CN112910667B - 网络拓扑模型的生成方法、装置、计算机设备和存储介质 - Google Patents
网络拓扑模型的生成方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN112910667B CN112910667B CN201911134729.7A CN201911134729A CN112910667B CN 112910667 B CN112910667 B CN 112910667B CN 201911134729 A CN201911134729 A CN 201911134729A CN 112910667 B CN112910667 B CN 112910667B
- Authority
- CN
- China
- Prior art keywords
- virtual
- model
- equipment
- operator
- network segment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
Abstract
本申请涉及一种网络拓扑模型的生成方法、装置、计算机设备和存储介质。所述方法包括:从预先采集的原始设备配置中,获取运营商边界设备的路由目标;根据路由目标的值,创建对应的虚拟网段,虚拟网段用于将包含相同路由目标的值的运营商边界设备进行连接;在根据原始设配配置建立的原始设备模型中设置与虚拟网段相连接的虚拟接口,并在虚拟接口上生成与路由目标一致的放通的虚拟访问控制列表;根据虚拟网段和运营商边界设备的新的设备模型,生成网络拓扑模型。采用本方法能够实现对实际的运营商MPLS‑VPN环境进行模拟。进一步使用该网络拓扑模型对数据包进行路径查询并对查询结果进行可视化展示,使用户能够获取数据包在运营商MPLS‑VPN环境下的访问情况。
Description
技术领域
本申请涉及网络技术领域,特别是涉及一种网络拓扑模型的生成及访问路径查询方法、装置、计算机设备和存储介质。
背景技术
随着计算机网络的不断发展,如何保证网络运行秩序,已经成为人们日常生活中急需解决的问题。目前,网络安全可视化技术可以辅助人们维护网络运行秩序。
网络安全可视化是数据可视化研究中较为广泛的一个方向,它利用人类视觉对模型和结构的获取能力,将抽象的网络和系统数据以图形图像的方式展现出来,协助分析网络状况,识别网络异常或入侵行为,预测网络安全事件的发展趋势。然而,在传统技术中,当网络安全策略可视化系统应用在MPLS-VPN(Multi-Protocol Label Switching-VirtualPrivate Network,多协议标签转换-虚拟专用网络)网络时,若数据包经过跨运营商区域网络,用户无法对数据包经过跨运营商网络进行数据查询。
发明内容
基于此,有必要针对上述技术问题,提供一种能够使用户查询数据包在MPLS-VPN环境下的访问路径的网络拓扑模型的生成及访问路径查询方法、装置、计算机设备和存储介质。
为了实现上述目的,一方面,本申请实施例提供了一种网络拓扑模型的生成方法,应用于多协议标签转换虚拟专用网络MPLS-VPN,所述方法包括:
从预先采集的原始设备配置中,获取运营商边界设备的路由目标;
根据路由目标的值,创建对应的虚拟网段,虚拟网段用于将包含相同路由目标的值的运营商边界设备进行连接;
在根据原始设备配置建立的原始设备模型中添加与虚拟网段相连接的虚拟接口,并在虚拟接口上生成与路由目标一致的放通的虚拟访问控制列表,形成运营商边界设备的新的设备模型;
根据虚拟网段和运营商边界设备的新的设备模型,生成网络拓扑模型。
在其中一个实施例中,在虚拟接口上生成与路由目标一致的放通的虚拟访问控制列表,包括:
若路由目标为接收路由,则在虚拟接口上生成放通出口方向的虚拟访问控制列表;
若路由目标为发出路由,则在虚拟接口上生成放通进口方向的虚拟访问控制列表。
在其中一个实施例中,原始设备配置中包括多个VPN实例;根据路由目标的值,创建对应的虚拟网段,包括:
根据从每个VPN实例中获取的路由目标的值,分别创建与每个路由目标的值对应的虚拟网段。
在其中一个实施例中,根据原始设备配置建立的原始设备模型中包括多个根据VPN实例建立的VPN实例模型;在原始设备模型中设置与虚拟网段相连接的虚拟接口,包括:
根据每个VPN实例中所包含的路由目标,分别在原始设备模型中的每个VPN实例模型中创建与虚拟网段相连接的虚拟接口。
另一方面,本申请实施例还提供了一种访问路径查询方法,包括以下步骤:
获取访问路径查询的数据包和网络拓扑模型,网络拓扑模型包括运营商边界设备,其中,配置有相同路由目标的值的运营商边界设备通过同一虚拟网段进行连接;
当数据包经过运营商边界设备时,则根据运营商边界设备的设备模型,将数据包转发至与运营商边界设备连接至同一虚拟网段的其他运营商边界设备;
获取数据包进行访问路径查询的查询结果,将查询结果进行可视化展示。
在其中一个实施例中,设备模型中包括多个VPN实例模型;根据运营商边界设备的设备模型,将数据包转发至与运营商边界设备连接至同一虚拟网段的其他运营商边界设备,包括:
根据数据包经过运营商边界设备的进接口,确定与进接口属于同一VPN实例模型的虚拟接口;
根据虚拟接口上配置的虚拟访问控制列表对数据包进行放通,将数据包转发至与虚拟接口连接至同一虚拟网段的其他运营商边界设备。
在其中一个实施例中,所述方法还包括:
若虚拟接口上未配置有放通数据包的虚拟访问列表,则判断数据包转发失败,返回查询无通路的结果至终端进行展示。
一种网络拓扑模型的生成装置,所述装置包括:
获取模块,用于从预先采集的原始设备配置中,获取设备的路由目标;
虚拟网段创建模块,用于根据路由目标的值,创建对应的虚拟网段,虚拟网段用于将包含相同路由目标的值的运营商边界设备进行连接;
设备模型更新模块,用于在根据原始设备配置建立的原始设备模型中设置与虚拟网段相连接的虚拟接口,并在虚拟接口上生成与路由目标一致的放通的虚拟访问控制列表,形成运营商边界设备的新的设备模型;
网络拓扑模型生成模块,用于根据虚拟网段和运营商边界设备的新的设备模型,生成网络拓扑模型。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
上述网络拓扑模型的生成及访问路径查询方法、装置、计算机设备和存储介质,通过根据原始设备配置创建虚拟网段和虚拟接口,并在虚拟接口上生成与路由目标一致的放通的虚拟访问控制列表;进而根据虚拟网段和运营商边界设备的新的设备模型,生成虚拟的网络拓扑模型,从而实现对实际的运营商MPLS-VPN环境进行模拟。进一步使用该网络拓扑模型对数据包进行路径查询并对查询结果进行可视化展示,可以使用户获取数据包在运营商MPLS-VPN环境下的访问情况,从而实现MPLS-VPN环境下路径查询的可通性。
附图说明
图1为一个实施例中网络拓扑模型的生成方法的应用环境图;
图2为一个实施例中运营商网络的网络拓扑模型的示意图;
图3为一个实施例中虚拟的网络拓扑模型的生成方法的流程示意图;
图4为一个实施例中生成的虚拟的网络拓扑模型的示意图;
图5为一个实施例中访问路径查询方法的流程示意图;
图6为一个实施例中对查询结果进行可视化展示的示意图;
图7为一个实施例中网络拓扑模型的生成及访问路径查询方法的流程示意图;
图8为一个实施例中网络拓扑模型的生成装置的结构框图;
图9为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请提供的网络拓扑模型的生成方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。服务器104中可以预先存储有运营商网络中各运营商边界设备的设备模型。如图2所示,示出了一种基础的运营商网络的网络拓扑模型。该运营商网络由PE1(Provider Edge,运营商边界设备)、PE2、P1(Provider,运营商设备)组成,CE1(Customer Edge,客户边界设备)、CE2分别是位于两地的分支机构,需要通过运营网络的MPLS骨干网(参照图2中的区域201)实现VPN连接,CE3、CE4为位于两地的另一客户网络。具体地,服务器104从预先采集的原始设备配置中,获取运营商边界设备的路由目标;根据路由目标的值,创建对应的虚拟网段,虚拟网段用于将包含相同路由目标的值的运营商边界设备进行连接。在根据原始设备配置建立的原始设备模型中添加与虚拟网段相连接的虚拟接口,并在虚拟接口上生成与路由目标一致的放通的虚拟访问控制列表,形成运营商边界设备的新的设备模型;根据虚拟网段和运营商边界设备的新的设备模型,生成网络拓扑模型,并将该网络拓扑模型以及运营商边界设备的新的设备模型保存进服务器104中。其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备,服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图3所示,提供了一种网络拓扑模型的生成方法,应用于运营商MPLS-VPN网络,以该方法应用于图1中的服务器104为例进行说明,包括以下步骤:
步骤302,从预先采集的原始设备配置中,获取运营商边界设备的路由目标。
具体地,在建立网络拓扑模型前,需要对网络拓扑模型中包含的每个运营商边界设备分别进行设备信息采集。另外,运营商网络中的运营商边界设备连接VPN用户时,需要为运营商边界设备配置VPN实例,所配置的VPN实例中包括RD(Route-Distinguisher,路由区分符),和RT(Route-Target,路由目标)。使用采集的设备信息和VPN实例构成运营商边界设备的原始设备配置。当用户需要对运营商网络的实际环境进行模拟生成相应的虚拟网络拓扑模型时,可以从原始设备配置中解析出运营商边界设备的路由目标。
步骤304,根据路由目标的值,创建对应的虚拟网段,虚拟网段用于将包含相同路由目标的值的运营商边界设备进行连接。
具体地,在得到路由目标后,可以根据路由目标的值创建对应的虚拟网段,该虚拟网段可以将所有相同路由目标的值的运营商边界设备进行连接。例如,从第一运营商边界设备和第二运营商边界设备的原始设备配置中解析出路由目标的值都包括100:100,那么可以创建与路由目标100:100对应的虚拟网段。第一运营商边界设备和第二运营商边界设备可以通过该虚拟网段进行连接。
步骤306,在根据原始设备配置建立的原始设备模型中添加与虚拟网段相连接的虚拟接口,并在虚拟接口上生成与路由目标一致的放通的虚拟访问控制列表,形成运营商边界设备的新的设备模型。
步骤308,根据虚拟网段和运营商边界设备的新的设备模型,生成网络拓扑模型。
具体地,服务器可以通过读取并解析所采集的设备信息和配置的VPN实例,对采集到的设备信息和配置的VPN实例进行解析,建立运营商边界设备的原始设备模型。进一步地,还可以对运营商边界设备所配置的VPN实例进行解析,创建VPN实例模型。当用户需要对运营商网络的实际环境进行模拟生成相应的虚拟网络拓扑模型时,可以使用这个包含VPN实例模型的原始设备模型。对于得到路由目标的运营商边界设备,可以在运营商边界设备的VPN实例模型中上添加虚拟接口,通过虚拟接口将运营商边界设备连接至与虚拟网段上。进一步地,还可以根据原始设备配置的VPN实例中的路由目标,在虚拟接口上创建对应的虚拟ACL(Access Control Lists,访问控制列表),从而实现对实际运营商网络环境的模拟。示例性地,若运营商边界设备的原始设备配置中RT为import100:100,即路由导入,说明本地可以访问所有RT export 100:100的区域。那么可以在该运营商边界设备连接虚拟网段RT-100:100的虚拟接口上添加虚拟ACL,对于虚拟接口出口方向的数据包给予放通。在为每个网络中的每个运营商边界设备设置好虚拟接口,以及在虚拟接口上生成相应的虚拟ACL后,可以根据虚拟网段和运营商边界设备的新的设备模型生成相应的虚拟的网络拓扑模型。如图4所示,示出了根据图2中的运营商网络生成的虚拟的网络拓扑模型。
上述网络拓扑模型的生成方法,通过根据原始设备配置对原始设备模型添加虚拟网段和虚拟接口,并在虚拟接口上生成与路由目标一致的放通的虚拟访问控制列表。然后根据虚拟网段和运营商边界设备的新的设备模型生成虚拟的网络拓扑模型,可以实现对实际的运营商MPLS-VPN环境进行模拟。进一步使用该网络拓扑模型对数据包进行路径查询并对查询结果进行可视化展示,可以使用户获取数据包在运营商MPLS-VPN环境下的访问情况,从而实现MPLS-VPN环境下路径查询的可通性。
在一个实施例中,在虚拟接口上生成与路由目标一致的放通的虚拟访问控制列表,包括:若路由目标为接收路由,则在虚拟接口上生成放通出口方向的虚拟访问控制列表;若路由目标为发出路由,则在虚拟接口上生成放通进口方向的虚拟访问控制列表。
具体地,可以根据运营商边界设备所配置的VPN实例引用RT的export/import(导入/导出)关系,在原始设备模型上添加相应的虚拟ACL(访问控制列表)。示例性地,继续如图4所示,假设PE1上配置了VPN实例client-a和client-b,CE1与client-a绑定,CE3与client-b绑定。PE2上配置了VPN实例client-a和client-b,CE2与client-a绑定,CE4与client-b绑定。其中,PE1的VPN实例client-a配置了RT 100:100包括import/export:
vpn-target 100:100export-extcommunity
vpn-target 100:100import-extcommunity
那么可以在client-a VPN实例模型中连接虚拟网段RT-100:100的虚拟接口上添加相应的虚拟ACL。具体地,对于RT 100:100export,也就是VPN实例client-a中的路由会导出到所有连到RT 100:100的运营商边界设备上,这些运营商边界设备存在路由访问VPN实例client-a所对应的区域,于是可以生成对应的可以放通进口方向的数据包的虚拟ACL,从而模拟出RT export情形下的访问关系。而对于RT 100:100import,也就是VPN实例client-a会导入所有连到RT 100:100的运营商边界设备并且export RT 100:100的路由,这样运营商边界client-a就有路由访问所有export RT 100:100的设备,于是可以生成对应的可以放通出口方向的数据包的虚拟ACL,从而模拟出RT import情形下的访问关系。同理,对于PE2,也可以根据PC2的VPN实例中所配置的RT生成相应的虚拟ACL。
在一个实施例中,原始设备配置中包括多个VPN实例;根据路由目标的值,在网络拓扑模型上创建对应的虚拟网段,包括:根据从每个VPN实例中获取的路由目标的值,分别创建与每个路由目标的值对应的虚拟网段。
具体地,对于运营商网络中的一台运营商边界设备,由于可能同时连接了多个VPN用户,那么需要对每个VPN用户创建VPN实例,从而将这些用户相互隔离。创建的每个VPN实例中包括为该实例配置的RT,对于不同的RT值,都可以创建与之对应的虚拟网段。继续以图4所示的运营商网络为例,PE1和PE2分别配置了两个VPN实例client-a和client-b,client-a中配置的RT值为100:100,client-b中配置的RT值为100:200。那么可以创建与路由目标值100:100对应的虚拟网段(假设为RT-100:100),以及与路由目标值100:200对应的虚拟网段(假设为RT-100:200)。PE1和PE2可以通过RT-100:100或者RT-100:200虚拟网段进行连接。
在本实施例中,可以根据每个VPN实例中所包含的路由目标,分别在每个VPN实例模型中创建与虚拟网段相连接的虚拟接口。继续参考图4,PE1的VPN实例client-a引用了RT100:100,那么可以在client-a VPN实例模型中添加一个虚拟接口client-a-100:100连接至虚拟网段RT-100:100。PE1的VPN实例client-b引用了RT 100:200,那么可以在client-bVPN实例模型中添加一个虚拟接口client-a-100:100连接至虚拟网段RT-100:200。同理,对于PE2,也可以在其创建的VPN实例模型中创建虚拟接口连接到相应的虚拟网段。
在一个实施例中,如图5所示,提供了一种访问路径查询方法,应用于上述已生成的虚拟的网络拓扑模型,包括以下步骤:
步骤502,获取访问路径查询的数据包和网络拓扑模型,网络拓扑模型包括运营商边界设备,其中,配置有相同路由目标的值的运营商边界设备通过同一虚拟网段进行连接。
具体地,在生成虚拟的网络拓扑模型后,可以将该网络拓扑模型保存到服务器中。当用户需要获取数据包在实际运营商网络环境下,从客户边界设备到达与之对应的另一个客户边界设备的访问路径的相关数据时,可以将数据包输入至该虚拟的网络拓扑模型进行访问路径查询。
步骤504,当数据包经过运营商边界设备时,则根据运营商边界设备的设备模型,将数据包转发至与运营商边界设备连接至同一虚拟网段的其他运营商边界设备。
具体地,当数据包第一次到达运营商边界设备时,可以根据数据包进入该运营商边界设备的进接口所属的VPN实例模型,将数据包从该VPN实例模型的虚拟接口转发至与该虚拟接口相连接的虚拟网段。再通过虚拟网段将数据包转发至与其相连接的其他运营商设备的虚拟接口。
步骤506,获取数据包进行访问路径查询的查询结果,将查询结果进行可视化展示。
具体地,当数据包到达另一客户边界设备时可以判断数据包查询存在通路,可以将数据包所经过的运营商边界设备、接口以及虚拟网段等信息保存至服务器中。服务器还可以将数据包的访问路径在虚拟的网络拓扑模型上进行展示,使用户能够直观的获取数据包的访问路径。
如图6所示,示出了一个实施例中数据包的访问路径。当数据包从源192.168.30.0/24查询到目的192.168.40.0/24的时候,数据包依次经过CE3-PE1-虚拟网段(RT-100:200)-PE2–CE4。具体地,数据包从接口G1/0/2进入PE1设备,若G1/0/2和虚拟接口client-b-100:200同属于client-b VPN实例模型,那么这两个接口可以互通。于是,数据包可以从虚拟接口client-b-100:200发出,经过虚拟网段RT-100:200,从设备PE2的虚拟接口client-b-100:200进入设备PE2。若在PE2中接口G1/0/2与虚拟接口client-b-100:200同属于client-b VPN实例模型,那么这两个接口可以互通。于是,数据包可以从PE2的G1/0/2接口发出,最终经过CE4,抵达网段192.168.40.0/24。
本实施例中,通过使用根据实际运营商网络模拟出的虚拟的网络拓扑模型,查询数据包从位于两地的一个客户边界设备到达另一客户边界设备的路径情况,实现跨运营商区域的网络能够互访,从而实现MPLS VPN环境下路径查询的可通性。
在一个实施例中,设备模型中包括多个VPN实例模型;根据运营商边界设备的设备模型,将数据包转发至与运营商边界设备连接至同一虚拟网段的其他运营商边界设备,包括:根据数据包经过运营商边界设备的进接口,确定与进接口属于同一VPN实例的虚拟接口。根据虚拟接口上配置的虚拟访问控制列表对数据包进行放通,将数据包转发至与虚拟接口连接至同一虚拟网段的其他运营商边界设备。
具体地,在建立虚拟的网络拓扑模型时,可以根据每个VPN实例中引用RT的export/import的关系,在VPN实例模型的虚拟接口上创建相应的虚拟ACL用于模拟真实的运营商网络环境下的数据包放通情况。因此,当数据包到达运营商边界设备,并确定运营商边界设备的VPN实例模型中转发该数据包的虚拟接口后,可以使用该虚拟接口上配置的虚拟ACL对数据包进行过滤,从而完成对数据包的转发。在本实施例中,若虚拟接口上未配置有放通数据包的虚拟访问列表,那么可以判断数据包转发失败,可以返回查询无通路的结果至终端进行展示。
示例性地,继续参考图2,若PE1上配置的VPN实例client-b的RT 100:200包括import:vpn-target 100:200import-extcommunity,即对于client-b实例只配置了接收属性。而PE2上配置的VPN实例client-b的RT 100:200包括import/export:vpn-target 100:200export-extcommunity和vpn-target100:200import-extcommunity,即对于client-b配置了接收和发送实例。
在实际的运营商环境中,由于PE1设备上client-b中只配置了vpn-target100:200import,可以接收100:200标签的路由信息,而PE2设备上配置了vpn-target 100:200import和vpn-target 100:200export,可以引入100:200标签的路由信息,发送出去的路由信息将携带100:200的值,PE2与CE4连接的接口G1/0/2上绑定了实例client-b。因此PE1可以根据标签学习到PE2实例client-b的路由,PE2不能学习到PE1实例client-b的路由。即,与之相连的CE3可以访问CE4,但是CE4不能访问CE3。
在创建虚拟的网络拓扑模型时,由于虚拟ACL是根据RT创建的,因此可以在PE1的client-b VPN实例模型中创建可以放通出口方向的数据包的虚拟ACL,在PE2的client-bVPN实例模型中创建可以放通出口和进口方向的数据包的虚拟ACL。当数据包从CE3发送至CE4时,由于PE1的虚拟接口上只配置了放通出口方向的数据包的虚拟ACL,因此,数据包可以被PE1转发至虚拟网段RT-100:200,进而到达CE4。服务器可以生成查询有通路的结果,并将数据包经过的路径在虚拟的网络拓扑模型上进行展示。但是当数据包从CE4发送至CE3时,由于PE1的虚拟接口上只配置了放通出口方向的数据包的虚拟ACL,因此,数据包不能被PE1接收,数据包不能到达CE4。服务器可以生成查询无通路的结果进行展示。
在一个实施例中,如图7所示,通过一个具体的实施例对网络拓扑模型的生成及访问路径查询方法进行说明,包括以下步骤:
步骤701,从预先采集的原始设备配置中,获取运营商边界设备的路由目标。
步骤702,根据路由目标的值,创建对应的虚拟网段,从而将包含相同路由目标的值的运营商边界设备进行连接。
步骤703,在原始设备模型中添加与虚拟网段相连接的虚拟接口。
步骤704,在虚拟接口上生成与路由目标一致的放通的虚拟访问控制列表,形成运营商边界设备的新的设备模型。
步骤705,根据虚拟网段和运营商边界设备的新的设备模型,生成虚拟的网络拓扑模型,并将该虚拟的网络拓扑模型保存至服务器中。
步骤706,获取访问路径查询的数据包,并从服务器中调取虚拟的网络拓扑模型。
步骤707,当数据包经过运营商边界设备时,则根据数据包进入运营商边界设备的进接口,确定与进接口属于同一VPN实例模型的虚拟接口。
步骤708,使用虚拟接口上配置的虚拟ACL对数据包进行过滤。
步骤709,当确定放通数据包时,通过与虚拟接口连接的虚拟网段,将数据包转发至与该虚拟网段相连接的另一运营商边界设备的虚拟接口上。
步骤710,当数据包达到目的时,根据数据包所经过的设备、接口、网段等信息生成查询路径结果,并将查询结果进行可视化展示。
应该理解的是,虽然图1-7的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,图1-7中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
在一个实施例中,如图8所示,提供了一种网络拓扑模型的生成装置800,包括:获取模块801、虚拟网段创建模块802、设备模型更新模块803和网络拓扑模型生成模块804,其中:
获取模块801,用于从预先采集的原始设备配置中,获取设备的路由目标;
虚拟网段创建模块802,用于根据路由目标的值,创建对应的虚拟网段,虚拟网段用于将包含相同路由目标的值的运营商边界设备进行连接;
设备模型更新模块803,用于在根据原始设备配置建立的原始设备模型中添加与虚拟网段相连接的虚拟接口,并在虚拟接口上生成与路由目标一致的放通的虚拟访问控制列表,形成运营商边界设备的新的设备模型;
网络拓扑模型生成模块804,用于根据虚拟网段和运营商边界设备的新的设备模型,生成网络拓扑模型。
在一个实施例中,设备模型更新模块803具体用于在路由目标为接收路由时,则在虚拟接口上生成放通出口方向的虚拟访问控制列表;在路由目标为发出路由时,则在虚拟接口上生成放通进口方向的虚拟访问控制列表。
在一个实施例中,原始设备配置中包括多个VPN实例;虚拟网段创建模块802具体用于根据从每个VPN实例中获取的路由目标的值,分别创建与每个路由目标的值对应的虚拟网段。
在一个实施例中,根据原始设备配置建立的原始设备模型中包括多个根据VPN实例建立的VPN实例模型;设备模型更新模块803具体用于根据每个VPN实例中所包含的路由目标,分别在每个VPN实例中创建与虚拟网段相连接的虚拟接口。
在一个实施例中,提供了一种访问路径查询装置(附图未示出),包括:第一获取模块、数据包转发模块和查询结果生成模块,其中:
第一获取模块,用于获取访问路径查询的数据包和网络拓扑模型,网络拓扑模型包括运营商边界设备,其中,配置有相同路由目标的值的运营商边界设备通过同一虚拟网段进行连接;
数据包转发模块,用于当数据包经过运营商边界设备时,则根据运营商边界设备的设备模型,将数据包转发至与运营商边界设备连接至同一虚拟网段的其他运营商边界设备;
查询结果生成模块,用于获取数据包进行访问路径查询的查询结果,将查询结果进行可视化展示。
在一个实施例中,设备模型中包括多个VPN实例模型;数据包转发模块具体用于根据数据包经过运营商边界设备的进接口,确定与进接口属于同一VPN实例模型的虚拟接口;根据虚拟接口上配置的虚拟访问控制列表对数据包进行放通,将数据包转发至与虚拟接口连接至同一虚拟网段的其他运营商边界设备。
在一个实施例中,查询结果生成模块具体用于当虚拟接口上未配置有放通数据包的虚拟访问列表时,则判断数据包转发失败,返回查询无通路的结果至终端进行展示。
关于网络拓扑模型的生成及访问路径查询装置的具体限定可以参见上文中对于网络拓扑模型的生成及访问路径查询方法的限定,在此不再赘述。上述网络拓扑模型的生成及访问路径查询装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储运营商边界设备的设备模型等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络拓扑模型的生成及访问路径查询方法。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:
从预先采集的原始设备配置中,获取运营商边界设备的路由目标;根据路由目标的值,创建对应的虚拟网段,虚拟网段用于将包含相同路由目标的值的运营商边界设备进行连接;在根据原始设备配置建立的原始设备模型中设置与虚拟网段相连接的虚拟接口,并在虚拟接口上生成与路由目标一致的放通的虚拟访问控制列表,形成运营商边界设备的新的设备模型;根据虚拟网段和运营商边界设备的新的设备模型,生成网络拓扑模型。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
若路由目标为接收路由,则在虚拟接口上生成放通出口方向的虚拟访问控制列表;若路由目标为发出路由,则在虚拟接口上生成放通进口方向的虚拟访问控制列表。
在一个实施例中,原始设备配置中包括多个VPN实例;处理器执行计算机程序时还实现以下步骤:
根据从每个VPN实例中获取的路由目标的值,分别创建与每个路由目标的值对应的虚拟网段。
在一个实施例中,根据原始设备配置建立的原始设备模型中包括多个根据VPN实例建立的VPN实例模型;处理器执行计算机程序时还实现以下步骤:
根据每个VPN实例中所包含的路由目标,分别在每个VPN实例中创建与虚拟网段相连接的虚拟接口。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
获取访问路径查询的数据包和网络拓扑模型,网络拓扑模型包括运营商边界设备,其中,配置有相同路由目标的值的运营商边界设备通过同一虚拟网段进行连接;当数据包经过运营商边界设备时,则根据运营商边界设备的设备模型,将数据包转发至与运营商边界设备连接至同一虚拟网段的其他运营商边界设备;获取数据包进行访问路径查询的查询结果,将查询结果进行可视化展示。
在一个实施例中,设备模型中包括多个VPN实例模型;处理器执行计算机程序时还实现以下步骤:
根据数据包经过运营商边界设备的进接口,确定与进接口属于同一VPN模型实例的虚拟接口;根据虚拟接口上配置的虚拟访问控制列表对数据包进行放通,将数据包转发至与虚拟接口连接至同一虚拟网段的其他运营商边界设备。
在一个实施例中,处理器执行计算机程序时还实现以下步骤:
若虚拟接口上未配置有放通数据包的虚拟访问列表,则判断数据包转发失败,返回查询无通路的结果至终端进行展示。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
从预先采集的原始设备配置中,获取运营商边界设备的路由目标;根据路由目标的值,创建对应的虚拟网段,虚拟网段用于将包含相同路由目标的值的运营商边界设备进行连接;在根据原始设备配置建立的原始设备模型中设置与虚拟网段相连接的虚拟接口,并在虚拟接口上生成与路由目标一致的放通的虚拟访问控制列表,形成运营商边界设备的新的设备模型;根据虚拟网段和运营商边界设备的新的设备模型,生成网络拓扑模型。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
若路由目标为接收路由,则在虚拟接口上生成放通出口方向的虚拟访问控制列表;若路由目标为发出路由,则在虚拟接口上生成放通进口方向的虚拟访问控制列表。
在一个实施例中,原始设备配置中包括多个VPN实例;计算机程序被处理器执行时还实现以下步骤:
根据从每个VPN实例中获取的路由目标的值,分别创建与每个路由目标的值对应的虚拟网段。
在一个实施例中,根据原始设备配置建立的原始设备模型中包括多个根据VPN实例建立的VPN实例模型;计算机程序被处理器执行时还实现以下步骤:
根据每个VPN实例中所包含的路由目标,分别在每个VPN实例模型中创建与虚拟网段相连接的虚拟接口。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
获取访问路径查询的数据包和网络拓扑模型,网络拓扑模型包括运营商边界设备,其中,配置有相同路由目标的值的运营商边界设备通过同一虚拟网段进行连接;当数据包经过运营商边界设备时,则根据运营商边界设备的设备模型,将数据包转发至与运营商边界设备连接至同一虚拟网段的其他运营商边界设备;获取数据包进行访问路径查询的查询结果,将查询结果进行可视化展示。
在一个实施例中,设备模型中包括多个VPN实例模型;计算机程序被处理器执行时还实现以下步骤:
根据数据包经过运营商边界设备的进接口,确定与进接口属于同一VPN模型实例的虚拟接口;根据虚拟接口上配置的虚拟访问控制列表对数据包进行放通,将数据包转发至与虚拟接口连接至同一虚拟网段的其他运营商边界设备。
在一个实施例中,计算机程序被处理器执行时还实现以下步骤:
若虚拟接口上未配置有放通数据包的虚拟访问列表,则判断数据包转发失败,返回查询无通路的结果至终端进行展示。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种网络拓扑模型的生成方法,其特征在于,应用于多协议标签转换虚拟专用网络MPLS-VPN,所述方法包括:
从预先采集的原始设备配置中,获取运营商边界设备的路由目标;
根据所述路由目标的值,创建对应的虚拟网段,所述虚拟网段用于将包含相同路由目标的值的运营商边界设备进行连接;
在根据所述原始设备配置建立的原始设备模型中添加与所述虚拟网段相连接的虚拟接口,并在所述虚拟接口上生成与所述路由目标一致的放通的虚拟访问控制列表,形成所述运营商边界设备的新的设备模型;
根据所述虚拟网段和所述运营商边界设备的新的设备模型,生成网络拓扑模型,所述网络拓扑模型用于对数据包进行路径查询并对查询结果进行可视化展示。
2.根据权利要求1所述的方法,其特征在于,所述在所述虚拟接口上生成与所述路由目标一致的放通的虚拟访问控制列表,包括:
若所述路由目标为接收路由,则在所述虚拟接口上生成放通出口方向的所述虚拟访问控制列表;
若所述路由目标为发出路由,则在所述虚拟接口上生成放通进口方向的所述虚拟访问控制列表。
3.根据权利要求1所述的方法,其特征在于,所述原始设备配置中包括多个VPN实例;所述根据所述路由目标的值,创建对应的虚拟网段,包括:
根据从每个VPN实例中获取的所述路由目标的值,分别创建与每个路由目标的值对应的虚拟网段。
4.根据权利要求3所述的方法,其特征在于,根据所述原始设备配置建立的原始设备模型中包括多个根据所述VPN实例建立的VPN实例模型;所述在根据所述原始设备配置建立的原始设备模型中设置与所述虚拟网段相连接的虚拟接口,包括:
根据每个VPN实例中所包含的路由目标,分别在所述原始设备模型中的每个VPN实例模型中创建与所述虚拟网段相连接的虚拟接口。
5.一种访问路径查询方法,其特征在于,所述方法包括:
获取访问路径查询的数据包和网络拓扑模型,所述网络拓扑模型是根据权利要求1~4任一项所述的网络拓扑模型的生成方法生成的,所述网络拓扑模型包括运营商边界设备,其中,配置有相同路由目标的值的所述运营商边界设备通过同一虚拟网段进行连接;
当所述数据包经过所述运营商边界设备时,则根据所述运营商边界设备的设备模型,将所述数据包转发至与所述运营商边界设备连接至同一虚拟网段的其他运营商边界设备;
获取所述数据包进行访问路径查询的查询结果,将所述查询结果进行可视化展示。
6.根据权利要求5所述的方法,其特征在于,所述设备模型中包括多个VPN实例模型;所述根据所述运营商边界设备的设备模型,将所述数据包转发至与所述运营商边界设备连接至同一虚拟网段的其他运营商边界设备,包括:
根据所述数据包经过所述运营商边界设备的进接口,确定与所述进接口属于同一VPN实例模型的虚拟接口;
根据所述虚拟接口上配置的虚拟访问控制列表对所述数据包进行放通,将所述数据包转发至与所述虚拟接口连接至同一虚拟网段的其他运营商边界设备。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
若所述虚拟接口上未配置有放通所述数据包的虚拟访问列表,则判断所述数据包转发失败,返回查询无通路的结果至终端进行展示。
8.一种网络拓扑模型的生成装置,其特征在于,所述装置包括:
获取模块,用于从预先采集的原始设备配置中,获取设备的路由目标;
虚拟网段创建模块,用于根据所述路由目标的值,创建对应的虚拟网段,所述虚拟网段用于将包含相同路由目标的值的运营商边界设备进行连接;
设备模型更新模块,用于在根据所述原始设备配置建立的原始设备模型中添加与所述虚拟网段相连接的虚拟接口,并在所述虚拟接口上生成与所述路由目标一致的放通的虚拟访问控制列表,形成所述运营商边界设备的新的设备模型;
网络拓扑模型生成模块,用于根据所述虚拟网段和所述运营商边界设备的新的设备模型,生成网络拓扑模型,所述网络拓扑模型用于对数据包进行路径查询并对查询结果进行可视化展示。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911134729.7A CN112910667B (zh) | 2019-11-19 | 2019-11-19 | 网络拓扑模型的生成方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911134729.7A CN112910667B (zh) | 2019-11-19 | 2019-11-19 | 网络拓扑模型的生成方法、装置、计算机设备和存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112910667A CN112910667A (zh) | 2021-06-04 |
CN112910667B true CN112910667B (zh) | 2023-03-24 |
Family
ID=76104214
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911134729.7A Active CN112910667B (zh) | 2019-11-19 | 2019-11-19 | 网络拓扑模型的生成方法、装置、计算机设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112910667B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114399124B (zh) * | 2022-03-24 | 2022-06-17 | 腾讯科技(深圳)有限公司 | 路径数据处理、路径规划方法、装置和计算机设备 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100411381C (zh) * | 2005-04-28 | 2008-08-13 | 华为技术有限公司 | 跨不同自治系统的混合网络vpn站点间的通信方法和系统 |
CN101052207B (zh) * | 2006-04-05 | 2011-04-20 | 华为技术有限公司 | 一种可移动虚拟专用网的实现方法及系统 |
US8194570B2 (en) * | 2007-03-21 | 2012-06-05 | Cisco Technology, Inc. | Configuration tool for MPLS virtual private network topologies |
CN101702656B (zh) * | 2009-11-11 | 2011-11-30 | 北京神州泰岳软件股份有限公司 | 一种基于snmp的mpls-vpn网络拓扑发现方法及系统 |
CN102195871B (zh) * | 2011-01-07 | 2014-02-19 | 北京华为数字技术有限公司 | 一种mpls vpn网络中控制业务流量转发路径的方法 |
-
2019
- 2019-11-19 CN CN201911134729.7A patent/CN112910667B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN112910667A (zh) | 2021-06-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20030182582A1 (en) | Network security simulation system | |
US9600244B1 (en) | Cognitive editor | |
US20200159380A1 (en) | Intuitive visualization of event based data | |
CN113169940A (zh) | 包括分解式网络元件的逻辑路由器 | |
CN110135129B (zh) | 代码段保护方法、装置、计算机设备和存储介质 | |
CN112073398B (zh) | 消息队列的处理方法、装置和系统、存储介质和电子装置 | |
CN109547349A (zh) | 基于虚拟路由的流量管理方法、装置、终端及存储介质 | |
CN107733708A (zh) | 设备参数配置方法、装置、计算机设备和存储介质 | |
CN111669401B (zh) | 网络系统的安全防护方法、装置、计算机设备和存储介质 | |
CN106878199A (zh) | 一种接入信息的配置方法和装置 | |
CN112910824A (zh) | 网络安全策略配置方法、装置、计算机设备和存储介质 | |
CN109150684A (zh) | 报文处理方法、装置、通信设备及计算机可读存储介质 | |
CN105871811A (zh) | 控制应用程序权限的方法及控制器 | |
CN104714442A (zh) | 软件定义联网物理控制器及其控制方法 | |
CN110266517A (zh) | 基于网关的外部服务调用方法、装置及终端设备 | |
CN112910667B (zh) | 网络拓扑模型的生成方法、装置、计算机设备和存储介质 | |
CN112017007A (zh) | 用户行为数据的处理方法及装置、计算机设备、存储介质 | |
CN110597541A (zh) | 基于区块链的接口更新处理方法、装置、设备及存储介质 | |
CN111897843B (zh) | 物联网数据流转策略的配置方法、装置和计算机设备 | |
Nam et al. | Open-source IO visor eBPF-based packet tracing on multiple network interfaces of Linux boxes | |
CN109768962A (zh) | 防火墙策略生成方法、装置、计算机设备及存储介质 | |
Santos et al. | Internet of Things architectures: A comparative study | |
CN115118520B (zh) | 数据处理方法、装置和服务器 | |
CN107404410B (zh) | 一种云环境下构建虚拟网络功能平台的方法及装置 | |
CN113765798B (zh) | 使用外置过滤器的QoS方法、装置、计算机设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |