CN114826987A - 网关转发异常检测方法、设备、介质及产品 - Google Patents

网关转发异常检测方法、设备、介质及产品 Download PDF

Info

Publication number
CN114826987A
CN114826987A CN202210349408.4A CN202210349408A CN114826987A CN 114826987 A CN114826987 A CN 114826987A CN 202210349408 A CN202210349408 A CN 202210349408A CN 114826987 A CN114826987 A CN 114826987A
Authority
CN
China
Prior art keywords
message
verification
gateway
forwarding
next hop
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210349408.4A
Other languages
English (en)
Inventor
冯业浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alibaba Cloud Computing Ltd
Original Assignee
Alibaba Cloud Computing Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alibaba Cloud Computing Ltd filed Critical Alibaba Cloud Computing Ltd
Priority to CN202210349408.4A priority Critical patent/CN114826987A/zh
Publication of CN114826987A publication Critical patent/CN114826987A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开实施例公开了一种网关转发异常检测方法、设备、介质及产品,该方法包括:报文生成器生成验证报文,并将验证报文发送给云企业网的待测网关及其对应的验证网关,待测网关和验证网关分别基于源地址和目的地址查找其预存的路由表,得到下一跳信息,封装下一跳信息生成转发报文,并将转发报文转发至报文分析器;报文分析器比对两个转发报文,确定具有相同的源地址和目的地址的验证报文对应的两个下一跳信息是否相同;若不相同,则确定待测网关的报文转发出现异常。该技术方案可以基本上确保百分百的网关转发面问题发现率。

Description

网关转发异常检测方法、设备、介质及产品
技术领域
本公开实施例涉及云网络领域,具体涉及一种网关转发异常检测方法、设备、介质及产品。
背景技术
云企业网(Cloud Enterprise Network,CEN)是一款能够快速构建混合云和分布式系统的全球网络服务,可以为用户提供优质、高效、稳定的网络传输环境,帮助用户打造一张具有企业级规模和通信能力的云上网络,适用于集团企业、全球网络等场景。云企业网可以将VPC(Virtual Private Cloud,专有网络)、VBR(Virutal Border Router,边界路由器)等资源一键互联起来,同时用户可以使用关联转发、路由学习等能力,实现路由传播的管理,并进行策略路由的管理。而CGW(CEN Gateway,云企业网网关)提供了以上功能的转发能力。由于用户云上产品越来越多样、网络架构越来越复杂,作为云网络底座的转发面架构的功能和逻辑也越来越复杂,出现BUG的概率也越来越大,同时由于云产品自由度很大,用户在云上使用的场景多变,可能会超出设计者的预期,一些看似无关紧要的转发逻辑的升级、变更,也可能导致用户的报文转发出现异常,造成用户损失,虽然通过研发过程中的测试用例等方式可以很好的解决大部分问题,但是这种白盒的测试方案仅能检测一些软件上的问题,而云企业网网关是软硬一体化的网关,使用这种测试方案很难对该云企业网网关的转发功能做到百分百的验证。
发明内容
本公开实施例提供一种网关转发异常检测方法、设备、介质及产品。
第一方面,本公开实施例中提供了一种网关转发异常检测方法。
具体的,所述网关转发异常检测方法,包括:
报文生成器生成验证报文,并将所述验证报文发送给云企业网的待测网关及其对应的验证网关,所述验证报文中携带有源地址和目的地址;
所述云企业网的待测网关基于所述源地址和目的地址查找其预存的第一路由表,得到第一下一跳信息,封装所述第一下一跳信息生成第一转发报文,并将所述第一转发报文转发至报文分析器;
所述验证网关基于所述源地址和目的地址查找其预存的第二路由表,得到第二下一跳信息,封装所述第二下一跳信息生成第二转发报文,并将所述第二转发报文转发至报文分析器;所述第二路由表包含所述第一路由表;
所述报文分析器比对所述第一转发报文和所述第二转发报文,确定具有相同的源地址和目的地址的验证报文对应的第一下一跳信息和第二下一跳信息是否相同;若所述验证报文的第一下一跳信息和第二下一跳信息不相同,则确定所述待测网关的报文转发出现异常;若所述第一路由表对应的各验证报文的第一下一跳信息和第二下一跳信息均相同,则确定所述待测网关的报文转发正常。
在一种可能的实现方式中,所述方法还包括:
在所述验证网关的使用场景变更前,所述报文生成器将所述验证报文发送给变更前的验证网关;所述使用场景变更包括所述验证网关随着对应的待测网关的变更而对应变更的场景;
所述变更前的验证网关基于所述源地址和目的地址查找其预存的变更前的路由表,得到第三下一跳信息,封装所述第三下一跳信息生成第三转发报文,并将所述第三转发报文转发至报文分析器;
在所述验证网关的使用场景变更后,所述报文生成器将所述验证报文发送给变更后的验证网关;
所述变更后的验证网关基于所述源地址和目的地址查找其预存的变更后的路由表,得到第四下一跳信息,封装所述第四下一跳信息生成第四转发报文,并将所述第四转发报文转发至报文分析器;
所述报文分析器比对所述第三转发报文和所述第四转发报文,确定具有相同的源地址和目的地址的验证报文对应的第三下一跳信息和第四下一跳信息是否相同;若所述验证报文的第三下一跳信息和第四下一跳信息不相同,则确定验证报文的转发出现异常;若所述变更前的路由表对应的各验证报文的第三下一跳信息和第四下一跳信息均相同,则确定所述验证网关的报文转发正常。
在一种可能的实现方式中,在验证报文的转发出现异常时,所述方法还包括:
所述报文生成器将转发出现异常的验证报文发送给所述云企业网的待测网关;
所述云企业网的待测网关基于所述源地址和目的地址查找其预存的路由表,得到第五下一跳信息,封装所述第五下一跳信息生成第五转发报文,并将所述第五转发报文转发至报文分析器;
所述报文分析器比对所述第四转发报文和所述第五转发报文,确定具有相同的源地址和目的地址的验证报文对应的第四下一跳信息和第五下一跳信息是否相同;若出现异常的验证报文的第四下一跳信息和第五下一跳信息不同,确定所述验证网关变更异常;若出现异常的验证报文的第四下一跳信息和第五下一跳信息均相同,则确定所述验证网关变更正常。
在一种可能的实现方式中,所述下一跳信息包括下一跳的IP地址和下一跳的虚拟扩展局域网网络标识VNI。
第二方面,本公开实施例中提供了一种网关转发异常检测方法。
具体的,所述网关转发异常检测方法,应用于报文生成器,包括:
生成验证报文,所述验证报文中携带有源地址和目的地址;
将所述验证报文发送给所述云企业网的待测网关和验证网关,以基于验证网关查询的下一跳信息与所述云企业网的待测网关的下一跳信息验证所述云企业网的待测网关的转发是否正常。
在一种可能的实现方式中,在所述验证网关的使用场景变更前,将所述验证报文发送给变更前的验证网关,在所述验证网关的使用场景变更后,将所述验证报文发送给变更后的验证网关,以便验证所述验证网关的变更是否正常,所述使用场景变更包括所述验证网关随着对应的待测网关的变更而对应变更的场景。
第三方面,本公开实施例中提供了一种网关转发异常检测方法。
具体的,所述网关转发异常检测方法,应用于云企业网的待测网关或验证网关,包括:
接收数据报文;
识别所述数据报文为验证报文时,基于所述数据报文中携带的源地址和目的地址查找预存的路由表,得到下一跳信息,将所述下一跳信息封装至数据报文中生成转发报文,并将所述转发报文转发至报文分析器,以便所述报文分析器分析所述数据报文的转发是否正常。
在一种可能的实现方式中,所述识别所述数据报文为验证报文,包括:
解封装所述数据报文,得到验证报文标识符时,确定所述数据报文为验证报文。第四方面,本公开实施例中提供了一种网关转发异常检测方法。
具体的,所述网关转发异常检测方法,应用于报文分析器,包括:
接收所述云企业网的待测网关发送的第一转发报文和所述验证网关发送的第二转发报文,所述第一转发报文中携带有验证报文的源地址和目的地址,以及所述云企业网的待测网关查找的第一下一跳信息;所述第二转发报文中携带有验证报文的源地址和目的地址,以及所述验证网关查找的第二下一跳信息;
比对所述第一转发报文和所述第二转发报文,确定具有相同的源地址和目的地址的验证报文对应的第一下一跳信息和第二下一跳信息是否相同;
若所述验证报文的第一下一跳信息和第二下一跳信息不相同,则确定所述待测网关的报文转发出现异常;若各验证报文的第一下一跳信息和第二下一跳信息均相同,则确定所述待测网关的报文转发正常。
在一种可能的实现方式中,还包括:
接收使用场景变更前的验证网关发送的第三转发报文和场景变更后的验证网关发送的第四转发报文,所述第三转发报文中携带有验证报文的源地址、目的地址以及变更前的验证网关查找的第三下一跳信息;所述第二转发报文中携带有验证报文的源地址、目的地址以及变更后的验证网关查找的第四下一跳信息;所述使用场景变更包括所述验证网关随着对应的待测网关的变更而对应变更的场景;
比对所述第三转发报文和所述第四转发报文,确定具有相同的源地址和目的地址的验证报文对应的第三下一跳信息和第四下一跳信息是否相同;
若所述验证报文的第三下一跳信息和第四下一跳信息不相同,则确定验证报文的转发出现异常;若各验证报文的第三下一跳信息和第四下一跳信息均相同,则确定所述验证网关的报文转发正常。
第五方面,本公开实施例中提供了一种网关转发异常检测系统。
具体的,所述网关转发异常检测系统,包括:
报文生成器,被配置为生成验证报文,并将所述验证报文发送给云企业网的待测网关及其对应的验证网关,所述验证报文中携带有源地址和目的地址;
所述云企业网的待测网关,被配置为基于所述源地址和目的地址查找其预存的第一路由表,得到第一下一跳信息,封装所述第一下一跳信息生成第一转发报文,并将所述第一转发报文转发至报文分析器;
所述验证网关,被配置为基于所述源地址和目的地址查找其预存的第二路由表,得到第二下一跳信息,封装所述第二下一跳信息生成第二转发报文,并将所述第二转发报文转发至报文分析器;所述第二路由表包含所述第一路由表;
所述报文分析器,被配置为比对所述第一转发报文和所述第二转发报文,确定具有相同的源地址和目的地址的验证报文对应的第一下一跳信息和第二下一跳信息是否相同;若所述验证报文的第一下一跳信息和第二下一跳信息不相同,则确定所述待测网关的报文转发出现异常;若所述第一路由表对应的各验证报文的第一下一跳信息和第二下一跳信息均相同,则确定所述待测网关的报文转发正常。
在一种可能的实现方式中,所述系统还包括:
所述报文生成器,还被配置为在所述验证网关的使用场景变更前,所述报文生成器将所述验证报文发送给变更前的验证网关;所述使用场景变更包括所述验证网关随着对应的待测网关的变更而对应变更的场景;
所述验证网关,被配置为在变更前,基于所述源地址和目的地址查找其预存的变更前的路由表,得到第三下一跳信息,封装所述第三下一跳信息生成第三转发报文,并将所述第三转发报文转发至报文分析器;在变更后,基于所述源地址和目的地址查找其预存的变更后的路由表,得到第四下一跳信息,封装所述第四下一跳信息生成第四转发报文,并将所述第四转发报文转发至报文分析器;
所述报文分析器,被配置为比对所述第三转发报文和所述第四转发报文,确定具有相同的源地址和目的地址的验证报文对应的第三下一跳信息和第四下一跳信息是否相同;若所述验证报文的第三下一跳信息和第四下一跳信息不相同,则确定验证报文的转发出现异常;若所述变更前的路由表对应的各验证报文的第三下一跳信息和第四下一跳信息均相同,则确定所述验证网关的报文转发正常。
在一种可能的实现方式中,在验证报文的转发出现异常时,所述系统还包括:
所述报文生成器,被配置为将转发出现异常的验证报文发送给所述云企业网的待测网关;
所述云企业网的待测网关,被配置为基于所述源地址和目的地址查找其预存的路由表,得到第五下一跳信息,封装所述第五下一跳信息生成第五转发报文,并将所述第五转发报文转发至报文分析器;
所述报文分析器,被配置为比对所述第四转发报文和所述第五转发报文,确定具有相同的源地址和目的地址的验证报文对应的第四下一跳信息和第五下一跳信息是否相同;若出现异常的验证报文的第四下一跳信息和第五下一跳信息不同,确定所述验证网关变更异常;若出现异常的验证报文的第四下一跳信息和第五下一跳信息均相同,则确定所述验证网关变更正常。
在一种可能的实现方式中,所述下一跳信息包括下一跳的IP地址和下一跳的虚拟扩展局域网网络标识VNI。
第六方面,本公开实施例中提供了一种网关转发异常检测装置。
具体的,所述网关转发异常检测装置,应用于报文生成器,包括:
生成模块,被配置为生成验证报文,所述验证报文中携带有源地址和目的地址;
第一发送模块,被配置为将所述验证报文发送给所述云企业网的待测网关和验证网关,以基于验证网关查询的下一跳信息与所述云企业网的待测网关的下一跳信息验证所述云企业网的待测网关的转发是否正常。
在一种可能的实现方式中,所述装置还包括:
第二发送模块,被配置为在所述验证网关的使用场景变更前,将所述验证报文发送给变更前的验证网关,在所述验证网关的使用场景变更后,将所述验证报文发送给变更后的验证网关,以便验证所述验证网关的变更是否正常,所述使用场景变更包括所述验证网关随着对应的待测网关的变更而对应变更的场景。
第七方面,本公开实施例中提供了一种网关转发异常检测装置。
具体的,所述网关转发异常检测装置,应用于云企业网的待测网关或验证网关,包括:
第一接收模块,被配置为接收数据报文;
转发模块,被配置为识别所述数据报文为验证报文时,基于所述数据报文中携带的源地址和目的地址查找预存的路由表,得到下一跳信息,将所述下一跳信息封装至数据报文中生成转发报文,并将所述转发报文转发至报文分析器,以便所述报文分析器分析所述数据报文的转发是否正常。
在一种可能的实现方式中,所述转发模块中识别所述数据报文为验证报文的部分被配置为:
解封装所述数据报文,得到验证报文标识符时,确定所述数据报文为验证报文。
第八方面,本公开实施例中提供了一种网关转发异常检测装置。
具体的,所述网关转发异常检测装置,应用于报文分析器,包括:
第二接收模块,被配置为接收所述云企业网的待测网关发送的第一转发报文和所述验证网关发送的第二转发报文,所述第一转发报文中携带有验证报文的源地址和目的地址,以及所述云企业网的待测网关查找的第一下一跳信息;所述第二转发报文中携带有验证报文的源地址和目的地址,以及所述验证网关查找的第二下一跳信息;
第一比对模块,被配置为比对所述第一转发报文和所述第二转发报文,确定具有相同的源地址和目的地址的验证报文对应的第一下一跳信息和第二下一跳信息是否相同;
第一确定模块,被配置为若所述验证报文的第一下一跳信息和第二下一跳信息不相同,则确定所述待测网关的报文转发出现异常;若各验证报文的第一下一跳信息和第二下一跳信息均相同,则确定所述待测网关的报文转发正常。
在一种可能的实现方式中,还包括:
第三接收模块,被配置为接收使用场景变更前的验证网关发送的第三转发报文和使用场景变更后的验证网关发送的第四转发报文,所述第三转发报文中携带有验证报文的源地址、目的地址以及变更前的验证网关查找的第三下一跳信息;所述第二转发报文中携带有验证报文的源地址、目的地址以及变更后的验证网关查找的第四下一跳信息;所述使用场景变更包括所述验证网关随着对应的待测网关的变更而对应变更的场景;
第二比对模块,被配置为比对所述第三转发报文和所述第四转发报文,确定具有相同的源地址和目的地址的验证报文对应的第三下一跳信息和第四下一跳信息是否相同;
第二确定模块,被配置为若所述验证报文的第三下一跳信息和第四下一跳信息不相同,则确定验证报文的转发出现异常;若各验证报文的第三下一跳信息和第四下一跳信息均相同,则确定所述验证网关的报文转发正常。
第九方面,本公开实施例提供了一种电子设备,包括存储器和处理器,所述存储器用于存储一条或多条支持上述装置执行上述方法的计算机指令,所述处理器被配置为用于执行所述存储器中存储的计算机指令。
第十方面,本公开实施例提供了一种计算机可读存储介质,其上存储有计算机指令,该计算机指令被处理器执行时实现上述任一方面所述的方法步骤。
第十一方面,本公开实施例提供了一种计算机程序产品,包括计算机程序/指令,其中,该计算机程序/指令被处理器执行时实现上述任一方面所述的方法步骤。
本公开实施例提供的技术方案可包括以下有益效果:
上述技术方案可以由报文生成器生成该云企业网关中的任一路由路径上的验证报文,并将验证报文发送给云企业网的待测网关及其对应的验证网关,云企业网的待测网关和验证网关分别基于源地址和目的地址查找其预存的路由表,得到下一跳信息,封装下一跳信息生成转发报文,并将转发报文转发至报文分析器;由报文分析器比对两个转发报文,确定具有相同的源地址和目的地址的验证报文对应的两个下一跳信息是否相同;若不相同,则待测网关的报文转发出现异常,只有在第一路由表对应的各验证报文的第一下一跳信息和第二下一跳信息均相同,才确定所述待测网关的报文转发正常,如此,可以通过对各验证报文的转发路径的比对验证,百分百地验证云企业网的待测网关中各条路由的转发情况,基本上确保百分百的网关转发面问题发现率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开实施例。
附图说明
结合附图,通过以下非限制性实施方式的详细描述,本公开实施例的其它特征、目的和优点将变得更加明显。在附图中:
图1示出根据本公开一实施方式的网关转发异常检测方法的流程图。
图2示出根据本公开一实施方式的网关转发异常检测系统的示意性结构框图。
图3示出根据本公开一实施方式的网关转发异常检测方法的流程图。
图4示出根据本公开一实施方式的网关转发异常检测方法的流程图。
图5示出根据本公开一实施方式的网关转发异常检测方法的流程图。
图6示出根据本公开一实施方式的网关转发异常检测装置的结构框图。
图7示出根据本公开一实施方式的网关转发异常检测装置的结构框图。
图8示出根据本公开一实施方式的网关转发异常检测装置的结构框图。
图9示出根据本公开一实施方式的电子设备的结构框图。
图10是适于用来实现根据本公开实施例所述方法的计算机系统的结构示意图。
具体实施方式
下文中,将参考附图详细描述本公开实施例的示例性实施方式,以使本领域技术人员可容易地实现它们。此外,为了清楚起见,在附图中省略了与描述示例性实施方式无关的部分。
在本公开实施例中,应理解,诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在,并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。
另外还需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开实施例。
云企业网(Cloud Enterprise Network,CEN)是一款能够快速构建混合云和分布式系统的全球网络服务,可以为用户提供优质、高效、稳定的网络传输环境,帮助用户打造一张具有企业级规模和通信能力的云上网络,适用于集团企业、全球网络等场景。云企业网可以将VPC(Virtual Private Cloud,专有网络)、VBR(Virutal Border Router,边界路由器)等资源一键互联起来,同时用户可以使用关联转发、路由学习等能力,实现路由传播的管理,并进行策略路由的管理。而CGW(CEN Gateway,云企业网网关)提供了以上功能的转发能力。由于用户云上产品越来越多样、网络架构越来越复杂,作为云网络底座的转发面架构的功能和逻辑也越来越复杂,出现BUG的概率也越来越大,同时由于云产品自由度很大,用户在云上使用的场景多变,可能会超出设计者的预期,一些看似无关紧要的转发逻辑的升级、变更,也可能导致用户的报文转发出现异常,造成用户损失,虽然通过研发过程中的测试用例等方式可以很好的解决大部分问题,但是这种白盒的测试方案仅能检测一些软件上的问题,而云企业网网关是软硬一体化的网关,使用这种测试方案很难对该云企业网网关的转发功能做到百分百的验证。
为了解决上述问题,本公开提出网关转发异常检测方案,可以由报文生成器生成该云企业网关中的任一路由路径上的验证报文,并将验证报文发送给云企业网的待测网关及其对应的验证网关,云企业网的待测网关和验证网关分别基于源地址和目的地址查找其预存的路由表,得到下一跳信息,封装下一跳信息生成转发报文,并将转发报文转发至报文分析器;由报文分析器比对两个转发报文,确定具有相同的源地址和目的地址的验证报文对应的两个下一跳信息是否相同;若不相同,则确定待测网关的报文转发出现异常,只有在第一路由表对应的各验证报文的第一下一跳信息和第二下一跳信息均相同,才确定所述待测网关的报文转发正常,如此,可以通过对该待测网关中各路由路径上的验证报文的转发路径一一比对验证,可以百分百地验证云企业网的待测网关中各条路由的转发情况,基本上确保百分百的网关转发面问题发现率。
图1示出根据本公开一实施方式的网关转发异常检测方法的流程图,如图1所示,所述硬件转发表项配置方法包括以下步骤S101-S104:
在步骤S101中,报文生成器生成验证报文,并将所述验证报文发送给云企业网的待测网关及其对应的验证网关,所述验证报文中携带有源地址和目的地址;
在步骤S102中,所述云企业网的待测网关基于所述源地址和目的地址查找其预存的第一路由表,得到第一下一跳信息,封装所述第一下一跳信息生成第一转发报文,并将所述第一转发报文转发至报文分析器;
在步骤S103中,所述验证网关基于所述源地址和目的地址查找其预存的第二路由表,得到第二下一跳信息,封装所述第二下一跳信息生成第二转发报文,并将所述第二转发报文转发至报文分析器;所述第二路由表包含所述第一路由表;
在步骤S104中,所述报文分析器比对所述第一转发报文和所述第二转发报文,确定具有相同的源地址和目的地址的验证报文对应的第一下一跳信息和第二下一跳信息是否相同;若所述验证报文的第一下一跳信息和第二下一跳信息不相同,则确定所述待测网关的报文转发出现异常;若所述第一路由表对应的各验证报文的第一下一跳信息和第二下一跳信息均相同,则确定所述待测网关的报文转发正常。
在一种可能的实施方式中,网关转发异常检测方法应用于云企业网络中,可以由网关转发异常检测系统实现。图2示出根据本公开一实施方式的网关转发异常检测系统的示意性结构框图,如图2所述,网关转发异常检测系统包括报文生成器(PacketsGenerator)201、云企业网的待测网关202、验证网关203和报文分析器(Packets Analyzer)204。
在一种可能的实施方式中,CEN产品支持多张路由表,支持多种attachment(连接实例)比如说VPC(Virtual Private Cloud,虚拟私有云)、VBR(Virutal Border Router,边界路由器)等等,支持跨域、专线、同域互通等多种场景,同时可以通过关联转发、路由学习、Route map(路由映射表)等进行路由传播的控制。这些场景的报文转发都是由云企业网网关来负责进行处理的。虽然转发场景非常复杂,但是对于云企业网网关而言,实际上都会抽象成多张路由表,多张路由表以策略路由的方式生效。CEN的路由表生效在不同的attachment上,这些attacnment决定了数据报文的源地址,而路由表中的每一条路由,则决定了数据报文的目的地址。因此,为了检测待测网关上各条路由上的报文转发是否正常,针对云企业网中的每个云主机,报文生成器201可以将云主机地址作为源地址,基于网关上的路由表获取为其实际配置的目的地址,生成一组验证报文,每个验证报文中均携带有源地址和目的地址。报文生成器201可以将生成的验证报文发送给云企业网的待测网关202或验证网关203。这里需要说明的是,验证报文的发送和分析都是以一个云主机为单位的,可以支持一个云主机的报文转发的单独验证和多个云主机的报文转发的并发验证,验证过程均相同,本实施方式以一个验证报文的转发为例进行说明。
在一种可能的实施方式中,处于云上租户的隔离和互通的需要,云上的报文都是基于Overlay(逻辑网络)的。基本报文结构如下表1所示:
Overlay Payload
Overlay IP头
Vxlan头
Underlay UDP头
Underlay IP头
Underlay Mac头
表1
表1中,Underlay(底层网络)是底层承载网络,是由多个类型设备互联而成的物理网络,overlay就是基于Underlay互联互通的基础加上隧道技术去构建一个虚拟的网络。Overlay Payload(有效载荷)为记载着报文信息的那部分数据,Overlay IP头中携带有Overlay的源IP地址和目标IP地址,VxLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网)头中下携带有租户的VNI(VxLAN Network Identifier)信息,Underlay UDP(User Datagram Protocol,用户数据报协议),Underlay IP头,Underlay Mac(MediaAccess Control,媒体存取控制)头中的信息结构都是本领域人员清楚了解的,在此不再详述。
在一种可能的实施方式中,报文生成器201生成的验证报文是OAM(OperationAdministration and Maintenance,操作维护管理)报文,该验证报文中可以携带有特定的验证报文标识符,云企业网的待测网关202和验证网关203可以通过该特定的验证报文标识符识别该验证报文。
在一种可能的实施方式中,云企业网的待测网关202和验证网关203在接收报文生成器201发送的验证报文后,可以进行正常的转发流程,基于所述源地址和目的地址查找对应的路由表,得到下一跳信息,示例的,可以会根据Overlay IP头中的目标IP、源IP,以及Vxlan中的VNI信息,查询网关中对应的路由表,就可以得到下一跳信息。现有技术中在进行正常转发时都会将报文正常封装后下发至下一跳;但是本公开是为了验证网关的转发逻辑是否正常,故本实施方式会将封装有下一跳信息的报文转发至报文分析器204进行分析。
示例的,该云企业网的待测网关202和验证网关203在基于所述源地址和目的地址查找各自预存的路由表得到下一跳信息后,会将下一跳信息封装至验证报文中生成转发报文,该转发报文的格式可以如下表2所示:
Overlay Payload
Overlay IP头
Middle Vxlan头
Middle UDP头
Middle IP头
Underlay Vxlan头
Underlay UDP头
Underlay IP头
Underlay Mac头
表2
表2中,Middle(中间)Vxlan头、Middle UDP头和Middle IP头中携带有基于路由表查询出的下一跳信息,由于该转发报文是转发给报文分析器的,故需要在Middle Vxlan头、Middle UDP头和Middle IP头外封装Underlay Vxlan头、Underlay UDP头、Underlay IP头、和Underlay Mac头,该Underlay IP头中的源IP是云企业网的待测网关202或验证网关203的IP,目的IP是报文分析器的IP,这样封装成的转发报文就可以直接被转发至报文分析器204。
在一种可能的实施方式中,云企业网的待测网关202可以基于所述源地址和目的地址查找其预存的第一路由表,得到第一下一跳信息,将所述第一下一跳信息封装至报文的Middle头中,将云企业网的待测网关202的IP作为源IP,报文分析器的IP作为目的IP封装在Underlay IP头中,生成如表2所示的第一转发报文,并将所述第一转发报文转发至报文分析器;同理,验证网关203可以基于所述源地址和目的地址查找其预存的第二路由表,得到第二下一跳信息,将所述第二下一跳信息封装至报文的Middle头中,将验证网关203的IP作为源IP,报文分析器的IP作为目的IP封装在Underlay IP头中,生成如表2所示的第二转发报文,并将所述第二转发报文转发至报文分析器。
在一种可能的实施方式中,云企业网的待测网关202承载了云企业网中实际的线上转发,验证网关203是一个旁路的CGW网关,可以基于X86逻辑构成,且包含了云企业网中全局所有的控制表项,即验证网关203中存储的第二路由表包含有该云企业网内多个云企业网关的路由表,当然也包括该待测网关的第一路由表,验证网关203内存储的待测网关202的路由表与该云企业网的待测网关202内的路由表实际是相同的,如果转发正常,则验证网关203与该云企业网的待测网关202在转发同一源地址和目的地址的转发报文时,下一跳信息应该是相同的,故如果下一跳信息不相同,则说明该验证报文的转发异常,该云企业网的待测网关202的转发可能出现问题,需要进行维修。
在一种可能的实施方式中,报文分析器204接收到该第一转发报文和第二转发把稳后,可以比对所述第一转发报文和所述第二转发报文中的报文头,确定具有相同的源地址和目的地址的验证报文对应的第一下一跳信息和第二下一跳信息是否相同,若不相同,则确定所述验证报文的转发出现异常,该云企业网的待测网关202的报文转发可能出现问题,需要进行维修。如果相同,则表明该验证报文的转发是正常的,此时可以继续确定其他验证报文的转发是否正常,只有该云企业网的待测网关202中所有路由路径即第一路由表对应的验证报文均转发正常,才能确定云企业网的待测网关202的报文转发是正常。
这里需要说明的是,该验证网关203可以基于X86逻辑构成,是由程序编辑而成,可以通过软件测试的方法来对该验证网关进行测试,保证该验证网关的转发正确,这样,当报文分析器204比对发现两个网关中具有相同的源地址和目的地址的验证报文对应的第一下一跳信息和第二下一跳信息不相同时,可以确定是该云企业网的待测网关202的转发面出现问题。当然,也有可能是验证网关203的转发面出现问题,或者云企业网的待测网关202和验证网关203的转发面均出现问题,这就需要运维人员去检测判定。
本实施例方式通过对云企业网内实际的各路由路径的报文转发进行分析验证,基本上可以确保百分百的问题发现率。
在一种可能的实施方式中,上述网关转发异常检测方法还可以包括以下步骤:
在所述验证网关的使用场景变更前,所述报文生成器将所述验证报文发送给变更前的验证网关;所述使用场景变更包括所述验证网关随着对应的待测网关的变更而对应变更的场景;
所述变更前的验证网关基于所述源地址和目的地址查找其预存的变更前的路由表,得到第三下一跳信息,封装所述第三下一跳信息生成第三转发报文,并将所述第三转发报文转发至报文分析器;
在所述验证网关的使用场景变更后,所述报文生成器将所述验证报文发送给变更后的验证网关;
所述变更后的验证网关基于所述源地址和目的地址查找其预存的变更后的路由表,得到第四下一跳信息,封装所述第四下一跳信息生成第四转发报文,并将所述第四转发报文转发至报文分析器;
所述报文分析器比对所述第三转发报文和所述第四转发报文,确定具有相同的源地址和目的地址的验证报文对应的第三下一跳信息和第四下一跳信息是否相同;若所述验证报文的第三下一跳信息和第四下一跳信息不相同,则确定验证报文的转发出现异常;若变更后的待测网关的路由表对应的各验证报文的第三下一跳信息和第四下一跳信息均相同,则确定所述验证网关的变更正常。
在该实施方式中,验证网关为标杆,会随着云企业网中各网关的版本升级进行升级,为了保证验证网关的转发行为正常,需要在对变更后的验证网关进行变更验证,这里的变更包括迁移和升级两种变更场景。若云企业网中某待测网关发生变更,则该验证网关也同步进行变更,此时仅需要检测该变更后的待测网关的路由表对应的各验证报文的转发情况,其他未发生变更的网关的报文转发情况不需要进行检测。
在该实施方式中,在所述验证网关的使用场景变更前,发起一次验证,所述报文生成器将所述验证报文发送给变更前的验证网关,所述变更前的验证网关基于所述源地址和目的地址查找其预存的变更前的路由表,得到第三下一跳信息,将所述第三下一跳信息封装至报文的Middle头中,将验证网关203的IP作为源IP,报文分析器的IP作为目的IP封装在Underlay IP头中,生成如表2所示的第三转发报文,并将所述第三转发报文转发至报文分析器。在所述验证网关的使用场景变更后,再发起一次验证,所述报文生成器将所述验证报文发送给变更后的验证网关;所述变更后的验证网关基于所述源地址和目的地址查找其预存的变更后的路由表,得到第四下一跳信息,将所述第四下一跳信息封装至报文的Middle头中,将验证网关203的IP作为源IP,报文分析器的IP作为目的IP封装在Underlay IP头中,生成如表2所示的第四转发报文,并将所述第四转发报文转发至报文分析器。
在该实施方式中,所述报文分析器比对所述第三转发报文和所述第四转发报文,确定具有相同的源地址和目的地址的验证报文对应的第三下一跳信息和第四下一跳信息是否相同;若不相同,则确定验证报文的转发出现异常,此时运维人员可以人工检查该转发异常的验证报文是因为在变更过程中改变了路由配置还是验证网关出现了问题。当然,若所述变更前的路由表对应的各验证报文的第三下一跳信息和第四下一跳信息均相同,则确定所述验证网关的报文转发正常,该验证网关的变更是正常的。
在一种可能的实施方式中,在确定验证报文的转发出现异常时,上述网关转发异常检测方法还可以包括以下步骤:
所述报文生成器将所述验证报文发送给所述云企业网的待测网关;
所述云企业网的待测网关基于所述源地址和目的地址查找其预存的路由表,得到第五下一跳信息,封装所述第五下一跳信息生成第五转发报文,并将所述第五转发报文转发至报文分析器;
所述报文分析器比对所述第四转发报文和所述第五转发报文,确定具有相同的源地址和目的地址的验证报文对应的第四下一跳信息和第五下一跳信息是否相同;若出现异常的验证报文的第四下一跳信息和第五下一跳信息不同,确定所述验证网关变更异常;若出现异常的验证报文的第四下一跳信息和第五下一跳信息均相同,则确定所述验证网关变更正常。
在该实施方式中,若某一验证报文在验证网关变更前和变更后的下一跳信息不同,则有两种原因,一种原因是该验证报文变更过程中改变了路由配置,另一种原因是变更后的验证网关出现了问题。如果变更过程正常,是验证报文变更过程中改变了路由配置,则该验证网关查询的第四下一跳信息和该云企业网的待测网关查询的第五下一跳信息应该是相同的;如果变更过程异常,是验证网关的转发面出现问题,则该验证网关查询的第四下一跳信息和该云企业网的待测网关查询的第五下一跳信息是不同的。这里需要说明的是,此时的云企业网的待测网关是变更后的云企业网的待测网关。
故,可以将该出现异常的验证报文发送给所述云企业网的待测网关,云企业网的待测网关基于所述源地址和目的地址查找其预存的路由表,得到第五下一跳信息,封装所述第五下一跳信息生成第五转发报文,并将所述第五转发报文转发至报文分析器;所述报文分析器比对所述第四转发报文和所述第五转发报文,确定具有相同的源地址和目的地址的验证报文对应的第四下一跳信息和第五下一跳信息是否相同;若出现异常的验证报文的第四下一跳信息和第五下一跳信息不同,确定所述验证网关变更异常,若出现异常的验证报文的第四下一跳信息和第五下一跳信息均相同,则确定该验证网关变更正常。
在一种可能的实施方式中,该下一跳信息包括下一跳的IP地址和下一跳的VNI。
在该实施方式中,该报文分析器204用于比对的数据是源地址、目的地址和下一跳信息,该源地址可以是Overlay IP头中的源IP,目的地址可以是Overlay IP头中的目的IP,下一跳信息可以包括Middle IP头中的下一跳IP,Middle Vxlan中的下一跳VNI。
图3示出根据本公开一实施方式的应用于报文生成器的网关转发异常检测方法的流程图,如图3所示,所述方法包括以下步骤S301-S302:
在步骤S301中,生成验证报文,所述验证报文中携带有源地址和目的地址;
在步骤S302中,将所述验证报文发送给所述云企业网的待测网关和验证网关,以使用验证网关查询的下一跳信息与所述云企业网的待测网关的下一跳信息验证所述云企业网的待测网关的转发是否正常。
在一种可能的实现方式中,CEN产品支持多张路由表,支持多种attachment(连接实例)比如说VPC(Virtual Private Cloud,虚拟私有云)、VBR(Virutal Border Router,边界路由器)等等,支持跨域、专线、同域互通等多种场景,同时可以通过关联转发、路由学习、Route map(路由映射表)等进行路由传播的控制。这些场景的报文转发都是由云企业网的待测网关来负责进行处理的。虽然转发场景非常复杂,但是对于云企业网的待测网关而言,实际上都会抽象成多张路由表,多张路由表以策略路由的方式生效。CEN的路由表生效在不同的attachment上,这些attacnment决定了数据报文的源地址,而路由表中的每一条路由,则决定了数据报文的目的地址。因此,为了检测各条路由上的报文转发是否正常,针对云企业网中的每个云主机,报文生成器201可以将云主机地址作为源地址,获取为其实际配置的某个目的地址,生成一个验证报文,每个验证报文中均携带有源地址和目的地址。报文生成器可以将生成的验证报文发送给云企业网的待测网关和验证网关。
在一种可能的实现方式中,所述云企业网的待测网关基于所述源地址和目的地址查找其预存的第一路由表,得到第一下一跳信息,封装所述第一下一跳信息生成第一转发报文,并将所述第一转发报文转发至报文分析器;所述验证网关基于所述源地址和目的地址查找其预存的第二路由表,得到第二下一跳信息,封装所述第二下一跳信息生成第二转发报文,并将所述第二转发报文转发至报文分析器;所述报文分析器比对所述第一转发报文和所述第二转发报文,确定具有相同的源地址和目的地址的验证报文对应的第一下一跳信息和第二下一跳信息是否相同;若所述验证报文的第一下一跳信息和第二下一跳信息不相同,则确定所述验证报文的转发出现异常,进而可以确定所述待测网关的报文转发出现异常。若所述第一路由表对应的各验证报文的第一下一跳信息和第二下一跳信息均相同,则确定所述待测网关的报文转发正常。
在一种可能的实现方式中,所述方法还可以包括以下步骤:
在所述验证网关的使用场景变更前,将所述验证报文发送给变更前的验证网关,在所述验证网关的使用场景变更后,将所述验证报文发送给变更后的验证网关,以便验证所述验证网关的变更是否正常,所述使用场景变更包括所述验证网关随着对应的待测网关的变更而对应变更的场景。
在该实施方式中,验证网关为标杆,会随着云企业网关的版本升级进行升级,为了保证验证网关的转发行为正常,需要在对变更后的验证网关进行变更验证,这里的变更包括迁移和升级两种变更场景。
在该实施方式中,在所述验证网关的使用场景变更前,发起一次验证,所述报文生成器将所述验证报文发送给变更前的验证网关,所述变更前的验证网关基于所述源地址和目的地址查找其预存的路由表,得到第三下一跳信息,将所述第三下一跳信息封装至报文的Middle头中,将验证网关203的IP作为源IP,报文分析器的IP作为目的IP封装在UnderlayIP头中,生成如表2所示的第三转发报文,并将所述第三转发报文转发至报文分析器。在所述验证网关的使用场景变更后,再发起一次验证,所述报文生成器将所述验证报文发送给变更后的验证网关;所述变更后的验证网关基于所述源地址和目的地址查找其预存的路由表,得到第四下一跳信息,将所述第四下一跳信息封装至报文的Middle头中,将验证网关203的IP作为源IP,报文分析器的IP作为目的IP封装在Underlay IP头中,生成如表2所示的第四转发报文,并将所述第四转发报文转发至报文分析器。所述报文分析器比对所述第三转发报文和所述第四转发报文,确定具有相同的源地址和目的地址的验证报文对应的第三下一跳信息和第四下一跳信息是否相同;若不相同,则确定验证报文的转发出现异常,此时运维人员可以人工检查该验证报文是因为在变更过程中改变了路由配置还是验证网关出现了问题。
在该实施方式中,在验证报文的转发出现异常时,为了确定是否是变更异常导致的异常,所述报文生成器还可以将该转发出现异常的验证报文发送给所述云企业网的待测网关;所述云企业网的待测网关基于所述源地址和目的地址查找其预存的路由表,得到第五下一跳信息,封装所述第五下一跳信息生成第五转发报文,并将所述第五转发报文转发至报文分析器;所述报文分析器比对所述第四转发报文和所述第五转发报文,确定具有相同的源地址和目的地址的验证报文对应的第四下一跳信息和第五下一跳信息是否相同;若不同,确定所述验证网关变更异常。
图4示出根据本公开一实施方式的应用于云企业网的待测网关或验证网关的网关转发异常检测方法的流程图,如图4所示,所述方法包括以下步骤S401-S402:
在步骤S401中,接收数据报文;
在步骤S402中,识别所述数据报文为验证报文时,基于所述数据报文中携带的源地址和目的地址查找其预存的路由表,得到下一跳信息,封装所述下一跳信息生成转发报文,并将所述转发报文转发至报文分析器,以便所述报文分析器分析所述数据报文的转发是否正常。
在一种可能的实施方式中,云企业网的待测网关承载了云企业网中实际的线上转发,验证网关是一个旁路的CGW网关,可以基于X86逻辑构成,且包含了云企业网中全局所有的控制表项,这两种网关在接收到数据报文后,可以先识别该数据报文是否为验证报文,如果是验证报文,基于所述源地址和目的地址查找其预存的路由表,得到下一跳信息,将下一跳信息封装至报文的Middle头中,将本网关的IP作为源IP,报文分析器的IP作为目的IP封装在Underlay IP头中,生成如表2所示的转发报文,并将所述转发报文转发至报文分析器。
在一种可能的实施方式中,上述网关转发异常检测方法中步骤S402中的识别所述数据报文为验证报文,包括:
解封装所述数据报文,得到验证报文标识符时,确定所述数据报文为验证报文。
在该实施方式中,该验证报文中可以携带有特定的验证报文标识符,如果网关解封装该数据报文,得到该验证报文标识符,就可以确定该数据报文是验证报文。示例的,该验证报文可以是OAM报文,可以在该OAM报文中OAM maker(标记)字段中配置特定的CheckCode(验证码)1和Check Code2作为验证报文标识符。网关解封装验证报文后在OAM maker字段得到特定Check Code1和Check Code2,就可以识别出验证报文。
图5示出根据本公开一实施方式的应用于报文分析器的网关转发异常检测方法的流程图,如图5所示,所述方法包括以下步骤S501-S503:
在步骤S501中,接收所述云企业网的待测网关发送的第一转发报文和所述验证网关发送的第二转发报文,所述第一转发报文中携带有验证报文的源地址和目的地址,以及所述云企业网的待测网关查找的第一下一跳信息;所述第二转发报文中携带有验证报文的源地址和目的地址,以及所述验证网关查找的第二下一跳信息;
在步骤S502中,比对所述第一转发报文和所述第二转发报文,确定具有相同的源地址和目的地址的验证报文对应的第一下一跳信息和第二下一跳信息是否相同;
在步骤S503中,若所述验证报文的第一下一跳信息和第二下一跳信息不相同,则确定所述待测网关的报文转发出现异常;若各验证报文的第一下一跳信息和第二下一跳信息均相同,则确定所述待测网关的报文转发正常。
在一种可能的实施方式中,在用验证网关检测云企业网关的转发是否异常时,报文生成器可以生成验证报文,并将所述验证报文发送给云企业网的待测网关及其对应的验证网关,所述云企业网的待测网关基于所述源地址和目的地址查找其预存的第一路由表,得到第一下一跳信息,封装所述第一下一跳信息生成第一转发报文,并将所述第一转发报文转发至报文分析器;所述验证网关基于所述源地址和目的地址查找其预存的第二路由表,得到第二下一跳信息,封装所述第二下一跳信息生成第二转发报文,并将所述第二转发报文转发至报文分析器。
在一种可能的实施方式中,报文分析器接收到该第一转发报文和第二转发把稳后,可以比对所述第一转发报文和所述第二转发报文中的报文头,确定具有相同的源地址和目的地址的验证报文对应的第一下一跳信息和第二下一跳信息是否相同,若不相同,则确定所述验证报文的转发出现异常,该云企业网的待测网关可能出现问题,需要进行维修。如果相同,则表明该验证报文的转发是正常的,此时可以继续确定其他验证报文的转发是否正常,只有该云企业网的待测网关中所有路由路径对应的验证报文均转发正常,才能确定云企业网的待测网关正常。
在一种可能的实施方式中,上述方法还可以包括以下步骤:
接收场景变更前的验证网关发送的第三转发报文和场景变更后的验证网关发送的第四转发报文,所述第三转发报文中携带有验证报文的源地址、目的地址以及变更前的验证网关查找的第三下一跳信息;所述第二转发报文中携带有验证报文的源地址、目的地址以及变更后的验证网关查找的第四下一跳信息;所述使用场景变更包括所述验证网关随着对应的待测网关的变更而对应变更的场景;
比对所述第三转发报文和所述第四转发报文,确定具有相同的源地址和目的地址的验证报文对应的第三下一跳信息和第四下一跳信息是否相同;
若所述验证报文的第三下一跳信息和第四下一跳信息不相同,则确定验证报文的转发出现异常;若各验证报文的第三下一跳信息和第四下一跳信息均相同,则确定所述验证网关的报文转发正常。
在该实施方式中,在检测该验证网关变更是否正常时,在所述验证网关的使用场景变更前,所述报文生成器将所述验证报文发送给变更前的验证网关;在所述验证网关的使用场景变更后,所述报文生成器将所述验证报文发送给变更后的验证网关;这样,所述变更前的验证网关基于所述源地址和目的地址查找其预存的变更前的路由表,得到第三下一跳信息,封装所述第三下一跳信息生成第三转发报文,并将所述第三转发报文转发至报文分析器;所述变更后的验证网关基于所述源地址和目的地址查找其预存的变更后的路由表,得到第四下一跳信息,封装所述第四下一跳信息生成第四转发报文,并将所述第四转发报文转发至报文分析器。
在该实施方式中,报文分析器接收场景变更前的验证网关发送的第三转发报文和场景变更后的验证网关发送的第四转发报文后,可以比对所述第三转发报文和所述第四转发报文,确定具有相同的源地址和目的地址的验证报文对应的第三下一跳信息和第四下一跳信息是否相同;若不相同,则确定所述验证报文的转发出现异常,此时运维人员可以人工检查该转发异常的验证报文是因为在变更过程中改变了路由配置还是验证网关出现了问题。
在该实施方式中,在出现转发异常的验证报文时,可以将该出现异常的验证报文发送给所述云企业网的待测网关,云企业网的待测网关基于所述源地址和目的地址查找其预存的路由表,得到第五下一跳信息,封装所述第五下一跳信息生成第五转发报文,并将所述第五转发报文转发至报文分析器;所述报文分析器比对所述第四转发报文和所述第五转发报文,确定具有相同的源地址和目的地址的验证报文对应的第四下一跳信息和第五下一跳信息是否相同;若不同,确定所述验证网关变更异常,若相同,则确定该验证网关变更正常。
下述为本公开装置实施例,可以用于执行本公开方法实施例。
图2示出根据本公开一实施方式的网关转发异常检测系统的结构框图,该系统中的设备可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图2所示,所述网关转发异常检测系统包括:
报文生成器201,被配置为生成验证报文,并将所述验证报文发送给云企业网的待测网关及其对应的验证网关,所述验证报文中携带有源地址和目的地址;
所述云企业网的待测网关202,被配置为基于所述源地址和目的地址查找其预存的第一路由表,得到第一下一跳信息,封装所述第一下一跳信息生成第一转发报文,并将所述第一转发报文转发至报文分析器;
所述验证网关203,被配置为基于所述源地址和目的地址查找其预存的第二路由表,得到第二下一跳信息,封装所述第二下一跳信息生成第二转发报文,并将所述第二转发报文转发至报文分析器;所述第二路由表包含所述第一路由表;
所述报文分析器204,被配置为比对所述第一转发报文和所述第二转发报文,确定具有相同的源地址和目的地址的验证报文对应的第一下一跳信息和第二下一跳信息是否相同;若所述验证报文的第一下一跳信息和第二下一跳信息不相同,则确定所述待测网关的报文转发出现异常;若所述第一路由表对应的各验证报文的第一下一跳信息和第二下一跳信息均相同,则确定所述待测网关的报文转发正常。
在一种可能的实现方式中,所述系统还包括:
所述报文生成器201,还被配置为在所述验证网关的使用场景变更前,所述报文生成器将所述验证报文发送给变更前的验证网关;所述使用场景变更包括所述验证网关随着对应的待测网关的变更而对应变更的场景;
所述验证网关203,被配置为在变更前,基于所述源地址和目的地址查找其预存的变更前的路由表,得到第三下一跳信息,封装所述第三下一跳信息生成第三转发报文,并将所述第三转发报文转发至报文分析器;在变更后,基于所述源地址和目的地址查找其预存的变更后的路由表,得到第四下一跳信息,封装所述第四下一跳信息生成第四转发报文,并将所述第四转发报文转发至报文分析器;
所述报文分析器204,被配置为比对所述第三转发报文和所述第四转发报文,确定具有相同的源地址和目的地址的验证报文对应的第三下一跳信息和第四下一跳信息是否相同;若所述验证报文的第三下一跳信息和第四下一跳信息不相同,则确定验证报文的转发出现异常;若所述变更前的路由表对应的各验证报文的第三下一跳信息和第四下一跳信息均相同,则确定所述验证网关的报文转发正常。
在一种可能的实现方式中,在验证报文的转发出现异常时,所述系统还包括:
所述报文生成器201,被配置为将转发出现异常的验证报文发送给所述云企业网的待测网关;
所述云企业网的待测网关202,被配置为基于所述源地址和目的地址查找其预存的路由表,得到第五下一跳信息,封装所述第五下一跳信息生成第五转发报文,并将所述第五转发报文转发至报文分析器;
所述报文分析器204,被配置为比对所述第四转发报文和所述第五转发报文,确定具有相同的源地址和目的地址的验证报文对应的第四下一跳信息和第五下一跳信息是否相同;若出现异常的验证报文的第四下一跳信息和第五下一跳信息不同,确定所述验证网关变更异常;若出现异常的验证报文的第四下一跳信息和第五下一跳信息均相同,则确定所述验证网关变更正常。
在一种可能的实现方式中,所述下一跳信息包括下一跳的IP地址和下一跳的虚拟扩展局域网网络标识VNI。
本系统实施方式中提及的技术术语和技术特征相同或相似,对于本系统中涉及的技术术语和技术特征的解释和说明可参考上述对于图1至图2所示及相关实施方式的解释的说明,此处不再赘述。
图6示出根据本公开一实施方式的网关转发异常检测装置的结构框图,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图6所示,所述网关转发异常检测装置包括:
生成模块601,被配置为生成验证报文,所述验证报文中携带有源地址和目的地址;
第一发送模块602,被配置为将所述验证报文发送给所述云企业网的待测网关和验证网关,以基于验证网关查询的下一跳信息与所述云企业网的待测网关的下一跳信息验证所述云企业网的待测网关的转发是否正常。
在一种可能的实现方式中,所述装置还包括:
第二发送模块,被配置为在所述验证网关的使用场景变更前,将所述验证报文发送给变更前的验证网关,在所述验证网关的使用场景变更后,将所述验证报文发送给变更后的验证网关,以便验证所述验证网关的变更是否正常,所述使用场景变更包括所述验证网关随着对应的待测网关的变更而对应变更的场景。
图7示出根据本公开一实施方式的网关转发异常检测装置的结构框图,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图7所示,所述网关转发异常检测装置包括:
第一接收模块701,被配置为接收数据报文;
转发模块702,被配置为识别所述数据报文为验证报文时,基于所述数据报文中携带的源地址和目的地址查找预存的路由表,得到下一跳信息,将所述下一跳信息封装至数据报文中生成转发报文,并将所述转发报文转发至报文分析器,以便所述报文分析器分析所述数据报文的转发是否正常。
在一种可能的实现方式中,所述转发模块702中识别所述数据报文为验证报文的部分被配置为:
解封装所述数据报文,得到验证报文标识符时,确定所述数据报文为验证报文。
图8示出根据本公开一实施方式的网关转发异常检测装置的结构框图,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图8所示,所述网关转发异常检测装置包括:
第二接收模块801,被配置为接收所述云企业网的待测网关发送的第一转发报文和所述验证网关发送的第二转发报文,所述第一转发报文中携带有验证报文的源地址和目的地址,以及所述云企业网的待测网关查找的第一下一跳信息;所述第二转发报文中携带有验证报文的源地址和目的地址,以及所述验证网关查找的第二下一跳信息;
第一比对模块802,被配置为比对所述第一转发报文和所述第二转发报文,确定具有相同的源地址和目的地址的验证报文对应的第一下一跳信息和第二下一跳信息是否相同;
第一确定模块803,被配置为若所述验证报文的第一下一跳信息和第二下一跳信息不相同,则确定所述待测网关的报文转发出现异常;若各验证报文的第一下一跳信息和第二下一跳信息均相同,则确定所述待测网关的报文转发正常。
在一种可能的实现方式中,还包括:
第三接收模块,被配置为接收使用场景变更前的验证网关发送的第三转发报文和使用场景变更后的验证网关发送的第四转发报文,所述第三转发报文中携带有验证报文的源地址、目的地址以及变更前的验证网关查找的第三下一跳信息;所述第二转发报文中携带有验证报文的源地址、目的地址以及变更后的验证网关查找的第四下一跳信息;所述使用场景变更包括所述验证网关随着对应的待测网关的变更而对应变更的场景;
第二比对模块,被配置为比对所述第三转发报文和所述第四转发报文,确定具有相同的源地址和目的地址的验证报文对应的第三下一跳信息和第四下一跳信息是否相同;
第二确定模块,被配置为若所述验证报文的第三下一跳信息和第四下一跳信息不相同,则确定验证报文的转发出现异常;若各验证报文的第三下一跳信息和第四下一跳信息均相同,则确定所述验证网关的报文转发正常。
上述各装置中涉及的技术术语和技术特征的解释和说明可参考上述对于图1至图2所示及相关实施方式的解释的说明,此处不再赘述。
本公开还公开了一种电子设备,图9示出根据本公开一实施方式的电子设备的结构框图,如图9所示,所述电子设备900包括存储器901和处理器902;其中,
所述存储器901用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器902执行以实现上述方法步骤。
图10是适于用来实现根据本公开实施例所述方法的计算机系统的结构示意图。
如图10所示,计算机系统1000包括处理单元1001,其可以根据存储在只读存储器(ROM)1002中的程序或者从存储部分1008加载到随机访问存储器(RAM)1003中的程序而执行上述实施方式中的各种处理。在RAM1003中,还存储有系统1000操作所需的各种程序和数据。处理单元1001、ROM1002以及RAM1003通过总线1004彼此相连。输入/输出(I/O)接口1005也连接至总线1004。
以下部件连接至I/O接口1005:包括键盘、鼠标等的输入部分1006;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分1007;包括硬盘等的存储部分1008;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至I/O接口1005。可拆卸介质1011,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器1010上,以便于从其上读出的计算机程序根据需要被安装入存储部分1008。其中,所述处理单元1001可实现为CPU、GPU、TPU、FPGA、NPU等处理单元。
特别地,根据本公开的实施方式,上文描述的方法可以被实现为计算机软件程序。例如,本公开的实施方式包括一种计算机程序产品,其包括有形地包含在及其可读介质上的计算机程序,所述计算机程序包含用于执行上文描述的方法的程序代码。在这样的实施方式中,该计算机程序可以通过通信部分1009从网络上被下载和安装,和/或从可拆卸介质1011被安装。
附图中的流程图和框图,图示了按照本公开各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,路程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
作为另一方面,本公开实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施方式中所述装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本公开实施例的方法。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开实施例中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims (13)

1.一种网关转发异常检测方法,其中,包括:
报文生成器生成验证报文,并将所述验证报文发送给云企业网的待测网关及其对应的验证网关,所述验证报文中携带有源地址和目的地址;
所述云企业网的待测网关基于所述源地址和目的地址查找其预存的第一路由表,得到第一下一跳信息,封装所述第一下一跳信息生成第一转发报文,并将所述第一转发报文转发至报文分析器;
所述验证网关基于所述源地址和目的地址查找其预存的第二路由表,得到第二下一跳信息,封装所述第二下一跳信息生成第二转发报文,并将所述第二转发报文转发至报文分析器;所述第二路由表包含所述第一路由表;
所述报文分析器比对所述第一转发报文和所述第二转发报文,确定具有相同的源地址和目的地址的验证报文对应的第一下一跳信息和第二下一跳信息是否相同;若所述验证报文的第一下一跳信息和第二下一跳信息不相同,则确定所述待测网关的报文转发出现异常;若所述第一路由表对应的各验证报文的第一下一跳信息和第二下一跳信息均相同,则确定所述待测网关的报文转发正常。
2.根据权利要求1所述的方法,其中,所述方法还包括:
在所述验证网关的使用场景变更前,所述报文生成器将所述验证报文发送给变更前的验证网关;所述使用场景变更包括所述验证网关随着对应的待测网关的变更而对应变更的场景;
所述变更前的验证网关基于所述源地址和目的地址查找其预存的变更前的路由表,得到第三下一跳信息,封装所述第三下一跳信息生成第三转发报文,并将所述第三转发报文转发至报文分析器;
在所述验证网关的使用场景变更后,所述报文生成器将所述验证报文发送给变更后的验证网关;
所述变更后的验证网关基于所述源地址和目的地址查找其预存的变更后的路由表,得到第四下一跳信息,封装所述第四下一跳信息生成第四转发报文,并将所述第四转发报文转发至报文分析器;
所述报文分析器比对所述第三转发报文和所述第四转发报文,确定具有相同的源地址和目的地址的验证报文对应的第三下一跳信息和第四下一跳信息是否相同;若所述验证报文的第三下一跳信息和第四下一跳信息不相同,则确定验证报文的转发出现异常;若变更后的待测网关的路由表对应的各验证报文的第三下一跳信息和第四下一跳信息均相同,则确定所述验证网关的变更正常。
3.根据权利要求2所述的方法,其中,在验证报文的转发出现异常时,所述方法还包括:
所述报文生成器将转发出现异常的验证报文发送给所述云企业网的待测网关;
所述云企业网的待测网关基于所述源地址和目的地址查找其预存的路由表,得到第五下一跳信息,封装所述第五下一跳信息生成第五转发报文,并将所述第五转发报文转发至报文分析器;
所述报文分析器比对所述第四转发报文和所述第五转发报文,确定具有相同的源地址和目的地址的验证报文对应的第四下一跳信息和第五下一跳信息是否相同;若出现异常的验证报文的第四下一跳信息和第五下一跳信息不同,确定所述验证网关变更异常;若出现异常的验证报文的第四下一跳信息和第五下一跳信息均相同,则确定所述验证网关变更正常。
4.根据权利要求1至3任一项所述的方法,其中,所述下一跳信息包括下一跳的IP地址和下一跳的虚拟扩展局域网网络标识VNI。
5.一种网关转发异常检测方法,其中,应用于报文生成器,包括:
生成验证报文,所述验证报文中携带有源地址和目的地址;
将所述验证报文发送给所述云企业网的待测网关和验证网关,以基于验证网关查询的下一跳信息与所述云企业网的待测网关的下一跳信息验证所述云企业网的待测网关的转发是否正常。
6.根据权利要求5所述的方法,其中,包括:
在所述验证网关的使用场景变更前,将所述验证报文发送给变更前的验证网关,在所述验证网关的使用场景变更后,将所述验证报文发送给变更后的验证网关,以便验证所述验证网关的变更是否正常,所述使用场景变更包括所述验证网关随着对应的待测网关的变更而对应变更的场景。
7.一种网关转发异常检测方法,其中,应用于云企业网的待测网关或验证网关,包括:
接收数据报文;
识别所述数据报文为验证报文时,基于所述数据报文中携带的源地址和目的地址查找预存的路由表,得到下一跳信息,将所述下一跳信息封装至数据报文中生成转发报文,并将所述转发报文转发至报文分析器,以便所述报文分析器分析所述数据报文的转发是否正常。
8.根据权利要求7所述的方法,其中,所述识别所述数据报文为验证报文,包括:
解封装所述数据报文,得到验证报文标识符时,确定所述数据报文为验证报文。
9.一种网关转发异常检测方法,其中,应用于报文分析器,包括:
接收所述云企业网的待测网关发送的第一转发报文和所述验证网关发送的第二转发报文,所述第一转发报文中携带有验证报文的源地址和目的地址,以及所述云企业网的待测网关查找的第一下一跳信息;所述第二转发报文中携带有验证报文的源地址和目的地址,以及所述验证网关查找的第二下一跳信息;
比对所述第一转发报文和所述第二转发报文,确定具有相同的源地址和目的地址的验证报文对应的第一下一跳信息和第二下一跳信息是否相同;
若所述验证报文的第一下一跳信息和第二下一跳信息不相同,则确定所述待测网关的报文转发出现异常;若各验证报文的第一下一跳信息和第二下一跳信息均相同,则确定所述待测网关的报文转发正常。
10.根据权利要求9所述的方法,其中,包括:
接收使用场景变更前的验证网关发送的第三转发报文和使用场景变更后的验证网关发送的第四转发报文,所述第三转发报文中携带有验证报文的源地址、目的地址以及变更前的验证网关查找的第三下一跳信息;所述第二转发报文中携带有验证报文的源地址、目的地址以及变更后的验证网关查找的第四下一跳信息;所述使用场景变更包括所述验证网关随着对应的待测网关的变更而对应变更的场景;
比对所述第三转发报文和所述第四转发报文,确定具有相同的源地址和目的地址的验证报文对应的第三下一跳信息和第四下一跳信息是否相同;
若所述验证报文的第三下一跳信息和第四下一跳信息不相同,则确定验证报文的转发出现异常;若各验证报文的第三下一跳信息和第四下一跳信息均相同,则确定所述验证网关的报文转发正常。
11.一种电子设备,包括存储器和处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述处理器执行以实现权利要求1至10任一项所述的方法步骤。
12.一种可读存储介质,其上存储有计算机指令,该计算机指令被处理器执行时实现权利要求1至10任一项所述的方法步骤。
13.一种计算机程序产品,包括计算机指令,该计算机指令被处理器执行时实现权利要求1至10任一项所述的方法步骤。
CN202210349408.4A 2022-04-01 2022-04-01 网关转发异常检测方法、设备、介质及产品 Pending CN114826987A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210349408.4A CN114826987A (zh) 2022-04-01 2022-04-01 网关转发异常检测方法、设备、介质及产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210349408.4A CN114826987A (zh) 2022-04-01 2022-04-01 网关转发异常检测方法、设备、介质及产品

Publications (1)

Publication Number Publication Date
CN114826987A true CN114826987A (zh) 2022-07-29

Family

ID=82532782

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210349408.4A Pending CN114826987A (zh) 2022-04-01 2022-04-01 网关转发异常检测方法、设备、介质及产品

Country Status (1)

Country Link
CN (1) CN114826987A (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572584A (zh) * 2008-04-30 2009-11-04 华为技术有限公司 报文错误检测方法、设备及系统
CN105207904A (zh) * 2014-06-25 2015-12-30 广州市动景计算机科技有限公司 报文的处理方法、装置和路由器
KR20180099293A (ko) * 2017-02-28 2018-09-05 한국전자통신연구원 신뢰 도메인간 통신 방법 및 이를 위한 게이트웨이
CN108540343A (zh) * 2018-03-27 2018-09-14 新华三技术有限公司 路径的检测方法及装置
CN110545229A (zh) * 2019-08-30 2019-12-06 瑞斯康达科技发展股份有限公司 一种vxlan轴心组网模式下的报文发送方法、装置
CN112929269A (zh) * 2021-03-09 2021-06-08 清华大学 互联网域间源地址验证表的分布式生成方法和装置
CN113489613A (zh) * 2021-07-16 2021-10-08 锐捷网络股份有限公司 报文转发方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572584A (zh) * 2008-04-30 2009-11-04 华为技术有限公司 报文错误检测方法、设备及系统
CN105207904A (zh) * 2014-06-25 2015-12-30 广州市动景计算机科技有限公司 报文的处理方法、装置和路由器
KR20180099293A (ko) * 2017-02-28 2018-09-05 한국전자통신연구원 신뢰 도메인간 통신 방법 및 이를 위한 게이트웨이
CN108540343A (zh) * 2018-03-27 2018-09-14 新华三技术有限公司 路径的检测方法及装置
CN110545229A (zh) * 2019-08-30 2019-12-06 瑞斯康达科技发展股份有限公司 一种vxlan轴心组网模式下的报文发送方法、装置
CN112929269A (zh) * 2021-03-09 2021-06-08 清华大学 互联网域间源地址验证表的分布式生成方法和装置
CN113489613A (zh) * 2021-07-16 2021-10-08 锐捷网络股份有限公司 报文转发方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
易著梁;: "基于NP策略路由中源地址路由功能的设计与实现", 广西民族大学学报(自然科学版), no. 03, 15 August 2013 (2013-08-15) *
李德威;曾鹏;肖金超;: "基于双向多路径的工业无线传感器网络路由维护机制", 小型微型计算机系统, no. 06, 15 June 2011 (2011-06-15) *

Similar Documents

Publication Publication Date Title
US9608841B2 (en) Method for real-time synchronization of ARP record in RSMLT cluster
CN108259299B (zh) 一种转发表项生成方法、装置及机器可读存储介质
US8625448B2 (en) Method and system for validating network traffic classification in a blade server
US10855480B2 (en) Systems and methods for processing packets in a computer network
CN108718269B (zh) 报文处理方法及装置
US7864666B2 (en) Communication control apparatus, method and program thereof
US10644969B2 (en) Method and system for network elements to internally probe their forwarding elements
JP2005006303A (ja) 仮想ネットワーク・アドレス
JP7416919B2 (ja) データ処理方法及び装置並びにコンピュータ記憶媒体
US9094323B2 (en) Probe packet discovery of entropy values causing specific paths to be taken through a network
US10574570B2 (en) Communication processing method and apparatus
CN106059946B (zh) 一种报文转发方法和装置
EP3306877B1 (en) Packet loss positioning in vxlan
US20190297001A1 (en) Route Detection Method and Network Device
CN110912727B (zh) 用于非侵入式网络性能监测的系统和方法
CN114465931A (zh) 网络探测方法、装置、电子设备及存储介质
CN114513429A (zh) 检测报文的传输方法、反向路径的确定方法及设备
US11811561B2 (en) Packet transmission method, device, and system
CN110311828B (zh) 一种网络验证的方法、装置、计算机存储介质及电子设备
CN111010362B (zh) 一种异常主机的监控方法及装置
US10333817B2 (en) Non-transitory computer-readable storage medium, communication device, and determination method
CN114826987A (zh) 网关转发异常检测方法、设备、介质及产品
CN109218059B (zh) 一种实现故障检测的方法、设备和系统
US10243785B1 (en) Active monitoring of border network fabrics
CN114765589A (zh) 网络测试方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination