CN112910666B - 设备处理数据包的仿真方法、装置和计算机设备 - Google Patents
设备处理数据包的仿真方法、装置和计算机设备 Download PDFInfo
- Publication number
- CN112910666B CN112910666B CN201911134713.6A CN201911134713A CN112910666B CN 112910666 B CN112910666 B CN 112910666B CN 201911134713 A CN201911134713 A CN 201911134713A CN 112910666 B CN112910666 B CN 112910666B
- Authority
- CN
- China
- Prior art keywords
- data packet
- equipment
- information
- policy
- model
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种设备处理数据包的仿真方法、装置、计算机设备和存储介质。所述方法包括:当接收到数据包时,调用预先建立的设备模型;采用与设备类型对应的数据包处理方式,将数据包与设备模型中不同的策略信息进行匹配;当所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,并输出数据包与不同的策略信息的匹配情况。采用本方法能够仿真数据包在设备内的走向和处理流程,使管理员能够了解数据包在网络设备中的处理结果,从而能够辅助管理员对网络设备进行配置和维护。
Description
技术领域
本申请涉及网络安全技术领域,特别是涉及一种设备处理数据包的仿真方法、装置、计算机设备和存储介质。
背景技术
随着信息化的加速,应用场景不断增加,网络规模更加复杂,用户面临的网络安全威胁也越来越大。
网络安全策略隐藏于设备的策略集中,不能保证安全策略实施符合规划,安全策略的整体效果得不到保证,容易导致网络中各节点之间互访存在不合规范的通路。因此,需要管理员对安全策略进行配置和维护,例如对安全策略进行变更、新增或者删除等。
通常,管理员在对安全策略进行配置和维护前,需要对网络路径进行分析,传统的网络路径分析主要是以跟踪路由的方式实现。这种方式只能够查询数据包的访问路径,但是不能够查询到数据包被所经过的设备处理的情况,导致管理员对安全策略进行配置和维护时缺少相关的操作依据,导致在配置和维护网络安全策略时容易出现缺陷或者错误,从而给系统的安全性和稳定性带来隐忧。
发明内容
基于此,有必要针对上述技术问题,提供一种能够辅助管理员对安全策略进行配置和维护的设备处理数据包的仿真方法、装置、计算机设备和存储介质。
为了实现上述目的,一方面,本申请实施例提供了一种设备处理数据包的仿真方法,所述方法包括:
当接收到数据包时,调用预先建立的设备模型;
采用与设备类型对应的数据包处理方式,将数据包与设备模型中不同的策略信息进行匹配;
当所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,并输出数据包与不同的策略信息的匹配情况。
在其中一个实施例中,采用与设备类型对应的数据包处理方式,将数据包与设备模型中不同的策略信息进行匹配,包括:
获取设备的设备类型,根据不同的设备类型,确定对应的数据包处理方式;
根据所确定的数据包处理方式,将数据包与设备模型中的访问控制策略、网络地址转换策略和策略路由中的至少一个进行匹配。
在其中一个实施例中,当检测所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,包括:
当检测数据包与设备模型中包含的访问控制策略、网络地址转换策略和策略路由中的至少一个匹配时,判断数据包被设备转发成功。
在其中一个实施例中,设备模型中包含策略路由;所述方法还包括:
当判断数据包与策略路由匹配失败时,查询设备模型中是否包含路由表信息;
若查询包含路由表信息,则将数据包与路由表信息进行匹配。
在其中一个实施例中,设备模型的建立方式,包括:
基于设备的厂商支持的设备信息采集方式,采集设备的设备信息;
对设备信息进行解析,并使用解析后的设备信息建立设备模型。
在其中一个实施例中,所述方法还包括:
当检测到任一个策略信息与数据包匹配失败时,判断数据包被设备转发失败,并输出数据包与不同的策略信息的匹配情况。
在其中一个实施例中,当检测所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,并输出数据包与不同的策略信息的匹配情况之后,还包括:
获取信息查询指令,将数据包与不同的策略信息的匹配情况通过终端进行展示。
另一方面,本申请实施例还提供了一种设备处理数据包的仿真装置,所述装置包括:
设备模型调用模块,用于当接收到数据包时,调用预先建立的设备模型;
策略匹配模块,用于采用与设备类型对应的数据包处理方式,将数据包与设备模型中不同的策略信息进行匹配;
结果生成模块,当所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,并输出数据包与不同的策略信息的匹配情况。
又一方面,本申请实施例还提供了一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
当接收到数据包时,调用预先建立的设备模型;
采用与设备类型对应的数据包处理方式,将数据包与设备模型中不同的策略信息进行匹配;
当所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,并输出数据包与不同的策略信息的匹配情况。
又一方面,本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
当接收到数据包时,调用预先建立的设备模型;
采用与设备类型对应的数据包处理方式,将数据包与设备模型中不同的策略信息进行匹配;
当所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,并输出数据包与不同的策略信息的匹配情况。
上述设备处理数据包的仿真方法、装置、计算机设备和存储介质,当接收到数据包时,通过调用预先建立的设备模型,采用与设备类型对应的数据包处理方式,将数据包与设备模型中不同的策略信息进行匹配。当所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,并输出数据包与不同的策略信息的匹配情况。该方法通过仿真数据包在设备内的走向和处理流程,使管理员能够了解数据包在网络设备中的处理结果,从而能够辅助管理员对网络设备进行配置和维护。
附图说明
图1为一个实施例中设备处理数据包的仿真方法的应用环境图;
图2为一个实施例中设备处理数据包的仿真方法的流程示意图;
图3为一个实施例中网络拓扑模型的示意图;
图4为一个实施例中设备处理数据包的流程示意图;
图5为一个实施例中建立设备模型的流程示意图;
图6为一个实施例中通过终端显示数据包与策略信息匹配情况的示意图;
图7为另一个实施例中设备处理数据包的仿真方法的流程示意图;
图8为一个实施例中设备处理数据包的仿真装置的结构框图;
图9为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的设备处理数据包的仿真方法,可以应用于如图1所示的应用环境中。该应用环境包括终端102和服务器104。其中,终端102通过网络与服务器104进行通信。服务器104中可以存储有预先建立的多个网络设备的设备模型。具体地,服务器104在接收到数据包时,调用预先建立的设备模型。采用与设备类型对应的数据包处理方式,将数据包与设备模型中不同的策略信息进行匹配。当所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,并输出数据包与不同的策略信息的匹配情况。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图2所示,提供了一种设备处理数据包的仿真方法,以该方法应用于图1中的服务器104为例进行说明,包括以下步骤:
步骤202,当接收到数据包时,调用预先建立的设备模型。
其中,数据包是TCP/IP协议通信传输中的数据单位,主要由目的地址、源地址、净载数据等部分构成。设备模型可以是根据设备的设备信息建立的模型,设备模型中可以但不限于包括设备的基本信息、配置信息和路由表信息。其中,设备的基本信息可以包括设备名、设备版本、厂商等。设备的配置信息可以包括策略路由信息、访问控制策略信息等。具体地,设备接收到数据包的场景可以为数据包在网络拓扑模型中查询访问路径时,经过网络拓扑模型中的该设备。在建立网络拓扑模型前,可以对每个设备建立设备模型并存储。当设备接收到数据包后,可以调用预先建立的设备模型。
步骤204,采用与设备类型对应的数据包处理方式,将数据包与设备模型中不同的策略信息进行匹配。
其中,设备模型中可以包括多个不同的策略信息,例如,可以包括访问控制策略信息、NAT(Network Address Translation,网络地址转换)策略项信息、策略路由信息等。设备类型可以为计算机、集线器、交换机、网桥、路由器等。具体地,不同的设备类型可能被配置不同的策略信息,因此,对同样的数据包可能会有不同的处理方式。在设备接收到数据包后,可以采用与该设备的类型对应的处理方式,将数据包与该设备的设备模型中的策略信息进行匹配。
步骤206,当所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,并输出数据包与不同的策略信息的匹配情况。
其中,策略信息与数据包匹配成功可以是指数据包匹配到策略信息中的允许条目。具体地,设备可能会配置有多个策略信息,当接收到数据包后,可以将配置的每个策略信息依次与数据包进行匹配。若每个策略信息都能够放行数据包,那么可以判断该设备能够放行该数据包。服务器可以存储每个策略信息与数据包的匹配情况。匹配情况中可以包括匹配的策略名称、数据包中的数据信息、匹配状态等。
上述设备处理数据包的仿真方法中,当接收到数据包时,通过调用预先建立的设备模型,采用与设备类型对应的数据包处理方式,将数据包与设备模型中不同的策略信息进行匹配。当所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,并输出数据包与不同的策略信息的匹配情况。该方法通过仿真数据包在设备内的走向和处理流程,使管理员能够了解数据包在网络设备中的处理结果,从而能够辅助管理员对网络设备进行配置和维护。
在一个实施例中,采用与设备类型对应的数据包处理方式,将数据包与设备模型中不同的策略信息进行匹配,包括:获取设备的设备类型,根据不同的设备类型,确定对应的数据包处理方式;根据所确定的数据包处理方式,将数据包与设备模型中的访问控制策略、网络地址转换策略和策略路由中的至少一个进行匹配。
具体地,当设备接收到数据包后,可以根据该设备的设备类型,采用相应的数据包处理方式。例如,若设备为路由器,可以将数据包与设备模型中的进接口/出接口访问控制策略、网络地址转换策略、策略路由进行匹配;若设备为防火墙,可以将数据包与设备模型中的集中的防火墙访问控制策略、网络地址转换策略、策略路由进行匹配。在确定数据包处理方式后,可以将数据包与设备模型中配置的策略信息进行依次匹配。进一步地,在本实施例中,当检测数据包与设备模型中包含的访问控制策略、网络地址转换策略和策略路由都匹配时,判断数据包被设备转发成功。
示例性地,图3示出了一种基本的网络拓扑模型,包括路由器(Router)、与路由器相连接的进接口和出接口网段信息。由图3可知,进接口网段信息为10.0.100.0/24,即起始地址是10.0.100.0,掩码是24。将起始地址和掩码分别进行二进制转换,并对二进制转换后的起始地址和掩码进行逻辑与运算,可以得到该进接口网段的起始地址和终止地址分别为10.0.100.0-10.0.100.255。同理,出接口网段信息为211.1.1.0/24,可以得到该出接口网段的起始地址和终止地址分别为211.1.1.0-211.1.1.255。因此,包含源地址为10.0.100.3、目的地址为211.1.1.3的数据包可以进入该路由器。若该路由器配置了访问控制策略、网络地址转换策略、策略路由以及路由器安全策略。那么,在数据包进入路由器后,与路由器的策略信息配置过程可以如图4所示,包括以下步骤:
步骤401,匹配绑定在进接口方向的访问控制策略。当与进接口访问控制策略匹配时,则进入步骤402;否则进入步骤408,丢弃该数据包。
步骤402,匹配网络地址转换策略,进行目的地址转换。若对于目的地址211.1.1.3没有配置目的转换(Destination Network Address Translation,DNAT),可以跳过。
步骤403,策略路由查询。当匹配到策略路由中的允许条目时,可以继续步骤404;否则在本实施例中,可以继续步骤4031,查询设备模型中是否包含路由表信息。若查询包含路由表信息,可以将数据包与路由表信息进行匹配。若数据包能够匹配到路由,可以继续步骤404;否则进入步骤408,丢弃该数据包。
步骤404,路由器安全策略匹配。可以自上往下匹配配置的路由器安全策略,若匹配到放行策略,可以继续步骤405;否则进入步骤408,丢弃该数据包。
步骤405,源地址转换(Source Network Address Translation,SNAT)。可以自上往下匹配配置的源地址转换。
步骤406,匹配绑定出接口方向的访问控制策略。当与出接口访问控制策略匹配时,则进入步骤407;否则进入步骤408,丢弃该数据包。
步骤407,发出数据包。
本实施例中,通过根据每个设备配置的设备信息自动的对数据包进行仿真匹配以及转发,分析出数据包在设备中的流向及处理方式,模拟数据包真实转发过程,可以辅助管理员了解设备的配置信息,便于对设备的真实处理过程进行预判。
在一个实施例中,设备模型的建立方式,包括:基于设备的厂商支持的设备信息采集方式,采集设备的设备信息;对设备信息进行解析,并使用解析后的设备信息建立设备模型。
具体地,对于不同的厂商及设备类型,采集设备信息的方式和流程可能有所不同。需要采集的设备信息可以但不限于包括:厂商及版本信息、接口信息、策略配置信息、路由信息等。设备信息采集以路由器为例,图5示出了对一种路由器进行设备信息采集的流程图。具体地,管理员通过输入用户名及密码、设备的管理地址、选择厂商以及设备类型等信息进行登录。采集的方式可以根据设备允许的远程登录来选择,可以包括Telnet方式(Telnet是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式)和SSH方式(Secure Shell,安全外壳协议,SSH为建立在应用层基础上的安全协议,专为远程登录会话和其他网络服务提供安全性的协议),并根据不同的方式执行相应的命令。登录到设备后,可以执行相关命令获取路由器的版本信息,抓取路由器的配置(配置中包括接口、策略、NAT等信息)。如果配置中存在router(路由器)开头的命令,那么还可以自动执行showip route采集路由表文件。最后,保存采集出来的设备配置文件和路由表文件,从而完成设备信息的采集。在设备信息采集完成后,服务器可以通过读取并解析所采集的设备配置文件及路由表文件,可以将采集到的设备信息解析为Json数据,并对设备建立模型。
在一个实施例中,当检测到任一个所述策略信息与所述数据包匹配失败时,判断所述数据包被所述设备转发失败,并输出所述数据包与所述不同的策略信息的匹配情况。
其中,不匹配可以是指当数据包匹配到设备配置的策略信息中的拒绝条目时,则认为数据包与策略信息不匹配。具体地,在对数据包进行策略匹配的过程中,当检测到数据包与任一项策略信息不匹配时,则丢弃该数据包,确认设备对该数据包转发失败。
在一个实施例中,当检测所有策略信息与所述数据包匹配成功时,判断所述数据包被所述设备转发成功,并输出所述数据包与所述不同的策略信息的匹配情况之后,还包括:获取信息查询指令,将所述数据包与所述不同的策略信息的匹配情况通过终端进行展示。
具体地,服务器可以将设备的策略信息与数据包的匹配情况进行保存。管理员可以通过网络拓扑模型点击某个设备,向终端触发信息查询指令。终端将获取的信息查询指令发送至服务器,使得服务器可以根据该信息查询指令,将该设备的策略信息与数据包的匹配情况通过终端展示出来。如图6所示,终端可以以列表的形式,显示设备的策略信息被匹配的情况。本实施例中,通过将策略信息与数据包的匹配情况进行可视化展示,使得管理人能够获取足够多的信息和数据,从而能够有效的支撑管理员对网络安全策略进行维护和配置。
在一个实施例中,如图7所示,通过一个具体的实施例对设备处理数据包的仿真方法进行说明,包括以下步骤:
步骤701,基于设备的厂商支持的设备信息采集方式,采集设备的设备信息。
步骤702,对设备信息进行解析,并使用解析后的设备信息建立设备模型。
步骤703,当接收到数据包时,调用预先建立的设备模型。
步骤704,获取设备的设备类型,根据不同的设备类型,确定对应的数据包处理方式。
步骤705,根据所确定的数据包处理方式,将数据包与设备模型中的访问控制策略、网络地址转换策略和策略路由中的至少一个进行匹配。
步骤706,当检测数据包与设备模型中包含的访问控制策略、网络地址转换策略和策略路由中的至少一个匹配时,判断数据包被设备转发成功。
步骤707,当检测到任一个策略信息与数据包匹配失败时,判断数据包被设备转发失败。
步骤708,输出数据包与不同的策略信息的匹配情况并通过终端进行展示。
应该理解的是,虽然图1-7的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1-7中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图8所示,提供了一种设备处理数据包的仿真装置800,包括:设备模型调用模块801、策略匹配模块802和结果生成模块803,其中:
设备模型调用模块801,用于当接收到数据包时,调用预先建立的设备模型;
策略匹配模块802,用于采用与设备类型对应的数据包处理方式,将数据包与设备模型中不同的策略信息进行匹配;
结果生成模块803,当所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,并输出数据包与不同的策略信息的匹配情况。
在一个实施例中,策略匹配模块802具体用于获取设备的设备类型,根据不同的设备类型,确定对应的数据包处理方式;根据所确定的数据包处理方式,将数据包与设备模型中的访问控制策略、网络地址转换策略和策略路由中的至少一个进行匹配。
在一个实施例中,结果生成模块803具体用于当检测数据包与设备模型中包含的访问控制策略、网络地址转换策略和策略路由中的至少一个匹配时,判断数据包被设备转发成功。
在一个实施例中,设备模型中包含策略路由;策略匹配模块802具体用于当判断数据包与策略路由匹配失败时,查询设备模型中是否包含路由表信息;若查询包含路由表信息,则将数据包与路由表信息进行匹配。
在一个实施例中,还包括设备模型建立模块,用于基于设备的厂商支持的设备信息采集方式,采集设备的设备信息;对设备信息进行解析,并使用解析后的设备信息建立设备模型。
在一个实施例中,结果生成模块803具体用于当检测到任一个策略信息与数据包匹配失败时,判断数据包被设备转发失败,并输出数据包与不同的策略信息的匹配情况。
在一个实施例中,还包括结果展示模块,用于获取信息查询指令,将数据包与不同的策略信息的匹配情况通过终端进行展示。
关于设备处理数据包的仿真装置的具体限定可以参见上文中对于设备处理数据包的仿真方法的限定,在此不再赘述。上述设备处理数据包的仿真装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储网络设备的设备信息等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种设备处理数据包的仿真方法。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
当接收到数据包时,调用预先建立的设备模型;采用与设备类型对应的数据包处理方式,将数据包与设备模型中不同的策略信息进行匹配;当所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,并输出数据包与不同的策略信息的匹配情况。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取设备的设备类型,根据不同的设备类型,确定对应的数据包处理方式;根据所确定的数据包处理方式,将数据包与设备模型中的访问控制策略、网络地址转换策略和策略路由中的至少一个进行匹配。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
当检测数据包与设备模型中包含的访问控制策略、网络地址转换策略和策略路由中的至少一个匹配时,判断数据包被设备转发成功。
在一个实施例中,设备模型中包含策略路由;处理器执行计算机程序时还实现以下步骤:
当判断数据包与策略路由匹配失败时,查询设备模型中是否包含路由表信息;若查询包含路由表信息,则将数据包与路由表信息进行匹配。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
基于设备的厂商支持的设备信息采集方式,采集设备的设备信息;对设备信息进行解析,并使用解析后的设备信息建立设备模型。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
当检测到任一个策略信息与数据包匹配失败时,判断数据包被设备转发失败,并输出数据包与不同的策略信息的匹配情况。
在一个实施例中,当检测所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,并输出数据包与不同的策略信息的匹配情况之后,处理器执行计算机程序时还实现以下步骤:
获取信息查询指令,将数据包与不同的策略信息的匹配情况通过终端进行展示。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
当接收到数据包时,调用预先建立的设备模型;采用与设备类型对应的数据包处理方式,将数据包与设备模型中不同的策略信息进行匹配;当所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,并输出数据包与不同的策略信息的匹配情况。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取设备的设备类型,根据不同的设备类型,确定对应的数据包处理方式;根据所确定的数据包处理方式,将数据包与设备模型中的访问控制策略、网络地址转换策略和策略路由中的至少一个进行匹配。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
当检测数据包与设备模型中包含的访问控制策略、网络地址转换策略和策略路由中的至少一个匹配时,判断数据包被设备转发成功。
在一个实施例中,设备模型中包含策略路由;计算机程序被处理器执行时还实现以下步骤:
当判断数据包与策略路由匹配失败时,查询设备模型中是否包含路由表信息;若查询包含路由表信息,则将数据包与路由表信息进行匹配。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
基于设备的厂商支持的设备信息采集方式,采集设备的设备信息;对设备信息进行解析,并使用解析后的设备信息建立设备模型。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
当检测到任一个策略信息与数据包匹配失败时,判断数据包被设备转发失败,并输出数据包与不同的策略信息的匹配情况。
在一个实施例中,当检测所有策略信息与数据包匹配成功时,判断数据包被设备转发成功,并输出数据包与不同的策略信息的匹配情况之后,计算机程序被处理器执行时还实现以下步骤:
获取信息查询指令,将数据包与不同的策略信息的匹配情况通过终端进行展示。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种设备处理数据包的仿真方法,其特征在于,所述方法包括:
当接收到数据包时,调用预先建立的设备模型;
获取所述设备的设备类型,根据不同的所述设备类型,确定对应的数据包处理方式;
采用与所述设备类型对应的数据包处理方式,将所述数据包与所述设备模型中不同的策略信息进行匹配,所述策略信息包括访问控制策略、网络地址转换策略和策略路由中的至少两个;
当所有策略信息与所述数据包匹配成功时,判断所述数据包被所述设备转发成功,并输出所述数据包与所述不同的策略信息的匹配情况。
2.根据权利要求1所述的方法,其特征在于,所述设备模型中包含策略路由;所述方法还包括:
当判断所述数据包与所述策略路由匹配失败时,查询所述设备模型中是否包含路由表信息;
若查询包含所述路由表信息,则将所述数据包与所述路由表信息进行匹配。
3.根据权利要求1所述的方法,其特征在于,所述设备模型的建立方式,包括:
基于所述设备的厂商支持的设备信息采集方式,采集所述设备的设备信息;
对所述设备信息进行解析,并使用解析后的所述设备信息建立所述设备模型。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当检测到任一个所述策略信息与所述数据包匹配失败时,判断所述数据包被所述设备转发失败,并输出所述数据包与所述不同的策略信息的匹配情况。
5.根据权利要求1所述的方法,其特征在于,所述当所有策略信息与所述数据包匹配成功时,判断所述数据包被所述设备转发成功,并输出所述数据包与所述不同的策略信息的匹配情况之后,还包括:
获取信息查询指令,将所述数据包与所述不同的策略信息的匹配情况通过终端进行展示。
6.一种设备处理数据包的仿真装置,其特征在于,所述装置包括:
设备模型调用模块,用于当接收到数据包时,调用预先建立的设备模型;
策略匹配模块,用于获取所述设备的设备类型,根据不同的所述设备类型,确定对应的数据包处理方式,采用与所述设备类型对应的数据包处理方式,将所述数据包与所述设备模型中不同的策略信息进行匹配,所述策略信息包括访问控制策略、网络地址转换策略和策略路由中的至少两个;
结果生成模块,当所有策略信息与所述数据包匹配成功时,判断所述数据包被所述设备转发成功,并输出所述数据包与所述不同的策略信息的匹配情况。
7.根据权利要求6所述的装置,其特征在于,所述设备模型中包含策略路由;
所述策略匹配模块,用于当判断所述数据包与所述策略路由匹配失败时,查询所述设备模型中是否包含路由表信息,若查询包含所述路由表信息,则将所述数据包与所述路由表信息进行匹配。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括:
设备模型建立模块,用于基于所述设备的厂商支持的设备信息采集方式,采集所述设备的设备信息,对所述设备信息进行解析,并使用解析后的所述设备信息建立所述设备模型。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911134713.6A CN112910666B (zh) | 2019-11-19 | 2019-11-19 | 设备处理数据包的仿真方法、装置和计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911134713.6A CN112910666B (zh) | 2019-11-19 | 2019-11-19 | 设备处理数据包的仿真方法、装置和计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112910666A CN112910666A (zh) | 2021-06-04 |
| CN112910666B true CN112910666B (zh) | 2023-04-07 |
Family
ID=76104212
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911134713.6A Active CN112910666B (zh) | 2019-11-19 | 2019-11-19 | 设备处理数据包的仿真方法、装置和计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112910666B (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567818B (zh) * | 2008-12-25 | 2011-04-20 | 中国人民解放军总参谋部第五十四研究所 | 基于硬件的大规模网络路由仿真方法 |
| CN103023707B (zh) * | 2012-12-28 | 2016-03-09 | 华为技术有限公司 | 一种策略配置的方法、管理服务器以及网络系统 |
| CN108667776B (zh) * | 2017-03-31 | 2022-02-22 | 中兴通讯股份有限公司 | 一种网络业务诊断方法 |
| CN108880840A (zh) * | 2017-05-10 | 2018-11-23 | 中兴通讯股份有限公司 | 获取访问路径的方法和装置 |
| CN110430130B (zh) * | 2019-07-18 | 2021-04-30 | 中盈优创资讯科技有限公司 | 确定策略路径的方法及装置 |
-
2019
- 2019-11-19 CN CN201911134713.6A patent/CN112910666B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112910666A (zh) | 2021-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10686568B2 (en) | Active flow diagnostics for cloud-hosted networks | |
| US11330016B2 (en) | Generating collection rules based on security rules | |
| US9100363B2 (en) | Automatically recommending firewall rules during enterprise information technology transformation | |
| CN113169928B (zh) | 包括分解式网络元件的逻辑路由器 | |
| EP3541014A1 (en) | Method, device and system for detecting fault in nfv system | |
| CN111131037B (zh) | 基于虚拟网关的数据传输方法、装置、介质与电子设备 | |
| US20150278517A1 (en) | Method and system for comparing different versions of a cloud based application in a production environment using segregated backend systems | |
| US20160087871A1 (en) | Application topology based on network traffic | |
| US20150278523A1 (en) | Method and system for testing cloud based applications and services in a production environment using segregated backend systems | |
| CN112910824A (zh) | 网络安全策略配置方法、装置、计算机设备和存储介质 | |
| CN112910721A (zh) | 访问路径查询方法、装置、计算机设备和存储介质 | |
| JP6962374B2 (ja) | ログ分析装置、ログ分析方法及びプログラム | |
| Li et al. | MSAID: Automated detection of interference in multiple SDN applications | |
| CN106656615A (zh) | 一种基于tracert命令的报文处理方法及装置 | |
| US11750490B2 (en) | Communication coupling verification method, storage medium, and network verification apparatus | |
| CN112910666B (zh) | 设备处理数据包的仿真方法、装置和计算机设备 | |
| CN110569987A (zh) | 自动化运维方法、运维设备、存储介质及装置 | |
| JP5235588B2 (ja) | 通信異常発生装置 | |
| CN114172815B (zh) | 行为流量传输方法、装置、计算机设备和计算机可读存储介质 | |
| CN112910667B (zh) | 网络拓扑模型的生成方法、装置、计算机设备和存储介质 | |
| Gallenstein | Integration of the network and application layers of automatically-configured programmable logic controller honeypots | |
| US20230051229A1 (en) | Transmission device for transmitting data | |
| CN114221808B (zh) | 安全策略部署方法、装置、计算机设备及可读存储介质 | |
| Birkholz et al. | Enhancing security testing via automated replication of IT-asset topologies | |
| CN113452725B (zh) | 报文过滤信息生成方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |