本申请公开了一种基于网闸组网的通信方法、装置、设备及介质,用以解决现有技术中在多个设备IP地址和端口号一样的情况下无法区分设备的问题。该方法包括:第一设备接收第一报文,该第一报文包括网络标识、第一设备的公网地址、第一设备的私网地址和管理信息;第一设备判断网络标识为该第一设备的网络标识;第一设备根据该管理信息执行管理操作。设备根据该管理信息执行管理操作。设备根据该管理信息执行管理操作。
【技术实现步骤摘要】
一种基于网闸组网的通信方法、装置、设备及介质
[0001]本申请涉及通信安全
,尤其涉及一种基于网闸组网的通信方法、装置、设备及介质。
技术介绍
[0002]随着企业业务上云加速,不少企业的业务服务器等设备会混合部署在不同区域,这些设备如专网的私有云和互联网公有云。对于跨不同安全级别的网络访问,一般通过部署安全隔离网闸的方式进行安全访问控制。安全隔离网闸也称网闸,用以实现不同安全级别网络之间的安全隔离,并提供适度可控的数据交换的软硬件系统。
[0003]目前在基于网闸组网的网络访问过程中,一种典型场景是被管理设备与管理平台通信需要跨越网闸,然而由于被管理设备部署在不同子网内,存在网际协议(Internet Protocol,IP)地址冲突问题,管理平台无法根据IP地址准确区分设备,导致基于网闸组网场景下的设备管理可靠性较低。
技术实现思路
[0004]本申请提供了一种基于网闸组网的通信方法、装置、设备及介质,用以解决现有技术中在多个设备IP地址和端口号一样的情况下无法区分设备的问题,并解决部分因跨域通信而被限制的端口不能正常通信的问题。
[0005]第一方面,本申请提供了一种基于网闸组网的通信方法,所述方法包括:
[0006]第一设备接收第一报文,所述第一报文包括网络标识、所述第一设备的公网地址、所述第一设备的私网地址和管理信息;所述第一设备判断所述网络标识为所述第一设备的网络标识;所述第一设备根据所述管理信息执行管理操作。
[0007]基于该方法,管理平台能够根据网络标识区分不同的设备,能够避免在多个设备具有相同的公网地址、私网地址和端口号时,报文转发错误,可提高基于网闸组网场景下的管理可靠性。
[0008]在一种可能的设计中,所述第一设备接收第一报文之前,还包括:所述第一设备发送第二报文,所述第二报文包括所述第一设备的网络标识、公网地址和私网地址。
[0009]采用该设计,能够由第一设备上报自身的网络标识、公网地址和私网地址,以便管理平台区分不同的设备。
[0010]在一种可能的设计中,所述第一设备的网络标识携带在所述第二报文中的虚拟扩展局域网(Virtual Extensible Local Area Network,VxLAN)头中。
[0011]在一种可能的设计中,所述方法还包括:所述第一设备确定第三报文的目的端口为网闸的未开放端口;所述第一设备向所述网闸发送第四报文,所述第四报文根据所述第三报文添加头部获得,所述头部中携带所述网闸的开放端口标识作为目的端口标识。
[0012]采用该设计,能够向未开放端口实现报文发送,提高通信效率。
[0013]第二方面,本申请还提供了一种基于网闸组网的通信方法,所述方法包括:管理平
台获取第一设备的网络标识、公网地址和私网地址;所述管理平台发送第一报文,所述第一报文包括所述第一设备的网络标识、公网地址、私网地址和管理信息,所述管理信息用于所述第一设备执行管理操作。
[0014]在一种可能的设计中,所述管理平台发送第一报文之前,还包括:所述管理平台接收第二报文,所述第二报文包括所述第一设备的网络标识、公网地址和私网地址。
[0015]采用该设计,可以便于管理平台存储第一设备的网络标识、公网地址和私网地址的对应关系,用于发送管理消息。
[0016]在一种可能的设计中,所述第一设备的网络标识携带在所述第二报文中的VxLAN头中。
[0017]在一种可能的设计中,所述方法还包括:所述管理平台确定第五报文的目的端口为网闸的未开放端口;所述管理平台向所述网闸发送第六报文,所述第六报文根据所述第五报文添加头部获得,所述头部中携带所述网闸的开放端口标识作为目的端口标识。
[0018]第三方面,本申请还提供了一种电子设备,所述电子设备包括处理器,所述处理器用于执行存储器中存储的计算机程序时实现如上述第一方面、第二方面或第一方面或第二方面中任一可能的设计所述方法的步骤。
[0019]第四方面,本申请提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行第一方面、第二方面或第一方面或第二方面中任一可能的设计所述方法的步骤。
[0020]另外,第二方面至第四方面的有益效果可以参见如第一方面所述的有益效果,此处不再赘述。
附图说明
[0021]为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0022]图1为本申请实施例提供的一种基于网闸组网的通信场景示意图;
[0023]图2为本申请实施例提供的一种基于网闸组网的通信方法的流程示意图;
[0024]图3A为本申请实施例提供的一种报文发送方法示意图;
[0025]图3B为本申请实施例提供的另一种基于网闸组网的通信场景示意图;
[0026]图4为本申请实施例提供的一种基于网闸组网的通信装置的模块化结构示意图;
[0027]图5为本申请实施例提供的一种基于网闸组网的通信装置结构示意图。
具体实施方式
[0028]为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本发申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
[0029]为了在多个设备IP地址和端口号一样的情况下区分设备,以提高管理平台的管理
效率和管理可靠性,本申请实施例提供了一种基于网闸组网的通信方法、装置、设备及介质。
[0030]该方法的应用场景如图1所示,该通信过程由被管理设备、网闸和管理平台三部分组成。其中,被管理设备可以是多个设备,部署在网闸的一侧构成安全域A。管理平台部署在网闸的另一侧构成安全域B。可通过网闸对不同安全域进行安全隔离。下面以第一设备、网闸和管理平台为执行主体为例,对本申请实施例提供的通信方法进行说明。示例性的,网络探针设备、安全探针设备等探针设备可作为第一设备部署在不同子网下,这些设备对于管理平台来说也就是被管理设备。其中,探针设备可收集网络流量、安全策略、设备告警日志等信息。
[0031]应理解,对于一个第一设备来说,其可与其他被管理设备(称为第二设备)进行通信。对于管理平台来说,第一设备与第二设备的地位相同,即在执行与管理平台的通信动作时,由第一设备与第二设备执行的动作可以相同。换句话说,本申请中由第一设备执行的动作也可由第二设备执行。
[0032]具体的,第一设备可以向管理平台发起注册和信息上送,例如,第一设备可以通过各自网络出口设备的网络地址转换(Network Address Translation,NAT),并根本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于网闸组网的通信方法,其特征在于,所述方法包括:第一设备接收第一报文,所述第一报文包括网络标识、所述第一设备的公网地址、所述第一设备的私网地址和管理信息;所述第一设备判断所述网络标识为所述第一设备的网络标识;所述第一设备根据所述管理信息执行管理操作。2.如权利要求1所述的方法,其特征在于,所述第一设备接收第一报文之前,还包括:所述第一设备发送第二报文,所述第二报文包括所述第一设备的网络标识、公网地址和私网地址。3.如权利要求2所述的方法,其特征在于,所述第一设备的网络标识携带在所述第二报文中的虚拟扩展局域网VxLAN头中。4.如权利要求1
‑
3中任一所述的方法,其特征在于,还包括:所述第一设备确定第三报文的目的端口为网闸的未开放端口;所述第一设备向所述网闸发送第四报文,所述第四报文根据所述第三报文添加头部获得,所述头部中携带所述网闸的开放端口标识作为目的端口标识。5.一种基于网闸组网的通信方法,其特征在于,所述方法包括:管理平台获取第一设备的网络标识、公网地址和私网地址;所述管理平台发送第一报文,所述第一报文包括所述第...
【专利技术属性】
技术研发人员:彭晓军,张原,黄俊,叶建伟,
申请(专利权)人:北京神州绿盟科技有限公司神州绿盟成都科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。