CN112039854A - 一种数据传输方法、装置和存储介质 - Google Patents
一种数据传输方法、装置和存储介质 Download PDFInfo
- Publication number
- CN112039854A CN112039854A CN202010812845.6A CN202010812845A CN112039854A CN 112039854 A CN112039854 A CN 112039854A CN 202010812845 A CN202010812845 A CN 202010812845A CN 112039854 A CN112039854 A CN 112039854A
- Authority
- CN
- China
- Prior art keywords
- message
- switch
- data processing
- terminal
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 85
- 230000005540 biological transmission Effects 0.000 title claims abstract description 64
- 238000012545 processing Methods 0.000 claims abstract description 206
- 230000003993 interaction Effects 0.000 claims description 20
- 238000005538 encapsulation Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 18
- 230000009471 action Effects 0.000 claims description 11
- 238000004806 packaging method and process Methods 0.000 claims description 10
- 239000000126 substance Substances 0.000 claims description 3
- 230000000875 corresponding effect Effects 0.000 description 170
- 239000012792 core layer Substances 0.000 description 58
- 239000010410 layer Substances 0.000 description 55
- 239000000523 sample Substances 0.000 description 17
- 238000010586 diagram Methods 0.000 description 16
- 238000011217 control strategy Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 7
- 230000006855 networking Effects 0.000 description 6
- 230000006399 behavior Effects 0.000 description 5
- 230000002776 aggregation Effects 0.000 description 4
- 238000004220 aggregation Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000005641 tunneling Effects 0.000 description 3
- 238000012800 visualization Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000003556 assay Methods 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2592—Translation of Internet protocol [IP] addresses using tunnelling or encapsulation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/10—Packet switching elements characterised by the switching fabric construction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
本发明公开了一种数据传输方法、装置和存储介质,其中,方法包括:接收第一目标设备发送的第一报文;所述第一目标设备为终端或交换机;根据所述第一报文,确定相应的数据处理策略;所述数据处理策略,至少用于对所述第一报文进行封装或解封装;按照所述数据处理策略对第一报文进行数据处理,得到第二报文,并将所述第二报文发送至相应的第二目标设备。
Description
技术领域
本发明涉及网络安全技术,尤其涉及一种数据传输方法、装置和计算机可读存储介质。
背景技术
目前,对于用户网络管理的现状是,对流量的安全管控主要是南北向流量,东西向流量的安全管控很难做到全方位所有流量管控。
相关技术中,东西向流量安全方案一般是需要部署探针进行流量搜集,但是探针的部署位置并不能做到整网流量覆盖,一般部署也是部署到汇聚层面,导致网络环境中东西向流量存在安全盲区。
发明内容
有鉴于此,本发明的主要目的在于提供一种数据传输方法、装置和计算机可读存储介质。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供了一种数据传输方法,所述方法应用于第一交换机,所述方法包括:
接收第一目标设备发送的第一报文;所述第一目标设备为终端或用于与安全设备进行数据交互的交换机;
根据所述第一报文,确定相应的数据处理策略;所述数据处理策略,至少用于对所述第一报文进行封装或解封装;
按照所述数据处理策略对第一报文进行数据处理,得到第二报文,并将所述第二报文发送至相应的第二目标设备。
上述方案中,所述第一目标设备为第一终端时,所述第二目标设备为用于与安全设备进行数据交互的第二交换机,所述第一报文的类型为原始报文,相应的,确定的数据处理策略为第一处理策略;
按照所述第一处理策略对第一报文进行数据处理,得到第二报文,包括:
对所述第一报文进行封装,得到封装后的第一报文,作为第二报文;
相应的,所述将所述第二报文发送至相应的第二目标设备,包括:
确定所述第一终端对应的第一隧道;
通过所述第一隧道将第二报文发送至第二交换机;所述第二报文由所述第二交换机发送至安全设备进行安全处理。
上述方案中,所述第一目标设备为用于与安全设备进行数据交互的第二交换机时,所述第二目标设备为第二终端,所述第一报文的类型为封装报文,相应的,确定的数据处理策略为第二处理策略;
所述接收第一目标设备发送的第一报文,包括:
接收所述第二交换机通过第二终端对应的第二隧道发送的第一报文;
相应的,按照所述第二处理策略对第一报文进行数据处理,得到第二报文,包括:
对所述第一报文进行解封装,得到解封装后的原始报文,作为第二报文。
上述方案中,所述确定所述第一终端的第一隧道,包括:
根据所述第一终端,查询预设的隧道对应关系,确定所述第一终端对应的第一隧道;
其中,所述预设的隧道对应关系包括至少一个终端和至少一个终端中各个终端对应的隧道。
上述方案中,相应隧道为支持封装方式传输报文的隧道;
所述对所述第一报文进行封装,得到封装后的第一报文,作为第二报文,包括:将所述第一报文封装为相应格式的报文,作为所述第二报文;
相应的,所述通过所述第一隧道将第二报文发送至第二交换机,包括:
通过所述支持封装方式传输报文的隧道将所述相应格式的报文发送至第二交换机;所述第二交换机支持对所述相应格式的报文的解封装。
本发明实施例提供一种数据传输方法,其特征在于,所述方法应用于第二交换机,所述方法包括:
接收第三目标设备发送的第三报文;所述第三目标设备为第一交换机或安全设备;
根据所述第三报文,确定相应的数据处理策略;所述数据处理策略,至少用于对所述第三报文进行封装或解封装;
按照所述数据处理策略对第三报文进行数据处理,得到第四报文,并将所述第四报文发送至相应的第四目标设备。
上述方案中,所述第三目标设备为第一交换机时,所述第四目标设备为安全设备,所述第三报文的类型为封装报文,相应的,确定的数据处理策略为第三处理策略;
按照所述第三处理策略对第三报文进行数据处理,得到第四报文,包括:
对所述第三报文进行解封装,得到解封装后的原始报文,作为第四报文;
相应的,所述将所述第四报文发送至相应的第四目标设备,包括:
根据所述第三报文确定对应的安全策略,基于所述安全策略将所述第四报文发送至相应的安全设备;所述第四报文由所述安全设备进行安全处理。
上述方案中,所述第三目标设备为安全设备时,所述第四目标设备为第二终端,所述第三报文的类型为原始报文,相应的,确定的数据处理策略为第四处理策略;
按照所述第四处理策略对第三报文进行数据处理,得到第四报文,包括:
对所述第三报文进行封装,得到封装后的第三报文,作为第四报文;
相应的,所述将所述第四报文发送至相应的第四目标设备,包括:
确定所述第二终端对应的第二隧道,通过所述第二隧道将所述第四报文发送至第二终端。
上述方案中,所述根据所述第三报文确定对应的安全策略,包括:
根据所述第三报文确定发送所述第三报文的端口信息;
根据所述端口信息查询预设的安全策略对应关系,确定所述端口信息对应的安全策略,作为所述第三报文对应的安全策略;
其中,所述预设的安全策略对应关系包括至少一个端口和至少一个端口中各端口对应的安全策略;
所述安全策略至少用于指引对所述第三报文所需执行的动作。
本发明实施例提供了一种数据传输装置,所述装置应用于第一交换机,包括:
第一处理模块,用于接收第一目标设备发送的第一报文;根据所述第一报文,确定相应的数据处理策略;所述第一目标设备为终端或用于与安全设备进行数据交互的交换机;所述数据处理策略,至少用于对所述第一报文进行封装或解封装;
第二处理模块,用于按照所述数据处理策略对第一报文进行数据处理,得到第二报文,并将所述第二报文发送至相应的第二目标设备。
上述方案中,所述第一目标设备为第一终端时,所述第二目标设备为用于与安全设备进行数据交互的第二交换机,所述第一报文的类型为原始报文,相应的,确定的数据处理策略为第一处理策略;
所述第二处理模块,具体用于对所述第一报文进行封装,得到封装后的第一报文,作为第二报文;
以及,确定所述第一终端对应的第一隧道;通过所述第一隧道将第二报文发送至第二交换机;所述第二报文由所述第二交换机发送至安全设备进行安全处理。
上述方案中,所述第一目标设备为用于与安全设备进行数据交互的第二交换机时,所述第二目标设备为第二终端,所述第一报文的类型为封装报文,相应的,确定的数据处理策略为第二处理策略;
所述第一处理模块,具体用于接收所述第二交换机通过第二终端对应的第二隧道发送的第一报文;
相应的,所述第二处理模块,具体用于对所述第一报文进行解封装,得到解封装后的原始报文,作为第二报文。
上述方案中,所述第二处理模块,具体用于根据所述第一终端,查询预设的隧道对应关系,确定所述第一终端对应的第一隧道;
其中,所述预设的隧道对应关系包括至少一个终端和至少一个终端中各个终端对应的隧道。
上述方案中,相应隧道为支持封装方式传输报文的隧道;
所述第二处理模块,用于将所述第一报文封装为相应格式的报文,作为所述第二报文;
以及,通过所述支持封装方式传输报文的隧道将所述相应格式的报文发送至第二交换机;所述第二交换机支持对所述相应格式的报文的解封装。
本发明实施例提供了一种数据处理装置,所述装置应用于第二交换机,包括:
第三处理模块,用于接收第三目标设备发送的第三报文;根据所述第三报文,确定相应的数据处理策略;所述第三目标设备为第一交换机或安全设备;所述数据处理策略,至少用于对所述第三报文进行封装或解封装;
第四处理模块,用于按照所述数据处理策略对第三报文进行数据处理,得到第四报文,并将所述第四报文发送至相应的第四目标设备。
上述方案中,所述第三目标设备为第一交换机时,所述第四目标设备为安全设备,所述第三报文的类型为封装报文,相应的,确定的数据处理策略为第三处理策略;
所述第四处理模块,具体用于对所述第三报文进行解封装,得到解封装后的原始报文,作为第四报文;
以及,根据所述第三报文确定对应的安全策略,基于所述安全策略将所述第四报文发送至相应的安全设备;所述第四报文由所述安全设备进行安全处理。
上述方案中,所述第三目标设备为安全设备时,所述第四目标设备为第二终端,所述第三报文的类型为原始报文,相应的,确定的数据处理策略为第四处理策略;
所述第四处理模块,具体用于对所述第三报文进行封装,得到封装后的第三报文,作为第四报文;
以及,确定所述第二终端对应的第二隧道,通过所述第二隧道将所述第四报文发送至第二终端。
上述方案中,所述第三处理模块,用于根据所述第三报文确定发送所述第三报文的端口信息;
根据所述端口信息查询预设的安全策略对应关系,确定所述端口信息对应的安全策略,作为所述第三报文对应的安全策略;
其中,所述预设的安全策略对应关系包括至少一个端口和至少一个端口中各端口对应的安全策略;
所述安全策略至少用于指引对所述第三报文所需执行的动作。
本发明实施例提供了一种数据传输装置,所述装置包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器;其中,
所述处理器用于运行所述计算机程序时,执行上述任一项第一交换机侧的数据传输方法的步骤;或者,执行上述任一项第二交换机侧的数据传输方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以上任一项第一交换机侧的所述数据传输方法的步骤;或者,所述计算机程序被处理器执行时实现以上任一项第二交换机侧的所述数据传输方法的步骤。
本发明实施例所提供的数据传输方法、装置和计算机可读存储介质,所述方法包括:第一交换机接收第一目标设备发送的第一报文;所述第一目标设备为终端或用于与安全设备进行数据交互的交换机;根据所述第一报文,确定相应的数据处理策略;所述数据处理策略,至少用于对所述第一报文进行封装或解封装;按照所述数据处理策略对第一报文进行数据处理,得到第二报文,并将所述第二报文发送至相应的第二目标设备;相应的,第二交换机接收第三目标设备发送的第三报文;所述第三目标设备为第一交换机或安全设备;根据所述第三报文,确定相应的数据处理策略;所述数据处理策略,至少用于对所述第三报文进行封装或解封装;按照所述数据处理策略对第三报文进行数据处理,得到第四报文,并将所述第四报文发送至相应的第四目标设备;如此,实现对所有东西向流量的管控,即所有报文均通过安全设备进行安全处理,进而提高了网络中数据传输的安全性。
附图说明
图1为一种安全感知平台组网结构的示意图;
图2为一种传统东西向流量转发的示意图;
图3为一种安全感知平台组网结构下东西向流量转发的示意图;
图4为一种添加有更多探针的安全感知平台组网结构示意图;
图5为本发明实施例提供的一种数据传输方法的流程示意图;
图6为本发明实施例提供的另一种数据传输方法的流程示意图;
图7为本发明实施例提供的一种数据传输系统的拓扑结构图;
图8为本发明实施例提供的一种数据传输系统的拓扑效果图;
图9为本发明实施例提供的再一种数据传输方法的流程示意图;
图10为本发明实施例提供的一种数据传输装置的结构示意图;
图11为本发明实施例提供的另一种数据传输装置的结构示意图;
图12为本发明实施例提供的再一种数据传输装置的结构示意图。
具体实施方式
在结合实施例对本发明再作进一步详细的说明之前,首先以下对涉及到的名称做进一步说明。
接入层交换机:在网络中直接面向用户终端的交换机,用于为用户终端提供连接或访问网络的部分。主要目的是允许用户终端连接到网络。
汇聚层交换机:汇聚层交换机是多台接入层交换机的汇聚点,用于连接核心层和接入层,处于中间位置,它的上行是核心层交换机,下行是接入层交换。
核心层交换机:核心层交换机是网络的主干部分,是网络的枢纽中心,保障整个网络性能。核心层交换机下行连接汇聚交换机及内部网络,上行一般连接外网出口到互联网中。
东西向流量:在网络拓扑中的流量,按流向可以分为两种类型,一种是内部用户和外部网络或者是核心层另一侧的其他设备通信的流量,这种流量一般都会经过核心层交换机,叫做南北向流量;另一种是内部用户跟内部用户的直接通信,比如说同一台交换机下面的两个用户之间通信,这种流量叫做东西向流量。
安全感知平台(SIP,Security Intelligence Platform):为用户终端的安全大脑,是一个检测、预警、响应处置的大数据安全分析平台。其以流量分析为核心,对网络拓扑中流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助用户在高级威胁入侵之后,损失发生之前及时发现威胁。
探针(STA,Stealth Threat Analytics),全称为潜伏威胁探针:指搭配SIP使用的探针,主要作用是搜集网络流量交给SIP,帮助SIP获取到网络拓扑中更广泛的节点流量。
隧道技术(Tunneling):是一种通过使用网络的基础设施在网络之间建立一条虚拟链路以传递数据的方式。
图1为一种安全感知平台组网结构的示意图;如图1所示,所述安全感知平台(SIP)的工作原理是在网络拓扑中合适的位置部署探针(STA),结合SIP起到对拓扑环境中的流量进行安全管控。具体的部署方式如图1所示,网络拓扑是传统的接入层-汇聚层-核心层组成的三级架构,在汇聚层交换机需要部署探针进行网络报文采集,在核心层交换机部署SIP,核心层的SIP处理探针采集到的数据,然后实现对网络报文的管控。
上述方式存在以下问题:
问题一:部署探针那一层网络和下级网络的东西向流量是没有办法采集到的。结合图2具体说明,图2为一种传统东西向流量转发的示意图,其中,PC(Personal Computer,即个人计算机)1表示设备1,PC2表示设备2;PC1、PC2、探针接在同一层交换机上,PC1发往PC2的流量直接在交换机内部做东西向转发,不会经过探针,也不会到达上级网络。同理,下级网络中的东西向报文直接在下级网路内部转发,也不会经过探针。所以这些东西向流量是无法被安全感知平台处理到的。因此,如图3中的箭头所示,同一台接入层交换机下面的两台PC直接通信的流量,将无法经过探针,流量不能被管控。
问题二:正是因为问题一的存在,所以安全感知平台想要管控更多的流量,就必须在更多的位置部署探针,比如说每个接入层交换机都接一台探针,如图4所示(对比图1),图4为添加有更多探针的安全感知平台组网结构示意图。尽管这样,仍旧无法采集到本层的东西向流量,而且部署更多的探针给用户带来更大的成本开销。
基于此,本发明的各种实施例中提供的方法,包括:第一交换机接收第一目标设备发送的第一报文;所述第一目标设备为终端或用于与安全设备进行数据交互的交换机;根据所述第一报文,确定相应的数据处理策略;所述数据处理策略,至少用于对所述第一报文进行封装或解封装;按照所述数据处理策略对第一报文进行数据处理,得到第二报文,并将所述第二报文发送至相应的第二目标设备;相应的,第二交换机接收第三目标设备发送的第三报文;所述第三目标设备为第一交换机或安全设备;根据所述第三报文,确定相应的数据处理策略;所述数据处理策略,至少用于对所述第三报文进行封装或解封装;按照所述数据处理策略对第三报文进行数据处理,得到第四报文,并将所述第四报文发送至相应的第四目标设备;如此,解决安全设备(如SIP)无法管控到所有东西向流量的问题。
下面结合实施例对本发明再作进一步详细的说明。
图5为本发明实施例提供的一种数据传输方法的流程示意图;如图5所示,所述数据传输方法应用于第一交换机,所述方法包括:
步骤501、接收第一目标设备发送的第一报文;所述第一目标设备为终端或用于与安全设备进行数据交互的交换机;
步骤502、根据所述第一报文,确定相应的数据处理策略;所述数据处理策略,至少用于对所述第一报文进行封装或解封装;
步骤503、按照所述数据处理策略对第一报文进行数据处理,得到第二报文,并将所述第二报文发送至相应的第二目标设备。
具体地,所述第一交换机可以为接入层交换机。
在一些实施例中,所述第一目标设备为终端(记做第一终端)时,所述第二目标设备为用于与安全设备进行数据交互的交换机(记做第二交换机,可以为核心层交换机),所述第一报文的类型为原始报文,相应的,确定的数据处理策略为第一处理策略;
所述按照所述第一处理策略对第一报文进行数据处理,得到第二报文,包括:
对所述第一报文进行封装,得到封装后的第一报文,作为第二报文。
相应的,所述将所述第二报文发送至相应的第二目标设备,包括:
确定所述第一终端对应的第一隧道;
通过所述第一隧道将第二报文发送至第二交换机;所述第二报文由所述第二交换机发送至安全设备进行安全处理。
具体地,所述确定所述第一终端的第一隧道,包括:
根据所述第一终端,查询预设的隧道对应关系,确定所述第一终端对应的第一隧道;
其中,所述预设的隧道对应关系包括至少一个终端和至少一个终端中各个终端对应的隧道。
具体地,所述第一交换机可以为接入层交换机。各终端接入到接入层交换机时,接入层交换机可以预先进行认证,基于认证结果为各终端分配对应的隧道并保存,从而接入层交换机中可以保存有各终端及其对应的隧道,即保存有所述预设的隧道对应关系。
这里,认证方式有很多种,比如802.1x协议、账号认证等方式(这里仅做一种示例,实际应用时也可以采用其他方式),认证通过后基于认证结果确定各终端(如第一终端)的角色,为各终端分配隧道,得到预设的隧道对应关系;应用时,基于各终端的角色查询所述预设的隧道对应关系,以确定各终端对应的隧道。
通过认证确定不同的终端对应的角色,为各终端的角色分配隧道,例如:认证后确定的结果为终端A对应角色1,终端对应角色2;再根据认证结果分配对应的隧道,可以是:角色1分配隧道1,角色2分配隧道2;
角色1接入的端口设置为虚拟局域(VLAN,Virtual Local Area Network)1,角色2接入的端口设置为VLAN 2。交换机支持虚拟扩展局域网(VXLAN,Virtual eXtensibleLocal Area Network)隧道,硬件自动绑定VLAN 1到隧道1,VLAN 2绑定隧道2,并且由接入层交换机保存隧道端口和接入终端之间的关系(接入层交换机中可以设有单独的模块,如隧道管理模块进行保存)。接入层交换机和核心层交换机配置为VXLAN网关。
以上所述的802.1x协议是基于客户端/服务器的访问控制和认证协议。它可以限制未经授权的用户侧的设备通过接入端口访问网络。这里,运用802.1x协议规定的认证方式对各终端进行认证,确定认证结果,基于认证结果为各终端分配隧道。
在一些实施例中,确定所述第一终端对应的第一隧道之后,所述方法还可以包括:与第二交换机(即核心层交换机)建立隧道关系。
所述第二交换机支持VXLAN隧道,其配置为VXLAN网关。第一交换机和第二交换机建立隧道关系后,即可以通过相应的隧道发送不同终端的封装报文。
具体地,所述与第二交换机(即核心层交换机)建立隧道关系,包括:
第一交换机向无线控制器(WAC,Wireless Access Controller)发送以下信息:各终端的标识、各终端对应的隧道和端口、各终端的类型(如PC类型、摄像头类型等);
无线控制器基于上述信息生成控制策略;无线控制器将生成的所述控制策略通过所述无线控制器发送给第二交换机。
第二交换机接收无线控制器发送的控制策略后,可依据控制策略直接执行相应动作。
这里,所述控制策略,包括:流量转发规则(用以确定是否转发流量;确定是否将流量引流到其他安全设备进行处理、以及转发到哪一个安全设备)、流量禁止规则(用于确定是否禁止转发流量)等。
所述流量禁止规则,可以包括:由第一交换机的某些端口发送的数据禁止转发;流量转发规则可以包括:由第一交换机的某些端口发送的数据可直接转发、或者其对应的引流相关动作等。也就是说,至少包括:发送数据(即报文)的各端口的标识和针对各端口发送的数据所对应的动作(禁止转发、转发、引流等)。
所述无线控制器用于集中化控制及管理无线接入点(AP,Access Point);所述AP包括:第一交换机、第二交换机。所述无线控制器与所述第一交换机,且所述无线控制器与所述第二交换机通信。
在一些实施例中,相应隧道为支持封装方式传输报文的隧道;
所述对所述第一报文进行封装,得到封装后的第一报文,作为第二报文,包括:将所述第一报文封装为相应格式的报文,作为所述第二报文;
相应的,所述通过所述第一隧道将第二报文发送至第二交换机,包括:
通过所述支持封装方式传输报文的隧道将所述相应格式的报文发送至第二交换机;所述第二交换机支持对所述相应格式的报文的解封装。
具体来说,相应隧道(如上述第一隧道)、即上述支持封装方式传输报文的隧道可以为VXLAN隧道。
相应的,对所述第一报文进行封装,得到封装后的第一报文,作为第二报文包括:
将所述第一报文封装为VXLAN报文,作为所述第二报文。
具体来说,运用隧道技术将所述第一报文封装为VXLAN报文。这里采用的隧道技术不做限定,由开发人员基于需求设定,但需要说明的是,第一交换机运用的封装方式与第二交换机的解封装方式对应,即第二交换机可以对由第一交换机封装后的报文进行解封装。
所述通过所述第一隧道将第二报文发送至第二交换机,包括:
通过所述VXLAN隧道将所述VXLAN报文发送至第二交换机;所述第二交换机支持VXLAN报文的解封装。
这里,所述第二报文可以由所述第二交换机发送至安全设备进行安全处理后再返回给第二交换机,由第二交换机发送至相应的目的终端。
所述安全设备,包括但不限于以下至少之一:安全感知平台(SIP)、防火墙、上网行为管理(AC)设备、应用防火墙(AF,Application Firewall)设备。
当然,也可以由第二交换机确定直接转发或禁止转发,这里不做限定。
在一些实施例中,所述第一目标设备为用于与安全设备进行数据交互的第二交换机时,所述第二目标设备为第二终端,所述第一报文的类型为封装报文,相应的,确定的数据处理策略为第二处理策略;
所述接收第一目标设备发送的第一报文,包括:
接收所述第二交换机通过第二终端对应的第二隧道发送的第一报文;
相应的,按照所述第二处理策略对第一报文进行数据处理,得到第二报文,包括:
对所述第一报文进行解封装,得到解封装后的原始报文,作为第二报文。
这里,作为接入层交换机的第一交换机,还可以接收核心层交换机、即第二交换机发送的封装后的报文;此时,第一交换机连接目的终端(即第二终端作为目的终端,也即报文的发送目标),第二交换机发送第一报文是通过第二终端对应的第二隧道发送的,第一交换机接收后,对所述第一报文进行解封装,得到解封装后的原始报文,作为第二报文,并且分析第二报文以确定第二报文携带的目的地址,从而将第二报文发送到目的终端、即上述第二终端。
图6为本发明实施例提供的另一种数据传输方法的流程示意图;如图6所示,所述数据传输方法应用于第二交换机,所述方法包括:
步骤601、接收第三目标设备发送的第三报文;所述第三目标设备为第一交换机或安全设备;
步骤602、根据所述第三报文,确定相应的数据处理策略;所述数据处理策略,至少用于对所述第三报文进行封装或解封装;
步骤603、按照所述数据处理策略对第三报文进行数据处理,得到第四报文,并将所述第四报文发送至相应的第四目标设备。
具体地,所述第二交换机可以为核心层交换机。
在一些实施例中,所述第三目标设备为第一交换机(即上述接入层交换机)时,所述第四目标设备为安全设备,所述第三报文的类型为封装报文,相应的,确定的数据处理策略为第三处理策略;
按照所述第三处理策略对第三报文进行数据处理,得到第四报文,包括:
对所述第三报文进行解封装,得到解封装后的原始报文,作为第四报文;
相应的,所述将所述第四报文发送至相应的第四目标设备,包括:
根据所述第三报文确定对应的安全策略,基于所述安全策略将所述第四报文发送至相应的安全设备;所述第四报文由所述安全设备进行安全处理。
这里,所述安全设备,包括但不限于以下至少之一:安全感知平台(SIP)、防火墙、上网行为管理(AC)设备、应用防火墙(AF,Application Firewall)设备。
在一些实施例中,所述第三目标设备为安全设备时,所述第四目标设备为第二终端,所述第三报文的类型为原始报文,相应的,确定的数据处理策略为第四处理策略;
按照所述第四处理策略对第三报文进行数据处理,得到第四报文,包括:
对所述第三报文进行封装,得到封装后的第三报文,作为第四报文;
相应的,所述将所述第四报文发送至相应的第四目标设备,包括:
确定所述第二终端对应的第二隧道,通过所述第二隧道将所述第四报文发送至第二终端。
这里,所述安全设备,包括但不限于以下至少之一:安全感知平台(SIP)、防火墙、上网行为管理(AC)设备、应用防火墙(AF,Application Firewall)设备。
在一些实施例中,所述根据所述第三报文确定对应的安全策略,包括:
根据所述第三报文确定发送所述第三报文的端口信息;
根据所述端口信息查询预设的安全策略对应关系,确定所述端口信息对应的安全策略,作为所述第三报文对应的安全策略;
其中,所述预设的安全策略对应关系包括至少一个端口和至少一个端口中各端口对应的安全策略;
所述安全策略至少用于指引对所述第三报文所需执行的动作。
所述端口信息,指第一交换机侧发送第三报文的端口的信息(如标识);不同端口对应不同类型的终端。
不同类型的终端包括:PC类型的终端、摄像头类型的终端;
所述PC类型的终端可以包括:手机、平板电脑、台式计算机等;
所述摄像头类型的终端可以包括:监控摄像头等。
这里,所述预设的安全策略中至少一个端口中各端口对应不同类型的终端,从而基于发送第三报文的端口可以确定相应终端的类型及相应终端对应的安全策略。
也就是说,根据所述第三报文确定发送所述第三报文的端口(指第一交换机侧的端口);根据确定的端口,查询所述预设的安全策略对应关系,确定端口对应的安全策略,也即所述第三报文对应的安全策略。
即,第二交换机根据确定的端口即可确定对应的安全策略。
具体来说,各终端及其相应的类型可以在终端接入第一交换机、即接入层交换机时,由第一交换机预先确定并保存相应的信息(这里相应的信息可以包括:各终端的标识、各终端对应的隧道和端口、各终端的类型(如PC类型、摄像头类型等)),第一交换机向无线控制器(WAC,Wireless Access Controller)发送上述信息后,无线控制器基于上述信息生成控制策略;即所述控制策略基于以下信息生成控制策略:各终端的标识、各终端对应的隧道和端口、各终端的类型(如PC类型、摄像头类型等)。
无线控制器将生成的所述控制策略发送给第二交换机(即核心层交换机),所述控制策略至少包括:至少一个端口和各端口对应的安全策略;
核心层交换机接收到报文后,基于报文对应的端口(指第一交换机侧的端口)可以从所述控制策略确定对应的安全策略。
具体来说,用户使用终端访问网络,实际使用环境中可能存在多种安全设备的情况,根据业务需要,不同的终端的数据需要使用不同的安全设备做处理。因此,需要在核心层交换机上面配置相应的控制策略,所述控制策略用于指引核心层交换机对相应终端的流量(即报文)进行不同的动作。
所述控制策略,具体包括以下至少之一:流量转发规则、流量禁止规则(用于确定是否禁止转发流量)等;
所述流量转发规则,用以确定是否转发流量、确定是否将流量引流到其他安全设备进行处理、以及转发到哪一个安全设备;所述流量转发规则可以包括:各种安全策略;所述安全策略用于指引核心层交换机将相应终端的流量发送给相应的安全设备做处理。
举例来说,所述流量转发规则包括各种安全策略,每种安全策略表征不同的执行动作;例如,可以包括:端口一对应的PC类型的终端的流量需经过AC处理(即引流到AC进行处理)、端口二对应的摄像头类型的终端的流量需经过AF处理(即引流到AF进行处理)等;
禁止转发规则包括的安全策略,可以包括:禁止转发数据。
以上仅仅是对各种安全策略的一种示例,不做限定。
核心层交换机接收到VXLAN报文后,确定由端口一发送,即可确定是PC类型的终端,则将PC类型的终端发送的报文转发到AC进行安全处理;若是由端口二发送,即可确定是摄像头类型的终端,则将摄像头类型的终端发送的报文转发到AF进行安全处理。
需要说明的是,控制策略可以预先由开发人员基于实际需求进行设定,这里不做赘述;在实际应用中,核心层交换机基于自身保存的控制策略实现转发操作即可。
当然,本发明实施例中,第二交换机基于控制策略确定无需将数据发送到安全设备进行处理,则可以直接对流量进行执行转发动作等。
图7为本发明实施例提供的一种数据传输系统的拓扑结构图;如图7所示,所述系统包括:多个终端、安全设备、交换机;
所述多个终端,包括:PC1、PC2、PC3;
所述安全设备,包括:安全感知平台、防火墙;
所述交换机,包括:接入层交换机、核心层交换机;
图8中,各终端、如PC1、PC2、PC3从最底层的接入层交换机接到网络之后,接入层交换机对各终端进行认证,基于认证结果为各终端匹配对应的隧道,各终端发出的报文在接入层交换机做二层交换之前,将报文封装为VXLAN报文,通过其匹配的隧道直接把封装后得到的VXLAN报文传输到核心层交换机。
核心层交换机接收VXLAN报文,对应进行解封装,得到解封装后的报文,对解封装后的报文进行二三层转发的工作;具体来说,在正常组网中,核心层会接各种安全设备,例如:安全感知平台、防火墙、AC、AF等;这里,核心层交换机基于安全策略将解封装后的报文发给不同的安全设备进行安全处理。
从核心层交换机的视角看,逻辑上各终端是直接接在核心层交换机上,接入层交换机和汇聚层交换机可以不关心,即如图8所示。
结合图7所示结构对本发明实施例提供的方法进一步说明,图9为本发明实施例提供的再一种数据传输方法的流程示意图;如图9所示,所述方法包括:
步骤901、执行第一预处理操作,以确定安全策略;
实际用户使用环境中可能存在多种安全设备的情况,根据业务需要,不同的终端的数据需要使用不同的安全设备做处理。那么就是需要在核心层交换机上面配置安全策略,配置的安全策略用于指引核心层交换机把对应终端的流量(即其发送的报文)交给对应的安全设备做处理。
例如:开发人员可以预先配置控制策略,其中包括两条安全策略:PC类型的终端(对应的发送端口记做端口A)的流量都需要经过AC处理;摄像头类型的终端(对应的发送端口记做端口B)的流量都需要经过AF处理。这两个动作具体实现由核心层交换机上实现流量转发,这里不需要关注。
步骤902、执行第二预处理操作,以确定隧道对应关系;
终端接入到接入层交换机后,接入层交换机预先对其进行认证,认证方式有很多种,比如802.1x、账号认证等方式,认证结果为不同的终端对应的角色;例如:PC1(其账号名可以为A)对应角色1,PC2(其账号名可以为B)对应角色2,根据认证结果分配对应的隧道;例如:角色1分配隧道1,角色2分配隧道2,角色1接入的端口设置为VLAN1,角色2接入的端口设置为VLAN 2;交换机支持VLAN隧道,硬件自动绑定VLAN 1到隧道1,VLAN 2绑定隧道2。并且由接入层交换机的隧道管理模块保存隧道端口和接入终端之间的关系。
所述方法还包括:与核心层交换机建立隧道关系;核心层交换机配置为VXLAN网关。这里,与核心层交换机建立隧道关系,包括:
接入层交换机向无线控制器发送以下信息:各终端的标识、各终端对应的隧道和端口、各终端的类型(如PC类型、摄像头类型等);
无线控制器基于上述信息生成控制策略;无线控制器将生成的所述控制策略通过所述无线控制器发送给第二交换机。
控制策略已在上述方法中具体说明,这里不再赘述。
步骤903、终端(如PC1)发送报文(如报文一),接入层交换机接收报文,将其封装为VXLAN报文,并将得到的VXLAN报文发送给核心网;
这里,报文一通过接入层交换机的端口传输进来之后,因为该端口配置了VXLAN隧道,则直接绕过原始的交换机转发功能,交换机硬件实现把原始报文封装成VXLAN报文,通过终端对应的端口配置的VXLAN隧道转发VXLAN报文,VXLAN报文通过隧道途径汇聚层交换机到达核心层交换机。
步骤904、核心层交换机接收VXLAN报文;
这里需要说明的是,在汇聚层交换机看到的隧道报文(即VXLAN报文)和普通报文(即未封装前的报文一)是无差别的,因此,隧道的配置不需要关心汇聚层交换机。
步骤905、核心层交换机对VXLAN报文进行解封装,得到原始报文,将原始报文发送到相应的安全设备;
这里,核心层交换机支持VXLAN隧道,且核心层交换机支持解封装操作;所述VXLAN报文或原始报文携带发送端口(接入层交换机侧的发送相应报文的端口)的信息;
所述步骤905具体包括:
核心层交换机自身硬件可以自动解封装VXLAN报文的VXLAN隧道头,得到原始报文(即上述报文一),并得到VXLAN隧道头中记录对应隧道号、端口的标识、终端媒体介入控制层(MAC,Media Access Control)信息;
核心层交换机匹配步骤901中配置的安全策略,确定终端相应的安全设备(具体地,所述核心层交换机基于端口的标识,确定针对相应端口的数据应选择的安全设备);
将原始报文转发到对应的安全设备,由安全设备进行相应的安全处理后发送给核心层交换机,核心层交换机接收到安全处理后的原始报文后,继续执行之后的操作。
举例来说,所述安全设备可以为AF设备,AF设备接收原始报文后做相应的安全处理,处理完之后交还给核心层交换机。
步骤906、核心层交换机接收安全处理后的原始报文,执行转发操作;
这里,核心层交换机接收安全处理后的原始报文后,接着执行二层转发、三层转发逻辑,即进行二三层查找,基于查找结果确定目的终端、如PC2,使用PC2对应的隧道对原始报文进行封装,得到报文二;通过PC2对应的隧道转发报文二,报文二通过隧道达到PC2所在的接入层交换机;
这里,核心层交换机可以保存或获取各终端对应的隧道。
步骤907、报文二到达接入层交换机之后,接入层交换机对其进行解封装操作,得到报文三(所述报文三为原始报文、也即上述报文一),通过PC2所对应的端口将报文三发送到PC2。
这里,接入层交换机可以设有隧道管理模块,其用于维护各终端及对应的端口的关系表,从而可以在确定终端后,通过终端所对应的端口转发出去。
基于以上操作,通信完成。
通过本发明实施例提供的方法,接入层交换机端口下接入的终端流量,通过隧道直接转发到核心层交换机,在核心层交换机做转发控制(汇聚层交换机不涉及,无感知,不多赘述);同一台接入层交换机下面的终端之间的东西向通信流量,可以按需配置经由安全资源池(即安全设备合集)做安全管控,消除直接内网交换的流量行为;内网中的所有流量,全都可以通过核心层交换机被集中管控,整网中没有由本地交换机自由交换的流量行为;即所有终端之间的报文都会到达核心层交换机,核心层交换机可以按需把接收的报文送到安全设备做安全处理,实现整网东西向流量的全管控效果,消除管控盲区。
图10为本发明实施例提供的一种数据传输装置的结构示意图;如图10所示,所述装置应用于第一交换机,所述装置包括:
第一处理模块,用于接收第一目标设备发送的第一报文;根据所述第一报文,确定相应的数据处理策略;所述第一目标设备为终端或用于与安全设备进行数据交互的交换机;所述数据处理策略,至少用于对所述第一报文进行封装或解封装;
第二处理模块,用于按照所述数据处理策略对第一报文进行数据处理,得到第二报文,并将所述第二报文发送至相应的第二目标设备。
具体地,所述第一目标设备为第一终端时,所述第二目标设备为用于与安全设备进行数据交互的第二交换机,所述第一报文的类型为原始报文,相应的,确定的数据处理策略为第一处理策略;
所述第二处理模块,具体用于对所述第一报文进行封装,得到封装后的第一报文,作为第二报文;
以及,确定所述第一终端对应的第一隧道;通过所述第一隧道将第二报文发送至第二交换机;所述第二报文由所述第二交换机发送至安全设备进行安全处理。
具体地,所述第一目标设备为用于与安全设备进行数据交互的第二交换机时,所述第二目标设备为第二终端,所述第一报文的类型为封装报文,相应的,确定的数据处理策略为第二处理策略;
所述第一处理模块,具体用于接收所述第二交换机通过第二终端对应的第二隧道发送的第一报文;
相应的,所述第二处理模块,具体用于对所述第一报文进行解封装,得到解封装后的原始报文,作为第二报文。
具体地,所述第二处理模块,具体用于根据所述第一终端,查询预设的隧道对应关系,确定所述第一终端对应的第一隧道;
其中,所述预设的隧道对应关系包括至少一个终端和至少一个终端中各个终端对应的隧道。
具体地,相应隧道为支持封装方式传输报文的隧道;
所述第二处理模块,用于将所述第一报文封装为相应格式的报文,作为所述第二报文;
以及,通过所述支持封装方式传输报文的隧道将所述相应格式的报文发送至第二交换机;所述第二交换机支持对所述相应格式的报文的解封装。
需要说明的是:上述实施例提供的数据传输装置在进行数据传输时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的数据传输装置与数据传输方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图11为本发明实施例提供的一种数据传输装置的结构示意图;如图11所示,所述装置应用于第二交换机,所述装置包括:
第三处理模块,用于接收第三目标设备发送的第三报文;根据所述第三报文,确定相应的数据处理策略;所述第三目标设备为第一交换机或安全设备;所述数据处理策略,至少用于对所述第三报文进行封装或解封装;
第四处理模块,用于按照所述数据处理策略对第三报文进行数据处理,得到第四报文,并将所述第四报文发送至相应的第四目标设备。
具体地,所述第三目标设备为第一交换机时,所述第四目标设备为安全设备,所述第三报文的类型为封装报文,相应的,确定的数据处理策略为第三处理策略;
所述第四处理模块,具体用于对所述第三报文进行解封装,得到解封装后的原始报文,作为第四报文;
以及,根据所述第三报文确定对应的安全策略,基于所述安全策略将所述第四报文发送至相应的安全设备;所述第四报文由所述安全设备进行安全处理。
具体地,所述第三目标设备为安全设备时,所述第四目标设备为第二终端,所述第三报文的类型为原始报文,相应的,确定的数据处理策略为第四处理策略;
所述第四处理模块,具体用于对所述第三报文进行封装,得到封装后的第三报文,作为第四报文;
以及,确定所述第二终端对应的第二隧道,通过所述第二隧道将所述第四报文发送至第二终端。
具体地,所述第三处理模块,用于根据所述第三报文确定发送所述第三报文的端口信息;
根据所述端口信息查询预设的安全策略对应关系,确定所述端口信息对应的安全策略,作为所述第三报文对应的安全策略;
其中,所述预设的安全策略对应关系包括至少一个端口和至少一个端口中各端口对应的安全策略;
所述安全策略至少用于指引对所述第三报文所需执行的动作。
需要说明的是:上述实施例提供的数据传输装置在进行数据传输时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的数据传输装置与数据传输方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
图12为本发明实施例提供的另一种数据传输装置的结构示意图。所述装置120包括:处理器1201和用于存储能够在所述处理器上运行的计算机程序的存储器1202;其中,
所述处理器应用于第一交换机时,所述处理器1201用于运行所述计算机程序时,执行:接收第一目标设备发送的第一报文;所述第一目标设备为终端或用于与安全设备进行数据交互的交换机;根据所述第一报文,确定相应的数据处理策略;所述数据处理策略,至少用于对所述第一报文进行封装或解封装;按照所述数据处理策略对第一报文进行数据处理,得到第二报文,并将所述第二报文发送至相应的第二目标设备。
需要说明的是:上述实施例提供的数据传输装置与第一交换机侧执行的数据传输方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
所述处理器应用于第二交换机时,所述处理器1201用于运行所述计算机程序时,执行:接收第三目标设备发送的第三报文;所述第三目标设备为第一交换机或安全设备;根据所述第三报文,确定相应的数据处理策略;所述数据处理策略,至少用于对所述第三报文进行封装或解封装;按照所述数据处理策略对第三报文进行数据处理,得到第四报文,并将所述第四报文发送至相应的第四目标设备。
需要说明的是:上述实施例提供的数据传输装置与第二交换机侧执行的数据传输方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
实际应用时,所述装置120还可以包括:至少一个网络接口1203。数据传输装置120中的各个组件通过总线系统1204耦合在一起。可理解,总线系统1204用于实现这些组件之间的连接通信。总线系统1204除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图12中将各种总线都标为总线系统1204。其中,所述处理器1201的个数可以为至少一个。网络接口1203用于数据传输装置120与其他设备之间有线或无线方式的通信。
本发明实施例中的存储器1202用于存储各种类型的数据以支持数据传输装置120的操作。
上述本发明实施例揭示的方法可以应用于处理器1201中,或者由处理器1201实现。处理器1201可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1201中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1201可以是通用处理器、数字信号处理器(DSP,DiGital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器1201可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器1202,处理器1201读取存储器1202中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,数据传输装置120可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,Programmable Logic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable LogicDevice)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或其他电子元件实现,用于执行前述方法。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序;
所述计算机程序被第一交换机的处理器运行时,执行:接收第一目标设备发送的第一报文;所述第一目标设备为终端或用于与安全设备进行数据交互的交换机;根据所述第一报文,确定相应的数据处理策略;所述数据处理策略,至少用于对所述第一报文进行封装或解封装;按照所述数据处理策略对第一报文进行数据处理,得到第二报文,并将所述第二报文发送至相应的第二目标设备。
其中,所述计算机程序被第一交换机的处理器运行时实现本发明实施例的各个方法中由第一交换机实现的相应流程,为了简洁,在此不再赘述。
所述计算机程序被第二交换机的处理器运行时,执行:接收第三目标设备发送的第三报文;所述第三目标设备为第一交换机或安全设备;根据所述第三报文,确定相应的数据处理策略;所述数据处理策略,至少用于对所述第三报文进行封装或解封装;按照所述数据处理策略对第三报文进行数据处理,得到第四报文,并将所述第四报文发送至相应的第四目标设备。
其中,所述计算机程序被第二交换机的处理器运行时实现本发明实施例的各个方法中由第二交换机实现的相应流程,为了简洁,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种数据传输方法,其特征在于,所述方法应用于第一交换机,所述方法包括:
接收第一目标设备发送的第一报文;所述第一目标设备为终端或用于与安全设备进行数据交互的交换机;
根据所述第一报文,确定相应的数据处理策略;所述数据处理策略,至少用于对所述第一报文进行封装或解封装;
按照所述数据处理策略对第一报文进行数据处理,得到第二报文,并将所述第二报文发送至相应的第二目标设备。
2.根据权利要求1所述的方法,其特征在于,所述第一目标设备为第一终端时,所述第二目标设备为用于与安全设备进行数据交互的第二交换机,所述第一报文的类型为原始报文,相应的,确定的数据处理策略为第一处理策略;
按照所述第一处理策略对第一报文进行数据处理,得到第二报文,包括:
对所述第一报文进行封装,得到封装后的第一报文,作为第二报文;
相应的,所述将所述第二报文发送至相应的第二目标设备,包括:
确定所述第一终端对应的第一隧道;
通过所述第一隧道将第二报文发送至第二交换机;所述第二报文由所述第二交换机发送至安全设备进行安全处理。
3.根据权利要求1所述的方法,其特征在于,所述第一目标设备为用于与安全设备进行数据交互的第二交换机时,所述第二目标设备为第二终端,所述第一报文的类型为封装报文,相应的,确定的数据处理策略为第二处理策略;
所述接收第一目标设备发送的第一报文,包括:
接收所述第二交换机通过第二终端对应的第二隧道发送的第一报文;
相应的,按照所述第二处理策略对第一报文进行数据处理,得到第二报文,包括:
对所述第一报文进行解封装,得到解封装后的原始报文,作为第二报文。
4.根据权利要求2所述的方法,其特征在于,所述确定所述第一终端的第一隧道,包括:
根据所述第一终端,查询预设的隧道对应关系,确定所述第一终端对应的第一隧道;
其中,所述预设的隧道对应关系包括至少一个终端和至少一个终端中各个终端对应的隧道。
5.根据权利要求2所述的方法,其特征在于,相应隧道为支持封装方式传输报文的隧道;
所述对所述第一报文进行封装,得到封装后的第一报文,作为第二报文,包括:将所述第一报文封装为相应格式的报文,作为所述第二报文;
相应的,所述通过所述第一隧道将第二报文发送至第二交换机,包括:
通过所述支持封装方式传输报文的隧道将所述相应格式的报文发送至第二交换机;所述第二交换机支持对所述相应格式的报文的解封装。
6.一种数据传输方法,其特征在于,所述方法应用于第二交换机,所述方法包括:
接收第三目标设备发送的第三报文;所述第三目标设备为第一交换机或安全设备;
根据所述第三报文,确定相应的数据处理策略;所述数据处理策略,至少用于对所述第三报文进行封装或解封装;
按照所述数据处理策略对第三报文进行数据处理,得到第四报文,并将所述第四报文发送至相应的第四目标设备。
7.根据权利要求6所述的方法,其特征在于,所述第三目标设备为第一交换机时,所述第四目标设备为安全设备,所述第三报文的类型为封装报文,相应的,确定的数据处理策略为第三处理策略;
按照所述第三处理策略对第三报文进行数据处理,得到第四报文,包括:
对所述第三报文进行解封装,得到解封装后的原始报文,作为第四报文;
相应的,所述将所述第四报文发送至相应的第四目标设备,包括:
根据所述第三报文确定对应的安全策略,基于所述安全策略将所述第四报文发送至相应的安全设备;所述第四报文由所述安全设备进行安全处理。
8.根据权利要求6所述的方法,其特征在于,所述第三目标设备为安全设备时,所述第四目标设备为第二终端,所述第三报文的类型为原始报文,相应的,确定的数据处理策略为第四处理策略;
按照所述第四处理策略对第三报文进行数据处理,得到第四报文,包括:
对所述第三报文进行封装,得到封装后的第三报文,作为第四报文;
相应的,所述将所述第四报文发送至相应的第四目标设备,包括:
确定所述第二终端对应的第二隧道,通过所述第二隧道将所述第四报文发送至第二终端。
9.根据权利要求7所述的方法,其特征在于,所述根据所述第三报文确定对应的安全策略,包括:
根据所述第三报文确定发送所述第三报文的端口信息;
根据所述端口信息查询预设的安全策略对应关系,确定所述端口信息对应的安全策略,作为所述第三报文对应的安全策略;
其中,所述预设的安全策略对应关系包括至少一个端口和至少一个端口中各端口对应的安全策略;
所述安全策略至少用于指引对所述第三报文所需执行的动作。
10.一种数据传输装置,其特征在于,所述装置应用于第一交换机,包括:
第一处理模块,用于接收第一目标设备发送的第一报文;根据所述第一报文,确定相应的数据处理策略;所述第一目标设备为终端或用于与安全设备进行数据交互的交换机;所述数据处理策略,至少用于对所述第一报文进行封装或解封装;
第二处理模块,用于按照所述数据处理策略对第一报文进行数据处理,得到第二报文,并将所述第二报文发送至相应的第二目标设备。
11.一种数据处理装置,其特征在于,所述装置应用于第二交换机,包括:
第三处理模块,用于接收第三目标设备发送的第三报文;根据所述第三报文,确定相应的数据处理策略;所述第三目标设备为第一交换机或安全设备;所述数据处理策略,至少用于对所述第三报文进行封装或解封装;
第四处理模块,用于按照所述数据处理策略对第三报文进行数据处理,得到第四报文,并将所述第四报文发送至相应的第四目标设备。
12.一种数据传输装置,其特征在于,所述装置包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器;其中,
所述处理器用于运行所述计算机程序时,执行权利要求1至5任一项所述方法的步骤;或者,
所述处理器用于运行所述计算机程序时,执行权利要求6至9任一项所述方法的步骤。
13.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5任一项所述方法的步骤;或者,
所述计算机程序被处理器执行时实现权利要求6至9任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010812845.6A CN112039854A (zh) | 2020-08-13 | 2020-08-13 | 一种数据传输方法、装置和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010812845.6A CN112039854A (zh) | 2020-08-13 | 2020-08-13 | 一种数据传输方法、装置和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112039854A true CN112039854A (zh) | 2020-12-04 |
Family
ID=73578187
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010812845.6A Pending CN112039854A (zh) | 2020-08-13 | 2020-08-13 | 一种数据传输方法、装置和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112039854A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115426217A (zh) * | 2022-09-30 | 2022-12-02 | 上海地面通信息网络股份有限公司 | 一种基于vxlan的互联网接入控制系统及方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102724059A (zh) * | 2012-03-31 | 2012-10-10 | 常熟市支塘镇新盛技术咨询服务有限公司 | 基于MapReduce的网站运行状态监控与异常检测 |
CN108092934A (zh) * | 2016-11-21 | 2018-05-29 | 中国移动通信有限公司研究院 | 安全服务系统及方法 |
CN109922021A (zh) * | 2017-12-12 | 2019-06-21 | 中国电信股份有限公司 | 安全防护系统以及安全防护方法 |
US20190222612A1 (en) * | 2018-01-14 | 2019-07-18 | Cisco Technology, Inc. | Distributed security system |
CN111431914A (zh) * | 2020-03-30 | 2020-07-17 | 贵州电网有限责任公司 | 一种能源互联网云平台安全防护方法及系统 |
-
2020
- 2020-08-13 CN CN202010812845.6A patent/CN112039854A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102724059A (zh) * | 2012-03-31 | 2012-10-10 | 常熟市支塘镇新盛技术咨询服务有限公司 | 基于MapReduce的网站运行状态监控与异常检测 |
CN108092934A (zh) * | 2016-11-21 | 2018-05-29 | 中国移动通信有限公司研究院 | 安全服务系统及方法 |
CN109922021A (zh) * | 2017-12-12 | 2019-06-21 | 中国电信股份有限公司 | 安全防护系统以及安全防护方法 |
US20190222612A1 (en) * | 2018-01-14 | 2019-07-18 | Cisco Technology, Inc. | Distributed security system |
CN111431914A (zh) * | 2020-03-30 | 2020-07-17 | 贵州电网有限责任公司 | 一种能源互联网云平台安全防护方法及系统 |
Non-Patent Citations (4)
Title |
---|
刘世嘉等: "云环境下基于SDN的高效流量监控方案", 《计算机工程与设计》 * |
徐俭: "基于SDN服务链的云平台数据中心安全技术探究", 《电视工程》 * |
星海: "虚拟云安全的尴尬:东西向流量该如何引流", 《知乎》 * |
青岛英谷教育科技股份有限公司: "《云计算框架与应用》", 28 February 2019 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115426217A (zh) * | 2022-09-30 | 2022-12-02 | 上海地面通信息网络股份有限公司 | 一种基于vxlan的互联网接入控制系统及方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111885075B (zh) | 容器通信方法、装置、网络设备及存储介质 | |
US8036161B2 (en) | Wireless switch with virtual wireless switch modules | |
EP2725829B1 (en) | Common control protocol for wired and wireless nodes | |
RU2544766C2 (ru) | Способ, устройство и система маршрутизации данных между сегментами сетей | |
EP4027593B1 (en) | Tunnel configuration method, system, device and storage medium | |
CN105791072A (zh) | 以太虚拟网络的接入方法及装置 | |
CN114124618B (zh) | 一种报文传输方法及电子设备 | |
CN110311860B (zh) | Vxlan下多链路负载均衡方法及装置 | |
CN107547340B (zh) | 一种报文转发方法和装置 | |
CN110213148B (zh) | 一种数据传输的方法、系统及装置 | |
CN107659484B (zh) | 从vlan网络接入vxlan网络的方法、装置及系统 | |
WO2021147358A1 (zh) | 一种网络接口的建立方法、装置及系统 | |
US20230336377A1 (en) | Packet forwarding method and apparatus, and network system | |
EP3503484B1 (en) | Message transmission methods and devices | |
CN112039854A (zh) | 一种数据传输方法、装置和存储介质 | |
CN111262762B (zh) | 基于vCPE租户SFC业务链多WAN业务的实现方法及系统 | |
CN116488958A (zh) | 网关处理方法、虚拟接入网关、虚拟业务网关及相关设备 | |
CN110351394B (zh) | 网络数据的处理方法及装置、计算机装置及可读存储介质 | |
CN113596192B (zh) | 一种基于网闸组网的通信方法、装置、设备及介质 | |
CN114640626B (zh) | 一种基于软件定义广域网sd-wan的通信系统和方法 | |
JP5345651B2 (ja) | セキュアトンネリングプラットフォームシステム及び方法 | |
US20210119859A1 (en) | Topology Agnostic Security Services | |
JP2006502637A (ja) | 配電網の中の通信システム上に仮想ローカルエリアネットワークを実現するための方法 | |
CN108259292B (zh) | 建立隧道的方法及装置 | |
CN113098856B (zh) | 一种透明模式下的虚拟专用网络vpn实现方法及安全设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201204 |