CN113098904B - 网络设备的通信方法及装置 - Google Patents
网络设备的通信方法及装置 Download PDFInfo
- Publication number
- CN113098904B CN113098904B CN202110488912.8A CN202110488912A CN113098904B CN 113098904 B CN113098904 B CN 113098904B CN 202110488912 A CN202110488912 A CN 202110488912A CN 113098904 B CN113098904 B CN 113098904B
- Authority
- CN
- China
- Prior art keywords
- address
- message
- network
- port
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请公开了一种网络设备的通信方法及装置。该方法包括:获取与网络设备进行通信的活跃终端的地址;基于活跃终端的地址确定网络设备的带内网络管理口动态地址;基于带内网络管理口动态地址与远程管理终端进行网络通信。通过本申请,解决了相关技术中的网络设备的通信方法中,网络管理口地址容易被攻击者获取,存在安全隐患的问题。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种网络设备的通信方法及装置。
背景技术
目前网络设备的管理模式可分为带外管理(out-of-band)和带内管理(in-band)两种管理模式。
带内管理:目前业内使用的网络设备管理手段基本上都是带内管理,即管理控制信息与数据信息使用统一物理通道进行传送。例如:常用的HP Openview网络管理软件就是典型的带内管理系统,数据信息和管理信息都是通过网络设备以太网端口进行传送。带内管理的优势在于可以通过现有业务网络对网络设备进行远程配置管理。但是,带内管理的最大缺陷在于:带内网络管理口暴露在业务网络中,渗透到网络中的入侵者借助跳板终端可以很容易在业务通道内扫描到网络设备的带内网络管理地址,并且通过网络设备管理地址回应的特征分析其缺陷和漏洞,然后针对网络设备的嵌入式CPU直接发起攻击,而网络设备中的嵌入式CPU用途单一、资源有限,不具备复杂的安全管控手段的条件,防御攻击的能力相对更脆弱,而一旦被攻陷,造成的后果更加严重。
带外管理:带外管理一般采用以太网口、USB口、串口、I2C、SPI等方式与设备中的嵌入式配置CPU直接相连。带外管理的核心理念在于通过不同的物理通道传送管理控制信息和数据信息,两者完全独立,互不影响。带外管理的最大优势在于可以通过不同的物理通道传送管理控制信息和数据信息,两者完全独立,互不影响。但是,带外管理的最大缺陷在于:要单独组网或直接将带外网络管理口接入到业务网才能实现远程管理,这会造成从业务通道入侵带外网络管理口的安全隐患。
针对相关技术中的网络设备的通信方法中,网络管理口地址容易被攻击者获取,存在安全隐患的问题,目前尚未提出有效的解决方案。
发明内容
本申请提供一种网络设备的通信方法及装置,以解决相关技术中的网络设备的通信方法中,网络管理口地址容易被攻击者获取,存在安全隐患的问题。
根据本申请的一个方面,提供了一种网络设备的通信方法。该方法包括:获取与网络设备进行通信的活跃终端的地址;基于活跃终端的地址确定网络设备的带内网络管理口动态地址;基于带内网络管理口动态地址与远程管理终端进行网络通信。
可选地,获取与网络设备进行通信的活跃终端的地址包括:通过网络设备的网络处理芯片将网络设备采集到的报文发送至网络设备的CPU中;通过CPU获取报文的源地址,并确定第一预设时间内对应报文数量最多的目标源地址,其中,目标源地址至少包括:源IP地址、源MAC地址;将目标源地址对应的终端确定为活跃终端,并将目标源地址确定为活跃终端的地址。
可选地,基于活跃终端的地址确定网络设备的带内网络管理口动态地址包括:通过网络处理芯片将CPU发送的心跳报文的源地址修改为活跃终端的地址,并将修改源地址后的心跳报文发送至远程管理终端;判断网络处理芯片是否接收到目标回应报文,其中,目标回应报文为远程管理终端针对心跳报文发送的回应报文;在网络处理芯片接收到目标回应报文的情况下,将目标回应报文的目的地址修改为网络设备的原始带内网络管理口地址,并将修改目的地址后的目标回应报文发送至CPU;通过CPU向远程管理终端发送地址注册报文,并在接收到远程管理终端发送的注册成功的报文的情况下,基于活跃终端的地址与预先配置的协议端口号确定网络设备的带内网络管理口动态地址。
可选地,在判断网络处理芯片是否接收到目标回应报文之后,该方法还包括:在网络设备在第二预设时长内未接收到目标回应报文的情况下,再次执行将修改源地址后的心跳报文发送至远程管理终端的步骤,直至达到第三预设时长;在达到第三预设时长时,网络设备未接收到目标回应报文的情况下,通过CPU发出告警信息,并重新执行获取与网络设备进行通信的活跃终端的地址的步骤。
可选地,网络处理芯片中设置有带内网络管理口的临时地址寄存器和动态地址寄存器,将目标源地址确定为活跃终端的地址包括:将活跃终端的地址记录在临时地址寄存器中;基于活跃终端的地址确定网络设备的带内网络管理口动态地址包括:将活跃终端的地址记录在动态地址寄存器中;基于远程管理协议类型配置协议端口号,并将协议端口号记录在动态地址寄存器中。
可选地,基于带内网络管理口动态地址与远程管理终端进行网络通信包括:以带内网络管理口动态地址为源地址向远程管理终端发送报文,以及接收远程管理终端以带内网络管理口动态地址为目的地址发送的报文。
可选地,以带内网络管理口动态地址为源地址向远程管理终端发送报文包括:通过网络设备的网络处理芯片判断网络设备的CPU发送的第一报文的目的地址是否为远程管理终端的地址;在第一报文的目的地址是远程管理终端的地址的情况下,通过网络处理芯片将第一报文的源地址修改为带内网络管理口动态地址,并将修改源地址后的第一报文发送至远程管理终端;在第一报文的目的地址不是远程管理终端的地址的情况下,通过网络处理芯片将第一报文发送至第一报文的目的地址指示的设备。
可选地,接收远程管理终端以带内网络管理口动态地址为目的地址发送的报文包括:通过网络设备的网络处理芯片判断网络设备的业务端口接收的第二报文的源地址是否为远程管理终端的地址,并判断第二报文的目的地址是否为带内网络管理口动态地址;在第二报文的源地址是远程管理终端的地址,且第二报文的目的地址是带内网络管理口动态地址的情况下,通过网络处理芯片将第二报文的目的地址修改为网络设备的原带内网络管理口地址,并将修改目的地址后的第二报文发送至网络设备的CPU;在第二报文的源地址不是远程管理终端的地址,且第二报文的目的地址是带内网络管理口动态地址的情况下,产生告警信息,并丢弃第二报文。
可选地,网络设备的网络处理芯片的报文接收缓冲模块中设置有第一匹配处理模块和第二匹配处理模块,通过第一匹配处理模块执行以带内网络管理口动态地址为源地址向远程管理终端发送报文的步骤,通过第二匹配处理模块执行接收远程管理终端以带内网络管理口动态地址为目的地址发送的报文的步骤。
可选地,在基于带内网络管理口动态地址与远程管理终端进行网络通信之后,该方法还包括:判断在第四预设时长内是否接收到源地址为活跃终端的地址的报文;在第四预设时长内未接收到源地址为活跃终端的地址的报文的情况下,重新执行获取与网络设备进行通信的活跃终端的地址的步骤,并基于重新获取到的活跃终端的地址确定网络设备的带内网络管理口动态地址。
根据本申请的另一方面,提供了一种网络设备的通信装置。该装置包括:获取单元,用于获取与网络设备进行通信的活跃终端的地址;确定单元,用于基于活跃终端的地址确定网络设备的带内网络管理口动态地址;通信单元,用于基于带内网络管理口动态地址与远程管理终端进行网络通信。
根据本发明实施例的另一方面,还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,程序运行时控制非易失性存储介质所在的设备执行一种网络设备的通信方法。
根据本发明实施例的另一方面,还提供了一种电子装置,包含处理器和存储器;存储器中存储有计算机可读指令,处理器用于运行计算机可读指令,其中,计算机可读指令运行时执行一种网络设备的通信方法。
通过本申请,采用以下步骤:获取与网络设备进行通信的活跃终端的地址;基于活跃终端的地址确定网络设备的带内网络管理口动态地址;基于带内网络管理口动态地址与远程管理终端进行网络通信,解决了相关技术中的网络设备的通信方法中,网络管理口地址容易被攻击者获取,存在安全隐患的问题。通过确定网络设备的带内网络管理口动态地址,并基于带内网络管理口动态地址与远程管理终端进行网络通信,进而达到了隐藏带内网络管理口真实地址,防止网络设备的带内网络管理口地址被攻击者获取的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的网络设备的通信方法的流程图一;
图2是根据本申请实施例提供的网络设备的通信方法的系统示意图一;
图3是根据本申请实施例提供的网络设备的通信方法的流程图二;
图4是根据本申请实施例提供的网络设备的通信方法的系统示意图二;
图5是根据本申请实施例提供的网络设备的通信方法的流程图三;
图6是根据本申请实施例提供的网络设备的通信方法的流程图四;
图7是根据本申请实施例提供的网络设备的通信方法的流程图五;
图8是根据本申请实施例提供的网络设备的通信方法的流程图六;
图9是根据本申请实施例提供的网络设备的通信方法的流程图七;
图10是根据本申请实施例提供的网络设备的通信装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本申请的实施例,提供了一种网络设备的通信方法。
图1是根据本申请实施例的网络设备的通信方法的流程图一。如图1所示,该方法包括以下步骤:
步骤S102,获取与网络设备进行通信的活跃终端的地址。
具体地,网络设备与远程管理终端进行通信,以接收远程管理终端发送的指令来配置设备内部的寄存器,同时,网络设备还与其他终端进行通信。
如图2所示,网络设备可以包括嵌入式CPU和网络处理芯片(是网络设备的核心芯片),一方面,嵌入式CPU通过自身引出的网络管理口与其他终端进行通信,该网络管理口叫做带外网络管理口,可以简称为带外网管口,具体地,可以是以太网口、串口、USB、SPI、I2C等,本实施例不限制带外网络管理口的类型。
另一方面,嵌入式CPU还对网络处理芯片进行管理,具体地,交换机、路由器通过带内业务通道传输数据至网络处理芯片进行处理。网络处理芯片和CPU之间存在带内管理通道,该通道使得带内管理通道和CPU之间连通,以实现从带内业务通道将报文数据传输到嵌入式CPU的目的,CPU将接收的报文数据处理为配置指令,并把配置指令转换成执行器的读写指令,以对网络芯片进行配置,而带内通道具有带内网络管理口,可以简称为带内网络管理口,具体地,可以是PCIE、SPI等,本实施例不限制带内网络管理口的类型。
需要说明的是,为了避免攻击者通过带内业务通道探测到网络设备的带内网络管理口,并对网络设备进行攻击,本实施例获取与网络设备进行通信的终端的地址,并从中获取活跃终端的地址,以代替网络设备的带内网络管理口与远程管理终端进行通信。
终端的活跃程度可以用终端在单位时间内收发报文的数量来表征,可选地,在本申请实施例提供的网络设备的通信方法中,获取与网络设备进行通信的活跃终端的地址包括:通过网络设备的网络处理芯片将网络设备采集到的报文发送至网络设备的CPU中;通过CPU获取报文的源地址,并确定第一预设时间内对应报文数量最多的目标源地址,其中,目标源地址至少包括:源IP地址、源MAC地址;将目标源地址对应的终端确定为活跃终端,并将目标源地址确定为活跃终端的地址。
具体地,网络设备的网络处理芯片将业务端口采集到的ARP报文送嵌入式CPU做分析,以确定流经网络设备的流量对应的终端设备中,有哪些终端设备是当前活跃的,采集信息可以包括:源IP地址、源MAC地址、输入的物理网口号等信息。
其中,嵌入式CPU中的软件可以维护一个活跃终端信息表,活跃终端信息表中除了上述采集到的信息外,还可以包括终端活跃程度信息(即在设定的时间范围内采集到该终端发送ARP请求报文的数量,采集到的ARP请求报文越多,该终端越活跃),从而通过活跃终端信息表确定活跃终端。
通过本实施例,配置网络设备的镜像策略,将当前流经网络设备的ARP报文镜像到嵌入式CPU中,通过嵌入式CPU提取报文中的源地址信息,并分析源地址对应的终端在网络中的活跃程度,从而得到当前的活跃终端以及活跃终端的地址,以基于活跃终端的地址作确定带内网络管理口动态地址,用带内网络管理口动态地址与远程管理终端进行网络通信,避免了网络设备真实带内网络管理口地址直接暴露在业务网中。
步骤S104,基于活跃终端的地址确定网络设备的带内网络管理口动态地址。
具体地,在网络设备的嵌入式CPU中确定当前活跃终端的IP地址和MAC地址后,可以将活跃终端的IP地址、MAC地址以及特定的协议端口号Port确定为带内网络管理口动态地址,其中,特定的协议端口号为网络设备和远程管理终端之间通信的通信协议所确定的端口号,以保证在报文的目的IP地址、MAC地址与当前活跃终端的IP地址、MAC地址相同,而端口号不同的情况下,可以将报文转发至活跃终端。
在得到活跃终端的地址后,需要判断活跃终端的地址和远程管理终端之间的可达情况,才可以将活跃终端的地址确定为网络设备的带内网络管理口动态地址,可选地,在本申请实施例提供的网络设备的通信方法中,基于活跃终端的地址确定网络设备的带内网络管理口动态地址包括:通过网络处理芯片将CPU发送的心跳报文的源地址修改为活跃终端的地址,并将修改源地址后的心跳报文发送至远程管理终端;判断网络处理芯片是否接收到目标回应报文,其中,目标回应报文为远程管理终端针对心跳报文发送的回应报文;在网络处理芯片接收到目标回应报文的情况下,将目标回应报文的目的地址修改为网络设备的原始带内网络管理口地址,并将修改目的地址后的目标回应报文发送至CPU;通过CPU向远程管理终端发送地址注册报文,并在接收到远程管理终端发送的注册成功的报文的情况下,基于活跃终端的地址与预先配置的协议端口号确定网络设备的带内网络管理口动态地址。
在一种可选的实施方式中,从网络设备端来说,可以通过活跃终端地址到远程管理终端地址路由可达探测程序以及带内网络管理口动态地址注册程序来实现基于活跃终端的地址确定网络设备的带内网络管理口动态地址的步骤。
其中,活跃终端地址到远程管理终端地址路由可达探测程序由定时器触发执行,具体地,从活跃终端表中提取当前最活跃的终端地址信息,以当前最活跃的终端地址信息为源地址向远程管理终端发送心跳包,并侦听回应包,如果收到正常的回应包,则该地址可用于确定带内网络管理口动态地址。
其中,新带内网络管理口动态地址注册程序可以在确定活跃终端地址到远程管理终端路由可达后执行,具体地,先暂停本地与远程管理终端的主动通信,然后向远程管理终端发送带内网络管理口动态地址注册请求报文,并与远程管理终端完成带内网络管理口动态地址注册过程,再恢复本地与远程管理终端的主动通信。
在另一种可选的实施方式中,从远程终端来说,可以通过带内网络管理口动态地址路由可达探测回应程序以及带内网络管理口动态地址注册管理程序来实现基于活跃终端的地址确定网络设备的带内网络管理口动态地址的步骤。
其中,带内网络管理口动态地址路由可达探测回应程序用于回应各个网络设备发来的路由可达探测报文。而带内网络管理口动态地址注册管理程序用于完成各个网络设备发来的带内网络管理口动态地址注册,具体地,收到注册请求报文后,首先暂停与该网络设备的远程通信进程(不主动发送报文),然后完成新带内网络管理口动态地址注册握手过程,再用新注册的带内网络管理口动态地址恢复与该网络设备的远程通信进程。
可以通过寄存器的方式存储活跃终端的地址,可选地,在本申请实施例提供的网络设备的通信方法中,网络处理芯片中设置有带内网络管理口的临时地址寄存器和动态地址寄存器,将目标源地址确定为活跃终端的地址包括:将活跃终端的地址记录在临时地址寄存器中;基于活跃终端的地址确定网络设备的带内网络管理口动态地址包括:将活跃终端的地址记录在动态地址寄存器中;基于远程管理协议类型配置协议端口号,并将协议端口号记录在动态地址寄存器中。
具体地,在芯片内部增设临时地址寄存器以及动态地址寄存器,如表1所示,为临时地址寄存器的数据存储方式,网络设备的嵌入式CPU根据单位时间范围内采集到的当前活跃终端信息,获取当前最活跃终端的信息,并在进行路由可达探测之前,将当前最活跃终端的MAC地址、IP地址以及预设的协议端口号存储在临时地址寄存器中;如表2所示,为动态地址寄存器的数据存储方式,在对当前最活跃终端的地址进行注册之后,将当前最活跃终端的MAC地址、IP地址以及预设的协议端口号存储在动态地址寄存器中。
表1
表2
需要说明的是,在实现嵌入式CPU与远程管理终端的网络通信前,还需要针对将使用的远程管理协议类型,在嵌入式CPU与网络设备网络处理芯片之间配置通道,对带内网络管理口动态地址寄存器配置相应的协议端口号。如采用SSH方式,则要配置22;如采用telnet方式,则要配置23;如SSL方式,则要配置443等。完成该配置后,就能正常的实现嵌入式CPU与远程管理终端的网络通信,同时嵌入式CPU原有的远程管理软件接口以及驱动程序都不需要做修改。
此外,芯片内部还可以增设远程管理终端地址寄存器以及带内网络管理口真实地址寄存器,如表3所示,为远程管理终端地址寄存器的数据存储方式,存储有远程管理终端的MAC地址、IP地址以及端口号;如表4所示,为带内网络管理口真实地址寄存器的数据存储方式,存储有带内网络管理口的真实MAC地址、IP地址以及端口号。
表3
表4
其中,在每个寄存器的存储空间分配中,可以设置MAC地址占48bits,IP地址占32bits,Port端口号占16bits。
具体地,在配置好寄存器后,网络设备嵌入式CPU通过带内网络管理口向远程管理终端发送心跳报文,在网络设备网络处理芯片内部将心跳报文的源MAC、源IP、源Port替换为带内网络管理口动态地址寄存器中的信息,然后再正常转发到网络设备的输出端口,以此来测试最新配置的带内网络管理口动态地址到远程管理终端地址是否路由可达。远程管理终端IP地址收到心跳包后,会发送对应的心跳回应包,该报文将被网络设备网络处理芯片过滤到,用带内网络管理口真实地址寄存器中的信息替换目的MAC、目的IP和目的Port之后转发到嵌入式CPU接口,嵌入式CPU接收到正确的心跳回应包之后,保留该带内网络管理口动态地址,并向远程管理终端发送新地址注册信息。
在一种可选的实施方式中,采集网内活跃终端信息,并选出带内网络管理口动态地址的过程如图3所示:
具体地,嵌入式CPU在配置网络设备时,将流经的设备的ARP报文镜像到嵌入式CPU,设备的ARP报文可以包括免费ARP报文、ARP请求报文以及ARP回应报文(采集活跃终端地址的方法不限于镜像ARP报文到CPU)。对于免费ARP报文,可以提取源IP和源MAC信息,并记录对应终端的开机时间;对于ARP请求报文,可以提取源IP、源MAC和目的IP信息,并分析网关地址和网段划分;对于ARP回应报文,可以提取目的IP、目的MAC信息,并分析网关地址。
进一步的,将提取到的信息存储至活跃终端信息库,并对对应的终端进行活跃度判断,具体地,通过定时器触发判断一段时间内的当前活跃终端,并判断当前活跃终端的地址是否是新地址,也即,是否是已确定的带内网络管理口管理口动态地址,如果不是,说明为新地址,则进行路由可达判断,如果可达,则向远程管理终端注册新带内网络管理口动态地址,以使用新带内网络管理口动态地址与远程管理终端进行网络通信。
在一种可选的实施方式中,如图4所示,远程网管终端的IP地址为IP3,路由器的MAC地址为MAC3,网络设备的真实带内网络管理口地址为:MAC0、IP0、Port 0,活跃终端为业务终端1,其MAC地址为MAC1,IP地址为IP1,则带内网络管理口临时地址寄存器中的当前活跃终端地址为MAC1、IP1、Port 1。
嵌入式CPU测试当前活跃终端地址与远程管理终端路由可达情况以及活跃终端地址的注册流程如图5所示:
嵌入式CPU通过对流经的ARP报文进行采样,获取当前活跃终端的地址信息:源MAC和源IP,并将当前活跃终端的地址信息配置到芯片中的带内网络管理口临时地址寄存器中。
进一步的,嵌入式CPU通过带内网络管理口向远程管理地址发送心跳报文pkt1。在网络设备的芯片中,心跳报文pkt1的源MAC、源IP和源Port被带内网络管理口临时地址寄存器中配置的MAC、IP、Port替换,得到替换源地址后的报文pkt1,然后在芯片内按正常报文处理,处理方式为交换或路由。
进一步的,远程管理终端接收到修改过的心跳报文pkt1后,发送回应包pkt2,网络设备的芯片在接收缓冲区中对所有接收到的报文做6元组做过滤匹配(带内网络管理口临时地址寄存器和远程管理终端地址寄存器中的6元组),pkt2报文将被过滤模块匹配到,并将匹配到的报文pkt2的目的MAC、目的IP和目的端口号替换为带内网络管理口的真实地址,得到替换目的地址后的报文pkt2。
进一步的,网络设备的芯片根据正常报文转发关系,将修改过目的地址的pkt2报文转发至嵌入式CPU的带内网络管理口,嵌入式CPU收到心跳报文后,经过正常的内部协议栈发送到用户空间,嵌入式软件确认新带内网络管理口临时地址到远程管理终端路由可达。
进一步的,嵌入式CPU向远程管理终端发送新带内网络管理口动态地址注册请求报文pkt3,同时暂停当前与远程管理终端的通信进程,远程管理终端收新带内网络管理口动态地址注册请求报文pkt3,暂停与该网络设备的当前通信进程,将侦听会话切换至新地址,发送注册成功的回应包pkt4给网络设备。
进一步的,嵌入式CPU收到远程管理终端发送的注册成功的回应包pkt4,将注册过的地址配置到网络管理口动态地址寄存器,重新启动与远程管理终端的网络通信进程。
其中,在网络设备的芯片中,心跳报文的源MAC、源IP和源Port被带内网管口临时地址寄存器中配置的MAC、IP、Port替换的具体过程如图6所示:
在带内网络管理口的报文接收缓冲区输入口做报文过滤,判断是否是来自带内网络管理口的报文,且目的地址是否是远程网管地址,在否的情况下将报文正常转发至报文接收缓冲区;在是的情况下,用带内网络管理口临时地址寄存器中的MAC地址替换源MAC、用带内网络管理口临时地址寄存器中的IP地址替换源IP、用带内网络管理口临时地址寄存器中的Port替换源Port,然后将修改过的报文发送至报文接收缓冲区。
其中,网络设备的芯片对接收到的报文在接收缓冲区中针对带内网络管理口临时地址寄存器和远程管理终端地址寄存器中的6元组做过滤匹配和地址替换的具体过程如图7所示:
在报文接收缓冲区输入口对所有输入的报文做过滤,过滤条件为六元组:目的MAC是否来自带内网络管理口临时地址寄存器、目的IP是否来自带内网络管理口临时地址寄存器、目的Port是否来自带内网络管理口临时地址寄存器、源MAC是否来自带远程管理配置寄存器的目的MAC寄存器、源IP是否来自带远程管理配置寄存器的目的IP寄存器、源Port是否来自带远程管理配置寄存器的目的Port寄存器。如果存在不匹配的情况下,确定六元组匹配不成功,报文正常转发,如果均匹配,确定六元组匹配成功,用带内真实网络管理口MAC地址替换目的MAC、用带内真实网络管理口IP地址替换目的IP、用带内真实网络管理口Port地址替换目的Port,并将修改过的报文发送至报文接收缓冲区。
此外,需要说明的是,带内网络管理口真实源端口号Port 0与带内网络管理口动态地址中的源端口号Port 1可以配置为相同的端口号,也可以配置为不同的端口号。
通过本实施例,在网络设备处理芯片的报文接收模块中添加必要的控制逻辑电路和配置寄存器即可完成对带内网络管理地址的动态隐藏防护,对现有网络设备软硬件修改相对较小,同时远程管理终端上运行的软件需要做的修改也较少,在保持现有网络设备嵌入式软件底层驱动和上层应用软件基本不需要修改的前提下,实现了对带内网络管理地址的动态隐藏防护功能。
存在路由可达失败的情况下,可选地,在本申请实施例提供的网络设备的通信方法中,在判断网络处理芯片是否接收到目标回应报文之后,该方法还包括:在网络设备在第二预设时长内未接收到目标回应报文的情况下,再次执行将修改源地址后的心跳报文发送至远程管理终端的步骤,直至达到第三预设时长;在达到第三预设时长时,网络设备未接收到目标回应报文的情况下,通过CPU发出告警信息,并重新执行获取与网络设备进行通信的活跃终端的地址的步骤。
具体地,如果向远程管理终端发送心跳包后,一段时间内未收到远程管理终端回应心跳包,则更换其他活跃终端地址再做连接尝试,直到获得可以与远程管理终端联络到的活跃逐渐地址为止。如果达到设定的连接失败次数,嵌入式CPU则产生告警信息,并从串口或带外网络管理口发出告警信息,同时以面板告警灯闪烁方式提示用户:该网络设备未能与远程管理终端正常连接。
通过本实施例,在未收到远程管理终端的回应包的情况下提取新的活跃终端地址做路由可达探测,在多次尝试都未能找到路由可达的地址的情况下产生告警信息,保证了获取到可达的活跃终端地址的成功率,以及使得用户的及时获知获取不到可达的活跃终端地址时的情况。
步骤S106,基于带内网络管理口动态地址与远程管理终端进行网络通信。
可选地,在本申请实施例提供的网络设备的通信方法中,基于带内网络管理口动态地址与远程管理终端进行网络通信包括:以带内网络管理口动态地址为源地址向远程管理终端发送报文,以及接收远程管理终端以带内网络管理口动态地址为目的地址发送的报文。
具体地,在网络设备的CPU向远程管理终端发送报文时,在网络处理芯片中将报文的源地址替换为带内网络管理口动态地址再进行发送,在网络设备接收到远程管理终端发送的目的地址为带内网络管理口动态地址的报文时,在网络处理芯片中将报文的目的地址由带内网络管理口动态地址替换为带内网络管理口真实地址再转发至CPU中。
通过本实施例,攻击者在网内无法探测到带内网络管理口动态地址,所有针对该地址的探测行为(非远程管理终端口)的回应都是被借用地址的活跃终端完成的,因此攻击者无法获得网络设备带内网络管理口的真实信息。
本申请实施例提供的网络设备的通信方法,通过获取与网络设备进行通信的活跃终端的地址;基于活跃终端的地址确定网络设备的带内网络管理口动态地址;基于带内网络管理口动态地址与远程管理终端进行网络通信,解决了相关技术中的网络设备的通信方法中,网络管理口地址容易被攻击者获取,存在安全隐患的问题。通过确定网络设备的带内网络管理口动态地址,并基于带内网络管理口动态地址与远程管理终端进行网络通信,进而达到了隐藏带内网络管理口真实地址,防止网络设备的带内网络管理口地址被攻击者获取的效果。
可选地,在本申请实施例提供的网络设备的通信方法中,以带内网络管理口动态地址为源地址向远程管理终端发送报文包括:通过网络设备的网络处理芯片判断网络设备的CPU发送的第一报文的目的地址是否为远程管理终端的地址;在第一报文的目的地址是远程管理终端的地址的情况下,通过网络处理芯片将第一报文的源地址修改为带内网络管理口动态地址,并将修改源地址后的第一报文发送至远程管理终端;在第一报文的目的地址不是远程管理终端的地址的情况下,通过网络处理芯片将第一报文发送至第一报文的目的地址指示的设备。
具体地,如图8所示,在带内网络管理口的报文接收缓冲区输入口做报文过滤,判断是否是来自带内网络管理口的报文,且目的地址是否是远程网管地址,在否的情况下将报文正常转发至报文接收缓冲区,以发送至报文的目的地址指示的设备;在是的情况下,用带内网络管理口动态地址寄存器中的MAC地址替换源MAC、用带内网络管理口动态地址寄存器中的IP地址替换源IP、用带内网络管理口动态地址寄存器中的Port替换源Port,然后将修改过的报文发送至报文接收缓冲区,以发送至远程管理终端。
可选地,在本申请实施例提供的网络设备的通信方法中,接收远程管理终端以带内网络管理口动态地址为目的地址发送的报文包括:通过网络设备的网络处理芯片判断网络设备的业务端口接收的第二报文的源地址是否为远程管理终端的地址,并判断第二报文的目的地址是否为带内网络管理口动态地址;在第二报文的源地址是远程管理终端的地址,且第二报文的目的地址是带内网络管理口动态地址的情况下,通过网络处理芯片将第二报文的目的地址修改为网络设备的原带内网络管理口地址,并将修改目的地址后的第二报文发送至网络设备的CPU;在第二报文的源地址不是远程管理终端的地址,且第二报文的目的地址是带内网络管理口动态地址的情况下,产生告警信息,并丢弃第二报文。
具体地,如图9所示,在报文接收缓冲区输入口对所有输入的报文做过滤,过滤条件为六元组:目的MAC是否来自带内网络管理口动态地址寄存器、目的IP是否来自带内网络管理口动态地址寄存器、目的Port是否来自远程管理配置寄存器的源端口寄存器、源MAC是否来自带远程管理配置寄存器的目的MAC寄存器、源IP是否来自带远程管理配置寄存器的目的IP寄存器、源Port是否来自带远程管理配置寄存器的目的Port寄存器。如果全都不匹配的情况下,确定六元组匹配不成功,报文正常转发;如果全都匹配,确定六元组匹配成功,用带内真实网络管理口MAC地址替换目的MAC、用带内真实网络管理口IP地址替换目的IP、用带内真实网络管理口Port地址替换目的Port,并将修改过的报文发送至报文接收缓冲区。
此外,如果目的地址匹配,而源地址不匹配的情况下,说明入侵者试图非法访问带内网络管理口动态地址的时候,网络设备不做回应,并丢弃报文,并产生告警信息,将告警消息中的攻击源地址信息、攻击时间信息等封装成告警消息报文发给远程管理终端,也即,隐藏了网络设备的真实带内网络管理口地址,不但让入侵者无法探测到网络设备带内网络管理口,而且可以捕获其非法探测网络设备带内网络管理口的行为。
在一种可选的实施方式中,,在攻击者扫描动态地址非远程管理终端口时,扫描包pkt1的端口号与动态地址寄存器中的协议端口号不同,扫描报文实际由活跃终端回应,攻击者进一步扫描回应包pkt2,得到扫描结果。
在攻击者扫描动态地址远程管理终端口时,扫描包pkt3,攻击者收不到扫描结果,且嵌入式软件将告警消息发送给远程管理终端,具体地,向远程管理地址发告警消息包pkt4,pkt4在网络设备中进行了源地址替换,得到替换源地址后的pkt4,再将替换源地址后的pkt4发送至远程管理终端。
通过本实施例,隐藏真实的带内网络管理地址,真实的带内网络管理口地址不直接暴露在业务网络中,而暴露在业务网络中的是带内网络管理口动态地址,入侵者从业务端口无法扫描到真实的带内网络管理口地址。入侵者针对带内网络管理口动态地址的非远程网管业务端口扫描将获得错误的结果,从而误导其判断,入侵者对带内网络管理口动态地址远程网管业务端口进行扫描将得不到任何回应,且触发报警。
需要说明的是,采用带内网络管理口动态地址可以实现正常的网络设备配置工作,在一种可选的实施方式中,使用带内网络管理口动态地址实现正常的网络设备配置过程如下:
在进行网络设备的配置之前,嵌入式CPU向远程管理终端发送配置请求,具体地,嵌入式CPU向远程管理地址发送消息包pkt1,在网络处理芯片中替换源地址后的得到消息包pkt1,远程管理终端收到网络设备发来的消息后,回应消息包pkt2,在网络处理芯片中替换目的地址后的得到消息包pkt2,网络设备的嵌入式CPU收到远程管理地址返回的消息。
进一步的,远程管理终端回应嵌入式CPU的配置请求后,远程管理终端向网络设备发送配置指令包pkt3,在网络处理芯片中替换目的地址后的得到消息包pkt3,网络设备的嵌入式CPU收到远程管理地址发来的配置指令,进行配置指令的执行,具体地,对芯片内地址进行读写操作,接收指令执行结果,并向远程管理地址发送执行结果包pkt4,在网络处理芯片中替换源地址后的得到消息包pkt4,远程管理终端收到网络设备返回的指令执行结果,即完成了指令配置操作。
需要说明的是,带内网络管理口真实源端口号与带内网络管理口动态地址中的源端口号可以配置为相同的端口号,也可以配置为不同的端口号。
为了实现报文的匹配和处理,需要对网络设备网络处理芯片进行修改,可选地,在本申请实施例提供的网络设备的通信方法中,网络设备的网络处理芯片的报文接收缓冲模块中设置有第一匹配处理模块和第二匹配处理模块,通过第一匹配处理模块执行以带内网络管理口动态地址为源地址向远程管理终端发送报文的步骤,通过第二匹配处理模块执行接收远程管理终端以带内网络管理口动态地址为目的地址发送的报文的步骤。
具体地,芯片内部修改包括两方面,一方面在网络处理芯片中增加对流经芯片的ARP报文复制到CPU的功能。另一方面,在业务端口接收缓冲区中增加远程带内管理报文过滤模块,在带内网络管理口接收缓冲区中增加CPU接口过滤模块。
其中,在业务端口接收缓冲区中增加的远程带内管理报文过滤模块用于对输入的每个报文都做匹配过滤。一旦匹配到六元组(源地址与远程管理终端地址寄存器中的地址一致,目的地址与带内网络管理口动态地址寄存器或带内网络管理口临时地址寄存器中的地址一致)则将报文的目的地址替换为带内网络管理口真实地址寄存器中的地址,然后送入接收缓冲区。如果匹配到目的地址中的目的IP、目的MAC和目的端口,未匹配到其他3个比对项,则丢弃报文,并产生告警发送给嵌入式CPU,由嵌入式CPU将告警消息封装成告警消息报文发送给远程管理终端。此前,其他匹配情况的报文都正常转发。
其中,在带内网络管理口接收缓冲区中增加的CPU接口过滤模块用于对CPU发送到远程管理终端的报文进行过滤。如果是远程管理业务报文,则用带内网络管理口动态地址寄存器中的地址替换报文的源地址。如果是路由可达探测报文或新带内网络管理口动态地址注册报文,则用带内网络管理口临时地址寄存器或动态地址寄存器中的地址替换报文的源地址。
此外,还需要远程管理终端软件的修改,具体地,为了适应带内网络管理口动态地址变换情况,需要修改基于源IP地址为索引管理网络设备的机制,应当以设备的序列号为索引建立被管理设备列表。同时,还增加针对网络设备带内网络管理口动态地址发来的心跳包的回应处理程序。
通过本实施例,在网络设备处理芯片的报文接收模块中添加必要的控制逻辑电路和配置寄存器即可完成对带内网络管理地址的动态隐藏防护,在保持现有网络设备嵌入式软件底层驱动和上层应用软件基本不需要修改的前提下,实现对带内网络管理口地址的动态隐藏防护功能对现有网络设备软硬件修改相对较小,远程管理终端上运行的软件需要做的修改也较少。
终端的活跃状态是动态变化的,可选地,在本申请实施例提供的网络设备的通信方法中,在基于带内网络管理口动态地址与远程管理终端进行网络通信之后,该方法还包括:判断在第四预设时长内是否接收到源地址为活跃终端的地址的报文;在第四预设时长内未接收到源地址为活跃终端的地址的报文的情况下,重新执行获取与网络设备进行通信的活跃终端的地址的步骤,并基于重新获取到的活跃终端的地址确定网络设备的带内网络管理口动态地址。
在一种可选的实施方式中,变更带内网络管理口动态地址的处理过程如下:
带内网络管理口动态地址寄存器中存储活跃终端的地址一段时间后,采集业务端口ARP报文,并配置带内网络管理口临时地址寄存器,也即,记录当前活跃终端的地址。
进一步的,嵌入式CPU向远程管理地址发送心跳报文pkt1,在网络设备的芯片中,替换源地址得到心跳报文pkt1,然后将替换源地址后的心跳报文pkt1发送至远程管理终端。
进一步的,远程管理终端接收到修改过的心跳报文pkt1后,发送回应包pkt2,网络设备的网络处理芯片对目的地址进行替换,得到替换目的地址后的报文pkt2,并将替换目的地址后的报文pkt2发送至嵌入式CPU。
进一步的,嵌入式CPU向远程管理终端发送新带内网络管理口动态地址注册请求报文pkt3,网络设备的网络处理芯片对目的地址进行替换,得到替换目的地址后的报文pkt3,远程管理终端收替换目的地址后的报文pkt3,发送注册成功的回应包pkt4给网络设备。
进一步的,网络设备接收到回应包pkt4,在网络芯片中对目的地址进行替换得到pkt4,并将替换目的地址后的pkt4发送至网络设备嵌入式CPU,嵌入式CPU将注册过的地址配置到网络管理口动态地址寄存器,也即,记录当前活跃终端的地址(MAC2\IP2\Port 0),并采用网络管理口动态地址寄存器中的地址与远程管理终端进行通信。
具体地,嵌入式CPU向远程管理地址发送消息包pkt5,在网络设备的芯片中,替换源地址得到消息包pkt5,然后将替换源地址后的消息包pkt5发送至远程管理终端。
进一步的,远程管理终端接收到修改过的消息包pkt5后,发送回应包pkt6,网络设备的网络处理芯片对目的地址进行替换,得到替换目的地址后的报文pkt2,并将替换目的地址后的报文pkt6发送至嵌入式CPU,从而实现了采用更换后的带内网络管理口动态地址与远程管理终端的通信。
通过本实施例,不仅可以自动完成带内网络管理口动态地址的采集和配置,还可以根据网络中活跃终端的情况不断更换动态地址,只要这些被选中作为带内网络管理口动态地址到远程管理终端的地址路由可达即可,并确保在变换带内网络管理口动态地址的时候,网络设备与远程管理终端的网络通信不中断,使得网络设备与远程管理终端的网络通信不受影响。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种网络设备的通信装置,需要说明的是,本申请实施例的网络设备的通信装置可以用于执行本申请实施例所提供的用于网络设备的通信方法。以下对本申请实施例提供的网络设备的通信装置进行介绍。
图10是根据本申请实施例的网络设备的通信装置的示意图。如图10所示,该装置包括:获取单元10、确定单元20和通信单元30。
具体地,获取单元10,用于获取与网络设备进行通信的活跃终端的地址。
确定单元20,用于基于活跃终端的地址确定网络设备的带内网络管理口动态地址。
通信单元30,用于基于带内网络管理口动态地址与远程管理终端进行网络通信。
本申请实施例提供的网络设备的通信装置,通过获取单元10获取与网络设备进行通信的活跃终端的地址;确定单元20基于活跃终端的地址确定网络设备的带内网络管理口动态地址;通信单元30基于带内网络管理口动态地址与远程管理终端进行网络通信,解决了相关技术中的网络设备的通信方法中,网络管理口地址容易被攻击者获取,存在安全隐患的问题,通过确定网络设备的带内网络管理口动态地址,并基于带内网络管理口动态地址与远程管理终端进行网络通信,进而达到了隐藏带内网络管理口真实地址,防止网络设备的带内网络管理口地址被攻击者获取的效果。
可选地,在本申请实施例提供的网络设备的通信装置中,获取单元10包括:发送模块,用于通过网络设备的网络处理芯片将网络设备采集到的报文发送至网络设备的CPU中;第一确定模块,用于通过CPU获取报文的源地址,并确定第一预设时间内对应报文数量最多的目标源地址,其中,目标源地址至少包括:源IP地址、源MAC地址;第二确定模块,用于将目标源地址对应的终端确定为活跃终端,并将目标源地址确定为活跃终端的地址。
可选地,在本申请实施例提供的网络设备的通信装置中,确定单元20包括:第一修改模块,用于通过网络处理芯片将CPU发送的心跳报文的源地址修改为活跃终端的地址,并将修改源地址后的心跳报文发送至远程管理终端;判断模块,用于判断网络处理芯片是否接收到目标回应报文,其中,目标回应报文为远程管理终端针对心跳报文发送的回应报文;第二修改模块,用于在网络处理芯片接收到目标回应报文的情况下,将目标回应报文的目的地址修改为网络设备的原始带内网络管理口地址,并将修改目的地址后的目标回应报文发送至CPU;第三确定模块,用于通过CPU向远程管理终端发送地址注册报文,并在接收到远程管理终端发送的注册成功的报文的情况下,基于活跃终端的地址与预先配置的协议端口号确定网络设备的带内网络管理口动态地址。
可选地,在本申请实施例提供的网络设备的通信装置中,确定单元20还包括:执行模块,用于在判断网络处理芯片是否接收到目标回应报文之后,在网络设备在第二预设时长内未接收到目标回应报文的情况下,再次执行将修改源地址后的心跳报文发送至远程管理终端的步骤,直至达到第三预设时长;告警模块,用于在达到第三预设时长时,网络设备未接收到目标回应报文的情况下,通过CPU发出告警信息,并重新执行获取与网络设备进行通信的活跃终端的地址的步骤。
可选地,在本申请实施例提供的网络设备的通信装置中,网络处理芯片中设置有带内网络管理口的临时地址寄存器和动态地址寄存器,第二确定模块用于将活跃终端的地址记录在临时地址寄存器中;确定单元20用于将活跃终端的地址记录在动态地址寄存器中;基于远程管理协议类型配置协议端口号,并将协议端口号记录在动态地址寄存器中。
可选地,在本申请实施例提供的网络设备的通信装置中,通信单元30包括:发送模块,用于以带内网络管理口动态地址为源地址向远程管理终端发送报文,接收模块,用于接收远程管理终端以带内网络管理口动态地址为目的地址发送的报文。
可选地,在本申请实施例提供的网络设备的通信装置中,发送模块包括:第一判断子模块,用于通过网络设备的网络处理芯片判断网络设备的CPU发送的第一报文的目的地址是否为远程管理终端的地址;第一修改子模块,用于在第一报文的目的地址是远程管理终端的地址的情况下,通过网络处理芯片将第一报文的源地址修改为带内网络管理口动态地址,并将修改源地址后的第一报文发送至远程管理终端;发送子模块,用于在第一报文的目的地址不是远程管理终端的地址的情况下,通过网络处理芯片将第一报文发送至第一报文的目的地址指示的设备。
可选地,在本申请实施例提供的网络设备的通信装置中,接收模块包括:第二判断子模块,用于通过网络设备的网络处理芯片判断网络设备的业务端口接收的第二报文的源地址是否为远程管理终端的地址,并判断第二报文的目的地址是否为带内网络管理口动态地址;第二修改子模块,用于在第二报文的源地址是远程管理终端的地址,且第二报文的目的地址是带内网络管理口动态地址的情况下,通过网络处理芯片将第二报文的目的地址修改为网络设备的原带内网络管理口地址,并将修改目的地址后的第二报文发送至网络设备的CPU;告警子模块,用于在第二报文的源地址不是远程管理终端的地址,且第二报文的目的地址是带内网络管理口动态地址的情况下,产生告警信息,并丢弃第二报文。
可选地,在本申请实施例提供的网络设备的通信装置中,网络设备的网络处理芯片的报文接收缓冲模块中设置有第一匹配处理模块和第二匹配处理模块,通过第一匹配处理模块执行以带内网络管理口动态地址为源地址向远程管理终端发送报文的步骤,通过第二匹配处理模块执行接收远程管理终端以带内网络管理口动态地址为目的地址发送的报文的步骤。
可选地,在本申请实施例提供的网络设备的通信装置中,装置还包括:判断单元,用于在基于带内网络管理口动态地址与远程管理终端进行网络通信之后,判断在第四预设时长内是否接收到源地址为活跃终端的地址的报文;执行单元,用于在第四预设时长内未接收到源地址为活跃终端的地址的报文的情况下,重新执行获取与网络设备进行通信的活跃终端的地址的步骤,并基于重新获取到的活跃终端的地址确定网络设备的带内网络管理口动态地址。
所述网络设备的通信装置包括处理器和存储器,上述获取单元10、确定单元20通信单元30等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来解决相关技术中的网络设备的通信方法中,网络管理口地址容易被攻击者获取,存在安全隐患的问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本申请实施例还提供了一种非易失性存储介质,非易失性存储介质包括存储的程序,其中,程序运行时控制非易失性存储介质所在的设备执行一种网络设备的通信方法。
本申请实施例还提供了一种电子装置,包含处理器和存储器;存储器中存储有计算机可读指令,处理器用于运行计算机可读指令,其中,计算机可读指令运行时执行一种网络设备的通信方法。本文中的电子装置可以是服务器、PC、PAD、手机等。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同修改、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种网络设备的通信方法,其特征在于,包括:
获取与网络设备进行通信的活跃终端的地址;
基于所述活跃终端的地址确定所述网络设备的带内网络管理口动态地址,其中,通过所述活跃终端的地址代替所述网络设备的带内网络管理口地址,将所述活跃终端的IP地址、MAC地址以及特定的协议端口号确定为所述带内网络管理口动态地址,所述协议端口号与所述活跃终端的端口号不同;
基于所述带内网络管理口动态地址与远程管理终端进行网络通信;
所述基于所述带内网络管理口动态地址与远程管理终端进行网络通信包括:以所述带内网络管理口动态地址为源地址向所述远程管理终端发送报文,以及接收所述远程管理终端以所述带内网络管理口动态地址为目的地址发送的报文;
以所述带内网络管理口动态地址为源地址向所述远程管理终端发送报文包括:通过所述网络设备的网络处理芯片判断所述网络设备的CPU发送的第一报文的目的地址是否为所述远程管理终端的地址;在所述第一报文的目的地址是所述远程管理终端的地址的情况下,通过所述网络处理芯片将所述第一报文的源地址修改为所述带内网络管理口动态地址,并将修改源地址后的所述第一报文发送至所述远程管理终端;在所述第一报文的目的地址不是所述远程管理终端的地址的情况下,通过所述网络处理芯片将所述第一报文发送至所述第一报文的目的地址指示的设备;
所述接收所述远程管理终端以所述带内网络管理口动态地址为目的地址发送的报文包括:通过所述网络设备的网络处理芯片判断所述网络设备的业务端口接收的第二报文的源地址是否为所述远程管理终端的地址,并判断所述第二报文的目的地址是否为所述带内网络管理口动态地址;在所述第二报文的源地址是所述远程管理终端的地址,且所述第二报文的目的地址是所述带内网络管理口动态地址的情况下,通过所述网络处理芯片将所述第二报文的目的地址修改为所述网络设备的原带内网络管理口地址,并将修改目的地址后的所述第二报文发送至所述网络设备的CPU;在所述第二报文的源地址不是所述远程管理终端的地址,且所述第二报文的目的地址是所述带内网络管理口动态地址的情况下,产生告警信息,并丢弃所述第二报文。
2.根据权利要求1所述的方法,其特征在于,所述获取与网络设备进行通信的活跃终端的地址包括:
通过所述网络设备的网络处理芯片将所述网络设备采集到的报文发送至所述网络设备的CPU中;
通过所述CPU获取所述报文的源地址,并确定第一预设时间内对应报文数量最多的目标源地址,其中,所述目标源地址至少包括:源IP地址、源MAC地址;
将所述目标源地址对应的终端确定为所述活跃终端,并将所述目标源地址确定为所述活跃终端的地址。
3.根据权利要求2所述的方法,其特征在于,所述基于所述活跃终端的地址确定所述网络设备的带内网络管理口动态地址包括:
通过所述网络处理芯片将所述CPU发送的心跳报文的源地址修改为所述活跃终端的地址,并将修改源地址后的所述心跳报文发送至所述远程管理终端;
判断所述网络处理芯片是否接收到目标回应报文,其中,所述目标回应报文为所述远程管理终端针对所述心跳报文发送的回应报文;
在所述网络处理芯片接收到所述目标回应报文的情况下,将所述目标回应报文的目的地址修改为所述网络设备的原始带内网络管理口地址,并将修改目的地址后的所述目标回应报文发送至所述CPU;
通过所述CPU向所述远程管理终端发送地址注册报文,并在接收到所述远程管理终端发送的注册成功的报文的情况下,基于所述活跃终端的地址与预先配置的协议端口号确定所述网络设备的所述带内网络管理口动态地址。
4.根据权利要求3所述的方法,其特征在于,在所述判断所述网络处理芯片是否接收到目标回应报文之后,所述方法还包括:
在所述网络设备在第二预设时长内未接收到所述目标回应报文的情况下,再次执行所述将修改源地址后的所述心跳报文发送至所述远程管理终端的步骤,直至达到第三预设时长;
在达到所述第三预设时长时,所述网络设备未接收到所述目标回应报文的情况下,通过所述CPU发出告警信息,并重新执行所述获取与网络设备进行通信的活跃终端的地址的步骤。
5.根据权利要求2所述的方法,其特征在于,所述网络处理芯片中设置有带内网络管理口的临时地址寄存器和动态地址寄存器,所述将所述目标源地址确定为所述活跃终端的地址包括:将所述活跃终端的地址记录在所述临时地址寄存器中;
所述基于所述活跃终端的地址确定所述网络设备的带内网络管理口动态地址包括:将所述活跃终端的地址记录在所述动态地址寄存器中;基于远程管理协议类型配置协议端口号,并将所述协议端口号记录在所述动态地址寄存器中。
6.根据权利要求1所述的方法,其特征在于,所述网络设备的网络处理芯片的报文接收缓冲模块中设置有第一匹配处理模块和第二匹配处理模块,通过所述第一匹配处理模块执行所述以所述带内网络管理口动态地址为源地址向所述远程管理终端发送报文的步骤,通过所述第二匹配处理模块执行所述接收所述远程管理终端以所述带内网络管理口动态地址为目的地址发送的报文的步骤。
7.根据权利要求1所述的方法,其特征在于,在所述基于所述带内网络管理口动态地址与远程管理终端进行网络通信之后,所述方法还包括:
判断在第四预设时长内是否接收到源地址为所述活跃终端的地址的报文;
在所述第四预设时长内未接收到源地址为所述活跃终端的地址的报文的情况下,重新执行所述获取与网络设备进行通信的活跃终端的地址的步骤,并基于重新获取到的活跃终端的地址确定所述网络设备的带内网络管理口动态地址。
8.一种网络设备的通信装置,其特征在于,包括:
获取单元,用于获取与网络设备进行通信的活跃终端的地址;
确定单元,用于基于所述活跃终端的地址确定所述网络设备的带内网络管理口动态地址,其中,通过所述活跃终端的地址代替所述网络设备的带内网络管理口地址,将所述活跃终端的IP地址、MAC地址以及特定的协议端口号确定为所述带内网络管理口动态地址,所述协议端口号与所述活跃终端的端口号不同;
通信单元,用于基于所述带内网络管理口动态地址与远程管理终端进行网络通信;
所述通信单元包括:发送模块,用于以所述带内网络管理口动态地址为源地址向所述远程管理终端发送报文,接收模块,用于接收所述远程管理终端以所述带内网络管理口动态地址为目的地址发送的报文;
所述发送模块包括:第一判断子模块,用于通过所述网络设备的网络处理芯片判断所述网络设备的CPU发送的第一报文的目的地址是否为所述远程管理终端的地址;第一修改子模块,用于在所述第一报文的目的地址是所述远程管理终端的地址的情况下,通过所述网络处理芯片将所述第一报文的源地址修改为所述带内网络管理口动态地址,并将修改源地址后的所述第一报文发送至所述远程管理终端;发送子模块,用于在所述第一报文的目的地址不是所述远程管理终端的地址的情况下,通过所述网络处理芯片将所述第一报文发送至所述第一报文的目的地址指示的设备;
所述接收模块包括:第二判断子模块,用于通过所述网络设备的网络处理芯片判断所述网络设备的业务端口接收的第二报文的源地址是否为所述远程管理终端的地址,并判断所述第二报文的目的地址是否为所述带内网络管理口动态地址;第二修改子模块,用于在所述第二报文的源地址是所述远程管理终端的地址,且所述第二报文的目的地址是所述带内网络管理口动态地址的情况下,通过所述网络处理芯片将所述第二报文的目的地址修改为所述网络设备的原带内网络管理口地址,并将修改目的地址后的所述第二报文发送至所述网络设备的CPU;告警子模块,用于在所述第二报文的源地址不是所述远程管理终端的地址,且所述第二报文的目的地址是所述带内网络管理口动态地址的情况下,产生告警信息,并丢弃所述第二报文。
9.一种非易失性存储介质,其特征在于,所非易失性存储介质包括存储的程序,其中,所述程序运行时控制所述非易失性存储介质所在的设备执行权利要求1至7中任意一项所述的网络设备的通信方法。
10.一种电子装置,其特征在于,包含处理器和存储器,所述存储器中存储有计算机可读指令,所述处理器用于运行所述计算机可读指令,其中,所述计算机可读指令运行时执行权利要求1至7中任意一项所述的网络设备的通信方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110488912.8A CN113098904B (zh) | 2021-04-28 | 2021-04-28 | 网络设备的通信方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110488912.8A CN113098904B (zh) | 2021-04-28 | 2021-04-28 | 网络设备的通信方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113098904A CN113098904A (zh) | 2021-07-09 |
CN113098904B true CN113098904B (zh) | 2023-08-15 |
Family
ID=76681656
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110488912.8A Active CN113098904B (zh) | 2021-04-28 | 2021-04-28 | 网络设备的通信方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113098904B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012101859A1 (ja) * | 2011-01-28 | 2012-08-02 | 株式会社日立国際電気 | ネットワークシステム、ネットワーク機器、および、ネットワーク情報設定方法 |
CN106413127A (zh) * | 2016-09-26 | 2017-02-15 | 京信通信技术(广州)有限公司 | Relay设备连接远程网管服务器的方法、系统及Relay设备 |
CN110445770A (zh) * | 2019-07-18 | 2019-11-12 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
CN111464666A (zh) * | 2020-03-11 | 2020-07-28 | 北京吉芯网安技术有限公司 | 通信方法、装置、存储介质及处理器 |
-
2021
- 2021-04-28 CN CN202110488912.8A patent/CN113098904B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012101859A1 (ja) * | 2011-01-28 | 2012-08-02 | 株式会社日立国際電気 | ネットワークシステム、ネットワーク機器、および、ネットワーク情報設定方法 |
CN106413127A (zh) * | 2016-09-26 | 2017-02-15 | 京信通信技术(广州)有限公司 | Relay设备连接远程网管服务器的方法、系统及Relay设备 |
CN110445770A (zh) * | 2019-07-18 | 2019-11-12 | 平安科技(深圳)有限公司 | 网络攻击源定位及防护方法、电子设备及计算机存储介质 |
CN111464666A (zh) * | 2020-03-11 | 2020-07-28 | 北京吉芯网安技术有限公司 | 通信方法、装置、存储介质及处理器 |
Also Published As
Publication number | Publication date |
---|---|
CN113098904A (zh) | 2021-07-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4732257B2 (ja) | 中継装置、経路制御方法、及び経路制御プログラム | |
CN111447089B (zh) | 终端资产识别方法和装置,及计算机可读存储介质 | |
US9444821B2 (en) | Management server, communication cutoff device and information processing system | |
CN107544835B (zh) | 一种虚拟机业务网口的检测方法和装置 | |
JP2022531878A (ja) | Dnsメッセージを使用してコンピュータ・フォレンジック・データを選択的に収集するためのシステムおよび方法 | |
WO2018113731A1 (zh) | 降低dns劫持风险的方法和装置 | |
CN111263377B (zh) | 网络配置方法、装置、设备、系统和配网测试方法、系统 | |
WO2018010616A1 (zh) | 基于链路层的网络管理 | |
CN114465791B (zh) | 网管设备中白名单的建立方法、装置、存储介质及处理器 | |
US9961163B2 (en) | Method and system for notifying subscriber devices in ISP networks | |
US9509777B2 (en) | Connection method and management server | |
CN114826969A (zh) | 网络连通性检查方法、装置、设备及存储介质 | |
CN113098904B (zh) | 网络设备的通信方法及装置 | |
CN111464666B (zh) | 通信方法、装置、存储介质及处理器 | |
EP2854040A2 (en) | Information processing apparatus, information processing system, and program | |
US20050201391A1 (en) | Network address translation router and related method | |
CN110048909B (zh) | 网络运维方法及装置 | |
CN116719868A (zh) | 网络资产的识别方法、装置及设备 | |
CN115801653A (zh) | 网络探测方法、系统、电子装置和可读存储介质 | |
CN111683063B (zh) | 消息处理方法、系统、装置、存储介质及处理器 | |
CN115086208A (zh) | 一种网卡检测方法、装置及电子设备和存储介质 | |
CN114978600A (zh) | 异常流量处理方法、系统、设备及存储介质 | |
US20170289099A1 (en) | Method and Device for Managing Internet Protocol Version 6 Address, and Terminal | |
CN103986800A (zh) | 一种基于arp的动态式ip资源管理方法及其系统 | |
KR20040003977A (ko) | 아이피 충돌 검출/차단 시스템 및 그 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |