WO2015117337A1

WO2015117337A1 - 网络规则条目的设置方法及装置

Info

Publication number: WO2015117337A1
Application number: PCT/CN2014/087229
Authority: WO
Inventors: 魏志峰
Original assignee: 中兴通讯股份有限公司
Priority date: 2014-07-18
Filing date: 2014-09-23
Publication date: 2015-08-13
Also published as: ES2749884T3; CN105323173B; EP3171556A1; PL3171556T3; CN105323173A; EP3171556B1; EP3171556A4; US20170237706A1

Abstract

本发明公开了一种网络规则条目的设置方法及装置，其中，网络规则条目的设置方法包括：第一设备检测第二设备的域名解析请求所请求解析的第一域名是否与预设的第二域名匹配，其中，第二设备为第一设备下挂的设备；当第一域名与所述第二域名匹配时，第一设备从解析请求的响应中获取第一域名对应的IP地址；第一设备将第二域名对应的规则条目中的IP地址设置为第一域名对应的IP地址。通过本发明，无需事先知晓所有网站的IP地址，并且在网站的IP地址发生变化时可以及时更新规则条目。

Description

网络规则条目的设置方法及装置

技术领域

本发明涉及通信领域，具体而言，涉及一种网络规则条目的设置方法及装置。

背景技术

相关技术中，多采用通过配置IP地址或地址段的策略路由的方式实现控制选路。路由是指路由器从一个接口上收到数据包，根据数据包的目的地址进行定向并转发到另一个接口的过程。

在相关技术中，采用通过配置IP地址或地址段的静态路由或设置iptables规则方式来控制选路，iptables是Linux内核集成的IP信息包过滤系统，它建立在网络过滤器(netfilter)架构基础上，通过iptables命令配置“规则”来管理网络封包的流动与转送的动作。

在上述的方式下，控制设备需要事先知晓所有要控制选路的网站的IP地址，并选择合适策略设置单个IP地址或地址段。然而，网站的IP地址会动态增加或变化，在配置固定的IP地址或地址段为静态路由或IP表规则的情况下，需要不断的重新设置，并且存在更新不及时的情况。

针对相关技术中如何设置网络规则条目的问题，目前尚未提出有效的解决方案。

发明内容

针对如何设置网络规则条目的问题，本发明提供了一种网络规则条目的设置方法及装置，以至少解决上述问题。

根据本发明的一个实施例，提供了一种网络规则条目的设置方法，包括：第一设备检测第二设备的域名解析请求所请求解析的第一域名是否与预设的第二域名匹配，其中，所述第二设备为所述第一设备下挂的设备；当所述第一域名与所述第二域名匹配时，所述第一设备从所述解析请求的响应中获取所述第一域名对应的IP地址；所述第一设备将所述第二域名对应的规则条目中的IP地址设置为所述第一域名对应的IP地址。

优选地，所述第二域名由通配符和次级域名组成。

优选地，所述规则条目包括选择网络路径的规则。

优选地，所述网络路径为转发数据包所使用的广域网(Wide Area Network，简称为)WAN连接。

优选地，所述第一设备将所述第二域名对应的规则条目中的IP地址设置为所述第一域名对应的IP地址之后，还包括：所述第一设备接收所述第二设备的网络访问请求，其中，所述网络访问请求中携带有要访问的IP地址；所述第一设备查找所述要访问的IP地址对应的规则条目；当查找到所述要访问的IP地址对应的规则条目时，所述第一设备根据查找到的规则条目控制网络访问。

优选地，所述第一设备根据查找到的规则条目控制网络访问，包括：所述第一设备按照所述查找到的规则条目选择指定的WAN连接发送数据包。

根据本发明的另一个实施例，提供了一种网络规则条目的设置装置，位于第一设备，包括：检测模块，设置为检测第二设备的域名解析请求所请求解析的第一域名是否与预设的第二域名匹配，其中，所述第二设备为第一设备下挂的设备；获取模块，设置为当所述第一域名与所述第二域名匹配时，从所述解析请求的响应中获取所述第一域名对应的IP地址；设置模块，设置为将所述第二域名对应的规则条目中的IP地址设置为所述第一域名对应的IP地址。

优选地，所述第二域名由通配符和次级域名组成。

优选地，所述规则条目包括选择网络路径的规则。

优选地，所述网络路径为转发数据包所使用的WAN连接。

优选地，上述装置还包括：接收模块，设置为接收所述第二设备的网络访问请求，其中，所述网络访问请求中携带有要访问的IP地址；查找模块，设置为查找所述要访问的IP地址对应的规则条目；控制模块，设置为当查找到所述要访问的IP地址对应的规则条目时，根据查找到的规则条目控制网络访问。

优选地，所述控制模块，设置为按照所述查找到的规则条目选择指定的WAN连接发送数据包。

通过本发明，第一设备检测其下挂的第二设备的域名解析请求所请求解析的第一域名是否与预设的第二域名匹配；当第一域名与第二域名匹配时，第一设备从解析请求的响应中获取第一域名对应的IP地址，将第二域名对应的规则条目中的IP地址设置为第一域名对应的IP地址。由于第一设备从解析请求的响应中获取域名对应的IP地址，从而无需事先知晓所有网站的IP地址，并且在网站的IP地址发生变化时可以及时更新规则条目。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的网络规则条目的设置方法的流程图；

图2是根据相关技术的网络组网的示意图；

图3是根据本发明实施例的域名通配符设置和数据转发选路的流程图；

图4是根据本发明实施例的网络访问的流程图；以及

图5是根据本发明实施例的网络规则条目的设置装置的结构框图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

域名系统(Domain Name System，简称为DNS)是因特网上作为域名和IP地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读取的IP地址。通过主机名，最终得到该主机名对应的IP地址的过程叫做域名解析(或主机名解析)。通常域名解析需要由专门的域名解析服务器来完成。DNS协议运行在用户数据报协议(User Datagram Protocol，简称为UDP)之上，通常所使用的端口号为53。在RFC文档中RFC2181对DNS有规范说明，RFC2136对DNS的动态更新进行说明，RFC 2308对DNS查询的反向缓存进行说明。

一般的，当应用过程需要将一个主机域名映射为IP地址时，可以调用域名解析函数，解析函数将待转换的域名放在域名解析请求中，以UDP报文方式发给本地域名服务器。本地的域名服务器查到域名后，将对应的IP地址放在应答报文中返回。同时域名服务器还必须具有连向其他服务器的信息以支持不能解析时的转发。若域名服务器不能回答该请求，则此域名服务器就暂成为DNS中的另一个客户，向根域名服务器发出请求解析，根域名服务器一定能找到下面的所有二级域名的域名服务器，这样以此类推，一直向下解析，直到查询到所请求的域名。

在通信系统中存在多种网络路径，例如，公网和专网，公网指互联网，提供各种网络业务；专网是专用网络，为满足特殊业务和服务质量的需要而组建的网络，由于这种网络与外界相对隔离，网络干扰小，从而能提供高质量的服务。作为网络控制的一个例子，可以根据域名选择访问网络的路径，例如，通过公网还是通过专网访问网络。但本发明实施例并不限于此。

在本发明实施例中，可以针对不同的域名设置不同的规则条目，以实现对网络访问的控制。可以预料的是，以下实施例的方法和装置可以通过计算机程序单元实现，以下实施例的设备可以是任意的设备，设备可以包括处理器和存储器，上述计算机程序单元可以存储在存储器中，处理器可以执行计算机程序单元。

下面对本发明实施例进行描述。

图1是根据本发明实施例的网络规则条目的设置方法的流程图，如图1所示，该方法包括步骤S102至步骤S106。

步骤S102，第一设备检测第二设备的域名解析请求所请求解析的第一域名是否与预设的第二域名匹配，其中，第二设备为第一设备下挂的设备。

优选地，在本发明实施例中，可以设置预先设置多个第二域名，以实现多个第二域名的网络访问控制。

优选地，上述第二域名由通配符和次级域名组成，例如，*.abc.com，从而实现对所有域名包括.abc.com的域名的控制。

优选地，判断第一域名与第二域名是否匹配时，可以判断第一域名与第二域名中除通配符之外的部分是否匹配，例如，第一域名为xyz.abc.com，第二域名为*.abc.com，在判断时可以判断除去通配符之外的部分，即.abc.com这部分是否一致。

步骤S104，当第一域名与所述第二域名匹配时，第一设备从解析请求的响应中获取第一域名对应的IP地址。

优选地，第一设备可以监听上述解析请求的响应，在监听到该响应时，从该响应中获取第一域名对应的IP地址，该IP地址携带在响应中。

步骤S106，第一设备将第二域名对应的规则条目中的IP地址设置为第一域名对应的IP地址。

优选地，可以为要控制的域名(即第二域名)设置规则条目，由于第二设备访问网络时使用的是对端的第二域名对应的IP地址，因此，建立规则条目与IP地址的对应关系。在上述步骤S104中获取到的IP地址就是第二域名对应的IP地址，可以将该获取到的IP地址写入对应的第二域名对应的规则条目，从而建立了第二域名的IP地址与规则条目的对应关系。

优选地，上述规则条目包括选择网络路径的规则。优选地，网络路径为转发数据包所使用的广域网(Wide Area Network，简称为WAN)连接，WAN可以包括但不限于上述的公用网络和专用网络。

在上述步骤S106之后，第一设备可以接收第二设备的网络访问请求，其中，网络访问请求中携带有要访问的IP地址；第一设备查找要访问的IP地址对应的规则条目；当查找到要访问的IP地址对应的规则条目时，第一设备根据查找到的规则条目控制网络访问。优选地，第一设备可以按照查找到的规则条目选择指定的WAN连接发送数据包。

通过本发明实施例，第一设备检测其下挂的第二设备的域名解析请求所请求解析的第一域名是否与预设的第二域名匹配；当第一域名与第二域名匹配时，第一设备从解析请求的响应中获取第一域名对应的IP地址，将第二域名对应的规则条目中的IP地址设置为第一域名对应的IP地址。由于第一设备从解析请求的响应中获取域名对应的IP地址，从而无需事先知晓所有网站的IP地址，并且在网站的IP地址发生变化时可以及时更新规则条目。

下面以家庭网关为例对本发明实施例的上述方法进行描述。

在本发明实施例中，可以实现根据域名解析的结果自动配置规则条目，在网络业务数据转发时根据目的IP查找对应的路由，实现控制选路。

在本发明实施例中，家庭网关(对应于上述的第一设备)采用路由方式配置域名通配符白名单(对应于上述的预设的第二域名)关联网路平面，家庭网关的下挂设备(对应于上述的第二设备)发起网络业务访问时，首先发出DNS解析请求，若该DNS域名在配置域名通配符白名单中，则拦截DNS的解析结果的解析IP地址，将IP地址配置相应的规则条目。

当下挂设备发起的到解析出的IP地址的业务访问到家庭网关后，家庭网关首先根据目的地址查规则条目，在本发明实施例中，为提高效率可以采用哈希(HASH)检索方式。家庭网关查询匹配到之后，将报文打上标志，选择指定的网络平面进行路由。

在本发明实施例中，根据域名通配符方式，不需要穷举所有的IP地址配置成静态路由，在网站的新增业务对应增加了IP地址时也能自动适应，增加了处理的灵活性和适用性，相对应与配置IP表规则方式(检索方式为顺序查找)，HASH检索能够提高检索性能。

下面结合图2的组网对本发明实施例进行描述。

图2是根据相关技术的网络组网的示意图，如图2所示，本发明的实施例网络组网，在网络中存在两个网络，一个网络平面为互联网(Internet)网络，另一个为专网网络；其中用户侧设备(Customer Premise Equipment，简称为CPE)为家庭网关，下挂个人计算机(Personal Computer，简称为PC)或机顶盒，家庭网关可以连接到两个网络平面，分别通过两个网路平面的宽带远程接入服务器(Broadband Remote Access Server，简称为BRAS)分配地址。两个网络平面共用DNS解析服务器，也就是家庭网关下挂设备发起DNS请求，通过互联网平面或专网平面都能完成DNS解析。

图3是根据本发明实施例的域名通配符设置和数据转发选路的流程图，如图3所示，包括步骤S302至步骤S320。

步骤S302，家庭网关设置两个网络WAN连接、获取地址。

步骤S304，家庭网关通过WEB页面或其它方式设置域名通配符白名单。

例如，设置*.souhu.com来对控制所有以souhu.com结尾的搜狐网站的域名访问，设置*.qq.com来对控制所有以qq.com结尾的腾讯网站的域名访问。

步骤S306，下挂设备访问网络发起DNS解析请求。

当家庭网关下挂设备发起访问，发起DNS解析请求到DNS Server，DNS Server返回解析应答。

步骤S308，家庭网关拦截DNS应答报文。

在上述步骤S308中，家庭网关根据报文中请求内容和设置的通配符域名匹配，匹配方法为去掉统配字符“*”后右匹配(例如：访问搜狐视频，请求的DNS域名为tv.sohu.com与*.souhu.com条目匹配)。

步骤S310，匹配成功时，将DNS应答报文中的解析结果IP地址配置到内核规则表。

为提高检索效率，内核规则表采用HASH表建立，该内核规则HASH表由目的IPv4/IPv6地址或地址段、协议类型、转发标志(WAN连接对应MARK值)、使用标志、条目状态、收发包计数等字段组成。

步骤S312，家庭网关下挂设备根据DNS解析结果发起访问。

步骤S314，家庭网关截包根据目的IP地址查询HASH表。

步骤S316，报文到家庭网关后，首先查询内核规则表，若检索成功则将报文的SKB一个字段打上查询到的规则条目信息中转发标志。

后续报文继续在Linux协议栈中处理，查找路由时判断此标志选择策略路由，控制由指定的WAN连接发出，从而将数据包转发到相应的网络平面。

步骤S318，根据转发标志选对应WAN连接。

步骤S320，报文转发到相应的网络访问。

图4是根据本发明实施例的网络访问的流程图，如图4所示，该方法包括步骤S402至步骤S424。

步骤S402，家庭网关建立WAN连接，通过DHCP方式或PPPoE拨号方式从互联网平面获取到地址，配置路由，建立互联网平面通道。

步骤S404，家庭网关从专网平面获取到地址，通过DHCP方式或PPPoE拨号方式从专网平面获取到地址，配置路由，建立专网平面通道。

步骤S406，家庭网关一个LAN口下挂设备PC从家庭网关获取小网地址(192.168.1.x)。

步骤S408，家庭网关另一个LAN口下挂设备机顶盒从家庭网关获取小网地址(192.168.1.x)。

步骤S410，家庭网关下挂设备PC进行网络业务访问，首先发起DNS域名解析请求，DNS Server返回解析结果。

步骤S412，域名通配符处理模块拦截205步骤的DNS解析结果，当解析的域名和通配符白名单中条目匹配上之后，将DNS解析结果中对应的IP地址配置成内核规则表中，作为规则条目供后面的访问查询和设置路由使用。

步骤S414，家庭网关下挂设备PC访问互联网平面，根据解析结果发起访问，报文到家庭网关后，家庭网关通过HASH方法检索内核规则表，检索到之后即按照条目中指定网络平面(互联网)的WAN连接转发到互联网网络平面。

步骤S416，家庭网关下挂设备PC访问专网平面，根据解析结果发起访问，报文到家庭网关后，家庭网关通过HASH方法检索内核规则表，检索到之后即按照条目中指定网络平面(专网)的WAN连接转发到专网网络平面。

步骤S418，家庭网关下挂设备机顶盒进行网络业务访问，首先发起DNS域名解析请求，DNS Server返回解析结果。

步骤S420，域名通配符处理模块拦截205步骤的DNS解析结果，当解析的域名和通配符白名单中条目匹配上之后，将DNS解析结果中对应的IP地址配置成内核规则表中，作为规则条目供后面的访问查询和设置路由使用。

步骤S422，家庭网关下挂设备机顶盒访问互联网平面，根据解析结果发起访问，报文到家庭网关后，家庭网关通过HASH方法检索内核规则表，检索到之后即按照条目中指定网络平面(互联网)的WAN连接转发到互联网网络平面。

步骤S424，家庭网关下挂设备机顶盒访问专网平面，根据解析结果发起访问，报文到家庭网关后，家庭网关通过HASH方法检索内核规则表，检索到之后即按照条目中指定网络平面(专网)的WAN连接转发到专网网络平面。

下面对本发明实施例的网络规则条目的设置装置进行描述。

图5是根据本发明实施例的网络规则条目的设置装置的结构框图，该装置位于第一设备，如图5所示包括：检测模块10，设置为检测第二设备的域名解析请求所请求解析的第一域名是否与预设的第二域名匹配，其中，第二设备为第一设备下挂的设备；获取模块20，设置为当第一域名与第二域名匹配时，从解析请求的响应中获取第一域名对应的IP地址；设置模块30，设置为将第二域名对应的规则条目中的IP地址设置为第一域名对应的IP地址。

优选地，上述装置还可以包括：接收模块，设置为接收第二设备的网络访问请求，其中，网络访问请求中携带有要访问的IP地址；查找模块，设置为查找要访问的IP 地址对应的规则条目；控制模块，设置为当查找到要访问的IP地址对应的规则条目时，根据查找到的规则条目控制网络访问。

优选地，控制模块，设置为按照查找到的规则条目选择指定的WAN连接发送数据包。

对于本装置的其他部分，参见本发明实施例的上述描述，在此不再赘述。

从以上的描述中，可以看出，本发明实施例实现了如下技术效果：

第一设备检测其下挂的第二设备的域名解析请求所请求解析的第一域名是否与预设的第二域名匹配；当第一域名与第二域名匹配时，第一设备从解析请求的响应中获取第一域名对应的IP地址，将第二域名对应的规则条目中的IP地址设置为第一域名对应的IP地址。由于第一设备从解析请求的响应中获取域名对应的IP地址，从而无需事先知晓所有网站的IP地址，并且在网站的IP地址发生变化时可以及时更新规则条目。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，优选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性

基于本发明实施例提供的上述技术方案，第一设备检测其下挂的第二设备的域名解析请求所请求解析的第一域名是否与预设的第二域名匹配；当第一域名与第二域名匹配时，第一设备从解析请求的响应中获取第一域名对应的IP地址，将第二域名对应的规则条目中的IP地址设置为第一域名对应的IP地址。由于第一设备从解析请求的响应中获取域名对应的IP地址，从而无需事先知晓所有网站的IP地址，并且在网站的IP地址发生变化时可以及时更新规则条目。

Claims

一种网络规则条目的设置方法，包括：

第一设备检测第二设备的域名解析请求所请求解析的第一域名是否与预设的第二域名匹配，其中，所述第二设备为所述第一设备下挂的设备；

当所述第一域名与所述第二域名匹配时，所述第一设备从所述解析请求的响应中获取所述第一域名对应的IP地址；

所述第一设备将所述第二域名对应的规则条目中的IP地址设置为所述第一域名对应的IP地址。
根据权利要求1所述的方法，其中，所述第二域名由通配符和次级域名组成。
根据权利要求1所述的方法，其中，所述规则条目包括选择网络路径的规则。
根据权利要求2所述的方法，其中，所述网络路径为转发数据包所使用的广域网WAN连接。
根据权利要求1所述的方法，其中，所述第一设备将所述第二域名对应的规则条目中的IP地址设置为所述第一域名对应的IP地址之后，还包括：

所述第一设备接收所述第二设备的网络访问请求，其中，所述网络访问请求中携带有要访问的IP地址；

所述第一设备查找所述要访问的IP地址对应的规则条目；

当查找到所述要访问的IP地址对应的规则条目时，所述第一设备根据查找到的规则条目控制网络访问。
根据权利要求5所述的方法，其中，所述第一设备根据查找到的规则条目控制网络访问，包括：

所述第一设备按照所述查找到的规则条目选择指定的WAN连接发送数据包。
一种网络规则条目的设置装置，位于第一设备，包括：

检测模块，设置为检测第二设备的域名解析请求所请求解析的第一域名是否与预设的第二域名匹配，其中，所述第二设备为第一设备下挂的设备；

获取模块，设置为当所述第一域名与所述第二域名匹配时，从所述解析请求的响应中获取所述第一域名对应的IP地址；

设置模块，设置为将所述第二域名对应的规则条目中的IP地址设置为所述第一域名对应的IP地址。
根据权利要求7所述的装置，其中，所述第二域名由通配符和次级域名组成。
根据权利要求7所述的装置，其中，所述规则条目包括选择网络路径的规则。
根据权利要求9所述的装置，其中，所述网络路径为转发数据包所使用的广域网WAN连接。
根据权利要求7所述的装置，其中，还包括：

接收模块，设置为接收所述第二设备的网络访问请求，其中，所述网络访问请求中携带有要访问的IP地址；

查找模块，设置为查找所述要访问的IP地址对应的规则条目；

控制模块，设置为当查找到所述要访问的IP地址对应的规则条目时，根据查找到的规则条目控制网络访问。
根据权利要求11所述的装置，其中，所述控制模块，设置为按照所述查找到的规则条目选择指定的WAN连接发送数据包。