CN112737850A - 一种互斥访问的方法及装置 - Google Patents
一种互斥访问的方法及装置 Download PDFInfo
- Publication number
- CN112737850A CN112737850A CN202011611872.3A CN202011611872A CN112737850A CN 112737850 A CN112737850 A CN 112737850A CN 202011611872 A CN202011611872 A CN 202011611872A CN 112737850 A CN112737850 A CN 112737850A
- Authority
- CN
- China
- Prior art keywords
- network
- terminal
- logic
- forwarding table
- network switching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
- H04L41/083—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability for increasing network speed
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/148—Migration or transfer of sessions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种互斥访问的方法及装置,应用于网络控制器,所述方法包括:获取网络切换服务器上预配置的逻辑网络信息;获取所述网络切换服务器发送的终端访问信息;根据所述终端访问的逻辑网络查询所述预配置的逻辑网络信息,并创建网络切换转发表项;接收终端报文,确定所述报文的目的IP是否与预设的互斥访问对象中的IP地址匹配,所述互斥访问对象包括预配置的IP地址集合;如果不匹配,根据所述报文的源IP查询所述网络切换转发表项;获取所述网络切换转发表项中的tunnel ID,并基于所述tunnel ID对应的转发表项转发所述报文。通过以上技术方案快速实现终端网络切换,达到多张逻辑网络融合的效果。
Description
技术领域
本申请涉及通信技术领域,尤其涉及一种互斥访问的方法及装置。
背景技术
在政府、金融、医疗等行业中,为保证信息交换的安全性,存在需要将内网、外网等多个逻辑网络进行物理隔离的场景,例如电子政务外网和互联网、税务转网和互联网、企业研发内网和互联网等。
在传统的隔离场景中,若内网要访问外网时,需要调整网络设备的配置甚至变更用户终端的物理位置,以将内网终端变更为外网终端。若要同时访问内网和外网,则需要提供两台访问不同网络的用户终端,一台为内网终端,一台为外网终端。
但随着信息化技术的进步,终端设备对不同网络的访问需求越来越频繁,例如,医院的收费系统,既需要访问医院内网上的收费信息,又需要访问互联网实现移动支付,此时,传统的多张网络安全物理隔离不仅需要耗费更多的网络设备搭建不同的物理网络,而且实施难度大,网络切换效率低,无法满足用户网络访问需求。
发明内容
有鉴于此,本申请提供一种互斥访问的方法和装置,以解决传统隔离场景中进行物理隔离实施难度大,网络切换效率低的问题。
具体地,本申请是通过如下技术方案实现的:
第一方面,本申请提出一种互斥访问的方法,应用于网络控制器,该方法包括:
获取网络切换服务器上预配置的逻辑网络信息,所述逻辑网络信息至少包括所述逻辑网络名称、所述逻辑网络对应的tunnel ID、网络隔离标识和默认网络标识;
获取所述网络切换服务器发送的终端访问信息,所述访问信息至少包括所述终端IP与所述终端访问的逻辑网络的对应关系;根据所述终端访问的逻辑网络查询所述预配置的逻辑网络信息,并创建网络切换转发表项,所述网络切换转发表项至少包括所述终端IP、所述逻辑网络和所述逻辑网络对应的tunnel ID;
接收终端报文,确定所述报文的目的IP是否与预设的互斥访问对象中的IP地址匹配,所述互斥访问对象包括预配置的IP地址集合;
如果不匹配,根据所述报文的源IP查询所述网络切换转发表项;获取查询到的所述网络切换转发表项中的tunnel ID,并基于所述tunnel ID对应的转发表项转发所述报文。
第二方面,本申请还提出一种互斥访问的装置,应用于网络控制器,该装置包括:
获取单元,用于获取网络切换服务器上预配置的逻辑网络信息,所述逻辑网络信息至少包括所述逻辑网络名称、所述逻辑网络对应的tunnel ID、网络隔离标识和默认网络标识;
创建单元,用于获取所述网络切换服务器发送的终端访问信息,所述访问信息至少包括所述终端IP与所述终端访问的逻辑网络的对应关系;根据所述终端访问的逻辑网络查询所述预配置的逻辑网络信息,并创建网络切换转发表项,所述网络切换转发表项至少包括所述终端IP、所述逻辑网络和所述逻辑网络对应的tunnel ID;
匹配单元,用于接收终端报文,确定所述报文的目的IP是否与预设的互斥访问对象中的IP地址匹配,所述互斥访问对象包括预配置的IP地址集合;
转发单元,用于当目的IP不匹配时,根据所述报文的源IP查询所述网络切换转发表项;获取查询到的所述网络切换转发表项中的tunnel ID,并基于所述tunnel ID对应的转发表项转发所述报文。
分析以上技术方案可知,本申请通过获取网络切换服务器上配置的逻辑网络信息,以及获取网络切换服务器下发的终端的访问信息,基于上述信息创建终端对应的网络切换转发表项,在后续接收到终端报文时,先判断目的IP是否属于互斥访问对象,如果不匹配,根据源IP查询是否有对应的网络切换转发表项,根据网络切换转发表项中的tunnel ID对应的转发表项转发报文。
本申请的技术方案可以在多张不同的逻辑网络中实现网络隔离和网络切换的效果。终端设备可以输出供用户选择的网络切换页面,用户无需改动终端的配置或移动终端位置,通过选择要切换的逻辑网络就可以快速实现终端网络切换。网络控制器根据预配置的逻辑网络信息和终端的访问信息创建网络切换转发表项,并根据目的IP与预设的互斥的访问对象的匹配结果对终端报文进行响应,实现多张逻辑网络融合,便于加快网络切换速度的效果。
附图说明
图1是本申请一示例性实施例示出的一种网络结构示意图;
图2是本申请一示例性实施例示出的一种互斥访问方法的流程图;
图3是本申请一示例性实施例示出的另一种互斥访问方法的流程图;
图4是本申请一示例性实施例示出的一种网络切换页面的示意图;
图5是本申请一示例性实施例示出的另一种互斥访问方法的流程图;
图6是本申请一示例性实施例示出的一种互斥访问装置所在设备的硬件结构图;
图7是本申请一示例性实施例示出的一种互斥访问装置的框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请一个或多个实施例相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请一个或多个实施例的一些方面相一致的装置和方法的例子。
需要说明的是:在其他实施例中并不一定按照本申请示出和描述的顺序来执行相应方法的步骤。在一些其他实施例中,其方法所包括的步骤可以比本申请所描述的更多或更少。此外,本申请中所描述的单个步骤,在其他实施例中可能被分解为多个步骤进行描述;而本申请中所描述的多个步骤,在其他实施例中也可能被合并为单个步骤进行描述。
请参见图1,图1是本申请一示例性实施例示出的一种网络结构示意图。
网络控制器可以是交换机、路由器、宽带远程接入服务器等网络设备,利用虚拟路由转发(VRF,Virtual Routing Forwarding)技术,可以将物理网络通过不同的VRF划分成多个逻辑网络,例如内网、互联网、专网等。这些逻辑网络可以是MPLS VPN网络,也可以是IPSec、SSL、l2tp、GRP、VXLAN等VPN网络。
在创建VRF之后,可以将与网络控制器相连的逻辑网络相连的接口划分为多个逻辑接口,如子接口、VLAN接口等,不同的子接口和VLAN接口属于不同的VRF。图1中,网络控制器的上游是一个多张逻辑网络融合在一起的网络,通过不同的VRF将物理网络划分成多张逻辑网络,网络控制器和上游网络设备的互联接口,也可以划分成多个逻辑接口。
网络控制器可以将接收到的数据报文通过不同的逻辑接口发送到不同的逻辑网络。图1中,网络控制器的下行接口是不需要划分多个VRF的,所有下行接口可以划分到一个VRF中,也可以属于公共系统中。
当网络中存在多台网络控制器时,为避免在多台网络控制器上重复配置,实现简化配置的效果,可以通过网络切换服务器对网络控制器统一配置,再由网络切换服务器统一下发给网络控制器。另外,通过网络切换服务器做主备份,还可以实现网络故障冗余备份。
如表1所示,在网络切换服务器上,可以对划分出的逻辑网络进行配置,该配置信息可以包括:逻辑网络名称、tunnel ID、密码校验标识、默认网络标识以及网络隔离标识等。其中,逻辑网络名称是用户根据逻辑网络的用途自定义的名称;tunnel ID用于查找对应的转发表项,基于该转发表项转发用户数据报文,除VRF外,也可以是也可以是VPN隧道、GRE隧道、IPSec隧道或VXLAN隧道等,这些信息都通过tunnel ID表示;密码校验标识用于指定对应的逻辑网络接入时是否需要输入密码进行校验;默认网络标识用于指定用户默认接入的逻辑网络,默认网络最多只能指定1个,也可以不配置,如果不配置默认网络,用户默认将无法接入任何网络,必须通过网络切换页面进行网络切换后才能访问网络;网络隔离标识用于指定接入该逻辑网络的用户终端之间是否禁止相互访问。
逻辑网络 | tunnel ID | 密码校验 | 默认网络 | 网络隔离 |
内网 | 1 | 是 | 是 | 是 |
互联网 | 2 | 是 | 否 | 是 |
专网 | 3 | 是 | 否 | 是 |
表1
有鉴于此,本申请提出一种互斥访问的方法,通过获取网络切换服务器上配置的逻辑网络信息,以及获取网络切换服务器下发的终端的访问信息,基于上述信息创建终端对应的网络切换转发表项,在后续接收到终端报文时,先判断目的IP是否属于互斥访问对象,如果不匹配,根据源IP查询是否有对应的网络切换转发表项,根据网络切换转发表项中的tunnel ID对应的转发表项转发报文,可以在多张不同的逻辑网络中实现网络隔离和网络切换的效果,达到多张逻辑网络融合,便于加快网络切换速度的目的。
下面通过具体实施例并结合不同应用实例对本申请进行描述。
请参见图2,图2是本申请一示例性实施例示出的一种互斥访问方法的流程图,该方法可以应用于网络控制器,包括以下步骤:
步骤201:获取网络切换服务器上预配置的逻辑网络信息,所述逻辑网络信息至少包括所述逻辑网络名称、所述逻辑网络对应的tunnel ID、网络隔离标识和默认网络标识;
步骤202:获取所述网络切换服务器发送的终端访问信息,所述访问信息至少包括所述终端IP与所述终端访问的逻辑网络的对应关系;根据所述终端访问的逻辑网络查询所述预配置的逻辑网络信息,并创建网络切换转发表项,所述网络切换转发表项至少包括所述终端IP、所述逻辑网络和所述逻辑网络对应的tunnel ID;
步骤203:接收终端报文,确定所述报文的目的IP是否与预设的互斥访问对象中的IP地址匹配,所述互斥访问对象包括预配置的IP地址集合;
步骤204:如果不匹配,根据所述报文的源IP查询所述网络切换转发表项;获取查询到的所述网络切换转发表项中的tunnel ID,并基于所述tunnel ID对应的转发表项转发所述报文。
在本实施例中,网络控制器获取网络切换服务器上预配置的逻辑网络信息,逻辑网络信息至少包括逻辑网络名称、逻辑网络对应的tunnel ID、网络隔离标识和默认网络标识,可以参考表1所示。另外,有网络切换服务器时,预配置的逻辑网络信息可以由网络切换服务器统一配置后下发给网络控制器,如果没有网络切换服务器,可以在网络控制器上配置逻辑网络信息。
网络控制器获取网络切换服务器发送的终端访问信息,访问信息至少包括终端IP与终端访问的逻辑网络的对应关系。
请参见图3,图3是本申请一示例性实施例示出的另一种互斥访问方法的流程图。
如图3所示,在示出的一种实施方式中,终端通过访问服务器设置逻辑网络信息,服务器接收到终端发送的对逻辑网络的访问请求之后,下发终端IP和逻辑网络的对应关系到网络控制器,包括以下步骤:
步骤301:接收终端发送的网络切换页面的URL地址对应的页面访问请求;
步骤302:向所述终端返回所述网络切换页面的页面数据,以使所述终端基于所述页面数据向用户输出所述网络切换页面;其中,所述网络切换页面包括可供用户选择切换的若干逻辑网络;
步骤303:获取所述终端发送的网络切换请求,所述网络切换请求包括所述终端IP和所述终端访问的逻辑网络;基于所述逻辑网络对应的所述预配置的逻辑网络信息创建所述网络切换转发表项,所述网络切换转发表项至少包括所述终端IP、所述逻辑网络和所述逻辑网络对应的tunnel ID。
其中,在终端设备向网络切换服务器发送与网络切换页面的URL地址对应的页面访问请求之前,终端设备先响应用户的访问操作,向网络切换服务器发送网络切换页面的域名访问请求,以使网络切换服务器根据域名访问请求向终端设备返回网络切换页面的URL地址。
具体的,网络切换服务器根据域名访问请求返回一个IP地址,而不是直接返回网络切换页面的URL地址,该IP地址是与网络切换页面的URL地址对应的一个无效地址。
终端设备在接收到该IP地址后,再向网络切换服务器发送针对该IP地址对应的页面访问请求,以使网络切换服务器收到与该IP地址对应的页面访问请求后,将与该IP地址对应的网络切换页面的URL地址通过重定向的方式返回给所述终端设备。
例如,终端设备发送域名为“网络管理系统”的域名访问请求,网络切换服务器在接收到域名访问请求之后,返回一个特殊的IP地址,且是一个不存在的无效地址,如169.0.01,该IP地址与网络切换页面的URL对应。终端设备在收到该IP地址后,发起对这个IP的HTTP或者HTTPS访问请求,网络切换服务器在收到该请求后,就会将网络切换页面URL重定向给终端设备。通过URL重定向的方式将网络切换页面URL返回给终端设备,将切换页面的URL隐藏起来,只用一个无效的IP地址进行访问,可以提高网络安全性。
在示出的一种实施方式中,可供用户选择切换的若干逻辑网络包括网络切换服务器根据源IP确定出的,与源IP地址对应的可供用户切换的若干逻辑网络。
例如,终端设备的IP地址是10.1.1.1,该IP地址允许访问内网、互联网,则网络切换服务器在返回页面数据时,可以在供用户选择切换的若干逻辑网络中返回允许访问的内网和互联网,而不返回不允许访问的专网。终端设备在网络切换页面上输出可成功切换的逻辑网络,可以避免用户的无效操作。
另外,网络切换服务器还可以返回若干逻辑网络中的默认网络,该默认网络可由用户选定,选定后也可以进行更改。
在示出的一种实施方式中,当用户在终端提供的网络切换页面上选择要切换的逻辑网络时,如果该逻辑网络需要进行密码校验,在网络切换页面上会弹出密码校验信息,终端将用户输入的用户名和密码发送给网络切换服务器,由服务器进行校验通过后,再将终端的访问信息发送给网络控制器,通过设置密码可以提高网络的安全性。
在示出的一种实施方式中,对于物联网终端,如摄像头、打印机、考勤机等,无法打开网络切换页面实现网络切换,可以在网络控制器上对终端IP和逻辑网络的对应关系进行静态配置,也可以在网络切换服务器上进行静态配置。
请参见图4,图4是本申请一示例性实施例示出的一种网络切换页面的示意图,终端发起对网络切换页面URL地址对应的页面访问请求,网络切换服务器向终端返回网络切换页面的页面数据,用户在终端基于页面数据向用户输出网络切换页面上选择要切换的逻辑网络,这样服务器就可以收到终端发送的终端IP和该终端要访问的逻辑网络,并将终端的访问信息下发给网络控制器,网络控制器可以根据要切换的逻辑网络的名称查询从网络切换服务器上获取的预配置的逻辑网络信息,根据名称查询表1,可以获取逻辑网络对应的tunnel ID,并基于tunnel ID找到对应的转发表项,根据转发表项转发报文。
具体的,网络切换系统页面上可以包括IP地址、默认网络、当前网络、切换网络按钮,以及管理员为用户定制的默认网络导航页。通过导航页可以快捷访问一些预配置资源,例如我的收藏、网络状态、办公系统等,用户可以对导航页进行自定义更改。网络切换页面可以从网络切换服务器获取默认网络、当前网络列表、逻辑网络是否需要用户名密码验证等信息。其中,网络切换页面的当前网络提供一个下拉框,下拉框中的当前网络列表为可供用户选择切换的若干逻辑网络。
具体的,网络切换服务器可以在网络切换转发表项创建完成后向终端设备返回切换成功的通知消息,并将通知消息通过网络切换页面向用户进行输出显示。例如,在网络切换页面弹出切换成功的提示框,及时向用户反馈切换成功的消息。
在本实施例中,网络控制器在获取预配置的逻辑网络信息和终端访问信息之后,可以根据终端访问信息中的逻辑网络名称,查询预配置的逻辑网络信息,这样就可以将终端IP、逻辑网络名称、逻辑网络对应的配置信息关联起来,并创建网络切换转发表项。另外,网络切换转发表项也可以由网络切换服务器创建,再下发到网络控制器。
例如,用户IP为10.1.1.1的终端设备,当前访问的逻辑网络是互联网,用户选择切换到的逻辑网络是内网时,网络切换服务器将如表2所示的终端访问信息下发到网络控制器。
终端IP | 逻辑网络 |
10.1.1.1 | 内网 |
表2
网络控制器在收到上述信息后,会根据逻辑网络名称查询从网络切换服务器获取的如表1所示的预配置的逻辑网络信息,网络控制器查询逻辑网络名称“内网”对应的“tunnel ID”为“1”,并创建网络切换转发表项,如表3所示。
表3
在示出的一种实施方式中,由于设备用于保存网络切换转发表项的资源有限,当创建的网络切换转发表项过多时,可能会导致正常的表项无法保存,而且,随着配置信息的变更,网络切换转发表项可能失效,因此,可以为网络切换转发表项设置老化时间。其中,如果配置了默认网络,基于老化时间,将网络切换转发表项中的逻辑网络和逻辑网络对应的tunnel ID更新为默认网络与默认网络对应的tunnel ID,如果未配置默认网络,删除网络切换转发表项。
在本实施例中,网络控制器接收终端报文,获取报文特征,确定报文的目的IP是否与预设的互斥访问对象中的IP地址匹配。
其中,互斥访问对象中的IP地址包括网络切换服务器预配置的IP地址的集合,预配置的IP地址可以是与逻辑网络对应的IP地址,也可以是IP地址段,在IP地址段中可以预留一些IP地址便于IP地址分配。
如果不匹配,根据报文的源IP查询网络切换转发表项;获取查询到的网络切换转发表项中的tunnel ID,并基于tunnel ID对应的转发表项转发报文。
在示出的一种实施方式中,在确定所述报文的目的IP是否与预设的互斥访问对象中的IP地址匹配之前,网络控制器可以检查所述报文的入接口是否与预设的互斥访问接口匹配,也可以检查所述报文的源IP是否与预设的互斥访问对象中的IP地址匹配。
互斥访问接口可以在网络切换服务器上预先配置,也可以在网络控制器上配置。在一个接口上可能有很多IP,互斥访问对象中的IP地址可能只是互斥访问接口上其中一个IP地址段。在检查互斥访问接口后,需要可以进一步检查互斥访问对象。
例如,当报文的入接口不与预设的互斥访问接口匹配或源IP不与预设的互斥访问对象匹配时,正常转发报文,报文不需要进行互斥访问判断,不属于要管理的对象。
如果报文的入接口与预设的互斥访问接口匹配,如果需要,可以进一步检查报文的源IP是否与预设的互斥访问对象中的IP地址匹配,如果源IP与预设的互斥访问对象中的IP地址匹配,则进一步检查报文的目的IP是否与预设的互斥访问对象中的IP地址匹配。
在本实施例中,如果报文的目的IP与预设的互斥访问对象中的IP地址不匹配,根据报文的源IP查询网络切换转发表项;获取查询到的网络切换转发表项中的tunnel ID,并基于tunnel ID对应的转发表项转发报文。
在示出的一种实施方式中,如果目的IP与预设的互斥访问对象中的IP地址匹配,确定报文的源IP、目的IP对应的逻辑网络是否相同,如果相同,基于根据源IP查询到的网络切换转发表项转发所述报文,如果不相同,丢弃所述报文。如果源IP、目的IP对应的逻辑网络相同,满足同一时刻终端只能访问同一个逻辑网络的要求,在该逻辑网络中转发报文。如果不相同,根据网络隔离的要求,不同逻辑网络之间不能相互访问,则丢弃报文。
在示出的一种实施方式中,当报文的源IP、目的IP对应的逻辑网络相同时,获取网络隔离标识;如果逻辑网络不需要进行网络隔离,基于根据源IP查询到的网络切换转发表项转发报文;如果需要进行网络隔离,丢弃报文。
根据表1中配置的网络隔离标识,如果逻辑网络不需要进行网络隔离,说明该逻辑网络允许用户相互访问,可以为终端转发报文;如果逻辑网络需要进行网络隔离,说明禁止该逻辑网络内的用户相互访问,则丢弃终端报文。
在示出的一种实施方式中,当报文的源IP、目的IP对应的逻辑网络不同时,获取网络隔离标识;如果源IP与目的IP对应的逻辑网络都不需要进行网络隔离时,基于根据源IP查询到的网络切换转发表项转发报文;如果至少有一个需要进行网络隔离,丢弃报文。
当报文的源IP、目的IP对应的逻辑网络不同时,需要根据表1中的隔离标识,分别判断对应的逻辑网络是否需要进行网络隔离。如果都不需要进行网络隔离,说明这两个逻辑网络之间可以互相访问,可以为终端转发报文。如果至少有一个需要进行网络隔离,则需要网络隔离的逻辑网络不允许与其他逻辑网络之间互相访问,则丢弃终端报文。
在示出的一种实施方式中,如果未查询到网络切换转发表项,查询默认网络标识,确定预配置的逻辑网络信息中是否配置了默认网络;如果是,基于默认网络为终端创建网络切换转发表项,网络切换转发表项至少包括终端IP、默认网络和默认网络对应的tunnelID;获取网络切换转发表项中的tunnel ID,并基于tunnel ID对应的转发表项转发报文;如果否,丢弃报文。
当网络切换转发表项不存时,可以根据表1中的默认网络标识判断是否配置了默认网络,如果有默认网络,允许终端访问默认网络,为终端创建默认网络的网络切换转发表项;如果没有配置默认网络,终端无法访问任何网络,则丢弃终端报文。
在示出的一种实施方式中,网络切换服务器可以自定义网络切换的域名、URL以及设置定时器时间,还可以配置网络切换转发表项中的IP地址、逻辑网络等。
在示出的一种实施方式中,当所述互斥访问对象中的IP地址发生改变时,网络控制器对比修改前后的互斥访问对象,根据改变前所述IP地址删除对应的所述网络切换转发表项。
在示出的一种实施方式中,当表1中的逻辑网络信息发生改变时,如tunnel ID,网络控制器根据该逻辑网络查找对应所有网络切换表项,将对应的tunnel ID修改为更新后的tunnel ID,并清理网络切换转发表项中终端设备的IP地址对应的所有表项。
由上述实施例可见,通过获取网络切换服务器上配置的逻辑网络信息,以及获取网络切换服务器下发的终端的访问信息,基于上述信息创建终端对应的网络切换转发表项,在后续接收到终端报文时,先判断目的IP是否属于互斥访问对象,如果不匹配,根据源IP查询是否有对应的网络切换转发表项,根据网络切换转发表项中的tunnel ID对应的转发表项转发报文,可以在多张不同的逻辑网络中实现网络隔离和网络切换的效果,达到多张逻辑网络融合,便于加快网络切换速度的目的。
请参见图5,图5为本申请一示例性实施例示出的另一种互斥访问方法的流程图。
如图5所示,在示出的一种实施方式中,应用于网络控制器的互斥访问方法包括如下步骤:
S501:接收终端报文。
S502:检查报文入接口是否与预设的互斥访问接口匹配;如果匹配,执行S503;如果不匹配,转发终端报文。
S503:检查报文源IP是否与预设的互斥访问对象匹配;如果匹配,执行S504;如果不匹配,转发终端报文。
S504:检查报文目的IP是否与预设的互斥访问对象匹配;如果匹配,执行S505;如果不匹配,执行S507;
其中,互斥访问对象包括预配置的IP地址集合。
S505:确定源IP、目的IP对应的逻辑网络以及逻辑网络隔离标识;
其中,网络控制器获取网络切换服务器上预配置的逻辑网络信息,该信息至少包括逻辑网络名称、逻辑网络对应的tunnel ID、网络隔离标识和默认网络标识;
网络控制器获取网络切换服务器发送的终端访问信息,该访问信息至少包括终端IP与终端访问的逻辑网络的对应关系;
根据终端访问的逻辑网络查询预配置的逻辑网络信息,并创建网络切换转发表项,该网络切换转发表项至少包括终端IP、逻辑网络和逻辑网络对应的tunnel ID。
S506:判断是否至少有一个逻辑网络需要隔离;其中,如果源IP、目的IP对应的逻辑网络相同,逻辑网络不需要隔离时,执行S507;如果源IP、目的IP对应的逻辑网络不同,两个逻辑网络都不需要隔离时,执行S507;如果源IP、目的IP对应的逻辑网络不同,至少一个逻辑网络需要隔离时,丢弃报文。
S507:根据报文的源IP查询网络切换转发表项,执行S508。
S508:判断是否查询到网络切换转发表项,如果查到对应的网络切换转发表项,执行S511;如果没有查到执行S509。
S509:预配置的逻辑网络信息中是否配置了默认网络;如果配置了默认网络,执行S510;如果没有配置,丢弃报文。
S510:基于默认网络为终端创建网络切换转发表项,执行S511。
S511:获取查询到的网络切换转发表项中的tunnel ID,并基于tunnel ID对应的转发表项转发报文。
由上述实施例可见,通过获取网络切换服务器上配置的逻辑网络信息,以及获取网络切换服务器下发的终端的访问信息,基于上述信息创建终端对应的网络切换转发表项,在后续接收到终端报文时,先判断目的IP是否属于互斥访问对象,如果不匹配,根据源IP查询是否有对应的网络切换转发表项,根据网络切换转发表项中的tunnel ID对应的转发表项转发报文,可以在多张不同的逻辑网络中实现网络隔离和网络切换的效果,达到多张逻辑网络融合,便于加快网络切换速度的目的。
与上述互斥访问方法的实施例相对应,本申请还提供了互斥访问装置的实施例。
本申请互斥访问装置的实施例可以应用在计算机设备上,例如网络切换服务器或网络控制器。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在网络控制器的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图6所示,为本申请一示例性实施例示出的一种互斥访问装置所在设备的硬件结构图,除了图6所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常根据该网络切换的实际功能,还可以包括其他硬件,对此不再赘述。
请参见图7,为本申请一示例性实施例示出的一种互斥访问装置的框图。该装置700可以应用于图6所示的网络控制器,包括:
获取单元701,用于获取网络切换服务器上预配置的逻辑网络信息,所述逻辑网络信息至少包括所述逻辑网络名称、所述逻辑网络对应的tunnel ID、网络隔离标识和默认网络标识;
创建单元702,用于获取所述网络切换服务器发送的终端访问信息,所述访问信息至少包括所述终端IP与所述终端访问的逻辑网络的对应关系;根据所述终端访问的逻辑网络查询所述预配置的逻辑网络信息,并创建网络切换转发表项,所述网络切换转发表项至少包括所述终端IP、所述逻辑网络和所述逻辑网络对应的tunnel ID;
匹配单元703,用于接收终端报文,确定所述报文的目的IP是否与预设的互斥访问对象中的IP地址匹配,所述互斥访问对象包括预配置的IP地址集合;
转发单元704,用于当目的IP不匹配时,根据所述报文的源IP查询所述网络切换转发表项;获取查询到的所述网络切换转发表项中的tunnel ID,并基于所述tunnel ID对应的转发表项转发所述报文。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本说明书的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书保护的范围之内。
Claims (12)
1.一种互斥访问的方法,其特征在于,应用于网络控制器,所示方法包括:
获取网络切换服务器上预配置的逻辑网络信息,所述逻辑网络信息至少包括所述逻辑网络名称、所述逻辑网络对应的tunnel ID、网络隔离标识和默认网络标识;
获取所述网络切换服务器发送的终端访问信息,所述访问信息至少包括所述终端IP与所述终端访问的逻辑网络的对应关系;根据所述终端访问的逻辑网络查询所述预配置的逻辑网络信息,并创建网络切换转发表项,所述网络切换转发表项至少包括所述终端IP、所述逻辑网络和所述逻辑网络对应的tunnel ID;
接收终端报文,确定所述报文的目的IP是否与预设的互斥访问对象中的IP地址匹配,所述互斥访问对象包括预配置的IP地址集合;
如果不匹配,根据所述报文的源IP查询所述网络切换转发表项;获取查询到的所述网络切换转发表项中的tunnel ID,并基于所述tunnel ID对应的转发表项转发所述报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果匹配,确定所述报文的源IP、目的IP对应的逻辑网络是否相同;
如果相同,基于根据所述源IP查询到的所述网络切换转发表项转发所述报文;
如果不相同,丢弃所述报文。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当所述报文的源IP、目的IP对应的逻辑网络相同时,获取所述网络隔离标识;
如果所述逻辑网络不需要进行网络隔离,基于根据所述源IP查询到的所述网络切换转发表项转发所述报文;
如果需要进行网络隔离,丢弃所述报文。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
当所述报文的源IP、目的IP对应的逻辑网络不同时,获取所述网络隔离标识;
如果所述源IP与目的IP对应的逻辑网络都不需要进行网络隔离时,基于根据所述源IP查询到的所述网络切换转发表项转发所述报文;
如果至少有一个需要进行网络隔离,丢弃所述报文。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果未查询到所述网络切换转发表项,查询所述默认网络标识,确定所述预配置的逻辑网络信息中是否配置了默认网络;
如果是,基于所述默认网络为所述终端创建所述网络切换转发表项,所述网络切换转发表项至少包括终端IP、所述默认网络和所述默认网络对应的tunnel ID;获取所述网络切换转发表项中的tunnel ID,并基于所述tunnel ID对应的转发表项转发所述报文;
如果否,丢弃所述报文。
6.根据权利要求1所述的方法,其特征在于,在确定所述报文的目的IP是否与预设的互斥访问对象中的IP地址匹配之前,所述方法还包括:
确定所述报文的入接口是否与预设的互斥访问接口匹配;
和/或,
确定所述报文的源IP是否与预设的互斥访问对象中的IP地址匹配。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
为所述网络切换转发表项设置老化时间;
如果配置了默认网络,基于所述老化时间,将所述网络切换转发表项中的所述逻辑网络和所述逻辑网络对应的tunnel ID更新为所述默认网络与所述默认网络对应的tunnelID;
如果未配置默认网络,删除所述网络切换转发表项。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收终端发送的网络切换页面的URL地址对应的页面访问请求;
向所述终端返回所述网络切换页面的页面数据,以使所述终端基于所述页面数据向用户输出所述网络切换页面;其中,所述网络切换页面包括可供用户选择切换的若干逻辑网络;
获取所述终端发送的网络切换请求,所述网络切换请求包括所述终端IP和所述终端访问的逻辑网络;基于所述逻辑网络对应的所述预配置的逻辑网络信息创建所述网络切换转发表项,所述网络切换转发表项至少包括所述终端IP、所述逻辑网络和所述逻辑网络对应的tunnel ID。
9.根据权利要求8所述的方法,其特征在于,所述可供用户选择切换的若干逻辑网络,包括:
所述网络切换服务器根据所述源IP确定出的,与所述源IP地址对应的可供用户切换的若干逻辑网络。
10.根据权利要求1所述的方法,其特征在于,所述预配置的逻辑网络信息还包括:密码校验标识;
所述方法还包括:
当所述网络切换服务器对所述逻辑网络进行密码校验通过后,发送所述终端访问信息。
11.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述网络控制器上对所述终端访问信息进行静态配置。
12.一种互斥访问的装置,其特征在于,应用于网络控制器,所示装置包括:
获取单元,用于获取网络切换服务器上预配置的逻辑网络信息,所述逻辑网络信息至少包括所述逻辑网络名称、所述逻辑网络对应的tunnel ID、网络隔离标识和默认网络标识;
创建单元,用于获取所述网络切换服务器发送的终端访问信息,所述访问信息至少包括所述终端IP与所述终端访问的逻辑网络的对应关系;根据所述终端访问的逻辑网络查询所述预配置的逻辑网络信息,并创建网络切换转发表项,所述网络切换转发表项至少包括所述终端IP、所述逻辑网络和所述逻辑网络对应的tunnel ID;
匹配单元,用于接收终端报文,确定所述报文的目的IP是否与预设的互斥访问对象中的IP地址匹配,所述互斥访问对象包括预配置的IP地址集合;
转发单元,用于当目的IP不匹配时,根据所述报文的源IP查询所述网络切换转发表项;获取查询到的所述网络切换转发表项中的tunnel ID,并基于所述tunnel ID对应的转发表项转发所述报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011611872.3A CN112737850B (zh) | 2020-12-30 | 2020-12-30 | 一种互斥访问的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011611872.3A CN112737850B (zh) | 2020-12-30 | 2020-12-30 | 一种互斥访问的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112737850A true CN112737850A (zh) | 2021-04-30 |
CN112737850B CN112737850B (zh) | 2023-03-24 |
Family
ID=75610212
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011611872.3A Active CN112737850B (zh) | 2020-12-30 | 2020-12-30 | 一种互斥访问的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112737850B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113904896A (zh) * | 2021-08-18 | 2022-01-07 | 北京市大数据中心 | 用于多元数据融合平台的三网切换网关 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
CN101433020A (zh) * | 2004-05-24 | 2009-05-13 | 株式会社东芝 | 隔离组网 |
US20120327811A1 (en) * | 2011-06-22 | 2012-12-27 | Alaxala Networks Corporation | Virtual network connection method, network system, and network device |
CN103516760A (zh) * | 2012-06-28 | 2014-01-15 | 上海贝尔股份有限公司 | 一种虚拟网络系统接入方法、装置及系统 |
CN107040480A (zh) * | 2017-04-01 | 2017-08-11 | 汕头大学 | 一种机房网络自动切换的方法 |
US20190230039A1 (en) * | 2018-01-19 | 2019-07-25 | Estinet Technologies Inc. | Method and system for extracting in-tunnel flow data over a virtual network |
CN111585979A (zh) * | 2020-04-22 | 2020-08-25 | 广州锦行网络科技有限公司 | 一种基于网络映射的复杂多构网络隔离技术实现方法 |
-
2020
- 2020-12-30 CN CN202011611872.3A patent/CN112737850B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1567839A (zh) * | 2003-06-24 | 2005-01-19 | 华为技术有限公司 | 基于端口的网络访问控制方法 |
CN101433020A (zh) * | 2004-05-24 | 2009-05-13 | 株式会社东芝 | 隔离组网 |
US20120327811A1 (en) * | 2011-06-22 | 2012-12-27 | Alaxala Networks Corporation | Virtual network connection method, network system, and network device |
CN103516760A (zh) * | 2012-06-28 | 2014-01-15 | 上海贝尔股份有限公司 | 一种虚拟网络系统接入方法、装置及系统 |
CN107040480A (zh) * | 2017-04-01 | 2017-08-11 | 汕头大学 | 一种机房网络自动切换的方法 |
US20190230039A1 (en) * | 2018-01-19 | 2019-07-25 | Estinet Technologies Inc. | Method and system for extracting in-tunnel flow data over a virtual network |
CN111585979A (zh) * | 2020-04-22 | 2020-08-25 | 广州锦行网络科技有限公司 | 一种基于网络映射的复杂多构网络隔离技术实现方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113904896A (zh) * | 2021-08-18 | 2022-01-07 | 北京市大数据中心 | 用于多元数据融合平台的三网切换网关 |
CN113904896B (zh) * | 2021-08-18 | 2023-11-10 | 北京市大数据中心 | 用于多元数据融合平台的三网切换网关 |
Also Published As
Publication number | Publication date |
---|---|
CN112737850B (zh) | 2023-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10791066B2 (en) | Virtual network | |
US10158561B2 (en) | Data plane learning of bi-directional service chains | |
JP6490205B2 (ja) | フローエントリ構成の方法、装置及びシステム | |
US9654395B2 (en) | SDN-based service chaining system | |
US20150358232A1 (en) | Packet Forwarding Method and VXLAN Gateway | |
EP3461072B1 (en) | Access control in a vxlan | |
CN106878194B (zh) | 一种报文处理方法和装置 | |
CN107171857B (zh) | 一种基于用户组的网络虚拟化方法和装置 | |
US11863438B2 (en) | Method and apparatus for sending routing information for network nodes | |
CN107547399B (zh) | 一种组播转发表项的处理方法和pe设备 | |
US9009782B2 (en) | Steering traffic among multiple network services using a centralized dispatcher | |
CN104852840A (zh) | 一种控制虚拟机之间互访的方法及装置 | |
WO2019196562A1 (zh) | 报文处理方法、装置、存储介质及处理器 | |
WO2018068588A1 (zh) | 提供组播业务的方法和软件定义网络控制器 | |
JP2018515052A (ja) | マルチキャストデータパケット転送 | |
US10581738B2 (en) | Efficient inter-VLAN routing in openflow networks | |
US9553764B2 (en) | Migration of guest bridge | |
CN112134776A (zh) | 生成组播转发表项的方法和接入网关 | |
US10177973B2 (en) | Communication apparatus, communication method, and communication system | |
CN115589389A (zh) | 一种处理acl的方法、系统、设备和存储介质 | |
CN112737850B (zh) | 一种互斥访问的方法及装置 | |
US10243851B2 (en) | System and method for forwarder connection information in a content centric network | |
WO2016138813A1 (zh) | 交换机路由冲突的处理方法及装置 | |
US20160269325A1 (en) | Method, apparatus, and system for controlling forwarding of service data in virtual network | |
US20220150753A1 (en) | Information processing apparatus and non-transitory computer readable medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |