CN114095562A - 边缘应用发现方法、系统以及增强防火墙 - Google Patents
边缘应用发现方法、系统以及增强防火墙 Download PDFInfo
- Publication number
- CN114095562A CN114095562A CN202010757271.7A CN202010757271A CN114095562A CN 114095562 A CN114095562 A CN 114095562A CN 202010757271 A CN202010757271 A CN 202010757271A CN 114095562 A CN114095562 A CN 114095562A
- Authority
- CN
- China
- Prior art keywords
- dns
- edge
- traffic
- address
- dns request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 230000004044 response Effects 0.000 claims abstract description 44
- 238000013507 mapping Methods 0.000 claims abstract description 17
- 230000006870 function Effects 0.000 claims description 34
- 238000013519 translation Methods 0.000 claims description 21
- 238000012545 processing Methods 0.000 claims description 17
- 238000011144 upstream manufacturing Methods 0.000 claims description 17
- 238000006243 chemical reaction Methods 0.000 claims description 10
- 238000007689 inspection Methods 0.000 claims description 5
- 238000004873 anchoring Methods 0.000 claims description 4
- 230000010365 information processing Effects 0.000 claims description 4
- 238000004364 calculation method Methods 0.000 claims description 3
- 230000000717 retained effect Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 230000002708 enhancing effect Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000007493 shaping process Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及边缘应用发现方法、系统以及增强防火墙,所述方法包括:判定上行流量是否为包括DNS请求消息的流量;当判定上行流量为包括DNS请求消息的流量的情况下,将DNS请求消息中的原来的DNS请求目标地址替换为预先配置的本地DNS服务器地址,并保留映射关系,经由上行接口发出转换后的DNS请求消息;判定下行流量是否为包括DNS响应消息的流量;以及当判定下行流量为包括DNS响应消息的流量的情况下,将DNS响应消息中的源地址替换为被保留映射关系的对应的原来的DNS请求目标地址,经由下行接口向边缘UPF发出。
Description
技术领域
本公开涉及通信技术领域。更具体地,本公开涉及边缘应用发现方法、系统以及增强防火墙。
背景技术
随着通信技术的演进,面向未来的第五代移动通信(5G)技术作为最新一代蜂窝移动通信技术正逐步普及。移动边缘计算(Multi-access Edge Computing,MEC)是基于5G演进架构、将接入网与互联网业务深度融合的新兴技术。它将应用服务器(ApplicationServer,AS)和移动宽带(Mobile Broadband,MBB)核心网部分业务处理和资源调度的功能一同部署到靠近接入网的网络边缘,通过业务靠近用户处理,来提供高可靠、超低时延的极致业务体验。
在边缘计算场景下,应用服务器下沉至网络边缘。当涉及2B2C(to Business,面向商家;to Customer,面向消费者)业务时,通常需要应用服务器分布式部署,即需要在邻近的MEC平台上均部署有提供相同服务的应用服务器。此时的应用服务器通常具备多个服务网际协议(Internet Protocol,IP)地址。如果按传统的互联网寻址方式,客户端发起DNS(Domain Name System,域名系统)请求只能指定中心DNS,而中心DNS无法感知用户的精确位置,故无法解析出离用户最近的边缘服务器的特定IP地址,自然无法充分发挥5G架构下的边缘计算的高可靠、低时延的优异性能。在通信业内,亟待解决此类边缘计算应用服务器的发现问题。
面对上述边缘计算应用服务器的发现问题,当前在全球范围内尚无标准的网络解决方案,3GPP的标准化工作仍在进行中。基于我国业内的现有移动网络标准,作为解决方案,通常对于对应边缘UPF(User Plane Function,用户面功能)的服务区域,通过构建本地DNS(Local DNS)实施边缘应用的IP地址解析,通过网络的本地分流,将边缘应用的DNS请求导流到本地DNS。但在该方案的实际实现中,需要对网络的控制面和用户面、包括信令系统进行增强,需要定义新功能以支持网络对DNS请求消息进行DNS服务器地址的变换,以使UE和本地DNS之间能够正常通信。这样的增强对现有网络的改造较大,实施较为困难,会使网络实现复杂化,影响网络的性能。
根据现有技术,包括本地业务的DNS请求消息通过UE(用户设备,User Equipment)经由无线接入网RAN(Radio Access Network)被发送至中心UPF,中心UPF将其上报至中心SMF(Session Management Function,会话管理功能),中心SMF根据上报信息进行决策,通过信令指示进行地址替换,收到指示的边缘UPF对相应的包括本地业务的DNS请求消息的上行流量进行分流并进行目标地址替换,从而上行DNS消息导流至部署于MEC平台的本地DNS;对于下行DNS,相应地需要进行DNS响应消息的源地址替换。现有方案中,要求5GC(5G核心网,5G Core)实施上下行DNS消息的地址替换,对5GC信令系统和性能影响大。在某些测试场景下,除了对于UPF等现有网络的改造成本之外,业务性能还会产生较为明显的下降。在实际工作中如何尽量减小对现有网络性能的影响,简易且低成本地解决边缘计算应用服务器的发现问题,从而充分发挥5G架构下边缘计算的高可靠、低时延的优异性能,成为业内亟待解决的课题。
发明内容
由于基于现有网络架构,为了解决边缘计算应用的发现问题需要对现有网络进行较大的改造,实施困难,成本偏高且对现网影响较大。有鉴于此,本公开的目的在于提供一种边缘应用发现方法、系统以及增强防火墙,在不改变现有网络架构和处理流程的基础上,通过对现有防火墙相关设备进行功能增强,从而能够简易、有效地实现本地服务器的IP地址发现。
在下文中给出了关于本公开的简要概述,以便提供关于本公开的一些方面的基本理解。但是,应当理解,这个概述并不是关于本公开的穷举性概述。它并不是意图用来限定本公开的关键性部分或重要部分,也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念,以此作为稍后给出的更详细描述的前序。
根据本公开的一个方面,提供了一种边缘应用发现方法,由与边缘用户面功能UPF连接的增强防火墙执行。该方法可以包括:DNS请求消息识别步骤,判定上行流量是否为包括DNS请求消息的流量;目标地址转换步骤,当在所述DNS请求消息识别步骤中判定上行流量为包括DNS请求消息的流量的情况下,将DNS请求消息中的原来的DNS请求目标地址替换为预先配置的本地DNS服务器地址,并保留映射关系,经由上行接口发出转换后的DNS请求消息;DNS响应消息识别步骤,判定下行流量是否为包括DNS响应消息的流量;以及源地址转换步骤,当在所述DNS响应消息识别步骤中判定下行流量为包括DNS响应消息的流量的情况下,将DNS响应消息中的源地址替换为被保留映射关系的对应的原来的DNS请求目标地址,经由下行接口向边缘UPF发出。
根据本公开的另一方面,提供了一种增强防火墙,与边缘UPF连接,该增强防火墙可以具备:DNS消息识别判定单元,判定上行流量是否为包括DNS请求消息的流量,并且判定下行流量是否为包括DNS响应消息的流量;以及DNS服务器网络地址转换单元,当由所述DNS消息识别判定单元判定上行流量为包括DNS请求消息的流量的情况下,将DNS请求消息中的原来的DNS请求目标地址替换为预先配置的本地DNS服务器地址,并保留映射关系,再经由上行接口发出转换后的DNS请求消息,并且当在所述DNS消息识别判定单元判定下行流量为包括DNS响应消息的流量的情况下,将DNS响应消息中的源地址替换为被保留映射关系的对应的原来的DNS请求目标地址,再经由下行接口向边缘UPF发出。
根据本公开的另一方面,提供了一种边缘应用发现系统,包括:边缘UPF,识别访问边缘应用的边缘业务,并分流至与边缘计算对应的接口;上述增强防火墙;以及本地DNS服务器,部署于MEC平台上,保留对应MEC平台内部署的边缘应用的地址解析关系,用于提供MEC平台上部署的边缘应用的域名解析服务。
根据本公开的另一方面,提供了一种计算机可读存储介质。该计算机可读存储介质存储有可执行指令,当所述可执行指令由信息处理装置执行时,使所述信息处理装置执行上述边缘应用发现方法。
根据本公开的另一方面,提供了一种边缘应用发现设备,包括:存储器,以及处理电路,所述处理电路被配置为:判定上行流量是否为包括DNS请求消息的流量;当判定上行流量为包括DNS请求消息的流量的情况下,将DNS请求消息中的原来的DNS请求目标地址替换为预先配置的本地DNS服务器地址,并保留映射关系,再经由上行接口发出转换后的DNS请求消息;判定下行流量是否为包括DNS响应消息的流量;以及当判定下行流量为包括DNS响应消息的流量的情况下,将DNS响应消息中的源地址替换为被保留映射关系的对应的原来的DNS请求目标地址,再经由下行接口向边缘UPF发出。
根据本发明,能够在不改变现有网络架构和处理流程的基础上,通过对现有防火墙相关设备进行功能增强,从而能够简易、有效地实现本地服务器的IP地址发现。
附图说明
图1是示出根据本公开的实施例的通信系统的示例性示意图;
图2示出了根据本公开的实施例的由增强防火墙700执行的边缘应用发现方法的示例性流程图;
图3示出了根据本公开的实施例的增强防火墙700的结构的示例性示意图;
图4示出了根据本公开的实施例的边缘应用发现方法的具体实施过程的示例性示意图。
具体实施方式
以下将参照附图详细地描述本公开内容的优选实施例。应注意到,除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。同时,为了便于描述,附图中所示出的各个部分的尺寸并非按照实际的比例关系绘制的。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,并不作为对本公开及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,而在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。本公开内容的技术能够应用于各种产品。
为便于说明,作为边缘应用发现方法的实施主体,本公开主要以现网中的通用防火墙为例进行说明,但本领域人员可以理解,本公开的技术可以应用于任意其它具备网络地址转换NAT(Network Address Translation)功能和深度报文检测DPI(Deep PacketInspection)功能、或者与其相似或相应功能的软件或硬件功能实体,而不限于防火墙。
便于更好地理解根据本公开的技术方案,以下简单介绍一些用于本公开的实施例的通信行业技术相关概念。
域名系统DNS(Domain Name System):作为可以将域名和网络之间互连的协议(Internet Protocol,IP)地址相互映射的一个数据库服务器,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP地址数据串。
网络地址转换NAT(Network Address Translation):一种用于访问因特网(Internet)或广域网(WAN)的技术,用于将私有(保留)地址转换为合法IP地址。借助于NAT,私有(保留)地址的“内部”网络发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与因特网的通信需求。NAT将自动修改IP报文的源IP地址和目的IP地址,IP地址校验则在NAT处理过程中自动完成。在NAT的实现中,通常可以将防火墙以及路由器等多种设备集成在一起。
深度报文检测DPI(Deep Packet Inspection):一种基于数据包的深度检测技术,针对不同的网络应用层载荷(例如HTTP、DNS等)进行深度检测,通过对报文的有效载荷检测决定其属性。通过对网络的关键点处的流量和报文内容进行检测分析,可以根据事先定义的策略对检测流量进行过滤控制,能完成所在链路的业务精细化识别、业务流量流向分析、业务流量占比统计、业务占比整形、以及应用层拒绝服务攻击、对病毒、木马进行过滤和滥用P2P的控制等功能。当前的防火墙普遍具备一定的DPI功能。
此外,为了便于说明,本公开主要以5G网络架构为例进行说明,但本公开的技术可以应用于任意通用的网络架构,例如现有的网络架构,或者未来通信系统的网络架构等。
本公开中作为应用背景的5G移动网络架构,主要包括5G接入网(NG-RAN)和5G核心网(5GC,5G Core)。在5G核心网5GC中,AMF(Access and Mobility Management Function,接入和移动管理功能)、SMF(Session Management Function,会话管理功能)、UPF(UserPlane Function,用户面功能)处于主体的作用,其中AMF主要负责终端接入权限和移动性管理等;SMF用于会话管理,提供服务连续性、服务的不间断用户体验,包括IP地址和/或锚点变化的情况;UPF负责用户面处理。
以下,对根据本公开的实施例的通信系统的整体结构进行说明。图1示出了根据本公开的实施例的通信系统的示例性示意图。该通信系统主要涉及5G核心网5GC 1和MEC平台2,用户设备UE(User Equipment)100经由无线接入网RAN(Radio Access Network)200接入5G核心网5GC 1。5G核心网5GC 1包括未图示的AMF、会话管理功能SMF 400和用户面功能UPF300等,该用户面功能UPF 300进一步细分为中心UPF 301和边缘UPF 302;5G核心网5GC 1利用5GC现有机制,如签约DDN(Digital Data Network,数字数据网)、ULCL(UplinkClassifier,上行链路分类器)分流机制等,实现并保证对本地业务(包括对本地业务的DNS请求)的访问从边缘UPF 302接入。中心DNS服务器(以下有时简称“中心DNS”)501与中心UPF301连接,为传统DNS,用于提供传统移动互联网业务的域名解析服务。MEC平台2提供边缘应用的部署环境和必要的管理手段。本地DNS(Local DNS)服务器(以下有时简称“本地DNS”)502为部署在MEC平台2上的DNS,提供MEC平台2上部署的边缘应用的域名解析服务。边缘应用服务器(以下有时简称“边缘服务器”)600为部署在MEC平台2上的应用服务器。图1的系统中的N6接口为符合标准定义的用户面功能UPF 300到数据网络之间的接口,在一些实施方式中也包括其子接口。在本公开的实施例中,用语“增强防火墙”是为了与现有技术中的通用的“防火墙”相区别而命名的,并不意在对作为防火墙的网元的内容进行任何限制性限定。图1中的增强防火墙700为N6接口后的安全防护和地址转换设备,能够进行例如UE的IP地址转换等。
根据本公开实施例的边缘应用发现系统优选为包括:边缘UPF302,识别包括对本地业务的DNS请求的访问边缘应用的边缘业务,并分流至与MEC平台对应的接口;增强防火墙700;以及本地DNS服务器502,部署于MEC平台2上,保留对应MEC平台2内部署的边缘应用的地址解析关系,用于提供MEC平台2上部署的边缘应用的域名解析服务。其中上述增强防火墙700的详情将在后说明。
接下来对根据本公开的实施例的边缘应用发现方法进行说明。图2是示出根据本公开的实施例的边缘应用发现方法的示例性流程图。优选地,本实施例可由本公开的通信系统中包括的增强防火墙700执行。该方法可以包括以下步骤:
DNS请求消息识别步骤S210:判定上行流量是否为包括DNS请求消息的流量;
目标地址转换步骤S220,当在所述DNS请求消息识别步骤中S210判定上行流量为包括DNS请求消息的流量的情况下,将DNS请求消息中的原来的DNS请求目标地址(例如IP:88.88.88.88)替换为预先配置的本地DNS服务器地址(例如IP:66.66.66.66),并保留映射关系,经由上行接口发出转换后的DNS请求消息;
DNS响应消息识别步骤S230:判定下行流量是否为包括DNS响应消息的流量;以及
源地址转换步骤S240:当在所述DNS响应消息识别步骤S230中判定下行流量为包括DNS响应消息的流量的情况下,将DNS响应消息中的源地址(例如IP:66.66.66.66)替换为被保留映射关系的对应的原来的DNS请求目标地址(例如IP:88.88.88.88),经由下行接口(如N6接口或子接口)向边缘UPF 302发出。
由此,能够在不改变现有网络架构和处理流程的基础上,通过对现有防火墙相关设备进行功能增强,从而能够简易、有效地实现本地服务器的IP地址发现。
其中,优选的是,所述增强防火墙700为与所述边缘UFP 302对应地预先设置的逻辑独立的防火墙,经由N6或子接口与边缘UPF 302连接。
优选地,所述上行流量为包括对本地业务的DNS请求的本地业务分流流量,该本地业务分流流量为通过5G核心网5GC 1根据用户面策略将UE会话锚定于边缘UPF 302或者从边缘UPF 302分流而得到的。
优选地,在所述DNS请求消息识别步骤S210中,在利用深度包检测DPI识别出上行流量的端口号为53的情况下,判定为上行流量为包括DNS请求消息的流量;在所述DNS响应消息识别步骤S230中,在利用DPI识别出下行流量的端口号为53的情况下,判定为下行流量为包括DNS响应消息的流量。
优选地,在UE被分配IPv4地址的情况下,对上行流量和下行流量进行UE地址转换。另一方面,在UE被分配IPv6地址的情况下,UE地址转换可被省略。
优选地,在所述目标地址转换步骤S220之后,对于路由寻址到本地DNS服务器502的上行流量,本地DNS服务器502解析出对应边缘应用服务器的IP地址(例如IP:55.55.55.55)并返回;在所述源地址转换步骤S240之后,DNS响应消息通过边缘UPF 302的N6接口从边缘用户面路径反馈给UE 100,UE 100获取边缘应用服务器的IP地址(例如IP:55.55.55.55)并接入服务。
根据本公开的实施例的边缘应用发现方法,不需要改动网络的现有流程,能够避免移动网络嵌入太复杂的承载网功能,有利于网络的演进。
接下来对根据本公开的实施例的增强防火墙进行说明。图3是根据本公开的实施例的增强防火墙700的结构的示例性示意图。本公开的实施例的增强防火墙700与边缘UPF302连接,该增强防火墙700可以具备:DNS消息识别判定单元310,判定上行流量是否为包括DNS请求消息的流量,并且判定下行流量是否为包括DNS响应消息的流量;以及DNS服务器网络地址转换单元320,当由所述DNS消息识别判定单元310判定上行流量为包括DNS请求消息的流量的情况下,将DNS请求消息中的原来的DNS请求目标地址(例如IP:88.88.88.88)替换为预先配置的本地DNS服务器地址(例如IP:66.66.66.66),并保留映射关系,再经由上行接口发出转换后的DNS请求消息,并且当在所述DNS消息识别判定单元310判定下行流量为包括DNS响应消息的流量的情况下,将DNS响应消息中的源地址(例如IP:66.66.66.66)替换为被保留映射关系的对应的原来的DNS请求目标地址(例如IP:88.88.88.88),再经由下行接口向边缘UPF发出。
其中,优选的是,所述增强防火墙700为与所述边缘UFP 302对应地预先设置的逻辑独立的防火墙,经由N6接口或子接口与边缘UPF302连接。
优选地,所述上行流量为包括对本地业务的DNS请求的本地业务分流流量,该本地业务分流流量为通过5G核心网5GC 1根据用户面策略将UE会话锚定于边缘UPF 302或者从边缘UPF 302分流而得到的。
优选地,所述DNS消息识别判定单元310具备至少四层包解析功能,具体地,在利用DPI识别出上行流量的端口号为53的情况下,判定为上行流量为包括DNS请求消息的流量,在利用DPI识别出下行流量的端口号为53的情况下,判定为下行流量为包括DNS响应消息的流量。
优选地,上述增强防火墙700可选地具备UE网络地址转换单元330,在UE被分配IPv4地址的情况下,在UE被分配IPv4地址的情况下,对上行流量和下行流量进行UE地址转换。在UE被分配IPv6地址的系统中,该UE网络地址转换单元330可被省略,或者能够可选地被停用。
根据本公开的实施例的增强防火墙700,充分基于现有通用防火墙具备一定的DPI功能(仅需要四层解析)和NAT设备负责网络地址转换的特性对现有设备进行功能增强,沿用现有设备,发掘出例如识别DNS消息的四层包解析功能和DNS服务器地址的NAT功能,以简易有效的方式,避免了移动网络实施地址转换的复杂性和性能损伤,无需对网络的控制面和用户面、包括信令系统进行增强即可高效解决边缘计算应用服务器的发现问题。
接下来,作为具体实施过程,图4示出了根据本公开的实施例的边缘应用发现方法在通信系统中完整的具体实施过程的示例性示意图,其中示出了在一个示例性的边缘计算应用多点部署中,用户通过普通的DNS请求来请求边缘应用服务。其中作为预置条件,边缘UFP 302预先设置对应逻辑独立的增强防火墙700;增强防火墙700预先配置对应的本地DNS地址;本地DNS 502保留对应MEC服务区域内部署的边缘应用的地址解析关系。具体实施过程包括:
步骤S401:用户UE 100注册到移动网络5GC 1后,网络根据用户面策略将UE会话锚定在边缘UPF 302或者从边缘UPF 302分流;
步骤S402:用户UE 100通过通用域名访问边缘应用,首先以指定的中心DNS 501为目标地址(如IP:88.88.88.88)发起DNS请求;
步骤S403:边缘UPF 302通过例如FQDN(Fully Qualified Domain Name,完全合格域名)/URL(Uniform Resource Locator,统一资源定位器)等现有机制识别出是边缘应用的DNS请求;
步骤S404:边缘UPF 302将DNS请求消息分流到MEC平台对应的N6接口(或子接口),续而送往增强防火墙700;
步骤S405:增强防火墙700对N6接口发来的数据包,实施正常的UE地址转换并对DNS请求消息实施目标地址替换,将目标IP转换为本地DNS的地址(如IP:66.66.66.66)并保留映射关系;
步骤S406:经过地址替换的DNS请求(目标为IP:66.66.66.66)路由至本地DNS502;
步骤S407:本地DNS 502根据地址解析关系解析出对应边缘应用服务器的IP地址;
步骤S408:本地DNS 502返回DNS响应消息,消息源地址为本地DNS的地址(如上IP:66.66.66.66),其中,消息中带边缘应用服务器的IP地址;
步骤S409:增强防火墙700识别出是DNS响应消息,实施原地址替换,将源地址转换为保留的原DNS地址(如上IP:88.88.88.88);
步骤S410:DNS响应消息(源地址为IP:88.88.88.88)通过对应的N6接口(或子接口)送到边缘UPF 302;
步骤S411:边缘UPF 302通过本地用户面将DNS响应消息发送给UE 100,从而UE100可以获取边缘应用服务器600的IP地址;
步骤S412:UE 100通过获取的IP地址就近接入边缘应用服务。
以上,根据本公开的实施方式的边缘应用发现方法、系统以及增强防火墙,能够简易且有效地解决边缘应用发现问题,不需要改动网络的现有流程,不需要终端或应用层的改造,不需要新增设备,实现简单;有效解决了边缘应用多点部署的寻址问题,有助于推进5G边缘应用的生态建设。并且,根据本公开的实施方式的边缘应用发现方法、系统以及增强防火墙同时适用于解决应用多点部署和单点部署时的边缘应用地址发现问题;所涉及的增强功能可以由虚拟化DNS代理软件功能承担,部署上实现灵活、按需,符合MEC环境按需快速部署的需求。
在一些实施例中,边缘UPF 302和增强防火墙700等网元单元可以包括存储器和处理电路(未图示)。增强防火墙700等的处理电路可以提供其具备的各种功能,例如增强防火墙700的处理电路可以被配置为用于执行例如上述DNS请求消息识别步骤S210、目标地址转换步骤S220、DNS响应消息识别步骤S230和源地址转换步骤S240。
增强防火墙700的处理电路可以指在计算系统中执行功能的数字电路系统、模拟电路系统或混合信号(模拟和数字的组合)电路系统的各种实现。处理电路可以包括例如诸如集成电路(IC)、专用集成电路(ASIC)这样的电路、单独处理器核心的部分或电路、整个处理器核心、单独的处理器、诸如现场可编程门阵列(FPGA)的可编程硬件设备、和/或包括多个处理器的系统。
增强防火墙700的存储器可以存储由处理电路产生的信息以及用于增强防火墙700的操作的程序和数据。存储器可以是易失性存储器和/或非易失性存储器。例如,存储器可以包括但不限于随机存取存储器(RAM)、动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、只读存储器(ROM)以及闪存存储器。
应当理解,上述各个步骤、单元等仅是根据其所实现的具体功能所划分的逻辑模块,而不是用于限制具体的实现方式。在实际实现时,上述各个单元可被实现为独立的物理实体,或者也可由单个实体(例如处理器(CPU或DSP等)、集成电路等)来实现。
应当理解,本说明书中“实施例”或类似表达方式的引用是指结合该实施例所述的特定特征、结构、或特性系包括在本公开的至少一具体实施例中。因此,在本说明书中,“在本公开的实施例中”及类似表达方式的用语的出现未必指相同的实施例。
本领域技术人员应当知道,本公开被实施为一系统、装置、方法或作为计算机程序产品的计算机可读媒体(例如非瞬态存储介质)。因此,本公开可以实施为各种形式,例如完全的硬件实施例、完全的软件实施例(包括固件、常驻软件、微程序代码等),或者也可实施为软件与硬件的实施形式,在以下会被称为“电路”、“模块”或“系统”。此外,本公开也可以任何有形的媒体形式实施为计算机程序产品,其具有计算机可使用程序代码存储于其上。
本公开的相关叙述参照根据本公开具体实施例的系统、装置、方法及计算机程序产品的流程图和/或框图来进行说明。可以理解每一个流程图和/或框图中的每一个块,以及流程图和/或框图中的块的任何组合,可以使用计算机程序指令来实施。这些计算机程序指令可供通用型计算机或特殊计算机的处理器或其它可编程数据处理装置所组成的机器来执行,而指令经由计算机或其它可编程数据处理装置处理以便实施流程图和/或框图中所说明的功能或操作。
在附图中显示根据本公开各种实施例的系统、装置、方法及计算机程序产品可实施的架构、功能及操作的流程图及框图。因此,流程图或框图中的每个块可表示一模块、区段、或部分的程序代码,其包括一个或多个可执行指令,以实施指定的逻辑功能。另外应当注意,在某些其它的实施例中,块所述的功能可以不按图中所示的顺序进行。举例来说,两个图示相连接的块事实上也可以同时执行,或根据所涉及的功能在某些情况下也可以按图标相反的顺序执行。此外还需注意,每个框图和/或流程图的块,以及框图和/或流程图中块的组合,可藉由基于专用硬件的系统来实施,或者藉由专用硬件与计算机指令的组合,来执行特定的功能或操作。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (15)
1.一种边缘应用发现方法,由与边缘用户面功能UPF连接的增强防火墙执行,包括:
DNS请求消息识别步骤,判定上行流量是否为包括DNS请求消息的流量;
目标地址转换步骤,当在所述DNS请求消息识别步骤中判定上行流量为包括DNS请求消息的流量的情况下,将DNS请求消息中的原来的DNS请求目标地址替换为预先配置的本地DNS服务器地址,并保留映射关系,经由上行接口发出转换后的DNS请求消息;
DNS响应消息识别步骤,判定下行流量是否为包括DNS响应消息的流量;以及
源地址转换步骤,当在所述DNS响应消息识别步骤中判定下行流量为包括DNS响应消息的流量的情况下,将DNS响应消息中的源地址替换为被保留映射关系的对应的原来的DNS请求目标地址,经由下行接口向边缘UPF发出。
2.根据权利要求1所述的边缘应用发现方法,其中,
所述增强防火墙为与所述边缘UFP对应地预先设置的逻辑独立的防火墙,经由N6接口或子接口与边缘UPF连接。
3.根据权利要求1所述的边缘应用发现方法,其中,
所述本地DNS服务器为部署于移动边缘计算MEC平台上的DNS服务器,保留对应MEC平台内部署的边缘应用的地址解析关系,用于提供MEC平台上部署的边缘应用的域名解析服务。
4.根据权利要求1所述的边缘应用发现方法,其中,
所述上行流量为包括对本地业务的DNS请求的本地业务分流流量,该本地业务分流流量为通过5G核心网5GC根据用户面策略将UE会话锚定于边缘UPF或者从边缘UPF分流而得到的。
5.根据权利要求1所述的边缘应用发现方法,其中,
在所述DNS请求消息识别步骤中,在利用深度包检测DPI识别出上行流量的端口号为53的情况下,判定为上行流量为包括DNS请求消息的流量;
在所述DNS响应消息识别步骤中,在利用DPI识别出下行流量的端口号为53的情况下,判定为下行流量为包括DNS响应消息的流量。
6.根据权利要求1所述的边缘应用发现方法,还包括:
在UE被分配IPv4地址的情况下,对上行流量和下行流量进行UE地址转换。
7.根据权利要求1所述的边缘应用发现方法,其中,
提供边缘应用的边缘应用服务器被部署于MEC平台,
在所述目标地址转换步骤之后,对于路由寻址到本地DNS服务器的上行流量,本地DNS服务器解析出对应边缘应用服务器的IP地址并返回,
在所述源地址转换步骤之后,DNS响应消息通过边缘UPF的N6接口或子接口从边缘用户面路径反馈给UE,UE获取边缘应用服务器的IP地址并接入服务。
8.一种增强防火墙,与边缘UPF连接,该增强防火墙具备:
DNS消息识别判定单元,判定上行流量是否为包括DNS请求消息的流量,并且判定下行流量是否为包括DNS响应消息的流量;以及
DNS服务器网络地址转换单元,当由所述DNS消息识别判定单元判定上行流量为包括DNS请求消息的流量的情况下,将DNS请求消息中的原来的DNS请求目标地址替换为预先配置的本地DNS服务器地址,并保留映射关系,再经由上行接口发出转换后的DNS请求消息,并且当在所述DNS消息识别判定单元判定下行流量为包括DNS响应消息的流量的情况下,将DNS响应消息中的源地址替换为被保留映射关系的对应的原来的DNS请求目标地址,再经由下行接口向边缘UPF发出。
9.根据权利要求8所述的增强防火墙,其中,
所述增强防火墙为与所述边缘UFP对应地预先设置的逻辑独立的防火墙,经由N6接口或子接口与边缘UPF连接。
10.根据权利要求8所述的增强防火墙,其中,
所述上行流量为包括对本地业务的DNS请求的本地业务分流流量,该本地业务分流流量为通过5GC根据用户面策略将UE会话锚定于边缘UPF或者从边缘UPF分流而得到的。
11.根据权利要求8所述的增强防火墙,其中,
所述DNS消息识别判定单元在利用DPI识别出上行流量的端口号为53的情况下,判定为上行流量为包括DNS请求消息的流量,在利用DPI识别出下行流量的端口号为53的情况下,判定为下行流量为包括DNS响应消息的流量。
12.根据权利要求8所述的增强防火墙,还具备:
UE网络地址转换单元,在UE被分配IPv4地址的情况下,对上行流量和下行流量进行UE地址转换。
13.一种边缘应用发现系统,包括:
边缘UPF,识别包括对本地业务的DNS请求的访问边缘应用的边缘业务,并分流至与边缘计算对应的接口;
权利要求8~12中任一项所述的增强防火墙;以及
本地DNS服务器,部署于MEC平台上,保留对应MEC平台内部署的边缘应用的地址解析关系,用于提供MEC平台上部署的边缘应用的域名解析服务。
14.一种计算机可读存储介质,存储有可执行指令,当所述可执行指令由信息处理装置执行时,使所述信息处理装置执行根据权利要求1~7中任一项所述的边缘应用发现方法。
15.一种电子设备,包括:
存储器,以及
处理电路,所述处理电路被配置为执行根据权利要求1~7中任一项所述的边缘应用发现方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010757271.7A CN114095562A (zh) | 2020-07-31 | 2020-07-31 | 边缘应用发现方法、系统以及增强防火墙 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010757271.7A CN114095562A (zh) | 2020-07-31 | 2020-07-31 | 边缘应用发现方法、系统以及增强防火墙 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114095562A true CN114095562A (zh) | 2022-02-25 |
Family
ID=80295122
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010757271.7A Pending CN114095562A (zh) | 2020-07-31 | 2020-07-31 | 边缘应用发现方法、系统以及增强防火墙 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114095562A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114826976A (zh) * | 2022-04-13 | 2022-07-29 | 京东科技信息技术有限公司 | 一种基于边缘计算业务的上行流量数据的统计方法和装置 |
| CN116566682A (zh) * | 2023-05-16 | 2023-08-08 | 赛姆科技(广东)有限公司 | 一种分布式信息网络安全防护方法、系统及其可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2787693A1 (en) * | 2013-04-05 | 2014-10-08 | Telefonaktiebolaget LM Ericsson (PUBL) | User plane traffic handling using network address translation and request redirection |
| WO2017161965A1 (zh) * | 2016-03-23 | 2017-09-28 | 中兴通讯股份有限公司 | 一种动态域名系统dns重定向方法、装置及系统 |
| CN109218455A (zh) * | 2017-06-30 | 2019-01-15 | 华为技术有限公司 | 一种应用实例地址的转换方法和装置 |
| CN110198363A (zh) * | 2019-05-10 | 2019-09-03 | 深圳市腾讯计算机系统有限公司 | 一种移动边缘计算节点的选择方法、装置及系统 |
| CN111343092A (zh) * | 2020-03-15 | 2020-06-26 | 腾讯科技(深圳)有限公司 | 基于边缘计算的通信方法、装置、介质及电子设备 |
-
2020
- 2020-07-31 CN CN202010757271.7A patent/CN114095562A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2787693A1 (en) * | 2013-04-05 | 2014-10-08 | Telefonaktiebolaget LM Ericsson (PUBL) | User plane traffic handling using network address translation and request redirection |
| WO2017161965A1 (zh) * | 2016-03-23 | 2017-09-28 | 中兴通讯股份有限公司 | 一种动态域名系统dns重定向方法、装置及系统 |
| CN109218455A (zh) * | 2017-06-30 | 2019-01-15 | 华为技术有限公司 | 一种应用实例地址的转换方法和装置 |
| CN110198363A (zh) * | 2019-05-10 | 2019-09-03 | 深圳市腾讯计算机系统有限公司 | 一种移动边缘计算节点的选择方法、装置及系统 |
| CN111343092A (zh) * | 2020-03-15 | 2020-06-26 | 腾讯科技(深圳)有限公司 | 基于边缘计算的通信方法、装置、介质及电子设备 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114826976A (zh) * | 2022-04-13 | 2022-07-29 | 京东科技信息技术有限公司 | 一种基于边缘计算业务的上行流量数据的统计方法和装置 |
| CN114826976B (zh) * | 2022-04-13 | 2023-12-05 | 京东科技信息技术有限公司 | 一种基于边缘计算业务的上行流量数据的统计方法和装置 |
| CN116566682A (zh) * | 2023-05-16 | 2023-08-08 | 赛姆科技(广东)有限公司 | 一种分布式信息网络安全防护方法、系统及其可读存储介质 |
| CN116566682B (zh) * | 2023-05-16 | 2023-12-08 | 赛姆科技(广东)有限公司 | 一种分布式信息网络安全防护方法、系统及其可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2499787B1 (en) | Smart client routing | |
| US12015971B2 (en) | Methods for processing encrypted domain name server, DNS, queries received from user equipment in a telecommunication network | |
| CN110572377B (zh) | 一种数据转发方法、插件和域名服务器 | |
| US20230354149A1 (en) | Method for identification of traffic suitable for edge breakout and for traffic steering in a mobile network | |
| US8340670B2 (en) | Registering with SIP servers for IMS using a fully qualified domain name | |
| US9515988B2 (en) | Device and method for split DNS communications | |
| JP2022550517A (ja) | サービスオフロード方法、装置、システム、電子機器、及びコンピュータプログラム | |
| US20200228618A1 (en) | Content delivery method, device, and system | |
| CN110933061B (zh) | 一种通信方法及装置 | |
| US11575649B2 (en) | Supporting dynamic host configuration protocol-based customer premises equipment in fifth generation wireline and wireless convergence | |
| US20220124468A1 (en) | Service instance indication for resource creation | |
| CN110233834B (zh) | 网络系统、攻击报文的拦截方法、装置和设备 | |
| CN111246453A (zh) | 一种数据传输方法、用户面网元及控制面网元 | |
| KR102246978B1 (ko) | 라우팅 방법 및 장치 | |
| AU2021247720B2 (en) | Communication method and apparatus | |
| CN114095562A (zh) | 边缘应用发现方法、系统以及增强防火墙 | |
| CN113950106B (zh) | 多接入连接建立的方法、装置和系统 | |
| EP2963880B1 (en) | Data sending and processing method and router | |
| WO2017149355A1 (en) | Content distribution and delivery optimization in a content delivery network (cdn) | |
| WO2018054272A1 (zh) | 数据的发送方法和装置、计算机存储介质 | |
| US20230216798A1 (en) | Data Steering Method and Apparatus | |
| EP4262176A1 (en) | Standby access gateway function signaling for a dynamic host configuration protocol | |
| CN112567879A (zh) | 将逻辑网络资源映射到传输资源 | |
| CN106254576B (zh) | 一种报文转发方法及装置 | |
| US10863410B1 (en) | Methods for packet data network service slicing with microsegmentation in an evolved packet core and devices thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |