求1所述的方法,其特征在于,所述报文为请求报文或单向报文,所述请求报文或所述单向报文的源地址为空;
所述响应于所述源地址为空,获取所述报文中的服务器地址,包括:
利用带外接口匹配规则,判断所述请求报文或所述单向报文的源地址是否处于所述带外接口网段中;
在判断结果为否时,获取所述请求报文或所述单向报文中的服务器地址。
4.根据权利要求1所述的方法,其特征在于,在与所确定接口类型对应的路由表中,确定与所述目的地址相匹配的带内接口或带外接口,包括:
在存储有各个带外接口地址的第一路由表中,确定与所述目的地址相匹配的带外接口;或
在存储有各个带内接口地址的第二路由表中,确定与所述目的地址相匹配的带内接口。
5.根据权利要求4所述的方法,其特征在于,还包括:
提取各个带外接口地址中的第一网络掩码,将所述第一网络掩码存储于所述第一路由表中;以及
提取各个带内接口地址中的第二网络掩码,将所述第二网络掩码存储于所述第二路由表中。
6.一种接口隔离装置,其特征在于,包括:
确定模块,用于确定待传输的报文,获取所述报文中的源地址和目的地址;
判断模块,用于响应于所述源地址不为空,利用带外接口匹配规则,判断所述源地址是否处于带外接口网段中,若是,则确定传输所述报文的接口类型为带外接口,否则为带内接口;
响应于所述源地址为空,获取所述报文中的服务器地址,利用与所述服务器地址对应的第一带外接口匹配规则,判断所述报文的目的地址是否处于第一带外接口网段中,若是,则确定传输所述报文的接口类型为带外接口,否则为带内接口;
传输模块,用于在与所确定接口类型对应的路由表中,确定与所述目的地址相匹配的带内接口或带外接口,进而通过所确定的带内接口或带外接口传输所述报文。
7.根据权利要求6所述的装置,其特征在于,所述报文为响应报文,所述响应报文的源地址不为空;
所述判断模块,用于:
利用带外接口匹配规则,判断所述响应报文的源地址是否处于带外接口网段中。
8.根据权利要求6所述的装置,其特征在于,所述报文为请求报文或单向报文,所述请求报文或所述单向报文的源地址为空;
所述判断模块,用于:
利用带外接口匹配规则,判断所述请求报文或所述单向报文的源地址是否处于所述带外接口网段中;
在判断结果为否时,获取所述请求报文或所述单向报文中的服务器地址。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-5中任一所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-5中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010215169.4A CN111786888B (zh) | 2020-03-24 | 2020-03-24 | 一种接口隔离方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010215169.4A CN111786888B (zh) | 2020-03-24 | 2020-03-24 | 一种接口隔离方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111786888A CN111786888A (zh) | 2020-10-16 |
CN111786888B true CN111786888B (zh) | 2022-08-09 |
Family
ID=72753470
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010215169.4A Active CN111786888B (zh) | 2020-03-24 | 2020-03-24 | 一种接口隔离方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111786888B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105939267A (zh) * | 2015-10-09 | 2016-09-14 | 杭州迪普科技有限公司 | 带外管理方法及装置 |
CN108650126A (zh) * | 2018-05-09 | 2018-10-12 | 华信塞姆(成都)科技有限公司 | 一种ptn网络中自动发现和配置带内dcn的方法 |
CN108718276A (zh) * | 2018-04-10 | 2018-10-30 | 新华三技术有限公司 | 一种报文转发方法和装置 |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102573046B (zh) * | 2012-02-20 | 2016-01-20 | 烽火通信科技股份有限公司 | 可以对带内和带外时间同步接口分别进行时延补偿的移动通信系统及方法 |
CN104811948B (zh) * | 2014-01-24 | 2018-05-11 | 中国移动通信集团公司 | 一种中继数据处理方法及装置 |
US10530837B2 (en) * | 2014-04-10 | 2020-01-07 | International Business Machines Corporation | Always-on monitoring in the cloud |
US10129308B2 (en) * | 2015-01-08 | 2018-11-13 | Qualcomm Incorporated | Session description information for over-the-air broadcast media data |
CN107872542B (zh) * | 2016-09-27 | 2021-05-04 | 阿里巴巴集团控股有限公司 | 一种数据传输的方法及网络设备 |
US10460111B2 (en) * | 2017-08-04 | 2019-10-29 | Dell Products, Lp | System and method to isolate host and system management in an information handling system |
-
2020
- 2020-03-24 CN CN202010215169.4A patent/CN111786888B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105939267A (zh) * | 2015-10-09 | 2016-09-14 | 杭州迪普科技有限公司 | 带外管理方法及装置 |
CN108718276A (zh) * | 2018-04-10 | 2018-10-30 | 新华三技术有限公司 | 一种报文转发方法和装置 |
CN108650126A (zh) * | 2018-05-09 | 2018-10-12 | 华信塞姆(成都)科技有限公司 | 一种ptn网络中自动发现和配置带内dcn的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN111786888A (zh) | 2020-10-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11088944B2 (en) | Serverless packet processing service with isolated virtual network integration | |
KR101703088B1 (ko) | Sdn 기반의 통합 라우팅 방법 및 그 시스템 | |
CN109996307B (zh) | 一种数据路由方法以及终端 | |
CN104221331B (zh) | 用于以太网交换机的没有查找表的第2层分组交换 | |
CN104618240A (zh) | 用于软件定义数据中心网络中动态多径转发的方法和设备 | |
KR20130126730A (ko) | 네트워크 시스템, 스위치 및 접속 단말기 검지 방법 | |
CN103477588A (zh) | 刀片服务器中刀片间网络业务的分类和管理方法和系统 | |
TW201711557A (zh) | 用於配置一或多個伺服器之機架系統與其配置方法 | |
US20190394095A1 (en) | Virtualized networking application and infrastructure | |
US9935834B1 (en) | Automated configuration of virtual port channels | |
CN111756565B (zh) | 管理分支网络内的卫星设备 | |
US20200264937A1 (en) | Integration of software applications with infrastructure | |
CN117616736A (zh) | 支持原生云应用的路由应用控制和数据平面流量 | |
CN115379010A (zh) | 一种容器网络构建方法、装置、设备及存储介质 | |
CN111786888B (zh) | 一种接口隔离方法和装置 | |
CN111245637B (zh) | 生成基于应用的代理自动配置 | |
CN115665026A (zh) | 一种集群组网的方法和装置 | |
CN103986660A (zh) | 加载微码的装置以及加载微码的方法 | |
US20160269325A1 (en) | Method, apparatus, and system for controlling forwarding of service data in virtual network | |
CN113904871B (zh) | 网络切片的接入方法、pcf实体、终端和通信系统 | |
KR102651239B1 (ko) | 가상화 기술을 이용한 통신 방법 및 이를 수행하는 전자 장치 | |
KR101729945B1 (ko) | Sdn 기반의 네트워크 시스템의 멀티 테넌트 지원 방법 | |
US10601635B1 (en) | Apparatus, system, and method for wireless management of a distributed computer system | |
CN111866100A (zh) | 一种控制数据传输速率的方法、装置和系统 | |
CN114531360A (zh) | 一种语义名称获取方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |