CN113315848B - 访问控制方法、装置及设备 - Google Patents
访问控制方法、装置及设备 Download PDFInfo
- Publication number
- CN113315848B CN113315848B CN202010124794.8A CN202010124794A CN113315848B CN 113315848 B CN113315848 B CN 113315848B CN 202010124794 A CN202010124794 A CN 202010124794A CN 113315848 B CN113315848 B CN 113315848B
- Authority
- CN
- China
- Prior art keywords
- domain name
- access
- network
- target
- network address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 70
- 238000004891 communication Methods 0.000 claims abstract description 26
- 230000004044 response Effects 0.000 description 23
- 238000004590 computer program Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000013519 translation Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
- H04L45/745—Address table lookup; Address filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种访问控制方法、装置及设备,应用于访问控制设备,访问控制设备用于与云网络的接入网关以及云网络之外的访问设备通信连接,该方法包括:在从访问设备接收到DNS请求报文的情况下,确定DNS请求报文所请求域名的目标网络地址;根据域名的目标网络地址,在预设路由表中添加目标路由信息,目标路由信息用于将访问设备发送的目的地址为目标网络地址的报文转发至接入网关,以使访问设备能够通过云网络与目标网络地址的网络设备通信。本申请实现了云网络之外的访问设备能够通过云网络进行域名访问,为云网络之外云计算用户的访问设备提供一种新的域名访问的方式。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种访问控制方法、装置及设备。
背景技术
随着计算机技术的不断发展,云计算的应用越来越广泛,多台云计算设备可以形成云网络。
通常,云计算用户的访问设备是位于云网络之外,当该访问设备需要访问特定域名时,访问设备可以向公网中的局部域名系统(Domain Name System,DNS)服务器发送针对该特定域名的DNS请求报文,通过公网获得特定域名的目标网络地址,并根据特定域名的目标网络地址通过公网与特定域名对应的网络设备进行通信,以实现对特定域名的访问。
然而,公网的使用者众多,网络资源竞争较大,如何为云网络之外云计算用户的访问设备提供一种新的域名访问的方式,成为目前亟待解决的问题。
发明内容
本申请实施例提供一种访问控制方法、装置及设备,用以解决现有技术中如何为云网络之外云计算用户的访问设备提供一种新的域名访问的方式的问题。
第一方面,本申请实施例提供一种访问控制方法,应用于访问控制设备,所述访问控制设备用于与云网络的接入网关以及所述云网络之外的访问设备通信连接,所述方法包括:
在从所述访问设备接收到DNS请求报文的情况下,确定所述DNS请求报文所请求域名的目标网络地址;
根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,所述目标路由信息用于将所述访问设备发送的目的地址为所述目标网络地址的报文转发至所述接入网关,以使所述访问设备能够通过所述云网络与所述目标网络地址的网络设备通信。
第二方面,本申请实施例提供一种访问控制方法,应用于访问控制设备,所述访问控制设备用于与内部网路的接入网关以及所述内部网路之外的访问设备通信连接,所述方法包括:
在从所述访问设备接收到DNS请求报文的情况下,确定所述DNS请求报文所请求域名的目标网络地址;
根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,所述目标路由信息用于将所述访问设备发送的目的地址为所述目标网络地址的报文转发至所述接入网关,以使所述访问设备能够通过所述内部网路与所述目标网络地址的网络设备通信。
第三方面,本申请实施例提供一种访问控制装置,应用于访问控制设备,所述访问控制设备用于与云网络的接入网关以及所述云网络之外的访问设备通信连接,所述装置包括:
确定模块,用于在从所述访问设备接收到DNS请求报文的情况下,确定所述DNS请求报文所请求域名的目标网络地址;
路由模块,用于根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,所述目标路由信息用于将所述访问设备发送的目的地址为所述目标网络地址的报文转发至所述接入网关,以使所述访问设备能够通过所述云网络与所述目标网络地址的网络设备通信。
第四方面,本申请实施例提供一种访问控制装置,应用于访问控制设备,所述访问控制设备用于与内部网路的接入网关以及所述内部网路之外的访问设备通信连接,所述装置包括:
确定模块,用于在从所述访问设备接收到DNS请求报文的情况下,确定所述DNS请求报文所请求域名的目标网络地址;
路由模块,用于根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,所述目标路由信息用于将所述访问设备发送的目的地址为所述目标网络地址的报文转发至所述接入网关,以使所述访问设备能够通过所述内部网路与所述目标网络地址的网络设备通信。
第五方面,本申请实施例提供一种访问控制设备,包括:存储器、处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现如上述第一方面任一项所述的方法。
第六方面,本申请实施例提供一种访问控制设备,包括:存储器、处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现如上述第二方面任一项所述的方法。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包含至少一段代码,所述至少一段代码可由计算机执行,以控制所述计算机执行如第一方面任一项所述的方法。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序包含至少一段代码,所述至少一段代码可由计算机执行,以控制所述计算机执行如第二方面任一项所述的方法。
本申请实施例还提供一种计算机程序,当所述计算机程序被计算机执行时,用于实现如第一方面任一项所述的方法。
本申请实施例还提供一种计算机程序,当所述计算机程序被计算机执行时,用于实现如第二方面任一项所述的方法。
本申请实施例提供的访问控制方法、装置及设备,通过在从云网络之外的访问设备接收到DNS请求报文的情况下,确定DNS请求报文所请求域名的目标网络地址,根据域名的目标网络地址,在预设路由表中添加目标路由信息,目标路由信息用于将访问设备发送的目的地址为目标网络地址的报文转发至云网络的接入网关,使得云网络之外的访问设备能够通过云网络与目标网络地址的网络设备进行通信,实现了云网络之外的访问设备能够通过云网络进行域名访问,为云网络之外云计算用户的访问设备提供一种新的域名访问的方式。并且,由于云网络的使用者较公网要少很多,网络资源竞争较小,因此也能够提高用户访问域名的速度,有利于提高用户的使用体验。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1-图3为本申请实施例的应用场景示意图;
图4为本申请一实施例提供的访问控制方法的流程示意图;
图5为本申请另一实施例提供的访问控制方法的流程示意图;
图6为本申请一实施例提供的访问控制装置的结构示意图;
图7为本申请一实施例提供的访问控制设备的结构示意图;
图8为本申请另一实施例提供的访问控制装置的结构示意图;
图9为本申请另一实施例提供的访问控制设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本申请实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义,“多种”一般包含至少两种,但是不排除包含至少一种的情况。
应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的商品或者系统中还存在另外的相同要素。
另外,下述各方法实施例中的步骤时序仅为一种举例,而非严格限定。
为了方便本领域技术人员理解本申请实施例提供的技术方案,下面先对技术方案实现的技术环境进行说明。
相关技术中比较常用的访问控制方法,云网络之外云计算用户的访问设备是通过公网实现针对特定域名的访问,但是由于公网的使用者众多,网络资源竞争较大,因此相关技术中亟需一种为云网络之外云计算用户的访问设备提供一种新的域名访问的方式。
基于类似于上文所述的实际技术需求,本申请提供的访问控制方法可以利用技术化的手段为云网络之外云计算用户的访问设备提供一种新的域名访问的方式。
下面通过一个示例性的业务场景具体说明本申请各个实施例提供的访问控制方法。
如图1所示,访问设备11在需要访问一个域名,且本地未保存该域名的目标网络地址的情况下,可以向访问控制设备12发送针对该域名的DNS请求报文,以向访问控制设备12请求该域名的目标网络地址。访问控制设备12可以作为访问设备11的DNS服务器,即,访问设备11发送的DNS请求报文的目的地址可以为访问控制设备12的网络地址,以请求访问控制设备12解析域名的目标网络地址,由此访问控制设备12能够接收到来自访问设备11的DNS请求报文。
其中,访问设备11具体可以为云计算用户的设备,访问设备11例如可以为个人计算机(personal computer,PC),当然,在其他实施例中,访问设备11还可以为其他类型设备,本申请对此不作限定。访问设备11与访问控制设备12之间可以通过局域网通信连接,当然,在其他实施例中,访问设备11与访问控制设备12也可以通过其他方式通信连接,本申请对此不作限定。
需要说明的是,图1中以与访问控制设备12连接的访问设备11的个数为一个为例,可以理解的是,访问设备11的个数可以为多个,该多个访问设备可以为同一云计算用户的设备。
需要说明的是,图1中以访问控制设备12与接入网关13直接通信连接为例,可以理解的是,访问控制设备12与接入网关13之间还可以连接有其他网络设备,例如交换机,本申请对此不做限定。
访问控制设备12在接收到DNS请求报文情况下,可以确定DNS请求报文所请求该域名的目标网络地址。可选的,访问控制设备12本地可以保存最近一段时间内获取到的域名的目标网络地址,由此可以先在本地存储空间中查询域名的目标网络地址,若未查询到该域名的目标网络地址,访问控制设备12可以请求其他设备解析该域名的目标网络地址;或者,访问控制设备12可以直接请求其他设备解析该域名的目标网络地址。其中,访问控制设备12具体可以为能够用于与云计算用户的访问设备11以及云网络的接入网关13通信的设备,访问控制设备12例如可以为智能接入网关(Smart Access Gateway,SAG),当然,在其他实施例中,访问控制设备12还可以为其他类型设备。
为了使得云网络能够控制通过其访问的域名范围,如图1所示,访问控制设备12可以通过云网络的接入网关13请求云网络中的域名服务器14解析域名的目标网络地址。如图1所示,访问控制设备12可以将接收到的DNS请求报文转发至接入网关13,由接入网关将DNS请求转发至域名服务器14。具体的,访问控制设备12可以将DNS请求报文的源地址转换为访问控制设备12的网络地址,将DNS请求的目的地址转换为域名服务器14的网络地址,并基于预设路由表中的特定路由信息将DNS请求报文通过接入网关13转发至域名服务器14。其中,所述特定路由信息用于将目的地址为所述云网络中域名服务器的网络地址的DNS请求报文转发至所述云网络中的域名服务器。
需要说明的是,访问控制设备12与接入网关13之间可以通过公网通信,当然,在其他实施例中,访问控制设备12与接入网关13之间也可以通过其他方式通信,本申请不做限定。接入网关13可以用于接入云网络,接入网关13与域名服务器14之间可以通过云网络通信。
域名服务器14在接收到DNS请求报文之后,可以根据DNS请求报文解析该域名的目标网络地址,此时存在两种情况:第一种,域名服务器14成功解析出该域名的目标网络地址,基于此,可以认为该域名是能够通过云网络访问的域名;第二种,域名服务器14未成功解析出该域名的目标网络地址,基于此,可以认为该域名是不能够通过云网络访问的域名。具体的,域名服务器14在根据DNS请求报文进行域名的解析之后,可以返回对应的DNS响应报文,在解析成功时DNS响应报文可以为肯定应答报文,且其中可以包括域名的目标网络地址,在解析失败时DNS响应报文可以为否定应答报文。域名服务器14可以将DNS响应报文通过接入网关13发送至访问控制设备12。
对于第二种情况,在访问控制设备12确定域名服务器14未成功解析域名的情况下,访问控制设备12进一步可以公网请求解析该域名的目标网络地址。
或者,为了避免域名服务器14对于云网络非感兴趣域名的不必要解析,如图1所示,访问控制设备12在接收到访问设备11发送的DNS请求报文之后,可以在DNS请求报文所请求的域名是云网络感兴趣的域名的情况下,则将接收到的DNS请求报文转发至接入网关13,由接入网关将DNS请求转发域名服务器14进行域名解析,在DNS请求报文所请求的域名不是云网络感兴趣的域名的情况下,则请求因特网(Internet)15即公网,对DNS请求报文所请求的域名进行解析。其中,访问控制设备12可以基于预设路由表中的默认路由信息将DNS请求报文转发至公网中的网络设备以由公网中的域名服务器进行域名解析,或者可以基于预设路由表中的特定路由信息将DNS请求报文转发至云网络中的域名服务器以由云网络中的域名服务器进行域名解析。所述默认路由信息用于将报文转发至公网中的网络设备,其优先级可以低于特定路由信息,先基于特定路由信息进行路由匹配,若匹配则基于特定路由信息进行转发,若不匹配则可以基于所述默认路由信息进行转发。
其中,云网络感兴趣的域名可以包括公网域名和/或云网络中的私有域名。通过云网络感兴趣的域名包括公网域名,实现了通过云网络加速公网域名的访问。通过云网络感兴趣的域名包括私有域名,使得访问设备11可以在云网络之外访问云网络中的私有域名,为用户提供了新的访问云网络中私有域名的方式,与相关技术中用户的访问设备只有在云网络中才能访问云网络中的私有域名相比,提高了用户访问云网络中私有域名的灵活性。可以理解的是,对于能够通过云网络访问的公有域名,可替换的,访问控制设备12也可以通过公网请求解析其网络地址,而在之后的公有域名的报文转发可以经过云网络,基于此,访问控制设备12在后续添加目标路由信息时需要进一步对域名进行判断。
可选的,能够通过云网络访问的公网域名和私有域名可以对应云网络中不同的域名服务器,如图2所示,第一域名服务器141可以用于解析能够云网络访问的公网域名,第二域名服务器142可以用于解析能够通过云网络访问的私有域名。假设域名a为不能够通过云网络访问的公网域名,域名b为能够通过云网络访问的公网域名,域名c为能够通过云网络访问的云网络中的私有域名,则如图2所示,在访问设备11将针对域名a的DNS请求报文发送至访问控制设备12之后,访问控制设备12可以通过公网对针对域名a的DNS请求报文进行转发,以请求公网中的域名服务器解析域名a的网络地址,从而得到域名a的网络地址a’;在访问设备11将针对域名b的DNS请求报文发送至访问控制设备12之后,访问控制设备12可以通过接入网关13对针对域名b的DNS请求报文进行转发,以请求云网络中的第一域名服务器解析域名b的网络地址,从而得到域名b的网络地址b’;在访问设备11将针对域名c的DNS请求报文发送至访问控制设备12之后,访问控制设备12可以通过接入网关13对针对域名c的DNS请求报文进行转发,以请求云网络中的第二域名服务器解析域名c的网络地址,从而得到域名c的网络地址c’。
在访问控制设备12确定域名的目标网络地址之后,可以根据确定的域名的目标网络地址在本地的路由表中添加目标路由信息,所述目标路由信息用于将访问设备11发送的目的地址为所述目标网络地址的报文转发至接入网关13,以使访问设备11能够通过所述云网络与所述目标网络地址的网络设备通信。可以理解的是,访问控制设备12在确定域名的目标网络地址之后,还可以将域名的目标网络地址作为针对访问设备11发送的DNS请求的应答转发至访问设备11,以使访问设备11能够将域名的目标网络地址作为目的地址发送报文。
示例性的,在云网络中的域名服务器用于解析云网络感兴趣的域名情况下,访问控制设备12针对接入网关13返回的DNS响应报文,可以在本地的路由表中添加对应的目标路由信息。在公网中的域名服务器用于解析云网络感兴趣的域名情况下,访问控制设备12针对公网返回的DNS响应报文,可以进一步判断DNS响应报文所针对的域名是否是云网络感兴趣的域名,若是则可以在本地的路由表中添加对应的目标路由信息。
基于此,在图2的基础上,如图3所示,在访问设备11将需要发送至网络地址a’的报文a”发送至访问控制设备12之后,访问控制设备12可以通过公网对报文a”进行转发,以通过公网将报文a”转发至网络地址a’的网络设备(未示出),从而支持云网络之外的访问设备11通过公网访问云网络不感兴趣的公网域名a。
在访问设备11将需要发送至网络地址b’的报文b”发送至访问控制设备12之后,访问控制设备12可以通过接入网关13对报文b”进行转发,由接入网关13将针对报文b”转发至云网络中的X网关(Gateway,GW)16,由XGW 16转发至网络地址转换(Network AddressTranslation,NAT)GW17,并由NAT GW17转发至网络地址b’的网络设备(未示出),从而实现云网络之外的访问设备11通过云网络访问云网络感兴趣的公网域名b。
在访问设备11将需要发送至网络地址c’的报文c”发送至访问控制设备12之后,访问控制设备12可以通过接入网关13对报文c”进行转发,由接入网关13将报文c”转发至云网络中的私有域名所属的专有网络(Virtual Private Cloud,VPC)18,从而实现云网络之外的访问设备11通过云网络访问云网络中的私有域名c。
需要说明的是,图3中XGW16、NAT GW17以及VPC18均属于云网络,且图3所示的云网络的架构仅为举例。
需要说明的是,以上主要描述了访问控制设备12通过云网络转发访问设备11上行报文,例如DNS请求报文以及报文b”、报文c”的过程。可以理解的是,在上行报文通过云网络转发的情况下,下行报文例如DNS响应报文以及访问设备11的对端设备发送给访问设备11的报文,也是经过云网络转发。
示例性的,可以由云网络中的路由控制设备下发路由信息至接入网关13,以便接入网关13能够根据该路由信息将云网络中需要发送至访问控制设备12的报文转发至访问控制设备12,进而可以由访问控制设备12转发至访问设备11。例如,访问控制设备12的网络地址可以属于特定网段,路由控制设备可以向接入网关13配置目的地址属于该特定网段,且下一跳为访问控制设备12的路由信息,基于此接入网关13在接收到目的地址为访问控制设备12的报文后,可以根据路由控制设备配置的路由信息将报文转发至访问控制设备12。
需要说明的是,图1-图3所示应用场景中,相对于云网络之外的网络,云网络可以理解为一种内部网络(即,内网),而云网络之外的网络可以理解为相对于云网络的外部网络(即,外网)。本申请实施例可以应用于所有外网中的设备访问内网上的设备(例如,云网络之外的设备访问云上私有域名,或者内网之外的设备访问内网服务器),或者,通过内网访问外网上设备(例如,云网络之外的设备借助云网络访问公网服务器,或者,内网之外的设备借助内网访问公网服务器)的场景。以下,主要以云网络为例进行具体说明。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
图4为本申请一实施例提供的访问控制方法的流程示意图,本实施例的执行主体可以为图1中的访问控制设备12。如图4所示,本实施例的方法可以包括:
步骤401,在从访问设备接收到DNS请求报文的情况下,确定所述DNS请求报文所请求域名的目标网络地址;
步骤402,根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,所述目标路由信息用于将所述访问设备发送的目的地址为所述目标网络地址的报文转发至所述接入网关,以使所述访问设备能够通过所述云网络与所述目标网络地址的网络设备通信。
本申请实施例中,访问控制设备在接收DNS请求之前,可以先确定自身作为访问设备的域名服务器时的网络地址,该网络地址具体可以为互联网协议(Internet Protocol,IP)地址。
示例性的,访问控制设备可以基于用户配置确定自身作为DNS Server的网络地址。可选的,1)用户可以在访问控制设备的控制界面中设置访问控制设备作为DNS Server的网络地址;或者,2)可以将用户配置的访问控制设备源网络地址转换(Source NetworkAddress Translation,SNAT)功能的源地址确定为访问控制设备作为DNS Server的网络地址;或者,3)可以将用户配置的访问控制设备局域网(Local Area Network,LAN)侧GW时的网络地址确定为访问控制设备作为DNS Server的网络地址。其中,方式1)可以优先于方式2)和方式3)生效,方式2)可以优先于方式3)生效,从而提高了访问控制设备确定自身作为DNS Server的网络地址的灵活性。
本申请实施例中,访问控制设备在确定自身作为DNS Server的网络地址之后,可以将自身作为DNS server的网络地址通知给其下挂的访问设备,以便访问设备可以将访问控制设备作为域名服务器。访问设备在获知访问控制设备作为DNS Server的网络地址之后,在需要解析一个域名时,可以向访问控制设备发送针对该域名的DNS请求报文。此时,DNS请求报文的源地址可以为访问设备的网络地址,DNS请求报文的目的地址可以为访问控制设备作为DNS Server的网络地址(以下简称为访问控制设备的网络地址)。
本申请实施例中,访问控制设备在接收到访问设备的DNS请求之后,可以将通过如下方式一至方式三中的任意一种确定所述DNS请求报文所请求域名的目标网络地址。方式一,可以从本地存储中查询所述域名的目标网络地址;方式二,可以请求公网解析所述域名的目标网络地址;方式三,可以请求云网络解析所述域名的目标网络地址。其中,方式一可以优先于方式二和方式三。
针对方式一,考虑到能够通过云网络访问的域名较难实现为公网中的全部域名,因此在从本地存储中查询获得所述域名的目标网络地址之后,可以进一步判断所述域名是否属于域名集合,所述域名集合包括需要通过所述云网络访问的域名;若所述域名属于所述域名集合,则进一步执行步骤402,以使所述访问设备能够通过所述云网络与所述目标网络地址的网络设备通信。其中,所述域名集合可以由云网络中的其他设备配置给访问控制设备,当然,在其他实施例中,访问控制设备可以通过其他方式获得域名集合,本申请对此不做限定。
进一步的,为了向访问设备提供公网访问域名的方式,访问控制设备中还可以前述默认路由信息,相应的访问控制设备还可以执行如下步骤:若所述域名不属于所述域名集合,则不执行步骤402,访问控制设备可以基于所述默认路由信息支持访问设备通过公网与所述目标网络地址的网络设备通信。
针对方式二,请求公网解析的域名可以包括能够通过云网络访问的域名,基于此,在通过请求公网解析所述域名的目标网络地址之后可以进一步判断所述域名是否属于域名集合,所述域名集合包括需要通过所述云网络访问的域名;若所述域名属于所述域名集合,则进一步执行步骤402,以使所述访问设备能够通过所述云网络与所述目标网络地址的网络设备通信。进一步的,为了向访问设备提供公网访问域名的方式,访问控制设备还可以执行如下步骤:若所述域名不属于所述域名集合,则访问控制设备可以基于所述默认路由信息支持访问设备通过公网与所述目标网络地址的网络设备通信。
或者,针对方式二,请求公网解析的域名可以均为不能够通过云网络访问的域名,基于此,在通过请求公网解析所述域名的目标网络地址之后不执行步骤402,而是基于访问控制设备的所述默认路由信息使得访问设备可以通过公网与所述目标网络地址的网络设备通信。基于此,方式二与方式三之间可以存在优先级关系,或者,方式二与方式三之间可以不存在优先级关系。
对于方式二与方式三之间存在优先级关系的场景,步骤401具体可以包括:在从所述访问设备接收到DNS请求报文的情况下,通过云网络的接入网关请求所述云网络中的域名服务器解析所述域名的目标网络地址。此时,存在两种情况,第一种云网络中的域名服务器成功解析出所述域名的目标网络地址,基于此可以认为该域名是能够通过云网络访问的域名,由此进一步执行步骤402;第二种域名服务器未成功解析出该域名的目标网络地址,基于此可以认为该域名是不能够通过云网络访问的域名,由此可以不执行步骤402。
进一步的,为了确保所述域名的正常访问,访问控制设备还可以执行如下步骤:在所述云网络中的域名服务器未成功解析所述域名的情况下,请求公网中的域名服务器解析所述域名的目标网络地址。具体的,访问控制设备可以将所述DNS请求转发至公网中的域名服务器,以便所述公网中的域名服务器能够对所述域名就进行解析,并将解析获得的所述域名的目标网络地址通过DNS响应返回给所述访问控制设备,进一步,所述访问控制设备可以DNS响应转发给访问设备。基于此,访问控制设备可以基于所述默认路由信息支持访问设备通过公网与所述目标网络地址的网络设备通信。
对于方式二与方式三之间不存在优先级关系的场景,步骤401具体可以包括:在所述域名属于域名集合时,通过所述云网络的接入网关请求所述云网络中的域名服务器解析所述域名的目标网络地址,所述域名集合包括需要通过所述云网络访问的域名;若所述域名属于所述域名集合。基于此可以认为该域名是能够通过云网络访问的域名,由此进一步执行步骤402。
进一步的,为了向访问设备提供公网访问域名的方式,访问控制设备还可以执行如下步骤:在所述域名不属于所述域名集合时,请求公网中的域名服务器解析所述域名的目标网络地址。基于此可以认为所述域名是不能够通过云网络访问的域名,由此可以不执行步骤402。
对于前述方式二与方式三之间可以存在优先级关系,或者,方式二与方式三之间可以不存在优先级关系的场景,步骤402具体可以包括:在所述域名的目标网络地址由所述云网络中的域名服务器解析获得的情况下,根据所述域名的目标网络地址,在预设路由表中添加目标路由信息。从而,实现了能够通过云网络访问的域名均由云网络中的域名服务器解析,基于此访问控制设备可以监听云网络的接入网关返回的DNS响应,并针对接入网关返回的DNS响应在预设路由表中添加目标路由信息,有利于简化实现。其中,预设路由表可以为访问控制设备本地存储的路由表,通过预设路由表为访问控制设备本地存储的路由表,可以便于访问控制设备基于路由表进行路由匹配,有利于提高访问控制设备的转发效率。当然,在其他实施例中,预设路由表也可以存储在访问控制设备之外。
本申请实施例中,在访问控制设备请求云网络解析所述域名时,所述访问控制设备可以将从访问设备接收到的DNS请求报文的源地址修改为访问控制设备的网络地址,并将DNS请求报文的目的地址修改为所述云网络中域名服务器的网络地址,并将修改地址之后的DNS请求报文转发至云网络的接入网关,并由接入网关转发至云网络中的域名服务器。之后,云网络中的域名服务器可以将针对该DNS请求报文的DNS响应报文返回至接入网关,该DNS响应报文的源地址可以为云网络中域名服务器的网络地址,DNS响应报文的目的地址可以为访问控制设备的网络地址。然后,访问控制设备可以针对接收到的DNS响应报文在预设路由表中添加目标路由信息,所述目标路由信息的目的地址可以为所述域名的目标网络地址,所述目标路由信息的下一跳为所述接入网关。另外,访问控制设备还可以将DNS响应报文的源地址修改为访问控制设备的网络地址,并将DNS响应报文的目的地址修改为访问设备,以将DNS响应报文转发至访问设备,使得访问设备可以获知所述域名的目标网络地址,从而能够进一步根据所述域名的目标网络地址向所述目标网络地址的网络设备发送报文。
其中,所述云网络中域名服务器的网络地址可以由云网络中的其他设备配置给访问控制设备,当然,在其他实施例中,访问控制设备可以通过其他方式获得所述云网络中域名服务器的网络地址,本申请对此不做限定。访问控制设备在获得云网络中域名服务器的网络地址之后,为了使得DNS请求能够转发至云网络,访问控制设备可以根据云网络中域名服务器的网络地址在预设路由表中添加特定路由信息,所述特定路由信息用于将目的地址为所述云网络中域名服务器的网络地址的DNS请求报文转发至所述云网络中的域名服务器。
本申请实施例中,所述访问控制设备与所述接入网关之间可以采用隧道协议进行通信,以提高通信的安全性。当然,在其他实施例中,访问控制设备与所述接入网关之间也可以采用其他协议进行通信,本申请对此不做限定。
本申请实施例中,所述域名集合可以包括第一域名集合和第二域名集合,所述第一域名集合可以包括需要通过所述云网络访问的公网域名,所述第二域名集合可以包括需要通过所述云网络访问的私有域名。通过第一域名集合可以实现通过云网络加速公网域名的访问。通过第二域名集合使得访问设备可以在云网络之外访问云网络中的私有域名,为用户提供了新的访问云网络中私有域名的方式,与相关技术中用户的访问设备只有在云网络中才能访问云网络中的私有域名相比,提高了用户访问云网络中私有域名的灵活性。
本申请实施例中,可以由不同云网络中的不同域名服务器针对第一域名集合和第二域名集合中的域名进行域名解析。示例性的,在所述域名属于所述域名集合时,通过所述接入网关请求所述云网络中的域名服务器解析所述域名的目标网络地址,具体可以包括:在所述域名属于所述第一域名集合时,通过所述接入网关请求所述云网络中针对所述第一域名集合的第一域名服务器解析所述域名的目标网络地址;或者,在所述域名属于所述第二域名集合时,通过所述接入网关请求所述云网络中针对所述第二域名集合的第二域名服务器解析所述域名的目标网络地址。
基于此,实现了属于第一域名集合的域名即能够通过云网络访问的公网域名,通过第一域名服务器进行解析,属于第二域名集合的域名即云网络中的私有域名,通过第二域名服务器进行解析。类似的,所述第一域名服务器的网络地址与第一域名集合的对应关系,以及所述第二域名服务器的网络地址与第二域名集合的对应关系可以由云网络中的其他设备配置给访问控制设备。例如,其他设备可以向访问控制设备配置第一域名集合的标识/第一域名服务器的IP地址,以及第二域名集合的标识/第二域名服务器的IP地址。
本申请实施例中,在所述接入控制设备在预设路由表中添加目标路由信息之后,可以根据目标路由信息将从访问设备接收到的目的地址为所述域名的目标网络地址的报文通过云网络转发至所述目标网络地址的网络设备,以实现访问设备能够通过云网络与所述目标网络地址的网络设备通信。所述根据所述域名的目标网络地址,在预设路由表中添加目标路由信息之后,还可以包括:针对来自所述访问设备的目的地址为所述域名的目标网络地址的报文,根据所述目标路由信息,将所述报文转发至所述接入网关,以使所述访问设备能够通过所述云网络与所述目标网络地址的网络设备通信。具体的,所述接入网关在接收到报文之后,可以根据所述报文的目的地址对所述报文进行进一步转发,并最终将所述报文转发至所述目标网络地址的网络设备。可以理解的是,所述目标网络地址的网络设备可以为公网中的网络设备,或者,也可以为所述云网络中的网络设备。
本申请实施例中,前述默认路由信息的优先级低于所述目标路由信息。由于所述默认路由信息的优先级低于所述目标路由信息,因此,在访问控制设备需要对一报文进行转发时,可以判断报文的目的地址是否与目标路由信息的目的地址匹配,若匹配,则基于目标路由信息进行路由转发。若不匹配,则可以基于默认路由信息进行转发。
进一步的,为了提高通信的可靠性,还可以包括:在确定所述访问控制设备与所述接入网关的通信链路故障情况下,将所述目标路由信息从所述预设路由表中删除。通过将所述目标路由信息从所述预设路由表中删除,实现了原本基于目标路由信息进行转发的报文可以基于默认路由信息进行转发,使得在访问控制设备与接入网关的通信链路故障的情况下,可以转而由公网支持访问设备与目标网络地址的网络设备之间的报文转发,避免了访问控制设备与接入网关的通信链路故障,导致访问设备与目标网络地址的网络设备之间的通信中断的问题。
类似的,对于前述的特定路由信息,在确定所述访问控制设备与所述接入网关的通信链路故障情况下,还可以将所述特定路由信息从所述预设路由表中删除。通过将所述目标路由信息从所述预设路由表中删除,实现了原本基于特定路由信息进行转发的DNS请求报文可以基于默认路由信息进行转发,使得在访问控制设备与接入网关的通信链路故障的情况下,可以转而由公网支持访问设备的DNS请求,避免了访问控制设备与接入网关的通信链路故障,导致访问设备无法获得云网络感兴趣域名的网络地址的问题。
本申请实施例提供的访问控制方法,通过在从云网络之外的访问设备接收到DNS请求报文的情况下,确定DNS请求报文所请求域名的目标网络地址,根据域名的目标网络地址,在预设路由表中添加目标路由信息,目标路由信息用于将访问设备发送的目的地址为目标网络地址的报文转发至云网络的接入网关,使得云网络之外的访问设备能够通过云网络与目标网络地址的网络设备进行通信,实现了云网络之外的访问设备能够通过云网络进行域名访问,为云网络之外云计算用户的访问设备提供一种新的域名访问的方式。并且,由于云网络的使用者较公网要少很多,网络资源竞争较小,因此也能够提高用户访问域名的速度,有利于提高用户的使用体验。
图5为本申请另一实施例提供的访问控制方法的流程示意图,本实施例的执行主体可以为图1中的访问控制设备12。如图5所示,本实施例的方法可以包括:
步骤501,在从所述访问设备接收到DNS请求报文的情况下,确定所述DNS请求报文所请求域名的目标网络地址;
步骤502,根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,所述目标路由信息用于将所述访问设备发送的目的地址为所述目标网络地址的报文转发至所述接入网关,以使所述访问设备能够通过所述内部网路与所述目标网络地址的网络设备通信。
需要说明的是,本实施例与图4所示实施例的主要区别在于,图4中以内部网络为云网络为例进行具体说明。内部网络除了云网络之外还可以为其他形式网络,例如,企业内部使用的网络等。关于本申请实施例的具体内容,可以通过将图4所示实施例中的云网络扩大到内网,并将云网络之外设备所处的网络认为是相对于内网的外网,由此可以参见图4所示实施例的相关描述,在此不再赘述。
本申请实施例提供的访问控制方法,通过在从内部网络之外的访问设备接收到DNS请求报文的情况下,确定DNS请求报文所请求域名的目标网络地址,根据域名的目标网络地址,在预设路由表中添加目标路由信息,目标路由信息用于将访问设备发送的目的地址为目标网络地址的报文转发至内部网络的接入网关,使得内部网络之外的访问设备能够通过内部网络与目标网络地址的网络设备进行通信,实现了内部网络之外的访问设备能够通过内部网络进行域名访问。
图6为本申请一实施例提供的访问控制装置的结构示意图;该访问控制装置可以应用于访问控制设备,所述访问控制设备用于与云网络的接入网关以及所述云网络之外的访问设备通信连接。参考附图6所示,本实施例提供了一种访问控制装置,该装置可以执行上述图4所示的访问控制方法,具体的,该访问控制装置60可以包括:
确定模块61,用于在从所述访问设备接收到DNS请求报文的情况下,确定所述DNS请求报文所请求域名的目标网络地址;
路由模块62,用于根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,所述目标路由信息用于将所述访问设备发送的目的地址为所述目标网络地址的报文转发至所述接入网关,以使所述访问设备能够通过所述云网络与所述目标网络地址的网络设备通信。
可选的,确定模块61,具体用于在从所述访问设备接收到域名系统DNS请求报文的情况下,通过所述接入网关请求所述云网络中的域名服务器解析所述域名的目标网络地址。
可选的,确定模块61,还用于在所述云网络中的域名服务器未成功解析所述域名的情况下,请求公网中的域名服务器解析所述域名的目标网络地址。
可选的,确定模块61用于通过所述接入网关请求所述云网络中的域名服务器解析所述域名的目标网络地址,具体包括:
在所述域名属于域名集合时,通过所述接入网关请求所述云网络中的域名服务器解析所述域名的目标网络地址,所述域名集合包括需要通过所述云网络访问的域名。
可选的,确定模块61,还用于在所述域名不属于所述域名集合时,请求公网中的域名服务器解析所述域名的目标网络地址。
可选的,路由模块62,具体用于在所述域名的目标网络地址由所述云网络中的域名服务器解析获得的情况下,根据所述域名的目标网络地址,在预设路由表中添加目标路由信息。
可选的,所述域名集合包括第一域名集合和第二域名集合,所述第一域名集合包括需要通过所述云网络访问的公网域名,所述第二域名集合包括需要通过所述云网络访问的私有域名。
可选的,确定模块61具体用于:
在所述域名属于所述第一域名集合时,通过所述接入网关请求所述云网络中针对所述第一域名集合的第一域名服务器解析所述域名的目标网络地址;
或者,
在所述域名属于所述第二域名集合时,通过所述接入网关请求所述云网络中针对所述第二域名集合的第二域名服务器解析所述域名的目标网络地址。
可选的,所述预设路由表中还包括默认路由信息,所述默认路由信息用于将报文转发至公网中的网络设备;所述默认路由信息的优先级低于所述目标路由信息;
路由模块62,还用于在确定所述访问控制设备与所述接入网关的通信链路故障情况下,将所述目标路由信息从所述预设路由表中删除。
可选的,路由模块62用于根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,具体包括:
判断所述域名是否属于域名集合,所述域名集合包括需要通过所述云网络访问的域名;
若所述域名属于所述域名集合,则根据所述域名的目标网络地址,在预设路由表中添加目标路由信息。
可选的,所述装置还包括转发模块,用于针对来自所述访问设备的目的地址为所述域名的目标网络地址的报文,根据所述目标路由信息,将所述报文转发至所述接入网关,以使所述访问设备能够通过所述云网络与所述目标网络地址的网络设备通信。
可选的,所述访问控制设备包括智能接入网关SAG。
可选的,所述预设路由表为本地存储的路由表。
图6所示装置可以执行图4所示实施例的方法,本实施例未详细描述的部分,可参考对图4所示实施例的相关说明。该技术方案的执行过程和技术效果参见图4所示实施例中的描述,在此不再赘述。
在一个可能的实现中,图6所示访问控制装置的结构可实现为一访问控制设备。如图7所示,该访问控制设备可以包括:处理器71和存储器72。其中,存储器72用于存储支持访问控制设备执行上述图4所示实施例中提供的访问控制方法的程序,处理器71被配置为用于执行存储器72中存储的程序。
程序包括一条或多条计算机指令,其中,一条或多条计算机指令被处理器71执行时能够实现如下步骤:
在从所述访问设备接收到DNS请求报文的情况下,确定所述DNS请求报文所请求域名的目标网络地址;
根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,所述目标路由信息用于将所述访问设备发送的目的地址为所述目标网络地址的报文转发至所述接入网关,以使所述访问设备能够通过所述云网络与所述目标网络地址的网络设备通信。
可选的,处理器71还用于执行前述图4所示实施例的全部或部分步骤。
其中,访问控制设备的结构中还可以包括通信接口73,用于访问控制设备与其他设备或通信网络通信。
图8为本申请一实施例提供的访问控制装置的结构示意图;该访问控制装置可以应用于访问控制设备,所述访问控制设备用于与内部网络的接入网关以及所述内部网络之外的访问设备通信连接。参考附图8所示,本实施例提供了一种访问控制装置,该装置可以执行上述图5所示的访问控制方法,具体的,该访问控制装置80可以包括:
确定模块81,用于在从所述访问设备接收到DNS请求报文的情况下,确定所述DNS请求报文所请求域名的目标网络地址;
路由模块82,用于根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,所述目标路由信息用于将所述访问设备发送的目的地址为所述目标网络地址的报文转发至所述接入网关,以使所述访问设备能够通过所述内部网路与所述目标网络地址的网络设备通信。
图8所示装置可以执行图5所示实施例的方法,本实施例未详细描述的部分,可参考对图5所示实施例的相关说明。该技术方案的执行过程和技术效果参见图5所示实施例中的描述,在此不再赘述。
在一个可能的实现中,图8所示访问控制装置的结构可实现为一访问控制设备。如图9所示,该访问控制设备可以包括:处理器91和存储器92。其中,存储器92用于存储支持访问控制设备执行上述图5所示实施例中提供的访问控制方法的程序,处理器91被配置为用于执行存储器92中存储的程序。
程序包括一条或多条计算机指令,其中,一条或多条计算机指令被处理器91执行时能够实现如下步骤:
在从所述访问设备接收到DNS请求报文的情况下,确定所述DNS请求报文所请求域名的目标网络地址;
根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,所述目标路由信息用于将所述访问设备发送的目的地址为所述目标网络地址的报文转发至所述接入网关,以使所述访问设备能够通过所述内部网路与所述目标网络地址的网络设备通信。
可选的,处理器91还用于执行前述图5所示实施例的全部或部分步骤。
其中,访问控制设备的结构中还可以包括通信接口93,用于访问控制设备与其他设备或通信网络通信。
另外,本申请实施例提供了一种计算机存储介质,用于储存访问控制设备所用的计算机软件指令,其包含用于执行上述图4所示方法实施例中访问控制方法所涉及的程序。
本申请实施例提供了一种计算机存储介质,用于储存访问控制设备所用的计算机软件指令,其包含用于执行上述图5所示方法实施例中访问控制方法所涉及的程序。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助加必需的通用硬件平台的方式来实现,当然也可以通过硬件和软件结合的方式来实现。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以计算机产品的形式体现出来,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程设备的处理器以产生一个机器,使得通过计算机或其他可编程设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (18)
1.一种访问控制方法,其特征在于,应用于访问控制设备,所述访问控制设备用于与云网络的接入网关以及所述云网络之外的访问设备通信连接,所述方法包括:
在从所述访问设备接收到DNS请求报文的情况下,确定所述DNS请求报文所请求域名的目标网络地址;
在所述域名是所述云网络感兴趣的域名的情况下,根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,所述目标路由信息用于将所述访问设备发送的目的地址为所述目标网络地址的报文转发至所述接入网关,以使所述访问设备能够通过所述云网络与所述目标网络地址的网络设备通信。
2.根据权利要求1所述的方法,其特征在于,所述在从所述访问设备接收到域名系统DNS请求报文的情况下,确定所述DNS请求报文所请求的域名的目标网络地址,包括:
在从所述访问设备接收到域名系统DNS请求报文的情况下,通过所述接入网关请求所述云网络中的域名服务器解析所述域名的目标网络地址。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在所述云网络中的域名服务器未成功解析所述域名的情况下,请求公网中的域名服务器解析所述域名的目标网络地址。
4.根据权利要求2所述的方法,其特征在于,所述通过所述接入网关请求所述云网络中的域名服务器解析所述域名的目标网络地址,包括:
在所述域名属于域名集合时,通过所述接入网关请求所述云网络中的域名服务器解析所述域名的目标网络地址,所述域名集合包括需要通过所述云网络访问的域名。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
在所述域名不属于所述域名集合时,请求公网中的域名服务器解析所述域名的目标网络地址。
6.根据权利要求2-5任一项所述的方法,其特征在于,所述根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,包括:
在所述域名的目标网络地址由所述云网络中的域名服务器解析获得的情况下,根据所述域名的目标网络地址,在预设路由表中添加目标路由信息。
7.根据权利要求4所述的方法,其特征在于,所述域名集合包括第一域名集合和第二域名集合,所述第一域名集合包括需要通过所述云网络访问的公网域名,所述第二域名集合包括需要通过所述云网络访问的私有域名。
8.根据权利要求7所述的方法,其特征在于,在所述域名属于域名集合时,通过所述接入网关请求所述云网络中的域名服务器解析所述域名的目标网络地址,包括:
在所述域名属于第一域名集合时,通过所述接入网关请求所述云网络中针对所述第一域名集合的第一域名服务器解析所述域名的目标网络地址;
或者,
在所述域名属于第二域名集合时,通过所述接入网关请求所述云网络中针对所述第二域名集合的第二域名服务器解析所述域名的目标网络地址。
9.根据权利要求1-5任一项所述的方法,其特征在于,所述预设路由表中还包括默认路由信息,所述默认路由信息用于将报文转发至公网中的网络设备;所述默认路由信息的优先级低于所述目标路由信息;
所述方法还包括:
在确定所述访问控制设备与所述接入网关的通信链路故障情况下,将所述目标路由信息从所述预设路由表中删除。
10.根据权利要求1-5任一项所述的方法,其特征在于,所述根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,包括:
判断所述域名是否属于域名集合,所述域名集合包括需要通过所述云网络访问的域名;
若所述域名属于所述域名集合,则根据所述域名的目标网络地址,在预设路由表中添加目标路由信息。
11.根据权利要求1-5任一项所述的方法,其特征在于,所述根据所述域名的目标网络地址,在预设路由表中添加目标路由信息之后,还包括:
针对来自所述访问设备的目的地址为所述域名的目标网络地址的报文,根据所述目标路由信息,将所述报文转发至所述接入网关,以使所述访问设备能够通过所述云网络与所述目标网络地址的网络设备通信。
12.根据权利要求1-5任一项所述的方法,其特征在于,所述访问控制设备包括智能接入网关SAG。
13.根据权利要求1-5任一项所述的方法,其特征在于,所述预设路由表为本地存储的路由表。
14.一种访问控制方法,其特征在于,应用于访问控制设备,所述访问控制设备用于与内部网络的接入网关以及所述内部网络之外的访问设备通信连接,所述方法包括:
在从所述访问设备接收到DNS请求报文的情况下,确定所述DNS请求报文所请求域名的目标网络地址;
在所述域名是所述内部网络感兴趣的域名的情况下,根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,所述目标路由信息用于将所述访问设备发送的目的地址为所述目标网络地址的报文转发至所述接入网关,以使所述访问设备能够通过所述内部网络与所述目标网络地址的网络设备通信。
15.一种访问控制装置,其特征在于,应用于访问控制设备,所述访问控制设备用于与云网络的接入网关以及所述云网络之外的访问设备通信连接,所述装置包括:
确定模块,用于在从所述访问设备接收到DNS请求报文的情况下,确定所述DNS请求报文所请求域名的目标网络地址;
路由模块,用于在所述域名是所述云网络感兴趣的域名的情况下,根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,所述目标路由信息用于将所述访问设备发送的目的地址为所述目标网络地址的报文转发至所述接入网关,以使所述访问设备能够通过所述云网络与所述目标网络地址的网络设备通信。
16.一种访问控制装置,其特征在于,应用于访问控制设备,所述访问控制设备用于与内部网络中的接入网关以及所述内部网络之外的访问设备通信连接,所述装置包括:
确定模块,用于在从所述访问设备接收到DNS请求报文的情况下,确定所述DNS请求报文所请求域名的目标网络地址;
路由模块,用于在所述域名是所述内部网络感兴趣的域名的情况下,根据所述域名的目标网络地址,在预设路由表中添加目标路由信息,所述目标路由信息用于将所述访问设备发送的目的地址为所述目标网络地址的报文转发至所述接入网关,以使所述访问设备能够通过所述内部网络与所述目标网络地址的网络设备通信。
17.一种访问控制设备,其特征在于,包括:存储器、处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现如权利要求1至13中任一项所述的方法。
18.一种访问控制设备,其特征在于,包括:存储器、处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行时实现如权利要求14所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010124794.8A CN113315848B (zh) | 2020-02-27 | 2020-02-27 | 访问控制方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010124794.8A CN113315848B (zh) | 2020-02-27 | 2020-02-27 | 访问控制方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113315848A CN113315848A (zh) | 2021-08-27 |
| CN113315848B true CN113315848B (zh) | 2023-04-21 |
Family
ID=77370318
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010124794.8A Active CN113315848B (zh) | 2020-02-27 | 2020-02-27 | 访问控制方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113315848B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113973302B (zh) * | 2021-09-15 | 2024-07-09 | 杭州阿里云飞天信息技术有限公司 | 数据识别方法、设备、存储介质和通信系统 |
| CN114338817B (zh) * | 2021-12-22 | 2023-11-10 | 中国人民银行清算总中心 | 多平面网络访问控制方法及多平面网络 |
| CN114785781B (zh) * | 2022-03-22 | 2024-03-26 | 阿里巴巴(中国)有限公司 | 数据访问方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102170380A (zh) * | 2010-02-25 | 2011-08-31 | 杭州华三通信技术有限公司 | 内网访问外网的方法和设备 |
| CN105681249A (zh) * | 2014-11-17 | 2016-06-15 | 中国移动通信集团公司 | 一种网络访问方法和网络转换设备 |
| CN109729190A (zh) * | 2019-03-15 | 2019-05-07 | 深圳前海微众银行股份有限公司 | 网络访问方法、系统、设备及计算机可读存储介质 |
| CN110213339A (zh) * | 2019-05-10 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 资源访问方法、装置、存储介质和计算机设备 |
| WO2019237288A1 (zh) * | 2018-06-13 | 2019-12-19 | 深圳前海达闼云端智能科技有限公司 | 域名解析方法、装置及计算机可读存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100555940C (zh) * | 2007-08-17 | 2009-10-28 | 华中科技大学 | 一种基于风险的分布式访问控制方法 |
| CN101588346B (zh) * | 2008-05-23 | 2012-10-10 | 中兴通讯股份有限公司 | 实现用户通过简单对象访问协议访问通信网的系统及应用 |
| CN102137307B (zh) * | 2011-03-14 | 2013-02-27 | 华为技术有限公司 | 一种业务入口的寻址方法、相关终端和系统 |
| CN108259237A (zh) * | 2018-01-05 | 2018-07-06 | 葛晗 | 网络访问加速方法、云dns服务器、ce和云ip加速网络系统 |
| CN110830458B (zh) * | 2019-10-25 | 2021-11-23 | 云深互联(北京)科技有限公司 | 域名访问方法、系统、设备和计算机可读存储介质 |
-
2020
- 2020-02-27 CN CN202010124794.8A patent/CN113315848B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102170380A (zh) * | 2010-02-25 | 2011-08-31 | 杭州华三通信技术有限公司 | 内网访问外网的方法和设备 |
| CN105681249A (zh) * | 2014-11-17 | 2016-06-15 | 中国移动通信集团公司 | 一种网络访问方法和网络转换设备 |
| WO2019237288A1 (zh) * | 2018-06-13 | 2019-12-19 | 深圳前海达闼云端智能科技有限公司 | 域名解析方法、装置及计算机可读存储介质 |
| CN109729190A (zh) * | 2019-03-15 | 2019-05-07 | 深圳前海微众银行股份有限公司 | 网络访问方法、系统、设备及计算机可读存储介质 |
| CN110213339A (zh) * | 2019-05-10 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 资源访问方法、装置、存储介质和计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113315848A (zh) | 2021-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113315848B (zh) | 访问控制方法、装置及设备 | |
| CN107086966B (zh) | 一种网络的负载均衡、控制及网络交互方法和装置 | |
| CN106982236B (zh) | 一种信息处理方法、装置和系统 | |
| CN111193773B (zh) | 负载均衡方法、装置、设备及存储介质 | |
| US20100290347A1 (en) | Method, device and system for diagnosing whether nodes are abnormal in p2p network | |
| CN105991660B (zh) | 一种多云存储系统间资源共享的系统 | |
| CN111327668B (zh) | 网络管理方法、装置、设备和存储介质 | |
| CN109120746B (zh) | 网络地址转换方法、装置及地址转换设备 | |
| CN114363288B (zh) | 报文处理方法、装置、链路负载均衡设备和存储介质 | |
| US20220353170A1 (en) | Method, apparatus, and system for controlling a flow entry | |
| CN111510478A (zh) | 请求处理方法、装置、系统及电子设备 | |
| CN113301079B (zh) | 一种数据的获取方法、系统、计算设备及存储介质 | |
| CN113364660A (zh) | Lvs负载均衡中的数据包处理方法及装置 | |
| US10536368B2 (en) | Network-aware routing in information centric networking | |
| CN114172853B (zh) | 流量转发及裸机服务器的配置方法、装置 | |
| CN109413224B (zh) | 报文转发方法和装置 | |
| CN114938396A (zh) | 服务调用请求的路由方法、创建服务的方法及装置 | |
| US11924294B2 (en) | Service request handling | |
| CN113687940B (zh) | 负载均衡方法、装置及物理机 | |
| US10666604B2 (en) | Application access method and application access system via a split domain name system | |
| CN107682271B (zh) | 一种路由线路的生成方法及装置 | |
| US20230188625A1 (en) | Service request handling | |
| CN111711654B (zh) | P2p通讯连接方法、电子设备及计算机可读存储介质 | |
| CN107547428B (zh) | 一种报文发送方法、装置、负载均衡lb设备及网关设备 | |
| CN111526044A (zh) | 一种交换机与服务器之间链路发现方法及设备、介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |