网络路径阻断点定位方法、装置及存储介质制造方法及图纸

本发明专利技术提供一种网络路径阻断点定位方法、装置及存储介质，通过网络协议构建满足链路保护设备配置的路径放行规则的测试数据包，测试数据包的源地址和源端口配置为所述源节点的地址和端口，测试数据包的目的地址和目的端口配置为目的节点的目的地址和目的端口，自动向所述目的节点发送所述测试数据包，捕获所述测试数据包的返回数据包，根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果。利用本发明专利技术技术方案，能够通过测试数据包自动定位网络路径中的可能存在的阻断点，解决了人工定位阻断点效率及准确性低下的问题。尤其是在源节点已经对合规流量放行的情况下，本发明专利技术技术方案能够准确高效定位网络路径中可能出现的阻断点。现的阻断点。现的阻断点。

【技术实现步骤摘要】
网络路径阻断点定位方法、装置及存储介质


[0001]本专利技术涉及计算机
，尤其涉及一种网络路径阻断点定位方法、装置及存储介质。

技术介绍

[0002]为满足各安全域及子域的物理隔离和逻辑隔离，在网络组织架构内，在各安全边界无不例外的部署各类链路保护设备，如防火墙、安全阻断设备、DPI设备等，从而i网络路径上形成多级防御的安全布局。各安全边界默认阻断全量流量，安全阻断设备类型不同，阻断技术各异。但对于合规流量，可由各安全边界的安全团队按需放行。
[0003]但在实践中发现，即使合规流量已经被放行，还是会出现网络路径不通的情况。
[0004]因此，如何更准确高效地定位网络路径中阻断点，成为业界普遍考虑的一个课题。

技术实现思路

[0005]本专利技术提供一种网络路径阻断点定位方法、装置及存储介质，用以解决现有技术中网络路径阻断点定位方法效率低下的缺陷，实现更高效准确地定位网络路径阻断点。
[0006]第一方面，本专利技术提供一种网络路径阻断点定位方法，应用于所述网络路径中配置为源节点的网络节点，所述网络路径还包括配置为目的节点的网络节点，在所述网络节点中部署链路保护设备，所述网络路径阻断点定位方法包括：
[0007]基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包，所述测试数据包的源地址和源端口配置为所述源节点的地址和端口，所述测试数据包的目的地址和目的端口配置为所述目的节点的地址和端口；
[0008]向所述目的节点发送所述测试数据包；r/>[0009]捕获所述测试数据包的返回数据包；
[0010]根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果。
[0011]在一个实施例中，基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包，包括：
[0012]当检测到对指定流量的放行指令之后，利用所述指定流量构建测试数据包；则
[0013]所述网络路径阻断点定位方法还包括：
[0014]如果所述阻断点定位结果显示所述目的节点不是阻断点，则对所述指定流量放行；
[0015]如果所述阻断点定位结果显示所述目的节点为阻断点，则对所述指定流量禁行。
[0016]在一个实施例中，在基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包之前，还包括：
[0017]从服务器端接收网络路径巡检任务，所述网络路径巡检任务包括至少一个所述目的节点的地址和端口；
[0018]基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包，包
括：
[0019]将所述源节点的地址和端口配置所述测试数据包的源地址和源端口，利用所述目的节点的地址和端口配置所述测试数据包的目的地址和目的端口；
[0020]所述网络路径阻断点定位方法还包括：
[0021]将所述阻断点定位结果发送给所述服务器端。
[0022]在一个实施例中，在向所述目的节点发送所述测试数据包之前，还包括：
[0023]创建网络抓包过滤器，所述网络抓包过滤器设置为对所述测试数据包的返回数据包进行捕获；
[0024]捕获所述测试数据包的返回数据包，包括：
[0025]利用所述网络抓包过滤器捕获所述测试数据包的返回数据包。
[0026]在一个实施例中，所述网络路径阻断点定位方法还包括：
[0027]在构建所述测试数据包时，对所述测试数据包配置特征标记；
[0028]捕获所述测试数据包的返回数据包，包括：
[0029]根据所述特征标记识别所述测试数据包的返回数据包。
[0030]在一个实施例中，根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果，包括：
[0031]根据所述网络协议与阻断判断规则之间的预设对应关系，获取所述网络协议对应的阻断判断规则；
[0032]判断所述捕获结果是否满足所获取的所述阻断判断规则以得到所述阻断点定位结果。
[0033]在一个实施例中，判断所述捕获结果是否满足所获取的所述阻断判断规则以得到所述阻断点定位结果，包括：
[0034]若所述网络协议为TCP，而捕获到的所述返回数据包为REST应答，则根据所述阻断点定位结果确定所述目的节点为阻断点；
[0035]若所述网络协议为ICMP，而捕获到的所述返回数据包显示端口不可达，则根据所述阻断点定位结果确定所述目的节点为阻断点。
[0036]第二方面，本专利技术提供一种网络路径阻断点定位方法，所述网络路径包括配置为源节点的网络节点和配置为目的节点的网络节点，在所述网络节点中部署链路保护设备，所述网络路径阻断点定位方法应用于服务器端，包括：
[0037]向至少一个所述源节点发送网络路径巡检任务，使得所述源节点根据所述网络路径巡检任务构建测试数据包的源地址、源端口及所述目的节点的目的地址和目的端口，向所述目的节点发送所述测试数据包，捕获所述测试数据包的返回数据包，根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果，所述测试数据包满足所述链路保护设备配置的路径放行规则；
[0038]从至少一个所述源节点接收所述阻断点定位结果；
[0039]根据所述阻断点定位结果确定所述网络路径的阻断点信息。
[0040]在一个实施例中，在向至少一个所述源节点发送网络路径巡检任务之前，还包括：
[0041]获取满足所述路径放行规则的端到端流量信息；
[0042]在数据库中获取所述端到端流量信息所对应的网络路径；
[0043]对所述网路路径中各网络节点进行配置得到至少一组所述源节点和目的节点；
[0044]根据至少一组所述源节点和目的节点对应生成至少一个所述网络路径巡检任务。
[0045]第三方面，本专利技术提供一种网络路径巡检系统，所述网络路径包括配置为源节点的网络节点和配置为目的节点的网络节点，在所述网络节点中部署链路保护设备，所述网络路径巡检系统包括：
[0046]服务器端，向至少一个所述源节点发送网络路径巡检任务，从至少一个所述源节点接收阻断点定位结果，根据所述阻断点定位结果确定所述网络路径的阻断点信息；
[0047]至少一个所述源节点，根据所述网络路径巡检任务构建测试数据包的源地址、源端口及对应的目的节点的目的地址和目的端口，向所述目的节点发送所述测试数据包，捕获所述测试数据包的返回数据包，根据捕获结果判断所述目的节点是否为阻断点以得到所述阻断点定位结果，所述测试数据包满足所述链路保护设备配置的路径放行规则。
[0048]在一种实施例中，还包括：
[0049]后台管理系统，向所述服务器端下发所述网络路径巡检任务，从所述服务器端接收所述网络路径的阻断点信息。
[0050]第四方面，本专利技术提供一种网络路径阻断点定位装置，应用于所述网络路径中配置为源节点的网络节点，所述网络路径还包括配置为目的节点的网络节点，在所述网络节点中部署链路本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络路径阻断点定位方法，其特征在于，应用于所述网络路径中配置为源节点的网络节点，所述网络路径还包括配置为目的节点的网络节点，在所述网络节点中部署链路保护设备，所述网络路径阻断点定位方法包括：基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包，所述测试数据包的源地址和源端口配置为所述源节点的地址和端口，所述测试数据包的目的地址和目的端口配置为所述目的节点的地址和端口；向所述目的节点发送所述测试数据包；捕获所述测试数据包的返回数据包；根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果。2.根据权利要求1所述的网络路径阻断点定位方法，其特征在于，基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包，包括：当检测到对指定流量的放行指令之后，利用所述指定流量构建测试数据包；则所述网络路径阻断点定位方法还包括：如果所述阻断点定位结果显示所述目的节点不是阻断点，则对所述指定流量放行；如果所述阻断点定位结果显示所述目的节点为阻断点，则对所述指定流量禁行。3.根据权利要求1所述的网络路径阻断点定位方法，其特征在于，在基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包之前，还包括：从服务器端接收网络路径巡检任务，所述网络路径巡检任务包括至少一个所述目的节点的地址和端口；基于网络协议构建满足所述链路保护设备配置的路径放行规则的测试数据包，包括：将所述源节点的地址和端口配置所述测试数据包的源地址和源端口，利用所述目的节点的地址和端口配置所述测试数据包的目的地址和目的端口；所述网络路径阻断点定位方法还包括：将所述阻断点定位结果发送给所述服务器端。4.根据权利要求1所述的网络路径阻断点定位方法，其特征在于，在向所述目的节点发送所述测试数据包之前，还包括：创建网络抓包过滤器，所述网络抓包过滤器设置为对所述测试数据包的返回数据包进行捕获；捕获所述测试数据包的返回数据包，包括：利用所述网络抓包过滤器捕获所述测试数据包的返回数据包。5.根据权利要求1所述的网络路径阻断点定位方法，其特征在于，所述网络路径阻断点定位方法还包括：在构建所述测试数据包时，对所述测试数据包配置特征标记；捕获所述测试数据包的返回数据包，包括：根据所述特征标记识别所述测试数据包的返回数据包。6.根据权利要求1所述的网络路径阻断点定位方法，其特征在于，根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果，包括：根据所述网络协议与阻断判断规则之间的预设对应关系，获取所述网络协议对应的阻断判断规则；
判断所述捕获结果是否满足所获取的所述阻断判断规则以得到所述阻断点定位结果。7.如权利要求6所述的网络路径阻断点定位方法，其特征在于，判断所述捕获结果是否满足所获取的所述阻断判断规则以得到所述阻断点定位结果，包括：若所述网络协议为TCP，而捕获到的所述返回数据包为REST应答，则根据所述阻断点定位结果确定所述目的节点为阻断点；若所述网络协议为ICMP，而捕获到的所述返回数据包显示端口不可达，则根据所述阻断点定位结果确定所述目的节点为阻断点。8.一种网络路径阻断点定位方法，其特征在于，所述网络路径包括配置为源节点的网络节点和配置为目的节点的网络节点，在所述网络节点中部署链路保护设备，所述网络路径阻断点定位方法应用于服务器端，包括：向至少一个所述源节点发送网络路径巡检任务，使得所述源节点根据所述网络路径巡检任务构建测试数据包的源地址、源端口及所述目的节点的目的地址和目的端口，向所述目的节点发送所述测试数据包，捕获所述测试数据包的返回数据包，根据捕获结果判断所述目的节点是否为阻断点以得到阻断点定位结果，所述测试数据包满足所述链路保护设备配置的路径放行规则；从至少一个所述源节点接收所述阻断点定位结果；根据所述阻断点定位结果确定所述网络路径的阻断点信息。9.根据权利要求8所述的网络路径阻断点定位方法，其特征在于，在向至少一个所述源节点发送网络路径巡检任务之前，还包括：获取满足所述路径放行规则的端到端流量信息；在数据库中获取所述端到端流量信息所对应的网络路径；对所述网路路径中各网络节点进行配置得到至少一组所述源节点和目的节点；根据至少一组所述源节点和目的节点对应生成至少一个所述网络路径巡检任务。10.一种网络路径巡检系统，其特征在于，所述网络路径包括配置为源节点的...

【专利技术属性】
技术研发人员：韩涛，阮前，刘海峰，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：