CN112887444A - 一种vpn网络的请求处理方法、客户端设备及系统 - Google Patents
一种vpn网络的请求处理方法、客户端设备及系统 Download PDFInfo
- Publication number
- CN112887444A CN112887444A CN202110070521.4A CN202110070521A CN112887444A CN 112887444 A CN112887444 A CN 112887444A CN 202110070521 A CN202110070521 A CN 202110070521A CN 112887444 A CN112887444 A CN 112887444A
- Authority
- CN
- China
- Prior art keywords
- domain name
- request
- address
- intranet
- network card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5053—Lease time; Renewal aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种VPN网络的请求处理方法、客户端设备及系统,其中,所述方法应用于客户端上运行的代理程序,其中,所述客户端上还运行有目标应用程序并安装有物理网卡,所述方法包括:建立与VPN网络的网络连接;启用虚拟网卡,通过所述虚拟网卡获取目标应用程序发出的所有流量;对所述虚拟网卡上的流量进行解析和识别;从识别出的域名解析请求中获取待解析域名,并确定所述待解析域名是否需经由内网域名服务器进行解析;若是,则在确保所述域名解析请求的目的地址为或者被修改为所述内网域名服务器的地址后,通过所述VPN网络发送所述域名解析请求至所述内网域名服务器。本申请提供的技术方案,能够提高网络访问的可靠性。
Description
技术领域
本发明涉及互联网技术领域,特别涉及一种VPN网络的请求处理方法、客户端设备及VPN网络的请求处理系统。
背景技术
客户端设备在访问应用服务时,通常需要先针对待访问应用的域名发起域名解析请求,以获知源站服务器的IP地址(Internet Protocol Address)。在理想的状态下,客户端设备可根据待访问的域名的类型不同,选用内网域名服务器(Domain Name Server)或者外网域名服务器分别处理对应的域名解析请求,然而,客户端设备的域名服务器通常是由网络运营商设定的,因此在实际应用中,会存在将需要由内网域名服务器处理的域名解析请求发送给了外网的域名服务器,或者将需要由外网域名服务器处理的域名解析请求发送给了内网域名服务器,这样会导致域名解析请求响应失败,进而导致客户端设备无法正常地访问应用服务,从而影响用户体验。
发明内容
本申请的目的在于提供一种VPN网络的请求处理方法、客户端设备及系统,能够提高网络访问的可靠性。
为实现上述目的,本申请一方面提供一种VPN网络(Virtual Private Network)的请求处理方法,所述方法应用于客户端上运行的代理程序,其中,所述客户端上还运行有目标应用程序并安装有物理网卡,所述方法包括:建立与VPN网络的网络连接;启用虚拟网卡,通过所述虚拟网卡获取目标应用程序发出的所有流量;对所述虚拟网卡上的流量进行解析和识别;从识别出的域名解析请求中获取待解析域名,并确定所述待解析域名是否需经由内网域名服务器进行解析;若是,则在确保所述域名解析请求的目的地址为或者被修改为所述内网域名服务器的地址后,通过所述VPN网络发送所述域名解析请求至所述内网域名服务器。
在一实施中,所述通过所述虚拟网卡获取目标应用程序发出的所有流量,包括:通过添加默认路由,将所述目标应用程序发出的流量引导至所述虚拟网卡;以及,获取客户端设备接入指定类型的网络后对应的域名服务器的目标地址;基于所述目标地址添加指定路由,所述指定路由用于将目的地址为所述目标地址的流量引导至所述虚拟网卡。
在一实施中,所述在确保所述域名解析请求的目的地址为或者被修改为所述内网域名服务器的地址后,通过所述VPN网络发送所述域名解析请求至所述内网域名服务器,包括:若所述域名解析请求的目的地址为所述内网域名服务器的地址,将所述域名解析请求通过所述VPN网络发送至所述内网域名服务器;若所述域名解析请求的目的地址不是所述内网域名服务器的地址,将所述域名解析请求的目的地址修改为所述内网域名服务器的地址,并将修改后的域名解析请求通过所述VPN网络发送至所述内网域名服务器。
在一实施中,若所述域名解析请求的目的地址不是所述内网域名服务器的地址,所述方法还包括:记录所述域名解析请求的报文头部信息与请求标识的映射关系。
在一实施中,所述方法还包括:若所述待解析域名不需经由所述内网域名服务器进行解析,则记录所述域名解析请求的报文头部信息与请求标识的映射关系,将所述域名解析请求通过所述物理网卡发送出去。
在一实施中,所述方法还包括:若接收到从所述VPN网络反馈的响应报文,则获取所述响应报文的请求标识;通过查询所述记录,判断所述请求标识是否具备对应的报文头部信息,若具备,根据所述报文头部信息将所述响应报文的修改为新的响应报文,并将所述新的响应报文发送至所述虚拟网卡。
在一实施中,在接收到从所述VPN网络反馈的响应报文之后,所述方法还包括:获取所述响应报文中的解析地址,并将所述解析地址加入访问权限列表中。
在一实施中,所述方法还包括:若所述请求标识不具备对应的报文头部信息,将所述响应报文发送至所述虚拟网卡。
在一实施中,所述方法还包括:若接收到从所述物理网卡反馈的响应报文,获取所述响应报文的请求标识;通过查询所述记录,判断所述请求标识是否具备对应的报文头部信息,若具备,根据所述报文头部信息将所述响应报文的报文体修改为新响应的报文,并将所述新响应的报文发送至所述虚拟网卡。
在一实施中,所述方法还包括:若所述请求标识不具备对应的报文头部信息,将所述响应报文丢弃。
在一实施中,所述方法还包括:从识别出的业务访问请求中获取目的地址;
判断所述目的地址是否位于访问权限列表中;若所述访问请求的目的地址位于所述访问权限列表中,通过所述VPN网络发送所述访问请求至所述目的地址指向的内网源站服务器;若所述访问请求的目的地址不位于所述访问权限列表中,通过所述物理网卡发送所述访问请求至所述目的地址指向的外网源站服务器。
为实现上述目的,本申请还提供一种客户端设备,所述客户端设备上运行有目标应用程序和代理程序,安装有物理网卡,其中,所述客户端设备基于所述代理程序实现上述方法。
为实现上述目的,本申请另一方面还提供一种VPN网络的请求处理系统,所述系统包含部署在内网的至少一第一域名服务器和至少一第一源站服务器、部署在外网的至少一第二域名服务器和至少一第二源站服务器,以及至少一上述客户端设备,其中,所述客户端设备基于VPN网络与所述第一域名服务器和所述第一源站服务器进行通信,并基于其他网络与所述第二域名服务器和所述第二源站服务器进行通信。
由上可见,本申请一个或者多个实施方式提供的技术方案,当目标应用程序发起域名解析请求时,可以统一将域名解析请求先引导至虚拟网卡进而被代理程序获取并进行处理:基于待解析域名来重新确定域名解析请求的目的域名服务器,从而实现将需要域名解析请求发送至正确的域名服务器来进行处理,避免内外网请求的错误传输,从而使得域名解析请求能够正常被解析,提高服务质量。
附图说明
为了更清楚地说明本发明实施方式中的技术方案,下面将对实施方式描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施方式中VPN网络的请求处理方法的步骤示意图;
图2是本发明实施方式中VPN网络的请求处理系统的结构示意图;
图3是本发明实施方式中客户端设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施方式及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施方式仅是本申请一部分实施方式,而不是全部的实施方式。基于本申请中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本申请保护的范围。
本申请提供一种VPN网络的请求处理方法,该方法可以应用于客户端设备中,所述客户端设备可通过VPN网络访问内网服务,也可以通过其他非VPN类型网络访问外网服务,其中内网可以为一个设定的局域网,例如企业内网、学校内网或政府单位的内网等,内网服务可包含域名解析服务和应用服务,分别由布设在内网中的内网域名服务器和内网源站服务器提供,所述VPN网络可基于SD-WAN(Software Defined WAN,软件定义广域网)技术实现。所述客户端设备可以是具备网络访问功能的电子设备,例如,所述客户端设备可以是智能手机、平板电脑、智能可穿戴设备(智能手表、虚拟现实眼镜)、笔记本电脑、计算机等。在本发明实施例中,客户端设备上运行有代理程序和至少一个目标应用程序并安装有物理网卡,其中目标应用程序可以是客户端设备上运行的所有应用程序,也可以是需要访问内网应用服务的应用程序。请参阅图1,本申请一个实施方式提供的VPN网络的请求处理方法,可基于所述代理程序来实现,所述方法可以包括以下多个步骤。
S1:建立与VPN网络的网络连接。
S3:启用虚拟网卡,通过所述虚拟网卡获取目标应用程序发出的所有流量;对所述虚拟网卡上的流量进行解析和识别。
S5:从识别出的域名解析请求中获取待解析域名,并确定所述待解析域名是否需经由所述内网域名服务器进行解析。
在本实施方式中,客户端设备的代理程序在对客户端设备的本地流量进行处理之前,可先建立与VPN网络的网络连接,在建立网络连接的方法具体可先向VPN网络中的管理节点发送接入请求,由管理节点根据客户端设备的位置信息或预设的服务信息选择对应的接入节点,反馈给客户端设备,然后,代理程序可与该接入节点建立网络连接,如VPN隧道,从而实现了VPN网络的接入。
管理节点在对接入请求进行响应时,可反馈相关的配置信息给客户端设备,包括虚拟网卡的配置信息,如虚拟网卡的ip和子网源码和网关等信息,使得代理程序可基于该些配置信息启用虚拟网卡。更进一步的,代理程序还可从管理节点处获取该VPN网络的域名权限列表,在该域名权限列表中,包含可通过该VPN网络访问的各项内网应用服务的域名。
此外,还可以创建访问权限列表,在访问权限列表中,可包含客户端设备能够通过VPN网络访问的内网源站服务器的地址或者地址段,其中访问权限列表中的地址或者地址段可包含预先配置在本地的或者由管理节点反馈的,也可包含在后续流量处理过程中,从针对域名权限列表中的域名的DNS解析结果中获取到的地址或地址段。举例来说,域名权限列表中包含域名www.baidu.com,该域名经过域名解析之后,得到IP地址202.108.22.5,那么该IP地址便可以加入访问权限列表中。
在完成VPN网络连接的建立后,可基于上述获取到的虚拟网卡配置信息启用虚拟网卡,通过启用虚拟网卡,代理程序可从虚拟网卡获取到客户端设备内的目标应用程序发出的流量数据。
为了使得客户端设备内的目标应用程序发出的所有流量都经过虚拟网卡,从而使得代理程序可以从虚拟网卡上获取到目标应用程序发出的所有流量,在本实施方式中,首先,可以通过在客户端设备内添加默认路由(例如该默认路由可以是0.0.0.0/0),从而将客户端设备内目标应用程序的流量引导至虚拟网卡。然后,可进一步针对指定类型的网络添加指定路由,从而将客户端设备在接入到指定类型网络中时,目标应用程序发出的流量引导至虚拟网卡。
具体而言,由于当客户端设备接入到某些特定的网络环境下后,即使添加了默认路由,目标应用程序的流量也可能会被强制地引导至物理网卡。例如,当客户端设备接入WiFi后,会自动获取WiFi网络的域名服务器地址,由于WiFi网络中的域名服务器地址与物理网卡的地址处于相同的地址段,在这种情况下,即使存在上述的默认路由,目标应用程序发出的域名解析请求也会被直接发送至物理网卡处进行处理,这就导致代理程序无法从虚拟网卡获取到该请求,从而无法保证该域名解析请求会被内网域名服务器接收,进而出现背景技术中描述的问题。
鉴于此,在一个实施方式中,当客户端设备接入指定类型的网络后,代理程序可以自动获取对应的域名服务器的目标地址,并在默认路由的基础上,可以单独为该指定类型的网络添加指定路由,该指定路由可以用于将目的地址为上述目标地址的报文引导至虚拟网卡。这样,当目标应用程序产生了域名解析请求后,如果该域名解析请求的目的地址指向指定类型的网络的域名服务器的目标地址,那么通过该指定路由,可以将该域名解析请求引导至虚拟网卡,而不是交由物理网卡进行处理。这样处理的原因在于,当用户接入WiFi网络等指定类型的网络后,由于指定网络类型下的域名服务器的地址与物理网卡的地址处于相同的地址段,即使存在默认路由,也会导致相应的域名解析请求会直接从物理网卡发出,而不会经过虚拟网卡发出,因此,通过为指定类型的网络添加指定路由,可以保证该网络下的目标应用程序发出的流量会全部引导至虚拟网卡,进而被代理程序获取。
通过上述的方式,客户端设备内目标应用程序发出的数据流量都可以被引导至虚拟网卡处,从而保证客户端设备内目标应用程序产生的所有数据流量都可以从虚拟网卡上获取,进而对其进行识别和引导,那么针对域名权限列表内域名的流量,可以正常地通过VPN网络传输至内网域名服务器,而不会出现域名权限列表内的流量被引导至物理网卡,从而被外网域名服务器接收的情况。
在本实施方式中,目标应用程序发出的流量类型可包含:域名解析请求和业务访问请求,具体而言,当目标应用程序针对某个应用服务发起业务访问请求时,需要先针对该应用服务的域名发起域名解析请求,以获得应用源站服务器的IP地址,从而基于该应用源站服务器的IP地址构建业务访问请求,并发出。代理程序可通过虚拟网卡获取到该域名解析请求,以及业务访问请求,因此,当代理程序从虚拟网卡获取到目标应用程序发出的流量后,需要对流量进行识别,以确定该流量是域名解析请求还是业务访问请求,具体的,可通过协议类型、目的地址、报文特征等方式来对流量进行识别,本发明不作限制。针对识别出的域名解析请求,代理程序可先从该域名解析请求中获取待解析域名,并判断该域名解析请求中的待解析域名是否位于域名权限列表中。如果位于,则表示该域名解析请求需要通过内网域名服务器进行处理;而如果不位于,那么该域名解析请求应当转发给物理网卡,由物理网卡发送至对应的外网域名服务器进行处理。
经过上述步骤的处理,通过将域名解析请求中的待解析域名与域名权限列表进行对比,从而可以判断该待解析域名是否位于域名权限列表中,进而确定待解析域名是否需经由所述内网域名服务器进行解析。
S7:若是,在确保所述域名解析请求的目的地址为或者被修改为所述内网域名服务器的地址后,通过所述VPN网络发送所述域名解析请求至所述内网域名服务器。
在本实施方式中,若域名解析请求中的域名位于域名权限列表中,则表示该域名解析请求应当由内网域名服务器进行处理。然而,由于客户端设备可能会同时接入多种不同的网络环境,例如除了VPN网络,客户端设备还可能接入WiFi网络或者移动4G、5G网络等。不同网络环境对应的域名服务器是由网络运营商预先配置的,因此也是不同的,而这些不同的域名服务器,都可以被默认配置在客户端设备的系统上,目标应用程序在生成域名解析请求时,会根据默认配置的域名服务器,将其中一个域名服务器的地址作为域名解析请求的目的地址,因此,该域名解析请求中的目的地址很有可能不是内网域名服务器的地址。鉴于此,在本实施方式中,代理程序需先确认该域名解析请求的目的地址是否为内网域名服务器的地址,具体可根据预先保存的内网域名与内网域名服务器对应的信息中,获知该目的地址是否为内网域名服务器地址。
若所述域名解析请求的目的地址为所述内网域名服务器的地址,可以直接将所述域名解析请求通过所述网络连接发送至内网域名服务器;若所述域名解析请求的目的地址不是所述内网域名服务器的地址,则可以先将该域名解析请求的目的地址修改为待解析域名对应的内网域名服务器的地址,再将修改后的域名解析请求通过所述网络连接发送至内网域名服务器。这样,对于针对域名权限列表中的域名发出的域名解析请求,最终都会被发往内网域名服务器进行处理。
在一个实施方式中,代理程序可对被修改的域名解析请求的原始信息进行记录,具体地,可从域名解析请求中获取请求标识和报文头部信息,记录该报文头部信息与该请求标识的映射关系,其中请求标识可以是域名解析请求中携带的域名ID,其中,该域名ID是客户端系统为该域名解析请求分配的一个序号,该序号会携带在该域名解析请求的响应报文中。后续,代理程序通过网络连接接收到针对该域名解析请求反馈的响应报文时,可以识别该响应报文中的请求标识,然后判断所述请求标识是否记录有对应的报文头部信息,若是,则可以根据记录的报文头部信息对所述响应报文进行修改,得到新的响应报文,具体的,可根据关联存储的报文头部信息对响应报文的头部信息进行修改,使得新的响应报文的源地址对应为关联存储的报文部信息中的目的地址,并将所述新的响应报文发送至所述虚拟网卡,通过虚拟网卡发送至目标应用程序,从而使得目标应用程序可正确识别该响应报文。
如果根据请求标识查询不到对应的报文头部信息,则表示当初没有对域名解析请求中的目的地址进行修改,因此可以直接将响应报文发送至虚拟网卡,以通过虚拟网卡将响应报文提供给对应的目标应用程序。
在一个实施方式中,代理程序接收到从VPN网络反馈的响应报文时,可获取该响应报文中的解析地址,即待解析域名对应的IP地址,并将所述解析地址加入访问权限列表中,这样可以实现访问权限列表的及时更新。
针对从流量中识别出的业务访问请求,代理程序可从识别出的业务访问请求中获取目的地址,判断所述目的地址是否位于访问权限列表中,若所述访问请求的目的地址位于所述访问权限列表中,则通过所述VPN网络发送所述访问请求至所述目的地址指向的内网源站服务器;若所述访问请求的目的地址不位于所述访问权限列表中,通过所述物理网卡发送所述访问请求至所述目的地址指向的外网源站服务器。
由于目标应用程序在发出业务访问请求前,需借助域名解析请求获取业务访问请求的目的地址,因此,代理程序在针对内网应用服务发出业务访问请求之前,先从响应报文中获知了对应的目的地址,并即时更新在访问权限列表中,当接收到该业务访问请求时,即可根据访问权限列表中的记录准确的判断出该业务访问请求的目的地址是否位于访问权限列表中,保证了访问权限列表的准确性。
在一个实施方式中,如果域名解析请求中的待访问域名没有位于上述的域名权限列表中,则表示当前的域名解析请求应当由外网域名服务器进行处理。此时,代理程序可以将该域名解析请求通过UDP代理转发给物理网卡,从而通过物理网卡发送出去。
在将域名解析请求转发给物理网卡时,也可以记录该域名解析请求的报文头部信息与请求标识映射关系,用于对从物理网卡接收到的响应报文进行识别。
具体地,当从物理网卡接收到响应报文时,可以获取所述响应报文对应的请求标识,然后可以判断所述请求标识是否记录有对应的报文头部信息,若是,则表示响应报文对应的域名解析请求是由目标应用程序发出的,此时需要可根据对应的报文头部信息修改该响应报文为新的响应报文,并将新的响应报文发送至所述虚拟网卡,并由虚拟网卡反馈给目标应用程序(应用程序的流量都引导至虚拟网卡处,因此也都由虚拟网卡下发给应用程序)。而如果该请求标识不具备对应的报文头部信息,则表示该响应报文没有经过UDP代理服务器的正常处理,可以将该响应报文视为无效的报文,直接将该响应报文丢弃即可。
由此可见,通过本发明实施例提供的VPN网络的请求处理方法,客户端设备上的代理程序可通过启用虚拟网卡,并通过设置默认路由和指定路由,使得可从虚拟网卡获取到目标应用程序发出的所有流量,进而将需要经由的内网域名服务器进行解析的域名解析请求全部通过VPN网络传输,从而防止应该被内网域名服务器处理的域名解析请求被错误发送至外网域名服务器,导致内网请求无法被处理的情形,保证了内网服务质量。
请参阅图2,本申请还提供一种VPN网络的请求处理系统,所述系统包含部署在内网的至少一第一域名服务器和至少一第一源站服务器、部署在外网的至少一第二域名服务器和至少一第二源站服务器,以及至少一上述客户端设备,其中,所述客户端设备基于VPN网络与所述第一域名服务器和所述第一源站服务器进行通信,并基于其他网络与所述第二域名服务器和所述第二源站服务器进行通信。
请参阅图3,本申请还提供一种客户端设备,所述客户端设备上运行有目标应用程序和代理程序,安装有物理网卡,其中,所述客户端设备基于所述代理程序实现上述的VPN网络的请求处理方法。
由上可见,本申请一个或者多个实施方式提供的技术方案,客户端设备上的代理程序可通过启用虚拟网卡,并通过设置默认路由和指定路由,使得可从虚拟网卡获取到目标应用程序发出的所有流量,进而将需要经由的内网域名服务器进行解析的域名解析请求全部通过VPN网络传输,从而防止应该被内网域名服务器处理的域名解析请求被错误发送至外网域名服务器,导致内网请求无法被处理的情形,保证了内网服务质量;更进一步的,可通过对接收到的域名解析请求的信息进行记录,并在接收到域名解析请求的响应报文时通过匹配信息记录,来确响应报文的处理方式,不仅可保证响应报文可顺利被对应的目标应用程序接收,还可对异常响应报文进行拦截;更进一步的,代理程序在接收到来自VPN网络的响应报文时,还可将响应报文中的解析结果更新至访问权限列表中,用于对业务访问请求的鉴权,从而保证了权限列表的实时更新,提升鉴权准确性。
本说明书中的各个实施方式均采用递进的方式描述,各个实施方式之间相同相似的部分互相参见即可,每个实施方式重点说明的都是与其他实施方式的不同之处。尤其,针对系统和客户端设备的实施方式来说,均可以参照前述方法的实施方式的介绍对照解释。
本领域内的技术人员应明白,本发明的实施方式可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施方式而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (13)
1.一种VPN网络的请求处理方法,其特征在于,所述方法应用于客户端上运行的代理程序,其中,所述客户端上还运行有目标应用程序并安装有物理网卡,所述方法包括:
建立与VPN网络的网络连接;
启用虚拟网卡,通过所述虚拟网卡获取目标应用程序发出的所有流量;
对所述虚拟网卡上的流量进行解析和识别;
从识别出的域名解析请求中获取待解析域名,并确定所述待解析域名是否需经由内网域名服务器进行解析;
若是,则在确保所述域名解析请求的目的地址为或者被修改为所述内网域名服务器的地址后,通过所述VPN网络发送所述域名解析请求至所述内网域名服务器。
2.根据权利要求1所述的方法,其特征在于,所述通过所述虚拟网卡获取目标应用程序发出的所有流量,包括:
通过添加默认路由,将所述目标应用程序发出的流量引导至所述虚拟网卡;以及,
获取客户端设备接入指定类型的网络后对应的域名服务器的目标地址;基于所述目标地址添加指定路由,所述指定路由用于将目的地址为所述目标地址的流量引导至所述虚拟网卡。
3.根据权利要求1所述的方法,其特征在于,所述在确保所述域名解析请求的目的地址为或者被修改为所述内网域名服务器的地址后,通过所述VPN网络发送所述域名解析请求至所述内网域名服务器,包括:
若所述域名解析请求的目的地址为所述内网域名服务器的地址,将所述域名解析请求通过所述VPN网络发送至所述内网域名服务器;
若所述域名解析请求的目的地址不是所述内网域名服务器的地址,将所述域名解析请求的目的地址修改为所述内网域名服务器的地址,并将修改后的域名解析请求通过所述VPN网络发送至所述内网域名服务器。
4.根据权利要求1所述的方法,其特征在于,若所述域名解析请求的目的地址不是所述内网域名服务器的地址,所述方法还包括:
记录所述域名解析请求的报文头部信息与请求标识的映射关系。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述待解析域名不需经由所述内网域名服务器进行解析,则记录所述域名解析请求的报文头部信息与请求标识的映射关系,将所述域名解析请求通过所述物理网卡发送出去。
6.根据权利要求4或5所述的方法,其特征在于,所述方法还包括:
若接收到从所述VPN网络反馈的响应报文,则获取所述响应报文的请求标识;
通过查询所述记录,判断所述请求标识是否具备对应的报文头部信息,若具备,根据所述报文头部信息将所述响应报文的修改为新的响应报文,并将所述新的响应报文发送至所述虚拟网卡。
7.根据权利要求6所述的方法,其特征在于,在接收到从所述VPN网络反馈的响应报文之后,所述方法还包括:
获取所述响应报文中的解析地址,并将所述解析地址加入访问权限列表中。
8.根据权利要求6所述的方法,其特征在于,所述方法还包括:
若所述请求标识不具备对应的报文头部信息,将所述响应报文发送至所述虚拟网卡。
9.根据权利要求5所述的方法,其特征在于,所述方法还包括:
若接收到从所述物理网卡反馈的响应报文,获取所述响应报文的请求标识;
通过查询所述记录,判断所述请求标识是否具备对应的报文头部信息,若具备,根据所述报文头部信息将所述响应报文的报文体修改为新响应的报文,并将所述新响应的报文发送至所述虚拟网卡。
10.根据权利要求9所述的方法,其特征在于,所述方法还包括:
若所述请求标识不具备对应的报文头部信息,将所述响应报文丢弃。
11.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从识别出的业务访问请求中获取目的地址;
判断所述目的地址是否位于访问权限列表中;
若所述访问请求的目的地址位于所述访问权限列表中,通过所述VPN网络发送所述访问请求至所述目的地址指向的内网源站服务器;
若所述访问请求的目的地址不位于所述访问权限列表中,通过所述物理网卡发送所述访问请求至所述目的地址指向的外网源站服务器。
12.一种客户端设备,其特征在于,所述客户端设备上运行有目标应用程序和代理程序,安装有物理网卡,其中,所述客户端设备基于所述代理程序实现如权利要求1至11任一项所述的方法。
13.一种VPN网络的请求处理系统,其特征在于,所述系统包含部署在内网的至少一第一域名服务器和至少一第一源站服务器、部署在外网的至少一第二域名服务器和至少一第二源站服务器,以及至少一如权利要求12所述的客户端设备,其中,所述客户端设备基于VPN网络与所述第一域名服务器和所述第一源站服务器进行通信,并基于其他网络与所述第二域名服务器和所述第二源站服务器进行通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110070521.4A CN112887444A (zh) | 2021-01-19 | 2021-01-19 | 一种vpn网络的请求处理方法、客户端设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110070521.4A CN112887444A (zh) | 2021-01-19 | 2021-01-19 | 一种vpn网络的请求处理方法、客户端设备及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112887444A true CN112887444A (zh) | 2021-06-01 |
Family
ID=76049902
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110070521.4A Pending CN112887444A (zh) | 2021-01-19 | 2021-01-19 | 一种vpn网络的请求处理方法、客户端设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112887444A (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113438307A (zh) * | 2021-06-22 | 2021-09-24 | 北京金山安全软件有限公司 | 一种域名解析方法、服务器、系统及存储介质 |
| CN113938293A (zh) * | 2021-09-23 | 2022-01-14 | 深圳市柔宇科技股份有限公司 | Vpn网络分享方法、存储介质和终端设备 |
| CN113973028A (zh) * | 2021-10-26 | 2022-01-25 | 亿次网联(杭州)科技有限公司 | 一种vpn通信方法、虚拟网卡、节点设备及存储介质 |
| CN114095430A (zh) * | 2021-10-14 | 2022-02-25 | 网宿科技股份有限公司 | 一种访问报文的处理方法、系统及工作节点 |
| CN114189494A (zh) * | 2021-12-16 | 2022-03-15 | 牙木科技股份有限公司 | 域名解析方法、dns服务器及可读存储介质 |
| CN114301872A (zh) * | 2021-12-27 | 2022-04-08 | 奇安信科技集团股份有限公司 | 基于域名的访问方法及装置、电子设备、存储介质 |
| CN114363031A (zh) * | 2021-12-29 | 2022-04-15 | 中国电信股份有限公司 | 一种网络访问方法及装置 |
| CN114374669A (zh) * | 2022-01-11 | 2022-04-19 | 杭州迪普科技股份有限公司 | Vpn客户端代理dns解析方法及系统 |
| CN114422214A (zh) * | 2021-12-31 | 2022-04-29 | 深信服科技股份有限公司 | 一种访问信息处理方法、装置、设备及计算机存储介质 |
| CN114448706A (zh) * | 2022-02-08 | 2022-05-06 | 恒安嘉新(北京)科技股份公司 | 一种单包授权方法、装置、电子设备及存储介质 |
| CN114553827A (zh) * | 2022-02-24 | 2022-05-27 | 杭州迪普科技股份有限公司 | Vpn客户端代理dns解析方法及装置 |
| CN114629911A (zh) * | 2022-04-18 | 2022-06-14 | 北京字节跳动网络技术有限公司 | 域名解析请求的处理方法、装置、设备、介质和程序产品 |
| CN114650220A (zh) * | 2022-03-31 | 2022-06-21 | 深信服科技股份有限公司 | 一种数据包引流方法及相关装置 |
| CN114710560A (zh) * | 2022-03-14 | 2022-07-05 | 北京华耀科技有限公司 | 数据处理方法、系统及代理设备、终端设备 |
| CN115001977A (zh) * | 2022-04-11 | 2022-09-02 | 北京华耀科技有限公司 | 建立虚拟专网的方法、系统及虚拟专网客户端设备 |
| CN115378578A (zh) * | 2022-10-25 | 2022-11-22 | 国网信息通信产业集团有限公司 | 一种基于国密sm4的sd-wan实现方法及系统 |
| CN115550310A (zh) * | 2022-09-28 | 2022-12-30 | 深圳市共进电子股份有限公司 | 一种域名解析方法、装置、终端设备和存储介质 |
| CN116095037A (zh) * | 2021-11-05 | 2023-05-09 | 腾讯科技(深圳)有限公司 | 应用程序加速方法、装置、电子设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105939316A (zh) * | 2015-10-26 | 2016-09-14 | 杭州迪普科技有限公司 | 报文转发方法以及装置 |
| CN107995321A (zh) * | 2017-11-17 | 2018-05-04 | 杭州迪普科技股份有限公司 | 一种vpn客户端代理dns的方法及装置 |
| CN108063712A (zh) * | 2016-11-09 | 2018-05-22 | 北京国双科技有限公司 | 一种网络请求的发送方法及装置 |
| CN108093098A (zh) * | 2018-01-31 | 2018-05-29 | 杭州迪普科技股份有限公司 | 一种域名解析请求发送方法及装置 |
| CN108111619A (zh) * | 2017-12-28 | 2018-06-01 | 西安抱朴通信科技有限公司 | 一种数据分流方法及装置、计算机设备、存储介质 |
| CN109347817A (zh) * | 2018-10-12 | 2019-02-15 | 厦门安胜网络科技有限公司 | 一种网络安全重定向的方法及装置 |
| US20190327205A1 (en) * | 2018-04-20 | 2019-10-24 | Pulse Secure, Llc | Fully qualified domain name-based traffic control for virtual private network access control |
| CN111262938A (zh) * | 2020-01-17 | 2020-06-09 | 厦门网宿有限公司 | 一种dns服务器选择方法和代理服务器 |
-
2021
- 2021-01-19 CN CN202110070521.4A patent/CN112887444A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105939316A (zh) * | 2015-10-26 | 2016-09-14 | 杭州迪普科技有限公司 | 报文转发方法以及装置 |
| CN108063712A (zh) * | 2016-11-09 | 2018-05-22 | 北京国双科技有限公司 | 一种网络请求的发送方法及装置 |
| CN107995321A (zh) * | 2017-11-17 | 2018-05-04 | 杭州迪普科技股份有限公司 | 一种vpn客户端代理dns的方法及装置 |
| CN108111619A (zh) * | 2017-12-28 | 2018-06-01 | 西安抱朴通信科技有限公司 | 一种数据分流方法及装置、计算机设备、存储介质 |
| CN108093098A (zh) * | 2018-01-31 | 2018-05-29 | 杭州迪普科技股份有限公司 | 一种域名解析请求发送方法及装置 |
| US20190327205A1 (en) * | 2018-04-20 | 2019-10-24 | Pulse Secure, Llc | Fully qualified domain name-based traffic control for virtual private network access control |
| CN109347817A (zh) * | 2018-10-12 | 2019-02-15 | 厦门安胜网络科技有限公司 | 一种网络安全重定向的方法及装置 |
| CN111262938A (zh) * | 2020-01-17 | 2020-06-09 | 厦门网宿有限公司 | 一种dns服务器选择方法和代理服务器 |
Non-Patent Citations (1)
| Title |
|---|
| 鄢萍等: "基于DDNS和NAT的服务器内外网动态映射", 《计算机工程》 * |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113438307A (zh) * | 2021-06-22 | 2021-09-24 | 北京金山安全软件有限公司 | 一种域名解析方法、服务器、系统及存储介质 |
| CN113938293A (zh) * | 2021-09-23 | 2022-01-14 | 深圳市柔宇科技股份有限公司 | Vpn网络分享方法、存储介质和终端设备 |
| CN114095430A (zh) * | 2021-10-14 | 2022-02-25 | 网宿科技股份有限公司 | 一种访问报文的处理方法、系统及工作节点 |
| CN114095430B (zh) * | 2021-10-14 | 2023-10-24 | 网宿科技股份有限公司 | 一种访问报文的处理方法、系统及工作节点 |
| CN113973028A (zh) * | 2021-10-26 | 2022-01-25 | 亿次网联(杭州)科技有限公司 | 一种vpn通信方法、虚拟网卡、节点设备及存储介质 |
| CN116095037A (zh) * | 2021-11-05 | 2023-05-09 | 腾讯科技(深圳)有限公司 | 应用程序加速方法、装置、电子设备及存储介质 |
| CN114189494A (zh) * | 2021-12-16 | 2022-03-15 | 牙木科技股份有限公司 | 域名解析方法、dns服务器及可读存储介质 |
| CN114189494B (zh) * | 2021-12-16 | 2024-02-27 | 牙木科技股份有限公司 | 域名解析方法、dns服务器及可读存储介质 |
| CN114301872A (zh) * | 2021-12-27 | 2022-04-08 | 奇安信科技集团股份有限公司 | 基于域名的访问方法及装置、电子设备、存储介质 |
| CN114301872B (zh) * | 2021-12-27 | 2023-12-26 | 奇安信科技集团股份有限公司 | 基于域名的访问方法及装置、电子设备、存储介质 |
| CN114363031A (zh) * | 2021-12-29 | 2022-04-15 | 中国电信股份有限公司 | 一种网络访问方法及装置 |
| CN114422214A (zh) * | 2021-12-31 | 2022-04-29 | 深信服科技股份有限公司 | 一种访问信息处理方法、装置、设备及计算机存储介质 |
| CN114422214B (zh) * | 2021-12-31 | 2023-12-29 | 深信服科技股份有限公司 | 一种访问信息处理方法、装置、设备及计算机存储介质 |
| CN114374669B (zh) * | 2022-01-11 | 2024-04-26 | 杭州迪普科技股份有限公司 | Vpn客户端代理dns解析方法及系统 |
| CN114374669A (zh) * | 2022-01-11 | 2022-04-19 | 杭州迪普科技股份有限公司 | Vpn客户端代理dns解析方法及系统 |
| CN114448706B (zh) * | 2022-02-08 | 2024-05-17 | 恒安嘉新(北京)科技股份公司 | 一种单包授权方法、装置、电子设备及存储介质 |
| CN114448706A (zh) * | 2022-02-08 | 2022-05-06 | 恒安嘉新(北京)科技股份公司 | 一种单包授权方法、装置、电子设备及存储介质 |
| CN114553827A (zh) * | 2022-02-24 | 2022-05-27 | 杭州迪普科技股份有限公司 | Vpn客户端代理dns解析方法及装置 |
| CN114553827B (zh) * | 2022-02-24 | 2023-10-20 | 杭州迪普科技股份有限公司 | Vpn客户端代理dns解析方法及装置 |
| CN114710560A (zh) * | 2022-03-14 | 2022-07-05 | 北京华耀科技有限公司 | 数据处理方法、系统及代理设备、终端设备 |
| CN114650220A (zh) * | 2022-03-31 | 2022-06-21 | 深信服科技股份有限公司 | 一种数据包引流方法及相关装置 |
| CN115001977B (zh) * | 2022-04-11 | 2024-02-13 | 北京华耀科技有限公司 | 建立虚拟专网的方法、系统及虚拟专网客户端设备 |
| CN115001977A (zh) * | 2022-04-11 | 2022-09-02 | 北京华耀科技有限公司 | 建立虚拟专网的方法、系统及虚拟专网客户端设备 |
| CN114629911A (zh) * | 2022-04-18 | 2022-06-14 | 北京字节跳动网络技术有限公司 | 域名解析请求的处理方法、装置、设备、介质和程序产品 |
| CN115550310A (zh) * | 2022-09-28 | 2022-12-30 | 深圳市共进电子股份有限公司 | 一种域名解析方法、装置、终端设备和存储介质 |
| CN115378578B (zh) * | 2022-10-25 | 2023-02-03 | 国网信息通信产业集团有限公司 | 一种基于国密sm4的sd-wan实现方法及系统 |
| CN115378578A (zh) * | 2022-10-25 | 2022-11-22 | 国网信息通信产业集团有限公司 | 一种基于国密sm4的sd-wan实现方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112887444A (zh) | 一种vpn网络的请求处理方法、客户端设备及系统 | |
| US9722966B2 (en) | DNS-based determining whether a device is inside a network | |
| AU2015317394B2 (en) | Private alias endpoints for isolated virtual networks | |
| CN111460460B (zh) | 任务访问方法、装置、代理服务器及机器可读存储介质 | |
| CN107770138B (zh) | 指定ip地址的方法及代理服务器、客户端 | |
| EP3657765B1 (en) | Multi-access edge network service system and network service method | |
| US8073936B2 (en) | Providing support for responding to location protocol queries within a network node | |
| US10834202B2 (en) | Network service system and network service method | |
| CN111327668B (zh) | 网络管理方法、装置、设备和存储介质 | |
| RU2654854C1 (ru) | Способ сбора данных о пользователе устройства беспроводной связи и машиночитаемый носитель для реализации этого способа | |
| WO2017161965A1 (zh) | 一种动态域名系统dns重定向方法、装置及系统 | |
| US7289471B2 (en) | Mobile router, position management server, mobile network management system, and mobile network management method | |
| US20230239675A1 (en) | Application context relocation method and apparatus | |
| CN111885217A (zh) | 一种数据通信方法、装置、设备及存储介质 | |
| CN112825524B (zh) | 网络服务节点的确定方法、装置和系统 | |
| CN113315848A (zh) | 访问控制方法、装置及设备 | |
| CN108011801B (zh) | 数据传输的方法、设备、装置及系统 | |
| CN114584558B (zh) | 云边协同分布式api网关系统及api调用方法 | |
| EP4258603A1 (en) | Service processing method and apparatus, electronic device, and storage medium | |
| CN113347239B (zh) | 通信请求处理方法、装置、系统、电子设备及存储介质 | |
| CN112040027B (zh) | 一种数据处理的方法及装置、电子设备、存储介质 | |
| CN107517162B (zh) | 一种cdn缓存服务器的确定方法及装置 | |
| US12010090B2 (en) | Management of domain name services across multiple device and software configurations | |
| US20230188494A1 (en) | Management of domain name services across multiple device and software configurations | |
| WO2022237670A1 (zh) | 基于5g的边缘节点调度方法、装置、介质及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |