CN113542091B - 通信和访问控制方法、设备、装置、系统及存储介质 - Google Patents
通信和访问控制方法、设备、装置、系统及存储介质 Download PDFInfo
- Publication number
- CN113542091B CN113542091B CN202010296520.7A CN202010296520A CN113542091B CN 113542091 B CN113542091 B CN 113542091B CN 202010296520 A CN202010296520 A CN 202010296520A CN 113542091 B CN113542091 B CN 113542091B
- Authority
- CN
- China
- Prior art keywords
- network
- host node
- target
- application
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
本申请实施例提供一种通信和访问控制方法、设备、装置、系统及存储介质。在本申请实施例中,虚拟网络中的主机节点至少存在两个主机节点映射为物理网络的同一网络地址,实现端口级别映射,减少了对物理网络中的网络地址的占用,有助于解决物理网络中的网络地址不足的问题。
Description
技术领域
本申请涉及互联网技术领域,尤其涉及一种通信和访问控制方法、设备、装置、系统及存储介质。
背景技术
随着云计算的发展,虚拟私有云网络(Virtual Private Cloud,VPC)的使用越来约广泛,目前虚拟网络主要基于覆盖(Overlay)网络实现。在实际应用中,有的云服务产品运行于虚拟网络(如Overlay网络等),有的云服务产品运行于物理网络(如Underlay等)。虚拟网络和物理网络之间的通信也就成了亟待解决的问题。
在现有技术中,将虚拟网络的网络地址转换成物理网络的网络地址,实现虚拟网络和物理网络之间的通信。但是这种通信方式需要占用大量的物理网络的网络地址,导致物理网络的网络地址不足。
发明内容
本申请的多个方面提供一种通信和访问控制方法、设备、装置、系统及存储介质,用以减少对物理网络的网络地址的占用量。
本申请实施例提供一种网络系统,包括:物理网络以及承载于物理网络之上的虚拟网络;所述物理网络包括:至少一个第一主机节点;所述虚拟网络包括:多个第二主机节点,且至少两个第二主机节点共用所述物理网络中的同一网络地址;所述至少两个第二主机节点的端口号不同;
所述物理网络还包括网关设备,所述网关设备维护有:第一对应关系和第二对应关系,以供所述第一主机节点和所述第二主机节点进行通信;
其中,所述第一对应关系为所述至少一个第一主机节点在物理网络中的网络地址与其在虚拟网络中的网络地址之间的对应关系;
所述第二对应关系为所述多个第二主机节点在所述虚拟网络中的网络地址、在物理网络中的网络地址以及在所述物理网络中的网络地址下的端口号之间的对应关系。
本申请实施例还提供一种网络系统,包括:第一子网络和第二子网络;所述第一子网络包括:多个第一主机节点;所述第二子网络包括:至少一个第二主机节点;
所述多个第一主机节点的标识注册在至少一个应用下;所述至少一个应用中存在目标应用;所述目标应用下注册有至少两个第一主机节点;
所述第二主机节点,可对所述至少一个应用进行访问权限控制,以对所述至少一个应用下注册的第一主机节点进行访问权限控制。
本申请实施例还提供一种通信方法,包括:
获取第一对应关系和第二对应关系;
基于所述第一对应关系和所述第二对应关系,建立物理网络中的第一主机节点与虚拟网络中的第二主机节点之间的通信连接;
其中,所述第一对应关系为所述第一主机节点在所述物理网络中的网络地址与其在虚拟网络中的网络地址之间的对应关系;所述第二对应关系为所述第二主机节点在所述虚拟网络中的网络地址、在物理网络中的网络地址以及在所述物理网络中的网络地址下的端口号之间的对应关系;
所述第二主机节点的数量为多个,且至少两个第二主机节点共用所述物理网络中的同一网络地址;所述至少两个第二主机节点的端口号不同。
本申请实施例还提供一种访问控制方法,包括:
获取注册有其它子网络中的主机节点的至少一个应用;所述至少一个应用中存在目标应用;所述目标应用下注册有至少两个主机节点;
对所述至少一个应用进行访问权限控制,以对所述至少一个应用下注册的主机节点进行访问权限控制。
本申请实施例还提供一种网关设备,包括:存储器和处理器;其中,所述存储器,用于存储第一对应关系和第二对应关系以及计算机程序;所述第一对应关系为所述第一主机节点在物理网络中的网络地址与其在虚拟网络中的网络地址之间的对应关系;所述第二对应关系为所述第二主机节点在所述虚拟网络中的网络地址、在物理网络中的网络地址以及在所述物理网络中的网络地址下的端口号之间的对应关系;所述第二主机节点的数量为多个,且至少两个第二主机节点共用所述物理网络中的同一网络地址;所述至少两个第二主机节点的端口号不同。
所述处理器耦合至所述存储器,用于执行所述计算机程序以用于执行上述通信方法中的步骤。
本申请实施例还提供一种计算机设备,包括:存储器和处理器;其中,所述存储器,用于存储计算机程序;所述处理器耦合至所述存储器,用于执行所述计算机程序以用于执行上述访问控制方法中的步骤。
本申请实施例还提供一种通信装置,包括:获取模块和建立模块;
所述获取模块,用于获取第一对应关系和第二对应关系;
所述建立模块,用于基于所述第一对应关系和所述第二对应关系,建立物理网络中的第一主机节点与虚拟网络中的第二主机节点之间的通信连接;
其中,所述第一对应关系为所述第一主机节点在所述物理网络中的网络地址与其在虚拟网络中的网络地址之间的对应关系;所述第二对应关系为所述第二主机节点在所述虚拟网络中的网络地址、在物理网络中的网络地址以及在所述物理网络中的网络地址下的端口号之间的对应关系;
所述第二主机节点的数量为多个,且至少两个第二主机节点共用所述物理网络中的同一网络地址;所述至少两个第二主机节点的端口号不同。
本申请实施例还提供一种访问控制装置,包括:获取模块和控制模块;
所述获取模块,用于获取注册有其它子网络中的主机节点的至少一个应用;所述至少一个应用中存在目标应用;所述目标应用下注册有至少两个主机节点;
所述控制模块,用于对所述至少一个应用进行访问权限控制,以对所述至少一个应用下注册的主机节点进行访问权限控制。
本申请实施例还提供一种存储有计算机指令的计算机可读存储介质,当所述计算机指令被一个或多个处理器执行时,致使所述一个或多个处理器执行上述通信方法和/或访问控制方法中的步骤。
在本申请实施例中,虚拟网络中的主机节点至少存在两个主机节点映射为物理网络的同一网络地址,实现端口级别映射,减少了对物理网络中的网络地址的占用,有助于解决物理网络中的网络地址不足的问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1a为本申请实施例提供的一种网络系统的结构示意图;
图1b为本申请实施例提供的一种网络系统的结构框图;
图1c为本申请实施例提供的另一种网络系统的结构示意图
图2为本申请实施例提供的另一种网络系统的结构示意图;
图3为本申请实施例提供的通信方法的流程示意图;
图4为本申请实施例提供的访问控制方法的流程示意图;
图5为本申请实施例提供的网关设备的结构示意图;
图6为本申请实施例提供的计算机设备的结构示意图;
图7为本申请实施例提供的通信装置的结构示意图;
图8为本申请实施例提供的访问控制装置的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
针对现有物理网络中网络地址不足的技术问题,在本申请一些实施例中,虚拟网络中的主机节点至少存在两个主机节点映射为物理网络的同一网络地址,实现端口级别映射,减少了对物理网络中的网络地址的占用,有助于解决物理网络中的网络地址不足的问题。
以下结合附图,详细说明本申请各实施例提供的技术方案。
应注意到:相同的标号在下面的附图以及实施例中表示同一物体,因此,一旦某一物体在一个附图或实施例中被定义,则在随后的附图和实施例中不需要对其进行进一步讨论。
图1a为本申请实施例提供的一种网络系统的结构示意图。如图1a所示,该网络系统包括:物理网络11和承载于物理网络11之上的虚拟网络12。其中,虚拟网络12是指在物理网络之上,用软件的方法构造出的逻辑网络(Logic Network),以实现用户定义的网络拓扑(Networking Topology)。其中,虚拟网络 12可采用隧道技术实现。可选地,物理网络可为underlay网络,虚拟网络可为 overlay网络,但不限于此。进一步,overlay网络可实现为VPC网络、虚拟私有网络(VPN)、虚拟局域网(Virtual Local Area Network,VLAN)等。
在本实施例中,物理网络11包括:至少一个主机(host)节点11a。主机节点11a可以是物理服务器,也可以是虚拟机(Virtual Machine,VM)。物理网络11包含的主机节点11a的数量可以为1个或多个,多个是指2个或2个以上。图1a中仅以主机节点11a的数量为2个进行图示,但不构成限定。
在本实施例中,虚拟网络12包括:多个第二主机节点12a。多个是指2个或2个以上。在本申请实施例中,为了便于描述和区分,将物理网络11中包含的主机节点11a定义为第一主机节点11a,并虚拟网络12中包含的主机节点12a 定义为第二主机节点12a。其中,第二主机节点12a可为虚拟机、容器等,但不限于于此。
在本实施例中,物理网络11中的每个第一主机节点11a配置有独立的网络地址,虚拟网络12中的每个第二主机节点12b也配置有独立的网络地址。其中,网络地址可以为网际协议(Internet Protocol,IP)地址等。对于物理网络11来说,网络地址的数量是有限的。对于虚拟网络12来说,虚拟网络12之间相互隔离的特性,使得每个虚拟网络12可以使用重叠的甚至相同的网络地址,而不必担心相互干扰。如两个L3的虚拟网络12都可以使用10.0.0.0/8作为自己的网络地址。
基于上述分析,为了实现虚拟网络12和物理网络11之间的通信,可将物理网络11包含的第一主机节点11a映射为虚拟网络12中的网络地址,即为每个第一主机节点11a配置虚拟网络12中的网络地址。这样,对于虚拟网络12就像包括第一主机节点11a的镜像。例如,如图1b所示,对于虚拟网络12来说,包括:第一主机节点11a1和11a2的镜像。每个第一主机节点11a所占用的虚拟网络12中的网络地址不同,或者,多个第一主机节点11a也可以共用一个虚拟网络12中的同一网络地址。对于共用虚拟网络12中的同一网络地址的多个第一主机节点11a来说,在该网络地址下的端口号不同。
进一步,可将虚拟网络12中的第二主机节点12a映射为物理网络11中的网络地址,即为每个第二主机节点12a配置物理网络11中的网络地址。考虑到物理网络中的网络地址的数量是有限的,因此,可使至少两个第二主机节点12a 共用物理网络11中的同一网络地址。对于共用物理网络11中的同一网络地址的至少两个第二主机节点12a,其在该网络地址下的端口号不同,实现了虚拟网络12中的主机节点在物理网络11中的端口级别映射,减少了对物理网络11中的网络地址的占用,有助于解决物理网络11中的网络地址不足的问题。这样,对于物理网络11就像包括第二主机节点12a的镜像。例如,如图1b所示,对于物理网络12来说,包括:第二主机节点12a1和12a2的镜像。
可选地,虚拟网络12所包含的多个第二主机节点12a可共用物理网络11 中的同一网络地址,且每个第二主机节点12a占用该网络地址下不同的端口号。
在本实施例中,第二主机节点12a通过物理的或逻辑的链接接入物理网络的网关设备13,该网关设备13有可称为虚拟(Network Virtualization Edge,NVE) 边缘设备。NVE设备是实现虚拟网络的关键模块,它可以实现为虚拟交换机的功能,也可以在物理交换机或路由器中实现,或者由虚拟交换机和物理交换机共同实现。相应地,网关设备13可以为虚拟交换机和/或物理交换机。网关设备 13可以为1台或多台,在图1a中仅以网关设备13为1台进行图示。
在本实施例中,对于一个给定租户的虚拟网络,网关设备13帮助建立第一主机节点11a和第二主机节点12a之间的逻辑链接,即隧道。为了完成该任务,网关设备13维护有:物理网络11包含的至少一个第一主机节点11a在物理网络 11中的网络地址与其在虚拟网络12中的网络地址之间的第一对应关系,还维护有多个第二主机节点11在虚拟网络11中的网络地址、在物理网络11中的网络地址以及在物理网络11中的网络地址下的端口号之间的第二对应关系。这样,第一主机节点11a和第二主机节点12a便可基于第一对应关系和第二对应关系进行通信。
在本申请实施例中,如图1c所示,网络系统还可包括:控制设备14。其中,控制设备14可以为物理服务器,也可为虚拟机、容器等。在本实施例中,控制设备14可为物理网络11中的至少一个第一主机节点11a分配物理网络11中的网络地址以及虚拟网络12中的网络地址,并记录至少一个第一主机节点11a在物理网络11中的网络地址与其在虚拟网络12中的网络地址之间的第一对应关系。控制设备14还可将第一对应关系提供给网关设备13。
当然,控制设备14还可为虚拟网络12中的多个第二主机节点12a分配虚拟网络12的网络地址以及物理网络11中的网络地址。其中,多个第二主机节点12a中至少存在两个第二主机节点12a共用物理网络11中的同一网络地址。相应地,控制设备14还为共用物理网络11中的同一网络地址的至少两个第二主机节点12a分配在该网络地址下的不同的端口号。相应地,控制设备14还可记录多个第二主机节点12a在虚拟网络12中的网络地址与其在物理网络11中的网络地址和端口号之间的第二对应关系,并将第二对应关系提供给网关设备13。这样,物理网络11中的第一主机节点11a与虚拟网络中的第二主机节点12a便可利用第一对应关系和第二对应关系进行通信。
在本申请实施例中,在第一主机节点11a与第二主机节点12a进行通信时,可由第一主机节点11a主动访问第二主机节点12a,也可由第二主机节点12a主动访问第一主机节点11a。考虑到虚拟网络12一般为用户申请的虚拟网络资源,为了保障用户网络资源的安全性,可对第二主机节点12a主动发起的访问进行限定,即限制第二主机节点12a主动访问第一主机节点11a。下面以第一主机节点11a主动访问第二主机节点12a为例,对第一主机节点11a与第二主机节点 12a进行通信的通信方式进行示例性说明。
在本实施例中,第二主机节点12a可暴露给第一主机节点11a其在物理网络 11中的网络地址和在该网络地址下的端口号,这样,第一主机节点11a可像访问物理网络11中的本端节点一样来访问第二主机节点12a。同理,第一主机节点11a也可暴露给第二主机节点12a其在虚拟网络12中的网络地址,这样,第二主机节点12a也可像访问虚拟网络12中的本端节点一样来访问第一主机节点 11a。物理网络11中的至少一个第一主机节点11a访问虚拟网络12中的第二主机节点12a的过程相同或相似,下面以物理网络11中的第一目标主机节点11a1 和虚拟网络12中的第二目标主机节点12a1为例,对第一主机节点11a与第二主机节点12a之间的通信过程进行示例性说明。其中,第一目标主机节点11a1为至少一个第一主机节点11a中的任一主机节点,第二目标主机节点12a1为多个第二主机节点12a中,第一目标主机节点11a1待访问的主机节点。
对于网关设备13来说,在第一目标主机节点11a1在需要访问第二目标主机节点12a1的情况下,可根据上述第一对应关系和第二对应关系,生成目标访问报文。其中,目标访问报文的源地址和目的地址分别为:第一目标主机节点11a1在虚拟网络12中的网络地址,和第二目标主机节点12a1在虚拟网络12中的网络地址。进一步,在第一目标主机节点具有访问第二目标主机节点的权限的情况下,将所述目标访问报文转发给目标访问报文的目的地址指向的第二主机节点。由于目标访问报文的目的地址为第二目标主机节点 12a1在虚拟网络12中的网络地址,因此,目标访问报文的目的地址指向第二目标主机节点12a1。
在本申请实施例中,网关设备13可在接收到第一目标主机节点11a1提供的访问报文时,确定第一目标主机节点11a1需要访问其它主机节点。在本申请实施例中,为了便于描述和区分,将第一目标主机节点11a1提供的访问报文,定义为第一访问报文。网关设备13可根据第一访问报文的目的地址和目的端口号确定第一目标主机节点11a1待访问的第二目标主机节点12a1。对于第一访问报文来说,源地址为第一目标主机节点11a1在物理网络11中的网络地址,目的地址为:第二目标主机节点12a1在物理网络11中的网络地址。第一访问报文的目的端口号为第二目标主机节点在物理网络11中的网络地址下的端口号。这样,网关设备13可第一访问报文的源地址、目的地址、目的端口号以及所述第一对应关系和所述第二对应关系以及第一对应关系和第二对应关系,将第一访问报文转换为目标访问报文。
可选地,网关设备13将第一访问报文转换为目标访问报文的具体实施方式可为:将第一访问报文的源地址在第一对应关系中进行匹配,以得到第一目标主机节点在虚拟网络中的网络地址;以及将第一访问报文的目的地址和目的端口号在第二对应关系中进行匹配,以得到第二目标主机节点在虚拟网络中的网络地址;之后,将第一访问报文的源地址和目的地址分别转换为第一目标主机节点和第二目标主机节点在虚拟网络中的网络地址,进而得到目标访问报文。
进一步,在第一目标主机节点11a1对第二目标主机节点12a1具有访问权限的情况下,网关设备13可将目标访问报文转发给目标访问报文的目的地址所指向的第二目标主机节点12a1。
在本申请实施例中,虚拟网络12中的多个第二主机节点12a可对物理网络中的至少一个第一主机节点11a分别单独进行访问权限授权,并将第二主机节点12a与第一主机节点11a之间的访问权限关系提供给网关设备13。可选地,第二主机节点12a与第一主机节点11a之间的访问权限关系可以为:第二主机节点12a在虚拟网络12中的网络地址与对其具有使用权限的第一主机节点11a在物理网络11中的网络地址之间的对应关系。相应地,网关设备 13可将第一访问报文的目的地址和目的端口号在第二对应关系中进行匹配,以确定第二目标主机节点12a1在虚拟网络12中的网络地址;并将第一访问报文的目的地址以及第二目标主机节点12a1在虚拟网络12中的网络地址,在第二主机节点12a在虚拟网络12中的网络地址与对其具有访问权限的第一主机节点11a在物理网络11中的网络地址之间的对应关系中进行匹配,以确定第一目标主机节点11a对第二目标主机节点12a1是否具有访问权限。相应地,若对第二目标主机节点12a1具有使用权限的第一主机节点11a包括第一目标主机节点11a1,则第一目标主机节点11a对第二目标主机节点12a1具有访问权限;反之,对第二目标主机节点12a1具有使用权限的第一主机节点 11a不包括第一目标主机节点11a1,则第一目标主机节点11a对第二目标主机节点12a1不具有访问权限。上述安全策略虽然可确定第一主机节点11a 对第二主机节点12a的访问权限,但是需要大量的确定第二主机节点12a在虚拟网络12中的网络地址与对其具有访问权限的第一主机节点11a在物理网络11中的网络地址之间的对应关系,且需要对每个对应关系一一进行安全配置,配置复杂。
为了解决上述问题,在本实施例中,对于第一主机节点11a的数量为多个的情况,如图1b所示,可将多个第一主机节点在物理网络中的网络地址注册在至少一个应用(Application,APP)下。在实施例中,应用是指用户注册的虚拟应用。相应地,网关设备13可维护至少一个应用与其下注册的第一主机节点11a在物理网络11中的网络地址之间的对应关系,该对应关系可实现为图1b所示的物理网络的主机节点和应用映射表。
在本实施例中,至少一个应用中存在至少一个目标应用,其中,目标应用是指其下至少注册有两个第一主机节点11a的应用,即目标应用下注册有至少两个第一主机节点11a。目标应用可为至少一个应用中的部分和全部应用。在本实施例中,多个第二主机节点12a可对至少一个应用进行访问权限控制,实现应用级别的安全控制,进而对至少一个应用下注册的第一主机节点进行访问权限控制。对于目标应用来说,可对目标应用下注册的至少两个第一主机节点11a实现批量访问权限控制,有助于降低安全配置复杂度。例如,多个第二主机节点12a可对目标应用中的第一目标应用进行访问权限授权,进而实现对第一目标应用下注册的至少两个第一主机节点11a进行批量授权。
可选地,还可将物理网络11中的多个第一主机节点11a全部注册到同一应用下,这样,多个第二主机节点12a可对该应用进行访问权限控制,即可对该应用下注册的所有第一主机节点11a进行访问权限控制,实现应用级别的安全控制,进而实现批量访问权限控制,有助于降低安全配置复杂度。
进一步,多个第二主机节点12a可将多个第二主机节点12a在虚拟网络 12中的网络地址与对其具有访问权限的应用的标识之间的对应关系提供给网关设备13。基于此,网关设备13在判断物理网络11中的第一目标主机节点11a,对虚拟网络12中的第二目标主机节点12a是否具有使用权限时,可将第一目标主机节点11a的网络地址,在至少一个应用与其下注册的第一主机节点在物理网络11中的网络地址之间的对应关系中进行匹配,以确定第一目标主机节点11a所在的第一应用;并将第二目标主机节点12a在虚拟网络 12中的网络地址,在上述多个第二主机节点12a在虚拟网络中的网络地址与对其具有访问权限的应用的标识之间的对应关系进行匹配,以确定对第二目标主机节点12a具有访问权限的应用的标识;进一步,可利用将第一应用的标识在对第二目标主机节点12a具有访问权限的应用的标识中进行查询;若查询到第一应用的标识,则确定第一目标主机节点11a对第二目标主机节点 12a具有访问权限;相应地,若未查询到第一应用的标识,则确定第一目标主机节点11a对第二目标主机节点12a不具有访问权限。
进一步,在第一目标主机节点11a1对第二目标主机节点12a1具有访问权限的情况下,网关设备13可将目标访问报文转发给目标访问报文的目的地址所指向的第二目标主机节点12a1。
相应地,对于第二目标主机节点12a1,可接收目标访问报文,并对目标访问报文进行响应。进一步,第二目标主机节点12a1可向网关设备13返回第一响应报文。其中,第一响应报文的源地址和目的地址分别为:第二目标主机节点和第一目标主机节点分别在所述虚拟网络中的网络地址。
网关设备13可接收第一响应报文,并根据第一对应关系和第二对应关系,将所述第一响应报文转换为第二响应报文。其中,第二响应报文的源地址和目的地址分别为所述第二目标主机节点和所述第一目标主机节点分别在所述物理网络中的网络地址;所述第二响应报文的源端口号为所述第二目标主机节点在所述物理网络中的网络地址下的端口号。
可选地,网关设备13可将第一响应报文的源地址在第二对应关系中进行匹配,得到第二目标主机节点12a1在物理网络中的网络地址和端口号;以及将第一响应报文的目的地址在第一对应关系中进行匹配,得到第一目标主机节点11a1在物理网格中的网络地址;之后,将第一响应报文的源地址转换为第二目标主机节点12a1在物理网络中的网络地址,目的地址转换为第一目标主机节点11a1在物理网格中的网络地址,并将第一响应报文的源端口号转换为第二目标主机节点12a1在物理网络中的网络地址下的端口号,进而得到第二响应报文。
进一步,网关设备13可将所述第二响应报文转发给所述第二响应报文的目的地址指向的第一目标主机节点11a1。
在本实施例中,虚拟网络中的主机节点至少存在两个主机节点映射为物理网络的同一网络地址,实现端口级别映射,减少了对物理网络中的网络地址的占用,有助于解决物理网络中的网络地址不足的问题。进一步,基于物理网络中的主机节点在物理网络中的网络地址和其在虚拟网络中的网络地址之间的对应关系,以及虚拟网络中的主机节点在虚拟网络中的网络地址与其在物理网络中的网络地址以及端口号之间的对应关系,可实现物理网络中的主机节点与虚拟网络中的主机节点之间的通信。
除了上述系统实施例之外,本申请实施例还提供一种网络系统,图2为该系统的结构示意图。如图2所示,该网络系统包括:第一子网络21和第二子网络22。在本实施例中,第一子网络21包括:多个第一主机节点21a。多个是指2个或2个以上。所述第二子网络22包括:至少一个第二主机节点 22a。关于第一主机节点21a和第二主机节点22a的实现形态的描述,可参见上述实施例的相关内容,在此不再赘述。
在本实施例中,第一子网络21可为物理网络或虚拟网络。第二子网络 22可为虚拟网络。其中,物理网络可为underlay网络,虚拟网络可为overlay网络等,进一步,overlay网络可实现为VPC网络、虚拟私有网络(VPN)、虚拟局域网(Virtual Local Area Network,VLAN)等。
在本实施例中,多个第一主机节点21a的标识注册在至少一个应用下。其中,第一主机节点21a的标识可为唯一标识一个第一主机节点21a的信息,例如,第一主机节点21a的标识可为第一主机节点21a的编号、第一主机节点21a在第一子网络21a中的网络地址或第一主机节点21a的物理地址(MAC 地址)等,但不限于此。
在本实施例中,至少一个应用中存在至少一个目标应用,其中,目标应用是指其下至少注册有两个第一主机节点21a的应用,即目标应用下注册有至少两个第一主机节点21a。目标应用可为至少一个应用中的部分和全部应用。在本实施例中,至少一个第二主机节点22a可对至少一个应用进行访问权限控制,进而对至少一个应用下注册的第一主机节点进行访问权限控制。对于目标应用来说,可对目标应用下注册的至少两个第一主机节点21a实现批量访问权限控制,有助于降低安全配置复杂度。例如,第二主机节点22a 可对目标应用中的第一目标应用进行访问权限授权,进而实现对第一目标应用下注册的至少两个第一主机节点21a进行批量授权。
可选地,还可将第一子网络21中的多个第一主机节点21a全部注册到同一应用下,这样,第二主机节点22a可对该应用进行访问权限控制,即可对该应用下注册的所有第一主机节点21a进行访问权限控制,进而实现批量访问权限控制,有助于降低安全配置复杂度。
在本申请实施例中,为了实现第一子网络21和第二子网络22之间的通信,还可部署网关设备23。其中,网关设备23可部署于第一子网络21中,也可部署于第二子网络22中。关于网关设备23的实现形态可参见上述实施例的相关内容,在此不再赘述。
进一步,第二主机节点22a可将第二主机节点22a的标识与对其具有访问权限的应用的标识之间的对应关系提供给网关设备23。其中,第二主机节点22a的标识可为唯一标识一个第二主机节点22a的信息,第二主机节点22a 的标识可为第二主机节点22a的编号、第二主机节点22a在第二子网络22 中的网络地址或第二主机节点21a的物理地址(MAC地址)等,但不限于此。
基于此,网关设备23在判断第一子网络21中的第一主机节点21a,对第二子网络22中的第二主机节点22a是否具有使用权限时,可将第一主机节点21a,在至少一个应用与其下注册的第一主机节点的标识之间的对应关系中进行匹配,以确定第一主机节点21a所在的第一应用;并将第二主机节点 22a的标识,在上述第二主机节点22a的标识与对其具有访问权限的应用的标识之间的对应关系中进行匹配,以确定对第二主机节点22a具有访问权限的应用的标识;进一步,可利用将第一应用的标识在对第二主机节点22a具有访问权限的应用的标识中进行查询;若查询到第一应用的标识,则确定第一主机节点21a对第二主机节点22a具有访问权限;相应地,若未查询到第一应用的标识,则确定第一主机节点21a对第二主机节点22a不具有访问权限。
进一步,第二主机节点22a的标识与对其具有访问权限的应用的标识之间的对应关系可实现访问控制列表(Access Control Lists,ACL)。相应地,网关设备23可利用访问控制列表实现流量控制。
除了上述系统实施例之外,本申请实施例还提供相关的通信方法。下面分别从网关设备的角度进行示例性说明。
图3为本申请实施例提供的一种通信方法的流程示意图。如图3所示,该方法包括:
301、获取第一对应关系和第二对应关系。
302、基于第一对应关系和第二对应关系,建立物理网络中的第一主机节点与虚拟网络中的第二主机节点之间的通信连接。
在本实施例中,第一对应关系为第一主机节点在物理网络中的网络地址与其在虚拟网络中的网络地址之间的对应关系。第二对应关系为第二主机节点在虚拟网络中的网络地址、、在物理网络中的网络地址以及在物理网络下的端口号之间的对应关系。其中,关于物理网络、虚拟网络以及第一主机节点和第二主机节点的实现形态可参见上述图1a和图1c关联的系统实施例中的相关内容,在此不再赘述。
在本实施例中,虚拟网络中的第二主机节点的数量为多个,且至少两个第二主机节点共用所述物理网络中的同一网络地址;这至少两个第二主机节点的端口号不同,实现了虚拟网络中的主机节点在物理网络中的端口级别映射,减少了对物理网络中的网络地址的占用,有助于解决物理网络中的网络地址不足的问题。
可选地,虚拟网络所包含的多个第二主机节点可共用物理网络中的同一网络地址,且每个第二主机节点占用该网络地址下不同的端口号。
在本实施例中,第二主机节点通过物理的或逻辑的链接接入物理网络的网关设备。网关设备可以实现为虚拟交换机的功能,也可以在物理交换机或路由器中实现,或者由虚拟交换机和物理交换机共同实现。相应地,网关设备可以为虚拟交换机和/或物理交换机。网关设备可以为1台或多台。
在本实施例中,对于一个给定租户的虚拟网络,网关设备帮助建立第一主机节点和第二主机节点之间的逻辑链接,即隧道。为了完成该任务,网关设备可维护有:物理网络包含的至少一个第一主机节点在物理网络中的网络地址与其在虚拟网络中的网络地址之间的第一对应关系,还维护有虚拟网络中的多个第二主机节点在虚拟网络中的网络地址、在物理网络中的网络地址以及在物理网络中的网络地址下的端口号之间的第二对应关系。进一步,网关设备可获取第一对应关系和第二对应关系,并基于第一对应关系和第二对应关系,建立第一主机节点和第二主机节点之间的通信连接。
其中,关于网关设备如何获取第一对应关系和第二对应关系的描述,可参见上述系统实施例中控制设备为物理网络和虚拟网络中的主机节点,分别配置物理网络和虚拟网络中的网络地址的相关内容,在此不再赘述。
在本申请实施例中,在第一主机节点与第二主机节点进行通信时,可由第一主机节点主动访问第二主机节点,也可由第二主机节点主动访问第一主机节点。考虑到虚拟网络一般为用户申请的虚拟网络资源,为了保障用户网络资源的安全性,可对第二主机节点主动发起的访问进行限定,即限制第二主机节点主动访问第一主机节点。下面以第一主机节点主动访问第二主机节点为例,对第一主机节点与第二主机节点进行通信的通信方式进行示例性说明。
在本实施例中,第二主机节点可暴露给第一主机节点其在物理网络中的网络地址和在该网络地址下的端口号,这样,第一主机节点可像访问物理网络中的本端节点一样来访问第二主机节点。同理,第一主机节点也可暴露给第二主机节点其在虚拟网络中的网络地址,这样,第二主机节点也可像访问虚拟网络中的本端节点一样来访问第一主机节点。物理网络中的至少一个第一主机节点访问虚拟网络中的第二主机节点的过程相同或相似,下面以物理网络中的第一目标主机节点和虚拟网络中的第二目标主机节点为例,对第一主机节点与第二主机节点之间的通信过程进行示例性说明。其中,第一目标主机节点为至少一个第一主机节点中的任一主机节点,第二目标主机节点为多个第二主机节点中,第一目标主机节点待访问的主机节点。
进一步,步骤302到的一种可选实施方式为:在第一目标主机节点在需要访问第二目标主机节点的情况下,可根据上述第一对应关系和第二对应关系,生成目标访问报文。其中,目标访问报文的源地址和目的地址分别为:第一目标主机节点和第二目标主机节点在虚拟网络中的网络地址;进一步,在第一目标主机节点具有访问第二目标主机节点的权限的情况下,将所述目标访问报文转发给目标访问报文的目的地址指向的第二主机节点。由于目标访问报文的目的地址为第二目标主机节点在虚拟网络中的网络地址,因此,目标访问报文的目的地址指向第二目标主机节点。
在本申请实施例中,网关设备可在接收到第一目标主机节点提供的访问报文时,确定第一目标主机节点需要访问其它主机节点。在本申请实施例中,为了便于描述和区分,将第一目标主机节点提供的访问报文,定义为第一访问报文。网关设备可根据第一访问报文的目的地址和目的端口号确定第一目标主机节点待访问的第二目标主机节点。对于第一访问报文来说,源地址为第一目标主机节点在物理网络中的网络地址,目的地址为第二目标主机节点在物理网络中的网络地址。第一访问报文的目的端口号为第二目标主机节点在物理网络中的网络地址下的端口号。这样,网关设备可第一访问报文的源地址、目的地址、目的端口号以及所述第一对应关系和所述第二对应关系以及第一对应关系和第二对应关系,将第一访问报文转换为目标访问报文。
可选地,网关设备将第一访问报文转换为目标访问报文的具体实施方式可为:将第一访问报文的源地址在第一对应关系中进行匹配,以得到第一目标主机节点在虚拟网络中的网络地址;以及将第一访问报文的目的地址和目的端口号在第二对应关系中进行匹配,以得到第二目标主机节点在虚拟网络中的网络地址;之后,将第一访问报文的源地址和目的地址分别转换为第一目标主机节点和第二目标主机节点在虚拟网络中的网络地址,进而得到目标访问报文。
进一步,在第一目标主机节点对第二目标主机节点具有访问权限的情况下,网关设备可将目标访问报文转发给目标访问报文的目的地址所指向的第二目标主机节点。
在本申请实施例中,虚拟网络中的多个第二主机节点可对物理网络中的至少一个第一主机节点分别单独进行访问权限授权,并将第二主机节点与第一主机节点之间的访问权限关系提供给网关设备。可选地,第二主机节点与第一主机节点之间的访问权限关系可以为:第二主机节点在虚拟网络中的网络地址与对其具有使用权限的第一主机节点在物理网络中的网络地址之间的对应关系。相应地,网关设备可将第一访问报文的目的地址和目的端口号在第二对应关系中进行匹配,以确定第二目标主机节点在虚拟网络中的网络地址;并将第一访问报文的目的地址以及第二目标主机节点在虚拟网络中的网络地址,在第二主机节点在虚拟网络中的网络地址与对其具有访问权限的第一主机节点在物理网络中的网络地址之间的对应关系进行匹配,以确定第一目标主机节点对第二目标主机节点是否具有访问权限。相应地,若对第二目标主机节点具有使用权限的第一主机节点包括第一目标主机节点,则第一目标主机节点对第二目标主机节点具有访问权限;反之,对第二目标主机节点具有使用权限的第一主机节点不包括第一目标主机节点,则第一目标主机节点对第二目标主机节点不具有访问权限。上述安全策略虽然可确定第一主机节点对第二主机节点的访问权限,但是需要大量的确定第二主机节点在虚拟网络中的网络地址与对其具有访问权限的第一主机节点在物理网络中的网络地址之间的对应关系,且需要对每个对应关系一一进行安全配置,配置复杂。
为了解决上述问题,在本实施例中,对于第一主机节点的数量为多个的情况,可将多个第一主机节点在物理网络中的网络地址注册在至少一个应用 (Application,APP)下。在实施例中,应用是指用户注册的虚拟应用。相应地,网关设备可维护至少一个应用与其下注册的第一主机节点在物理网络中的网络地址之间的对应关系。
在本实施例中,至少一个应用中存在至少一个目标应用,其中,目标应用是指其下至少注册有两个第一主机节点的应用,即目标应用下注册有至少两个第一主机节点。目标应用可为至少一个应用中的部分和全部应用。在本实施例中,多个第二主机节点可对至少一个应用进行访问权限控制,进而对至少一个应用下注册的第一主机节点进行访问权限控制。对于目标应用来说,可对目标应用下注册的至少两个第一主机节点实现批量访问权限控制,有助于降低安全配置复杂度。例如,多个第二主机节点可对目标应用中的第一目标应用进行访问权限授权,进而实现对第一目标应用下注册的至少两个第一主机节点进行批量授权。
可选地,还可将物理网络中的多个第一主机节点全部注册到同一应用下,这样,多个第二主机节点可对该应用进行访问权限控制,即可对该应用下注册的所有第一主机节点进行访问权限控制,进而实现批量访问权限控制,有助于降低安全配置复杂度。
进一步,多个第二主机节点可将多个第二主机节点在虚拟网络中的网络地址与对其具有访问权限的应用的标识之间的对应关系提供给网关设备。基于此,网关设备在判断物理网络中的第一目标主机节点,对虚拟网络中的第二目标主机节点是否具有使用权限时,可将第一目标主机节点在至少一个应用与其下注册的第一主机节点在物理网络中的网络地址之间的对应关系中进行匹配,以确定第一目标主机节点所在的第一应用;并将第二目标主机节点在虚拟网络中的网络地址,在上述多个第二主机节点在虚拟网络中的网络地址与对其具有访问权限的应用的标识之间的对应关系进行匹配,以确定对第二目标主机节点具有访问权限的应用的标识;进一步,可利用将第一应用的标识在对第二目标主机节点具有访问权限的应用的标识中进行查询;若查询到第一应用的标识,则确定第一目标主机节点对第二目标主机节点具有访问权限;相应地,若未查询到第一应用的标识,则确定第一目标主机节点对第二目标主机节点不具有访问权限。
进一步,在第一目标主机节点对第二目标主机节点具有访问权限的情况下,网关设备可将目标访问报文转发给目标访问报文的目的地址所指向的第二目标主机节点。
相应地,对于第二目标主机节点,可接收目标访问报文,并对目标访问报文进行响应。进一步,第二目标主机节点可向网关设备返回第一响应报文。其中,第一响应报文的源地址和目的地址分别为:第二目标主机节点和第一目标主机节点分别在虚拟网络中的网络地址。
网关设备可接收第一响应报文,并根据第一对应关系和第二对应关系,将第一响应报文转换为第二响应报文。其中,第二响应报文的源地址和目的地址分别为第二目标主机节点和第一目标主机节点分别在物理网络中的网络地址;第二响应报文的源端口号为第二目标主机节点在物理网络中的网络地址下的端口号。关于网关设备将第一响应报文转换为第二响应报文的具体实施方式,可参见上述系统实施例的相关内容,在此不再赘述。
进一步,网关设备可将第二响应报文转发给第二响应报文的目的地址指向的第一目标主机节点。
在本实施例中,虚拟网络中的主机节点至少存在两个主机节点映射为物理网络的同一网络地址,实现端口级别映射,减少了对物理网络中的网络地址的占用,有助于解决物理网络中的网络地址不足的问题。进一步,基于物理网络中的主机节点在物理网络中的网络地址和其在虚拟网络中的网络地址之间的对应关系,以及虚拟网络中的主机节点在虚拟网络中的网络地址与其在物理网络中的网络地址以及端口号之间的对应关系,可实现物理网络中的主机节点与虚拟网络中的主机节点之间的通信。
相应地,本申请实施例还提供一种存储有计算机指令的计算机可读存储介质,当计算机指令被一个或多个处理器执行时,致使一个或多个处理器执行上述通信方法中的步骤。
图4为本申请实施例提供的一种访问控制方法的流程示意图。如图4所示,该方法包括:
401、获取注册有其它子网络中的主机节点的至少一个应用;至少一个应用中存在目标应用;目标应用下注册有至少两个主机节点。
402、对至少一个应用进行访问权限控制,以对至少一个应用下注册的主机节点进行访问权限控制。
本实施例提供的访问控制方法适用于网络系统中的子网络中的主机节点。该网络系统包括:第一子网络和第二子网络。在本实施例中,第一子网络包括:多个第一主机节点。多个是指2个或2个以上。第二子网络包括:至少一个第二主机节点。关于第一子网络和第二子网络以及第一主机节点和第二主机节点的实现形态的描述,可参见上述实施例的相关内容,在此不再赘述。
在本实施例中,多个第一主机节点的标识注册在至少一个应用下。其中,第一主机节点的标识可为唯一标识一个第一主机节点的信息,例如,第一主机节点的标识可为第一主机节点的编号、第一主机节点在第一子网络中的网络地址或第一主机节点的物理地址(MAC地址)等,但不限于此。
在本实施例中,至少一个应用中存在至少一个目标应用,其中,目标应用是指其下至少注册有两个第一主机节点的应用,即目标应用下注册有至少两个第一主机节点。目标应用可为至少一个应用中的部分和全部应用。在本实施例中,至少一个第二主机节点可对至少一个应用进行访问权限控制,进而对至少一个应用下注册的第一主机节点进行访问权限控制。对于目标应用来说,可对目标应用下注册的至少两个第一主机节点实现批量访问权限控制,有助于降低安全配置复杂度。
可选地,还可将物理网络中的多个第一主机节点全部注册到同一应用下,这样,第二主机节点可对该应用进行访问权限控制,即可对该应用下注册的所有第一主机节点进行访问权限控制,进而实现批量访问权限控制,有助于降低安全配置复杂度。
在本申请实施例中,为了实现第一子网络和第二子网络之间的通信,还可部署网关设备。其中,网关设备可部署于第一子网络中,也可部署于第二子网络中。关于网关设备的实现形态以及网关设备如何建立第一子网络和第二子网络之间的通信的具体实施方式均可参见上述实施例的相关内容,在此不再赘述。
相应地,本申请实施例还提供一种存储有计算机指令的计算机可读存储介质,当计算机指令被一个或多个处理器执行时,致使一个或多个处理器执行上述访问控制方法中的步骤。
需要说明的是,上述实施例所提供方法的各步骤的执行主体均可以是同一设备,或者,该方法也由不同设备作为执行主体。比如,步骤301和302的执行主体可以为设备A;又比如,步骤301的执行主体可以为设备A,步骤302 的执行主体可以为设备B;等等。
另外,在上述实施例及附图中的描述的一些流程中,包含了按照特定顺序出现的多个操作,但是应该清楚了解,这些操作可以不按照其在本文中出现的顺序来执行或并行执行,操作的序号如401、402等,仅仅是用于区分开各个不同的操作,序号本身不代表任何的执行顺序。另外,这些流程可以包括更多或更少的操作,并且这些操作可以按顺序执行或并行执行。
图5为本申请实施例提供的一种网关设备的结构示意图。如图5所示,该网关设备包括:存储器50a和处理器50b。
在本实施例中,存储器50a,用于存储第一对应关系和第二对应关系以及计算机程序。其中,第一对应关系为第一主机节点在物理网络中的网络地址与其在虚拟网络中的网络地址之间的对应关系;第二对应关系为第二主机节点在虚拟网络中的网络地址、在物理网络中的网络地址以及在物理网络中的端口号之间的对应关系;第二主机节点的数量为多个,且至少两个第二主机节点共用物理网络中的同一网络地址;至少两个第二主机节点的端口号不同。
可选地,多个第二主机节点共用物理网络中的同一网络地址。
处理器50b耦合至存储器50a,用于执行计算机程序以用于:获取第一对应关系和第二对应关系;基于第一对应关系和第二对应关系,建立物理网络中的第一主机节点与虚拟网络中的第二主机节点之间的通信连接。
可选地,处理器50在建立物理网络中的第一主机节点与虚拟网络中的第二主机节点之间的通信连接时,具体用于:在第一目标主机节点需要访问第二目标主机节点的情况下,根据第一对应关系和第二对应关系,生成目标访问报文;其中,目标访问报文的源地址和目的地址分别为:第一目标主机节点和第二目标主机节点在虚拟网络中的网络地址;在第一目标主机节点具有访问第二目标主机节点的权限的情况下,将目标访问报文转发给目标访问报文的目的地址指向的第二主机节点;其中,第一目标主机节点为物理网络中的任一主机节点;第二目标主机节点为多个第二主机节点中的第一目标主机节点待访问的主机节点。
相应地,处理器50b还用于:根据第一对应关系和第二对应关系,将第二目标主机节点对目标访问报文进行响应所返回的第一响应报文转换为第二响应报文;将第二响应报文转发给第二响应报文的目的地址指向的第一目标主机节点;其中,第一响应报文的源地址和目的地址分别为第二目标主机节点和第一目标主机节点在虚拟网络中的网络地址;第二响应报文的源地址和目的地址分别为第二目标主机节点和第一目标主机节点在物理网络中的网络地址;第二响应报文的源端口号为第二目标主机节点在物理网络中的网络地址下的端口号。
进一步,网关设备还包括:通信组件50c。相应地,处理器50b在生成目标访问报文时,具体用于:通过通信组件50c接收第一目标主机节点提供的第一访问报文;其中,第一访问报文的源地址和目的地址分别为:第一目标主机节点和第二目标主机节点分别在物理网络中的网络地址;第一访问报文的目的端口号为第二目标主机节点在物理网络中的网络地址下的端口号;根据第一访问报文的源地址、目的地址、目的端口号以及第一对应关系和第二对应关系,将第一访问报文转换为目标访问报文。
进一步,处理器50b在将第一访问报文转换为目标访问报文时,具体用于:将第一访问报文的源地址在第一对应关系中进行匹配,以得到第一目标主机节点在虚拟网络中的网络地址;将第一访问报文的目的地址和目的端口号在第二对应关系中进行匹配,以得到第二目标主机节点在虚拟网络中的网络地址;以及将第一访问报文的源地址和目的地址分别转换为第一目标主机节点和第二目标主机节点在虚拟网络中的网络地址,以得到目标访问报文。
在一些实施例中,第一主机节点的数量为多个;多个第一主机节点在物理网络中的网络地址注册在至少一个应用下;至少一个应用中存在至少一个目标应用;目标应用下注册有至少两个第一主机节点。
相应地,处理器50b还用于:将第一目标主机节点在物理网络中的网络地址在第三对应关系中进行匹配,以确定第一目标主机节点所在的第一应用;其中,第三对应关系为至少一个应用与其下注册的第一主机节点在物理网络中的网络地址之间的对应关系;将第二目标主机节点在虚拟网络中的网络地址在第四对应关系中进行匹配,以确定对第二目标主机节点具有访问权限的第一目标应用的标识;其中,第四对应关系为多个第二主机节点在虚拟网络中的网络地址与对其具有访问权限的应用的标识之间的对应关系;进一步,将第一应用的标识在对第二目标主机节点具有访问权限的第一目标应用的标识中进行查询;若查询到,则确定第一目标主机节点对第二目标主机节点具有访问权限。
在一些可选实施方式中,如图5所示,网关设备还可以包括:电源组件50d 等可选组件。图5中仅示意性给出部分组件,并不意味着网关设备必须包含图5 所示全部组件,也不意味着网关设备只能包括图5所示组件。
在本实施例中,虚拟网络中的主机节点至少存在两个主机节点映射为物理网络的同一网络地址,实现端口级别映射,减少了对物理网络中的网络地址的占用,有助于解决物理网络中的网络地址不足的问题。进一步,基于物理网络中的主机节点在物理网络中的网络地址和其在虚拟网络中的网络地址之间的对应关系,以及虚拟网络中的主机节点在虚拟网络中的网络地址与其在物理网络中的网络地址以及端口号之间的对应关系,可实现物理网络中的主机节点与虚拟网络中的主机节点之间的通信。
图6为本申请实施例提供的一种计算机设备的结构示意图。如图6所示,该计算机设备包括:存储器60a和处理器60b。其中,存储器60a,用于存储计算机程序。
处理器60b耦合至存储器60a,用于执行计算机程序以用于:获取注册有其它子网络中的主机节点的至少一个应用;至少一个应用中存在目标应用;目标应用下注册有至少两个主机节点;对至少一个应用进行访问权限控制,以对至少一个应用下注册的主机节点进行访问权限控制。
在一些可选实施方式中,如图6所示,计算机设备还可以包括:通信组件 60c、电源组件60d等组件。若计算机设备为电脑、智能手机等终端设备,还可包括:显示屏60e和音频组件60f等可选组件。图6中仅示意性给出部分组件,并不意味着计算机设备必须包含图6所示全部组件,也不意味着计算机设备只能包括图6所示组件。
在本实施例中,至少一个应用中存在至少一个目标应用,其中,目标应用是指其下至少注册有两个第一主机节点的应用,即目标应用下注册有至少两个第一主机节点。目标应用可为至少一个应用中的部分和全部应用。在本实施例中,至少一个第二主机节点可对至少一个应用进行访问权限控制,进而对至少一个应用下注册的第一主机节点进行访问权限控制。对于目标应用来说,可对目标应用下注册的至少两个第一主机节点实现批量访问权限控制,有助于降低安全配置复杂度。
可选地,还可将物理网络中的多个第一主机节点全部注册到同一应用下,这样,第二主机节点可对该应用进行访问权限控制,即可对该应用下注册的所有第一主机节点进行访问权限控制,进而实现批量访问权限控制,有助于降低安全配置复杂度。
在本申请实施例中,存储器用于存储计算机程序,并可被配置为存储其它各种数据以支持在其所在设备上的操作。其中,处理器可执行存储器中存储的计算机程序,以实现相应控制逻辑。存储器可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
在本申请实施例中,处理器可以为任意可执行上述方法逻辑的硬件处理设备。可选地,处理器可以为中央处理器(Central Processing Unit,CPU)、图形处理器(GraphicsProcessing Unit,GPU)或微控制单元(Microcontroller Unit,MCU);也可以为现场可编程门阵列(Field-Programmable Gate Array, FPGA)、可编程阵列逻辑器件(ProgrammableArray Logic,PAL)、通用阵列逻辑器件(General Array Logic,GAL)、复杂可编程逻辑器件(Complex Programmable Logic Device,CPLD)等可编程器件;或者为先进精简指令集(RISC)处理器(Advanced RISC Machines,ARM)或系统芯片(System on Chip SOC)等等,但不限于此。
在本申请实施例中,通信组件被配置为便于其所在设备和其他设备之间有线或无线方式的通信。通信组件所在设备可以接入基于通信标准的无线网络,如WiFi,2G或3G,4G,5G或它们的组合。在一个示例性实施例中,通信组件经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中,通信组件还可基于近场通信(NFC)技术、射频识别(RFID) 技术、红外数据协会(IrDA)技术、超宽带(UWB)技术、蓝牙(BT)技术或其他技术来实现。
在本申请实施例中,显示屏可以包括液晶显示器(LCD)和触摸面板(TP)。如果显示屏包括触摸面板,显示屏可以被实现为触摸屏,以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。触摸传感器可以不仅感测触摸或滑动动作的边界,而且还检测与触摸或滑动操作相关的持续时间和压力。
在本申请实施例中,电源组件被配置为其所在设备的各种组件提供电力。电源组件可以包括电源管理系统,一个或多个电源,及其他与为电源组件所在设备生成、管理和分配电力相关联的组件。
在本申请实施例中,音频组件可被配置为输出和/或输入音频信号。例如,音频组件包括一个麦克风(MIC),当音频组件所在设备处于操作模式,如呼叫模式、记录模式和语音识别模式时,麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器或经由通信组件发送。在一些实施例中,音频组件还包括一个扬声器,用于输出音频信号。例如,对于具有语言交互功能的设备,可通过音频组件实现与用户的语音交互等。
图7为本申请实施例提供的一种通信装置的结构示意图。如图7所示,该通信装置包括:获取模块70a和建立模块70b。
在本实施例中,获取模块70a,用于获取第一对应关系和第二对应关系。其中,第一对应关系为第一主机节点在物理网络中的网络地址与其在虚拟网络中的网络地址之间的对应关系;第二对应关系为第二主机节点在虚拟网络中的网络地址、在物理网络中的网络地址以及在物理网络中的网络地址下的端口号之间的对应关系。第二主机节点的数量为多个,且至少两个第二主机节点共用物理网络中的同一网络地址;至少两个第二主机节点的端口号不同。
可选地,多个第二主机节点共用物理网络中的同一网络地址。
建立模块70b,用于基于第一对应关系和第二对应关系,建立物理网络中的第一主机节点与虚拟网络中的第二主机节点之间的通信连接。
可选地,建立模块70b在在建立物理网络中的第一主机节点与虚拟网络中的第二主机节点之间的通信连接时,具体用于:在第一目标主机节点需要访问第二目标主机节点的情况下,根据第一对应关系和第二对应关系,生成目标访问报文;其中,目标访问报文的源地址和目的地址分别为:第一目标主机节点和第二目标主机节点在虚拟网络中的网络地址;在第一目标主机节点具有访问第二目标主机节点的权限的情况下,将目标访问报文转发给目标访问报文的目的地址指向的第二主机节点;其中,第一目标主机节点为物理网络中的任一主机节点;第二目标主机节点为多个第二主机节点中的第一目标主机节点待访问的主机节点。
相应地,建立模块70b还用于:根据第一对应关系和第二对应关系,将第二目标主机节点对目标访问报文进行响应所返回的第一响应报文转换为第二响应报文;将第二响应报文转发给第二响应报文的目的地址指向的第一目标主机节点;其中,第一响应报文的源地址和目的地址分别为第二目标主机节点和第一目标主机节点在虚拟网络中的网络地址;第二响应报文的源地址和目的地址分别为第二目标主机节点和第一目标主机节点在物理网络中的网络地址;第二响应报文的源端口号为第二目标主机节点在物理网络中的网络地址下的端口号。
进一步,建立模块70b在生成目标访问报文时,具体用于:接收第一目标主机节点提供的第一访问报文;其中,第一访问报文的源地址和目的地址分别为:第一目标主机节点和第二目标主机节点分别在物理网络中的网络地址;第一访问报文的目的端口号为第二目标主机节点在物理网络中的网络地址下的端口号;根据第一访问报文的源地址、目的地址、目的端口号以及第一对应关系和第二对应关系,将第一访问报文转换为目标访问报文。
进一步,建立模块70b在将第一访问报文转换为目标访问报文时,具体用于:将第一访问报文的源地址在第一对应关系中进行匹配,以得到第一目标主机节点在虚拟网络中的网络地址;将第一访问报文的目的地址和目的端口号在第二对应关系中进行匹配,以得到第二目标主机节点在虚拟网络中的网络地址;以及将第一访问报文的源地址和目的地址分别转换为第一目标主机节点和第二目标主机节点在虚拟网络中的网络地址,以得到目标访问报文。
在一些实施例中,第一主机节点的数量为多个;多个第一主机节点在物理网络中的网络地址注册在至少一个应用下;至少一个应用中存在至少一个目标应用;目标应用下注册有至少两个第一主机节点。
相应地,如图7所示,通信装置还包括:匹配模块70c和查询模块70d。其中,匹配模块70c用于:将第一目标主机节点在物理网络中的网络地址在第三对应关系中进行匹配,以确定第一目标主机节点所在的第一应用;其中,第三对应关系为至少一个应用与其下注册的第一主机节点在物理网络中的网络地址之间的对应关系;并将第二目标主机节点在虚拟网络中的网络地址在第四对应关系中进行匹配,以确定对第二目标主机节点具有访问权限的第一目标应用的标识;其中,第四对应关系为多个第二主机节点在虚拟网络中的网络地址与对其具有访问权限的应用的标识之间的对应关系。
相应地,查询模块70d用于:将第一应用的标识在对第二目标主机节点具有访问权限的第一目标应用的标识中进行查询;若查询到,则确定第一目标主机节点对第二目标主机节点具有访问权限。
在本实施例中,虚拟网络中的主机节点至少存在两个主机节点映射为物理网络的同一网络地址,实现端口级别映射,减少了对物理网络中的网络地址的占用,有助于解决物理网络中的网络地址不足的问题。进一步,基于物理网络中的主机节点在物理网络中的网络地址和其在虚拟网络中的网络地址之间的对应关系,以及虚拟网络中的主机节点在虚拟网络中的网络地址与其在物理网络中的网络地址以及端口号之间的对应关系,可实现物理网络中的主机节点与虚拟网络中的主机节点之间的通信。
图8为本申请实施例提供的一种访问控制装置的结构示意图。如图8所示,该访问控制装置包括:获取模块80a和控制模块80b。
其中,获取模块80a,用于获取注册有其它子网络中的主机节点的至少一个应用;至少一个应用中存在目标应用;目标应用下注册有至少两个主机节点。
控制模块80b,用于:对至少一个应用进行访问权限控制,以对至少一个应用下注册的主机节点进行访问权限控制。
在本实施例中,至少一个应用中存在至少一个目标应用,其中,目标应用是指其下至少注册有两个第一主机节点的应用,即目标应用下注册有至少两个第一主机节点。目标应用可为至少一个应用中的部分和全部应用。在本实施例中,至少一个第二主机节点可对至少一个应用进行访问权限控制,进而对至少一个应用下注册的第一主机节点进行访问权限控制。对于目标应用来说,可对目标应用下注册的至少两个第一主机节点实现批量访问权限控制,有助于降低安全配置复杂度。
可选地,还可将物理网络中的多个第一主机节点全部注册到同一应用下,这样,第二主机节点可对该应用进行访问权限控制,即可对该应用下注册的所有第一主机节点进行访问权限控制,进而实现批量访问权限控制,有助于降低安全配置复杂度。
需要说明的是,本文中的“第一”、“第二”等描述,是用于区分不同的消息、设备、模块等,不代表先后顺序,也不限定“第一”和“第二”是不同的类型。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、 CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/ 或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器 (RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (22)
1.一种网络系统,其特征在于,包括:物理网络以及承载于物理网络之上的虚拟网络;所述物理网络包括:至少一个第一主机节点;所述虚拟网络包括:多个第二主机节点,且至少两个第二主机节点共用所述物理网络中的同一网络地址;所述至少两个第二主机节点的端口号不同;
所述物理网络还包括网关设备,所述网关设备维护有第一对应关系和第二对应关系,以供所述第一主机节点和所述第二主机节点进行通信;
其中,所述第一对应关系为所述至少一个第一主机节点在物理网络中的网络地址与其在虚拟网络中的网络地址之间的对应关系;
所述第二对应关系为所述多个第二主机节点在所述虚拟网络中的网络地址、在物理网络中的网络地址以及在所述物理网络中的网络地址下的端口号之间的对应关系。
2.根据权利要求1所述的系统,其特征在于,所述网关设备在所述第一主机节点和所述第二主机节点进行通信时,用于:
在第一目标主机节点需要访问第二目标主机节点的情况下,根据所述第一对应关系和所述第二对应关系,生成目标访问报文;其中,所述目标访问报文的源地址和目的地址分别为:所述第一目标主机节点和所述第二目标主机节点在所述虚拟网络中的网络地址;
在所述第一目标主机节点具有访问所述第二目标主机节点的权限的情况下,将所述目标访问报文转发给所述目标访问报文的目的地址指向的第二主机节点;
其中,所述第一目标主机节点为所述至少一个第一主机节点中的任一主机节点;所述第二目标主机节点为所述多个第二主机节点中的所述第一目标主机节点待访问的主机节点。
3.根据权利要求2所述的系统,其特征在于,所述第一主机节点的数量为多个;所述多个第一主机节点在所述物理网络中的网络地址注册在至少一个应用下;所述至少一个应用中存在至少一个目标应用;所述目标应用下注册有至少两个第一主机节点;
所述多个第二主机节点,用于:对所述至少一个应用进行访问权限控制,以对所述至少一个应用下注册的第一主机节点进行访问权限控制。
4.根据权利要求1-3任一项所述的系统,其特征在于,所述多个第二主机节点共用所述物理网络中的同一网络地址。
5.根据权利要求2或3所述的系统,其特征在于,所述第二目标主机节点,用于:对所述目标访问报文进行响应,并向所述网关设备返回第一响应报文;所述第一响应报文的源地址和目的地址分别为所述第二目标主机节点和所述第一目标主机节点在所述虚拟网络中的网络地址;
所述网关设备,还用于:根据所述第一对应关系和所述第二对应关系,将所述第一响应报文转换为第二响应报文;以及将所述第二响应报文转发给所述第二响应报文的目的地址指向的第一目标主机节点;
其中,所述第二响应报文的源地址和目的地址分别为所述第二目标主机节点和所述第一目标主机节点在所述物理网络中的网络地址;所述第二响应报文的源端口号为所述第二目标主机节点在所述物理网络中的网络地址下的端口号。
6.根据权利要求1-3任一项所述的系统,其特征在于,还包括:控制设备;
所述控制设备,用于:为所述多个第二主机节点分配所述物理网络中的网络地址,并为共用同一网络地址的第二主机节点分配不同的端口号;以及为所述至少一个第一主机节点分配所述虚拟网络中的网络地址;并将所述第一对应关系和所述第二对应关系提供给所述网关设备。
7.根据权利要求1-3任一项所述的系统,其特征在于,所述物理网络为underlay网络;所述虚拟网络为overlay网络。
8.一种网络系统,其特征在于,包括:第一子网络和第二子网络;所述第一子网络包括:多个第一主机节点;所述第二子网络包括:至少一个第二主机节点;所述第一子网络为物理网络;所述第二子网络为虚拟网络;
所述多个第一主机节点的标识注册在至少一个应用下;所述至少一个应用中存在目标应用;所述目标应用下注册有至少两个第一主机节点;
所述第二主机节点,可对所述至少一个应用进行访问权限控制,以对所述至少一个应用下注册的第一主机节点进行访问权限控制。
9.根据权利要求8所述的系统,其特征在于,还包括:网关设备;
所述第二主机节点,还用于:将所述第二主机节点的标识与对其具有访问权限的应用的标识之间的对应关系提供给所述网关设备;
所述网关设备,用于:根据维护的所述至少一个应用与其下注册的第一主机节点的标识之间的对应关系以及所述第二主机节点的标识与对其具有访问权限的应用的标识之间的对应关系,确定所述多个第一主机节点对所述第二主机节点的访问权限。
10.一种通信方法,其特征在于,包括:
获取第一对应关系和第二对应关系;
基于所述第一对应关系和所述第二对应关系,建立物理网络中的第一主机节点与虚拟网络中的第二主机节点之间的通信连接;
其中,所述第一对应关系为所述第一主机节点在所述物理网络中的网络地址与其在虚拟网络中的网络地址之间的对应关系;所述第二对应关系为所述第二主机节点在所述虚拟网络中的网络地址、在物理网络中的网络地址以及在所述物理网络中的网络地址下的端口号之间的对应关系;
所述第二主机节点的数量为多个,且至少两个第二主机节点共用所述物理网络中的同一网络地址;所述至少两个第二主机节点的端口号不同。
11.根据权利要求10所述的方法,其特征在于,所述基于所述第一对应关系和所述第二对应关系,建立物理网络中的第一主机节点与虚拟网络中的第二主机节点之间的通信连接,包括:
在第一目标主机节点需要访问第二目标主机节点的情况下,根据所述第一对应关系和所述第二对应关系,生成目标访问报文;其中,所述目标访问报文的源地址和目的地址分别为:所述第一目标主机节点和所述第二目标主机节点在所述虚拟网络中的网络地址;
在所述第一目标主机节点具有访问所述第二目标主机节点的权限的情况下,将所述目标访问报文转发给所述目标访问报文的目的地址指向的第二主机节点;
其中,所述第一目标主机节点为物理网络中的任一主机节点;所述第二目标主机节点为所述多个第二主机节点中的所述第一目标主机节点待访问的主机节点。
12.根据权利要求11所述的方法,其特征在于,所述根据所述第一对应关系和所述第二对应关系,生成目标访问报文,包括:
接收所述第一目标主机节点提供的第一访问报文;其中,所述第一访问报文的源地址和目的地址分别为:所述第一目标主机节点和所述第二目标主机节点分别在所述物理网络中的网络地址;所述第一访问报文的目的端口号为所述第二目标主机节点在所述物理网络中的网络地址下的端口号;
根据所述第一访问报文的源地址、目的地址、目的端口号以及所述第一对应关系和所述第二对应关系,将所述第一访问报文转换为所述目标访问报文。
13.根据权利要求12所述的方法,其特征在于,所述根据所述第一访问报文的源地址、目的地址、目的端口号以及所述第一对应关系和所述第二对应关系,将所述第一访问报文转换为所述目标访问报文,包括:
将所述第一访问报文的源地址在所述第一对应关系中进行匹配,以得到所述第一目标主机节点在所述虚拟网络中的网络地址;
将所述第一访问报文的目的地址和目的端口号在所述第二对应关系中进行匹配,以得到所述第二目标主机节点在所述虚拟网络中的网络地址;
将所述第一访问报文的源地址和目的地址分别转换为所述第一目标主机节点和所述第二目标主机节点在所述虚拟网络中的网络地址,以得到所述目标访问报文。
14.根据权利要求11所述的方法,其特征在于,所述第一主机节点的数量为多个;所述多个第一主机节点在所述物理网络中的网络地址注册在至少一个应用下;所述至少一个应用中存在至少一个目标应用;所述目标应用下注册有至少两个第一主机节点。
15.根据权利要求14所述的方法,其特征在于,还包括:
将所述第一目标主机节点在所述物理网络中的网络地址在第三对应关系中进行匹配,以确定所述第一目标主机节点所在的第一应用;所述第三对应关系为所述至少一个应用与其下注册的第一主机节点在所述物理网络中的网络地址之间的对应关系;
将所述第二目标主机节点在第四对应关系中进行匹配,以确定对所述第二目标主机节点具有访问权限的第一目标应用的标识;所述第四对应关系为所述虚拟网络中的网络地址在所述多个第二主机节点在所述虚拟网络中的网络地址与对其具有访问权限的应用的标识之间的对应关系;
将所述第一应用的标识在所述对所述第二目标主机节点具有访问权限的第一目标应用的标识中进行查询;
若查询到,则确定所述第一目标主机节点对所述第二目标主机节点具有访问权限。
16.根据权利要求10-15任一项所述的方法,其特征在于,还包括:
根据所述第一对应关系和所述第二对应关系,将所述第二目标主机节点对所述目标访问报文进行响应所返回的第一响应报文转换为第二响应报文;
将所述第二响应报文转发给所述第二响应报文的目的地址指向的第一目标主机节点;
其中,所述第一响应报文的源地址和目的地址分别为所述第二目标主机节点和所述第一目标主机节点在所述虚拟网络中的网络地址;
所述第二响应报文的源地址和目的地址分别为所述第二目标主机节点和所述第一目标主机节点分别在所述物理网络中的网络地址;所述第二响应报文的源端口号为所述第二目标主机节点在所述物理网络中的网络地址下的端口号。
17.一种访问控制方法,其特征在于,包括:
获取注册有其它子网络中的主机节点的至少一个应用;所述至少一个应用中存在目标应用;所述目标应用下注册有至少两个主机节点;所述其它子网络为物理网络;
对所述至少一个应用进行访问权限控制,以对所述至少一个应用下注册的主机节点进行访问权限控制。
18.一种网关设备,其特征在于,包括:存储器和处理器;其中,所述存储器,用于存储第一对应关系和第二对应关系以及计算机程序;所述第一对应关系为所述第一主机节点在物理网络中的网络地址与其在虚拟网络中的网络地址之间的对应关系;所述第二对应关系为所述第二主机节点在所述虚拟网络中的网络地址、在物理网络中的网络地址以及在所述物理网络中的网络地址下的端口号之间的对应关系;
所述第二主机节点的数量为多个,且至少两个第二主机节点共用所述物理网络中的同一网络地址;所述至少两个第二主机节点的端口号不同;
所述处理器耦合至所述存储器,用于执行所述计算机程序以用于执行权利要求10-16任一项所述的方法中的步骤。
19.一种计算机设备,其特征在于,包括:存储器和处理器;其中,所述存储器,用于存储计算机程序;
所述处理器耦合至所述存储器,用于执行所述计算机程序以用于执行权利要求17中的步骤。
20.一种通信装置,其特征在于,包括:获取模块和建立模块;
所述获取模块,用于获取第一对应关系和第二对应关系;
所述建立模块,用于基于所述第一对应关系和所述第二对应关系,建立物理网络中的第一主机节点与虚拟网络中的第二主机节点之间的通信连接;
其中,所述第一对应关系为所述第一主机节点在所述物理网络中的网络地址与其在虚拟网络中的网络地址之间的对应关系;所述第二对应关系为所述第二主机节点在所述虚拟网络中的网络地址、在物理网络中的网络地址以及在所述物理网络中的网络地址下的端口号之间的对应关系;
所述第二主机节点的数量为多个,且至少两个第二主机节点共用所述物理网络中的同一网络地址;所述至少两个第二主机节点的端口号不同。
21.一种访问控制装置,其特征在于,包括:获取模块和控制模块;
所述获取模块,用于获取注册有其它子网络中的主机节点的至少一个应用;所述至少一个应用中存在目标应用;所述目标应用下注册有至少两个主机节点;所述其它子网络为物理网络;
所述控制模块,用于对所述至少一个应用进行访问权限控制,以对所述至少一个应用下注册的主机节点进行访问权限控制。
22.一种存储有计算机指令的计算机可读存储介质,其特征在于,当所述计算机指令被一个或多个处理器执行时,致使所述一个或多个处理器执行权利要求10-17任一项所述方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010296520.7A CN113542091B (zh) | 2020-04-15 | 2020-04-15 | 通信和访问控制方法、设备、装置、系统及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010296520.7A CN113542091B (zh) | 2020-04-15 | 2020-04-15 | 通信和访问控制方法、设备、装置、系统及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113542091A CN113542091A (zh) | 2021-10-22 |
CN113542091B true CN113542091B (zh) | 2022-07-19 |
Family
ID=78120163
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010296520.7A Active CN113542091B (zh) | 2020-04-15 | 2020-04-15 | 通信和访问控制方法、设备、装置、系统及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113542091B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107317792A (zh) * | 2016-03-30 | 2017-11-03 | 阿里巴巴集团控股有限公司 | 一种实现虚拟专有网络中访问控制的方法与设备 |
CN108650182A (zh) * | 2018-04-20 | 2018-10-12 | 腾讯科技(深圳)有限公司 | 网络通信方法、系统、装置、设备及存储介质 |
CN109451084A (zh) * | 2018-09-14 | 2019-03-08 | 华为技术有限公司 | 一种服务访问方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102014219472A1 (de) * | 2014-09-25 | 2016-03-31 | Siemens Aktiengesellschaft | Verfahren zum Übertragen von Daten, Netzknoten und Netzwerk |
US11005750B2 (en) * | 2016-08-05 | 2021-05-11 | Huawei Technologies Co., Ltd. | End point to edge node interaction in wireless communication networks |
CN108462594B (zh) * | 2017-02-21 | 2022-03-04 | 阿里巴巴集团控股有限公司 | 虚拟专有网络及规则表生成方法、装置及路由方法 |
-
2020
- 2020-04-15 CN CN202010296520.7A patent/CN113542091B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107317792A (zh) * | 2016-03-30 | 2017-11-03 | 阿里巴巴集团控股有限公司 | 一种实现虚拟专有网络中访问控制的方法与设备 |
CN108650182A (zh) * | 2018-04-20 | 2018-10-12 | 腾讯科技(深圳)有限公司 | 网络通信方法、系统、装置、设备及存储介质 |
CN109451084A (zh) * | 2018-09-14 | 2019-03-08 | 华为技术有限公司 | 一种服务访问方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN113542091A (zh) | 2021-10-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111885075B (zh) | 容器通信方法、装置、网络设备及存储介质 | |
WO2019157955A1 (zh) | 设备接入方法、相关平台及计算机存储介质 | |
EP2905930B1 (en) | Processing method, apparatus and system for multicast | |
US10645060B2 (en) | Method, device and system for forwarding message | |
CN111431956B (zh) | 跨网络的服务访问方法、设备、系统及存储介质 | |
CN111224821B (zh) | 安全服务部署系统、方法及装置 | |
CN110621045A (zh) | 一种物联网业务路由的方法 | |
CN107579900B (zh) | 从vlan网络接入vxlan网络的方法、装置及系统 | |
US11057821B2 (en) | Method and device for connecting to hidden wireless access point | |
CN106878480B (zh) | 一种dhcp服务进程共享方法及装置 | |
CN114342332B (zh) | 一种通信方法、装置及系统 | |
CN112953774B (zh) | 一种网络拓扑生成方法、系统、设备及计算机存储介质 | |
CN112702213A (zh) | 一种网络功能nf管理方法及nf管理设备 | |
US20200259783A1 (en) | Method and apparatus for determining ethernet mac address | |
CN114866472B (zh) | 一种在多模态网络中实现开源社区访问的方法及系统 | |
CN114726827B (zh) | 多集群服务系统、服务访问与信息配置方法、设备及介质 | |
CN113839995A (zh) | 跨域资源纳管系统、方法、设备及存储介质 | |
WO2016086544A1 (zh) | 网络设备的网口配置方法、装置及存储介质 | |
CN111683159A (zh) | Ip地址分配方法、设备、系统及存储介质 | |
CN113542091B (zh) | 通信和访问控制方法、设备、装置、系统及存储介质 | |
CN110636149B (zh) | 远程访问方法、装置、路由器及存储介质 | |
EP3503484A1 (en) | Message transmission method, device and network system | |
CN110278558B (zh) | 报文的交互方法及wlan系统 | |
CN109120738B (zh) | Dhcp服务器及其进行网络内部设备管理的方法 | |
WO2017215381A1 (zh) | 虚拟扩展端口的指示方法和装置、存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230525 Address after: Room 1-2-A06, Yungu Park, No. 1008 Dengcai Street, Sandun Town, Xihu District, Hangzhou City, Zhejiang Province Patentee after: Aliyun Computing Co.,Ltd. Address before: Box 847, four, Grand Cayman capital, Cayman Islands, UK Patentee before: ALIBABA GROUP HOLDING Ltd. |