CN113691608B - 流量分发的方法、装置、电子设备及介质 - Google Patents
流量分发的方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN113691608B CN113691608B CN202110963095.7A CN202110963095A CN113691608B CN 113691608 B CN113691608 B CN 113691608B CN 202110963095 A CN202110963095 A CN 202110963095A CN 113691608 B CN113691608 B CN 113691608B
- Authority
- CN
- China
- Prior art keywords
- data packet
- traffic
- network information
- flow data
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000012550 audit Methods 0.000 claims abstract description 63
- 230000008859 change Effects 0.000 claims description 36
- 238000004891 communication Methods 0.000 claims description 25
- 238000004458 analytical method Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 8
- 238000005538 encapsulation Methods 0.000 claims description 8
- 230000004048 modification Effects 0.000 claims description 4
- 238000012986 modification Methods 0.000 claims description 4
- 238000007792 addition Methods 0.000 claims description 3
- 238000012217 deletion Methods 0.000 claims description 3
- 230000037430 deletion Effects 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 claims description 2
- 238000012545 processing Methods 0.000 description 12
- 238000005516 engineering process Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 8
- 238000004422 calculation algorithm Methods 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000007781 pre-processing Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008602 contraction Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000013508 migration Methods 0.000 description 2
- 230000005012 migration Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012854 evaluation process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及一种流量分发的方法、装置、电子设备及介质,可应用于网络和云计算领域,上述方法包括:获取待审计的第一流量数据包和第二流量数据包,上述第一流量数据包的源端和目的端与上述第二流量数据包的源端和目的端之间互为倒置关系;对上述第一流量数据包和上述第二流量数据包分别进行解析,对应得到第一网络信息和第二网络信息;对上述第一网络信息和上述第二网络信息分别进行对称哈希运算,得到相同的秘钥值;根据上述秘钥值和用于流量审计的服务器集群的网络信息,确定上述第一流量数据包和上述第二流量数据包共同对应的目标服务器;以及将上述第一流量数据包和上述第二流量数据包分别发送给对应的目标服务器。
Description
技术领域
本公开涉及网络技术和云计算技术领域,尤其涉及一种流量分发的方法、装置、电子设备及介质。
背景技术
随着互联网技术的广泛普及,出现了互联网数据的造假现象。为了验证流量数据的可靠性和真实性,流量审计技术应运而生。流量审计除了聚焦于网络流量数据的真实性之外,还可以对网络流量数据的质量、安全性等进行验证,例如针对网络流量数据进行安全分析、攻击检测,通过实时捕获网络数据包进行分析,在发现网络攻击行为时马上进行提示和预警。此外,随着大数据和云计算等新技术的发展,基于远程访问和远程控制来实现数据共享、超级计算成为可能,然而这就带来了共享技术的漏洞,具有面临恶意访问导致数据损失、数据泄露的风险,因此流量审计也为云环境下的安全性保障以及对已泄露事件的溯源提供了一种可选的分析和预警方式。
然而,现有的流量审计方案会存在漏报的情况,从而影响云环境下的安全防控。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开的实施例提供了一种流量分发的方法、装置、电子设备及介质。
第一方面,本公开的实施例提供了一种流量分发的方法。上述方法包括:获取待审计的第一流量数据包和第二流量数据包,上述第一流量数据包的源端和目的端与上述第二流量数据包的源端和目的端之间互为倒置关系;对上述第一流量数据包和上述第二流量数据包分别进行解析,对应得到第一网络信息和第二网络信息;对上述第一网络信息和上述第二网络信息分别进行对称哈希运算,得到相同的秘钥值;根据上述秘钥值和用于流量审计的服务器集群的网络信息,确定上述第一流量数据包和上述第二流量数据包共同对应的目标服务器;以及将上述第一流量数据包和上述第二流量数据包分别发送给对应的目标服务器。
根据本公开的实施例,上述根据上述秘钥值和用于流量审计的服务器集群的网络信息,确定上述第一流量数据包和上述第二流量数据包共同对应的目标服务器,包括:根据上述秘钥值和用于流量审计的服务器集群的网络信息,进行一致性哈希运算,得到上述第一流量数据包和上述第二流量数据包共同对应的目标服务器。
根据本公开的实施例,上述根据上述秘钥值和上述服务器集群的网络信息,进行一致性哈希运算,得到上述第一流量数据包和上述第二流量数据包共同对应的目标服务器,包括:对上述服务器集群的网络信息进行哈希运算,得到上述服务器集群中各个服务器在哈希环中对应的候选位置;对上述秘钥值进行哈希运算,得到上述第一网络信息和上述第二网络信息在哈希环中对应的待匹配位置;将上述待匹配位置与上述候选位置进行匹配,得到与上述待匹配位置相匹配的目标候选位置,上述目标候选位置对应的目标服务器作为上述第一流量数据包和上述第二流量数据包的用于流量审计的共同目的端。
根据本公开的实施例,上述方法还包括:接收用于流量审计的服务器集群的变更信息;以及根据上述变更信息,更新上述用于流量审计的服务器集群的网络信息。其中,根据上述秘钥值和用于流量审计的服务器集群的网络信息,进行一致性哈希运算,包括:根据上述秘钥值和更新后的用于流量审计的服务器集群中的网络信息,进行一致性哈希运算。
根据本公开的实施例,上述服务器集群的变更信息包括以下的一种或多种:服务器集群从第一集群变换至第二集群,上述第一集群与上述第二集群相互独立或具有包涵关系;服务器集群中服务器的个数变更信息、IP地址变更信息或名称变更信息中的至少一种信息,上述变更信息包括:增加、删除或者更改。
根据本公开的实施例,上述获取待审计的第一流量数据包和第二流量数据包,包括:对用于网络分发的核心节点进行监听;在监听到上述核心节点进行接收请求和响应请求的流量转发时,将来自同一组源端和目的端的正向流量和反向流量的原始数据包进行镜像处理,对应得到第一流量数据包和第二流量数据包。
根据本公开的实施例,上述将上述第一流量数据包和上述第二流量数据包分别发送给对应的目标服务器,包括:将上述第一流量数据包和上述第二流量数据包进行VXLAN封装,将封装后的第一流量数据包和第二流量数据包基于XLAN隧道分别传输给对应的目标服务器。
第二方面,本公开的实施例提供了一种用于流量分发的装置。上述装置包括:流量数据获取模块、解析模块、第一运算模块、第二运算模块以及通信模块。上述流量数据获取模块用于获取待审计的第一流量数据包和第二流量数据包。上述第一流量数据包的源端和目的端与上述第二流量数据包的源端和目的端之间互为倒置关系。上述解析模块用于对上述第一流量数据包和上述第二流量数据包分别进行解析,对应得到第一网络信息和第二网络信息。上述第一运算模块用于对上述第一网络信息和上述第二网络信息分别进行对称哈希运算,得到相同的秘钥值。上述第二运算模块用于根据上述秘钥值和用于流量审计的服务器集群的网络信息,确定上述第一流量数据包和上述第二流量数据包共同对应的目标服务器。上述通信模块用于将上述第一流量数据包和上述第二流量数据包分别发送给对应的目标服务器。
根据本公开的实施例,上述装置包括负载均衡模块或负载均衡设备,上述负载均衡模块为内置于用于网络分发的核心节点中的软件、硬件或软硬件系统,上述负载均衡设备为设置于上述核心节点之外,且能够与上述核心节点进行通信的设备。
第三方面,本公开的实施例提供了一种电子设备。上述电子设备包括处理器、通信接口、存储器和通信总线,其中,处理器、通信接口和存储器通过通信总线完成相互间的通信;存储器,用于存放计算机程序;处理器,用于执行存储器上所存放的程序时,实现如上所述的流量分发的方法。
第四方面,本公开的实施例提供了一种计算机可读存储介质。上述计算机可读存储介质上存储有计算机程序,上述计算机程序被处理器执行时实现如上所述的流量分发的方法。
本公开实施例提供的上述技术方案至少具有如下优点的部分或全部:
(1)通过对第一/第二流量数据包解析得到的第一/第二网络信息进行对称哈希运算,能够得到相同的秘钥值,从而可以确保根据上述秘钥值和服务器集群的网络信息确定的用于进行流量审计的服务器的地址是相同的,如此一来,实现了从源端到目的端的完整路径上的流量数据包被发送至相同的提供流量审计服务的目标服务器中,保证待审计流量的同源同宿,减少漏报发生;
(2)在用于流量审计的服务器集群发生扩容、缩容或者其他形式的动态变更的场景下,通过根据秘钥值和用于流量审计的服务器集群的网络信息,进行一致性哈希运算,能够确保非对称路由下的流量仍然分发至与动态变更前相同的目标服务器中,一致性哈希保证动态扩缩容情况下流量分发的平滑,与对称哈希同时使用保证非对称流量的同源同宿,能够进一步解决:由于服务器集群的规模或者其他导致网络信息发生变动所导致的目标服务器与变更前不一致,从而导致审计数据不连续,产生漏报的问题;
(3)通过采用VXLAN封装进行待审计流量的转发/发送,可以有效保证在云网络大二层环境下用于审计的流量分发与原生的业务流量(终端与应用服务器之间的数据流量)的隔离。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示意性地示出了适用于本公开实施例的流量分发的方法和装置的系统架构;
图2示意性地示出了根据本公开一实施例的流量分发的方法的流程图;
图3示意性地示出了根据本公开实施例的操作S201的详细实施流程图;
图4示意性地示出了根据本公开实施例的操作S204的详细实施流程图;
图5示意性地示出了根据本公开实施例的操作S401的详细实施流程图;
图6示意性地示出了根据本公开另一实施例的流量分发的方法的流程图;
图7示意性地示出了根据本公开实施例的操作S205的详细实施流程图;
图8示意性地示出了根据本公开实施例的用于流量分发的装置的结构框图;以及
图9示意性地示出了本公开实施例提供的电子设备的结构框图。
具体实施方式
在实现本公开构思的过程中发现:流量审计系统可以采用近源部署的策略,通过设置于网络分发的核心节点(例如核心交换机或路由器)中,获取公网流量后,再进行流量审计处理。然而,针对非对称路由下的流量审计而言,由于正向流量和反向流量途径的核心节点是不对称的/不同的,那么部署于每个核心节点中的流量审计系统获取到的流量是单向的,从终端设备(客户端设备)到应用服务器端、再返回至终端设备的完整流量被分散至不同的审计服务端进行处理。由于流量审计功能对同一个完整路径下前后数据的连续性是有要求的,在前后数据没有分发到相同的后端服务时,可能会导致漏报情况。
有鉴于此,本公开的实施例提供了一种流量分发的方法、装置、电子设备及介质,能够至少解决在非对称路由下存在的在同一个审计服务端无法获取到完整路径下的数据流量,从终端设备(客户端设备)到应用服务器端、再返回至终端设备的完整流量被分散至不同的审计服务端进行处理导致的漏报情况。
上述方法包括:获取待审计的第一流量数据包和第二流量数据包,上述第一流量数据包的源端和目的端与上述第二流量数据包的源端和目的端之间互为倒置关系;对上述第一流量数据包和上述第二流量数据包分别进行解析,对应得到第一网络信息和第二网络信息;对上述第一网络信息和上述第二网络信息分别进行对称哈希运算,得到相同的秘钥值;根据上述秘钥值和用于流量审计的服务器集群的网络信息,确定上述第一流量数据包和上述第二流量数据包共同对应的目标服务器;以及将上述第一流量数据包和上述第二流量数据包分别发送给对应的目标服务器。
应该理解的是,尽管本公开的实施例提供的流量分发的方法、装置、电子设备及介质能够解决非对称路由下待审计流量的分发存在的问题,上述方法、装置、电子设备及介质还可以应用至对称路由或者除了非对称路由之外的其他场景下的流量审计场景,同时上述方法不仅适用于云环境下的流量审计,也可以应用至其他需要流量审计的场景中。
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开的一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本公开保护的范围。
图1示意性地示出了适用于本公开实施例的流量分发的方法和装置的系统架构。
参照图1所示,适用于本公开实施例的流量分发的方法和装置的系统架构100包括:终端设备110、核心节点120、第一服务器集群140、第二服务器集群150、第三服务器集群160,以及负载均衡器131、132。
上述终端设备110上可以安装有各种通讯客户端应用,例如包括但不限于是:购物类应用、网页浏览器应用、搜索类应用、金融类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。例如,终端设备110可以是显示屏并且支持网页浏览的各种电子设备,例如电子设备包括但不限于是:智能手机、平板电脑、笔记本电脑、台式计算机、智能手表等等。
上述第一服务器集群140、上述第二服务器集群150和上述第三服务器集群160分别为三个相互隔离的高可用区域/环境(AZ,Availability Zone)。
参照图1所示,示例性地,上述第一服务器集群140中包括:为终端设备110上的应用程序提供服务支持的应用服务器141,用于流量审计的服务器142。参照图1中实线所示,上述第二服务器集群150包括:用于流量审计的服务器151、152、153。上述第三服务器集群160包括:用于流量审计的服务器161、162和163。
上述核心节点120用于网络分发和管理,例如可以是交换机或路由器。用户通过在终端设备110上访问、操作应用程序产生访问/操作请求,应用服务器141响应于上述访问/操作请求,进行对应的数据处理,将处理结果发送给上述终端设备110。参照图1中的单箭头所示,在终端设备110通过网络与应用服务器141进行数据交互时,需要通过上述核心节点120,由上述核心节点120进行网络分发和管理。
示例性的,在非对称路由的场景下,参照图1所示,来自终端设备110的请求数据先到达核心节点121,由核心节点121转发至应用服务器141。应用服务器141将处理结果反馈至核心节点122,由核心节点122转发至终端设备110。
本公开的实施架构中,参照图1所示,负载均衡器131和132分别对应设置于核心节点121、122的内部,或者,独立于核心节点121、122设置,且与核心节点121、122分别能够进行数据通信。
在本公开的实施场景中,可以由上述负载均衡器131、132来执行本公开实施例提供的流量分发的方法。相应的,本公开实施例提供的用于流量分发的装置可以包括负载均衡器。
上述负载均衡器131、132可以是内置于上述核心节点120中的软件、硬件或软硬件系统,或者是设置于上述核心节点120之外,且能够与上述核心节点120进行通信的设备,例如可以是网络分路器。
尽管上述以非对称路由下的流量审计作为示例,在对称路由下,终端设备110与应用服务器141进行数据交互的路径是对称的,即核心节点只有一个,也可以描述为对称(相同)的核心节点,那么这种场景下,图1中示例的两个负载均衡器131、132可以作为内置于同一个核心节点内部的同一个模块或者与上述核心节点能够进行数据通信的同一个设备。
上述各个服务集群(包括第一服务器集群140、上述第二服务器集群150和上述第三服务器集群160)中的服务器可以是用于提供云服务的虚拟服务器或虚拟主机,也可以是传统的服务器。
虚拟服务器是指采用特殊的软硬件技术把一台完整的服务器主机分成若干个主机。实际上是将真实的硬盘空间分成若干份,然后租给不同用户,每一台被分割的主机都具有独立的域名和IP地址,但共享真实主机的中央处理器(CPU)、随机存储器(RAM)、操作系统、应用软件等。虚拟主机是一种在单一主机或主机群上,实现多网域服务的方法,可以运行多个网站或服务的技术。虚拟主机之间完全独立,并可由用户自行管理,虚拟并非指不存在,而是指空间是由实体的服务器延伸而来,其硬件系统可以是基于服务器群,或者单个服务器。
应该理解,图1中的终端设备、服务器、核心节点的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、服务器、核心节点。
下面结合附图来对本公开的实施例进行详细描述。
本公开的第一个示例性实施例提供了一种流量分发的方法。
图2示意性示出了根据本公开一实施例的流量分发的方法的流程图。
参照图2所示,本公开实施例提供的流量分发的方法,包括以下操作:S201、S202、S203、S204和S205。
在操作S201,获取待审计的第一流量数据包和第二流量数据包,上述第一流量数据包的源端和目的端与上述第二流量数据包的源端和目的端之间互为倒置关系。
在操作S202,对上述第一流量数据包和上述第二流量数据包分别进行解析,对应得到第一网络信息和第二网络信息。
在操作S203,对上述第一网络信息和上述第二网络信息分别进行对称哈希运算,得到相同的秘钥值。
在操作S204,根据上述秘钥值和用于流量审计的服务器集群的网络信息,确定上述第一流量数据包和上述第二流量数据包共同对应的目标服务器。
在操作S205,将上述第一流量数据包和上述第二流量数据包分别发送给对应的目标服务器。
在非对称路由或者对称路由下,上述操作S201~S205均可以由负载均衡(LoadBalance)模块或负载均衡设备来执行,在图1的系统架构中,负载均衡模块或负载均衡设备对应为负载均衡器131和132。
结合图1和图2所示,以非对称路由的流量审计场景下,上述流量分发的方法的实施过程为例,负载均衡器131从核心节点121获取获取待审计的第一流量数据包,负载均衡器132从核心节点122来获取第二流量数据包(对应于操作S201)。这种示例下,第一流量数据包的方向是:从终端设备110一侧流向应用服务器141一侧,第二流量数据包的方向是:从应用服务器141一侧流向终端设备110一侧。换言之,第一流量数据包的源端为终端设备110,目的端为应用服务器141;第二流量数据包的源端为应用服务器141,目的端为终端设备110,即,第一流量数据包的源端和目的端与第二流量数据包的源端和目的端之间互为倒置关系。
负载均衡器131、132对上述第一流量数据包、上述第二流量数据包分别进行解析,对应得到第一网络信息、第二网络信息(对应于操作S202)。
根据本公开的实施例,上述操作S202中,第一网络信息和第二网络信息可以是五元组信息,包括{源IP地址,目的IP地址,源端口,目的端口,传输层协议}。或者也可以是其他信息,例如四元组信息,包括{源IP地址,目的IP地址,源端口,目的端口};或者为七元组信息,包括{源IP地址,目的IP地址,协议号,源端口,目的端口,服务类型,接口索引}。
然后,由负载均衡器131对上述第一网络信息进行对称哈希运算,得到第一秘钥值;由负载均衡器132对上述第二网络信息分别进行对称哈希运算,得到第二秘钥值。采用对称哈希进行运算后,第一秘钥值和第二秘钥值是相同的(对应于操作S203)。即,在第一网络信息和第二网络信息进行对称哈希运算后,得到相同的秘钥值。示例性的,得到的第一秘钥值和第二秘钥值均为key1。
上述操作S203中,对称哈希算法可以包括:预处理+哈希算法(常规的哈希算法)。示例性的,正向流量为:1.1.1.1(源IP地址):5678(源端口)→(发送至)2.2.2.2(目的IP地址):80(目的端口);反向流量为:2.2.2.2:80→1.1.1.1:5678。在哈希算法进行计算时,Hash(地址1,地址2,端口1,端口2),其中括号内的数据均是进行了预处理的步骤。例如进行预处理的逻辑如下:地址1是源IP地址和目的IP地址中较小的,端口1是源端口和目的端口中较小的,预处理保证哈希计算的参数顺序,这样保证正反向的数据流的hash计算参数一致,从而能够保证同一组源端和目的端所对应的正向数据流和反向数据流通过计算后得到的秘钥是一致的。在其他的实施例中,上述对称哈希算法的实现也可以是通过特殊的哈希求值过程实现,针对不同的正反向数据,采用不同的哈希函数求值,以得到的相同的结果。
负载均衡器131根据上述第一秘钥值(相同的秘钥值key1)和用于流量审计的服务器集群的网络信息,确定上述第一流量数据包对应的目标服务器;负载均衡器132根据上述第二秘钥值(相同的秘钥值key1)和用于流量审计的服务器集群的网络信息,确定上述第二流量数据包对应的目标服务器;由于第一秘钥值和第二秘钥值是相同的,则通过同一个秘钥值计算得到的第一流量数据包和第二流量数据包对应的目标服务器也是相同/共同的(对应于操作S204)。
负载均衡器131将上述第一流量数据包发送给上述目标服务器,负载均衡器132将上述第二流量数据包发送给上述目标服务器(对应于操作S205)。
在对称路由的流量审计场景下,内置于核心节点中的负载均衡模块或者设置于核心节点外部的负载均衡设备为同一个,则基于同一个负载均衡模块/设备来实现双向流量的获取、运算和流量分发的过程。
基于上述操作S201~S205,通过对第一/第二流量数据包解析得到的第一/第二网络信息进行对称哈希运算,能够得到相同的秘钥值,从而可以确保根据上述秘钥值和服务器集群的网络信息确定的用于进行流量审计的服务器的地址是相同的,如此一来,实现了从源端到目的端的完整路径上的流量数据包被发送至相同的提供流量审计服务的目标服务器中,保证待审计流量的同源同宿,减少漏报发生。
本公开的描述中,“A/B”的含义是:A或者B;同一段话中,具有多个“/”时,例如,“A/B”……“C/D”应该按照以下情况来理解:A……C,或者,B……D,即,每个“/”前面的内容相互对应,“/”后面的内容也是相互对应的。
图3示意性地示出了根据本公开实施例的操作S201的详细实施流程图。
根据本公开的实施例,参照图3所示,上述获取待审计的第一流量数据包和第二流量数据包的操作S201包括以下操作:S301和S302。
在操作S301,对用于网络分发的核心节点进行监听。
在操作S302,在监听到上述核心节点进行接收请求和响应请求的流量转发时,将来自同一组源端和目的端的正向流量和反向流量的原始数据包进行镜像处理,对应得到第一流量数据包和第二流量数据包。
上述接收请求的流量转发包括:对来自终端设备的访问或操作请求进行数据转发。上述响应请求的流量转发包括:对来自应用服务器的处理结果进行数据转发,上述处理结果是通过对访问或操作请求的数据进行处理后得到的结果。
上述实施例中,操作S301和S302可以由基于设置于核心节点中的负载均衡模块来实施。
上述负载均衡模块为内置于用于网络分发的核心节点中的软件、硬件或软硬件系统。
根据本公开的其他实施例,可以在核心节点的网络传输路径的旁路以并行或串行的方式设置负载均衡设备,要求不影响业务数据的传输,在流量流经上述核心节点时,基于上述负载均衡设备来获取待审计的第一流量数据包和第二流量数据包。上述负载均衡设备为设置于上述核心节点之外,且能够与上述核心节点进行通信的设备。
在实现本公开构思的过程中还发现:流量审计近源部署时,需要根据当前流量和预期流量规划并完成部署。由于近源的机架和服务器资源限制,通常会限制审计的服务集群为固定规模。因为,如果在灵活扩容的场景下,对应分发至用于流量审计的服务实例(服务实例是指运行的用于进行流量审计的服务端,可以是虚拟服务器或虚拟主机)的地址会发生变动,导致已经分配的流量后续的新数据被重新分配到新(另外)的服务实例上。然而由于流量审计功能对前后数据的连续性是有要求的,这样前后数据没有分发到相同的后端服务上会导致漏报情况。基于上述分析可知,除了具有前述提及的在非对称路由下的流量审计,无法分发到相同的后端服务导致的漏报之外,还存在无法适用于服务集群的扩容、缩容等变动的问题。
下面结合图4来描述本公开的实施例如何进一步保证在非对称路由下能够支持流量审计后端服务集群的动态扩容、缩容等变动场景。
图4示意性地示出了根据本公开实施例的操作S204的详细实施流程图。
参照图4所示,上述根据上述秘钥值和用于流量审计的服务器集群的网络信息,确定上述第一流量数据包和上述第二流量数据包共同对应的目标服务器的操作S204包括:S401。
在操作S401,根据上述秘钥值和用于流量审计的服务器集群的网络信息,进行一致性哈希运算,得到上述第一流量数据包和上述第二流量数据包共同对应的目标服务器。
图5示意性地示出了根据本公开实施例的操作S401的详细实施流程图。
根据本公开的实施例,参照图5所示,上述操作S401包括以下操作:S501、S502和S503。
在操作S501,对上述服务器集群的网络信息进行哈希运算,得到上述服务器集群中各个服务器在哈希环中对应的候选位置。
在操作S502,对上述秘钥值进行哈希运算,得到上述第一网络信息和上述第二网络信息在哈希环中对应的待匹配位置。
在操作S503,将上述待匹配位置与上述候选位置进行匹配,得到与上述待匹配位置相匹配的目标候选位置,上述目标候选位置对应的目标服务器作为上述第一流量数据包和上述第二流量数据包的用于流量审计的共同目的端。
示例性的,在服务器集群所对应的地址中,一致性哈希算法是对232进行取模运算,将整个哈希空间组织成一个虚拟的圆环,称之为哈希环,哈希函数的值空间为0~232,整个哈希环以顺时针方向组织,圆环正上方的点代表0,0点右侧的第一个点代表1,以此类推。将上述用于进行流量审计的服务集群中各个服务器的网络信息使用哈希算法计算,例如采用服务器的IP或主机名称进行哈希计算,这样每台服务器就会计算得到一个哈希值,当前服务器计算得到的哈希值表示当前服务器在哈希环中对应的位置。类似的,对秘钥值进行哈希运算,可以得到用于转发第一流量数据包的负载均衡器131和用于转发第二流量数据包的负载均衡器132各自的对应位置,由于对于第一流量数据包和第二流量数据包而言,二者的秘钥值是相同的,因此将秘钥值进行哈希计算后得到的在哈希环中的对应位置也是相同的。在本公开的实施例中,为了区分服务器计算得到的位置和秘钥值计算得到的位置,这里将服务器的位置称为候选位置,将秘钥值计算得到的位置称为待匹配位置。
根据本公开的实施例,将上述待匹配位置与上述候选位置进行匹配的方式可以包括:基于统一方向进行就近匹配,例如沿着哈希环的顺时针方向进行就近匹配。
在服务器集群发生动态扩容或减容的情况下,上述哈希环中的候选位置对应增加或减少。以候选位置减少为例,候选位置增加的情况原理类似。例如在上述服务器集群中,有一台服务器不可用,将其描述为服务器M,该服务器M之前(之前表示沿着逆时针的方向,对应于沿着哈希环的顺时针方向就近匹配的场景)的一台服务器为服务器K,服务器M之后的一台服务器为服务器R,则根据上述计算过程可知,受影响的数据仅仅是该台不可用的服务器M所在的位置(在哈希环中的位置)到哈希环中该台服务器M之前的服务器K之间的数据,这种情况下,针对上述范围之外的大部分数据而言,其在哈希环中的位置均为不变且不受影响的。因此,基于上述操作S501~S503,对于服务器集群中服务器节点的增减,随着候选位置的更改,只有少部分数据需要对应进行匹配关系的更改,大部分情况下的待匹配位置对应的目标候选位置均不会受到影响,如此保证了可扩展性和较好的容错性。
上述目标服务器与应用服务器是不同的两种服务器,目标服务器用于流量审计,与应用服务器的功能不同。目标服务器可以是云服务下的虚拟服务器或虚拟主机、或者传统的服务器,例如联网的终端设备中的一个或多个终端设备中的计算资源可以充当用于流量审计的目标服务器。
基于上述操作S501~S503,在用于流量审计的服务器集群发生扩容、缩容或者其他形式的动态变更的场景下,通过根据秘钥值和用于流量审计的服务器集群的网络信息,进行一致性哈希运算,能够确保非对称路由下的流量仍然分发至与动态变更前相同的目标服务器中,一致性哈希保证动态扩缩容情况下流量分发的平滑,与对称哈希同时使用保证非对称流量的同源同宿,能够进一步解决:由于服务器集群的规模或者其他导致网络信息发生变动所导致的目标服务器与变更前不一致,从而导致审计数据不连续,产生漏报的问题。
图6示意性地示出了根据本公开另一实施例的流量分发的方法的流程图。
本公开实施例提供的流量分发的方法除了包括上述操作S201~S205之外,还包括以下操作:S601和S602,图6中为了简化示意,仅示例了操作S204、S601和S602。在一实施例中,参照图6所示,上述操作S601和S602在操作S204之前执行。
在操作S601,接收用于流量审计的服务器集群的变更信息。
在操作S602,根据上述变更信息,更新上述用于流量审计的服务器集群的网络信息。
其中,上述操作S204可以包括操作S401,在操作S401中,根据上述秘钥值和用于流量审计的服务器集群的网络信息,进行一致性哈希运算,包括:根据上述秘钥值和更新后的用于流量审计的服务器集群中的网络信息,进行一致性哈希运算。
根据本公开的实施例,上述服务器集群的变更信息包括以下的一种或多种:服务器集群从第一集群变换至第二集群,上述第一集群与上述第二集群相互独立或具有包涵关系;服务器集群中服务器的个数变更信息、IP地址变更信息或名称变更信息中的至少一种信息,上述变更信息包括:增加、删除或者更改。
例如上述第一集群为A集群,第二集群为B集群或者A+B集群,集群A和集群B是两个不同的集群。上述情况可以对应于以下实施场景:A集群的服务带宽达到最大限制,需要将部分或全部审计流量迁移至B集群。
图7示意性地示出了根据本公开实施例的操作S205的详细实施流程图。
根据本公开的实施例,参照图7所示,上述各个实施例中,将上述第一流量数据包和上述第二流量数据包分别发送给对应的目标服务器的操作S205包括以下操作:S701。
在操作S701,将上述第一流量数据包和上述第二流量数据包进行VXLAN封装,将封装后的第一流量数据包和第二流量数据包基于XLAN隧道分别传输给对应的目标服务器。
VXLAN是一种网络虚似化技术。基于上述VXLAN的大二层封装技术,在数据转发过程中可以保证IPR地址、MAC地址等参数保持不变,支持数据在不同集群之间的迁移并且在数据迁移过程中对于业务数据没有影响。
VXLAN隧道表示两个VXLAN隧道端点(VTEP,VXLAN tunnel end point)之间的点到点的逻辑隧道,VTEP为数据帧封装VXLAN头,UDP头和IP头,通过VXLAN隧道将封装后的报文传递到远端VTEP,远端VTEP设备对其进行解封装。VTEP可以是VXLAN的边缘设备,针对VXLAN的处理都在VTEP上进行,例如识别以太网数据帧所属的VXLAN,基于VXLAN对数据帧进行二层转发、封装/解封装报文等。VTEP可以是一台独立的物理设备也可以是虚拟机所在的服务器。
通过采用VXLAN封装进行待审计流量的转发/发送,可以有效保证在云网络大二层环境下用于审计的流量分发与原生的业务流量(终端与应用服务器之间的数据流量)的隔离。
基于相同的构思,本公开的第二个示例性实施例提供了一种用于流量分发的装置。
图8示意性地示出了根据本公开实施例的用于流量分发的装置的结构框图。
参照图8所示,本公开实施例提供用于流量分发的装置800包括:流量数据获取模块801、解析模块802、第一运算模块803、第二运算模块804以及通信模块805。
上述流量数据获取模块801用于获取待审计的第一流量数据包和第二流量数据包。上述第一流量数据包的源端和目的端与上述第二流量数据包的源端和目的端之间互为倒置关系。
上述解析模块802用于对上述第一流量数据包和上述第二流量数据包分别进行解析,对应得到第一网络信息和第二网络信息。
上述第一运算模块803用于对上述第一网络信息和上述第二网络信息分别进行对称哈希运算,得到相同的秘钥值。
上述第二运算模块804用于根据上述秘钥值和用于流量审计的服务器集群的网络信息,确定上述第一流量数据包和上述第二流量数据包共同对应的目标服务器。
上述通信模块805用于将上述第一流量数据包和上述第二流量数据包分别发送给对应的目标服务器。
根据本公开的实施例,上述装置800包括负载均衡模块或负载均衡设备,上述负载均衡模块为内置于用于网络分发的核心节点中的软件、硬件或软硬件系统,上述负载均衡设备为设置于上述核心节点之外,且能够与上述核心节点进行通信的设备。
根据本公开的实施例,上述装置800除了包括上述流量数据获取模块801、解析模块802、第一运算模块803、第二运算模块804以及通信模块805之外,还包括:变更信息接收模块和更新模块。
上述变更信息接收模块用于接收用于流量审计的服务器集群的变更信息。
上述更新模块用于根据上述变更信息,更新上述用于流量审计的服务器集群的网络信息。
上述流量数据获取模块801、解析模块802、第一运算模块803、第二运算模块804、通信模块805、变更信息接收模块和更新模块中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。上述流量数据获取模块801、解析模块802、第一运算模块803、第二运算模块804、通信模块805、变更信息接收模块和更新模块中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,流量数据获取模块801、解析模块802、第一运算模块803、第二运算模块804、通信模块805、变更信息接收模块和更新模块中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
本公开的第三个示例性实施例提供了一种电子设备。
图9示意性示出了本公开实施例提供的电子设备的结构框图。
参照图9所示,本公开实施例提供的电子设备900包括处理器901、通信接口902、存储器903和通信总线904,其中,处理器901、通信接口902和存储器903通过通信总线904完成相互间的通信;存储器903,用于存放计算机程序;处理器901,用于执行存储器上所存放的程序时,实现如上所述的流量分发的方法。
本公开的第四个示例性实施例还提供了一种计算机可读存储介质。上述计算机可读存储介质上存储有计算机程序,上述计算机程序被处理器执行时实现如上所述的流量分发的方法。
该计算机可读存储介质可以是上述实施例中描述的设备/装置中所包含的;也可以是单独存在,而未装配入该设备/装置中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读存储介质可以是非易失性的计算机可读存储介质,例如可以包括但不限于:便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (11)
1.一种流量分发的方法,其特征在于,包括:
获取待审计的第一流量数据包和第二流量数据包,所述第一流量数据包的源端和目的端与所述第二流量数据包的源端和目的端之间互为倒置关系;
对所述第一流量数据包和所述第二流量数据包分别进行解析,对应得到第一网络信息和第二网络信息;
对所述第一网络信息和所述第二网络信息分别进行对称哈希运算,得到相同的秘钥值;
根据所述秘钥值和用于流量审计的服务器集群的网络信息,确定所述第一流量数据包和所述第二流量数据包共同对应的目标服务器;以及
将所述第一流量数据包和所述第二流量数据包分别发送给对应的目标服务器。
2.根据权利要求1所述的方法,其特征在于,所述根据所述秘钥值和用于流量审计的服务器集群的网络信息,确定所述第一流量数据包和所述第二流量数据包共同对应的目标服务器,包括:
根据所述秘钥值和用于流量审计的服务器集群的网络信息,进行一致性哈希运算,得到所述第一流量数据包和所述第二流量数据包共同对应的目标服务器。
3.根据权利要求2所述的方法,其特征在于,所述根据所述秘钥值和所述服务器集群的网络信息,进行一致性哈希运算,得到所述第一流量数据包和所述第二流量数据包共同对应的目标服务器,包括:
对所述服务器集群的网络信息进行哈希运算,得到所述服务器集群中各个服务器在哈希环中对应的候选位置;
对所述秘钥值进行哈希运算,得到所述第一网络信息和所述第二网络信息在哈希环中对应的待匹配位置;
将所述待匹配位置与所述候选位置进行匹配,得到与所述待匹配位置相匹配的目标候选位置,所述目标候选位置对应的目标服务器作为所述第一流量数据包和所述第二流量数据包的用于流量审计的共同目的端。
4.根据权利要求2或3所述的方法,其特征在于,还包括:
接收用于流量审计的服务器集群的变更信息;以及
根据所述变更信息,更新所述用于流量审计的服务器集群的网络信息;
其中,根据所述秘钥值和用于流量审计的服务器集群的网络信息,进行一致性哈希运算,包括:
根据所述秘钥值和更新后的用于流量审计的服务器集群中的网络信息,进行一致性哈希运算。
5.根据权利要求4所述的方法,其特征在于,所述服务器集群的变更信息包括以下的一种或多种:
服务器集群从第一集群变换至第二集群,所述第一集群与所述第二集群相互独立或具有包涵关系;
服务器集群中服务器的个数变更信息、IP地址变更信息或名称变更信息中的至少一种信息,所述变更信息包括:增加、删除或者更改。
6.根据权利要求1所述的方法,其特征在于,所述获取待审计的第一流量数据包和第二流量数据包,包括:
对用于网络分发的核心节点进行监听;
在监听到所述核心节点进行接收请求和响应请求的流量转发时,将来自同一组源端和目的端的正向流量和反向流量的原始数据包进行镜像处理,对应得到第一流量数据包和第二流量数据包。
7.根据权利要求1所述的方法,其特征在于,所述将所述第一流量数据包和所述第二流量数据包分别发送给对应的目标服务器,包括:
将所述第一流量数据包和所述第二流量数据包进行VXLAN封装,将封装后的第一流量数据包和第二流量数据包基于XLAN隧道分别传输给对应的目标服务器。
8.一种用于流量分发的装置,其特征在于,包括:
流量数据获取模块,用于获取待审计的第一流量数据包和第二流量数据包,所述第一流量数据包的源端和目的端与所述第二流量数据包的源端和目的端之间互为倒置关系;
解析模块,用于对所述第一流量数据包和所述第二流量数据包分别进行解析,对应得到第一网络信息和第二网络信息;
第一运算模块,用于对所述第一网络信息和所述第二网络信息分别进行对称哈希运算,得到相同的秘钥值;
第二运算模块,用于根据所述秘钥值和用于流量审计的服务器集群的网络信息,确定所述第一流量数据包和所述第二流量数据包共同对应的目标服务器;以及
通信模块,用于将所述第一流量数据包和所述第二流量数据包分别发送给对应的目标服务器。
9.根据权利要求8所述的装置,其特征在于,所述装置包括:负载均衡模块或负载均衡设备,所述负载均衡模块为内置于用于网络分发的核心节点中的软件、硬件或软硬件系统,所述负载均衡设备为设置于所述核心节点之外,且能够与所述核心节点进行通信的设备。
10.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器、通信接口和存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-7中任一项所述的方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110963095.7A CN113691608B (zh) | 2021-08-20 | 2021-08-20 | 流量分发的方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110963095.7A CN113691608B (zh) | 2021-08-20 | 2021-08-20 | 流量分发的方法、装置、电子设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113691608A CN113691608A (zh) | 2021-11-23 |
| CN113691608B true CN113691608B (zh) | 2024-02-06 |
Family
ID=78581131
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110963095.7A Active CN113691608B (zh) | 2021-08-20 | 2021-08-20 | 流量分发的方法、装置、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113691608B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174674A (zh) * | 2022-06-29 | 2022-10-11 | 阿里云计算有限公司 | 流量的转发方法 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007180963A (ja) * | 2005-12-28 | 2007-07-12 | Fujitsu Ltd | クラスタノード制御プログラム、クラスタノード、クラスタシステム制御方法 |
| WO2012174499A2 (en) * | 2011-06-17 | 2012-12-20 | Microsoft Corporation | Application specific web request routing |
| CN107645513A (zh) * | 2017-10-24 | 2018-01-30 | 哈尔滨工业大学(威海) | 一种IPsec内容审计装置及方法 |
| CN107948086A (zh) * | 2016-10-12 | 2018-04-20 | 北京金山云网络技术有限公司 | 一种数据包发送方法、装置及混合云网络系统 |
| WO2018077238A1 (zh) * | 2016-10-27 | 2018-05-03 | 贵州白山云科技有限公司 | 一种基于交换机的负载均衡系统及方法 |
| CN108282412A (zh) * | 2018-01-19 | 2018-07-13 | 世纪龙信息网络有限责任公司 | 网络分流方法、装置、系统及计算机设备 |
| CN109842623A (zh) * | 2019-01-30 | 2019-06-04 | 常州玖玖盾数据科技有限公司 | 用于工控安全数据库审计系统的大数据分发方法 |
| CN110635898A (zh) * | 2019-08-30 | 2019-12-31 | 深圳壹账通智能科技有限公司 | 加密方法及加密系统 |
| CN111711577A (zh) * | 2020-07-24 | 2020-09-25 | 杭州迪普信息技术有限公司 | 流控设备的报文转发方法及装置 |
| CN112929178A (zh) * | 2020-12-29 | 2021-06-08 | 合肥达朴汇联科技有限公司 | 应用于第一终端的区块链审计溯源方法、系统及电子设备 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9852285B2 (en) * | 2015-02-13 | 2017-12-26 | Yoti Holding Limited | Digital identity |
| US10541924B2 (en) * | 2017-12-01 | 2020-01-21 | International Business Machines Corporation | Load balancing in data hosting systems |
| US20200252411A1 (en) * | 2019-02-05 | 2020-08-06 | Unisys Corporation | Enterprise security management packet inspection and monitoring |
-
2021
- 2021-08-20 CN CN202110963095.7A patent/CN113691608B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007180963A (ja) * | 2005-12-28 | 2007-07-12 | Fujitsu Ltd | クラスタノード制御プログラム、クラスタノード、クラスタシステム制御方法 |
| WO2012174499A2 (en) * | 2011-06-17 | 2012-12-20 | Microsoft Corporation | Application specific web request routing |
| CN107948086A (zh) * | 2016-10-12 | 2018-04-20 | 北京金山云网络技术有限公司 | 一种数据包发送方法、装置及混合云网络系统 |
| WO2018077238A1 (zh) * | 2016-10-27 | 2018-05-03 | 贵州白山云科技有限公司 | 一种基于交换机的负载均衡系统及方法 |
| CN107645513A (zh) * | 2017-10-24 | 2018-01-30 | 哈尔滨工业大学(威海) | 一种IPsec内容审计装置及方法 |
| CN108282412A (zh) * | 2018-01-19 | 2018-07-13 | 世纪龙信息网络有限责任公司 | 网络分流方法、装置、系统及计算机设备 |
| CN109842623A (zh) * | 2019-01-30 | 2019-06-04 | 常州玖玖盾数据科技有限公司 | 用于工控安全数据库审计系统的大数据分发方法 |
| CN110635898A (zh) * | 2019-08-30 | 2019-12-31 | 深圳壹账通智能科技有限公司 | 加密方法及加密系统 |
| CN111711577A (zh) * | 2020-07-24 | 2020-09-25 | 杭州迪普信息技术有限公司 | 流控设备的报文转发方法及装置 |
| CN112929178A (zh) * | 2020-12-29 | 2021-06-08 | 合肥达朴汇联科技有限公司 | 应用于第一终端的区块链审计溯源方法、系统及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113691608A (zh) | 2021-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11438255B2 (en) | Automated route propagation among networks attached to scalable virtual traffic hubs | |
| US11831600B2 (en) | Domain name system operations implemented using scalable virtual traffic hub | |
| US11765057B2 (en) | Systems and methods for performing end-to-end link-layer and IP-layer health checks between a host machine and a network virtualization device | |
| US10742446B2 (en) | Interconnecting isolated networks with overlapping address ranges via scalable virtual traffic hubs | |
| US10797989B2 (en) | Scalable virtual traffic hub interconnecting isolated networks | |
| CN107690800B (zh) | 管理动态ip地址分配 | |
| US10785146B2 (en) | Scalable cell-based packet processing service using client-provided decision metadata | |
| US11088944B2 (en) | Serverless packet processing service with isolated virtual network integration | |
| US9871850B1 (en) | Enhanced browsing using CDN routing capabilities | |
| CN112470436A (zh) | 使用srv6和bgp的多云连通性 | |
| Yang et al. | Implementation of a real-time network traffic monitoring service with network functions virtualization | |
| US10924542B2 (en) | Content delivery system | |
| JP2018506936A (ja) | ネットワークにおいてコンテンツを配信するエンドツーエンドソリューションのための方法及びシステム | |
| US10771372B2 (en) | Transmitting test traffic on a communication link | |
| Ries et al. | Verification of data location in cloud networking | |
| US20220200954A1 (en) | Managing Access To Cloud-Hosted Applications Using Domain Name Resolution | |
| CN111818081B (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
| CN113691608B (zh) | 流量分发的方法、装置、电子设备及介质 | |
| US11924085B2 (en) | Estimation of latency across regional clouds | |
| US7711780B1 (en) | Method for distributed end-to-end dynamic horizontal scalability | |
| US9749290B2 (en) | Distributing and virtualizing a network address translation (NAT) | |
| US10229459B1 (en) | Method and apparatus for routing in transaction management systems | |
| KR20200069702A (ko) | 토르 네트워크 트래픽 수집 시스템 및 방법 | |
| Zhai et al. | Auditing the structural reliability of the clouds | |
| CN111490886B (zh) | 一种网络数据处理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |