CN115866038A - 透明代理方法、装置、电子设备及计算机可读存储介质 - Google Patents
透明代理方法、装置、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN115866038A CN115866038A CN202211512875.0A CN202211512875A CN115866038A CN 115866038 A CN115866038 A CN 115866038A CN 202211512875 A CN202211512875 A CN 202211512875A CN 115866038 A CN115866038 A CN 115866038A
- Authority
- CN
- China
- Prior art keywords
- packet
- source
- data packet
- vlan
- key field
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提出一种透明代理方法、装置、电子设备及计算机可读存储介质,属于网络通信技术领域,代理服务器在接收到第一设备发送的第一源数据包时,提取第一源数据包的关键字段和VLAN标识在映射表中建立映射关系,并移除第一源数据包的VLAN标识后,对第一源数据包进行检测处理得到第一响应数据包,进而根据第一响应数据包的关键字段从映射表中查询出目标VLAN标识,并在第一响应数据包上添加目标VLAN标识后发送至第一设备或第二设备,使得代理服务器无需为每个VLAN配置对应的VLAN子接口来处理带有VLAN的源数据包,极大地减小了代理服务器的资源开销,并能够降低维护难度和维护成本。
Description
技术领域
本发明涉及网络通信技术领域,具体而言,涉及一种透明代理方法、装置、电子设备及计算机可读存储介质。
背景技术
企业网络为了隔离广播域、节约资源及便于管理,通常会划分多个虚拟局域网(Virtual Local Area Network,VLAN)网络,网络间的主机通过虚拟局域网中继技术(VLANTrunk)实现互通。同时,企业为了增强网络的安全性,会部署相应的安全设备或网络设备,比如应用防火墙。
为了不改变原有的网络拓扑,设安全设备或网络设备大多采用透明代理的方式接入虚拟局域网中,作为代理服务器位于客户端与服务器之间,客户端先与代理服务器建立连接进行通信。然而,目前的透明代理方法中代理服务器需要存储网络中所有VLAN对应的VLAN子接口配置,当VLAN数量较多时,需要消耗大量的代理服务器资源,且维护成本高。
发明内容
有鉴于此,本发明的目的在于提供一种透明代理方法、装置、电子设备及计算机可读存储介质,其能够改善传统的透明代理方法需要消耗大量的代理服务器资源,且维护成本高的问题。
为了实现上述目的,本发明实施例采用的技术方案如下:
第一方面,本发明实施例提供一种透明代理方法,应用于代理服务器,所述方法包括:
接收到第一设备发送的第一源数据包时,提取所述第一源数据包的关键字段和VLAN标识,并在映射表中建立所述关键字段与所述VLAN标识的映射关系;
移除所述第一源数据包的VLAN标识,并对移除VLAN标识后的第一源数据包进行检测处理,得到第一响应数据包;
提取所述第一响应数据包的关键字段,根据所述关键字段查询所述映射表,得到所述第一响应数据包的目标VLAN标识,并在所述第一响应数据包上添加所述目标VLAN标识后发送至所述第一设备或第二设备;
其中,所述第二设备为所述第一源数据包下一跳的目标设备,所述第一设备和/或所述第二设备为虚拟局域网中的网络设备。
进一步地,所述第一设备与所述代理服务器的上行接口连接,所述第二设备与所述代理服务器的下行接口连接,所述方法还包括:
接收所述第二设备发送的第二源数据包;其中,所述第二源数据包为所述第一源数据包的响应数据;
移除所述第二源数据包中的VLAN标识,并对移除VLAN标识后的第二源数据包进行检测处理,得到第二响应数据包;
提取所述第二响应数据包的关键字段,根据所述关键字段查询所述映射表,得到所述第二响应数据包的目标VLAN标识,并在所述第二响应数据包上添加所述目标VLAN标识后发送至所述第一设备。
进一步地,所述提取所述第一源数据包的关键字段的步骤,包括:
对所述第一源数据包进行解析,提取所述第一源数据包的目的IP和源IP;
所述在映射表中建立所述关键字段与所述VLAN标识的映射关系的步骤,包括:
在映射表中建立所述目标IP和所述VLAN标识的映射关系,以及所述源IP与所述VLAN标识的映射关系。
进一步地,所述提取所述第一响应数据包的关键字段,根据所述关键字段查询所述映射表,得到所述第一响应数据包的目标VLAN标识的步骤,包括:
对所述第一响应数据包进行解析,提取所述第一响应数据包的目的IP或源IP;
从所述映射表中确定出与所述目标IP或所述源IP具有映射关系的VLAN标识,作为目标VLAN标识。
进一步地,所述提取所述第二响应数据包的关键字段的步骤,包括:
若所述第二响应数据包为包括ARP协议的数据包,则从所述源数据包中提取出源IP;
若所述第二响应数据包不是包括ARP协议的数据包,则从所述源数据包中提取目的IP。
进一步地,所述对移除VLAN标识后的第一源数据包进行检测处理,得到第一响应数据包的步骤,包括:
基于预设的安全检测规则,对移除VLAN标识后的第一源数据包进行安全检测,得到检测结果;
若所述检测结果为安全,则将所述第一源数据包作为第一响应数据包;
若所述检测结果为不安全,则将拦截数据添加所述第一源数据包的关键字段后作为第一响应数据包;
所述将所述第一响应数据发送至所述第一设备或第二设备的步骤,包括:
若所述检测结果为安全,则将添加VLAN标识后的第一响应数据发送至第二设备;
若所述检测结果为不安全,则将添加VLAN标识后的第二响应数据返回至所述第一设备。
进一步地,当所述第二源数据包不是所述第一源数据包的响应数据时,在所述移除所述第二源数据包中的VLAN标识的步骤之前,所述方法还包括:
提取所述第二源数据包的关键字段和VLAN标识,并在映射表中建立所述关键字段与所述VLAN标识的映射关系。
第二方面,本发明实施例提供一种透明代理装置,应用于代理服务器,所述透明代理装置包括第一处理模块和第二处理模块;
所述第一处理模块,用于接收到第一设备发送的第一源数据包时,提取所述第一源数据包的关键字段和VLAN标识,并在映射表中建立所述关键字段与所述VLAN标识的映射关系;
所述第二处理模块,用于移除所述第一源数据包的VLAN标识,并对移除VLAN标识后的第一源数据包进行检测处理,得到第一响应数据包;
所述第一处理模块,还用于提取所述第一响应数据包的关键字段,根据所述关键字段查询所述映射表,得到所述第一响应数据包的目标VLAN标识,并在所述第一响应数据包上添加所述目标VLAN标识后发送至所述第一设备或第二设备;
其中,所述第二设备为所述第一源数据包下一跳的目标设备,所述第一设备和/或所述第二设备为虚拟局域网中的网络设备。
第三方面,本发明实施例提供一种电子设备,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的计算机程序,所述处理器可执行所述计算机程序以实现如第一方面所述的透明代理方法。
第四方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的透明代理方法。
本发明实施例提供的透明代理方法、装置、电子设备及计算机可读存储介质,代理服务器在接收到第一设备发送的第一源数据包时,提取第一源数据包的关键字段和VLAN标识在映射表中建立映射关系,并移除第一源数据包的VLAN标识后,对第一源数据包进行检测处理得到第一响应数据包,进而根据第一响应数据包的关键字段从映射表中查询出目标VLAN标识,并在第一响应数据包上添加目标VLAN标识后发送至第一设备或第二设备,使得代理服务器无需为每个VLAN配置对应的VLAN子接口来处理带有VLAN的源数据包,极大地减小了代理服务器的资源开销,并能够降低维护难度和维护成本。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明实施例提供的透明代理系统的结构示意图。
图2示出了本发明实施例提供的第一代理服务器或第二代理服务器的方框示意图。
图3示出了本发明实施例提供的透明代理方法的流程示意图之一。
图4示出了本发明实施例提供的透明代理方法的流程示意图之二。
图5示出了图3中步骤S12的部分子步骤的流程示意图。
图6示出了图3中步骤S13的部分子步骤的流程示意图。
图7示出了本发明实施例提供的透明代理装置的方框示意图。
图8示出了本发明实施例提供的电子设备的方框示意图。
附图标记:100-透明代理系统;110-服务器;120-第一代理服务器;130-第二代理服务器;140-网络设备;150-主机;160-透明代理装置;170-第一处理模块;180-第二处理模块;190-电子设备。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
在虚拟局域网中,为了增强网络的安全性,会部署响应的安全设备或网络设备,例如应用防火墙。为了不改变原有的网络拓扑,安全设备或网络设备大多采用透明代理的方式进入至虚拟局域网中,作为代理服务器位于客户端与服务器之间,客户端先与代理服务器建立连接进行通信。然而,代理服务器一般为64位系统,不能对VLAN标识进行处理。
目前,一种常见的透明代理方法是:当本地VLAN创建时,需要在代理服务器上配置VLAN子接口且标识该VLAN,代理服务器在获取客户端数据包的VLAN标识后,查找该VLAN标识对应的VLAN子接口处理该数据包。这种透明代理方法中,代理服务器需要存储虚拟局域中所有VLAN对应的VLAN子接口配置,当VLAN数量较多时,需要消耗大量的代理服务器资源,而且维护成本高。
另一种常见的透明代理方法是:预先在代理服务器上设置虚拟VLAN标识、虚拟VLAN子接口及与本地VLAN标识对应的虚拟网关,代理服务器在收到客户端数据包后,将VLAN标识修改为预设的虚拟VLAN标识,生成目标数据包之后,再将目标数据包VLAN标识改为源VLAN标识,并发送虚拟网关处理。这种透明代理方法中,代理服务器需要预设虚拟的VLAN标识、子接口及虚拟网关,相较于前一种透明代理方法,尽管不依赖本地VLAN数量,降低了代理服务器的资源消耗,但是虚拟VLAN的维护成本依然很高。
基于上述考虑,本发明实施例提供一种透明代理方法,其能够改善目前的透明代理方法所存在的代理服务器的资源消耗大,且维护成本高的问题。以下,对该透明代理方法进行介绍。
本发明实施例提供的透明代理方法,可以应用于图1所示的透明代理系统100中,该透明代理系统100包括服务器110、多个网络设备140、第一代理服务器120以及多个第二代理服务器130,每个网路设备通过VLAN网络与多个主机150通信连接,每两个网络设备140间通过一个第二代理服务器130通信连接,且每个网络设备140通过第一代理服务器120与服务器110通信连接。
其中,网络设备140可以是但不限于是:路由器和交换机。
第一代理服务器120以及第二代理服务器130,均可以实现本发明实施例提供的透明代理方法。
第一代理服务器120和第二代理服务器130均包括上行接口和下行接口,参照图,可以如图2所示。服务器110与第一代理服务器120的下行接口连接,每个网络设备140均与第一代理服务器120的上行接口连接。对于第一代理服务器120而言,网络设备140可以根据需求与第一代理服务器120的上行接口或下行接口连接。
需要说明的是,第一代理服务器120和第二代理服务器130上均运行有代理服务程序,代理服务程序能够基于预设的安全检测规则,对数据包进行安全检测,得到检测结果。
在一种可能的实施方式中,提供一种透明代理方法,参照图3,包括以下步骤。
S11,接收到第一设备发送的第一源数据包时,提取第一源数据包的关键字段和VLAN标识,并在映射表中建立关键字段与VLAN标识的映射关系。
需要说明的是,第一源数据包的关键字段至少为两个。
S12,移除第一源数据包的VLAN标识,并对移除VLAN标识后的第一源数据包进行检测处理,得到第一响应数据包。
S13,提取第一响应数据包的关键字段,根据关键字段查询映射表,得到第一响应数据包的目标VLAN标识,并在第一响应数据包上添加目标VLAN标识后发送至第一设备或第二设备。
第二设备为第一源数据包下一跳的目标设备,第一设备和/或第二设备为虚拟局域网中的网络设备140。
应当理解的是,第一响应数据包的关键字段为第一源数据包的关键字段。
以上述透明代理方法应用于图1中的第一代理服务器120来举例说明,此时,服务器110为第二设备,网络设备140为第一设备。网络设备140将从下联的任一主机150发送的目标为服务器110的数据包后,将该数据包作为第一源数据包(可能是任一种访问请求)发送至第一代理服务器120的上行接口。
第一代理服务器120接收到该第一源数据包时,提取第一源数据包的关键字段和VLAN标识在映射表中建立映射关系,并移除第一源数据包的VLAN标识后交由第一代理服务器120程序进行检测处理,得到第一响应数据(第一响应数据包可能是拦截数据,也有可能是第一源数据包)。从映射表中查找出与第一响应数据包的关键字段具有映射关系的目标VLAN标识,并在第一响应数据包上添加该目标VLAN标识后,将第一响应数据包发送给服务器110,或者将第一响应数据包发送给网络设备140。
需要说明的时,当上述透明代理方法应用于图1中的第二代理设备时,与第二代理服务器130的上行接口连接的网络设备140为第二设备,与第二代理服务器130的下行接口连接的网络设备140为第一设备,且处理过程与上述应用于第一代理服务器120的逻辑相同,本实施方式中不再做赘述。
与传统的透明代理方法相比,本发明实施例提供的透明代理方法,使代理服务器无需为每个VLAN配置对应的VLAN子接口来处理带有VLAN的源数据包,极大地减小了代理服务器的资源开销。同时,代理服务器也无需设置虚拟VLAN表示、子接口及虚拟网关,能够极大地降低维护难度和维护成本。
考虑到第一源数据包发送至第二设备时,第二设备会返回第一源数据包(访问请求)的响应数据(访问数据)。因此,为了进一步减小资源开销,并提高数据传输的安全性,参照图4,本发明实施例提供的透明代理方法还包括以下步骤。
S14,接收第二设备发送的第二源数据包。
在本实施方式中,第二源数据包为第一源数据包真实的响应数据,且第二源数据包的关键字段为第一源数据包的关键字段的至少一个。
S15,移除第二源数据包中的VLAN标识,并对移除VLAN标识后的第二源数据包进行检测处理,得到第二响应数据包。
S16,提取第二响应数据包的关键字段,根据关键字段查询映射表,得到第二响应数据包的目标VLAN标识,并在第二响应数据包上添加目标VLAN标识后发送至第一设备。
需要说明的是,第二源数据包的VLAN标识与第一源数据包的VLAN标识一致,且代理服务程序对第二源数据包的检测结果为安全时,第二响应数据包即为第二源数据包,若检测结果为不安全时,第二响应数据包包括但不限于是:访问失败数据。
第一代理服务器120接收到第二源数据包后,使用代理服务程序对移除VLAN标识后的第二源数据包进行检测处理,若检测结果为安全,则将第二源数据包作为第二响应数据包,否则,将访问失败数据添加第二源数据包的关键字段后作为第二响应数据包。进而,在从映射表中查找出与第二响应数据包的关键字段具有映射关系的目标VLAN标识,并在第二响应数据包上添加目标VLAN标识后发送至第一设备。
应当理解的是,由于第二源数据包的关键字段为第一源数据包关键字段的至少一个。因此,在已经建立第一源数据包的关键字段与VLAN标识的映射关系的基础上,无需再次建立第二源数据包的关键字段与VLAN标识的映射关系。但基于数据顺利发送的考虑,也可以在对第二源数据包进行检测处理之前,提取第二源数据包的VLAN标识和关键字段建立映射关系。
考虑到第二源数据包可能不是第一源数据包的响应数据,故而,当第二源数据包不是第一源数据包的响应数据时,在移除第二源数据包的响应数据之前,本发明实施例提供的透明代理方法还可以包括:提取第二源数据包的关键字段和VLAN标识,并在映射表中建立关键字段与VLAN标识的映射关系。
关键字段的选择可以灵活设置,例如,是第一源数据包或第二源数据包中共有的特征信息,也可以是IP地址,在本实施方式中,不作具体限定。
为了使第一源数据包及第二源数据包均能顺利传输,在一种可能的实施方式中,第一源数据包的关键字段包括目的IP和源IP,第二源数据包及第二响应数据的关键字段包括目的IP和/或源IP。应当理解的是,第二响应数包及第二源数据包的目的IP为第一源数据包的源IP,第二响应数包及第二源数据包的源IP为第一源数据包的目的IP。
步骤S11中提取第一源数据包的关键字段的方式可以进一步实施为:对第一源数据包进行解析,提取第一源数据包的目的IP和源IP。
在上述基础上,步骤S11中在映射表中建立关键字段与VLAN标识的映射关系的方式可以进一步实施为:在映射表中建立目标IP和VLAN标识的映射关系,以及源IP与VLAN标识的映射关系。
同理,步骤S16中提取第二响应数据包的关键字段的方式可以进一步实施为:若第二响应数据包为包括ARP协议的数据包,则从源数据包中提取出源IP;若第二响应数据包不是包括ARP协议的数据包,则从源数据包中提取目的IP。
对移除VLAN标识后的第一源数据包进行检测处理方式可以灵活选择,例如,可以是按照预设规则进行检测,也可以是采用神经网络进行检测,在本实施方式中,不作具体限定。
在一种可能的实施方式中,参照图5,S12中对移除VLAN标识后的第一源数据包进行检测处理,得到第一响应数据包的方式可以进一步实施为以下步骤。
S121,基于预设的安全检测规则,对移除VLAN标识后的第一源数据包进行安全检测,得到检测结果。若检测结果为安全,则执行步骤S122,否则,执行步骤S133。
S122,将第一源数据包作为第一响应数据包。
S123,将拦截数据添加第一源数据包的关键字段后作为第一响应数据包。
检测结果为安全时,将添加VLAN标识后的第一响应数据发送至第二设备。检测结果为不安全时,将添加VLAN标识后的第二响应数据返回至第一设备。
在上述基础上,在一种可能的实施方式中,参照图6,步骤S13可以通过以下步骤得到目标VLAN标识。
S131,对第一响应数据包进行解析,提取第一响应数据包的目的IP或源IP。
S132,从映射表中确定出与目标IP或源IP具有映射关系的VLAN标识,作为目标VLAN标识。
通过上述步骤S131-S132,能够快速确定出第一响应数据包的目标VLAN标识。
同理,在步骤S16中,将上述步骤S131-S132中的“第一响应数据包”替换为“第二响应数据包”,即可得到第二响应数据包的目标VLAN标识。
本发明实施例提供的透明代理方法,在对虚拟局域网的网络设备140的数据包进行安全检测的同时,无需在代理服务器上配置或预设任何VLAN标识或VLAN子接口,便可实现透明代理下的VLAN Trunk通信,不受本地VLAN的数量的影响,能够极大地降低代理服务器的资源消耗,并降低维护难度和维护成本低。
基于上述透明代理方法的发明构思,在一种可能的实施方式中,本发明实施例还提供一种透明代理装置160,该透明代理装置160既可以应用于图1中的第一代理服务器120,也可以应用于图1中的第二代理服务器130。参照图7,该透明代理装置160可以包括第一处理模块170和第二处理模块180。
第一处理模块170,用于接收到第一设备发送的第一源数据包时,提取第一源数据包的关键字段和VLAN标识,并在映射表中建立关键字段与所述VLAN标识的映射关系。
第二处理模块180,用于移除第一源数据包的VLAN标识,并对移除VLAN标识后的第一源数据包进行检测处理,得到第一响应数据包。
第一处理模块170,还用于提取第一响应数据包的关键字段,根据关键字段查询所述映射表,得到第一响应数据包的目标VLAN标识,并在第一响应数据包上添加目标VLAN标识后发送至第一设备或第二设备。
其中,第二设备为第一源数据包下一跳的目标设备,第一设备和/或第二设备为虚拟局域网中的网络设备140。
进一步地,第一处理模块170,还用于接收第二设备发送的第二源数据包。
第二处理模块180,还用于移除第二源数据包中的VLAN标识,并对移除VLAN标识后的第二源数据包进行检测处理,得到第二响应数据包。
第一处理模块170,还用于提取第二响应数据包的关键字段,根据关键字段查询映射表,得到第二响应数据包的目标VLAN标识,并在第二响应数据包上添加目标VLAN标识后发送至第一设备。
上述透明代理装置160中,通过第一处理模块170和第二处理模块180的协同作用,使代理服务器无需为每个VLAN配置对应的VLAN子接口来处理带有VLAN的源数据包,极大地减小了代理服务器的资源开销。同时,代理服务器也无需设置虚拟VLAN表示、子接口及虚拟网关,能够极大地降低维护难度和维护成本。
关于透明代理装置160的具体限定可以参见上文中对于透明代理方法的限定,在此不再赘述。上述透明代理装置160中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于电子设备中的处理器中,也可以以软件形式存储于电子设备的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一种实施方式中,提供了一种电子设备190,该电子设备190可以是服务器,其内部结构图可以如图8所示。该电子设备190包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该电子设备190的处理器用于提供计算和控制能力。该电子设备190的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备190的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该计算机程序被处理器执行时实现如上述实施方式提供的透明代理方法。
图8中示出的结构,仅仅是与本发明方案相关的部分结构的框图,并不构成对本发明方案所应用于其上的电子设备190的限定,具体的电子设备190可以包括比图8中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一种实施方式中,本发明提供的透明代理装置160可以实现为一种计算机程序的形式,计算机程序可在如图8所示的电子设备190上运行。电子设备190的存储器中可存储组成该透明代理装置160的各个程序模块,比如,图7所示的第一处理模块170和第二处理模块180。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的透明代理方法中的步骤。
例如,图8所示的电子设备190可以通过如图7所示的透明代理装置160中的第一处理模块170执行步骤S11。电子设备190可以通过第二处理模块180执行步骤S12。电子设备190可以通过第一处理模块170执行步骤S13。
在一种实施方式中,提供了一种电子设备190,包括存储器和处理器,该存储器存储有计算机程序,该处理器执行计算机程序时实现以下步骤:接收到第一设备发送的第一源数据包时,提取第一源数据包的关键字段和VLAN标识,并在映射表中建立关键字段与VLAN标识的映射关系;移除第一源数据包的VLAN标识,并对移除VLAN标识后的第一源数据包进行检测处理,得到第一响应数据包;提取第一响应数据包的关键字段,根据关键字段查询映射表,得到第一响应数据包的目标VLAN标识,并在第一响应数据包上添加目标VLAN标识后发送至第一设备或第二设备。
在一种实施方式中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现如下步骤:接收到第一设备发送的第一源数据包时,提取第一源数据包的关键字段和VLAN标识,并在映射表中建立关键字段与VLAN标识的映射关系;移除第一源数据包的VLAN标识,并对移除VLAN标识后的第一源数据包进行检测处理,得到第一响应数据包;提取第一响应数据包的关键字段,根据关键字段查询映射表,得到第一响应数据包的目标VLAN标识,并在第一响应数据包上添加目标VLAN标识后发送至第一设备或第二设备。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种透明代理方法,其特征在于,应用于代理服务器,所述方法包括:
接收到第一设备发送的第一源数据包时,提取所述第一源数据包的关键字段和VLAN标识,并在映射表中建立所述关键字段与所述VLAN标识的映射关系;
移除所述第一源数据包的VLAN标识,并对移除VLAN标识后的第一源数据包进行检测处理,得到第一响应数据包;
提取所述第一响应数据包的关键字段,根据所述关键字段查询所述映射表,得到所述第一响应数据包的目标VLAN标识,并在所述第一响应数据包上添加所述目标VLAN标识后发送至所述第一设备或第二设备;
其中,所述第二设备为所述第一源数据包下一跳的目标设备,所述第一设备和/或所述第二设备为虚拟局域网中的网络设备。
2.根据权利要求1所述的透明代理方法,其特征在于,所述第一设备与所述代理服务器的上行接口连接,所述第二设备与所述代理服务器的下行接口连接,所述方法还包括:
接收所述第二设备发送的第二源数据包;其中,所述第二源数据包为所述第一源数据包的响应数据;
移除所述第二源数据包中的VLAN标识,并对移除VLAN标识后的第二源数据包进行检测处理,得到第二响应数据包;
提取所述第二响应数据包的关键字段,根据所述关键字段查询所述映射表,得到所述第二响应数据包的目标VLAN标识,并在所述第二响应数据包上添加所述目标VLAN标识后发送至所述第一设备。
3.根据权利要求1或2所述的透明代理方法,其特征在于,所述提取所述第一源数据包的关键字段的步骤,包括:
对所述第一源数据包进行解析,提取所述第一源数据包的目的IP和源IP;
所述在映射表中建立所述关键字段与所述VLAN标识的映射关系的步骤,包括:
在映射表中建立所述目标IP和所述VLAN标识的映射关系,以及所述源IP与所述VLAN标识的映射关系。
4.根据权利要求3所述的透明代理方法,其特征在于,所述提取所述第一响应数据包的关键字段,根据所述关键字段查询所述映射表,得到所述第一响应数据包的目标VLAN标识的步骤,包括:
对所述第一响应数据包进行解析,提取所述第一响应数据包的目的IP或源IP;
从所述映射表中确定出与所述目标IP或所述源IP具有映射关系的VLAN标识,作为目标VLAN标识。
5.根据权利要求2所述的透明代理方法,其特征在于,所述提取所述第二响应数据包的关键字段的步骤,包括:
若所述第二响应数据包为包括ARP协议的数据包,则从所述源数据包中提取出源IP;
若所述第二响应数据包不是包括ARP协议的数据包,则从所述源数据包中提取目的IP。
6.根据权利要求1或2所述的透明代理方法,其特征在于,所述对移除VLAN标识后的第一源数据包进行检测处理,得到第一响应数据包的步骤,包括:
基于预设的安全检测规则,对移除VLAN标识后的第一源数据包进行安全检测,得到检测结果;
若所述检测结果为安全,则将所述第一源数据包作为第一响应数据包;
若所述检测结果为不安全,则将拦截数据添加所述第一源数据包的关键字段后作为第一响应数据包;
所述将所述第一响应数据发送至所述第一设备或第二设备的步骤,包括:
若所述检测结果为安全,则将添加VLAN标识后的第一响应数据发送至第二设备;
若所述检测结果为不安全,则将添加VLAN标识后的第二响应数据返回至所述第一设备。
7.根据权利要求2所述的透明代理方法,其特征在于,当所述第二源数据包不是所述第一源数据包的响应数据时,在所述移除所述第二源数据包中的VLAN标识的步骤之前,所述方法还包括:
提取所述第二源数据包的关键字段和VLAN标识,并在映射表中建立所述关键字段与所述VLAN标识的映射关系。
8.一种透明代理装置,其特征在于,应用于代理服务器,所述透明代理装置包括第一处理模块和第二处理模块;
所述第一处理模块,用于接收到第一设备发送的第一源数据包时,提取所述第一源数据包的关键字段和VLAN标识,并在映射表中建立所述关键字段与所述VLAN标识的映射关系;
所述第二处理模块,用于移除所述第一源数据包的VLAN标识,并对移除VLAN标识后的第一源数据包进行检测处理,得到第一响应数据包;
所述第一处理模块,还用于提取所述第一响应数据包的关键字段,根据所述关键字段查询所述映射表,得到所述第一响应数据包的目标VLAN标识,并在所述第一响应数据包上添加所述目标VLAN标识后发送至所述第一设备或第二设备;
其中,所述第二设备为所述第一源数据包下一跳的目标设备,所述第一设备和/或所述第二设备为虚拟局域网中的网络设备。
9.一种电子设备,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的计算机程序,所述处理器可执行所述计算机程序以实现如权利要求1至7中任一项所述的透明代理方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的透明代理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211512875.0A CN115866038A (zh) | 2022-11-28 | 2022-11-28 | 透明代理方法、装置、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211512875.0A CN115866038A (zh) | 2022-11-28 | 2022-11-28 | 透明代理方法、装置、电子设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115866038A true CN115866038A (zh) | 2023-03-28 |
Family
ID=85667901
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211512875.0A Pending CN115866038A (zh) | 2022-11-28 | 2022-11-28 | 透明代理方法、装置、电子设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115866038A (zh) |
-
2022
- 2022-11-28 CN CN202211512875.0A patent/CN115866038A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2022202068B2 (en) | Rule-based network-threat detection | |
| CN107241186B (zh) | 网络设备和用于网络通信的方法 | |
| CN111614605B (zh) | 用于配置防火墙的方法、安全管理系统和计算机可读介质 | |
| US9654395B2 (en) | SDN-based service chaining system | |
| US20230188598A1 (en) | Mirroring network traffic of virtual networks at a service provider network | |
| CN109802985B (zh) | 数据传输方法、装置、设备及可读取存储介质 | |
| US10742607B2 (en) | Application-aware firewall policy enforcement by data center controller | |
| EP3248328B1 (en) | A data driven orchestrated network using a light weight distributed sdn controller | |
| EP3021534B1 (en) | A network controller and a computer implemented method for automatically define forwarding rules to configure a computer networking device | |
| US20160301603A1 (en) | Integrated routing method based on software-defined network and system thereof | |
| US10375193B2 (en) | Source IP address transparency systems and methods | |
| EP3188440B1 (en) | Network session data sharing | |
| EP3257202B1 (en) | Correlating packets in communications networks | |
| US20060059552A1 (en) | Restricting communication service | |
| US10178068B2 (en) | Translating network attributes of packets in a multi-tenant environment | |
| JP2006339933A (ja) | ネットワークアクセス制御方法、およびシステム | |
| US11533388B2 (en) | Method and device for analyzing service-oriented communication | |
| JP2019525604A (ja) | ネットワーク機能nf管理方法及びnf管理装置 | |
| EP3836495B1 (en) | Communication method and communication device | |
| CN115866038A (zh) | 透明代理方法、装置、电子设备及计算机可读存储介质 | |
| EP3817341B1 (en) | Bulk configuration of devices behind a network address translation device | |
| CN106067864B (zh) | 一种报文处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |